2016高职组GZ-024信息安全管理与评估赛项任务书

12016年全国职业院校技能大赛高职组“神州数码”杯“信息安全管理与评估”赛项任务书一、赛项时间9:00-15:00，共计6小时，含赛题发放、收卷及午餐时间。二、赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段平台搭建与配置任务1网络平台搭建9:00-13:3060任务2网络安全设备配置与防护240第二阶段系统安全攻防及运维安全管控任务1SQL注入攻防55任务2XSS和CSRF攻防65任务3命令注入与文件包含攻防50任务4MAC协议安全攻防45任务5ARP协议安全攻防45任务6SpanningTree协议安全攻防40中场收卷13:30-14:00第三阶段分组对抗系统加固14:00-14:15100系统攻防14:15-15:00300三、赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中前两个阶段需要提交任务操作文档留存备案，所有文档需要存放在裁判组专门提供的U盘中。第三阶段请根据现场具体题目要求操作。选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹（xx用具体的工位号替代），并在“xx工位”文件夹下，建立“第一阶段”、“第二阶段”两个文件夹，赛题两个阶段的文档分别归类放置在对应的文件夹中。例如：08工位，则需要在U盘根目录下建立“08工位”文件夹，并在“08工位”文件夹下建立“第一阶段”、“第二阶段”两个文件夹。特别说明：只允许在根目录下的“08工位”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。2(一)赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息：网络拓扑图、IP地址规划表、设备初始化信息。1.网络拓扑图PC1PC2InternetDCSTWAFDCRSNetlogDCFSDCFWCentralSiteBranchOfficePC3PC环境说明：PC-1（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：MicrosoftInternetExplorer6.0虚拟机安装服务/工具2：Ethereal0.10.10.0虚拟机安装服务/工具3：HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：MicrosoftInternetExplorer6.0虚拟机安装服务/工具2：Ethereal0.10.10.03虚拟机安装服务/工具3：HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-3（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：KaliLinux（Debian764Bit）虚拟机安装服务/工具：MetasploitFramework虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）2.IP地址规划表设备名称接口IP地址互联可用IP数量防火墙DCFWEthXx.x.x.x/x与PC-2相连见赛场IP参数表EthXx.x.x.x/x与DCFS相连见赛场IP参数表地址池x.x.x.x/xVPN地址池见赛场IP参数表网络流控系统DCFSEthX无与DCFW相连见赛场IP参数表EthXx.x.x.x/x与DCRS相连见赛场IP参数表Web应用防火墙WAFEthXx.x.x.x/x与DCRS相连见赛场IP参数表EthX无与DCST相连见赛场IP参数表三层交换机DCRSVlan2x.x.x.x/x与DCFS相连见赛场IP参数表Vlan10x.x.x.x/x与WAF相连见赛场IP参数表Vlan20x.x.x.x/x与PC-1相连见赛场IP参数表Vlan30x.x.x.x/x与PC-3相连见赛场IP参数表Vlan40x.x.x.x/x与NETLOG相连见赛场IP参数表Vlan100x.x.x.x/x直连服务器区见赛场IP参数表Vlan110x.x.x.x/x直连用户区见赛场IP参数表地址池x.x.x.x/xDHCP地址池见赛场IP参数表网络日志系统NETLOGEthXx.x.x.x/x与DCRS相连见赛场IP参数表EthX无与DCRS相连见赛场IP参数表堡垒服务器DCSTEthX无与WAF相连见赛场IP参数表PC-1无x.x.x.x/x与DCRS相连见赛场IP参数表PC-3无x.x.x.x/x与DCRS相连见赛场IP参数表PC-2无x.x.x.x/x与DCFW相连见赛场IP参数表服务器场景-1无见系统安全攻防加固赛题部分服务器场景-2无见系统安全攻防加固赛题部分服务器场景-3无见系统安全攻防加固赛题部分服务器场景-4无见系统安全攻防加固赛题部分服务器场景-5无见系统安全攻防加固赛题部分备注1.赛题可用IP地址范围见《赛场IP参数表》；2.具体网络连接接口见《赛场IP参数表》-“赛场互联接口参数表”；43.设备互联网段内可用地址数量见《赛场IP参数表》；4.IP地址分配要求，最节省IP地址，子网有效地址规划遵循2n-2的原则；5.参赛选手按照《赛场IP参数表》要求，自行分配IP地址段、设备互联接口；6.将分配的IP地址段和接口填入《赛场IP参数表》中（《赛场IP参数表》电子文件存于U盘“第一阶段”文件夹中，请填写完整后提交。）3.