一、基于網(wǎng)絡(luò)的信息系統(tǒng)基本結(jié)構(gòu)

基于網(wǎng)絡(luò)的信息系統(tǒng)結(jié)構(gòu)應(yīng)包括網(wǎng)絡(luò)運(yùn)行環(huán)境、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)操作系統(tǒng)。

1.網(wǎng)絡(luò)運(yùn)行環(huán)境

網(wǎng)絡(luò)運(yùn)行環(huán)境指為了保障網(wǎng)絡(luò)系統(tǒng)安全、可靠與正常運(yùn)行所需的基本設(shè)施和設(shè)備條件,主要包括機(jī)房與電源兩部分。
（1）機(jī)房和設(shè)備間、配線間。
機(jī)房用于放置交換機(jī)、核心路由器、服務(wù)器等核心設(shè)備,包括各建筑物中放置路由器、交換機(jī)與布線設(shè)施的設(shè)備間、配線間等場(chǎng)所。
（2）電源供電。
電源供電中斷與故障會(huì)導(dǎo)致系統(tǒng)的關(guān)鍵設(shè)備停止工作,重要數(shù)據(jù)丟失與網(wǎng)絡(luò)系統(tǒng)癱瘓,后果將十分嚴(yán)重。

2.網(wǎng)絡(luò)系統(tǒng)

網(wǎng)絡(luò)傳輸基礎(chǔ)設(shè)施與網(wǎng)絡(luò)設(shè)備是支持信息系統(tǒng)的網(wǎng)絡(luò)所必備的兩部分。
(1)網(wǎng)絡(luò)傳輸基礎(chǔ)設(shè)施。
按照距離、帶寬、電磁環(huán)境與地理環(huán)境等要求完成的室內(nèi)結(jié)構(gòu)化布線系統(tǒng)、建筑物結(jié)構(gòu)化布線系統(tǒng)、城域網(wǎng)主干光纜系統(tǒng)、廣域網(wǎng)傳輸線路、微波和衛(wèi)星通信系統(tǒng)等,都是網(wǎng)絡(luò)傳輸?shù)幕A(chǔ)設(shè)施。
(2)網(wǎng)絡(luò)設(shè)備。
網(wǎng)關(guān)、路由器、交換機(jī)、網(wǎng)橋、集線器、中繼器、收發(fā)器、調(diào)制解調(diào)器、網(wǎng)卡和遠(yuǎn)程通信服務(wù)器等,都是常見(jiàn)的網(wǎng)絡(luò)設(shè)備。

3.網(wǎng)絡(luò)操作系統(tǒng)

網(wǎng)絡(luò)操作系統(tǒng)主要憑借通信設(shè)施所提供的數(shù)據(jù)傳輸功能,為高層用戶提供共享資源管理以及其他網(wǎng)絡(luò)服務(wù)的功能。

4.網(wǎng)絡(luò)應(yīng)用運(yùn)行環(huán)境與軟件開(kāi)發(fā)工具

(1)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理系統(tǒng)。
網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理系統(tǒng)是開(kāi)發(fā)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的基礎(chǔ),不論是微小企業(yè)的還是覆蓋全國(guó)的大型公司的數(shù)據(jù)管理都需要數(shù)據(jù)庫(kù)管理系統(tǒng)的支持。
(2)網(wǎng)絡(luò)軟件開(kāi)發(fā)工具。
數(shù)據(jù)庫(kù)開(kāi)發(fā)工具、Web應(yīng)用開(kāi)發(fā)工具與標(biāo)準(zhǔn)開(kāi)發(fā)工具是主要的網(wǎng)絡(luò)軟件開(kāi)發(fā)工具。
(3)網(wǎng)絡(luò)應(yīng)用系統(tǒng)。
在網(wǎng)絡(luò)操作系統(tǒng)與網(wǎng)絡(luò)應(yīng)用軟件開(kāi)發(fā)工具的基礎(chǔ)上,根據(jù)用戶的需求而開(kāi)發(fā)的通用或?qū)Ｓ玫南到y(tǒng)就是網(wǎng)絡(luò)應(yīng)用軟件系統(tǒng)。

5.管理與網(wǎng)絡(luò)安全系統(tǒng)

實(shí)用的網(wǎng)絡(luò)系統(tǒng)必須具備完善的網(wǎng)絡(luò)管理系統(tǒng)。組建計(jì)算機(jī)網(wǎng)絡(luò)的目的就是為聯(lián)網(wǎng)的計(jì)算機(jī)系統(tǒng)提供性能良好、交流安全的通信環(huán)境。
網(wǎng)絡(luò)安全技術(shù)就是通過(guò)解決存在的安全問(wèn)題,達(dá)到信息在網(wǎng)絡(luò)環(huán)境中安全存儲(chǔ)、處理與傳輸?shù)哪康牡姆桨浮?/p>

二、劃分網(wǎng)絡(luò)系統(tǒng)組建工程階段

劃分網(wǎng)絡(luò)系統(tǒng)組建工程階段如圖所示：

三、網(wǎng)絡(luò)需求調(diào)研與系統(tǒng)設(shè)計(jì)原則

網(wǎng)絡(luò)需求調(diào)研與系統(tǒng)設(shè)計(jì)的基本原則如下:
(1)進(jìn)行充分調(diào)查,深入理解用戶業(yè)務(wù)活動(dòng)和用戶信息需求。
(2)為了避免盲目性,要求在調(diào)查、分析基礎(chǔ)上,充分考慮需求與制約條件(經(jīng)費(fèi)、工作基礎(chǔ)與技術(shù)等方面)的前提下,對(duì)系統(tǒng)組建與系統(tǒng)開(kāi)發(fā)的可行性進(jìn)行充分論證。
(3)運(yùn)用系統(tǒng)的觀念,完成網(wǎng)絡(luò)工程技術(shù)方案的規(guī)劃和設(shè)計(jì)。
(4)充分考慮時(shí)限要求,將網(wǎng)絡(luò)系統(tǒng)組建的任務(wù)按照設(shè)計(jì)、論證、實(shí)施、驗(yàn)收、用戶培訓(xùn)、維護(hù)的不同階段進(jìn)行安排,大型網(wǎng)絡(luò)系統(tǒng)建設(shè)的全過(guò)程都需要有專業(yè)的監(jiān)理公司進(jìn)行監(jiān)理。
(5)各階段文檔資料必須具有完整性與規(guī)范性。

四、網(wǎng)絡(luò)用戶調(diào)查與網(wǎng)絡(luò)工程需求分析

1.網(wǎng)絡(luò)用戶調(diào)查

網(wǎng)絡(luò)用戶調(diào)查是指與現(xiàn)有的或潛在的網(wǎng)絡(luò)用戶直接交流,了解他們對(duì)未來(lái)系統(tǒng)(如可靠性、可用性、安全性、可擴(kuò)展性,對(duì)基于網(wǎng)絡(luò)的信息系統(tǒng)用戶請(qǐng)求的響應(yīng)時(shí)間、流量等方面)的應(yīng)用要求。開(kāi)發(fā)基于網(wǎng)絡(luò)的信息系統(tǒng)是用戶組建網(wǎng)絡(luò)的目的。明確用戶建網(wǎng)的目的、要求與應(yīng)用就是網(wǎng)絡(luò)應(yīng)用需求調(diào)查的主要任務(wù)。

2.網(wǎng)絡(luò)節(jié)點(diǎn)的地理位置分布

在確定網(wǎng)絡(luò)規(guī)模、布局與拓?fù)浣Y(jié)構(gòu)之前,需要對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的地理位置分布情況有明確了解：

