网络攻防实验室解决方案白皮书V1.0.doc

《网络攻防实验室解决方案白皮书V1.0.doc》由会员分享，可在线阅读，更多相关《网络攻防实验室解决方案白皮书V1.0.doc（50页珍藏版）》请在三一办公上搜索。

1、锐捷网络攻防实验室解决方案建议书福建星网锐捷网络有限公司2009年9月 目录第一章 网络安全技术人才需求概述4第二章 网络安全技术人才培养的教学分析52.1培养网络安全技术人才的目标52.2网络安全人才培养专业设计52.2.1高校信息安全专业52.2.2高校网络安全专业62.3.3高校网络工程专业62.3 网络攻防实验室建设的应用需求72.3.1 提供真实的网络安全实验教学环境72.3.2 满足不同层次实验的需要72.3.3提供实验室配套的实验教学系统82.3.4有效地对实验教学进行管理82.3.5解决学生将来就业的通用性问题82.3.6完备和成熟的整体解决方案8第三章 建设网络攻防实验室的特

2、点和原则103.1 建设网络攻防实验室的特点103.2 建设网络攻防实验室的原则11第四章 网络攻防实验室建设方案134.1网络攻防实验室构建方案134.1.1网络攻防实验室拓朴图134.1.2 每组实验台介绍144.1.3实验室的布局164.1.4安全实验室服务器设计164.2网络攻防实验室课程设计164.2.1网络安全实验教学计划194.2.2推荐教材22第五章 锐捷网络攻防实验室解决方案的特点255.1专注于实验教学255.1.1实验内容完全满足高等院校的教学需要255.1.2配有内容丰富的实验指导手册255.1.3提供来自实际案例的综合性实验255.2 专业的教学服务265.2.1成为

3、锐捷网络学院265.2.2学生有机会全面接触前沿的网络安全技术265.2.3师资培训265.2.4可获得共享的教学资料265.2.5为各锐捷网络学院提供技术交流平台265.2.6建立双向人才信息库27第六章 锐捷网络实验室荣誉客户名单28附录 网络安全实验样例33实验 防火墙安全NAT33实验 防火墙实现抗攻击35实验 ACCESS VPN通信实验37实验 INTRANET VPN通信实验数字证书认证方式39实验 RG-IDS与RG-WALL防火墙联动实验41实验 IIS服务漏洞攻击检测实验43实验 使用ROUTER构建GRE OVER IPSEC VPN45实验 使用UTM防止病毒攻击47实

4、验整网安全综合实验49第一章 网络安全技术人才需求概述网络信息技术的飞速发展，通过网络进行信息资源的交流已经成为人类最频繁和最重要的交流方式，网络使用人数的增长速度超出人们的想象，人们在享受数字化时代所带来的便捷的同时，却越来越担心自身系统或信息的稳定和安全，如何保护网络中信息的安全成为网络安全学科最热点的课题，目前我国的网络安全及技术方面正出于起步阶段，网络及信息安全产业发展滞后，网络安全科研和教育严重滞后，关键是网络安全人才的匮乏，而市场对网络安全的巨大需求使得社会对网络信息安全人才的需求在今后几年内将超过100万人，而国内只有少部分理工类高校建立了“网络安全”、“信息安全”等专业，网络安

5、全人才的需求容量是无庸置疑的，就目前来看，网络信息安全已经形成一个产业，网络信息安全技术人才必将成为未来最热门的抢手人才。要培养符合社会需求的网络安全技术人才，就需要提供一个基于网络安全实践教学的网络攻防实验室，并在这个实验室的基础之上，提供合适的网络安全教材、提供完善丰富的网络安全教学内容，提供培养符合社会需求的网络安全技术人才所需的完善的课程体系。锐捷网络攻防实验室是专门面向开设网络安全、信息安全、网络工程、网络应用技术等专业提出的业界领先的第一份专门针对网络安全实验教学的一揽子实验室解决方案。是基于学校的教学计划及课程设置需求而设计的，是为各高校高校定制的。并且锐捷网络提出的网络攻防实验

