2賽項(xiàng)時(shí)間

第一場比賽：13:00-17:30，共計(jì)4小時(shí)30分，含賽題發(fā)放、系統(tǒng)部署、收卷時(shí)間。

一、??? 賽項(xiàng)信息

第一場比賽：

競賽階段

任務(wù)階段

競賽任務(wù)

競賽時(shí)間

分值

第一階段

平臺搭建與安全設(shè)備配置防護(hù)

任務(wù)1

網(wǎng)絡(luò)平臺搭建

13:00-16:00

?

700

任務(wù)2

網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)

第二階段

系統(tǒng)安全攻防及運(yùn)維安全管控

任務(wù)1

代碼審計(jì)：WEB安全測試

任務(wù)2

數(shù)字取證調(diào)查：操作系統(tǒng)取證

任務(wù)3

協(xié)議安全：網(wǎng)絡(luò)數(shù)據(jù)包分析

任務(wù)4

PWN

任務(wù)5

逆向：應(yīng)用程序安全分析

第三階段

分組對抗

系統(tǒng)加固

16:00-17:30

300

系統(tǒng)攻防

?

?

二、??? 賽項(xiàng)內(nèi)容

選手首先需要在U盤的根目錄下建立一個(gè)名為“GZxx”的文件夾（xx用具體的工位號替代），賽題第一階段所完成的“XXX-答題模板”放置在文件夾中。

例如：08工位，則需要在U盤根目錄下建立“GZ08”文件夾，并在“GZ08”文件夾下直接放置第一個(gè)階段的所有“XXX-答題模板”文件。

特別說明：只允許在根目錄下的“GZxx”文件夾中體現(xiàn)一次工位信息，不允許在其他文件夾名稱或文件名稱中再次體現(xiàn)工位信息，否則按作弊處理。

(一)??? 賽項(xiàng)環(huán)境設(shè)置

賽項(xiàng)環(huán)境設(shè)置包含了三個(gè)競賽階段的基礎(chǔ)信息：網(wǎng)絡(luò)拓?fù)鋱D、IP地址規(guī)劃表、設(shè)備初始化信息。

?

1.?? 網(wǎng)絡(luò)拓?fù)鋱D

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

2.?? IP地址規(guī)劃表

設(shè)備名稱

接口

IP地址

對端設(shè)備

接口

防火墻DCFW

ETH0/1-2

20.0.0.1/30（Trust安全域）

DCRS

eth1/0/1-2

221.1.19.1/27（untrust安全域）

DCRS

SSL Pool

192.168.10.1/24

可用IP數(shù)量為20

SSL VPN地址池

?

三層交換機(jī)DCRS

ETH1/0/4

-

DCWS ETH1/0/4

?

ETH1/0/5

-

DCWS ETH1/0/5

?

VLAN2021

ETH1/0/1-2

20.0.0.2/30

DCFW

Vlan name

TO-DCFW

VLAN2022

ETH1/0/1-2

221.1.19.2/27

DCFW

Vlan name

TO-internet

VLAN 2031

ETH1/0/3

221.1.19.33/27

DCBC

Vlan name

TO-DCBC

VLAN 52

ETH1/0/22

192.168.1.1/24

WAF

Vlan name

TO-WAF

VLAN 10

172.16.10.1/24

無線1

Vlan name

WIFI-vlan10

VLAN 20

172.16.20.1/25

無線2

Vlan name

WIFI-vlan20

VLAN 30

ETH1/0/7-9

172.16.30.1/26

PC1

Vlan name

CW

VLAN 40

ETH1/0/10-12

192.168.40.1/24

PC3

Vlan name

SERVER

Vlan 50

Eth1/0/13-14

192.168.50.1/24

?

Vlan name

Sales

VLAN 100

192.168.100.1/24

DCWS

Vlan name

Manage

無線控制器DCWS

VLAN 100

192.168.100.254/24

DCRS

Vlan name

Manage

無線管理VLAN

VLAN 101

ETH1/0/3

192.168.101.1/24

AP

Vlan name

Manage-ap

Vlan 50

?

?

Eth 1/0/6-8

日志服務(wù)器DCBC

LAN2

192.168.201.1/24

PC2

?

WAN2

221.1.19.34/27

DCRS

?

WEB應(yīng)用防火墻WAF

ETH2

192.168.1.2/24

DCST

?

ETH3

DCRS

?

堡壘服務(wù)器DCST

-

-

WAF

?

?

