方案概述
网络安全问题已经成为了当前互联网发展过程中的一项避不开的重大难题,近年来,大量的数据泄露安全事件已经给我们敲响了警钟,2014年12月全国人大常委会近日将审议“关于加强网络信息保护的决定草案的议案”,引发网上强烈关注。这些问题主要是源于企业自身缺乏专业的网络安全人才,技术层面未定期对企业信息系统进行自检、自查、自评估。管理层面未建立一套完善的网络安全防护、管理体系。网络中的安全其本质是人的意识安全、技术安全、管理安全。对信息安全人才缺乏引入和培养,是目前我国各行各业普遍存在的问题。
在信息安全领域,锐捷网络提供了企业总分机构互联解决方案、金融安全准入解决方案、政府应用安全域解决方案、医疗等保解决方案。在这些方案中,锐捷网络依照国家信息安全等级保护制度,实现了分等级实行安全保护、按等级管理以及分等级响应、处置,并且帮助客户实现了安全与成本之间的平衡。
信息安全实验室解决方案,以锐捷网络成熟的信息安全行业应用案例为依据,将国家信息安全等级保护制度的优秀实践,带入教学中。学生将从全局安全的角度理解安全技术并掌握各类安全保护技术/产品的应用与部署。
适用专业
方案理念
目前,网络空间(信息)安全实验室的建设存在3个问题。
1、 重理论轻实践。理论课太多,不清楚行业如何实现。有单点实验,但不了解何为全局安全。
2、 老师不敢深教。实验攻击流量,扩散到校园网怎么办?学生学会了,去恶意攻击怎么办?
3、 重技术轻标准。课程学了很多,但如何评估网络是否安全?作为敏感技术,国家标准很重要,但没有在教学中引起重视。
基于这3点问题,行业经验告诉我们,信息安全是一项实践性要求非常高的技术方向,信息安全专业人员的专业分工在行业中也很明显。有少部分从事安全理论研究、算法研究的科研人员;有进行风险评估、等保检查的信息安全检测人员;有负责提供安全解决方案、实施安全手段的安全技术工程师;有负责信息系统运维并实时确保系统安全运行的信息安全保护人员。
从业务特点来看,科研人员专注于顶层设计和安全协议的开发,偏重理论研究。而信息安全监测人员、安全技术工程师、信息安全保护人员更关注与风险规避和攻击防范,偏重实践。市场人才需求量也一直是后者居多。因此,信息安全实践环境的建设的聚焦点,就是服务于培养信息安全保护者。
于是,锐捷大学分析了目前的攻击者行为,结合行业人才需求,总结出:一个合格的信息安全保护工作人员,要了解攻击者行为并有能力通过技术手段发现风险并提前防御攻击者行为。同时,锐捷大学将这些技术手段归纳为网络空间安全纵深防御知识体系。
最后,我们将这些技术手段的行业经验转化为可以在高校实验室中实施的方式,形成了信息安全实验室解决方案。
方案拓扑
实验室规划4个区域。
♦实验分组机架区:所有网络安全实验设备被安装在机架中。机架管理控制服务器、虚拟实验平台连接至实验室中心交换机。
♦ PC区:学生机和教师机处于该区域,PC可以通过远程登录访问网络设备的控制台接口,通过WEB方式访问云虚拟实验平台界面和网络攻防实验平台界面。
♦核心区:CTS云教学服务器平台和网络攻防实验平台放置在核心区。
♦ 出口区;所有访问外部网络资源的流量必须通过出口网关。通过出口网关的应用识别和审计功能,可以管理学生的上网时间和网络应用访问权限。
云计算实验室方案整体拓扑
实验分组机架图
♦ 机架管理控制服务器
机架管理控制服务器提供一个高密度一步接口和16路Console线缆,可以连接至三层交换机、数据中心交换机等网络设备的控制台接口上。其IP接口与实验室中心交换机互联,与学生PC的IP可达。这样,学生只需要通过远程登录终端访问机架管理控制服务器,进而登录到机架内所有网络设备的控制台,而无需在学生PC和网络设备之间频繁插拔Console线缆。
♦ 虚拟实验平台
虚拟实验平台提供运行多种操作系统和虚拟网络设备的功能。在云计算实验室机架中,可以通过虚拟实验平台运行多台防火墙来实现数据中心内外网安全策略实验,也可以运行虚拟PC来仿真云数据中心外网用户。设备本身固化9个千兆以太网接口,不同的虚拟设备可以通过不同的接口与机架内其他设备互联,形成不同的综合实验环境。
