收藏
下载资源 加入VIP免费专享

MCSE 网络安全设计.docx

上传人:小飞机 文档编号:1937956 上传时间:2022-12-27 格式:DOCX 页数:10 大小:266.33KB
返回 下载 相关 举报
MCSE 网络安全设计.docx_第1页
第1页 / 共10页
MCSE 网络安全设计.docx_第2页
第2页 / 共10页
MCSE 网络安全设计.docx_第3页
第3页 / 共10页
MCSE 网络安全设计.docx_第4页
第4页 / 共10页
MCSE 网络安全设计.docx_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《MCSE 网络安全设计.docx》由会员分享,可在线阅读,更多相关《MCSE 网络安全设计.docx(10页珍藏版)》请在三一办公上搜索。

1、MCSE 网络安全设计案例一(30)南桥音像公司南桥音像公司是一家音像制品零售商,公司销售各种电影,记录片和外国电影。近期南桥音像要求CompanyA 公司提供运货服务。南桥音像总公司在亚特兰大,公司在整个美国有6 个零售店。CompanyA 公司位于丹佛。计划改革公司网络架构如下图所示:一台名为VPN1 的VPN 服务器将被安置在网络设备防护网上,移动用户将使用VPN1 来连接公司网络。除了HR 部门以外,亚特兰大办公室的所有客户机都将升级成Windows XP 专业版。名为WEB2 的Web 服务器将被安装到公司内部网供开发和测试使用。业务过程公司有以下几个部门:人力资源部(HR)、会计部

2、、管理部、市场部、客服部和信息技术部,Internet 用户必须注册成为南桥音像的用户才能在Web 站点购买录像。用户信息都存储在一个数据库中,这些用户归类为Web 用户,登录信息通过电子邮件形式发送给用户。Web 用户连接一个名为Members 的虚拟目录。当他们身份验证之后,Web 用户能够查看可得到的商品并且通过服务器Web1 上运行的一个Web 应用程序来订货。当Web 用户订货后,请求就提交给CompanyA 公司来包装并运送。所有客户活动记录都存储在TRANS 共享文件夹中,这个文件夹位于服务器DATA1 上。Authenticated Users 组分配了对TRANS 文件夹的“

3、完全控制”权限。Active Directory(活动目录)此网络包括一个单一Active Directory 域,所有服务器都运行Windows Server 2003,所有客户机运行Windows NT Workstation 4.0 或Windows 98,所有计算机都运行最新的补丁。组织单元(OU)结构的相关部分如下图所示:Laptop OU 包括手提电脑的计算机帐户,Desktop Computers OU 包含了桌面电脑的计算机帐户。HR 部门的所有用户和计算机帐户都位于Legacy OU 中。网络基础架构亚特兰大办公室有一个无线LAN,这个网络上有两台Microsoft Inte

4、rnet 安全与加速(ISA)Server 2004 计算机,分别是ISA1 和ISA2。一个公共的Web 站点位于一台运行IIS6.0 的服务器WEB1 上。CompanyA 公司的用户通过南桥音像公司和CompanyA 公司之间的一个VPN 通道来访问WEB1。HR 部门使用一个客户应用系统,此系统只能运行在Windows NT Workstation4.0 上。客服部把个人信息都存储在一台名为SRV1 的文件服务器上,SRV1 还被配置为脱机独立根CA。问题描述必须考虑以下业务问题:计划升级之后,HR 部门的用户在登录他们的客户机后将不能再修改他们的口令。当前用户都不拥有证书。管理员没有

5、时间来帮助所有用户处理问题。首席信息官的意见出于Internet 连接在过去几个月里使用频繁,所以要采取措施不要把额外的工作量放在这个连接上。我已经阅读过各种各样的缓存溢出对Web 服务器的攻击,如果公共Web 服务器受到这样一次攻击,我希望能够将用户请求重定向到一个包含了法律后果的HTML 文档。我们目前的补丁管理方案要求大量的时间和资源,并且需要优化。我们还希望能够识别哪个安全补丁被安装到公司的计算机上。首席安全官(CSO)的观点有很多原因需要我们重新设计公司安全管理策略和惯例。我关心目前我们的无线配置使我们网络易受攻击,我还关心CompanyA 用户访问的服务器的安全性。我想实现一个公司

