网络规划师-第9章网络安全解决方案与病毒防护.docx-得力文库

资源描述

《网络规划师-第9章网络安全解决方案与病毒防护.docx》由会员分享，可在线阅读，更多相关《网络规划师-第9章网络安全解决方案与病毒防护.docx（84页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第 9 章：网络安全解决方案和病毒防护试题1(2016年下半年试题3)阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】图3-1是某互联网服务企业网络拓扑，该企业主要对外提供网站消息发布、在线销售管理服务，网站和在线销售管理服务系统采用开发，中间件使用，采用访问控制、地址转换、异常流量检测、非法访问阻断等网络安全措施。【问题1】（6分）根据网络安全防范需求，需在不同位置部署不同的安全设备，进行不同的安全防范，为上图中的安全设备选择相应的网络安全设备。在安全设备1处部署(1)；在安全设备2处部署(2)；在安全设备3处部署(3)。(1)(3)备选答案：（3）A.防火墙 B入

2、侵检测系统() C入侵防御系统()【问题2】（6分，多选题）在网络中需要加入如下安全防范措施：（4）A.访问控制 B C上网行为审计 D包检测分析 E数据库审计 F攻击检测和阻止 G服务器负载均衡 H异常流量阻断 I漏洞扫描J应用防护其中，在防火墙上可部署的防范措施有 (4)；在上可部署的防范措施有(5)；在口S上可部署的防范措施有(6)。【问题3】（5分）结合上述拓扑，请简要说明入侵防御系统()的不足和缺点。【问题4】（8分）该企避网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告，报告内容包括： 1利用反序列化漏洞，可以上传文件到服务器。 2可以获取到数据库链接信息。

3、3可以链接数据库，查看系统表和用户表，获取到系统管理员登录帐号和密码信息，其中登录密码为明文存储。 4使用系统管理员帐号登录销售管理服务系统后，可以操作系统的所有功能模块。针对上述存在的多处安全漏洞，提出相应的改进措施。试题分析问题1：ABC试题分析:内网用户去往外网需要部署，安全设备1部署防火墙。看图安全设备2旁挂，部署对网络流量进行检测不影响网络。在安全设备3处部署可以对服务器进行防护。问题2：防火墙可部署A、B、G，可部署C、D、E，可部署F、H、I、J。试题分析：防火墙需要对内网用户以供访问外网，对于域间做访问控制，外网访问服务器部署负载均衡。是入侵检测系统，对网络中的流量做审计与分

4、析功能。是入侵防御系统，部署服务器侧针对攻击检测阻止、异常流量阻断、漏洞扫描、应用防护。问题3：试题分析：访问服务器的流量都要经过，是入侵防御系统，会对数据包做重组，会对数据的传输层，网络层，应用层中各字段做分析并与签名库做比对，如果没有问题，才转发出去。规划在这个位置会加大网络的延迟。同时，网络中部署一个会存在有单点故障。问题4：1、针对此安全及时更新补丁，采取相应措施防止反序列化漏洞2、软件代码设计严谨，避免不安全代码执行3、数据库相关安全设置，帐号密码采用密文等加密手段4、各个系统的登录帐号密码采取不同的字符。试题分析：反序列划漏洞：产生原因是类在执行反序列化时，并不会对自身的输入进行检

5、查，这就说明恶意攻击者可能也可以构建特定的输入，在类反序列化之后会产生非正常结果，利用这一方法就可以实现远程执行任意代码。现在新的版本进行了安全处理，对这些不安全的类的序列化支持增加了开关，默认为关闭状态。另外也可以删除特定文件防止此漏洞。上传恶意代码导致获取数据库链接信息，针对恶意代码做相应处理防止执行。对于数据库可以进行相关安全设置，帐号密码采用密文等加密手段，各个系统的登录帐号密码采取不同的字符。试题答案（3）问题1：（共6分）（1）A（2）B（3）C问题2：（共6分）（4）A、B、G（5）C、D、E（6）F、H、I、J问题3：（共5分）访问服务器的流量都要经过，是入侵防御系统，会对数