♦ 三层交换机
三层交换机作为常规网络汇聚交换机,提供了所有交换网络中的常用功能,在云计算实验室机架中,可以实现多虚一的交换机虚拟化实验,也可以连接虚拟防火墙的外部接口,仿真云数据中心外部网络的功能。
♦下一代防火墙
具备行业普遍的各层防火墙安全功能,学生可以练习防火墙的各种部署方式和安全策略实现方式。并且学生还可以学习到业界先进的虚拟防火墙技术,将一台防火墙虚拟成多台防火墙以满足混合式的安全需求。
♦ 安全与VPN网关
具备行业普遍使用的多种VPN功能,学生可以练习到基于IPSEC、PPTP、L2TP、GRE的站点间VPN部署方式以及包括SSLVPN在内的多种Remote VPN部署方式,以及多种隧道和加密技术在VPN部署中的混合实现方式。
♦攻防对抗实验平台
攻防对抗实训平台是一款软硬件结合的高性能信息安全实战平台。高性能计算节点直接连接在实验室局域网交换机上,共教师和学生访问。平台通过虚拟化的技术使学员通过强大的资源库学习后,通过预制相应的实验环境进行实验,使学员掌握各类技术的漏洞原理、攻击与防御方法。
平台支持组织各类攻防训练、竞赛等活动提供强大的支撑平台。攻防对抗内置了大量的题库、具有全面性、广泛性、深度性。支持练习、比赛等模式,支持对学生比赛模式的进度情况以可视化的方式进行实时展现。
♦ 等保评估实验平台
等保评估实验平台是一套帮助学生理解国家信息安全标准,掌握信息安全等级保护评测手段的专业实验平台。提供网站安全检查实验工具、数据库安全检查实验工具、系统漏洞检查实验工具、弱口令检查实验工具、网络设备检查实验工具、U盘离线检查实验工具,支持检查任务管理、数据汇总功能,以及评估报告制作与导出。评估实验过程中包括技术性评估与非技术性评估,通过实验学生将具备等保检查专员的必备技术与沟通能力。
实验内容
|
实验模块
|
实验任务
|
|
网络安全设备基础实验
|
查看防火墙状态信息
|
|
配置防火墙透明模式透传单个VLAN用户信息
|
|
配置防火墙透明模式透传多个VLAN用户信息
|
|
配置防火墙bypass功能
|
|
配置防火墙安全规则
|
|
配置防火墙路由模式保障不同网段的直连用户通信
|
|
配置防火墙静态路由
|
|
配置防火墙NAT功能
|
|
配置防火墙DHCP功能
|
|
登录UAC查看防火墙基本信息
|
|
配置UAC透明模式透传用户信息
|
|
配置UAC混合模式转发用户信息
|
|
配置UAC路由模式保障不同网段的直连用户通信
|
|
配置UAC静态路由
|
|
配置UAC NAT功能
|
|
配置UAC DHCP功能
|
|
网络安全设备进阶实验
|
配置防火墙策略路由
|
|
配置防火墙OSPF
|
|
配置防火墙IP地址映射
|
|
配置防火墙端口映射
|
|
配置防火墙上网用户认证功能
|
|
配置防火墙IPsec VPN功能
|
|
配置防火墙SSL VPN功能
|
|
配置防火墙VDOM
|
|
配置防火墙VDOM-LINK
|
|
配置防火墙混合模式VDOM
|
|
配置UAC策略路由
|
|
配置UAC IP地址映射
|
|
配置UAC MAC地址映射
|
|
配置UAC IP和MAC地址绑定
|
|
配置UAC会话限制
|
|
配置UAC命令审计
|
|
配置UAC黑名单
|
|
配置本地WEB认证
|
|
配置流量控制
|
|
虚拟实验平台基础分解实验
|
FTP服务器配置与管理
|
|
Linux用户管理
|
|
Windows Server IP安全配置
|
|
Windows用户管理实验
|
|
Windows远程桌面安全配置
|
|
Windows网络与服务管理
|
|
文件事件审计
|
|
网络事件审计
|
|
应用程序审计
|
|
日志事件审计
|
|
日志关联审计
|
|
主机存活性判断
|
|
Ping 扫描实验
|
|
端口扫描实验
|
|
Web服务安全配置实验
|
|
