2022 年至 2023 年广东省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
一、 第一阶段竞赛项目试题
本文件为信息安全管理与评估项目竞赛第一阶段试题,第一阶段内容包
括:网络平台搭建、网络安全设备配置与防护。
本阶段比赛时间为 180 分钟。
极安云科专注技能竞赛,包含网络建设与运维和信息安全管理与评估两大赛项,及各大CTF,基于两大赛项提供全面的系统性培训,拥有完整的培训体系。团队拥有国赛选手、大厂在职专家等专业人才担任讲师,培训效果显著,通过培训帮助各大院校备赛学生取得各省 国家级奖项,获各大院校一致好评。
竞赛相关资源资料可在 Geek极安云科 公Z号获得
二、 介绍
| 竞赛阶段 | 任务阶段 | 竞赛任务 |
|---|---|---|
| 第一阶段 平台搭建与安全设备配置 防护 | 任务 1 | 网络平台搭建 |
| 第一阶段 平台搭建与安全设备配置 防护 | 任务 2 | 网络安全设备配置与防护 |
三、 赛项内容
本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的 U 盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。选手首先需要在 U 盘的根目录下建立一个名为“GZxx”的文件夹(xx 用具体的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。例如:08 工位,则需要在 U 盘根目录下建立“GZ08”文件夹,并在“GZ08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明:只允许在根目录下的“GZxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一)赛项环境设置
赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP 地址规划表、
设备初始化信息。
1. 网络拓扑图
2. IP 地址规划表
3. 设备初始化信息表
| 设备类 型 | 设备型号 | 登录端 口 | 登录方式 | 账号 | 密码 |
|---|---|---|---|---|---|
| 防火墙 | DCFW-1800E-N3002-PRO | E0/0 | https://192.168.1.1 | admin | admin |
| 三层交 换机 | CS6200-28X- PRO | CONSOLE | 波特率 9600 | admin | admin |
| WEB 防 火墙 | DCFW-1800- WAF-P | GE0 | https://192.168.254.1 | admin | yunke1234! |
| 网络日 志系统 | DCBC-NETLOG | GE0 | https://192.168.0.1:9090 | admin | Admin*PWD |
| 三层无 线交换 机 | DCWS-6028- PRO | CONSOLE | 波特率 9600 | admin | admin |
| 无线发 射器 | WL8200-I3 | E0/1 | http://192.168.1.10 | admin | admin |
| 信息安全实训平台 | DCST-6000B- PRO | ETH0 | http://192.168.1.100 | adpadmin | adp@admin |
(二)第一阶段任务书(300 分)
任务 1:网络平台搭建(60 分)
| 题号 | 网络需求 |
|---|---|
| 1 | 根据网络拓扑图所示,按照 IP 地址参数表,对 DCFW 的名称、各接口 IP 地址进行配置。(8 分) |
| 2 | 根据网络拓扑图所示,按照 IP 地址参数表,对 DCRS 的名称进行配置, 创建 VLAN 并将相应接口划入 VLAN。(10 分) |
| 3 | 根据网络拓扑图所示,按照 IP 地址参数表,对 DCRS 各接口 IP 地址进 行配置。(10 分) |
| 4 | 根据网络拓扑图所示,按照 IP 地址参数表,对 DCWS 的各接口 IP 地址 进行配置。(8 分) |
| 5 | 根据网络拓扑图所示,按照 IP 地址参数表,对 DCBC 的名称、各接口 IP 地址进行配置。(8 分) |
| 6 | 根据网络拓扑图所示,按照 IP 地址参数表,对 WAF 的名称、各接口 IP 地址进行配置。(8 分) |
| 7 | 配置通过配置路由协议 ospf 实现全网网络连通,到因特网流量采用默 认路由。(8 分) |
任务 2:网络安全设备配置与防护(240 分)
1. DCRS 开启 telnet 登录功能, 用户名 dcn01, 密码 dcn01, 配置使 用 telnet 方 式 登 录 终 端 界 面 前 显 示 如 下 授权 信 息 :“WARNING!!!Authorised access only, all of your done willbe recorded!Disconnected IMMEDIATELY if you are not anauthorised user!Otherwise, we retain the right to pursue thelegal responsibility”。(4 分)
2. 尽可能加大总部核心交换机 DCRS 与防火墙 DCFW 之间的带宽。(8分)
3. VLAN10、vlan20 用户采用动态获取 IP 地址方式,DHCP 服务器在 DCWS 上配置,前 5 个 IP 地址为保留地址,DNS server 为 8.8.8.8,地址租约时间为 1 天。(8分)