• 用戶數(shù)量及各自分布的具體位置。
• 建筑物內(nèi)部結(jié)構(gòu)情況調(diào)查。
• 建筑物群情況調(diào)查。

3.應(yīng)用概要分析

• Internet/Intranet服務(wù)
• 數(shù)據(jù)庫(kù)服務(wù)
• 網(wǎng)絡(luò)基礎(chǔ)服務(wù)系統(tǒng)。

4.網(wǎng)絡(luò)需求詳細(xì)分析

網(wǎng)絡(luò)需求詳細(xì)分析主要包括:網(wǎng)絡(luò)總體需求分析、綜合布線需求分析、網(wǎng)絡(luò)可角性與可靠性分析、網(wǎng)絡(luò)安全性需求分析,以及分析網(wǎng)絡(luò)工程造價(jià)估算幾個(gè)方面。

五、網(wǎng)絡(luò)總體設(shè)計(jì)基本方法

此階段需要完成的任務(wù)如下:設(shè)計(jì)網(wǎng)絡(luò)建設(shè)總體目標(biāo)、確定網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)原則、網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)、設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、進(jìn)行網(wǎng)絡(luò)設(shè)備選型、網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)。

1.網(wǎng)絡(luò)工程建設(shè)總體目標(biāo)與設(shè)計(jì)原則

網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的原則是實(shí)用性、開(kāi)放性、高可靠性、安全性、先進(jìn)性與可擴(kuò)展性。

2.網(wǎng)絡(luò)結(jié)構(gòu)與拓?fù)錁?gòu)型設(shè)計(jì)方法

解決網(wǎng)絡(luò)系統(tǒng)規(guī)模、結(jié)構(gòu)和技術(shù)的復(fù)雜性的最有效方法是利用分層的思想來(lái)進(jìn)行設(shè)計(jì),大中型網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)必須基于此點(diǎn)。其中,核心層網(wǎng)絡(luò)用于連接服務(wù)器集群、各建筑物子網(wǎng)交換路由器,以及與城域網(wǎng)連接的出口；匯聚層網(wǎng)絡(luò)用于將分布在不同位置的子網(wǎng)連接到核心層網(wǎng)絡(luò),實(shí)現(xiàn)路由匯聚的功能；

接入層網(wǎng)絡(luò)用于將終端用戶計(jì)算機(jī)接入到網(wǎng)絡(luò)之中。典型的系統(tǒng)核心路由器之間、核心路由器與匯聚路由器之間使用具有冗余鏈路的光纖連接;

匯聚路由器與接入路由器之間、接入路由器與用戶計(jì)算機(jī)之間可以視情況而選擇價(jià)格較低的非屏蔽雙絞線(UTP)連接。

3.核心層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

整個(gè)網(wǎng)絡(luò)系統(tǒng)的主干部分是核心層網(wǎng)絡(luò),它是設(shè)計(jì)與建設(shè)的重點(diǎn)。目前應(yīng)用于核心層網(wǎng)絡(luò)的技術(shù)標(biāo)準(zhǔn)主要是GE/10GE,核心設(shè)備是高性能交換路由器,連接核心路由器的是具有冗余鏈路的光纖。整個(gè)網(wǎng)絡(luò)流量的40%-60%都需要由核心層網(wǎng)絡(luò)來(lái)承載。

核心層網(wǎng)絡(luò)中存在著為整個(gè)網(wǎng)絡(luò)服務(wù)的服務(wù)器集群的連接,從提高服務(wù)器集群可用性的角度，連接方案有如圖所示兩種

其中,圖a中采取鏈路冗余的辦法直接連接兩臺(tái)核心路由器,其特點(diǎn)是直接利用了核心路由器的帶寬,但是占用的核心路由器端口較多,而高端路由器的端口價(jià)格很高,所以設(shè)備成本會(huì)上升;圖b采取專用服務(wù)器交換機(jī),在兩臺(tái)核心路由器之上再增加一臺(tái)連接服務(wù)器集群的交換機(jī),同時(shí)采用鏈路冗余的辦法,間接地連接到兩臺(tái)核心路由器,其優(yōu)點(diǎn)是可以分擔(dān)核心路由器的帶寬,缺點(diǎn)是會(huì)形成帶寬瓶頸,存在單點(diǎn)故障的潛在危險(xiǎn)。

4匯聚層網(wǎng)絡(luò)與接入層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

匯聚層網(wǎng)絡(luò)可以將位于不同位置的子網(wǎng)連接到核心層網(wǎng)絡(luò),實(shí)現(xiàn)路由匯聚的功能。當(dāng)網(wǎng)絡(luò)規(guī)模一般時(shí),或者在一期工程的建設(shè)中,為了增加端口密度,可采用多個(gè)并行的GE/10GE交換機(jī)堆疊的方式,由一臺(tái)交換機(jī)使用光端口通過(guò)光纖向上級(jí)聯(lián)，將匯聚層與接入層合并成一層。

如圖所示就是匯聚層與接入層網(wǎng)絡(luò)的兩種設(shè)計(jì)方案。

實(shí)際情況驗(yàn)證：層次之間的上聯(lián)帶寬與下一級(jí)帶寬之比—般控制在1：20。（帶寬計(jì)算）

5.網(wǎng)絡(luò)攻擊歷年真題

網(wǎng)絡(luò)攻擊相關(guān)知識(shí)點(diǎn)

1.、SYN Flooding攻擊: 使用無(wú)效的IP地址,利用TCP連接的三次握手過(guò)程,使得受害主機(jī)處于開(kāi)放會(huì)話的請(qǐng)求之中,直至連接超時(shí)。在此期間，受害主機(jī)將會(huì)連續(xù)接受這種會(huì)話請(qǐng)求，最終因耗盡資源而停止響應(yīng)。

2、DDos(分布式拒絕服務(wù)攻擊) 攻擊： 利用攻破的多個(gè)系統(tǒng)發(fā)送大量請(qǐng)求去集中攻擊其他目標(biāo)，受害設(shè)備因?yàn)闊o(wú)法處理而拒絕服務(wù)。

3、SQL 注入攻擊： 屬于利用系統(tǒng)漏洞，基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)和基于主機(jī)入侵防護(hù)系統(tǒng)都難以阻斷。防火墻（基于網(wǎng)絡(luò)的防護(hù)系統(tǒng))無(wú)法阻斷這種攻擊。

4、Land 攻擊： 向某個(gè)設(shè)備發(fā)送數(shù)據(jù)包，并將數(shù)據(jù)包的源 IP 地址和目的地址都設(shè)置成攻擊目標(biāo)的地址。

5、協(xié)議欺騙攻擊: 通過(guò)偽造某臺(tái)主機(jī)的IP地址竊取特權(quán)的攻擊。有以下幾種:
(1) IP 欺騙攻擊。
(2) ARP欺騙攻擊。
(3)DNS欺騙攻擊。
(4)源路由欺騙攻擊。

6、DNS 欺騙攻擊： 攻擊者采用某種欺騙手段，使用戶查詢服務(wù)器進(jìn)行域名解析時(shí)獲得一個(gè)錯(cuò)誤的 IP 地址，從而可將用戶引導(dǎo)到錯(cuò)誤的 Internet 站點(diǎn)。

