在公司總部的DCFW上配置，連接互聯網的接口屬于WAN安全域、連接內網的接口屬于LAN安全域。（6分）（6分）1、接口IP地址（連接PC2：匹配參數表、連接DCFS：匹配參數表）2、接口安全域（連接PC2：WAN、連接DCFS：WAN）3、接口是否外網（連接PC2：否、連接DCFS：否）4、接口狀態（連接PC2：綠色、連接DCFS：綠色）在公司總部的DCFW上配置，開啟DCFW針對以下攻擊的防護功能：ICMP洪水攻擊防護、UDP洪水攻擊防護、SYN洪水攻擊防護、WinNuke攻擊防護、IP地址欺騙攻擊防護、IP地址掃描攻擊防護、端口掃描防護、PingofDeath攻擊防護、Teardrop攻擊防護、IP分片防護、IP選項、Smurf或者Fraggle攻擊防護、Land攻擊防護、ICMP大包攻擊防護、TCP選項異常、DNS查詢洪水攻擊防護、DNS遞歸查詢洪水攻擊防護。（6分）（3分）安全域LAN：全部啟用打勾；行為：丟棄（3分）安全域WAN：全部啟用打勾；行為：丟棄在公司總部的DCFW上新增2個用戶，用戶1（用戶名：User1；密碼：User.1）：只擁有配置查看權限，不能進行任何的配置添加與修改，刪除。用戶2（用戶名：User2；密碼：User.2）：擁有所有的查看權限，擁有除“用戶升級、應用特征庫升級、重啟設備、配置日志”模塊以外的所有模塊的配置添加與修改，刪除權限。（6分）（3分）User1：大小寫區分類型：審計管理員登錄方式：全部打勾（3分）User2：大小寫區分類型：配置管理員登錄方式：全部打勾在公司總部的DCFW上配置，內網可以訪問互聯網任何服務，互聯網不可以訪問內網。（6分）從LAN到WAN源地址、目的地址：AnyProfile：選Default；應用：Any缺省行為：拒絕在公司總部的DCFW上配置網頁內容過濾：內網用戶不能訪問互聯網網站：；（6分）（3分）規則集：Default（URL過濾：啟用）（3分）網頁內容過濾：選擇黑名單、黑名單列表：、勾選只允許通過域名訪問；在公司總部的DCFW上配置，使公司總部的DCST服務器可以通過互聯網被訪問，從互聯網訪問的地址是公網地址的第三個可用地址（公網IP地址段參考“賽場IP參數表”），且僅允許PC-2通過互聯網訪問DCST設備。（6分）（3分）地址簿：（與參數表計算結果須一致）包含：公網地址的第三個可用地址；DCST（服務器場景）地址；PC2地址；（3分）端口映射：從：PC2IP（與參數表計算結果須一致）到：公網地址的第三個可用IP（與參數表計算結果須一致）應用：--轉換為：DCST（服務器場景）IP（與參數表計算結果須一致）在公司總部的DCFW上配置，使內網所有用戶網段和服務器區網段都可以通過DCFW外網接口IP地址訪問互聯網。（6分）（3分）地址簿：（與參數表計算結果須一致）包含：直連終端用戶段IPPC1所在網段IPPC3所在網段IPDCST（服務器場景）所在網段IP防火墻外網接口IP（3分）從：直連終端用戶段IPPC1所在網段IPPC3所在網段IPDCST所在網段IP到：Any出接口：防火墻外網接口轉換為：防火墻外網接口IP模式：動態端口為了保證正常工作，在公司總部的DCFW上配置：對于上班時間（8：00-17：00）公司總部內網瀏覽Internet網頁，連接總數不超過2000；（6分）（3分）時間表狀態：活躍周期計劃：周一至五（8：00-17：00）（3分）會話限制：安全域：LAN源目IP：Any應用：HTTP時間表：調用上一步配置的時間表類型：會話數2000在公司總部的DCFW上配置，使內網訪問Internet網站時，不允許訪問MSI(.msi)、EXE(.exe)、COM(.com)、(.bat)類型的文件。（6分）（3分）規則集：Default（啟用文件類型過濾）（3分）網頁內容過濾->文件類型過濾：拒絕：MSI(.msi)、EXE(.exe)、COM(.com)、(.bat)允許：其它在公司總部的DCFW上配置，使內網向Internet發送郵件，或者從Internet接收郵件時，不允許郵件攜帶附件大于50MB。（6分）（3分）規則集：Default（啟用郵件附件過濾）（3分）郵件過濾->郵件附件設置：51200在公司總部的DCFW上啟用L2TPVPN，使分支機構通過L2TPVPN撥入公司總部，訪問內網的所有信息資源。L2TPVPN地址池x.x.x.x/x（具體IP地址參考“賽場IP參數表”）。