网络信息安全与防护配置项目竞赛题目（节选）

　　第二部分 网络信息安全与防护配置项目

　　【第二部分网络信息安全与防护配置项目占总分的比例为45%，本部分评分将采用百分制。包含了网络信息安全配置内容，服务器等网络安全设备的安全配置与管理。本部分的竞赛结果文件必须按照题目要求提交。】

　　一 注意事项

　　l 各部分竞赛结果文档文件名称要求：对于截图保存的文档，在完成配置后提交能反映各个配置项目结果的窗口截图。将图保存在当前计算机对应的文档中，如在PC2上做的截图保存到“工位号_PC2配置文档.doc”。截图在文档中要求有试题的题号小标题，并对每个截图进行必要的说明，无截图的项目不得分。即分别保存到名为“工位号_PC1配置文档.doc”、“工位号_PC2配置文档.doc”、“工位号_PC3配置文档.doc”、“工位号_Server1配置文档.doc”、“工位号_RHlinux配置文档.doc”、“工位号_Server2配置文档.doc”，“工位号_Server3配置文档.doc”的文档中，以上文件模板在“d:吉林省竞赛软件资料网络配置文档”目录下。路由器与交换机的保存在完成最后的配置后将完整的配置文件上传到指定的Server2的FTP中，最终所有文档要复制到PC2桌面上自行建立的“吉林省大赛第XX组结果文档”（选手文件夹）目录下，XX为工位号，考试结束时将电子的文档上交，并按照裁判要求，将竞赛结果文件打印并备份到裁判指定的U盘中。

　　l 所有6台计算机的主机系统都是Windows XP系统，各服务器操作系统均利用VMware workstation 7.0虚拟机系统实现。所有虚拟机均要安装在主机系统的E盘下。

　　l 各服务器系统管理员帐号为默认，密码统一设置为“jlds123456”。各服务器上建立的FTP与Telnet服务的帐号统一设置为telman，密码为：jlds123456。AD的恢复密码也设置为“jlds123456”。

　　l 各WEB服务器的主页面自行建立，页面上有“吉林省技能竞赛网络信息安全与防护+服务器主机名”字样即可。

　　二 网络服务器安全配置

　　2-1．服务器的安装与基本安全配置（10分）

　　网络中的服务器说明：Server1为企业总部内网服务器，总部内部网络及分支中的PC3所在网络可以使用其中的WEB、FTP、DNS、Telnet服务，同时Server1也是AD。Server2为企业对外提供WEB与FTP资源服务器。Server3为公网上的DNS、CA服务器。并根据第一部分的表2-2中给定的IP地址配置各服务器的地址。

　　（1）在Server1上安装虚拟机：

　　在Server1上分别安装WIN2003虚拟机和LINUX虚拟机，两台虚拟机服务器都安装配置WEB（域名为server1.jlds.com、rhlinux.jlds.com）、FTP、Telnet、DNS（负责为server1.jlds.com、rhlinux.jlds.com和www.server2.com.cn域名解析地址，同时设置WIN2003虚拟机的DNS转发器指向Server3）服务；同时在Server1的WIN2003虚拟机上安装并配置AD服务。将WEB、FTP、Telnet、DNS设置的结果的界面窗口截屏保存至“工位号_Server1配置文档.doc”中。LINUX虚拟机的WEB、FTP、Telnet、DNS配置界面保存到“工位号_RHLinux配置文档.doc”中。

　　（2）在Server2上安装虚拟机：

　　Server2服务器安装WIN2003虚拟机，在虚拟机原有一个系统盘基础上新添加三块SCSI虚拟硬盘，每个硬盘的大小为4个GB，在其上创建三个卷：一个是带区卷（E：可有空间大小约为1200MB）、另一个是RAID5卷（F：可有空间大小约为1200MB）、还有一个镜像卷（G：可有空间大小约为1200MB）。配置WEB、FTP服务，FTP服务用存放软件，主目录指向带区卷E：ftp，WEB主目录指向RAID5卷F：web，镜像卷G：用于将来的重要数据备份。将动态卷、FTP、WEB的创建结果的界面窗口截屏保存至“工位号_Server1配置文档.doc”中。

　　（3）在Server3上安装虚拟机：

　　在Server3上安装WIN2003虚拟机，并配置DNS服务，为Server2作域名解析（域名为www.Server2.com.cn）；同时安装证书服务，在服务器Server3中安装CA证书服务器，使客户端能够通过Web申请证书。要求：CA类型选择“独立根CA”；CA的公用名称使用“JLDSCA1”；证书数据库和证书数据库日志保存在默认文件夹中。安装完毕后，启动证书服务。把为Server2颁发完证书后的CA服务器窗口截屏保存并命名，保存至“工位号_Server3配置文档.doc”中。

