CourseOutline.docx

CourseOutline.docx

《CourseOutline.docx》由会员分享，可在线阅读，更多相关《CourseOutline.docx（42页珍藏版）》请在冰豆网上搜索。

CourseOutline

网络安全的实现和管理——

以WindowsServer2003和ISAServer2004为例

教学大纲

1.1课程简介

1.1.1课程名称

中文名：

网络安全的实现和管理——以WindowsServer2003和ISAServer2004为例

英文名：

ImplementingandAdministeringSecurityinaMicrosoftWindows2003ServerandISAServer2004Network

1.1.2课程类别

系统管理课程

1.1.3课程概览

企业对网络连接特别是Internet连接的要求越来越高，以往80％的网络流量在企业内部被替代为80％的网络流量流向企业外部，与此同时信息安全也成为了日益严重的问题，公共网络中每天都充斥着大量的非法访问和攻击。

本课程主要介绍了在Microsoft安全框架下如何进行安全策略的实现，包括安全组、帐户安全性、身份验证、证书、IPSEC、应用程序服务器安全、入侵检测等多项服务的管理和优化。

同时本书详细描述了ISAServer2004的安装配置和管理，同时说明了如何将ISA防火墙和企业中其他服务进行集成。

学完这些章节可以成为一名企业IT部门的网络安全管理和服务器支持工程师，能够完成企业中上述服务的配置和管理。

全书共分为二十三章，分为网络安全管理实现和ISAServer的配置管理两部分，具体内容如下：

●能够规划和配置授权和身份验证策略（第一章）

●能够安装配置和管理证书颁发机构（第二章）

●能够进行证书以及智能卡证书的规划、实现和故障诊断（第三、四章）

●能够进行加密文件系统的规划实现和故障排除（第五章）

●能够规划、配置和部署安全基线（第六、七、八章）

●能够规划和实现软件更新服务（第九章）

●能够实现数据安全性的规划、部署和故障排除（第十章）

●能够配置和管理SSL（第十一章）

●能够规划和实施无线网络的安全措施（第十二章）

●能够保护远程访问安全（第十三章）

●能够安装和维护ISAServer（第十五章）

●能够配置允许对Internet资源的访问（第十六章）

●能够设置ISAServer作为防火墙（第十七章）

●能够配置对内部网络的访问（第十八章）

●能够集成ISAServer和ExchangeServer（第十九章）

●能够对高级应用程序和Web进行筛选（第二十章）

●能够为远程客户端和网络配置虚拟专用网（第二十一章）

●能够实现缓存（第二十二章）

●能够监视ISAServer2004（第二十三章）

本书内容主要考核基于Microsoft安全框架网络安全的部署和实施，Windows2003网络安全管理、具体配置：

帐户安全，服务器安全，身份验证、IPSec、PKI、安全基线，以及ISAServer的配置和管理等会贯穿整个考试内容。

通过本课程的学习，学生具备了中小型企业网络安全的基本管理能力，能够管理用户安全和服务器安全，同时进行安全的网络连接，完成课程学习后还具备基本的安全防护和灾难恢复能力。

1.1.4课程定位

图1时讯电子商务公司网络拓扑图

如图1所示，这里我们使用时讯电子商务公司的IT职位来描述服务器网络管理员在公司IT系统中的位置，时讯电子商务公司是一个外贸公司，从原有的10台计算机发展到今天拥有200台计算机的规模，从原先基本的工作组环境发展到以Nwtraders.msft为域名的网络环境，公司发展初期都是简单在计算机上建立共享，来达到资源共享的目的，但是伴随着业务发展，需要进行资源的集中管理控制，公司现在拥有了专门的服务器角色、域控制器、文件服务器、打印服务器和相关备份设备，同时希望能够利用现有的服务器角色实现企业中DHCP、WINS、DNS、IPSEC、CA、RRAS、路由器配置、网站服务器等服务器的搭建、管理、排查错误。

