2010年宁波市首届大学生
网络与信息安全技能大赛试题(实践部分)
一、注意事项
1.检查硬件设备、网线头和Console线等的数量是否齐全,电脑设备是否正常。
2.自带双绞线制作和验证测试工具。禁止携带和使用移动存储设备、运算器、通信工具及参考资料。
3.操作完成后,需要保存设备配置,不要关闭任何设备,不要拆动硬件的连接,不要对设备随意加密码,试卷留在考场。
4.赛场准备的比赛所需要竞赛设备、竞赛软件和竞赛材料等。 5.参赛选手使用双绞线制作工作自己制作网络互联的网线。
二、竞赛环境
1.硬件环境 设备类型 路由器 路由器 二层交换机 三层交换机 防火墙 VPN设备 无线交换机 无线AP CONSOLE线 电脑 网线 水晶头 工具 异步口模块 异步口模块 同步串口接口模块 V.35DTE-V.35DCE线缆 设备型号 RG-RSR20-18 RSR20-04 RG-S2328G RG-S3760 RG-WALL160M RG-WALL-V160S RG-MXR-2 RG-MP422 配置线 DELL 760MT 6类 RJ45 RJ45 SIC-1A 1端口 SIC-1A 8端口 SIC-1HS 1端口 两端均为POS26 设备数量(台) 4 3 2 2 1 2 1 2 2 6 若干 若干 1套 3 1 2 4 2.软件环境 软件名称 Windows 2003 Server企业版 Red Had Linux ES4 Windows XP Professional Microsoft Office 2003 Microsoft Visio 2003 VMware 6.0 介质形式 光盘 光盘 光盘 硬盘 硬盘 硬盘 软件数量 1 1 1 1 1 1 三、项目简介
某科技集团公司在北京市设有总公司,在宁波市设为分公司,由于集团业务发展的需求,需要构建一个跨越两地的城域网络。
本项目中分别由总公司网络、城域网络和分公司网络三部分组成。 (1)总公司网络
总公司局域网采用的三层交换做为核心交换机,在网络中架设防火墙保证内网用户和业
1 / 6
2010年宁波市首届大学生网络与信息安全技能大赛试题
务流量的安全。
使用路由器做为网络的出口,并从ISP申请了两条链路,一条为2M的专用线路,用来传输业务流量;另一条为访问互联链路,满足内网用户访问互联网资源。
在总公司的外口部署VPN网关,主要是提供移动办公用户安全访问内网服务器,并且作为业务流量的备用链路,当专用链路中断时,VPN网关自动启用VPN功能实现安全传输业务数据。
总公司网络采用OSPF动态路由协议,并通过专用线路学习到分公司路由信息,实现网络的畅通。
(2)城域网络
城域网部分使用的二台路由器组成,用来实现城域网数据传输,采用的OSPF动态路由协议。
(3)分公司网络
分公司局域网采用的三层交换做为核心交换机,使用路由器做为网络的出口,并从ISP申请了两条链路,一条为2M的专用线路,用来传输业务流量;另一条为访问互联链路,满足内网用户访问互联网资源。
在分公司的外口部署VPN网关,主要是作为业务流量的备用链路,当专用链路中断时,VPN网关自动启用VPN功能实现安全传输业务数据。
分公司网络采用OSPF动态路由协议,并通过专用线路只能学习到分公司网络服务器群的路由信息,实现网络的畅通。
您作为构建该网络的工程师,请根据拓扑图建设一个安全、可靠、稳定的网络。
2 / 6
2010年宁波市首届大学生网络与信息安全技能大赛试题
3 / 6
2010年宁波市首届大学生网络与信息安全技能大赛试题
四、地址规划
1.基础架构
根据下表和网络拓扑图,将所有连接起来。 设备 设备名称 RA 设备接口 Fa0/0 Fa0/1 Fa0/2 RB 路由器 RC Fa0/0 Fa0/1 Fa0/0 S2/0 Fa0/0 RD Fa0/1 S2/0 GE1 防火墙 FW1 GE2 GE3 Fa0/1 VLAN110 SW1 三层交换机 VLAN120 VLAN130 VLAN150 Fa0/1 SW3 Fa0/10 VLAN200 VLAN210 VPN-1 VPN网关 VPN-2 Eth0 Eth1 Eth0 Eth1 IP地址/电话号码 10.1.0.1/30 211.1.1.1/28 19.1.1.1/30 19.1.1.2/30 19.1.1.5/30 19.1.1.6/30 19.1.1.9/30 10.2.0.1/30 211.1.1.12/28 19.1.1.10/30 10.1.0.2/30 10.1.0.5/30 10.1.0.9/30 10.1.0.6/30 10.1.1.1/24 10.1.2.1/24 10.1.3.1/24 10.1.5.1/24 10.2.0.2/30 10.2.0.9/30 10.2.1.1/24 10.2.2.1/24 211.1.1.14/28 10.1.0.10/30 211.1.1.13/28 10.2.0.10/30 2.