网络攻防实验室解决方案白皮书_V1.0

锐捷网络 攻防 实验室 解决方案 建议书 福建星网锐捷网络有限公司 2009 年 9 月 目 录 第一章 网络安全技术人才需求概述 .4 第二章 网络安全技术人才培养的教学分析 .5 2.1培养网络安全技术人才的目标 . 5 2.2网络安全人才培养专业设计 . 5 2.2.1高校信息安全专业 .5 2.2.2高校网络安全专业 .6 2.3.3高校网络工程专业 .6 2.3 网络攻防实验室 建设的应用需求 . 7 2.3.1 提供真实的网络安全实验教学环境 .7 2.3.2 满足不同层次实验的需要 .7 2.3.3提供实验室配套的实验教学系统 .8 2.3.4有效地对实验教学进行管理 .8 2.3.5解决学生将来就业的通用性问题 .8 2.3.6完备和成熟的整体解决方案 .8 第三章 建设 网络攻防实验室 的特点和原则 . 10 3.1 建设 网络攻防实验室 的特点 . 10 3.2 建设 网络攻防实验室 的原则 . 11 第四章 网络攻防实验室 建设方案 . 13 4.1网络攻防实验室 构建方案 . 13 4.1.1网络攻防实验室 拓朴图 . 13 4.1.2 每组实验台介绍 . 14 4.1.3实验室的布局 . 15 4.1.4安全实验室服务器设计 . 15 4.2网络攻防实验室 课程 设计 . 16 4.2.1网络安全实验教学计划 . 18 4.2.2推荐教材 . 21 第五章 锐捷 网络攻防实验室 解决方案的特点 . 23 5.1专注于实验教学 . 23 5.1.1实验内容完全满足高等院校的教学需要 . 23 5.1.2配有内容丰富的实验指导手册 . 23 5.1.3提供来自实际案例的综合性实验 . 23 5.2 专业的教学服务 . 24 5.2.1成为锐捷网络学院 . 24 5.2.2学生有机会全面接触前沿的网络安全技术 . 24 5.2.3师资培训 . 24 5.2.4可获得共享的教学资料 . 24 5.2.5为各锐捷网络学院提供技术交流平台 . 24 5.2.6建立双向人才信息库 . 25 第六章 锐捷网络实验室荣誉客户名单 . 26 附录 网络安全实验样例 . 31 实验 防火墙安全 NAT . 31 实验 防火墙实现抗攻击 . 33 实验 ACCESS VPN通信实验 . 35 实验 INTRANET VPN 通信实验数字证书认证方式 . 37 实验 RG-IDS 与 RG-WALL防火墙联动实验 . 39 实验 IIS服务漏洞攻击检测实验 . 41 实验 使用 ROUTER构建 GRE OVER IPSEC VPN . 43 实验 使用 UTM防止病毒攻击 . 45 实验 整网安全综合实验 . 47 第一章 网络安全技术人才需求概述 网络信息技术的飞速发展 ， 通过网络进行 信息资源的交流已经成为人类最频繁和最重要的 交流方式 ， 网络使用人数的增长速度超出人们的想象，人们在享受数字化时代所带来的便捷的同时，却越来越担心自身系统或信息的稳定和 安全 ， 如何保护 网络中 信息 的 安全成为 网络 安全学科最热点 的课 题 ， 目前我国的网络安全及技术方面正出于起步阶段， 网络及信息安全产业发展滞后，网络安全科研和教育严重滞后， 关键是网络安全人才的匮乏 ，而 市场对网络安全的巨大需求使得社会对网络信息安全人才的需求在今后几年内将超过100 万人 ，而国内只有少部分理工类高校建立了“网络安全”、“信息安全”等专业，网络安全人才的需求容量是无庸置疑的，就目前来看，网络信息安全已经形成一个产业，网络信息安全技术人才必将成为未来最热门的抢手人才。 