由于网络环境逐渐复杂，特别是员工访问公共网络的需求越来越大，使网络不断的面临安全威胁，因此需要在现有的网络架构和各种服务的基础上部署相关的安全策略。

学完本书的学生能够充当网络安全工程师的角色，掌握如何有效在企业中根据具体需求来完成相关服务的安全配置和安全策略的部署，进行相关日常管理。

网络安全工程师在在整个公司中扮演着基础，但是很重要的角色，负责企业日常服务器、客户端进行安全维护，保护网络不被非法用户侵入，他是企业中必不可少的一个角色。

MCSE系统工程师在公司中工作主要为“设计和规划”，按照时讯公司的业务需求来规划、搭建、管理基于Windows的网络和服务器。

MCSA系统管理员在公司中的工作主要为“管理、实施和维护”，他们管理和维护着时讯公司的Windows网络和服务器，保证网络正常运行。

MCDBA数据库管理员主要的任务是保证公司电子商务网站数据库中数据的安全和用户访问数据库时的畅通。

MCSE+Messaging工程师负责搭建公司的邮件服务器，并按照公司的需求进行配置和维护。

由于是刚发展成立的外贸公司，公司对于安全的要求等级还不是很高，如果有这方面规划可以咨询MCSE+安全工程师，他们在网络中负责着防火墙的架设和整个Windows网络和服务器的安全。

