GeekSec著重為安全人員提供網(wǎng)絡安全精華知識集眶掌，并且知識體系中涉及多個網(wǎng)絡安全賽項和實戰(zhàn)項目挡育，包括但不限于：信息安全管理與評估，網(wǎng)絡搭建與應用朴爬，各大CTF賽項即寒，HVV，紅藍對抗等召噩。我們將從賽事帶領大家進入網(wǎng)絡空間安全領域母赵。

全國職業(yè)院校技能大賽
高等職業(yè)教育組

信息安全管理與評估
任務書

模塊一
網(wǎng)絡平臺搭建與設備安全防護

一、比賽時間

本階段比賽時長為180分鐘蚣常。

二市咽、賽項信息

1.png

三、賽項內(nèi)容
本次大賽抵蚊，各位選手需要完成三個階段的任務，每個階段需要按裁判組專門提供的U盤中的“信息安全管理與評估競賽答題卡-模塊X”提交答案。
選手首先需要在U盤的根目錄下建立一個名為“AGWxx”的文件夾（xx用具體的工位號替代）贞绳，請將賽題第一階段所完成的“信息安全管理與評估競賽答題卡-模塊一”答題文檔谷醉，放置在“AGWxx”文件夾中。
例如：08工位冈闭，則需要在U盤根目錄下建立“AGW08”文件夾俱尼，請將第一階段所完成的“信息安全管理與評估競賽答題卡-模塊一”答題文檔，放置在“AGW08”文件夾中萎攒。
【注意事項】只允許在根目錄下的“AGWxx”文件夾中體現(xiàn)一次工位信息遇八，不允許在其他文件夾名稱或文件名稱中再次體現(xiàn)工位信息，否則按作弊處理耍休。

(一)賽項環(huán)境設置
1.網(wǎng)絡拓撲圖

2.png

2.IP地址規(guī)劃表

3.png

4.png

(二)第一階段任務書
任務1：網(wǎng)絡平臺搭建 （50分）

5.png

任務2：網(wǎng)絡安全設備配置與防護（250分）

1.SW和AC開啟telnet登錄功能刃永，telnet登錄賬戶僅包含“ABC4321”，密碼為明文“ABC4321”羊精，采用telnet方式登錄設備時需要輸入enable密碼斯够，密碼設置為明文“12345” 。

2.北京總公司和南京分公司租用了運營商兩條裸光纖喧锦，實現(xiàn)內(nèi)部辦公互通读规。一條裸光纖承載公司財務部門業(yè)務，一條裸光纖承載其他內(nèi)部業(yè)務燃少。使用相關技術實現(xiàn)總公司財務段路由表與公司其它業(yè)務網(wǎng)段路由表隔離束亏，財務業(yè)務位于VPN 實例名稱CW 內(nèi)，總公司財務和分公司財務能夠通信阵具，財務部門總公司和分公司之間采用RIP路由實現(xiàn)互相訪問碍遍。

3.盡可能加大總公司核心和出口BC之間的帶寬。

4.為防止終端產(chǎn)生MAC地址泛洪攻擊怔昨，請配置端口安全雀久，已劃分VLAN41的端口最多學習到5個MAC 地址，發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過趁舀，不影響已有流量并產(chǎn)生LOG 日志赖捌；連接PC1 的接口為專用接口，限定只允許PC1的MAC 地址可以連接矮烹。

5.總公司核心交換機端口ETH 1/0/6上越庇，將屬于網(wǎng)段20.1.41.0內(nèi)的報文帶寬限制為10Mbps，突發(fā)值設為4M字節(jié)奉狈，超過帶寬的該網(wǎng)段內(nèi)的報文一律丟棄卤唉。

6.在SW上配置辦公用戶在上班時間（周一到周五9:00-17:00）禁止訪問外網(wǎng)，內(nèi)部網(wǎng)絡正常訪問仁期。

7.總公司SW交換機模擬因特網(wǎng)交換機桑驱，通過某種技術實現(xiàn)本地路由和因特網(wǎng)路由進行隔離竭恬，因特網(wǎng)路由實例名internet。

