2021年山东省职业院校技能大赛高职组 “信息安全管理与评估”赛项

2021年山东省职业院校技能大赛高职组
“信息安全管理与评估”赛项

qq:2366046367
qq群：670610200

一、 赛项第一阶段时间
180分钟。
二、 赛项信息
竞赛阶段 任务
阶段 竞赛任务 竞赛
时间 分值
第一阶段
平台搭建与安全设备配置防护 任务1 网络平台搭建 180
分钟 50
任务2 网络安全设备配置与防护 250
三、 注意事项
赛题第一阶段请按裁判组专门提供的U盘中的“XXX-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），所完成的“XXX-答题模板”放置在文件夹中作为比赛结果提交。
四、 赛项内容
(一) 赛项环境设置

1. 网络拓扑图
   
2. IP地址规划表
   设备名称 接口 IP地址 对端设备
   防火墙
   DCFW ETH0/1 200.1.1.1/30
   （Untrust安全域） INTERNET
   ETH0/2 10.0.0.254/24
   （Trust安全域） WAF
   SSL Pool 192.168.10.1/24
   可用IP数量为20 SSL VPN地址池
   WEB应用防火墙
   DCWAF ETH2 10.0.0.253/24 DCFW
   ETH3 DCRS
   三层交换机
   DCRS E1/0/16
   VLAN 110
   10.0.0.252/24 WAF
   E1/0/17 NETLOG
   E1/0/18 DCST
   E1/0/19 DCWS
   三层无线交换机
   DCWS E1/0/19 VLAN 110 10.0.0.251/24 DCRS
   E1/0/20 - AP
   日志服务器
   DCBI ETH2 10.0.0.250/24 DCRS
3. 设备初始化信息
   设备名称 管理地址 默认管理接口 用户名 密码
   防火墙
   DCFW http://192.168.1.1
   ETH0或
   Console
   波特率9600 admin admin
   网络日志系统DCBI https://192.168.5.254 ETH0 admin 123456
   WEB应用防火墙WAF https://192.168.45.1 ETH5 admin admin123
   三层交换机DCRS - Console
   波特率9600 - -
   无线交换机DCWS - Console
   波特率9600 admin admin
   备注 所有设备的默认管理接口、管理IP地址、管理员用户名、密码不允许修改;

第一阶段任务书
任务1：网络平台搭建
题号 网络需求
1 按照IP地址规划表，对防火墙的名称、各接口IP地址进行配置。(10分)
2 按照IP地址规划表，对三层交换机的名称进行配置，创建VLAN并将相应接口划入VLAN, 对各接口IP地址进行配置。(10分)
3 按照IP地址规划表，对无线交换机的名称进行配置，创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置。(10分)
4 按照IP地址规划表，对网络日志系统的名称、各接口IP地址进行配置。(10分)
5 按照IP地址规划表，对WEB应用防火墙的名称、各接口IP地址进行配置。(10分)

任务2：网络安全设备配置与防护
DCFW：

1. 在DCFW上配置，连接LAN接口开启PING,HTTP,HTTPS，telnet功能，连接Internet接口开启PING、HTTPS功能；（20分）
2. DCFW与DCRS之间配置OSPF area0 保证内网与INTERNET通信；（20分）
3. 配置PAT，使内网用户可以通过出口访问INTERNET，配置LOG开启NAT会话功能；（20分）
4. DCFW做相应配置，使用L2TP方式让外网移动办公用户能够实现对内网的访问，用户名密码自定义， VPN地址池参见地址表；（20分）
5. 出于安全考虑，无线用户移动性较强，无线用户访问 Internet是需要采用实名认证，在防火墙上开启web认证，账号密码为自定义。（20分）
   DCRS：
6. 根据下述信息及表，在交换机上完成VLAN配置和端口分配。
   设备
   VLAN编号 端口 说明
   SW-1 VLAN10 E1/0/1-4 营销1段
   VLAN20 E1/0/5-7 产品1段
   VLAN30 E1/0/8-10 法务1段
   VLAN40 E1/0/11-12 财务1段
   VLAN50 E1/0/13-14 人力1段
   VLAN10 10.0.10.0/24 GW:最后一个可用地址；
   VLAN20 10.0.20.0/24 GW:最后一个可用地址；（10分）
   VLAN30 10.0.30.0/24 GW:最后一个可用地址；
   VLAN40 10.0.40.0/24 GW:最后一个可用地址；
   VLAN50 10.0.50.0/24 GW:最后一个可用地址；
7. 配置实现交换机上联接口最大传输单元为1600Bytes，满足后续双DC VXLAN等新技术应用；（10分）
8. 配置简单网络管理协议，计划启用V3版本，V3版本在安全性方面做了极大的扩充。配置引擎号为6200；创建认证用户为DCN2021，采用3des算法进行加密，密钥为：Dcn20212021，哈希算法为SHA，密钥为：DCn20212021；加入组DCN，采用最高安全级别；配置组的读、写视图分别为：Dcn2021_R、DCn2021_W；当设备有异常时，需要使用本地的环回地址发送Trap消息至网管服务器10.0.0.99；（10分）
9. 要求禁止配置访问控制列表，实现交换机法务业务对应的物理端口间二层流量无法互通；针对交换机人力业务配置相关特性，每个端口只允许的最大安全MAC 地址数为1，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留; （10分）
10. 为保证DCBI-Netlog能够分析所有访问外网的往返流量，请将流量复制到对应接口；（10分）
    WAF:
11. WAF上配置，防止某源IP地址在短时间内并发访问超过3000次的恶意请求，影响内部网站正常服务；（10分）
12. WAF上配置开启爬虫防护功能，添加爬虫标识组当爬虫标识为360Spider，自动阻止该行为；（10分）
13. 为防止内网用户受到伪装木马攻击，WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件; （10分）
    DCBI-netlog:
14. 在DCBI-netlog上配置，设备部署方式为旁路模式，并配置监控接口与管理接口;要求对内网访问Internet全部应用进行记录日志; （10分）
15. 配置自定义应用及应用组“流媒体”，UDP协议端口号范围10867-10868，在周一至周五8：00-20：00监控内网中所有用户的“流媒体”访问记录；（10分）
16. 配置DCBI-netlog邮件告警功能，邮件服务器IP 10.0.0.98，端口号25，账号与密码自定义，当DCBI磁盘使用率超过80%时发送一次报警；（10分）
    DCWS:
17. 配置VLAN100为AP管理VLAN，VLAN101为业务VLAN；AC提供无线管理与业务的DHCP服务，动态分配IP地址和网关；使用第一个可用地址作为AC管理地址，AP二层自动注册，启用密码认证，密钥自定义。（10分）
    VLAN1OO:172.50.100.0/24 GW:172.50.100.254
    VLAN101:172.50.101.0/24 GW:172.50.101.254
18. 配置一个SSID DCNXX：DCNXX中的XX为赛位号，访问Internet业务，采用WPA-PSK认证方式，加密方式为WPA个人版，密钥自定义。（10分）
19. 配置所有无线接入用户相互隔离，Network模式下限制SSID DCNXX每天早上0点到4点禁止终端接入，开启SSID DCNXX ARP抑制功能；配置当无线终端支持5GHz网络时，优先引导接入5GHz网络，从而获得更大的吞吐量，提高无线体验。（10分）
20. AP在收到错误帧时，将不再发送ACK帧；打开AP组播广播突发限制功能；开启Radio的自动信道调整，每天上午7:00触发信道调整功能。（10分）