高级网络规划设计师案例分析

证券公司A拥有总部网络和多个营业部网络，在各地营业部网络和总部网络之间通过互联网网络连接。每个营业部大约有员工50~60多人。具体拓扑如图1所示。

【问题1】（10分）

根据券商网络安全防范需求，需在不同位置部署不同的安全设备，进行不同的安全防范。

为了避免券商网站服务器被非法攻击和篡改，需要部署（1）

为了方便分析网络攻击和网络访问情况，同时对日志进行备份，需要部署（2）

为了审计系统管理员的操作，方便系统管理员安全远程管理多台服务器与管理系统，需要部署（3）

为了对关键数据进行备份，实现虚拟化备份，需要部署（4）

为了规范管理员的数据库操作，对删除、插入字段等行为进行监管，需要部署（5）

A.防火墙 B. IDS C. IPS D.WAF

E.数据库审计 F.日志备份与审计 G.堡垒机 H.备份一体机

【问题2】（6分）

通常的IDS采用何种方式接入网络？IPS采用何种方式接入网络？IPS与IDS最大不同在哪里？

【问题3】（4分）

桌面虚拟化为券商实现移动办公、构建轻型营业部、实现非现场开户、实现股票行情、交易系统虚拟化带来了较大的便利。但虚拟化技术并不尽人意，简述现阶段虚拟化技术的缺点。

【问题4】（2分）

证券行业在实现交易大集中后，证券公司的技术风险随之向券商总部集中，应《网络安全法》要求，券商的某交易系统被定为等保三级，为了确保该系统安全同时符合等级保护制度，该信息系统，应每（1）年做一次等保测评。

A.1 B.2 C.3 D.4

【问题5】（3分）

注入语句：http：//xxx．xxx.xxx/abc.asp?pYY and user>0，不仅可以判断服务器的后台数据库是否为SQL-SERVER，还可以得到(1)。

A．当前连接数据库的用户数量

B．当前连接数据库的用户名

C．当前连接数据库的用户口令

D．当前连接的数据库名

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】图1-1是网企业网络拓扑结构图。根据题意，回答问题1-问题5。

【问题1】（6分）根据该公司网络规划和安全设计需求，需在相应的位置部署设备，为拓扑图中的相应位置部署合适的安全设备。在设备1处部署(1)，在设备2处部署(2)，在设备3处部署(3)，在设备4处部署(4)，设备5处部署（5），设备6处部署（6）。(1)～(6)备选答案：A．防火墙 B．入侵检测系统(IDS) C．接入路由器 D.FC交换机 E.千兆交换机 F.WAF【问题2】（6分）为了加强对数据存储资源的管理和利用，节省设备投入。在应用服务器和数据库服务器之间需要尽可能高速，稳定的存储资源池，因此适合采用 （7）存储技术，而Web服务器也希望能共享存储资源池，根据拓扑结构图，从技术角度考虑，只能使用（8）。（9）技术是一种可以供硬件设备使用的在（10）协议的上层运行的SCSI指令集，这种指令集可以实现在IP网络上运行SCSI协议，能够在千兆以太网上进行路由选择。这种设计虽然能在技术上实现，但是可能存在（11）的安全问题。【问题3】（4分）存储资源池建设中，目前主要可选的磁盘有SATA、SAS，和SSD三种。适用于大、中型企业关键任务资料的存储的磁盘是（12），适合高性价比，海量资源存储的是（13），适合大批量，小数据库快，高随机读写频率的是（14）。这三种硬盘中，IOPS最高的是（15）。【问题4】（4分）在单个磁盘无法满足高的读写速率是，可以使用（16）技术提高读写速率和数据可靠性。 该技术的核心是（17），就是一个数据分成多个段，每段数据分别写入到阵列中的不同磁盘上。为了提高传输的性能，在其他条件不变时应该（18）条带大小:【问题5】（5分）若随着存储区域网络规模的扩大，原来的FC交换机端口不够，则可以通过（19）方式，将多个光纤交换机组成一个大规模的(20),它就像一个大型的、虚拟的（21）。

某测评公司依照国家《计算机信息系统安全保护等级划分准则》、《网络安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，以及某大学对信息系统等级保护工作的有关规定和要求，对某大学的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导该大学信息化人员将定级材料提交当地公安机关备案。【问题1】（7分）测评公司小李分析了某大学现有网络拓扑结构，认为学校信息系统网络系统未严格按“系统功能、应用相似性”、“资产价值相似性”、“安全要求相似性”、“威胁相似性”等原则对现有网络结构进行安全区域的划分。导致网络结构没有规范化、缺少区域访问控制和网络层防病毒措施、不能有效控制蠕虫病毒等信息安全事件发生后所影响的范围，从而使得网络和安全管理人员无法对网络安全进行有效的管理。因此，小李按照学校系统的重要性和网络使用的逻辑特性划分安全域，具体将学校网络划分为外部接入域、核心交换域、终端接入域、核心数据域、核心应用域、安全管理域、存储网络域共7个域，具体拓扑如图1所示。请将7个域名称，填入图1（1）~（7）空中。

【问题2】（8分）某高校信息中心张主任看到该拓扑图后，认为该拓扑图可能存在一些明显的设计问题。请依据个人经验，回答下列问题。（1）核心交换域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？（2）核心应用域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？【问题3】（6分）测评公司小李把测评指标和测评方式结合到信息系统的具体测评对象上，构成了可以具体测评的工作单元。具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个层面。通过访谈相关负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿属于（8）测评；通过访谈安全员，检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力属于（9）测评；通过访谈系统建设负责人，检查相关文档，测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展属于（10）测评。【问题4】（4分）简述部署漏洞扫描系统带来的好处。

