XXXX信息安全评估设备.docx

1、XXXX信息安全评估设备XXXX信息安全评估设备信息安全治理与评估赛项任务书一、赛项时刻9:00-13:00，共计6小时，含赛题发放、收卷及午餐时刻。二、赛项信息竞赛时期任务时期竞赛任务竞赛时刻分值第一时期平台搭建与配置任务一网络平台搭建9:00-13:3060任务二网络安全设备配置与防护240第二时期系统安全攻防及运维安全管控任务一IIS安全加固与证书签发30任务二数据库攻防与加固40任务三CSRF攻击40任务四XSS攻击40任务五密码嗅探40任务六文件包含攻击40任务七SQL注入攻击40任务八linux操作系统安全防护30中场收卷13:30-14:00第三时期分组对抗系统加固14:00-1

2、4:15100系统攻防14:15-15:00300三、赛项内容假定各位选手是某公司的信息安全工程师，负责爱护公司信息系统安全。你们需要完成三个时期的任务，其中前两个时期需要提交任务操作文档留存备案，所有文档需要存放在裁判组专门提供的U盘中。第三时期是否提交文档，请依照现场具体题目要求。选手第一需要在U盘的根名目下建立一个名为xx工位的文件夹，并在xx工位文件夹下，建立第一时期、第二时期两个文件夹，赛题两个时期的文档分别归类放置在对应的文件夹中。例如：08工位，那么需要在U盘根名目下建立08工位文件夹，并在08工位文件夹下建立第一时期、第二时期两个文件夹。专门说明：只承诺在根名目下的08工位文件

3、夹中表达一次工位信息，不承诺在其他文件夹名称或文件名称中再次表达工位信息，否那么按作弊处理。(一)赛项环境设置赛项环境设置包含了三个竞赛时期的基础信息：网络拓扑图、IP地址规划表、设备初始化信息。1.网络拓扑图2.IP地址规划表设备名称接口IP地址互联可用IP数量防火墙DCFWEth2202.100.1.1/24与PC-3相连见赛场IP参数表Eth3172.16.2.1/24与DCFS相连见赛场IP参数表地址池172.16.150.1/xSSL VPN地址池见赛场IP参数表网络流控系统DCFSEth2无与DCFW相连见赛场IP参数表Eth3172.16.2.100/24与DCRS相连见赛场IP

4、参数表web应用防火墙WAFEth2172.16.10.200/24与DCRS相连见赛场IP参数表Eth3172.16.10.200/24与DCST相连见赛场IP参数表三层交换机DCRSVlan 2172.16.2.254/24与DCFS相连见赛场IP参数表Vlan 10172.16.10.254/24与WAF相连见赛场IP参数表Vlan 20172.16.20.254/24与PC-1所在用户区相连见赛场IP参数表Vlan 30172.16.30.254/24与PC-2所在用户区相连见赛场IP参数表Vlan 40172.16.40.254/24与DCBI相连见赛场IP参数表Vlan 10017

5、2.16.100.254/x直连服务器区见赛场IP参数表Vlan 110172.16.110.254/x直连用户区见赛场IP参数表地址池172.16.200.1/xDCHP地址池见赛场IP参数表网络日志系统DCBIEth1172.16.40.1/24与DCRS相连见赛场IP参数表Eth2无与DCRS相连见赛场IP参数表堡垒服务器DCSTEth9172.16.10.100/24与WAF相连见赛场IP参数表PC-1无172.16.20.1/24与DCRS相连见赛场IP参数表PC-2无172.16.30.1/24与DCRS相连见赛场IP参数表PC-3无202.100.1.100/24与DCFW相连见

6、赛场IP参数表服务器场景-1无见系统安全攻防加固赛题部分服务器场景-2无见系统安全攻防加固赛题部分服务器场景-3无见系统安全攻防加固赛题部分服务器场景-4无见系统安全攻防加固赛题部分服务器场景-5无见系统安全攻防加固赛题部分备注1.赛题可用IP地址范畴见赛场IP参数表；2.具体网络连接接口见赛场互联接口参数表；3.设备互联网段内可用地址数量见赛场IP参数表；4.IP地址分配要求，最节约IP地址，子网有效地址规划遵循2n-2的原那么；5.参赛选手按照赛场IP参数表要求，自行分配IP地址段、设备互联接口；6.将分配的IP地址段和接口填入赛场IP参数表中赛场IP参数表电子文件存于参赛PC机中，并存放

