2024年甘肃省职业院校技能大赛信息安全管理与评估任务书卷②—网络平台搭建与设备安全防护
2024年甘肃省职业院校技能大赛高职学生组电子与信息大类信息安全管理与评估赛项样题二
模块一 网络平台搭建与设备安全防护
一 、竞赛内容
第一阶段竞赛内容包括:网络平台搭建、网络安全设备配置与防
护,共 2 个子任务。
| 竞赛阶段 |
任务阶段 |
竞赛任务 |
竞赛时间 |
分值 |
| 第一阶段 网络平台搭建与 设备安全防护 |
任务 1 |
网络平台搭建 |
XX:XX- XX:XX |
50 |
| 任务 2 |
网络安全设备配置与防护 |
250 |
||
| 总分 |
300 |
|||
二 、竞赛时长
本阶段竞赛时长为 180 分钟,共 300 分。
三 、注意事项
第一阶段请按裁判组专门提供的 U 盘中的“XXX-答题模板” 中的
要求提交答案。
选手需要在 U 盘的根目录下建立一个名为“GWxx” 的文件夹(xx 用具体的工位号替代),所完成的“XXX-答题模板”放置在文件夹中作
为竞赛结果提交。
例如:08 工位,则需要在 U 盘根目录下建立“GW08”文件夹,并 在“GW08” 文件夹下直接放置第一个阶段的所有“XXX-答题模板” 文
件。
【特别提醒】
只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许
在其它文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
四 、赛项环境设置
1. 网络拓扑图
图 1 网络拓扑图
2. IP 地址规划表
| 设备名称 |
接口 |
IP地址 |
对端设备 |
接口 |
| 防火墙FW |
ETH0/1-2 |
20.1.0.1/30(trust1安全域) |
SW |
eth1/0/1-2 |
| 20.1.1.1/30(untrust1安全域) |
SW |
|||
| 222.22.1.1/29(untrust ) |
SW |
|||
| ETH0/3 |
20.10.28.1/24(DMZ) |
WAF |
| 设备名称 |
接口 |
IP地址 |
对端设备 |
接口 |
| Eth0/4-5 |
20.1.0.13/30 2001:da8:192:168:10:1::1/96 |
AC |
Eth1/0/21- 22 |
|
| Loopback1 |
20.0.0.254/32(trust ) Router-id |
|||
| L2TP Pool |
192.168.10.1/26 可用IP数量为20 |
L2tp VPN 地址池 |
||
| 三层交换 机SW |
ETH1/0/4 |
财务专线 VPN CW |
AC |
ETH1/0/4 |
| ETH1/0/5 |
trunk |
AC |
ETH1/0/5 |
|
| ETH1/0/6 |
trunk |
AC |
ETH1/0/6 |
|
| VLAN21 ETH1/0/1-2 |
20.1.0.2/30 |
FW |
Eth1/0/1-2 |
|
| VLAN22 ETH1/0/1-2 |
20.1.1.2/30 |
FW |
Eth1/0/1-2 |
|
| VLAN 222 ETH1/0/1-2 |
222.22.1.2/29 |
FW |
Eth1/0/1-2 |
|
| VLAN 24 ETH1/0/24 |
223.23.1.2/29 |
BC |
Eth 5 |
|
| Vlan 25 Eth 1/0/3 |
20.1.0.9/30 Ipv6:2001:da8:20:1:0::1/96 |
BC |
Eth 1 |
|
| VLAN 30 ETH1/0/4 |
20.1.0.5/30 |
AC 1/0/4 |
Vlan name CW |
|
| VLAN 31 Eth1/0/10- 12 10口配置 Loopback |
20.1.3.1/25 |
Vlan name CW |
||
| VLAN 40 ETH1/0/8-9 |
192.168.40.1/24 IPV6 2001:DA8:192:168:40::1/96 |
Vlan name 销售 |
||
| VLAN 50 ETH1/0/13- 14 |
192.168.50.1/24 IPV6 2001:DA8:192:168:50::1/96 |
PC3 |
Vlan name 产品 |
|
| Vlan 60 Eth1/0/15- 16 |
192.168.60.1/24 IPV6 2001:DA8:192:168:60::1/96 |
Vlan name 信息 |
||
| VLAN 100 ETH 1/0/20 |
需设定 |
Vlan name AP-Manage |
||
| Loopback1 |
20.0.0.253/32(router-id) |
|||
| 无线控制 器AC |
