2023吉林高职高专网络信息安全与防护竞赛试题

2023吉林高职高专

网络信息平安与防护竞赛试题

（本科专家修改版）网上公布版

本试题中各操作过程结果保存方式可能有细微环节上的调整，但学问技能考核点不再改变

2023年吉林省职业院校技能大赛组委会

吉林•长春

2023年4月

赛题说明

一竞赛内容分布

“网络信息平安与防护”竞赛共分四个部分(每部分均采纳百分制)，其中：

第一部分：网络基础环境搭建与平安配置项目，占总分的比例为45%；

其次部分：网络信息平安与防护配置项目，占总分的比例为45%：

第三部分：制作相关工程测试文件项目，占总分的比例为5%：

第四部分：职业素养与团队风貌部分，占总分的比例为5%。

二竞赛时间

竞赛时间：依据场地及设备状况，可能分两批进行竞赛：

•第一批竞赛时间2011年4月25日7:00-11:00(竞赛时间为4小时):

•第一批竞客小组2011年4月25日11:00-11:10棉交竟塞结果并签字确认、诜手离场：

•裁判对第一批参赛队进行评卷2011年4月25B11:10-13:00

•复原设备时间2011年4月25日13:00-14:00

•其次批竞赛时间2011年4月25日14:00-18:00(竞赛时间为4小时)：

•其次批竞赛小组18:00-18:10提交竞赛结果并签字确认、选手离场：

三竞赛留意事项

(1)禁止携带和运用移动存储设备、计算器、通信工具、参考资料及空白纸张。

(2)请依据大赛所供应的竞赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设

备是否能正常运用。

(3)本试卷共有四个部分。请选手细致阅读竞赛试卷，依据试卷要求完成各项操作。

(4)操作过程中，须要刚好保存设备配置。竞赛结束后，全部设备朵持运行状态，不要拆、动硬件连

接。

(5)克:赛完成后，竞赛设备、软H和赛题请保留在座位上，禁止将竞赛所用的全部物品(包括试卷和

草纸)带离赛场。

(6)全部须要提交的文档均要求依据模板制作，文档模板请参考“d:\吉林省竞赛软件资料书目中

相关模板文档，禁止在竞赛相关文档有任何与竞赛无关的标记，最终以A4纸质文档提交电子文

档与打印的文档。

（7）对竞赛结果文档正文部分进行适当的排版，要尽量节约纸张，要删除不必要的重复行和空行，小

标题字体运用“五号”“加粗”，正文字体采纳“五号”字，留意不要修改页眉页脚设置，但要求

在页眉填写工位号（赛前抽取）。

（8）竞赛结果文件依据赛题要求命名。为了便于裁判评分，各部分操作题统一编号小标题，如第一部

分第一题编号为“1-1”依次类推。

（9）竞赛结果文件电子版须要依据裁判的要求，在竞赛结束前复制到裁判供应的U盘进行保存。

（10）裁判以各参赛队提交的纸质打印的竞赛结果文档为主要评分依据。全部提交的文档必需依据赛题

所规定的命名规则命名，文档中有对应题目的小标题，截图有截图的简要说明，否则按无效内容

处理。

四竞赛相关设备及材料清单

1.软件环境

表1T软件清单

序号类型名称位置

1系统软件WindowsXPProfessional全部6台主机系统为XP,默认安装在C盘

2系统软件Windows2023企业版镜像文件D:\吉林省竞赛软件资料\

3系统软件RedllatLintxAS5镜像文件D:\吉林省竞赛软件资料"

Snort、idscenterl09b21

4网管软件D:\吉林省竞赛软件资料\

、WinPcap_2_01_a全套组件

5加密软件PGPDesktopV810英文试用版D:\吉林省竞赛软件资料"

