3. 在公司总部的DCFW上配置,仅允许通过HTTP方式访问DCFW,并且新增一个
用户,用户名dcfw1234,密码dcfw1234,该用户只有查看配置权限,不具有添加配置或修改配置的权限。(6分)
4. 在公司总部的DCFW上配置,在上班时间(工作日的9:00-17:00)只允许公
司员工访问内网资源。(6分)
5. 在公司总部的DCFW上配置,在上班时间如有事情需要访问网络,限制只有
通过DCFW的WEB认证后才能访问互联网,且在连接网络一个小时后如果不重新认证则断开网络访问。(6分) 6. 在公司总部的DCFW上配置,使公司总部的DCST设备可以通过互联网被访问,
从互联网访问的地址是公网地址的第三个可用地址(公网IP地址段参考“赛场IP参数表”),且仅允许PC-3通过互联网访问DCST设备。(6分) 7. 在公司总部的DCFW上配置,使内网所有用户网段和服务器区网段都可以通
过DCFW外网接口IP地址访问互联网,但要求公司PC-1只能通过固定的公网地址的第四个可用地址(公网IP地址段参考“赛场IP参数表”)访问互联网。(6分)
8. 在公司总部的DCFW上配置,在内网接口上开启防护功能,每秒钟最大接收
1000个ARP包,超过的将被丢弃。(6分)
9. 在公司总部的DCFW上配置,限制每个用户访问互联网时最大的会话数是
1000,上网带宽最大是5M。(6分) 10. 在公司总部的DCFW上启用SSL VPN,使分支机构通过VPN拨入公司总部,访
问内部的所有服务器资源。SSL VPN地址池x.x.x.x/x(具体IP地址参考“赛场IP参数表”)。(6分)
11. 在公司总部的DCFS上配置,增加非admin账户dcfs1234,密码dcfs1234,
该账户仅用于用户查询设备的日志信息和统计信息。(6分)
12. 在公司总部的DCFS上配置,使2015年7月1日到7月10日的工作日(工
作日每周一到周五)时间内,禁止PC-1访问迅雷应用。(6分)
13. 在公司总部的DCFS上配置,限制URL路径中大于10M 的“*.mp3”格式的文
件不能被下载。(6分)
14. 在公司总部的DCFS上配置,禁止内网用户访问某游戏服务,该游戏服务使
用的协议是UDP,固定的端口号7633。(6分)
15. 在公司总部的DCFS上配置,要求能够在主机列表中显示出内网用户名,能
够看到用户名与主机地址的对应关系。(6分) 16. 在公司总部的DCFS上配置,禁止PC-1所在用户网段最后10个可用地址(PC-1
所在网段参考“赛场IP参数表”)访问互联网。(6分)
17. 在公司总部的DCFS上配置,总的出口带宽是200M,创建子带宽通道100M,
当网络拥塞时,使PC-2所在网段每一个用户带宽最大不超过2M,最小带宽为1M;当网络不拥塞时,带宽可以超出2M。(6分) 18. 在公司总部的DCFS上配置,公司总出口带宽是200M,创建子带宽通道100M,
使PC-1所在网段每一个用户最小拥有2M上网带宽,并且要求在总出口处应用BT业务的流量不超过50M。(6分)
19. 在公司总部的DCBI上配置,增加非admin账户dcbi1234,密码dcbi1234,
该账户仅用于用户查询设备的日志信息和统计信息。(6分)
20. 在公司总部的DCBI上配置,设备部署方式为旁路模式,并配置监控接口与
管理接口。(6分)
21. 在公司总部的DCBI上配置,使DCBI能够通过邮件方式发送告警信息,邮件
服务器在服务器区,IP地址是服务器区内第三个可用地址(服务器区IP地址段参考“赛场IP参数表”),端口号25,账号test,密码test。(6分) 22. 在公司总部的DCBI上配置,将DCBI的日志信息发送到日志服务器,日志服
务器在服务器区,IP地址是服务器区内第四个可用地址(服务器区IP地址段参考“赛场IP参数表”),community名字public。(6分)
23. 在公司总部的DCBI上配置,监控工作日(每周一到周五)期间PC-1访问的
URL中包含xunlei的HTTP访问记录,并且邮件发送告警。(6分)
24. 在公司总部的DCBI上配置,监控PC-2所在网段用户的即时聊天记录。(6
分)
25. 在公司总部的DCBI上配置,监控内网所有用户的邮件收发访问记录。(6
分)
26. 在公司总部的DCBI上配置,使DCBI可以通过交换机(DCRS)获得内网PC
