沪教版（2019）1.探究校园网安全体系的组成完美版ppt课件

第三单元 网络安全基础

项目八 剖析校园网安全体系

——了解常用网络安全协议

第一课时 探究校园安全体系的组成

❑教材分析

本节的主要内容是探究校园安全体系的组成。

网络社会中，建立一套行之有效的网络安全机制非常重要。这不仅需要每个人形成清醒的网络安全意识、良好的信息品质和素养，还需要在网络层面、网络设备上实施各种防护措施，例如设置防火墙，制定安全的网络协议，保持网络设备运行在恒温恒湿的环境中等。

本项目活动的主题是了解常用网络安全协议，目标是让学生了解网络安全协议的组成作用和常用的安全设备，认识在服务器上设置及使用简易防火墙的方法。本节课的主要内容是探究校园网安全体系的组成。为了配合项目学习活动的展开，设计了两个小活动。活动8.1通过让学生总结校园中的网络安全设备及其作用、防护对象，深入了解校园网防护安全体系；活动8.2引导学生针对不同的事件提出解决方法。

通过本单元的学习，学生要能够认识网络应用中信息安全和隐私保护的重要性，具备防范网络安全隐患的意识，能够通过加密备份等措施保障信息安全，学会设置和使用简易防火墙，并掌握构建个人安全网络环境的基本方法。

❑教学目标

1.了解校园网络安全体系的组成。

2.了解各安全设备的作用。

3.掌握远程访问的方法。

❑教学重点

1.网络安全体系的组成；

2.安全设备的作用。

❑教学难点

1.安全设备的作用

❑教学方法

体验法、讲授法、讨论法、示例法

❑教学准备

计算机教室、数据中心照片、简易防火墙、VPN设备等。

❑教学过程

一、新课导入

伴随着互联网的广泛应用，人们在扩展信息获取和发布能力的同时，也面临各种各样的网络安全问题。构筑必要的网络安全防护体系，建立一套有效的网络安全机制，显得尤为重要。面对网络安全问题，一方面需要重视个人计算机的网络安全防护，另一方面需要落实网络设备的安全措施，制订网络安全的各类规章制度。常用的网络安全措施包括使用防火墙进行访问控制和网络隔离，以及使用安全的网络协议避免数据在传输过程中被窃听或者被篡改等。校园网的数据中心集中存放着网络设备和服务器，恒温恒湿的环境保障了设备的安全稳定运行(图3-7)。网络安全设备通常集中存放于数据中心，它们配置有相关策略，并互相配合，可有效保证校园网及网络应用的安全运行。

图3-7某校园网数据中心

二、网络安全设备

1.防火墙

定义：防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

主要功能：

①过滤进、出网络的数据

②防止不安全的协议和服务

③管理进、出网络的访问行为

④记录通过防火墙的信息内容

⑤对网络攻击进行检测与警告

⑥防止外部对内部网络信息的获取

⑦提供与外部连接的集中管理

主要类型：

①网络层防火墙

一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包，其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如 Telnet、FTP连接。

②应用层防火墙

针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。

2、IDS(入侵检测系统)

定义：入侵检测即通过从网络系统中的若干关键节点收集并分析信息, 监控网络中是否有违反安全策略的行为或者是否存在入侵行为。入侵 检测系统通常包含3个必要的功能组件:信息来源、分析引擎和响应组件。

工作原理：

①信息收集

信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自:系统和网络日志文件、非正常的目录 和文件改变、非正常的程序执行这三个方面。

②信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信 息,是通过模式匹配、统计分析和完整性分析这三种手段进行分析 的。前两种用于实时入侵检测,完整性分析用于事后分析。

③告警与响应

根据入侵性质和类型,做出相应的告警与响应。

主要功能：

它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。

①实时监测：实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文;

②安全审计：对系统记录的网络事件进行统计分析，发现异常现象，得出系统的安全状态，找出所需要的证据

③主动响应：主动切断连接或与防火墙联动，调用其他程序处理。

主要类型:

①基干主机的入停检测系统(HIDS)：基干主机的入侵检测系统是早期的入侵检测系统结构，通常是软件型的，直接安装在需要保护的主机。。其检测的目标主要是主机系统和系统本地日户，检测原理是根据主机的审计数据和系统日志发现可疑事件。

这种检测方式的优点主要有：信息更详细、误报率要低、部署灵活。这种方式的缺点主要有：会降低应用系统的性能；依赖于服务器原有的日志与监视能力；代价较大；不能对网络进行监测；需安装多个针对不同系统的检测系统。

②基于网络的入侵检测系统(NIDS)：基于网络的入侵检测方式

是目前一种比较主流的监测方式，这类检测系统需要有一台专门的检测设备。检测设备放置在比较重要的网段内，不停地监视网段中的各种数据句，而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析，如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报，甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。

这种检测技术的优点主要有：能够检测那些来自网络的攻击和超过授权的非法访问；不需要改变服务器等主机的配置，也不会影响主机性能;风险低;配置简单。其缺点主要是:成本高、检测范围受局限；大量计算，影响系统性能;大量分析数据流，影响系统性能；对加密的会话过程处理较难；网络流速高时可能会丢失许多封包，容易让入侵者有机可乘：无法检测加密的封包；对于直接对主机的入侵无法检测出。

3、IPS(入侵防御系统)

定义：入侵防御系统是一部能够监视网络或网络设备的网络资料传输行 为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

主要功能

①入侵防护：实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、Dos等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。

②Web安全：基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵 害，及时、有效地第一时间拦截Web威胁。

③流量控制：阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。

④上网监管：全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。

主要类型：

①基于特征的IPS

这是许多IPS解决方案中最常用的方法。把特征添加到设备中，可识别当前最常见的攻击。也被称为模式匹配IPS。特征库可以添加、调整和更新，以应对新的攻击。

②基于异常的IPS

也被称为基于行规的IPS。基于异常的方法可以用统计异常检测和非统计异常检测。

③基于策略的IPS

它更关心的是是否执行组织的安保策略。如果检测的活动违反了组织的安保策略就触发报警。使用这种方法的IPS，要把安全策略写入设备之中。

④基于协议分析的IPS

它与基于特征的方法类似。大多数情况检查常见的特征，但基于协议分析的方法可以做更深入的数据包检查，能更灵活地发现某些类型的攻击。

4、漏洞扫描设备

定义：

漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测(渗透攻击)行为。

主要功能：

可以对网站、系统、数据库、端口、应用软件等一些网络设备应用进行智能识别扫描检测，并对其检测出的漏洞进行报警提示管理人员进行修复。同时可以对漏洞修复情况进行监督并自动定时对漏洞进行审计提高漏洞修复效率。

①定期的网络安全自我检测、评估

安全检测可帮助客户最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效的利用已有系统，提高网络的运行效率。

②安装新软件、启动新服务后的检查

由于漏洞和安全隐患的形式多种多样，安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来，因此进行这些操作之后应该重新扫描系统，才能使安全得到保障。

③网络承担重要任务前的安全性测试

④网络安全事故后的分析调查

网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在，帮助弥补漏洞，尽可能多得提供资料方便调查攻击的来源。

⑤重大网络安全事件前的准备

重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞，帮助用户及时的弥补漏洞。

主要类型

①针对网络的扫描器:基于网络的扫描器就是通过网络来扫描远程计 算机中的漏洞。价格相对来说比较便宜,在操作过程中,不需要涉及 到目标系统的管理员,在检测过程中不需要在目标系统上安装任何东 西维护简便。

②针对主机的扫描器:基于主机的扫描器则是在目标系统上安装了一 个代理或者是服务,以便能够访问所有的文件与进程,这也使得基于 主机的扫描器能够扫描到更多的漏洞。

③针对数据库的扫描器:数据库漏扫可以检测出数据库的DBMS 漏 洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

5、安全隔离网闸

定义：

安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。由于物理隔离网闸所连接的两个独立网络系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。 

