问答题
试题三
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某高校网络拓扑结构如图3-1所示。
暂缺
问答题
1.目前网络中存在多种安全攻击,需要在不同的位置部署不同的安全措施进行防范。常见的安全防范措施有:
1.防非法DHCP欺骗
2.用户访问权限控制技术
3.开启环路检测(STP)
4.防止ARP网关欺骗
5.广播风暴的控制
6.并发连接数控制
7.病毒防治
其中:在安全设备1上部署的措施有: (1) ;
在安全设备2上部署的措施有: (2) ;
在安全设备3上部署的措施有: (3) ;
在安全设备4上部署的措施有: (4) 。
【正确答案】 (1)6.并发连接数控制
(2)2.用户访问权限控制技术
(3)1.防非法DHCP欺骗
3.开启环路检测(STP)
4.防止ARP网关欺骗
5.广播风暴的控制
(4)7.病毒防治
【答案解析】解析:本问题主要考查安全技术加载的位置。
从DHCP工作原理可以看出,如果客户端是第一次、重新登录或租期已满不能更新租约,客户端都是以广播的方式来寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供的网络配置参数。假如非授权的DHCP服务器先应答,这样客户端最后获得的网络参数即是非授权的,客户端即被欺骗了。而在实际应用DHCP的网络中,基本上都会采用DHCP中继,这样的话,本网络的非授权DHCP服务器一般都会先于其余网络的授权DHCP服务器的应答(由于网络传输的延迟),在这样的应用中,DHCP欺骗更容易完成。对DHCP欺骗的防范方法主要是在交换机上启用DHCPSNOOPING功能。
用户访问权限控制通常读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。通常加载在汇聚层交换机上。
频繁改动网络时很容易引发网络环路,网络环路引起的网络堵塞现象常常具有较强的隐蔽性,不利于故障现象的高效排除。开启环路检测(STP)通常加载在接入交换机上,通过配置交换机的环回监测功能,快速地判断局域网中是否存在网络环路。
ARP网关欺骗是局域网中一台机器,反复向其他机器,特别是向网关,发送假冒的ARP应答信息包,造成严重的网络堵塞。解决的方法是在某个网络内采用检测技术,防止欺骗。
并发连接数控制整个网络中的连接数,需在核心层完成。
病毒防治在网络内,通常在单机上完成。
问答题
2.学校服务器群目前共有200台服务器为全校提供服务,为了保证各服务器能提供正常的服务,需对图3-1所示防火墙1进行安全配置,设计师制定了2套安全方案,请根据实际情况选择合理的方案并说明理由。
方案一:根据各业务系统的重要程度,划分多个不同优先级的安全域,每个安全域采用一个独立子网,安全域等级高的主机默认允许访问安全域等级低的主机,安全域等级低的主机不能直接访问安全域等级高的主机,然后根据需要添加相应安全策略。
方案二:根据各业务系统提供的服务类型,划分为数据库、Web、认证等多个不同虚拟防火墙,同一虚拟防火墙中相同VLAN下的主机可以互访,不同VLAN下的主机均不允许互访,不同虚拟防火墙之间主机均不能互访。
【正确答案】 1.选择方案二
2.理由:
(1)如果服务器规模比较大,方案一按照主机添加安全策略,所以防火墙的安全策略数量比较多,对防火墙的资源消耗也会比较大,方案二按照服务添加安全策略,所以防火墙安全策略数量不多,对防火墙的资源消耗也会比较小;
(2)如果某一主机感染病毒或木马时,方案一安全域级别低或者相同的其他主机会受到影响,方案二相同虚拟防火墙中相同VLAN主机会受到影响,其余主机不会影响;
(3)后期服务器数量大幅增加,方案一需新增加多条安全策略,方案二服务类型不新增的情况下,安全策略基本不需增加。
【答案解析】解析:方案一按照主机添加安全策略,防火墙的安全策略数量比较多,对防火墙的资源消耗也会比较大,方案二按照服务添加安全策略,所以防火墙安全策略数量不多,对防火墙的资源消耗也会比较小。
如果某一主机感染病毒或木马时,方案一安全域级别低或者相同的其他主机会受到影响,方案二相同虚拟防火墙中相同VLAN主机会受到影响,其余主机不会影响;而且后期服务器数量大幅增加,方案一需新增加多条安全策略,方案二服务类型不新增的情况下,安全策略基本不需增加。
综上,选择方案二。
问答题
3.为了防止资源的不合理使用,通常在核心层架设流控设备进行流量管理和终端控制,请列举出3种以上流控的具体实现方案。
【正确答案】 (1)针对地址进行带宽限制。针对源IP地址、目的IP地址进行带宽限制,防止某地址独占带宽。
(2)针对子网进行带宽限制。针对子网进行带宽限制,防止某子网独占带宽,如某个部门划分一个子网。
(3)针对服务进行带宽限制。针对服务进行带宽限制,防止某服务独占带宽,如视频、BT等。
【答案解析】解析:通常在核心层架设流控设备进行流量管理和终端控制,有以下3种:
(1)针对地址进行带宽限制。针对源IP地址、目的IP地址进行带宽限制,防止某地址独占带宽。
(2)针对子网进行带宽限制。针对子网进行带宽限制,防止某子网独占带宽,如某个部门划分一个子网。
(3)针对服务进行带宽限制。针对服务进行带宽限制,防止某服务独占带宽,如视频、BT等。
问答题
4.非法DHCP欺骗是网络中常见的攻击行为,说明其实现原理并说明如何防范。
【正确答案】 1.非法DHCP欺骗原理:客户端第一次登录、重新登录或租期已满不能更新租约时,以广播方式寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),并且非授权的DHCP服务器先应答,那么客户端就会获得非授权的网络参数。
2.防范:可以在交换机上开启DHCP SNOOPING,通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息,只让合法的DHCP应答通过交换机,阻断非法应答,从而防止DHCP欺骗。
【答案解析】解析:客户端第一次登录、重新登录或租期已满不能更新租约时,以广播方式寻找服务器,并且只接收第一个到达的服务器提供的网络配置参数,如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),并且非授权的DHCP服务器先应答,那么客户端就会获得非授权的网络参数。可以在交换机上开启DHCP SNOOPING,通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息,只让合法的DHCP应答通过交换机,阻断非法应答,从而防止DHCP欺骗。