6、室建设方案也是独特的，它具有专注于实践型实验教学、高效和便捷安全、先进的教学管理平台等无可比拟的优势。锐捷网络各类专业实验室解决方案已经成功应用于全国的900多所学校，行业市场占有率第一，应用效果明显。第二章 网络安全技术人才培养的教学分析2.1培养网络安全技术人才的目标在国家教育部门的宏观指导下，我国部分高校已经设置了本专科起点的网络安全、信息安全专业，在一些重点的高校如：武汉大学、北京邮电大学、西安电子科技大学等设置了密码学和信息安全的博士点，我国的网络安全学科的人才培养已经拉开了序幕，但是与发达国家相比，我国高校的安全方向培养学生规模、学科建设、实验室建设、实践教学等方面还存在着很大的差

7、距，理论多于实践的现象在各高校已是相当普遍，远远不能满足信息化进程对应用型人才的迫切需求。由于信息系统本身的脆弱性和不断出现的复杂性，信息安全、网络安全的问题也日趋严重，掌握网络安全技术及发展势在必行。通过分层次的网络安全中的诸如加密技术、防火墙技术、VPN技术、无线接入安全和入侵检测技术，通过一个个具体的网络实验案例来论述每一种安全技术在大型网络的应用和实施，让学员在掌握每一种技术的基础上了解网络安全的整体架构和综合使用。通过这部分实验环节课程的学习，不仅能全面提高学生的实际动手能力，而且还能让学员切实了解自己所掌握的实际操作技能以及何时、何处、何种环境能够应用这些技能，真正做到学以致用。2

8、.2网络安全人才培养专业设计很多高校高校都有信息安全专业。在信息安全的专业课里，都有密码学、网络安全原理、信息系统安全原理这样的课程，讲的是理论，主要是概念性的知识。在这些课程上，很少有动手实验的机会，基本没有真实环境进行搭建和验证的实验。学生学完了课程只是会说，知道基本的原理，但没有见过真实的环境，到了实际的应用环境就不知如何动手了。还有些学校开设了网络安全专业、网络工程专业、网络系统管理专业。这其中与网络安全相关的专业课程就很丰富了。在这样的一些专业课上，要求给学生提供相应的动手实验机会，加强理论与实践的结合。2.2.1高校信息安全专业培养目标：具有进行信息系统安全设计、管理的维护的高级技

9、术人才。本专业培养能系统地掌握计算机科学与技术，不仅具备计算机系统软硬件件与应用、密码学、信息系统安全监控、保密性及完整性、预警防护检测反应的基本理论基础，更要具有网络操作系统、数据库、网络设备、网络管理等实际应用开发技能。通过系统学习培训，使学生掌握行业应用的系统管理安全防卫体系，能熟练地管理网络信息流，掌握计算机系统病毒防护等技能。主要课程：计算机组成原理、计算机接口技术、数据结构与算法、编译原理、安全操作系统原理、程序设计基础、数据库系统原理、通信原理、计算机网络、无线通信与网络、数学分析、高等代数、信息论基础、密码学原理与技术、密码算法硬件实现、网络安全理论与技术、信息隐藏技术、计算机

10、病毒原理与技术、PKI原理与技术、入侵检测技术、网络编码原理与技术、信息对抗技术、网格计算概论网络安全方面实验：网络安全方面的全系列实验，物理层实验，网络系统层、应用层及用户层、数据层的全系列教学实验。希望能对学生进行信息网络安全认证资格考试CISP，可以得到社会的认可。2.2.2高校网络安全专业培养目标：具有全面的网络安全专业知识，使得学生有较宽的知识面和进一步发展的基本能力；加强学科所要求的基本修养，为学生今后的发展、创新打下良好的基础；使学生具有较强的应用能力，具有应用已掌握的基本知识解决实际应用问题的能力，不断增强系统的应用、开发以及不断获取新知识的能力。努力使学生既有扎实的理论基础，

11、又有较强的应用能力；既可以承担实际系统的开发，又可进行科学研究。主要课程：计算机组成原理、微机原理及接口技术、操作系统及服务器应用技术、数据库技术、计算机网络原理件工程、通信原理、密码学、网络安全技术、数字鉴别及认证系统、防火墙技术、网络安全检测与防范技术、网络安全协议与标准、计算机网络安全管理等课程。网络方面实验：交换机、路由器、防火墙、IDS、VPN、各类应用服务器、认证服务器等基本配置实验，以及网管软件、协议分析软件、抓包软件分析的实验。2.3.3高校网络工程专业培养目标:本专业培养适应社会主义现代化建设需要，德、智、体全面发展，能够系统地、深入地掌握信息网络工程领域的基本理论方法和技能