4. 配置公司总部的 DCRS,通过 ARP Guard 来抵御来自 VLAN40 接口的针对网关的 ARP 欺骗攻击。(4 分)
5. 在公司总部的 DCRS 上配置端口环路检测(Loopback Detection),防止来自 vlan40 接口下的单端口环路,并配置存在环路时的 检测时间间隔为 30 秒,不存在环路时的检测时间间隔为 10 秒。(8分)
6. DCFW、DCRS、DCWS 之间配置 OSPF area 0 开启基于链路的 MD5 认证,密钥自定义,传播访问 INTERNET 默认路由;(16 分)
7. DCRS 上配置,VLAN40 的成员接口开启广播风暴抑制功能,参数设置为 2000pps。(4 分)
8. 总部部署了一套网管系统实现对 DCRS 交换机进行管理,网管系统 IP 为: 172.16.100.21,读团体值为: DCNTRAP,版本为 V2C,交换机 DCRS Trap 信息实时上报网管,当 MAC 地址发生变化时,也要立即通知网管发生的变化,每 35s 发送一次。(12 分)
9. 总部 VLAN 业务用户通过防火墙访问 Internet 时,轮询复用公网IP:113.111.180.5、113.111.180.6。(8 分)
10.DCFW 配置 SSL VPN,名称为 VPNSSL,分部 PC3 通过端口 8866 连接,本地认证账号 DCNSSL,密码 DCN1234 拨入,地址池范围为192.168.10.100/24-192.168.10.150/24。(8 分)
竞赛相关资源资料可在 Geek极安云科 公Z号获得
11.为净化上网环境,要求在防火墙 DCFW 做相关配置,禁止无线用户周一至周五工作时间 9:00-18:00 的邮件内容中含有“病毒”、“赌博”的内容,且记录日志。(8 分)
12.出于安全考虑,无线用户移动性较强,无线用户访问 INTERNET 时需要采用认证,在防火墙上开启 WEB 认证,账号密码为 DCNWEB。(6 分)
13.DCFW 上配置 NAT 功能,使 PC3 能够通过 WEB 方式正常管理到AC,端口号使用 6666;)合理配置安全策略。(10 分)
14.为了保证带宽的合理使用, 通过流量管理功能将引流组应用数据流,上行最小带宽设置为 2M,下行最大带宽设置为 4M。(8 分)
15.配置防火墙 Web 外发信息控制策略,总部禁止内网无线用户到所有网站的 Web 外发信息控制;内网有线用户到外网网站 Web 外发信息控制,禁止外发关键字“攻击”“病毒”, 信任值为 1,并记录相关日志。(8 分)
16.无线控制器 DCWS 上配置管理 VLAN 为 VLAN101, AP 的管理地址为 172.16.10.2,配置 AP 二层手工注册并启用序列号认证。(8 分)
17.在 NETWORK 1、 2 下配置 SSID,需求如下:
1、设置 SSID DCNWiFi, VLAN10,加密模式为 wpa-personal,其口令为 12345678。
2、设置 SSID GUEST, VLAN20 不进行认证加密,做相应配置隐藏该 SSID。(12 分)
18.在 DCWS 上配置,开启 802.11 关联请求帧泛洪攻击,用户发送802.11 关联请求帧的检测时间为 4 分钟,关联请求帧的阈值为1000。(8 分)
19.配置 SSID GUEST 每天早上 0 点到 7 点禁止终端接入; GUSET最多接入 50 个用户,并对 GUEST 网络进行流控,上行 1M,下行 2M;配置所有无线接入用户相互隔离。(8 分)
20.为防止外部人员蹭网,现需在设置信号值低于 50%的终端禁止连接无线信号;为防止非法 AP 假冒合法 SSID,开启该检测功能。(8 分)
21.通过设置实现在 AC 断开网络连接时 AP 还能正常工作。(4 分)
22.在 DCBC 上配置,增加非 admin 账户 DCBC123,密码 TEST@123,该账户仅用于用户查询设备的日志信息和统计信息。 (8 分)
23.在 DCBC 上配置,使 DCBC 能够通过邮件方式发送告警信息,邮件服务器在服务器区, 邮件服务器地址为 smtp.163.com,端口号25, 发件人为 test@163.com,用户为 test,密码 test,收件人为 dcn@163.com。(8 分)
24.在 DCBC 上配置,将 DCBC 的命令日志、事件日志、用户日志、黑名单日志信息发送到日志服务器,日志服务器 IP:172.16.10.45。(12 分)
25.在 DCBC 上配置未通过认证的用户不可以访问 DNS 和 Ping 服务。(4 分)
26.在 WAF 上配置,设备部署方式为透明模式。要求对内网 HTTP 服务器 172.16.10.45/32 进行安全防护。(8 分)
27.在 WAF 上配置,防止暴力破解获取 www.test.com 网站的用户口令,通过限速的方法限速频率为 2 次每秒触发邮件告警告警并阻断。(8 分)
28.在 WAF 上配置告警设置,当触发 HTTP 协议效验规则和防盗链规则攻击触发条件时发送邮件及短信给管理员,管理员邮件告警信息 SMTP 服务器为 172.16.10.45,端口号为 25,接收者为 test,主题为攻击触发;管理员短信告警信息接受者电话13812345678,30 分钟发送一次告警,网关地址http://172.16.10.45,请求参数:${MESSAGE}。(10 分)
29.在公司总部的 WAF 上配置,WAF 设备的日志使用空间超过 75%每隔 1 分钟进行一次弹幕弹窗,当 DDoS 日志条数上限超过 500000系统会自动清理前 10%的日志。(8 分)
30.在 WAF 上配置,每天九点定时对公司网站(www.test.com)进行安全评估,扫描深度为 1。(6 分)
