风险的网站怎么出现,cn网站,婚庆网站建设,建设银行wap网站2024年甘肃省职业院校技能大赛高职学生组电子与信息大类信息安全管理与评估赛项样题一
竞赛需要完成三个阶段的任务#xff0c;分别完成三个模块#xff0c;总分共计 1000分。三个模块内容和分值分别是#xff1a;
1.第一阶段#xff1a;模块一 网络平台搭建与设备安全防…2024年甘肃省职业院校技能大赛高职学生组电子与信息大类信息安全管理与评估赛项样题一
竞赛需要完成三个阶段的任务分别完成三个模块总分共计 1000分。三个模块内容和分值分别是
1.第一阶段模块一 网络平台搭建与设备安全防护180 分钟300 分。
2.第二阶段模块二 网络安全事件响应、数字取证调查、应用程序安全180 分钟300 分。
3.第三阶段模块三 网络安全渗透、理论技能与职业素养180分钟400 分。
【注意事项】 极安云科专注技能竞赛包含网络建设与运维和信息安全管理与评估两大赛项及各大CTF基于两大赛项提供全面的系统性培训拥有完整的培训体系。团队拥有国赛选手、大厂在职专家等专业人才担任讲师培训效果显著通过培训帮助各大院校备赛学生取得各省 国家级奖项获各大院校一致好评。 1.第一个阶段需要按裁判组专门提供的U 盘中的“XXX-答题模板”提交答案。
第二阶段请根据现场具体题目要求操作。
第三阶段网络安全渗透部分请根据现场具体题目要求操作
理论测试部分根据测试系统说明进行登录测试。
2.所有竞赛任务都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
第一阶段
模块一 网络平台搭建与设备安全防护
一、竞赛内容
第一阶段竞赛内容包括网络平台搭建、网络安全设备配置与防护共 2 个子任务。
竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段网络平台搭建与设备安全防护任务 1网络平台搭建XX:XX-50任务 2网络安全设备配置与防护XX:XX250总分300
二、竞赛时长
本阶段竞赛时长为 180 分钟共 300 分。
三、注意事项
第一阶段请按裁判组专门提供的 U 盘中的“XXX-答题模板”中的要求提交答案。选手需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹xx用具体的工位号替代所完成的“XXX-答题模板”放置在文件夹中作为竞赛结果提交。
例如08 工位则需要在 U 盘根目录下建立“GW08”文件夹并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
【特别提醒】
只允许在根目录下的“GWxx”文件夹中体现一次工位信息不允许在其它文件夹名称或文件名称中再次体现工位信息否则按作弊处理。
四**、赛项环境设置**
**1.**网络拓扑图 **2.**IP 地址规划表
设备名称接口IP 地址对端设备防火墙ETH0/1-2AG1AG1.11310.1.0.254/30Trust 安全域SW ETH1/0/1 SW ETH1/0/2FWAG1.11410.2.0.254/30Trust 安全域ETH0/310.3.0.254/30Trust 安全域BC ETH3ETH0/410.4.0.254/30 Trust 安全域BC ETH4ETH0/510.100.18.1/27IDC SERVER
设备名称接口IP 地址对端设备untrust 安全域10.100.18.2ETH0/6200.1.1.1/28untrust 安全域INTERNETLoopback110.11.0.1/24Trust 安全域Loopback210.12.0.1/24Trust 安全域Loopback310.13.0.1/24Trust 安全域Loopback410.14.0.1/24Trust 安全域路由交换机VLAN 40 ETH1/0/4-8172.16.40.62/26PC2SWVLAN 50 ETH1/0/3172.16.50.62/26PC3VLAN 51 ETH1/0/2310.51.0.254/30BC ETH5VLAN 52 ETH1/0/2410.52.0.254/24WAF ETH3VLAN 113 ETH1/0/1VLAN113 OSPF10.1.0.253/30FW ETH0/1VLAN 114 ETH1/0/2VLAN114 OSPF10.2.0.253/30FW ETH0/2VLAN 117 ETH E1/0/1710.3.0.253/30BC ETH1VLAN 118SW ETH E1/0/1810.4.0.253/30BC ETH2无线控制器ETH1/0/20VLAN 100192.168.100.1/302001::192:1681/112VLAN115 OSPF10.5.0.254/30VLAN116 OSPF10.6.0.254/30AC ETH1/0/20ACETH1/0/20VLAN 100192.168.100.2/302001::192:1682/112VLAN 115 10.5.0.253/30VLAN 116 10.6.0.253/30SW ETH1/0/20VLAN 30 ETH1/0/3172.16.30.62/26PC1无线管理 VLANVLAN 101需配置AP
