2023年山东省职业院校技能大赛信息安全管理与评估第一阶段样题

2023年山东省职业院校技能大赛信息安全管理与评估样题

竞赛需要完成三个阶段的任务，分别完成三个模块，总分共计 1000 分。三个模块内容和分值分别是：

\1. 第一阶段：模块一网络平台搭建与设备安全防护（240 分钟， 300 分）。

\2. 第二阶段：模块二网络安全事件响应、数字取证调查、应用程序安全（240 分钟，300 分）。

\3. 第三阶段：模块三网络安全渗透、理论技能与职业素养（240 分钟，400 分）。

【注意事项】

Geek极安云科专注技能竞赛技术提升，基于各大赛项提供全面的系统性培训，拥有完整的培训体系。团队拥有曾获国奖、大厂在职专家等专业人才担任讲师，培训效果显著，通过培训帮助各大院校备赛学生取得各省 国家级奖项，获各大院校一致好评。

\1. 第一个阶段需要按裁判组专门提供的U 盘中的“XXX-答题模板” 提交答案。

第二阶段请根据现场具体题目要求操作。

第三阶段网络安全渗透部分请根据现场具体题目要求操作，理论测试部分根据测试系统说明进行登录测试。

\2. 所有竞赛任务都可以由参赛选手根据基础设施列表中指定的设

备和软件完成。

第一阶段

模块一网络平台搭建与设备安全防护

一、竞赛内容

第一阶段竞赛内容包括：网络平台搭建、网络安全设备配置与防护，共 2 个子任务。

竞赛阶段	任务阶段	竞赛任务	竞赛时间	分值
第一阶段网络平台搭建与设备安全防护	任务 1	网络平台搭建	XX:XX- XX:XX	50
	任务 2	网络安全设备配置与防护		250
总分				300

二、竞赛时长

本阶段竞赛时长为 240 分钟，共 300 分。

三、注意事项

第一阶段请按裁判组专门提供的 U 盘中的“XXX-答题模板”中的要求提交答案。

选手需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹（xx 用具体的工位号替代），所完成的“XXX-答题模板”放置在文件夹中作为竞赛结果提交。

例如：08 工位，则需要在 U 盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。

【特别提醒】

只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其它文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。

五、赛项环境设置

1. 网络拓扑图
在这里插入图片描述
2. IP 地址规划表

任务 1 网络平台搭建（50 分）

题号	网络需求
1	按照 IP 地址规划表，对防火墙的名称、各接口 IP 地址进行配置
2	按照 IP 地址规划表，对三层交换机的名称进行配置，创建 VLAN 并将相应接口划入 VLAN, 对各接口 IP 地址进行配置
3	按照 IP 地址规划表，对无线交换机的名称进行配置，创建 VLAN 并将相应接口划入 VLAN,对接口 IP 地址进行配置
4	按照 IP 地址规划表，对网络日志系统的名称、各接口 IP 地址进行配置
5	按照 IP 地址规划表，对 Web 应用防火墙的名称、各接口 IP 地址进行配置

任务 2 网络安全设备配置与防护（250 分）

\1. SW 开启telnet 登录功能，用户名 skills01，密码 skills01，密码呈现需加密。

\2. 总部交换机SW 配置简单网络管理协议，计划启用V3 版本，

V3 版本在安全性方面做了极大的扩充。配置引擎号分别为 62001；创建认证用户为skills01，采用 3des 算法进行加密，密钥为：skills01，哈希算法为SHA，密钥为：skills01；加入组ABC，采用最高安全级别；配置组的读、写视图分别为：2023_R、2023_W；当设备有异常时，需要使用本地的VLAN100 地址发送Trap 消息至网管服务器 10.51.0.203，采用最高安全级别。