12、，能从事信息网络的设计、开发和应用等方面工作的人才。系统掌握网络工程专业知识，能够从事网络工程规划设计、组建、管理和维护；从事网络工程应用系统设计、开发、管理和维护；从事网络工程基础理论研究、分析的专业技术人才。能进行计算机网络系统及其应用软件系统的规划、设计、实施、维护的复合型技术人才。毕业后从事网络的设计、开发、维护及研究工作。培养要求:掌握有关计算机网络原理、网络互联技术、协议工程、网络管理、信息安全、多媒体通信以及信息管理与信息系统等方面的原理和技术；具有对信息网络安全进行实际操作和维护的能力。 主干学科与主要课程： 计算机网络原理、协议工程、网络互联技术、信息安全、分布式系统、多媒体

13、系统及应用、数据仓库与数据挖掘、TCP/IP与Internet、网络应用编程技术、宽带综合业务数字网基础、数据通信系统、计算机网络原理、网络操作系统、网络规划与设计、计算机网络管理、局域网技术与组网工程、互联网技术及其应用、网络安全技术、信息网络新技术等。主要实践教学：认识实习、上机操作、数学实验、数学建模、课程实验、毕业设计。2.3 网络攻防实验室建设的应用需求2.3.1 提供真实的网络安全实验教学环境社会或企事业单位用人的标准是需要具有动手能力的网络安全技术人才。这和学校的人才培养模式、培养目标等方面与存在着差距。现在很多学校更多的是注重理论的教学，现在，很多政府机关、电信及金融行业更需要

14、的是具有动手能力的网络安全技术人才。对于学校来说，学生动手能力的培养，在很大程度上取决于学校的安全实验环境和实践课程设置。那对于我们信息安全专业或网络安全方向的教学，如何来做到这一点？这就要求提供真实的实验环境及专业的课程设置。2.3.2 满足不同技术类型实验的需要对于很多高等院校来说，建网络攻防实验室需要它能满足做不同技术类别的实验。这就要求在这个实验室内同时完成不同层次人才的培养需要。涵盖网络协议、操作系统、网络攻击与防御、网络病毒、网络后门与隐身、网络扫描与监听、防火墙与入侵检测、认证和授权、日志与审计、网络安全方案设计、网络管理等等。2.3.3提供实验室配套的实验教学系统网络攻防实验室

15、建成了，如何能迅速的将这个实验室应用到教学中去，这就要求合作伙伴或厂家在提供解决方案的时候，能一并考虑相关的教学支持系统，即厂家不仅仅是把设备卖给学校，还要解决相关的教材，师资等问题。必不可少的详实丰富的实验内容、系统的实践型实验教材、完善的师资培训三个方面与实验室的硬件配套教学系统。2.3.4有效地对实验教学进行管理传统的网络实验室的做法是会使得网络实验的过程演变成了插拔线的过程。传统做法的三个问题：一、学生的宝贵实验时间大半浪费在插拔线上，而不是用在真正的试验内容上，学习效果差；二、一个班级40个学生左右，同时插拔线，可以想见那个场面有多混乱，老师的精力浪费在维持秩序上，无法集中精力辅导学

16、生做实验，教学效果差；三、不断地插拔线，设备的端口容易损坏。一般一个端口的标准插拔次数是500次，而一次课可能就要插拔十多次。这就要求新型的网络实验室如具备有访问控制和管理服务器、教学管理软件系统、远程实验室管理和预约系统等这样的系统，所有实验从这个系统的Web界面通过鼠标双击网络实验台、相关组成设备名称的方式，进入相应设备，就可以进入该台设备进行实验，而不需要插拔线，进行真正的逻辑连接和网络构建、调试实验。同时还具备快速处理每班次实验课的配置恢复工作，从而保证教学课时的安排，做到实验室的管理便捷。2.3.5解决学生将来就业的通用性问题培训出来的学生不光能够会配置实验室中的网络设备，主要是能够

