（全国职业技能比赛：高职）GZ032信息安全管理与评估赛题第7套.docx

1、ChinaSkills全国职业院校技能大赛 高等职业教育组信息安全管理与评估赛题七模块一网络平台搭建与设备安全防护一、 赛项时间共计 180 分钟。二、 赛项信息竞赛阶段任务阶 段竞赛任务竞赛时间分值第一阶段网络平台搭建与设备安全防护任务 1网络平台搭建XX:XX-XX:XX50任务 2网络安全设备配置与防护250三、 赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判 组专门提供的 U 盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。选手首先需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹（xx 用具体的工位号替代） ，赛题第一阶段

2、所完成的“XXX-答题模板”放置在文件夹中。例如： 08 工位，则需要在 U 盘根目录下建立“GW08”文件夹，并在“GW08 ”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。(一) 赛项环境设置某集团公司原在北京建立了总部， 在南京设立了分公司。总部设有销售、产 品、财务、信息技术 4 个部门，分公司设有销售、产品、财务 3 个部门，统一进行 IP 及业务资源的规划和分配， 全网采用 OSPF 动态路由协议和静态路由协议进行互连互通。公司规模在20

3、23年快速发展，业务数据量和公司访问量增长 巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业 务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。集 团、分公司的网络结构详见拓扑图。其中总公司使用一台SW 交换机用于总部核心和终端高速接入，采用一台BC 作为总公司因特网出口；分公司采用一台FW防火墙作为因特网出口设备， 一台AC 作为分公司核心，同时作为集团有线无线 智能一体化控制器，通过与AP 高性能企业级AP 配合实现集团无线覆盖，总部 有一台WEB服务器，为了安全考虑总公司部署了一台WAF 对服务器进行web 防 护。在2023年公司进行IPV6 网络改

4、造，内部网络采用双栈模式。Ipv6 网络采用 ospf V3实现互通。1. 网络拓扑图InternetWAFACSw()APPC PC南京分公司PC北京总公司服务器FWBC2. IP 地址规划表设备名称接口IP 地址对端设备接口防火墙 FWETH0/1-220.1.0.1/30（trust1 安全域）SWeth1/0/1-220.1.1.1/30（untrust1 安全域）SW222.22.1.1/29（untrust）SWETH0/320.10.28.1/24(DMZ)WAFEth0/4-520.1.0.13/302001:da8:192:168:10:1:1/96ACEth1/0/21-

5、22Loopback120.0.0.254/32（trust） Router-idL2TP Pool192.168.10.1/26可用 IP 数量为 20L2tp VPN 地址池三层交换 机 SWETH1/0/4财务专线 VPN CWACETH1/0/4ETH1/0/5trunkACETH1/0/5ETH1/0/6trunkACETH1/0/6VLAN21ETH1/0/1-220.1.0.2/30FWEth1/0/1-2VLAN22ETH1/0/1-220.1.1.2/30FWEth1/0/1-2VLAN 222ETH1/0/1-2222.22.1.2/29FWEth1/0/1-2VLAN 2

6、4ETH1/0/24223.23.1.2/29BCEth 5Vlan 25Eth 1/0/320.1.0.9/30Ipv6:2001:da8:20:1:0:1/96BCEth 1VLAN 30ETH1/0/420.1.0.5/30AC1/0/4Vlan name CWVLAN 31Eth1/0/10-1210 口配置 Loopback20.1.3.1/25Vlan name CWVLAN 40ETH1/0/8-9192.168.40.1/24IPV6 2001:DA8:192:168:40:1/96Vlan name 销售VLAN 50ETH1/0/13-14192.168.50.1/24IP