6、范围的用户证书作为我们新验证策略的第一阶段。我还想使用组策略对象(GPOs)来管理我们无线网络。近期,用户从Internet 上下载并安装了未授权软件,导致了公司网络上的几台计算机停止响应。少量移动用户将连接公司网络,我们需要确保这些连接的安全性。书面安全策略南桥音像公司书面安全策略的相关部分包括以下要求:只有客服部的用户能够连接无线网络;无线网络要求字符串验证;客服部和SRV1 之间的通信始终安全并加密;只有客服部的配有手提电脑的成员能够加密数据;客服部必须拥有自己数据恢复代理;财务部门用户必须实行双重身份验证,存储在TRANS 文件夹中的信息都加密了并且只能被IT 部门的员工访问;和WEB

7、1 上的Member 虚拟目录的通信都被加密;Web 客户能够证实WEB1 的身份;所有Windows Server 2003 计算机和Windows XP 专业版计算机的登录,只要涉及到本地用户帐户的都需要被跟踪;只有IT 管理员能够远程修改WEB2 上注册表信息;所有软件都准许公司使用;VPN1 必须支持MS-CHAP v2 身份验证。问题1你需要为南桥音像公司设计一个审核策略。你的方案必须满足公司的业务需求,你该怎么做?A 创建一个新的安全模板,这个模板启用了成功和失败的账户登录事件的审核策略;创建一个新的GPO,并把它和域连接,在新的GPO 中导入新的安全模板B 创建一个新的安全模板,

8、这个模板启用了成功和失败的帐户登录事件的审核策略;创建一个新的GPO,并把它和Domain Controllers OU 连接,在新的GPO 中导入新的安全模板C 创建一个新的安全模板,这个模板启用了成功和失败的登录事件的审核策略;创建一个新的GPO,并把它和Domain Controllers OU 连接,在新的GPO 中导入新的安全模板D 创建一个新的安全模板,这个模板启用了成功和失败的登录事件的审核策略;创建一个新的GPO,并把它和域连接,在新的GPO 中导入新的安全模板2. 你需要为VPN1 设计一个安全策略,你的解决方案必须满足业务需求,你该怎么做?A 创建并配置一个新的安全模板;把

9、这个模板导入到默认域策略组策略对象中B 在RAS1 上安装Internet 身份验证服务(IAS);配置VPN1 成为RAS1 的Radiu 客户端;在VPN1 上配置远程访问策略C 创建并配置一个新的安全模板;把这个模板导入到VPN1 的本地策略中D 把VPN1 移到VPN Servers OU 中;在VPN1 上配置远程访问策略3. 你正在为财务部门设计一个身份验证策略,你的解决方案必须满足业务需求,你该怎么做?A 在财务部门的所有计算机上安装无线网卡,选择PEAP 身份验证B 在财务部门的所有计算机上安装用户身份验证,配置这些计算机响应IPSec 加密请求C 给财务部门的所有用户和计算机

10、发行智能卡和智能卡读取器;要求NTLMv2 身份验证D 给财务部门的所有用户和计算机发行智能卡和智能卡读取器;配置财务部门用户使用智能卡登录域4. 你需要为WEB1 设计一个安全解决方案,你的解决方案必须满足首席信息总监关心的问题,你该怎么做?A 在WEB1 上启用“Web 分布式创作和版本控制(WebDAV)”组件B 在WEB1 上安装并配置URLScan ISAPI 筛选器C 在WEB1 上安装一个计算机证书,并在WEB1 上启用服务器(要求安全性)IPSec 策略D 在Internet 服务管理器控制台的WEB1 属性中配置Web 站点重定位选项5. 你需要给南桥音像公司的员工设计一个软

11、件使用策略,你的策略必须满足业务需求,你该怎么做?A 在默认域策略组策略对象中配置软件限制策略B 使用连接管理员管理工具(CMAK)创建一个新的连接对象,并在所有客户机上安装新的连接对象C 在两台ISA 服务器上创建并配置一个本地安全策略D 在默认域策略组策略对象中配置Internet Explorer 设置6. 你需要为南桥音像公司设计一个补丁管理策略,你的解决方案必须满足业务需求,你该怎么做?A 配置所有客户机使用自动更新从Windows Update Web 站点获得安全补丁,测试并安装所有补丁程序B 配置一个补丁文件来下载每天的安全补丁,使用一个.zap 文件和默认域策略组策略对象来分

