最新2022年全國信息安全技術(shù)大賽訓練題

1、最新2022年全國信息安全技術(shù)大賽訓練題of rural drinking water sources, protection of drinking water sources in rural areas by the end of the delimitation of the scope of protection, complete with warning signs, isolating network protection facilitiesof rural drinking water sources, protection of drinking water source

2、s in rural areas by the end of the delimitation of the scope of protection, complete with warning signs, isolating network protection facilities神州數(shù)碼網(wǎng)絡大學北京市海淀區(qū)上地九街9號數(shù)碼科技廣場100085TEL:82707075 dcnetworks of rural drinking water sources, protection of drinking water sources in rural areas by the end of t

3、he delimitation of the scope of protection, complete with warning signs, isolating network protection facilities2022年全國信息平安技術(shù)大賽高職組模擬訓練題 目 錄 TOC o 1-2 h z u HYPERLINK l _Toc293311104 一、比賽說明 PAGEREF _Toc293311104 h 3 HYPERLINK l _Toc293311105 二、網(wǎng)絡搭建訓練 PAGEREF _Toc293311105 h 7 HYPERLINK l _Toc29331110

4、6 訓練一 PAGEREF _Toc293311106 h 7 HYPERLINK l _Toc293311107 訓練二 PAGEREF _Toc293311107 h 12 HYPERLINK l _Toc293311108 訓練三 PAGEREF _Toc293311108 h 17 HYPERLINK l _Toc293311109 訓練四 PAGEREF _Toc293311109 h 21 HYPERLINK l _Toc293311110 訓練五 PAGEREF _Toc293311110 h 25 HYPERLINK l _Toc293311111 訓練六 PAGEREF _T

5、oc293311111 h 30 HYPERLINK l _Toc293311112 三、主機平安訓練 PAGEREF _Toc293311112 h 35 HYPERLINK l _Toc293311113 系統(tǒng)加固局部 PAGEREF _Toc293311113 h 35 HYPERLINK l _Toc293311114 滲透測試局部 PAGEREF _Toc293311114 h 40比賽說明選手在規(guī)定時間內(nèi)完成網(wǎng)絡搭建和網(wǎng)絡設備的配置與平安攻防的配置。競賽時間終止時刻，選手應停止一切操作，并起立離開操作臺。裁判員收集配置結(jié)果后，參賽隊員簽字予以確認。正確保存所有參賽用設備的配置文件，

6、配置文件為startup-config文件，并不是根據(jù)show running命令輸出的結(jié)果，startup-config文件沒有后綴名，需要通過TFTP效勞器，配合TFTP命令將文件拷貝到TFTP效勞器上，如果將show running的結(jié)果復制到word或文本文檔上保存，是錯誤的，需要選手注意。如題目有特殊要求，如：將配置過程截圖，將協(xié)議效果截圖等，按照題目要求進行截圖，并生成word文件進行保存，在文件中需注意，要將每一張截圖的注釋寫清楚，如：此圖為平安加固的第一個任務等。文件名稱要求符合下表要求。如有格式不符合，形式不符合一律進行相應扣分，如設備配置文件startup-config沒有

7、成功保存，此設備記零分。將配置文件、測試結(jié)果文件放在學生機的桌面或U盤之中的名為“大賽-組號的文件夾中。工程文件類型命名規(guī)那么實 例(第一組號為：101，第二組號為102，以此類推)信息平安技術(shù)應用配置文件參賽隊編碼-設備名稱-starup-config第一臺路由器101-RA-starup-config第二臺路由器101-RB-starup-config第三臺路由器101-RC-starup-config第一臺二層交換機101-SWA-starup-config第二臺二層交換機101-SWA-starup-config三層交換機101-RS-starup-config測試結(jié)果文件截圖文件參賽

8、隊編碼-設備名稱.doc第一臺防火墻101-FWA.doc第二臺防火墻101-FWB.doc第一臺路由器101-RA-測試文檔.doc第二臺路由器101-RB-測試文檔.doc第三臺路由器101-RC-測試文檔.doc第一臺二層交換機101-SWA-測試文檔.doc第二臺二層交換機101-SWA-測試文檔.doc三層交換機101-RS-測試文檔.doc入侵檢測系統(tǒng)101-IDS.doc參賽隊編碼-系統(tǒng)加固.doc101-系統(tǒng)加固.doc參賽隊編碼-掃描滲透.doc101-掃描滲透.doc參賽隊編碼-攻防對戰(zhàn).doc101-攻防對戰(zhàn).doc參賽隊編碼-其它文檔.doc101-XXXX.doc例如

