三级使用得系统版本及软件和镜像版本见附件图片(考试题目原题+环境镜像)
一、路由器、交换机安全加固(模拟题A)
准考证号:
试题代码: 1.1.1
试题名称: 路由器、交换机安全加固考核时间: 20min
1. 场地设备要求
- 交换机一台
- 路由器一台
- 两台 linux (用户:root 密码:P@ssw0rd)
2.工作任务
对路由器 RT 与交换机 SW 进行安全加固,逻辑拓扑图如下图如示:
具体要求如下(真实考试环境为Linux下GNS3原理一样):
- 在 GNS3 中打开项目 1.1.1;
- 开启 Switch 上的 SSH 服务以加密登录通信,创建用户 Inspc 密码为P@ssw0rd,用户登录后,可以完全管理交换机;
- 配置 Switch acl 策略 , 实 现 仅 允许 Linux-B 192.168.11.1 ping 通172.16.1.1 ,拒绝 192.168.10.1 到 172.16.1.1 的流量 ;
- 配置 Router acl 策略,实现拒绝 192.168.10.1 到 192.168.11.1 的流量;
- 设置完成后,在 Switch 和 Router 上分别保存当前配置文件,并导出到路径“/home/gns3/Documents/”内,交换机 Switch 的配置文件名为“Switch_private-config.cfg”及“Switch_startup-config.cfg”,路由器 Router 的 配 置 文 件 名 为 “Router_private-config.cfg” 及“Router_startup- config.cfg”。
3.技能要求
- 能配置交换机 SSH 服务以加密登录通信;
- 能配置交换机 acl 策略并限制相应的通信流量;
- 能配置路由器 acl 策略并限制相应的通信流量;
- 能保存配置文件;
4.质量指标
- 正确配置交换机 SSH 服务以加密登录通信;
- 正确配置交换机 acl 策略并限制相应的通信流量;
- 正确配置路由器 acl 策略并限制相应的通信流量;
- 正确保存配置文件;
答案:
enable
config terminal
line vty 0 15
login local
transport input ssh
privilege level 15
exit
hostname sansuo
username Inspc privilege 15 secret P@ssw0rd
ip domain-name sansuo
crypto key generate rsa
1024
ip ssh version 2
---------------------------------
access-list 110 permit icmp host 192.168.11.1 host 172.16.1.1
access-list 110 deny ip host 192.168.10.1 host 192.168.1.1
interface e0/0
ip access-group 110 in
write Switch_private-config.cfg
write Switch_startup-config.cfg
---------------------------------
access-list 110 deny ip host 192.168.10.1 host 192.168.11.1
access-list 110 permit ip any any
interface e0/1
ip access-group 110 in
write Router_private-config.cfg
write Router_startup-config.cfg
二、路由器、交换机安全加固(模拟题A)
准考证号:
试题代码: 1.2.2
试题名称: Windows 防火墙和远程访问安全配
考核时间: 20min
1. 场地设备要求
计算机一台
Windows Server 2016虚拟机
2.工作任务
公司新增一台服务器用来运行独立的业务系统,该系统为了安全只需要开放远程桌面进行管理,你作为网络安全防护人员需要对服务器进行相关配置。相关用户账户已配置完毕,你仅需对以下具体要求进行设置:
(1)开启远程桌面,并授权 remote 账户进行远程桌面访问;(答案见截图)
(2) 禁止 remote 账户本地登录,取消 remote 账户远程关机权限并将电源对话框中的“断开连接”选项隐藏;
开始—运行,输入“gpedit.msc”,打开本地组策略编辑器。
计算机配置\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\远程会话环境
从“关机”对话框删除“断开连接”选项
●启用 在“关机”对话框中删除“关机”和重新启动。以防止不熟悉的管理员意外把远程桌面服务器关机或重启。
●禁用 “关机”对话框无改变
(3)设置远程桌面连接无时间限制;
运行gpedit.msc
(4)开放远程桌面 3389 端口的进出站连接,阻止 139、445 共享端口以及系统高危端口 137、138 端口的入站连接,以端口号命名规则;
举一个例子其他同理。
(5) 在防火墙入站规则中,禁止预定义的文件和打印机共享连接。全部禁用
3.技能要求
- 开启远程桌面服务;
- 配置远程桌面安全策略;
- 配置防火墙端口出入站规则。
4.质量指标
- 正确开启远程桌面服务;
- 正确配置远程桌面安全策略;
- 正确配置防火墙端口出入站规则;
三、防火墙安全配置(模拟题A)
考证号:
试题代码:2.1.1
试题名称:防火墙安全配置考核时间:20 min
1.场地设备要求
平台环境
2.工作任务
EBusines 公司为保护业务信息安全,购置了 WEB 应用防火墙,网络拓扑如图所示。防火墙的管理员账户信息:root/opnsense。
根据公司网络安全需求,需通过防火墙进行网络访问控制管理,请完成以下配置:
(1) 在 GNS3 中打开项目 2.1.1;
(2) 设置各接口 IP 地址;
虚拟机中可配置不同接口的ip地址(考试环境中是Linux下GNS3下得可以访问192.168.122.100图形化配置更为简单快捷,本地搭建得环境192.168.1.100考试是192.168.122.100)
配置防火墙安全规则(允许所有 IPv4 流量通过);
(4) 配置上游服务器保护站点描述为‘DVWA’,服务器为 WEB 服务器,优先级
1,最大连接数为 250,最大失败数为 5,失败超时为 10;(需要使用OS-nginx插件)
(4)配置上游描述‘DVWA-backend’,绑定服务器条目,其他保持默认;
(5) 配置 HTTP 本地描述为‘DVWA’,网址格式‘/’,在自定义策略中只勾选SQL 注入,其他保持默认;
(6)配置反向代理 HTTP 服务器,服务器名称为‘dvwa.example.net’,绑定位置,其他保持默认;
(7)配置更改 HTTPS 端口为 8443,并禁用 HTTP 重定向规则(端口 80)(注意此处指的是管理界面而非业务)
(8)修改管理密码为 Admin@123;
(9) 导出配置至“/home/gns3/Documents/”目录,文件名为“waf211.xml”。
3.技能要求
(1)配置各接口 IP;
(2)配置安全规则;
(3)配置保护站点;
(4)配置上游信息;
(5)绑定 WAF 策略;
(6)配置反向代理 HTTP 服务器;
(7)配置 HTTPS 端口;
(8)配置管理密码;
(9)导出当前配置文件;
4.质量指标
(1)正确配置各接口 IP;
(2)正确配置安全规则;
(3)正确配置保护站点;
(4)正确配置上游信息;
(5)正确绑定 WAF 策略;
(6)正确配置反向代理 HTTP 服务器;
(7)正确配置 HTTPS 端口;
(8)正确配置管理密码;
(9)正确导出当前配置文件;