网络安全与防护情境设计

4国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施课程资源子库情境设计情境设计依托典型项目案例进行情境设计计算机网络安全技术与实施课程基于一个真实的大中型企业网络及其异地互联分公司和办事处的案例为背景，设计了6个学习情境，来引入网络安全与防护的相关知识。网络结构图如图1所示，共分为4个区域：交:交换机交接入交换机入交换机出差员工路由器心島处司上邮卜營司°顒艮务器WWW服务器g開弗□□□□□□□□□□□□□□□□□□□□00汇聚交换机—Q两管站舌疋屈络再公词k存办爭册交:交换机交接入交换机入交换机出差员工路由器心島处司上邮卜營司°顒艮务器WWW服务器g開弗□□□□□□□□□□□□□□□□□□□□00汇聚交换机—Q两管站舌疋屈络再公词k存办爭册咨办公室计算机■■■■■■■■■■■■■■■■■■■■■■■■■■■■堡垒主机亦公室计算机HOTEL无线肿图1典型企业网络互联结构图1.1模拟互联网络（W网络）W网络部分是为了便于对A公司总部及两个异地机构互联的理解而引入的。 W网络由六台路由器连接有三台公网服务器，还连接了A公司的三个处于不同地理位置的局域网。出差员工直接连接到模拟的互联网络。1.2A公司北京总部（X网络）X网络是典型大中型园区网络主体架构，分别由接入层、汇聚层到核心层交换机构成内

部三层交换网络，内网核心交换机连接有两台内网服务器。核心交换机通过防火墙及接入路

由器连接到模拟的互联网，防火墙旁接有三台对外服务器。 X网络中设计有500个以上连接点。A公司上海分公司（Y网络）丫网络是一个中小型企业网络主体架构，由接入层与核心层交换机构成内部交换网络，内网核心交换机连接一台内网服务器，接入层交换机上连接有无线网络，为会议室内无线用户提供连接。核心交换机通过防火墙及接入路由器连接到模拟互联网。 丫网络中设计有100个以上连接点。A公司长春办事处（Z网络）Z网络是一个小型SOHO、公网络主体架构，通过接入路由器与堡垒主机将内部的接入交换网络及无线网络用户连接到模拟互联网。 Z网络中设计有20个以上连接点。案例分析及规划为了便于讲解，将图1中的设备名称进了细化与标记。具体如图2所示，W网络中的设备以“W_开头；X网络中的设备以“X_'开头；丫网络中的设备以“丫_'开头；Z网络中的设备以“Z_”开头。□□□□□□n□□□□□on□□oooo^u□□□□□□n□□□□□on□□oooo^u图2典型企业网络互联带标识结构图2.1模拟互联网W网络中设备及标识列表序号设备类型名称功能及作用配置要点备注1路由器W_R1模拟互联网ISP互联公网OSPF2路由器W_R2模拟互联网ISP互联公网OSPF3路由器W_R3模拟互联网ISP互联公网OSPF4路由器W_R4模拟互联网ISP互联公网OSPF5路由器W_R5模拟互联网ISP互联公网OSPF6路由器W_R6模拟互联网ISP互联公网OSPF7服务器W_CA模拟CA服务器CA服务器8服务器W_DNS模拟DNS服务器DNS服务器9服务器W_WWW模拟WW服务器WW服务器10移动PCW_XYZ模拟A公司出差员工需要远程访问总部内网A公司内部网络X网络中设备及标识列表序号设备类型名称功能及作用配置要点备注1路由器X_RX网络接入路由器NAT默认路由、内网OSPF2防火墙X_FW控制X网络内外网访问防火墙、流控等（路由器代替）3交换机X_2S5二层交换连接交换连接4服务器X_WWWA公司WW服务器WEB服务器等5服务器X_MAILA公司MAIL服务器MAIL服务器等6服务器X_OAA公司OA服务器OA办公自动化服务器等7交换机X_3S1X网络核心层交换机内网OSPFVLANTrunk等8服务器X_SVR1X内网WINDOW服务器WWWFTP等服务9服务器X_SVR2X内网LINUX服务器WWWFTP等服务10工作站X_NMSX内网网络管理工作站IDS、SNMP等内网管理功能11交换机X_3S2X网络汇聚层交换机VLANTrunk等12交换机X_3S3X网络汇聚层交换机VLANTrunk等13交换机X_2S1X网络接入层交换机VLANTrunk等14交换机X_2S2X网络接入层交换机VLANTrunk等15交换机X_2S3X网络接入层交换机VLANTrunk等16交换机X_2S4X网络接入层交换机VLANTrunk等17台式PCX_PC1-8X网络内网用户X网络内网用户计算机A公司上海分公司内部网络 Y网络中设备及标识列表序号设备类型名称功能及作用配置要点备注1路由器Y_RY网络接入路由器NAT默认路由、内网RIP等

