《GZ032 信息安全管理与评估赛项任务书(模块一)-2023年全国职业院校技能大赛赛项正式赛卷.docx》由会员分享,可在线阅读,更多相关《GZ032 信息安全管理与评估赛项任务书(模块一)-2023年全国职业院校技能大赛赛项正式赛卷.docx(10页珍藏版)》请在课桌文档上搜索。
1、全国职业院校技能大赛高等职业教育组信息安全管理与评估任务书模块一网络平台搭建与设备安全防护一、比赛时间本阶段比赛时长为180分钟。二、赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段网络平台搭建与设备安全防护任务1网络平台搭建9:00-12:0050任务2网络安全设备配置与防护250三、赛项内容本次大赛,各位选手需要完成三个阶段的任务,每个阶段需要按裁判组专门提供的U盘中的“信息安全管理与评估竞赛答题卡.模块X”提交答案。选手首先需要在U盘的根目录下建立一个名为“AGWxx”的文件夹(XX用具体的工位号替代),请将赛题第一阶段所完成的“信息安全管理与评估竞赛答题卡-模块一,答题文档,放置在
2、“AGWxx”文件夹中。例如:08工位,则需要在U盘根目录下建立“AGW08”文件夹,请将第一阶段所完成的“信息安全管理与评估竞赛答题卡-模块一”答题文档,放置在“AGW08”文件夹中。【注意事项】只允许在根目录下的“AGWxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。(一)赛项环境设置1. 网络拓扑图2. IP地址规划表设备名称接口IP地址对端设备接口防火墙FWETH0/1-220.1.0.1/30Ctrustl安全域)SWETH1/0/1-220.1.1.1/30(untrustl安全域)SW202.22.1.1/29(untrust)
3、SWETH0/320.10.28.124(DMZ)WAFETH0/4-520.1.0.14/30(trust)ACETH1/0/21-22Loopbackl20.0.0.254/32(trust)Router-idSSLPool192.168.10.1/26可用IP数量为20SSLVPN地址池三层交换机SWETH1/0/4财务专线ACETH1/0/4ETH1/0/5办公专线ACETH1/0/5VLAN21ETH1/0/1-220.1.0.2/30FWVlannameTO-FWlVLAN22ETH1/0/1-220.1.1.2/30FWVlannameTO-FW2VLAN23202.22.1.2
4、/29FWVlanname设备名称接口IP地址对端设备接口ETH1/0/1-2TO-internetVLAN24ETH1/0/23-24203.23.1.1/29BCVlannameTO-BCVLAN25ETH1/0/18-1920.1.0.17/30BCVlannameTO-BC-NVLAN10需设定无线1VlannameWIFLvlanlOVLAN20需设定无线2VlannameWIFI-vlan20VLAN30ETH1/0/420.1.0.5/30AC1/0/4VlannameTO-CWVLAN31ETH1/0/10-1210口开启Ioopback20.1.3.1/25VlannameC
5、WVLAN40ETH1/0/520.1.0.9/30AC1/0/5VlannameTO-IPV6VLAN41ETHl/0/6-920.1.41.1/24PC3VlannameBGVLAN50ETH1/0/13-1413口开启100PbaCk20.1.50.1/24IPV62001:DA8:50:1/64VlannameSalesVLAN100ETH1/0/20需设定VlannameAP-ManageLoopbackl20.0.0.25332(router-id)无线控制器ACVLAN30ETH1/0/420.1.0.6/30SW1/0/4VlannameTO-CWVLAN31ETHl/0/6-