9、：截圖文檔與測試文檔模板：雙擊翻開雙擊翻開只作為例如，國賽根據(jù)賽題要求進行制作競賽過程中，因選手個人因素造成設備故障，裁判長有權(quán)決定中止比賽。競賽過程中，因選手個人因素，使配置操作過程出現(xiàn)失誤或故障,可以重新開始進行配置操作，但是不增加比賽時間；如遇非選手個人因素造成的設備故障和網(wǎng)絡故障，選手要向裁判員舉手示意。裁判員要記錄故障出現(xiàn)時間并立刻報告裁判長，由裁判長視具體情況裁決是否需要技術(shù)人員予以解決，裁判員不得代替選手進行任何操作，裁判員待系統(tǒng)恢復后停止故障計時。故障時間不計入選手操作時間。場內(nèi)對每一組設置攝像頭，全程監(jiān)控選手比賽過程，選手不可將自身做出的問題進行轉(zhuǎn)移或?qū)Σ门羞M行隱瞞，一經(jīng)發(fā)現(xiàn)

10、立刻取消比賽資格，并不允許申訴，選手切記！競賽將結(jié)合測試結(jié)果和配置文件綜合評分。比賽成績判別分為兩局部，一局部為場內(nèi)評測系統(tǒng)對選手所作的設置進行評分，另一局部為裁判手工判分。場內(nèi)評測系統(tǒng)掃描每一臺選手的設備，要求選手將網(wǎng)絡連通，如果選手沒有將網(wǎng)絡連通，沒有將自己組內(nèi)網(wǎng)絡連入大賽網(wǎng)絡，評測系統(tǒng)將無法連接選手的設備，無法評分。評測系統(tǒng)無法連接的設備記零分。所以選手在比賽結(jié)束前，需保證組內(nèi)的賽題網(wǎng)絡連通，并能夠訪問大賽評測系統(tǒng)大賽網(wǎng)絡連通，并將所有設備的遠程登錄翻開telnet。文檔和配置文件內(nèi)的一些命名等不準帶有參賽隊學校名稱，隊員姓名等任何相關(guān)的字符，否那么相應單項成績作零分處理。大賽組委會提供

11、三臺或四臺PC機，其中一臺為堡壘效勞器用PC機SMC效勞器，其余為選手操作機。其中堡壘效勞器與堡壘效勞器用PC機不得操作、關(guān)機、重啟、斷電， 如有違反要求一次扣除50分。選手操作機模擬賽題環(huán)境中的所有PC機。三層交換機RS上的連接堡壘效勞器與大賽網(wǎng)絡的端口禁止選手使用，不得觸碰、插拔、配置，如有違反一次扣除50分。網(wǎng)絡搭建訓練訓練一大賽拓撲圖：大賽規(guī)劃：IP地址第二個八位為小組組號，如：第一組為：101，第二組為102，以此類推設備名稱接口IP地址子網(wǎng)掩碼RAG324G424S130RBG324G4 24RCF024G324S130SWAVLAN124SWBVLAN10RS1/2VLAN302

12、41/3VLAN40241/4,1/1，1/24VLAN50241/10-11;5(VLAN100)24FWA124024FWB024124224324PCA24PCB30PCC24PCD24大賽要求：根據(jù)拓撲圖正確連接設備根據(jù)大賽規(guī)劃設置IP地址與VLAN等根本信息。每少寫一個得分點，扣20%，少些5個或以上，此題0分RA、RB之間互為備份，為運營商核心設備，G4方向接口配置VRRP，RA為master，優(yōu)優(yōu)先搶占值為150，并監(jiān)控G3接口；RB為blackup，優(yōu)先搶占值為100. 左面所組成的公司分部內(nèi)網(wǎng)運行靜態(tài)路由。將VRRP的運行狀態(tài)進行截圖。RA、RB、RS之間組成的外網(wǎng)運行OSP