6驱动程序打印机、无线网K等驱动D：\吉林省竞赛软件资料\

路由器、UTM防火墙、交换机等设备相关

7设备文件D:\吉林省竞赛软件资料\

手册、文件

8网管软件NAISnifferPro4.7中文版C:\默认已安装

9网管软件Nmap5.51forwindowsC:\默认已安装

10虚拟机VMwareWorkstation7.0C:\默认已安装

11网管软件SolarWinds2023CATY试用版C:\默认已安装

12办公软件MicrosoftOffice2023C:\默认已安装

13PDF软件AdobeReader9C:\默认已安装

14压缩软件WinRAR3.8C:\默认已安装

15病毒防护瑞星杀毒软件及防火墙C:\默认已安装

16终端软件SecureCRT6.23C:\默认已安装

2.硬件设备

（1）网络相关设备采纳H3C、华为等网络公司相关产品，设备清单如表1-2所示。

表1-2网络硬件设备清单

序号设备名称设备数量参考型号

H3CICG3000（2台）

1路由器3台

QUIDWAYAR-28-11或28-31（1台）

2路由器语音模块2块RT-SIC-2FXS-V2-H3

3一股电话机2台一般电话机

4二层交换机2台H3CS3100或QUIDWAYS3100

5三层交换机1台H3CS3610

6UTM防火墙1台H3CSecPathU2O3-S-AC

7无线AP1台NETGEARWG6C2

8无线网卡1个NETGEARWGIII

9计算机6台联想品牌机

1（）工具（可以自备）1套测线器、压线钳、十字螺丝刀等

11耗材料1套水晶头、双绞线等

五竞赛项目背景及网络拓扑

1.项目描述

某大型企业，企业总部和企业分支通过ISP互连，随着业务的发展，公司原有网络已经不能满意高

效企业管理的须要，公司常常遭到来自互联网络的攻击或入侵，网络平安对生产和经营的影响也越来越

明显。为了满意业务的须要，公司确定构建一个高速、稳定、平安的适应企业现代化办公需求的高性能

网络。

2.网络拓扑规划

网络拓扑结构规划如图1所示。

图I网络拓扑结构图

六工程建设需求及内容描述

本次公司的网络构建包括企业总部和企业分支两个部分，中间部分为互联网ISP部分，即三个模块

1-3都要进行配置。总公司的网络出口运用防火墙、路由器连接到ISP,通过配置防火墙来实现内网用户

访问Internet以及爱护内网的平安。总公司和分公司之间的办公用户通过VPN建立的隧道相互通信，有

效的保证了数据传输的平安性。

本工程项目主要建设需求及主要内容描述如下（此处仅为功能性描述，详细见后而的试题要求）：

1.模块3：互联网ISP需求

利用供应的R3路由器及Servcr3服务器模拟ISP互联网部分设备。

（1）随_R3路由器要进行基本连接配置，其模拟的是公网上的路由器，要遵循公网上路由器的

原则配置路由，进行最小化的连通性配置。

（2）Server3：在此拓扑中R1的E2/0接口充当互联网ISP的一部分，须要保证全部网络中的主

机可以访问Server3°

（3）Server3；Server3服务器安装WIN2023虚拟机，配置DNS及CA服务。

2.模块2：企业总部局域网安装及企业总部互联网接入的配置需求

（4）RL通过对R1的配置实现企业总部网络可以接入互联网，并与企业分支的路由器R2建立

VPN连接。保证企业总部内网的PC可以访问互联网、企业总部与分支能拨打VOIP电话，并

且要求企业总部与企业分支内部之间的语音与数据流都通过VPN在公网上传输。在R1上配

置回环接口、静态路由、NAT、VPN、VOIP等功能。

（5）Telephone］：通过以上配置可以实现企业总部与分支之间的VOIP通信，即Telephonel与

