2025湖北省信息安全管理与评估赛项一阶段技能书
1. 网络拓扑图
2. IP 地址规划表
| 设备名称 | 接口 | IP 地址 | 对端设备 | 接口 |
| 防火墙 FW | ETH0/1-2 | 20.1.0.1/30(trust1 安全域) | SW | ETH1/0/1-2 |
| 20.1.1.1/30(untrust1 安全 域) | SW | |||
| 202.22.1.1/29(untrust) | SW | |||
| ETH0/3 | 20.10.28.1/24(DMZ) | WAF | ||
| ETH0/4-5 | 20.1.0.14/30(trust) | AC | ETH1/0/21-22 | |
| Loopback1 | 20.0.0.254/32(trust) Router-id | |||
| SSL Pool | 192.168.10.1/26 可用 IP 数量为 20 | SSL VPN 地址池 | ||
| 三层 交换机 SW | ETH1/0/4 | 财务专线 | AC ETH1/0/4 | |
| ETH1/0/5 | 办公专线 | AC ETH1/0/5 | ||
| VLAN21 ETH1/0/1-2 | 20.1.0.2/30 | FW | Vlan name TO-FW1 | |
| VLAN22 ETH1/0/1-2 | 20.1.1.2/30 | FW | Vlan name TO-FW2 | |
| VLAN 23 ETH1/0/1-2 | 202.22.1.2/29 | FW | Vlan name TO-internet |
| 设备名称 | 接口 | IP 地址 | 对端设备 | 接口 |
| VLAN 24 ETH1/0/23-24 | 203.23.1.1/29 | BC | Vlan name TO-BC | |
| VLAN 25 ETH 1/0/18-19 | 20.1.0.17/30 | BC | Vlan name TO-BC-N | |
| VLAN 10 | 需设定 | 无线 1 | Vlan name WIFI-vlan10 | |
| VLAN 20 | 需设定 | 无线 2 | Vlan name WIFI-vlan20 | |
| VLAN 30 ETH1/0/4 | 20.1.0.5/30 | AC 1/0/4 | Vlan name T0-CW | |
| VLAN 31 ETH1/0/10-12 10 口开启 loopback | 20.1.3.1/25 | Vlan name CW | ||
| VLAN 40 ETH1/0/5 | 20.1.0.9/30 | AC 1/0/5 | Vlan name TO-IPV6 | |
| VLAN 41 ETH1/0/6-9 | 20.1.41.1/24 | PC3 | Vlan name BG | |
| VLAN 50 ETH1/0/13-14 13 口开启 loopback | 20.1.50.1/24 IPV6 2001:DA8:50::1/64 | Vlan name Sales | ||
| VLAN 100 ETH 1/0/20 | 需设定 | Vlan name AP-Manage | ||
| Loopback1 | 20.0.0.253/32(router-id) | |||
| 无线 控制器 AC | VLAN 30 ETH1/0/4 | 20.1.0.6/30 | SW 1/0/4 | Vlan name TO-CW |
| VLAN 31 ETH1/0/6-9 6 口开启 loopback | 20.1.3.129/25 | Vlan name CW | ||
| VLAN 40 ETH1/0/5 | 20.1.0.10/30 | SW 1/0/5 | Vlan name TO-IPV6 | |
| VLAN 60 ETH1/0/13-14 13 口开启 loopback | 20.1.60.1/24 IPV6 2001:DA8:60::1/64 | Vlan name sales | ||
