《技能大赛之企业网13网络系统安全项目测试试卷13.doc》由会员分享,可在线阅读,更多相关《技能大赛之企业网13网络系统安全项目测试试卷13.doc(4页珍藏版)》请在金锄头文库上搜索。
1、湖南省高等职业院校计算机网络技术专业技能抽查考试“网络系统安全”项目测试试卷(编号 13 )第一部分考试说明一、 技能抽查考试内容发布 “网络系统安全管理项目”考试内容共分四个组成部分,其中:1. 项目工程设计、实施与管理部分,占总分的比例为10%.2. 路由与交换设备配置部分,占总分的比例为50%。3. 网络服务器配置及应用部分,占总分的比例为30%。4. 网络安全硬件配置部分,占总分的比例为10%。二、 技能抽查考试相关设备及材料清单1 软件环境序号类型名称位置1系统软件Windows XP pro sp3D:软件资料2系统软件Windows 2003 ServerD:软件资料3应用软件P
2、uttyD:软件资料4应用软件Microsoft Visio 2007D:软件资料5应用软件VMware Workstation 7.0D:软件资料6应用软件Office 2003,winrar,Adobe reader 9D:软件资料7网管软件防火墙 IDSD:软件资料8驱动程序打印机D:软件资料9序列号所有对应的序列号D:软件资料10文本网络设备产品说明书D:软件资料2 硬件设备(1)网络相关设备采用锐捷或神州数码的相关产品。序号设备名称数量参考型号1路由器4RG-RSR20-18或DCR-26112串口模块6SIC-HIS3串口v.35线3V.354二层交换机2RG-S2328或DCS-
3、39505三层交换机2RG-S3760或DCRS-5526S6防火墙2RG-WALL160M或DCFW-1800S7入侵检测系统1RG-IDS500S或DCNIDS-1800-M8电脑4Cpu 5300以上,内存2G以上,带com口第二部分 工程项目建设一、 项目背景项目描述开元集团是一家从事高科技产品研发、生产和销售的大型企业,公司通过网络与互联网相互连接,随着业务发展,分公司或出差的员工需要与公司总部随时交换机密的商务信息。为了方便分公司和出差员工能成功访问总公司内部的资源并保证这一过程中的安全是安全可控的,我们通过构建VPN来实现这一要求,通过VPN方案在局域网上实现一个安全、方便、低成
4、本的远程访问服务网络规划设计网络拓扑结构规划如图一所示。图一 公司网络拓扑结构图本次公司的网络构建包括总公司网络和员工在外地的接入网络这两个部分。总公司局域网核心采用双交换机的构架,通过VRRP技术实现负载均衡和链路备份。两台核心交换机连接到核心路由器,核心路由器连接到网络出口网络,总公司和分公司或用户之间的办公用户通过路由器建立的隧道相互通信,有效的保证了数据传输的安全性。 服务器集中放置在网络中心机房,直接连接到核心交换机,通过部署IDS对网络中访问服务器的数据进行检测,通过IDS来预防内网的网络攻击。 分公司或出差员工的网络的出口路由器通过VPN隧道与总公司路由器相连,通过安全隧道来访问
5、总公司的资源。二 工程项目建设内容1.项目工程设计、实施与管理部分(10%)通过对用户的再次需求分析得知:由于用户对网络安全性的要求特别高,即要求总公司内部的局域网以及与外网的访问能实现很高的安全性。而对前面的网络拓扑结构的设计分析得知,该网络仅仅只在外网和内网之间部署了防火墙。现在请完成以下工作:(1) 分析目前网络中的安全现状,指出安全漏洞所在,并提出改进意见,改进建议需要提供一定的投资分析,即在根据现有网路的规模的等级,安全投入与产出是否合理,以方便用户进行决策。表4 企业安全分析表(2) 在前面拓扑结构的基础上设计更高安全性的网络拓扑结构,要求可以超过给定的设备,请绘制拓扑结构图,标注