6、据包做重组，会对数据的传输层，网络层，应用层中各字段做分析并与签名库做比对，如果没有问题，才转发出去。规划在这个位置会加大网络的延迟。同时，网络中部署一个会存在有单点故障。问题4：（共8分）1、针对此安全及时更新补丁，采取相应措施防止反序列化漏洞2、软件代码设计严谨，避免不安全代码执行3、数据库相关安全设置，帐号密码采用密文等加密手段4、各个系统的登录帐号密码采取不同的字符。试题2(2016年下半年试题41)某计算机遭到病毒的攻击，为临时解决故障，可将网关地址与其绑定，正确的命令是（）。（41）A 192.168.16.254 00-2200-22 B 192.168.16.254 00-2

7、200-22 C 192.168.16.254 00-2200-22 D 192.168.16.254 00-2200-22试题分析试题答案（41）D试题3(2016年下半年试题42-43)数字签名首先需要生成消息摘要，然后发送方用自己的私钥对报文摘要进行加密，接收方用发送方的公钥验证真伪。生成消息摘要的算法为( ) ，对摘要进行加密的算法为( )。（42）A B3 C5 D（43）A B3 C5 D试题分析数字签名首先需要生成消息摘要，然后发送方用自己的私钥对报文摘要进行加密，接收方用发送方的公钥验证真伪。生成消息摘要的算法为5或者，对摘要进行加密的算法为公钥加密算法。试题答案（42）C（4

8、3）D试题4(2016年下半年试题44)加密算法的密钥长度为56位，三重的密钥长度为是( )位。（44）A168 B128 C112 D56试题分析3算法：密码学中，3是三重数据加密算法通称。它相当于是对每个数据块应用三次加密算法，其中第一次和第三次是相同的秘钥。由于计算机运算能力的增强，原版密码的密钥长度变得容易被暴力破解；3即是设计用来提供一种相对简单的方法，即通过增加的密钥长度来避免类似的攻击，而不是设计一种全新的块密码算法。试题答案（44）C试题5(2016年下半年试题45)提供的是( )安全。（45）A物理层 B网络层C传输层 D应用层试题分析( )，是一个基于公钥加密体系的邮件加密

9、软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件没有被篡改。它可以提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密匙。试题答案（45）D试题6(2016年下半年试题46)流量分析属于（）方式。（46）A被动攻击 B主动攻击 C物理攻击 D分发攻击试题分析计算机网络上的通信面临以下四种威胁：（1）截获：攻击者从网络上窃听他人的通信内容。（2）中断：攻击者有意中断他人在网络上的通信。（3）篡改：攻击者故意篡改网络中传送的报文。（4）伪造：攻击者伪造信息在网络上的传送。以上的四种威胁可以划分为两大类，即被动攻

10、击和主动攻击。在上述情况中，截获信息的攻击属于被动攻击，而中断、篡改和伪造信息的攻击称为主动攻击。试题答案（46）A试题7(2016年下半年试题47)明文为P，密文为C，密钥为K，生成的密钥流为，若用流加密算法，（）是正确的。（47）A B C D(K)试题分析明文为P，密文为C，密钥为K，生成的密钥流为，若用流加密算法是正确的。试题答案（47）A试题8(2016年下半年试题53)某网络中1无法访问域名为的网站，而其他主机访问正常，在1上执行命令时有如下所示的信息： C: 202.117.112.36 32 ： 202.117.112.36: . 202.117.112.36 . 202.1

11、17.1 12.36 . 202.1 17.112.36: . 202.117.112.36: 44(0% ), :0, 0, 0造成该现象可能的原因是( )。（53）A服务器故障 B1上协议故障 C遭受了拦截 D1上属性参数设置错误试题分析202.117.112.36，说明服务器、1上协议没有故障，1上属性参数没有设置错误，最大可能就是数据包受到了拦截。试题答案（53）C试题9(2016年下半年试题55-58)某企业采用防火墙保护内部网络安全。与外网的连接丢包严重，网络延迟高，且故障持续时间有2周左右。技术人员采用如下步骤进行故障检测：1登录防火墙，检查（），发现使用率较低，一切正常。2查

12、看网络内各设备的会话数和吞吐量，发现只有一台设备异常，连接数有7万多，而同期其他类似设备都没有超过千次。3进行（）操作后，故障现象消失，用户接入正常。可以初步判断，产生故障的原因不可能是（），排除故障的方法是在防火墙上( ) 。（55）A.内存及使用情况 B进入内网报文数量 C规则执行情况 D进入报文数量（56）A.断开防火墙网络 B重启防火墙 C断开异常设备 D重启异常设备（57）A.故障设备遭受攻击 B故障设备遭受木马攻击 C故障设备感染病毒 D故障设备遭受攻击（58）A.增加访问控制策略 B恢复备份配置 C对防火墙初始化 D升级防火墙软件版本试题分析某企业采用防火墙保护内部网络安全