| VLAN 61 ETH1/0/15-18 15 口开启 loopback | 20.1.61.1/24 | Vlan name BG | ||
| VLAN 100 ETH1/0/21-22 | 20.1.0.13/30 | FW ETH1/0/4-5 | Vlan name TO-FW | |
| Loopback1 | 20.1.1.254/32(router-id) | |||
| 日志 服务器 BC | ETH1-2 | 20.1.0.18/30 | SW | |
| ETH3 | 203.23.1.2/29 | SW | ||
| PPTP-pool | 192.168.10.129/26(10 个地 址) | |||
| WEB 应用防火 墙 WAF | ETH2 | 20.10.28.2/24 | SERVER | |
| ETH3 | FW |
| 设备名称 | 接口 | IP 地址 | 对端设备 | 接口 |
| AP | ETH1 | SW(20 口) | ||
| PC1 | 网卡 | ETH1/0/7 | SW | |
| SERVER | 网卡 | 20.10.28.10/24 |
(二) 第一阶段任务书
任务 1:网络平台搭建 (50 分)
| 题号 | 网络需求 |
| 1 | 根据网络拓扑图所示,按照 IP 地址参数表,对 FW 的名称、各接口 IP 地址进行 配置。设备名称根据网络拓扑图所示配置。 |
| 2 | 根据网络拓扑图所示,按照 IP 地址参数表,对 SW 的名称进行配置,创建 VLAN 并将相应接口划入 VLAN。设备名称根据网络拓扑图所示配置。 |
| 3 | 根据网络拓扑图所示,按照 IP 地址参数表,对 AC 的各接口 IP 地址进行配置。设 备名称根据网络拓扑图所示配置。 |
| 4 | 根据网络拓扑图所示,按照 IP 地址参数表,对 BC 的名称、各接口 IP 地址进行配 置。设备名称根据网络拓扑图所示配置。 |
| 5 | 根据网络拓扑图所示,按照 IP 地址规划表,对 WEB 应用防火墙的名称、各接口 IP 地址进行配置。设备名称根据网络拓扑图所示配置。 |
任务 2:网络安全设备配置与防护(250 分)
- SW 和 AC 开启telnet 登录功能,telnet 登录账户仅包含“ABC4321”,密码为 明文“ABC4321”,采用 telnet 方式登录设备时需要输入enable 密码,密码设 置为明文“12345” 。
- 北京总公司和南京分公司租用了运营商两条裸光纤,实现内部办公互通。一 条裸光纤承载公司财务部门业务,一条裸光纤承载其他内部业务。使用相关 技术实现总公司财务段路由表与公司其它业务网段路由表隔离,财务业务位 于 VPN 实例名称CW 内,总公司财务和分公司财务能够通信,财务部门总 公司和分公司之间采用 RIP 路由实现互相访问。
- 尽可能加大总公司核心和出口 BC 之间的带宽。
- 为防止终端产生 MAC 地址泛洪攻击,请配置端口安全,已划分 VLAN41 的 端口最多学习到 5 个 MAC 地址,发生违规阻止后续违规流量通过,不影响已有流量并产生LOG 日志;连接 PC1 的接口为专用接口,限定只允许 PC1 的 MAC 地址可以连接。
- 总公司核心交换机端口 ETH 1/0/6 上,将属于网段 20.1.41.0 内的报文带宽限 制为 10Mbps,突发值设为 4M 字节,超过带宽的该网段内的报文一律丢弃。
- 在 SW 上配置办公用户在上班时间(周一到周五 9:00-17:00)禁止访问外网, 内部网络正常访问。
- 总公司 SW 交换机模拟因特网交换机,通过某种技术实现本地路由和因特网 路由进行隔离,因特网路由实例名 internet。
- 对 SW 上 VLAN50 开启以下安全机制。业务内部终端相互二层隔离;14 口启 用环路检测,环路检测的时间间隔为 10s,发现环路以后关闭该端口,恢复时 间为 30 分钟,如私设 DHCP 服务器关闭该端口,同时开启防止 ARP 网关欺 骗攻击。
