高校网络安全存储实验室专项方案书.doc

《高校网络安全存储实验室专项方案书.doc》由会员分享，可在线阅读，更多相关《高校网络安全存储实验室专项方案书.doc（102页珍藏版）》请在咨信网上搜索。

XXX职业技术学院 网络安全与服务器存储实训平台方案 xxxx通信技术有限公司 5月 目 录 一、 概述 3 二、方案简介 4 1. 实验系统构架 6 2. 实验平台及组网 6 3. 实验管理软件 9 4. 实验控制平台 9 5. 实验平台模块 11 6. 实验室建设特点 59 三、网络安全存储实验室建设 60 1. 平台建设 60 2. 师资队伍建设 63 3. 专业课程建设 63 四、校企合伙简介 66 1. 培训认证体系简介 66 2. 华赛网络安全存储学院合伙模式及合伙方略 72 五、校企联合办学 73 一、 概述 信息安全保障能力和专业服务能力局限性成为国民经济和社会信息化发展严重制约因素。国内政府高度注重在信息安全人才培养等方面公共服务能力建设。但是，当前在信息安全专业人才实践教学环节，缺少能支持信息安全各专项技术综合实验环境；此外，政府和社会上数量庞大在职人员对信息安全继续教诲需求与支持大规模在职人员安全技能实训服务能力局限性矛盾也日益突出；同步，在面向公司信息安全服务和支持公司间科研协作服务手段和服务能力建设上也急需加强。因而，如何构筑可以支持信息安全高档专业人才培养、大规模社会继续教诲实训、公司间安全服务与科研协作支持国家信息安全公共服务支撑环境，成为重要战略任务。 结合学校在信息安全学科及实践教学环境建设需要，环绕国家加快发呈当代服务业和提高国家信息安全保障能力战略规定，建设面向计算机专业、信息工程专业、通信、密码等有关专业全体师生多层次、全方位、可扩展信息安全综合实践教学环境。同步实验室建设具备服务于国家信息安全公共服务综合能力： n 面向信息安全高档专业人才培养工程实践服务能力 n 面向政府和社会大规模继续教诲实训服务能力 n 面向公司信息安全增值服务能力 n 以及大规模科研协作支持服务能力 建设总目的：是通过与华为赛门铁克（xxxx）共建“信息安全与数据存储实验室”，达到共同建立“信息安全实践教学基地”目，该实验室体现信息安全保障体系架构，涵盖信息安全所有专项技术和方向，提供多层次、全方位及综合化信息安全实验与实践环境，支持信息安全专业人才培养、社会化培训以及信息征询、方案优化、产品研发与仿真测试等服务。 网络安全技术是在计算机网络技术发展到一定限度，其应用渗入到各个领域、各个寻常应用后，浮现一系列安全问题和风险后，逐渐发展起来。其技术人才积累往往是和技术发展相辅相成，由于安全经验需要时间积累缘故，当前网络安全工程师远远满足不了业务发展需求。据计算机世界资讯发布有关研究报告称，预计国内网络安全人才缺口将达到30万人以上。 新浪网有关人士表达：“由于当前专业网络安全工程师人才比较少，特别是复合型人才奇缺，预测4年之后网络工程师基本年薪会在15万元至20万元。“从当前某些趋势来看，在国际公司行业里某些精通网络安全技术人才年薪都在10万元左右，WEB2.0到来之后这些人才收入应当会更高。” 信息存储容量成倍地增长，信息已经成为客户重要资产，信息存储成为各项业务运作基本依赖条件和环境。任何信息破坏和丢失，都会导致难以挽回巨大损失，任何存储系统故障，都会严重影响业务正常开展和运营。 在这样大背景下，特别是国家对高等教诲提出了“打造精品课程”、“建设国家示范实训基地”以及“大力开展校企合伙”规定和倡议下，xxxx通信技术有限公司结合近年通信行业、教诲行业服务背景，携国内外知名公司，对国内教诲行业推出可增值、可运营、可管理高校网络安全存储实验室项目。 xx公司盼望，通过高校网络安全存储实验室项目推广和实行，改进中华人民共和国高校专业实验及实训教学环境、提高中华人民共和国高校专业实验及实训教诲水平、提高专业技术人才职业技能素质。 二、方案简介 e-Bridge实验平台系统是xx公司为高校实验室专业打造一套系统。环绕着“进行工程师培养，让学生可以真实地熟悉工作环境规定”这个核心思想，根据职业教诲先行者姜大源“基于能力本位教诲观 ”， 按照 “情景”教诲模式设计。结合高新公司用人规定设计出高校实验室课程、教材、实验、师资培训和就业指引。