课程整体情境案例介绍及引导说明书

1、国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施课程资源子库学习情境导入整体情境案例介绍及引导目 录整体情境案例介绍及引导31.案例引入31.1 模拟互联网络（W网络）41.2 A公司北京总部（X网络）41.3 A公司上海分公司（Y网络）41.4 A公司长春办事处（Z网络）52.案例分析及规划52.1 模拟互联网W网络中设备及标识列表52.2 A公司内部网络X网络中设备及标识列表62.3 A公司上海分公司内部网络Y网络中设备及标识列表62.4 模拟互联网Z网络中设备及标识列表63.案例中网络设备的基本配置63.1 W网络中设备的基本配置7路由器的基本配置7路由器的基本配置9路由器

2、的基本配置9路由器的基本配置9路由器的基本配置10路由器的基本配置10三台服务器：W_CA、W_WWW、W_DNS10公司的出差员工：W_XYZ103.2 X网络中设备的基本配置11路由器的基本配置11防火墙的基本配置11交换机的基本配置12交换机的基本配置12交换机的基本配置13交换机的基本配置14交换机的基本配置14交换机的基本配置15交换机的基本配置15交换机的基本配置16网络中的主机与服务器163.3 Y网络中设备的基本配置16路由器的基本配置16防火墙的基本配置17交换机的基本配置17交换机的基本配置18交换机的基本配置18、Y_AP功能与配置183.4 Z网络中设备的基本配置19路

3、由器的基本配置（Z_SVR服务器不在PT中配置）19交换机的基本配置19功能与配置194.针对案例的网络安全风险分析与防护措施规划194.1 网络协议及流量分析技术是安全防护实施的技术基础与核心19任务1：利用Packet Tracer分析协议工作过程20任务2：基于Sniffer Pro进行协议、模拟攻击分析20任务3：利用深信服流量控制设备分析与定位网络故障21拓展任务：拓展训练任务2个214.2 保护数据传输的机密性、完整性与真实性，防止息泄漏21任务1：利用PGP实施非对称加密22任务2：利用数字证书保护通信22任务3：利用隧道技术连接企业与分支22任务4：基于Windows实现VPN

4、连接22任务5：基于路由器实现分支与总部VPN连接22任务6：基于INODE实现出差员工通过VPN访问总部22任务7：对无线连接进行认证与数据加密保护22拓展任务：拓展训练任务2个234.3 对网络访问行为进行控制，保护内网安全23任务1：基于路由器配置基本防护功能（PT+IOS）23任务2：软件防火墙配置保护主机与内部网络RouterOS+LINUX+ISA24任务3：基于思科路由器的IOS防火墙防护功能配置（IOS FW）24任务4：基于天融信硬件防火墙对网络进行防护24任务5：基于深信服设备进行网络行为控制24拓展任务：拓展训练任务2个244.4 对入侵进行检测、审计与防护24任务1：基

5、于Snort入侵检测功能配置25任务2：基于思科路由器的IOS入侵检测功能配置（IOS IDS/IPS）25任务3：基于深信服实施网络审计25拓展任务：拓展训练任务2个254.5 网络及主机渗透攻击测试与加固防护26任务1：网络及主机渗透攻击测试26任务2：网络及主机加固防护27拓展任务：拓展训练任务2个274.6 保护网络安全可靠运行的综合技术27任务1：数据备份与恢复28任务2：磁盘冗余配置与实现28任务3：服务器冗余配置与实现28任务4：网络冗余配置与实现28任务5：AAA实现认证、授权与审计配置与实现28任务6：基于SNMP协议实现网络管理28拓展任务：拓展训练任务2个285.本课程及

6、教材情境及任务列表28整体情境案例介绍及引导随着信息技术的发展，信息技术的应用已经普及到人类的生活、生产等诸多方面。掌握有效信息已经成为各行业内外间竞争的成败的关键。因此信息是有价值的，是有保护意义的。网络安全与防护课程及教材主要讲授保护计算机网络如何高效、安全运行的相关知识与技能。1. 案例引入本课程及教材将基于一个真实的大中型企业网络及其异地互联分公司和办事处的案例为背景，来引入网络安全与防护的相关知识。网络结构图如图1所示，共分为4个区域：图1 典型企业网络互联结构图1.1 模拟互联网络（W网络）W网络部分是为了便于对A公司总部及两个异地机构互联的理解而引入的。W网络由六台路由器连接有三

