本文介绍: 竞赛需要完成三个阶段任务,分别完成三个模块总分共计 1000 分。三个模块内容和分值分别是:1. 第一阶段:模块一 网络平台搭建设备安全防护(240 分钟, 300 分)。2. 第二阶段:模块二 网络安全事件响应数字取证调查、应用程序安全(240 分钟,300 分)。3. 第三阶段:模块三 网络安全渗透、理论技能职业素养(240 分钟,400 分)。【注意事项】1. 第一个阶段需要按裁判组专门提供的U 盘中的“XXX-答题模板提交答案。第二阶段请根据现场具体题目要求操作

2023年山东省职业院校技能大赛信息安全管理评估样题

竞赛需要完成三个阶段任务,分别完成三个模块,总分共计 1000 分。三个模块内容和分值分别是:

1. 第一阶段:模块一 网络平台搭建设备安全防护(240 分钟, 300 分)。

2. 第二阶段:模块二 网络安全事件响应数字取证调查、应用程序安全(240 分钟,300 分)。

3. 第三阶段:模块三 网络安全渗透、理论技能职业素养(240 分钟,400 分)。

注意事项

Geek极安云科专注技能竞赛技术提升基于大赛项提供全面的系统培训,拥有完整培训体系团队拥有曾获国奖、大厂在职专家专业人才担任讲师,培训效果显著,通过培训帮助各大院校备赛学生取得各省 国家级奖项,获各大院校一致好评。

1. 第一个阶段需要按裁判组专门提供的U 盘中的“XXX-答题模板提交答案

二阶段请根据现场具体题目要求操作

第三阶段网络安全渗透部分请根据现场具体题目要求操作,理论测试部分根据测试系统说明进行登录测试。

2. 所有竞赛任务可以由参赛选手根据基础设施列表指定的设

备和软件完成

第一阶段

模块一 网络平台搭建与设备安全防护

一、竞赛内容

第一阶段竞赛内容包括:网络平台搭建网络安全设备配置与防护,共 2 个子任务

竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务 1 网络平台搭建 XX:XX- XX:XX 50
任务 2 网络安全设备配置与防护 250
总分 300

二、竞赛时长

本阶段竞赛时长为 240 分钟,共 300 分。

三、注意事项

第一阶段请按裁判组专门提供的 U 盘中的“XXX-答题模板”中的要求提交答案

选手需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹xx 用具体的工位号替代),所完成的“XXX-答题模板放置文件夹中作为竞赛结果提交。

例如:08 工位,则需要在 U 盘根目录下建立“GW08”文件夹,并在“GW08”文件夹直接放置第一个阶段的所有“XXX-答题模板文件

【特别提醒

只允许在根目录下的“GWxx文件夹中体现一次工位信息,不允许在其它文件夹名称文件名称中再次体现工位信息,否则按作弊处理

五、赛项环境设置

1. 网络拓扑图
在这里插入图片描述
2. IP 地址规划
在这里插入图片描述
在这里插入图片描述

任务 1 网络平台搭建(50 分)

题号 网络需求
1 按照 IP 地址规划表,对防火墙名称、各接口 IP 地址进行配置
2 按照 IP 地址规划表,对三层交换机名称进行配置创建 VLAN 并将相应接口划 入 VLAN, 对各接口 IP 地址进行配置
3 按照 IP 地址规划表,对无线交换机名称进行配置创建 VLAN 并将相应接口划 入 VLAN,对接口 IP 地址进行配置
4 按照 IP 地址规划表,对网络日志系统名称、各接口 IP 地址进行配置
5 按照 IP 地址规划表,对 Web 应用防火墙名称、各接口 IP 地址进行配置

任务 2 网络安全设备配置与防护(250 分)

1. SW 开启telnet 登录功能用户名 skills01,密码 skills01,密码呈现加密

2. 总部交换机SW 配置简单网络管理协议计划启用V3 版本

V3 版本安全性方面做了极大的扩充。配置引擎号分别为 62001; 创建认证用户skills01,采用 3des 算法进行加密密钥为:skills01, 哈希算法为SHA,密钥为:skills01;加入组ABC,采用最高安全级别;配置组的读、写视图分别为:2023_R、2023_W;当设备有异常 时,需要使用本地的VLAN100 地址发送Trap 消息至网管服务器 10.51.0.203,采用最高安全级别

3. 接入SW Eth4,仅允许IP 地址 172.16.40.62-80 为源的数据包为合法包,以其它IP 地址为源地址交换直接丢弃。

4. 为减少内部ARP 广播询问VLAN 网关地址,在全局下配置 SW 每隔 300S 发送免费ARP。

5. 勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络攻击通过对总部核心交换机SW 所有业务VLAN 下配置访问控制策略实现双向安全防护。

