信息职业技术学院安全实验室建设方案.docx

1、信息职业技术学院安全实验室建设方案信息职业技术学院安全实验室建设方案1概述 31.1需求分析 31.1.1现状描述 41.1.2设计误区 41.1.3必要性分析 51.2建设目标 51.3建设原则 62某网络安全实验室解决方案 72.1网络拓补结构 72.2分区描述和部署方式 82.2.1网络接入区 82.2.2安全实验A区 92.2.3安全实验B区 92.3方案特点 92.4设备清单 103实验样例 113.1DDOS攻击与防护 113.1.1SYN Flood攻击与防护 113.1.2UDP Flood攻击与防护 133.1.3 CC攻击与防护 153.2WEB服务器应用层攻防样例 173

2、.2.1 SQL注入攻防样例 173.2.2缓冲区溢出 193.2.3目录遍历攻击 213.3通用防火墙样例 233.3.1访问型VPN实验样例 233.3.2站点到站点VPN实验样例 253.3.3访问控制实验样例 263.4入侵检测攻防样例 283.4.1 DDOS攻击入侵预警 283.4.2端口扫描 291概述越来越多的高校开始关注到网络安全这个专业，并且都开始逐步的进行网络安全实验室的建设，但在网络安全实验室的建设中，各高校的建设思路都各不相同，有的高校在进行网络安全实验室建设的时候把攻防实验放在了首位，有的高校将加密技术作为了网络安全实验室的建设重点，更多的高校对于网络安全实验室还在

3、进一步的观望中。那么应该如何建设网络安全实验室，网络安全实验室的建设内容应该包括哪些方面，某作为国内领先的网络实验室解决方案提供商，针对高校用户的网络实验室需求推出了模块化全面的网络安全实验室解决方案。网络安全实验室解决方案的特点在于，在安全实验室解决方案中，并不是因为某一个安全技术才来进行网络安全实验室的搭建，整个网络安全实验室的搭建应该考虑从实际网络应用出发。结合网络的现状以及目前流行的网络安全技术来进行实验室的搭建。通过网络安全实验室，让学生和研究人员不但可以知道什么是网络安全问题，如何去应对这个网络安全问题，直观、全方位地了解各种网络设备的操作及其应用环境，加深对网络原理、协议、标准的

4、理解，同时最重要的是在整个网络安全实验室中，实验者通过学习可以很清楚的了解如何进行有效的网络安全设计从而来避免网络风险的发生以及在网络安全事件发生的第一时刻，如何去有效的解决应对安全问题。1.1需求分析伴随互联网作为的信息交流工具，在人们日常生活中起着重要作用，随着上网人数的增长，互联网上内容也海量增长。正常互联网数据通信在给人展带们来极大的方便的同时，垃圾流量、信息垃圾、入侵、篡改、病毒、虚假广告、色情、暴力、赌博等有害信息也在互联网上日益增长。随着技术的不断发展，新的攻击技术会不断涌现，新的应对技术也会随之产生。正是在这样的背景下，我们在建设网络安全实验室时，应该保证学生的学习、实践内容与

5、互联网的发展保持同步，让学生随时能接触到网络前沿攻防技术，使学生的专业实习能力得到更快的提高及激发他们学习的兴趣。同时，让学生和研究人员不但知道如何应对各种安全问题，而且能够清楚如何进行有效的网络安全设计，规避各种网络安全问题。1.1.1现状描述目前国内虽然已经有一些的高校都已经开设了网络安全专业、同时也有很多高校在准备开设网络安全专业，但我们发现在这些高校中有决大多数的学校都没有进行网络安全实验，甚至有的学校都没有网络实验室，不开设网络安全实验课，只讲授理论。同样，某信息职业技术学院也是这种情况，虽然开设有网络安全课程，却没有网络安全实验室，那么学生的实际动手能力会大大折扣，同时对于网络安全

6、也没有一个实质性的接触，对于攻防实验，攻击技术、工具以及防御措施，甚至是如何规避网络安全问题，都很难做到清晰的认识。1.1.2设计误区国内很多高校，在开设网络安全课程时，往往容易走进一个误区。这个误区可以从两方面来分析：一是网络安全实验室的建设误区，另一个是网络安全课程设计上的误区。网络安全实验室的建设误区很多学校在建设网络安全实验室的时候都会走进一个误区，往往会把攻防、信息加密作为网络安全实验室的建设内容。这其实是一个相对局部的网络安全实验室，因为在这样的环境下锻炼出来的学生他只会很偏重于这一个方面的安全技术动手能力，对于其他方面的了解和能力会大大减弱。在实际的网络环境中，一个安全事件的处理