7、IP 欺騙攻擊： 通過(guò)偽造某臺(tái)主機(jī)的 IP 地址騙取特權(quán)，進(jìn)而進(jìn)行攻擊的技術(shù)。

8.、Cookie 篡改攻擊： 通過(guò)對(duì) Cookie 的篡改可以實(shí)現(xiàn)非法訪問(wèn)目標(biāo)站點(diǎn),基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)無(wú)法阻斷。

9、Smurf攻擊: 攻擊者冒充受害主機(jī)的IP地址,向一個(gè)大的網(wǎng)絡(luò)發(fā)送 echo request 的定向廣播包，此網(wǎng)絡(luò)的許多主機(jī)都做出回應(yīng),受害主機(jī)會(huì)收到大量的echo reply消息?；诰W(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)可以阻斷 Smurf攻擊。

10、于網(wǎng)絡(luò)的防護(hù)系統(tǒng)無(wú)法阻斷Cookie篡改、DNS欺騙、SQL注入。

11、基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)和基于主機(jī)入侵防護(hù)系統(tǒng)都難以阻斷的是跨站腳本攻擊、SQL注入攻擊。

相關(guān)歷年真題

第1題:攻擊者利用攻破的多個(gè)系統(tǒng)發(fā)送大量請(qǐng)求去集中攻擊其他目標(biāo),受害設(shè)備因?yàn)闊o(wú)法處理而拒絕服務(wù)。這種攻擊被稱為 ( )。

A、APT 攻擊

B、DDoS 攻擊

C、 SQL注入

D、暴力攻擊

正確答案：B
參考解析:
【解析】 APT攻擊:利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式,此攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞,利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò),并利用0day漏洞進(jìn)行攻擊。DDoS攻擊(分布式拒絕服務(wù)攻擊) :攻擊者攻破了多個(gè)系統(tǒng),并利用這些系統(tǒng)去集中攻擊其他目標(biāo),成百上千的主機(jī)發(fā)送大量的請(qǐng)求，受害設(shè)備因無(wú)法處理而拒絕服務(wù)。SQL注入就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來(lái)說(shuō),它是利用現(xiàn)有應(yīng)用程序,將(惡意的) SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力,它可以通過(guò)在Web表單中輸入（惡意的) SQL語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫(kù)，而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語(yǔ)句。暴力破解攻擊是指攻擊者通過(guò)系統(tǒng)地組合所有可能性(例如登錄時(shí)用到的賬戶名、密碼) ,嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會(huì)經(jīng)常使用自動(dòng)化腳本組合出正確的用戶名和密碼。故選擇B選項(xiàng)。

第2題:攻擊者使用無(wú)效的IP地址,利用TCP連接的三次握手過(guò)程,使得受害主機(jī)處于開(kāi)放會(huì)話的請(qǐng)求之中,直至連接超時(shí)。在此期間，受害主機(jī)將會(huì)連續(xù)接受這種會(huì)話請(qǐng)求，最終因耗盡資源而停止響應(yīng)。這種攻擊被稱為（）。

A、 DDoS 攻擊

B、Land 攻擊

C、Smurf 攻擊

D、SYN Flooding攻擊

正確答案：D
參考解析:
【解析】 DDoS攻擊是指攻擊者攻破多個(gè)系統(tǒng),利用這些系統(tǒng)集中攻擊其他目標(biāo),大量請(qǐng)求使被害設(shè)備因?yàn)闊o(wú)法處理而拒絕服務(wù); Land攻擊是指向某個(gè)設(shè)備發(fā)送數(shù)據(jù)包,把源IP地址和目的IP地址均設(shè)為攻擊目標(biāo)地址; Smurf攻擊指攻擊者冒充被害主機(jī)IP地址向大型網(wǎng)絡(luò)發(fā)送echo request定向廣播包,此網(wǎng)絡(luò)大量主機(jī)應(yīng)答,使受害主機(jī)收到大量echo reply消息。SYN Flooding攻擊即為題目中所述情況。所以答案是D。

第3 題：網(wǎng)絡(luò)防火墻不能夠阻斷的攻擊是（ ）。

A、DoS

B、SQL注入

C、 Land攻擊

D、SYN Flooding

正確答案：B
參考解析:
【解析】網(wǎng)絡(luò)防火墻可以檢測(cè)流入和流出的數(shù)據(jù)包和具有防攻擊能力，可以阻斷DoS攻擊,而C, D也都屬于常見(jiàn)的DoS攻擊。常見(jiàn)的DoS攻擊包括Smurf攻擊、SYN Flooding、分布式拒絕服務(wù)攻擊(DDOS) 、Ping of Death, Tear doop和Land攻擊。B項(xiàng)屬于系統(tǒng)漏洞，防火墻無(wú)法阻止其攻擊。

第4題:下列攻擊手段中,基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)無(wú)法阻斷的是（ ）。

第 41 題：在下面的攻擊手段中，基于網(wǎng)絡(luò)和主機(jī)的入侵防護(hù)系統(tǒng)都難于阻斷的是（）。

A、SYN Flooding

B、SQL注入

C、 DDOS

D、Ping of Death

正確答案：B
參考解析:
【解析】所謂SQL注入,就是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串中,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼,大多就是通過(guò)Web表單遞交查詢字符暴出的,這類表單特別容易受到SQL注入式攻擊。SQL注入為漏洞入侵,采用應(yīng)用入侵保護(hù)系統(tǒng)。其它的都是采用基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)。

正確答案：B
參考解析:
【解析】基于主機(jī)的入侵防護(hù)系統(tǒng)可以阻斷緩沖區(qū)溢出,改變登陸口令,改變動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為。基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)主要進(jìn)行包過(guò)濾保護(hù),如丟棄含有攻擊性的數(shù)據(jù)包或者阻斷連接。應(yīng)用入侵防護(hù)系統(tǒng)能夠阻止如Cookie篡改, SQL代碼嵌入,參數(shù)篡改,緩沖區(qū)溢出,強(qiáng)制瀏覽,畸形數(shù)據(jù)包和數(shù)據(jù)類型不匹配等攻擊。選項(xiàng)B屬于應(yīng)用入侵防護(hù)系統(tǒng)功能,故選擇B選項(xiàng)。

第49 題：在下面的攻擊手段中，基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)和基于主機(jī)的入侵防御系統(tǒng)都難于阻斷的是（）。

A、 SYN Flooding攻擊

B、跨站腳本攻擊

C、 Teardrop

D、Smurt攻擊

正確答案：B
參考解析：
【解析】基于主機(jī)的入侵防護(hù)系統(tǒng)可以阻斷緩沖區(qū)溢出，改變登陸口令，改變動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為。基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)主要進(jìn)行包過(guò)濾保護(hù),如丟棄含有攻擊性的數(shù)據(jù)包或者阻斷連接。應(yīng)用入侵防護(hù)系統(tǒng)能夠阻止如Cookie篡改， SQL代碼嵌入，參數(shù)篡改，緩沖區(qū)溢出，強(qiáng)制瀏覽，畸形數(shù)據(jù)包和數(shù)據(jù)類型不匹配等攻擊。選項(xiàng)A和C屬于拒絕服務(wù)攻擊,可以通過(guò)基于主機(jī)的入侵防護(hù)系統(tǒng)阻擋,選項(xiàng)D屬于病毒攻擊可以通過(guò)基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)阻擋。選項(xiàng)B屬于應(yīng)用入侵防護(hù)系統(tǒng)功能，故選B選項(xiàng)。

第5 題:在下面的攻擊手段中,基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng) 可以阻斷的是()。