（6分）L2TPVPN：啟用綁定IP：連接PC2接口IP加密方式：Any本地地址：參數表計算后L2TPVPN地址池中第1個IP減1地址池：參數表計算后L2TPVPN地址池中第1個至最后1個IP（2分）專門為L2TP新建一個用戶（使用已存在用戶不得分）常規->目的地址：Firewall連接PC2接口IP安全：類型：L2TP/IPSec數據加密：不允許加密允許使用協議：PAP、CHAP、MS-CHAP（4分）使用WIN7物理機撥號成功后CMD.exeIpconfig輸出截圖：同時包含：1、物理接口IP（參數表中計算后PC2地址）2、撥號后成功的IP（L2TP地址池中的IP）在公司總部的DCFW上啟用SSLVPN，使分支機構通過SSLVPN撥入公司總部，訪問內網的所有信息資源。SSLVPN地址池x.x.x.x/x（具體IP地址參考“賽場IP參數表”）。（6分）資源配置：資源名稱（任意）->參數表中內網網段地址；資源關聯：專門為SSLVPN新建的用戶->資源名稱（上一步）實例配置：實例名稱（任意）->防火墻外網接口->SSLVPN端口號->認證方式（用戶名/密碼）客戶端下載配置：啟用打勾；服務器端口：不同于SSLVPN端口（2分）安裝SSLVPN客戶端在WindowsXP虛擬機下安裝、撥號；獲得路由和SSLVPN資源網段IP一致；（4分）在PC2運行Wireshark分別對L2TPVPN和SSLVPN訪問內網的流量進行捕獲，并對以上兩種流量進行對比分析區別。（6分）L2TPVPN流量分析：明文流量，如該流量被抓包，可以通過Sniffer對該流量進行數據分析；（3分）SSLVPN流量分析：加密流量，如該流量被抓包，通過Sniffer無法直接對該流量進行數據分析，所以使用SSLVPN對于信息安全更加有保障；（3分）在公司總部的DCFS上配置，使其連接DCFW防火墻和DCRS交換機之間的接口實現二層互通。（6分）內網接口、外網接口屬于同一個網橋ID（6分）在公司總部的DCFS上配置，使DCFS能夠對由公司內網發起至Internet的流量實現以下操作：會話保持、應用分析、主機統計、會話限制、會話日志。（6分）內網接口、外網接口放入不同的安全域（3分）內網安全域設置屬性：會話保持、應用分析、主機統計、會話限制、會話日志；（3分）在公司總部的DCFS上配置，使工作日內（每周一至周五），阻止PC-1訪問迅雷相關應用，并返回TCPReset數據包。（6分）時間表：周一至五控制策略->應用訪問控制：名稱：任意操作：攔截、攔截返回：RST接口：內網->外網時間：調用上一步時間表高級：規則生效打勾（3分）迅雷相關應用：Xunlei、Xunlei-Web（2分）創建PC1地址對象（根據計算后的參數表）來源勾選PC1地址對象（1分）在公司總部的DCFS上配置，實現公司內網每用戶訪問Internet帶寬上限為1Mbps，全部用戶訪問Internet帶寬上限為100Mbps。（6分）帶寬通道管理：接口帶寬：100M終端設置：1M（3分）帶寬分配策略：帶寬通道：上一步創建的通道（與上一步通道名一致）服務：勾選“服務不包含對象”不勾選任何類型的服務（3分）在題目15條件的基礎之上，繼續在在公司總部的DCFS上配置，實現公司內網每用戶訪問Internet的FTP服務帶寬上限為512Kbps，全部用戶訪問Internet的FTP服務帶寬上限為20Mbps。（6分）子通道管理：（截圖）為本任務題目17創建的通道新建子通道；子通道帶寬上限：20M子通道終端設置：512K（3分）帶寬分配策略：帶寬通道：與上一步子通道名稱一致接口：內網至外網不勾選“服務不包含對象”勾選“FTP”在公司總部的DCBI上配置，設備部署方式為旁路模式，并配置監控接口。（6分）部署方式：旁路連接DCRSSPANDestinationInterface連接的Netlog的接口；IP地址/子網掩碼：接口狀態：啟用監控狀態：監控在公司總部的DCRS交換機上配置SPAN，使內網經過DCRS交換機的全部流量均交由DCBI分析。（6分）源端口：除了連接Netlog的全部接口目的接口：連接Netlog的接口源、目的：SessionID一致monitorsession1sourceinterfaceEthernet1/0/4;1/0/5;1/0/9;1/0/15;1/0/16;1/0/17;1/0/18rxmonitorsession1sourceinterfaceEthernet1/0/4;1/0/5;1/0/9;1/0/15;1/0/16;1/0/17;1/0/18txmonitorsession1destinationinterfaceEthernet1/0/6（6分）在公司總部的DCBI上配置，監控內網所有用戶的即時聊天記錄。