ARP欺骗攻击防御
|
|
配置Windows系统安全评估——日志配置
|
|
配置Windows系统安全评估——IP协议安全配置
|
|
配置Windows系统安全评估——Windows日志与审计
|
|
FAT32数据恢复
|
|
NTFS数据恢复
|
|
虚拟实验平台进阶分解实验
|
Linux文件系统管理
|
|
Linux网络与服务管理
|
|
Windows策略管理
|
|
MySQL安全配置
|
|
主机监管
|
|
审计跟踪
|
|
使用iptables配置透明代理
|
|
配置iptables默认防火墙规则
|
|
使用iptables处理IP碎片
|
|
编写iptables规则自动装载脚本
|
|
配置和管理主机iptables防火墙
|
|
配置和管理网络iptables防火墙
|
|
配置iptables防御主动攻击
|
|
部署和管理Snort
|
|
利用Snort防护网络入侵
|
|
配置和维护Snort规则
|
|
Snort事件处理和分析
|
|
综合扫描实验
|
|
服务端口判断
|
|
操作系统判断
|
|
操作系统漏洞扫描
|
|
端口扫描检测攻击的处理
|
|
Linux系统日志清除实验
|
|
DDoS攻击检测
|
|
SYN攻击
|
|
缓冲区溢出检测
|
|
ICMP攻击
|
|
Windows系统账户安全评估
|
|
脚本病毒处理
|
|
DLL注入型病毒处理
|
|
木马攻击处理
|
|
ext2数据恢复
|
|
SQLServer收缩与自动备份
|
|
IP SAN网络存储
|
|
NAS网络存储
|
|
NFS配置
|
|
Snapshot快照
|
|
FTP连接与明文抓取
|
|
FTP账号窃取
|
|
虚拟实验平台高级分解实验
|
应用层漏洞扫
|
|
数据库漏洞扫描
|
|
特殊漏洞与方法扫描
|
|
拒绝服务攻击事件的处理
|
|
SQL注入攻击-02啊D工具实例
|
|
跨网站脚本攻击
|
|
跨站攻击-03XSS跨站脚本攻击利用钓鱼
|
|
应用服务入侵
|
|
堆溢出
|
|
DNS溢出
|
|
信息安全风险评估
|
|
使用Microsoft基线安全分析器
|
|
PE型病毒处理
|
|
COM病毒处理
|
|
邮件型病毒处理
|
|
Word宏病毒处理
|
|
HTML恶意代码处理
|
|
Linux恶意脚本处理
|
|
木马灰鸽子防护
|
|
病毒查找及清除
|
|
古典密码之凯撒密码
|
|
分组密码-DES实验
|
|
对称密码之AES
|
|
Hash算法之MD5
|
|
密码学数学基础之大数运算
|
|
密码学数学基础之素性测试
|
|
Tomcat管理用户弱口令攻击
|
|
弱口令破解
|
|
邮件明文密码窃听
|
|
古典密码之凯撒密码
|
|
分组密码-DES实验
|
|
对称密码之AES
|
|
Hash算法之MD5
|
|
密码学数学基础之大数运算
|
|
密码学数学基础之素性测试
|
|
Tomcat管理用户弱口令攻击
|
|
弱口令破解
|
|
邮件明文密码窃听
|
|
基于Socket的CS应用程序编写
|
|
批处理脚本编程实验
|
|
驻留程序编程
|
|
利用BouncyCastle API加密编程
|
|
利用Crpyto API加密编程
|
前置课程
在进行信息安全实验课程前,建议将以下课程作为信息安全实验的前置课程。
♦《计算机网络》
♦《网络设备互联》
♦《Linux网络服务》
♦《信息安全原理》
实验教材
设备清单
|
设备类型
|
设备名称
|
描述
|
数量
|
|
下一代防火墙
|
RG-WALL 1600-S3600
|
全新下一代防火墙,桌面级设备,单电源,提供1个Console接口;固化16个千兆电口;2个USB口;内置32G硬盘。
|
2/实验分组机架
|
|
上网行为管理与审计
|
RG-UAC 6000-E10
|
新一代UAC,标准1U机架设备,5GE+1扩展卡,单电源,支持100M带宽,200用户,500G硬盘。
