2. IP 地址規(guī)劃表

第一階段 任務(wù)書

任務(wù)1網(wǎng)絡(luò)平臺搭建（50分）

任務(wù)2網(wǎng)絡(luò)安全設(shè)備配置與防護（250分）

1.RS和WS開啟telnet登錄功能，配置使用telnet方式登錄終端界面前顯示如下授權(quán)信息：“WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsibility”。

2.總部部署了一套網(wǎng)管系統(tǒng)實現(xiàn)對核心RS進行管理，網(wǎng)管系統(tǒng)IP為：172.16.100.21，讀團體值為：ABC2022，版本為V2C，RS Trap信息實時上報網(wǎng)管，當(dāng)MAC地址發(fā)生變化時，也要立即通知網(wǎng)管發(fā)生的變化，每35s發(fā)送一次；

3.RS出口往返流量發(fā)送給NETLOG，由NETLOG對收到的數(shù)據(jù)進行用戶所要求的分析;

4.對RS上VLAN40 開啟以下安全機制：業(yè)務(wù)內(nèi)部終端相互二層隔離，啟用環(huán)路檢測，環(huán)路檢測的時間間隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復(fù)時間為30分鐘； 如私設(shè)DHCP服務(wù)器關(guān)閉該端口;防止ARP欺騙攻擊；

5.配置使總部VLAN10，30，40 業(yè)務(wù)的用戶訪問INTERNET往返數(shù)據(jù)流都經(jīng)過FW進行最嚴(yán)格的安全防護; RS使用相關(guān)VPN技術(shù)，模擬INTERNET ,VPN名稱為INTERNET地址為 218.5.18.2；

6.WS與RS之間配置RIPng， 是VLAN30 與VLAN50 可以通過IPv6 通信；IPv6業(yè)務(wù)地址規(guī)劃如下，其它IPv6地址自行規(guī)劃：

7.FW、RS、WS之間配置OSPF area 0 開啟基于鏈路的MD5 認(rèn)證，密鑰自定義；

8.為了有效減低能耗，要求每天晚上 20:00 到早上 07:00 把RS端口指示燈全部關(guān)閉；如果RS的 11端口的收包速率超過 30000 則關(guān)閉此端口，恢復(fù)時間5 分鐘，并每隔10 分鐘對端口的速率進行統(tǒng)計；為了更好地提高數(shù)據(jù)轉(zhuǎn)發(fā)的性能，RS交換中的數(shù)據(jù)包大小指定為 1600字節(jié)；

9.為實現(xiàn)對防火墻的安全管理，在防火墻FW的Trust安全域開啟PING,HTTP，SNMP功能，Untrust安全域開啟SSH、HTTPS功能;

10.總部VLAN業(yè)務(wù)用戶通過防火墻訪問Internet時，復(fù)用公網(wǎng)IP：218.5.18.9、218.5.18.10；

11.遠(yuǎn)程移動辦公用戶通過專線方式接入總部網(wǎng)絡(luò)，在防火墻FW上配置，采用SSL方式實現(xiàn)僅允許對內(nèi)網(wǎng)VLAN 30 的訪問，用戶名密碼均為ABC2021，地址池參見地址表；

12.為了保證帶寬的合理使用，通過流量管理功能將引流組應(yīng)用數(shù)據(jù)流，上行最小帶寬設(shè)置為 2M，下行最大帶寬設(shè)置為 4M;為凈化上網(wǎng)環(huán)境，要求在防火墻FW做相關(guān)配置，禁止無線用戶周一至周五工作時間9：00-18：00 的郵件內(nèi)容中含有"病毒"、"賭博"的內(nèi)容，且記錄日志；

13.在公司總部的NETLOG上配置，設(shè)備部署方式為旁路模式，并配置監(jiān)控接口與管理接口。增加非admin賬戶NETLOG2022，密碼NETLOG2022，該賬戶僅用于用戶查詢設(shè)備的日志信息和統(tǒng)計信息。使NETLOG能夠通過郵件方式發(fā)送告警信息，郵件服務(wù)器在服務(wù)器區(qū)，IP地址是 172.16.10.200，端口號25，賬號test，密碼test;NETLOG上配置SNMPv3，用戶名admin，MD5秘鑰adminABC，配置日志服務(wù)器與NTP服務(wù)器，兩臺服務(wù)器地址：172.16.10.200；

14.在公司總部的NETLOG上配置，監(jiān)控工作日（每周一到周五）期間PC1 網(wǎng)段訪問的URL中包含xunlei的HTTP訪問記錄，并且郵件發(fā)送告警。監(jiān)控PC2 網(wǎng)段所在網(wǎng)段用戶的即時聊天記錄。監(jiān)控內(nèi)網(wǎng)所有用戶的郵件收發(fā)訪問記錄。

15.NETLOG配置應(yīng)用及應(yīng)用組"P2P視頻下載"，UDP協(xié)議端口號范圍65531-65631，在周一至周五 8：00-20：00 監(jiān)控內(nèi)網(wǎng)中所有用戶的"P2P視頻下載"訪問記錄；

16.NETLOG配置對內(nèi)網(wǎng)ARP數(shù)量進行統(tǒng)計，要求 30 分鐘為一個周期；NETLOG配置開啟用戶識別功能,對內(nèi)網(wǎng)所有MAC地址進行身份識別；

17.NETLOG配置統(tǒng)計出用戶請求站點最多前20 排名信息，bn2022@chinaskills.com；

18.公司內(nèi)部有一臺網(wǎng)站服務(wù)器直連到WAF，地址是RS上VLAN10 網(wǎng)段內(nèi)的第五個可用地址，端口是 8080，配置將服務(wù)訪問日志、WEB防護日志、服務(wù)監(jiān)控日志信息發(fā)送syslog日志服務(wù)器，IP地址是服務(wù)器區(qū)內(nèi)第六個可用地址，UDP的 514端口;