8.對SW上VLAN50開啟以下安全機制熬的。業(yè)務內(nèi)部終端相互二層隔離痊硕；14口啟用環(huán)路檢測，環(huán)路檢測的時間間隔為10s押框，發(fā)現(xiàn)環(huán)路以后關閉該端口岔绸，恢復時間為30分鐘，如私設DHCP服務器關閉該端口橡伞，同時開啟防止ARP網(wǎng)關欺騙攻擊盒揉。

9.配置使北京公司內(nèi)網(wǎng)用戶通過總公司出口BC訪問因特網(wǎng)，分公司內(nèi)網(wǎng)用戶通過分公司出口FW訪問因特網(wǎng)兑徘，要求總公司核心交換機9口VLAN41業(yè)務的用戶訪問因特網(wǎng)的流量往反數(shù)據(jù)流經(jīng)過防火墻在通過BC訪問因特網(wǎng)刚盈；防火墻untrust1和trust1開啟安全防護，參數(shù)采用默認參數(shù)道媚。

10.為了防止DOS攻擊的發(fā)生扁掸，在總部交換機VLAN50接口下對MAC、ARP最域、ND表項數(shù)量進行限制谴分，具體要求為：最大可以學習20個動態(tài)MAC地址、20個動態(tài)ARP地址镀脂、50個NEIGHBOR表項牺蹄。

11.總公司和分公司今年進行IPv6試點，要求總公司和分公司銷售部門用戶能夠通過IPv6相互訪問薄翅，IPv6業(yè)務通過租用裸纖承載沙兰。實現(xiàn)分公司和總公司IPv6業(yè)務相互訪問；AC與SW之間配置靜態(tài)路由使VLAN50與VLAN60可以通過IPv6通信翘魄；VLAN40開啟IPv6鼎天，IPv6業(yè)務地址規(guī)劃如下：

業(yè)務 IPv6地址
總公司VLAN50 2001:DA8:50::1/64
分公司VLAN60 2001:DA8:60::1/64

12.在總公司核心交換機SW配置IPv6地址，開啟路由公告功能暑竟，路由器公告的生存期為2小時斋射，確保銷售部門的IPv6終端可以通過DHCP SERVER 獲取IPv6地址，在SW上開啟IPv6 DHCP server功能但荤，IPv6地址范圍2001:da8:50::2-2001:da8:50::100罗岖。

13.在南京分公司上配置IPv6地址，使用相關特性實現(xiàn)銷售部的IPv6終端可自動從網(wǎng)關處獲得IPv6無狀態(tài)地址腹躁。

14.SW與AC桑包，AC與FW之間配置OSPF area 0 開啟基于鏈路的MD5認證，密鑰自定義纺非，傳播訪問Internet默認路由哑了，讓總公司和分公司內(nèi)網(wǎng)用戶能夠相互訪問包含AC上loopback1地址赘方；總公司SW和BC之間運行靜態(tài)路由協(xié)議。

15.分公司銷售部門通過防火墻上的DHCP SERVER獲取IP地址垒手，server IP地址為20.0.0.254蒜焊，地址池范圍20.1.60.10-20.1.60.100倒信，dns-server 8.8.8.8科贬。

16.如果SW的11端口的收包速率超過30000則關閉此端口，恢復時間5分鐘鳖悠，為了更好地提高數(shù)據(jù)轉發(fā)的性能榜掌，SW交換中的數(shù)據(jù)包大小指定為1600字節(jié)。

17.為實現(xiàn)對防火墻的安全管理乘综，在防火墻FW的Trust安全域開啟PING憎账，HTTP，telnet卡辰，SNMP功能胞皱，Untrust安全域開啟SSH、HTTPS功能九妈。SNMP服務器地址：20.10.28.100反砌，團體字：skills。

18.在分部防火墻上配置萌朱，分部VLAN業(yè)務用戶通過防火墻訪問Internet時宴树，復用公網(wǎng)IP:202.22.1.3、202.22.1.4晶疼；保證每一個源IP 產(chǎn)生的所有會話將被映射到同一個固定的IP 地址酒贬，當有流量匹配本地址轉換規(guī)則時產(chǎn)生日志信息，將匹配的日志發(fā)送至20.10.28.10 的UDP 2000 端口翠霍。

19.遠程移動辦公用戶通過專線方式接入分公司網(wǎng)絡锭吨，在防火墻FW上配置，采用SSL方式實現(xiàn)僅允許對內(nèi)網(wǎng)VLAN 61的訪問寒匙，端口號使用4455零如，用戶名密碼均為ABC4321，地址池參見地址表蒋情。

