信息安全管理與評(píng)估技能大賽第一階段真題解析

任務(wù)1∶SQL注入攻防（55分)

DCRS ：交換機(jī)
DCFW：防火墻
DCFS ：流控
NETLOG：日志服務(wù)器

RIP v2

vlan2
192.168.253.28/27
vlan10
192.168.1.254/24
vlan20
192.168.254.120/25
vlan30
192.168.255.118/25
vlan110
192.168.249.100/25

DCRS#config
DCRS (config)#router rip
DCRs (config-router) #version 2
DCRs (config-router) #network 192.168.253.28/32   /vlan2   這里子網(wǎng)可以全部都填/32位
DCRs (config-router) #network 192.168.1.254/32    /vlan10
DCRs (config-router) #network 192.168.254.120/32  /vlan20
DCRs (config-router) #network 192.168.255.118/32  /vlan30
DCRS (config-router) #network 192.168.249.100/32  /vlan110

DCRS#config
DCRS (config) #router rip
DCRS (config-router) #network 192.168.253.5/29      /vlan2   也可以按照地址表明確的掩碼來(lái)發(fā)布
DCRS (config-router) #network 192.168.252.254/24    /vlan10
DCRS (config-router) #network 192.168.255.242/23    /vlan20
DCRS (config-router) #network 192.168.3.29/27       /vlan30
DCRS (config-router) #network 192.168.2.200/24      /vlan110

第一階段∶任務(wù)二

1.在公司總部的DCFW上配置咖熟，連接互聯(lián)網(wǎng)的接口屬于WAN安全域、連接內(nèi)網(wǎng)的接口屬于LAN安全域咽斧。(6分)

有些配置可以在命令行做，而有些設(shè)備可以在web界面配置宛逗，
防火墻可以設(shè)置接口安全域?yàn)閃AN雷激，或者為L(zhǎng)AN。

2.在公司總部的 DCFW上配置，開(kāi)啟DCFW針對(duì)以下攻擊的防護(hù)功能∶ICMP洪水攻擊防護(hù)挤巡、UDP洪水攻擊防護(hù)、SYN洪水攻擊防護(hù)母廷、WinNuke攻擊防護(hù)、IP地址欺騙攻擊防護(hù)、IP地址掃描攻擊防護(hù)勤讽、端口掃描防護(hù)、Ping of Death攻擊防護(hù)诸狭、Teardrop 攻擊防護(hù)、IP分片防護(hù)、IP選項(xiàng)陡叠、Smurf或者Fraggle攻擊防護(hù)、Land攻擊防護(hù)岭妖、ICMP 大包攻擊防護(hù)、TCP選項(xiàng)異常、DNS查詢(xún)洪水攻擊防護(hù)淳蔼、DNS 遞歸音詢(xún)洪水攻擊防護(hù)讳癌。(6分)

把LAN域和WAN域的攻擊防護(hù)全部開(kāi)啟，行為選擇為丟棄骤菠。

3.在公司總部的 DCFW上新增2個(gè)用戶，用戶1(用戶名:User1 ;密碼:User.1 ) :只擁有配置查看權(quán)限不能進(jìn)行任何的配置添加與修改刪除。用戶2(用戶名:User2 ;密碼:User.2 ) :擁有所有的查看權(quán)限，擁有除“用戶升級(jí)却桶、應(yīng)用特征庫(kù)升級(jí)、重啟設(shè)備嘁扼、配置日志”模塊以外的所有模塊的配置添加與修改，刪除權(quán)限。(6分)

User1只擁有配置查看權(quán)限不能進(jìn)行任何的配置添加與修改刪除
User2擁有所有的查看權(quán)限访娶，擁有除“用戶升級(jí)秘车、應(yīng)用特征庫(kù)升級(jí)、重啟設(shè)備、配置日志”模塊以外的所有模塊的配置添加與修改，刪除權(quán)限

4.在公司總部的 DCFW上配置,內(nèi)網(wǎng)可以訪問(wèn)互聯(lián)網(wǎng)任何服務(wù)糯耍，互聯(lián)網(wǎng)不可以訪問(wèn)內(nèi)網(wǎng)革为。(6分)

配置策略，trust---untrust

5.在公司總部的DCFW上配置網(wǎng)頁(yè)內(nèi)容過(guò)濾∶內(nèi)網(wǎng)用戶不能訪問(wèn)互聯(lián)網(wǎng)網(wǎng)站︰www.tudou.com ; (6分)

網(wǎng)頁(yè)內(nèi)容過(guò)濾中添加黑名單"www.tudou.com"，只運(yùn)行域名訪問(wèn)開(kāi)啟迂猴，
在規(guī)則集中做配置，