设备名称接口IP 地址对端设备ETH1/0/21VLAN 10需配置无线 1VLAN 20需配置无线 2网络日志系统BCETH1网桥FWETH3SW ETH E1/0/17ETH2网桥FWETH4SW ETH E1/0/18ETH510.51.0.253/30SW ETH E1/0/23Web 应用防火墙WAFETH310.52.0.253/30SW ETH E1/0/24ETH4堡垒服务器
第一阶段 任务书
任务 1 网络平台搭建50 分
题号网络需求1按照 IP 地址规划表对防火墙的名称、各接口 IP 地址进行配置2按照 IP 地址规划表对三层交换机的名称进行配置创建 VLAN 并将相应接口划入 VLAN, 对各接口 IP 地址进行配置3按照 IP 地址规划表对无线交换机的名称进行配置创建 VLAN 并将相应接口划入 VLAN,对接口 IP 地址进行配置4按照 IP 地址规划表对网络日志系统的名称、各接口 IP 地址进行配置5按照 IP 地址规划表对 Web 应用防火墙的名称、各接口 IP 地址进行配置
任务 2 网络安全设备配置与防护250 分
1.总部交换机SW 配置简单网络管理协议计划启用V3 版本
V3 版本在安全性方面做了极大的扩充。配置引擎号分别为 62001创建认证用户为skills01采用 3des 算法进行加密密钥为skills01哈希算法为SHA密钥为skills01加入组ABC采用最高安全级别配置组的读、写视图分别为2023_R、2023_W当设备有异常时需要使用本地的VLAN100 地址发送Trap 消息至网管服务器10.51.0.203采用最高安全级别。
2.接入SW Eth4仅允许IP 地址 172.16.40.62-80 为源的数据包为合法包以其它IP 地址为源地址交换机直接丢弃。
3.勒索蠕虫病毒席卷全球爆发了堪称史上最大规模的网络攻击通过对总部核心交换机SW 所有业务VLAN 下配置访问控制策略实现双向安全防护。
4.SW 配置IPv6 地址使用相关特性实现VLAN50 的 IPv6 终端可自动从网关处获得IPv6 有状态地址。
5.AC 配置IPv6 地址开启路由公告功能路由器公告的生存期为 2 小时确保VLAN30 的 IPv6 终端可以获得IPv6 无状态地址。
6.AC 与SW 之间配置RIPng使PC1 与PC3 可以通过IPv6 通信。
7.IPv6 业务地址规划如下其它IPv6 地址自行规划
业务IPV6 地址VLAN302001:30::254/64VLAN502001:50::254/64
\8. FW、SW、AC 之间配置OSPF area 0 开启基于链路的MD5认证密钥自定义,传播访问INTERNET 默认路由。
\9. FW 与 SW 建立两对IBGP 邻居关系使用AS 65500FW 上loopback1-4 为模拟AS 65500 中网络为保证数据通信的可靠性和负载完成以下配置要求如下
l SW 通过BGP 到达loopback1,2 网路下一跳为 10.3.0.254
l SW 通过BGP 到达loopback3,4 网络下一跳为 10.4.0.254。
10.FW 与 SW 建立两对IBGP 邻居关系使用AS 65500FW 上loopback1-4 为模拟AS 65500 中网络为保证数据通信的可靠性和负载通过BGP 实现到达loopback1,2,3,4 的网络冗余请完成配置。
11.FW 与 SW 建立两对IBGP 邻居关系使用AS 65500FW 上loopback1-4 为模拟AS 65500 中网络为保证数据通信的可靠性和负载使用IP 前缀列表匹配上述业务数据流请完成配置。
12.FW 与 SW 建立两对IBGP 邻居关系使用AS 65500FW 上loopback1-4 为模拟AS 65500 中网络为保证数据通信的可靠性和负载完成以下配置使用 LP 属性进行业务选路只允许使用 route-map 来改变LP 属性、实现路由控制LP 属性可配置的参数数值为200。
13.配置使总部VLAN50 业务的用户访问IDC SERVER 的数据流经过FW 10.1.0.254, IDC SERVER 返回数据流经过FW 10.2.0.254且对双向数据流开启所有安全防护参数和行为为默认。
14.在端口ethernet1/0/7 上将属于网段 172.16.40.62/26 内的报文带宽限制为 10M 比特/秒突发 4M 字节超过带宽的该网段内的报文一律丢弃。
15.总部VLAN 业务用户通过防火墙访问Internet 时复用公网IP200.1.1.28/28保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址当有流量匹配本地址转换规则时产生日志信息 将匹配的日志发送至 10.51.0.253 的 UDP 2000 端口。
16.为了合理利用网络出口带宽需要对内网用户访问 Internet 进行流量控制园区总出口带宽为 200M对除无线用户以外的用户限制带宽每天上午 9:00 到下午 6:00 每个IP 最大下载速率为 2Mbps上传速率为 1Mbps。
