网络安全与防护情境设计.docx

网络安全与防护情境设计.docx

《网络安全与防护情境设计.docx》由会员分享，可在线阅读，更多相关《网络安全与防护情境设计.docx（22页珍藏版）》请在冰豆网上搜索。

网络安全与防护情境设计

国家高等职业教育网络技术专业教学资源库

计算机网络安全技术与实施

课程资源子库

情境设计

情境设计

1.依托典型项目案例进行情境设计

计算机网络安全技术与实施课程基于一个真实的大中型企业网络及其异地互联分公司和办事处的案例为背景，设计了6个学习情境，来引入网络安全与防护的相关知识。

网络结构图如图1所示，共分为4个区域：

图1典型企业网络互联结构图

1.1模拟互联网络（W网络）

W网络部分是为了便于对A公司总部及两个异地机构互联的理解而引入的。

W网络由六台路由器连接有三台公网服务器，还连接了A公司的三个处于不同地理位置的局域网。

出差员工直接连接到模拟的互联网络。

1.2A公司北京总部（X网络）

X网络是典型大中型园区网络主体架构，分别由接入层、汇聚层到核心层交换机构成内部三层交换网络，内网核心交换机连接有两台内网服务器。

核心交换机通过防火墙及接入路由器连接到模拟的互联网，防火墙旁接有三台对外服务器。

X网络中设计有500个以上连接点。

1.3A公司上海分公司（Y网络）

Y网络是一个中小型企业网络主体架构，由接入层与核心层交换机构成内部交换网络，内网核心交换机连接一台内网服务器，接入层交换机上连接有无线网络，为会议室内无线用户提供连接。