Telephonc2可以相互拔打语音电话。

（6）配置UTM防火搞爱护企业总部内部网络平安，包括流量限制、访问策略等功能。并爱

护Server?的平安。

（7）Server2：Server2服务器安装WIN2023虚拟机，在虚拟机原有一个系统盘基础上新添加三

块SCSI虚拟硬盘，每个硬盘的大小为4个GB,在其上分别建立三个卷：一个是条带卷、另

一个是RAID5卷、还有一个镜像卷。配置WEB、FTP服务，WEB主书目指向RAID5卷：FTP

服务用存放软件，指向条带卷。

（8）Server2：在Server2上从Served上的CA服务器申请并安装数字证书，为WEB配置平安访

问（S）o以爱护PC3通过阅读器发送到Server2的信息是加密的，并通过CA确保PC3

所访问的Server2上的WEB站点的真实性。

（9）S1；S1是企业总部内部交换网络的二层交换机，起到核心与汇聚层作用，在其上要配置相

应功能，为内网中的PC动态安排IP地址等信息：同时对各部门划分VLAN,且VLAN间经三

层交换可相互通信，并且要求把S1与LTM之间的企业内部网络主干流量复制发送到PC2上,

以便于PC2能够监测主干流量中的全部协议数据：同时S1中要配置与S2、S3之间的聚合连

接，以保证网络的高速上联与牢靠性。为了让所连接的PC能够访问外部网络要配置相应的

静态路由条目。

（10）Serveri：Serveri上安装的WIN2023虚拟机为企业总部优网的WEB、FTP、DNS.Telnet与AD

服务器。其中NEB、FTP、DNS通过两种操作系统完成，即在XP主机系统上再安装一个Linux

虚拟机，也要配置WEB、FTP、DNS服务。

（IDS2、S3：企业总部内的S2和S3交换机中配置VLAN、TRUNK、链路聚合等功能。同时为了保

证非授权用户不能接入公司内部网络，对接入交换机S2所连接的PC采纳本地802.IX进行

认证。

（12）空_企业总部内无线AP安装于会议室内，要对其配置平安加密认证以保证非企业内部或非

授权的员工不能连接到企业网络。

（13）PCI、PC2：企业总部内的PCI、PC2（无线网卡）设置为动态获得地址、网关及DNS信息。

PC1上连接有打印机，要求PC2可以连接运用此打印机进行网络打印。同时PC2可以作为网

络配置与管理工作站，远程配置管理全部网络设备及服务器。

（14）PC1：在企业总部内的PC1上完成网络平安的测试项目。

（15）PC2：PC2上要安装USB接口的无线网卡通过连接到无线AP能连接内外网络。另外PC2有线

网卡（指定IP）要连接到核心交换机的E1/0/7端口上监控网络主干流量。要将PC2的主机

XP系统安装入侵检测系统Snort、扫描软件NMAP、网络管理软件SolarWinds、协议分析软

件SnifferPro以实现对外部网络的攻击与非法访问的记录和报警、网络管理与主干流量监

测分析等功能。

3.模块1：企业分支（分公司）局域网及企业分支（分公司）互联网接入的配置需求

分公司网络构建（有线网络）、平安规则部署：

（16）电_配置R2的NAT功能、回环接口。同时配置与企业总部的R1之间的VPN平安连接，并能

为PC3动态安排地址。弃且与企业总部内部的语音与数据流都通过VPN在公网上传输

（17）PC3：在PC3上申请IE阅读器数字证书，并按要求完成测试任务。

（18）Telephone2：通过以上配置可以实现企业分支与总部之间的VOIP通信,即Telephone2与

Telephone1口J以相互拔打语音电话。

4.其它说明：

（19）全部主机操作系统为WirdcwsXP,服务器在此系统上利用虚拟机完成安装与配置.

