2022年全國職業(yè)院校技能大賽高職組“信息安全管理與評估”賽項-第1階段-賽題

2022年全國職業(yè)院校技能大賽高職組

“信息安全管理與評估”賽項

任務(wù)書1

一、賽項第一階段時間

180分鐘。

二、賽項信息

任務(wù)競賽

競賽階段競賽任務(wù)分值

階段時間

第一階段任務(wù)1網(wǎng)絡(luò)平臺搭建50

180

平臺搭建與安全

任務(wù)2網(wǎng)絡(luò)安全設(shè)備配置與防護分鐘250

設(shè)備配置防護

三、注意事項

賽題第一階段請按裁判組專門提供的U盤中的“XXX-答題模板”

中的要求提交答案。選手需要在U盤的根目錄下建立一個名為“GWxx”

的文件夾（xx用具體的工位號替代），所完成的“XXX-答題模板”放

置在文件夾中作為比賽結(jié)果提交。

1

四、賽項內(nèi)容

(一)賽項環(huán)境設(shè)置

1.網(wǎng)絡(luò)拓撲圖

2

2.IP地址規(guī)劃表

設(shè)備名稱接口IP地址對端設(shè)備

54/30

（Trust安全域）RSETH1/0/1

ETH0/1-2

54/30RSETH1/0/2

（Trust安全域）

54/30

ETH0/3NETLOGETH3

（Trust安全域）

54/30

ETH0/4NETLOGETH4

（Trust安全域）

/27IDCSERVER

ETH0/5

防火墻（untrust安全域）

FW/28

ETH0/6RSETH1/0/19

（untrust安全域）

/24

Loopback1

（Trust安全域）

/24

Loopback2

（Trust安全域）

-

/24

Loopback3

（Trust安全域）

/24

Loopback4

（Trust安全域）

VLAN40

2/26PC2

ETH1/0/4-8

VLAN50

2/26PC3

ETH1/0/3

VLAN51

54/30NETLOG

ETH1/0/23

VLAN5254/24WAF

三層交換機

VLAN113OSPF

RSVLAN113FW

53/30

VLAN114OSPF

VLAN114FW

53/30

VLAN117

53/30NETLOGETH1

ETH1/0/17

VLAN118

53/30NETLOGETH2

ETH1/0/18

3

VLAN100

/30

2001::192:168:100:1/112

ETH1/0/20VLAN115OSPFWS

54/30

VLAN116OSPF

54/30

VLAN4000

/28FW

ETH1/0/19

VLAN100

/30

ETH1/0/20

2001::192:168:100:2/112RS

VLAN11553/30

VLAN11653/30

三層無線VLAN30

2/26PC1

交換機WSETH1/0/3

無線管理VLAN

VLAN101需配置AP

ETH1/0/21

VLAN10需配置無線1

VLAN20需配置無線2

日志服務(wù)器

ETH553/30RSETHE1/0/23

NETLOG

WEB應(yīng)用ETH3RSETHE1/0/24

53/30

防火墻WAFETH4堡壘服務(wù)器

4

3.設(shè)備初始化信息表

設(shè)備登錄

設(shè)備型號登錄方式賬號密碼

類型端口

DCFW-1800E-

防火墻E0/0adminadmin

N3002-PRO

三層CS6200-28X-

CONSOLE波特率9600

交換機PRO

WEBDCFW-1800-

GE0adminyunke1234!

