2023信息安全管理与评估样题笔记

任务1：网络平台搭建

只有网络平台搭建与网络安全配置阶段，CTF阶段样题没有具体环境。

根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。（8分）

进防火墙web需要console上去然后man http，否则进不去

改名

创建聚合接口

根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称进行配置，创建VLAN并将相应接口划入VLAN。（10分）

改名

配置Vlan

根据网络拓扑图所示，按照IP地址参数表，对DCRS各接口IP地址进行配置。（10分）

根据网络拓扑图所示，按照IP地址参数表，对DCWS的各接口IP地址进行配置。（8分）

根据网络拓扑图所示，按照IP地址参数表，对DCBC的名称、各接口IP地址进行配置。（8分）

根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。（8分）

配置通过配置路由协议ospf实现全网网络连通，到因特网流量采用默认路由。（8分）

DCRS：
具体ospf配置：
DCRS(config)#router ospf 1
DCRS(config-router)#network 192.16.10.1/24 area 0
DCRS(config-router)#network 192.16.20.1/25 area 0
DCRS(config-router)#network 192.168.30.1/26 area 0
DCRS(config-router)#network 192.168.40.1/24 area 0
DCRS(config-router)#network 192.168.50.1/24 area 0
DCRS(config-router)#network 192.168.51.1/24 area 0
DCRS(config-router)#network 192.168.52.2/24 area 0
DCRS(config-router)#network 192.168.60.1/24 area 0
DCRS(config-router)#network 192.168.100.1/24 area 0

DCWS：
具体配置：
DCWS(config)#router ospf 1
DCWS(config-router)#network 192.168.60.2/24 area 0
DCWS(config-router)#network 192.168.100.2/24 area 0
DCWS(config-router)#network 192.168.101.1/24 area 0
查看配置

查看路由表

DCFW：
具体配置：
DCFW(config)# ip vrouter trust-vr
DCFW(config-vrouter)# router ospf 1
DCFW(config-router)# router-id 10.11.0.1
DCFW(config-router)# network 192.168.51.1/30 area 0
DCFW(config-router)# network 200.1.1.1/24 area 0
DCFW(config-router)# network 192.168.10.254/24 area 0
DCFW(config-router)# network 10.11.0.1/24 area 0
DCFW(config-router)# network 10.12.0.1/24 area 0
DCFW(config-router)# network 10.13.0.1/24 area 0
DCFW(config-router)# network 10.14.0.1/24 area 0
DCFW(config-router)# default-information originate

配置安全策略，trust到trust

DCBC：

DCBC的e0/2口改为L3-WAN，e0/1和e0/3和e0/4是L3-LAN口，开启ping功能

任务2：网络安全设备配置与防护（240分）

DCRS:

DCRS 开启 telnet 登录功能， 用户名 dcn01， 密码 dcn01， 配置使 用 telnet 方 式 登 录 终 端 界 面 前 显 示 如 下 授 权 信 息 ：“WARNING!!!Authorised access only, all of your done will be recorded!Disconnected IMMEDIATELY if you are not an authorised user!Otherwise, we retain the right to pursue the legal responsibility”。

具体命令：
DCRS(config)#telnet-server enable(这里一般默认已经开启了，可以不写)

DCRS(config)#username dcn01 privilege 15 password 0 dcn01

DCRS(config)#banner login WARNING!!!Authorised access only, all of your done will be recorded!Disconnected IMMEDIATELY if you are not an authorised user!Otherwise, we retain the right to pursue the legal responsibility

测试结果：

尽可能加大总部核心交换机DCRS与防火墙DCFW之间的带宽。

具体命令：
DCRS(config)#port-group 1
DCRS(config-if-ethernet1/0/1)#interface ethernet 1/0/1-2
DCRS(config-if-port-range)#switchport mode trunk
DCRS(config-if-port-range)#port-group 1 mode active（主动发起汇聚模式）

VLAN10、vlan20 用户采用动态获取 IP 地址方式，DHCP服务器在DCWS上配置，前5个IP地址为保留地址，DNS server为8.8.8.8，地址租约时间为1天。

