网络与信息安全实验室设计.docx

《网络与信息安全实验室设计.docx》由会员分享，可在线阅读，更多相关《网络与信息安全实验室设计.docx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精品文档，仅供学习与交流，如有侵权请联系网站删除网络与信息安全实验室解决方案下载 大中小 给本解决方案提建议 概述 信息安全发展势在必行 随着信息技术的发展和信息化建设的高速推进，为信息安全产业的发展带来了前所未有的机遇。根据IDC数据分析显示，目前安全市场的增长远远高于整个IT市场的增长。政府、电信、金融等部门和行业对信息安全的投入加大成为推动市场的主要动力，随着电子商务、电子政务等信息化应用的不断深入，对于数据的安全保障、不可否认性等安全机制的要求日益提升，使得信息安全人才在维护信息安全方面的作用将越来越突出。 信息安全人才需求旺盛 信息安全人才，即受过计算机网络技术、信息安全教育，懂得计

2、算机技术和信息安全方面的知识并且能够解决实际问题的专门人才，在维护信息安全、保障网络运行中起着基础和决定性的作用。 截止2008年底，设置信息安全本科专业的高校已经有七十余所，这些高校为社会输出了一大批较高水平的信息安全人才，但是其数量远远无法满足社会的需要。据不完全统计，仅上海一地信息安全人才缺口就达到十万，而现有高校每一届信息安全人才培养数量不足万人，人才供需矛盾显著。 现状分析 我国信息安全专业建设刚刚起步 2000年以后，高校信息安全专业建设有了飞速的发展，有多所学校建立了信息安全专业，形成了从本科生到博士研究生的培养梯队。但是由于开设时间短，各个高校之间的培养方式和侧重点都存在差异，

3、出现了多样化的办学思路。不同的办学思路一方面体现了各高校的办学特色和学科优势，在学科发展初期是一种有益的探索和尝试；从另外一方面也体现出我国高等教育体系中缺乏对信息安全人才培养的统一规划和指导，尚未形成科学合理的教学模式。 专业基础课程难度大、内容多 信息安全领域的知识覆盖面广、学习难度大，其中信息安全专业的核心课程包含密码学、数字水印技术、访问控制、信息对抗、网络安全技术等，这些课程往往建立在大量抽象、复杂的数学模型及计算机网络基础上，并且在课程学习之前，就需要对线性代数、离散数学、计算机网络等基础课程有较深的掌握和理解。开设配套的实践课程需要专业的教学平台，实施较为困难。 实践教学环境搭建

4、困难安全隐患与安全威胁的排查能力是需要在大量的实践中不断积累经验，不断实际操作方能提升的，所以在完成理论知识的学习后，实践课程的补充尤为重要。但是在实际操作过程中，搭建存在安全隐患或者安全威胁的实践环境往往需要较长时间，同时搭建过程中，由于各种因素的影响，无法保证每次环境的一致性，很难确保信息安全实践环境的反复重现。 方案介绍 锐捷网络服务教育十周年，一直致力于为网络实践教学提供最专业、最全面、最优质的服务。而锐捷推出的网络与信息安全实验室是专门面向开设信息安全专业以及开设信息安全课程的相关专业提出的业界领先的第一套专门进行信息安全实践教学的实验室解决方案，我们致力于： 针对信息安全专业核心课

5、程提供真实、可操作的实践教学环境，如密码学及应用、信息系统安全、数据安全等； 结合行业应用需求，提供信息安全综合实验搭建方案，协助老师开展规模化的综合性信息安全实验课程； 通过提供专业的师资教学能力提升计划、配套实验教材等服务支撑体系，保障学校投入最小资源开设最为丰富的信息安全实践课程。 锐捷网络通过不断与各高校探讨，推出了满足高校实践教学需要的网络与信息安全实验室解决方案，实验室建设拓扑如下： 专业核心课程的实践操作环境 信息安全专业课程体系中，密码学、主机安全、PKI/PMI数字证书机制、木马病毒原理、安全审计、数据安全、防火墙技术、入侵检测技术、VPN隧道技术等课程是最为主要知识环节。掌

