賽項(xiàng)時(shí)間

第一場(chǎng)比賽：13:00-17:30，共計(jì)4小時(shí)30分，含賽題發(fā)放、系統(tǒng)部署、收卷時(shí)間。

一、 賽項(xiàng)信息

第一場(chǎng)比賽：

競(jìng)賽階段 任務(wù)階段 競(jìng)賽任務(wù) 競(jìng)賽時(shí)間 分值

第一階段

平臺(tái)搭建與安全設(shè)備配置防護(hù) 任務(wù)1 網(wǎng)絡(luò)平臺(tái)搭建 13:00-16:00

700

```powershell

qq群：670610200

qq號(hào)：2366046367

```

二、 賽項(xiàng)內(nèi)容

選手首先需要在U盤的根目錄下建立一個(gè)名為“GZxx”的文件夾（xx用具體的工位號(hào)替代），賽題第一階段所完成的“XXX-答題模板”放置在文件夾中。

例如：08工位，則需要在U盤根目錄下建立“GZ08”文件夾，并在“GZ08”文件夾下直接放置第一個(gè)階段的所有“XXX-答題模板”文件。

特別說(shuō)明：只允許在根目錄下的“GZxx”文件夾中體現(xiàn)一次工位信息，不允許在其他文件夾名稱或文件名稱中再次體現(xiàn)工位信息，否則按作弊處理。

(一) 賽項(xiàng)環(huán)境設(shè)置

賽項(xiàng)環(huán)境設(shè)置包含了三個(gè)競(jìng)賽階段的基礎(chǔ)信息：網(wǎng)絡(luò)拓?fù)鋱D、IP地址規(guī)劃表、設(shè)備初始化信息。

1. 網(wǎng)絡(luò)拓?fù)鋱D


3. IP地址規(guī)劃表

設(shè)備名稱 接口 IP地址 對(duì)端設(shè)備 接口

防火墻DCFW ETH0/1-2 20.0.0.1/30（Trust安全域） DCRS eth1/0/1-2

221.1.19.1/27（untrust安全域） DCRS

SSL Pool 192.168.10.1/24

可用IP數(shù)量為20 SSL VPN地址池

三層交換機(jī)DCRS ETH1/0/4 - DCWS ETH1/0/4

ETH1/0/5 - DCWS ETH1/0/5

VLAN2021

ETH1/0/1-2 20.0.0.2/30 DCFW Vlan name

TO-DCFW

VLAN2022

ETH1/0/1-2 221.1.19.2/27 DCFW Vlan name

TO-internet

VLAN 2031

ETH1/0/3 221.1.19.33/27 DCBC Vlan name

TO-DCBC

VLAN 52

ETH1/0/22 192.168.1.1/24 WAF Vlan name

TO-WAF

VLAN 10 172.16.10.1/24 無(wú)線1 Vlan name

WIFI-vlan10

VLAN 20 172.16.20.1/25 無(wú)線2 Vlan name

WIFI-vlan20

VLAN 30

ETH1/0/7-9 172.16.30.1/26 PC1 Vlan name

CW

VLAN 40

ETH1/0/10-12 192.168.40.1/24 PC3 Vlan name

SERVER

Vlan 50

Eth1/0/13-14 192.168.50.1/24 Vlan name

Sales

VLAN 100 192.168.100.1/24 DCWS Vlan name

Manage

無(wú)線控制器DCWS VLAN 100 192.168.100.254/24 DCRS Vlan name

Manage

無(wú)線管理VLAN

VLAN 101

ETH1/0/3 192.168.101.1/24 AP Vlan name

Manage-ap

Vlan 50 Eth 1/0/6-8

日志服務(wù)器DCBC LAN2 192.168.201.1/24 PC2

WAN2 221.1.19.34/27 DCRS

WEB應(yīng)用防火墻WAF ETH2 192.168.1.2/24 DCST

ETH3 DCRS

堡壘服務(wù)器DCST - - WAF

4. 設(shè)備初始化信息

設(shè)備名稱 管理地址 默認(rèn)管理接口 用戶名 密碼

防火墻DCFW http://192.168.1.1

ETH0 admin admin

網(wǎng)絡(luò)日志系統(tǒng)DCBC https://192.168.0.1：9090 LAN1 admin admin*PWD

WEB應(yīng)用防火墻WAF https://192.168.45.1 ETH5 admin admin123

三層交換機(jī)DCRS - Console - -

無(wú)線交換機(jī)DCWS - Console - -

堡壘服務(wù)器DCST - - 參見(jiàn)“DCST登錄用戶表”

備注 所有設(shè)備的默認(rèn)管理接口、管理IP地址不允許修改;