A、 Cookie篡改攻擊

B、 DNS欺騙攻擊

C、 Smurf攻擊

D、SQL注入

正確答案：C
參考解析:
【解析】基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)用原始的網(wǎng)絡(luò)包作為數(shù)據(jù)源,實(shí)時(shí)接收和分析網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)包,從而檢測(cè)是否存在入侵行為。Cookie篡改攻擊,通過(guò)對(duì)Cookie的篡改可以實(shí)現(xiàn)非法訪問(wèn)目標(biāo)站點(diǎn)。DNS欺騙是攻擊者冒充域名服務(wù)器的一種欺騙行為。SQL注入，就是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。以上三種方式都不是通過(guò)阻塞網(wǎng)路或者耗費(fèi)網(wǎng)絡(luò)資源等來(lái)進(jìn)行的攻擊。Smur攻擊,攻擊者冒充受害主機(jī)的ip地址,向一個(gè)大的網(wǎng)絡(luò)發(fā)送echo request的定向廣播包,此網(wǎng)絡(luò)的許多主機(jī)都做出回應(yīng),受害主機(jī)會(huì)收到大量的echo reply消息?；诰W(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)可以阻斷Smurf攻擊。故C選項(xiàng)正確。

第 6 題：在下面的攻擊手段中，基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng) 無(wú)法阻斷的是（）。

第 36 題：在下面的攻擊手段中，基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)和基于主機(jī)入侵防御系統(tǒng) 都難于阻斷的是（）。

A、SYN Flooding攻擊

B、Cookie篡改攻擊

C、DDOS攻擊

D、Smurf攻擊

正確答案：B
參考解析:
【解析】 SYN Flooding攻擊、DDOS攻擊和Smurt攻擊都屬于拒絕服務(wù)攻擊,可以被基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)阻斷。因此，B選項(xiàng)正確

第6題:攻擊者采用某種手段,使用戶訪問(wèn)某網(wǎng)站時(shí)獲得一個(gè)其他網(wǎng)站的IP地址,從而將用戶的訪問(wèn)引導(dǎo)到其他網(wǎng)站,這種攻擊手段稱為（ ）。

A、 DNS欺騙攻擊

B、ARP欺騙攻擊

C、暴力攻擊

D、重放攻擊

正確答案：A
參考解析：
【解析】 DNS欺騙攻擊是攻擊者采用某種欺騙手段，使用戶查詢服務(wù)器進(jìn)行域名解析時(shí)獲得一個(gè)錯(cuò)誤的IP地址，從而可將用戶引導(dǎo)到錯(cuò)誤的Internet站點(diǎn)。因此A選項(xiàng)正確

第7題:下列方式中,利用主機(jī)應(yīng)用系統(tǒng)漏洞進(jìn)行攻擊的是()

A、 Land攻擊

B、暴力攻擊

C、源路由欺騙攻擊

D、SQL注入攻擊

正確答案：D
參考解析:
【解析】應(yīng)用入侵防護(hù)系統(tǒng)能夠防止諸多入侵,其中包括Cookie篡改、SQL代碼嵌入、參數(shù)算改、緩沖器溢出、強(qiáng)制瀏覽、畸形數(shù)據(jù)包、數(shù)據(jù)類型不匹配以及其他已知漏洞等。由此可見(jiàn),SQL注入攻擊屬于利用主機(jī)應(yīng)用系統(tǒng)的漏洞而進(jìn)行的攻擊類型，故答案選D。

第13 題:包過(guò)濾路由器能夠阻斷的攻擊是（)。
A、Teardrop

B、跨站腳本

C、Cookie篡改

D、SQL注入

正確答案：A
參考解析:
【解析】路由器通常具有包過(guò)濾功能,可以將從某一端口接收到的符合一定特征的數(shù)據(jù)包進(jìn)行過(guò)濾而不再轉(zhuǎn)發(fā)。Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法,其工作原理是向被攻擊者發(fā)送多個(gè)分片的IP包。包過(guò)濾路由器可以對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的片偏移量(Offset)是否有誤。從而阻斷Teardrop攻擊?？缯灸_本攻擊(也稱為XsS)指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。cookie篇改(cookie poisoning)是攻擊者修改cookie(網(wǎng)站用戶計(jì)算機(jī)中的個(gè)人信息)獲得用戶未授權(quán)信息,進(jìn)而盜用身份的過(guò)程。SQL注入是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。因此A選項(xiàng)正確。

第15 題：通過(guò)偽造某臺(tái)主機(jī)的IP地址竊取特權(quán)的攻擊方式屬于（）。

A.、木馬入侵攻擊

B、 漏洞入侵攻擊

C、協(xié)議欺騙攻擊

D、拒絕服務(wù)攻擊

正確答案：C
參考解析：
【解析】協(xié)議欺騙攻擊方式有以下幾種：
(1) IP欺騙攻擊。
(2) ARP欺騙攻擊。
(3) DNS欺騙攻擊。
(4)源路由欺騙攻擊。
其中IP欺騙攻擊是通過(guò)偽造某臺(tái)主機(jī)的IP地址騙取特權(quán)，進(jìn)而進(jìn)行攻擊的技術(shù)。因此C選項(xiàng)正確。

第 21 題：攻擊者向某個(gè)設(shè)備發(fā)送數(shù)據(jù)包，并將數(shù)據(jù)包的源IP地址和目的IP地址都設(shè)置成攻擊目標(biāo)的地址。這種攻擊被稱為（）。

A、SYN Flooding攻擊

B、 DDoS攻擊

C、Ping Of Death攻擊

D、Land攻擊

正確答案：D
參考解析:
【解析】 SYN Flooding攻擊:利用TCP連接的3次握手過(guò)程進(jìn)行攻擊。攻擊者主機(jī)使用無(wú)效的IP地址。與受害主機(jī)進(jìn)行TCP3次握手。DDoS分布式拒絕服務(wù)攻擊:攻擊者攻破了多個(gè)系統(tǒng)。并利用這些系統(tǒng)去集中攻擊其他目標(biāo)。成千上萬(wàn)的主機(jī)發(fā)送大量的請(qǐng)求,受害設(shè)備因?yàn)闊o(wú)法處理而拒絕服務(wù)。Ping of Death攻擊:通過(guò)構(gòu)造出重緩沖區(qū)大小異常的ICMP包進(jìn)行攻擊。Land攻擊：向某個(gè)設(shè)備發(fā)送數(shù)據(jù)包，并將數(shù)據(jù)包的源IP和目的IP都設(shè)置成攻擊目標(biāo)的地址。

第 57 題：下列入侵檢測(cè)系統(tǒng)結(jié)構(gòu)中，出現(xiàn)單點(diǎn)故障影響最嚴(yán)重的的是（ ）。

A、協(xié)作式

B、層次式

C、集中式

D、對(duì)等式

正確答案：C
參考解析:
【解析】集中式入侵檢測(cè)系統(tǒng)最大的問(wèn)題就是單點(diǎn)失效的問(wèn)題,即一旦自身受到攻擊而停止工作,則整個(gè)網(wǎng)絡(luò)系統(tǒng)將處于危險(xiǎn)之中。而層次式入侵檢測(cè)系統(tǒng)的主要問(wèn)題是不能很好地適應(yīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化，較難部署，而且上層的入侵檢測(cè)模塊若受到攻擊，則其入侵檢測(cè)的有效性將大大地降低。協(xié)作式入侵檢測(cè)系統(tǒng)仍由一個(gè)統(tǒng)一的中央控制機(jī)制進(jìn)行協(xié)調(diào)，單點(diǎn)失效的風(fēng)險(xiǎn)仍然存在。對(duì)等模型的應(yīng)用使得分布式入侵檢測(cè)系統(tǒng)真正避免了單點(diǎn)失效的發(fā)生。故選擇C選項(xiàng).

