2022年全國(guó)職業(yè)院校技能大賽高職組“信息安全管理與評(píng)估”賽項(xiàng)-第1階段-賽題

2022年全國(guó)職業(yè)院校技能大賽高職組

“信息安全管理與評(píng)估”賽項(xiàng)

任務(wù)書(shū)1

一、賽項(xiàng)第一階段時(shí)間

180分鐘。

二、賽項(xiàng)信息

任務(wù)競(jìng)賽

競(jìng)賽階段競(jìng)賽任務(wù)分值

階段時(shí)間

第一階段任務(wù)1網(wǎng)絡(luò)平臺(tái)搭建50

180

平臺(tái)搭建與安全

任務(wù)2網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)分鐘250

設(shè)備配置防護(hù)

三、注意事項(xiàng)

賽題第一階段請(qǐng)按裁判組專(zhuān)門(mén)提供的U盤(pán)中的“XXX-答題模板”

中的要求提交答案。選手需要在U盤(pán)的根目錄下建立一個(gè)名為“GWxx”

的文件夾（xx用具體的工位號(hào)替代），所完成的“XXX-答題模板”放

置在文件夾中作為比賽結(jié)果提交。

1

四、賽項(xiàng)內(nèi)容

(一)賽項(xiàng)環(huán)境設(shè)置

1.網(wǎng)絡(luò)拓?fù)鋱D

2

2.IP地址規(guī)劃表

設(shè)備名稱(chēng)接口IP地址對(duì)端設(shè)備

54/30

（Trust安全域）RSETH1/0/1

ETH0/1-2

54/30RSETH1/0/2

（Trust安全域）

54/30

ETH0/3NETLOGETH3

（Trust安全域）

54/30

ETH0/4NETLOGETH4

（Trust安全域）

/27IDCSERVER

ETH0/5

防火墻（untrust安全域）

FW/28

ETH0/6RSETH1/0/19

（untrust安全域）

/24

Loopback1

（Trust安全域）

/24

Loopback2

（Trust安全域）

-

/24

Loopback3

（Trust安全域）

/24

Loopback4

（Trust安全域）

VLAN40

2/26PC2

ETH1/0/4-8

VLAN50

2/26PC3

ETH1/0/3

VLAN51

54/30NETLOG

ETH1/0/23

VLAN5254/24WAF

三層交換機(jī)

VLAN113OSPF

RSVLAN113FW

53/30

VLAN114OSPF

VLAN114FW

53/30

VLAN117

53/30NETLOGETH1

ETH1/0/17

VLAN118

53/30NETLOGETH2

ETH1/0/18

3

VLAN100

/30

2001::192:168:100:1/112

ETH1/0/20VLAN115OSPFWS

54/30

VLAN116OSPF

54/30

VLAN4000

/28FW

ETH1/0/19

VLAN100

/30

ETH1/0/20

2001::192:168:100:2/112RS

VLAN11553/30

VLAN11653/30

三層無(wú)線(xiàn)VLAN30

2/26PC1

交換機(jī)WSETH1/0/3

無(wú)線(xiàn)管理VLAN

VLAN101需配置AP

ETH1/0/21

VLAN10需配置無(wú)線(xiàn)1

VLAN20需配置無(wú)線(xiàn)2

日志服務(wù)器

ETH553/30RSETHE1/0/23

NETLOG

WEB應(yīng)用ETH3RSETHE1/0/24

53/30

防火墻WAFETH4堡壘服務(wù)器

4

3.設(shè)備初始化信息表

設(shè)備登錄

設(shè)備型號(hào)登錄方式賬號(hào)密碼

類(lèi)型端口

DCFW-1800E-

防火墻E0/0adminadmin

N3002-PRO

三層CS6200-28X-

CONSOLE波特率9600

交換機(jī)PRO

WEBDCFW-1800-

GE0adminyunke1234!

