|
第7章 计算机网络安全及管理技术 1.名词解释 (1)PKI;(2)防火墙;(3)网络代理;(4)拒绝服务攻击;(5)LDAP。 2.填空题 (1)802.1X系统由 、 和 3个实体组成。 (2)网络管理的主要任务分为 、 、 、 、 、 和 7个方面。 (3)对MIB值的存放有 和 两种方式。 (4)常用的负载均衡技术有 、 、 、 和 5种方式。 3.选择题 (1)在路由器上,通过访问列表对进出内部网的IP地址进行限制的技术,从技术特点上更类似于( )。 A)网络层防火墙 B)应用层防火墙 C)代理服务器 D)A、B、C都不是 (2)操作目录数据库的语言称为( )。 A)DIT B)RDN C)LDIF D)SQL 4.简答题 (1)防火墙技术分为哪两种?试分析它们的优缺点。 (2)简述防火墙与入侵检测系统的区别。 (3)请绘出远程访问系统模型。 (4)简要分析RADIUS与TACACS+的主要区别。 (5)请绘出SNMP v1的网络管理模型,并简述其中各部分的功能。 (6)请绘出3大主流存储技术的模型图,并分析他们的特点。 5.案例分析 在互联网上,IP地址是一种有限的资源,对于一个企业来说申请大量的合法IP地址是不可能的,而随着企业的发展,企业内部需要上网计算机数越来越多,出现IP地址不够用的问题。那么怎样来解决企业内部IP地址不够的问题? 第7章 计算机网络安全及管理技术 1.名词解释 (1)PKI; 答:PKI(公钥基础设施)利用公钥理论和技术建立的提供信息安全服务的基础设施,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。 作为一种技术体系,PKI可以作为支持认证完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵賴等安全问题,为网络应用提供可靠地安全保障。 作为提供信息安全服务的公共基础设施,PKI是目前公认的保障网络安全的最佳体系。 (2)防火墙; 答:防火墙是一个位于局域网和外网之间,或计算机和它所接的网络之间执行访问控制策略的一个或一组软硬件设备。它主要是对流经的通信流量进行访问控制,过滤和阻断未经容许的访问。 (3)网络代理; 答:代理( Agent)的作用是收集被管理设备的各种信息并响应网络中SNMP服务器的要求,把它们传输到中的SNMP服务器的MIB中。代理包括:智能集线器、网桥、路由器、网关及任何合法结点的计算机。 (4)拒绝服务攻击; 答:拒绝服务攻击(DOS)是指占据了大量的系统资源,没有剩余的资源给其他用户,系统不能为其他用户提供王常的服务。他会降低资源的可用性,遮羞资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器,甚至是系统管理员的时间。攻击的结果是减少或失去服务。 (5)LDAP。 答:LDAP(轻型目录访问协议)是促使目录流行的关键技术,是目录服务器的互联网标准协议。 运行于TCP/IP之上的应用层协议,以客户服务器方式工作。它是跨平台的、标准的协议,得到了业界的广泛认可。LDAP定义的只是客户端与服务器之间的请求、应答的格式和约定,而对于服务器如何具体实现未作任何规定,那是前端访问协议要解决的事情。 2.填空题 (1) 客户端 、 认证系统 和 认证服务器 (2) 用户管理 、 配置管理 、 性能管理 、 故障管理 、 计费管理 、 安全管理 和 其他网络管理功能 (3) 标量 和 二维标量数组 (4) DNS轮循 、 NAT均衡 、 协商式处理 、 流量分发 和 反向代理 3.选择题 (1)A (2)C 4.简答题 (1)防火墙技术分为哪两种?试分析它们的优缺点。 答:分为网络层防火墙和应用层防火墙: 1)网络层防火墙,基于硬件路由器。优点,便宜,简单,过滤规则易于维护,缺点・功能单一,只能提供基本的统计记录,内部主机可被互联网上的系统访问。整个网络容易受到互联网的入侵。 2)应用居防火墙,基于软件。优点。功能多,应用灵活,能提供许多报告、统计和监控手段,以控制网络的运行;提供有益的内部网络功能。可以使内部网络与外部网络完全隔离。可以监控外部主机的连接企图,比较安全不受约束的对内部网络进行灵活的编址。缺点:价格比网络层防火墙要高得多,需要配置专门的软件及高性能的硬件系统,否则会产生严重的通信瓶颈。复杂。管理员不仅需要清楚的了解 TCP/IP,还需要为存储、监视和报告功能做出最合理的设置。 (2)简述防火墙与入侵检测系统的区别。 