13、。与外网的连接丢包严重，网络延迟高，且故障持续时间有2周左右。技术人员采用如下步骤进行故障检测：1登录防火墙，检查内存及使用情况，发现使用率较低，一切正常。2查看网络内各设备的会话数和吞吐量，发现只有一台设备异常，连接数有7万多，而同期其他类似设备都没有超过千次。3进行断开异常设备操作后，故障现象消失，用户接入正常。可以初步判断，产生故障的原因不可能是故障设备遭受攻击，排除故障的方法是在防火墙上增加访问控制策略。试题答案（55）A（56）C（57）D（58）A试题10(2015年下半年试题1) 阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某企业网络拓扑如图1-1

14、所示。【问题1】（6分）根据图1-1，对该网络主要设备清单表1-1所示内容补充完整。【问题2】（8分） 1网络中（1）设备连接的方式是什么？依据（2）设备性能及双链路连接，计算两者之间的最大宽带。 2交换机组F的连接方式是什么？采用这种连接方式的好处是什么？【问题3】（6分）该网络拓扑中连接到各分部可采用租赁的、、线路等方式，请简要介绍这几种连接方式。【问题4】（5分）若考虑到成本问题，对其中一条连接用的方式，在分部路由器上做下列配置：() 1() () 5() ()# 6 该命令片段配置的是(7)(7)备选答案： A、定义 B、策略 C、数据 D、路由映射在该配置中，地址是该企业总

15、部地址还是分布地址？试题分析【问题l】（6分）根据图中的拓扑及网络分层的设计思想，就能解答出该题，题意中已给出6509设备是核心层设备，连接核心设备的C下面再连接了两台交换机，因此可以推断出该设备是汇聚层交换机。D是与分部路由器相连的设备，根据题意和设备型号可以推断出是路由器。E根据拓扑图及图标标识就可以推断出是防火墙。（1）C （2）汇聚交换机（3）D（4）路由器（5）E（6）防火墙【问题2】（8分）1，根据图中标识可以看出是采用链路聚合，也叫链路捆绑。在两台设备间采用链路聚合后，在不考虑协议开销的前题下，其带宽是原来单链路带宽的2倍。2，图中F组交换机先是串接在一起，最后上、下两个设备通

16、过一条链路级联起来，该连接方式即是菊花式堆叠，该堆叠不但方便了对设备的管理，提供链路冗余，还提升了网络的可靠性，为保障该菊花式堆叠与上行设备的可靠性，该堆叠采用了双上行接入方式。【问题3】（6分）三种技术都是广域网的连接方式。：专线连接方式，点对点通信，用户独占一条永久的、速率固定的专用线路，并独享带宽，延迟小，成本高，线路利用率低。（帧中继）：分组交换技术的典型代表，点对多点通信，将传输的信息划分为一定长度的分组，采用动态复用技术来传送几个分组，虽然在任意时刻线路总是被某一个分组独占，但线路的带宽在统计上得到复用，有效提高了线路的利用率，由于要对数据进行分组，因此该技术相比专线方式延迟大，

17、但成本低。：是电路交换技术的典型代表，延迟小，点对点通信，线路利用率低。【问题4】（5分）() 1 （建立协商策略并配置协商参数）() （设置加密所需要的算法为）() 5 （设置密钥认证所用的算法）() （设置预先共享的密钥来验证身份）()# 6 （设置对等体的验证方法），配置，先要明确要保护什么数据，通过来实现，其次配置配置策略协商，再次配置加密映射并安全关联，最后应用到端口才能生效。既然是对等体，肯定就是对方的地址，题目已告诉是在分部的设备上作配置，那么其对等体的地址就是总部的地址。试题答案（1）【问题1】（6分）（1）C （2）汇聚交换机（3）D（4）路由器（5）E（6）防火墙【问题2】

