某学校拥有内部数据库服务器l台,邮件服务器1台,DHCP服务器1台,FTP服务器

最全题库2022-08-02  38

问题 某学校拥有内部数据库服务器l台,邮件服务器1台,DHCP服务器1台,FTP服务器1台,流媒体服务器1台,Web服务器1台,要求为所有的学生宿舍提供有线网络接入服务,对外提供Web服务,邮件服务,流媒体服务,内部主机和其他服务器对外不可见。【问题1】(5分) 请划分防火墙的安全区域,说明每个区域的安全级别,指出各台服务器所处的安全区域。【问题2】(5分)请按照你的思路为该校进行服务器和防火墙部署设计,对该校网络进行规划,画出网络拓扑结构图。  【问题3】(5分)学校在原有校园网络基础上进行了扩建,采用DHCP。服务器动态分配IP地址运行一段时间后,网络时常出现连接不稳定、用户所使用的IP地址被“莫名其妙”修改、无法访问校园网的现象。经检测发现网络中出现多个未授权DHCP地址。请分析上述现象及遭受攻击的原理,该如何防范 【问题4】(6分)学生宿舍区经常使用的服务有Web、即时通信、邮件、FTP等,同时也因视频流导致大量的P2P流量,为了保障该区域中各项服务均能正常使用,应采用何种设备合理分配每种应用的带宽 该设备部署在学校网络中的什么位置 一般采用何种方式接入网络   【问题5】(4分)当前防火墙中,大多都集成了IPS服务,提供防火墙与IDS的联动。区别于IDS,IPS主要增加了什么功能 通常采用何种方式接入网络

选项

答案

解析 【问题1】(5分)划分三个不同安全级别的区域。(1)内部网络 (2)外部网络 (3)DMZ区域(非军事化区)内部网络区域的安全级别最高,可信的、重点保护的区域。包括内部的数据库服务器、内部的FTP服务器、DHCP服务器。外部网络:安全级别最低,不可信的、需要防备的区域。DMZ区域(非军事化区):安全级别中等,通过该区域对外开放一些特定的服务与应用,受一定的保护。包括Web服务器、邮件服务器、流媒体服务器。【问题2】(5分)【问题3】(5分)用户无法访问校园网是因为获取的IP不是授权的DHCP服务器分配给它的。解决该问题从DHCP服务器给用户分配IP的原理着手。DHCP服务器给用户分配IP时会发送DHCP Offer和DHCP ACK报文。如果让交换机端口只接收授权DHCP服务器发过来的DHCP报文,其它端口不接收这些报文,该问题就得以解决。防范方法:在交换机上启用DHCP SNOOPING功能。DHCP SNOOPING通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。【问题4】(6分)使用流量控制设备,为重要的业务提供更好的带宽资源。将该设备部署在与互联网接入位置,针对各类业务流量进行流量模型定义即可。可直接使用串行方式接入网络中。如考虑到流量模型较大,可能因流量控制设备处理能力问题,使其成为网络瓶颈,可考虑在学生宿舍区和核心交换机位置采用引流并行方式接入,来保障网络的健壮性。【问题5】(4分)入侵检测系统IDS通过对全网信息的收集、分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统IPS主要用于对数据的深度分析及安全策略的实施,比如说对黑客行为的阻击。IPS部署以串接的方式部署于主干线路上,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。
转载请注明原文地址:https://tihaiku.com/congyezige/2399219.html

最新回复(0)