2024年江苏省职业院校技能大赛信息安全管理与评估 第一阶段学生组(样卷)

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云防火墙,500元 1000GB
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 2024年江苏省职业院校技能大赛信息安全管理与评估 第一阶段学生组(样卷)

2024年江苏省职业院校技能大赛信息安全管理与评估 第一阶段学生组(样卷)

一、赛项信息

竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 09:00- 12:00 50
任务2 网络安全设备配置与防护 250

二、赛项内容

本次大赛,各参赛队需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。


选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。


例如:08工位,则需要在U盘根目录下建立“GW08”文件夹,并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。


特别说明:只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。


(一)赛项环境设置

某集团公司原在北京建立了总部,在南京设立了分公司。总部设有销售、产品、财务、信息技术4个部门,分公司设有销售、产品、财务3个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF动态路由协议和静态路由协议进行互连互通。公司规模在2023年快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入,采用一台BC作为总公司因特网出口;分公司采用一台FW防火墙作为因特网出口设备,一台AC作为分公司核心,同时作为集团有线无线智能一体化控制器,通过与AP高性能企业级AP配合实现集团无线覆盖,总部有一台WEB服务器,为了安全考虑总公司部署了一台WAF对服务器进行web防护。在2023年公司进行IPV6网络改造,内部网络采用双栈模式。Ipv6网络采用ospf V3实现互通。


1.网络拓扑图

image.png

image.png

(二)第一阶段任务书

任务 1:网络平台搭建(50 分)

题号 网络需求
1 根据网络拓扑图所示,按照IP地址参数表,对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示,按照IP地址参数表,对SW的名称进行配置,创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示,按照IP地址参数表,对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示,按照IP地址参数表,对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表,对WEB 应用防火墙的名称、各接口IP 地址进行配置。

任务 2:网络安全设备配置与防护(250 分)

\1. 北京总公司和南京分公司有两条裸纤采用了骨干链路配置,做


必要的配置,只允许必要的 vlan 通过,不允许其他 vlan 信息


通过包含 vlan1。


\2. SW 和 AC 开启 telnet 登录功能,telnet 登录账户仅包含


“***2023”,密码为明文“***2023”,采用 telnet 方式登录


设备时需要输入 enable 密码,密码设置为明文“12345”。


\3. 北京总公司和南京分公司租用了运营商三条裸光纤,实现内部


办公互通。一条裸光纤承载公司财务部门业务,另外两条裸光


纤承载其他内部有业务。使用相关技术实现总公司财务段路由


表与公司其它业务网段路由表隔离,财务业务位于 VPN 实例名


称 CW 内,总公司财务和分公司财务能够通信,财务部门总公司


和分公司之间采用 RIP 路由实现互相访问。


\4. SW 和 AC 之间启用 MSTP,实现网络二层负载均衡和冗余备份,


要求如下:无线用户关联实例 1,信息部门关联实例 2,名称


为 SKILLS,修订版本为 1,设置 AC 为根交换机,走 5 口链路转


发、信息部门通过 6 口链路转发,同时实现链路备份。除了骨


干接口,关闭其他接口生成树协议。


\5. 总公司产品部门启用端口安全功能,最大安全MAC地址数为20,


当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、


发snmp trap、同时在syslog日志中记录,端口的老化定时器到


期后,在老化周期中没有流量的部分表项老化,有流量的部分依


旧保留,恢复时间为10分钟;禁止采用访问控制列表,只允许IP


主机位为20-50的数据包进行转发;禁止配置访问控制列表,实


现端口间二层流量无法互通,组名称FW。


\6. 由于总公司出口带宽有限,需要在交换机上对总公司销售部门


访问因特网 http 服务做流量控制,访问 http 流量最大带宽限


制为 20M 比特/秒,突发值设为 4M 字节,超过带宽的该网段内


的报文一律丢弃。


\7. 在 SW 上配置将 8 端口收到的源 IP 为 10.0.41.111 的帧重定向


到 9 端口,即从 8 端口收到的源 IP 为 10.0.41.111 的帧通过 9


端口转发出去。


\8. 总公司 SW 交换机模拟因特网交换机,通过某种技术实现本地路


由和因特网路由进行隔离,因特网路由实例名 internet。


\9. 对 SW 上 VLAN60 开启以下安全机制:


