2024 外网数字化考试——精准限制只允许访问考试站点

news2024/11/17 11:32:47

在这里插入图片描述

一、适用场景:

1、防止考试作弊。校园内,需要用到外网的某个考试站点时,只允许浏览器访问考试网站,别的网站不允许访问时(避免使用搜索引擎搜索参考或答案)。
2、网络流量给教学资源,杜绝网络娱乐沉迷。某些专业课程的学习,只允许学生访问某些教学资源时,根据专业系的要求,只对教学资源相关的外网存储、网盘、网站(能提供ip或域名进行控制)开放,不允许访问娱乐、游戏……之类的网站(精准开放学习资源,如视频、课件、文档等)。
3、网络监管设备相对完善。校园内有网络管理的设备与资源,能够对不同的网段提供访问控制的需求,如华为、H3C等网络设备(网络管理设备精准实现访问控制,本例采用的是华为设备)。
4、本例的网络资源限制或控制较严格,需要合理配置。适合于某些专业自备电脑,初学某专业指定的技能时,教学资源比较完备集中时(比如教学资源集中于某几个网站、或某几台服务器、或某些存储设备)。不合适的场景,比如:某些专业学习的内容复杂,需要用到很多类不同的资源时,则不合适使用此方法)。

二、网络拓扑图与需求:

(一)网络拓扑图:

在这里插入图片描述

(二)实际需求:

1、无线网区域的终端笔记本STA与终端手机STA连接教学AP1后,只允许访问HTTP server3,其他任何站点都不允许访问。(假设HTTP server1是搜索引擎网站,HTTP server2是商业网站,HTTP server3是考试酷网站)。
2、无线网区域的终端笔记本与终端手机不允许访问办公网络,可以访问服务器区域。
3、所有终端能从DHCP server自动获取到ip地址。

三、配置方案与思路:

(一)配置网络互通

1、ISP1路由器配置(模拟网络运营商1的路由器):
System-view
sysname ISP1
interface GigabitEthernet0/0/1
ip address 10.1.1.1 255.255.255.252

interface GigabitEthernet0/0/2
ip address 172.16.1.254 255.255.255.0

interface GigabitEthernet2/0/0
ip address 172.16.2.254 255.255.255.0

ospf 1 router-id 5.5.5.5
area 0.0.0.0
network 10.1.1.0 0.0.0.3
network 172.16.1.0 0.0.0.255
network 172.16.2.0 0.0.0.255

2、ISP2路由器配置(模拟网络运营商2的路由器):
System-view
sysname ISP1
interface GigabitEthernet0/0/1
ip address 10.1.2.1 255.255.255.252

interface GigabitEthernet0/0/2
ip address 172.16.3.254 255.255.255.0

ospf 1 router-id 6.6.6.6
area 0.0.0.0
network 10.1.2.0 0.0.0.3
network 172.16.3.0 0.0.0.255

3、DHCP server(用于给无线网区域和办公区域的终端分配业务网络的ip地址)
System-view
sysname DHCP_server
DHCP enable
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
dns-list 202.96.128.86
ip pool AP
gateway-list 192.168.93.254 192.168.93.1
network 192.168.93.0 mask 255.255.255.0
excluded-ip-address 192.168.93.2
dns-list 8.8.8.8

ip pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
dns-list 8.8.8.8

ip pool vlan30
gateway-list 192.168.30.254
network 192.168.30.0 mask 255.255.255.0
dns-list 8.8.8.8
interface GigabitEthernet0/0/1
description to_Firewall
ip address 192.168.95.1 255.255.255.0
dhcp select global
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 192.168.95.0 0.0.0.255

