网络安全竞赛试题

2010年宁波市首届大学生网络与信息安全技能大赛试题1/62010年宁波市首届大学生网络与信息安全技能大赛试题(实践部分)一、注意事项1．检查硬件设备、网线头和Console线等的数量是否齐全，电脑设备是否正常。2．自带双绞线制作和验证测试工具。禁止携带和使用移动存储设备、运算器、通信工具及参考资料。3．操作完成后，需要保存设备配置，不要关闭任何设备，不要拆动硬件的连接，不要对设备随意加密码，试卷留在考场。4．赛场准备的比赛所需要竞赛设备、竞赛软件和竞赛材料等。5．参赛选手使用双绞线制作工作自己制作网络互联的网线。二、竞赛环境1．硬件环境设备类型设备型号设备数量（台）路由器RG-RSR20-184路由器RSR20-043二层交换机RG-S2328G2三层交换机RG-S37602防火墙RG-WALL160M1VPN设备RG-WALL-V160S2无线交换机RG-MXR-21无线APRG-MP4222CONSOLE线配置线2电脑DELL760MT6网线6类若干水晶头RJ45若干工具RJ451套异步口模块SIC-1A1端口3异步口模块SIC-1A8端口1同步串口接口模块SIC-1HS1端口2V.35DTE－V.35DCE线缆两端均为POS2642．软件环境三、项目简介某科技集团公司在北京市设有总公司，在宁波市设为分公司，由于集团业务发展的需求，需要构建一个跨越两地的城域网络。本项目中分别由总公司网络、城域网络和分公司网络三部分组成。（1）总公司网络总公司局域网采用的三层交换做为核心交换机，在网络中架设防火墙保证内网用户和业软件名称介质形式软件数量Windows2003Server企业版光盘1RedHadLinuxES4光盘1WindowsXPProfessional光盘1MicrosoftOffice2003硬盘1MicrosoftVisio2003硬盘1VMware6.0硬盘12010年宁波市首届大学生网络与信息安全技能大赛试题2/6务流量的安全。使用路由器做为网络的出口，并从ISP申请了两条链路，一条为2M的专用线路，用来传输业务流量；另一条为访问互联链路，满足内网用户访问互联网资源。在总公司的外口部署VPN网关，主要是提供移动办公用户安全访问内网服务器，并且作为业务流量的备用链路，当专用链路中断时，VPN网关自动启用VPN功能实现安全传输业务数据。总公司网络采用OSPF动态路由协议，并通过专用线路学习到分公司路由信息，实现网络的畅通。（2）城域网络城域网部分使用的二台路由器组成，用来实现城域网数据传输，采用的OSPF动态路由协议。（3）分公司网络分公司局域网采用的三层交换做为核心交换机，使用路由器做为网络的出口，并从ISP申请了两条链路，一条为2M的专用线路，用来传输业务流量；另一条为访问互联链路，满足内网用户访问互联网资源。在分公司的外口部署VPN网关，主要是作为业务流量的备用链路，当专用链路中断时，VPN网关自动启用VPN功能实现安全传输业务数据。分公司网络采用OSPF动态路由协议，并通过专用线路只能学习到分公司网络服务器群的路由信息，实现网络的畅通。您作为构建该网络的工程师，请根据拓扑图建设一个安全、可靠、稳定的网络。2010年宁波市首届大学生网络与信息安全技能大赛试题3/62010年宁波市首届大学生网络与信息安全技能大赛试题4/6四、地址规划1．基础架构根据下表和网络拓扑图，将所有连接起来。设备设备名称设备接口IP地址/电话号码路由器RAFa0/010.1.0.1/30Fa0/1211.1.1.1/28Fa0/219.1.1.1/30RBFa0/019.1.1.2/30Fa0/119.1.1.5/30RCFa0/019.1.1.6/30S2/019.1.1.9/30RDFa0/010.2.0.1/30Fa0/1211.1.1.12/28S2/019.1.1.10/30防火墙FW1GE110.1.0.2/30GE210.1.0.5/30GE310.1.0.9/30三层交换机SW1Fa0/110.1.0.6/30VLAN11010.1.1.1/24VLAN12010.1.2.1/24VLAN13010.1.3.1/24VLAN15010.1.5.1/24SW3Fa0/110.2.0.2/30Fa0/1010.2.0.9/30VLAN20010.2.1.1/24VLAN21010.2.2.1/24VPN网关VPN-1Eth0211.1.1.14/28Eth110.1.0.10/30VPN-2Eth0211.1.1.13/28Eth110.2.0.10/302．应用系统设备设备名称操作系统IP地址计算机1ftp.xuanbo.comWindowsserver2003/RedHatLinuxES4.010.1.5.2/24dns.xuanbo.comWindowsserver2003/RedHatLinuxES4.010.1.5.7/24计算机2计算机3ca.xuanbo.comWindowsserver2003/RedHatLinuxES4.010.1.5.5/24dhcp.xuanbo.comWindowsserver2003/RedHatLinuxES4.010.1.5.6/242010年宁波市首届大学生网络与信息安全技能大赛试题5/6计算机4Client1WindowsXP10.1.2.10/24计算机5Client2WindowsXP10.2.1.10/24计算机6Client3WindowsXP10.2.2.10/24五、项目实施（总计500分）1．总公司建设需求（200分）（1）．根据网络拓扑结构和地址规划表，部署和实施总公司基础底层网络；（20分）（2）．根据网络拓扑结构所示，在总公司的网络中采用的OSPF动态路由协议，并将其规划为常规区域10中，总公司可以学习到分公司的所有路由信息；（30分）（3）．