6. SW 配置IPv6 地址,使用相关特性实现VLAN50 的 IPv6 终端自动网关处获得IPv6 有状态地址。

7. AC 配置IPv6 地址,开启路由公告功能,路由器公告的生存期为 2 小时,确保VLAN30 的 IPv6 终端可以获得IPv6 无状态地址。

8. AC 与SW 之间配置RIPng,使PC1 与PC3 可以通过IPv6 通信

9. IPv6 业务地址规划如下,其它IPv6 地址自行规划

业务 IPV6 地址
VLAN30 2001:30::254/64
VLAN50 2001:50::254/64

10. FW、SW、AC 之间配置OSPF area 0 开启基于链路的MD5 认证密钥自定义,传播访问INTERNET 默认路由

11. FW 与 SW 建立两对IBGP 邻居关系使用AS 65500,FW 上loopback1-4 为模拟AS 65500 中网络,为保证数据通信可靠性负载完成以下配置,要求如下

l SW 通过BGP 到达loopback1,2 网路下一跳为 10.3.0.254;

l SW 通过BGP 到达loopback3,4 网络下一跳为 10.4.0.254。

12. FW 与 SW 建立两对IBGP 邻居关系使用AS 65500,FW 上loopback1-4 为模拟AS 65500 中网络,为保证数据通信可靠性负载通过BGP 实现到达loopback1,2,3,4 的网络冗余,请完成配置。

13. FW 与 SW 建立两对IBGP 邻居关系使用AS 65500,FW 上loopback1-4 为模拟AS 65500 中网络,为保证数据通信可靠性负载,使用IP 前缀列表匹配上述业务数据流,请完成配置。

14. FW 与 SW 建立两对IBGP 邻居关系,使用AS 65500,FW 上loopback1-4 为模拟AS 65500 中网络,为保证数据通信可靠性和负载, 完成以下配置,使用 LP 属性行业务选路,只允许使用 routemap 来改变LP 属性实现路由控制,LP 属性可配置的参数值为:200。

15. 配置使总部VLAN50 业务的用户访问IDC SERVER 的数据流经过FW 10.1.0.254, IDC SERVER 返回数据流经过FW 10.2.0.254,且对双向数据流开启所有安全防护,参数行为默认

16. 在端口ethernet1/0/7 上,将属于网段 172.16.40.62/26 内的报文 带宽限制为 10M 比特/秒,突发 4M 字节,超过带宽的该网段内的报文一律丢弃。

17. 在 FW 上配置,连接LAN 接口开启PING 等所有管理方式连接Internet 接口关闭所有管理方式,配置trust 区域与 Untrust 之间的安全策略禁止外网访问内网的任何设备。

18. 总部VLAN 业务用户通过防火墙访问Internet 时,复用公网IP: 200.1.1.28/28,保证每一个源IP 产生的所有会话将被映射同一个固定的IP 地址,当有流量匹配本地转换规则时产生日信息, 将匹配日志发送至 10.51.0.253 的 UDP 2000 端口

19. 为了合理利用网络出口带宽,需要对内网用户访问 Internet 进行流量控制园区总出口带宽为 200M,对除无线用户以外的用户限 制带宽每天上午 9:00 到下午 6:00 每个IP 最大下载速率为 2Mbps上传速率为 1Mbps

20. 配置L2TP VPN,名称为VPN,满足远程办公用户通过拨号登陆访问内网创建隧道接口为tunnel 1、并加入untrust 安全域,地址池名称为AddressPool,LNS 地址池为 10.100.253.1/24-10.100.253.100/24,网关为最大可用地址,认证账号skills01,密码skills01。

21. Internet 端有一分支结构路由器,需要在总部防火墙FW 上完成以下预配,保证总部与分支机构的安全连接防火墙 FW 与 Internet路由器 202.5.17.2 建立GRE 隧道,并使用IPSec 保护GRE 隧道, 保证分支结构中 2.2.2.2 与总部VLAN40 安全通信

22. Vlan30 内的工作人员涉及到商业机密,因此在FW 上配置不允许vlan30 内所有用户访问外网

23. 配置出于安全考虑无线用户访问因特网需要采用认证,在防火墙上配置 Web 认证,采用本地认证用户名testtest1,test2, 密码为 123456。

24. 已知原AP 管理地址为 10.81.0.0/15,为了避免地址浪费请重新规划和配置IP 地址段,使用原 AP 所在网络进行地址划分,请完成配置。

25. 已知原AP 管理地址为 10.81.0.0/15,为了避免地址浪费请重新规划和配置IP 地址段,现无线用户 VLAN 10 中需要 127 个终端无线用户VLAN 20 需要 50 个终端,请完成配置。

