《通信網絡安全與防護》課程教案授課時間2021年4月6日周二3-4節課次8授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學章、節或主題）：第五章網絡防護技術（上）教學目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握防火墻的基本概念、優缺點;（2）重點掌握防火墻的三種實現技術，熟悉防火墻安全規則的配置;（3）了解網絡安全隔離的基本概念，熟悉網閘的工作原理。教學重點及難點：重點：防火墻的實現技術；難點：防火墻規則的配置。課堂教學設計（含思政）：本次課教學中注重運用對比分析、實例講解的教學方法，對比分析防火墻與網絡隔離技術的異同，在防火墻規則設計時結合實例講解，教學中突出防火墻實現技術及規則配置這一教學重點。教學中注重技術與應用結合，介紹軍事網絡中的防火墻與網絡隔離系統裝備及應用。教學中注重與學員的教學互動，引導學員結合自己平時的認知對照學習。思政要素切入點：通過防火墻技術的發展，使學生認識到網絡攻防對抗的動態性，增強整體防護意識，養成日常管網用網嚴謹細致的工作習慣，促進職業素養提高。教學基本內容課堂教學設計回顧與引入：回顧第四章網絡攻擊技術的主要內容，通過三個測試題檢驗學員對知識點掌握情況；對網絡防護的主要內容進行介紹，并明確本節課教學目標。本節內容：（主要內容框架、要點、重點，建議不要寫成講稿）5.1防火墻技術5.1.1防火墻概述1．防火墻基本概念防火墻是在信任網絡與非信任網絡之間，通過預定義的安全策略，對內外網通信強制實施訪問控制的安全應用設備。2．防火墻的優點采用防火墻保護內部網絡有以下優點：1）防火墻可以保護網絡中脆弱的服務2）防火墻允許網絡管理員定義中心“扼制點”抵抗非法訪問3）防火墻可以增強保密性，強化私有權4）采用NAT的防火墻可以節約地址資源5）防火墻可以方便的進行審計和告警3．防火墻的缺點雖然防火墻可以提高內網的安全性，是網絡安全體系中極為重要的一環，但不能因為有了防火墻就可以高枕無憂。因為防火墻也有一些缺陷和不足，主要體現在以下幾點：1）防火墻無法防護內部網用戶的攻擊2）防火墻無法防護病毒，也無法抵御數據驅動型的攻擊3）防火墻不能防范不通過它的攻擊4）防火墻不能防備新的網絡安全問題5.1.2防火墻的常用技術防火墻的主要技術包括包過濾、應用代理和狀態檢測技術。1．包過濾技術采用包過濾技術的防火墻稱為包過濾型防火墻，因為它工作在網絡層，又叫網絡級防火墻。包過濾防火墻可以通過檢查每個包的源IP地址、目的IP地址、運輸層端口等信息來決定是否允許此數據包通過。包過濾的工作過程如下。2．應用代理應用代理工作在網絡的應用層，其實質是把內部網絡和外部網絡之間直接進行的業務由代理接管。應用代理防火墻能夠完全控制網絡信息的交換，控制會話過程，具有較高的安全性。其缺點主要表現在：1）軟件實現限制了處理速度，易于遭受拒絕服務攻擊；2）需要針對每一種網絡服務開發應用層代理，開發周期長，而且升級較困難。3．狀態檢測技術狀態檢測又稱動態包過濾，是在傳統包過濾上的功能擴展。狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別。狀態檢測技術檢查的項目除了傳統的包過濾技術檢查的IP地址與端口號以外，還需要檢查連接狀態與上下文信息。5.1.3防火墻的功能性能分析1．功能指標衡量防火墻的基本功能指標包括防火墻提供的接入方式、安全區劃分、訪問控制功能。支持不同接入方式防火墻提供的接入方式包括透明接入、路由或NAT接入及混合接入三種接入方式。