2019山東省信息安全管理與評估第一階段題庫

2019年山東省職業(yè)院校技能大賽高職組

“信息安全管理與評估”賽項任務(wù)書

第一階段題庫

題目一

網(wǎng)絡(luò)拓?fù)鋱D

1.IP地址規(guī)劃表

設(shè)備名稱接口IP地址對端設(shè)備

ETH0/2/30DCRS

ETH0/1/27PC（）

防火墻DCFW/24

L2TPL2TP地址池

可用IP數(shù)量為20

ETH0/30/30Netlog

VLAN1002

/30DCRS

ETH1/0/1

ETH1/0/2AP

無線控制器DCWS管理VLAN

54/24

VLAN100

VLAN101

/24

ETH1/0/11-24

1

ETH2DCST

WEB應(yīng)用防火墻WAF/24

ETH3DCRS

VLAN1001

/30DCFW

ETH1/0/2

VLAN1002

/30DCWS

ETH1/0/1

VLAN10/24無線2

VLAN20/25無線1

無線管理VLAN

三層交換機DCRS/26

VLAN30

VLAN40

/24PC1

ETH1/0/6-9

管理VLAN

/24

VLAN100

VLAN200

/24WAF、PC2

ETH1/0/10-24

ETH2/30DCFW

日志服務(wù)器Netlog

ETH3DCRS(ETH1/0/4)

堡壘服務(wù)器DCST--WAF

2.設(shè)備初始化信息

設(shè)備名稱管理地址默認(rèn)管理接用戶名密碼

口

防火墻DCFWETH0adminadmin

網(wǎng)絡(luò)日志系統(tǒng)54ETH0admin123456

DCBI

WEB應(yīng)用防火墻ETH5adminadmin123

WAF

三層交換機DCRS-Console--

無線交換機DCWS-Console--

堡壘服務(wù)器DCST--參見“DCST登錄用戶

表”

備注所有設(shè)備的默認(rèn)管理接口、管理IP地址不允許修改;

如果修改對應(yīng)設(shè)備的缺省管理IP及管理端口，涉及此設(shè)備的

題目按0分處理。

(一)第一階段任務(wù)書

2

任務(wù)一：網(wǎng)絡(luò)平臺搭建

題號網(wǎng)絡(luò)需求

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對WAF的名稱、各接口

1

IP地址進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCRS的名稱、各接口

2

IP地址進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCFW的名稱、各接口

3

IP地址進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCWS的各接口IP地址

4

進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCBI的名稱、各接口

5

IP地址進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，在DCRS交換機上創(chuàng)建相

6

應(yīng)的VLAN，并將相應(yīng)接口劃入VLAN。

7采用靜態(tài)路由的方式，全網(wǎng)絡(luò)互連。

8防火墻做必要配置實現(xiàn)內(nèi)網(wǎng)對外網(wǎng)訪問

任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護

DCFW:

1.在DCFW上配置，連接LAN接口開啟PING,HTTP,HTTPS，telnet

功能，連接Internet接口開啟PING、HTTPS功能；連接netlog

接口為DMZ區(qū)域，合理配置策略，讓內(nèi)網(wǎng)用戶能通過網(wǎng)絡(luò)管理

netlog;

2.DCFW配置LOG，記錄NAT會話，ServerIP為0.

開啟DCFW上snmp服務(wù)，ServerIP0團體字符為

public;

3

3.DCFW做相應(yīng)配置，使用L2TP方式讓外網(wǎng)移動辦公用戶能夠?qū)崿F(xiàn)

對內(nèi)網(wǎng)的訪問，用戶名密碼為dcn2018，VPN地址池參見地址表；

合理配置安全策略。

4.出于安全考慮，無線用戶移動性較強，無線用戶訪問Internet

是需要采用實名認(rèn)證，在防火墻上開啟Web認(rèn)證，賬號密碼為

2018web;

5.為了合理利用網(wǎng)絡(luò)出口帶寬，需要對內(nèi)網(wǎng)用戶訪問Internet進

行流量控制，園區(qū)總出口帶寬為200M，對除無線用戶以外的用

戶限制帶寬，每天上午9:00到下午6:00每個IP最大下載速率

為2Mbps，上傳速率為1Mbps；

Netlog:

6.公司總部LAN中用戶訪問網(wǎng)頁中帶有“mp3”、“youku”需要被

DCBI記錄；郵件內(nèi)容中帶有“銀行賬號”記錄并發(fā)送郵件告警；

7.DCBI監(jiān)控LAN中VLAN20所有用戶的聊天信息并做記錄；

8.DCBI監(jiān)控周一至周五工作時間VLAN20用戶使用“迅雷”的記錄，

每天工作時間為9:00-18:00；

WAF:

9.在公司總部的WAF上配置，編輯防護策略，定義HTTP請求體的最

大長度為256，防止緩沖區(qū)溢出攻擊。

10.在公司總部的WAF上配置，編輯防護策略，要求客戶機訪問網(wǎng)站

時，禁止訪問*.exe的文件。

4

11.在公司總部的WAF上配置，禁止HTTP請求和應(yīng)答中包含敏感字段

“賽題”和“答案”的報文經(jīng)過WAF設(shè)備。

DCRS:

12.配置認(rèn)證服務(wù)器，IP地址是00，radiuskey是

dcn2018;

13.在公司總部的DCRS上配置，需要在交換機E1/0/21接口上開啟

基于MAC地址模式的認(rèn)證，認(rèn)證通過后才能訪問網(wǎng)絡(luò)；

14.配置公司總部的DCRS，通過DCP（DynamicCPUProtection）策

略，防止DCRS受到來自于全部物理接口的DOS（DenialOf

Service）攻擊，每秒最多30個包；

15.為減少內(nèi)部ARP廣播詢問VLAN網(wǎng)關(guān)地址，在全局下配置DCRS每

隔300S發(fā)送免費ARP;

DCWS：

16.AP通過option43方式進行正常注冊上線,hwtype值為59,AC地

址為管理VLANIP；

17.設(shè)置SSIDDCN2011，VLAN10，加密模式為wpa-personal,其口令

為GSdcn2011的；設(shè)置SSIDdcntest，VLAN20不進行認(rèn)證加密,

做相應(yīng)配置隱藏該ssid；

18.dcntest最多接入20個用戶，用戶間相互隔離，并對dcntest

網(wǎng)絡(luò)進行流控，上行速率1Mbps，下行速率2Mbps；

5

19.通過配置防止多AP和AC相連時過多的安全認(rèn)證連接而消耗CPU

資源，檢測到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼

續(xù)連接，兩小時后恢復(fù)正常;

20.AC開啟Web管理，賬號密碼為DCN2011；

6

題目二

網(wǎng)絡(luò)拓?fù)鋱D

3.IP地址規(guī)劃表

設(shè)備名稱接口IP地址對端設(shè)備

ETH0/2/30DCRS

ETH0/1/27PC（）

防火墻DCFW/24

L2TPL2TP地址池

可用IP數(shù)量為20

ETH0/30/30Netlog

VLAN1002

/30DCRS

ETH1/0/1

ETH1/0/2AP

無線控制器DCWS管理VLAN

54/24

VLAN100

VLAN101

/24

ETH1/0/11-24

ETH2DCST

WEB應(yīng)用防火墻WAF/24

ETH3DCRS

VLAN1001

三層交換機DCRS/30DCFW

ETH1/0/2

7

VLAN1002

/30DCWS

ETH1/0/1

VLAN10/24無線2

VLAN20/25無線1

無線管理VLAN

/26

VLAN30

VLAN40

/24PC1

ETH1/0/6-9

管理VLAN

/24

VLAN100

VLAN200

/24WAF、PC2

ETH1/0/10-24

ETH2/30DCFW

日志服務(wù)器Netlog

ETH3DCRS(ETH1/0/4)

堡壘服務(wù)器DCST--WAF

4.設(shè)備初始化信息

設(shè)備名稱管理地址默認(rèn)管理接用戶名密碼

口

防火墻DCFWETH0adminadmin

網(wǎng)絡(luò)日志系統(tǒng)54ETH0admin123456

DCBI

WEB應(yīng)用防火墻ETH5adminadmin123

WAF

三層交換機DCRS-Console--

無線交換機DCWS-Console--

堡壘服務(wù)器DCST--參見“DCST登錄用戶

表”

