201711网规下午真题

第 1 题

阅读以下说明,回答问题 1至问题 4,将解答填入答题纸对应的解答栏内。
【说明】
政府部门网络用户包括有线网络用户、无线网络用户和有线摄像头若干,组网拓扑如图 1-1 所示。访客通过无线网络接入互联网,不能访问办公网络及管理网络,摄像头只能跟DMZ 区域服务器互访。


图1-1
表1-1 网络接口规划
 

表1-2 VLAN规划

问题1(6分)
进行网络安全设计,补充防火墙数据规划表 1-3 内容中的空缺项。

表1-3 防火墙数据规划表

 备注:NAT策略转换方式为地址池中地址,ip地址109.1.1.2
问题2(8分)
进行访问控制规则设计,补充SwichA数据规划表1-4内容中的空缺项。
表1-4 SwitchA数据规划表
 
问题3(8分)
补充路由规划内容,填写表 1-5 中的空缺项。
表1-5 路由规划表

【问题4(3分)
配置 SwitchA时,下列命令片段的作用是(  )
[SwitchA] interface Vlanif 105
[SwitchA-Vlanif105] dhcp server option 43 sub-option 3 ascii 10.100.1.2
[SwitchA-Vlanif105] quit

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>网络安全方案
  • 试题答案:问题1:
    (1)10.101.1.1/24;10.102.1.1/24;10.103.1.1/24;10.108.1.1/24;
    (2)any
    (3)dmz
    问题2:
    (4)10.101.1.0/0.0.0.255
    (5)丢弃
    (6)允许
    (7)any
    问题3:
    (8)10.101.1.0/24
    (9)10.104.1.0/24
    (10)0.0.0.0/0.0.0.0
    (11)10.100.1.1
    问题4:
    (12)作用是ap接收到此字段根据里面的地址寻找到ac控制器,通过dhcp option43下发ac地址给ap。
  • 试题解析:
    1,内网地址访问外网,直接分四空来填写。
    2、内网访问外网上网安全策略,外网不固定所以为- any
    3、摄像网段访问dmz区域服务器,目的地址为dmz区域服务器网段10.106.1.0/24 
    4、无线访客网段不能访问无线管理网段,源为10.101.1.0/24 
    5、无线访客无访问业务服务区需求,固动作为丢弃
    6、摄像网段需要访问dmz区域服务器,动作为允许
    7、摄像网段除了访问dmz区域无其他需求,匹配any动作丢弃
    8、访客无线终端即指ap终端,则ap网段为10.101.1.0/24 
    9、访问摄像头路由,目的地址为摄像头网段10.104.1.0/24 
    10、ap控制器缺省路由目的地址为any 0.0.0.0/0.0.0.0 下一跳为它的上联设备SwitchA的GE0/0/8接口地址:10.100.1.1 
    11、命令配置的是给ap网段vlan105下发dhcp option43字段地址为10.100.1.2 
    作用是ap接收到此字段根据里面的地址寻找到ac控制器,通过dhcp option43下发ac地址给ap

第 2 题

阅读下列说明,回答问题1至问题 5,将解答填入答题纸的对应栏内。
【说明】
图2-1所示为某企业桌面虚拟化设计的网络拓扑。


图2-1

【问题1】(6分)
结合图 2-1 拓扑和桌面虚拟化部署需求,①处应部署(1)、②处应部署(2)、③处应部署(3)、④处应部署( 4 )。
(1)~(4)备选答案(每一个选项仅限选一次);
A. 存储系统
B. 网络交换机
C. 服务器
D. 光纤交换机
【问题2】(4分)
该企业在虚拟化计算资源设计时,宿主机 CPU 的主频与核数应如何考虑?请说明理由。设备冗余上如何考虑?请说明理由。
【问题3】(6分)
图 2-1 中的存储网络方式是什么?结合桌面虚拟化对存储系统的性能要求,从性价比考虑,如何选择磁盘?请说明原因。
【问题4】(4分)
对比传统物理终端,简要谈谈桌面虚拟化的优点和不足。
【问题5】(5分)
桌面虚拟化可能会带来(5)等风险和问题,可以进行(6)等对应措施。
(5)备选答案(多项选择,错选不得分)
A.虚拟机之间的相互攻击
B.防病毒软件的扫描风暴
C.网络带宽瓶颈
D.扩展性差
(6)备选答案(多项选择,错选不得分) 
A.安装虚拟化防护系统
B.不安装防病毒软件
C.提升网络带宽
D.提高服务器配置

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>网络新技术
  • 试题答案:问题1:
    (1)B
    (2)C
    (3)D
    (4)A
    问题2:
    CPU主频和核数设计:
    1、低频率高核数,实现资源利用率的最大化。
    2、冗余设计。
    3、至少部署2台设备,当一台虚拟机出现故障的时候,虚拟机自动迁移到另一台设备。
    问题3:
    图2-1的存储网络方式是FC SAN。在企业资金充足的情况下,可以采用FC-SAN,因为FC-SAN存储方式安全、高效、稳定,可以保证虚拟化桌面系统可靠、稳定的运行;在企业资金不充裕的情况下,可以考虑IP-SAN方式,因为IP-SAN成本比FC-SAN低,无距离限制、组建方式灵活,可扩展性高,不足之处是噪声碰撞问题、传输速率不高,加之IP网络环境复杂,安全性也相对令人质疑。
     