6、96口开启Ioopback20.1.3.129/25VlannameCWVLAN40ETH1/0/520.1.0.10/30SW1/0/5VlannameTO-IPV6VLAN60ETH1/0/13-1413口开启IooPbaCk20.1.60.1/24IPV62001:DA8:60:1/64VlannamesalesVLAN61ETH1/0/15-1815口开启Ioopback20.1.61.1/24VlannameBGVLAN100ETH1/0/21-2220.1.0.13/30FWETHl/0/4-5VlannameTO-FWLoopbackl20.1.1.25432(router-id
7、)0志服务器BCETH1-220.1.0.18/30SWETH3203.23.1.2/29SWPPTP-pool192.168.10.129/26(10个地址)WEBETH220.10.28.2/24SERVERETH3FW设备名称接口IP地址对端设备接口应用防火墙WAFAPETHlSW(20口)PCl网卡ETH1/0/7SWSERVER网卡20.10.28.10/24(二)第一阶段任务书任务1:网络平台搭建(50分)题号网络需求1根据网络拓扑图所示,按照IP地址参数表,对FW的名称、各接口IP地址进行配置。设备名称根据网络拓扑图所示配置。2根据网络拓扑图所示,按照IP地址参数表,对SW的名称
8、进行配置,创建VLAN并将相应接口划入VLAN。设备名称根据网络拓扑图所示配置。3根据网络拓扑图所示,按照IP地址参数表,对AC的各接口IP地址进行配置。设备名称根据网络拓扑图所示配置。4根据网络拓扑图所示,按照IP地址参数表,对BC的名称、各接口IP地址进行配置。设备名称根据网络拓扑图所示配置。5根据网络拓扑图所示,按照IP地址规划表,对WEB应用防火墙的名称、各接口IP地址进行配置。设备名称根据网络拓扑图所示配置。任务2:网络安全设备配置与防护(250分)1 .SW和AC开启telnet登录功能,telnet登录账户仅包含“ABC4321”,密码为明文“ABC4321”,采用telnet方
9、式登录设备时需要输入enable密码,密码设置为明文“12345”。2 .北京总公司和南京分公司租用了运营商两条裸光纤,实现内部办公互通。一条裸光纤承载公司财务部门业务,一条裸光纤承载其他内部业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离,财务业务位于VPN实例名称CW内,总公司财务和分公司财务能够通信,财务部门总公司和分公司之间采用RlP路由实现互相访问。3 .尽可能加大总公司核心和出口BC之间的带宽。4 .为防止终端产生MAC地址泛洪攻击,请配置端口安全,已划分VLAN41的端口最多学习到5个MAC地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LoG日志;连
10、接PCl的接口为专用接口,限定只允许PCl的MAC地址可以连接。5 .总公司核心交换机端口ETHI/0/6上,将属于网段20.1.41.0内的报文带宽限制为IOMbPs,突发值设为4M字节,超过带宽的该网段内的报文一律丢弃。6 .在SW上配置办公用户在上班时间(周一到周五9:00-17:00)禁止访问外网,内部网络正常访问。7 .总公司SW交换机模拟因特网交换机,通过某种技术实现本地路由和因特网路由进行隔离,因特网路由实例名interneto8 .对SW上VLAN50开启以下安全机制。业务内部终端相互二层隔离;14口启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为3
11、0分钟,如私设DHCP服务器关闭该端口,同时开启防止ARP网关欺骗攻击。9 .配置使北京公司内网用户通过总公司出口BC访问因特网,分公司内网用户通过分公司出口FW访问因特网,要求总公司核心交换机9口VLAN41业务的用户访问因特网的流量往反数据流经过防火墙在通过BC访问因特网;防火墙UntnIStl和trustl开启安全防护,参数采用默认参数。10 .为了防止DoS攻击的发生,在总部交换机VLAN50接口下对MAC、ARP、ND表项数量进行限制,具体要求为:最大可以学习20个动态MAC地址、20个动态ARP地址、50个NElGHBOR表项。11 .总公司和分公司今年进行IPv6试点,要求总公司
