（全国职业技能比赛：高职）GZ032信息安全管理与评估赛题第2套.docx

1、ChinaSkills全国职业院校技能大赛高等职业教育组信息安全管理与评估赛题二模块一网络平台搭建与设备安全防护一 、 赛项时间共计 180 分钟。二、 赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段网络平台搭建与设备安全防护任务 1网络平台搭建XX:XX-XX:XX50任务 2网络安全设备配置与防护250三、 赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判 组专门提供的 U 盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。选手首先需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹（xx 用具体的工位号替代），赛题第一阶段所完

2、成的“XXX-答题模板”放置在文件夹中。例如： 08 工位，则需要在 U 盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息， 不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。(一) 赛项环境设置1 . 网络拓扑图FW(o)APInternetBCAE 堡垒服务器WAF SwPC PC上海总公司PC南昌分公司2. IP 地址规划表设备名称接口IP地址对端设备接口防火墙FWETHO/1-210.10.255.1/30(trust安全域) 2001:DA8:

3、10:10:255:1/127SWeth1/0/1 -210.10.255.5/30(trust安全域) 2001:DA8:10:10:255:5/127SWETH0/320.23.1.1/30(untrust安全域)223.20.23.1/29(nat-pool) 2001:DA8:223:20:23:1/64SWEth1/0/2 3Loopbackl10.0.0.254/32(trust)Router-idSSL Pool192.168.10.1/26可用IP数量为20SSL VPN地址池三层交换机 SWETH1/0/4专线AC ETH1/0/4ETH1/0/5专线AC ETH1/0/5V

4、LAN21ETH1/0/1-210.10.255.2/302001:DA8:10:10:255:2/127FWVlan name TO-FW1VLAN22ETH1/0/1-210.10.255.6/302001:DA8:10:10:255:6/127FWVlan name TO-FW2VLAN 23ETH1/0/2320.23.1.2/302001:DA8:223:20:23:2/127FWVlan nameTO-internetVLAN 24ETH1/0/24223.20.23.10/292001:DA8:223:20:23:10/127BCVlan name TO-BCVLAN 10172

5、.16.10.1/24无线 1Vlan name WIFI-vlan10VLAN 20172.16.20.1/24无线 2Vlan name WIFI-vlan20VLAN 30ETH1/0/6-7192.168.30.1/242001:DA8:192:168:30:1:1/96Vlan name XZVLAN 31Eth1/0/8-9192.168.31.1/242001:DA8:192:168:31:1:1/96Vlan name salesVLAN 40ETH1/0/10- 11192.168.40.1/242001:DA8:192:168:40:1:1/96Vlan name CWVl

6、an 50Eth1/0/13- 14192.168.50.1/242001:DA8:192:168:50:1:1/96Vlan namemanageVlan100110.10.255.9/302001:DA8:10:10:255:9/127TO-AC1Vlan100210.10.255.13/302001:DA8:10:10:255:13/127TO-AC2VLAN 1000 ETH 1/0/20172.16.100.1/24Vlan name AP-ManageLoopback110.0.0.253/32(router-id)无线控制器 ACVLAN 10192.168.10.1/24200

7、1:DA8:192:168:10:1:1/96Vlan name TO-CWVLAN 20192.168.20.1/242001:DA8:192:168:20:1:1/96Vlan name CWVLAN 100110.10.255.10/302001:DA8:10:10:255:10/127VLAN 100210.10.255.14/302001:DA8:10:10:255:14/127Vlan 60Eth1/0/13- 14192.168.60.1/242001:DA8:192:168:60:1:1/96Vlan name salesVlan 61Eth1/0/15- 18192.168.