18、（8分）链路聚合或者链路捆绑在两台设备间采用链路聚合后，在不考虑协议开销的前题下，其带宽是原来单链路带宽的2倍。双链路上行和菊花型堆叠，增加了冗余，提高网络可靠性与健壮性。【问题3】（6分）：专线连接方式，点对点通信，用户独占一条永久的、速率固定的专用线路，并独享带宽，延迟小，成本高，线路利用率低。：采用分组交换技术，点对多点通信，将传输的信息划分为一定长度的分组，采用动态复用技术来传送几个分组，虽然在任意时刻线路总是被某一个分组独占，但线路的带宽在统计上得到复用，有效提高了线路的利用率，由于要对数据进行分组，因此该技术相比专线方式延迟大，但成本低。：是电路交换技术的典型代表，延迟小，点

19、对点通信，线路利用率低。【问题4】（5分）（7）B 总部地址试题11(2015年下半年试题3) 阅读以下说明，回答问题l至问题表；将解答填入答题纸对应的解答栏内。【说明】某学校拥有内部数据库服务器l台，邮件服务器1台，服务期1台，服务期1台，流媒体服务期1台，服务期1台，要求为所有的学生宿舍提供有限网络接入服务，要求为所有的学生宿舍提供有线网络接入服务，对外提供服务，邮件服务，流媒体服务，内部主机和其他服务期对外不可见。【问题1】（5分）请划分防火墙的安全区域，说明每个区域的安全级别，指出各台服务器所处的安全区域。【问题2】（5分）请按照你的思路为该校进行服务器和防火墙部署设计，对该校网

20、络进行规划，画出网络拓扑结构图。【问题3】（5分）学校在原有校园网络基础上进行了扩建，采用。服务器动态分配口地址口运行一段时间后，网络时常出现连接不稳定、用户所使用的口地址被“莫名其妙”修改、无法访问校园网的现象。经检测发现网络中出现多个未授权地址。请分析上述现象及遭受攻击的原理，该如何防范？【问题4】（6分）学生宿舍区经常使用的服务有、即时通信、邮件、等，同时也因视频流寻致大量的P2P流量，为了保障该区域中各项服务均能正常使用，应采用何种设备合理分配每种应用的带宽？该设备部署在学校网络中的什么位置？一般采用何种方式接入网络？【问题5】（4分）当前防火墙中，大多都集成了服务，提供防火墙

21、与口S的联动。区别于，主要增加了什么功能？通常采用何种方式接入网络？试题分析【问题l】（5分）该题是考大家对防火墙的几大区域熟练程度。防火墙分为三大区域，（1）内部网络（2）外部网络（3）区域（非军事化区）内部网络区域的安全级别最高，可信的、重点保护的区域。包括内部的数据库服务器、内部的服务器等等。外部网络：安全级别最低，不可信的、需要防备的区域。区域（非军事化区）：安全级别中等，通过该区域对外开放一些特定的服务与应用，受一定的保护。包括服务器、服务器、邮件服务器、流媒体服务器。【问题2】（5分）略。【问题3】（5分）出现该现象是有用户自己私自架设了服务器，从而使用获取的地址不是真正服务器

22、给它分配的，使用户不能正常访问校园网。解决办法根据问题三：用户无法访问校园网是因为获取的不是授权的服务器分配给它的。解决该问题从服务器给用户分配的原理着手。服务器给用户分配时会发送和报文。如果让交换机端口只接收授权服务器发过来的报文，不接收非授权服务器发过来的这些报文，该问题就得以解决。【问题4】（6分）根据试题的题意，就可以看出需要对业务进行流量控制，保障重要业务数据优先传送，因此需要流控设备来保障重要的业务数据合理的带宽资源。流控设备一般采用串接的方式接入到网络。【问题5】（4分）入侵检测系统并行接入网络，只能对全网信息的收集、分析，不能防御。而入侵防御系统主要用于对数据的深度分析，可

23、以对数据来进行安全策略的实施，比如说对黑客行为的阻击。部署以串接的方式部署于主干线路上，办公网中，至少需要在以下区域部署，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。试题答案（3）【问题1】（5分）划分三个不同安全级别的区域。（1）内部网络（2）外部网络（3）区域（非军事化区）内部网络区域的安全级别最高，可信的、重点保护的区域。包括内部的数据库服务器、内部的服务器、服务器。外部网络：安全级别最低，不可信的、需要防备的区域。区域（非军事化区）：安全级别中等，通过该区域对外开放一些特定的服务与应用，受一定的保护。包括服务器、邮件服务器、流媒体服务器。【问题

