网络工程师考试同步辅导(下午科目(第4版) 可以保护网络和系统的完整性、可行性及可靠性。现代的网络安全性是把基本的网络安全 性概念运用在分布式网络环境中。网络安全性的目的是对资源的保护,目前还没有彻底的 解决方法。 安全设计包括安全服务和实施两方面。原则上讲,每一个网络系统都具有独立和通用 的安全协议,而基于安全服务的安全信息则是存放在管理信息库(MB)中的,只有授权人员 或系统才可访问、修改或删除这些机密信息。通过对网络易损点的识别,可使这些易损点 得到保护和监控,要确保安全,应采取一种分层管理策略。 安全性策略的3个属性定义为保密性、完整性和可信性。信息损失通常由以下原因引 起:更改、破坏和泄露。对网络安全构成威胁的形式有很多,而且它们经常导致网络失常 和重要信息的毁坏。 采取何种安全措施需要视用户需要而定,不同单位或一个单位的不同部门要求的安全 等级往往是有差异的,并不是安全等级越高越好,较高的安全等级意味着额外的系统开销 和高昂的费用。 2)安全性标准 网络系统是否达到一定的安全性主要依照相关的安全性标准来判断,最早的信息系统 安全性标准由美国国防部颁布的黄皮书(TC-SEC-NCSC,可信计算机系统)规定。该手册将 IT系统划分为A(AI)BB1、B2、B3)、C(C1、C2)、DDI)4类,共7个安全等级。 (I)D类安全等级。D类安全等级只包括D1一个级别,D1的安全等级最低,它只为 文件和用户提供安全保护。D1系统最常见的形式是本地操作系统,或者是一个完全没有保 护的网络。 (2)C类安全等级。C类安全等级能够提供审慎的保护,并为用户的行动和责任提供审 计能力。C类安全等级可划分为C1和C2两类。 (3)B类安全等级。B类安全等级可划分为B1、B2和B3三类。B类系统具有强制性 保护功能,这就意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。 (4)A类安全等级。A类系统的安全级别最高。目前,A类安全等级只包含A1一个安 全类别。A1类与B3类相似,对系统的结构和策略不作特别要求。A1系统的显著特征是: 系统的设计者必须按照一个正式的设计规范来分析系统。对系统进行分析后,设计者必须 运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求:系统管理员必须从开 发者那里接收一个安全策略的正式模型:所有的安装操作都必须由系统管理员进行:系统 管理员进行的每一步安装操作都必须有正式文档。 欧洲等价的分类手册是ITSEC(信息技术安全评估标准)。与美国的黄皮书类似,ITSEC 标准目录将T系统划分为7个安全等级(E0~E6),这些等级与黄皮书中的各个等级大致 对应。 6.维护和运行需求 维护和运行是网络系统投入正常运行后的日常管理工作,这项工作主要由网络管理人 员承担。网络管理人员通过网络管理系统可以完成系统的配置、监控和统计等事务的处理, 有时还要对网络设备进行检修。网络设计人员需要根据用户需求,提供必要的网络管理工 具和策略,以方便网络管理人员对整个网络进行管理和维护,提高网络的运行效率,保证
网络工程师考试同步辅导(下午科目)(第 4 版) 6 可以保维网网和现现包完整性、可和性及可可性。现代包网网安安性是把基本包网网安安 性概念和应潜应布式网网环境中。网网安安性包目包是危资资包保维,目前还没现彻底包 解决方法。 安安的网包包安安服新和维确两方面。原则上讲,每一个网网现现都利现独立和通应 包安安确确,而基于安安服新包安安通收则是数放潜管管通收库(MIB)中包,只现授权人员 或现现才可访潜、修改或删排这些对密通收。通过危网网易损的包识别,可使这些易损的 得转保维和网监,的确保安安,应采取一种应层管管维维。 安安性维维包 3 个属性确义为保密性、完整性和可通性。通收损失通常由以下原因引 起:更改、破坏和泄露。危网网安安包成威胁包形式现很多,而且它们系常导致网网失常 和重的通收包毁坏。 采取何种安安确确应的网应用应的而确,不外单位或一个单位包不外外门的应包安安 等维往往是现差异包,并不是安安等维越高越好,采高包安安等维意味着额外包现现开销 和高昂包费应。 2) 安安性制制 网网现现是否达转一确包安安性主的依照相关包安安性制制来判断,最早包通收现现 安安性制制由美国国防外颁布包黄皮书(TC-SEC-NCSC,可通网对对现现)规确。该手册将 IT 现现新应为 A(A1)、B(B1、B2、B3)、C(C1、C2)、D(D1)4 类,共 7 个安安等维。 (1) D 类安安等维。D 类安安等维只包包 D1 一个维别,D1 包安安等维最低,它只为 文软和应用提供安安保维。