《通信網(wǎng)絡(luò)安全與防護(hù)》 教案 第五章 網(wǎng)絡(luò)防護(hù)技術(shù)

《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時間2021年4月6日周二3-4節(jié)課次8授課方式（請打√）理論課√討論課□實(shí)驗課□習(xí)題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第五章網(wǎng)絡(luò)防護(hù)技術(shù)（上）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握防火墻的基本概念、優(yōu)缺點(diǎn);（2）重點(diǎn)掌握防火墻的三種實(shí)現(xiàn)技術(shù)，熟悉防火墻安全規(guī)則的配置;（3）了解網(wǎng)絡(luò)安全隔離的基本概念，熟悉網(wǎng)閘的工作原理。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：防火墻的實(shí)現(xiàn)技術(shù)；難點(diǎn)：防火墻規(guī)則的配置。課堂教學(xué)設(shè)計（含思政）：本次課教學(xué)中注重運(yùn)用對比分析、實(shí)例講解的教學(xué)方法，對比分析防火墻與網(wǎng)絡(luò)隔離技術(shù)的異同，在防火墻規(guī)則設(shè)計時結(jié)合實(shí)例講解，教學(xué)中突出防火墻實(shí)現(xiàn)技術(shù)及規(guī)則配置這一教學(xué)重點(diǎn)。教學(xué)中注重技術(shù)與應(yīng)用結(jié)合，介紹軍事網(wǎng)絡(luò)中的防火墻與網(wǎng)絡(luò)隔離系統(tǒng)裝備及應(yīng)用。教學(xué)中注重與學(xué)員的教學(xué)互動，引導(dǎo)學(xué)員結(jié)合自己平時的認(rèn)知對照學(xué)習(xí)。思政要素切入點(diǎn)：通過防火墻技術(shù)的發(fā)展，使學(xué)生認(rèn)識到網(wǎng)絡(luò)攻防對抗的動態(tài)性，增強(qiáng)整體防護(hù)意識，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴(yán)謹(jǐn)細(xì)致的工作習(xí)慣，促進(jìn)職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧第四章網(wǎng)絡(luò)攻擊技術(shù)的主要內(nèi)容，通過三個測試題檢驗學(xué)員對知識點(diǎn)掌握情況；對網(wǎng)絡(luò)防護(hù)的主要內(nèi)容進(jìn)行介紹，并明確本節(jié)課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫成講稿）5.1防火墻技術(shù)5.1.1防火墻概述1．防火墻基本概念防火墻是在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的安全應(yīng)用設(shè)備。2．防火墻的優(yōu)點(diǎn)采用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)有以下優(yōu)點(diǎn)：1）防火墻可以保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)2）防火墻允許網(wǎng)絡(luò)管理員定義中心“扼制點(diǎn)”抵抗非法訪問3）防火墻可以增強(qiáng)保密性，強(qiáng)化私有權(quán)4）采用NAT的防火墻可以節(jié)約地址資源5）防火墻可以方便的進(jìn)行審計和告警3．防火墻的缺點(diǎn)雖然防火墻可以提高內(nèi)網(wǎng)的安全性，是網(wǎng)絡(luò)安全體系中極為重要的一環(huán)，但不能因為有了防火墻就可以高枕無憂。因為防火墻也有一些缺陷和不足，主要體現(xiàn)在以下幾點(diǎn)：1）防火墻無法防護(hù)內(nèi)部網(wǎng)用戶的攻擊2）防火墻無法防護(hù)病毒，也無法抵御數(shù)據(jù)驅(qū)動型的攻擊3）防火墻不能防范不通過它的攻擊4）防火墻不能防備新的網(wǎng)絡(luò)安全問題5.1.2防火墻的常用技術(shù)防火墻的主要技術(shù)包括包過濾、應(yīng)用代理和狀態(tài)檢測技術(shù)。