試題三（共25分）

    閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應(yīng)的解答欄內(nèi)。

    某高校網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖3-1所示。

【問題1】 (7分)

    目前網(wǎng)絡(luò)中存在多種安全攻擊，需要在不同的位置部署不同的安全措施進行防范。常見的安全防范措施有：

    1．防非法DHCP欺騙

    2．用戶訪問權(quán)限控制技術(shù)

    3．開啟環(huán)路檢測(STP)

    4．防止ARP網(wǎng)關(guān)欺騙

    5．廣播風暴的控制

    6．并發(fā)連接數(shù)控制

    7．病毒防治

其中：在安全設(shè)備1上部署的措施有：____ (1)____;

    在安全設(shè)備2上部署的措施有：____(2)____;

    在安全設(shè)備3上部署的措施有：____(3)____;

在安全設(shè)備4上部署的措施有：____(4)____;

【問題2】(8分)

    學校服務(wù)器群目前共有200臺服務(wù)器為全校提供服務(wù)，為了保證各服務(wù)器能提供正常的服務(wù)，需對圖3-1所示防火墻1進行安全配置，設(shè)計師制定了2套安全方案，請根據(jù)實際情況選擇合理的方案并說明理由。

    方案一：根據(jù)各業(yè)務(wù)系統(tǒng)的重要程度，劃分多個不同優(yōu)先級的安全域，每個安全域采用一個獨立子網(wǎng)，安全域等級高的主機默認允許訪問安全域等級低的主機，安全域等級低的主機不能直接訪問安全域等級高的主機，然后根據(jù)需要添加相應(yīng)安全策略。

    方案二：根據(jù)各業(yè)務(wù)系統(tǒng)提供的服務(wù)類型，劃分為數(shù)據(jù)庫、Web、認證等多個不同虛擬防火墻，同一虛擬防火墻中相同VLAN下的主機可以互訪，不同VLAN下的主機均不允許互訪，不同虛擬防火墻之間主機均不能互訪。

【問題3】（6分）

    為了防止資源的不合理使用，通常在核心層架設(shè)流控設(shè)備進行流量管理和終端控制，請列舉出3種以上流控的具體實現(xiàn)方案。

【問題4]（4分）

非法DHCP欺騙是網(wǎng)絡(luò)中常見的攻擊行為，說明其實現(xiàn)原理并說明如何防范。