12、配安全补丁C 部署一台软件更新服务(SUS)服务器,测试所有安全补丁之后批准这些补丁;配置所有客户机自动从服务器上获得更新程序D 配置一个补丁文件下载每天安全补丁,在所有计算机上手动安装安全补丁案例二(30)Woodgrove 银行概述Woodgrove 银行有一个24 小时工作的呼叫中心用来支持客户和合作伙伴。Woodgrove 银行总部位于洛杉机(Los Angeles),拥有1000 名员工。一个地区分行位于丹佛(Denver),拥有800 员工。还有100 个支行,分部在美国西部的大部分城市,每个支行有10 到20 位员工。业务处理洛杉机总部对Woodgrove 银行进行管理。地区管理

13、位于洛杉机和丹佛,洛杉机总部还管理加利福尼亚(Califonia),俄勒冈州(Oregon)和华盛顿(Washington)所有支行的运作。丹佛地区分行管理科罗拉多州(Colorado),新墨西哥州(New Mexico),犹他州(Utah)和亚利桑那州(Arizona)所有支行的运作。洛杉机和丹佛各自维护一个客户支持呼叫中心。人力资源(HR)部门位于洛杉机,信息技术(IT)部门位于洛杉机和丹佛两个地区,每个地区有一个数据中心,为各自地区提供IT 服务,IT 部门负责所有网络的管理任务,支行则没有IT 人员。目录服务在一个单一的森林中有4 个Active Directory 域,Active

14、Directory 结构如下图所示:所有客户支持人员都在 域上拥有用户账户,他们通过这些账户负责对内部和外部的客户提供支持,HR 部门的所有人员都是LAHRUsers 组的成员,每个支行都对应有一个组织单元(OU),每一个地区域中也都包含了各自地理区域中的支行所对应的组织单元(OU)。网络结构所有服务器运行Windows Server 2003,所有客户机运行Windows XP 专业版。洛杉机和丹佛安装了无线访问点,无线访问点支持IEEE 802.11q 规格和有线对等私有性(WEP)加密。无线访问点支持证书和Radius 身份验证。目前,无线访问点上没有配置加密或身份验证方法。在安全补丁和

15、更新包部署到其他网络之前,必须要通过洛杉机数据中心的一个测试网络的检测。洛杉机和丹佛之间用专用广域网连接,支行和它所属的地区银行之间是用一个帧中继线连接。洛杉机和丹佛都有一个专用连线连接Internet,支行不和Internet 连接。公共可访问的Web 和应用服务器位于一个网络设备防护网上,如下图所示:Web 服务器上部署了一个应用系统,此应用系统和丹佛数据中心一台Windows Server 2003计算机上部署的一个客户应用连接。这个Web 服务器还部署了一个Web 站点,这个站点包括了客户和公有的公共可访问信息。这个网络设备防护网还作为企业外部网供合作公司访问。一台名为WebKiosk

16、 的Windows Server 2003 计算机安装在洛杉机数据中心。WebKiosk 运行IIS6.0 并部署了一个Web 站点,每个支行的信息服务台可以访问这个站点。WebKiosk 是Kiosk OU 的成员,信息服务台使用一个名为KioskUser 的用户帐户和Web 站点连接。首席信息总监我关心无线网络对我们网络的安全造成的危害,我想确保只有授权用户和授权计算机能够连接无线网络。我还关心我们的公钥基础设施可能受到的安全危及,如果受到这样的一次危及客户对我们公司的信任将被破坏,并且恢复就时间和金钱来说相当昂贵。IT 主管在我们以前的环境下补丁管理昂贵又费时,经常要求IT 人员到所有支

17、行所在地执行。我想用一个方法使更新程序能够自动部署到网络中所有计算机上。我还关心支行里的信息服务台危及网络安全并允许未授权访问公司资源。还有一个问题,就是支行出纳员在他们的计算机上运行未授权应用程序。HR 主管我担心未被授权的用户能访问个人信息,这些个人信息只有HR 用户需要访问,并非IT 员工能访问。组织目的必须考虑以下组织需求:每位客服人员必须在呼叫中心工作6 个小时,其中有4 个小时随时待命提供服务,这些用户拥有手提电脑并能够高速访问Internet。这些用户希望使用用户终端服务从呼叫中心的Windows Server 2003 计算机上运行支持应用系统。Woodgrove 银行与外部审