6.在公司總部的DCFW上配置，使公司總部的 DCST服務(wù)器可以通過(guò)互聯(lián)網(wǎng)被訪問(wèn)掷倔，從互聯(lián)網(wǎng)訪問(wèn)的地址是公網(wǎng)地址的第三個(gè)可用地址(公網(wǎng)IP地址段參考“賽場(chǎng)IP參數(shù)表”)，且僅允許PC-2通過(guò)互聯(lián)網(wǎng)訪問(wèn)DCST設(shè)備死遭。(6分)

反向NAT,就是我們的服務(wù)器可以通過(guò)公網(wǎng)去訪問(wèn)，以為服務(wù)器本身是一個(gè)私有地址，不能直接訪問(wèn)谐鼎，但是可以把他映射到一個(gè)公網(wǎng)地址上味悄，然后外網(wǎng)的人就可以訪問(wèn)那個(gè)公網(wǎng)地址就可以映射到內(nèi)部的私有網(wǎng)絡(luò)去唐片。

創(chuàng)建三個(gè)地址簿
公網(wǎng)的第三個(gè)地址202.100.1.3
PC2的地址202.100.1.28
DCST的地址192.168.252.100

NAT---->端口映射下：
新建高級(jí)配置
源地址：PC2 ---->
目的地址：Internet ---->
行為：NAT ---->
映射到DCST ---->
模式：IP地址映射

7.在公司總部的 DCFW上配置咐低，使內(nèi)網(wǎng)所有用戶網(wǎng)段和服務(wù)器區(qū)網(wǎng)段都可以通過(guò)DCFW外網(wǎng)接口IP地址訪問(wèn)互聯(lián)網(wǎng)钉汗。(6分)

正向NAT，內(nèi)網(wǎng)所以機(jī)器都通過(guò)FW去訪問(wèn)internet

為所有內(nèi)網(wǎng)用戶創(chuàng)建地址簿

NAT---->NAT：
新建高級(jí)配置---一定是高級(jí)配置，因?yàn)樗且粋€(gè)多對(duì)一的情況伟墙。

源地址：User_Segment ---->
目的地址：any ---->
出接口：eth1 ---->
行為：NAT ---->
NET地址：地址簿 ---->
地址簿：OutSide_IP ---->
模式：動(dòng)態(tài)端口

8.為了保證正常工作汉匙，在公司總部的DCFW上配置:對(duì)于上班時(shí)間( 8∶00-17∶00 )公司總部?jī)?nèi)網(wǎng)瀏覽Internet網(wǎng)頁(yè)戏自，連接總數(shù)不超過(guò)2000 ; (6分)

時(shí)間限制：(8:00-17:00)
會(huì)話限制：不超過(guò)2000

基于安全域的會(huì)話限制见芹，參數(shù)如下
安全域 : LAN
源目IP : Any
應(yīng)用 : HTTP
時(shí)間表 : 調(diào)用上一步配置的時(shí)間表
類(lèi)型 : 會(huì)話數(shù)2000

9.在公司總部的 DCFW上配置和二，使內(nèi)網(wǎng)訪問(wèn)Internet網(wǎng)站時(shí)惕它，不允許訪問(wèn)MSI(.msi)、EXE(.exe)、COM(.com)、(.bat)類(lèi)型的文件缸废。(6分)

1.規(guī)則集要開(kāi)啟文件類(lèi)型過(guò)濾
2.網(wǎng)頁(yè)內(nèi)容過(guò)濾中設(shè)置文件類(lèi)型過(guò)濾選項(xiàng)

10.在公司總部的DCFW 上配置，使內(nèi)網(wǎng)向Internet發(fā)送郵件，或者從Internet接收郵件時(shí)，不允許郵件攜帶附件大于50MB四苇。(6分)

1.規(guī)則集要開(kāi)啟郵件過(guò)濾
2.郵件過(guò)濾中設(shè)置

11.在公司總部的 DCFW上啟用L2TP VPN瓣赂，使分支機(jī)構(gòu)通過(guò)L2TP VPN撥入公司總部，訪問(wèn)內(nèi)網(wǎng)的所有信息資源碉钠。L2TP VPN地址池x.x.x.x/x(具體IP地址參考“賽場(chǎng)P參數(shù)表”)栗弟。(6分)

涉及的知識(shí)點(diǎn)∶
組建L2TP網(wǎng)絡(luò)需要的三要素:LNS颓屑、LAC 和 Client罗侯。
綁定IP為出網(wǎng)口IP
地址池 192.168.251.2-192.168.251.62 纫塌，本網(wǎng)段第一個(gè)可用地址作為L(zhǎng)2TP VPN本地地址

