2015年全国职业院校技能大赛高职组“神州数码”杯“信息安全管理与评估”赛项任务书一、赛项时间9:00-13:00,共计6小时,含赛题发放、收卷及午餐时间。二、赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段平台搭建与配置任务一网络平台搭建9:00-13:3060任务二网络安全设备配置与防护240第二阶段系统安全攻防及运维安全管控任务一IIS安全加固与证书签发30任务二数据库攻防与加固40任务三CSRF攻击40任务四XSS攻击40任务五密码嗅探40任务六文件包含攻击40任务七SQL注入攻击40任务八linux操作系统安全防护30中场收卷13:30-14:00第三阶段分组对抗系统加固14:00-14:15100系统攻防14:15-15:00300三、赛项内容假定各位选手是某公司的信息安全工程师,负责维护公司信息系统安全。你们需要完成三个阶段的任务,其中前两个阶段需要提交任务操作文档留存备案,所有文档需要存放在裁判组专门提供的U盘中。第三阶段是否提交文档,请根据现场具体题目要求。选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹,并在“xx工位”文件夹下,建立“第一阶段”、“第二阶段”两个文件夹,赛题两个阶段的文档分别归类放置在对应的文件夹中。例如:08工位,则需要在U盘根目录下建立“08工位”文件夹,并在“08工位”文件夹下建立“第一阶段”、“第二阶段”两个文件夹。特别说明:只允许在根目录下的“08工位”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。(一)赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP地址规划表、设备初始化信息。1.网络拓扑图2.IP地址规划表设备名称接口IP地址互联可用IP数量防火墙DCFWEth2202.100.1.1/24与PC-3相连见赛场IP参数表Eth3172.16.2.1/24与DCFS相连见赛场IP参数表地址池172.16.150.1/xSSLVPN地址池见赛场IP参数表网络流控系统Eth2无与DCFW相连见赛场IP参数表DCFSEth3172.16.2.100/24与DCRS相连见赛场IP参数表web应用防火墙WAFEth2172.16.10.200/24与DCRS相连见赛场IP参数表Eth3172.16.10.200/24与DCST相连见赛场IP参数表三层交换机DCRSVlan2172.16.2.254/24与DCFS相连见赛场IP参数表Vlan10172.16.10.254/24与WAF相连见赛场IP参数表Vlan20172.16.20.254/24与PC-1所在用户区相连见赛场IP参数表Vlan30172.16.30.254/24与PC-2所在用户区相连见赛场IP参数表Vlan40172.16.40.254/24与DCBI相连见赛场IP参数表Vlan100172.16.100.254/x直连服务器区见赛场IP参数表Vlan110172.16.110.254/x直连用户区见赛场IP参数表地址池172.16.200.1/xDCHP地址池见赛场IP参数表网络日志系统DCBIEth1172.16.40.1/24与DCRS相连见赛场IP参数表Eth2无与DCRS相连见赛场IP参数表堡垒服务器DCSTEth9172.16.10.100/24与WAF相连见赛场IP参数表PC-1无172.16.20.1/24与DCRS相连见赛场IP参数表PC-2无172.16.30.1/24与DCRS相连见赛场IP参数表PC-3无202.100.1.100/24与DCFW相连见赛场IP参数表服务器场景-1无见系统安全攻防加固赛题部分服务器场景-2无见系统安全攻防加固赛题部分服务器场景-3无见系统安全攻防加固赛题部分服务器场景-4无见系统安全攻防加固赛题部分服务器场景-5无见系统安全攻防加固赛题部分备注1.赛题可用IP地址范围见“赛场IP参数表”;2.具体网络连接接口见“赛场互联接口参数表”;3.设备互联网段内可用地址数量见“赛场IP参数表”;4.IP地址分配要求,最节省IP地址,子网有效地址规划遵循2n-2的原则;5.参赛选手按照“赛场IP参数表”要求,自行分配IP地址段、设备互联接口;6.将分配的IP地址段和接口填入“赛场IP参数表”中(“赛场IP参数表”电子文件存于参赛PC机中),并存放在U盘“第一阶段”文件夹中提交,文件名称为“赛场IP参数表”。3.设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙DCFW:9999ETH0adminAdmin123网络日志系统DCBI火墙WAF堡垒服务器DCST–Eth9参见“DCST登录用户表”备注所有设备的默认管理接口、管理IP地址不允许修改(二)第一阶段任务书(300分)提示:该阶段答案文档命名格式为:“第X阶段”-“任务X”-“任务名称”。例:“第一阶段、任务二、网络安全设备配置与防护”的答案提交文档,文件名称为:第一阶段-任务二-网络安全设备配置与防护.doc或第一阶段-任务二-网络平台搭建.docx。任务一:网络平台搭建(60分)提示:需要提交所有设备配置文件,其中DCRS设备要求提供showrun配置文件保存到WORD文档,DCFW、DCFS、WAF、DCBI设备需要提交配置过程截图存入WORD文档,并在截图中加配置说明。提交的答案保存到一个WORD文档中,标明题号,按顺序答题。平台搭建要求如下:题号网络需求1根据网络拓扑图所示,按照IP地址参数表,对WAF的名称、各接口IP地址进行配置。2根据网络拓扑图所示,按照IP地址参数表,对DCRS的名称、各接口IP地址进行配置。