4、三层交换机配置
System-view
sysname hexin

vlan batch 3 to 4 10 20 30
interface Vlanif3
description to_AC
ip address 192.168.93.1 255.255.255.0

interface Vlanif4
description to_firewall
ip address 192.168.94.1 255.255.255.0

interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.95.1

interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.95.1

interface Vlanif30
ip address 192.168.30.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.95.1

interface GigabitEthernet0/0/1
description to_firewall
port link-type access
port default vlan 4

interface GigabitEthernet0/0/2
description to_bangong
port link-type trunk
port trunk allow-pass vlan 20

interface GigabitEthernet0/0/3
description to_AC
port link-type access
port default vlan 3

interface GigabitEthernet0/0/4
description to_AP1
port link-type trunk
port trunk pvid vlan 3
port trunk allow-pass vlan 3 10

interface GigabitEthernet0/0/5
description to_AP2
port link-type trunk
port trunk pvid vlan 3
port trunk allow-pass vlan 3 30

ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.93.0 0.0.0.255
network 192.168.94.0 0.0.0.255
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255

5、办公网络交换机:
System-view
sysname bangong

vlan batch 20
interface Ethernet0/0/1
description terminal_pc
port link-type access
port default vlan 20
interface GigabitEthernet0/0/1
description bangong_main
port link-type trunk
port trunk allow-pass vlan 20

(二)检查已配置网络的OSPF路由与ip路由表,查看网络连通性:

(1)防火墙上的OSPF邻居、邻接,有4个邻居,建立了邻接关系,正常,如下图:
在这里插入图片描述

(2)防火墙上的ip路由表,包含了全网的ip路由网段,正常,如下图:

在这里插入图片描述

(3)在PC1上使用ping命令测试网络的连通性,正常,如下图:
在这里插入图片描述

(三)配置无线网络,使AP上线:

1、为了让各AP正确获取到ip地址,(使用92网段作为AP与AC的管理网络)在三层交换机上配置如下:
(1)新建vlan 92,并配置vlan的ip地址,开启vlan的DHCP基于接口模式,使允许vlan92的默认接口能获取到192.168.92.0/24网段的ip地址:
System-view
Dhcp enable
vlan batch 92
interface Vlanif92
ip address 192.168.92.254 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 192.168.92.251 (192.168.92.251给AC,为避免AP与AC的ip地址冲突,排除这个ip的分配)

(2)配置连接AP的2个接口的默认vlan为92,使AP能正确获取基于接口模式的DHCP地址池中的ip 地址
在这里插入图片描述

2、三层交换机与AC端的连接配置,使AC拥有192.168.92.251/24这个ip地址,使AC与AP在同一个网段,为后面发放AP的配置做准备:
(1)三层交换机配置,如下图:
在这里插入图片描述

(2)AC上配置vlan 92的ip地址,并使vlan 92成为默认vlan:
在这里插入图片描述

3、查看AP是否正确获取到ip地址,并测试AC与AP之间的连通性:
(1)AP1上查看,能正确获取到192.168.92.0/24网段的ip地址,如下图:
在这里插入图片描述

(2)AP2上查看,AP刚刚启动未获取到正确的ip地址时,如下图:
在这里插入图片描述

(3)AP2上查看,正确获取到ip地址之后,如下图:
在这里插入图片描述

4、在AC上完成AP的配置,并下发配置到AP上:
(1)AC上配置AP1:
undo terminal monitor
system-view
wlan
security-profile name jiaoxue1
security wpa-wpa2 psk pass-phrase 12345678 aes

ssid-profile name jiaoxue1
ssid jiaoxue1

vap-profile name jiaoxue1
service-vlan vlan-id 10
ssid-profile jiaoxue1
security-profile jiaoxue1

rrm-profile name default
calibrate auto-channel-select disable
calibrate auto-txpower-select disable

ap-group name jiaoxue1
radio 0
vap-profile jiaoxue1 wlan 1
radio 1
vap-profile jiaoxue1 wlan 1

ap-id 1 ap-mac 00e0-fc7a-2140
ap-name jiaoxue1
ap-group jiaoxue1
radio 0
channel 20mhz 1
eirp 127
radio 1
channel 40mhz-minus 40
eirp 127