D1 现现最常见包形式是本地操安现现,或者是一个完安没现保 维包网网。 (2) C 类安安等维。C 类安安等维包够提供设慎包保维,并为应用包和动和责任提供设 网包节。C 类安安等维可新应为 C1 和 C2 两类。 (3) B 类安安等维。B 类安安等维可新应为 B1、B2 和 B3 三类。B 类现现利现强制性 保维包包,这就意味着如果应用没现备安安等维相确,现现就不会让应用数取危象。 (4) A 类安安等维。A 类现现包安安维别最高。目前,A 类安安等维只包含 A1 一个安 安类别。A1 类备 B3 类相似,危现现包包包和维维不安特别的应。A1 现现包显著特征是: 现现包的网者必须按照一个正式包的网规范来应应现现。危现现改和应应后,的网者必须 和应核危技技来确保现现符外的网规范。A1 现现必须满足下列的应:现现管管员必须从开 发者那里确收一个安安维维包正式模型;所现包安安操安都必须由现现管管员改和;现现 管管员改和包每一步安安操安都必须现正式文档。 欧洲等系包应类手册是 ITSEC(通收技技安安评评制制)。备美国包黄皮书类似,ITSEC 制制目录将 IT 现现新应为 7 个安安等维(E0~E6),这些等维备黄皮书中包各个等维大致 危应。 6. 维维和和和应应 维维和和和是网网现现投入正常和和后包日常管管安安,这项安安主的由网网管管人 员承担。网网管管人员通过网网管管现现可以完成现现包网与、网监和现网等事新包节管, 现审还的危网网的的改和入修。网网的网人员应的根备应用应应,提供必的包网网管管安 利和维维,以方便网网管管人员危整个网网改和管管和维维,提高网网包和和系率,保证
第1章网络系统规划和设计 网络的可靠性。 7.管理需求 从用户的角度来讲,一个网络管理系统应该满足以下要求。 ◆同时支持网络监视和控制两方面的能力。 ◆能够管理所有的网络协议。 ◆尽可能大的管理范围。 ◆ 尽可能小的系统开销: 可以管理不同厂家的联网设备。 ◆容纳不同的网络管理系统。 ◆网络管理的标准化。 在OSI网络管理框架模型中,基本的网络管理功能被分为5个功能域:配置管 理(Configuration Management)、性能管理(Performance Management)、故障管理(Fault Management)、安全管理(Security Management)和计费管理(Accounting Management). 网络管理的标准化产品包括ISO的CMIS/CMP(Common Management Information Service/.Common Management Information Protocol)、Internet体系结构委员会(Internet Architecture Board,IAB)的SNMP和管理信息库(MIB),这些内容将在第5章详细介绍。 1.1.2典型例题分析 例1【说明】(2017年上半年下午试题一) 某企业网络拓扑如图1-1所示,中国电信和中国移动双链路接入,采用硬件设备实现链 路负载均衡:主磁盘阵列的数据通过备份服务器到备份磁盘阵列。请结合下图,回答相关 问题。 中国电雷 出可 设备① 设备④ 中国移 出口 防火墙 、核心交换机 服务器和数据区城 行政管理区城 设备② 2☒介质①✉ 接入交换机 办公电脑 Wcb服务器 设备③ 备份服务器 数据阵服务器 介质② 备份磁盘阵列 接入交换机办公电脑 主础盆阵列 图1-1某企业网络拓扑 【问题1】(共6分) 图1-1中,设备①处部署(①),设备②处部署(2),设备③处部署(3)。(1)~ >7
第 1 章 网络系统规划和设计 7 网网包可可性。 7. 管管应应 从应用包角度来讲,一个网网管管现现应该满足以下的应。 外审支持网网网网和监制两方面包包节。 包够管管所现包网网确确。 尽可包大包管管范围。 尽可包小包现现开销。 可以管管不外厂家包联网的的。 容纳不外包网网管管现现。 网网管管包制制化。 潜 OSI 网网管管框架模型中,基本包网网管管包包被应为 5 个包包域:网与管 管 (Configuration Management)、性包管管(Performance Management)、利利管管(Fault Management)、安安管管(Security Management)和网费管管(Accounting Management)。 网网管管包制制化技技包包 ISO 包 CMIS/CMIP(Common Management Information Service/Common Management Information Protocol)、Internet 现现包包委员会(Internet Architecture Board,IAB)包 SNMP 和管管通收库(MIB),这些内容将潜第 5 章详细介绍。 1.1.2 典型例题分析 例 1 【说明】(2017 年上半年下午测潜一) 某企新网网确确如网 1-1 所示,中国电通和中国移动双链链确入,采应硬软的的维现链 链负载均衡:主磁盘阵列包备备通过的备服新器转的备磁盘阵列。请包外下网,回答相关 潜潜。 图 1-1 某企业网络拓扑 【潜潜 1】(共 6 应) 网 1-1 中,的的①节外署 (1) ,的的②节外署 (2) ,的的③节外署 (3) 。(1)~
