《GZ-2022038 信息安全管理与评估赛项正式赛卷完整版包括附件-2022年全国职业院校技能大赛赛项正式赛卷.docx》由会员分享,可在线阅读,更多相关《GZ-2022038 信息安全管理与评估赛项正式赛卷完整版包括附件-2022年全国职业院校技能大赛赛项正式赛卷.docx(28页珍藏版)》请在优知文库上搜索。
1、2022年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书1一、赛项第一阶段时间180分钟。二、赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段平台搭建与安全设备配置防护任务1网络平台搭建180分钟50任务2网络安全设备配置与防护250三、注意事项赛题第一阶段请按裁判组专门提供的U盘中的“XXX答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹(XX用具体的工位号替代),所完成的“XXX-答题模板”放置在文件夹中作为比赛结果提交。四、赛项内容(一)赛项环境设置1 .网络拓扑图2 .IP地址规划表设备名称接口IP地址对端设备防火墙FWETH0/1-
2、210.1.0.254/30(TrUSt安全域)RSETH1/0/1RSETH1/0/210.2.0.254/30(TnJSt安全域)ETH0/310.3.0.254/30(TrUSt安全域)NETLOGETH3ETH0/410.4.0.254/30(TrUSt安全域)NETLOGETH4ETH0/510.100.18.1/27(UmnJSt安全域)IDCSERVER10.100.18.2ETH0/6200.1.1.1/28(UntrUSt安全域)RSETH1/0/19Loopbackl10.11.0.1/24(TnJSt安全域)-Loopback210.12.0.1/24(TnJSt安全域)
3、Loopback310.13.0.1/24(TrUSt安全域)Loopback410.14.0.1/24(TrUSt安全域)三层交换机RSVLAN40ETH1/0/4-8172.16.40.62/26PC2VLAN50ETH1/0/3172.16.50.62/26PC3VLAN51ETH1/0/2310.51.0.254/30NETLOGVLAN5210.52.0.254/24WAFVLAN113VLAN113OSPF10.1.0.253/30FWVLAN114VLAN114OSPF10.2.0.253/30FWVLAN117ETH1/0/1710.3.0.253/30NETLOGETH1VL
4、AN118ETH1/0/1810.4.0.253/30NETLOGETH2ETH1/0/20VLAN100192.168.100.1/302001:192:168:100:1/112VLAN115OSPF10.5.0.254/30VLAN116OSPF10.6.0.254/30WSVLAN4000ETH1/0/19200.1.1.2/28FW三层无线交换机WSETH1/0/20VLAN100192.168.100.2/302001:192:168:100:2/112FVLAN11510.5.0.253/30VLAN11610.6.0.253/30SLAN30ETH1/0/3172.16.30.
5、62/26PC1无线管理VLANVLAN101ETH1/0/21需配置APVLAN10需配置无线1VLAN20需配置无线2日志服务器NETLOGETH510.51.0.253/30RSETHE1/0/23WEB应用防火墙WAFETH310.52.0.253/30RSETHE1/0/24ETH4堡垒服务器3 .设备初始化信息表设备类型设备型号登录端口登录方式账号密码防火墙DCFW-1800EN3002-PRO-E0/0https:/192.168.1Jadminadmin三层交换机3S6200-28X-PROCONSOLE波特率9600WEB防火墙DCFW-1800WAF-PGEOhttps71
6、92.168.254.1adminyunke1234!网络日志系统DCBC-NETLO(GGEOhttps7192.168.0.1:9090adninAdri*PWD三层无线交换机DCWS-6028PROCONSOLE波特率9600adminadmin第一阶段任务书任务1:网络平台搭建(50分)题号网络需求1按照IP地址规划表,对防火墙的名称、各接口IP地址进行配置。(10分)2按照IP地址规划表,对三层交换机的名称进行配置,创建VLAN并将相应接口划入VLAN,对各接口IP地址进行配置。(10分)3按照IP地址规划表,对无线交换机的名称进行配置,仓IJ建VLAN并将相应接口划入VLAN,对接
7、口IP地址进行配置。(10分)4按照IP地址规划表,对网络日志系统的名称、各接口IP地址进行配置,(10分)5按照IP地址规划表,对WEB应用防火墙的名称、各接口IP地址进行配置。(10分)任务2:网络安全设备配置与防护(250分)1 .RS开启telnet登录功能,用户名SkiilS01,密码SkillS01,配置使用telnet方式登录终端界面前显示如下授权信息:uWARNING!Authorisedaccessonly,allofyourdonewillberecorded!DisconnectedIMMEDIATELYifyouarenotanauthoriseduser!Otherw
