網(wǎng)絡(luò)攻防實(shí)驗(yàn)室解決方案白皮書(shū)_V1.0

銳捷網(wǎng)絡(luò) 攻防 實(shí)驗(yàn)室 解決方案 建議書(shū) 福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司 2009 年 9 月 目 錄 第一章 網(wǎng)絡(luò)安全技術(shù)人才需求概述 .4 第二章 網(wǎng)絡(luò)安全技術(shù)人才培養(yǎng)的教學(xué)分析 .5 2.1培養(yǎng)網(wǎng)絡(luò)安全技術(shù)人才的目標(biāo) . 5 2.2網(wǎng)絡(luò)安全人才培養(yǎng)專業(yè)設(shè)計(jì) . 5 2.2.1高校信息安全專業(yè) .5 2.2.2高校網(wǎng)絡(luò)安全專業(yè) .6 2.3.3高校網(wǎng)絡(luò)工程專業(yè) .6 2.3 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 建設(shè)的應(yīng)用需求 . 7 2.3.1 提供真實(shí)的網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)環(huán)境 .7 2.3.2 滿足不同層次實(shí)驗(yàn)的需要 .7 2.3.3提供實(shí)驗(yàn)室配套的實(shí)驗(yàn)教學(xué)系統(tǒng) .8 2.3.4有效地對(duì)實(shí)驗(yàn)教學(xué)進(jìn)行管理 .8 2.3.5解決學(xué)生將來(lái)就業(yè)的通用性問(wèn)題 .8 2.3.6完備和成熟的整體解決方案 .8 第三章 建設(shè) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的特點(diǎn)和原則 . 10 3.1 建設(shè) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的特點(diǎn) . 10 3.2 建設(shè) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的原則 . 11 第四章 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 建設(shè)方案 . 13 4.1網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 構(gòu)建方案 . 13 4.1.1網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 拓樸圖 . 13 4.1.2 每組實(shí)驗(yàn)臺(tái)介紹 . 14 4.1.3實(shí)驗(yàn)室的布局 . 15 4.1.4安全實(shí)驗(yàn)室服務(wù)器設(shè)計(jì) . 15 4.2網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 課程 設(shè)計(jì) . 16 4.2.1網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)計(jì)劃 . 18 4.2.2推薦教材 . 21 第五章 銳捷 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 解決方案的特點(diǎn) . 23 5.1專注于實(shí)驗(yàn)教學(xué) . 23 5.1.1實(shí)驗(yàn)內(nèi)容完全滿足高等院校的教學(xué)需要 . 23 5.1.2配有內(nèi)容豐富的實(shí)驗(yàn)指導(dǎo)手冊(cè) . 23 5.1.3提供來(lái)自實(shí)際案例的綜合性實(shí)驗(yàn) . 23 5.2 專業(yè)的教學(xué)服務(wù) . 24 5.2.1成為銳捷網(wǎng)絡(luò)學(xué)院 . 24 5.2.2學(xué)生有機(jī)會(huì)全面接觸前沿的網(wǎng)絡(luò)安全技術(shù) . 24 5.2.3師資培訓(xùn) . 24 5.2.4可獲得共享的教學(xué)資料 . 24 5.2.5為各銳捷網(wǎng)絡(luò)學(xué)院提供技術(shù)交流平臺(tái) . 24 5.2.6建立雙向人才信息庫(kù) . 25 第六章 銳捷網(wǎng)絡(luò)實(shí)驗(yàn)室榮譽(yù)客戶名單 . 26 附錄 網(wǎng)絡(luò)安全實(shí)驗(yàn)樣例 . 31 實(shí)驗(yàn) 防火墻安全 NAT . 31 實(shí)驗(yàn) 防火墻實(shí)現(xiàn)抗攻擊 . 33 實(shí)驗(yàn) ACCESS VPN通信實(shí)驗(yàn) . 35 實(shí)驗(yàn) INTRANET VPN 通信實(shí)驗(yàn)數(shù)字證書(shū)認(rèn)證方式 . 37 實(shí)驗(yàn) RG-IDS 與 RG-WALL防火墻聯(lián)動(dòng)實(shí)驗(yàn) . 39 實(shí)驗(yàn) IIS服務(wù)漏洞攻擊檢測(cè)實(shí)驗(yàn) . 41 實(shí)驗(yàn) 使用 ROUTER構(gòu)建 GRE OVER IPSEC VPN . 43 實(shí)驗(yàn) 使用 UTM防止病毒攻擊 . 45 實(shí)驗(yàn) 整網(wǎng)安全綜合實(shí)驗(yàn) . 47 第一章 網(wǎng)絡(luò)安全技術(shù)人才需求概述 網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展 ， 通過(guò)網(wǎng)絡(luò)進(jìn)行 信息資源的交流已經(jīng)成為人類最頻繁和最重要的 交流方式 ， 網(wǎng)絡(luò)使用人數(shù)的增長(zhǎng)速度超出人們的想象，人們?cè)谙硎軘?shù)字化時(shí)代所帶來(lái)的便捷的同時(shí)，卻越來(lái)越擔(dān)心自身系統(tǒng)或信息的穩(wěn)定和 安全 ， 如何保護(hù) 網(wǎng)絡(luò)中 信息 的 安全成為 網(wǎng)絡(luò) 安全學(xué)科最熱點(diǎn) 的課 題 ， 目前我國(guó)的網(wǎng)絡(luò)安全及技術(shù)方面正出于起步階段， 網(wǎng)絡(luò)及信息安全產(chǎn)業(yè)發(fā)展滯后，網(wǎng)絡(luò)安全科研和教育嚴(yán)重滯后， 關(guān)鍵是網(wǎng)絡(luò)安全人才的匱乏 ，而 市場(chǎng)對(duì)網(wǎng)絡(luò)安全的巨大需求使得社會(huì)對(duì)網(wǎng)絡(luò)信息安全人才的需求在今后幾年內(nèi)將超過(guò)100 萬(wàn)人 ，而國(guó)內(nèi)只有少部分理工類高校建立了“網(wǎng)絡(luò)安全”、“信息安全”等專業(yè)，網(wǎng)絡(luò)安全人才的需求容量是無(wú)庸置疑的，就目前來(lái)看，網(wǎng)絡(luò)信息安全已經(jīng)形成一個(gè)產(chǎn)業(yè)，網(wǎng)絡(luò)信息安全技術(shù)人才必將成為未來(lái)最熱門(mén)的搶手人才。 要培養(yǎng)符合社會(huì)需求的網(wǎng)絡(luò)安全技術(shù)人才，就需要提供一個(gè)基于網(wǎng)絡(luò)安全實(shí)踐教學(xué)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 ，并在這個(gè) 實(shí)驗(yàn)室的基礎(chǔ)之上，提供合適的網(wǎng)絡(luò)安全教材、提供完善豐富的網(wǎng)絡(luò)安全教學(xué)內(nèi)容， 提供培養(yǎng)符合社會(huì)需求的網(wǎng)絡(luò)安全技術(shù)人才所需的完善的課程體系。 