時間:2023-05-24 15:53:13
導語:在網絡安全教學設計的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
關鍵詞:高職;網絡與信息安全技術;操作系統;安全加固
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)23-0030-01
隨著互聯網用戶的增加,技術的發展,導致網絡不安全的因素越來越復雜,網絡面臨前所未有的安全威脅,社會對能快速解決網絡安全問題的人才需要增加。因此培養維護網絡與信息安全的人才成為了高職院校的大事件。本文針對網絡用戶如何防范最常見的網絡攻擊角度出發,為學生精心設計教學內容。
1 課程特點
學習網絡與信息安全課程,需要學生有一定的硬件平臺、軟件系統、TCP/IP協議等知識為基礎。本課程在高職教學中主要有如下一些突出特點。
1)內容豐富。網絡與信息安全技術課程內容包含:網絡與信息安全的基本概念,加密與解密技術,數字簽名和認證技術,神州數碼硬件防火墻及ISA server2006軟件防火墻技術,snort入侵檢測技術,端口掃描和嗅探技術,網絡流量監控及分析技術等,可見本課程內容豐富。
2)基礎課程要扎實。網絡與信息安全技術課程是計算機網絡技術專業的專業課,前面的基礎課程有:網絡基礎、windows系統操作系統、神州數碼交換機及路由器設備配置等,這些課程知識需要學生在學習本課程之前掌握。
3) 惡意攻擊方法層出不窮。隨著網絡與信息安全技術的廣泛應用,由于各種原因,網絡攻擊手段越來越復雜,與防范技術不斷較量。因此,網絡與信息安全課程教學內容也需要不斷地更新。
4)突出實用性。學習本課程的最終目的是能解決網絡與信息安全問題,它包含的實踐內容有:windows操作系統的安全加固、sniffer的使用、X-Scan掃描系統漏洞、用PGP加密軟件發送郵件、使用snort入侵檢測軟件對網絡進行實時監視、用ISA防火墻軟件設置網絡過濾規則等等。
2 網絡與信息安全技術課程教學設計與研究
本課程教學內容多,本文以windows server 2008操作系統加固為例,介紹本課程的教學過程。目前許多公司正在使用外置安全硬件的方式來加固它們的網絡。這意味著,它們使用防火墻和入侵保護系統在它們的網絡周圍建立起了一道銅墻鐵壁,保護它們自然免受互聯網上惡意攻擊者的入侵。但是,如果一個攻擊者能夠攻破的防線,從而獲得對內部網絡的訪問,這個時候就需要我們保護網絡當作的最后一道防線--windows server 2008操作系統加固。
1) 教學目標設計
目前各大公司和企業單位主流服務器都是安全了windows server 2008操作系統,如何加固它,保護內部數據不被竊取或者破壞,成為了我們教學最重要的目標。
2) 教學內容設計
①系統的安全加固:我們通過配置目錄權限,系統安全策略,協議棧加強,系統服務和訪問控制加固操作系統,整體提高服務器的安全性。
②IIS手工加固:手工加固IIS可以有效地提高web站點的安全器安全加固,合理分配用戶權限,配置相應的安全策略,有效地防止IIS用戶溢出提權。
③系統應用程序加固,提供應用程序的安全性,例如SQL的安全配置以及服務器應用軟件的安全加固。
3) 教學操作實踐
實踐環境是一個局域網機房,所有主機互聯。假定你是某公司的系統管理員,負責服務器(受保護服務器IP、管理員賬號)的維護,該服務器可能存在著各種問題和漏洞。給學生1個小時的時間對服務器進行加固,加固后將會有很多黑客對這臺服務器進行猛烈地攻擊,學生進入分組對抗環節。
在這個分組對抗的環節里,各位學生需要繼續保護服務器免受各類黑客的攻擊,可以繼續加固服務器,也可以選擇攻擊其他組的保護服務器。如果某個學生的服務器攻擊后死機那么實踐結束。
4) 考核方式的設計。
本課程安排形成性考核包括了學生的期末筆試部分、出勤、平時表現占50%,而每次課的實踐環節占50%,突出動手實踐操作。動手解決實際問題才能真正反映學生的真實工作技能。
3 結束語
本課程是計算機網絡技術專業的專業核心課程,課程內容多且復雜。本文提出了以為windows server 2008操作系統安全加固為例,介紹了本課程的教學目標、內容、實踐環節的設計,突出學以致用的原則,注重培養學生網絡安全防范的能力。
參考文獻:
[1] 王海洲.計算機網絡技術實驗課程教學改革[J].中國信息技術教育,2013(9).
[2] 包歡歡.高校信息網絡與信息安全課程教學淺談[J].亞太教育,2015(2).
>> 網絡安全課程實驗教學設計與實踐 網絡安全實驗教學探索 網絡強國戰略下的新型網絡安全實驗教學模式探索 計算機網絡安全課程實驗教學探索 計算機網絡安全課程實驗教學研究與實踐 基于虛擬機的網絡安全課程實驗教學研究與應用 基于計算機網絡安全實驗教學改革的探討 網絡安全技術實驗教學研究 基于結對實驗的任務驅動型網絡安全教學探討 《網絡安全》課程教學模式改革初探 網絡安全課程教學研究與探討 探究型實驗教學模式的應用 高職高專《網絡安全》實驗教學工程化方案 基于虛擬環境的網絡安全實驗教學探索 差異性的網絡安全實驗教學方法研究 微課在網絡安全實驗教學中的應用研究 GNS3在網絡安全實驗教學中的應用 “網絡技術基礎”課程實驗教學探討 初中化學探究式實驗教學模式探討 道路建筑材料課程實驗教學模式探討 常見問題解答 當前所在位置:;第五,打開該主頁,輸入用戶名和密碼;第六,在index.htm的目錄下創建文件夾并刷新;第七,在主頁文件夾下刪除創立的文件夾,直至看不到目錄;第八,用smtp服務器發送郵件,實驗成功[4]。
計算機網絡安全實驗課程的本質,是對計算機的軟件和硬件技術通過網絡空間進行攻防對抗,兩者可以從多角度來看待。所以,在網絡安全課程的實驗教學模式的探究中,為了達到網絡安全課程實驗教學的最大效果,必須推進實驗教學平臺的網絡攻防實驗進程。教師要注意對實驗教學模式的難易程度做合理的規劃,比如,可以將遠程機管理員權限的獲取,進行簡單的分層:“簡單――一般――困難”。
使學生遞進式地理解實驗教學的內容。針對學習水平有差異的同學,設計符合當前階段難度的實驗題目,使進行“獲取遠程機的權限”學生在實驗教學中,獲得寶貴的操作經驗。同時,教師還要拓寬學生在網絡實驗教學中的實驗渠道。比如,可以讓學生在校園網、無線網安全問題上做攻防實驗,來培養學生在探究實驗教學模式時,解決實際問題的能力。
3.探究試驗方法,在實踐中激發興趣。學生通過實驗教學平臺,掌握不同計算機管理員權限獲取的攻防技術,教師可以與學生互相交流,分享計算機管理員權限獲取的最新科研成果,引導學生對計算機網絡安全問題的關注,誘導學生積極參與遠程機權限獲取的攻防實驗,使學生了解計算機技術的發展,有利于培養學生對實驗教學的興趣,也有利于綜合開發學生的創新思維能力。
教師實行靈活分配團體的實驗教學方法。在網絡安全課程探究型實驗教學模式里,可以將實驗教學模式分成各個團體來進行試驗,在進行實驗教學實驗時,各個小團體互相比賽,爭奪團體之間的榮譽,在競爭中求發展。這種分配方式,可以更好地培養學生之間的協作能力和對抗能力,推動建立以學生為主體的學習機制,營造出高效的學習氛圍。計算機技術日新月異的發展,傳統的教師授課,不能有效地鍛煉學生的實踐操作能力,運用網絡安全實驗教學模式,使教師在結合理論的基礎上,由淺入深地總結實踐經驗,從而推動網絡安全進程的發展。
結束語:
在網絡安全課程探究型實驗教學中,實驗教學平臺在實際中的應用表現出性能穩定、運行良好的特點。實驗平臺為傳播網絡安全課程的教學策略,提供了巨大的幫助。筆者希望更多的專業人士能投入到該課題研究中,針對文中存在的不足,提出指正建議,為提高我國網絡安全課程探究型實驗教學工作做出重要貢獻。
參考文獻:
[1]尚濤,劉建偉.網絡安全課程探究型實驗教學模式構建[J].工業和信息化教育,2015,(05):6-9+5.
