2011吉林高职高专网络信息安全与防护竞赛试题-最终稿

2011吉林高职高专网络信息安全与防护竞赛试题（本科专家修改版）网上公布版本试题中各操作过程结果保存方式可能有细节上的调整，但知识技能考核点不再变化2011年吉林省职业院校技能大赛组委会吉林·长春2011年4月“2011年吉林职业院校技能大赛”网络信息安全与防护竞赛第2页共20页赛题说明一竞赛内容分布“网络信息安全与防护”竞赛共分四个部分（每部分均采用百分制），其中：第一部分：网络基础环境搭建与安全配置项目，占总分的比例为45%；第二部分：网络信息安全与防护配置项目，占总分的比例为45%；第三部分：制作相关工程测试文件项目，占总分的比例为5%；第四部分：职业素养与团队风貌部分，占总分的比例为5%。二竞赛时间比赛时间：根据场地及设备情况，可能分两批进行竞赛：第一批竞赛时间2011年4月25日7:00-11:00（竞赛时间为4小时）；第一批竞赛小组2011年4月25日11:00-11:10提交比赛结果并签字确认、选手离场；裁判对第一批参赛队进行评卷2011年4月25日11:10-13:00恢复设备时间2011年4月25日13:00-14:00第二批竞赛时间2011年4月25日14:00-18:00（竞赛时间为4小时）；第二批竞赛小组18:00-18:10提交比赛结果并签字确认、选手离场；三竞赛注意事项（1）禁止携带和使用移动存储设备、计算器、通信工具、参考资料及空白纸张。（2）请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。（3）本试卷共有四个部分。请选手仔细阅读比赛试卷，按照试卷要求完成各项操作。（4）操作过程中，需要及时保存设备配置。比赛结束后，所有设备保持运行状态，不要拆、动硬件连接。（5）比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。（6）所有需要提交的文档均要求按照模板制作，文档模板请参考“d:\吉林省竞赛软件资料\”目录中相关模板文档，禁止在竞赛相关文档有任何与竞赛无关的标记，最终以A4纸质文档提交电子文“2011年吉林职业院校技能大赛”网络信息安全与防护竞赛第3页共20页档与打印的文档。（7）对竞赛结果文档正文部分进行适当的排版，要尽量节省纸张，要删除不必要的重复行和空行，小标题字体使用“五号”“加粗”，正文字体采用“五号”字，注意不要修改页眉页脚设置，但要求在页眉填写工位号（赛前抽取）。（8）竞赛结果文件按照赛题要求命名。为了便于裁判评分，各部分操作题统一编号小标题，如第一部分第一题编号为“1-1”依次类推。（9）竞赛结果文件电子版需要按照裁判的要求，在竞赛结束前复制到裁判提供的U盘进行保存。（10）裁判以各参赛队提交的纸质打印的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名，文档中有对应题目的小标题，截图有截图的简要说明，否则按无效内容处理。四竞赛相关设备及材料清单1．软件环境表1-1软件清单序号类型名称位置1系统软件WindowsXPProfessional全部6台主机系统为XP，默认安装在C盘2系统软件Windows2003企业版镜像文件D:\吉林省竞赛软件资料\3系统软件RedHatLinuxAS5镜像文件D:\吉林省竞赛软件资料\4网管软件Snort2.1.2、idscenter109b21、WinPcap_3_01_a全套组件D:\吉林省竞赛软件资料\5加密软件PGPDesktopV810英文试用版D:\吉林省竞赛软件资料\6驱动程序打印机、无线网卡等驱动D:\吉林省竞赛软件资料\7设备文件路由器、UTM防火墙、交换机等设备相关手册、文件D:\吉林省竞赛软件资料\8网管软件NAISnifferPro4.7中文版C:\默认已安装9网管软件Nmap5.51forwindowsC:\默认已安装10虚拟机VMwareWorkstation7.0C:\默认已安装11网管软件SolarWinds2002CATV试用版C:\默认已安装12办公软件MicrosoftOffice2003C:\默认已安装13PDF软件AdobeReader9C:\默认已安装14压缩软件WinRAR3.8C:\默认已安装“2011年吉林职业院校技能大赛”网络信息安全与防护竞赛第4页共20页2．