2024黑龙江省职业院校技能大赛暨国赛选拔赛
"信息安全管理与评估"样题
第一阶段竞赛项目试题
本文件为信息安全管理与评估项目竞赛-第一阶段试题,第一阶段内容包括:网络平台搭建、网络安全设备配置与防护。
极安云科专注技能竞赛,包含网络建设与运维和信息安全管理与评估两大赛项,及各大CTF,基于两大赛项提供全面的系统性培训,拥有完整的培训体系。团队拥有国赛选手、大厂在职专家等专业人才担任讲师,培训效果显著,通过培训帮助各大院校备赛学生取得各省 国家级奖项,获各大院校一致好评。
介绍
| 竞赛阶段 | 任务阶段 | 竞赛任务 |
| 第一阶段 平台搭建与安全设备配置防护 | 任务1 | 网络平台搭建 |
| 任务2 | 网络安全设备配置与防护 |
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本项目阶段分数为30分。
注意事项
赛题第一阶段请按裁判组专门提供的U盘中的"XXX-答题模板"中的要求提交答案。选手需要在U盘的根目录下建立一个名为"GWxx"的文件夹(xx用具体的工位号替代),所完成的
"XXX-答题模板"放置在文件夹中作为比赛结果提交。
项目和任务描述
1.网络拓扑图
2.IP 地址规划表
工作任务
任务 1:网络平台搭建
| 题号 | 网络需求 |
| 1 | 按照IP地址规划表,对防火墙的名称、各接口IP地址进行配置。 |
| 2 | 按照IP地址规划表,对三层交换机的名称进行配置,创建VLAN并将相应接口划入VLAN, 对各接口IP地址进行配置。 |
| 3 | 按照IP地址规划表,对无线交换机的名称进行配置,创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置。 |
| 4 | 按照IP地址规划表,对网络日志系统的名称、各接口IP地址进行配置。 |
| 5 | 按照IP地址规划表,对WEB应用防火墙的名称、各接口IP地址进行配置。 |
任务 2:网络安全设备配置与防护
\1. CS开启telnet登录功能,用户名skills01,密码skills01,配置使用telnet方式登录终端界面前显示如下授权信息:“WARNING!!!Authorisedaccessonly,allofyour
done will be recorded! Disconnected IMMEDIATELY if you are not an authorised
user! Otherwise, we retain the right to pursue the legal responsibility”;
\2. 总部交换机SW配置简单网络管理协议,计划启用V3版本,V3版本在安全性方面做了
极大的扩充。配置引擎号分别为62001;创建认证用户为skills01,采用3des算法进行加密,密钥为:skills01,哈希算法为SHA,密钥为:skills01;加入组ABC,采用最高安全级别;配置组的读、写视图分别为:2022_R、2022_W;当设备有异常时,需要使用本地的VLAN100地址发送Trap消息至网管服务器10.51.0.203,采用最高安全
级别;
\3. 对CS上VLAN40开启以下安全机制:
业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟;如发现私设DHCP服务器则关闭该端口,配置防止ARP欺骗攻击;
\4. 勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络攻击,通过对总部核心交换机CS所有业务VLAN下配置访问控制策略实现双向安全防护;
\5. CS配置IPv6地址,使用相关特性实现VLAN50的IPv6终端可自动从网关处获得IPv6
有状态地址;
WS配置IPv6地址,开启路由公告功能,路由器公告的生存期为2小时,确保VLAN30 的IPv6终端可以获得IPv6无状态地址。
WS与CS之间配置RIPng, 使PC1与PC3可以通过IPv6通信;
IPv6业务地址规划如下,其它IPv6地址自行规划:
| 业务 | IPV6地址 |
| VLAN30 | 2001:30::254/64 |
| VLAN50 | 2001:50::254/64 |
\6. 尽可能加大CS与防火墙FW之间的带宽;配置使总部VLAN40业务的用户访问IDC SERVER
