如果需要的话word文档也可以在我的个人资料中下载。每个考点都是非常重要的考点,每年都要考. 1、RAID技术(2018年,2019年,2019年,2020年,2021年) (1)主要考察:RAID2.0技术,RAID6.0,RAID组合方式 (2)总结 <1>RAID 独立磁盘冗余阵列是将同一阵列的多个磁盘视为单个虚拟磁盘,数据以分段的形式存储在磁盘阵列中。 <2>三大特点: 1.通过条带化硬盘上的数据,实现数据块存储,减少磁盘的机械通道时间,提高数据访问速度。 2.同时读取一阵列中的几个硬盘,减少硬盘的机械通道时间,提高数据访问速度。 3.通过镜像或存储奇偶校准信息来实现数据的冗余保护。 独立冗余磁盘阵列技术用多个较小的磁盘替换单个大容量磁盘,并通过合理存储数据来改进系统I/O性能。 RAID中共分为以下几个层次: (1)RAID0级(无冗余、无校验的数据块):最高I/O磁盘空间利用率最高,但系统故障率高,属于非冗余系统。 (2)RAID1级(磁盘镜像阵列):由磁盘对组成,每一个工作盘都有其对应的镜像盘,上面 数据复制与工作盘完全相同,安全性最高,但磁盘空间利用率仅为50%。 (3)RAID二级(采用纠错海明码磁盘阵列):采用海明码纠错技术,用户需要增加验证盘,提高可靠性。传输大量数据时,I/O性能高,但不利于小批量数据传输。 (4)RAID3级和RAID4级(使用奇偶校验码的磁盘阵列):将奇偶校验码存储在一个独立的验证盘上。如果一个磁盘失效,其数据可以通过不同或计算其他磁盘上的数据来获得。阅读数据非常快,但在写入数据时计算验证位置较慢。 (5)RAID5级(奇偶校验码磁盘阵列无独立校验盘):组内所有磁盘均无独立校验盘,校验信息分布,读写性能好。 1、RAID0技术 应用data striping(数据分段)技术将所有硬盘组成磁盘阵列,可以同时读写多个硬盘,但没有备份和容错能力。价格便宜,应用效率最好。 写作速度快,但可靠性最差。 磁盘利用率100% 2、RAID1技术 RAID使用Disk Mirror(硬盘镜像)技术是将一个硬盘的内容同步备份复制到另一个硬盘中,因此具有备份和容错能力,使用效率低,但可靠性高。 利用率为50%。 3、RAID3技术 采用有特定就奇偶校验盘的数据分段技术,将用于奇偶校验的数据存到特定磁盘中,具有数据容错能力,可靠性较好。 当单个磁盘失效时,会产生奇偶盘I/O瓶颈效应。 磁盘利用率(n-1)/n。 4、RAID5技术 采用分布式奇偶校验数据分段技术,将奇偶校验数据存储在每个硬盘中,具有数据容错能力,可靠性好。 验证值分散在每个盘的不同位置,负载相当分散,性能好。 硬盘利用率(n-1)/n。 5、RAID6技术 一些大型企业提出私有RAID等级标准,全称为有两个独立分布验证方案的独立数据磁盘。 在功能方面,实现两个磁盘脱线容错称为RAID6. 磁盘利用率:(n-2)/n 6、RAID10技术 RAID10结合RAID0和RAID一、先镜像,再条带化。 7、RAID2.0优势 快速重构,自动负载平衡,系统性能提高,自愈合。 自动负载平衡,降低存储系统的整体故障率。 2.快速精简重构,降低双盘失效率和数据丢失的风险。 故障自检自愈,保证系统的可靠性。 4.虚拟池设计降低了存储规划管理的难度。 例2018年上半年RAID故障恢复机制是数据可靠性的保证,请简要说明RAID2.0较传统RAID重构有哪些改进? 显著减少重构时间,避免数据重构对硬盘的高强度读写,减少硬盘故障。
