《通信網(wǎng)絡安全與防護》 教案 第五章 網(wǎng)絡防護技術

《通信網(wǎng)絡安全與防護》課程教案授課時間2021年4月6日周二3-4節(jié)課次8授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學章、節(jié)或主題）：第五章網(wǎng)絡防護技術（上）教學目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握防火墻的基本概念、優(yōu)缺點;（2）重點掌握防火墻的三種實現(xiàn)技術，熟悉防火墻安全規(guī)則的配置;（3）了解網(wǎng)絡安全隔離的基本概念，熟悉網(wǎng)閘的工作原理。教學重點及難點：重點：防火墻的實現(xiàn)技術；難點：防火墻規(guī)則的配置。課堂教學設計（含思政）：本次課教學中注重運用對比分析、實例講解的教學方法，對比分析防火墻與網(wǎng)絡隔離技術的異同，在防火墻規(guī)則設計時結合實例講解，教學中突出防火墻實現(xiàn)技術及規(guī)則配置這一教學重點。教學中注重技術與應用結合，介紹軍事網(wǎng)絡中的防火墻與網(wǎng)絡隔離系統(tǒng)裝備及應用。教學中注重與學員的教學互動，引導學員結合自己平時的認知對照學習。思政要素切入點：通過防火墻技術的發(fā)展，使學生認識到網(wǎng)絡攻防對抗的動態(tài)性，增強整體防護意識，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴謹細致的工作習慣，促進職業(yè)素養(yǎng)提高。教學基本內(nèi)容課堂教學設計回顧與引入：回顧第四章網(wǎng)絡攻擊技術的主要內(nèi)容，通過三個測試題檢驗學員對知識點掌握情況；對網(wǎng)絡防護的主要內(nèi)容進行介紹，并明確本節(jié)課教學目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）5.1防火墻技術5.1.1防火墻概述1．防火墻基本概念防火墻是在信任網(wǎng)絡與非信任網(wǎng)絡之間，通過預定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應用設備。2．防火墻的優(yōu)點采用防火墻保護內(nèi)部網(wǎng)絡有以下優(yōu)點：1）防火墻可以保護網(wǎng)絡中脆弱的服務2）防火墻允許網(wǎng)絡管理員定義中心“扼制點”抵抗非法訪問3）防火墻可以增強保密性，強化私有權4）采用NAT的防火墻可以節(jié)約地址資源5）防火墻可以方便的進行審計和告警3．防火墻的缺點雖然防火墻可以提高內(nèi)網(wǎng)的安全性，是網(wǎng)絡安全體系中極為重要的一環(huán)，但不能因為有了防火墻就可以高枕無憂。因為防火墻也有一些缺陷和不足，主要體現(xiàn)在以下幾點：1）防火墻無法防護內(nèi)部網(wǎng)用戶的攻擊2）防火墻無法防護病毒，也無法抵御數(shù)據(jù)驅(qū)動型的攻擊3）防火墻不能防范不通過它的攻擊4）防火墻不能防備新的網(wǎng)絡安全問題5.1.2防火墻的常用技術防火墻的主要技術包括包過濾、應用代理和狀態(tài)檢測技術。1．包過濾技術采用包過濾技術的防火墻稱為包過濾型防火墻，因為它工作在網(wǎng)絡層，又叫網(wǎng)絡級防火墻。包過濾防火墻可以通過檢查每個包的源IP地址、目的IP地址、運輸層端口等信息來決定是否允許此數(shù)據(jù)包通過。包過濾的工作過程如下。2．應用代理應用代理工作在網(wǎng)絡的應用層，其實質(zhì)是把內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間直接進行的業(yè)務由代理接管。應用代理防火墻能夠完全控制網(wǎng)絡信息的交換，控制會話過程，具有較高的安全性。其缺點主要表現(xiàn)在：1）軟件實現(xiàn)限制了處理速度，易于遭受拒絕服務攻擊；2）需要針對每一種網(wǎng)絡服務開發(fā)應用層代理，開發(fā)周期長，而且升級較困難。3．狀態(tài)檢測技術狀態(tài)檢測又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展。狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。狀態(tài)檢測技術檢查的項目除了傳統(tǒng)的包過濾技術檢查的IP地址與端口號以外，還需要檢查連接狀態(tài)與上下文信息。