目录
竞赛说明
一、竞赛内容分布
二、竞赛注意事项
网络搭建及安全部署项目
项目简介
网络拓扑
网络设备IP地址分配表
一、交换配置
二、路由配置
三、无线配置
四、安全配置
服务器配置及应用项目
一、云平台配置
二、Windows服务配置
(一)域服务
(二)组策略
(三)文件共享
(四)Web服务
(五)Ftp服务
(六)PowerShell脚本
三、Linux服务配置
(一)Dns服务
(二)Rsyslog服务
(三)Ftp服务
(四)Tomcat服务
(五)Postgresql服务
(六)Redis服务
(七)Kubernetes服务
(八)Python脚本
竞赛说明
一、竞赛内容分布
竞赛共分二个模块,其中:
第一模块:网络搭建及安全部署项目
第二模块:服务器配置及应用项目
二、竞赛注意事项
1.禁止携带和使用移动存储设备、计算器、通信工具及参考资料。
2.请根据大赛所提供的比赛环境,检查所列的硬件设备、软件及文档清单、材料清单是否齐全,计算机设备是否能正常使用。
3.请参赛选手仔细阅读赛卷,按照要求完成各项操作。
4.操作过程中,需要及时保存配置。
5.比赛结束后,所有设备保持运行状态,评判以最后的硬件连接和提交文档为最终结果。禁止将比赛所用的所有物品(包括赛卷)带离赛场。
6.禁止在纸质资料、比赛设备和电脑桌上作任何与竞赛无关的标记,如违反规定,可视为0分。
7.与比赛相关的软件和文档存放在物理机的D:\soft文件夹中。
8.请在物理机PC1桌面上新建“XXX”文件夹作为“选手目录”(XXX为赛位号。举例:1号赛位,文件夹名称为“001”),用以保存按照“竞赛结果提交指南.txt”要求生成的全部结果文档。
9.云平台web网址http://192.168.100.100/dcncloud,登录管理员为admin,密码为admin。
10.windows/linux虚拟机中Administrator/root用户密码为Pass-1234,题目中所有未指定的密码均用该密码。
11.虚拟主机的IP地址必须手动设置为该虚拟机自动获取的IP地址。
12.所有服务器要求虚拟机系统重新启动后,均能正常启动和使用。
13.使用完全合格域名访问网络资源。
网络搭建及安全部署项目
项目简介
某集团公司原在北京建立了总公司,后在成都建立了分公司,广东设立了办事处。集团设有产品、营销、法务、财务、人力5个部门,全网采用OSPF、RIP、ISIS、BGP路由协议进行互联互通。
为了更好管理数据,提供服务,集团在北京建立两个数据中心,在贵州建立异地灾备数据中心,以达到快速、可靠交换数据,更好的服务于公司客户。
公司网络结构详见网络拓扑图。SW1和SW2作为集团北京核心交换机;SW3作为贵州DC核心交换机;FW1作为集团互联网出口防火墙;FW2作为办事处防火墙;RT1作为集团核心路由器;RT2作为分公司路由器;AC1作为分公司的无线控制器,与AP1实现分公司无线覆盖。
网络拓扑
网络设备IP地址分配表
设备名称
|
设备接口
|
IP地址
—|—|—
SW1
|
Loopback1 OSPF BGP
|
10.10.1.1/32
2001:10:10:1::1/128
Loopback2
|
10.10.1.2/32
2001:10:10:1::2/128
Vlan10
|
10.10.11.1/24
2001:10:10:11::1/64
Vlan20
|
10.10.21.1/24
2001:10:10:21::1/64
Vlan30
|
10.10.31.1/24
2001:10:10:31::1/64
Vlan40
|
10.10.41.1/24
2001:10:10:41::1/64
Vlan50
|
10.10.51.1/24
2001:10:10:51::1/64
Vlan60
|
10.10.60.1/24
2001:10:10:60::1/64
Vlan70
|
10.10.70.1/24
2001:10:10:70::1/64
Vlan80
|
10.10.80.1/24
2001:10:10:80::1/64
Vlan90
|
10.10.90.1/24
2001:10:10:90::1/64
Vlan1021
|
10.10.255.14/30
Vlan1022
|
10.10.255.5/30
Vlan1026
|
10.10.255.1/30
Vlan1027 VPN
|
10.10.255.1/30
SW2
|
Loopback1 OSPF BGP
|
10.10.2.1/32
2001:10:10:2::1/128
Loopback2
|
10.10.2.2/32
2001:10:10:2::2/128
Vlan10
|
10.10.12.1/24
2001:10:10:12::1/64
Vlan20
|
10.10.22.1/24
2001:10:10:22::1/64
Vlan30
|
10.10.32.1/24
2001:10:10:32::1/64
Vlan40
|
10.10.42.1/24
2001:10:10:42::1/64
Vlan50
|
10.10.52.1/24
2001:10:10:52::1/64
Vlan60
|
10.10.60.2/24
2001:10:10:60::2/64
Vlan70
|
10.10.70.2/24
2001:10:10:70::2/64
