職業(yè)院校技能大賽高職組“信息安全管理與評估”賽項任務(wù)書A卷

職業(yè)院校技能大賽高職組“信息安全管理與評估”賽項任務(wù)書A卷賽項時間9:00-12:00，共計3小時，含賽題發(fā)放、收卷時間。賽項信息競賽階段任務(wù)階段競賽任務(wù)競賽時間分值第一階段平臺搭建與安全設(shè)備配置防護任務(wù)1網(wǎng)絡(luò)平臺搭建9:00-112:00100任務(wù)2網(wǎng)絡(luò)安全設(shè)備配置與防護300第二階段系統(tǒng)安全攻防及運維安全管控任務(wù)1ftp安全配置200任務(wù)2ssh安全配置200任務(wù)3CTF200賽項內(nèi)容本次大賽，各位選手需要完成三個階段的任務(wù)，其中第一個階段需要按裁判組專門提供的U盤中的“XXX-答題模板”提交答案。第二、三階段請根據(jù)現(xiàn)場具體題目要求操作。選手首先需要在U盤的根目錄下建立一個名為“GWxx”的文件夾（xx用具體的工位號替代），賽題第一階段所完成的“XXX-答題模板”放置在文件夾中。例如：08工位，則需要在U盤根目錄下建立“GW08”文件夾，并在“GW08”文件夾下直接放置第一個階段的所有“XXX-答題模板”文件。特別說明：只允許在根目錄下的“GWxx”文件夾中體現(xiàn)一次工位信息，不允許在其他文件夾名稱或文件名稱中再次體現(xiàn)工位信息，否則按作弊處理。賽項環(huán)境設(shè)置網(wǎng)絡(luò)拓?fù)鋱DIP地址規(guī)劃表設(shè)備名稱接口IP地址對端設(shè)備防火墻DCFWETH0//30DCRSETH0/1/27PC（）L2TP/24可用IP數(shù)量為20L2TP地址池ETH0/30/30Netlog無線控制器DCWSVLAN1002ETH1/0//30DCRSETH1/0/2AP管理VLANVLAN10054/24VLAN101ETH1/0/11-24/24WEB應(yīng)用防火墻WAFETH2/24DCSTETH3DCRS三層交換機DCRSVLAN1001ETH1/0//30DCFWVLAN1002ETH1/0//30DCWSVLAN10/24無線2VLAN20/25無線1無線管理VLANVLAN30/26VLAN40ETH1/0/6-9/24PC1管理VLANVLAN100/24VLAN200ETH1/0/10-24/24WAF、PC2日志服務(wù)器NetlogETH/30DCFWETH3DCRS(ETH1/0/4)堡壘服務(wù)器DCST--WAF設(shè)備初始化信息設(shè)備名稱管理地址默認(rèn)管理接口用戶名密碼防火墻DCFWETH0adminadmin網(wǎng)絡(luò)日志系統(tǒng)DCBI54ETH0admin123456WEB應(yīng)用防火墻WAFETH5adminadmin123三層交換機DCRS-Console--無線交換機DCWS-Console--堡壘服務(wù)器DCST--參見“DCST登錄用戶表”備注所有設(shè)備的默認(rèn)管理接口、管理IP地址不允許修改;如果修改對應(yīng)設(shè)備的缺省管理IP及管理端口，涉及此設(shè)備的題目按0分處理。第一階段任務(wù)書任務(wù)一：網(wǎng)絡(luò)平臺搭建題號網(wǎng)絡(luò)需求1根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對WAF的名稱、各接口IP地址進行配置。2根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCRS的名稱、各接口IP地址進行配置。3根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCFW的名稱、各接口IP地址進行配置。4根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCWS的各接口IP地址進行配置。5根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCBI的名稱、各接口IP地址進行配置。6根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，在DCRS交換機上創(chuàng)建相應(yīng)的VLAN，并將相應(yīng)接口劃入VLAN。7采用靜態(tài)路由的方式，全網(wǎng)絡(luò)互連。8防火墻做必要配置實現(xiàn)內(nèi)網(wǎng)對外網(wǎng)訪問任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護DCFW:在DCFW上配置，連接LAN接口開啟PING,HTTP,HTTPS，telnet功能，連接Internet接口開啟PING、HTTPS功能；連接netlog接口為DMZ區(qū)域，合理配置策略，讓內(nèi)網(wǎng)用戶能通過網(wǎng)絡(luò)管理netlog;DCFW配置LOG，記錄NAT會話，ServerIP為0.