防火墻WAF-P

網(wǎng)絡(luò)

日志DCBC-NETLOGGE0:9090adminAdmin*PWD

系統(tǒng)

三層

DCWS-6028-

無線CONSOLE波特率9600adminadmin

PRO

交換機

5

第一階段任務(wù)書

任務(wù)1：網(wǎng)絡(luò)平臺搭建（50分）

題號網(wǎng)絡(luò)需求

按照IP地址規(guī)劃表，對防火墻的名稱、各接口IP地址進行配置。

1

（10分）

按照IP地址規(guī)劃表，對三層交換機的名稱進行配置，創(chuàng)建VLAN并

2

將相應(yīng)接口劃入VLAN,對各接口IP地址進行配置。（10分）

按照IP地址規(guī)劃表，對無線交換機的名稱進行配置，創(chuàng)建VLAN并

3

將相應(yīng)接口劃入VLAN,對接口IP地址進行配置。（10分）

按照IP地址規(guī)劃表，對網(wǎng)絡(luò)日志系統(tǒng)的名稱、各接口IP地址進行

4

配置。（10分）

按照IP地址規(guī)劃表，對WEB應(yīng)用防火墻的名稱、各接口IP地址進

5

行配置。（10分）

6

任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護（250分）

1.RS開啟telnet登錄功能，用戶名skills01，密碼skills01，

配置使用telnet方式登錄終端界面前顯示如下授權(quán)信息：

“WARNING!!!Authorisedaccessonly,allofyourdone

willberecorded!DisconnectedIMMEDIATELYifyouare

notanauthoriseduser!Otherwise,weretaintheright

topursuethelegalresponsibility”；（16分）

2.總部交換機SW配置簡單網(wǎng)絡(luò)管理協(xié)議，計劃啟用V3版本，V3

版本在安全性方面做了極大的擴充。配置引擎號分別為62001；

創(chuàng)建認證用戶為skills01，采用3des算法進行加密，密鑰為：

skills01，哈希算法為SHA，密鑰為：skills01；加入組ABC，

采用最高安全級別；配置組的讀、寫視圖分別為：2022_R、

2022_W；當設(shè)備有異常時，需要使用本地的VLAN100地址發(fā)送

Trap消息至網(wǎng)管服務(wù)器03，采用最高安全級別；（6

分）

3.對RS上VLAN40開啟以下安全機制：

業(yè)務(wù)內(nèi)部終端相互二層隔離，啟用環(huán)路檢測，環(huán)路檢測的時間間

隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復(fù)時間為30分鐘；如

發(fā)現(xiàn)私設(shè)DHCP服務(wù)器則關(guān)閉該端口，配置防止ARP欺騙攻擊；

（6分）

7

4.勒索蠕蟲病毒席卷全球，爆發(fā)了堪稱史上最大規(guī)模的網(wǎng)絡(luò)攻擊，

通過對總部核心交換機RS所有業(yè)務(wù)VLAN下配置訪問控制策略實

現(xiàn)雙向安全防護;（6分）

5.RS配置IPv6地址，使用相關(guān)特性實現(xiàn)VLAN50的IPv6終端可自

動從網(wǎng)關(guān)處獲得IPv6有狀態(tài)地址；（6分）

WS配置IPv6地址，開啟路由公告功能，路由器公告的生存期為

2小時，確保VLAN30的IPv6終端可以獲得IPv6無狀態(tài)地址。

WS與RS之間配置RIPng，使PC1與PC3可以通過IPv6通信；

IPv6業(yè)務(wù)地址規(guī)劃如下，其它IPv6地址自行規(guī)劃：

業(yè)務(wù)IPV6地址

VLAN302001:30::254/64

VLAN502001:50::254/64

6.盡可能加大RS與防火墻FW之間的帶寬;