（6分）規則配置：應用類別：即時聊天應用項目：全部時間對象：任意匹配動作：記錄規則對象：IP地址IP+掩碼：內網整個網段IP、掩碼（由參數表給定）（3分）（3分）規則內容：即時聊天狀態：激活在公司總部的DCBI上配置，監控內網所有用戶的網站訪問記錄。（6分）規則配置：應用類別：網站訪問應用項目：全部時間對象：任意匹配動作：記錄規則對象：IP地址IP+掩碼：內網整個網段IP、掩碼（由參數表給定）（3分）規則內容：網站訪問狀態：激活（3分）在公司總部的DCRS交換機上運行SSH服務，客戶端PC1運行支持SSH2.0標準的客戶端軟件如SecureShellClient或Putty，使用用戶名和密碼方式登錄交換機。（6分）配置截圖包含（黃色部分）：vlan20InterfaceEthernet1/0/9switchportaccessvlan20interfaceVlan20ipaddress42（VLAN20的IP與參數表匹配）ssh-serverenableusernamesshuserprivilege15password0sshuser（為SSH新建用戶、privilege15）（3分）Ipconfig顯示PC1的IP地址信息（匹配參數表）在XP下實現（由于Putty安裝在XP）通過Putty進入至交換機特權模式Putty連接IP地址：等于VLAN20的IP地址（3分）在公司總部的DCRS交換機上啟動SSL功能，客戶端PC1通過瀏覽器客戶端通過https登錄交換機時，交換機和瀏覽器客戶端進行SSL握手連接，形成安全的SSL連接通道，從而保證通信的私密性。（6分）配置截圖包含（黃色部分）：iphttpsecure-serverusernamessluserprivilege15password0ssluser（為SSL新建的用戶、privilege15）（3分）通過Https訪問交換機的配置界面；（地址欄包含：https://VLAN20的IP地址）客戶端的IP匹配上一個題目中PC1的IP地址（一致）（3分）在公司總部的DCRS上配置除內網IP地址段的RFC3330過濾來限制源IP欺騙攻擊。（6分）配置截圖包含（黃色部分）：firewallenable（1分）ipaccess-liststandardXXX（任意）deny55deny55deny55deny55deny55deny55deny55deny55deny55deny55deny55deny55deny55//deny55為內網IP地址段；如未排除內網IP地址段扣除2分；deny55deny55deny55deny55permitany-sourceexit（4分）InterfaceEthernet1/0/5ipaccess-groupXXX（與上一步ACL名稱一致）in//連接DCFS的接口應用該列表（1分）在公司總部的DCRS上配置，VLAN110用戶可通過DHCP的方式獲得IP地址，在交換機上配置DHCPServer，地址池名稱為pool110，DNS地址為0，租期為8天，VLAN110網段最后20個可用地址（DHCP地址段參考“賽場IP參數表”）不能被動態分配出去。（6分）配置截圖包含（黃色部分）：servicedhcp（1分）ipdhcpexcluded-address8100（該段IP需要匹配參數表中DCRS地址池中后20個IP地址）（1分）ipdhcppoolpool110network-address//匹配參數表中VLAN110的IP網絡號和掩碼lease800default-router00//匹配參數表，與VLAN110的IP一致dns-server0（2分）interfaceVlan110ipaddress00//匹配參數表，與地址池DefaultRouter一致（2分）配置公司總部的DCRS，防止來自VLAN110接口的DHCP地址池耗盡攻擊。（6分）配置截圖包含（黃色部分）：ipdhcpsnoopingenableipdhcpsnoopingvlan110ipdhcpsnoopinglimit-rate（該數值任意）配置公司總部的DCRS，防止來自VLAN110接口的DHCP服務器假冒攻擊。