2022年全国职业院校技能大赛高职组
“信息安全管理与评估”赛项
任务书1
一、赛项第一阶段时间
180分钟。二、赛项信息
| 竞赛阶段 | 任务阶段 | 竞赛任务 | 竞赛时间 | 分值 |
| 第一阶段 平台搭建与安全设备配置防护 | 任务1 | 网络平台搭建 | 180 分钟 | 50 |
| 任务2 | 网络安全设备配置与防护 | 250 |
- 注意事项
赛题第一阶段请按裁判组专门提供的U盘中的“XXX-答题模板” 中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx” 的文件夹(xx用具体的工位号替代),所完成的“XXX-答题模板”放置在文件夹中作为比赛结果提交。
培训、环境、资料、考证
公众号:Geek极安云科
网络安全群:624032112
网络系统管理群:223627079
网络建设与运维群:870959784
移动应用开发群:548238632
短视频制作群:744125867
大数据应用开发群:962141356
物联网应用与服务群:967579409
物联网应用开发群:884879404
极安云科校企合作经理VX liuliu5488233
极安云科专注于技能提升,赋能
2024年广东省高校的技能提升,受赋能的客户院校均获奖!
2024年江苏省赛一二等奖前13名中,我们赋能客户占五支队伍!
2024年湖南省赛赋能三所院校均获奖!
2024年山东省赛赋能两所院校均获奖!
2024年湖北省赛赋能参赛院校九支队伍,共计斩获一等奖2项、三等奖7项!
- 赛项内容
(一)赛项环境设置
-
- 网络拓扑图
-
- IP地址规划表
| 设备名称 | 接口 | IP地址 | 对端设备 |
| 防火墙 FW | ETH0/1-2 | 10.1.0.254/30 (Trust安全域) | RS ETH1/0/1 RS ETH1/0/2 |
| 10.2.0.254/30 (Trust安全域) | |||
| ETH0/3 | 10.3.0.254/30 (Trust安全域) | NETLOG ETH3 | |
| ETH0/4 | 10.4.0.254/30 (Trust安全域) | NETLOG ETH4 | |
| ETH0/5 | 10.100.18.1/27 (untrust安全域) | IDC SERVER 10.100.18.2 | |
| ETH0/6 | 200.1.1.1/28 (untrust安全域) | RS ETH1/0/19 | |
| Loopback1 | 10.11.0.1/24 (Trust安全域) | - | |
| Loopback2 | 10.12.0.1/24 (Trust安全域) | ||
| Loopback3 | 10.13.0.1/24 (Trust安全域) | ||
| Loopback4 | 10.14.0.1/24 (Trust安全域) | ||
| 三层交换机 RS | VLAN 40 ETH1/0/4-8 | 172.16.40.62/26 | PC2 |
| VLAN 50 ETH1/0/3 | 172.16.50.62/26 | PC3 | |
| VLAN 51 ETH1/0/23 | 10.51.0.254/30 | NETLOG | |
| VLAN 52 | 10.52.0.254/24 | WAF | |
| VLAN 113 | VLAN113 OSPF 10.1.0.253/30 | FW | |
| VLAN 114 | VLAN114 OSPF 10.2.0.253/30 | FW | |
| VLAN 117 ETH1/0/17 | 10.3.0.253/30 | NETLOG ETH1 | |
| VLAN 118 ETH1/0/18 | 10.4.0.253/30 | NETLOG ETH2 | |
| ETH1/0/20 | VLAN 100 192.168.100.1/30 2001::192:168:100:1/112 VLAN115 OSPF 10.5.0.254/30 VLAN116 OSPF 10.6.0.254/30 | WS | |
| VLAN 4000 ETH1/0/19 | 200.1.1.2/28 | FW | |
| 三层无线交换机WS | ETH1/0/20 | VLAN 100 192.168.100.2/30 2001::192:168:100:2/112 VLAN 115 10.5.0.253/30 VLAN 116 10.6.0.253/30 | RS |
| VLAN 30 ETH1/0/3 | 172.16.30.62/26 | PC1 | |