13、F單區(qū)域路由協(xié)議，將網(wǎng)絡內(nèi)每一臺三層或以上設備的路由表進行截圖，并做好注釋。FWB與FWA分別連接一個公司的兩個內(nèi)網(wǎng)，為了能夠內(nèi)部之間相互訪問，運行IPSec VPN，只需要PCA能夠訪問PCB、PCC所在內(nèi)網(wǎng)網(wǎng)段即可，要求VPN正常運行狀態(tài)圖形化界面截圖，至少有IPSecSA和ISAKMP SA兩個狀態(tài)，不需要配置過程截圖；要求有驗證IPsecVPN正常運行測試截圖，為每張截圖做好注釋。兩臺設備均要。外網(wǎng)用戶PCD想要訪問總部內(nèi)網(wǎng)時，需要通過防火墻FWA，在FWA上設置SCVPN，限制外網(wǎng)用戶的對內(nèi)訪問，并設置PCA相對應的用戶名與口令，要求在主機成功撥號后SCVPN狀態(tài)截圖，不需要配置過程

14、。RA、RC之間運行廣域網(wǎng)PPP協(xié)議，不進行封裝。通過策略路由，當DCSS與PCB通信時，必須使數(shù)據(jù)從RC-RA-FWB的線路通過。PPP速率限制為1M，將PPP正確運行狀態(tài)進行截圖，并將數(shù)據(jù)傳輸線路效果進行截圖。FWB為DNS效勞器，將FWB配置為DNS代理效勞器，公網(wǎng)DNS地址為0，要求設備上查看并截圖。FWA作為總部內(nèi)網(wǎng)出口，配置NAT，將出口作為轉(zhuǎn)換地址，并設置出口靜態(tài)路由，下一跳為RS的0/4接口。將路由表與NAT狀態(tài)進行截圖。所有總部內(nèi)網(wǎng)用戶禁止使用聊天軟件，除了MSN，在內(nèi)網(wǎng)出口設備設置。并進行截圖對于競爭對手不允許總部內(nèi)網(wǎng)用戶訪問，在內(nèi)網(wǎng)出口方向配置。并進行截圖由FWA、SWA

15、、RC組成的總部內(nèi)網(wǎng)，運行靜態(tài)路由。公司內(nèi)部人員不會配置IP地址，在SWA上配置DHCP效勞，為PCC與PCB分配IP地址，PCC的地址段為/24網(wǎng)段，PCB的地址段為/24網(wǎng)段。由于PCB與PCC不在同一網(wǎng)段，也需要分配IP地址，所以在RC上配置DHCPRelay。要求PCB可以和PCA相互訪問，在總部內(nèi)網(wǎng)二層接入設備設置。要求PCC不可以和PCA相互訪問，在總部內(nèi)網(wǎng)二層接入設備設置。要求PCB不能訪問堡壘效勞器，在總部內(nèi)網(wǎng)二層接入設備設置。要求PCC可以訪問堡壘效勞器，在總部內(nèi)網(wǎng)二層接入設備設置。使用DCNIDS監(jiān)控內(nèi)網(wǎng)所有TCP數(shù)據(jù)包，并將所捕獲的數(shù)據(jù)生成報告。將IDS效勞器架設到PCC

16、上。并將RS開啟端口鏡像，監(jiān)聽所有接口數(shù)據(jù)。并提供搭建成功IDS正常運行截圖與所生成的風險評估柱狀圖報表網(wǎng)絡中所有的PC均可訪問Internet192.XX.100.0網(wǎng)段。為根底網(wǎng)絡設備路由器、交換機設置使能密碼。為網(wǎng)絡中所有的設備設置IDS與DCST不用telnet遠程登錄，并設置合格的用戶名與口令。訓練二大賽拓撲圖：大賽規(guī)劃：IP地址第二個八位為小組組號，如：第一組為：101，第二組為102，以此類推設備名稱接口IP地址子網(wǎng)掩碼RAF024G424S024RCG424G324RBG424G324S124SWAVLAN10 0/1;3,424SWBVLAN200/2,3RS0/2,3,4V