[2]郭喜春.高校計算機程序設計類課程實驗教學模式研究[D].內蒙古師范大學,2011.
計算機網絡安全是計算機網絡專業的核心骨干課程,現有課程體系及教學實施過程中存在的問題是理論教學內容偏多。網絡安全是涉及計算機科學技術、網絡技術、信息技術、數字密碼技術等多學科的綜合性學科。從事該課程的教師也因為實驗室攻防條件限制、實訓環境設置簡單等問題,不能很好引導學生理解該課程,為該課程的教學實施打了折扣。
該課程的考核方式與評價體系相同于傳統課程,偏重于理論考核,大多是閉卷筆試。難以做綜合能力與創新能力的評價,學生為了應付考試,把主要精力放在了死記硬背課本和課后習題上。這樣的考試不利于學生對知識的全面掌握,不能全面反映學生對課程的實際掌握情況,更難于衡量學生對知識的運用能力和實際動手能力,還容易出現抄襲、作弊等違紀現象,由于實驗環境的不穩定性,在實踐考核環境中也存在操作困難的情況,這些情況不利于教學水平的提高,更不能充分發揮考試的導向和人才培養的指導作用。
2、內容改革,教材先行
由于網絡安全技術的快速發展,要求《計算機網絡安全》教程必須緊跟科學技術前沿,因此教學內容改革勢在必行,必須脫離傳統的文字教材范疇,在文字教材的基礎上增加多媒體教學資源和網絡課程作業。
(1)文字教材。文字教材是教學的基本依據,對學生知識的學習有先導的作用。一本好的教材如同一位好的導師,應當以學生的認知規律為主線,以項目任務單元構建學習章節,階段性的安排學習內容,打破傳統教學教材,讓學生可以深入淺出的了解網絡安全的知識,形成良好的學習習慣。
(2)網絡課程作業。適量的作業練習是必須的,可以拓展學生的學習思路,更加牢固的掌握所學知識。利用網絡多媒體技術制作網絡課程作業,學生采用網上答題等方式,結合郵件方式,可以快速實現作業的批改。
因此,教學資源、教學內容的改革不再局限于文字教材而是涉及多媒體教材、網絡課程在內的多種教學內容改革方式。
3、方法創新,項目驅動
網絡安全課程是一門實踐性很強的課程,只有通過應用才能掌握知識。在具體學習過程中,引入項目驅動的教學方法,根據課程的性質、特點、學習對象、教學目標、教學大綱、教學內容、多媒體輔助方式等方法進行多種方法的教學。
(1)“項目驅動”教學法。“項目驅動”教學方法的核心是教師在精心為教學設計的項目下,通過自主學習、協作學習、討論學習、探究學習等方式來完成任務在探究解決問題的途徑中,學生既學到了知識,又培養了能力,更重要的是提高了學生的探索創新精神、動手實踐能力和與人合作能力。在完成項目的過程中,學生始終處于主動的主題地位,教師是學生學習的組織者、服務者和導航者。
(2)多教學方法交叉使用。使學生由接受者轉變為主動參與者,在發揮教師主導作用的同時,充分發揮學生的主體作用。引導學生去思考、去探索、去發現,鼓勵學生大膽提出問題。使學生在實驗室主動進行實驗學習、在實驗室以外也能自主學習。本課程必須在多媒體網絡教室上課,把集中輔導和上機實驗合二為一。
(3)“項目協作”教學法。該教學方法依據學生的能力、知識儲備等相關因素,將學生以小組的形式進行教學。小組成員通過相互合作,進行網絡的模擬攻擊,而另外的成員則進行防御。通過小組之間的互動、分析討論,從而引申不同的思考方向,同時結合校企項目,教學中安排學生社會調查內容,采取組織或者自由形式參觀一些較大規模的網絡環境和安全項目,進而構建出個人對于學習內容的系統知識。
4、模式探討,講演教學
對于學生來說,學習的目的在于掌握一定的技能。網絡安全課程內容多,各個內容之間沒有聯系少,學生學習時往往感覺學習困難,因此,在教學時可以改變傳統的逐章教學的方法,設計網絡安全的框架結構,在教學中逐步將這個框架清晰化,具體化。構建一種以學生為主體、以教師為主導、以網絡安全框架內容為主線的基于實際項目的教學模式。該模式旨在探索出適合高職學生學習《計算機網絡安全》的“講演”教學模式,以便更好地培養學生的創新意識、創新精神、創新能力和計算機網絡安全防護應用技能解決具體實踐問題的能力。
整個教學模式中教師總是起到導學的作用,教師的作用就是盡量激發學生對本課程的學習興趣,提出問題、并解決問題。該課程教學模式的學生引導過程如下:
(1)激發學生的興趣。興趣是最好的老師,學生在學習活動中,對自己感興趣的現象,總是主動、積極地去探究。根據教材內容的引導案例,結合校企項目,引導學生探討網絡安全問題,讓學生有參與的機會,談談他們對網絡安全知識的認識,然后和他們交流,并介紹該部分教學內容的安排,這樣既拉近了師生距離,同時也便于掌握學生情況,給學生的學習增加了興趣和動力。
(2)創設網絡安全背景。網絡安全背景創設必須有利于學習者對所學內容的意義上構建的。網絡安全課程雖然都是圍繞網絡在進行介紹,但是課程內容具有很大獨立性,不像很多課程的搭積木特點。這種課程一方面具有個別內容學習耽誤不影響后續學習的優點,也帶來學生覺得知識太散,不容易歸納掌握的缺點。因此作為教師結合網絡安全知識總結教材體系是重要工作,整個教材的內容實際上可以按網絡安全框架進行展開。教學中直接給學生一個框架,因此需要在教學中設計一些網絡環境的背景,涉及有針對性的安全問題,變成學生腦海的直觀印象。
(3)提出問題。在教學過程中除了要創設背景、激發學生的學習興趣外,最重要的是要培養學生的分析問題和解決問題的能力,利用各種方法選擇出與當前學習主題密切相關的真實性事件作為學習的中心內容,讓他們課后搜集資料、尋找答案,促進他們的學習興趣。
(4)項目協作。為使學生的知識體系更為合理,教師應盡可能組織學生協作學習,并對學習過程加以引導,使之向有利于知識建構的方向發展。合理安排網絡攻防實驗課,使學生自發分組進行對抗。這些項目主要有:網絡安全研究性調查、小型企業網絡機房安全規劃、紅藍網絡攻防對抗、網絡實時安全管理模擬等,以加深學生對所學內容的理解。
關鍵詞:仿真;網絡安全;密碼;VLAN
中圖分類號:TP391.9
《計算機網絡安全管理》是一門理論性和實踐性很強的基礎課程,本課程在本院是面向高職學生開設的必選課,課程理論與實踐緊密結合,實用性強,目的在于使學生掌握計算機網絡安全的基礎知識、TCP/IP協議基礎,能對網絡入侵進行初步分析,掌握網絡入侵工具的分類、網絡安全的策略、防范措施及網絡設備安全知識,了解常用的一些密碼技術,如何利用現代教學軟件來體現網絡教學的實踐環節,在有效的時間展示網絡安全管理豐富的技術技能,作為現代教學需要利用好工具。本文就計算機網絡安全管理中的仿真逐一進行總結分析,采用思科Cisco模擬器6.0版本,運行操作系統Windows XP或Windows 2000。
情景一密碼設置和恢復:Cisco提供了5個口令可以來保護Cisco路由器,分別是:使能口令、使能加密口令、控制臺口令(Console)、遠程登陸口令(VTY)和輔助口令(AUX)。這里我們介紹前面4個口令設置:
1 使能口令
進入全局配置模式 Router#configure terminal
設置使能口令 Router(config)#enable password cisco //口令設置成功!
