2024年广东省网络系统管理样题第4套服务部署部分

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,高可用系列 2核4GB
简介: 2024年广东省网络系统管理样题第4套服务部署部分

模块B:服务部署

Windows初始化环境

默认账号及默认密码


Username: Administrator


Password: ChinaSkill23!


Username: demo


Password: ChinaSkill23!


注:若非特别指定,所有账号的密码均为ChinaSkill23!


Windows项目任务描述

你作为一名技术工程师,被指派去构建一个公司的内部网络,要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务,并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于Windows操作系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络拓扑图和基本配置信息如下:

1.拓扑图

4f31bae7489c227d12571cde6f7297d9_ebc2611f6883478dae7d5bb30115bf4a.png


2.网络地址规划

服务器和客户端基本配置如下表,各虚拟机已预装系统。

image.png

Windows项目任务清单

(一)服务器IspSrv上的工作任务

  1. 互联网访问检测服务器

为了模拟Internet访问测试,请搭建网卡互联网检测服务。

  1. iSCSI (b6-s2)

创建300G的ISCSI磁盘,存储到F盘目录下的iSCSI文件夹。


启用Mutual CHAP认证。


DC1SERVER为iSCSI客户端,连接成功后,格式化挂载到F盘。


  1. DNS(域名解析服务)

安装 DNS 服务;


IspSrv作为DNS的的根域


创建 test1.com~test50.com,并在所有正向区域中创建一条 A

记录,解析到本机地址。


所有无法解析的域名均解析为本机地址


(二)服务器RouterSrv1上的工作任务

  1. 路由功能

开启路由转发,为当前实验环境提供路由功能。

  1. DNS

安装及配置 DNS 服务;


创建正向区域,添加必要的域名解析记录;


配置TXT记录,配置主时间控制服务记录;配置域名反向PTR;


为当前域网络创建反向查找区域;


RouterSrv主DNS服务器。


无法解析的域名统一交由IspSrv进行解析


  1. 虚拟专用网络

设置L2TP/IPSec,IKE通道采用证书进行验证。


L2TP通道使用chinaskills.com域内用户进行身份验证,仅允许manager组内用户通过身份证验证。


对于 vpn 客户端,请使用范围 192.168.1.200-192.168.1.220/24。


  1. 动态地址分配中继服务

安装和配置dhcp relay服务,为办公区域网络提供地址上网。


DHCP服务器位于DC1和DC2服务器上。


  1. RDS

在 RouterSrv 和 AppSrv 上搭建 RDS 服务;


RDWeb 服务器设定为 RouterSrv;


资源服务器设定为 AppSrv;


用户登录成功后可以通过 RDS 运行以下应用:Notepad、Wordpad;


内部用户通过“https://app.chiaskills.cn/rdweb/”进行访问,页面无证书警告;


在 InsideCli 客户端登录的用户可以直接在开始菜单中找到 RemoteApp 程序。


(三)服务器AppSrv上的工作任务

  1. 万维网服务


在RouterSrv2上搭建网站服务器。


将访问http://www.chinaskills.com的http的请求重定向到https://www.chinaskills.com站点。


网站内容设置为“该页面为www.chinaskills.com测试页!”。


将当前web根目录的设置为d:\wwwroot目录。


启用windows身份验证,只有通过身份验证的用户才能访问到该站点,manager用户组成员使用IE浏览器打开不提示认证,直接访问。


  1. WSUS更新服务

安装WSUS更新服务,更新补丁目录设置为“c:\wsusbackup”。


创建更新组名称为“CHINASKILLS-WSUS”。


每天凌晨03:00下发自动更新。


更新服务器地址为“http://wsus.chinaskills.cn:8530”。


  1. DFS

在AppSrv上安装及配置 DFS 服务。


目录设置在F:\DFSsharedir。


配置DFS复制,使用DC1作为次要服务器,复制方式配置为交错拓扑。


在F:\DFSsharedir 文件夹内新建所有部门的文件夹。


所有部门的用户之可以访问部门内的文件,不可以跨部门访问别的部门文件夹内容。


Management用户组用户可以访问全局的文件夹。


  1. DNS

安装DNS并配置为辅助DNS服务器;