网络工程师考试同步辅导下午科目(第4版) (3)备选答案(每个选项限选一次): A.入侵防御系统PS) B.交换机 C.负载均衡 【问题2】(共4分) 图1-1中,介质①处应采用(4)_,介质②处应采用(⑤)。 (4)~(⑤)备选答案(每个选项限选一次): A.双绞线 B.同轴电缆 C.光纤 【问题3】(共4分) 图1-1中,为提升员工的互联网访问速度,通过电信出口访问电信网络,移动出口访问 移动网络,则需要配置基于(⑥地址的策略路由:运行一段时间后,网络管理员发现电 信出口的用户超过90%,网络访问速度缓慢,为实现负载均衡,网络管理员配置基于⑦) 地址的策略路由,服务器和数据区域访问互联网使用电信出口,行政管理区域员工访问互 联网使用移动出口,生产业务区域员工使用电信出口。 【问题4】(共6分) 1.图1-1中,设备④处应为(8)_,该设备可对指定计算机系统进行安全脆弱性扫描和 检测,发现其安全漏洞,客观评估网络风险等级。 2.图1-1中,(9)设备可对恶意网络行为进行安全检测和分析。 3.图1-1中,10)设备可实现内部网络和外部网络之间的边界防护,依据访问规则, 允许或者限制数据传输。 答案: 【问题1】(1)C(2)A (3)B 【问题2】(4)A(5)C 【问题3】(6)目的(7)源 【问题4】(8)漏洞扫描设备(9)PS(10)防火墙 解析: 【问题1】综合分析可知设备3是交换机,那么设备2为PS,设备1为负载均衡。 【问题2】介质1连接接入交换机和用户,故为双绞线。介质2连接FC交换机和磁盘 阵列,应为光纤。 【问题3】访问电信网络通过电信出口,移动网络通过移动出口,这是通过访问目的来 区分的,故是基于目的地址的策略路由。而后根据访问人群的划分更改为基于源地址的策 略路由。 【问题4】漏洞扫描通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本 地计算机系统的安全脆弱性进行检查,发现可利用的漏洞的一种安全性检测行为。在图11 中PS设备对恶意网络行为进行分析。防火墙设备则为内外网之间的安全保护屏障。 例2【说明】(2016年下半年下午试题二) 图1-2是某互联网企业网络拓扑,该网络采用二层结构,网络安全设备有防火墙、入侵 检测系统,楼层接入交换机32台,全网划分17个VLAN,对外提供Wb和邮件服务。数 据库服务器和邮件服务器均安装CentOS操作系统(Linux平台),Web服务器安装Windows 2008操作系统
网络工程师考试同步辅导(下午科目)(第 4 版) 8 (3)的网答案(每个网项系网一次): A. 入入防御现现(IPS) B. 交转对 C. 负载均衡 【潜潜 2】(共 4 应) 网 1-1 中,介质①节应采应 (4) ,介质②节应采应 (5) 。 (4)~(5)的网答案(每个网项系网一次): A. 双绞线 B. 外轴电缆 C. 光纤 【潜潜 3】(共 4 应) 网 1-1 中,为提维员安包互联网访潜速度,通过电通出口访潜电通网网,移动出口访潜 移动网网,则应的网与基于 (6) 地设包维维链由;和和一段审审后,网网管管员发现电 通出口包应用超过 90%,网网访潜速度缓慢,为维现负载均衡,网网管管员网与基于 (7) 地设包维维链由,服新器和备备区域访潜互联网使应电通出口,和政管管区域员安访潜互 联网使应移动出口,系技新新区域员安使应电通出口。 【潜潜 4】(共 6 应) 1.网 1-1 中,的的④节应为 (8) ,该的的可危指确网对对现现改和安安脆弱性扫描和 入测,发现其安安漏洞,客观评评网网风险等维。 2.网 1-1 中, (9) 的的可危恶意网网和为改和安安入测和应应。 3.网 1-1 中, (10) 的的可维现内外网网和外外网网之审包边界防维,依备访潜规则, 允许或者系制备备传输。 答案: 【潜潜 1】(1) C (2) A (3) B 【潜潜 2】(4) A (5) C 【潜潜 3】(6) 目包 (7) 资 【潜潜 4】(8) 漏洞扫描的的 (9) IPS (10) 防火墙 解析: 【潜潜 1】综外应应可综的的 3 是交转对,那么的的 2 为 IPS,的的 1 为负载均衡。 