7、台公网服务器，还连接了A公司的三个处于不同地理位置的局域网。出差员工直接连接到模拟的互联网络。1.2 A公司北京总部（X网络）X网络是典型大中型园区网络主体架构，分别由接入层、汇聚层到核心层交换机构成内部三层交换网络，内网核心交换机连接有两台内网服务器。核心交换机通过防火墙及接入路由器连接到模拟的互联网，防火墙旁接有三台对外服务器。X网络中设计有500个以上连接点。1.3 A公司上海分公司（Y网络）Y网络是一个中小型企业网络主体架构，由接入层与核心层交换机构成内部交换网络，内网核心交换机连接一台内网服务器，接入层交换机上连接有无线网络，为会议室内无线用户提供连接。核心交换机通过防火墙及接入路由

8、器连接到模拟互联网。Y网络中设计有100个以上连接点。1.4 A公司长春办事处（Z网络）Z网络是一个小型SOHO办公网络主体架构，通过接入路由器与堡垒主机将内部的接入交换网络及无线网络用户连接到模拟互联网。Z网络中设计有20个以上连接点。2. 案例分析及规划为了便于讲解，将图1中的设备名称进了细化与标记。具体如图2所示，W网络中的设备以“W_”开头；X网络中的设备以“X_”开头；Y网络中的设备以“Y_”开头；Z网络中的设备以“Z_”开头。图2 典型企业网络互联带标识结构图2.1 模拟互联网W网络中设备及标识列表序号设备类型名称功能及作用配置要点备注1路由器W_R1模拟互联网ISP互联公网OSP

9、F2路由器W_R2模拟互联网ISP互联公网OSPF3路由器W_R3模拟互联网ISP互联公网OSPF4路由器W_R4模拟互联网ISP互联公网OSPF5路由器W_R5模拟互联网ISP互联公网OSPF6路由器W_R6模拟互联网ISP互联公网OSPF7服务器W_CA模拟CA服务器CA服务器后续学习8服务器W_DNS模拟DNS服务器DNS服务器9服务器W_WWW模拟WWW服务器WWW服务器10移动PCW_XYZ模拟A公司出差员工需要远程访问总部内网2.2 A公司内部网络X网络中设备及标识列表序号设备类型名称功能及作用配置要点备注1路由器X_RX网络接入路由器NAT、默认路由、内网OSPF2防火墙X_FW

10、控制X网络内外网访问防火墙、流控等（路由器代替）后续学习3交换机X_2S5二层交换连接交换连接4服务器X_WWWA公司WWW服务器WEB服务器等内外网5服务器X_MAILA公司MAIL服务器MAIL服务器等内外网6服务器X_OAA公司OA服务器OA办公自动化服务器等内外网7交换机X_3S1X网络核心层交换机内网OSPF、VLAN、Trunk等8服务器X_SVR1X内网WINDOWS服务器WWW、FTP等服务9服务器X_SVR2X内网LINUX服务器WWW、FTP等服务10工作站X_NMSX内网网络管理工作站IDS、SNMP等内网管理功能后续学习11交换机X_3S2X网络汇聚层交换机VLAN、T

11、runk等12交换机X_3S3X网络汇聚层交换机VLAN、Trunk等13交换机X_2S1X网络接入层交换机VLAN、Trunk等14交换机X_2S2X网络接入层交换机VLAN、Trunk等15交换机X_2S3X网络接入层交换机VLAN、Trunk等16交换机X_2S4X网络接入层交换机VLAN、Trunk等17台式PCX_PC1-8X网络内网用户X网络内网用户计算机2.3 A公司上海分公司内部网络Y网络中设备及标识列表序号设备类型名称功能及作用配置要点备注1路由器Y_RY网络接入路由器NAT、默认路由、内网RIP等2防火墙Y_FW控制Y网络内外网访问防火墙、流控等（路由器代替）后续学习3交换

