某网络用户抱怨．Web及邮件等网络应用速度很慢，经查发现内网中存在大量P2P、 流媒体、网络游戏等应用。为了保障正常的网络需求， 该设备通常部署的网络位置足（ ）。

内网中存在大量P2P、流媒体、网络游戏等应用，这些应用有一个共同的特点，产生大量数据拥塞网络，占用正常的网络应用带宽。现有的流控技术分为两类，一种是传统的流控方式，通过路由器、交换机的QoS模块实现基于源地址、目的地址、源端口、目的端口以及协议类型的流量控制，属于四层流控;另一种是智能流控方式，通过专业的流控设备实现基于应用层的流控，属于七层流控。

流量控制设备布置在接入交换机与汇聚交换机之间或者部署在汇聚交换机与核心交换机之间都只能对局域网内一小部分用户的非关键应用产生抑制效果，流量控制的作用非常有限。在核心交换机之间部署流控设备，对网络出口流量的控制起不到有效控制，网络出口依然会产生拥塞。

【问题1】（5分）

划分三个不同安全级别的区域。

（1）内部网络 （2）外部网络 （3）DMZ区域（非军事化区）

内部网络区域的安全级别最高，可信的、重点保护的区域。包括内部的数据库服务器、内部的FTP服务器、DHCP服务器。

外部网络：安全级别最低，不可信的、需要防备的区域。

DMZ区域（非军事化区）：安全级别中等，通过该区域对外开放一些特定的服务与应用，受一定的保护。包括Web服务器、邮件服务器、流媒体服务器。

【问题2】（5分）

【问题3】（5分）
用户无法访问校园网是因为获取的IP不是授权的DHCP服务器分配给它的。解决该问题从DHCP服务器给用户分配IP的原理着手。DHCP服务器给用户分配IP时会发送DHCP Offer和DHCP ACK报文。如果让交换机端口只接收授权DHCP服务器发过来的DHCP报文，其它端口不接收这些报文，该问题就得以解决。

防范方法：在交换机上启用DHCP SNOOPING功能。

DHCP SNOOPING通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。

【问题4】（6分）

使用流量控制设备，为重要的业务提供更好的带宽资源。将该设备部署在与互联网接入位置，针对各类业务流量进行流量模型定义即可。可直接使用串行方式接入网络中。如考虑到流量模型较大，可能应流量控制设备处理能力问题，使其成为网络瓶颈，可考虑在互联网接入位置采用引流并行方式接入，来保障网络的健壮性。

【问题5】（4分）

入侵检测系统IDS通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统IPS主要用于对数据的深度分析及安全策略的实施，比如说对黑客行为的阻击。

IPS部署以串接的方式部署于主干线路上，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。

参考答案【问题1】（5分）整个网络分为3个不同级别的安全区域： 1.内部网络:安全级别最高，是可信的、重点保护的区域。包括所有内部主机，数据库服务器、DHCP服务器和FTP服务器。 2.外部网络:安全级别最低，是不可信的、要防备的区域。包括外部因特网用户主机和设备。 3. DMZ区域(非军事化区):安全级别中等，因为需要对外开放某些特定的服务和应用，受一定的保护，是安全级别较低的区域。包括对外提供WWW访问的Web服务器、邮件服务器和流媒体服务器。【问题2】（5分）

【问题3】（5分）
攻击原理:（1）当DHCP客户端第一次连接网络、重新连接或者地址租期已满时，会以广播的方式向DHCP服务器发送DHCP Discover消息，以获取/重新获取IP地址；（2）若网络中存在多台DHCP服务器，均能收到该消息并应答；（3）非授权DHCP服务器会先于授权DHCP服务器发出应答；（4）客户端使用非授权服务器发出的应答包，并用作自己的IP地址；（5）客户端地址被修改，无法访问校园网。 防范措施:（1）启用接入层交换机的DHCP Snooping功能;（2）DHCP Snooping功能将交换机接口分为信任接口和非信任接口;（3）连接客户端的接口为非信任接口，上连到汇聚交换机的接口为信任接口; （4）非信任接口上接收到DHCP Offer, DHCP ACK, DHCPNACK报文时，交换机会将其丢弃;（5）DHCP Snooping功能可阻止连接在非信任接口上的非授权DHCP服务器为客户端提供IP地址配置信息。【问题4】（6分）应采用流量控制设备，部署在核心交换机与学生宿舍区汇聚交换机之间，采用串接方式接入网络。【问题5】（4分）区别于IDS、IPS提供主动防护，增加了深入检测和分析功能，提供高效处理(拦截或阻断)能力。采用串接方式接入网络
【解析】

试题分析

【问题1】

略。

【问题2】

根据问题1对该学校网络区域的划分，将不同的服务器放置在相应的区域即可，对于具体的网络连接细节则不必过多地考虑，在防火墙的DMZ区中，由于需要连接多台服务器，应使用一台局域网交换机进行连接。

【问题3】

当采用DHCP服务器为客户端动态分配IP地址时，出现网络连接不稳定、用户的地址会被“莫名其妙”修改，导致无法访问校园网的现象，经查是出现了多个未授权的DHCP服务器所致。这些所谓“未授权”的服务器为客户机分配了其他的非法IP地址，导致用户无法访问网络。这类攻击为DHCP攻击，DHCP攻击的原理是距离客户端较近的DHCP服务器会先于授权DHCP服务器相应客户端的请求，而导致客户端接收到非法IP地址，无法访问网络。防范的方法一般是在接入层交换机上启用DHCP Snooping功能，以过滤非信任接口上收到的DHCP offer, DHCP ACK和DHCPNACK报文，从而防止非法的DHCP服务器为客户端分配IP地址。

【问题4】

根据问题的描述，由于网络中存在大量的P2P流量，而导致其他各项服务正常工作，应对P2P流量进行控制。要实现该功能，一般所选用的设备为流控设备，流控设备一般部署在被控流量区域的主干区域，应采用串接方式接入网络。

【问题5】

随着网络攻击技术的发展，对安全技术提出了新的挑战。防火墙技术和IDS自身具有的缺陷阻止了它们进一步的发展。防火墙不能阻止内部网络的攻击，对于网络上流行的各种病毒也没有很好的防御措施;IDS只能检测入侵而不能实时地阻比攻击，而且IDS具有较高的漏报和误报率。

在这种情况下入侵防御系统(Intrusion Prevention System，IPS)成了新一代的网络安全技术。IPS提供主动、实时的防护，其设计旨在对网络流量中的恶意数据包进行检测，对攻击性的流量进行自动拦截，使它们无法造成损失。IPS如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施阻断攻击源，而不把攻击流量放进内部网络。

IPS和IDS的部署方式不同。串接式部署是IPS和IDS区别的主要特征。IDS产品在网络中是旁路式工作，IPS产品在网络中是串接式工作。串接式工作保证所有网络数据都经过IPS设备，IPS检测数据流中的恶意代码，核对策略，在未转发到服务器之前，将信息包或数据流拦截。由于是在线操作，因而能保证处理方法适当而且可预知。

IPS系统根据部署方式可以分为3类：基于主机的入侵防护(HIPS)、基于网络的入侵防护(NIPS)、应用入侵防护(AIP) 。