2.网络安全(每年至少一个,多两个问题) (1)主要考察:防火墙,IPsec协议、网络威胁、防护措施、数据加密、病毒、网络攻击、IDS) (2)总结知识点 1.网络安全五个基本要素:机密性、完整性、可用性、可控性和审查性。 网络攻击:主动攻击,被动攻击。 被动攻击:不影响源站与目的站之间的通信。主要方法是:数据加密。 主动攻击:会影响源站与目的站之间的通信。攻击:中断、篡改、伪造。 攻击形式:假冒、重放、欺骗、篡改新闻、拒绝服务。主要手段:防火墙,入侵检测系统。 DOS攻击:攻击服务器,发送大量报纸,反应,导致服务器崩溃。 DDOS:分布式拒绝服务。 3.计算机病毒 trojan (木马) 病毒通常携带附属程序来获得计算机控制权。(伪装欺骗你下载) Hack(黑客) 利用系统漏洞入侵的工具通常由计算机病毒携带,用于破坏。 Worm(蠕虫病毒) 传染性特别强,是目前危害最大的病毒,利用电子邮件附件或操作系统漏洞进行攻击。破坏文件,导致数据丢失,使系统无法正常运行。 macro(宏病毒) 针对office一种病毒,由office宏语言编写。只感染感染office文档,包括以word文档为主。 Script(脚本病毒) VB脚本病毒:通过IE浏览器激活,用户在浏览网页时会感染,更容易消除。 Win32、PE、Win95、W32、W95(系统病毒) 引导,启动DOS病毒在系统中被触发,随之而来DOS消失逐渐消失,危害越来越小。 4、病毒防治 预防计算机病毒的方法: 及时更新病毒库,安装杀毒软件和防火墙。 关闭多余端口,使计算机在合理使用范围内。 5、加密技术 明文、密文、加密、解密、加密算法、密钥。 对称加密(加密钥和解密钥一样),DES(56位加密钥)DES(112位),IDEA,AES。 优点:加密速度快,适用于大量数据加密。缺点:密钥难以保存。 6.非对称加密(公钥加密) A----》B:B公钥加密,B私钥解密。 公钥:公开的,私钥:私有的。 优点:安全性高。缺点:加密速度慢。 RSA,EiGamal,ECC,背包加密,Rabin。 7.数字签名(基于非对称加密系统) 不可否认的是,报文的完整性。 数字签名与加密结合 A ----》A的私钥----》 B因特网-b的私钥----》A的公钥 哈希算法和报纸识别(提高签名速度,不加密) 常用的报文摘要算法如下: MD5算法:产生128位固定输出。 SHA(安全散列算法):输出160元。 摘要:固定长度、唯一性、不可逆性。 对称密钥的分配Kerberos:认证服务。 AS认证服务器:向用户发放TGT的服务器。 TGS票据授权服务器:负责发放访问应用服务器所需的票据,认证服务器和票据授权服务器组成密钥分发中心。 通常用于操作系统中的认证。 时间戳:防止重放攻击。 9、数字证书 又称数字标志,由证书签署机关签字(CA)用户公钥签发认证。 10、安全协议 (1)SSL 保证因特网上的数据安全。避孕套层。实现两个应用实体之间的安全可靠通信。 基于Web应用协议,https协议 443。http 80端口。 三大功能:SSL服务器识别,加密SSL会话,SSL客户鉴别。 对称加密 (2)安全电子交易 SET加密支付相关报纸。 SET协议涉及客户、商家、银行三方。 SET要求三方都有证书。 (3)PGP(电子邮件加密软件包,对称加密) A三个密钥:自己的私钥(签名),B公钥(同步一次性密钥)和自己生成的一次性密钥(保证一次性传输)。 B自己的私钥(同步一次性密钥),A公钥(核实身份)。 功能:邮件加密、发送人身份认证、邮件完整性认证。(无邮件压缩) (4)链路加密 在使用链路加密的网络中,每个通信链路上的加密是独立实现的,通常使用不同的加密钥。 相邻结点之间有相同的密钥,内部密钥管理很容易实现,链路加密对用户来说是透明的,因为通信子网络提供了加密功能。 (5)端到端加密(高层协议加密) 端到端加密是在源结点和目的节点中传输的PDU加密和解密不会影响中间结点的不可靠性。 防火墙技术 访问控制,安全屏障。 Trust区域:信任度最高(内部网络) Untrust区域:外网(外网) DMZ区域:非军事化区域 如果没有划分,local区域 (1)路由模式 提供NAT功能 (2)透明传输 防火墙是路由器 分类: 1、包过滤防火墙:工作OSI根据数据包头源地址、目的地址、端口号、协议类型等标志,确定参考模型的网络层是否允许数据包通过。 