《Web攻防实战项目》课程标准.docx

《《Web攻防实战项目》课程标准.docx》由会员分享，可在线阅读，更多相关《《Web攻防实战项目》课程标准.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Web攻防实战工程课程标准1.课程说明(1)课程性质：本门课程是信息安全与管理专业的专业必修课 程。(2)课程任务：能完成中小型企业网络WEB安全防护、网络型 攻击防范，要求学生掌握规划、设计和配置方面的基本技能。(3)课程衔接：在课程设置上，前导课程有Web前端开发基 础和计算机网络基础，后续课程有华为安全。2.学习目标(1)思政目标坚持以习近平新时代中国特色社会主义思想为指导，紧紧围绕统 筹推进“五位一体”总体布局和协调推进“四个全面”战略布局，坚 持和加强党的全面领导，坚持理论与实践相结合，引导学生增强实践 能力，践行和弘扬社会主义核心价值观。为国家培养出政治立场坚定、 作风过硬、技术娴

2、熟、品德优良的高等级技能型人才。(2)知识技能目标通过学习Web攻防实战工程，学生可以掌握Web应用常见的 攻击手段及防御手段，对网应用安全技术有深入的了解，具备中小型 企业网络安全解决方案实施和维护的能力。能排查和解决企业网中存 在的安全隐患和故障。提高学生的职业素质，培养学生的创新精神和 实践能力，促进学生职业能力的培养和职业素养的养成，到达职业岗 位能力和职业素养培养的要求。具体目标如下：1配置入侵防御配置文 件创立入侵防御配置文件，配置签名过滤 器。2提交入侵防御配置提交配置。3配置安全策略配置从T rust到U n trust的域间策略。4保存配置查看并导出威胁日志。6.配置思路(1

3、)配置安全区域，完成网络基本参数配置。(2)配置入侵防御配置文件profile_ips_pc,保护内网用户。通过 配置签名过滤器来满足安全需要。1 3 )创立安全策略policy_sec_l ,并引用安全配置文件 profile_ips_pc,保护内网用户免受来自Internet的攻击。5 .课程考核(1)考核方式:本课程平时考核及期末考核各占比重30%和70 %o(2)考核标准：到达对网络边界安全、应用安全、终端安全技 术有深入的了解，具备大中型企业网络安全解决方案实施和维护的能 力，与HCNP-Security职业资格证书相对接。6 .课程资源(1)硬件要求：计算机、eNSP模拟器。(2)

4、本课程教学使用的教材为HCNP-Security，教学参考资 料有华为防火墙技术漫谈，徐慧洋主编，人民邮电出版社；华为 VPN学习指南，王达主编，人民邮电出版社。7 .编写依据该课程标准是依据信息安全与管理专业人才培养方案而编写的。序号内容单元知识目标能力目标素质目标1Web安全防护Web安全防护概述Web基础原理Web攻击浅析URL过滤技术 恶意网页检测技术 Web应用系统防护技 术Web应用的基本结 构、Web工作原理、 HTTP工作过程、HTTP 报文结构等 掌握URL过滤技术原 理及配置Web安全防护常见技 术手段常见的Web攻击(SQL 注入、XSS等)较强的自我知识、技 术更新能力

5、，快速跟 踪计算机软件的新 技术及开发技术的 新动态。2网络型攻击 防范技术网络攻击介绍 单包攻击防御原理 流量型攻击防御原理 流量型攻击防护解决 方案防火墙攻击防范特性掌握网络攻击的种类 掌握单包攻击防御原 理掌握流量型攻击防御 原理掌握流量型攻击防护 解决方案掌握防火墙攻击防范 特性培养学生实事求是、 严肃认真的科学精 神、探索精神和创新 精神，提高综合分析 解决问题的能力，塑 造初步的创新能力。.课程设计本课程以实践形式设计，实践重视学生知识结构的拓展，培养学 生应用课程中所学到的技术解决生产实践问题能力，促进学生专业能 力的开展，提高学生的实践和探究能力。实践课程以学生为主体，根 据学

6、生个体的专业背景和接受能力，采用课堂教学讲述法、现场教学 法、实验教学法等多种教学方法，引导学生了解本门课程的特点，使 学生掌握课程的学习方法，并为学生今后参加生产实践等养成良好的 学习习惯。(1)实践教学学时分配表案例序号实践内容能力目标学时案例1内容安全过滤 综合实验掌握文件、内容、邮件过滤以及应用行为控制的应用场景；掌握文件、内容、邮件过滤的配置方法。8案例2流量型攻击防 范实验掌握SYN Flood攻击防范策略，防止外部恶意用户攻 击内网资源8案例3单包攻击防范 实验掌握网络层单包攻击策略，防止外部恶意用户攻击内 网资源6案例4入侵阻断实验掌握内网用户访问Internet的Web服务器

7、时受到攻 击8合计303 .教学设计案例1：内容安全过滤综合实验场景：某公司在网络边界处部署了 FW作为安全网关。公司希望在保 证网络能够正常使用的同时实现以下需求：(1)为了防止公司机密文件的泄露，禁止员工上传常见文档文 件、代码文件(C、CPP、JAVA)以及压缩文件到Internet服务器；(2)为了降低病毒进入公司内部的风险，禁止员工从Internet 下载可执行文件以及Internet用户上传可执行文件到内网服务器；(3)公司希望在保证网络正常使用的同时，防止内部员工泄露 公司机密信息；(4)公司规定发送往外网或接收来自外网的邮件单个附件均不 能超过2M；(5)公司希望员工上传和下载

