(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第9套.docx
《(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第9套.docx》由会员分享,可在线阅读,更多相关《(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第9套.docx(61页珍藏版)》请在冰豆网上搜索。
ChinaSkills
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题九
模块一
网络平台搭建与设备安全防护
一、赛项时间
共计180分钟。
二、赛项信息
竞赛阶段
任务阶
段
竞赛任务
竞赛时间
分值
第一阶段
网络平台搭建与设
备安全防护
任务1
网络平台搭建
XX:
XX-XX:
XX
50
任务2
网络安全设备配置与防护
250
三、赛项内容
本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。
第二、三阶段请根据现场具
体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体
的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如:
08工位,则需要在U盘根目录下建立“GW08”文件夹,并在“GW08”
文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明:
只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允
许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一)赛项环境设置
某集团公司原在北京建立了总部,在南京设立了分公司。
总部设有销售、产品、财务、信息技术4个部门,分公司设有销售、产品、财务3个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF动态路由协议和静态路由协
议进行互连互通。
公司规模在2023年快速发展,业务数据量和公司访问量增长
巨大。
为了更好管理数据,提供服务,集团决定建立自己的中型数据中心及业
务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。
集团、分公司的网络结构详见拓扑图。
其中总公司使用一台SW交换机用于总部
核心和终端高速接入,采用一台BC作为总公司因特网出口;分公司采用一台
FW防火墙作为因特网出口设备,一台AC作为分公司核心,同时作为集团有线无线智能一体化控制器,通过与AP高性能企业级AP配合实现集团无线覆盖,总部有一台WEB服务器,为了安全考虑总公司部署了一台WAF对服务器进行
web防护。
在2023年公司进行IPV6网络改造,内部网络采用双栈模式。
Ipv6
网络采用ospfV3实现互通。
1.网络拓扑图
Internet
WAF'
*POE+
Ad
Sw
(4))
AP
PCPC
南京分公司
PC
北京总公司
服务器
FW
BC
2.IP地址规划表
设备名称
接口
IP地址
对端设备
接口
防火墙
FW
ETH0/1-2
20.1.0.1/30(trust1安全域)
SW
eth1/0/1-2
20.1.1.1/30(untrust1安全域)
SW
222.22.1.1/29(untrust)
SW
ETH0/3
20.10.28.1/24(DMZ)
WAF
Eth0/4-5
20.1.0.13/30
2001:
da8:
192:
168:
10:
1:
:
1/96
AC
Eth1/0/21-
22
Loopback1
20.0.0.254/32(trust)
Router-id
L2TPPool
192.168.10.1/26
可用IP数量为20
L2tpVPN地址池
三层交换机SW
ETH1/0/4
财务专线VPNCW
AC
ETH1/0/4
ETH1/0/5
trunk
AC
ETH1/0/5
ETH1/0/6
trunk
AC
ETH1/0/6
VLAN21
ETH1/0/1-2
20.1.0.2/30
FW
Eth1/0/1-2
VLAN22
ETH1/0/1-2
20.1.1.2/30
FW
Eth1/0/1-2
VLAN222
ETH1/0/1-2
222.22.1.2/29
FW
Eth1/0/1-2
VLAN24
ETH1/0/24
223.23.1.2/29
BC
Eth5
Vlan25
Eth1/0/3
20.1.0.9/30
Ipv6:
2001:
da8:
20:
1:
0:
:
1/96
BC
Eth1
VLAN30
ETH1/0/4
20.1.0.5/30
AC
1/0/4
VlannameCW
VLAN31
Eth1/0/10-1210口配置
Loopback
20.1.3.1/25
VlannameCW
VLAN40
ETH1/0/8-9
192.168.40.1/24