3.?? 設(shè)備初始化信息

設(shè)備名稱

管理地址

默認(rèn)管理接口

用戶名

密碼

防火墻DCFW

http://192.168.1.1

ETH0

admin

admin

網(wǎng)絡(luò)日志系統(tǒng)DCBC

https://192.168.0.1：9090

LAN1

admin

admin*PWD

WEB應(yīng)用防火墻WAF

https://192.168.45.1

ETH5

admin

admin123

三層交換機(jī)DCRS

-

Console

-

-

無線交換機(jī)DCWS

-

Console

-

-

堡壘服務(wù)器DCST

-

-

參見“DCST登錄用戶表”

備注

所有設(shè)備的默認(rèn)管理接口、管理IP地址不允許修改;

如果修改對應(yīng)設(shè)備的缺省管理IP及管理端口，涉及此設(shè)備的題目按 0 分處理。

?

(二)??? 第一階段任務(wù)書（300分）

任務(wù)1：網(wǎng)絡(luò)平臺搭建（60分）

題號

網(wǎng)絡(luò)需求

1

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCFW的名稱、各接口IP地址進(jìn)行配置。

2

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCRS的名稱進(jìn)行配置，創(chuàng)建VLAN并將相應(yīng)接口劃入VLAN。

3

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCRS各接口IP地址進(jìn)行配置。

4

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCWS的各接口IP地址進(jìn)行配置。

5

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對DCBC的名稱、各接口IP地址進(jìn)行配置。

6

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對WAF的名稱、各接口IP地址進(jìn)行配置。

7

配置靜態(tài)路由實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)連通，到因特網(wǎng)流量采用默認(rèn)路由。

任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)（240分）

1.?? 總部核心交換機(jī)DCRS上開啟SSH遠(yuǎn)程管理功能, 本地認(rèn)證用戶名: DCN2021,密碼：DCN2021;最大同時(shí)登錄為6。

2.?? 為了減少廣播，需要根據(jù)題目要求規(guī)劃并配置VLAN。要求配置合理，所有鏈路上不允許不必要VLAN的數(shù)據(jù)流通過，包括VLAN 1。集團(tuán)AC與核心交換機(jī)之間的互連接口發(fā)送交換機(jī)管理VLAN的報(bào)文時(shí)不攜帶標(biāo)簽，發(fā)送其它VLAN的報(bào)文時(shí)攜帶標(biāo)簽，要求禁止采用trunk鏈路類型。

3.?? 總部無線AC和核心運(yùn)行一種協(xié)議，實(shí)現(xiàn)無線1和無線2通過一條鏈路傳輸，銷售網(wǎng)段通過另外一條鏈路傳輸，要求兩條鏈路負(fù)載分擔(dān),其中VLAN10、20業(yè)務(wù)數(shù)據(jù)在E1/0/5進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，要求VLAN50業(yè)務(wù)數(shù)據(jù)在E1/0/4進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，域名為DCN2021。設(shè)置路徑開銷值的取值范圍為1-65535，BPDU支持在域中傳輸?shù)淖畲筇鴶?shù)為7跳；同時(shí)不希望每次拓?fù)涓淖兌记宄O(shè)備MAC/ARP表，全局限制拓?fù)涓淖冞M(jìn)行刷新的次數(shù)。

4.?? 總部核心交換機(jī)DCRS既是內(nèi)網(wǎng)核心交換機(jī)又模擬外網(wǎng)交換機(jī)，其上使用某種技術(shù)，將內(nèi)網(wǎng)路由和internet路由隔離；

5.?? 總部核心交換機(jī)DCRS上實(shí)現(xiàn)VLAN40業(yè)務(wù)內(nèi)部終端相互二層隔離，vlan30接口下啟用環(huán)路檢測，環(huán)路檢測的時(shí)間間隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復(fù)時(shí)間為30分鐘；

6.?? 總部核心交換機(jī)開啟DHCP服務(wù)，為無線用戶動態(tài)分配ip地址，前10 ip地址為保留地址，DNS server 為8.8.8.8，地址租約時(shí)間為1天10小時(shí)5分鐘;

7.?? 因集團(tuán)銷售人員較多、同時(shí)也為了節(jié)約成本，在集團(tuán)AC下掛兩個(gè)8口HUB交換機(jī)實(shí)現(xiàn)銷售業(yè)務(wù)接入，集團(tuán)信息技術(shù)部已經(jīng)為銷售業(yè)務(wù)VLAN分配IP主機(jī)位為11-24，在集團(tuán)接入交換機(jī)使用相關(guān)特性實(shí)現(xiàn)只允許上述IP數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，對IP不在上述范圍內(nèi)的用戶發(fā)來的數(shù)據(jù)包，交換機(jī)不能轉(zhuǎn)發(fā)，直接丟棄, 要求禁止采用訪問控制列表實(shí)現(xiàn)。

