吉林 信息安全 竞赛试题11.docx

1、吉林 信息安全 竞赛试题11赛题说明一 竞赛内容分布 “网络信息安全与防护”竞赛共分四个部分（每部分均采用百分制），其中：第一部分：网络基础环境搭建与安全配置项目，占总分的比例为45%；第二部分：网络信息安全与防护配置项目，占总分的比例为45%；第三部分：制作相关工程测试文件项目，占总分的比例为5%；第四部分：职业素养与团队风貌部分，占总分的比例为5%。二 竞赛时间比赛时间：根据场地及设备情况，可能分两批进行竞赛： 第一批竞赛时间2011年4月25日7:00-11:00（竞赛时间为4小时）； 第一批竞赛小组2011年4月25日11:00-11:10提交比赛结果并签字确认、选手离场； 裁判对第一

2、批参赛队进行评卷2011年4月25日11:10-13:00 恢复设备时间2011年4月25日13:00-14:00 第二批竞赛时间2011年4月25日14:00-18:00（竞赛时间为4小时）； 第二批竞赛小组18:00-18:10提交比赛结果并签字确认、选手离场；三 竞赛注意事项（1） 禁止携带和使用移动存储设备、计算器、通信工具、参考资料及空白纸张。（2） 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。（3） 本试卷共有四个部分。请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。（4） 操作过程中，需要及时保存设备配置。比赛结束后，所

3、有设备保持运行状态，不要拆、动硬件连接。（5） 比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。（6） 所有需要提交的文档均要求按照模板制作，文档模板请参考“d:吉林省竞赛软件资料”目录中相关模板文档，禁止在竞赛相关文档有任何与竞赛无关的标记，最终以A4纸质文档提交电子文档与打印的文档。（7） 对竞赛结果文档正文部分进行适当的排版，要尽量节省纸张，要删除不必要的重复行和空行，小标题字体使用“五号”“加粗”，正文字体采用“五号”字，注意不要修改页眉页脚设置，但要求在页眉填写工位号（赛前抽取）。（8） 竞赛结果文件按照赛题要求命名。为了便于裁判评

4、分，各部分操作题统一编号小标题，如第一部分第一题编号为“1-1”依次类推。（9） 竞赛结果文件电子版需要按照裁判的要求，在竞赛结束前复制到裁判提供的U盘进行保存。（10） 裁判以各参赛队提交的纸质打印的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名，文档中有对应题目的小标题，截图有截图的简要说明，否则按无效内容处理。四 竞赛相关设备及材料清单1软件环境表1-1软件清单序号类型名称位置1系统软件Windows XP Professional 全部6台主机系统为XP，默认安装在C盘2系统软件Windows 2003 企业版镜像文件D:吉林省竞赛软件资料3系统软件RedH

5、at Linux AS 5镜像文件D:吉林省竞赛软件资料4网管软件Snort 2.1.2、idscenter109b21、WinPcap_3_01_a全套组件D:吉林省竞赛软件资料5加密软件PGP DesktopV810英文试用版D:吉林省竞赛软件资料6驱动程序打印机、无线网卡等驱动D:吉林省竞赛软件资料7设备文件路由器、UTM防火墙、交换机等设备相关手册、文件D:吉林省竞赛软件资料8网管软件NAI Sniffer Pro 4.7中文版C:默认已安装9网管软件Nmap 5.51 for windowsC:默认已安装10虚拟机VMware Workstation 7.0C:默认已安装11网管软件

6、SolarWinds 2002 CATV试用版C:默认已安装12办公软件Microsoft Office 2003C:默认已安装13PDF软件Adobe Reader 9C:默认已安装14压缩软件Win RAR 3.8C:默认已安装15病毒防护瑞星杀毒软件及防火墙C:默认已安装16终端软件SecureCRT 6.23C:默认已安装2硬件设备（1）网络相关设备采用H3C、华为等网络公司相关产品，设备清单如表1-2所示。表1-2网络硬件设备清单序号设备名称设备数量参考型号1路由器3台H3C ICG3000（2台）QUIDWAY AR-28-11或28-31（1台）2路由器语音模块2块RT-SIC-