IPV6
2001:
DA8:
192:
168:
40:
:
1/96
Vlanname销售
VLAN50
ETH1/0/13-
14
192.168.50.1/24
IPV6
2001:
DA8:
192:
168:
50:
:
1/96
PC3
Vlanname产品
Vlan60
Eth1/0/15-16
192.168.60.1/24
IPV6
2001:
DA8:
192:
168:
60:
:
1/96
Vlanname信息
VLAN100
ETH1/0/20
需设定
VlannameAP-Manage
Loopback1
20.0.0.253/32(router-id)
无线控制器AC
VLAN30
ETH1/0/4
20.1.0.6/30
SW
VlannameTO-CW
VLAN10
Ipv4:
需设定
2001:
da8:
172:
16:
1:
:
1/96
无线1
Vlanname
设备名称
接口
IP地址
对端设备
接口
WIFI-
vlan10
VLAN20
Ipv4:
需设定
2001:
da8:
172:
16:
2:
:
1/96
无线2
VlannameWIFI-
vlan20
VLAN31
20.1.3.129/25
VlannameCW
VLAN140
ETH1/0/5
172.16.40.1/24
SW
1/0/5
Vlanname销售
Vlan150
Eth1/0/13-14
172.16.50.1/24
IPV62001:
DA8:
172:
16:
60:
:
1/96
Vlanname产品
Vlan60
Eth1/0/15-18
192.168.60.2/24
IPV6
2001:
DA8:
192:
168:
60:
:
2/96
Vlanname信息
Vlan70
Eth1/0/21-22
20.1.0.14/30
2001:
da8:
192:
168:
10:
1:
:
1/96
FW
Eth1/0/4-5
Loopback1
20.1.1.254/24(router-id)
日志服务器BC
Eth1
20.1.0.10/30
Ipv6:
2001:
da8:
20:
1:
0:
:
2/96
SW
Eth1/0/3
Eth5
223.23.1.1/29
SW
eth3
192.168.28.1/24
WAF
PPTP-pool
192.168.10.129/26(10个地址)
WEB应
用防火墙
WAF
ETH2
192.168.28.2/24
SERVER
ETH3
FW
AP
Eth1
SW(20
口)
SERVER
网卡
192.168.28.10/24
(二)第一阶段任务书
任务1:
网络平台搭建(50分)
题号
网络需求
1
根据网络拓扑图所示,按照IP地址参数表,对FW的名称、各接口IP地址进行配置。
2
根据网络拓扑图所示,按照IP地址参数表,对SW的名称进行配置,创建VLAN并将相应接口划入VLAN。
3
根据网络拓扑图所示,按照IP地址参数表,对AC的各接口IP地址进行配置。
4
根据网络拓扑图所示,按照IP地址参数表,对BC的名称、各接口IP地址进行配置。
5
按照IP地址规划表,对WEB应用防火墙的名称、各接口IP地址进行配置。
任务2:
网络安全设备配置与防护(250分)
1.北京总公司和南京分公司有两条裸纤采用了骨干链路配置,做必要的配
置,只允许必要的vlan通过,不允许其他vlan信息通过包含vlan1。
2.SW和AC开启telnet登录功能,telnet登录账户仅包含“***2023”,密码为明文“***2023”,采用telnet方式登录设备时需要输入enable密码,密码设
置为明文“12345”。
3.北京总公司和南京分公司租用了运营商三条裸光纤,实现内部办公互通。
一条裸光纤承载公司财务部门业务,另外两条裸光纤承载其他内部有业
务。
使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离,财务业务位于VPN实例名称CW内,总公司财务和分公司财务能够
通信,财务部门总公司和分公司之间采用RIP路由实现互相访问。
4.SW和AC之间启用MSTP,实现网络二层负载均衡和冗余备份,要求如
下:
无线用户关联实例1,信息部门关联实例2,名称为SKILLS,修订版本为1,设置AC为根交换机,走5口链路转发、信息部门通过6口链路转
发,同时实现链路备份。
除了骨干接口,关闭其他接口生成树协议。
5.总公司产品部门启用端口安全功能,最大安全MAC地址数为20,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发snmptrap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为10分钟;禁止采用访问控制列表,只允许IP主机位为20-50的数据包进行转发;禁
止配置访问控制列表,实现端口间二层流量无法互通,组名称FW。
6.由于总公司出口带宽有限,需要在交换机上对总公司销售部门访问因特网http服务做流量控制,访问http流量最大带宽限制为20M比特/秒,突发值