26. 已知原AP 管理地址为 10.81.0.0/15,为了避免地址浪费请重新规划和配置IP 地址段,要求完成在 AC 上配置DHCP,管理 VLAN 为 VLAN101,为 AP 下发管理地址,网段第一个可用地址为AP 管 理地址,最后一个可用地址为 AC 管理地址,保证完成 AP 二层注册; 为无线用户VLAN10,20 下发IP 地址,最后一个可用地址为网关。

27. 在 NETWORK 下配置SSID,需求如下: l NETWORK 1 下设置SSID 2023skills-2.4G,VLAN10,加密模式wpapersonal,其口令skills01; l NETWORK 20 下设置SSID 2023skills-5G,VLAN20 不进行认证加密,做相应配置隐藏该SSID。

28. 配置一个SSID 2023skills_IPv6,属于VLAN21 用于IPv6 无线测试,用户接入无线网络时需要采用基于WPA-personal 加密方式, 其口令为“skills01”,该网络中的用户从AC DHCP 获取IPv6 地址, 地址范围为:2001:10:81::/112。

29. NETWORK 1 开启内置portal+本地认证的认证方式,账号为GUEST 密码为 123456,保障无线信息覆盖性,无线AP 的发射功率设置为 90%。禁止MAC 地址为 80-45-DD-77-CC-48 的无线终端连接

30.2023skills-5G 最多接入 20 个用户,用户间相互隔离,并对 2023skills-5G 网络进行流控,上行速率 1Mbps,下行速率 2Mbps

31.在 AC 上配置使radio 1 的射频类型为IEEE 802.11b/g,并且设 置 RTS 的门限值为 256 字节,当MPDU 的长度超过该值时, 802.11 MAC 启动RTS/CTS 交互机制

32. 在 AC 上配置一条基于SSID 时间点时周一 0 点到 6 点的禁止用户接入的策略(限时策略)。

33. 通过配置防止多AP 和 AC 相连时过多的安全认证连接而消耗CPU 资源检测到AP 与AC 在 10 分钟内建立连接 5 次就不再允许继续连接,两小时后恢复正常。

34. 配置所有无线接入用户相互隔离,Network 模式下限制每天 0 点到 6 点禁止终端接入,开启ARP 抑制功能。

35. 在公司总部的BC 上配置,设备部署方式为透明模式。增加非admin 账户skills01,密码skills01,该账户仅用于用户查询设备的日志信息统计信息;要求对内网访问 Internet 全部应用进行日志记录

36. BC 上配置用户认证识别功能。

37. 在公司总部的BC 上配置,在工作日(每周一到周五上班)期间针对所有无线网段访问互联网进行审计,如果发现访问互联网的无线用户就断网,不限制其他用户工作日(每周一到周五上班)期间访问互联网

38. 使用BC 对内网所有上网用户进行上网本地认证,要求认证后得用户 3 小时候重新认证,并且对HTTP 服务器 172.16.10.45 的 80 端口进行免认证。

39. BC 配置应用“即时聊天”,在周一至周五 9:00-21:00 监控内网中所有用户的微信账号使用记录,并记录数据。

40. 在BC 上配置激活NTP,本地时区+8:00,并添加 NTP 服务器名称清华大学,域名为s1b.time.edu.cn

41. BC 配置内容管理,对邮件内容包含比赛答案”字样的邮件记录邮件报警

42. BI 监控周一至周五工作时间VLAN40 用户使用“迅雷”的记录每天工作时间为 9:00-18:00。

43. 在公司总部的 WAF 上配置,设备部署方式为透明模式。要求对内网HTTP 服务器 172.16.10.45/32 进行安全防护。

44. 方便日志保存查看,需要在把 WAF 上攻击日志、访问日志、DDoS 日志以JSON 格式发给IP 地址为 172.16.10.200 的日志服务器上。

45. 在 WAF 上配置基础防御功能,开启SQL 注入、XXS 攻击、信息泄露防御功能,要求针对这些攻击阻断并发邮件告警

46. 为防止网站资源被其他网站利用,通过WAF 对资源链接进行保护,通过 ferer 方式检测设置严重级别中级,一经发现阻断并发送邮件告警

47. 在公司总部的 WAF 上配置,编辑防护策略,定义 HTTP 请求体的最大长度为 256,防止缓冲区溢出攻击。

48. 对公司内网用户访问外网进行网页关键字过滤网页内容包含“暴力”“赌博”的禁止访问。

49. 为了安全考虑,无线用户移动较强,访问因特网时需要实名认证,在 BC 上开启web 认证使用http 方式,采用本地认证,密码账号都为web2023。

50. 在 WAF 上保护HTTP 服务器上的网站爬虫攻击,从而影响服务器性能设置严重级别高级,一经发现攻击阻断并发送邮件告警

原文地址:https://blog.csdn.net/qq_22406677/article/details/134810516

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_50162.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注