6、握这部分知识，也是信息安全人才培养的重点教学目标。 密码学：将主流密码加解密过程用直观的方式展示出来，并通过较好的实验环境搭建，使得学生可以通过实践动手直接把在书本上学习的知识全部呈现出来，同时还能通过与源代码的一一对应关系，将程序代码与实现效果一一对应出来，达到“用中学”的效果；主机安全：可全面的进行主机的漏洞扫面分析，并直观显示目标主机所存在的安全隐患，并同时提供操作系统策略部署、数据库安全保障等实验操作。PKI/PMI数字证书：将PKI/PMI证书申请、发布等一系列流程通过实际动手操作进行完成，可让学生通过实际动手来进一步了解数字证书的发布使用流程及作用。 木马病毒原理：对典型木马及主流

7、病毒的攻击方式进行演技操作，分析该类型木马或者病毒所针对的网络系统漏洞，并提供防御方式的实验。 安全审计：提供应用程序、文件管理、网络事件等安全日志的审计实验，通过日志的管理不断提高学生对安全日志的理解，以及审计的流程与规范。 数据安全：提供真实网络数据存储环境，搭建数据的异地容灾备份、文件系统NAS共享平台。 网络安全技术：针对业界真实的主流网络安全设备，如防火墙、IDS、VPN、USG等，进行实际应用操作演练，对包过滤、状态过滤等热点防火墙技术提供实际动手操作的环境。 涉及的实验（部分）包含：课程知识点实验名称密码学对称密码基本加密实验：DES、3DES、AES-128、AES-192、A

8、ES-256、SMS对称密码分组加密实验：DES、3DES、AES-128、AES-192、AES-256、SMS古典加密实验：移位密码、仿射密码、维吉尼亚密码流密码加密实验：RC4散列函数实验：MD5、SHA-1、SHA-256非对称加密实验：RSA、Elgamal数字签名实验：RSA-PKCS、DSA、ECC数字水印实验：LSB、DCT算法嵌入/提取/破坏水印实验大数运算实验文件加解密实验密码学应用实验：基于SSH协议的安全通信实验（密码认证、公钥认证）；基于GnuPG的加密及签名实验（文件加密及签名、文本加密、邮件加密及签名）PKI证书申请实验请求管理实验证书管理实验交叉认证实验证书应用

9、实验（Word签名、Foxmail签名、IIS应用）Windows CA实现IIS双向认证PMI证书申请实验申请管理实验属性管理实验证书管理实验证书应用实验（基于角色的授权与访问控制、基于安全级别的授权与强制访问控制）日志审计文件事件审计实验网络事件审计实验应用程序审计实验日志事件审计实验日志关联审计实验审计跟踪实验主机监管实验木马病毒脚本病毒实验9个小实验DLL注入型病毒实验木马攻击实验查杀病毒实验2个小实验主机安全网络后门种植实验踩点扫描实验痕迹清除实验Windows/Linux安全：文件系统、用户管理、策略、网络及服务SQL Server/MySQL安全：安全配置、数据库备份与恢复Win

10、dows/Linux下WEB、FTP、远程桌面服务安全配置 信息安全综合应用的实训平台 信息安全体系层次复杂多样，任何安全问题都涉及到多个层次的知识点，所以无论是作为安全事件的攻击方还是防御方，都需要具备扎实的信息安全知识功底，并且能够灵活运用各种技术，为网络攻防获取足够的信息与资源。信息安全课程的最终学习目的就是对存在的安全隐患和安全威胁做好防范工作，而在其爆发时，需要能够及时的通过调整安全策略达到最大程度减少损失的目的。所以，必须通过大量的实践操作来进行安全综合应用的演练来熟悉各种攻击方式以及对应的防御办法。锐捷信息安全实验室将这部分综合实验分成两个层次： 搭建安全的网络环境 通过安全的网

11、络环境消除安全隐患及威胁 搭建安全的网络环境：了解主流安全设备应用及特点，根据网络应用的不同以及安全要求级别的不同，搭建安全网络结构，部署安全防御策略，进行相应的安全防御构建； 涉及的实验（部分）包括：掌握技能实验名称掌握交换机安全技术STP安全设置MAC地址过滤端口保护端口阻塞广播风暴控制系统保护端口安全无线安全技术实现无线用户的二层隔离使用MAC 认证实现接入控制配置无线网络中的WEP加密配置 MAC 地址过滤（自治型AP)配置SSID 隐藏（自治型AP）配置WEP 加密（自治型AP）使用Web 认证实现接入控制使用802.1x 增强接入安全性配置无线网络中的WPA加密掌握防火墙基本配置与

