版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、XXX职业技术学院网络安全与服务器存储实训平台方案xxxx通信技术有限公司2011年5月目 录一、概述3二、方案介绍41.实验系统构架62.实验平台及组网63.实验管理软件94.实验控制平台95.实验平台模块116.实验室建设特点59三、网络安全存储实验室建设601.平台的建设602.师资队伍建设633.专业课程建设63四、校企合作介绍661.培训认证体系介绍662.华赛网络安全存储学院合作模式及合作策略72五、校企联合办学73一、 概述信息安全保障能力和专业服务能力不足成为国民经济和社会信息化发展的严重制约因素。我国政府高度重视在信息安全人才培养等方面公共服务能力建设。但是,目前在信息安全专
2、业人才实践教学环节,缺乏能支持信息安全各专项技术的综合实验环境;另外,政府和社会上数量庞大的在职人员对信息安全继续教育的需求与支持大规模在职人员安全技能实训服务能力不足的矛盾也日益突出;同时,在面向企业的信息安全服务和支持企业间科研协作的服务手段和服务能力建设上也急需加强。因此,如何构筑能够支持信息安全高级专业人才培养、大规模社会继续教育实训、企业间安全服务与科研协作支持的国家信息安全公共服务支撑环境,成为重要的战略任务。结合学校在信息安全学科及实践教学环境建设的需要,围绕国家加快发展现代服务业和提升国家信息安全保障能力的战略要求,建设面向计算机专业、信息工程专业、通信、密码等相关专业的全体师
3、生的多层次、全方位、可扩展的信息安全综合实践教学环境。同时实验室建设具有服务于国家信息安全公共服务的综合能力:n 面向信息安全高级专业人才培养的工程实践服务能力n 面向政府和社会的大规模继续教育实训服务能力n 面向企业的信息安全增值服务能力n 以及大规模科研协作支持服务能力建设总目标:是通过与华为赛门铁克(xxxx)共建“信息安全与数据存储实验室”,达到共同建立“信息安全实践教学基地”的目的,该实验室体现信息安全保障体系架构,涵盖信息安全所有专项技术和方向,提供多层次、全方位及综合化的信息安全实验与实践环境,支持信息安全专业人才培养、社会化培训以及信息咨询、方案优化、产品研发与仿真测试等服务。
4、网络安全技术是在计算机网络技术发展到一定程度,其应用渗透到各个领域、各个日常应用后,出现一系列安全问题和风险后,逐步发展起来的。其技术人才积累往往是和技术发展相辅相成的,由于安全经验需要时间积累的缘故,目前网络安全工程师远远满足不了业务发展需求。据计算机世界资讯发布的相关研究报告称,估计国内网络安全人才缺口将达到30万人以上。新浪网的相关人士表示:“由于目前专业的网络安全工程师人才比较少,尤其是复合型人才奇缺,预计4年之后网络工程师的基本年薪会在15万元至20万元。“从目前的一些趋势来看,在国际企业行业里的一些精通网络安全技术的人才年薪都在10万元左右,WEB2.0到来之后这些人才的收入应该会
5、更高。”信息存储容量成倍地增长,信息已经成为客户的重要资产,信息存储成为各项业务运作的基本依赖条件和环境。任何信息的破坏和丢失,都会造成难以挽回的巨大损失,任何存储系统的故障,都会严重影响业务的正常开展和运营。 在这样的大背景下,尤其是国家对高等教育提出了“打造精品课程”、“建设国家示范实训基地”以及“大力开展校企合作”的要求和倡议下,xxxx通信技术有限公司结合多年的通信行业、教育行业服务背景,携国内外知名企业,对国内教育行业推出可增值、可运营、可管理的高校网络安全存储实验室项目。xx公司期望,通过高校网络安全存储实验室项目的推广和实施,改善中国高校专业实验及实训教学环境、提升中国高校专业实
6、验及实训教育水平、提高专业技术人才职业技能素质。二、方案介绍e-Bridge实验平台系统是xx公司为高校实验室专业打造的一套系统。围绕着“进行工程师培养,让学生能够真实地熟悉工作环境的要求”这个核心思想,依据职业教育先行者姜大源的“基于能力本位的教育观 ”, 按照 “情景”教育模式设计。结合高新企业用人的要求设计出高校实验室的课程、教材、实验、师资培训和就业指导。整个平台系统主要有四个部分组成:a) 专业的课程和教材体系b) 专业的实训室解决方案c) 实用的师资培训计划d) 权威的认证考试实验平台设计特色:(1)、按照“工作任务领域”到“知识领域”到“认知领域”的科学逻辑流程,打造出满足学生职
7、业技能实训的实验室;(2)、按照 “情景”教育模式设计实验项目和课程;(3)、培养具备专业信息安全与存储网络知识的工程师是网络安全存储实验室课程和实验设计的目标。网络安全存储实验室解决方案特色:高性价比:实验管理软件的管理员轮巡机制支持多组用户同时操作;存储增值软件、设备端口数多,端口种类丰富,管理的简便性也大大降低了TCO;高可靠性:设备采用华为赛门铁克电信级高可靠性和高性能产品,产品使用范围覆盖金融大型数据中心、大型WEB网站、政府和大型企业纵向网络、运营商骨干网络等高端应用。可管理:专业的实验室管理软件,实验室管理系统的自动化、简便化,可以实现设备、学生、实验项目等一系列实验资源管理与分
