2017年全国职业院校技能大赛高职组“信息安全管理与评估”样题-2-阿里云开发者社区

2017年全国职业院校技能大赛高职组“信息安全管理与评估”样题-1

https://developer.aliyun.com/article/1501440

任务2：网络安全设备配置与防护（240分）

DCFW:

在总公司的DCFW上配置，连接LAN接口开启PING,HTTP,HTTPS功能，连接 Internet接口开启PING、HTTPS功能；并且新增一个用户，用户名dcn2017，密码dcn2017，该用户只有读-执行权限；

DCFW配置NTP 和 LOG， Server IP为X.X.X.X，NTP认证密码为Dcn2017；

DCFW配置静态ARP绑定，MAC地址880B.0A0B.0C0D与IP地址X.X.X.X绑定；

DCFW连接Internet的区域上配置以下攻击防护：开启以下Flood防护：

ICMP洪水攻击防护，警戒值2000，动作丢弃；

UDP供水攻击防护，警戒值1500，动作丢弃； SYN洪水攻击防护，警戒值5000，动作丢弃；开启以下DOS防护：

Ping of Death攻击防护；

Teardrop攻击防护；

IP选项，动作丢弃；

ICMP大包攻击防护，警戒值2048，动作丢弃；

限制LAN到Internet流媒体RTSP应用会话数，在周一至周五8:00-17:00 每5秒钟会话建立不可超过20；

DCFW上配置NAT功能，使PC2能够通过WEB方式正常管理到WAF，端口号使用10666;）

总公司DCFW配置SSLVPN，建立用户dcn01，密码dcn01，要求连接Internet PC2可以拨入，配置服务端口为9999， SSLVPN地址池参见地址表；

DCFW加强访问Internet安全性，禁止从HTTP打开和下载可执行文件和批处理文件；

DCFW配置禁止所有人在周一至周五工作时间9：00-18：00访问京东 www.jd.com和淘宝www.taobao.com;相同时间段禁止访问中含有“娱乐”、 “新闻”的WEB页面；

DCFW上配置ZONE和放行策略，连接Internet接口为“Untrust”区域，连接DCRS接口为“Trust”区域，连接SSL VPN接口为“VPN HUB”区域，要求配置相应的最严格安全策略；）

DCBI:

在公司总部的DCBI上配置，设备部署方式为旁路模式，并配置监控接口与管理接口;增加非admin账户DCN2017，密码dcn2017，该账户仅用于用户查询设备的系统状态和统计报表;

在公司总部的DCBI上配置，监控周一至周五9：00-18：00 PC-1所在网段用户访问的URL中包含xunlei的HTTP访问记录，并且邮件发送告警;

在公司总部的DCBI上配置，监控PC-1所在网段用户周一至周五9：00-18：

00的即时聊天记录;

公司总部LAN中用户访问网页中带有“MP3”、“MKV” 、“RMVB”需要被

DCBI记录；邮件内容中带有“银行账号”记录并发送邮件告警；

DCBI监控LAN中用户访问网络游戏，包括“QQ游戏”、“魔兽世界”并作记录；

DCBI配置应用及应用组“快播视频”，UDP协议端口号范围23456-23654，

在周一至周五9：00-18：00监控LAN中所有用户的“快播视频”访问记录；

DCBI上开启邮件告警，邮件服务器地址为X.X.X.X，端口号25,告警所用邮箱用户名dcnadmin,密码Dcn2017;当DCBI磁盘使用率超过75%时发送一次报警；

WAF:

在公司总部的WAF上配置，编辑防护策略，定义HTTP请求体的最大长度为

512，防止缓冲区溢出攻击；

在公司总部的WAF上配置，防止某源IP地址在短时间内发送大量的恶意请求，影响公司网站正常服务。大量请求的确认值是：并发访问超过3000次请求；

在公司总部的WAF上配置，对公司网站（X.X.X.X）进行安全评估，检查网站是否存在安全漏洞，便于在攻击没有发生的情况下提前做出防护措施； 21. 使用WAF自带标识组配置爬虫防护与扫描防护，通过WAF阻止爬虫探测；