具体命令：
DCRS：
DCRS(config)#service dhcp
DCRS(config)#ip forward-protocol udp bootps（将来自DHCP客户端的请求转发到指定的DHCP服务器）
DCRS(config)#interface vlan 10
DCRS(config-if-vlan10)#ip helper-address 192.168.100.2（地址是UDP 广播数据报的目的地址，也就是DCRS对端DCWS的地址）
DCRS(config)#interface vlan 20
DCRS(config-if-vlan20)#ip helper-address 192.168.100.2

DCWS：
DCWS(config)#service dhcp
DCWS(config)#ip dhcp excluded-address 192.16.10.1 192.16.10.5（前五个地址为保留地址，即排除地址）
DCWS(config)#ip dhcp excluded-address 192.16.20.1 192.16.20.5
DCWS(config)#ip dhcp pool vlan10（创建vlan10地址池）
DCWS(dhcp-vlan10-config)#network-address 192.16.10.0 255.255.255.0
（地址池网络号和掩码）
DCWS(dhcp-vlan10-config)#default-router 192.16.10.1 （默认网关）
DCWS(dhcp-vlan10-config)#dns-server 8.8.8.8（DNS）
DCWS(dhcp-vlan10-config)#lease 1（租期一天）
DCWS(config)#ip dhcp pool vlan20
DCWS(dhcp-vlan20-config)#network-address 192.16.20.0 255.255.255.0
DCWS(dhcp-vlan20-config)#default-router 192.16.20.1 
DCWS(dhcp-vlan20-config)#dns-server 8.8.8.8
DCWS(dhcp-vlan20-config)#lease 1

配置公司总部的DCRS，通过ARP Guard来抵御来自VLAN40接口

DCRS(config)#interface ethernet 1/0/10-12
DCRS(config-if-port-range)# arp-guard ip 192.168.40.1

公司总部的DCRS上配置端口环路检测（Loopback Detection）， 防止来自vlan40接口下的单端口环路，并配置存在环路时的 检测时间间隔为30秒，不存在环路时的检测时间间隔为10秒。

DCRS(config)#loopback-detection interval-time 30 10	
DCWS(config)#interface ethernet 1/0/10-12
DCRS(config-if-port-range)#loopback-detection specified-vlan 40
DCRS(config-if-port-range)#loopback-detection control shutdown

DCFW、DCRS、DCWS之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义,传播访问INTERNET默认路由。

DCRS:
DCRS(config)#interface vlan 51
DCRS(config-if-vlan51)#ip ospf authentication message-digest 
DCRS(config-if-vlan51)#ip ospf message-digest-key 1 md5 0 123456
DCRS(config-if-vlan51)#interface vlan 100
DCRS(config-if-vlan100)#ip ospf authentication message-digest 
DCRS(config-if-vlan100)#ip ospf message-digest-key 1 md5 0 123456

DCFW:
DCFW(config)# ip vrouter trust-vr
DCFW(config-vrouter)# router ospf 1
DCFW(config-router)# default-information originate

DCFW(config)# interface aggregate1.51
DCFW(config-if-agg1.51)# ip ospf authentication message-digest
DCFW(config-if-agg1.51)# ip ospf message-digest-key 1 md5 123456

DCWS:
DCWS(config)#interface vlan 100
DCWS(config-if-vlan100)#ip ospf authentication message-digest 
DCWS(config-if-vlan100)#ip ospf message-digest-key 1 md5 0 123456

DCRS 上配置，VLAN40 的成员接口开启广播风暴抑制功能，参数设置为2000pps。

DCRS(config)#interface ethernet 1/0/10-12
DCRS(config-if-port-range)#storm-control broadcast 2000

总部部署了一套网管系统实现对 DCRS 交换机进行管理，网管系统 IP 为： 172.16.100.21，读团体值为：DCNTRAP，版本为 V2C，交换机 DCRS Trap 信息实时上报网管，当 MAC 地址发生变化时，也要立即通知网管发生的变化，每35s发送一次；

