高校网络安全存储实验室方案书

XXX职业技术学院网络安全与服务器存储实训平台方案xxxx通信技术有限公司2023年5月目录TOC\o"1-2"\h\z\u一、 概述 3二、方案介绍 41. 实验系统构架 62. 实验平台及组网 63. 实验管理软件 94. 实验控制平台 95. 实验平台模块 116. 实验室建设特点 59三、网络安全存储实验室建设 601. 平台的建设 602. 师资队伍建设 633. 专业课程建设 63四、校企合作介绍 661. 培训认证体系介绍 662. 华赛网络安全存储学院合作模式及合作策略 72五、校企联合办学 73

概述信息安全保障能力和专业服务能力局限性成为国民经济和社会信息化发展的严重制约因素。我国政府高度重视在信息安全人才培养等方面公共服务能力建设。但是，目前在信息安全专业人才实践教学环节，缺少能支持信息安全各专项技术的综合实验环境；此外，政府和社会上数量庞大的在职人员对信息安全继续教育的需求与支持大规模在职人员安全技能实训服务能力局限性的矛盾也日益突出；同时，在面向公司的信息安全服务和支持公司间科研协作的服务手段和服务能力建设上也急需加强。因此，如何构筑可以支持信息安全高级专业人才培养、大规模社会继续教育实训、公司间安全服务与科研协作支持的国家信息安全公共服务支撑环境，成为重要的战略任务。结合学校在信息安全学科及实践教学环境建设的需要，围绕国家加快发展现代服务业和提高国家信息安全保障能力的战略规定，建设面向计算机专业、信息工程专业、通信、密码等相关专业的全体师生的多层次、全方位、可扩展的信息安全综合实践教学环境。同时实验室建设具有服务于国家信息安全公共服务的综合能力：面向信息安全高级专业人才培养的工程实践服务能力面向政府和社会的大规模继续教育实训服务能力面向公司的信息安全增值服务能力以及大规模科研协作支持服务能力建设总目的：是通过与华为赛门铁克（xxxx）共建“信息安全与数据存储实验室”，达成共同建立“信息安全实践教学基地”的目的，该实验室体现信息安全保障体系架构，涵盖信息安全所有专项技术和方向，提供多层次、全方位及综合化的信息安全实验与实践环境，支持信息安全专业人才培养、社会化培训以及信息征询、方案优化、产品研发与仿真测试等服务。网络安全技术是在计算机网络技术发展到一定限度，其应用渗透到各个领域、各个平常应用后，出现一系列安全问题和风险后，逐步发展起来的。其技术人才积累往往是和技术发展相辅相成的，由于安全经验需要时间积累的缘故，目前网络安全工程师远远满足不了业务发展需求。据计算机世界资讯发布的相关研究报告称，估计国内网络安全人才缺口将达成30万人以上。新浪网的相关人士表达：“由于目前专业的网络安全工程师人才比较少，特别是复合型人才奇缺，预计4年之后网络工程师的基本年薪会在15万元至20万元。“从目前的一些趋势来看，在国际公司行业里的一些精通网络安全技术的人才年薪都在10万元左右，WEB2.0到来之后这些人才的收入应当会更高。”信息存储容量成倍地增长，信息已经成为客户的重要资产，信息存储成为各项业务运作的基本依赖条件和环境。任何信息的破坏和丢失，都会导致难以挽回的巨大损失，任何存储系统的故障，都会严重影响业务的正常开展和运营。在这样的大背景下，特别是国家对高等教育提出了“打造精品课程”、“建设国家示范实训基地”以及“大力开展校企合作”的规定和倡议下，xxxx通信技术有限公司结合数年的通信行业、教育行业服务背景，携国内外知名公司，对国内教育行业推出可增值、可运营、可管理的高校网络安全存储实验室项目。xx公司盼望，通过高校网络安全存储实验室项目的推广和实行，改善中国高校专业实验及实训教学环境、提高中国高校专业实验及实训教育水平、提高专业技术人才职业技能素质。二、方案介绍e-Bridge实验平台系统是xx公司为高校实验室专业打造的一套系统。围绕着“进行工程师培养，让学生可以真实地熟悉工作环境的规定”这个核心思想，依据职业教育先行者姜大源的“基于能力本位的教育观”，按照“情景”教育模式设计。结合高新公司用人的规定设计出高校实验室的课程、教材、实验、师资培训和就业指导。整个平台系统重要有四个部分组成：专业的课程和教材体系专业的实训室解决方案实用的师资培训计划权威的认证考试实验平台设计特色：（1）、按照“工作任务领域”到“知识领域”到“认知领域”的科学逻辑流程，打造出满足学生职业技能实训的实验室；（2）、按照“情景”教育模式设计实验项目和课程；（3）、培养具有专业信息安全与存储网络知识的工程师是网络安全存储实验室课程和实验设计的目的。网络安全存储实验室解决方案特色：高性价比：实验管理软件的管理员轮巡机制支持多组用户同时操作；存储增值软件、设备端口数多，端口种类丰富，管理的简便性也大大减少了TCO；高可靠性：设备采用华为赛门铁克电信级高可靠性和高性能产品，产品使用范围覆盖金融大型数据中心、大型WEB网站、政府和大型公司纵向网络、运营商骨干网络等高端应用。可管理：专业的实验室管理软件，实验室管理系统的自动化、简便化，可以实现设备、学生、实验项目等一系列实验资源管理与分派。可将学生配置自动导出、保存，可标准配置对比/分析/评分。可增值：联合公司成立项目组，以实验室为重要基地，针对专业发展与行业技术进步的实际需要进行基础研究、应用基础研究、专业研究。通过研究与开发工作，提高科技成果的成熟性与配套性，为市场结构调整和产品优化升级提供技术支撑。可运营：通过联合公司方式建立“订单式定向培养”的专业教学，与公司、行业紧密结合，走产学合作的办学道路，大力推动以就业为导向的人才培养。全面性：以实际就业后的职业技能规划需求为课程设计思绪，通过实验结合理论，建立的知识体系全面、完善，厂家产品线齐全。实用性：结合xx公司5年的通信专业实验室的建设经验，将xx公司开发的实验控制软件和实验指导书，同时华赛产品是华为与symantec两个主流厂商的结晶，代表了多层主流技术的融合。并且在实验课程中提供丰富的应用环境分析，大大提高了实战性。前瞻性：知识体系中应包含对未来技术发展方向的分析/指引（华赛预研部+大量的专利）开放性：产品开放性（开放API，可供有势力的高校进行二次开放）与知识体系开放性（对原有设备利旧，可配合不同特定行业用户进行固有知识体系的完善/定制）。实验系统构架实验系统构架（如下图所示），它分为三个层面，即基础理论层面（教材）、子系统级层面（各功能模块设备）和平台级层面（实验软件平台）；纵向又分为两个层面，功能演示层面和教学实验层面。功能演示和教学实验横穿三个横向层面，即可以针对基础理论知识层面、子系统级层面以及平台级层面设计不同复杂度的系统功能演示和教学实验。每个子系统均依照自身的特点，有针对性地选择一个或者多个层面进行教学或培训实验设计，教学实验数量规定有三至六个或者更多。实验平台软件e-Bridge现代通信实训平台实训指导书e-Bridge现代通信实训平台实训指导书e-Bridge安全存储实训平台实训指导书理论教材/实验指导书实验设备e-Bridge三位一体第一层面：基础理论层面(理论教材、指导书)，重要是指与实验内容相关的基础理论、原型、实验原理以及测试原理等方面的内容。实验平台及组网网络安全存储实验室平台包含设备有互换机、路由器、安全路由网关、防火墙、IDS、SSLVPN等硬件设备和终端安全系统、安全评估系统、E-Bridge实验管理系统等软件系统组成，代表了当今最先进、最全面的网络安全技术。通过这个平台不仅能开设网络安全面的实验课程、存储实验课程，并且可以让学校获得网络安全存储方面认证培训的资格。网络安全实验室可根据学校的需求来拟定实验室网络结构的大小，终端可多、可少，最小可以只有一套系统，多可到几十套终端。