(2)AC上配置AP2:
wlan
security-profile name jiaoxue2
security wpa-wpa2 psk pass-phrase 12345678 aes

ssid-profile name jiaoxue2
ssid jiaoxue2

vap-profile name jiaoxue2
service-vlan vlan-id 30
ssid-profile jiaoxue2
security-profile jiaoxue2

rrm-profile name default
calibrate auto-channel-select disable
calibrate auto-txpower-select disable

ap-group name jiaoxue2
radio 0
vap-profile jiaoxue2 wlan 1
radio 1
vap-profile jiaoxue2 wlan 1

ap-id 2 ap-mac 00e0-fc1a-6710
ap-name jiaoxue2
ap-group jiaoxue2
radio 0
channel 20mhz 6
eirp 126
radio 1
channel 40mhz-minus 48
eirp 126

(3)上面的配置中,需要加入AP的MAC地址,查看的方法如下:
在这里插入图片描述

(4)该vlanif 92地址被设置成了capwap隧道源接口或源地址。用于在AC上下发配置给2个AP,让AP上线:
capwap source interface vlanif92

5、查看AC上连接到的2个AP状态正常,如下图:
在这里插入图片描述

6、查看上线的AP效果图,很明显已经有发射出信号的wifi,如下图:
在这里插入图片描述

7、查看连接WIFI后的拓扑图:
(1)打开终端笔记本1,可以看到覆盖区域内的wifi名称
在这里插入图片描述

(2)选择其中一个wifi,连接,输入在AC上配置的wifi密码12345678,如下图:
在这里插入图片描述

(3)终端笔记本通过密码验证后,连接时从网络中获取ip地址(此时的业务网络ip地址由DHCP服务器的ip pool地址池提供,三层交换机只做了一个DHCP的中继)

在这里插入图片描述

(4)拓扑图的三层交换机G0/0/4接口抓包,验证业务网络ip获取的过程,可以看到,回应的DHCP并不是vlan 92的管理网络,而是192.168.95.1这个DHCP服务器专门分配业务网络ip,得到的ip是192.168.10.253,如下图:
在这里插入图片描述

(5)从笔记本终端上查看自己的ip地址是不是192.168.10.253,验证正确,如下图:

在这里插入图片描述

(四)配置防火墙

1、配置cloud,增加以太网的internal内部接口、以太网的public全局接口,virtual network是虚拟网卡,出入端口号分别配置为1、2,增加,如下图:
在这里插入图片描述

2、连接cloud到防火墙的G0/0/0接口,通过物理机的浏览器则可管理防火墙
(1)配置防火墙G0/0/0接口的ip地址为192.168.96.100/24,与clound虚拟网卡同一个网段,如下图:
在这里插入图片描述

(2)此时通过物理机的CMD窗口ping防火墙的G0/0/0接口192.168.96.100是不通的,因为防火墙默认不允许ping,如下图:
在这里插入图片描述

(3)在防火墙的G0/0/0接口上开启允许ping,如下图:
在这里插入图片描述

(4)此时再使用物理机的CMD窗口ping防火墙的G0/0/0接口192.168.96.100,能正常通信了,如下图:
在这里插入图片描述

(5)在防火墙的G0/0/0接口上开启https服务,允许cloud连接的物理机通过浏览器访问防火墙,如下图:
在这里插入图片描述

(6)在物理机上通过浏览器访问防火墙,https://192.168.96.100:8443
在这里插入图片描述

(7)输入华为模拟器默认的用户名和密码admin Admin@123
若修改过密码则输入修改之后的密码,登录后的界面如下图:
在这里插入图片描述

3、配置华为防火墙的各接口ip地址:
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.1.2 255.255.255.252

interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.95.100 255.255.255.0

interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.94.100 255.255.255.0

interface GigabitEthernet1/0/3
undo shutdown
ip address 10.1.2.2 255.255.255.252

4、配置华为防火墙的各区域接口
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/2

firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/3

firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/1

5、配置域间策略内网区域到外网区域允许访问
(1)内网区域到外网区域允许访问trust_untrust,源安全区域、目的安全区域、新建源地址,如下图:
在这里插入图片描述

