网络与信息安全实验室设计Word文档格式.docx
《网络与信息安全实验室设计Word文档格式.docx》由会员分享,可在线阅读,更多相关《网络与信息安全实验室设计Word文档格式.docx(20页珍藏版)》请在冰豆网上搜索。
将主流密码加解密过程用直观的方式展示出来,并通过较好的实验环境搭建,使得学生可以通过实践动手直接把在书本上学习的知识全部呈现出来,同时还能通过与源代码的一一对应关系,将程序代码与实现效果一一对应出来,达到“用中学”的效果;
主机安全:
可全面的进行主机的漏洞扫面分析,并直观显示目标主机所存在的安全隐患,并同时提供操作系统策略部署、数据库安全保障等实验操作。
。
PKI/PMI数字证书:
将PKI/PMI证书申请、发布等一系列流程通过实际动手操作进行完成,可让学生通过实际动手来进一步了解数字证书的发布使用流程及作用。
木马病毒原理:
对典型木马及主流病毒的攻击方式进行演技操作,分析该类型木马或者病毒所针对的网络系统漏洞,并提供防御方式的实验。
安全审计:
提供应用程序、文件管理、网络事件等安全日志的审计实验,通过日志的管理不断提高学生对安全日志的理解,以及审计的流程与规范。
数据安全:
提供真实网络数据存储环境,搭建数据的异地容灾备份、文件系统NAS共享平台。
网络安全技术:
针对业界真实的主流网络安全设备,如防火墙、IDS、VPN、USG等,进行实际应用操作演练,对包过滤、状态过滤等热点防火墙技术提供实际动手操作的环境。
涉及的实验(部分)包含:
课程知识点
实验名称
密码学
对称密码基本加密实验:
DES、3DES、AES-128、AES-192、AES-256、SMS
对称密码分组加密实验:
古典加密实验:
移位密码、仿射密码、维吉尼亚密码
流密码加密实验:
RC4
散列函数实验:
MD5、SHA-1、SHA-256
非对称加密实验:
RSA、Elgamal
数字签名实验:
RSA-PKCS、DSA、ECC
数字水印实验:
LSB、DCT算法嵌入/提取/破坏水印实验
大数运算实验
文件加解密实验
密码学应用实验:
基于SSH协议的安全通信实验(密码认证、公钥认证);
基于GnuPG的加密及签名实验(文件加密及签名、文本加密、邮件加密及签名)
PKI
证书申请实验
请求管理实验
证书管理实验
交叉认证实验
证书应用实验(Word签名、Foxmail签名、IIS应用)
WindowsCA实现IIS双向认证
PMI
申请管理实验
属性管理实验
证书应用实验(基于角色的授权与访问控制、基于安全级别的授
权与强制访问控制)
日志审计
文件事件审计实验
网络事件审计实验
应用程序审计实验
日志事件审计实验
日志关联审计实验
审计跟踪实验
主机监管实验
木马病毒
脚本病毒实验9个小实验
DLL注入型病毒实验
木马攻击实验
查杀病毒实验2个小实验
主机安全
网络后门种植实验
踩点扫描实验
痕迹清除实验
Windows/Linux安全:
文件系统、用户管理、策略、网络及服务
SQLServer/MySQL安全:
安全配置、数据库备份与恢复
Windows/Linux下WEB、FTP、远程桌面服务安全配置
信息安全综合应用的实训平台
信息安全体系层次复杂多样,任何安全问题都涉及到多个层次的知识点,所以无论是作为安全事件的攻击方还是防御方,都需要具备扎实的信息安全知识功底,并且能够灵活运用各种技术,为网络攻防获取足够的信息与资源。
信息安全课程的最终学习目的就是对存在的安全隐患和安全威胁做好防范工作,而在其爆发时,需要能够及时的通过调整安全策略达到最大程度减少损失的目的。
所以,必须通过大量的实践操作来进行安全综合应用的演练来熟悉各种攻击方式以及对应的防御办法。
锐捷信息安全实验室将这部分综合实验分成两个层次:
搭建安全的网络环境
通过安全的网络环境消除安全隐患及威胁
搭建安全的网络环境:
了解主流安全设备应用及特点,根据网络应用的不同以及安全要求级别的不同,搭建安全网络结构,部署安全防御策略,进行相应的安全防御构建;
涉及的实验(部分)包括:
掌握技能
掌握交换机安全技术
STP安全设置
MAC地址过滤
端口保护
端口阻塞
广播风暴控制
系统保护
端口安全
无线安全技术
实现无线用户的二层隔离
