《無線網(wǎng)絡(luò)安全與維護(hù)》課程標(biāo)準(zhǔn)

《無線網(wǎng)絡(luò)安全與維護(hù)》課程標(biāo)準(zhǔn)1.課程說明《無線網(wǎng)絡(luò)安全與維護(hù)》課程標(biāo)準(zhǔn)課程編碼〔38362〕承擔(dān)單位〔計(jì)算機(jī)信息學(xué)院〕制定〔〕制定日期〔2022.9.1〕審核〔專業(yè)指導(dǎo)委員會(huì)〕審核日期〔〕批準(zhǔn)〔二級(jí)學(xué)院（部）院長(zhǎng)〕批準(zhǔn)日期〔〕（1）課程性質(zhì)：本門課程是信息安全與管理專業(yè)的專業(yè)必修課程。（2）課程任務(wù)：能完成中小型企業(yè)網(wǎng)絡(luò)安全部署方案和實(shí)施方案的規(guī)劃，可以使用簡(jiǎn)單的防御手段保護(hù)中小企業(yè)的企業(yè)網(wǎng)的能力，要求學(xué)生掌握規(guī)劃、設(shè)計(jì)和配置方面的基本技能。（3）課程銜接：在課程設(shè)置上，前導(dǎo)課程有《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)》，后續(xù)課程有《無線網(wǎng)絡(luò)安全與維護(hù)實(shí)訓(xùn)》。2.學(xué)習(xí)目標(biāo)（1）思政目標(biāo)堅(jiān)持以習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想為指導(dǎo)，緊緊圍繞統(tǒng)籌推進(jìn)“五位一體”總體布局和協(xié)調(diào)推進(jìn)“四個(gè)全面”戰(zhàn)略布局，堅(jiān)持和加強(qiáng)黨的全面領(lǐng)導(dǎo)，堅(jiān)持理論與實(shí)踐相結(jié)合，引導(dǎo)學(xué)生增強(qiáng)實(shí)踐能力，踐行和弘揚(yáng)社會(huì)主義核心價(jià)值觀。為國(guó)家培養(yǎng)出政治立場(chǎng)堅(jiān)定、作風(fēng)過硬、技術(shù)嫻熟、品德優(yōu)良的高等級(jí)技能型人才。（2）知識(shí)技能目標(biāo)通過學(xué)習(xí)《無線網(wǎng)絡(luò)安全與維護(hù)》，學(xué)生可以掌握常用的網(wǎng)絡(luò)安全部署方法和基本的實(shí)施能力。能完成中小型企業(yè)網(wǎng)絡(luò)安全部署方案和實(shí)施方案的規(guī)劃，可以使用簡(jiǎn)單的防御手段保護(hù)中小企業(yè)的企業(yè)網(wǎng)，能對(duì)常見的網(wǎng)絡(luò)安全設(shè)備進(jìn)行簡(jiǎn)單的配置和管理，能排查和解決中小企業(yè)網(wǎng)中存在的安全隱患和故障。提高學(xué)生的職業(yè)素質(zhì)，培養(yǎng)學(xué)生的創(chuàng)新精神和實(shí)踐能力，促進(jìn)學(xué)生職業(yè)能力的培養(yǎng)和職業(yè)素養(yǎng)的養(yǎng)成，達(dá)到職業(yè)崗位能力和職業(yè)素養(yǎng)培養(yǎng)的要求。具體目標(biāo)如下：序號(hào)內(nèi)容單元知識(shí)目標(biāo)能力目標(biāo)素質(zhì)目標(biāo)1信息安全與安全概述信息安全基礎(chǔ)概念信息安全規(guī)范簡(jiǎn)介網(wǎng)絡(luò)基本概念常見網(wǎng)絡(luò)設(shè)備威脅防范與信息安全發(fā)展趨勢(shì)區(qū)分不同的安全風(fēng)險(xiǎn)常見協(xié)議可能存在的安全威脅登錄網(wǎng)絡(luò)設(shè)備并對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基礎(chǔ)配置常見信息安全威脅手段安全威脅防范的基本要素較強(qiáng)的自我知識(shí)、技術(shù)更新能力，快速跟蹤計(jì)算機(jī)軟件的新技術(shù)及開發(fā)技術(shù)的新動(dòng)態(tài)。2操作系統(tǒng)與主機(jī)安全操作系統(tǒng)簡(jiǎn)介常見服務(wù)器種類與威脅主機(jī)防火墻和殺毒軟件操作系統(tǒng)的主要功能常見服務(wù)器的功能常見服務(wù)器的安全威脅區(qū)分殺毒軟件和防火墻培養(yǎng)學(xué)生實(shí)事求是、嚴(yán)肅認(rèn)真的科學(xué)精神、探索精神和創(chuàng)新精神，提高綜合分析解決問題的能力，塑造初步的創(chuàng)新能力。3網(wǎng)絡(luò)安全基礎(chǔ)防火墻介紹網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹防火墻雙機(jī)熱備技術(shù)防火墻用戶管理入侵防御簡(jiǎn)介防火墻安全策略配置防火墻的NAT配置雙機(jī)熱備基礎(chǔ)配置用戶認(rèn)證管理配置網(wǎng)絡(luò)反病毒策略培養(yǎng)邏輯性、抽象性的思維模式，從“特殊到一般”的研究方法和相對(duì)性理念。