整个平台系统重要有四个某些构成： a) 专业课程和教材体系 b) 专业实训室解决方案 c) 实用师资培训筹划 d) 权威认证考试 实验平台设计特色： （1）、按照“工作任务领域”到“知识领域”到“认知领域”科学逻辑流程，打造出满足学生职业技能实训实验室； （2）、按照 “情景”教诲模式设计实验项目和课程； （3）、培养具备专业信息安全与存储网络知识工程师是网络安全存储实验室课程和实验设计目的。 网络安全存储实验室解决方案特色： 高性价比：实验管理软件管理员轮巡机制支持多组顾客同步操作；存储增值软件、设备端口数多，端口种类丰富，管理简便性也大大减少了TCO； 高可靠性：设备采用华为赛门铁克电信级高可靠性和高性能产品，产品使用范畴覆盖金融大型数据中心、大型WEB网站、政府和大型公司纵向网络、运营商骨干网络等高品位应用。 可管理：专业实验室管理软件，实验室管理系统自动化、简便化，可以实现设备、学生、实验项目等一系列实验资源管理与分派。可将学生配备自动导出、保存，可原则配备对比/分析/评分。 可增值：联合公司成立项目组，以实验室为重要基地，针对专业发展与行业技术进步实际需要进行基本研究、应用基本研究、专业研究。通过研究与开发工作，提高科技成果成熟性与配套性，为市场构造调节和产品优化升级提供技术支撑。 可运营：通过联合公司方式建立“订单式定向培养”专业教学，与公司、行业紧密结合，走产学合伙办学道路，大力推动以就业为导向人才培养。 全面性：以实际就业后职业技能规划需求为课程设计思路，通过实验结合理论，建立知识体系全面、完善，厂家产品线齐全。 实用性：结合xx公司5年通信专业实验室建设经验，将xx公司开发实验控制软件和实验指引书，同步华赛产品是华为与symantec两个主流厂商结晶，代表了多层主流技术融合。并且在实验课程中提供丰富应用环境分析，大大提高了实战性。 前瞻性：知识体系中应包括对将来技术发展方向分析/指引（华赛预研部+大量专利） 开放性：产品开放性（开放API，可供有势力高校进行二次开放）与知识体系开放性（对原有设备利旧，可配合不同特定行业顾客进行固有知识体系完善/定制）。 1. 实验系统构架 实验系统构架（如下图所示），它分为三个层面，即基本理论层面（教材）、子系统级层面（各功能模块设备）和平台级层面（实验软件平台）；纵向又分为两个层面，功能演示层面和教学实验层面。功能演示和教学实验横穿三个横向层面，即可以针对基本理论知识层面、子系统级层面以及平台级层面设计不同复杂度系统功能演示和教学实验。每个子系统均依照自身特点，有针对性地选取一种或者各种层面进行教学或培训实验设计，教学实验数量规定有三至六个或者更多。 实验平台软件 e-Bridge当代通信实训平台 实训指引书 e-Bridge当代通信实训平台 实训指引书 e-Bridge安全存储实训 平台实训指引书 理论教材/实验指引书 实验设备 e-Bridge 三位一体 第一层面：基本理论层面(理论教材、指引书)，重要是指与实验内容有关基本理论、原型、实验原理以及测试原理等方面内容。 2. 实验平台及组网 网络安全存储实验室平台包括设备有互换机、路由器、安全路由网关、防火墙、IDS、SSL VPN等硬件设备和终端安全系统、安全评估系统、E-Bridge实验管理系统等软件系统构成，代表了当今最先进、最全面网络安全技术。通过这个平台不但能开设网络安全面实验课程、存储实验课程，并且可以让学校获得网络安全存储方面认证培训资格。网络安全实验室可依照学校需求来拟定实验室网络构造大小，终端可多、可少，最小可以只有一套系统，多可到几十套终端。 v 实验模块齐全，涵盖了各种领域，学校可以依照专业个性化规定进行组网搭建，也可以分批建设，减少资金压力； v 支持网络设备模块自动配备，涉及设备复位、设备重启、设备环境初始化等； v 同步可以配备动手跳线区域，满足学生动手练习需要； v 实验设备模块安装固定，无需实验现场再接线，学员可以依照实验项目划分VLAN将设备搭建成实验组网； v 设备安装区域与客户端调试区域完全分开，使用原则电信布局模式； v 支持实验项目自行开发，提供实验课件上传接口； v 支持实验资料管理，涉及文档、图片、FLASH、胶片等各种资料上传、浏览权限分派； v 支持学生实验中与资料与设备操作 整个实验网提成广域网某些和局域网某些。