《通信网络安全与防护》 教案 第五章 网络防护技术

《通信网络安全与防护》课程教案授课时间2021年4月6日周二3-4节课次8授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第五章网络防护技术（上）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）掌握防火墙的基本概念、优缺点;（2）重点掌握防火墙的三种实现技术，熟悉防火墙安全规则的配置;（3）了解网络安全隔离的基本概念，熟悉网闸的工作原理。教学重点及难点：重点：防火墙的实现技术；难点：防火墙规则的配置。课堂教学设计（含思政）：本次课教学中注重运用对比分析、实例讲解的教学方法，对比分析防火墙与网络隔离技术的异同，在防火墙规则设计时结合实例讲解，教学中突出防火墙实现技术及规则配置这一教学重点。教学中注重技术与应用结合，介绍军事网络中的防火墙与网络隔离系统装备及应用。教学中注重与学员的教学互动，引导学员结合自己平时的认知对照学习。思政要素切入点：通过防火墙技术的发展，使学生认识到网络攻防对抗的动态性，增强整体防护意识，养成日常管网用网严谨细致的工作习惯，促进职业素养提高。教学基本内容课堂教学设计回顾与引入：回顾第四章网络攻击技术的主要内容，通过三个测试题检验学员对知识点掌握情况；对网络防护的主要内容进行介绍，并明确本节课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）5.1防火墙技术5.1.1防火墙概述1．防火墙基本概念防火墙是在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用设备。2．防火墙的优点采用防火墙保护内部网络有以下优点：1）防火墙可以保护网络中脆弱的服务2）防火墙允许网络管理员定义中心“扼制点”抵抗非法访问3）防火墙可以增强保密性，强化私有权4）采用NAT的防火墙可以节约地址资源5）防火墙可以方便的进行审计和告警3．防火墙的缺点虽然防火墙可以提高内网的安全性，是网络安全体系中极为重要的一环，但不能因为有了防火墙就可以高枕无忧。因为防火墙也有一些缺陷和不足，主要体现在以下几点：1）防火墙无法防护内部网用户的攻击2）防火墙无法防护病毒，也无法抵御数据驱动型的攻击3）防火墙不能防范不通过它的攻击4）防火墙不能防备新的网络安全问题5.1.2防火墙的常用技术防火墙的主要技术包括包过滤、应用代理和状态检测技术。1．包过滤技术采用包过滤技术的防火墙称为包过滤型防火墙，因为它工作在网络层，又叫网络级防火墙。包过滤防火墙可以通过检查每个包的源IP地址、目的IP地址、运输层端口等信息来决定是否允许此数据包通过。包过滤的工作过程如下。2．应用代理应用代理工作在网络的应用层，其实质是把内部网络和外部网络之间直接进行的业务由代理接管。应用代理防火墙能够完全控制网络信息的交换，控制会话过程，具有较高的安全性。其缺点主要表现在：1）软件实现限制了处理速度，易于遭受拒绝服务攻击；2）需要针对每一种网络服务开发应用层代理，开发周期长，而且升级较困难。3．状态检测技术状态检测又称动态包过滤，是在传统包过滤上的功能扩展。状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。状态检测技术检查的项目除了传统的包过滤技术检查的IP地址与端口号以外，还需要检查连接状态与上下文信息。5.1.3防火墙的功能性能分析1．功能指标衡量防火墙的基本功能指标包括防火墙提供的接入方式、安全区划分、访问控制功能。支持不同接入方式防火墙提供的接入方式包括透明接入、路由或NAT接入及混合接入三种接入方式。2）安全区划分3）访问控制功能2．性能指标防火墙的性能指标：并发连接数、吞吐量、时延等。5.3安全隔离技术实际工作中，我们经常会面临在不同安全等级网络间的数据交换需求，传统的做法是采用“人工拷盘”，这种解决方案可以实现网络的安全隔离，但数据交换通过人工来实现，工作效率低；且安全性完全依赖于人的因素，可靠性无法保证。1．安全隔离的基本概念安全隔离是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议进行数据交换而达到隔离目的。目前，在我国，网闸是一种广泛使用的安全隔离产品。不同生产厂商，又称之为安全隔离网闸、物理隔离网闸、安全隔离与信息交换系统等，这些产品都是为了在确保安全的前提下实现有限的数据交流。2．网闸的工作原理1）网闸的结构通常，网闸内部采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。2）网闸的工作过程3．网闸的应用场景不同的涉密网络之间；同一涉密网络的不同安全域之间；与Internet物理隔离的网络与秘密级涉密网络之间；未与涉密网络连接的网络与Internet之间内容小结：防火墙的定义、功能与不足防火墙的主要技术防火墙的功能与性能；网闸的基本概念、结构、工作原理、应用场景。板书提纲：$5.1防火墙一、防火墙概述1．基本概念2．优缺点二、防火墙的常用技术1．包过滤技术2．应用代理3．状态检测技术三、防火墙的功能性能1．功能指标：接入方式、安全区划分、访问控制2．性能指标：并发连接数、吞吐量、时延$5.3安全隔离技术1．基本概念2．网闸工作原理3．网闸应用场景知识扩展：了解指挥专的防火墙与安全隔离系统全程PPT辅助讲解请学员谈谈所了解的网络安全防护手段有哪些？