測試項(xiàng)目

網(wǎng)絡(luò)安全

模塊A-基礎(chǔ)設(shè)置和安全加固

目錄

1競賽項(xiàng)目簡介......................................................................................................2

1.1介紹....................................................................................................................2

1.2任務(wù)描述............................................................................................................2

1.3競賽說明............................................................................................................3

1.4所需設(shè)施設(shè)備和材料........................................................................................3

1.5評(píng)分方案............................................................................................................3

2競賽項(xiàng)目工作任務(wù)..............................................................................................4

2.1基本配置驗(yàn)證....................................................................................................4

2.2登錄及密碼策略配置........................................................................................5

2.2.1賬戶密碼策略配置......................................................................................5

2.2.2賬戶登錄安全策略配置..............................................................................5

2.3網(wǎng)絡(luò)設(shè)備加固....................................................................................................6

2.4公共服務(wù)保護(hù)....................................................................................................6

2.5安全事件監(jiān)控....................................................................................................6

2.6防火墻策略........................................................................................................7

3自我評(píng)估問卷......................................................................................................8

3.1登錄和密碼策略................................................................................................8

3.2網(wǎng)絡(luò)設(shè)備加固....................................................................................................8

附錄A:基礎(chǔ)設(shè)施列表............................................................................................9

附錄B:網(wǎng)絡(luò)拓?fù)鋱D..............................................................................................10

TD54_ModuleA_PreVersion:1.1/16

1競賽項(xiàng)目簡介

本競賽項(xiàng)目建議書由以下文件組成：

第46屆世界技能大賽網(wǎng)絡(luò)安全項(xiàng)目貴州省選拔賽賽題-模塊A。

1.1介紹

目前，網(wǎng)絡(luò)安全知識(shí)對(duì)于任何想要從事IT領(lǐng)域工作的人來說已變得越來越

重要。本競賽項(xiàng)目的任務(wù)根據(jù)實(shí)際IT集成、IT外包中的工作任務(wù)進(jìn)行設(shè)計(jì)，如

果您能高分完成本項(xiàng)目的競賽任務(wù)，說明您已經(jīng)具備了為多分支機(jī)構(gòu)企業(yè)的復(fù)

雜基礎(chǔ)網(wǎng)絡(luò)架構(gòu)進(jìn)行安全策略設(shè)計(jì)和實(shí)施的基本能力。

1.2任務(wù)描述

本競賽項(xiàng)目以典型的企業(yè)信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)為基礎(chǔ)，相關(guān)的服務(wù)均可以正

常運(yùn)行，但沒有對(duì)所提供的服務(wù)的安全性進(jìn)行配置。選手需要使用各種網(wǎng)絡(luò)安

全技術(shù)對(duì)已有的網(wǎng)絡(luò)和服務(wù)進(jìn)行安全配置和加固。一些安全配置非常簡單，但

另外一些安全配置則為不同的實(shí)現(xiàn)選項(xiàng)預(yù)留了選擇空間，選手需要根據(jù)行業(yè)最

佳實(shí)踐（在安全性，高可用性和可擴(kuò)展性方面）選擇合理的安全方案，并盡最

大努力實(shí)現(xiàn)安全配置。選手應(yīng)該熟悉Cisco、Microsoft、linux等的安全配置

和加固技術(shù)。本項(xiàng)目任務(wù)分為以下幾個(gè)部分：

1）登錄和密碼策略

2）網(wǎng)絡(luò)設(shè)備加固

3）公共服務(wù)保護(hù)