為L(zhǎng)2TP創(chuàng)建用戶
用戶名：l2tpuser
密碼：l2tpuser

添加完后，有用戶撥號(hào)訪問(wèn)就會(huì)在撥入列表中顯示。

創(chuàng)建完后到ncpa.cpl中設(shè)置VPN連接的屬性

設(shè)置完成后再連接

抓包

12.在公司總部的 DCFW上啟用SSL VPN酵使，使分支機(jī)構(gòu)通過(guò)SSL VPN撥入公司總部，訪問(wèn)內(nèi)網(wǎng)的所有信息資源瞧哟。SSL VPN地址池x.x.x.x/x (具體P地址參考“賽場(chǎng)IP參數(shù)表”)咧党。(6分)

新建SSL VPN
地址為內(nèi)網(wǎng)地址

私網(wǎng)地址段192.168.0.0/16

新建用戶ssluser负蠕，密碼ssluser

資源關(guān)聯(lián)
把用戶與SSL VPN做對(duì)應(yīng)

創(chuàng)建SSL VPN 的實(shí)例

地址池 192.168.249.2-192.168.249.62 本網(wǎng)段第一個(gè)可用地址 SSL VPN 地址池

此SSL VPN端口是登陸時(shí)交互數(shù)據(jù)訪問(wèn)的端口

此端口是下載客戶端要訪問(wèn)的端口

到此就SSL VPN就創(chuàng)建完了芭概，
接下來(lái)驗(yàn)證：

PC2先測(cè)試通信

下載文黎，安裝鸽粉，運(yùn)行

此地址是從地址池中獲取到的第一個(gè)地址

還要查看有木有反向注入的路由

SSL VPN資源實(shí)際上就是一條路由信息，然后撥號(hào)上來(lái)的用戶偏友，這條路由信息就會(huì)注入給他蔬胯。然后用戶就用這條路由來(lái)訪問(wèn)我們內(nèi)網(wǎng)。

所以他現(xiàn)在是可以ping同內(nèi)網(wǎng)的地址

但是現(xiàn)在抓包得到的數(shù)據(jù)是被加密過(guò)的位他。

13.在PC2運(yùn)行Wireshark分別對(duì)L2TP VPN和SSLVPN訪問(wèn)內(nèi)網(wǎng)的流量進(jìn)行捕獲氛濒，并對(duì)以上兩種流量進(jìn)行對(duì)比分析區(qū)別。(6分)

l2tp抓包的數(shù)據(jù)是可以看到是ICMP數(shù)據(jù)舞竿，是明文流量

SSL VPN抓包的數(shù)據(jù)可以看到是亂碼，是加密流量

所以使用SSL VPN對(duì)于信息安全更加有保障窿冯。

14.在公司總部的DCFS上配置骗奖，使其連接DCFW防火墻和DCR S交換機(jī)之間的接口實(shí)現(xiàn)二層互通。(6分)

設(shè)置成同一個(gè)網(wǎng)橋醒串，就實(shí)現(xiàn)了二層互通执桌，就相當(dāng)于在同一個(gè)交換機(jī)上

知識(shí)點(diǎn)∶
橋接( Bridging)，是指依據(jù)OSI網(wǎng)絡(luò)模型的鏈路層的地址芜赌，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的過(guò)程仰挣，工作在OSI的第二層。一般的交換機(jī)缠沈，網(wǎng)橋就有橋接作用膘壶。

15.在公司總部的 DCFS上配置违柏，使 DCFS能夠?qū)τ晒緝?nèi)網(wǎng)發(fā)起至Internet的流量實(shí)現(xiàn)以下操作:會(huì)話保持、應(yīng)用分析香椎、主機(jī)統(tǒng)計(jì)漱竖、會(huì)話限制、會(huì)話日志畜伐。(6分)

修改接口網(wǎng)絡(luò)區(qū)域
一個(gè)內(nèi)網(wǎng)馍惹，一個(gè)外網(wǎng)

16.在公司總部的DCFS上配置，使工作日內(nèi)(每周一至周五）玛界，阻止PC-1訪問(wèn)迅雷相關(guān)應(yīng)用万矾，并返回TCP Reset數(shù)據(jù)包。(6分)

創(chuàng)建時(shí)間規(guī)則
再創(chuàng)建控制策略（應(yīng)用策略）時(shí)間和（動(dòng)作）

定義應(yīng)用訪問(wèn)控制控制策略∶
名稱(chēng):任意
操作∶攔截
攔截返回:RST
接口:內(nèi)網(wǎng)->外網(wǎng)
時(shí)間:調(diào)用上一步創(chuàng)建的時(shí)間表
高級(jí)∶規(guī)則生效