12、机Y_3SY网络核心层交换机VLAN、Trunk等4服务器Y_SVRY内网服务器WWW、FTP等服务5交换机Y_2S1Y网络接入层交换机VLAN、Trunk等6交换机Y_2S2Y网络接入层交换机VLAN、Trunk等7无线APY_APY网络会议室无线AP无线AP连接8移动PCY_LP1-2Y网络会议室移动PCY网络会议室移动PC9台式PCY_PC1-8Y网络内网台式PCY网络用户计算机2.4 模拟互联网Z网络中设备及标识列表序号设备类型名称功能及作用配置要点备注1路由器Z_RZ网络接入路由器NAT、默认路由、IOS安全等后续学习2堡垒主机Z_SVRZ网络堡垒主机配置安全访问控制功能后续学习3交

13、换机Z_2SZ网络接入层交换机二层交换连接4无线APZ_APZ网络会议室无线AP无线AP连接5移动PCZ_LP1-2Z网络会议室移动PCZ网络会议室移动PC6台式PCZ_PC1-4Z网络内网台式PCZ网络用户计算机3. 案例中网络设备的基本配置图3是基于思科Packet Tracer软件（以下简称PT）的模拟组网图，图中设备进行了网络连通性配置，IP地址规划如图3所示。A公司的三个网络XYZ分别按不同规模企业局域网原则连接到模拟互联网W，即三个网络内部配置并连通后，经过各自的接入路由器NAT转换后实现访问互联网上的服务器。XYZ网络模拟企业内网，内部配置的是私有IP，需要通过NAT转换后才能访

14、问到模拟互联网中的服务器。模拟互联网W模拟的是公网，公网中没有到达私有网络XYZ内部网络的路由。W网络中所有路由器运行OSPF动态路由协议实现公网所有网段的互联互通；X网络内部也运行OSPF动态路由协议实现X内部所有网段的互联互通。W和X网络中的两个OSPF动态路由协议不互相学习。Y网络内部运行RIP动态路由协议。WXYZ四部分网络中设备的配置（未进行安全配置）分别如下：3.1 W网络中设备的基本配置只保留缺省配置后增加的配置，下同:hostname W_R1interface FastEthernet0/0interface FastEthernet0/1interface FastEthe

15、rnet1/0router ospf 1W_R2路由器的基本配置hostname W_R2interface FastEthernet0/0interface FastEthernet0/1interface FastEthernet1/0router ospf 1W_R3路由器的基本配置hostname W_R3interface FastEthernet0/0interface FastEthernet0/1interface FastEthernet1/0router ospf 1图3 典型企业网络互联Packet Trace模拟组网图W_R4路由器的基本配置hostname W_R4i

16、nterface FastEthernet0/0interface FastEthernet0/1interface FastEthernet1/0router ospf 1W_R5路由器的基本配置hostname W_R5interface FastEthernet0/0interface FastEthernet0/1interface FastEthernet1/0interface FastEthernet1/1router ospf 1W_R6路由器的基本配置hostname W_R6interface FastEthernet0/0interface FastEthernet0/1

17、interface FastEthernet1/0router ospf 1三台服务器：W_CA、W_WWW、W_DNS三台服务器配置有接口IP、网关和相应服务，其中W_CA服务器将在本课程及教材的后续任务中学习到。A公司的出差员工：W_XYZA公司的出差员工特点是：处于公网W中，可以访问到X_WWW等公网资源；出差地点不确定，即IP地址不是固定网段的；需要安全访问总部内网资源（课程及教材后续学习）；出差的可以是A公司总部、分公司、办事处人员，人数不确定。3.2 X网络中设备的基本配置X_R路由器的基本配置hostname X_Renable password ciscointerface F

18、astEthernet0/0 ip nat outsideinterface FastEthernet0/1 ip nat insiderouter ospf 1ip nat inside source list 10 pool poolnatx overloadline vty 0 4 password cisco loginX_FW防火墙的基本配置PT中用路由器代替，后续内容中进行学习:hostname X_FWenable password ciscointerface FastEthernet0/0interface FastEthernet0/1interface FastEther