在公司总部的WAF上配置，禁止HTTP应答中包含敏感字段“赛题”和“答案”的报文经过WAF设备;

公司web应用防火墙透明模式部署，为了防止不法人员对公司内的网站

(X.X.X.X)进行攻击，在web 应用防火墙上开启“黑名单”策略，禁止公网

IP地址（X.X.X.X）访问网站服务器;

公司web应用防火墙透明模式部署，为了防止不法人员对公司内的网站

(X.X.X.X)进行攻击，在web 应用防火墙上开启防止“SQL注入”攻击策略阻止攻击流量；

在公司总部的WAF上配置， WAF设备的内存使用率超过75%每隔5分钟发

送邮件和短信给管理，邮箱admin@digitalchina.com，手机13912345678；

DCRS:

DCRS为接入交换机，为终端产生防止MAC地址防洪攻击，请配置端口安全，每个已划分VLAN的端口最多学习到5个MAC地址，发生违规阻止后续违规流量通过，不影响已有流量并产生LOG日志；Ex/x为专用接口，限定MAC 地址00-11-11-11-11-11可以连接；将连接DCFW的双向流量镜像至Netlog 进行监控和分析；

DCRS配置802.1x认证，Radius服务器IP 地址X.X.X.X,认证密码Dcn2017,

Ex/x号端口开启802.1x功能，接入该端口通过PC上的802.1x软件进行认证；

接入DCRS Ex/x，仅允许IP地址X.X.X.X-X.X.X.X为源的数据包为合法包，以其它IP地址为源地址，交换机直接丢弃；

为拦截，防止非法的MAC地址与IP地址绑定的ARP数据包，配置动态ARP 检测功能，AC为DHCP服务器，限制与AC在同一VLAN接口的ARP阀值为

50；

DCRS上开启以下安全特性，防IP Spoofing攻击、防TCP非法标志攻击、防端口欺骗攻击、防TCP碎片攻击、防ICMP碎片攻击；

DCWS：

AP通过option43方式进行正常注册上线；

设置AP支持802.11n协议，并兼容802.11b和g协议

设置SSID DCN，加密模式为wpa-personal,其口令为：chinaskill；设置SSID GUEST 不进行认证加密；

GUSET最多接入10个用户，用户间相互隔离，并对GUEST网络进行流控，上行1M，下行2M；

通过配置避免接入终端较多且有大量弱终端时，高速客户端被低速客户端

“拖累”，低速客户端不至于长时间得不到传输；

通过使用黑名单技术禁止mac地址为68-a3-c4-e6-a1-be的PC通过无线网络上网；

防止非法AP假冒合法SSID，开启AP威胁检测功能；

通过设置实现在AC断开网络连接时AP还能正常工作；

考虑到无线网络会进一步部署，增加更多的AP，设置已有AP信道和发射功率每隔1小时自动调节；

为防止增多AP后产生过多的ARP数据包，开启ARP抑制功能，要求AP能代为应答其已知的MAC地址；

(三) 第二阶段任务书（300分）

提示：本阶段用到堡垒服务器DCST中的服务器场景，获取服务器IP地址方式如下：

Windows服务器的IP地址可以通过拓扑界面获得，如果获得不了，采用如下方法获得：

通过DCST场景里的网络拓扑图，启动连接设备

进入服务器，用户名为administrator，密码：空

执行ipconfig /all，即可获得服务器IP地址

任务1：缓冲区溢出漏洞渗透测试（50分）

任务描述：

假定各位选手是TaoJin电子商务企业的信息系统安全工程师，负责该企业信息系统的安全维护，在该系统中某程序可能存在缓冲区溢出漏洞；你需要对该程序进行渗透测试，确认程序确实存在该漏洞；

任务环境说明：

主机场景：WindowsXP

主机场景操作系统：Microsoft Windows XP Professional 主机场景安装服务/工具1：Visual C++ 6.0；主机场景安装服务/工具2：OllyICE；主机场景安装服务/工具3：Findjmp；

任务内容：