17.在公司總部的DCFS上配置慎框，實(shí)現(xiàn)公司內(nèi)網(wǎng)每用戶訪問(wèn)Internet帶寬上限為 1Mbps ,全部用戶訪問(wèn)Internet帶寬上限為100Mbps良狈。(6分)

策略控制->帶寬通道管理->

策略控制->帶寬通道策略->

服務(wù)∶定義為“服務(wù)不包含對(duì)象”，并且定義為無(wú)任何類(lèi)型的服務(wù)

18.在題目15條件的基礎(chǔ)之上笨枯，繼續(xù)在在公司總部的DCFS上配置薪丁，實(shí)現(xiàn)公司內(nèi)網(wǎng)每用戶訪問(wèn)Internet的FTP 服務(wù)帶寬上限為512Kbps，全部用戶訪問(wèn)Internet的FTP服務(wù)帶寬上限為20Mbps馅精。(6分)

策略控制->帶寬通道策略->

19.在公司總部的 DCBI 上配署严嗜，設(shè)備部署方式為旁路模式，并配置監(jiān)控接口洲敢。（6分)

20. 在公司總部的 DCRS交換機(jī)上配詈SPAN漫玄，使內(nèi)網(wǎng)經(jīng)過(guò) DCRS 交換機(jī)的全部流量均交由DCBI分析。(6分)

得分要點(diǎn):
DCRS 交換機(jī) SPAN配置:
源端口:除了連接 Netlog 的全部接口
目的接口:連接Netlog的接口
源压彭、目的: Session ID 一致

DCRS-5650 (config) #
monitor session 1 source interface ethernet 1/0/4;1/0/5;1/0/9;1/0/15;1/0/16;1/0/17;1/0/18  rx
/要鏡像的源接口 發(fā)送流量
moritor session 1 source interface ethernet 1/0/4;1/0/5;1/0/9;1/0/15;1/0/16;1/0/17;1/0/18  tx
/要鏡像的源接口 接收流量
monitor session 1 destination interface ethernet 1/0/6    
/再把鏡像的流量發(fā)送到DCBI的接口睦优，發(fā)給他讓他分析去。

21.在公司總部的 DCBT上配善壮不，監(jiān)控內(nèi)網(wǎng)所有用戶的即時(shí)聊天記錄汗盘。(6分)

規(guī)則配置

22.在公司總部的DCBT上配苦，監(jiān)控內(nèi)網(wǎng)所有用戶的網(wǎng)站訪問(wèn)記錄忆畅。(6分)

同樣規(guī)則配置

23.在公司總部的DCRS交換機(jī)上運(yùn)行SSH 服務(wù)衡未，客戶端PC1運(yùn)行支持SSH2.0標(biāo)準(zhǔn)的客戶端軟件如Secure Shell Client或 Putty ,使用用戶名和密碼方式登錄交換機(jī)尸执。(6分)

Secure Shell

DCRS交換機(jī)配置截圖包含:
創(chuàng)建vlan20
van 20
Interface Ethernet1/0/9
switchport access vlan 20
lnterface Vlan20
ip address 192.168.255.242 255.255.254.0

啟用ssh,并為ssh創(chuàng)建一個(gè)用戶
ssh-server enable
username sshuser privilege 15 password 0 sshuser
(為SSH 新建用戶家凯、privilege 15)

接下來(lái)pc就可以通過(guò)putty軟件進(jìn)行ssh連接交換機(jī)進(jìn)行配置

24.在公司總部的DCRS交換機(jī)上啟動(dòng)SSL功能客戶端PC1通過(guò)瀏覽器客戶端通過(guò) https 登錄交換機(jī)時(shí)，交換機(jī)和瀏覽器客戶端進(jìn)行SSL握手連接,形成安全的SSL連接通道如失，從而保證通信的私密性绊诲。(6分)

DCRS交換機(jī)配置包含:
ip http secure-server
username ssluser privilege 15 password 0 ssluser
(為SSL新建的用戶, privilege 15 ) 
接下來(lái)就可以通過(guò)瀏覽器地址欄進(jìn)行訪問(wèn)https:/ /交換機(jī)地址

25.在公司總部的 DCRS上配置除內(nèi)網(wǎng)P地址段的 RFC3330過(guò)濾來(lái)限制源P欺騙攻擊。(6分)