20.分公司部署了一臺Web服務器IP為20.10.28.10埠况，接在防火墻的DMZ區(qū)域為外網(wǎng)用戶提供Web服務，要求內(nèi)網(wǎng)用戶能ping通Web服務器和訪問服務器上的Web服務（端口80）和遠程管理服務器（端口3389）棵癣，外網(wǎng)用戶只能通過防火墻外網(wǎng)地址訪問服務器Web服務辕翰。

21.為了安全考慮，無線用戶移動性較強狈谊，訪問因特網(wǎng)時需要在BC上開啟Web認證喜命，采用本地認證沟沙，密碼賬號都為web4321。

22.由于分公司到因特網(wǎng)鏈路帶寬比較低壁榕，出口只有200Mbps帶寬矛紫，需要在防火墻配置iQoS，系統(tǒng)中 P2P 總的流量不能超過100Mbps牌里，同時限制每用戶最大下載帶寬為2Mbps颊咬，上傳為1Mbps，優(yōu)先保障HTTP應用牡辽，為HTTP預留100Mbps帶寬喳篇。

23.為凈化上網(wǎng)環(huán)境，要求在防火墻FW做相關配置态辛，禁止無線用戶周一至周五工作時間9:00-18:00的郵件內(nèi)容中含有“病毒”“賭博”的內(nèi)容麸澜，且記錄日志。

24.由于總公司無線是通過分公司的無線控制器統(tǒng)一管理奏黑，為了防止專線故障導致無線不能使用炊邦，總公司和分公司使用互聯(lián)網(wǎng)作為總公司無線AP和AC相互訪問的備份鏈路。FW和BC之間通過IPSec技術實現(xiàn)AP管理段與無線AC之間聯(lián)通熟史，具體要求為采用預共享密碼為ABC4321馁害，IKE 階段 1 采用 DH 組 1、3DES 和 MD5 加密方式以故，IKE 階段 2 采用 ESP-3DES蜗细，MD5。

25.總公司用戶怒详，通過BC訪問因特網(wǎng)炉媒，BC采用路由方式，在BC上做相關配置昆烁，讓總公司內(nèi)網(wǎng)用戶（不包含財務）通過BC外網(wǎng)口IP訪問因特網(wǎng)吊骤。

26.在BC上配置PPTP VPN 讓外網(wǎng)用戶能夠通過PPTP VPN訪問總公司SW上內(nèi)網(wǎng)地址，用戶名為test静尼，密碼test23白粉。

27.為了提高分公司出口帶寬，盡可能加大分公司AC和出口FW之間帶寬鼠渺。

28.在BC上配置url過濾策略鸭巴，禁止總公司內(nèi)網(wǎng)用戶在周一到周五的早上8點到晚上18點訪問外網(wǎng)www.skillchina.com。

29.在BC上開啟IPS策略拦盹，對總公司內(nèi)網(wǎng)用戶訪問外網(wǎng)數(shù)據(jù)進行IPS防護鹃祖，保護服務器、客戶端和惡意軟件檢測普舆，檢測到攻擊后進行拒絕并記錄日志恬口。

30.總公司出口帶寬較低校读，總帶寬只有200Mbps，為了防止內(nèi)網(wǎng)用戶使用P2P迅雷下載占用大量帶寬需要限制內(nèi)部員工使用P2P工具下載的流量祖能，最大上下行帶寬都為50Mbps歉秫，以免P2P流量占用太多的出口網(wǎng)絡帶寬，啟用阻斷記錄养铸。

31.通過BC設置總公司用戶在上班時間周一到周五9:00到18:00禁止玩游戲,并啟用阻斷記錄雁芙。

32.限制總公司內(nèi)網(wǎng)用戶訪問因特網(wǎng)Web視頻和即時通信下行最大帶寬為20Mbps，上傳為10Mbps揭厚，啟用阻斷記錄却特。

33.BC上開啟黑名單告警功能，級別為預警狀態(tài)筛圆，并進行郵件告警和記錄日志，發(fā)現(xiàn)CPU使用率大于80%椿浓，內(nèi)存使用大于80%時進行郵件告警并記錄日志太援，級別為嚴重狀態(tài)。發(fā)送郵件地址為123@163.com扳碍，接收郵件為133139123456@163.com提岔。

