参考答案:
【问题1】(5分)
本企业通过核心接入服务器群,通过接入交换机根据不同部门划分VLAN,安全防范比较薄弱,应从物理设备层、操作系统,网络层、应用层等方面进行安全规划与管理。
【问题2】(5分)
企业网络拓扑存在以下问题:
1、核心设备为单点故障,应设置双核心冗余。
2、接入交换机到核心交换机之间链路存在单点故障,应双归属至核心交换机。
3、两台核心交换之间采用链路聚合。
4、出口应部署防火墙,服务器区应部署IDS检测攻击。
【问题3】(5分)
IDS可以有效防范攻破防火墙的攻击和内部攻击行为。是防火墙的有效补充。应在企业中重要的服务器网段部署IDS,以检测攻击和入侵行为。
【问题4】(5分)
VPN主要采用了数据加密技术、认证技术、密钥管理技术和数据验证技术。
主要的VPN隧道协议有:PPTP、L2TP、IPSEC VPN、MPLS VPN等。
【问题5】(5分)
1、多台服务器组成服务器集群。2、通过负载均衡器在服务器群间流量分担。3、平台网络的高可用性。4、数据的保护,包括磁盘阵列、数据备份以及快照、复制等技术。5、数据中心的安全性,部署IDS、审计系统等安全设备。
详细解析:
本题考查局域网络安全的相关知识,包括 NAT 、VLAN 、GAP(网闸)、ACL 、VPN等的综合运用以及网络安全拓扑的规划、管理等内容。
【问题 1】
该企业现有的网络需要进行多级的安全部署。首先在接入层交换机上进行访问控 制;采用 VLAN 技术通过用户隔离,实现对敏感信息的访问进行限制;在边界路由器上配置NAT,屏蔽内网地址信息,降低外部的攻击;边界路由器上配置ACL访问控制列表,可以实现策略控制,进行访问权限控制。
【问题 2】
该企业现有的网络存在诸多安全隐患:
1.制造生产部子网络应该直接接入核心交换机,该网络中当研发部子网络的交换设备故障时将会直接对制造生产部的一线产生影响;
2.在内部网和外部网之间、专用网与公共网之间没有专门的防护设备,不能防御外 来攻击;
3. 服务器群应设置在防火墙的DMZ区;
4. 应当配备IPS设备、流量监控、上网行为管理和网络病毒防护设备;
5. 采用网闸物理隔离财务部门和有关涉密部门。GAP全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
【问题 3】
入侵检测系统(IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。通常IDS采用旁路方式接入核心交换机,可以和防火墙互为补充,防止内部人员攻击,攻击发生后的取证等。【问题 1】
该企业现有的网络需要进行多级的安全部署。首先在接入层交换机上进行访问控 制;采用 VLAN 技术通过用户隔离,实现对敏感信息的访问进行限制;在边界路由器上配置NAT,屏蔽内网地址信息,降低外部的攻击;边界路由器上配置ACL访问控制列表,可以实现策略控制,进行访问权限控制。
【问题 2】
该企业现有的网络存在诸多安全隐患:
1.制造生产部子网络应该直接接入核心交换机,该网络中当研发部子网络的交换设备故障时将会直接对制造生产部的一线产生影响;
2.在内部网和外部网之间、专用网与公共网之间没有专门的防护设备,不能防御外 来攻击;
3. 服务器群应设置在防火墙的DMZ区;
4. 应当配备IPS设备、流量监控、上网行为管理和网络病毒防护设备;
5. 采用网闸物理隔离财务部门和有关涉密部门。GAP全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
【问题 3】
【问题 4】
VPN(虚拟专用网络)是指在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。 VPN 有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现,VPN具有成本低,易于使用的特点。主要采用的协议有:在互联网上建立IP拟专用网隧道的协议 PPTP;建立在点对点协议PPP的基础上,把各种网络协议(IP、IPX 等)封装到PPP帧中,再把整个数据帧装入隧道协议 L2TP;对 IP协议分 组进行加密和认证的协议IPSec。
【问题 5】
任何企业在做安全规划时,首先依据需求划分信息安全级别,然后依据安全级别,考虑DMZ区安全防护,机房的物理安全,主机的系统安全,数据备份机制,安全管理制度等等。