DCRS交換機(jī)配詈包含:
firewall enable    開(kāi)啟交換機(jī)防火墻功能
ip access-list standard XXX(任意)
deny 0.0.0.0      0.255.255.255
deny 10.0.0.0     0.255.255.255
deny 14.0.0.0     0.255.255.255
deny 24.0.0.0     0.255.255.2554
deny 39.0.0.0     0.255.255.2554
deny 127.0.0.0    0.255.255.2554
deny 128.0.0.0    0.0.255.255
deny 169.254.0.0  0.0.255.255
deny 172.16.0.0   0.15.255.255
deny 191.255.0.0  0.0.255.255e
deny 192.0.0.0    0.0.0.25541
deny 192.0.2.0    0.0.0.255
deny 192.88.99.0  0.0.0.255

這個(gè)是內(nèi)網(wǎng)要用的網(wǎng)段要排除出去
deny 192.168.0.0  0.0.255.255
//

deny 198.18.0.0   0.1.255.255
deny 223.255.255.0 0.0.0.255
deny 224.0.0.0    15.255.255.255
deny 240.0.0.0    15.255.255.255
permit any-source
exit

應(yīng)用到接口使其生效

Interface Ethernet 1/0/5
ip access-group XXX(與上一步ACL名稱(chēng)一致）in
連接DCFS 的接口應(yīng)用該列表

26.在公司總部的DCRS 上配置褪贵，VLAN110用戶可通過(guò) DHCP的方式獲得P地址掂之，在交換機(jī)上配置 DHCP Server抗俄，地址池名稱(chēng)為 pool110,DNS地址為202.106.0.20，租期為8天VLAN110網(wǎng)段最后20個(gè)可用地址 (DHCP 地址段參考“賽場(chǎng)IP參數(shù)表”)不能被動(dòng)態(tài)分配出去世舰。(6分)

DCRS交換機(jī)配置包含:
service dhcp   #開(kāi)啟dhcp
ip dhcp excluded-address 192.168.2.181 192.1682.200 #排除最后20個(gè)可用地址
(該段IP需要匹配參數(shù)表中 DCRS 地址池中后20個(gè)IP地址)
ip dhcp pool pool110  #創(chuàng)建pool110的地址池
network-address 192.168.2.0 255.255.255.0  #分配地址范圍
lease 8 0 0   #租期8天
default-router 192.168.2.200   #網(wǎng)關(guān)
dns-server 202.106.0.20   #dns

給vlan110也要配置ip地址
lnterface Vlan110
ip address 192.168.2.200 255.255.255.0

27.配置公司總部的 DCRS动雹，防止來(lái)自VLAN110接口的DHCP地址池耗盡攻擊。（6分）

DHCP Starvation 攻擊原理:
DHCP Starvation 是用虛假的 MAC地址廣播DHCP請(qǐng)求跟压。用諸如Yersinia這樣的軟件可以很容易做到這點(diǎn)胰蝠。
如果發(fā)送了大量的請(qǐng)求，攻擊者可以在一定時(shí)間內(nèi)耗盡 DHCP Servers可提供的地址空間震蒋。
這種簡(jiǎn)單的資源耗盡式攻擊類(lèi)似于SYN flood茸塞。
接著，攻擊者可以在他的系統(tǒng)上仿冒一個(gè) DHCP 服務(wù)器來(lái)響應(yīng)網(wǎng)絡(luò)上其他客戶的 DHCP 請(qǐng)求查剖。
DHCP Snooping工作原理:
當(dāng)交換機(jī)開(kāi)償了DHCP Srooping后,會(huì)對(duì) DHCP 報(bào)文進(jìn)行偵聽(tīng)钾虐，井可以從接收到的DHCP Request或 DHCP Ack報(bào)文中提取并記錄IP地址和 MAC地址信息。
另外笋庄，DHCP-Snooping 光許將基個(gè)物理端口設(shè)善為信任端國(guó)或不信任端畫(huà)效扫。
信任端口可以正常接收并轉(zhuǎn)發(fā) DHCP Offer 報(bào)文，而不信任端口全將接收到的DHCP Offer:報(bào)文器棄直砂。
這樣可以完成交換機(jī)對(duì)假冒:DHCP Server 的屏蔽作用荡短，確保客戶端從合法的DHCP Server獲取P地址哆键。

