技能大賽之企業(yè)網(wǎng)6網(wǎng)絡系統(tǒng)安全項目測試試卷06.doc

湖南省高等職業(yè)院校計算機網(wǎng)絡技術專業(yè)技能抽查考試“網(wǎng)絡系統(tǒng)安全”項目測試試卷(編號 06 )第一部分考試說明一、 技能抽查考試內容發(fā)布 “網(wǎng)絡系統(tǒng)安全管理項目”考試內容共分四個組成部分，其中：1. 項目工程設計、實施與管理部分，占總分的比例為10%.2. 路由與交換設備配置部分，占總分的比例為50%。3. 網(wǎng)絡服務器配置及應用部分，占總分的比例為30%。4. 網(wǎng)絡安全硬件配置部分，占總分的比例為10%。二、 技能抽查考試相關設備及材料清單1 軟件環(huán)境序號類型名稱位置1系統(tǒng)軟件Windows XP pro sp3D:軟件資料2系統(tǒng)軟件Windows 2003 ServerD:軟件資料3應用軟件PuttyD:軟件資料4應用軟件Microsoft Visio 2007D:軟件資料5應用軟件VMware Workstation 7.0D:軟件資料6應用軟件Office 2003，winrar，Adobe reader 9D:軟件資料7網(wǎng)管軟件防火墻 IDSD:軟件資料8驅動程序打印機D:軟件資料9序列號所有對應的序列號D:軟件資料10文本網(wǎng)絡設備產(chǎn)品說明書D:軟件資料2 硬件設備（1）網(wǎng)絡相關設備采用銳捷或神州數(shù)碼的相關產(chǎn)品。序號設備名稱數(shù)量參考型號1路由器4RG-RSR20-18或DCR-26112串口模塊6SIC-HIS3串口v.35線3V.354二層交換機2RG-S2328或DCS-39505三層交換機2RG-S3760或DCRS-5526S6防火墻2RG-WALL160M或DCFW-1800S7入侵檢測系統(tǒng)1RG-IDS500S或DCNIDS-1800-M8電腦4Cpu 5300以上，內存2G以上，帶com口 第二部分 工程項目建設一 項目背景及網(wǎng)絡拓撲1. 項目描述 開元集團是一家事從高科技產(chǎn)品研發(fā)、生產(chǎn)和銷售的大型企業(yè)，總公司和分公司通過網(wǎng)絡互邊，隨著業(yè)務的發(fā)展，公司原有網(wǎng)絡不能滿足高效企業(yè)管理的需要，公司經(jīng)常遭到來自互聯(lián)網(wǎng)的攻擊和入侵，網(wǎng)絡安全對生產(chǎn)和經(jīng)營的影響也越來越明顯。為了滿足公司業(yè)務的需要，公司決定構建一個高速、穩(wěn)定、安全的適應企業(yè)現(xiàn)代化辦公需求的高性能網(wǎng)絡2. 網(wǎng)絡規(guī)劃設計網(wǎng)絡拓撲結構規(guī)劃如圖1所示本次公司的網(wǎng)絡構建包括總公司和分公司的兩個部分。總公司局域網(wǎng)核心采用雙交換機的構架，通過 VRRP 技術實現(xiàn)負載均衡和鏈路備份。兩臺核心交換機連接到核心路由器，核心路由器連接到網(wǎng)絡出口防火墻，同時核心路由器通過專線連接到分公司的出口路由器。總公司的網(wǎng)絡出口使用防火墻連接到 ISP 通過配置防火墻來實現(xiàn)內網(wǎng)用戶訪問 Internet 以及保護內網(wǎng)的安全?？偣竞头止局g的辦公用戶通過路由器建立的遂道相互通信，有效的保證了數(shù)據(jù)傳輸?shù)陌踩?。服務器集中放置在網(wǎng)絡中心機房。直接連接到核心交換機，通過部署 IDS 網(wǎng)絡中訪問服務器的數(shù)據(jù)進行檢測，通過 IDS 來預防內網(wǎng)的網(wǎng)絡攻擊。分公司的網(wǎng)絡的出口路由器通過 VPN 遂道與分公司路由器相連。通過安全通安全遂道來訪問總公司的資源。二、工程項目建設內容1 .項目工程設計、實施與管理部分（10分）2通過對用戶的再次需求分析得知：由于用戶對網(wǎng)絡的安全性要求特別高，即要求總公司內部的局域網(wǎng)以及與外網(wǎng)的訪問能實現(xiàn)很高的安全性。而對前面設計的網(wǎng)絡拓撲的設計分析得知，該網(wǎng)絡的僅僅只在內網(wǎng)和外網(wǎng)之間部署了防火器?，F(xiàn)在請完成以下工作：（1）分析目前網(wǎng)絡中的安全現(xiàn)狀，指出安全漏洞所在，并提出改進意見，改進建設需要提供一定的投資分析，即在根據(jù)現(xiàn)有網(wǎng)絡的規(guī)模的等級，安全投入與產(chǎn)出是否合理，以方便用戶進行決策。