设为4M字节,超过带宽的该网段内的报文一律丢弃。
7.在SW上配置将8端口收到的源IP为10.0.41.111的帧重定向到9端口,即
从8端口收到的源IP为10.0.41.111的帧通过9端口转发出去。
8.总公司SW交换机模拟因特网交换机,通过某种技术实现本地路由和因特
网路由进行隔离,因特网路由实例名internet。
9.对SW上VLAN60开启以下安全机制:
10.启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟;如私设DHCP服务器关闭该端口;开启防止ARP网关
欺骗;
11.配置使北京公司内网用户通过总公司出口BC访问因特网,分公司内网用户通过分公司出口FW访问因特网,要求总公司销售部门的用户访问因特
网的流量往反数据流都要经过防火墙,在通过BC访问因特网;防火墙
untrust和trust1开启安全防护,参数采用默认参数。
12.总部核心交换机上配置SNMP,引擎id分别为1;创建组
GROUP2023,采用最高安全级别,配置组的读、写视图分别为:
SKILLS_R、SKILLS_W;创建认证用户为USER2023,采用aes算法进行加密,密钥为Pass-1234,哈希算法为sha,密钥为Pass-1234;当设备有异常时,需要用本地的环回地址loopback1发送v3Trap消息至集团网管服务器20.10.11.99、采用最高安全级别;当财务部门对应的用户接口发生UP
DOWN事件时,禁止发送trap消息至上述集团网管服务器。
13.总公司和分公司今年进行IPv6试点,要求总公司和分公司销售部门用户能
够通过IPV6相互访问,IPV6业务通过租用裸纤承载。
实现分公司和总公
司ipv6业务相互访问;FW、AC与SW之间配置动态路由OSPFV3使总
公司和分公司可以通过IPv6通信
14.在总公司核心交换机SW配置IPv6地址,开启路由公告功能,路由器公告
的生存期为2小时,确保销售部门的IPv6终端可以通过DHCPSERVER
获取IPv6地址,在SW上开启IPV6dhcpserver功能。
15.在南京分公司上配置IPv6地址,使用相关特性实现销售部的IPv6终端可自
动从网关处获得IPv6无状态地址
16.FW、SW、AC、BC之间配置OSPFarea0开启基于链路的MD5认证,密钥自定义,SW与AC手动配置INTERNET默认路由,让总公司和分公司
内网用户能够相互访问包含AC上loopback1地址。
17.分公司销售部门通过防火墙上的DHCPSERVER获取IP地址,serverIP地
址为20.0.0.254,地址池范围172.16.40.10-172.16.40.100,dns-server
8.8.8.8。
18.如果SW的11端口的收包速率超过30000则关闭此端口,恢复时间5分钟;为了更好地提高数据转发的性能,SW交换中的数据包大小指定为
1600字节;
19.为实现对防火墙的安全管理,在防火墙FW的Trust安全域开启
PING,HTTP,telnet,SNMP功能,Untrust安全域开启SSH、HTTPS功能;
20.在分部防火墙上配置,分部VLAN业务用户通过防火墙访问Internet时,
转换为公网IP:
182.22.1.1/29;保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹配本地址转换规则时产生日志信息,
将匹配的日志发送至20.10.28.10的UDP2000端口;
21.远程移动办公用户通过专线方式接入分公司网络,在防火墙FW上配置,采用L2TP方式实现仅允许对内网信息部门的访问,端口号使用4455,用
户名密码均为ABC2023,地址池参见地址表;
22.分公司部署了一台AC为了便于远程管理,需要把AC的web映射到外
网,让外网通过能通过防火墙外网口地址访问AC的web服务,AC地址为
loopback地址。
23.为了安全考虑,无线用户移动性较强,访问因特网时需要在BC上开启web认证使用https方式,采用本地认证,密码账号都为web2023,同一用户名
只能在一个客户端登录,设置超时时间为30分钟。
24.由于分公司到因特网链路带宽比较低,出口只有200M带宽,需要在防火墙配置iQOS,系统中P2P总的流量不能超过100M,同时限制每用户最大下载带宽为2M,上传为1M,优先保障HTTP应用,为http预留100M
带宽。
25.为净化上网环境,要求在防火墙FW做相关配置,禁止无线用户周一至周五工作时间9:
00-18:
00的邮件内容中含有“病毒”、“赌博”的内容,且记
录日志;
26.由于总公司无线是通过分公司的无线控制器统一管理,为了防止专线故障导致无线不能使用,总公司和分公司使用互联网作为总公司无线ap和AC相互访问的备份链路。
FW和BC之间通过IPSEC技术实现AP管理段与无线AC之间联通,具体要求为采用预共享密码为***2023,IKE阶段1采
用DH组1、3DES和MD5加密方,IKE阶段2采用ESP-3DES,
MD5。
27.总公司用户,通过BC访问因特网,BC采用路由方式,在BC上做相关配