7、在U盘第一时期文件夹中提交，文件名称为赛场IP参数表。3.设备初始化信息设备名称治理地址默认治理接口用户名密码防火墙DCFW :/192.168.1.1ETH0adminadmin网络流控系统DCFS s:/192.168.1.254:9999ETH0adminAdmin123网络日志系统DCBI s:/192.168.5.254ETH0admin123456web应用防火墙WAF s:/192.168.45.1ETH5adminadmin123堡垒服务器DCST :/192.168.1.100Eth0Eth9参见DCST登录用户表备注所有设备的默认治理接口、治理IP地址不承诺修改(二)第一时

8、期任务书300分提示：该时期答案文档命名格式为：第X时期-任务X-任务名称。例：第一时期、任务二、网络安全设备配置与防护的答案提交文档，文件名称为：第一时期-任务二-网络安全设备配置与防护.doc或第一时期-任务二-网络平台搭建.docx。任务一：网络平台搭建60分提示：需要提交所有设备配置文件，其中DCRS设备要求提供show run配置文件储存到WORD文档，DCFW、DCFS、WAF、DCBI设备需要提交配置过程截图存入WORD文档，并在截图中加配置说明。提交的答案储存到一个WORD文档中，标明题号，按顺序答题。平台搭建要求如下：题号网络需求1依照网络拓扑图所示，按照IP地址参数表，对W

9、AF的名称、各接口IP地址进行配置。2依照网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进行配置。3依照网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。4依照网络拓扑图所示，按照IP地址参数表，对DCFS的名称、各接口IP地址进行配置。5依照网络拓扑图所示，按照IP地址参数表，对DCBI的名称、各接口IP地址进行配置。6依照网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN。7采纳静态路由的方式，全网络互连。任务二：网络安全设备配置与防护240分提示：需要提交所有设备配置文件，其中DCRS设备要

10、求提供show run配置文件储存到WORD文档，DCFW、DCFS、WAF、DCBI设备需要提交配置过程截图存入WORD文档，并在截图中加以说明。请顺序答题，并标注题号。每个设备提交的答案储存到一个WORD文档中。对象用户本地用户用户新建用户PC1,PC2对象用户本地用户用户组新建组公司职员PC1，2加入用户组对象用户地址簿公司职员输入PC1,PC2的IP：xx.xx.xx.xx1.在公司总部的DCFW上配置，开启网络治理功能SNMP，网管服务器连接在服务器区，IP地址是服务器区内第二个可用地址服务器区IP地址段参考赛场IP参数表，community名字为public，网管软件对DCFW没有

11、写权限。6分系统治理SNMP启用；SNMP只读共同体添加:名字public-ip地址-掩码2.在公司总部的DCFW上配置，连接互联网的接口属于WAN安全域、连接内网的接口属于LAN安全域，开启DCFW的DDoS防护。6分网络连接操作攻击防护全部启用3.在公司总部的DCFW上配置，仅承诺通过 方式访问DCFW，同时新增一个用户，用户名dcfw1234，密码dcfw1234，该用户只有查看配置权限，不具有添加配置或修改配置的权限。6分 系统治理设备治理主机服务配置：只开启 服务系统治理设备治理治理员配置新建：审计治理员4.在公司总部的DCFW上配置，在上班时刻工作日的9:00-17:00只承诺公司

12、职员访问内网资源。6分对象用户时刻表新建表工作日工作日9-17策略新建从lan到lan目的地址any应用簿any时刻表应用工作日用户组承诺5.在公司总部的DCFW上配置，在上班时刻如有情况需要访问网络，限制只有通过DCFW的WEB认证后才能访问互联网，且在连接网络一个小时后假如不重新认证那么断开网络访问。6分Web认证开启强制超时3600新建策略从lan到wanuser1承诺6.在公司总部的DCFW上配置，使公司总部的DCST设备能够通过互联网被访问，从互联网访问的地址是公网地址的第三个可用地址公网IP地址段参考赛场IP参数表，且仅承诺PC-3通过互联网访问DCST设备。6分通过NAT转换把D

13、CST的网址公布到公网上源地址DCSTIP目的地址公网第三个可用地址7.在公司总部的DCFW上配置，使内网所有用户网段和服务器区网段都能够通过DCFW外网接口IP地址访问互联网，但要求公司PC-1只能通过固定的公网地址的第四个可用地址公网IP地址段参考赛场IP参数表访问互联网。6分8.在公司总部的DCFW上配置，在内网接口上开启防护功能，每秒钟最大接收1000个ARP包，超过的将被丢弃。6分二层防护ARP攻击防护开启内网接口防护设置最大1000个包9.在公司总部的DCFW上配置，限制每个用户访问互联网时最大的会话数是1000，上网带宽最大是5M。6分会话限制新建安全域流量治理10.在公司总部的