防火墻WAF-P

網(wǎng)絡(luò)

日志DCBC-NETLOGGE0:9090adminAdmin*PWD

系統(tǒng)

三層

DCWS-6028-

無(wú)線(xiàn)CONSOLE波特率9600adminadmin

PRO

交換機(jī)

5

第一階段任務(wù)書(shū)

任務(wù)1：網(wǎng)絡(luò)平臺(tái)搭建（50分）

題號(hào)網(wǎng)絡(luò)需求

按照IP地址規(guī)劃表，對(duì)防火墻的名稱(chēng)、各接口IP地址進(jìn)行配置。

1

（10分）

按照IP地址規(guī)劃表，對(duì)三層交換機(jī)的名稱(chēng)進(jìn)行配置，創(chuàng)建VLAN并

2

將相應(yīng)接口劃入VLAN,對(duì)各接口IP地址進(jìn)行配置。（10分）

按照IP地址規(guī)劃表，對(duì)無(wú)線(xiàn)交換機(jī)的名稱(chēng)進(jìn)行配置，創(chuàng)建VLAN并

3

將相應(yīng)接口劃入VLAN,對(duì)接口IP地址進(jìn)行配置。（10分）

按照IP地址規(guī)劃表，對(duì)網(wǎng)絡(luò)日志系統(tǒng)的名稱(chēng)、各接口IP地址進(jìn)行

4

配置。（10分）

按照IP地址規(guī)劃表，對(duì)WEB應(yīng)用防火墻的名稱(chēng)、各接口IP地址進(jìn)

5

行配置。（10分）

6

任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)（250分）

1.RS開(kāi)啟telnet登錄功能，用戶(hù)名skills01，密碼skills01，

配置使用telnet方式登錄終端界面前顯示如下授權(quán)信息：

“WARNING!!!Authorisedaccessonly,allofyourdone

willberecorded!DisconnectedIMMEDIATELYifyouare

notanauthoriseduser!Otherwise,weretaintheright

topursuethelegalresponsibility”；（16分）

2.總部交換機(jī)SW配置簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，計(jì)劃啟用V3版本，V3

版本在安全性方面做了極大的擴(kuò)充。配置引擎號(hào)分別為62001；

創(chuàng)建認(rèn)證用戶(hù)為skills01，采用3des算法進(jìn)行加密，密鑰為：

skills01，哈希算法為SHA，密鑰為：skills01；加入組ABC，

采用最高安全級(jí)別；配置組的讀、寫(xiě)視圖分別為：2022_R、

2022_W；當(dāng)設(shè)備有異常時(shí)，需要使用本地的VLAN100地址發(fā)送

Trap消息至網(wǎng)管服務(wù)器03，采用最高安全級(jí)別；（6

分）

3.對(duì)RS上VLAN40開(kāi)啟以下安全機(jī)制：

業(yè)務(wù)內(nèi)部終端相互二層隔離，啟用環(huán)路檢測(cè)，環(huán)路檢測(cè)的時(shí)間間

隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復(fù)時(shí)間為30分鐘；如

發(fā)現(xiàn)私設(shè)DHCP服務(wù)器則關(guān)閉該端口，配置防止ARP欺騙攻擊；

（6分）

7

4.勒索蠕蟲(chóng)病毒席卷全球，爆發(fā)了堪稱(chēng)史上最大規(guī)模的網(wǎng)絡(luò)攻擊，

通過(guò)對(duì)總部核心交換機(jī)RS所有業(yè)務(wù)VLAN下配置訪問(wèn)控制策略實(shí)

現(xiàn)雙向安全防護(hù);（6分）

5.RS配置IPv6地址，使用相關(guān)特性實(shí)現(xiàn)VLAN50的IPv6終端可自

動(dòng)從網(wǎng)關(guān)處獲得IPv6有狀態(tài)地址；（6分）

WS配置IPv6地址，開(kāi)啟路由公告功能，路由器公告的生存期為

2小時(shí)，確保VLAN30的IPv6終端可以獲得IPv6無(wú)狀態(tài)地址。

WS與RS之間配置RIPng，使PC1與PC3可以通過(guò)IPv6通信；

IPv6業(yè)務(wù)地址規(guī)劃如下，其它IPv6地址自行規(guī)劃：

業(yè)務(wù)IPV6地址

VLAN302001:30::254/64

VLAN502001:50::254/64

6.盡可能加大RS與防火墻FW之間的帶寬;