局域网某些由2个大子系统构成,核心业务互换，防火墙与入侵检测系统。广域网某些由2-3台路由器构成，远端顾客接入通过SSLVPN 安全通道接入。整个网络通过一套统一网络管理系统e-Bridge对全网设备进行管理。全网认证、顾客管理由管理平台系统完毕。 在网络实验室中增长了安全建设。上图中，将处在模仿因特网中学生规划为外网顾客，模仿办公网区域学生为内网顾客，模仿数据中心IDC（Internet Data Center）为DMZ域中设备。外网顾客想要访问内网区域，需要通过防火墙认证，外网顾客可以依照需要发起网络袭击，检测防火墙防护方略与否通过了有效设立并且已经生效。外网顾客接入内部网络访问数据中心一种办法是通过VPN虚拟专用网隧道来进行链接，SVN3000可以对外网顾客进行权限认证，并且对数据进行安全加密，达到数据安全传播目。 在网络实验平台部件中，有平台软件包、业务软件包、网络安全设备、高性能应用服务器设备、数据库及实验终端等。 整个网络可以满足学生理解并掌握网络层次构造、网络拓扑规划、路由器和以太网互换机常识、网络设备配备管理、网络间基本技术合同以及当前处在网络技术前沿IPv6应用技术。 E-Bridge网络安全存储实验系统是xx公司为高校实验室专业打造一套系统。它在网络安全存储实验平台包括如下模块： （1）、实验平台管理软件和系统软件； （2）、实验控制平台； （3）、实验设备模块（安全网络某些、存储某些）； 3. 实验管理软件 EB实验管理软件是xx公司结合高校实验室建设环境和实验需求，进行针对开发全新实验系统。该系统在安全存储网络实验平台上包括如下模块： a、设备管理模块 实验设备管理功能：（1）、设备状态查询；（2）、设备添加、删除；（3）、设备恢复默认配备；（4）、设备分权分组分派；（5）、设备配备文献管理；（6）、设备重启；（7）、设备日记查询； 教师通过系统可以轻松管理所有设备，减轻实验室维护工作量和维护成本。 b、学生管理 实验学生管理功能：(1)、学生信息管理；(2)、权限、密码管理；(3)、学生分组；(4)、学生登录鉴权、操作鉴权； c、实验项目管理； 实验项目管理功能：（1）、实验项目清单；（2）、实验操作日记查询；（3）、实验环境搭配初始化；（4）、实验状态记录；（5）、实验环境恢复；（6）、实验配备管理；（7）、实验成果校验； 4. 实验控制平台 xx公司在成熟 VRP 软件平台基本上，结合设备硬件体系构造和实验室管理业务规定，量身定做实验室控制管理体系，完全继承了 VRP 平台稳定性、成熟性和可靠性。针对实验室管理功能设备管理、学生管理、实验项目管理等一系列需求提供整体解决方案，同步可以随着 VRP 平台不断发展同步提供新特性，充分满足学校实验使用多元化需求。 设备控制台： v 采用原则TCP/IP 接口和多样操作模式，提供了TCP SERVER，TCP CLIENT 和UDP，它们使用了统一原则网络API（Winsock，BSD Sockets）来保证网络软件兼容性； v 采用串口转TCP/IP接口技术，通过网络进行远程实验调试，与本地实验调测效果完全同样，经实验管理控制软件，可实现开放式实验教学（学生可以远程进行实验）； v 每个串口同步支持6个终端会话，一台设备同步满足一种操作员和5个观测员同步显示终端界面，满足一人操作演示多人学习效果。 v 服务器虚拟化和存储虚拟化技术，在充分满足实验规定同步，提高设备运用率，减少误操作率，提高设备采购性价比； v 串口采用原则RS232合同，支持当前主流厂家网络设备，涉及华为、CISCO、H3C、锐捷、港湾等，所有厂家设备都能纳入设备控制台进行管理； 5. 实验平台模块 根据学校实验室教学特色，满足实验多组学生同步操作，同步进行，将实验设备配备为模块化分组。 (1)、网络基本实验平台 u 方案概述 咱们设计数据网络平台方案是基于对IP网络最基本理解，采用适当运营级路由器和互换机进行各种形式组网，能充分体现IP技术在计算机网络中使用方式和业务特点。在网络边沿接入侧汇聚路由器可以提供更多业务能力，涉及VPN、动态/静态路由合同、认证方式、管理方式等各种技术，能让学生得到充分学习及实践应用。