防火墻技術(shù)課程標(biāo)準(zhǔn)

<<防火墻技術(shù)>>課程原則學(xué)分:6參考學(xué)時(shí):68學(xué)時(shí)一、課程的性質(zhì)本課程的計(jì)算機(jī)應(yīng)用技術(shù)(信息安全)專業(yè)的核心課程之一,其目的是培養(yǎng)學(xué)生網(wǎng)絡(luò)防火墻、IPS入侵防御技術(shù)、VPN技術(shù)等網(wǎng)絡(luò)安全產(chǎn)品配備的核心職業(yè)能力.使學(xué)生掌握防火墻設(shè)計(jì)方略、IPS的配備與管理、VPN配備管理等網(wǎng)絡(luò)安全防備辦法,含有公司網(wǎng)絡(luò)安全、資源維護(hù)所需要的基本技能.課程的基本理念1、網(wǎng)絡(luò)信息安全的基本理念網(wǎng)絡(luò)安全是指運(yùn)用網(wǎng)絡(luò)管理、控制或用技術(shù)方法保障一種網(wǎng)絡(luò)環(huán)境里的信息數(shù)據(jù)的保密性、完整性和可用性。具體地說，網(wǎng)絡(luò)安全要確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)在存儲(chǔ)、解決、傳輸信息數(shù)據(jù)的保密性、完整性和可用性，確保對(duì)授權(quán)正當(dāng)顧客的服務(wù)和限制非授權(quán)顧客的服務(wù)。網(wǎng)絡(luò)安全涉及兩方面內(nèi)容，即網(wǎng)絡(luò)的系統(tǒng)安全和網(wǎng)絡(luò)的信息安全。系統(tǒng)安全涉及系統(tǒng)的軟、硬件和固件的安全性，涉及計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的ＣＰＵ操作系統(tǒng)、存儲(chǔ)器、路由器等的安全；而信息安全涉及信息數(shù)據(jù)的存儲(chǔ)、解決、傳輸?shù)陌踩?，涉及信息的保密性、完整性和可用性。下列重要?duì)網(wǎng)絡(luò)信息安全的基本理念及防止方法做具體分析研究。（一）、網(wǎng)絡(luò)信息安全的基本概念信息安全涉及信息數(shù)據(jù)的存儲(chǔ)、解決、傳輸?shù)陌踩婕靶畔⒌谋Ｃ苄?、完整性和可用性。信息保密性目的是為了避免非授?quán)者獲取、破壞信息系統(tǒng)中的秘密信息；信息完整性是解決信息的精確、有效，避免信息數(shù)據(jù)被篡改和破壞；信息可用性是確保網(wǎng)絡(luò)資源在需要時(shí)即可使用，不由于系統(tǒng)的故障或誤操作而使資源丟失或不能被使用，還涉及含有某些不正常狀況下系統(tǒng)的繼續(xù)運(yùn)行的能力。（二）、網(wǎng)絡(luò)信息安全的發(fā)展變化網(wǎng)絡(luò)信息安全是在信息技術(shù)的發(fā)展和對(duì)抗中不停發(fā)展和充實(shí)的。信息安全的發(fā)展大致經(jīng)歷了三個(gè)階段，即通信保密階段、計(jì)算機(jī)系統(tǒng)安全階段以及計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全階段。７０年代以前的通信保密階段重要采用密碼技術(shù)解決數(shù)據(jù)在電信網(wǎng)上傳輸?shù)谋Ｃ苄?。這一階段重要的安全威脅是外部的竊聽、接受破譯及內(nèi)部操作員的違規(guī)通信。在７０－８０年代的計(jì)算機(jī)系統(tǒng)安全階段，則重要采用密碼技術(shù)、訪問控制技術(shù)、身份鑒定技術(shù)等安全方法，保障信息的保密性和完整性，保障計(jì)算機(jī)系統(tǒng)為授權(quán)顧客所使用。這一階段的重要威脅來自外部的非法訪問，操作員使用脆弱口令等。９０年代后來，隨著計(jì)算機(jī)網(wǎng)絡(luò)特別是因特網(wǎng)發(fā)展，構(gòu)成網(wǎng)絡(luò)信息系統(tǒng)的安全保障系統(tǒng)，不僅需要確保信息系統(tǒng)存儲(chǔ)、解決、傳輸信息數(shù)據(jù)的保密性、完整性和可用性，還要解決對(duì)正當(dāng)顧客的服務(wù)和限制非授權(quán)顧客的服務(wù)，解決身份的真實(shí)性，解決信息傳輸過程的不可否認(rèn)性。另外，信息系統(tǒng)還要設(shè)立必要的防御攻擊的方法。這階段的重要威脅是外部的網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗以及內(nèi)部的違規(guī)操作和惡意報(bào)復(fù)。（三）、計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全威脅的來源與７０年代之前通信保密階段安全威脅的來源，現(xiàn)在的計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全威脅也重要來自外部因素和內(nèi)部因素。外部威脅一是無組織的黑客攻擊，二是有組織的網(wǎng)絡(luò)攻擊。前者是個(gè)人行為，后者則發(fā)展為信息戰(zhàn)。兩者都是憑借計(jì)算機(jī)技術(shù)和通信技術(shù)侵入到計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中，但黑客攻擊相對(duì)獨(dú)立無組織，而網(wǎng)絡(luò)攻擊是有組織的軍事斗爭手段，是信息戰(zhàn)的一種形態(tài)。外部攻擊有兩種目的：一是以刺探、破壞信息為目的，另一是獲取信息內(nèi)的秘密文獻(xiàn)，進(jìn)而為篡改文獻(xiàn)命令，即獲取情報(bào)為目的。前者重要體現(xiàn)為多個(gè)計(jì)算機(jī)病毒，后者則是秘密地竊取情報(bào)，和前者相比，更不容易被發(fā)現(xiàn)，所造成的危害也就更深遠(yuǎn)某些。內(nèi)部人員的威脅行為分為違規(guī)操作和惡意報(bào)復(fù)。其中違規(guī)操作是造成外部威脅得逞的重要因素。如內(nèi)部人員私自通過實(shí)名計(jì)算機(jī)直接進(jìn)入因特網(wǎng)，造成計(jì)算機(jī)內(nèi)存儲(chǔ)的秘密文獻(xiàn)被竊；又如不經(jīng)病毒過濾私自從互聯(lián)網(wǎng)上下載多媒體影音數(shù)據(jù)，造成計(jì)算機(jī)的感染。另外，內(nèi)部人員的惡意報(bào)復(fù)在公司也時(shí)有發(fā)生，如對(duì)公司不滿的計(jì)算機(jī)工作人員惡意破壞數(shù)據(jù)庫軟件，造成數(shù)據(jù)丟失和系統(tǒng)故障；公司的工業(yè)間諜還通過信息系統(tǒng)獲取工業(yè)秘密，造成公司的重大損失；銀行內(nèi)部的計(jì)算機(jī)員工運(yùn)用計(jì)算機(jī)對(duì)銀行業(yè)務(wù)的識(shí)別進(jìn)行計(jì)算機(jī)犯罪等。三、課程目的該課程重要任務(wù)是使學(xué)生能夠理解防火墻、VPN等網(wǎng)絡(luò)安全產(chǎn)品的核心技術(shù)，理解防火墻、VPN解決方案中多個(gè)重要網(wǎng)絡(luò)硬件、軟件設(shè)備的功效、原理及互相間的聯(lián)系和作用，能夠使用和配備有關(guān)的網(wǎng)絡(luò)安全設(shè)備和軟件。理解重點(diǎn)掌握對(duì)于網(wǎng)絡(luò)安全的解決方案，基于成本的設(shè)備選型，多個(gè)設(shè)備網(wǎng)絡(luò)安全性能的配備、掌握在不同典型工作環(huán)境中網(wǎng)絡(luò)安全產(chǎn)品的設(shè)立。具體以下：