銳捷 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 是 專門(mén)面向開(kāi)設(shè)網(wǎng)絡(luò)安全、信息安全、網(wǎng)絡(luò)工程、網(wǎng)絡(luò)應(yīng)用技術(shù)等專業(yè)提出的業(yè)界領(lǐng)先的第一份專門(mén)針對(duì)網(wǎng)絡(luò) 安全 實(shí)驗(yàn)教學(xué)的一攬子 實(shí)驗(yàn) 室解決方案。 是基于學(xué)校的教學(xué)計(jì)劃及課程設(shè)置 需求而設(shè)計(jì)的，是為各 高校 高校定制的。并且銳捷網(wǎng)絡(luò)提出的 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 建設(shè)方案也是獨(dú)特的，它具有專注于實(shí)踐型實(shí)驗(yàn)教學(xué)、高效和便捷安全、先進(jìn)的教學(xué)管理平臺(tái)等無(wú)可比擬的優(yōu)勢(shì)。 銳捷網(wǎng)絡(luò) 各類專業(yè) 實(shí)驗(yàn)室解決 方案已經(jīng)成功應(yīng)用于全國(guó)的 900 多所學(xué)校， 行業(yè)市場(chǎng)占有率第一，應(yīng)用效果明顯。 第 二 章 網(wǎng)絡(luò)安全技術(shù)人才培養(yǎng) 的 教學(xué)分析 2.1 培養(yǎng)網(wǎng)絡(luò) 安全 技術(shù)人才的目標(biāo) 在國(guó)家教育部門(mén)的宏觀指導(dǎo)下，我國(guó)部分高校已經(jīng)設(shè)置了本?？破瘘c(diǎn)的網(wǎng)絡(luò)安全、信息安全專業(yè)，在一些重點(diǎn)的高校如：武漢大學(xué)、北京郵電大學(xué)、西安電子科技大學(xué)等設(shè)置了密碼學(xué)和信息安全的博士點(diǎn)，我國(guó)的網(wǎng)絡(luò)安全學(xué)科的人才培養(yǎng)已經(jīng)拉開(kāi)了序幕，但是與發(fā)達(dá)國(guó)家相比，我國(guó)高校的安全方向培養(yǎng)學(xué)生規(guī)模、學(xué)科建設(shè)、實(shí)驗(yàn)室建設(shè)、實(shí)踐教學(xué)等方面還存在著很大的差距，理論多于實(shí)踐的現(xiàn)象在各高校已 是相當(dāng)普遍，遠(yuǎn)遠(yuǎn)不能滿足信息化進(jìn)程對(duì)應(yīng)用型人才的迫切需求。 由于信息系統(tǒng)本身的脆弱性和不斷出現(xiàn)的復(fù)雜性，信息安全、網(wǎng)絡(luò)安全的問(wèn)題也日趨嚴(yán)重，掌握網(wǎng)絡(luò)安全技術(shù)及發(fā)展勢(shì)在必行。 通過(guò)分層次的網(wǎng)絡(luò)安全中的諸如 加密技術(shù)、防火墻技術(shù)、 VPN 技術(shù) 、無(wú)線接入安全 和入侵檢測(cè)技術(shù)，通過(guò)一個(gè) 個(gè) 具體的網(wǎng)絡(luò) 實(shí)驗(yàn) 案例來(lái)論述每一種安全技術(shù)在大型網(wǎng)絡(luò)的應(yīng)用和實(shí)施，讓學(xué)員在掌握每一種技術(shù)的基礎(chǔ)上了解網(wǎng)絡(luò)安全的整體架構(gòu)和綜合使用。 通過(guò)這部分實(shí)驗(yàn)環(huán)節(jié)課程的學(xué)習(xí)，不僅能全面提高學(xué)生的實(shí)際動(dòng)手能力，而且還能讓學(xué)員切實(shí)了解自己所掌握的實(shí)際操作技能以 及何時(shí)、何處、何種環(huán)境能夠應(yīng)用這些技能，真正做到學(xué)以致用。 2.2 網(wǎng)絡(luò) 安全 人才培養(yǎng)專業(yè)設(shè)計(jì) 很多 高校 高校都有 信息安全 專業(yè) 。在 信息安全 的專業(yè)課里，都有 密碼學(xué) 、 網(wǎng)絡(luò)安全原理 、信息系統(tǒng)安全原理 這樣的 課程，講的是 理論 ，主要是 概念性的知識(shí)。在這些課程 上，很少有動(dòng)手實(shí)驗(yàn)的機(jī)會(huì)，基本沒(méi)有 真實(shí)環(huán)境進(jìn)行搭建和驗(yàn)證的 實(shí)驗(yàn)。 學(xué)生學(xué)完了課程只是會(huì)說(shuō)，知道基本的原理，但沒(méi)有見(jiàn)過(guò)真實(shí)的環(huán)境，到了實(shí)際的應(yīng)用環(huán)境就不知如何動(dòng)手了。 還有些學(xué)校開(kāi)設(shè)了 網(wǎng)絡(luò)安全專業(yè)、 網(wǎng)絡(luò)工程專業(yè)、 網(wǎng)絡(luò)系統(tǒng)管理專業(yè) 。 這其中與網(wǎng)絡(luò) 安全 相關(guān)的專業(yè)課程就很豐富了。在這 樣的一些專業(yè)課上，要求給學(xué)生提供相應(yīng)的動(dòng)手實(shí)驗(yàn)機(jī)會(huì) ，加強(qiáng)理論與實(shí)踐的結(jié)合 。 2.2.1 高校 信息安全專業(yè) 培養(yǎng)目標(biāo)： 具有 進(jìn)行信息系統(tǒng)安全設(shè)計(jì)、 管理的 維護(hù)的 高級(jí)技術(shù)人才。本專業(yè)培養(yǎng)能系統(tǒng)地掌握計(jì)算機(jī)科學(xué)與技術(shù)， 不僅具備 計(jì)算機(jī) 系統(tǒng) 軟 硬件 件與應(yīng)用 、密碼學(xué)、 信息系統(tǒng)安全監(jiān)控、保密性及完整性、預(yù)警防護(hù)檢測(cè)反應(yīng) 的基本理論 基礎(chǔ) ， 更要 具有 網(wǎng)絡(luò)操作系統(tǒng) 、 數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)管理等實(shí)際應(yīng)用開(kāi)發(fā)技能。 通過(guò)系統(tǒng)學(xué)習(xí)培訓(xùn)，使學(xué)生掌握 行業(yè)應(yīng)用的系統(tǒng)管理安全防衛(wèi)體系 ，能熟練地管理網(wǎng)絡(luò)信息流，掌握計(jì)算機(jī) 系統(tǒng) 病毒防護(hù) 等技能 。 主要課程 ： 計(jì)算 機(jī)組成原理、計(jì)算機(jī)接口技術(shù)、數(shù)據(jù)結(jié)構(gòu)與算法、編譯原理、安全操作系統(tǒng)原理、程序設(shè)計(jì)基礎(chǔ)、數(shù)據(jù)庫(kù)系統(tǒng)原理、通信原理、計(jì)算機(jī)網(wǎng)絡(luò)、無(wú)線通信與網(wǎng)絡(luò)、數(shù)學(xué)分析、高等代數(shù)、信息論基礎(chǔ)、密碼學(xué)原理與技術(shù)、密碼算法硬件實(shí)現(xiàn)、網(wǎng)絡(luò)安全理論與技術(shù)、信息隱藏技術(shù)、計(jì)算機(jī)病毒原理與技術(shù)、 PKI 原理與技術(shù)、入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)編碼原理與技術(shù)、信息對(duì)抗技術(shù)、網(wǎng)格計(jì)算概論 網(wǎng)絡(luò) 安全 方面實(shí)驗(yàn)： 網(wǎng)絡(luò)安全方面的全系列實(shí)驗(yàn)，物理層實(shí)驗(yàn)，網(wǎng)絡(luò)系統(tǒng)層、應(yīng)用層及用戶層、數(shù)據(jù)層的全系列教學(xué)實(shí)驗(yàn)。