免费智能真题库 > 历年试卷 > 网络规划设计师 > 2013年下半年 网络规划设计师 上午试卷 综合知识
  第53题      
  知识点:   net   WLAN   安全性   防火墙   完整性   物理安全   业务系统
  关键词:   WLAN   对象   范围   防火墙   服务器   逻辑网络设计   数据   完整性   物理安全   物理网络设计   需求   安全   网络   网络设计        章/节:   逻辑设计       

 
某财务部门需建立财务专网,A公司的李工负责对该网络工程项目进行逻辑设计,他调研后得到的具体需求如下:
①用户计算机数量40台,分布在二层楼内,最远距离约60米;
②一共部署7个轻负载应用系统,其中5个系统不需要Internet访问,2个系统需要Internet访问;
李工据此给出了设计方案,主要内容可概述为:
①出口采用核心交换机+防火墙板卡设备组成财务专网出口防火墙,并通过防火墙策略将需要Internet访问的服务器进行地址映射;
②财务专网使用WLAN为主,报账大厅用户、本财务部门负责人均可以访问财务专网和Internet
③采用3台高性能服务器部署5个不需要Internet访问的应用系统,1台高性能服务器部署2个需要Internet访问的应用系统。
针对用户访问,你的评价是(52)。
针对局域网的选型,你的评价是(53)。
针对服务器区的部署,你的评价是(54)。
 
 
  A.  选型恰当
 
  B.  不恰当,WLAN成本太高
 
  C.  不恰当,WLAN不能满足物理安全要求
 
  D.  不恰当,WLAN不能满足覆盖范围的要
 
 
 

 
  第51题    2015年下半年  
   50%
以下关于网络分层模型的叙述中,正确的是(51)。
  第20题    2014年下半年  
   35%
按照网络分层设计模型,通常把局域网设计为3层,即核心层、汇聚层和接入层,以下关于分层网络功能的搐述中,不正确的是( )。
  第31题    2010年上半年  
   38%
甲方是一个对网络响应速度要求很高的机构,张工负责为甲方的网络工程项目进行逻辑设计,他的设计方案的主要内容可概述为:
..
   知识点讲解    
   · net    · WLAN    · 安全性    · 防火墙    · 完整性    · 物理安全    · 业务系统
 
       net
        在网络管理中,最为常用的就是net命令家族。常用的net命令有以下几个。
        .net view命令:显示由指定的计算机共享的域、计算机或资源的列表。
        .net share:用于管理共享资源,使网络用户可以使用某一服务器上的资源。
        .net use命令:用于将计算机与共享的资源相连接或断开,或者显示关于计算机连接的信息。
        .net start命令:用于启动服务,或显示已启动服务的列表。
        .net stop命令:用于停止正在运行的服务。
        .net user命令:可用来添加或修改计算机上的用户账户,或者显示用户账户的信息。
        .net config命令:显示正在运行的可配置服务,或显示和更改服务器服务或工作站服务的设置。
        .net send命令:用于将消息(可以是中文)发送到网络上的其他用户、计算机或者消息名称上。
        .net localgroup命令:用于添加、显示或修改本地组。
        .net accounts命令:可用来更新用户账户数据库、更改密码及所有账户的登录要求。
 