做到舉一反三觸類旁通。4加解密與應(yīng)用加密與解密原理PKI證書體系加密技術(shù)應(yīng)用掌握加解密算法的原理掌握PKI證書體系工作機(jī)制掌握不同VPN技術(shù)的配置方法具有一定的科學(xué)思維方式和判斷分析問題的能力。5安全運(yùn)營(yíng)與分析基礎(chǔ)安全運(yùn)營(yíng)簡(jiǎn)介數(shù)據(jù)監(jiān)控與分析電子取證網(wǎng)絡(luò)安全應(yīng)急響應(yīng)案例研討了解安全運(yùn)營(yíng)的內(nèi)容使用威脅定位的技術(shù)使用電子取證的相關(guān)工具網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的處理流程鞏固安全運(yùn)營(yíng)的操作步驟培養(yǎng)學(xué)生結(jié)構(gòu)與功能對(duì)立統(tǒng)一的觀點(diǎn)；實(shí)事求是的實(shí)證精神；嚴(yán)謹(jǐn)?shù)倪壿嬎季S能力。3.課程設(shè)計(jì)本課程以理論+實(shí)踐形式設(shè)計(jì)，理論部分主要以教師講解為主，講授基本理論，基本知識(shí)，實(shí)踐部分重視學(xué)生知識(shí)結(jié)構(gòu)的拓展，培養(yǎng)學(xué)生應(yīng)用課程中所學(xué)到的技術(shù)解決生產(chǎn)實(shí)踐問題能力，以及初步設(shè)計(jì)具體課題技術(shù)路線的能力，促進(jìn)學(xué)生專業(yè)能力的發(fā)展，提高學(xué)生的實(shí)踐和探究能力。實(shí)踐課程以學(xué)生為主體，根據(jù)學(xué)生個(gè)體的專業(yè)背景和接受能力，采用課堂教學(xué)講述法、現(xiàn)場(chǎng)教學(xué)法、實(shí)驗(yàn)教學(xué)法等多種教學(xué)方法，引導(dǎo)學(xué)生了解本門課程的特點(diǎn)，使學(xué)生掌握課程的學(xué)習(xí)方法，并為學(xué)生今后參加社會(huì)生活、經(jīng)濟(jì)活動(dòng)、生產(chǎn)實(shí)踐等養(yǎng)成良好的學(xué)習(xí)習(xí)慣。（1）理論教學(xué)內(nèi)容學(xué)時(shí)分配表章節(jié)或單元序號(hào)教學(xué)內(nèi)容應(yīng)達(dá)到的知識(shí)、能力、態(tài)度目標(biāo)要求教學(xué)建議學(xué)時(shí)重點(diǎn)難點(diǎn)第1章1.1信息與信息安全不同安全模型的特點(diǎn)和區(qū)別√161.2信息安全風(fēng)險(xiǎn)與管理區(qū)分不同的安全風(fēng)險(xiǎn)√1.3信息安全標(biāo)準(zhǔn)與規(guī)范常見信息安全標(biāo)準(zhǔn)√1.4ISO27001信息安全管理體系信息安全標(biāo)準(zhǔn)的意義√1.5信息安全等級(jí)化保護(hù)體系區(qū)分不同的安全風(fēng)險(xiǎn)√1.6TCP/IP架構(gòu)TCP/IP的工作原理√1.7常見網(wǎng)絡(luò)協(xié)議介紹常見協(xié)議的工作原理√1.8網(wǎng)絡(luò)基礎(chǔ)設(shè)備網(wǎng)絡(luò)設(shè)備的功能√1.9設(shè)備初始登錄登錄網(wǎng)絡(luò)設(shè)備并對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基礎(chǔ)配置√1.10網(wǎng)絡(luò)安全威脅信息安全威脅分類√1.11應(yīng)用安全威脅信息安全威脅手段√1.12安全威脅防范安全威脅防范的基本要素√1.13信息安全意識(shí)網(wǎng)絡(luò)安全意識(shí)在安全防護(hù)中的重要性√第2章2.1操作系統(tǒng)基礎(chǔ)知識(shí)操作系統(tǒng)的主要功能√122.2Windows操作系統(tǒng)Windows操作系統(tǒng)的特點(diǎn)√2.3Linux操作系統(tǒng)Linux操作系統(tǒng)的發(fā)展史√2.4服務(wù)器概述服務(wù)器的分類√2.5常用服務(wù)器軟件常見服務(wù)器的功能√2.6服務(wù)器安全威脅常見服務(wù)器的安全威脅√2.7漏洞和補(bǔ)丁漏洞和補(bǔ)丁的概念√2.8Windows防火墻防火墻的定義和分類√2.9Linux防火墻防火墻的主要功能√2.10殺毒軟件殺毒軟件的概念√第3章3.1防火墻概述防火墻基本概念√163.2防火墻轉(zhuǎn)發(fā)原理防火墻安全策略√3.3防火墻安全策略及應(yīng)用防火墻安全策略配置√3.4網(wǎng)絡(luò)地址轉(zhuǎn)換原理NAT的技術(shù)原理√3.5源NAT技術(shù