2025年湖北省“中银杯“职业院校技能大赛信息安全管理与评估赛项之网络平台搭建与设备安全防护

文章目录

• 模块一 网络平台搭建与设备安全防护
• • 项目和任务描述
  • 任务1:网络平台搭建
  • 任务2:网络安全设备配置与防护

---

模块一 网络平台搭建与设备安全防护

项目和任务描述

1.网络拓扑图

2.IP地址规划表



工作任务

任务1:网络平台搭建

任务2:网络安全设备配置与防护

1、CS 开启 telnet 登录功能，用户名 ski11s0l，密码 ski11s01，配置使用 telnet 方式登录终端界面前显示如下授权信息:“WARNING!!!Authorised access only,all ofyour done will be recorded! Disconnected IMEDIATELY if you are not anauthorised user! 0therwise, we retain the right to pursue the legalresponsibility”；

2、总部交换机 S配置简单网络管理协议，计划启用V3版本，V3版本在安全性方面做了极大的扩充。配置引擎号分别为 62001:创建认证用户为skil1s01，采用 3des 算法进行加密，密钥为:ski1ls01，哈希算法为SHA，密钥为:skil1s01:加入组ABC，采用最高安全级别;配置组的读、写视图分别为:2022R、2022W;当设备有异常时，需要使用本地的 VLAN100 地址发送 Trap 消息至网管服务器10.51.0.203，采用最高安全级别；

3、对 CS上 VLAN40 开启以下安全机制:
业务内部终端相互二层隔离，启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟:如发现私设DHCP服务器则关闭该端口，配置防止ARP欺骗攻击;

4、勒索蠕虫病毒席卷全球，爆发了堪称史上最大规模的网络攻击，通过对总部核心交换机 CS 所有业务 VLAN 下配置访问控制策略实现双向安全防护；

5、CS 配置 IPv6 地址，使用相关特性实现 VLAN50 的 IPv6 终端可自动从网关处获得 IPv6有状态地址:
WS配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保VLAN30的IPv6终端可以获得IPv6无状态地址。
WS与CS之间配置RIPng，使PC1与PC3可以通过IPv6通信:IPv6业务地址规划如下，其它IPv6地址自行规划:

6、尽可能加大 CS 与防火墙 FW之间的带宽;配置使总部VLAN40 业务的用户访问 IDC SERVER看。的数据流经过 FW 10.1.0.254，IDC SERVER 返回数据流经过 FW 10.2.0.254，且对双向数据流开启所有安全防护，参数和行为为默认;

7、FW、CS、WS 之间配置 0SPF area 0 开启基于链路的MD5 认证，密钥自定义,传播访问INTERNET 默认路由；

8、FT与CS 建立两对 IBGP 邻居关系，使用 AS 65500，FW上1oopback1-4为模拟 AS 65500中网络，为保证数据通信的可靠性和负载，完成以下配置，要求如下:
CS 通过 BGP 到达 1oopbackl,2 网路下一跳为 10.3.0.254:
CS 通过 BGP 到达 1oopback3,4 网络下一跳为 10.4.0.254:
通过 BGP 实现到达 1oopback1,2,3,4 的网络冗余:
使用 IP前缀列表匹配上述业务数据流;
使用LP属性进行业务选路，只允许使用route-map来改变LP 属性、实现路由控制，AS PATH 属性可配置的参数数值为:65509；

9、如果 CS E1/0/3 端口的收包速率超过 30000 则关闭此端口，恢复时间5分钟，并每隔 109.分钟对端口的速率进行统计:为了更好地提高数据转发的性能，CS交换中的数据包大小指定为 1600 字节；

10、为实现对防火墙的安全管理，在防火墙FW的Trust 安全域开启PING,HTTP，SNMP 功能(loopback 接口除外)，Untrust 安全域开启SSH、HTTPS 功能；

11、总部 VLAN 业务用户通过防火墙访问 Internet 时，复用公网IP: 200.1.1.28/28，保证每一个源 IP 产生的所有会话将被映射到同一个固定的 IP地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至10.51.0.253的 UDP 2000 端口；

12、配置 L2TP VPN，名称为 VPN，满足远程办公用户通过拨号登陆访问内网，创建隧道接口为 tunne1 1、并加入 untrust 安全域，地址池名称为 AddressPool，LNS 地址池为10.100.253.1/24-10.100.253.100/24，网关为最大可用地址，认证账号 skills01,密码skil1s01；

13、FW配置禁止所有人在周一至周五工作时间 9:00-18:00访问京东mw.jd 和淘宝
www. taobao;相同时间段禁止访问中含有“娱乐”、“新闻”的TB 页面；

14、所作的好发据世体天能物得捕的最天戴需方教为下0，配置对 TCP 三次握手建立的时间进行检查，如果在1分钟内未完成三次握手，则断掉该连接；

15、为保证总部Internet 出口线路，在所上使用相关技术，通过 ping 监控外网网关地址,监控对象名称为 Track，每隔 5S 发送探测报文，连续 10次收不到监测报文，就认为线路故障，直接关闭外网接口。所要求内网每个IP限制会话数量为300；

16、Internet 端有一分支结构路由器，需要在总部防火墙FW上完成以下预配，保证总部与分
支机构的安全连接；
防火墙Fw与Internet端路由器202.5.17.2建立GRE隧道，并使用IPSec保护GRE隧道，保证分支结构中2.2.2.2与总部WLAN40安全通信。
第一阶段 采用pre-share认证 加密算法:3DES:
第二阶段 采用ESP协议，加密算法:3DES，预设共享秘钥:ski11s01；