(2)新建的源地址“无线网区域”指定地址范围:192.168.10.0/24,如下图:
在这里插入图片描述

(3)新建“办公网区域”指定地址范围:192.168.20.0/24,并加入到源地址,如下图:
在这里插入图片描述

6、配置域间策略trust_dmz,无线网区域、办公网区域到服务器区域允许访问
(1)无线网区域、办公网区域到服务器区域允许访问trust_dmz,指定源地址为办公网区域、无线网区域,如下图:
在这里插入图片描述

(2)指定目的地址为dmz区域的内网服务器,即内网服务器区域的ip地址范围,如下图:
在这里插入图片描述

7、配置域间策略dmz_trust,允许服务器回数据包给内网用户,如下图:
在这里插入图片描述

8、安全策略配置完成后,可看到的策略列表如下图:
在这里插入图片描述

9、配置NAT源地址转换,使内网终端与办公区域可以上外网
(1)新建NAT策略,如下图:
在这里插入图片描述

(2)NAT策略列表如下图:
在这里插入图片描述

10、保存防火墙配置,如下图:
在这里插入图片描述

四、验证无线网区域与办公区域访问外网的服务器:

1、办公区域的电脑能正确从DHCP server获取到ip地址,如下图:
在这里插入图片描述

2、办公区域到外网的HTTP server3可访问,如下图:
(1)启动http server服务
在这里插入图片描述

(2)使用http client访问HTTP server3时,正常,如下图:

在这里插入图片描述

(3)使用http client访问HTTP server1时,正常,如下图:
在这里插入图片描述

3、无线区域的终端笔记本电脑、手机能正确连到wifi获取到ip地址,如下图:
在这里插入图片描述

4、无线网络区域使用http client访问HTTP server 2时,正常,如下图:

在这里插入图片描述

五、考试环境配置

(要求是连接本网络环境中的WIFI后,实现考生只能访问指定的站点,若本例指定是HTTP server3作为考试站点,则不允许访问外网的HTTP server1与HTTP server2)

(一)配置2条安全策略 (1条允许无线区域访问考试服务器HTTP Server3,1条禁止无线区域访问any任意其他站点)

1、配置安全策略允许无线网络区域访问HTTP server3考试服务器
(1)新建安全策略,允许无线网络区域访问HTTP server3考试服务器,如下图:
在这里插入图片描述

(2)新建策略后列表中的结果,将策略移动最顶部,因为策略匹配时是按策略的先后顺序匹配的,如下图:

在这里插入图片描述

2、禁止无线区域访问任何其他站点(即只允许访问考试服务器HTTP Server3),如下图:
(1)新建安全策略,禁止无线区域访问any,如下图:
在这里插入图片描述

(2)建好安全策略后,将这条策略放在第2条,如下图:
在这里插入图片描述

3、配置全局选路策略
在这里插入图片描述

4、配置策略路由:

在这里插入图片描述
在这里插入图片描述

(二)测试结果:

1、办公区域访问3台服务器,正常,如下图:
在这里插入图片描述

2、无线区域访问测试:
(1)无线区域访问考试服务器之外的HTTP Server1时,被防火墙的安全策略拦截,预期目标实现,如下图:
在这里插入图片描述

(2)无线区域访问HTTP Server3考试服务器,正常,如下图:
在这里插入图片描述

六、当考生使用场景周围别的WIFI或网络时,则不受本网络策略的控制,主要情形有:

1、被控制区域周围的WIFI影响:使用AC+AP的模式后,虽然可以避免隐蔽站和暴露站的问题,但是若覆盖的区域中,有其他非AC+AP的WIFI出现时,用户连接到别的WIFI时,是不受本网络环境控制的。
2、使用手机数据网络时的影响:使用手机数据网络时,使用的网络流量是运营商管理,并非本网络环境所控制。
3、使用移动WIFI对本例网络的影响:当使用移动WIFI时,移动卡式的WIFI非本网络环境所控制。
所以,考场周围的环境,要注意其他WIFI信号的加密或屏蔽,不准考生携带移动WIFI设备,不能使用手机的数据网络,就可以受本网络环境的策略控制,只允许用户连接WIFI后,打开考试对应的网站。

本文至此结束,不足之处敬请批评指正。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1386552.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

企业级做项目的流程

目录标题 前言企业做项目的流程 ⭐⭐总结 前言 我们平时在学校里做项目或者大作业的时候,基本上都是个人开发的,即使有小组一起开发,一般也不会遵守开发规范。最近入职一家企业开始实习,才发现开发规范竟然如此重要,因…

【数据结构】排序之归并排序与计数排序

个人主页 : zxctsclrjjjcph 文章封面来自:艺术家–贤海林 如有转载请先通知 目录 1. 前言2. 归并排序2.1 递归实现2.1.1 分析2.1.2 代码实现 2.2 非递归实现2.2.1 分析2.2.2 代码实现 3. 计数排序3.1 分析3.2 代码实现 4. 附代码4.1 Sort.h4.2 Sort.c4.3…

2. 示例:Spring Boot 入门

1.1 概述 Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。习惯优于配置 1.2 为什么使用Spring Boot J2EE笨重的开发、繁多的配置、低下的开发效率、复杂的部署流程、第三方技术集成难度大。 1.3 Spring Bo…

【python】进阶--->MySQL数据库(四)

一、主键约束 primary key : 唯一标识数据库中的每一条记录. 被主键的值唯一 主键列不能为null 每个表应该都要设置主键添加主键约束 在创建表时,直接在字段后面添加主键约束 create table 表名 (字段名 类型(长度) primary key )创建表时,不直接在字段后面添加主键…

二、Spring Boot与Mybatis代码自动生成

一、Mybatis代码自动生成 下载自动生成java包:https://www.alipan.com/s/7sGR9uGKoVh 下面就是根据这个进行简单配置即可 1.修改 下面主要修改这个文件 如下 如下 如下 运行 2.结果 解释:在运行之后,就会在上面输入的包里面创建…

【ubuntu】docker中如何ping其他ip或外网

docker中如何ping其他ip或外网 示例图: 运行下面命令: docker run -it --namehei busybox看情况需要加权限 sudo,即: sudo docker run -it --namehei busyboxping 外网 ping -c 4 www.baidu.comping 内网 ping -c 4 192.168.…

rime中州韵小狼毫 联想词组 滤镜

教程目录:rime中州韵小狼毫须鼠管安装配置教程 保姆级教程 100增强功能配置教程 在 rime中州韵小狼毫 自定义词典 一文中,我们分享了如何在rime中州韵小狼毫须鼠管输入法中定义用户自定义词典;通过自定义词典,我们可以很方便的在…

LeetCode:82. 删除排序链表中的重复元素 II(C++、Java)

目录 82. 删除排序链表中的重复元素 II 题目描述: 实现代码与解析: 链表遍历: 实现代码与解析: 82. 删除排序链表中的重复元素 II 题目描述: 给定一个已排序的链表的头 head , 删除原始链表中所有重复…

【我与Java的成长记】之继承详解(二)

系列文章目录 能看懂文字就能明白系列 C语言笔记传送门 Java笔记传送门 🌟 个人主页:古德猫宁- 🌈 信念如阳光,照亮前行的每一步 文章目录 系列文章目录🌈 *信念如阳光,照亮前行的每一步* 前言一、super关…

VBA之Excel应用第五节:录制宏时,使用绝对引用和相对引用

《VBA之Excel应用》(版权10178983)是非常经典的,是我推出的第七套教程,定位于初级,目前是第一版修订。这套教程从简单的录制宏开始讲解,一直到窗体的搭建,内容丰富,实例众多。大家可…

乡镇景区外卖需求的上涨,现在下场做外卖平台服务晚不晚?