3根据网络拓扑图所示,按照IP地址参数表,对DCFW的名称、各接口IP地址进行配置。4根据网络拓扑图所示,按照IP地址参数表,对DCFS的名称、各接口IP地址进行配置。5根据网络拓扑图所示,按照IP地址参数表,对DCBI的名称、各接口IP地址进行配置。6根据网络拓扑图所示,按照IP地址参数表,在DCRS交换机上创建相应的VLAN,并将相应接口划入VLAN。7采用静态路由的方式,全网络互连。任务二:网络安全设备配置与防护(240分)提示:需要提交所有设备配置文件,其中DCRS设备要求提供showrun配置文件保存到WORD文档,DCFW、DCFS、WAF、DCBI设备需要提交配置过程截图存入WORD文档,并在截图中加以说明。请顺序答题,并标注题号。每个设备提交的答案保存到一个WORD文档中。对象用户——本地用户——用户——新建用户——PC1,PC2对象用户——本地用户——用户组——新建组—公司员工—PC1,2加入用户组对象用户——地址簿——公司员工——输入PC1,PC2的IP:xx.xx.xx.xx1.在公司总部的DCFW上配置,开启网络管理功能(SNMP),网管服务器连接在服务器区,IP地址是服务器区内第二个可用地址(服务器区IP地址段参考“赛场IP参数表”),community名字为public,网管软件对DCFW没有写权限。(6分)系统管理——SNMP——启用;SNMP只读共同体添加:名字public-ip地址-掩码2.在公司总部的DCFW上配置,连接互联网的接口属于WAN安全域、连接内网的接口属于LAN安全域,开启DCFW的DDoS防护。(6分)网络连接——操作攻击防护——全部启用3.在公司总部的DCFW上配置,仅允许通过HTTP方式访问DCFW,并且新增一个用户,用户名dcfw1234,密码dcfw1234,该用户只有查看配置权限,不具有添加配置或修改配置的权限。(6分)系统管理——设备管理——主机服务配置:只开启HTTP服务系统管理——设备管理——管理员配置——新建:审计管理员4.在公司总部的DCFW上配置,在上班时间(工作日的9:00-17:00)只允许公司员工访问内网资源。(6分)对象用户——时间表——新建表工作日——工作日9-17策略——新建——从lan到lan——目的地址any——应用簿any——时间表应用工作日——用户组——允许5.在公司总部的DCFW上配置,在上班时间如有事情需要访问网络,限制只有通过DCFW的WEB认证后才能访问互联网,且在连接网络一个小时后如果不重新认证则断开网络访问。(6分)Web认证开启——强制超时3600新建策略——从lan到wan——user1——允许6.在公司总部的DCFW上配置,使公司总部的DCST设备可以通过互联网被访问,从互联网访问的地址是公网地址的第三个可用地址(公网IP地址段参考“赛场IP参数表”),且仅允许PC-3通过互联网访问DCST设备。(6分)通过NAT转换把DCST的网址发布到公网上源地址DCSTIP——目的地址公网第三个可用地址7.在公司总部的DCFW上配置,使内网所有用户网段和服务器区网段都可以通过DCFW外网接口IP地址访问互联网,但要求公司PC-1只能通过固定的公网地址的第四个可用地址(公网IP地址段参考“赛场IP参数表”)访问互联网。(6分)8.在公司总部的DCFW上配置,在内网接口上开启防护功能,每秒钟最大接收1000个ARP包,超过的将被丢弃。(6分)二层防护——ARP攻击防护——开启内网接口防护——设置最大1000个包9.在公司总部的DCFW上配置,限制每个用户访问互联网时最大的会话数是1000,上网带宽最大是5M。(6分)会话限制——新建安全域流量管理——10.在公司总部的DCFW上启用SSLVPN,使分支机构通过VPN拨入公司总部,访问内部的所有服务器资源。SSLVPN地址池x.x.x.x/x(具体IP地址参考“赛场IP参数表”)。(6分)新建VPN资源资源关联实例配置11.在公司总部的DCFS上配置,增加非admin账户dcfs1234,密码dcfs1234,该账户仅用于用户查询设备的日志信息和统计信息。(6分)添加修改管理员——权限:查看系统日志12.在公司总部的DCFS上配置,使2015年7月1日到7月10日的工作日(工作日每周一到周五)时间内,禁止PC-1访问迅雷应用。(6分)对象管理——时间对象管理——新增时间分组控制策略——应用访问控制——应用迅雷下载——来源PC1用户13.在公司总部的DCFS上配置,限制URL路径中大于10M的“*.mp3”格式的文件不能被下载。(6分)HTTP对象管理——HTTP元素管理——URL元素管理——新增URL元素——URL:*.mp3URL描述:mp3HTTP对象管理——新增HTTP应用——14.在公司总部的DCFS上配置,禁止内网用户访问某游戏服务,该游戏服务使用的协议是UDP,固定的端口号7633。(6分)应用对象管理——新建——应用名称youxi——udp.7633应用访问控制——新建——应用UDP——来源内网15.在公司总部的DCFS上配置,要求能够在主机列表中显示出内网用户名,能够看到用户名与主机地址的对应关系。(6分)开启计费模块16.在公司总部的DCFS上配置,禁止PC-1所在用户网段最后10个可用地址(PC-1所在网段参考“赛场IP参数表”)访问互联网。(6分)新建系统黑名单——写入最后10个可用地址新建应用访问控制——内网入口到内网出网——黑名单——拦截17.在公司总部的DCFS上配置,总的出口带宽是200M,创建子带宽通道100M,当网络拥塞时,使PC-2所在网段每一个用户带宽最大不超过2M,最小带宽为1M;当网络不拥塞时,带宽可以超出2M。(6分)新建带宽通道200M——建子带宽通道100M——终端设置——带宽上限2M,保障带宽1M——开启上限带宽动态分配18.在公司总部的DCFS上配置,公司总出口带宽是20