的数据流经过FW 10.1.0.254, IDC SERVER返回数据流经过FW 10.2.0.254,且对双向数据流开启所有安全防护,参数和行为为默认;
\7. FW、CS、WS之间配置OSPFarea0 开启基于链路的MD5认证,密钥自定义,传播访问INTERNET 默认路由;
\8. FW与CS建立两对IBGP邻居关系,使用AS 65500,FW上loopback1-4为模拟AS 65500 中网络,为保证数据通信的可靠性和负载,完成以下配置,要求如下:
l CS通过BGP到达loopback1,2网路下一跳为10.3.0.254;
l CS通过BGP到达loopback3,4网络下一跳为10.4.0.254;
l 通过BGP实现到达loopback1,2,3,4的网络冗余;
l 使用IP前缀列表匹配上述业务数据流;
l 使用LP属性进行业务选路,只允许使用route-map来改变LP属性、实现路由控制,
AS PATH属性可配置的参数数值为:65509
\9. 如果CS E1/0/3端口的收包速率超过30000则关闭此端口,恢复时间5分钟,并每隔10
分钟对端口的速率进行统计;为了更好地提高数据转发的性能,CS交换中的数据包大小指定为1600字节;
10.为实现对防火墙的安全管理,在防火墙FW的Trust安全域开启PING,HTTP,SNMP功能
(loopback接口除外),Untrust安全域开启SSH、HTTPS功能;
11.总部VLAN业务用户通过防火墙访问Internet时,复用公网IP: 200.1.1.28/28,保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.51.0.253的 UDP 2000端口;
12.配置L2TP VPN,名称为VPN,满足远程办公用户通过拨号登陆访问内网,创建隧道接口为 tunnel 1、并加入untrust安全域,地址池名称为AddressPool,LNS 地址池为
10.100.253.1/24-10.100.253.100/24,网关为最大可用地址,认证账号skills01,密码 skills01;
13.FW 配置禁止所有人在周一至周五工作时间 9:00-18:00 访问京东www.jd.com 和淘宝 www.taobao.com;相同时间段禁止访问中含有“娱乐”、“新闻”的 WEB 页面;
14.在FW开启安全网关的TCP SYN包检查功能,只有检查收到的包为TCP SYN包后,才建立
连接;配置所有的TCP数据包每次能够传输的最大数据分段为1460,尽力减少网络分片;配置对TCP三次握手建立的时间进行检查,如果在1分钟内未完成三次握手,则断掉该连接;
15.为保证总部Internet出口线路,在FW上使用相关技术,通过ping监控外网网关地址,
监控对象名称为Track,每隔5S发送探测报文,连续10次收不到监测报文,就认为线路故障,直接关闭外网接口。FW要求内网每个IP限制会话数量为300;
16.Internet端有一分支结构路由器,需要在总部防火墙FW上完成以下预配,保证总部与分
支机构的安全连接:
防火墙FW与Internet端路由器202.5.17.2建立GRE隧道,并使用IPSec保护GRE隧道,保证分支结构中2.2.2.2与总部VLAN40安全通信。
第一阶段 采用pre-share认证 加密算法:3DES;
第二阶段 采用ESP协议, 加密算法:3DES,预设共享秘钥: skills01
17.已知原AP管理地址为10.81.0.0/15,为了避免地址浪费请重新规划和配置IP地址段,要求如下:
l 使用原AP所在网络进行地址划分;
l 现无线用户VLAN 10中需要127个终端,无线用户VLAN 20需要50个终端;
l WS上配置DHCP,管理VLAN为VLAN101,为AP下发管理地址,网段中第一个可用地址为AP管理地址,最后一个可用地址为WS管理地址,保证完成AP二层注册;为无线用户VLAN10,20下发IP地址,最后一个可用地址为网关;
18.在NETWORK下配置SSID,需求如下:
l NETWORK 1下设置SSID 2022skills-2.4G,VLAN10,加密模式为wpa-personal,其口令为skills01;
l NETWORK 20下设置SSID 2022skills-5G,VLAN20不进行认证加密,做相应配置隐藏该SSID, 只使用倒数第一个可用VAP发送5.0G信号;