備注所有設(shè)備的默認(rèn)管理接口、管理IP地址不允許修改;

如果修改對應(yīng)設(shè)備的缺省管理IP及管理端口，涉及此設(shè)備的

題目按0分處理。

(二)第一階段任務(wù)書

任務(wù)一：網(wǎng)絡(luò)平臺搭建

平臺搭建要求如下：

8

題號網(wǎng)絡(luò)需求

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對WAF的名稱、各接口

1

IP地址進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCRS的名稱、各接口

2

IP地址進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCFW的名稱、各接口

3

IP地址進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCWS的各接口IP地址

4

進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCBI的名稱、各接口

5

IP地址進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，在DCRS交換機上創(chuàng)建相

6

應(yīng)的VLAN，并將相應(yīng)接口劃入VLAN。

7采用靜態(tài)路由的方式，全網(wǎng)絡(luò)互連。

8防火墻做必要配置實現(xiàn)內(nèi)網(wǎng)對外網(wǎng)訪問

任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護

DCFW:

1.在DCFW上配置，連接LAN接口開啟PING,HTTP,HTTPS，telnet

功能，連接Internet接口開啟PING、HTTPS功能；連接netlog

接口為DMZ區(qū)域，合理配置策略，讓內(nèi)網(wǎng)用戶能通過網(wǎng)絡(luò)管理

netlog;

2.DCFW上配置NAT功能，使PC3能夠通過Web方式正常管理到AC，

端口號使用6661;）合理配置安全策略;

3.在DCFW做相關(guān)配置要求防火墻能夠記錄每天9:00-18:00內(nèi)網(wǎng)用

戶訪問外網(wǎng)的URL，保存在日志服務(wù)器；

4.配置防火墻Web外發(fā)信息控制策略，禁止內(nèi)網(wǎng)無線用戶到所有網(wǎng)

站的Web外發(fā)信息控制；內(nèi)網(wǎng)有線用戶到外網(wǎng)網(wǎng)站W(wǎng)eb外發(fā)信息

9

控制，禁止外發(fā)關(guān)鍵字“攻擊”“病毒”，信任值為1，并記錄

相關(guān)日志。

5.DCFW做相關(guān)配置要求內(nèi)網(wǎng)用戶不能登錄QQ和MSN；

6.DCFW上配置限制內(nèi)網(wǎng)用戶訪問限制內(nèi)網(wǎng)用戶

訪問URL中帶有taobao關(guān)鍵字的所有網(wǎng)站;

Netlog:

7.在DCBI-netlog上配置，設(shè)備部署方式為旁路模式，并配置監(jiān)控

接口與管理接口;要求對內(nèi)網(wǎng)訪問Internet全部應(yīng)用進行記錄日

志;

8.在DCBI上配置，增加非admin賬戶DCN2011，密碼dcbi1111，該

賬戶僅用于用戶查詢設(shè)備的日志信息和統(tǒng)計信息；

9.DCBI配置應(yīng)用及應(yīng)用組“P2P下載”，UDP協(xié)議端口號范圍

40100-42000，在周一至周五9：00-18：00監(jiān)控LAN中所有用戶

的“P2P下載”訪問記錄并告警；

WAF:

10.在公司總部的WAF上配置，禁止公網(wǎng)IP地址（）訪問

網(wǎng)站服務(wù)器，網(wǎng)站服務(wù)器IP地址是0；

11.在公司總部的WAF上配置，防止某源IP地址在短時間內(nèi)發(fā)送大量

的惡意請求，影響公司網(wǎng)站正常服務(wù)。大量請求的確認(rèn)值是：并

發(fā)訪問超過1000次請求；

12.在WAF上配置，開啟基于sessioncookie的CC防護，最大請求

數(shù)為1000，超過進行阻止;

10

DCRS:

13.DCRS為接入交換機，為終端產(chǎn)生防止MAC地址防洪攻擊，請配

置端口安全，每個已劃分VLAN的端口最多學(xué)習(xí)到5個MAC地址，

發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過，不影響已有流量并產(chǎn)生LOG日

志；連接PC1的接口為專用接口，限定只允許PC1的MAC地址可

以連接；

14.為了防止VLAN40網(wǎng)段arp欺騙，需要在交換機上開啟ipdhcp

snooping并在接口下綁定用戶;