24、2】（5分）【问题3】（5分）用户无法访问校园网是因为获取的不是授权的服务器分配给它的。解决该问题从服务器给用户分配的原理着手。服务器给用户分配时会发送和报文。如果让交换机端口只接收授权服务器发过来的报文，其它端口不接收这些报文，该问题就得以解决。防范方法：在交换机上启用功能。通过建立和维护绑定表并过滤不可信任的信息来防止欺骗。【问题4】（6分）使用流量控制设备，为重要的业务提供更好的带宽资源。将该设备部署在与互联网接入位置，针对各类业务流量进行流量模型定义即可。可直接使用串行方式接入网络中。如考虑到流量模型较大，可能应流量控制设备处理能力问题，使其成为网络瓶颈，可考虑在互联网接入位

25、置采用引流并行方式接入，来保障网络的健壮性。【问题5】（4分）入侵检测系统通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统主要用于对数据的深度分析及安全策略的实施，比如说对黑客行为的阻击。部署以串接的方式部署于主干线路上，办公网中，至少需要在以下区域部署，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。试题12(2015年下半年试题14-15)下面4组协议中，属于第二层隧道协议的是(14)，第二层隧道协议中必须要求支持的是(15)。(14)A、和L2 B、和 C、L2和 D、L2和(15)

26、A、 B、 C、L2 D、试题分析与是三层的隧道协议，是一种通用的隧道封装协议，支持对数据加密、验证等等。（），即点对点隧道协议。该协议是在协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网（），可以通过密码验证协议（）、可扩展认证协议（）等方法增强安全性。点对点隧道协议（）是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。L2是一种工业标准的隧道协议，功能大致和协议类似，要求网络为网络，L2要求面向数据包的点对点连接；使用单一隧道，L2使用多隧道；L2提供包头压缩、隧道验证，而不支持。L2 是一个数据链路层协议。根据试题题意：比较一下和L2，和L2都属于第二层隧道协议，使

27、用协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：要求互联网络为网络。L2只要求隧道媒介提供面向数据包的点对点的连接。L2可以在（使用），帧中继永久虚拟电路（）、X.25虚拟电路（）或网络上使用试题答案（14）A（15）B试题13(2015年下半年试题21-22)服务期（）是一种处理用户访问请求的框架协议，它主要功能有3个，但是不包括(21)，通常用来实现服务的协议是(22)。(21)A、身份认证 B、访问授权 C、数据加密 D、计费(22)A、 B、 C、 D、试题分析是验证、授权和记账（、）三个英文单词的简称。根据试题题

28、意，空1选C。同服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 ()”。根据试题题意，空2选B。试题答案（21）C（22）B试题14(2015年下半年试题33-34)发送报文的过程中对消息M的处理包括生成数字指纹、生成数字签名、加密数字签名和加密报文4个步骤，其中生成数字指纹采用的算法是(33)，加密数字签名采用的算法是(34)。(33)A、5 B、3 C、 D、2(34)A、5 B、 C、3 D、1试题分析目前的数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个128位的散列值（又称报文摘要，数字指纹）。发送方用

29、自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值，接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。加密数字签名用的是对称加密算法。试题答案（33）A（34）C试题15(2015年下半年试题41-42)按照算法，取两个最大素数p和q，*q，令(n)=(1)*(1)，取与(n)互质的数e，1 (n)，如果用M表示消息，用C表示密文，下面(41)是加密过程，(42)

30、是解密过程。(41)A、 n B、 d C、 (n) D、 (n)(42)A、 e B、 n C、 (n) D、 (n)试题分析公钥加密公式： c ( n)也可以写为c = n私钥解密公式 m ( n)也可以写为m = n试题答案（41）A（42）B试题16(2015年下半年试题43)A和B分别从1和2两个认证中心获取了自己的证书和，要使A能够对B进行认证，还需要(43)。A、A和B交换各自公钥 B、A和B交换各自私钥C、1和2交换各自公钥 D、1和2交换各自私钥试题分析数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行

31、一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。A和B分别从1和2两个认证中心获取了自己的证书和，要使A能够对B进行认证，还需要两个交换各自公钥。试题答案（43）C试题17(2015年下半年试题44)如图所示，、和是三种数据包的封装方式，以下关于认证方式中，所使用的封装与其对应模式的匹配，(44)是正确的。（44）A.传输模式采用封装方式B.隧道模式采用封装方式C.隧道模式采用封装方式D.传输模式采用封装方式试题分析有两种操作模式：传输模式

