《2023高职32 信息安全管理与评估8(赛项赛题).docx》由会员分享,可在线阅读,更多相关《2023高职32 信息安全管理与评估8(赛项赛题).docx(40页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ChinaSkills全国职业院校技能大赛高等职业教育组信息安全管理与评估赛题八模块一网络平台搭建与设备安全防护35 . DOS攻击/DDoS攻击通常是以消耗服务器端资源、迫使服务停止响应为目 标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而 使正常的用户请求得不到应答,以实现其攻击目的,在分公司内网区域开 起DOS攻击防护,阻止内网的机器中毒或使用攻击工具发起的DOS攻击, 检测到攻击进行阻断。36 .分公司BC上配置NAT64,实现分公司内网ipv6用户通过BC出口 ipv4地 址访问因特网。37 .分公司内网攻防平台,对Internet提供服务,在BC上做相关配置让外网
2、IPV6用户能够通过BC外网口 IPV6地址访问攻防平台的web服务端口号为 80 o38 . BC上开启病毒防护功能,无线用户在外网下载exe、rar. bat文件时对其进 行杀毒检测,防止病毒进入内网,协议流量选择HTTP杀毒、FTP杀毒、 POP3、SMTPo39 .公司内部有一台网站服务器直连到WAF,地址是192.168.50.10,端口是 8080,配置将访问日志、攻击日志、防篡改日志信息发送syslog日志服务 器,IP地址是 192.168.100.6, UDP 的 514端口。40 .编辑防护策略,在“专家规则”中定义HTTP请求体的最大长度为256,防 止缓冲区溢出攻击。4
3、1 . WAF上配置开启爬虫防护功能,防护规则名称为http爬虫,url为 ,自动阻止该行为;封禁时间为3600秒。42 . WAF上配置,开启防盗链,名称为http盗链,保护url为 ,检测方式referer+cookie,处理方式为阻断,并记录日 /6;O43 . WAF上配置开启IDP防护策略,采用最高级别防护,出现攻击对攻击进行 阻断。44 . WAF上配置开启DDOS防护策略,防护等级高级并记录日志。45 .在公司总部的WAF上配置,内部web服务器进行防护安全防护,防护策略 名称为web_p,记录访问日志,防护规则为扫描防护规则采用增强规则、 HTTP协议校验规则采用专家规则、特征
4、防护规则采用专家规则、开启爬虫 防护、开启防盗链、开启敏感信息检测。46 . AC上配置DHCP,管理VLAN为VLAN1000,为AP下发管理地址,AP通 过DHCP opion 43注册,AC地址为loopback 1地址。47 .在 NETWORK 下配置 SSID,需求如下:NETWORK 1 下设置 SSID SKILLWIFI, VLAN 10,加密模式为wpa-peSWonal,其口令为12345678,开启隔 离功能。48 . NETWORK 2下设置SSID GUEST, VLAN20不进行认证加密,做相应配置 隐藏该SSID, NETWORK 2开启内置portal+本地认
5、证的认证方式,账号为 XXX 密码为 test2023。49 .为了合理利用AP性能,需要在AP上开启5G优先配置5G优先功能的客户 端的信号强度门限为40。50 .通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源, 检测到AP与AC在10分钟内建立连接5次就不再允许继续连接,两小时 后恢复正常;GUSET最多接入50个用户,并对GUEST网络进行流控,上 行1M,下行2M。ChinaSkills全国职业院校技能大赛高等职业教育组信息安全管理与评估模块二网络安全事件响应、数字取证调查、应用程序安全竞赛项目赛题本文件为信息安全管理与评估项目竞赛-第二阶段样题,内容包括:网络安全
6、事件响应、数字取证调查、应用程序安全。本次比赛时间为180分钟。介绍竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请 认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效; (3)请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本阶段总分数为300分。项目和任务描述随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代 码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息 系统的机密性、完整性和可用性。因此,对抗网
