【问题3】（8分） 企业员工访问互联网时，为了财务部门的安全，必须限制财务部门的互联网访问请求；

【问题1】 (共6分) 图 1-1 中， γ设备①处部署（1），设备②处部署(2)，设备③处部署(3)。 (1)~(3)备选答案（每个选项限选一次): A. 入侵防御系统(IPS) B. 交换机 C. 负载均衡 【问题2】 〈共 4 分〉 图 1-1 中，介质①处应采用(4)，介质②处应采用(5) (4)~(5) 备选答案(每个选项限选一次): A. 双绞线 B. 同轴电缆 C. 光纤 【问题3】 〈共 4 分〉 图 1-1 中，为提升员工的互联网访问速度，通过电信出口访问电信网络，移动出口访问移动网络，则需要配置基于(6)地址的策略路由:运行一段时间后，网络管理员发现电信出口的用户超过 90% 以上，网络访问速度缓慢，为实现负载均衡，网络管理员配置基于 (7)一地址的策略路由，服务器和数据区域访问互联网使用电信出口，行政管理区域员工访问互联网使用移动出口，生产业务区域员工使用电信出口。 【问题 4】(共6 分〉 1.图 1-1 中，设备④处应为（8）， 该设备可对指定计算机系统进行安全脆弱性扫描和检测，发现其安全漏洞，客观评估网络风险等级。 2. 图 1-1 中，（9）设备可对恶意网络行为进行安全检测和分析。 3. 图 1-1 中，（10）设备可实现内部网络和外部网络之间的边界防护，依据访问规则，允许或者限制数据传输。

试题一

某企业最初只有一个办公地点，所有人员都集中在一个相对较小的封闭空间进行工作。由于是小型企业，社会影响不大，所以对安全性要求不高，主要目标是以最小的代价（费用）实现联网和访问互联网(Internet)，企业内部无对外提供的任何互联网服务。后来，随着企业不断发展，其网络建设也不断升级更新。（注：以下问题均不考虑无线网络技术）

[问题1】(10分)

假定初期员工不超过50人，所有员工工作在同一楼层的不同房间，对互联网的访问带宽需求小于2Mbps，且主要为进入企业内部的流量。

针对该企业网络建设，请从下面几个方面简要说明网络设计内容及依据： (1)网络结构； (2)物理层技术选择； (3)局域网技术选择； (4)广域网技术选择； (5)网络地址规划。

[问题2】(10分)

假定企业发展为中等规模，人数不超过1000人，所有员工在同一城市的不同地域工作。企业目前分为一个总部和三个分部(分布范围都不超过2Km)，总部人数不超过400人，分部人数不超过200人。企业与互联网采用统一对外接口，带宽需求规模为lOOMbps以内，且流入数据量和流出数据量基本均衡；企业总部和分部之间的数据流量小于lOOOMbps。由于企业规模较大，对网络的依赖度大大增加，要求分部到总部和总部至互联网出口有备份，以增加网络的健壮性和可用性。

请从下面3个方面简要给出总部／分部网络和企业整体网络的结构和设计要点：(1)网络结构； (2)物理层和局域网技术选择； (3)接入互联网技术选择。

[问题3](10分)

如果企业规模扩大到10000人，需要对外提供互联网服务（服务器的域名与IP一一对应），对内提供企业内部服务，并允许员工访问互联网。假定企业总部和分部数量有50个，总部最多500人，分部最多400人。企业组织机构有10个（如行政管理、生产、销售等），每个机构在总部或单个分部最多60人。

(1)请简要分析该企业网络的网络地址类型及规模。

(2)考虑管理便利、信息相互隔离和路由聚合等因素，请说明应如何规划该企业 网络的子网层次。

(3)举例说明如何进行子网划分（子网划分举例必须能够看出子网划分的规律，至少给出三个以上的子网号）。

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某企业的网络结构如图3-1所示。

【问题1】（4分）

企业网络中使用私有地址，如果内网用户要访问互联网，一般使用(1)技术将私有网络地址转换为公有地址。在使用该技术时，往往是用(2)技术指定允许转换的内部主机地址范围。

一般来说，企业内网服务器需要被外部用户访问，就必须对其做NAT转换，内部

服务器映射的公共地址不能随意更换，需要使用(3) NAT技术。但是对于企业内部

用户来讲，使用一一映射的技术为每个员工配置一个地址很不现实，一般使用(4) NAT

技术以提高管理效率。

【问题2】（7分）

一般企业用户可能存在于任何一家运营商的网络中，为了确保每个运营商网络中的

客户都可以高效地访问本企业所提供的网络服务，企业有必要同时接入多个运营商网络。

根据企业网络的拓扑图和网络地址规划表，实现该企业出口NAT的双线接入。

首先，为内网用户配置NAT转换，其中以61.192.93.0/24代表ISP-A所有网段：其

次为外网用户访问内网服务器配置NAT转换。根据需求，完成以下Route-NAT的部分

配置命令。

【问题3】(6分)

