网络安全与防护情境设计Word格式.docx

1、W_R1模拟互联网ISP互联公网OSPF2W_R23W_R34W_R45W_R56W_R67服务器W_CA模拟CA服务器CA服务器8W_DNS模拟DNS服务器DNS服务器9W_WWW模拟WWW服务器WWW服务器10移动PCW_XYZ模拟A公司出差员工需要远程访问总部内网2.2 A公司内部网络X网络中设备及标识列表X_RX网络接入路由器NAT、默认路由、内网OSPF防火墙X_FW控制X网络内外网访问防火墙、流控等（路由器代替）交换机X_2S5二层交换连接交换连接X_WWWA公司WWW服务器WEB服务器等X_MAILA公司MAIL服务器MAIL服务器等X_OAA公司OA服务器OA办公自动化服务器等

2、X_3S1X网络核心层交换机内网OSPF、VLAN、Trunk等X_SVR1X内网WINDOWS服务器WWW、FTP等服务X_SVR2X内网LINUX服务器工作站X_NMSX内网网络管理工作站IDS、SNMP等内网管理功能11X_3S2X网络汇聚层交换机VLAN、Trunk等12X_3S313X_2S1X网络接入层交换机14X_2S215X_2S316X_2S417台式PCX_PC1-8X网络内网用户X网络内网用户计算机2.3 A公司上海分公司内部网络Y网络中设备及标识列表Y_RY网络接入路由器NAT、默认路由、内网RIP等Y_FW控制Y网络内外网访问Y_3SY网络核心层交换机Y_SVRY内网

3、服务器Y_2S1Y网络接入层交换机Y_2S2无线APY_APY网络会议室无线AP无线AP连接Y_LP1-2Y网络会议室移动PCY_PC1-8Y网络内网台式PCY网络用户计算机2.4 模拟互联网Z网络中设备及标识列表Z_RZ网络接入路由器NAT、默认路由、IOS安全等堡垒主机Z_SVRZ网络堡垒主机配置安全访问控制功能Z_2SZ网络接入层交换机Z_APZ网络会议室无线APZ_LP1-2Z网络会议室移动PCZ_PC1-4Z网络内网台式PCZ网络用户计算机3. 针对典型企业网络互联项目案例的学习情境设计本课程将依据此案例进行网络安全风险分析与防护措施规划。下面针对案例以网络安全领域内6个方面（3个模

4、块）主流技术的运用实现对其的安全防护实施分析。3.1 网络协议及流量分析技术是安全防护实施的技术基础与核心网络协议是网络通信的关键，但是由协议本身也存在着各种安全隐患。针对网络协议的攻击也是种类繁多，从数据链路层到应用层协议都可能存在被攻击的缺陷。特别是应用最为普遍的TCP/IP协议，其设计之初并没有考虑过多的安全问题。如FTP、HTTP、Telnet等应用的明文账号和密码传输的安全缺陷、ARP欺骗、PING攻击、DoS攻击、DDoS攻击等。因此，了解主要通信协议的安全缺陷、掌握有效的协议分析与流量控制技术是实施网络安全防护的关键。如配置防火墙对特定针对协议的攻击，就需要深入了解协议的工作原理

5、、规则及协议数据格式。同时通过协议分析也可以定位网络中存在的故障及安全风险。所以，本课程及教材的学习情境1是：通过流量分析定位网络故障。本情境将重点以X网络中X_NMS网络管理工作站为操作点，通过其分析X网络中的协议流量情况、分析某些协议的安全缺陷，并进行有效的控制等。如图3所示。图3 通过流量分析定位网络故障整体情境图“学习情境1通过流量分析定位网络故障”共设计有3个任务，具体任务名称及简介如下：3.1.1 任务1：利用Packet Tracer分析协议工作过程本任务为协议分析基础学习，是利用思科Packet Tracer分析协议数据工作过程和ICMP协议数据的格式。从而理解网络中传输的数据