如果修改對(duì)應(yīng)設(shè)備的缺省管理IP及管理端口，涉及此設(shè)備的題目按 0 分處理。

(二) 第一階段任務(wù)書（300分）

任務(wù)1：網(wǎng)絡(luò)平臺(tái)搭建（60分）

題號(hào) 網(wǎng)絡(luò)需求

1 根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對(duì)DCFW的名稱、各接口IP地址進(jìn)行配置。

2 根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對(duì)DCRS的名稱進(jìn)行配置，創(chuàng)建VLAN并將相應(yīng)接口劃入VLAN。

3 根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對(duì)DCRS各接口IP地址進(jìn)行配置。

4 根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對(duì)DCWS的各接口IP地址進(jìn)行配置。

5 根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對(duì)DCBC的名稱、各接口IP地址進(jìn)行配置。

6 根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對(duì)WAF的名稱、各接口IP地址進(jìn)行配置。

7 配置靜態(tài)路由實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)連通，到因特網(wǎng)流量采用默認(rèn)路由。

任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)（240分）

5. 總部核心交換機(jī)DCRS上開(kāi)啟SSH遠(yuǎn)程管理功能, 本地認(rèn)證用戶名: DCN2021,密碼：DCN2021;最大同時(shí)登錄為6。

6. 為了減少?gòu)V播，需要根據(jù)題目要求規(guī)劃并配置VLAN。要求配置合理，所有鏈路上不允許不必要VLAN的數(shù)據(jù)流通過(guò)，包括VLAN 1。集團(tuán)AC與核心交換機(jī)之間的互連接口發(fā)送交換機(jī)管理VLAN的報(bào)文時(shí)不攜帶標(biāo)簽，發(fā)送其它VLAN的報(bào)文時(shí)攜帶標(biāo)簽，要求禁止采用trunk鏈路類型。

7. 總部無(wú)線AC和核心運(yùn)行一種協(xié)議，實(shí)現(xiàn)無(wú)線1和無(wú)線2通過(guò)一條鏈路傳輸，銷售網(wǎng)段通過(guò)另外一條鏈路傳輸，要求兩條鏈路負(fù)載分擔(dān),其中VLAN10、20業(yè)務(wù)數(shù)據(jù)在E1/0/5進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，要求VLAN50業(yè)務(wù)數(shù)據(jù)在E1/0/4進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，域名為DCN2021。設(shè)置路徑開(kāi)銷值的取值范圍為1-65535，BPDU支持在域中傳輸?shù)淖畲筇鴶?shù)為7跳；同時(shí)不希望每次拓?fù)涓淖兌记宄O(shè)備MAC/ARP表，全局限制拓?fù)涓淖冞M(jìn)行刷新的次數(shù)。?

8. 總部核心交換機(jī)DCRS既是內(nèi)網(wǎng)核心交換機(jī)又模擬外網(wǎng)交換機(jī)，其上使用某種技術(shù)，將內(nèi)網(wǎng)路由和internet路由隔離；

9. 總部核心交換機(jī)DCRS上實(shí)現(xiàn)VLAN40業(yè)務(wù)內(nèi)部終端相互二層隔離，vlan30接口下啟用環(huán)路檢測(cè)，環(huán)路檢測(cè)的時(shí)間間隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復(fù)時(shí)間為30分鐘；?

10. 總部核心交換機(jī)開(kāi)啟DHCP服務(wù)，為無(wú)線用戶動(dòng)態(tài)分配ip地址，前10 ip地址為保留地址，DNS server 為8.8.8.8，地址租約時(shí)間為1天10小時(shí)5分鐘;

11. 因集團(tuán)銷售人員較多、同時(shí)也為了節(jié)約成本，在集團(tuán)AC下掛兩個(gè)8口HUB交換機(jī)實(shí)現(xiàn)銷售業(yè)務(wù)接入，集團(tuán)信息技術(shù)部已經(jīng)為銷售業(yè)務(wù)VLAN分配IP主機(jī)位為11-24，在集團(tuán)接入交換機(jī)使用相關(guān)特性實(shí)現(xiàn)只允許上述IP數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，對(duì)IP不在上述范圍內(nèi)的用戶發(fā)來(lái)的數(shù)據(jù)包，交換機(jī)不能轉(zhuǎn)發(fā)，直接丟棄, 要求禁止采用訪問(wèn)控制列表實(shí)現(xiàn)。

12. 總部核心交換機(jī)DCRS上實(shí)現(xiàn)訪問(wèn)控制，在E1/0/14端口上配置MAC地址為00-03-0f-00-20-21的主機(jī)不能訪問(wèn)MAC地址為00-00-00-00-00-ff的主機(jī);