5.1.3防火墻的功能性能分析1．功能指標衡量防火墻的基本功能指標包括防火墻提供的接入方式、安全區(qū)劃分、訪問控制功能。支持不同接入方式防火墻提供的接入方式包括透明接入、路由或NAT接入及混合接入三種接入方式。2）安全區(qū)劃分3）訪問控制功能2．性能指標防火墻的性能指標：并發(fā)連接數(shù)、吞吐量、時延等。5.3安全隔離技術實際工作中，我們經(jīng)常會面臨在不同安全等級網(wǎng)絡間的數(shù)據(jù)交換需求，傳統(tǒng)的做法是采用“人工拷盤”，這種解決方案可以實現(xiàn)網(wǎng)絡的安全隔離，但數(shù)據(jù)交換通過人工來實現(xiàn)，工作效率低；且安全性完全依賴于人的因素，可靠性無法保證。1．安全隔離的基本概念安全隔離是指把兩個或兩個以上可路由的網(wǎng)絡（如TCP/IP）通過不可路由的協(xié)議進行數(shù)據(jù)交換而達到隔離目的。目前，在我國，網(wǎng)閘是一種廣泛使用的安全隔離產(chǎn)品。不同生產(chǎn)廠商，又稱之為安全隔離網(wǎng)閘、物理隔離網(wǎng)閘、安全隔離與信息交換系統(tǒng)等，這些產(chǎn)品都是為了在確保安全的前提下實現(xiàn)有限的數(shù)據(jù)交流。2．網(wǎng)閘的工作原理1）網(wǎng)閘的結構通常，網(wǎng)閘內(nèi)部采用“2+1”模塊結構設計，即包括外網(wǎng)主機模塊、內(nèi)網(wǎng)主機模塊和隔離交換模塊。2）網(wǎng)閘的工作過程3．網(wǎng)閘的應用場景不同的涉密網(wǎng)絡之間；同一涉密網(wǎng)絡的不同安全域之間；與Internet物理隔離的網(wǎng)絡與秘密級涉密網(wǎng)絡之間；未與涉密網(wǎng)絡連接的網(wǎng)絡與Internet之間內(nèi)容小結：防火墻的定義、功能與不足防火墻的主要技術防火墻的功能與性能；網(wǎng)閘的基本概念、結構、工作原理、應用場景。板書提綱：$5.1防火墻一、防火墻概述1．基本概念2．優(yōu)缺點二、防火墻的常用技術1．包過濾技術2．應用代理3．狀態(tài)檢測技術三、防火墻的功能性能1．功能指標：接入方式、安全區(qū)劃分、訪問控制2．性能指標：并發(fā)連接數(shù)、吞吐量、時延$5.3安全隔離技術1．基本概念2．網(wǎng)閘工作原理3．網(wǎng)閘應用場景知識擴展：了解指揮專的防火墻與安全隔離系統(tǒng)全程PPT輔助講解請學員談談所了解的網(wǎng)絡安全防護手段有哪些？引出教學內(nèi)容對照實例，講解防火墻規(guī)則的配置，強調(diào)防火墻規(guī)則是有順序的結合實例講解代理工程過程。問題：如何在不同安全等級的網(wǎng)絡間進行信息交換？如從學校辦公專網(wǎng)拷貝文件到校園網(wǎng)。作業(yè)、討論題、思考題：作業(yè)：5-2、5-7、5-8課堂教學后記：（課堂教學反思、課堂優(yōu)化設計構想等內(nèi)容，必須手寫）《通信網(wǎng)絡安全與防護》課程教案授課時間2021年4月8日周四1-2節(jié)課次9授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學章、節(jié)或主題）：第五章網(wǎng)絡防護技術（下）教學目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握入侵檢測系統(tǒng)的基本概念，熟悉入侵檢測系統(tǒng)的體系結構;（2）掌握入侵檢測系統(tǒng)的檢測方法;（3）掌握蜜罐與蜜網(wǎng)基本概念，熟悉蜜罐的分類，了解蜜罐的搭建方法。教學重點及難點：重點：入侵檢測系統(tǒng)的檢測分析方法；難點：木馬的傳播方法。課堂教學設計（含思政）：本次課教學中注重運用對比分析、實例講解的教學方法，對比分析入侵檢測系統(tǒng)與蜜罐技術在攻擊檢測技術及結果運用中的差別，加深學員對知識的理解；在講解入侵檢測規(guī)則時，采用實例講解，使抽象的問題直觀化。教學中注重技術與應用結合，介紹軍事網(wǎng)絡中的入侵檢測系統(tǒng)裝備及應用。教學中注重與學員的教學互動，引導學員結合自己平時的認知對照學習。思政要素切入點：通過對入侵檢測技術與蜜罐技術的講解，使學生認識到網(wǎng)絡攻防對抗的動態(tài)性，增強整體防護意識，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴謹細致的工作習慣，促進職業(yè)素養(yǎng)提高。