网络工程师--网络安全与应用案例分析
Posted mailtolaozhao
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络工程师--网络安全与应用案例分析相关的知识,希望对你有一定的参考价值。
案例一:
某单位现有网络拓扑结构如下图所示,实现用户上网功能,该网络使用的网络交换机均为三层设备,用户地址分配为手动指定
案例分析一:
路由器AR2200的GE0/0/1接口地址为内网地址,为确保内部用户访问Internet,需要在该设备配置(1)
答(1)NAT
解析:NAT是网络地址转换,可以把多个内网私有地址转换到1个或少量外部公网地址上,使内网用户可以访问Internet,并且节省大量公网IP,只需给路由器设备AR2200配置NAT功能即可实现,应填写NAT
案例分析二:
网络中增加三个摄像头,分别接入SwitchA、SwitchB、SwitchC,在调试时,测试网络线路可以使用(2)
如果将计算机PC3用于视频监控管理,并且视频监控系统与内网的其他计算机逻辑隔离,需要在内网交换机上配置(3),内网用户的网关在交换机SwitchA上,网关地址需要设置在(4),最少需要配置(5)个网关地址,在不增加专用存储设备的情况下,可以将视频资料存储在(6)
答:(2)测线器
解析:测线器也叫查线器,用于追踪弱电状态下的所有金属线缆,并且能在连接任何交换机、路由器、PC终端的情况下直接找线;用于判断线路状态,识别线路故障;是网络安装、维护的实用性工具
(3)VLAN
解析:VLAN虚拟局域网,把物理上形成的局域网划分成不同的逻辑子网,把数据链路层广播报文隔离在逻辑子网之内,形成各自的广播域,每个逻辑子网就是一个VLAN,可将视频监控系统单独划分一个VLAN,把视频监控业务和其他办公业务分开管理,此处应填VLAN
(4)逻辑接口上
解析:SwitchA作为核心交换机,根据题意“视频监控系统与内网的其他计算机逻辑隔离”意思是需要划分2个VLAN,一个给视频监控用,另一个给内网其他用户用,每个需要配置一个VLANIF接口IP地址,分别作为视频监控、内网用户的网关,所有应配置在SwitchA上的VLANIF逻辑接口上,需要配置两个网关地址,视频监控和内网用户的网关
(5)2
解析:SwitchA作为核心交换机,根据题意“视频监控系统与内网的其他计算机逻辑隔离”意思是需要划分2个VLAN,一个给视频监控用,另一个给内网其他用户用,每个需要配置一个VLANIF接口IP地址,分别作为视频监控、内网用户的网关,所有应配置在SwitchA上的VLANIF逻辑接口上,需要配置两个网关地址,视频监控和内网用户的网关
(6)PC3
解析:根据题意“如果将计算机PC3用于视频监控管理”和“在不增加专用存储设备的情况下”这两句话可以考虑将视频数据存在监控主机PC3的本地磁盘,此处应该填写PC3
案例分析三:
若将内网用户IP地址的分配方式改为自动分配,在设备SwitchA上启用DHCP功能,首先配置的命令是(7)
答:(7)DHCP enable
解析:DHCP enable命令意思是全局启用DHCP功能,题意是内网用户IP地址分配方式改为自动分配,需要启用DHCP功能
案例分析四:
为防止网络攻击,需要增加安全设备,配置安全策略,进行网络边界防护等,需要在(8)部署(9),且在该设备上配置(10)策略
答:(8)AR2200与SwitchA之间
解析:根据题意可以判断出需要配置防火墙,位置在AR2200与SwitchA之间
(9)FW防火墙
解析:防火墙是一种网络边界访问控制设备,能根据安全策略阻止在网络之间或主机与网络之间的未授权的通信,即控制进出网络的访问行为,防火墙是不同网络安全域之间通信的唯一通道,防止网络攻击用的
(10)ACL
解析:防护墙上需要配置ACL安全策略来进行控制用户访问权限等
============================分界线================================
案例二:
某园区组网方案如下图所示,网络规划表如下图所示:
案例分析一:
管理员通过console口登录设备Switch1,配置管理IP和Telnet:
<HUAWEI>system-view
[HUAWEI] (1)
[HUAWEI-vlan5]management-vlan
[HUAWEI-vlan5]quit
[HUAWEI] interface vlanif 5
[HUAWEI-vlanif5](2)
[HUAWEI-vlanif5]quit
[HUAWEI]telnet server enable
[HUAWEI]user-interface vty 0 4
[HUAWEI-ui-vty0-4]protocol inbound telnet