12、和分公司销售部门用户能够通过IPv6相互访问,IPv6业务通过租用裸纤承载。实现分公司和总公司IPv6业务相互访问;AC与SW之间配置静态路由使VLAN50与VLAN60可以通过IPv6通信;VLAN40开启IPv6,IPv6业务地址规划如下:业务IPv6地址总公司VLAN502001:DA8:50:1/64分公司VLAN602001:DA8:60::1/6412 .在总公司核心交换机SW配置IPv6地址,开启路由公告功能,路由器公告的生存期为2小时,确保销售部门的IPv6终端可以通过DHCPSERVER获取IPv6地址,在SW上开启IPv6DHCPserver功能,IPv6地址范围2001:
13、da8:50:2-2001:da8:50:100o13 .在南京分公司上配置IPv6地址,使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。14 .SW与AC,AC与FW之间配置OSPFareaO开启基于链路的MD5认证,密钥自定义,传播访问Internet默认路由,让总公司和分公司内网用户能够相互访问包含AC上Ioopbackl地址;总公司SW和BC之间运行静态路由协议。15 .分公司销售部门通过防火墙上的DHCPSERVER获取IP地址,SerVerIP地址为20.0.0.254,地址池范围20.1.60.10-20.1.60.100,dns-server8.8.8
14、.8o16 .如果SW的11端口的收包速率超过30000则关闭此端口,恢复时间5分钟,为了更好地提高数据转发的性能,SW交换中的数据包大小指定为1600字节。17 .为实现对防火墙的安全管理,在防火墙FW的TrUSt安全域开启PING,HTTP,telnet,SNMP功能,UntrUSt安全域开启SSH、HTTPS功能。SNMP服务器地址:20.10.28.100,团体字:skillso18 .在分部防火墙上配置,分部VLAN业务用户通过防火墙访问Internet时,复用公网IP:202.22.L3、202.22.1.4;保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹
15、配本地址转换规则时产生日志信息,将匹配的日志发送至20.10.28.10的UDP2000端口。19 .远程移动办公用户通过专线方式接入分公司网络,在防火墙FW上配置,采用SSL方式实现仅允许对内网VLAN61的访问,端口号使用4455,用户名密码均为ABC4321,地址池参见地址表。20 .分公司部署了一台Web服务器IP为20.10.28.10,接在防火墙的DMZ区域为外网用户提供Web服务,要求内网用户能ping通Web服务器和访问服务器上的Web服务(端口80)和远程管理服务器(端口3389),外网用户只能通过防火墙外网地址访问服务器Web服务。21 .为了安全考虑,无线用户移动性较强,
16、访问因特网时需要在BC上开启Web认证,采用本地认证,密码账号都为web4321022 .由于分公司到因特网链路带宽比较低,出口只有200MbPS带宽,需要在防火墙配置iQoS,系统中P2P总的流量不能超过IOoMbPs,同时限制每用户最大下载带宽为2Mbps,上传为IMbPs,优先保障HTTP应用,为HTTP预留IoOMbPS带宽。23 .为净化上网环境,要求在防火墙FW做相关配置,禁止无线用户周一至周五工作时间9:00-18:00的邮件内容中含有“病毒”“赌博”的内容,且记录日志。24 .由于总公司无线是通过分公司的无线控制器统一管理,为了防止专线故障导致无线不能使用,总公司和分公司使用互
17、联网作为总公司无线AP和AC相互访问的备份链路。FW和BC之间通过IPSec技术实现AP管理段与无线AC之间联通,具体要求为采用预共享密码为ABC4321,IKE阶段1采用DH组1、3DES和MD5加密方式,IKE阶段2采用ESP-3DES,MD5o25 .总公司用户,通过BC访问因特网,BC采用路由方式,在BC上做相关配置,让总公司内网用户(不包含财务)通过BC外网口IP访问因特网。26 .在BC上配置PPTPVPN让外网用户能够通过PPTPVPN访问总公司SW上内网地址,用户名为test,密码test23027 .为了提高分公司出口带宽,尽可能加大分公司AC和出口FW之间带宽。28 .在B
