“2011年全国职业院校技能大赛”高职组信息安全技术应用试题.doc

2011年全国“信息安全技术应用”试题 竞赛内容 阶段 序号 步骤 竞赛时间（小时） 第一阶段：网络与安全部署 1 网络环境搭建 3 2 网络安全部署 3 系统加固 2 第二阶段：场内攻防对抗 4 场内分组攻防 2 第三阶段：场外攻防对抗 5 防守场外渗透测试 1 赛场规则： 1.不可以插拔堡垒服务器网线； 2.不得重启堡垒服务器以及重启堡垒服务器中的虚拟机； 3.不得关闭21、22、23、80、1433、3306、3389、8080服务端口； 4.不得在堡垒服务器中开启防火墙功能，不得安装杀毒软件； 5.不得在堡垒服务器前端架设硬件防火墙，不得在设备上配置ACL阻断外部的访问； 6.禁止使用DoS、DDoS、ARP欺骗、病毒类等恶意工具攻击大赛主网络。 IP地址规划表 大赛使用统一规划的IP地址，具体规划及说明如下表： （例：192.XXX.1.1，IP地址中“XXX”为小组工位号，如：第一组工位号为：101，则该端口地址为，以此类推） 设备名称 接口 IP地址 子网掩码 RA G0/3 192.XXX.1.1 24 G0/4 192.XXX.2.1 24 RB G0/3 192.XXX.3.1 24 G0/4 192.XXX.2.2 24 S0/1 172.XXX.10.1 30 RC G0/3 192.XXX.1.2 24 G0/4 192.XXX.4.1 24 E0/1 192.XXX.20.1 24 S0/1 172.XXX.10.2 30 SWA VLAN40,VLAN50 10.XXX.50.10 24 SWB VLAN10,VLAN50 10.XXX.50.20 24 RS E0/0/1(VLAN30、VLAN50) 10.XXX.30.1 24 E0/0/2(VLAN40、VLAN50) 10.XXX.40.1 24 E0/0/3(VLAN10) 10.XXX.10.1 24 E0/0/4(VLAN20) 10.XXX.20.1 24 E0/0/10(VLAN100) 10.XXX.100.1 24 E0/0/11(VLAN200) FWA E0/3 192.XXX.100.1 24 E0/1 192.XXX.4.2 24 E0/2 192.XXX.3.2 24 FWB e0/1 192.XXX.20.2 24 e0/2 10.XXX.10.2 24 PCA PCB PCC PCD 2.1 第一阶段：网络与安全部署 2.1.1 网络环境搭建和网络安全部署 拓扑图（见附件一），IP地址规划（见附件二）及竞赛要求说明如下： 场景描述： 某公司通过防火墙与互联网相连，为保证公司内部网络和互联网络之间能够相互通信，要求完成一系列安全方面措施，现进行网络的搭建与配置。 技术要求： 根据拓扑图正确连接设备。 根据大赛规划设置IP地址与VLAN等基本信息。 由RA-RB-RC-FWA组成外网，FWB-RS-SWA-SWB组成内网。 外网运行OSPF多区域路由协议；RC与FWA组成Area0，RA与RC组成Area1，RB与FWA组成Area2，RA与RB组成Area3，RB与RC组成Area4，将Area2设为末梢区域，Area1上做虚链路。 RB与RC之间运行PPP，采用CHAP单向认证，RB为主认证方。 PCA访问RA时，使用策略路由使流量按照FWA-RB-RA的线路转发。 通过RC访问外网的FTP服务，要求使用QoS将下载流量限制在2M范围内。 当内网用户访问外网时，由FWB上通过开启NAT功能实现。 SWA与SWB之间使用链路捆绑，由2条千兆以太网线相连。 RS-SWA-SWB之间通过MSTP技术实现冗余链路的收敛，防止环路的产生，并且要求SWB的0/3端口阻断。 在RS上开启DHCP服务，要求PCC与PCB可以通过RS获取地址，且SWA、SWB可以阻断除RS之外的任何其他DHCP server服务。 将PCB的MAC地址与SWB的端口进行端口绑定，要求SWB的0/2端口只允许PCB接入。 通过dhcp snooping 实现PCC的IP地址、MAC地址与SWA的端口进行三元组绑定，要求SWA的0/1接口只允许PCC的IP接入。 PCB，PCC访问PCA时，必须使用WEB认证，由FWB设置。 在防火墙配置禁止PCB和PCC禁止使用QQ聊天软件。 PCA可以通过telnet远程管理RS设备，在FWB中配置反向NAT。 网络中所有的PC均可访问大赛主网络。 将通过RS访问外网的所有的数据镜像到IDS所连接的端口上，使用DCNIDS监控内网所有TCP数据包，并将所捕获的数据生成报