網絡安全與防護情境設計

4國家高等職業(yè)教育網絡技術專業(yè)教學資源庫計算機網絡安全技術與實施課程資源子庫情境設計情境設計依托典型項目案例進行情境設計計算機網絡安全技術與實施課程基于一個真實的大中型企業(yè)網絡及其異地互聯分公司和辦事處的案例為背景，設計了6個學習情境，來引入網絡安全與防護的相關知識。網絡結構圖如圖1所示，共分為4個區(qū)域：交:交換機交接入交換機入交換機出差員工路由器心島處司上郵卜營司°顒艮務器WWW服務器g開弗□□□□□□□□□□□□□□□□□□□□00匯聚交換機—Q兩管站舌疋屈絡再公詞k存辦爭冊交:交換機交接入交換機入交換機出差員工路由器心島處司上郵卜營司°顒艮務器WWW服務器g開弗□□□□□□□□□□□□□□□□□□□□00匯聚交換機—Q兩管站舌疋屈絡再公詞k存辦爭冊咨辦公室計算機■■■■■■■■■■■■■■■■■■■■■■■■■■■■堡壘主機亦公室計算機HOTEL無線腫圖1典型企業(yè)網絡互聯結構圖1.1模擬互聯網絡（W網絡）W網絡部分是為了便于對A公司總部及兩個異地機構互聯的理解而引入的。 W網絡由六臺路由器連接有三臺公網服務器，還連接了A公司的三個處于不同地理位置的局域網。出差員工直接連接到模擬的互聯網絡。1.2A公司北京總部（X網絡）X網絡是典型大中型園區(qū)網絡主體架構，分別由接入層、匯聚層到核心層交換機構成內

部三層交換網絡，內網核心交換機連接有兩臺內網服務器。核心交換機通過防火墻及接入路

由器連接到模擬的互聯網，防火墻旁接有三臺對外服務器。 X網絡中設計有500個以上連接點。A公司上海分公司（Y網絡）丫網絡是一個中小型企業(yè)網絡主體架構，由接入層與核心層交換機構成內部交換網絡，內網核心交換機連接一臺內網服務器，接入層交換機上連接有無線網絡，為會議室內無線用戶提供連接。核心交換機通過防火墻及接入路由器連接到模擬互聯網。 丫網絡中設計有100個以上連接點。A公司長春辦事處（Z網絡）Z網絡是一個小型SOHO、公網絡主體架構，通過接入路由器與堡壘主機將內部的接入交換網絡及無線網絡用戶連接到模擬互聯網。 Z網絡中設計有20個以上連接點。案例分析及規(guī)劃為了便于講解，將圖1中的設備名稱進了細化與標記。具體如圖2所示，W網絡中的設備以“W_開頭；X網絡中的設備以“X_'開頭；丫網絡中的設備以“丫_'開頭；Z網絡中的設備以“Z_”開頭?！酢酢酢酢酢鮪□□□□□on□□oooo^u□□□□□□n□□□□□on□□oooo^u圖2典型企業(yè)網絡互聯帶標識結構圖2.1模擬互聯網W網絡中設備及標識列表序號設備類型名稱功能及作用配置要點備注1路由器W_R1模擬互聯網ISP互聯公網OSPF2路由器W_R2模擬互聯網ISP互聯公網OSPF3路由器W_R3模擬互聯網ISP互聯公網OSPF4路由器W_R4模擬互聯網ISP互聯公網OSPF5路由器W_R5模擬互聯網ISP互聯公網OSPF6路由器W_R6模擬互聯網ISP互聯公網OSPF7服務器W_CA模擬CA服務器CA服務器8服務器W_DNS模擬DNS服務器DNS服務器9服務器W_WWW模擬WW服務器WW服務器10移動PCW_XYZ模擬A公司出差員工需要遠程訪問總部內網A公司內部網絡X網絡中設備及標識列表序號設備類型名稱功能及作用配置要點備注1路由器X_RX網絡接入路由器NAT默認路由、內網OSPF2防火墻X_FW控制X網絡內外網訪問防火墻、流控等（路由器代替）3交換機X_2S5二層交換連接交換連接4服務器X_WWWA公司WW服務器WEB服務器等5服務器X_MAILA公司MAIL服務器MAIL服務器等6服務器X_OAA公司OA服務器OA辦公自動化服務器等7交換機X_3S1X網絡核心層交換機內網OSPFVLANTrunk等8服務器X_SVR1X內網WINDOW服務器WWWFTP等服務9服務器X_SVR2X內網LINUX服務器WWWFTP等服務10工作站X_NMSX內網網絡管理工作站IDS、SNMP等內網管理功能11交換機X_3S2X網絡匯聚層交換機VLANTrunk等12交換機X_3S3X網絡匯聚層交換機VLANTrunk等13交換機X_2S1X網絡接入層交換機VLANTrunk等14交換機X_2S2X網絡接入層交換機VLANTrunk等15交換機X_2S3X網絡接入層交換機VLANTrunk等16交換機X_2S4X網絡接入層交換機VLANTrunk等17臺式PCX_PC1-8X網絡內網用戶X網絡內網用戶計算機A公司上海分公司內部網絡 Y網絡中設備及標識列表序號設備類型名稱功能及作用配置要點備注1路由器Y_RY網絡接入路由器NAT默認路由、內網RIP等

