網(wǎng)絡(luò)安全 應(yīng)用設(shè)計題

1、1.某投資人士用Modem撥號上網(wǎng)，通過金融機構(gòu)的網(wǎng)上銀行系統(tǒng)，進行證券、基金和理財產(chǎn)品的網(wǎng)上交易，并需要用電子郵件與朋友交流投資策略。該用戶面臨的安全威脅主要有：(1)計算機硬件設(shè)備的安全；(2)計算機病毒；(3)網(wǎng)絡(luò)蠕蟲；(4)惡意攻擊；(5)木馬程序；(6)網(wǎng)站惡意代碼；(7)操作系統(tǒng)和應(yīng)用軟件漏洞；(8)電子郵件安全。試據(jù)此給出該用戶的網(wǎng)絡(luò)安全解決方案。在網(wǎng)關(guān)位置配置多接口防火墻，將整個網(wǎng)絡(luò)劃分為外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)等多個安全區(qū)域，將工作主機放置于內(nèi)部網(wǎng)絡(luò)區(qū)域，將WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器等服務(wù)器放置在DMZ區(qū)域，其他區(qū)域?qū)Ψ?wù)器區(qū)的訪問必須經(jīng)過防火墻模塊的檢查。 在中心交換機

2、上配置基于網(wǎng)絡(luò)的IDS系統(tǒng)，監(jiān)控整個網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)流量。 在DMZ區(qū)內(nèi)的數(shù)據(jù)庫服務(wù)器等重要服務(wù)器上安裝基于主機的入侵檢測系統(tǒng)，對所有上述服務(wù)器的訪問進行監(jiān)控，并對相應(yīng)的操作進行記錄和審計。將電子商務(wù)網(wǎng)站和進行企業(yè)普通WEB發(fā)布的服務(wù)器進行獨立配置，對電子商務(wù)網(wǎng)站的訪問將需要身份認證和加密傳輸，保證電子商務(wù)的安全性。在DMZ區(qū)的電子商務(wù)網(wǎng)站配置基于主機的入侵檢測系統(tǒng)；防止來自INTERNET對HTTP服務(wù)的攻擊行為。在企業(yè)總部安裝統(tǒng)一身份認證服務(wù)器，對所有需要的認證進行統(tǒng)一管理，并根據(jù)客戶的安全級別設(shè)置所需要的認證方式（如靜態(tài)口令，動態(tài)口令，數(shù)字證書等）。2.某局域網(wǎng)（如下圖所示）由1個防火墻、2

3、個交換機、DMZ區(qū)的WEB和Email服務(wù)器，以及內(nèi)網(wǎng)3臺個人計算機組成。請完成下述要求：（1） 在下圖的空白框中填寫設(shè)備名（2） 完成下圖中設(shè)備之間的連線，以構(gòu)成完整的網(wǎng)絡(luò)結(jié)構(gòu)圖。3.入侵檢測系統(tǒng)結(jié)構(gòu)圖 響應(yīng)分析 知識庫 入侵分析 數(shù)據(jù)存儲 數(shù)據(jù)提取 原始數(shù)據(jù)流 4.某局域網(wǎng)如下圖，其中：1號設(shè)備是路由器，4號設(shè)備是交換機，5和6號設(shè)備是DMZ區(qū)服務(wù)器，7、8和9號設(shè)備是個人計算機。請回答下列問題：(1)2和3號設(shè)備中，哪個設(shè)備是防火墻?哪個設(shè)備是交換機?(2)3套個人防火墻軟件最適合安裝在哪3個設(shè)備上?(只能選3個設(shè)備)(3)5套防病毒軟件應(yīng)該安裝在哪5個設(shè)備上?(只能選5個設(shè)備)答：2號

4、設(shè)備是防火墻 3號設(shè)備是交換機 3套個人防火墻最適合安裝在7、8、9號設(shè)備上 5套防病毒軟件應(yīng)該分別裝在5、6、7、8、9號設(shè)備上5.某電子商務(wù)企業(yè)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如題33圖所示， 試分析該系統(tǒng)可能存在的典型的網(wǎng)絡(luò)安全威脅。一般的計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自外部網(wǎng)絡(luò)的非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感信息可能被泄漏或被修改，從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息可能被竊聽或篡改。（1）竊聽：網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒈桓`聽。（2）重傳：攻擊者事先獲得部分或全部信息，以后將其發(fā)送給接收者。（3）偽造：攻擊者將偽造的信息發(fā)送給接收者。（4）篡改：攻擊者對合法用戶之間的通信信息進行修改、刪除或插入，再發(fā)送給接收者。（5）非授

5、權(quán)訪問：攻擊者通過假冒、身份攻擊、系統(tǒng)漏洞等手段，獲取系統(tǒng)訪問權(quán)，從而使非法用戶進入網(wǎng)絡(luò)系統(tǒng)讀取、修改、刪除或插入信息等。（6）拒絕服務(wù)攻擊：攻擊者通過某種方法使系統(tǒng)響應(yīng)速度減慢甚至癱瘓，阻止合法用戶獲得服務(wù)。（7）行為否認：通信實體否認已經(jīng)發(fā)生的行為。（8）旁路控制：攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性。（9）電磁、射頻截獲：攻擊者從電子或機電設(shè)備發(fā)出的無線射頻或其他電磁輻射中提取信息。（10）人員疏忽：授權(quán)的人為了利益或疏忽將信息泄漏給未授權(quán)的人。6.在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間設(shè)計了一個屏蔽子網(wǎng)體系結(jié)構(gòu)的防火墻，要求：(1)在下面給出的防火墻結(jié)構(gòu)圖的括號中標注組件名稱，并補充缺失的連線。(2)簡

6、述防火墻結(jié)構(gòu)圖中各組件的基本功能。1、 （1）外部路由器 （2）內(nèi)部路由器 （3）堡壘主機 2、各組件基本功能：（1）周邊網(wǎng)絡(luò)是在入侵者與內(nèi)部網(wǎng)絡(luò)之間提供了一個附加的保護層。（2）堡壘主機是接受來自外界連接的主要入口。（3）內(nèi)部路由器保護內(nèi)部網(wǎng)絡(luò)使之免受來自外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵犯。（4）外部路由器保護周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)使之免受來自外部網(wǎng)絡(luò)的侵犯。7. 某大型企業(yè)欲建立自己的局域網(wǎng)，對外進行Web發(fā)布和電子商務(wù)；電子商務(wù)和數(shù)據(jù)庫服務(wù)要求安全等級高。另外，企業(yè)總部是企業(yè)的核心，在進入企業(yè)總部的時候要求進行身份認證。試分析該網(wǎng)絡(luò)安全的解決方案。服務(wù)器配置：分成外部服務(wù)器和內(nèi)部一級、二級服務(wù)器，將內(nèi)部服務(wù)器設(shè)置高安全系數(shù)，外部服務(wù)器僅作為網(wǎng)站的外圍措施的存放進行進行簡單設(shè)置。之后把一級服務(wù)器與外部服務(wù)器連接實現(xiàn)存儲重要數(shù)據(jù)。二級服務(wù)器作為企業(yè)內(nèi)部使用，與一級服務(wù)器進行通訊，在確定無誤后由一級服務(wù)器存入二級。分部服務(wù)器、總部服務(wù)器搭建VPN進行安全連接。環(huán)境配置：在網(wǎng)絡(luò)的