配置使總部VLAN40業(yè)務(wù)的用戶訪問IDCSERVER的數(shù)據(jù)流經(jīng)過

FW54,IDCSERVER返回數(shù)據(jù)流經(jīng)過FW54，

且對雙向數(shù)據(jù)流開啟所有安全防護，參數(shù)和行為為默認;（6

分）

7.FW、RS、WS之間配置OSPFarea0開啟基于鏈路的MD5認證，

密鑰自定義,傳播訪問INTERNET默認路由；（6分）

8.FW與RS建立兩對IBGP鄰居關(guān)系，使用AS65500，F(xiàn)W上

loopback1-4為模擬AS65500中網(wǎng)絡(luò)，為保證數(shù)據(jù)通信的可靠

性和負載，完成以下配置，要求如下：（6分）

8

?RS通過BGP到達loopback1,2網(wǎng)路下一跳為54；

RS通過BGP到達loopback3,4網(wǎng)絡(luò)下一跳為54；

?通過BGP實現(xiàn)到達loopback1,2,3,4的網(wǎng)絡(luò)冗余；

?使用IP前綴列表匹配上述業(yè)務(wù)數(shù)據(jù)流；

?使用ASPATH屬性進行業(yè)務(wù)選路，只允許使用route-map來

改變ASPATH屬性、實現(xiàn)路由控制，ASPATH屬性可配置的

參數(shù)數(shù)值為：65509

9.如果RSE1/0/3端口的收包速率超過30000則關(guān)閉此端口，恢復(fù)

時間5分鐘，并每隔10分鐘對端口的速率進行統(tǒng)計；為了更好

地提高數(shù)據(jù)轉(zhuǎn)發(fā)的性能，RS交換中的數(shù)據(jù)包大小指定為1600字

節(jié)；（6分）

10.為實現(xiàn)對防火墻的安全管理，在防火墻FW的Trust安全域開啟

PING、HTTP、SNMP功能（loopback接口除外），Untrust安全

域開啟SSH、HTTPS功能;（6分）

11.總部VLAN業(yè)務(wù)用戶通過防火墻訪問Internet時，復(fù)用公網(wǎng)

IP：8/28，保證每一個源IP產(chǎn)生的所有會話將被映

射到同一個固定的IP地址，當有流量匹配本地址轉(zhuǎn)換規(guī)則時產(chǎn)

