(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第2套.docx
《(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第2套.docx》由会员分享,可在线阅读,更多相关《(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第2套.docx(58页珍藏版)》请在冰点文库上搜索。
ChinaSkills
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题二
模块一
网络平台搭建与设备安全防护
一、赛项时间
共计180分钟。
二、赛项信息
竞赛阶段
任务阶段
竞赛任务
竞赛时间
分值
第一阶段
网络平台搭建与设
备安全防护
任务1
网络平台搭建
XX:
XX-
XX:
XX
50
任务2
网络安全设备配置与防护
250
三、赛项内容
本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。
第二、三阶段请根据现场
具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具
体的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹
中。
例如:
08工位,则需要在U盘根目录下建立“GW08”文件夹,并在
“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明:
只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不
允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一)赛项环境设置
1.网络拓扑图
FW
(o))
AP
Internet
BC
AE堡垒服务器
WAFSw
PCPC
上海总公司
PC
南昌分公司
2.IP地址规划表
设备名称
接口
IP地址
对端设备
接口
防火墙FW
ETHO/1-2
10.10.255.1/30(trust安全域)2001:
DA8:
10:
10:
255:
:
1/127
SW
eth1/0/1-2
10.10.255.5/30(trust安全域)2001:
DA8:
10:
10:
255:
:
5/127
SW
ETH0/3
20.23.1.1/30(untrust安全域)
223.20.23.1/29(nat-pool)2001:
DA8:
223:
20:
23:
:
1/64
SW
Eth1/0/23
Loopbackl
10.0.0.254/32(trust)
Router-id
SSLPool
192.168.10.1/26
可用IP数量为20
SSLVPN地址
池
三层交换机SW
ETH1/0/4
专线
ACETH1/0/4
ETH1/0/5
专线
ACETH1/0/5
VLAN21
ETH1/0/1-2
10.10.255.2/30
2001:
DA8:
10:
10:
255:
:
2/127
FW
VlannameTO-FW1
VLAN22
ETH1/0/1-2
10.10.255.6/30
2001:
DA8:
10:
10:
255:
:
6/127
FW
VlannameTO-FW2
VLAN23
ETH1/0/23
20.23.1.2/30
2001:
DA8:
223:
20:
23:
:
2/127
FW
Vlanname
TO-
internet
VLAN24
ETH1/0/24
223.20.23.10/29
2001:
DA8:
223:
20:
23:
:
10/127
BC
VlannameTO-BC
VLAN10
172.16.10.1/24
无线1
VlannameWIFI-
vlan10
VLAN20
172.16.20.1/24
无线2
VlannameWIFI-
vlan20
VLAN30
ETH1/0/6-7
192.168.30.1/24
2001:
DA8:
192:
168:
30:
1:
:
1/96
VlannameXZ
VLAN31
Eth1/0/8-9
192.168.31.1/24
2001:
DA8:
192:
168:
31:
1:
:
1/96
Vlannamesales
VLAN40
ETH1/0/10-11
192.168.40.1/24
2001:
DA8:
192:
168:
40:
1:
:
1/96
VlannameCW
Vlan50
Eth1/0/13-14
192.168.50.1/24
2001:
DA8:
192:
168:
50:
1:
:
1/96
Vlanname
manage
Vlan1001
10.10.255.9/30
2001:
DA8:
10:
10:
255:
:
9/127
TO-AC1
Vlan1002
10.10.255.13/30
2001:
DA8:
10:
10:
255:
:
13/127
TO-AC2
VLAN1000ETH1/0/20
172.16.100.1/24
VlannameAP-
Manage
Loopback1
