《网络安全运行与维护》学习指南.docx
《《网络安全运行与维护》学习指南.docx》由会员分享,可在线阅读,更多相关《《网络安全运行与维护》学习指南.docx(33页珍藏版)》请在冰豆网上搜索。
《网络安全运行与维护》学习指南
《网络安全运行与维护》学习指南
《网络安全运行与维护》是高职高专信息安全技术专业、计算机网络相关专业的一门实践性较强的专业核心课程,承担着培养网络安全管理、计算机网络技术领域核心职业能力的重要任务。
它的任务是以提高学生全面素质为基础,使学生能够掌握企业网络、应用服务器的安全配置与管理等相关技术和职业技能,达到高素质劳动者和高等技术专门人才所必需具备的网络安全与维护的基本知识的基本应用技能,使学生理解网络安全管理与维护的内涵,及时了解信息安全技术、网络技术新的发展趋势,为就业和继续学习打下良好的基础。
一、课程知识结构
模块序号
模块名称
教学单元序号
教学单元名称
模块1
管理与维护Windows桌面系统安全
教学单元1
加强Windows主机网络安全访问权限
教学单元2
使用防火墙规则提高Windows桌面系统防御
教学单元3
使用文件加密加强Windows文件系统安全
教学单元4
使用本地安全策略加强Windows主机防御
教学单元5
使用安全审计加强Windows主机安全
模块2
管理与维护Windows服务器系统安全
教学单元1
提高Windows系统活动目录安全访问
教学单元2
加固Windows系统DHCP服务安全防御
教学单元3
提升Windows系统IIS服务安全防御
教学单元4
加强Windows系统DNS服务安全防御
模块3
管理与维护Linux桌面系统安全
教学单元1
通过系统口令加强Linux系统安全防护
教学单元2
加强Linux用户网络访问权限安全控制
教学单元3
加强Linux文件系统安全访问
教学单元4
使用安全审计加强Linux主机安全
模块4
管理与维护Linux服务器系统安全
教学单元1
加强Linux系统DNS服务安全防御
教学单元2
加固Linux系统DHCP服务安全防御
教学单元3
提升Linux系统WEB服务安全防御
教学单元4
提高Linux系统FTP服务安全访问及安全防御
教学单元5
使用Linux防火墙提升服务器安全防御
模块5
网络互连设备安全配置
教学单元1
实施路由器与交换机设备的安全管理
教学单元2
实施接入层网络设备的安全管理
教学单元3
配置访问控制列表保护网络安全
教学单元4
实施子网络间路由器的安全管理
模块6
网络安全设备配置
教学单元1
办公网防火墙初始化
教学单元2
配置防火墙保护网络安全
教学单元3
实施VPN网关接入安
模块7
维护和管理网络互联系统安全
教学单元1
提高园区网互联系统安全运行与管理
教学单元2
提高企业网互联系统安全运行与管理
模块8
控制与防御网络行为安全
教学单元1
提高园区网网络行为控制和防御
教学单元2
提高企业网网络行为控制和防御
模块9
网络安全技术与设备故障排除
教学单元1
利用测试命令排除网络故障
教学单元2
网络安全故障排除
二、学习目标和要求
(一)模块1管理与维护Windows桌面系统安全
本能力模块涉及5个能力单元,具体要求学生:
1.掌握用户账户、文件系统和文件共享等安全措施,加强Windows主机网络安全访问权限的管理;
2.初步了解防火墙的基本概念、工作过程和防火墙规则,能提高Windows桌面系统的防御能力;
3.理解加密文件系统(EFS)的特性,并结合NTFS加密文件夹和文件,掌握加强Windows文件系统安全的方法;
4.能使用截止枚举账号、指派本地用户权利、实施IP安全策略和密码安全等本地安全策略,加强Windows主机的整体防御能力;