（2）在前面拓撲結構的基礎上設計更高安全性的網(wǎng)絡拔掉結構，要求可以超過給定的設務，請繪制拓撲結構圖，標注好端口、IP地址等必要的說明信息。注意：拓撲結構圖與分析表在考試結束前保存到“d:提交資料”目錄中。2.路由與交換設備配置部分（50分） 根據(jù)圖1的拓撲結構的要求完成以下配置：（1） 完成部、分公司在兩臺路由器和交換機的IP地址的配置；（2） 在總公司的兩臺核心交換機和一臺匯聚層交換機上配置VLAN信息，具體配置如下，在三臺交換機上配置四個VLAN，分別是VLAN10、VLAN20、VLAN30、VLAN40。將每個交換機中的2-4、5-7、12-15、16-20號端口分別劃入VLAN10、VLAN20、VLAN30、VLAN40；（3） 參考拓撲結構圖給交換機啟用SVI 并給相應的VLAN配置ip地址；（4） 將S3750-A的FA0/23-24設置為鏈路聚合，并將聚合新接合設置trunk ,將S3750-B的FA0/23-24設置為鏈路聚合，并將聚合新接合設置trunk；（5） 為了防止內網(wǎng)有惡意偽造交換機發(fā)出的BPDU報文導致的網(wǎng)絡不穩(wěn)定，需要在適當?shù)慕涌谏吓渲肧TP的BPDU保護(BPDUGuard); （6） 為了防止發(fā)生ARP欺騙攻擊，需要在適當?shù)慕涌谏吓渲枚丝诎踩?，對合法IP和MAC地址進行綁定，并開啟ARP檢查功能（ARP-Check）;注意：（1） 所有設備的配備配置必須進行保存，此為評卷依據(jù)；（2） 通過超級終端將各個設備的全部配置內容捕獲成TXT文件，存放在指定位置-桌面組名*.txt。文件名以設備名稱命名，例如：S3750-A的配置內容保存為S3750-A.txt。（3） 通過打印機將以上保存的文件分別打印成紙質文檔，放置在桌面；（4） 設備中的配置為唯一評卷依據(jù)；如果配置沒有在設備中保存，即使有TXT文件或者紙質文檔。網(wǎng)絡搭建部分也為0分；設備中配置如果與TXT文件或者紙質文檔有差異，以設備中配置為準！3. 網(wǎng)絡服務器配置及應用項目部分（30分）（1） 在總公司的網(wǎng)絡中心機房的Server1服務器上利用VMwareworkstation軟件，安裝一個Windows 2003 操作系統(tǒng)，標簽務WIN2003A,存放位置分別為D:/ WIN2003A,內存均為512MB，網(wǎng)卡均使用橋接模式連接，網(wǎng)絡IP地址范圍在/24即可，硬盤空間均為10GB，且無需立即分配磁盤空間。（2） 在WIN2003服務器上配置DNS服務，為單位內部用戶提供域名解析服務，同時也負責向外部DNS服務器轉發(fā)DNS請求，域名為。能實現(xiàn)正向、反向域名解析服務。實現(xiàn)、和域名解析服務；并為郵件服務器建立郵件交換器。將域的記錄內容界面截圖保存；在客戶端通過nslookup解析以上域名，并將解析結果窗口截圖。（3） 在WIN2003服務器上配置FTP服務,使得用戶在客戶端能通過域名訪問服務器。該服務器允許匿名用戶訪問，但只允許其下載數(shù)據(jù)，不允許上傳數(shù)據(jù)，設置用戶ftp_userl,該用戶允許上傳，不允許下載；開啟ftpl的log功能設置，文件名為D:/lag/ftplog;設置無任何打操作的超時時間為兩分鐘；設置FTP服務器最大支持連接數(shù)為1000個，僅僅允許VLAN20網(wǎng)段的主機以ftp_userl訪問。將配置文件界面截圖保存。（4） 在客戶端PC2(VLAN20)通過域名訪問FTP服務器，將訪問的結果窗口截圖保存。（5） 在WIN2003服務器上配置DHCP服務器，要求能為各個虛擬局域網(wǎng)的主機分配TCP/IP參數(shù)，并將配置結構窗口截圖。 注意：（1） 服務器操作系統(tǒng)均利用VMware workstation 7.0 虛擬機系統(tǒng)實現(xiàn)。（2） 請各位考生按要求完成各項服務器配置，在完成配置后提交能反映各個配置項目結果的窗口截圖，Server1中Windows 2003系統(tǒng)的所有截圖按照試題順序粘貼在文件名為：組號_serverl.doc如3組的文件命名為：3_serverl.doc的文檔中，請參照“d:提交資料組號_serverl.doc”文檔模板。文檔中要求有試題的題號小標題，并對每個截圖時行必要的說明，無截圖的項目不得分4. 網(wǎng)絡安全硬件配置部分（10分） 總公司和分公司出口分別使用防火墻和路由器，總