7、和解决，需要你全方位的了解网络中的相关信息，而不是针对某个方面的了解。所以在建设网络安全实验室的时候，我们要考虑到建设的大局观，让实验室者可以更多的了解到网络中的动态。网络安全课程设计上的误区在很多学校的网络安全课程设计中，往往我们把网络安全定义到应对的课程上去了，也就是我们花了大量的时候和精力来告诉我们的实验者，你应该如何应对这些问题，但我们没有想过我们应该如何去规避这些问题，通过网络的合理设计来实现这个目标。1.1.3必要性分析网络安全应该是一个体系化的课程，针对同一个问题我们可以有多种解决方案，同时针对同一个问题，我们有多种手段来规避。通过建设网络安全实验室，让学生具备这种解决问题和规避

8、问题的能力，是我们开设网络安全课程的目的。而目前国内很多高校的现状： 缺乏适合网络实验教学的师资力量网络安全实验教学师资是目前网络安全实验室教学中的一个重要环节，但目前的网络安全师资由于前期缺乏相应的环境进行实验，所以需要有一个好的环境来保障网络安全教学师资的提升。 缺乏网络实验教学的专用教材目前市面上面的网络安全教材很多，但绝大部分都是以理论为主，并没有针对性的网络安全实验，这也是网络安全实验开展困难的主要问题。 因此，要达到我们开设网络安全课程的目的，建设网络安全实验室的必要性也就不言而喻了。1.2建设目标 人才培养当前的社会需要高素质的毕业生，尤其需要具有实际动手能力和解决问题能力的应用

9、型人才。网络安全作为目前最为热门的网络技术，如何将这些抽象的网络技术，采用实物化的网络实验教学，有效地加深学生对网络技术的理解，提高动手能力和实际环境中发现问题、解决问题的能力。同时通过某的抗DDOS流量清洗实验，让实验者不光能学习到如何进行网络安全事件的处理同时也能清楚的了解通过哪些方式可以杜绝这些安全事件的发生。 科技创新网络安全技术作为一门发展性的技术，需要相关技术人员能及时的进行知识的更新，同时针对网络安全技术的科研人员，也可以通过网络安全实验室这个平台来进行网络安全领域的技术研究。 贡献社会网络作为一个开放的平台，它的安全状态越来越受到关注；整个网络环境越来越糟糕，需要有大量专业的网

10、络安全技术人员来投入到信息安全的保卫战中，通过提高学生的网络安全实战经验可以很好的提高整个网络的安全水平。 学校增辉网络安全作为时下最为热门的专业，学校通过为社会输送高素质的应用型的网络安全人才，以及开发出有价值的科研成果，可以大大提高学校的知名度和美誉度，从而扩大生源、吸引优秀师资力量加盟，为学校的品牌建设做出重大贡献。1.3建设原则 高可靠性。网络实验系统的稳定可靠是应用系统正常运行的前提保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。使得网络在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。 标

11、准性及开放性。通讯协议和接口符合国际标准，支持国际上通用标准的网络协议（如TCP/IP）、 国际标准的开放协议，有利于保证与其他网络在之间的平滑连接互通。方便接入不同厂商的设备和网络产品。在网络中，即使有多个网络和多应用并存，采用统一的标准，也能使这些网络能融合到一起，实现业务整合及数据集中。 灵活性及可扩展性。根据未来业务的增长和变化，网络可以平滑的扩充和升级，最大程度的减少对网络架构和现有设备的调整。易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。 先进性。学校作为最前沿学科和技术研究场所，要求网络实验室要配备最先进的网络设备，能够

12、开展最新技术的科研，教学和实践活动，对网络实验室的设备，网络方案的技术先进性要求非常高。 可管理性。对网络实行集中监测，分权管理，并统一分配宽带资源。选用先进的网络管理平台，具有对设备、软件、接口等的管理，流量统计分析，及可提供故障自动报警。整个实验室平台可以进行远程控制。 安全性。制订统一的安全策略，整体考虑实验平台的安全性。可以通过各业务子网隔离，统一规划，根据不同的业务划分子网。具有保证系统安全，防止系统被人为破坏的能力。2某网络安全实验室解决方案2.1网络拓补结构根据某信息职业技术学院安全实验室的建设目标，同时遵循网络结构合理规划、分区保护的原则，在进行某信息职业技术学院安全实验室建设