5.理解事件查看器中日志、数据类型等各项安全审计参数的含义,能使用事件查看器查看应用程序、安全系统事件,建立日志警报查看服务器特定设备如内存、CPU等的状态,提高Windows主机的安全维护能力。
通过在实践中掌握共享权限、NTFS文件系统的权限、EFS的特性及应用,系统本地安全策略,日志系统的审核等重难知识点的学习,为后续能力模块M6:
Linux桌面系统安全管理与维护的学习打下坚实的基础。
(二)模块2管理与维护Windows服务器系统安全
本能力模块涉及4个能力单元,具体要求学生:
1.掌握活动目录、目录服务、域(级别)、树、森林(级别)、站点、组织单元、LDAP、全局编录、组策略、信任关系等基本概念,学会安装活动目录、创建活动目录子域、安全管理活动目录的操作方法,提高Windows系统活动目录服务的安全访问能力;
2.掌握DHCP的作用、工作过程、加固DHCP服务器的安全措施,能安装DHCP和调试服务器、管理DHCP服务安全,提高Windows系统DHCP服务的安全防御能力;
3.掌握IIS的组件、SSL和CA的基本概念,学会限制端口访问、设置ACL过滤相关服务和提供SSL服务的操作方法,提高Windows系统IIS服务的安全防御能力;
4.掌握DNS的域名结构、查询过程等基本概念,学会安装DNS服务、改善DNS服务安全的方法,加强Windows系统DNS服务的安全防御能力。
通过在实践中掌握活动目录、信任关系、SSL、DNS查询、DHCPSnooping等重难知识点的学习,为后续能力模块M8:
Linux服务器系统安全管理与维护的学习打下坚实的基础。
(三)模块3管理与维护Linux桌面系统安全
本能力模块涉及4个能力单元,具体要求学生:
1.掌握口令保护Linux桌面系统的安全措施:
口令保护GRUB、口令安全规则、口令老化手段等基本概念,学会使用口令保护GRUB、创建安全口令和设置口令老化的操作方法,提高Linux桌面系统的安全访问能力;
2.掌握根shell、根登录、根用户登录SSH、PAM模块、VSFTP、根权限存取的基本概念,学会使用禁用根shell、根登录、根用户登录SSH、PAM禁用根权限、限制存取权限等技术手段的操作方法,能对Linux系统的访问权限进行限制,达到提高用户安全访问Linux桌面系统的能力;
3.掌握NFS、SAMBA等文件系统工具的基本概念,学会使用Linux系统自带的防火墙功能手段,正确配置NFS、SAMBA的安全特性,提高Linux文件系统的安全访问能力;
4.掌握ac、lastcomm、accton和sa等安全审计工具的基本概念,学会使用安全审计工具psacct的操作方法,对网络行为进行审计,加强Linux主机的安全维护能力。
通过在实践中掌握口令安全、访问安全、文件系统安全、审计安全等相关重难知识点的学习,为后续能力模块M8:
Linux服务器系统安全管理与维护的学习打下坚实的基础。
(四)模板4管理与维护Linux服务器系统安全
本能力模块涉及5个能力单元,具体要求学生:
1.能够组建企业使用的DNS服务器并能够对其安全管理和维护等能力;
2.能够组建企业使用的DHCP服务器并能够对其安全管理和维护等能力;
3.能够组建企业使用的WEB服务器并能够对其安全管理和维护等能力;
4.能够组建企业使用的FTP服务器并能够对其安全管理和维护等能力;
5.能够组建企业使用IPTABLES服务器并能够对其安全管理和维护等能力。
(五)模块5网络互连设备安全配置
本能力模块涉及5个能力单元,具体要求学生:
1.能够掌握如何更安全的管理网络设备。
如何在网络设备上配置一些安全访问的技术;
2.能够掌握配置大多数常用的访问控制技术。
以及这些技术的应用场合;
3.能够掌握配置接入层安全的能力。
采用不同的接入层技术解决不同的接入层安全问题;