1.1.5学习路径

图2网络和系统人才培育学习路径图

如图2所示，本课程属于岗位应用技能课程，本门课是获得MCSEsecurity、MCSA证书必须学习的课程。

在学习本课程以前，需要具备下列计算机基础知识：

●熟练使用Windows界面来创建、定位和操作文件和文件夹。

熟练配置桌面环境

●掌握计算机硬件基本知识，包括内存、硬盘和CPU

●掌握基本网络基本知识，包括网络操作系统、服务器/客户端结构和局域网

●完成学习网络服务器操作系统的管理——Windows2003管理课程

●完成学习操作系统的安装、配置和管理——WindowXP专业版的安装、配置和管理

●完成学习网络基础架构的实现和管理——Windows2003Server网络基础架构的实现和管理

如表1所示，本课程的推荐先修课程为《网络基础架构的实现和管理——Windows2003Server网络基础架构的实现和管理》，后修课程参见表1。

学完本课程后可单独结业，参加ATA组织的考试。

学习好本课程对于后面进行数据库管理、服务器管理、开发方向方面更深层次的学习非常必要。

它直接为微软认证数据库管理员（MCDBA）培养方向的后续课程和MCSE的相关认证的后续课程在操作系统级别提供必要的实践基础。

表1

先修课程

后修课程

网络基础架构的实现和管理——Windows2003Server网络基础架构的实现和管理

活动目录的规划、实现和管理——以Windows2003Server为例

1.2教学指导

1.2.1教学目标

通过学习本课程，学生能够具备架构、管理和维护中小型企业网络系统安全的管理能力，能够管理网络中的常见安全服务并进行相关排错，具备一个网络基础工程师的基本素质。

具体技能包括：

●设计和配置授权和验证策略：

信任关系、ACL策略、身份验证协议

●安装、配置和管理CA：

安装和管理CA

●设计、部署和故障排除：

智能卡证书

●设计、部署和故障排除：

EFS加密和文件共享

●设计、配置安全的成员服务器基线：

安全模板

●为服务器角色设计、配置和部署安全基线：

DNS、基本架构服务器、文件和打印服务器、IIS、IAS、Exchange以及SQL服务器的安全基线

●设计、配置和部署客户端计算机基线：

组策略，软件限制

●设计和部署软件更新：

MBSA、SUS

●设计、部署和故障排除数据传输安全：

SSL、IPSec

●设计和部署无线网络安全：

802.1x身份验证

●使用ISAServer2004设计和部署周边网络安全

●安装和维护ISAServer2004。

安装和配置ISAServer客户端

●使用ISAServer2004为网络客户端配置对Internet资源的安全访问

●将ISAServer2004配置成为Internet和内部网络之间的防火墙

●为使用Web和服务器发布规则的Internet用户配置往内部网络的安全访问

●配置ISAServer2004为Internet上的服务器和客户端提供到Exchange服务器的访问

●在ISAServer2004上部署应用程序和Web过滤

●通过ISAServer2004为远程客户端和远程网络部署VPN

●在ISAServer2004上部署Web代理缓存

●在ISAServer2004上监视服务器性能、安全和使用率

●设计和配置ISAServer2004企业版

●在背靠背防火墙场景中部署ISAServer2004企业版

●在站点到站点VPN场景中部署ISAServer2004企业版

1.2.2教学方法

本套教材的目标是培养学生成为一个能够管理中小型企业网络系统安全网络安全工程师。

如何通过教学使得没有实际技能和支持经验的学生能达到这个目标？

由于学生对于知识的学习是遵循理解、掌握、应用、经验积累这个过程的。

按照这样的原则，本套教材配备了如下的教学资源，课本、习题、幻灯片、教学指导手册、多媒体视频录像、实验、课外阅读和综合训练。

本套教材的目标是培养学生能够进行网络基础架构的实现、管理和排错，并为后续课程的开展奠定基础。

如何达到这个预定目标呢？

本套教材配备了如下的教学资源，课本、习题、幻灯片、实验、综合训练、教学指导手册和多媒体视频录像。

教学资源和教学目的的具体对应关系见表2：

表2

教学资源

教师用

学生用

教学环节

教学目的

教学指导手册（教学大纲和教学详案）

课堂教学

教师：

课前使用教学大纲对课程有总体的把握，用教学详案结合课本进行备课。

课中根据教学详案的指引综合利用教学资源进行授课。

课本

课堂教学

教师：

课前结合课本和教学详案进行备课。

课中通过对课本的讲解可以让学生了解网络安全的实现和管理（WindowsServer2003和ISAServer2004），并使学生具备排错的能力。

学生：

课前需对课本的内容进行预习。

课中边听教师的讲授，并按照教师的要求阅读课本的相应部分。

课后阅读课本进行复习。

习题

课堂教学

教师：

课后通过布置习题，了解学生接受知识点的程度，从而调整后阶段的教学。

学生：

课后通过习题来消化和巩固网络安全的实现和管理——以WindowsServer2003和ISAServer2004为例的相关内容

幻灯片

课堂教学

教师：

课中通过幻灯片的使用，使课堂教学更加具备趣味性，更能直观地表达如何实现和管理Windows2003网络安全

学生：

课中通过观看幻灯片，可以更好地掌握课本中的知识重点和难点

课后通过使用幻灯片，可以对于每章的学习重点进行总结和复习

多媒体视频录像

课堂教学

教师：

课中通过多媒体视频录像的观看，能为学生演示Windows2003网络安全管理中一些比较难于在教室中模拟的部分，帮助学生对其的难点和具体操作步骤有个直观印象

学生：

课中通过观看多媒体视频录像，可以较容易地理解在网络安全的实现和管理（WindowsServer2003和ISAServer2004）中容易配置错误的地方或者理解比较困难的部分

实验

实验教学

教师：

通过给学生布置实验练习，可以让学生亲自动手进行实践

学生：

通过完成每章实验练习，可以实际演练所学的章节知识。

综合训练

综合练习教学

教师：

通过给学生布置一个综合训练，可以指导学生完整地综合使用所学的知识点来体会真实场景中的网络安全的实现和管理（WindowsServer2003和ISAServer2004）

学生：

通过综合训练中可以在真实场景中操练所学的重要知识点，并能够灵活地使用这些知识点来解决实际问题。

⏹实验

本课程提供真实环境的实验和虚拟实验环境，同时也可以建议使用VPC虚拟机环境进行实验。

真实环境的实验需要教师授课前按照实验环境安装指南（教师光盘中\webfiles\setupguide.doc）上的要求预先安装和配置所有计算机，然后根据课本上每章后的实验步骤进行实验。

VPC虚拟机实验环境需要教师根据自己学校实际情况使用虚拟机环境来保存各个小组的实验环境以及相关任务。

⏹案例教学

案例教学的目的是帮助学生在学校期间理解在企业中一个网络安全工程师的基本工作，同时学会如何在企业中做一名网络安全工程师，帮助学生掌握在实际工作中使用到的技能和方法，缩短知识和实际工作能力之间的距离。

同时对考点进行操练。

案例概要如下：

尚志通信公司决定使用MicrosoftWindowsServer2003作为主要的网络服务器解决方案，通过选择WindowsServer2003，尚志通信公司希望拥有了一个冗余的、可伸缩的，并且可以很容易管理的解决方案。

尚志通信公司希望通过部署企业的邮件方案来保证内外网络系统的安全，并作一个安全评估及风险评定，进面采取一些有效的措施来提高整个系统的安全及管理的高效性，希望利用WindowsServer2003提供的软件限制功能防范常见的公司内部安全问题，从而使我们的员工着重于为客户提供质量更加可靠的理财方案。