7、V6 2001:DA8:192:168:50:1/96PC3Vlan name 产品Vlan 60Eth1/0/15-16192.168.60.1/24IPV6 2001:DA8:192:168:60:1/96Vlan name 信息VLAN 100ETH 1/0/20需设定Vlan name AP-ManageLoopback120.0.0.253/32(router-id)无线控制 器 ACVLAN 30ETH1/0/420.1.0.6/30SWVlan name TO-CWVLAN 10Ipv4:需设定2001:da8:172:16:1:1/96无线 1Vlan name WIFI-vl

8、an10VLAN 20Ipv4:需设定2001:da8:172:16:2:1/96无线 2Vlan name WIFI-vlan20VLAN 3120.1.3.129/25Vlan name CWVLAN 140172.16.40.1/24SWVlan name设备名称接口IP 地址对端设备接口ETH1/0/51/0/5销售Vlan 150Eth1/0/13-14172.16.50.1/24IPV6 2001:DA8:172:16:60:1/96Vlan name 产品Vlan 60Eth1/0/15-18192.168.60.2/24IPV6 2001:DA8:192:168:60:2/96

9、Vlan name 信息Vlan 70Eth1/0/21-2220.1.0.14/302001:da8:192:168:10:1:1/96FWEth1/0/4-5Loopback120.1.1.254/24(router-id)日志服务 器 BCEth120.1.0.10/30Ipv6:2001:da8:20:1:0:2/96SWEth1/0/3Eth5223.23.1.1/29SWeth3192.168.28.1/24WAFPPTP-pool192.168.10.129/26（10 个地址）WEB 应用防火墙WAFETH2192.168.28.2/24SERVERETH3FWAPEth1SW

10、（20 口）SERVER网卡192.168.28.10/24(二) 第一阶段任务书任务 1：网络平台搭建 （50 分）题号网络需求1根据网络拓扑图所示，按照 IP 地址参数表，对 FW 的名称、各接口 IP 地址进 行配置。2根据网络拓扑图所示，按照 IP 地址参数表，对 SW 的名称进行配置，创建 VLAN 并将相应接口划入 VLAN。3根据网络拓扑图所示，按照 IP 地址参数表，对 AC 的各接口 IP 地址进行配 置。4根据网络拓扑图所示，按照 IP 地址参数表，对 BC 的名称、各接口 IP 地址进 行配置。5按照 IP 地址规划表，对 WEB 应用防火墙的名称、各接口 IP 地址进行

11、配置。任务 2：网络安全设备配置与防护（250 分）1. 北京总公司和南京分公司有两条裸纤采用了骨干链路配置，做必要的配置，只允许必要的 vlan 通过，不允许其他 vlan 信息通过包含 vlan1。2. SW 和 AC 开启 telnet 登录功能， telnet 登录账户仅包含“*2023”，密 码为明文“*2023”，采用 telnet 方式登录设备时需要输入 enable 密码，密码设置为明文“12345 ” 。3. 北京总公司和南京分公司租用了运营商三条裸光纤， 实现内部办公互通。一条裸光纤承载公司财务部门业务，另外两条裸光纤承载其他内部有业务。 使用相关技术实现总公司财务段路由表

12、与公司其它业务网段路由表隔 离，财务业务位于 VPN 实例名称 CW 内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用 RIP 路由实现互相访问。4. SW 和 AC 之间启用 MSTP，实现网络二层负载均衡和冗余备份，要求如下： 无线用户关联实例 1，信息部门关联实例 2，名称为 SKILLS，修订版本为 1，设置 AC 为根交换机，走 5 口链路转发、信息部门通过 6 口链路转发，同时实现链路备份。除了骨干接口，关闭其他接口生成树协议。5. 总公司产品部门启用端口安全功能， 最大安全MAC地址数为20，当超过设定 MAC地址数量的最大值， 不学习新的MAC、丢弃数据包、发

