网络工程师--网络安全与应用案例分析

案例一:

某单位现有网络拓扑结构如下图所示,实现用户上网功能,该网络使用的网络交换机均为三层设备,用户地址分配为手动指定

网络工程师--网络安全与应用案例分析_第1张图片

案例分析一:

路由器AR2200的GE0/0/1接口地址为内网地址,为确保内部用户访问Internet,需要在该设备配置(1)

答(1)NAT

解析:NAT是网络地址转换,可以把多个内网私有地址转换到1个或少量外部公网地址上,使内网用户可以访问Internet,并且节省大量公网IP,只需给路由器设备AR2200配置NAT功能即可实现,应填写NAT

案例分析二:

网络中增加三个摄像头,分别接入SwitchA、SwitchB、SwitchC,在调试时,测试网络线路可以使用(2)

如果将计算机PC3用于视频监控管理,并且视频监控系统与内网的其他计算机逻辑隔离,需要在内网交换机上配置(3),内网用户的网关在交换机SwitchA上,网关地址需要设置在(4),最少需要配置(5)个网关地址,在不增加专用存储设备的情况下,可以将视频资料存储在(6)

答:(2)测线器

解析:测线器也叫查线器,用于追踪弱电状态下的所有金属线缆,并且能在连接任何交换机、路由器、PC终端的情况下直接找线;用于判断线路状态,识别线路故障;是网络安装、维护的实用性工具

(3)VLAN

解析:VLAN虚拟局域网,把物理上形成的局域网划分成不同的逻辑子网,把数据链路层广播报文隔离在逻辑子网之内,形成各自的广播域,每个逻辑子网就是一个VLAN,可将视频监控系统单独划分一个VLAN,把视频监控业务和其他办公业务分开管理,此处应填VLAN 

(4)逻辑接口上

解析:SwitchA作为核心交换机,根据题意“视频监控系统与内网的其他计算机逻辑隔离”意思是需要划分2个VLAN,一个给视频监控用,另一个给内网其他用户用,每个需要配置一个VLANIF接口IP地址,分别作为视频监控、内网用户的网关,所有应配置在SwitchA上的VLANIF逻辑接口上,需要配置两个网关地址,视频监控和内网用户的网关

(5)2

解析:SwitchA作为核心交换机,根据题意“视频监控系统与内网的其他计算机逻辑隔离”意思是需要划分2个VLAN,一个给视频监控用,另一个给内网其他用户用,每个需要配置一个VLANIF接口IP地址,分别作为视频监控、内网用户的网关,所有应配置在SwitchA上的VLANIF逻辑接口上,需要配置两个网关地址,视频监控和内网用户的网关

(6)PC3

解析:根据题意“如果将计算机PC3用于视频监控管理”和“在不增加专用存储设备的情况下”这两句话可以考虑将视频数据存在监控主机PC3的本地磁盘,此处应该填写PC3

案例分析三:

若将内网用户IP地址的分配方式改为自动分配,在设备SwitchA上启用DHCP功能,首先配置的命令是(7)

答:(7)DHCP enable

解析:DHCP enable命令意思是全局启用DHCP功能,题意是内网用户IP地址分配方式改为自动分配,需要启用DHCP功能

案例分析四:

为防止网络攻击,需要增加安全设备,配置安全策略,进行网络边界防护等,需要在(8)部署(9),且在该设备上配置(10)策略

答:(8)AR2200与SwitchA之间

解析:根据题意可以判断出需要配置防火墙,位置在AR2200与SwitchA之间

(9)FW防火墙

解析:防火墙是一种网络边界访问控制设备,能根据安全策略阻止在网络之间或主机与网络之间的未授权的通信,即控制进出网络的访问行为,防火墙是不同网络安全域之间通信的唯一通道,防止网络攻击用的

(10)ACL

解析:防护墙上需要配置ACL安全策略来进行控制用户访问权限等

============================分界线================================

案例二:

某园区组网方案如下图所示,网络规划表如下图所示:

网络工程师--网络安全与应用案例分析_第2张图片

网络工程师--网络安全与应用案例分析_第3张图片

案例分析一:

管理员通过console口登录设备Switch1,配置管理IP和Telnet:

system-view

[HUAWEI] (1)

[HUAWEI-vlan5]management-vlan

[HUAWEI-vlan5]quit

[HUAWEI] interface vlanif 5

[HUAWEI-vlanif5](2) 

[HUAWEI-vlanif5]quit

[HUAWEI]telnet server enable

[HUAWEI]user-interface vty 0 4

[HUAWEI-ui-vty0-4]protocol inbound telnet

[HUAWEI-ui-vty0-4]authentication-mode aaa

[HUAWEI-ui-vty0-4]quit

[HUAWEI](3)

 [HUAWEI-aaa]local-user admin password irreversible-cipher Helloworld@6789

 [HUAWEI-aaa]local-user admin privilege level 15

配置完成后,在维护终端上Telnet到交换机的命令是(4),登录用户名是(5),该用户具有(6)权限

答:(1)vlan 5

解析:根据下一条命令提示符[HUAWEI-vlan5],可以得知是进入一个vlan并设置管理vlan,这里填写vlan 5,意思是进入vlan 5

(2)ip address 10.10.1.1 255.255.255.0或者10.10.1.1 24

解析:根据上一条命令[HUAWEI] interface vlanif 5进入管理vlan,下一条命令就是设置管理vlan的IP地址,根据网络规划表可得知IP地址为10.10.1.1 24

网络工程师--网络安全与应用案例分析_第4张图片

(3)aaa

解析:根据下一条命令提示符 [HUAWEI-aaa],可以得知是在aaa模式下进行设置,所以此处应该填写aaa,意思是进入aaa模式

(4)telnet 10.10.1.1 

解析:Telnet提供了在本地计算机上完成远程登录设备功能,在终端电脑按组合键win+R进入cmd命令,输入Telnet IP 格式,回车即可,根据网络规划表管理IP地址为10.10.1.1 ,因此此处应填写telnet 10.10.1.1 

(5)admin

解析:根据命令 [HUAWEI-aaa]local-user admin password irreversible-cipher Helloworld@6789可以得知,local-user后面跟的就是用户名即admin,Helloworld@6789是密码,cipher表示对用户口令采用可逆算法进行了加密,非法用户可以通过对应的解密算法解密密文后得到明文密码,安全性较低;irreversible-cipher表示对用户密码采用不可逆算法进行了加密,使非法用户无法通过解密算法特殊处理后得到明文密码,为用户提供更好的安全保障

(6)全部

解析:根据文中命令 [HUAWEI-aaa]local-user admin privilege level 15得知,其中level 15表示权限基本是最高权限,level总共0-15级别,共16级别权限,此处level 15是最高权限,拥有全部的权限