6、好端口、ip地址等必要的说明信息。注意:拓扑结构图与分析表在考试结束前保存到“d:提交资料”目录中。1. 路由与交换设备配置部分(50%)根据图一的拓扑结构的要求完成以下配置:(1) 完成总、分公司在两台路由器和交换机的ip地址的配置;(2) 在总公司的两台核心交换机上配置vlan信息,具体配置如下,在两台交换机上配置四个vlan,分别是vlan10、vlan20、vlan30、vlan40。将每个交换机中的2-4、5-7、12-15、16-20号端口分别划入vlan10、vlan20、vlan30、vlan40;(3) 将sw2和sw3设置为链路聚合,并将聚合接口设置trunk,将sw2的f
7、a0/4-5设置为链路聚合,并将聚合接口设置trunk;(4) 参考拓扑结构图给交换机启用SVI并给相应的vlan配置ip地址;(5) 三个路由器之间通过OSPF动态路由互联,区域信息请参照拓扑结构图;(6) 在r1和r3配置GRE隧道,(7) 配置IPSec,并将其运用到GRE隧道上,使用IKE自动协调的方式。使VPN客户端可以通过ipsec隧道访问公司内部网络。注意:(1) 所有设备的配置必须进行保存,此为评卷依据;(2) 通过超级终端将各个设备的全部配置内容捕获成txt文件,存放到指定位置桌面组名*.txt。文件名以设备名称命名,例如:SW1的配置内容保存为SW1.txt。(3) 通过打
8、印机将以上保存的文件分别打印成纸质文档,放置在桌面;(4) 设备中的配置为唯一评卷依据:如果配置没有在机器中保存,即使有TXT文件或者纸质文档,网络搭建部分也为0分;设备中的配置如果与TXT文件或者纸质文档有差异,以设备中配置为准!3.网络服务器配置及应用项目部分(30%)(1)在总公司的网络中心机房several的服务器上利用VMware workstation 软件,安装一个windows 2003 操作系统,标签为win2003a,存放位置分别为的d:win2003a,内存均为512MB,网卡均使用桥接模式连接,网络的ip地址范围在192.1.5.0/24即可,硬盘空间均为10GB,且无
9、需立即分配磁盘空间。(2)在虚拟机中windows 2003 操作系统安装pop3服务和SMTP服务,并开启服务。建立电子邮件账户mail1和mail2。(3)为了保证用户之间互发邮件的安全,需要对用户发送的邮件进行加密,主要完成以下配置任务: a)在win2003a系统中安装PGP。 b)创建两队密钥,一对分配给公司员工a,另外一对分配给公司员工b,并将密钥导出,并通过网络共享的方式分发密钥,在PC1导入员工a的密钥,PC2上导入员工b的密钥; c)在PC1上使用员工a的密钥加密文件,通过网络共享将文件传至pc2上,使用员工a的密钥进行解密;(3)使用PGP对邮件进行加密。然后在客户端PC2
10、中以使用outlook以 账户名向账户发一份电子邮件,主题为“邀请函”,内容为“欢迎参加开元集团高科技新产品新闻发布会!”。在PC1机上使用outlook发送、接收邮件,在收件箱中选中此电子邮件,将能够显示此邮件信息内容的活动窗口截图保存。注意:(1) 服务器操作系统均利用VMware workstation 7.0 虚拟机系统实现。(2) 请各位考生按要求完成各项服务器配置,在完成配置后提交能反映各个配置项目结果的敞口截图,server1中windows 2003 系统的所有截图按照试题顺序粘贴在文件名为:组号_server1.doc【如 3组的文件名为:3_server1.doc】的文档中
11、,请参照“d:提交资料组号_server1.doc”文档模块。文档中要求有试题的题号小标题,并对每个截图进行必要的说明。无截图的项目不得分。2. 网路安全硬件配置部分(10%)(1) 在网络中部署IDS入侵检测设备,布置在10.1.1.0/24网段即可,对网络中访问服务器的数据进行检测,并将检测到的安全事件发送给IDS服务器,IDS需要开启DDOS、FTP、ICMP策略包。在部署完IDS后,使用pc3发起ICMP攻击,连续ping服务器的ip地址10.1.1.123(ping包大于60000字节)IDS检测到安全事件,在IDS控制台的“安全事件”菜单里能查看到安全事件。注意:(1) IDS提交截图:IDS控制台的组件、策略选项,上面操作中的IDS检测到的安全事件。(2) 将截图粘贴到“组号_网络配置文档.doc”中,标记为“IDS配置相关截图”,并对截图进行必要的说明。