開啟DCFW上snmp服務(wù)，ServerIP0團體字符為public;DCFW做相應(yīng)配置，使用L2TP方式讓外網(wǎng)移動辦公用戶能夠?qū)崿F(xiàn)對內(nèi)網(wǎng)的訪問，用戶名密碼為dcn2019，VPN地址池參見地址表；合理配置安全策略。出于安全考慮，無線用戶移動性較強，無線用戶訪問Internet是需要采用實名認(rèn)證，在防火墻上開啟Web認(rèn)證，賬號密碼為2019web;為了合理利用網(wǎng)絡(luò)出口帶寬，需要對內(nèi)網(wǎng)用戶訪問Internet進行流量控制，園區(qū)總出口帶寬為200M，對除無線用戶以外的用戶限制帶寬，每天上午9:00到下午6:00每個IP最大下載速率為2Mbps，上傳速率為1Mbps；Netlog:公司總部LAN中用戶訪問網(wǎng)頁中帶有“mp3”、“youku”需要被DCBI記錄；郵件內(nèi)容中帶有“銀行賬號”記錄并發(fā)送郵件告警；DCBI監(jiān)控LAN中VLAN20所有用戶的聊天信息并做記錄；DCBI監(jiān)控周一至周五工作時間VLAN20用戶使用“迅雷”的記錄，每天工作時間為9:00-18:00；WAF:在公司總部的WAF上配置，編輯防護策略，定義HTTP請求體的最大長度為256，防止緩沖區(qū)溢出攻擊。在公司總部的WAF上配置，編輯防護策略，要求客戶機訪問網(wǎng)站時，禁止訪問*.exe的文件。在公司總部的WAF上配置，禁止HTTP請求和應(yīng)答中包含敏感字段“賽題”和“答案”的報文經(jīng)過WAF設(shè)備。DCRS:配置認(rèn)證服務(wù)器，IP地址是00，radiuskey是dcn2019;在公司總部的DCRS上配置，需要在交換機E1/0/21接口上開啟基于MAC地址模式的認(rèn)證，認(rèn)證通過后才能訪問網(wǎng)絡(luò)；配置公司總部的DCRS，通過DCP（DynamicCPUProtection）策略，防止DCRS受到來自于全部物理接口的DOS（DenialOfService）攻擊，每秒最多30個包；為減少內(nèi)部ARP廣播詢問VLAN網(wǎng)關(guān)地址，在全局下配置DCRS每隔300S發(fā)送免費ARP;DCWS：AP通過option43方式進行正常注冊上線,hwtype值為29,AC地址為管理VLANIP；設(shè)置SSIDDCN2011，VLAN10，加密模式為wpa-personal,其口令為GSdcn2011的；設(shè)置SSIDdcntest，VLAN20不進行認(rèn)證加密,做相應(yīng)配置隱藏該ssid；dcntest最多接入20個用戶，用戶間相互隔離，并對dcntest網(wǎng)絡(luò)進行流控，上行速率1Mbps，下行速率2Mbps；通過配置防止多AP和AC相連時過多的安全認(rèn)證連接而消耗CPU資源，檢測到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼續(xù)連接，兩小時后恢復(fù)正常;AC開啟Web管理，賬號密碼為DCN2011；第二階段任務(wù)書（600分）任務(wù)1：ftp安全配置（200分）任務(wù)環(huán)境說明：DCST：服務(wù)器場景：ftp服務(wù)器場景操作系統(tǒng)：centos服務(wù)器場景安裝服務(wù)：vsftp任務(wù)內(nèi)容：修改配置文件，將ftp服務(wù)預(yù)設(shè)端口改為2121，并對iptables進行配置，對修改部分及iptables截圖并提交修改配置文件，禁止匿名用戶登錄，對修改部分進行截圖并提交修改ftp默認(rèn)主目錄為/ftp文件夾，并將用戶鎖定在主目錄內(nèi)，對修改部分進行截圖并提交修改配置文件，關(guān)閉ls-R命令，防止服務(wù)器被DoS攻擊，對修改部分進行截圖并提交修改配置文件，關(guān)閉ascii模式下載，防止被用于DoS攻擊，對修改部分進行截圖并提交任務(wù)2：ssh安全配置（200分）任務(wù)環(huán)境說明：DCST：服務(wù)器場景：ssh服務(wù)器場景操作系統(tǒng)：centos服務(wù)器場景安裝服務(wù)：ssh任務(wù)內(nèi)容：修改ssh配置文件，禁止root用戶通過ssh登錄，對修改部分進行截圖并提交配置TCPWrappers，對遠(yuǎn)程主機進行訪問控制，僅允許/24網(wǎng)段使用ssh進行登錄,對修改的文件及修改部分進行截圖并提交修改ssh配置文件，控制通過ssh登錄的用戶，僅允許用戶名為dcn的用戶進行登錄，對修改部分進行截圖并提交修改ssh配置文件，設(shè)置每300秒判斷一次客戶端是否超時,允許超時次數(shù)5次，對修改部分進行截圖并提交修改ssh配置文件，禁止使用空密碼進行登錄，設(shè)置最大嘗試次數(shù)為5次，對修改部分進行截圖并提交任務(wù)3：CTF（200分）任務(wù)環(huán)境說明：DCST：服務(wù)器場景：ctfwin7服務(wù)器場景操作系統(tǒng)：MicrosoftWindows7服務(wù)器場景安裝服務(wù)：phpstudy集成環(huán)境任務(wù)內(nèi)容：運行桌面上的king.exe，并使用用戶名hello登錄程序，將“密碼正確”彈窗截圖。（截圖中需要包含用戶名和密碼，ID