13、 snmp trap、同时 在syslog日志中记录， 端口的老化定时器到期后， 在老化周期中没有流量的 部分表项老化，有流量的部分依旧保留， 恢复时间为10分钟； 禁止采用访问 控制列表，只允许IP主机位为20-50的数据包进行转发； 禁止配置访问控制列表，实现端口间二层流量无法互通，组名称FW。6. 由于总公司出口带宽有限， 需要在交换机上对总公司销售部门访问因特网 http 服务做流量控制，访问 http 流量最大带宽限制为 20M 比特/秒，突发值设为 4M 字节，超过带宽的该网段内的报文一律丢弃。7. 在 SW 上配置将 8 端口收到的源 IP 为 10.0.41.111 的帧重定向

14、到 9 端口，即从 8 端口收到的源 IP 为 10.0.41.111 的帧通过 9 端口转发出去。8. 总公司 SW 交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离， 因特网路由实例名 internet。9. 对 SW 上 VLAN60 开启以下安全机制：启用环路检测， 环路检测的时间间隔 为 10s，发现环路以后关闭该端口， 恢复时间为 30 分钟； 如私设 DHCP 服务器关闭该端口;开启防止 ARP 网关欺骗。10. 配置使北京公司内网用户通过总公司出口 BC 访问因特网，分公司内网用户 通过分公司出口 FW 访问因特网，要求总公司销售部门的用户访问因特网的 流量

15、往反数据流都要经过防火墙， 在通过 BC 访问因特网;防火墙 untrust和 trust1 开启安全防护，参数采用默认参数。11. 总部核心交换机上配置 SNMP，引擎 id 分别为 1；创建组 GROUP2023，采 用最高安全级别，配置组的读、写视图分别为：SKILLS_R、SKILLS_W；创 建认证用户为 USER2023，采用 aes 算法进行加密，密钥为 Pass-1234，哈 希算法为 sha，密钥为 Pass-1234；当设备有异常时，需要用本地的环回地 址。 loopback1 发送 v3 Trap 消息至集团网管服务器 20.10.11.99、采用最 高安全级别；当财务部

16、门对应的用户接口发生 UP DOWN 事件时， 禁止发送trap 消息至上述集团网管服务器。12. 总公司和分公司今年进行 IPv6 试点， 要求总公司和分公司销售部门用户能 够通过 IPV6 相互访问， IPV6 业务通过租用裸纤承载。实现分公司和总公司 ipv6 业务相互访问；FW、AC 与 SW 之间配置动态路由 OSPF V3 使总公司和分公司可以通过 IPv6 通信。13. 在总公司核心交换机 SW 配置 IPv6 地址，开启路由公告功能，路由器公告 的生存期为 2 小时，确保销售部门的 IPv6 终端可以通过 DHCP SERVER 获取IPv6 地址， 在 SW 上开启 IPV6

17、 dhcp server 功能。14. 在南京分公司上配置 IPv6 地址，使用相关特性实现销售部的 IPv6 终端可自动从网关处获得 IPv6 无状态地址。15. FW、SW、AC、BC 之间配置 OSPF area 0 开启基于链路的 MD5 认证，密钥自 定义， SW 与 AC 手动配置 INTERNET 默认路由， 让总公司和分公司内网用户能够相互访问包含 AC 上 loopback1 地址。16. 分公司销售部门通过防火墙上的 DHCP SERVER 获取 IP 地址，server IP 地 址为 20.0.0.254，地址池范围 172.16.40.10-172.16.40.100

18、，dns-server8.8.8.8。17. 如果 SW 的 11 端口的收包速率超过 30000 则关闭此端口， 恢复时间 5 分钟；为了更好地提高数据转发的性能，SW 交换中的数据包大小指定为 1600字节；18. 为实现对防火墙的安全管理，在防火墙 FW 的 Trust 安全域开启PING,HTTP，telnet，SNMP 功能， Untrust 安全域开启 SSH、HTTPS 功能。19. 在分部防火墙上配置，分部 VLAN 业务用户通过防火墙访问 Internet 时，转换为公网 IP： 182.22.1.1/29；保证每一个源 IP 产生的所有会话将被 映射到同一个固定的 IP 地