实验模块齐全，涵盖了多个领域，学校可以根据专业个性化规定进行组网搭建，也可以分批建设，减少资金压力；支持网络设备模块自动配置，涉及设备复位、设备重启、设备环境初始化等；同时可以配置动手跳线区域，满足学生动手练习需要；实验设备模块安装固定，无需实验现场再接线，学员可以根据实验项目划分VLAN将设备搭建成实验组网；设备安装区域与客户端调试区域完全分开，使用标准电信布局模式；支持实验项目自行开发，提供实验课件上传接口；支持实验资料管理，涉及文档、图片、FLASH、胶片等各种资料上传、浏览权限分派；支持学生实验中与资料与设备操作整个实验网提成广域网部分和局域网部分。局域网部分由2个大的子系统构成,核心业务互换，防火墙与入侵检测系统。广域网部分由2-3台路由器组成，远端用户接入通过SSLVPN安全通道接入。整个网络通过一套统一的网络管理系统e-Bridge对全网设备进行管理。全网的认证、用户管理由管理平台系统完毕。在网络实验室中增长了安全的建设。上图中，将处在模拟因特网中的学生规划为外网用户，模拟办公网区域的学生为内网用户，模拟数据中心IDC（InternetDataCenter）为DMZ域中的设备。外网用户想要访问内网区域，需要通过防火墙的认证，外网用户可以根据需要发起网络袭击，检测防火墙的防护策略是否通过了有效的设立并且已经生效。外网用户接入内部网络访问数据中心的一种方法是通过VPN虚拟专用网的隧道来进行链接，SVN3000可以对外网用户进行权限认证，并且对数据进行安全加密，达成数据安全传输的目的。在网络实验平台部件中，有平台软件包、业务软件包、网络安全设备、高性能应用服务器设备、数据库及实验终端等。整个网络可以满足学生理解并掌握网络的层次结构、网络拓扑规划、路由器和以太网互换机的常识、网络设备的配置管理、网络间的基本技术协议以及目前处在网络技术前沿的IPv6应用技术。E-Bridge网络安全存储实验系统是xx公司为高校实验室专业打造的一套系统。它在网络安全存储实验平台包含以下模块：（1）、实验平台管理软件和系统软件；（2）、实验控制平台；（3）、实验设备模块（安全网络部分、存储部分）；实验管理软件EB实验管理软件是xx公司结合高校实验室建设环境和实验需求，进行针对开发的全新实验系统。该系统在安全存储网络实验平台上包含以下模块：a、设备管理模块实验设备管理功能：（1）、设备状态查询；（2）、设备添加、删除；（3）、设备恢复默认配置；（4）、设备分权分组分派；（5）、设备配置文献管理；（6）、设备重启；（7）、设备日记查询；教师通过系统可以轻松的管理所有设备，减轻实验室维护工作量和维护成本。b、学生管理实验学生管理功能：(1)、学生信息管理；(2)、权限、密码管理；(3)、学生分组；(4)、学生登录鉴权、操作鉴权；c、实验项目管理；实验项目管理功能：（1）、实验项目清单；（2）、实验操作日记查询；（3）、实验环境搭配初始化；（4）、实验状态记录；（5）、实验环境恢复；（6）、实验配置管理；（7）、实验结果校验；实验控制平台xx公司在成熟的VRP软件平台的基础上，结合设备的硬件体系结构和实验室管理业务规定，量身定做的的实验室控制管理体系，完全继承了VRP平台的稳定性、成熟性和可靠性。针对实验室管理功能的设备管理、学生管理、实验项目管理等一系列需求提供整体的解决方案，同时可以随着VRP平台的不断发展同步提供新的特性，充足的满足学校实验使用的多元化需求。设备控制台：采用标准TCP/IP接口和多样的操作模式，提供了TCPSERVER，TCPCLIENT和UDP，它们使用了统一标准的网络API（Winsock，BSDSockets）来保证网络软件的兼容性；采用串口转TCP/IP接口技术，通过网络进行远程的实验调试，与本地实验调测效果完全同样，经实验管理控制软件，可实现开放式的实验教学（学生可以远程进行实验）；每个串口同时支持6个终端会话，一台设备同时满足一个操作员和5个观测员同时显示终端界面，满足一人操作演示多人学习的效果。服务器虚拟化和存储虚拟化技术，在充足满足实验规定同时，提高设备运用率，减少误操作率，提高设备采购性价比；串口采用标准RS232协议，支持当前主流厂家网络设备，涉及华为、CISCO、H3C、锐捷、港湾等，所有厂家设备都能纳入设备控制台进行管理；实验平台模块依据学校实验室教学特色，满足实验多组学生同时操作，同步进行，将实验设备配置为模块化分组。(1)、网络基础实验平台方案概述我们设计的数据网络平台方案是基于对IP网络最基本的理解，采用合适的运营级路由器和互换机进行各种形式的组网，能充足体现IP技术在计算机网络中的使用方式和业务特点。在网络边沿接入侧的汇聚路由器可以提供更多的业务能力，涉及VPN、动态/静态路由协议、认证方式、管理方式等多种技术，能让学生得到充足学习及实践应用。整个数通平台是按照需求分组配置的，重要依据华为数据通信认证的硬件配置为基础，每组配备汇聚路由器、接入路由器，二层互换机和三层互换机，四类设备组成一个完整的实验组，为学校此后申请华为网络学院奠定了硬件基础。再现了公司的接入数据网络的模型。并且各组之间可以通过汇聚路由器互联，实现更大的区域网络的互联组网。组网拓扑图在数据通信实验平台中，通过数据通信设备不同组网拓扑和技术，可以灵活实现整个通信网中各种以IP应用为基础的数据业务。华为数通认证的HCDA/HCDP高级实验项目所需要的实验环境拓扑图示例如下。例一、VPLS实验：例二、MPLSVPN实验：依据以上设备规定和组网规定，我们按照HCDA设备清单所列，配置能支持6组同时进行HCDA的所有实验，还可以完毕HCDP上面所述的华为数通认证的高级实验项目，增长的实验有：、《VPLS实验》、《VLL实验》、《VPLS或VLL联动MPLSTEFRR实验》、《分层式BGPMPLSVPN网络(HoVPN)》。培训目的通过本平台培训后，可以让学员掌握完毕以下技能：描述IP网络的基本层次结构以及各个层次的功能。描述以太网发展历程以及相关技术。描述网络安全和防火墙基本知识。描述TCP/IP模型各个层次的基本功能、各种常用协议的功能、工作原理以及所处的层次。描述ICMP工作原理。描述路由器和互换机工作原理。描述VLAN、STP、VRRP、StaticRoute、RIP、OSPF、PPP、FrameRelay等基本原理和配置。应用IP地址子网划分的知识进行网络地址规划。应用Ping、Tracert等工具进行网络设备的维护和简朴的故障判断和定位。配置基于VRP平台的IP地址、VLAN、VRRP、静态路由、RIP、OSPF并进行简朴的故障定位和解决。在IP网络的各个层次选择使用相应的华为数通设备。描述OSPFv2/v3、ISISv4/v6、BGP、MP-BGPforIPv6、IGMP、PIM-SM、PIM-DM的工作原理。配置基于VRP平台的OSPFv2/v3、ISISv4/v6实现大型网络的IP连通性。配置基于VRP平台的BGP、MP-BGPforIPv6并采用BGP路由属性和路由策略根据需求在大型网络上选择和过滤路由。描述BGP反射、联盟的作用和基本原理。描述BGP多归属的基本概念和应用场景。配置基于VRP平台的IGMP、PIM-SM、PIM-DM实现组播业务。在大型网络的构建和业务部署中根据性能和业务需求选择合适的华为中高端路由器。应用各路由协议的故障解决方法针对大型网络中出现的路由类故障进行定位和排除。描述VLAN、GVRP、QinQ、STP、RSTP、MSTP、工作原理。描述PPP、PPPoE、IPoE、IPoEoVLAN工作原理。配置基于VRP平台的VLAN、GVRP、QinQ、STP、RSTP、MSTP。描述在接入网络中应用VLAN、GVRP、QinQ等技术实现用户隔离和业务透传。描述在接入网络中应用STP、RSTP、MSTP避免环路。描述在接入网络中部署PPPoE、IPoE、IPoEoVLAN业务。分析与解决接入网络中VLAN、GVRP、QinQ、STP、RSTP、MSTP、PPPoE、IPoE、IPoEoVLAN等方面的故障。选择合适的华为互换机和BRAS设备构建运营商的接入网络。描述IP承载网络的特点和性能需求。描述HA的常用技术基本原理。