17、LAN30240/6VLAN20240/11VLAN4024FWA224324124FWB224324124PCA24PCD24大賽要求：根據(jù)拓撲圖正確連接設備根據(jù)大賽規(guī)劃設置IP地址與VLAN等根本信息。為保證內(nèi)網(wǎng)的穩(wěn)定性，F(xiàn)WA與FWB之間運行雙機熱備協(xié)議，設置FWA的HA優(yōu)先級為50，F(xiàn)WA設置搶占模式；FWB的HA優(yōu)先級為100.將兩臺防火墻HA狀態(tài)進行截圖。在由FWA、FWB、SWA、RS、SWB、RB所組成的內(nèi)網(wǎng)上運行單區(qū)域OSPF路由協(xié)議。并將防火墻的路由狀態(tài)與路由器、三層交換機路由進行截圖在以RA-RB-RC組成的外部網(wǎng)絡，運行BGP路由協(xié)議。RB與RC為IBGP，RA與RC為

18、EBGP，RA為 AS 200，RB-RC為AS 100，內(nèi)外網(wǎng)之間可以相互通信，將路由表進行截圖。由于內(nèi)網(wǎng)用戶不會設置IP地址，在內(nèi)網(wǎng)接入層交換機SWB上設置DHCP效勞，方便內(nèi)網(wǎng)用戶的使用。其中PCC用戶會設置IP地址，所以PCC使用靜態(tài)IP地址。設置網(wǎng)段為：192.XX.20.0/24網(wǎng)段。為保證內(nèi)網(wǎng)終端平安，要求內(nèi)網(wǎng)所有用戶的MAC地址與接入交換機SWB接口進行綁定，至少使用兩種方法進行綁定。進一步保證內(nèi)網(wǎng)平安，在接入層交換機SWB的1-8接口配置端口隔離。由于內(nèi)部人員總是下載數(shù)據(jù)，所以將內(nèi)部的PCB進行流量限制,流量限制在5M/s。在內(nèi)網(wǎng)接入層設備SWB上配置。在RS上開啟端口鏡像，

19、將0/1與0/10的數(shù)據(jù)鏡像到0/5上。同時在SWA上開啟端口鏡像，將0/1的數(shù)據(jù)鏡像到0/2上。使用DCNIDS監(jiān)控內(nèi)網(wǎng)所有 數(shù)據(jù)包，并將所捕獲的數(shù)據(jù)生成報告。將IDS效勞器架設到某臺PC上，并提供搭建成功IDS正常運行截圖與所生成的風險評估柱狀圖報表由于PCC用戶上班時間總是瀏覽與工作無關(guān)網(wǎng)頁，所在在RS上設置在早9點至晚6點期間不允許PCC登錄互聯(lián)網(wǎng)，其他時間可以。公司原那么上不允許外部用戶訪問內(nèi)部網(wǎng)絡，但是有是有因業(yè)務需求需要相互訪問，所以在防火墻上設置SC VPN，在外出差的人員需要連入內(nèi)網(wǎng)使用撥號的方式進行訪問。使PCA所在的網(wǎng)段能夠訪問PCD所在的網(wǎng)段,PCB與PCC可以不用訪問

20、。將SCVPN狀態(tài)與用戶成功登陸SCVPN狀態(tài)進行截圖。所有包含：“無恥，“競爭對手的網(wǎng)頁內(nèi)容，均進行過濾，不允許員工看到這些東西，在防火墻上設置，并進行操作過程截圖。RA與RB之間運行PPP協(xié)議，并使用雙向CHAP認證，端口速率限制為2M，將PPP正常運行狀態(tài)進行截圖。RA與RB是兩個運行商，之間通過PPP線路運行IPSecVPN，使得PCA在訪問SWA所屬網(wǎng)段時，經(jīng)過IPSecVPN隧道，IPSec SA與ISAKMP SA狀態(tài)進行截圖。訓練三大賽拓撲圖：大賽規(guī)劃：IP地址第二個八位為小組組號，如：上午第一組為：101，上午第二組為：102；下午第一組為：201，下午第二組為202，以此類

21、推設備名稱接口IP地址子網(wǎng)掩碼RAG324RCS224G324RBG324S124SWAVLAN1 24SWBVLAN124RSVLAN2(1/13)24VLAN3(1/17)24VLAN5(1/15)24VLAN6(1/9)24VLAN81/21-2824VLAN7(1/1)24FWA024124FWB024124PCA24PCB24PCC24PCD24大賽要求：根據(jù)拓撲圖正確連接設備。根據(jù)大賽規(guī)劃設置IP地址與VLAN等根本信息進行配置。FWA與SWA組成分公司A與FWB與SWB組成分公司B，兩個分公司用過互聯(lián)網(wǎng)相連，現(xiàn)在兩個公司之間要能夠相互訪問，要求在FWA與FWB之間配置IPSecV

