网络安全与防护情境设计Word格式.docx
《网络安全与防护情境设计Word格式.docx》由会员分享,可在线阅读,更多相关《网络安全与防护情境设计Word格式.docx(22页珍藏版)》请在冰豆网上搜索。
![网络安全与防护情境设计Word格式.docx](https://file1.bdocx.com/fileroot1/2023-1/23/26d24f81-55e3-497a-8c4f-d9911c63b463/26d24f81-55e3-497a-8c4f-d9911c63b4631.gif)
W_R1
模拟互联网ISP互联
公网OSPF
2
W_R2
3
W_R3
4
W_R4
5
W_R5
6
W_R6
7
服务器
W_CA
模拟CA服务器
CA服务器
8
W_DNS
模拟DNS服务器
DNS服务器
9
W_WWW
模拟WWW服务器
WWW服务器
10
移动PC
W_XYZ
模拟A公司出差员工
需要远程访问总部内网
2.2A公司内部网络X网络中设备及标识列表
X_R
X网络接入路由器
NAT、默认路由、内网OSPF
防火墙
X_FW
控制X网络内外网访问
防火墙、流控等(路由器代替)
交换机
X_2S5
二层交换连接
交换连接
X_WWW
A公司WWW服务器
WEB服务器等
X_MAIL
A公司MAIL服务器
MAIL服务器等
X_OA
A公司OA服务器
OA办公自动化服务器等
X_3S1
X网络核心层交换机
内网OSPF、VLAN、Trunk等
X_SVR1
X内网WINDOWS服务器
WWW、FTP等服务
X_SVR2
X内网LINUX服务器
工作站
X_NMS
X内网网络管理工作站
IDS、SNMP等内网管理功能
11
X_3S2
X网络汇聚层交换机
VLAN、Trunk等
12
X_3S3
13
X_2S1
X网络接入层交换机
14
X_2S2
15
X_2S3
16
X_2S4
17
台式PC
X_PC1-8
X网络内网用户
X网络内网用户计算机
2.3A公司上海分公司内部网络Y网络中设备及标识列表
Y_R
Y网络接入路由器
NAT、默认路由、内网RIP等
Y_FW
控制Y网络内外网访问
Y_3S
Y网络核心层交换机
Y_SVR
Y内网服务器
Y_2S1
Y网络接入层交换机
Y_2S2
无线AP
Y_AP
Y网络会议室无线AP
无线AP连接
Y_LP1-2
Y网络会议室移动PC
Y_PC1-8
Y网络内网台式PC
Y网络用户计算机
2.4模拟互联网Z网络中设备及标识列表
Z_R
Z网络接入路由器
NAT、默认路由、IOS安全等
堡垒主机
Z_SVR
Z网络堡垒主机
配置安全访问控制功能
Z_2S
Z网络接入层交换机
Z_AP
Z网络会议室无线AP
Z_LP1-2
Z网络会议室移动PC
Z_PC1-4
Z网络内网台式PC
Z网络用户计算机
3.针对典型企业网络互联项目案例的学习情境设计
本课程将依据此案例进行网络安全风险分析与防护措施规划。
下面针对案例以网络安全领域内6个方面(3个模块)主流技术的运用实现对其的安全防护实施分析。
3.1网络协议及流量分析技术是安全防护实施的技术基础与核心
网络协议是网络通信的关键,但是由协议本身也存在着各种安全隐患。
针对网络协议的攻击也是种类繁多,从数据链路层到应用层协议都可能存在被攻击的缺陷。
特别是应用最为普遍的TCP/IP协议,其设计之初并没有考虑过多的安全问题。
如FTP、HTTP、Telnet等应用的明文账号和密码传输的安全缺陷、ARP欺骗、PING攻击、DoS攻击、DDoS攻击等。
因此,了解主要通信协议的安全缺陷、掌握有效的协议分析与流量控制技术是实施网络安全防护的关键。
如配置防火墙对特定针对协议的攻击,就需要深入了解协议的工作原理、规则及协议数据格式。
同时通过协议分析也可以定位网络中存在的故障及安全风险。
所以,本课程及教材的学习情境1是:
通过流量分析定位网络故障。