14、DCFW上启用SSL VPN，使分支机构通过VPN拨入公司总部，访问内部的所有服务器资源。SSL VPN地址池x.x.x.x/x具体IP地址参考赛场IP参数表。6分新建VPN资源资源关联实例配置11.在公司总部的DCFS上配置，增加非admin账户dcfs1234，密码dcfs1234，该账户仅用于用户查询设备的日志信息和统计信息。6分添加修改治理员权限：查看系统日志12.在公司总部的DCFS上配置，使2021年7月1日到7月10日的工作日工作日每周一到周五时刻内，禁止PC-1访问迅雷应用。6分对象治理时刻对象治理新增时刻分组操纵策略应用访问操纵应用迅雷下载来源PC1用户13.在公司总部的DC

15、FS上配置，限制URL路径中大于10M 的*.mp3格式的文件不能被下载。6分 对象治理 元素治理URL元素治理新增URL元素URL：*.mp3 URL描述:mp3 对象治理新增 应用14.在公司总部的DCFS上配置，禁止内网用户访问某游戏服务，该游戏服务使用的协议是UDP，固定的端口号7633。6分应用对象治理新建应用名称youxiudp.7633应用访问操纵新建应用UDP来源内网15.在公司总部的DCFS上配置，要求能够在主机列表中显示出内网用户名，能够看到用户名与主机地址的对应关系。6分开启计费模块16.在公司总部的DCFS上配置，禁止PC-1所在用户网段最后10个可用地址PC-1所在网

16、段参考赛场IP参数表访问互联网。6分新建系统黑名单写入最后10个可用地址新建应用访问操纵内网入口到内网出网黑名单拦截17.在公司总部的DCFS上配置，总的出口带宽是200M，创建子带宽通道100M，当网络拥塞时，使PC-2所在网段每一个用户带宽最大不超过2M，最小带宽为1M；当网络不拥塞时，带宽能够超出2M。6分新建带宽通道200M建子带宽通道100M终端设置带宽上限2M，保证带宽1M开启上限带宽动态分配18.在公司总部的DCFS上配置，公司总出口带宽是200M，创建子带宽通道100M，使PC-1所在网段每一个用户最小拥有2M上网带宽，同时要求在总出口处应用BT业务的流量不超过50M。6分带宽

17、通道200M创建子带宽通道100M终端设置保证带宽2M新建带宽通道50M新建带宽通道二级带宽策略新建规那么带宽通道选择P2P19.在公司总部的DCBI上配置，增加非admin账户dcbi1234，密码dcbi1234，该账户仅用于用户查询设备的日志信息和统计信息。6分系统治理权限治理角色治理添加新角色dcbi1234权限分配查看全选20.在公司总部的DCBI上配置，设备部署方式为旁路模式，并配置监控接口与治理接口。6分系统治理差不多信息部署方式旁路连接网络配置网络接入以太网卡21.在公司总部的DCBI上配置，使DCBI能够通过邮件方式发送告警信息，邮件服务器在服务器区，IP地址是服务器区内第三

18、个可用地址服务器区IP地址段参考赛场IP参数表，端口号25，账号test，密码test。6分策略治理报警策略服务器ip端口号25账号密码test22.在公司总部的DCBI上配置，将DCBI的日志信息发送到日志服务器，日志服务器在服务器区，IP地址是服务器区内第四个可用地址服务器区IP地址段参考赛场IP参数表，community名字public。6分策略治理报警策略日志发送SNMP共同体：public23.在公司总部的DCBI上配置，监控工作日每周一到周五期间PC-1访问的URL中包含xunlei的 访问记录，同时邮件发送告警。6分应用治理应用规那么规那么治理添加网站访问匹配内容xunlei工作

19、日记录且邮件报警PC-1的IP地址24.在公司总部的DCBI上配置，监控PC-2所在网段用户的即时谈天记录。6分应用治理应用规那么即时谈天全部应用项目记录PC-2所在IP网段25.在公司总部的DCBI上配置，监控内网所有用户的邮件收发访问记录。6分应用治理应用规那么邮件收发记录用户组26.在公司总部的DCBI上配置，使DCBI能够通过交换机DCRS获得内网PC的MAC地址，并在记录日志时显示内网PC的MAC地址。6分开启监控27.在公司总部的DCRS上配置，配置设备enable密码，同时在登录设备时必须正确输入enable密码才能进入交换机的配置模式。6分DCRS-5650-28(R4)enD

20、CRS-5650-28(R4)#conf tDCRS-5650-28(R4)(config)#ena password 0 123DCRS-5650-28(R4)(config)#28.在公司总部的DCRS上配置，在交换设备上开启SSH治理功能，用户名和密码差不多上DCN，并关闭设备的web治理方式，仅承诺使用console、ssh和telnet方式治理设备。6分DCRS-5650-28(R4)(config)#ssh-server enable Please waiting a few minutes for the host rsa key-pair to be created.DCRS-