六、網(wǎng)絡(luò)關(guān)鍵設(shè)備選型

1.網(wǎng)絡(luò)關(guān)鍵設(shè)備選型的基本原則

（1）廠商與產(chǎn)品系列的選擇。
核心路由器、匯聚路由器等關(guān)鍵的網(wǎng)絡(luò)設(shè)備一定要選擇成熟的主流產(chǎn)品而且最好用同一廠家的產(chǎn)品。

（2）網(wǎng)絡(luò)的可擴(kuò)展性考慮。
進(jìn)行主干網(wǎng)絡(luò)設(shè)備選取時(shí),必須留有一定的余量,保證系統(tǒng)的可擴(kuò)展性。
(3)網(wǎng)絡(luò)技術(shù)先進(jìn)性考慮。
網(wǎng)絡(luò)設(shè)備與技術(shù)的更新速度快,人們往往用“摩爾定律”描述網(wǎng)絡(luò)設(shè)備的價(jià)值,設(shè)備選型風(fēng)險(xiǎn)比較大,要廣納意見(jiàn),實(shí)地考察產(chǎn)品與服務(wù),慎重決策。

2.路由器選型的依據(jù)

(1)路由器的分類。
路由器性能主要指路由器背板交換能力,背板交換能力大于40Gbit/s的稱作高端路由器;背板交換能力低于40Gbit/s的稱為中低端路由器。按照路由器在網(wǎng)絡(luò)中所處的位置劃分,則可分為用作核心層主干設(shè)備的高端路由器,用于匯聚層的企業(yè)級(jí)路由器以及用于接入層的低端路由器。

(2)路由器的關(guān)鍵技術(shù)指標(biāo)。

①吞吐量。
路由器的吞吐量是指它的包轉(zhuǎn)發(fā)能力,涉及兩個(gè)方面的內(nèi)容:端口吞吐量與整機(jī)吞吐量。路由器的吞吐量與路由器的端口數(shù)量和速率、包類型、包長(zhǎng)度關(guān)系密切。

②背板能力。
背板是路由器輸入端與輸出端之間的物理通道,它決定了路由器的吞吐量。高性能路由器一般采用交換式結(jié)構(gòu),而傳統(tǒng)的路由器采用的是共享背板的結(jié)構(gòu)。

③延時(shí)與延時(shí)抖動(dòng)。
延時(shí)與包長(zhǎng)度、鏈路傳輸速率有關(guān),它標(biāo)志著路由器轉(zhuǎn)發(fā)包的處理時(shí)間。延時(shí)對(duì)網(wǎng)絡(luò)性能影響很大,高速路由器一般要求長(zhǎng)度為1518B的IP包,延時(shí)不大于1ms。

④丟包率。
丟包率是指在持續(xù)的、穩(wěn)定的負(fù)荷情況下,由于包轉(zhuǎn)發(fā)能力的限制而造成的包丟失的概率。它常被用作路由器超負(fù)荷工作時(shí)的性能衡量指標(biāo)。

⑤突發(fā)處理能力。
我們常以最小幀間隔發(fā)送數(shù)據(jù)包而不引起丟失的最大發(fā)送速率來(lái)衡量突發(fā)處理能力。

⑥服務(wù)質(zhì)量。
路由器的服務(wù)質(zhì)量主要表現(xiàn)在隊(duì)列管理機(jī)制、端口硬件隊(duì)列管理和支持Qos協(xié)議上。隊(duì)列管理機(jī)制是指路由器的隊(duì)列調(diào)度算法與擁塞管理機(jī)制。隊(duì)列調(diào)度算法的策略主要包括:支持公平排隊(duì)算法、支持加權(quán)公平排隊(duì)算法、擁塞控制、虛擬輸出隊(duì)列、優(yōu)先級(jí)管理等方面。端口硬件隊(duì)列管理是由端口硬件來(lái)實(shí)現(xiàn),而每個(gè)隊(duì)列中的優(yōu)先級(jí)由隊(duì)列調(diào)度算法來(lái)控制。路由器應(yīng)能支持區(qū)分服務(wù)(DiffServ)協(xié)議、資源預(yù)留協(xié)議(RSVP)與多協(xié)議標(biāo)記交換(MPLS)協(xié)議。

⑦路由表容量。
路由表是路由器用來(lái)決定包轉(zhuǎn)發(fā)路徑的主要依據(jù)。建立和維護(hù)與當(dāng)前網(wǎng)絡(luò)鏈路狀態(tài)與節(jié)點(diǎn)狀態(tài)相適應(yīng)的路由表是路由器的主要任務(wù)之一。

⑧可靠性與可用性。
路由器可靠性與可用性的主要指標(biāo)表現(xiàn)在設(shè)備的冗余、無(wú)故障工作時(shí)間、內(nèi)部時(shí)鐘精度、熱插拔組件等方面。

典型的高端路由器的可靠性與可用性指標(biāo)應(yīng)該達(dá)到以下幾點(diǎn)。

• 無(wú)故障連續(xù)工作時(shí)間(MTBF)大于10萬(wàn)小時(shí),且系統(tǒng)故障恢復(fù)時(shí)間小于30min。
• 系統(tǒng)具有自動(dòng)保護(hù)切換功能,主備用切換時(shí)間小于50ms。
• SDH與ATM接口自動(dòng)保護(hù)切換功能,切換時(shí)間小于50ms
• 路由器系統(tǒng)內(nèi)部不存在單故障點(diǎn)。
• 主處理器、主存儲(chǔ)器、交換矩陣、電源、總線管理器與網(wǎng)絡(luò)管理接口等主要部件需要有熱插拔冗余備份,線卡要求有備份,并提供遠(yuǎn)程測(cè)試診斷能力。

⑨網(wǎng)管能力。
路由器的網(wǎng)絡(luò)管理能力表現(xiàn)在網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)絡(luò)管理程序和通用的網(wǎng)絡(luò)管理協(xié)議SNMPv2等,對(duì)網(wǎng)絡(luò)資源進(jìn)行集中管理與操作。網(wǎng)絡(luò)管理粒度標(biāo)志著路由器管理的精細(xì)程度。網(wǎng)絡(luò)管理包括配置管理、記賬管理、性能管理、故障管理與安全管理5部分。路由端口、網(wǎng)段、IP地址或MAC地址的管理都屬于網(wǎng)絡(luò)管理的范疇。

3.交換機(jī)的類別與主要技術(shù)指標(biāo)

(1)交換機(jī)的分類。
①按所支持的技術(shù)類型,可以將交換機(jī)分為10Mbit/s Ethernet交換機(jī)、FastEthernet交換機(jī)速率達(dá)與1Gbit/s的GE交換機(jī)。
②按內(nèi)部結(jié)構(gòu),可以將交換機(jī)分為模塊式交換機(jī)與固定端口交換機(jī)。模塊式交換機(jī)又稱為機(jī)架式交換機(jī)。其機(jī)箱內(nèi)部有冗余電源、內(nèi)置電源與多插槽主機(jī)機(jī)柜。插槽可用于插入擴(kuò)展的交換模塊和網(wǎng)管模塊。這種模塊式交換機(jī)的優(yōu)點(diǎn)是功能強(qiáng)、可靠性高,可根據(jù)網(wǎng)絡(luò)規(guī)模的大小、接入節(jié)點(diǎn)的數(shù)量與帶寬,進(jìn)行模塊的靈活選擇和配置。