描述MPLS、BGPMPLSVPN、QoS原理。配置基于VRP平台的BGPMPLSVPN、QoS、VRRP。配置大型IP承载网单域BGPMPLSVPN业务并实现私网用户访问Inernet。描述MPLSTE的四大组件。配置基于VRP平台的MPLSTE基本功能并将流量通过三种不同的方式引入MPLSTE隧道。描述在大型IP承载网络上应用VRRP技术提供高可靠性保证。分析与解决在大型IP承载网络上BGPMPLSVPN的相关故障。实验项目认知性实验互换机的基本操作路由器的基本操作互换机VLAN配置互换机链路聚合配置综合性实验路由器单臂路由实验路由器静态路由实验路由器RIP实验路由器OSPF实验路由器PPP实验配置IS-IS基本功能配置IS-IS的路由聚合配置IS-IS的DIS选择配置IS-IS的负载分担配置IS-IS和BGP交互配置IS-ISIPv6的基本功能配置OSPFStub区域配置OSPFNSSA区域配置OSPF的DR选择配置OSPF负载分担配置OSPFv3区域配置OSPFv3的DR选择配置OSPFv3的虚连接配置BGP与IGP交互配置BGP负载分担和MED属性配置BGP团队配置BGP路由反射器配置BGP联盟配置AS_Path过滤器配置BGP4+基本功能配置BGP4+路由反射实验类别推荐培训实验内容描述HNTDHCDA-HNTDIP网络基础；VRP基础；以太网技术、广域网技术、路由协议、网络安全、网络管理基本原理及其在华为产品中的实现。BCANHCDP-BCANVLAN、QinQ、STP、RSTP、MSTP、Radius、PPPOEOVLAN、IPOEOVLAN、PPPOEOA等技术在电信级网络中的应用以及在华为产品中的实现。BCRNHCDP-BCRNIPv6、OSPFv3/v4、IS-IS/ISISv6、BGP路由协议高级；复杂大型网络中的路由选择和路由控制；IGMP、PIM-DM、PIM-SM组播相关协议；上述协议在电信级网络中的应用以及华为产品中的实现。BITNHCDP-BITNMPLS、BGPVPN、MPLSTE、Qos、HA等技术在IP电信承载网中的应用以及在华为产品中的实现。IERNHCDP-IERNOSPF协议、ISIS协议、BGP协议、路由选择和控制、组播成员发现协议、组播路由协议原理、配置及其在行业网络中的应用；行业网络路由器产品介绍与应用IESNHCDP-IESNVLAN、QinQ、802.1X、Smartlink、MPLS、LDP、MPLSVPN等技术原理、配置及其在行业网中的应用；行业网产品介绍与应用支撑的课程体系《数据与计算机通信》内容涉及最基本的数据通信原理、各种类型的计算机网络及多种网络协议和应用。这一版对原有内容做了彻底的修订和重组，使新版对通信各专题的阐述更全面、更清楚。同时，新版更新了吉比特以太网、10Gbps以太网的内容，对WiFi/IEEE802．11无线局域网、性能监控、服务水平约定、服务质量等根据新的标准进行了修订。此外，《数据与计算机通信》(第8版)还涉及TCPTahoe、Reno以及NewReno拥塞控制算法的描述，对多媒体组网的内容也进行了扩充。《数据通信基础》本书比较系统、全面地介绍了计算机通信中的一系列重要问题，以及解决这些问题的关键技术。内容涉及通信技术与计算技术的发展概况以及它们的结合、数据通信的基础知识、传输技术、同步技术、数据透明传输技术、差错控制技术、信道共享技术、数据互换技术、寻址与路由技术、拥塞控制与流量控制技术、B-ISDN技术与信息安全技术。本书侧重于基本概念和基本原理的阐述，不讨论理论分析与计算，因此通俗易懂。本书可作为高等院校理工科非通信专业的本科生与研究生的教材，也可作为工程技术人员学习计算机通信知识的参考书。《数据通信与网络教程》本书系统地介绍了数据通信和计算机网络领域的基本内容。在第一版的基础上，修改和增长了新的内容，涉及无线和卫星通信、有线电视电缆调制解调器、压缩技术、密码技术、防病毒、100Mbps以太网、NetWare4.0、边界网关协议、域名系统、IPv6、异步传送模式、使用客户/服务器模式来实现文献传送协议及开发Web网页等。在内容和结构安排上，注意理论与实际应用的结合，每章后面既有复习题，又有练习题。

本书适合作为计算机科学专业本科生的教材，也可供教师和从事该领域设计或应用的研究人员用做参考书。《TCP/IP路由技术》本书是一本具体而又完整地介绍互连网络内部网关协议(IGP)的专业书籍，堪称有关IGP方面不可多得的经典之作。本书共分三个部分。第一部分重要介绍了网络和路由选择的基本知识，其中涉及．IPv4协议、IPv6协议和路由技术。第二部分是本书的精华，这一部分具体、进一步地讲述了各种常用的内部路由协议，如RIP、RIPv2、RIPng、无类别路由选择、EIGRP、OSPFv2、OSPFv3、IS-IS等协议，每一章除了对该协议的实现机制和参数详尽阐述，使读者对协议的实现原理有一个清楚的理解外，还通过在实际网络环境中的实例，具体地论述了该协议在Cisco路由器上的配置和故障解决方法，帮助读者获取大量解决实际问题的专业技能。第三部分介绍了如路由重新分派、缺省路由/按需路由选择、路由过滤、路由映射等多种重要而有效的路由控制工具，用来创建和管理多个IP路由选择协议的协调和互操作。附录部分讲述了二进制、十六进制转换、访问列表、CCIE提醒等内容。相对于第一版，本书第二版具有以下更新：在第一版具体讲述IPv4协议中IGP的基础上，大量增长了相应协议在IPv6协议中的实现和配置，其中单独一章用来讲述IPv6中应用的OSPFv3协议，这是本书新版的一大亮点；同时本书根据。Internet和CiscoIOS系统的最新发展，适本地删减了如网桥、IGRP等过时的内容，并增长了许多新的IOS增强特性的讲解。《TCP\IP协议族》本书分为5个部分：第1部分(第l～3章)介绍一些基本概念和基础底层技术；第2部分(第4～15章)讨论TCP／IP协议组中的核心协议IP和TCP，以及几个重要的路由选择协议；第3部分(第16～22章)讨论使用网络层和运送层协议的一些应用程序；第4部分(第23～27章)介绍因特网中一些较新的内容，如移动IP、多媒体、虚拟专用网、网络地址转换，以及下一代IP；第5部分(第28章)介绍网络安全问题。《TCP\IP协议族》(第3版)的重要特点是：(1)用图文并茂的方法讲述了技术性很强的内容，而不使用复杂的公式；(2)重要的概念在书中多次反复；(3)尽也许使用结合实际的例子来阐明一些概念；(4)在许多章都涉及了有关的设计内容，以便帮助理解每一种协议的思绪和问题；(5)每一章有一个本章内容小结，归纳该章所有的重点内容。(2)、网络安全实验平台方案概述计算机网络信息安全是一个综合性、全面性的工程，涉及到信息生成、信息存储、信息传递、信息呈现的各个方面，规定整个过程中都具有可行安全保障；计算机网络信息安全不再仅仅局限于对传统意义上密码和网络，而必须要结合数学、物理、通信、计算机以及存储、操作系统、应用软件、数据库等诸多领域的长期知识积累和最新研究成果，xxxx在总结数年经验基础上进行自主创新研究，提出了系统的、完整的、协同的、可行的高校计算机网络信息安全实验室解决方案。并提供信息安全从“袭击、防范、检测、控制、管理、评估”等多个方面的实验配套设备和实验教材。xx公司盼望，通过高校计算机网络信息安全实验室项目的推广和实行，改善中国高校专业实验及研发教学环境、提高中国高校专业实验及研发教育水平、提高专业技术人才职业技能素质。组网拓扑图网络安全实验室平台包是在网络基础平台的基础上增设安全路由网关、防火墙、IDS、SSLVPN等安全硬件设备和E-Bridge实验管理系统等软件系统组成，代表了当今最先进、最全面的网络安全技术。通过这个平台不仅能开设数据网络安全面的实验课程，并且可以让学校获得网络安全面认证培训的资格。网络安全实验室可根据学校的需求来拟定实验室网络结构的大小，终端可多、可少，最小可以只有一套系统，多可到几十套终端。