22、PN。將IPSec的狀態(tài)進行截圖由于分公司A與分公司B均屬于內(nèi)網(wǎng)，為了能夠訪問互聯(lián)網(wǎng)，要求FWA、FWB均運行NAT，使內(nèi)網(wǎng)可以訪問外網(wǎng)。將NAT狀態(tài)進行截圖。分公司A的一臺主機PCA總是打攪分公司B的員工，所以要求管理員在SWA上設置ACL，禁止PCA與FWB所在網(wǎng)絡通信。并且分公司B的主機PCC與PCD之間也不能相互訪問，通過SWB設置。要求在SWA上設置，將PCB的MAC 地址、IP地址與SWA綁定由于PCA的員工經(jīng)常在公司下載電影，占用帶寬，所以要限制PCA的流量帶寬，通過Qos，在SWA上設置PCA 的流量不能超過5MRA與RS屬于運營商A的網(wǎng)絡，運行OSPF路由協(xié)議,將路由表進行截

23、圖。RB與RC屬于另外一個運營商B，運行RIPv2路由協(xié)議。要求ISPA與ISPB能夠相互訪問，RS是兩個運營商之間的橋梁，將路由表進行截圖。公司為了雙重保證，在FWA上設置SCVPN，供PCC與PCD訪問分公司A使用。將SC VPN撥號成功狀態(tài)界面進行截圖。ISPB的RC與RB之間設置PPP，并進行CHAP單向認證，將PPP狀態(tài)進行截圖。在PCC與PCA通信時，設置策略路由，必須經(jīng)過RC與RB；而PCD與PCB通信時，那么不得經(jīng)過RC與RB，將數(shù)據(jù)傳輸路徑測試結(jié)果進行截圖。PCC與PCD訪問RB時，不得經(jīng)過RC；PCC與PCD訪問RC時，必須經(jīng)過RB將核心所有的端口鏡像到IDS所連接的端口，

24、并正確安裝IDS，監(jiān)聽網(wǎng)絡內(nèi)所有TCP數(shù)據(jù)，形成風險評估柱狀圖。所有的PC均可訪問RA，整體網(wǎng)絡可以相互通信。訓練四大賽拓撲圖：大賽規(guī)劃：IP地址第二個八位為小組組號，如：第一天上午第一組為：101；下午第一組為：111，以此類推設備名稱接口IP地址子網(wǎng)掩碼RAG324G424S124RBG324G424G524RCG324G524S124SWAVLAN1 24SWBVLAN124RSVLAN10(1/1；12)24VLAN201/224VLAN301/324VLAN901/4；1124VLAN1001/15-2424FWA124224FWB124224PCB24PCC24大賽要求：根據(jù)拓撲圖

25、正確連接設備。根據(jù)大賽規(guī)劃設置IP地址與VLAN等根本信息進行配置。由RS-FWB組成的公司總部內(nèi)網(wǎng)運行靜態(tài)路由,將路由表進行截圖。由RS-RA-RB-RC組成的互聯(lián)網(wǎng)運行OSPF路由協(xié)議，將路由表進行截圖?；ヂ?lián)網(wǎng)運營商的RS-RA-RC屬于area0.RA-RB-RC屬于AREA1，RC-RS鏈路上進行OSPF明文認證，RA-RC鏈路屬于area0，并進行OSPF MD5加密認證， 將認證成功狀態(tài)進行截圖在RA-RC運行了PPP雙向chap認證，將PPP連接成功狀態(tài)進行截圖。PCD用戶不會設置IP地址，所以在FWB上開啟DHCP，RS開啟DHCP中繼，為PCD分配IP地址。將FWB的DHCP