17、已知原 AP 管理地址为 10.81.0.0/15，为了避免地址浪费请重新规划和配置 IP 地址段,要求如下:
●使用原 AP 所在网络进行地址划分;
●现无线用户 VLAN 10中需要 127 个终端，无线用户 VLAN 20 需要 50 个终端;
●WS 上配置 DHCP，管理 VLAN为VLAN101,为 AP 下发管理地址，网段中第一个可用地址为 AP 管理地址，最后一个可用地址为IS管理地址，保证完成 AP 二层注册:为无线用户 VLAN10,20下发IP地址，最后一个可用地址为网关;

18、在 NETWORK下配置 SSID，需求如下:
NETWORK1下设置SSID 2022ski11s-2.4G，VLAN10，加密模式为 wpa-personal,其口令为 skills01;
NETWORK 20下设置 SSID 2022ski11s-5G，VLAN20 不进行认证加密,做相应配置隐藏该 SSID，只使用倒数第一个可用 VAP 发送 5.0G 信号；

19.配置一个SSID 2022ski11s_IPv6，属于 VLAN21 用于 IPv6 无线测试:用户接入线肉络时需要采用基于 IPA-persona1加密方式，其口令为“skil1s018x该网络中的用户从 WS预资与为文档一貌，下能亮清无水比DHCP 获取IPv6 地址，地址范围为:2001:10:81::/112；

20、NETWORK1开启内置 porta1+本地认证的认证方式，账号为 GUEST 密码为 123456,保障无线信息的覆盖性，无线AP的发射功率设置为90%。禁止MAC地址为80-45-DD-77-CC-48的无线终端连接;

21、通过配置防止多 AP 和 WS 相连时过多的安全认证连接而消耗 CPU 资源，检测到 AP 与 TS在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常；

22、为方便合理使用带宽，要求针对SSID为“2022ski11s-2.4”下的用户进行带宽控制。对用户上行速率没有限制，但是针对下行速率要求用户的带宽为2Mbps，在最大带宽可以达到 4Mbps;
配置所有 Radio 接口:AP 在收到错误帧时，将不再发送 ACK 帧:打开 AP 组播广播突发限；

23、制功能:开启 Radio的自动信道调整，每天上午10:00触发信道调整功能；

24、配置所有无线接入用户相互隔离，Network 模式下限制每天早上0点到4点禁止终端接入,开启 ARP 抑制功能；

25、配置当 AP 上线，如果 WS 中储存的 Image 版本和 AP的 Image 版本号不同时，会触发 AP自动升级;配置 AP发送向无线终端表明AP存在的时间间隔为1秒:配置 AP 失败状态超时时间及探测到的客户端状态超时时间都为2小时；

26、在公司总部的 BC上配置，设备部署方式为透明模式。增加非 admin 账户 ski11s01，密码skills01，该账户仅用于用户查询设备的日志信息和统计信息:要求对内网访问Internet 全部应用进行目志记录；

27、为日志查询的时间准确性，要求在 BC上配置 NTP服务，NTP 服务器设定为中国科学院国家授时中心(ntp.ntse.ac)。

28、在公司总部的 BC上配置，在工作日(每周一到周五上班)期间针对所有无线网段访问互联网进行审计，如果发现访问互联网的无线用户就断网20分钟，不限制其他用户在工作日(每周一到周五上班)期间访问互联网。

29、BC 配置应用“即时聊天”，在周一至周五8:00-20:00监控内网中所有用户的 QQ账号使用记录，并保存 Q0聊天记录数据包；

30、BC配置内容管理，对邮件内容包含“协议”、“投诉”字样的邮件，记录且邮件报警。

31.BC上配置报警邮箱，邮件服务器IP为172.16.10.33，端口号为 25，账号为:skil1s01,密码:ski11s01，最大记录数量为50，同时把报警邮件抄送给Manager@chinaskills. com;

32、使用 BC对内网所有上网用户进行上网本地认证，要求认证后得用户4小时候重新认证，并且对 HTTP 服务器 172.16.10.45 的 80 端口进行免认证；

33、BC上配置用户识别功能,对内网所有IP地址进行身份识别；

34、在公司总部的 WAF上配置，设备部署方式为透明模式。要求对内网 HTTP 服务器172.16.10.45/32 进行安全防护;

35、为更好对服务器 172.16.10.45 进行防护，我们定期对服务器进行 Teb 漏洞扫描，来及时修改我们的防护规则。

36、方便日志的保存和查看，需要在把 WAF 上攻击日志、访问日志、DDoS 日志以 JSON格式发给 IP 地址为172.16.10.200的日志服务器上;

37.在 WAF 上配置基础防御功能，开启 SQL注入、XXS 攻击、信息泄露等防御功能，要求针对这些攻击阻断并发送邮件告警;
在 WAF 上针对 HTTP 服务器进行 URL 最大个数为 10，Cookies 最大个数为 30，Host 最大38，长度为1024，Accept最大长度64等参数校验设置，设置严重级为中级，超出校验数值阻断并发送邮件告警;

38、在 WAF 上保护 HITTP 服务器上的 www.2022ski11s网站爬虫攻击，从而影响服务器性；

39、设置严重级别为高级，一经发现攻击阻断并发送邮件告警;

40、为防止 www,2022skills 网站资源被其他网站利用，通过 TAF 对资源链接进行保护,通过 Referer 方式检测，设置严重级别为中级，一经发现阻断并发送邮件告警。