7、2FXS-V2-H33普通电话机2台普通电话机4二层交换机2台H3C S3100或QUIDWAY S31005三层交换机1台H3C S36106UTM防火墙1台H3C SecPath U200-S-AC7无线AP1台NETGEAR WG6028无线网卡1个NETGEAR WG1119计算机6台联想品牌机10工具（可以自备）1套测线器、压线钳、十字螺丝刀等11耗材料1套水晶头、双绞线等五 竞赛项目背景及网络拓扑1项目描述某大型企业，企业总部和企业分支通过ISP互连，随着业务的发展，公司原有网络已经不能满足高效企业管理的需要，公司经常遭到来自互联网络的攻击或入侵，网络安全对生产和经营的影响也越来越

8、明显。为了满足业务的需要，公司决定构建一个高速、稳定、安全的适应企业现代化办公需求的高性能网络。2网络拓扑规划网络拓扑结构规划如图1所示。图1 网络拓扑结构图六 工程建设需求及内容描述本次公司的网络构建包括企业总部和企业分支两个部分，中间部分为互联网ISP部分，即三个模块1-3都要进行配置。总公司的网络出口使用防火墙、路由器连接到ISP，通过配置防火墙来实现内网用户访问Internet以及保护内网的安全。总公司和分公司之间的办公用户通过VPN建立的隧道相互通信，有效的保证了数据传输的安全性。本工程项目主要建设需求及主要内容描述如下（此处仅为功能性描述，具体见后面的试题要求）：1. 模块3：互联

9、网ISP需求利用提供的R3路由器及Server3服务器模拟ISP互联网部分设备。（1） R3：R3路由器要进行基本连接配置，其模拟的是公网上的路由器，要遵循公网上路由器的原则配置路由，进行最小化的连通性配置。（2） Server3：在此拓扑中R1的E2/0接口充当互联网ISP的一部分，需要保证全部网络中的主机可以访问Server3。（3） Server3：Server3服务器安装WIN2003虚拟机，配置DNS及CA服务。2. 模块2：企业总部局域网安装及企业总部互联网接入的配置需求（4） R1：通过对R1的配置实现企业总部网络可以接入互联网，并与企业分支的路由器R2建立VPN连接。保证企业总

10、部内网的PC可以访问互联网、企业总部与分支能拨打VOIP电话，并且要求企业总部与企业分支内部之间的语音与数据流都通过VPN在公网上传输。在R1上配置回环接口、静态路由、NAT、VPN、VOIP等功能。（5） Telephone1：通过以上配置可以实现企业总部与分支之间的VOIP通信，即Telephone1与Telephone2可以互相拔打语音电话。（6） UTM：配置UTM防火墙保护企业总部内部网络安全，包括流量控制、访问策略等功能。并保护Server2的安全。（7） Server2：Server2服务器安装WIN2003虚拟机，在虚拟机原有一个系统盘基础上新添加三块SCSI虚拟硬盘，每个硬盘

11、的大小为4个GB，在其上分别建立三个卷：一个是条带卷、另一个是RAID5卷、还有一个镜像卷。配置WEB、FTP服务，WEB主目录指向RAID5卷；FTP服务用存放软件，指向条带卷。（8） Server2：在Server2上从Server3上的CA服务器申请并安装数字证书，为WEB配置安全访问（HTTPS）。以保护PC3通过浏览器发送到Server2的信息是加密的，并通过CA确保PC3所访问的Server2上的WEB站点的真实性。（9） S1：S1是企业总部内部交换网络的三层交换机，起到核心与汇聚层作用，在其上要配置相应功能，为内网中的PC动态分配IP地址等信息；同时对各部门划分VLAN，且VL

12、AN间经三层交换可互相通信，并且要求把S1与UTM之间的企业内部网络主干流量复制发送到PC2上，以便于PC2能够监测主干流量中的全部协议数据；同时S1中要配置与S2、S3之间的聚合连接，以保证网络的高速上联与可靠性。为了让所连接的PC能够访问外部网络要配置相应的静态路由条目。（10） Server1：Server1上安装的WIN2003虚拟机为企业总部内网的WEB、FTP、DNS、Telnet与AD服务器。其中WEB、FTP、DNS通过两种操作系统完成，即在XP主机系统上再安装一个Linux虚拟机，也要配置WEB、FTP、DNS服务。（11） S2、S3：企业总部内的S2和S3交换机中配置VL

