当前位置:网站首页>2018年江苏省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书第一阶段答案
2018年江苏省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书第一阶段答案
2022-07-07 02:39:00 【旺仔Sec】
1. 根据网络拓扑图所示,按照IP地址规划表,对WAF的名称进行配置。(20分)
2. 根据网络拓扑图所示,按照IP地址规划表,对DCRS的名称、各接口IP地址进行配置,在DCRS交换机上创建相应的VLAN,并将相应接口划入VLAN。(56分,没错一处扣5分,扣完为止)
DCRS#sh run
hostname DCRS (5分)
vlan 1-2;10;20;30;66 (5分)
!
Interface Ethernet1/0/1
!
Interface Ethernet1/0/2
switchport access vlan 2 (5分)
!
Interface Ethernet1/0/3
switchport access vlan 10 (5分)
!
Interface Ethernet1/0/4
switchport access vlan 20 (5分)
!
Interface Ethernet1/0/5
switchport access vlan 30 (5分)
!
Interface Ethernet1/0/6
switchport access vlan 66 (5分)
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0 (5分)
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0 (5分)
!
interface Vlan10
ip address 192.168.10.254 255.255.255.0 (5分)
!
interface Vlan20
ip address 192.168.20.254 255.255.255.0 (5分)
!
interface Vlan30
ip address 192.168.30.254 255.255.255.0 (5分)
!
interface Vlan66
ip address 192.168.66.254 255.255.255.0
3. 根据网络拓扑图所示,按照IP地址规划表,对DCFW的名称、各接口IP地址进行配置。(20分,每错一处扣7分)
4. 根据网络拓扑图所示,按照IP地址规划表,在DCWS上创建相应的VLAN,并将相应接口划入VLAN,对DCWS的管理IP地址进行配置。(26分,每错一处扣4分)
DCWS#sh run
hostname DCWS (4分)
vlan 1;66 (4分)
!
Interface Ethernet1/0/16
switchport access vlan 66 (4分)
interface Vlan66 (4分)
ip address 192.168.66.253 255.255.255.0
!
interface Vlan110(4分)
ip address 192.168.110.254 255.255.255.0
!
interface Vlan111(4分)
ip address 192.168.111.254 255.255.255.0
!
interface Vlan222(4分)
ip address 192.168.222.254 255.255.255.0
!
5. 根据网络拓扑图所示,按照IP地址规划表,对DCBI的名称、各接口IP地址进行配置。(20分,每错一处扣10分)
6.内部网络采用静态路由实现全网互联互通。(18分)
交换机: (8分)
ip route 0.0.0.0/0 192.168.2.2
ip route 192.168.110.0/24 192.168.66.253
ip route 192.168.111.0/24 192.168.66.253
ip route 192.168.222.0/24 192.168.66.253
!
AC:
ip route 0.0.0.0 0.0.0.0 192.168.66.254 (4分)
防火墙: (8分)
WAF部分
- 配置WAF为透明模式,按题意完成接口桥接;(6分)
- 创建审计管理员帐户,用户名:dcn2018,密码:201810dcn(6分)
- 配置WAF当发现恶意扫描网站时,将HTTP重定向到http://www.dcn.com/alarm.html,警告攻击者;(12分,扫描防护4分,动作4分,重定向URL 4分)
- 新建漏洞扫描任务dcn,每天9:00扫描192.168.1.100:80,SQL注入,跨站脚本编制;(12分,任务名称4分,扫描目标4分,扫描内容4分)
DCWS部分
- DCWS配置VLAN110为管理VLAN, AP动态方式注册到AC,AC管理IP为192.168.110.254; 数据VLAN为111和222,vlan222关联到SSID DCN,分别下发网段192.168.111.0/24,192.168.222.0/24,网关为最后一个可用IP,DNS:8.8.8.8,需要排除网关,地址租约为2天;(22分,每错一处扣2分,扣完为止)
service dhcp(2分)
!
ip dhcp excluded-address 192.168.111.254
ip dhcp excluded-address 192.168.222.254(2分)
!
ip dhcp pool 110
network-address 192.168.110.0 255.255.255.0
option 43 hex 0104C0A86EFE
option 60 ascii udhcp1.18.2(2分)
!
ip dhcp pool 111
network-address 192.168.111.0 255.255.255.0
default-router 192.168.111.254
lease 2 0 0
dns-server 8.8.8.8(2分)
!
ip dhcp pool 222
network-address 192.168.222.0 255.255.255.0
default-router 192.168.222.254
lease 2 0 0
dns-server 8.8.8.8(2分)
!
interface Vlan66
ip address 192.168.66.253 255.255.255.0(2分)
!
interface Vlan110
ip address 192.168.110.254 255.255.255.0(2分)
!
interface Vlan111
ip address 192.168.111.254 255.255.255.0(2分)
!
interface Vlan222
ip address 192.168.222.254 255.255.255.0(2分)
!
ip route 0.0.0.0/0 192.168.66.254 (2分)
!
