2024年江苏省职业院校技能大赛信息安全管理与评估 第一阶段学生组(样卷)

2024年江苏省职业院校技能大赛信息安全管理与评估 第一阶段学生组(样卷)

一、赛项信息

竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 09:00- 12:00 50
任务2 网络安全设备配置与防护 250

二、赛项内容

本次大赛,各参赛队需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。

选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。

例如:08工位,则需要在U盘根目录下建立“GW08”文件夹,并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。

特别说明:只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。

(一)赛项环境设置

某集团公司原在北京建立了总部,在南京设立了分公司。总部设有销售、产品、财务、信息技术4个部门,分公司设有销售、产品、财务3个部门,统一进行IP及业务资源的规划和分配,全网采用OSPF动态路由协议和静态路由协议进行互连互通。公司规模在2023年快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入,采用一台BC作为总公司因特网出口;分公司采用一台FW防火墙作为因特网出口设备,一台AC作为分公司核心,同时作为集团有线无线智能一体化控制器,通过与AP高性能企业级AP配合实现集团无线覆盖,总部有一台WEB服务器,为了安全考虑总公司部署了一台WAF对服务器进行web防护。在2023年公司进行IPV6网络改造,内部网络采用双栈模式。Ipv6网络采用ospf V3实现互通。

1.网络拓扑图

2024年江苏省职业院校技能大赛信息安全管理与评估 第一阶段学生组(样卷)_第1张图片

设备 名称 接口 IP地址 对端设备 接口
防火墙 FW ETH0/1-2 20.1.20.1.0.1/30(trust1安全域) SW eth1/0/1-2
20.1.1.1/30(untrust1安全域) SW
222.22.1.1/29 (untrust) SW
ETH0/3 20.10.28.1/24(DMZ) WAF
Eth0/4-5 20.1.0.13/30 2001:da8:192:168:10:1::1/96 AC Eth1/0/21-22
Loopback1 20.0.0.254/32(trust) Router-id
设备 名称 接口 IP地址 对端设备 接口
L2TP Pool 192.168.10.1/26 可用IP数量为20 L2tp VPN地址池
三层交换机SW ETH1/0/4 财务专线 VPN CW AC ETH1/0/4
ETH1/0/5 trunk AC ETH1/0/5
ETH1/0/6 trunk AC ETH1/0/6
VLAN21 ETH1/0/1-2 20.1.0.2/30 FW Eth1/0/ 1-2
VLAN22 ETH1/0/1-2 20.1.1.2/30 FW Eth1/0/ 1-2
VLAN 222 ETH1/0/1-2 222.22.1.2/29 FW Eth1/0/ 1-2
VLAN 24 ETH1/0/24 223.23.1.2/29 BC Eth 5
Vlan 25 Eth 1/0/3 20.1.0.9/30 Ipv6:2001:da8:20:1:0::1/96 BC Eth 1
VLAN 30 ETH1/0/4 20.1.0.5/30 AC 1/0/4 Vlan name CW
VLAN 31 Eth1/0/10-12 10口配置 Loopback 20.1.3.1/25 Vlan name CW
VLAN 40 ETH1/0/8-9 192.168.40.1/24 IPV6 2001:DA8:192:168:40::1/96 Vlan name 销售
VLAN 50 ETH1/0/13-14 192.168.50.1/24 IPV6 2001:DA8:192:168:50::1/96 PC3 Vlan name 产品
设备 名称 接口 IP地址 对端设备 接口
Vlan 60 Eth1/0/15-16 192.168.60.1/24 IPV6 2001:DA8:192:168:60::1/96 Vlan name 信息
VLAN 100 ETH 1/0/20 需设定 Vlan name AP- Manage
Loopback1 20.0.0.253/32(router-id)
无线控制器AC VLAN 30 ETH1/0/4 20.1.0.6/30 SW Vlan name TO-CW
VLAN 10 Ipv4:需设定 2001:da8:172:16:1::1/96 无线1 Vlan name WIFI- vlan10
VLAN 20 Ipv4:需设定 2001:da8:172:16:2::1/96 无线2 Vlan name WIFI- vlan20
VLAN 31 20.1.3.129/25 Vlan name CW
VLAN 140 ETH1/0/5 172.16.40.1/24 SW 1/0/5 Vlan name 销售
Vlan 150 Eth1/0/13-14 172.16.50.1/24 IPV6 2001:DA8:172:16:60::1/96 Vlan name 产品
Vlan 60 Eth1/0/15-18 192.168.60.2/24 IPV6 2001:DA8:192:168:60::2/96 Vlan name 信息
设备 名称 接口 IP地址 对端设备 接口
Vlan 70 Eth1/0/21-22 20.1.0.14/30 2001:da8:192:168:10:1::1/96 FW Eth1/0/ 4-5
Loopback1 20.1.1.254/24(router-id)
日志服务器BC Eth1 20.1.0.10/30 Ipv6:2001:da8:20:1:0::2/96 SW Eth1/0/ 3
Eth5 223.23.1.1/29 SW
eth3 192.168.28.1/24 WAF
PPTP-pool 192.168.10.129/26(10个地址)
WEB应用防火墙WAF ETH2 192.168.28.2/24 SERVER
ETH3 FW
AP Eth1 SW(20口)
SERVER 网卡 192.168.28.10/24