19、址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至 20.10.28.10 的 UDP 2000 端口。20. 远程移动办公用户通过专线方式接入分公司网络，在防火墙 FW 上配置，采 用 L2TP 方式实现仅允许对内网信息部门的访问，端口号使用 4455，用户名密码均为 ABC2023，地址池参见地址表。21. 分公司部署了一台 AC 为了便于远程管理，需要把 AC 的 web 映射到外网，让外网通过能通过防火墙外网口地址访问 AC 的 web 服务， AC 地址为loopback 地址。22. 为了安全考虑， 无线用户移动性较强，访问因特网时需要在 BC 上开启 web 认证使

20、用 https 方式，采用本地认证，密码账号都为 web2023，同一用户名只能在一个客户端登录，设置超时时间为 30 分钟。23. 由于分公司到因特网链路带宽比较低，出口只有 200M 带宽，需要在防火墙 配置 iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为 2M，上传为 1M，优先保障 HTTP 应用，为 http 预留 100M 带宽。24. 为净化上网环境，要求在防火墙 FW 做相关配置，禁止无线用户周一至周五 工作时间 9：00-18：00 的邮件内容中含有“病毒”、“赌博”的内容， 且记录日志。25. 由于总公司无线是通过分公司的无线控制器统一

21、管理，为了防止专线故障 导致无线不能使用，总公司和分公司使用互联网作为总公司无线 ap 和 AC 相互访问的备份链路。 FW 和 BC 之间通过 IPSEC 技术实现 AP 管理段与无线 AC 之间联通，具体要求为采用预共享密码为 *2023，IKE 阶段 1 采用DH 组 1、3DES 和 MD5 加密方， IKE 阶段 2 采用 ESP-3DES，MD5。26. 总公司用户，通过 BC 访问因特网， BC 采用路由方式，在 BC 上做相关配 置，让总公司内网用户（不包含财务）通过 ip：183.23.1.1/29 访问因特网。27. 在 BC 上配置 PPTP vpn 让外网用户能够通过

22、PPTP vpn 访问总公司 SW 上内网地址， 用户名为 GS2023，密码 123456。28. 为了提高分公司出口带宽， 尽可能加大分公司 AC 和出口 FW 之间带宽。29. 在 BC 上开启 IPS 策略，对分公司内网用户访问外网数据进行 IPS 防护， 保护服务器、客户端和恶意软件检测，检测到攻击后进行拒绝并记录日志。30. 对分公司内网用户访问外网数据进行防病毒防护，检查协议类型包含HTTP、FTP、POP3、SMTP，文件类型包含exe、bat、vbs、txt，检测到攻击后进行记录日志并阻断。31. 总公司出口带宽较低，总带宽只有200M，为了防止内网用户使用p2p迅雷下 载占

23、用大量带宽需要限制内部员工使用P2P工具下载的流量，最大上下行带宽都为50M，以免P2P流量占用太多的出口网络带宽, 启用阻断记录。32. 通过 BC 设置分公司用户在上班时间周一到周五 9:00 到 18:00 禁止玩游戏,并启用阻断记录。33. 限制总公司内网用户访问因特网 web 视频和即时通信上传最大带宽为 10M，启用阻断记录。34. BC 上开启黑名单告警功能， 级别为预警状态， 并进行邮件告警和记录日志，发现 cpu 使用率大于 80%，内存使用大于 80%时进行邮件告警并记录日志，级别为严重状态。 发送邮件地址为 123，接收邮件为133139123456。35. 分公司内部有