4）安全事件監(jiān)控

5）防火墻策略

TD54_ModuleA_PreVersion:1.2/16

1.3競賽說明

1）在進(jìn)行任何配置之前，請(qǐng)閱讀每個(gè)部分中的任務(wù)。一些項(xiàng)目可能需要完

成之前或之后的其他項(xiàng)目才能實(shí)現(xiàn)。

2）在開始測試項(xiàng)目之前，確認(rèn)拓?fù)渲械乃性O(shè)備都處于正常工作狀態(tài)。在

競賽期間，選手需要盡可能的恢復(fù)由于任何原因所導(dǎo)致的設(shè)備被鎖定或無法訪

問的情況。完成競賽項(xiàng)目后，需要確保所有的設(shè)備都可以被評(píng)委訪問，否則將

無法得分。

3）故障排除技術(shù)是在本本項(xiàng)目中技能測試的一部分。

4）只對(duì)配置完成的項(xiàng)目給予分?jǐn)?shù)。在提交測試項(xiàng)目前，選手需要測試所有

配置的完成情況，因?yàn)樵谂渲媚承╉?xiàng)目時(shí)，有可能會(huì)破壞其它項(xiàng)目的需求或配

置。

5）任何項(xiàng)目需要滿足所有安全要求才能獲得此項(xiàng)目的分?jǐn)?shù)。

6）選手應(yīng)當(dāng)經(jīng)常保存配置，避免意外情況發(fā)生。

7）應(yīng)確保所有配置在設(shè)備重啟后仍然有效。

8）在配置過程中，在需要輸入密碼時(shí)，若沒有特別指定，請(qǐng)使用P@ssw0rd

9）請(qǐng)使用admin\P@ssw0rd本地憑證訪問windows虛擬機(jī)(域管理員使用

administrator\P@ssw0rd)P@ssw0rd)，使用root\toor訪問Linux虛擬機(jī)。選手在競賽過

程不要更改這些默認(rèn)配置的密碼。

1.4所需設(shè)施設(shè)備和材料

所有測試項(xiàng)目都可以根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和材料完成。

1.5評(píng)分方案

根據(jù)目前的技能大賽標(biāo)準(zhǔn)規(guī)范，這個(gè)測試項(xiàng)目模塊的最高分?jǐn)?shù)為50分。

TD54_ModuleA_PreVersion:1.3/16

2競賽項(xiàng)目工作任務(wù)

2.1基本配置驗(yàn)證

1）虛擬和物理交換是根據(jù)拓?fù)鋱D預(yù)先配置的，所有設(shè)備和虛擬機(jī)的主機(jī)名

均根據(jù)拓?fù)鋱D統(tǒng)一命名，物理交換機(jī)上的VLAN號(hào)根據(jù)端口組配置使用。

2）IP子網(wǎng)是根據(jù)拓?fù)鋱D預(yù)先配置的。在每個(gè)子網(wǎng)中，網(wǎng)管設(shè)備使用該子網(wǎng)

的最后一個(gè)IP地址，客戶機(jī)設(shè)備的IP分配從該子網(wǎng)的第一個(gè)IP地址開始分

配。例如，在CORP子網(wǎng)中，LED被分配到這個(gè)子網(wǎng)的最后一個(gè)地址(.254)，DC

–使用這個(gè)子網(wǎng)中的第一個(gè)可用IP(.1)，IDS–使用該子網(wǎng)中的第二個(gè)可用

IP(.2)，等。

3）默認(rèn)路由已預(yù)先配置，所采用的RIP動(dòng)態(tài)路由協(xié)議暴露了內(nèi)部私有網(wǎng)絡(luò)

信息，需要參賽選手采用IPSec、NAT等技術(shù)措施進(jìn)行加固。

4）服務(wù)器VM預(yù)先配置了以下角色和服務(wù):

虛擬機(jī)角色\服務(wù)

DC活動(dòng)目錄域名服務(wù)(nlsz.ru)，DNS(nlsz.ru-internalzone)，DHCP，網(wǎng)絡(luò)政策服務(wù)器

IDSSNORT

LOGSplunk

WEB-01Apache2webserver（www.nlsz.ru）

WEB-02vsFTPd(ftp.nlsz.ru)

