《网络安全与管理技术》实验教学大纲
课程名称:
| 网络安全与管理技术
|
课程编号:
| 408308
| 420017
|
|
适用专业:
| 计算机科学与技术
| 网络工程
|
|
总学分:
| 2.5
| 2.5
|
|
总学时:
| 48
| 48
|
|
其中实验学时:
| 12
| 12
|
|
一、实验课程性质、目的与任务
《网络安全与管理技术》课程是一门面向网络工程专业学生开设的专业必修课,也是一门向计算机科学技术专业学生开设的专业限选课。其主要任务是培养学生对计算机网络中出现的安全问题的解决能力,使学生了解计算机网络安全的基本知识及常用的网络安全技术,掌握目前黑客常用的攻击方法和手段、学会使用在当前常用的网络安全工具及其配置。对网络安全与管理技术的基本原理和方法要有深刻的认识,达到设计出具有一定安全性的网络方案,为从事实践技术工作奠定基础。
通过本实验课程,应达到以下几个教学目的:
1.熟练掌握网络安全基本概念、基本原理及网络安全设备管理。
2.掌握目前黑客常用的攻击方法和手段。
3.学会使用在当前常用的网络安全工具及其安全配置以及在网络运行中安全防护的基本方式和思想。
4.对信息系统及网络安全有一个比较系统、全面的了解,达到对网络安全的基本概念、防护原理及使用有一定程度的理解和掌握,并且能设计出具有一定安全性的网络方案。
5. 了解病毒的基本概念,了解网络病毒的传播特性与传播行为,熟悉网络病毒的检测技术。
6. 学会windows操作系统安全策略的应用与配置,防火墙与入侵检测系统的配置等。
二、实验教学基本要求
通过实验使学生能够了解和熟悉网络安全技术和网络管理技术,以加深对课程所学知识的了解。
上机实验要求:
1.采取学生单独分组实验,教师临场指导的实验方式。
2.要求完成每次所规定的实验任务,完成对每个知识点知识验证和设计完成规定的实验内容。
3.按指导教师要求完成6个实验报告的书写。
4.严格遵守校校规校纪和实验室规章制度。
三、实验项目与类型:
序号
| 实验项目
| 学时
| 实验性质
| 备注
|
验证
| 综合
| 设计
| 研究探索
| 必做
| 选做
|
1
| 网络扫描与网络监听实验
| 2
| √
|
|
|
| √
|
|
2
| WINDOWS操作系统安全策略与审计配置实验
| 2
| √
|
|
|
| √
|
|
3
| PKI实验
| 2
| √
|
|
|
| √
|
|
4
| 网络木马实验
| 2
| √
|
|
|
| √
|
|
5
| 防火墙的配置与使用实验
| 2
| √
|
|
|
|
| √
|
6
| 入侵检测系统与防火墙联动综合实验
| 2
|
| √
|
|
| √
|
|
7
| VPN配置与使用实验
| 2
| √
|
|
|
| √
|
|
8
| 网络攻击与防范对抗的攻防综合实验
| 2
|
|
| √
|
|
| √
|
|
| 合计
| 16
| 12
| 2
| 2
|
| 12
| 4
|
四、实验教学内容
实验一:网络扫描与网络监听实验
1、实验目的
了解操作系统中常见的漏洞,了解不同操作系统在系统漏洞方面的区别。
掌握数据嗅探的原理,了解协议封装的过程,掌握典型的嗅探工具的使用。
2、方法原理
系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取电脑中的重要资料和信息,甚至破坏系统。
网络窃听是指截获和复制系统、服务器、路由器火防火墙等设备中所有的网络通信信息,不因可以用于安全监控,也是攻击者用来截获网络信息的重要方式。FTP协议在网络传输中采取明文的形式传输用户名和密码。攻击者利用该特性就可获得被攻击者的敏感信息,并进行进一步的攻击。
3、主要实验仪器及材料
(1)网络设备;
(2)网络安全实验平台;
(3)计算机。
4、实验内容
(1)对不同操作系统的目标主机进行网络和操作系统相关漏洞扫描,比较不同操作系统的扫描结果。
(2)TCP、UDP协议解析(端口,各标志字段,固定首部长度),IP协议解析(源、目的网络地址,各标志字段,分片标识,固定首部长度),Ethernet帧结构解析(源、目的MAC地址,帧长),利用FTP明文传输特性,捕获用户名/密码对。
实验二:WINDOWS操作系统安全策略与审计配置实验
1、实验目的
掌握Windows操作系统下用户账号的管理,通过账号设置增强Windows系统的安全性。
学习Windows中安全审计策略的配置,理解Windows中审计策略的作用,掌握IE浏览器的安全策略配置,掌握系统补丁的升级策略配置。
2、方法原理
用户管理对于系统和组织安全性非常关键,在组织内部,应该存在用来确定每个新用户具有的正确权限的过程,当用户离开组织时,应该具有保证用户不能访问系统的过程。
操作系统的安全配置是整个系统安全审计策略核心,其目的就是从系统根源构筑安全防护体系,通过用户的一系列设置,形成一整套有效的系统安全策略。
3、主要实验仪器及材料
(1)网络设备;
(2)网络安全实验平台;
(3)计算机。
4、实验内容
(1)添加用户,禁用Guest账号,对Administrator账号进行重命名,进行本地安全策略中账户安全相关的设置。