优点:速度快。 缺点:安全性低,不检查数据内容,高端口开放,增加风险。 2.代理防火墙 主要工作在OSI在确认客户端连接请求有效后,代理服务将接管连接到服务器。 代理防火墙可允许或拒绝特定的应用程序或服务,也可实现数据流监控、过滤、记录和报告功能。 代理防火墙具有高速缓存功能,最大缺点:速度慢。 3.状态检测防火墙 该防火墙不仅可以根据数据包的源地址、目标地址、协议类型、源端口、目标端口等来控制数据包,还可以通过防火墙的连接状态直接记录包中的数据。 入侵检测技术IDS以及入侵防御技术IPS 入侵检测技术IDS: 1、信息收集,包括网络流量的内容,用户连接活动的状态和内容。 2、信号分析、模式匹配、统计分析、完整性分析三种技术手段。 3.实时记录、报警或有限反击:对入侵做出适当反应,包括详细日志记录、实时报警和有限反击源。 IDS挂接核心交换机,旁路监听。 入侵防御技术IPS: 1、串联的形式连接在所要保护的网络上。主动保护。 入侵检测技:入侵检测系统的种类(数据源),基于主机(HIDS),基于网络(NIDS),DIDS(分布式检测系统) 入侵检测系统的种类(检测方法):异常检测,误用检测(已知攻击库,模式匹配)。 2018年上半年: 1、 缺省路由:路由表中一种特殊的静态路由,缺省路由表中的目的地址/掩码 0.0.0.0/0.0.0.0 2、常见的无线网络安全隐患:IP地址欺骗,数据泄露,非授权用户接入,非法入侵,网络通信被窃听。 3、防火墙:实现核心业务区域边界防护。 4、用户行为管理器:实现无线用户的上网管控。 5、IDS:分析检测网络中的入侵行为,加强用户安全认证,配置基于IEEE802.1X的RASIUS认证。 6、域名查询:正向查询和反向查询。正向查询:把域名转换为IP。 7、ipconfig-displaydns显示当前DNS缓存 8、ipconfig-flushdns 刷新DNS解析器缓存。 9、Web访问量住家增大,为改善用户体验,可采用增加网络带宽。 2018年下半年: 1、静态路由 2、常见的网络威胁:窃听,拒绝服务,木马,数据完整性破坏。 3、常见的网络安全防范措施包括:访问控制,审计,身份认证,数字签名,数据加密,包过滤和检测。 4、木马病毒:将检测出来的URL加入上网行为管理设备黑名单,源主机安装杀毒软件并查杀。 5、DHCP在分配IP地址时使用广播形式。在使用租期过去50%时,客户端会向服务器发送 DHCPREQUEST报文延续租期。 6、无线子网默认租约时间为:6或8小时 2019年上半年: 1、为了实现分支机构和总部之间的数据传输安全,配置IPSec协议,实现网络端对端的数据加密传输以及身份认证。 2、从OSI七层网络结构看网络安全: (1)在物理层采用防窃听技术来加强通信线路安全。 (2)数据链路层使用通信保密技术进行链路加密,使用L2TP,PPTP来实现二层隧道通信。 (3)网络层采用防火墙来处理信息内外边界的流动,利用IPSec建立透明的安全加密信道。 (4)在传输层使用SSL对底层安全服务进行抽象和屏蔽。 3、RAID10磁盘利用率50%,适合存储安全要求较高,小数量读写关系型数据库。 RAID5存储利用率高,(n-1)/n,适合大文件存储的非结构化文档。 4、针对DDoS攻击,可采用:部署流量清洗设备,购买流量清洗服务。 5、Windows 2008网关上面配置IPSec策略,包括:创建IPSec策略,创建筛选器列表,配置隧道 规则,进行策略指派。 2019年下半年: 1、面板式AP:实现无线访问。 2、POE交换机:实现无线AP的接入和供电。 3、高密度吸顶式AP:实现高密度人群的无线访问。 4、核心交换机上配置VLAN,实现无线网络和办公区网络,服务区网络逻辑隔离。 5、部署上网络行为管理设备:对所有用户的互联网访问进行审计和控制,组织并记录非法访问。 