Vlan80
|
10.10.80.2/24
2001:10:10:80::2/64
Vlan90
|
10.10.90.2/24
2001:10:10:90::2/64
Vlan1021
|
10.10.255.22/30
Vlan1022
|
10.10.255.9/30
Vlan1026
|
10.10.255.2/30
Vlan1027 VPN
|
10.10.255.2/30
SW3
|
Loopback1 OSPF BGP
|
10.10.3.1/32
2001:10:10:3::1/128
Vlan10
|
10.10.13.1/24
2001:10:10:13::1/64
Vlan20
|
10.10.23.1/24
2001:10:10:23::1/64
Vlan30
|
10.10.33.1/24
2001:10:10:33::1/64
Vlan50
|
10.10.53.1/24
2001:10:10:53::1/64
Vlan60
|
10.10.60.3/24
2001:10:10:60::3/64
Vlan70
|
10.10.70.3/24
2001:10:10:70::3/64
Vlan80
|
10.10.80.3/24
2001:10:10:80::3/64
Vlan90
|
10.10.90.3/24
2001:10:10:90::3/64
Vlan1021
|
10.10.255.6/30
Vlan1022
|
10.10.255.10/30
SW3模拟
办事处
|
Loopback2
|
10.10.3.2/32
2001:10:10:3::2/128
Vlan110
|
10.16.110.1/24
2001:10:16:110::1/64
Vlan120
|
10.16.120.1/24
2001:10:16:120::1/64
Vlan1015
|
10.10.255.46/30
SW3模拟
Internet
|
Loopback3
|
200.200.3.3/32
2001:200:200:3::3/128
Vlan1017
|
200.200.200.1/30
Vlan1018
|
200.200.200.5/30
AC1
|
Loopback1 OSPF
|
10.10.8.1/32
2001:10:10:8::1/128
Loopback2 RIP
|
10.10.8.2/32
2001:10:10:8::2/128
Loopback3
|
10.10.8.3/32
2001:10:10:8::3/128
Vlan100 无线管理
|
10.17.100.1/24
2001:10:17💯:1/64
Vlan110 无线2.4G 产品网络
|
10.17.110.1/24
2001:10:17:110::1/64
Vlan120 无线5G 营销网络
|
10.17.120.1/24
2001:10:17:120::1/64
Vlan1001
|
10.10.255.42/30
RT1
|
Loopback1 OSPF BGP MPLS
|
10.10.4.1/32
2001:10:10:4::1/128
Loopback2 RIP
|
10.10.4.2/32
2001:10:10:4::2/128
Loopback3 ISIS
|
10.10.4.3/32
2001:10:10:4::3/128
Loopback4 集团与办事处互联
|
10.10.4.4/32
2001:10:10:4::4/128
Loopback5 VPN财务
|
10.10.4.5/32
2001:10:10:4::5/128
G0/0
|
10.10.255.29/30
G0/1
|
10.10.255.21/30
G0/2
|
10.10.255.18/30
G0/3
|
10.10.255.25/30
S1/0
|
10.10.255.33/30
S1/1
|
10.10.255.37/30
RT2
|
Loopback1 OSPF BGP MPLS
|
10.10.5.1/32
2001:10:10:5::1/128
Loopback2 RIP
|
10.10.5.2/32
2001:10:10:5::2/128
Loopback3 ISIS
|
10.10.5.3/32
2001:10:10:5::3/128
Loopback4 ipsecVPN
|
10.10.5.4/32
2001:10:10:5::4/128
Tunnel4 ipsecVPN
|
10.10.255.50/30
Loopback5 VPN财务
|
10.10.5.5/32
2001:10:10:5::5/128
G0/0
|
10.10.255.30/30
G0/1
|
10.10.255.41/30
G0/3
|
200.200.200.6/30
S1/0
|
10.10.255.38/30
S1/1
|
10.10.255.34/30
FW1
|
Loopback1 OSPF trust
|
10.10.6.1/32
2001:10:10:6::1/128
Loopback2 RIP trust
|
10.10.6.2/32
2001:10:10:6::2/128
Loopback4 ipsecVPN trust
|
10.10.6.4/32
2001:10:10:6::4/128
