競賽需要完成三個階段的任務，分別完成三個模塊，總分共計 1000分。三個模塊內容和分值分別是：
1.第一階段：模塊一 網絡平臺搭建與設備安全防護（180 分鐘，300 分）。
2.第二階段：模塊二 網絡安全事件響應、數字取證調查、應用程序安全（180 分鐘，300 分）。
3.第三階段：模塊三 網絡安全滲透、理論技能與職業(yè)素養(yǎng)（180分鐘，400 分）。
【注意事項】
1.第一個階段需要按裁判組專門提供的U 盤中的“XXX-答題模板” 提交答案。
第二階段請根據現場具體題目要求操作。
第三階段網絡安全滲透部分請根據現場具體題目要求操作，理論測試部分根據測試系統(tǒng)說明進行登錄測試。
2.所有競賽任務都可以由參賽選手根據基礎設施列表中指定的設備和軟件完成。

模塊一 網絡平臺搭建與設備安全防護

一、競賽內容

第一階段競賽內容包括：網絡平臺搭建、網絡安全設備配置與防護，共2個子任務。

競賽階段	任務階段	競賽任務	競賽時間	分值
第一階段網絡平臺搭建與設備安全防護	任務1	網絡平臺搭建	XX:XX-XX:XX	50
第一階段網絡平臺搭建與設備安全防護	任務2	網絡安全設備配置與防護	XX:XX-XX:XX	250
總分				300

二、競賽時長

本階段競賽時長為180分鐘，共300分。

三、注意事項

第一階段請按裁判組專門提供的U盤中的"XXX-答題模板"中的要求提交答案。選手需要在U盤的根目錄下建立一個名為"GWxx"的文件夾（xx用具體的工位號替代），所完成的"XXX-答題模板"放置在文件夾中作為競賽結果提交。

例如：08工位，則需要在U盤根目錄下建立"GW08"文件夾，并在"GW08"文件夾下直接放置第一個階段的所有"XXX-答題模板"文件。

【特別提醒】

只允許在根目錄下的"GWxx"文件夾中體現一次工位信息，不允許在其它文件夾名稱或文件名稱中再次體現工位信息，否則按作弊處理。

四 、賽項環(huán)境設置

1. 網絡拓撲圖

圖 1 網絡拓撲

2. IP 地址規(guī)劃表

第一階段 任務書

任務1網絡平臺搭建（50分）

題號	網絡需求
1	按照IP地址規(guī)劃表，對防火墻的名稱、各接口IP地址進行配置
2	按照IP地址規(guī)劃表，對三層交換機的名稱進行配置，創(chuàng)建VLAN并將相應接口劃入VLAN,對各接口IP地址進行配置
3	按照IP地址規(guī)劃表，對無線交換機的名稱進行配置，創(chuàng)建VLAN并將相應接口劃入VLAN,對接口IP地址進行配置
4	按照IP地址規(guī)劃表，對網絡日志系統(tǒng)的名稱、各接口IP地址進行配置
5	按照IP地址規(guī)劃表，對Web應用防火墻的名稱、各接口IP地址進行配置

任務2網絡安全設備配置與防護（250分）

1.RS和WS開啟telnet登錄功能，配置使用telnet方式登錄終端界面前顯示如下授權信息：“WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility”。

2.總部部署了一套網管系統(tǒng)實現對核心RS進行管理，網管系統(tǒng)IP為：172.16.100.21，讀團體值為：ABC2022，版本為V2C，RS Trap信息實時上報網管，當MAC地址發(fā)生變化時，也要立即通知網管發(fā)生的變化，每35s發(fā)送一次；

3.RS出口往返流量發(fā)送給NETLOG，由NETLOG對收到的數據進行用戶所要求的分析;

4.對RS上VLAN40 開啟以下安全機制：業(yè)務內部終端相互二層隔離，啟用環(huán)路檢測，環(huán)路檢測的時間間隔為10s，發(fā)現環(huán)路以后關閉該端口，恢復時間為30分鐘； 如私設DHCP服務器關閉該端口;防止ARP欺騙攻擊；

5.配置使總部VLAN10，30，40 業(yè)務的用戶訪問INTERNET往返數據流都經過FW進行最嚴格的安全防護; RS使用相關VPN技術，模擬INTERNET ,VPN名稱為INTERNET地址為 218.5.18.2；