教學基本內(nèi)容課堂教學設計回顧與引入：回顧上節(jié)課主要內(nèi)容，通過三個測試題檢驗學員對知識點掌握情況；對本次課的主要內(nèi)容進行介紹，并明確本次課教學目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）5.2入侵檢測系統(tǒng)一、入侵檢測系統(tǒng)基本概念入侵（Intrusion）：是指對任何企圖危及系統(tǒng)及資源的完整性、機密性和可用性的活動。入侵檢測（IntrusionDetection）即對入侵行為的發(fā)覺，是指通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡上可獲得的信息及計算機系統(tǒng)中關鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）：即進行入侵檢測的軟件或硬件的組合。1.入侵檢測的發(fā)展歷史和發(fā)展趨勢誕生、發(fā)展歷程、發(fā)展趨勢2.入侵檢測的類型1）基于主機的入侵檢測系統(tǒng)（Host-BasedIDS,簡稱HIDS）2）基于網(wǎng)絡的入侵檢測系統(tǒng)（Network-BasedIDS,簡稱NIDS）3）分布式入侵檢測系統(tǒng)（DistributedIDS,簡稱DIDS）二、入侵檢測系統(tǒng)的體系結構1．體系結構的演變過程2．通用入侵檢測框架3.現(xiàn)有IDS體系結構的局限性三、入侵檢測系統(tǒng)的檢測方法1．基于異常的檢測分析方法異常檢測是目前入侵檢測系統(tǒng)分析方法研究的重點，其特點是通過對系統(tǒng)異常行為的檢測，可以歸結出未知攻擊。異常檢測的關鍵問題在于正常使用模型的建立，以及如何通過正常使用模型對當前的系統(tǒng)行為進行比較，從而判斷出與正常模型的偏離程度。常用的異常檢測方法有：1）基于統(tǒng)計方法的異常檢測2）基于數(shù)據(jù)挖掘技術的異常檢測3）基于神經(jīng)網(wǎng)絡的異常檢測2．基于誤用的檢測分析方法誤用（Misuse）：指“可以用某種規(guī)則、方式、模型表示的入侵攻擊或其他安全相關行為”?；谡`用的入侵檢測（MisuseDetection）技術：通過某種方式預先定義入侵行為，然后監(jiān)視系統(tǒng)的運行，井根據(jù)所建立的這種入侵模式來檢測入侵，并從中找出符合預先定義規(guī)則的入侵行為。3.常用的誤用檢測技術1）模式匹配例如協(xié)議匹配、字符串匹配、長度匹配、累積匹配或增量匹配等；2）協(xié)議分析技術將協(xié)議分析與模式匹配相結合，可以獲得更高的效率和更精確的結果。5.4蜜罐與蜜網(wǎng)一、蜜罐的基本概念蜜罐（honeypot）是一種價值在于被探測、攻擊、破壞的系統(tǒng)，是一種網(wǎng)絡管理員可以監(jiān)視、觀察攻擊者行為的系統(tǒng)。引入蜜罐的目的：一是分散攻擊者的注意力；二是收集同攻擊和攻擊者有關的信息。二、蜜罐的關鍵技術1．網(wǎng)絡欺騙技術2．數(shù)據(jù)控制技術3．數(shù)據(jù)收集技術4．報警技術5．入侵行為重定向技術三、蜜罐的分類1．從應用層面分為產(chǎn)品型蜜罐和研究型蜜罐兩種。2．按交互等級分為低交互、中交互、高交互三種蜜罐。蜜罐主機的一個重要特性就是其交互等級。交互等級：是指攻擊者可以同蜜罐主機所在的操作系統(tǒng)的交互程度。四、蜜網(wǎng)蜜網(wǎng)（Honeynet）是一個網(wǎng)絡系統(tǒng)，而并非某臺單一的主機，這一網(wǎng)絡系統(tǒng)是隱藏在防火墻后面的，所有進出的數(shù)據(jù)都受到關注、捕獲及控制。這些被捕獲的數(shù)據(jù)可供我們研究分析入侵者們使用的工具、方法及動機。蜜罐與蜜網(wǎng)的實現(xiàn)方法：利用Snort軟件安裝利用HoneyD軟件安裝2021兩會期間，知道創(chuàng)宇提供免費試用“云蜜罐”服務，云安全已經(jīng)成為新的發(fā)展方向。內(nèi)容小結：IDS基本概念、發(fā)展歷程、發(fā)展趨勢、體系結構；HIDS、NIDS、DIDS；IDS的體系結構；誤用檢測、異常檢測；蜜罐的價值、蜜罐的關鍵技術、蜜罐的分類；板書提綱：$5.2入侵檢測系統(tǒng)一、基本概念分類：HIDS、NIDS、DIDS發(fā)展歷程發(fā)展趨勢二、體系結構CIDF三、入侵檢測分析技術異常檢測誤用檢測$5.4蜜罐與蜜網(wǎng)基本概念關鍵技術分類蜜網(wǎng)知識擴展：課下搜集云安全的進展。全程PPT輔助