Tunnel4 ipsecVPN VPNHUB
|
10.10.255.49/30
E0/1 trust
|
10.10.255.13/30
E0/2 trust
|
10.10.255.17/30
E0/3 untrust
|
200.200.200.2/30
FW2
|
Loopback1 OSPF trust
|
10.10.7.1/32
2001:10:10:7::1/128
E0/1 trust
|
10.10.255.45/30
E0/2 dmz
|
10.10.255.26/30
一、 交换配置
1.配置Vlan,SW1、SW2、SW3、AC1的二层链路只允许相应Vlan通过。
设备
|
Vlan编号
|
端口
|
说明
—|—|—|—
SW1
|
Vlan10
|
E1/0/1
|
产品1段
Vlan20
|
E1/0/2
|
营销1段
Vlan30
|
E1/0/3
|
法务1段
Vlan40
|
E1/0/4
|
财务1段
Vlan50
|
E1/0/5
|
人力1段
Vlan60
|
E1/0/6
|
产品管理
Vlan70
|
E1/0/7
|
产品研发
Vlan80
|
E1/0/8
|
产品生产
Vlan90
|
E1/0/9
|
产品支持
SW2
|
Vlan10
|
E1/0/1
|
产品2段
Vlan20
|
E1/0/2
|
营销2段
Vlan30
|
E1/0/3
|
法务2段
Vlan40
|
E1/0/4
|
财务2段
Vlan50
|
E1/0/5
|
人力2段
Vlan60
|
E1/0/6
|
产品管理
Vlan70
|
E1/0/7
|
产品研发
Vlan80
|
E1/0/8
|
产品生产
Vlan90
|
E1/0/9
|
产品支持
SW3
|
Vlan10
|
E1/0/1
|
产品3段
Vlan20
|
E1/0/2
|
营销3段
Vlan30
|
E1/0/3
|
法务3段
Vlan50
|
E1/0/5
|
人力3段
Vlan60
|
E1/0/6
|
产品管理
Vlan70
|
E1/0/7
|
产品研发
Vlan80
|
E1/0/8
|
产品生产
Vlan90
|
E1/0/9
|
产品支持
2.SW1、SW2、SW3启用MSTP,实现网络二层负载均衡和冗余备份,创建实例Instance10和Instance20,名称为skills,修订版本为1,其中Instance10关联Vlan60和Vlan70,Instance20关联Vlan80和Vlan90。SW1为Instance0和Instance10的根交换机,为Instance20备份根交换机;SW2为Instance20根交换机,为Instance0和Instance10的备份根交换机;根交换机STP优先级为0,备份根交换机STP优先级为4096。关闭交换机之间三层互联接口的STP。
3.SW1和SW2之间利用三条裸光缆实现互通,其中一条裸光缆承载三层IP业务、一条裸光缆承载VPN业务、一条裸光缆承载二层业务。用相关技术分别实现财务1段、财务2段业务路由表与其它业务路由表隔离,财务业务VPN实例名称为CW。承载二层业务的只有一条裸光缆通道,配置相关技术,方便后续链路扩容与冗余备份,编号为1,用LACP协议,SW1为active,SW2为passive;采用源、目的IP进行实现流量负载分担。
4.将SW3模拟为Internet交换机,实现与集团其它业务路由表隔离,Internet路由表VPN实例名称为Internet。将SW3模拟办事处交换机,实现与集团其它业务路由表隔离,办事处路由表VPN实例名称为Guangdong。
5.SW1法务物理接口限制收、发数据占用的带宽分别为100Mbps、90Mbps,限制所有报文最大收包速率为100packets/s,如果超过了配置交换机端口的报文最大收包速率则关闭此端口,10分钟后恢复此端口;启端口安全功能,只允许的最大安全MAC地址数为10,当超过设定MAC地址数量的最大值,不学习新的MAC、丢弃数据包、发SNMP
trap、同时在syslog日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留,恢复时间为10分钟;禁止采用访问控制列表,只允许IP主机位为20-30的数据包进行转发;禁止配置访问控制列表,实现端口间二层流量无法互通,组名称FW。
6.配置SW1相关特性实现报文上送设备CPU的前端整体上对攻击报文进行拦截,开启日志记录功能,采样周期10s一次,恢复周期为120s,从而保障CPU稳定运行。
7.SW1配置SNMP,引擎id分别为1000;创建组Group2022,采用最高安全级别,配置组的读、写视图分别为:Skills_R、Skills_W;创建认证用户为User2022,采用aes算法进行加密,密钥为Pass-1234,哈希算法为sha,密钥为Pass-1234;当设备有异常时,需要用本地的环回地址Loopback1发送v3
Trap消息至集团网管服务器10.10.11.99、2001:10:10:11::99,采用最高安全级别;当法务部门对应的用户接口发生UP
DOWN事件时禁止发送trap消息至上述集团网管服务器。
8.对SW1与FW1互连流量镜像到SW1 E1/0/1,会话列表为1。
9.SW1和SW2