序号设备类型名称功能及作用配置要点备注2防火墙Y_FW控制丫网络内外网访问防火墙、流控等（路由器代替）3交换机Y_3SY网络核心层交换机VLANTrunk等4服务器Y_SVRY内网服务器WWWFTP等服务5交换机Y_2S1Y网络接入层交换机VLANTrunk等6交换机Y_2S2Y网络接入层交换机VLANTrunk等7无线APY_APY网络会议室无线AP无线AP连接8移动PCY_LP1-2Y网络会议室移动PCY网络会议室移动PC9台式PCY_PC1-8Y网络内网台式PCY网络用户计算机2.4模拟互联网Z网络中设备及标识列表序号设备类型名称功能及作用配置要点备注1路由器Z_RZ网络接入路由器NAT默认路由、IOS安全等2堡垒主机Z_SVRZ网络堡垒主机配置安全访问控制功能3交换机Z_2SZ网络接入层交换机二层交换连接4无线APZ_APZ网络会议室无线AP无线AP连接5移动PCZ_LP1-2Z网络会议室移动PCZ网络会议室移动PC6台式PCZ_PC1-4Z网络内网台式PCZ网络用户计算机针对典型企业网络互联项目案例的学习情境设计本课程将依据此案例进行网络安全风险分析与防护措施规划。下面针对案例以网络安全领域内6个方面（3个模块）主流技术的运用实现对其的安全防护实施分析。3.1网络协议及流量分析技术是安全防护实施的技术基础与核心网络协议是网络通信的关键，但是由协议本身也存在着各种安全隐患。针对网络协议的攻击也是种类繁多，从数据链路层到应用层协议都可能存在被攻击的缺陷。特别是应用最为普遍的TCP/IP协议，其设计之初并没有考虑过多的安全问题。如 FTPHTTPTelnet等应用的明文账号和密码传输的安全缺陷、 ARP欺骗、PING攻击、DoS攻击、DDoS攻击等。因此，了解主要通信协议的安全缺陷、掌握有效的协议分析与流量控制技术是实施网络安全防护的关键。如配置防火墙对特定针对协议的攻击，就需要深入了解协议的工作原理、规则及协议数据格式。同时通过协议分析也可以定位网络中存在的故障及安全风险。所以，本课程及教材的学习情境1是：通过流量分析定位网络故障。本情境将重点以X网络中X_NM测络管理工作站为操作点，通过其分析X网络中的协议流量情况、分析某些协议的安全缺陷，并进行有效的控制等。如图 3所示。

□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□IXSVK2HOTFIL□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□IXSVK2HOTFIL图3通过流量分析定位网络故障整体情境图“学习情境1通过流量分析定位网络故障”共设计有 3个任务，具体任务名称及简介如下：3.1.1任务1:利用PacketTracer分析协议工作过程本任务为协议分析基础学习，是利用思科 PacketTracer分析协议数据工作过程和ICMP协议数据的格式。从而理解网络中传输的数据包的封装层次。可在任意单机上完成此任务。3.1.2任务2：基于SnifferPro 进行协议、模拟攻击分析本任务为协议分析的深入学习，是利用SnifferPro捕获协议数据、分析协议数据、构造协议数据的相关技术学习，从而让学习者深入理解协议数据的格式与封装层次。可在图中的X_NM设备上完成此任务。3.1.3任务3:利用深信服流量控制设备分析与定位网络故障本任务为协议分析与故障定位的技术，是基于深信服流量控制设备对网络中的协议进行