13、AN、TRUNK、链路聚合等功能。同时为了保证非授权用户不能接入公司内部网络，对接入交换机S2所连接的PC采用本地802.1X进行认证。（12） AP：企业总部内无线AP安装于会议室内，要对其配置安全加密认证以保证非企业内部或非授权的员工不能连接到企业网络。（13） PC1、PC2：企业总部内的PC1、PC2（无线网卡）设置为动态获取地址、网关及DNS信息。PC1上连接有打印机，要求PC2可以连接使用此打印机进行网络打印。同时PC2可以作为网络配置与管理工作站，远程配置管理全部网络设备及服务器。（14） PC1：在企业总部内的PC1上完成网络安全的测试项目。（15） PC2：PC2上要安装US

14、B接口的无线网卡通过连接到无线AP能连接内外网络。另外PC2有线网卡（指定IP）要连接到核心交换机的E1/0/7端口上监控网络主干流量。要将PC2的主机XP系统安装入侵检测系统Snort、扫描软件NMAP、网络管理软件SolarWinds、协议分析软件Sniffer Pro以实现对外部网络的攻击与非法访问的记录和报警、网络管理与主干流量监测分析等功能。3. 模块1：企业分支（分公司）局域网及企业分支（分公司）互联网接入的配置需求分公司网络构建（有线网络）、安全规则部署：（16） R2：配置R2的NAT功能、回环接口。同时配置与企业总部的R1之间的VPN安全连接，并能为PC3动态分配地址。并且与

15、企业总部内部的语音与数据流都通过VPN在公网上传输（17） PC3：在PC3上申请IE浏览器数字证书，并按要求完成测试任务。（18） Telephone2：通过以上配置可以实现企业分支与总部之间的VOIP通信，即Telephone2与Telephone1可以互相拔打语音电话。4. 其它说明：（19） 全部主机操作系统为Windows XP，服务器在此系统上利用虚拟机完成安装与配置。（20） 设备接口连接及配置要按拓扑及表中要求，具体如有模块插在不同插槽，要按对应顺序连接。（21） 无线网卡、打印机、路由器语音模块要自行安装或驱动。（22） 所有需要配置的路由项都用静态路由，回指路由都要指明确的

16、网段，向外部网络指的路由使用默认路由，下一跳为具体地址，不要指定为接口。公网R3根据公网实际原则指明相应静态路由。（23） 所有ACL定义中也要分条指明具体网段，不要进行汇总。（24） 保证企业分支PC3所在网段与企业总部所有192.168开头网段的网络可达。即192.168开头的网段之间可以互相访问。（25） 总体设计上要便于企业总部网络管理员对企业总部网络的远程管理。（26） 路由器R1、R2、R3与交换机S1、S2、S3设备配置文件保存名为 “设备名.cfg”，例如S1交换机保存名为s1.cfg。最终完成后上传到Server2的FTP上，并下载到PC2桌面的选手文件夹下（“吉林省大赛第X

17、X组结果文档”，XX为工位号）。第一部分 网络基础环境搭建与安全配置项目【第一部分网络配置占总分的比例为45%，本部分评分将采用百分制。包含了网络基本连通性配置内容，主要有总公司、ISP、分公司的路由器、交换机等网络设备连接与调试，网络中无线设备、PC、服务器、UTM防火墙等网络安全设备的连接与基本安全配置。本部分的竞赛结果文件必须按照题目要求提交。】一 注意事项 设备配置完毕后，保存最新的设备配置。路由器和交换机等终端配置设备请按题目要求提交配置文件，防火墙、无线等通过web或是客户端配置的设备请按题目要求提交相关截图，并将这些结果写入竞赛结果文档中。 拓扑图及试题中给定的设备接口号如果不存

18、在，则实际配置中根据设备实际接口号按对应顺序进行配置。 各部分竞赛结果文档文件名称要求：对于截图保存的文档，在完成配置后提交能反映各个配置项目结果的窗口截图。将图保存在当前计算机对应的文档中，如在PC2上做的截图保存到“工位号_PC2配置文档.doc”。截图在文档中要求有试题的题号小标题，并对每个截图进行必要的说明，无截图的项目不得分。即分别保存到名为“工位号_PC1配置文档.doc”、“工位号_PC2配置文档.doc”、“工位号_PC3配置文档.doc”、“工位号_Server1配置文档.doc”、“工位号_RHlinux配置文档.doc”、“工位号_Server2配置文档.doc”，“工位