上图中，将处在模拟因特网中的学生规划为外网用户，模拟办公网区域的学生为内网用户，模拟数据中心IDC（InternetDataCenter）为DMZ域中的设备。外网用户想要访问内网区域，需要通过防火墙的认证，外网用户可以根据需要发起网络袭击，检测防火墙的防护策略是否通过了有效的设立并且已经生效。外网用户接入内部网络访问数据中心的一种方法是通过VPN虚拟专用网的隧道来进行链接，SVN3000可以对外网用户进行权限认证，并且对数据进行安全加密，达成数据安全传输的目的。培训目的:通过本平台培训后，可以让学员掌握完毕以下技能：理解网络安全的基本概念；理解风险的基本概念；描述常见袭击和防范方式；掌握防火墙的基本原理和功能；掌握防火墙的基本配置和模块；纯熟配置防火墙的地址转换和访问控制列表。理解信息安全的范畴和发展理解访问控制技术的原理和应用；掌握掌握L2TP、IPSec、SSL、SET等高级安全协议的原理和应用范围；掌握防火墙VPN配置和综合组网；掌握防火墙针对各种袭击的高级防范技术和部署。实验项目序号实验项目1防火墙Web管理实验2防火墙FTP连接实验3防火墙区域间连接4防火墙VLAN配置5防火墙WLAN配置（Crypto服务类）6防火墙WLAN配置（Plain服务类）7防火墙IEEE802.11三种加密算法配置8防火墙以太网接入802.1X认证9防火墙WLAN接入802.1X认证10防火墙以太网接口实验11防火墙接口的IPv6地址12防火墙配置IPv6overIPv4手动隧道13防火墙配置IPv6overIPv4GRE隧道14防火墙配置IPv6overIPv4自动隧道15防火墙配置6to4隧道16防火墙配置6to4中继17防火墙配置IPv4overIPv6隧道18防火墙静态路由配置19防火墙RIP路由配置实验20防火墙OSPF路由配置实验21防火墙配置IS-IS基本功能22防火墙配置IS-IS的路由聚合23防火墙配置IS-IS的DIS选择24防火墙配置IS-IS的负载分担25防火墙配置IS-IS和BGP交互26防火墙配置IS-ISIPv6的基本功能27防火墙配置OSPFStub区域28防火墙配置OSPFNSSA区域29防火墙配置OSPF的DR选择30防火墙配置OSPF负载分担31防火墙配置OSPFv3区域32防火墙配置OSPFv3的DR选择33防火墙配置OSPFv3的虚连接34防火墙配置BGP与IGP交互35防火墙配置BGP负载分担和MED属性36防火墙配置BGP团队37防火墙配置BGP路由反射器38防火墙配置BGP联盟39防火墙配置AS_Path过滤器40防火墙配置BGP4+基本功能41防火墙配置BGP4+路由反射42防火墙基本访问控制列表实验43防火墙高级访问控制列表实验44防火墙ASPF配置实验45防火墙黑名单过滤实验46防火墙端口辨认实验47防火墙P2P配置48防火墙IPSEC采用IKE方式建立SA(预共享密钥)实验49防火墙GRE隧道实验50防火墙的PPPoE实验51防火墙PPPoE拨号建立NAS-InitializedL2TP连接实验52防火墙Outbound方向的NAT实验53防火墙NAT地址映射内部服务器实验54防火墙目的地址NAT实验55防火墙双向NAT实验56防火墙结合安全区域配置内部服务器实验57防火墙配置服务器MAC和IP地址绑定实验58防火墙双机备份部署实验59虚拟防火墙部署实验60SSLVPN的Web-Link业务配置实验61SSLVPN的文献共享业务配置实验62SSLVPN的网络扩展业务配置实验63入侵检测系统安装实验64入侵检测策略配置实验65入侵检测报文记录与回放实验66小型办公网络出口安全方案场景实验67公司分支机构/合作伙伴VPN接入方案场景实验68公司出口多级防护组网方案场景实验实验场景规划以下是部分实验的拓扑图及实验目的：实验拓扑图实验连接到防火墙；防火墙区域间连接FTP连接－防火墙作为FTPClient；FTP连接－防火墙作为FTPSever防火墙VLAN配置防火墙静态路由配置；防火墙RIP路由配置；防火墙OSPF配置防火墙ASPF配置；防火墙黑名单过滤；防火墙MAC地址和IP地址绑定；防火墙端口辨认防火墙P2P配置；基于时间段的P2P配置；上下行分别限流的P2P配置；防火墙IPSec配置防火墙双机备份部署虚拟防火墙的部署支撑的课程体系课程模块内容目的网络安全基础概念本课程重要描述了网络安全的基本原理，具体介绍有关风险、威胁等基本的安全概念，针对网络袭击进行了系统的分类和缓解方法，回顾了数通的核心知识。理解网络安全的基本概念；理解风险与威胁的概念和关系；描述常见袭击和防范方式；熟悉重要的IP协议。网络安全技术原理本课程重要描述了安全的核心技术加密算法和应用，同时具体讲解了基础的安全协议，802.1X和RADIUS协议。描述加密原理、算法和应用；理解802.1X协议的原理和应用；理解RADIUS协议的原理和应用。防火墙基础知识和配置本课程重要描述了防火墙的技术基础，涉及分类、概念和应用、策略，以及防火墙的基本功能，同时针对防火墙的基本配置。理解防火墙的基本原理和分类；理解防火墙的部署方式以及策略；描述防火墙的基本功能和关键参数；掌握防火墙基本配置，涉及基本命令、升级、FTP等应用。防火墙访问控制列表本课程重要描述了防火墙访问控制列表的原理，以及在防火墙上实现访问控制列表。理解访问控制列表的控制方法和原理；理解访问控制技术的要素；掌握防火墙上访问控制列表的配置和部署。防火墙动态地址转换技术本课程重要描述了防火墙上动态地址转换技术的原理、优点和缺陷，以及在防火墙上实现动态地址转换。理解地址转换技术的控制方法和原理；理解地址转换的意义和优缺陷；掌握防火墙上地址转换的配置和部署。主设备介绍SecowayUSG2023华为SecowayUSG2023系列统一安全网关是华为公司针对中小公司安全业务需求，推出的新一代多功能安全网关，可广泛应用于中小公司、大型公司分支机构、SOHO办公类用户、以及网吧出口网关等，华为SecowayUSG2023系列统一安全网关采用模块化设计，集安全、路由、互换、无线（WiFi、3G）等特性于一体，接口类型丰富，性能领先，能为中小公司、大型公司分支机构、SOHO办公类用户、以及网吧出口网关提供安全防护，并能提供集成的网络出口安全与互联解决方案，减少公司总所有成本TCO，提高公司的效率，是中档及中小型公司网络的抱负安全防护设备！<产品系列>SecowayUSG2110：采用固定接口形态，提供百兆的性能和方便易用的可管理性，带1个固定的百兆WAN接口和4个固定的百兆LAN接口。SecowayUSG2130：是统一集成的防火墙/VPN/安全路由器/安全互换机系统，提供百兆的性能、模块化架构、WiFi接入和丰富的路由器、互换机功能，带1个固定的百兆WAN接口和8个固定的百兆LAN接口，并附加1个MIC扩展插槽，可灵活扩展广域网或局域网接口。USG2130还额外支持一个Express插槽，专门用来扩展3G接口。SecowayUSG2210&2220&2230&2250：是统一集成的防火墙/安全路由器/安全互换机系统，提供数百兆至1G的性能、模块化架构和丰富的路由器、互换机功能，带2个固定的光电互斥ComboGE接口。附加2个FIC扩展插槽和4个MIC扩展插槽，可灵活扩展广域网或局域网接口。USG2130USG2210/2220/2230/2250 <产品特点>业内首款集路由，互换，安全，无线（WiFi、3G）于一体的安全网关SecowayUSG2023系列集路由、互换、安全、无线（WiFi、3G）功能于一体，1台SecowayUSG2023系列=数台传统路由器+数台传统互换机+数台传统防火墙，能有效帮助公司提高效率、减少维护复杂度，减少公司总成本TCO。