• 创建 VPC。
• 创建子网。
• 配置安全组。
• 在 VPC 中启动 EC2 实例

创建VPC

进入AWS管理控制台中，创建VPC，包括单个可用区中的一个 VPC、一个互联网网关、一个公有子网和一个私有子网，以及两个路由表和一个 NAT 网关。

• 选择 VPC and more（VPC 等）。
• 在 Name tag auto-generation（名称标签自动生成）下，将 Auto-generate（自动生成）保持选中状态，但将值从 project 更改为 lab。
• 将 IPv4 CIDR block（IPv4 CIDR 块）设置保持为 10.0.0.0/16
• 对于 Number of Availability Zones（可用区数量），请选择 1。
• 对于 Number of public subnets（公有子网的数量），请将设置保留为 1。
• 对于 Number of private subnets（私有子网的数量），请将设置保留为 1。

• 展开 Customize subnets CIDR blocks（自定义子网 CIDR 块）部分

  • 将 Public subnet CIDR block in us-east-1a（us-east-1a 中的公有子网 CIDR 块）更改为 10.0.0.0/24
  • 将 Private subnet CIDR block in us-east-1a（us-east-1a 中的私有子网 CIDR 块）更改为 10.0.1.0/24
• 将 NAT gateways（NAT 网关）设置为 In 1 AZ（在一个可用区中）。
• 将 VPC endpoints（VPC 终端节点）设置为 None（无）。
• 将 DNS hostnames（DNS 主机名）和 DNS resolution（DNS 解析）都保持为 enabled（已启用）状态。

创建成功

创建额外子网

创建第二个公有子网

• VPC ID：lab-vpc（从菜单中选择）。
• Subnet name（子网名称）：lab-subnet-public2
• Availability Zone（可用区）：选择第二个可用区（例如 us-east-1b）
• IPv4 CIDR block（IPv4 CIDR 块）：10.0.2.0/24

此子网将包含所有以 10.0.2.x 开头的 IP 地址。

创建第二个私有子网

• VPC ID：lab-vpc
• Subnet name（子网名称）：lab-subnet-private2
• Availability Zone（可用区）：选择第二个可用区（例如 us-east-1b）
• IPv4 CIDR block（IPv4 CIDR 块）：10.0.3.0/24

此子网将包含所有以 10.0.3.x 开头的 IP 地址。

配置路由表

现在，您将配置这个新的私有子网，将流向互联网的流量路由到 NAT 网关，以便第二个私有子网中的资源能够连接到互联网，同时这些资源仍然保持私有。这是通过配置路由表完成的。

路由表包含一组规则（称为路由），用于确定网络流量的流向。VPC 中的每个子网必须与一个路由表相关联；而路由表控制子网的路由。

此路由表用于路由来自私有子网的流量。

此路由表用于公有子网的流量

创建VPC安全组

1. • Security group name（安全组名称）：Web Security Group
   • Description（描述）：Enable HTTP access
   • VPC：选择 X 删除当前选择的 VPC，然后从下拉列表中选择 lab-vpc
2. 在 Inbound rules（入站规则）窗格中，选择 Add rule（添加规则）

3. 配置以下设置：

   • Type（类型）：HTTP
   • Source（源）：Anywhere-IPv4
   • Description（描述）：Permit web requests

启动Web服务器实例

1. 配置网络设置：

   • 在 Network settings（网络设置）旁边，选择 Edit（编辑），然后配置：

     • Network（网络）：lab-vpc
     • Subnet（子网）：lab-subnet-public2（非私有！）
     • Auto-assign public IP（自动分配公有 IP）：Enable（启用）

   • 接下来，您将实例配置为使用之前创建的 Web Security Group。

     • 在 Firewall (security groups)（防火墙（安全组））下，选择 Select existing security group（选择现有安全组）。
     • 对于 Common security groups（常见安全组），选择 Web Security Group。
       此安全组将允许对实例进行 HTTP 访问。
2. 在 Configure storage（配置存储）部分中，保留默认设置。
   注意：默认设置指定实例的根卷（托管您之前指定的 Amazon Linux 来宾操作系统）在大小为 8 GiB 的通用型 SSD (gp3) 硬盘驱动器上运行。您也可以添加更多存储卷，但在本实验中不需要这样做。

3. 配置一个脚本，在实例启动时在实例上运行此脚本：

   • 展开 Advanced details（高级详细信息）面板。

   • 滚动到页面底部，然后复制下面显示的代码并将其粘贴到 User data（用户数据）框中：

     #!/bin/bash
     # Install Apache Web Server and PHP
     dnf install -y httpd wget php mariadb105-server
     # Download Lab files
     wget https://aws-tc-largeobjects.s3.us-west-2.amazonaws.com/CUR-TF-100-ACCLFO-2/2-lab2-vpc/s3/lab-app.zip
     unzip lab-app.zip -d /var/www/html/
     # Turn on web server
     chkconfig httpd on
     service httpd start