希望能對(duì)學(xué)生進(jìn)行信息 網(wǎng)絡(luò) 安全 認(rèn)證 資格 考試 CISP，可以得到 社 會(huì)的認(rèn)可。 2.2.2 高校 網(wǎng)絡(luò) 安全 專業(yè) 培養(yǎng)目標(biāo)： 具有全面的 網(wǎng)絡(luò) 安全專業(yè)知識(shí)，使得學(xué)生有較寬的知識(shí)面和進(jìn)一步發(fā)展的基本能力；加強(qiáng)學(xué)科所要求的基本修養(yǎng)，為學(xué)生今后的發(fā)展、創(chuàng)新打下良好的基礎(chǔ)；使學(xué)生具有較強(qiáng)的應(yīng)用能力，具有應(yīng)用已掌握的基本知識(shí)解決實(shí)際應(yīng)用問(wèn)題的能力，不斷增強(qiáng)系統(tǒng)的應(yīng)用、開(kāi)發(fā)以及不斷獲取新知識(shí)的能力。努力使學(xué)生既有扎實(shí)的理論基礎(chǔ)，又有較強(qiáng)的應(yīng)用能力；既可以承擔(dān)實(shí)際系統(tǒng)的開(kāi)發(fā)，又可進(jìn)行科學(xué)研究。 主要課程 ： 計(jì)算機(jī)組成原理、微機(jī)原理及接口技術(shù)、操作系統(tǒng) 及服務(wù)器應(yīng)用技術(shù) 、數(shù)據(jù)庫(kù) 技術(shù) 、計(jì)算機(jī)網(wǎng)絡(luò) 原理 件工程 、 通信原理、密碼學(xué) 、 網(wǎng)絡(luò)安全技術(shù) 、 數(shù)字鑒別及認(rèn)證系統(tǒng) 、防火墻技術(shù) 、 網(wǎng)絡(luò)安全檢測(cè)與防范技術(shù) 、 網(wǎng)絡(luò)安全協(xié)議與標(biāo)準(zhǔn) 、 計(jì)算機(jī)網(wǎng)絡(luò)安全管理 等 課程。 網(wǎng)絡(luò)方面實(shí)驗(yàn) ：交換機(jī)、路由器 、防火墻、 IDS、 VPN、各類應(yīng)用服務(wù)器、認(rèn)證服務(wù)器等基本配置實(shí)驗(yàn)，以及網(wǎng)管軟件 、協(xié)議分析軟件、抓包軟件分析 的實(shí)驗(yàn)。 2.3.3 高校 網(wǎng)絡(luò)工程專業(yè) 培養(yǎng)目標(biāo) :本專業(yè)培養(yǎng)適應(yīng)社會(huì)主義現(xiàn)代化建設(shè)需要，德、智、體全面發(fā)展，能夠系統(tǒng)地、深入地掌握信息網(wǎng)絡(luò)工程領(lǐng)域的基本理論方法和技能，能從事信息網(wǎng)絡(luò)的設(shè)計(jì)、開(kāi)發(fā)和應(yīng)用等方面工作的人才。 系統(tǒng)掌握網(wǎng)絡(luò)工程專業(yè)知 識(shí)，能夠從事網(wǎng)絡(luò)工程規(guī)劃設(shè)計(jì)、組建、管理和維護(hù)；從事網(wǎng)絡(luò)工程應(yīng)用系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、管理和維護(hù)；從事網(wǎng)絡(luò)工程基礎(chǔ)理論研究、分析的專業(yè)技術(shù)人才。 能進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用軟件系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、維護(hù)的復(fù)合型技術(shù)人才。 畢業(yè)后從事網(wǎng)絡(luò)的設(shè)計(jì)、開(kāi)發(fā)、維護(hù)及研究工作。 培養(yǎng)要求 :掌握有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)原理、網(wǎng)絡(luò)互聯(lián)技術(shù)、協(xié)議工程、網(wǎng)絡(luò)管理、信息安全、多媒體通信以及信息管理與信息系統(tǒng)等方面的原理和技術(shù)；具有對(duì)信息網(wǎng)絡(luò) 安全 進(jìn)行實(shí)際操作和維護(hù)的能力 。 主干學(xué)科與主要課程： 計(jì)算機(jī)網(wǎng)絡(luò)原理、協(xié)議工程、網(wǎng)絡(luò)互聯(lián)技術(shù)、信息安全、 分布式系統(tǒng)、多媒體系統(tǒng)及應(yīng)用、數(shù)據(jù)倉(cāng)庫(kù)與數(shù)據(jù)挖掘、 TCP/IP 與 Internet、網(wǎng)絡(luò)應(yīng)用編程技術(shù)、寬帶綜合業(yè)務(wù)數(shù)字網(wǎng)基礎(chǔ) 、 數(shù)據(jù)通信系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)原理、網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)、計(jì)算機(jī)網(wǎng)絡(luò)管理、局域網(wǎng)技術(shù)與組網(wǎng)工程、互聯(lián)網(wǎng)技術(shù)及其應(yīng)用、網(wǎng)絡(luò)安全技術(shù)、信息網(wǎng)絡(luò)新技術(shù) 等 。 主要實(shí)踐教學(xué)： 認(rèn)識(shí)實(shí)習(xí)、上機(jī)操作、數(shù)學(xué)實(shí)驗(yàn)、數(shù)學(xué)建模、課程實(shí)驗(yàn)、畢業(yè)設(shè)計(jì)。 2.3 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 建設(shè)的應(yīng)用需求 2.3.1 提供真實(shí)的網(wǎng)絡(luò) 安全 實(shí)驗(yàn)教學(xué)環(huán)境 社會(huì)或企事業(yè)單位用人的標(biāo)準(zhǔn)是需要具有動(dòng)手能力的網(wǎng)絡(luò) 安全 技術(shù)人才 。 這和學(xué)校的人才 培養(yǎng)模式、培養(yǎng)目標(biāo)等方面與存在著差距?，F(xiàn)在很多學(xué)校更多的是注重理論的教學(xué)，現(xiàn)在，很多 政府機(jī)關(guān)、電信及金融行業(yè) 更需要的是具有動(dòng)手能力的網(wǎng)絡(luò) 安全 技術(shù)人才。對(duì)于學(xué)校來(lái)說(shuō)，學(xué)生動(dòng)手能力的培養(yǎng)，在很大程度上取決于學(xué)校的 安全 實(shí)驗(yàn)環(huán)境和 實(shí)踐課程設(shè)置 。 那對(duì)于我們信息安全 專業(yè)或網(wǎng)絡(luò) 安全方向的教學(xué)，如何來(lái)做到這一點(diǎn)？這就要求提供真實(shí)的 實(shí)驗(yàn)環(huán)境 及專業(yè)的課程設(shè)置 。 2.3.2 滿足不同 技術(shù)類型 實(shí)驗(yàn)的需要 對(duì)于很多高等院校來(lái)說(shuō)，建 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 需要它能滿足做不同 技術(shù) 類別的實(shí)驗(yàn)。這就要求在這個(gè)實(shí)驗(yàn)室內(nèi)同時(shí)完成不同層次人才的培養(yǎng)需要。