VLAN 30 ETH1/0/4 |
20.1.0.6/30 |
SW |
Vlan name TO-CW |
| VLAN 10 |
Ipv4:需设定 2001:da8:172:16:1::1/96 |
无线1 |
Vlan name WIFI- vlan10 |
|
| VLAN 20 |
Ipv4:需设定 2001:da8:172:16:2::1/96 |
无线2 |
Vlan name WIFI- vlan20 |
|
| VLAN 31 |
20.1.3.129/25 |
Vlan name CW |
||
| VLAN 140 |
172.16.40.1/24 |
SW |
Vlan name |
| 设备名称 |
接口 |
IP地址 |
对端设备 |
接口 |
| ETH1/0/5 |
1/0/5 |
销售 |
||
| Vlan 150 Eth1/0/13- 14 |
172.16.50.1/24 IPV6 2001:DA8:172:16:60::1/96 |
Vlan name 产品 |
||
| Vlan 60 Eth1/0/15- 18 |
192.168.60.2/24 IPV6 2001:DA8:192:168:60::2/96 |
Vlan name 信息 |
||
| Vlan 70 Eth1/0/21-22 |
20.1.0.14/30 2001:da8:192:168:10:1::1/96 |
FW |
Eth1/0/4-5 |
|
| Loopback1 |
20.1.1.254/24(router-id) |
|||
| 日志服务器BC |
Eth1 |
20.1.0.10/30 Ipv6:2001:da8:20:1:0::2/96 |
SW |
Eth1/0/3 |
| Eth5 |
223.23.1.1/29 |
SW |
||
| eth3 |
192.168.28.1/24 |
WAF |
||
| PPTP-pool |
192.168.10.129/26(10个地 址) |
|||
| WEB应 用防火墙WAF |
ETH2 |
192.168.28.2/24 |
SERVER |
|
| ETH3 |
FW |
|||
| AP |
Eth1 |
SW(20 口) |
||
| SERVER |
网卡 |
192.168.28.10/24 |
第一阶段 任务书
任务 1 网络平台搭建(50 分)
| 题号 |
网络需求 |
| 1 |
按照 IP 地址规划表,对防火墙的名称、各接口 IP 地址进行配置 |
| 2 |
按照 IP 地址规划表,对三层交换机的名称进行配置,创建 VLAN 并将相应接口划 入 VLAN, 对各接口 IP 地址进行配置 |
| 3 |
按照 IP 地址规划表,对无线交换机的名称进行配置,创建 VLAN 并将相应接口划 入 VLAN,对接口 IP 地址进行配置 |
| 4 |
按照 IP 地址规划表,对网络日志系统的名称、各接口 IP 地址进行配置 |
| 5 |
按照 IP 地址规划表,对 Web 应用防火墙的名称、各接口 IP 地址进行配置 |
任务 2 网络安全设备配置与防护(250 分)
1. 北京总公司和南京分公司有两条裸纤采用了骨干链路配置,做必要的配置,只允许必要的 vlan 通过,不允许其他 vlan 信息通过包含 vlan1。
2. SW 和 AC 开启 telnet 登录功能,telnet 登录账户仅包含“***2023”,密 码为明文“***2023” ,采用 telnet 方式登录设备时需要输入 enable 密码,密码设置为明文“ 12345” 。
3. 北京总公司和南京分公司租用了运营商三条裸光纤,实现内部办公互 通。一条裸光纤承载公司财务部门业务,另外两条裸光纤承载其他内 部有业务。使用相关技术实现总公司财务段路由表与公司其它业务网 段路由表隔离,财务业务位于 VPN 实例名称 CW 内,总公司财务和分 公司财务能够通信,财务部门总公司和分公司之间采用 RIP 路由实现互相访问。
4. SW 和 AC 之间启用 MSTP,实现网络二层负载均衡和冗余备份,要求如下:无线用户关联实例 1 ,信息部门关联实例 2 ,名称为 SKILLS,修订版本为 1 ,设置 AC 为根交换机,走 5 口链路转发、信息部门通过6 口链路转发,同时实现链路备份。除了骨干接口,关闭其他接口生成树协议。
5. 总公司产品部门启用端口安全功能,最大安全 MAC 地址数为 20,当 超过设定 MAC 地址数量的最大值,不学习新的 MAC 、丢弃数据包、 发 snmp trap 、同时在 syslog 日志中记录,端口的老化定时器到期后, 在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢 复时间为 10 分钟;禁止采用访问控制列表,只允许 IP 主机位为 20-50 的数据包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通,组名称 FW。