要培养符合社会需求的网络安全技术人才，就需要提供一个基于网络安全实践教学的网络攻防实验室 ，并在这个 实验室的基础之上，提供合适的网络安全教材、提供完善丰富的网络安全教学内容， 提供培养符合社会需求的网络安全技术人才所需的完善的课程体系。 锐捷 网络攻防实验室 是 专门面向开设网络安全、信息安全、网络工程、网络应用技术等专业提出的业界领先的第一份专门针对网络 安全 实验教学的一揽子 实验 室解决方案。 是基于学校的教学计划及课程设置 需求而设计的，是为各 高校 高校定制的。并且锐捷网络提出的 网络攻防实验室 建设方案也是独特的，它具有专注于实践型实验教学、高效和便捷安全、先进的教学管理平台等无可比拟的优势。 锐捷网络 各类专业 实验室解决 方案已经成功应用于全国的 900 多所学校， 行业市场占有率第一，应用效果明显。 第 二 章 网络安全技术人才培养 的 教学分析 2.1 培养网络 安全 技术人才的目标 在国家教育部门的宏观指导下，我国部分高校已经设置了本专科起点的网络安全、信息安全专业，在一些重点的高校如：武汉大学、北京邮电大学、西安电子科技大学等设置了密码学和信息安全的博士点，我国的网络安全学科的人才培养已经拉开了序幕，但是与发达国家相比，我国高校的安全方向培养学生规模、学科建设、实验室建设、实践教学等方面还存在着很大的差距，理论多于实践的现象在各高校已 是相当普遍，远远不能满足信息化进程对应用型人才的迫切需求。 由于信息系统本身的脆弱性和不断出现的复杂性，信息安全、网络安全的问题也日趋严重，掌握网络安全技术及发展势在必行。 通过分层次的网络安全中的诸如 加密技术、防火墙技术、 VPN 技术 、无线接入安全 和入侵检测技术，通过一个 个 具体的网络 实验 案例来论述每一种安全技术在大型网络的应用和实施，让学员在掌握每一种技术的基础上了解网络安全的整体架构和综合使用。 通过这部分实验环节课程的学习，不仅能全面提高学生的实际动手能力，而且还能让学员切实了解自己所掌握的实际操作技能以 及何时、何处、何种环境能够应用这些技能，真正做到学以致用。 2.2 网络 安全 人才培养专业设计 很多 高校 高校都有 信息安全 专业 。在 信息安全 的专业课里，都有 密码学 、 网络安全原理 、信息系统安全原理 这样的 课程，讲的是 理论 ，主要是 概念性的知识。在这些课程 上，很少有动手实验的机会，基本没有 真实环境进行搭建和验证的 实验。 学生学完了课程只是会说，知道基本的原理，但没有见过真实的环境，到了实际的应用环境就不知如何动手了。 还有些学校开设了 网络安全专业、 网络工程专业、 网络系统管理专业 。 这其中与网络 安全 相关的专业课程就很丰富了。在这 样的一些专业课上，要求给学生提供相应的动手实验机会 ，加强理论与实践的结合 。 2.2.1 高校 信息安全专业 培养目标： 具有 进行信息系统安全设计、 管理的 维护的 高级技术人才。本专业培养能系统地掌握计算机科学与技术， 不仅具备 计算机 系统 软 硬件 件与应用 、密码学、 信息系统安全监控、保密性及完整性、预警防护检测反应 的基本理论 基础 ， 更要 具有 网络操作系统 、 数据库、网络设备、网络管理等实际应用开发技能。 通过系统学习培训，使学生掌握 行业应用的系统管理安全防卫体系 ，能熟练地管理网络信息流，掌握计算机 系统 病毒防护 等技能 。 主要课程 ： 计算 机组成原理、计算机接口技术、数据结构与算法、编译原理、安全操作系统原理、程序设计基础、数据库系统原理、通信原理、计算机网络、无线通信与网络、数学分析、高等代数、信息论基础、密码学原理与技术、密码算法硬件实现、网络安全理论与技术、信息隐藏技术、计算机病毒原理与技术、 PKI 原理与技术、入侵检测技术、网络编码原理与技术、信息对抗技术、网格计算概论 网络 安全 方面实验： 网络安全方面的全系列实验，物理层实验，网络系统层、应用层及用户层、数据层的全系列教学实验。