26、配置過程進行截圖。 PCA屬于分公司網(wǎng)絡，分公司與總部之間有時需要互通，所以在FWB開啟SCVPN，供PCA撥號使用 訪問PCC。將成功撥號后防火墻的狀態(tài)進行截圖， 總公司網(wǎng)絡內(nèi)總有ARP病毒搗亂，為了防止此情況，在SWB開啟防ARP掃描，針對9-15接口。為了內(nèi)網(wǎng)平安，在SWB上將PCC，PCB的IP，MAC綁定在分公司網(wǎng)絡RB-FWA-SWA運行RIPv2路由協(xié)議，將路由表進行截圖。因為公司的總部與分部內(nèi)網(wǎng)運行的都是私有地址，為了在能夠訪問互聯(lián)網(wǎng)，需要在兩個網(wǎng)絡的出口方向設置NAT，即在FWA.FWB上設置NAT，將NAT狀態(tài)進行截圖。為了限制員工上網(wǎng)，在FWA上開啟web認證，將PC訪問

27、互聯(lián)網(wǎng)是的web認證狀態(tài)進行截圖。為了限制員工聊天，在FWA上開啟禁用IM，將配置過程進行截圖。PCA的用戶也不會設置IP地址，所以FWA上開啟DHCP，并在SWA上開啟DHCP Snooping.將防火墻開啟DHCP狀態(tài)進行截圖。RS上設置端口鏡像，將所有數(shù)據(jù)鏡像到IDS端口上，并正確安裝IDS，抓取網(wǎng)絡內(nèi)所有數(shù)據(jù)包，將風險評估柱狀圖進行截圖。訓練五大賽拓撲圖：大賽規(guī)劃：IP地址第二個八位為小組組號，如：上午第一組為：101，上午第二組為：102；下午第一組為：201，下午第二組為202，以此類推設備名稱接口IP地址子網(wǎng)掩碼RAG324S1/S224RBG324G424S1/224RCG32

28、4G424SWAVLAN10 (0/0/1;9)VLAN20(0/0/2;3;8;10)192.XX.2.25424SWBVLAN124RSVLAN40(1/1-2)24VLAN50(1/15-24)24VLAN60(1/5)24VLAN70(1/6)24FWA124224324FWB124224324PCA24PCB24大賽要求：根據(jù)拓撲圖正確連接設備。根據(jù)大賽規(guī)劃設置IP地址與VLAN等根本信息進行配置。運營商A由RA- RB組成，網(wǎng)絡內(nèi)運行BGP協(xié)議,將路由表進行截圖。運營商B由RS-RB-RC-FWB-FWA組成，網(wǎng)絡內(nèi)運行多區(qū)域ospf。將防火墻的路由狀態(tài)與路由器、交換機路由表進行截

29、圖。運營商A的網(wǎng)絡中RA與RB運行PPP協(xié)議，速率1.5M，不進行封裝，將PPP認證狀態(tài)進行截圖。運營商A為了保證線路的穩(wěn)定與平安，RA與RB之間啟用雙串行鏈路運行MPPP實現(xiàn)負載及備份。分公司A屬于SWA，在SWA上所有up的端口開啟環(huán)路檢測為了保證分公司A的內(nèi)部平安，在SWA上將PCA與PCB所在的端口進行端口隔運營商B為了保證網(wǎng)絡的穩(wěn)定性，F(xiàn)WA與FWB開啟雙機熱備，F(xiàn)WA為主設備，并開啟搶占功能。將雙機熱備運行狀態(tài)進行截圖。分公司A與運營商B協(xié)定，保證內(nèi)部員工不隨便登陸互聯(lián)網(wǎng)，在防火墻開啟web認證，并設置PCA、PCB的相應賬號。將PC訪問互聯(lián)網(wǎng)時WEB認證與WEB認證配置過程進行截

30、圖。運營商B響應國家號召，在防火墻上開啟網(wǎng)頁內(nèi)容過濾，所有含“恐怖主義的網(wǎng)頁被過濾，將配置結(jié)果進行截圖。為了保證分公司B能夠訪問分公司A的內(nèi)部網(wǎng)絡，在防火墻上設置SSL VPN，用于PCC登陸。將PCL登陸成功狀態(tài)或成功登陸后的防火墻SSL狀態(tài)進行截圖。運營商B開啟雙重保證，在網(wǎng)絡的兩個方向同時開啟冗余功能，在RC、RB的G4接口方向運行VRRP，RB為主設備，將VRRP運行狀態(tài)進行截圖。分公司A同時租用兩個運營商的線路，要求PCA網(wǎng)關(guān)在RA上 PCB網(wǎng)關(guān)在FW上兩個分公司之間建立了虛擬專用通道，防火墻與RB開啟IPSecVPN，將防火墻的IPSec與IKE狀態(tài)進行截圖。分公司B由于用的是內(nèi)網(wǎng)

