技能大賽之企業(yè)網(wǎng)6網(wǎng)絡(luò)系統(tǒng)安全項(xiàng)目測試試卷06.doc

湖南省高等職業(yè)院校計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)技能抽查考試“網(wǎng)絡(luò)系統(tǒng)安全”項(xiàng)目測試試卷(編號 06 )第一部分考試說明一、 技能抽查考試內(nèi)容發(fā)布 “網(wǎng)絡(luò)系統(tǒng)安全管理項(xiàng)目”考試內(nèi)容共分四個組成部分，其中：1. 項(xiàng)目工程設(shè)計(jì)、實(shí)施與管理部分，占總分的比例為10%.2. 路由與交換設(shè)備配置部分，占總分的比例為50%。3. 網(wǎng)絡(luò)服務(wù)器配置及應(yīng)用部分，占總分的比例為30%。4. 網(wǎng)絡(luò)安全硬件配置部分，占總分的比例為10%。二、 技能抽查考試相關(guān)設(shè)備及材料清單1 軟件環(huán)境序號類型名稱位置1系統(tǒng)軟件Windows XP pro sp3D:軟件資料2系統(tǒng)軟件Windows 2003 ServerD:軟件資料3應(yīng)用軟件PuttyD:軟件資料4應(yīng)用軟件Microsoft Visio 2007D:軟件資料5應(yīng)用軟件VMware Workstation 7.0D:軟件資料6應(yīng)用軟件Office 2003，winrar，Adobe reader 9D:軟件資料7網(wǎng)管軟件防火墻 IDSD:軟件資料8驅(qū)動程序打印機(jī)D:軟件資料9序列號所有對應(yīng)的序列號D:軟件資料10文本網(wǎng)絡(luò)設(shè)備產(chǎn)品說明書D:軟件資料2 硬件設(shè)備（1）網(wǎng)絡(luò)相關(guān)設(shè)備采用銳捷或神州數(shù)碼的相關(guān)產(chǎn)品。序號設(shè)備名稱數(shù)量參考型號1路由器4RG-RSR20-18或DCR-26112串口模塊6SIC-HIS3串口v.35線3V.354二層交換機(jī)2RG-S2328或DCS-39505三層交換機(jī)2RG-S3760或DCRS-5526S6防火墻2RG-WALL160M或DCFW-1800S7入侵檢測系統(tǒng)1RG-IDS500S或DCNIDS-1800-M8電腦4Cpu 5300以上，內(nèi)存2G以上，帶com口 第二部分 工程項(xiàng)目建設(shè)一 項(xiàng)目背景及網(wǎng)絡(luò)拓?fù)?. 項(xiàng)目描述 開元集團(tuán)是一家事從高科技產(chǎn)品研發(fā)、生產(chǎn)和銷售的大型企業(yè)，總公司和分公司通過網(wǎng)絡(luò)互邊，隨著業(yè)務(wù)的發(fā)展，公司原有網(wǎng)絡(luò)不能滿足高效企業(yè)管理的需要，公司經(jīng)常遭到來自互聯(lián)網(wǎng)的攻擊和入侵，網(wǎng)絡(luò)安全對生產(chǎn)和經(jīng)營的影響也越來越明顯。為了滿足公司業(yè)務(wù)的需要，公司決定構(gòu)建一個高速、穩(wěn)定、安全的適應(yīng)企業(yè)現(xiàn)代化辦公需求的高性能網(wǎng)絡(luò)2. 網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)規(guī)劃如圖1所示本次公司的網(wǎng)絡(luò)構(gòu)建包括總公司和分公司的兩個部分。總公司局域網(wǎng)核心采用雙交換機(jī)的構(gòu)架，通過 VRRP 技術(shù)實(shí)現(xiàn)負(fù)載均衡和鏈路備份。