（20）设备接口连接及配置要按拓扑及表中要求，详细如有模块插在不同插槽，要按对应依次连接。

（21）无线网卡、打印机、路由器语音模块要自行安装或驱动。

（22）全部须要配置的路由项帮用静态路由，回指路由都要指明魂的网段，向外部网络指的路由运

用默认路由，下一跳为详细地址，不要指定为接口。公网R3依据公网实际原则指明相应静

态路由。

（23）全部ACL定义中也要分条指明详细网段，不要进行汇总。

（24）保证企业分支PC3所在网段与企业总部全部192.168开头网段的网络可达。即192.168开头

的网段之间可以相互访问。

（25）总体设计上要便于企业总部网络管理员对企业总部网络的远程管理。

（26）路由器RI、R2、R3与交换机SI、S2、S3设备配置文件保存名为“设备名.cfg”，例如S1

交换机保存名为sl.cfgc最终完成后上传到Server2的FTP上，并下载到PC2桌面的选手

文件夹下（“吉林省大赛第XX组结果文档”，XX为工位号）。

第一部分网络基础环境搭建与平安配置项目

【笫一部分网络配置占总分的比例为45%,本部分评分将采纳百分制。包含了网络基本连通性配置内容,

主要有总公司、ISP、分公司的路由器、交换机等网络设备连接与调试，网络中无线设备、PC、服务器、

UTM防火墙等网络平安设备的连接与基本平安配置。本部分的竞赛结果文件必需依据题目要求提交。】

一留意事项

•设备配置完毕后，保存最新的设备配置。路由器和交换机等终端配置设备请按题目要求提交配置

文件，防火墙、无线等通过web或是客户端配置的设备请按题目要求提交相关截图，并将这些

结果写入竞赛结果文档中。

•拓扑图及试题中给定的设备接口号假如不存在,则实际配置中依据设备实际接口号按对应依次达

行配置。

・各部分竞赛结果文档文件名称要求：对于截图保存的文档，在完成配置后提交能反映各个配置项

目结果的窗口截图。将图保存在当前计算机对应的文档中，如在PC2上做的截图保存到“工位

号一PC2配置文档.doc”。截图在文档中要求有试题的题号小标题，并对每个截图进行必要的说明.

无截图的项目不得分。即分别保存到名为“工位号_PCI配置文档.doc”、“工位号_PC2配置文

档.doc”、“工位号_PC3配置文档.doc”、“工位号_Serverl配置文档doc”、“工位号_RHlinux配置

文档.doc”、“工位号_Server2配置文档doc”，“工位号_Server3配置文档.doc”的文档中，以上文

件模板在“d:\吉林省竞赛软件资料'网络配置文档”书目下。路由器与交换机的保存在完成最终

的配置后将完整的配置文件上传到指定的Served的FTP中，最终全部文档要夏制到PC2桌面

上自行建立的“吉林省大赛第XX组结果文档”（选手文件夹）书目下，XX为工位号，考试结

束时将电子的文档上交，并依据裁判要求，将竞赛结果文件打印并备份到裁判指定的U盘中。

二网络设备初始化信息

表2-1网络设备初始化信息表

设备管理方式用户名密码管理接口出厂管理地址

UTMwebadminadming0/0口IP：

防火墙console空空console无

无线APWebadminpasswordanyportIP：27

路由器console空空console无

交换机console空‘六'console无

上述通过console进行管理的设备，安默认值进行设置，把“超级终端”的连接速率“每秒位数”