案例分析二:

设备Switch1与Switch2、Switch3之间的线路称为(7),其作用是(8)

答:(7)链路聚合

解析:从网络拓扑图可以看出Switch1和Switch2和Switch3之间是各两条链路,采用双链路,这种技术叫做链路聚合,华为称为Eth-Trnk技术,其作用是可以实现增加链路带宽,提升链路可靠性

网络工程师--网络安全与应用案例分析_第5张图片

(8)增加链路带宽,提升链路可靠性

解析:从网络拓扑图可以看出Switch1和Switch2和Switch3之间是各两条链路,采用双链路,这种技术叫做链路聚合,华为称为Eth-Trnk技术,其作用是可以实现增加链路带宽,提升链路可靠性

案例分析三:

在该网络中,在(9)设备上配置了DHCP服务的作用是为用户(10)分配地址,为防止内网用户私接小路由器分配IP地址,在接入交换机上配置(11)功能

答:(9)Switch1

解析:根据文中的网络规划表得知,是在Switch1上配置DHCP服务

(10)自动

解析:DHCP的作用是给用户自动分配IP地址,以便方便动态分配IP地址,减轻网管的工作量

(11)DHCP Snooping

解析:在接入交换机上配置DHCP Snooping功能,DHCP Snooping是DHCP的一种安全特性,主要应用在交换机上,其作用是屏蔽接入网络中的非法的DHCP服务器,即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址

案例分析四:

在该网络的数据规划中,需要在Switch1和Router设备上各配置一条静态缺省路由,其中,在Switch1配置的是IP route-static 0.0.0.0 0.0.0.0 (12),在Router配置的是ip route-static 0.0.0.0 0.0.0.0 (13)

答:(12)10.10.100.2

解析:IP route-static 0.0.0.0 0.0.0.0 (12)是需要填写下一跳地址,Switch1上下一跳地址是Router的GE1/0/0端口,接着查网络规划表得知,下一跳地址为10.10.100.2

网络工程师--网络安全与应用案例分析_第6张图片

(13)202.101.111.1

解析:此处填写Router的下一跳地址,就是路由器Router的GE1/0/1端口,此端口有两个IP地址可以使用,分别是:202.101.111.1和202.101.111.2,但是202.101.111.2被路由器使用,所以此处填写202.101.111.1,此地址是出口路由器对接的运营商设备IP地址

===========================分界线===================================

案例三:

某公司的网络结构如下图所示,所有PC机共享公网IP地址202.134.115.5接入Internet,公司对外提供www和邮件服务

网络工程师--网络安全与应用案例分析_第7张图片

 案例分析一:

防火墙可以工作在三种模式下,分别是:路由模式、(1)和混杂模式,根据上图所示,防火墙的工作模式为(2),管理员为防火墙的三个接口分别命名为Trusted、Untrusted和DMZ,分别用于连接可信网络、不可信网络和DMZ网络,其中F0接口对应于(3),F1接口对应于(4),F2接口对应于(5)

答:(1)透明模式

解析:考察防火墙的三种模式,防火墙有IP地址,则工作在路由模式下;若防火墙没有配置IP地址并通过第二层对外连接,则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口,则防火墙工作在混合模式下

(2)路由模式

解析:网络规划图中防火墙三个接口均连接路由器或者交换机等,均需要配IP地址,因此防火墙工作在路由模式下

(3)Untrusted区域

解析:考察防火墙的三个区域,F0端口连接的是外部网络,即是Untrusted区域

(4)DMZ区域

解析:考察防火墙的三个区域,F1端口连接的服务器,即是DMZ区域

(5)Trusted区域

解析:考察防火墙的三个区域,F2端口连接的是内网交换机,即是Trusted区域

案例分析二:

请根据网络拓扑图将下表所示的公司网络IP地址规划表补充完整:

网络工程师--网络安全与应用案例分析_第8张图片

答:(6)202.134.115.5

解析:填写公网IP,和202.134.115.6不相同即可

(7)255.255.255.248

解析:此处填写公网的子网掩码,根据网络拓扑图得知202.134.115.6/29,公网的子网掩码是29位,即255.255.255.248

(8)10.10.1.1

解析:F1连接的是web和邮件服务器,IP地址和这俩地址不冲突即可

(9)192.168.10.1

解析:此处是F2连接的是交换机,一般是192.168.10.1,和下面PC的IP地址不冲突即可

案例分析三:

为使互联网用户能够正常访问公司WWW和邮件服务,以及公司内务可以访问互联网,公司通过防火墙分别为Webserver和MailServer分配了静态的公网地址202.134.115.2和202.134.115.3,如下图所示是防火墙的地址转换规则,将下表补充完整:

网络工程师--网络安全与应用案例分析_第9张图片

答:(10)公网地址1

解析:考察NAT转换规则,上述防火墙地址转换表中公网地址1和公网地址2这两行实现的是公网地址经过防火墙转换访问内部服务器,所以,公网地址1公网地址2转换后仍然是原来的公网地址

(11)10.10.1.2

解析:转换前的公网地址为202.134.115.2,根据上下文判断这个是Webserver的公网地址,因此空(11)需要填写Webserver服务器分配的内网地址,根据网络网络拓扑图上所表示的IP地址,此处应该填写10.10.1.2

(12)10.10.1.3

解析:转换前的公网地址为202.134.115.3,根据上下文判断这个是mailserver的公网地址,因此空(11)需要填写mailserver服务器分配的内网地址,根据网络网络拓扑图上所表示的IP地址,此处应该填写10.10.1.3

(13)202.134.115.5

解析:IP地址192.168.10.100是PC1的ip地址,需要转换为公网地址,在网络拓扑图中可以得知,是在防火墙的F0端口实现的,联合案例分析三F0的IP地址此处确定为202.134.115.5

(14)公网地址3

解析:和空(10)同理,考察NAT转换规则,上述防火墙地址转换表中公网地址3两行实现的是公网地址经过防火墙转换访问内部服务器,所以,公网地址3转换后仍然是原来的公网地址

案例分析四:

如下表所示是防火墙的过滤规则,规则自上而下顺序匹配,为了确保网络服务正常工作,并保证公司内部网络的安全性,请将下表补充完整:

网络工程师--网络安全与应用案例分析_第10张图片

答:(15)F0->F1

解析:根据上下文得知,此处是外网经过防火墙的F0端口->F1端口访问内网服务器,因此3、4、5这三条ACL规则的方向是一样的,即F0->F1

(16)SMTP

解析:根据下面一行的POP3协议(接收电子邮件),所以此处就为发送电子邮件协议(SMTP)

