附件:
信息安全管理与评估赛项
样题
模块一
网络平台搭建与设备安全防护
一、赛项时间
共计90分钟。
二、赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段
网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
三、赛项内容
赛题第一阶段请按裁判组专门提供的U盘中的"XXX-第1阶段-答题模板"中的要求提交答案。选手需要在U盘的根目录下建立一个名为"GWxx"的文件夹(xx用具体的工位号替代),所完成的"XXX-第1阶段-答题模板"放置在文件夹中作为比赛结果提交。为了统一结果,FW要求源地址和目的地址均使用"IP/掩码"表示,禁止使用地址薄或地址条目表示,否则按零分处理。举例截图如下:
特别说明:只允许在根目录下的"GWxx"文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一)赛项环境设置
1.网络拓扑图
bash
培训、环境、资料、考证
公众号:Geek极安云科
网络信息安全群:624032112
网络系统管理群:223627079
网络建设与运维群:870959784
极安云科专注于技能提升,赋能
2024年世界职业院校技能大赛争夺赛一等奖2所、二等奖3所、三等奖4所院校获奖!
2024年广东省高校的技能提升,受赋能的客户院校均获奖!
2024年江苏省赛一二等奖前13名中,我们赋能客户占五支队伍!
2024年湖南省赛赋能三所院校均获奖!
2024年山东省赛赋能两所院校均获奖!
2024年湖北省赛赋能参赛院校九支队伍,共计斩获一等奖2项、三等奖7项!2.IP地址规划表
设备名称 接口 IP地址
三层交换机
SW loopback1 ospfv2 ospfv3 10.10.1.1/32
2001:10:10:1::1/128
vlan11 10.10.11.1/24
2001:10:10:11::1/64
Vlan12 10.10.12.1/24
2001:10:10:12::1/64
Vlan13 10.10.13.1/24
2001:10:10:13::1/64
Vlan14 10.10.14.1/24
2001:10:10:14::1/64
Tunnel1 10.10.255.49/30
vlan123 10.10.255.1/30
2001:10:10:255::1/126
vlan101 10.10.255.5/30
vlan104 10.10.255.9/30
vlan140 10.10.140.1/24
2001:10:10:140::1/64
vlan150 10.10.150.1/24
2001:10:10:150::1/64
无线控制器
AC loopback1 ospfv2 ospfv3 10.10.2.1/32
2001:10:10:2::1/128
Vlan21 10.10.21.1/24
2001:10:10:21::1/64
Vlan22 10.10.22.1/24
2001:10:10:22::1/64
Vlan23 10.10.23.1/24
2001:10:10:23::1/64
Vlan24 10.10.24.1/24
2001:10:10:24::1/64
Vlan104 10.10.255.10/30
vlan102 10.10.255.13/30
Internet
(SW模拟) Vlan221 218.28.21.2/30
Vlan222 218.28.22.2/30
Vlan223 218.28.23.2/30
Vlan224 218.28.24.1/30
Loopback2 218.28.2.1/32
日志服务器
BC LAN2-3 10.10.255.2/30
2001:10:10:255::2/126
WAN5 218.28.22.1/30
PPTP 网关:192.168.10.129/26 (vpn pool:192.168.10.130-192.168.10.129)
WEB应用防火墙
WAF ETH2 10.10.20.10/24
ETH3
防火墙
FW Loopback1 untrust 10.10.3.1/32
2001:10:10:3::1/128
Loopback2 untrust 10.10.3.2/32(模拟产品)
2001:10:10:3::2/128
Loopback3 untrust 10.10.3.3/32(模拟营销)
2001:10:10:3::3/128
E0/2 trust 10.10.255.14/30
E0/1.223 untrust 218.28.23.1/30
Natpool:202.102.23.16/30;
Tunnel1 vpnhub 10.10.255.50/30
E0/4 untrust 218.28.21.1/30
Natpool:202.102.21.16/30;
E0/5 untrust 10.10.20.1/24 (server2网段)
E0/1 trust 10.10.255.6/30
AP Eth1
SERVER 网卡 10.10.20.100/24
(二) 第一阶段任务书
任务1:网络平台搭建 (50分)
1.根据下述信息及表,在交换机上完成VLAN配置和端口分配。每个VLAN第二个端口设置为loopback模式方便测试。