配置使總部VLAN40業(yè)務(wù)的用戶(hù)訪問(wèn)IDCSERVER的數(shù)據(jù)流經(jīng)過(guò)

FW54,IDCSERVER返回?cái)?shù)據(jù)流經(jīng)過(guò)FW54，

且對(duì)雙向數(shù)據(jù)流開(kāi)啟所有安全防護(hù)，參數(shù)和行為為默認(rèn);（6

分）

7.FW、RS、WS之間配置OSPFarea0開(kāi)啟基于鏈路的MD5認(rèn)證，

密鑰自定義,傳播訪問(wèn)INTERNET默認(rèn)路由；（6分）

8.FW與RS建立兩對(duì)IBGP鄰居關(guān)系，使用AS65500，F(xiàn)W上

loopback1-4為模擬AS65500中網(wǎng)絡(luò)，為保證數(shù)據(jù)通信的可靠

性和負(fù)載，完成以下配置，要求如下：（6分）

8

?RS通過(guò)BGP到達(dá)loopback1,2網(wǎng)路下一跳為54；

RS通過(guò)BGP到達(dá)loopback3,4網(wǎng)絡(luò)下一跳為54；

?通過(guò)BGP實(shí)現(xiàn)到達(dá)loopback1,2,3,4的網(wǎng)絡(luò)冗余；

?使用IP前綴列表匹配上述業(yè)務(wù)數(shù)據(jù)流；

?使用ASPATH屬性進(jìn)行業(yè)務(wù)選路，只允許使用route-map來(lái)

改變ASPATH屬性、實(shí)現(xiàn)路由控制，ASPATH屬性可配置的

參數(shù)數(shù)值為：65509

9.如果RSE1/0/3端口的收包速率超過(guò)30000則關(guān)閉此端口，恢復(fù)

時(shí)間5分鐘，并每隔10分鐘對(duì)端口的速率進(jìn)行統(tǒng)計(jì)；為了更好

地提高數(shù)據(jù)轉(zhuǎn)發(fā)的性能，RS交換中的數(shù)據(jù)包大小指定為1600字

節(jié)；（6分）

10.為實(shí)現(xiàn)對(duì)防火墻的安全管理，在防火墻FW的Trust安全域開(kāi)啟

PING、HTTP、SNMP功能（loopback接口除外），Untrust安全

域開(kāi)啟SSH、HTTPS功能;（6分）

11.總部VLAN業(yè)務(wù)用戶(hù)通過(guò)防火墻訪問(wèn)Internet時(shí)，復(fù)用公網(wǎng)

IP：8/28，保證每一個(gè)源IP產(chǎn)生的所有會(huì)話(huà)將被映

射到同一個(gè)固定的IP地址，當(dāng)有流量匹配本地址轉(zhuǎn)換規(guī)則時(shí)產(chǎn)

生日志信息，將匹配的日志發(fā)送至53的UDP2000端

口；（6分）

12.配置L2TPVPN，名稱(chēng)為VPN，滿(mǎn)足遠(yuǎn)程辦公用戶(hù)通過(guò)撥號(hào)登陸訪

問(wèn)內(nèi)網(wǎng)，創(chuàng)建隧道接口為tunnel1、并加入U(xiǎn)ntrust安全域，

地址池名稱(chēng)為AddressPool，LNS地址池為/24-

9

00/24，網(wǎng)關(guān)為最大可用地址，認(rèn)證賬號(hào)

skills01,密碼skills01；（6分）

13.FW配置禁止所有人在周一至周五工作時(shí)間9：00-18：00訪問(wèn)

京東和淘寶;相同時(shí)間段禁止訪問(wèn)