6.WS與RS之間配置RIPng， 是VLAN30 與VLAN50 可以通過IPv6 通信；IPv6業(yè)務地址規(guī)劃如下，其它IPv6地址自行規(guī)劃：

業(yè)務	IPV6 地址
VLAN30	2001::30::254/64
VLAN50	2001::50::254/64

7.FW、RS、WS之間配置OSPF area 0 開啟基于鏈路的MD5 認證，密鑰自定義；

8.為了有效減低能耗，要求每天晚上 20:00 到早上 07:00 把RS端口指示燈全部關閉；如果RS的 11端口的收包速率超過 30000 則關閉此端口，恢復時間5 分鐘，并每隔10 分鐘對端口的速率進行統(tǒng)計；為了更好地提高數據轉發(fā)的性能，RS交換中的數據包大小指定為 1600字節(jié)；

9.為實現對防火墻的安全管理，在防火墻FW的Trust安全域開啟PING,HTTP，SNMP功能，Untrust安全域開啟SSH、HTTPS功能;

10.總部VLAN業(yè)務用戶通過防火墻訪問Internet時，復用公網IP：218.5.18.9、218.5.18.10；

11.遠程移動辦公用戶通過專線方式接入總部網絡，在防火墻FW上配置，采用SSL方式實現僅允許對內網VLAN 30 的訪問，用戶名密碼均為ABC2021，地址池參見地址表；

12.為了保證帶寬的合理使用，通過流量管理功能將引流組應用數據流，上行最小帶寬設置為 2M，下行最大帶寬設置為 4M;為凈化上網環(huán)境，要求在防火墻FW做相關配置，禁止無線用戶周一至周五工作時間9：00-18：00 的郵件內容中含有"病毒"、"賭博"的內容，且記錄日志；

13.在公司總部的NETLOG上配置，設備部署方式為旁路模式，并配置監(jiān)控接口與管理接口。增加非admin賬戶NETLOG2022，密碼NETLOG2022，該賬戶僅用于用戶查詢設備的日志信息和統(tǒng)計信息。使NETLOG能夠通過郵件方式發(fā)送告警信息，郵件服務器在服務器區(qū)，IP地址是 172.16.10.200，端口號25，賬號test，密碼test;NETLOG上配置SNMPv3，用戶名admin，MD5秘鑰adminABC，配置日志服務器與NTP服務器，兩臺服務器地址：172.16.10.200；

14.在公司總部的NETLOG上配置，監(jiān)控工作日（每周一到周五）期間PC1 網段訪問的URL中包含xunlei的HTTP訪問記錄，并且郵件發(fā)送告警。監(jiān)控PC2 網段所在網段用戶的即時聊天記錄。監(jiān)控內網所有用戶的郵件收發(fā)訪問記錄。

15.NETLOG配置應用及應用組"P2P視頻下載"，UDP協(xié)議端口號范圍65531-65631，在周一至周五 8：00-20：00 監(jiān)控內網中所有用戶的"P2P視頻下載"訪問記錄；

16.NETLOG配置對內網ARP數量進行統(tǒng)計，要求 30 分鐘為一個周期；NETLOG配置開啟用戶識別功能,對內網所有MAC地址進行身份識別；

17.NETLOG配置統(tǒng)計出用戶請求站點最多前20 排名信息，bn2022@chinaskills.com；

18.公司內部有一臺網站服務器直連到WAF，地址是RS上VLAN10 網段內的第五個可用地址，端口是 8080，配置將服務訪問日志、WEB防護日志、服務監(jiān)控日志信息發(fā)送syslog日志服務器，IP地址是服務器區(qū)內第六個可用地址，UDP的 514端口;

19.在公司總部的WAF上配置，阻止常見的WEB攻擊數據包訪問到公司內網服務器，防止某源IP地址在短時間內發(fā)送大量的惡意請求，影響公司網站正常服務。

20.大量請求的確認值是：10秒鐘超過 3000 次請求;編輯防護策略，定義HTTP請求體的最大長度為 256，防止緩沖區(qū)溢出攻擊;

