网络安全攻防实验室方案

1、网络安全攻防实验室结构图XXXX信息科学与工程学院2020/6/22目录第一章网络安全人才需求31.1网络安全现状31.2国家正式颁布五级安全防护体系31.3网络安全技术人才需求激增4第二章网络安全技术教学中的问题42.1网络安全实验室建设的误区42.2缺乏网络安全教师42.3缺乏实用的安全教材5第三章安全攻防实验室的特点53.1安全攻防实验室介绍5第四章安全攻防实验室方案64.1安全攻防实验室设备选择64.1.1传统安全设备64.1.2安全沙箱是一种独特的产品，可使实验室具备攻击性和防御性教学功能74.2安全攻防实验室拓扑图84.3安全攻防实验室课程体系94 . 3 . 1 DCNSA网络安

2、全管理员基础课程94.3.2中级DCNSE网络安全工程师课程114.4高级安全攻防实验室实验项目134.4.1基础实验134.4.1扩展实验15第七章网络实验室布局设计257.1 25实验室平面布置图7.2实验室布局的渲染图267.3机柜布局的选择26第一章网络安全人才需求1.1网络安全状态随着信息技术的飞速发展，各行各业越来越依赖信息系统。建立一个持续、稳定、安全的网络是保证用户业务发展的前提。近年来，安全问题日益严重：病毒、木马、黑客攻击、网络钓鱼、DDOS等安全威胁层出不穷，技术也越来越复杂。病毒、木马和黑客技术的融合引发了巨大的网络安全危机。用户已经意识到安全的重要性。防火墙、加密、身

3、份认证、访问控制、备份等保护手段被用来保护信息系统的安全。然而，对网络安全和安全管理人才的技术支持极其匮乏。1.2国家正式颁布五级安全防护体系2007年7月24日，公安部、国家保密局、国家密码管理局、国务院信息工作办公室正式上网发布信息安全等级保护条例、信息安全等级保护管理办法和实施指南，并发布信息安全等级保护管理办法、信息系统安全等级保护定级指南、信息安全技术信息系统安全等级保护实施指南等措施。该方法明确规定信息系统的安全防护等级分为五个等级，不同等级信息系统的基本安全防护能力如下：一级安全保护能力：应能保护系统免受来自资源少的个人威胁、一般自然灾害和其他危害程度相当大的威胁的恶意攻击造成的

4、关键资源损害，并在系统受损后恢复部分功能。二级安全保护能力：能够保护系统免受外部小组织的恶意攻击和少量资源的威胁、一般自然灾害以及其他危害程度相当大的威胁，发现重要的安全漏洞和安全事件，并在系统受损后的一段时间内恢复部分功能。三级安全防护能力：在统一的安全策略下，能够保护系统免受外部有组织团体的恶意攻击、资源丰富的威胁源、严重的自然灾害以及其他危害程度相当大的威胁造成的主要资源破坏，发现安全漏洞和安全事件，并在系统受损后快速恢复大部分功能。四级安全防护能力：在统一的安全策略下，能够保护系统免受恶意攻击、严重自然灾害等危害程度相当的威胁造成的资源破坏，发现安全漏洞和安全事件，并在系统受损后快速恢

5、复所有功能。五级安全保护能力：(略)。平等保险制度的颁布将网络安全的重要性提升到法律法规的高度，催生了一个新的职业：网络安全评估工程师/exp网络安全技术涉及国民经济的各个领域，并且发展迅速。我国对保安人才的需求很大，对人才的需求质量也很高。据51Job、ChinaHR.com等人力资源网站统计，近年来，人才市场对网络安全工程师的需求急剧增加。大中型企业都设置了专业的网络安全管理员，中小型企业也需要大量懂网络安全的网络管理员，包括银行、证券、保险和航空网络安全行业的就业需求将以年均14%的速度增长。2008年，网络安全行业的就业缺口将达到20多万人。网络安全工程师需要更高、更全面的技术学习，所

