2023-2024 学年广东省职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题一
模块一
网络平台搭建与设备安全防护
一、 比赛时间
本阶段比赛时间为 180 分钟。
二、 赛项信息
| 竞赛阶段 | 任务阶段 | 竞赛任务 | 竞赛时间 | 分值 |
| 第一阶段 平台搭建与安全设备配置防护 | 任务 1 | 网络平台搭建 | 9:00-12:00 | 50 |
| 任务 2 | 网络安全设备配置与防护 | 250 |
三、 赛项内容
本次大赛,各位选手需要完成三个阶段的任务,每个阶段需要按裁判组专门提供的 U 盘中的“信息安全管理与评估竞赛答题卡-模块 X”提交答案。
选手首先需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹(xx 用具体的工位号替代),请将赛题第一阶段所完成的“信息安全管理与评估竞赛答题卡-模块一”答题文档,放置在文件夹中。
例如:08 工位,则需要在 U 盘根目录下建立“GW08”文件夹,请将第一阶段所完成的
“信息安全管理与评估竞赛答题卡-模块一”答题文档,放置在“GW08”文件夹中。
特别说明:只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一)赛项环境设置
赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP 地址规划表、设备初始化信息。
- 网络拓扑图
- IP 地址规划表
| 设备名称 | 接口 | IP 地址 | 对端设备 |
| 防火墙 DCFW | ETH0/1-2 | 192.168.51.1/30(Trust 安全域) | DCRS |
| DCRS | |||
| ETH0/3 | 113.111.180.1/27 (untrust 安全域) | INTERNET | |
| ETH0/4 | 192.168.50.1/24(DMZ 安全域) | WAF | |
| SSL Pool | 192.168.11.254/24 | SSL VPN |
| 地址池 | |||
| 三层交换机 DCRS | VLAN 51 ETH1/0/1-2 | 192.168.51.2/30 | DCFW |
| VLAN 52 ETH1/0/7-9 | 192.168.52.1/26 | PC1 Vlan Name RS | |
| VLAN 53 ETH1/0/10-12 | 192.168.53.1/24
| Vlan Name XZ | |
| VLAN 54 ETH1/0/13-15 | 192.168.54.1/24 | Vlan Name XS | |
| 无线控制 器 DCWS
| VlAN 11 ETH1/0/23-24 | 172.16.1.2/24 | DCBC |
| VLAN 12 ETH1/0/1-15 | 172.16.2.1/24 | PC2 Vlan Name JS | |
| 无 线 管 理 VLAN VLAN 101 | 172.16.101.1/24 |
| |
| VLAN 10 | 172.16.10.254/24 |
| |
| VLAN 20 | 172.16.20.254/24 |
| |
| ETH1/0/22 |
| AP | |
| 日志服务器 DCBC | ETH1-2 | 172.16.1.1/24 | DCWS |
| ETH3 | 113.111.180.2/27 | INTERNET | |
| WEB 应用防火墙 WAF | ETH2 | 192.168.50.2/24 | DCFW |
| ETH3 | DCST | ||
| 堡垒服务器 DCST | - | - | WAF |
(二)第一阶段任务书
任务 1:网络平台搭建
| 题号 | 网络需求 |
| 1 | 根据网络拓扑图所示,按照 IP 地址参数表,对 DCFW 的名称、各接口 IP 地址进行配置。 |
| 2 | 根据网络拓扑图所示,按照 IP 地址参数表,对 DCRS 的名称进行配置,创建 VLAN 并将相应接口划入 VLAN。 |
| 3 | 根据网络拓扑图所示,按照 IP 地址参数表,对 DCRS 各接口 IP 地址进行配置。 |
| 4 | 根据网络拓扑图所示,按照 IP 地址参数表,对 DCWS 的各接口 IP 地址进行配置。 |
| 5 | 根据网络拓扑图所示,按照 IP 地址参数表,对 DCBC 的名称、各接口 IP 地址进行配置。 |
| 6 | 根据网络拓扑图所示,按照 IP 地址参数表,对 WAF 的名称、各接口 IP 地址进行配置。 |
任务 2:网络安全设备配置与防护
DCRS:
- 开启 SSH 管理功能,用户名和密码都是 DCN,关闭 web 管理。
- 尽可能加大总部核心交换机 DCRS 与防火墙 DCFW 之间的带宽。
- 配置公司总部的 DCRS,通过 ARP Guard 来抵御来自 VLAN54 接口的针对网关的 ARP 欺骗攻击。
- 在公司总部的 DCRS 上配置端口环路检测(Loopback Detection),防止来自 vlan54 接口下的单端口环路,并配置存在环路时的检测时间间隔为 30 秒,不存在环路时的检测时间间隔为 10 秒,发现环路以后关闭该端口。
- 为防止终端产生 MAC 地址泛洪攻击,请配置端口安全,已划分 VLAN52 的端口最多学习到 150 个 MAC 地址,发生违规阻止后续违规流量通过,不影响已有流量并产生 LOG 日志;连接 PC1 的接口为专用接口,限定只允许 PC1 的 MAC 地址可以连接.
- 在交换机上配置,在只允许 vlan52 用户在上班时间(周一到周五 8:00 到 18:00)内访问 vlan53 段 IP。
- 总部部署了一套网管系统实现对 DCRS 交换机进行管理,网管系统 IP 为:192.168.52.3,读团体值为:DCNTRAP,版本为 V2C,交换机 DCRS Trap 信息实时上报网管,当 MAC 地址发生变化时,也要立即通知网管发生的变化,每 350s 发送一次。
DCFW:
- 总部 VLAN 业务用户通过防火墙访问 Internet 时,轮询复用公网 IP:113.111.180.5、
113.111.180.6。
需要更多赛题答案截图可私聊博主