- 配置使北京公司内网用户通过总公司出口BC 访问因特网,分公司内网用户 通过分公司出口 FW 访问因特网,要求总公司核心交换机 9 口 VLAN41 业务 的用户访问因特网的流量往返数据流经过防火墙在通过BC 访问因特网;防 火墙untrust1 和 trust1 开启安全防护,参数采用默认参数。
- 为了防止 DOS 攻击的发生,在总部交换机 VLAN50 接口下对MAC 、ARP、 ND 表项数量进行限制,具体要求为:最大可以学习 20 个动态 MAC 地址、 20 个动态 ARP 地址、50 个 NEIGHBOR 表项。
- 总公司和分公司今年进行 IPv6 试点,要求总公司和分公司销售部门用户能够 通过 IPv6 相互访问,IPv6 业务通过租用裸纤承载。实现分公司和总公司IPv6 业务相互访问;AC 与 SW 之间配置静态路由使 VLAN50 与 VLAN60可以通 过 IPv6 通信;VLAN40 开启 IPv6 ,IPv6 业务地址规划如下:
业务
IPv6 地址
总公司 VLAN50
2001:DA8:50::1/64
分公司 VLAN60
2001:DA8:60::1/64
-
在总公司核心交换机 SW 配置IPv6 地址,开启路由公告功能,路由器公告 的生存期为 2 小时,确保销售部门的 IPv6 终端可以通过 DHCP SERVER 获 取 IPv6 地址,在 SW 上开启 IPv6 DHCP server 功能,IPv6 地址范围2001:da8:50::2-2001:da8:50::100。
13. 在南京分公司上配置 IPv6 地址,使用相关特性实现销售部的IPv6 终端可自 动从网关处获得IPv6 无状态地址。
14. SW 与 AC ,AC 与 FW 之间配置OSPF area 0 开启基于链路的MD5 认证, 密钥自定义,传播访问Internet 默认路由,让总公司和分公司内网用户能够 相互访问包含 AC 上 loopback1 地址;总公司SW 和 BC 之间运行静态路由 协议。
15. 分公司销售部门通过防火墙上的 DHCP SERVER 获取 IP 地址,server IP 地 址为 20.0.0.254 ,地址池范围 20.1.60.10-20.1.60.100 ,dns-server 8.8.8.8。
16. 如果SW 的 11 端口的收包速率超过 30000 则关闭此端口,恢复时间 5 分钟, 为了更好地提高数据转发的性能,SW 交换中的数据包大小指定为 1600 字节。
17. 为实现对防火墙的安全管理,在防火墙FW 的Trust 安全域开启PING,HTTP, telnet,SNMP 功能,Untrust 安全域开启 SSH、HTTPS 功能。SNMP 服务器 地址:20.10.28.100 ,团体字:skills。
18. 在分部防火墙上配置,分部 VLAN 业务用户通过防火墙访问Internet 时,复 用公网 IP:202.22.1.3 、202.22.1.4;保证每一个源 IP 产生的所有会话将被映 射到同一个固定的 IP 地址,当有流量匹配本地址转换规则时产生日志信息,
将匹配的日志发送至 20.10.28.10 的 UDP 2000 端口。
19. 远程移动办公用户通过专线方式接入分公司网络,在防火墙 FW 上配置,采 用 SSL 方式实现仅允许对内网 VLAN 61 的访问,端口号使用 4455,用户名 密码均为 ABC4321,地址池参见地址表。
20. 分公司部署了一台Web 服务器 IP 为 20.10.28.10,接在防火墙的 DMZ 区域 为外网用户提供 Web 服务,要求内网用户能 ping 通 Web 服务器和访问服务 器上的 Web 服务(端口 80)和远程管理服务器(端口 3389),外网用户只 能通过防火墙外网地址访问服务器 Web 服务。
21. 为了安全考虑,无线用户移动性较强,访问因特网时需要在 BC 上开启 Web 认证,采用本地认证,密码账号都为 web4321。