12、应用案例防火墙的初始配置安全策略的设置安全NAT的配置客户端认证的配置地址绑定连接速率限制配置URL过滤链路负载（策略路由）数据安全技术磁盘基本操作实验IP SANRAID 0实验RAID 1实验RAID 5实验NAS文件共享USG管理和统一安全网关技术初始化配置实验权限管理配置实验本地用户认证实验时间对象管理实验会话对象管理实验安全策略配置实验掌握VPN基本配置与隧道技术使用Router构建GRE VPN使用Router构建IPsec VPN使用Router构建GRE over IPsec VPNAccess VPN通信实验IDS管理与安全检测技术使用SPAN对数据流进行镜像IDS 策略管理

13、实验IDS 配置管理实验IDS 报表管理实验IDS 帐户管理实验IDS 数据库管理实验 通过安全网络解决安全问题：面对外部网络的入侵以及内部网络的攻击，及时调整信息安全策略的部署，并及时修改网络拓扑，隔离非法主机等措施，来进行整网的安全保障，同时能够进行感染区隔离和处理。 涉及实验（部分）包括掌握技能实验名称接入安全综合应用配置ARP检查（ARP欺骗）配置DHCP Snooping配置DAI（ARP欺骗）非法AP和Client的发现与定位防火墙综合应用防火墙防DoS攻击的设置服务保护P2P限制数据容灾数据恢复实验（snapshot）使用NFS协议实现跨平台共享USG综合应用邮件病毒防御实验文件

14、病毒防御实验流量监控实验配置入侵攻击防御实验DDOS攻击防御实验SSL VPN应用实验双机热备实验服务对象管理实验WEB管理实验IM软件管理实验与IDS联动实验VPN隧道综合应用Access VPN通信实验 采用USB Key的数字证书方式Access VPN用户授权通信实验Access VPN的通过内部DNS和内部WINS访问内部资源的实验Access VPN的用户接入控制实验Intranet VPN通信实验-预共享秘钥方式Intranet VPN通信实验数字证书认证方式Intranet VPN解决子网冲突问题的通信实验 Intranet VPN桥模式下通信实验IDS综合应用木马攻击检测实验

15、端口扫描检测攻击实验蠕虫病毒攻击检测实验DOS攻击检测实验DDOS攻击检测实验缓冲区溢出攻击检测实验WEB服务器攻击检测实验数据库攻击检测实验分布式管理实验事件自定义实验告警事件风暴抑制管理实验事件响应方式管理实验密码策略审计实验系统漏洞攻击检测实验IDS与防火墙联动网络攻防实验配置Linux系统进行主动防御使用Windows系统基线安全分析器配置Windows系统安全评估-账号管理、认证授权Linux系统漏洞利用（CVE-2005-2959、CVE-2006-2451）web应用常见的SQL注入、跨站攻击类事件处理灰鸽子木马利用与防护拒绝服务攻击事件的处理-DDOS网络及信息欺骗类事件的处理

16、-ARP数据库权限溢出攻击实验弱口令破解实验 信息安全实践教学的支撑体系 为协助院校开展信息安全实践教学，锐捷网络针对中职、高职及本科各类型院校推出一系列完整教学支撑体系： 持续创新的实验室管理： 1.实验设备的统一管理： a)可实现教师对实验设备实时管理和资源的统一调配； b)可实现网络设备配置及模拟攻击环境的“一键还原”； c)可实现实验设备配置的保存和加载； 2.实验拓扑的统一管理： a)可实现网络拓扑的自动连接与断开； b)可实现网络拓扑的图形化管理； c)可实现网络拓扑环境的保存和加载； 3.远程登录的统一管理： a)可实现教师的远程登录进行教学管理； b)可实现学生的远程登录进行实

17、验操作； 4.课程资源的统一管理： a)可支持在线的课程安排和管理，并针对学生进行相应实验资源自动划分； b)可支持教学课件的加载更新，并提供课件升级包； c)可支持考试测验题库的建立及自动生成试卷； d)可支持学生在线答题及提供自动、手动阅卷方式； 5.实验行为的统一管理： a）可实时监控学生的实验配置过程及远程查看学生的配置文档； b)可统一调配实验设备使用权限，对学生实验操作进行远程指导； 多层次的师资培养方案： 锐捷网络为中职、高职及本科各类型院校提供多层次的师资提升计划，并为在校老师量身打造了师资培养路径图，为加快学校安全师资力量提升出谋划策。 同时，为不断提高学校老师提高技术水平，