6、包的封装层次。可在任意单机上完成此任务。3.1.2 任务2：基于Sniffer Pro进行协议、模拟攻击分析本任务为协议分析的深入学习，是利用Sniffer Pro捕获协议数据、分析协议数据、构造协议数据的相关技术学习，从而让学习者深入理解协议数据的格式与封装层次。可在图中的X_NMS设备上完成此任务。3.1.3 任务3：利用深信服流量控制设备分析与定位网络故障本任务为协议分析与故障定位的技术，是基于深信服流量控制设备对网络中的协议进行分析，从而发现内部网络中的协议数据存在的问题。在X_FW位置的设备上完成，X_FW其为流量控制设备。3.1.4 拓展任务：拓展训练任务6个在拓展任务中将设计若干

7、任务，进一步分析TELNET、FTP、HTTP明文数据传输的安全性问题。3.2保护数据传输的机密性、完整性与真实性，防止息泄漏由于很多TCP/IP协议簇中的协议在传输过程中是以明文方式传数据的，所以存在很安全隐患，很容易被非授权用户获取到数据内容，数据的机密性受到威胁。因此对所要传输的文件进行加密后再传输可以有效降低重要数据被窃取的风险。另外在A公司会有这样的需求：分公司或办事处的用户通过公网（W网络）去访问总部内网服务器中数据的需求，此需求可以通过隧道技术连接分支与总部，但为了保护通过公网传输的数据的机密性、完整性与真实性，需要采用VPN技术，可能需要对数据进行保护。此外，出差的员工也会需要

8、通过公网连接到总部内网，以访问内网重要数据，为此也要对数据进行保护。本部分内容将在学习情境2中学习，即如何保护数据在公网上的传输。如图4所示。图4 保护数据在公网上的传输整体情境图“学习情境2保护数据在公网上的传输”共设计有7个任务，具体任务名称及简介如下：3.2.1 任务1：利用PGP实施非对称加密本任务为数据加密技术的基础学习，是利用PGP软件对文件进行加密码、并签名的实验，实现对文件的机密性、完整性与真实性的保护与验证。让学习者理解对称加密与非对称加密相关技术。3.2.2 任务2：利用数字证书保护通信本任务主要介绍数字证书技术，是利用Windows下和CA证书服务，实现基于HTTPS的W

9、WW安全访问。W_CA模拟CA服务器、X_WWW模拟设置SSL安全访问的WEB服务器、另外选择W_XYZ为客户端。3.2.3 任务3：利用隧道技术连接企业与分支本任务为隧道技术知识的引入，通过GRE隧道技术将分公司或办事处网络与总部网络建设隧道连接，以实现分支与总部内网间数据的互相访问。主要配置点为X_R、Y_R、Z_R三台路由器。3.2.4 任务4：基于Windows实现VPN连接本任务主要基于Windows系统下的IPSEC（IP安全策略）实现点到点的安全通信，包括加密、认证与完整性保护。实现点为X网络中X_NMS与X_WWW之间的安全隧道通信（如对远程桌面TCP协议的3389端口进行安全

10、通信保护）。3.2.5 任务5：基于路由器实现分支与总部VPN连接本任务主要基于路由器实现基于IPSEC站点到站点的安全通信，包括加密、认证与完整性保护。实现点为XYZ网络中X_R、Y_R、Z_R三台路由器。以实现XYZ三个网络内网之间的安全互访。3.2.6 任务6：基于INODE实现出差员工通过VPN访问总部本任务主要基于X_R路由器实现出差员工通过VPN安全访问总部内部网络，包括加密、认证与完整性保护。即利用INODE软件与X_R路由器配合，对出差员工通过公网拨入总部内网的VPN连接控制。同时补充了思科的EZVPN的实现。3.2.7 任务7：对无线连接进行认证与数据加密保护本任务主要实现对