22. 由于分公司到因特网链路带宽比较低,出口只有 200Mbps 带宽,需要在防火 墙配置iQoS,系统中 P2P 总的流量不能超过 100Mbps,同时限制每用户最 大下载带宽为 2Mbps,上传为 1Mbps,优先保障 HTTP 应用,为 HTTP 预留 100Mbps 带宽。
23. 为净化上网环境,要求在防火墙 FW 做相关配置,禁止无线用户周一至周五 工作时间 9:00-18:00 的邮件内容中含有“病毒”“ 赌博” 的内容,且记录日志。
24. 由于总公司无线是通过分公司的无线控制器统一管理,为了防止专线故障导 致无线不能使用,总公司和分公司使用互联网作为总公司无线 AP 和AC 相 互访问的备份链路。FW 和 BC 之间通过 IPSec 技术实现 AP 管理段与无线 AC 之间联通,具体要求为采用预共享密码为 ABC4321 ,IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方式,IKE 阶段 2 采用 ESP-3DES ,MD5。
25. 总公司用户,通过 BC 访问因特网,BC 采用路由方式,在 BC 上做相关配置, 让总公司内网用户(不包含财务)通过 BC 外网口 IP 访问因特网。
26. 在 BC 上配置PPTPVPN 让外网用户能够通过PPTP VPN 访问总公司SW 上 内网地址,用户名为test,密码test23。
27. 为了提高分公司出口带宽,尽可能加大分公司 AC 和出口 FW 之间带宽。
28. 在 BC 上配置 url 过滤策略,禁止总公司内网用户在周一到周五的早上 8 点 到晚上 18 点访问外网 www.skillchina.com。
29. 限制总公司内网用户访问因特网 Web 视频和即时通信下行最大带宽为 20Mbps,上传为10Mbps,启用阻断记录。
30. 分公司内部有一台网站服务器直连到WAF,地址是20.10.28.10,端口是
8080,配置将服务访问日志、DDOS日志、攻击日志信息发送syslog日志服务 器, IP地址是20.10.28.6,UDP的514端口。
31. 在分公司的 WAF 上配置,对会话安全进行防护,开启 Cookie 加固和加密。
32. 编辑防护策略,规则名称为“HTTP 协议”,定义 HTTP 请求最大长度为 1024, 防止缓冲区溢出攻击。
33. 为防止暴力破解网站服务器,在 WAF 上配置对应的防护策略进行限速防护, 名称为“ 防暴力破解”,限速频率为每秒 1 次,严重级别为高级,记录日志。
34. WAF 上配置对“www.skillchina.com”,开启弱密码检测,名称配置为“ 弱密码检 测”。
35.由于公司 IP 地址为统一规划,原有无线网段 IP 地址为 172.16.0.0/22,为了避 免地址浪费需要对 IP 地址进行重新分配;要求如下:未来公司预计部署 AP50 台;办公无线用户 VLAN10 预计 300 人,来宾用户 VLAN20 预计不超过 30 人。
36. AC 上配置 DHCP,管理 VLAN 为 VLAN100,为 AP 下发管理地址,网段中 第一个可用地址为 AP 管理地址,最后一个可用地址为网关地址,AP 通过 DHCP opion 43 注册,AC 地址为 loopback1 地址;为无线用户 VLAN10 、 20 下发 IP 地址,最后一个可用地址为网关。
37. 在NETWORK 下配置 SSID,需求如下:NETWORK 1 下设置 SSID ABC4321, VLAN10,加密模式为 wpa-personal,其口令为 43214321。
38. NETWORK 2 下设置 SSID GUEST ,VLAN20 不进行认证加密,做相应配置隐 藏该 SSID。
39. NETWORK 2 开启内置 portal+本地认证的认证方式,账号为 test 密码为 test4321。
40. 配置当 AP 上线,如果 AC 中储存的 Image 版本和 AP 的 Image 版本号不同 时,会触发 AP 自动升级;配置 AP 发送向无线终端表明 AP 存在的帧时间 间隔为 2 秒;配置 AP 失败状态超时时间及探测到的客户端状态超时时间都 为 2 小时。