希望能对学生进行信息 网络 安全 认证 资格 考试 CISP，可以得到 社 会的认可。 2.2.2 高校 网络 安全 专业 培养目标： 具有全面的 网络 安全专业知识，使得学生有较宽的知识面和进一步发展的基本能力；加强学科所要求的基本修养，为学生今后的发展、创新打下良好的基础；使学生具有较强的应用能力，具有应用已掌握的基本知识解决实际应用问题的能力，不断增强系统的应用、开发以及不断获取新知识的能力。努力使学生既有扎实的理论基础，又有较强的应用能力；既可以承担实际系统的开发，又可进行科学研究。 主要课程 ： 计算机组成原理、微机原理及接口技术、操作系统 及服务器应用技术 、数据库 技术 、计算机网络 原理 件工程 、 通信原理、密码学 、 网络安全技术 、 数字鉴别及认证系统 、防火墙技术 、 网络安全检测与防范技术 、 网络安全协议与标准 、 计算机网络安全管理 等 课程。 网络方面实验 ：交换机、路由器 、防火墙、 IDS、 VPN、各类应用服务器、认证服务器等基本配置实验，以及网管软件 、协议分析软件、抓包软件分析 的实验。 2.3.3 高校 网络工程专业 培养目标 :本专业培养适应社会主义现代化建设需要，德、智、体全面发展，能够系统地、深入地掌握信息网络工程领域的基本理论方法和技能，能从事信息网络的设计、开发和应用等方面工作的人才。 系统掌握网络工程专业知 识，能够从事网络工程规划设计、组建、管理和维护；从事网络工程应用系统设计、开发、管理和维护；从事网络工程基础理论研究、分析的专业技术人才。 能进行计算机网络系统及其应用软件系统的规划、设计、实施、维护的复合型技术人才。 毕业后从事网络的设计、开发、维护及研究工作。 培养要求 :掌握有关计算机网络原理、网络互联技术、协议工程、网络管理、信息安全、多媒体通信以及信息管理与信息系统等方面的原理和技术；具有对信息网络 安全 进行实际操作和维护的能力 。 主干学科与主要课程： 计算机网络原理、协议工程、网络互联技术、信息安全、 分布式系统、多媒体系统及应用、数据仓库与数据挖掘、 TCP/IP 与 Internet、网络应用编程技术、宽带综合业务数字网基础 、 数据通信系统、计算机网络原理、网络操作系统、网络规划与设计、计算机网络管理、局域网技术与组网工程、互联网技术及其应用、网络安全技术、信息网络新技术 等 。 主要实践教学： 认识实习、上机操作、数学实验、数学建模、课程实验、毕业设计。 2.3 网络攻防实验室 建设的应用需求 2.3.1 提供真实的网络 安全 实验教学环境 社会或企事业单位用人的标准是需要具有动手能力的网络 安全 技术人才 。 这和学校的人才 培养模式、培养目标等方面与存在着差距。现在很多学校更多的是注重理论的教学，现在，很多 政府机关、电信及金融行业 更需要的是具有动手能力的网络 安全 技术人才。对于学校来说，学生动手能力的培养，在很大程度上取决于学校的 安全 实验环境和 实践课程设置 。 那对于我们信息安全 专业或网络 安全方向的教学，如何来做到这一点？这就要求提供真实的 实验环境 及专业的课程设置 。 2.3.2 满足不同 技术类型 实验的需要 对于很多高等院校来说，建 网络攻防实验室 需要它能满足做不同 技术 类别的实验。这就要求在这个实验室内同时完成不同层次人才的培养需要。涵 盖 网络 协议 、操作系统、网络攻击与防御、网络 病毒、网络后门与隐身、网络扫描与监听、防火墙与入侵检测、 认证和授权、日志与审计、网络安全方案设计 、网络管理 等等。 2.3.3 提供实验室配套的实验教学系统 网络攻防实验室 建成了，如何能迅速的将这个实验室应用到教学中去，这就要求合作伙伴或厂家在提供解决方案的时候，能一并考虑相关的教学支持系统，即厂家不仅仅是把设备卖给学校，还要解决相关的教材，师资等问题。