19、号_Server3配置文档.doc”的文档中，以上文件模板在“d:吉林省竞赛软件资料网络配置文档”目录下。路由器与交换机的保存在完成最后的配置后将完整的配置文件上传到指定的Server2的FTP中，最终所有文档要复制到PC2桌面上自行建立的“吉林省大赛第XX组结果文档”（选手文件夹）目录下，XX为工位号，考试结束时将电子的文档上交，并按照裁判要求，将竞赛结果文件打印并备份到裁判指定的U盘中。二 网络设备初始化信息表2-1 网络设备初始化信息表设备管理方式用户名密码管理接口出厂管理地址UTM防火墙webadminadming0/0口IP：192.168.0.1console空空console无无

20、线APWebadminpasswordany portIP：192.168.0.227路由器console空空console无交换机console空空console无 上述通过console进行管理的设备，安默认值进行设置，把“超级终端”的连接速率“每秒位数”设置为“9600”，其它安默认值进行设置。三 网络设备配置要求（共100分）1-1根据网络中的实际需求，自制网络中的设备及主机互相连接的双绞线。（8分）1-2根据下表对网络设备进行命名以及配置各接口IP地址。（10分）表2-2 网络设备IP地址表设备设备名称设备接口IP地址路由器R1E0/0200.1.1.5/30E0/1192.168.

21、1.1/24E2/0200.1.1.9/30Loopback 01.1.1.1/32R2E0/1200.1.1.13/30E0/0192.168.200.1/24Loopback 02.2.2.2/32R3E0/0200.1.1.6/30E0/1200.1.1.14/30UTM防火墙UTMG0/1192.168.1.2/24G0/2192.168.2.1/24G0/3192.168.3.1/24三层交换机S1VLAN100192.168.100.1/24VLAN3192.168.3.2/24VLAN10192.168.10.1/24VLAN20192.168.20.1/24二层交换机S2VLA

22、N100192.168.100.2/24S3VLAN100192.168.100.3/24PCPC1主机XP系统（主机名PC1）VLAN10：DHCPPC2主机XP系统无线网卡（主机名PC2）VLAN20：DHCP主机XP系统有线网卡（主机名PC2）VLAN3：192.168.3.3/24PC3主机XP系统（主机名PC3）R2：DHCP服务器Server1主机XP系统（主机名PC4）192.168.100.100/24虚拟机WIN2003（主机名Server1）192.168. 100.10124虚拟机Linux（主机名RHlinux）192.168. 100.102/24Server2主机X

23、P系统（主机名PC5）192.168.2.100/24虚拟机WIN2003（主机名Server2）192.168.2.101/24Server3主机XP系统（主机名PC6）不设置IP地址虚拟机WIN2003（主机名Server3）200.1.1.10/30无线APAP管理IP192.168.20.10/241-3按照上表中的信息拓扑中的端口号，在交换机S1、S2、S3上创建VLAN，并将端口加入到相应的VLAN中。（8分）表2-3 交换机VLAN分配表设备VLAN-ID端口S1VLAN10VLAN20VLAN3E1/0/6、E1/0/7VLAN100管理VLAN、接口E1/0/5属于此VLAN

24、VLAN1E1/0/1-2、E1/0/3-4为Trunk，并分别配置聚合S2VLAN10E1/0/1-5VLAN20E1/0/6-10VLAN100管理VLANVLAN1E1/0/15-16为Trunk，并配置聚合S3VLAN10E1/0/6-10VLAN20E1/0/1-5VLAN100管理VLANVLAN1E1/0/15-16为Trunk，并配置聚合1-4在S1交换机上配置DHCP功能为VLAN10和20分别分配IP地址，VLAN10的网络IP地址是：192.168.10.0/24，网关为192.168.10.1，主DNS服务器为192.168.100.101、辅助DNS服务器为200.1