19、net1/0router ospf 1line vty 0 4 password cisco loginX_2S5交换机的基本配置hostname X_2S5enable password ciscointerface Vlan1line vty 0 4 password cisco loginX_3S1交换机的基本配置hostname X_3S1enable password ciscoip routinginterface FastEthernet0/20 switchport access vlan 15interface FastEthernet0/21interface FastEt

20、hernet0/22 switchport access vlan 16interface FastEthernet0/23 switchport access vlan 16interface FastEthernet0/24 switchport access vlan 17interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunkinterface GigabitEthernet0/2 switchport trunk encapsulation dot1q switchp

21、ort mode trunkinterface Vlan11interface Vlan12interface Vlan13interface Vlan14interface Vlan15interface Vlan16interface Vlan17router ospf 1line vty 0 4 password cisco loginX_3S2交换机的基本配置hostname X_3S2enable password ciscoip dhcp pool poolx11ip dhcp pool poolx12ip routinginterface FastEthernet0/23 swi

22、tchport trunk encapsulation dot1q switchport mode trunkinterface FastEthernet0/24 switchport trunk encapsulation dot1q switchport mode trunkinterface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunkinterface Vlan11interface Vlan12line vty 0 4 password cisco loginX_3S3交换机

23、的基本配置hostname X_3S3enable password ciscoip dhcp pool poolx13ip dhcp pool poolx14ip routinginterface FastEthernet0/23 switchport trunk encapsulation dot1q switchport mode trunkinterface FastEthernet0/24 switchport trunk encapsulation dot1q switchport mode trunkinterface GigabitEthernet0/1 switchport

24、trunk encapsulation dot1q switchport mode trunkinterface Vlan13line vty 0 4 password cisco loginX_2S1交换机的基本配置hostname X_2S1enable password ciscointerface Range FastEthernet0/1 - 10 switchport access vlan 11interface Range FastEthernet0/11 - 20 switchport access vlan 12interface FastEthernet0/24 swit

25、chport mode trunkinterface Vlan11line vty 0 4 password cisco loginX_2S2交换机的基本配置hostname X_2S2enable password ciscointerface Range FastEthernet0/1 - 10 switchport access vlan 11interface Range FastEthernet0/11 - 20 switchport access vlan 12interface FastEthernet0/24 switchport mode trunkinterface Vla

26、n112line vty 0 4 password cisco loginX_2S3交换机的基本配置hostname X_2S3enable password ciscointerface Range FastEthernet0/1 - 10 switchport access vlan 13interface Range FastEthernet0/11 - 20 switchport access vlan 14interface FastEthernet0/24 switchport mode trunkinterface Vlan1333.254line vty 0 4 passwor

27、d cisco loginX_2S4交换机的基本配置hostname X_2S4enable password ciscointerface Range FastEthernet0/1 - 10 switchport access vlan 13interface Range FastEthernet0/11 - 20 switchport access vlan 14interface FastEthernet0/24 switchport mode trunkinterface Vlan133.2523.254line vty 0 4 password cisco loginX网络中的主机

28、与服务器X网络中的X_SVR1和X_SVR2为内网服务器，仅供A公司内网用户访问；X网络中的X_WWW服务器、X_MAIL服务器、X_OA服务器可以同时被内网及外网访问，即为对外公网服务器。X网络中的X_NMS为内网管理工作站，提供入分侵测、协议分析、流量控制及SNMP网络管理等功能（后续学习）。3.3 Y网络中设备的基本配置Y_R路由器的基本配置hostname Y_Rinterface FastEthernet0/0 ip nat outsideinterface FastEthernet0/1 ip nat insiderouter ripip nat inside source lis

29、t 10 pool poolnaty overloadY_FW防火墙的基本配置PT中用路由器代替，后续内容中进行学习:hostname Y_FWinterface FastEthernet0/0interface FastEthernet0/1router ripY_3S交换机的基本配置hostname Y_3Sip dhcp pool pooly104ip dhcp pool pooly105ip dhcp pool pooly106ip routinginterface FastEthernet0/23 switchport access vlan 107interface FastEth

30、ernet0/24 switchport access vlan 108interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunkinterface GigabitEthernet0/2 switchport trunk encapsulation dot1q switchport mode trunkinterface Vlan104interface Vlan105interface Vlan106interface Vlan107interface Vlan108route