1．能夠純熟掌握防火墻的配備與管理

2．能夠掌握IPS的配備與管理

3．能夠進(jìn)行入侵檢測配備與管理

4．能夠純熟掌握VPN的配備與管理

5．能夠掌握UTM的配備與管理四、本課程與其它課程的關(guān)系<<防火墻技術(shù)>>是基于信息安全班開設(shè)的課程,本課程的學(xué)習(xí)是基于其它網(wǎng)絡(luò)課程的開設(shè).有運(yùn)用培養(yǎng)學(xué)生的網(wǎng)絡(luò)安全意識(shí),形成一定的網(wǎng)絡(luò)安全知識(shí).五、教學(xué)設(shè)計(jì)思路《防火墻技術(shù)》強(qiáng)調(diào)以工作過程作為學(xué)生的重要學(xué)習(xí)手段，采用項(xiàng)目教學(xué)法，融教學(xué)、為一體，讓學(xué)生“在學(xué)中做，在做中學(xué)”，通過對(duì)VPV、防火墻、入侵檢測等網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行配備和管理，使學(xué)生真正掌握網(wǎng)絡(luò)安全的核心專業(yè)技能，達(dá)成社會(huì)對(duì)高技能人才的規(guī)定。

本課程通過完畢每個(gè)任務(wù)的實(shí)驗(yàn)，培養(yǎng)學(xué)生選擇并配備管理防火墻、VPN等網(wǎng)絡(luò)安全產(chǎn)品的能力，使學(xué)生全方面掌握選擇并使用網(wǎng)絡(luò)安全產(chǎn)品這個(gè)典型工作任務(wù)所需要的技能。任務(wù)1：防火墻的配備與管理