8、配。可将学生配置自动导出、保存,可标准配置对比/分析/评分。可增值:联合企业成立项目组,以实验室为重要基地,针对专业发展与行业技术进步的实际需要进行基础研究、应用基础研究、专业研究。通过研究与开发工作,提高科技成果的成熟性与配套性,为市场结构调整和产品优化升级提供技术支撑。可运营:通过联合企业方式建立“订单式定向培养”的专业教学,与企业、行业紧密结合,走产学合作的办学道路,大力推进以就业为导向的人才培养。全面性:以实际就业后的职业技能规划需求为课程设计思路,通过实验结合理论,建立的知识体系全面、完善,厂家产品线齐全。实用性:结合xx公司5年的通信专业实验室的建设经验,将xx公司开发的实验控制软
9、件和实验指导书,同时华赛产品是华为与symantec两个主流厂商的结晶,代表了多层主流技术的融合。并且在实验课程中提供丰富的应用环境分析,大大提高了实战性。前瞻性:知识体系中应包含对未来技术发展方向的分析/指引(华赛预研部+大量的专利)开放性:产品开放性(开放API,可供有势力的高校进行二次开放)与知识体系开放性(对原有设备利旧,可配合不同特定行业用户进行固有知识体系的完善/定制)。1. 实验系统构架实验系统构架(如下图所示),它分为三个层面,即基础理论层面(教材)、子系统级层面(各功能模块设备)和平台级层面(实验软件平台);纵向又分为两个层面,功能演示层面和教学实验层面。功能演示和教学实验横
10、穿三个横向层面,即可以针对基础理论知识层面、子系统级层面以及平台级层面设计不同复杂度的系统功能演示和教学实验。每个子系统均依照自身的特点,有针对性地选择一个或者多个层面进行教学或培训实验设计,教学实验数量要求有三至六个或者更多。 实验平台软件e-Bridge现代通信实训平台实训指导书e-Bridge现代通信实训平台实训指导书e-Bridge安全存储实训平台实训指导书理论教材/实验指导书实验设备e-Bridge三位一体第一层面:基础理论层面(理论教材、指导书),主要是指与实验内容相关的基础理论、原型、实验原理以及测试原理等方面的内容。2. 实验平台及组网网络安全存储实验室平台包含设备有交换机、路
11、由器、安全路由网关、防火墙、IDS、SSL VPN等硬件设备和终端安全系统、安全评估系统、E-Bridge实验管理系统等软件系统组成,代表了当今最先进、最全面的网络安全技术。通过这个平台不仅能开设网络安全方面的实验课程、存储实验课程,而且能够让学校获得网络安全存储方面认证培训的资格。网络安全实验室可根据学校的需求来确定实验室网络结构的大小,终端可多、可少,最小可以只有一套系统,多可到几十套终端。v 实验模块齐全,涵盖了多个领域,学校可以根据专业个性化要求进行组网搭建,也可以分批建设,减少资金压力;v 支持网络设备模块自动配置,包括设备复位、设备重启、设备环境初始化等;v 同时可以配置动手跳线区
12、域,满足学生动手练习需要; v 实验设备模块安装固定,无需实验现场再接线,学员可以根据实验项目划分VLAN将设备搭建成实验组网;v 设备安装区域与客户端调试区域完全分开,使用标准电信布局模式;v 支持实验项目自行开发,提供实验课件上传接口;v 支持实验资料管理,包括文档、图片、FLASH、胶片等各种资料上传、浏览权限分配;v 支持学生实验中与资料与设备操作整个试验网分成广域网部分和局域网部分。局域网部分由2个大的子系统构成,核心业务交换,防火墙与入侵检测系统。广域网部分由2-3台路由器组成,远端用户接入通过SSLVPN 安全通道接入。整个网络通过一套统一的网络管理系统e-Bridge对全网设备
13、进行管理。全网的认证、用户管理由管理平台系统完成。在网络实验室中增加了安全的建设。上图中,将处于模拟因特网中的学生规划为外网用户,模拟办公网区域的学生为内网用户,模拟数据中心IDC(Internet Data Center)为DMZ域中的设备。外网用户想要访问内网区域,需要经过防火墙的认证,外网用户可以根据需要发起网络攻击,检测防火墙的防护策略是否经过了有效的设置并且已经生效。外网用户接入内部网络访问数据中心的一种方法是通过VPN虚拟专用网的隧道来进行链接,SVN3000能够对外网用户进行权限认证,并且对数据进行安全加密,达到数据安全传输的目的。在网络实验平台部件中,有平台软件包、业务软件包、
14、网络安全设备、高性能应用服务器设备、数据库及实验终端等。整个网络可以满足学生理解并掌握网络的层次结构、网络拓扑规划、路由器和以太网交换机的常识、网络设备的配置管理、网络间的基本技术协议以及目前处于网络技术前沿的IPv6应用技术。E-Bridge网络安全存储实验系统是xx公司为高校实验室专业打造的一套系统。它在网络安全存储实验平台包含以下模块:(1)、实验平台管理软件和系统软件;(2)、实验控制平台;(3)、实验设备模块(安全网络部分、存储部分);3. 实验管理软件EB实验管理软件是xx公司结合高校实验室建设环境和实验需求,进行针对开发的全新实验系统。该系统在安全存储网络实验平台上包含以下模块:
15、a、设备管理模块实验设备管理功能:(1)、设备状态查询;(2)、设备添加、删除;(3)、设备恢复默认配置;(4)、设备分权分组分配;(5)、设备配置文件管理;(6)、设备重启;(7)、设备日志查询;教师通过系统可以轻松的管理所有设备,减轻实验室维护工作量和维护成本。b、学生管理实验学生管理功能:(1)、学生信息管理;(2)、权限、密码管理;(3)、学生分组;(4)、学生登录鉴权、操作鉴权;c、实验项目管理;实验项目管理功能:(1)、实验项目清单;(2)、实验操作日志查询;(3)、实验环境搭配初始化;(4)、实验状态记录;(5)、实验环境恢复;(6)、实验配置管理;(7)、实验结果校验;4. 实
16、验控制平台xx公司在成熟的 VRP 软件平台的基础上,结合设备的硬件体系结构和实验室管理业务要求,量身定做的的实验室控制管理体系,完全继承了 VRP 平台的稳定性、成熟性和可靠性。针对实验室管理功能的设备管理、学生管理、实验项目管理等一系列需求提供整体的解决方案,同时可以随着 VRP 平台的不断发展同步提供新的特性,充分的满足学校实验使用的多元化需求。设备控制台:v 采用标准TCP/IP 接口和多样的操作模式,提供了TCP SERVER,TCP CLIENT 和UDP,它们使用了统一标准的网络API(Winsock,BSD Sockets)来确保网络软件的兼容性;v 采用串口转TCP/IP接口
17、技术,通过网络进行远程的实验调试,与本地实验调测效果完全一样,经实验管理控制软件,可实现开放式的实验教学(学生能够远程进行实验);v 每个串口同时支持6个终端会话,一台设备同时满足一个操作员和5个观察员同时显示终端界面,满足一人操作演示多人学习的效果。v 服务器虚拟化和存储虚拟化技术,在充分满足实验要求同时,提高设备利用率,降低误操作率,提升设备采购性价比;v 串口采用标准RS232协议,支持当前主流厂家网络设备,包括华为、CISCO、H3C、锐捷、港湾等,所有厂家设备都能纳入设备控制台进行管理;5. 实验平台模块依据学校实验室教学特色,满足实验多组学生同时操作,同步进行,将实验设备配置为模块
18、化分组。(1)、网络基础实验平台u 方案概述我们设计的数据网络平台方案是基于对IP网络最基本的理解,采用合适的运营级路由器和交换机进行各种形式的组网,能充分体现IP技术在计算机网络中的使用方式和业务特点。在网络边缘接入侧的汇聚路由器可以提供更多的业务能力,包括VPN、动态/静态路由协议、认证方式、管理方式等多种技术,能让学生得到充分学习及实践应用。整个数通平台是按照需求分组配置的,主要依据华为数据通信认证的硬件配置为基础,每组配备汇聚路由器、接入路由器,二层交换机和三层交换机,四类设备组成一个完整的实验组,为学校今后申请华为网络学院奠定了硬件基础。再现了企业的接入数据网络的模型。而且各组之间可
19、以通过汇聚路由器互联,实现更大的区域网络的互联组网。u 组网拓扑图在数据通信实验平台中,通过数据通信设备不同组网拓扑和技术,可以灵活实现整个通信网中各种以IP应用为基础的数据业务。华为数通认证的HCDA/HCDP高级实验项目所需要的实验环境拓扑图示例如下。例一、VPLS实验:例二、MPLS VPN实验:依据以上设备要求和组网要求,我们按照HCDA设备清单所列,配置能支持6组同时进行HCDA的全部实验,还可以完成HCDP上面所述的华为数通认证的高级实验项目,增加的实验有:、VPLS实验、VLL实验、VPLS或VLL联动MPLS TE FRR实验、分层式BGPMPLS VPN网络(HoVPN)。u
20、 培训目标 通过本平台培训后,可以让学员掌握完成以下技能:描述IP网络的基本层次结构以及各个层次的功能。描述以太网发展历程以及相关技术。描述网络安全和防火墙基本知识。描述TCP/IP模型各个层次的基本功能、各种常用协议的功能、工作原理以及所处的层次。描述ICMP工作原理。描述路由器和交换机工作原理。描述VLAN、STP、VRRP、Static Route、RIP、OSPF、PPP、Frame Relay等基本原理和配置。应用IP地址子网划分的知识进行网络地址规划。应用Ping、Tracert等工具进行网络设备的维护和简单的故障判断和定位。配置基于VRP平台的IP地址、VLAN、VRRP、静态路
21、由、RIP、OSPF并进行简单的故障定位和处理。在IP网络的各个层次选择使用相应的华为数通设备。描述OSPFv2/v3、ISISv4/v6、BGP、MP-BGP for IPv6、IGMP、PIM-SM、PIM-DM的工作原理。配置基于VRP平台的OSPFv2/v3、ISISv4/v6实现大型网络的IP连通性。配置基于VRP平台的BGP、MP-BGP for IPv6并采用BGP路由属性和路由策略根据需求在大型网络上选择和过滤路由。描述BGP反射、联盟的作用和基本原理。描述BGP多归属的基本概念和应用场景。配置基于VRP平台的IGMP、PIM-SM、PIM-DM实现组播业务。在大型网络的构建和
