时间:2023-05-24 15:53:13
导语:在网络安全教学设计的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词:高职;网络与信息安全技术;操作系统;安全加固
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)23-0030-01
随着互联网用户的增加,技术的发展,导致网络不安全的因素越来越复杂,网络面临前所未有的安全威胁,社会对能快速解决网络安全问题的人才需要增加。因此培养维护网络与信息安全的人才成为了高职院校的大事件。本文针对网络用户如何防范最常见的网络攻击角度出发,为学生精心设计教学内容。
1 课程特点
学习网络与信息安全课程,需要学生有一定的硬件平台、软件系统、TCP/IP协议等知识为基础。本课程在高职教学中主要有如下一些突出特点。
1)内容丰富。网络与信息安全技术课程内容包含:网络与信息安全的基本概念,加密与解密技术,数字签名和认证技术,神州数码硬件防火墙及ISA server2006软件防火墙技术,snort入侵检测技术,端口扫描和嗅探技术,网络流量监控及分析技术等,可见本课程内容丰富。
2)基础课程要扎实。网络与信息安全技术课程是计算机网络技术专业的专业课,前面的基础课程有:网络基础、windows系统操作系统、神州数码交换机及路由器设备配置等,这些课程知识需要学生在学习本课程之前掌握。
3) 恶意攻击方法层出不穷。随着网络与信息安全技术的广泛应用,由于各种原因,网络攻击手段越来越复杂,与防范技术不断较量。因此,网络与信息安全课程教学内容也需要不断地更新。
4)突出实用性。学习本课程的最终目的是能解决网络与信息安全问题,它包含的实践内容有:windows操作系统的安全加固、sniffer的使用、X-Scan扫描系统漏洞、用PGP加密软件发送邮件、使用snort入侵检测软件对网络进行实时监视、用ISA防火墙软件设置网络过滤规则等等。
2 网络与信息安全技术课程教学设计与研究
本课程教学内容多,本文以windows server 2008操作系统加固为例,介绍本课程的教学过程。目前许多公司正在使用外置安全硬件的方式来加固它们的网络。这意味着,它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁,保护它们自然免受互联网上恶意攻击者的入侵。但是,如果一个攻击者能够攻破的防线,从而获得对内部网络的访问,这个时候就需要我们保护网络当作的最后一道防线--windows server 2008操作系统加固。
1) 教学目标设计
目前各大公司和企业单位主流服务器都是安全了windows server 2008操作系统,如何加固它,保护内部数据不被窃取或者破坏,成为了我们教学最重要的目标。
2) 教学内容设计
①系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固操作系统,整体提高服务器的安全性。
②IIS手工加固:手工加固IIS可以有效地提高web站点的安全器安全加固,合理分配用户权限,配置相应的安全策略,有效地防止IIS用户溢出提权。
③系统应用程序加固,提供应用程序的安全性,例如SQL的安全配置以及服务器应用软件的安全加固。
3) 教学操作实践
实践环境是一个局域网机房,所有主机互联。假定你是某公司的系统管理员,负责服务器(受保护服务器IP、管理员账号)的维护,该服务器可能存在着各种问题和漏洞。给学生1个小时的时间对服务器进行加固,加固后将会有很多黑客对这台服务器进行猛烈地攻击,学生进入分组对抗环节。
在这个分组对抗的环节里,各位学生需要继续保护服务器免受各类黑客的攻击,可以继续加固服务器,也可以选择攻击其他组的保护服务器。如果某个学生的服务器攻击后死机那么实践结束。
4) 考核方式的设计。
本课程安排形成性考核包括了学生的期末笔试部分、出勤、平时表现占50%,而每次课的实践环节占50%,突出动手实践操作。动手解决实际问题才能真正反映学生的真实工作技能。
3 结束语
本课程是计算机网络技术专业的专业核心课程,课程内容多且复杂。本文提出了以为windows server 2008操作系统安全加固为例,介绍了本课程的教学目标、内容、实践环节的设计,突出学以致用的原则,注重培养学生网络安全防范的能力。
参考文献:
[1] 王海洲.计算机网络技术实验课程教学改革[J].中国信息技术教育,2013(9).
[2] 包欢欢.高校信息网络与信息安全课程教学浅谈[J].亚太教育,2015(2).
>> 网络安全课程实验教学设计与实践 网络安全实验教学探索 网络强国战略下的新型网络安全实验教学模式探索 计算机网络安全课程实验教学探索 计算机网络安全课程实验教学研究与实践 基于虚拟机的网络安全课程实验教学研究与应用 基于计算机网络安全实验教学改革的探讨 网络安全技术实验教学研究 基于结对实验的任务驱动型网络安全教学探讨 《网络安全》课程教学模式改革初探 网络安全课程教学研究与探讨 探究型实验教学模式的应用 高职高专《网络安全》实验教学工程化方案 基于虚拟环境的网络安全实验教学探索 差异性的网络安全实验教学方法研究 微课在网络安全实验教学中的应用研究 GNS3在网络安全实验教学中的应用 “网络技术基础”课程实验教学探讨 初中化学探究式实验教学模式探讨 道路建筑材料课程实验教学模式探讨 常见问题解答 当前所在位置:;第五,打开该主页,输入用户名和密码;第六,在index.htm的目录下创建文件夹并刷新;第七,在主页文件夹下删除创立的文件夹,直至看不到目录;第八,用smtp服务器发送邮件,实验成功[4]。
计算机网络安全实验课程的本质,是对计算机的软件和硬件技术通过网络空间进行攻防对抗,两者可以从多角度来看待。所以,在网络安全课程的实验教学模式的探究中,为了达到网络安全课程实验教学的最大效果,必须推进实验教学平台的网络攻防实验进程。教师要注意对实验教学模式的难易程度做合理的规划,比如,可以将远程机管理员权限的获取,进行简单的分层:“简单――一般――困难”。
使学生递进式地理解实验教学的内容。针对学习水平有差异的同学,设计符合当前阶段难度的实验题目,使进行“获取远程机的权限”学生在实验教学中,获得宝贵的操作经验。同时,教师还要拓宽学生在网络实验教学中的实验渠道。比如,可以让学生在校园网、无线网安全问题上做攻防实验,来培养学生在探究实验教学模式时,解决实际问题的能力。
3.探究试验方法,在实践中激发兴趣。学生通过实验教学平台,掌握不同计算机管理员权限获取的攻防技术,教师可以与学生互相交流,分享计算机管理员权限获取的最新科研成果,引导学生对计算机网络安全问题的关注,诱导学生积极参与远程机权限获取的攻防实验,使学生了解计算机技术的发展,有利于培养学生对实验教学的兴趣,也有利于综合开发学生的创新思维能力。
教师实行灵活分配团体的实验教学方法。在网络安全课程探究型实验教学模式里,可以将实验教学模式分成各个团体来进行试验,在进行实验教学实验时,各个小团体互相比赛,争夺团体之间的荣誉,在竞争中求发展。这种分配方式,可以更好地培养学生之间的协作能力和对抗能力,推动建立以学生为主体的学习机制,营造出高效的学习氛围。计算机技术日新月异的发展,传统的教师授课,不能有效地锻炼学生的实践操作能力,运用网络安全实验教学模式,使教师在结合理论的基础上,由浅入深地总结实践经验,从而推动网络安全进程的发展。
结束语:
在网络安全课程探究型实验教学中,实验教学平台在实际中的应用表现出性能稳定、运行良好的特点。实验平台为传播网络安全课程的教学策略,提供了巨大的帮助。笔者希望更多的专业人士能投入到该课题研究中,针对文中存在的不足,提出指正建议,为提高我国网络安全课程探究型实验教学工作做出重要贡献。
参考文献:
[1]尚涛,刘建伟.网络安全课程探究型实验教学模式构建[J].工业和信息化教育,2015,(05):6-9+5.