固定端口交換機(jī)只能支持一種局域網(wǎng)協(xié)議,含有少量擴(kuò)展槽且端口數(shù)量固定。這種交換機(jī)外觀上像機(jī)架式集線器,常見(jiàn)的有8個(gè)RJ 45端口,此外， 16/24/48/80端口交換機(jī)也都是比較常用的類型。一般具有1-2個(gè)固定的100Mbit/s或1000Mbit/s的上聯(lián)端口。固定端口交換機(jī)的優(yōu)點(diǎn)是價(jià)格便宜、安裝簡(jiǎn)便,較適宜作為小型局域網(wǎng)節(jié)點(diǎn)的連接設(shè)備或大型網(wǎng)絡(luò)的接入設(shè)備。
③按應(yīng)用規(guī)模，可以將交換機(jī)分為：企業(yè)級(jí)交換機(jī)、部門級(jí)交換機(jī)與工作組級(jí)交換機(jī)。

(2)交換機(jī)的主要技術(shù)指標(biāo)。
交換機(jī)的主要技術(shù)指標(biāo)包括:背板帶寬、全雙工端口總帶寬、交換方式、幀轉(zhuǎn)發(fā)速率、延時(shí)、模塊式或固定端口配置、支持VLAN能力等。

①背板帶寬。
交換機(jī)的背板是指交換機(jī)輸入端與輸出端之間的物理通道。背板帶寬越寬,交換機(jī)的數(shù)據(jù)處理能力就越快,數(shù)據(jù)包轉(zhuǎn)發(fā)延遲就越小,性能也就越優(yōu)越。
②全雙工端口帶寬。
全雙工端口帶寬的計(jì)算方法如下:端口數(shù)端口速率x2交換機(jī)選型中一個(gè)重要的數(shù)據(jù)指標(biāo)就是背板帶寬/全雙工端口的總帶寬的比值。比值越高,交換機(jī)就越趨近于高性能線速無(wú)阻塞交換機(jī),其性能也就越好,造價(jià)也就越高。
③幀轉(zhuǎn)發(fā)速率。
幀轉(zhuǎn)發(fā)速率是指交換機(jī)每秒鐘能夠轉(zhuǎn)發(fā)的幀的最大數(shù)量。延時(shí)是指從幀的第一個(gè)字節(jié)進(jìn)入交換機(jī),到該幀最后一個(gè)字節(jié)離開(kāi)交換機(jī)輸出端口的時(shí)間。
④支持VLAN能力。用戶在選擇交換機(jī)時(shí),很關(guān)心其是否支持VLAN能力。除了部分支持Cisco專用的組管理協(xié)議(CGMP)的交換機(jī)外,大部分交換機(jī)都支持802.1Q協(xié)議。VLAN的劃分可以是基于端口的,也可以是基于MAC地址或IP地址的。

④支持VLAN能力。用戶在選擇交換機(jī)時(shí),很關(guān)心其是否支持VLAN能力。除了部分支持Cisco專用的組管理協(xié)議(CGMP)的交換機(jī)外,大部分交換機(jī)都支持802.1Q協(xié)議。VLAN的劃分可以是基于端口的,也可以是基于MAC地址或IP地址的。
⑤模塊式交換機(jī)(機(jī)箱式交換機(jī))的擴(kuò)張能力。
可擴(kuò)展性是模塊式交換機(jī)的主要特點(diǎn)。該類交換機(jī)可通過(guò)選取類型不同的控制模塊,如FE模塊、GE模塊、ATM模塊等,或者不同模塊的數(shù)量來(lái)達(dá)到支持不同類型的協(xié)議與不同端口帶寬的目的。
(3)交換機(jī)的配置選擇。
配置選擇是交換機(jī)選型時(shí)不可忽略的問(wèn)題。交換機(jī)的配置有以下幾個(gè)方面。
①擴(kuò)展槽數(shù)：擴(kuò)展槽數(shù)指的是固定端口式交換機(jī)的擴(kuò)展槽最多可以安插的模塊數(shù)。
②機(jī)架插槽數(shù):機(jī)架插槽數(shù)指的是模塊式交換機(jī)最多能夠安插的模塊數(shù)。
③最大可堆疊數(shù):最大可堆疊數(shù)指的是單個(gè)堆疊單元中可最大堆疊的交換機(jī)數(shù)。
④最大/最小GE端口數(shù):最大/最小GE端口數(shù)指的是一臺(tái)交換機(jī)所能夠支持的最大/最小的1000Mbit/s速率的端口的數(shù)量。
⑤端口密度與端口類型:端口密度是指一臺(tái)交換機(jī)所能夠支持的最大/最小的端口數(shù)量,端口類型指全雙工或單工。
⑥緩沖區(qū)大小:緩沖區(qū)的作用是協(xié)調(diào)不同端口之間的速率匹配。
⑦支持的網(wǎng)絡(luò)協(xié)議類型:通常,不帶擴(kuò)展槽的或者固定配置的交換機(jī)只支持一種協(xié)議(如Ethernet協(xié)議) ,帶有擴(kuò)展槽的或機(jī)架式交換機(jī)可支持多種協(xié)議(如GE、FE、FDDI協(xié)議等)。同時(shí),也要關(guān)注交換機(jī)所支持的第2層交換的策略,如802.3x的擁塞控制與流量控制協(xié)議、802.1d的生成樹(shù)算法、802.1p優(yōu)先級(jí)隊(duì)列控制等。
⑧MAC地址表大小:連接在不同端口上的主機(jī)或設(shè)備的MAC地址都存儲(chǔ)于交換機(jī)的MAC地址表中,交換機(jī)根據(jù)此表確定幀轉(zhuǎn)發(fā)的端口,且此表要時(shí)刻更新。
⑨設(shè)備冗余:避免存在單點(diǎn)故障的威脅對(duì)要求較高的應(yīng)用很重要。
⑩可管理性:不同的交換機(jī)支持的網(wǎng)絡(luò)管理協(xié)議不盡相同,常用的的網(wǎng)絡(luò)管理協(xié)議與軟件包括SNMP、HPOpenview、IBMNetView等。

七、網(wǎng)絡(luò)服務(wù)器選型

1.網(wǎng)絡(luò)服務(wù)器的分類

①Internet/Intranet通用服務(wù)器。
②數(shù)據(jù)庫(kù)服務(wù)器。
③文件服務(wù)器。

共享硬盤服務(wù)系統(tǒng)的缺點(diǎn)是: 用戶每次使用服務(wù)器硬盤時(shí)需要先進(jìn)行鏈接,且需要用戶自己使用DOS命令建立專用盤體上的DOS文件目錄結(jié)構(gòu),并進(jìn)行維護(hù),所以不方便使用,且效率和安全性都得不到保證。

④應(yīng)用服務(wù)器。
應(yīng)用服務(wù)器是一類提供專用服務(wù)的網(wǎng)絡(luò)服務(wù)器,基于瀏覽器/服務(wù)器(Browser/Server.B/S)工作模式。應(yīng)用服務(wù)器的主要技術(shù)特點(diǎn)如下：

• 應(yīng)用服務(wù)器將網(wǎng)絡(luò)應(yīng)用建立在Web服務(wù)的基礎(chǔ)上,在客戶與服務(wù)器之間采用瀏覽器/服務(wù)器模式進(jìn)行軟件系統(tǒng)的設(shè)計(jì)。
• 網(wǎng)絡(luò)組建單位在購(gòu)得設(shè)備后,無(wú)須用戶進(jìn)行專門配置,且使用方便,性價(jià)比高。
• 傳統(tǒng)的C/S結(jié)構(gòu)數(shù)據(jù)庫(kù)服務(wù)器采用的是客戶與服務(wù)器2層結(jié)構(gòu),而應(yīng)用服務(wù)器形成了3層體系結(jié)構(gòu)。