Apache2Webserver（www.selectel.ru），DNS（selectel.ru，nlsz.ru-外部區(qū)域），

選擇器

OpenSSLCA

TD54_ModuleA_PreVersion:1.4/16

2.2登錄及密碼策略配置

2.2.1賬戶密碼策略配置

需求應(yīng)用于VM\device

DC，Ivan，Boris，Anton，IDS，LOG，Web-

a)最小密碼長度不得少于12個(gè)字符01，Web-02，LED-SW，IAR，CED-SW，IAR-SW

b)密碼復(fù)雜度設(shè)置要求應(yīng)包含大小寫字母，數(shù)字和特DC，Ivan，Boris，Anton，IDS，LOG，Web-

殊字符01，Web-02，CED-SW，LED-SW，IAR-SW

c)所有密碼必須作為可逆密文存儲(chǔ)在配置中IAR，LED-SW，IAR-SW，CED-SW

d)本地用戶的密碼應(yīng)作為scrypthash存儲(chǔ)在配置中CED-SW，LED-SW，IAR-SW

e)設(shè)置enable密碼為ABCabc123!@#LED，IAR，LED-SW，IAR-SW，CED-SW

2.2.2賬戶登錄安全策略配置

需求應(yīng)用于VM\device

DC，Ivan，Boris，Anton，IDS，LOG，Web-

a)在用戶登錄系統(tǒng)時(shí)，應(yīng)該有“Forauthorized01，Web-02，CED-SW，IAR-SW，LED-SW，

usersonly”的banner提示信息。IAR,LED

b)一分鐘內(nèi)僅允許5次登錄失敗的嘗試，超過5次，DC，Ivan，Boris，Anton，IDS，LOG，Web-

登錄帳號(hào)鎖定1分鐘。01，Web-02，IAR，LED-SW，IAR-SW，CED-SW

c)啟用本地控制臺(tái)身份驗(yàn)證。成功驗(yàn)證后，用戶應(yīng)以IAR，LED-SW，IAR-SW、CED-SW

最小權(quán)限登陸用戶模式（privilegelevel1）

DC，Ivan，Boris，Anton，IDS，LOG，Web-

d)非活動(dòng)超時(shí)時(shí)間不得超過1分鐘01，Web-02，LED，IAR，LED-SW，IAR-SW，

CED-SW

e)禁用緩存登錄Ivan，Boris，Anton

TD54_ModuleA_PreVersion:1.5/16

2.3網(wǎng)絡(luò)設(shè)備加固

1.基礎(chǔ)設(shè)備安全功能配置

需求應(yīng)用于VM\device

a)任何端口上的mac地址的最大數(shù)量必須不大于2。IAR-SW

在違反本安全策略的情況下，端口應(yīng)設(shè)置為

restrict狀態(tài)，不能被設(shè)置為錯(cuò)誤禁用狀態(tài)

（shutdown）。

b)對(duì)vlan120開啟防arp掃描功能，eth0/1口設(shè)為LED-SW

信任端口并開啟端口安全功能

c)DHCP-snoopingIAR-SW

2.分支機(jī)構(gòu)間通信和遠(yuǎn)程工作人員遠(yuǎn)程訪問策略

需求應(yīng)用于VM\device

a)在防火墻與路由器之間構(gòu)建lantolan的vpn隧LED，IAR

道，使外網(wǎng)用戶成功訪問dmz區(qū)域。要求構(gòu)建的

ipsec隧道的ike策略集加密參數(shù)使用3des、摘要

算法使用sha-1、密鑰交換算法使用dh2，ipsec

變換集使用esp-des和esp-sha-hmac

b)Nikolai使用L2TPVPN成功訪問inside區(qū)域LED，ISP

2.4公共服務(wù)保護(hù)

需求應(yīng)用于VM\device

a)配置所有對(duì)Web網(wǎng)站的請(qǐng)求使用HTTPS協(xié)議進(jìn)行處Web-01

理。必須將所有HTTP請(qǐng)求重定向到HTTPS

b)設(shè)置公司FTP服務(wù)器僅接受SSL/TLS連接Web-02

2.5安全事件監(jiān)控

1）必須將所有Splunk的本地事件日志復(fù)制到Splunk索引以進(jìn)行事件聚合

TD54_ModuleA_PreVersion:1.6/16

2）必須在Splunk中提供以下儀表板：

●LOG-必須匯總LOG的活動(dòng)

●DMZ-必須匯總來自WEB-01和WEB-02的事件

●IDS-必須匯總來自IDS的事件

●EDGE-必須匯總來自LED和IAR的事件

3）審核策略必須與列出的事件匹配

需求比賽應(yīng)用于VM\device

a)憑證驗(yàn)證成功與失敗DC，Ivan，Boris，Anton

b)計(jì)算機(jī)帳戶管理成功與失敗DC，Ivan，Boris，Anton

c)安全組管理成功與失敗DC，Ivan，Boris，Anton

d)帳戶鎖定成功DC，Ivan，Boris，Anton

e)登錄成功與失敗DC，Ivan，Boris，Anton

f)注銷成功DC，Ivan，Boris，Anton

g)敏感特權(quán)使用成功與失敗DC，Ivan，Boris，Anton

2.6防火墻策略

1）必須打開所有服務(wù)器，客戶端和網(wǎng)絡(luò)設(shè)備上的防火墻。

2）必須按照最小權(quán)限原則來配置所有設(shè)備上的防火墻規(guī)則。

TD54_ModuleA_PreVersion:1.7/16

3自我評(píng)估問卷

請(qǐng)選手在完成上述相關(guān)安全配置任務(wù)后，對(duì)競賽環(huán)境所提供的系統(tǒng)安全狀

況進(jìn)行安全審核，并依據(jù)行業(yè)最佳實(shí)踐，對(duì)上述配置中不完善的地方進(jìn)行增強(qiáng)

配置，講所實(shí)施的增強(qiáng)配置填入下面的表單中。

3.1登錄和密碼策略

安全措施應(yīng)用于服務(wù)器\設(shè)備

1)

2)

3)

4)

5)

6)

7)

8)

3.2網(wǎng)絡(luò)設(shè)備加固

安全措施應(yīng)用于服務(wù)器\設(shè)備

1)

2)

3)

4)

5)

6)

7)

8)

TD54_ModuleA_PreVersion:1.8/16

附錄A:基礎(chǔ)設(shè)施列表

虛擬機(jī)名稱賬號(hào)密碼

NikolaiadminP@ssw0rd

DCadminP@ssw0rd

DSro