整个数通平台是按照需求分组配备，重要根据华为数据通信认证硬件配备为基本，每组配备汇聚路由器、接入路由器，二层互换机和三层互换机，四类设备构成一种完整实验组，为学校此后申请华为网络学院奠定了硬件基本。再现了公司接入数据网络模型。并且各组之间可以通过汇聚路由器互联，实现更大区域网络互联组网。 u 组网拓扑图 在数据通信实验平台中，通过数据通信设备不同组网拓扑和技术，可以灵活实现整个通信网中各种以IP应用为基本数据业务。华为数通认证HCDA/HCDP高档实验项目所需要实验环境拓扑图示例如下。 例一、VPLS实验： 例二、MPLS VPN实验： 根据以上设备规定和组网规定，咱们按照HCDA设备清单所列，配备能支持6组同步进行HCDA所有实验，还可以完毕HCDP上面所述华为数通认证高档实验项目，增长实验有：、《VPLS实验》、《VLL实验》、《VPLS或VLL联动MPLS TE FRR实验》、《分层式BGPMPLS VPN网络(HoVPN)》。 u 培训目的 通过本平台培训后，可以让学员掌握完毕如下技能： 描述IP网络基本层次构造以及各个层次功能。 描述以太网发展历程以及有关技术。 描述网络安全和防火墙基本知识。 描述TCP/IP模型各个层次基本功能、各种惯用合同功能、工作原理以及所处层次。 描述ICMP工作原理。 描述路由器和互换机工作原理。 描述VLAN、STP、VRRP、Static Route、RIP、OSPF、PPP、Frame Relay等基本原理和配备。 应用IP地址子网划分知识进行网络地址规划。 应用Ping、Tracert等工具进行网络设备维护和简朴故障判断和定位。 配备基于VRP平台IP地址、VLAN、VRRP、静态路由、RIP、OSPF并进行简朴故障定位和解决。 在IP网络各个层次选取使用相应华为数通设备。 描述OSPFv2/v3、ISISv4/v6、BGP、MP-BGP for IPv6、IGMP、PIM-SM、PIM-DM工作原理。 配备基于VRP平台OSPFv2/v3、ISISv4/v6实现大型网络IP连通性。 配备基于VRP平台BGP、MP-BGP for IPv6并采用BGP路由属性和路由方略依照需求在大型网络上选取和过滤路由。 描述BGP反射、联盟作用和基本原理。 描述BGP多归属基本概念和应用场景。 配备基于VRP平台IGMP、PIM-SM、PIM-DM实现组播业务。 在大型网络构建和业务布置中依照性能和业务需求选取适当华为中高品位路由器。 应用各路由合同故障解决办法针对大型网络中浮现路由类故障进行定位和排除。 描述VLAN、GVRP、QinQ、STP、RSTP、MSTP、工作原理。 描述PPP、PPPoE、IPoE、IPoEoVLAN工作原理。 配备基于VRP平台VLAN、GVRP、QinQ、STP、RSTP、MSTP。 描述在接入网络中应用VLAN、GVRP、QinQ等技术实现顾客隔离和业务透传。 描述在接入网络中应用STP、RSTP、MSTP避免环路。 描述在接入网络中布置PPPoE、IPoE、IPoEoVLAN业务。 分析与解决接入网络中VLAN、GVRP、QinQ、STP、RSTP、MSTP、PPPoE、IPoE、IPoEoVLAN等方面故障。 选取适当华为互换机和BRAS设备构建运营商接入网络。 描述IP承载网络特点和性能需求。 描述HA惯用技术基本原理。 描述MPLS、BGP MPLS VPN、QoS原理。 配备基于VRP平台BGP MPLS VPN、QoS、VRRP。 配备大型IP承载网单域BGP MPLS VPN业务并实现私网顾客访问Inernet。 描述MPLS TE四大组件。 配备基于VRP平台MPLS TE基本功能并将流量通过三种不同方式引入MPLS TE隧道。 描述在大型IP承载网络上应用VRRP技术提供高可靠性保证。 分析与解决在大型IP承载网络上BGP MPLS VPN有关故障。 u 实验项目 认知性实验 1. 互换机基本操作 2. 路由器基本操作 3. 互换机VLAN配备 4. 互换机链路聚合配备 综合性实验 1. 路由器单臂路由实验 2. 路由器静态路由实验 3. 路由器RIP实验 4. 路由器OSPF实验 5. 路由器PPP实验 6. 配备IS-IS基本功能 7. 配备IS-IS路由聚合 8. 配备IS-ISDIS选取 9. 配备IS-IS负载分担 10. 