17.配置L2TP VPN名称为VPN满足远程办公用户通过拨号登陆访问内网创建隧道接口为tunnel 1、并加入untrust 安全域地址池名称为AddressPoolLNS 地址池为10.100.253.1/24-10.100.253.100/24网关为最大可用地址认证账号skills01,密码skills01。
18.Internet 端有一分支结构路由器需要在总部防火墙FW 上完成以下预配保证总部与分支机构的安全连接防火墙 FW 与 Internet端路由器 202.5.17.2 建立GRE 隧道并使用IPSec 保护GRE 隧道保证分支结构中 2.2.2.2 与总部VLAN40 安全通信。
19.Vlan30 内的工作人员涉及到商业机密因此在FW 上配置不允许vlan30 内所有用户访问外网。
20.配置出于安全考虑无线用户访问因特网需要采用认证在防火墙上配置 Web 认证采用本地认证用户名为 testtest1test2密码为 123456。
21.已知原AP 管理地址为 10.81.0.0/15为了避免地址浪费请重新规划和配置IP 地址段现无线用户 VLAN 10 中需要 127 个终端无线用户VLAN 20 需要 50 个终端请完成配置。
22.已知原AP 管理地址为 10.81.0.0/15为了避免地址浪费请重新规划和配置IP 地址段要求完成在 AC 上配置DHCP管理 VLAN为 VLAN101,为 AP 下发管理地址网段中第一个可用地址为AP 管理地址最后一个可用地址为 AC 管理地址保证完成 AP 二层注册为无线用户VLAN10,20 下发IP 地址最后一个可用地址为网关。
23.在 NETWORK 下配置SSID需求如下l NETWORK 1 下设置SSID 2023skills-2.4GVLAN10加密模式为wpa-personal,其口令为skills01l NETWORK 20 下设置SSID 2023skills-5GVLAN20 不进行认证加密,做相应配置隐藏该SSID。
24.配置一个SSID 2023skills_IPv6属于VLAN21 用于IPv6 无线测试用户接入无线网络时需要采用基于WPA-personal 加密方式其口令为“skills01”该网络中的用户从AC DHCP 获取IPv6 地址地址范围为2001:10:81::/112。
25.NETWORK 1 开启内置portal本地认证的认证方式账号为GUEST 密码为 123456,保障无线信息的覆盖性无线AP 的发射功率设置为 90%。禁止MAC 地址为 80-45-DD-77-CC-48 的无线终端连接。
\26. 在 AC 上配置使radio 1 的射频类型为IEEE 802.11b/g,并且设置 RTS 的门限值为 256 字节当MPDU 的长度超过该值时802.11 MAC 启动RTS/CTS 交互机制。
27.在 AC 上配置一条基于SSID 时间点时周一 0 点到 6 点的禁止用户接入的策略限时策略。
28.通过配置防止多AP 和 AC 相连时过多的安全认证连接而消耗CPU 资源检测到AP 与AC 在 10 分钟内建立连接 5 次就不再允许继续连接两小时后恢复正常。
29.配置所有无线接入用户相互隔离Network 模式下限制每天 0点到 6 点禁止终端接入开启ARP 抑制功能。
30.在公司总部的BC 上配置设备部署方式为透明模式。增加非admin 账户skills01密码skills01该账户仅用于用户查询设备的日志信息和统计信息要求对内网访问 Internet 全部应用进行日志记录。
31.在公司总部的BC 上配置在工作日每周一到周五上班期间针对所有无线网段访问互联网进行审计如果发现访问互联网的无线用户就断网不限制其他用户在工作日每周一到周五上班期间访问互联网。
32.使用BC 对内网所有上网用户进行上网本地认证要求认证后得用户 3 小时候重新认证并且对HTTP 服务器 172.16.10.45 的80 端口进行免认证。
33.BC 配置应用“即时聊天”在周一至周五 900-2100 监控内网中所有用户的微信账号使用记录并记录数据。
34.在BC 上配置激活NTP本地时区8:00并添加 NTP 服务器名称清华大学域名为s1b.time.edu.cn。
35.BC 配置内容管理对邮件内容包含“比赛答案”字样的邮件记录且邮件报警。
36.在公司总部的 WAF 上配置设备部署方式为透明模式。要求对内网HTTP 服务器 172.16.10.45/32 进行安全防护。
37.方便日志的保存和查看需要在把 WAF 上攻击日志、访问日志、DDoS 日志以JSON 格式发给IP 地址为 172.16.10.200 的日志服务器上。
38.在公司总部的 WAF 上配置编辑防护策略定义 HTTP 请求体的最大长度为 256防止缓冲区溢出攻击。
39.对公司内网用户访问外网进行网页关键字过滤网页内容包含“暴力”“赌博”的禁止访问。
40.为了安全考虑无线用户移动性较强访问因特网时需要实名认证在 BC 上开启web 认证使用http 方式采用本地认证密码账号都为web2023。
