2018年江苏省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书第一阶段答案

旺仔Sec

已于 2023-06-06 12:33:04 修改

阅读量2.3k

点赞数 5

分类专栏： # 信息安全管理与评估赛项文章标签：网络网络协议信息安全

于 2022-07-06 17:15:20 首次发布

本文链接：https://blog.csdn.net/qq_50377269/article/details/125643716

版权

信息安全管理与评估赛项专栏收录该内容

63 篇文章 105 订阅

订阅专栏

1. 根据网络拓扑图所示，按照IP地址规划表，对WAF的名称进行配置。（20分）

2. 根据网络拓扑图所示，按照IP地址规划表，对DCRS的名称、各接口IP地址进行配置，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN。（56分，没错一处扣5分，扣完为止）

DCRS#sh run

hostname DCRS （5分）

vlan 1-2;10;20;30;66 （5分）

Interface Ethernet1/0/1

Interface Ethernet1/0/2

switchport access vlan 2 （5分）

Interface Ethernet1/0/3

switchport access vlan 10 （5分）

Interface Ethernet1/0/4

switchport access vlan 20 （5分）

Interface Ethernet1/0/5

switchport access vlan 30 （5分）

Interface Ethernet1/0/6

switchport access vlan 66 （5分）

interface Vlan1

ip address 192.168.1.254 255.255.255.0 （5分）

interface Vlan2

ip address 192.168.2.1 255.255.255.0 （5分）

interface Vlan10

ip address 192.168.10.254 255.255.255.0 （5分）

interface Vlan20

ip address 192.168.20.254 255.255.255.0 （5分）

interface Vlan30

ip address 192.168.30.254 255.255.255.0 （5分）

interface Vlan66

ip address 192.168.66.254 255.255.255.0

3. 根据网络拓扑图所示，按照IP地址规划表，对DCFW的名称、各接口IP地址进行配置。(20分，每错一处扣7分)

4. 根据网络拓扑图所示，按照IP地址规划表，在DCWS上创建相应的VLAN，并将相应接口划入VLAN,对DCWS的管理IP地址进行配置。（26分,每错一处扣4分）

DCWS#sh run

hostname DCWS （4分）

vlan 1;66 （4分）

Interface Ethernet1/0/16

switchport access vlan 66 （4分）

interface Vlan66 （4分）

ip address 192.168.66.253 255.255.255.0

interface Vlan110（4分）

ip address 192.168.110.254 255.255.255.0

interface Vlan111（4分）

ip address 192.168.111.254 255.255.255.0

interface Vlan222（4分）

ip address 192.168.222.254 255.255.255.0

5. 根据网络拓扑图所示，按照IP地址规划表，对DCBI的名称、各接口IP地址进行配置。（20分,每错一处扣10分）

6.内部网络采用静态路由实现全网互联互通。（18分）

交换机：（8分）

ip route 0.0.0.0/0 192.168.2.2

ip route 192.168.110.0/24 192.168.66.253

ip route 192.168.111.0/24 192.168.66.253

ip route 192.168.222.0/24 192.168.66.253

AC:

ip route 0.0.0.0 0.0.0.0 192.168.66.254 （4分）

防火墙：（8分）

WAF部分

配置WAF为透明模式，按题意完成接口桥接；(6分)

创建审计管理员帐户，用户名：dcn2018,密码：201810dcn(6分)

配置WAF当发现恶意扫描网站时，将HTTP重定向到http://www.dcn.com/alarm.html，警告攻击者；(12分，扫描防护4分，动作4分，重定向URL 4分)

新建漏洞扫描任务dcn,每天9:00扫描192.168.1.100:80，SQL注入，跨站脚本编制；(12分，任务名称4分，扫描目标4分，扫描内容4分)