22、业务部署中根据性能和业务需求选择合适的华为中高端路由器。应用各路由协议的故障处理方法针对大型网络中出现的路由类故障进行定位和排除。描述VLAN、GVRP、QinQ、STP、RSTP、MSTP、工作原理。描述PPP、PPPoE、IPoE、IPoEoVLAN工作原理。配置基于VRP平台的VLAN、GVRP、QinQ、STP、RSTP、MSTP。描述在接入网络中应用VLAN、GVRP、QinQ等技术实现用户隔离和业务透传。描述在接入网络中应用STP、RSTP、MSTP避免环路。描述在接入网络中部署PPPoE、IPoE、IPoEoVLAN业务。分析与处理接入网络中VLAN、GVRP、QinQ、STP、
23、RSTP、MSTP、PPPoE、IPoE、IPoEoVLAN等方面的故障。选择合适的华为交换机和BRAS设备构建运营商的接入网络。描述IP承载网络的特点和性能需求。描述HA的常用技术基本原理。描述MPLS、BGP MPLS VPN、QoS原理。配置基于VRP平台的BGP MPLS VPN、QoS、VRRP。配置大型IP承载网单域BGP MPLS VPN业务并实现私网用户访问Inernet。描述MPLS TE的四大组件。配置基于VRP平台的MPLS TE基本功能并将流量通过三种不同的方式引入MPLS TE隧道。描述在大型IP承载网络上应用VRRP技术提供高可靠性保证。分析与处理在大型IP承载网络
24、上BGP MPLS VPN的相关故障。u 实验项目认知性实验1. 交换机的基本操作2. 路由器的基本操作3. 交换机VLAN配置4. 交换机链路聚合配置综合性实验1. 路由器单臂路由实验2. 路由器静态路由实验3. 路由器RIP实验4. 路由器OSPF实验5. 路由器PPP实验6. 配置IS-IS基本功能7. 配置IS-IS的路由聚合8. 配置IS-IS的DIS选择9. 配置IS-IS的负载分担10. 配置IS-IS和BGP交互11. 配置IS-IS IPv6的基本功能12. 配置OSPF Stub区域13. 配置OSPF NSSA区域14. 配置OSPF的DR选择15. 配置OSPF负载分担
25、16. 配置OSPFv3区域17. 配置OSPFv3的DR选择18. 配置OSPFv3的虚连接19. 配置BGP与IGP交互20. 配置BGP负载分担和MED属性21. 配置BGP团体22. 配置BGP路由反射器23. 配置BGP联盟24. 配置AS_Path过滤器25. 配置BGP4+基本功能26. 配置BGP4+路由反射实验类别推荐培训实验内容描述HNTDHCDA-HNTDIP网络基础;VRP基础;以太网技术、广域网技术、路由协议、网络安全、网络管理基本原理及其在华为产品中的实现。BCANHCDP-BCANVLAN、QinQ、STP、RSTP、MSTP、Radius、PPPOEOVLAN、
26、IPOEOVLAN、PPPOEOA等技术在电信级网络中的应用以及在华为产品中的实现。BCRNHCDP-BCRNIPv6、OSPFv3/v4、IS-IS/ISISv6、BGP路由协议高级;复杂大型网络中的路由选择和路由控制;IGMP、PIM-DM、PIM-SM组播相关协议;上述协议在电信级网络中的应用以及华为产品中的实现。BITNHCDP-BITNMPLS、BGP VPN、MPLS TE、Qos、HA等技术在IP电信承载网中的应用以及在华为产品中的实现。IERNHCDP-IERNOSPF协议、ISIS协议、BGP协议、路由选择和控制、组播成员发现协议、组播路由协议原理、配置及其在行业网络中的应用
27、;行业网络路由器产品介绍与应用IESNHCDP-IESNVLAN、QinQ、802.1X、Smartlink、MPLS、LDP、MPLS VPN等技术原理、配置及其在行业网中的应用;行业网产品介绍与应用u 支撑的课程体系数据与计算机通信内容涉及最基本的数据通信原理、各种类型的计算机网络及多种网络协议和应用。这一版对原有内容做了彻底的修订和重组,使新版对通信各专题的阐述更全面、更清晰。同时,新版更新了吉比特以太网、10 Gbps以太网的内容,对WiFi/IEEE 80211无线局域网、性能监控、服务水平约定、服务质量等根据新的标准进行了修订。此外,数据与计算机通信(第8版)还涉及TCP Taho
28、e、Reno以及New Reno拥塞控制算法的描述,对多媒体组网的内容也进行了扩充。数据通信基础本书比较系统、全面地介绍了计算机通信中的一系列重要问题,以及解决这些问题的关键技术。内容包括通信技术与计算技术的发展概况以及它们的结合、数据通信的基础知识、传输技术、同步技术、数据透明传输技术、差错控制技术、信道共享技术、数据交换技术、寻址与路由技术、拥塞控制与流量控制技术、B-ISDN技术与信息安全技术。本书侧重于基本概念和基本原理的阐述,不讨论理论分析与计算,因此通俗易懂。本书可作为高等院校理工科非通信专业的本科生与研究生的教材,也可作为工程技术人员学习计算机通信知识的参考书。数据通信与网络教程
