網絡安全的實驗教學設計

鄧莉，任正偉，張凱

（1.武漢科技大學計算機科學與技術學院，武漢430065；2.智能信息處理與實時工業系統湖北省重點實驗室，武漢430065）

0 引言

一般地，信息安全專業的核心課程大多涉及枯燥、抽象的理論知識[1]，學生在學習過程中對知識點的理解有一定難度，難點積累多了，學習興趣就會慢慢減退甚至消失。學生的學習效果自然會大打折扣。同時，教師在講授專業核心課程時，如果純粹專注于理論知識，會讓學生覺得這些知識太抽象，離實際應用太遠，會導致“知識無用論”的觀點。實踐課程將抽象難懂的理論應用在某些具體場景中，不僅加深對知識點的理解，也讓學生了解理論在實踐中的具體應用，較好地將理論和實踐聯系起來。

信息安全專業，本身具有鮮明的技術性和實踐性特征[2]。而網絡安全作為信息安全專業的核心課程，其實踐性要求更為突出。而網絡安全的實驗環境的軟硬件配置要求多，部署費用高，許多高?，F有的網絡安全實驗以模擬、仿真為主，缺乏真實的操作平臺，學生能夠進行的專業實踐活動非常有限。同時，現有的模擬仿真實驗平臺有一個比較大的缺陷：事先在系統里設置好所有的實驗步驟，學生的實驗內容實際上就是按照既定的步驟再現這個實驗。這種仿真平臺不僅在實驗內容設置上缺乏靈活性，而且一成不變的東西容易導致學生懈怠、缺乏思考。存在不少學生即使在再現完實驗內容后，還是對實驗原理一知半解。

本文首先分析了網絡安全實驗教學的目標，然后，針對這些既定的目標，設計了相應的網絡安全實驗教學內容。

1 網絡安全實驗教學的目標

網絡安全實驗教學是對網絡安全理論教學的輔助和補充，具有不可取代的重要地位。一方面，實驗教學以具體的應用場景或詳細的操作步驟的形式將相關理論教學中的知識重點和難點再現出來，使得原本深奧難懂的知識點變得具象，學生理解起來會容易得多，自然就加深了對相關理論知識點的理解和掌握。另一方面，實驗教學以實際應用問題為例綜合運用網絡安全中各理論知識點，可以考察學生對相關知識點的掌握和靈活應用程度，并將結果反饋到網絡安全的理論教學中，相互促進。

一般地，網絡安全實驗教學內容主要有以下目標：

（1）加深網絡安全理論知識點的理解。

網絡安全理論知識一般涉及原理、算法等，常常抽象深奧，比較難以理解。可以通過實驗教學將深奧難懂的理論知識轉化為具體的實例、操作步驟或實現代碼語句，給學生以直觀感受，加深對原有理論知識的理解。同時，學生通過實驗教學熟悉了相關理論知識點的具體實現和應用場景，對知識點的掌握不僅僅停留在理論層面，較好地將理論和實踐聯系起來，實現了對網絡安全知識點的立體認識[3]。

例如：在介紹主機端口掃描的兩種常見方法：全連接掃描（簡稱全掃描）和TCP SYN 掃描（也稱半掃描）時，學生很難弄清楚這兩種方法的本質區別。雖然學生能粗略了解到全連接是完成了TCP 連接的三次握手的全過程，半連接方式只進行了TCP 連接過程的一半，但是由于不了解這兩種方式的具體實施方法，因此，對全連接掃描和半連接掃描的本質差異的理解，還僅僅停留在原理和概念上，在腦海中的印象并不深刻。在實驗教學中，可以通過分析這兩種掃描方式的核心源代碼，進一步加深對它們的理解。全連接方式可以在用戶態系統調用connect()函數來激發TCP 連接的三次握手過程，并通過該函數的返回值來進行端口狀態的判斷。而半連接方式需要向端口探測方發送設置了SYN 標記的TCP 包，必須使用root 權限創建原始套接字（raw socket）來實現。

（2）實現對網絡安全理論知識點的拓展應用。

網絡安全理論課時有限，對各知識點的講解不可能面面俱到。對應的實驗教學可以在一定程度上對理論教學內容進行拓展和延伸，強化學生對相關知識點掌握的深度和廣度。實驗教學，從技術的實際應用的角度，激發學生對問題的新的分析和思考。理論教學和實驗教學相互補充，夯實網絡安全的基礎知識的同時，提升學生的實踐能力和創新能力。