必不可少的 详实丰富的实验内容、系统的实践型实验教材、完善的师资培训三个方面 与实验室的硬件配套教学系统。 2.3.4 有效 地对实验教学进行管理 传统的网络实验室的做法是会使得网络实验的过程演变成了插拔线的过程。传统做法的三个问题：一、学生的宝贵实验时间大半浪费在插拔线上，而不是用在真正的试验内容上，学习效果差；二、一个班级 40 个学生左右，同时插拔线，可以想见那个场面有多混乱，老师的精力浪费在维持秩序上，无法集中精力辅导学生做实验，教学效果差；三、不断地插拔线，设备的端口容易损坏。一般一个端口的标准插拔次数是 500 次，而一次课可能就要插拔十多次。这就要求新型的网络实验室如具备有访问控制和管理服务器 、教学管理软件系统、远程实验室管 理和预约系统等 这样的系统，所有实验从这个系统的 Web 界面通过鼠标双击网络实验台 、 相关组成设备名称的方式，进入相应设备，就可以进入该台设备进行实验，而不需要插拔线，进行真正的逻辑连接和网络构建、调试实验。同时还具备快速处理每班次实验课的配置恢复工作，从而保证教学课时的安排，做到实验室的管理便捷。 2.3.5 解决学生将来就业的通用性问题 培训出来的学生不光能够会 配置 实验室中的 网络 设备，主要是能够调试和配置业界主流的网络设备，这样学生的就业面就不会太窄。要做到学会了业界主流的设备调试，绝大部分主流设备的调试都不是 问题，不受单一厂家的限制。 2.3.6 完备和成熟的整体解决方案 这就要求目前要在全国各类高等院校得到广泛的应用，在业界是领导的地位。是 投入了大量人力物力专注与教育行业， 经得起实践考验的，成熟的方案。所提供的 实验内容、系统的实践型实验教材、完善的师资培训都经过应用验证的，并真正能提高学校教学效果和学生就业能力的。 各学校投入 网络攻防实验室 建设的经费有限，因此网络实验室设计方案具有良好的性能价格比，经济实用，适用范围广，技术符合网络 安全 教学的特点。通过精心分析网络 安全教学实验的课时量，要合理安排网络教学实验和网 络培训实验环节，完全能够避免对教学体系的影响。同时可与各学院在校内合作开办的网络 安全 技术教育中心。满足教学、科研需求，并在此基础上，可进行网络 安全 技术职业认证培训 。 第 三 章 建设 网络攻防实验室 的特点和原则 3.1 建设 网络攻防实验室 的特点 网络安全领域已经成 为一个综合、交叉的学科领域， 网络安全涉及到网络通信、信息系统、数据等各个层面， 它需要综合利用计算机 技术 、 网络 通信、 电子电路技术、数学、物理等诸多学科的长期知识积累和最新研究成果，网络 安全也是一个复杂的系统工程，它涉及到信息基础建设、网络与系统的构造、信 息系统与业务应用系统的开发、信息安全的法律法规、安全管理体系等 。 因此网络安全是网络通信应用领域安全防护问题的一门新兴的应用学科。 该学科交叉性 多、边缘性强、应用 面宽，是一个庞大的学科群体系。 在实际的网络安全部署中，网络安全不是一个产品，也不是一个结果，而是一个过程，它是汇集了硬件、软件、网络、人与人之间相互关系和接口系统，因此，在建设 网络攻防实验室 的过程中需要考虑安全的连续过程，以及网络安全中相互匹配链条中每一个因素。网络攻防实验室 的课程类型将根据网络安全的过程进行设置：网络安全分析阶段、网络安全保护阶段、 网络安全检测阶段、网络安全管理阶段、网络安全恢复阶段。 主要 课程 领域将 涉及 ： 网络物理安全、计算机软件安全、操作系统安全、安全协议理论和技术、数据库系统安全、入侵检测技术、漏洞扫描技术、防火墙技术、授权和认证、加密与数字签名、数据分析、行为监控 等 方面， 整个安全过程 相互间协同工作形成 一整套实验课程 。 