4.能够掌握配置如何让路由协议之间通信变得更安全。
掌握动态路由协议之间的安全技术;
5.能够掌握配置网络中身份验证的方法和适用技术。
(六)模块6网络安全设备配置
本能力模块涉及3个能力单元,具体要求学生:
1.清楚防火墙的放置位置;
2.熟悉掌握防火墙的拓扑设计;
3.能够熟练掌握防火墙初始化安装;
4.能够熟练掌握防火墙的安全规则配置;
5.掌握VPN基本概念;
6.掌握VPN搭建远程访问网络。
(七)模块7管理和维护网络互联系统安全
本能力模块涉及2个能力单元,具体要求学生:
1.能够掌握如何更安全的管理网络设备。
如何在网络设备上配置一些安全访问的技术;
2.能够掌握配置大多数常用的访问控制技术。
以及这些技术的应用场合;
3.能够掌握配置接入层安全的能力。
采用不同的接入层技术解决不同的接入层安全问题;
4.能够掌握配置如何让路由协议之间通信变得更安全。
掌握动态路由协议之间的安全技术;
5.能够掌握配置网络中身份验证的方法和适用技术。
(八)模块8控制和防御网络行为安全
本能力模块涉及2个能力单元,具体要求学生:
1.能够掌握如何更安全的管理网络设备。
如何在网络设备上配置一些安全访问的技术;
2.能够掌握配置常用的防火墙访问控制技术。
以及这些技术的应用场合;
3.能够掌握入侵检测系统的使用位置和使用方法;
4.能够掌握配置如何使用VPN连接远程两个公司站点;
5.能够掌握配置VPN远程连接公司内部网络。
(九)模块9网络安全技术与设备故障排除
本能力模块涉及2个能力单元,具体要求学生:
1.熟练掌握故障诊断命令和工具的能力
2.能借助于网络协议分析软件以及测试命令,尽可能多的收集故障现象,并根据故障现象对故障发生的可能原因加以分析并逐一排查。
3.能够在复杂的网络运营环境中,快速发现问题解决问题的能力。
三、重点与难点
(一)模块1管理与维护Windows桌面系统安全
【重点知识】
1.教学单元1:
加强Windows主机网络安全访问权限的管理要求掌握的重点知识
(1)共享文件夹
(2)设置共享文件夹的权限
(3)设置NTFS权限
2.教学单元2:
使用防火墙规则提高Windows桌面系统的防御要求掌握的重点知识
(1)防火墙原理
(2)防火墙的规则配置
3.教学单元3:
使用文件系统加密来加强Windows文件系统安全要求掌握的重点知识
(1)EFS的原理
(2)EFS的特性
4.教学单元:
使用本地安全策略加强Windows主机的整体防御要求掌握的重点知识
(1)禁止枚举账号
(2)指派本地用户权利
(3)配置密码安全策略
5.教学单元5:
使用安全审计加强Windows主机的安全维护要求掌握的重点知识
(1)事件查看器的查看方法
(2)新建警报并配置警报类型
(3)通过系统监视器监控系统运行状态
【难点知识】
1.教学单元1:
加强Windows主机网络安全访问权限的管理要求掌握的难点知识
(1)NTFS文件权限:
读取(Read)、写入(Write)、读取和执行(Read&Execute)、修改(Modify)、完全控制(FullControl)。
(2)NTFS文件夹权限:
读取(Read)、写入(Write)、列出文件件夹目录(ListFolderContents)、读取和执行(Read&Execute)、修改(Modify)、完全控制(FullControl)。
(3)NTFS权限属性:
NTFS权限是可继承的、NTFS权限是累加的、拒绝的NTFS权限比允许的权限级别高
2.教学单元2:
使用防火墙规则提高Windows桌面系统的防御要求掌握的难点知识
防火墙的规则:
(1)启用:
在“高级”选项卡上选定的所有网络连接启用Windows防火墙,启用Windows防火墙,仅允许请求的通信和已添加到例外列表中的传入通信。