所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

功能模块

安全隔离闸门的功能模块有:

安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证

主要功能：

①阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接，而不能同时与两个网络连接;

②阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP 协议剥离，将原始数据通过P2P的非TCP/IP连接方式，通过存储介质的“写入”与“读出”完成数据转发;

③安全审查：物理隔离网闸具有安全审查功能，即网络在将原始数据“写入”物理隔离网闸前，根据需要对原始数据的安全性进行检查，把可能的病毒代码、恶意攻击代码消灭干净等:

④原始数据无危害性:物理隔离网闸转发的原始数据，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，也不会执行命令等。

⑤管理和控制功能:建立完善的日志系统。

⑥根据需要建立数据特征库:在应用初始化阶段，结合应用要求，提取应用数据的特征，形成用户特有的数据特征库，作为运行过程中数据校验的基础。当用户请求时，提取用户的应用数据，抽取数据特征和原始数据特征库比较，符合原始特征库的数据请求进入请求队列，不符合的返回用户，实现对数据的过滤。

⑦根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略，如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等。

⑧支持定时/实时文件交换;支持支持单向/双向文件交换;支持数字签名、内容过滤、病毒检查等功能。

6、VPN设备

定义：

虚拟专用网络指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没 有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。

主要功能

①通过隧道或虚电路实现网络互联

②支持用户安全管理

③能够进行网络监控、故障诊断。

主要类型：

按所用的设备类型进行分类:

主要为交换机、路由器和防火墙:

(1)路由器式VPN:路由器式VPN部署较容易，只要在路由器上添加VPN服务即可;

(2)交换机式VPN:主要应用于连接用户较少的VPN 网络:

(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式，

许多厂商都提供这种配置类型:

VPN的隧道协议主要有三种，PPTP、L2TP和IPSec，其中PPTP和L2TP协议工作在0SI模型的第二层，又称为二层隧道协议：IPSec是第三层隧道协议。

7、流量监控设备

定义：网络流量控制是一种利用软件或硬件方式来实现对电脑网络流量的控制。它的最主要方法，是引入QoS的概念，从通过为不同类型的网络数据包标记，从而决定数据包通行的优先次序。

主要功能

①全面透视网络流量，快速发现与定位网络故障

②保障关键应用的稳定运行，确保重要业务顺畅地使用网络

③限制与工作无关的流量，防止对带宽的滥用

④管理员工上网行为，提高员工网上办公的效率

⑤依照法规要求记录上网日志，避免违法行为

⑥保障内部信息安全，减少泄密风险

⑦保障服务器带宽，保护服务器安全

⑧内置企业级路由器与防火墙，降低安全风险

⑨专业负载均衡，提升多线路的使用价值

8、防病毒网关(防毒墙)

定义：防病毒网关是一种网络设备，用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阳止的功能，同时部分设备也具有一定防火墙(划分Vlan)的功能。

主要功能

①病毒杀除

②关键字过滤

③垃圾邮件阻止的功能

④部分设备也具有一定防火墙

能够检测进出网络内部的数据，对http、、IMAP和POP3五种协议的数据进行病毒扫描，一旦发现病毒就会采取相应的手段进行隔离或查杀，在防护病毒方面起到了非常大的作用。

9、WAF(Web应用防火墙

定义：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种设备。

主要功能

①审计设备:用来截获所以HTTP数据或者仅仅满足某些规则的会话;

②访问控制设备:用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

③架构/网络设计工具:当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

④WEB应用加固工具:这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB 应用编程错误导致的安全隐患。主要包括防攻击、防漏洞、防暗链、防爬虫、防挂马、抗DDos等。

三、探究校园网安全体系的组成

在一个校园网中，通常会有学校主页、电子邮件系统教学管理系统、学生管理系统、财务系统等多个重要信息系统，这些系统可以通过互联网直接访问。如果不采取防范措施进行访问控制，校园网非常容易受到黑客的攻击。图3-8显示了某校园网的安全体系结构。