21.WAF上配置開啟爬蟲防護功能，當爬蟲標識為 360Spider，自動阻止該行為；WAF上配置阻止用戶上傳ZIP、DOC、JPG、RAR格式文件;WAF上配置編輯防護策略，要求客戶機訪問內部網站時，禁止訪問*.bat的文件;

22.WAF上配置，使用WAF的漏洞立即掃描功能檢測服務器（172.16.10.100）的安全漏洞情況，要求包括信息泄露、SQL注入、跨站腳本編制;

23.在公司總部的WAF上配置，WAF設備的內存使用率超過 50%每隔5分鐘發(fā)送郵件和短信給管理，郵箱，手機13912345678；在公司總部的WAF上配置，將設備狀態(tài)告警、服務狀態(tài)告警信息通過郵件（發(fā)送到bn2022@digitalchina.com）及短信方式(發(fā)送到 13812345678)發(fā)送給管理員;

24.WS上配置DHCP，管理VLAN為VLAN101,為AP下發(fā)管理地址，保證完成AP注冊； 為無線用戶VLAN10,20, 有線用戶VLAN 30,40 下發(fā)IP地址；

25.在NETWORK下配置SSID，需求如下：
1、NETWORK 1下設置SSID ABC2021，VLAN10，加密模式為wpa-personal,其口令為ABCE2022；
2、NETWORK 2下設置SSID GUEST，VLAN20不進行認證加密,做相應配置隱藏該SSID；

26.NETWORK 1 開啟內置portal+本地認證的認證方式，賬號為ABC密碼為ABCE2022；

27.配置SSID GUEST每天早上 0 點到 6 點禁止終端接入; GUSET最多接入 10 個用戶，并對GUEST網絡進行流控，上行 1M，下行 2M；配置所有無線接入用戶相互隔離；

28.配置當AP上線，如果AC中儲存的Image版本和AP的Image版本號不同時，會觸發(fā)AP自動升級；配置AP發(fā)送向無線終端表明AP存在的幀時間間隔為 1秒；配置AP失敗狀態(tài)超時時間及探測到的客戶端狀態(tài)超時時間都為 2 小時；配置AP在脫離AC管理時依然可以正常工作；

29.為防止外部人員蹭網，現需在設置信號值低于 50%的終端禁止連接無線信號；為防止非法AP假冒合法SSID，開啟AP威脅檢測功能；

30.RS、WS運行靜態(tài)組播路由和因特網組管理協(xié)議第二版本；PC1 啟用組播，使用VLC工具串流播放視頻文件 1.mpg，組地址228.10.10.9，端口：5678，實現PC2 可以通過組播查看視頻播放。

31.在公司總部的BC上配置，設備部署方式為透明模式。增加非admin賬戶skills01，密碼skills01，該賬戶僅用于用戶查詢設備的日志信息和統(tǒng)計信息；要求對內網訪問Internet全部應用進行日志記錄。

32.在BC上配置激活NTP，本地時區(qū)+8:00，并添加NTP服務器名稱清華大學，域名為s1b.time.edu.cn。

33.BC配置內容管理，對郵件內容包含"比賽答案"字樣的郵件， 記錄且郵件報警。

34.BI監(jiān)控周一至周五工作時間VLAN40 用戶使用"迅雷"的記錄， 每天工作時間為 9:00-18:00。

35.在公司總部的WAF上配置，設備部署方式為透明模式。要求對內網HTTP服務器172.16.10.45/32 進行安全防護。

36.方便日志的保存和查看，需要在把WAF上攻擊日志、訪問日志、DDoS日志以JSON格式發(fā)給IP地址為 172.16.10.200 的日志服務器上。

37.在WAF上配置基礎防御功能，開啟SQL注入、XXS攻擊、信息泄露等防御功能，要求針對這些攻擊阻斷并發(fā)送郵件告警。

38.為防止 網站資源被其他網站利用，通過WAF對資源鏈接進行保護，通過Referer方式檢測，設置嚴重級別為中級，一經發(fā)現阻斷并發(fā)送郵件告警。

39.在公司總部的WAF上配置，編輯防護策略，定義HTTP請求體的最大長度為 256，防止緩沖區(qū)溢出攻擊。

40.對公司內網用戶訪問外網進行網頁關鍵字過濾，網頁內容包含"暴力""賭博"的禁止訪問。