使用MAC认证实现接入控制
配置无线网络中的WEP加密
配置MAC地址过滤(自治型AP)
配置SSID隐藏(自治型AP)
配置WEP加密(自治型AP)
使用Web认证实现接入控制
使用802.1x增强接入安全性
配置无线网络中的WPA加密
掌握防火墙基本配置与应用案例
防火墙的初始配置
安全策略的设置
安全NAT的配置
客户端认证的配置
地址绑定
连接速率限制
配置URL过滤
链路负载(策略路由)
数据安全技术
磁盘基本操作实验
IPSAN
RAID0实验
RAID1实验
RAID5实验
NAS文件共享
USG管理和统一安全网关技术
初始化配置实验
权限管理配置实验
本地用户认证实验
时间对象管理实验
会话对象管理实验
安全策略配置实验
掌握VPN基本配置与隧道技术
使用Router构建GREVPN
使用Router构建IPsecVPN
使用Router构建GREoverIPsecVPN
AccessVPN通信实验
IDS管理与安全检测技术
使用SPAN对数据流进行镜像
IDS策略管理实验
IDS配置管理实验
IDS报表管理实验
IDS帐户管理实验
IDS数据库管理实验
通过安全网络解决安全问题:
面对外部网络的入侵以及内部网络的攻击,及时调整信息安全策略的部署,并及时修改网络拓扑,隔离非法主机等措施,来进行整网的安全保障,同时能够进行感染区隔离和处理。
涉及实验(部分)包括
接入安全综合应用
配置ARP检查(ARP欺骗)
配置DHCPSnooping
配置DAI(ARP欺骗)
非法AP和Client的发现与定位
防火墙综合应用
防火墙防DoS攻击的设置
服务保护
P2P限制
数据容灾
数据恢复实验(snapshot)
使用NFS协议实现跨平台共享
USG综合应用
邮件病毒防御实验
文件病毒防御实验
流量监控实验配置
入侵攻击防御实验
DDOS攻击防御实验
SSLVPN应用实验
双机热备实验
服务对象管理实验
WEB管理实验
IM软件管理实验
与IDS联动实验
VPN隧道综合应用
AccessVPN通信实验-采用USBKey的数字证书方式
AccessVPN用户授权通信实验
AccessVPN的通过内部DNS和内部WINS访问内部资源的实验
AccessVPN的用户接入控制实验
IntranetVPN通信实验-预共享秘钥方式
IntranetVPN通信实验-数字证书认证方式
IntranetVPN解决子网冲突问题的通信实验
IntranetVPN桥模式下通信实验
IDS综合应用
木马攻击检测实验
端口扫描检测攻击实验
蠕虫病毒攻击检测实验
DOS攻击检测实验
DDOS攻击检测实验
缓冲区溢出攻击检测实验
WEB服务器攻击检测实验
数据库攻击检测实验
分布式管理实验
事件自定义实验
告警事件风暴抑制管理实验
事件响应方式管理实验
密码策略审计实验
系统漏洞攻击检测实验
IDS与防火墙联动
网络攻防实验
配置Linux系统进行主动防御
使用Windows系统基线安全分析器
配置Windows系统安全评估--账号管理、认证授权
Linux系统漏洞利用(CVE-2005-2959、CVE-2006-2451)
web应用常见的SQL注入、跨站攻击类事件处理
灰鸽子木马利用与防护
拒绝服务攻击事件的处理--DDOS
网络及信息欺骗类事件的处理--ARP
数据库权限溢出攻击实验
弱口令破解实验
信息安全实践教学的支撑体系
为协助院校开展信息安全实践教学,锐捷网络针对中职、高职及本科各类型院校推出一系列完整教学支撑体系:
持续创新的实验室管理:
1.实验设备的统一管理:
a)可实现教师对实验设备实时管理和资源的统一调配;
b)可实现网络设备配置及模拟攻击环境的“一键还原”;
c)可实现实验设备配置的保存和加载;
2.实验拓扑的统一管理:
a)可实现网络拓扑的自动连接与断开;
b)可实现网络拓扑的图形化管理;
c)可实现网络拓扑环境的保存和加载;
3.远程登录的统一管理:
a)可实现教师的远程登录进行教学管理;
b)可实现学生的远程登录进行实验操作;
4.课程资源的统一管理:
a)可支持在线的课程安排和管理,并针对学生进行相应实验资源自动划分;
b)可支持教学课件的加载更新,并提供课件升级包;
c)可支持考试测验题库的建立及自动生成试卷;