(17)25

解析:发送电子邮件协议(SMTP)的端口号为25

(18)允许

解析:根据上下文,可以判断允许发送电子邮件,因此此处填允许

(19)110

解析:纯知识点,考察POP3的端口号110

(20)拒绝

解析:公网直接访问内网和DMZ为拒绝

===========================分界线===================================

案例四:

某便利店要为收银台PC、监控摄像机、客户的无线终端等提供网络接入,组网方案如下图所示,网络中各设备IP分配和所属VLAN如下表所示,其中vlan1的接口地址是192.168.1.1,vlan10的接口地址是192.168.1.10

网络工程师--网络安全与应用案例分析_第11张图片

网络工程师--网络安全与应用案例分析_第12张图片

案例分析一:

配置无线路由器,用网线将PC的(1)端口与无线路由器相连,在PC端配置固定IP地址为192.168.1.x/24,在浏览器地址栏输入http://192.168.1.1,使用默认账号登录(2)界面

答:(1)RJ45

解析:使用电脑对网络设备无线路由器进行配置,可以有多种连接方式,其中硬件连接包括Console控制台接口、AUX拨号电话接口、普通网络接口(RJ45以太网接口和串口等),软件登录包括,超级终端、IE浏览器、命令行、专业软件界面等,此处电脑和无线路由器应该采用网线连接,即R45端口

(2)Web管理

解析:用户通过浏览器登录无线路由器,对应的选项是通过Web管理网络设备,所有登录的是Web管理界面

案例分析二:

有线网段配置截图如下图所示:

网络工程师--网络安全与应用案例分析_第13张图片

参照上面的组网方案图和上面的有线网段配置图,给出无线网段的属性参数,VLAN接口(VLAN编号):(3);接口状态:(4);是否启用DHCP服务(5)

答:(3)vlan10

解析:要求给出无线网段的vlan接口编号,查表得到是vlan10,注意不是有线vlan编号

网络工程师--网络安全与应用案例分析_第14张图片

(4)开启

解析:根据上图所示,状态为开启

网络工程师--网络安全与应用案例分析_第15张图片

(5)

解析:根据图示,DHCP服务未开启

网络工程师--网络安全与应用案例分析_第16张图片

案例分析三:

在案例分析二所示图中的参数MTU的含义是(6),在(7)中MTU缺省数值1500字节。

答:(6)最大数据传输单元

解析:MTU的含义是最大传输单元(Maximum Transmission Unit,MTU)是指一种通信协议的某一层上面所能通过的最大数据包大小(以字节为单位)

(7)以太网

解析:以太网中MTU缺省值是1500字节,一些常见的缺省值如下:

① FDDI协议:4352字节

② 以太网(Ethernet)协议:1500字节

③ PPPoE(ADSL协议):1492字节

④ X.25协议(Dial Up/Modem):576字节

⑤ Point-to-Point:4470字节

案例分析四:

某设备得到的IP地址是192.168.10.2,该设备是(8)

答:(8)客户的移动设备,比如手机

解析:从IP地址192.168.10.2可以看出属于无线网段,一次该设备是一台移动设备,比如手机等

案例分析五:
下图是进行网络攻击防范的配置界面,该配置主要是对(9)(10)类型的攻击进行防范

网络工程师--网络安全与应用案例分析_第17张图片

答:(9)DOS

解析:

① 根据上图SYN Flood是一种DoS(解决服务攻击),是DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方案资源耗尽(CPU满负荷或内存不足)的攻击方式

② ICMP FLOOD同样也是DoS攻击,通过对其目标发送超过65535字节的数据包,就可以令目标主机瘫痪,如果大量发送就成了洪水攻击

③ UDP FLood是流量型DoS攻击,利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器,由于UDP协议是一种无连接的服务,只要开了一个UDP端口提供相关服务,攻击者可发送大量伪造源IP地址的UDP包进行攻击。

(10)DDOS

解析:同上

案例分析六:

该便利店无线上网采用共享秘钥认证,采用WPA2机制和(11)位AES加密算法

答:(11)128

解析:WPA2,即WPA加密的加强版,它是WIFI联盟验证过的IEEE802.11i标准的认证形式,WPA2实现了802.11i的强制性元素,特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES(高级加密)所取代,AES加密数据块和秘钥长度可以是128位、192位、256位等


=============================分界线==================================

案例五:

下图是某互联网企业网络拓扑,该网络采用二层结构,网络安全设备有防火墙、入侵检测系统,楼层接入交换机32台,全网划分17个VLAN,对外提供Web和邮件服务,数据库服务器和邮件服务器均安装CentOS操作系统(Linux平台),Web服务器安装Windows 2008操作系统

网络工程师--网络安全与应用案例分析_第18张图片

案例分析一:

SAN常见方式有FC-SAN和IP-SAN,在上图中,数据库服务器和存储服务器设备连接方式为(1),邮件服务器和存储服务器设备连接方式为(2),虚拟化存储常用文件系统格式有CIFS、NFS,为邮件服务器分配存储空间时,应采用的文件系统格式为(3),为Web服务器分配存储空间时,应采用的文件系统格式为(4)

答(1)FC-SAN

解析:根据上面网络拓扑图可知,数据库服务器通过光纤交换机与存储设备(磁盘阵列)连接,采用FC光纤通道传输,故连接方式为FC-SAN

(2)IP-SAN

解析:根据上面网络拓扑图可知,邮件服务器通过服务器区汇聚交换机连接到存储虚拟化,采用IP网络传输,故连接方式为IP-SAN

(3)NFS

解析:根据实际应用可以得知大部分的邮件服务器的操作系统为Liunx,而NFS存储格式常用语Linux,因此邮件服务器应采用的文件系统格式为NFS

(4)CIFS

解析:根据实际应用可以得知大部分的Web服务器的操作系统为Windows,而CIFS存储格式常用语Windows,因此Web服务器应采用的文件系统格式为CIFS

案例分析二:

该企业采用RAID5方式进行数据冗余备份,请从存储效率和存储速率两个方面比较RAID1和RAID5两种存储方式,并简要说明采用RAID5存储方式的原因

答:(1)RAID1的磁盘利用率为n/2,读写性能较低

(2)RAID5的磁盘利用率为n-1,读写性能高

总结:RAID1是一种镜像存储阵列,存储数据时,将一块磁盘的内容完全复制到另一块磁盘上,进行100%的完全备份,数据可靠性、安全性高,但是磁盘利用率低,仅为N/2,存储成本高,写数据时需要同时写入备份磁盘,写效率低

RAID5是一种分布式奇偶校验存储阵列,将磁盘条带化分割,相同的条带区进行奇偶校验,将校验数据平均分布到每块磁盘,磁盘利用率为N-1,缺点是当其中一块磁盘故障时,读写性能下降很多,实际应用中,发现磁盘故障应及时更换

