网络规划师第 9 章 网络安全解决方案和病毒防护.docx
- 文档编号:3714236
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:78
- 大小:863.91KB
网络规划师第 9 章 网络安全解决方案和病毒防护.docx
《网络规划师第 9 章 网络安全解决方案和病毒防护.docx》由会员分享,可在线阅读,更多相关《网络规划师第 9 章 网络安全解决方案和病毒防护.docx(78页珍藏版)》请在冰点文库上搜索。
网络规划师第9章网络安全解决方案和病毒防护
第9章:
网络安全解决方案和病毒防护
试题1(2016年下半年试题3)
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
图3-1是某互联网服务企业网络拓扑,该企业主要对外提供网站消息发布、在线销售管理服务,Web网站和在线销售管理服务系统采用JavaEE开发,中间件使用Weblogic,采用访问控制、NAT地址转换、异常流量检测、非法访问阻断等网络安全措施。
【问题1】(6分)
根据网络安全防范需求,需在不同位置部署不同的安全设备,进行不同的安全防范,
为上图中的安全设备选择相应的网络安全设备。
在安全设备1处部署
(1);
在安全设备2处部署
(2);
在安全设备3处部署(3)。
(1)~(3)备选答案:
(3)A.防火墙 B.入侵检测系统(IDS) C.入侵防御系统(IPS)
【问题2】(6分,多选题)
在网络中需要加入如下安全防范措施:
(4)A.访问控制
B.NAT
C.上网行为审计
D.包检测分析
E.数据库审计
F.DDoS攻击检测和阻止
G.服务器负载均衡
H.异常流量阻断
I.漏洞扫描
J.Web应用防护
其中,在防火墙上可部署的防范措施有(4);
在IDS上可部署的防范措施有(5);
在口S上可部署的防范措施有(6)。
【问题3】(5分)
结合上述拓扑,请简要说明入侵防御系统(IPS)的不足和缺点。
【问题4】(8分)
该企避网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告,报告
内容包括:
1.利用Java反序列化漏洞,可以上传jsp文件到服务器。
2.可以获取到数据库链接信息。
3.可以链接数据库,查看系统表和用户表,获取到系统管理员登录帐号和密码信息,
其中登录密码为明文存储。
4.使用系统管理员帐号登录销售管理服务系统后,可以操作系统的所有功能模块。
针对上述存在的多处安全漏洞,提出相应的改进措施。
试题分析
问题1 :
A B C
试题分析:
内网用户去往外网需要部署NAT,安全设备1部署防火墙。
看图安全设备2旁挂,部署IDS对网络流量进行检测不影响网络。
在安全设备3处部署IPS可以对服务器进行防护。
问题2:
防火墙可部署A、B、G,IDS可部署C、D、E,IPS可部署F、H、I、J。
试题分析:
防火墙需要对内网用户NAT以供访问外网,对于域间做访问控制,外网访问服务器部署负载均衡。
IDS是入侵检测系统,对网络中的流量做审计与分析功能。
IPS是入侵防御系统,部署服务器侧针对DDOS攻击检测阻止、异常流量阻断、漏洞扫描、WEB应用防护。
问题3:
试题分析:
访问WEB服务器的流量都要经过IPS,IPS是入侵防御系统,IPS会对数据包做重组,会对数据的传输层,网络层,应用层中各字段做分析并与签名库做比对,如果没有问题,才转发出去。
IPS规划在这个位置会加大网络的延迟。
同时,网络中部署一个IPS会存在有单点故障。
问题4:
1、针对此安全及时更新补丁,采取相应措施防止反序列化漏洞
2、软件代码设计严谨,避免不安全代码执行
3、数据库相关安全设置,帐号密码采用密文等加密手段
4、各个系统的登录帐号密码采取不同的字符。
试题分析:
Java反序列划漏洞:
产生原因是java类ObjectInputStream在执行反序列化时,并不会对自身的输入进行检查,这就说明恶意攻击者可能也可以构建特定的输入,在ObjectInputStream类反序列化之后会产生非正常结果,利用这一方法就可以实现远程执行任意代码。
现在新的版本进行了安全处理,对这些不安全的Java类的序列化支持增加了开关,默认为关闭状态。
另外也可以删除特定文件防止此漏洞。
上传jsp恶意代码导致获取数据库链接信息,针对恶意代码做相应处理防止执行。
对于数据库可以进行相关安全设置,帐号密码采用密文等加密手段,各个系统的登录帐号密码采取不同的字符。
试题答案