配置

啟用 DHCP Snooping
Switch ( config ) #ip dhcp snooping enable
2掘托、定義啟用 DHCP Snooping的 VLAN
Switch ( config 1 #ip dhcp snooping vlan110
3、在連接 DHCP客戶機(jī)的接口限制 DHCP Discovery數(shù)據(jù)包的發(fā)送速度,防止DHCP Starvation 攻擊
Switch ( config ) #ip dhcp snooping limit rate <rate>
Switch ( config ) #ip dhcp snooping limit rate 5 #大于5后這個(gè)接口就回被shutdown
4交換機(jī)啟用DHCP Snoqping之后,
所有的接口默認(rèn)不能接收DHCP Offer籍嘹、 DHCP Ack數(shù)據(jù)包,
為了能使連接正常 DHCP服務(wù)器的接口收到DHCP Offer,DHCP Ack數(shù)據(jù)包,
需要將交換機(jī)連接正常DHCP 服務(wù)器的接口設(shè)置為dhcp snooping trust模式
Switch(config-if-ethernet1/0/4)#ip dhcp snooping trust
-------
得分要點(diǎn):
DCRS 交換機(jī)配置包含:
lp dhcp snooping enable
lp dhcp snooping vlan 110
ip dhcp snooping limit-rate（該數(shù)值任意)

28.配置公司總部的 DCRS闪盔，防止來(lái)自VLAN110接口的 DHCP 服務(wù)器假冒攻擊。(6分)

抵御DHCP Offer辱士、 DHCP Ack這兩種數(shù)據(jù)包泪掀，來(lái)實(shí)現(xiàn)抵御DHCP假冒攻擊。

DCR.S-5650(config) #interface ethernet 1/0/4
DCRS-5650 (config-if-ethernet1/0/4)#no ip dhcp snooping trust     # untrust接口就回不接受DHCP Offer颂碘、 DHCP Ack這兩種數(shù)據(jù)包
DCRS-5650 (config-if-ethernet1/0/4)#ip dhcp snooping action blackhoie recovery  <10-3600> second(該數(shù)值任意)   #檢測(cè)違規(guī)
#檢測(cè)DHCP Offer异赫、 DHCP Ack后就違規(guī)了，就直接扔到黑洞里去头岔，恢復(fù)時(shí)間10-3600隨意設(shè)置塔拳。

29.在公司總部的 DCRS上配署端口環(huán)路檢測(cè) (Loopback Detection),防止來(lái)自接口下的單端口環(huán)路，并配置存在環(huán)路時(shí)的檢測(cè)時(shí)間間隔為50秒峡竣，不存在環(huán)路時(shí)的檢測(cè)時(shí)間間隔為20秒 (6分)

多端口環(huán)路可以用生成樹(shù)解決

單端口環(huán)路靠抑，使用Loopback Detection

全局模式下：
DCRS-5650(config)#loopback-detection interval-time 50 20
-----
DCRS-5650(config)#loopback-detection interval-time ?   #存在環(huán)路檢測(cè)時(shí)間
<5-300> Loopback interval time range <5-300>s
DCRS-5650(config)#loopback-detection interval-time 50 ?   #不存在環(huán)路檢測(cè)時(shí)間
<1-30> No loopback interval time range <1-30>s

30.在公司總部的 DCRS上配置，需要在交換機(jī)第10個(gè)接口上開(kāi)啟基于MAC地址模式的認(rèn)證适掰，認(rèn)證通過(guò)后才能訪問(wèn)網(wǎng)絡(luò)颂碧，認(rèn)證服務(wù)器連接在服務(wù)器區(qū)荠列，IP地址是服務(wù)器區(qū)內(nèi)第105個(gè)可用地址 (服務(wù)器區(qū)IP地址段參考“賽場(chǎng)IP參數(shù)表”) ,radius key是dcn。

DCRS交換機(jī)配置包含∶
aaa enable
dot1x enable    #啟用802.1x
radius-server key 0 dcn   #配置key值
------
先配置這個(gè)才能啟用 aaa enable
radius-server authentication host 192.168.252.105  (與參數(shù)表一致:服務(wù)器場(chǎng)景網(wǎng)段內(nèi)第105個(gè)可用地址)
------
接下來(lái)在接口開(kāi)啟802.1x
Interface Ethernet1/0/10
dot1x enable    #啟用802.1x
dot1x port-method macbased   #配置基于mac地址的認(rèn)證

31.黑客主機(jī)接入直連終端用戶VLAN110载城，通過(guò) RIPV2路由協(xié)議向DCRS注入度量值更低的外網(wǎng)路由肌似，從而代理內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)，進(jìn)而通過(guò)Sniffer來(lái)分析內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)的流量（如賬號(hào)诉瓦、密碼等敏感信息)锈嫩。通過(guò)在DCRS上配置 HMAC，來(lái)阻止以上攻擊的實(shí)現(xiàn)垦搬。(認(rèn)證Key須使用Key Chain實(shí)現(xiàn)) (6分)

