GZ032 信息安全管理与评估赛项任务书（模块三理论技能）

信息安全管理与评估赛项

1. 在公司总部的DCFW上配置，连接互联网的接口属于WAN安全域、连接内网的接口属于LAN安全域。（6分）
2. 在公司总部的DCFW上配置，开启DCFW针对以下攻击的防护功能：
   ICMP洪水攻击防护、UDP洪水攻击防护、SYN洪水攻击防护、WinNuke攻击防护、IP地址欺骗攻击防护、IP地址扫描攻击防护、端口扫描防护、Ping of Death攻击防护、Teardrop攻击防护、IP分片防护、IP选项、Smurf或者Fraggle攻击防护、Land攻击防护、ICMP大包攻击防护、TCP选项异常、DNS查询洪水攻击防护、DNS递归查询洪水攻击防护。（6分）
3. 在公司总部的DCFW上新增2个用户，用户1（用户名：User1；密码：User.1）：只拥有配置查看权限，不能进行任何的配置添加与修改，删除。 用户2（用户名：User2；密码：User.2）：拥有所有的查看权限，拥有除“用户升级、应用特征库升级、重启设备、配置 日志”模块以外的所有模块的配置添加与修改，删除权限。（6分）
4. 在公司总部的DCFW上配置，内网可以访问互联网任何服务，互联网不可以访问内网。（6分）
5. 在公司总部的DCFW上配置网页内容过滤：内网用户不能访问互联网网站：www.tudou.com；（6分）
6. 在公司总部的DCFW上配置，使公司总部的DCST服务器可以通过互联网被访问，从互联网访问的地址是公网地址的第三个可用地址（公网IP地址段参考“赛场IP参数表”），且仅允许PC-2通过互联网访问DCST设备。（6分）
7. 在公司总部的DCFW上配置，使内网所有用户网段和服务器区网段都可以通过DCFW外网接口IP地址访问互联网。（6分）
8. 为了保证正常工作，在公司总部的DCFW上配置：对于上班时间（8：00-17：00）公司总部内网浏览Internet网页，连接总数不超过2000；（6分）
9. 在公司总部的DCFW上配置，使内网访问Internet网站时，不允许访问MSI(.msi)、EXE(.exe)、COM(.com)、(.bat)类型的文件。（6分）
10. 在公司总部的DCFW上配置，使内网向Internet发送邮件，或者从Internet接收邮件时，不允许邮件携带附件大于50MB。（6分）
11. 在公司总部的DCFW上启用L2TP VPN，使分支机构通过L2TP VPN拨入公司总部，访问内网的所有信息资源。L2TP VPN地址池x.x.x.x/x（具体IP地址参考“赛场IP参数表”）。（6分）
12. 在公司总部的DCFW上启用SSL VPN，使分支机构通过SSL VPN拨入公司总部，访问内网的所有信息资源。SSL VPN地址池x.x.x.x/x（具体IP地址参考“赛场IP参数表”）。（6分）
13. 在PC-2运行Wireshark分别对L2TP VPN和SSL VPN访问内网的流量进行捕获，并对以上两种流量进行对比分析区别。（6分）
14. 在公司总部的DCFS上配置，使其连接DCFW防火墙和DCRS交换机之间的接口能够实现二层互通。（6分）
15. 在公司总部的DCFS上配置，使DCFS能够对由公司内网发起至Internet的流量实现以下操作：会话保持、应用分析、主机统计、会话限制、会话日志。（6分）
16. 在公司总部的DCFS上配置，使工作日内（每周一至周五），阻止PC-1访问迅雷相关应用，并返回TCP Reset数据包。（6分）
17. 在公司总部的DCFS上配置，实现公司内网每用户访问Internet带宽上限为1Mbps，全部用户访问Internet带宽上限为100Mbps。（6分）
18. 在题目15条件的基础之上，继续在在公司总部的DCFS上配置，实现公司内网每用户访问Internet的FTP服务带宽上限为512Kbps，全部用户访问Internet的FTP服务带宽上限为20Mbps。（6分）
19. 在公司总部的NETLOG上配置，设备部署方式为旁路模式，并配置监控接口。（6分）
20. 在公司总部的DCRS交换机上配置SPAN，使内网经过DCRS交换机的全部流量均交由NETLOG分析。（6分）