　　2-2．总公司为了集中管理公司的网络，利用Server1的Windows Server 2003中的Active Directory所提供的功能，来组织、管理与控制网络资源。通过组策略功能，控制与管理网络上用户的工作环境与计算机环境，以减轻网络管理的负担，降低网络管理的成本。将以下各项目配置完成后的结果界面分别截屏保存并命名（10分）

　　Windows域环境构建的具体要求如下：

　　（1）在Server1上配置一台域控制器DC1，域名为jlds.com，NetBIOS域名为jlds，服务器的FQDN为Server1.jlds.com，域的功能级别为2003模式。同时，该服务器为DNS服务器，负责解析jlds.com域名。将相应设置的结果的界面窗口截屏保存至“工位号_Server1配置文档.doc”中。

　　（2）在jlds.com域中创建9个域用户、3个全局组和3个OU，具体如下表所示。同时要求员工账户在每周一至周五的11至13点禁止登陆。将相应设置的结果的界面窗口截屏保存至“工位号_Server1配置文档.doc”中。

　　部门

　　OU

　　全局组

　　隶属用户

　　生产部

　　生产部

　　Products

　　Peter（经理）、Palo（员工）、Pygon（员工）

　　销售部

　　销售部

　　Sales

　　Susan（经理）、Sala（员工）、Sysit（员工）

　　行政部

　　行政部

　　Administration

　　Anda（经理）、Anqi（员工）、Anyoo（员工）

　　（3）配置域安全策略，域用户的初始密码为123456，要求域用户在首次登录时能自己更改密码，密码最长存留其为一周，账户锁定阈值为4次，如果超过阈值需要锁定20分钟。将相应设置的结果的界面窗口截屏保存至“工位号_Server1配置文档.doc”中。

　　（4）由于销售部员工经常移动办公，因此为方便销售部用户数据存取，需将销售部OU内所有用户的“我的文档”文件夹重定向到域控制器上，并赋予适当权限。将相应设置的结果的界面窗口截屏保存至“工位号_Server1配置文档.doc”中。

　　三 企业总部网络的安全接入、访问与管理

　　2-3．为了保证企业总部网络内合法用户的接入，设置S2交换机开启本地基于端口802.1X认证，对内部的PC1进行接入认证，本地认证用户名为JLDS2011，密文密码为：jlds123456。（5分）

　　2-4．为了便于企业总部网络管理员对总部网络设备的远程管理，在R1、S1、S2、S3设备上开启Telnet、SSH（帐号统一为telman，密文密码为：jlds123456），SSH版本默认。PC2作为管理主机，并确保PC2可以连接到被管理设备上进行相应的配置管理。UTM默认可以通过HTTP方式进行管理即可（不要改默认帐号和密码）。（10分）

　　2-5．为了便于企业总部网络管理员对网络的管理，在R1、S1、S2、S3设备上开启SNMP（共同体名为读写权限的：jlds）管理。管理主机为PC2，并确保PC2可以通过SNMP进行相应的监测管理。在PC2上利用网络管理软件SOLARWINDS对所有总部内可网管设备S1、S2、S3进行扫描，将扫描后的结果窗口截屏保存并命名。再单独对R1进行扫描，并将扫描后的结果窗口截屏保存并命名。将以上截图保存至“工位号_PC2配置文档.doc”中。（10分）

　　2-6．应用数字证书技术保护Server2上的WEB安全访问，Server2向Server3中的CA服务申请数字证书：（10分）

　　（1）为Web站点申请和颁发证书:为“Server2的IIS网站”申请和颁发CA服务证书，实现公司Web站点的SSL加密功能（SSL端口号为443）。即用户必须使用https://www.server2.com.cn才能访问公司网站。同时要求客户端必须使用CA证书才能跟公司WEB网站进行通信。要求：采用新建证书方式为网站分配证书；证书名称为：jlds，密钥位长：1024；在Web服务器上安装证书并开启SSL通道。将相关配置结果窗口截图保存至“工位号_ Server2配置文档.doc”中。

　　（2）申请并安装客户端证书：客户端PC3中，申请数字证书，经颁发下载后进行安装，然后使用https形式访问Server2首页。将相关PC3查看结果窗口截图保存至“工位号_ PC3配置文档.doc”中。