(2)进行Windows操作系统的帐户策略管理,Windows操作系统中文件操作的审计策略,对Windows用户账号管理进行审计,对Windows用户登录事件进行审计,对IE浏览器进行安全配置,对系统补丁自动升级进行配置。
实验三:PKI实验
1、实验目的
掌握X.509数字证书包含的基本信息,掌握数字证书申请方法,理解公钥证书在现实生活中的作用及意义。
掌握证书请求的处理方法,掌握证书请求的数据结构。
掌握管理密钥证书的方法,掌握X.509V3证书格式和CRL结构,掌握证书链的概念。
2、方法原理
公钥证书的发放一般经历三个过程:终端用户注册、证书的产生和发放。该实验是通过用户在客户端填写注册信息,按照说明选择由CA提供的作为申请的一部分的密钥,并提交申请表来完成证书的申请的。
一个认证请求大致由三部分组成:签名算法标识符、主体公钥信息及可选拓展项。
公钥证书的管理一般包括三个方面:
(1) 证书的检索:根据不同证书状态查看不同证书信息。
(2) 证书的验证:验证一个证书的有效性。可查看该证书的作废证书表(CRL)。
(3) 证书取消:有两种方式导致证书取消,即证书的自然过期,或证书在有效期内被作废(撤销)。
3、主要实验仪器及材料
(1)网络设备;
(2)网络安全实验平台;
(3)计算机。
4、实验内容
(1)填写注册信息,选择证书属性,提交数字证书申请。
(2)颁发或拒绝申请的证书,查看证书申请处理情况。
(3)查看证书和证书链信息,导出已颁发证书,撤销已颁发证书。
实验四:网络木马实验
1、实验目的
学习NC的使用,熟悉NC作为后门的启动及运行方法,了解AT的使用。
了解通过木马对被控制主机的攻击过程,学习使用灰鸽子进行远程控制的方法。
2、方法原理
当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。
3、主要实验仪器及材料
(1)网络设备;
(2)网络安全实验平台;
(3)计算机。
4、实验内容
(1)使用NC对远程主机进行控制,使用AT进行任务的执行。
(2)灰鸽子木马是网络上常见的并且功能强大的远程后门软件。采用dll注入技术,开启服务程序,从而实现远程控制的目的。本实验以灰鸽子木马为例进行木马的制作、种植和攻击。
实验五:入侵检测系统与防火墙联动综合实验
1、实验目的
了解包过滤防火墙的工作原理,掌握普通包过滤的规则的添加。
掌握利用snortsam与防火墙联动,比较IDS与IPS的不同之处
2、方法原理
(1)为完成数据包过滤,需设计一套过滤规则以规定什么类型的数据包被转发或被丢弃。设计过滤规则的时候,可以分作三个级别:
全连接:描述了一个TCP连接的完整信息,它可由一个五元组来定义(协议类型、源IP地址、源端口、目的IP地址、目的端口);
半连接:描述了连接的一端的信息,它可由一个三元组来定义(协议类型、IP地址、端口);
端点:也称为传输地址,它可由一个两元组来定义(源IP地址、源端口)。
(2)除了Snort_inline的IPS方式外,Snort还支持利用输出插件的方式将警告发送给处理警告的进程。snortsam就是一个这样的插件,它能够从引发报警的数据包中提取信息并将信息发给防火墙(iptables),防火墙根据信息可以在一定时间内阻塞特定的IP,达到保护主机的目的。IDS比如Snort本身的防御能力有限,而与防火墙联手则可以大大增加其迅速反应的能力。
3、主要实验仪器及材料
(1)网络设备;
(2)网络安全实验平台;
(3)计算机。
4、实验内容
(1)包过滤是防火墙的基本功能。
(2)配置安装snortsam,分别利用snortsam与IPS方式抵御攻击。
实验六:VPN配置与使用实验
1、实验目的
掌握基于IPSec的VPN中网关到网关的模拟环境配置步骤。
掌握基于IPSec的VPN中主机到主机的模拟环境配置步骤。
2、方法原理
IPSec主要由AH(认证头)协议,ESP(封装安全载荷)协议以及负责密钥管理的IKE(因特网密钥交换)协议组成。AH为IP数据包提供无连接的数据完整性和数据源身份认证。ESP为IP数据包提供数据的保密性(通过加密机制)、无连接的数据完整性、数据源身份认证以及防重防攻击保护。密钥管理包括IKE协议和安全联盟SA(Security Association)等部分。IKE在通信双方之间建立安全联盟,将密钥协商的结果保留在SA中,供AH和ESP通信时使用。
3、主要实验仪器及材料
(1)网络设备;
(2)网络安全实验平台;
(3)计算机。
4、实验内容
针对主机到主机的IPSec VPN、网络到网络的IPSec VPN两个实验环境,分别进行如下实验:
创建IPSec策略;
定义IPSec筛选器列表(filter list);
配置IPSec筛选器操作(Filter Action);
配置身份验证方法。
五、考核方法
1.教师对学生实验过程完成情况进行详细登记,记入实验成绩中。
2.学生完成实验后按要求撰写实验报告,根据实验报告确定每次实验的等级。
3.实验成绩按20%比例计入课程期评总成绩中。
六、实验指导书及主要参考书目
1、实验指导书
自编《网络安全与管理实验指导书》
2、 主要参考书
[1]石磊主编,网络安全与管理.北京:清华大学出版社,2009
[2]《计算机网络安全教程》,石志国,薛为民,江俐编著,清华大学出版社,2004年。
主 撰 人: 贺文华
审 核 人: 彭智朝
2012.6