7、络攻击,组织安全事件应急响应, 采集电子证据等技术工作是网络安全防护的重要部分。现在,A集团已遭受来自 不明组织的非法恶意攻击,您的团队需要帮助A集团追踪此网络攻击来源,分析 恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码, 帮助其巩固网络安全防线。本模块主要分为以下几个部分:网络安全事件响应数字取证调查应用程序安全本部分的所有工作任务素材或环境均已放置在指定的计算机上,参赛选手完 成后,填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中,竞赛结束时每 组将答案整合到一份PDF文档提交。选手的电脑中已经安装好Office软件并提 供必要的软件工具。工作任务第一部分网络
8、安全事件响应任务1: Unix服务器应急响应(70分)A集团的Debian服务器被黑客入侵,该服务器的Web应用系统被上传恶意 软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来 源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文 件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。 本任务素材清单:Unix服务器虚拟机受攻击的Server服务器已整体打包成虚拟机文件保存,请选手自行导入分析。注意:Server服务器的基本配置参见附录,若题目中未明确规定,请使用默 认配置。请按要求完成该部分的工作任务。任务1: Unix服务器虚拟机序
9、号任务内容答案1请提交攻击者的IP地址2请提交攻击者使用的操作系统3请提交攻击者进入网站后台的密码4请提交攻击者首次攻击成功的时间, 格式:DD/MM/YY:hh:mm:ss5请提交攻击者上传的恶意文件名(含 路径)6请提交攻击者写入的恶意后门文件 的连接密码7请提交攻击者创建的用户账户名称8请提交恶意进程的名称9请提交恶意进程对外连接的IP地址第二部分数字取证调查任务2:基于MacOS的内存取证(40分)A集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析A集 团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。 本任务素材清单:存储镜像、内存镜像。请按要求完成
10、该部分的工作任务。任务2:基于MacOS的内存取证序号任务内容答案1请提交用户目录下压缩包的解压密码2请提交root账户的登录密码3请指出攻击者通过什么命令实现提权操 作4请指出内存中恶意进程的PID5请指出恶意进程加密文件的文件类型任务3:通信数据分析取证(工控)(50分)A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT), 并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分 解出隐藏的恶意程序,并分析恶意程序的行为。本任务素材清单:捕获的通信数据文件。请按要求完成该部分的工作任务。任务3:通信数据分析取证(工控)序号任务内容答案1请提交攻击者通过什么协
11、议发起的攻击2请提交攻击者第一次攻击成功的时间3请提交攻击者在目标主机上上传的文件名4请解密出上传的文件内容任务4:基于Windows计算机单机取证(60分)对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为“evidence 1、“evidence2、evidence 10,有文本形式也有图片形式,不区分 大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相 关信息,证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正 常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、 隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩
12、文档、 图片等)。本任务素材清单:取证镜像文件。请按要求完成该部分的工作任务。任务4:基于Windows计算机单机取证证据编号在取证镜像中的文件名镜像中原文件Hash码(MD5,不区分大小写)evidence 1提交文件名正确得分evidence 2提交文件名正确得分evidence 3提交文件名正确得分evidence 4提交文件名正确得分evidence 5提交文件名正确得分evidence 6提交文件名正确得分evidence 7提交文件名正确得分evidence 8提交文件名正确得分evidence 9提交文件名正确得分evidence 10提交文件名正确得分第三部分应用程序安全任务5