分析，从而发现内部网络中的协议数据存在的问题。在 X_FW位置的设备上完成，X_FW其为流量控制设备。3.1.4拓展任务：拓展训练任务6个在拓展任务中将设计若干任务，进一步分析TELNETFTPHTTP明文数据传输的安全性

问题3.2保护数据传输的机密性、完整性与真实性，防止息泄漏由于很多TCP/IP协议簇中的协议在传输过程中是以明文方式传数据的， 所以存在很安全隐患，很容易被非授权用户获取到数据内容，数据的机密性受到威胁。因此对所要传输的文件进行加密后再传输可以有效降低重要数据被窃取的风险。另外在A公司会有这样的需求：分公司或办事处的用户通过公网（ W网络）去访问总部内网服务器中数据的需求，此需求可以通过隧道技术连接分支与总部，但为了保护通过公网传输的数据的机密性、完整性与真实性，需要采用 VPN技术，可能需要对数据进行保护。此外，出差的员工也会需要通过公网连接到总部内网，以访问内网重要数据，为此也要对数据进行保护。本部分内容将在学习情境2中学习，即如何保护数据在公网上的传输。如图 4所示。■曰aWK1W-DKtWWWW■■■■■■■■■■■■■■■■■■■■■■■■■■曰aWK1W-DKtWWWW■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■HOTEL□□□□□□nunlr匚匚匚_□□□□□□nJ图4保护数据在公网上的传输整体情境图“学习情境2保护数据在公网上的传输”共设计有7个任务，具体任务名称及简介如下：3.2.1任务1:利用PGP实施非对称加密本任务为数据加密技术的基础学习，是利用PGP软件对文件进行加密码、并签名的实验,实现对文件的机密性、完整性与真实性的保护与验证。让学习者理解对称加密与非对称加密相关技术。3.2.2任务2：利用数字证书保护通信本任务主要介绍数字证书技术，是利用Windows下和CA证书服务，实现基于HTTPS的WW安全访问。W_CA模拟CA服务器、X_WWW拟设置SSL安全访问的WE服务器、另外选择W_XY为客户端。任务3：利用隧道技术连接企业与分支本任务为隧道技术知识的引入，通过GRE!道技术将分公司或办事处网络与总部网络建设隧道连接，以实现分支与总部内网间数据的互相访问。主要配置点为 X_RY_RZ_R三台路由器。324任务4:基于Windows实现VPN连接本任务主要基于Windows系统下的IPSEC（IP安全策略）实现点到点的安全通信，包括加密、认证与完整性保护。实现点为X网络中X_NMSfX_WWW间的安全隧道通信（如对远程桌面TCP协议的3389端口进行安全通信保护）。3.2.5任务5:基于路由器实现分支与总部VPN连接本任务主要基于路由器实现基于IPSEC站点到站点的安全通信，包括加密、认证与完整性保护。实现点为XYZ网络中X_RY_RZ_R三台路由器。以实现XYZ三个网络内网之间的安全互访。3.2.6任务6:基于INODE实现出差员工通过VPN访问总部本任务主要基于X_R路由器实现出差员工通过VPN安全访问总部内部网络，包括加密、认证与完整性保护。即利用INODE软件与X_R路由器配合，对出差员工通过公网拨入总部内网的VPN连接控制。同时补充了思科的EZVPN勺实现。任务7:对无线连接进行认证与数据加密保护本任务主要实现对无线连接的安全设置，包括丫网络和Z网络中的无线AP的安全配置，以实现对无线用户接入各自内网的控制。拓展任务:拓展训练任务3个在拓展任务中将设计若干任务，进一步了解SSH等安全协议功能与作用。对网络访问行为进行控制，保护内网安全对于一个企业网来说，关键的防护设备之一就是处于公网与内网之间的网络安全防护与访问控制设备。借助于网络安全访问控制设备可以有效保护内部网络中设备及主机的安全，以保护内网数据的安全。XY网络中分别有各自的防火墙或流控设备，负责网络信息的安全检查、访问控制、整体