涵 蓋 網(wǎng)絡(luò) 協(xié)議 、操作系統(tǒng)、網(wǎng)絡(luò)攻擊與防御、網(wǎng)絡(luò) 病毒、網(wǎng)絡(luò)后門(mén)與隱身、網(wǎng)絡(luò)掃描與監(jiān)聽(tīng)、防火墻與入侵檢測(cè)、 認(rèn)證和授權(quán)、日志與審計(jì)、網(wǎng)絡(luò)安全方案設(shè)計(jì) 、網(wǎng)絡(luò)管理 等等。 2.3.3 提供實(shí)驗(yàn)室配套的實(shí)驗(yàn)教學(xué)系統(tǒng) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 建成了，如何能迅速的將這個(gè)實(shí)驗(yàn)室應(yīng)用到教學(xué)中去，這就要求合作伙伴或廠家在提供解決方案的時(shí)候，能一并考慮相關(guān)的教學(xué)支持系統(tǒng)，即廠家不僅僅是把設(shè)備賣(mài)給學(xué)校，還要解決相關(guān)的教材，師資等問(wèn)題。必不可少的 詳實(shí)豐富的實(shí)驗(yàn)內(nèi)容、系統(tǒng)的實(shí)踐型實(shí)驗(yàn)教材、完善的師資培訓(xùn)三個(gè)方面 與實(shí)驗(yàn)室的硬件配套教學(xué)系統(tǒng)。 2.3.4 有效 地對(duì)實(shí)驗(yàn)教學(xué)進(jìn)行管理 傳統(tǒng)的網(wǎng)絡(luò)實(shí)驗(yàn)室的做法是會(huì)使得網(wǎng)絡(luò)實(shí)驗(yàn)的過(guò)程演變成了插拔線的過(guò)程。傳統(tǒng)做法的三個(gè)問(wèn)題：一、學(xué)生的寶貴實(shí)驗(yàn)時(shí)間大半浪費(fèi)在插拔線上，而不是用在真正的試驗(yàn)內(nèi)容上，學(xué)習(xí)效果差；二、一個(gè)班級(jí) 40 個(gè)學(xué)生左右，同時(shí)插拔線，可以想見(jiàn)那個(gè)場(chǎng)面有多混亂，老師的精力浪費(fèi)在維持秩序上，無(wú)法集中精力輔導(dǎo)學(xué)生做實(shí)驗(yàn)，教學(xué)效果差；三、不斷地插拔線，設(shè)備的端口容易損壞。一般一個(gè)端口的標(biāo)準(zhǔn)插拔次數(shù)是 500 次，而一次課可能就要插拔十多次。這就要求新型的網(wǎng)絡(luò)實(shí)驗(yàn)室如具備有訪問(wèn)控制和管理服務(wù)器 、教學(xué)管理軟件系統(tǒng)、遠(yuǎn)程實(shí)驗(yàn)室管 理和預(yù)約系統(tǒng)等 這樣的系統(tǒng)，所有實(shí)驗(yàn)從這個(gè)系統(tǒng)的 Web 界面通過(guò)鼠標(biāo)雙擊網(wǎng)絡(luò)實(shí)驗(yàn)臺(tái) 、 相關(guān)組成設(shè)備名稱的方式，進(jìn)入相應(yīng)設(shè)備，就可以進(jìn)入該臺(tái)設(shè)備進(jìn)行實(shí)驗(yàn)，而不需要插拔線，進(jìn)行真正的邏輯連接和網(wǎng)絡(luò)構(gòu)建、調(diào)試實(shí)驗(yàn)。同時(shí)還具備快速處理每班次實(shí)驗(yàn)課的配置恢復(fù)工作，從而保證教學(xué)課時(shí)的安排，做到實(shí)驗(yàn)室的管理便捷。 2.3.5 解決學(xué)生將來(lái)就業(yè)的通用性問(wèn)題 培訓(xùn)出來(lái)的學(xué)生不光能夠會(huì) 配置 實(shí)驗(yàn)室中的 網(wǎng)絡(luò) 設(shè)備，主要是能夠調(diào)試和配置業(yè)界主流的網(wǎng)絡(luò)設(shè)備，這樣學(xué)生的就業(yè)面就不會(huì)太窄。要做到學(xué)會(huì)了業(yè)界主流的設(shè)備調(diào)試，絕大部分主流設(shè)備的調(diào)試都不是 問(wèn)題，不受單一廠家的限制。 2.3.6 完備和成熟的整體解決方案 這就要求目前要在全國(guó)各類高等院校得到廣泛的應(yīng)用，在業(yè)界是領(lǐng)導(dǎo)的地位。是 投入了大量人力物力專注與教育行業(yè)， 經(jīng)得起實(shí)踐考驗(yàn)的，成熟的方案。所提供的 實(shí)驗(yàn)內(nèi)容、系統(tǒng)的實(shí)踐型實(shí)驗(yàn)教材、完善的師資培訓(xùn)都經(jīng)過(guò)應(yīng)用驗(yàn)證的，并真正能提高學(xué)校教學(xué)效果和學(xué)生就業(yè)能力的。 各學(xué)校投入 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 建設(shè)的經(jīng)費(fèi)有限，因此網(wǎng)絡(luò)實(shí)驗(yàn)室設(shè)計(jì)方案具有良好的性能價(jià)格比，經(jīng)濟(jì)實(shí)用，適用范圍廣，技術(shù)符合網(wǎng)絡(luò) 安全 教學(xué)的特點(diǎn)。通過(guò)精心分析網(wǎng)絡(luò) 安全教學(xué)實(shí)驗(yàn)的課時(shí)量，要合理安排網(wǎng)絡(luò)教學(xué)實(shí)驗(yàn)和網(wǎng) 絡(luò)培訓(xùn)實(shí)驗(yàn)環(huán)節(jié)，完全能夠避免對(duì)教學(xué)體系的影響。同時(shí)可與各學(xué)院在校內(nèi)合作開(kāi)辦的網(wǎng)絡(luò) 安全 技術(shù)教育中心。滿足教學(xué)、科研需求，并在此基礎(chǔ)上，可進(jìn)行網(wǎng)絡(luò) 安全 技術(shù)職業(yè)認(rèn)證培訓(xùn) 。 第 三 章 建設(shè) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的特點(diǎn)和原則 3.1 建設(shè) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的特點(diǎn) 網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)成 為一個(gè)綜合、交叉的學(xué)科領(lǐng)域， 網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)通信、信息系統(tǒng)、數(shù)據(jù)等各個(gè)層面， 它需要綜合利用計(jì)算機(jī) 技術(shù) 、 網(wǎng)絡(luò) 通信、 電子電路技術(shù)、數(shù)學(xué)、物理等諸多學(xué)科的長(zhǎng)期知識(shí)積累和最新研究成果，網(wǎng)絡(luò) 安全也是一個(gè)復(fù)雜的系統(tǒng)工程，它涉及到信息基礎(chǔ)建設(shè)、網(wǎng)絡(luò)與系統(tǒng)的構(gòu)造、信 息系統(tǒng)與業(yè)務(wù)應(yīng)用系統(tǒng)的開(kāi)發(fā)、信息安全的法律法規(guī)、安全管理體系等 。 因此網(wǎng)絡(luò)安全是網(wǎng)絡(luò)通信應(yīng)用領(lǐng)域安全防護(hù)問(wèn)題的一門(mén)新興的應(yīng)用學(xué)科。 該學(xué)科交叉性 多、邊緣性強(qiáng)、應(yīng)用 面寬，是一個(gè)龐大的學(xué)科群體系。 在實(shí)際的網(wǎng)絡(luò)安全部署中，網(wǎng)絡(luò)安全不是一個(gè)產(chǎn)品，也不是一個(gè)結(jié)果，而是一個(gè)過(guò)程，它是匯集了硬件、軟件、網(wǎng)絡(luò)、人與人之間相互關(guān)系和接口系統(tǒng)，因此，在建設(shè) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的過(guò)程中需要考慮安全的連續(xù)過(guò)程，以及網(wǎng)絡(luò)安全中相互匹配鏈條中每一個(gè)因素。