设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙DCFW:9999ETH0adminAdmin123网络日志系统NETLOG堡垒服务器DCST–Eth9参见“DCST登录用户表”注意：所有设备的默认管理接口、管理IP地址不允许修改;如果修改对应设备的缺省管理IP及管理端口，涉及此设备的题目按0分处理。5(二)第一阶段任务书（300分）提示：该阶段答案文档命名格式为：“第X阶段”-“任务X”-“任务名称”。例：“第一阶段、任务2、网络安全设备配置与防护”的答案提交文档，文件名称为：第一阶段-任务2-网络安全设备配置与防护.doc或第一阶段-任务2-网络安全设备配置与防护.docx。任务1：网络平台搭建（60分）提示：需要提交所有设备配置文件，其中DCRS设备要求提供showrun配置文件保存到WORD文档，DCFW、DCFS、WAF、NETLOG设备需要提交配置过程截图存入WORD文档，并在截图中加配置说明。提交的答案保存到一个WORD文档中，需标明题号，按顺序答题。平台搭建要求如下：题号网络需求分值1根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。5分2根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进行配置。5分3根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。5分4根据网络拓扑图所示，按照IP地址参数表，对DCFS的各接口IP地址进行配置。5分5根据网络拓扑图所示，按照IP地址参数表，对NETLOG的名称、各接口IP地址进行配置。5分6根据网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN。5分7采用RIPV2路由协议，全网络互连。6分8完整填写“赛场IP参数表”。24分任务2：网络安全设备配置与防护（240分）提示：需要提交所有设备配置文件，其中DCRS设备要求提供showrun配置文件保存到WORD文档，DCFW、DCFS、WAF、NETLOG设备需要提交配置过程截图存入WORD文档，并在截图中加以说明。请顺序答题，并标注题号。每个设备提交的答案各自保存到不同的WORD文档中（本任务可以保存5个WORD文档）。例：“第一阶段、任务2、网络安全设备配置与防护”关于NETLOG设备的答案提交文档，文件名称为：第一阶段-任务2-网络安全设备配置与防护6-NETLOG.doc或第一阶段-任务2-网络安全设备配置与防护-NETLOG.docx。1.在公司总部的DCFW上配置，连接互联网的接口属于WAN安全域、连接内网的接口属于LAN安全域。（6分）2.在公司总部的DCFW上配置，开启DCFW针对以下攻击的防护功能：ICMP洪水攻击防护、UDP洪水攻击防护、SYN洪水攻击防护、WinNuke攻击防护、IP地址欺骗攻击防护、IP地址扫描攻击防护、端口扫描防护、PingofDeath攻击防护、Teardrop攻击防护、IP分片防护、IP选项、Smurf或者Fraggle攻击防护、Land攻击防护、ICMP大包攻击防护、TCP选项异常、DNS查询洪水攻击防护、DNS递归查询洪水攻击防护。（6分）3.在公司总部的DCFW上新增2个用户，用户1（用户名：User1；密码：User1）：只拥有配置查看权限，不能进行任何的配置添加与修改，删除。用户2（用户名：User2；密码：User2）：拥有所有的查看权限，拥有除“用户升级、应用特征库升级、重启设备、配置日志”模块以外的所有模块的配置添加与修改，删除权限。（6分）4.在公司总部的DCFW上配置，内网可以访问互联网任何服务，互联网不可以访问内网。（6分）5.在公司总部的DCFW上配置网页内容过滤：内网用户不能访问互联网网站：；（6分）6.在公司总部的DCFW上配置，使公司总部的DCST服务器可以通过互联网被访问，从互联网访问的地址是公网地址的第三个可用地址（公网IP地址段参考“赛场IP参数表”），且仅允许PC-2通过互联网访问DCST设备。（6分）7.在公司总部的DCFW上配置，使内网所有用户网段和服务器区网段都可以通过DCFW外网接口IP地址访问互联网。（6分）8.为了保证正常工作，在公司总部的DCFW上配置：对于上班时间（8：00-17：00）公司总部内网浏览Internet网页，连接总数不超过2000；（6分）9.在公司总部的DCFW上配置，使内网访问Internet网站时，不允许访问MSI(.msi)、EXE(.exe)、COM(.com)、(.bat)类型的文件。（6分）10.在公司总部的DCFW上配置，使内网向Internet发送邮件，或者从Internet接收邮件时，不允许邮件携带附件大于50MB。（6分）11.在公司总部的DCFW上启用L2TPVPN，使分支机构通过L2TPVPN拨入公司总部，访问内网的所有信息资源。L2TPVPN地址池x.x.x.x/x（具体IP地址参考“赛场IP参数表”）。（6分）12.在公司总部的DCFW上启用SSLVPN，使分支机构通过SSLVPN拨入公司总部，访问内网的所有信息资源。SSLVPN地址池x.x.x.x/x（具体IP地址参考“赛场IP参数表”）。（6分）13.在PC-2运行Wireshark分别对L2TPVPN和SSLVPN访问内网的流量进行捕获，并对以上两种流量进行对比分析区别。（6分）14.在公司总部的DCFS上配置，使其连接DCFW防火墙和DCRS交换机之间的接口能够实现二层互通。（6分）15.在公司总部的DCFS上配置，使DCFS能够对由公司内网发起至Internet的流量实现以下操作：会话保持、应用分析、主机统计、会话限制、会话日志。（6分）716.在公司总部的DCFS上配置，使工作日内（每周一至周五），阻止PC-1访问迅雷相关应用，并返回TCPReset数据包。（6分）17.在公司总部的DCFS上配置，实现公司内网每用