E1/0/21-28启用单向链路故障检测,当发生该故障时,端口标记为errdisable状态,自动关闭端口,经过1分钟后,端口自动重启;发送Hello报文时间间隔为15s;
10.SW1和SW2所有端口启用链路层发现协议,更新报文发送时间间隔为20s,老化时间乘法器值为5,trap报文发送间隔为10s,配置三条裸光缆端口使能Trap功能。
二、 路由配置
1.启用所有设备的ssh服务,防火墙用户名admin,明文密码Pass-1234,其余设备用户名和明文密码均为admin。
2.配置所有设备的时区为GMT+08:00,调整SW1时间为实际时间,SW1配置为NTP server,其他设备用SW1 Loopback1
IPv4地址作为NTP server地址,NTP client 请求报文时间间隔1分钟。
3.配置接口IPv4地址和IPv6地址,互联接口IPv6地址用本地链路地址。
4.利用VRRPv2和VRRPv3技术实现Vlan60、Vlan70、Vlan80、Vlan90网关冗余备份,VRRP id与Vlan
id相同。VRRPv2 vip为10.10.VlanID.9(如Vlan60的VRRPv2 vip为10.10.60.9),VRRPv3
vip为FE80:VlanID::9(如Vlan60的VRRPv3
vip为FE80:60::9)。配置SW1为Vlan60、Vlan70的Master,SW2为Vlan80、Vlan90的Master。要求VRRP组中高优先级为120,低优先级为默认值,抢占模式为默认值,VRRPv2和VRRPv3发送通告报文时间间隔为默认值。当SW1或SW2上联链路发生故障,Master优先级降低30。
5.AC1配置DHCPv4和DHCPv6,分别为SW1产品1段Vlan10和分公司Vlan100、Vlan110和Vlan120分配地址;IPv4地址池名称分别为poolv4-Vlan10、poolv4-Vlan100、poolv4-Vlan110、poolv4-Vlan120,IPv6地址池名称分别为poolv6-Vlan10、poolv6-Vlan100、poolv6-Vlan110、poolv6-Vlan120;IPv6地址池用网络前缀表示,排除网关;DNS分别为114.114.114.114和2400:3200::1;为PC1保留地址10.10.11.9和2001:10:10:11::9,为AP1保留地址10.17.100.9和2001:10:17💯:9,为PC2保留地址10.17.110.9和2001:10:17:110::9。SW1上中继地址为AC1
Loopback1地址。SW1启用DHCPv4和DHCPv6 snooping,如果E1/0/1连接DHCPv4服务器,则关闭该端口,恢复时间为10分钟。
6.SW1、SW2、SW3、RT1以太链路、RT2以太链路、FW1、FW2、AC1之间运行OSPFv2和OSPFv3协议(路由模式发布路由用接口地址,BGP协议除外)。
(1)SW1、SW2、SW3、RT1、RT2、FW1之间OSPFv2和OSPFv3协议,进程1,区域0,分别发布Loopback1地址路由和产品路由,FW1通告type1默认路由。
(2)RT2与AC1之间运行OSPFv2协议,进程1,NSSA no-
summary区域1;AC1发布Loopback1地址路由、产品和营销路由,用prefix-list重发布Loopback3。
(3)RT2与AC1之间运行OSPFv3协议,进程1,stub no-summary区域1;AC1发布Loopback1地址路由、产品和营销。
(4)SW3模拟办事处产品(E1/0/11)和营销(E1/0/12)接口配置为Loopback,模拟接口up。SW3模拟办事处与FW2之间运行OSPFv2协议,进程2,区域2,SW3模拟办事处发布Loopback2、产品和营销。SW3模拟办事处配置IPv6默认路由;FW2分别配置到SW3模拟办事处Loopback2、产品和营销的IPv6明细静态路由,FW2重发布静态路由到OSPFv3协议。
(5)RT1、FW2之间OSPFv2和OSPFv3协议,进程2,区域2;RT1发布Loopback4路由,向该区域通告type1默认路由;FW2发布Loopback1路由,FW2禁止学习到集团和分公司的所有路由。RT1用prefix-
list匹配FW2 Loopback1路由、SW3模拟办事处Loopback2和产品路由、RT1与FW2直连IPv4路由,将这些路由重发布到区域0。
(6)修改OSPF
cost为100,实现SW1分别与RT2、FW2之间IPv4和IPv6互访流量优先通过SW1_SW2_RT1链路转发,SW2访问Internet
IPv4和IPv6流量优先通过SW2_SW1_FW1链路转发。
7.RT1串行链路、RT2串行链路、FW1、AC1之间分别运行RIP和RIPng协议,FW1、RT1、RT2的RIP和RIPng发布Loopback2地址路由,AC1
RIP发布Loopback2地址路由,AC1 RIPng采用route-map匹配prefix-
list重发布Loopback2地址路由。RT1配置offset值为3的路由策略,实现RT1-S1/0_RT2-S1/1为主链路,RT1-S1/1_RT2-S1/0为备份链路,IPv4的ACL名称为AclRIP,IPv6的ACL名称为AclRIPng。RT1的S1/0与RT2的S1/1之间采用chap双向认证,用户名为对端设备名称,密码为Pass-1234。