13、方案设计时，将网络分区规划为网络接入区、安全实验A区以及安全实验B区。其中安全实验区域又细分为安全设备区及终端控制区。总体拓扑结构如图所示：2.2分区描述和部署方式2.2.1网络接入区网络接入区具有内网数据核心交换及互联网接入两项重要功能。该区域连接网内的所有网络区域，核心交换机将主要通过路由、交换协议对各区域间的数据流量进行集中转发，为保障核心交换机对信息流的处理能力，在核心交换机上将不会进行访问控制或限速等设置网络接入区同时为实验室内终端用户提供访问互联网服务，同时在本区域内也将对访问互联网的数据进行分类和制定访问策略以保障关键数据的正常传输。在核心交换区中，采用一台高可用性交换机作为核心

14、交换机，通过千兆以太链路分别串接上网行为管理设备、外网防火墙以及互联网接入路由器。最终由互联网接入路由器上联至运营商，作为互联网出口。2.2.2安全实验A区安全实验A区是两个安全实验区域中的一个，与安全实验B区一起构成安全实验室的最主要功能区域。安全实验A区根据功能及设备的不同又被细分为安全设备区及终端控制区，下面将分别详细阐述。2.2.2.1安全设备区安全设备区是进行网络安全实验的主要功能区域，该区域中包含了常见的网络安全设备，供学员进行安全攻防演示，其中包括一台DDOS清洗设备用于DDOS攻击的攻击与防护演示；一台WEB应用防火墙用于各种针对WEB服务的攻击与防护演示；一台传统型防火墙用于

15、演示各种访问控制机制；一天入侵检测系统与防火墙联动，用于入侵检测与入侵防御的攻击与防护的演示。另外该区域还包含了各类应用服务器及一台高性能服务器汇聚交换机。该区域设备的具体部署方式为服务器汇聚交换机通过千兆以太链路上连分别串接防火墙、WAF以及DDOS清洗设备，最终连接至网络接入区中的核心交换机。同时汇聚交换机通过前兆以太链路分别与所有应用服务器相连。2.2.2.2终端控制区终端控制区由若干学员操控的PC控制终端构成，通过一台以太网交换机连接至核心区域中的核心交换机，从而对整个网络中所有的安全设备进行操作和监控。同时终端控制PC也可以作为攻击的发起者，用于模拟CC攻击中的受控主机等。2.2.3

16、安全实验B区安全实验B区与安全实验A区在功能及部署方式上完全相同。2.3方案特点网络分区保护模块化设计是本方案设计的主要特点。网络模块化设计是指对网络进行合理划分，形成各功能模块，各模块间彼此独立，通过核心交换区进行数据转发，在结构上实现了网络区域间的松耦合，以此来降低在进行网络区域调整或增减时对整个网络系统所产生的影响，提升网络的可扩展性。在本项目中，安全实验A区与安全实验B区既是两个彼此相对独立的实验区域，可以分别同时进行攻防实验。同时两个区域又可互为攻防源头及目标。同时通过核心区域高性能核心交换机的互联，两个区域又可以作为防护主体，检验来自数十台高性能控制终端PC的模拟攻击，从而实现全方

17、位、多种方式的攻防实际演示。2.4设备清单设备类型序号设备名称数量(台)网络设备1核心交换机12互联网接入路由器13服务器汇聚交换机24终端接入交换机2安全设备5上网行为管理16防火墙57DDOS清洗系统28WAF29IDS2主机设备10机架式PC服务器811终端控制PC60合计863实验样例3.1DDOS攻击与防护3.1.1SYN Flood攻击与防护3.1.1.1实验背景某公司使用防火墙作为网络出口设备连接到Internet，并且公司内部有一台对外提供服务的FTP 服务器。最近网络管理员发现Internet 中有人向FTP 服务器发起SYN Flood 攻击，造成FTP 上存在大量的半开放

18、连接，消耗了服务器的系统资源。经相关人员初步分析，有可能为受到了SYN Flood类型的DDOS攻击。3.1.1.2预备知识TCP协议的工作原理，SYN报文在TCP三次握手中的作用，以及相关安全产品的防护机制等。3.1.1.3实验过程 实验目标通过针对SYN Flood攻击的攻防实验，让实验参与人员详细了解该类型攻击的攻击过程及相关防护机制，并对相关外围知识进行更深刻更形象化的记忆。 实验拓补 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；DDOS清洗设备一台。 实验步骤1. 配置相关DDOS清洗设备