　　2-7．配置总部交换机S1的SPAN功能，使PC2可以监控总部网络主干流量，并为PC2的IDS功能提供支持。（5分）

　　2-8．将PC2的无线网卡禁用，利用有线网卡连接到S1的E1/0/7接口，按前面表2-2中要求配置IP相关信息，安装并开启Snort入侵检测系统，自行编辑的Snort入侵检测规则，要求当PC3通过Telnet访问Server1中的WIN2003时，Snort能够对其发出声音警告提示（声音文件已经提供在软件相关目录下），警告内容为“Alert Telnet”；同时，要求记录以上这些警告信息，并以日志文件（该文件由选手自建，文件名为alert.ids）的形式保存到Server2所在的FTP服务器上。（10分）

　　l IDS提交截图： IDS 控制台的组件、策略选项，上面操作中IDS检测到的安全事件日志。

　　l 将截图粘贴到“工位号_ PC2配置文档.doc”中，标记为“IDS配置相关截图”，并对截图进行必要的说明。

　　四 安全攻防及应用

　　以下操作在PC1上完成：

　　2-9．PGP的安装、配置与使用。（10分）

　　（1）在PC1上安装赛场提供的PGP软件；

　　（2）为加密和数字签名创建密钥对，要求：

　　创建密钥对时的用户名：jlds2011，电子邮件地址：jlds2011@jlds.com；

　　私钥保护密码：jlds123456；

　　（3）D:PGP文件夹中的File1.txt文件是由admin@jlds.com签名的文件。验证这个文件的签名；对签名正确的文件采用admin@jlds.com的公钥进行加密和jlds2011@jlds.com的密钥签名（将此窗口进行截图粘贴到“工位号_ PC1配置文档.doc”中）；将经过加密和签名的文件和jlds2011@jlds.com的公钥上传到Server2的FTP服务器新建立的PGP文件夹中。

　　注意：admin@jlds.com的公钥、经过签名的文件均位于d:吉林省竞赛软件资料PGP文件夹中。

　　2-10．可疑端口程序的检测（5分）

　　通过查看发现PC2本机开启（监听）TCP与UDP的2425端口，怀疑其为木马程序，现利用操作系统功能查看本机中开启（监听）TCP与UDP的2425端口号的程序。试说明查看开启此2425端口号的程序的方法简要说明，并将查看的到的结果界面截屏粘贴到“工位号_ PC2配置文档.doc”中。

　　2-11．病毒破坏后的文件夹的修复（5分）

　　在PC2的d:吉林省竞赛软件资料目录下有个系统隐藏属性的文件夹virus，是由于病毒破造成的，请将其系统隐藏属性去除。将修改完成后的结果界面截屏粘贴到“工位号_ PC2配置文档.doc”中，并在图下简述修改方法。

　　2-12．在PC2上利用Sniffer Pro软件编写一个ARP欺骗攻击的数据帧。即通过这个数据帧在网段中的发送可以导致192.168.3.0网段全部主机无法访问外部网络。即伪造了网关的MAC发送欺骗数据帧。将构造好的数据帧结果界面截屏粘贴到“工位号_ PC2配置文档.doc”中。（5分）

　　2-13．在PC2上安装NMAP软件，并利用此软件对Server1中的WIN2003虚拟机进行常规扫描，查看其开启的端口，将扫描的结果界面截屏粘贴到“工位号_ PC2配置文档.doc”中。（5分）

　　2-14．结果文件的提交：在R1、R2、R3、S1、S2、S3上通过FTP功能将配置文件上传到服务器Server2的FTP上，并在PC2上下载这些文件，将文件打开复制并粘贴到新建立的“工位号_网络设备配置文档.doc”中，前面加上相应标题说明，文档保存到本地计算机PC2的桌面选手文件夹中，包含有：（5分）

　　（1）R1的配置全部信息；

　　（2）R2的配置全部信息；

　　（3）R3的配置全部信息；

　　（4）S1的配置全部信息；

　　（5）S2的配置全部信息；

　　（6）S3的配置全部信息。

　　第三部分 制作相关工程测试文件

　　【第三部分制作相关工程测试文件项目占总分的比例为5%，本部分评分将采用百分制。按要求对测试点进行测试，将测试或查看的结果截屏保存，同时也作为裁判对最终结果评定的参考】

　　一 注意事项

　　l 根据前面生成的配置文档等文件，制作本次网络建设与安全设计工程的工程测试文件。并将工程测试相关截图分布于各PC中的文档中，将此文档保存到本地计算机的桌面，同时上传到Server1所在的FTP服务器上，并最终复制到PC2桌面上的选手文件夹中，考试结束时将打印的文档上交，并按照裁判要求，将竞赛结果文件全部使用裁判的U盘备份。