網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的課程類型將根據(jù)網(wǎng)絡(luò)安全的過(guò)程進(jìn)行設(shè)置：網(wǎng)絡(luò)安全分析階段、網(wǎng)絡(luò)安全保護(hù)階段、 網(wǎng)絡(luò)安全檢測(cè)階段、網(wǎng)絡(luò)安全管理階段、網(wǎng)絡(luò)安全恢復(fù)階段。 主要 課程 領(lǐng)域?qū)?涉及 ： 網(wǎng)絡(luò)物理安全、計(jì)算機(jī)軟件安全、操作系統(tǒng)安全、安全協(xié)議理論和技術(shù)、數(shù)據(jù)庫(kù)系統(tǒng)安全、入侵檢測(cè)技術(shù)、漏洞掃描技術(shù)、防火墻技術(shù)、授權(quán)和認(rèn)證、加密與數(shù)字簽名、數(shù)據(jù)分析、行為監(jiān)控 等 方面， 整個(gè)安全過(guò)程 相互間協(xié)同工作形成 一整套實(shí)驗(yàn)課程 。 銳捷 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 以構(gòu)建安全的網(wǎng)絡(luò)為主線，以信息安全、應(yīng)用安全、用戶安全和系統(tǒng)安全為支撐，從評(píng)估網(wǎng)絡(luò)安全、制定網(wǎng)絡(luò)安全策略、設(shè)計(jì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)、部署安全應(yīng)用技術(shù)，架構(gòu)全面的安全層次體系結(jié)構(gòu)。讓學(xué)員在實(shí)驗(yàn)室實(shí)際的網(wǎng)絡(luò) 環(huán)境里將理論與實(shí)踐相結(jié)合，提高學(xué)習(xí)效率。 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 主要用來(lái)開(kāi)展網(wǎng)絡(luò)安全實(shí)驗(yàn)的， 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的總體設(shè)計(jì)應(yīng)當(dāng)滿足各方面網(wǎng)絡(luò)實(shí)驗(yàn)的需求，因此完備性是網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)的基本目標(biāo)。據(jù)此我們把計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室的建設(shè)目標(biāo)分為以下五個(gè)層次： 第一個(gè)層次 是物理網(wǎng)絡(luò)安全層。在網(wǎng)絡(luò)物理安全實(shí)驗(yàn)室中可以做的網(wǎng)絡(luò)物理安全實(shí)驗(yàn)是：物理鏈路安全、體系架構(gòu)安全實(shí)驗(yàn)、防火墻物理部署實(shí)驗(yàn)、安全網(wǎng)關(guān)部署、硬件入侵檢測(cè)部署、 VPN 部署等實(shí)驗(yàn)。網(wǎng)絡(luò)物理安全實(shí)驗(yàn)的內(nèi)容根據(jù)實(shí)際的研究需要來(lái)定，網(wǎng)絡(luò)線路的復(fù)雜性需要盡可能模擬寬帶數(shù)據(jù)城域網(wǎng)及大型園區(qū) 網(wǎng)的組網(wǎng)方式和業(yè)務(wù)，能夠根據(jù)網(wǎng)絡(luò)架構(gòu)的鏈路、體系結(jié)構(gòu)來(lái)進(jìn)行實(shí)驗(yàn)，完成桌面、接入、匯聚、核心、出口、應(yīng)用等整個(gè)網(wǎng)絡(luò)部署安全實(shí)驗(yàn)。 第二個(gè)層次 是網(wǎng)絡(luò)系統(tǒng)安全層。在網(wǎng)絡(luò)系統(tǒng)安全層包括了網(wǎng)絡(luò)操作系統(tǒng)安全、軟件安全、數(shù)據(jù)庫(kù)安全、協(xié)議分析、行為及模式匹配、安全評(píng)估、風(fēng)險(xiǎn)評(píng)估等實(shí)驗(yàn)內(nèi)容，通過(guò)一系列操作系統(tǒng)、軟件、協(xié)議分析器、數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)等應(yīng)用環(huán)境進(jìn)行組網(wǎng)，模擬真實(shí)的網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)模型，開(kāi)展一系列的驗(yàn)證、測(cè)試等技能型的系統(tǒng)級(jí)安全實(shí)驗(yàn)。 第三個(gè)層次 是網(wǎng)絡(luò)應(yīng)用安全層。網(wǎng)絡(luò)應(yīng)用安全實(shí)驗(yàn)包含了：防火墻技術(shù)實(shí)驗(yàn)、攻防實(shí)驗(yàn)、病毒防護(hù)實(shí) 驗(yàn)、入侵檢測(cè)技術(shù)實(shí)驗(yàn)、漏洞掃描、流量監(jiān)控、 VPN 技術(shù)實(shí)驗(yàn)、安全審計(jì)實(shí)驗(yàn)、應(yīng)用服務(wù)區(qū)域防護(hù)實(shí)驗(yàn)等。通過(guò)一系列的網(wǎng)絡(luò)安全應(yīng)用技術(shù)實(shí)驗(yàn)完成網(wǎng)絡(luò)應(yīng)用安全領(lǐng)域最核心的課程。 第四個(gè)層次 是網(wǎng)絡(luò)管理安全層。網(wǎng)絡(luò)中的用戶經(jīng)常變化，并且難以進(jìn)行管理，因此用戶安全變得尤其重要，同時(shí)網(wǎng)絡(luò)的管理包含了故障管理、設(shè)備管理、性能管理等等重要內(nèi)容，因此對(duì)網(wǎng)絡(luò)的管理本身的安全性要求就會(huì)更高，常用的網(wǎng)絡(luò)管理安全實(shí)驗(yàn)包含了：身份認(rèn)證技術(shù)、對(duì)用戶 /組的管理、訪問(wèn)控制授權(quán)、網(wǎng)絡(luò)狀態(tài)、性能監(jiān)控等管理實(shí)驗(yàn)，同時(shí)也具備了管理過(guò)程授權(quán)及加密等實(shí)驗(yàn)。 第五 個(gè)層次 是網(wǎng)絡(luò)數(shù)據(jù)安全層。數(shù)據(jù)安全是一個(gè)非常重要的學(xué)科，數(shù)據(jù)是整個(gè)安全層次保護(hù)的核心，因此在整個(gè)網(wǎng)絡(luò)安全層次中出于最高層，數(shù)據(jù)安全的實(shí)驗(yàn)內(nèi)容包含了：密碼技術(shù)、身份鑒別、數(shù)字簽名、 PKI 技術(shù)、 IPSAN 設(shè)計(jì)、遠(yuǎn)程災(zāi)難備份等。 通過(guò)以上五個(gè)層次，最終建成一個(gè)高水平的 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 ，在其實(shí)驗(yàn)平臺(tái)上運(yùn)行多種實(shí)驗(yàn)系統(tǒng)。使實(shí)驗(yàn)中心成為滿足不同層次教學(xué)需要的 IT 專業(yè)網(wǎng)絡(luò)安全實(shí)驗(yàn)基地和人才培養(yǎng)基地。 