第46届世界技能大赛贵州省集训网络安全二次考核样题

测试项目

网络安全

模块A-基础设置和安全加固

目录

1竞赛项目简介......................................................................................................2

1.1介绍....................................................................................................................2

1.2任务描述............................................................................................................2

1.3竞赛说明............................................................................................................3

1.4所需设施设备和材料........................................................................................3

1.5评分方案............................................................................................................3

2竞赛项目工作任务..............................................................................................4

2.1基本配置验证....................................................................................................4

2.2登录及密码策略配置........................................................................................5

2.2.1账户密码策略配置......................................................................................5

2.2.2账户登录安全策略配置..............................................................................5

2.3网络设备加固....................................................................................................6

2.4公共服务保护....................................................................................................6

2.5安全事件监控....................................................................................................6

2.6防火墙策略........................................................................................................7

3自我评估问卷......................................................................................................8

3.1登录和密码策略................................................................................................8

3.2网络设备加固....................................................................................................8

附录A:基础设施列表............................................................................................9

附录B:网络拓扑图..............................................................................................10

TD54_ModuleA_PreVersion:1.1/16

1竞赛项目简介

本竞赛项目建议书由以下文件组成：

第46届世界技能大赛网络安全项目贵州省选拔赛赛题-模块A。

1.1介绍

目前，网络安全知识对于任何想要从事IT领域工作的人来说已变得越来越

重要。本竞赛项目的任务根据实际IT集成、IT外包中的工作任务进行设计，如

果您能高分完成本项目的竞赛任务，说明您已经具备了为多分支机构企业的复

杂基础网络架构进行安全策略设计和实施的基本能力。

1.2任务描述

本竞赛项目以典型的企业信息系统网络架构为基础，相关的服务均可以正

常运行，但没有对所提供的服务的安全性进行配置。选手需要使用各种网络安

全技术对已有的网络和服务进行安全配置和加固。一些安全配置非常简单，但

另外一些安全配置则为不同的实现选项预留了选择空间，选手需要根据行业最

佳实践（在安全性，高可用性和可扩展性方面）选择合理的安全方案，并尽最

大努力实现安全配置。选手应该熟悉Cisco、Microsoft、linux等的安全配置

和加固技术。本项目任务分为以下几个部分：

1）登录和密码策略

2）网络设备加固

3）公共服务保护

4）安全事件监控

5）防火墙策略

TD54_ModuleA_PreVersion:1.2/16

1.3竞赛说明

1）在进行任何配置之前，请阅读每个部分中的任务。一些项目可能需要完

成之前或之后的其他项目才能实现。

2）在开始测试项目之前，确认拓扑中的所有设备都处于正常工作状态。在

竞赛期间，选手需要尽可能的恢复由于任何原因所导致的设备被锁定或无法访

问的情况。完成竞赛项目后，需要确保所有的设备都可以被评委访问，否则将

无法得分。

3）故障排除技术是在本本项目中技能测试的一部分。

4）只对配置完成的项目给予分数。在提交测试项目前，选手需要测试所有

配置的完成情况，因为在配置某些项目时，有可能会破坏其它项目的需求或配

置。

5）任何项目需要满足所有安全要求才能获得此项目的分数。

6）选手应当经常保存配置，避免意外情况发生。

7）应确保所有配置在设备重启后仍然有效。

8）在配置过程中，在需要输入密码时，若没有特别指定，请使用P@ssw0rd

9）请使用admin\P@ssw0rd本地凭证访问windows虚拟机(域管理员使用

administrator\P@ssw0rd)P@ssw0rd)，使用root\toor访问Linux虚拟机。选手在竞赛过

程不要更改这些默认配置的密码。

1.4所需设施设备和材料

所有测试项目都可以根据基础设施列表中指定的设备和材料完成。

1.5评分方案

根据目前的技能大赛标准规范，这个测试项目模块的最高分数为50分。

TD54_ModuleA_PreVersion:1.3/16

2竞赛项目工作任务

2.1基本配置验证

1）虚拟和物理交换是根据拓扑图预先配置的，所有设备和虚拟机的主机名

均根据拓扑图统一命名，物理交换机上的VLAN号根据端口组配置使用。

2）IP子网是根据拓扑图预先配置的。在每个子网中，网管设备使用该子网

的最后一个IP地址，客户机设备的IP分配从该子网的第一个IP地址开始分

配。例如，在CORP子网中，LED被分配到这个子网的最后一个地址(.254)，DC

–使用这个子网中的第一个可用IP(.1)，IDS–使用该子网中的第二个可用

IP(.2)，等。

3）默认路由已预先配置，所采用的RIP动态路由协议暴露了内部私有网络

信息，需要参赛选手采用IPSec、NAT等技术措施进行加固。

4）服务器VM预先配置了以下角色和服务:

虚拟机角色\服务

DC活动目录域名服务(nlsz.ru)，DNS(nlsz.ru-internalzone)，DHCP，网络政策服务器

IDSSNORT

LOGSplunk

WEB-01Apache2webserver（www.nlsz.ru）

WEB-02vsFTPd(ftp.nlsz.ru)