17、调试和配置业界主流的网络设备，这样学生的就业面就不会太窄。要做到学会了业界主流的设备调试，绝大部分主流设备的调试都不是问题，不受单一厂家的限制。2.3.6完备和成熟的整体解决方案这就要求目前要在全国各类高等院校得到广泛的应用，在业界是领导的地位。是投入了大量人力物力专注与教育行业，经得起实践考验的，成熟的方案。所提供的实验内容、系统的实践型实验教材、完善的师资培训都经过应用验证的，并真正能提高学校教学效果和学生就业能力的。各学校投入网络攻防实验室建设的经费有限，因此网络实验室设计方案具有良好的性能价格比，经济实用，适用范围广，技术符合网络安全教学的特点。通过精心分析网络安全教学实验的课时量，要

18、合理安排网络教学实验和网络培训实验环节，完全能够避免对教学体系的影响。同时可与各学院在校内合作开办的网络安全技术教育中心。满足教学、科研需求，并在此基础上，可进行网络安全技术职业认证培训。第三章 建设网络攻防实验室的特点和原则3.1 建设网络攻防实验室的特点网络安全领域已经成为一个综合、交叉的学科领域，网络安全涉及到网络通信、信息系统、数据等各个层面，它需要综合利用计算机技术、网络通信、电子电路技术、数学、物理等诸多学科的长期知识积累和最新研究成果，网络安全也是一个复杂的系统工程，它涉及到信息基础建设、网络与系统的构造、信息系统与业务应用系统的开发、信息安全的法律法规、安全管理体系等。因此网络

19、安全是网络通信应用领域安全防护问题的一门新兴的应用学科。该学科交叉性多、边缘性强、应用面宽，是一个庞大的学科群体系。在实际的网络安全部署中，网络安全不是一个产品，也不是一个结果，而是一个过程，它是汇集了硬件、软件、网络、人与人之间相互关系和接口系统，因此，在建设网络攻防实验室的过程中需要考虑安全的连续过程，以及网络安全中相互匹配链条中每一个因素。网络攻防实验室的课程类型将根据网络安全的过程进行设置：网络安全分析阶段、网络安全保护阶段、网络安全检测阶段、网络安全管理阶段、网络安全恢复阶段。主要课程领域将涉及：网络物理安全、计算机软件安全、操作系统安全、安全协议理论和技术、数据库系统安全、入侵检测

20、技术、漏洞扫描技术、防火墙技术、授权和认证、加密与数字签名、数据分析、行为监控等方面，整个安全过程相互间协同工作形成一整套实验课程。锐捷网络攻防实验室以构建安全的网络为主线，以信息安全、应用安全、用户安全和系统安全为支撑，从评估网络安全、制定网络安全策略、设计网络安全体系结构、部署安全应用技术，架构全面的安全层次体系结构。让学员在实验室实际的网络环境里将理论与实践相结合，提高学习效率。网络攻防实验室主要用来开展网络安全实验的，网络攻防实验室的总体设计应当满足各方面网络实验的需求，因此完备性是网络实验室建设的基本目标。据此我们把计算机网络实验室的建设目标分为以下五个层次：第一个层次是物理网络安全

21、层。在网络物理安全实验室中可以做的网络物理安全实验是：物理链路安全、体系架构安全实验、防火墙物理部署实验、安全网关部署、硬件入侵检测部署、VPN部署等实验。网络物理安全实验的内容根据实际的研究需要来定，网络线路的复杂性需要尽可能模拟宽带数据城域网及大型园区网的组网方式和业务，能够根据网络架构的链路、体系结构来进行实验，完成桌面、接入、汇聚、核心、出口、应用等整个网络部署安全实验。第二个层次是网络系统安全层。在网络系统安全层包括了网络操作系统安全、软件安全、数据库安全、协议分析、行为及模式匹配、安全评估、风险评估等实验内容，通过一系列操作系统、软件、协议分析器、数据库应用系统等应用环境进行组网，

