竞赛需要完成三个阶段的任务,分别完成三个模块,总分共计 1000分。三个模块内容和分值分别是:
1.第一阶段:模块一 网络平台搭建与设备安全防护(180 分钟,300 分)。
2.第二阶段:模块二 网络安全事件响应、数字取证调查、应用程序安全(180 分钟,300 分)。
3.第三阶段:模块三 网络安全渗透、理论技能与职业素养(180分钟,400 分)。
【注意事项】
1.第一个阶段需要按裁判组专门提供的U 盘中的"XXX-答题模板" 提交答案。
第二阶段请根据现场具体题目要求操作。
第三阶段网络安全渗透部分请根据现场具体题目要求操作,理论测试部分根据测试系统说明进行登录测试。
2.所有竞赛任务都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
模块一 网络平台搭建与设备安全防护
一、竞赛内容
第一阶段竞赛内容包括:网络平台搭建、网络安全设备配置与防护,共2个子任务。
| 竞赛阶段 | 任务阶段 | 竞赛任务 | 竞赛时间 | 分值 |
|---|---|---|---|---|
| 第一阶段网络平台搭建与设备安全防护 | 任务1 | 网络平台搭建 | XX:XX-XX:XX | 50 |
| 第一阶段网络平台搭建与设备安全防护 | 任务2 | 网络安全设备配置与防护 | XX:XX-XX:XX | 250 |
| 总分 | 300 |
二、竞赛时长
本阶段竞赛时长为180分钟,共300分。
三、注意事项
第一阶段请按裁判组专门提供的U盘中的"XXX-答题模板"中的要求提交答案。选手需要在U盘的根目录下建立一个名为"GWxx"的文件夹(xx用具体的工位号替代),所完成的"XXX-答题模板"放置在文件夹中作为竞赛结果提交。
例如:08工位,则需要在U盘根目录下建立"GW08"文件夹,并在"GW08"文件夹下直接放置第一个阶段的所有"XXX-答题模板"文件。
【特别提醒】
只允许在根目录下的"GWxx"文件夹中体现一次工位信息,不允许在其它文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
四 、赛项环境设置
1. 网络拓扑图
图 1 网络拓扑
2. IP 地址规划表
第一阶段 任务书
任务1网络平台搭建(50分)
| 题号 | 网络需求 |
|---|---|
| 1 | 按照IP地址规划表,对防火墙的名称、各接口IP地址进行配置 |
| 2 | 按照IP地址规划表,对三层交换机的名称进行配置,创建VLAN并将相应接口划入VLAN,对各接口IP地址进行配置 |
| 3 | 按照IP地址规划表,对无线交换机的名称进行配置,创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置 |
| 4 | 按照IP地址规划表,对网络日志系统的名称、各接口IP地址进行配置 |
| 5 | 按照IP地址规划表,对Web应用防火墙的名称、各接口IP地址进行配置 |
任务2网络安全设备配置与防护(250分)
1.RS和WS开启telnet登录功能,配置使用telnet方式登录终端界面前显示如下授权信息:"WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility"。
2.总部部署了一套网管系统实现对核心RS进行管理,网管系统IP为:172.16.100.21,读团体值为:ABC2022,版本为V2C,RS Trap信息实时上报网管,当MAC地址发生变化时,也要立即通知网管发生的变化,每35s发送一次;
3.RS出口往返流量发送给NETLOG,由NETLOG对收到的数据进行用户所要求的分析;
4.对RS上VLAN40 开启以下安全机制:业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟; 如私设DHCP服务器关闭该端口;防止ARP欺骗攻击;
5.配置使总部VLAN10,30,40 业务的用户访问INTERNET往返数据流都经过FW进行最严格的安全防护; RS使用相关VPN技术,模拟INTERNET ,VPN名称为INTERNET地址为 218.5.18.2;
6.WS与RS之间配置RIPng, 是VLAN30 与VLAN50 可以通过IPv6 通信;IPv6业务地址规划如下,其它IPv6地址自行规划:
| 业务 | IPV6 地址 |
|---|---|
| VLAN30 | 2001::30::254/64 |
| VLAN50 | 2001::50::254/64 |
7.FW、RS、WS之间配置OSPF area 0 开启基于链路的MD5 认证,密钥自定义;
8.为了有效减低能耗,要求每天晚上 20:00 到早上 07:00 把RS端口指示灯全部关闭;如果RS的 11端口的收包速率超过 30000 则关闭此端口,恢复时间5 分钟,并每隔10 分钟对端口的速率进行统计;为了更好地提高数据转发的性能,RS交换中的数据包大小指定为 1600字节;
9.为实现对防火墙的安全管理,在防火墙FW的Trust安全域开启PING,HTTP,SNMP功能,Untrust安全域开启SSH、HTTPS功能;
10.总部VLAN业务用户通过防火墙访问Internet时,复用公网IP:218.5.18.9、218.5.18.10;
11.远程移动办公用户通过专线方式接入总部网络,在防火墙FW上配置,采用SSL方式实现仅允许对内网VLAN 30 的访问,用户名密码均为ABC2021,地址池参见地址表;
12.为了保证带宽的合理使用,通过流量管理功能将引流组应用数据流,上行最小带宽设置为 2M,下行最大带宽设置为 4M;为净化上网环境,要求在防火墙FW做相关配置,禁止无线用户周一至周五工作时间9:00-18:00 的邮件内容中含有"病毒"、"赌博"的内容,且记录日志;