2 使能加密口令
進入全局配置模式 Router#configure terminal
設置使能加密口令 Router(config)#enable secret cisco
使能加密口令設置成功!
3 控制臺口令(Console)
進入全局配置模式 Router#configure terminal
進入console口配置模式 Router(config)#line console 0
進行console口密碼設置 Router(config-line)#password consolekey
使其口令生效 Router(config-line)#login //控制臺口令設置成功
4 遠程登陸口令(VTY)
進入全局配置模式 Router#configure terminal
進入console口配置模式 Router(config)#line vty 0 15
進行console口密碼設置 Router(config-line)#password vtykey
使其口令生效 Router(config-line)#login //遠程登陸設置成功
設置好密碼,網絡中就多了一道屏障,但當密碼丟失遺忘,要進行密碼恢復。如圖1所示。
步驟1:設置密碼
特意設置一個不容易記住的密碼,如Router(config-if)#enable password 2q3qeqew
重新登陸后如果遺忘輸入其他密碼,登陸將出現Bad secrets的錯誤提示(見下圖)
步驟2:路由器密碼恢復(破解原有密碼)
關閉路由器電源并重新開機,當控制臺出現啟動過程按下ctrl+break,進入rommon模式
首先改變配置寄存器的值為0x2142,這會使得路由器開機時不讀取NVRAM 中的配置文件,然后敲reset重啟路由器,退出setup 模式,敲no重新進入。如圖2所示。
Router#write //先將配置寫入內存
屏幕提示:Building configuration...
[OK] //配置文件保存成功
Router#copy startup-config running-config//把配置文件從NVRAM 中拷貝到RAM 中,在此基礎上修改密碼。-屏幕提示:Destination filename [running-config]?
489 bytes copied in 0.416 secs (1175 bytes/sec)
最后在進入配置模式,將密碼更改為自己熟悉的密碼,如cisco
Router(config)#enable password cisco //密碼將更換為最新的密碼cisco
Router(config)#config-register 0x2102 //將寄存器數值改回0x2102
Router(config-if)#interface FastEthernet0/0
Router(config-if)#no shutdown
Router #reload //保存配置,重啟路由器,保存前,需要把各個接口一一打開。
情景二VLAN隔離局域網:在企業內部,共享資源的同時有些部門數據禁止其他部門訪問,這時候除了設置密碼保護,關閉不需要的共享,還可以進行VLAN劃分局域網,來進行網絡安全管理。劃分VLAN之前,兩臺路由器可以相互訪問。如圖3所示。
Switch# vlan 2 name VLAN2
VLAN 2 added:
Name: VLAN2
Switch(vlan)#vlan 3 name VLAN3
VLAN 3 added:
Name: VLAN3//以上創建vlan,2是vlan的編號,范圍為1~1001
Switch(config)#int f0/1
Switch(config-if)#switch
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 2
Switch(config-if)#int f0/2
Switch(config-if)#switch mode access
Switch(config-if)#switch access vlan 3
此時在ping測試,出現不通的符號,這樣就實現了利用vlan隔離的作用。如圖4所示。
以上可以看出在網絡教學過程中利用仿真軟件直觀生動,學生有興趣學,老師也方便指導。后續將不斷探索和實踐,使其在教學過程中充分發揮作用。
參考文獻:
[1]李杰陽.淺析計算機網絡實訓課題的設計及使用[J].科技信息,2011,20.
[2]潘江波,鄧建高.仿真軟件在計算機網絡教學中的應用[J].實驗技術與管理,2011,07.
>> 基于Simulink/MEX編程的MATLAB仿真教學動畫演示 傳輸控制協議(tcp)原理的動畫演示 網絡協議演示系統設計 基于案例的動畫教學實踐探究 基于Flas演示的《數據結構》在線開放教學資源建設與共享研究 網絡安全協議的綜合教學實踐研究 基于PPT技術的物理實驗演示動畫的創設 基于遞歸算法的Hanoi Tower動畫演示系統 基于任務驅動的網絡協議分析與應用教學 網絡動畫仿真演示實現分析 基于項目學習的《Flas制作》教學實踐 基于UDP 協議的Socket網絡編程 基于ActionScript實現順序隊列動畫演示 基于Ethereal的網絡協議分析在網絡課程教學中的應用 基于新課程背景的初中物理演示實驗教學的實踐研究 基于“學為中心”的科學演示實驗教學優化實踐 基于簡單網絡管理協議的網絡拓撲發現算法 網絡安全協議課程的實踐教學設計分析 基于網絡的新一代演示工具 基于協議分析的《計算機網絡》課程教學方法的研究 常見問題解答 當前所在位置:l.
[2] 吳功宜. 計算機網絡[M]. 北京:清華大學出版社,2007:6-7.
[3] 趙小明. 計算機網絡實驗教程[M]. 北京:科學出版社,2006:13-14.
[4] Douglas E. Comer. 用TCP/IP進行網際互聯(第一卷)[M]. 北京:電子工業出版社,2003:53-54.
[5] 曾華. 現代網絡通信技術[M]. 成都:西南交通大學出版社,2004:482-483.
[6] 潘文嬋,章韻. Wireshark在TCP/IP網絡協議教學中的應用[J]. 計算機教育,2010,3(6):158-160.
Teaching Practice of Network Protocol Based on Animation
GUO Wenping1, ZHOU Yan2,3, CHEN Ying1, ZHAO Xiaoming1
(1.School of Mathematics and Information Engineering, Taizhou University, Linhai 317000, China; puter Center, East China Normal University, Shanghai 200062, China; 3.Engineering College, Tibet University, Lhasa 850000, China)
Abstract: Network protocol is the soul and masterstroke of Computer Network and related courses, which is one of the important and difficult issues in teaching computer network. This paper analyzes the current situation of Computer Network teaching and points out existing problems. On the basis of it, it presents a new teaching mode on Computer Network based on animation. A teaching example is shown finally.
