【计算机类职业资格】高级网络规划设计师下午试题(Ⅰ)-1及答案解析.doc

1、高级网络规划设计师下午试题()-1 及答案解析(总分：74.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：24.00)阅读下列技术说明，根据要求回答问题 1问题 5。B说明/B某学校在原校园网的基础上进行网络升级改造，网络拓扑结构如图 4-12所示。其中网管中心位于办公楼第 6层，采用动态 IP地址及静态 IP地址结合的方式进行 IP地址的管理和分配。（分数：24.00）(1).网络逻辑结构设计是体现网络规划与设计核心思想的关键阶段。通常，网络逻辑结构设计工作主要包括哪些方面的内容?（分数：4.80）_(2).从表 4-14中为图 4-12中的(1)(5)处选择合适的设备，将

2、设备名称写在答题卡的相应位置上(每一设备限选一次)。（分数：4.80）_(3).为图 4-12中(6)(9)处选择介质，填写在答题卡的相应位置上。备选介质(每种介质限选一次)：6类 UTP 超 5类 UTP 双千兆光纤链路 千兆光纤（分数：4.80）_(4).该学校网络系统在安全设计上采用分层控制方案，将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层。对各层的安全采取不同的技术措施，请将表 4-15中(10)(14)处空缺信息填写完整。 （分数：4.80）_(5).当该校园网中存在多条路径时，路由协议使用度量值来决定使用哪条路径。在网络

3、规划设计过程中，对路由度量值主要有哪些方面的考虑?（分数：4.80）_二、B试题二/B(总题数：1，分数：25.00)阅读下列技术说明，根据要求回答问题 1问题 5。B说明/B为了保障内部网络的安全，某公司在 Internet的连接处安装了 CiscoPIX525防火墙。该防火墙带有 3个网络接口，其网络拓扑如图 4-13所示。（分数：25.00）(1).在网络工程规划与设计过程中，选择防火墙之前应该考虑的因素有哪些?请用300字以内的文字简要回答。（分数：5.00）_(2).请为图 4-13拓扑结构中 PIX 525防火墙各接口命名，并指定相应的安全级别和IP地址的配置语句。（分数：5.00

4、）_(3).该公司允许内部网段 192.168.1.0/26的所有主机对外访问 Internet。请写出PIX 525防火墙与之相关的配置语句。（分数：5.00）_(4).在图 4-13拓扑结构中 PIX 525防火墙有如下配置语句，请写出每条配置语句的功能注释。Pix525(config)# route outside 0 0 211.156.169.1 U (1) /UPix525(config)# static(inside，outside) 211.156.169.2 211.156.169.5 U(2) /UPix525(config)# conduit deny icmp any

5、any U (3) /UPix525(config)# fixup protocol http 8080 U (4) /U（分数：5.00）_(5).只封禁一台地址为 192.168.1.230主机的 access-list正确配置是U (5) /U。 Aaccess-list 110 permit 中 anyany access-list 110 deny中 host 192.168.1.230 any access-list 110 deny ip anyhost 192.168.1.230 Baccess-list 110 deny 中 host 192.168.1.230 any ac

6、cess-list 110 deny中 any host 192.168.1.230 access-list 110 permit ip anyany Caccess-list 110 deny ip host 192.168.1.230 any access-list 110 deny ip any host 192.168.1.230 Daccess-list 110 deny ip host 192.168.1.230 any access-list 110 permit ip anyany access-list 110 deny ip any host 192.168.1.230（分

7、数：5.00）_三、B试题三/B(总题数：1，分数：25.00)阅读下列技术说明，根据要求回答问题 1问题 4。B说明/B某单位局域网拓扑结构如图 4-14所示，交换机 Switch1Switch3 互相通过快速以太网端口连接。在交换机 Switch2上创建有基于端口的 VLAN，其中 f0/3属于 VLAN 3，f0/4 属于 VLAN5。交换机 Switch3上也创建有基于端口的 VLAN，其中 f0/3属于 VLAN 3，f0/4 属于 VLAN5。PC1、PC2、PC23、PC24 的 IP 地址分别为 192.168.1.11/24、192.168.1.12/24、192.168.1

