教学大纲及教案.docx
《教学大纲及教案.docx》由会员分享,可在线阅读,更多相关《教学大纲及教案.docx(31页珍藏版)》请在冰豆网上搜索。
教学大纲及教案
教学大纲及教案
课程名称:
ISCW
课程总学时:
44学时
教学大纲说明:
一、课程地位和作用:
ISCW(实现安全的可汇聚网络)是CISCOCCNP新改版后增加的课程之一。
通过ISCW教学培养学生安全意识和提高安全知识,使学生进一步了解网络安全内容,掌握网络攻击方式及相应防御,训练运用点到点VPN、IOS防火墙、PIXASA设备,并使学生在学习中提高网络知识,培养学生实际动手能力。
二、课程教学任务和基本要求(目标):
1、教学任务:
网络安全的教学任务不仅是培养学生的网络安全意识,而是要求学生有一种解决安全隐患及防御网络攻击的手段,所以要求在网络安全教学中特别强调学生以真实生活中的攻击的角度来认识网络安全的防御与解决方案。
通过现实工程中的需求来完善学生的网络安全知识,使学生可以在社会中应付网络安全问题与隐患。
2、基本要求:
1、了解网络安全设备的应用。
2、掌握IPSecVPNlan-to-lanVPN的步骤和命令。
3、能正确的运用IOS防火墙对流量进行控制。
4、可以对PIX进行配置,放行相应流量
三、教学方法和教学手段:
教学方法
主要包括理论讲授、课堂实践、演示、答疑,同时要遵循成就驱动的教学原则。
教学可以结合实验,以长短期作业结合,讲练结合的方法,总体方针:
具体指导、因材施教、答疑所问。
理论讲授:
主要讲解网络安全原理,并依据其原理进行不同对象的实验。
课堂实践:
选择现实工作中的网络安全案例做练习,使理论与实践在课常上充分体现,检验整个实验过程,同时介绍一些与其相关的知识和技巧。
演示:
在过程中主要对实验过程及时出现的问题进行示范讲解。
观看资料:
通进观看实验与cisco提供的配置,使学生网络安全有整体的了解,强调观察与排错的重要性,提高整体技术水平。
答疑:
在理论讲授与实践当中,尤其是实验与演示中及时发现问题,并及时解决问题。
教学手段:
由于此课程的实践性较强,因此必须借助相应的教学设备完成教学。
教学设备:
CISCO路由器、PIX
实践设备:
模拟器、SDM、ACSServer
四、成绩考核:
本课程总成绩100分:
实验(月末学院检查)占50%,理论成绩占50%
说明:
1、实践:
由于课程实践性较强,月末学院组织相关(本教研组)的老师,以本课程的基本要求为目标出一份实践题,来检查老师的的授课情况以及学生的学习情况。
若学生在后5%以内的要求末位重修,由本学院的院长提供给教务名单。
2、理论:
考试前10天,各学院给教务交试题,由教务统一组织考试,后5%以内的学生要求末位重修。
3、每次考核结束后,都要对考试成绩进行分析,以掌握学生的实际学习情况及测试结果的有效性、实用程序,是否达到了考核的目的,为今后的教学积累经验。
教案:
课程内容与学时分配
教学时间安排:
第一课:
安全产品介绍---------------------------------------------------------------------------------2课时
第二课:
加密学原理------------------------------------------------------------------------------------2课时
第三课:
SDM/DynampsServer----------------------------------------------------------------------2课时
第四课:
Side-to-Sidt(Lan-to-Lan)VPN-------------------------------------------------------------2课时
第五课:
SDMSide-to-Sidt(Lan-to-Lan)VPN------------------------------------------------------2课时
第六课:
GREOVERIPsec-----------------------------------------------------------------------------2课时
第七课:
SDMGREOVERIPsec----------------------------------------------------------------------2课时
第八课:
Access-list对协议放行----------------------------------------------------------------------2课时
第九课:
NETWORKattack----------------------------------------------------------------------------2课时
第十课:
NETWORKattack---------------------------------------------------------------------------2课时
第十一课:
DOS,DDOS-------------------------------------------------------------------------------2课时
第十二课:
IOS实验------------------------------------------------------------------------------------2课时
第十三课:
IOS实验------------------------------------------------------------------------------------2课时
第十四课:
ACS-Server(AAA)-------------------------------------------------------------------2课时
第十五课:
IOSFW--------------------------------------------------------------------------------------2课时
第十六课:
Auth-Proxy(Authentication-Proxy)----------------------------------------------------2课时
第十七课:
IOSFW解决ACL-------------------------------------------------------------------------2课时
第十八课:
IDSIPS--------------------------------------------------------------------------------------2课时
第十九课:
PIX6.3--------------------------------------------------------------------------------------2课时
第二十课:
PIX6.3--------------------------------------------------------------------------------------2课时
第二十一课:
PIX6.3------------------------------------------------------------------------------------2课时
第二十二课:
PIX6.3-----------------------------------------------------------------------------------2课时
一、理论讲授部分
教学目的
ISCW(实现安全的可汇聚网络)是CISCOCCNP新改版后增加的课程之一。
总体可分为三大部分。
A.IPsecVPN
B.IOS安全
C.PIX
其中包括site-to-siteVPN,SDM配置site-to-siteVPN,GREOVERIPsecVPN,SDM配置GREOVERIPsecVPN,IOS安全,PIX基本概念与配置实例。
在教学过程中对IPsecVPN,IOS防火墙,PIX做了详细的介绍,并配合大量实验来验证理论知识。
CISCOIOS可以配置Lan-to-lanVPN,GREOVERIPsecVPN,IPsecOVERGRE,Site-to-SiteVPN,RemoteVPN,DMVPN,SSLVPN等VPN,在这里只对IPsecVPN做了详细的介绍,其他VPN利用SDM做了相应的讲解,并对加密学原理有一定了解。
通过学习,学员可以理解并配置Lan-to-lanVPN,GREOVERIPsecVPN。
并可以应用在实际工程中。
在IOS安全学习过程中可以学到网络攻击的类型(DOS,DDOS,Smurf)