32、和隧道模式。在传输模式下，包头增加在原包头和数据之间，在整个传输层报文段的后面和签名添加一些控制字段，构成数据报。这种方式是把整个传输层报文段都保护起来。因此只能保证原包数据部分的安全性；隧道模式是对整个数据包提供安全传输机制。是在一个数据报的后面和前面都添加一些控制字段，构成数据报。很显然，的隧道模式经常用来实现虚拟专用网。试题答案（44）C试题18(2015年下半年试题45)下列协议中，不用于数据加密的是(45)。(45)A、 B、 C、 D、4试题分析（）国际数据加密算法，使用 128 位密钥提供非常强的安全性；（）：高级加密标准，对称算法，是下一代的加密算法标准，速度快，安全级别高

33、；2和4：对称算法，用变长密钥对大量数据进行加密，比快；：属于密钥交换协议/算法。根据试题题意，不用于数据加密，所以选(B)。试题答案（45）B试题19(2015年下半年试题46)下列关于数字证书的说法中，正确的是(46)。A、数字证书是在网上进行信息交换和商务活动的身份证明 B、数字证书使用公钥体制，用户使用公钥进行加密和签名C、在用户端，只需维护当前有效的证书列表D、数字证明用于身份证明，不可公开试题分析为什么有数字证书，这里我们可以假设A和B通信，C偷偷使用A的电脑，用自己的公钥换走了A的公钥，所以C可以冒充A和B通信。B自己无法确定公钥是否真的属于A。她想到了一个办法，要求A去找“证

34、书中心”（，简称），为公钥做认证。证书中心用自己的私钥，对A的公钥和一些相关信息一起加密，生成“数字证书”。数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。数字证书就是互联网通讯中标志通讯各方身

35、份信息的一系列数据，提供了一种在上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构机构，又称为证书授权（）中心发行的，人们可以在网上用它来识别对方的身份。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。可以更加方便灵活地运用在电子商务和电子政务中。用户不需要维护当前有效的证书列表，根据题意因此选A。试题答案（46）A试题20(2014年下半年试题3-4)阅读下列说明，回答问题1至问题5，将解答填入答题纸的对应栏内。【说明】图3-1是某制造企业网络拓扑，该网络包括制造生产、研发设计、管理及财务、服务器群和销售部等五个部分。该企业通过对路由器的

36、配置、划分、使用技术以及配置与等实现对企业网络的安全防护与管理。随着信息技术与企业信息化应用的深入融合，一方面提升了企业的管理效率，同时企业在经营中面临的网络安全风险也在不断增加。为了防范网络攻击、保护企业重要信息数据，企业重新制定了网络安全规划，提出了改善现有网络环境的几项要求。1优化网络拓扑，改善网络影响企业安全运行的薄弱环节；2分析企业网络，防范来自外部攻击，制定相应的安全措施；3重视企业内部控制管理，制定技术方案，降低企业重要数据信息的泄露风险；4在保证投资合理的范围，解决远程用户安全访问企业网络的问题；5制定和落实对服务器群安全管理的企业内部标准。【问题1】（5分）请分析说明该企业现

37、有的网络安全措施是如何规划与部署的，应从哪些角度实现对网络的安全管理。【阂题2】(5分)请分析说明该企业的网络拓扑是否存在安全隐患，原有网络设各是否可以有效防御外来攻击。【问题3】（5分）入侵检测系统()是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。请简要说明该企业部署的必要性以及如何在该企业网络中部署。【问题4】（5分）销售部用户接入企业网采用的方式，数据通过安全的加密隧道在公共网络中传播，具有节省成本、安全性高、可以实现全面控制和管理等特点。简要说明采用了哪些安全技术以及主要的隧道协议有哪些。【问题5】（5分）请结合自己做过的案例，说明在进行企业

38、内部服务器群的安全规划时需要考虑哪些因素。试题分析本题考查局域网络安全的相关知识，包括、、（网闸）、、等的综合运用以及网络安全拓扑的规划、管理等内容。【问题 1】该企业现有的网络需要进行多级的安全部署。首先在接入层交换机上进行访问控制；采用技术通过用户隔离，实现对敏感信息的访问进行限制；在边界路由器上配置，屏蔽内网地址信息，降低外部的攻击；边界路由器上配置访问控制列表，可以实现策略控制，进行访问权限控制。【问题 2】该企业现有的网络存在诸多安全隐患：1.制造生产部子网络应该直接接入核心交换机，该网络中当研发部子网络的交换设备故障时将会直接对制造生产部的一线产生影响；2.在内部网和外部