13、:Linux恶意程序分析(50分)A集团发现其发布的应用程序文件遭到非法篡改,您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。本任务素材清单:Linux恶意程序请按要求完成该部分的工作任务。任务5: Linux恶意程序分析序号任务内容答案1请提交恶意程序回传数据的url地址2请指出恶意程序会加密哪些类型的文件3请指出恶意程序加密文件的算法4请指出恶意程序创建的子进程名称任务6:JAVA语言代码审计(30分)代码审计是指对源代码进行检查,寻找代码存在的脆弱性,这是一项需要多方面技能的技术。作为一项软件安全检查工作,代码安全审查是非常重要的一部 分,因为大部分
14、代码从语法和语义上来说是正确的,但存在着可能被利用的安全 漏洞,你必须依赖你的知识和经验来完成这项工作。本任务素材清单:Java源文件请按要求完成该部分的工作任务。任务6:JAVA语言代码审计序号任务内容答案1请指出存在安全漏洞的代码行2请指出可能利用该漏洞的威胁名称3请修改该代码行使其变得安全赛项时间共计180分钟。二、赛项信息竞赛阶段任务阶 段竞赛任务竞赛时间分值第一阶段网络平台搭建与设 备安全防护任务1网络平台搭建xx:xx- xx:xx50任务2网络安全设备配置与防护250三、赛项内容本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要按裁判 组专门提供的U盘中的“XXX-答题
15、模板”提交答案。第二、三阶段请根据现场 具体题目要求操作。选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(XX用具 体的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹 中。例如:08工位,则需要在U盘根目录下建立“GW08”文件夹,并在 “GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。特别说明:只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不 允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。(一)赛项环境设置ChinaSkills全国职业院校技能大赛高等职业教育组信息安全管理与评估模块三网络安全渗透、理论技能与
16、职业素养竞赛项目赛题本文件为信息安全管理与评估项目竞赛-第三阶段样题,内容包括:网络安全 渗透、理论技能与职业素养。本次比赛时间为180分钟。介绍网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境 中实现网络安全渗透测试工作。本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利 用等技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获 取存在的flag值。所需的设施设备和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完 成。评分方案本测试项目模块分数为400分,其中,网络安全渗透300分,理论技能与 职业素养100分。项目和任务描述在A
17、集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网 络中存在着一定网络安全隐患,请通过信息收集、漏洞挖掘等渗透测试技术, 完成指定项目的渗透测试,在测试中获取flag值。网络环境参考样例请查看附 录Ao本模块所使用到的渗透测试技术包含但不限于如下技术领域:数据库攻击 枚举攻击 权限提升攻击 基于应用系统的攻击 基于操作系统的攻击 逆向分析 密码学分析 隐写分析所有设备和服务器的IP地址请查看现场提供的设备列表。特别提醒通过找到正确的flag值来获取得分,flag统一格式如下所示:flag flag 值 这种格式在某些环境中可能被隐藏甚至混淆。所以,注意一些敏感信息并 利用工具把它找出
18、来。注:部分flag可能非统一格式,若存在此情况将会在题目描述中明确指出 flag格式,请注意审题。工作任务人力资源管理系统(45分)任务编号任务描述答案分值任务一请对人力资源管理系统进行黑盒测试,利用漏洞找到 flagl,并将 flagl 提交。flagl 格式 flaglvflag 值,任务二请对人力资源管理系统进行黑盒测试,利用漏洞找到 flag2,并将 flag2 提交。flag2 格式 flag2flag 值,任务三请对人力资源管理系统进行黑盒测试,利用漏洞找到 flag3,并将 flag3 提交。flag3 格式 flag3vflag 值二、邮件系统(30分)任务编号任务描述答案分