[2]郭喜春.高校计算机程序设计类课程实验教学模式研究[D].内蒙古师范大学,2011.
计算机网络安全是计算机网络专业的核心骨干课程,现有课程体系及教学实施过程中存在的问题是理论教学内容偏多。网络安全是涉及计算机科学技术、网络技术、信息技术、数字密码技术等多学科的综合性学科。从事该课程的教师也因为实验室攻防条件限制、实训环境设置简单等问题,不能很好引导学生理解该课程,为该课程的教学实施打了折扣。
该课程的考核方式与评价体系相同于传统课程,偏重于理论考核,大多是闭卷笔试。难以做综合能力与创新能力的评价,学生为了应付考试,把主要精力放在了死记硬背课本和课后习题上。这样的考试不利于学生对知识的全面掌握,不能全面反映学生对课程的实际掌握情况,更难于衡量学生对知识的运用能力和实际动手能力,还容易出现抄袭、作弊等违纪现象,由于实验环境的不稳定性,在实践考核环境中也存在操作困难的情况,这些情况不利于教学水平的提高,更不能充分发挥考试的导向和人才培养的指导作用。
2、内容改革,教材先行
由于网络安全技术的快速发展,要求《计算机网络安全》教程必须紧跟科学技术前沿,因此教学内容改革势在必行,必须脱离传统的文字教材范畴,在文字教材的基础上增加多媒体教学资源和网络课程作业。
(1)文字教材。文字教材是教学的基本依据,对学生知识的学习有先导的作用。一本好的教材如同一位好的导师,应当以学生的认知规律为主线,以项目任务单元构建学习章节,阶段性的安排学习内容,打破传统教学教材,让学生可以深入浅出的了解网络安全的知识,形成良好的学习习惯。
(2)网络课程作业。适量的作业练习是必须的,可以拓展学生的学习思路,更加牢固的掌握所学知识。利用网络多媒体技术制作网络课程作业,学生采用网上答题等方式,结合邮件方式,可以快速实现作业的批改。
因此,教学资源、教学内容的改革不再局限于文字教材而是涉及多媒体教材、网络课程在内的多种教学内容改革方式。
3、方法创新,项目驱动
网络安全课程是一门实践性很强的课程,只有通过应用才能掌握知识。在具体学习过程中,引入项目驱动的教学方法,根据课程的性质、特点、学习对象、教学目标、教学大纲、教学内容、多媒体辅助方式等方法进行多种方法的教学。
(1)“项目驱动”教学法。“项目驱动”教学方法的核心是教师在精心为教学设计的项目下,通过自主学习、协作学习、讨论学习、探究学习等方式来完成任务在探究解决问题的途径中,学生既学到了知识,又培养了能力,更重要的是提高了学生的探索创新精神、动手实践能力和与人合作能力。在完成项目的过程中,学生始终处于主动的主题地位,教师是学生学习的组织者、服务者和导航者。
(2)多教学方法交叉使用。使学生由接受者转变为主动参与者,在发挥教师主导作用的同时,充分发挥学生的主体作用。引导学生去思考、去探索、去发现,鼓励学生大胆提出问题。使学生在实验室主动进行实验学习、在实验室以外也能自主学习。本课程必须在多媒体网络教室上课,把集中辅导和上机实验合二为一。
(3)“项目协作”教学法。该教学方法依据学生的能力、知识储备等相关因素,将学生以小组的形式进行教学。小组成员通过相互合作,进行网络的模拟攻击,而另外的成员则进行防御。通过小组之间的互动、分析讨论,从而引申不同的思考方向,同时结合校企项目,教学中安排学生社会调查内容,采取组织或者自由形式参观一些较大规模的网络环境和安全项目,进而构建出个人对于学习内容的系统知识。
4、模式探讨,讲演教学
对于学生来说,学习的目的在于掌握一定的技能。网络安全课程内容多,各个内容之间没有联系少,学生学习时往往感觉学习困难,因此,在教学时可以改变传统的逐章教学的方法,设计网络安全的框架结构,在教学中逐步将这个框架清晰化,具体化。构建一种以学生为主体、以教师为主导、以网络安全框架内容为主线的基于实际项目的教学模式。该模式旨在探索出适合高职学生学习《计算机网络安全》的“讲演”教学模式,以便更好地培养学生的创新意识、创新精神、创新能力和计算机网络安全防护应用技能解决具体实践问题的能力。
整个教学模式中教师总是起到导学的作用,教师的作用就是尽量激发学生对本课程的学习兴趣,提出问题、并解决问题。该课程教学模式的学生引导过程如下:
(1)激发学生的兴趣。兴趣是最好的老师,学生在学习活动中,对自己感兴趣的现象,总是主动、积极地去探究。根据教材内容的引导案例,结合校企项目,引导学生探讨网络安全问题,让学生有参与的机会,谈谈他们对网络安全知识的认识,然后和他们交流,并介绍该部分教学内容的安排,这样既拉近了师生距离,同时也便于掌握学生情况,给学生的学习增加了兴趣和动力。
(2)创设网络安全背景。网络安全背景创设必须有利于学习者对所学内容的意义上构建的。网络安全课程虽然都是围绕网络在进行介绍,但是课程内容具有很大独立性,不像很多课程的搭积木特点。这种课程一方面具有个别内容学习耽误不影响后续学习的优点,也带来学生觉得知识太散,不容易归纳掌握的缺点。因此作为教师结合网络安全知识总结教材体系是重要工作,整个教材的内容实际上可以按网络安全框架进行展开。教学中直接给学生一个框架,因此需要在教学中设计一些网络环境的背景,涉及有针对性的安全问题,变成学生脑海的直观印象。
(3)提出问题。在教学过程中除了要创设背景、激发学生的学习兴趣外,最重要的是要培养学生的分析问题和解决问题的能力,利用各种方法选择出与当前学习主题密切相关的真实性事件作为学习的中心内容,让他们课后搜集资料、寻找答案,促进他们的学习兴趣。
(4)项目协作。为使学生的知识体系更为合理,教师应尽可能组织学生协作学习,并对学习过程加以引导,使之向有利于知识建构的方向发展。合理安排网络攻防实验课,使学生自发分组进行对抗。这些项目主要有:网络安全研究性调查、小型企业网络机房安全规划、红蓝网络攻防对抗、网络实时安全管理模拟等,以加深学生对所学内容的理解。
关键词:仿真;网络安全;密码;VLAN
中图分类号:TP391.9
《计算机网络安全管理》是一门理论性和实践性很强的基础课程,本课程在本院是面向高职学生开设的必选课,课程理论与实践紧密结合,实用性强,目的在于使学生掌握计算机网络安全的基础知识、TCP/IP协议基础,能对网络入侵进行初步分析,掌握网络入侵工具的分类、网络安全的策略、防范措施及网络设备安全知识,了解常用的一些密码技术,如何利用现代教学软件来体现网络教学的实践环节,在有效的时间展示网络安全管理丰富的技术技能,作为现代教学需要利用好工具。本文就计算机网络安全管理中的仿真逐一进行总结分析,采用思科Cisco模拟器6.0版本,运行操作系统Windows XP或Windows 2000。
情景一密码设置和恢复:Cisco提供了5个口令可以来保护Cisco路由器,分别是:使能口令、使能加密口令、控制台口令(Console)、远程登陆口令(VTY)和辅助口令(AUX)。这里我们介绍前面4个口令设置:
1 使能口令
进入全局配置模式 Router#configure terminal
设置使能口令 Router(config)#enable password cisco //口令设置成功!