22、模拟真实的网络系统数据模型，开展一系列的验证、测试等技能型的系统级安全实验。第三个层次是网络应用安全层。网络应用安全实验包含了：防火墙技术实验、攻防实验、病毒防护实验、入侵检测技术实验、漏洞扫描、流量监控、VPN技术实验、安全审计实验、应用服务区域防护实验等。通过一系列的网络安全应用技术实验完成网络应用安全领域最核心的课程。第四个层次是网络管理安全层。网络中的用户经常变化，并且难以进行管理，因此用户安全变得尤其重要，同时网络的管理包含了故障管理、设备管理、性能管理等等重要内容，因此对网络的管理本身的安全性要求就会更高，常用的网络管理安全实验包含了：身份认证技术、对用户/组的管理、访问控制授权、

23、网络状态、性能监控等管理实验，同时也具备了管理过程授权及加密等实验。第五个层次是网络数据安全层。数据安全是一个非常重要的学科，数据是整个安全层次保护的核心，因此在整个网络安全层次中出于最高层，数据安全的实验内容包含了：密码技术、身份鉴别、数字签名、PKI技术、IPSAN设计、远程灾难备份等。通过以上五个层次，最终建成一个高水平的网络攻防实验室，在其实验平台上运行多种实验系统。使实验中心成为满足不同层次教学需要的IT专业网络安全实验基地和人才培养基地。3.2 建设网络攻防实验室的原则网络安全实验的建设为培养政府机关、国家安全部门、银行、金融、通信、能源等各行业从事网络信息系统安全方面的研究、设计

24、、开发和管理维护等工作的人才，为达到网络攻防实验室建设的目标，综合考虑近几年网络安全技术的发展，在实验室设计构建中，应始终坚持以下原则：第一，高可靠性。网络实验系统的稳定可靠是应用系统正常运行的前提保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。使得网络在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。第二，标准性及开放性。通讯协议和接口符合国际标准。支持国际上通用标准的网络协议（如TCP/IP）、 国际标准的开放协议，有利于保证与其他网络在之间的平滑连接互通。方便接入不同厂商的设备和网络产品。在网络

25、中，即使有多个网络和多应用并存，采用统一的标准，也能使这些网络能融合到一起，实现业务整合及数据集中。第三，灵活性及可扩展性。根据未来业务的增长和变化，网络可以平滑的扩充和升级，最大程度的减少对网络架构和现有设备的调整。易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。第四，先进性。学校作为最前沿学科和技术研究场所，要求网络实验室要配备最先进的网络设备，能够开展最新技术的科研，教学和实践活动，对网络实验室的设备，网络方案的技术先进性要求非常高。同时还应跟踪当前计算机网络和通信技术的最新发展，能够开设一些高水平的网络和通信实验。第五，可管理性

26、。对网络实行集中监测，分权管理，并统一分配宽带资源。选用先进的网络管理平台，具有对设备、软件、接口等的管理，流量统计分析，及可提供故障自动报警。整个实验室平台可以进行远程控制。第六，安全性。制订统一的安全策略，整体考虑实验平台的安全性。可以通过各业务子网隔离，统一规划，根据不同的业务划分子网。具有保证系统安全，防止系统被人为破坏的能力。支持AAA功能、ACL、IPSEC、NAT、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。第七，综合性和统一性。要求在一个网络实验室内完成上面提到的众多网络实验，并且最好是由一个厂家的设备来组建。为了保证网络攻防实验室的规划和建设的

27、质量，根据上述建设网络攻防实验室的目标和原则，只能在有实力的网络设备生产厂商中选择合作伙伴。第四章 网络攻防实验室建设方案4.1网络攻防实验室构建方案4.1.1网络攻防实验室拓朴图网络安全技术是一门实践性很强的学科，学生除了需要学习大量的网络技术知识、系统安全、数据安全知识之外同时也需要做大量的实验。随着需要进行网络安全实验的学生数量越来越多，安全实验的需求量也越来越大，如何有效管理网安全络实验室，如何方便的进行灵活的网络安全实验组合，如何组织配套的相关实验资料，成为了建设网络攻防实验室的重要问题。针对网络实验室的现状，锐捷网络安全实验基本单元的实验室设计理念。锐捷网络攻防实验室解决方案把实验