解析:1.RAID1介绍:下图是RAID1的结构

网络工程师--网络安全与应用案例分析_第19张图片

 (1)工作原理 
① RAID1是将一个两块硬盘所构成RAID磁盘阵列,其容量仅等于一块硬盘的容量,因为另一块只是当作数据“镜像”。

② RAID 1磁盘阵列显然是最可靠的一种阵列,因为它总是保持一份完整的数据备份。它的性能自然没有RAID 0磁盘阵列那样好,但其数据读取确实较单一硬盘来的快,因为数据会从两块硬盘中较快的一块中读出。

③ RAID 1磁盘阵列的写入速度通常较慢,因为数据得分别写入两块硬盘中并做比较。RAID 1磁盘阵列一般支持“热交换”,就是说阵列中硬盘的移除或替换可以在系统运行时进行,无须中断退出系统。

④ RAID 1磁盘阵列是十分安全的,不过也是较贵一种RAID磁盘阵列解决方案,因为两块硬盘仅能提供一块硬盘的容量。

⑤ RAID 1磁盘阵列主要用在数据安全性很高,而且要求能够快速恢复被破坏的数据的场合。
(2)优缺点
① RAID1通过硬盘数据镜像实现数据的冗余,保护数据安全,在两块盘上产生互为备份的数据,当原始数据繁忙时,可直接从镜像备份中读取数据,因此RAID1可以提供读取性能。
② RAID1是硬盘中单位成本最高的,但提供了很高的数据安全性和可用性,当一个硬盘失效时,系统可以自动切换到镜像硬盘上读/写,并且不需要重组失效的数据。

③ Raid1(镜像/双工)优缺点:1.数据安全性高 2.磁盘利用率50%,利用率最低

2.RAID5介绍:下图是RAID5的结构

网络工程师--网络安全与应用案例分析_第20张图片

 (1)工作原理
RAID5和RAID4一样,数据以块为单位分布到各个硬盘上。RAID 5不对数据进行备份,而是把数据和与其相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。当RAID5的一个磁盘数据损坏后,利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。
(2)读写
用简单的语言来表示,至少使用3块硬盘(也可以更多)组建RAID5磁盘阵列,当有数据写入硬盘的时候,按照1块硬盘的方式就是直接写入这块硬盘的磁道,如果是RAID5的话这次数据写入会根据算法分成3部分,然后写入这3块硬盘,写入的同时还会在这3块硬盘上写入校验信息,当读取写入的数据的时候会分别从3块硬盘上读取数据内容,再通过检验信息进行校验。当其中有1块硬盘出现损坏的时候,就从另外2块硬盘上存储的数据可以计算出第3块硬盘的数据内容。也就是说raid5这种存储方式只允许有一块硬盘出现故障,出现故障时需要尽快更换。当更换故障硬盘后,在故障期间写入的数据会进行重新校验。 如果在未解决故障又坏1块,那就是灾难性的了。
(3)存储
RAID5把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上,其中任意N-1块磁盘上都存储完整的数据,也就是说有相当于一块磁盘容量的空间用于存储奇偶校验信息。因此当RAID5的一个磁盘发生损坏后,不会影响数据的完整性,从而保证了数据安全。当损坏的磁盘被替换后,RAID还会自动利用剩下奇偶校验信息去重建此磁盘上的数据,来保持RAID5的高可靠性。
做raid 5阵列所有磁盘容量必须一样大,当容量不同时,会以最小的容量为准。 最好硬盘转速一样,否则会影响性能,而且可用空间=磁盘数n-1,Raid 5 没有独立的奇偶校验盘,所有校验信息分散放在所有磁盘上, 只占用一个磁盘的容量。
(4)Raid5(条带技术+分布式校验)优点:1.高可用性2.磁盘利用效率较高(N-1),没有固定的校验盘,奇偶校验信息均匀分布在阵列所属的磁盘中3.随机读写性能高允许在同一组进行多个并发操作。4.存储成本相对较低;能够支持在一块盘离线的情况下保证数据的正常访问,是运用较多的一种解决方案。

(5)RAID 5的缺点是写入数据的速度比对单个磁盘进行写入操作稍慢。

(6)RAID5和RAID1的比较

① 读写方面:RAID1读和单个磁盘没有区别,写则需要两边都写;RAID5读性能最好,写性能小于对单个磁盘进行写入操作;所以RAID1适合读操作多的情景而RAID5适合写操作多的情景。

② 安全性:RAID1高于RAID5。

③ 磁盘利用率:RAID5高于RAID1。

④ 成本:RAID1高于RAID5。

⑤ 应用方面:RAID1适合存放重要数据;RAID5是一种存储性能、数据安全和存储成本兼顾的方案。

案例分析三:

网络管理员接到用户反映,邮件登录非常缓慢,按以下步骤进行故障诊断:

1.通过网管机,利用(5)登录到邮件服务器,发现邮件服务正常,但是连接时断时续

2.使用(6)命令诊断邮件服务器的网络连接情况,发现网络丢包严重,登录服务器区汇聚交换机S1,发现连接邮件服务器的端口数据流量异常,收发包量很大

3.根据以上情况,邮件服务器的可能故障为(7),应采用(8)的办法处理上述故障

答:(5)ssh

解析:根据案例分析一得知,邮件服务器为Linux系统,远程连接一般采用SSH登录

(6)ping

解析:ping命令的作用是震旦网络连通性和丢包情况,符合题意

(7)感染病毒

解析:题意故障表现为丢包严重并且连接该服务器的交换机接口流量异常,一般原因是感染病毒、木马等,造成邮件服务器对外发包异常

(8)安装防病毒软件

解析:根据上题得知需要安装杀毒软件进行病毒查杀

案例分析四:

上述企业网络拓扑存在的网络安全隐患有(9)、(10)、(11)

答:(9)缺少针对来自局域网内部的安全防护措施

解析:只在网络出口部署了防火墙,而内部用户与服务器区未做任何安全防范措施,建议在服务器区汇聚交换机与核心交换机之间部署网络安全设备,防范来自内部局域网的网络安全隐患

(10)缺少防病毒措施

解析:从案例分析三中得知,邮件服务器未安装杀毒软件,应尽快安装杀毒软件

(11)缺少Web安全防护措施

解析:该企业对外提供Web服务,但是未做Web安全的相关防范措施,建议增加IPS或者WAF等安全设备

================================分界线==================================

案例六:

某公司的网络拓扑结构如下图所示:

网络工程师--网络安全与应用案例分析_第21张图片

案例分析一:

为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务器以及外部网络进行逻辑隔离,其网络结构如上图所示。

包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为(1)的ACL根据IP报文的(2)域进行过滤,称为(3);编号为(4)的ACL根据IP报文中的更多域对数据包进行控制,称为(5)