兩臺核心交換機(jī)連接到核心路由器，核心路由器連接到網(wǎng)絡(luò)出口防火墻，同時核心路由器通過專線連接到分公司的出口路由器?？偣镜木W(wǎng)絡(luò)出口使用防火墻連接到 ISP 通過配置防火墻來實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問 Internet 以及保護(hù)內(nèi)網(wǎng)的安全?？偣竞头止局g的辦公用戶通過路由器建立的遂道相互通信，有效的保證了數(shù)據(jù)傳輸?shù)陌踩浴７?wù)器集中放置在網(wǎng)絡(luò)中心機(jī)房。直接連接到核心交換機(jī)，通過部署 IDS 網(wǎng)絡(luò)中訪問服務(wù)器的數(shù)據(jù)進(jìn)行檢測，通過 IDS 來預(yù)防內(nèi)網(wǎng)的網(wǎng)絡(luò)攻擊。分公司的網(wǎng)絡(luò)的出口路由器通過 VPN 遂道與分公司路由器相連。通過安全通安全遂道來訪問總公司的資源。二、工程項(xiàng)目建設(shè)內(nèi)容1 .項(xiàng)目工程設(shè)計(jì)、實(shí)施與管理部分（10分）2通過對用戶的再次需求分析得知：由于用戶對網(wǎng)絡(luò)的安全性要求特別高，即要求總公司內(nèi)部的局域網(wǎng)以及與外網(wǎng)的訪問能實(shí)現(xiàn)很高的安全性。而對前面設(shè)計(jì)的網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)分析得知，該網(wǎng)絡(luò)的僅僅只在內(nèi)網(wǎng)和外網(wǎng)之間部署了防火器?，F(xiàn)在請完成以下工作：（1）分析目前網(wǎng)絡(luò)中的安全現(xiàn)狀，指出安全漏洞所在，并提出改進(jìn)意見，改進(jìn)建設(shè)需要提供一定的投資分析，即在根據(jù)現(xiàn)有網(wǎng)絡(luò)的規(guī)模的等級，安全投入與產(chǎn)出是否合理，以方便用戶進(jìn)行決策。（2）在前面拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上設(shè)計(jì)更高安全性的網(wǎng)絡(luò)拔掉結(jié)構(gòu)，要求可以超過給定的設(shè)務(wù)，請繪制拓?fù)浣Y(jié)構(gòu)圖，標(biāo)注好端口、IP地址等必要的說明信息。注意：拓?fù)浣Y(jié)構(gòu)圖與分析表在考試結(jié)束前保存到“d:提交資料”目錄中。2.路由與交換設(shè)備配置部分（50分） 根據(jù)圖1的拓?fù)浣Y(jié)構(gòu)的要求完成以下配置：（1） 完成部、分公司在兩臺路由器和交換機(jī)的IP地址的配置；（2） 在總公司的兩臺核心交換機(jī)和一臺匯聚層交換機(jī)上配置VLAN信息，具體配置如下，在三臺交換機(jī)上配置四個VLAN，分別是VLAN10、VLAN20、VLAN30、VLAN40。將每個交換機(jī)中的2-4、5-7、12-15、16-20號端口分別劃入VLAN10、VLAN20、VLAN30、VLAN40；（3） 參考拓?fù)浣Y(jié)構(gòu)圖給交換機(jī)啟用SVI 并給相應(yīng)的VLAN配置ip地址；（4） 將S3750-A的FA0/23-24設(shè)置為鏈路聚合，并將聚合新接合設(shè)置trunk ,將S3750-B的FA0/23-24設(shè)置為鏈路聚合，并將聚合新接合設(shè)置trunk；（5） 為了防止內(nèi)網(wǎng)有惡意偽造交換機(jī)發(fā)出的BPDU報(bào)文導(dǎo)致的網(wǎng)絡(luò)不穩(wěn)定，需要在適當(dāng)?shù)慕涌谏吓渲肧TP的BPDU保護(hù)(BPDUGuard); （6） 為了防止發(fā)生ARP欺騙攻擊，需要在適當(dāng)?shù)慕涌谏吓渲枚丝诎踩?