關鍵詞: 課程設計; 項目教學; 任務驅動; 一體化
中圖分類號:G712.4 文獻標志碼:A 文章編號:1006-8228(2012)05-55-02
LAN security and maintenance the integration of curriculum design
Chen Chunyan
(Beijing Information Technology College, Beijing 100018, China)
Abstract: Due to its particularity, institutions of high vocational education must focus on the actual request in actual working process. Through systematic setup of curriculum, teaching is organized according to real situation. Under the guidance of the authors' educational philosophy, an integrated teaching method in the "LAN security management and maintenance" course is introduced in this paper. The teaching resources of college should get reintegrated according to the requirement of vocational education, and the curriculum should be designed based on project and tasks.
Key words: curriculum design; project teaching; task-driven; integration
0 引言
高等職業教育的特殊性決定了高等職業院校必須緊緊抓住實際工作崗位的工作過程需要,通過系統化的課程設置,以行動為導向進行課程教學組織[1]。在這一教育理念的指引下,我們課程小組在局域網安全管理與維護課程的教學中采用一體化教學方法,根據職業教育的要求重新整合教學資源,以項目為依托,以任務驅動為導向,運用一體化的模式進行了課程教學設計。
1 課程總體設計方案
本課程小組經過企業調研,招開實踐專家研討會等多種途徑,確定了計算機網絡技術專業核心職業能力。局域網安全管理與維護是計算機網絡技術專業的一門專業核心課程,以培養學生“用戶終端設備的安裝與調試”和初步的“網絡安全管理與維護”采用核心職業能力。該課程的目的是使學生了解計算機網絡基本原理與框架結構,了解信息安全的基本理論,能夠正確合理使用計算機網絡,安全使用計算機信息系統,培養學生具備小型企業局域網絡安全管理與維護所需要的基本知識和能力,以及計算機網絡應用和信息安全核心職業能力。整個課程采用模塊化教學體系,以教、學、做為核心開展一體化教學,將教學項目貫穿整個教學過程,每個項目設有多個教學任務。
以教、學、做為核心開展的一體化教學,體現了由“職業分析”到“課程定位”的縱向一體化,以及從“項目導向”到“任務驅動”的橫向一體化。如圖1所示。
[職業分析] [教] [學] [做] [課程定位][項目導向
項目1
項目2][任務驅動
任務1
任務2
任務3
…]
圖1 模塊化教學體系
2 能力目標的確定
我們為局域網安全管理與維護課程設計了兩個教學項目――計算機信息系統的安全管理和小型計算機網絡的組建與維護,目的是使學生了解計算機網絡基本原理與框架結構,了解信息安全的基本理論,能夠正確合理使用計算機網絡,安全使用計算機信息系統,培養學生具備小型企業局域網絡安全管理與維護所需要的基本知識和能力,獲得計算機網絡應用和信息安全核心職業能力,同時也為后續專業課程打下良好的知識基礎。
具體的能力培養目標如下:
⑴ 能對計算機系統進行安全備份和恢復;
⑵ 能合理選擇、安裝、配置、使用防病毒軟件;
⑶ 能對系統進行訪問控制,同時能修補各種安全漏洞;
⑷ 能采用加密技術保證信息安全;
⑸ 能把計算機正確連入計算機網絡;
⑹ 能將幾個局域網加以相互連接;
⑺ 能通過網絡提高辦公效率;
⑻ 能對小型局域網進行日常維護。
3 教學內容的設計
局域網安全管理與維護是集知識和技能于一體、實踐性很強的課程,要求學生既要學好理論知識,又要有較強的實踐能力,同時計算機網絡技術發展迅速,需要培養學生具有自主學習新知識的能力。本課程從“項目導向”到“任務驅動”的“一體化”教學模式符合本課程實踐性強的教學要求。“一體化”教學設計把教學內容設計成一個或多個具體的任務,讓學生通過完成一個個具體的任務,掌握教學內容,達到教學目標[2]。本課程的教學中,我們以兩個具體的項目為依托,共設計了8個具體的子任務,以培養學生對企業局域網及計算機信息安全系統的管理能力。教學內容設計如圖2所示。
[項目][計算機系統的主機安全防護][小型計算機網絡的組建與運維][子任務][計算機系統的信息備份與恢復][計算機系統病毒的防護][計算機訪問控制欲安全漏洞修復][加密計算機數據安全][計算機網絡的接入][局域網互聯][計算機網絡在辦公室的應用][計算機網絡的日常維護]
圖2 教學內容設計
項目1是計算機信息系統的安全管理,即局域網中主機系統的安全管理。保證主機安全是局域網安全中的重要內容。在主機安全的基礎上,如何組建小型辦公網絡,通過辦公網絡提高辦公效率,同時能夠有效的管理小型辦公網絡,進行網絡故障的診斷與排除是項目2的主要內容。
項目教學框架如表1和表2所示。
表1 項目1教學框架
[[學習任務\&學習活動\&教學方法\&1.計算機系統進行安全備份和恢復
(4學時)\&1.1明確任務,制定計劃,安排進度\&講授、討論\&1.2 學習備份原理和備份方法\&講授\&1.3制定備份與恢復方案,選擇、安裝、配置備份工具軟件\&任務實施\&1.4計算機系統安全備份與恢復檢查,驗收,提出改進建議\&師生交流\&2.計算機系統病毒的防范(8學時)\&2. 1明確任務,制定計劃,安排進度\&講授、討論\&2. 2學習計算機病毒原理與常見病毒的分析\&講授、實操\&2.3 U盤病毒與宏病毒的仿制與防范\&教、學、做一體\&2.4制定計算機病毒防范方案,選擇、安裝、配置、殺毒軟件\&任務實施\&2.5計算機系統病毒防范方案的檢查與驗收,提出改進建議\&師生交流\&3.計算機訪問控制與安全漏洞的修復(8學時)\&3.1明確任務,制定計劃,安排進度\&講授、討論\&3.2用戶帳戶安全管理與文件系統的訪問控制\&教、學、做一體\&3.3利用典型漏洞的攻擊與漏的檢查和修補\&實操\&3.4單機操作系統平臺的安全方案制定與配置\&任務實施\&3.5 計算機訪問控制與漏洞修復安全檢查與驗收,提出改進建議\&師生交流\&4.加密技術與信息安全