19.在公司總部的WAF上配置，阻止常見的WEB攻擊數(shù)據(jù)包訪問到公司內(nèi)網(wǎng)服務(wù)器，防止某源IP地址在短時間內(nèi)發(fā)送大量的惡意請求，影響公司網(wǎng)站正常服務(wù)。

20.大量請求的確認(rèn)值是：10秒鐘超過 3000 次請求;編輯防護策略，定義HTTP請求體的最大長度為 256，防止緩沖區(qū)溢出攻擊;

21.WAF上配置開啟爬蟲防護功能，當(dāng)爬蟲標(biāo)識為 360Spider，自動阻止該行為；WAF上配置阻止用戶上傳ZIP、DOC、JPG、RAR格式文件;WAF上配置編輯防護策略，要求客戶機訪問內(nèi)部網(wǎng)站時，禁止訪問*.bat的文件;

22.WAF上配置，使用WAF的漏洞立即掃描功能檢測服務(wù)器（172.16.10.100）的安全漏洞情況，要求包括信息泄露、SQL注入、跨站腳本編制;

23.在公司總部的WAF上配置，WAF設(shè)備的內(nèi)存使用率超過 50%每隔5分鐘發(fā)送郵件和短信給管理，郵箱，手機13912345678；在公司總部的WAF上配置，將設(shè)備狀態(tài)告警、服務(wù)狀態(tài)告警信息通過郵件（發(fā)送到bn2022@digitalchina.com）及短信方式(發(fā)送到 13812345678)發(fā)送給管理員;

24.WS上配置DHCP，管理VLAN為VLAN101,為AP下發(fā)管理地址，保證完成AP注冊； 為無線用戶VLAN10,20, 有線用戶VLAN 30,40 下發(fā)IP地址；

25.在NETWORK下配置SSID，需求如下：
1、NETWORK 1下設(shè)置SSID ABC2021，VLAN10，加密模式為wpa-personal,其口令為ABCE2022；
2、NETWORK 2下設(shè)置SSID GUEST，VLAN20不進行認(rèn)證加密,做相應(yīng)配置隱藏該SSID；

26.NETWORK 1 開啟內(nèi)置portal+本地認(rèn)證的認(rèn)證方式，賬號為ABC密碼為ABCE2022；

27.配置SSID GUEST每天早上 0 點到 6 點禁止終端接入; GUSET最多接入 10 個用戶，并對GUEST網(wǎng)絡(luò)進行流控，上行 1M，下行 2M；配置所有無線接入用戶相互隔離；

28.配置當(dāng)AP上線，如果AC中儲存的Image版本和AP的Image版本號不同時，會觸發(fā)AP自動升級；配置AP發(fā)送向無線終端表明AP存在的幀時間間隔為 1秒；配置AP失敗狀態(tài)超時時間及探測到的客戶端狀態(tài)超時時間都為 2 小時；配置AP在脫離AC管理時依然可以正常工作；

29.為防止外部人員蹭網(wǎng)，現(xiàn)需在設(shè)置信號值低于 50%的終端禁止連接無線信號；為防止非法AP假冒合法SSID，開啟AP威脅檢測功能；

30.RS、WS運行靜態(tài)組播路由和因特網(wǎng)組管理協(xié)議第二版本；PC1 啟用組播，使用VLC工具串流播放視頻文件 1.mpg，組地址228.10.10.9，端口：5678，實現(xiàn)PC2 可以通過組播查看視頻播放。

31.在公司總部的BC上配置，設(shè)備部署方式為透明模式。增加非admin賬戶skills01，密碼skills01，該賬戶僅用于用戶查詢設(shè)備的日志信息和統(tǒng)計信息；要求對內(nèi)網(wǎng)訪問Internet全部應(yīng)用進行日志記錄。

32.在BC上配置激活NTP，本地時區(qū)+8:00，并添加NTP服務(wù)器名稱清華大學(xué)，域名為s1b.time.edu.cn。

33.BC配置內(nèi)容管理，對郵件內(nèi)容包含"比賽答案"字樣的郵件， 記錄且郵件報警。

34.BI監(jiān)控周一至周五工作時間VLAN40 用戶使用"迅雷"的記錄， 每天工作時間為 9:00-18:00。

35.在公司總部的WAF上配置，設(shè)備部署方式為透明模式。要求對內(nèi)網(wǎng)HTTP服務(wù)器172.16.10.45/32 進行安全防護。

36.方便日志的保存和查看，需要在把WAF上攻擊日志、訪問日志、DDoS日志以JSON格式發(fā)給IP地址為 172.16.10.200 的日志服務(wù)器上。

37.在WAF上配置基礎(chǔ)防御功能，開啟SQL注入、XXS攻擊、信息泄露等防御功能，要求針對這些攻擊阻斷并發(fā)送郵件告警。

38.為防止 網(wǎng)站資源被其他網(wǎng)站利用，通過WAF對資源鏈接進行保護，通過Referer方式檢測，設(shè)置嚴(yán)重級別為中級，一經(jīng)發(fā)現(xiàn)阻斷并發(fā)送郵件告警。

39.在公司總部的WAF上配置，編輯防護策略，定義HTTP請求體的最大長度為 256，防止緩沖區(qū)溢出攻擊。

40.對公司內(nèi)網(wǎng)用戶訪問外網(wǎng)進行網(wǎng)頁關(guān)鍵字過濾，網(wǎng)頁內(nèi)容包含"暴力""賭博"的禁止訪問。