同时尚志通信公司决定使用MicrosoftInternetSecurityandAcceleration（ISA）ISAServer2004作为主要的防火墙解决方案，通过选择ISAServer2004，尚志通信公司现在拥有了一个冗余的、可伸缩的，并且可以很容易管理的解决方案，用来弥补在公司的内部网络和Internet之间的鸿沟。

案例教学需要学生应用的知识点如下：

●网络安全规划

●网络安全威胁分析

●网络边界安全

●数据传输安全

●物理资源安全

●计算机安全

●账户安全

●验证安全

●将ISASERVER2004安装并配置为防火墙和缓存服务器

●ISASERVER2004的企业版本安装与配置

●配置访问策略，实现安全地互连网访问

●实现ISASERVER2004的虚拟专有网络

●将ISASERVER2004配置为防火墙

●配置对内部特定资源的安全访问

●使用报警器、日志、报告和实时监视器，监视ISASERVER2004的活动

●Exchange2003邮件服务器的发布

●网站的发布

1.2.3建议学时数

44课时课堂教学+40课时实验教学+6课时综合训练

1.2.4教学重点、难点以及考点概览

1.2.4.1重难点分析

1.2.4.2重难点及考点分布表

在实际网络中，企业会采用多种网络访问方式和多种服务器为企业进行信息技术支持，为了保证这些服务的安全，会涉及大量场景和相关术语以及协议，由于很多服务器在学校使用比较少，所以学生会对于一些学习场景和学习内容比较迷惑，这里教室尽量通过演示和实验介绍给学生理解。

第一章

规划和配置授权和身份验证策略

建议学时

2课时课堂教学+2课时实验教学

目标

企业的安全策略中最关键且最被忽视的一部分是保护企业用户的安全，并为它们提供相应资源的访问权限。

为了保护企业中的资源免受恶意和未授权用户的访问，并增强企业数据的完整性，评估企业的基本架构以及创建和编写一份允许不同的企业用户进行相应级别访问的授权和身份验证规划是非常重要的。

通过本章的学习，能够掌握各种身份认证的过程，能熟练运用各类的组来对资源进行授权，以满足企业需求，同时教师需要补充说明信任关系、域和林的功能级别。

知识点

难点

重点

考点

1.1

WindowsServer2003中的组和基本组策略

1.2

在WindowsServer2003中创建信任

1.3

使用组来规划、实现和维护授权策略

1.4

身份验证模型的组件

1.5

规划和实现身份验证策略

1.6

实验：

规划和配置授权和身份验证策略

第二章

安装、配置和管理证书颁发机构

建议学时

2课时课堂教学+2课时实验教学

目标

在信息互连的当今时代，一个公司的网络可能由Intranet、Internet站点和Extranet组成。

所有这些都可能会被不怀好意、企图查看或篡改企业数字信息资产的XX者访问。

因此，拥有确保企业数据和通信安全的手段是十分重要的。

为了保证通信安全，有必要了解实现安全通信的系统的基本概念。

PKI（PublicKeyInfrastructure，公钥基本架构）就是这样一种可以在网络上进行安全通信的方法，它可提供用户身份验证、不可抵赖性、数据保密性和数据完整性。