13. 集團(tuán)預(yù)采購(gòu)多個(gè)廠商網(wǎng)流分析平臺(tái)對(duì)集團(tuán)整體流量進(jìn)行監(jiān)控、審計(jì)，分別連接核心交換機(jī)E1/0/20-E1/0/21接口測(cè)試，將核心交換機(jī)與AC、防火墻互連流量提供給多個(gè)廠商網(wǎng)流分析平臺(tái)，反射端口為1/0/16，反射vlan為4094。

14. 2017年勒索病毒席卷全球，爆發(fā)了堪稱史上最大規(guī)模的網(wǎng)絡(luò)攻擊，通過(guò)對(duì)總部核心交換機(jī)DCRS所有業(yè)務(wù)VLAN下配置訪問(wèn)控制策略實(shí)現(xiàn)雙向安全防護(hù);勒索病毒端口號(hào)為tcp445、udp445。

15. 總部核心交換機(jī)中所有存在的接口啟動(dòng)定時(shí)發(fā)送免費(fèi) ARP 報(bào)文功能；總部核心交換機(jī)與AC互連接口通過(guò)采樣、統(tǒng)計(jì)等方式將數(shù)據(jù)發(fā)送到分析器10.10.200.50，源地址為：192.168.100.1，采樣速率1000pps,采樣的最大時(shí)間間隔為60s,由分析器對(duì)收到的數(shù)據(jù)進(jìn)行用戶所要求的分析。

16. 總部部署了一套網(wǎng)管系統(tǒng)實(shí)現(xiàn)對(duì)核心DCRS交換機(jī)進(jìn)行管理，網(wǎng)管系統(tǒng)IP為：172.16.100.21，讀團(tuán)體值為：DCN2011，版本為V2C，交換機(jī)DCRS Trap信息實(shí)時(shí)上報(bào)網(wǎng)管，當(dāng)MAC地址發(fā)生變化時(shí)，也要立即通知網(wǎng)管發(fā)生的變化，每120s發(fā)送一次；

17. 為實(shí)現(xiàn)對(duì)防火墻的安全管理，在防火墻DCFW的Trust安全域開(kāi)啟PING,HTTP，SNMP功能，Untrust安全域開(kāi)啟SSH、HTTPS、ping功能;

18. 總部VLAN業(yè)務(wù)用戶通過(guò)防火墻訪問(wèn)Internet時(shí)，輪詢復(fù)用公網(wǎng)IP： 221.1.19.9、221.1.19.10；

19. 蘇州分公司和總部使用同一套OA辦公系統(tǒng)，OA服務(wù)器部署在總部vlan40 網(wǎng)段，要求在總部防火墻與分公司DCBC之間配置IPsec VPN，對(duì)分公司內(nèi)網(wǎng)和總公司vlan40段相互訪問(wèn)的數(shù)據(jù)進(jìn)行保護(hù)；第一階段? 采用pre-share認(rèn)證 加密算法:3DES；第二階段? 采用ESP協(xié)議， 加密算法:3DES，預(yù)設(shè)共享秘鑰:DCN2021

20. 遠(yuǎn)程移動(dòng)辦公用戶通過(guò)專線方式接入總部網(wǎng)絡(luò)，在防火墻DCFW上配置，采用SSL方式實(shí)現(xiàn)僅允許對(duì)內(nèi)網(wǎng)VLAN 40的訪問(wèn)，用戶名密碼均為DCN2021，地址池參見(jiàn)地址表；

21. 出于安全考慮，無(wú)線用戶移動(dòng)性較強(qiáng)，無(wú)線用戶訪問(wèn)INTERNET時(shí)需要采用認(rèn)證，在防火墻上開(kāi)啟WEB認(rèn)證，賬號(hào)密碼為DCN2011;

22. 為了合理利用網(wǎng)絡(luò)出口帶寬，需要對(duì)內(nèi)網(wǎng)用戶訪問(wèn)internet進(jìn)行流量控制，園區(qū)總出口帶寬為200M，對(duì)除無(wú)線用戶以外的用戶限制帶寬，每天上午9:00到下午6:00每ip最大下載為2M，上傳為1M；

23. FW上配置NAT功能，使PC2能夠通過(guò)防火網(wǎng)外網(wǎng)口ip使用web方式正常管理到AC，端口號(hào)使用8888;AC管理地址為192.168.100.254；合理配置安全策略。

24. 蘇州分公司通過(guò)DCBC接入因特網(wǎng)，DCBC做相關(guān)配置，內(nèi)網(wǎng)ip轉(zhuǎn)換為外網(wǎng)出口地址，使分公司內(nèi)網(wǎng)用戶能正常訪問(wèn)因特網(wǎng)。