RouterSrv为主要DNS服务器,动态复制;


定期复制主DNS服务器的记录;


RouterSrv离线后,自动切换为主要DNS服务器。


  1. DHCP

配置故障转移


 设置为“热备用服务器”模式;


 伙伴服务器“SDCserver”为“待机”状态;


 为备用服务器保留10%的地址;


 状态切换间隔为60分钟;


 启用身份验证,密码为“P@ssw0rd”。


(四)服务器DCSERVER&SDCSERVER上的工作任务

  1. 活动目录域服务


在DC1和DC2服务器上安装活动目录域服务,并且提升该操作系统为域控制器。


设置 PDC 主机为 DC2。


活动目录域名为:chinaskills.com。


域用户能够使用[username]@csk.cn进行登录。


创建一个名为“CSK”的OU,并新建以下域用户和组:


sa01-sa20,请将该用户添加到sales用户组。


ma01-ma10,请将该用户添加到manager用户组。


除manager组,移除关机和重启按钮;


除manager组,移除桌面垃圾桶按钮;


禁止客户端电脑显示用户首次登录动画。


所有用户的IE浏览器首页设置为“https://www.chinaskills.com”。


所有用户都应该收到登录提示信息:标题“登录安全提示:”,内容“禁止非法用户登录使用本计算机。”。


域内的所有计算机(除dc外),当dc服务器不可用时,禁止使用缓存登录。


  1. DFS membe端配置工作任务

在DC1和DC2上安装及配置 DFS 服务。


目录设置在H:\DFSsharedir。


配置交错拓扑。


在H:\DFSsharedir 文件夹内新建所有部门的文件夹。


所有部门的用户之可以访问部门内的文件,不可以跨部门访问别的部门文件夹内容。


Management用户组用户可以访问全局的文件夹。


  1. NPS(网络策略服务)

在DC1上安装网络策略服务作为VPN用户登录验证。


仅允许L2TP/IPSEC VPN进行VPN连接访问验证。


认证、授权日志将存储到DC1上的“C:\NPS\”目录下。


  1. 文件共享

创建用户主目录共享文件夹:


本地目录为d:\share\users\,允许所有域用户可读可写。在本目录下为所有用户添加一个以名称命名的文件夹,该文件夹将设置为所有域用户的home目录,用户登录计算机成功后,自动映射挂载到H卷。


禁止用户在该共享文件中创建“*.exe, *.bat”文件。


创建manager组共享文件夹:


本地目录为d:\

share\managers,仅允许manager用户组成员拥有写入权限,该共享文件对其他组成员不可见。


创建public-share公共共享文件夹:


本地目录为d:\

share\public-share,仅允许manager用户组成员拥有写入权限,其他认证用户只读权限。


  1. RDS

在RouterSrv1安装和配置 RDS

服务,用户通过“https://app.chinaskills.com/rdweb”进行访问。


该页面无证书警告。


用户可以获取以下应用:


Notepad


(五)服务器IOMSrv上的工作任务

通过Windows代理模板,添加DC1Server、DC2Sserver、AppSrv操作系统监控对象,查看运行状态。


通过中间件IIS模板,添加IIS监控对象,查看运行状态。


通过新增WEB探测对象,监控门户网站http://www.chinaskills.com,查看运行状态。


基于AppSrv上的门户网站业务,完成业务拓扑绘制,并在业务大屏上呈现。


(六)客户端InsideCli上的工作任务

按照要求将该主机加入到对应区域的域。


设置电源配置,以便客户端在通电的情况下,永不进入睡眠。


该客户端用于测试用户登录,Profiles,文件共享,安全策略和RDS等功能。


(七)客户端OutsideCli上的工作任务

该主机不允许加入域。


添加一个名为Connect-VPN

的VPN拨号器,用于连接到chinaskills.com域网络,不记录用户名称密码信息。


设置电源配置,以便客户端在通电的情况下,永不进入睡眠。


该客户端用于测试用户登录,Profiles,文件共享,安全策略和RDS等功能。


Linux初始化环境

(一)默认账号及默认密码

Username: root


Password: ChinaSkill23!