解决方式:
1、可利用IOS防火墙来减轻网络攻击。
2、关闭无用的cisco路由器网络服务接口。
3、用访问控制列表来减轻威胁和攻击。
IOS实验指导:
1、IOSHTTPS
2、CBAC
3、Maping
4、AARP
5、Worm
6、ACSServer
7、Auth-proxy
PIX6.3中讲述了在实际工程中的应用:
1、接口的配置,静态路由的配置
2、转换方式的配置(static,nat0,nat1)访问控制列表的放行
3、ICMP的控制,SSH的配置
4、动态路由协议(rip,ospf)的设置与加密设置
教学要求
每章课开始要回顾上章课程内容,使得内容连惯。
要思路清晰,表述准确。
老师精神饱满、课程内容实用、语言通俗易懂、举例生动直观,语言风趣幽默、吸引学生、师生互动。
掌握计算机网络的安全知识。
第一章安全产品介绍
教学目标:
通过ISCW课程与Cisco认证培训体系介绍,使学生明确学习目的,认识到本门课程的重要性,产生学习兴趣。
了解局域网与广域网的网络结构和网络组成常见设备与作用,明确层次化网络设计模型原理与设计方法。
教学内容:
1.必须掌握的内容:
层次化网络设计
2.需要了解的内容:
Cisco认证培训体系,局域网与广域网常见设备与作用
3.安全产品介绍
4.IOS安全介绍
5.VPN介绍
重点和难点:
VPN设计安全产品
授课方式:
课堂讲解
教学过程:
一、上节课内容回顾和作业点评:
无
二、本节课内容
1、知识点一:
Cisco认证培训体系
知识点内容:
Cisco认证培训体系包括交换路由、安全、语音、ISP、存储五大方向,CC×A、CC×P、CCIE三个级别。
给我们提供了丰富的知识领域与发展机会。
案例:
认证学员就业情况
小结:
Cisco认证培训体系给我们提供了丰富的知识领域与发展机会。
2、知识点二:
局域网与广域网常见设备与作用
知识点内容:
局域网中常见设备包括集线器、网桥、交换机、路由器,他们分别工作在OSI模式中的物理层、数据链路层以及网络层。
广域网中常见设备包括路由器、DSU/CSU、中继器、ISDN交换机、ATM及帧中继交换机、访问服务器等。
他们工作在OSI模型中的网络层、物理层、数据链路层。
小结:
各种网络设备应用场景。
3、知识点三:
层次化网络设计
知识点内容:
层次化网络设计将网络分为核心层、分布层、接入层。
核心层的作用:
高速传送数据
分布层的作用:
访问层汇接点、路由数据、分割广播域/多点传送域、介质转换、安全性实施与远程访问的接入点。
接入层的作用:
终端设备到网络的接入点
案例:
举例分析非层次化与层次网络的优缺点与适用场景。
小结:
层次化网络设计适用于大中型网络的设计方案。
4、知识点四:
IPSecVPN
知识点内容:
IPSecVPN9大优势
优势一经济
优势二灵活
优势三广泛
优势四多业务
优势五安全
优势六冗余设计
优势七通道分离
优势八动、静态路由
优势九管理特性
课堂总结:
各种网络设备应用场景。
层次网络安全的优点与各层次的主要作用。
作业和练习:
明确层次网络的优点与各层次的主要作用。
预习内容:
常见Cisco网络交换机与路由器PIXASA型号。
第二章加密学原理
教学目标:
了解加密学原理,懂得为什么生活中需要加密,生活中的完美加密的概念。
教学内容:
以一个故事来介绍恺撒密码,对称密码学,非对称密码学。
重点和难点:
对称密码学,非对称密码学P=Aa+Bb
授课方式:
课堂讲解
教学过程:
一、上节课内容回顾和作业点评:
VPN应用
二、本节课内容
知识点一:
恺撒密码学与对称密码学的关系。
知识点内容:
对称密码的算法。
案例:
古罗马时代的恺撒密码产生,这是人类第一次利用密码加密。
简单的加密模式。
德国密码战失败记录,柏林战争。
小结:
加密学的重要性。
知识点二:
对称密码学
知识点内容:
优势:
简单。
劣势:
加密强度小,无法传递加密方式。
案例:
sniffer抓telnet包,发现大量明文信息。
小结:
对称密码学在现实生活中应用十分广泛。
完美的文件加密传递。
知识点三:
非对称密码学
知识点内容:
强化的加密方式,优点:
加密强度大,安全性能高。
缺点:
加密
流量被增加新的头部,使得包变大文件传输过程中增加文件大小。
案例:
sniffer抓ssh包,发现所有信息都是加密过的乱码。
小结:
完美的加密方式传递。
知识点四:
完美的加密方式
知识点内容:
使用对称密码来加密,使用非对称算法来传递加密方式。
这种方法是现在最完美的加密方式
案例:
IPSecVPN加密
小结:
完美的加密方式。
课堂总结:
结合理论知识,理解完美加密方式在IPSecVPN中的应用。
作业和练习:
查看加密方式的算法及形式DES3DES。
第三章SDM/DynampsServer
教学目标:
学习SecruityDriviceManage安装与调试,DynampsServer的安装与调试,VMware的安装与调试
教学内容:
介绍SecruityDriviceManage,DynampsServer,VMware的应用,利用这些工具完成本阶段所有实验。
重点和难点:
自己搭建理想的实验环境
授课方式:
课堂讲解
教学过程:
一、上节课内容回顾和作业点评:
完美的加密方式
二、本节课内容
知识点一:
SDM的安装与设置
知识点内容:
理解SDM的含义(SecruityDriviceManage)
案例:
现实工程中SDM的应用。
小结:
强大的管理工具SDM。
知识点二:
DynampsServer
知识点内容:
DynampsServer的安装与调试。
讲述软件的构成与自我需要拓扑
的搭建
案例:
DynampsServer与真实实验环境的区别,DynampsServer在实际工程中的重要作用:
未知知识点的自我学习能力。
小结:
强大的模拟工具DynampsServer。
知识点三:
SDM与DynampsServer的功能介绍
知识点内容:
利用SDM与DynampsServer与VMware的关联进行配置,用以实验环境的编辑与修改。
实现CCIE所有实验的规划。
小结:
自我完善实验环境。
课堂总结:
利用所掌握的SecruityDriviceManage,DynampsServer,VMware来完成以后课程中的所有拓扑搭建。
作业和练习:
搭建自己的CCIE实验环境。
预习内容:
VPN的类型。
第四章Side-to-Sidt(Lan-to-Lan)VPN
教学目标:
了解Side-to-Sidt(Lan-to-Lan)VPN配置与工作原理,懂得为什么生活中需要IPSes,生活中IPSec的实际应用。
教学内容:
以理论结合实践来讲解Side-to-Sidt(Lan-to-Lan)VPN。
重点和难点:
IPSec的配置命令及步骤
授课方式:
课堂讲解
教学过程:
一、上节课内容回顾和作业点评:
利用所学知识对拓扑的搭建
二、本节课内容
知识点一:
IPSecVPN的类型与IKE
知识点内容:
IPSecVPN的类型有1.gre2.vpdn3.mpls4.ipsec(remotevpnl2l)5.sslvpn
IKE(internetkeyexchange)互联网密钥交换.为后续的密钥交换提供一个交换源(可为各种技术交换密钥,如ospf,随机动态交换,如在2个peer间,一小时交换,半小时交换.)
小结:
VPN类型介绍,IKE的定义。
知识点二:
Authentication
知识点内容:
IPSecVPN的验证方式有很多,默认证书验证,在这里常用预共享密钥加密
小结:
加密方式的区别,证书与预共享密钥。
知识点三:
Enctypt,Group,Hash
知识点内容:
加密,组策略,认证方式。
加密在IPSecVPN中有3种方式,分别是3DESDESAES,默认模式为DES,组策略分为1,2和5,其区别是密钥长度不同,分别是768位,1024位,2048位。
认证方式分2种:
md5与sha,默认为sha方式。
小结:
各种策略的不同,加密的强度也不同。
课堂总结:
通过各项技术的介绍结合实验的方式来介绍IPsecVPN的工作原理及命令。
作业和练习:
建立简单的点到点VPN加密连接。
预习内容:
利用SDM来配置点到点VPN。
第五章SDMSide-to-Sidt(Lan-to-Lan)VPN
教学目标:
利用SDM来管理Side-to-Sidt(Lan-to-Lan)VPN。
教学内容:
以理论结合实践来讲解利用SDM来管理Side-to-Sidt(Lan-to-Lan)VPN。
重点和难点:
SDMIPSec的配置命令及步骤
授课方式:
课堂讲解
教学过程:
三、上节课内容回顾和作业点评:
Side-to-Sidt(Lan-to-Lan)VPN
四、本节课内容
知识点一:
利用SDM来管理VPN
知识点内容:
开启Seuri-server,利用SDM来管理Router
小结:
HTTPS为加密(安全)的连接方式,利用HTTPS来管理是安全的管理方式。
知识点二:
预共享密钥,第二阶段转换集(tunnelmode)
知识点内容:
设置预共享密钥来匹配双方加密点的策略协商。
小结:
完美的验证来确保peer的连接。