| 无线管理VLAN VLAN 101 ETH1/0/21 | 需配置 | AP | |
| VLAN 10 | 需配置 | 无线1 | |
| VLAN 20 | 需配置 | 无线2 | |
| 日志服务器 NETLOG | ETH5 | 10.51.0.253/30 | RS ETH E1/0/23 |
| WEB应用防火墙WAF | ETH3 | 10.52.0.253/30 | RS ETH E1/0/24 |
| ETH4 | 堡垒服务器 |
-
- 设备初始化信息表
| 设备类型 | 设备型号 | 登录端口 | 登录方式 | 账号 | 密码 |
| 防火墙 | DCFW-1800E- N3002-PRO | E0/0 | admin | admin | |
| 三层交换机 | CS6200-28X- PRO | CONSOLE | 波特率9600 |
|
|
| WEB 防火墙 | DCFW-1800- WAF-P | GE0 | https://192.168.254.1 | admin | yunke1234! |
| 网络日志系统 | DCBC-NETLOG | GE0 | admin | Admin*PWD | |
| 三层无线交换机 | DCWS-6028- PRO | CONSOLE | 波特率9600 | admin | admin |
第一阶段任务书任务1:网络平台搭建(50分)
| 题号 | 网络需求 |
| 1 | 按照IP地址规划表,对防火墙的名称、各接口IP地址进行配置。 (10分) |
| 2 | 按照IP地址规划表,对三层交换机的名称进行配置,创建VLAN并将相应接口划入VLAN, 对各接口IP地址进行配置。(10分) |
| 3 | 按照IP地址规划表,对无线交换机的名称进行配置,创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置。(10分) |
| 4 | 按照IP地址规划表,对网络日志系统的名称、各接口IP地址进行配置。(10分) |
| 5 | 按照IP地址规划表,对WEB应用防火墙的名称、各接口IP地址进行配置。(10分) |
任务2:网络安全设备配置与防护(250分)
- RS开启telnet登录功能,用户名skills01,密码skills01,
配置使用telnet方式登录终端界面前显示如下授权信息:
“WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility”; (16分)
- 总部交换机SW配置简单网络管理协议,计划启用V3版本,V3 版本在安全性方面做了极大的扩充。配置引擎号分别为62001;创建认证用户为skills01,采用3des算法进行加密,密钥为:
skills01,哈希算法为SHA,密钥为:skills01;加入组ABC,
采用最高安全级别;配置组的读、写视图分别为:2022_R、
2022_W;当设备有异常时,需要使用本地的VLAN100地址发送 Trap消息至网管服务器10.51.0.203,采用最高安全级别; (6 分)
- 对RS上VLAN40开启以下安全机制:
业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟;如发现私设DHCP服务器则关闭该端口,配置防止ARP欺骗攻击;
(6分)
- 勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络攻击,通过对总部核心交换机RS所有业务VLAN下配置访问控制策略实现双向安全防护; (6分)
- RS配置IPv6地址,使用相关特性实现VLAN50的IPv6终端可自
动从网关处获得IPv6有状态地址;(6分)
WS配置IPv6地址,开启路由公告功能,路由器公告的生存期为 2小时,确保VLAN30的IPv6终端可以获得IPv6无状态地址。 WS与RS之间配置RIPng, 使PC1与PC3可以通过IPv6通信;
IPv6业务地址规划如下,其它IPv6地址自行规划:
| 业务 | IPV6地址 |
| VLAN30 | 2001:30::254/64 |
| VLAN50 | 2001:50::254/64 |
- 尽可能加大RS与防火墙FW之间的带宽;
配置使总部VLAN40业务的用户访问IDC SERVER的数据流经过
FW 10.1.0.254, IDC SERVER返回数据流经过FW 10.2.0.254,且对双向数据流开启所有安全防护,参数和行为为默认; (6 分)
- FW、RS、WS之间配置OSPF area 0 开启基于链路的MD5认证,密钥自定义,传播访问INTERNET默认路由; (6分)