如今,在田间地头点外卖已经变成了现实。随着外卖市场的发展,外卖消费的多样化场景逐渐显现,不仅在田间可以订餐外卖,出门旅行的任何地方都可以点上一份热腾腾的外卖送到面前。特别是从去年开始旅游经济恢复之后,外卖也…

分类预测 | Matlab实现ZOA-CNN-MATT-SVM斑马优化卷积神经网络多头注意力机制结合支持向量机的数据分类预测【24年新算法】

分类预测 | Matlab实现ZOA-CNN-MATT-SVM斑马优化卷积神经网络多头注意力机制结合支持向量机的数据分类预测【24年新算法】 目录 分类预测 | Matlab实现ZOA-CNN-MATT-SVM斑马优化卷积神经网络多头注意力机制结合支持向量机的数据分类预测【24年新算法】分类效果基本描述程序设计…

构建镜像:探索容器化应用部署的核心技术

目录 引言:前提准备:构建镜像:基本结构准备工作镜像运行镜像优化 总结 引言: 容器化应用部署已经成为当今软件开发和运维中的热门话题。构建镜像是容器化部署的关键步骤之一,它能够帮助开发人员和运维团队快速、高效地…

Flink-容错机制

Flink中的容错机制 流式数据连续不断地到来,无休无止;所以流处理程序也是持续运行的,并没有一个明确的结束退出时间。机器运行程序,996 起来当然比人要容易得多,不过希望“永远运行”也是不切实际的。因为各种硬件软件…

排序——归并排序

文章目录 基本思想递归版本思路代码实现 非递归版思路代码实现 结果演示 基本思想 归并排序(MERGE-SORT)是建立在归并操作上的一种有效的排序算法,该算法是采用分治法(Divide andConquer)的一个非常典型的应用。将已有序的子序列…

基于深度学习的时间序列算法总结

1.概述 深度学习方法是一种利用神经网络模型进行高级模式识别和自动特征提取的机器学习方法,近年来在时序预测领域取得了很好的成果。常用的深度学习模型包括循环神经网络(RNN)、长短时记忆网络(LSTM)、门控循环单元&a…

数据库知识汇总之MySQL

目录 MySQL数据库特点MySQL下载MySQL配置文件初始化MySQL配置安装MySQL服务 启动MySQL服务登录数据库修改数据库登录密码MySQL错误代码1130 MySQL数据库特点 MySQL是一个开源关系型数据库管理系统(RDBMS),由Oracle公司维护和开发。它使用SQL语言进行数据库管理和操…

mfc140.dll丢失了要怎么解决?多种解决mfc140.dll方法对比

mfc140.dll丢失了怎么办?mfc140.dll丢失的多个解决方法今天就来给大家详细的说说,因为平时实在是太多人咨询这个问题了,都说自己电脑的mfc140.dll找不到了,一些程序没办法运行,所以还是给大家分析一下mfc140.dll。 一.…

droupout(Pytorch中的代码实现)

图片来源: 【Pytorch】torch.nn.Dropout()的两种用法:防止过拟合 & 数据增强-CSDN博客 注意: droupout可以进行数据增强或者防止数据过拟合。 droupout在全连接层之后,使得部分神经元失活,但是为什么能保持数据…

使用官方构建工具来创建一个vue3的项目

当你使用 Vite 构建项目时,可能会发现在命令行界面无法选择是否包含 TypeScript 等其他基础配置。此外,使用 vue create 命令创建项目时,默认会使用 vue-cli,但项目启动等过程可能较慢。在这种情况下,你可以参考以下步…