配备IS-IS和BGP交互 11. 配备IS-IS IPv6基本功能 12. 配备OSPF Stub区域 13. 配备OSPF NSSA区域 14. 配备OSPFDR选取 15. 配备OSPF负载分担 16. 配备OSPFv3区域 17. 配备OSPFv3DR选取 18. 配备OSPFv3虚连接 19. 配备BGP与IGP交互 20. 配备BGP负载分担和MED属性 21. 配备BGP团队 22. 配备BGP路由反射器 23. 配备BGP联盟 24. 配备AS_Path过滤器 25. 配备BGP4+基本功能 26. 配备BGP4+路由反射 实验类别 推荐培训 实验内容描述 HNTD HCDA-HNTD IP网络基本；VRP基本；以太网技术、广域网技术、路由合同、网络安全、网络管理基本原理及其在华为产品中实现。 BCAN HCDP-BCAN VLAN、QinQ、STP、RSTP、MSTP、Radius、PPPOEOVLAN、IPOEOVLAN、PPPOEOA等技术在电信级网络中应用以及在华为产品中实现。 BCRN HCDP-BCRN IPv6、OSPFv3/v4、IS-IS/ISISv6、BGP路由合同高档；复杂大型网络中路由选取和路由控制；IGMP、PIM-DM、PIM-SM组播有关合同；上述合同在电信级网络中应用以及华为产品中实现。 BITN HCDP-BITN MPLS、BGP VPN、MPLS TE、Qos、HA等技术在IP电信承载网中应用以及在华为产品中实现。 IERN HCDP-IERN OSPF合同、ISIS合同、BGP合同、路由选取和控制、组播成员发现合同、组播路由合同原理、配备及其在行业网络中应用；行业网络路由器产品简介与应用 IESN HCDP-IESN VLAN、QinQ、802.1X、Smartlink、MPLS、LDP、MPLS VPN等技术原理、配备及其在行业网中应用；行业网产品简介与应用 u 支撑课程体系 《数据与计算机通信》 内容涉及最基本数据通信原理、各种类型计算机网络及各种网络合同和应用。这一版对原有内容做了彻底修订和重组，使新版对通信各专项阐述更全面、更清晰。同步，新版更新了吉比特以太网、10 Gbps以太网内容，对WiFi/IEEE 802．11无线局域网、性能监控、服务水平商定、服务质量等依照新原则进行了修订。此外，《数据与计算机通信》(第8版)还涉及TCP Tahoe、Reno以及New Reno拥塞控制算法描述，对多媒体组网内容也进行了扩充。 《数据通信基本》 本书比较系统、全面地简介了计算机通信中一系列重要问题，以及解决这些问题核心技术。内容涉及通信技术与计算技术发展概况以及它们结合、数据通信基本知识、传播技术、同步技术、数据透明传播技术、差错控制技术、信道共享技术、数据互换技术、寻址与路由技术、拥塞控制与流量控制技术、B-ISDN技术与信息安全技术。 本书侧重于基本概念和基本原理阐述，不讨论理论分析与计算，因而通俗易懂。 本书可作为高等院校理工科非通信专业本科生与研究生教材，也可作为工程技术人员学习计算机通信知识参照书。 《数据通信与网络教程》 本书系统地简介了数据通信和计算机网络领域基本内容。在第一版基本上，修改和增长了新内容，涉及无线和卫星通信、有线电视电缆调制解调器、压缩技术、密码技术、防病毒、100Mbps以太网、NetWare4.0、边界网关合同、域名系统、IPv6、异步传送模式、使用客户/服务器模式来实现文献传送合同及开发Web网页等。在内容和构造安排上，注意理论与实际应用结合，每章背面既有复习题，又有练习题。 　　本书适合伙为计算机科学专业本科生教材，也可供教师和从事该领域设计或应用研究人员用做参照书。 《TCP/IP路由技术》 本书是一本详细而又完整地简介互连网络内部网关合同(IGP)专业书籍，堪称关于IGP方面不可多得典型之作。本书共分三个某些。第一某些重要简介了网络和路由选取基本知识，其中涉及．IPv4合同、IPv6合同和路由技术。第二某些是本书精华，这一某些详细、进一步地讲述了各种惯用内部路由合同，如RIP、RIPv2、RIPng、无类别路由选取、EIGRP、OSPFv2、OSPFv3、IS-IS等合同，每一章除了对该合同实现机制和参数详尽阐述，使读者对合同实现原理有一种清晰理解外，还通过在实际网络环境中实例，详细地阐述了该合同在Cisco路由器上配备和故障解决办法，协助读者获取大量解决实际问题专业技能。