序號設備類型名稱功能及作用配置要點備注2防火墻Y_FW控制丫網絡內外網訪問防火墻、流控等（路由器代替）3交換機Y_3SY網絡核心層交換機VLANTrunk等4服務器Y_SVRY內網服務器WWWFTP等服務5交換機Y_2S1Y網絡接入層交換機VLANTrunk等6交換機Y_2S2Y網絡接入層交換機VLANTrunk等7無線APY_APY網絡會議室無線AP無線AP連接8移動PCY_LP1-2Y網絡會議室移動PCY網絡會議室移動PC9臺式PCY_PC1-8Y網絡內網臺式PCY網絡用戶計算機2.4模擬互聯網Z網絡中設備及標識列表序號設備類型名稱功能及作用配置要點備注1路由器Z_RZ網絡接入路由器NAT默認路由、IOS安全等2堡壘主機Z_SVRZ網絡堡壘主機配置安全訪問控制功能3交換機Z_2SZ網絡接入層交換機二層交換連接4無線APZ_APZ網絡會議室無線AP無線AP連接5移動PCZ_LP1-2Z網絡會議室移動PCZ網絡會議室移動PC6臺式PCZ_PC1-4Z網絡內網臺式PCZ網絡用戶計算機針對典型企業(yè)網絡互聯項目案例的學習情境設計本課程將依據此案例進行網絡安全風險分析與防護措施規(guī)劃。下面針對案例以網絡安全領域內6個方面（3個模塊）主流技術的運用實現對其的安全防護實施分析。3.1網絡協議及流量分析技術是安全防護實施的技術基礎與核心網絡協議是網絡通信的關鍵，但是由協議本身也存在著各種安全隱患。針對網絡協議的攻擊也是種類繁多，從數據鏈路層到應用層協議都可能存在被攻擊的缺陷。特別是應用最為普遍的TCP/IP協議，其設計之初并沒有考慮過多的安全問題。如 FTPHTTPTelnet等應用的明文賬號和密碼傳輸的安全缺陷、 ARP欺騙、PING攻擊、DoS攻擊、DDoS攻擊等。因此，了解主要通信協議的安全缺陷、掌握有效的協議分析與流量控制技術是實施網絡安全防護的關鍵。如配置防火墻對特定針對協議的攻擊，就需要深入了解協議的工作原理、規(guī)則及協議數據格式。同時通過協議分析也可以定位網絡中存在的故障及安全風險。所以，本課程及教材的學習情境1是：通過流量分析定位網絡故障。本情境將重點以X網絡中X_NM測絡管理工作站為操作點，通過其分析X網絡中的協議流量情況、分析某些協議的安全缺陷，并進行有效的控制等。如圖 3所示。

□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□IXSVK2HOTFIL□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□IXSVK2HOTFIL圖3通過流量分析定位網絡故障整體情境圖“學習情境1通過流量分析定位網絡故障”共設計有 3個任務，具體任務名稱及簡介如下：3.1.1任務1:利用PacketTracer分析協議工作過程本任務為協議分析基礎學習，是利用思科 PacketTracer分析協議數據工作過程和ICMP協議數據的格式。從而理解網絡中傳輸的數據包的封裝層次?？稍谌我鈫螜C上完成此任務。3.1.2任務2：基于SnifferPro 進行協議、模擬攻擊分析本任務為協議分析的深入學習，是利用SnifferPro捕獲協議數據、分析協議數據、構造協議數據的相關技術學習，從而讓學習者深入理解協議數據的格式與封裝層次。可在圖中的X_NM設備上完成此任務。3.1.3任務3:利用深信服流量控制設備分析與定位網絡故障本任務為協議分析與故障定位的技術，是基于深信服流量控制設備對網絡中的協議進行