)防火墻的NAT配置√3.6服務(wù)器映射防火墻的NAT配置√3.7NAT應(yīng)用場(chǎng)景NAT的應(yīng)用場(chǎng)景√3.8雙機(jī)熱備技術(shù)原理雙機(jī)熱備技術(shù)原理√3.9雙機(jī)熱備基本組網(wǎng)與配置雙機(jī)熱備基礎(chǔ)配置√3.10用戶認(rèn)證和AAA技術(shù)原理AAA技術(shù)√3.11用戶認(rèn)證管理及應(yīng)用用戶認(rèn)證技術(shù)√3.12入侵防御系統(tǒng)簡(jiǎn)介入侵防御的種類√3.13網(wǎng)絡(luò)防病毒簡(jiǎn)介部署網(wǎng)絡(luò)反病毒策略√第4章4.1加密技術(shù)發(fā)展加解密的發(fā)展歷程√84.2加解密技術(shù)原理不同加解密的過程√4.3加解密常見算法加解密算法的原理√4.4PKI體系架構(gòu)PKI證書體系架構(gòu)√4.5PKI工作機(jī)制PKI證書體系工作機(jī)制√4.6VPN簡(jiǎn)介加密技術(shù)的應(yīng)用場(chǎng)景√4.7VPN配置不同VPN技術(shù)的配置方法√第5章5.1安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)基本要求√85.2安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述安全運(yùn)營(yíng)的內(nèi)容√5.3數(shù)據(jù)監(jiān)控?cái)?shù)據(jù)采集的過程√5.4數(shù)據(jù)分析威脅定位的技術(shù)√5.5電子取證概覽電子取證的相關(guān)工具√5.6電子取證的過程電子取證的技術(shù)√5.7網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的產(chǎn)生背景√5.8網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處理介紹網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的處理流程√合計(jì)60（2）實(shí)踐教學(xué)學(xué)時(shí)分配表案例序號(hào)實(shí)踐內(nèi)容能力目標(biāo)學(xué)時(shí)案例1通過Console口登錄設(shè)備（SecureCRT）掌握PC終端使用SecureCRT通過設(shè)備Console口登錄并管理設(shè)備的方法2案例2通過默認(rèn)WEB方式登錄設(shè)備掌握PC終端通過默認(rèn)WEB方式登錄防火墻的方法2案例3通過Telnet登錄設(shè)備掌握配置設(shè)備telnet功能的方法2案例4通過WEB方式登錄設(shè)備掌握PC終端通過WEB方式登錄防火墻的方法2案例5通過SSH登錄設(shè)備掌握配置設(shè)備SSH功能的方法2案例6遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)了解遠(yuǎn)程代碼執(zhí)行漏洞的危害掌握防范遠(yuǎn)程代碼執(zhí)行漏洞的方法2案例7防火墻基礎(chǔ)配置掌握設(shè)備命名的方法掌握配置設(shè)備時(shí)間的方法掌握配置文件備份和恢復(fù)的方法2案例8網(wǎng)絡(luò)基礎(chǔ)配置理解路由的意義掌握靜態(tài)路由的配置方法2案例9防火墻安全策略實(shí)驗(yàn)理解安全策略原理理解不同安全區(qū)域之間的關(guān)系掌握通過命令行和web方式配置防火墻安全策略4案例10防火墻NATServer&源NAT實(shí)驗(yàn)理解源NAT應(yīng)用場(chǎng)景及原理理解NATServer應(yīng)用場(chǎng)景及原理掌握通過命令行和web方式配置防火墻NATServer&源NAT命令8案例11防火墻雙機(jī)熱備實(shí)驗(yàn)理解雙機(jī)熱備的基本原理。理解VGMP和HRP協(xié)議。掌握通過命令行和web方式配置防火墻雙機(jī)熱備8案例12防火墻用戶管理實(shí)驗(yàn)理解用戶管理的基本原理。掌握免認(rèn)證用戶的配置方式。掌握密碼認(rèn)證用戶的配置方式。4案例13L2TPVPN實(shí)驗(yàn)理解L2TPVPN撥號(hào)的基本原理。掌握Client-Initialized方式L2TP應(yīng)用場(chǎng)景的配置8案例14GREVPN實(shí)驗(yàn)理解GREVPN撥號(hào)的基本原理。掌握GREVPN的配置4案例15點(diǎn)到點(diǎn)IPSecVPN實(shí)驗(yàn)理解IPSecVPN的基本原理。掌握點(diǎn)到點(diǎn)IPSecVPN應(yīng)用場(chǎng)景的配置8合計(jì)604.