第47届世界技能大赛网络安全项目江苏省选拔赛-模块A样题

第47届世界技能大赛网络安全项目江苏省选拔赛

网络安全-模块A

企业基础设施安全

目录

目录......................................................................................................................................................................................1

1竞赛项目简介.....................................................................................................................................................................2

1.1介绍..............................................................................................................................................................................2

1.2任务描述......................................................................................................................................................................2

1.3竞赛说明......................................................................................................................................................................2

1.4所需设施设备和材料..................................................................................................................................................3

1.5评分方案......................................................................................................................................................................3

2竞赛项目工作任务.............................................................................................................................................................4

2.1基本配置验证..............................................................................................................................................................4

2.2登录及密码策略配置..................................................................................................................................................4

2.2.1账户密码策略配置..............................................................................................................................................4

2.2.2账户登录安全策略配置......................................................................................................................................5

2.3网络设备加固..............................................................................................................................................................5

2.3.1基础设备安全功能配置......................................................................................................................................5

2.3.2分支机构间通信和远程工作人员远程访问策略..................................................................................................6

2.4公共服务保护..............................................................................................................................................................6

2.5安全审核策略配置......................................................................................................................................................7

2.5.1windows域配置................................................................................................................................................7

2.5.2审核策略必须与列出的事件匹配......................................................................................................................7

2.5.3网络设备安全审核策略配置..............................................................................................................................8

2.6防火墙策略..................................................................................................................................................................8

附录A:分值分配表..............................................................................................................................................................9

附录B:基础设施列表........................................................................................................................................................10

附录C:网络拓扑图............................................................................................................................................................11

1

1竞赛项目简介

本文件为：第47届世界技能大赛网络安全项目江苏省选拔赛竞赛样题-模块A；

本次比赛时间为5个小时。

1.1介绍

目前，网络安全知识对于任何想要从事IT领域工作的人来说已变得越来越重要。本竞赛

项目的任务根据实际IT集成、IT外包中的工作任务进行设计，如果选手能高质量完成本项

目的竞赛任务，说明选手已经具备了为企业典型的网络架构进行安全策略设计和实施的基本

能力。

1.2任务描述

本竞赛项目以典型的企业信息系统网络架构为基础，相关的服务均可以正常运行，但没

有对所提供的服务的安全性进行配置。选手需要使用各种网络安全技术对已有的网络和服务

进行安全配置和加固。一些安全配置非常简单，但另外一些安全配置则为不同的实现选项预

留了选择空间，选手需要按照指定的任务要求，实现相应设备的安全配置与加固。选手应该

熟悉Cisco、Microsoft、linux等的安全配置和加固技术。本项目任务分为以下几个部分：

1）登录和密码策略

2）网络设备加固

3）公共服务保护

4）安全审核策略配置

5）防火墙策略

1.3竞赛说明

1）在进行任何配置之前，请阅读每个部分中的任务。一些项目可能需要完成之前或之后

的其他项目才能实现。

2）在开始竞赛项目之前，确认拓扑中的所有设备都处于正常工作状态。在竞赛期间，选

手需要尽可能的恢复由于任何原因所导致的设备被锁定或无法访问的情况。完成竞赛项目

后，需要确保所有的设备都可以被评委访问，否则将无法得分。

3）故障排除技术是在本项目中技能测试的一部分。

2

4）只对配置完成的项目给予分数。在提交测试项目前，选手需要测试所有配置的完成情

况，因为在配置某些项目时，有可能会破坏其它项目的需求或配置。

5）任何项目需要满足所有安全要求才能获得此项目的分数。

6）选手应当经常保存配置，避免意外情况发生。

7）应确保所有配置在设备重启后仍然有效。

8）在配置过程中，在需要输入密码时，若没有特别指定，请使用Skills

9）在配置过程中，在需要配置用户名和密码时，若没有特别指定，使用用户名user，

密码Skills@2022

10）请使用admin/Skills本地凭证访问windows虚拟机(域管理员使用

administrator/Skills@123)，使用root/Skills访问Linux虚拟机。选手在竞赛过程不要更

改这些默认配置的密码。

1.4所需设施设备和材料

所有测试项目都可以根据基础设施列表中指定的设备和材料完成。

1.5评分方案

根据本项目的技术工作文件要求，本模块总分为30分。

3

2竞赛项目工作任务

2.1基本配置验证

1）拓扑中的设备是预先配置好的，所有设备的名称均根据拓扑图统一命名。

2）IP子网是根据拓扑图预先配置的。在每个子网中，网关设备使用该子网的最后一个

IP地址，客户机设备的IP分配从该子网的第一个IP地址开始分配。

3）基础路由已预先配置，所采用的OSPF动态路由协议暴露了内部私有网络信息，需要

参赛选手采用IPSec、NAT等技术措施进行加固。

4）服务器预先配置了以下角色和服务:

虚拟机角色\服务

活动目录域名服务()，DNS(-internalzone)，DHCP，网络政策服

DC

务器

WWWApache2webserver（）

FTPvsFTPd()

CAApache2Webserver（），OpenSSLCA

2.2登录及密码策略配置

2.2.1账户密码策略配置

需求应用于VM\device

Manager，Staff，DC，WWW，FTP，FW，SW1，

a)最小密码长度不得少于12个字符

SW2，IAR

b)密码复杂度设置要求应包含大小写字母，数字和特Manager，Staff，DC，WWW，FTP，FW，SW1，

殊字符SW2，IAR

4

需求应用于VM\device

c)所有密码必须作为可逆密文存储在配置中IAR，SW1，SW2

d)本地用户的密码应作为scrypthash存储在配置中SW1，SW2

e)设置enable密码为QWEqwe258!@#FW，IAR，SW1，SW2

2.2.2账户登录安全策略配置

需求应用于VM\device

a)在用户登录系统时，应该有“ForauthorizedManager，Staff，DC，WWW，FTP，FW，SW1，

usersonly”的banner提示信息。SW2，IAR

b)一分钟内仅允许5次登录失败的尝试，超过5次，Manager，Staff，DC，WWW，FTP，FW，SW1，

登录帐号锁定1分钟。SW2，IAR

c)启用本地控制台身份验证。成功验证后，用户应以

IAR，SW1，SW2

最小权限登陆用户模式（privilegelevel1）

Manager，Staff，DC，WWW，FTP，FW，SW1，

d)非活动超时时间不得超过1分钟

SW2，IAR

e)禁用系统缓存登录Manager，Staff

2.3网络设备加固

2.3.1基础设备安全功能配置

需求应用于VM\device

a)任何端口上的mac地址的最大数量必须不大于2。SW1，SW2

在违反本安全策略的情况下，端口应设置为

restrict状态，不能被设置为错误禁用状态

（shutdown）。

b)关闭空闲的端口SW1，SW2

5

2.3.2分支机构间通信和远程工作人员远程访问策略

需求应用于VM\device

a)在LED与IAR之间构建vpn隧道，使分支机构和办FW，IAR

公区能正常通信。要求构建的ipsec隧道的ike

v1策略集加密参数使用aes、摘要算法使用sha、

密钥交换算法使用pre-shared-key，ipsec变换集

使用esp-aes和esp-sha-hmac

2.4公共服务保护

需求应用于VM\device

a)配置所有对Web网站的请求使用HTTPS协议进行处WWW

理。必须将所有HTTP请求重定向到HTTPS

b)配置Web网站服务，禁止目录浏览WWW

c)配置Web网站服务，隐藏web网站服务名称及版本WWW

号

d)设置公司FTP服务器仅接受SSL/TLS连接FTP

e)设置公司FTP服务器，禁止匿名访问FTP

f)禁止root用户SSH远程登录WWW，FTP

g)配置snort检测并告警所有发向本机的超过1024WWW，FTP

字节的ICMP数据包，告警消息设置为ICMPFLOOD

h)配置ModSecurity添加规则，拦截所有请求方式WWW

为：HEAD、PUT、DELETE、CONNECT、TRACE的HTTP

数据包

6

2.5安全审核策略配置

2.5.1windows域配置

需求应用于VM\device

a)使用user1账户将Manager加入域Manager

b)使用user2账户将Staff加入域Staff

c)域成员对安全通道数据进行数字加密或数字签名DC，Manager，Staff

（始终）

d)对通信进行数字签名（如果可能）DC，Manager，Staff

2.5.2审核策略必须与列出的事件匹配

需求要求应用于VM\device

a)凭证验证成功与失败DC，Manager，Staff

e)计算机帐户管理成功与失败DC，Manager，Staff

f)安全组管理成功与失败DC，Manager，Staff

g)帐户锁定成功DC，Manager，Staff

h)登录成功与失败DC，Manager，Staff

i)注销成功DC，Manager，Staff

j)敏感特权使用成功与失败DC，Manager，Staff

7

2.5.3网络设备安全审核策略配置

需求应用于VM\device

a)开启日志审计功能FW、IAR、SW1、SW2

b)设置日志服务器地址为：FW、IAR、SW1、SW2

c)设置日志记录级别为:warningsFW、IAR、SW1、SW2

d)设置日志记录缓存区为：32000FW、IAR、SW1、SW2

2.6防火墙策略

需求应用于VM\device

a)必须打开所有服务器、客户端和网络设备上的防火DC、Manager、Staff、WWW、FTP

墙

b)所有设备上的防火墙规则必须配置为最小权限，仅FW、DC、Manager、Staff、WWW、FTP

允许所需的流量发送到目标设备上

8

附录A:分值分配表

序号描述