(二)第一阶段任务书

任务 1:网络平台搭建(50 分)

题号 网络需求
1 根据网络拓扑图所示,按照IP地址参数表,对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示,按照IP地址参数表,对SW的名称进行配置,创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示,按照IP地址参数表,对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示,按照IP地址参数表,对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表,对WEB 应用防火墙的名称、各接口IP 地址进行配置。

任务 2:网络安全设备配置与防护(250 分)

\1. 北京总公司和南京分公司有两条裸纤采用了骨干链路配置,做

必要的配置,只允许必要的 vlan 通过,不允许其他 vlan 信息

通过包含 vlan1。

\2. SW 和 AC 开启 telnet 登录功能,telnet 登录账户仅包含

“***2023”,密码为明文“***2023”,采用 telnet 方式登录

设备时需要输入 enable 密码,密码设置为明文“12345”。

\3. 北京总公司和南京分公司租用了运营商三条裸光纤,实现内部

办公互通。一条裸光纤承载公司财务部门业务,另外两条裸光

纤承载其他内部有业务。使用相关技术实现总公司财务段路由

表与公司其它业务网段路由表隔离,财务业务位于 VPN 实例名

称 CW 内,总公司财务和分公司财务能够通信,财务部门总公司

和分公司之间采用 RIP 路由实现互相访问。

\4. SW 和 AC 之间启用 MSTP,实现网络二层负载均衡和冗余备份,

要求如下:无线用户关联实例 1,信息部门关联实例 2,名称

为 SKILLS,修订版本为 1,设置 AC 为根交换机,走 5 口链路转

发、信息部门通过 6 口链路转发,同时实现链路备份。除了骨

干接口,关闭其他接口生成树协议。

\5. 总公司产品部门启用端口安全功能,最大安全MAC地址数为20,

当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、

发snmp trap、同时在syslog日志中记录,端口的老化定时器到

期后,在老化周期中没有流量的部分表项老化,有流量的部分依

旧保留,恢复时间为10分钟;禁止采用访问控制列表,只允许IP

主机位为20-50的数据包进行转发;禁止配置访问控制列表,实

现端口间二层流量无法互通,组名称FW。

\6. 由于总公司出口带宽有限,需要在交换机上对总公司销售部门

访问因特网 http 服务做流量控制,访问 http 流量最大带宽限

制为 20M 比特/秒,突发值设为 4M 字节,超过带宽的该网段内

的报文一律丢弃。

\7. 在 SW 上配置将 8 端口收到的源 IP 为 10.0.41.111 的帧重定向

到 9 端口,即从 8 端口收到的源 IP 为 10.0.41.111 的帧通过 9

端口转发出去。

\8. 总公司 SW 交换机模拟因特网交换机,通过某种技术实现本地路

由和因特网路由进行隔离,因特网路由实例名 internet。

\9. 对 SW 上 VLAN60 开启以下安全机制:

启用环路检测,环路检测的时间间隔为10s,发现环路以后

关闭该端口,恢复时间为30分钟; 如私设DHCP服务器关闭该端

口;开启防止ARP网关欺骗。

\10. 配置使北京公司内网用户通过总公司出口 BC 访问因特网,分公

司内网用户通过分公司出口 FW 访问因特网,要求总公司销售部

门的用户访问因特网的流量往反数据流都要经过防火墙,在通

过 BC 访问因特网;防火墙 untrust 和 trust1 开启安全防护,参

数采用默认参数。

\11. 总部核心交换机上配置 SNMP,引擎 id 分别为 1;创建组

GROUP2023,采用最高安全级别,配置组的读、写视图分别为:

SKILLS_R、SKILLS_W;创建认证用户为 USER2023,采用 aes 算

法进行加密,密钥为 Pass-1234,哈希算法为 sha,密钥为

Pass-1234;当设备有异常时,需要用本地的环回地址

loopback1 发送 v3 Trap 消息至集团网管服务器 20.10.11.99、

采用最高安全级别;当财务部门对应的用户接口发生 UP DOWN

事件时,禁止发送 trap 消息至上述集团网管服务器。

\12. 总公司和分公司今年进行 IPv6 试点,要求总公司和分公司销售

部门用户能够通过 IPV6 相互访问,IPV6 业务通过租用裸纤承

载。实现分公司和总公司 ipv6 业务相互访问;FW、AC 与 SW 之

间配置动态路由 OSPF V3 使总公司和分公司可以通过 IPv6 通

信。

\13. 在总公司核心交换机 SW 配置 IPv6 地址,开启路由公告功能,

路由器公告的生存期为 2 小时,确保销售部门的 IPv6 终端可以

通过 DHCP SERVER 获取 IPv6 地址,在 SW 上开启 IPV6 dhcp

server 功能。

\14. 在南京分公司上配置 IPv6 地址,使用相关特性实现销售部的

IPv6 终端可自动从网关处获得 IPv6 无状态地址。

\15. FW、SW、AC、BC 之间配置 OSPF area 0 开启基于链路的 MD5 认

证,密钥自定义,SW 与 AC 手动配置 INTERNET 默认路由,让总

公司和分公司内网用户能够相互访问包含 AC 上 loopback1 地

址。

\16. 分公司销售部门通过防火墙上的 DHCP SERVER 获取 IP 地址,

server IP 地址为 20.0.0.254,地址池范围 172.16.40.10-

172.16.40.100,dns-server 8.8.8.8。

\17. 如果 SW 的 11 端口的收包速率超过 30000 则关闭此端口,恢复

时间 5 分钟;为了更好地提高数据转发的性能,SW 交换中的数

据包大小指定为 1600 字节。

\18. 为实现对防火墙的安全管理,在防火墙 FW 的 Trust 安全域开启

PING、HTTP、telnet、SNMP 功能,Untrust 安全域开启 SSH、

HTTPS 功能。

\19. 在分部防火墙上配置,分部 VLAN 业务用户通过防火墙访问

Internet 时,转换为公网 IP:182.22.1.1/29;保证每一个源

IP 产生的所有会话将被映射到同一个固定的 IP 地址,当有流

量匹配本地址转换规则时产生日志信息,将匹配的日志发送至

20.10.28.10 的 UDP 2000 端口。

\20. 远程移动办公用户通过专线方式接入分公司网络,在防火墙 FW

上配置,采用 L2TP 方式实现仅允许对内网信息部门的访问,端

口号使用 4455,用户名密码均为 ABC2023,地址池参见地址

表。

\21. 分公司部署了一台 AC 为了便于远程管理,需要把 AC 的 web 映

射到外网,让外网通过能通过防火墙外网口地址访问 AC 的 web

服务,AC 地址为 loopback 地址。

\22. 为了安全考虑,无线用户移动性较强,访问因特网时需要在 BC

上开启 web 认证使用 https 方式,采用本地认证,密码账号都

为 web2023,同一用户名只能在一个客户端登录,设置超时时

间为 30 分钟。

\23. 由于分公司到因特网链路带宽比较低,出口只有 200M 带宽,需

要在防火墙配置 iQOS,系统中 P2P 总的流量不能超过 100M,同

时限制每用户最大下载带宽为 2M,上传为 1M,优先保障 HTTP

应用,为 http 预留 100M 带宽。

\24. 为净化上网环境,要求在防火墙 FW 做相关配置,禁止无线用户

周一至周五工作时间 9:00-18:00 的邮件内容中含有“病毒”、

“赌博”的内容,且记录日志。

\25. 由于总公司无线是通过分公司的无线控制器统一管理,为了防

止专线故障导致无线不能使用,总公司和分公司使用互联网作

为总公司无线 ap 和 AC 相互访问的备份链路。FW 和 BC 之间通

过 IPSEC 技术实现 AP 管理段与无线 AC 之间联通,具体要求为

采用预共享密码为***2023,IKE 阶段 1 采用 DH 组 1、3DES 和

MD5 加密方,IKE 阶段 2 采用 ESP-3DES,MD5。

\26. 总公司用户,通过 BC 访问因特网,BC 采用路由方式,在 BC 上

做相关配置,让总公司内网用户(不包含财务)通过 ip:

183.23.1.1/29 访问因特网。

\27. 在 BC 上配置 PPTP 让外网用户能够通过 PPTP 访问总公

司 SW 上内网地址,用户名为 GS2023,密码 123456。

\28. 为了提高分公司出口带宽,尽可能加大分公司 AC 和出口 FW 之

间带宽。

\29. 在 BC 上开启 IPS 策略,对分公司内网用户访问外网数据进行

IPS 防护,保护服务器、客户端和恶意软件检测,检测到攻击

后进行拒绝并记录日志。

\30. 对分公司内网用户访问外网数据进行防病毒防护,检查协议类

型包含 HTTP、FTP、POP3、SMTP,文件类型包含 exe、bat、

vbs、txt,检测到攻击后进行记录日志并阻断。

\31. 总公司出口带宽较低,总带宽只有200M,为了防止内网用户使

用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下

载的流量,最大上下行带宽都为50M,以免P2P流量占用太多的

出口网络带宽, 启用阻断记录。

\32. 通过 BC 设置分公司用户在上班时间周一到周五 9:00 到 18:00

禁止玩游戏,并启用阻断记录。

\33. 限制总公司内网用户访问因特网 web 视频和即时通信上传最大

带宽为 10M,启用阻断记录。

\34. BC 上开启黑名单告警功能,级别为预警状态,并进行邮件告警

和记录日志,发现 cpu 使用率大于 80%,内存使用大于 80%时进

行邮件告警并记录日志,级别为严重状态。发送

\35. 分公司内部有一台网站服务器直连到 WAF,地址是

192.168.28.10,端口是 8080,配置将服务访问日志、WEB 防护

日志、服务监控日志信息发送 syslog 日志服务器, IP 地址是

192.168.28.6,UDP 的 514 端口。

\36. 要求能自动识别内网 HTTP 服务器上的 WEB 主机,请求方法采用

GET、POST 方式。

\37. 在 WAF 上针对 HTTP 服务器进行 URL 最大个数为 10,Cookies 最

大个数为 30,Host 最大长度为 1024,Accept 最大长度 64 等参

数校验设置,设置严重级别为中级,超出校验数值阻断并发送

邮件告警。

\38. 为防止 www.2023skills.com 网站资源被其他网站利用,通过

WAF 对资源链接进行保护,通过 Referer 方式检测,设置严重

级别为中级,一经发现阻断并发送邮件告警。

\39. 为更好对服务器 192.168.28.10 进行防护,防止信息泄露,禁

止美国地区访问服务器。

\40. 在 WAF 上配置基础防御功能,建立特征规则“HTTP 防御”,开

启 SQL 注入、XSS 攻击、信息泄露等防御功能,要求针对这些

攻击阻断并保存日志发送邮件告警。

  1. 在 WAF 上 配 置 定 期 每 周 六 1 点 对 服 务 器 的

http://192.168.28.10/进行最大深度的漏洞扫描测试。

\42. 为了对分公司用户访问因特网行为进行审计和记录,需要把 AC

连接防火墙的流量镜像到 8 口。

\43. 由于公司 IP 地址为统一规划,原有无线网段 IP 地址为

172.16.0.0/22,为了避免地址浪费需要对 ip 地址进行重新分

配;要求如下:未来公司预计部署 ap 150 台;办公无线用户

vlan 10 预计 300 人,来宾用户 vlan20 以及不超过 50 人。

\44. BC 上配置 DHCP,管理 VLAN 为 VLAN100,为 AP 下发管理地址,

网段中第一个可用地址为 AP 管理地址,最后一个可用地址为

网关地址,AP 通过 DHCP opion 43 注册,AC 地址为 loopback1

地址;为无线用户 VLAN10,20 下发 IP 地址,最后一个可用地

址为网关;AP 上线需要采用 MAC 地址认证。

\45. AC 配置 dhcpv4 和 dhcpv6,分别为总公司产品段 vlan50 分配地

址;ipv4 地址池名称分别为 POOLv4-50,ipv6 地址池名称分别

为 POOLv6-50;ipv6 地址池用网络前缀表示;排除网关;DNS

分别为 114.114.114.114 和 2400:3200::1;为 PC1 保留地址

192.168.50.9 和 2001:da8:192:168:50::9,SW 上中继地址为

AC loopback1 地址。

\46. 在 NETWORK 下配置 SSID,需求如下:NETWORK 1 下设置 SSID

***2023,VLAN10,加密模式为 wpa-personal,其口令为

20232023。

\47. NETWORK 2 下设置 SSID GUEST,VLAN20 不进行认证加密,做相

应配置隐藏该 SSID;NETWORK 2 开启内置 portal+本地认证的

认证方式,账号为 test 密码为 test2023。

\48. 配置 SSID GUEST 每天早上 0 点到 6 点禁止终端接入; GUSET 最

多接入 10 个用户,并对 GUEST 网络进行流控,上行 1M,下行

2M;配置所有无线接入用户相互隔离。

\49. 配置当 AP 上线,如果 AC 中储存的 Image 版本和 AP 的 Image 版

本号不同时,会触发 AP 自动升级;配置 AP 发送向无线终端表

明 AP 存在的帧时间间隔为 2 秒;配置 AP 失败状态超时时间及

探测到的客户端状态超时时间都为 2 小时;配置 AP 在脱离 AC

管理时依然可以正常工作。

\50. 为防止外部人员蹭网,现需在设置信号值低于 50%的终端禁止

连接无线信号;为防止非法 AP 假冒合法 SSID,开启 AP 威胁检测功能。

你可能感兴趣的:(信安评估各地区规程样题,网络,运维,网络安全,web安全,安全,计算机网络,网络协议)