19、值任务四请对邮件系统进行黑盒测试,利用漏洞找到flagl,并 将 flagl 提交。flagl 格式 flagl flag 值任务五请对邮件系统进行黑盒测试,利用漏洞找到flag2,并 将 flag2 提交。flag2 格式 flag2flag 值三、FTP服务器(165分)任务编号任务描述答案分值任务六请获取FTP服务器上task6目录下的文件进行分析,找 出其中隐藏的flag,并将flag提交。flag格式flag flag 值任务七请获取FTP服务器上task7目录下的文件进行分析,找 出其中隐藏的flag,并将flag提交。flag格式flag flag 值任务八请获取FTP服务器上t
20、ask8目录下的文件进行分析,找 出其中隐藏的flag,并将flag提交。flag格式flag siteD、 filetype10、以下选项中,对文件的描述错误的是哪个选项?()A、文件中可以包含任何数据内容B、文本文件和二进制文件都是文件C、文本文件不能用二进制文件方式读入D、文件是一个存储在辅助存储器上的数据序列11、以下关于TCP和UDP协议的描述中,正确的是?()A、TCP是端到端的协议,UDP是点到点的协议B、TCP是点到点的协议,UDP是端到端的协议C、TCP和UDP都是端到端的协议D、TCP和UDP都是点到点的协议12、攻击者在使用nmap对目标网络进行扫描时发现,某个主机开放了
21、 25和110端口,此主机最有可能是?()A、文件服务器B、邮件服务器C、WEB服务器D、DNS服务器13、在数据库系统中,死锁属于()A、系统故障B、事务故障C、介质保障D、程序故障14、在TCP/IP参考模型中,与OSI参考模型的网络层对应的是?()A、主机-网络层B、传输层C、互联网层D、应用层15、下面程序的运行结果是:#i nclude<stdio.h> int k=0; char c=A; do switch(c+) case A:k+;break; case B:k; case C:k+=2;break; case D:k=k%2;continueo
22、()A、k=0B、k=2C、k=3D、k=416、如果想在类中创建私有方法,下面哪个命名是正确的?()A、 _add_oneB、 add_oneC、 _add_one1. 网络拓扑图2. IP地址规划表设备名称接口IP地址对端设备接口防火墙FWETHO/1-210.10.255.1/30 (trust 安全域) 2001:DA8:10:10:255:l/127SWeth 1/0/1-210.10.255.5/30 (trust 安全域) 2001:DA8:10:10:255:5/127SWETHO/320.23.1.1/30 (untrust 安全域)223.20.23. l/29(nat-p
23、ool) 2001 :DA8:223:20:23: 1/64SWEth 1/0/23Loopback110.0.0.254/32 (trust)Router-idSSL Pool可用IP数量为20SSL VPN地址池三层交换 机 SWETH1/0/4专线AC ETH 1/0/4ETH1/0/5专线AC ETH 1/0/5VLAN21 ETH1/0/1-22001:DA8:10:10:255:2/127FWVian name TO-FW1VLAN22 ETHl/0/1-22001:DA8:10:10:255:6/127FWVianname TO-FW2VLAN 23 ETH 1/0/232001
24、:DA8:223:20:23:2/127FWVian nameD、 add_one17、如果想在文件testtxt中追加内容,应该使用下列哪个选项?()A、a=open(ftest.txtnan)B、a=open(,test.txtnrn)C a=open(,test.txt7!dn)D、a=open(,test.txtnwn)18、当下各大厂商均有相关的应急响应中心部门,奖励均根据漏洞等级来进行 划分。根据相应的安全标准,下列哪项不符合该要求?()A、警告B、中危C、低危D、超危19、SYN攻击属于DOS攻击的一种,它利用()协议缺陷,通过发送大量的半 连接请求,耗费CPU和内存资源?()A
25、、UDPB、ICMPC、TCPD、 OSPF20、外部数据包过滤路由器只能阻止一种类型的IP欺骗,即(),而不能阻止DNS欺骗?()A、内部主机伪装成外部主机的IPB、内部主机伪装成内部主机的IPC、外部主机伪装成外部主机的IPD、外部主机伪装成内部主机的IP21、当发现原有的IDS不能检测到新的攻击类型时,你应该采取哪种措施?( )A、购买或更新特征库B、配置防火墙C、关闭IDS直到得到新的IDS应用程序D、定义一个新的规则来检测攻击22、下列工具中可以直接从内存中读取windows密码的是?()A、getpassB、QuarkssPwDumpC、SAMINSIDED、 John23、下面不