锐捷 网络攻防实验室 以构建安全的网络为主线，以信息安全、应用安全、用户安全和系统安全为支撑，从评估网络安全、制定网络安全策略、设计网络安全体系结构、部署安全应用技术，架构全面的安全层次体系结构。让学员在实验室实际的网络 环境里将理论与实践相结合，提高学习效率。 网络攻防实验室 主要用来开展网络安全实验的， 网络攻防实验室 的总体设计应当满足各方面网络实验的需求，因此完备性是网络实验室建设的基本目标。据此我们把计算机网络实验室的建设目标分为以下五个层次： 第一个层次 是物理网络安全层。在网络物理安全实验室中可以做的网络物理安全实验是：物理链路安全、体系架构安全实验、防火墙物理部署实验、安全网关部署、硬件入侵检测部署、 VPN 部署等实验。网络物理安全实验的内容根据实际的研究需要来定，网络线路的复杂性需要尽可能模拟宽带数据城域网及大型园区 网的组网方式和业务，能够根据网络架构的链路、体系结构来进行实验，完成桌面、接入、汇聚、核心、出口、应用等整个网络部署安全实验。 第二个层次 是网络系统安全层。在网络系统安全层包括了网络操作系统安全、软件安全、数据库安全、协议分析、行为及模式匹配、安全评估、风险评估等实验内容，通过一系列操作系统、软件、协议分析器、数据库应用系统等应用环境进行组网，模拟真实的网络系统数据模型，开展一系列的验证、测试等技能型的系统级安全实验。 第三个层次 是网络应用安全层。网络应用安全实验包含了：防火墙技术实验、攻防实验、病毒防护实 验、入侵检测技术实验、漏洞扫描、流量监控、 VPN 技术实验、安全审计实验、应用服务区域防护实验等。通过一系列的网络安全应用技术实验完成网络应用安全领域最核心的课程。 第四个层次 是网络管理安全层。网络中的用户经常变化，并且难以进行管理，因此用户安全变得尤其重要，同时网络的管理包含了故障管理、设备管理、性能管理等等重要内容，因此对网络的管理本身的安全性要求就会更高，常用的网络管理安全实验包含了：身份认证技术、对用户 /组的管理、访问控制授权、网络状态、性能监控等管理实验，同时也具备了管理过程授权及加密等实验。 第五 个层次 是网络数据安全层。数据安全是一个非常重要的学科，数据是整个安全层次保护的核心，因此在整个网络安全层次中出于最高层，数据安全的实验内容包含了：密码技术、身份鉴别、数字签名、 PKI 技术、 IPSAN 设计、远程灾难备份等。 通过以上五个层次，最终建成一个高水平的 网络攻防实验室 ，在其实验平台上运行多种实验系统。使实验中心成为满足不同层次教学需要的 IT 专业网络安全实验基地和人才培养基地。 3.2 建设 网络攻防实验室 的原则 网络安全实验的建设为培养政府机关、国家安全部门、银行、金融、通信、能源等各行业从事网络信息系 统安全方面的研究、设计、开发和管理维护等工作的人才，为达到网络攻防实验室 建设的目标，综合考虑近几年网络安全技术的发展，在实验室设计构建中，应始终坚持以下原则： 第一，高可靠性。网络实验系统的稳定可靠是应用系统正常运行的前提保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。使得网络在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。 第二，标准性及开放性。通讯协议和接口符合国际标准。支持国际上通用标准的网络协议（如 TCP/IP）、 国际标准的开放协议，有利于保证与其他网络在之间的平滑连接互通。方便接入不同厂商的设备和网络产品。在网络中，即使有多个网络和多应用并存，采用统一的标准，也能使这些网络能融合到一起，实现业务整合及数据集中。 第三，灵活性及可扩展性。