3.2 建設(shè) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的原則 網(wǎng)絡(luò)安全實(shí)驗(yàn)的建設(shè)為培養(yǎng)政府機(jī)關(guān)、國(guó)家安全部門(mén)、銀行、金融、通信、能源等各行業(yè)從事網(wǎng)絡(luò)信息系 統(tǒng)安全方面的研究、設(shè)計(jì)、開(kāi)發(fā)和管理維護(hù)等工作的人才，為達(dá)到網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 建設(shè)的目標(biāo)，綜合考慮近幾年網(wǎng)絡(luò)安全技術(shù)的發(fā)展，在實(shí)驗(yàn)室設(shè)計(jì)構(gòu)建中，應(yīng)始終堅(jiān)持以下原則： 第一，高可靠性。網(wǎng)絡(luò)實(shí)驗(yàn)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的前提保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。使得網(wǎng)絡(luò)在高負(fù)荷情況下仍然具有較高的吞吐能力和效率，延遲低。 第二，標(biāo)準(zhǔn)性及開(kāi)放性。通訊協(xié)議和接口符合國(guó)際標(biāo)準(zhǔn)。支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議（如 TCP/IP）、 國(guó)際標(biāo)準(zhǔn)的開(kāi)放協(xié)議，有利于保證與其他網(wǎng)絡(luò)在之間的平滑連接互通。方便接入不同廠商的設(shè)備和網(wǎng)絡(luò)產(chǎn)品。在網(wǎng)絡(luò)中，即使有多個(gè)網(wǎng)絡(luò)和多應(yīng)用并存，采用統(tǒng)一的標(biāo)準(zhǔn)，也能使這些網(wǎng)絡(luò)能融合到一起，實(shí)現(xiàn)業(yè)務(wù)整合及數(shù)據(jù)集中。 第三，靈活性及可擴(kuò)展性。根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑的擴(kuò)充和升級(jí)，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。易于增加新設(shè)備、新用戶，易于和各種公用網(wǎng)絡(luò)連接，隨系統(tǒng)應(yīng)用的逐步成熟不斷延伸和擴(kuò)充，充分保護(hù)現(xiàn)有投資利益。 第四，先進(jìn)性。學(xué)校作為最前沿學(xué)科和技術(shù)研究場(chǎng)所，要求網(wǎng)絡(luò)實(shí)驗(yàn)室要配備最 先進(jìn)的網(wǎng)絡(luò)設(shè)備，能夠開(kāi)展最新技術(shù)的科研，教學(xué)和實(shí)踐活動(dòng)，對(duì)網(wǎng)絡(luò)實(shí)驗(yàn)室的設(shè)備，網(wǎng)絡(luò)方案的技術(shù)先進(jìn)性要求非常高。同時(shí)還應(yīng)跟蹤當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)和通信技術(shù)的最新發(fā)展，能夠開(kāi)設(shè)一些高水平的網(wǎng)絡(luò)和通信實(shí)驗(yàn)。 第五，可管理性。對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)，分權(quán)管理，并統(tǒng)一分配寬帶資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、軟件、接口等的管理，流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。整個(gè)實(shí)驗(yàn)室平臺(tái)可以進(jìn)行遠(yuǎn)程控制。 第六，安全性。制訂統(tǒng)一的安全策略，整體考慮實(shí)驗(yàn)平臺(tái)的安全性。可以通過(guò)各業(yè)務(wù)子網(wǎng)隔離，統(tǒng)一規(guī)劃，根據(jù)不同的業(yè)務(wù)劃分子網(wǎng)。具有保證 系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。支持 AAA 功能、 ACL、 IPSEC、 NAT、路由驗(yàn)證、 CHAP、 PAP、 CA、 MD5、 DES、 3DES、日志等安全功能。 第七，綜合性和統(tǒng)一性。要求在一個(gè)網(wǎng)絡(luò)實(shí)驗(yàn)室內(nèi)完成上面提到的眾多網(wǎng)絡(luò)實(shí)驗(yàn)，并且最好是由一個(gè)廠家的設(shè)備來(lái)組建。 為了保證 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的規(guī)劃和建設(shè)的質(zhì)量，根據(jù)上述建設(shè) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的目標(biāo)和原則，只能在有實(shí)力的網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商中選擇合作伙伴。 第四 章 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 建設(shè)方案 4.1 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 構(gòu)建方案 4.1.1 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 拓樸圖 網(wǎng)絡(luò) 安全 技術(shù)是一門(mén)實(shí) 踐性很強(qiáng)的 學(xué)科 ，學(xué)生除了需要學(xué)習(xí)大量的網(wǎng)絡(luò) 技術(shù) 知識(shí) 、系統(tǒng)安全、數(shù)據(jù)安全知識(shí) 之外同時(shí)也需要 做大量的 實(shí)驗(yàn)。隨著需要進(jìn)行網(wǎng)絡(luò) 安全實(shí)驗(yàn)的學(xué)生數(shù)量越來(lái)越多，安全 實(shí)驗(yàn)的需求量也越來(lái)越大，如何有效管理網(wǎng) 安全 絡(luò)實(shí)驗(yàn)室，如何方便的進(jìn)行靈活的網(wǎng)絡(luò) 安全 實(shí)驗(yàn)組合，如何組織配套的相關(guān)實(shí)驗(yàn)資料，成為了建設(shè) 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 的重要問(wèn)題。 針對(duì)網(wǎng)絡(luò)實(shí)驗(yàn)室的現(xiàn)狀， 銳捷網(wǎng)絡(luò) 安全 實(shí)驗(yàn)基本單元的實(shí)驗(yàn)室設(shè)計(jì)理念。 銳捷 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 解決方案把實(shí)驗(yàn)室分為 6 個(gè)區(qū)域，連接區(qū)、教師區(qū)、學(xué)生區(qū)、 教學(xué)服務(wù) 區(qū) 、實(shí)驗(yàn)教學(xué)區(qū)和出口 區(qū) 。 