8、.13/24、192.168.1.14/24。（分数：25.00）(1).交换机 Switch2和 Switch3中都创建了相应的 VLAN，但管理员发现 PCI主机可以 ping通 PC2主机， Switch2 中的 VLAN信息如图 4-15所示。（分数：6.25）_(2).交换机 Switch2和 Switch3中都创建了相应的 VLAN，并将相关端口划分到对应的 VLAN中，但网络管理员发现同属于 VLAN3的 PCI和 PC23主机，以及同属于VLAN5的 PC2和 PC24主机之间不能相互 ping 通。请问造成这一故障现象与交换机相关的原因可能是什么?请写出为排除这一故障现象，在

9、相关交换机进行配置的有关语句。（分数：6.25）_(3).连接于交换机 Switch2的用户报告无法相互通信。网络管理员发现 Switch2的foil端口指示灯急剧闪烁。在 Switch2配置模式下，使用 show interface fastethernet0/1得到的系统信息如图 4-16所示。(1)此时，交换机 Switch2的 f0/1端口处于 STP的什么状态?(2)当管理员关闭 Switch2的 f0/2端口时，f0/1 端口指示灯经过一小段时间后显示正常。在这一小段时间里，Switch2 的 f0/1端口状态经过了哪些状态转换?(3)造成这一故障现象的原因可能是什么?（分数：6.

10、25）_(4).为了减少该单位网络 STP的协议收敛时间，请列举出几种相应的改进措施。（分数：6.25）_高级网络规划设计师下午试题()-1 答案解析(总分：74.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：24.00)阅读下列技术说明，根据要求回答问题 1问题 5。B说明/B某学校在原校园网的基础上进行网络升级改造，网络拓扑结构如图 4-12所示。其中网管中心位于办公楼第 6层，采用动态 IP地址及静态 IP地址结合的方式进行 IP地址的管理和分配。（分数：24.00）(1).网络逻辑结构设计是体现网络规划与设计核心思想的关键阶段。通常，网络逻辑结构设计工作主要包括哪些方

11、面的内容?（分数：4.80）_正确答案：()解析：网络结构的设计。主要包括局域网结构中数据链路层设备互连方式，广域网结构中网络层设备互连方式等。 物理层技术选择。主要包括缆线类型、网卡的选用。 局域网技术选择与应用。主要考虑STP、VLAN、WLAN、链路聚合技术、冗余网关协议、线路冗余和负载均衡、服务器冗余与负载均衡等因素。广域网技术选择与应用。主要考虑城域网远程接入技术(如 ISDN、ADSL 等)、广域网互联技术(如DDN、SDH、VPN 等)、广域网性能优化等因素。 地址设计和命名模型。主要明确的内容有是否需要公网IP地址、私有 IP地址和公网 IP 地址如何翻译、VLSM 的设计、C

12、IDR 的设计、DNS 的命名设计等。 路由选择协议。主要的考虑因素有动态路由的协议类型、度量、权值排序等；静态路由选择协议；内部与外部路由选择协议：分类与无分类路由选择协议等。 网络管理。主要包含行政管理(如机构的设置、岗位职责和管理制度的制定等)和技术管理(如 NMS、TMS、RMS 和 AMS的选用)。 网络安全。主要的工作内容有机房及物理线路安全、网络安全(如安全域划分、路由交换设备安全策略等)、系统安全(如身份认证、桌面安全管理、系统监控与审计等)、应用安全(如数据库安全、Web 服务安全等)、数据容灾与恢复、安全运维服务体系(如应急预案的制定等)、安全管理体系(如建立安全组织机构等

13、)。 编写逻辑网络设计文档。主要的组成元素有主管人员评价、逻辑网络设计讨论、新的逻辑设计图表、总成本估测、审批部分、修改注释部分等 要点解析 网络逻辑结构设计的工作任务是基于用户需求中描述的网络行为、性能等要求，根据网络用户的分类、分布形成特定的网络结构。该网络结构大致描述了设备的互联及分布，但是不对具体的物理位置和运行环境进行确定。网络逻辑结构设计过程主要由以下 4个步骤组成：确定逻辑设计目标；网络服务评价；技术选项评价：进行技术决策。 网络逻辑结构设计工作主要包括的内容如下。 网络结构的设计。主要包括局域网结构和广域网结构两个设计部分的内容。其中，局域网结构主要关注数据链路层的设备互连方式