       WLAN
        WLAN(Wireless Local Area Network)是利用无线通信技术在一定的局部范围内建立的,是计算机网络与无线通信技术相结合的产物,它以无线多址信道作为传输媒介,提供传统有线局域网的功能。WLAN的覆盖范围一般在100m以内,通过桥接可以达到更大的覆盖范围。传输介质为红外线IR或射频RF波段,以后者使用居多。
        由于WLAN是基于计算机网络与无线通信技术的,在计算机网络结构中,逻辑链路控制(Logic Link Contros,LLC)层及其之上的应用层对不同物理层的要求可以是相同的,也可以是不同的,因此,WLAN标准主要是针对物理层和媒质访问控制层(Media Access Control,MAC),涉及到所使用的无线频率范围、空中接口通信协议等技术规范与技术标准。
        (1)IEEE 802.11。1990年IEEE 802标准化委员会成立IEEE 802.11WLAN标准工作组。IEEE 802.11(又称Wi-Fi,Wireless Fidelity,无线保真)是在1997年6月由大量的局域网及计算机专家审定通过的标准,该标准定义了物理层和媒体访问控制(MAC)规范。物理层定义了数据传输的信号特征和调制,定义了两个RF传输方法和一个红外线传输方法,RF传输标准是跳频扩频和直接序列扩频,工作在2.4000~2.4835GHz频段。
        (2)IEEE 802.11b。1999年9月IEEE 802.11b被正式批准,该标准规定WLAN工作频段在2.4~2.4835GHz,数据传输速率达到11Mb/s,传输距离控制在50~150英寸。该标准是对IEEE 802.11的一个补充,采用补偿编码键控调制方式,采用点对点模式和基本模式两种运行模式。在数据传输速率方面可以根据实际情况在11Mb/s、5.5Mb/s、2Mb/s、1Mb/s的不同速率间自动切换,它改变了WLAN设计状况,扩大了WLAN的应用领域。
        (3)IEEE 802.11a。1999年,IEEE 802.11a标准制定完成,该标准规定WLAN工作频段在5.15~8.825GHz,数据传输速率达到54Mb/s或72Mb/s(Turbo),传输距离控制在10~100m。该标准也是IEEE 802.11的一个补充,扩充了标准的物理层,采用正交频分复用(Orthogonal Frequency Division Modulation,OFDM)的独特扩频技术,可提供25Mb/s的无线ATM接口和10Mb/s的以太网无线帧结构接口,支持多种业务,如话音、数据和图像等,一个扇区可以接入多个用户,每个用户可带多个用户终端。
        (4)IEEE 802.11g。目前,IEEE推出了最新版本IEEE 802.11g认证标准,该标准提出拥有IEEE 802.11a的传输速率,安全性较IEEE 802.11b好,采用两种调制方式,含IEEE 802.11a中采用的OFDM与IEEE 802.11b中采用的CCK,做到与IEEE 802.11a和IEEE 802.11b兼容。
 
       安全性
        (1)可用性。可用性评价指标及测量,如下表所示。
        
        可用性评价指标及测量
        
        (2)完整性。完整性评价指标及测量,如下表所示。
        
        完整性评价指标及测量
        (3)保密性。保密性评价指标及测量,如下表所示。
        
        保密性评价指标及测量
        
 
       防火墙
               防火墙的基本概念
               防火墙的概念源于早期为防止火灾蔓延在房屋周围修建的矮墙。在网络安全中,防火墙是在内部网与外部网之间构筑的一道保护屏障,是执行访问控制策略的一个或一组系统。通过执行访问控制策略,提供授权通信,保护内部网不受外部非法用户的入侵,控制内部网与外部网之间数据流量。
               防火墙可以是硬件,也可以是软件,或是二者结合。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部服务,哪些外部服务可以被内部人员访问等。防火墙必须只允许授权的数据通过,其本身也必须能够免于渗透,但防火墙不是对网络内的每台计算机分别进行保护,而是让所有外部对内部网计算机的信息访问都通过某个点,防火墙就是保护这个点。防火墙技术是实现网络安全的主要手段之一。目前,企业内部网络与因特网之间的有效隔离方式大都采用的是防火墙技术。
               防火墙的功能
               防火墙主要用于实现网络路由的安全性。网络路由的安全性包括两个方面:限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问。
               防火墙具有以下优点:
               (1)保护那些易受攻击的服务。防火墙能过滤那些不安全的服务(如NFS等)。只有预先被允许的服务才能通过防火墙,这样就降低了受到攻击的风险性,大大地提高了网络的安全性。
               (2)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问,而有些则要被保护起来,防止不必要的访问。通常会有这样一种情况,在内部网中只有Mail服务器、FTP服务器和WWW服务器能被外部网访问,而其他访问则被主机禁止。
               (3)集中化的安全管理。对于一个企业而言,使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙,就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理;而不使用防火墙,就必须将所有软件分散到各个主机上。
               (4)对网络访问进行记录和统计。如果所有对Internet的访问都经过防火墙,那么防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能够报警,并提供网络是否受到监测和攻击的详细信息。
               防火墙也有一些不能实现的功能:
               (1)限制有用的网络服务。防火墙为了提高被保护网络的安全性,限制或关闭了很多有用但存在安全缺陷的网络服务。
               (2)不能防范内部网络用户的攻击。目前防火墙只提供了对外部网络用户攻击的防护,对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。
               (3)不能完全防范病毒。因为病毒的类型很多,操作系统各异,编码与压缩二进制文件的方法也各不相同,因此防火墙不能完全防止传送已感染病毒的软件或文件,不能期望防火墙对每一个文件进行扫描,查出潜在的病毒。
               防火墙的分类
               从技术角度分类,防火墙可以分为包过滤防火墙、代理服务防火墙和复合型防火墙。
                      包过滤防火墙
                      网络传输数据是以“包”为单位进行的,数据被分割成一定大小的数据包,每个数据包中都会含有一些特定的信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙可通过对数据包的源地址、目的地址及端口等的检查,判断数据包是否来自可信任的安全站点。如果发现来自危险站点的数据包,防火墙将会拒绝其通过。
                      包过滤防火墙是最简单的防火墙,使用方便,实现成本低。分组过滤在网络层实现,不要求改动应用程序,也不要求用户学习任何新的东西,对用户来讲是透明的,用户基本感觉不到分组过滤器的存在。但也存在一个问题,就是过滤器不能在用户层次上进行安全过滤,即在同一台机器上,过滤器分辨不出是哪个用户的报文。
                      包过滤防火墙的工作原理如下图所示。
                      