31、r ripY_2S1交换机的基本配置hostname Y_2S1interface Range FastEthernet0/1 - 10 switchport access vlan 104interface Range FastEthernet0/11 - 20 switchport access vlan 105interface GigabitEthernet1/1 switchport mode trunkinterface Vlan104Y_2S2交换机的基本配置hostname Y_2S2interface Range FastEthernet0/1 - 10 switchport

32、 access vlan 104interface Range FastEthernet0/11 - 20 switchport access vlan 105interface GigabitEthernet1/1 switchport mode trunkinterface Vlan104Y_SVR、Y_AP功能与配置Y_SVR为Y网络内部的一台服务器；Y_AP是位于分公司会议室，用于连接开会用户的移动PC，当前为默认配置。3.4 Z网络中设备的基本配置Z_R路由器的基本配置（Z_SVR服务器不在PT中配置）hostname Z_Rip dhcp pool poolzinterface F

33、astEthernet0/0 ip nat outsideinterface FastEthernet0/1 ip nat insideip nat inside source list 10 interface FastEthernet0/0 overloadZ_2S交换机的基本配置hostname Z_2Sinterface Vlan1Z_AP功能与配置Z_AP中位于办事处办公区内，用于连接办公区内的移动PC，当前为默认配置。以上配置已经在Packet Tracer中完成，具体见“课程整体情境案例介绍及引导拓扑PT图.pkt”文件。4. 针对案例的网络安全风险分析与防护措施规划在上面的网络

34、方案与网络配置案例中，没有引入安全防护措施，本课程及教材将依据此案例进行网络安全风险分析与防护措施规划。下面针对案例以网络安全领域内6个方面（3个模块）主流技术的运用实现对其的安全防护实施分析。4.1 网络协议及流量分析技术是安全防护实施的技术基础与核心网络协议是网络通信的关键，但是由协议本身也存在着各种安全隐患。针对网络协议的攻击也是种类繁多，从数据链路层到应用层协议都可能存在被攻击的缺陷。特别是应用最为普遍的TCP/IP协议，其设计之初并没有考虑过多的安全问题。如FTP、HTTP、Telnet等应用的明文账号和密码传输的安全缺陷、ARP欺骗、PING攻击、DoS攻击、DDoS攻击等。因此，

35、了解主要通信协议的安全缺陷、掌握有效的协议分析与流量控制技术是实施网络安全防护的关键。如配置防火墙对特定针对协议的攻击，就需要深入了解协议的工作原理、规则及协议数据格式。同时通过协议分析也可以定位网络中存在的故障及安全风险。所以，本课程及教材的学习情境1是：通过流量分析定位网络故障。本情境将重点以X网络中X_NMS网络管理工作站为操作点，通过其分析X网络中的协议流量情况、分析某些协议的安全缺陷，并进行有效的控制等。如图4所示。图4 通过流量分析定位网络故障整体情境图“学习情境1通过流量分析定位网络故障”共设计有3个任务，具体任务名称及简介如下：任务1：利用Packet Tracer分析协议工作

36、过程本任务为协议分析基础学习，是利用思科Packet Tracer分析协议数据工作过程和ICMP协议数据的格式。从而理解网络中传输的数据包的封装层次。可在任意单机上完成此任务。任务2：基于Sniffer Pro进行协议、模拟攻击分析本任务为协议分析的深入学习，是利用Sniffer Pro捕获协议数据、分析协议数据、构造协议数据的相关技术学习，从而让学习者深入理解协议数据的格式与封装层次。在X_NMS设备上完成此任务。任务3：利用深信服流量控制设备分析与定位网络故障本任务为协议分析与故障定位的技术，是基于深信服流量控制设备对网络中的协议进行分析，从而发现内部网络中的协议数据存在的问题。在X_FW

37、位置的设备上完成，X_FW其为流量控制设备。拓展任务：拓展训练任务6个在拓展任务中将设计若干任务，进一步分析TELNET、FTP、HTTP明文数据传输的安全性问题。4.2 保护数据传输的机密性、完整性与真实性，防止息泄漏由于很多TCP/IP协议簇中的协议在传输过程中是以明文方式传数据的，所以存在很安全隐患，很容易被非授权用户获取到数据内容，数据的机密性受到威胁。因此对所要传输的文件进行加密后再传输可以有效降低重要数据被窃取的风险。另外在A公司会有这样的需求：分公司或办事处的用户通过公网（W网络）去访问总部内网服务器中数据的需求，此需求可以通过隧道技术连接分支与总部，但为了保护通过公网传输的数据