根据网络拓扑结构所示，配置IPSecVPN功能，实现移动办公用户可以安全访问内网服务群中的服务。配置业务流量的备份链路，当专用线路出现故障时，VPN网关自动启用IPSecVPN功能，保障分公司用户能够安全访问总公司服务群中的业务数据；（15分）（4）．将服务群中的WEB、FTP服务发布到互联网上，其内部全局地址为211.1.1.5/28，内网用户访问互联网时，需要使用内部全局地址段211.1.1.5/28-211.1.1.7/28,需要采用端口复用的技术，内部用户需要使用内部全局地址访问WEB、FTP服务器；（20分）（5）．根据拓扑结构所示，在总公司网络中部署和实施无线网络，实现安全的智能无线网络；（25分）（6）．在网络的接入层，由于公司内部用户经常使用HUB来扩充网络规模，需要采取措施防止这种现象存在；（20分）（7）．为了保障链路的负载均衡和增加网络的带宽，在接入层交换机的上行链路，需要采取措施实现这一功能；（20分）（8）．在服务群中部署了DHCP服务器，由于DHCP服务器会受到无赖设备和DOS攻击，所以需要采用措施防止或抑制这种的攻击；（10分）（9）．在总公司的网络中部署了防火墙，需要配置最严密的规则来保护内网用户和服务器群的安全。防火墙经常会受SYNFlood、ICMPFlood、PingofDeath、UDPFlood、PINGSWEEP、TCP端口扫描、UDP端口扫描、WinNuke等攻击，需要采取措施防止这各攻击；（20分）（10）．服务器群中的WEB服务器和FTP服务器经常会受到攻击者非常频繁的访问，其主要是消耗服务器的资源，需要在防火墙配置相关功能用来保护服务器主机。（20分）2．城域网建设需求（50分）（1）．根据网络拓扑结构和地址规划表，部署和实施城域基础底层网络；（20分）（2）．在城域网中采用OSPF动态路由协议，将其规划为骨干区域；（20分）（3）．为了实现网络安全，首先需要采用安全措施保证路由协议更新安全；（10分）3．分公司建设需求（100分）（1）．根据网络拓扑结构和地址规划表，部署和实施分公司基础底层网络；（20分）（2）．根据网络拓扑结构所示，在分公司的网络中采用的OSPF动态路由协议，并将其划入到常规区域20中，分公司只能学习到总公司服务器群的路由信息；（25分）（3）．配置业务流量的备份链路，当专用线路出现故障时，VPN网关自动启用IPSecVPN功能，保障分公司用户能够安全访问总公司服务群中的业务数据；（15分）（4）．需要使用内部全局地址段211.1.1.10/28-211.1.1.11/28,需要采用端口复用的技术；（15分）（5）．在网络的接入层，由于公司内部用户经常使用HUB来扩充网络规模，需要采取措施防止这种现象存在；（10分）（6）．为了保障接入层交换机的上行链路冗余性，需要采用两条链路，但这样会引起环路，需要采取措施既能实现冗余性又能防止互环路，而且可以实现链路的负载均衡；（10分）4．应用系统建设需求（150分）（1）在网络中部署活动目录服务器，系统平台可以任选Windowsserver2003/RedHat2010年宁波市首届大学生网络与信息安全技能大赛试题6/6LinuxES4.0两种操作系统的任意一个操作系统，此服务器同时也是DNS服务器，其域名为xuanbo.com，此服务器的FQDN为dc.xuanbo.com，域的功能级别为2003模式；DNS服务器要求正确创建正向区域、反向区域和主机记录；（20分）（2）在活动目录中创建4个OU，创建4个全局组，创建12个用户，具体内容见下表所示：部门OU全局组隶属用户生产部生产部productionprod（经理）、Prod_1、Prod_2销售部销售部salessale（经理）、sales_1、sales_2行政部行政部administerationadm（经理）、adm_1、adm_2经理办公室经理办公室managermaster（总经理）、man_1、man_2设置帐户策略，要求域用户在首次登录时需要修改口令，密码长度最小为9位，密码最长存留其为一周，帐户锁定阈值为5次，如果到过阈值需要锁定30分钟。（20分）（3）在网络中搭建CA服务器，系统平台可以任选Windowsserver2003/RedHatLinuxES4.0两种操作系统的任意一个操作系统，定义为企业根，证书期限为三年，为其它服务器提供证书服务。（20分）（4）在网络中搭建WEB服务器，系统平台可以任选Windowsserver2003/RedHatLinuxES4.0两种操作系统的任意一个操作系统，此服务器的FQDN为，建立web站点：，自己建立一个简单的中文网页。网页的内容为：“祝2010年宁波市首届大学生网络与信息安全技能大赛圆满成功”，其文件名为default.html；配置主机头，只能使用域名访问网页，不允许使用IP地址访问。在CA服务器上申请证书，即可以使用SSL访问站点，也可不使用SSL访问站点。（20分）（5）在网络中搭建DHCP服务器，系统平台可以任选Windowsserver2003/RedHatLinuxES4.0两种操作系统的任意一个操作系统，此服务器的FQDN为dhcp.xuanbo.com。创建2个作用域，作用域名称VLAN110，地址池10.1.1.10-10.1.1.200，需要为客户端自动配置DNS和网关。作用域名称VLAN120，地址池10.1.2.10-10.1.2.200，需要为客户端自动配置DNS和网关。（20分）（6）在网络搭建FTP服务器，系统平台可以任选Windowsserver2003/RedHatLinuxES4.0两种操作系统的任意一个操作系统，此服务器的FQDN为ftp.x