中含有“娛樂(lè)”、“新聞”的WEB頁(yè)面；（6分）

14.在FW開(kāi)啟安全網(wǎng)關(guān)的TCPSYN包檢查功能，只有檢查收到的包

為T(mén)CPSYN包后，才建立連接；配置所有的TCP數(shù)據(jù)包每次能夠

傳輸?shù)淖畲髷?shù)據(jù)分段為1460，盡力減少網(wǎng)絡(luò)分片；配置對(duì)TCP

三次握手建立的時(shí)間進(jìn)行檢查，如果在1分鐘內(nèi)未完成三次握

手，則斷掉該連接；（6分）

15.為保證總部Internet出口線(xiàn)路，在FW上使用相關(guān)技術(shù)，通過(guò)

ping監(jiān)控外網(wǎng)網(wǎng)關(guān)地址，監(jiān)控對(duì)象名稱(chēng)為T(mén)rack，每隔5S發(fā)送

探測(cè)報(bào)文，連續(xù)10次收不到監(jiān)測(cè)報(bào)文，就認(rèn)為線(xiàn)路故障，直接

關(guān)閉外網(wǎng)接口。FW要求內(nèi)網(wǎng)每個(gè)IP限制會(huì)話(huà)數(shù)量為300；（6

分）

16.Internet端有一分支結(jié)構(gòu)路由器，需要在總部防火墻FW上完成

以下預(yù)配，保證總部與分支機(jī)構(gòu)的安全連接：（6分）

防火墻FW與Internet端路由器建立GRE隧道，并

使用IPSec保護(hù)GRE隧道，保證分支結(jié)構(gòu)中與總部

VLAN40安全通信。

第一階段采用pre-share認(rèn)證加密算法:3DES；

第二階段采用ESP協(xié)議，加密算法:3DES；

10

17.已知原AP管理地址為/15，為了避免地址浪費(fèi)請(qǐng)重新

規(guī)劃和配置IP地址段，要求如下：（6分）

?使用原AP所在網(wǎng)絡(luò)進(jìn)行地址劃分；

?現(xiàn)無(wú)線(xiàn)用戶(hù)VLAN10中需要127個(gè)終端，無(wú)線(xiàn)用戶(hù)VLAN20

需要50個(gè)終端；

?WS上配置DHCP，管理VLAN為VLAN101,為AP下發(fā)管理地

址，網(wǎng)段中第一個(gè)可用地址為AP管理地址，最后一個(gè)可用地

址為WS管理地址，保證完成AP二層注冊(cè)；為無(wú)線(xiàn)用戶(hù)

VLAN10,20下發(fā)IP地址，最后一個(gè)可用地址為網(wǎng)關(guān)；

18.在NETWORK下配置SSID，需求如下：（6分）

?NETWORK1下設(shè)置SSID2022skills-2.4G，VLAN10，加密模

式為wpa-personal,其口令為skills01；

?NETWORK20下設(shè)置SSID2022skills-5G，VLAN20不進(jìn)行認(rèn)

證加密,做相應(yīng)配置隱藏該SSID,只使用倒數(shù)第一個(gè)可用VAP

發(fā)送5.0G信號(hào)；

19.在NETWORK2下配置一個(gè)SSID2022skills_IPv6，屬于VLAN21

用于IPv6無(wú)線(xiàn)測(cè)試，用戶(hù)接入無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)需要采用基于WPA-

personal加密方式，其口令為“skills01”，該網(wǎng)絡(luò)中的用戶(hù)

