公有云服务架构与运维（基于阿里云）（微课版）教案19网络安全防护体系、应用安全与主机安全

教师备课纸教师备课纸课题网络安全防护体系课型理实一体授课班级授课时数2教学目标1.知识目标：•了解DDoS攻击的基本原理及云上防护机制。•掌握云防火墙（CFW）与安全组的分层防护模型及各自定位。•理解安全组“最小权限”原则等最佳实践。2.技能目标：•能为ECS实例配置符合最小权限原则的安全组规则。•能在云防火墙控制台创建访问控制策略，实现VPC间或互联网到VPC的精细化流量管控。•能确认DDoS基础防护已开启，并理解其防护阈值。3.素质目标：•树立纵深防御的安全理念，理解多层次防护的必要性。•培养严谨、规范的安全配置习惯。教学重点•安全组与云防火墙的协同工作模式。•云防火墙访问控制策略的创建与应用。教学难点•区分安全组（主机级、有状态）与云防火墙（网络级、东西向/南北向）的不同作用域和能力。•理解策略的匹配顺序（默认拒绝，按优先级匹配）。学情分析学生对“黑客攻击”有模糊概念，但对具体的防护产品和配置逻辑不清晰。容易混淆安全组和防火墙的功能。教学需通过清晰的架构图和生活化类比（如小区门禁vs楼宇门禁）来厘清二者关系。教学效果•学生成功优化了WordPressECS的安全组，仅开放80/443端口给SLB，22端口限制为管理网段。•学生在云防火墙上创建了一条策略，显式拒绝来自特定高危IP地址的访问。•学生确认了其公网资产（SLB/ECS）已处于DDoS基础防护之下。教后记通过“三层盔甲”的比喻，学生对分层防护模型有了清晰的认识。实训中，安全组的优化是学生最容易上手的部分。云防火墙的策略配置界面较为专业，部分学生对“优先级”概念感到困惑，下次可增加一个简单的策略冲突演示。一、情境导入与任务驱动（10分钟）安全威胁：我们的网站上线后，可能会面临各种网络攻击，如暴力破解SSH（22端口）、DDoS洪水攻击等。如何构建一个坚固的防线？引出纵深防御体系：第一道：DDoS防护-抵御海量流量洪水。第二道：云防火墙(CFW)-网络边界的大门，进行精细的访问控制。第三道：安全组-主机的最后一道门禁，实施最小权限。明确任务：今天我们将为我们的博客系统穿上三层“盔甲”，打造一个基础但坚固的网络安全防护体系。二、核心概念精讲（20分钟）分层防护模型：[互联网]↓[DDoS防护]→(清洗异常流量)↓[云防火墙CFW]→(南北向:互联网↔VPC;东西向:VPC↔VPC)↓[安全组]→(主机级,有状态,控制进出ECS的流量)↓[ECS实例]核心组件详解：DDoS基础防护：阿里云为所有公网IP（ECS/SLB/EIP）免费提供最高5Gbps的DDoS防护能力。超过阈值会触发黑洞。云防火墙(CFW)：提供网络层的统一访问控制，支持基于IP、端口、协议、地理位置的精细化策略，是VPC的“总闸”。安全组：实例级虚拟防火墙，有状态（返回流量自动放行），遵循最小权限原则（只开必要的端口）。三、技能实训（50分钟）任务：为我的博客穿上三层“盔甲”加固安全组（15分钟）：审查现有规则：检查WordPressECS的安全组。优化策略：入方向：删除/0对22端口的访问。添加规则：仅允许公司管理网段（如/16）访问22端口。确保80/443端口来源为SLB的IP或/0（若SLB未绑定固定IP）。出方向：保持默认（全部允许）或根据需要收紧。配置云防火墙（25分钟）：开通服务：进入云防火墙控制台，按提示开通（新用户有免费额度）。创建访问控制策略：策略类型：互联网边界防火墙访问源：输入一个模拟的恶意IP（如00，此为文档保留IP，无害）。访问目的：选择VPC边界或指定SLB/ECS的公网IP。协议/端口：ALL动作：拒绝优先级：50（数值越小，优先级越高）（演示）东西向策略：教师简要演示如何创建VPC内不同应用间（如Web到DB）的访问控制策略。确认DDoS防护（10分钟）：查看防护状态：进入云监控或DDoS防护控制台。找到资产：定位到SLB或ECS的公网IP。确认信息：查看其DDoS基础防护阈值（通常显示为5Gbps）和当前状态（正常）。（强调）：解释“黑洞”概念——当攻击流量超过阈值，IP会被暂时屏蔽以保护整个平台。四、总结评价与拓展延伸（10分钟）成果验收：检查学生ECS安全组规则是否符合最小权限原则。验证学生是否成功在云防火墙上创建了一条显式的拒绝策略。确认学生能找到其公网资产的DDoS防护信息。知识梳理：DDoS防护：抗洪水，保可用。