(2)不允许例外:
允许请求的传入通信。
不允许已添加到例外列表中的传入通信。
(3)关闭:
禁用Windows防火墙。
3.教学单元3:
使用文件系统加密来加强Windows文件系统安全要求掌握的难点知识
EFS文件加密系统及NTFS来配合数据的安全保护。
(1)只有NTFS磁盘内的文件、文件夹才可以被加密,若将文件复制或移动到非NTFS磁盘内,则此新文件会被解密。
(2)文件加密系统和压缩两个操作之间是互斥状态。
(3)如果要对已压缩的文件加密,则该文件会自动被解压。
如要对已加密的文件压缩,则该文件会自动被解密。
(4)用户或应用程序想要读取加密文件时,系统会将文件由磁盘内读出、自动解密后提供给用户或应用程序使用,然而存储在磁盘内的文件仍然是处于加密的状态
(5)而当用户或用程序要将文件写入磁盘时,它们也会被自动加密后再写入磁盘内。
这些些操作针对用户都是透明的。
4.教学单元4:
使用本地安全策略加强Windows主机的整体防御要求掌握的难点知识
IP安全策略
5.教学单元5:
使用安全审计加强Windows主机的安全维护要求掌握的难点知识
解释事件标题包含的信息
(二)模块2管理与维护Windows服务器系统安全
【重点知识】
1.教学单元1:
提高Windows系统活动目录安全访问要求掌握的重点知识
(1)WindowsServer2003活动目录的安装
(2)子域的建立,额外控制器等
(3)WindowsServer2003活动目录的安全管理
2.教学单元2:
加固Windows系统DHCP服务安全防御要求掌握的重点知识
(1)DHCP的工作过程
(2)DHCP服务器的配置
(3)DHCP的安全管理
3.教学单元3:
提升Windows系统IIS服务安全防御要求掌握的重点知识
(1)IIS服务器的配置
(2)IIS的安全管理
(3)CA证书服务器的搭建
4.教学单元:
加强Windows系统DNS服务安全防御要求掌握的重点知识
(1)DNS的功能
(2)DNS的资源记录
(3)DNS的配置
【难点知识】
1.教学单元1:
提高Windows系统活动目录安全访问要求掌握的难点知识
(1)域环境的搭建。
(2)全局编录。
(3)AD域环境中五大主机角色。
(4)域级别。
(5)森林级别。
(6)信任关系。
2.教学单元2:
加固Windows系统DHCP服务安全防御要求掌握的难点知识
(1)DHCPSnooping的概念。
(2)提高DHCPSnooping的措施。
3.教学单元3:
提升Windows系统IIS服务安全防御要要求掌握的难点知识
(1)SSL的概念。
(2)SSL证书认证的安全原理。
(3)SSL证书的功能及应用。
4.教学单元4:
加强Windows系统DNS服务安全防御要求掌握的难点知识
(1)DNS的工作过程
(2)DNS的查询过程
(3)DNS的安全管理
(三)模块3管理与维护Linux桌面系统安全
【重点知识】
1.教学单元1:
通过系统口令加强Linux系统安全防护要求掌握的重点知识
(1)用口令保护GRUB:
首先需要讲解Linux启动引导项、单用户模式、通过两种方式来设置GRUB口令,如何使用GRUB限制双系统启动。
(2)口令安全:
需要了解口令安全规则,如何使用安全的口令
(3)口令老化:
什么是口令老化,口令对系统安全的危害,如何使用两种方式设置口令老化期限。
2.教学单元2:
加强Linux用户网络访问权限安全控制要求掌握的重点知识
(1)禁止根shell
(2)禁止根登录
(3)禁止根用户SSH登录
(4)使用PAM禁用根权限
(5)限制根存取权限
3.教学单元3:
加强Linux文件系统安全访问要求掌握的重点知识
(1)安全设置NFS
