【说明】某高校网络拓扑结构下图所示: 【问题1】(7分) 目前网络中存在多种安全攻击,需要在不同位置部署不同的安全措施进行防范。常见的安全防范措施有: 1.防非法DHCP欺骗 2.用户访问权限控制技术 3.开启环路检测(STP) 4.防止ARP网关欺骗 5.广播风暴的控制 6.并发连接数控制 7.病毒防治 其中:在安全设备1上部署的措施有:(1);在安全设备2上部署的措施有:(2);在安全设备3上部署的措施有:(3); 在安全设备4上部署的措施有:(4)。 【问题2】(8分) 学校服务器群目前共有200台服务器为全校提供服务,为了保证各服务器能提供正常的服务,需对图3-1所示的防火墙1进行安全配置,设计师制定了2套安全方案,请根据实际情况选择合理的方案并说明理由。 方案一:根据各业务系统的重要程度,划分为多个不同优先级的安全域,每个安全域采用一个独立子网,安全域等级高的主机默认允许访问安全域等级低的主机,安全域等级低的主机不能直接访问安全域等级高的主机,然后根据需要添加相应安全策略。 方案二:根据各业务系统提供的服务类型,划分为数据库、Web.认证等多个不同虚拟防火墙,同一虚拟防火墙中相同VLAN下的主机可互访,不同VLAN下的主机均不允许互访,不同虚拟防火墙之间主机均不能互访。 【问题3】(6分) 为了防止资源的不合理使用,通常在核心层架设流控设备进行流量管理和终端控制,请列举出3种以上流控的具体实现方案。 【问题4】(4分) 非法DHCP欺骗是网络中常见的攻击行为,说明其实现原理并说明如何防范。
问题一: 在安全设备 1 上部署的措施有: 4.防止 ARP 网关欺骗 6.并发连接数控制 在安全设备 2 上部署的措施有: 3.开启环路检测(STP)5.广播风暴的控制 在安全设备 3 上部署的措施有:1.防非法 DHCP 欺骗 5.广播风暴的控制 在安全设备 4 上部署的措施有:2.用户访问权限控制技术 7.病毒防治 问题二: 学校服务器群选择虚拟防火墙方式更加合理。 在一台物理设备上可以虚拟出多个独立的防火墙,每个虚拟的防火墙设备都可以看做是独立的防火墙。因此可以增加系统部署灵活性,降低部署的复杂度,减少维护的工作量。降低用户投资。 问题三: 1.降低非关键业务的流量带宽,进行合理的带宽控制。对关键业务进行带宽保证。 2.对实时性要求较高的业务,进行报文段智能检测,根据流量变化情况,进行合理的丢包补 偿,降低丢包对实时业务的质量影响。 问题四: 参考答案:根据 dhcp 的原理,对于客户端收到的多个响应,只会选择最早到达的响应进行 处理。而通常的企业网络应用中,dhcp 会采用中继的形式进行,因此非法 dhcp 会比授权的 中继 dhcp 服务器更早响应客户端,造成非法 dhcp 的工作更加破坏力强。 因此可以采用阻断非授权 dhcp 应答的形式进行防治。如 dhcp snooping