- FW与RS建立两对IBGP邻居关系,使用AS 65500,FW上
loopback1-4为模拟AS 65500中网络,为保证数据通信的可靠性和负载,完成以下配置,要求如下: (6分)
-
- RS通过BGP到达loopback1,2网路下一跳为10.3.0.254;
RS通过BGP到达loopback3,4网络下一跳为10.4.0.254;
-
- 通过BGP实现到达loopback1,2,3,4的网络冗余;
- 使用IP前缀列表匹配上述业务数据流;
- 使用AS PATH属性进行业务选路,只允许使用route-map来
改变AS PATH属性、实现路由控制,AS PATH属性可配置的参数数值为:65509
- 如果RS E1/0/3端口的收包速率超过30000则关闭此端口,恢复时间5分钟,并每隔10分钟对端口的速率进行统计;为了更好地提高数据转发的性能,RS交换中的数据包大小指定为1600字节; (6分)
10.为实现对防火墙的安全管理,在防火墙FW的Trust安全域开启
PING、HTTP、SNMP功能(loopback接口除外),Untrust安全域开启SSH、HTTPS功能; (6分)
11.总部VLAN业务用户通过防火墙访问Internet时,复用公网
IP: 200.1.1.28/28,保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.51.0.253的 UDP 2000端口;(6分)
12.配置L2TP VPN,名称为VPN,满足远程办公用户通过拨号登陆访
问内网,创建隧道接口为tunnel 1、并加入Untrust安全域,地址池名称为AddressPool,LNS 地址池为10.100.253.1/24-
10.100.253.100/24,网关为最大可用地址,认证账号 skills01,密码skills01; (6分)
13.FW 配置禁止所有人在周一至周五工作时间 9:00-18:00 访问
京东www.jd.com 和淘宝 www.taobao.com;相同时间段禁止访问中含有“娱乐”、“新闻”的 WEB 页面;(6分)
14.在FW开启安全网关的TCP SYN包检查功能,只有检查收到的包
为TCP SYN包后,才建立连接;配置所有的TCP数据包每次能够
传输的最大数据分段为1460,尽力减少网络分片;配置对TCP 三次握手建立的时间进行检查,如果在1分钟内未完成三次握手,则断掉该连接;(6分)
15.为保证总部Internet出口线路,在FW上使用相关技术,通过
ping监控外网网关地址,监控对象名称为Track,每隔5S发送探测报文,连续10次收不到监测报文,就认为线路故障,直接关闭外网接口。FW要求内网每个IP限制会话数量为300;(6 分)
16.Internet端有一分支结构路由器,需要在总部防火墙FW上完成
以下预配,保证总部与分支机构的安全连接:(6分)
防火墙FW与Internet端路由器202.5.17.2建立GRE隧道,并使用IPSec保护GRE隧道,保证分支结构中2.2.2.2与总部
VLAN40安全通信。
第一阶段 采用pre-share认证 加密算法:3DES;第二阶段 采用ESP协议, 加密算法:3DES;
17.已知原AP管理地址为10.81.0.0/15,为了避免地址浪费请重新
规划和配置IP地址段,要求如下:(6分)
- 使用原AP所在网络进行地址划分;
- 现无线用户VLAN 10中需要127个终端,无线用户VLAN 20
需要50个终端;
- WS上配置DHCP,管理VLAN为VLAN101,为AP下发管理地
址,网段中第一个可用地址为AP管理地址,最后一个可用地址为WS管理地址,保证完成AP二层注册;为无线用户
VLAN10,20下发IP地址,最后一个可用地址为网关;
18.在NETWORK下配置SSID,需求如下:(6分)
- NETWORK 1下设置SSID 2022skills-2.4G,VLAN10,加密模式为wpa-personal,其口令为skills01;
- NETWORK 20下设置SSID 2022skills-5G,VLAN20不进行认
证加密,做相应配置隐藏该SSID, 只使用倒数第一个可用VAP
发送5.0G信号;
19.在NETWORK2下配置一个SSID 2022skills_IPv6,属于VLAN21
用于IPv6无线测试,用户接入无线网络时需要采用基于WPA-
personal加密方式,其口令为“skills01”,该网络中的用户
从WS DHCP获取IPv6地址,地址范围为:2001:10:81::/112,
第一个可用地址作为网关地址; (6分)