本情境将重点以X网络中X_NMS网络管理工作站为操作点,通过其分析X网络中的协议流量情况、分析某些协议的安全缺陷,并进行有效的控制等。
如图3所示。
图3通过流量分析定位网络故障整体情境图
“学习情境1通过流量分析定位网络故障”共设计有3个任务,具体任务名称及简介如下:
3.1.1任务1:
利用PacketTracer分析协议工作过程
本任务为协议分析基础学习,是利用思科PacketTracer分析协议数据工作过程和ICMP协议数据的格式。
从而理解网络中传输的数据包的封装层次。
可在任意单机上完成此任务。
3.1.2任务2:
基于SnifferPro进行协议、模拟攻击分析
本任务为协议分析的深入学习,是利用SnifferPro捕获协议数据、分析协议数据、构造协议数据的相关技术学习,从而让学习者深入理解协议数据的格式与封装层次。
可在图中的X_NMS设备上完成此任务。
3.1.3任务3:
利用深信服流量控制设备分析与定位网络故障
本任务为协议分析与故障定位的技术,是基于深信服流量控制设备对网络中的协议进行分析,从而发现内部网络中的协议数据存在的问题。
在X_FW位置的设备上完成,X_FW其为流量控制设备。
3.1.4拓展任务:
拓展训练任务6个
在拓展任务中将设计若干任务,进一步分析TELNET、FTP、HTTP明文数据传输的安全性问题。
3.2保护数据传输的机密性、完整性与真实性,防止息泄漏
由于很多TCP/IP协议簇中的协议在传输过程中是以明文方式传数据的,所以存在很安全隐患,很容易被非授权用户获取到数据内容,数据的机密性受到威胁。
因此对所要传输的文件进行加密后再传输可以有效降低重要数据被窃取的风险。
另外在A公司会有这样的需求:
分公司或办事处的用户通过公网(W网络)去访问总部内网服务器中数据的需求,此需求可以通过隧道技术连接分支与总部,但为了保护通过公网传输的数据的机密性、完整性与真实性,需要采用VPN技术,可能需要对数据进行保护。
此外,出差的员工也会需要通过公网连接到总部内网,以访问内网重要数据,为此也要对数据进行保护。
本部分内容将在学习情境2中学习,即如何保护数据在公网上的传输。
如图4所示。
图4保护数据在公网上的传输整体情境图
“学习情境2保护数据在公网上的传输”共设计有7个任务,具体任务名称及简介如下:
3.2.1任务1:
利用PGP实施非对称加密
本任务为数据加密技术的基础学习,是利用PGP软件对文件进行加密码、并签名的实验,实现对文件的机密性、完整性与真实性的保护与验证。
让学习者理解对称加密与非对称加密相关技术。
3.2.2任务2:
利用数字证书保护通信
本任务主要介绍数字证书技术,是利用Windows下和CA证书服务,实现基于HTTPS的WWW安全访问。
W_CA模拟CA服务器、X_WWW模拟设置SSL安全访问的WEB服务器、另外选择W_XYZ为客户端。
3.2.3任务3:
利用隧道技术连接企业与分支
本任务为隧道技术知识的引入,通过GRE隧道技术将分公司或办事处网络与总部网络建设隧道连接,以实现分支与总部内网间数据的互相访问。
主要配置点为X_R、Y_R、Z_R三台路由器。
3.2.4任务4:
基于Windows实现VPN连接
本任务主要基于Windows系统下的IPSEC(IP安全策略)实现点到点的安全通信,包括加密、认证与完整性保护。
实现点为X网络中X_NMS与X_WWW之间的安全隧道通信(如对远程桌面TCP协议的3389端口进行安全通信保护)。
3.2.5任务5:
基于路由器实现分支与总部VPN连接
本任务主要基于路由器实现基于IPSEC站点到站点的安全通信,包括加密、认证与完整性保护。
实现点为XYZ网络中X_R、Y_R、Z_R三台路由器。
以实现XYZ三个网络内网之间的安全互访。
3.2.6任务6:
基于INODE实现出差员工通过VPN访问总部
本任务主要基于X_R路由器实现出差员工通过VPN安全访问总部内部网络,包括加密、认证与完整性保护。
即利用INODE软件与X_R路由器配合,对出差员工通过公网拨入总部内网的VPN连接控制。