34.分公司內(nèi)部有一臺網(wǎng)站服務器直連到WAF，地址是20.10.28.10笋敞，端口是8080碱蒙，配置將服務訪問日志、DDOS日志夯巷、攻擊日志信息發(fā)送syslog日志服務器赛惩， IP地址是20.10.28.6，UDP的514端口趁餐。

35.在分公司的WAF上配置喷兼，對會話安全進行防護，開啟Cookie加固和加密后雷。

36.編輯防護策略季惯，規(guī)則名稱為“HTTP協(xié)議”，定義HTTP請求最大長度為1024臀突，防止緩沖區(qū)溢出攻擊勉抓。

37.為防止暴力破解網(wǎng)站服務器，在WAF上配置對應的防護策略進行限速防護候学，名稱為“防暴力破解”藕筋，限速頻率為每秒1次，嚴重級別為高級盒齿，記錄日志念逞；

38.WAF上配置阻止用戶上傳ZIP困食、DOC、JPG翎承、RAR格式文件硕盹，規(guī)則名稱為“阻止文件上傳”。

39.WAF上配置對應防護規(guī)則叨咖，規(guī)則名稱為“HTTP特征防護”瘩例，要求對SQL注入、跨站腳本攻擊XSS甸各、信息泄露垛贤、防爬蟲、惡意攻擊等進行防護趣倾，一經(jīng)發(fā)現(xiàn)立即阻斷并發(fā)送郵件報警及記錄日志聘惦。

40.WAF上配置對“www.skillchina.com”，開啟弱密碼檢測儒恋，名稱配置為“弱密碼檢測”善绎。

41.WAF上配置防跨站防護功能，規(guī)則名稱為“防跨站防護”保護“www.skillchina.com”不受攻擊诫尽，處理動作設置為阻斷禀酱，請求方法為GET、POST方式牧嫉。

42.由于公司IP地址為統(tǒng)一規(guī)劃剂跟，原有無線網(wǎng)段IP地址為 172.16.0.0/22,為了避免地址浪費需要對IP地址進行重新分配；要求如下：未來公司預計部署AP50臺酣藻；辦公無線用戶VLAN10預計300人曹洽，來賓用戶VLAN20預計不超過30人。

43.AC 上配置DHCP臊恋，管理VLAN 為VLAN100衣洁，為AP下發(fā)管理地址，網(wǎng)段中第一個可用地址為AP 管理地址抖仅，最后一個可用地址為網(wǎng)關地址坊夫，AP通過DHCP opion 43注冊，AC地址為loopback1地址撤卢；為無線用戶VLAN10环凿、20下發(fā)IP 地址，最后一個可用地址為網(wǎng)關放吩。

44.在NETWORK下配置SSID智听，需求如下：NETWORK 1下設置SSID ABC4321，VLAN10，加密模式為wpa-personal,其口令為43214321到推。

45.NETWORK 2下設置SSID GUEST考赛，VLAN20不進行認證加密,做相應配置隱藏該SSID。

46.NETWORK 2開啟內(nèi)置portal+本地認證的認證方式莉测，賬號為test密碼為test4321颜骤。

47.配置SSID GUEST每天早上0點到6點禁止終端接入; GUSET最多接入10個用戶，并對GUEST網(wǎng)絡進行流控捣卤，上行1Mbps忍抽，下行2Mbps；配置所有無線接入用戶相互隔離董朝。

48.配置當AP上線鸠项，如果AC中儲存的Image版本和AP的Image版本號不同時，會觸發(fā)AP自動升級子姜；配置AP發(fā)送向無線終端表明AP存在的幀時間間隔為2秒祟绊；配置AP失敗狀態(tài)超時時間及探測到的客戶端狀態(tài)超時時間都為2小時。

49.為了提高wifi用戶體驗感闲询，拒絕弱信號終端接入久免，設置閾值低于50的終端接入無線信號；為防止非法AP假冒合法SSID扭弧，開啟AP威脅檢測功能。

50.通過配置防止多AP和AC相連時過多的安全認證連接而消耗CPU資源记舆，檢測到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼續(xù)連接鸽捻，兩小時后恢復正常。