云防火墙：管边界，做总控。安全组：守主机，行最小。作业布置：思考题：为什么安全组是有状态的，而云防火墙策略通常是无状态的？这种设计各有什么优缺点？课程反思：回顾本学期所有部署的云资源，列出你认为最需要加强安全防护的三个地方，并说明理由。课题应用安全与主机安全课型理实一体授课班级授课时数2教学目标1.知识目标：•了解Web应用面临的常见威胁（如SQL注入、XSS跨站脚本）。•掌握WAF（Web应用防火墙）的核心防护原理。•理解云安全中心（态势感知）作为统一安全管理平台的作用。2.技能目标：•能将已有的Web应用（如WordPress）接入WAF，开启基础防护。•能在WAF控制台验证对模拟攻击（如SQL注入）的拦截效果。•能在云安全中心查看并处理主机安全告警（如挖矿病毒），执行一键隔离或查杀操作。3.素质目标：•树立“应用层”和“主机层”双重安全防护意识。•培养主动监控、快速响应的安全运维习惯。教学重点•WAF的接入与防护策略配置。•云安全中心告警的识别与处置流程。教学难点•理解WAF如何通过规则引擎识别并阻断应用层攻击载荷。•区分不同级别安全告警的紧急程度和处理方式。学情分析学生对“黑客攻击”有浓厚兴趣，但对具体的攻击手法（如SQL注入）和防御机制缺乏直观感受。实训中需提供安全的、可控的模拟攻击方法，并强调在真实环境中严禁进行非法扫描和攻击。教学效果•学生成功将WordPress站点的流量切换至WAF进行代理防护。•学生通过构造简单的SQL注入测试字符串，观察到WAF返回了拦截页面。•学生在云安全中心发现了一条“异常进程”告警，并成功执行了一键查杀操作。教后记通过亲手触发并处理安全告警，极大地增强了安全防护的实战感。WAF的接入因涉及DNS解析，在无域名环境下略显抽象，下次可考虑使用阿里云提供的测试工具或沙箱环境进行更直观的演示。整体而言，课程体系完整，有效达成了教学目标。一、情境导入与任务驱动（10分钟）应用层威胁：我们的网站不仅面临网络洪水（DDoS），还可能被黑客利用代码漏洞进行精准打击，例如：SQL注入：在登录框输入'OR'1'='1，试图绕过密码验证。XSS攻击：在评论区插入<script>alert('xss')</script>，窃取用户Cookie。引出纵深防御新维度：WAF(Web应用防火墙)：专门守护Web应用，是抵御上述攻击的“智能盾牌”。云安全中心：全网资产的“安全大脑”，实时监控主机健康状况，发现病毒、木马、挖矿程序等威胁。明确任务：今天我们将为博客系统加装“智能盾牌”，并启动“安全大脑”，实现从网络到应用再到主机的全方位守护。二、核心概念精讲（20分钟）WAF工作原理：部署模式：通常采用反向代理模式。用户流量先经过WAF，清洗后再转发给源站（ECS/SLB）。防护能力：内置数千条规则，可精准识别并拦截OWASPTop10等常见Web攻击。核心价值：零代码改造即可获得专业级Web安全防护。云安全中心（态势感知）：核心功能：主机安全：病毒查杀、漏洞修复、基线检查、入侵检测。安全大屏：全局安全态势可视化。告警中心：集中管理所有安全事件。工作模式：通过安装在ECS上的安全插件（安骑士）进行实时监控和响应。三、技能实训（50分钟）任务：启动“智能盾牌”与“安全大脑”接入WAF防护（25分钟）：开通WAF：进入WAF控制台，按提示开通（新用户有免费试用）。添加防护域名：域名：使用SLB的公网IP或一个测试域名（如）。源站地址：填写SLB的公网IP。关键步骤：根据WAF提示，修改DNS解析，将域名指向WAF分配的CNAME地址。（若无域名，可演示原理）验证防护：在浏览器中访问http://<WAF防护地址>/?id=1'OR'1'='1预期结果：页面显示WAF的拦截提示，而非WordPress的错误页面。处理云安全中心告警（25分钟）：安装安全插件：确保WordPress所在的ECS已安装云安全中心插件（通常默认安装）。制造“威胁”（安全可控）：教师提供一个无害的、特征明显的测试脚本（如cloud_test_miner.sh），其行为会被安全中心识别为“挖矿行为”。学生在ECS上运行该脚本。响应告警：进入云安全中心→“安全告警处理”。找到新产生的“恶意进程”或“挖矿程序”告警。查看告警详情（进程路径、网络连接等）。执行操作：点击“一键处理”或“隔离”，完成查杀。验证：回到ECS，确认该进程已被终止。四、总结评价与拓展延伸（10分钟）成果验收：检查学生是否成功在WAF中添加了防