Apache2Webserver（www.selectel.ru），DNS（selectel.ru，nlsz.ru-外部区域），

选择器

OpenSSLCA

TD54_ModuleA_PreVersion:1.4/16

2.2登录及密码策略配置

2.2.1账户密码策略配置

需求应用于VM\device

DC，Ivan，Boris，Anton，IDS，LOG，Web-

a)最小密码长度不得少于12个字符01，Web-02，LED-SW，IAR，CED-SW，IAR-SW

b)密码复杂度设置要求应包含大小写字母，数字和特DC，Ivan，Boris，Anton，IDS，LOG，Web-

殊字符01，Web-02，CED-SW，LED-SW，IAR-SW

c)所有密码必须作为可逆密文存储在配置中IAR，LED-SW，IAR-SW，CED-SW

d)本地用户的密码应作为scrypthash存储在配置中CED-SW，LED-SW，IAR-SW

e)设置enable密码为ABCabc123!@#LED，IAR，LED-SW，IAR-SW，CED-SW

2.2.2账户登录安全策略配置

需求应用于VM\device

DC，Ivan，Boris，Anton，IDS，LOG，Web-

a)在用户登录系统时，应该有“Forauthorized01，Web-02，CED-SW，IAR-SW，LED-SW，

usersonly”的banner提示信息。IAR,LED

b)一分钟内仅允许5次登录失败的尝试，超过5次，DC，Ivan，Boris，Anton，IDS，LOG，Web-

登录帐号锁定1分钟。01，Web-02，IAR，LED-SW，IAR-SW，CED-SW

c)启用本地控制台身份验证。成功验证后，用户应以IAR，LED-SW，IAR-SW、CED-SW

最小权限登陆用户模式（privilegelevel1）

DC，Ivan，Boris，Anton，IDS，LOG，Web-

d)非活动超时时间不得超过1分钟01，Web-02，LED，IAR，LED-SW，IAR-SW，

CED-SW

e)禁用缓存登录Ivan，Boris，Anton

TD54_ModuleA_PreVersion:1.5/16

2.3网络设备加固

1.基础设备安全功能配置

需求应用于VM\device

a)任何端口上的mac地址的最大数量必须不大于2。IAR-SW

在违反本安全策略的情况下，端口应设置为

restrict状态，不能被设置为错误禁用状态

（shutdown）。

b)对vlan120开启防arp扫描功能，eth0/1口设为LED-SW

信任端口并开启端口安全功能

c)DHCP-snoopingIAR-SW

2.分支机构间通信和远程工作人员远程访问策略

需求应用于VM\device

a)在防火墙与路由器之间构建lantolan的vpn隧LED，IAR

道，使外网用户成功访问dmz区域。要求构建的

ipsec隧道的ike策略集加密参数使用3des、摘要

算法使用sha-1、密钥交换算法使用dh2，ipsec

变换集使用esp-des和esp-sha-hmac

b)Nikolai使用L2TPVPN成功访问inside区域LED，ISP

2.4公共服务保护

需求应用于VM\device

a)配置所有对Web网站的请求使用HTTPS协议进行处Web-01

理。必须将所有HTTP请求重定向到HTTPS

b)设置公司FTP服务器仅接受SSL/TLS连接Web-02

2.5安全事件监控

1）必须将所有Splunk的本地事件日志复制到Splunk索引以进行事件聚合

TD54_ModuleA_PreVersion:1.6/16

2）必须在Splunk中提供以下仪表板：

●LOG-必须汇总LOG的活动

●DMZ-必须汇总来自WEB-01和WEB-02的事件

●IDS-必须汇总来自IDS的事件

●EDGE-必须汇总来自LED和IAR的事件

3）审核策略必须与列出的事件匹配

需求比赛应用于VM\device

a)凭证验证成功与失败DC，Ivan，Boris，Anton

b)计算机帐户管理成功与失败DC，Ivan，Boris，Anton

c)安全组管理成功与失败DC，Ivan，Boris，Anton

d)帐户锁定成功DC，Ivan，Boris，Anton

e)登录成功与失败DC，Ivan，Boris，Anton

f)注销成功DC，Ivan，Boris，Anton

g)敏感特权使用成功与失败DC，Ivan，Boris，Anton

2.6防火墙策略

1）必须打开所有服务器，客户端和网络设备上的防火墙。

2）必须按照最小权限原则来配置所有设备上的防火墙规则。

TD54_ModuleA_PreVersion:1.7/16

3自我评估问卷

请选手在完成上述相关安全配置任务后，对竞赛环境所提供的系统安全状

况进行安全审核，并依据行业最佳实践，对上述配置中不完善的地方进行增强

配置，讲所实施的增强配置填入下面的表单中。

3.1登录和密码策略

安全措施应用于服务器\设备

1)

2)

3)

4)

5)

6)

7)

8)

3.2网络设备加固

安全措施应用于服务器\设备

1)

2)

3)

4)

5)

6)

7)

8)

TD54_ModuleA_PreVersion:1.8/16

附录A:基础设施列表

虚拟机名称账号密码

NikolaiadminP@ssw0rd

DCadminP@ssw0rd

DSro