图3-8某校园网安全体系结构

在校园网的出口处，通常会布设出口防火墙来实现访问控制。防火墙以检查源IP地址、目的IP地址、协议号、源端口、目的端口的方式来决定是否允许数据通过。在TCP/IP协议中存在着一些标准的服务端口号，如HTTP的端口号为80。通过屏蔽特定的端口，就可以禁止特定的服务，从而有效避免来自外部的网络攻击，隐藏并保护网络内部的计算机。这里的网络攻击是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及系统中的数据进行的攻击。

对重要的数据中心区域，需要布设数据中心防火墙，对数据中心内部服务器进行更加精细的访问控制，并根据特征库对某些攻击行为进行阻断。数据中心防火墙不仅对来自互

联网的访问进行访问控制，对来自内部网络的访问也同样进行访问控制。

通过将网络流量映射给入侵检测系统，可以对网络中的各种行为依据特征库进行更加精准的识别，提前发现某些网络攻击或漏洞利用行为，提升整个网络的安全性。

漏洞扫描工具则每间隔一段时间对数据中心内的所有服务器进行漏洞扫描，提前发现服务器中存在的漏洞，便于管理人员进行修复。

此外还有Web应用防火墙，用于检查网页访问流量。发现有威胁网络安全的网络攻击等行为，该防火墙就马上进行阻断。

出于安全考虑，一些重要的内部应用系统往往被设置为只允许在校园网的内网中访问。当教师们在自己家里办公或是去外地出差，想要远程访问这些内部应用系统的数据资源时，就需要建立一条安全的专用隧道VPN来满足他们的需求。

有些学校设有分校区，分校区必定有使用主校区内网资源的需求。如果主校区与分校区之间是通过公用网络互访，两个校区之间就需要建立一条安全的点对点专用隧道，使分校区不用每次进行VPN拨号就可以直接访问主校区的内网资源。这些功能都是通过布设VPN设备来完成的。

思考与讨论

出口防火墙、数据中心防火墙和Web应用防火墙都属于硬件防火墙。为什么要布设那么多道硬件防火墙？它们与软件防火墙的作用相同吗？

参考：

不同位置的防火墙防护的侧重点不同。其中，出口防火墙对整个内网进行防护，数据中心防火墙对数据中心内的服务器进行防护，Web应用防火墙主要针对网页的访问流量进行防护。

硬件防火墙和软件防火墙的原理相同，但是硬件防火墙的防护性能更好，可以对大规模的攻击进行防护。

四、课堂活动

1.校园网中的网络安全设备有哪些？防护对象分别是什么？主要起到什么作用？

参考：

出口防火墙防护对象为校园网内所有设备，主要作用是将校园网和互联网隔离，并进行访问控制。

数据中心防火墙防护对象为数据中心内所有服务器，主要作用是对数据中心内的服务器进行访问控制。入侵检测系统防护对象为数据中心内所有服务器，主要作用是依据特征库对网络行为进行更加准确的识别，提前发现某些网络攻击或漏洞利用行为。

漏洞扫描工具防护对象为数据中心内所有服务器，主要作用是进行漏洞扫描，提前发现漏洞。

Web防火墙防护对象为数据中心内所有服务器，主要作用是检查网页访问流量，阻断网络攻击行为。

2.信息安全事件可能导致许多威胁，请针对以下情况分别列举应对措施。

(1)网站页面被篡改，出现不符合国家法律的言论

(2)网站被植入木马，受到黑客控制

(3)网站不能提供正常服务

(4)用户信息被售卖，用户权利被侵犯

(5)机密信息被窃取，对国家安全造成威胁

参考：

(1)应立即停止服务，查找网站页面被篡改的原因，并对漏洞进行修复

(2)应立即查杀病毒和木马，确认木马被删除后方可恢复服务。

(3)确认是否为拒绝服务攻击还是系统本身故障造成的，定位原因后恢复服务。

(4)确认用户信息泄露的原因，并进行修复，及时向警方报警。

(5)定位机密信息被窃取的原因，修复漏洞，及时向警方报警。