启用环路检测,环路检测的时间间隔为10s,发现环路以后


关闭该端口,恢复时间为30分钟; 如私设DHCP服务器关闭该端


口;开启防止ARP网关欺骗。


\10. 配置使北京公司内网用户通过总公司出口 BC 访问因特网,分公


司内网用户通过分公司出口 FW 访问因特网,要求总公司销售部


门的用户访问因特网的流量往反数据流都要经过防火墙,在通


过 BC 访问因特网;防火墙 untrust 和 trust1 开启安全防护,参


数采用默认参数。


\11. 总部核心交换机上配置 SNMP,引擎 id 分别为 1;创建组


GROUP2023,采用最高安全级别,配置组的读、写视图分别为:


SKILLS_R、SKILLS_W;创建认证用户为 USER2023,采用 aes 算


法进行加密,密钥为 Pass-1234,哈希算法为 sha,密钥为


Pass-1234;当设备有异常时,需要用本地的环回地址


loopback1 发送 v3 Trap 消息至集团网管服务器 20.10.11.99、


采用最高安全级别;当财务部门对应的用户接口发生 UP DOWN


事件时,禁止发送 trap 消息至上述集团网管服务器。


\12. 总公司和分公司今年进行 IPv6 试点,要求总公司和分公司销售


部门用户能够通过 IPV6 相互访问,IPV6 业务通过租用裸纤承


载。实现分公司和总公司 ipv6 业务相互访问;FW、AC 与 SW 之


间配置动态路由 OSPF V3 使总公司和分公司可以通过 IPv6 通


信。


\13. 在总公司核心交换机 SW 配置 IPv6 地址,开启路由公告功能,


路由器公告的生存期为 2 小时,确保销售部门的 IPv6 终端可以


通过 DHCP SERVER 获取 IPv6 地址,在 SW 上开启 IPV6 dhcp


server 功能。


\14. 在南京分公司上配置 IPv6 地址,使用相关特性实现销售部的


IPv6 终端可自动从网关处获得 IPv6 无状态地址。


\15. FW、SW、AC、BC 之间配置 OSPF area 0 开启基于链路的 MD5 认


证,密钥自定义,SW 与 AC 手动配置 INTERNET 默认路由,让总


公司和分公司内网用户能够相互访问包含 AC 上 loopback1 地


址。


\16. 分公司销售部门通过防火墙上的 DHCP SERVER 获取 IP 地址,


server IP 地址为 20.0.0.254,地址池范围 172.16.40.10-


172.16.40.100,dns-server 8.8.8.8。


\17. 如果 SW 的 11 端口的收包速率超过 30000 则关闭此端口,恢复


时间 5 分钟;为了更好地提高数据转发的性能,SW 交换中的数


据包大小指定为 1600 字节。


\18. 为实现对防火墙的安全管理,在防火墙 FW 的 Trust 安全域开启


PING、HTTP、telnet、SNMP 功能,Untrust 安全域开启 SSH、


HTTPS 功能。


\19. 在分部防火墙上配置,分部 VLAN 业务用户通过防火墙访问


Internet 时,转换为公网 IP:182.22.1.1/29;保证每一个源


IP 产生的所有会话将被映射到同一个固定的 IP 地址,当有流


量匹配本地址转换规则时产生日志信息,将匹配的日志发送至


20.10.28.10 的 UDP 2000 端口。


\20. 远程移动办公用户通过专线方式接入分公司网络,在防火墙 FW


上配置,采用 L2TP 方式实现仅允许对内网信息部门的访问,端


口号使用 4455,用户名密码均为 ABC2023,地址池参见地址


表。


\21. 分公司部署了一台 AC 为了便于远程管理,需要把 AC 的 web 映


射到外网,让外网通过能通过防火墙外网口地址访问 AC 的 web


服务,AC 地址为 loopback 地址。


\22. 为了安全考虑,无线用户移动性较强,访问因特网时需要在 BC


上开启 web 认证使用 https 方式,采用本地认证,密码账号都


为 web2023,同一用户名只能在一个客户端登录,设置超时时


间为 30 分钟。


\23. 由于分公司到因特网链路带宽比较低,出口只有 200M 带宽,需


要在防火墙配置 iQOS,系统中 P2P 总的流量不能超过 100M,同


时限制每用户最大下载带宽为 2M,上传为 1M,优先保障 HTTP


应用,为 http 预留 100M 带宽。


\24. 为净化上网环境,要求在防火墙 FW 做相关配置,禁止无线用户


周一至周五工作时间 9:00-18:00 的邮件内容中含有“病毒”、


“赌博”的内容,且记录日志。


\25. 由于总公司无线是通过分公司的无线控制器统一管理,为了防


止专线故障导致无线不能使用,总公司和分公司使用互联网作


为总公司无线 ap 和 AC 相互访问的备份链路。FW 和 BC 之间通


过 IPSEC 技术实现 AP 管理段与无线 AC 之间联通,具体要求为


采用预共享密码为***2023,IKE 阶段 1 采用 DH 组 1、3DES 和


MD5 加密方,IKE 阶段 2 采用 ESP-3DES,MD5。


\26. 总公司用户,通过 BC 访问因特网,BC 采用路由方式,在 BC 上


做相关配置,让总公司内网用户(不包含财务)通过 ip:


183.23.1.1/29 访问因特网。


\27. 在 BC 上配置 PPTP vpn 让外网用户能够通过 PPTP vpn 访问总公


司 SW 上内网地址,用户名为 GS2023,密码 123456。


\28. 为了提高分公司出口带宽,尽可能加大分公司 AC 和出口 FW 之


间带宽。


\29. 在 BC 上开启 IPS 策略,对分公司内网用户访问外网数据进行


IPS 防护,保护服务器、客户端和恶意软件检测,检测到攻击


后进行拒绝并记录日志。


\30. 对分公司内网用户访问外网数据进行防病毒防护,检查协议类


型包含 HTTP、FTP、POP3、SMTP,文件类型包含 exe、bat、


vbs、txt,检测到攻击后进行记录日志并阻断。


\31. 总公司出口带宽较低,总带宽只有200M,为了防止内网用户使


用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下


载的流量,最大上下行带宽都为50M,以免P2P流量占用太多的


出口网络带宽, 启用阻断记录。


\32. 通过 BC 设置分公司用户在上班时间周一到周五 9:00 到 18:00


禁止玩游戏,并启用阻断记录。


\33. 限制总公司内网用户访问因特网 web 视频和即时通信上传最大


带宽为 10M,启用阻断记录。


\34. BC 上开启黑名单告警功能,级别为预警状态,并进行邮件告警


和记录日志,发现 cpu 使用率大于 80%,内存使用大于 80%时进


行邮件告警并记录日志,级别为严重状态。发送



\35. 分公司内部有一台网站服务器直连到 WAF,地址是


192.168.28.10,端口是 8080,配置将服务访问日志、WEB 防护


日志、服务监控日志信息发送 syslog 日志服务器, IP 地址是


192.168.28.6,UDP 的 514 端口。


\36. 要求能自动识别内网 HTTP 服务器上的 WEB 主机,请求方法采用


GET、POST 方式。


\37. 在 WAF 上针对 HTTP 服务器进行 URL 最大个数为 10,Cookies 最


大个数为 30,Host 最大长度为 1024,Accept 最大长度 64 等参


数校验设置,设置严重级别为中级,超出校验数值阻断并发送


邮件告警。


\38. 为防止 www.2023skills.com 网站资源被其他网站利用,通过


WAF 对资源链接进行保护,通过 Referer 方式检测,设置严重


级别为中级,一经发现阻断并发送邮件告警。


\39. 为更好对服务器 192.168.28.10 进行防护,防止信息泄露,禁


止美国地区访问服务器。


\40. 在 WAF 上配置基础防御功能,建立特征规则“HTTP 防御”,开


启 SQL 注入、XSS 攻击、信息泄露等防御功能,要求针对这些


攻击阻断并保存日志发送邮件告警。


在 WAF 上 配 置 定 期 每 周 六 1 点 对 服 务 器 的

http://192.168.28.10/进行最大深度的漏洞扫描测试。


\42. 为了对分公司用户访问因特网行为进行审计和记录,需要把 AC


连接防火墙的流量镜像到 8 口。


\43. 由于公司 IP 地址为统一规划,原有无线网段 IP 地址为


172.16.0.0/22,为了避免地址浪费需要对 ip 地址进行重新分


配;要求如下:未来公司预计部署 ap 150 台;办公无线用户


vlan 10 预计 300 人,来宾用户 vlan20 以及不超过 50 人。


\44. BC 上配置 DHCP,管理 VLAN 为 VLAN100,为 AP 下发管理地址,


网段中第一个可用地址为 AP 管理地址,最后一个可用地址为


网关地址,AP 通过 DHCP opion 43 注册,AC 地址为 loopback1


地址;为无线用户 VLAN10,20 下发 IP 地址,最后一个可用地


址为网关;AP 上线需要采用 MAC 地址认证。


\45. AC 配置 dhcpv4 和 dhcpv6,分别为总公司产品段 vlan50 分配地


址;ipv4 地址池名称分别为 POOLv4-50,ipv6 地址池名称分别


为 POOLv6-50;ipv6 地址池用网络前缀表示;排除网关;DNS


分别为 114.114.114.114 和 2400:3200::1;为 PC1 保留地址