防护功能。而对于Z网络是借助于路由器Z_R实现基本防护功能，或借助Z_SVF堡垒主机配置基于通用主机的防火墙功能。如图5所示HOTEL□口口□□□-H-口口□□口口□□□□□□-H□□□□□□nu--□□□□□□HOTEL□口口□□□-H-口口□□口口□□□□□□-H□□□□□□nu--□□□□□□图5对网络访问行为进行控制整体情境图“学习情境3对网络访问行为进行控制”共设计有5个任务，具体任务名称及简介如下：331任务1:基于路由器配置基本防护功能（PT+IOS本任务为访问控制技术的基础学习，是利用PT软件中路由器配置基本包过滤与访问控制功能。本任务将基于Z_R路由器实施基本的防护配置。3.3.2任务2:软件防火墙配置保护主机与内部网络RouterOS+LINUX+ISA本任务主要基于通用计算机上的防火墙功能配置与实施，是利用虚拟机配置 RouterOSLINUX的IPTABLES或Windows的ISA防火墙功能。任务中的配置点为Z_SVR!垒主机。另外补充了SmoothWall主机防火墙的配置。3.3.3任务3:基于思科路由器的IOS防火墙防护功能配置（IOSFW本任务为主要基于思科路由器的IOS防火墙功能实施内网防护，以实现对办事处内网的保护。主要配置点为Z_R路由器。3.3.4任务4:基于天融信硬件防火墙对网络进行防护本任务主要基于硬件防火墙保护丫网络的通信，包括访问控制等。主要配置点为丫FW火墙或安全设备

335任务5:基于深信服设备进行网络行为控制本任务主要基于深信服流控设备保护 X网络安全通信，包括访问控制与流量控制。主要配置点为X_FW&火墙或深信服流控设备。3.3.6拓展任务：拓展训练任务2个在拓展任务中将设计若干任务，进一步深入学习防火墙相关功能的配置3.4对入侵进行检测、审计与防护对于一个企业网来说，攻击是多角度、多层次的，仅凭防火墙等设备的保护是不全面的。对于已经发生的入侵或攻击行为还需要进行入侵检测与审计， 以保护内网数据的安全与取证。XZ网络中分别有各自入侵检测设备。负责网络信息的安全检查与记录。对于X网络是借助于主机X_NM或流量控制设备X_FW现入侵检测功能。对于Z网络是借助Z_R的路由器入侵检测功能实现IDS与IPS功能。如图6所示。网络■■■=■■■■W49H5WWWWHOTEL□口口□□□-H-口口口□口口□□□□□□-H□□□□□□nu网络■■■=■■■■W49H5WWWWHOTEL□口口□□□-H-口口口□口口□□□□□□-H□□□□□□nu三图6对入侵进行检测、审计与防护整体情境图“学习情境4对入侵进行检测、审计与防护”共设计有 3个任务，具体任务名称及简介如下：3.4.1任务1:基于Snort入侵检测功能配置本任务为主要基于主机与Snort软件实现网络入侵检测功能，对进出内网流量的检测与控制。主要配置点为XNM主机与核心交换机。