接口类型丰富、接口密度大及灵活组网能力USG2130统一安全网关除了提供1个固定百兆WAN接口和8个固定百兆LAN接口，还提供1个扩展插槽，可以选配1*FE、1*E1/CE1、5*FE、1*ADSL2+等接口，USG2130还增长3Gexpress插槽，USG2130最大接口密度可达13FE；USG2210/2220/2230/2250统一安全网关除了提供2个固定千兆光电互斥WAN接口，还提供4个MIC扩展插槽和2个FIC扩展插槽，FIC插槽可也以选配1*GE、2*E1/CE1接口卡，整机最大接口密度可达4GE+10FE，可以适应不同的网络环境，便于用户灵活组网。唯一以扩展插槽形式同时支持WIFI、3G的产品SecowayUSG2023系列产品支持WLANWiFi，支持802.11b、802.11g、802.11g/b混合模式；自动速率调整、无线信道选择、发射功率可调、加密、广播克制、SSID隐藏、省电模式、管理维护；支持加密方式WPA-PSK、WPA2-PSK、WEP、AES、TKIP；2根全向性天线实现天线增益；USG2130可以通过扩展EXPRESS3G接口接入无线网络。支持兼容2G至超3G的数据传输模式，具体可以兼容：HSDPA/WCDMA2100M/1900M/850M；GSM/GRPS/EDGE1900M/1800M/900M/850M。USG2210/2220/2230/2250同档次产品性能领先USG2210/2220/2230/2250采用多核并行解决技术，使产品在性能上有了质的奔腾，整机最大吞吐量（大包/小包）、每秒新建连接数等性能指标在业界处在领先位置，为用户带来超高的性能体验。强大的NAT转换能力SecowayUSG2023系列产品提供ACL精确控制的单地址池、多地址池以及接口地址转换功能，一对一、一个公网相应多个私网地址的端口级NATSERVER应用、双向NAT，此外NAT功能支持FTP、ICMP、SIP、RTSP、HWCC、MSN、QQ、RAS、H323(含T.120)、RPC、MMS、IPSECESP、SQLNET、MGCP、ILS、Netbios等丰富的应用协议，为公司内部服务器提供了完整的解决方案，是业界卓越的NAT转换设备。丰富的VPN技术SecowayUSG2023系列统一安全网关为用户提供了L2TP、GRE、IPSec等多种VPN组网技术，为用户提供了更多的选择。凭借华为公司硬件及芯片开发领域强大的技术实力，在USG2023系列统一安全网关中内置了高性能硬件加解密芯片，使产品加密性能在业界同类产品中处在领先位置，并且支持DES、3DES、AES、RSA、SCB2等多种加密算法，可认为用户提供高强度的加密传输保障，同时，结合华为公司全系列的网络安全产品，可认为用户提供完整的VPN解决方案。健康环保SecowayUSG2023系列统一安全网关是华为公司为用户精心打造的一款“健康环保”多功能网络安全网关。作为一款中小型网络安全设备，其使用环境更加贴近用户，华为公司秉承着“以人为本”的产品设计理念，采用防辐射的金属外壳设计，同时使用大量符合电磁规范的电子器件，有效防止电子元器件产生的电磁辐射，为用户带来更加健康环保的使用体验。<典型组网图>USG2USG2200分支机构InternetSOHO用户合作伙伴FEE1ADSL3G上行分支机构USG2200USG2130USG2100公司总部USG5000服务系统SecowayUSG2023系列典型组网图<产品规格>项目SecowayUSG2110SecowayUSG2130SecowayUSG2210/2220/2230/2250集成WAN口1*10/100WAN1*10/100WAN2*ComboGEWAN集成10/100LAN口48-10/100LAN密度41310扩展插槽-1MIC+Express4MIC+2FICUSB接口无1(v2.0)2(v2.0)VPN功能可选支持可选WiFi功能-可选可选3G功能-支持可选WAN接口支持FEFE,ADSL,E1/CE1FE,GE,ADSL,E1/CE1外形尺寸(宽x深x高)280mm×190mm×35mm420mm*255mm*44.2mm442mm×420mm重量1.0kg3kg7kg最大功耗12W25W<35W输入电压AC:90Vto264V;47/63HzAC:90Vto264V;47/63HzAC:90Vto264V;47/63Hz平均无端障时间MTBF12.67years12.67years12.67years

SVN3000『产品概述』互联网Internet的迅速普及，公司信息化建设的日益完善，公司面对远程接入的需求越来越丰富，如何安全、便捷、高效的实现公司内网IT信息系统的安全访问，使得公司分支机构、公司出差员工、SOHO办公人员、合作伙伴、客户等可以及时地获取所需的重要信息，成为公司IT部门进一步提高IT效率面临的关键问题之一。华为公司针对上述问题推出大容量高可靠SSL/IPSecVPN安全接入网关SVN3000。SVN3000通过支持SSLVPN功能为公司出差员工、SOHO办公人员、合作伙伴、公司客户等终端，提供安全易用、易管理的远程接入方式。同时支持IPSecVPN功能，支持低成本的远程分支机构间互联。SVN3000基于华为专业的高可靠硬件平台，采用专业实时的操作系统，具有优秀的系统安全性和可靠性，是公司VPN网络建设的最佳方案。SecowaySVN3000『产品特点』 优秀的SSL/IPSecVPN网关SecowaySVN3000安全接入网关深度整合SSLVPN、IPSecVPN、防火墙、AAA等VPN技术和功能，充足结合各自的优势和特点，为IPVPN组网提供优秀的安全接入解决方案。SecowaySVN3000支持远程访问终端使用标准的Web浏览器，无需安装任何客户端软件，即可实现对公司内网资源的安全访问，同时支持强力的身份认证、细粒度的内网资源授权访问控制，提供DES、3DES、AES等加解密算法（支持国家商用密码算法），为远程访问提供了层次化端到端的安全保障。领先的业务支持能力SecowaySVN3000安全接入网关提供公司内网应用全面的远程访问功能，支持远程终端基于Web界面进行所见即所得的应用访问，支持WebServer安全访问、文献共享访问、Notes、Exchange、FTP、Oracle、Telnet、SSH、RDP、VNC等应用类型的访问，丰富的业务应用支持，为公司的应用带来了前所未有的扩展能力。为满足未来全新的业务应用的飞速发展，SVN3000同时也支持VPNTunnel方式，实现全业务访问的支持能力。支持全面的认证方式SecowaySVN3000安全接入网关提供基于用户名密码的认证授权，同时也广泛支持主流的认证和外部授权平台，如：Radius、LDAP、SecurID、X.509数字证书、USBKEY＋数字证书等，节省用户投资的同时极大的方便了管理员对访问用户进行统一的管理和配置，很大限度上减少了支持和维护的成本。同时，提供系统日记、管理员日记和用户访问日记，支持日记的分类查看和实时导出，方便管理员对日记进行外部分析及审计。提供便捷的部署和管理SecowaySVN3000针对SSLVPN业务提供丰富易用的中英文WebUI管理界面。管理员通过Web管理界面可完毕相关SSLVPN的用户配置和资源配置，支持实时监控和管理。作为安全专业的安全接入网关，SecowaySVN3000支持命令行管理和SNMP。支持虚拟网关技术SecowaySVN3000支持领先的虚拟网关技术，通过虚拟网关技术在一套设备上实现多个虚拟的SSLVPN系统，虚拟的多个系统有独立管理员、用户项、配置项，从而保证各系统间不可互访。虚拟网关技术为设备带来了前所未有的扩展性，是公司和运营商进一步提高安全性、进行安全服务的关键技术，为公司和运营商带来更高的投资回报。SecowaySVN3000单台设备可提供多达128个虚拟SSLVPN网关。高可靠性安全接入网关SecowaySVN3000安全接入网关基于华为高可靠性硬件平台、专用的实时操作系统、专业VRP平台，较传统基于通用系统上构建的VPN服务平台具有更优异的性能和更高的系统安全性。SecowaySVN3000提供标准的双电源配置，支持热备组网，是构建高可靠VPN业务网的最佳选择。『产品规格』项目SVN3000固定接口3组10/100/1000M光电互斥口，1个配置口扩展插槽2可靠性双电源、双机热备管理方式支持命令行、Web配置管理、SNMP外形尺寸(mm)宽×深×高436mm×420mm×44.45mm重量6.0kg最大功率60W输入电压AC:100~240V50/60HzDC：-48~-60V平均无端障间隔时间12.67年标准和协议支持SSLv2.0、SSLv3.0、TLSv1.0等协议『典型组网』SVN3000典型网络拓扑