20.NETWORK 1开启内置portal+本地认证的认证方式,账号为 GUEST密码为123456,保障无线信息的覆盖性,无线AP的发射功率设置为90%。禁止MAC地址为80-45-DD-77-CC-48的无线终端连接; (6分)
21.通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU
资源,检测到AP与AC在10分钟内建立连接5次就不再允许继续连接,两小时后恢复正常; (6分)
22.为方便合理使用带宽,要求针对SSID为“2022skills-2.4”下的用户进行带宽控制。对用户上行速率没有限制,但是针对下行速率要求用户的带宽为2Mbps,在最大带宽可以达到4Mbps; (6 分)
23.配置所有Radio接口:AP在收到错误帧时,将不再发送ACK
帧;打开AP组播广播突发限制功能;开启Radio的自动信道调整,每天上午10:00触发信道调整功能; (6分)
24.配置所有无线接入用户相互隔离,Network模式下限制每天早上
0点到4点禁止终端接入,开启ARP抑制功能; (6分)
25.配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级;配置AP发送向无线终端表明 AP存在的帧时间间隔为1秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时; (6分)
26.在公司总部的NETLOG上配置,设备部署方式为透明模式。增加非admin账户skills01,密码skills01@,该账户仅用于用户日志查询;(6分)
27.为日志查询的时间准确性,要求在NETLOG上配置NTP服务,NTP
服务器设定为中国科学院国家授时中心(ntp.ntsc.ac.cn);(6 分)
28.在公司总部的NETLOG上配置,在工作日(每周一到周五09:
00-17:00)期间针对所有无线网段访问互联网进行审计,不限制其他用户在工作日(每周一到周五上班)期间访问互联网;
(6分)
29.NETLOG 配置应用“即时聊天”,在周一至周五8:00-20:00监控内网中所有用户的腾讯QQ相关应用;(6分)
30.NETLOG配置内容管理,对邮件内容包含“协议”、“投诉”字样的邮件;(6分)
31.NETLOG上配置报警邮箱,邮件服务器IP为172.16.10.33,端口
号为25,账号为:skills01,密码: skills01,同时把报警邮件抄送给Manager@ chinaskills.com; (6分)
32.使用NETLOG对内网所有IP进行本地认证,认证页面为默认,要求HTTP认证后的用户在每天凌晨2点强制下线,并且对访问
HTTP服务器172.16.10.45的80端口进行免认证;(6分)
33.NETLOG上针对服务器172.16.10.45/32遭遇到的RPC攻击、DNS 攻击、数据库攻击、DOS攻击、扫描攻击进行所有级别的拒绝动作,并记录日志;(6分)
34.在公司总部的WAF上配置,设备部署方式为透明模式。要求对内网HTTP服务器172.16.10.45/32启用代理模式,服务器名称为
“HTTP”,后续对这台服务器进行Web防护配置; (6分)
35.建立扫描防护规则“http扫描”,类型为扫描陷阱,严重级别为高级,开启邮件告警和日志功能;(6分)
36.建立特征规则“http防御”,开启SQL注入、XXS攻击、信息泄
露等防御功能,要求针对这些攻击阻断并保存日志发送邮件告警; (6分)
37.建立HTTP协议校验规则“http防护”,URL最大个数为10,
Cookies最大个数为30,Host最大长度为1024,Accept最大长度64等参数校验设置,设置严重级别为中级,超出参数值阻断并保存日志发送邮件告警; (6分)
38.建立爬虫防护规则“http爬虫”,保护www.2022skills.com网站不受爬虫攻击,设置严重级别为高级,一经发现攻击阻断10 分钟并保存日志发送邮件告警; (6分)
39.建立防盗链规则“http盗链”,防止www.2022skills.com网站资源被其他网站利用,通过Referer方式检测,设置严重级别为中级,优先级为1,一经发现阻断并保存日志发送邮件告警;
40.为方便日志的保存和查看,需要将WAF上的攻击日志、访问日志、DDoS日志以JSON格式发给IP地址为172.16.10.200的日志服务器上,端口为514; (6分)
标签:FW,VLAN,配置,RS,赛项,30,职业院校,AP,任务书 From: https://blog.csdn.net/qq_22406677/article/details/139277497