28、室分为6个区域，连接区、教师区、学生区、教学服务区、实验教学区和出口区。学校可以根据实际需要选择实验台的数量。推荐学校安全实验室按照30人左右进行设计，设置8组，每组4位同学。整个实验环境都是模拟当前最新的网络安全技术应用环境设计，不但能满足目前网络攻防实验室需要，而且可以后期进行平滑升级，通过添加部分网络设备和模块来组建更为复杂的网络攻防实验室环境，为学生提供更多的实验内容，实现更复杂的网络实验。4.1.2 每组实验台介绍锐捷网络攻防实验室方案中实验用的网络设备都由标准实验台这一网络实验基本单元组成。安全实验台实验环境说明：配置一台三层交换机，作为每个小组的三层网关设备，同时可以开展DHCP

29、 Snooping、端口保护、PVLAN等试验；配置两台模块化路由器，作为每个小组的出口路由及访问控制实验环境，两台之间做路由器的GRE、IPsec、GREoIPsec VPN用，也可以用来在综合案例中模拟Internet。配置两台防火墙，作为每个小组的攻防两个园区网中的防火墙出口安全设备；配置两台IDS，可以完成入侵检测实验环境；配置两台VPN网关，可以完成VPN实验；配置一台统一威胁网关可以完成病毒防护实验；配置一台网络存储设备可以完成灾难备份等数据安全实验；配置一台网络攻防教学平台，与真实网络安全设备配合可以完成实际网络攻击及防御等实验。每组学生可以利用学生区的学生机来对教学服务区的服务

30、器进行用于攻击、防御、病毒等行为目标测试。采用12台设备组成一个标准实验台。因为这样就可以在一个标准实验台内完成几乎所有的网络安全实验内容，可以满足目前高等院校的教学需要，实验设备的数量可以根据学生数目和开设的安全课程内容进行适当调整。锐捷网络攻防实验室设备每组需要的实验设备清单：序号设备名称设备型号数量备注1二层交换机RG-S2126G12三层交换机RG-S3760-2413路由器RSR20-0424防火墙RG-WALL6025入侵检测设备RG-IDS10026VPN设备RG-WALLV5027网络存储设备RG-IS-LAB18统一威胁管理网关RG-USG19网络攻防教学平台RG-SAP1锐

31、捷网络攻防实验室公共部分需要的实验设备清单：序号设备名称设备型号数量备注1智能管理型无线接入点（瘦AP）MP-7112MP-37213RG-WG54U24RMTS15MXR-216自治型无线接入点（胖AP）RG-P-72017综合管理平台RG-LIMP2.118网络攻防管理平台RG-SMS19网络协议安全分析RG-PATS-SW1实验室教学服务区教学实验服务器及软件建议清单：序号设备名称数量备注1实验教学管理服务器1安装LIMP2网络攻防教学服务器1安装RG-SMS3网络协议安全分析服务器1安装RG-PATS-SW4.1.3实验室的布局每个实验台可供4人同时实验，每个实验小组都能在一个实验台上

32、单独完成全部实验内容。一般由8个实验台可以构成一个实验室，供30人左右实验。4.1.4安全实验室服务器设计建议采用三种操作系统的服务器，来完成网络安全的应用需求，以及实验需求，密码服务器、病毒服务器、攻防服务器、PKI/安全审计服务器等，建议采用专用服务器。需要安装NT/LINUX/UNIX/VISTA等操作系统、数据库MYSQL、各种服务器组件、路由、FTP、WEB、视频服务器、FTP服务、SSH、电子邮件、新闻服务器、DHCP服务、DNS服务、计费系统、SNIFFER等软件。4.2网络攻防实验室课程设计由于计算机网络组网的复杂性及网络协议的多样性，要求所建的网络攻防实验室尽可能多的实现这些

33、环境实验。同时基于实际网络结构及应用的复杂性、多样性，网络攻防实验室应具备能包含尽可能多实际应用环境的模拟。要求网络攻防实验室能满足高等院校教学和提供各个层次水平的教学，从而对每类学校均要分别考虑实验室建设的情况。锐捷网络安全实验课程结合安全人才培养特点，制定了从基础到应用的课程体系，采用经典应用案例教学的方式，通过实际的拓扑来构造实际应用。如图：（一）基础安全技术实验课程（二）网络攻防实验课程（三）综合案例实验课程4.2.1网络安全实验课程规划序号实验名称建议课时1课时=1小时掌握技能面向对象难度指数1STP安全设置1掌握交换机安全技术中职、高职、本科低2MAC地址过滤1中职、高职、本科低3