核心交换机通过防火墙及接入路由器连接到模拟互联网。

Y网络中设计有100个以上连接点。

1.4A公司长春办事处（Z网络）

Z网络是一个小型SOHO办公网络主体架构，通过接入路由器与堡垒主机将内部的接入交换网络及无线网络用户连接到模拟互联网。

Z网络中设计有20个以上连接点。

2.案例分析及规划

为了便于讲解，将图1中的设备名称进了细化与标记。

具体如图2所示，W网络中的设备以“W_”开头；X网络中的设备以“X_”开头；Y网络中的设备以“Y_”开头；Z网络中的设备以“Z_”开头。

图2典型企业网络互联带标识结构图

2.1模拟互联网W网络中设备及标识列表

序号

设备类型

名称

功能及作用

配置要点

备注

1

路由器

W_R1

模拟互联网ISP互联

公网OSPF

2

路由器

W_R2

模拟互联网ISP互联

公网OSPF

3

路由器

W_R3

模拟互联网ISP互联

公网OSPF

4

路由器

W_R4

模拟互联网ISP互联

公网OSPF

5

路由器

W_R5

模拟互联网ISP互联

公网OSPF

6

路由器

W_R6

模拟互联网ISP互联

公网OSPF

7

服务器

W_CA

模拟CA服务器

CA服务器

8

服务器

W_DNS

模拟DNS服务器

DNS服务器

9

服务器

W_WWW

模拟WWW服务器

WWW服务器

10

移动PC

W_XYZ

模拟A公司出差员工

需要远程访问总部内网

2.2A公司内部网络X网络中设备及标识列表

序号

设备类型

名称

功能及作用

配置要点

备注

1

路由器

X_R

X网络接入路由器

NAT、默认路由、内网OSPF

2

防火墙

X_FW

控制X网络内外网访问

防火墙、流控等（路由器代替）

3

交换机

X_2S5

二层交换连接

交换连接

4

服务器

X_WWW

A公司WWW服务器

WEB服务器等

5

服务器

X_MAIL

A公司MAIL服务器

MAIL服务器等

6

服务器

X_OA

A公司OA服务器

OA办公自动化服务器等

7

交换机

X_3S1

X网络核心层交换机

内网OSPF、VLAN、Trunk等

8

服务器

X_SVR1

X内网WINDOWS服务器

WWW、FTP等服务

9

服务器

X_SVR2

X内网LINUX服务器

WWW、FTP等服务

10

工作站

X_NMS

X内网网络管理工作站

IDS、SNMP等内网管理功能

11

交换机

X_3S2

X网络汇聚层交换机

VLAN、Trunk等

12

交换机

X_3S3

X网络汇聚层交换机

VLAN、Trunk等

13

交换机

X_2S1

X网络接入层交换机

VLAN、Trunk等

14

交换机

X_2S2

X网络接入层交换机

VLAN、Trunk等

15

交换机

X_2S3

X网络接入层交换机

VLAN、Trunk等

16

交换机

X_2S4

X网络接入层交换机

VLAN、Trunk等

17

台式PC

X_PC1-8

X网络内网用户

X网络内网用户计算机

2.3A公司上海分公司内部网络Y网络中设备及标识列表

序号

设备类型

名称

功能及作用

配置要点

备注

1

路由器

Y_R

Y网络接入路由器

NAT、默认路由、内网RIP等

2

防火墙

Y_FW

控制Y网络内外网访问

防火墙、流控等（路由器代替）

3

交换机

Y_3S

Y网络核心层交换机

VLAN、Trunk等

4

服务器

Y_SVR

Y内网服务器

WWW、FTP等服务

5

交换机

Y_2S1

Y网络接入层交换机

VLAN、Trunk等

6

交换机

Y_2S2

Y网络接入层交换机

VLAN、Trunk等

7

无线AP

Y_AP

Y网络会议室无线AP

无线AP连接

8

移动PC

Y_LP1-2

Y网络会议室移动PC

Y网络会议室移动PC

9

台式PC

Y_PC1-8

Y网络内网台式PC

Y网络用户计算机

2.4模拟互联网Z网络中设备及标识列表

序号

设备类型

名称

功能及作用

配置要点

备注

1

路由器

Z_R

Z网络接入路由器

NAT、默认路由、IOS安全等

2

堡垒主机

Z_SVR

Z网络堡垒主机

配置安全访问控制功能

3

交换机

Z_2S

Z网络接入层交换机

二层交换连接

4

无线AP

Z_AP

Z网络会议室无线AP

无线AP连接

5

移动PC

Z_LP1-2

Z网络会议室移动PC

Z网络会议室移动PC

6

台式PC

Z_PC1-4

Z网络内网台式PC

Z网络用户计算机

3.针对典型企业网络互联项目案例的学习情境设计

本课程将依据此案例进行网络安全风险分析与防护措施规划。

下面针对案例以网络安全领域内6个方面（3个模块）主流技术的运用实现对其的安全防护实施分析。

3.1网络协议及流量分析技术是安全防护实施的技术基础与核心

网络协议是网络通信的关键，但是由协议本身也存在着各种安全隐患。

针对网络协议的攻击也是种类繁多，从数据链路层到应用层协议都可能存在被攻击的缺陷。

特别是应用最为普遍的TCP/IP协议，其设计之初并没有考虑过多的安全问题。

如FTP、HTTP、Telnet等应用的明文账号和密码传输的安全缺陷、ARP欺骗、PING攻击、DoS攻击、DDoS攻击等。

因此，了解主要通信协议的安全缺陷、掌握有效的协议分析与流量控制技术是实施网络安全防护的关键。

如配置防火墙对特定针对协议的攻击，就需要深入了解协议的工作原理、规则及协议数据格式。

同时通过协议分析也可以定位网络中存在的故障及安全风险。

所以，本课程及教材的学习情境1是：

通过流量分析定位网络故障。

本情境将重点以X网络中X_NMS网络管理工作站为操作点，通过其分析X网络中的协议流量情况、分析某些协议的安全缺陷，并进行有效的控制等。

如图3所示。

图3通过流量分析定位网络故障整体情境图

“学习情境1通过流量分析定位网络故障”共设计有3个任务，具体任务名称及简介如下：

3.1.1任务1：

利用PacketTracer分析协议工作过程

本任务为协议分析基础学习，是利用思科PacketTracer分析协议数据工作过程和ICMP协议数据的格式。

从而理解网络中传输的数据包的封装层次。

可在任意单机上完成此任务。

3.1.2任务2：

基于SnifferPro进行协议、模拟攻击分析

本任务为协议分析的深入学习，是利用SnifferPro捕获协议数据、分析协议数据、构造协议数据的相关技术学习，从而让学习者深入理解协议数据的格式与封装层次。

可在图中的X_NMS设备上完成此任务。

3.1.3任务3：

利用深信服流量控制设备分析与定位网络故障

本任务为协议分析与故障定位的技术，是基于深信服流量控制设备对网络中的协议进行分析，从而发现内部网络中的协议数据存在的问题。

在X_FW位置的设备上完成，X_FW其为流量控制设备。

3.1.4拓展任务：

拓展训练任务6个

在拓展任务中将设计若干任务，进一步分析TELNET、FTP、HTTP明文数据传输的安全性问题。

3.2保护数据传输的机密性、完整性与真实性，防止息泄漏

由于很多TCP/IP协议簇中的协议在传输过程中是以明文方式传数据的，所以存在很安全隐患，很容易被非授权用户获取到数据内容，数据的机密性受到威胁。

因此对所要传输的文件进行加密后再传输可以有效降低重要数据被窃取的风险。

另外在A公司会有这样的需求：

分公司或办事处的用户通过公网（W网络）去访问总部内网服务器中数据的需求，此需求可以通过隧道技术连接分支与总部，但为了保护通过公网传输的数据的机密性、完整性与真实性，需要采用VPN技术，可能需要对数据进行保护。