14、，广域网结构主要关注网络层的设备互连方式。 物理层技术选择。主要选择内容包括缆线类型、网卡的选用等。 局域网技术选择与应用。主要考虑生成树协议(STP)、扩展 STP、虚拟局域网(VLAN)、无线局域网(WLAN)、链路聚合技术、冗余网关协议(如 VRRP、HSRP、GLBP 等)、线路冗余和负载均衡、服务器冗余与负载均衡等因素。 广域网技术选择与应用。主要考虑城域网远程接入技术(如 PSTN、ISDN、ADSL 等)、广域网互联技术(如 DDN、SDH、VPN 等)、广域网性能优化等因素。 地址设计和命名模型。在地址设计工作中，主要明确的内容有：是否需要公有地址和私有地址；只需要访问专用网络

15、的主机分布；需要访问公网的主机分布；私有地址和公有地址如何翻译；私有地址和公有地址的边界；VLSM 的设计、CIDR 的设计等。网络中的命名工作主要涉及 NetBIOS名字和域名两个方面。 路由选择协议。主要的考虑因素有：动态路由的协议类型；路由选择协议的度量；路由选择协议的顺序(如权值排序等)：静态路由选择协议；内部与外部路由选择协议；分类与无分类路由选择协议；层次化与非层次化路由选择协议等。 网络管理。主要包含行政管理和技术管理。行政管理方面主要包含机构的设置、各类相关人员的岗位职责、行政管理制度的制定等。技术管理方面又依据管理技术的层次性划分为TMS(传输管理系统)、 NMS(网络管理系

16、统)、RMS(资源管理系统)和 AMS(应用管理系统)等。 网络安全。主要的工作内容有：机房及物理线路安全；网络安全(如安全域划分、边界安全策略、路由交换设备安全策略、防火墙安全配置等)：系统安全(如身份认证、账尸管理、桌面安全管理、系统监控与审计、病毒防护、访问控制等)；应用安全(如数据库安全、电子邮件服务安全、Web 服务安全等)、数据容灾与恢复；安全运维服务体系(如应急预案的制定、系统监控与管理服务等)；安全管理体系(如建立安全组织机构、安全管理规章制度的制定等)。 编写逻辑网络设计文档。主要的组成元素有主管人员评价；逻辑网络设计讨论；新的逻辑设计图表；总成本估测；审批部分；修改注释部分

17、等。(2).从表 4-14中为图 4-12中的(1)(5)处选择合适的设备，将设备名称写在答题卡的相应位置上(每一设备限选一次)。（分数：4.80）_正确答案：()解析：(1) Router1 (2) Switch1 (3) Switch2 (4) Switch3 (5) Switch3 要点解析 这是一道要求读者掌握网络方案设计中设备部署的拓扑结构设计题。基于表 4-14中每一网络设备限选一次的条件，本题的解答思路如下。 由表 4-14中关于路由器设备的性能描述“固定的广域网接口+可选广域网接口，固定的局域网接口”可知，图 4-12中(1)空缺处的网络设备应选择路由器(Router1)。通过

18、 Router1的广域网接口连接到Internet网，Router1 的 100/1000Base-T/TX局域网接口连接至防火墙的外网接口(即 WAN接口)。 从交换容量、转发性能、可支持接口类型、电源冗余模块等方面对比表 4-14中交换机设备 Switch1、 Switch2、Switch3 可知，设备 Switch1的性能最好，可能是一台三层交换机设备，设备 Switch2的性能次之。 仔细阅读图 4-12的拓扑结构可知， (2)空缺处的网络设备位于校园网核心层，它是校园网内部的核心设备。它至少需要提供一个百兆/千兆电口用于连接至防火墙的内网接口(即 LAN接口)，若干个快速以太网电口或

19、光口用于连接至位于办公楼的各楼层交换机和与(2)空缺处网络设备相连接的服务器组。而表 4-14中关于交换机设备 Switch1的性能描述“可支持接口类型：100/1000Base-T、GE、10GE”信息可满足以上网络连接要求，因此由以上分析可知，(2)空缺处的网络设备应选择设备名称为 Switch1的交换机设备。 由图 4-12的拓扑结构可知，该校园网的拓扑结构是一个典型的核心层、汇聚层、接入层的网络拓扑。分别位于图书馆楼及实训楼的(4)、(5)空缺处的网络设备上连至核心层的三层交换机，即(2)空缺处的网络设备，下连至各楼层交换机。考虑到综合布线系统中各大楼建筑物之间通常采用光纤作为传输介质