设置为“9600”，其它安默认值进行设置。

三网络设备配置要求（共100分）

1”.依据网络中的实际需求，自制网络中的设备及主机相互连接的双绞线。（8分）

1-2.依据下表对网络设备进行命名以及配置各接口IP地址。（10分）

表2-2网络设备IP地址表

设备名

设备设备接口IP地址

称

EQ/0/30

EQ/1192.1

RI

E2/0/30

L（x）pback0.1/32

路由器EQ/13/30

R2EQ/01

Ix）opback0.2/32

E0/0/30

R3

EQ/14/30

GO/1

UTM防火墙UTMGO/2

GO/3

VLAN100/24

VLAN3/24

三层交换机S1

VLAN10Z24

VLAN20/24

S2VLAN100/24

二层交换机

S3VLAN100/24

PCPC1主机XP系统（主机名PCI）VLAN10：DHCP

主机XP系统无线网卡（主机名PC2）VLAN20：DHCP

PC2

主机XP系统有线网卡（主机名PC2）VLAN3：

PC3主机XP系统（主机名PC3）R2：DHCP

主机XP系统（主机名PC4）00/24

Serveri虚拟机WIN2023（主机名Serveri）192.168.100.10124

虚拟机Linux（主机名RHlinux）192.168.10（）.102/24

服务器主机XP系统（主机名PC5）

Server2

虚拟机WIN2O23（主机名Server2）1/24

主机XP系统（主机名PC6）不设置IP地址

Server3

虚拟机WIN2O23（主机名Served）0/30

无线APAP管理IP/24

1-3.依据上表中的信息拓扑中的端口号，在交换机SI、S2、S3上创建VLAN,并将端口加入到相

应的VLAN中。（8分）

表2-3交换机VLAN安排表

设备VLAN-ID端口

VLAN10

VLAN20

S1VLAN3El/0/6.E1/0/7

VLAN100管理.VLAN、接口El/0/5属于此VLAN

VLAN1El/0/l-2>E1/0/34为Trunk,并分别配置聚合

VLAN10El/0/1-5

VLAN20El/0/6-10

S2

VLAN100管理VLAN

VLANIEl/0/15-16为Trunk,并配置聚合

VLAN10El/0/6-10

VLAN20El/0/1-5

S3

VLAN100管理VLAN

VLAN1El/0/15-16为Trunk,并配置聚合

1-4.在S1交换机上配置DHCP功能为VLAN10和20分别安排IP地址，VLAN10的网络IP地址

是：/24,网关为I92.168.I0.1,主DNS服务器为01、协助DNS服务器为;VLAN20

的网络IP地址是：/24,网关为,主DNS服务器为01、协助DNS

服务器为。（4分）

1-5.总公司的会议室PC2通过元线AP（配置AP静态地址为0）接入到公司网络中，

要求运用的无线的SSID名称为XX-JLDS（XX参赛队工位号），无线用户通过DHCP获得地址，用户接

入到无线网络时数据加密方式为WEP,加密口令为0123456789。完成卜面操作后可禁用无线网卡（4分）

提交的截图：

•将截图粘贴到“工位号_PC2配置文档.doc”中，标记为“（1）无线网络相关配置截图”，并对

截图进行必要的说明。

•在IE地址栏中输入0,截取web配置界面中数据加密配置完成界面。

•SSID名称：无线电脑PC2搜寻“查看可用的无线网络”信息，包括XX-JLDS（只截本参赛队

的SSID号）。

・无线电脑PC2连接到AP后，将获得到的无线网卡的IP信息通过ipconfig/all查看并截图。

1-6.为了保证企业总部与分支之间的全部网段路由可达，配置相应设备上的路由条目。全部须要配

置的路由项的网络都用静态路由.同指路由都要指明确的网段,向外部网络指的路由运用默认路由.下

一跳为详细地址，不要指定为接口。公网R3依据公网实际原则指明相应静态路由。（12分）

1-7.在R2上配置DHCP功能为PC3动态安排IP、网关和DNS（主DNS服务器为：辅DNS服先

器为192.168.1（X）.101）地址。PC3将获得到的IP信息通过ipconfig/all查看并截图粘贴到“工位号_PC3

配置文档.doc”中。（2分）

1-8.在R1和R2上配置NAT功能，保证其各自内部网段访问公网时通过NAT进行访问，而公司

总部与分支之间私有地址通信时不进行NAT转换。并在R1上配置DNAT功能，让内外网中的PC可以

访问Server2上的Web页而和FTP软件资源。相关ACL（Number300C,Namenat）定义中也要分条指明

详细网段，不要进行汇总。（15分）

1-9.在R1与R2之间配置VPN（站点到站点的IPSec）功能，保证公司总部与分支之间其各自内部

全部私有网段相互访问的数据流量与语音通过IPSec的VPN进行加密，以保证其在公网部分的平安性。

相关ACL（Number3001,NameIPSec）定义中也要分条指明详细网段,不要进行汇总。（15分）

1-10.在PC1上连接打印机，并共享此网络打印机（共享名Printer）,让PC2能连接此网络打印机。

将PC2连接上此打印机后打印机属性中的端口窗口截屏并命名保存到“工位号_PC2配置文档.doc”文档

中。（2分）

1-11.配置UTM各接口处于不同级别的信任区域，保证企业总部内部网络中的全部网段可以访问

外部网络，外部网络仅可以访问Ser\er2上的WEB、FTP资源及PING,不能发起对内网的访问。分支

中的/24网段可以访问企业总部内网的全部网段全部服务，并将设置接口处于不同的信任

区域的完成界面、路由配置信息界而、定义访问规则的完成界而截屏并命名保存到“工位号_PC2配置文

档.doc”文档中。（10分）

1-12.安装语音模块，并将R1的PHONEO接口和R2的PHONEO接口作为Telephone1和Telephone2

的信号源，Telephone1电话号码为81234567,Telephone2电话为91234567,要求相互能够拨号通话，并

利用前面的VPN保证语音流量在公网上的平安传输。（10分）

其次部分网络信息平安与防护配置项目

【其次部分网络信息平安与防护配置项目占总分的比例为45%,本部分评分将采纳百分制。包含了网络

信息平安配置内容，服务器等网络平安设备的平安配置与管理本部分的竞赛结果文件必需依据即目要

求提交。】

一留意事项

・各部分竞赛结果文档文件名称要求：对于截图保存的文档，在完成配置后提交能反映各个配置项

目结果的窗口截图。将图保存在当前计算机对应的文档中，如在PC2上做的截图保存到“工位

号_PC2配置文档.doc”。截图在文档中要求有试题的题号小标题，并对每个截图进行必要的说明.