教學(xué)設(shè)計(jì)案例1：通過Console口登錄設(shè)備（SecureCRT）場(chǎng)景：在設(shè)備出廠配置下，PC終端通過Console口登錄設(shè)備，可實(shí)現(xiàn)對(duì)設(shè)備的管理和配置。1．實(shí)驗(yàn)?zāi)康耐ㄟ^本實(shí)驗(yàn)，掌握PC終端使用SecureCRT通過設(shè)備Console口登錄并管理設(shè)備的方法。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃管理PC使用串口線纜連接設(shè)備的Console口，管理PC通過SecureCRT軟件登錄設(shè)備。設(shè)備端口及參數(shù)說明設(shè)備端口端口類型管理PCCOM1以太網(wǎng)口出廠配置的設(shè)備ConsoleConsole口4．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)任務(wù)說明1物理連接物理連接PC和設(shè)備，通過console口方式登錄設(shè)備僅支持物理直連。2登錄設(shè)備默認(rèn)可以通過設(shè)備Console口直接登錄設(shè)備。5．配置思路=1\*GB2⑴使用串口線纜連接管理PC的以太網(wǎng)口和設(shè)備的console口。=2\*GB2⑵在管理PC上的SecureCRT配置連接參數(shù)，登錄設(shè)備。案例2：通過默認(rèn)WEB方式登錄設(shè)備（僅防火墻支持）場(chǎng)景：在設(shè)備出廠配置下，PC終端通過防火墻管理口MGMT登錄設(shè)備，可實(shí)現(xiàn)對(duì)設(shè)備的管理和配置。1．實(shí)驗(yàn)?zāi)康耐ㄟ^本實(shí)驗(yàn)，掌握PC終端通過默認(rèn)WEB方式登錄防火墻的方法。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃管理PC使用串口線纜連接設(shè)備的Console口，管理PC通過SecureCRT軟件登錄設(shè)備。設(shè)備端口及參數(shù)說明設(shè)備端口端口類型IP地址管理PCCOM1以太網(wǎng)口192.168.0.2/24出廠配置的設(shè)備GE0/0/0以太網(wǎng)口192.168.0.1/244．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)任務(wù)說明1物理連接物理連接PC和設(shè)備的MGMT口，PC和設(shè)備網(wǎng)絡(luò)互通，PC就可以通過默認(rèn)web方式登錄設(shè)備。2登錄設(shè)備默認(rèn)可以通過防火墻MGMT口進(jìn)行web登錄設(shè)備。5．配置思路=1\*GB2⑴使用普通網(wǎng)線連接管理PC的以太網(wǎng)口和設(shè)備的MGMT接口。=2\*GB2⑵在管理PC上使用瀏覽器訪問防火墻。案例3：通過Telnet登錄設(shè)備場(chǎng)景：通過在設(shè)備上配置遠(yuǎn)程登錄功能，使遠(yuǎn)程管理員能夠通過telnet方式登錄到設(shè)備上進(jìn)行管理。1．實(shí)驗(yàn)?zāi)康耐ㄟ^本實(shí)驗(yàn)，掌握配置設(shè)備telnet功能的方法。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃管理PC使用普通網(wǎng)線連接設(shè)備的GE1/0/1口（以GE1/0/1口為例），管理PC通過SecureCRT軟件遠(yuǎn)程登錄設(shè)備。設(shè)備端口及參數(shù)說明設(shè)備端口端口類型地址管理PC以太網(wǎng)接口以太網(wǎng)口10.1.2.100/24出廠配置的設(shè)備GE1/0/1以太網(wǎng)口10.1.2.1/244．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)任務(wù)說明1物理連接物理連接PC和設(shè)備。2登錄設(shè)備默認(rèn)可以通過設(shè)備Console口直接登錄設(shè)備。然后再配置設(shè)備telnet功能。3配置設(shè)備telnet功能設(shè)備默認(rèn)不支持telnet功能，必須開啟telnet功能，以及用于遠(yuǎn)程登錄設(shè)備的賬號(hào)密碼等。4測(cè)試telnet功能通過連接在設(shè)備上的PC遠(yuǎn)程登錄設(shè)備，測(cè)試telnet功能是否配置成功。5．配置思路=1\*GB2⑴使用其他方式登錄到設(shè)備上（如console登錄）。=2\*GB2⑵在設(shè)備上配置telnet功能。=3\*GB2⑶在管理PC上登錄測(cè)試。案例4：通過WEB方式登錄設(shè)備場(chǎng)景：PC終端通過防火墻業(yè)務(wù)口以WEB方式登錄設(shè)備，可實(shí)現(xiàn)對(duì)設(shè)備的管理和配置。1．