生日志信息，將匹配的日志發(fā)送至53的UDP2000端

口；（6分）

12.配置L2TPVPN，名稱為VPN，滿足遠程辦公用戶通過撥號登陸訪

問內(nèi)網(wǎng)，創(chuàng)建隧道接口為tunnel1、并加入Untrust安全域，

地址池名稱為AddressPool，LNS地址池為/24-

9

00/24，網(wǎng)關(guān)為最大可用地址，認證賬號

skills01,密碼skills01；（6分）

13.FW配置禁止所有人在周一至周五工作時間9：00-18：00訪問

京東和淘寶;相同時間段禁止訪問

中含有“娛樂”、“新聞”的WEB頁面；（6分）

14.在FW開啟安全網(wǎng)關(guān)的TCPSYN包檢查功能，只有檢查收到的包

為TCPSYN包后，才建立連接；配置所有的TCP數(shù)據(jù)包每次能夠

傳輸?shù)淖畲髷?shù)據(jù)分段為1460，盡力減少網(wǎng)絡(luò)分片；配置對TCP

三次握手建立的時間進行檢查，如果在1分鐘內(nèi)未完成三次握

手，則斷掉該連接；（6分）

15.為保證總部Internet出口線路，在FW上使用相關(guān)技術(shù)，通過

ping監(jiān)控外網(wǎng)網(wǎng)關(guān)地址，監(jiān)控對象名稱為Track，每隔5S發(fā)送

探測報文，連續(xù)10次收不到監(jiān)測報文，就認為線路故障，直接

關(guān)閉外網(wǎng)接口。FW要求內(nèi)網(wǎng)每個IP限制會話數(shù)量為300；（6

分）

16.Internet端有一分支結(jié)構(gòu)路由器，需要在總部防火墻FW上完成

以下預(yù)配，保證總部與分支機構(gòu)的安全連接：（6分）

防火墻FW與Internet端路由器建立GRE隧道，并

使用IPSec保護GRE隧道，保證分支結(jié)構(gòu)中與總部

VLAN40安全通信。

第一階段采用pre-share認證加密算法:3DES；

第二階段采用ESP協(xié)議，加密算法:3DES；

10

17.已知原AP管理地址為/15，為了避免地址浪費請重新

規(guī)劃和配置IP地址段，要求如下：（6分）

?使用原AP所在網(wǎng)絡(luò)進行地址劃分；

?現(xiàn)無線用戶VLAN10中需要127個終端，無線用戶VLAN20

需要50個終端；

?WS上配置DHCP，管理VLAN為VLAN101,為AP下發(fā)管理地

址，網(wǎng)段中第一個可用地址為AP管理地址，最后一個可用地

址為WS管理地址，保證完成AP二層注冊；為無線用戶

VLAN10,20下發(fā)IP地址，最后一個可用地址為網(wǎng)關(guān)；

18.在NETWORK下配置SSID，需求如下：（6分）

?NETWORK1下設(shè)置SSID2022skills-2.4G，VLAN10，加密模

式為wpa-personal,其口令為skills01；

?NETWORK20下設(shè)置SSID2022skills-5G，VLAN20不進行認

證加密,做相應(yīng)配置隱藏該SSID,只使用倒數(shù)第一個可用VAP

發(fā)送5.0G信號；

19.在NETWORK2下配置一個SSID2022skills_IPv6，屬于VLAN21

用于IPv6無線測試，用戶接入無線網(wǎng)絡(luò)時需要采用基于WPA-

personal加密方式，其口令為“skills01”，該網(wǎng)絡(luò)中的用戶

從WSDHCP獲取IPv6地址，地址范圍為：2001:10:81::/112，

第一個可用地址作為網(wǎng)關(guān)地址;（6分）

20.NETWORK1開啟內(nèi)置portal+本地認證的認證方式，賬號為

GUEST密碼為123456，保障無線信息的覆蓋性，無線AP的發(fā)射

11

功率設(shè)置為90%。禁止MAC地址為80-45-DD-77-CC-48的無線終

端連接;（6分）

21.通過配置防止多AP和AC相連時過多的安全認證連接而消耗CPU

資源，檢測到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼

續(xù)連接，兩小時后恢復(fù)正常;（6分）

22.為方便合理使用帶寬，要求針對SSID為“2022skills-2.4”下

的用戶進行帶寬控制。對用戶上行速率沒有限制，但是針對下行

速率要求用戶的帶寬為2Mbps，在最大帶寬可以達到4Mbps;（6

分）

23.配置所有Radio接口：AP在收到錯誤幀時，將不再發(fā)送ACK

幀；打開AP組播廣播突發(fā)限制功能；開啟Radio的自動信道調(diào)

整，每天上午10:00觸發(fā)信道調(diào)整功能;（6分）

24.配置所有無線接入用戶相互隔離，Network模式下限制每天早上

0點到4點禁止終端接入，開啟ARP抑制功能；（6分）

25.配置當AP上線，如果AC中儲存的Image版本和AP的Image版

本號不同時，會觸發(fā)AP自動升級；配置AP發(fā)送向無線終端表明

AP存在的幀時間間隔為1秒；配置AP失敗狀態(tài)超時時間及探測

到的客戶端狀態(tài)超時時間都為2小時;（6分）

26.在公司總部的NETLOG上配置，設(shè)備部署方式為透明模式。增加

非admin賬戶skills01，密碼skills01@，該賬戶僅用于用戶日

志查詢；（6分）

12

27.為日志查詢的時間準確性，要求在NETLOG上配置NTP服務(wù)，NTP

服務(wù)器設(shè)定為中國科學(xué)院國家授時中心()；（6

分）

28.在公司總部的NETLOG上配置，在工作日（每周一到周五09：

00-17：00）期間針對所有無線網(wǎng)段訪問互聯(lián)網(wǎng)進行審計，不限

制其他用戶在工作日（每周一到周五上班）期間訪問互聯(lián)網(wǎng)；

（6分）

29.NETLOG配置應(yīng)用“即時聊天”，在周一至周五8：00-20：00監(jiān)

