阅读以下说明，回答问题1至问题5；将解答填入答题纸对应的解答栏内。（25分）

【说明】

某学校拥有内部数据库服务器1台，邮件服务器1台，DHCP服务器1台，FTP服务器1台，流 媒体服务器1台，Web服务器1台，要求为所有的学生宿舍提供有线网络接入服务，对外提供 Web服务，邮件服务，流媒体服务，内部主机和其他服务器对外不可见。

【问题1】（5分）

请划分防火墙的安全区域，说明每个区域的安全级别，指出各台服务器所处的安全区域。

【问题2】（5分）

请按照你的思路为该校进行服务器和防火墙部署设计，对该校网络进行规划，画出网络拓扑结构图。
【问题3】（5分）
学校在原有校园网络基础上进行了扩建，采用DHCP。服务器动态分配IP地址，运行一段时间后，网络时常出现连接不稳定、用户所使用的IP地址被“莫名其妙”修改、无法访问校园网的现象。经检测发现网络中出现多个未授权DHCP地址。请分析上述现象及遭受攻击的原理，该如何防范？

【问题4】（6分）

学生宿舍区经常使用的服务有Web、即时通信、邮件、FTP等，同时也因视频流寻致大量的P2P流量，为了保障该区域中各项服务均能正常使用，应采用何种设备合理分配 每种应用的带宽？该设备部署在学校网络中的什么位置？ 一般采用何种方式接入网络？

【问题5】（4分）

当前防火墙中，大多都集成了IPS服务，提供防火墙与IPS的联动。区别于IDS，IPS主要增加了什么功能？通常采用何 种方式接入网络？

参考答案

【问题1】（5分）

整个网络分为3个不同级别的安全区域：

    1.内部网络:安全级别最高，是可信的、重点保护的区域。包括所有内部主机，数据库服务器、DHCP服务器和FTP服务器。

    2.外部网络:安全级别最低，是不可信的、要防备的区域。包括外部因特网用户主机和设备。

    3. DMZ区域(非军事化区):安全级别中等，因为需要对外开放某些特定的服务和应用，受一定的保护，是安全级别较低的区域。包括对外提供WWW访问的Web服务器、邮件服务器和流媒体服务器。

【问题2】（5分）

【问题3】（5分）

攻击原理:

（1）当DHCP客户端第一次连接网络、重新连接或者地址租期已满时，会以广播的方式向DHCP服务器发送DHCP Discover消息，以获取/重新获取IP地址；

（2）若网络中存在多台DHCP服务器，均能收到该消息并应答；

（3）非授权DHCP服务器会先于授权DHCP服务器发出应答；

（4）客户端使用非授权服务器发出的应答包，并用作自己的IP地址；

（5）客户端地址被修改，无法访问校园网。

    防范措施:

（1）启用接入层交换机的DHCP Snooping功能;

（2）DHCP Snooping功能将交换机接口分为信任接口和非信任接口;

（3）连接客户端的接口为非信任接口，上连到汇聚交换机的接口为信任接口;

  （4）非信任接口上接收到DHCP Offer, DHCP ACK, DHCPNACK报文时，交换机会将其丢弃;

（5）DHCP Snooping功能可阻止连接在非信任接口上的非授权DHCP服务器为客户端提供IP地址配置信息。

【问题4】（6分）

应采用流量控制设备，部署在核心交换机与学生宿舍区汇聚交换机之间，采用串接方式接入网络。

【问题5】（4分）

区别于IDS、IPS提供主动防护，增加了深入检测和分析功能，提供高效处理(拦截或阻断)能力。采用串接方式接入网络

\n