同时补充了思科的EZVPN的实现。
3.2.7任务7:
对无线连接进行认证与数据加密保护
本任务主要实现对无线连接的安全设置,包括Y网络和Z网络中的无线AP的安全配置,以实现对无线用户接入各自内网的控制。
3.2.8拓展任务:
拓展训练任务3个
在拓展任务中将设计若干任务,进一步了解SSH等安全协议功能与作用。
3.3对网络访问行为进行控制,保护内网安全
对于一个企业网来说,关键的防护设备之一就是处于公网与内网之间的网络安全防护与访问控制设备。
借助于网络安全访问控制设备可以有效保护内部网络中设备及主机的安全,以保护内网数据的安全。
XY网络中分别有各自的防火墙或流控设备,负责网络信息的安全检查、访问控制、整体防护功能。
而对于Z网络是借助于路由器Z_R实现基本防护功能,或借助Z_SVR堡垒主机配置基于通用主机的防火墙功能。
如图5所示。
图5对网络访问行为进行控制整体情境图
“学习情境3对网络访问行为进行控制”共设计有5个任务,具体任务名称及简介如下:
3.3.1任务1:
基于路由器配置基本防护功能(PT+IOS)
本任务为访问控制技术的基础学习,是利用PT软件中路由器配置基本包过滤与访问控制功能。
本任务将基于Z_R路由器实施基本的防护配置。
3.3.2任务2:
软件防火墙配置保护主机与内部网络RouterOS+LINUX+ISA
本任务主要基于通用计算机上的防火墙功能配置与实施,是利用虚拟机配置RouterOS、LINUX的IPTABLES或Windows的ISA防火墙功能。
任务中的配置点为Z_SVR堡垒主机。
另外补充了SmoothWall主机防火墙的配置。
3.3.3任务3:
基于思科路由器的IOS防火墙防护功能配置(IOSFW)
本任务为主要基于思科路由器的IOS防火墙功能实施内网防护,以实现对办事处内网的保护。
主要配置点为Z_R路由器。
3.3.4任务4:
基于天融信硬件防火墙对网络进行防护
本任务主要基于硬件防火墙保护Y网络的通信,包括访问控制等。
主要配置点为Y_FW防火墙或安全设备。
3.3.5任务5:
基于深信服设备进行网络行为控制
本任务主要基于深信服流控设备保护X网络安全通信,包括访问控制与流量控制。
主要配置点为X_FW防火墙或深信服流控设备。
3.3.6拓展任务:
拓展训练任务2个
在拓展任务中将设计若干任务,进一步深入学习防火墙相关功能的配置。
3.4对入侵进行检测、审计与防护
对于一个企业网来说,攻击是多角度、多层次的,仅凭防火墙等设备的保护是不全面的。
对于已经发生的入侵或攻击行为还需要进行入侵检测与审计,以保护内网数据的安全与取证。
XZ网络中分别有各自入侵检测设备。
负责网络信息的安全检查与记录。
对于X网络是借助于主机X_NMS或流量控制设备X_FW实现入侵检测功能。
对于Z网络是借助Z_R的路由器入侵检测功能实现IDS与IPS功能。
如图6所示。
图6对入侵进行检测、审计与防护整体情境图
“学习情境4对入侵进行检测、审计与防护”共设计有3个任务,具体任务名称及简介如下:
3.4.1任务1:
基于Snort入侵检测功能配置
本任务为主要基于主机与Snort软件实现网络入侵检测功能,对进出内网流量的检测与控制。
主要配置点为X_NMS主机与核心交换机。
3.4.2任务2:
基于思科路由器的IOS入侵检测功能配置(IOSIDS/IPS)
本任务为主要基于思科路由器的IOS入侵检测功能实施,对进出内网流量的检测与控制。
3.4.3任务3:
基于深信服实施网络审计
本任务为主要基于深信服流量控制设备实施入侵检测功能,对进出内网流量的检测、控制与审计。
主要配置点为X_FW流量控制设备。
3.4.4拓展任务:
在拓展任务中将设计若干任务,进一步深入学习IDS/IPS相关配置。
3.5网络及主机渗透攻击测试与加固防护
对于一个企业网来说,需要全方位的防护,不能单纯凭对边界的控制。
因为攻击可能源自于内网中的任何主机。
因此对网主机进行攻击检测与加固也是一项关键安全防护任务。