此外，出差的员工也会需要通过公网连接到总部内网，以访问内网重要数据，为此也要对数据进行保护。

本部分内容将在学习情境2中学习，即如何保护数据在公网上的传输。

如图4所示。

图4保护数据在公网上的传输整体情境图

“学习情境2保护数据在公网上的传输”共设计有7个任务，具体任务名称及简介如下：

3.2.1任务1：

利用PGP实施非对称加密

本任务为数据加密技术的基础学习，是利用PGP软件对文件进行加密码、并签名的实验，实现对文件的机密性、完整性与真实性的保护与验证。

让学习者理解对称加密与非对称加密相关技术。

3.2.2任务2：

利用数字证书保护通信

本任务主要介绍数字证书技术，是利用Windows下和CA证书服务，实现基于HTTPS的WWW安全访问。

W_CA模拟CA服务器、X_WWW模拟设置SSL安全访问的WEB服务器、另外选择W_XYZ为客户端。

3.2.3任务3：

利用隧道技术连接企业与分支

本任务为隧道技术知识的引入，通过GRE隧道技术将分公司或办事处网络与总部网络建设隧道连接，以实现分支与总部内网间数据的互相访问。

主要配置点为X_R、Y_R、Z_R三台路由器。

3.2.4任务4：

基于Windows实现VPN连接

本任务主要基于Windows系统下的IPSEC（IP安全策略）实现点到点的安全通信，包括加密、认证与完整性保护。

实现点为X网络中X_NMS与X_WWW之间的安全隧道通信（如对远程桌面TCP协议的3389端口进行安全通信保护）。

3.2.5任务5：

基于路由器实现分支与总部VPN连接

本任务主要基于路由器实现基于IPSEC站点到站点的安全通信，包括加密、认证与完整性保护。

实现点为XYZ网络中X_R、Y_R、Z_R三台路由器。

以实现XYZ三个网络内网之间的安全互访。

3.2.6任务6：

基于INODE实现出差员工通过VPN访问总部

本任务主要基于X_R路由器实现出差员工通过VPN安全访问总部内部网络，包括加密、认证与完整性保护。

即利用INODE软件与X_R路由器配合，对出差员工通过公网拨入总部内网的VPN连接控制。

同时补充了思科的EZVPN的实现。

3.2.7任务7：

对无线连接进行认证与数据加密保护

本任务主要实现对无线连接的安全设置，包括Y网络和Z网络中的无线AP的安全配置，以实现对无线用户接入各自内网的控制。

3.2.8拓展任务：

拓展训练任务3个

在拓展任务中将设计若干任务，进一步了解SSH等安全协议功能与作用。

3.3对网络访问行为进行控制，保护内网安全

对于一个企业网来说，关键的防护设备之一就是处于公网与内网之间的网络安全防护与访问控制设备。

借助于网络安全访问控制设备可以有效保护内部网络中设备及主机的安全，以保护内网数据的安全。

XY网络中分别有各自的防火墙或流控设备，负责网络信息的安全检查、访问控制、整体防护功能。

而对于Z网络是借助于路由器Z_R实现基本防护功能，或借助Z_SVR堡垒主机配置基于通用主机的防火墙功能。

如图5所示。

图5对网络访问行为进行控制整体情境图

“学习情境3对网络访问行为进行控制”共设计有5个任务，具体任务名称及简介如下：

3.3.1任务1：

基于路由器配置基本防护功能（PT+IOS）

本任务为访问控制技术的基础学习，是利用PT软件中路由器配置基本包过滤与访问控制功能。

本任务将基于Z_R路由器实施基本的防护配置。

3.3.2任务2：

软件防火墙配置保护主机与内部网络RouterOS+LINUX+ISA

本任务主要基于通用计算机上的防火墙功能配置与实施，是利用虚拟机配置RouterOS、LINUX的IPTABLES或Windows的ISA防火墙功能。

任务中的配置点为Z_SVR堡垒主机。

另外补充了SmoothWall主机防火墙的配置。

3.3.3任务3：

基于思科路由器的IOS防火墙防护功能配置（IOSFW）

本任务为主要基于思科路由器的IOS防火墙功能实施内网防护，以实现对办事处内网的保护。

主要配置点为Z_R路由器。

3.3.4任务4：

基于天融信硬件防火墙对网络进行防护

本任务主要基于硬件防火墙保护Y网络的通信，包括访问控制等。

主要配置点为Y_FW防火墙或安全设备。

3.3.5任务5：

基于深信服设备进行网络行为控制