应用系统 设备 计算机1 dns.xuanbo.com www.xuanbo.com 计算机2 dc.xuanbo.com ca.xuanbo.com 计算机3 dhcp.xuanbo.com 设备名称 ftp.xuanbo.com 操作系统 Windows server 2003/RedHat Linux ES4.0 Windows server 2003/RedHat Linux ES4.0 Windows server 2003/RedHat Linux ES4.0 Windows server 2003/RedHat Linux ES4.0 Windows server 2003/RedHat Linux ES4.0 Windows server 2003/RedHat Linux ES4.0 IP地址 10.1.5.2/24 10.1.5.7/24 10.1.5.3/24 10.1.5.4/24 10.1.5.5/24 10.1.5.6/24 4 / 6
2010年宁波市首届大学生网络与信息安全技能大赛试题
计算机4 计算机5 计算机6 Client1 Client2 Client3 Windows XP Windows XP Windows XP 10.1.2.10/24 10.2.1.10/24 10.2.2.10/24 五、项目实施(总计500分)
1.总公司建设需求(200分)
(1).根据网络拓扑结构和地址规划表,部署和实施总公司基础底层网络;(20分) (2).根据网络拓扑结构所示,在总公司的网络中采用的OSPF动态路由协议,并将其规划为常规区域10中,总公司可以学习到分公司的所有路由信息;(30分)
(3).根据网络拓扑结构所示,配置IPSec VPN功能,实现移动办公用户可以安全访问内网服务群中的服务。配置业务流量的备份链路,当专用线路出现故障时,VPN网关自动启用IPSec VPN功能,保障分公司用户能够安全访问总公司服务群中的业务数据;(15分)
(4).将服务群中的WEB、FTP服务发布到互联网上,其内部全局地址为211.1.1.5/28,内网用户访问互联网时,需要使用内部全局地址段211.1.1.5/28-211.1.1.7/28,需要采用端口复用的技术,内部用户需要使用内部全局地址访问WEB、FTP服务器;(20分)
(5).根据拓扑结构所示,在总公司网络中部署和实施无线网络,实现安全的智能无线网络;(25分)
(6).在网络的接入层,由于公司内部用户经常使用HUB来扩充网络规模,需要采取措施防止这种现象存在;(20分)
(7).为了保障链路的负载均衡和增加网络的带宽,在接入层交换机的上行链路,需要采取措施实现这一功能;(20分)
(8).在服务群中部署了DHCP服务器,由于DHCP服务器会受到无赖设备和DOS攻击,所以需要采用措施防止或抑制这种的攻击;(10分)
(9).在总公司的网络中部署了防火墙,需要配置最严密的规则来保护内网用户和服务器群的安全。防火墙经常会受SYN Flood、ICMP Flood、Ping of Death、UDP Flood、PING SWEEP、TCP端口扫描、UDP端口扫描、WinNuke等攻击,需要采取措施防止这各攻击;(20分)
(10).服务器群中的WEB服务器和FTP服务器经常会受到攻击者非常频繁的访问,其主要是消耗服务器的资源,需要在防火墙配置相关功能用来保护服务器主机。(20分) 2.城域网建设需求(50分)
(1).根据网络拓扑结构和地址规划表,部署和实施城域基础底层网络;(20分)
(2).在城域网中采用OSPF动态路由协议,将其规划为骨干区域;(20分) (3).为了实现网络安全,首先需要采用安全措施保证路由协议更新安全;(10分) 3.分公司建设需求(100分)