任務(wù)2:IPS的配備與管理

任務(wù)3：入侵技術(shù)的配備與管理

任務(wù)4:VPN的配備與管理

任務(wù)5:UTM的配備與管理六、課程內(nèi)容1.能力解析表能力目的能夠純熟掌握防火墻的配備與管理編號(hào)01具體描述能夠理解與防火墻有關(guān)的軟、硬件設(shè)備的類型、特點(diǎn)等信息，通過閱讀產(chǎn)品闡明書，進(jìn)行設(shè)備的連接和實(shí)驗(yàn)環(huán)境的搭建，能夠合理設(shè)計(jì)方案，設(shè)立安全方略，進(jìn)行參數(shù)的配備和成果的驗(yàn)證。環(huán)節(jié)1．閱讀產(chǎn)品闡明書，進(jìn)行設(shè)備的連接和環(huán)境的搭建

2．初始化安裝，進(jìn)行基本配備

3．安全方略的配備及驗(yàn)證4.NAT實(shí)驗(yàn)，配備及驗(yàn)證工具與設(shè)備1．計(jì)算機(jī)、服務(wù)器（W己b、FTP、郵件）

2．防火墻

3．交換機(jī)

4．必要的網(wǎng)絡(luò)附件知識(shí)基礎(chǔ)1．計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)、網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)、網(wǎng)絡(luò)互聯(lián)知識(shí)2．防火墻的基本原理，端口控制NAT

3．防火墻設(shè)備的配備辦法態(tài)度、素質(zhì)1．認(rèn)真認(rèn)真

2．考慮周到全方面

3．工作規(guī)范考核原則1．對(duì)的安裝、配備防火墻2．對(duì)的設(shè)立防火墻安全方略3．對(duì)的撰寫實(shí)驗(yàn)文檔和統(tǒng)計(jì)實(shí)驗(yàn)過程2.基本框架序號(hào)學(xué)習(xí)任務(wù)學(xué)習(xí)活動(dòng)參考學(xué)時(shí)1防火墻的配備與管理1.1理解防火墻的基本知識(shí)21.2理解防火墻的布署的基本規(guī)則和條件41.3根據(jù)需求,制訂防火墻的規(guī)劃布署方案21.4按照規(guī)劃方案,組織項(xiàng)目施工21.5施工完畢,測試防火墻的性能41.6項(xiàng)目驗(yàn)收,答辯,提出改善建議2小計(jì)16序號(hào)學(xué)習(xí)任務(wù)學(xué)習(xí)活動(dòng)參考學(xué)時(shí)2IPS的配備與管理2.1理解入侵檢測系統(tǒng)的基本原理22.2理解入侵檢測系統(tǒng)的安裝布署辦法42.3根據(jù)需求,制訂入侵檢測系統(tǒng)測試方案22.4按照規(guī)劃方案,完畢入侵檢測系統(tǒng)的安裝和布署22.5施工完畢,運(yùn)用入侵檢測系統(tǒng)測試系統(tǒng),分析入侵檢測的成果.42.6項(xiàng)目驗(yàn)收,答辯,提出改善建議2小計(jì)163VPN的配備與管理3.1理解不同VPN的有關(guān)知識(shí),分類,特點(diǎn)及其應(yīng)用43.2理解多個(gè)VPN的應(yīng)用環(huán)境23.3根據(jù)實(shí)際需要,進(jìn)行VPN的布署和配備43.4按照規(guī)劃方案,組織完畢任務(wù)23.5測試VPN產(chǎn)品的性能23.6工程驗(yàn)收,答辯,提出改善建議2小計(jì)164UTM的配備與管理4.1理解不同UTM的基本知識(shí)44.2理解UTM的布署的基本規(guī)則和條件24.3根據(jù)需求,制訂UTM的規(guī)劃布署方案44.4按照規(guī)劃方案,組織項(xiàng)目實(shí)施24.5施工完畢,測試UTM性能24.6工程驗(yàn)收,答辯,提出改善建議2小計(jì)16總計(jì)64七、課程實(shí)施建議1教材編寫

①.應(yīng)根據(jù)課程原則編寫教材，教材內(nèi)容應(yīng)充足體現(xiàn)崗位任務(wù)職業(yè)能力需求、以能合用職業(yè)崗位工作為設(shè)計(jì)前提。

②.教材應(yīng)以本課程對(duì)應(yīng)崗位的職業(yè)活動(dòng)，對(duì)應(yīng)職業(yè)能力需求，將職業(yè)能力分解成若干項(xiàng)技能，以單項(xiàng)技能的掌握為目的，設(shè)計(jì)典型項(xiàng)目，項(xiàng)目山簡而繁，理論聯(lián)系實(shí)踐，逐步提高學(xué)生的專業(yè)技術(shù)水平和職業(yè)素養(yǎng)。