在路由器的内部和外部接口启用NAT，同时为了确保内网可以访问外部网络，在出

口设备配置静态路由。根据需求，完成（或解释）Route-NAT的部分配置命令。

【问题4】（3分）

常用的网络流量控制技术除了ACL（访问控制列表）外还有QoS（服务质量）。Qos

是网络的一种安全机制，主要用来解决网络延迟和阻塞等问题，它主要有三种工作模式，

分别为 (18)模型、Integrated service（或综合服务）模型及_(19)_模型，其中使用比较普遍的方式是(20)模型。

试题五（共25分）

阅读以下关于信息系统安全性的说明，在答题纸上回答问题l至问题3。

【说明】

某大型跨国企业的IT部门一年前基于SOA(Service-Oriented Architecture)对企业原有的多个信息系统进行了集成，实现了原有各系统之间的互连互通，搭建了支撑企业完整业务流程运作的统一信息系统平台。随着集成后系统的投入运行，IT部门发现在满足企业正常业务运作要求的同时，系统也暴露出明显的安全性缺陷，并在近期出现了企业敏感业务数据泄漏及系统核心业务功能非授权访问等严重安全事件。针对这一情况，企业决定由IT部门成立专门的项目组负责提高现有系统的安全性。

项目组在仔细调研和分析了系统现有安全性问题的基础上，决定首先为在网络中传输的数据提供机密性(Confidentiality)与完整性(Integrity)保障，同时为系统核心业务功能的访问提供访问控制机制，以保证只有授权用户才能使用特定功能。

经过分析和讨论，项目组决定采用加密技术为网络中传输的数据提供机密性与完整性保障。但在确定具体访问控制机制时，张工认为应该采用传统的强制访问控制(Mandatory Access Control)机制．而王工则建议采用基于角色的访问控制(Role-Based Access Control)与可扩展访问控制标记语言(eXtensible Access Control Markup Language，XACML)相结合的机制。项目组经过集体讨论，最终采用了王工的方案。

【问题1】（8分）

请用400字以内的文字，分别针对采用对称加密策略与公钥加密策略，说明如何利用加密技术为在网络中传输的数据提供机密性与完整性保障。

【问题2】（9分）

请用300字以内的文字，从授权的可管理性、细粒度访问控制的支持和对分布式环境的支持三个方面指出项目组采用王工方案的原因。

【问题3】（8分）

图5-1给出了基于XACML的授权决策中心的基本结构以及一次典型授权决策的执行过程，请分别将备选答案填入图中的(1)～(4)。

备选答案：策略管理点(PAP)、策略执行点(PEP)、策略信息点(PIP)、策略决策点(PDP)

【问题2】（8分）

为保证内网 PC 可以访问 Internet，图 4-3 所示 wan 接口的地址池中，起始地址为（3） ，结束地址为 （4） 。

如果内网中 Web 服务器对外提供服务的 IP 地址是 202.134.135.92，则需要在图 4-4中“保留此公用IP地址”文本框中填入 （5） ， “为专用网络上的计算机”文本框中填入 （6） 。

试题一（25分）

阅读以下关于某城市公交集团企业网络设计的叙述，回答问题1、问题2和问题3。

某城市公交集团营运公司根据城市发展的需要，制定了公交集团2006年至2010年的信息规划。在规划中明确提出在集团范围内建设一个用于公交车辆监控、调度的企业网络，利用先进的信息化技术改造传统的管理和运作模式，大力提升公共交通的服务水平和提高运行效率、降低运行成本。

公交集团营运公司是一家拥有四个二级分公司、1万多名职工、2000名办公人员的国有独资公司，目前拥有公交场站50个、公交营运线路250条，日营运车辆5000辆，平均运距为6公里，线路总长度4000公里，每年营运的载客人数为1亿人次，年营运收入130亿元。

公交集团企业网络覆盖集团总部与四个二级分公司，要求在五年内能够对所有公交车辆完成实时轨迹监控和调度，同时能够为公交集团内部信息系统的运行提供网络支撑环境。

[问题1]（10分）

在需求分析阶段，设计单位了解到公交集团办公人员的工作时间是早上8：00至下午6：00，公交线路的运营时间是早上5：00至晚上10：00，在非工作时间，监控和调度网络基本处于闲置状态。

公交集团企业网络的应用主要包括四类，分别是车辆监控调度、办公和集团营运业务、场站视频监控和互联网访问。各类应用的当前需求调查情况如表1-1所示。

表 1-1 公交集团应用需求调查

（注：应用总流量指由该应用在整个网络上产生的流量，本题不考虑网络数据包封装所增加的网络流量。）

[问题2]（8分）

设计人员通过需求分析，认为公交集团企业网络主要由三级局域网络互连而成，这三级局域网络分别为集团总部的核心局域网、分公司局域网、场站局域网。公交集团企业网络将通过路由设备连接这些局域网，以便于承载整个集团的各类应用。

在需求分析阶段应用分析的基础上，设计人员获取了如下的信息：

？ 车辆监控调度应用从移动公司网络获取车辆数据流，在集团局域网存储，分发至四个分公司，再进一步分发至各场站的监控计算机，四个分公司拥有车辆的比例为1：2：1：1；