根据未来业务的增长和变化，网络可以平滑的扩充和升级，最大程度的减少对网络架构和现有设备的调整。易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。 第四，先进性。学校作为最前沿学科和技术研究场所，要求网络实验室要配备最 先进的网络设备，能够开展最新技术的科研，教学和实践活动，对网络实验室的设备，网络方案的技术先进性要求非常高。同时还应跟踪当前计算机网络和通信技术的最新发展，能够开设一些高水平的网络和通信实验。 第五，可管理性。对网络实行集中监测，分权管理，并统一分配宽带资源。选用先进的网络管理平台，具有对设备、软件、接口等的管理，流量统计分析，及可提供故障自动报警。整个实验室平台可以进行远程控制。 第六，安全性。制订统一的安全策略，整体考虑实验平台的安全性。可以通过各业务子网隔离，统一规划，根据不同的业务划分子网。具有保证 系统安全，防止系统被人为破坏的能力。支持 AAA 功能、 ACL、 IPSEC、 NAT、路由验证、 CHAP、 PAP、 CA、 MD5、 DES、 3DES、日志等安全功能。 第七，综合性和统一性。要求在一个网络实验室内完成上面提到的众多网络实验，并且最好是由一个厂家的设备来组建。 为了保证 网络攻防实验室 的规划和建设的质量，根据上述建设 网络攻防实验室 的目标和原则，只能在有实力的网络设备生产厂商中选择合作伙伴。 第四 章 网络攻防实验室 建设方案 4.1 网络攻防实验室 构建方案 4.1.1 网络攻防实验室 拓朴图 网络 安全 技术是一门实 践性很强的 学科 ，学生除了需要学习大量的网络 技术 知识 、系统安全、数据安全知识 之外同时也需要 做大量的 实验。随着需要进行网络 安全实验的学生数量越来越多，安全 实验的需求量也越来越大，如何有效管理网 安全 络实验室，如何方便的进行灵活的网络 安全 实验组合，如何组织配套的相关实验资料，成为了建设 网络攻防实验室 的重要问题。 针对网络实验室的现状， 锐捷网络 安全 实验基本单元的实验室设计理念。 锐捷 网络攻防实验室 解决方案把实验室分为 6 个区域，连接区、教师区、学生区、 教学服务 区 、实验教学区和出口 区 。 校园网出口区连接区教师区学生区实验教学区教学服务器区RG-LIMP实验室管理平台RG-SMS安全实验室管理系统 防火墙路由器交换机RG-SAP网络攻防平台VPN网关防火墙路由器交换机VPN网关RG-SAP网络攻防平台核心交换机入侵检测设备入侵检测设备USG路由器学校可以根据实际需要选择实验台 的数量 。 推荐学校 安全实验室按照 30 人左右进行设计，设置 8组，每组 4 位同学。 整个实验环境都是模拟当前最新的网络 安全 技术应用环境设计，不但能满足目前 网络攻防实验室 需要，而且可以后期进行平滑升级，通过添加部分网络设备和 模块来组建更为复杂的 网络攻防实验室 环境 ，为学生提供更多的实验内容，实现更复杂的网络实验。 4.1.2 每组实验台 介绍 锐捷 网络攻防实验室 方案中实验用的网络设备都由 标准 实验台这一网络实验基本单元组成。 安全 实验台实验环境说明：配置 一 台 三层交换机， 作为每个小组的 三层网关 设备 ，同时可以开展 DHCP Snooping、端口保护、 PVLAN 等试验 ；配置 两 台 模块化路由器，作为每个小组的出口路由及访问控制实验环境， 两台之间做路由器的 GRE、 IPsec、 GREoIPsec VPN 用，也可以 用来在综合案例中模拟 Internet。 配置 两 台防火墙，作为每个小组的 攻防两个园区网中的 防火墙出口安全设备；配置 两 台 IDS，可以完成入侵检测实验环境；配置两台 VPN 网关，可以完成 VPN 实验；配置一台 统一威胁网关 可以完成病毒防护实验；配置一台网络存储设备可以完成灾难备份等数据安全实 验；配置一台 网络攻防教学平台，与真实网络安全设备配合可以完成实际网络攻击及防御 等实验。 