d)可支持学生在线答题及提供自动、手动阅卷方式;
5.实验行为的统一管理:
a)可实时监控学生的实验配置过程及远程查看学生的配置文档;
b)可统一调配实验设备使用权限,对学生实验操作进行远程指导;
多层次的师资培养方案:
锐捷网络为中职、高职及本科各类型院校提供多层次的师资提升计划,并为在校老师量身打造了师资培养路径图,为加快学校安全师资力量提升出谋划策。
同时,为不断提高学校老师提高技术水平,方便老师可以实时的进行学习,锐捷网络第一次推出了针对网络实践教学提升的E-learning教学平台。
✓线上一对一技术辅导
✓各层次课程任意选择
✓新技术讲解实时更新
✓学习时间表自行安排
✓投入产出比达到最高
面向教学的实验教材:
《局域网安全管理实践教程》
教材系列:
普通高等教学“十一五”国家级规划教材
出版机构:
清华大学出版社
版号:
ISBN978-7-302-20193-9
推荐理由:
本书主要介绍网络安全技术中涉及到防火墙技术、VPN私有专用网技术、身份认证技术、IDS安全管理、安全防范、防火墙安全技术实验、安全VPN技术实验、入侵检测技术实验、统一安全网关技术实验、无线网络安全实验、数据容灾备份实验等有关网络安全实践教学内容模块,提供多达百个网络实践教学实验供教学选择。
本书是锐捷职业资格认证规划系列教材,适应于锐捷网络厂商级各级职业资格认证。
《计算机网络安全技术》
普通高等教育"
十一五"
国家级规划教材
科学出版社
ISBN978-7-030-19403-9
本书共10章,主要内容有计算机网络安全概述、计算机网络安全协议基础、计算机网络安全编程基础、计算机网络操作系统安全基础、计算机网络攻击与入侵技术、计算机网络病毒及反病毒技术、计算机网络站点的安全、数据加密技术基础、防火墙与入侵检测技术、网络信息安全方案设计等。
本书面向应用,在强调掌握基础知识的同时,给出了各种网络安全技术和使用方法。
每章都附有典型例题、习题和实验。
本书可作为高等院校计算机专业、通信专业、信息专业的教学教材,也可以供从事计算机网络安全及相关工作的工程技术人员学习参考。
《网络安全与管理项目实验指导书》
模块化网络实验指导丛书
电子工业出版社
ISBN978-7-121-05440-2
本书介绍主要介绍了防火墙配置、VPN私有专用网络基本操作技术、身份认证部分等基础网络安全技术内容。
在网络管理部分实验操作中,编排了StarView二层拓扑发现、节点性能监控和事件告警的网络实验操作。
在IDS部分安排了IDS操作技术、端口扫描攻击检测实验。
主要面向高等院校网络专业教师和学生,为开展实验、实训教学提供可选择的指导教程,也可为其他专业的学生和相关认证提供实验指导。
开放共享的教学资源平台:
锐捷网络在业界率先推出开放共享型的网络实践教学交流平台——实践教学俱乐部()。
为老师提供在线资源共享平台,教学经验交流平台等一系列服务。
教学互助
实践教学俱乐部已经有千余所学校的老师汇集于此,这将是老师讨论技术、交流教学心得、获取教学资源的理想平台。
问题解决
在线活动发布
教学俱乐部不仅为教师提供在线的教学服务咨询,还注册用户提供众多参与锐捷网络主办的线上技术研讨沙龙的机会。
并且通过参与讨论、参加活动、分享教学资源等举措可以赢取积分,用于兑换培训基金或者实物奖品。
实践教学俱乐部作为全国网络实践教学互助平台,希望能够为专业教师、网络厂商、教材出版机构等搭建一个公共的交流平台,支持和帮助全国网络教学从业者共同进步。
所以只要每人付出极少的代价,即可获得丰富教学资源。
实验样例
实验一IIS服务漏洞攻击检测实验
【实验名称】
IIS服务漏洞攻击检测实验
【实验目的】
RG-IDS对IIS服务漏洞攻击检测功能
【背景描述】
校园网WEB服务器遭受CGI漏洞扫描攻击,并由于UNICODE漏洞,遭受黑客攻击,RG-IDS在部署在DMZ区服务器之前,检测出针对IIS服务的攻击,并及时上报到控制台。
【需求分析】
需求:
IIS4.0和IIS5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。
当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。