(3)、信息安全实验平台方案概述随着信息化限度的提高，公司越来越多地运用计算机创建和解决敏感的业务电子信息，在方便快捷的同时也增长了信息被侦听、截获及非法拷贝的危险。特别公司在商业活动中使用的诸如公司财务数据表、客户信息、研发文档、图片等隐私和敏感信息资源，一旦泄密将给公司的业务关系带来危害，使公司的知识产权遭受损失，带来巨大的信息资产损失成本，同时给公司的声誉导致不良影响。据调查显示，信息泄密已成为当前公司面临的TOP10安全威胁之一。在Fortune排名1000的公司中，平均每次电子文档泄密导致的损失为$50Million，而不受权限限制的阅读、修改、分发文献是导致信息泄密的重要因素。正是基于敏感信息资源泄密导致的严重危害性，越来越多的法律、法规对公司的信息安全行为作出了规定：规定保护公司机密信息，谨防不规范信息操作，防止未经授权导致的信息泄密和非法使用。华为安全管理系统的安全域模型如图所示：华为Secospace终端安全管理系统网络域划分模型对于整个公司网络来说，通过安全边界的FW等安全设备，将公司的网络分为公司内网和公司外网。在公司内网，华为终端安全管理系统，以安全接入控制网关SACG为参考点，逻辑上将整个公司网络划分为四个区域：业务计算域：业务计算域由公司的业务系统组成，包含了公司的关键信息资产和业务资产，是华为终端安全管理系统中重点保护的部分。终端只有通过身份认证和安全认证，确认身份的合法性以及终端符合公司的安全策略，才允许对业务计算域进行访问；业务计算域区分身份的角色和权限，不同角色的用户相应不同的访问权限。安全服务域：安全服务域由安全管理系统组成，这些安全系统重要涉及公司防病毒系统，公司补丁管理系统以及终端安全管理系统等。安全服务域为终端用户提供身份验证和安全策略实行功能，对于不满足公司安全策略的终端，强制实行修复。网络域：网络域由互换机等网络设备组成，网络域为公司网络业务开展提供承载功能。终端用户域：终端用户域由一系列的终端组成，这些终端用户也许是公司的雇员，也也许是公司合作方的员工，也也许是不怀好意的非法用户。组网拓扑图IT内控安全已经是公司信息安全中最重要环节之一，文档安全管理系统培训目的:通过本平台培训后，可以让学员掌握完毕以下技能：理解信息安全的范畴和发展理解IT内控访问技术的原理和应用；掌握掌握文档安全的原理和应用范围；掌握防火墙VPN配置和综合组网；掌握防火墙针对各种袭击的高级防范技术和部署。掌握终端安全管理原理、配置及应用。实验项目应用类实验项目序号实验项目1公司文档加密实验2文档权限有效期实验3公司文档安全分发实验4公司文档访问时间限制实验5文档打印次数权限实验6文档打开次数限制权限7公司文档部门授权实验8公司文档权限修改实验9公司内部文档安全系统搭建实验10公司终端安全系统部署实验11终端安全接入控制实验12终端安全行为监控实验13终端安全补丁管理实验14终端安全资产管理实验原理类实验项目实验系统名称实验项目密码算法演示实验系统对称密码-DES单步加密实验对称密码-DES算法实验对称密码-3DES算法实验对称密码-AES算法实验HASH算法-MD5算法实验HASH算法-SHA-1算法实验非对称密码-RSA算法实验非对称密码-DSA数字署名实验密码算法分析设计实验系统古典密码算法实验对称密码-DES算法实验对称密码-IDEA算法实验对称密码-RC4算法实验对称密码-AES算法实验非对称密码-RSA算法实验非对称密码-ECC算法实验HASH算法-MD5算法实验非对称密码-RSA数字署名实验PKI系统实验系统用户证书申请实验用户申请管理实验证书管理实验交叉认证实验信任管理实验非对称加密实验数字署名实验SSL应用实验信息隐藏与数字水印实验系统信息隐藏算法实验：空域信息隐藏算法实验DCT变换信息隐藏算法实验静态图像信息隐藏实验：GIF图像信息隐藏和提取实验JPEG图像信息隐藏和提取实验BMP图像信息隐藏和提取实验数字音视频信息隐藏实验：MP3信息水印嵌入和提取MIDI信息水印嵌入和提取实验WAV信息水印嵌入和提取实验MEPG信息水印嵌入和提取实验数字签章实验系统使用Word/Excel进行可视化电子签章实验使用Word/Excel进行可视化手写署名实验使用AdobeAcrobat进行数字署名实验多级安全访问控制实验系统基于PMI属性证书的访问控制实验基于XACML策略的访问控制实验基于可信级别的多级安全策略实验基于角色的多级访问控制实验病毒实验系统恶意代码和脚本类病毒实验网络炸弹病毒实验万花谷病毒实验新欢乐时光病毒实验WORD宏类病毒实验美丽莎病毒实验NO.1病毒实验PE类病毒实验VB病毒实验防火墙应用实验系统普通包过滤实验状态检测实验应用代理实验NAT转换实验事件审计实验综合实验入侵检测应用实验系统异常流量分析实验网络行为异常检测实验多协议袭击检测实验基于主机活动特性的主机异常检测实验虚警率分析实验安全审计实验系统文献事件审计实验网络事件审计实验打印事件审计实验日记事件审计实验拨号审计实验审计跟踪实验主机监管实验IPSECVPN实验系统VPN安全性实验IKE认证实验基于PSK的IKE认证实验基于RSA的IKE认证实验基于证书的IKE认证实验VPN不同模式比较实验ESP隧道模式实验ESP传输模式实验AH隧道模式实验AH传输模式实验各种模式比较实验MPLSVPN实验系统MPLS网络构建实验MPLSVPN构建实验攻防实验系统RpcDcom堆栈溢出实验端口扫描实验漏洞扫描实验Unix系统口令破解实验Windows系统口令破解实验远程控制实验网络窃听实验DDOS袭击邮件账号密码破解实验FTP文献传输账号密码破解实验蜜罐密网蜜罐部署及攻防实验安全协议验证实验系统CCITTX.509协议验证实验Needham-Schroeder协议验证实验IKE协议实验Woo&Lam协议验证实验密码技术应用实验系统Outlook加密电子邮件实验数字证书在邮件系统中的配置发送加密邮件实验发送数字署名邮件发送加密和署名邮件对加密、署名之后邮件的源文献的比较PGP的加解密实验文献加解密实验运用PGP发送加密邮件运用PGP发送数字署名邮件运用PGP发送加密和署名邮件基于操作系统的EFS加密实验EFS对目录的加密更换不同登陆帐号，观测访问权限的变化EFS的密钥备份与恢复SSH安全协议实验SSH客户端的配置SSH服务器端的配置基于共享密钥情况，SSH客户端访问SSH服务器基于公钥密码体制，SSH客户端登陆实验SSL安全协议实验WEB服务器上，服务器证书的申请浏览器上，证书管理器的使用IISWEB服务器上SSL协议支持的相关配置建立CA证书服务器实验在Windows2023下建立CA证书服务器使用EJBCA建立CA证书服务器Windows平台下防火墙、入侵检测、VPN实验系统Windows平台下构建防火墙系统实验Windows平台下构建入侵检测系统实验Windows平台下构建VPN系统实验Linux平台下防火墙、入侵检测、VPN实验系统Linux平台下构建防火墙系统实验Linux平台下构建入侵检测系统实验Linux平台下构建VPN系统实验网页防篡改实验系统网页防止读实验网页防止写实验网页防止删除实验网页自动实时恢复实验指纹辨认实验系统指纹采集实验指纹图象增强实验指纹脊线细化实验指纹特性点查看实验指纹比较实验指纹星比较实验人像辨认实验系统人像辨认录入实验（思考题，照片可以辨认吗？）