    选择部署VDI存储涉及一些因素。首要关注的就是磁盘以及磁盘子系统的选择,管理员可以选择高端FC(在企业资金充足情况下,考虑用SAS硬盘,因为该硬盘支持高可用性,适用于大、中型企业关键任务资料的存储,效率高且扩充性好)、中端SAS以及低端SATA硬盘。如果磁盘子系统还部署了RAID,那么管理员将需要在RAID1+0、RAID 4、RAID 5、RAID 6以及厂商专有的RAID版本之间做出选择。部署的规模越大,对容量、性能以及弹性的要求也就越高。还可以辅佐SSD作为存储系统的缓存,提高性能。
    问题4:
    桌面虚拟化的优势:
    1、具备更灵活的访问和使用。
    2、更广泛和简化的终端设备支持。
    3、终端设备的采购和维护成本大大降低。
    4、集中管理、统一配置并且使用安全。
    5、杜绝因为兼容问题产生的IT系统故障。
    6、降低耗电和节能减排。
    7、提供合作效率和生产力。
    不足:
    1、初始成本比较高。
    2、虚拟桌面的性能不如物理桌面。
    3、虚拟桌面的高度管控可能会引起用户反感。
    问题5:
    (5)A、B、C
    (6)A、C
  • 试题解析:略。


第 3 题

阅读下列说明,回答问题 1至问题 4,将解答填入答题纸的对应栏内。
【说明】
某企业网络拓扑如图 3-1 所示,该企业内部署有企业网站 Web 服务器和若干办公终端,Web 服务器(http://www.xxx.com)主要对外提供网站消息发布服务, Web 网站系统采用JavaEE开发。


图3-1

【问题1】(6分) 
信息系统一般从物理安全、网络安全、主机安全、应用安全、数据安全等层面进行安全设计和防范,其中,“操作系统安全审计策略配置”属于(1)安全层面;“防盗防破坏、防火”属于(2)安全层面;“系统登录失败处理、最大并发数设置”属于(3)安全层面; “入侵防范、访问控制策略配置、防地址欺骗”属于(4)安全层面。
【问题2】(3分)
为增强安全防范能力,该企业计划购置相关安全防护系统和软件,进行边界防护、Web安全防护、终端 PC病毒防范,结合图3-1 拓扑,购置的安全防护系统和软件应包括:(5)、(6)、(7)。
(5)~(7)备选答案:
A.防火墙 
B.WAF
C.杀毒软件
D.数据库审计
E.上网行为检测
【问题3】(6分)
2017年5月,Wannacry蠕虫病毒大面积爆发,很多用户遭受巨大损失。在病毒爆发之初,应采取哪些应对措施?(至少答出三点应对措施)
【问题4】(10分)
1.采用测试软件输入网站 www.xxx.com/index.action. 执行 ifconfig 命令,结果如图3-2所示。

从图 3-2  可以看出,该网站存在(  )漏洞,请针对该漏洞提出相应防范措施。
(8)备选答案:
A.Java反序列化 
B.跨站脚本攻击  
C.远程命令执行  
D.SQL 注入
2.通过浏览器访问网站管理系统,输入 www.xxx.com/login?fpage=-->'  "><svg onload=prompt(/x/)>,结果如图 3-3 所示。
<img alt="" src="../tiku/uploadfiles/2017-11/ad2a899dc4f24caeb844664f9bd0e4e5
.jpg" style="width: 667px; height: 238px;">

图3-3

从图 3-3 可以看出,该网站存在(  )漏洞,请针对该漏洞提出相应防范措施。
备选答案:
A.Java反序列化
B.跨站脚本攻击
C.远程命令执行
D.SQL注入
</svgonload=prompt(>

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>网络安全方案
  • 试题答案:问题1:
    (1)主机
    (2)物理
    (3)应用
    (4)网络
    问题2:
    (5)A
    (6)B
    (7)C
    问题3:
    对于蠕虫病毒的攻击,在爆发之初一般可以采用下面一些措施:
    1、开启系统防火墙
    2、利用系统防火墙高级设置阻止向445端口进行连接。
    3、打开系统自动更新,并检测更新进行安装补丁。
    4、及时备份服务器上的重要业务资料,办公电脑上的文件更要采取内外网隔离和移动存储的方式进行备份,以防止电脑中毒,文件丢失。
    5、一旦内网有电脑中招,请及时断开电脑网络,并对中毒电脑进行隔离,重新安装干净的操作系统;然后对内网所有电脑进行查杀。
    6、为了防止近期NSA黑客武器库泄漏其他漏洞进一步影响,建议关闭电脑上的137、139、445、3389端口,并且需要设置访问过滤;如果有边界防护设备,网络安全管理员要把受影响的端口禁掉。
    7、为进一步保障网络安全,及时发现类似威胁,尽快部署能够及时预警漏洞、定位风险的安全产品。
    问题4:
    (8)C
    解决方案:建议假定所有输入都是可疑的,尝试对所有输入提交可能执行命令的构造语句进行严格的检查或者控制外部输入,系统命令执行函数的参数不允许外部传递。
    ·不仅要验证数据的类型,还要验证其格式、长度、范围和内容。
    ·不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
    ·对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。
    ·在发布应用程序之前测试所有已知的威胁。
    (9)B
    解决方案:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。
  • 试题解析:暂无解析。


results matching ""

    No results matching ""