Username: skills


Password: ChinaSkill23!


注:若非特别指定,所有账号的密码均为 ChinaSkill23!


(二)操作系统配置

所处区域:CST + 8


系统环境语言:English US (UTF-8)


键盘:English US


注意:当任务是配置TLS,请把根证书或者自签名证书添加到受信任区。


控制台登陆后不管是网络登录还是本地登录 ,都按下方欢迎信息内容显示


*********************************


ChinaSkills 2023–CSK


Module C Linux


>>hostname<<


>>System Version<<


>> TIME <<


*********************************


Linux项目任务描述

你作为一个Linux的技术工程师,被指派去构建一个公司的内部网络,要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务,并进行充分的测试,确保设备和应用正常运行。任务所有规划都基于Linux操作系统,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络拓扑图和基本配置信息如下:


(一)拓扑图


811e0d05cea36d70dd889a23ee539ea6_189cf96bea204ca79c94d4187a53dad0.png

(二)网络地址规划

服务器和客户端基本配置如下表,各虚拟机已预装系统。


ISPSRV(UOS)


完全限定域名:ispsrv


普通用户/登录密码:skills/ChinaSkill23


超级管理员/登录密码:root/ChinaSkill23


网络地址/掩码/网关:81.6.63.100/24/无


AppSrv(Centos)


完全限定域名:appsrv.chinaskills.cn


普通用户/登录密码:skills/ChinaSkill23


超级管理员/登录密码:root/ChinaSkill23


网络地址/掩码/网关:192.168.100.100/24/192.168.100.254


IOMSrv(Centos)


网络地址/掩码/网关:192.168.100.150/24/192.168.100.254

STORAGESRV(Centos)


完全限定域名:storagesrv.chinaskills.cn


普通用户/登录密码:skills/ChinaSkill23


超级管理员/登录密码:root/ChinaSkill23


网络地址/掩码/网关:192.168.100.200/24/192.168.100.254


ROUTERSRV(Centos)


完全限定域名:routersrv.chinaskills.cn


普通用户/登录密码:skills/ChinaSkill23


超级管理员/登录密码:root/ChinaSkill23


网络地址/掩码/网关:

192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无


INSIDECLI(Centos)


完全限定域名:insidecli.chinaskills.cn


普通用户/登录密码:skills/ChinaSkill23


超级管理员/登录密码:root/ChinaSkill23


网络地址/掩码/网关:DHCP From AppSrv


OUTSIDECLI(UOS)


完全限定域名:outsidecli.chinaskills.cn


普通用户/登录密码:skills/ChinaSkill23


超级管理员/登录密码:root/ChinaSkill23


网络地址/掩码/网关:DHCP From IspSrv


Linux项目任务清单

(一)服务器IspSrv工作任务

1.DHCP


为OutsideCli客户端网络分配地址,地址池范围:81.6.63.110-81.6.63.190/24;


域名解析服务器:按照实际需求配置DNS服务器地址选项;


网关:按照实际需求配置网关地址选项;


2.DNS


安装BIND9;


配置为DNS根域服务器;


其他未知域名解析,统一解析为该本机IP;


创建正向区域“chinaskills.cn”;


类型为Slave;


主服务器为“AppSrv”;


3.WEB服务


安装nginx软件包;


配置文件名为ispweb.conf,放置在/etc/nginx/conf.d/目录下;


网站根目录为/mut/crypt(目录不存在需创建);


启用FastCGI功能,让nginx能够解析php请求;


index.php内容使用Welcome to 2023 Computer Network Application contest!