8.?? 總部核心交換機(jī)DCRS上實(shí)現(xiàn)訪問控制，在E1/0/14端口上配置MAC地址為00-03-0f-00-20-21的主機(jī)不能訪問MAC地址為00-00-00-00-00-ff的主機(jī);

9.?? 集團(tuán)預(yù)采購多個(gè)廠商網(wǎng)流分析平臺對集團(tuán)整體流量進(jìn)行監(jiān)控、審計(jì)，分別連接核心交換機(jī)E1/0/20-E1/0/21接口測試，將核心交換機(jī)與AC、防火墻互連流量提供給多個(gè)廠商網(wǎng)流分析平臺，反射端口為1/0/16，反射vlan為4094。

10. 2017年勒索病毒席卷全球，爆發(fā)了堪稱史上最大規(guī)模的網(wǎng)絡(luò)攻擊，通過對總部核心交換機(jī)DCRS所有業(yè)務(wù)VLAN下配置訪問控制策略實(shí)現(xiàn)雙向安全防護(hù);勒索病毒端口號為tcp445、udp445。

11. 總部核心交換機(jī)中所有存在的接口啟動定時(shí)發(fā)送免費(fèi) ARP 報(bào)文功能；總部核心交換機(jī)與AC互連接口通過采樣、統(tǒng)計(jì)等方式將數(shù)據(jù)發(fā)送到分析器10.10.200.50，源地址為：192.168.100.1，采樣速率1000pps,采樣的最大時(shí)間間隔為60s,由分析器對收到的數(shù)據(jù)進(jìn)行用戶所要求的分析。

12. 總部部署了一套網(wǎng)管系統(tǒng)實(shí)現(xiàn)對核心DCRS交換機(jī)進(jìn)行管理，網(wǎng)管系統(tǒng)IP為：172.16.100.21，讀團(tuán)體值為：DCN2011，版本為V2C，交換機(jī)DCRS Trap信息實(shí)時(shí)上報(bào)網(wǎng)管，當(dāng)MAC地址發(fā)生變化時(shí)，也要立即通知網(wǎng)管發(fā)生的變化，每120s發(fā)送一次；

13. 為實(shí)現(xiàn)對防火墻的安全管理，在防火墻DCFW的Trust安全域開啟PING,HTTP，SNMP功能，Untrust安全域開啟SSH、HTTPS、ping功能;

14. 總部VLAN業(yè)務(wù)用戶通過防火墻訪問Internet時(shí)，輪詢復(fù)用公網(wǎng)IP： 221.1.19.9、221.1.19.10；

15. 蘇州分公司和總部使用同一套OA辦公系統(tǒng)，OA服務(wù)器部署在總部vlan40 網(wǎng)段，要求在總部防火墻與分公司DCBC之間配置IPsec VPN，對分公司內(nèi)網(wǎng)和總公司vlan40段相互訪問的數(shù)據(jù)進(jìn)行保護(hù)；第一階段? 采用pre-share認(rèn)證 加密算法:3DES；第二階段? 采用ESP協(xié)議， 加密算法:3DES，預(yù)設(shè)共享秘鑰:DCN2021

16. 遠(yuǎn)程移動辦公用戶通過專線方式接入總部網(wǎng)絡(luò)，在防火墻DCFW上配置，采用SSL方式實(shí)現(xiàn)僅允許對內(nèi)網(wǎng)VLAN 40的訪問，用戶名密碼均為DCN2021，地址池參見地址表；

17. 出于安全考慮，無線用戶移動性較強(qiáng)，無線用戶訪問INTERNET時(shí)需要采用認(rèn)證，在防火墻上開啟WEB認(rèn)證，賬號密碼為DCN2011;

18. 為了合理利用網(wǎng)絡(luò)出口帶寬，需要對內(nèi)網(wǎng)用戶訪問internet進(jìn)行流量控制，園區(qū)總出口帶寬為200M，對除無線用戶以外的用戶限制帶寬，每天上午9:00到下午6:00每ip最大下載為2M，上傳為1M；

