GZ032 信息安全管理与评估赛项任务书（模块一）

GZ032 信息安全管理与评估赛项任务书（模块一）

1. SW和AC开启telnet登录功能，telnet登录账户仅包含“ABC4321”，密码为明文“ABC4321”，采用telnet方式登录设备时需要输入enable密码，密码设置为明文“12345” 。
2. 北京总公司和南京分公司租用了运营商两条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，一条裸光纤承载其他内部业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离，财务业务位于VPN 实例名称CW 内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用RIP路由实现互相访问。
3. 尽可能加大总公司核心和出口BC之间的带宽。
4. 为防止终端产生MAC地址泛洪攻击，请配置端口安全，已划分VLAN41的端口最多学习到5个MAC 地址，发生违规阻止后续违规流量通过，不影响已有流量并产生LOG 日志；连接PC1 的接口为专用接口，限定只允许PC1的MAC 地址可以连接。
5. 总公司核心交换机端口ETH 1/0/6上，将属于网段20.1.41.0内的报文带宽限制为10Mbps，突发值设为4M字节，超过带宽的该网段内的报文一律丢弃。
6. 在SW上配置办公用户在上班时间（周一到周五9:00-17:00）禁止访问外网，内部网络正常访问。
7. 总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
8. 对SW上VLAN50开启以下安全机制。业务内部终端相互二层隔离；14口启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟，如私设DHCP服务器关闭该端口，同时开启防止ARP网关欺骗攻击。
9. 配置使北京公司内网用户通过总公司出口BC访问因特网，分公司内网用户通过分公司出口FW访问因特网，要求总公司核心交换机9口VLAN41业务的用户访问因特网的流量往反数据流经过防火墙在通过BC访问因特网；防火墙untrust1和trust1开启安全防护，参数采用默认参数。
10. 为了防止DOS攻击的发生，在总部交换机VLAN50接口下对MAC、ARP、ND表项数量进行限制，具体要求为：最大可以学习20个动态MAC地址、20个动态ARP地址、50个NEIGHBOR表项。
11. 总公司和分公司今年进行IPv6试点，要求总公司和分公司销售部门用户能够通过IPv6相互访问，IPv6业务通过租用裸纤承载。实现分公司和总公司IPv6业务相互访问；AC与SW之间配置静态路由使VLAN50与VLAN60可以通过IPv6通信；VLAN40开启IPv6，IPv6业务地址规划如下：

业务 IPv6地址
总公司VLAN50 2001:DA8:50::1/64
分公司VLAN60 2001:DA8:60::1/64

12. 在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPv6 DHCP server功能，IPv6地址范围2001:da8:50::2-2001:da8:50::100。
13. 在南京分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
14. SW与AC，AC与FW之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义，传播访问Internet默认路由，让总公司和分公司内网用户能够相互访问包含AC上loopback1地址；总公司SW和BC之间运行静态路由协议。
15. 分公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为20.0.0.254，地址池范围20.1.60.10-20.1.60.100，dns-server 8.8.8.8。
16. 如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟，为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
17. 为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING，HTTP，telnet，SNMP功能，Untrust安全域开启SSH、HTTPS功能。SNMP服务器地址：20.10.28.100，团体字：skills。
18. 在分部防火墙上配置，分部VLAN业务用户通过防火墙访问Internet时，复用公网IP:202.22.1.3、202.22.1.4；保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至20.10.28.10 的UDP 2000 端口。
19. 远程移动办公用户通过专线方式接入分公司网络，在防火墙FW上配置，采用SSL方式实现仅允许对内网VLAN 61的访问，端口号使用4455，用户名密码均为ABC4321，地址池参见地址表。
20. 分公司部署了一台Web服务器IP为20.10.28.10，接在防火墙的DMZ区域为外网用户提供Web服务，要求内网用户能ping通Web服务器和访问服务器上的Web服务（端口80）和远程管理服务器（端口3389），外网用户只能通过防火墙外网地址访问服务器Web服务。
21. 为了安全考虑，无线用户移动性较强，访问因特网时需要在BC上开启Web认证，采用本地认证，密码账号都为web4321。
22. 由于分公司到因特网链路带宽比较低，出口只有200Mbps带宽，需要在防火墙配置iQoS，系统中 P2P 总的流量不能超过100Mbps，同时限制每用户最大下载带宽为2Mbps，上传为1Mbps，优先保障HTTP应用，为HTTP预留100Mbps带宽。
23. 为净化上网环境，要求在防火墙FW做相关配置，禁止无线用户周一至周五工作时间9:00-18:00的邮件内容中含有“病毒”“赌博”的内容，且记录日志。
24. 由于总公司无线是通过分公司的无线控制器统一管理，为了防止专线故障导致无线不能使用，总公司和分公司使用互联网作为总公司无线AP和AC相互访问的备份链路。FW和BC之间通过IPSec技术实现AP管理段与无线AC之间联通，具体要求为采用预共享密码为ABC4321，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方式，IKE 阶段 2 采用 ESP-3DES，MD5。
25. 总公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让总公司内网用户（不包含财务）通过BC外网口IP访问因特网。
26. 在BC上配置PPTP VPN 让外网用户能够通过PPTP VPN访问总公司SW上内网地址，用户名为test，密码test23。
27. 为了提高分公司出口带宽，尽可能加大分公司AC和出口FW之间带宽。
28. 在BC上配置url过滤策略，禁止总公司内网用户在周一到周五的早上8点到晚上18点访问外网www.skillchina.com。
29. 在BC上开启IPS策略，对总公司内网用户访问外网数据进行IPS防护，保护服务器、客户端和恶意软件检测，检测到攻击后进行拒绝并记录日志。
30. 总公司出口带宽较低，总带宽只有200Mbps，为了防止内网用户使用P2P迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量，最大上下行带宽都为50Mbps，以免P2P流量占用太多的出口网络带宽，启用阻断记录。