硬件设备（1）网络相关设备采用H3C、华为等网络公司相关产品，设备清单如表1-2所示。表1-2网络硬件设备清单序号设备名称设备数量参考型号1路由器3台H3CICG3000（2台）QUIDWAYAR-28-11或28-31（1台）2路由器语音模块2块RT-SIC-2FXS-V2-H33普通电话机2台普通电话机4二层交换机2台H3CS3100或QUIDWAYS31005三层交换机1台H3CS36106UTM防火墙1台H3CSecPathU200-S-AC7无线AP1台NETGEARWG6028无线网卡1个NETGEARWG1119计算机6台联想品牌机10工具（可以自备）1套测线器、压线钳、十字螺丝刀等11耗材料1套水晶头、双绞线等五竞赛项目背景及网络拓扑1．项目描述某大型企业，企业总部和企业分支通过ISP互连，随着业务的发展，公司原有网络已经不能满足高效企业管理的需要，公司经常遭到来自互联网络的攻击或入侵，网络安全对生产和经营的影响也越来越明显。为了满足业务的需要，公司决定构建一个高速、稳定、安全的适应企业现代化办公需求的高性能网络。2．网络拓扑规划网络拓扑结构规划如图1所示。15病毒防护瑞星杀毒软件及防火墙C:\默认已安装16终端软件SecureCRT6.23C:\默认已安装“2011年吉林职业院校技能大赛”网络信息安全与防护竞赛第5页共20页图1网络拓扑结构图六工程建设需求及内容描述本次公司的网络构建包括企业总部和企业分支两个部分，中间部分为互联网ISP部分，即三个模块1-3都要进行配置。总公司的网络出口使用防火墙、路由器连接到ISP，通过配置防火墙来实现内网用户访问Internet以及保护内网的安全。总公司和分公司之间的办公用户通过VPN建立的隧道相互通信，有效的保证了数据传输的安全性。本工程项目主要建设需求及主要内容描述如下（此处仅为功能性描述，具体见后面的试题要求）：1.模块3：互联网ISP需求利用提供的R3路由器及Server3服务器模拟ISP互联网部分设备。（1）R3：R3路由器要进行基本连接配置，其模拟的是公网上的路由器，要遵循公网上路由器的原则配置路由，进行最小化的连通性配置。（2）Server3：在此拓扑中R1的E2/0接口充当互联网ISP的一部分，需要保证全部网络中的主机可以访问Server3。（3）Server3：Server3服务器安装WIN2003虚拟机，配置DNS及CA服务。2.模块2：企业总部局域网安装及企业总部互联网接入的配置需求（4）R1：通过对R1的配置实现企业总部网络可以接入互联网，并与企业分支的路由器R2建立VPN连接。保证企业总部内网的PC可以访问互联网、企业总部与分支能拨打VOIP电话，并“2011年吉林职业院校技能大赛”网络信息安全与防护竞赛第6页共20页且要求企业总部与企业分支内部之间的语音与数据流都通过VPN在公网上传输。在R1上配置回环接口、静态路由、NAT、VPN、VOIP等功能。（5）Telephone1：通过以上配置可以实现企业总部与分支之间的VOIP通信，即Telephone1与Telephone2可以互相拔打语音电话。（6）UTM：配置UTM防火墙保护企业总部内部网络安全，包括流量控制、访问策略等功能。并保护Server2的安全。（7）Server2：Server2服务器安装WIN2003虚拟机，在虚拟机原有一个系统盘基础上新添加三块SCSI虚拟硬盘，每个硬盘的大小为4个GB，在其上分别建立三个卷：一个是条带卷、另一个是RAID5卷、还有一个镜像卷。配置WEB、FTP服务，WEB主目录指向RAID5卷；FTP服务用存放软件，指向条带卷。