2 使能加密口令
进入全局配置模式 Router#configure terminal
设置使能加密口令 Router(config)#enable secret cisco
使能加密口令设置成功!
3 控制台口令(Console)
进入全局配置模式 Router#configure terminal
进入console口配置模式 Router(config)#line console 0
进行console口密码设置 Router(config-line)#password consolekey
使其口令生效 Router(config-line)#login //控制台口令设置成功
4 远程登陆口令(VTY)
进入全局配置模式 Router#configure terminal
进入console口配置模式 Router(config)#line vty 0 15
进行console口密码设置 Router(config-line)#password vtykey
使其口令生效 Router(config-line)#login //远程登陆设置成功
设置好密码,网络中就多了一道屏障,但当密码丢失遗忘,要进行密码恢复。如图1所示。
步骤1:设置密码
特意设置一个不容易记住的密码,如Router(config-if)#enable password 2q3qeqew
重新登陆后如果遗忘输入其他密码,登陆将出现Bad secrets的错误提示(见下图)
步骤2:路由器密码恢复(破解原有密码)
关闭路由器电源并重新开机,当控制台出现启动过程按下ctrl+break,进入rommon模式
首先改变配置寄存器的值为0x2142,这会使得路由器开机时不读取NVRAM 中的配置文件,然后敲reset重启路由器,退出setup 模式,敲no重新进入。如图2所示。
Router#write //先将配置写入内存
屏幕提示:Building configuration...
[OK] //配置文件保存成功
Router#copy startup-config running-config//把配置文件从NVRAM 中拷贝到RAM 中,在此基础上修改密码。-屏幕提示:Destination filename [running-config]?
489 bytes copied in 0.416 secs (1175 bytes/sec)
最后在进入配置模式,将密码更改为自己熟悉的密码,如cisco
Router(config)#enable password cisco //密码将更换为最新的密码cisco
Router(config)#config-register 0x2102 //将寄存器数值改回0x2102
Router(config-if)#interface FastEthernet0/0
Router(config-if)#no shutdown
Router #reload //保存配置,重启路由器,保存前,需要把各个接口一一打开。
情景二VLAN隔离局域网:在企业内部,共享资源的同时有些部门数据禁止其他部门访问,这时候除了设置密码保护,关闭不需要的共享,还可以进行VLAN划分局域网,来进行网络安全管理。划分VLAN之前,两台路由器可以相互访问。如图3所示。
Switch# vlan 2 name VLAN2
VLAN 2 added:
Name: VLAN2
Switch(vlan)#vlan 3 name VLAN3
VLAN 3 added:
Name: VLAN3//以上创建vlan,2是vlan的编号,范围为1~1001
Switch(config)#int f0/1
Switch(config-if)#switch
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 2
Switch(config-if)#int f0/2
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 3
此时在ping测试,出现不通的符号,这样就实现了利用vlan隔离的作用。如图4所示。
以上可以看出在网络教学过程中利用仿真软件直观生动,学生有兴趣学,老师也方便指导。后续将不断探索和实践,使其在教学过程中充分发挥作用。
参考文献:
[1]李杰阳.浅析计算机网络实训课题的设计及使用[J].科技信息,2011,20.
[2]潘江波,邓建高.仿真软件在计算机网络教学中的应用[J].实验技术与管理,2011,07.
>> 基于Simulink/MEX编程的MATLAB仿真教学动画演示 传输控制协议(tcp)原理的动画演示 网络协议演示系统设计 基于案例的动画教学实践探究 基于Flas演示的《数据结构》在线开放教学资源建设与共享研究 网络安全协议的综合教学实践研究 基于PPT技术的物理实验演示动画的创设 基于递归算法的Hanoi Tower动画演示系统 基于任务驱动的网络协议分析与应用教学 网络动画仿真演示实现分析 基于项目学习的《Flas制作》教学实践 基于UDP 协议的Socket网络编程 基于ActionScript实现顺序队列动画演示 基于Ethereal的网络协议分析在网络课程教学中的应用 基于新课程背景的初中物理演示实验教学的实践研究 基于“学为中心”的科学演示实验教学优化实践 基于简单网络管理协议的网络拓扑发现算法 网络安全协议课程的实践教学设计分析 基于网络的新一代演示工具 基于协议分析的《计算机网络》课程教学方法的研究 常见问题解答 当前所在位置:l.
[2] 吴功宜. 计算机网络[M]. 北京:清华大学出版社,2007:6-7.
[3] 赵小明. 计算机网络实验教程[M]. 北京:科学出版社,2006:13-14.
[4] Douglas E. Comer. 用TCP/IP进行网际互联(第一卷)[M]. 北京:电子工业出版社,2003:53-54.
[5] 曾华. 现代网络通信技术[M]. 成都:西南交通大学出版社,2004:482-483.
[6] 潘文婵,章韵. Wireshark在TCP/IP网络协议教学中的应用[J]. 计算机教育,2010,3(6):158-160.
Teaching Practice of Network Protocol Based on Animation
GUO Wenping1, ZHOU Yan2,3, CHEN Ying1, ZHAO Xiaoming1
(1.School of Mathematics and Information Engineering, Taizhou University, Linhai 317000, China; puter Center, East China Normal University, Shanghai 200062, China; 3.Engineering College, Tibet University, Lhasa 850000, China)
Abstract: Network protocol is the soul and masterstroke of Computer Network and related courses, which is one of the important and difficult issues in teaching computer network. This paper analyzes the current situation of Computer Network teaching and points out existing problems. On the basis of it, it presents a new teaching mode on Computer Network based on animation. A teaching example is shown finally.