19.配置一个SSID2022skills_IPv6,属于VLAN21用于IPv6无线测试,用户接入无线网络时需要采用基于WPA-personal加密方式,其口令为“skills01”,该网络中的用户从WSDHCP 获取IPv6地址,地址范围为:2001:10:81::/112;
20.NETWORK1开启内置portal+本地认证的认证方式,账号为GUEST密码为123456,保障无线信息的覆盖性,无线AP的发射功率设置为90%。禁止MAC地址为80-45-DD-77-CC-48的无线终端连接;
21.通过配置防止多AP和WS相连时过多的安全认证连接而消耗CPU资源,检测到AP与WS在
10分钟内建立连接5次就不再允许继续连接,两小时后恢复正常;
22.为方便合理使用带宽,要求针对SSID为“2022skills-2.4”下的用户进行带宽控制。对
用户上行速率没有限制,但是针对下行速率要求用户的带宽为2Mbps,在最大带宽可以达到4Mbps;
23.配置所有Radio接口:AP在收到错误帧时,将不再发送ACK帧;打开AP组播广播突发限制功能;开启Radio的自动信道调整,每天上午10:00触发信道调整功能;
24.配置所有无线接入用户相互隔离,Network模式下限制每天早上0点到4点禁止终端接入,开启ARP抑制功能;
25.配置当AP上线,如果WS中储存的Image版本和AP的Image版本号不同时,会触发AP自
动升级;配置AP发送向无线终端表明AP存在的帧时间间隔为1秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时;
26.在公司总部的BC上配置,设备部署方式为透明模式。增加非admin账户skills01,密码 skills01,该账户仅用于用户查询设备的日志信息和统计信息;要求对内网访问Internet 全部应用进行日志记录。
27.为日志查询的时间准确性,要求在BC上配置NTP服务,NTP服务器设定为中国科学院国家授时中心(ntp.ntsc.ac.cn)。
28.在公司总部的BC上配置,在工作日(每周一到周五上班)期间针对所有无线网段访问互联网进行审计,如果发现访问互联网的无线用户就断网20分钟,不限制其他用户在工作日(每周一到周五上班)期间访问互联网。
29.BC 配置应用“即时聊天”,在周一至周五8:00-20:00监控内网中所有用户的QQ账号使用记录,并保存QQ聊天记录数据包;
30.BC配置内容管理,对邮件内容包含“协议”、“投诉”字样的邮件,记录且邮件报警。
31.BC上配置报警邮箱,邮件服务器IP为172.16.10.33,端口号为25,账号为:skills01,
密码:skills01,最大记录数量为50,同时把报警邮件抄送给Manager@chinaskills.com;
32.使用BC对内网所有上网用户进行上网本地认证,要求认证后得用户4小时候重新认证,并且对HTTP服务器172.16.10.45的80端口进行免认证;
33.BC上配置用户识别功能,对内网所有IP地址进行身份识别;
34.在公司总部的WAF上配置,设备部署方式为透明模式。要求对内网HTTP服务器
172.16.10.45/32进行安全防护;
35.为更好对服务器172.16.10.45进行防护,我们定期对服务器进行Web漏洞扫描,来及时修改我们的防护规则。
36.方便日志的保存和查看,需要在把WAF上攻击日志、访问日志、DDoS日志以JSON格式发给IP地址为172.16.10.200的日志服务器上;
37.在WAF上配置基础防御功能,开启SQL注入、XXS攻击、信息泄露等防御功能,要求针对这些攻击阻断并发送邮件告警;
38.在WAF上针对HTTP服务器进行URL最大个数为10,Cookies最大个数为30,Host最大长度为1024,Accept最大长度64等参数校验设置,设置严重级别为中级,超出校验数值阻断并发送邮件告警;
39.在WAF上保护HTTP服务器上的www.2022skills.com网站爬虫攻击,从而影响服务器性能,设置严重级别为高级,一经发现攻击阻断并发送邮件告警;
40.为防止www.2022skills.com网站资源被其他网站利用,通过WAF对资源链接进行保护,
通过Referer方式检测,设置严重级别为中级,一经发现阻断并发送邮件告警。