(3)问题1:
(共6分)
(1)A
(2)B
(3)C
问题2:
(共6分)
(4)A、B、G
(5)C、D、E
(6)F、H、I、J
问题3:
(共5分)
访问WEB服务器的流量都要经过IPS,IPS是入侵防御系统,IPS会对数据包做重组,会对数据的传输层,网络层,应用层中各字段做分析并与签名库做比对,如果没有问题,才转发出去。
IPS规划在这个位置会加大网络的延迟。
同时,网络中部署一个IPS会存在有单点故障。
问题4:
(共8分)
1、针对此安全及时更新补丁,采取相应措施防止反序列化漏洞
2、软件代码设计严谨,避免不安全代码执行
3、数据库相关安全设置,帐号密码采用密文等加密手段
4、各个系统的登录帐号密码采取不同的字符。
试题2(2016年下半年试题41)
某计算机遭到ARP病毒的攻击,为临时解决故障,可将网关IP地址与其MAC绑定,正确的命令是( )。
(41)A.arp -a192.168.16.25400-22-aa-00-22--aa
B.arp -d192.168.16.25400-22-aa-00-22-aa
C.arp -r192.168.16.25400-22-aa-00-22-aa
D.arp -s192.168.16.25400-22-aa-00-22-aa
试题分析
试题答案
(41)D
试题3(2016年下半年试题42-43)
数字签名首先需要生成消息摘要,然后发送方用自己的私钥对报文摘要进行加密,接收方用发送方的公钥验证真伪。
生成消息摘要的算法为( ) ,对摘要进行加密的算法为( )。
(42)A.DES B.3DES C.MD5 D.RSA
(43)A.DES B.3DES C.MD5 D.RSA
试题分析
数字签名首先需要生成消息摘要,然后发送方用自己的私钥对报文摘要进行加密,接收方用发送方的公钥验证真伪。
生成消息摘要的算法为MD5或者SHA,对摘要进行加密的算法为公钥加密算法。
试题答案
(42)C(43)D
试题4(2016年下半年试题44)
DES加密算法的密钥长度为56位,三重DES的密钥长度为是( ) 位。
(44)A.168 B.128 C.112 D.56
试题分析
3DES算法:
密码学中,3DES是三重数据加密算法通称。
它相当于是对每个数据块应用三次DES加密算法,其中第一次和第三次是相同的秘钥。
由于计算机运算能力的增强,原版DES密码的密钥长度变得容易被暴力破解;3DES即是设计用来提供一种相对简单的方法,即通过增加DES的密钥长度来避免类似的攻击,而不是设计一种全新的块密码算法。
试题答案
(44)C
试题5(2016年下半年试题45)
PGP提供的是( )安全。
(45)A.物理层 B.网络层 C.传输层 D.应用层
试题分析
PGP(PrettyGoodPrivacy),是一个基于RSA公钥加密体系的邮件加密软件。
可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者,并能确信邮件没有被篡改。
它可以提供一种安全的通讯方式,而事先并不需要任何保密的渠道用来传递密匙。
试题答案
(45)D
试题6(2016年下半年试题46)
流量分析属于( )方式。
(46)A.被动攻击 B.主动攻击 C.物理攻击 D.分发攻击
试题分析
计算机网络上的通信面临以下四种威胁:
(1)截获:
攻击者从网络上窃听他人的通信内容。
(2)中断:
攻击者有意中断他人在网络上的通信。
(3)篡改:
攻击者故意篡改网络中传送的报文。
(4)伪造:
攻击者伪造信息在网络上的传送。
以上的四种威胁可以划分为两大类,即被动攻击和主动攻击。
在上述情况中,截获信息的攻击属于被动攻击,而中断、篡改和伪造信息的攻击称为主动攻击。
试题答案
(46)A
试题7(2016年下半年试题47)
明文为P,密文为C,密钥为K,生成的密钥流为KS,若用流加密算法,( )是正确的。
(47)A.C=P⊕KS B.C=P⊙KS C.C=PKS D.C=PKS (mod K)
试题分析
明文为P,密文为C,密钥为K,生成的密钥流为KS,若用流加密算法C=P⊕KS是正确的。
试题答案
(47)A
试题8(2016年下半年试题53)
某网络中PC1无法访问域名为的网站,而其他主机访问正常,在PC1上执行ping命令时有如下所示的信息:
C:
>ping
Pinging[202.117.112.36]with32bytesofdata:
Replyfrom202.117.112.36:
Destinationnetunreachable.