关键词: 课程设计; 项目教学; 任务驱动; 一体化
中图分类号:G712.4 文献标志码:A 文章编号:1006-8228(2012)05-55-02
LAN security and maintenance the integration of curriculum design
Chen Chunyan
(Beijing Information Technology College, Beijing 100018, China)
Abstract: Due to its particularity, institutions of high vocational education must focus on the actual request in actual working process. Through systematic setup of curriculum, teaching is organized according to real situation. Under the guidance of the authors' educational philosophy, an integrated teaching method in the "LAN security management and maintenance" course is introduced in this paper. The teaching resources of college should get reintegrated according to the requirement of vocational education, and the curriculum should be designed based on project and tasks.
Key words: curriculum design; project teaching; task-driven; integration
0 引言
高等职业教育的特殊性决定了高等职业院校必须紧紧抓住实际工作岗位的工作过程需要,通过系统化的课程设置,以行动为导向进行课程教学组织[1]。在这一教育理念的指引下,我们课程小组在局域网安全管理与维护课程的教学中采用一体化教学方法,根据职业教育的要求重新整合教学资源,以项目为依托,以任务驱动为导向,运用一体化的模式进行了课程教学设计。
1 课程总体设计方案
本课程小组经过企业调研,招开实践专家研讨会等多种途径,确定了计算机网络技术专业核心职业能力。局域网安全管理与维护是计算机网络技术专业的一门专业核心课程,以培养学生“用户终端设备的安装与调试”和初步的“网络安全管理与维护”采用核心职业能力。该课程的目的是使学生了解计算机网络基本原理与框架结构,了解信息安全的基本理论,能够正确合理使用计算机网络,安全使用计算机信息系统,培养学生具备小型企业局域网络安全管理与维护所需要的基本知识和能力,以及计算机网络应用和信息安全核心职业能力。整个课程采用模块化教学体系,以教、学、做为核心开展一体化教学,将教学项目贯穿整个教学过程,每个项目设有多个教学任务。
以教、学、做为核心开展的一体化教学,体现了由“职业分析”到“课程定位”的纵向一体化,以及从“项目导向”到“任务驱动”的横向一体化。如图1所示。
[职业分析] [教] [学] [做] [课程定位][项目导向
项目1
项目2][任务驱动
任务1
任务2
任务3
…]
图1 模块化教学体系
2 能力目标的确定
我们为局域网安全管理与维护课程设计了两个教学项目――计算机信息系统的安全管理和小型计算机网络的组建与维护,目的是使学生了解计算机网络基本原理与框架结构,了解信息安全的基本理论,能够正确合理使用计算机网络,安全使用计算机信息系统,培养学生具备小型企业局域网络安全管理与维护所需要的基本知识和能力,获得计算机网络应用和信息安全核心职业能力,同时也为后续专业课程打下良好的知识基础。
具体的能力培养目标如下:
⑴ 能对计算机系统进行安全备份和恢复;
⑵ 能合理选择、安装、配置、使用防病毒软件;
⑶ 能对系统进行访问控制,同时能修补各种安全漏洞;
⑷ 能采用加密技术保证信息安全;
⑸ 能把计算机正确连入计算机网络;
⑹ 能将几个局域网加以相互连接;
⑺ 能通过网络提高办公效率;
⑻ 能对小型局域网进行日常维护。
3 教学内容的设计
局域网安全管理与维护是集知识和技能于一体、实践性很强的课程,要求学生既要学好理论知识,又要有较强的实践能力,同时计算机网络技术发展迅速,需要培养学生具有自主学习新知识的能力。本课程从“项目导向”到“任务驱动”的“一体化”教学模式符合本课程实践性强的教学要求。“一体化”教学设计把教学内容设计成一个或多个具体的任务,让学生通过完成一个个具体的任务,掌握教学内容,达到教学目标[2]。本课程的教学中,我们以两个具体的项目为依托,共设计了8个具体的子任务,以培养学生对企业局域网及计算机信息安全系统的管理能力。教学内容设计如图2所示。
[项目][计算机系统的主机安全防护][小型计算机网络的组建与运维][子任务][计算机系统的信息备份与恢复][计算机系统病毒的防护][计算机访问控制欲安全漏洞修复][加密计算机数据安全][计算机网络的接入][局域网互联][计算机网络在办公室的应用][计算机网络的日常维护]
图2 教学内容设计
项目1是计算机信息系统的安全管理,即局域网中主机系统的安全管理。保证主机安全是局域网安全中的重要内容。在主机安全的基础上,如何组建小型办公网络,通过办公网络提高办公效率,同时能够有效的管理小型办公网络,进行网络故障的诊断与排除是项目2的主要内容。
项目教学框架如表1和表2所示。
表1 项目1教学框架
[[学习任务\&学习活动\&教学方法\&1.计算机系统进行安全备份和恢复
(4学时)\&1.1明确任务,制定计划,安排进度\&讲授、讨论\&1.2 学习备份原理和备份方法\&讲授\&1.3制定备份与恢复方案,选择、安装、配置备份工具软件\&任务实施\&1.4计算机系统安全备份与恢复检查,验收,提出改进建议\&师生交流\&2.计算机系统病毒的防范(8学时)\&2. 1明确任务,制定计划,安排进度\&讲授、讨论\&2. 2学习计算机病毒原理与常见病毒的分析\&讲授、实操\&2.3 U盘病毒与宏病毒的仿制与防范\&教、学、做一体\&2.4制定计算机病毒防范方案,选择、安装、配置、杀毒软件\&任务实施\&2.5计算机系统病毒防范方案的检查与验收,提出改进建议\&师生交流\&3.计算机访问控制与安全漏洞的修复(8学时)\&3.1明确任务,制定计划,安排进度\&讲授、讨论\&3.2用户帐户安全管理与文件系统的访问控制\&教、学、做一体\&3.3利用典型漏洞的攻击与漏的检查和修补\&实操\&3.4单机操作系统平台的安全方案制定与配置\&任务实施\&3.5 计算机访问控制与漏洞修复安全检查与验收,提出改进建议\&师生交流\&4.加密技术与信息安全