38、的机密性、完整性与真实性，需要采用VPN技术，可能需要对数据进行保护。此外，出差的员工也会需要通过公网连接到总部内网，以访问内网重要数据，为此也要对数据进行保护。本部分内容将在学习情境2中学习，即如何保护数据在公网上的传输。如图5所示。图5 保护数据在公网上的传输整体情境图“学习情境2保护数据在公网上的传输”共设计有7个任务，具体任务名称及简介如下：任务1：利用PGP实施非对称加密本任务为数据加密技术的基础学习，是利用PGP软件对文件进行加密码、并签名的实验，实现对文件的机密性、完整性与真实性的保护与验证。让学习者理解对称加密与非对称加密相关技术。任务2：利用数字证书保护通信本任务主要介绍数字

39、证书技术，是利用Windows下和CA证书服务，实现基于HTTPS的WWW安全访问。W_CA模拟CA服务器、X_WWW模拟设置SSL安全访问的WEB服务器、另外选择W_XYZ为客户端。任务3：利用隧道技术连接企业与分支本任务为隧道技术知识的引入，通过GRE隧道技术将分公司或办事处网络与总部网络建设隧道连接，以实现分支与总部内网间数据的互相访问。主要配置点为X_R、Y_R、Z_R三台路由器。任务4：基于Windows实现VPN连接本任务主要基于Windows系统下的IPSEC（IP安全策略）实现点到点的安全通信，包括加密、认证与完整性保护。实现点为X网络中X_NMS与X_WWW之间的安全隧道通信

40、（如对远程桌面TCP协议的3389端口进行安全通信保护）。任务5：基于路由器实现分支与总部VPN连接本任务主要基于路由器实现基于IPSEC站点到站点的安全通信，包括加密、认证与完整性保护。实现点为XYZ网络中X_R、Y_R、Z_R三台路由器。以实现XYZ三个网络内网之间的安全互访。任务6：基于INODE实现出差员工通过VPN访问总部本任务主要基于X_R路由器实现出差员工通过VPN安全访问总部内部网络，包括加密、认证与完整性保护。即利用INODE软件与X_R路由器配合，对出差员工通过公网拨入总部内网的VPN连接控制。任务7：对无线连接进行认证与数据加密保护本任务主要实现对无线连接的安全设置，包括

41、Y网络和Z网络中的无线AP的安全配置，以实现对无线用户接入各自内网的控制。拓展任务：拓展训练任务3个在拓展任务中将设计若干任务，进一步了解SSH等安全协议功能与作用。4.3 对网络访问行为进行控制，保护内网安全对于一个企业网来说，关键的防护设备之一就是处于公网与内网之间的网络安全防护与访问控制设备。借助于网络安全访问控制设备可以有效保护内部网络中设备及主机的安全，以保护内网数据的安全。XY网络中分别有各自的防火墙或流控设备，负责网络信息的安全检查、访问控制、整体防护功能。而对于Z网络是借助于路由器Z_R实现基本防护功能，或借助Z_SVR堡垒主机配置基于通用主机的防火墙功能。如图6所示。图6 对

42、网络访问行为进行控制整体情境图“学习情境3对网络访问行为进行控制”共设计有5个任务，具体任务名称及简介如下：任务1：基于路由器配置基本防护功能（PT+IOS）本任务为访问控制技术的基础学习，是利用PT软件中路由器配置基本包过滤与访问控制功能。本任务将基于Z_R路由器实施基本的防护配置。任务2：软件防火墙配置保护主机与内部网络RouterOS+LINUX+ISA本任务主要基于通用计算机上的防火墙功能配置与实施，是利用虚拟机配置RouterOS、LINUX的IPTABLES或Windows的ISA防火墙功能。任务中的配置点为Z_SVR堡垒主机。任务3：基于思科路由器的IOS防火墙防护功能配置（IO

