“網絡安全”課程中的實踐教學研究與探索

摘要：本文通過防火墻綜合實驗的設計與開發，對在“網絡安全”課程教學中如何將理論教學的知識點有機地融入實踐教學，通過實踐教學培養學生的綜合運用能力、獨立解決問題能力、團結協作能力和工程實踐能力等問題做了較深入的研究和有益的探索。

關鍵詞：網絡安全；實踐教學；綜合性設計性實驗

中圖分類號：G64 文獻標識碼：A

文章編號：1672-5913（2007）01-0038-03

1 引言

“網絡安全”是信息安全本科教學的主要專業課程之一，教學內容主要包括：數據加密、計算機病毒與防治、黑客入侵技術、網絡協議安全、防火墻技術、入侵檢測技術和入侵者跟蹤技術等。是一門綜合性很強的課程，與網絡工程技術也有密不可分的聯系。為了更好地突出實踐教學在該課程教學中的作用，該課程將學時數設為：理論教學32學時，實踐教學24學時。課時比例為4∶3。從課時分配上充分肯定了實踐教學在教學中的重要性。為此，如何開展實踐教學？如何更好地將理論教學的知識點有機地融入到具體的實驗中去？使學生不僅能夠通過實驗理解和掌握理論教學的內容，還能通過實驗了解和掌握一定的工程技術知識，培養和鍛煉學生的分析能力、綜合解決問題的能力和實際動手能力，就成為我們在實踐教學研究中的主要問題。本文僅以防火墻綜合實驗的設計與開發為例，闡述教學組在實踐教學過程中所做的具體研究和探索。

2 確定實踐教學的理論知識點

作為重要的網絡安全技術之一，理論教學中的防火墻技術主要涵蓋以下知識點：數據包過濾技術、代理技術、 狀態檢測技術、地址轉換技術、內容檢測技術和VPN技術等。教學組根據實驗室提供的硬件防火墻設備和相應實驗環境，首先確定了綜合實驗中應該包含的知識點為：地址轉換技術、數據包過濾技術、狀態檢測技術、內容檢測技術和入侵者跟蹤。這些知識點從不同協議層次和不同安全角度較典型地反應了防火墻技術的應用特點。對這些知識點的理解和掌握可以通過硬件防火墻的地址轉換功能、包過濾功能、狀態檢測功能、黑名單設置功能、反地址掃描功能和日志輸出功能加以實現。

3 設計模擬的用戶需求

為了更好地將以上的知識點融入到具體實驗中，使學生學會通過分析判斷來提煉問題，根據具體問題自行設計安全方案，我們在綜合實驗中設計了一個模擬的安全需求，具體如下：

某公司因業務需要欲組建一個網絡，組網的安全要求為：

● 公司內部網絡采用私有IP地址，并與外網隔離；

● 公司內部只有指定計算機可以訪問外網，每次訪問要有詳細的日志信息；內部網絡能夠防范來自Internet的惡意攻擊，如地址掃描和病毒等；

● 公司對外提供WWW、FTP服務，但外部網絡只有特定用戶可以訪問內部服務器。

這一用戶需求巧妙地將實踐教學的知識點隱藏了起來，給學生提供了一個綜合分析問題的空間。學生只有通過認真的需求分析，反芻所學的理論知識，才能正確地確定采用何種防御技術組網。從而培養和鍛煉了學生的分析能力。

4 引入網絡工程知識

防火墻既是網絡安全的主要防御工具，也是網絡工程的重要組成部分。一個完整的防火墻體系不僅與防火墻的安全策略有關，還與組成網絡的計算機、服務器、路由器、交換機等硬件設備的連接配置和操作系統等軟件的使用密不可分。為了培養學生的實際動手能力和工程實踐能力，讓學生通過實踐教學了解實際組網工程的相關流程，我們將網絡工程中的系統集成、網絡規劃與設計等相關知識引入實驗，在教學內容中明確要求學生在實驗室提供的軟硬件設備基礎上進行網絡規劃，提出組網方案，完成需求分析、軟硬件設備選擇、網絡系統選擇、拓撲結構設計、組網地址信息規劃等工程內容。并按自己設計的組網方案完成網絡組建。

作為網絡安全系統規劃設計的第一步，需求分析中我們強調了以用戶的安全需求為基礎進行分析，目的是使學生更好地運用所學的安全防御知識來組網。這比一般的網絡規劃設計更進了一步。每個學生都可以根據工程的實際安全需求提出自己認為最好的方案，而在實驗步驟中，我們僅僅給出了幾個參考步驟，更多、更細的步驟則作為實驗報告的內容讓學生在反復摸索中完成并提交。