實(shí)驗(yàn)?zāi)康耐ㄟ^本實(shí)驗(yàn)，掌握PC終端通過默認(rèn)WEB方式登錄防火墻的方法。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃管理PC使用串口線纜連接設(shè)備的Console口，管理PC通過SecureCRT軟件登錄設(shè)備。設(shè)備端口及參數(shù)說明設(shè)備端口端口類型IP地址管理PCCOM1以太網(wǎng)口10.1.2.100/24出廠配置的設(shè)備GE1/0/1以太網(wǎng)口10.1.2.1/244．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)任務(wù)說明1物理連接物理連接PC和設(shè)備業(yè)務(wù)口。2配置設(shè)備web登錄功能設(shè)備業(yè)務(wù)口默認(rèn)不支持web方式登錄，所以需要開啟web功能以及配置web登錄的賬號(hào)密碼等。3測(cè)試web登錄功能通過連接在設(shè)備上的PC遠(yuǎn)程登錄設(shè)備，測(cè)試web登錄功能是否配置成功。5．配置思路=1\*GB2⑴使用普通網(wǎng)線連接管理PC的以太網(wǎng)口和設(shè)備的業(yè)務(wù)接口。=2\*GB2⑵配置設(shè)備的WEB登錄功能。=3\*GB2⑶在管理PC上進(jìn)行登錄測(cè)試。案例5：通過SSH登錄設(shè)備場(chǎng)景：通過在設(shè)備上配置SSH功能，使遠(yuǎn)程管理員能夠通過SSH方式登錄到設(shè)備上進(jìn)行管理。1．實(shí)驗(yàn)?zāi)康耐ㄟ^本實(shí)驗(yàn)，掌握配置設(shè)備SSH功能的方法。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃管理PC使用普通網(wǎng)線連接設(shè)備的GE1/0/1口（以GE1/0/1口為例），管理PC通過SecureCRT軟件遠(yuǎn)程登錄設(shè)備。設(shè)備端口及參數(shù)說明設(shè)備端口端口類型地址管理PC以太網(wǎng)接口以太網(wǎng)口10.1.2.100/24出廠配置的設(shè)備GE1/0/1以太網(wǎng)口10.1.2.1/244．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)任務(wù)說明1物理連接物理連接PC和設(shè)備。2登錄設(shè)備通過其他方式先登錄設(shè)備，然后再進(jìn)行設(shè)備SSH功能配置。3配置設(shè)備SSH功能設(shè)備默認(rèn)不支持stelnet功能，必須開啟stelnet功能，以及用于遠(yuǎn)程登錄設(shè)備的賬號(hào)密碼等。4測(cè)試SSH功能通過連接在設(shè)備上的PC遠(yuǎn)程登錄設(shè)備，測(cè)試SSH功能是否配置成功。5．配置思路=1\*GB2⑴使用其他方式登錄到設(shè)備上（如console登錄）。=2\*GB2⑵在設(shè)備上配置SSH功能。=3\*GB2⑶在管理PC上登錄測(cè)試。案例6：遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)場(chǎng)景：本實(shí)驗(yàn)主要復(fù)現(xiàn)該漏洞，演示具體攻擊過程，以及學(xué)習(xí)如何修復(fù)漏洞和防范。1．實(shí)驗(yàn)?zāi)康牧私膺h(yuǎn)程代碼執(zhí)行漏洞的危害。掌握防范遠(yuǎn)程代碼執(zhí)行漏洞的方法。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃企業(yè)需對(duì)用戶終端的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制，只有用戶終端通過802.1X認(rèn)證后才允許其訪問外網(wǎng)。VLAN端口類型及參數(shù)設(shè)計(jì)設(shè)備IP地址Kali172.21.7.104Windows7靶機(jī)172.21.7.1074．配置思路=1\*GB2⑴生成反射shell。=2\*GB2⑵開啟Apache服務(wù)。=3\*GB2⑶Exploit開啟偵聽。=4\*GB2⑷創(chuàng)建Powershell文件。案例7：防火墻基礎(chǔ)配置場(chǎng)景：通過嘗試防火墻的基礎(chǔ)配置，熟悉防火墻的基本操作。1．實(shí)驗(yàn)?zāi)康恼莆赵O(shè)備命名的方法。掌握配置設(shè)備時(shí)間的方法。掌握配置文件備份和恢復(fù)的方法。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃管理員通過各種方式登錄到防火墻上，配置防火墻主機(jī)名、時(shí)間及配置文件的備份與恢復(fù)。設(shè)備端口及參數(shù)說明設(shè)備端口端口類型管理PC—以太網(wǎng)口防火墻—根據(jù)登錄方式?jīng)Q定4．