39、网之间、专用网与公共网之间没有专门的防护设备，不能防御外来攻击；3. 服务器群应设置在防火墙的区；4. 应当配备设备、流量监控、上网行为管理和网络病毒防护设备；5. 采用网闸物理隔离财务部门和有关涉密部门。全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。【问题 3】入侵检测系统（）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。通常采用旁路方式接入核心交换机，可以和防火墙互为补充，防止内部人员攻击，攻击发生后的取证等。【问题 4】（虚

40、拟专用网络）是指在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。网关通过对数据包的加密和数据包目标地址的转换实现远程访问。有多种分类方式，主要是按协议进行分类。可通过服务器、硬件、软件等多种方式实现，具有成本低，易于使用的特点。主要采用的协议有：在互联网上建立虚拟专用网隧道的协议；建立在点对点协议的基础上，把各种网络协议（、等）封装到帧中，再把整个数据帧装入隧道协议 L2；对协议分组进行加密和认证的协议。【问题 5】任何企业在做安全规划时，首先依据需求划分信息安全级别，然后依据安全级别，考虑区安全防护，机房的物理安全，主机的系统安全，数据备份机制

41、，安全管理制度等等。试题答案（3）【问题1】（5分）本企业通过核心接入服务器群，通过接入交换机根据不同部门划分，安全防范比较薄弱，应从物理设备层、操作系统，网络层、应用层等方面进行安全规划与管理。【问题2】（5分）企业网络拓扑存在以下问题：1、核心设备为单点故障，应设置双核心冗余。2、接入交换机到核心交换机之间链路存在单点故障，应双归属至核心交换机。3、两台核心交换之间采用链路聚合。4、出口应部署防火墙，服务器区应部署检测攻击。【问题3】（5分）可以有效防范攻破防火墙的攻击和内部攻击行为。是防火墙的有效补充。应在企业中重要的服务器网段部署，以检测攻击和入侵行为。【问题4】（5分）主要采用了数据

42、加密技术、认证技术、密钥管理技术和数据验证技术。主要的隧道协议有：、L2、、等。【问题5】（5分）1、多台服务器组成服务器集群。2、通过负载均衡器在服务器群间流量分担。3、平台网络的高可用性。4、数据的保护，包括磁盘阵列、数据备份以及快照、复制等技术。5、数据中心的安全性，部署、审计系统等安全设备。试题21(2014年下半年试题23)如果允许来自子网172.30.16.0/24到172.30.31.0/24的分组通过路由器，则对应语句应该是(23)（23）A 10 172.30.16. 0 255.255. 0.0 B 10 172.30.16. 0 0.0.2555.255 C 10 1

43、72.30.16. 0 0.0.15.255 D 10 172.30.16. 0 255.255.240.0试题分析子网172.30.16.0/24到172.30.31.0/24的分组，一共是16个子网。这16个子网做路由汇聚后，得到的汇聚后网络地址是172.30.0001 0000.0/20的地址，那么网络地址是172.30.16. 0，子网掩码是255.255.240.0，那么我们在的时候配置的是反掩码，就是255.255.255.255-255.255.240.0=0.0.15.255试题答案（23）C试题22(2014年下半年试题27-28)城域以太网在各个用户以太网之间建立多点的第二

44、层连接，802.1定义的运营商网桥协议提供的基本技术是在以太帧中插入（）字段，这种技术被称为（）技术。（27）A.运营商标记 B.运营商虚电路标识 C.用户标记 D.用户帧类型标记（28）试题分析城域以太网论坛（，）是由网络设备制造商和网络运营商组成的非盈利组织，专门从事城域以太网的标准化工作。定义的服务的基本技术是 802.1q的帧标记。假定各个用户的以太网称为网，运营商建立的城域以太网称为网。如果不同网中的用户要进行通信，以太帧在进入用户网络接口（，）时被插入一个（）字段，用于标识网中的传输服务，而用户的帧标记（）则保持不变，当以太帧到达目标网时，字段被删除，如下图所示。这样就解决了两个用户以太网之间透明的数据传输问题。这种技术定义在 802.1 的运营商网桥协议（）中，被称为技术。实际上是把用户嵌套在城域以太网的中传送，由于其简单性和有效性而得到电信运营商的青

展开阅读全文