分析，從而發(fā)現內部網絡中的協議數據存在的問題。在 X_FW位置的設備上完成，X_FW其為流量控制設備。3.1.4拓展任務：拓展訓練任務6個在拓展任務中將設計若干任務，進一步分析TELNETFTPHTTP明文數據傳輸的安全性

問題3.2保護數據傳輸的機密性、完整性與真實性，防止息泄漏由于很多TCP/IP協議簇中的協議在傳輸過程中是以明文方式傳數據的， 所以存在很安全隱患，很容易被非授權用戶獲取到數據內容，數據的機密性受到威脅。因此對所要傳輸的文件進行加密后再傳輸可以有效降低重要數據被竊取的風險。另外在A公司會有這樣的需求：分公司或辦事處的用戶通過公網（ W網絡）去訪問總部內網服務器中數據的需求，此需求可以通過隧道技術連接分支與總部，但為了保護通過公網傳輸的數據的機密性、完整性與真實性，需要采用 VPN技術，可能需要對數據進行保護。此外，出差的員工也會需要通過公網連接到總部內網，以訪問內網重要數據，為此也要對數據進行保護。本部分內容將在學習情境2中學習，即如何保護數據在公網上的傳輸。如圖 4所示?！鲈籥WK1W-DKtWWWW■■■■■■■■■■■■■■■■■■■■■■■■■■曰aWK1W-DKtWWWW■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■HOTEL□□□□□□nunlr匚匚匚_□□□□□□nJ圖4保護數據在公網上的傳輸整體情境圖“學習情境2保護數據在公網上的傳輸”共設計有7個任務，具體任務名稱及簡介如下：3.2.1任務1:利用PGP實施非對稱加密本任務為數據加密技術的基礎學習，是利用PGP軟件對文件進行加密碼、并簽名的實驗,實現對文件的機密性、完整性與真實性的保護與驗證。讓學習者理解對稱加密與非對稱加密相關技術。3.2.2任務2：利用數字證書保護通信本任務主要介紹數字證書技術，是利用Windows下和CA證書服務，實現基于HTTPS的WW安全訪問。W_CA模擬CA服務器、X_WWW擬設置SSL安全訪問的WE服務器、另外選擇W_XY為客戶端。任務3：利用隧道技術連接企業(yè)與分支本任務為隧道技術知識的引入，通過GRE!道技術將分公司或辦事處網絡與總部網絡建設隧道連接，以實現分支與總部內網間數據的互相訪問。主要配置點為 X_RY_RZ_R三臺路由器。324任務4:基于Windows實現VPN連接本任務主要基于Windows系統下的IPSEC（IP安全策略）實現點到點的安全通信，包括加密、認證與完整性保護。實現點為X網絡中X_NMSfX_WWW間的安全隧道通信（如對遠程桌面TCP協議的3389端口進行安全通信保護）。3.2.5任務5:基于路由器實現分支與總部VPN連接本任務主要基于路由器實現基于IPSEC站點到站點的安全通信，包括加密、認證與完整性保護。實現點為XYZ網絡中X_RY_RZ_R三臺路由器。以實現XYZ三個網絡內網之間的安全互訪。3.2.6任務6:基于INODE實現出差員工通過VPN訪問總部本任務主要基于X_R路由器實現出差員工通過VPN安全訪問總部內部網絡，包括加密、認證與完整性保護。即利用INODE軟件與X_R路由器配合，對出差員工通過公網撥入總部內網的VPN連接控制。同時補充了思科的EZVPN勺實現。任務7:對無線連接進行認證與數據加密保護本任務主要實現對無線連接的安全設置，包括丫網絡和Z網絡中的無線AP的安全配置，以實現對無線用戶接入各自內網的控制。拓展任務:拓展訓練任務3個在拓展任務中將設計若干任務，進一步了解SSH等安全協議功能與作用。對網絡訪問行為進行控制，保護內網安全對于一個企業(yè)網來說，關鍵的防護設備之一就是處于公網與內網之間的網絡安全防護與訪問控制設備。借助于網絡安全訪問控制設備可以有效保護內部網絡中設備及主機的安全，以保護內網數據的安全。XY網絡中分別有各自的防火墻或流控設備，負責網絡信息的安全檢查、訪問控制、整體