DCWS部分

DCWS配置VLAN110为管理VLAN, AP动态方式注册到AC，AC管理IP为192.168.110.254；数据VLAN为111和222，vlan222关联到SSID DCN，分别下发网段192.168.111.0/24，192.168.222.0/24，网关为最后一个可用IP，DNS:8.8.8.8，需要排除网关，地址租约为2天；（22分,每错一处扣2分，扣完为止）

service dhcp（2分）

ip dhcp excluded-address 192.168.111.254

ip dhcp excluded-address 192.168.222.254（2分）

ip dhcp pool 110

network-address 192.168.110.0 255.255.255.0

option 43 hex 0104C0A86EFE

option 60 ascii udhcp1.18.2（2分）

ip dhcp pool 111

network-address 192.168.111.0 255.255.255.0

default-router 192.168.111.254

lease 2 0 0

dns-server 8.8.8.8（2分）

ip dhcp pool 222

network-address 192.168.222.0 255.255.255.0

default-router 192.168.222.254

lease 2 0 0

dns-server 8.8.8.8（2分）

interface Vlan66

ip address 192.168.66.253 255.255.255.0（2分）

interface Vlan110

ip address 192.168.110.254 255.255.255.0（2分）

interface Vlan111

ip address 192.168.111.254 255.255.255.0（2分）

interface Vlan222

ip address 192.168.222.254 255.255.255.0（2分）

ip route 0.0.0.0/0 192.168.66.254 （2分）

Interface Ethernet1/0/15 （2分）

switchport mode trunk

switchport trunk native vlan 110

Interface Ethernet1/0/16 （2分）

switchport access vlan 66

wireless

no auto-ip-assign

enable

ap authentication none

static-ip 192.168.110.254（2分）

network 1 （2分）

ssid GUEST

vlan 111

network 2 （2分）

ssid DCN

vlan 222

ap profile 1

name Default

hwtype 29（或59）（2分）

radio 1

vap 1

enable （2分）

radio 2

vap 1

enable （2分）

配置2.4G频段下工作，使用802.11g协议；（8分）

wireless

ap profile 1

ap escape （4分）

radio 1

mode g （4分）

设置SSID GUEST，加密模式为wpa-personal,其口令为：11111111，VLAN111（12分，每错一处扣3分，扣完为止）

network 1

security mode wpa-personal（3分）

ssid GUEST（3分）

vlan 111（3分）

wpa key xxxxxx（3分）

GUEST网络进行流控，上行1M，下行2M并开启用户隔离。（12分，每错一处扣3分）

network 2

client-qos enable（3分）

client-qos bandwidth-limit down 2048（3分）

client-qos bandwidth-limit up 1024（3分）

station-isolation （3分）

通过配置避免接入终端较多且有大量弱终端时，避免高速客户端被低速客户端“拖累”，让低速客户端不至于长时间得不到传输；（6分）

ap profile 1

radio 1

schedule-mode preferred （3分）

radio 2

schedule-mode preferred （3分）

路由器部分

配置默认路由,使内网用户可以访问Internet;( 2分)

ip route 0.0.0.0/0 192.168.2.2

将连接DCFW的双向流量镜像至Netlog进行监控和分析；(6分)

monitor session 1 source interface Ethernet1/0/2 tx（2分）

monitor session 1 source interface Ethernet1/0/2 rx（2分）

monitor session 1 destination interface Ethernet1/0/1（2分）

开启防ARP扫描功能，单位时间内端口收到ARP数量超过50便认定是攻击，DOWN掉此端口；(4分)

anti-arpscan enable（2分）

anti-arpscan port-based threshold 50（2分）

在公司总部的DCRS上配置端口环路检测（Loopback Detection），防止来自vlan20接口下的单端口环路，并配置存在环路时的检测时间间隔为30秒，不存在环路时的检测时间间隔为10秒; (4分)