(10学时)\&4.1明确任务,制定计划,安排进度\&讲授、讨论\&4.2 常用加密算法介绍与典型解密原理和实现\&教、学、做一体\&4.3加密系统的安全性保障\&教、学、做一体\&4.4 安全加密方案的制定与实施\&任务实施\&4.5 安全加密方案的检查与验收,提出改进建议\&师生交流\&]]
表2 项目2教学框架
[[5.计算机网络的接入
(8学时)\&5.1明确任务,制定计划,安排进度\& 讲授、讨论\&5.2 学习计算机网络基本原理\&讲授\&5.3 学习配置计算机网络系统与压制双绞跳线\&教、学、做一体\&5.4 设计组建小型局域网\&教、学、做一体\&5.5小型局域网的检查与验收,提出改进建议\&师生交流\&6.计算机网络的扩展与互联(6学时)\&6. 1明确任务,制定计划,安排进度\&讲授、讨论\&6. 2学习计算机网络互连原理与计算机网络互连设备\&讲授、讨论\&6.3计算机网络设备的连接\&教、学、做一体\&6.4计算机网络互连方案的设计与实施\&任务实施\&6.5计算机网络互连方案的检查与验收,提出改进建议\&师生交流\&7.计算机网络在办公中的应用(8学时)\&7.1明确任务,制定计划,安排进度\&讲授、讨论\&7.2 互联网访问方法,浏览网页\&教、学、做一体\&7.3收发电子邮件,文件传输,即时通信应用\&教、学、做一体\&7.4使用网络提高办公效率\&任务实施\&7.5 任务验收、答辩,提出改进建议\&师生交流\&8.计算机网络的日常维护(8学时)\&8.1明确任务,制定计划,安排进度\&讲授、讨论\&8.2 学习网络测试命令和管理工具\&教、学、做一体\&8.3 测试网络系统,判断并修复网络故障,进行简单的网络管理\&实操、师生交流\&8.4 网络测试与故障排除检查与验收,提出改进建议\&师生交流\&]]
4 结束语
优化整合后的课程项目涵盖了局域网安全管理与维护的主要知识点和技能。通过课堂授课、任务实施,一方面激发了学生学习网络技术的兴趣和主动性,另一方面又训练了学生分析问题、解决问题的综合能力,起到了非常好的效果。
参考文献:
关键词:CDIO;产教融合;课程改革
1引言
2015年6月,为进一步推动国家安全战略实施,加强和加快网络空间安全领域的人才培养,教育部和国务院学位委员新增了一级学科“网络空间安全”。人才培养如何与国家和社会实际需求相接轨,已成为网络安全课程建设中的核心问题。特别是在高职教育中,学生在课程的知识基础、学习目标和能力上呈现层次型的特点,需要深入研究如何在课程的内容设置中更加重视培养学生在技能层面的实践操作能力、创造能力以及在素质层面的团队协作能力,探索并实践在CDIO工程理念下,产教融合式的网络安全防护课程的设计与改革[1]。
2CDIO工程教育模式
CDIO工程教育模式是由麻省理工学院和瑞典皇家工学院等四所高校针对目前工程教育中存在的实践教学脱离工程实际、学生缺乏自助学习能力等问题而提出来的。CDIO代表构思(Conceive)、设计(Design)、实施(Implement)以及运行(Operate)四个方面[2-3],以产品的基础构思到研发阶段,最后到产品的运行整个流程为载体,体现的是“做中学”的思想,也就是以目标、任务或项目为主导,将教、学、研融入工程环境中。CDIO工程教育模式在讲授知识点、培养学生专业技能的同时更加注重培养学生在此过程中遇到问题时采取的分析原因、解决问题的综合素质。并且,在以项目为基底的培养方式过程中,要求学生组建工程团队,在团队项目实施的过程中提升学生的表达交流以及协作能力,促进学生全方面的发展[4]。2005年,在李嘉诚基金会的邀请下,原加拿大工程院院士顾佩华教授在汕头大学进行了以CDIO工程模式为主的教育改革。鉴于我国工程教育的特色以及历史发展情况,汕头大学创造性地提出了以设计为向导,强调做人(道德、诚信、职业素质,即为EIP)重要性的EIP-CDIP培养模式,建立起“能力-知识-素质”一体化培养的课程体系和与之相配套的教学方法。大连东软信息学院作为CDIO国际合作组织正式成员高校,通过不断地尝试与设计,于2008年以CDIO工程模式为基础,创造性地建立了TOPCARES一体化人才培养模式,实现人才培养与产业需求的互补对接。现阶段,我国高校关于CDIO的改革还在不断地尝试、改进和推广[5]。
3产教融合现状
从“产学研”开始,为了实现产业和教学的紧密结合,进一步提高院校人才的培养质量,形成学校和企业浑然一体的办学模式,校企关系在合作中不断变化。2011年,“产教融合”这一概念正式出现在教育部等九部门印发的《关于加快发展面向农村的职业教育的意见》中。随后2017年《国务院办公厅关于深化产教融合的若干意见》的印发,在提供指导性意见和合作方式的基础上,确立了产教融合方式在高校办学过程中的重要地位。此后,在各省市的优质院校在建设中都大力推动产教融合项目的展开,强化校内的课程内容和标准、教学内容与行业标准相对接,推动校企合作的深入化、高效化和持续化开展,让职业教育深度参与到区域发展中去,从而探索出适合当地的差异化职业教育发展道路。如果将以工学结合为主的内容教学改革定义为产教融合的“点”。那么随着企业和学校合作的不断加深,职业人才持续地输送到当地产业时,将带动整个“面”的融合新阶段[6]。因此,高职院校应该更加重视自身产教融合顶层设计来适应这种关系以及模式的变化。
4产教融合改革方案
温州职业技术学院的信息安全与管理专业和奇安信集团、浙江安恒科技有限公司以及帝杰曼科技股份有限公司等校外安全企业长期开展校企协同育人合作。主要合作的方式包括有校企共建教学团队、共建专业课程体系、共同设计与实施项目化教学、共同制定以成果为导向的评价体系。在以上协同育人合作的基础上,各教学专业和企业之间进行了CDIO模式下产教融合式的人才培养方式的探索和实践,并在实际的人才培养过程中进行课程内容以及教学模式上的改革。传统意义上的CDIO教学模式,着重于设计专业体系的培养模式,以专业为核心,将在校所有的课程分割成不同等级的项目模块,往往忽略了单独课程中的核心知识点以及项目的设计。并且在整个教学培养过程中,无论是理论知识的传授还是项目的设计、实施都是以在校教师为实施主体,而教师在项目的设计方面往往过于注重知识点的全面,从而忽略项目的实际意义。针对于这些问题,在校企合作的过程中,尝试针对每门独立的课程由老师和企业工程师协同进行CDIO教学模式的重新设计。根据行业对人才的实际需求,对课程的知识目标和能力目标设计对应的一、二级项目,并且在此基础上采取课后竞赛以及社会实践作为三级项目,真正地实现以实际核心项目为驱动,打通课堂和实践的壁垒,让学生在“做中学”,有效地实施教学,完成能力的培养。《网络安全防护》作为信息安全和管理专业的必修课,是一门综合性的专业课程。其课程的知识目标是要求学生熟练掌握主机的网络安全加固,掌握网络攻击的主要原理以及手段等。课程涉及的基础知识包括有实用网络技术、Linux服务器管理、路由与交换技术以及Windows服务器管理等。该课程的改革尝试主要是将CDIO培养模式分成校内实施和校外实践两个阶段,现在就以这门课程为例进行介绍。