[HUAWEI-ui-vty0-4]authentication-mode aaa
[HUAWEI-ui-vty0-4]quit
[HUAWEI](3)
[HUAWEI-aaa]local-user admin password irreversible-cipher Helloworld@6789
[HUAWEI-aaa]local-user admin privilege level 15
配置完成后,在维护终端上Telnet到交换机的命令是(4),登录用户名是(5),该用户具有(6)权限
答:(1)vlan 5
解析:根据下一条命令提示符[HUAWEI-vlan5],可以得知是进入一个vlan并设置管理vlan,这里填写vlan 5,意思是进入vlan 5
(2)ip address 10.10.1.1 255.255.255.0或者10.10.1.1 24
解析:根据上一条命令[HUAWEI] interface vlanif 5进入管理vlan,下一条命令就是设置管理vlan的IP地址,根据网络规划表可得知IP地址为10.10.1.1 24
(3)aaa
解析:根据下一条命令提示符 [HUAWEI-aaa],可以得知是在aaa模式下进行设置,所以此处应该填写aaa,意思是进入aaa模式
(4)telnet 10.10.1.1
解析:Telnet提供了在本地计算机上完成远程登录设备功能,在终端电脑按组合键win+R进入cmd命令,输入Telnet IP 格式,回车即可,根据网络规划表管理IP地址为10.10.1.1 ,因此此处应填写telnet 10.10.1.1
(5)admin
解析:根据命令 [HUAWEI-aaa]local-user admin password irreversible-cipher Helloworld@6789可以得知,local-user后面跟的就是用户名即admin,Helloworld@6789是密码,cipher表示对用户口令采用可逆算法进行了加密,非法用户可以通过对应的解密算法解密密文后得到明文密码,安全性较低;irreversible-cipher表示对用户密码采用不可逆算法进行了加密,使非法用户无法通过解密算法特殊处理后得到明文密码,为用户提供更好的安全保障
(6)全部
解析:根据文中命令 [HUAWEI-aaa]local-user admin privilege level 15得知,其中level 15表示权限基本是最高权限,level总共0-15级别,共16级别权限,此处level 15是最高权限,拥有全部的权限
案例分析二:
设备Switch1与Switch2、Switch3之间的线路称为(7),其作用是(8)
答:(7)链路聚合
解析:从网络拓扑图可以看出Switch1和Switch2和Switch3之间是各两条链路,采用双链路,这种技术叫做链路聚合,华为称为Eth-Trnk技术,其作用是可以实现增加链路带宽,提升链路可靠性
(8)增加链路带宽,提升链路可靠性
解析:从网络拓扑图可以看出Switch1和Switch2和Switch3之间是各两条链路,采用双链路,这种技术叫做链路聚合,华为称为Eth-Trnk技术,其作用是可以实现增加链路带宽,提升链路可靠性
案例分析三:
在该网络中,在(9)设备上配置了DHCP服务的作用是为用户(10)分配地址,为防止内网用户私接小路由器分配IP地址,在接入交换机上配置(11)功能
答:(9)Switch1
解析:根据文中的网络规划表得知,是在Switch1上配置DHCP服务
(10)自动
解析:DHCP的作用是给用户自动分配IP地址,以便方便动态分配IP地址,减轻网管的工作量
(11)DHCP Snooping
解析:在接入交换机上配置DHCP Snooping功能,DHCP Snooping是DHCP的一种安全特性,主要应用在交换机上,其作用是屏蔽接入网络中的非法的DHCP服务器,即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址
案例分析四:
在该网络的数据规划中,需要在Switch1和Router设备上各配置一条静态缺省路由,其中,在Switch1配置的是IP route-static 0.0.0.0 0.0.0.0 (12),在Router配置的是ip route-static 0.0.0.0 0.0.0.0 (13)
答:(12)10.10.100.2
解析:IP route-static 0.0.0.0 0.0.0.0 (12)是需要填写下一跳地址,Switch1上下一跳地址是Router的GE1/0/0端口,接着查网络规划表得知,下一跳地址为10.10.100.2
(13)202.101.111.1