                      包过滤防火墙
                      代理服务防火墙
                      代理服务防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与服务器进行实际连接。代理服务防火墙使内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
                      代理服务防火墙工作原理如下图所示。
                      
                      代理服务防火墙
                      代理服务防火墙也被称为应用网关防火墙,其核心技术就是代理服务器技术。它采用为每种所需服务在网关上安装特殊代码(代理服务)的方式来管理Internet服务。其应用原理是:当代理服务器收到客户对自己代理的某Web站点的访问请求后,就检查该请求是否符合规定;如果规则允许用户访问该站点时,代理服务器代理客户在该站点取回所需信息,再转发给客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用,体现了“应用代理”的角色。
                      使用代理服务器技术,所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,彻底隔断了内网与外网的直接通信,从外部网只能看到代理服务器而不能了解内部网的资源信息,如用户的真实IP地址等。代理服务器提供详细的日志和审计功能,应用层的协议会话过程必须符合代理的安全策略要求,访问业务都由“守规矩”的代理服务器代劳。因此,代理服务防火墙的安全性大大提高。
                      代理服务器基于特定的应用,因此需要对每个应用服务(如Telnet、FTP)安装相应的代理服务软件,未被服务器支持的网络服务用户不能使用,因此代理服务防火墙维护量大,使用具有一定的局限性。由于需要代理服务,造成了网络性能下降,网络访问速度变慢。此外,每类应用服务需要使用特殊的客户端软件,并进行一些相关设置,使得代理服务防火墙的透明性较差。
                      复合型防火墙
                      复合型防火墙将前两类防火墙结合起来,形成新的产品,以发挥各自优势,克服各自缺点,满足更高安全性要求。
               防火墙的安全控制模型
               防火墙通常有两种安全模型可以选择:没有被列为允许访问的服务都是被禁止的;没有被列为禁止访问的服务都是被允许的。
               为网络建立防火墙,首先需要决定防火墙采取何种安全控制模型。采取第一种安全控制模型,需要确定所有可以被提供的服务以及它们的安全特性,开放这些服务;将所有其他未被列入的服务排除在外,禁止访问。采取第二种安全控制模型,正好相反,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。找出网络所有的漏洞,排除所有的非法服务,一般是很难的。从安全性角度考虑,第一种模型更可取一些,而从灵活性和使用方便性的角度考虑,则第二种模型更合适。
               防火墙与Web服务器的配置方式
               根据需要,防火墙与Web服务器的配置会有所不同,主要有三种:
               (1)Web服务器置于防火墙之内。这种方式Web服务器可以得到安全保护,不易被外界攻击,但Web服务器本身也不易被外界所用。
               (2)Web服务器置于防火墙之外。这种方式主要保证了内部网安全,Web服务器不受到保护。需要注意的是,有些防火墙结构不允许将Web服务器设置在防火墙之外。
               (3)Web服务器置于防火墙之上。这种方式增强了Web服务器的安全性,但是如果Web服务器出现问题,整个Web站点和内部网都会处于危险之中。
 
