-测试试题8-2-5.docVIP

“信息安全管理与评估”测试题五 （一）竞赛项目背景及网络拓扑 1．项目描述 某大型企业，企业总部和企业分支通过ISP互连，随着业务的发展，公司原有网络已经不能满足高效企业管理的需要，公司经常遭到来自互联网络的攻击或入侵，网络安全对生产和经营的影响也越来越明显。为了满足业务的需要，公司决定构建一个高速、稳定、安全的适应企业现代化办公需求的高性能网络。 2．网络拓扑规划 网络拓扑结构规划如图1所示。 图1 网络拓扑结构图 （二）工程建设需求及内容描述 本次公司的网络构建包括企业总部和企业分支两个部分，中间部分为互联网ISP部分，即三个模块1-3都要进行配置。总公司的网络出口使用防火墙、路由器连接到ISP，通过配置防火墙来实现内网用户访问Internet以及保护内网的安全。总公司和分公司之间的办公用户通过VPN建立的隧道相互通信，有效的保证了数据传输的安全性。 本工程项目主要建设需求及主要内容描述如下（此处仅为功能性描述，具体见后面的试题要求）： 模块3：互联网ISP需求 利用提供的R3路由器及Server3服务器模拟ISP互联网部分设备。 R3：R3路由器要进行基本连接配置，其模拟的是公网上的路由器，要遵循公网上路由器的原则配置路由，进行最小化的连通性配置。 Server3：在此拓扑中R1的E2/0接口充当互联网ISP的一部分，需要保证全部网络中的主机可以访问Server3。 Server3：Server3服务器安装WIN2003虚拟机，配置DNS及CA服务。 模块2：企业总部局域网安装及企业总部互联网接入的配置需求 R1：通过对R1的配置实现企业总部网络可以接入互联网，并与企业分支的路由器R2建立VPN连接。保证企业总部内网的PC可以访问互联网、企业总部与分支能拨打VOIP电话，并且要求企业总部与企业分支内部之间的语音与数据流都通过VPN在公网上传输。在R1上配置回环接口、静态路由、NAT、VPN、VOIP等功能。 Telephone1：通过以上配置可以实现企业总部与分支之间的VOIP通信，即Telephone1与Telephone2可以互相拔打语音电话。 UTM：配置UTM防火墙保护企业总部内部网络安全，包括流量控制、访问策略等功能。并保护Server2的安全。 Server2：Server2服务器安装WIN2003虚拟机，在虚拟机原有一个系统盘基础上新添加三块SCSI虚拟硬盘，每个硬盘的大小为4个GB，在其上分别建立三个卷：一个是条带卷、另一个是RAID5卷、还有一个镜像卷。配置WEB、FTP服务，WEB主目录指向RAID5卷；FTP服务用存放软件，指向条带卷。 Server2：在Server2上从Server3上的CA服务器申请并安装数字证书，为WEB配置安全访问（HTTPS）。以保护PC3通过浏览器发送到Server2的信息是加密的，并通过CA确保PC3所访问的Server2上的WEB站点的真实性。 S1：S1是企业总部内部交换网络的三层交换机，起到核心与汇聚层作用，在其上要配置相应功能，为内网中的PC动态分配IP地址等信息；同时对各部门划分VLAN，且VLAN间经三层交换可互相通信，并且要求把S1与UTM之间的企业内部网络主干流量复制发送到PC2上，以便于PC2能够监测主干流量中的全部协议数据；同时S1中要配置与S2、S3之间的聚合连接，以保证网络的高速上联与可靠性。为了让所连接的PC能够访问外部网络要配置相应的静态路由条目。 Server1：Server1上安装的WIN2003虚拟机为企业总部内网的WEB、FTP、DNS、Telnet与AD服务器。其中WEB、FTP、DNS通过两种操作系统完成，即在XP主机系统上再安装一个Linux虚拟机，也要配置WEB、FTP、DNS服务。 S2、S3：企业总部内的S2和S3交换机中配置VLAN、TRUNK、链路聚合等功能。同时为了保证非授权用户不能接入公司内部网络，对接入交换机S2所连接的PC采用本地802.1X进行认证。 AP：企业总部内无线AP安装于会议室内，要对其配置安全加密认证以保证非企业内部或非授权的员工不能连接到企业网络。 PC1、PC2：企业总部内的PC1、PC2（无线网卡）设置为动态获取地址、网关及DNS信息。PC1上连接有打印机，要求PC2可以连接使用此打印机进行网络打印。同时PC2可以作为网络配置与管理工作站，远程配置管理全部网络设备及服务器。 PC1：在企业总部内的PC1上完成网络安全的测试项目。 PC2：PC2上要安装USB接口的无线网卡通过连接到无线AP能连接内外网络。另外PC2有线网卡（指定IP）要连接到核心交换机的E1/0/7端口上监控网络主干流量。要将PC2的主机XP系统安装入侵检测系统Snort、扫描软件NMAP、网络管理软件SolarWind