解析:此处填写Router的下一跳地址,就是路由器Router的GE1/0/1端口,此端口有两个IP地址可以使用,分别是:202.101.111.1和202.101.111.2,但是202.101.111.2被路由器使用,所以此处填写202.101.111.1,此地址是出口路由器对接的运营商设备IP地址
===========================分界线===================================
案例三:
某公司的网络结构如下图所示,所有PC机共享公网IP地址202.134.115.5接入Internet,公司对外提供www和邮件服务
案例分析一:
防火墙可以工作在三种模式下,分别是:路由模式、(1)和混杂模式,根据上图所示,防火墙的工作模式为(2),管理员为防火墙的三个接口分别命名为Trusted、Untrusted和DMZ,分别用于连接可信网络、不可信网络和DMZ网络,其中F0接口对应于(3),F1接口对应于(4),F2接口对应于(5)
答:(1)透明模式
解析:考察防火墙的三种模式,防火墙有IP地址,则工作在路由模式下;若防火墙没有配置IP地址并通过第二层对外连接,则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口,则防火墙工作在混合模式下
(2)路由模式
解析:网络规划图中防火墙三个接口均连接路由器或者交换机等,均需要配IP地址,因此防火墙工作在路由模式下
(3)Untrusted区域
解析:考察防火墙的三个区域,F0端口连接的是外部网络,即是Untrusted区域
(4)DMZ区域
解析:考察防火墙的三个区域,F1端口连接的服务器,即是DMZ区域
(5)Trusted区域
解析:考察防火墙的三个区域,F2端口连接的是内网交换机,即是Trusted区域
案例分析二:
请根据网络拓扑图将下表所示的公司网络IP地址规划表补充完整:
答:(6)202.134.115.5
解析:填写公网IP,和202.134.115.6不相同即可
(7)255.255.255.248
解析:此处填写公网的子网掩码,根据网络拓扑图得知202.134.115.6/29,公网的子网掩码是29位,即255.255.255.248
(8)10.10.1.1
解析:F1连接的是web和邮件服务器,IP地址和这俩地址不冲突即可
(9)192.168.10.1
解析:此处是F2连接的是交换机,一般是192.168.10.1,和下面PC的IP地址不冲突即可
案例分析三:
为使互联网用户能够正常访问公司WWW和邮件服务,以及公司内务可以访问互联网,公司通过防火墙分别为Webserver和MailServer分配了静态的公网地址202.134.115.2和202.134.115.3,如下图所示是防火墙的地址转换规则,将下表补充完整:
答:(10)公网地址1
解析:考察NAT转换规则,上述防火墙地址转换表中公网地址1和公网地址2这两行实现的是公网地址经过防火墙转换访问内部服务器,所以,公网地址1公网地址2转换后仍然是原来的公网地址
(11)10.10.1.2
解析:转换前的公网地址为202.134.115.2,根据上下文判断这个是Webserver的公网地址,因此空(11)需要填写Webserver服务器分配的内网地址,根据网络网络拓扑图上所表示的IP地址,此处应该填写10.10.1.2
(12)10.10.1.3
解析:转换前的公网地址为202.134.115.3,根据上下文判断这个是mailserver的公网地址,因此空(11)需要填写mailserver服务器分配的内网地址,根据网络网络拓扑图上所表示的IP地址,此处应该填写10.10.1.3
(13)202.134.115.5
解析:IP地址192.168.10.100是PC1的ip地址,需要转换为公网地址,在网络拓扑图中可以得知,是在防火墙的F0端口实现的,联合案例分析三F0的IP地址此处确定为202.134.115.5
(14)公网地址3
解析:和空(10)同理,考察NAT转换规则,上述防火墙地址转换表中公网地址3两行实现的是公网地址经过防火墙转换访问内部服务器,所以,公网地址3转换后仍然是原来的公网地址
案例分析四:
如下表所示是防火墙的过滤规则,规则自上而下顺序匹配,为了确保网络服务正常工作,并保证公司内部网络的安全性,请将下表补充完整:
答:(15)F0->F1
解析:根据上下文得知,此处是外网经过防火墙的F0端口->F1端口访问内网服务器,因此3、4、5这三条ACL规则的方向是一样的,即F0->F1
(16)SMTP
解析:根据下面一行的POP3协议(接收电子邮件),所以此处就为发送电子邮件协议(SMTP)
(17)25
解析:发送电子邮件协议(SMTP)的端口号为25
(18)允许