每组学生可以利用学生区的学生机来对教学服务区的服务器进行 用于攻击、防御、病毒等行为目标测试。 采用 12 台设备组成一个 标准 实验台 。因为这样就可以在一个 标准 实验台 内完成几乎所有的 网络安全 实验内容， 可以满足目前 高等院校的教学需要 ，实验设备的数量可以根据学生数目和开设的安全课程内容进行适当调整 。 锐捷 网络攻防实验室 设备每组 需要的实验 设备清单： 序号 设备名称 设备型号 数量 备注 1 二层交换机 RG-S2126G 1 2 三层交换机 RG-S3760-24 1 3 路由器 RSR20-04 2 4 防火墙 RG-WALL60 2 5 入侵检测设备 RG-IDS100 2 6 VPN 设备 RG-WALL V50 2 7 网络存储设备 RG-IS-LAB 1 8 统一威胁管理 网关 RG-USG 1 9 网络攻防教学平台 RG-SAP 1 锐捷 网络攻防实验室 公共部分 需要的实验设备清单： 序号 设备名称 设备型号 数量 备注 1 智能管理型无线接入点（瘦 AP） MP-71 1 2 MP-372 1 3 RG-WG54U 2 4 RMTS 1 5 MXR-2 1 6 自治型无线接入点（胖 AP） RG-P-720 1 7 综合管理平台 RG-LIMP2.1 1 8 网络 攻防管理平台 RG-SMS 1 9 网络协议安全分析 RG-PATS-SW 1 实验室教学服务区教学实验服务器及软件建议清单： 序号 设备名称 数量 备注 1 实验教学管理服务器 1 安装 LIMP 2 网络攻防教学 服务器 1 安装 RG-SMS 3 网络协议安全分析服务器 1 安装 RG-PATS-SW 4.1.3 实验室的布局 每个实验台可供 4 人同时实验，每个实验小组都能在一个实验台上单独完成全部实验内容。一般由 8个实验台可以构成一个实验室，供 30 人左右实验。 4.1.4 安全 实验室服务器设计 建议采用三种操作系统的服务器，来完成 网络安全 的应用需求，以及实验需求 ，密码服务器、 病毒服务器、 攻防服务器、 PKI/安全审计服务器 等， 建议采用专用服务器 。 需要安装 NT/LINUX/UNIX/VISTA 等操作系统、数据库 MYSQL、各种服务器组件、路由、 FTP、 WEB、视频服务器、 FTP 服务、 SSH、电子 邮件、新闻服务器、 DHCP 服务、 DNS 服务、计费系统、SNIFFER 等软件。 4.2 网络攻防实验室 课程设计 由于计算机网络组网的复杂性及网络协议的多样性，要求所建的 网络攻防实验室 尽可能多的实现这些环境实验。同时基于实际网络结构及应用的复杂性、多样性， 网络攻防实验室应具备能包含尽可能多实际应用环境的模拟。要求 网络攻防实验室 能满足高等院校教学和提供各个层次水平的 教学 ，从而对每类学校均要分别考虑实验室建设的情况。 锐捷网络安全实验课程 结合安全人才培养特点，制定了从基础到应用的课程体系， 采用经典应用案例教学的方式， 通过实际的拓扑来构造实际应用。