本章概要说明了CA、PKI的概念和指导方针，同时说明了备份和还原CA的方法。

知识点

难点

重点

考点

2.1

PKI和证书颁发机构简介

2.2

安装证书颁发机构

2.3

管理证书颁发机构

2.4

备份和还原证书颁发机构

2.5

实验：

安装和配置证书颁发机构

第三章

配置、部署和管理证书

建议学时

2课时课堂教学+2课时实验教学

目标

企业依靠证书提供可靠性、保密性和不可抵赖性等好处。

本章讲述了如何为了预期的目的将证书颁发给正确的安全主体，以及如何简单明了的为用户部署证书。

此外，还应该掌握恢复数字证书的方法，以防用户或计算机丢失与数字证书关联的私钥。

学习完本章后，希望大家能够掌握以上知识点，结合实验理解证书的管理。

知识点

难点

重点

考点

3.1

配置证书模板

3.2

部署与吊销用户和计算机证书

3.3

管理证书

3.4

实验：

部署和管理证书

第四章

智能卡证书的规划、实现和故障诊断

建议学时

1课时课堂教学+1课时实验教学

目标

对于很多企业而言，单因素身份验证并没有提供足够的安全性。

需要更高安全性的企业正在实现多因素身份验证，在这种验证中，用户必须有多种表明其身份的方法。

实现多因素身份验证的一个最常见的选项就是部署智能卡。

在本章中，您将学习到如何规划部署智能卡基本架构，以确保该基本架构满足组织的安全性要求。

学习完本章后，希望大家能够掌握以上知识点，掌握多因素身份验证的概念。

知识点

难点

重点

考点

4.1

多因素身份验证简介

4.2

规划和实现智能卡基本架构

4.3

智能卡基本架构的管理和故障诊断

4.4

实验：

实施智能卡

第五章

加密文件系统的规划、实现和故障排除

建议学时

2课时课堂教学+2课时实验教学

目标

系统管理员的任务之一就是管理组织网络上的数据。

要有效地管理网络数据存储，除了其他知识之外，还必须了解加密。

在本章中，你将学习加密文件系统（EFS，EncryptingFileSystem），通过结合证书技术，EFS使你能安全地存储数据并有助于保护你的网络。

学习完本章后，希望大家通过EFS的实验明确EFS的功能和管理方针。

知识点

难点

重点

考点

5.1

EFS简介

5.2

在独立的WindowsXP环境中实现EFS

5.3

在使用PKI的域环境中规划和实现EFS

5.4

实现EFS文件共享

5.5

EFS故障排除

5.6

实验：

加密文件系统的规划、部署和故障排除

第六章

规划、配置和部署安全的成员服务器基线

建议学时

2课时课堂教学+2课时实验教学

目标

网络的安全依赖于组成网络的服务器的安全配置。

攻破单台服务器上的任何安全防护可能危及网络中所有计算机的安全，由此危及网络本身的安全。

默认安装的服务器往往不能适应安全需要。

因此，安全基线和安全模板是一个便捷的途径，它们为管理员提供了一个简便的方法来为网络实现基本安全。

本章通过概要说明安全基线和安全模板的概念，说明了在网络中部署和管理安全模板，统一网络的安全设置。

知识点

难点

重点

考点

6.1

成员服务器基线概述

6.2

规划安全的成员服务器基线

6.3

配置其他安全设置

6.4

部署安全模板

6.5

安全模板故障诊断

6.6

实验：

规划、配置和部署成员服务器基线

第七章

为服务器角色规划、配置和部署安全基线

建议学时

2课时课堂教学+2课时实验教学

目标

在一个企业的网络中，存在着各种角色的服务器。

诸如，DNS服务器、DHCP服务器、IIS服务器、文件打印服务器、数据库服务器、邮件服务器等等。

每种服务器角色对于安全有着不同的要求。

而网络的安全依赖于组成网络的各种服务器的安全配置。

本章将教授如何为各种服务器角色规划和配置安全基线策略。

学习完本章以后，希望大家能够区分不同服务器的安全需求，并有针对的部署安全基线。

知识点

难点

重点

考点

7.1

规划和配置域控制器安全基线

7.2

规划和配置DNS服务器安全基线

7.3

规划和配置基本架构服务器的安全基线

7.4

规划文件和打印服务器的安全基线

7.5

规划和配置IIS服务器的安全基线

7.6

Internet验证服务器基线策略

7.7

EXCHANGESERVER服务器基线策略

7.8

SQLSERVER服务器基线策略

7.9

实验规划、配置和实现服务器角色的安全基线

第八章

规划、配置、实现和部署安全客户端计算机基线

建议学时

2课时课堂教学+2课时实验教学　　

目标

对于网络管理员来说，安全规划是一项比较琐碎的工作。

不仅要考虑服务器的安全，客户端的安全也是不可忽视的工作。

例如，客户端安装了来历不明的软件可能会带来病毒和木马等等。

在本章中，你将学习如何规划、实现和部署客户端计算机上的安全基线。

还将学习如何在客户端计算机上规划和实现软件限制策略。

最后，你将学习如何在移动计算机上实现安全性。

在学习中，教师要重点加强实验和演示。

知识点

难点

重点

考点

8.1

规划和实现安全客户端计算机基线

8.2

配置和部署客户端计算机基线

8.3

规划和实现软件限制策略

8.4

为移动客户端实现安全

8.5

实验：

规划、实现、配