2018年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书样题

(二) 第一阶段任务书（300分）

该阶段需要提交配置或截图文档，命名如下表所示： 阶段 任务 任务1 2 3 第一阶段 任务2 4 5 6 7 赛场IP参数表 任务2-DCFW 任务2-DCBI 任务2-WAF 任务2-DCRS 任务2-DCWS 序号 1 文档名称 任务1 任务1：网络平台搭建（60分）

平台搭建要求如下：

题号 网络需求 根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行1 配置。 根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进2 行配置。 根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进3 行配置。 4 根据网络拓扑图所示，按照IP地址参数表，对DCWS的各接口IP地址进行配置。 根据网络拓扑图所示，按照IP地址参数表，对DCBI的名称、各接口IP地址进5 行配置。 6 根据网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的VLAN，

并将相应接口划入VLAN。 7 8 采用静态路由的方式，全网络互连。 完整填写“赛场IP参数表”。 任务2：网络安全设备配置与防护（240分）

DCFW:

1. 在总公司的DCFW上配置，连接LAN接口开启PING,HTTP,HTTPS功能，连接

Internet接口开启PING、HTTPS功能；并且新增一个用户，用户名dcn2017，密码dcn2017，该用户只有读-执行权限；

2. DCFW配置NTP 和 LOG， Server IP为，NTP认证密码为Dcn2017； 3. DCFW连接LAN的接口配置二层防护，ARP Flood超过500个每秒时丢弃超

出的ARP包，ARP扫描攻击超过300个每秒时弃超出的ARP包；配置静态ARP绑定，MAC地址与IP地址绑定；

4. DCFW连接Internet的区域上配置以下攻击防护： FW1，FW2攻击防护 启以下Flood防护：

ICMP洪水攻击防护，警戒值2000，动作丢弃； UDP供水攻击防护，警戒值1500，动作丢弃； SYN洪水攻击防护，警戒值5000，动作丢弃； 开启以下DOS防护： Ping of Death攻击防护； Teardrop攻击防护； IP选项，动作丢弃；

ICMP大包攻击防护，警戒值2048，动作丢弃；

5. 限制LAN到Internet流媒体RTSP应用会话数，在周一至周五8:00-17:00

每5秒钟会话建立不可超过20； DCBI:

6. 在公司总部的DCBI上配置，设备部署方式为旁路模式，并配置监控接口与

管理接口;增加非admin账户DCN2017，密码dcn2017，该账户仅用于用户查询设备的系统状态和统计报表;

7. 在公司总部的DCBI上配置，监控周一至周五9：00-18：00 PC-1所在网段

用户访问的URL中包含xunlei的HTTP访问记录，并且邮件发送告警; 8. 在公司总部的DCBI上配置，监控PC-1所在网段用户周一至周五9：00-18：

00的即时聊天记录;

9. 公司总部LAN中用户访问网页中带有“MP3”、“MKV” 、“RMVB”需要被

DCBI记录；邮件内容中带有“银行账号”记录并发送邮件告警； 10. DCBI监控LAN中用户访问网络游戏，包括“游戏”、“魔兽世界”并作记

录； WAF:

11. 在公司总部的WAF上配置，编辑防护策略，定义HTTP请求体的最大长度为

512，防止缓冲区溢出攻击；

12. 在公司总部的WAF上配置，防止某源IP地址在短时间内发送大量的恶意请

求，影响公司网站正常服务。大量请求的确认值是：10秒钟超过3000次请求；

13. 在公司总部的WAF上配置，对公司网站（）进行安全评估，检查网站是否

存在安全漏洞，便于在攻击没有发生的情况下提前做出防护措施；

DCRS:

14. DCRS为接入交换机，为终端产生防止MAC地址防洪攻击，请配置端口安全，

每个已划分VLAN的端口最多学习到5个MAC地址，发生违规阻止后续违规流量通过，不影响已有流量并产生LOG日志；Ex/x为专用接口，限定MAC地址00-1可以连接； 将连接DCFW的双向流量镜像至Netlog进行监控和分析；

15. DCRS配置认证，Radius服务器IP 地址认证密码Dcn2017, Ex/x号端口开启功能，接入该端口通过PC上的软件进行认证；

16. 接入DCRS Ex/x，仅允许IP地址为源的数据包为合法包，以其它IP地址为

源地址，交换机直接丢弃； DCWS：

17. AP通过option43方式进行正常注册上线； 18. 设置AP工作在5G频段；

19. 设置SSID DCN，加密模式为wpa-personal,其口令为：chinaskill； 设置SSID GUEST 不进行认证加密；

20. GUSET最多接入10个用户，用户间相互隔离，并对GUEST网络进行流控，

上行1M，下行2M；

(三) 第二阶段：系统安全攻防及运维安全管控（400分）

提示1：本阶段用到堡垒服务器DCST中的服务器场景，获取服务器IP地址方式如下：

Windows服务器的IP地址可以通过拓扑界面获得，如果获得不了，采用如下方法获得：

通过DCST场景里的网络拓扑图，启动连接设备