從WSDHCP獲取IPv6地址，地址范圍為：2001:10:81::/112，

第一個(gè)可用地址作為網(wǎng)關(guān)地址;（6分）

20.NETWORK1開(kāi)啟內(nèi)置portal+本地認(rèn)證的認(rèn)證方式，賬號(hào)為

GUEST密碼為123456，保障無(wú)線(xiàn)信息的覆蓋性，無(wú)線(xiàn)AP的發(fā)射

11

功率設(shè)置為90%。禁止MAC地址為80-45-DD-77-CC-48的無(wú)線(xiàn)終

端連接;（6分）

21.通過(guò)配置防止多AP和AC相連時(shí)過(guò)多的安全認(rèn)證連接而消耗CPU

資源，檢測(cè)到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼

續(xù)連接，兩小時(shí)后恢復(fù)正常;（6分）

22.為方便合理使用帶寬，要求針對(duì)SSID為“2022skills-2.4”下

的用戶(hù)進(jìn)行帶寬控制。對(duì)用戶(hù)上行速率沒(méi)有限制，但是針對(duì)下行

速率要求用戶(hù)的帶寬為2Mbps，在最大帶寬可以達(dá)到4Mbps;（6

分）

23.配置所有Radio接口：AP在收到錯(cuò)誤幀時(shí)，將不再發(fā)送ACK

幀；打開(kāi)AP組播廣播突發(fā)限制功能；開(kāi)啟Radio的自動(dòng)信道調(diào)

整，每天上午10:00觸發(fā)信道調(diào)整功能;（6分）

24.配置所有無(wú)線(xiàn)接入用戶(hù)相互隔離，Network模式下限制每天早上

0點(diǎn)到4點(diǎn)禁止終端接入，開(kāi)啟ARP抑制功能；（6分）

25.配置當(dāng)AP上線(xiàn)，如果AC中儲(chǔ)存的Image版本和AP的Image版

本號(hào)不同時(shí)，會(huì)觸發(fā)AP自動(dòng)升級(jí)；配置AP發(fā)送向無(wú)線(xiàn)終端表明

AP存在的幀時(shí)間間隔為1秒；配置AP失敗狀態(tài)超時(shí)時(shí)間及探測(cè)

到的客戶(hù)端狀態(tài)超時(shí)時(shí)間都為2小時(shí);（6分）

26.在公司總部的NETLOG上配置，設(shè)備部署方式為透明模式。增加

非admin賬戶(hù)skills01，密碼skills01@，該賬戶(hù)僅用于用戶(hù)日

志查詢(xún)；（6分）

12

27.為日志查詢(xún)的時(shí)間準(zhǔn)確性，要求在NETLOG上配置NTP服務(wù)，NTP

服務(wù)器設(shè)定為中國(guó)科學(xué)院國(guó)家授時(shí)中心()；（6

分）

28.在公司總部的NETLOG上配置，在工作日（每周一到周五09：

00-17：00）期間針對(duì)所有無(wú)線(xiàn)網(wǎng)段訪問(wèn)互聯(lián)網(wǎng)進(jìn)行審計(jì)，不限

制其他用戶(hù)在工作日（每周一到周五上班）期間訪問(wèn)互聯(lián)網(wǎng)；

（6分）

29.NETLOG配置應(yīng)用“即時(shí)聊天”，在周一至周五8：00-20：00監(jiān)

控內(nèi)網(wǎng)中所有用戶(hù)的騰訊QQ相關(guān)應(yīng)用；（6分）

30.NETLOG配置內(nèi)容管理，對(duì)郵件內(nèi)容包含“協(xié)議”、“投訴”字

樣的郵件；（6分）

31.NETLOG上配置報(bào)警郵箱，郵件服務(wù)器IP為3，端口

號(hào)為25，賬號(hào)為:skills01,密碼:skills01，同時(shí)把報(bào)警郵件

抄送給Manager@;（6分）

32.使用NETLOG對(duì)內(nèi)網(wǎng)所有IP進(jìn)行本地認(rèn)證，認(rèn)證頁(yè)面為默認(rèn)，

要求HTTP認(rèn)證后的用戶(hù)在每天凌晨2點(diǎn)強(qiáng)制下線(xiàn)，并且對(duì)訪問(wèn)

HTTP服務(wù)器5的80端口進(jìn)行免認(rèn)證；（6分）

33.NETLOG上針對(duì)服務(wù)器5/32遭遇到的RPC攻擊、DNS

攻擊、數(shù)據(jù)庫(kù)攻擊、DOS攻擊、掃描攻擊進(jìn)行所有級(jí)別的拒絕動(dòng)