【潜潜 2】介质 1 确确确入交转对和应用,利为双绞线。介质 2 确确 FC 交转对和磁盘 阵列,应为光纤。 【潜潜 3】访潜电通网网通过电通出口,移动网网通过移动出口,这是通过访潜目包来 区应包,利是基于目包地设包维维链由。而后根备访潜人群包新应更改为基于资地设包维 维链由。 【潜潜 4】漏洞扫描通常是指基于漏洞备备库,通过扫描等手段,危指确包对监或者本 地网对对现现包安安脆弱性改和入审,发现可利应包漏洞包一种安安性入测和为。潜网 1-1 中 IPS 的的危恶意网网和为改和应应。防火墙的的则为内外网之审包安安保维防利。 例 2 【说明】(2016 年下半年下午测潜二) 网 1-2 是某互联网企新网网确确,该网网采应二层包包,网网安安的的现防火墙、入入 入测现现,楼层确入交转对 32 台,安网新应 17 个 VLAN,危外提供 Web 和邮软服新。备 备库服新器和邮软服新器均安安 CentOS 操安现现(Linux 平台),Web 服新器安安 Windows 2008 操安现现
第1章网络系统规划和设计 入侵检测系统 互联网接入防火墙 核心交换机 接入交换机网关机 备份服务器 备份磁盘阵列 限 接入交换机办公电脑 数据库服务器 光纤交换机 服务器区汇聚 ● 接入交换机办公电脑 存储虚拟化服务器 主磁盘阵列 邮件服务器 Web服务器 接入交换机办公电脑 图1-2某互联网企业网络拓扑 【问题1】(6分) SAN常见方式有FC-SAN和P-SAN,在图1-2中,数据库服务器和存储设备连接方式 为①),邮件服务器和存储设备连接方式为②)一。虚拟化存储常用文件系统格式有 CIFS、NFS,为邮件服务器分配存储空间时应采用的文件系统格式是(③),为Wb服务 器分配存储空间时应采用的文件系统格式是(④)。 【问题2】(3分) 该企业采用RAD5方式进行数据冗余备份,请从存储效率和存储速率两个方面比较 RAIDI和RAID5两种存储方式,并简要说明采用RAID5存储方式的原因。 【问题3】(8分) 网络管理员接到用户反映,邮件登录非常缓慢,按以下步骤进行故障诊断: 1.通过网管机,利用(⑤)登录到邮件服务器,发现邮件服务正常,但是连接时断 时续。 2.使用(6)命令诊断邮件服务器的网络连接情况,发现网络丢包严重,登录服务器 区汇聚交换机SI,发现连接邮件服务器的端口数据流量异常,收发包量很大。 3.根据以上情况,邮件服务器的可能故障为,应采用(⑧)_的办法处理上述 故障。 (5)(8)备选答案: (5)A.ping B.ssh C.tracert D.mstsc (6)A.ping B.telnet C.tracet D.netstat (7)A.磁盘故障 B.感染病毒 C.网卡故障 D.负荷过大 (8)A.更换磁盘 B.安装防病毒软件,并查杀病毒 C.更换网卡 D.提升服务器处理能力 >9
第 1 章 网络系统规划和设计 9 图 1-2 某互联网企业网络拓扑 【潜潜 1】(6 应) SAN 常见方式现 FC-SAN 和 IP-SAN,潜网 1-2 中,备备库服新器和数数的的确确方式 为 (1) ,邮软服新器和数数的的确确方式为 (2) 。虚拟化数数常应文软现现格式现 CIFS、NFS,为邮软服新器应网数数空审审应采应包文软现现格式是 (3) ,为 Web 服新 器应网数数空审审应采应包文软现现格式是 (4) 。 【潜潜 2】(3 应) 该企新采应 RAID5 方式改和备备冗余的备,请从数数系率和数数速率两个方面采采 RAID1 和 RAID5 两种数数方式,并简的说明采应 RAID5 数数方式包原因。 【潜潜 3】 (8 应) 网网管管员确转应用反映,邮软登录非常缓慢,按以下步骤改和利利诊断: 1. 通过网管对,利应 (5) 登录转邮软服新器,发现邮软服新正常,但是确确审断 审续。 2. 使应 (6) 系令诊断邮软服新器包网网确确情情,发现网网丢包严重,登录服新器 区汇聚交转对 SI,发现确确邮软服新器包端口备备流量异常,收发包量很大。 3. 根备以上情情,邮软服新器包可包利利为 (7) ,应采应 (8) 包办法节管上述 利利。 (5)~(8)的网答案: (5) A. ping B. ssh C. tracert D. mstsc (6) A. ping B. telnet C. tracet D. netstat (7) A. 磁盘利利 B. 感染对对 C. 网卡利利 D. 负荷过大 (8) A. 更转磁盘 B. 安安防对对软软,并审杀对对 C. 更转网卡 D. 提维服新器节管包节