分析:
校园网络中服务器如果不及时升级IIS,将会面临被攻击的危险,RG-IDS能够时时检测网络中针对IIS服务攻击,并及时告警。
【实验拓扑】
【实验设备】
PC3台
RG-IDS1台
直连线4条
交换机1台(必须支持多对一的端口镜像)
攻击软件IISCracker.exe(IIS攻击工具)
工具软件webserverv12.exe(宽带WEB服务器)
【预备知识】
交换机端口镜像配置、RG-IDS配置、IISCracker.exe、webserverv12.exe工具使用
【实验原理】
IIS(InternetInformationServer)可以让有条件的用户轻易地建立一个本地化的网站服务器同时提供流量不大的Http访问,及一些文件传输的FTP服务。
但是IIS服务漏洞或缺口层出不穷,黑客不仅仅可以利用其漏洞停滞计算机的对外网络服务,更可修改其中的主页内容,甚至利用其漏洞进入到计算机内部,删改主机上的文件。
以“扩展UNICODE目录遍历漏洞”为例,黑客就可以利用工具软件(如:
IISCracker)进入到计算机内部,通过“IISCracker”入侵成功后,可以准确地显示对方主机上的文件,通过远程控制入侵,黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。
本课实验通过“IISCracker”工具攻击开放IIS服务的WEB服务器,并获得权限,RG-IDS同样能及时准确的检测出该类攻击,并上报控制台。
【实验步骤】
请参见网络安全实验指导书
实验二RG-IDS与RG-WALL防火墙联动实验
RG-IDS与RG-WALL防火墙联动实验
验证IDS与防火墙联动,对攻击阻断的有效性和及时性
IDS与防火墙联动,能够对恶意攻击和流量进行时时检测和防御
IDS产品只能单纯的检测不具备防御功能,防火墙只能对3-4层数据报文进行处理,不具备深入检测的功能
通过IDS检测并将检测信息传递给防火墙,通过防火墙对攻击的地址和端口进行阻断等措施,达到时时防御的目的
【实验拓扑】
【实验设备】
直连线若干条
交换机2台(其中一台必须支持多对一的端口镜像配置)
工具软件SecureCRT工具
【预备知识】
RG-WALL防火墙配置基础、交换机端口镜像配置、RG-IDS配置基础
【实验原理】
入侵检测系统在捕捉到某一攻击事件后,按策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。
在本堂实验课中,以PingOfDeath签名为攻击事件,在没有配置为联动的响应方式之前,攻击机能够向被攻击机发送超大字节的ICMP报文,并被IDS检测到。
实施RG-IDS与RG-WALL联动后,IDS首先检测到PingOfDeath,并将事件的信息包括源、目的地址等通过SSH通知防火墙,防火墙根据IDS发送的攻击事件信息自动生成响应规则,阻断攻击源和目的之间通信。
【验证实验】
用攻击机172.16.5.27telnet连接被攻击机172.16.5.125,返回信息连接失败,如图:
证明攻击机172.16.5.27到被攻击机172.16.5.125所有通信被阻断,RG-IDS与RG-WALL防火墙联动成功
推荐配置
产品类别
产品简介
涉及产品型号
备注
实验室管理平台
对实验室整体资源进行统一管理
LIMPV3.0
必选
RCMS
拓扑连接器
网络攻防平台
进行安全攻击防御安全环境搭建平台
RG-SAP
路由器安全
业界主流路由器,可进行网络安全策略搭建设置
RSR20-04
SIC-1HS
V.35DTE-V.35DCE线缆1米
交换机安全
业界主流交换机,进行ACL、VLAN等安全划分
STAR-S2126G
RG-S3760-24
防火墙
业界主流防火墙设备
RG-WALL60
VPN
虚拟专网设备
RG-WALLV50
RG-KEY
入侵检测
入侵检测设备
RG-IDS500S
统一威胁管理
统一安全网关USG
RG-USG
容灾备份
网络存储设备
RG-iS-LAB
可选
RG-iS-LIC-VSS-A
RG-iS-SATA320GB
无线安全
“瘦”AP无线架构设备及管理平台
MP-422
MXR-2
RMTS
升级会员 