4.1校内实施阶段
传统的教学方式以知识点为核心进行教学。但在教学过程中往往存在知识点分散等问题,学生很难将所有知识点进行串联、融会贯通,容易出现知识孤岛的局面。因此,教师需要通过企业访学等手段,接触和参与到企业的实际项目,并将其与课堂的内容进行有机地结合和筛选,从中提炼出符合CDIO要求的一级核心项目。通过以该一级项目模式为教学中心,发散式地引入所需知识点,使学生在整个教学过程中完成整个项目的构思、设计、实现和运作。这样就可以让学生在完成项目的同时打通各个知识点在项目中的内在联系,从而掌握知识点,并且可以培养学生独立思考、搜集信息等额外能力。在校教师在完成一级项目中知识点的教学任务之后,将由企业工程师提供二级项目的方案并和在校教师共同完成该项目教学任务。在该阶段,项目的设计和考核方案均由企业工程师负责,但企业工程师往往擅长于技术以及疑难问题的解决,对于授课并不擅长,因此对项目的讲解和教学重任依然落在在校教师身上。那么在校教师就需要在课前熟悉企业项目,了解项目的做法个意义。对于《网络安全防护》这门课程,根据课程的知识目标和能力目标,设计该课程的核心知识点是要求学生掌握主机防火墙的配置。围绕该核心知识点,首先设计一个以企业网络防御外攻击的案例为一级项目,其他知识点如主机探测方式、协议攻击原理以及实现、日志技术、入侵检测技术的讲解都是围绕着该核心知识点进行展开,如图1所示。例如防火墙的配置讲解,必然是针对不同的供给以及主机漏洞危害来进行配置的,那么通过协议攻击原理以及实现的深入讲解,就可以让学生对配置内容有一个直观的感受,从而解决课程中知识孤岛和理论化教学的问题。
4.2校外实践
《网络安全防护》课程设置在第三学期。该阶段的学生在课堂中完成一、二级的项目实践后,已经具备安全专业的一些必备的理论基础和实践动手能力。因此,三级项目的设置将会根据学生的实际学习情况以及学生的意愿筛选部分学生来实施。该部分的主要项目内容为依托于各合作企业的社会实践和相关的安全类竞赛或者考取相关证书。三级项目的目的是将学生课堂中学到的知识点引入到实际工作的项目中。其中,学生的考核实践、项目安排将完全由企业负责,而在校教师仅仅提供后勤保障工作。
5结束语
本文针对CDIO模式下的产教融合式网络安全防护课程改革进行了探索。通过以CDIO一级项目模式为教学中心,发散式地引入所需要掌握的知识点,打通各个知识点在项目中的内在联系,并在二、三级项目中通过产教融合的方式,让企业真正参与到校内人才的培养中,让学生在“做中学”,从而掌握相关的知识点。此外,还可以培养学生独立思考、搜集信息等综合能力。
参考文献
[1]潘丽敏,罗森林,张笈,等.网络空间安全学科专业研究型教学框架及基础认知.信息安全研究,2018(3):261-269
[2]毛剑,刘建伟,尚涛,关振宇,等.基于OBE的“网络安全”课程闭环课堂教学方法探索与实践.工业和信息化教育,2019(4):42-47
[3]董玮,王世勇.基于TOPCARES-CDIO的专业人才培养方案之评估.高等工程教育研究,2017(04):169-173
[4]龚小勇,武春岭,唐继勇.信息安全技术专业“双平台、双核心、双情境”人才培养模式的创新与实践.中国职业技术教育,2014(29):5-10
关键词: 网络信息安全; 工作流导向; 任务式; 教材建设
中图分类号:G642 文献标志码:A 文章编号:1006-8228(2014)04-52-02
Abstract: The status of textbook construction of "network information security" course is analyzed. The necessity of practical training textbook construction based on workflow guidance is proposed. The "network information security" textbook is elaborated from aspects of guiding ideology, overall structure, content structure and characteristics. It is proved by practice that the construction and use of the new textbook can stimulate students' interest in learning knowledge of network security, enhance their practical ability, and effectively improve teaching quality and efficiency.
Key words: network and information security; workflow-oriented; task type; textbook construction
0 引言
现代社会,人们用计算机进行通信、存储数据、处理数据等。然而,人们所深深依赖的计算机网络正面临着很多潜在的安全威胁。网络信息安全问题在许多国家已经引起了普遍关注,成为当今网络技术的重要研究课题。社会需求的日益增长,使信息安全发展为一项世界性的新兴产业,信息安全在网络信息时代具有极其广阔的市场前景,政府机关、国家安全部门、银行、证券、金融、通信领域都需要这方面的人才。越来越多的高校开设该课程,以满足社会的需求[1]。
教材建设是高等学校建设的一项基本内容,高质量的教材是培养合格人才的基本保证。高等职业教育需要培养和造就适应生产、建设、管理,以及服务于第一线的高技术应用型人才。就优秀的高职高专教材而言,应该充分考虑学生的基本素养和认知水平,将知识、技能、素质三部分内容,通过潜移默化的手段,传递给学生,引起学生的学习热情与兴趣[2]。
1 教材建设的现状
“网络信息安全”课程起点高、难度大,理论性很强。市面上有关网络信息安全的书籍、教材也层出不穷,相关教材从不同的技术角度描述,所呈现内容偏差比较大。学生在学习时,普遍感到概念抽象,对其中的分析方法与基本理论不能很好地理解与掌握[3]。
1.1 教材缺乏针对性
目前普遍存在的一个问题是,有些高职院校使用的教材是直接借用普通高等教育院校的相近专业的教材,大多数教材的内容和知识体系非常庞杂,初学者往往产生畏难和厌倦心理,很多学生在学习了知识点以后仍然不知道如何动手练习,即使做了实验也不知道有什么用、如何应用到现实情况中,因此这些教材不适合高职院校的学生使用。
1.2 课程内容失衡