本任务主要基于深信服流控设备保护X网络安全通信，包括访问控制与流量控制。

主要配置点为X_FW防火墙或深信服流控设备。

3.3.6拓展任务：

拓展训练任务2个

在拓展任务中将设计若干任务，进一步深入学习防火墙相关功能的配置。

3.4对入侵进行检测、审计与防护

对于一个企业网来说，攻击是多角度、多层次的，仅凭防火墙等设备的保护是不全面的。

对于已经发生的入侵或攻击行为还需要进行入侵检测与审计，以保护内网数据的安全与取证。

XZ网络中分别有各自入侵检测设备。

负责网络信息的安全检查与记录。

对于X网络是借助于主机X_NMS或流量控制设备X_FW实现入侵检测功能。

对于Z网络是借助Z_R的路由器入侵检测功能实现IDS与IPS功能。

如图6所示。

图6对入侵进行检测、审计与防护整体情境图

“学习情境4对入侵进行检测、审计与防护”共设计有3个任务，具体任务名称及简介如下：

3.4.1任务1：

基于Snort入侵检测功能配置

本任务为主要基于主机与Snort软件实现网络入侵检测功能，对进出内网流量的检测与控制。

主要配置点为X_NMS主机与核心交换机。

3.4.2任务2：

基于思科路由器的IOS入侵检测功能配置（IOSIDS/IPS）

本任务为主要基于思科路由器的IOS入侵检测功能实施，对进出内网流量的检测与控制。

主要配置点为Z_R路由器。

3.4.3任务3：

基于深信服实施网络审计

本任务为主要基于深信服流量控制设备实施入侵检测功能，对进出内网流量的检测、控制与审计。

主要配置点为X_FW流量控制设备。

3.4.4拓展任务：

拓展训练任务2个

在拓展任务中将设计若干任务，进一步深入学习IDS/IPS相关配置。

3.5网络及主机渗透攻击测试与加固防护

对于一个企业网来说，需要全方位的防护，不能单纯凭对边界的控制。

因为攻击可能源自于内网中的任何主机。

因此对网主机进行攻击检测与加固也是一项关键安全防护任务。

本部分将以XY网络中的服务器为例，介绍网络中的攻击方法与加固措施。

如图7所示。

图7网络及主机渗透攻击测试与加固防护整体情境图

“学习情境5网络及主机渗透攻击测试与加固防护”共设计有2个任务，10个子任务，具体任务名称及简介如下：

3.5.1任务1：

网络及主机渗透攻击测试

本任务将以渗透攻击技术为主，对X内网主机服务器进行多角度的安全测试，以学习黑客常用的攻击方法，做到知己知彼，以便于下一任务中对网络及主机进行加固。

这里将分为5个子任务。

子任务1：

主机扫描技术（XSCAN等）

子任务2：

远程控制技术（灰鸽子等木马）

子任务3：

操作系统漏洞攻击（LINUX、WINDOWS：

溢出等）

子任务4：

应用程序漏洞攻击（IIS等）

子任务5：

数据库漏洞攻击

3.5.2任务2：

网络及主机加固防护

本任务将基于上一任务中的渗透攻击对网络及主机进行加固。

这里将分为5个子任务。

子任务1：

运用NEUSS扫描软件检测主机漏洞

子任务2：

主机基本防护与加固（服务最小化）

子任务3：

病毒防护（PE使用、免杀、捆绑等介绍）

子任务4：

系统漏洞防护与加固（补丁等）

子任务5：

服务及应用防护与加固（防篡改）

3.5.3拓展任务：

拓展训练任务2个

在拓展任务中将设计若干任务，进一步深入学习主机攻防技术。

3.6保护网络安全可靠运行的综合技术

对于一个企业网来说，安全防护相关的技术还有很多。

如数据备份、RAID、主机和网络冗余、AAA、SNMP等技术。

本情境将重点学习相关的综合安全防护技术，同时在拓展任务中补充了用户接入控制技术与统一网络管理相关技术。

具体如图8所示。

图8保护网络安全可靠运行的综合技术整体情境图

“学习情境6保护网络安全可靠运行的综合技术”共设计有6个任务，具体任务名称及简介如下：

3.6.1任务1：

数据备份与恢复

本任务为主要基于软件实现数据的备份与恢复功能，同时介绍数据丢失后的修复功能，重点突出数据备份技术的重要性。

主要配置点为主机。

3.6.2任务2：

磁盘冗余配置与实现

本任务为主要基于RAID技术实现的数据的备份与恢复功能，重点突出基于磁盘层面的数据备份技术的重要性。

主要配置点为主机。