(二)服务器RouterSrv上的工作任务

  1. SSH


工作端口为2021;


只允许用户user01,密码ChinaSkill21登录到router。其他用户(包括root)不能登录,创建一个新用户,新用户可以从本地登录,但不能从ssh远程登录。


通过ssh登录尝试登录到RouterSrv,一分钟内最多尝试登录的次数为3次,超过后禁止该客户端网络地址访问ssh服务。


记录用户登录的日志到/var/log/ssh.log,日志内容要包含:源地址,目标地址,协议,源端口,目标端口。


2.DHCP RELAY


安装DHCP中继;


允许客户端通过中继服务获取网络地址;


3.Squid


安装squid服务,开启路由转发,为当前实验环境提供路由功能;

4.IPTABLES


添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。


INPUT、OUTPUT和FOREARD链默认拒绝(DROP)所有流量通行。


配置源地址转换允许内部客户端能够访问互联网区域。


5.Web Proxy


安装Nginx组件;


配置文件名为proxy.conf,放置在/etc/nginx/conf.d/目录下;


为www.chinaskills.cn配置代理前端,通过HTTPS的访问后端Web服务器;


后端服务器日志内容需要记录真实客户端的IP地址。


缓存后端Web服务器上的静态页面。


创建服务监控脚本:/shells/chkWeb.sh


编写脚本监控公司的网站运行情况;


脚本可以在后台持续运行;


每隔5S检查一次网站的运行状态,如果发现异常尝试3次;


如果确定网站无法访问,则返回用户“网站正在维护中,请您稍后再试”的页面。


6.OpenVPN


VPN 客户端只能与 InsideCli 客户端网段通信,允许访问 StorageSrv 主机上的


SAMBA 服务,允许访问 AppSrv 上的 dns 服务;


VPN 客户端可使用的地址范围是 :172.16.0.100-172.16.0.120/24;


在 OutsideCli 上创建连接服务“openvpn@csk.services”。


(三)服务器AppSrv上的工作任务

  1. SSH


安装SSH,工作端口监听在2101。


仅允许InsideCli客户端进行ssh访问,其余所有主机的请求都应该拒绝。


在cskadmin用户环境下可以免秘钥登录,并且拥有root控制权限。


2.DHCP


为InsideCli客户端网络分配地址,地址池范围:192.168.0.110-192.168.0.190/24;


域名解析服务器:按照实际需求配置DNS服务器地址选项;


网关:按照实际需求配置网关地址选项;


为InsideCli分配固定地址为192.168.0.190/24。


3.DNS


为chinaskills.cn域提供域名解析。


为www.chinaskills.cn、download.chinaskills.cn和mail.chinaskills.cn提供解析。


启用内外网解析功能,当内网客户端请求解析的时候,解析到对应的内部服务器地址,当外部客户端请求解析的时候,请把解析结果解析到提供服务的公有地址。


请将IspSrv作为上游DNS服务器,所有未知查询都由该服务器处理。


4.web服务


安装web服务;


服务以用户webuser系统用户运行;


限制web服务只能使用系统800M物理内存;


全站点启用TLS访问,使用本机上的“CSK Global Root

CA”颁发机构颁发,网站证书信息如下:


C = CN


ST = China


L = BeiJing


O = skills


OU = Operations Departments


CN = *.chinaskills.com


客户端访问https时应无浏览器(含终端)安全警告信息;


当用户使用http访问时自动跳转到https安全连接;


搭建www.chinaskills.cn站点;


网页文件放在StorgeSrv服务器上;


在StorageSrv上安装MariaDB,在本机上安装PHP,发布WordPress网站;


MariaDB数据库管理员信息:User: root/ Password: Chinaskill23!。


创建网站download.chinaskills.cn站点;


仅允许ldsgp用户组访问;


网页文件存放在StorageSrv服务器上;