29、本书系统地介绍了数据通信和计算机网络领域的基本内容。在第一版的基础上,修改和增加了新的内容,包括无线和卫星通信、有线电视电缆调制解调器、压缩技术、密码技术、防病毒、100Mbps以太网、NetWare4.0、边界网关协议、域名系统、IPv6、异步传送模式、使用客户/服务器模式来实现文件传送协议及开发Web网页等。在内容和结构安排上,注意理论与实际应用的结合,每章后面既有复习题,又有练习题。本书适合作为计算机科学专业本科生的教材,也可供教师和从事该领域设计或应用的研究人员用做参考书。TCP/IP路由技术本书是一本详细而又完整地介绍互连网络内部网关协议(IGP)的专业书籍,堪称有关IGP方面不可多
30、得的经典之作。本书共分三个部分。第一部分主要介绍了网络和路由选择的基本知识,其中包括IPv4协议、IPv6协议和路由技术。第二部分是本书的精华,这一部分详细、深入地讲述了各种常用的内部路由协议,如RIP、RIPv2、RIPng、无类别路由选择、EIGRP、OSPFv2、OSPFv3、IS-IS等协议,每一章除了对该协议的实现机制和参数详尽阐述,使读者对协议的实现原理有一个清晰的理解外,还通过在实际网络环境中的实例,详细地论述了该协议在Cisco路由器上的配置和故障处理方法,帮助读者获取大量解决实际问题的专业技能。第三部分介绍了如路由重新分配、缺省路由/按需路由选择、路由过滤、路由映射等多种重要
31、而有效的路由控制工具,用来创建和管理多个IP路由选择协议的协调和互操作。附录部分讲述了二进制、十六进制转换、访问列表、CCIE提示等内容。相对于第一版,本书第二版具有以下更新:在第一版详细讲述IPv4协议中IGP的基础上,大量增加了相应协议在IPv6协议中的实现和配置,其中单独一章用来讲述IPv6中应用的OSPFv3协议,这是本书新版的一大亮点;同时本书根据。Internet和Cisco IOS系统的最新发展,适当地删减了如网桥、IGRP等过时的内容,并增加了许多新的IOS增强特性的讲解。TCPIP协议族本书分为5个部分:第1部分(第l3章)介绍一些基本概念和基础底层技术;第2部分(第415章
32、)讨论TCPIP协议组中的核心协议IP和TCP,以及几个主要的路由选择协议;第3部分(第1622章)讨论使用网络层和运输层协议的一些应用程序;第4部分(第2327章)介绍因特网中一些较新的内容,如移动IP、多媒体、虚拟专用网、网络地址转换,以及下一代IP;第5部分(第28章)介绍网络安全问题。TCPIP协议族(第3版)的主要特点是:(1)用图文并茂的方法讲述了技术性很强的内容,而不使用复杂的公式;(2)重要的概念在书中多次重复;(3)尽可能使用结合实际的例子来阐明一些概念;(4)在许多章都包括了有关的设计内容,以便帮助理解每一种协议的思路和问题;(5)每一章有一个本章内容小结,归纳该章所有的重
33、点内容。(2)、网络安全实验平台u 方案概述计算机网络信息安全是一个综合性、全面性的工程,涉及到信息生成、信息存储、信息传递、信息呈现的各个方面,要求整个过程中都具备可行安全保障;计算机网络信息安全不再仅仅局限于对传统意义上密码和网络,而必须要结合数学、物理、通信、计算机以及存储、操作系统、应用软件、数据库等诸多领域的长期知识积累和最新研究成果,xxxx在总结多年经验基础上进行自主创新研究,提出了系统的、完整的、协同的、可行的高校计算机网络信息安全实验室解决方案。并提供信息安全从“攻击、防范、检测、控制、管理、评估”等多个方面的实验配套设备和实验教材。xx公司期望,通过高校计算机网络信息安全实
34、验室项目的推广和实施,改善中国高校专业实验及研发教学环境、提升中国高校专业实验及研发教育水平、提高专业技术人才职业技能素质。u 组网拓扑图网络安全实验室平台包是在网络基础平台的基础上增设安全路由网关、防火墙、IDS、SSL VPN等安全硬件设备和E-Bridge实验管理系统等软件系统组成,代表了当今最先进、最全面的网络安全技术。通过这个平台不仅能开设数据网络安全方面的实验课程,而且能够让学校获得网络安全方面认证培训的资格。网络安全实验室可根据学校的需求来确定实验室网络结构的大小,终端可多、可少,最小可以只有一套系统,多可到几十套终端。上图中,将处于模拟因特网中的学生规划为外网用户,模拟办公网区
35、域的学生为内网用户,模拟数据中心IDC(Internet Data Center)为DMZ域中的设备。外网用户想要访问内网区域,需要经过防火墙的认证,外网用户可以根据需要发起网络攻击,检测防火墙的防护策略是否经过了有效的设置并且已经生效。外网用户接入内部网络访问数据中心的一种方法是通过VPN虚拟专用网的隧道来进行链接,SVN3000能够对外网用户进行权限认证,并且对数据进行安全加密,达到数据安全传输的目的。u 培训目标: 通过本平台培训后,可以让学员掌握完成以下技能: 理解网络安全的基本概念; 理解风险的基本概念; 描述常见攻击和防范方式; 掌握防火墙的基本原理和功能; 掌握防火墙的基本配置和
36、模块; 熟练配置防火墙的地址转换和访问控制列表。 理解信息安全的范畴和发展 理解访问控制技术的原理和应用; 掌握掌握L2TP、IPSec、SSL、SET等高级安全协议的原理和应用范围; 掌握防火墙VPN配置和综合组网; 掌握防火墙针对各种攻击的高级防范技术和部署。u 实验项目序号实验项目1防火墙Web管理实验2防火墙FTP连接实验3防火墙区域间连接4防火墙VLAN配置5防火墙WLAN配置(Crypto服务类)6防火墙WLAN配置(Plain服务类)7防火墙IEEE 802.11三种加密算法配置8防火墙以太网接入802.1X认证9防火墙WLAN接入802.1X认证10防火墙以太网接口实验11防火