34、端口保护0.5中职、高职、本科低4端口阻塞0.5中职、高职、本科低5广播风暴控制0.5中职、高职、本科低6系统保护0.5中职、高职、本科低7端口安全0.5中职、高职、本科低8配置ARP检查（ARP欺骗）1中职、高职、本科低9配置DHCP Snooping1中职、高职、本科低10配置DAI（ARP欺骗）1中职、高职、本科低11防火墙的初始配置0.3掌握防火墙基本配置与应用案例中职、高职、本科低12安全策略的设置0.5中职、高职、本科中13安全NAT的配置0.5中职、高职、本科中14客户端认证的配置1中职、高职、本科中15防火墙防DoS攻击的设置1中职、高职、本科中16地址绑定0.5高职、本科中1

35、7连接速率限制0.5高职、本科中18配置URL过滤0.5高职、本科中19服务保护0.5高职、本科中20P2P限制0.5高职、本科中21链路负载（策略路由）1高职、本科高22实现无线用户的二层隔离1无线安全技术中职、高职、本科简单23使用MAC 认证实现接入控制1中职、高职、本科中等24配置无线网络中的WEP加密1中职、高职、本科中等25配置 MAC 地址过滤（自治型AP)0.5中职、高职、本科中等26配置SSID 隐藏（自治型AP）0.5中职、高职、本科简单27配置WEP 加密（自治型AP）1中职、高职、本科中等28使用Web 认证实现接入控制1中职、高职、本科困难29使用802.1x 增强接

36、入安全性1.5中职、高职、本科困难30配置无线网络中的WPA加密1中职、高职、本科中等31非法AP和Client的发现与定位1中职、高职、本科中等32磁盘基本操作实验1数据安全技术中职、高职、本科低34RAID 0实验0.5中职、高职、本科中35RAID 1实验0.5中职、高职、本科中36RAID 5实验0.5高职、本科中37NAS文件共享1中职、高职、本科中38数据恢复实验（snapshot）1高职、本科中39使用NFS协议实现跨平台共享2.5高职、本科中40初始化配置实验0.5USG管理和统一安全网关技术中职、高职、本科中41权限管理配置实验0.5中职、高职、本科中42本地用户认证实验0.

37、5中职、高职、本科中43时间对象管理实验0.5中职、高职、本科中44会话对象管理实验0.5中职、高职、本科中45安全策略配置实验0.5中职、高职、本科中46邮件病毒防御实验1中职、高职、本科中47文件病毒防御实验1中职、高职、本科中48流量监控实验配置1中职、高职、本科中49入侵攻击防御实验1高职、本科中50DDOS攻击防御实验1高职、本科高51SSL VPN应用实验1.5高职、本科高52双机热备实验1.5高职、本科高53服务对象管理实验1高职、本科高54WEB管理实验1高职、本科高55IM软件管理实验1高职、本科高56与IDS联动实验1.5高职、本科高57使用Router构建GRE VPN1

38、掌握VPN基本配置与隧道技术高职、本科中58使用Router构建IPsec VPN1高职、本科中59使用Router构建GRE over IPsec VPN1高职、本科中60Access VPN通信实验1高职、本科中61Access VPN通信实验 采用USB Key的数字证书方式1高职、本科中62Access VPN用户授权通信实验1高职、本科中63Access VPN的通过内部DNS和内部WINS访问内部资源的实验1高职、本科高64Access VPN的用户接入控制实验1高职、本科高65Intranet VPN通信实验-预共享秘钥方式1高职、本科中66Intranet VPN通信实验数字证