PC2接入router的vlan110,通過(guò)主機(jī)運(yùn)行ospf呼寸，跟交換機(jī)直接運(yùn)行動(dòng)態(tài)路由協(xié)議，從而把默認(rèn)路由注入給交換機(jī)猴贰，而且這條默認(rèn)路由的度量值比f(wàn)irewall更小对雪，所以router就會(huì)把所有數(shù)據(jù)都轉(zhuǎn)發(fā)給PC2。

DCRS 配置 RIPV2 :
router rip:
network 192.168.110.0/24
/ Network : VLAN1101P 網(wǎng)絡(luò)號(hào)/前綴(參數(shù)表計(jì)算結(jié)果)
network 192.168.253.0/29
/ Network : 與 DCFW之間的網(wǎng)絡(luò)號(hào)/前綴（參數(shù)表計(jì)算結(jié)果)

DCRS 的 HMAC配置：
interface Vlan110
ip rip authentication mode md5
ip rip authentication key-chain (名稱(chēng)任意)
key chain dcn (配上一步 key-chain名稱(chēng))
 key 10 (任意)
  key-string dcn1234567890 (任意不易被暴力破解的密鑰)

32.為方使公司總部網(wǎng)絡(luò)規(guī)模擴(kuò)展米绕，將公司總部的 DCRS交換機(jī)的24端口配置為 Trunk模式瑟捣，用于將來(lái)繼續(xù)連接其它的交換機(jī)，配置公司總部的 DCRS 栅干，使其能夠防御由此帶來(lái)VLAN Hopping (VLAN 跳躍)攻擊迈套。(6分)

打了兩成tag，第一層tag與外圍交換機(jī)管理vlan 5 tag一致碱鳞，到trunk交換機(jī)時(shí)桑李，trunk交換機(jī)會(huì)把外層的管理vlan tag去掉，就只剩第二次vlan tag窿给，第二次vlan tag到里面的交換機(jī)后直接就轉(zhuǎn)發(fā)給相應(yīng)vlan了贵白，就實(shí)現(xiàn)了外部vlan5 訪問(wèn)到內(nèi)部vlan96。

1崩泡、設(shè)置一個(gè)專(zhuān)門(mén)的 VLAN ,如VLAN888,并且不把任何連接用戶PC的接口設(shè)置到這個(gè)VLAN;
vlan 999
Interface Ethermet1/0/24
switchport mode trunk
switchport trunk native vlan 999
#show vlan
VLAN999中除了24接口之外沒(méi)有任何接;

2禁荒、強(qiáng)制所有經(jīng)過(guò) Trunk的流量攜帶802.1Q標(biāo)記
Switch (config) #  vlan dot1q tag native

33.配置公司總部的 DCRS，通過(guò)gratuitous ARP來(lái)抵御來(lái)自VLAN110接口的針對(duì)網(wǎng)關(guān)的ARP欺騙攻擊角撞。(6分)

發(fā)送免費(fèi)arp信息呛伴，如果有arp攻擊，是針對(duì)網(wǎng)關(guān)的谒所，那么網(wǎng)關(guān)會(huì)主動(dòng)向主機(jī)報(bào)告自己的ip和mac热康。從而可以抵消掉已經(jīng)被毒化的arp狀態(tài)。

DCRS交換機(jī)配詈包含:
interface Vlan110
ip gratuitous-arp

34.配置公司總部的DCRS 通過(guò)ARP Guard來(lái)抵御來(lái)自VLAN110接口的針對(duì)網(wǎng)關(guān)的ARP欺騙攻擊百炬。（6分）

將 VLAN110 中全部接口配置:
DCRs-5650(config)#interface vlan 110
DCRS-5650(config-if-vlan110)#ip gratuitous-arp   #vlan中要配置
DCRS-5650(config-if-vlan110)#ip address 192.168.110.200  255.255.255.0

DCRs-5650(config)#vlan 110
DCRS-5650(config-vlan110)#switchport interface ethernet 1/0/10-15
set the port Ethernet1/0/10 access vlan 110 successfully
set the port Ethernet1/0/11 access vlan 110 successfully
set the port Ethernet1/0/12 access vlan 110 successfully
set the port Ethernet1/0/13 access vlan 110 successfully
set the port Ethernet1/0/14 access vlan 110 successfully
set the port Ethernet1/0/15 access vlan 110 successfully
DCRS-5650(config-vlan110)#exit
DCRS-5650(config)#interface ethernet 1/0/10-15
DCRS-5650(config-if-port-range)#arp-guard ip 192.168.110.200   #接口中也要配置
DCRS-5650(config-if-port-range)#exit