答:1)防火墙是一种被动防卫技术,是在两个网络之间执行访问和控制策略的系统,它在内部网络与外部网络之间设置障得,以阻止外界对内部资源的非法访问,也可以防止内部对外部的不安全的访问; 大多数入侵检测系统都是被动的,而不是主动的; 入侵保护倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损. 2)内外网所有的连接都通过防火墙,对性能有影响:IDS一般是并联在网络中,以旁路监听的方式实时监网络可疑流量,在性能上没多大景:IDP主要是串联在网络中,所有网络流量都要经过它,影网络性能。 3)防火墙和IDS,IDP都属于网络安全设施,但它们对数据包的检查层次是不同的。防火墙只对IP和TCP居IDS、IDP的检查要仔细的多,因而能够对类似虫病毒这样的攻击进行报警或保护。 (3)请绘出远程访问系统模型。 答: file:///C:/Users/Administrator/AppData/Local/Temp/ksohtml7732/wps3.jpg 拨号入网用户利用 Modem经公共电话网,连接到NAS上,NAS要求用户输入用户ID及密码,并将数据传送到认证服务器上,进行身份认证后,认证服务器将用户采用的协议及授权使用的服务传回NAS上,NAS据此配置相应的端口,并为用户提供服务。 (4)简要分析RADIUS与TACACS+的主要区别。 答:两者都是远程访问控制的开放协议标,广泛用于各种拨号服务器中。 相同点: 都实现了认证、授权和记账功能结构上都采用客户服务器、请求向应模式都使用公共密钥对信息加密,都提供了进一步认证的手段都有较好的灵活性和可扩充性。 不同点: 1)最大区别是客户端和服务器端连接所采用的协议不同,radius采用UDP,而tacacs+采用TCP。 2)对报文加密程度不同,都采用MD5算法加密,但radius仅对用户密码部分加密,而后者对整个报文加密。 3)对AAA功能的分离程度不同,radius f的认证和授权过程无法分开,而后者使认证、授权和记账都分开了。 4)支持代理方式上不同,radius定义了服务器端充当代理客户端的功能,而后者没有提到。 (5)请绘出SNMP v1的网络管理模型,并简述其中各部分的功能。 答: file:///C:/Users/Administrator/AppData/Local/Temp/ksohtml7732/wps4.jpg NMC(网络管理站)是系统的核心,负责管理代理和MIB。 代理(Agent)的主要作用是收集被管理设备的各种信息,并响应网络中SNMP服务器的要求,把它们传送到中心SNMP服务器的MIB数据库中。 MIB(管理信息库)负责存储设备的信息,它是SNMP分布式数据库的分支数据库。 SNMP(简单网络管理协议)主要用于OS1七层模型中低层次的管理,采用轮询监控方式。 (6)请绘出3大主流存储技术的模型图,并分析他们的特点。 答:1)连接式存储(NAS):NAS是通过与网络直接连接的磁盘阵列,具备磁盘阵列的所有主要特征,高容量高效能、高可靠。 特点:1、NAS具有安装容易、快速的特点;2、易于维护3、非常好的可扩展性:4、具有更快的响应速度和更高的数据带宽5、对服务器的要求降低,可大大降低服务器的成本,有利于高性能存儲系统在更广的范围内普及及应用。 2)直连式存储(DAS):是一种专业的网络文件存储及文件备份设备,采用直接連接存储结构。将存储设备通过SCSI接口或光纤通道直接连接到服务器上。 其缺点是服务器成为网络瓶颈,存储容量不易扩充;服务器发生故障时,连接在服务器上的存储设备中的数据不能被存取。 3)存儲网络(SAN):SAN是指存儲设备相互连接且与ー台服务器或一个服务器群相连的网络。其中的服务器用作SAN的接入点。 它的最大特性是将网络和设备的通讯协议与传输物理介质隔离开。这样多种协议可在同一个物理连接上同时送,高性能存储体和宽带网络使用单I/O接口使得系统的成本和复杂程度大大降低。 SAN提供一个专用的、高可靠性的基于光通道的存储网络,SAN允许独立地增加它们的存储容量,也使得管理及集中控制(特別是对于全部存储设备都集群在一起的时候)更加简化。而且,光纤接口提供了10km的连接长度,这使得物理上分离的远距离存储变得更容易。 5.案例分析 在互联网上,IP地址是一种有限的资源,对于一个企业来说申请大量的合法IP地址是不可能的,而随着企业的发展,企业内部需要上网计算机数越来越多,出现IP地址不够用的问题。那么怎样来解决企业内部IP地址不够的问题? 答: (1)可以通过子网掩码来划分子网,获得更多的ip地址。 (2)通过网络地址转换,内网用私有地址。 (3)还是好好做个网络规划,好好刘分下拓扑结构吧。 (4)划分VLAN。 (5)动态主机配置协议。
| 
发表于 2023-2-27 22:08:01
收藏