8.RT1以太链路、RT2以太链路之间运行ISIS协议,进程1,分别实现Loopback3
之间IPv4互通和IPv6互通。RT1、RT2的NET分别为10.0000.0000.0001.00、10.0000.0000.0002.00,路由器类型是Level-2,接口网络类型为点到点。配置域md5认证和接口md5认证,密码均为Pass-1234。
9.RT2配置IPv4 nat,实现AC1 IPv4产品用RT2外网接口IPv4地址访问Internet。RT2配置nat64,实现AC1
IPv6产品用RT2外网接口IPv4地址访问Internet,IPv4地址转IPv6地址前缀为64:ff9b::/96。
10.SW1、SW2、SW3、RT1、RT2之间运行BGP协议,SW1、SW2、RT1 AS号65001、RT2 AS号65002、SW3
AS号65003。
(1)SW1、SW2、SW3、RT1、RT2之间通过Loopback1建立IPv4和IPv6
BGP邻居。SW1和SW2之间财务通过Loopback2建立IPv4 BGP邻居,SW1和SW2的Loopback2互通采用静态路由。
(2)SW1、SW2、SW3、RT2分别只发布营销、法务、财务、人力等IPv4和IPv6路由;RT1发布办事处营销IPv4和IPv6路由到BGP。
(3)SW3营销分别与SW1和SW2营销IPv4和IPv6互访优先在SW3_SW1链路转发;SW3法务及人力分别与SW1和SW2法务及人力IPv4和IPv6互访优先在SW3_SW2链路转发,主备链路相互备份;用prefix-
list、route-map和BGP路径属性进行选路,新增AS 65000。
11.利用BGP MPLS
VPN技术,RT1与RT2以太链路间运行多协议标签交换、标签分发协议。RT1与RT2间创建财务VPN实例,名称为CW,RT1的RD值为1:1,export
rt值为1:2,import rt值为2:1;RT2的RD值为2:2。通过两端Loopback1建立VPN邻居,分别实现两端Loopback5
IPv4互通和IPv6互通。
12.SW1、SW2、RT1、RT2、AC1运行PIM-SM,RT1 Loopback1为c-bsr和c-
rp;SW1产品部门(PC1)启用组播,用VLC工具串流播放视频文件“1.mp4”,模拟组播源,设置此视频循环播放,组地址232.1.1.1,端口1234,实现分公司产品部门(PC2)收看视频。
三、 无线配置
1.AC1 Loopback1
IPv4和IPv6地址分别作为AC1的IPv4和IPv6管理地址。AP二层自动注册,AP采用MAC地址认证。配置2个ssid,分别为skills-2.4G和skills-5G。skills-2.4G对应Vlan110,用network
110和radio1(模式为n-only-g),用户接入无线网络时需要采用基于WPA-
personal加密方式,密码为Pass-1234。skills-5G对应Vlan120,用network 120和radio2(模式为n-
only-a),不需要认证,隐藏ssid,skills-5G用倒数第一个可用VAP发送5G信号。
2.当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级。AP失败状态超时时间及探测到的客户端状态超时时间都为2小时。
3.配置Vlan110无线接入用户上班时间(工作日09:00-17:00)访问Internet
https上下行CIR为1Mbps,CBS为20Mbps,PBS为30Mbps,exceed-action和violate-
action均为drop。时间范围名称、控制列表名称、分类名称、策略名称均为Skills。
4.打开ap profile下所有AP逃生用户不下线功能。
5.配置ssid skills-2.4G信号相关参数开启拒绝弱信号客户端接入功能,当客户端阈值低于50时,拒绝客户端接入。
6.在AC上开启开启流量监测功能开关,静默时间和流量阈值都为默认值。
7.配置防止非法AP假冒合法SSID,开启AP威胁检测功能。配置检测网络中是否有未被管理的AP接入有线网络中的要求。
8.时空公平避免接入终端较多且有大量弱终端时,避免高速客户端被低速客户端“拖累”,让低速客户端不至于长时间得不到传输。
9.配置ssid
skills-2.4G信号相关参数设置RTS的门限值为256字节,当MPDU的长度超过该值时,802.11MAC启动RTS/CTS交互机制。
10.配置AC开启自动强制漫游功能。
四、 安全配置
说明: IP地址按照题目给定的顺序 用“ ip / mask ”表示 ,IPv 4
****any 地址用0 .0.0.0/0 ,IPv 6 any 地址用: :/0,禁止用地址条目
, 否则按零分处理。
1.FW1配置IPv4 nat,实现集团产品1段IPv4访问Internet
IPv4,转换ip/mask为200.200.200.16/28,保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址;当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至10.10.11.99的
