試題三（共25分）

    閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。

    某高校網絡拓撲結構如圖3-1所示。

【問題1】 (7分)

    目前網絡中存在多種安全攻擊，需要在不同的位置部署不同的安全措施進行防范。常見的安全防范措施有：

    1．防非法DHCP欺騙

    2．用戶訪問權限控制技術

    3．開啟環(huán)路檢測(STP)

    4．防止ARP網關欺騙

    5．廣播風暴的控制

    6．并發(fā)連接數控制

    7．病毒防治

其中：在安全設備1上部署的措施有：____ (1)____;

    在安全設備2上部署的措施有：____(2)____;

    在安全設備3上部署的措施有：____(3)____;

在安全設備4上部署的措施有：____(4)____;

【問題2】(8分)

    學校服務器群目前共有200臺服務器為全校提供服務，為了保證各服務器能提供正常的服務，需對圖3-1所示防火墻1進行安全配置，設計師制定了2套安全方案，請根據實際情況選擇合理的方案并說明理由。

    方案一：根據各業(yè)務系統(tǒng)的重要程度，劃分多個不同優(yōu)先級的安全域，每個安全域采用一個獨立子網，安全域等級高的主機默認允許訪問安全域等級低的主機，安全域等級低的主機不能直接訪問安全域等級高的主機，然后根據需要添加相應安全策略。

    方案二：根據各業(yè)務系統(tǒng)提供的服務類型，劃分為數據庫、Web、認證等多個不同虛擬防火墻，同一虛擬防火墻中相同VLAN下的主機可以互訪，不同VLAN下的主機均不允許互訪，不同虛擬防火墻之間主機均不能互訪。

【問題3】（6分）

    為了防止資源的不合理使用，通常在核心層架設流控設備進行流量管理和終端控制，請列舉出3種以上流控的具體實現方案。

【問題4]（4分）

非法DHCP欺騙是網絡中常見的攻擊行為，說明其實現原理并說明如何防范。