20、，结合表 4-14中关于交换机设备 Switch3的性能描述“可支持接口类型：FE、GE，24 千兆光口”信息可知，(4)、(5)空缺处的网络设备应选择设备名称为 Switch3的交换机设备。 结合工程经验可知，在如图 4-12所示的拓扑结构中，(3)空缺处的网络设备至少需要提供一个百兆/千兆电口用于连接至防火墙的 DMZ接口，若干个快速以太网电口或光口用于连接与其相连接的服务器组、用户管理器和网络管理计算机。而表 4-14中关于交换机设备 Switch2的性能描述“可支持接口类型： GE，20 百/千兆自适应电口”信息可满足以上网络连接的要求，因此(3)空缺处的网络设备应选择设备名称为 Sw

21、itch2的交换机设备。(3).为图 4-12中(6)(9)处选择介质，填写在答题卡的相应位置上。备选介质(每种介质限选一次)：6类 UTP 超 5类 UTP 双千兆光纤链路 千兆光纤（分数：4.80）_正确答案：()解析：(6) 双千兆光纤链路 (7) 千兆光纤 (8) 千兆双绞线 (9) 百兆双绞线 要点解析 这是一道要求读者掌握网络方案设计中传输介质选择的分析设计题。基于每种传输介质限选一次的条件，本题的解答思路如下。 由 IEEE802.3ad工作组制定的链路聚合(Port Trunking)技术，支持 IEEE802.3协议，是一种用来在两台核心交换机之间扩大通信吞吐量、提高可靠性的

22、技术。该技术可使交换机之间连接最多 4条负载均衡的冗余连接。当某一台核心层交换机出现故障或核心层交换机与接入层/汇聚层交换机的某一条互连线路出现故障时，系统会将通信业务快速自动切换到另一台正常工作的核心层交换机上。在图 4-12所示的拓扑结构中，(2)空缺处的核心层交换机与原校园网的连接介质建议采用双千兆光纤链路，即(6)空缺处应填入“双千兆光纤链路”。 结合问题 1的要点解析可知，在图 4-12拓扑结构中(3)空缺处的 Switch2交换机设备可支持千兆以太网(GE)接口类型，且有 20个百/千兆自适应电口。综合考虑到与 Switch2交换机相连接的服务器组要求较高的通信性能，因此(8)空缺

23、处的传输介质可选择“千兆双绞线”(如 6类非屏蔽双绞线等)。 同理，由于(3)空缺处的 Switch2交换机设备有 20个百/千兆自适应电口，而位于区域 A中的网络管理计算机与(3)空缺处的交换机设备距离通常不会超过 100m，因此(9)空缺处的传输介质可选择“百兆双绞线”(例如超 5类非屏蔽双绞线等)。 结合工程经验可知，在进行层次化网络方案设计时，应综合考虑到未来的网络应用牵涉到数据、音频、视频传输，为保证传输带宽和质量，通常垂直干线子系统采用多模光纤把各配线间连接到主配线间。在图 4-12所示的拓扑结构中，(2)空缺处的核心层交换机与各楼层交换机的连接介质建议采用千兆光纤，即 (7)空缺

24、处的传输介质可选择“千兆光纤”。(4).该学校网络系统在安全设计上采用分层控制方案，将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层。对各层的安全采取不同的技术措施，请将表 4-15中(10)(14)处空缺信息填写完整。 （分数：4.80）_正确答案：()解析：(10)E 和 F，或用户权限控制、IP 地址和 MAC地址绑定(11) D或虚拟专用网(VPN)技术(12) C或网络地址转换(NAT)技术(13) B或 RAID技术(14) A或基于主机的入侵检测系统要点解析在网络安全方面，可以采用多种技术从不同角度来保证该政府机构整个网络