3.6.3任务3：

服务器冗余配置与实现

本任务为主要基于服务器冗余技术实现数据的备份与恢复功能，重点突出主机层面的数据备份技术的重要性。

主要配置点为主机。

3.6.4任务4：

网络冗余配置与实现

本任务为主要基于路由器与交换机冗余技术实现数据的备份与恢复功能，重点突出网络层面的数据备份技术的重要性。

主要配置点为路由器与交换机。

3.6.5任务5：

AAA实现认证、授权与审计配置与实现

本任务为主要基于AAA技术实现用户的认证、授权与计费功能，主要配置点接入服务器NAS与AAA服务器。

3.6.6任务6：

基于SNMP协议实现网络管理

本任务为主要基于网络管理软件与SNMP协议实现网络管理，对进全网被管设备进行管理与监测。

主要配置点为X_NMS主机与网络中所有被管设备。

3.6.7拓展任务：

拓展训练任务2个

在拓展任务中补充了用户接入控制技术与统一网络管理相关技术。

4.本课程情境及任务列表

本课程及教材情境及任务列表如表1所示：

前导

整体情境案例介绍及引导

以典型企业项目案例引入网络安全防护技术

模块

情境

情境名称

任务

任务名称

层次

数据传输

学习情境1

通过流量分析定位网络故障

任务1

利用PacketTracer分析协议工作过程

★

任务2

基于SnifferPro进行协议、模拟攻击分析

★★

任务3

利用深信服流量控制设备分析与定位网络故障

★★★

拓展任务

拓展训练任务6个

学习情境2

保护数据在公网上的传输

任务1

利用PGP实施非对称加密

★

任务2

利用数字证书保护通信

★★

任务3

利用隧道技术连接企业与分支

★★

任务4

基于Windows实现VPN连接

★★

任务5

基于路由器实现分支与总部VPN连接

★★★

任务6

基于INode实现出差员工通过VPN访问总部（6608+INode）

★★★

任务7

对无线连接进行认证与数据加密保护

★★

拓展任务

拓展训练任务3个

局域网

学习情境3

对网络访问行为进行控制

任务1

基于路由器配置基本防护功能（PT+IOS）

★

任务2

软件防火墙配置保护主机与内部网络RouterOS+LINUX+ISA

★★

任务3

基于思科路由器的IOS防火墙防护功能配置（IOSFW）

★★

任务4

基于天融信硬件防火墙对网络进行防护

★★★

任务5

基于深信服设备进行网络行为控制

★★★

拓展任务

拓展训练任务2个

学习情境4

对入侵进行检测、审计与防护

任务1

基于Snort入侵检测功能配置

★

任务2

基于思科路由器的IOS入侵检测功能配置（IOSIDS/IPS）

★★

任务3

基于深信服实施网络审计

★★★

拓展任务

拓展训练任务2个

主机及用户端

学习情境5

网络及主机渗透攻击测试与加固防护

任务1

网络及主机渗透攻击测试

子任务1

主机扫描技术（XSCAN等）

★

子任务2

远程控制技术（灰鸽子等木马）

★★

子任务3

操作系统漏洞攻击（LINUX、WINDOWS：

溢出等）

★★

子任务4

应用程序漏洞攻击（IIS等）

★★★

子任务5

数据库漏洞攻击

★★★

任务2

网络及主机加固防护

子任务1

运用Nessus扫描软件检测主机漏洞

★

子任务2

主机基本防护与加固（服务最小化）

★★

子任务3

病毒防护（PE使用、免杀、捆绑等介绍）

★★

子任务4

系统漏洞防护与加固（补丁等）

★★

子任务5

服务及应用防护与加固（防篡改、数据库防护等）

★★★

拓展任务

拓展训练任务2个

学习情境6

保护网络安全可靠运行的综合技术

任务1

数据备份与恢复

★

任务2

磁盘冗余配置与实现

★★

任务3

服务器冗余配置与实现

★★

任务4

网络冗余配置与实现

★★

任务5

AAA实现认证、授权与审计配置与实现

★★★

任务6

基于SNMP协议实现网络管理

★★★

拓展任务

拓展训练任务2个

综合

整体案例网络安全技术实施汇总

基于典型企业项目案例整体实施网络安全防护技术

学习情境共6个，学习任务26个，拓展任务18个。