18、方便老师可以实时的进行学习，锐捷网络第一次推出了针对网络实践教学提升的E-learning教学平台。 线上一对一技术辅导 各层次课程任意选择 新技术讲解实时更新 学习时间表自行安排 投入产出比达到最高 面向教学的实验教材：局域网安全管理实践教程教材系列：普通高等教学“十一五”国家级规划教材出版机构：清华大学出版社版号：ISBN 978-7-302-20193-9推荐理由：本书主要介绍网络安全技术中涉及到防火墙技术、VPN私有专用网技术、身份认证技术、IDS安全管理、安全防范、防火墙安全技术实验、安全VPN技术实验、入侵检测技术实验、统一安全网关技术实验、无线网络安全实验、数据容灾备份实验等有关

19、网络安全实践教学内容模块，提供多达百个网络实践教学实验供教学选择。本书是锐捷职业资格认证规划系列教材，适应于锐捷网络厂商级各级职业资格认证。计算机网络安全技术教材系列：普通高等教育十一五国家级规划教材出版机构：科学出版社版号：ISBN 978-7-030-19403-9 推荐理由：本书共10章，主要内容有计算机网络安全概述、计算机网络安全协议基础、计算机网络安全编程基础、计算机网络操作系统安全基础、计算机网络攻击与入侵技术、计算机网络病毒及反病毒技术、计算机网络站点的安全、数据加密技术基础、防火墙与入侵检测技术、网络信息安全方案设计等。本书面向应用，在强调掌握基础知识的同时，给出了各种网络安全

20、技术和使用方法。每章都附有典型例题、习题和实验。本书可作为高等院校计算机专业、通信专业、信息专业的教学教材，也可以供从事计算机网络安全及相关工作的工程技术人员学习参考。网络安全与管理项目实验指导书教材系列：模块化网络实验指导丛书出版机构：电子工业出版社版号：ISBN 978-7-121-05440-2推荐理由：本书介绍主要介绍了防火墙配置、VPN私有专用网络基本操作技术、身份认证部分等基础网络安全技术内容。在网络管理部分实验操作中，编排了StarView二层拓扑发现、节点性能监控和事件告警的网络实验操作。在IDS部分安排了IDS操作技术、端口扫描攻击检测实验。主要面向高等院校网络专业教师和学生

21、，为开展实验、实训教学提供可选择的指导教程，也可为其他专业的学生和相关认证提供实验指导。 开放共享的教学资源平台： 锐捷网络在业界率先推出开放共享型的网络实践教学交流平台实践教学俱乐部（）。为老师提供在线资源共享平台，教学经验交流平台等一系列服务。 教学互助 实践教学俱乐部已经有千余所学校的老师汇集于此，这将是老师讨论技术、交流教学心得、获取教学资源的理想平台。 问题解决 在线活动发布教学俱乐部不仅为教师提供在线的教学服务咨询，还注册用户提供众多参与锐捷网络主办的线上技术研讨沙龙的机会。并且通过参与讨论、参加活动、分享教学资源等举措可以赢取积分，用于兑换培训基金或者实物奖品。 实践教学俱乐部作

22、为全国网络实践教学互助平台，希望能够为专业教师、网络厂商、教材出版机构等搭建一个公共的交流平台，支持和帮助全国网络教学从业者共同进步。所以只要每人付出极少的代价，即可获得丰富教学资源。 实验样例 实验一 IIS服务漏洞攻击检测实验 【实验名称】 IIS服务漏洞攻击检测实验 【实验目的】 RG-IDS对IIS服务漏洞攻击检测功能 【背景描述】 校园网WEB服务器遭受CGI 漏洞扫描攻击，并由于UNICODE漏洞，遭受黑客攻击，RG-IDS在部署在DMZ区服务器之前，检测出针对IIS服务的攻击，并及时上报到控制台。 【需求分析】 需求 ：IIS 4.0和IIS 5.0在Unicode字符解码的实现