|
2/实验分组机架
|
|
安全与VPN网关
|
RG-EG2000CE
|
固化8个千兆电口,固化2个千兆光口,内置500G硬盘,内置风扇。
|
2/实验分组机架
|
|
三层交换机
|
RG-S5510-24GT/8SFP-E
|
增强型24端口10/100/1000M自适应电口交换机,8个复用的SFP接口(SFP为千兆/百兆口),2个扩展槽
|
2/实验分组机架
|
|
虚拟实验平台
|
RG-CVM1000
|
实验室云虚拟实验环境生成平台,支持运行各类虚拟环境;标准1U机架产品,固化10个GE口,1个液晶屏,2个USB口,2个扩展槽
|
1/实验分组机架
|
|
攻防对抗平台
|
LABS-ASLAB-IM
|
运行平台。对工具库、攻防对抗及虚拟机、物理机进行统一、集中管理
|
1/实验室
|
|
LABS-ASLAB-RB
|
攻防对抗提供CTF夺旗赛、互攻互守竞技比赛模式,支持个人、团队参赛模式,支持比赛过程、实时排名、积分等进行可视化展现
|
1/实验室
|
|
LABS-ASLAB-TL
|
工具库平台提供了扫描探测、漏洞扫描、漏洞利用、渗透测试等安全测试工具集,借助这些自动化的辅助工具,便于在教学、实训等环节中进行配套所使用,开展各类攻防实验。
|
1/实验室
|
|
等保评估实验平台
|
LAB-ASLAB-GB
|
提供网站安全检查实验工具、数据库安全检查实验工具、系统漏洞检查实验工具、弱口令检查实验工具、网络设备检查实验工具、U盘离线检查实验工具,支持检查任务管理、数据汇总功能,以及评估报告制作与导出。
|
1/实验分组机架
|
|
机架控制服务器
|
RG-RCMS-16
|
实验室机架管理控制服务器,可管理16台带有Console接口的锐捷网络设备。
|
1/实验分组机架
|
|
教学资源
|
LAB PACK 安全-L1
|
面向网络安全基础实验课程,提供Level1难度的网络安全实验内容,内容涵盖防火墙安全策略、基于防火墙和VPN网关的站点to站点VPN互联技术、远程接入VPN技术、局域网安全技术、用户上网行为控制技术等
|
1/实验室
|
|
LAB PACK 安全-L2
|
面向网络安全进阶实验课程,提供Level2难度的网络安全实验内容,内容涵盖防火墙安全策略、虚拟防火墙策略基于防火墙和VPN网关的站点to站点VPN互联技术、多种远程接入VPN技术、局域网安全技术、用户认证及上网行为控制技术等
|
1/实验室
|
|
CVM-PACK L1-100
|
面向信息安全基础实验课程,提供Level 1难度的安全实验内容包与环境包,内容涵盖主机安全、渗透测试与攻防、容灾备份等。实验环境在锐捷云虚拟实验平台中运行
|
1/实验分组机架
|
|
CVM-PACK L2-100
|
面向信息安全进阶和高级实验课程,提供Level 2难度的安全实验内容包与环境包,内容涵盖主机安全、防火墙、入侵检测、渗透测试与攻防、病毒攻防、容灾备份、密码学及应用、、安全编程等个方向。实验环境在锐捷云虚拟实验平台中运行
|
1/实验分组机架
|
|
CVM-PACK L3-100
|
面向信息安全高级实验课程,提供Level 3难度的安全实验内容包与环境包,内容涵盖渗透测试与攻防、病毒攻防、密码学及应用、安全编程等个方向。实验环境在锐捷云虚拟实验平台中运行
|
1/实验分组机架
|
|
实验室互联设备
|
RG-5750-28GT-L
|
24端口10/100/1000自适应电口以太网交换机,4个非复用的SFP接口,1个USB2.0接口。
|
1/实验室
|
|
RG-S2652G-I
|
48口10/100自适应电口交换机,2个10/100/1000M自适应电口,2个SFP千兆光口(非复用)
|
根据节点数计算
|
|
RG-EG1000L
|
24个10/100M自适应交换口,2个SFP/GE光电复用口,512MB内存,无风扇,1个USB,1个Console。
|
1/实验室
|