15.在DCRS上配置，配置設(shè)備enable密碼，密碼為dcn2011，并且

在登錄設(shè)備時必須正確輸入enable密碼才能進入交換機的配置

模式;

16.DCRS上配置，VLAN40的成員接口開啟廣播風(fēng)暴抑制功能，參數(shù)

設(shè)置為2100pps;

DCWS：

17.AP通過option43方式進行正常注冊上線,AC地址為管理VLANIP；

18.設(shè)置SSIDDCN2011，VLAN10，加密模式為wpa-personal,其口令

為GSdcn2011的；設(shè)置SSIDdcntest，VLAN20不進行認(rèn)證加密,

做相應(yīng)配置隱藏該ssid；

19.dcntest最多接入20個用戶，用戶間相互隔離，并對dcntest

網(wǎng)絡(luò)進行流控，上行速率1Mbps，下行速率2Mbps；

20.通過配置避免接入終端較多且有大量弱終端時，高速客戶端被低

速客戶端“拖累”，低速客戶端不至于長時間得不到傳輸；

11

題目三

網(wǎng)絡(luò)拓?fù)鋱D

1.IP地址規(guī)劃表

設(shè)備名稱接口IP地址互聯(lián)可用IP數(shù)量

E1/24INTERNET-

54/-

24

54/

與DCRS相連

防火墻DCFW24

E2

54/

24

54/

24

無線交換機E1/0/19-20-與DCRS相連-

DCWSVLAN11-PC1-

12

E1/0/1-5

VLAN12

-PC2

E1/0/6-10

VLAN13

-AP

E1/0/18

00/

VLAN99管理

24

WEB應(yīng)用防E2-與DCRS相連-

火墻WAFE3-與DCST相連-

E1/0/2-與DCFW相連-

VLAN15-

54/30與DCBI相連

E1/0/3

VLAN1454/2-

三層交換機與WAF相連

E1/0/44

DCRS

E1/0/18-PC3

E1/0/19-20-與DCWS相連

01/-

VLAN99管理

24

網(wǎng)絡(luò)日志系

E353/30與DCRS相連-

統(tǒng)DCBI

堡壘服務(wù)器00/2-

E1與WAF相連

DCST4

PC-1無/24與DCWS相連-

PC-2無/24與DCWS相連-

服務(wù)器場景

無見系統(tǒng)安全攻防加固賽題部分

-1

服務(wù)器場景

無見系統(tǒng)安全攻防加固賽題部分

-2

服務(wù)器場景

無見系統(tǒng)安全攻防加固賽題部分

-3

備注賽題IP地址和網(wǎng)絡(luò)連接接口參見“IP地址規(guī)劃表”；

2.設(shè)備初始化信息

設(shè)備名稱管理地址默認(rèn)管理接用戶名密碼

口

防火墻DCFWETH0adminadmin

網(wǎng)絡(luò)日志系統(tǒng)54ETH0admin123456

DCBI

WEB應(yīng)用防火墻ETH5adminadmin123

WAF

三層交換機-Console--

無線交換機DCWS-Console--

13

堡壘服務(wù)器DCST00Eth1參見“DCST登錄用戶

表”

備注所有設(shè)備的默認(rèn)管理接口、管理IP地址不允許修改;

如果修改對應(yīng)設(shè)備的缺省管理IP及管理端口，涉及此設(shè)備的

題目按0分處理。

14

(三)第一階段任務(wù)書

該階段需要提交配置或截圖文檔，命名如下表所示：

階段任務(wù)序號文檔名稱

任務(wù)11任務(wù)1

2任務(wù)2-DCFW

3任務(wù)2-DCBI

第一階段

任務(wù)24任務(wù)2-WAF

5任務(wù)2-DCRS

6任務(wù)2-DCWS

任務(wù)1：網(wǎng)絡(luò)平臺搭建

平臺搭建要求如下：

題號網(wǎng)絡(luò)需求

1根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，對WAF的名稱進行配置。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對DCRS的名稱、各接口

2IP地址進行配置，在DCRS交換機上創(chuàng)建相應(yīng)的VLAN，并將相應(yīng)接口劃

入VLAN。

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對DCFW的名稱、各接口

3