23、中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。 分析 ：校园网络中服务器如果不及时升级IIS，将会面临被攻击的危险， RG-IDS能够时时检测网络中针对IIS服务攻击，并及时告警。【实验拓扑】 【实验设备】 PC 3台 RG-IDS 1台 直连线 4条 交换机 1台（必须支持多对一的端口镜像） 攻击软件 IIS Cracker.exe（IIS攻击工具） 工具软件 webserverv12.exe（宽带WEB服务器） 【预备

24、知识】 交换机端口镜像配置、RG-IDS配置、IIS Cracker.exe、webserverv12.exe工具使用 【实验原理】 IIS(Internet Information Server)可以让有条件的用户轻易地建立一个本地化的网站服务器同时提供流量不大的Http访问，及一些文件传输的FTP服务。 但是IIS服务漏洞或缺口层出不穷，黑客不仅仅可以利用其漏洞停滞计算机的对外网络服务，更可修改其中的主页内容，甚至利用其漏洞进入到计算机内部，删改主机上的文件。以“扩展UNICODE目录遍历漏洞”为例，黑客就可以利用工具软件(如：IIS Cracker)进入到计算机内部，通过“IIS Cra

25、cker”入侵成功后，可以准确地显示对方主机上的文件，通过远程控制入侵，黑客拥有对主机上的主页和文件进行窃取、修改和删除等权限。本课实验通过“IIS Cracker”工具攻击开放IIS服务的WEB服务器，并获得权限，RG-IDS同样能及时准确的检测出该类攻击，并上报控制台。 【实验步骤】 请参见网络安全实验指导书 实验二 RG-IDS与RG-WALL防火墙联动实验 【实验名称】 RG-IDS与RG-WALL防火墙联动实验 【实验目的】 验证IDS与防火墙联动，对攻击阻断的有效性和及时性 【背景描述】 IDS与防火墙联动，能够对恶意攻击和流量进行时时检测和防御 【需求分析】 需求 ：IDS产品只

26、能单纯的检测不具备防御功能，防火墙只能对3-4层数据报文进行处理，不具备深入检测的功能 分析 ：通过IDS检测并将检测信息传递给防火墙，通过防火墙对攻击的地址和端口进行阻断等措施，达到时时防御的目的 【实验拓扑】 【实验设备】 PC 3台 RG-IDS 1台 直连线 若干条 交换机 2台（其中一台必须支持多对一的端口镜像配置） 工具软件 SecureCRT工具 【预备知识】RG-WALL防火墙配置基础、交换机端口镜像配置、RG-IDS配置基础 【实验原理】入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断

27、策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。在本堂实验课中，以Ping Of Death签名为攻击事件，在没有配置为联动的响应方式之前，攻击机能够向被攻击机发送超大字节的ICMP报文，并被IDS检测到。实施RG-IDS与RG-WALL联动后，IDS首先检测到Ping Of Death，并将事件的信息包括源、目的地址等通过SSH通知防火墙，防火墙根据IDS发送的攻击事件信息自动生成响应规则，阻断攻击源和目的之间通信。 【实验步骤】 请参见网络安全实验指导书 【验证实验】 用攻击机1

28、72.16.5.27 telnet连接被攻击机172.16.5.125,返回信息连接失败，如图：证明攻击机172.16.5.27 到被攻击机172.16.5.125所有通信被阻断，RG-IDS与RG-WALL防火墙联动成功推荐配置产品类别产品简介涉及产品型号备注实验室管理平台对实验室整体资源进行统一管理LIMP V3.0必选RCMS拓扑连接器网络攻防平台进行安全攻击防御安全环境搭建平台RG-SAP必选路由器安全业界主流路由器，可进行网络安全策略搭建设置RSR20-04必选SIC-1HSV.35 DTE-V.35 DCE线缆 1米交换机安全业界主流交换机，进行ACL、VLAN等安全划分STAR-S2126G必选RG-S3760-24防火墙业界主流防火墙设备RG-WALL 60必选VPN虚拟专网设备RG-WALL V50必选RG-KEY入侵检测入侵检测设备RG-IDS 500S必选统一威胁管理统一安全网关USGRG-USG必选容灾备份网络存储设备RG-iS-LAB可选RG-iS-LIC-VSS-ARG-iS-SATA320GB 无线安全“瘦”AP无线架构设备及管理平台MP-422可选MXR-2RMTS【精品文档】第 16 页