6、以工资水平比一般网络工程师高1.5-3倍，在工作场所流行是不可避免的。第二章是网络安全技术教学中存在的问题2.1网络安全实验室建设错误许多学校在建设网络安全实验室时陷入了误解。他们往往认为安全设备的安装和调试是一个安全实验室，而不把安全攻防和安全加固作为网络安全实验室的建设内容。安全设备的安装调试和安全网络的拓扑设计的确是安全实验室的重要内容，但它们应该不止这些内容。大多数网络安全实验室建立安全设备调试级的主要原因是设备制造商经常组织实验室方案。作为设备制造商，关心的是如何销售更多的设备，这导致实验室水平低和实验项目不完整。2.2缺乏网络安全教师网络安全是网络产业的高科技方向，安全人才匮乏，学

7、校教师也是如此。优秀的教师是网络安全实验室教学的重要环节。通过教师培训，加上良好的实践环境，可以保证网络安全教学教师的晋升。2.3缺乏实用的安全教材目前市场上有很多网络安全教材，但大多数都是基于理论的，这容易导致学生学习的厌倦。教材安排中没有针对性的网络安全实验，这也是网络安全实验难以开展的主要问题。第三章安全攻防实验室的特点在一个已经部署了防病毒软件、防火墙、入侵检测系统和虚拟专用网络等安全产品的实验室里，很少有人清楚地知道这些安全产品的功能以及它们能够给计算机安全带来的安全性。配置和网络的实验仍然给学生带来书面的理论知识，学生没有一个完整的概念。实验室的严重不足是安全设备与攻防环境的建立相

8、结合，这使得许多学校和企业感到无法开展有效的网络安全培训，面对以下问题他们不知所措：问题1:什么样的教学方法能让学生更快更有效地学习网络安全知识？问题2:什么样的教学环境能让学生更轻松、更主动地学习网络安全知识，增强他们的网络安全意识？攻防给教学带来最真实的环境和最有效的实验方法，学习最实用的安全技术。实验室的学生可以在未来的工作中真实地体验网络环境，并对其进行消除、维护和改造。3.1安全攻防实验室介绍目前，各行各业的用户越来越依赖信息系统，建立一个持续、稳定、安全的网络是保证用户业务发展的前提。每个人都意识到安全的重要性，并采用防火墙、加密、身份认证、访问控制、备份等保护手段来保护信息系统的

9、安全。与此同时，安全问题越来越严重，安全威胁如病毒、木马、黑客攻击、网络钓鱼、DDOS等。一个接一个地出现，技术变得越来越复杂。病毒、特洛伊木马和黑客技术的结合造成了巨大的c原来的网络安全实验室都是面向设备安装调试和设备联网的，没有为网络管理员实际遇到的安全攻击和防御提供相应的培训。网络攻防实验室采用SZSM安全沙箱系统进行测试。安全攻防实验室利用防火墙、入侵检测与防御系统、统一威胁管理系统、终端安全系统和安全访问认证系统等主流安全设备组成实验网络，将典型的安全漏洞实验案例、主机安全加固实验案例和漏洞扫描案例浓缩成一个名为“安全沙箱”的安全攻防实验平台。安全沙箱和所有安全设备被组合并部署到一个

10、强大的网络测试环境中。学生和研究人员可以更直观、有效、方便地体验安全技术在设备中的部署，观察和攻击“安全沙箱”中定制服务器的常见操作系统漏洞和网络应用服务漏洞，进而对安全沙箱进行安全加固，并可以利用整个网络中设备的联动来发现威胁并采取主动防御。安全沙箱的部署拓扑如下：第四章安全攻防实验室方案4.1安全攻防实验室设备选择4.1.1传统安全设备传统的安全设备包括防火墙、UTM统一威胁管理、入侵检测引擎、认证和计费、日志系统等产品。这些传统的安全设备可以为设备的安装和调试建立一个完整的网络，从而满足学生对产品配置和产品功能的理解。传统安全设备是安全攻防实验室不可或缺的产品，它们的组合可以完成安装调试

11、层面的所有实验。4.1.2安全沙箱是一种独特的产品，能够使实验室具有攻击性和防御性教学功能SZSM安全沙箱系统数字中国安全沙箱(DCSS)为计算机安全教育提供实验课程和实验环境。教师可以登录DCSS系统的管理平台沙箱管理中心进行实验课程的教学，学生也可以登录沙箱管理中心进行教学课程的实验操作。DCSS是SZSM网络公司专门为网络安全攻防实验室开发的产品，是网络安全攻防的仿真平台，培养学生动态网络安全维护能力。它的名字来源于军事术语“沙盘”，意思是安全沙箱可以通过模拟实战来练习战术和技术，其先进的设计理念在中国尚属首创。安全沙箱系统为计算机和网络安全教育提供多系统平台课件。在教学和培训过程中，可