2）安全區劃分3）訪問控制功能2．性能指標防火墻的性能指標：并發連接數、吞吐量、時延等。5.3安全隔離技術實際工作中，我們經常會面臨在不同安全等級網絡間的數據交換需求，傳統的做法是采用“人工拷盤”，這種解決方案可以實現網絡的安全隔離，但數據交換通過人工來實現，工作效率低；且安全性完全依賴于人的因素，可靠性無法保證。1．安全隔離的基本概念安全隔離是指把兩個或兩個以上可路由的網絡（如TCP/IP）通過不可路由的協議進行數據交換而達到隔離目的。目前，在我國，網閘是一種廣泛使用的安全隔離產品。不同生產廠商，又稱之為安全隔離網閘、物理隔離網閘、安全隔離與信息交換系統等，這些產品都是為了在確保安全的前提下實現有限的數據交流。2．網閘的工作原理1）網閘的結構通常，網閘內部采用“2+1”模塊結構設計，即包括外網主機模塊、內網主機模塊和隔離交換模塊。2）網閘的工作過程3．網閘的應用場景不同的涉密網絡之間；同一涉密網絡的不同安全域之間；與Internet物理隔離的網絡與秘密級涉密網絡之間；未與涉密網絡連接的網絡與Internet之間內容小結：防火墻的定義、功能與不足防火墻的主要技術防火墻的功能與性能；網閘的基本概念、結構、工作原理、應用場景。板書提綱：$5.1防火墻一、防火墻概述1．基本概念2．優缺點二、防火墻的常用技術1．包過濾技術2．應用代理3．狀態檢測技術三、防火墻的功能性能1．功能指標：接入方式、安全區劃分、訪問控制2．性能指標：并發連接數、吞吐量、時延$5.3安全隔離技術1．基本概念2．網閘工作原理3．網閘應用場景知識擴展：了解指揮專的防火墻與安全隔離系統全程PPT輔助講解請學員談談所了解的網絡安全防護手段有哪些？引出教學內容對照實例，講解防火墻規則的配置，強調防火墻規則是有順序的結合實例講解代理工程過程。問題：如何在不同安全等級的網絡間進行信息交換？如從學校辦公專網拷貝文件到校園網。作業、討論題、思考題：作業：5-2、5-7、5-8課堂教學后記：（課堂教學反思、課堂優化設計構想等內容，必須手寫）《通信網絡安全與防護》課程教案授課時間2021年4月8日周四1-2節課次9授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學章、節或主題）：第五章網絡防護技術（下）教學目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握入侵檢測系統的基本概念，熟悉入侵檢測系統的體系結構;（2）掌握入侵檢測系統的檢測方法;（3）掌握蜜罐與蜜網基本概念，熟悉蜜罐的分類，了解蜜罐的搭建方法。教學重點及難點：重點：入侵檢測系統的檢測分析方法；難點：木馬的傳播方法。課堂教學設計（含思政）：本次課教學中注重運用對比分析、實例講解的教學方法，對比分析入侵檢測系統與蜜罐技術在攻擊檢測技術及結果運用中的差別，加深學員對知識的理解；在講解入侵檢測規則時，采用實例講解，使抽象的問題直觀化。教學中注重技術與應用結合，介紹軍事網絡中的入侵檢測系統裝備及應用。教學中注重與學員的教學互動，引導學員結合自己平時的認知對照學習。思政要素切入點：通過對入侵檢測技術與蜜罐技術的講解，使學生認識到網絡攻防對抗的動態性，增強整體防護意識，養成日常管網用網嚴謹細致的工作習慣，促進職業素養提高。教學基本內容課堂教學設計回顧與引入：回顧上節課主要內容，通過三個測試題檢驗學員對知識點掌握情況；對本次課的主要內容進行介紹，并明確本次課教學目標。