解析:根据上下文,可以判断允许发送电子邮件,因此此处填允许
(19)110
解析:纯知识点,考察POP3的端口号110
(20)拒绝
解析:公网直接访问内网和DMZ为拒绝
===========================分界线===================================
案例四:
某便利店要为收银台PC、监控摄像机、客户的无线终端等提供网络接入,组网方案如下图所示,网络中各设备IP分配和所属VLAN如下表所示,其中vlan1的接口地址是192.168.1.1,vlan10的接口地址是192.168.1.10
案例分析一:
配置无线路由器,用网线将PC的(1)端口与无线路由器相连,在PC端配置固定IP地址为192.168.1.x/24,在浏览器地址栏输入http://192.168.1.1,使用默认账号登录(2)界面
答:(1)RJ45
解析:使用电脑对网络设备无线路由器进行配置,可以有多种连接方式,其中硬件连接包括Console控制台接口、AUX拨号电话接口、普通网络接口(RJ45以太网接口和串口等),软件登录包括,超级终端、IE浏览器、命令行、专业软件界面等,此处电脑和无线路由器应该采用网线连接,即R45端口
(2)Web管理
解析:用户通过浏览器登录无线路由器,对应的选项是通过Web管理网络设备,所有登录的是Web管理界面
案例分析二:
有线网段配置截图如下图所示:
参照上面的组网方案图和上面的有线网段配置图,给出无线网段的属性参数,VLAN接口(VLAN编号):(3);接口状态:(4);是否启用DHCP服务(5)。
答:(3)vlan10
解析:要求给出无线网段的vlan接口编号,查表得到是vlan10,注意不是有线vlan编号
(4)开启
解析:根据上图所示,状态为开启
(5)否
解析:根据图示,DHCP服务未开启
案例分析三:
在案例分析二所示图中的参数MTU的含义是(6),在(7)中MTU缺省数值1500字节。
答:(6)最大数据传输单元
解析:MTU的含义是最大传输单元(Maximum Transmission Unit,MTU)是指一种通信协议的某一层上面所能通过的最大数据包大小(以字节为单位)
(7)以太网
解析:以太网中MTU缺省值是1500字节,一些常见的缺省值如下:
① FDDI协议:4352字节
② 以太网(Ethernet)协议:1500字节
③ PPPoE(ADSL协议):1492字节
④ X.25协议(Dial Up/Modem):576字节
⑤ Point-to-Point:4470字节
案例分析四:
某设备得到的IP地址是192.168.10.2,该设备是(8)
答:(8)客户的移动设备,比如手机
解析:从IP地址192.168.10.2可以看出属于无线网段,一次该设备是一台移动设备,比如手机等
案例分析五:
下图是进行网络攻击防范的配置界面,该配置主要是对(9)和(10)类型的攻击进行防范
答:(9)DOS
解析:
① 根据上图SYN Flood是一种DoS(解决服务攻击),是DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方案资源耗尽(CPU满负荷或内存不足)的攻击方式
② ICMP FLOOD同样也是DoS攻击,通过对其目标发送超过65535字节的数据包,就可以令目标主机瘫痪,如果大量发送就成了洪水攻击
③ UDP FLood是流量型DoS攻击,利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器,由于UDP协议是一种无连接的服务,只要开了一个UDP端口提供相关服务,攻击者可发送大量伪造源IP地址的UDP包进行攻击。
(10)DDOS
解析:同上
案例分析六:
该便利店无线上网采用共享秘钥认证,采用WPA2机制和(11)位AES加密算法
答:(11)128
解析:WPA2,即WPA加密的加强版,它是WIFI联盟验证过的IEEE802.11i标准的认证形式,WPA2实现了802.11i的强制性元素,特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES(高级加密)所取代,AES加密数据块和秘钥长度可以是128位、192位、256位等
=============================分界线==================================
案例五:
下图是某互联网企业网络拓扑,该网络采用二层结构,网络安全设备有防火墙、入侵检测系统,楼层接入交换机32台,全网划分17个VLAN,对外提供Web和邮件服务,数据库服务器和邮件服务器均安装CentOS操作系统(Linux平台),Web服务器安装Windows 2008操作系统
案例分析一:
SAN常见方式有FC-SAN和IP-SAN,在上图中,数据库服务器和存储服务器设备连接方式为(1),邮件服务器和存储服务器设备连接方式为(2),虚拟化存储常用文件系统格式有CIFS、NFS,为邮件服务器分配存储空间时,应采用的文件系统格式为(3),为Web服务器分配存储空间时,应采用的文件系统格式为(4)
答(1)FC-SAN
解析:根据上面网络拓扑图可知,数据库服务器通过光纤交换机与存储设备(磁盘阵列)连接,采用FC光纤通道传输,故连接方式为FC-SAN
(2)IP-SAN
解析:根据上面网络拓扑图可知,邮件服务器通过服务器区汇聚交换机连接到存储虚拟化,采用IP网络传输,故连接方式为IP-SAN
(3)NFS
解析:根据实际应用可以得知大部分的邮件服务器的操作系统为Liunx,而NFS存储格式常用语Linux,因此邮件服务器应采用的文件系统格式为NFS
(4)CIFS
解析:根据实际应用可以得知大部分的Web服务器的操作系统为Windows,而CIFS存储格式常用语Windows,因此Web服务器应采用的文件系统格式为CIFS
案例分析二:
该企业采用RAID5方式进行数据冗余备份,请从存储效率和存储速率两个方面比较RAID1和RAID5两种存储方式,并简要说明采用RAID5存储方式的原因
答:(1)RAID1的磁盘利用率为n/2,读写性能较低
(2)RAID5的磁盘利用率为n-1,读写性能高
总结:RAID1是一种镜像存储阵列,存储数据时,将一块磁盘的内容完全复制到另一块磁盘上,进行100%的完全备份,数据可靠性、安全性高,但是磁盘利用率低,仅为N/2,存储成本高,写数据时需要同时写入备份磁盘,写效率低
RAID5是一种分布式奇偶校验存储阵列,将磁盘条带化分割,相同的条带区进行奇偶校验,将校验数据平均分布到每块磁盘,磁盘利用率为N-1,缺点是当其中一块磁盘故障时,读写性能下降很多,实际应用中,发现磁盘故障应及时更换
解析:1.RAID1介绍:下图是RAID1的结构
(1)工作原理
① RAID1是将一个两块硬盘所构成RAID磁盘阵列,其容量仅等于一块硬盘的容量,因为另一块只是当作数据“镜像”。
② RAID 1磁盘阵列显然是最可靠的一种阵列,因为它总是保持一份完整的数据备份。它的性能自然没有RAID 0磁盘阵列那样好,但其数据读取确实较单一硬盘来的快,因为数据会从两块硬盘中较快的一块中读出。
③ RAID 1磁盘阵列的写入速度通常较慢,因为数据得分别写入两块硬盘中并做比较。RAID 1磁盘阵列一般支持“热交换”,就是说阵列中硬盘的移除或替换可以在系统运行时进行,无须中断退出系统。
④ RAID 1磁盘阵列是十分安全的,不过也是较贵一种RAID磁盘阵列解决方案,因为两块硬盘仅能提供一块硬盘的容量。
⑤ RAID 1磁盘阵列主要用在数据安全性很高,而且要求能够快速恢复被破坏的数据的场合。
(2)优缺点
① RAID1通过硬盘数据镜像实现数据的冗余,保护数据安全,在两块盘上产生互为备份的数据,当原始数据繁忙时,可直接从镜像备份中读取数据,因此RAID1可以提供读取性能。
② RAID1是硬盘中单位成本最高的,但提供了很高的数据安全性和可用性,当一个硬盘失效时,系统可以自动切换到镜像硬盘上读/写,并且不需要重组失效的数据。
③ Raid1(镜像/双工)优缺点:1.数据安全性高 2.磁盘利用率50%,利用率最低
2.RAID5介绍:下图是RAID5的结构
(1)工作原理
RAID5和RAID4一样,数据以块为单位分布到各个硬盘上。RAID 5不对数据进行备份,而是把数据和与其相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。当RAID5的一个磁盘数据损坏后,利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。
(2)读写
用简单的语言来表示,至少使用3块硬盘(也可以更多)组建RAID5磁盘阵列,当有数据写入硬盘的时候,按照1块硬盘的方式就是直接写入这块硬盘的磁道,如果是RAID5的话这次数据写入会根据算法分成3部分,然后写入这3块硬盘,写入的同时还会在这3块硬盘上写入校验信息,当读取写入的数据的时候会分别从3块硬盘上读取数据内容,再通过检验信息进行校验。当其中有1块硬盘出现损坏的时候,就从另外2块硬盘上存储的数据可以计算出第3块硬盘的数据内容。也就是说raid5这种存储方式只允许有一块硬盘出现故障,出现故障时需要尽快更换。当更换故障硬盘后,在故障期间写入的数据会进行重新校验。 如果在未解决故障又坏1块,那就是灾难性的了。
(3)存储