如图： 攻方守方攻击目标网络攻防课程攻方守方攻击目标网络攻防课程安全技术课程安全技术课程行业案例课程数据服务 机密信息关键业务合法用户身份验证通过，允许接入非法用户身份验证失败，禁止放行行业案例课程数据服务 机密信息关键业务合法用户身份验证通过，允许接入非法用户身份验证失败，禁止放行（一） 基础安全技术 实验课程 （二） 网络攻防 实验 课程 （ 三 ） 综合案例实验课程 4.2.1 网络 安全 实验 课程规划 序号 实验名称 建议课时 1 课时 =1小时 掌握技能 面向对象 难度指数 1 STP安全设置 1 掌握交换机安全技术 中职、高职 、本科 低 2 MAC地址过滤 1 中职、高职、本科 低 3 端口保护 0.5 中职、高职、本科 低 4 端口阻塞 0.5 中职、高职、本科 低 5 广播风暴控制 0.5 中职、高职、本科 低 6 系统保护 0.5 中职、高职、本科 低 7 端口安全 0.5 中职、高职、本科 低 8 配置 ARP检查（ ARP欺骗） 1 中职、高职、本科 低 9 配置 DHCP Snooping 1 中职、高职、本科 低 10 配置 DAI（ ARP欺骗） 1 中职、高职、本科 低 11 防火墙 的初始配置 0.3 掌握防火墙基本配置与应用案例 中职、高职、本科 低 12 安全策略的设置 0.5 中职、高职、本科 中 13 安全 NAT的配置 0.5 中职、高职、本科 中 14 客户端认证的配置 1 中职、高职、本科 中 15 防火墙防 DoS攻击的设置 1 中职、高职、本科 中 16 地址绑定 0.5 高职、本科 中 17 连接速率限制 0.5 高职、本科 中 18 配置 URL过滤 0.5 高职、本科 中 19 服务保护 0.5 高职、本科 中 20 P2P限制 0.5 高职、本科 中 21 链路负载（策略路由） 1 高职、本科 高 22 实现无线用户的二层隔离 1 无线安全技术 中职、高职、本科 简单 23 使用 MAC 认证实现接入控制 1 中职、高职、本科 中等 24 配置无线网络中的 WEP加密 1 中职、高职、本科 中等 25 配置 MAC 地址过滤（自治型 AP) 0.5 中职、高职、本科 中等 26 配置 SSID 隐藏（自治型 AP） 0.5 中职、高职、本科 简单 27 配置 WEP 加密（自治型 AP） 1 中职、高职、本科 中等 28 使用 Web 认证实现接入控制 1 中职、高职、本科 困难 29 使用 802.1x 增强接入安全性 1.5 中职、高职、本科 困难 30 配置无线网络中的 WPA加密 1 中职、高职、本科 中等 31 非法 AP和 Client的发现与定位 1 中职、高职、本科 中等 32 磁盘基本操作实验 1 数据安全技术 中职、高职、本科 低 34 RAID 0 实验 0.5 中职、高职、本科 中 35 RAID 1 实验 0.5 中职、高职、本科 中 36 RAID 5 实验 0.5 高职、本科 中 37 NAS文件共享 1 中职、高职、本科 中 38 数据恢复实验（ snapshot） 1 高职、本科 中 39 使用 NFS协议实现跨平台共享 2.5 高职、本科 中 40 初始化配置实验 0.5 USG管理和统一安全网关技术 中职、高职、本科 中 41 权限管理配置实验 0.5 中职、高职、本科 中 42 本地用户认证实验 0.5 中职、高职、本科 中 43 时间对象管理实验 0.5 中职、高职、本科 中 44 会话对象管理实验 0.5 中职、高职、本科 中 45 安全策 略配置实验 0.5 中职、高职、本科 中 46 邮件病毒防御实验 1 中职、高职、本科 中 47 文件病毒防御实验 1 中职、高职、本科 中 48 流量监控实验配置 1 中职、高职、本科 中 49 入侵攻击防御实验 1 高职、本科 中 50 DDOS攻击防御实验 1 高职、本科 高 51 SSL VPN 应用实验 1.5 高职、本科 高 52 双机热备实验 1.5 高职、本科 高 53 服务对象管理实验 1 高职、本科 高 54 WEB管理实验 1 高职、本科 高 55 IM软件管理实验 1 高职、本科 高 56 与 IDS联动实验 1.5 高职、本科 高 57 使用 Router构建 GRE VP