【正确答案】(1)答案包含但不限于以下内容 R1：负责SDH传输专网的路由计算，以建立起集团总部与各分支机构(或二级单位)的主用专网链路等。 R2：①负责集团总部内部网和Internet之间的路由计算；②实施NAT地址转换；③实施带宽管理策略等。 VPN网关：对各分支机构用户进行身份认证、信息认证、数据加密、访问控制等 (2)链路故障自动切换的路由设计方案示例(答案类似即可，答案包含但不限于以下方案)： SDH专网区域全网设备运行OSPF动态路由协议，而VPN链路区域则配置低优先级的静态路由。当SDH链路出现故障时，OSPF协议可以在较短的时间内学习到，并及时、自动地修正路由。此时静态路由就会在在态路由失效的情况下启用，从而实现SDH链路故障时自动启用VPN备份链路的功能。当SDH链路从故障中恢复时，OSPFor协议也会在较短时间内更新自己的路由表，以接替静态路由的工作，从而实现自动从VPN备份链路切换回来的功能

【答案解析】设计本问题的目的是考核读者对路由器、VPN网关在具体应用环境下主要作用的理解，以及对广域网链路故障自动切换的路由设计方案的规划。本题的解答思路如下。 (1)该集团公司网络建议设计方案采用分区域规划设计策略，模块化的区域设计便于后期的管理以及系统的扩展。该集团总部网络出口区域主要由SDH专网路由器R1、Internet出口路由器R2和VPN网关组成。其中，SDH专网路由器R1主要负责SDH传输专网的路由计算，通过SDH传输专网建立起集团总部与各分支机构(或二级单位)的主用专网链路。 Internet出口路由器R2的主要作用主要有3个方面：①作为边界路由器，负责集团总部内部网和外部网(Internet)之间的路由计算；②实施NAT地址转换，使集团总部内网用户能够访问Internet及位于Internet中的外网服务器，使普通的Internet用户能够访问位于集团总部外部服务器区域中的相关应用服务(如集团的Web站点等)，同时使各分支机构(或二级单位)用户能够访问位于集团总部外部服务器区域中的相关应用服务(如集团的E-mail系统、FTP服务器等)；③实施带宽管理策略，即充分保障每个集团总部内网用户访问Internet的公平性，从而使网络出口带宽不被个别员工(或个别业务应用，或诸如P2P、网络视频等应用服务)过分地占用。并且在为每个用户公平分配带宽的同时，也能够实施弹性带宽的管理策略，即能够保证具有高优先级的业务应用出口带宽的同时，在访问Internet的信息点数量较少时，每用户可以分配到较大的出口带宽；在访问Internet的信息点数量较多时，每用户则平均分配出口带宽。 该集团公司共计43个直连分支机构(即25+12+6=43)。为了实现集团总部与下属各个分支机构的安全互连，需要在总部及各分支机构出口处部署专业级VPN网关。在上图中，集团总部通过部署两台专业的高速VPN网关，实现双机冗余。该VPN网关主要负责对各分支机构(或二级单位)用户进行身份认证(即鉴别用户的身份)、信息认证(即保证信息的完整性、合法性)，基于隧道对访问位于集团总部内部服务器区域中的相关应用服务(如集团的财务记账系统、内部数据服务器等)进行数据加密，并提供访问控制(即不同的用户具有不同的资源访问权限)等。另外，对于具有数据缓存功能的VPN网关，还能够节省分支机构访问集团总部资源的带宽资源，提升两者之间的数据传输速度。 为了实现上述功能，可以进行以下规划设计：SDH专网区域全网设备运行OSPF动态路由协议，而VPN链路区域则配置低优先级的静态路由。当SDH链路出现故障时，OSPF动态路由协议可以在较短的时间内学习到，并及时、自动地修正路由。此时静态路由就会在动态路由失效的情况下启用，从而实现SDH链路故障时自动启用VPN备份链路的功能。而当SDH链路从故障中恢复时，OSPF动态路由协议也会在较短时间内更新自己的路由表，以接替静态路由的工作，从而实现SDH链路故障恢复时，自动从VPN备份链路切换回来的功能。整个切换过程无须网络管理员的协助，统一由网络系统自行完成。 SDH和VPN两种广域网连接除了链路互为备份以外，其优势还在于：①可以利用SDH技术先天的传输低时延特性和稳定性保障业务数据(特别是视频会议数据、项目管理系统数据、后期的财务系统数据)的优先传输；②尽量少地占用Internet的带宽，以保障集团总部到Internet的访问带宽等。