25、.1.10；VLAN20的网络IP地址是：192.168.20.0/24，网关为192.168.20.1，主DNS服务器为192.168.100.101、辅助DNS服务器为200.1.1.10。（4分）1-5总公司的会议室PC2通过无线AP（配置AP静态地址为192.168.20.10）接入到公司网络中，要求使用的无线的SSID名称为XX-JLDS（XX参赛队工位号），无线用户通过DHCP获得地址，用户接入到无线网络时数据加密方式为WEP，加密口令为0123456789。完成下面操作后可禁用无线网卡（4分）提交的截图： 将截图粘贴到“工位号_PC2配置文档.doc”中，标记为“（1）无线网络相

26、关配置截图”，并对截图进行必要的说明。 在IE地址栏中输入http:/192.168.20.10，截取web配置界面中数据加密配置完成界面。 SSID名称：无线电脑PC2搜索“查看可用的无线网络”信息，包括XX-JLDS（只截本参赛队的SSID号）。 无线电脑PC2连接到AP后，将获取到的无线网卡的IP信息通过ipconfig /all查看并截图。1-6为了保证企业总部与分支之间的所有网段路由可达，配置相应设备上的路由条目。所有需要配置的路由项的网络都用静态路由，回指路由都要指明确的网段，向外部网络指的路由使用默认路由，下一跳为具体地址，不要指定为接口。公网R3根据公网实际原则指明相应静态路由

27、。（12分）1-7在R2上配置DHCP功能为PC3动态分配IP、网关和DNS（主DNS服务器为200.1.1.10；辅DNS服务器为192.168.100.101）地址。PC3将获取到的IP信息通过ipconfig /all查看并截图粘贴到“工位号_PC3配置文档.doc”中。（2分）1-8在R1和R2上配置NAT功能，保证其各自内部网段访问公网时通过NAT进行访问，而公司总部与分支之间私有地址通信时不进行NAT转换。并在R1上配置DNAT功能，让内外网中的PC可以访问Server2上的Web页面和FTP软件资源。相关ACL（Number 3000,Name nat）定义中也要分条指明具体网段

28、，不要进行汇总。（15分）1-9在R1与R2之间配置VPN（站点到站点的IPSec）功能，保证公司总部与分支之间其各自内部所有私有网段互相访问的数据流量与语音通过IPSec的VPN进行加密，以保证其在公网部分的安全性。相关ACL（Number 3001，Name IPSec）定义中也要分条指明具体网段，不要进行汇总。（15分）1-10在PC1上连接打印机，并共享此网络打印机（共享名Printer），让PC2能连接此网络打印机。将PC2连接上此打印机后打印机属性中的端口窗口截屏并命名保存到“工位号_PC2配置文档.doc”文档中。（2分）1-11配置UTM各接口处于不同级别的信任区域，保证企业总

29、部内部网络中的所有网段可以访问外部网络，外部网络仅可以访问Server2上的WEB、FTP资源及PING，不能发起对内网的访问。分支中的192.168.200.0/24网段可以访问企业总部内网的所有网段所有服务，并将设置接口处于不同的信任区域的完成界面、路由配置信息界面、定义访问规则的完成界面截屏并命名保存到“工位号_PC2配置文档.doc”文档中。（10分）1-12. 安装语音模块，并将R1的PHONE0接口和R2 的PHONE0接口作为Telephone1和Telephone2的信号源，Telephone1电话号码为81234567，Telephone2电话为91234567，要求互相能够

30、拨号通话，并利用前面的VPN保证语音流量在公网上的安全传输。（10分）第二部分 网络信息安全与防护配置项目【第二部分网络信息安全与防护配置项目占总分的比例为45%，本部分评分将采用百分制。包含了网络信息安全配置内容，服务器等网络安全设备的安全配置与管理。本部分的竞赛结果文件必须按照题目要求提交。】一 注意事项 各部分竞赛结果文档文件名称要求：对于截图保存的文档，在完成配置后提交能反映各个配置项目结果的窗口截图。将图保存在当前计算机对应的文档中，如在PC2上做的截图保存到“工位号_PC2配置文档.doc”。截图在文档中要求有试题的题号小标题，并对每个截图进行必要的说明，无截图的项目不得分。即分别保存到名为“工位号_PC1配置文档.doc”、“工位号_PC2配置文档.doc”、“工位号_PC3配置文档.doc”、“工位号_Server1配置文档.doc”、“工位号_RHlinux配置文档.doc”、“工位号_Server2配置文档.doc”，“工位号_Server3配置文档.do