19. FW上配置NAT功能，使PC2能夠通過防火網(wǎng)外網(wǎng)口ip使用web方式正常管理到AC，端口號使用8888;AC管理地址為192.168.100.254；合理配置安全策略。

20. 蘇州分公司通過DCBC接入因特網(wǎng)，DCBC做相關(guān)配置，內(nèi)網(wǎng)ip轉(zhuǎn)換為外網(wǎng)出口地址，使分公司內(nèi)網(wǎng)用戶能正常訪問因特網(wǎng)。

21. 對蘇州分公司內(nèi)網(wǎng)用戶訪問因特網(wǎng)采用實(shí)名認(rèn)證，采用web方式本地認(rèn)證并記錄日志；用戶名為SZDCN,密碼為SZDCN。

22. 蘇州分公司由于出口帶寬只有50兆，需要優(yōu)先保證http訪問帶寬為20M；每周一到周五上午9:00到下午6:00，不允許瀏覽視頻網(wǎng)站和看視頻，也不允許玩游戲。

23. 蘇州分公司，限制每用戶上傳與下載最大帶寬為2M；

24. 分公司總經(jīng)理使用IP地址為192.168.201.88，該ip地址訪問因特網(wǎng)的流量不被策略控制；

25. 對蘇州分公司用戶的聊天軟件進(jìn)行控制，禁止分公司內(nèi)網(wǎng)用戶登錄QQ；

26. 分公司出口帶寬比較低，為了不影響正常辦公使用，需要對內(nèi)網(wǎng)用戶使用迅雷下載進(jìn)行限制，對使用迅雷下載的流量進(jìn)行阻斷，并記錄日志；

27. 蘇州分公司禁止員工訪問“交友聊天”網(wǎng)站。

28. 在DCBC上做配置關(guān)鍵字過濾，類型為 暴力類關(guān)鍵字，包含搶劫、槍支、暴動、砍人。

29. 對蘇州內(nèi)網(wǎng)用戶，訪問視頻、游戲進(jìn)行流量限制，每日限額為100M;

30. 控制蘇州內(nèi)網(wǎng)用戶上網(wǎng)行為對用戶上網(wǎng)做如下審計(jì)策略：

（1）記錄即時(shí)通訊的登錄信息

（2）啟用郵件的全部記錄；

（3）啟用 WEB 的全部記錄；

31. WAF上配置開啟防護(hù)策略，將請求報(bào)頭DATA 自動重寫為DATE;

32. WAF上配置開啟錯(cuò)誤代碼屏蔽功能，屏蔽404錯(cuò)誤代碼;

33. WAF上配置阻止用戶上傳ZIP、DOC、JPG、RAR格式文件;

34. WAF上配置開啟基本防護(hù)功能，阻止SQL注入、跨站腳本攻擊；

35. 無線控制器DCWS上配置管理VLAN為VLAN101,作為AP的管理地址,配置AP通過DHCP獲取IP地址，采用AP找AC動態(tài)注冊并啟用序列號認(rèn)證，要求連接AP的接口禁止使用TRUNK；

36. 無線控制器DCWS上配置DHCP服務(wù)，網(wǎng)關(guān)ip和后100個(gè)地址為保留地址，為AP分配ip地址，通過dhcp下發(fā)AC地址，AC地址為192.168.100.254。

37. 在NETWORK下配置SSID，需求如下：

1、設(shè)置SSID DCN2021，VLAN10，加密模式為wpa-personal,其口令為DCN-2021；

2、設(shè)置SSID GUEST，VLAN20加密模式為web共享密鑰,字符長度為10，密鑰類型為HEX，長度64，其口令為0123456789，做相應(yīng)配置隱藏該SSID；

38. 在SSID DCN2021下啟動組播轉(zhuǎn)單播功能, 當(dāng)某一組播組的成員個(gè)數(shù)超過8個(gè)時(shí)組播M2U功能就會關(guān)閉；

39. Network1下開啟ARP抑制功能；開啟自動強(qiáng)制漫游功能、動態(tài)黑名單功能;

40. 通過配置防止多AP和AC相連時(shí)過多的安全認(rèn)證連接而消耗CPU資源，檢測到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼續(xù)連接，兩小時(shí)后恢復(fù)正常。

41. SSID DCN2021最多接入20個(gè)用戶，用戶間相互隔離，并對DCN2021網(wǎng)絡(luò)進(jìn)行流控，上行1M，下行2M；

42. 通過配置避免接入終端較多且有大量弱終端時(shí)，高速客戶端被低速客戶端“拖累”，低速客戶端不至于長時(shí)間得不到傳輸；