Replyfrom202.117.112.36:
Destinationnetunreachable.
Replyfrom202.117.112.36:
Destinationnetunreachable.
Replyfrom202.117.112.36:
Destinationnetunreachable.
Pingstatisticsfor202.117.112.36:
Packets:
Sent=4,Received=4,Lost=O(0%loss),
Approximateroundtriptunesinmilli-seconds:
Minimum=0ms,Maximum=0ms,Average=0ms
造成该现象可能的原因是( )。
(53)A.DNS服务器故障
B.PC1上TCP/lP协议故障
C.遭受了ACL拦截
D.PC1上hternet属性参数设置错误
试题分析
[202.117.112.36],说明DNS服务器、PC1上TCP/IP协议没有故障,PC1上Internet属性参数没有设置错误,最大可能就是数据包受到了ACL拦截。
试题答案
(53)C
试题9(2016年下半年试题55-58)
某企业采用防火墙保护内部网络安全。
与外网的连接丢包严重,网络延迟高,且故障持续时间有2周左右。
技术人员采用如下步骤进行故障检测:
1.登录防火墙,检查( ),发现使用率较低,一切正常。
2.查看网络内各设备的会话数和吞吐量,发现只有一台设备异常,连接数有7万多,而同期其他类似设备都没有超过千次。
3.进行( )操作后,故障现象消失,用户Internet接入正常。
可以初步判断,产生故障的原因不可能是( ),排除故障的方法是在防火墙上 ( )。
(55)A.内存及CPU使用情况 B.进入内网报文数量
C.ACL规则执行情况 D.进入Internet报文数量
(56)A.断开防火墙网络 B.重启防火墙
C.断开异常设备 D.重启异常设备
(57)A.故障设备遭受DoS攻击 B.故障设备遭受木马攻击
C.故障设备感染病毒 D.故障设备遭受ARP攻击
(58)A.增加访问控制策略 B.恢复备份配置
C.对防火墙初始化 D.升级防火墙软件版本
试题分析
某企业采用防火墙保护内部网络安全。
与外网的连接丢包严重,网络延迟高,且故障持续时间有2周左右。
技术人员采用如下步骤进行故障检测:
1.登录防火墙,检查内存及CPU使用情况,发现使用率较低,一切正常。
2.查看网络内各设备的会话数和吞吐量,发现只有一台设备异常,连接数有7万多,而同期其他类似设备都没有超过千次。
3.进行断开异常设备操作后,故障现象消失,用户Internet接入正常。
可以初步判断,产生故障的原因不可能是故障设备遭受ARP攻击,排除故障的方法是在防火墙上增加访问控制策略。
试题答案
(55)A(56)C(57)D(58)A
试题10(2015年下半年试题1)
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业网络拓扑如图1-1所示。
【问题1】(6分)
根据图1-1,对该网络主要设备清单表1-1所示内容补充完整。
【问题2】(8分)
1.网络中
(1)A.B设备连接的方式是什么?
依据
(2)A.B设备性能及双链路连接,计算两者之间的最大宽带。
2.交换机组F的连接方式是什么?
采用这种连接方式的好处是什么?
【问题3】(6分)
该网络拓扑中连接到各分部可采用租赁ISP的DDN、FrameRelay、ISDN线路等方式,请简要介绍这几种连接方式。
【问题4】(5分)
若考虑到成本问题,对其中一条连接用VPN的方式,在分部路由器上做下列配置:
sub-company(config)#cryptoisakmppolicy1
sub-company(config-isakmp)#encrydes
sub-company(config-isakmp)#hashmd5
sub-company(config-isakmp)#authenticationpre-share
sub-company(config)#cryptoisakmpkey6ciscoaddressx.x.x.x
该命令片段配置的是 (7)
(7)备选答案:
A、定义ESP
B、IKE策略
C、IPSceVPN数据
D、路由映射
在该配置中,IP地址x.x.x.x是该企业总部IP地址还是分布IP地址?