31、地址，為了能夠正常訪問互聯(lián)網(wǎng)，需要在RB、RC上開啟NAT功能，將NAT運行狀態(tài)進行截圖。分公司A用的也是內(nèi)網(wǎng)地址，為了能夠正常訪問互聯(lián)網(wǎng)，需要在FWA/FWB開啟NAT，將NAT狀態(tài)進行截圖。由于分公司B的用戶不會設置IP地址，所以在SWB上開啟DHCPRS上開啟端口鏡像，將所有的數(shù)據(jù)鏡像到IDS端口上面，并正確安裝DCNIDS，將IDS運行狀態(tài)進行截圖，并抓取網(wǎng)絡內(nèi)的所有生成平安風險評估報告進行截圖。訓練六大賽拓撲大賽規(guī)劃大賽使用統(tǒng)一規(guī)劃的IP地址，具體規(guī)劃及說明如下表：例：192.XXX.1.1，IP地址中“XXX為本賽隊工位編碼注：編碼方法見賽題說明局部，如：1號工位為：101，那么該

32、端口地址為，以此類推設備名稱接口IP地址子網(wǎng)掩碼RAS0/130G0/4( Virtual-access0)30G0/324RBG0/32424G0/4RCS0/230G0/32424RSvlan30 (E1/3)24vlan5024vlan6024vlan70 (E1/7)24Vlan80(E1/8)24Vlan99(10-20)24FWAE0/124E0/224SWAvlan 100 (E0/0/6-10)vlan 150 (E0/0/11-15)SWBvlan60 ( E0/0/6)vlan50 (E0/0/5)PC1DHCP Client24PC224PC324IDSMGT24大賽要求

33、根據(jù)拓撲圖正確連接設備。配置IP地址與VLAN根本信息。.RARB之間運行PPPoE協(xié)議，RA為Server，RB為Client，要求RARB之間配置CHAP認證。RARC之間運行PPP協(xié)議。RARBRC之間運行OSPF路由協(xié)議，RA與RB組成Area0，RA與RC組成Area1。Area1設為完全末端區(qū)域。為了平安，Area0采用OSPF密文區(qū)域認證，Area1采用密文鏈路認證。 SWA上的vlan100與vlan150的流量都要通過路由器 RC/RB訪問總公司網(wǎng)絡， RB 與 RC互為備份路由器，正常情況vlan100出來的流量通過RB，vlan150出來的流量通過RC。用VRRP完成此功

34、能。 在RS與RA，F(xiàn)WA的E0/2 之間做運行RIP v2路由協(xié)議，并做雙向重分布，保證集團公司每臺設備都能正常訪問。在R1做匯總，要求把非本協(xié)議的路由匯總成主類路由。SWB與RS之間有端口會聚；配置以后可以相互學習vlan信息。SWA上開啟DHCP效勞，為vlan100的主機分配地址與默認網(wǎng)關(guān)，為PC1固定分配192.xxx.100.10,地址租期永久有效。配置RA， 控制當PC3訪問分公司時，G0/4與S0/2兩個接口之間實現(xiàn)負載均衡。為平安起見，交換機RS不能轉(zhuǎn)發(fā)源IP地址等于目的IP地址的數(shù)據(jù)報，IPv4網(wǎng)絡只能使用默認ping命令，且允許通過最小的IPV4凈荷長度小于100。配置S

35、WA的端口 F0/0/5上，將屬于網(wǎng)段 10.xxx.80.0 內(nèi)的報文帶寬限制為 10M 比特/秒，突發(fā)值設為 4M 字節(jié)，超過帶寬的該網(wǎng)段內(nèi)的報文一律丟棄。SWB為了防止ARP-Scan，啟動ARP報文限速功能，每個端口每秒的ARP報文上限15，每個IP每秒的ARP報文上限15，并開啟防網(wǎng)段掃描自動恢復功能，恢復的時間120秒。假設SWB只有E0/0/20接有DHCP效勞器，開啟DHCP Snooping功能，并配置E0/0/15一旦受到DHCP Snooping攻擊立即關(guān)閉端口，恢復時間150秒。配置SWB的E0/0/18端口,使得該端口不允許轉(zhuǎn)發(fā)源MAC地址是00-12-11-23-X