由于信息安全学科的内容杂,涉及的知识面广,编著者很难熟悉信息安全学科的所有研究方向,数据加密、防火墙、入侵检测、网络攻击、计算机病毒防范等技术几乎成为网络信息安全的全部。本校学习该门课程的学生是信息技术专业和安全防范专业,而非信息安全专业,市面所售教材大部分依赖于其他的信息安全专业课程,缺乏近年来发展迅速的新技术、新概念的介绍与实践,导致了现有“网络信息安全”教材在内容编排上普遍存在失衡的现象。
2 基于工作流导向的“网络信息安全”实训教材建设
“网络信息安全”是一门涉及计算机科学与技术、网络技术、通信工程、电子工程、密码技术、信息安全技术、应用数学、数论、信息论等多门类的综合性学科。广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。从防范的角度考虑,在影响计算机安全的诸多因素中,人的因素还是第一位的,因此所有计算机相关人员,包括用户、系统管理员以及超级管理员,都需要尽更大的努力去提高对计算机信息及网络安全的认识[1]。
为了让学生能够既掌握基本理论,又锻炼动手能力,我们亟需拥有理论与实践紧密结合的教材[3]。遵循教材编写的指导思想,笔者以多年形成的教学改革经验为基础,根据学生群体知识结构所发生的变化,摒弃了传统的篇章结构,编写了十个实用性强的知识单元,既保留了本课程经典的学习模块,也因循时展注入了新的学习内容。该教程已由暨南大学出版社出版,以下介绍该教材编写的指导思想、整体结构、内容组织思路及其特色。
2.1 指导思想
教学实践发现,以工作任务式的实训为主线开展“网络信息安全”教材建设,能够提高学生动手能力,进而更好地学习和认识该课程。教材建设的指导思想:明确该课程的能力要求,以培养学生在网络信息安全方面的理念、培养学生进行网络信息安全设置与保护的能力、应用各种信息安全产品的能力、对网络信息安全状况时的分析问题和解决问题的能力为目标,构建工作流可定义式的任务式实训教学为支撑的思路,编写教材时,将知识性、实用性、趣味性融于一体。教学中,采用“做中学”模式,面向应用、突出实践,让学生在解决问题的过程中学习,并给出实时的评价与反馈,实现一对一的实训教学效果。
2.2 设计原则和整体结构
笔者编写的网络信息安全教材将理论知识与实验指导整合成以工作流导向系统化。实训教材的编写分为十个有连接关系的单元,每个学习单元以多个任务作为引子,驱动学生根据实训说明的具体要求展开思考;每个任务有实训目的、预备知识、实训环境和多个实例,每个实例包括实训说明、实训步骤、扩展提示几个部分。
⑴ 实训之间融会贯通,具有连贯性。
⑵ 从“实训目的”开始,巧妙引入实例以增强学生综合感官,并阐明该实训能解决的问题。
⑶ 在“基本知识点”或“预备知识”部分,精心挑选了任务涉及的最基本、最重要的知识点,使用了尽量通俗的语言,使学生通过实训快速掌握这些知识。
⑷ “实训环境”部分,告诉学生完成该任务需要怎样的基础设施。
⑸ 学生可以根据“实训说明”,先进行实训操作训练,每个实训完成后,实训系统会立刻根据其完成情况给出考核成绩,如果得不到操作满分,可以观看视频,并能再次重复操作。现场打分的压力使得学生上课都比较认真,能够观看视频及其正确的讲解,激发了学生的学习兴趣。
⑹ “实训步骤”围绕基本知识点展开,让学生面向应用加以实践,清晰易懂,既有利于学生对于基本知识点的理解和掌握,又锻炼了学生的动手能力。
⑺ “实训提示”或“实训小结”,针对本实训的内容扩展,介绍了该实例的一些较为复杂、高级的知识,引导学生深入学习以解决可能遇到的实际问题,增强学生归纳总结能力,提高学生的知识技能和创新实践意识。
2.3 内容组织
⑴ 结构合理。本教材是为高职高专院校相关专业“网络信息安全”课程开发的,是以网络信息安全技术理论为基础,具有实践特色的新型教材,编排时尽量不依赖其他的信息安全专业课程,但也完整地展示该学科的知识体系,在教材内容组织上,采用了整体“自顶向下”,细节“自底向上”的方法,其知识结构通用合理。
⑵ 内容丰富。本教材在内容方面增加了计算机网络基础、信息安全数学基础知识,并侧重普及常用的信息安全技术和培养学生的信息安全意识。例如,结合生活中常用操作系统经常涉及到的网络安全方面的操作,通过“计算机网络信息安全实验室”环境下学习和熟悉网络信息安全技术知识的一系列实训、实例,以“网络安全”课程教学要求为依据,将各种常见的网络信息安全技术、管理基本方法、网络安全技术的特点和原理融入到实践当中,加强以应用能力培养为核心的实践教学,体现了精细化的教学设计、先进的实验教学方式、工作流可定义式的教学方法。
由于网络信息安全不仅是一个技术问题,也是一个社会问题和法律问题。所以,为了体现法律法规的关键性作用,在最后一个学习单元,通过引入案例来介绍相关的法律法规。
⑶ 取材先进。教材的内容从当前的网络信息安全现状出发,引入计算机网络及安全技术的发展趋势和新技术,介绍了主流网络信息安全技术和产品的特点。例如教材的学习单元四“公钥基础设施PKI”中,通过介绍各大城市常用的认证中心网站让学生了解并学会申请和使用个人数字证书;在学习单元七“入侵检测与网络攻击防御”中,通过实例阐述黑客网络攻击步骤、黑客技术方法真谛、黑客攻击的手段和工具,以及近年流行的网络抓包工具和扫描探测方法。
⑷ 有助于学生自我发展。教材主要是写给学生的,所以在编写时需要站在学生的角度来进行考虑。要使学生愿意看,并且使学生对该门课程越来越有兴趣,使得学生愿意跟着教材上的任务进行实践,从而在学习的过程中有所收获。所以本教材对传统的教学内容进行改造,引入工作流可定义机制,建立不同层次学生的教学学习曲线,从而激发他们的学习兴趣。
2.4 编写特色
2008年学院开始针对“网络信息安全”课程进行教学改革的实践,力求对该课程的教学方法和教学形式进一步的尝试与创新。我们在使用其他教材时通常删减或补充一些内容以配合这一发展与创新。在这一改革的过程中,教材作为教学的重要资源,成为课程建设的一个重点。笔者与同事组成编写队伍,结合实际教学的情况,结合本院专业特色,编写了“网络信息安全”教材,该教材经过试用和更新后出版,满足了信息技术专业和安全防范专业教学的要求。本书从实用性的角度出发,以通俗易懂的语言、全新的组织方式、大量翔实的实训任务[4],并以向导和插图的方式介绍了网络信息安全技术。每个学习单元针对各主要知识点给出了大量的任务,每个任务基于工作流导向,完成任务的思路清晰、步骤详细,有助于对基本理论、基本方法的理解。
3 结束语
课程改革总是推动着教材的建设,而教材建设又不断促进和保障课程改革,为课程改革服务。由于教材内容有全程配套的实例系统,使得基于工作流导向的任务式模式教学能够使学生轻松、高效地掌握所有知识技能,同时提高了学生利用信息安全技术工具分析问题、解决问题的意识和能力。从教学效果来看,教材对教学的促进效果相当明显,对学生而言,以往学生对教材中或是偏实例或是偏理论的看法,已经完全消除。学生在课堂教学中能够得到更多的实践操作与应用机会,其积极性与动手能力明显增强。这些不但减轻了教师的负担,还提高了教学质量,取得了教与学相互促动的效果。
参考文献:
[1] 李玲俐,陈晓明,陈丹.网络信息安全技术[M].暨南大学出版社,2012.