（6分）#showvlan（截圖顯示出每一個VLAN110內部的接口）配置截圖包含（黃色部分）：每一個VLAN110內部的接口配置：noipdhcpsnoopingtrustipdhcpsnoopingactionblackholerecovery（該數值任意）在公司總部的DCRS上配置端口環路檢測（LoopbackDetection），防止來自接口下的單端口環路，并配置存在環路時的檢測時間間隔為50秒，不存在環路時的檢測時間間隔為20秒（6分）配置截圖包含（黃色部分）：loopback-detectioninterval-time5020（6分）在公司總部的DCRS上配置，需要在交換機第10個接口上開啟基于MAC地址模式的認證，認證通過后才能訪問網絡，認證服務器連接在服務器區，IP地址是服務器區內第105個可用地址（服務器區IP地址段參考“賽場IP參數表”），radiuskey是dcn。（6分）配置截圖包含（黃色部分）：aaaenabledot1xenable（2分）radius-serverkey0dcnradius-serverauthenticationhost05（與參數表一致：服務器場景網段內第105個可用地址）（2分）InterfaceEthernet1/0/10dot1xenabledot1xport-methodmacbased（2分）黑客主機接入直連終端用戶VLAN110，通過RIPV2路由協議向DCRS注入度量值更低的外網路由，從而代理內網主機訪問外網，進而通過Sniffer來分析內網主機訪問外網的流量（如賬號、密碼等敏感信息）。通過在DCRS上配置HMAC，來阻止以上攻擊的實現。（認證Key須使用KeyChain實現）（6分）DCFW的RIPV2配置：防火墻啟用RIP：RIP開關勾選；版本：2接口打勾：內網、外網（1分）DCRS的RIPV2配置：配置截圖包含（黃色部分）：routerripnetwork/24network/29//不敲Version2//Network：VLAN110IP網絡號/前綴（參數表計算結果）//Network：與DCFW之間的網絡號/前綴（參數表計算結果）（1分）DCRS的HMAC配置：配置截圖包含（黃色部分）：interfaceVlan110ipripauthenticationmodemd5ipripauthenticationkey-chain（名稱任意）（3分）keychaindcn（匹配上一步key-chain名稱）key10（任意）key-stringdcn1234567890（任意）（1分）為方便公司總部網絡規模擴展，將公司總部的DCRS交換機的24端口配置為Trunk模式，用于將來繼續連接其它的交換機，配置公司總部的DCRS，使其能夠防御由此帶來VLANHopping（VLAN跳躍）攻擊。（6分）得分點：設置一個專門的VLAN，將其設置為Trunk接口的NativeVLAN；并且不把DCRS交換機的任何接口加入到這個VLAN；配置截圖包含（黃色部分）：VlanX（不等于1）（1分）InterfaceEthernet1/0/24switchportmodetrunk（1分）switchporttrunknativevlanX（2分）#showvlan截圖VLANX中除了24接口之外沒有任何接口；（2分）配置公司總部的DCRS，通過gratuitousARP來抵御來自VLAN110接口的針對網關的ARP欺騙攻擊。（6分）配置截圖包含（黃色部分）：interfaceVlan110ipgratuitous-arp（6分）配置公司總部的DCRS，通過ARPGuard來抵御來自VLAN110接口的針對網關的ARP欺騙攻擊。（6分）#showvlan（截圖顯示出每一個VLAN110內部的接口）配置截圖包含（黃色部分）：將VLAN110中全部接口配置：arp-guardip00（與參數表VLAN110的IP地址一致）（6分）配置公司總部的DCRS，防止對公司總部服務器的以下3類DOS（DenialOfService）攻擊：ICMPFlood攻擊、LAND攻擊、SYNFlood攻擊。（6分）配置截圖包含（黃色部分）：dosattack-checkicmp-attackingenable（2分）dosattack-checksrcip-equal-dstipenable（2分）dosattack-checktcp-flagsenable（2分）配置公司總部的DCRS，通過控制平面（ControlPlane）策略，防止DCRS受到來自于VLAN110接口的D