在學習防火墻技術時，由于硬件防火墻價格昂貴，很少直接在硬件防火墻上進行實驗和配置，一般都使用軟件防火墻。iptables 是用得比較多的Linux 防火墻管理程序，是傳統的管理軟件。針對基于iptables 的軟件防火墻的教學實驗，可以從其安裝、配置、使用等方面來進行，例如：iptables 的語法、常見TCP 服務的啟動和關閉、傳入/出數據包的跟蹤記錄等。通過實驗教學，可以讓學生對iptables 有比較系統和全面的認識。

（3）實現對網絡安全各理論知識點的綜合應用。

網絡安全是信息安全專業本科生的專業核心課程，一般在高年級開設，涉及多門其他專業核心課程的內容。因此，網絡安全實驗教學更多地強調多個知識點的融合，考察學生對不同課程知識點的熟練掌握、靈活應用和銜接[4]。例如：在對一臺目標服務器進行安全性分析時，需要識別出該服務器的操作系統，開放了哪些端口，提供了哪些服務，以及這些服務可能存在的漏洞，服務器賬戶密碼的破解等。這個實驗幾乎涵蓋了所學的大部分安全知識，可以考察學生分析安全問題的嚴密性、邏輯性、系統性等方面。實驗教學可以通過綜合安全應用問題，訓練和培養學生的問題分析能力和動手實踐能力，將理論和實踐進行有效地結合。

2 網絡安全實驗教學的內容設置

針對網絡安全實驗教學的不同目標，確定了相應類型的實驗教學內容。所有實驗被分成三類——驗證型實驗、設計型實驗和綜合型實驗，以實現不同的教學目標。實驗教學內容既包含模擬、仿真實驗平臺里已有的部分實驗，利用這些實驗平臺的優勢，也有自行設計的實驗內容，以彌補實驗平臺的不足。

圖1 列出了網絡安全實驗教學的內容設置，以及不同類型實驗的實例。

圖1 網絡安全實驗教學的內容設置

（1）驗證型實驗

驗證型實驗主要針對網絡安全理論授課中的重點或難點內容而設置的，通常是某單一的知識點。該類實驗的設置主要通過具體的操作步驟和方法在實際的應用場景中加深和鞏固對相關知識點的理解，可以強化學生在專業技術方面的深度掌握，同時也培養學生的動手實踐能力。該類實驗在所有實驗中的比例約為60%，其內容涵蓋了網絡安全的大部分重要知識點。這一部分實驗一般比較獨立，實驗環境和條件相對較低，可以根據需要自行設計題目，也可以直接進行現有模擬仿真平臺里的實驗。

（2）設計型實驗

設計型實驗主要針對網絡安全理論授課中的重點內容而設置的，通常是針對某一重要知識點的延伸和擴展。由于課時的限制，某些重要的知識點在理論授課中難以全面展開去介紹，可以通過實驗教學的形式激發學生自發主動地對相關知識點進行拓展學習。該類實驗培養學生的實踐能力的同時也鍛煉了學生的自學能力，提升了學生的整體專業素質，為學生更好地適應社會做準備。該類實驗在所有實驗中的比例約為20%。這一部分實驗，根據具體內容的實際情況，題目可以自行設計，也可以利用模擬仿真平臺或者虛擬機進行實驗。

（3）綜合型實驗

綜合型實驗主要利用某一應用場景實現對多個網絡安全知識點的考查，是對多個知識點的融合應用，關注不同知識點的交叉和銜接，要求學生的相關知識面寬且有一定深度，并能靈活應用各種不同的專業技術。該類實驗在一定程度可培養學生以專業視角進行分析問題、解決問題的能力。該類實驗在所有實驗中的比例約為20%。這一部分實驗，通常涉及的環節多，實驗環境比較復雜，實驗條件和要求相對較高，一般就利用現有的模擬仿真平臺或者虛擬機進行相關的實驗。

3 結語

網絡安全實驗教學是對相應理論課程的補充和延伸，著重培養學生的動手實踐能力，在一定程度上培養學生分析問題、解決問題的能力。本文分析了網絡安全實驗教學課程的目標，并針對這些目標分門別類地設計了相應的實驗教學內容。