DCRS(config)#snmp-server enable
DCRS(config)#snmp-server host 172.16.100.21 v2c DCNTRAP
DCRS(config)#snmp-server enable traps
DCRS(config)#snmp-server enable traps mac-notification
DCRS(config)#mac-address-learning cpu-control
DCRS(config)#mac-address-table notification 
DCRS(config)#mac-address-table notification interval 35

DCFW:

总部VLAN业务用户通过防火墙访问Internet时，轮询复用公网IP：113.111.180.5、113.111.180.6。

DCFW配置 SSL VPN，名称为 VPNSSL，分部PC3通过端口 8866 连接，本地认证账号DCNSSL,密码DCN1234拨入，地址池范围为 192.168.10.100/24-192.168.10.150/24。

如果电脑是有无线网卡和有线网卡，先禁用无线网卡，否则连不上。

此时pc1和pc2不能ping通pc3, Pc3可以ping通pc1和pc2

为净化上网环境，要求在防火墙 DCFW 做相关配置，禁止无线用户周一至周五工作时间9：00-18：00 的邮件内容中含有“病毒”、 “赌博”的内容，且记录日志；

出于安全考虑，无线用户移动性较强，无线用户访问 INTERNET 时需要采用认证，在防火墙上开启 WEB 认证，账号密码为 DCNWEB。

DCFW 上配置 NAT 功能，使 PC3 能够通过 WEB 方式正常管理到AC，端口号使用 6666;）合理配置安全策略。

配目的NAT，实际上就是端口映射，访问113.111.180.1就相当于访问192.168.100.2

访问113.111.180.1就会从internet那条线走，然后就是untrust到ac的trust

保证带宽的合理使用， 通过流量管理功能将引流组应用数据流，上行最小带宽设置为 2M，下行最大带宽设置为 4M。

配置防火墙web外发信息控制策略，总部禁止内网无线用户到所有网站的 Web 外发信息控制；内网有线用户到外网网站 Web 外发信息控制，禁止外发关键字“攻击”“病 毒”, 信任值为 1，并记录相关日志。

DCWS:

无线控器DCWS 上配置管理 VLAN 为 VLAN101, AP的管理地址为172.16.10.2,配置 AP 二层手工注册并启用序列号认证。

电脑直连ap，ap默认管理地址192.168.10.1，进去以后修改以太网口ip地址，即修改ap的管理地址为172.16.10.2

DCWS(config)#wireless
DCWS(config-wireless)#enable
DCWS(config-wireless)#no auto-ip-assign
DCWS(config-wireless)#static-ip 192.168.101.1
DCWS(config-wireless)#ap authentication serial-num
DCWS(config-wireless)#ap database 00-03-0F-CD-B7-B0
DCWS(config-ap)#serial-num WL023010K630000968
序列号和mac地址可以在ap背后查看，也可以电脑连接ap，然后登录ap管理地址，查看

DCWS(config-ap)#show wireless ap failure status(填完上面那些，可以查看ap状态，首先是failure状态)
DCWS(config-ap)#show wireless ap status （过一会，可以看到已经获取ip，状态为manage）

在 NETWORK 1、 2 下配置 SSID，需求如下：1、设置 SSID DCNWiFi， VLAN10，加密模式为 wpa-personal,其口令为 12345678。2、设置 SSID GUEST， VLAN20 不进行认证加密,做相应配置隐藏该 SSID。

DCWS(config)#wireless 
DCWS(config-wireless)#network 1
DCWS(config-network)#ssid DCNWIFI
DCWS(config-network)#vlan 10
DCWS(config-network)#security mode wpa-personal
DCWS(config-network)#wpa key 12345678

DCWS(config)#wireless  
DCWS(config-wireless)#network 2
DCWS(config-network)#hide-ssid 
DCWS(config-network)#ssid GUEST
DCWS(config-network)#vlan 20

DCWS(config)#wireless  
DCWS(config-wireless)#ap profile 1
DCWS(config-ap-profile)#hwtype 64(show vendor可查看)
DCWS(config-ap-profile)#radio 1
DCWS(config-ap-profile-radio)#vap 1
DCWS(config-ap-profile-vap)#enable
DCWS(config-ap-profile)#radio 2
DCWS(config-ap-profile-radio)#vap 1
DCWS(config-ap-profile-vap)#enable