第三某些简介了如路由重新分派、缺省路由/按需路由选取、路由过滤、路由映射等各种重要而有效路由控制工具，用来创立和管理各种IP路由选取合同协调和互操作。附录某些讲述了二进制、十六进制转换、访问列表、CCIE提示等内容。 相对于第一版，本书第二版具备如下更新：在第一版详细讲述IPv4合同中IGP基本上，大量增长了相应合同在IPv6合同中实现和配备，其中单独一章用来讲述IPv6中应用OSPFv3合同，这是本书新版一大亮点；同步本书依照。Internet和Cisco IOS系统最新发展，恰本地删减了如网桥、IGRP等过时内容，并增长了许多新IOS增强特性解说。 《TCP\IP合同族》 本书分为5个某些：第1某些(第l～3章)简介某些基本概念和基本底层技术；第2某些(第4～15章)讨论TCP／IP合同组中核心合同IP和TCP，以及几种重要路由选取合同；第3某些(第16～22章)讨论使用网络层和运送层合同某些应用程序；第4某些(第23～27章)简介因特网中某些较新内容，如移动IP、多媒体、虚拟专用网、网络地址转换，以及下一代IP；第5某些(第28章)简介网络安全问题。《TCP\IP合同族》(第3版)重要特点是：(1)用图文并茂办法讲述了技术性很强内容，而不使用复杂公式；(2)重要概念在书中多次重复；(3)尽量使用结合实际例子来阐明某些概念；(4)在许多章都涉及了关于设计内容，以便协助理解每一种合同思路和问题；(5)每一章有一种本章内容小结，归纳该章所有重点内容。 (2)、网络安全实验平台 u 方案概述 计算机网络信息安全是一种综合性、全面性工程，涉及到信息生成、信息存储、信息传递、信息呈现各个方面，规定整个过程中都具备可行安全保障；计算机网络信息安全不再仅仅局限于对老式意义上密码和网络，而必要要结合数学、物理、通信、计算机以及存储、操作系统、应用软件、数据库等诸多领域长期知识积累和最新研究成果，xxxx在总结近年经验基本上进行自主创新研究，提出了系统、完整、协同、可行高校计算机网络信息安全实验室解决方案。并提供信息安全从“袭击、防范、检测、控制、管理、评估”等各种方面实验配套设备和实验教材。 xx公司盼望，通过高校计算机网络信息安全实验室项目推广和实行，改进中华人民共和国高校专业实验及研发教学环境、提高中华人民共和国高校专业实验及研发教诲水平、提高专业技术人才职业技能素质。 u 组网拓扑图 网络安全实验室平台包是在网络基本平台基本上增设安全路由网关、防火墙、IDS、SSL VPN等安全硬件设备和E-Bridge实验管理系统等软件系统构成，代表了当今最先进、最全面网络安全技术。通过这个平台不但能开设数据网络安全面实验课程，并且可以让学校获得网络安全面认证培训资格。网络安全实验室可依照学校需求来拟定实验室网络构造大小，终端可多、可少，最小可以只有一套系统，多可到几十套终端。 上图中，将处在模仿因特网中学生规划为外网顾客，模仿办公网区域学生为内网顾客，模仿数据中心IDC（Internet Data Center）为DMZ域中设备。外网顾客想要访问内网区域，需要通过防火墙认证，外网顾客可以依照需要发起网络袭击，检测防火墙防护方略与否通过了有效设立并且已经生效。外网顾客接入内部网络访问数据中心一种办法是通过VPN虚拟专用网隧道来进行链接，SVN3000可以对外网顾客进行权限认证，并且对数据进行安全加密，达到数据安全传播目。 u 培训目的： 通过本平台培训后，可以让学员掌握完毕如下技能： ² 理解网络安全基本概念； ² 理解风险基本概念； ² 描述常用袭击和防范方式； ² 掌握防火墙基本原理和功能； ² 掌握防火墙基本配备和模块； ² 纯熟配备防火墙地址转换和访问控制列表。 ² 理解信息安全范畴和发展 ² 理解访问控制技术原理和应用； ² 掌握掌握L2TP、IPSec、SSL、SET等高档安全合同原理和应用范畴； ² 掌握防火墙VPN配备和综合组网； ² 掌握防火墙针对各种袭击高档防范技术和布置。 