【正确答案】42.56Mbps 8.928Mpps 需要考虑的主要要点 ①价格； ②性能指标(如每秒抓包数等)； ③是否通过了国家权威机构的评测； ④特征库升级与维护的费用； ⑤反躲避能力； ⑥所支持的入侵特征数； ⑦可伸缩性； ⑧后期维护的响应方法； ⑨运行与维护产品的开销(如技术人员数量)等

【答案解析】设计本问题的目的是加深读者对网络安全设备性能指标及其选购要点的理解。本题的解答思路如下。 (1)在上图核心交换区域中，部署了一台基于网络的入侵检测系统(NIDS)，采用旁路方式接入网络。由于核心交换机采用双核心方式，且主干网络采用千兆方式，为保证网络不出现瓶颈及与防火墙之间的安全联动，该IDS设备配置了6个千兆接口，且支持标准的联动协议(IAP、OPSEC、IDEF、SNMP等)。 每秒数据流量(Mbps或Gbps)和每秒抓包数(pps或Mpps)是两个反映网络入侵检测系统(NIDS)性能的重要指标。其中，每秒数据流量是指网络上每秒通过某节点(或某个网络接口)的数据量。其单位一般使用Mbps或Gbps。NIDS的基本结构由数据包捕获模块、网络协议分析模块、存取模块、告警数据库、入侵事件检测模块、规则解析模块和攻击特征库等组成。通常，NIDS将网卡设置成“混杂模式”，以便收集网络中出现的数据帧。如果每秒数据流量超过网络传感器的处理能力，NIDS就可能会丢包，从而不能正常检测攻击。但是NIDS是否会丢包，不是主要取决于每秒数据流量，而是主要取决于每秒抓包数。 每秒抓包数是指网络互连设备在不丢失任何数据包的情况下所能转发数据包的最大速率。它等于每秒网络流量除以网络数据包的平均大小。其单位一般使用pps或Mpps。例如，网络数据包的平均大小为512B，NIDS设备某个接口在10000pps每秒抓包数的性能情况下，系统每秒能够处理的数据流量可达到10000pps×(512+8+12)×8bit=42.56Mbps。其中，在以上计算过程中考虑了8B帧头和12B帧间隙的固定开销。当数据流量超过42.56Mbps时，就会因为NIDS系统处理过载而出现丢包现象。 (2)当NIDS设备的端口按理论上的最大值转发数据包时，就称该端口处于线速工作状态。由于以太网数据帧的最小长度为64B，因此以太网包转发线速的衡量标准是以单位时间内发送64B的数据包(最小包)的个数作为计算基准的。在考虑8B帧头和12B帧间隙的固定开销情况下，一个线速的千兆以太网端口在转发64B包时的包转发率为1.488Mpps，其具体计算过程如下。 [*] 若上图中NIDS设备配置了6个千兆接口，且要求所有端口均能线速工作，以提供无阻塞的数据交换，则该NIDS设备的吞吐量至少达到6×1.488Mpps=8.928Mpps。 (3)在选购上图中NIDS产品时，需要考虑的主要要点如下。 ①产品的价格。通常，需要在产品的性能价格比和所要保护的网络系统价值之间进行权衡。 ②产品的性能指标，如最大可处理的每秒抓包数、每秒数据流量、每秒能监控的网络连接数、每秒能够处理的事件数(或事件处理引擎的性能参数、报警事件记录的性能参数)等。 ③产品是否通过了国家权威机构的评测。主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心等。 ④产品特征库升级与维护的费用。入侵检测产品的特征库需要不断地实时更新，才能检测出新出现的攻击方法。 ⑤产品的反躲避能力。常用的躲开入侵检测的方法有：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。 ⑥产品支持的入侵特征数。不同厂商对检测特征库大小的计算方法都不一样，因此不能偏听一面之辞。 ⑦产品的可伸缩性，即产品所支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理等。 ⑧产品后期维护的响应方法。需要从本地现场技术支持、本地电话支持、远程电话支持、远程桌面技术支持等多个角度进行综合考察。 ⑨运行与维护产品的开销。产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该入侵检测产品所需的技术人员数量。