在DCWS上配置，开启802.11关联请求帧泛洪攻击，用户发送802.11关联请求帧的检测时间为4分钟，关联请求帧的阈值为1000。

DCWS(config)#wireless
DCWS(config-wireless)#wids-security client configured-assoc-rate（使能/关闭802.11关联请求测试的配置速率）（wids：Wireless Intrusion Detection System无线入侵检测系统）
DCWS(config-wireless)#wids-security client threshold-interval-assoc 240（配置关联请求阈值间，秒）
DCWS(config-wireless)#wids-security client threshold-value-assoc 1000
（配置关联请求阈值）

配置 SSID GUEST 每天早上 0 点到 7 点禁止终端接入; GUSET最多接入 50 个用户，并对 GUEST 网络进行流控，上行 1M，下行 2M；配置所有无线接入用户相互隔离。

DCWS(config)#wireless
DCWS(config-wireless)#ap client-qos（使能/关闭无线客户端AP QoS）

DCWS(config-wireless)#network 2
DCWS(config-network)#client-qos enable （启无线客户端服务质量保证）
DCWS(config-network)#client-qos bandwidth-limit down 2048
DCWS(config-network)#client-qos bandwidth-limit up 1024
DCWS(config-network)#max-clients 50（配置允许的并行客户端的最大数目）
DCWS(config-network)#time-limit from 00:00 to 07:00 weekday all
DCWS(config-network)#station-isolation（用同一SSID下的用户隔离）

为防止外部人员蹭网，现需在设置信号值低于 50%的终端禁止连接无线信号；为防止非法 AP 假冒合法 SSID，开启该检测功能。

DCWS(config)#wireless
DCWS(config-wireless)#ap profile 1
DCWS(config-ap-profile)#band-select enable （开启或关闭AP 5G优先接入功能）
DCWS(config-ap-profile)#band-select client-Rssi 50（配置客户端的信号强度门限）
DCWS(config-wireless)#wids-security unknown-ap-managed-ssid（使能/关闭报告用管理的SSID检测未知的AP）

通过设置实现在 AC 断开网络连接时 AP 还能正常工作。

DCWS(config)#wireless
DCWS(config-wireless)#ap profile 1
DCWS(config-ap-profile)#ap escape（开启或关闭AP 逃生模式）
DCWS#wireless ap  profile apply 1(配完所有题目最后可以让ap上线)

DCBC：

在DCBC上配置，增加非admin 账户 DCBC123，密码TEST@123，该账户仅用于用户查询设备的日志信息和统计信息。

]

在DCBC上配置，使DCBC能够通过邮件方式发送告警信息，邮件服务器在服务器区， 邮件服务器地址为 smtp.163.com,端口号 25， 发件人为 test@163.com,用户为 test，密码 test，收件人为 dcn@163.com。

在DCBC 上配置，将 DCBC 的命令日志、事件日志、用户日志、黑名单日志信息发送到日志服务器，日志服务器IP:172.16.10.45。

在DCBC上配置未通过认证的用户不可以访问 DNS 和 Ping 服务；

WAF：

在WAF上配置，设备部署方式为透明模式。要求对内网HTTP服务器172.16.10.45/32进行安全防护。

在WAF上配置，防止暴力破解获取 www.test.com 网站的用户口令，通过限速的方法限速频率为 2 次每秒触发邮件告警告警并阻断。

在WAF上配置告警设置，当触发 HTTP 协议效验规则和防盗链规则攻击触发条件时发送邮件及短信给管理员，管理员邮件告警信息SMTP 服务器为 172.16.10.45，端口号为 25，接收者为test,主题为攻击触发；管理员短信告警信息接受者电话 13812345678,30 分钟发送一次告警，网关地址http://172.16.10.45,请求参数： ${MESSAGE}。

在公司总部的 WAF 上配置， WAF 设备的日志使用空间超过 75%每隔1 分钟进行一次弹幕弹窗，当DDoS 日志条数上限超过 500000 系统会自动清理前 10%的日志。

在WAF上配置，每天九点定时对公司网站（www.test.com）进行安全评估，扫描深度为 1。