防護功能。而對于Z網絡是借助于路由器Z_R實現基本防護功能，或借助Z_SVF堡壘主機配置基于通用主機的防火墻功能。如圖5所示HOTEL□口口□□□-H-口口□□口口□□□□□□-H□□□□□□nu--□□□□□□HOTEL□口口□□□-H-口口□□口口□□□□□□-H□□□□□□nu--□□□□□□圖5對網絡訪問行為進行控制整體情境圖“學習情境3對網絡訪問行為進行控制”共設計有5個任務，具體任務名稱及簡介如下：331任務1:基于路由器配置基本防護功能（PT+IOS本任務為訪問控制技術的基礎學習，是利用PT軟件中路由器配置基本包過濾與訪問控制功能。本任務將基于Z_R路由器實施基本的防護配置。3.3.2任務2:軟件防火墻配置保護主機與內部網絡RouterOS+LINUX+ISA本任務主要基于通用計算機上的防火墻功能配置與實施，是利用虛擬機配置 RouterOSLINUX的IPTABLES或Windows的ISA防火墻功能。任務中的配置點為Z_SVR!壘主機。另外補充了SmoothWall主機防火墻的配置。3.3.3任務3:基于思科路由器的IOS防火墻防護功能配置（IOSFW本任務為主要基于思科路由器的IOS防火墻功能實施內網防護，以實現對辦事處內網的保護。主要配置點為Z_R路由器。3.3.4任務4:基于天融信硬件防火墻對網絡進行防護本任務主要基于硬件防火墻保護丫網絡的通信，包括訪問控制等。主要配置點為丫FW火墻或安全設備

335任務5:基于深信服設備進行網絡行為控制本任務主要基于深信服流控設備保護 X網絡安全通信，包括訪問控制與流量控制。主要配置點為X_FW&火墻或深信服流控設備。3.3.6拓展任務：拓展訓練任務2個在拓展任務中將設計若干任務，進一步深入學習防火墻相關功能的配置3.4對入侵進行檢測、審計與防護對于一個企業(yè)網來說，攻擊是多角度、多層次的，僅憑防火墻等設備的保護是不全面的。對于已經發(fā)生的入侵或攻擊行為還需要進行入侵檢測與審計， 以保護內網數據的安全與取證。XZ網絡中分別有各自入侵檢測設備。負責網絡信息的安全檢查與記錄。對于X網絡是借助于主機X_NM或流量控制設備X_FW現入侵檢測功能。對于Z網絡是借助Z_R的路由器入侵檢測功能實現IDS與IPS功能。如圖6所示。網絡■■■=■■■■W49H5WWWWHOTEL□口口□□□-H-口口口□口口□□□□□□-H□□□□□□nu網絡■■■=■■■■W49H5WWWWHOTEL□口口□□□-H-口口口□口口□□□□□□-H□□□□□□nu三圖6對入侵進行檢測、審計與防護整體情境圖“學習情境4對入侵進行檢測、審計與防護”共設計有 3個任務，具體任務名稱及簡介如下：3.4.1任務1:基于Snort入侵檢測功能配置本任務為主要基于主機與Snort軟件實現網絡入侵檢測功能，對進出內網流量的檢測與控制。主要配置點為XNM主機與核心交換機。

