试题三（共25分）

    阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

    某高校网络拓扑结构如图3-1所示。

【问题1】 (7分)

    目前网络中存在多种安全攻击，需要在不同的位置部署不同的安全措施进行防范。常见的安全防范措施有：

    1．防非法DHCP欺骗

    2．用户访问权限控制技术

    3．开启环路检测(STP)

    4．防止ARP网关欺骗

    5．广播风暴的控制

    6．并发连接数控制

    7．病毒防治

其中：在安全设备1上部署的措施有：____ (1)____;

    在安全设备2上部署的措施有：____(2)____;

    在安全设备3上部署的措施有：____(3)____;

在安全设备4上部署的措施有：____(4)____;

【问题2】(8分)

    学校服务器群目前共有200台服务器为全校提供服务，为了保证各服务器能提供正常的服务，需对图3-1所示防火墙1进行安全配置，设计师制定了2套安全方案，请根据实际情况选择合理的方案并说明理由。

    方案一：根据各业务系统的重要程度，划分多个不同优先级的安全域，每个安全域采用一个独立子网，安全域等级高的主机默认允许访问安全域等级低的主机，安全域等级低的主机不能直接访问安全域等级高的主机，然后根据需要添加相应安全策略。

    方案二：根据各业务系统提供的服务类型，划分为数据库、Web、认证等多个不同虚拟防火墙，同一虚拟防火墙中相同VLAN下的主机可以互访，不同VLAN下的主机均不允许互访，不同虚拟防火墙之间主机均不能互访。

【问题3】（6分）

    为了防止资源的不合理使用，通常在核心层架设流控设备进行流量管理和终端控制，请列举出3种以上流控的具体实现方案。

【问题4]（4分）

非法DHCP欺骗是网络中常见的攻击行为，说明其实现原理并说明如何防范。