25、的安全。如只采用单纯的防护技术，可能导致对系统的某个或某些方面采取了安全措施，而对其他方面有所忽视的盲目性。因此在该政府机构的网络安全设计上适合采用分层控制方案，将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层，对各层的安全采取不同的技术措施，如表 4-16所示。B表 4-16 某校园机构网络分层安全控制方案/B 层次 安全技术 简述虚拟专网 (VPN)技术对于从专线连接的外部网络用户，采用 VPN技术对架设于公众网络上的私有网络使用信道协议及相关的安全程序进行保密，还可采用点对点协议、加密后送出资料及加密收发两端网络位置等措施使虚拟专

26、网更加可靠身份认证技术用于实现通信或数据访问中对对方身份的认可，便于访问控制，授权管理；对于拨号入网的用户进行严格控制，在拨号线路上加装保密机，使无保密机的用户无法拨通；通过用户名和口令认真检查用户身份；利用回拨技术再次确认和限制非法用户的入侵加密技术用于防止信息在传输、存储过程中被泄漏；目前广泛使用的有对称算法和非对称算法两类加密算法，这两种加密算法结合使用，加上数字签名、数字时间戳、数字水印及数字证书等技术可以使通信安全得到保证外部网络传输控制层物理隔离 通过物理隔离的方式，在不同网络之间进行转换时，保证计算机的数据在网络之间不被重用防火墙建立在内外网边界上的过滤封锁机制，能够防止外网未经

27、授权地访问内网，能够防止外网对内网的攻击，也能防止内网未经授权地访问外网，提供网络使用状况和流量的审计，隐藏内部 IP地址及隐藏网络结构的细节内外网间访问控制层 防病毒网关 基于 Internet网关的防病毒软件，可以安装到代理服务器上，以防止 Internet病毒及 Java程序对网络系统的破坏网络地址转换(NAT)技术是用于将一个地址域(如专用 Intranet)映射到另一个地址域(如Internet)的标准方法。NAT 允许一个机构专用代理服务器Intranet中的主机透明地连接到公共域中的主机，无须内部主机拥有注册的公网 IP地址；它能隐藏内部网络结构，达到保密作用，同时，它还可解决

28、IP地址不足的问题安全扫描可以根据设置地址、服务、内容等要素来控制用户的访问，能使内部网络和外部网络间不能直接访问，从而保证内部关键信息的安全，起到节约 IP地址资源、减少 Internet接入成本、提高访问Internet速度等作用入侵检测 通过各种安全扫描软件对系统进行检测与分析，能够及时发现安全漏洞并加以修复，生成安全报告日志审计能够实时应对来自内网已知的攻击，识别非法入侵及其他可疑行为，并给予及时的响应及防护，但对未知的攻击检澜能力较弱，且存在误报率高的缺点。如果能将入侵检测系统和防火墙等其他安全系统进行联动，就能够更加有效地防止网络攻击IP地址绑定能够在事件发生时或事件发生后发现安全

29、问题，有助于追查责任，定位故障，恢复系统，但无法在事前发现可能的攻击用户的身份认证绑定 MAC地址与 IP地址是防止内部 p盗用的一个常用的、简单的、有效的措施，防止非法用户伪装成合法用户在网络上进行一些非法的行为权限控制用户入网访问控制分为 3步，即用户名的验证、用户口令的验证、用户账号的验证。用户口令是入网的关键，必须经过加密，用户还可采用一次一密的方法，另外还可以使用智能卡来验证用户身份。同时，还可将用户与所用的计算机联系起来，使用户用固定的计算机上网，以减少用户的流动性，加强管理加密技术这是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访

30、问哪些目录、子目录、文件和其他资料及用户可执行的操作为存放秘密信息的服务器加装密码机，对网上传输的秘密信息加密，以实现秘密数据的安全传输客户端安全防护首先，应切断病毒传播的途径，降低感染病毒的风险；其次，使用的浏览器必须确保符合安全标准，使客户端的工作站得到安全保证内部网络访问控制层安全检测使用安全检测和扫描软件对网络设备和客户端工作站进行检测和分析，查找安全漏洞并加以修复，使用防病毒软件进行病毒查找和杀毒工作加密技术 对操作系统中某些重要的文件进行加密，防止非法出版的读取及修改采用安全性较高的系统目前大部分操作系统等级处于 C2级，应尽量使用 C2级的安全措施及功能，对操作系统进行安全配置。