在该站点的根目录下创建以下文件“test.mp3, test.mp4,

test.pdf”,其中test.mp4文件的大小为100M,页面访问成功后能够列出目录所有文件。


作安全加固,在任何页面不会出现系统和WEB服务器版本信息。


5.RAID5


在虚拟机上添加 4 个 1G 的硬盘;


创建 raid5,其中一个作为热备盘, 设备名为 md0;


将 md0 设置为 LVM,设备为/dev/vg01/lv01;


格式化为 ext4 文件系统;


开机自动挂载到/data 目录。


6.MAIL


安装配置postfix和dovecot,启用imaps和smtps,并创建测试用户mailuser1和mailuser2。


使用mailuser1@chinaskills.cn的邮箱向mailuser2@chinaskills.cn的邮箱发送一封测试邮件,邮件标题为“just

test mail from mailuser1”, 邮件内容为“hello , mailuser2”。


使用mailuser2@chinaskills.cn的邮箱向mailuser1@chinaskills.cn的邮箱发送一封测试邮件,邮件标题为“just

test mail from mailuser2”, 邮件内容为“hello , mailuser1”。


添加广播邮箱地址all@chinaskills.cn,当该邮箱收到邮件时,所有用户都能在自己的邮箱中查看。


使用https://mail.chinaskills.cn网站测试邮件发送与接收。


7.CA(证书颁发机构)


CA根证书路径/csk-rootca/csk-ca.pem;


签发数字证书,颁发者信息:(仅包含如下信息)


C = CN


ST = China


L = BeiJing


O = skills


OU = Operations Departments


CN = CSK Global Root CA


8.Chrony


配置为全网提供时间同步服务器


为除本机外的所有主机提供时间同步服务


使用ntpdate命令每隔5分钟同步一次时间。


(四)服务器StorageSrv上的工作任务

  1. SSH


安装openssh组件;


创建的user01 、 user02用户允许访问ssh服务;


服务器本地root用户不允许访问;


修改SSH服务默认端口,启用新端口3358;


添加用户user01 user02 到sudo组;用于远程接入,提权操作。


2.DISK


添加大小均为10G的虚拟磁盘,配置raid-5磁盘。


创建LVM命名为/dev/vg01/lv01,大小为100G,格式化为ext4,挂在到本地目录/webdata,在分区内建立测试空文件disk.txt。


3.NFS


共享/webdata/目录;


用于存储AppSrv主机的WEB数据;


仅允许AppSrv主机访问该共享。


4.LDAP


安装slapd,为samba服务提供账户认证;


创建chinaskills.cn目录服务,并创建用户组ldsgp ,将zsuser、lsusr、wuusr。


5.VSFTPD


禁止使用不安全的FTP,请使用“CSK Global Root

CA”证书颁发机构,颁发的证书,启用FTPS服务;


用户webadmin,登录ftp服务器,根目录为/webdata/;


登录后限制在自己的根目录;


允许WEB管理员上传和下载文件,但是禁止上传后缀名为.doc .docx

.xlsx的文件。


限制用户的下载最大速度为100kb/s;最大同一IP在线人数为2人;


用于通过工具或者浏览器下载的最大速度不超过 100kb/s


一个IP地址同时登陆的用户进程/人数不超过2人。


6.SAMBA


创建samba共享,本地目录为/data/share1,要求:


共享名为share1。


仅允许zsuser用户能上传文件。


创建samba共享,本地目录为/data/public,要求:


共享名为public。


允许匿名访问。


所有用户都能上传文件。


7.ShellScript


编写添加用户的脚本,存储在/shells/userAdd.sh目录;


当有新员工入职时,管理员运行脚本为其创建公司账号;


自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等;


以userAdd lifei的方式运行脚本,lifei为举例的员工姓名。


(五)服务器IOMSrv工作任务

图形界面登陆IOMSrv运维平台,登陆地址http://172.16.100.150


通过Linux代理模板,添加StorageSrv、AppSrv操作系统监控对象,查看运行状态;