试题分析
【问题l】(6分)
根据图中的拓扑及网络分层的设计思想,就能解答出该题,题意中已给出Cisco6509设备是核心层设备,连接核心设备的C下面再连接了两台交换机,因此可以推断出该设备是汇聚层交换机。
D是与分部路由器相连的设备,根据题意和设备型号可以推断出是路由器。
E根据拓扑图及图标标识就可以推断出是防火墙。
(1)C
(2)汇聚交换机
(3)D
(4)路由器
(5)E
(6)防火墙
【问题2】(8分)
1,根据图中标识可以看出是采用链路聚合,也叫链路捆绑。
在两台设备间采用链路聚合后,在不考虑协议开销的前题下,其带宽是原来单链路带宽的2倍。
2,图中F组交换机先是串接在一起,最后上、下两个设备通过一条链路级联起来,该连接方式即是菊花式堆叠,该堆叠不但方便了对设备的管理,提供链路冗余,还提升了网络的可靠性,为保障该菊花式堆叠与上行设备的可靠性,该堆叠采用了双上行接入方式。
【问题3】(6分)
三种技术都是广域网的连接方式。
DDN:
专线连接方式,点对点通信,用户独占一条永久的、速率固定的专用线路,并独享带宽,延迟小,成本高,线路利用率低。
FrameRelay(帧中继):
分组交换技术的典型代表,点对多点通信,将传输的信息划分为一定长度的分组,采用动态复用技术来传送几个分组,虽然在任意时刻线路总是被某一个分组独占,但线路的带宽在统计上得到复用,有效提高了线路的利用率,由于要对数据进行分组,因此该技术相比专线方式延迟大,但成本低。
ISDN:
是电路交换技术的典型代表,延迟小,点对点通信,线路利用率低。
【问题4】(5分)
sub-company(config)#cryptoisakmppolicy1(建立IKE协商策略并配置IKE协商参数)
sub-company(config-isakmp)#encrydes(设置加密所需要的算法为DES)
sub-company(config-isakmp)#hashmd5(设置密钥认证所用的算法)
sub-company(config-isakmp)#authenticationpre-share(设置预先共享的密钥来验证身份)
sub-company(config)#cryptoisakmpkey6ciscoaddressx.x.x.x(设置IPSec对等体的验证方法),配置IPSEC,先要明确要保护什么数据,通过ACL来实现,其次配置配置IKE策略协商,再次配置加密映射并安全关联,最后应用到端口才能生效。
既然是对等体,肯定就是对方的IP地址,题目已告诉是在分部的设备上作配置,那么其对等体的地址就是总部的IP地址。
试题答案
(1)
【问题1】(6分)
(1)C
(2)汇聚交换机
(3)D
(4)路由器
(5)E
(6)防火墙
【问题2】(8分)
链路聚合或者链路捆绑在两台设备间采用链路聚合后,在不考虑协议开销的前题下,其带宽是原来单链路带宽的2倍。
双链路上行和菊花型堆叠,增加了冗余,提高网络可靠性与健壮性。
【问题3】(6分)
DDN:
专线连接方式,点对点通信,用户独占一条永久的、速率固定的专用线路,并独享带宽,延迟小,成本高,线路利用率低。
FrameRelay:
采用分组交换技术,点对多点通信,将传输的信息划分为一定长度的分组,采用动态复用技术来传送几个分组,虽然在任意时刻线路总是被某一个分组独占,但线路的带宽在统计上得到复用,有效提高了线路的利用率,由于要对数据进行分组,因此该技术相比专线方式延迟大,但成本低。
ISDN:
是电路交换技术的典型代表,延迟小,点对点通信,线路利用率低。
【问题4】(5分)
(7)B
总部地址
试题11(2015年下半年试题3)
阅读以下说明,回答问题l至问题表;将解答填入答题纸对应的解答栏内。
【说明】
某学校拥有内部数据库服务器l台,邮件服务器1台,DHCP服务期1台,FTP服务期1台,流媒体服务期1台,Web服务期1台,要求为所有的学生宿舍提供有限网络接入服务,要求为所有的学生宿舍提供有线网络接入服务,对外提供Web服务,邮件服务,流媒体服务,内部主机和其他服务期对外不可见。
【问题1】(5分)
请划分防火墙的安全区域,说明每个区域的安全级别,指出各台服务器所处的安全区域。
【问题2】(5分)
请按照你的思路为该校进行服务器和防火墙部署设计,对该校网络进行规划,画出网络拓扑结构图。
【问题3】(5分)
学校在原有校园网络基础上进行了扩建,采用DHCP。
服务器动态分配口地址口运行一段时间后,网络时常出现连接不稳定、用户所使用的口地址被“莫名其妙”修改、无法访问校园网的现象。
经检测发现网络中出现多个未授权DHCP地址。
请分析上述现象及遭受攻击的原理,该如何防范?