(10學時)\&4.1明確任務,制定計劃,安排進度\&講授、討論\&4.2 常用加密算法介紹與典型解密原理和實現\&教、學、做一體\&4.3加密系統的安全性保障\&教、學、做一體\&4.4 安全加密方案的制定與實施\&任務實施\&4.5 安全加密方案的檢查與驗收,提出改進建議\&師生交流\&]]
表2 項目2教學框架
[[5.計算機網絡的接入
(8學時)\&5.1明確任務,制定計劃,安排進度\& 講授、討論\&5.2 學習計算機網絡基本原理\&講授\&5.3 學習配置計算機網絡系統與壓制雙絞跳線\&教、學、做一體\&5.4 設計組建小型局域網\&教、學、做一體\&5.5小型局域網的檢查與驗收,提出改進建議\&師生交流\&6.計算機網絡的擴展與互聯(6學時)\&6. 1明確任務,制定計劃,安排進度\&講授、討論\&6. 2學習計算機網絡互連原理與計算機網絡互連設備\&講授、討論\&6.3計算機網絡設備的連接\&教、學、做一體\&6.4計算機網絡互連方案的設計與實施\&任務實施\&6.5計算機網絡互連方案的檢查與驗收,提出改進建議\&師生交流\&7.計算機網絡在辦公中的應用(8學時)\&7.1明確任務,制定計劃,安排進度\&講授、討論\&7.2 互聯網訪問方法,瀏覽網頁\&教、學、做一體\&7.3收發電子郵件,文件傳輸,即時通信應用\&教、學、做一體\&7.4使用網絡提高辦公效率\&任務實施\&7.5 任務驗收、答辯,提出改進建議\&師生交流\&8.計算機網絡的日常維護(8學時)\&8.1明確任務,制定計劃,安排進度\&講授、討論\&8.2 學習網絡測試命令和管理工具\&教、學、做一體\&8.3 測試網絡系統,判斷并修復網絡故障,進行簡單的網絡管理\&實操、師生交流\&8.4 網絡測試與故障排除檢查與驗收,提出改進建議\&師生交流\&]]
4 結束語
優化整合后的課程項目涵蓋了局域網安全管理與維護的主要知識點和技能。通過課堂授課、任務實施,一方面激發了學生學習網絡技術的興趣和主動性,另一方面又訓練了學生分析問題、解決問題的綜合能力,起到了非常好的效果。
參考文獻:
關鍵詞:CDIO;產教融合;課程改革
1引言
2015年6月,為進一步推動國家安全戰略實施,加強和加快網絡空間安全領域的人才培養,教育部和國務院學位委員新增了一級學科“網絡空間安全”。人才培養如何與國家和社會實際需求相接軌,已成為網絡安全課程建設中的核心問題。特別是在高職教育中,學生在課程的知識基礎、學習目標和能力上呈現層次型的特點,需要深入研究如何在課程的內容設置中更加重視培養學生在技能層面的實踐操作能力、創造能力以及在素質層面的團隊協作能力,探索并實踐在CDIO工程理念下,產教融合式的網絡安全防護課程的設計與改革[1]。
2CDIO工程教育模式
CDIO工程教育模式是由麻省理工學院和瑞典皇家工學院等四所高校針對目前工程教育中存在的實踐教學脫離工程實際、學生缺乏自助學習能力等問題而提出來的。CDIO代表構思(Conceive)、設計(Design)、實施(Implement)以及運行(Operate)四個方面[2-3],以產品的基礎構思到研發階段,最后到產品的運行整個流程為載體,體現的是“做中學”的思想,也就是以目標、任務或項目為主導,將教、學、研融入工程環境中。CDIO工程教育模式在講授知識點、培養學生專業技能的同時更加注重培養學生在此過程中遇到問題時采取的分析原因、解決問題的綜合素質。并且,在以項目為基底的培養方式過程中,要求學生組建工程團隊,在團隊項目實施的過程中提升學生的表達交流以及協作能力,促進學生全方面的發展[4]。2005年,在李嘉誠基金會的邀請下,原加拿大工程院院士顧佩華教授在汕頭大學進行了以CDIO工程模式為主的教育改革。鑒于我國工程教育的特色以及歷史發展情況,汕頭大學創造性地提出了以設計為向導,強調做人(道德、誠信、職業素質,即為EIP)重要性的EIP-CDIP培養模式,建立起“能力-知識-素質”一體化培養的課程體系和與之相配套的教學方法。大連東軟信息學院作為CDIO國際合作組織正式成員高校,通過不斷地嘗試與設計,于2008年以CDIO工程模式為基礎,創造性地建立了TOPCARES一體化人才培養模式,實現人才培養與產業需求的互補對接。現階段,我國高校關于CDIO的改革還在不斷地嘗試、改進和推廣[5]。
3產教融合現狀
從“產學研”開始,為了實現產業和教學的緊密結合,進一步提高院校人才的培養質量,形成學校和企業渾然一體的辦學模式,校企關系在合作中不斷變化。2011年,“產教融合”這一概念正式出現在教育部等九部門印發的《關于加快發展面向農村的職業教育的意見》中。隨后2017年《國務院辦公廳關于深化產教融合的若干意見》的印發,在提供指導性意見和合作方式的基礎上,確立了產教融合方式在高校辦學過程中的重要地位。此后,在各省市的優質院校在建設中都大力推動產教融合項目的展開,強化校內的課程內容和標準、教學內容與行業標準相對接,推動校企合作的深入化、高效化和持續化開展,讓職業教育深度參與到區域發展中去,從而探索出適合當地的差異化職業教育發展道路。如果將以工學結合為主的內容教學改革定義為產教融合的“點”。那么隨著企業和學校合作的不斷加深,職業人才持續地輸送到當地產業時,將帶動整個“面”的融合新階段[6]。因此,高職院校應該更加重視自身產教融合頂層設計來適應這種關系以及模式的變化。
4產教融合改革方案
溫州職業技術學院的信息安全與管理專業和奇安信集團、浙江安恒科技有限公司以及帝杰曼科技股份有限公司等校外安全企業長期開展校企協同育人合作。主要合作的方式包括有校企共建教學團隊、共建專業課程體系、共同設計與實施項目化教學、共同制定以成果為導向的評價體系。在以上協同育人合作的基礎上,各教學專業和企業之間進行了CDIO模式下產教融合式的人才培養方式的探索和實踐,并在實際的人才培養過程中進行課程內容以及教學模式上的改革。傳統意義上的CDIO教學模式,著重于設計專業體系的培養模式,以專業為核心,將在校所有的課程分割成不同等級的項目模塊,往往忽略了單獨課程中的核心知識點以及項目的設計。并且在整個教學培養過程中,無論是理論知識的傳授還是項目的設計、實施都是以在校教師為實施主體,而教師在項目的設計方面往往過于注重知識點的全面,從而忽略項目的實際意義。針對于這些問題,在校企合作的過程中,嘗試針對每門獨立的課程由老師和企業工程師協同進行CDIO教學模式的重新設計。根據行業對人才的實際需求,對課程的知識目標和能力目標設計對應的一、二級項目,并且在此基礎上采取課后競賽以及社會實踐作為三級項目,真正地實現以實際核心項目為驅動,打通課堂和實踐的壁壘,讓學生在“做中學”,有效地實施教學,完成能力的培養。《網絡安全防護》作為信息安全和管理專業的必修課,是一門綜合性的專業課程。其課程的知識目標是要求學生熟練掌握主機的網絡安全加固,掌握網絡攻擊的主要原理以及手段等。課程涉及的基礎知識包括有實用網絡技術、Linux服務器管理、路由與交換技術以及Windows服務器管理等。該課程的改革嘗試主要是將CDIO培養模式分成校內實施和校外實踐兩個階段,現在就以這門課程為例進行介紹。