(2)安全设置SAMBA
4.教学单元:
使用安全审计加强Linux主机安全要求掌握的重点知识
(1)ac命令的使用
(2)sa命令的使用
【难点知识】
1.教学单元1:
通过系统口令加强Linux系统安全防护要求掌握的难点知识
(1)对Linux系统启动引导项深入了解;
(2)单用户模式如何设置Root用户口令;
(3)如何正确修改/boot/grub/grub.conf配置文件;
2.教学单元2:
加强Linux用户网络访问权限安全控制要求掌握的难点知识
(1)PAM模块的基本概念;
(2)如何正确使用PAM模块。
3.教学单元3:
加强Linux文件系统安全访问要要求掌握的难点知识
SAMBA服务器安全访问级别
4.教学单元4:
使用安全审计加强Linux主机安全要求掌握的难点知识
psacct程序的使用技巧
(四)模板4管理与维护Linux服务器系统安全
【重点知识】
教学单元1:
加强Linux系统的DNS服务的安全防御
(1)保护DNS服务器本身安全
(2)保护ZoneTransfer的安全
(3)保护DNS免于Spoofed攻击
(4)使用TSIG保护DNS服务器
(5)保护DynamicUpdate的安全
教学单元2:
加固Linux系统的DHCP服务安全防御
(1)在指定网络接口启动DHCP服务器
(2)DHCP服务器在chroot()环境运行
教学单元3:
提升Linux系统的WEB服务的安全防御
(1)Apache安全配置选项
(2)SSL加密安全
教学单元4:
提高Linux系统的FTP服务安全访问及安全防御
(1)禁止系统级别用户来登录FTP服务器
(2)加强对匿名用户的控制
(3)做好目录的控制
(4)进行传输速率的限制
(5)使用虚拟用户访问
教学单元5:
使用Linux防火墙模块提升服务器的安全防御
iptables
【难点知识】
教学单元1:
加强Linux系统的DNS服务的安全防御
使用TSIG保护DNS服务器
教学单元2:
加固Linux系统的DHCP服务安全防御
DHCP服务器在chroot()环境运行
教学单元3:
提升Linux系统的WEB服务的安全防御
SSL加密安全
教学单元4:
提高Linux系统的FTP服务安全访问及安全防御
使用虚拟用户访问
教学单元5:
使用Linux防火墙模块提升服务器的安全防御
iptables
(五)模块5网络互连设备安全配置
【重点知识】
教学单元1:
安全管理路由器与交换机
(1)登录的密码
(2)网络设备登录认证的实现方法
(3)理解什么是线路访问。
(4)如何控制不同线路的访问验证。
(5)配置SSH认证服务
(6)SSH和普通的telnet的区别
教学单元2:
配置访问控制技术
(1)时间访问控制列表要如何创建时间段
(2)理解扩展访问控制列表创建顺序、可控制元素
(3)讲解配置专家访问控制列表的语法
教学单元3:
实施接入层安全技术
(1)能够区分各种安全技术的使用场合和使用方法
(2)理解生成树安全技术的工作原理
教学单元4:
配置安全路由协议技术
(1)能够区分各种安全技术的使用场合和使用方法
(2)理解生成树安全技术的工作原理
教学单元5:
实施身份验证与网络接入控制技术
(1)理解AAA的工作原理
(2)掌握AAA的配置方法
(3)理解RADIUS服务的工作原理。
(4)掌握802.1x和前身份认证和AAA认证的关联
【难点知识】
教学单元1:
安全管理路由器与交换机
(1)理解线路访问与telnet访问与特权访问的区别
教学单元2:
配置访问控制技术
(1)掌握列表的创建先后顺序
(2)如何高效的创建扩展访问控制列表
教学单元3:
实施接入层安全技术
(1)弄清楚各种安全技术之间的区别和应用场合
教学单元4:
配置安全路由协议技术
