《通信網(wǎng)絡(luò)安全與防護》 教案 課次8-第五章 網(wǎng)絡(luò)防護技術(shù)（上）-教案

《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間2021年4月6日周二3-4節(jié)課次8授課方式（請打√）理論課√討論課□實驗課□習(xí)題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第五章網(wǎng)絡(luò)防護技術(shù)（上）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握防火墻的基本概念、優(yōu)缺點;（2）重點掌握防火墻的三種實現(xiàn)技術(shù)，熟悉防火墻安全規(guī)則的配置;（3）了解網(wǎng)絡(luò)安全隔離的基本概念，熟悉網(wǎng)閘的工作原理。教學(xué)重點及難點：重點：防火墻的實現(xiàn)技術(shù)；難點：防火墻規(guī)則的配置。課堂教學(xué)設(shè)計（含思政）：本次課教學(xué)中注重運用對比分析、實例講解的教學(xué)方法，對比分析防火墻與網(wǎng)絡(luò)隔離技術(shù)的異同，在防火墻規(guī)則設(shè)計時結(jié)合實例講解，教學(xué)中突出防火墻實現(xiàn)技術(shù)及規(guī)則配置這一教學(xué)重點。教學(xué)中注重技術(shù)與應(yīng)用結(jié)合，介紹軍事網(wǎng)絡(luò)中的防火墻與網(wǎng)絡(luò)隔離系統(tǒng)裝備及應(yīng)用。教學(xué)中注重與學(xué)員的教學(xué)互動，引導(dǎo)學(xué)員結(jié)合自己平時的認(rèn)知對照學(xué)習(xí)。思政要素切入點：通過防火墻技術(shù)的發(fā)展，使學(xué)生認(rèn)識到網(wǎng)絡(luò)攻防對抗的動態(tài)性，增強整體防護意識，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴(yán)謹(jǐn)細(xì)致的工作習(xí)慣，促進職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧第四章網(wǎng)絡(luò)攻擊技術(shù)的主要內(nèi)容，通過三個測試題檢驗學(xué)員對知識點掌握情況；對網(wǎng)絡(luò)防護的主要內(nèi)容進行介紹，并明確本節(jié)課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）5.1防火墻技術(shù)5.1.1防火墻概述1．防火墻基本概念防火墻是在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應(yīng)用設(shè)備。2．防火墻的優(yōu)點采用防火墻保護內(nèi)部網(wǎng)絡(luò)有以下優(yōu)點：1）防火墻可以保護網(wǎng)絡(luò)中脆弱的服務(wù)2）防火墻允許網(wǎng)絡(luò)管理員定義中心“扼制點”抵抗非法訪問3）防火墻可以增強保密性，強化私有權(quán)4）采用NAT的防火墻可以節(jié)約地址資源5）防火墻可以方便的進行審計和告警3．防火墻的缺點雖然防火墻可以提高內(nèi)網(wǎng)的安全性，是網(wǎng)絡(luò)安全體系中極為重要的一環(huán)，但不能因為有了防火墻就可以高枕無憂。因為防火墻也有一些缺陷和不足，主要體現(xiàn)在以下幾點：1）防火墻無法防護內(nèi)部網(wǎng)用戶的攻擊2）防火墻無法防護病毒，也無法抵御數(shù)據(jù)驅(qū)動型的攻擊3）防火墻不能防范不通過它的攻擊4）防火墻不能防備新的網(wǎng)絡(luò)安全問題5.1.2防火墻的常用技術(shù)防火墻的主要技術(shù)包括包過濾、應(yīng)用代理和狀態(tài)檢測技術(shù)。1．包過濾技術(shù)采用包過濾技術(shù)的防火墻稱為包過濾型防火墻，因為它工作在網(wǎng)絡(luò)層，又叫網(wǎng)絡(luò)級防火墻。包過濾防火墻可以通過檢查每個包的源IP地址、目的IP地址、運輸層端口等信息來決定是否允許此數(shù)據(jù)包通過。