       完整性
        完整性(Integrity)是指网络信息或系统未经授权不能进行更改的特性。例如,电子邮件在存储或传输过程中保持不被删除、修改、伪造、插入等。完整性也被称为网络信息系统CIA三性之一,其中I代表Integrity。完整性对于金融信息系统、工业控制系统非常重要,可谓“失之毫厘,差之千里”。
 
       物理安全
        网络安全的层次可以分为物理安全、控制安全、服务安全、协议安全。其中物理安全措施包括环境安全、设施和设备安全(设备管理包括设备的采购、使用、维修和存储管理,并建立详细资产清单;设备安全主要包括设备防盗、防毁、防电磁泄漏、防线路截获、抗电磁干扰及电源保护)、介质安全(对介质及其数据进行安全保护,防止损坏、泄漏和意外失误)。
        计算机系统的物理安全主要采用分层的防御体制和多方面的防御体制相结合。
        一个分层的防御体制通过提供冗余以及扩展的保护等手段在访问控制方面提高了机密性的级别。设计一个分层防御体制需要遵循的3个基本原则是广度、深度和阻碍度。
        (1)广度:单独一种类型的控制往往很难解决所有的脆弱点。
        (2)深度:深度是最重要的因素。
        (3)阻碍度:实施保护时,所控制的花费应该要比所保护对象的价值要低,否则就没有必要。
        物理安全的实施通常包括以下几个方面:
        (1)确认。确定什么需要保护,从而根据如何对其进行识别来制定指导方针。
        (2)标注。使用橡皮印章或其他手段来对敏感文件进行标识。
        (3)安全。基于存在的风险构造物理防御层,通常需要考虑的因素包括周边设施、建筑入口、建筑楼层、办公室装置等。
        (4)跟踪。使用访问列表、列表检查、目录控制、审计日志等方式对访问进行跟踪控制。
        (5)技能。保证人员知道如何进行保护以及保护原因,并制定策略来实施这些保护措施,保护措施应该明确所需要的访问控制以及处理手续。
        当实施物理安全时,必须认识到一些普遍存在的局限性和缺点:
        (1)社会工程学。从社会工程学的角度考虑,绕过一个物理安全控制是可能的。
        (2)密码的泄漏。为了方便经常把密码写在某个地方或者进行邮寄。
        (3)尾随。尾随授权的人进入一所设施。
        (4)环境因素。空气的污染、强烈的阳光、反射以及雾气等都能够影响摄像机的性能或者使传感器产生错误的警报。
        (5)装置可靠性。过冷或者过热可能会影响到装置的可靠性。
        (6)信任度。当虚假的警报或错误的警报过多时,警报系统的信任度就会降低,从而忽略警报。
        (7)用户接受度。当用户感觉安全措施过于困难或者并不安全时,甚至对其造成干扰时,可能会妨碍安全措施的实施,而不管其干涉正确与否。
 
       业务系统
        该重工集团有自己的管理模型。顶端按照工业4.0,集团管控,包括阿米巴经营模式;相应的流程制度,岗位职责,工作标准,成本绩效。左边是信息化管控,右边是智能化建设,下面是精益管理,底下是企业文化。这样的管理需要用信息化系统去实现。
        在这架构中,ERP系统是基础,利用CRM系统和客户对接,SRM管理供应链,MES监控生产。利用OA把所有业务打通,而后利用专业软件,实现前端的商务智能分析。
        下图的物联网设想把MES系统和机床、物流以及检测设备连起来,做成物联化,把ERP升级到CRM或者SCRM,把供应商和客户打通,形成企业的互联网。
        
        智能工厂物联网体系
        下图是整个业务系统的总体架构图。一个平台、两级部署、三层应用,包括商业分析、移动应用、企业门户和协同管理。
        
        智能工厂业务系统整体架构
        在业务系统这块,先后上线了ERP系统、PLM系统、OA系统和MES系统。上线的这些系统,虽然参与了生产、管理,打通了业务,却没有让领导层参与,反馈报告依然采用Excel、PPT。作为决策者,领导层更应该参与数据的可视化呈现过程。所以,2014年上线了帆软报表系统,提升了数据前端展示,利用某报表软件承担的BOSS系统决策,将领导层纳入管理体系。
   题号导航      2013年下半年 网络规划设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第53题    在手机中做本题