《通信網絡安全與防護》 教案 課次8-第五章 網絡防護技術（上）-教案

《通信網絡安全與防護》課程教案授課時間2021年4月6日周二3-4節(jié)課次8授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學章、節(jié)或主題）：第五章網絡防護技術（上）教學目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握防火墻的基本概念、優(yōu)缺點;（2）重點掌握防火墻的三種實現(xiàn)技術，熟悉防火墻安全規(guī)則的配置;（3）了解網絡安全隔離的基本概念，熟悉網閘的工作原理。教學重點及難點：重點：防火墻的實現(xiàn)技術；難點：防火墻規(guī)則的配置。課堂教學設計（含思政）：本次課教學中注重運用對比分析、實例講解的教學方法，對比分析防火墻與網絡隔離技術的異同，在防火墻規(guī)則設計時結合實例講解，教學中突出防火墻實現(xiàn)技術及規(guī)則配置這一教學重點。教學中注重技術與應用結合，介紹軍事網絡中的防火墻與網絡隔離系統(tǒng)裝備及應用。教學中注重與學員的教學互動，引導學員結合自己平時的認知對照學習。思政要素切入點：通過防火墻技術的發(fā)展，使學生認識到網絡攻防對抗的動態(tài)性，增強整體防護意識，養(yǎng)成日常管網用網嚴謹細致的工作習慣，促進職業(yè)素養(yǎng)提高。教學基本內容課堂教學設計回顧與引入：回顧第四章網絡攻擊技術的主要內容，通過三個測試題檢驗學員對知識點掌握情況；對網絡防護的主要內容進行介紹，并明確本節(jié)課教學目標。本節(jié)內容：（主要內容框架、要點、重點，建議不要寫成講稿）5.1防火墻技術5.1.1防火墻概述1．防火墻基本概念防火墻是在信任網絡與非信任網絡之間，通過預定義的安全策略，對內外網通信強制實施訪問控制的安全應用設備。2．防火墻的優(yōu)點采用防火墻保護內部網絡有以下優(yōu)點：1）防火墻可以保護網絡中脆弱的服務2）防火墻允許網絡管理員定義中心“扼制點”抵抗非法訪問3）防火墻可以增強保密性，強化私有權4）采用NAT的防火墻可以節(jié)約地址資源5）防火墻可以方便的進行審計和告警3．防火墻的缺點雖然防火墻可以提高內網的安全性，是網絡安全體系中極為重要的一環(huán)，但不能因為有了防火墻就可以高枕無憂。因為防火墻也有一些缺陷和不足，主要體現(xiàn)在以下幾點：1）防火墻無法防護內部網用戶的攻擊2）防火墻無法防護病毒，也無法抵御數(shù)據驅動型的攻擊3）防火墻不能防范不通過它的攻擊4）防火墻不能防備新的網絡安全問題5.1.2防火墻的常用技術防火墻的主要技術包括包過濾、應用代理和狀態(tài)檢測技術。1．包過濾技術采用包過濾技術的防火墻稱為包過濾型防火墻，因為它工作在網絡層，又叫網絡級防火墻。包過濾防火墻可以通過檢查每個包的源IP地址、目的IP地址、運輸層端口等信息來決定是否允許此數(shù)據包通過。包過濾的工作過程如下。2．應用代理應用代理工作在網絡的應用層，其實質是把內部網絡和外部網絡之間直接進行的業(yè)務由代理接管。應用代理防火墻能夠完全控制網絡信息的交換，控制會話過程，具有較高的安全性。其缺點主要表現(xiàn)在：1）軟件實現(xiàn)限制了處理速度，易于遭受拒絕服務攻擊；2）需要針對每一種網絡服務開發(fā)應用層代理，開發(fā)周期長，而且升級較困難。3．狀態(tài)檢測技術狀態(tài)檢測又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展。狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據流看待，構成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。狀態(tài)檢測技術檢查的項目除了傳統(tǒng)的包過濾技術檢查的IP地址與端口號以外，還需要檢查連接狀態(tài)與上下文信息。5.1.3防火墻的功能性能分析1．功能指標衡量防火墻的基本功能指標包括防火墻提供的接入方式、安全區(qū)劃分、訪問控制功能。支持不同接入方式防火墻提供的接入方式包括透明接入、路由或NAT接入及混合接入三種接入方式。2）安全區(qū)劃分3）訪問控制功能2．性能指標防火墻的性能指標：并發(fā)連接數(shù)、吞吐量、時延等。5.3安全隔離技術實際工作中，我們經常會面臨在不同安全等級網絡間的數(shù)據交換需求，傳統(tǒng)的做法是采用“人工拷盤”，這種解決方案可以實現(xiàn)網絡的安全隔離，但數(shù)據交換通過人工來實現(xiàn)，工作效率低；且安全性完全依賴于人的因素，可靠性無法保證。1．安全隔離的基本概念安全隔離是指把兩個或兩個以上可路由的網絡（如TCP/IP）通過不可路由的協(xié)議進行數(shù)據交換而達到隔離目的。目前，在我國，網閘是一種廣泛使用的安全隔離產品。不同生產廠商，又稱之為安全隔離網閘、物理隔離網閘、安全隔離與信息交換系統(tǒng)等，這些產品都是為了在確保安全的前提下實現(xiàn)有限的數(shù)據交流。2．網閘的工作原理1）網閘的結構通常，網閘內部采用“2+1”模塊結構設計，即包括外網主機模塊、內網主機模塊和隔離交換模塊。2）網閘的工作過程3．網閘的應用場景不同的涉密網絡之間；同一涉密網絡的不同安全域之間；與Internet物理隔離的網絡與秘密級涉密網絡之間；未與涉密網絡連接的網絡與Internet之間內容小結：防火墻的定義、功能與不足防火墻的主要技術防火墻的功能與性能；網閘的基本概念、結構、工作原理、應用場景。板書提綱：$5.1防火墻一、防火墻概述1．基本概念2．優(yōu)缺點二、防火墻的常用技術1．包過濾技術2．應用代理3．狀態(tài)檢測技術三、防火墻的功能性能1．功能指標：接入方式、安全區(qū)劃分、訪問控制2．性能指標：并發(fā)連接數(shù)、吞吐量、時延$5.3安全隔離技術1．基本概念2．網閘工作原理3．網閘應用場景知識擴展：了解指揮專的防火墻與安全隔離系統(tǒng)全程PPT輔助講解請學員談談所了解的網絡安全防護手段有哪些？引出教學內容對照實例，講解防火墻規(guī)則的配置，強調防