8、的文件大小不能超过2M；1 .实验目的掌握文件、内容、邮件过滤以及应用行为控制的应用场景；掌握文件、内容、邮件过滤的配置方法。2 .实验拓扑图f-PC9f-PC9InternetISP1GE 1/0/44BFW1TrustGE 1/0/1Mail ServerMail Server的d-PC1GE 0/0/5GE 0/0/7- GE 0/0/1GE 0/0/7S4GE 0/0/1.前提条件配置防火墙网络连接、IP地址、接口安全区域。完成防火墙FW1 和FW2的双机热备组网配置。NAT策略部署完成。3 .实验规划实验数据规划工程数据说明安全策略 tojnternet名称：tojnternet 源

9、安全区域：trust 目的安全区域：ispi动作：允许文件过滤：profile_file_i 内容过滤:profile_data_i 邮件过滤：profile_mail_i 应用行为：profile_app_i安全策略tojnternet 的 作用是允许公司员工访问 Interneto安全策略 tojntra_server名称：to_intra_server 源安全区域：ispi 目的安全区域：trust 目的地址：动作：允许文件过滤：profile_file_2 邮件过滤：profile_mail_i安全策略 to_intra_server 的作用 是允许外网用户访问内网 服务器。文件过滤

10、profile_file_i名称：rulei文件类型：文档文件、代 码文件、压缩文件方向：上传动作：阻断禁止员工上传文档、开发 和压缩文件到Interneto名称:rule2文件类型：可执行文件方向：下载动作：阻断禁止员工从Internet下载 可执行文件。文件过滤profile_file_2名称：rulei文件类型：可执行文件方向：上传动作：阻断禁止Internet向内网服务 器上传可执行文件内容过滤 profile_data_i名称：rulei 关键字：keyi 应用：all 文件类型：all 方向：上传 动作：阻断阻断关键字为keyi的内容 的上传。邮件过滤profile_mail_i控

11、制项：垃圾邮件过滤发送/接收附件大小限制： 2M防止垃圾邮件并控制附件 单个附件大小不超过2M。应用行为控制 profile_app_i控制项：FTP上传/下载阻断阈值 iooM文件超出iooM会执行阻 断URL过滤Profile_URL_i自定义URL分类，将网站 设置为禁止访问。4 .实验任务列表序号任务子任务任务说明1内容安全过 滤配置文件文件过滤禁止员工上传常见文档文件、代码文件 (C、CPP、JAVA)以及压缩文件到Internet 服务器；禁止员工从Internet下载可执行 文件以及Internet用户上传可执行文件到 内网服务器内容过滤防止内部员工泄露公司机密信息邮件过滤邮件发

12、送接收单个附件均不能超过2M应用行为控 制上传和下载的文件大小不能超过100MURL过滤2安全策略内网用户访 问 Internet配置安全策略并调用文件过滤、内容过 滤、邮件过滤、应用行为控制以及URL 过滤以满足需求外网用户访 问内网服务 器配置安全策略并调用文件过滤和邮件过 滤以满足需求5 .配置思路(1)基本网络参数配置；(2)网络地址转换配置。(3)内容安全过滤文件配置。(4)安全策略配置引用内容安全配置文件。案例2：流量型攻击防范实验场景：流量型攻击是DDoS攻击中最主要的攻击类型。通过在防火墙 上启用Anti-DDoS功能，可以有效的防止由恶意用户发起的流量型攻 击。本实验将在防火

13、墙上配置DDoS攻击防范策略，验证其对此类攻 击的防范效果。1 .实验目的配置防火墙SYN Flood攻击防范策略，防止外部恶意用户攻击内网资源。2.实验拓扑图FBernet At3CW1FW2SW2内网区域3.前提条件配置防火墙网络连接、IP地址、接口安全区域。完成防火墙FW1和FW2的双机热备组网配置。NAT策略部署完成。4.实验任务列表序号任务子任务1配置防火墙Anti-DDoS防范策 略配置SYN Flood防范策略。查看日志在防火墙上查看攻击防范日志，确 认防火墙是否阻挡了攻击行为。案例3：单包攻击防范实验场景：在DoS攻击中，单包攻击也是不可小觑的一类威胁，通过在防火墙上启用单包攻

14、击防范功能，可以有效的防止由恶意用户发起的单 包攻击。本实验将在防火墙上配置单包攻击防范策略，验证其对此类 攻击的防范效果。1 .实验目的配置防火墙网络层单包攻击策略，防止外部恶意用户攻击内网资 源。2.实验拓扑图FW1Bernet AtSCfw213 a内网区域3.前提条件配置防火墙网络连接、IP地址、接口安全区域。完成防火墙FW1和FW2的双机热备组网配置。NAT策略部署完成。4.实验任务列表序号任务子任务1配置防火墙单包攻击防范策略启用防火墙单包攻击中的防范策 略。案例4：入侵阻断实验查看日志在防火墙上查看攻击防范日志，确 认防火墙是否阻挡了攻击行为。场景：入侵防御是一种安全机制。设备通

15、过分析网络流量来检测入侵, 并通过一定的响应方式实时地中止入侵行为。本实验介绍如何配置入 侵防御功能，保护企业内部用户免受来自Internet的攻击。2 .实验目的内网用户可以访问Internet。该企业需要在NIP上配置入侵防 御功能，具体要求如下：(1)企业经常受到蠕虫、木马和僵尸网络的攻击，必须对这些攻 击进行防范。(2)防止内网用户访问Internet的Web服务器时受到攻击。例 如，含有恶意代码的网站对内网用户发起攻击。3 .实验拓扑图TrustTrust内网用户(PC3:10.1.11.101)4 .前提条件配置防火墙网络连接、IP地址、接口安全区域。完成防火墙FW1 和FW2的双机热备组网配置。NAT策略部署完成。5 .实验任务列表序号任务任务说明