35.配置公司總部的 DCRS 防止對(duì)公司總部服務(wù)器的以下3類(lèi) (DOS Denial Of Service) 攻擊:ICMP Flood 攻擊褐隆、LAND攻擊,.SYN Flood 攻擊污它。(6分）

DCRS交換機(jī)配置包含∶
dosattack-check icmp-attacking enable
/防止ICMP Flood 攻擊
dosattack-check srcip-equal-dstip enable
/防止LAND 攻擊
就是源地址和目的地址相同的包剖踊，讓自己回復(fù)給自己庶弃。就是死循環(huán)的發(fā)送數(shù)據(jù)包。
dosattack-check tcp-flags enable
/防止SYN Flood 攻擊

----
DCRS-5650(config)#dosattack-check ?
icmp-attacking         Enable ICMP DoS attack checks
icmpv4-size            ICMPv4
iempv6-size            ICMPv6
ipv4-first-fragment    enable checking on first fragment IP packets
srcip-equal-dstip      sipequaldip drop
sreport-equal-dstport  Enable checking TC/UDP L4 port
tcp-flags              Enable checking TCP Dos attacks on invalid flags
tcp-fragment           Enable checking TCP DOs fragment attack
tcp-segment            TCP segment size

36.配置公司總部的 DCRS德澈，通過(guò)控制平面(Control Plane)策略歇攻，防止 DCRS 受到來(lái)目于VLAN110接口的 DOS ( Denial Of Service)攻擊;其中 CIR(Committed Information Rate)定義為128Kbps,TC (Time Commit）定義為8192ms，速率大于CIR的流量將被 DCRS 丟棄,其余流量將被正常發(fā)送梆造。(6分)

BC的計(jì)算過(guò)程;
BC=CIR*TC=128kbps*8.192s=1048.576kb=1048576b=1048576/8byte=131072byte=131072/1024kbyte=128kbyte 

copp-policy-map (名稱(chēng)任意)·
class (名稱(chēng)與上一步 Class-Map 名稱(chēng)一致)
policy 128 (CIR:kbps)  128 (BC:kbyte) confom-action transmit  exceed-action drop

DCRS-5650(config)#class-map van 110
DCRS-5650(config-classmap-vlan 110)#match vlan 110
DCRS-5650(config-classmap-vlan 110)#exit

DCRS-5650(config) #copp-poliey-map  copp
DCRS-5650(config-copp-policymap-copp) #class vlan 110
DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy ?
<1-10000000>     CIR (Committed Information Rate) Kbits per second <1-10000000>
packets-per-second config PPS
DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy 128 ?
<1-1000000>      CBS (Committed Burst size) Kbytes <1-100000>
#這里的第二個(gè)參數(shù)是BC,就要用到上面的計(jì)算方法缴守。

DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy 128 128  confom-action transmit   
在CIR策略?xún)?nèi)的流量正常轉(zhuǎn)發(fā)
DCRS-5650(config-copp-policymap-copp-class-vlan_110)#policy 128 128  confom-action transmit  exceed-action drop
超過(guò)就丟棄

BC的計(jì)算過(guò)程;
BC=CIR*TC=128kbps*8.192s=1048.576kb=1048576b=1048576/8byte=131072byte=131072/1024kbyte=128kbyte 
CIR是128kbps*一個(gè)秒，(8.192)s等于1048.576kb
1048.576kb*1000=1048576b   #乘1000
1048576/8byte=131072byte   #除/8轉(zhuǎn)成字節(jié)
131072/1024kbyte=128kbyte  #除/1024轉(zhuǎn)成k字節(jié)
才得出128

37.配置公司總部的 DCRS镇辉，通過(guò)DCP (Dynamic CPU Protection)策略屡穗，防止DCRS受到來(lái)自于全部物理接口的 DOS (Denial Of Service)攻擊。(6分)

動(dòng)態(tài)CPU保護(hù)策略

DCRS交換機(jī)配置包含:
dcp enable
//啟用 DCP (Dynamic CPU Protection)策略
dcp limit-rate 10 (數(shù)值任意)
//進(jìn)行報(bào)文帶寬控制

38.在公司總部的WAF上配置忽肛，使用 WAF的漏洞掃描功能檢測(cè) Web服務(wù)器的安全漏洞情況村砂。(6分)

39.在公司總部的WAF上配置，編輯防護(hù)策略屹逛，定義 HTTP 請(qǐng)求體的最大長(zhǎng)度為128础废，防止緩沖區(qū)溢出攻擊,（6分）

40.在公司總部的 WAF上配置，編輯防護(hù)策略罕模，要求客戶機(jī)訪問(wèn)網(wǎng)站時(shí)评腺，禁止訪問(wèn)*.exe的文件。(6分)