21、5650-28(R4)(config)#username dcn password 0 dcnDCRS-5650-28(R4)(config)#no ip server web server is offDCRS-5650-28(R4)(config)#29.在公司总部的DCRS上配置，VLAN20的成员接口开启广播风暴抑制功能，参数设置为400pps。6分DCRS-5650-28(R4)enDCRS-5650-28(R4)#conf tDCRS-5650-28(R4)(config)#inter e1/0/1DCRS-5650-28(R4)(config-if-ethernet1/0/1)#

22、storm-control broadcast 400*672=268800Storm-control or rate-suppression is out of range for interface Ethernet1/0/130.在公司总部的DCRS上配置，公司为了统一治理，通过SNMP技术使用网管软件对DCRS进行治理，配置只读字串为public , 读写字串为private，网管服务器连接在服务器区，IP地址是服务器区内第二个可用地址服务器区IP地址段参考赛场IP参数表。6分DCRS-5650-28(R4)DCRS-5650-28(R4)enDCRS-5650-28(R4)#conf

23、 tDCRS-5650-28(R4)(config)#snmp-server enableDCRS-5650-28(R4)(config)#snmp-server community rw privateDCRS-5650-28(R4)(config)#snmp-server community ro publicDCRS-5650-28(R4)(config)#snmp-server securityip 网管主机IP31.在公司总部的DCRS上配置，在DCRS上的Ethernet1/15-17端口开启ARP爱护功能，防止PC发出网关欺诈报文。并在Ethernet1/19接口上配置，使MAC

24、为00-FF-51-BE-AD-32的主机不能访问MAC地址为E1-B6-4C-25-6A-13的主机，其他主机访问正常。6分DCRS-5650-28(R4)(config)#inter ethernet 1/0/15-17DCRS-5650-28(R4)(config-if-port-range)#arp-guard ip 192.168.10.1DCRS-5650-28(R4)(config-if-port-range)#arp-guard ip 192.168.20.1DCRS-5650-28(R4)(config-if-port-range)#arp-guard ip 192.168.

25、30.1DCRS-5650-28(R4)(config-if-port-range)#no shutDCRS-5650-28(R4)(config)#fire enabDCRS-5650-28(R4)(config)#mac-access-list extended yan DCRS-5650-28(R4)(config-mac-ext-nacl-yan)#deny host-source-mac 00-ff-51-be-ad-32 host-destination-mac e1-86-4c-25-6a-13DCRS-5650-28(R4)(config-mac-ext-nacl-yan)#q

26、DCRS-5650-28(R4)(config)#inter e1/0/19DCRS-5650-28(R4)(config-if-ethernet1/0/19)#mac access-group yan in 32.在公司总部的DCRS上配置，需要在交换机10接口上开启基于用户模式的认证，认证通过后才能访问网络，认证服务器连接在服务器区，IP地址是服务器区内第五个可用地址服务器区IP地址段参考赛场IP参数表，radius key是123456。6分DCRS-5650-28(R4)(config)#dot1x enable DCRS-5650-28(R4)(config)#radius-serv

27、er authentication host 10.10.10.1DCRS-5650-28(R4)(config)#radius-server key 123456DCRS-5650-28(R4)(config)#inter e1/0/10DCRS-5650-28(R4)(config-if-ethernet1/0/10)#dot1x enableDCRS-5650-28(R4)(config-if-ethernet1/0/10)#dot1x port-method userbased advanced Set 802.1x port method on port Ethernet1/0/10

28、 ok. DCRS-5650-28(R4)(config-if-ethernet1/0/10)#dot1x max-user userbased 10DCRS-5650-28(R4)(config)#aaa enable33.在公司总部的DCRS上配置，VLAN110用户可通过DHCP的方式获得IP地址，在交换机上配置DHCP Server，地址池名称为pool-vlan110，DNS地址为114.114.114.114和8.8.8.8，租期为2天，VLAN110网段最后20个可用地址DHCP地址段参考赛场IP参数表不能被动态分配出去。6分DCRS-5650-28(R4)(config)#in

29、ter vlan 110DCRS-5650-28(R4)(config-if-vlan110)#ip add vlan110IP地址 255.255.255.0DCRS-5650-28(R4)(config-if-vlan110)#no shutDCRS-5650-28(R4)(config)#service dhcp DCRS-5650-28(R4)(config)#ip dhcp pool pool-vlan110DCRS-5650-28(R4)(dhcp-pool-vlan110-config)#network-address vlan110网段 255.255.255.0DCRS-5650-28(R4)(dhcp-pool-vlan110-config)#dns-server 114.114.114.114 8