无截图的项目不得分。即分别保存到名为“工位号_PCI配置文档.doc”、“工位号_PC2配置文

档.doc”、“工位号_PC3配置文档.doc"、“工位号_Serverl配置文档.doc”、“工位号_RHlinux配置

文档.doc”、“工位号_Server2配置文档doc”，“工位号_Server3配置文档.doc”的文档中，以上文

件模板在“d:\吉林省竞赛软件资料'网络配置文档”书目下。路由器与交换机的保存在完成最终

的配置后将完整的配置文件上传到指定的Served的FTP中，最终全部文档要复制到PC2桌面

上自行建立的“吉林省大赛第XX组结果文档”（选手文件夹）书目下，XX为工位号，考试结

束时将电子的文档上交，并依据裁判要求，将竞赛结果文件打印并备份到裁判指定的U盘中。

•全部6台计算机的主机系统都是WindowsXP系统，各服务器操作系统均利用VMwareworkstation

7.0虚拟机系统实现。全部虚拟机均要安装在主机系统的E盘下。

•各服务器系统管理员帐号为默认，密码统一设置为“jldsl23456:各服务器上建立的FTP与Telnet

服务的帐号统一设置为telman,密码为：jlds123456.AD的复原密码也设置为“jldsl23456”。

•各WEB服务器的主页面自行建立，页面上有“吉林省技能竞赛网络信息平安与防护+服务器主

机名”字样即可。

二网络服务器平安配置

2-1.服务器的安装与基本平安配置（10分）

网络中的服务器说明：Serveri为企业总部内网服务器，总部内部网络及分支中的PC3所在网络可

以运用其中的WEB、FTP、DNS、Telnet服务，同时Serve”也是AD。Served为企业对外供应WEB与

FTP资源服务器。Served为公网上的DNS、CA服务器。并依据第•部分的表2-2中给定的IP地址配置

各服务器的地址。

⑴在Serveri上安装虚拟机:

在Scrvcrl上分别安装WIN2023虚拟机和LINUX虚拟机，两台虚拟机服务器都安装配置WEB）、

FTP、Telnet.DNS和server2域名解析地址，同时设置WIN2O23虚拟机的DNS转发器指向

Server?）服务；同时在Serveri的WIN2023虚拟机上安装并配置AD服务。将WEB、FTP、Telnet.DNS

设置的结果的界面窗口橄屏保存至“工位号_Serverl配置文档.doc”中。LINUX虚拟机的WEB、FTP、

Telnet.DNS配置界面保存到“工位号_RHLinux配置文档.doc”中。

（2）在Served上安装虚拟机：

Server2服务器安装WIN2023虚双机，在虚拟机原有一个系统盘基础上新添加三块SCSI虚拟硬盘,

每个硬盘的大小为4个GB,在其上创建三个卷：一个是带区卷（E：可有空间大小约为1200MB）、另

一个是RAID5卷（F：可有空间大小约为1200MB）、还有一个镜像卷（G：可有空间大小约为1200MB）.