31、在极端重要的系统中，应采用B级操作系统操作系统及应用软件层 病毒的防范在主机上安装防病毒软件，对病毒进行定时或实时的病毒扫描及检测，对防病毒软件进行及时升级以发现和杀除新型的病毒安全扫描通过对主机进行一系列的设置和扫描，对系统的各个环节提供可靠的分析结果，为系统管理员提供可靠性和安全性分析报告，对系统进行及时升级以弥补漏洞及关闭“后门”入侵检测安装基于主机的入侵检测系统，可检查操作系统日志和其他系统特征，判断入侵事件，在非法修改主面时自动作出反应，对已入侵的访问和试图入侵的访问进行跟踪记录，并及时通知系统管理员，使管理员可对网络的各种活动进行实时监视数据库安全扫描采用安全扫描软件对数据库进行扫

32、描和检测，为数据库管理系统找出存在的漏洞，以便及时升级系统，弥补漏洞使用较安全的数据库系统在重要的系统中，在 B级操作系统的基础上采用 B级数据库系统加密技术 采用加密的方法对保密性高的数据进行存储，并通过连接在服务器或终端机上的加密机完成数据存储层存储介质的安全可以通过磁盘镜像、磁盘双工、RAID 技术等数据维护技术，再配合磁盘备份、光盘备份等技术来做到不会因某个硬盘的损坏而导致系统崩溃、数据丢失等灾难发生(5).当该校园网中存在多条路径时，路由协议使用度量值来决定使用哪条路径。在网络规划设计过程中，对路由度量值主要有哪些方面的考虑?（分数：4.80）_正确答案：()解析：对度量值的限制设定

33、。例如，设定基于跳数路由协议的有效路径度量值必须小于 16。 多个路由协议共存时的度量值转换，例如，需要考虑延迟、带宽、可靠性等因素 要点解析 当网络中存在多条路径时，路由协议使用度量值来决定使用哪条路径。不同的路由选择协议的度量值是不同的，传统路由选择协议以路由器的跳数作为度量值，新一代路由选择协议还将参考延迟、带宽、可靠性及其他因素。 对路由度量值主要存在着两个方面的考虑。一是对度量值的限制设定。例如，设定基于跳数路由协议的有效路径度量值必须小于 16，这些度量值的设定直接决定了网络的连通性和效率。二是多个路由协议共存时的度量值转换。路由器上可能会运行多个协议，不同的路由协议对路径的度量值

34、不同，设计人员需要建立起不同度量值之间的映射关系，完成相应的路由重分布设计，让多个路由选择协议之间相互补充。二、B试题二/B(总题数：1，分数：25.00)阅读下列技术说明，根据要求回答问题 1问题 5。B说明/B为了保障内部网络的安全，某公司在 Internet的连接处安装了 CiscoPIX525防火墙。该防火墙带有 3个网络接口，其网络拓扑如图 4-13所示。（分数：25.00）(1).在网络工程规划与设计过程中，选择防火墙之前应该考虑的因素有哪些?请用 300字以内的文字简要回答。（分数：5.00）_正确答案：()解析：预算方面的考虑，应在保持经济、有效的同时提供尽可能高级别的服务，避

35、免因成本限制而对网络服务造成的潜在损失。 现有设备的考察。例如，是否有可以安装防火墙功能模块的路由器等。 可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用?是否需要考虑采用冗余组件或备用设备的方法增强防火墙的可用性等。 可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口，避免因网络流量快速增长而成为网络的瓶颈等。 所需功能的考虑。例如，是否支持防御 DoS/DDoS，是否支持 VPN，能否保护特定主机的特定服务等 要点解析 在选择防火墙之前应该考虑的因素包括预算、现有设备、可用性、可扩展性和所需的功能等。 预算方面的考虑。网络环境中的每个防火墙应该在保持经济、有效的同时提供尽可

36、能高级别的服务，但是如果防火墙过分受成本限制，则可能会对企业造成潜在的损失。例如，考虑网络服务因遭受拒绝服务攻击而被中断时的停机时间成本。 现有设备的考察。主要考虑企事业单位中是否有可利用的现有设备。例如，是否有可以重新利用的防火墙，是否有可以安装防火墙功能模块的路由器。 可用性的考虑。主要考虑是否需要防火墙在所有的时间都可用、如何减少防火墙的故障修复时间、是否需要考虑采用冗余组件或备用设备的方法增强防火墙的可用性等。 可扩展性的考虑。主要考虑防火墙是否有易于扩展的功能模块或接口。当企事业单位网络需要增加新的网络出口时，防火墙是否能通过增加模块来支持更多的接口；当网络流量快速增长时，防火墙会不