UDP 514端口,记录主机名,用明文轮询方式分发日志;开启相关特性,实现扩展nat转换后的网络地址端口资源。
2.FW1配置nat64,实现集团产品1段IPv6访问Internet IPv4,转换为出接口IP,IPv4转IPv6地址前缀为64:ff9b::/96。
3.FW1和FW2策略默认动作为拒绝,FW1允许集团产品1段IPv4和IPv6访问Internet任意服务。
4.FW2允许办事处产品IPv4访问集团产品1段https服务,允许集团产品1段和分公司产品访问办事处产品IPv4、FW2 Loopback1
IPv4、SW3模拟办事处Loopback2 IPv4。
5.FW1与RT2之间用Internet互联地址建立GRE Over IPSec VPN,实现Loopback4之间的加密访问。
6.FW1配置邮件内容过滤,规则名称和类别名称均为“DenyKey”,过滤含有“business”字样的邮件。
7.FW1通过ping监控外网网关地址,监控对象名称为Track1,每隔5S发送探测报文,连续10次收不到监测报文,就认为线路故障,关闭外网接口。
8.FW1要求内网每个IP限制会话数量为300。
9.FW1开启安全网关的TCP SYN包检查功能,只有检查收到的包为TCP
SYN包后,才建立连接,否则丢弃包;配置对TCP三次握手建立的时间进行检查,如果1分钟内未完成三次握手,则断掉该连接;配置所有的TCP数据包和TCP
VPN数据包每次能够传输的最大数据分段为1460,尽力减少网络分片。
10.FW1利用iQoS,实现集团产品1段访问Internet
https服务时,上下行管道带宽为800Mbps,限制每IP上下行最小带宽2Mbps、最大带宽4Mbps、优先级为3,管道名称为Skills,模式为管制。
服务器配置及应用项目
一、 云平台配置
1.网络信息表
网络名称
|
Vlan
|
子网名称
|
网关
|
IPv4地址池
—|—|—|—|—
network110
|
110
|
subnet110
|
10.10.110.1
|
10.10.110.100-10.10.110.199
network120
|
120
|
subnet120
|
10.10.120.1
|
10.10.120.100-10.10.120.199
2.实例类型信息表
名称
|
vcpu
|
内存
|
磁盘
|
实例名称
|
镜像模板
—|—|—|—|—|—
windows
|
4
|
4096MB
|
40GB
|
windows1-windows7
|
windows2022
rocky
|
2
|
2048MB
|
40GB
|
linux1-linux7
|
rocky9
3.实例信息表
实例名称
|
IPv4地址
|
完全合格域名
—|—|—
windows1
|
10.10.110.101/24
|
windows1.skills.com
windows2
|
10.10.110.102/24
|
windows2.skills.com
windows3
|
10.10.110.103/24
|
windows3.skills.com
windows4
|
10.10.110.104/24
|
windows4.skills.com
windows5
|
10.10.110.105/24
|
windows5.skills.com
windows6
|
10.10.110.106/24
|
windows6.cnskills.com
windows7
|
10.10.110.107/24
|
windows7.bj.cnskills.com
linux1
|
10.10.120.101/24
|
linux1.skills.com
linux2
|
10.10.120.102/24
|
linux2.skills.com
linux3
|
10.10.120.103/24
|
linux3.skills.com
linux4
|
10.10.120.104/24
|
linux4.skills.com
linux5
|
10.10.120.105/24
|
linux5.skills.com
linux6
|
10.10.120.106/24
|
linux6.skills.com
linux7
|
10.10.120.107/24
|
linux7.skills.com
二、 Windows 服务配置
(一) 域服务
1.配置windows2为skills.com域控制器;安装dns服务,dns正反向区域在active directory中存储,负责该域的正反向域名解析。
2.把skills.com域服务迁移到windows1;安装dns服务,dns正反向区域在active directory中存储,负责该域的正反向域名解析。
3.配置windows6为skills.com林中的cnskills.com域控制器;安装dns服务,负责该域的正反向域名解析。
4.配置windows7为bj.cnskills.com域控制器;安装dns服务,负责该域的正反向域名解析。
5.把其他windows主机加入到skills.com域。所有windows主机(含域控制器)用skills\Administrator身份登陆。