答:(1)2000--2999

解析:根据“编号为(4)的ACL根据IP报文中的更多域对数据包进行控制”此处应该填写基本访问控制列表的编号,为2000--2999

(2)源IP地址

解析:根据上题得知编号为2000--2999的是基本访问控制列表,基本访问控制列表使用源IP地址对数据报文进行过滤

(3)基于访问控制列表

解析:同上

(4)3000--3999

解析:根据“编号为(4)的ACL根据IP报文中的更多域对数据包进行控制”判断此处是高级访问控制列表,编号为3000--3999

(5)高级访问控制列表

解析:高级访问控制列表可基于源IP地址、目的IP地址、端口号等更多的域对数据包进行过滤

案例分析二:

根据网络拓扑图,防火墙的三个端口,端口⑥是(6)、端口⑦是(7)、端口⑧是(8)

答:(6)外部网络 Untrust

(7)非军事区 DMZ

(8)内部网络 Trust

解析:防火墙的三个接口类型Untrust口、DMZ口、Trust口

网络工程师--网络安全与应用案例分析_第22张图片

案例分析三:

公司内部IP地址分配如下:

网络工程师--网络安全与应用案例分析_第23张图片

1.为保护内网安全,防火墙的安全配置要求如下:

(1)内外网用户均可访问Web服务器,特定主机200.120.100.1可以通过Telnet访问Web服务器

(2)禁止外网用户访问财务服务器,禁止财务部门访问Internet,允许生成部门和行政部门访问Internet

根据以上需求,请按照防火墙的最小特权原则补充完整下面的表格:

网络工程师--网络安全与应用案例分析_第24张图片

2.若调换上面配置中的第3条和第4条规则的顺序,则(16)

答:(9)10.10.200.1

解析:根据“内外网用户均可访问Web服务器”这句话可以推断出此处是Web服务器的IP地址

(10)80

解析:根据后面的WWW协议可知此处是WWW的端口80

(11)200.120.100.1

解析:根据“特定主机200.120.100.1可以通过Telnet访问Web服务器”这句话可知源地址是特定主机的IP地址200.120.100.1

(12)23

解析:根据“特定主机200.120.100.1可以通过Telnet访问Web服务器”这句和协议telnet判断此处是Telnet的端口号为23

(13)192.168.10.0/23

解析:根据“允许生成部门和行政部门访问Internet”这句话得知,源地址为生产部门192.168.10.0/24和源地址为行政部门192.168.11.0/24,路由汇聚后是192.168.10.0/23

(14)允许

解析:根据上题知道是允许

(15)拒绝

解析:根据“禁止外网用户访问财务服务器,禁止财务部门访问Internet”得知,此处填拒绝

(16)内网用户将无法范围Internet

3.在上面的配置中,是否实现了“禁止外网用户访问财务服务器”这条规则?

答:实现了“禁止外网用户访问财务服务器”,因为上面配置第四条规则,默认拒绝了其他所有的流量,也包括外网用户,实现了财务服务器的安全

===============================分界线=================================

案例七:

下图是某企业的网络拓扑图,网络区域分为办公区域、服务器区域和数据区域,线上商城系统为公司提供产品在线销售服务,公司网络保障部负责员工电脑和线上商城的技术支持和保障工作

网络工程师--网络安全与应用案例分析_第25张图片

 案例分析一:

某天,公司有一台电脑感染“勒索”病毒,网络管理员应采取(1)、(2)、(3)措施

答:(1)断开已感染主机的连接

(2)为其他电脑升级系统漏洞补丁

(3)网络层禁止135/137/139/445端口的TCP连接

解析:1.勒索病毒:是一种新型的电脑病毒,主要以邮件、程序木马、网页木马的形式进行传播,这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解

2.防范措施如下:

① 立即组织内网检测,查找所有开放445 SMB服务端口的终端服务器

② 一旦发现中毒机器,立即断网处理,目前对硬盘格式化可清除病毒

③ 启用并打开Windows防火墙,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则,关闭UDP135/445/137/138/139端口,关闭网络文件共享

④ 严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备

⑤ 尽快备份电脑中的重要文件资料,建议找专业公司恢复破解 

案例分析二:

根据网络拓扑图,为提高线上商城的并发能力,公司计划增加两台服务器,三台服务器同时对外提供服务,通过在图中(4)设备上执行(5)策略,可以将外部用户的访问负载平均分配到三套服务器上

其中一台服务器的IP地址为192.168.20.5/27,请将配置代码补充完整

ifcfg-em1配置片段如下:

DEVICE=em1

TYPE=Ethernet

UUID=36878246-2a99-43b4-81df-2bd1228eea4b

ONBOOT=yes

NM_CONTROLLED=yes

BOOTPROTO=none

HWADDR=90:E1:1C:51:F8:25

IPADDR=192.168.20.5NETMASK=(6)

GATEWAY=192.168.20.30

DEFROUTE=yes IPV4_FAILURE_FATAL=yes

IPV6INIT=no

配置完成后,执行systemctl(7)network命令重启服务

答:(4)负载均衡

解析:在大型网络架构上,负载均衡有多种方式,其中负载均衡算法中的轮询法是最简单的负载均衡算法,其基本思路就是对所有服务器的节点按顺序分配,每个服务器的概率是等同的,这种情况适合于服务器的性能等指标一样的情况

(5)轮询

解析:在大型网络架构上,负载均衡有多种方式,其中负载均衡算法中的轮询法是最简单的负载均衡算法,其基本思路就是对所有服务器的节点按顺序分配,每个服务器的概率是等同的,这种情况适合于服务器的性能等指标一样的情况

(6)255.255.255.224

解析:根据题意“其中一台服务器的IP地址为192.168.20.5/27”可知另外两台服务器也和这台服务器同一网段,子网掩码是一样的,即/27为255.255.255.224

(7)restart

解析:考察Linux重启命令:restart

Linux网络相关命令如下:

# systemct1 start network

# systemct1 restart network

# systemct1 stop network

# systemct1 reload network

# systemct1 status network

案例2分析三:

网络管理员发现线上商城系统总是受到SQL注入,跨站脚本等攻击,公司计划购置(8)设备/系统,加强防范;该设备应部署在网络拓扑图中设备①~④的(9) 

答:(8)WAF (Web应用防护系统)

解析:1.SQL注入攻击是黑客对数据库进行攻击的常用手段之一,用户通过浏览器地址栏,可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据和权限,这就是所谓的SQL Injection,即SQL注入攻击

2.跨站脚本攻击:即Cross Site Script Execution(通常简写为XSS)是指关键字利用网站页面上飘动的图片或者动态视频内嵌的脚本代码等,用户点击后实施盗取资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式