19、syn,tcp等防护触发参数；2. 配置相关web测试服务器，并配置好相关参数；3. 由专用攻击器向测试服务器发送SYN攻击流量，记下服务器的系统状态。 验证测试查看DDOS清洗设备的处理结果及服务器访问状态。3.1.2UDP Flood攻击与防护3.1.2.1实验背景某公司使用防火墙作为网络出口设备连接到Internet，并且公司内部有一台对外提供服务的FTP 服务器。最近网络管理员发现Internet 中有人向FTP 服务器发起UDP Flood 攻击，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定，造成整个网段的瘫痪。3.1.2.2预备知识UDP协议的工作原理，如何防

20、御UDP Flood方法；采取何种参数设置保护被攻击的端口以及相关安全产品的防护机制等。3.1.2.3实验过程 实验目标通过针对UDP Flood攻击的攻防实验，让实验参与人员详细了解该类型攻击的攻击过程及相关防护机制，并对相关外围知识进行更深刻更形象化的记忆。 实验拓补 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；DDOS清洗设备一台。 实验步骤1. 配置DDOS清洗设备udp,tcp防护触发参数；2. 架设好测试服务器，并配置好相关参数；3. 向测试服务器发送攻击流量，记下服务器的系统状态；4.

21、 DDOS清洗设备开启攻击过滤时由专用攻击器向目标服务器发送udp flood等流量型数据包，查看DDOS设备状态及web服务器状态。 验证测试由专用攻击器发送UDP流量型攻击报文；在UDP防护插件开启前后过程中，查看DDOS清洗设备的处理结果及服务器系统状态。3.1.3 CC攻击与防护 3.1.3.1实验背景某公司使用某防火墙作为网络出口设备连接到Internet，并且公司内部有一台对外提供服务的FTP 服务器。最近网络管理员发现Internet 中有人向FTP 服务器发起CC 攻击，导致网页打开很慢，实际访问量却很少；最终导致了正常访问的终止。3.1.3.2预备知识CC攻击工作原理以及相关

22、安全产品的防护机制等。CC攻击为模拟多个用户或进程不停地进行访问那些需要大量数据操作即需要大量CPU时间的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。直到服务器资源耗尽从而达到抗拒绝服务。3.1.3.3实验过程 实验目标通过针对CC攻击的攻防实验，让实验参与人员详细了解该攻击的攻击过程及相关防护机制，并对相关外围知识进行更深刻更形象化的记忆以及CC防护的重要性。 实验拓补 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；DDOS清洗设备一

23、台。 实验步骤1. 配置相关DDOS清洗设备web端口防护触发参数；2. 架设web测试服务器，并配置好相关参数；3. 向测试服务器发送连接性攻击时不开启防护插件，查看web的访问时间，记下服务器的系统状态；4. 开启防护插件前后，由终端控制PC作为傀儡机向web服务器的服务端口发送连接性攻击，查看web的访问时间并记录服务器系统状态。 验证测试由终端控制PC作为傀儡机攻击目标服务器，设置开启防护插件前后，相关服务访问是否正常；查看DDOS清洗设备的处理结果及服务器系统状态3.2WEB服务器应用层攻防样例3.2.1 SQL注入攻防样例3.2.1.1实验背景SQL注入攻击是黑客对数据库进行攻击的

24、常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。3.2.1.2预备知识数据库相关基础知识、网络相关基础知识以及WEB服务的相关基础知识。3.2.1.3实验过程 实验目标通过实验，验证WAF的工作机制-验证数据合法性，防止任意输入参数，对服务器造成破坏。了解SQL注入攻击的攻击原理，以及相关防护设

25、备的防护机制。 实验拓补 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；WEB应用防火墙即WAF一台，汇聚交换机两台。 实验步骤1. 在WAF中配置相关防护参数；2. 操作操作攻击机对WEB服务器输入相应的SQL注入字符串，进行SQL注入攻击；3. 查看WAF相关日志及参数报表，并记录WEB服务器工作状态； 验证测试观察并记录在WAF开启保护与关闭保护不同的工作方式下，WEB服务器的工作状态。3.2.2缓冲区溢出3.2.2.1实验背景缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量