包過濾的工作過程如下。2．應(yīng)用代理應(yīng)用代理工作在網(wǎng)絡(luò)的應(yīng)用層，其實質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間直接進行的業(yè)務(wù)由代理接管。應(yīng)用代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有較高的安全性。其缺點主要表現(xiàn)在：1）軟件實現(xiàn)限制了處理速度，易于遭受拒絕服務(wù)攻擊；2）需要針對每一種網(wǎng)絡(luò)服務(wù)開發(fā)應(yīng)用層代理，開發(fā)周期長，而且升級較困難。3．狀態(tài)檢測技術(shù)狀態(tài)檢測又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展。狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。狀態(tài)檢測技術(shù)檢查的項目除了傳統(tǒng)的包過濾技術(shù)檢查的IP地址與端口號以外，還需要檢查連接狀態(tài)與上下文信息。5.1.3防火墻的功能性能分析1．功能指標(biāo)衡量防火墻的基本功能指標(biāo)包括防火墻提供的接入方式、安全區(qū)劃分、訪問控制功能。支持不同接入方式防火墻提供的接入方式包括透明接入、路由或NAT接入及混合接入三種接入方式。2）安全區(qū)劃分3）訪問控制功能2．性能指標(biāo)防火墻的性能指標(biāo)：并發(fā)連接數(shù)、吞吐量、時延等。5.3安全隔離技術(shù)實際工作中，我們經(jīng)常會面臨在不同安全等級網(wǎng)絡(luò)間的數(shù)據(jù)交換需求，傳統(tǒng)的做法是采用“人工拷盤”，這種解決方案可以實現(xiàn)網(wǎng)絡(luò)的安全隔離，但數(shù)據(jù)交換通過人工來實現(xiàn)，工作效率低；且安全性完全依賴于人的因素，可靠性無法保證。1．安全隔離的基本概念安全隔離是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過不可路由的協(xié)議進行數(shù)據(jù)交換而達(dá)到隔離目的。目前，在我國，網(wǎng)閘是一種廣泛使用的安全隔離產(chǎn)品。不同生產(chǎn)廠商，又稱之為安全隔離網(wǎng)閘、物理隔離網(wǎng)閘、安全隔離與信息交換系統(tǒng)等，這些產(chǎn)品都是為了在確保安全的前提下實現(xiàn)有限的數(shù)據(jù)交流。2．網(wǎng)閘的工作原理1）網(wǎng)閘的結(jié)構(gòu)通常，網(wǎng)閘內(nèi)部采用“2+1”模塊結(jié)構(gòu)設(shè)計，即包括外網(wǎng)主機模塊、內(nèi)網(wǎng)主機模塊和隔離交換模塊。2）網(wǎng)閘的工作過程3．網(wǎng)閘的應(yīng)用場景不同的涉密網(wǎng)絡(luò)之間；同一涉密網(wǎng)絡(luò)的不同安全域之間；與Internet物理隔離的網(wǎng)絡(luò)與秘密級涉密網(wǎng)絡(luò)之間；未與涉密網(wǎng)絡(luò)連接的網(wǎng)絡(luò)與Internet之間內(nèi)容小結(jié)：防火墻的定義、功能與不足防火墻的主要技術(shù)防火墻的功能與性能；網(wǎng)閘的基本概念、結(jié)構(gòu)、工作原理、應(yīng)用場景。板書提綱：$5.1防火墻一、防火墻概述1．基本概念2．優(yōu)缺點二、防火墻的常用技術(shù)1．包過濾技術(shù)2．應(yīng)用代理3．狀態(tài)檢測技術(shù)三、防火墻的功能性能1．功能指標(biāo)：接入方式、安全區(qū)劃分、訪問控制2．性能指標(biāo)：并發(fā)連接數(shù)、吞吐量、時延$5.3安全隔離技術(shù)1．基本概念2．網(wǎng)閘工作原理3．網(wǎng)閘應(yīng)用場景知識擴展：了解指揮專的防火墻與安全隔離系統(tǒng)全程PPT輔助講解請學(xué)員談?wù)勊私獾木W(wǎng)絡(luò)安全防護手段有哪些？引出教學(xué)內(nèi)容對照實例，講解防火墻規(guī)則的配置，強調(diào)防