【正确答案】正确答案：【问题1】 1．接入交换机上进行访问控制； 2．VLAN技术通过用户隔离，实现对敏感信息的访问进行限制； 3．在边界路由器上配置NAT，屏蔽内网地址信息，降低外部的攻击； 4．边界路由器上配置ACL访问控制列表，可以实现策略控制，进行访问权限控制。 【问题2】 1．制造生产部子网络应该直接接入核心交换机，该网络中当研发部子网络的交换设备故障时将会直接对制造生产部的一线产生影响； 2。在内部网和外部网之间、专用网与公共网之间没有专门的防护设备，不能防御外来攻击； 3．服务器群应设置在防火墙的DMZ区； 4．应当配备IPS设备、流量监控、上网行为管理和网络病毒防护设备； 5．采用网闸物理隔离财务部门和有关涉密部门。 【问题3】 必要性：1．防止内部人员攻击； 2．和防火墙互为补充； 3．攻击发生后的取证。 部署：采用旁路方式接入核心交换机 【问题4】 VPN采用的安全隧道技术包括：加解密技术、密钥管理技术、身份认证技术。 VPN协议有：PPTP、L2PT、IPSec。 【问题5】 1．首先划分信息安全级别 2．依据安全级别，考虑以下内容： (1)DMZ区安全防护 (2)机房的物理安全 (3)主机的系统安全 (4)数据备份机制 (5)安全管理制度

【答案解析】解析：本题考查局域网络安全的相关知识，包括NAT、VLAN、GAP(网闸)、ACL、VPN等的综合运用以及网络安全拓扑的规划、管理等内容。 【问题1】 该企业现有的网络需要进行多级的安全部署。首先在接入层交换机上进行访问控制；采用VLAN技术通过用户隔离，实现对敏感信息的访问进行限制；在边界路由器上配置NAT，屏蔽内网地址信息，降低外部的攻击；边界路由器上配置ACL访问控制列表，可以实现策略控制，进行访问权限控制。 【问题2】 该企业现有的网络存在诸多安全隐患： 1．制造生产部子网络应该直接接入核心交换机，该网络中当研发部子网络的交换设备故障时将会直接对制造生产部的一线产生影响； 2．在内部网和外部网之间、专用网与公共网之间没有专门的防护设备，不能防御外来攻击； 3．服务器群应设置在防火墙的DMZ区； 4．应当配备IPS设备、流量监控、上网行为管理和网络病毒防护设备； 5．采用网闸物理隔离财务部门和有关涉密部门。GAP全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。 【问题3】 入侵检测系统(IDS)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。通常IDS采用旁路方式接入核心交换机，可以和防火墙互为补充，防止内部人员攻击，攻击发生后的取证等。 【问题4】 VPN(虚拟专用网络)是指在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现，VPN具有成本低，易于使用的特点。主要采用的协议有：在互联网上建立IP虚拟专用网隧道的协议PPTP；建立在点对点协议PPP的基础上，把各种网络协议(IP、IPX等)封装到PPP帧中，再把整个数据帧装入隧道协议L2TP；对IP协议分组进行加密和认证的协议IPSec。 【问题5】 任何企业在做安全规划时，首先依据需求划分信息安全级别，然后依据安全级别，考虑DMZ区安全防护，机房的物理安全，主机的系统安全，数据备份机制，安全管理制度等等。