26、，溢出的数据覆盖在合法数据上。理想的情况是：程序会检查数据长度，而且并不允许输入超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区，又被称为“堆栈”，在各个操作进程之间，指令会被临时储存在“堆栈”当中，“堆栈”也会出现缓冲区溢出。缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统关机、重新启动等后果。3.2.2.2预备知识数据库相关基础知识、网络相关基础知识以及WEB服务的相关基础知识。3

27、.2.2.3实验过程 实验目标通过实验，验证WAF的工作机制-验证数据合法性，防止任意输入参数，对服务器造成破坏。了解缓冲区溢出攻击的攻击原理，以及相关防护设备的防护机制。 实验拓补 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；WEB应用防火墙即WAF一台，汇聚交换机两台。 实验步骤1. 在WAF中配置相关防护参数；2. 针对WEB服务器提交相应攻击字符串，施行缓冲区溢出攻击；3. 查看WAF相关日志及参数报表，并记录WEB服务器工作状态。 验证测试观察并记录在WAF开启保护与关闭保护不同的工作方式

28、下，WEB服务器的工作状态。3.2.3目录遍历攻击3.2.3.1实验背景对于一个安全的Web服务器来说，对Web内容进行恰当的访问控制是极为关键的。目录遍历是Http所存在的一个安全漏洞，它使得攻击者能够访问受限制的目录，并在Web服务器的根目录以外执行命令。许多Web 应用程序日常操作的一部分就是使用和管理文件。通过使用没有设计或部署好的输入验证方法，攻击者可以利用该系统读/写原本不能访问的文件3.2.3.2预备知识网络相关基础知识以及WEB服务的相关基础知识。3.2.3.3实验过程 实验目标通过实验，验证WAF的工作机制-验证数据合法性，防止任意输入参数，对服务器造成破坏。了解缓冲区溢出攻

29、击的攻击原理，以及相关防护设备的防护机制。并了解目录遍历攻击的具体过程及危害，同时了解WAF在防御目录遍历攻击过程中的工作方式。 实验拓补 实验设备实验设备包括Web服务器一台，作为模拟受攻击服务器；高性能服务器若干台，作为模拟的攻击机；终端控制PC若干，作为设备管理及模拟用户；WEB应用防火墙即WAF一台，汇聚交换机两台。 实验步骤1. 在WAF中配置相关防护参数；2. 针对WEB服务器提交相应攻击字符串，施行目录遍历攻击；3. 查看WAF相关日志及参数报表，并记录WEB服务器工作状态。 验证测试观察并记录在WAF开启保护与关闭保护不同的工作方式下，WEB服务器的工作状态。3.3通用防火墙样

30、例3.3.1访问型VPN实验样例3.3.1.1实验背景某高校为了将校园网的服务范围进一步沿伸，决定规划建设VPN服务器，来为远程用户提供校园网内部资源的访问权限，并通过VPN系统分配給远程用户的内网地址来访问购买国外数据库资源。国外数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户；而只要是从校园网出去的IP地址都是认可的，所以校园网上的所有上网计算机都可以使用。如果教师在家里上网，无论采用PSTN拨号、ADSL、小区宽带，使用的都是社会网络运营商提供的IP地址，不是校园网的IP地址范围，因此数据库服务商认为是非授权用户，拒绝访问。因此学校希望新建设的VPN系统可以保证合法的校外用户

31、能够通过校园网VPN平台中转来访问校内资源和国外数据库资源。3.3.1.2预备知识PPTP协议原理基础，策略路由的实现原理及配置，PPTP VPN的实现原理及配置，AAA授权认证原理及配置，ACL访问控制列表的匹配规则及配置，安全控制的原理及配置，相关通用防火墙的过滤机制。3.3.1.3实验过程 实验目标在实验室环境根据具体真实网络建设搭建模拟环境进行综合应用实验，指导学员如何规划实现远程VPN拨入访问网络，从而让学生对应用型VPN的原理以及实现过程有更加深入的了解。 实验拓补 实验设备实验设备包括PC若干台，模拟远程VPN用户；服务器若干台，模拟校园网络内服务器；三层交换机2台；通用防火墙1台 实验步骤1. 网络设备的基本配置，包括IP地址池配置，路由策略配置，ACL配置，VPN配置，AAA授权配置；2. SAM配置；3. 配置客户端VPN；