24、一台网站服务器直连到 WAF，地址是 192.168.28.10，端口是8080，配置将服务访问日志、WEB 防护日志、服务监控日志信息发送syslog 日志服务器， IP 地址是 192.168.28.6，UDP 的 514 端口。36. 要求能自动识别内网 HTTP 服务器上的 WEB 主机，请求方法采用 GET、POST方式。37. 在 WAF 上针对 HTTP 服务器进行 URL 最大个数为 10，Cookies 最大个数为 30，Host 最大长度为 1024，Accept 最大长度 64 等参数校验设置， 设置严重级别为中级， 超出校验数值阻断并发送邮件告警。38. 为防止 网站资

25、源被其他网站利用， 通过 WAF 对资源链 接进行保护，通过 Referer 方式检测， 设置严重级别为中级， 一经发现阻断并发送邮件告警。39. 为更好对服务器 192.168.28.10 进行防护，防止信息泄露，禁止美国地区访问服务器。40. 在 WAF 上配置基础防御功能，建立特征规则“HTTP 防御”，开启 SQL 注入、 XSS 攻击、信息泄露等防御功能，要求针对这些攻击阻断并保存日志发送邮件告警。41. 在 WAF 上配置定期每周六 1 点对服务器的 http:/192.168.28.10/进行最大深度的漏洞扫描测试。42. 为了对分公司用户访问因特网行为进行审计和记录， 需要把

26、AC 连接防火墙的流量镜像到 8 口。43. 由于公司 IP 地址为统一规划，原有无线网段 IP 地址为 172.16.0.0/22,为 了避免地址浪费需要对 ip 地址进行重新分配； 要求如下：未来公司预计部 署 ap 150 台；办公无线用户 vlan 10 预计 300 人，来宾用户 vlan20 以及不超过 50 人。44. BC 上配置 DHCP，管理 VLAN 为 VLAN100,为 AP 下发管理地址，网段中第一 个可用地址为 AP 管理地址， 最后一个可用地址为网关地址， AP 通过 DHCP opion 43 注册， AC 地址为 loopback1 地址；为无线用户 VLA

27、N10,20 下发 IP地址，最后一个可用地址为网关； AP 上线需要采用 MAC 地址认证。45. AC 配置 dhcpv4 和 dhcpv6，分别为总公司产品段 vlan50 分配地址； ipv4 地 址池名称分别为 POOLv4-50，ipv6 地址池名称分别为 POOLv6-50；ipv6 地址池用网络前缀表示；排除网关； DNS 分别为 114.114.114.114 和2400:3200:1；为 PC1 保留地址 192.168.50.9 和2001:da8:192:168:50:9， SW 上中继地址为 AC loopback1 地址。46. 在 NETWORK 下配置 SSID

28、，需求如下： NETWORK 1 下设置 SSID *2023，VLAN10，加密模式为 wpa-personal,其口令为 20232023。47. NETWORK 2 下设置 SSID GUEST，VLAN20 不进行认证加密,做相应配置隐藏该 SSID； NETWORK 2 开启内置 portal+本地认证的认证方式，账号为 test 密码为 test2023。48. 配置 SSID GUEST 每天早上 0 点到 6 点禁止终端接入; GUSET 最多接入 10 个 用户，并对 GUEST 网络进行流控， 上行 1M，下行 2M；配置所有无线接入用户相互隔离。49. 配置当 AP 上线

29、，如果 AC 中储存的 Image 版本和 AP 的 Image 版本号不同时，会触发 AP 自动升级；配置 AP 发送向无线终端表明 AP 存在的帧时间间 隔为 2 秒；配置 AP 失败状态超时时间及探测到的客户端状态超时时间都为2 小时；配置 AP 在脱离 AC 管理时依然可以正常工作。50. 为防止外部人员蹭网，现需在设置信号值低于 50%的终端禁止连接无线信号；为防止非法 AP 假冒合法 SSID，开启 AP 威胁检测功能。ChinaSkills全国职业院校技能大赛高等职业教育组信息安全管理与评估模块二网络安全事件响应、数字取证调查、应用程序安全竞赛项目赛题本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括： 网络安全事件响应、数字取证调查、应用程序安全。本次比赛时间为 180