RAID5把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上,其中任意N-1块磁盘上都存储完整的数据,也就是说有相当于一块磁盘容量的空间用于存储奇偶校验信息。因此当RAID5的一个磁盘发生损坏后,不会影响数据的完整性,从而保证了数据安全。当损坏的磁盘被替换后,RAID还会自动利用剩下奇偶校验信息去重建此磁盘上的数据,来保持RAID5的高可靠性。
做raid 5阵列所有磁盘容量必须一样大,当容量不同时,会以最小的容量为准。 最好硬盘转速一样,否则会影响性能,而且可用空间=磁盘数n-1,Raid 5 没有独立的奇偶校验盘,所有校验信息分散放在所有磁盘上, 只占用一个磁盘的容量。
(4)Raid5(条带技术+分布式校验)优点:1.高可用性2.磁盘利用效率较高(N-1),没有固定的校验盘,奇偶校验信息均匀分布在阵列所属的磁盘中3.随机读写性能高允许在同一组进行多个并发操作。4.存储成本相对较低;能够支持在一块盘离线的情况下保证数据的正常访问,是运用较多的一种解决方案。
(5)RAID 5的缺点是写入数据的速度比对单个磁盘进行写入操作稍慢。
(6)RAID5和RAID1的比较
① 读写方面:RAID1读和单个磁盘没有区别,写则需要两边都写;RAID5读性能最好,写性能小于对单个磁盘进行写入操作;所以RAID1适合读操作多的情景而RAID5适合写操作多的情景。
② 安全性:RAID1高于RAID5。
③ 磁盘利用率:RAID5高于RAID1。
④ 成本:RAID1高于RAID5。
⑤ 应用方面:RAID1适合存放重要数据;RAID5是一种存储性能、数据安全和存储成本兼顾的方案。
案例分析三:
网络管理员接到用户反映,邮件登录非常缓慢,按以下步骤进行故障诊断:
1.通过网管机,利用(5)登录到邮件服务器,发现邮件服务正常,但是连接时断时续
2.使用(6)命令诊断邮件服务器的网络连接情况,发现网络丢包严重,登录服务器区汇聚交换机S1,发现连接邮件服务器的端口数据流量异常,收发包量很大
3.根据以上情况,邮件服务器的可能故障为(7),应采用(8)的办法处理上述故障
答:(5)ssh
解析:根据案例分析一得知,邮件服务器为Linux系统,远程连接一般采用SSH登录
(6)ping
解析:ping命令的作用是震旦网络连通性和丢包情况,符合题意
(7)感染病毒
解析:题意故障表现为丢包严重并且连接该服务器的交换机接口流量异常,一般原因是感染病毒、木马等,造成邮件服务器对外发包异常
(8)安装防病毒软件
解析:根据上题得知需要安装杀毒软件进行病毒查杀
案例分析四:
上述企业网络拓扑存在的网络安全隐患有(9)、(10)、(11)
答:(9)缺少针对来自局域网内部的安全防护措施
解析:只在网络出口部署了防火墙,而内部用户与服务器区未做任何安全防范措施,建议在服务器区汇聚交换机与核心交换机之间部署网络安全设备,防范来自内部局域网的网络安全隐患
(10)缺少防病毒措施
解析:从案例分析三中得知,邮件服务器未安装杀毒软件,应尽快安装杀毒软件
(11)缺少Web安全防护措施
解析:该企业对外提供Web服务,但是未做Web安全的相关防范措施,建议增加IPS或者WAF等安全设备
================================分界线==================================
案例六:
某公司的网络拓扑结构如下图所示:
案例分析一:
为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务器以及外部网络进行逻辑隔离,其网络结构如上图所示。
包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为(1)的ACL根据IP报文的(2)域进行过滤,称为(3);编号为(4)的ACL根据IP报文中的更多域对数据包进行控制,称为(5)
答:(1)2000--2999
解析:根据“编号为(4)的ACL根据IP报文中的更多域对数据包进行控制”此处应该填写基本访问控制列表的编号,为2000--2999
(2)源IP地址
解析:根据上题得知编号为2000--2999的是基本访问控制列表,基本访问控制列表使用源IP地址对数据报文进行过滤
(3)基于访问控制列表
解析:同上
(4)3000--3999
解析:根据“编号为(4)的ACL根据IP报文中的更多域对数据包进行控制”判断此处是高级访问控制列表,编号为3000--3999
(5)高级访问控制列表
解析:高级访问控制列表可基于源IP地址、目的IP地址、端口号等更多的域对数据包进行过滤
案例分析二:
根据网络拓扑图,防火墙的三个端口,端口⑥是(6)、端口⑦是(7)、端口⑧是(8)
答:(6)外部网络 Untrust
(7)非军事区 DMZ
(8)内部网络 Trust
解析:防火墙的三个接口类型Untrust口、DMZ口、Trust口
案例分析三:
公司内部IP地址分配如下:
1.为保护内网安全,防火墙的安全配置要求如下:
(1)内外网用户均可访问Web服务器,特定主机200.120.100.1可以通过Telnet访问Web服务器
(2)禁止外网用户访问财务服务器,禁止财务部门访问Internet,允许生成部门和行政部门访问Internet
根据以上需求,请按照防火墙的最小特权原则补充完整下面的表格:
2.若调换上面配置中的第3条和第4条规则的顺序,则(16)
答:(9)10.10.200.1
解析:根据“内外网用户均可访问Web服务器”这句话可以推断出此处是Web服务器的IP地址
(10)80
解析:根据后面的WWW协议可知此处是WWW的端口80
(11)200.120.100.1
解析:根据“特定主机200.120.100.1可以通过Telnet访问Web服务器”这句话可知源地址是特定主机的IP地址200.120.100.1
(12)23
解析:根据“特定主机200.120.100.1可以通过Telnet访问Web服务器”这句和协议telnet判断此处是Telnet的端口号为23
(13)192.168.10.0/23
解析:根据“允许生成部门和行政部门访问Internet”这句话得知,源地址为生产部门192.168.10.0/24和源地址为行政部门192.168.11.0/24,路由汇聚后是192.168.10.0/23
(14)允许
解析:根据上题知道是允许
(15)拒绝
解析:根据“禁止外网用户访问财务服务器,禁止财务部门访问Internet”得知,此处填拒绝
(16)内网用户将无法范围Internet
3.在上面的配置中,是否实现了“禁止外网用户访问财务服务器”这条规则?
答:实现了“禁止外网用户访问财务服务器”,因为上面配置第四条规则,默认拒绝了其他所有的流量,也包括外网用户,实现了财务服务器的安全
===============================分界线=================================
案例七:
下图是某企业的网络拓扑图,网络区域分为办公区域、服务器区域和数据区域,线上商城系统为公司提供产品在线销售服务,公司网络保障部负责员工电脑和线上商城的技术支持和保障工作
案例分析一:
某天,公司有一台电脑感染“勒索”病毒,网络管理员应采取(1)、(2)、(3)措施
答:(1)断开已感染主机的连接
(2)为其他电脑升级系统漏洞补丁
(3)网络层禁止135/137/139/445端口的TCP连接
解析:1.勒索病毒:是一种新型的电脑病毒,主要以邮件、程序木马、网页木马的形式进行传播,这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解
2.防范措施如下:
① 立即组织内网检测,查找所有开放445 SMB服务端口的终端服务器
② 一旦发现中毒机器,立即断网处理,目前对硬盘格式化可清除病毒
③ 启用并打开Windows防火墙,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则,关闭UDP135/445/137/138/139端口,关闭网络文件共享
④ 严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备
⑤ 尽快备份电脑中的重要文件资料,建议找专业公司恢复破解
案例分析二:
根据网络拓扑图,为提高线上商城的并发能力,公司计划增加两台服务器,三台服务器同时对外提供服务,通过在图中(4)设备上执行(5)策略,可以将外部用户的访问负载平均分配到三套服务器上
其中一台服务器的IP地址为192.168.20.5/27,请将配置代码补充完整
ifcfg-em1配置片段如下:
DEVICE=em1
TYPE=Ethernet
UUID=36878246-2a99-43b4-81df-2bd1228eea4b
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=none
HWADDR=90:E1:1C:51:F8:25
IPADDR=192.168.20.5NETMASK=(6)
GATEWAY=192.168.20.30
DEFROUTE=yes IPV4_FAILURE_FATAL=yes
IPV6INIT=no
配置完成后,执行systemctl(7)network命令重启服务
答:(4)负载均衡
解析:在大型网络架构上,负载均衡有多种方式,其中负载均衡算法中的轮询法是最简单的负载均衡算法,其基本思路就是对所有服务器的节点按顺序分配,每个服务器的概率是等同的,这种情况适合于服务器的性能等指标一样的情况
(5)轮询
解析:在大型网络架构上,负载均衡有多种方式,其中负载均衡算法中的轮询法是最简单的负载均衡算法,其基本思路就是对所有服务器的节点按顺序分配,每个服务器的概率是等同的,这种情况适合于服务器的性能等指标一样的情况