6. 由于总公司出口带宽有限,需要在交换机上对总公司销售部门访问因 特网 http 服务做流量控制,访问 http 流量最大带宽限制为 20M 比特/秒,突发值设为 4M 字节,超过带宽的该网段内的报文一律丢弃。
7. 在 SW 上配置将 8 端口收到的源 IP 为 10.0.41. 111 的帧重定向到 9 端口,即从 8 端口收到的源 IP 为 10.0.41.111 的帧通过 9 端口转发出去。
8. 总公司 SW 交换机模拟因特网交换机,通过某种技术实现本地路由和因特网路由进行隔离,因特网路由实例名 internet。
9. 对 SW 上 VLAN60 开启以下安全机制:
10. 启用环路检测,环路检测的时间间隔为 10s ,发现环路以后关闭该端口, 恢复时间为 30 分钟; 如私设 DHCP 服务器关闭该端口;开启防止 ARP网关欺骗;
11. 配置使北京公司内网用户通过总公司出口 BC 访问因特网,分公司内网 用户通过分公司出口 FW 访问因特网,要求总公司销售部门的用户访 问因特网的流量往反数据流都要经过防火墙,在通过 BC 访问因特网;防火墙 untrust 和 trust1 开启安全防护,参数采用默认参数。
12. 总部核心交换机上配置 SNMP,引擎 id 分别为 1;创建组 GROUP2023,采用最高安全级别,配置组的读、写视图分别为:SKILLS_R、SKILLS_W;创建认证用户为 USER2023 ,采用 aes 算法进行加密,密 钥为 Pass- 1234,哈希算法为 sha,密钥为 Pass- 1234;当设备有异常时, 需要用本地的环回地址 loopback1 发送v3 Trap 消息至集团网管服务器 20.10.11.99 、采用最高安全级别;当财务部门对应的用户接口发生 UPDOWN 事件时,禁止发送trap 消息至上述集团网管服务器。
13. 总公司和分公司今年进行 IPv6 试点,要求总公司和分公司销售部门用 户能够通过 IPV6 相互访问,IPV6 业务通过租用裸纤承载。实现分公司和总公司 ipv6 业务相互访问;FW 、AC 与 SW 之间配置动态路由OSPF V3 使总公司和分公司可以通过 IPv6 通信
14. 在总公司核心交换机 SW 配置 IPv6 地址,开启路由公告功能,路由器公告的生存期为 2 小时,确保销售部门的 IPv6 终端可以通过 DHCPSERVER 获取 IPv6 地址,在 SW 上开启 IPV6 dhcp server 功能。
15. 在南京分公司上配置 IPv6 地址,使用相关特性实现销售部的 IPv6 终端可自动从网关处获得 IPv6 无状态地址
16. FW 、SW 、AC 、BC 之间配置 OSPF area 0 开启基于链路的 MD5 认证, 密钥自定义,SW 与 AC 手动配置 INTERNET 默认路由,让总公司和分公司内网用户能够相互访问包含 AC 上 loopback1 地址。
17. 分公司销售部门通过防火墙上的 DHCP SERVER 获取 IP 地址,serverIP 地址为 20.0.0.254 ,地址池范围 172.16.40.10- 172.16.40.100 ,dns-server 8.8.8.8。
18. 如果 SW 的 11 端口的收包速率超过 30000 则关闭此端口,恢复时间 5 分钟;为了更好地提高数据转发的性能,SW 交换中的数据包大小指定为 1600 字节;
19. 为实现对防火墙的安全管理,在防火墙 FW 的 Trust安全域开启PING,HTTP ,telnet,SNMP 功能,Untrust 安全域开启 SSH 、HTTPS 功能;
20. 在分部防火墙上配置,分部 VLAN 业务用户通过防火墙访问 Internet 时, 转换为公网 IP: 182.22.1. 1/29;保证每一个源 IP 产生的所有会话将被 映射到同一个固定的 IP 地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至 20.10.28. 10 的 UDP 2000 端口;
21. 为净化上网环境,要求在防火墙 FW 做相关配置,禁止无线用户周一 至周五工作时间 9:00- 18:00 的邮件内容中含有“病毒” 、“赌博” 的内容,且记录日志;
22. 由于总公司无线是通过分公司的无线控制器统一管理,为了防止专线 故障导致无线不能使用,总公司和分公司使用互联网作为总公司无线 ap 和 AC 相互访问的备份链路。FW 和 BC 之间通过 IPSEC 技术实现AP 管理段与无线 AC 之间联通,具体要求为采用预共享密码为***2023 ,IKE 阶段 1 采用 DH 组 1 、3DES 和 MD5 加密方,IKE 阶段2 采用 ESP-3DES ,MD5。