13.在公司总部的NETLOG上配置,设备部署方式为旁路模式,并配置监控接口与管理接口。增加非admin账户NETLOG2022,密码NETLOG2022,该账户仅用于用户查询设备的日志信息和统计信息。使NETLOG能够通过邮件方式发送告警信息,邮件服务器在服务器区,IP地址是 172.16.10.200,端口号25,账号test,密码test;NETLOG上配置SNMPv3,用户名admin,MD5秘钥adminABC,配置日志服务器与NTP服务器,两台服务器地址:172.16.10.200;
14.在公司总部的NETLOG上配置,监控工作日(每周一到周五)期间PC1 网段访问的URL中包含xunlei的HTTP访问记录,并且邮件发送告警。监控PC2 网段所在网段用户的即时聊天记录。监控内网所有用户的邮件收发访问记录。
15.NETLOG配置应用及应用组"P2P视频下载",UDP协议端口号范围65531-65631,在周一至周五 8:00-20:00 监控内网中所有用户的"P2P视频下载"访问记录;
16.NETLOG配置对内网ARP数量进行统计,要求 30 分钟为一个周期;NETLOG配置开启用户识别功能,对内网所有MAC地址进行身份识别;
17.NETLOG配置统计出用户请求站点最多前20 排名信息,bn2022@chinaskills.com;
18.公司内部有一台网站服务器直连到WAF,地址是RS上VLAN10 网段内的第五个可用地址,端口是 8080,配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器,IP地址是服务器区内第六个可用地址,UDP的 514端口;
19.在公司总部的WAF上配置,阻止常见的WEB攻击数据包访问到公司内网服务器,防止某源IP地址在短时间内发送大量的恶意请求,影响公司网站正常服务。
20.大量请求的确认值是:10秒钟超过 3000 次请求;编辑防护策略,定义HTTP请求体的最大长度为 256,防止缓冲区溢出攻击;
21.WAF上配置开启爬虫防护功能,当爬虫标识为 360Spider,自动阻止该行为;WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件;WAF上配置编辑防护策略,要求客户机访问内部网站时,禁止访问*.bat的文件;
22.WAF上配置,使用WAF的漏洞立即扫描功能检测服务器(172.16.10.100)的安全漏洞情况,要求包括信息泄露、SQL注入、跨站脚本编制;
23.在公司总部的WAF上配置,WAF设备的内存使用率超过 50%每隔5分钟发送邮件和短信给管理,邮箱,手机13912345678;在公司总部的WAF上配置,将设备状态告警、服务状态告警信息通过邮件(发送到bn2022@digitalchina.com)及短信方式(发送到 13812345678)发送给管理员;
24.WS上配置DHCP,管理VLAN为VLAN101,为AP下发管理地址,保证完成AP注册; 为无线用户VLAN10,20, 有线用户VLAN 30,40 下发IP地址;
25.在NETWORK下配置SSID,需求如下:
1、NETWORK 1下设置SSID ABC2021,VLAN10,加密模式为wpa-personal,其口令为ABCE2022;
2、NETWORK 2下设置SSID GUEST,VLAN20不进行认证加密,做相应配置隐藏该SSID;
26.NETWORK 1 开启内置portal+本地认证的认证方式,账号为ABC密码为ABCE2022;
27.配置SSID GUEST每天早上 0 点到 6 点禁止终端接入; GUSET最多接入 10 个用户,并对GUEST网络进行流控,上行 1M,下行 2M;配置所有无线接入用户相互隔离;
28.配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级;配置AP发送向无线终端表明AP存在的帧时间间隔为 1秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都为 2 小时;配置AP在脱离AC管理时依然可以正常工作;
29.为防止外部人员蹭网,现需在设置信号值低于 50%的终端禁止连接无线信号;为防止非法AP假冒合法SSID,开启AP威胁检测功能;
30.RS、WS运行静态组播路由和因特网组管理协议第二版本;PC1 启用组播,使用VLC工具串流播放视频文件 1.mpg,组地址228.10.10.9,端口:5678,实现PC2 可以通过组播查看视频播放。
31.在公司总部的BC上配置,设备部署方式为透明模式。增加非admin账户skills01,密码skills01,该账户仅用于用户查询设备的日志信息和统计信息;要求对内网访问Internet全部应用进行日志记录。
32.在BC上配置激活NTP,本地时区+8:00,并添加NTP服务器名称清华大学,域名为s1b.time.edu.cn。
33.BC配置内容管理,对邮件内容包含"比赛答案"字样的邮件, 记录且邮件报警。
34.BI监控周一至周五工作时间VLAN40 用户使用"迅雷"的记录, 每天工作时间为 9:00-18:00。
35.在公司总部的WAF上配置,设备部署方式为透明模式。要求对内网HTTP服务器172.16.10.45/32 进行安全防护。
36.方便日志的保存和查看,需要在把WAF上攻击日志、访问日志、DDoS日志以JSON格式发给IP地址为 172.16.10.200 的日志服务器上。
37.在WAF上配置基础防御功能,开启SQL注入、XXS攻击、信息泄露等防御功能,要求针对这些攻击阻断并发送邮件告警。
38.为防止 网站资源被其他网站利用,通过WAF对资源链接进行保护,通过Referer方式检测,设置严重级别为中级,一经发现阻断并发送邮件告警。
39.在公司总部的WAF上配置,编辑防护策略,定义HTTP请求体的最大长度为 256,防止缓冲区溢出攻击。
40.对公司内网用户访问外网进行网页关键字过滤,网页内容包含"暴力""赌博"的禁止访问。