配置WEB、FTP服务，FTP服务用存放软件，主书目指向带区卷E：\ftp,WEB主书目指向RAID5卷F：

\web,镜像卷G：用于将来的重要数据备份。将动态卷、FTP、WEB的创建结果的界面窗口截屏保存至

“工位号_Server2配置文档.doc”中。

（3）在Scrvcr3上安装虚拟机：

在Server3上安装WIN2023虚拟机，并配置DNS服务，为Server2作域名解析（域名为

Sener2）：同时安装证书服务，在服务器Server3中安装CA证书服务器，使客户端能够通过Web

申请证书。要求；CA类型选择“独立根CA”；CA的公用名称运用“JLDSCA1”；证书数据库和证书数据库

日志保存在默认文件夹中。安装完毕言，启动证书服务。把为Server2颁发完证书后的CA服务器窗口截

屏保存并命名，保存至“工位号_Server3配置文档.doc”中。

2-2.总公司为了集中管理公司的网络，利用Scrvcrl的WindowsServer2023中的ActiveDirectory

所供应的功能，来组织、管理与限制网络资源。通过组•策略功能，限制与管理网络上用户的工作环境与

计算机环境，以减轻网络管理的负担，降低网络管理的成本。将以下各项目配置完成后的结果界面分别

截屏保存并命名（10分）

Windows域环境构建的详细要求如下；

（1）在Serveri上配置一台域限制器DC1,域名为jlds,NetBIOS域名为jIds,服务器的FQDN

为Serveri.jlds,域的功能级别为2023模式。同时，该服务器为DNS服务器，负责解析jlds域

名。将相应设置的结果的界面窗口截解保存至“工位号_Serverl配置文档.doc”中。

（2）在jlds域中创建9个域用户、3个全局组和3个0U,详细如下表所示。同时要求员工账

户在每周一至周五的11至13点禁止登陆。将相应设置的结果的界面窗口截屏保存至“工位号_Scrvcrl

配置文档doc”中。

部门OU全局组隶属用户

生产部生产部ProductsPeter（经理）、Palo（员工）、Pygon（员工）

销售部销售部SalesSusan（经理）、Sala（员工）、Sysil（员工）

行政部行政部AdministrationAnda（经理）、Anqi（员工）、Anyoo（员工）

（3）配置域平安策略，域用户的初始密码为123456,要求域用户在苜次登录时能自己更改密码，

密码最长存留其为一周，账户锁定阈值为4次，假如超过阈值须要锁定20分钟。将相应设置的结果的界

面窗口截屏保存至“工位号_Serverl配置文档.doc”中。

（4）由于销售部员工常常移动办公，因此为便利销售部用户数据存取，需将销售部OU内全部用户

的“我的文档”文件夹重定向到域限制器上，并给予适当权限。将相应设置的结果的界面窗口截屏保存

至“工位号_Serverl配置文档.doc”中。

三企业总部网络的平安接入、访问与管理

2-3.为了保证企业总部网络内合法用户的接入，设置S2交换机开启本地基于端口802.1X认证，

对内部的PC1进行接入认证，本地认证用户名为JLDS2023,密文密码为；jlds123456c（5分）

2-4.为了便于企业总部网络管理员对总部网络设备的远程管理，在RI、SI、S2、S3设备上开启

Telnet.SSH（帐号统一为telman,密文密码为：jklsl23456）,SSH版本默认。PC2作为管理主机，并确

保PC2可以连接到被管理设备上进行相应的配置管理。UTM默认可以通过方式进行管理即可（不

要改默认帐号和密码）。（10分）

2-5.为了便于企业总部网络管理员对网络的管理，在RI、SI、S2、S3设备上开启SNMP（共同

体名为读写权限的：jlds）管理。管理主机为PC2,并确保PC2可以通过SNMP进行相应的监测管理。

在PC2上利用网络管理软件SOLARWINDS对全部总部内可网管设备SI、S2、S3进行扫描，将扫描后

的结果窗口截屏保存并命名。再单独对RI进行扫描，并将扫描后的结果窗口截屏保存并命名。将以上

截图保存至“工位号一PC2配置文档.doc”中。（10分）

2-6.应用数字证书技术爱护Server2上的WEB平安访问，Server?向Serve"中的CA服务申请数

字证书：（10分）

⑴为Web站点申请和颁发证书:为“Server2的IIS网站”申请和颁发CA服务证书,实现公司Web