342任務2:基于思科路由器的IOS入侵檢測功能配置(IOSIDS/IPS)本任務為主要基于思科路由器的IOS入侵檢測功能實施，對進出內網流量的檢測與控制。主要配置點為Z_R路由器。3.4.3任務3:基于深信服實施網絡審計本任務為主要基于深信服流量控制設備實施入侵檢測功能，對進出內網流量的檢測、控制與審計。主要配置點為X_FW流量控制設備。344拓展任務：拓展訓練任務2個在拓展任務中將設計若干任務，進一步深入學習 IDS/IPS相關配置。3.5網絡及主機滲透攻擊測試與加固防護對于一個企業(yè)網來說，需要全方位的防護，不能單純憑對邊界的控制。因為攻擊可能源自于內網中的任何主機。因此對網主機進行攻擊檢測與加固也是一項關鍵安全防護任務。本部分將以XY網絡中的服務器為例，介紹網絡中的攻擊方法與加固措施。如圖 7所示?！觥觥觥觥觥觥觥觥觥觥觥觥觥觥觥觥觥觥觥觥鯤OTEL□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□]5z_razYSWR1LW■■■■■■■■■■■■■■■■■■■■■HOTEL□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□]5z_razYSWR1LW圖7網絡及主機滲透攻擊測試與加固防護整體情境圖“學習情境5網絡及主機滲透攻擊測試與加固防護”共設計有2個任務，10個子任務,具體任務名稱及簡介如下：3.5.1任務1:網絡及主機滲透攻擊測試本任務將以滲透攻擊技術為主，對X內網主機服務器進行多角度的安全測試，以學習黑客常用的攻擊方法，做到知己知彼，以便于下一任務中對網絡及主機進行加固。這里將分為5個子任務。子任務1主機掃描技術（XSCA等）子任務2：遠程控制技術（灰鴿子等木馬）子任務3:操作系統漏洞攻擊（LINUXWINDOWS溢出等）子任務4：應用程序漏洞攻擊（IIS等）子任務5:數據庫漏洞攻擊任務2:網絡及主機加固防護本任務將基于上一任務中的滲透攻擊對網絡及主機進行加固。這里將分為 5個子任務。子任務1運用NEUSSm描軟件檢測主機漏洞子任務2:主機基本防護與加固（服務最小化）子任務3:病毒防護（PE使用、免殺、捆綁等介紹）子任務4:系統漏洞防護與加固（補丁等）子任務5:服務及應用防護與加固（防篡改）拓展任務:拓展訓練任務2個在拓展任務中將設計若干任務，進一步深入學習主機攻防技術。3.6保護網絡安全可靠運行的綜合技術對于一個企業(yè)網來說，安全防護相關的技術還有很多。如數據備份、 RAID主機和網絡冗余、AAASNMP等技術。本情境將重點學習相關的綜合安全防護技術，同時在拓展任務中補充了用戶接入控制技術與統一網絡管理相關技術。具體如圖8所示。圖8保護網絡安全可靠運行的綜合技術整體情境圖“學習情境6保護網絡安全可靠運行的綜合技術”共設計有 6個任務，具體任務名稱及簡介如下：361任務1:數據備份與恢復本任務為主要基于軟件實現數據的備份與恢復功能，同時介紹數據丟失后的修復功能，重點突出數據備份技術的重要性。主要配置點為主機。3.6.2任務2:磁盤冗余配置與實現本任務為主要基于RAID技術實現的數據的備份與恢復功能，重點突出基于磁盤層面的數據備份技術的重要性。主要配置點為主機。3.6.3任務3:服務器冗余配置與實現本任務為主要基于服務器冗余技術實現數據的備份與恢復功能，重點突出主機層面的數據備份技術的重要性。主要配置點為主機。3.6.4任務4:網絡冗余配置與實現本任務為主要基于路由器與交換機冗余技術實現數據的備份與恢復功能，重點突出網絡層面的數據備份技術的重要性。主要配置點為路由器與交換機365任務5:AAA實現認證、授權與審計配置與實現本任務為主要基于AAA技術實現用戶的認證、授權與計費功能，主要配置點接入服務器NAS與AAA服務器。366任務6:基于SNM協議實現網絡管理本任務為主要基于網絡管理軟件與SNM協議實現網絡管理，對進全網被管設備進行管理與監(jiān)測。主要配置點為X_NMSt機與網絡中所有被管設備。3.6.7拓展任務：拓展訓練任務2個在拓展任務中補充了用戶接入控制技術與統一網絡管理相關技術。本課程情境及任務列表本課程及教材情境及任務列表如表1所示:前導整體情境案例介紹及引導以典型企業(yè)項目案例引入網絡安全防護技術模塊情境情境名稱任務任務名稱層次數據傳輸學習情境1通過流量分析定位網絡故障任務1利用PacketTracer分析協議工作過程★任務2基于SnifferPro進行協議、模擬攻擊分析★★任務3利用深信服流量控制設備分析與定位網絡故障★★★拓展任務拓展訓練任務6個學習情境2保護數據在公網上的傳輸任務1利用PGP實