25. 對(duì)蘇州分公司內(nèi)網(wǎng)用戶訪問(wèn)因特網(wǎng)采用實(shí)名認(rèn)證，采用web方式本地認(rèn)證并記錄日志；用戶名為SZDCN,密碼為SZDCN。

26. 蘇州分公司由于出口帶寬只有50兆，需要優(yōu)先保證http訪問(wèn)帶寬為20M；每周一到周五上午9:00到下午6:00，不允許瀏覽視頻網(wǎng)站和看視頻，也不允許玩游戲。

27. 蘇州分公司，限制每用戶上傳與下載最大帶寬為2M；

28. 分公司總經(jīng)理使用IP地址為192.168.201.88，該ip地址訪問(wèn)因特網(wǎng)的流量不被策略控制；

29. 對(duì)蘇州分公司用戶的聊天軟件進(jìn)行控制，禁止分公司內(nèi)網(wǎng)用戶登錄QQ；

30. 分公司出口帶寬比較低，為了不影響正常辦公使用，需要對(duì)內(nèi)網(wǎng)用戶使用迅雷下載進(jìn)行限制，對(duì)使用迅雷下載的流量進(jìn)行阻斷，并記錄日志；

31. 蘇州分公司禁止員工訪問(wèn)“交友聊天”網(wǎng)站。

32. 在DCBC上做配置關(guān)鍵字過(guò)濾，類型為 暴力類關(guān)鍵字，包含搶劫、槍支、暴動(dòng)、砍人。

33. 對(duì)蘇州內(nèi)網(wǎng)用戶，訪問(wèn)視頻、游戲進(jìn)行流量限制，每日限額為100M;

34. 控制蘇州內(nèi)網(wǎng)用戶上網(wǎng)行為對(duì)用戶上網(wǎng)做如下審計(jì)策略：

（1）記錄即時(shí)通訊的登錄信息

（2）啟用郵件的全部記錄；

（3）啟用 WEB 的全部記錄；

35. WAF上配置開(kāi)啟防護(hù)策略，將請(qǐng)求報(bào)頭DATA 自動(dòng)重寫為DATE;

36. WAF上配置開(kāi)啟錯(cuò)誤代碼屏蔽功能，屏蔽404錯(cuò)誤代碼;

37. WAF上配置阻止用戶上傳ZIP、DOC、JPG、RAR格式文件;

38. WAF上配置開(kāi)啟基本防護(hù)功能，阻止SQL注入、跨站腳本攻擊；

39. 無(wú)線控制器DCWS上配置管理VLAN為VLAN101,作為AP的管理地址,配置AP通過(guò)DHCP獲取IP地址，采用AP找AC動(dòng)態(tài)注冊(cè)并啟用序列號(hào)認(rèn)證，要求連接AP的接口禁止使用TRUNK；

40. 無(wú)線控制器DCWS上配置DHCP服務(wù)，網(wǎng)關(guān)ip和后100個(gè)地址為保留地址，為AP分配ip地址，通過(guò)dhcp下發(fā)AC地址，AC地址為192.168.100.254。

41. 在NETWORK下配置SSID，需求如下：

1、設(shè)置SSID DCN2021，VLAN10，加密模式為wpa-personal,其口令為DCN-2021；

2、設(shè)置SSID GUEST，VLAN20加密模式為web共享密鑰,字符長(zhǎng)度為10，密鑰類型為HEX，長(zhǎng)度64，其口令為0123456789，做相應(yīng)配置隱藏該SSID；?

42. 在SSID DCN2021下啟動(dòng)組播轉(zhuǎn)單播功能, 當(dāng)某一組播組的成員個(gè)數(shù)超過(guò)8個(gè)時(shí)組播M2U功能就會(huì)關(guān)閉；

43. Network1下開(kāi)啟ARP抑制功能；開(kāi)啟自動(dòng)強(qiáng)制漫游功能、動(dòng)態(tài)黑名單功能;

44. 通過(guò)配置防止多AP和AC相連時(shí)過(guò)多的安全認(rèn)證連接而消耗CPU資源，檢測(cè)到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼續(xù)連接，兩小時(shí)后恢復(fù)正常。

45. SSID DCN2021最多接入20個(gè)用戶，用戶間相互隔離，并對(duì)DCN2021網(wǎng)絡(luò)進(jìn)行流控，上行1M，下行2M；

46. 通過(guò)配置避免接入終端較多且有大量弱終端時(shí)，高速客戶端被低速客戶端“拖累”，低速客戶端不至于長(zhǎng)時(shí)間得不到傳輸；