18、C上配置UrI过滤策略,禁止总公司内网用户在周一到周五的早上8点到晚上18点访问外网o29 .在BC上开启IPS策略,对总公司内网用户访问外网数据进行IPS防护,保护服务器、客户端和恶意软件检测,检测到攻击后进行拒绝并记录日志。30 .总公司出口带宽较低,总带宽只有200Mbps,为了防止内网用户使用P2P迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量,最大上下行带宽都为50Mbps,以免P2P流量占用太多的出口网络带宽,启用阻断记录。31 .通过BC设置总公司用户在上班时间周一到周五9:00到18:00禁止玩游戏,并启用阻断记录。32 .限制总公司内网用户访问因特网Web视频和
19、即时通信下行最大带宽为20Mbps,上传为IOMbps,启用阻断记录。33 .BC上开启黑名单告警功能,级别为预警状态,并进行邮件告警和记录日志,发现CPU使用率大于80%,内存使用大于80%时进行邮件告警并记录日志,级别为严重状态。发送邮件地址为123,接收邮件为133139123456。34 .分公司内部有一台网站服务器直连到WAF,地址是20.10.28.10,端口是8080,配置将服务访问日志、DDOS日志、攻击日志信息发送SySlOg日志服务器,IP地址是20.10.28.6,UDP的514端口。35 .在分公司的WAF上配置,对会话安全进行防护,开启CoOkie加固和加密。36 .
20、编辑防护策略,规则名称为“HTTP协议,定义HTTP请求最大长度为1024,防止缓冲区溢出攻击。37 .为防止暴力破解网站服务器,在WAF上配置对应的防护策略进行限速防护,名称为“防暴力破解”,限速频率为每秒1次,严重级别为高级,记录日志;38 .WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件,规则名称为“阻止文件上传39 .WAF上配置对应防护规则,规则名称为“HTTP特征防护”,要求对SQL注入、跨站脚本攻击XSS、信息泄露、防爬虫、恶意攻击等进行防护,一经发现立即阻断并发送邮件报警及记录日志。40 .WAF上配置对“www.skiH”,开启弱密码检测,名称配置为“弱密码检
21、测41 .WAF上配置防跨站防护功能,规则名称为“防跨站防护”保护“www.skiH”不受攻击,处理动作设置为阻断,请求方法为GET、POST方式。42 .由于公司IP地址为统一规划,原有无线网段IP地址为172.1600/22,为了避免地址浪费需要对IP地址进行重新分配;要求如下:未来公司预计部署AP50台;办公无线用户VLANlO预计300人,来宾用户VLAN20预计不超过30人。43 .AC上配置DHCP,管理VLAN为VLANlo0,为AP下发管理地址,网段中第一个可用地址为AP管理地址,最后一个可用地址为网关地址,AP通过DHCPoPion43注册,AC地址为IoOPbaCkI地址;
22、为无线用户VLANl0、20下发IP地址,最后一个可用地址为网关。44 .在NETWORK下配置SSID,需求如下:NETWORK1TlSSIDABC4321,VLANlO,加密模式为wpapersonal,其口令为43214321。45 .NETWORK2下设置SSIDGUEST,VLAN20不进行认证加密,做相应配置隐藏该SSID。46 .NETWORK2开启内置Porta1+本地认证的认证方式,账号为test密码为test4321047 .配置SSIDGUEST每天早上0点到6点禁止终端接入;GUSET最多接入10个用户,并对GUEST网络进行流控,上行IMbPs,下行2Mbps;配置所有无线接入用户相互隔离。48 .配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级;配置AP发送向无线终端表明AP存在的帧时间间隔为2秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时。49 .为了提高Wifi用户体验感,拒绝弱信号终端接入,设置阈值低于50的终端接入无线信号;为防止非法AP假冒合法SSID,开启AP威胁检测功能。50 .通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源,检测到AP与AC在10分钟内建立连接5次就不再允许继续连接,两小时后恢复正常。