10.0.0.253/32(router-id)
无线控制器AC
VLAN10
192.168.10.1/24
2001:
DA8:
192:
168:
10:
1:
:
1/96
VlannameTO-CW
VLAN20
192.168.20.1/24
2001:
DA8:
192:
168:
20:
1:
:
1/96
VlannameCW
VLAN1001
10.10.255.10/30
2001:
DA8:
10:
10:
255:
:
10/127
VLAN1002
10.10.255.14/30
2001:
DA8:
10:
10:
255:
:
14/127
Vlan60
Eth1/0/13-14
192.168.60.1/24
2001:
DA8:
192:
168:
60:
1:
:
1/96
Vlannamesales
Vlan61
Eth1/0/15-18
192.168.61.1/24
2001:
DA8:
192:
168:
61:
1:
:
1/96
VlannameBG
Vlan100
Eth1/0/21
10.10.255.17/30
2001:
DA8:
10:
10:
255:
:
17/127
BC
eth2
VlannameTO-BC
VLAN2000ETH1/0/19
192.168.100.1/24
沙盒
Loopback1
10.1.1.254/32(router-id)
日志服务器BC
eth2
10.10.255.18/30
2001:
DA8:
10:
10:
255:
:
18/127
AC
ETH3
223.20.23.9/29
2001:
DA8:
223:
20:
23:
:
9/127
SW
PPTP-pool
192.168.10.129/26(10个地址)
WEB应用防火墙WAF
ETH2
192.168.50.2/24
PC3
ETH3
SWEth1/0/13
AP
Eth1
SW(20口)
PC1
网卡
eth1/0/7
SW
沙盒
192.168.100.10/24
AC
ETH1/0/19
(二)第一阶段任务书
任务1:
网络平台搭建(50分)
题号
网络需求
1
根据网络拓扑图所示,按照IP地址参数表,对FW的名称、各接口IP地址进
行配置。
2
根据网络拓扑图所示,按照IP地址参数表,对SW的名称进行配置,创建
VLAN并将相应接口划入VLAN。
3
根据网络拓扑图所示,按照IP地址参数表,对AC的各接口IP地址进行配
置。
4
根据网络拓扑图所示,按照IP地址参数表,对BC的名称、各接口IP地址进
行配置。
5
按照IP地址规划表,对WEB应用防火墙的名称、各接口IP地址进行配置。
任务2:
网络安全设备配置与防护(250分)
1.SW和AC开启SSH登录功能,SSH登录账户仅包含“USER-SSH”,密码为明文“123456”,采用SSH方式登录设备时需要输入enable密码,密码设置为明
文“enable”。
2.应网监要求,需要对上海总公司用户访问因特网行为进行记录,需要在交换机上做相关配置,把访问因特网的所有数据镜像到交换机1/0/18口便于对用户上
网行为进行记录。
3.尽可能加大上海总公司核心和出口之间带宽,端口模式采用lacp模式。
4.上海总公司和南昌分公司租用了运营商两条裸光纤,实现内部办公互通,要求两条链路互为备份,同时实现流量负载均衡,流量负载模式基于Dst-src-mac模
式。
5.上海总公司和南昌分公司链路接口只允许必要的vlan通过,禁止其它vlan包括
vlan1二层流量通过。
6.为防止非法用户接入网络,需要在核心交互上开启DOT1X认证,对vlan40用户接
入网络进行认证,radius-server为192.168.100.200。
7.为了便于管理网络,能够让网管软件实现自动拓朴连线,在总公司核心和分公司AC上开启某功能,让设备可以向网络中其他节点公告自身的存在,并保存
各个邻近设备的发现信息。
8.ARP扫描是一种常见的网络攻击方式,攻击源将会产生大量的ARP报文在网段内广播,这些广播报文极大的消耗了网络的带宽资源,为了防止该攻击对网
络造成影响,需要在总公司交换机上开启防扫描功能,对每端口设置阈值为
40,超过将关闭该端口20分钟后自动恢复,设置和分公司互联接口不检查。
9.总公司SW交换机模拟因特网交换机,通过某种技术实现本地路由和因特网路
由进行隔离,因特网路由实例名internet。
10.对SW上VLAN40开启以下安全机制:
业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟;如私设DHCP服务器关闭该端口;
开启防止ARP网关欺骗攻击。
11.配置使上海公司核心交换机VLAN31业务的用户访问因特网数据流经过
10.10.255.1返回数据通过10.10.255.5。
要求有测试结果。
12.为响应国家号召,公司实行IPV6网络升级改造,公司采用双栈模式,同时运行ipv4和ipv6,IPV6网络运行OSPFV3协议,实现内部ipv6全网互联互通,要
求总公司和分公司之间路由优先走vlan1001,vlan1002为备份。
13.在总公司核心交换机SW配置IPv6地址,开启路由公告功能,路由器公告的生存期为2小时,确保销售部门的IPv6终端可以通过