試題三（共25分）

    閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題4，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。

    某高校網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-1所示。

【問(wèn)題1】 (7分)

    目前網(wǎng)絡(luò)中存在多種安全攻擊，需要在不同的位置部署不同的安全措施進(jìn)行防范。常見(jiàn)的安全防范措施有：

    1．防非法DHCP欺騙

    2．用戶(hù)訪(fǎng)問(wèn)權(quán)限控制技術(shù)

    3．開(kāi)啟環(huán)路檢測(cè)(STP)

    4．防止ARP網(wǎng)關(guān)欺騙

    5．廣播風(fēng)暴的控制

    6．并發(fā)連接數(shù)控制

    7．病毒防治

其中：在安全設(shè)備1上部署的措施有：____ (1)____;

    在安全設(shè)備2上部署的措施有：____(2)____;

    在安全設(shè)備3上部署的措施有：____(3)____;

在安全設(shè)備4上部署的措施有：____(4)____;

【問(wèn)題2】(8分)

    學(xué)校服務(wù)器群目前共有200臺(tái)服務(wù)器為全校提供服務(wù)，為了保證各服務(wù)器能提供正常的服務(wù)，需對(duì)圖3-1所示防火墻1進(jìn)行安全配置，設(shè)計(jì)師制定了2套安全方案，請(qǐng)根據(jù)實(shí)際情況選擇合理的方案并說(shuō)明理由。

    方案一：根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度，劃分多個(gè)不同優(yōu)先級(jí)的安全域，每個(gè)安全域采用一個(gè)獨(dú)立子網(wǎng)，安全域等級(jí)高的主機(jī)默認(rèn)允許訪(fǎng)問(wèn)安全域等級(jí)低的主機(jī)，安全域等級(jí)低的主機(jī)不能直接訪(fǎng)問(wèn)安全域等級(jí)高的主機(jī)，然后根據(jù)需要添加相應(yīng)安全策略。

    方案二：根據(jù)各業(yè)務(wù)系統(tǒng)提供的服務(wù)類(lèi)型，劃分為數(shù)據(jù)庫(kù)、Web、認(rèn)證等多個(gè)不同虛擬防火墻，同一虛擬防火墻中相同VLAN下的主機(jī)可以互訪(fǎng)，不同VLAN下的主機(jī)均不允許互訪(fǎng)，不同虛擬防火墻之間主機(jī)均不能互訪(fǎng)。

【問(wèn)題3】（6分）

    為了防止資源的不合理使用，通常在核心層架設(shè)流控設(shè)備進(jìn)行流量管理和終端控制，請(qǐng)列舉出3種以上流控的具體實(shí)現(xiàn)方案。

【問(wèn)題4]（4分）

非法DHCP欺騙是網(wǎng)絡(luò)中常見(jiàn)的攻擊行為，說(shuō)明其實(shí)現(xiàn)原理并說(shuō)明如何防范。