校園網(wǎng)出口區(qū)連接區(qū)教師區(qū)學(xué)生區(qū)實(shí)驗(yàn)教學(xué)區(qū)教學(xué)服務(wù)器區(qū)RG-LIMP實(shí)驗(yàn)室管理平臺(tái)RG-SMS安全實(shí)驗(yàn)室管理系統(tǒng) 防火墻路由器交換機(jī)RG-SAP網(wǎng)絡(luò)攻防平臺(tái)VPN網(wǎng)關(guān)防火墻路由器交換機(jī)VPN網(wǎng)關(guān)RG-SAP網(wǎng)絡(luò)攻防平臺(tái)核心交換機(jī)入侵檢測(cè)設(shè)備入侵檢測(cè)設(shè)備USG路由器學(xué)?？梢愿鶕?jù)實(shí)際需要選擇實(shí)驗(yàn)臺(tái) 的數(shù)量 。 推薦學(xué)校 安全實(shí)驗(yàn)室按照 30 人左右進(jìn)行設(shè)計(jì)，設(shè)置 8組，每組 4 位同學(xué)。 整個(gè)實(shí)驗(yàn)環(huán)境都是模擬當(dāng)前最新的網(wǎng)絡(luò) 安全 技術(shù)應(yīng)用環(huán)境設(shè)計(jì)，不但能滿足目前 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 需要，而且可以后期進(jìn)行平滑升級(jí)，通過(guò)添加部分網(wǎng)絡(luò)設(shè)備和 模塊來(lái)組建更為復(fù)雜的 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 環(huán)境 ，為學(xué)生提供更多的實(shí)驗(yàn)內(nèi)容，實(shí)現(xiàn)更復(fù)雜的網(wǎng)絡(luò)實(shí)驗(yàn)。 4.1.2 每組實(shí)驗(yàn)臺(tái) 介紹 銳捷 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 方案中實(shí)驗(yàn)用的網(wǎng)絡(luò)設(shè)備都由 標(biāo)準(zhǔn) 實(shí)驗(yàn)臺(tái)這一網(wǎng)絡(luò)實(shí)驗(yàn)基本單元組成。 安全 實(shí)驗(yàn)臺(tái)實(shí)驗(yàn)環(huán)境說(shuō)明：配置 一 臺(tái) 三層交換機(jī)， 作為每個(gè)小組的 三層網(wǎng)關(guān) 設(shè)備 ，同時(shí)可以開(kāi)展 DHCP Snooping、端口保護(hù)、 PVLAN 等試驗(yàn) ；配置 兩 臺(tái) 模塊化路由器，作為每個(gè)小組的出口路由及訪問(wèn)控制實(shí)驗(yàn)環(huán)境， 兩臺(tái)之間做路由器的 GRE、 IPsec、 GREoIPsec VPN 用，也可以 用來(lái)在綜合案例中模擬 Internet。 配置 兩 臺(tái)防火墻，作為每個(gè)小組的 攻防兩個(gè)園區(qū)網(wǎng)中的 防火墻出口安全設(shè)備；配置 兩 臺(tái) IDS，可以完成入侵檢測(cè)實(shí)驗(yàn)環(huán)境；配置兩臺(tái) VPN 網(wǎng)關(guān)，可以完成 VPN 實(shí)驗(yàn)；配置一臺(tái) 統(tǒng)一威脅網(wǎng)關(guān) 可以完成病毒防護(hù)實(shí)驗(yàn)；配置一臺(tái)網(wǎng)絡(luò)存儲(chǔ)設(shè)備可以完成災(zāi)難備份等數(shù)據(jù)安全實(shí) 驗(yàn)；配置一臺(tái) 網(wǎng)絡(luò)攻防教學(xué)平臺(tái)，與真實(shí)網(wǎng)絡(luò)安全設(shè)備配合可以完成實(shí)際網(wǎng)絡(luò)攻擊及防御 等實(shí)驗(yàn)。 每組學(xué)生可以利用學(xué)生區(qū)的學(xué)生機(jī)來(lái)對(duì)教學(xué)服務(wù)區(qū)的服務(wù)器進(jìn)行 用于攻擊、防御、病毒等行為目標(biāo)測(cè)試。 采用 12 臺(tái)設(shè)備組成一個(gè) 標(biāo)準(zhǔn) 實(shí)驗(yàn)臺(tái) 。因?yàn)檫@樣就可以在一個(gè) 標(biāo)準(zhǔn) 實(shí)驗(yàn)臺(tái) 內(nèi)完成幾乎所有的 網(wǎng)絡(luò)安全 實(shí)驗(yàn)內(nèi)容， 可以滿足目前 高等院校的教學(xué)需要 ，實(shí)驗(yàn)設(shè)備的數(shù)量可以根據(jù)學(xué)生數(shù)目和開(kāi)設(shè)的安全課程內(nèi)容進(jìn)行適當(dāng)調(diào)整 。 銳捷 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 設(shè)備每組 需要的實(shí)驗(yàn) 設(shè)備清單： 序號(hào) 設(shè)備名稱 設(shè)備型號(hào) 數(shù)量 備注 1 二層交換機(jī) RG-S2126G 1 2 三層交換機(jī) RG-S3760-24 1 3 路由器 RSR20-04 2 4 防火墻 RG-WALL60 2 5 入侵檢測(cè)設(shè)備 RG-IDS100 2 6 VPN 設(shè)備 RG-WALL V50 2 7 網(wǎng)絡(luò)存儲(chǔ)設(shè)備 RG-IS-LAB 1 8 統(tǒng)一威脅管理 網(wǎng)關(guān) RG-USG 1 9 網(wǎng)絡(luò)攻防教學(xué)平臺(tái) RG-SAP 1 銳捷 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 公共部分 需要的實(shí)驗(yàn)設(shè)備清單： 序號(hào) 設(shè)備名稱 設(shè)備型號(hào) 數(shù)量 備注 1 智能管理型無(wú)線接入點(diǎn)（瘦 AP） MP-71 1 2 MP-372 1 3 RG-WG54U 2 4 RMTS 1 5 MXR-2 1 6 自治型無(wú)線接入點(diǎn)（胖 AP） RG-P-720 1 7 綜合管理平臺(tái) RG-LIMP2.1 1 8 網(wǎng)絡(luò) 攻防管理平臺(tái) RG-SMS 1 9 網(wǎng)絡(luò)協(xié)議安全分析 RG-PATS-SW 1 實(shí)驗(yàn)室教學(xué)服務(wù)區(qū)教學(xué)實(shí)驗(yàn)服務(wù)器及軟件建議清單： 序號(hào) 設(shè)備名稱 數(shù)量 備注 1 實(shí)驗(yàn)教學(xué)管理服務(wù)器 1 安裝 LIMP 2 網(wǎng)絡(luò)攻防教學(xué) 服務(wù)器 1 安裝 RG-SMS 3 網(wǎng)絡(luò)協(xié)議安全分析服務(wù)器 1 安裝 RG-PATS-SW 4.1.3 實(shí)驗(yàn)室的布局 每個(gè)實(shí)驗(yàn)臺(tái)可供 4 人同時(shí)實(shí)驗(yàn)，每個(gè)實(shí)驗(yàn)小組都能在一個(gè)實(shí)驗(yàn)臺(tái)上單獨(dú)完成全部實(shí)驗(yàn)內(nèi)容。一般由 8個(gè)實(shí)驗(yàn)臺(tái)可以構(gòu)成一個(gè)實(shí)驗(yàn)室，供 30 人左右實(shí)驗(yàn)。 4.1.4 安全 實(shí)驗(yàn)室服務(wù)器設(shè)計(jì) 建議采用三種操作系統(tǒng)的服務(wù)器，來(lái)完成 網(wǎng)絡(luò)安全 的應(yīng)用需求，以及實(shí)驗(yàn)需求 ，密碼服務(wù)器、 病毒服務(wù)器、 攻防服務(wù)器、 PKI/安全審計(jì)服務(wù)器 等， 建議采用專用服務(wù)器 。 