37、会成为网络的瓶颈。此类利于未来发展的需求也应纳入可扩展性的考虑范畴。 所需功能的考虑。主要是指需要哪一种具体的防火墙功能。例如，是否支持防御 DoS/DDoS，是否支持 VPN，是否支持SNMPv3，能否保护特定主机的特定服务等。(2).请为图 4-13拓扑结构中 PIX 525防火墙各接口命名，并指定相应的安全级别和 IP地址的配置语句。（分数：5.00）_正确答案：()解析：Pix525(config)#nameif ethernet0 E1 security100 Pix525(config)#nameif ethernet1 E3 security60 Pix525(config)#n

38、ameif ethernet2 E2 security0 Pix525(config)#ip addressE3 210.156.169.6 255.255.255.240 Pix525(config)#ip addressE1 192.168.10.1 255.255.255.0 Pix525(config)#ip addressE2 211.156.169.2 255.255.255.252 要点解析 在如图 4-13所示的网络拓扑中，PIX 525 防火墙是基于访问控制策略而设立在内外网之间的一道安全保护机制，实现内外网的物理分隔。它使用了“WAN”(211.156.169.2/30)、

39、“LAN”(192.168.10.254/24)、“DMZ”(211.156.169.2/28)等 3个接口，分别与外网、内网、DMZ 区相连。DMZ 区是放置公共信息的最佳位置，它对外网或内网用户来说是开放的、透明的。公司客户、潜在客户及外部访问者不用通过内网就可以直接获得他们所需要的信息。在图 4，13 中防火墙的 DMZ区就是区域 B的服务器群网段。 公司中机密的、私人的信息则需安全地存放在内部局域网中，即 DMZ的后面。DMZ 中服务器不应包含任何商业机密、资源代码或私人信息。内部局域网的安全级别最高，DMZ 区域次之，Internet 网的安全级别最低。 PIX 525 防火墙的基本

40、配置命令 nameif用于配置防火墙接口的名字，并指定安全级别。安全级别取值范围为 199，数字越大安全级别越高。根据如图 4-13所示的网络拓扑，结合试题中己给出的配置信息可得，PIX 防火墙的 ethernet0端口被命名为 E1，安全级别为 100；ethernet1 端口被命名为 E3，安全级别为 60：ethernet2 端口被命名为 E2，安全级别为 0。相比之下，E1 端口安全级别最高，适合作为内部接口： E2端口安全级别最低，适合作为外部接口；E3 端口适合作为 DMZ接口。 PIX 525 防火墙配置接口名字，并指定安全级别的相关配置语句示例如下： Pix525(config

41、)#nameif ethernet0 E1 security100 (配置接口名字，并指定安全级别) Pix525(config)#nameif ethernet1 E3 security60 Pix525(config)#nameif ethernet2 E2 security0 对 PIX防火墙网络接口进行地址初始化配置时，需要指明网络接口的名字、IP 地址和子网掩码等参数。根据如图 4-13所示的网络结构中防火墙各网络接口的名字和 IP地址配置信息可得如下相关配置语句： Pix525(config)#ip address E3 210.156.169.6 255.255.255.240

42、(为 DMZ接口进行 IP地址配置) Pix525(config)#ip address E1 192.168.10.1 255.255.255.0 (为内网口 E1进行 IP地址配置) Pix525(config)#ip address E2 211.156.169.2 255.255.255.252 (为外网口 E2进行 IP地址配置)(3).该公司允许内部网段 192.168.1.0/26的所有主机对外访问 Internet。请写出 PIX 525防火墙与之相关的配置语句。（分数：5.00）_正确答案：()解析：Pix525(config)#global(outside)1 211.156.169.2 Pix525(config)#nat(inside)1 192.168.1.0 255.255.255.192 要点解析 Cisco PIX 525 防火墙的“nat”命令用于指定要进行转换的内部地址，“global”命令用于指定外部 IP地址范围(地址池)。“nat”命令总是与“global”命令起使用，因为“nat”命令可以指定一台主机或一段 IP地址范围的主机访问外网，访问外网时需要利用“global”所指定