（8）Server2：在Server2上从Server3上的CA服务器申请并安装数字证书，为WEB配置安全访问（HTTPS）。以保护PC3通过浏览器发送到Server2的信息是加密的，并通过CA确保PC3所访问的Server2上的WEB站点的真实性。（9）S1：S1是企业总部内部交换网络的三层交换机，起到核心与汇聚层作用，在其上要配置相应功能，为内网中的PC动态分配IP地址等信息；同时对各部门划分VLAN，且VLAN间经三层交换可互相通信，并且要求把S1与UTM之间的企业内部网络主干流量复制发送到PC2上，以便于PC2能够监测主干流量中的全部协议数据；同时S1中要配置与S2、S3之间的聚合连接，以保证网络的高速上联与可靠性。为了让所连接的PC能够访问外部网络要配置相应的静态路由条目。（10）Server1：Server1上安装的WIN2003虚拟机为企业总部内网的WEB、FTP、DNS、Telnet与AD服务器。其中WEB、FTP、DNS通过两种操作系统完成，即在XP主机系统上再安装一个Linux虚拟机，也要配置WEB、FTP、DNS服务。（11）S2、S3：企业总部内的S2和S3交换机中配置VLAN、TRUNK、链路聚合等功能。同时为了保证非授权用户不能接入公司内部网络，对接入交换机S2所连接的PC采用本地802.1X进行认证。（12）AP：企业总部内无线AP安装于会议室内，要对其配置安全加密认证以保证非企业内部或非授权的员工不能连接到企业网络。（13）PC1、PC2：企业总部内的PC1、PC2（无线网卡）设置为动态获取地址、网关及DNS信息。PC1上连接有打印机，要求PC2可以连接使用此打印机进行网络打印。同时PC2可以作为网络配置与管理工作站，远程配置管理全部网络设备及服务器。“2011年吉林职业院校技能大赛”网络信息安全与防护竞赛第7页共20页（14）PC1：在企业总部内的PC1上完成网络安全的测试项目。（15）PC2：PC2上要安装USB接口的无线网卡通过连接到无线AP能连接内外网络。另外PC2有线网卡（指定IP）要连接到核心交换机的E1/0/7端口上监控网络主干流量。要将PC2的主机XP系统安装入侵检测系统Snort、扫描软件NMAP、网络管理软件SolarWinds、协议分析软件SnifferPro以实现对外部网络的攻击与非法访问的记录和报警、网络管理与主干流量监测分析等功能。3.模块1：企业分支（分公司）局域网及企业分支（分公司）互联网接入的配置需求分公司网络构建（有线网络）、安全规则部署：（16）R2：配置R2的NAT功能、回环接口。同时配置与企业总部的R1之间的VPN安全连接，并能为PC3动态分配地址。并且与企业总部内部的语音与数据流都通过VPN在公网上传输（17）PC3：在PC3上申请IE浏览器数字证书，并按要求完成测试任务。（18）Telephone2：通过以上配置可以实现企业分支与总部之间的VOIP通信，即Telephone2与Telephone1可以互相拔打语音电话。4.其它说明：（19）全部主机操作系统为WindowsXP，服务器在此系统上利用虚拟机完成安装与配置。（20）设备接口连接及配置要按拓扑及表中要求，具体如有模块插在不同插槽，要按对应顺序连接。（21）无线网卡、打印机、路由器语音模块要自行安装或驱动。（22）所有需要配置的路由项都用静态路由，回指路由都要指明确的网段，向外部网络指的路由使用默认路由，下一跳为具体地址，不要指定为接口。公网R3根据公网实际原则指明相应静态路由。（23）所有ACL定义中也要分条指明具体网段，不要进行汇总。（24）保证企业分支PC3所在网段与企业总部所有192.168开头网段的网络可达。即192.168开头的网段之间可以互相访问。（25）总体设计上要便于企业总部网络管理员对企业总部网络的远程管理。（26）路由器R1、R2、R3与交换机S1、S2、S3设备配置文件保存名为“设备名.cfg”，例如S1交换机保存名为s1.cfg。最终完成后