\3. 接入SW Eth4，仅允许IP 地址 172.16.40.62-80 为源的数据包为合法包，以其它IP 地址为源地址，交换机直接丢弃。

\4. 为减少内部ARP 广播询问VLAN 网关地址，在全局下配置 SW 每隔 300S 发送免费ARP。

\5. 勒索蠕虫病毒席卷全球，爆发了堪称史上最大规模的网络攻击，通过对总部核心交换机SW 所有业务VLAN 下配置访问控制策略实现双向安全防护。

\6. SW 配置IPv6 地址，使用相关特性实现VLAN50 的 IPv6 终端可自动从网关处获得IPv6 有状态地址。

\7. AC 配置IPv6 地址，开启路由公告功能，路由器公告的生存期为 2 小时，确保VLAN30 的 IPv6 终端可以获得IPv6 无状态地址。

\8. AC 与SW 之间配置RIPng，使PC1 与PC3 可以通过IPv6 通信。

\9. IPv6 业务地址规划如下，其它IPv6 地址自行规划：

业务	IPV6 地址
VLAN30	2001:30::254/64
VLAN50	2001:50::254/64

\10. FW、SW、AC 之间配置OSPF area 0 开启基于链路的MD5 认证，密钥自定义,传播访问INTERNET 默认路由。

\11. FW 与 SW 建立两对IBGP 邻居关系，使用AS 65500，FW 上loopback1-4 为模拟AS 65500 中网络，为保证数据通信的可靠性和负载，完成以下配置，要求如下：

l SW 通过BGP 到达loopback1,2 网路下一跳为 10.3.0.254；

l SW 通过BGP 到达loopback3,4 网络下一跳为 10.4.0.254。

\12. FW 与 SW 建立两对IBGP 邻居关系，使用AS 65500，FW 上loopback1-4 为模拟AS 65500 中网络，为保证数据通信的可靠性和负载，通过BGP 实现到达loopback1,2,3,4 的网络冗余，请完成配置。

\13. FW 与 SW 建立两对IBGP 邻居关系，使用AS 65500，FW 上loopback1-4 为模拟AS 65500 中网络，为保证数据通信的可靠性和负载，使用IP 前缀列表匹配上述业务数据流，请完成配置。

\14. FW 与 SW 建立两对IBGP 邻居关系，使用AS 65500，FW 上loopback1-4 为模拟AS 65500 中网络，为保证数据通信的可靠性和负载，完成以下配置，使用 LP 属性进行业务选路，只允许使用 route-map 来改变LP 属性、实现路由控制，LP 属性可配置的参数数值为：200。

\15. 配置使总部VLAN50 业务的用户访问IDC SERVER 的数据流经过FW 10.1.0.254, IDC SERVER 返回数据流经过FW 10.2.0.254，且对双向数据流开启所有安全防护，参数和行为为默认。

\16. 在端口ethernet1/0/7 上，将属于网段 172.16.40.62/26 内的报文带宽限制为 10M 比特/秒，突发 4M 字节，超过带宽的该网段内的报文一律丢弃。

\17. 在 FW 上配置，连接LAN 接口开启PING 等所有管理方式，连接Internet 接口关闭所有管理方式，配置trust 区域与 Untrust 之间的安全策略且禁止从外网访问内网的任何设备。

\18. 总部VLAN 业务用户通过防火墙访问Internet 时，复用公网IP： 200.1.1.28/28，保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至 10.51.0.253 的 UDP 2000 端口。

\19. 为了合理利用网络出口带宽，需要对内网用户访问 Internet 进行流量控制，园区总出口带宽为 200M，对除无线用户以外的用户限制带宽，每天上午 9:00 到下午 6:00 每个IP 最大下载速率为 2Mbps，上传速率为 1Mbps。

\20. 配置L2TP VPN，名称为VPN，满足远程办公用户通过拨号登陆访问内网，创建隧道接口为tunnel 1、并加入untrust 安全域，地址池名称为AddressPool，LNS 地址池为 10.100.253.1/24-10.100.253.100/24，网关为最大可用地址，认证账号skills01,密码skills01。

\21. Internet 端有一分支结构路由器，需要在总部防火墙FW 上完成以下预配，保证总部与分支机构的安全连接：防火墙 FW 与 Internet 端路由器 202.5.17.2 建立GRE 隧道，并使用IPSec 保护GRE 隧道，保证分支结构中 2.2.2.2 与总部VLAN40 安全通信。