控內(nèi)網(wǎng)中所有用戶的騰訊QQ相關(guān)應(yīng)用；（6分）

30.NETLOG配置內(nèi)容管理，對郵件內(nèi)容包含“協(xié)議”、“投訴”字

樣的郵件；（6分）

31.NETLOG上配置報警郵箱，郵件服務(wù)器IP為3，端口

號為25，賬號為:skills01,密碼:skills01，同時把報警郵件

抄送給Manager@;（6分）

32.使用NETLOG對內(nèi)網(wǎng)所有IP進行本地認證，認證頁面為默認，

要求HTTP認證后的用戶在每天凌晨2點強制下線，并且對訪問

HTTP服務(wù)器5的80端口進行免認證；（6分）

33.NETLOG上針對服務(wù)器5/32遭遇到的RPC攻擊、DNS

攻擊、數(shù)據(jù)庫攻擊、DOS攻擊、掃描攻擊進行所有級別的拒絕動

作，并記錄日志；（6分）

13

34.在公司總部的WAF上配置，設(shè)備部署方式為透明模式。要求對內(nèi)

網(wǎng)HTTP服務(wù)器5/32啟用代理模式，服務(wù)器名稱為

“HTTP”，后續(xù)對這臺服務(wù)器進行Web防護配置;（6分）

35.建立掃描防護規(guī)則“http掃描”，類型為掃描陷阱，嚴重級別

為高級，開啟郵件告警和日志功能；（6分）

36.建立特征規(guī)則“http防御”，開啟SQL注入、XXS攻擊、信息泄

露等防御功能，要求針對這些攻擊阻斷并保存日志發(fā)送郵件告

警;（6分）

37.建立HTTP協(xié)議校驗規(guī)則“http防護”，URL最大個數(shù)為10，

Cookies最大個數(shù)為30，Host最大長度為1024，Accept最大長

度64等參數(shù)校驗設(shè)置，設(shè)置嚴重級別為中級，超出參數(shù)值阻斷

并保存日志發(fā)送郵件告警;（6分）

38.建立爬蟲防護規(guī)則“http爬蟲”，保護網(wǎng)

站不受爬蟲攻擊，設(shè)置嚴重級別為高級，一經(jīng)發(fā)現(xiàn)攻擊阻斷10

分鐘并保存日志發(fā)送郵件告警;（6分）

39.建立防盜鏈規(guī)則“http盜鏈”，防止網(wǎng)站

資源被其他網(wǎng)站利用，通過Referer方式檢測，設(shè)置嚴重級別為

中級，優(yōu)先級為1，一經(jīng)發(fā)現(xiàn)阻斷并保存日志發(fā)送郵件告警;

40.為方便日志的保存和查看，需要將WAF上的攻擊日志、訪問日

志、DDoS日志以JSON格式發(fā)給IP地址為00的日

志服務(wù)器上，端口為514;（6分）

14

2022年全國職業(yè)院校技能大賽高職組

“信息安全管理與評估”賽項

任務(wù)書1

一、賽項第一階段時間

180分鐘。

二、賽項信息

任務(wù)競賽

競賽階段競賽任務(wù)分值

階段時間

第一階段任務(wù)1網(wǎng)絡(luò)平臺搭建50

180

平臺搭建與安全

任務(wù)2網(wǎng)絡(luò)安全設(shè)備配置與防護分鐘250

設(shè)備配置防護

三、注意事項

賽題第一階段請按裁判組專門提供的U盤中的“XXX-答題模板”

中的要求提交答案。選手需要在U盤的根目錄下建立一個名為“GWxx”

的文件夾（xx用具體的工位號替代），所完成的“XXX-答題模板”放

置在文件夾中作為比賽結(jié)果提交。

1

四、賽項內(nèi)容

(一)賽項環(huán)境設(shè)置

1.網(wǎng)絡(luò)拓撲圖

2

2.IP地址規(guī)劃表

設(shè)備名稱接口IP地址對端設(shè)備

54/30

（Trust安全域）RSETH1/0/1

ETH0/1-2

54/30RSETH1/0/2

（Trust安全域）

54/30

ETH0/3NETLOGETH3

（Trust安全域）

54/30

ETH0/4NETLOGETH4

（Trust安全域）

/27IDCSERVER

ET