43、S FW）本任务为主要基于思科路由器的IOS防火墙功能实施内网防护，以实现对办事处内网的保护。主要配置点为Z_R路由器。任务4：基于天融信硬件防火墙对网络进行防护本任务主要基于硬件防火墙保护Y网络的通信，包括访问控制等。主要配置点为Y_FW防火墙或安全设备。任务5：基于深信服设备进行网络行为控制本任务主要基于深信服流控设备保护X网络安全通信，包括访问控制与流量控制。主要配置点为X_FW防火墙或深信服流控设备。拓展任务：拓展训练任务2个在拓展任务中将设计若干任务，进一步深入学习防火墙相关功能的配置。4.4 对入侵进行检测、审计与防护对于一个企业网来说，攻击是多角度、多层次的，仅凭防火墙等设备的保

44、护是不全面的。对于已经发生的入侵或攻击行为还需要进行入侵检测与审计，以保护内网数据的安全与取证。XZ网络中分别有各自入侵检测设备。负责网络信息的安全检查与记录。对于X网络是借助于主机X_NMS或流量控制设备X_FW实现入侵检测功能。对于Z网络是借助Z_R的路由器入侵检测功能实现IDS与IPS功能。如图7所示。图7对入侵进行检测、审计与防护整体情境图“学习情境4对入侵进行检测、审计与防护”共设计有3个任务，具体任务名称及简介如下：任务1：基于Snort入侵检测功能配置本任务为主要基于主机与Snort软件实现网络入侵检测功能，对进出内网流量的检测与控制。主要配置点为X_NMS主机与核心交换机。任务

45、2：基于思科路由器的IOS入侵检测功能配置（IOS IDS/IPS）本任务为主要基于思科路由器的IOS入侵检测功能实施，对进出内网流量的检测与控制。主要配置点为Z_R路由器。任务3：基于深信服实施网络审计本任务为主要基于深信服流量控制设备实施入侵检测功能，对进出内网流量的检测、控制与审计。主要配置点为X_FW流量控制设备。拓展任务：拓展训练任务2个在拓展任务中将设计若干任务，进一步深入学习IDS/IPS相关配置。4.5 网络及主机渗透攻击测试与加固防护对于一个企业网来说，需要全方位的防护，不能单纯凭对边界的控制。因为攻击可能源自于内网中的任何主机。因此对网主机进行攻击检测与加固也是一项关键安全

46、防护任务。本部分将以XY网络中的服务器为例，介绍网络中的攻击方法与加固措施。如图8所示。图8网络及主机渗透攻击测试与加固防护整体情境图“学习情境5网络及主机渗透攻击测试与加固防护”共设计有2个任务，10个子任务，具体任务名称及简介如下：任务1：网络及主机渗透攻击测试本任务将以渗透攻击技术为主，对X内网主机服务器进行多角度的安全测试，以学习黑客常用的攻击方法，做到知己知彼，以便于下一任务中对网络及主机进行加固。这里将分为5个子任务。子任务1：主机扫描技术（XSCAN等）子任务2：远程控制技术（灰鸽子等木马）子任务3：操作系统漏洞攻击（LINUX、WINDOWS：溢出等）子任务4：应用程序漏洞攻击

47、（IIS等）子任务5：数据库漏洞攻击任务2：网络及主机加固防护本任务将基于上一任务中的渗透攻击对网络及主机进行加固。这里将分为5个子任务。子任务1：运用NEUSS扫描软件检测主机漏洞子任务2：主机基本防护与加固（服务最小化）子任务3：病毒防护（PE使用、免杀、捆绑等介绍）子任务4：系统漏洞防护与加固（补丁等）子任务5：服务及应用防护与加固（防篡改）拓展任务：拓展训练任务2个在拓展任务中将设计若干任务，进一步深入学习主机攻防技术。4.6 保护网络安全可靠运行的综合技术对于一个企业网来说，安全防护相关的技术还有很多。如数据备份、RAID、主机和网络冗余、AAA、SNMP等技术。本情境将重点学习相关的综合安全防护技术。具体如图9所示。图9保护网络安全可靠运行的综合技术整体情境图“学习情