6.在windows1上安装证书服务,为windows主机颁发证书,证书颁发机构有效期为10年,证书颁发机构的公用名为windows1.skills.com。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供windows服务器使用的证书,证书友好名称为pc,(将证书导入到需要证书的windows服务器),证书信息:证书有效期=5年,公用名=skills.com,国家=CN,省=Beijing,城市=Beijing,组织=skills,组织单位=system,使用者可选名称=*.skills.com和skills.com。浏览器访问https网站时,不出现证书警告信息。
7.在windows2上安装从属证书服务,证书颁发机构的公用名为windows2.skills.com。
8.启用所有windows服务器的防火墙。
9.在windows1上新建名称为manager、dev、sale的3个组织单元;每个组织单元内新建与组织单元同名的全局安全组;每个组内新建20个用户:行政部manager00-manager19、开发部dev00-dev19、营销部sale00-sale19,所有用户只能每天8:00-23:00可以登录,不能修改其口令,密码永不过期。manager00拥有域管理员权限。
(二) 组策略
1.在skills.com域中配置组策略(以下相同)。添加防火墙入站规则,名称为ICMPv4,启用源、目的地址IP地址是10.10.0.0/16的ICMPv4回显请求。
2.域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证”模板证书,该模板可用作“服务器身份验证”,有效期5年。windows3和windows4之间通信采用ipsec安全连接,采用windows1颁发的计算机证书验证。
3.为正在登录此计算机的所有用户设置漫游配置文件路径为windows1的C:\profiles,每个用户提供单独的配置文件文件夹。
4.每个用户的“文档”文件夹重定向到windows1的C:\documents,为每一用户创建一个文件夹。
5.登录时不显示上次登录,不显示用户名,无须按ctrl+alt+del。
6.在登录时不自动显示服务器管理器。
(三) 文件共享
1.在windows1的C分区划分2GB的空间,创建NTFS分区,驱动器号为D;创建用户主目录共享文件夹:本地目录为D:\share\home,共享名为home,允许所有域用户完全控制。在本目录下为所有用户添加一个以用户名命名的文件夹,该文件夹将设置为所有域用户的home目录,用户登录计算机成功后,自动映射驱动器H。禁止用户在该共享文件中创建“*.exe”文件,文件组名和模板名为skills。
2.创建目录D:\share\work,共享名为work,仅manager组和Administrator组有完全控制的安全权限和共享权限,其他认证用户有读取执行的安全权限和共享权限。在AD
DS中发布该共享。
(四) Web 服务
1.把windows3配置为asp网站,网站仅支持.NET CLR v4.0,站点名称为asp。
2.http和https绑定本机与外部通信的IP地址,仅允许使用域名访问(使用“计算机副本”证书模板)。客户端访问时,必需有ssl证书(浏览器证书模板为“管理员”)。
3.网站目录为C:\iis\contents,默认文档index.aspx内容为"HelloASP"。
4.使用windows5测试。
(五) F tp服务
1.把windows3配置为ftp服务器,ftp站点名称为ftp,站点绑定本机IP地址,站点根目录为C:\ftp。
2.站点通过active directory隔离用户,用户目录为C:\ftp,用户目录名称与用户名相同,使用manager00和manager01测试。
3.设置ftp最大客户端连接数为100,控制通道超时时间为5分钟,数据通道超时时间为1分钟。
(六) P owerShell 脚本
1.在Windows6上编写C:\CreateFile.ps1的powershell脚本,创建20个文件C:\file\File00.txt至C:\file\File19.txt,如果文件存在,则首先删除后,再创建;每个文件的内容同文件名,如File00.txt文件的内容为“File00”。
三、 Linux 服务配置
(一) Dns 服务
1.所有linux主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。
2.利用chrony,配置linux1为其他linux主机提供NTP服务。
3.所有linux主机root用户使用完全合格域名免密码ssh登录到其他linux主机。
4.利用bind配置linux1为主dns服务器,linux2为备用dns服务器;为所有linux主机提供冗余dns正反向解析服务。
5.在linux1上安装ansible,作为ansible的控制节点。linux2-linux7作为ansible的受控节点。在linux1编写/root/skills.yaml剧本,实现在linux1创建文件/root/ansible.txt,并将该文件复制到所有受控节点的/root目录。