6、部署防火墙:实现服务区域的边界防护,防范来自无线区域和办公区域的安全威胁。 7、路由器上配置源地址策略路由,实现无线用户通过运营商访问互联网。 8、DNS上配置域名解析方式,选择递归查询方式,则表示如果本地DNS服务器不能进行域名解析,这服务器根据它的配置向域名树种的上级服务器进行查询,在最坏的情况下可能要查询到根服务器。如果选择迭代查询方式,则表示本地DNS服务器发出查询请求时得到响应可能不是目标IP地址。 2020年下半年: 1、组播报文对无线网络空口影响主要是:低速转发,消耗空口资源,容易拥堵。组播报文的抑制分别在直连AP的交换机接口和AC流量模板下。 2、ping 127.0.0.1不同,故障可能是:TCP/ip协议栈是否正常工作。在终端登录互联网即时聊天软件,但无法打开网页,故障是:域名无法解析,DNS配置错误。 3、宏病毒主要面向office文档,主要措施:不打开相关文档,杀毒软件,禁用宏。 4、存储区域网络SAN,可分为IP-SAN,FC-SAN,从部署成本和传输效率两个方面来看,FC部署成本较高,传速速率更高。 5、 IPSec功能可以划分为认证头AH,封装安全负荷ESP,以及密钥交换IKE。 用于数据完整性认证和数据认证的是认证头AH。 认证头:AH,authentication header,是IPSec体系结构中一种主要协议,它为IP数据报提供完整性检查与数据源认证,并防止重放,攻击,AH不支持数据加密。 AH常用摘要算法:MD5和SHA1实现摘要和认证,确保数据完整。 6、VLAN划分基于端口,子网,协议,MAC地址,策略等多种方法。 2021年上半年: 1、VRRP虚拟路由冗余协议,把几台路由器设备联合组成一台虚拟路由设备,通过一定机制保障,当主机下一跳设备出现故障,及时将业务转换为其他设备。 2、防火墙是划分安全域:外部网络(连接互联网)untrust,内部网络(trust),非军事化区(DMZ)。 3、心路线作用:自己就可以立即进入工作状态保证网络不至于中断。 4、交换机之间联系方式:级联和堆叠。 堆叠:共享交换机和背板带宽的必然是通过专用的堆叠端口和堆叠电缆实现堆叠。 级联:普通双绞线连接。 5、光功率计:对光缆检查,检测光衰,光缆故障。 6、光时域反射计:判断出光缆故障位置。 7、光纤断裂可以使用光纤熔接机熔接断裂光纤。 8、arp 显示地址解析协议缓存表内容。 9、ping ICMP回声请求测试。 10、Tracert 显示到达ISP运营商网关路径的机关信息 11、上网行为管理系统某接口以后均为*,更换IP地址后正常,故障可能是:上网行为管理系统进制该电脑IP访问互联网。 12、两块磁盘损坏而不丢失数据,应采用RAID6磁盘冗余方式。 13、异地备份应使用互联网传输数据,应采用两端搭建VPN隧道进行传输。(应用IPSec,确保安全通信)。 14、互联网带宽有限的情况下,使用增量备份可以提高异地备份速度。 15、网络故障排除工具 (1)诊断命令 show可以用来监测系统的安装情况和网络正常运行情况。 (2)debug:帮助分离协议和配置问题。 (3)ping:监测网络上不同设备的连通性。 (4)trace:确定数据包在从一个设备到另一个设备直至目的地所经历的路径。 (5)电缆测试器:监测电缆的物理连通性。屏蔽双绞线(STP),非屏蔽双绞线(UTP),100BaseT,同轴电缆以及双芯同轴电缆等。 (6)时域反射计TDR:能够快速定位金属电缆中的断路,短路,压接,扭结,阻抗不匹配以及其他问题。 (7)光纤的测试,使用光时域反射计(OTDR):精确地测量光纤的长度,定位光纤的断裂处,测试光纤信号衰减,测量接头或连接器造成的损耗。 (8)断接盒:用于测量PC,打印机,调制解调器,信道服务设备/数字服务设备(CSU/DSU)以及其他外围接口数字接口测试工具。 (9)网络监测器:能够持续不断的跟踪数据包在网络上的传输。 (10)网络分析仪:对不同的协议层通信进行解码。