36、X-XX(x為任意數(shù))的802.3的數(shù)據(jù)報文。配置交換機SWB的E0/0/5只能對范圍在10.xxx.50.110.xxx.50.20內(nèi)的合法用戶發(fā)來的數(shù)據(jù)包進行轉(zhuǎn)發(fā)，其他數(shù)據(jù)包，直接丟棄。FWA完成配置操作使得內(nèi)部用戶通過NAT能夠訪問公網(wǎng)；要求內(nèi)網(wǎng)用戶不能登陸騰訊QQ和MSN；配置FWA ，R-A允許PC4反向NAT對其Telnet管理。222.xxx.1.1：232310.XXX.70.1:23配置FWA外網(wǎng)用戶PC2通過Internet使用VPN接入內(nèi)網(wǎng)，允許用戶接入后訪問內(nèi)網(wǎng)的FTP Server假設是PC3。配置FWB僅允許內(nèi)網(wǎng)中PC1通過遠程桌面控制PC3。FWA 的出口帶寬10

37、0Mbps，實施配置對P2P 應用需限制其下行帶寬為 10M，上傳最大 5M； 和SMTP 應用下載保障 20M，上傳保障 10M.將進出RS 所有端口所有的數(shù)據(jù)鏡像到IDS所連接的端口上，自己內(nèi)網(wǎng)模擬ICMP大包攻擊模擬結(jié)束要恢復平安配置，使用IDS監(jiān)控內(nèi)網(wǎng)，并將所捕獲的數(shù)據(jù)生成報告。將IDS效勞器架設到PC3上，并提供搭建成功IDS正常運行截圖與所生成的風險評估柱狀圖報表。為保證平安，請為根底網(wǎng)絡設備路由器、交換機設置使能密碼。為保證平安，請為網(wǎng)絡中所有的設備設置telnet遠程登錄 IDS與堡壘效勞器DCST除外，并設置平安的用戶名與口令。主機平安訓練系統(tǒng)加固局部任務一：效勞器A補丁安裝

38、【賽題要求】為效勞器A的windows操作系統(tǒng)打上補丁sp2。任務二：效勞器A賬號口令策略【賽題要求】 通過配置windows賬號口令策略加強其平安性，包括：禁用GUEST賬號；停用不使用的賬號hack1，hack2；密碼策略配置：啟用密碼復雜性要求、密碼最小長度8、密碼最長保存期30天、強制密碼歷史5；賬戶鎖定策略設置：復位賬戶鎖定計數(shù)器10分鐘、賬戶鎖定時間20分鐘；賬戶鎖定閾值：5次無效登錄；任務三：效勞器A系統(tǒng)效勞加固【賽題要求】關(guān)閉以下系統(tǒng)效勞：Task Schedule、Remote Registry、SNMP Service、Print spooler、 Telnet、Compu

39、ter Browser、Messenger、Alerter、DHCP Client。任務四：效勞器A關(guān)閉默認共享【賽題要求】關(guān)閉系統(tǒng)默認共享：包括關(guān)閉分區(qū)默認共享C$、D$、E$.，關(guān)閉管理默認共享admin$，關(guān)閉Ipc$默認共享。任務五：效勞器A審計8分【賽題要求】賬號管理審計：成功、失?。荒夸浽L問審計：成功、失?。坏卿浭录徲嫞撼晒?、失?。粚ο笤L問審計：成功；特權(quán)使用審計：成功；過程跟蹤審計：成功；系統(tǒng)事件審計：成功、失??；不顯示上次登錄的用戶名任務六：效勞器A加密文件【賽題要求】在效勞器A上利用TrueCrypt加密機密文件：在c:加密保存創(chuàng)立加密文件“加密.cpt；利用TrueCrypt創(chuàng)立加密卷，文件為“c:加密保存加密.cpt；將桌面上的“加密文件.doc放入到TrueCrypt加密卷中；任務七：效勞器B敏感系統(tǒng)賬號設置【賽題要求】鎖定以下賬號：sync; halt; new; uucp; operator; games; gopher任務八：效勞器B賬號口令平安【賽題要求】更改系統(tǒng)管理員賬號為復雜密碼；配置賬號超時5分鐘自動注銷設置密碼策略：最大口令使