u 实验项目 序号 实验项目 1 防火墙Web管理实验 2 防火墙FTP连接实验 3 防火墙区域间连接 4 防火墙VLAN配备 5 防火墙WLAN配备（Crypto服务类） 6 防火墙WLAN配备（Plain服务类） 7 防火墙IEEE 802.11三种加密算法配备 8 防火墙以太网接入802.1X认证 9 防火墙WLAN接入802.1X认证 10 防火墙以太网接口实验 11 防火墙接口IPv6地址 12 防火墙配备IPv6 over IPv4手动隧道 13 防火墙配备IPv6 over IPv4 GRE隧道 14 防火墙配备IPv6 over IPv4自动隧道 15 防火墙配备6to4隧道 16 防火墙配备6to4中继 17 防火墙配备IPv4 over IPv6隧道 18 防火墙静态路由配备 19 防火墙RIP路由配备实验 20 防火墙OSPF路由配备实验 21 防火墙配备IS-IS基本功能 22 防火墙配备IS-IS路由聚合 23 防火墙配备IS-ISDIS选取 24 防火墙配备IS-IS负载分担 25 防火墙配备IS-IS和BGP交互 26 防火墙配备IS-IS IPv6基本功能 27 防火墙配备OSPF Stub区域 28 防火墙配备OSPF NSSA区域 29 防火墙配备OSPFDR选取 30 防火墙配备OSPF负载分担 31 防火墙配备OSPFv3区域 32 防火墙配备OSPFv3DR选取 33 防火墙配备OSPFv3虚连接 34 防火墙配备BGP与IGP交互 35 防火墙配备BGP负载分担和MED属性 36 防火墙配备BGP团队 37 防火墙配备BGP路由反射器 38 防火墙配备BGP联盟 39 防火墙配备AS_Path过滤器 40 防火墙配备BGP4+基本功能 41 防火墙配备BGP4+路由反射 42 防火墙基本访问控制列表实验 43 防火墙高档访问控制列表实验 44 防火墙ASPF配备实验 45 防火墙黑名单过滤实验 46 防火墙端口辨认实验 47 防火墙P2P配备 48 防火墙IPSEC采用IKE方式建立SA(预共享密钥)实验 49 防火墙GRE隧道实验 50 防火墙PPPoE实验 51 防火墙PPPoE拨号建立NAS-Initialized L2TP连接实验 52 防火墙Outbound方向NAT实验 53 防火墙NAT地址映射内部服务器实验 54 防火墙目的地址NAT实验 55 防火墙双向NAT实验 56 防火墙结合安全区域配备内部服务器实验 57 防火墙配备服务器MAC和IP地址绑定实验 58 防火墙双机备份布置实验 59 虚拟防火墙布置实验 60 SSL VPNWeb-Link业务配备实验 61 SSL VPN文献共享业务配备实验 62 SSL VPN网络扩展业务配备实验 63 入侵检测系统安装实验 64 入侵检测方略配备实验 65 入侵检测报文记录与回放实验 66 小型办公网络出口安全方案场景实验 67 公司分支机构/合伙伙伴VPN接入方案场景实验 68 公司出口多级防护组网方案场景实验 实验场景规划 如下是某些实验拓扑图及实验目： 实验拓扑图 实验 连接到防火墙； 防火墙区域间连接 FTP连接－防火墙 作为FTP Client； FTP连接－防火墙作为FTP Sever 防火墙VLAN配备 防火墙静态路由配备； 防火墙RIP路由配备； 防火墙OSPF配备 防火墙ASPF配备； 防火墙黑名单过滤； 防火墙MAC地址和IP地址绑定； 防火墙端口辨认 防火墙P2P配备； 基于时间段P2P配备； 上下行分别限流P2P 配备； 防火墙IPSec配备 防火墙双机备份布置 虚拟防火墙布置 u 支撑课程体系 课程模块 内容 目的 网络安全基本概念 本课程重要描述了网络安全基本原理，详细简介关于风险、威胁等基本安全概念，针对网络袭击进行了系统分类和缓和办法，回顾了数通核心知识。 理解网络安全基本概念；理解风险与威胁概念和关系；描述常用袭击和防范方式；熟悉重要IP合同。 网络安全技术原理 本课程重要描述了安全核心技术加密算法和应用，同步详细解说了基本安全合同，802.1X和RADIUS合同。 描述加密原理、算法和应用；理解802.1X合同原理和应用；理解RADIUS合同原理和应用。 防火墙基本知识和配备 本课程重要描述了防火墙技术基本，涉及分类、概念和应用、方略，以及防火墙基本功能，同步针对防火墙基本配备。 理解防火墙基本原理和分类；理解防火墙布置方式以及方略；描述防火墙基本功能和核心参数；掌握防火墙基本配备，涉及基本命令、升级、FTP等应用。 