网络安全设备配置与防护题库 （信息安全领域实战项目）.docxVIP

网络安全设备配置与防护题库

北京总公司和南京分公司有两条裸纤采用了骨干链路配置，做必要的配置，只允许必要的vlan通过，不允许其他vlan信息通过包含vlan1。

SW和AC开启telnet登录功能，telnet登录账户仅包含“***2023”，密码为明文“***2023”，采用telnet方式登录设备时需要输入enable密码，密码设置为明文“12345”。

北京总公司和南京分公司租用了运营商三条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，另外两条裸光纤承载其他内部有业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离，财务业务位于VPN实例名称CW内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用RIP路由实现互相访问。

SW和AC之间启用MSTP，实现网络二层负载均衡和冗余备份，要求如下：无线用户关联实例1，信息部门关联实例2，名称为SKILLS，修订版本为1，设置AC为根交换机，走5口链路转发、信息部门通过6口链路转发，同时实现链路备份。除了骨干接口，关闭其他接口生成树协议。

总公司产品部门启用端口安全功能，最大安全MAC地址数为20，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发snmptrap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间为10分钟；禁止采用访问控制列表，只允许IP主机位为20-50的数据包进行转发；禁止配置访问控制列表，实现端口间二层流量无法互通，组名称FW。

由于总公司出口带宽有限，需要在交换机上对总公司销售部门访问因特网http服务做流量控制，访问http流量最大带宽限制为20M比特/秒，突发值设为4M字节，超过带宽的该网段内的报文一律丢弃。

在SW上配置将8端口收到的源IP为11的帧重定向到9端口，即从8端口收到的源IP为11的帧通过9端口转发出去。

总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。

对SW上VLAN60开启以下安全机制：启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟；如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗。

配置使北京公司内网用户通过总公司出口BC访问因特网，分公司内网用户通过分公司出口FW访问因特网，要求总公司销售部门的用户访问因特网的流量往反数据流都要经过防火墙，在通过BC访问因特网;防火墙untrust和trust1开启安全防护，参数采用默认参数。

总部核心交换机上配置SNMP，引擎id分别为1；创建组GROUP2023，采用最高安全级别，配置组的读、写视图分别为：SKILLS_R、SKILLS_W；创建认证用户为USER2023，采用aes算法进行加密，密钥为Pass-1234，哈希算法为sha，密钥为Pass-1234；当设备有异常时，需要用本地的环回地址loopback1发送v3Trap消息至集团网管服务器9、采用最高安全级别；当财务部门对应的用户接口发生UPDOWN事件时，禁止发送trap消息至上述集团网管服务器。

总公司和分公司今年进行IPv6试点，要求总公司和分公司销售部门用户能够通过IPV6相互访问，IPV6业务通过租用裸纤承载。实现分公司和总公司ipv6业务相互访问；FW、AC与SW之间配置动态路由OSPFV3使总公司和分公司可以通过IPv6通信。

在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCPSERVER获取IPv6地址，在SW上开启IPV6dhcpserver功能。

在南京分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。

FW、SW、AC、BC之间配置OSPFarea0开启基于链路的MD5认证，密钥自定义，SW与AC手动配置INTERNET默认路由，让总公司和分公司内网用户能够相互访问包含AC上loopback1地址。

分公司销售部门通过防火墙上的DHCPSERVER获取IP地址，serverIP地址为54，地址池范围0-00，dns-server。

如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。

为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启SSH、HTTPS功能。

在分部防火墙上配置，分部VLAN业务用户通过防火墙访