置,让总公司内网用户(不包含财务)通过ip:
183.23.1.1/29访问因特网。
28.在BC上配置PPTPvpn让外网用户能够通过PPTPvpn访问总公司SW上
内网地址,用户名为GS2023,密码123456。
29.为了提高分公司出口带宽,尽可能加大分公司AC和出口FW之间带宽。
30.在BC上开启IPS策略,对分公司内网用户访问外网数据进行IPS防护,保
护服务器、客户端和恶意软件检测,检测到攻击后进行拒绝并记录日志。
31.对分公司内网用户访问外网数据进行防病毒防护,检查协议类型包含
HTTP、FTP、POP3、SMTP,文件类型包含exe、bat、vbs、txt,检测到攻
击后进行记录日志并阻断。
32.总公司出口带宽较低,总带宽只有200M,为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量,最大上下
行带宽都为50M,以免P2P流量占用太多的出口网络带宽,启用阻断记
录。
33.通过BC设置分公司用户在上班时间周一到周五9:
00到18:
00禁止玩游戏,
并启用阻断记录。
34.限制总公司内网用户访问因特网web视频和即时通信上传最大带宽为
10M,启用阻断记录;
35.BC上开启黑名单告警功能,级别为预警状态,并进行邮件告警和记录日
志,发现cpu使用率大于80%,内存使用大于80%时进行邮件告警并记录日志,级别为严重状态。
发送邮件地址为123@,接收邮件为
133139123456@。
36.分公司内部有一台网站服务器直连到WAF,地址是192.168.28.10,端口是
8080,配置将服务访问日志、WEB防护日志、服务监控日志信息发送
syslog日志服务器,IP地址是192.168.28.6,UDP的514端口;
37.要求能自动识别内网HTTP服务器上的WEB主机,请求方法采用GET、
POST方式。
38.在WAF上针对HTTP服务器进行URL最大个数为10,Cookies最大个数为30,Host最大长度为1024,Accept最大长度64等参数校验设置,设置
严重级别为中级,超出校验数值阻断并发送邮件告警;
39.为防止网站资源被其他网站利用,通过WAF对资源链接进行保护,通过Referer方式检测,设置严重级别为中级,一经发现阻断
并发送邮件告警;
40.为更好对服务器192.168.28.10进行防护,防止信息泄露,禁止美国地区访
问服务器;
41.在WAF上配置基础防御功能,建立特征规则“HTTP防御”,开启SQL注入、XSS攻击、信息泄露等防御功能,要求针对这些攻击阻断并保存日志
发送邮件告警;
42.在WAF上配置定期每周六1点对服务器的http:
//192.168.28.10/进行最大深
度的漏洞扫描测试;
43.为了对分公司用户访问因特网行为进行审计和记录,需要把AC连接防火
墙的流量镜像到8口。
44.由于公司IP地址为统一规划,原有无线网段IP地址为172.16.0.0/22,为了避免地址浪费需要对ip地址进行重新分配;要求如下:
未来公司预计部署ap150台;办公无线用户vlan10预计300人,来宾用户vlan20以及不超过
50人;
45.BC上配置DHCP,管理VLAN为VLAN100,为AP下发管理地址,网段中第一个可用地址为AP管理地址,最后一个可用地址为网关地址,AP通
过DHCPopion43注册,AC地址为loopback1地址;为无线用户
VLAN10,20下发IP地址,最后一个可用地址为网关;AP上线需要采用
MAC地址认证。
46.AC配置dhcpv4和dhcpv6,分别为总公司产品段vlan50分配地址;ipv4地址池名称分别为POOLv4-50,ipv6地址池名称分别为POOLv6-50;ipv6
地址池用网络前缀表示;排除网关;DNS分别为114.114.114.114和
2400:
3200:
:
1;为PC1保留地址192.168.50.9和2001:
da8:
192:
168:
50:
:
9,
SW上中继地址为ACloopback1地址。
47.在NETWORK下配置SSID,需求如下:
48.NETWORK1下设置SSID***2023,VLAN10,加密模式为wpa-personal,
其口令为20232023;
49.NETWORK2下设置SSIDGUEST,VLAN20不进行认证加密,做相应配置隐藏该SSID;NETWORK2开启内置portal+本地认证的认证方式,账号
为test密码为test2023;
50.配置SSIDGUEST每天早上0点到6点禁止终端接入;GUSET最多接入10个用户,并对GUEST网络进行流控,上行1M,下行2M;配置所有无线接入用户相互隔离;配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级;配置AP发送向无线终端表明AP存在的帧时间间隔为2秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时;配置AP在脱离AC管理时依然可以正常工作;为防止外部人员蹭网,现需在设置信号值低于50%的终端
升级会员 