作，并記錄日志；（6分）

13

34.在公司總部的WAF上配置，設(shè)備部署方式為透明模式。要求對(duì)內(nèi)

網(wǎng)HTTP服務(wù)器5/32啟用代理模式，服務(wù)器名稱(chēng)為

“HTTP”，后續(xù)對(duì)這臺(tái)服務(wù)器進(jìn)行Web防護(hù)配置;（6分）

35.建立掃描防護(hù)規(guī)則“http掃描”，類(lèi)型為掃描陷阱，嚴(yán)重級(jí)別

為高級(jí)，開(kāi)啟郵件告警和日志功能；（6分）

36.建立特征規(guī)則“http防御”，開(kāi)啟SQL注入、XXS攻擊、信息泄

露等防御功能，要求針對(duì)這些攻擊阻斷并保存日志發(fā)送郵件告

警;（6分）

37.建立HTTP協(xié)議校驗(yàn)規(guī)則“http防護(hù)”，URL最大個(gè)數(shù)為10，

Cookies最大個(gè)數(shù)為30，Host最大長(zhǎng)度為1024，Accept最大長(zhǎng)

度64等參數(shù)校驗(yàn)設(shè)置，設(shè)置嚴(yán)重級(jí)別為中級(jí)，超出參數(shù)值阻斷

并保存日志發(fā)送郵件告警;（6分）

38.建立爬蟲(chóng)防護(hù)規(guī)則“http爬蟲(chóng)”，保護(hù)網(wǎng)

站不受爬蟲(chóng)攻擊，設(shè)置嚴(yán)重級(jí)別為高級(jí)，一經(jīng)發(fā)現(xiàn)攻擊阻斷10

分鐘并保存日志發(fā)送郵件告警;（6分）

39.建立防盜鏈規(guī)則“http盜鏈”，防止網(wǎng)站

資源被其他網(wǎng)站利用，通過(guò)Referer方式檢測(cè)，設(shè)置嚴(yán)重級(jí)別為

中級(jí)，優(yōu)先級(jí)為1，一經(jīng)發(fā)現(xiàn)阻斷并保存日志發(fā)送郵件告警;

40.為方便日志的保存和查看，需要將WAF上的攻擊日志、訪問(wèn)日

志、DDoS日志以JSON格式發(fā)給IP地址為00的日

志服務(wù)器上，端口為514;（6分）

14

2022年全國(guó)職業(yè)院校技能大賽高職組

“信息安全管理與評(píng)估”賽項(xiàng)

任務(wù)書(shū)1

一、賽項(xiàng)第一階段時(shí)間

180分鐘。

二、賽項(xiàng)信息

任務(wù)競(jìng)賽

競(jìng)賽階段競(jìng)賽任務(wù)分值

階段時(shí)間

第一階段任務(wù)1網(wǎng)絡(luò)平臺(tái)搭建50

180

平臺(tái)搭建與安全

任務(wù)2網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)分鐘250

設(shè)備配置防護(hù)

三、注意事項(xiàng)

賽題第一階段請(qǐng)按裁判組專(zhuān)門(mén)提供的U盤(pán)中的“XXX-答題模板”

中的要求提交答案。選手需要在U盤(pán)的根目錄下建立一個(gè)名為“GWxx”

的文件夾（xx用具體的工位號(hào)替代），所完成的“XXX-答題模板”放

置在文件夾中作為比賽結(jié)果提交。

1

四、賽項(xiàng)內(nèi)容

(一)賽項(xiàng)環(huán)境設(shè)置

1.網(wǎng)絡(luò)拓?fù)鋱D

2

2.IP地址規(guī)劃表

設(shè)備名稱(chēng)接口IP地址對(duì)端設(shè)備

54/30

（Trust安全域）RSETH1/0/1

ETH0/1-2

54/30RSETH1/0/2

（Trust安全域）

54/30

ETH0/3NETLOGETH3

（Trust安全域）

54/30

ETH0/4NETLOGETH4

（Trust安全域）

/27IDCSERVER

ET