37、墙接口的IPv6地址12防火墙配置IPv6 over IPv4手动隧道13防火墙配置IPv6 over IPv4 GRE隧道14防火墙配置IPv6 over IPv4自动隧道15防火墙配置6to4隧道16防火墙配置6to4中继17防火墙配置IPv4 over IPv6隧道18防火墙静态路由配置19防火墙RIP路由配置实验20防火墙OSPF路由配置实验21防火墙配置IS-IS基本功能22防火墙配置IS-IS的路由聚合23防火墙配置IS-IS的DIS选择24防火墙配置IS-IS的负载分担25防火墙配置IS-IS和BGP交互26防火墙配置IS-IS IPv6的基本功能27防火墙配置OSPF Stub
38、区域28防火墙配置OSPF NSSA区域29防火墙配置OSPF的DR选择30防火墙配置OSPF负载分担31防火墙配置OSPFv3区域32防火墙配置OSPFv3的DR选择33防火墙配置OSPFv3的虚连接34防火墙配置BGP与IGP交互35防火墙配置BGP负载分担和MED属性36防火墙配置BGP团体37防火墙配置BGP路由反射器38防火墙配置BGP联盟39防火墙配置AS_Path过滤器40防火墙配置BGP4+基本功能41防火墙配置BGP4+路由反射42防火墙基本访问控制列表实验43防火墙高级访问控制列表实验44防火墙ASPF配置实验45防火墙黑名单过滤实验46防火墙端口识别实验47防火墙P2P配
39、置48防火墙IPSEC采用IKE方式建立SA(预共享密钥)实验49防火墙GRE隧道实验50防火墙的PPPoE实验51防火墙PPPoE拨号建立NAS-Initialized L2TP连接实验52防火墙Outbound方向的NAT实验53防火墙NAT地址映射内部服务器实验54防火墙目标地址NAT实验55防火墙双向NAT实验56防火墙结合安全区域配置内部服务器实验57防火墙配置服务器MAC和IP地址绑定实验58防火墙双机备份部署实验59虚拟防火墙部署实验60SSL VPN的Web-Link业务配置实验61SSL VPN的文件共享业务配置实验62SSL VPN的网络扩展业务配置实验63入侵检测系统安装
40、实验64入侵检测策略配置实验65入侵检测报文统计与回放实验66小型办公网络出口安全方案场景实验67企业分支机构/合作伙伴VPN接入方案场景实验68企业出口多级防护组网方案场景实验实验场景规划以下是部分试验的拓扑图及试验目的:实验拓扑图实验连接到防火墙;防火墙区域间连接FTP连接防火墙作为FTP Client;FTP连接防火墙作为FTP Sever防火墙VLAN配置防火墙静态路由配置;防火墙RIP路由配置;防火墙OSPF配置防火墙ASPF配置;防火墙黑名单过滤;防火墙MAC地址和IP地址绑定;防火墙端口识别防火墙P2P配置;基于时间段的P2P配置;上下行分别限流的P2P 配置;防火墙IPSec配
41、置防火墙双机备份部署虚拟防火墙的部署u 支撑的课程体系课程模块内容目标网络安全基础概念本课程主要描述了网络安全的基本原理,详细介绍有关风险、威胁等基本的安全概念,针对网络攻击进行了系统的分类和缓解方法,回顾了数通的核心知识。理解网络安全的基本概念;理解风险与威胁的概念和关系;描述常见攻击和防范方式;熟悉重要的IP协议。网络安全技术原理本课程主要描述了安全的核心技术加密算法和应用,同时详细讲解了基础的安全协议,802.1X和RADIUS协议。描述加密原理、算法和应用;理解802.1X协议的原理和应用;理解RADIUS协议的原理和应用。防火墙基础知识和配置本课程主要描述了防火墙的技术基础,包括分类
42、、概念和应用、策略,以及防火墙的基本功能,同时针对防火墙的基本配置。理解防火墙的基本原理和分类;理解防火墙的部署方式以及策略;描述防火墙的基本功能和关键参数;掌握防火墙基本配置,包括基本命令、升级、FTP等应用。防火墙访问控制列表本课程主要描述了防火墙访问控制列表的原理,以及在防火墙上实现访问控制列表。理解访问控制列表的控制方法和原理;理解访问控制技术的要素;掌握防火墙上访问控制列表的配置和部署。防火墙动态地址转换技术本课程主要描述了防火墙上动态地址转换技术的原理、优点和缺点,以及在防火墙上实现动态地址转换。理解地址转换技术的控制方法和原理;理解地址转换的意义和优缺点;掌握防火墙上地址转换的配
43、置和部署。u 主设备介绍Secoway USG 2000华为Secoway USG 2000系列统一安全网关是华为公司针对中小企业安全业务需求,推出的新一代多功能安全网关,可广泛应用于中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关等,华为Secoway USG 2000系列统一安全网关采用模块化设计,集安全、路由、交换、无线(WiFi、3G)等特性于一体,接口类型丰富,性能领先,能为中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关提供安全防护,并能提供集成的网络出口安全与互联解决方案,降低企业总所有成本TCO,提升企业的效率,是中等及中小型企业网络的理想安全防