，對合法IP和MAC地址進(jìn)行綁定，并開啟ARP檢查功能（ARP-Check）;注意：（1） 所有設(shè)備的配備配置必須進(jìn)行保存，此為評卷依據(jù)；（2） 通過超級終端將各個設(shè)備的全部配置內(nèi)容捕獲成TXT文件，存放在指定位置-桌面組名*.txt。文件名以設(shè)備名稱命名，例如：S3750-A的配置內(nèi)容保存為S3750-A.txt。（3） 通過打印機(jī)將以上保存的文件分別打印成紙質(zhì)文檔，放置在桌面；（4） 設(shè)備中的配置為唯一評卷依據(jù)；如果配置沒有在設(shè)備中保存，即使有TXT文件或者紙質(zhì)文檔。網(wǎng)絡(luò)搭建部分也為0分；設(shè)備中配置如果與TXT文件或者紙質(zhì)文檔有差異，以設(shè)備中配置為準(zhǔn)！3. 網(wǎng)絡(luò)服務(wù)器配置及應(yīng)用項(xiàng)目部分（30分）（1） 在總公司的網(wǎng)絡(luò)中心機(jī)房的Server1服務(wù)器上利用VMwareworkstation軟件，安裝一個Windows 2003 操作系統(tǒng)，標(biāo)簽務(wù)WIN2003A,存放位置分別為D:/ WIN2003A,內(nèi)存均為512MB，網(wǎng)卡均使用橋接模式連接，網(wǎng)絡(luò)IP地址范圍在/24即可，硬盤空間均為10GB，且無需立即分配磁盤空間。（2） 在WIN2003服務(wù)器上配置DNS服務(wù)，為單位內(nèi)部用戶提供域名解析服務(wù)，同時也負(fù)責(zé)向外部DNS服務(wù)器轉(zhuǎn)發(fā)DNS請求，域名為。能實(shí)現(xiàn)正向、反向域名解析服務(wù)。實(shí)現(xiàn)、和域名解析服務(wù)；并為郵件服務(wù)器建立郵件交換器。將域的記錄內(nèi)容界面截圖保存；在客戶端通過nslookup解析以上域名，并將解析結(jié)果窗口截圖。（3） 在WIN2003服務(wù)器上配置FTP服務(wù),使得用戶在客戶端能通過域名訪問服務(wù)器。該服務(wù)器允許匿名用戶訪問，但只允許其下載數(shù)據(jù)，不允許上傳數(shù)據(jù)，設(shè)置用戶ftp_userl,該用戶允許上傳，不允許下載；開啟ftpl的log功能設(shè)置，文件名為D:/lag/ftplog;設(shè)置無任何打操作的超時時間為兩分鐘；設(shè)置FTP服務(wù)器最大支持連接數(shù)為1000個，僅僅允許VLAN20網(wǎng)段的主機(jī)以ftp_userl訪問。將配置文件界面截圖保存。（4） 在客戶端PC2(VLAN20)通過域名訪問FTP服務(wù)器，將訪問的結(jié)果窗口截圖保存。（5） 在WIN2003服務(wù)器上配置DHCP服務(wù)器，要求能為各個虛擬局域網(wǎng)的主機(jī)分配TCP/IP參數(shù)，并將配置結(jié)構(gòu)窗口截圖。 注意：（1） 服務(wù)器操作系統(tǒng)均利用VMware workstation 7.0 虛擬機(jī)系統(tǒng)實(shí)現(xiàn)。（2） 請各位考生按要求完成各項(xiàng)服務(wù)器配置，在完成配置后提交能反映各個配置項(xiàng)目結(jié)果的窗口截圖，Server1中Windows 2003系統(tǒng)的所有截圖按照試題順序粘貼在文件名為：組號_serverl.doc如3組的文件命名為：3_serverl.doc的文檔中，請參照“d:提交資料組號_serverl.doc”文檔模板。文檔中要求有試題的題號小標(biāo)題，并對每個截圖時行必要的說明，無截圖的項(xiàng)目不得分4. 網(wǎng)絡(luò)安全硬件配置部分（10分） 總公司和分公司出口分別使用防火墻和路由器，總