26、是计算机网络面临的主要威胁的是?()A、恶意程序威胁B、计算机软件面临威胁C、计算机网络实体面临威胁D、计算机网络系统面临威胁24、数据库管理员应该定期对数据库进行重组,以保证数据库性能。下列有关 数据库重组工作的说法,错误的是()。A、重组工作中可能会对数据库数据的磁盘分区方法和存储空间进行调整B、重组工作一般会修改数据库的内模式和模式,一般不改变数据库外模式C、重组工作一般在数据库运行一段时间后进行,不应频繁进行数据库重组D、重组工作中应尤其注意频繁修改数据的表,因为这些表很容易出现存储碎 片,导致效率下降25、os.getcwd。函数的作用是?()A、返回当前目录下的文件B、返回当前目录
27、的路径C、返回上一层目录的路径D、返回当前目录下的文件夹列表26、哪个关键词可以在python中进行处理错误操作?()A、 tryB、 catchC、 finderrorD、 error27、下面哪一项不是hash函数的主要应用?()A、文件校验B、数字签名C、数据加密D、鉴权协议28、Geffe发生器使用了()个LFSR。A、1B、2C、3D、429、ELK日志解决方案中,Elasticsearch的作用是?()A、收集日志并分析B、保存日志并搜索日志C、收集日志并保存D、保存日志并展示日志30、CVE-2016-8704 ()A、CVE-2016-8704B、CVE-2016-8705C、
28、CVE-2018-8174D、CVE-2016-870631、下面哪种密码算法抵抗频率分析攻击能力最强,而对已知明文攻击最弱?( )A、仿射密码B、维吉利亚C、轮转密码D、希尔密码32、re.match函数中参数Flag的作用是?()A、声明正则表达式的内容B、声明正则表达式的名称C、控制正则表达式的匹配方式D、声明要匹配的字符串33、部署IPSECVPN网络时我们需要考虑IP地址的规划,尽量在分支节点使 用可以聚合的IP地址段,其中每条加密ACL将消耗多少IPSECSA资源()。( )A、1个B、2个C、3个D、 4个34、VIM退出命令中,能强制保存并退出的是?()A、 xB、 wqC、q
29、D、 wq!35、将用户userl23修改为管理员权限命令是()。A、 net user localgroup administrators user 123 /addB、 net use localgroup administrators user 123 /addC、 net localgroup administrators user 123 /addD、 net localgroup administrator user 123 /add二、多选题(每题3分,共10题,共30分)1、安全业务指安全防护措施,包括()。A、保密业务B、认证业务C、完整性业务D、不可否认业务2、下列哪些选项
30、属于木马程序?()A、 X一ScanB、流光C、BOD、冰河3、关于函数,下面哪些说法是错误的?()A、函数必须返回一个结果B、函数不能调用自身C、函数命名只能以字母或数字开头D、在同一个文件中,不应定义重名的函数4、下面哪些函数的执行结果将返回一个元组?()A、 os. statC、 os.listdirD、 os.getcwd5、Python中哪些符号可以包含字符串数据?()A、单引号B、双引号C、两个双引号D、三个双引号6、数据库的完整性分为以下种类()。A、实体完整性B、域完整性C、参照完整性D、用户定义完整性7、VIM的工作模式,包括哪些?()A、命令模式B、输入模式C、高亮模式D、
31、底行模式8、上传文件夹权限管理方法包括?()A、取消执行权限B、限制上传文件大小C、设置用户umask值D、在上传目录关闭php解析引擎9、IPSec的安全联盟与IKE的安全联盟的区别是()A、IPSec的安全联盟是单向的B、IPSec的安全联盟是双向的C、IKE的安全联盟是单向的D、IKE的安全联盟是双向的10、Bash环境变量中,常见的环境变量有?()A、HOSTNAMEB、PASSC、 SHELLD、 USER设备名称接口IP地址对端设备接口TO- internetVLAN 24 ETH1/0/242001:DA8:223:20:23:10/127BCVian name TO-BCVLA
32、N 10无线1Vian name WIFI- vlanlOVLAN 20无线2Vian name WIFI- vlan20VLAN 30 ETH1/0/6-72001:DA8:192:168:30:l:l/96Vianname XZVLAN 31Ethl/0/8-92001:DA8:192:168:31:l:l/96Vian name salesVLAN 40 ETHl/0/10-112001 :DA8:192:168:40:1: 1/96Vian name CWVian 50 Ethl/0/13-142001:DA8:192:168:50:l:l/96Vianname manageVlanl