21. 在公司总部的NETLOG上配置，监控内网所有用户的即时聊天记录。（6分）
22. 在公司总部的NETLOG上配置，监控内网所有用户的网站访问记录。（6分）
23. 在公司总部的DCRS交换机上运行SSH服务，客户端PC-1运行支持SSH2.0标准的客户端软件如Secure Shell Client或Putty，使用用户名和密码方式登录交换机。（6分）
24. 在公司总部的DCRS交换机上启动SSL功能，客户端PC-1通过浏览器客户端通过https登录交换机时，交换机和浏览器客户端进行SSL握手连接，形成安全的SSL连接通道，从而保证通信的私密性。（6分）
25. 在公司总部的DCRS上配置除内网IP地址段的RFC3330过滤来限制源IP欺骗攻击。（6分）
26. 在公司总部的DCRS上配置，VLAN110用户可通过DHCP的方式获得IP地址，在交换机上配置DHCP Server，地址池名称为pool110，DNS地址为202.106.0.20，租期为8天，VLAN110网段最后20个可用地址（DHCP地址段参考“赛场IP参数表”）不能被动态分配出去。（6分）
27. 配置公司总部的DCRS，防止来自VLAN110接口的DHCP地址池耗尽攻击。（6分）
28. 配置公司总部的DCRS，防止来自VLAN110接口的DHCP服务器假冒攻击。（6分）
29. 在公司总部的DCRS上配置端口环路检测（Loopback Detection），防止来自接口下的单端口环路，并配置存在环路时的检测时间间隔为50秒，不存在环路时的检测时间间隔为20秒（6分）
30. 在公司总部的DCRS上配置，需要在交换机第10个接口上开启基于MAC地址模式的认证，认证通过后才能访问网络，认证服务器连接在服务器区，IP地址是服务器区内第105个可用地址（服务器区IP地址段参考“赛场IP参数表”），radius key是dcn。（6分）
31. 黑客主机接入直连终端用户VLAN110，通过RIPV2路由协议向DCRS注入度量值更低的外网路由，从而代理内网主机访问外网，进而通过Sniffer来分析内网主机访问外网的流量（如账号、密码等敏感信息）。通过在DCRS上配置HMAC，来阻止以上攻击的实现。（认证Key须使用Key Chain实现）（6分）
32. 为方便公司总部网络规模扩展，将公司总部的DCRS交换机的24端口配置为Trunk模式，用于将来继续连接其它的交换机，配置公司总部的DCRS，使其能够防御由此带来VLAN Hopping（VLAN跳跃）攻击。（6分）
33. 配置公司总部的DCRS，通过Gratuitous ARP来抵御来自VLAN110接口的针对网关的ARP欺骗攻击。（6分）
34. 配置公司总部的DCRS，通过ARP Guard来抵御来自VLAN110接口的针对网关的ARP欺骗攻击。（6分）
35. 配置公司总部的DCRS，防止对公司总部服务器的以下3类DOS（Denial Of Service）攻击：ICMP Flood攻击、LAND攻击、SYN Flood攻击。（6分）
36. 配置公司总部的DCRS，通过控制平面（Control Plane）策略，防止DCRS受到来自于VLAN110接口的DOS（Denial Of Service）攻击；其中CIR(Committed Information Rate)定义为128Kbps，TC（Time Commit）定义为8192ms，速率大于CIR的流量将被DCRS丢弃，其余流量将被正常发送。（6分）
37. 配置公司总部的DCRS，通过DCP（Dynamic CPU Protection）策略，防止DCRS受到来自于全部物理接口的DOS（Denial Of Service）攻击。（6分）
38. 在公司总部的WAF上配置，使用WAF的漏洞扫描功能检测web服务器的安全漏洞情况。（6分）
39. 在公司总部的WAF上配置，编辑防护策略，定义HTTP请求体的最大长度为128，防止缓冲区溢出攻击。（6分）
40. 在公司总部的WAF上配置，编辑防护策略，要求客户机访问网站时，禁止访问*.exe的文件。（6分）