6.配置linux1为CA服务器,为linux主机颁发证书。证书颁发机构有效期10年,公用名为linux1.skills.com。申请并颁发一张供linux服务器使用的证书,证书信息:有效期=5年,公用名=skills.com,国家=CN,省=Beijing,城市=Beijing,组织=skills,组织单位=system,使用者可选名称=*.skills.com和skills.com。将证书skills.crt和私钥skills.key复制到需要证书的linux服务器/etc/ssl目录。浏览器访问https网站时,不出现证书警告信息。
(二) Rsyslog 服务
1.配置Linux2为远程日志服务器,允许使用udp和tcp,为Linux3提供日志服务。
2.在Linux3上使用命令"logger ‘Hello world 2022’",向日志服务器发送日志。
(三) F tp服务
1.用vsftpd配置linux1为ftp服务器,新建本地用户test,能上传下载。
2.配置ftp虚拟用户认证模式,虚拟用户ftp1和ftp2映射用户为ftp;ftp1能上传下载,但禁止上传后缀名为.docx的文件;ftp2仅能下载。
3.所有用户登录ftp后的目录为/var/ftp/vdir/< U S E R N A M E > , USERNAME>, USERNAME>,USERNAME表示用户名。
4.使用ftp命令在本机验证。
(四) Tomcat 服务
1.配置linux2为nginx服务器,默认文档index.html的内容为“HelloNginx”;仅允许使用域名访问,http访问永久自动跳转到https。
2.利用nginx反向代理,实现linux3和linux4的tomcat负载均衡,通过https://tomcat.skills.com加密访问tomcat,http访问永久自动跳转到https。
3.配置linux3和linux4为tomcat服务器,网站默认首页内容分别为“TomcatThree”和“TomcatFour”,仅使用域名访问;linux3采用端口转发,8080端口转发到80端口,8443端口转发到443端口;linux4修改配置文件,用80端口访问http,443访问https,linux3和linux4用jks格式证书,证书路径为/etc/ssl/skills.jks。
4.配置linux1为tomcat服务器,用8080端口访问http,8443端口访问https,网站默认首页内容分别为“TomcatOne”,http访问自动跳转到https,用pfx格式证书,证书路径为/etc/ssl/skills.pfx。
(五) Postgresql 服务
1.配置linux3为postgresql服务器,linux4为postgresql客户端。创建数据库userdb,在该数据库中创建表userinfo,表结构如下:
字段名
|
数据类型
|
主键
—|—|—
id
|
serial
|
是
name
|
varchar(10)
|
否
birthday
|
date
|
否
sex
|
varchar(5)
|
否
password
|
varchar(100)
|
否
2.在表中插入2条记录,分别为(1,user1,2004-6-1,‘男’),(2,user2,2004-7-1,‘女’),password字段与name字段相同,password字段用md5加密。
3.新建/var/postgresql/users.txt文件,文件内容如下,将文件内容导入到userinfo表中,password字段用md5加密:
3,user3,2004-6-3,男,user3
4,user4,2004-6-4,男,user4
5,user5,2004-6-5,女,user5
6,user6,2004-6-6,女,user6
7,user7,2004-6-7,男,user7
8,user8,2004-6-8,女,user8
9,user9,2004-6-9,男,user9
4.设置可以直接在shell下操作数据库,然后备份数据库userdb(含创建数据库命令)到/var/postgresql/userdb.sql;备份数据表userinfo记录到/var/postgresql/userinfo.sql,字段之间用’,'分隔。
(六) Redis 服务
1.利用linux5搭建redis
cluster集群,使用端口9001-9003模拟主节点,9004-9006模拟从节点,让其他主机可以访问redis集群。
(七) Kubernetes 服务
1.在linux6-linux7上安装containerd和kubernetes,linux6作为master node,linux7作为work
node;containerd的namespace为k8s.io,使用containerd.sock作为容器runtime-endpoint和image-
endpoint。
2.master节点配置calico,作为网络组件。
(八) P ython 脚本
1.在 linux4 上编写/root/createfile.py 的 python3 脚本,创建 20 个文件/root/python/file101
至/root/python/file120,如果文件存在,则删除后再创建;每个文件的内容同文件名,如 file101 文件的内容为“file101”。
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。