(2)按應(yīng)用規(guī)模分類,網(wǎng)絡(luò)服務(wù)器可以分為:基礎(chǔ)級(jí)服務(wù)器、工作組級(jí)服務(wù)器、部門級(jí)服務(wù)器、企業(yè)級(jí)服務(wù)器。

各類級(jí)別服務(wù)器的比較

（4）服務(wù)器采用的相關(guān)技術(shù)

為了提高網(wǎng)絡(luò)服務(wù)器的性能，很多服務(wù)器都在設(shè)計(jì)中采用了不同的技術(shù)：

• 熱插拔技術(shù)。
• 集群（Cluster）技術(shù)。
• 高性能存儲(chǔ)與智能I/O技術(shù)。
• 對(duì)稱多處理(Symmetric Multi Processing,SMP)技術(shù)。
• 應(yīng)急管理端口(Emergence Management Port,EMP)技術(shù)。
• 非一致內(nèi)存訪問(wèn)(Non Uniform Memory Access,NUMA)技術(shù)。
• 服務(wù)處理器與Inte1服務(wù)器控制(Intel Server Control, ISC)技術(shù)。

熱插拔功能可以實(shí)現(xiàn)用戶在不斷電的情況下進(jìn)行故障硬盤、板卡等部件的更換,所以使得系統(tǒng)應(yīng)對(duì)突發(fā)事件能力大大提高。另外,高端應(yīng)用的磁盤鏡像系統(tǒng)提高了磁盤的熱拔插功能,大大縮減了系統(tǒng)故障修復(fù)時(shí)間。集群(Cluster)技術(shù)大大提高了系統(tǒng)的數(shù)據(jù)處理能力。它是向一組獨(dú)立的計(jì)算機(jī)提供高速通信線路,并使其組成一個(gè)共享數(shù)據(jù)存儲(chǔ)空間的服務(wù)器系統(tǒng)。如果其中某臺(tái)主機(jī)出現(xiàn)故障,該主機(jī)所運(yùn)行的程序?qū)⒘⒓崔D(zhuǎn)移到其他主機(jī)運(yùn)行,可見(jiàn)集群計(jì)算技術(shù)可以使服務(wù)器的可用性、可靠性與容災(zāi)能力得到大大提高。但是對(duì)系統(tǒng)的性能是有影響的。

衡量服務(wù)器性能與選型的重要指標(biāo)之一就是存儲(chǔ)能力。 存儲(chǔ)系統(tǒng)總線必須采用小型機(jī)系統(tǒng)接口(Small Computer System Interface, SCSI)標(biāo)準(zhǔn),同時(shí)采用獨(dú)立磁盤冗余陣列(Redundant Array of Independent Disk, RAID)技術(shù),將若干個(gè)硬盤驅(qū)動(dòng)器組成一個(gè)整體,由陣列管理器管理;在提高磁盤容量的基礎(chǔ)上,通過(guò)改善并行讀寫能力,提高磁盤的存取速度和吞吐量;為了達(dá)到均衡負(fù)荷與提高系統(tǒng)效率的目的,可以利用智能I/0系統(tǒng)來(lái)負(fù)責(zé)中斷處理、緩沖區(qū)存儲(chǔ)與數(shù)據(jù)傳輸?shù)墓ぷ鳌?/p>

2.網(wǎng)絡(luò)服務(wù)器性能

服務(wù)器的性能主要表現(xiàn)在：磁盤存儲(chǔ)能力、運(yùn)算處理能力、高可用性、可擴(kuò)展性與可管理性等。
（1）磁盤存儲(chǔ)能力。
磁盤存儲(chǔ)容量與1/0服務(wù)速度是磁盤存儲(chǔ)能力的重要指標(biāo) ,而硬盤與磁盤接口總線又是決定這兩個(gè)重要指標(biāo)的主要因素。硬盤性能的參數(shù)包括:主軸轉(zhuǎn)速、內(nèi)部傳輸率、單碟容量、平均巡道時(shí)間與緩存。磁盤接口總線目前主要是SCSI標(biāo)準(zhǔn)。

(2)運(yùn)算處理能力。
高速度的CPU可以大大提高服務(wù)器的運(yùn)算能力,然而影響服務(wù)器處理能力的因素又是多方面的。以Inte1的CPU結(jié)構(gòu)為例,實(shí)際構(gòu)成CPU的部件包括: CPU內(nèi)核(Pentium Processor Core)、一級(jí)緩存(L1 Cache)、二級(jí)緩存(L2 Cache)、前端總線(FrontSide Bus,FSB)、后端總線(BackSide Bus,BSB)。其中, CPU內(nèi)核負(fù)責(zé)執(zhí)行指令和處理數(shù)據(jù),其性能直接與運(yùn)算處理能力相關(guān)。一級(jí)緩存為CPU直接提供計(jì)算所需要的指令與數(shù)據(jù);二級(jí)緩存主要用于存儲(chǔ)控制器、存儲(chǔ)器、緩存檢索表數(shù)據(jù)。前端總線是連接CPU與主機(jī)芯片組的總線。后端總線是連接CPU內(nèi)核與二級(jí)緩存的總線。

CPU的速度與服務(wù)器性能的關(guān)系說(shuō)明如下。
如果CPUa與CPUb采用相同的技術(shù), CPUa的主頻為Ma, CPUb的主頻為Mb, Mb>Ma,且Mb Ma<200MHz,則配置CPUb比配置CPUa的服務(wù)器性能提高(Mb Ma) /Max50%,這就是CPU的50%定律。

CPU的數(shù)量與服務(wù)器性能的關(guān)系說(shuō)明如下。
如果一高端服務(wù)器支持8路SMP的CPU，且其內(nèi)存、網(wǎng)絡(luò)速度與硬盤速度都足夠使用,即不存在增加CPU給系統(tǒng)帶來(lái)的瓶頸,則從單個(gè)CPU增加到2個(gè)CPU,系統(tǒng)性能是單CPU的170%;增加到4個(gè)CPU,系統(tǒng)性能是單CPU的300%;增加到8個(gè)CPU,系統(tǒng)性能是單CPU的500%。并且有研究表明,L1 Cache、 L2 Cache、 FSB與BSB對(duì)系統(tǒng)總體性能的影響也很顯著。

(3)系統(tǒng)高可用性。
系統(tǒng)高可用性可以用如下公式描述:系統(tǒng)高可用性=MTBF/ (MTBF+MTBR)其中, MTBF為平均無(wú)故障時(shí)間; MTBR為平均修復(fù)時(shí)間。

如果系統(tǒng)高可用性達(dá)到99.9%,那么每年的停機(jī)時(shí)間<8.8小時(shí);系統(tǒng)高可用性達(dá)到99.99%,每年的停機(jī)時(shí)間<53分鐘;系統(tǒng)高可用性達(dá)到99.999%,每年的停機(jī)時(shí)間<5分鐘。

(4)可擴(kuò)展性。
系統(tǒng)的可擴(kuò)展性主要表現(xiàn)在處理器和存儲(chǔ)設(shè)備的擴(kuò)展能力上。

(5)可管理性。
系統(tǒng)的可管理性表現(xiàn)在:友好的管理軟件界面、完善的遠(yuǎn)程監(jiān)控管理能力,支持硬盤、內(nèi)存、處理器、電源等設(shè)備的熱插拔功能,便于拆裝、維護(hù)和升級(jí)。

