网络安全竞赛试题

2010年宁波市首届大学生

网络与信息安全技能大赛试题(实践部分)

一、注意事项

1．检查硬件设备、网线头和Console线等的数量是否齐全，电脑设备是否正常。

2．自带双绞线制作和验证测试工具。禁止携带和使用移动存储设备、运算器、通信工具及参考资料。

3．操作完成后，需要保存设备配置，不要关闭任何设备，不要拆动硬件的连接，不要对设备随意加密码，试卷留在考场。

4．赛场准备的比赛所需要竞赛设备、竞赛软件和竞赛材料等。

5．参赛选手使用双绞线制作工作自己制作网络互联的网线。

二、竞赛环境

三、项目简介

某科技集团公司在北京市设有总公司，在宁波市设为分公司，由于集团业务发展的需求，需要构建一个跨越两地的城域网络。

本项目中分别由总公司网络、城域网络和分公司网络三部分组成。

（1）总公司网络

总公司局域网采用的三层交换做为核心交换机，在网络中架设防火墙保证内网用户和业

务流量的安全。

使用路由器做为网络的出口，并从ISP申请了两条链路，一条为2M的专用线路，用来传输业务流量；另一条为访问互联链路，满足内网用户访问互联网资源。

在总公司的外口部署VPN网关，主要是提供移动办公用户安全访问内网服务器，并且作为业务流量的备用链路，当专用链路中断时，VPN网关自动启用VPN功能实现安全传输业务数据。

总公司网络采用OSPF动态路由协议，并通过专用线路学习到分公司路由信息，实现网络的畅通。

（2）城域网络

城域网部分使用的二台路由器组成，用来实现城域网数据传输，采用的OSPF动态路由协议。

（3）分公司网络

分公司局域网采用的三层交换做为核心交换机，使用路由器做为网络的出口，并从ISP 申请了两条链路，一条为2M的专用线路，用来传输业务流量；另一条为访问互联链路，满足内网用户访问互联网资源。

在分公司的外口部署VPN网关，主要是作为业务流量的备用链路，当专用链路中断时，VPN网关自动启用VPN功能实现安全传输业务数据。

分公司网络采用OSPF动态路由协议，并通过专用线路只能学习到分公司网络服务器群的路由信息，实现网络的畅通。

您作为构建该网络的工程师，请根据拓扑图建设一个安全、可靠、稳定的网络。

四、地址规划1．基础架构

2．应用系统

五、项目实施（总计500分）

1．总公司建设需求（200分）

（1）．根据网络拓扑结构和地址规划表，部署和实施总公司基础底层网络；（20分）（2）．根据网络拓扑结构所示，在总公司的网络中采用的OSPF动态路由协议，并将其规划为常规区域10中，总公司可以学习到分公司的所有路由信息；（30分）（3）．根据网络拓扑结构所示，配置IPSec VPN功能，实现移动办公用户可以安全访问内网服务群中的服务。配置业务流量的备份链路，当专用线路出现故障时，VPN网关自动启用IPSec VPN功能，保障分公司用户能够安全访问总公司服务群中的业务数据；（15分）（4）（20分）

（5）．根据拓扑结构所示，在总公司网络中部署和实施无线网络，实现安全的智能无线网络；（25分）

（6）．在网络的接入层，由于公司内部用户经常使用HUB来扩充网络规模，需要采取措施防止这种现象存在；（20分）

（7）．为了保障链路的负载均衡和增加网络的带宽，在接入层交换机的上行链路，需要采取措施实现这一功能；（20分）

（8）．在服务群中部署了DHCP服务器，由于DHCP服务器会受到无赖设备和DOS攻击，所以需要采用措施防止或抑制这种的攻击；（10分）

（9）．在总公司的网络中部署了防火墙，需要配置最严密的规则来保护内网用户和服务器群的安全。防火墙经常会受SYN Flood、ICMP Flood、Ping of Death、UDP Flood、PING SWEEP、TCP端口扫描、UDP端口扫描、WinNuke等攻击，需要采取措施防止这各攻击；（20分）

（10）．服务器群中的WEB服务器和FTP服务器经常会受到攻击者非常频繁的访问，其主要是消耗服务器的资源，需要在防火墙配置相关功能用来保护服务器主机。（20分）

2．城域网建设需求（50分）

（1）．根据网络拓扑结构和地址规划表，部署和实施城域基础底层网络；（20分）

（2）．在城域网中采用OSPF动态路由协议，将其规划为骨干区域；（20分）

（3）．为了实现网络安全，首先需要采用安全措施保证路由协议更新安全；（10分）

3．分公司建设需求（100分）

（1）．根据网络拓扑结构和地址规划表，部署和实施分公司基础底层网络；（20分）（2）．根据网络拓扑结构所示，在分公司的网络中采用的OSPF动态路由协议，并将其划入到常规区域20中，分公司只能学习到总公司服务器群的路由信息；（25分）（3）．配置业务流量的备份链路，当专用线路出现故障时，VPN网关自动启用IPSec VPN 功能，保障分公司用户能够安全访问总公司服务群中的业务数据；（15分）（4）（15分）

（5）．在网络的接入层，由于公司内部用户经常使用HUB来扩充网络规模，需要采取措施防止这种现象存在；（10分）

（6）．为了保障接入层交换机的上行链路冗余性，需要采用两条链路，但这样会引起环路，需要采取措施既能实现冗余性又能防止互环路，而且可以实现链路的负载均衡；（10分）

4．应用系统建设需求（150分）

（1）在网络中部署活动目录服务器，系统平台可以任选Windows server 2003/RedHat Linux 两种操作系统的任意一个操作系统，（20分）

（2）在活动目录中创建4个OU，创建4 个全局组，创建12个用户，具体内容见下表

长存留其为一周，帐户锁定阈值为5次，如果到过阈值需要锁定30分钟。（20分）（3）在网络中搭建CA服务器，系统平台可以任选Windows server 2003/RedHat Linux 两种操作系统的任意一个操作系统，定义为企业根，证书期限为三年，为其它服务器提供证书服务。（20分）

（4）在网络中搭建WEB服务器，系统平台可以任选Windows server 2003/RedHat Linux 两种操作系统的任意一个操作系统，此服务器的FQDN为“祝2010年宁波市首届大学生网络与信息安全技能大赛圆满成功”，其文件名为；配置主机头，只能使用域名访问网页，不允许使用IP地址访问。在CA服务器上申请证书，即可以使用SSL访问站点，也可不使用SSL 访问站点。（20分）

（5）在网络中搭建DHCP服务器，系统平台可以任选Windows server 2003/RedHat Linux 两种操作系统的任意一个操作系统2个作用域，作用域名称VLAN110，地址池10.1.1.10-，需要为客户端自动配置DNS和网关。作用域名称VLAN120，地址池（20分）（6）在网络搭建FTP服务器，系统平台可以任选Windows server 2003/RedHat Linux 两种操作系统的任意一个操作系统，此服务器的FQDN为，为了保证服务FTP服务器的安全，只允许用户下载文件，不能上传文件。（25分）

（7）在网络搭建备份DNS服务器，系统平台可以任选Windows server 2003/RedHat Linux 两种操作系统的任意一个操作系统，此服务器的FQDN为，作为主DNS服务器的备份服务器，要采取安全措施保障区域复制安全，采取安全措施保障此服务器只提供DNS服务。（25分）