【问题4】(6分)
学生宿舍区经常使用的服务有Web、即时通信、邮件、FTP等,同时也因视频流寻致大量的P2P流量,为了保障该区域中各项服务均能正常使用,应采用何种设备合理分配每种应用的带宽?
该设备部署在学校网络中的什么位置?
一般采用何种方式接入网络?
【问题5】(4分)
当前防火墙中,大多都集成了IPS服务,提供防火墙与口S的联动。
区别于IDS,IPS主要增加了什么功能?
通常采用何种方式接入网络?
试题分析
【问题l】(5分)
该题是考大家对防火墙的几大区域熟练程度。
防火墙分为三大区域,
(1)内部网络
(2)外部网络(3)DMZ区域(非军事化区)
内部网络区域的安全级别最高,可信的、重点保护的区域。
包括内部的数据库服务器、内部的DHCP服务器等等。
外部网络:
安全级别最低,不可信的、需要防备的区域。
DMZ区域(非军事化区):
安全级别中等,通过该区域对外开放一些特定的服务与应用,受一定的保护。
包括Web服务器、FTP服务器、邮件服务器、流媒体服务器。
【问题2】(5分)
略。
【问题3】(5分)
出现该现象是有用户自己私自架设了DHCP服务器,从而使用获取的IP地址不是真正DHCP服务器给它分配的IP,使用户不能正常访问校园网。
解决办法根据问题三:
用户无法访问校园网是因为获取的IP不是授权的DHCP服务器分配给它的。
解决该问题从DHCP服务器给用户分配IP的原理着手。
DHCP服务器给用户分配IP时会发送DHCPOffer和DHCPACK报文。
如果让交换机端口只接收授权DHCP服务器发过来的DHCP报文,不接收非授权服务器发过来的这些报文,该问题就得以解决。
【问题4】(6分)
根据试题的题意,就可以看出需要对业务进行流量控制,保障重要业务数据优先传送,因此需要流控设备来保障重要的业务数据合理的带宽资源。
流控设备一般采用串接的方式接入到网络。
【问题5】(4分)
入侵检测系统IDS并行接入网络,只能对全网信息的收集、分析,不能防御。
而入侵防御系统IPS主要用于对数据的深度分析,可以对数据来进行安全策略的实施,比如说对黑客行为的阻击。
IPS部署以串接的方式部署于主干线路上,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。
试题答案
(3)
【问题1】(5分)
划分三个不同安全级别的区域。
(1)内部网络
(2)外部网络(3)DMZ区域(非军事化区)
内部网络区域的安全级别最高,可信的、重点保护的区域。
包括内部的数据库服务器、内部的FTP服务器、DHCP服务器。
外部网络:
安全级别最低,不可信的、需要防备的区域。
DMZ区域(非军事化区):
安全级别中等,通过该区域对外开放一些特定的服务与应用,受一定的保护。
包括Web服务器、邮件服务器、流媒体服务器。
【问题2】(5分)
【问题3】(5分)
用户无法访问校园网是因为获取的IP不是授权的DHCP服务器分配给它的。
解决该问题从DHCP服务器给用户分配IP的原理着手。
DHCP服务器给用户分配IP时会发送DHCPOffer和DHCPACK报文。
如果让交换机端口只接收授权DHCP服务器发过来的DHCP报文,其它端口不接收这些报文,该问题就得以解决。
防范方法:
在交换机上启用DHCPSNOOPING功能。
DHCPSNOOPING通过建立和维护DHCPSNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。
【问题4】(6分)
使用流量控制设备,为重要的业务提供更好的带宽资源。
将该设备部署在与互联网接入位置,针对各类业务流量进行流量模型定义即可。
可直接使用串行方式接入网络中。
如考虑到流量模型较大,可能应流量控制设备处理能力问题,使其成为网络瓶颈,可考虑在互联网接入位置采用引流并行方式接入,来保障网络的健壮性。
【问题5】(4分)
入侵检测系统IDS通过对全网信息的收集、分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统IPS主要用于对数据的深度分析及安全策略的实施,比如说对黑客行为的阻击。
IPS部署以串接的方式部署于主干线路上,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。
试题12(2015年下半年试题14-15)
下面4组协议中,属于第二层隧道协议的是__(14)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络规划师第 网络安全解决方案和病毒防护 网络 规划 网络安全 解决方案 病毒 防护
![提示](https://static.bingdoc.com/images/bang_tan.gif)