3.服務(wù)器選型的基本原則

• 根據(jù)產(chǎn)品的不同需求選擇服務(wù)器。
• 根據(jù)不同的行業(yè)特點(diǎn)選擇服務(wù)器。
• 根據(jù)不同的應(yīng)用特點(diǎn)選擇服務(wù)器。

八、網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)基本方法

1.網(wǎng)絡(luò)安全技術(shù)涉及的基本內(nèi)容

網(wǎng)絡(luò)安全技術(shù)就是通過(guò)解決網(wǎng)絡(luò)安全方面存在的問(wèn)題,從而達(dá)到信息在網(wǎng)絡(luò)環(huán)境中的存儲(chǔ)、處理與傳輸?shù)陌踩繕?biāo)。網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)應(yīng)重點(diǎn)考慮以下方面。

（1） 網(wǎng)絡(luò)中的信息安全問(wèn)題。
網(wǎng)絡(luò)中的信息安全主要包括信息存儲(chǔ)安全、信息傳輸安全及密碼技術(shù)。信息存儲(chǔ)安全是指保證存儲(chǔ)在計(jì)算機(jī)中的信息不被未授權(quán)的網(wǎng)絡(luò)用戶非法使用。信息傳輸安全是指保證信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中不被泄露與不被攻擊。信息在傳輸中的安全威脅主要有:截獲信息、竊聽(tīng)信息、篡改信息與偽造信息。數(shù)據(jù)的加密與解密是密碼學(xué)研究的主要問(wèn)題,同時(shí)也是保證網(wǎng)絡(luò)系統(tǒng)中信息安全的主要技術(shù)。用戶可以在存儲(chǔ)或傳輸過(guò)程中用密文表示需要保護(hù)的重要信息,以保證明文的安全。

小提示: 加密指的是將明文變換成密文的過(guò)程,解密指的是將密文經(jīng)過(guò)逆變換恢復(fù)成明文的過(guò)程。

（2）網(wǎng)絡(luò)防攻擊技術(shù)。
Internet中對(duì)網(wǎng)絡(luò)的攻擊可以分為服務(wù)攻擊與非服務(wù)攻擊。從黑客攻擊的手段上又可以大致分為以下8種：系統(tǒng)入侵類攻擊、緩沖區(qū)溢出攻擊、拒絕服務(wù)類攻擊、欺騙類攻擊、病毒類攻擊、木馬程序攻擊、后門攻擊與防火墻攻擊。

服務(wù)攻擊是指對(duì)為網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊,造成該服務(wù)器的“拒絕服務(wù)”, 使網(wǎng)絡(luò)工作不正常。拒絕服務(wù)攻擊會(huì)導(dǎo)致某種服務(wù)的合法使用者不能訪問(wèn)自己有權(quán)訪問(wèn)的服務(wù),表現(xiàn)為帶寬與計(jì)算資源的消耗、系統(tǒng)和應(yīng)用的崩潰等方面。特定的網(wǎng)絡(luò)服務(wù)包括E-mail、Telnet、FTP、WWW服務(wù)等。

例如，Telnet服務(wù)在眾所周知的TCP 23端口上提供遠(yuǎn)端連接, WWW服務(wù)在TCP 80端口等待客戶的瀏覽請(qǐng)求。由于TCP/IP缺乏保密措施與認(rèn)證,就為攻擊者提供了條件。攻擊者可能針對(duì)某網(wǎng)站的www服務(wù)進(jìn)行攻擊,設(shè)法使其服務(wù)器癱瘓或者修改其主頁(yè),使得該網(wǎng)站www不能夠再正常工作。

非服務(wù)攻擊不針對(duì)某項(xiàng)具體應(yīng)用服務(wù),而是針對(duì)網(wǎng)絡(luò)層等低層協(xié)議進(jìn)行的。 它往往利用協(xié)議或操作系統(tǒng)實(shí)現(xiàn)協(xié)議時(shí)的漏洞來(lái)達(dá)到攻擊的目的,更為隱蔽,且常常被人們所忽略,因而是一種更為危險(xiǎn)的攻擊手段。源路由攻擊和地址欺騙都屬于這一類。攻擊者可能會(huì)對(duì)網(wǎng)絡(luò)通信設(shè)備發(fā)起攻擊,使其工作阻塞或癱瘓,致使子網(wǎng)或局域網(wǎng)癱瘓。TCP/IP (尤其是IPv4)自身安全機(jī)制的不足更是為攻擊者提供了方便。

網(wǎng)絡(luò)防攻擊研究主要應(yīng)解決以下幾個(gè)問(wèn)題。
①攻擊者可能是哪些人。
②攻擊手段與類型可能有哪些。
③及時(shí)檢測(cè)并報(bào)告網(wǎng)絡(luò)被攻擊。
④如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護(hù)體系。

（3）防抵賴問(wèn)題。
防抵賴是指如何防止發(fā)送方事后對(duì)自身所發(fā)送的信息進(jìn)行否認(rèn),或者接收方否認(rèn)已收到的信息。

（4）網(wǎng)絡(luò)內(nèi)部安全防范。
網(wǎng)絡(luò)內(nèi)部安全防范指如何防止內(nèi)部具有合法身份的用戶有意或無(wú)意對(duì)網(wǎng)絡(luò)與信息安全進(jìn)行有害的行為。它主要有:違反網(wǎng)絡(luò)安全規(guī)定,繞過(guò)防火墻,私自和外部網(wǎng)絡(luò)連接,造成系統(tǒng)安全漏洞;有意或無(wú)意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員口令;違反網(wǎng)絡(luò)使用規(guī)定,越權(quán)查看、修改和刪除系統(tǒng)文件、應(yīng)用程序及數(shù)據(jù);違反網(wǎng)絡(luò)使用規(guī)定,越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置,造成網(wǎng)絡(luò)工作不正常。

工作人員必須從技術(shù)與管理兩方面解決來(lái)自網(wǎng)絡(luò)內(nèi)部的不安全因素。一方面通過(guò)網(wǎng)絡(luò)管理軟件隨時(shí)監(jiān)控用戶工作狀態(tài)與網(wǎng)絡(luò)運(yùn)行狀態(tài),對(duì)重要資源的使用情況進(jìn)行記錄與審計(jì);另一方面制定和不斷完善網(wǎng)絡(luò)使用和管理制度,加強(qiáng)用戶培訓(xùn)與管理。

除以上4點(diǎn)之外,網(wǎng)絡(luò)安全漏洞與對(duì)策的研究,垃圾郵件、灰色軟件與流氓軟件,網(wǎng)絡(luò)防病毒以及網(wǎng)絡(luò)數(shù)據(jù)備份與災(zāi)難恢復(fù)也是網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)應(yīng)重點(diǎn)考慮的方面。

2.網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)的原則

從網(wǎng)絡(luò)工程的角度,網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)需要遵循的基本原則如下。
①整體設(shè)計(jì)的原則；
②全局考慮的原則；
③等級(jí)性原則；
④自主性與可控性原則；
⑤有效性與實(shí)用性的原則；
⑥安全有價(jià)原則。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-491876.html

到了這里，關(guān)于【計(jì)算機(jī)三級(jí)網(wǎng)絡(luò)技術(shù)】 第二篇 中小型系統(tǒng)總體規(guī)劃與設(shè)計(jì)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！