相关业务Vlan端口分配表如下:
设备 vlan编号 端口 说明
SW vlan11 E1/0/11-12 AP管理
Vlan12 E1/0/13-14 产品
Vlan13 E1/0/15-16 营销
Vlan14 E1/0/17-18 Server1段
AC Vlan21 E1/0/11-12 法务
Vlan22 E1/0/13-14 产品
Vlan23 E1/0/15-16 营销
Vlan24 E1/0/17-18 人力
2.网络需求
题号 网络需求
1 按照IP地址规划表,对防火墙的名称、各接口IP地址进行配置。
2 按照IP地址规划表,对三层交换机的名称进行配置,创建VLAN并将相应接口划入VLAN, 对各接口IP地址进行配置。
3 按照IP地址规划表,对无线交换机的名称进行配置,创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置。
4 按照IP地址规划表,对网络日志系统的名称、各接口IP地址进行配置。
5 按照IP地址规划表,对WEB应用防火墙的名称、各接口网桥、IP地址进行配置。
任务2:网络安全设备配置与防护(250分)
1.SW开启SSH登录功能,要求该设备仅存在一个用户:用户名skills03,密码skills03,密码呈现需加密,包括Console口在内登录时需使用该用户登录即进入特权模式。
2.要求配置合理,所有链路上不允许不必要VLAN的数据流通过;尽可能骨干设备之间的带宽,BC和SW之间进行链路聚合,要求模式为动态模式, SW端为主动模式。
3.为了SW与FW之间业务访问的备份链路及通讯流量的安全,两设备通过与AC之间的链路使用loopback1口建立GRE隧道。
4.SW、AC、FW之间运行OSPFv2 和 OSPFv3 协议,OSPFV2要求如下:其中SW和FW之间属于area 0,发布两设备loopback1接口和ap管理段路由;SW、AC、FW之间以及GRE链路属于area 1,SW和FW发布除loopback1、产品、营销、Server网段外的路由,AC发布所有网段路由,FW通告类型1的默认路由。OSPFV3要求全网区域0,发布相关IPV6业务网段。
5.FW和SW两设备之间建立两对EBGP邻居:其中一对建立采用互联的1端口建立,另外一对建立采用Gre接口,发布产品、营销、Server业务网段。
6.为保证SW与FW之间产品、营销、Server之间业务互访的可靠性和流量负载,业务需求如下,要求通过配置SW来实现:
SW和FW之间产品、营销互访的流量优先走SW和FW之间直连链路;SW和FW之间Server互访的流量优先走SW和FW之间的GRE链路;
SW和FW之间GRE链路作为产品、营销业务互访的备份链路;
使用IP前缀列表匹配上述业务数据流;
使用AS PATH属性进行业务选路,只允许使用route-map来改变AS PATH属性、实现路由控制,AS PATH属性可配置的参数数值为:65000。
7.为了提高OSPF骨干区域的安全性,骨干区域启用区域MD5验证,验证密钥为DCN2023;SW和BC之间配置静态路由实现分公司终端能够访问互联网。
8.为了防止非法的dhcp server产生的干扰,要求通过VACL方式实现AC法务网段业务对应的端口丢弃dhcp server报文,已知dhcp server的端口号为UDP 67端口,访问控制列表名字:d_dhcp。
9.针对 AC产品业务配置相关特性,每个端口只允许的最大安全 MAC 地址数为 1,当超过设定 MAC 地址数量的最大值,不学习新的MAC、丢弃数据包、发 snmp trap、同时在 syslog 日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留。
10.为防止网络内用ARP攻击,要求在AC的所有业务网段仅开启基于IP的防ARP扫描功能,针对每个IP的检测为10个每秒,超过检测数值的IP会被阻断,并且在180秒后恢复。
11.SW既作为分公司核心交换机,同时又使用相关技术模拟为Internet交换机,实Internet路由表与分公司业务路由表隔离,Internet路由表位于VPN实例名称Internet内。
12.为了提高安全性总公司法务和人力部门采用固定IP,会议室要实现这两部门的领导开会时能够接入AC的有线网络,ac端口号:19-20,要求无论插入任何一个端口,SW都能自动为对应终端分配到对应的正确VLAN。
13.通过BC配置的DHCP Server为总公司的AP、VLAN140、VLAN150段自动分配地址,地址池为除网关外的所有可用地址,DNS server地址8.8.8.8,其中AP通过Option43方式上线,AC的无线管理地址是10.10.2.1。DHCP Server地址使用BC和SW的互联地址。
14.AP通过Option43方式上线,在AC上创建两个SSID分别为"Wifi-2.4G"和"Wifi-5.0G"。"Wifi-2.4G"对应业务Vlan 140,使用network 14, 用户接入无线网络时需要采用基于WPA-personal加密方式,其口令为"Wifi-2.4G";"Wifi-5.0G"对应业务Vlan 150,使用network 15,用户接入无线网络时需要采用基于static-wep加密方式,共享密钥其口令为"1234567890123"。要求无线AP只能发射"Wifi-2.4G"和"Wifi-5.0G"两个可用SSID。