③.教材內(nèi)容的設(shè)計(jì)應(yīng)當(dāng)盡量直觀明晰，多采用圖表，最佳配有單元視頻教程，要有真實(shí)環(huán)境感。

④.教材內(nèi)容應(yīng)含有科學(xué)性、實(shí)用性，要將本專業(yè)新技術(shù)、新設(shè)備地納入其中，使內(nèi)容更貼近本專業(yè)對(duì)應(yīng)工作崗位的實(shí)際需要。

⑤.教材中的項(xiàng)目內(nèi)容的設(shè)計(jì)要盡量具體，使其含有可操作性，便于教師指導(dǎo)和學(xué)生學(xué)習(xí)。

⑥.網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)技術(shù)專業(yè)的高端課程，教材編寫要考慮到與前面課程的銜接，同時(shí)也要注意內(nèi)容的難度，課程難度應(yīng)與高職學(xué)生專業(yè)學(xué)習(xí)能力相合用。

⑦.教材內(nèi)容設(shè)計(jì)可考慮與公司職業(yè)證書培訓(xùn)相結(jié)合，使學(xué)生能獲得有關(guān)職業(yè)證書。⑧.網(wǎng)絡(luò)安全管理其技術(shù)內(nèi)容重要是避免黑客（駭客）的入侵，在介紹黑客（駭客）的入侵技術(shù)時(shí)要注意適度，要強(qiáng)調(diào)有關(guān)的法律法規(guī)，避免學(xué)生誤入歧途。

2.教學(xué)建議

①.要建立完整的教學(xué)體系。要使教學(xué)理念能有效實(shí)施，需要建立完整的教學(xué)體系，內(nèi)容應(yīng)涉及教材的編寫，項(xiàng)目教學(xué)視頻節(jié)目的制作，教學(xué)環(huán)境的配套建設(shè)，教學(xué)管理與測驗(yàn)體系以及建立教學(xué)效果的反饋機(jī)制等。

②.在教學(xué)過程中，應(yīng)立足于加強(qiáng)學(xué)生實(shí)際動(dòng)手操作能力的培養(yǎng)，采用項(xiàng)目模塊化教學(xué)，可通過完畢工作任務(wù)和解決具體問題來提高學(xué)生的學(xué)習(xí)愛好，激發(fā)學(xué)生的學(xué)習(xí)熱情。③.應(yīng)提供良好的教學(xué)環(huán)境供學(xué)生使用。教學(xué)環(huán)境應(yīng)盡量與崗位工作環(huán)境相靠近，教學(xué)內(nèi)容應(yīng)以職業(yè)崗位能力需求為根本，教學(xué)要有明確的目的，可課堂教學(xué)應(yīng)與職業(yè)能力對(duì)應(yīng)起來。

④.在培養(yǎng)學(xué)生的職業(yè)能力的過程中，要注意介紹職業(yè)崗位有關(guān)背景知識(shí)，樹立安全、質(zhì)量、成本、效益等意識(shí)。

⑤.在教學(xué)過程中，采用示范、多媒體、現(xiàn)場指導(dǎo)等直觀教學(xué)手段，協(xié)助學(xué)生理解掌握有關(guān)的知識(shí)技能，盡量為學(xué)生發(fā)明頂崗實(shí)踐工作條件。

⑥.要充足結(jié)合本專業(yè)領(lǐng)域的新技術(shù)、新設(shè)備發(fā)展趨勢進(jìn)行教學(xué)，課程教學(xué)要盡量貼近工作現(xiàn)場，充足營造職業(yè)崗位情景的真實(shí)氛圍，為學(xué)生提供較好的職業(yè)發(fā)展空間，努力培養(yǎng)學(xué)生的創(chuàng)新實(shí)踐能力。

⑦.教學(xué)過程中教師應(yīng)主動(dòng)引導(dǎo)學(xué)生提高職業(yè)素養(yǎng)，提高職業(yè)道德修養(yǎng)。3.主講教師規(guī)定

①.改革傳統(tǒng)對(duì)學(xué)生的評(píng)價(jià)手段和辦法，引人目的評(píng)價(jià)，項(xiàng)目評(píng)價(jià)法。

②.進(jìn)行多元性的評(píng)價(jià)，結(jié)合課堂提問、課程作業(yè)、項(xiàng)目實(shí)施效果綜合評(píng)價(jià)。③.既重視學(xué)生在項(xiàng)目進(jìn)行中的獨(dú)立分析問題和解決問題能力的考核，又要重視創(chuàng)新、