44、护设备! Secoway USG2110:采用固定接口形态,提供百兆的性能和方便易用的可管理性,带1个固定的百兆WAN接口和4个固定的百兆LAN接口。Secoway USG2130:是统一集成的防火墙/VPN/安全路由器/安全交换机系统,提供百兆的性能、模块化架构、WiFi接入和丰富的路由器、交换机功能,带1个固定的百兆WAN接口和8个固定的百兆LAN接口,并附加1个MIC扩展插槽,可灵活扩展广域网或局域网接口。USG2130还额外支持一个Express插槽,专门用来扩展3G接口。Secoway USG2210 & 2220 & 2230 & 2250:是统一集成的防火墙/安全路由器/安全交换
45、机系统,提供数百兆至1G的性能、模块化架构和丰富的路由器、交换机功能,带2个固定的光电互斥Combo GE接口。附加2个FIC扩展插槽和4个MIC扩展插槽,可灵活扩展广域网或局域网接口。USG2130 USG2210/2220/2230/2250业内首款集路由,交换,安全,无线(WiFi、3G)于一体的安全网关Secoway USG 2000系列集路由、交换、安全、无线(WiFi、3G)功能于一体,1台Secoway USG 2000系列 = 数台传统路由器+数台传统交换机+数台传统防火墙,能有效帮助企业提高效率、降低维护复杂度,降低企业总成本TCO。接口类型丰富、接口密度大及灵活组网能力US
46、G2130统一安全网关除了提供1个固定百兆WAN接口和8个固定百兆LAN接口,还提供1个扩展插槽,可以选配1*FE、1*E1/CE1、5*FE、1*ADSL2+等接口,USG2130还增加3G express插槽,USG2130最大接口密度可达13FE;USG2210/2220/2230/2250统一安全网关除了提供2个固定千兆光电互斥WAN接口,还提供4个MIC扩展插槽和2个FIC扩展插槽,FIC插槽可也以选配1*GE、2*E1/CE1接口卡,整机最大接口密度可达4GE+10FE,可以适应不同的网络环境,便于用户灵活组网。唯一以扩展插槽形式同时支持WIFI、3G的产品Secoway USG
47、2000系列产品支持WLAN WiFi,支持802.11b、802.11g、802.11g/b混合模式;自动速率调整、无线信道选择、发射功率可调、加密、广播抑制、SSID隐藏、省电模式、管理维护;支持加密方式WPA-PSK、WPA2-PSK、WEP、AES、TKIP;2根全向性天线实现天线增益;USG2130可以通过扩展EXPRESS 3G 接口接入无线网络。支持兼容2G至超3G的数据传输模式,具体可以兼容:HSDPA/WCDMA 2100M/1900M/850M;GSM/GRPS/EDGE 1900M/1800M/900M/850M。USG2210/2220/2230/2250同档次产品性能
48、领先USG2210/2220/2230/2250采用多核并行处理技术,使产品在性能上有了质的飞跃,整机最大吞吐量(大包/小包)、每秒新建连接数等性能指标在业界处于领先位置,为用户带来超高的性能体验。强大的NAT转换能力Secoway USG 2000系列产品提供ACL精确控制的单地址池、多地址池以及接口地址转换功能,一对一、一个公网对应多个私网地址的端口级NAT SERVER应用、双向NAT,另外NAT功能支持FTP、ICMP、SIP、RTSP、HWCC、MSN、QQ 、RAS、H323(含T.120)、RPC、MMS、IPSEC ESP、SQL NET、MGCP、ILS、Netbios等丰富
49、的应用协议,为企业内部服务器提供了完整的解决方案,是业界卓越的NAT转换设备。丰富的VPN技术Secoway USG2000系列统一安全网关为用户提供了L2TP、GRE、IPSec等多种VPN组网技术,为用户提供了更多的选择。凭借华为公司硬件及芯片开发领域强大的技术实力,在USG2000系列统一安全网关中内置了高性能硬件加解密芯片,使产品加密性能在业界同类产品中处于领先位置,并且支持DES、3DES、AES、RSA、SCB2等多种加密算法,能够为用户提供高强度的加密传输保障,同时,结合华为公司全系列的网络安全产品,可以为用户提供完整的VPN解决方案。健康环保Secoway USG2000系列统
50、一安全网关是华为公司为用户精心打造的一款“健康环保”多功能网络安全网关。作为一款中小型网络安全设备,其使用环境更加贴近用户,华为公司秉承着“以人为本”的产品设计理念,采用防辐射的金属外壳设计,同时使用大量符合电磁规范的电子器件,有效防止电子元器件产生的电磁辐射,为用户带来更加健康环保的使用体验。USG2200 分支机构InternetSOHO 用户合作伙伴FEE1ADSL3G 上行 分支机构USG2200USG2130USG2100企业总部USG5000服务系统Secoway USG 2000系列典型组网图项目Secoway USG2110Secoway USG2130Secoway USG2
