2024年陕西省职业院校技能大赛高职信息安全管理与评估样题
模块一竞赛项目试题
根据信息安全管理与评估技术文件要求,模块一为网络平台搭建与网络安全防护。本文件为信息安全管理与评估项目竞赛-模块一试题。
模块一
平台搭建与安全设备防护
竞赛任务
网络平台搭建
网络安全设备配置与防护
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成
评分方案
本阶段竞赛项目分数为300分。
注意事项
赛题模块一请按裁判组专门提供的U盘中的“2024年陕西省“信息安全管理与评估”赛项-模块–答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),所完成的“2024年陕西省“信息安全管理与评估”赛项-模块–答题模板”放置在文件夹中作为比赛结果提交。
培训、环境、资料、考证
公众号:Geek极安云科
网络安全群:624032112
网络系统管理群:223627079
网络建设与运维群:870959784
极安云科专注于技能提升,赋能
2024年广东省高校的技能提升,受赋能的客户院校均获奖!
2024年江苏省赛一二等奖前13名中,我们赋能客户占五支队伍!
2024年湖南省赛赋能三所院校均获奖!
2024年山东省赛赋能两所院校均获奖!
2024年湖北省赛赋能参赛院校九支队伍,共计斩获一等奖2项、三等奖7项!
工作任务
任务1:网络平台搭建(50分)
【保密:未经许可,严禁复制】
题号
网络需求
根据网络拓扑图所示,按照IP地址参数表,对FW的各接口IP地址进行配置
2
P
4
根据网络拓扑图所示,按照IP地址参数表,对RS创建VLAN并将相应接口划入VLAN配置VLAN IP地址。
根据网络拓扑图所示,按照IP地址参数表,对AC创建VLAN并将相应接口划入VLAN,配置VLANIP地址。
根据网络拓扑图所示,按照IP地址参数表,对DCBC的各接口IP地址进行配置:按照IP地址规划表,对WEB应用防火墙的各接口IP地址进行配置。
任务2:网络安全设备配置与防护(250分)
VLAN 10,20,30使用配置命令保证在没有连接和Trunk时,VLAN可以UP便于测试:1.RS和AC上分别使用showipintbrief进行验证并截图,且给出配命令截图:
AC(VLAN13)-RS-DCBC-WAF属于主链路,在以上设备上配置静态路由,保证全网可通信2.且可访问Internet,且往返路径一致;
RS与AC上show iproute进行验证并截图;
AC上使用命令:traceroutesource 10.1.10.25410.0.3.2验证并截图;RS上使用命令:
traceroute source 10.1.20.254 10.0.3.2
traceroute source 10.0.1.1 10.0.3.2
验证并截图;
AC(VLAN14)-RS/-FWOSPF,AC-FW之间配置OSPF,启用区域0,保证当主链路路由全部S宕掉时,可以通过备份链路AC(VLAN14)-RS-FW的OSPF全网可通信,当RS-FW之间链路断开时,可以通过RS-AC-FW访问Internet,请保持往返路径一致;
将主链路断开,RS,AC,FW下showiproute ospf验证并截图;
4
再次将RS-FW之间链路断开,RS,AC,FW下showiproute ospf验证并截图;AC-RS-FW启用骨干区域MD5认证,密码自定义,分别在AC,RS,FW上使用show ip ospf 验证并截图;
VLAN10,20,30进行IPv6网络试点,要求AC(VLAN13和VLAN14)-RS-FW,AC-FW 之间使用本地链路地址配置OSPFV3,VLAN10访问VLAN20.30的往返流量优先通过VLAN14.VLAN13
5/26
【保密:未经许可,严禁复制】为备份链路,VLAN10,20,30访问Internet优先通过 AC-FW 之间链路,RS-FW 之间链路头备份;
AC、RS、FW上使用showipv6route验证并截图;
断开AC-FW,AC-RS(VLAN14)链路,在防火墙建立1oopback1接口IPv6:2023::1/128宣告进入OSPFv3,AC上使用traceroute6source2001::10:2542023::1验证并截图;FW配置 NAT,VLAN10 网段访问 Internet使用出口IP地址,VLAN20网段访问 Internet 使用6.公网地址池 203.31.20.0/28,每个源IP产生的会话将以轮询的方式进行IP地址映射,外网通过访问203.31.10.10:8080可以直接跳转到内部靶场 HTTP登录页面,使用自定义服务名称“S1“:
FW上配置策略放行VLAN10,20网段可以访问Internet;放行Internet访问内网靶场服务7器的流量,使用沙箱策略“S1“记录HTTP流量中含有RAR和JAR的事件;8.在Fw的Trust 区域内开启IP地址防扫描功能,当每毫秒内检测到 10个以上来自同一 IP的 ICMP,将会发出警告,但不过滤数据包,截图配置命令;
9.在FW上,配置Mac地址为00-c1-ff-cc-0f-ca的设备工作日晚上19:00至23:00时间因维护不能上网,时间计划名称“T1“,截图配置命令;
10.在FW开启系统监控功能,每3秒监控一次,当系统内存在3分钟内使用率超过80%的况超过 30次,则发出警告日志,截图配置命令;
11.RS配置E1/0/15端口扫描方式为中断,并要求在接收到的数据包速率超过 30000时端口将被阻塞,不再转发流量:
12.RS开启Mac地址表保护,防止DOS攻击。要求在属于VLAN30的接口最多允许学习30个动态 Mac地址,只允许学习20个ARP地址及10个NEIGHBOR表项,截图配置命令:13.RS上开启防ARP扫描功能,单位时间内端口收到ARP数量超过 50便认定是攻击,DOWN 掉此端口,回复时间设为10分钟,截图配置命令;
14.在RSE1/0/5端口上配置MAC地址为00-03-0f-00-00-04的主机不能访问 MAC 地址为00-00-00-00-00-ff的主机,截图配置命令;
15.总部建立无线网络Wireless TEST进行本地测试,RS配置 DHCP服务器,使用 Mac 地址绑定的方式为AP 下发管理地址 10.1.16.99,手动注册,使用密码认证,密码自定义,在RS上使用show ip dhcp binding,AC上show wirelss ap staus,show wireless 检测并截图;
6/26
【保密:未经许可,严禁复制】16.Network100下设置网络 SSID:WireleSS TEST,VLAN 101,使用WAPI加密认证,Length 头8,type为ascii码,密码自定义,与倒数第6个可用 VAP 关联,仅使用 5G信号,在 AC上使用show run current 检测并截图;
17.测试时限制最大接入人数为 20人,开启 Q0S 限速上行带宽和下行带宽设置为20M,在 AC上使用showrun current检测并截图;
18.开启白名单,目前仅允许管理员与测试人员访问 AP完成无线测试,MAC地址如下:
00-03-0f-8a-d9-01
00-03-0f-8a-d9-02
00-03-0f-8a-d9-03
00-03-0f-8a-d9-a2
00-03-0f-8a-d9-b3
00-03-0f-8a-d9-c4
在AC上使用showrun current检测并截图;
19.时空公平避免接入终端较多且有大量弱终端时,避免高速客户端被低速客户端“拖累”让低速客户端不至于长时间得不到传输,在AC上使用showruncurrent 检测并截图;20.ap flood 表老化时间 10 分钟,反制间隔10 分钟,反制间隔内最大连接次数 20,AP 失败状态超时时间及探测客户端超时3小时,为RF扫描状态设置入口时间3小时,向无线终端表明AP存在的帧间隔4小时,在AC上使用showruncurrent检测并截图;
21.登录DCBC按题目要求将DCBCGE1接入FW与RS中间,分别描述为:TO-FW,TO-RS,GE2开通WEB认证、WEB管理、PING功能,为方便查看系统日志,设置一名审计管理员DCNer,密码自定义:
22.RS-DCBC-FW为骨干链路,为完成网络的连通性,DCBC到FW方向使用一条静态静态路由DCBC到RS方向使用一条汇总路由;
23.为防止靶场服务器WAF-RS-DCBC-FW方向的跳板攻击,请配置策略实现靶场服务器与FW,WAF与FW之间的管理流量无法互通,建立三个地址簿分别为“靶场服务器IP“”WAFIP “ ” FWIP“:
24.禁止工作时间周一至周五9:00-18:00(时间计划名称”T1”)访问 URL中含有的“微博及个人网站”,“新闻门户”,“文学小说”,“金融证券”,“游戏资讯”,策略名称“APP1“,对于所有IP生效;
25.DCBC上配置L3-WAN到L3-LAN 入侵检测系统,检测由外网至内网所有流量,检测库需包
7/26
【保密:未经许可,严禁复制】括勒索软件漏洞攻击、挖矿软件漏洞攻击、后门软件漏洞攻击、间谍软件漏洞攻击、网络设备漏洞攻击、应用程序漏洞攻击、文件漏洞攻击,检测到攻击后拒绝流量并记录日志;
26.内网中架设有Mai1服务器,设置策略“Virus1“为防止木马和病毒的在内网传播请配置DCBC 阻断所有邮件附件中可能带有的Windows下常见可执行文件,并记录日志;27.内网中架设有WEB服务器IP10.0.1.100新增服务器“WEBServer2”,新增 WEB应用防护“WAF1”,检测源自L3-WAN的所有流量到此台服务器的 PHP注入攻击、XSS攻击、SQI注入,HTTP检测方法不锁定,检测到异常后阻止并记录日志;
28.由于总部申请带宽有限,请设置DCBC连接内网接口,上行带宽100M,下行带宽200M,上行与下行空闲阈值比例100%,策略流控“Traffic1“,基于所有IP的高带宽消耗相关的服务,腾讯视频、PPS、百度网盘、迅雷、BT 流量优先级设置为低,上行最大带宽为总上行带宽的 30%,下行最大带宽为总下行带宽的20%,同时开启P2P抑制技术,允许线路空闲时突破限制;
29.配置DCBC合规准入,仅WIN2012、WIN10和WIN7升级SP1 且打了以下升级补丁的设备全天可以上网,对于违规操作禁止用户上网并提示,规则名称”P1”,对所有IP生效,对于不支持准入机制的设备允许上网:
补丁列表:
KB3177467
KB4534310
KB3125574
省
KB2775511
KB2999226
KB2852386
30.设置监控告警,CPU使用率>=25%、内存使用率>=30%、活跃会话数>=300000,持续时间30秒以上,告警级别为预警状态,处理策略为邮件告警+发送短信+日志记录,将信息发至管理员,邮件地址为 admin@dcn.com,短信13901234567;
31.WAF-P上做网桥初始化,设置网桥编号2,将GE2,GE3接口加入并配置管理IP10.0.1.4/24,设置邮件告警,smtp.dcn.com,发送间隔3分钟,接收者admin@dcn.com,告警内容为“靶场检测异常”,触发条件是对所有HTTP防护,可能对网站资源进行爬取、
8/26
【保密:未经许可,严禁复制】
盗链,登录页面的暴力破解;
32.WAF-P连接内部安全靶场环境,靶场服务器IP为10.0.1.99/24,请对这台服务器进行存活探测,名称:靶场服务器沙盒1,登录地址为https://10.0.1.99/login33.新增“靶场服务器”,IP:10.0.1.99,端口、部署模式、防护模式等配置信息请根据题意进行配置;
34.HTTP 协议校验通用规则,修改为以下参数,启用该配置
URL最大长度,参数值1024,处理动作:阳断:
URL参数最大长度,参数值512,处理动作:阻断;
Host最大长度,参数值512,处理动作:阻断;
User-Agent最大长度,参数值512,处理动作:阻
项
Referer最大长度,参数值1024,处理动作:阻;
请求行最大长度,参数值1024,处理动作:阻断;
35.新增“靶场 HTTP 访问控制”,新增URL保护列表“靶场 HTTP访问控制”,对所有访问10.0.1.99的 HTTP 的流量进行阻断;
36.新增“靶场爬虫防护”,保护 URL列表名称“靶场保护 URL”,对访问 https://10.0.1.99进行爬虫行为的IP,封禁30分钟,启用该配置;
37.新增“靶场防盗链”,调用 URL列表名称“靶场保护 URL”,对访问https://10.0.1.99进行盗链行为的 IP,封禁30分钟,启用该配置;
38.新增“靶场暴力破解”,新增登录请求URL列表名称“靶场服务器”,IP:https://10.0.1.99/login,对每秒超过1次的登录请求,封禁30分钟,启用该配置;39.新增“靶场 DDOS”,对所有对靶场的TCP攻击安全等级设置为中高级,HTTP攻击等级设置为低级,启用日志记录功能,开启 DDOS 防护;
40.开启IDP服务防护功能,阻断防木马蠕虫、钓鱼攻击、获取用户权限或提权、远程注入攻击并生成日志;
9/26