站点的SSL加密功能（SSL端口号为443）。即用户必需运用s://server2才能访问公司网

站。同时要求客户端必需运用CA证|5才能跟公司WEB网站进行通信。要求：采纳新建证竹方式为网站安

排证诙证书名称为：jlds,密钥位长：1024；在Web服务器上安装证甘并开启SSL通道。将相关配置

结果窗口截图保存至“工位号_Scrvcr2配置文档doc”中。

（2）申请并安装客户端证书：客户端PC3中，申请数字证凡经颁发下我后进行安装，然后运用s

形式访问Server2首页。将相关PC3查看结果窗口截图保存至“工位号_PC3配置文档doc”中。

2-7.配置总部交换机S1的SPAN功能，使PC2可以监控总部网络主干流量，并为PC2的IDS功

能供应支持。（5分）

2-8.将PC2的无线网卡禁用，利用有线网卡连接到S1的E1/0/7接口，按前面表2-2中要求配置

IP相关信息、，安装并开启Snort入侵汆测系统，自行编辑的Snort入侵检测规则，要求当PC3通过Teine:

访问Server】中的WIN2023时，Snort能够对其发出声音警告提示（声音文件已经供应在软件相关书目

下），警告内容为“AlertTelnet”；同时，要求记录以上这些警告信息，并以日志文件（该文件由选手

自建,文件名为件ert.ids）的形式保存到Server2所在的FTP服务器上。（10分）

•IDS提交截图：IDS限制台的组件、策略选项，上而操作中IDS检测到的平安事务日志。

•将截图粘贴到“工位号—PC2配置文档.doc”中，标记为“IDS配置相关截图”，并对截图进行

必要的说明。

四平安攻防及应用

以下操作在PC1上完成：

2-9.PGP的安装、配置与运用<（10分）

（1）在PC1上安装赛场供应的PGP软件；

（2）为加密和数字签名创建密钥对，要求：

创建密钥对时的用户名：jlds2323,电子邮件地址：jlds2023@jlds；

私钥爱护密码:jldsl23456；

（3）D:\PGP文件夹中的Filel.txt文件是由admin@jlds签名的文件。验证这个文件的签名;

对签名正确的文件采纳admin@」lds的公钥进行加密和jlds2023④Ids的密钥签名（将此窗口在

行截图粘贴到“工位号—PCI配置文档.doc”中）；将经过加密和签名的文件和j]ds2023@jlds的公

钥上传到Server2的FTP服务器新建立的PGP文件夹中。

留意：admin@jlds的公钥、经过签名的文件均位于d:\吉林省竞赛软件资料\PGP文件夹中。

2-10.可疑端口程序的检测（5分）

通过查看发觉PC2本机开启（监听）TCP与UDP的2425端口，怀疑其为木马程序，现利用操作系

统功能查看本机中开启（监听）TCP与UDP的2425端口号的程序。试说明查看开启此2425端口号的

程序的方法简要说明，并将杳看的到的结果界面截解粘贴到“工位号_PC2配置文档.doc”中。

2-11.病毒破坏后的文件夹的修复（5分）

在PC2的d:\吉林省竞赛软件资料'书目下有个系统隐藏属性的文件夹virus,是由于病毒破造成的,

请将其系统隐藏属性去除。将修改完成后的结果界面截屏粘贴到“工位号.PC2配置文档.doc”中，并在

图下简述修改方法。

2-12.在PC2上利用SnifferPro软件编写一个ARP欺瞒攻击的数据帧。即通过这个数据帧在网段

中的发送可以导致192.168.3.0网段全部主机无法访问外部网络。即伪造了网关的MAC发送欺哺数据帧.

将构造好的数据帧结果界面截屏粘贴到"T信号_PC2配置文档.doc”中.（5分）

2-13.在PC2上安装NMAP软件，并利用此软件对Serve"中的WIN2023虚拟机进行常规扫描，

直看其开启的端口，将扫描的结果界面截屏粘贴到“工位号_PC2配置文档.doc”中。（5分）

2-14.结果文件的提交:在RI、R2、R3、Sl>S2、S3上通过FTP功能将配置文件上传到服务器

Server2的FTP上，并在PC2上下载这些文件，将文件打开复制并粘贴到新建立的“工位号_网络设备配

置文档.doc”中，前面加上相应标题说明，文档保存到本地计算机PC2的桌面选手文件夹中，包含有:

（5分）

（1）R1的配置全部信息:

（2）R2的配置全部信息:

（3）R3的配置全部信息:

（4）S1的配置全部信息:

（5）S2的配置