2014年江苏高职技能大赛.DOCVIP

2014年高职技能大赛 “云安全技术应用”赛项样题 第一部分：赛题基础信息 拓扑图 IP地址规划表 设备名称 接口 IP地址 说明（设备上对应端口号） 云服务器1 Vlan 20 0/24 Eth0 SW-PORT7 Vlan 30 0/24 Eth1 SW-PORT15 云服务器2 Vlan 20 0/24 Eth0 SW-PORT8 Vlan 30 0/24 Eth1 SW-PORT13 PC-1 Vlan 20 0/24 SW-PORT5 PC-2 Vlan 40 0/24 SW-PORT19 PC-3 主机 /24 FW-WAN 中心防火墙 主机 /24 WAN VLAN10 /24 LAN SW-PORT1 核心交换 VLAN10 /24 SW-PORT1---- SW-PORT4 Vlan 20 /24 SW-PORT5---- SW-PORT10 VLAN30 /24 SW-PORT13--- SW-PORT18 Vlan 40 /24 SW-PORT19--- SW-PORT22 注意： 按照赛题要求，将每道题答案以文字说明加配置截图方式填写到答题文件中。DCRS需提交整机配置文件至答题文件夹。 保存位置：建立以“参赛工位号”为名称的答题文件夹，将答题文件保存至此文件夹中。 需要自己决定的配置信息，请预先规划并说明。例如“your password”需要自己设置密码。 第二部分：比赛试题（95分） 某公司建设私有云企业应用服务，搭建安全的云计算平台是首要任务，通过云安全平台实现计算资源的池化弹性管理，实现企业应用的集中管理、统一安全认证、授权管理等业务。作为系统管理和应用维护人员，需要进行云计算架构的设计、部署和管理。 云安全平台包括IaaS系统和PaaS系统，由2台物理机部署IaaS系统，其中一台物理机器部署IaaS 控制节点（Controller），另一台物理机器安装计算节点(Compute Node)。再通过IaaS部署2台VM，一个VM部署PaaS平台，PaaS平台采用控制(Broker)和容器节点(Node) All-In-One的部署方案。 任务一：安全网络组建（10分） 根据拓扑图正确连接设备（此项不用截图）。 根据大赛规划设置IP地址与VLAN等基本信息(包括vlan路由RIP、默认路由、回指路由)。 为进一步保证内网安全，进行端口隔离，创建端口隔离组T1，并进行配置确保sw-port19，sw-port20不能互访。 为防止内网地址欺骗，在交换机上开启防地址欺骗功能,trust 端口：SW-PORT1、SW-PORT7、SW-PORT8，SW-PORT13、SW-PORT15，trust ip/24，0/24，自动恢复时间3600。 在交换机上做ACL（110）控制，保证vlan40网段和vlan20网段不能互访，应用接口SW-PORT19，方向in。 为加强内部管控，在交换机中将pc2进行IP+MAC+端口绑定。 在防火墙中创建V2TW策略，实现内网VLAN20（防火墙规则中的地址组名称）网络访问外部internet中的主机，其他址段不能对外访问，要求PC1能ping通PC3，PC2不能ping通PC3。 内部WEB主机INWEB(防火墙规则中的内部WEB主机名称，地址0/24.)，可以被Internet用户安全访问， 外部访问地址，端口8080，防火墙规则名称WEBS, 测试页面:8080/dashboard。 置防火墙规则denyim，控制内部主机在周一至周五早9点到18点（防火墙时间名称workt）不允许使用QQ等聊天工具（应用程序分类instant messenger）。 设置防火墙规则denyt，控制内部主机在周一至周五早9点到18点（防火墙时间名称workt）不允许访问非法网站tao(防火墙URL名称)，URL内容：，。 任务二、IaaS基础系统准备（5分） 操作系统安装（此项不用截图） 根据云安全架构图，分别安装以下操作系统： 物理机1# 安装centos6.5x64操作系统，安装系统采用最小安装； 物理机2# 安装centos6.5x64操作系统，安装系统采用最小安装加桌面,创建第三分区并分配50G空间。 主机名检查 主机Hostname设置为： 物理机1# 主机名设为controller; 物理机2# 主机名设为compute。 按照IP规划表配置好网络，检查网络是否可以ping。 任务三、IaaS系统组建（25分） 服务器controller配置 配置相关参数（此项不用截图） 首先对服务器控制节点的配置信息文件进行自定义修改，规划IaaS控制节点的IP、待安装服务或中间件账号、密码。配置信息文件复制到答题目录下保存。参考