Interface Ethernet1/0/15 (2分)
switchport mode trunk
switchport trunk native vlan 110
!
Interface Ethernet1/0/16 (2分)
switchport access vlan 66
wireless
no auto-ip-assign
enable
ap authentication none
static-ip 192.168.110.254(2分)
network 1 (2分)
ssid GUEST
vlan 111
network 2 (2分)
ssid DCN
vlan 222
ap profile 1
name Default
hwtype 29(或59)(2分)
radio 1
vap 1
enable (2分)
radio 2
vap 1
enable (2分)
- 配置2.4G频段下工作,使用802.11g协议;(8分)
wireless
ap profile 1
ap escape (4分)
radio 1
mode g (4分)
- 设置SSID GUEST,加密模式为wpa-personal,其口令为:11111111,VLAN111(12分,每错一处扣3分,扣完为止)
network 1
security mode wpa-personal(3分)
ssid GUEST(3分)
vlan 111(3分)
wpa key xxxxxx(3分)
- GUEST网络进行流控,上行1M,下行2M并开启用户隔离。 (12分,每错一处扣3分)
network 2
client-qos enable(3分)
client-qos bandwidth-limit down 2048(3分)
client-qos bandwidth-limit up 1024(3分)
station-isolation (3分)
- 通过配置避免接入终端较多且有大量弱终端时,避免高速客户端被低速客户端“拖累”,让低速客户端不至于长时间得不到传输;(6分)
ap profile 1
radio 1
schedule-mode preferred (3分)
radio 2
schedule-mode preferred (3分)
路由器部分
- 配置默认路由,使内网用户可以访问Internet;( 2分)
ip route 0.0.0.0/0 192.168.2.2
- 将连接DCFW的双向流量镜像至Netlog进行监控和分析;(6分)
monitor session 1 source interface Ethernet1/0/2 tx(2分)
monitor session 1 source interface Ethernet1/0/2 rx(2分)
monitor session 1 destination interface Ethernet1/0/1(2分)
- 开启防ARP扫描功能,单位时间内端口收到ARP数量超过50便认定是攻击,DOWN掉此端口;(4分)
anti-arpscan enable(2分)
anti-arpscan port-based threshold 50(2分)
- 在公司总部的DCRS上配置端口环路检测(Loopback Detection),防止来自vlan20接口下的单端口环路,并配置存在环路时的检测时间间隔为30秒,不存在环路时的检测时间间隔为10秒; (4分)
Interface Ethernet1/0/4
switchport access vlan 20
loopback-detection specified-vlan 20 (2分)
loopback-detection control block
!
loopback-detection interval-time 30 10 (2分)
- 为了控制接入网络PC,需要在交换Eth1/0/10口开启DOT1X认证,配置认证服务器,IP地址是192.168.2.100,radius key是dcn2018;; (10分)
radius-server key 0 dcn2018(2分)
radius-server authentication host 192.168.2.100(2分)
aaa enable(2分)
!
dot1x enable (2分)
!
Interface Ethernet1/0/10 (2分)
dot1x enable
dot1x port-method portbased
!
- 交换机开启远程管理,使用SSH方式账号为组号,密码为123456.(4分)
ssh-server enable (2分)
username 5(组号) privilege 15 password 0 123456 (2分)
- VLAN20 用户采用动态获取IP地址方式,DHCP服务器在AC上配置。(4分)
service dhcp (2分)
ip forward-protocol udp bootps
interface Vlan20
ip address 192.168.20.254 255.255.255.0
ip helper-address 192.168.66.253 (2分)
- 在交换机上配置,在只允vlan30用户在上班时间内访问无线管理段IP。(6分)
Firewall enable
!
time-range time2 (2分)
periodic weekdays 00:00:00 to 09:00:00
periodic weekdays 18:00:00 to 23:59:59
periodic weekend 00:00:00 to 23:59:59
!
ip access-list extended acl (2分)
deny ip 192.168.30.0 0.0.0.255 192.168.110.0 0.0.0.255 time-range time2
permit ip any-source any-destination
exit
!