39、书认证方式1高职、本科中67Intranet VPN解决子网冲突问题的通信实验 1高职、本科高68Intranet VPN桥模式下通信实验1高职、本科中69使用SPAN对数据流进行镜像0.3IDS管理与安全检测技术中职、高职、本科低70IDS 策略管理实验1中职、高职、本科低71IDS 配置管理实验1.5中职、高职、本科低72IDS 报表管理实验1中职、高职、本科低73IDS 帐户管理实验0.3中职、高职、本科低74IDS 数据库管理实验1中职、高职、本科低75木马攻击检测实验1中职、高职、本科中76端口扫描检测攻击实验0.5中职、高职、本科中77蠕虫病毒攻击检测实验0.5中职、高职、本科中7

40、8DOS攻击检测实验0.5中职、高职、本科中79DDOS攻击检测实验0.5中职、高职、本科中80缓冲区溢出攻击检测实验1中职、高职、本科中81WEB服务器攻击检测实验1中职、高职、本科中82数据库攻击检测实验1本科高83分布式管理实验1本科高84事件自定义实验1本科高85告警事件风暴抑制管理实验1本科高86事件响应方式管理实验1本科高87密码策略审计实验1本科高88系统漏洞攻击检测实验1本科高89IDS与防火墙联动2本科高90Windows系统基线检查工具的使用1网络攻防实验中职、高职、本科高91Windows系统安全评估(帐号管理、认证授权)1中职、高职、本科高92Linux系统主动防御1中

41、职、高职、本科高93Linux系统漏洞利用1中职、高职、本科高94SQL注入攻击与跨站攻击类事件处理1中职、高职、本科高95木马(灰鸽子)防护1中职、高职、本科高96主机拒绝服务器攻击实验处理1中职、高职、本科高97网络及信息欺骗类事件处理(ARP)1中职、高职、本科高98木马攻击检测实验1中职、高职、本科高99端口扫描检测攻击实验1中职、高职、本科高100蠕虫病毒攻击检测实验1中职、高职、本科高101DDOS攻击检测实验1中职、高职、本科高102缓冲区溢出攻击检测实验1中职、高职、本科高103WEB服务器攻击检测实验1中职、高职、本科高104数据库权限溢出攻击实验1中职、高职、本科高105弱

42、口令破解实验1中职、高职、本科高（注：进行此实验学习之前，需具有在网络工程实验室中学习基础网络构建的知识）4.2.2推荐教材计算机网络安全实用技术教材系列：普通高等教育“十一五”国家级规划教材高等院校信息安全专业系列教材出版机构：清华大学出版社适合院校：高等职业教育、本科教育、研究生 局域网安全管理实践教程网络安全防御技术实践教程 VPN虚拟专用网安全实践教程教材系列：普通高等教学“十一五”国家级规划教材出版机构：清华大学出版社适合院校：高等本科教育、高等职业教育 网络攻防及行业案例实践教程教材介绍：网络攻防及行业安全应用案例实验完成进度：教材编写中适合院校：高等本科教育、高等职业教育 二十四

43、史防火墙技术实验指导书二十四史VPN技术实验指导书二十四史网络管理实验指导书二十四史身份认证实验指导书作者：锐捷网络 编著 第五章 锐捷网络攻防实验室解决方案的特点5.1专注于实验教学5.1.1实验内容完全满足高等院校的教学需要培养手段的多样性高等院校教育培养目标的复杂性决定了其培养手段的多样性。在教学形式上，不仅有一定的理论教学，使学生掌握基本理论与基本知识，而且有大量的实验、实习、设计、实训等实践教学，培养学生的综合职业能力。在教学过程中实施双向化，教师是学习的指导者、促进者、组织者和管理者，为学生学习提供资料、咨询等方面的支持，学生不再是被动接受者，而是主动探求者，教和学成为双向式教学过程。在教学手段上实现现代化，计算机和多媒体技术的广泛应用，将迅速、高效地为高等院校教育教学提供各种所需信息，极大地提高教学效率和教学质量。5.1.2配有内容丰富的实验指导手册锐捷网络为网络攻防实验室配套了内容丰富的专业实验手册，以供教学参考。实验手册中对每个实验的教学目的、实验的真实环境描述、实验的设备、实验设备间相连的网络拓扑、实验操作步骤、实验结果及验证等内容，描述详尽、图文并茂，可以直接当作教材用。5.1.3提供来自实际案例的综合性实验