某大型企业早期拥有各类管理信息系统10多个，企业信息办副主任老张设计了高可靠性机房，并购置了大量的服务器，用于承载相关应用。每台服务器上运行一到两个重要应用。近年来，企业发展迅速，企业应用迅速扩展到80多个，现有服务器需要淘汰一批、更新一批。信息办小李设计了新的机房服务器扩展和存储方案，并设计了新的服务器拓扑图，如图1所示。信息办副主任老张认为，该方案还存在较多的问题，并没有降低管理效率。但小李并不认同老张的看法。

【问题1】（6分）你同意小李的服务器配置方案吗？并说明理由。【问题2】（8分）在虚拟化计算资源设计时，需要遵循一些基本的原则。请判断并标记以下说法的正确性。（1）单个虚拟服务器配置CPU、内存可以超过物理计算资源集群中单台物理机的最大CPU、内存配置。 （ ）（2）单台物理服务器上所有虚拟主机的VCPU之和不超过物理机总核心的1.5倍。（ ）（3）单台物理服务器上所有虚拟主机内存之和不超过物理机内存的200%。 （ ）（4）为了利用存储空间，可以考虑把老旧服务器的内置硬盘利用起来，存放虚拟机。（ ）【问题3】（6分）（1）简述虚拟化裸金属架构，简述其优缺点。（2）简述虚拟化寄居架构，简述其优缺点。【问题4】（2分，多选题）以下选项中（1）属于虚拟化的关键特征A.分区B.隔离C.封装D.独立性【问题5】（3分）新服务器拓扑图中，存储网络部分是否存在单点故障？应该如何改进？

以下是某公司的网络拓扑图，公司要求全网范围内实现IP地址的动态分配，请根据拓扑图将配置补充完整。

【问题1】（5分）图中的区域（a）的名称是（1），区域（b）的名称是（2），区域（c）的名称是（3），若设备是华为设备，其中区域（C）的默认安全级别是（4）。此防火墙工作模式是（5）。【问题2】（7分）公司的服务器群主要部署了基于WEB的各种应用，尽管在防火墙上设置相应的安全措施，在实际应用中，服务器群总是遭到各种攻击。管理员用网络监测工具发现大量的如下URL：http://www.abc.com/showdetail.asp?id=1 and (select count(*) from sysobjects)>0http://www.abc.com/showdetail.asp?id=1 and user>0…则公司的服务器遭受了（6）攻击，合理的解决方法是（7）。也可以在防火墙的区域(b)与switch5之间部署（8）设备增强Web服务的安全。【问题3】（6分）以下是设备的部分配置，根据题意完成命令填空或者解释。…[Switch1]vlan 2 创建vlan2、3[Switch1-vlan2]quit[Switch1]vlan 3 [Switch1-vlan3]quit[Switch1]vlan 100 [Switch1-vlan100]quit[Switch1] （9） //配置名为net1的地址池[Switch1-ip-pool-net1] （10）[Switch1-ip-pool-net1] gateway-list 192.168.1.254[Switch1-ip-pool-net1] dns-list （11）[Switch1-ip-pool-net1] quit[Switch1][Switch1] ip pool net2[Switch1-ip-pool-net2] network 192.168.2.0 mask 255.255.255.0 [Switch1-ip-pool-net2] gateway-list 192.168.2.254[Switch1-ip-pool-net2] dns-list 114.114.114.114 [Switch1-ip-pool-net2] static-bind ip-address 192.168.2.10 mac-address 0001-1111-2222 [Switch1-ip-pool-net2] quit….[Switch1] （12）[Switch1-Vlanif2] ip address （13）[Switch1-vlanif2] （14） //接口下开启全局DHCP分配功能[Switch1-Vlanif2] quit[Switch1][Switch1] interface vlan 3[Switch1-Vlanif3] ip address 192.168.2.254[Switch1-vlanif3] dhcp select global [Switch1-Vlanif3] quit[Switch1][Switch1] interface vlan 100[Switch1-Vlanif100] ip address 192.168.100.254[Switch1-Vlanif100] quit[Switch1]【问题4】（5分）系统运行一段时间，内网不断有用户报告网络故障，不能访问Internet。管理员在故障机器上，使用（15）命令，可以得到如下信息

则该故障的原因是（16），解决故障的方法是（17）。【问题5】（2分）根据拓扑图，防火墙需要配置默认路由，则正确的命令是（18）和内网的回程路由（19）

某银行上海中心机房是某行信息化运行的核心。机房服务承载了该行的大量业务系统，这些系统在运行过程中产生了大量的数据，而这些数据是银行业务的核心和最重要的资产之一。为保证该银行的操作系统、集群软件及应用、数据库等正常运行，需要提供额外的大数据量存储，而原有的存储容量、负载都无法满足信息迅猛增长及对存储系统高性能、高可用性的要求。为此，银行向某集成商购买了一套SAN存储系统。当存储设备到货时，集成商技术员小李拟按图1方式构建RAID级别。而存储厂商工程师朱工认为需要按图2方式构建RAID级别。其中，Di表示数据段，Pi表示校验段。

【问题1】（5分）图1所示的RAID方式是（1） ，请简述该方式的优缺点。【问题2】（5分）图2所示的RAID方式是（2） ，请简述该方式的优缺点。【问题3】（4分）结合项目实际，请指出小李和朱工的构建RAID方式，哪一种最合适，并说明理由。【问题4】（5分）存储厂商刘工指出，朱工的构建RAID方式存在安全隐患，还需要为每个RAID组分配一块HotSpare盘。这种配置HotSpare盘的方式属于全局方式还是局部方式？请简述HotSpare盘的功能。【问题5】（4分）图1 所示，RAID 的条带深度是（3）KB，条带宽度是（4）。【问题6】（2分）RAID5中最低需要（5）块盘才能实现写并发。