3.Web应用防护系统简称WAF:通过执行一些列针对HTTP/HTTPS的安全策略来专门为Weeb应用提供保护的一款设备,可有效防范SQL注入、跨站脚本攻击等

(9)④处

解析:WAF放在企业对外提供网站服务的DMZ非军事区域或者放在数据中心服务区域,总之,决定WAF部署位置的是WEB服务器的位置,因为WEB服务器是WAF所保护的对象,部署时当然要使WAF靠近WEB服务器

案例分析四:

根据网络拓扑图,分析存储域网络采用的是(10)网络

答:(10)FC-SAN

解析:1.根据网络拓扑图所示,备份存储连接的方式,连接光纤交换机(FC交换机),所以是FC-SAN

2.SAN分为两类:

① IP-SAN:通过普通的网线来连接以太网交换机

② FC-SAN:通过光纤来连接交换机

====================================分界线==============================

案例八:

某企业网络拓扑图如下所示,无线接入区域安装若干无线AP(无线访问接入点)供内部员工移动设备连接访问互联网,所有AP均由AC(无线控制器)统一管控,请结合下图回答问题:

网络工程师--网络安全与应用案例分析_第26张图片

 案例分析一:

部分无线用户反映WLAN无法连接,网络管理员登录AC查看日志,日志显示AP-03掉线无法管理,造成该故障的可能原因包括(1)、(2)、(3)

答:(1)AP与AC连接断开

(2)AP断电

(3)由于自动升级造成AC、AP版本不匹配

解析:根据文中“日志显示AP-03掉线无法管理”掉线原因通常为:AP停电你、AP被阻挡与AC的连接断开、AP故障损毁或版本不兼容

案例分析二:

网管在日常巡检中发现,数据备份速度特别慢,经排查发现:

1.交换机和服务器均为千兆接口,接口设置为自协商状态

2.连接服务器的交换机接口当前速率为100M,服务器接口当前的速率为1000M

造成故障的原因包括:(4)、(5)

处理措施包括:(6)、(7)

答:(4)网络适配器(网卡)故障

解析:物理链路中断会造成无法通讯,所以此处不能填写物理链路问题,备份软件设置一般设置好就不会再改动,也不会影响低层的传输速率,可能是网络适配器(网卡)质量问题或者过热,不能自动协商成1000兆,造成两端网速为100兆,进而导致数据备份速度特别慢

(5)网线质量问题

解析:物理链路中断会造成无法通讯,所以此处不能填写物理链路问题,备份软件设置一般设置好就不会再改动,也不会影响低层的传输速率,可能是网线质量有问题,导致网络丢包影响速率,进而导致数据备份速度特别慢

(6)更换网络适配器(网卡)

解析:根据上面问题(4)采取的措施为更换网络适配器(网卡)

(7)检查传输介质

解析:根据上面问题(5)采取的措施为检查或者更换传输介质

案例分析三:

常见的无线网络安全隐患有IP地址欺骗、数据泄露(8)、(9)、网络通信被窃听等;为保护核心业务数据区域的安全,网络管理员在设备①处部署(10)实现核心业务区域边界防护,在设备②处部署(11)实现无线用户的上网行为管控;在设备③处部署(12)分析检测网络中的入侵行为;为加强用户安全认证,配置基于(13)的RASIUS认证

答:(8)非授权用户接入

解析:常见的无线网络安全隐患有IP地址欺骗、数据泄露、非授权用户接入、非法入侵、网络通信被窃听等,其中端口扫描属于操作系统的隐患,sql注入属于Web网页安全隐患

(9)非法入侵

解析:见上题

(10)防火墙

解析:防火墙作用主要是借助硬件和软件的作用在内外网之间产生一种保护屏障,从而实现对计算机不安全网络因素的阻断,部署在核心业务区域可以有效地保护服务器,阻挡其他区域的安全威胁

(11)上网行为管理设备

解析:上网行为管理是指帮助互联网用户控制和管理对互联网的使用,其包括对网页访问过滤、网络应用控制、带宽流量控制、信息收发审计、用户行为分析、阻止非法用户访问等

(12)入侵检测系统(IDS)

解析:入侵检测系统(IDS)一般并联旁路部署在核心设备上,可以达到对网络中异常行为和攻击的识别,对特定或整个网络区域的资源进行保护,若将IDS部署在位置③,则能够监视针对内网关键系统、服务和资源的攻击

(13)IEEE802.1x

解析:RADIUS协议得到了广泛使用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(基于拨号用户的虚拟专用拨号王业务)、移动电话预付费等业务,IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用基于RADIUS协议

案例分析四:

1.常见存储连接方式包括直连式存储(DAS)、网络接入存储(NAS)、存储区域网络(SAN)等,在网络拓扑图中,文件共享存储的连接方式为(14),备份存储的连接方式为(15)

答:(14)NAS

解析:根据网络拓扑图,文件共享存储的连接方式,文件共享存储是有一个单独的系统,不是跟服务器连在一起的,所以是NAS(多用于文件共享场景)

下面是NAS和SAN的区别:

1.NAS:存储映射到使用端 自带文件系统 ,对于使用者来说,NAS就像是一个网盘,多用于文件共享的场景

2.SAN:存储映射到使用端 不带文件系统,对于使用这来说,SAN就像是一个裸机,多用于数据库场景

(15)FC-SAN

解析:根据网络拓扑图,由于连接的是FC光纤交换机,所以必定是SAN

SAN分为下面两类:

1.IP-SAN:通过普通网线来连接以太网交换机

2.FC-SAN:通过光纤来连接FC交换机

2.存储系统的RAID故障恢复机制为数据的可靠保障,请简要说明RAID2.0较传统的RAID在重构方面有哪些改进?

答:RAID2.0交传统RAID的在重构方面的改进有:

1.快速重构

2.自动负载均衡

3.系统性能提升

4.自愈合

解析:华为RAID2.0采用底层硬盘管理和上层资源管理两层虚拟化管理模式,在系统内部,每个硬盘空间被划分成一个个小粒度的数据块,基于数据块来构建RAID组,使得数据均匀分布到存储池的所有硬盘上,同时,以数据块为单元来进行资源管理,大大提高了资源管理的效率

RAID2.0交传统RAID的在重构方面的改进有:

1.快速重构:存储池内所有硬盘参与重构,相对应传统RAID重构速度大幅度提升

2.自动负载均衡:RAID2.0使得各硬盘均衡分担负载,不再有热点硬盘,提升了系统的性能和硬盘可靠性

3.系统性能提升:LUN基于分快组建,可以不受传统RAID硬盘数量的限制分布在更多的物理硬盘上,因而系统性能随硬盘IP带宽增加得以有效提升

4.自愈合:当出现硬盘预警时,无需热备盘,无需立即更换故障盘,系统可快速重构,实现自愈合

===============================分界线===============================

案例九:

下图为公司和公司总部的部分网络拓扑,A公司员工办公区域DHCP分配的IP段为10.0.36.1/24,业务服务器IP地址为10.0.35.1,备份服务器IP地址为10.0.35.2,公司总部备份服务器IP地址为10.0.86.200

网络工程师--网络安全与应用案例分析_第27张图片

案例分析一:

网络威胁会导致非授权访问、信息泄露、数据被破坏等网络安全事件发生,其常见的网络威胁包括窃听、拒绝服务、病毒、木马、(1)等,常见的网络安全防范措施包括访问控制、审计、身份认证、数字签名、(2)、包过滤和检测等

答:(1)数据完整性破坏

解析:常见的网络威胁有窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用、陷门好特洛伊木马、病毒、诽谤

(2)数据加密

解析:网络安全措施住院包括访问控制、审计、身份认证、数字签名、数据加密、包过滤和检测等

案例分析二:

某天,网络管理员在入侵检测设备上发现下图所示的网络威胁日志,从该日志可判断网络威胁为(3),网络管理员应采取(4)、(5)等合理有效的措施进行处理

网络工程师--网络安全与应用案例分析_第28张图片

答:(3)木马

解析:根据日志得知“C&C通信”全程是Command and Control Server,翻译过来就是命令和控制服务器,这是一种使用邮件实现C&C通信的新型木马Cannon,以电子邮件的方式与C&C服务器进行通信,向特定邮箱发送电子邮件,盗取用户资料等

(4)对源主机安装杀毒软件并查杀

解析:当出现病毒木马时,首先要做的就是对源主机安装杀毒软件进行查杀,断网全面查杀病毒木马,必要时全盘格式化重做系统,从源头上切断木马;

其次是将木马使用的C&C通信使用的所有网址链接加入防火墙或上网行为管理设备的黑名单,杜绝木马和内网的链接,确保内网的安全

(5)将上图所示的URL加入上网行为管理设备黑名单

解析:参照上题解析

案例分析三:

A公司为保障数据安全,同总部建立IPsecVPN隧道,定期通过A公司备份服务器向公司总部备份数据,仅允许A公司的备份服务器、业务服务器和公司总部的备份服务器通讯,下图为A公司防火墙创建VPN隧道第二阶段协商的配置页面,请完善配置,其中,本地子网:(6)、本地掩码:(7)、对方子网:(8)、对方掩码:(9)

网络工程师--网络安全与应用案例分析_第29张图片

答:(6)10.0.35.0

解析:通过题意可知,本地子网是A公司的源地址,即A公司备份服务器的地址网段即10.0.35.0

(7)255.255.255.252

解析:根据题意“仅允许A公司的备份服务器、业务服务器和公司总部的备份服务器通讯”A公司源地址只有两个,子网掩码应该为255.255.255.252(11111111.11111111.11111111.11111100 = 255.255.255.252,包含两个地址)

(8)10.0186.200

解析:总公司目标地址只有1个,对方子网就是总部备份服务器的IP地址即10.0186.200

(9)255.255.255.255

解析:总公司目标地址只有1个,子网掩码应填写255.255.255.255(全1表示只有一个地址)

案例分析四:

根据业务发展,购置了一套存储容量为30TB的存储系统,给公司内部员工每人配备2TB的网盘,存储管理员预估近一年内,员工对网盘的平均使用空间不超过200GB,为节省成本,启用了该存储系统的自动精简(Thin provisioning不会一次性全部分配存储资源,当存储空间不够时,系统会根据实际所需要的容量,从存储池中多次少量的扩展存储空间)配置功能,为100个员工提供网盘服务

请简要叙述存储管理员使用自动精简配置的优点和存在的风险

答:优点:1.自动精简配置软件无需提前分配用不到的磁盘容量,所有存储利用率更高

2.扩展容量快速

3.减低存储的成本

风险:1.实际容量与虚拟容量之间的冲突

2.传统的资源管理器与自动精简配置块级别管理技术上的冲突

3.并不是所有的文件系统都能够回收已经删除了的存储空间

解析:1.自动精简配置是一项新的容量分配技术,不会一次性的划分过大的空间给某项应用,而是根据该项应用实际所需要的容量,多次的少量的分配给应用程序,当该项应用所产生的数据增长,分配的容量空间已不够的时候,系统会再次从后端存储池中补充分配一部分存储空间

2.优点:自动精简配置软件无需提前分配用不到的磁盘容量,所有存储利用率更高;扩展容量快;减低存储的成本

3.风险:实际容量与虚拟容量之间的冲突;传统的资源管理器与自动精简配置块级别管理技术上的冲突;并不是所有的文件系统都能够回收已经删除了的存储空间

=================================分界线===========================

案例十:

某公司数据中心拓扑图如下图所示,两台存储设备用于存储关系型数据库的结构化数据和文档、音视频等非结构化文档,规划采用的RAID组合方式如下图所示:

网络工程师--网络安全与应用案例分析_第30张图片

网络工程师--网络安全与应用案例分析_第31张图片

案例分析一:

上图所示左边的RAID方式是(1),其中磁盘0和磁盘1的RAID组成方式是(2),当磁盘1故障后,磁盘(3)故障不会造成数据丢失,磁盘(4)故障将会造成数据丢失,上述右图所示RAID方式是(5),当磁盘1故障后,至少再有(6)快磁盘故障,就会造成数据丢失

答:(1)RAID10 (2)RAID1

解析:RAID(独立磁盘冗余阵列),实际应用领域中使用最多的RAID等级是RAID0、RAID3、RAID5、RAID6、RAID10,其中RAID10又称为RAID1+0,是一个RAID1与RAID0的组合体,先进行RAID1镜像,再进行条带存放RAID0

(3)磁盘2和磁盘3其中一个 (4)磁盘0

解析:RAID10也称为镜像阵列条带,RAID10需要4+2*N个磁盘驱动器(N≥0),可以获得更好的可靠性,因为及时两个物理驱动器发生故障,每个阵列中都有一个,数据仍然可以得到保护,当磁盘1故障后另一组的磁盘2或3其中一块发生故障不会造成数据丢失,同一组的磁盘0同时故障将会造成数据丢失

(5)RAID5(6)1

解析:RAID5数据以块为单位分布到各个磁盘上,RAID5不对数据进行备份,而是吧数据和与其相对应的奇偶校验信息存储答组成的RAID5的各个磁盘上,并且奇偶校验和相对应的数据分布存储不同的磁盘上,当RAID5的1个磁盘数据损坏后,利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据,在此基础上如果再损坏1个就会造成数据丢失

案例分析二:

上图左侧的RAID方式的磁盘利用率是(7)%,右侧的RAID的磁盘利用率是(8)%。

根据上述两种RAID组合方式的特性,结合业务需求,图(9)所示RAID适合存储安全要求高、小数量读写的关系型数据库,图(10)所示RAID适合存储空间利用率要求高,大文件存储的非结构化文档

答:(7)50%  (8)75%

解析:RAID10的磁盘利用率是50%,因为需要做完全备份;RAID5的磁盘利用率是(n-1)/n,磁盘的数量越多,RAID5的磁盘利用率越高

(9)RAID10 (10)RAID5

解析:RAID10的磁盘利用率是50%,因为需要做完全备份(适用于要求存储数据流小,安全性要求高的数据存储领域);RAID5的磁盘利用率是(n-1)/n,磁盘的数量越多,RAID5的磁盘利用率越高(适合存储空间利用率要求高、大文件存储的非结构化文档)

案例分析三:

该公司的Web系统频繁遭受DDoS和其他网络攻击,造成服务中断、数据泄露,下图所示为服务器日志片段,该攻击为(11),针对该攻击行为,可部署(12)设备进行防护,针对DDoS(分布式拒绝服务攻击),可采用(13)、(14)措施,保障Web系统正常对外提供服务 

网络工程师--网络安全与应用案例分析_第32张图片

答:(11)SQL注入攻击

解析:SQL注入攻击是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没区别,所以市面上的防火墙都不会对SQL注入发出警报,一般来说,SQL注入一般存在于如下HTTP://xxx/abc.asp?id=xx等带有参数的ASP动态网页中

(12)Web应用防火墙WAF

解析:Web应用防护系统(也称为:网站应用级入侵防御系统,英文简称WAF),与传统防火墙不同,WAF工作在应用层,对来自Web应用程序客户端的各类请求内容检测和验证,对非法的请求予以阻断,从而对各类网站站点进行有效保护

(13)购买流量清洗服务  (14)部署流量清洗设备

解析:DDoS(分布式拒绝服务攻击)中的流量清洗服务是运营商将全部的网络流量区分出正常的流量和恶意的流量,将恶意的流量进行阻断和丢弃,而只将正常的流量回源给源服务器,作为企业可以向运营商购买流量清洗服务或部署流量清洗设备

================================分界线================================

案例十一:

某公司计划在会议室部署无线网络,供内部员工和外来访客访问互联网使用,下图为拓扑图片断:

网络工程师--网络安全与应用案例分析_第33张图片

案例分析一:

在①处部署(1)设备,实现各会议室的无线网络统一管理、无缝漫游;

在②处部署(2)设备,实现内部用户使用用户名和密码认证登录,外来访客通过扫码二维码或者手机短信验证登录无线网络;

在③处部署(3)设备,实现无线AP的接入和供电;

大型会议室部署(4)设备,实现高密度人群的无线访问;

在小型会议室借助86先和部署(5)设备,实现无线访问

答:(1)无线控制器AC

解析:无线控制器AC是一种网络设备,用来集中化控制无线AP,是一个无线网络的核心,负责管理无线网络中的所有无线AP,对AP管理包括:下发配置、修改相关配置参数,射频智能管理、接人安全控制、强大的漫游功能等

(2)无线认证系统

解析:无线认证系统通过人接入认证、数据加密,安全策略等多个角度进行安全一体化安全认证,充分保证无线数据通信的安全性。目前比较主流的Fortal认证:用户访问网站时,需要输入用户名和密码进行强制身份验证

(3)POE交换

解析:POE指的是支持以太网供电的交换机。在现有的布线基础架构不作任何改动的情况下,在为
一些基于IP的姿端〈如IP电话机,无线局域网接入点AP,网络摄像机等〉传输数据信号的同时,还能为此类设备提供直流电的技术

(4)高密吸顶式AP

解析:大型会议室一般有几百平方到一千多平方左右,容纳几百人,要求做到大型会议室WLAN信号全覆盖,而且并发连接数要满足在几百个左右,从发射功率大和覆盖范围广来看需要多个高密AP来覆盖整个会议室

(5)面板式AP

解析:面板AP是一款借助我们平常墙上的86式的电插座上,带有路由功能,中继,WDS、AP功能等,比较适合家庭,小型会议室、酒店房间,KTV包间,公寓等小面积场所使用。安装方便,节电节能

案例分析二:

在核心交换机上配置(6),可以实现无线网络和办公网络、服务器区网络逻辑隔离;

在④处部署(7)设备,可以对所有用户的互联网访问进行审计和控制,阻止并记录非法访问;

在⑤处部署(8)设备,实现服务器区域的边界防护,防范来自无线区域和办公区域的安全威胁;

在路由器上配置基于(9)地址的策略路由,实现无线区域用户通过运营商1访问互联网,办公区域和服务器区域通过运营商2访问互联网

答:(6)VLAN

解析:VLAN是对连接到核心交换机上的网络用户进行逻辑分段,可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。划分成不同的逻辑子网,每个逻辑子网就是一个VLAN,每个逻辑子网之间形成逻辑隔离

(7)上网行为管理设备

解析:上网行为管理是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制,带宽流量管理、信息收发审计、用户行为分析,阻止非法用户访问等

(8)防火墙

解析:防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。部署在服务器区城可以有效地保护服务器,阳挡其他区域的安全威胁

(9)源IP

解析:策略路由是一种更加灵活的数据包路由转发机制。可以使数据包按照用户指定的策略进行转
发。例如,—个策略可以指定从某个网络发出的数据包只能转发到某个特定的接口。配置基于源地址的策略路由可以,实现,不同的源地址访向不同的运营商

案例分析三:

在上图所示的存储系统由9块4TB的磁盘组成的一个RAID5级别的RAID组,并配置1块全局热备盘,则该存储系统最多可坏掉(10)块磁盘而不丢失数据,实际可用容量为(11)TB(每块磁盘的实际可用容量按照4TB计算),该存储网络为(12)网络

答:(10)2

解析:RAID5把数据和相对应的奇偶校验信息行储到组成RAID5的各个磁盘上,其中任意N-1块磁盘上都存储完整的数据,也就是说有相当于1块磁盘容量的空间用于存储奇偶校验信息。又因为增加了1块热备盘,因此当RAID5的2个磁盘发生损坏后,不会影响数据的完整性,从而保证了数据安全

(11)32

解析:RAID5相当于拿出1块磁盘容量的空间用于存储奇偶校验信息。所以实际可用的只有9-1=8块
磁盘空间,也就是8×4=32T

(12)IP-SAN

解析:图中将存储设备连接到现有的网络交换机上来提供数据和文件服务。应填该是IP-SAN

你可能感兴趣的:(网络工程师,运维,学习,网络工程师,网工,运维,网络,学习笔记)