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)任務(wù)說明1登錄設(shè)備通過默認(rèn)web等方式登錄設(shè)備。2防火墻基礎(chǔ)配置防火墻基礎(chǔ)配置包括設(shè)備命名、設(shè)備時(shí)間和設(shè)備配置的備份與恢復(fù)。備份配置文件以防配置丟失?；謴?fù)配置文件用于將配置文件從本地上傳到設(shè)備上。5．配置思路=1\*GB2⑴登錄防火墻。=2\*GB2⑵配置防火墻主機(jī)名。=3\*GB2⑶配置防火墻時(shí)間。=4\*GB2⑷備份及恢復(fù)防火墻的配置文件。案例8：網(wǎng)絡(luò)基礎(chǔ)配置場(chǎng)景：本實(shí)驗(yàn)通過配置靜態(tài)路由，掌握網(wǎng)絡(luò)基本配置方法。1．實(shí)驗(yàn)?zāi)康睦斫饴酚傻囊饬x。掌握靜態(tài)路由的配置方法。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃兩臺(tái)路由器相連，并且每臺(tái)路由器都連著一臺(tái)主機(jī)，要求主機(jī)之間能夠互相通信。IP地址參數(shù)設(shè)計(jì)設(shè)備端口IP地址R1GE1/0/110.1.1.1/24GE1/0/210.1.2.1/24R2GE1/0/110.1.1.2/24GE1/0/210.1.3.1/24PC1Eth0/0/110.1.2.100/24PC2Eth0/0/110.1.3.100/244．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)任務(wù)說明1配置設(shè)備基礎(chǔ)信息配置路由器和PC的IP地址。2配置靜態(tài)路由配置靜態(tài)路由用于PC1和PC2互通。5．配置思路=1\*GB2⑴配置設(shè)備及主機(jī)的IP地址。=2\*GB2⑵配置靜態(tài)路由。=3\*GB2⑶測(cè)試PC互通。案例9：防火墻安全策略實(shí)驗(yàn)場(chǎng)景：本實(shí)驗(yàn)通過在防火墻上部署安全策略，保證兩個(gè)不同安全區(qū)域之間能夠互訪。1．實(shí)驗(yàn)?zāi)康睦斫獍踩呗栽?。理解不同安全區(qū)域之間的關(guān)系。掌握通過命令行和web方式配置防火墻安全策略。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃USG作為安全設(shè)備被部署在業(yè)務(wù)節(jié)點(diǎn)上。其中上下行設(shè)備均是交換機(jī)，USG_A下行業(yè)務(wù)接口工作在三層。端口地址和區(qū)域劃分設(shè)備名稱接口IP地址區(qū)域USG6330-1G1/0/110.1.2.1TrustG1/0/440.1.1.1UntrustPC1E0/0/110.1.2.100TrustPC2E0/0/140.1.1.100Untrust4．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)子任務(wù)任務(wù)說明1配置基礎(chǔ)數(shù)據(jù)配置安全區(qū)域?qū)⒏鹘涌诩尤氚踩珔^(qū)域配置安全策略放行Trust到Untrust區(qū)域策略5．配置思路=1\*GB2⑴配置基本的IP地址和所屬安全區(qū)域。=2\*GB2⑵配置域間安全策略。案例10：防火墻NATServer&源NAT實(shí)驗(yàn)場(chǎng)景：通過在出口防火墻上配置NAT技術(shù)，可以實(shí)現(xiàn)位于私網(wǎng)的多個(gè)用戶使用少量的公網(wǎng)地址同時(shí)訪問Internet，也可以使外網(wǎng)用戶通過特定ip地址訪問內(nèi)網(wǎng)服務(wù)器。1．實(shí)驗(yàn)?zāi)康睦斫庠碞AT應(yīng)用場(chǎng)景及原理。理解NATServer應(yīng)用場(chǎng)景及原理。掌握通過命令行和web方式配置防火墻NATServer&源NAT命令。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃USG作為安全設(shè)備被部署在業(yè)務(wù)節(jié)點(diǎn)上。其中上下行設(shè)備均是交換機(jī)。端口地址和區(qū)域劃分設(shè)備名稱接口IP地址區(qū)域USG6330-1G1/0/010.1.1.1DMZG1/0/110.1.2.1TrustG1/0/440.1.1.1UntrustPC1E0/0/110.1.2.100TrustPC2E0/0/140.1.1.100UntrustServerE0/0/110.1.1.100DMZ4．