11、无线连接的安全设置，包括Y网络和Z网络中的无线AP的安全配置，以实现对无线用户接入各自内网的控制。3.2.8 拓展任务：拓展训练任务3个在拓展任务中将设计若干任务，进一步了解SSH等安全协议功能与作用。3.3对网络访问行为进行控制，保护内网安全对于一个企业网来说，关键的防护设备之一就是处于公网与内网之间的网络安全防护与访问控制设备。借助于网络安全访问控制设备可以有效保护内部网络中设备及主机的安全，以保护内网数据的安全。XY网络中分别有各自的防火墙或流控设备，负责网络信息的安全检查、访问控制、整体防护功能。而对于Z网络是借助于路由器Z_R实现基本防护功能，或借助Z_SVR堡垒主机配置基于通用主机

12、的防火墙功能。如图5所示。图5 对网络访问行为进行控制整体情境图“学习情境3对网络访问行为进行控制”共设计有5个任务，具体任务名称及简介如下：3.3.1 任务1：基于路由器配置基本防护功能（PT+IOS）本任务为访问控制技术的基础学习，是利用PT软件中路由器配置基本包过滤与访问控制功能。本任务将基于Z_R路由器实施基本的防护配置。3.3.2 任务2：软件防火墙配置保护主机与内部网络RouterOS+LINUX+ISA本任务主要基于通用计算机上的防火墙功能配置与实施，是利用虚拟机配置RouterOS、LINUX的IPTABLES或Windows的ISA防火墙功能。任务中的配置点为Z_SVR堡垒主

13、机。另外补充了SmoothWall主机防火墙的配置。3.3.3 任务3：基于思科路由器的IOS防火墙防护功能配置（IOS FW）本任务为主要基于思科路由器的IOS防火墙功能实施内网防护，以实现对办事处内网的保护。主要配置点为Z_R路由器。3.3.4 任务4：基于天融信硬件防火墙对网络进行防护本任务主要基于硬件防火墙保护Y网络的通信，包括访问控制等。主要配置点为Y_FW防火墙或安全设备。3.3.5 任务5：基于深信服设备进行网络行为控制本任务主要基于深信服流控设备保护X网络安全通信，包括访问控制与流量控制。主要配置点为X_FW防火墙或深信服流控设备。3.3.6 拓展任务：拓展训练任务2个在拓展任

14、务中将设计若干任务，进一步深入学习防火墙相关功能的配置。3.4 对入侵进行检测、审计与防护对于一个企业网来说，攻击是多角度、多层次的，仅凭防火墙等设备的保护是不全面的。对于已经发生的入侵或攻击行为还需要进行入侵检测与审计，以保护内网数据的安全与取证。XZ网络中分别有各自入侵检测设备。负责网络信息的安全检查与记录。对于X网络是借助于主机X_NMS或流量控制设备X_FW实现入侵检测功能。对于Z网络是借助Z_R的路由器入侵检测功能实现IDS与IPS功能。如图6所示。图6对入侵进行检测、审计与防护整体情境图“学习情境4对入侵进行检测、审计与防护”共设计有3个任务，具体任务名称及简介如下：3.4.1 任

15、务1：基于Snort入侵检测功能配置本任务为主要基于主机与Snort软件实现网络入侵检测功能，对进出内网流量的检测与控制。主要配置点为X_NMS主机与核心交换机。3.4.2 任务2：基于思科路由器的IOS入侵检测功能配置（IOS IDS/IPS）本任务为主要基于思科路由器的IOS入侵检测功能实施，对进出内网流量的检测与控制。3.4.3 任务3：基于深信服实施网络审计本任务为主要基于深信服流量控制设备实施入侵检测功能，对进出内网流量的检测、控制与审计。主要配置点为X_FW流量控制设备。3.4.4 拓展任务：在拓展任务中将设计若干任务，进一步深入学习IDS/IPS相关配置。3.5 网络及主机渗透攻