18、核公司合作向用户提供查帐服务。审核公司的用户能访问丹佛地区分行的外部网,这些用户需要访问丹佛内部网上一台名为Server1 服务器上的文件资源。即使IT 人员不在自己的位置上,他们也必须能够执行管理任务。所有的IT 人员都有新的配有无线网卡的手提电脑。支行出纳员在他们的计算机上只能够运行名为Bank Teller 2.0 的第三方应用软件。不管最终用户采取什么行动,其他应用软件不能在这些计算机上运行。但是,地区银行的用户能够运行他们所需的应用系统。安全性必须考虑以下安全需求:所有个人数据都存储在HRSrv1 服务器上,只有HR 部门的用户可以访问这些数据。然而,IT人员按计划必须能够备份和存储

19、这些数据。IT 人员能够从家里连接网络,所有IT 人员和网络外部连接必须使用强大有效的加密和身份验证方法。审核公司的用户只能够和名为TS-Server1 的Windows Server 2003 计算机连接。TS-Server1运行终端服务并且位于外部网上。所有内部网资源的访问必须通过TS-Server1。客户能够通过公司Web 站点访问个人账户信息,所有客户都配备了一个智能卡和智能卡读取器。客户使用智能卡作为借记卡来访问个人账户信息。智能卡还包括了Woodgrove 银行CA发行的一个用户证书。客户需求必须考虑以下客户需求:合作公司的用户需要访问丹佛内部网上一台Microsoft SQL S

20、erver 2000 计算机上存储的信息。内部网用户也能够使用Microsoft Access 2000 访问SQL Server 中的信息。银行客户能够安全访问他们个人账户信息客户和潜在客户能够使用运行Windows XP 专业版的信息服务台来访问银行公有信息。每个支行将会有至少一台的信息服务台。Active Directory必须考虑下列对Active Directory 的要求企业外部网应用服务器上使用的应用软件需要对Active Directory 架构进行修改,这些修改不能应用到其他的网络中。目前所有支行的网络管理都是由洛杉机和丹佛两地的管理员来执行的。IT 部门想要把特定城市的所有

21、支行管理工作分配给独立的一个管理员。这位管理员将会负责支行所有用户、组和资源的管理。IT 技术支持部门的员工要求在 域和 域执行有限的管理任务,这些任务包括重置用户口令和创建支行新用户账户,但不能执行其他管理任务。网络基础架构必须考虑以下网络架构需求:所有帧中继广域网连接需要加密和身份验证。证书服务必须安装在每个域的至少一台服务器上,CA 的配置必须根据每个域的需求。一台软件更新服务(SUS)服务器必须安装在每个地区银行的域上。微软基线安全分析器(MBSA)必须部署到每个域的所有计算机上。问题7. 当客户支持员工在家里工作时,你需要为他们设计一个远程访问策略。你的解决方案必须满足安全需求,你该

22、怎么做?A 在每个呼叫中心部署一台L2TP/IP VPN 服务器,配置手提电脑作为L2TP VPN 客户机B 在客户支持用户家中和公司的面向Internet 路由器之间创建IPSec 隧道模式连接C 在公司面向Internet 路由器上创建IP 包筛选,允许使用远程桌面协议(RDP);在终端服务器上创建IPSec 筛选,使其只允许使用RDP 连接D 在公司面向Internet 路由器上创建IP 包筛选,使其允许IPSec 协议;给终端服务器分配安全服务器(要求安全性)IPSec 策略,给手提电脑分配客户机(只响应)IPSec 策略8.你需要对位于企业外部网上的合作用户以及内部用户使用的资源设计

23、一个访问控制策略,你的解决方案必须满足业务和安全需求,你该怎么做?A 在现有的森林中创建一个新的名为 子域,在这个新子域上创建合作公司的用户账户,创建该子域信任森林中每个域的捷径信任关系B 创建一个名为 新域,在新域中创建合作公司用户账户;创建企业外部网森林信任公司森林的单向森林信任关系C 创建一个名为 的新域,在新域中创建合作公司用户账户;创建企业外部网域信任 域的外部信任关系D 为Extranet 网创建一个 域的子域,在新的子域上创建合作公司的用户账户;创建一个森林根域信任企业外部网域的外部信任关系9. 你需要设计一个远程访问认证策略,这个策略将允许IT 部门的用户远程连接网络,你的解决