\22. Vlan30 内的工作人员涉及到商业机密，因此在FW 上配置不允许vlan30 内所有用户访问外网。

\23. 配置出于安全考虑，无线用户访问因特网需要采用认证，在防火墙上配置 Web 认证，采用本地认证，用户名为 test，test1，test2，密码为 123456。

\24. 已知原AP 管理地址为 10.81.0.0/15，为了避免地址浪费请重新规划和配置IP 地址段，使用原 AP 所在网络进行地址划分，请完成配置。

\25. 已知原AP 管理地址为 10.81.0.0/15，为了避免地址浪费请重新规划和配置IP 地址段，现无线用户 VLAN 10 中需要 127 个终端，无线用户VLAN 20 需要 50 个终端，请完成配置。

\26. 已知原AP 管理地址为 10.81.0.0/15，为了避免地址浪费请重新规划和配置IP 地址段，要求完成在 AC 上配置DHCP，管理 VLAN 为 VLAN101,为 AP 下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为 AC 管理地址，保证完成 AP 二层注册；为无线用户VLAN10,20 下发IP 地址，最后一个可用地址为网关。

\27. 在 NETWORK 下配置SSID，需求如下： l NETWORK 1 下设置SSID 2023skills-2.4G，VLAN10，加密模式为wpa-personal,其口令为skills01； l NETWORK 20 下设置SSID 2023skills-5G，VLAN20 不进行认证加密,做相应配置隐藏该SSID。

\28. 配置一个SSID 2023skills_IPv6，属于VLAN21 用于IPv6 无线测试，用户接入无线网络时需要采用基于WPA-personal 加密方式，其口令为“skills01”，该网络中的用户从AC DHCP 获取IPv6 地址，地址范围为：2001:10:81::/112。

\29. NETWORK 1 开启内置portal+本地认证的认证方式，账号为GUEST 密码为 123456,保障无线信息的覆盖性，无线AP 的发射功率设置为 90%。禁止MAC 地址为 80-45-DD-77-CC-48 的无线终端连接。

30.2023skills-5G 最多接入 20 个用户，用户间相互隔离，并对 2023skills-5G 网络进行流控，上行速率 1Mbps，下行速率 2Mbps。

31.在 AC 上配置使radio 1 的射频类型为IEEE 802.11b/g,并且设置 RTS 的门限值为 256 字节，当MPDU 的长度超过该值时， 802.11 MAC 启动RTS/CTS 交互机制。

\32. 在 AC 上配置一条基于SSID 时间点时周一 0 点到 6 点的禁止用户接入的策略（限时策略）。

\33. 通过配置防止多AP 和 AC 相连时过多的安全认证连接而消耗CPU 资源，检测到AP 与AC 在 10 分钟内建立连接 5 次就不再允许继续连接，两小时后恢复正常。

\34. 配置所有无线接入用户相互隔离，Network 模式下限制每天 0 点到 6 点禁止终端接入，开启ARP 抑制功能。

\35. 在公司总部的BC 上配置，设备部署方式为透明模式。增加非admin 账户skills01，密码skills01，该账户仅用于用户查询设备的日志信息和统计信息；要求对内网访问 Internet 全部应用进行日志记录。

\36. BC 上配置用户认证识别功能。

\37. 在公司总部的BC 上配置，在工作日（每周一到周五上班）期间针对所有无线网段访问互联网进行审计，如果发现访问互联网的无线用户就断网，不限制其他用户在工作日（每周一到周五上班）期间访问互联网。

\38. 使用BC 对内网所有上网用户进行上网本地认证，要求认证后得用户 3 小时候重新认证，并且对HTTP 服务器 172.16.10.45 的 80 端口进行免认证。

\39. BC 配置应用“即时聊天”，在周一至周五 9：00-21：00 监控内网中所有用户的微信账号使用记录，并记录数据。