8、ise,weretaintherighttopursuethelegalresponsibility;(16分)2 .总部交换机SW配置简单网络管理协议,计划启用V3版本,V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001;创建认证用户为SkillS01,采用3des算法进行加密,密钥为:SkiIIsOI,哈希算法为SHA,密钥为:skills01;加入组ABC,采用最高安全级别;配置组的读、写视图分别为:2022_R、2022_W;当设备有异常时,需要使用本地的VLAN100地址发送TraP消息至网管服务器10.510203,采用最高安全级别;(6分)3 .对RS上VLAN40开
9、启以下安全机制:业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟;如发现私设DHCP服务器则关闭该端口,配置防止ARP欺骗攻击;(6分)4 .勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络攻击,通过对总部核心交换机RS所有业务VLAN下配置访问控制策略实现双向安全防护;(6分)5 .RS配置IPv6地址,使用相关特性实现VLAN50的IPv6终端可自动从网关处获得IPv6有状态地址;(6分)WS配置IPv6地址,开启路由公告功能,路由器公告的生存期为2小时,确保VLAN30的IPv6终端可以获得IPv6无状态地址。WS与RS之间
10、配置RlPng,使PCl与PC3可以通过IPv6通信;IPv6业务地址规划如下,其它IPv6地址自行规划:业务IPV6地址VLAN302001:30:254/64VLAN502001:50:254/646 .尽可能加大RS与防火墙FW之间的带宽;配置使总部VLAN40业务的用户访问IDCSERVER的数据流经过FW10.1.0.254,IDCSERVER返回数据流经过FW10.2.0.254,且对双向数据流开启所有安全防护,参数和行为为默认;(6分)7 .FW.RSsWS之间配置OSPFareaO开启基于链路的MD5认证,密钥自定义,传播访问INTERNET默认路由;(6分)8 .FW与RS建
11、立两对旧GP邻居关系,使用AS65500,FWlpback1-4为模拟AS65500中网络,为保证数据通信的可靠性和负载,完成以下配置,要求如下:(6分) RS通过BGP到达100PbaCk1,2网路下一跳为10.3.0.254;RS通过BGP到达100PbaCk3,4网络下一跳为10.4.0.254; 通过BGP实现到达Io。PbaCkl,2,3,4的网络冗余; 使用IP前缀列表匹配上述业务数据流;使用ASPATH属性进行业务选路,只允许使用routemap来改变ASPATH属性、实现路由控制,ASPATH属性可配置的参数数值为:655099 .如果RSE1/0/3端口的收包速率超过3000
12、0则关闭此端口,恢复时间5分钟,并每隔10分钟对端口的速率进行统计;为了更好地提高数据转发的性能,RS交换中的数据包大小指定为1600字节;(6分)10 .为实现对防火墙的安全管理,在防火墙FW的TrUSt安全域开启PINGsHTTP、SNMP功能(100PbaCk接口除外),UntrUSt安全域开启SSH、HTTPS功能;(6分)11 .总部VLAN业务用户通过防火墙访问Intern6t时,复用公网IP:200.1.1.28/28,保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.51.0.253的UDP2000端
13、口;(6分)12 .配置L2TPVPN,名称为VPN,满足远程办公用户通过拨号登陆访问内网,创建隧道接口为tunnel1、并加入UntrUSt安全域,士也址池名称为AddreSSPool,LNS地址池为10.100.253.1/24-10.100.253.100/24,网关为最大可用地址,认证账号SkilISol,密码SkiIlSol;(6分)13 .FW配置禁止所有人在周一至周五工作时间9:00-18:00访问京东WWW和淘宝WWW;相同时间段禁止访问中含有“娱乐”、“新闻”的WEB页面;(6分)14 .在FW开启安全网关的TCPSYN包检查功能,只有检查收到的包为TCPSYN包后,才建立连
14、接;配置所有的TCP数据包每次能够传输的最大数据分段为1460,尽力减少网络分片;配置对TCP三次握手建立的时间进行检查,如果在1分钟内未完成三次握手,则断掉该连接;(6分)15 .为保证总部Internet出口线路,在FW上使用相关技术,通过Ping监控外网网关地址,监控对象名称为TraCk,每隔5S发送探测报文,连续10次收不到监测报文,就认为线路故障,直接关闭外网接口。FW要求内网每个IP限制会话数量为300;(6分)16.lnternet端有一分支结构路由器,需要在总部防火墙FW上完成以下预配,保证总部与分支机构的安全连接:(6分)防火墙FW与Internet端路由器202.5.17.2建立GRE隧道,并使用IPSeC保护GRE隧道,保证分支结构中2.2.2.2与总部VLAN40安全通信。第一阶段采用Pre-share认证加密算法:3DES;第二阶段采用ESP协议,加密算法:3DES;17.已知原AP管理地址为10.8100/15,为了避免地址浪费请重新规划和配置IP地址段,要求如下:(6分)使用原AP所在网络进行地址划分;现无线用户VLAN10中需要127个终端,无线用户VLAN20需要50个终端;WS上配置DHCP,管理VLAN为VLANIoI,为AP下发