1．包過濾技術(shù)采用包過濾技術(shù)的防火墻稱為包過濾型防火墻，因為它工作在網(wǎng)絡(luò)層，又叫網(wǎng)絡(luò)級防火墻。包過濾防火墻可以通過檢查每個包的源IP地址、目的IP地址、運(yùn)輸層端口等信息來決定是否允許此數(shù)據(jù)包通過。包過濾的工作過程如下。2．應(yīng)用代理應(yīng)用代理工作在網(wǎng)絡(luò)的應(yīng)用層，其實(shí)質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間直接進(jìn)行的業(yè)務(wù)由代理接管。應(yīng)用代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有較高的安全性。其缺點(diǎn)主要表現(xiàn)在：1）軟件實(shí)現(xiàn)限制了處理速度，易于遭受拒絕服務(wù)攻擊；2）需要針對每一種網(wǎng)絡(luò)服務(wù)開發(fā)應(yīng)用層代理，開發(fā)周期長，而且升級較困難。3．狀態(tài)檢測技術(shù)狀態(tài)檢測又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴(kuò)展。狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。狀態(tài)檢測技術(shù)檢查的項目除了傳統(tǒng)的包過濾技術(shù)檢查的IP地址與端口號以外，還需要檢查連接狀態(tài)與上下文信息。5.1.3防火墻的功能性能分析1．功能指標(biāo)衡量防火墻的基本功能指標(biāo)包括防火墻提供的接入方式、安全區(qū)劃分、訪問控制功能。支持不同接入方式防火墻提供的接入方式包括透明接入、路由或NAT接入及混合接入三種接入方式。2）安全區(qū)劃分3）訪問控制功能2．性能指標(biāo)防火墻的性能指標(biāo)：并發(fā)連接數(shù)、吞吐量、時延等。5.3安全隔離技術(shù)實(shí)際工作中，我們經(jīng)常會面臨在不同安全等級網(wǎng)絡(luò)間的數(shù)據(jù)交換需求，傳統(tǒng)的做法是采用“人工拷盤”，這種解決方案可以實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離，但數(shù)據(jù)交換通過人工來實(shí)現(xiàn)，工作效率低；且安全性完全依賴于人的因素，可靠性無法保證。1．安全隔離的基本概念安全隔離是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。目前，在我國，網(wǎng)閘是一種廣泛使用的安全隔離產(chǎn)品。不同生產(chǎn)廠商，又稱之為安全隔離網(wǎng)閘、物理隔離網(wǎng)閘、安全隔離與信息交換系統(tǒng)等，這些產(chǎn)品都是為了在確保安全的前提下實(shí)現(xiàn)有限的數(shù)據(jù)交流。2．網(wǎng)閘的工作原理1）網(wǎng)閘的結(jié)構(gòu)通常，網(wǎng)閘內(nèi)部采用“2+1”模塊結(jié)構(gòu)設(shè)計，即包括外網(wǎng)主機(jī)模塊、內(nèi)網(wǎng)主機(jī)模塊和隔離交換模塊。2）網(wǎng)閘的工作過程3．網(wǎng)閘的應(yīng)用場景不同的涉密網(wǎng)絡(luò)之間；同一涉密網(wǎng)絡(luò)的不同安全域之間；與Internet物理隔離的網(wǎng)絡(luò)與秘密級涉密網(wǎng)絡(luò)之間；未與涉密網(wǎng)絡(luò)連接的網(wǎng)絡(luò)與Internet之間內(nèi)容小結(jié)：防火墻的定義、功能與不足防火墻的主要技術(shù)防火墻的功能與性能；網(wǎng)閘的基本概念、結(jié)構(gòu)、工作原理、應(yīng)用場景。板書提綱：$5.1防火墻一、防火墻概述1．基本概念2．優(yōu)缺點(diǎn)二、防火墻的常用技術(shù)1．包過濾技術(shù)2．應(yīng)用代理3．