(6)255.255.255.224
解析:根据题意“其中一台服务器的IP地址为192.168.20.5/27”可知另外两台服务器也和这台服务器同一网段,子网掩码是一样的,即/27为255.255.255.224
(7)restart
解析:考察Linux重启命令:restart
Linux网络相关命令如下:
# systemct1 start network
# systemct1 restart network
# systemct1 stop network
# systemct1 reload network
# systemct1 status network
案例2分析三:
网络管理员发现线上商城系统总是受到SQL注入,跨站脚本等攻击,公司计划购置(8)设备/系统,加强防范;该设备应部署在网络拓扑图中设备①~④的(9)
答:(8)WAF (Web应用防护系统)
解析:1.SQL注入攻击是黑客对数据库进行攻击的常用手段之一,用户通过浏览器地址栏,可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据和权限,这就是所谓的SQL Injection,即SQL注入攻击
2.跨站脚本攻击:即Cross Site Script Execution(通常简写为XSS)是指关键字利用网站页面上飘动的图片或者动态视频内嵌的脚本代码等,用户点击后实施盗取资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式
3.Web应用防护系统简称WAF:通过执行一些列针对HTTP/HTTPS的安全策略来专门为Weeb应用提供保护的一款设备,可有效防范SQL注入、跨站脚本攻击等
(9)④处
解析:WAF放在企业对外提供网站服务的DMZ非军事区域或者放在数据中心服务区域,总之,决定WAF部署位置的是WEB服务器的位置,因为WEB服务器是WAF所保护的对象,部署时当然要使WAF靠近WEB服务器
案例分析四:
根据网络拓扑图,分析存储域网络采用的是(10)网络
答:(10)FC-SAN
解析:1.根据网络拓扑图所示,备份存储连接的方式,连接光纤交换机(FC交换机),所以是FC-SAN
2.SAN分为两类:
① IP-SAN:通过普通的网线来连接以太网交换机
② FC-SAN:通过光纤来连接交换机
====================================分界线==============================
案例八:
某企业网络拓扑图如下所示,无线接入区域安装若干无线AP(无线访问接入点)供内部员工移动设备连接访问互联网,所有AP均由AC(无线控制器)统一管控,请结合下图回答问题:
案例分析一:
部分无线用户反映WLAN无法连接,网络管理员登录AC查看日志,日志显示AP-03掉线无法管理,造成该故障的可能原因包括(1)、(2)、(3)
答:(1)AP与AC连接断开
(2)AP断电
(3)由于自动升级造成AC、AP版本不匹配
解析:根据文中“日志显示AP-03掉线无法管理”掉线原因通常为:AP停电你、AP被阻挡与AC的连接断开、AP故障损毁或版本不兼容
案例分析二:
网管在日常巡检中发现,数据备份速度特别慢,经排查发现:
1.交换机和服务器均为千兆接口,接口设置为自协商状态
2.连接服务器的交换机接口当前速率为100M,服务器接口当前的速率为1000M
造成故障的原因包括:(4)、(5)
处理措施包括:(6)、(7)
答:(4)网络适配器(网卡)故障
解析:物理链路中断会造成无法通讯,所以此处不能填写物理链路问题,备份软件设置一般设置好就不会再改动,也不会影响低层的传输速率,可能是网络适配器(网卡)质量问题或者过热,不能自动协商成1000兆,造成两端网速为100兆,进而导致数据备份速度特别慢
(5)网线质量问题
解析:物理链路中断会造成无法通讯,所以此处不能填写物理链路问题,备份软件设置一般设置好就不会再改动,也不会影响低层的传输速率,可能是网线质量有问题,导致网络丢包影响速率,进而导致数据备份速度特别慢
(6)更换网络适配器(网卡)
解析:根据上面问题(4)采取的措施为更换网络适配器(网卡)
(7)检查传输介质
解析:根据上面问题(5)采取的措施为检查或者更换传输介质
案例分析三:
常见的无线网络安全隐患有IP地址欺骗、数据泄露
脚本层: 前端安全工程师: 核心层: 渗透测试工程师: 前端安全工程师: 软件漏洞分析: 游戏安全工程师: 调试破解: 协议分析: 软件逆向 TCP/IP 漏洞分析工程师: 软件漏洞分析 病毒分析工程师: 软件漏洞分析 内核安全工程师: 内核开发工程师: 软件逆向
软件逆向