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)子任務(wù)任務(wù)說明1配置基礎(chǔ)參數(shù)配置安全區(qū)域?qū)⒏鹘涌诮尤氚踩珔^(qū)域配置安全策略放行Trust到Untrust區(qū)域策略2配置源NAT配置nat地址池創(chuàng)建公網(wǎng)地址池配置nat策略配置trunst到untrust的nat策略5．配置思路=1\*GB2⑴配置基本的IP地址和所屬安全區(qū)域，并且放行對(duì)應(yīng)安全策略。=2\*GB2⑵創(chuàng)建NAT地址池。=3\*GB2⑶配置NAT策略。=4\*GB2⑷配置NATServer。案例11：防火墻雙機(jī)熱備實(shí)驗(yàn)場(chǎng)景：本實(shí)驗(yàn)通過在網(wǎng)絡(luò)出口位置部署兩臺(tái)或多臺(tái)網(wǎng)關(guān)設(shè)備，保證了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信暢通。1．實(shí)驗(yàn)?zāi)康睦斫怆p機(jī)熱備的基本原理。理解VGMP和HRP協(xié)議。掌握通過命令行和web方式配置防火墻雙機(jī)熱備。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃USG6330作為安全設(shè)備被部署在業(yè)務(wù)節(jié)點(diǎn)上。其中上下行設(shè)備均是交換機(jī)，USG6330-1、USG6330-2以主備備份方式工作。端口地址和區(qū)域劃分設(shè)備名稱接口IP地址區(qū)域USG6330-1G1/0/110.1.2.1TrustG1/0/330.1.1.1DMZG1/0/440.1.1.1UntrustUSG6330-2G1/0/110.1.2.2TrustG1/0/330.1.1.2DMZG1/0/440.1.1.2UntrustPC1E0/0/110.1.2.100TrustPC2E0/0/12.2.2.2Untrust4．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)子任務(wù)任務(wù)說明1配置基礎(chǔ)數(shù)據(jù)配置安全區(qū)域?qū)⒏鹘涌趧澣氚踩珔^(qū)域2配置雙機(jī)熱備配置雙機(jī)熱備配置雙機(jī)熱備模式為主備模式，F(xiàn)W1為主，F(xiàn)W2為備。配置虛擬IP地址配置VRRP備份組1和23配置安全策略放行域間轉(zhuǎn)發(fā)安全策略放行Trust到Untrust區(qū)域策略5．配置思路=1\*GB2⑴在配置基本的IP地址和所屬安全區(qū)域，并且放行對(duì)應(yīng)安全策略。=2\*GB2⑵進(jìn)行雙機(jī)熱備配置，備份方式為主備備份，USG6330-1為主，USG6330-2為備。案例12：防火墻用戶管理實(shí)驗(yàn)場(chǎng)景：本實(shí)驗(yàn)通過在網(wǎng)絡(luò)出口位置部署安全設(shè)備，對(duì)上網(wǎng)用戶進(jìn)行本地認(rèn)證或者免認(rèn)證，實(shí)現(xiàn)對(duì)不同用戶的管理。1．實(shí)驗(yàn)?zāi)康睦斫庥脩艄芾淼幕驹?。掌握免認(rèn)證用戶的配置方式。掌握密碼認(rèn)證用戶的配置方式。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃USG被部署在網(wǎng)關(guān)位置，PC3和PC1分別用來模擬免認(rèn)證用戶和密碼認(rèn)證用戶通過對(duì)應(yīng)的兩種方式訪問InternetServer（PC2模擬）。端口地址和區(qū)域劃分設(shè)備名稱接口IP地址區(qū)域USG6330-1G1/0/010.1.1.1GuestG1/0/110.1.2.1TrustG1/0/440.1.1.1UntrustPC1E0/0/110.1.2.100TrustPC2E0/0/240.1.4.100UntrustPC3E0/0/310.1.1.100Guest4．實(shí)驗(yàn)任務(wù)序號(hào)任務(wù)子任務(wù)任務(wù)說明1配置基礎(chǔ)數(shù)據(jù)配置IP地址配置各接口和設(shè)備的IP地址配置安全區(qū)域?qū)⒏鹘涌趧澣氚踩珔^(qū)域2配置用戶管理配置免認(rèn)證用戶配置認(rèn)證策略和安全策略配置密碼認(rèn)證用戶配置認(rèn)證策略和安全策略5．配置思路=1\*GB2⑴配置基本的IP地址和所屬安全區(qū)域。=2\*GB2⑵創(chuàng)建用戶組并制定相應(yīng)的用戶策略。案例13：L2TPVPN實(shí)驗(yàn)場(chǎng)景：移動(dòng)辦公用戶的便攜機(jī)上裝有VPNClient軟件。用戶期望使用VPNClient軟件與企業(yè)出口網(wǎng)關(guān)LNS間建立L2TPVPN隧道，從而通過VPN隧道訪問企業(yè)內(nèi)網(wǎng)。1．實(shí)驗(yàn)?zāi)康睦斫釲2TPVPN撥號(hào)的基本原理。