4.1校內實施階段
傳統的教學方式以知識點為核心進行教學。但在教學過程中往往存在知識點分散等問題,學生很難將所有知識點進行串聯、融會貫通,容易出現知識孤島的局面。因此,教師需要通過企業訪學等手段,接觸和參與到企業的實際項目,并將其與課堂的內容進行有機地結合和篩選,從中提煉出符合CDIO要求的一級核心項目。通過以該一級項目模式為教學中心,發散式地引入所需知識點,使學生在整個教學過程中完成整個項目的構思、設計、實現和運作。這樣就可以讓學生在完成項目的同時打通各個知識點在項目中的內在聯系,從而掌握知識點,并且可以培養學生獨立思考、搜集信息等額外能力。在校教師在完成一級項目中知識點的教學任務之后,將由企業工程師提供二級項目的方案并和在校教師共同完成該項目教學任務。在該階段,項目的設計和考核方案均由企業工程師負責,但企業工程師往往擅長于技術以及疑難問題的解決,對于授課并不擅長,因此對項目的講解和教學重任依然落在在校教師身上。那么在校教師就需要在課前熟悉企業項目,了解項目的做法個意義。對于《網絡安全防護》這門課程,根據課程的知識目標和能力目標,設計該課程的核心知識點是要求學生掌握主機防火墻的配置。圍繞該核心知識點,首先設計一個以企業網絡防御外攻擊的案例為一級項目,其他知識點如主機探測方式、協議攻擊原理以及實現、日志技術、入侵檢測技術的講解都是圍繞著該核心知識點進行展開,如圖1所示。例如防火墻的配置講解,必然是針對不同的供給以及主機漏洞危害來進行配置的,那么通過協議攻擊原理以及實現的深入講解,就可以讓學生對配置內容有一個直觀的感受,從而解決課程中知識孤島和理論化教學的問題。
4.2校外實踐
《網絡安全防護》課程設置在第三學期。該階段的學生在課堂中完成一、二級的項目實踐后,已經具備安全專業的一些必備的理論基礎和實踐動手能力。因此,三級項目的設置將會根據學生的實際學習情況以及學生的意愿篩選部分學生來實施。該部分的主要項目內容為依托于各合作企業的社會實踐和相關的安全類競賽或者考取相關證書。三級項目的目的是將學生課堂中學到的知識點引入到實際工作的項目中。其中,學生的考核實踐、項目安排將完全由企業負責,而在校教師僅僅提供后勤保障工作。
5結束語
本文針對CDIO模式下的產教融合式網絡安全防護課程改革進行了探索。通過以CDIO一級項目模式為教學中心,發散式地引入所需要掌握的知識點,打通各個知識點在項目中的內在聯系,并在二、三級項目中通過產教融合的方式,讓企業真正參與到校內人才的培養中,讓學生在“做中學”,從而掌握相關的知識點。此外,還可以培養學生獨立思考、搜集信息等綜合能力。
參考文獻
[1]潘麗敏,羅森林,張笈,等.網絡空間安全學科專業研究型教學框架及基礎認知.信息安全研究,2018(3):261-269
[2]毛劍,劉建偉,尚濤,關振宇,等.基于OBE的“網絡安全”課程閉環課堂教學方法探索與實踐.工業和信息化教育,2019(4):42-47
[3]董瑋,王世勇.基于TOPCARES-CDIO的專業人才培養方案之評估.高等工程教育研究,2017(04):169-173
[4]龔小勇,武春嶺,唐繼勇.信息安全技術專業“雙平臺、雙核心、雙情境”人才培養模式的創新與實踐.中國職業技術教育,2014(29):5-10
關鍵詞: 網絡信息安全; 工作流導向; 任務式; 教材建設
中圖分類號:G642 文獻標志碼:A 文章編號:1006-8228(2014)04-52-02
Abstract: The status of textbook construction of "network information security" course is analyzed. The necessity of practical training textbook construction based on workflow guidance is proposed. The "network information security" textbook is elaborated from aspects of guiding ideology, overall structure, content structure and characteristics. It is proved by practice that the construction and use of the new textbook can stimulate students' interest in learning knowledge of network security, enhance their practical ability, and effectively improve teaching quality and efficiency.
Key words: network and information security; workflow-oriented; task type; textbook construction
0 引言
現代社會,人們用計算機進行通信、存儲數據、處理數據等。然而,人們所深深依賴的計算機網絡正面臨著很多潛在的安全威脅。網絡信息安全問題在許多國家已經引起了普遍關注,成為當今網絡技術的重要研究課題。社會需求的日益增長,使信息安全發展為一項世界性的新興產業,信息安全在網絡信息時代具有極其廣闊的市場前景,政府機關、國家安全部門、銀行、證券、金融、通信領域都需要這方面的人才。越來越多的高校開設該課程,以滿足社會的需求[1]。
教材建設是高等學校建設的一項基本內容,高質量的教材是培養合格人才的基本保證。高等職業教育需要培養和造就適應生產、建設、管理,以及服務于第一線的高技術應用型人才。就優秀的高職高專教材而言,應該充分考慮學生的基本素養和認知水平,將知識、技能、素質三部分內容,通過潛移默化的手段,傳遞給學生,引起學生的學習熱情與興趣[2]。
1 教材建設的現狀
“網絡信息安全”課程起點高、難度大,理論性很強。市面上有關網絡信息安全的書籍、教材也層出不窮,相關教材從不同的技術角度描述,所呈現內容偏差比較大。學生在學習時,普遍感到概念抽象,對其中的分析方法與基本理論不能很好地理解與掌握[3]。
1.1 教材缺乏針對性
目前普遍存在的一個問題是,有些高職院校使用的教材是直接借用普通高等教育院校的相近專業的教材,大多數教材的內容和知識體系非常龐雜,初學者往往產生畏難和厭倦心理,很多學生在學習了知識點以后仍然不知道如何動手練習,即使做了實驗也不知道有什么用、如何應用到現實情況中,因此這些教材不適合高職院校的學生使用。
1.2 課程內容失衡