　　二 工程验收主要测试点【100分】

　　3-1．在PC3上对Server1的Telnet访问的可达，在PC2上将发出声音报警。PC3上Telnet登录到Server1的Linux虚拟机后的窗口截屏保存到“工位号_ PC3配置文档.doc”并命名。

　　3-2．两部电话进行拨打测试，通话正常后，登录R1路由器，查看IPSec的安全SA，并将查看的显示结果窗口截屏保存到“工位号_ PC2配置文档.doc”并命名。

　　3-3．在PC3上通过域名对Server2的WEB的HTTPS访问测试，将PC3利用IE查看Server2证书的信息窗口及访问成功后的窗口截屏保存到“工位号_ PC3配置文档.doc”并命名。

　　3-4．将PC1通过802.1X认证时输入用户名和密码的提示的窗口截屏保存到“工位号_ PC1配置文档.doc”并命名。

　　3-5．在PC2上开启Sniffer后，在PC1上PING测试PC3，并设置PC2仅捕获PING的数据帧，将捕获的第一个PING数据包展开的窗口截屏保存到“工位号_ PC2配置文档.doc”并命名，同时注明此数据帧的源和目的IP与MAC，说明第一个PING数据帧的源MAC与目的MAC的宿主。

　　3-6．将自行编辑的Snort入侵检测规则文件打开后的窗口截屏保存到“工位号_ PC2配置文档.doc”并命名。

　　注意：所有配置文件、截图文档、测试文档最终完成后上传到Server2的FTP上（全部文档目录见附件1），并下载到PC2桌面的选手文件夹下（“吉林省大赛第XX组结果文档”，XX为工位号）。

　　第四部分为裁判评分参考部分，不需要参赛选手作答。至此参赛选手比赛项目部分已经完成，需要打印上交的文件要保证齐全，按裁判要求签字上交后，听从裁判指示后方可离开考场。谢谢合作！

　　第四部分 职业素养与团队风貌

　　【第四部分职业素养与团队风貌项目占总分的比例为5%，本部分评分将采用百分制。由裁判员对参赛选手整体表现中的职业素养与团队风貌部分进行打分，此部分供裁判员参考】

　　一 职业素养观测点【60分】

　　4-1．时间观念

　　4-2．环境保护及卫生

　　4-3．安全意识

　　4-4．技能熟练度

　　4-5．快速解决问题，排除故障的能力

　　二 团队风貌观测点【40分】

　　4-6．分工明确

　　4-7．合作融洽

　　附件1：

　　全部文档目录（以上文件模板在“d:吉林省竞赛软件资料网络配置文档”目录下）。

　　1．路由器与交换机配置文件与文档

　　（1）R1的配置全部信息：r1.cfg（仅上交电子的）

　　（2）R2的配置全部信息：r2.cfg（仅上交电子的）

　　（3）R3的配置全部信息：r3.cfg（仅上交电子的）

　　（4）S1的配置全部信息：s1.cfg（仅上交电子的）

　　（5）S2的配置全部信息：s2.cfg（仅上交电子的）

　　（6）S3的配置全部信息：s3.cfg（仅上交电子的）

　　（7）以上设备配置全部的整理文档：工位号_网络配置文档.doc（上交电子的及打印的）

　　2．PC与服务器配置截图文档（注：截图上边一定要加上赛题标号及相关图的说明）

　　（1）工位号_PC1配置文档.doc（上交电子的及打印的）

　　（2）工位号_PC2配置文档.doc（上交电子的及打印的）

　　（3）工位号_PC3配置文档.doc（上交电子的及打印的）

　　（4）工位号_Server1配置文档.doc（上交电子的及打印的）

　　（5）工位号_RHlinux配置文档.doc（上交电子的及打印的）

　　（6）工位号_Server2配置文档.doc（上交电子的及打印的）

　　（7）工位号_Server3配置文档.doc（上交电子的及打印的）

　　（8）PGP相关文件（仅上交电子的）

　　3．工程测试文件

　　工程测试文件：分布于各PC中的文档中（不再单独上交）

　　所有文档及文件上传到指定的Server2的FTP中，最终所有文档要复制到PC2桌面上自行建立的“吉林省大赛第XX组结果文档”（选手文件夹）目录下，XX为工位号，考试结束时将电子的文档上交，并按照裁判要求，将竞赛结果文件打印并备份到裁判指定的U盘中。