Interface Ethernet1/0/5 (2分)
switchport access vlan 30
ip access-group acl in
- 为拦截、防止非法的MAC地址与IP地址绑定的ARP数据包配置动态arp检测功能,VLAN30用户网络接口的ARP阀值为50.(4分)
interface Vlan30
ip address 192.168.30.254 255.255.255.0
ip arp dynamic maximum 50
防火墙部分
- 在总公司的DCFW根据题意配置Trust,Untruct,VPNhub区域,并配置区域之间的放行策略;(6分,每错一处扣2分)
- 配置路由,通往internet的方向配置默认路由,使用下一跳IP为PC2,通往内部路由配置静态主类汇总路由;(8分,每错一处扣4分)
- 配置动态NAT,对应关系如下:(9分, 每错一处扣3分)
VLAN20用户映射为200.1.1.20;
VLAN30用户映射为200.1.1.30;
- 总公司DCFW配置SSLVPN,建立用户dcn01,密码dcn01,要求连接Internet PC2可以拨入,服务端口为9998,SSLVPN地址池参见地址表; (8分,每错一处扣4分,扣完为止)
5、内网无线用户访问因特网需要通过实名认证,采用出口本地认证,账号为该组组号,密码为123。(8分,每错一处扣4分,扣完为止)
- 为了合理利用出口带宽资源需要对内部用户上网带宽进行限制,在工作日8:00到18:00有线用户上网上传/下载带宽分别为1000K/2000K,园区网总出口带宽为200M。(9分,每错一处扣3分,扣完为止)
7、为了响应网监处净网行动,要求对内网有线用户web外发内容进行控制,禁止到外网网页上发送关键字“反动”并进行记录相关日志。(6分,每错一处扣3分,扣完为止)
8、先发现内部VLAN20和VLAN30有用户被挂马发送大量连接到外网,导致内网用户打开外网网页很慢有时还打不开,要求在防火墙上做相应设置,控制该问题。(6分,每错一处扣3分,扣完为止)
9、PC2能够通过防火墙外网口地址方位DCST的80端口。(4分,每错一处扣2分,扣完为止)
DCBI部分
- 在公司总部的DCBI上配置,设备部署方式为旁路模式,增加管理员账户dcn2018,密码dcn2018;(12分)
- 添加内容规则,对于网站访问关键字包含“暴力”的,记录并邮件报警;(12分)
- DCBI配置应用及应用组“王者天下”,UDP协议端口号范围11111-11333,在周一至周五9:00-18:00监控LAN中所有用户的“王者天下”访问记录;(12分,每错一处扣4分)
边栏推荐
- Pinduoduo lost the lawsuit: "bargain for free" infringed the right to know but did not constitute fraud, and was sentenced to pay 400 yuan
- 【luogu P1971】兔兔与蛋蛋游戏(二分图博弈)
- Learning notes | data Xiaobai uses dataease to make a large data screen
- 线性代数(一)
- PostgreSQL database timescaledb function time_ bucket_ Gapfill() error resolution and license replacement
- Overview of FlexRay communication protocol
- 健身房如何提高竞争力?
- 循环肿瘤细胞——Abnova 解决方案来啦
- 反射(二)
- Abnova循环肿瘤DNA丨全血分离,基因组DNA萃取分析
猜你喜欢
如何给目标机器人建模并仿真【数学/控制意义】
Ant manor safety helmet 7.8 ant manor answer
Several key steps of software testing, you need to know
BindingException 异常(报错)处理
PostgreSQL database timescaledb function time_ bucket_ Gapfill() error resolution and license replacement
面试中有哪些经典的数据库问题?
Matlab / envi principal component analysis implementation and result analysis
How can I check the DOI number of a foreign document?
Overview of FlexRay communication protocol
Abnova循环肿瘤DNA丨全血分离,基因组DNA萃取分析
随机推荐
C language interview to write a function to find the first occurrence of substring m in string n.
循环肿瘤细胞——Abnova 解决方案来啦
dolphinscheduler3.x本地启动
根据IP获取地市
2022/07/04学习记录
How to use wechat cloud hosting or cloud functions for cloud development of unapp development applet
mysql查看bin log 并恢复数据
[opencv] morphological filtering (2): open operation, morphological gradient, top hat, black hat
偏执的非合格公司
途家、木鸟、美团……民宿暑期战事将起
Abnova 膜蛋白脂蛋白体技术及类别展示
品牌电商如何逆势增长?在这里预见未来!
二十岁的我4面拿到字节跳动offer,至今不敢相信
[solution] final app status- undefined, exitcode- 16
MYSQL binlog相关命令
Which foreign language periodicals are famous in geology?
微信小程序隐藏video标签的进度条组件
How can I check the DOI number of a foreign document?
VIM mapping large K
企業如何進行數據治理?分享數據治理4個方面的經驗總結