23. 总公司用户,通过 BC 访问因特网,BC 采用路由方式,在 BC 上做相 关配置,让总公司内网用户(不包含财务)通过 ip:183.23.1. 1/29 访问因特网。
24. 在 BC 上配置 PPTP 让外网用户能够通过 PPTP 访问总公司 SW上内网地址,用户名为 GS2023,密码 123456。
25. 为了提高分公司出口带宽,尽可能加大分公司 AC 和出口 FW 之间带宽。
26. 在 BC 上开启 IPS 策略,对分公司内网用户访问外网数据进行 IPS 防护,保护服务器、客户端和恶意软件检测,检测到攻击后进行拒绝并记录日志。
27. BC 上开启黑名单告警功能,级别为预警状态,并进行邮件告警和记录日志,发现 cpu 使用率大于 80%, 内存使用大于 80%时进行邮件告警 并记录日志,级别为严重状态。发送邮件地址为 [email protected],接收 邮件为 [email protected]m。
28. 分公司内部有一台网站服务器直连到 WAF ,地址是 192.168.28.10 ,端 口是 8080,配置将服务访问日志、WEB 防护日志、服务监控日志信息发送 syslog 日志服务器, IP 地址是 192.168.28.6 ,UDP 的 514 端口;
29. 要求能自动识别内网 HTTP 服务器上的 WEB 主机,请求方法采用 GET、POST 方式。
30. 在 WAF 上针对 HTTP 服务器进行 URL 最大个数为 10 ,Cookies 最大个 数为 30 ,Host 最大长度为 1024 ,Accept最大长度 64 等参数校验设置,设置严重级别为中级,超出校验数值阻断并发送邮件告警;
31. 为防止 www.2023skills.com 网站资源被其他网站利用,通过 WAF 对资 源链接进行保护,通过 Referer方式检测,设置严重级别为中级,一经发现阻断并发送邮件告警;
32. 为更好对服务器 192.168.28. 10 进行防护,防止信息泄露,禁止美国地区访问服务器;
33. 在 WAF 上配置基础防御功能,建立特征规则“HTTP 防御”,开启 SQL 注入、XSS 攻击、信息泄露等防御功能,要求针对这些攻击阻断并保存日志发送邮件告警;
34. 在 WAF 上配置定期每周六 1 点对服务器的 http://192.168.28.10/进行最大深度的漏洞扫描测试;
35. 为了对分公司用户访问因特网行为进行审计和记录,需要把 AC 连接防火墙的流量镜像到 8 口。
36. 由于公司 IP 地址为统一规划,原有无线网段 IP 地址为 172.16.0.0/22,为 了避免地址浪费需要对 ip 地址进行重新分配;要求如下:未来公司预 计部署 ap 150 台;办公无线用户vlan 10 预计 300 人,来宾用户 vlan20以及不超过 50 人;
37. BC 上配置 DHCP,管理 VLAN 为 VLAN100,为 AP 下发管理地址,网 段中第一个可用地址为 AP 管理地址,最后一个可用地址为网关地址, AP 通过 DHCP opion 43 注册,AC 地址为 loopback1 地址;为无线用户 VLAN10,20 下发 IP 地址,最后一个可用地址为网关;AP 上线需要采用 MAC 地址认证。
38. AC 配置 dhcpv4 和 dhcpv6 ,分别为总公司产品段 vlan50 分配地址;ipv4 地址池名称分别为 POOLv4-50 ,ipv6 地址池名称分别为 POOLv6-50;ipv6 地址池用网络前缀表示;排除网关;DNS 分别为114.114.114.114 和 2400:3200::1;为 PC1 保留地址 192.168.50.9 和2001:da8:192:168:50::9, SW 上中继地址为 AC loopback1 地址。
39. NETWORK 1 下设置 SSID GUEST ,VLAN20 不进行认证加密,做相应配置隐藏该 SSID; NETWORK 2 开启内置 portal+本地认证的认证方式,账号为 test 密码为 test2023;
40. 配置 SSID GUEST 每天早上 0 点到 6 点禁止终端接入; GUSET 最多接 入 10 个用户,并对 GUEST 网络进行流控,上行 1M,下行 2M;配置所有无线接入用户相互隔离;配置当 AP 上线,如果 AC 中储存的Image版本和 AP 的 Image版本号不同时,会触发 AP 自动升级;配置AP 发送向无线终端表明 AP 存在的帧时间间隔为 2 秒;配置 AP 失败状态超时时间及探测到的客户端状态超时时间都为 2 小时;配置 AP 在脱离 AC 管理时依然可以正常工作;为防止外部人员蹭网,现需在设置信号值低于 50%的终端禁止连接无线信号;为防止非法 AP 假冒合法SSID,开启 AP 威胁检测功能