？ 办公和集团营运业务应用为B/S模式，主要由分公司、场站的办公人员发起，将形成分公司、场站之间的双向数据流，客户机至服务器占应用总流量的20%，服务器至客户机占应用总流量的80%，各分公司之间办公人员数量较为接近；

？ 场站视频监控应用主要由场站摄像机产生视频流，符合80/20规则，即80%的应用流量在本地进行实时调阅与存储，20%的流量将上传至集团局域网进行调阅和存储，四个公司之间的场站数量比例同于车辆比例；

？ 互联网访问应用主要是用于分公司、场站的办公用户访问互联网，多为B/S类型应用访问，用户至集团局域网访问互联网的上行流量为20%,下行流量为80%。

基于以上资料，假设场站局域网的流量都将经过分公司局域网汇总，再传递至集团局域网，计算集团局域网至各分公司局域网的通信流量要求，填入表1-3中（通信流量要求应至少满足5年的应用需求）。

（a）请分析该逻辑网络结构的冗余性，并指出存在的故障单点。

（b）假设网络中的所有主用线路、备用线路都是相同的线路，为了能够借助于路由协议实现等开销路径上的负载均衡，该网络可以采用何种路由协议？

试题一（共25分）

阅读以下关于数字视频监控告警系统的叙述，回答问题1至问题3。

随着宽带应用快速发展，用户要求系统服务提供商提供基于互联网的多种服务。数字视频监控作为一种区域级的安全监控方式，越来越为更多的用户所使用。数字视频监控告警系统采用与数字视频监控相结合的多媒体技术和基于互联网的信息传递方案，为企业用户以及个人用户提供多种媒体的、不同时间、地点的信息通知服务。数字视频监控告警系统可以将用户需要查看的监控视频或告警信息，通过互联网门户系统以多种媒体方式传送给用户，方便用户随时随地了解与自身相关的视频信息。

【问题1】（10分）

在设计数字视频监控告警系统时，张工将该系统划分为5个层次：服务代理层、门户服务层、流程服务总线层、业务流程应用管理层和企业服务层，其中流程服务总线层是整个数字视频监控告警系统的核心，实现了服务消息、服务指令与数据的集中传递。系统五个层次在实现时可以采用图1-1左侧所示的技术或工具，请将系统的5个层次填入空(1)～(5)，使其与左侧技术或工具相对应。

【问题2】（8分）

请用300字以内文字说明服务代理层、门户服务层、业务流程应用管理层和企业服务层的主要功能。

【问题3】（7分）

张工认为，系统设计实现时需要重点关注系统的私密性、实时性、稳定性和扩展性，为什么？请用300字以内文字说明

【问题1】（8分） 1．Internet共享打印使用的协议是 (1) 。（1分） (1)备选答案： A．PPI B．IPP C．TCP D．IP 2．Intemet共享打印配置完成后，需在如图3-1所示的Web服务扩展选项卡中将“Active Server Pages”设置为“允许”，其目的是 (2)。（2分）图3-1 3．检验Internet打印服务是否安装正确的方法是在Web浏览器的地址栏输入URL是 (3) 。（2分） (3)备选答案： A．HTTP: //127.0.0.1/PRINTERS B．FTP: //127.0.0.1/PRINTERS C．HTTP: //PRINTERS D．FTP: //PRINTERS 4．使用Intemet共享打印流程为6个步骤： ①在终端上输入打印设备的URL ②服务器向用户显示打印机状态信息 ③客户端向打印服务器发送身份验证信息 ④用户把要打印的文件发送到打印服务器 ⑤打印服务器生成一个cabinet文件，下载到客户端 (D通过Intemet把HTTP请求发送到打印服务器 对以上步骤进行正确的排序 (4) 。（3分） 【问题2】 (8分) FTP的配置如图3-2、图3-3所示。1．默认情况下，用户登录FTP服务器时，服务器端建立的TCP端口号为 (5) 。 2．如果只允许一台主机访问FTP服务器，参考图3-2给出具体的操作步骤 (6) 。 3．参考图3-3，在一台服务器上搭建多个FTP站点的方法是 (7) 。 4．如点击图3-3中“当前会话”按钮，显示的信息是 （8） 。 【问题3】 (4分) DHCP的配置如图3-4和3-5所示。1．图3-4中填入的IP地址是 （9） 。 2．图3-5中配置DHCP中继代理程序，可以实现 (10) 。 (9)备选答案： A．分配给客户端的IP地址 B．默认网关的IP地址 C．DHCP服务器的IP地址 (10)备选答案： A．使普通客户机获取IP等信息 B．跨网段的地址分配 C．特定用户组访问特定网络

A.高可用性要解决企业业务频繁宕机的问题

B.高可用性解决了服务宕机时，用户的感知问题，有了高可用性后，服务宕机时，可以立刻自动切换，提升用户访问的持续性

C.高可用性要解决服务长时间宕机给企业带来巨大损失的问题

D.高可用性主要是解决高流量大并发时的业务访问延迟的问题

A.终端不能及时打系统补丁

B.员工绕过防火墙访问互联网

C.员工未安装办公软件

D.员工忘记设置必要的口令