需要安裝 NT/LINUX/UNIX/VISTA 等操作系統(tǒng)、數(shù)據(jù)庫(kù) MYSQL、各種服務(wù)器組件、路由、 FTP、 WEB、視頻服務(wù)器、 FTP 服務(wù)、 SSH、電子 郵件、新聞服務(wù)器、 DHCP 服務(wù)、 DNS 服務(wù)、計(jì)費(fèi)系統(tǒng)、SNIFFER 等軟件。 4.2 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 課程設(shè)計(jì) 由于計(jì)算機(jī)網(wǎng)絡(luò)組網(wǎng)的復(fù)雜性及網(wǎng)絡(luò)協(xié)議的多樣性，要求所建的 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 盡可能多的實(shí)現(xiàn)這些環(huán)境實(shí)驗(yàn)。同時(shí)基于實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用的復(fù)雜性、多樣性， 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室應(yīng)具備能包含盡可能多實(shí)際應(yīng)用環(huán)境的模擬。要求 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室 能滿足高等院校教學(xué)和提供各個(gè)層次水平的 教學(xué) ，從而對(duì)每類學(xué)校均要分別考慮實(shí)驗(yàn)室建設(shè)的情況。 銳捷網(wǎng)絡(luò)安全實(shí)驗(yàn)課程 結(jié)合安全人才培養(yǎng)特點(diǎn)，制定了從基礎(chǔ)到應(yīng)用的課程體系， 采用經(jīng)典應(yīng)用案例教學(xué)的方式， 通過(guò)實(shí)際的拓?fù)鋪?lái)構(gòu)造實(shí)際應(yīng)用。如圖： 攻方守方攻擊目標(biāo)網(wǎng)絡(luò)攻防課程攻方守方攻擊目標(biāo)網(wǎng)絡(luò)攻防課程安全技術(shù)課程安全技術(shù)課程行業(yè)案例課程數(shù)據(jù)服務(wù) 機(jī)密信息關(guān)鍵業(yè)務(wù)合法用戶身份驗(yàn)證通過(guò)，允許接入非法用戶身份驗(yàn)證失敗，禁止放行行業(yè)案例課程數(shù)據(jù)服務(wù) 機(jī)密信息關(guān)鍵業(yè)務(wù)合法用戶身份驗(yàn)證通過(guò)，允許接入非法用戶身份驗(yàn)證失敗，禁止放行（一） 基礎(chǔ)安全技術(shù) 實(shí)驗(yàn)課程 （二） 網(wǎng)絡(luò)攻防 實(shí)驗(yàn) 課程 （ 三 ） 綜合案例實(shí)驗(yàn)課程 4.2.1 網(wǎng)絡(luò) 安全 實(shí)驗(yàn) 課程規(guī)劃 序號(hào) 實(shí)驗(yàn)名稱 建議課時(shí) 1 課時(shí) =1小時(shí) 掌握技能 面向?qū)ο?難度指數(shù) 1 STP安全設(shè)置 1 掌握交換機(jī)安全技術(shù) 中職、高職 、本科 低 2 MAC地址過(guò)濾 1 中職、高職、本科 低 3 端口保護(hù) 0.5 中職、高職、本科 低 4 端口阻塞 0.5 中職、高職、本科 低 5 廣播風(fēng)暴控制 0.5 中職、高職、本科 低 6 系統(tǒng)保護(hù) 0.5 中職、高職、本科 低 7 端口安全 0.5 中職、高職、本科 低 8 配置 ARP檢查（ ARP欺騙） 1 中職、高職、本科 低 9 配置 DHCP Snooping 1 中職、高職、本科 低 10 配置 DAI（ ARP欺騙） 1 中職、高職、本科 低 11 防火墻 的初始配置 0.3 掌握防火墻基本配置與應(yīng)用案例 中職、高職、本科 低 12 安全策略的設(shè)置 0.5 中職、高職、本科 中 13 安全 NAT的配置 0.5 中職、高職、本科 中 14 客戶端認(rèn)證的配置 1 中職、高職、本科 中 15 防火墻防 DoS攻擊的設(shè)置 1 中職、高職、本科 中 16 地址綁定 0.5 高職、本科 中 17 連接速率限制 0.5 高職、本科 中 18 配置 URL過(guò)濾 0.5 高職、本科 中 19 服務(wù)保護(hù) 0.5 高職、本科 中 20 P2P限制 0.5 高職、本科 中 21 鏈路負(fù)載（策略路由） 1 高職、本科 高 22 實(shí)現(xiàn)無(wú)線用戶的二層隔離 1 無(wú)線安全技術(shù) 中職、高職、本科 簡(jiǎn)單 23 使用 MAC 認(rèn)證實(shí)現(xiàn)接入控制 1 中職、高職、本科 中等 24 配置無(wú)線網(wǎng)絡(luò)中的 WEP加密 1 中職、高職、本科 中等 25 配置 MAC 地址過(guò)濾（自治型 AP) 0.5 中職、高職、本科 中等 26 配置 SSID 隱藏（自治型 AP） 0.5 中職、高職、本科 簡(jiǎn)單 27 配置 WEP 加密（自治型 AP） 1 中職、高職、本科 中等 28 使用 Web 認(rèn)證實(shí)現(xiàn)接入控制 1 中職、高職、本科 困難 29 使用 802.1x 增強(qiáng)接入安全性 1.5 中職、高職、本科 困難 30 配置無(wú)線網(wǎng)絡(luò)中的 WPA加密 1 中職、高職、本科 中等 31 非法 AP和 Client的發(fā)現(xiàn)與定位 1 中職、高職、本科 中等 32 磁盤(pán)基本操作實(shí)驗(yàn) 1 數(shù)據(jù)安全技術(shù) 中職、高職、本科 低 34 RAID 0 實(shí)驗(yàn) 0.5 中職、高職、本科 中 35 RAID 1 實(shí)驗(yàn) 0.5 中職、高職、本科 中 36 RAID 5 實(shí)驗(yàn) 0.5 高職、本科 中 37 NAS文件共享 1 中職、高職、本科 中 38 數(shù)據(jù)恢復(fù)實(shí)驗(yàn)（ snapshot） 1 高職、本科 中 39 使用 NFS協(xié)議實(shí)現(xiàn)跨平臺(tái)共享 2.5 高職、本科 中 40 初始化配置實(shí)驗(yàn) 0.5 USG管理和統(tǒng)一安全網(wǎng)關(guān)技術(shù) 中職、高職、本科 中 41 權(quán)限管理配置實(shí)驗(yàn) 0.5 中職、高職、本科 中 42 本地用戶認(rèn)證實(shí)驗(yàn) 0.5 中職、高職、本科 中 43 時(shí)間對(duì)象管理實(shí)驗(yàn) 0.5 中職、高職、本科 中 44 會(huì)話對(duì)象管理實(shí)驗(yàn) 0.5 中職、高職、本科 中 45 安全策 略配置實(shí)驗(yàn) 0.5 中職、高職、本科 中 46 郵件病毒防御實(shí)驗(yàn) 1 中職、高職、本科 中 47 文件病毒防御實(shí)驗(yàn) 1 中職、高職、本科 中 48 流量監(jiān)控實(shí)驗(yàn)配置 1 中職、高職、本科 中 49 入侵攻擊防御實(shí)驗(yàn) 1 高職、本科 中 50 DDOS攻擊防御實(shí)驗(yàn) 1 高職、本科 高 51 SSL VPN 應(yīng)用實(shí)驗(yàn) 1.5 高職、本科 高 52 雙機(jī)熱備實(shí)驗(yàn) 1.5 高職、本科 高 53 服務(wù)對(duì)象管理實(shí)驗(yàn) 1 高職、本科 高 54 WEB管理實(shí)驗(yàn) 1 高職、本科 高 55 IM軟件管理實(shí)驗(yàn) 1 高職、本科 高 56 與 IDS聯(lián)動(dòng)實(shí)驗(yàn) 1.5 高職、本科 高 57 使用 Router構(gòu)建 GRE VP