192.168.50.9 和 2001:da8:192:168:50::9,SW 上中继地址为


AC loopback1 地址。


\46. 在 NETWORK 下配置 SSID,需求如下:NETWORK 1 下设置 SSID


***2023,VLAN10,加密模式为 wpa-personal,其口令为


20232023。


\47. NETWORK 2 下设置 SSID GUEST,VLAN20 不进行认证加密,做相


应配置隐藏该 SSID;NETWORK 2 开启内置 portal+本地认证的


认证方式,账号为 test 密码为 test2023。


\48. 配置 SSID GUEST 每天早上 0 点到 6 点禁止终端接入; GUSET 最


多接入 10 个用户,并对 GUEST 网络进行流控,上行 1M,下行


2M;配置所有无线接入用户相互隔离。


\49. 配置当 AP 上线,如果 AC 中储存的 Image 版本和 AP 的 Image 版


本号不同时,会触发 AP 自动升级;配置 AP 发送向无线终端表


明 AP 存在的帧时间间隔为 2 秒;配置 AP 失败状态超时时间及


探测到的客户端状态超时时间都为 2 小时;配置 AP 在脱离 AC


管理时依然可以正常工作。


\50. 为防止外部人员蹭网,现需在设置信号值低于 50%的终端禁止


连接无线信号;为防止非法 AP 假冒合法 SSID,开启 AP 威胁检测功能。

相关文章
|
6月前
|
监控 安全 网络协议
2023年山东省职业院校技能大赛高职组信息安全管理与评估 模块一
2023年山东省职业院校技能大赛高职组信息安全管理与评估 模块一
|
6月前
|
安全 网络协议 网络安全
2023年山东省职业院校技能大赛高职组信息安全管理与评估 理论题
2023年山东省职业院校技能大赛高职组信息安全管理与评估 理论题
|
6月前
|
安全 网络安全 测试技术
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(三)
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(三)
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(三)
|
6月前
|
安全 网络安全 Linux
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(二)
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(二)
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(二)
|
6月前
|
安全 网络协议 网络安全
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(一)
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(一)
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(一)
|
6月前
|
安全 数据安全/隐私保护 网络安全
【信息安全管理与评估】2024年浙江省职业院校技能大赛高职组“信息安全管理与评估”赛项规程
【信息安全管理与评估】2024年浙江省职业院校技能大赛高职组“信息安全管理与评估”赛项规程
【信息安全管理与评估】2024年浙江省职业院校技能大赛高职组“信息安全管理与评估”赛项规程
|
6月前
|
安全 数据安全/隐私保护 网络协议
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(理论技能)
【信息安全管理与评估】2024年北京市职业院校技能大赛高职组“信息安全管理与评估”赛题模块(理论技能)
113 11
|
6月前
|
安全 网络安全 数据安全/隐私保护
2022 年浙江省职业院校技能大赛“高职组”“信息安全管理与评估”赛项规程
2022 年浙江省职业院校技能大赛“高职组”“信息安全管理与评估”赛项规程
|
6月前
|
安全 网络协议 网络安全
2024黑龙江省职业院校技能信息安全管理与评估样题第一阶段
2024黑龙江省职业院校技能信息安全管理与评估样题第一阶段
|
6月前
|
SQL 安全 网络协议
2022年浙江省职业院校技能大赛信息安全管理与评估 理论题一阶段
2022年浙江省职业院校技能大赛信息安全管理与评估 理论题一阶段
下一篇
无影云桌面