的MAC地址,并在记录日志时显示内网PC的MAC地址。(6分)
27. 在公司总部的DCRS上配置,配置设备enable密码,并且在登录设备时必须
正确输入enable密码才能进入交换机的配置模式。(6分)
28. 在公司总部的DCRS上配置,在交换设备上开启SSH管理功能,用户名和密
码都是DCN,并关闭设备的web管理方式,仅允许使用console、ssh和telnet方式管理设备。(6分)
29. 在公司总部的DCRS上配置,VLAN20的成员接口开启广播风暴抑制功能,参
数设置为400pps。(6分)
30. 在公司总部的DCRS上配置,公司为了统一管理,通过SNMP技术使用网管软
件对DCRS进行管理,配置只读字串为public , 读写字串为private,网管服务器连接在服务器区,IP地址是服务器区内第二个可用地址(服务器区IP地址段参考“赛场IP参数表”)。(6分)
31. 在公司总部的DCRS上配置,在DCRS上的Ethernet1/15-17端口开启ARP保
护功能,防止PC发出网关欺骗报文。并在Ethernet1/19接口上配置,使MAC为00-FF-51-BE-AD-32的主机不能访问MAC地址为E1-B6-4C-25-6A-13的主机,其他主机访问正常。(6分)
32. 在公司总部的DCRS上配置,需要在交换机10接口上开启基于用户模式的认
证,认证通过后才能访问网络,认证服务器连接在服务器区,IP地址是服务器区内第五个可用地址(服务器区IP地址段参考“赛场IP参数表”),radius key是123456。(6分)
33. 在公司总部的DCRS上配置,VLAN110用户可通过DHCP的方式获得IP地址,
在交换机上配置DHCP Server,地址池名称为pool-vlan110,DNS地址为114.114.114.114和8.8.8.8,租期为2天,VLAN110网段最后20个可用地址(DHCP地址段参考“赛场IP参数表”)不能被动态分配出去。(6分) 34. 在公司总部的WAF上配置,公司内部有一台网站服务器直连到WAF,地址是
DCRS上VLAN10网段内的第五个可用地址(VLAN10地址段参考“赛场IP参数表”),端口是8080,并将服务访问日志、WEB防护日志、服务监控日志、DDoS防护日志信息发送syslog日志服务器,syslog日志服务器在服务器区,IP地址是服务器区内第六个可用地址(服务器区IP地址段参考“赛场IP参数表”),UDP的514端口。(6分)
35. 在公司总部的WAF上配置,将攻击告警、设备状态告警、服务状态告警信息
通过邮件(发送到jiankongceshi@digitalchina.com)及短信方式(发送到12812345678)发送给管理员。(6分)
36. 在公司总部的WAF上配置,阻止常见的WEB攻击数据包访问到公司内网服务
器。(6分)
37. 在公司总部的WAF上配置,防止某源IP地址在短时间内发送大量的恶意请
求,影响公司网站正常服务。大量请求的确认值是:10秒钟超过3000次请求。(6分)
38. 在公司总部的WAF上配置,禁止公网IP地址(218.240.143.219)访问网站
服务器,网站服务器地址是DCRS上VLAN10网段内的第五个可用地址(VLAN10地址段参考“赛场IP参数表”)。(6分)
39. 在公司总部的WAF上配置,对公司网站(服务器地址是DCRS上VLAN10网段
内的第五个可用地址,VLAN10地址段参考“赛场IP参数表”)进行安全评估,检查网站是否存在安全漏洞,便于在攻击没有发生的情况下提前做出防护措施。
40. 在公司总部的WAF上配置,禁止HTTP请求和应答中包含敏感字段“赛题”
的报文经过WAF设备。(6分)
(三) 第二阶段:系统安全攻防及运维安全管控(300分)
提示1:本阶段用到堡垒服务器DCST中的服务器场景,获得服务器IP地址方式如下:
Windows服务器的IP地址可以通过拓扑界面获得,如果获得不了,采用如下方法获得:
? 通过DCST场景里的网络拓扑图,启动连接设备
? 进入服务器,用户名为administrator,密码123456 ? 执行ipconfig /all,即可获得服务器IP地址 Linux服务器的IP地址可以通过拓扑界面获得,如果获得不了,采用如下方法获得:
? 通过DCST场景里的网络拓扑图,启动连接设备 ? 进入服务器,用户名为root,密码是123456 ? 执行ifconfig即可获得服务器IP地址
提示2:每个任务提交一个word文档,请在文档中标明题号,按顺序答题。将关键步骤和操作结果进行截屏,并辅以文字说明,保存到提交文档中。
提示3:文档命名格式为:“第X阶段”-“任务X”-“任务名称”。 例:“第二阶段、任务二”的答案提交文档,文件名称为:第二阶段-任务二-数据库攻防与加固.doc或第二阶段-任务二-数据库攻防与加固.docx
任务一:IIS安全加固与证书签发(30分)
任务环境说明:
?Web服务器操作系统:windows2003 server; ?安装服务/工具1:Web服务,版本是IIS-6.0; ?安装服务/工具2:FTP服务,版本是IIS-6.0; ?win-wireshark操作系统:windows2003 server; ?安装服务/工具1:抓包工具,wireshark;
1. 配置Windows 防火墙,使IIS Web服务能够被访问,对配置进行截屏。
(3分)
2. 加固IIS Web服务器的安全配置,使得Web服务只能被内网用户所在的
网段访问,对加固配置进行截屏。(3分)
3. 为IIS Web服务器申请服务器证书,对申请摘要进行截屏。(3分) 4. 为IIS Web服务器颁发一年期服务器证书,对颁发过程进行截屏。(3
分)
5. 将IIS服务器启动SSL安全通信,并安装服务器证书。使用
win-wireshark虚拟机中的浏览器访问该Web服务进行测试。由于cn和IIS 的域名不一致,所以一定有警报弹出窗,请将该窗口截屏。(3分) 6. 将IIS 服务器启用客户端证书设置。使用客户端浏览器访问该Web服务
进行测试。将要求客户端提供证书的弹出页面截屏。(6分)
7. 为PC申请CA证书。颁发该证书。对申请和颁发过程截屏。(6分)
8. 在PC上安装CA证书。使用PC浏览器访问该Web服务进行测试,对操作
过程截屏。(3分)
任务二:数据库攻防与加固 (40分)
任务环境说明:
?xserver-mysql服务器操作系统:Redhat Linux AS5; ?安装服务/工具1:Web服务,版本Apache 2.2.23; ?安装服务/工具2:MySQL服务,版本5.0.22; ?安装服务/工具3:PHP服务,版本5.0.48; ?安装服务/工具4:Nmap服务,版本4.11;
1. 进入xserver-mysql, 加固MySQL服务器,使所有的访问能被审计,要
求通过对mysqld 的启动项进行加固,对加固操作进行截屏。(4分) 2. 配置linux-mysql 防火墙,允许MySQL服务能够被访问,要求规则中只
包含端口项,对防火墙规则列表进行截屏。(4分)
3. 进入xserver-mysql,查看所有用户及权限,找到可以从任何IP地址访
问的用户,对操作过程进行截屏。(8分) 4. 对题号3中的漏洞进行加固,设定该用户只能从公司PC访问,用grants
命令进行管理,并将加固过程截屏。(8分)
5. 检查xserver-mysql中的是否存在匿名用户,如果存在匿名用户,则删
除该用户,将发现的匿名用户信息以及删除过程进行截屏。(4分) 6. 改变默认MySQL管理员的名称,将系统的默认管理员root 改为admin,
防止被列举,将执行过程进行截屏。(4分)
7. 禁止MySQL对本地文件进行存取,对mysqld 的启动项进行加固,将加
固部分截屏。(4分)
8. 限制一般用户浏览其他用户数据库,对mysqld 的启动项进行加固,将
加固部分截屏。(4分)
任务三:CSRF攻击(40分)
任务环境说明:
?xserver操作系统:Redhat Linux AS5;
?安装服务/工具1:Web服务,版本Apache 2.2.23; ?安装服务/工具2:MySQL服务,版本5.0.22; ?安装服务/工具3:PHP服务,版本5.0.48; ?安装服务/工具4:Nmap服务,版本4.11; ?metas2-lab-1操作系统:Redhat Linux AS5;
?安装服务/工具1:Web服务,版本Apache 2.2.23; ?安装服务/工具2:MySQL服务,版本5.0.22; ?安装服务/工具3:PHP服务,版本5.0.48; ?安装服务/工具4:Nmap服务,版本4.11;
?安装服务/工具5:telnet服务端,版本0.17-39-el5;