人像辨认登陆系统实验人像辨认监控实验人像辨认日记检查实验（思考题：如何查询非法者）无线网络安全实验系统接入实验，无线分布系统的3种工作模式：无线接入点点对点（PtP）网桥点对多点（PtMP）网桥安全实验，Wi-Fi保护访问和802.1X认证：64/128/152位WEP安全标准WPA,WPA2最新无线安全标准多SSID功能，类似互换机分组VLANWirelessMACACL，MAC地址绑定WLAN分割，AP之间通信入侵渗透AP实验，破解WEP、WPA密钥如何设计一个安全的无线网络？支撑的课程体系课程模块内容目的模块内容目的信息安全概述本课程重要描述了信息安全的概念、范围以及关注对象，并对描述信息安全的历史和发展前景。理解信息安全的概念和范畴；描述信息安全的体系、标准、模型；描述信息安全的发展历史和未来趋势。访问控制技术原理本课程重要描述了访问控制技术的基本原理、技术和管理手段。理解访问控制的基本概念；理解访问控制的各种模式；描述访问控制的技术手段；描述访问控制的管理策略。高级安全协议本课程重要描述了安全相关的重要协议，具体介绍了VPN技术以及分类，同时重点描述了L2TP、IPSec、SSL和SET等隧道协议。掌握VPN技术原理和分类；理解各种隧道协议的技术特点和应用范围；理解L2tp、IPSec协议的原理、构成和应用实现；理解SSL和SET协议在电子商务中的应用和区别。防火墙VPN技术本课程重要描述了防火墙VPN实现的技术原理以及在防火墙上配置和部署VPN。理解防火墙VPN实现技术原理；掌握在防火墙上配置和部署VPN。入侵检测系统原理本课程重要描述了入侵系统的构建、原理和特性，以及与防火墙实现联动的配置和部署。了解入侵检测系统的历史、发展方向；理解入侵检测系统的原理和关键特性；掌握与防火墙实现联动的安所有署。高级访问控制技术本课程重要描述了访问控制技术的核心身份认证和授权管理，具体讲述了身份认证的要素和方法，以及集中授权控制的原则、方法，重点讲解了单点登录技术的实现方式。理解身份认证的要素和区别；掌握各种身份认证技术的实现方法和应用特性；理解PKI/CA的实现机制和应用；掌握授权控制的要素、原则和方法；理解单点登录技术的实现方法和应用特性。防火墙高级功能本课程重要描述了防火墙高级控制技术掌握防火墙的高级包过滤功能；掌握防火墙的深度检测功能；掌握防火墙的热备和记录功能。防火墙攻防技术本课程重要描述了针对防火墙的袭击手段和防范方法，同时在华为赛门铁克防火墙上特殊的防范配置。理解重要针对防火墙的袭击方式的特性以及防火墙的防范手段；掌握华为赛门铁克防火墙针对网络袭击的防范配置。防火墙双机热备技术本课程重要描述了双机热备的协议原理和部署方式，重点讲解了防火墙双机热备实现的方式和配置。理解双机热备协议VRRP的技术原理和部署方式；理解描述VGMP、HRP的实现方法和特点；掌握防火墙双机热备的组网方式和配置方法；理解防火墙双机热备技术的增强特性。虚拟防火墙技术本课程重要描述了虚拟防火墙技术的实现原理，以及华为赛门铁克防火墙虚拟技术的应用和配置方法。理解虚拟防火墙技术的实现原理和部署；掌握华为赛门铁克防火墙虚拟技术的配置和部署方式。终端安全系统原理及配置本课程重要描述了终端安全的概念、模型和发展方向，重点是终端安全系统的基本原理和体系架构，同时介绍了终端安全系统的安装、常见注意事项，以及对基本模块的配置。理解终端安全的概念、应用模型和防护措施；理解终端安全系统的基本工作原理；理解终端安全系统的架构和组件功能；掌握终端安全系统的业务流程；掌握终端安全系统的安装和注意事项；掌握终端安全系统各模块的配置和使用方法。终端安全系统接入控制实现本课程重要描述了华为赛门铁克终端安全系统如何实现安全接入控制网关模式下的接入控制，具体描述了其原理和配置方法。理解华为赛门铁克终端安全系统的SACG控制的概念和实现方式；掌握SACG的配置方法和组网结构；理解802.1X模式下接入控制的概念和实现方式；掌握SACG的综合应用场景。(4)、存储基础实验平台方案概述随着信息化技术高速发展，人们对计算机网络的目光逐渐从网络基础构架转移到数据存储上来。对于大多数依靠计算机网络运营关键业务的现代公司来说，存在于公司网络中的数据就是公司最珍贵的资产，存储已不再是附属于服务器的备份辅助设备，而成为影响整个计算机系统的重要方面。大型WEB门户网站、视频播客、银行信息中心、网络游戏数据中心等许许多多大众化业务已经得到了成熟的发展，现在正成为新兴IT公司争相进入的市场。这个业务的开展离不开存储网络的支撑，数据共享、整合，高速数据读写业务，远程容灾备份等关键技术的发展为大型数据业务提供强力支持。作为存储产品和技术发展的必然趋势，网络存储正在得到越来越多用户的青睐。2023年SAN和NAS这两种网络存储模式产品的销售继续保持良好的增长势头，而DAS产品的市场份额则有显著的下降。由此可以看出，作为存储产品和技术发展的必然趋势，网络存储正在得到越来越多用户的青睐，而传统的DAS存储模式产品正逐渐被网络存储取代。组网拓扑图培训目的了解存储网络基础知识；熟悉硬盘工作原理和接口技术；掌握RAID技术原理以及常用RAID级别的应用；掌握SAN和NAS各自合用的应用场景；掌握IP-SAN工作原理和应用；描述OceanStor系列存储产品描述OceanStor存储的硬件结构掌握OceanStorV1800的操作配置；描述NAS的体系结构和工作原理；描述SAN的体系结构和工作原理；描述NAS与SAN的融合机制；描述常用数据保护手段；描述存储虚拟化技术；描述存储安全面临的挑战和解决方法；描述存储管理技术；实验项目实验1存储系统介绍实验2存储阵列基本操作实验3磁盘划分RAID0、1实验4磁盘划分RAID5实验5LUN原理与LUN划分实验6主机组、主机的创建与映射实验7运用RAID技术重构数据实验8存储在线扩容实验9IPSAN网络结识实验10RAID便宜冗余磁盘阵列原理验证实验11IPSAN连接Windows服务器实验实验12快照与恢复测试实验实验13IPSAN连接LINUX服务器实验......序号实验项目1存储系统介绍2存储阵列基本操作3磁盘划分RAID0、14磁盘划分RAID55LUN原理与LUN划分6主机组、主机的创建与映射7运用RAID技术重构数据8存储在线扩容9IPSAN网络结识10RAID便宜冗余磁盘阵列原理验证11IPSAN连接Windows服务器实验12快照与恢复测试实验13IPSAN连接LINUX服务器实验方案特点存储实验室重要由学生终端、存储管理软件客户端、e-Bridge存储管理软件、存储阵列、应用服务器五部分组成。e-Bridge存储管理软件将存储阵列上的磁盘分割成为每4块磁盘一组的磁盘组，每小组学生共用一组磁盘，在这组磁盘上学生可以对其进行配置和操作，学生小组之间互不影响。学生在实验终端启用存储管理软件客户端，图像化界面上进行操作。e-Bridge存储管理软件积极记录客户端上的操作环节，将操作环节记录在数据库表中。存储管理软件向下和存储阵列相连接，将学生的操作翻译成相应的命令发送至存储阵列中，使学生可以对其所属的磁盘组进行相应的操作和配置。在学生对存储阵列配置完毕后，需要将存储阵列上的LUN映射到应用服务器上，学生可以通过远程登录应用服务器来对存储阵列上的存储空间进行操作。存储阵列映射到应用服务器是一个远程登录服务器并完毕存储空间与服务器的映射过程，在这一过程中学生可以掌握一整套服务器与存储阵列的虚拟化映射知识。学生在实验室中除了可以对存储阵列进行配置操作外，还可以通过应用服务器对存储阵列上的存储空间进行后续的计算机实验项目。存储实验室采用华为的OceanStor产品来开展存储方面的基础性的实验。