防火墙访问控制列表 本课程重要描述了防火墙访问控制列表原理，以及在防火墙上实现访问控制列表。 理解访问控制列表控制办法和原理；理解访问控制技术要素；掌握防火墙上访问控制列表配备和布置。 防火墙动态地址转换技术 本课程重要描述了防火墙上动态地址转换技术原理、长处和缺陷，以及在防火墙上实现动态地址转换。 理解地址转换技术控制办法和原理；理解地址转换意义和优缺陷；掌握防火墙上地址转换配备和布置。 u 主设备简介 Secoway USG 华为Secoway USG 系列统一安全网关是华为公司针对中小公司安全业务需求，推出新一代多功能安全网关，可广泛应用于中小公司、大型公司分支机构、SOHO办公类顾客、以及网吧出口网关等，华为Secoway USG 系列统一安全网关采用模块化设计，集安全、路由、互换、无线（WiFi、3G）等特性于一体，接口类型丰富，性能领先，能为中小公司、大型公司分支机构、SOHO办公类顾客、以及网吧出口网关提供安全防护，并能提供集成网络出口安全与互联解决方案，减少公司总所有成本TCO，提高公司效率，是中档及中小型公司网络抱负安全防护设备！ <产品系列> Secoway USG2110：采用固定接口形态，提供百兆性能和以便易用可管理性，带1个固定百兆WAN接口和4个固定百兆LAN接口。 Secoway USG2130：是统一集成防火墙/VPN/安全路由器/安全互换机系统，提供百兆性能、模块化架构、WiFi接入和丰富路由器、互换机功能，带1个固定百兆WAN接口和8个固定百兆LAN接口，并附加1个MIC扩展插槽，可灵活扩展广域网或局域网接口。USG2130还额外支持一种Express插槽，专门用来扩展3G接口。 Secoway USG2210 & 2220 & 2230 & 2250：是统一集成防火墙/安全路由器/安全互换机系统，提供数百兆至1G性能、模块化架构和丰富路由器、互换机功能，带2个固定光电互斥Combo GE接口。附加2个FIC扩展插槽和4个MIC扩展插槽，可灵活扩展广域网或局域网接口。 USG2130 USG2210/2220/2230/2250 <产品特点> 业内首款集路由，互换，安全，无线（WiFi、3G）于一体安全网关 Secoway USG 系列集路由、互换、安全、无线（WiFi、3G）功能于一体，1台Secoway USG 系列 = 数台老式路由器+数台老式互换机+数台老式防火墙，能有效协助公司提高效率、减少维护复杂度，减少公司总成本TCO。 接口类型丰富、接口密度大及灵活组网能力 USG2130统一安全网关除了提供1个固定百兆WAN接口和8个固定百兆LAN接口，还提供1个扩展插槽，可以选配1*FE、1*E1/CE1、5*FE、1*ADSL2+等接口，USG2130还增长3G express插槽，USG2130最大接口密度可达13FE； USG2210/2220/2230/2250统一安全网关除了提供2个固定千兆光电互斥WAN接口，还提供4个MIC扩展插槽和2个FIC扩展插槽，FIC插槽可也以选配1*GE、2*E1/CE1接口卡，整机最大接口密度可达4GE+10FE，可以适应不同网络环境，便于顾客灵活组网。 唯一以扩展插槽形式同步支持WIFI、3G产品 Secoway USG 系列产品支持WLAN WiFi，支持802.11b、802.11g、802.11g/b混合模式；自动速率调节、无线信道选取、发射功率可调、加密、广播抑制、SSID隐藏、省电模式、管理维护；支持加密方式WPA-PSK、WPA2-PSK、WEP、AES、TKIP；2根全向性天线实现天线增益； USG2130可以通过扩展EXPRESS 3G 接口接入无线网络。支持兼容2G至超3G数据传播模式，详细可以兼容：HSDPA/WCDMA 2100M/1900M/850M；GSM/GRPS/EDGE 1900M/1800M/900M/850M。 USG2210/2220/2230/2250同档次产品性能领先 USG2210/2220/2230/2250采用多核并行解决技术，使产品在性能上有了质奔腾，整机最大吞吐量（大包/小包）、每秒新建连接数等性能指标在业界处在领先位置，为顾客带来超高性能体验。 强