342任务2:基于思科路由器的IOS入侵检测功能配置(IOSIDS/IPS)本任务为主要基于思科路由器的IOS入侵检测功能实施，对进出内网流量的检测与控制。主要配置点为Z_R路由器。3.4.3任务3:基于深信服实施网络审计本任务为主要基于深信服流量控制设备实施入侵检测功能，对进出内网流量的检测、控制与审计。主要配置点为X_FW流量控制设备。344拓展任务：拓展训练任务2个在拓展任务中将设计若干任务，进一步深入学习 IDS/IPS相关配置。3.5网络及主机渗透攻击测试与加固防护对于一个企业网来说，需要全方位的防护，不能单纯凭对边界的控制。因为攻击可能源自于内网中的任何主机。因此对网主机进行攻击检测与加固也是一项关键安全防护任务。本部分将以XY网络中的服务器为例，介绍网络中的攻击方法与加固措施。如图 7所示。■■■■■■■■■■■■■■■■■■■■■HOTEL□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□]5z_razYSWR1LW■■■■■■■■■■■■■■■■■■■■■HOTEL□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□]5z_razYSWR1LW图7网络及主机渗透攻击测试与加固防护整体情境图“学习情境5网络及主机渗透攻击测试与加固防护”共设计有2个任务，10个子任务,具体任务名称及简介如下：3.5.1任务1:网络及主机渗透攻击测试本任务将以渗透攻击技术为主，对X内网主机服务器进行多角度的安全测试，以学习黑客常用的攻击方法，做到知己知彼，以便于下一任务中对网络及主机进行加固。这里将分为5个子任务。子任务1主机扫描技术（XSCA等）子任务2：远程控制技术（灰鸽子等木马）子任务3:操作系统漏洞攻击（LINUXWINDOWS溢出等）子任务4：应用程序漏洞攻击（IIS等）子任务5:数据库漏洞攻击任务2:网络及主机加固防护本任务将基于上一任务中的渗透攻击对网络及主机进行加固。这里将分为 5个子任务。子任务1运用NEUSSm描软件检测主机漏洞子任务2:主机基本防护与加固（服务最小化）子任务3:病毒防护（PE使用、免杀、捆绑等介绍）子任务4:系统漏洞防护与加固（补丁等）子任务5:服务及应用防护与加固（防篡改）拓展任务:拓展训练任务2个在拓展任务中将设计若干任务，进一步深入学习主机攻防技术。3.6保护网络安全可靠运行的综合技术对于一个企业网来说，安全防护相关的技术还有很多。如数据备份、 RAID主机和网络冗余、AAASNMP等技术。本情境将重点学习相关的综合安全防护技术，同时在拓展任务中补充了用户接入控制技术与统一网络管理相关技术。具体如图8所示。图8保护网络安全可靠运行的综合技术整体情境图“学习情境6保护网络安全可靠运行的综合技术”共设计有 6个任务，具体任务名称及简介如下：361任务1:数据备份与恢复本任务为主要基于软件实现数据的备份与恢复功能，同时介绍数据丢失后的修复功能，重点突出数据备份技术的重要性。主要配置点为主机。3.6.2任务2:磁盘冗余配置与实现本任务为主要基于RAID技术实现的数据的备份与恢复功能，重点突出基于磁盘层面的数据备份技术的重要性。主要配置点为主机。3.6.3任务3:服务器冗余配置与实现本任务为主要基于服务器冗余技术实现数据的备份与恢复功能，重点突出主机层面的数据备份技术的重要性。主要配置点为主机。3.6.4任务4:网络冗余配置与实现本任务为主要基于路由器与交换机冗余技术实现数据的备份与恢复功能，重点突出网络层面的数据备份技术的重要性。主要配置点为路由器与交换机365任务5:AAA实现认证、授权与审计配置与实现本任务为主要基于AAA技术实现用户的认证、授权与计费功能，主要配置点接入服务器NAS与AAA服务器。366任务6:基于SNM协议实现网络管理本任务为主要基于网络管理软件与SNM协议实现网络管理，对进全网被管设备进行管理与监测。主要配置点为X_NMSt机与网络中所有被管设备。3.6.7拓展任务：拓展训练任务2个在拓展任务中补充了用户接入控制技术与统一网络管理相关技术。本课程情境及任务列表本课程及教材情境及任务列表如表1所示:前导整体情境案例介绍及引导以典型企业项目案例引入网络安全防护技术模块情境情境名称任务任务名称层次数据传输学习情境1通过流量分析定位网络故障任务1利用PacketTracer分析协议工作过程★任务2基于SnifferPro进行协议、模拟攻击分析★★任务3利用深信服流量控制设备分析与定位网络故障★★★拓展任务拓展训练任务6个学习情境2保护数据在公网上的传输任务1利用PGP实