由于信息安全學科的內容雜,涉及的知識面廣,編著者很難熟悉信息安全學科的所有研究方向,數據加密、防火墻、入侵檢測、網絡攻擊、計算機病毒防范等技術幾乎成為網絡信息安全的全部。本校學習該門課程的學生是信息技術專業和安全防范專業,而非信息安全專業,市面所售教材大部分依賴于其他的信息安全專業課程,缺乏近年來發展迅速的新技術、新概念的介紹與實踐,導致了現有“網絡信息安全”教材在內容編排上普遍存在失衡的現象。
2 基于工作流導向的“網絡信息安全”實訓教材建設
“網絡信息安全”是一門涉及計算機科學與技術、網絡技術、通信工程、電子工程、密碼技術、信息安全技術、應用數學、數論、信息論等多門類的綜合性學科。廣義來說,凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。從防范的角度考慮,在影響計算機安全的諸多因素中,人的因素還是第一位的,因此所有計算機相關人員,包括用戶、系統管理員以及超級管理員,都需要盡更大的努力去提高對計算機信息及網絡安全的認識[1]。
為了讓學生能夠既掌握基本理論,又鍛煉動手能力,我們亟需擁有理論與實踐緊密結合的教材[3]。遵循教材編寫的指導思想,筆者以多年形成的教學改革經驗為基礎,根據學生群體知識結構所發生的變化,摒棄了傳統的篇章結構,編寫了十個實用性強的知識單元,既保留了本課程經典的學習模塊,也因循時展注入了新的學習內容。該教程已由暨南大學出版社出版,以下介紹該教材編寫的指導思想、整體結構、內容組織思路及其特色。
2.1 指導思想
教學實踐發現,以工作任務式的實訓為主線開展“網絡信息安全”教材建設,能夠提高學生動手能力,進而更好地學習和認識該課程。教材建設的指導思想:明確該課程的能力要求,以培養學生在網絡信息安全方面的理念、培養學生進行網絡信息安全設置與保護的能力、應用各種信息安全產品的能力、對網絡信息安全狀況時的分析問題和解決問題的能力為目標,構建工作流可定義式的任務式實訓教學為支撐的思路,編寫教材時,將知識性、實用性、趣味性融于一體。教學中,采用“做中學”模式,面向應用、突出實踐,讓學生在解決問題的過程中學習,并給出實時的評價與反饋,實現一對一的實訓教學效果。
2.2 設計原則和整體結構
筆者編寫的網絡信息安全教材將理論知識與實驗指導整合成以工作流導向系統化。實訓教材的編寫分為十個有連接關系的單元,每個學習單元以多個任務作為引子,驅動學生根據實訓說明的具體要求展開思考;每個任務有實訓目的、預備知識、實訓環境和多個實例,每個實例包括實訓說明、實訓步驟、擴展提示幾個部分。
⑴ 實訓之間融會貫通,具有連貫性。
⑵ 從“實訓目的”開始,巧妙引入實例以增強學生綜合感官,并闡明該實訓能解決的問題。
⑶ 在“基本知識點”或“預備知識”部分,精心挑選了任務涉及的最基本、最重要的知識點,使用了盡量通俗的語言,使學生通過實訓快速掌握這些知識。
⑷ “實訓環境”部分,告訴學生完成該任務需要怎樣的基礎設施。
⑸ 學生可以根據“實訓說明”,先進行實訓操作訓練,每個實訓完成后,實訓系統會立刻根據其完成情況給出考核成績,如果得不到操作滿分,可以觀看視頻,并能再次重復操作。現場打分的壓力使得學生上課都比較認真,能夠觀看視頻及其正確的講解,激發了學生的學習興趣。
⑹ “實訓步驟”圍繞基本知識點展開,讓學生面向應用加以實踐,清晰易懂,既有利于學生對于基本知識點的理解和掌握,又鍛煉了學生的動手能力。
⑺ “實訓提示”或“實訓小結”,針對本實訓的內容擴展,介紹了該實例的一些較為復雜、高級的知識,引導學生深入學習以解決可能遇到的實際問題,增強學生歸納總結能力,提高學生的知識技能和創新實踐意識。
2.3 內容組織
⑴ 結構合理。本教材是為高職高專院校相關專業“網絡信息安全”課程開發的,是以網絡信息安全技術理論為基礎,具有實踐特色的新型教材,編排時盡量不依賴其他的信息安全專業課程,但也完整地展示該學科的知識體系,在教材內容組織上,采用了整體“自頂向下”,細節“自底向上”的方法,其知識結構通用合理。
⑵ 內容豐富。本教材在內容方面增加了計算機網絡基礎、信息安全數學基礎知識,并側重普及常用的信息安全技術和培養學生的信息安全意識。例如,結合生活中常用操作系統經常涉及到的網絡安全方面的操作,通過“計算機網絡信息安全實驗室”環境下學習和熟悉網絡信息安全技術知識的一系列實訓、實例,以“網絡安全”課程教學要求為依據,將各種常見的網絡信息安全技術、管理基本方法、網絡安全技術的特點和原理融入到實踐當中,加強以應用能力培養為核心的實踐教學,體現了精細化的教學設計、先進的實驗教學方式、工作流可定義式的教學方法。
由于網絡信息安全不僅是一個技術問題,也是一個社會問題和法律問題。所以,為了體現法律法規的關鍵性作用,在最后一個學習單元,通過引入案例來介紹相關的法律法規。
⑶ 取材先進。教材的內容從當前的網絡信息安全現狀出發,引入計算機網絡及安全技術的發展趨勢和新技術,介紹了主流網絡信息安全技術和產品的特點。例如教材的學習單元四“公鑰基礎設施PKI”中,通過介紹各大城市常用的認證中心網站讓學生了解并學會申請和使用個人數字證書;在學習單元七“入侵檢測與網絡攻擊防御”中,通過實例闡述黑客網絡攻擊步驟、黑客技術方法真諦、黑客攻擊的手段和工具,以及近年流行的網絡抓包工具和掃描探測方法。
⑷ 有助于學生自我發展。教材主要是寫給學生的,所以在編寫時需要站在學生的角度來進行考慮。要使學生愿意看,并且使學生對該門課程越來越有興趣,使得學生愿意跟著教材上的任務進行實踐,從而在學習的過程中有所收獲。所以本教材對傳統的教學內容進行改造,引入工作流可定義機制,建立不同層次學生的教學學習曲線,從而激發他們的學習興趣。
2.4 編寫特色
2008年學院開始針對“網絡信息安全”課程進行教學改革的實踐,力求對該課程的教學方法和教學形式進一步的嘗試與創新。我們在使用其他教材時通常刪減或補充一些內容以配合這一發展與創新。在這一改革的過程中,教材作為教學的重要資源,成為課程建設的一個重點。筆者與同事組成編寫隊伍,結合實際教學的情況,結合本院專業特色,編寫了“網絡信息安全”教材,該教材經過試用和更新后出版,滿足了信息技術專業和安全防范專業教學的要求。本書從實用性的角度出發,以通俗易懂的語言、全新的組織方式、大量翔實的實訓任務[4],并以向導和插圖的方式介紹了網絡信息安全技術。每個學習單元針對各主要知識點給出了大量的任務,每個任務基于工作流導向,完成任務的思路清晰、步驟詳細,有助于對基本理論、基本方法的理解。
3 結束語
課程改革總是推動著教材的建設,而教材建設又不斷促進和保障課程改革,為課程改革服務。由于教材內容有全程配套的實例系統,使得基于工作流導向的任務式模式教學能夠使學生輕松、高效地掌握所有知識技能,同時提高了學生利用信息安全技術工具分析問題、解決問題的意識和能力。從教學效果來看,教材對教學的促進效果相當明顯,對學生而言,以往學生對教材中或是偏實例或是偏理論的看法,已經完全消除。學生在課堂教學中能夠得到更多的實踐操作與應用機會,其積極性與動手能力明顯增強。這些不但減輕了教師的負擔,還提高了教學質量,取得了教與學相互促動的效果。
參考文獻:
[1] 李玲俐,陳曉明,陳丹.網絡信息安全技術[M].暨南大學出版社,2012.