     此脚本将在实例的来宾操作系统上以根用户权限运行，并且会在实例首次启动时自动运行。此脚本将安装一个 Web 服务器、一个数据库和 PHP 库，然后在 Web 服务器上下载并安装 PHP Web 应用程序。

基础环境

查看系统环境版本

[root@taozi ~]# cat /etc/os-release 
NAME="openEuler"
VERSION="21.09"
ID="openEuler"
VERSION_ID="21.09"
PRETTY_NAME="openEuler 21.09"
ANSI_COLOR="0;31"

配置环境

首先配置本地yum源，搭建repo服务器

清理缓存，重新创建缓存

[root@taozi ~]# dnf clean all
[root@taozi ~]# dnf makecache
#安装nginx服务
[root@taozi ~]# dnf install nginx -y

查看安装后的rpm包

启动nginxi服务并设置开机自启

[root@taozi ~]# systemctl start nginx
[root@taozi ~]# systemctl enable nginx

查看服务状态

Nginx服务的配置文件

/etc/nginx/nginx.conf 主要的配置文件

/etc/nginx/conf.d 配置文件的辅助目录，也包含在主配置文件当中

/usr/share/nginx/html web网站的index文件所在目录

查看语法错误【syntax is ok】

配置防火墙

# firewall-cmd --add-service=http --permanent
success
# firewall-cmd --reload
success

验证成功

搭建环境

搭建一个测试的WNMP环境，创建一个首页

安装Nessus漏洞扫描软件

运行Nessus Web Client，输入用户名和密码，点击continue，将看到如图2-11所示界面，需要到Nessus网站https://www.tenable.com/how-to-buy页面注册，然后在注册邮箱中找到注册码，输入注册码，才能继续使用

注册好之后登录

登录进去后界面如图：

在设置扫描前可以先添加一个Policies（策略），选择Advanced Scan（自定义），在Settings中填写名称，在Plugins中选择检测项（可全选），之后Save。点New Scan，添加一个新的扫描

选择第一个高级扫描（Advanced Scan），出现图2-13所示界面。Name填写名字，Description填写描述信息，Targets是要访问的主机ip地址或者网段，属必填项，填好之后保存。

保存“My Scans”后，点击“start scan”就可以开始扫描了。还可以根据自己需求设置定时扫描，扫描后将会把扫描报告发送到指定邮箱。

扫描报告：

使用AWVS13扫描漏洞

安装软件

运行AcunetixWVS看到如图2-7所示界面，点击Add Target添加扫描目标，在弹出的窗口（图略）中添加地址信息Address和描述信息Description，地址信息可以是IP地址，也可以是URL。

添加地址后，选择Business Criticality（业务关键级别），其他默认，然后点击Save。

在此界面，如果要扫描的网站需要登录，可以点击Site Login，输入登录信息。这里只做了一般配置（General），也可以进行爬行（Crawl）、HTTP、高级（Advanced）等配置。

配置完就可以点击Scan（扫描）窗口，选择Scan Type（扫描类型，可以选择FullScan完全扫描），选择Report（报告类型）和Schedule（明细清单），点击CreateScan就开始进行漏洞扫描了。根据网站规模和复杂程度的不同，扫描过程会持续不等的时间，一般耗时较长

扫描成功

实验步骤

环境检查

登陆控制器1，查看该端口是否处监听状态

root@guest-virtual-machine:/home/guest# netstat -an | grep 6633
tcp        0      0 192.168.123.10:44024    192.168.123.10:6633     ESTABLISHED
tcp6       0      0 :::6633                 :::*                    LISTEN     
tcp6       0      0 192.168.123.10:6633     192.168.123.10:44024    ESTABLISHED

保证控制器6633处监听状态后，使用root登陆交换机，查看交换机与控制器1的连接情况

注：如果连接不成功会显示‘’fail_mode:secure‘’

则需要命令手动在交换机内重连

#ovs-vsctl del-controller br-sw
#ovs-vsctl set-controller br=sw tcp:192.168.123.10:6633

查看主机的ip地址：

注：主机为获取到ip地址，需要手动重连

#ovs-vsctl del-controller br-sw
#ovs-vsctl set-controller br=sw tcp:192.168.123.10:6633

下发流表

切换到交换机，设置OpenFlow协议版本为1.0

root@guest-virtual-machine:/home/guest# ovs-vsctl set bridge br-sw protocols=OpenFlow10

访问控制器web UI，点击‘Nodes’ ‘1’为节点连接的具体信息

展开所有目录

展开具体配置

补全node id、table id、flow id

展开流表的相关参数