51、210/2220/2230/2250集成WAN口1*10/100 WAN1*10/100 WAN2*Combo GE WAN集成10/100 LAN口48-10/100 LAN密度41310扩展插槽-1 MIC + Express4 MIC + 2 FICUSB接口无1 (v2.0)2 (v2.0)VPN功能可选支持可选WiFi功能-可选可选3G功能-支持可选WAN接口支持FEFE, ADSL, E1/CE1FE, GE, ADSL, E1/CE1外形尺寸(宽 x 深 x 高)280mm190mm35mm420mm*255mm*44.2mm442mm420mm44.2mm重量1.0 kg3kg
52、7 kg最大功耗12 W25W35W输入电压AC: 90 V to 264 V; 47/63 HzAC: 90 V to 264 V; 47/63 HzAC: 90 V to 264 V; 47/63 Hz平均无故障时间MTBF12.67 years12.67 years12.67 yearsSVN3000产品概述互联网Internet的迅速普及,企业信息化建设的日益完善,企业面对远程接入的需求越来越丰富,如何安全、便捷、高效的实现企业内网IT信息系统的安全访问,使得企业分支机构、企业出差员工、SOHO办公人员、合作伙伴、客户等能够及时地获取所需的重要信息,成为企业IT部门进一步提升IT效率面
53、临的关键问题之一。华为公司针对上述问题推出大容量高可靠SSL/IPSec VPN安全接入网关SVN3000。SVN3000通过支持SSL VPN功能为企业出差员工、SOHO办公人员、合作伙伴、企业客户等终端,提供安全易用、易管理的远程接入方式。同时支持IPSec VPN功能,支持低成本的远程分支机构间互联。SVN3000基于华为专业的高可靠硬件平台,采用专业实时的操作系统,具备优秀的系统安全性和可靠性,是企业VPN网络建设的最佳方案。Secoway SVN3000产品特点 优秀的SSL/IPSec VPN网关 Secoway SVN3000安全接入网关深度整合SSLVPN、IPSec VPN、
54、防火墙、AAA等VPN技术和功能,充分结合各自的优势和特点,为IP VPN组网提供优秀的安全接入解决方案。Secoway SVN3000支持远程访问终端使用标准的Web浏览器,无需安装任何客户端软件,即可实现对企业内网资源的安全访问,同时支持强力的身份认证、细粒度的内网资源授权访问控制,提供DES、3DES、AES等加解密算法(支持国家商用密码算法),为远程访问提供了层次化端到端的安全保障。领先的业务支持能力Secoway SVN3000安全接入网关提供企业内网应用全面的远程访问功能,支持远程终端基于Web界面进行所见即所得的应用访问,支持Web Server安全访问、文件共享访问、Notes
55、、Exchange、FTP、Oracle、Telnet、SSH、RDP、VNC等应用类型的访问,丰富的业务应用支持,为企业的应用带来了前所未有的扩展能力。为满足未来全新的业务应用的飞速发展,SVN3000同时也支持VPN Tunnel方式,实现全业务访问的支持能力。支持全面的认证方式Secoway SVN3000安全接入网关提供基于用户名密码的认证授权,同时也广泛支持主流的认证和外部授权平台,如:Radius、LDAP、SecurID、X.509数字证书、USBKEY数字证书等,节省用户投资的同时极大的方便了管理员对访问用户进行统一的管理和配置,很大程度上降低了支持和维护的成本。同时,提供系统日志、管理员日志和用户访问日志,支持日志的分类查看和实时导出,方便管理员对日志进行外部分析及审计。提供便捷的部署和管理
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年度SPF猪饲养产业链大数据分析与决策支持合同
- 系统集成课程设计日志
- 2025版高端商务办公租赁合同范本2篇
- 2025版彩钢瓦屋顶安装与建筑节能改造评估合同3篇
- 自动控制的课程设计
- 老马养殖课程设计
- 2024年股权买卖保证书
- 油壶盖课程设计
- 二零二五年度个人融资租赁合同示范文本下载3篇
- 美甲教学课程设计方案
- 期末+(试题)+-2024-2025学年重大版英语五年级上册
- DL∕ Z 860.2-2006 变电站通信网络和系统 第2部分:术语
- 断亲协议书模板
- 技能成才强国有我课件模板
- “双减”背景下小学数学“教、学、评”一体化的思考与实践
- 中外美术评析与欣赏智慧树知到期末考试答案章节答案2024年湖南大学
- 事业单位考试《综合知识和能力测试》试卷
- 福利住房与购房补贴制度
- 康师傅乌龙茗茶营销策划书
- 【川教版】《生命 生态 安全》四上第13课《预防冻疮》课件
- 工厂筹建方案
评论
0/150
提交评论