本部分将以XY网络中的服务器为例,介绍网络中的攻击方法与加固措施。
如图7所示。
图7网络及主机渗透攻击测试与加固防护整体情境图
“学习情境5网络及主机渗透攻击测试与加固防护”共设计有2个任务,10个子任务,具体任务名称及简介如下:
3.5.1任务1:
网络及主机渗透攻击测试
本任务将以渗透攻击技术为主,对X内网主机服务器进行多角度的安全测试,以学习黑客常用的攻击方法,做到知己知彼,以便于下一任务中对网络及主机进行加固。
这里将分为5个子任务。
子任务1:
主机扫描技术(XSCAN等)
子任务2:
远程控制技术(灰鸽子等木马)
子任务3:
操作系统漏洞攻击(LINUX、WINDOWS:
溢出等)
子任务4:
应用程序漏洞攻击(IIS等)
子任务5:
数据库漏洞攻击
3.5.2任务2:
网络及主机加固防护
本任务将基于上一任务中的渗透攻击对网络及主机进行加固。
运用NEUSS扫描软件检测主机漏洞
主机基本防护与加固(服务最小化)
病毒防护(PE使用、免杀、捆绑等介绍)
系统漏洞防护与加固(补丁等)
服务及应用防护与加固(防篡改)
3.5.3拓展任务:
在拓展任务中将设计若干任务,进一步深入学习主机攻防技术。
3.6保护网络安全可靠运行的综合技术
对于一个企业网来说,安全防护相关的技术还有很多。
如数据备份、RAID、主机和网络冗余、AAA、SNMP等技术。
本情境将重点学习相关的综合安全防护技术,同时在拓展任务中补充了用户接入控制技术与统一网络管理相关技术。
具体如图8所示。
图8保护网络安全可靠运行的综合技术整体情境图
“学习情境6保护网络安全可靠运行的综合技术”共设计有6个任务,具体任务名称及简介如下:
3.6.1任务1:
数据备份与恢复
本任务为主要基于软件实现数据的备份与恢复功能,同时介绍数据丢失后的修复功能,重点突出数据备份技术的重要性。
主要配置点为主机。
3.6.2任务2:
磁盘冗余配置与实现
本任务为主要基于RAID技术实现的数据的备份与恢复功能,重点突出基于磁盘层面的数据备份技术的重要性。
3.6.3任务3:
服务器冗余配置与实现
本任务为主要基于服务器冗余技术实现数据的备份与恢复功能,重点突出主机层面的数据备份技术的重要性。
3.6.4任务4:
网络冗余配置与实现
本任务为主要基于路由器与交换机冗余技术实现数据的备份与恢复功能,重点突出网络层面的数据备份技术的重要性。
主要配置点为路由器与交换机。
3.6.5任务5:
AAA实现认证、授权与审计配置与实现
本任务为主要基于AAA技术实现用户的认证、授权与计费功能,主要配置点接入服务器NAS与AAA服务器。
3.6.6任务6:
基于SNMP协议实现网络管理
本任务为主要基于网络管理软件与SNMP协议实现网络管理,对进全网被管设备进行管理与监测。
主要配置点为X_NMS主机与网络中所有被管设备。
3.6.7拓展任务:
在拓展任务中补充了用户接入控制技术与统一网络管理相关技术。
4.本课程情境及任务列表
本课程及教材情境及任务列表如表1所示:
前导
整体情境案例介绍及引导
以典型企业项目案例引入网络安全防护技术
模块
情境
情境名称
任务
任务名称
层次
数据传输
学习情境1
通过流量分析定位网络故障
任务1
★
任务2
★★
任务3
★★★
拓展任务
学习情境2
保护数据在公网上的传输
任务4
任务5
任务6
基于INode实现出差员工通过VPN访问总部(6608+INode)
任务7
局域网
学习情境3
对网络访问行为进行控制
学习情境4
对入侵进行检测、审计与防护
主机及用户端
学习情境5
网络及主机渗透攻击测试与加固防护
子任务1
子任务2
子任务3
子任务4
子任务5
运用Nessus扫描软件检测主机漏洞
服务及应用防护与加固(防篡改、数据库防护等)
学习情境6
保护网络安全可靠运行的综合技术
综合
整体案例网络安全技术实施汇总
基于典型企业项目案例整体实施网络安全防护技术
学习情境共6个,学习任务26个,拓展任务18个。