2）在三层设备上启用访问控制列表，禁止流向运行DNS业务的客户主机UDP/80端口的流量

3）

4）在三层设备上启用限速策略，将流向运行DNS业务的客户主机的非DNS UDP/53端口的流量进行限速或者强制丢弃

第二组

1、IDC内某运行邮件业务(SMTP/POP)的客户主机正常时流量较小，但经常遭受来自外地的UDP/7000类型的大流量攻击，为了防范这种攻击，可以部署的安全措施有哪些？

参考答案：

1)在三层设备上启用访问控制列表，禁止流向邮件业务主机的UDP/7000端口的流量

2)在三层设备上启用限速策略，将流向邮件业务主机的其他流量非邮件业务流量（SMTP/POP/DNS）端口的流量进行限速.

2、伪造源地址的流量常常导致安全事件无法追溯，请简单介绍城域网业务路由器SR设备上控制伪造源地址的措施

参考答案：

1）

2）在业务路由器部署Unicast RPF技术（单播反向路径转发）

3）在业务路由器与用户网络互联接口流入业务路由器方向，部署访问控制列表，丢弃中以用户地址以外的地址作为源地址的流量