12、以根据需要启动基于不同操作系统平台的课件，以满足各种教学环境的需要。安全沙箱系统为计算机和网络安全教育提供多模式安全攻防实验课件，可以对各种安全威胁进行攻防操作，为不同的攻防模式提供多种实验课件选择。安全沙箱系统的所有课件是一门将安全理论与实际环境和动手操作相结合的实验课程。在所有的学习过程中，都要进行动手实验操作，完成课件所需的安全威胁攻击和针对攻击的安全防御措施。通过不同的实验课程，学生可以体验到计算机和网络安全攻防的全过程，让学生从枯燥的理论学习中解脱出来，可以大大提高学生学习网络安全知识的积极性，帮助学生在未来的就业和职业发展中打下坚实实用的技术基础和经验。安全沙箱有10个千兆端口，其

13、中2个用于管理，8个用于学生实验，可满足8人同时实验的要求，具有以下特点，满足教学需要：1.独立的实验环境：教师可以通过SMC控制台为学生打开各种计算机安全教学课程的实验环境，学生可以进行自主学习3.同时支持多门实验课程：教师可以在SMC控制台上讲授多门计算机安全实验课程，并通过启动静态安全实验课件为不同的学生分配相应的实验课程。4.支持单独的实验评分系统：教师可以在SMC控制台上为课堂上的学生进行实验评分，每个学生可以有自己的实验成绩，并支持导出学生实验成绩的功能。5.实验课程在线帮助：学生在进行每一门实验课程时，可以通过在线实验指导和实验提示，自己完成实验课程。6.可扩展的实验课件系统：安

14、全沙箱系统可以不断更新实验课件，扩展实验能力，为计算机安全教学提供长期的实验操作平台。4.2安全攻防实验室拓扑图在安全攻击和防御实验室计划中，我们将实验室分为六个区域：1.网络虚拟专用网安全领域：利用防火墙对虚拟专用网技术进行组网和配置，让学生了解虚拟专用网技术的特点、适用范围、安装和调试。2.网络访问安全域：使用802.1x技术、网络访问技术或PPPoE访问技术管理访问安全，并使用DCSM内部网安全管理系统进行病毒检测和资产评估。3.内部网核心安全域：部署日志系统和Radius服务器进行安全审计。4.网络边界域：拥有流量整形网关设备、UTM和BAS设备，可以全面管理边界安全。5.模拟外部网络

15、安全域：主要进行远程访问的安全设置，模拟外部网络产生的恶意扫描和攻击。6.系统攻防演练区：安全沙箱是系统攻防的主要设备。入侵检测引擎负责网络安全嗅探和威胁发现。为了确保安全沙箱不会对网络的其他区域造成危害，有必要使用防火墙和其他区域进行隔离，并使用DCSM内网安全管理系统来管理这些工具和软件的资产，以防止学生私自复制而对校园网造成危害。安全攻防实验室不再是普通意义上的设备安装调试级别的实验室，而是带来了一个全新的实验室概念，即运维攻防级别的实验室概念，它提供了一个完全动态的、绝对真实的网络训练环境。对学生来说，网络不再是一个静态的设备，而是一个动态的整体，有各种各样的连接、服务和威胁。4.3安

16、全攻防实验室课程体系形成特殊的两级安全认证体系：4 . 3 . 1 DCNSA网络安全管理员初级课程掌握分为三个层次：掌握、理解和理解。项目类型一流的知识点次要知识点小时数硕士学位第一项：局域网安全攻防技术局域网设备安全开关设备的安全性2掌握安全控制台访问2掌握配置特权密码1掌握服务密码加密命令1掌握配置多个权限级别2掌握警告横幅(警告横幅)2掌握交互式访问2掌握安全的vty访问2掌握安全外壳协议2掌握禁用不必要的服务2掌握局域网常见的安全威胁及解决方案媒体访问控制泛洪/媒体访问控制欺骗4谅解生成树攻击4明白；理解VLAN跳跃4明白；理解DHCP攻击(假DHCP防御和DHCP拒绝服务攻击防御)4明白