狀態(tài)檢測技術(shù)三、防火墻的功能性能1．功能指標(biāo)：接入方式、安全區(qū)劃分、訪問控制2．性能指標(biāo)：并發(fā)連接數(shù)、吞吐量、時延$5.3安全隔離技術(shù)1．基本概念2．網(wǎng)閘工作原理3．網(wǎng)閘應(yīng)用場景知識擴(kuò)展：了解指揮專的防火墻與安全隔離系統(tǒng)全程PPT輔助講解請學(xué)員談?wù)勊私獾木W(wǎng)絡(luò)安全防護(hù)手段有哪些？引出教學(xué)內(nèi)容對照實(shí)例，講解防火墻規(guī)則的配置，強(qiáng)調(diào)防火墻規(guī)則是有順序的結(jié)合實(shí)例講解代理工程過程。問題：如何在不同安全等級的網(wǎng)絡(luò)間進(jìn)行信息交換？如從學(xué)校辦公專網(wǎng)拷貝文件到校園網(wǎng)。作業(yè)、討論題、思考題：作業(yè)：5-2、5-7、5-8課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時間2021年4月8日周四1-2節(jié)課次9授課方式（請打√）理論課√討論課□實(shí)驗課□習(xí)題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第五章網(wǎng)絡(luò)防護(hù)技術(shù)（下）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握入侵檢測系統(tǒng)的基本概念，熟悉入侵檢測系統(tǒng)的體系結(jié)構(gòu);（2）掌握入侵檢測系統(tǒng)的檢測方法;（3）掌握蜜罐與蜜網(wǎng)基本概念，熟悉蜜罐的分類，了解蜜罐的搭建方法。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：入侵檢測系統(tǒng)的檢測分析方法；難點(diǎn)：木馬的傳播方法。課堂教學(xué)設(shè)計（含思政）：本次課教學(xué)中注重運(yùn)用對比分析、實(shí)例講解的教學(xué)方法，對比分析入侵檢測系統(tǒng)與蜜罐技術(shù)在攻擊檢測技術(shù)及結(jié)果運(yùn)用中的差別，加深學(xué)員對知識的理解；在講解入侵檢測規(guī)則時，采用實(shí)例講解，使抽象的問題直觀化。教學(xué)中注重技術(shù)與應(yīng)用結(jié)合，介紹軍事網(wǎng)絡(luò)中的入侵檢測系統(tǒng)裝備及應(yīng)用。教學(xué)中注重與學(xué)員的教學(xué)互動，引導(dǎo)學(xué)員結(jié)合自己平時的認(rèn)知對照學(xué)習(xí)。思政要素切入點(diǎn)：通過對入侵檢測技術(shù)與蜜罐技術(shù)的講解，使學(xué)生認(rèn)識到網(wǎng)絡(luò)攻防對抗的動態(tài)性，增強(qiáng)整體防護(hù)意識，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴(yán)謹(jǐn)細(xì)致的工作習(xí)慣，促進(jìn)職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧上節(jié)課主要內(nèi)容，通過三個測試題檢驗學(xué)員對知識點(diǎn)掌握情況；對本次課的主要內(nèi)容進(jìn)行介紹，并明確本次課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫成講稿）5.2入侵檢測系統(tǒng)一、入侵檢測系統(tǒng)基本概念入侵（Intrusion）：是指對任何企圖危及系統(tǒng)及資源的完整性、機(jī)密性和可用性的活動。入侵檢測（IntrusionDetection）即對入侵行為的發(fā)覺，是指通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可獲得的信息及計算機(jī)系統(tǒng)中關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）：即進(jìn)行入侵檢測的軟件或硬件的組合。1.入侵檢測的發(fā)展歷史和發(fā)展趨勢誕生、發(fā)展歷程、發(fā)展趨勢2.