15.AC采用profile 1为AP下发配置,且命名为WIFI,SSIDW为"Wifi-2.4G"的信号对应2.4G频段,SSID为"Wifi-5.0G"的信号对应AP的5.0G频段。
16.配置所有5.8G无线接入用户相互隔离,同时开启ARP抑制功能;2.4G信号周一至周二每天早上0点到6点禁止终端接入。
17.为了控制带宽,保证正常使用,配置无线局域网用户上行速度为2Mbps,下行速度为5Mbps。
18.阻止MAC 地址为00-e1-3a-10-be-51的主机连接的2.4G无线网络。为防止外部人员蹭网,现需在2.4G频段下设置信号值低于50%的终端禁止连接无线信号。
19.对无线功能进行优化:在本项目中5G信号覆盖信号比较弱,请通过相关功能进行优化。2.4G信号为了每个客户端机会均等地获得传输机会,避免出现某个客户端长时间占用传输机会而拖累其他客户端的现象发生。
20.通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源,检测到AP与AC在10分钟内建立连接5次就不在允许继续连接,两小时后恢复正常。
21.AP在收到错误帧时,将不再发送ACK帧;打开AP组播广播突发限制功能;开启Radio的自动信道调整,每天上午7:00触发信道调整功能。
22.在公司总部的WAF上配置,编辑防护策略,定义HTTP请求体的最大长度为256,防止缓冲区溢出攻击。
23.为更好对服务器10.10.20.100进行防护,我们定期对服务器进行Web漏洞扫描,来及时修改我们的防护规则,扫描深度为4。
24.方便日志的保存和查看,需要在把WAF上攻击日志、访问日志、DDOS日志以JSON格式发给IP地址为192.23.230.101的日志服务器上。
25.在WAF上配置基础防御功能,开启SQL注入、XXS攻击、信息泄露等防御功能,要求针对这些攻击阻断并发送邮件告警。
26.在WAF上针对HTTP服务器进行URL最大个数为10,Cookies最大个数为30,Host最大长度为1024,Accept最大长度64等参数校验设置,设置严重级别为中级,超出校验数值阻断并发送邮件告警。
27.在WAF上保护HTTP服务器上的www.chinaskills.com网站爬虫攻击,从而影响服务器性能,设置严重级别为高级,一经发现攻击阻断并发送邮件告警。
28.在 WAF 上配置,防止暴力破解获取www.2022skills.com网站的用户口令通过限速的方法限速频率为3次每秒触发邮件告警告警并阻断。
29.在公司总部的 WAF 上配置,禁止公网IP 地址(200.200.200.200) 访问网站服务器,网站服务器IP 地址是10.10.20.100。
30.在 FW 配置网络地址转换实现总公司所有网段访问互联网,NAT 地址转换条件中源、目的 IP 均为 any,natpool见IP地址规划表;第一次完成配置后管理员发现内网一些用户使用网银客户端时,出现需要反复登录的情况,最后定位到原因与防火墙配置有关,请进行修复。
31.2023年护网行动开展在即,调整FW全网安全策略缺省规则为拒绝;配置实现总公司所有网段都能访问Internet,策略中源、目的 IP 均为 any;同时要求Server1段仅能访问Server2段的http服务。
32.计划在FW的e0/0口进行https认证测试,对上网的用户进行控制,认证服务器为本地防火墙,只有在认证页面输入用户名和密码分别为 dcn01或者dcn02才可以访问internet网络,强制用户在线时常超过1天后必须重新登录。
33.为了方便对总公司AC的管理,要求通过FW相应策略的配置,实现任何互联网和SW上的用户都能够通过telnet总公司FW 4口接口IP的23端口访问到SW(IP使用10.10.255.13)的命令行。
34.FW实现对总公司所有用户访问网址中含有"游戏"、"购物"关键字网站的过滤,对试图访问及搜索的行为进行记录;阻止在社区论坛、社会生活类网站发布含有关键字"舆论"的信息,并记录日志;并将上述日志发送至日志服务器(10.10.11.200)方便统一管理、审计。
35.FW 配置 SSL VPN,名称为 VPNSSL, Internet 用户通过4端口4433 连接仅能访问Server2段的http服务,本地认证账号 UserSSL,密码 Pass-1234,地址池名称为POOLSSL,地址池范围为 10.18.0.100/24-10.18.0.199/24。保持 PC3位置不变,用 PC3 测试。
36.BC上配置报警邮箱,邮件服务器IP为172.16.10.33,端口号为25,账号为:skills01,密码: skills01,同时把报警邮件发送给[email protected];
37.分公司用户,通过BC访问因特网,BC采用路由方式,在BC上做相关配置,让分公司内网用户通过外网口地址访问因特网。
38.在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问分公司SW上内网地址,用户名为test,密码test23。
39.BC上开启黑名单告警功能,级别为预警状态,并进行邮件告警和记录日志,发现cpu使用率大于80%,内存使用大于80%时进行邮件告警并记录日志,级别为严重状态。