通过中间件Nginx模板,添加Nginx监控对象,查看运行状态;


通过中间件MySQL数据库Agent模板,添加Mariadb监控对象,查看运行状态;


通过新增WEB探测对象,监控门户网站www.chinaskills.cn,查看运行状态;


基于AppSrv上的门户网站业务,完成业务拓扑绘制,并在业务大屏上呈现。


(六)客户端OutsideCli和InsideCli工作任务

  1. OutsideCli


作为DNS服务器域名解析测试的客户端,安装nslookup、dig命令行工具;


作为网站访问测试的客户端,安装firefox浏览器, curl命令行测试工具;


作为SSH远程登录测试客户端,安装ssh命令行测试工具;


作为SAMBA测试的客户端,使用图形界面文件浏览器测试, 并安装smbclient工具;


作为FTP测试的客户端,安装lftp命令行工具;


作为防火墙规则效果测试客户端,安装ping命令行工具。


截图的时候请使用上述提到的工具进行功能测试。


2.InsideCli


作为DNS服务器域名解析测试的客户端,安装nslookup、dig命令行工具;


作为网站访问测试的客户端,安装firefox浏览器, curl命令行测试工具;


作为SSH远程登录测试客户端,安装ssh命令行测试工具;


作为SAMBA测试的客户端,使用图形界面文件浏览器测试, 并安装smbclient工具;


作为FTP测试的客户端,安装lftp命令行工具;


作为防火墙规则效果测试客户端,安装ping命令行工具。

相关文章
|
4月前
|
安全 API 网络安全
OpenStack的 网络服务(Neutron)
【8月更文挑战第23天】
370 10
|
4月前
|
Kubernetes Devops 持续交付
DevOps实践:使用Docker和Kubernetes实现持续集成和部署网络安全的守护盾:加密技术与安全意识的重要性
【8月更文挑战第27天】本文将引导读者理解并应用DevOps的核心理念,通过Docker和Kubernetes的实战案例,深入探讨如何在现代软件开发中实现自动化的持续集成和部署。文章不仅提供理论知识,还结合真实示例,旨在帮助开发者提升效率,优化工作流程。
|
25天前
|
算法 安全 网络安全
网络安全服务
机密主要利用密码学技术加密文件实现,完整主要利用验证码/Hash技术,可用**主要灾备来保障。 网络环境下的身份鉴别,当然还是依托于密码学,一种可以使用口令技术,另一种则是依托物理形式的鉴别,如身份卡等。其实更为安全的是实施多因子的身份认证,不只使用一种方式。数字签名可以用来保证信息的完整性,比如RSA就可以用于数字签名: 若A向B发送信息m则先用自己的保密密钥(私钥)对m加密,然后用B的公钥第二次加密,发送个B后,B先用自己的私钥解密一次,再用A的公钥解密即可。 Kerberos使用对称密码算法来实现通过可信第三方密钥分发中心的认证服务,已经成为工业界的事实标准。
36 3
|
1月前
|
安全 Linux 网络安全
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息。本文分三部分介绍 nmap:基本原理、使用方法及技巧、实际应用及案例分析。通过学习 nmap,您可以更好地了解网络拓扑和安全状况,提升网络安全管理和渗透测试能力。
148 5
|
1月前
|
云安全 人工智能 安全
阿里云稳居公共云网络安全即服务市占率第一
IDC发布《中国公有云网络安全即服务市场份额,2023:规模稳步增长,技术创新引领市场格局》报告,阿里云以27.0%的市场份额蝉联榜首。
|
2月前
|
安全 定位技术 数据安全/隐私保护
|
1月前
|
运维 安全 5G
|
2月前
|
Docker 容器
docker swarm启动服务并连接到网络
【10月更文挑战第16天】
46 5
|
2月前
|
负载均衡 网络协议 关系型数据库
docker swarm 使用网络启动服务
【10月更文挑战第15天】
40 4

热门文章

最新文章