存储网络实验室采用两套电信级存储系统来搭建一个存储实验环境模拟现实生活中的网络信息中心计算机网络系统。在整个实验环境中，学生可以通过xxeBridge管理软件来对存储进行相应的管理和控制。E-Bridge管理软件连接这学生终端和存储系统，学生可以在图形化界面上对存储设备进行管理，进行RAID等级的选择、新建主机、主机与存储单元的映射，完毕对整个系统的架设。教师通过教师机来收集学生所做的实验数据来进行实验项目考核，不仅有助于教师在课堂上对学生进行管理，还可以轻松获取学生所做的数据，把握整个实验课堂的教学效果。系统的架设是为了让学生对存储网络有一个清楚的结识，针对现在市场上存储课程配套教程不完善这一现状，xx公司邀请经验丰富的教师、厂家的技术工程师和公司的产品人员，充足对存储知识进行过滤，精心编写出一套满足实验教学规定的实验指导书，让学校在完毕存储实验室的建设之后，可以立即开展存储实验课程的教学。主设备介绍OceanStorS2600存储产品华为赛门铁克OceanStorTMS2600（以下简称S2600）系列存储产品是面向中小型公司推出的第三代存储产品。S2600融合创新的架构设计理念，管理简便、节能环保，提供经济的存储方案和完善的数据保护措施。5E产品亮点■FC和iSCSI融合的Combo主机端口；■备份软件与磁盘快照相结合的备份技术；■提供快照、本地复制、远程复制等增值软件功能；■多种节能技术，如磁盘休眠、智能风扇调速、低功耗设计、直流供电系统等。■提供8个主机端口数，节省组网费用。创新Evolutionary■FCSAN和IPSAN的无缝融合一套存储设备中提供FC和iSCSI两种主机端口。■移植中端产品特性，提供高性价比方案S2600移植了中端存储产品的特性，比如远程复制提供等级更高的数据容灾服务器、系统掉电后将数据写入硬盘，磁盘预拷贝防止两块硬盘故障等。■完善的磁盘保护方案运用磁盘快照与备份软件相结合的技术，实现快速高效的数据备份。支持短信、邮件、声音、灯光等多种报警方式；控制器、电源、硬盘等模块均支持在线热插拔的更换。■购买、服务简便遍布全球的营销网络，为客户提供快速优质的服务。简便Easy■安装使用简便S2600管理软件ISM采用先进的JWS免安装技术，初次使用可在5分钟内完毕所有配置。■维护方便支持短信、邮件、声音、灯光等多种报警方式；控制器、电源、硬盘等模块均支持在线热插拔的更换。■购买、服务简便遍布全球的营销网络，为客户提供快速优质的服务。增强Enhanced■增强的数据保护支持多种增强的软件功能，如RAID6、快照、本地复制、远程复制等，提供全方位的数据安全保护。■强大的扩容能力‘支持RAID后台初始化及在线容量扩展，系统最大支持96块磁盘，支持256个主机，从容应对扩容需求。■五个九的高可靠性提供5个9，即99.999％的系统可靠性。节能Energy-Saving■硬盘节能技术S2600采用业界领先的硬盘休眠及硬盘降速技术，在备份、归档等应用中可减少40%的能耗。■器件节能S2600采用低功耗的解决器设计，各种器件均采用低功耗器件，是当之无愧的“绿色”设备。■电源节能技术提供交流和直流供电方式，满足复杂的电力环境需求。使用直流电源效率更高，更能起到节能作用。经济Economical■提供8个主机端口S2600双控可提供8个主机端口，当为少于8台主机提供存储资源时，可省去组网环境中互换机的开销。■SAS/SATA混插，优化空间运用根据数据的重要性和安全级别，选择SAS/SATA硬盘类型，实现数据的按需存储，最大限度的保护投资。■高密度设计，节省物理空间的开销S2600独特的小2U机框设计（高度小于2U），在方便安装的同时，也节省了机房的空间投入。支撑的课程体系《服务器与数据存储》在硬件服务器方面全面地介绍了硬件服务器、解决器、I/O总线、解决器扩展、服务器容错、服务器群集、服务器负载均衡等方面的技术、产品和方案；而在数据存储方面，则全面地介绍了磁盘阵列、DAS、NAS、FC-SAN、IP-SAN、FCoE-SAN、虚拟存储、数据容灾、数据备份与恢复等技术、产品和方案。《信息存储技术原理》以高密度、大容量直接存储器的重要内容给学生提供基础的和进一步的专门知识。重要内容涉及：磁记录原理；光记录原理；首地址编码；位置误差信号生成；读/写通道；记录编码；纠错编码和数据压缩。《存储网络技术及应用》介绍了存储网络的基本原理、体系结构和设计方法，涉及IT体系结构、磁盘存储系统、SAN、文献系统、光纤通道、存储区域网、IP存储网络、InfiniBand网络、存储虚拟化、网络备份、移动介质管理等；重点讨论面向企事业单位的存储网络应用技术、解决方案、设备配置和维护管理，并提供了有针对陸的配置示例，进行网络产品开发，存储网络规划、配置和管理维护，实行现代存储网络。存储培训认证课程随着IT技术的发展，数据量愈来愈大，数据的存储自然成为了当前公司最关注的需求之一。如何采用先进的存储架构来构建存储网络，成为各个存储技术厂商的追逐目的。华为赛门铁克在市场上具有领先的存储开发和构建能力，因此为高校存储课程的设计也具有很强的针对性和实用性。存储课程体系其中完毕存储初级课程和中级课程并通过考试，学员将获得华为赛门铁克认证系统存储工程师（HSCSA-Security）和专家（HSCSP-Security）证书。1.初级课程内容描述培训对象：希望进入存储行业并对华为赛门铁克公司存储产品有所了解的初级人员。课程内容：本课程从网络存储技术基础概念入手，介绍了网络存储技术的发展和架构，描述了硬盘的工作方式以及磁盘阵列工作原理，并且对NAS和SAN这两种网络存储系统进行描述，以及对华为赛门铁克公司OceanStorV1800产品的配置和部署。培训目的：完毕该项目培训后，您将可以：了解存储网络基础知识；熟悉硬盘工作原理和接口技术；掌握RAID技术原理以及常用RAID级别的应用；掌握SAN和NAS各自合用的应用场景；掌握IP-SAN工作原理和应用；描述OceanStor系列存储产品描述OceanStor存储的硬件结构掌握OceanStorV1800的操作配置；课程模块介绍：模块内容目的授课时间实验比重存储基本知识存储的概念；存储系统对于应用系统的益处；常见主机和操作系统；文献系统基本知识；数据库基础知识；备份基础知识；远程容灾基础知识；了解存储网络产生的因素；了解存储网络相应用系统的意义；了解和存储技术相关的常见主机系统和操作系统；了解和存储技术相关的数据库知识；了解存储行业中常见的数据备份以及数据容灾知识；80%硬盘基础知识硬盘的物理结构；硬盘工作原理；硬盘重要参数；常见硬盘接口；硬盘的发展趋势；掌握存储硬盘基础知识；理解硬盘的工作原理；理解硬盘关键参数的含义；掌握硬盘常见接口的特点；了解硬盘的发展趋势；80%磁盘阵列和RAID磁盘系统的概念；RAID基本概念；RAID的级别；RAID的实现方式；掌握磁盘存储基本知识；理解磁盘系统和磁盘阵列的工作原理；掌握常见RAID级别及其区别；1270%华为赛门铁克公司全系列存储产品介绍OceanStorS3000/S6800系列介绍；OceanStorS5000系列介绍；OceanStorV1000系列介绍；OceanStorS2023系列介绍；OceanStorVTL系列介绍；了解华为赛门铁克公司产品线；掌握华为赛门铁克公司产品特点；了解华为赛门铁克公司产品性能；1270%NAS概述NAS的思想和发展；NAS运作概述；NAS的应用；NAS的不利因素；了解NAS的演化和发展；掌握NAS的工作原理；了解NAS的局限性；40%SAN概述SAN的思想和发展；SAN运作概述；SAN的应用；SAN的不利因素；了解SAN的演化和发展；掌握SAN的工作原理；了解SAN的局限性；1270%连接方式连接的基本概念和总线工作原理；光纤通道工作原理；其它I/O总线技术介绍；掌握总线的工作原理；掌握光纤通道的工作原理；了解其它的I/O总线技术；10