8、61.1/242001:DA8:192:168:61:1:1/96Vlan name BGVlan 100Eth1/0/2110.10.255.17/302001:DA8:10:10:255:17/127BCeth2Vlan name TO-BCVLAN 2000 ETH 1/0/19192.168.100.1/24沙盒Loopback110.1.1.254/32(router-id)日志服务器 BCeth210.10.255.18/302001:DA8:10:10:255:18/127ACETH3223.20.23.9/292001:DA8:223:20:23:9/127SWPPTP-poo

9、l192.168.10.129/26（10 个地址）WEB 应用防 火墙 WAFETH2192.168.50.2/24PC3ETH3SWEth1/0/13APEth1SW（20 口）PC1网卡eth1/0/7SW沙盒192.168.100.10/24ACETH1/0/19(二) 第一阶段任务书任务 1：网络平台搭建 （50 分）题号网络需求1根据网络拓扑图所示，按照 IP 地址参数表， 对 FW 的名称、各接口 IP 地址进行配置。2根据网络拓扑图所示，按照 IP 地址参数表， 对 SW 的名称进行配置，创建VLAN 并将相应接口划入 VLAN。3根据网络拓扑图所示，按照 IP 地址参数表，

10、对 AC 的各接口 IP 地址进行配置。4根据网络拓扑图所示，按照 IP 地址参数表， 对 BC 的名称、各接口 IP 地址进行配置。5按照 IP 地址规划表， 对 WEB 应用防火墙的名称、各接口 IP 地址进行配置。任务 2：网络安全设备配置与防护（250 分）1. SW 和 AC 开启 SSH 登录功能， SSH 登录账户仅包含“USER-SSH”，密码为明 文“123456”，采用 SSH 方式登录设备时需要输入 enable 密码，密码设置为明文“enable ” 。2. 应网监要求，需要对上海总公司用户访问因特网行为进行记录， 需要在交换机 上做相关配置， 把访问因特网的所有数据镜

11、像到交换机 1/0/18 口便于对用户上网行为进行记录。3. 尽可能加大上海总公司核心和出口之间带宽， 端口模式采用 lacp 模式。4. 上海总公司和南昌分公司租用了运营商两条裸光纤， 实现内部办公互通，要求 两条链路互为备份，同时实现流量负载均衡， 流量负载模式基于 Dst-src-mac 模式。5. 上海总公司和南昌分公司链路接口只允许必要的 vlan 通过，禁止其它 vlan 包括vlan1 二层流量通过。6. 为防止非法用户接入网络， 需要在核心交互上开启DOT1X认证， 对vlan40用户接入网络进行认证，radius-server 为192.168.100.200。7. 为了便于

12、管理网络，能够让网管软件实现自动拓朴连线，在总公司核心和分公 司 AC 上开启某功能，让设备可以向网络中其他节点公告自身的存在， 并保存各个邻近设备的发现信息。8. ARP 扫描是一种常见的网络攻击方式，攻击源将会产生大量的 ARP 报文在网 段内广播，这些广播报文极大的消耗了网络的带宽资源，为了防止该攻击对网络造成影响，需要在总公司交换机上开启防扫描功能，对每端口设置阈值为40，超过将关闭该端口 20 分钟后自动恢复，设置和分公司互联接口不检查。9. 总公司 SW 交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名 internet。10. 对 SW 上

13、VLAN40 开启以下安全机制：业务内部终端相互二层隔离，启用环路检测， 环路检测的时间间隔为 10s，发现 环路以后关闭该端口，恢复时间为 30 分钟； 如私设 DHCP 服务器关闭该端口;开启防止 ARP 网关欺骗攻击。11. 配置使上海公司核心交换机 VLAN31 业务的用户访问因特网数据流经过10.10.255.1 返回数据通过 10.10.255.5 。要求有测试结果。12. 为响应国家号召，公司实行 IPV6 网络升级改造，公司采用双栈模式，同时运行 ipv4 和 ipv6 ，IPV6 网络运行 OSPF V3 协议，实现内部 ipv6 全网互联互通，要求总公司和分公司之间路由优先走 vlan1001 ，vlan1002 为备份。13. 在总公司核心交换机 SW 配置 IPv6 地址，开启路由公告功能，路由器公告的生 存期为 2 小时， 确保销售部门的 IPv6 终端可以通过