網絡安全規劃除了對一般組網的軟硬件設備進行選擇外，還包括對安全產品的選擇。安全系統的規劃則要求學生在安全需求分析的基礎上進行網絡拓撲結構設計、組網地址信息規劃以及網絡操作系統的選擇。方案的實施包括硬件組網、各種操作系統的安裝配置；路由器和交換機的配置，以及硬件防火墻的配置等。其中硬件防火墻的配置體現了安全防御方案的主要內容。如：地址轉換、報文過濾、攻擊防范和入侵者跟蹤技術等。結果的檢驗要求學生在組建好的網絡環境中進行。這一環節可以幫助學生發現問題，檢驗實驗完成情況。

顯然，要完成這些實驗內容，學生必須了解相應的網絡工程知識、操作系統知識；了解路由器、交換機和防火墻等硬件設備的功能特性等，從而達到培養和鍛煉學生綜合運用知識能力、動手能力和一定的工程實踐能力的目的。

5 改革實驗方法

5.1 指導而不引導

為了更好地培養和鍛煉學生的獨立工作能力和創造性思維能力，在實踐教學中，我們沒有給出學生具體的實驗方法步驟，也不要求學生按某個固定方法步驟進行實驗。而是根據實驗目的給學生提供了一個簡略的參考步驟，供學生參考，大致內容如下：

1）需求分析。從基本的安全防護需求、內網對外網的訪問控制需求、每個安全區域內的安全防御需求、攻擊防范需求等方面考慮。

2）網絡規劃。從組網的軟硬件設備、使用的網絡系統、網絡的總體結構等方面考慮。

3）網絡系統設計。從規劃網絡拓撲結構、規劃組網地址信息、選擇網絡操作系統等方面考慮。

4）方案實施。具體組網并配置相應硬件設備。

5）結果檢測。按用戶的安全需求在組建好的網絡上進行驗證。

這個參考步驟給毫無工程實踐經驗的學生提供了一個框架性的實驗指導，但每一步的具體內容還要學生自己充實完成。這樣就為學生充分發揮主觀能動性留下了較大的空間。

5.2 分組開設實驗

由于綜合實驗包含了較多的實驗內容和較大的工作量，我們將實驗設計為分組進行，每組4~6人，要求學生自報或推選產生一名組長，有組織、有計劃地完成這個綜合性實驗。組織和計劃的內容包括：確定實驗完成的計劃進度表；明確每位組員要完成的工作；定期組織組員討論實驗中遇到的問題并共同確定解決方案；及時與指導教師聯系取得教師的指導等。這種實驗方式擺脫了學生在實驗過程中的孤立性和被動性，使學生可以通過相互交流討論開拓視野，提高動手動腦的興趣。同時也鍛煉了學生的組織能力、交流能力和協作能力。

5.3 列出參考資料，開拓學生視野

由于綜合實驗涉及了較多的安全和工程知識點，同時由于不同的硬件生產廠家生產的硬件在結構和配置命令方面都不相同，組網方法也各有千秋，學生會在初涉實驗時感到無從下手。為此，我們除在實驗指導書中說明了實驗預備知識外，還列出了相關參考資料，讓學生通過資料的查詢收集完成相關的實驗內容，從而培養學生的學習能力和資料檢索運用能力，開拓學生的視野。

6 實驗實施情況

本實驗已作為2004級“信息安全”專業本科課程設計題目進入教學環節，學生以團隊組合的方式參加，根據實驗要求完成實驗報告。目前實施情況良好。例如，某學生團隊在課題完成后給出了課程設計報告，較好地反映了學生們的思維過程和解決問題的思路，如表1和圖1所示。

表1 安全需求分析及解決方案

圖1 規劃的網絡拓撲結構

報告的最后還提交了測試記錄說明和詳細配置命令。

從學生提交的實驗報告可以看出，學生通過實驗已基本掌握了如何運用安全理論知識設計一個具體的安全防御方案，基本掌握了面向實際工程的網絡規劃、設計和實現方法，達到了實踐教學的目的。

7 結束語

實踐教學是理論教學的完善和補充。教學效果良好的實踐教學應能充分融合理論教學的重要知識點，打破理論教學的課程界限，更好地體現學科的綜合性，更多地面向工程實際，使教師通過實踐教學能夠真正培養學生的獨立思考能力、綜合運用能力、實際動手能力、發明創造能力和團隊協作能力。我們的教學研究充分證明了這一點。

參考文獻：

[1]卿斯漢，蔣建春.網絡功防技術原理與實踐[M].北京：科學出版社，2004.

[2]鄧亞平.計算機網絡安全[M].北京：人民郵電出版社，2004.

投稿日期：2006-10-18

作者簡介：諶黔燕，女，大學本科，工程師，主要研究方向：計算機安全教學、實驗。