知识点三:
加密算法设置与完整性校验策略
知识点内容:
转换集来确定后续流量的加密方式与完整性校验策略。
小结:
对等体协商与后续加密方式的完美结合确保VPN的安全连接方式。
课堂总结:
通过SDM来管理建立IPsecVPN简易性。
作业和练习:
利用SDM建立简单的点到点VPN加密连接。
预习内容:
GREOVERIPSecVPN。
第六章GREOVERIPsec
教学目标:
了解GRE与IPSec相结合的优势,理解概念与配置命令。
教学内容:
讲解GRE的构成,理解Tunnel的通道方式以及利用IPSecVPN来加密GRE流量。
重点和难点:
Tunnel的建立,GRE的加密
授课方式:
课堂讲解
教学过程:
一、上节课内容回顾和作业点评:
lan-to-lanVPN
二、本节课内容
知识点一:
Tunnel的建立IP的设置,源的设置,目的的设置。
知识点内容:
讲解Tunnel虚拟接口的定义及封装方式,设置IP地址,源及目的地址。
案例:
中国公司及美国分公司的内网IP无缝连接。
小结:
Tunnel是一个虚拟接口,只关心源及目标地址,不关心途中经过的设备及IP地址。
知识点二:
以Tunnel为源建立动态路由协议
知识点内容:
建立动态路由协议ospf或eigrp宣告tunnel地址及子网络,让对端路由器通过隧道学习到本端内网地址。
小结:
明文传输,动态建立虚拟通道。
知识点三:
设置GREOVERIPSecVPN
知识点内容:
tunnel是明文传输不能确保其安全性,由IPSecVPN来加密通道内所有数据,保证了数据的连同性及安全性。
与普通IPSecVPN不同之处是加密中的感兴趣流为GRE所有流量。
案例:
联想集团各地分公司收发内部邮件。
课堂总结:
GREOVERIPSecVPN解决了GRE明文传输与IPSecVPN不能建立动态路由协议的缺点。
作业和练习:
使用GREOVERIPSecVPN技术,虚拟建立八维新老校区间的加密连接,让新校区可以使用内部邮件、可以登陆老校区的实验设备。
老校区可以访问新校区的视频服务器。
预习内容:
SDM配置GREOVERIPSecVPN。
第七章SDMGREOVERIPsec
教学目标:
利用SDM来配置GREOVERIPSecVPN。
教学内容:
利用SDM来配置GREOVERIPSecVPN。
重点和难点:
对称密码学,非对称密码学P=Aa+Bb
授课方式:
课堂讲解
教学过程:
三、上节课内容回顾和作业点评:
GREOVERIPSecVPN原理及配置
四、本节课内容
知识点一:
SDMVPN
知识点内容:
讲解利用SDM来建立及管理VPN连接
知识点二:
SDMTunnel
知识点内容:
利用SDM来建立tunnel,选择tunnel的ip及目标与自身源ip地址。
知识点三:
SDMRtouting
知识点内容:
利用SDM来建立动态路由协议(ospf)选择区域、ID、宣告网络。
知识点四:
SDMGREOVERIPSecVPN
课堂总结:
未知配置命令的情况下利用SDM来建立GREOVERIPSecVPN。
作业和练习:
利用SDM来建立GREOVERIPSecVPN技术,虚拟建立八维新老校区间的加密连接,让新校区可以使用内部邮件、可以登陆老校区的实验设备。
老校区可以访问新校区的视频服务器。
预习内容:
访问控制列表。
第八章Access-list对协议放行
教学目标:
通过实际的配置来给学生讲解访问控制列表在现实工程中的应用。
教学内容:
通过cisco提供的访问控制列表来说明放行及拒绝协议。
重点和难点:
访问控制列表的应用,in与out方向。
授课方式:
课堂讲解
教学过程:
一、上节课内容回顾和作业点评:
VPN的配置与原理
二、本节课内容
知识点一:
RIP
知识点内容:
RIP是对动态路由协议使用端口的典型例子之一,通过本节学习将对放行动态路由协议使用的协议及端口进一步深入了解。
小结:
跨区域的动态路由协议放行RIP。
知识点二:
RFC1918
知识点内容:
在RFC1918中规定了私有网络的IP地址规划,在边界路由器中配置访问控制列表,拒绝来自与外网的私有网络地址。
如:
0.0.0.0.810.0.0.0/8172.16.0.0/16192.168.1.0/24等地址。
案例:
举例分析RFC1918适用场景。
小结:
网络攻击80%来源与内部网络,20%来源与外部攻击,用访问控制列表来防御来源于外部的地址欺骗与攻击手段。
知识点三:
DOS
知识点内容:
防御DOS攻击
小结:
通过访问控制列表来减轻来自外部的DOS攻击。
课堂总结:
访