[2] 赵洁.高职高专优质教材建设的思考[J].中国职业技术教育,2013.17:72-75
关键词:实验教学;访问控制列表;流量控制;网络安全
中图分类号:TP309 文献标识码:A 文章编号:1009-3044(2016)27-0046-03
1 引言
网络时代的高速发展,对网络的安全性也越来越高,企业内部可能存在不同网段计算机访问许可不同,服务器拒绝收到某种服务信息流量等问题。通过配置路由器中访问控制列表,可以控制网络流量,按规则过滤数据报文,实现访问许可,并帮助企业内部网络制定相关策略,描述安全功能,反映流量的优先级,提高网络的安全性[1]。配置访问控制列表是《构建中小型企业网络》课程中重要内容,需要掌握路由器基本配置的基础知识。
Packet Tracer是思科的一款网络辅助学习软件,它可以模拟设计网络结构,配置网络仿真环境,排除网络故障,整个界面和网络环境真实再现。Packet Tracer解决了学校网络实验室内设备不足,减轻了教学负担的问题,有利于培养学生的网络学习兴趣[2]。
2 实验原理
IP访问控制列表是应用在路由器接口的指令列表,可分为标准IP访问控制列表和扩展IP访问控制列表。标准IP访问控制列表检查路由数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过[3]。
通过灵活地增加访问控制列表,达到过滤流入和流出路由器接口的数据包,限制网络流量,提高网络性能,起到网络访问的基本安全作用。
3 实验项目设计
3.1 实验目标
(1)理解标准IP访问控制列表的原理及功能;
(2)掌握命名的标准IP访问控制列表的配置方法;
(3)理解扩展IP访问控制列表的原理及功能;
(4)掌握编号的扩展IP访问控制列表的配置方法。
3.2 实验任务描述
某公司下设经理室、销售部、财务部,另外架设了公司的Web服务器,各部门分别属于不同的网段,具体见图1 网络拓扑图。考虑财务处存放有重要的账套信息,保证服务器安全,领导要求实现:
任务一 销售部不能访问财务部,但经理室可以访问财务部;
任务二.各部门主机只能访问服务器的WWW服务,不能对其使用ICMP服务。
3.3 实验设计
1)实验步骤分析
为实现任务目标,需要依次完成(1)在Packet Tracer仿真平台中搭建网络物理环境,考虑减少实验复杂性,这里仅选用了三台路由器、三台电脑、一台服务器;(2)给各个端口分配IP地址,其中IP规划设计如表1所示;(3)配置路由,保证PC之间、PC到服务器间网络畅通,仅畅通后才能实验允许或拒绝服务,测试网络连通性;(4)配置标准IP访问控制列表,实现任务一;(5)配置扩展IP访问控制列表,实现任务二;(6)测试实验结果。
2)实验关键指令
(1)路由配置指令
R1路由配置:
R1(config)#route ospf 1
R1 (config-router)#network 192.168.1.0 0.0.0.255 area 0
R1 (config-router)#network 192.168.2.0 0.0.0.255 area 0
R1 (config-router)#network 192.168.3.0 0.0.0.255 area 0
依次配置R2、R3,分别用PC2电脑ping PC3和Web服务器,测试网络整体连通性,并用WEB浏览器访问WEB服务器,测试结果如图2所示,显示网络畅通:
(2)配置标准IP访问控制列表命令
标准IP访问控制列表可以实现允许或拒绝来自某一网段完整协议,可以帮助我们实现PC1可以与PC3通信,但是不允许PC2与PC3通信。考虑PC1、PC2、PC3都要访问WEB服务器,只有在R2的F0/0端口宣告应用。关键命令如下:
R2(config)#Iip access-list standed SYZS //创建名称为SYZS的访问列表
R2(config-std-nacl)#permit 192.168.1.0 0.0.0.255 //允许192.168.1.0网段数据包通行
R2(config-std-nacl)#deny 192.168.2.0 0.0.0.255 //丢弃192.168.2.0网段数据包
R2(config-std-nacl)#permit any //允许其他网段数据包通行
R2(config-std-nacl)#exit
R2(config)#int f0/0
R2(config-if)#ip access-group SYZS out //访问列表应用于R2的F0/0端口
R2#show ip access-list
Standard IP access list SYZS
10 permit 192.168.1.0 0.0.0.255
20 deny 192.168.2.0 0.0.0.255
30 permit any
至此,完成标准IP访问控制列表的配置,经测试达到预期目标,测试结果如图3-4所示:
(3)配置扩展IP访问控制列表命令
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,它检查数据包的源地址和目标地址,允许或拒绝某个特定的协议,例如TCP协议。它可以帮助我们实现任务2中提到的各子网段可以使用www服务,访问WEB服务器,但是拒绝使用ICMP服务。根据访问控制列表的最靠近受控对象原则,将扩展IP访问控制列表应用在R2的S0/0/1端口,关键命令如下:
R2(config)#access-list 100 permit tcp host 192.168.1.0 0.0.0.255 192.168.6.2 eq www //允许192.168.1.0网段使用TCP协议访问192.168.6.2的WWW服务;
R2(config)#access-list 100 permit tcp host 192.168.2.0 0.0.0.255 192.168.6.2 eq www
R2(config)#access-list 100 permit tcp host 192.168.4.0 0.0.0.255 192.168.6.2 eq www
R2(config)#access-list 100 deny icmp any 192.168.6.2 0.0.0.0 echo
//拒绝所有网段使用ICMP协议访问192.168.6.2;
R2(config)#int s0/0/1
R2(config-if)#ip access-group 100 out //将ACL列表号为100的扩展访问列表应用到R2的S0/0/1端口;
至此,完成扩展IP访问控制列表的配置,经测试达到预期目标,测试结果如图5-6所示:
3)实验结果分析
从结果可以看出,标准IP访问控制列表仅检查源地址,允许和拒绝的是完整的协议;扩展IP访问控制列表检查源地址和目标地址,允许或拒绝的是某个特定的协议。配置访问列表的每一条语句就是一个规则,数据包发送后,逐条匹配,直到匹配到合适语句,执行语句的动作(允许或拒绝);如果没有找到匹配的规则,按照缺省规则执行[4]。
另外在实验中,允许或拒绝的都是整个网段,使用了反向子网掩码帮助实现,方向子网掩码中的0表示检查相应IP相应位,1表示不检查,从而可以通过反向子网掩码再对IP地址段进行细分,实现过滤指定部分网段数据功能。
3.4 实验总结
基于Packet Tracer仿真平台,配置访问控制列表的实验,能在教学中帮助同学们理解了标准IP访问控制列表和扩展IP访问控制列表的原理及其功能;通过任务驱动教学方法,帮助同学们掌握基本配置方法,加深理解路由器的网络管理功能。通过理论和实践结合提高了学生学习网络基础知识的积极性 。
4 技能拓展
本次实验中仅涉及标准IP访问控制列表配置、扩展IP访问控制列表配置,ACL访问控制列表还包含反向访问控制列表、基于时间的访问控制列表、基于名称的访问控制列表。综合配置访问控制列表,可以保护存放敏感数据的计算机,拒绝非法访问服务器,阻止病毒传播与攻击,控制网络流量,提高网络性能,限定上网时间等作用。
参考文献:
[1] Malik. 网络安全原理与实践[M].王宝生,朱培栋,白建军,译.北京:人民邮电出版社,2008.
[2] 刘静. 基于Packet Tracer的IP访问控制列表教学设计与实现的研究[J]. 科技创新与应用,2012(12):276.
购物车(0)