入侵檢測的類型1）基于主機(jī)的入侵檢測系統(tǒng)（Host-BasedIDS,簡稱HIDS）2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（Network-BasedIDS,簡稱NIDS）3）分布式入侵檢測系統(tǒng)（DistributedIDS,簡稱DIDS）二、入侵檢測系統(tǒng)的體系結(jié)構(gòu)1．體系結(jié)構(gòu)的演變過程2．通用入侵檢測框架3.現(xiàn)有IDS體系結(jié)構(gòu)的局限性三、入侵檢測系統(tǒng)的檢測方法1．基于異常的檢測分析方法異常檢測是目前入侵檢測系統(tǒng)分析方法研究的重點(diǎn)，其特點(diǎn)是通過對系統(tǒng)異常行為的檢測，可以歸結(jié)出未知攻擊。異常檢測的關(guān)鍵問題在于正常使用模型的建立，以及如何通過正常使用模型對當(dāng)前的系統(tǒng)行為進(jìn)行比較，從而判斷出與正常模型的偏離程度。常用的異常檢測方法有：1）基于統(tǒng)計方法的異常檢測2）基于數(shù)據(jù)挖掘技術(shù)的異常檢測3）基于神經(jīng)網(wǎng)絡(luò)的異常檢測2．基于誤用的檢測分析方法誤用（Misuse）：指“可以用某種規(guī)則、方式、模型表示的入侵攻擊或其他安全相關(guān)行為”?；谡`用的入侵檢測（MisuseDetection）技術(shù)：通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運(yùn)行，井根據(jù)所建立的這種入侵模式來檢測入侵，并從中找出符合預(yù)先定義規(guī)則的入侵行為。3.常用的誤用檢測技術(shù)1）模式匹配例如協(xié)議匹配、字符串匹配、長度匹配、累積匹配或增量匹配等；2）協(xié)議分析技術(shù)將協(xié)議分析與模式匹配相結(jié)合，可以獲得更高的效率和更精確的結(jié)果。5.4蜜罐與蜜網(wǎng)一、蜜罐的基本概念蜜罐（honeypot）是一種價值在于被探測、攻擊、破壞的系統(tǒng)，是一種網(wǎng)絡(luò)管理員可以監(jiān)視、觀察攻擊者行為的系統(tǒng)。引入蜜罐的目的：一是分散攻擊者的注意力；二是收集同攻擊和攻擊者有關(guān)的信息。二、蜜罐的關(guān)鍵技術(shù)1．網(wǎng)絡(luò)欺騙技術(shù)2．?dāng)?shù)據(jù)控制技術(shù)3．?dāng)?shù)據(jù)收集技術(shù)4．報警技術(shù)5．入侵行為重定向技術(shù)三、蜜罐的分類1．從應(yīng)用層面分為產(chǎn)品型蜜罐和研究型蜜罐兩種。2．按交互等級分為低交互、中交互、高交互三種蜜罐。蜜罐主機(jī)的一個重要特性就是其交互等級。交互等級：是指攻擊者可以同蜜罐主機(jī)所在的操作系統(tǒng)的交互程度。四、蜜網(wǎng)蜜網(wǎng)（Honeynet）是一個網(wǎng)絡(luò)系統(tǒng)，而并非某臺單一的主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)是隱藏在防火墻后面的，所有進(jìn)出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)可供我們研究分析入侵者們使用的工具、方法及動機(jī)。蜜罐與蜜網(wǎng)的實(shí)現(xiàn)方法：利用Snort軟件安裝利用HoneyD軟件安裝2021兩會期間，知道創(chuàng)宇提供免費(fèi)試用“云蜜罐”服務(wù)，云安全已經(jīng)成為新的發(fā)展方向。內(nèi)容小結(jié)：IDS基本概念、發(fā)展歷程、發(fā)展趨勢、體系結(jié)構(gòu)；HIDS、NIDS、DIDS；IDS的體系結(jié)構(gòu)；誤用檢測、異常檢測；蜜罐的價值、蜜罐的關(guān)鍵技術(shù)、蜜罐的分類；板書提綱：$5.2入侵檢測系統(tǒng)一、基本概念分類：HIDS、NIDS、DIDS發(fā)展歷程發(fā)展趨勢二、體系結(jié)構(gòu)CIDF三、入侵檢測分析技術(shù)異常檢測誤用檢測$5.4蜜罐與蜜網(wǎng)基本概念關(guān)鍵技術(shù)分類蜜網(wǎng)知識擴(kuò)展：課下搜集云安全的進(jìn)展。全程PPT輔助