16、击测试与加固防护对于一个企业网来说，需要全方位的防护，不能单纯凭对边界的控制。因为攻击可能源自于内网中的任何主机。因此对网主机进行攻击检测与加固也是一项关键安全防护任务。本部分将以XY网络中的服务器为例，介绍网络中的攻击方法与加固措施。如图7所示。图7网络及主机渗透攻击测试与加固防护整体情境图“学习情境5网络及主机渗透攻击测试与加固防护”共设计有2个任务，10个子任务，具体任务名称及简介如下：3.5.1 任务1：网络及主机渗透攻击测试本任务将以渗透攻击技术为主，对X内网主机服务器进行多角度的安全测试，以学习黑客常用的攻击方法，做到知己知彼，以便于下一任务中对网络及主机进行加固。这里将分为5个子

17、任务。子任务1：主机扫描技术（XSCAN等）子任务2：远程控制技术（灰鸽子等木马）子任务3：操作系统漏洞攻击（LINUX、WINDOWS：溢出等）子任务4：应用程序漏洞攻击（IIS等）子任务5：数据库漏洞攻击3.5.2 任务2：网络及主机加固防护本任务将基于上一任务中的渗透攻击对网络及主机进行加固。运用NEUSS扫描软件检测主机漏洞主机基本防护与加固（服务最小化）病毒防护（PE使用、免杀、捆绑等介绍）系统漏洞防护与加固（补丁等）服务及应用防护与加固（防篡改）3.5.3 拓展任务：在拓展任务中将设计若干任务，进一步深入学习主机攻防技术。3.6 保护网络安全可靠运行的综合技术对于一个企业网来说，安

18、全防护相关的技术还有很多。如数据备份、RAID、主机和网络冗余、AAA、SNMP等技术。本情境将重点学习相关的综合安全防护技术，同时在拓展任务中补充了用户接入控制技术与统一网络管理相关技术。具体如图8所示。图8保护网络安全可靠运行的综合技术整体情境图“学习情境6保护网络安全可靠运行的综合技术”共设计有6个任务，具体任务名称及简介如下：3.6.1 任务1：数据备份与恢复本任务为主要基于软件实现数据的备份与恢复功能，同时介绍数据丢失后的修复功能，重点突出数据备份技术的重要性。主要配置点为主机。3.6.2 任务2：磁盘冗余配置与实现本任务为主要基于RAID技术实现的数据的备份与恢复功能，重点突出基于

19、磁盘层面的数据备份技术的重要性。3.6.3 任务3：服务器冗余配置与实现本任务为主要基于服务器冗余技术实现数据的备份与恢复功能，重点突出主机层面的数据备份技术的重要性。3.6.4 任务4：网络冗余配置与实现本任务为主要基于路由器与交换机冗余技术实现数据的备份与恢复功能，重点突出网络层面的数据备份技术的重要性。主要配置点为路由器与交换机。3.6.5 任务5：AAA实现认证、授权与审计配置与实现本任务为主要基于AAA技术实现用户的认证、授权与计费功能，主要配置点接入服务器NAS与AAA服务器。3.6.6 任务6：基于SNMP协议实现网络管理本任务为主要基于网络管理软件与SNMP协议实现网络管理，对

20、进全网被管设备进行管理与监测。主要配置点为X_NMS主机与网络中所有被管设备。3.6.7 拓展任务：在拓展任务中补充了用户接入控制技术与统一网络管理相关技术。4. 本课程情境及任务列表本课程及教材情境及任务列表如表1所示：前导整体情境案例介绍及引导以典型企业项目案例引入网络安全防护技术模块情境情境名称任务任务名称层次数据传输学习情境1通过流量分析定位网络故障任务1任务2任务3拓展任务学习情境2保护数据在公网上的传输任务4任务5任务6基于INode实现出差员工通过VPN访问总部（6608+INode）任务7局域网学习情境3对网络访问行为进行控制学习情境4对入侵进行检测、审计与防护主机及用户端学习情境5网络及主机渗透攻击测试与加固防护子任务1子任务2子任务3子任务4子任务5运用Nessus扫描软件检测主机漏洞服务及应用防护与加固（防篡改、数据库防护等）学习情境6保护网络安全可靠运行的综合技术综合整体案例网络安全技术实施汇总基于典型企业项目案例整体实施网络安全防护技术学习情境共6个，学习任务26个，拓展任务18个。