掌握Client-Initialized方式L2TP應(yīng)用場(chǎng)景的配置。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃L2TPVPN實(shí)驗(yàn)規(guī)劃項(xiàng)目數(shù)據(jù)說明LNS接口：GE1/0/0地址：10.1.1.1/24安全區(qū)域：trust接口：GE1/0/2地址：20.1.1.1/24安全區(qū)域：untrustPC1地址：20.1.1.10/24網(wǎng)關(guān)：20.1.1.1安裝有L2TP撥號(hào)客戶端的設(shè)備Server1地址：10.1.1.10/24網(wǎng)關(guān)：10.1.1.1模擬內(nèi)網(wǎng)服務(wù)器L2TP規(guī)劃（LNS）虛擬接口：virtual-temptate0虛擬接口地址：192.168.1.1/24虛擬接口區(qū)域：untrust對(duì)端隧道名稱：client本端隧道名稱：client隧道驗(yàn)證密碼：Password123對(duì)端地址：192.168.1.10用戶名：user001密碼：Admin@123L2TP規(guī)劃（撥號(hào)用戶）用戶名：user001密碼：Admin@123隧道名稱：client認(rèn)證方式：CHAP隧道密碼：Password1234．實(shí)驗(yàn)任務(wù)列表序號(hào)任務(wù)子任務(wù)任務(wù)說明1防火墻配置基礎(chǔ)配置（包括接口地址及接口加域）已預(yù)配開啟L2TP功能配置L2TP組1.設(shè)置本端隧道名2.配置隧道認(rèn)證及密碼3.對(duì)端隧道名及使用的虛擬接口4.配置虛擬接口地址及區(qū)域配置撥號(hào)用戶信息設(shè)置用戶名和密碼配置安全策略規(guī)則l2tp1和l2tp2允許撥號(hào)客戶端和內(nèi)部服務(wù)器互訪配置安全策略l2tp3允許untrust和local區(qū)域間L2TP報(bào)文的通過2撥號(hào)客戶端設(shè)置根據(jù)防火墻上的配置，設(shè)置VPN撥號(hào)客戶端5．配置思路=1\*GB2⑴配置LNS。=2\*GB2⑵開啟L2TP。=3\*GB2⑶配置L2TP連接參數(shù)。=4\*GB2⑷配置安全策略。案例14：GREVPN實(shí)驗(yàn)場(chǎng)景：FW_A和FW_B通過Internet相連，兩者公網(wǎng)路由可達(dá)。網(wǎng)絡(luò)1和網(wǎng)絡(luò)2是兩個(gè)私有的IP網(wǎng)絡(luò)，內(nèi)部部署了靜態(tài)路由。通過在兩臺(tái)FW之間建立GRE隧道實(shí)現(xiàn)兩個(gè)私有IP網(wǎng)絡(luò)跨越Internet交互靜態(tài)路由信息。1．實(shí)驗(yàn)?zāi)康睦斫釭REVPN撥號(hào)的基本原理。掌握GREVPN的配置。2．實(shí)驗(yàn)拓?fù)鋱D3．實(shí)驗(yàn)規(guī)劃GREVPN實(shí)驗(yàn)規(guī)劃項(xiàng)目數(shù)據(jù)說明FW1接口：GE1/0/0地址：10.1.1.1/24安全區(qū)域：trust接口：GE1/0/4地址：40.1.1.1/24安全區(qū)域：untrustGRE隧道規(guī)劃接口名稱：Tunnel1安全區(qū)域：DMZ隧道IP地址：172.16.1.1/24源地址：40.1.1.1/24目的地址：40.1.1.2/24FW2接口：GE1/0/1地址：10.1.2.2/24安全區(qū)域：trust接口：GE1/0/4地址：40.1.1.1/24安全區(qū)域：untrustGRE隧道規(guī)劃接口名稱：Tunnel1安全區(qū)域：DMZ隧道IP地址：172.16.1.2/24源地址：40.1.1.2/24目的地址：40.1.1.1/24PC1地址：10.1.2.10/24網(wǎng)關(guān)：10.1.2.2Server1地址：10.1.1.10/24網(wǎng)關(guān)：10.1.1.1模擬PC用戶實(shí)驗(yàn)任務(wù)列表序號(hào)任務(wù)子任務(wù)任務(wù)說明1防火墻配置基礎(chǔ)配置（包括接口地址及接口加域）已預(yù)配關(guān)閉FW1的G1/0/1、G1/0/2口關(guān)閉FW2的G1/0/0口因地址規(guī)劃問題，需規(guī)避接口對(duì)本實(shí)驗(yàn)產(chǎn)生影響新建GRE接口1.配置隧道口地址2.隧道加域3.封裝源目地址配置到達(dá)對(duì)端的路由配置安全策略規(guī)則gre1和gre2允許互訪網(wǎng)段之間互通配置安全策略gre3允許untrust和local區(qū)域間GRE報(bào)文的通過5．配置思路=1\*GB2⑴配置GRE設(shè)備。=2\*GB2⑵基礎(chǔ)配置。=3\*GB2⑶配置隧道口。=4\*GB2⑷配置到對(duì)