33、OOl2001:DA8:10:10:255:9/127TO-AC1Vlanl0022001:DA8:10:10:255:13/127TO-AC2VLAN 1000 ETH 1/0/20Vian nameAP-ManageLoopback110.0.0.253/32(router-id)无线控制 器 ACVLAN 102001:DA8:192:168:10:l:l/96Vianname TO-CWVLAN 202001 :DA8:192:168:20:l:l/96Vianname CWVLAN 10012001:DA8:10:10:255:10/127VLAN 10022001:DA8:10:1
34、0:255:14/127Vian 60 Ethl/0/13-142001:DA8:192:168:60:l:l/96Vian name sales设备名称接口IP地址对端设备接口Vian 61 Ethl/0/15-182001:DA8:192:168:61:l:l/96Vianname BGVian 100Ethl/0/212001:DA8:10:10:255:17/127BC eth2Vianname TO-BCVLAN 2000ETH 1/0/19沙盒Loopback110.1.1.254/32(router-id)日志服务 器 BCeth22001:DA8:10:10:255:18/12
35、7ACETH32001:DA8:223:20:23:9/127SWPPTP-pool192.168.10.129/26 (10 个地址)WEB应用 防火墙 WAFETH2PC3ETH3SWEthl/0/13APEthlSW (20 )PC1网卡eth 1/0/7SW沙盒ACETH 1/0/19(二)第一阶段任务书任务1:网络平台搭建(50分)题号网络需求1根据网络拓扑图所不,按照IP地址参数表,对FW的名称、各接口 IP地址进行 配置。2根据网络拓扑图所不,按照IP地址参数表,对SW的名称进行配置,创建VLAN 并将相应接口划入VLAN。3根据网络拓扑图所示,按照IP地址参数表,对AC的各接口
36、 IP地址进行配置。4根据网络拓扑图所不,按照IP地址参数表,对BC的名称、各接口 IP地址进行 配置。5按照IP地址规划表,对WEB应用防火墙的名称、各接口 IP地址进行配置。任务2:网络安全设备配置与防护(250分)1 . SW和AC开启SSH登录功能,SSH登录账户仅包含“USER-SSH”,密码 为明文“123456”,采用SSH方式登录设备时需要输入enable密码,密码 设置为明文“enable”。2 .应网监要求,需要对上海总公司用户访问因特网行为进行记录,需要在交 换机上做相关配置,把访问因特网的所有数据镜像到交换机1/0/18 口便于 对用户上网行为进行记录。3 .尽可能加大
37、上海总公司核心和出口之间带宽,端口模式采用lacp模式。4 .上海总公司和南昌分公司租用了运营商两条裸光纤,实现内部办公互通, 要求两条链路互为备份,同时实现流量负载均衡,流量负载模式基于Dst- src-mac 模式。5 .上海总公司和南昌分公司链路接口只允许必要的vlan通过,禁止其它vlan 包括vlanl二层流量通过。6 .为防止非法用户接入网络,需要在核心交互上开启DOT1X认证,对vlan40用 户接入网络进行认证,radius-server为192.168.100.200。7 .为了便于管理网络,能够让网管软件实现自动拓朴连线,在总公司核心和 分公司AC上开启某功能,让设备可以向
38、网络中其他节点公告自身的存 在,并保存各个邻近设备的发现信息。8 . ARP扫描是一种常见的网络攻击方式,攻击源将会产生大量的ARP报文 在网段内广播,这些广播报文极大的消耗了网络的带宽资源,为了防止该 攻击对网络造成影响,需要在总公司交换机上开启防扫描功能,对每端口 设置阈值为40,超过将关闭该端口 20分钟后自动恢复,设置和分公司互联 接口不检查。9 .总公司SW交换机模拟因特网交换机,通过某种技术实现本地路由和因特 网路由进行隔离,因特网路由实例名internet。10 .对SW上VLAN40开启以下安全机制:业务内部终端相互二层隔离,启用 环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时 间为30分钟;如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗攻 击。11 .配置使上海公司核心交换机VLAN31业务的用户访问因特网数据流经过 返回数据通过要求有测试结果。12 .为响应国家号召,公司实行IPV6网络升级改造,公司采用双栈模式,同时 运行ipv4和ipv6, IPV6网络运行OSPF V3协议,实现内部ipv6全网互联 互通,要求总公司和分公司之间路由优先走vlanlOO