引出教学内容对照实例，讲解防火墙规则的配置，强调防火墙规则是有顺序的结合实例讲解代理工程过程。问题：如何在不同安全等级的网络间进行信息交换？如从学校办公专网拷贝文件到校园网。作业、讨论题、思考题：作业：5-2、5-7、5-8课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）《通信网络安全与防护》课程教案授课时间2021年4月8日周四1-2节课次9授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第五章网络防护技术（下）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）掌握入侵检测系统的基本概念，熟悉入侵检测系统的体系结构;（2）掌握入侵检测系统的检测方法;（3）掌握蜜罐与蜜网基本概念，熟悉蜜罐的分类，了解蜜罐的搭建方法。教学重点及难点：重点：入侵检测系统的检测分析方法；难点：木马的传播方法。课堂教学设计（含思政）：本次课教学中注重运用对比分析、实例讲解的教学方法，对比分析入侵检测系统与蜜罐技术在攻击检测技术及结果运用中的差别，加深学员对知识的理解；在讲解入侵检测规则时，采用实例讲解，使抽象的问题直观化。教学中注重技术与应用结合，介绍军事网络中的入侵检测系统装备及应用。教学中注重与学员的教学互动，引导学员结合自己平时的认知对照学习。思政要素切入点：通过对入侵检测技术与蜜罐技术的讲解，使学生认识到网络攻防对抗的动态性，增强整体防护意识，养成日常管网用网严谨细致的工作习惯，促进职业素养提高。教学基本内容课堂教学设计回顾与引入：回顾上节课主要内容，通过三个测试题检验学员对知识点掌握情况；对本次课的主要内容进行介绍，并明确本次课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）5.2入侵检测系统一、入侵检测系统基本概念入侵（Intrusion）：是指对任何企图危及系统及资源的完整性、机密性和可用性的活动。入侵检测（IntrusionDetection）即对入侵行为的发觉，是指通过收集和分析网络行为、安全日志、审计数据、其它网络上可获得的信息及计算机系统中关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统（IntrusionDetectionSystem，IDS）：即进行入侵检测的软件或硬件的组合。1.入侵检测的发展历史和发展趋势诞生、发展历程、发展趋势2.入侵检测的类型1）基于主机的入侵检测系统（Host-BasedIDS,简称HIDS）2）基于网络的入侵检测系统（Network-BasedIDS,简称NIDS）3）分布式入侵检测系统（DistributedIDS,简称DIDS）二、入侵检测系统的体系结构1．体系结构的演变过程2．通用入侵检测框架3.现有IDS体系结构的局限性三、入侵检测系统的检测方法1．基于异常的检测分析方法异常检测是目前入侵检测系统分析方法研究的重点，其特点是通过对系统异常行为的检测，可以归结出未知攻击。异常检测的关键问题在于正常使用模型的建立，以及如何通过正常使用模型对当前的系统行为进行比较，从而判断出与正常模型的偏离程度。常用的异常检测方法有：1）基于统计方法的异常检测2）基于数据挖掘技术的异常检测3）基于神经网络的异常检测2．基于误用的检测分析方法误用（Misuse）：指“可以用某种规则、方式、模型表示的入侵攻击或其他安全相关行为”。基于误用的入侵检测（MisuseDetection）技术：通过某种方式预先定义入侵行为，然后监视系统的运行，井根据所建立的这种入侵模式来检测入侵，并从中找出符合预先定义规则的入侵行为。3.常用的误用检测技术1）模式匹配例如协议匹配、字符串匹配、长度匹配、累积匹配或增量匹配等；2）协议分析技术将协议分析与模式匹配相结合，可以获得更高的效率和更精确的结果。5.4蜜罐与蜜网一、蜜罐的基本概念蜜罐（honeypot）是一种价值在于被探测、攻击、破坏的系统，是一种网络管理员可以监视、观察攻击者行为的系统。引入蜜罐的目的：一是分散攻击者的注意力；二是收集同攻击和攻击者有关的信息。二、蜜罐的关键技术1．网络欺骗技术2．数据控制技术3．数据收集技术4．报警技术5．入侵行为重定向技术三、蜜罐的分类1．从应用层面分为产品型蜜罐和研究型蜜罐两种。2．按交互等级分为低交互、中交互、高交互三种蜜罐。蜜罐主机的一个重要特性就是其交互等级。交互等级：是指攻击者可以同蜜罐主机所在的操作系统的交互程度。四、蜜网蜜网（Honeynet）是一个网络系统，而并非某台单一的主机，这一网络系统是隐藏在防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可供我们研究分析入侵者们使用的工具、方法及动机。蜜罐与蜜网的实现方法：利用Snort软件安装利用HoneyD软件安装2021两会期间，知道创宇提供免费试用“云蜜罐”服务，云安全已经成为新的发展方向。内容小结：IDS基本概念、发展历程、发展趋势、体系结构；HIDS、NIDS、DIDS；IDS的体系结构；误用检测、异常检测；蜜罐的价值、蜜罐的关键技术、蜜罐的分类；板书提纲：$5.2入侵检测系统一、基本概念分类：HIDS、NIDS、DIDS发展历程发展趋势二、体系结构CIDF三、入侵检测分析技术异常检测误用检测$5.4蜜罐与蜜网基本概念关键技术分类蜜网知识扩展：课下搜集云安全的进展。全程PPT辅助