本節內容：（主要內容框架、要點、重點，建議不要寫成講稿）5.2入侵檢測系統一、入侵檢測系統基本概念入侵（Intrusion）：是指對任何企圖危及系統及資源的完整性、機密性和可用性的活動。入侵檢測（IntrusionDetection）即對入侵行為的發覺，是指通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可獲得的信息及計算機系統中關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測系統（IntrusionDetectionSystem，IDS）：即進行入侵檢測的軟件或硬件的組合。1.入侵檢測的發展歷史和發展趨勢誕生、發展歷程、發展趨勢2.入侵檢測的類型1）基于主機的入侵檢測系統（Host-BasedIDS,簡稱HIDS）2）基于網絡的入侵檢測系統（Network-BasedIDS,簡稱NIDS）3）分布式入侵檢測系統（DistributedIDS,簡稱DIDS）二、入侵檢測系統的體系結構1．體系結構的演變過程2．通用入侵檢測框架3.現有IDS體系結構的局限性三、入侵檢測系統的檢測方法1．基于異常的檢測分析方法異常檢測是目前入侵檢測系統分析方法研究的重點，其特點是通過對系統異常行為的檢測，可以歸結出未知攻擊。異常檢測的關鍵問題在于正常使用模型的建立，以及如何通過正常使用模型對當前的系統行為進行比較，從而判斷出與正常模型的偏離程度。常用的異常檢測方法有：1）基于統計方法的異常檢測2）基于數據挖掘技術的異常檢測3）基于神經網絡的異常檢測2．基于誤用的檢測分析方法誤用（Misuse）：指“可以用某種規則、方式、模型表示的入侵攻擊或其他安全相關行為”。基于誤用的入侵檢測（MisuseDetection）技術：通過某種方式預先定義入侵行為，然后監視系統的運行，井根據所建立的這種入侵模式來檢測入侵，并從中找出符合預先定義規則的入侵行為。3.常用的誤用檢測技術1）模式匹配例如協議匹配、字符串匹配、長度匹配、累積匹配或增量匹配等；2）協議分析技術將協議分析與模式匹配相結合，可以獲得更高的效率和更精確的結果。5.4蜜罐與蜜網一、蜜罐的基本概念蜜罐（honeypot）是一種價值在于被探測、攻擊、破壞的系統，是一種網絡管理員可以監視、觀察攻擊者行為的系統。引入蜜罐的目的：一是分散攻擊者的注意力；二是收集同攻擊和攻擊者有關的信息。二、蜜罐的關鍵技術1．網絡欺騙技術2．數據控制技術3．數據收集技術4．報警技術5．入侵行為重定向技術三、蜜罐的分類1．從應用層面分為產品型蜜罐和研究型蜜罐兩種。2．按交互等級分為低交互、中交互、高交互三種蜜罐。蜜罐主機的一個重要特性就是其交互等級。交互等級：是指攻擊者可以同蜜罐主機所在的操作系統的交互程度。四、蜜網蜜網（Honeynet）是一個網絡系統，而并非某臺單一的主機，這一網絡系統是隱藏在防火墻后面的，所有進出的數據都受到關注、捕獲及控制。這些被捕獲的數據可供我們研究分析入侵者們使用的工具、方法及動機。蜜罐與蜜網的實現方法：利用Snort軟件安裝利用HoneyD軟件安裝2021兩會期間，知道創宇提供免費試用“云蜜罐”服務，云安全已經成為新的發展方向。內容小結：IDS基本概念、發展歷程、發展趨勢、體系結構；HIDS、NIDS、DIDS；IDS的體系結構；誤用檢測、異常檢測；蜜罐的價值、蜜罐的關鍵技術、蜜罐的分類；板書提綱：$5.2入侵檢測系統一、基本概念分類：HIDS、NIDS、DIDS發展歷程發展趨勢二、體系結構CIDF三、入侵檢測分析技術異常檢測誤用檢測$5.4蜜罐與蜜網基本概念關鍵技術分類蜜網知識擴展：課下搜集云安全的進展。全程PPT輔助