[2] 趙潔.高職高專優質教材建設的思考[J].中國職業技術教育,2013.17:72-75
關鍵詞:實驗教學;訪問控制列表;流量控制;網絡安全
中圖分類號:TP309 文獻標識碼:A 文章編號:1009-3044(2016)27-0046-03
1 引言
網絡時代的高速發展,對網絡的安全性也越來越高,企業內部可能存在不同網段計算機訪問許可不同,服務器拒絕收到某種服務信息流量等問題。通過配置路由器中訪問控制列表,可以控制網絡流量,按規則過濾數據報文,實現訪問許可,并幫助企業內部網絡制定相關策略,描述安全功能,反映流量的優先級,提高網絡的安全性[1]。配置訪問控制列表是《構建中小型企業網絡》課程中重要內容,需要掌握路由器基本配置的基礎知識。
Packet Tracer是思科的一款網絡輔助學習軟件,它可以模擬設計網絡結構,配置網絡仿真環境,排除網絡故障,整個界面和網絡環境真實再現。Packet Tracer解決了學校網絡實驗室內設備不足,減輕了教學負擔的問題,有利于培養學生的網絡學習興趣[2]。
2 實驗原理
IP訪問控制列表是應用在路由器接口的指令列表,可分為標準IP訪問控制列表和擴展IP訪問控制列表。標準IP訪問控制列表檢查路由數據包的源地址,從而允許或拒絕基于網絡、子網或主機的IP地址的所有通信流量通過路由器的出口。擴展IP訪問控制列表既檢查數據包的源地址,也檢查數據包的目的地址,還檢查數據包的特定協議類型、端口號等。擴展訪問控制列表可以對同一地址允許使用某些協議通信流量通過,而拒絕使用其他協議的流量通過[3]。
通過靈活地增加訪問控制列表,達到過濾流入和流出路由器接口的數據包,限制網絡流量,提高網絡性能,起到網絡訪問的基本安全作用。
3 實驗項目設計
3.1 實驗目標
(1)理解標準IP訪問控制列表的原理及功能;
(2)掌握命名的標準IP訪問控制列表的配置方法;
(3)理解擴展IP訪問控制列表的原理及功能;
(4)掌握編號的擴展IP訪問控制列表的配置方法。
3.2 實驗任務描述
某公司下設經理室、銷售部、財務部,另外架設了公司的Web服務器,各部門分別屬于不同的網段,具體見圖1 網絡拓撲圖。考慮財務處存放有重要的賬套信息,保證服務器安全,領導要求實現:
任務一 銷售部不能訪問財務部,但經理室可以訪問財務部;
任務二.各部門主機只能訪問服務器的WWW服務,不能對其使用ICMP服務。
3.3 實驗設計
1)實驗步驟分析
為實現任務目標,需要依次完成(1)在Packet Tracer仿真平臺中搭建網絡物理環境,考慮減少實驗復雜性,這里僅選用了三臺路由器、三臺電腦、一臺服務器;(2)給各個端口分配IP地址,其中IP規劃設計如表1所示;(3)配置路由,保證PC之間、PC到服務器間網絡暢通,僅暢通后才能實驗允許或拒絕服務,測試網絡連通性;(4)配置標準IP訪問控制列表,實現任務一;(5)配置擴展IP訪問控制列表,實現任務二;(6)測試實驗結果。
2)實驗關鍵指令
(1)路由配置指令
R1路由配置:
R1(config)#route ospf 1
R1 (config-router)#network 192.168.1.0 0.0.0.255 area 0
R1 (config-router)#network 192.168.2.0 0.0.0.255 area 0
R1 (config-router)#network 192.168.3.0 0.0.0.255 area 0
依次配置R2、R3,分別用PC2電腦ping PC3和Web服務器,測試網絡整體連通性,并用WEB瀏覽器訪問WEB服務器,測試結果如圖2所示,顯示網絡暢通:
(2)配置標準IP訪問控制列表命令
標準IP訪問控制列表可以實現允許或拒絕來自某一網段完整協議,可以幫助我們實現PC1可以與PC3通信,但是不允許PC2與PC3通信。考慮PC1、PC2、PC3都要訪問WEB服務器,只有在R2的F0/0端口宣告應用。關鍵命令如下:
R2(config)#Iip access-list standed SYZS //創建名稱為SYZS的訪問列表
R2(config-std-nacl)#permit 192.168.1.0 0.0.0.255 //允許192.168.1.0網段數據包通行
R2(config-std-nacl)#deny 192.168.2.0 0.0.0.255 //丟棄192.168.2.0網段數據包
R2(config-std-nacl)#permit any //允許其他網段數據包通行
R2(config-std-nacl)#exit
R2(config)#int f0/0
R2(config-if)#ip access-group SYZS out //訪問列表應用于R2的F0/0端口
R2#show ip access-list
Standard IP access list SYZS
10 permit 192.168.1.0 0.0.0.255
20 deny 192.168.2.0 0.0.0.255
30 permit any
至此,完成標準IP訪問控制列表的配置,經測試達到預期目標,測試結果如圖3-4所示:
(3)配置擴展IP訪問控制列表命令
擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項,它檢查數據包的源地址和目標地址,允許或拒絕某個特定的協議,例如TCP協議。它可以幫助我們實現任務2中提到的各子網段可以使用www服務,訪問WEB服務器,但是拒絕使用ICMP服務。根據訪問控制列表的最靠近受控對象原則,將擴展IP訪問控制列表應用在R2的S0/0/1端口,關鍵命令如下:
R2(config)#access-list 100 permit tcp host 192.168.1.0 0.0.0.255 192.168.6.2 eq www //允許192.168.1.0網段使用TCP協議訪問192.168.6.2的WWW服務;
R2(config)#access-list 100 permit tcp host 192.168.2.0 0.0.0.255 192.168.6.2 eq www
R2(config)#access-list 100 permit tcp host 192.168.4.0 0.0.0.255 192.168.6.2 eq www
R2(config)#access-list 100 deny icmp any 192.168.6.2 0.0.0.0 echo
//拒絕所有網段使用ICMP協議訪問192.168.6.2;
R2(config)#int s0/0/1
R2(config-if)#ip access-group 100 out //將ACL列表號為100的擴展訪問列表應用到R2的S0/0/1端口;
至此,完成擴展IP訪問控制列表的配置,經測試達到預期目標,測試結果如圖5-6所示:
3)實驗結果分析
從結果可以看出,標準IP訪問控制列表僅檢查源地址,允許和拒絕的是完整的協議;擴展IP訪問控制列表檢查源地址和目標地址,允許或拒絕的是某個特定的協議。配置訪問列表的每一條語句就是一個規則,數據包發送后,逐條匹配,直到匹配到合適語句,執行語句的動作(允許或拒絕);如果沒有找到匹配的規則,按照缺省規則執行[4]。
另外在實驗中,允許或拒絕的都是整個網段,使用了反向子網掩碼幫助實現,方向子網掩碼中的0表示檢查相應IP相應位,1表示不檢查,從而可以通過反向子網掩碼再對IP地址段進行細分,實現過濾指定部分網段數據功能。
3.4 實驗總結
基于Packet Tracer仿真平臺,配置訪問控制列表的實驗,能在教學中幫助同學們理解了標準IP訪問控制列表和擴展IP訪問控制列表的原理及其功能;通過任務驅動教學方法,幫助同學們掌握基本配置方法,加深理解路由器的網絡管理功能。通過理論和實踐結合提高了學生學習網絡基礎知識的積極性 。
4 技能拓展
本次實驗中僅涉及標準IP訪問控制列表配置、擴展IP訪問控制列表配置,ACL訪問控制列表還包含反向訪問控制列表、基于時間的訪問控制列表、基于名稱的訪問控制列表。綜合配置訪問控制列表,可以保護存放敏感數據的計算機,拒絕非法訪問服務器,阻止病毒傳播與攻擊,控制網絡流量,提高網絡性能,限定上網時間等作用。
參考文獻:
[1] Malik. 網絡安全原理與實踐[M].王寶生,朱培棟,白建軍,譯.北京:人民郵電出版社,2008.
[2] 劉靜. 基于Packet Tracer的IP訪問控制列表教學設計與實現的研究[J]. 科技創新與應用,2012(12):276.