24、方案需要满足安全需求,你该怎么做?A 在 域的一台服务器上安装Internet 认证服务(IAS);配置VPN 服务器作为Radius 客户机B 在丹佛外部网上的一台独立式计算机上安装Internet 认证服务(IAS);在IAS 服务器上创建IT 人员的本地用户账户;配置VPN 服务器作为Radius 客户机C 在每台VPN 服务器上创建一个远程访问策略; 配置这个策略使用 来验证远程访问用户;配置这个策略要求L2TP 来建立一个连接D 在每台VPN 服务器上创建一个远程访问策略;在VPN 服务器上创建IT 人员的本地用户账户;配置这个策略使用VPN 服务器的本地账户数据库来验证用户;配置这

25、个策略要求L2TP 来建立一个连接10. 你需要为客户信息设计一个访问控制方案,你的方案需要满足安全需求,你该怎么做?A 配置Web 站点要求SSL 连接;配置Web 站点要求客户端证书;启用并配置客户端证书和Web 站点的映射B 配置Web 站点要求SSL 连接;禁用匿名访问Web 站点;分配客户用户账户对包含Web站点文件的文件夹的“允许读取”权限C 配置Web 站点只使用Microsoft .NET Passport 身份验证; 指定 为.NET Passport 身份验证的默认域;在Web 服务器上配置一个自定义本地IPSec 策略来进行IPSec 通信D 配置Web 站点只使用Win

26、dows 集成身份验证;在Web 服务器上配置一个自定义本地IPSec 策略来进行IPSce 通信;配置这个IPSec 策略使用基于证书的身份验证和加密11. 你需要设计一个安全策略,这个策略将确保未授权用户不能访问员工数据。你的解决方案必须遵守安全需求和公司新的管理模式,你该怎么做?A 在 域的默认域策略组策略对象中,把LAHRUsers 组添加到Restricted Groups 列表中;只把HR 部门的用户账户添加到Allowed Members列表中B 在 域的默认域策略组策略对象中,把LAHRUsers 组添加到Restricted Groups 列表中;只把HR 部门的用户账户添加

27、到Allowed Members列表中C 在corp. 域的默认域策略组策略对象中,把LAHRUsers 组和CORPBackup Operators 组添加到Restricted Groups 列表中;只把HR 部门的用户账户和管理员账户添加到每个组的Allowed Members 列表中D 在 域的默认域策略组策略对象中,把LAHRUsers 组和CORPBackup Operators 组添加到Restricted Groups 列表中;只把HR 部门的用户账户添加到LAHRUsers 组的Allowed Members 列表中,把管理员账户添加到CORPBackup Operators

28、 组的Allowed Members 列表中12. 你需要设计一个公钥基础设施(PKI)方案来解决业务和安全需求,你该怎么做?A 在 域中实现一个企业根CA,在每个子域上实现次级CA,使根CA 脱机B 在 域中实现一个企业根CAC 在每个子域上实现一个企业根CA,使每个子域上的企业CA 脱机D 在 域中实现一个企业根CA,在每个子域上实现一个独立根CA13. 你需要为无线网络访问设计一个身份认证方案,你的方案必须满足业务和技术要求,你该执行哪两个操作?(选择两个正确的答案)A 在 域中部署一个脱机企业级根CA,在每个子域上部署次级企业根CA ; 在 域中的一台成员服务器和 域的一台成员服务器上

29、安装Internet 身份认证服务(IAS)B 在每个域上部署一个企业根CA,在 域的一台成员服务器上安装Internet 身份验证服务(IAS);在每个子域的一台成员服务器上安装路由和远程访问服务,并配置这些服务器作为Radius 客户机C 给每个域的所有管理员注册并部署用户证书,给所有配备无线网卡的手提电脑注册并配置计算机证书;配置每台手提电脑使用受保护的EAP 身份验证D 给所有配备无线网卡的手提电脑注册并配置计算机证书;配置每台手提电脑使用EAP-MS-CHAP v2 身份验证;配置每台手提电脑连接Internet 身份验证服务(IAS)主观题(40)你所在的公司有三栋楼,成直角三角形分布,AB、BC是直角边,楼间距离分别为A楼到B楼是50米,B楼到C楼是200米。公司需要架设网络,并且公司需要做EIP;公司和很多信息对合作伙伴公开。现在假设楼里面的机器都是200台,部门之间信息需要隔离,公司老总和信息部门可以访问各部门计算机。请针对公司的需求做出规划并进行详细设计(设计内容包括管理、服务器、安全、信息系统等几个方面)。

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号