(1)理解密文是如何在设备中生成的
(2)掌握密文传输和密文验证
教学单元5:
实施身份验证与网络接入控制技术
(1)理解AAA的配置过程
(六)模块6网络安全设备配置
【重点知识】
教学单元1:
安装与配置硬件防火墙
(1)了解防火墙的工作原理
(2)掌握防火墙的安装和基本配置
教学单元2:
配置防火墙保护网络安全
(1)掌握防火墙的安全策略配置
(2)掌握防火墙的地址转换
(3)了解防火墙对服务资源的保护
教学单元3:
实施VPN网关接入安全
(1)使用VPN网关构建站点到站点的IPSecVPN
(2)使用VPN网关构建站点到站点的AccessVPN
【难点知识】
教学单元1:
安装与配置硬件防火墙
(1)防火墙的工作原理
教学单元2:
配置防火墙保护网络安全
(1)防火墙的安全策略配置
教学单元3:
实施VPN网关接入安全
(1)理解IPSecVPN的概念
(七)模块7管理和维护网络互联系统安全
【重点知识】
教学单元1:
提高园区网络互联系统安全运行与管理维护
(1)讲解登录的密码不是特权密码
(2)网络设备的登录认证的实现方式
(3)理解线路访问的概念
(4)掌握控制不同线路的访问验证方式
(5)清楚SSH和telnet的区别
(6)理解生成树安全技术的工作原理
(7)掌握各种身份验证的方法和使用场合
教学单元2:
提高企业网络互联系统安全运行与管理维护
(1)讲解登录的密码不是特权密码
(2)网络设备的登录认证是如何实现的
(3)理解线路访问的概念
(4)掌握配置不同线路的访问验证
(5)理解各种路由协议之间是如何安全通信的
(6)掌握配置站点到站点的虚拟专用网的方法
(7)掌握各种身份验证的方法和使用场合
【难点知识】
教学单元1:
提高园区网络互联系统安全运行与管理维护
(1)理解线路访问与telnet访问与特权访问的区别
(2)各种身份验证与网络接入控制技术的区别
教学单元2:
提高企业网络互联系统安全运行与管理维护
(1)区分各种控制技术的使用场合
(2)理解路由协议之间是如何安全通信的
(八)模块8控制和防御网络行为安全
【重点知识】
教学单元1:
提高园区网络行为控制与防御
(1)防火墙的工作原理和种类
(2)防火墙操作时与路由器的区别
(3)理解IDS的工作原理以及配置方法
教学单元2:
提高企业网络行为控制与防御
(1)讲解防火墙的工作原理和种类。
(2)防火墙操作时与路由器的区别。
(3)掌握如何配置VPN设备
【难点知识】
教学单元1:
提高园区网络行为控制与防御
(1)防火墙与路由器的区别
教学单元2:
提高企业网络行为控制与防御
(1)防火墙与路由器的区别
(九)模块9网络安全技术与设备故障排除
【重点知识】
教学单元1:
提高网络安全故障与设备故障排除的能力
(1)使用命令排除网络故障
(2)排除网络安全故障
教学单元2:
网络安全故障与设备故障排除
(1)用户网络应用完全中断故障处理
(2)用户网络应用频繁掉线故障处理
(3)用户网络应用响应缓慢故障处理
【难点知识】
教学单元1:
提高网络安全故障与设备故障排除的能力
(1)排除网络安全故障
教学单元2:
网络安全故障与设备故障排除
(1)故障处理方法的灵活运用
四、学习资源导引
本课程开发了丰富的配套学习资源,《网络安全运行与维护课程》共开发15个课程模块,其中适合信息安全技术专业高职学生的有9个模块。
目前已开发的课程基本资源见表1,其中“√”代表资源已经开发完成。
表1课程基本资源清单
能力模块
工作任务
课程
概述
电子教材
教学案例
电子课件
电子教案
教学指导
学习指导
课程例题
教学录像
屏幕录像
课程作业
与本课程直接相关的其它资源
任务编号
任务名称
M2:
管理与维护Windows桌面系统安全
M2-1
升级会员 