Interface Ethernet1/0/4

switchport access vlan 20

loopback-detection specified-vlan 20 （2分）

loopback-detection control block

loopback-detection interval-time 30 10 （2分）

为了控制接入网络PC，需要在交换Eth1/0/10口开启DOT1X认证，配置认证服务器，IP地址是192.168.2.100，radius key是dcn2018;; (10分)

radius-server key 0 dcn2018（2分）

radius-server authentication host 192.168.2.100（2分）

aaa enable（2分）

dot1x enable （2分）

Interface Ethernet1/0/10 （2分）

dot1x enable

dot1x port-method portbased

交换机开启远程管理，使用SSH方式账号为组号，密码为123456. （4分）

ssh-server enable （2分）

username 5（组号） privilege 15 password 0 123456 （2分）

VLAN20 用户采用动态获取IP地址方式，DHCP服务器在AC上配置。（4分）

service dhcp （2分）

ip forward-protocol udp bootps

interface Vlan20

ip address 192.168.20.254 255.255.255.0

ip helper-address 192.168.66.253 （2分）

在交换机上配置，在只允vlan30用户在上班时间内访问无线管理段IP。（6分）

Firewall enable

！

time-range time2 （2分）

periodic weekdays 00:00:00 to 09:00:00

periodic weekdays 18:00:00 to 23:59:59

periodic weekend 00:00:00 to 23:59:59

ip access-list extended acl （2分）

deny ip 192.168.30.0 0.0.0.255 192.168.110.0 0.0.0.255 time-range time2

permit ip any-source any-destination

exit

Interface Ethernet1/0/5 （2分）

switchport access vlan 30

ip access-group acl in

为拦截、防止非法的MAC地址与IP地址绑定的ARP数据包配置动态arp检测功能，VLAN30用户网络接口的ARP阀值为50. （4分）

interface Vlan30

ip address 192.168.30.254 255.255.255.0

ip arp dynamic maximum 50

防火墙部分

在总公司的DCFW根据题意配置Trust,Untruct,VPNhub区域，并配置区域之间的放行策略；（6分，每错一处扣2分）

配置路由，通往internet的方向配置默认路由，使用下一跳IP为PC2,通往内部路由配置静态主类汇总路由；（8分，每错一处扣4分）

配置动态NAT，对应关系如下：（9分, 每错一处扣3分）

VLAN20用户映射为200.1.1.20；

VLAN30用户映射为200.1.1.30；

总公司DCFW配置SSLVPN，建立用户dcn01，密码dcn01，要求连接Internet PC2可以拨入，服务端口为9998，SSLVPN地址池参见地址表；（8分，每错一处扣4分，扣完为止）

5、内网无线用户访问因特网需要通过实名认证，采用出口本地认证，账号为该组组号，密码为123。（8分，每错一处扣4分，扣完为止）

为了合理利用出口带宽资源需要对内部用户上网带宽进行限制，在工作日8:00到18:00有线用户上网上传/下载带宽分别为1000K/2000K，园区网总出口带宽为200M。（9分，每错一处扣3分，扣完为止）

7、为了响应网监处净网行动，要求对内网有线用户web外发内容进行控制，禁止到外网网页上发送关键字“反动”并进行记录相关日志。（6分，每错一处扣3分，扣完为止）

8、先发现内部VLAN20和VLAN30有用户被挂马发送大量连接到外网，导致内网用户打开外网网页很慢有时还打不开，要求在防火墙上做相应设置，控制该问题。（6分，每错一处扣3分，扣完为止）

9、PC2能够通过防火墙外网口地址方位DCST的80端口。（4分，每错一处扣2分，扣完为止）

DCBI部分

在公司总部的DCBI上配置，设备部署方式为旁路模式，增加管理员账户dcn2018，密码dcn2018；(12分)

添加内容规则，对于网站访问关键字包含“暴力”的，记录并邮件报警；(12分)

DCBI配置应用及应用组“王者天下”，UDP协议端口号范围11111-11333，在周一至周五9：00-18：00监控LAN中所有用户的“王者天下”访问记录；(12分，每错一处扣4分)

旺仔Sec

关注

5
点赞
踩
22

收藏

觉得还不错? 一键收藏
打赏
1
评论
2018年江苏省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书第一阶段答案

2018年江苏省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书第一阶段答案
复制链接

扫一扫

专栏目录

2018年江苏省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书第一阶段答案

“相关推荐”对你有帮助么？