【正确答案】上网行为管理设备 对进出集团总部的数据包进行监控和审计，提供用户上网行为分析、信息内容审计、网页访问过滤、网络应用控制、带宽流量管理等功能

【答案解析】设计本问题的目的是加深读者对上网行为管理设备功能的理解。本题所涉及的知识点如下。
在上图所示的集团总部Internet链路上，部署一台上网行为管理设备，对进出集团内部数据包进行监控和审计。同时，可以在该设备中内嵌硬件防毒墙功能，对通过Internet和VPN的进入集团内部的电子邮件、网页信息等进行扫描和杀毒，防止计算机病毒或木马的传播和感染。
通常，上网行为管理设备内置行业中比较全面的应用识别规则库和最大的网页地址库，结合深度内容检测技术、网页智能识别等专利技术，提供用户上网行为分析、信息内容审计、网页访问过滤、网络应用控制、带宽流量管理、日志管理，详见下表。

{{B}}上网行为管理设备功能{{/B}}
功能	说明
上网行为分析	随着互联网上的活动带来病毒情况愈演愈烈，实时掌握员工互联网使用状况可以避免很多隐藏的风险。通 过上网行为管理产品，用户可以实时了解、统计、分析互联网使用状况，并根据分析结果对管理策略做调整 和优化
信息内容审计	发邮件、泡BBS、写Blog、聊IM已经司空见惯，然而信息的机密性、健康性、政治性等问题也随之而来。 通过上网行为管理产品，用户可以制定全面的信息收发监控策略，有效控制关键信息的传播范围，以及规避 可能引起的法律风险
网页访问过滤	互联网上的网页资源非常丰富，如果员工长时间访问内嵌计算机病毒或木马的色情、博彩等具有高度安全 风险的网页，以及网上购物、聊天、炒股等与工作无关的网页，将极大地降低生产效率。通过上网行为管理 产品，用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略，过滤与业务工作无关的 网页
网络应用控制	聊天、看网络视频、玩游戏、炒股等Internet应用可谓五花八门，如果员工长期沉迷于这些应用，这也将 成为企业生产效率的巨大杀手，并可能造成网速缓慢、信息外泄。通过上网行为管理产品，用户可以制定有 效的网络应用控制策略，封堵与业务无关的网络应用，引导员工在合适的时间做合适的事
带宽流量管理	P2P下载、在线游戏、在线视频等都在抢占着有限的带宽资源。面对日益紧张的带宽资源，除了增加预算 扩充带宽之外，企业还可以通过上网行为管理产品来合理分配、管理带宽。通过制定精细的带宽管理策略， 对不同岗位的员工、不同网络应用划分带宽通道，并设定优先级，合理利用有限的带宽资源，节省投入成本
日志管理	通过日志的分类显示，可以让用户只看到自己关心的系统日志，而不需要从所有日志信息中慢慢筛选，从 而更好地让用户了解系统的运行情况，方便快速定位和排除故障；通过网页目志，用户可以查看到内网用户 所访问过的网站域名，可以实时了解内网用户的上网行为等