参考答案:

划分三个不同安全级别的区域。

（1）内部网络 （2）外部网络 （3）DMZ区域（非军事化区）

内部网络区域的安全级别最高，可信的、重点保护的区域。包括内部的数据库服务器、内部的FTP服务器、DHCP服务器。

外部网络：安全级别最低，不可信的、需要防备的区域。

DMZ区域（非军事化区）：安全级别中等，通过该区域对外开放一些特定的服务与应用，受一定的保护。包括Web服务器、邮件服务器、流媒体服务器。

【问题2】（5分）

 

【问题3】（5分）
用户无法访问校园网是因为获取的IP不是授权的DHCP服务器分配给它的。解决该问题从DHCP服务器给用户分配IP的原理着手。DHCP服务器给用户分配IP时会发送DHCP Offer和DHCP ACK报文。如果让交换机端口只接收授权DHCP服务器发过来的DHCP报文，其它端口不接收这些报文，该问题就得以解决。

防范方法：在交换机上启用DHCP SNOOPING功能。

DHCP SNOOPING通过建立和维护DHCP SNOOPING绑定表并过滤不可信任的DHCP信息来防止DHCP欺骗。

【问题4】（6分）

使用流量控制设备，为重要的业务提供更好的带宽资源。将该设备部署在与互联网接入位置，针对各类业务流量进行流量模型定义即可。可直接使用串行方式接入网络中。如考虑到流量模型较大，可能因流量控制设备处理能力问题，使其成为网络瓶颈，可考虑在学生宿舍区和核心交换机位置采用引流并行方式接入，来保障网络的健壮性。

【问题5】（4分）

入侵检测系统IDS通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统IPS主要用于对数据的深度分析及安全策略的实施，比如说对黑客行为的阻击。

IPS部署以串接的方式部署于主干线路上，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。

详细解析:

【问题1】（5分）
该题是考大家对防火墙的几大区域熟练程度。防火墙分为三大区域，（1）内部网络 （2）外部网络 （3）DMZ区域（非军事化区）
内部网络区域的安全级别最高，是可信的、重点保护的区域。包括内部的数据库服务器、内部的DHCP服务器等等。
外部网络：安全级别最低，不可信的、需要防备的区域。
DMZ区域（非军事化区）：安全级别中等，通过该区域对外开放一些特定的服务与应用，受一定的保护。包括Web服务器、FTP服务器、邮件服务器、流媒体服务器。
【问题2】（5分）
略。
【问题3】（5分）
出现该现象是有用户自己私自架设了DHCP服务器，从而使用获取的IP地址不是真正DHCP服务器给它分配的IP，使用户不能正常访问校园网。解决办法根据问题三：用户无法访问校园网是因为获取的IP不是授权的DHCP服务器分配给它的。解决该问题从DHCP服务器给用户分配IP的原理着手。DHCP服务器给用户分配IP时会发送DHCP Offer和DHCP ACK报文。如果让交换机端口只接收授权DHCP服务器发过来的DHCP报文，不接收非授权服务器发过来的这些报文，该问题就得以解决。
【问题4】（6分）
根据试题的题意，就可以看出需要对业务进行流量控制，保障重要业务数据优先传送，因此需要流控设备来保障重要的业务数据合理的带宽资源。流控设备一般采用串接的方式接入到网络。
【问题5】（4分）
入侵检测系统IDS并行接入网络，只能对全网信息进行收集、分析，不能防御。而入侵防御系统IPS主要用于对数据的深度分析，可以对数据来进行安全策略的实施，比如说对黑客行为的阻击。
IPS部署以串接的方式部署于主干线路上，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。