(1).根据网络拓扑结构和地址规划表,部署和实施分公司基础底层网络;(20分) (2).根据网络拓扑结构所示,在分公司的网络中采用的OSPF动态路由协议,并将其划入到常规区域20中,分公司只能学习到总公司服务器群的路由信息;(25分)
(3).配置业务流量的备份链路,当专用线路出现故障时,VPN网关自动启用IPSec VPN功能,保障分公司用户能够安全访问总公司服务群中的业务数据;(15分)
(4).需要使用内部全局地址段211.1.1.10/28-211.1.1.11/28,需要采用端口复用的技术; (15分)
(5).在网络的接入层,由于公司内部用户经常使用HUB来扩充网络规模,需要采取措施防止这种现象存在; (10分)
(6).为了保障接入层交换机的上行链路冗余性,需要采用两条链路,但这样会引起环路,需要采取措施既能实现冗余性又能防止互环路,而且可以实现链路的负载均衡;(10分) 4.应用系统建设需求(150分)
(1)在网络中部署活动目录服务器,系统平台可以任选Windows server 2003/RedHat
5 / 6
2010年宁波市首届大学生网络与信息安全技能大赛试题
Linux ES4.0两种操作系统的任意一个操作系统,此服务器同时也是DNS服务器,其域名为xuanbo.com,此服务器的FQDN为dc.xuanbo.com,域的功能级别为2003模式;DNS服务器要求正确创建正向区域、反向区域和主机记录;(20分)
(2)在活动目录中创建4个OU,创建4 个全局组,创建12个用户,具体内容见下表所示: 部门 生产部 销售部 行政部 经理办公室 OU 生产部 销售部 行政部 经理办公室 全局组 production sales administeration manager 隶属用户 prod (经理)、Prod_1、Prod_2 sale(经理)、sales_1、sales_2 adm(经理)、adm_1、adm_2 master(总经理)、man_1、man_2 设置帐户策略,要求域用户在首次登录时需要修改口令,密码长度最小为9位,密码最长存留其为一周,帐户锁定阈值为5次,如果到过阈值需要锁定30分钟。(20分)
(3)在网络中搭建CA服务器,系统平台可以任选Windows server 2003/RedHat Linux ES4.0两种操作系统的任意一个操作系统,定义为企业根,证书期限为三年,为其它服务器提供证书服务。(20分)
(4)在网络中搭建WEB服务器,系统平台可以任选Windows server 2003/RedHat Linux ES4.0两种操作系统的任意一个操作系统,此服务器的FQDN为www.xuanbo.com,建立web站点:www.xuanbo.com,自己建立一个简单的中文网页。网页的内容为:“祝2010年宁波市首届大学生网络与信息安全技能大赛圆满成功”,其文件名为default.html;配置主机头,只能使用域名访问网页,不允许使用IP地址访问。在CA服务器上申请证书,即可以使用SSL访问站点,也可不使用SSL访问站点。(20分)
(5)在网络中搭建DHCP服务器,系统平台可以任选Windows server 2003/RedHat Linux ES4.0两种操作系统的任意一个操作系统,此服务器的FQDN为dhcp.xuanbo.com。创建2个作用域,作用域名称VLAN110,地址池10.1.1.10-10.1.1.200,需要为客户端自动配置DNS和网关。作用域名称VLAN120,地址池10.1.2.10-10.1.2.200,需要为客户端自动配置DNS和网关。(20分)
(6)在网络搭建FTP服务器,系统平台可以任选Windows server 2003/RedHat Linux ES4.0两种操作系统的任意一个操作系统,此服务器的FQDN为ftp.xuanbo.com,为了保证服务FTP服务器的安全,只允许用户下载文件,不能上传文件。(25分)
(7)在网络搭建备份DNS服务器,系统平台可以任选Windows server 2003/RedHat Linux ES4.0两种操作系统的任意一个操作系统,此服务器的FQDN为dns.xuanbo.com,作为主DNS服务器的备份服务器,要采取安全措施保障区域复制安全,采取安全措施保障此服务器只提供DNS服务。(25分)
6 / 6
因篇幅问题不能全部显示,请点此查看更多更全内容