“1+X”證書制度下防火墻仿真實驗教學中層次化教學設計

王蓉蓉

（陜西財經職業技術學院，陜西咸陽 712000)

0 引言

“1+X”證書制度試點工作作為職業教育教改新舉措之一，在國務院印發的《國家職業教育改革實施方案》中被首次提出[1]。“1+X”證書制度不僅是國家完善職業教育和培訓體系，提高教學質量和師資力量的關鍵舉措，還是提高學生專業水平，增強就業能力的關鍵舉措。

當今網絡安全越來越受到重視，習近平總書記指出“沒有網絡安全就沒有國家安全”。防火墻、虛擬專用網和入侵檢測等與網絡設備相關的安全技術對于保障網絡安全有著極大的作用。“防火墻技術”課程是高職院校信息安全技術應用專業的核心課程之一，其仿真實驗教學也很重要。

層次化教學方法，是在學生學習基礎和智力因素等存在個體差異的背景下，根據課程內容的層次化特點或者教學對象的差異化特點，有針對性地進行教學的方法，達到提高技能，培養積極的價值觀，提高創新能力的教學目標[2-4]。在“1+X”證書制度下將層次化教學方法應用于防火墻仿真實驗，成為當前研究熱點之一。

1 防火墻實驗教學問題分析

“1+X”證書制度下，防火墻技術作為網絡設備安全技術之一，針對信息安全技術應用專業的二年級學生開設，包括理論教學和實驗教學。目前，防火墻實驗教學普遍存在如下問題：1)真實設備昂貴：實驗室需要配備的硬件設備有交換機、路由器和防火墻等，投入成本高、建設周期長、網絡布線復雜，并且需要定期更新、維護、保養這些設備。2)實驗系統性差：傳統的防火墻實驗教學知識結構較為松散，不具備系統性，且與防火墻的理論課程關聯不大，而且在實際操作過程中，實驗的操作步驟不清晰、操作記錄不完整等都會導致實驗不具備系統性。3)學生主動性差：實驗操作過程中，學生僅僅參照老師提供的操作步驟進行實驗，缺乏自己的獨立思考，能力不同的學生學習進度和實訓效果也是不一樣的。教師需要先做學情分析，根據教學對象的特點設計不同難度的實驗，才能更好地提升學生的實踐能力和創新能力。

2 “1+X”證書制度下防火墻實驗教學的優化

為解決硬件設備昂貴問題，我們采用華為提供的企業網絡仿真平臺( Enterprise Network Simulation Platform，eNSP)[5]進行防火墻相關實驗。eNSP 可進行圖形化操作，可通過仿真企業網絡路由器、防火墻、交換機等，達到模擬真實設備的目的[6]。eNSP 有以下優點：1) eNSP 使得學生可隨時進行仿真實驗練習；2)eNSP 支持將搭建的網絡拓撲結構及配置信息進行保存，以免丟失；3)eNSP 不需要初始化或重置，重新打開軟件就可使不同班級的學生做實驗；4)eNSP 使學生能夠更好地應用并理解防火墻理論知識，解決了理論課程與實驗課程關聯不大的問題。

此外，我們采用層次化教學方法解決實驗系統性差和學生主動性差的防火墻實驗教學問題，在“1+X”證書制度下，層次化教學主要從明確層次化的教學標準、制定層次化的教學目標和采用層次化的教學方法3個方面展開，具體如下：

1)層次化的教學標準：“1+X”證書制度下，防火墻課程的教學標準具有層次化的特點，信息安全基礎課程中有涉及防火墻的知識，該課程要求了解防火墻的概念，掌握防火墻的關鍵技術并了解網絡安全的常見產品。信息安全產品配置與應用、防火墻技術是涉及了防火墻的核心課程，其中信息安全產品配置與應用課程要求理解防火墻的基本原理，防火墻測試的基本方法，能夠對防火墻產品做初始化配置及正確部署。防火墻技術課程需要掌握防火墻的開發與測試標準，知道如何選購、部署及應用個人防火墻及商用防火墻等內容。可見防火墻基礎課程和核心課程具有層次化的課程標準。

2)層次化的教學目標：若根據“1+X”網絡安全運維職業技能等級標準，教學目標可分為3個層次，如初級只需掌握基礎網絡的結構設計，了解網絡設備（路由、交換）的作用和原理；中級能夠參照網絡設備的狀態信息進行線路調整等維護操作；高級能夠掌握防火墻等安全防護設備的安全策略配置及有效部署[7]。若根據“1+X”企業網絡安全防護職業技能等級標準[8]，初級、中級和高級的教學目標又有所不同，初級能配置防火墻基本安全策略和安全防護功能，滿足企業的真實安全需求；中級要掌握WAF的部署、日志與告警規則，設置合適的應用防護策略；高級則是能通過安全審計找到系統中潛在安全問題，加固系統從而提高安全性。

3)層次化的教學方法：以傳統實驗教學內容為基礎，增加線上實驗，漸漸形成線上線下混合教學的模式，對調動學生的學習熱情有一定作用。再如發布任務“如何通過Web界面登錄防火墻”，引導學生合理利用網絡資源完成項目任務，學會自己分析并解決問題。此外，學生參照基礎仿真實驗樣例完成高層次的仿真實驗，這種范例教學法可提高學生的創新性和積極性，多樣的教學方法之間具有一定的層次性。

3 層次化防火墻仿真實驗的設計

防火墻實驗是網絡設備配置實驗的重要部分，學生可通過防火墻實驗的練習，更好地理解防火墻的基本原理，掌握網絡設備的安全技術，提高網絡安全防護能力，提高網絡安全保護意識。根據“1+X”證書要求，并參考學生的學情分析將防火墻仿真實驗分成基礎實驗、進階實驗和綜合實驗三個層次，具體如表1 所示。

表1 層次化防火墻實驗設計

表2 綜合實驗配置規劃及關鍵配置命令

3.1 防火墻基礎實驗-防火墻(USG6000V) 如何使用Web界面登錄

在該層次中學生需掌握通過Web 界面訪問防火墻USG6000V(Universal Service Gateway)的管理界面。該基礎實驗的具體步驟如下：第一步先導入USG6000V 的鏡像包vfw_usg.vdi；第二步啟動設備USG6000V；第三步設置密碼；第四步修改本機VMnet的IPV4地址，需要注意的是修改VMnet8的網卡地址，與后面的云處于同一網段；第五步在eNSP 上添加“云”，并對云進行相關配置，然后“云”連接到VBox網卡，最終eNSP和本機PC連接成功。

1)實驗拓撲圖

圖1 使用eNSP繪制的基礎實驗拓撲圖

2)實驗關鍵配置命令

[USG6000V1]int g 0/0/0//進入g/0/0接口視圖

[USG6000V1-GigabitEthernet0/0/0]undo ip address 192.168.0.1 24//刪除接口的IP地址

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.20.22 24//修改IP地址為192.168.20.22

[USG6000V1-GigabitEthernet0/0/0]servicemanage all permit//允許所有服務

3)實驗驗證及分析

在瀏覽器中輸入網址https://192.168.20.22:8443，成功跳轉到華為防火墻Web登錄界面（如圖2所示）。

圖2 防火墻Web登錄結果

圖3 使用eNSP繪制的進階實驗拓撲圖

圖4 ping命令

圖5 使用eNSP繪制的綜合實驗拓撲圖

3.2 防火墻進階實驗-防火墻安全轉發策略及NAT策略的配置

在這個層次中學生需要掌握防火墻安全策略的配置與NAT(Network Address Translator，網絡地址轉換）的配置，學會通過命令對防火墻進行配置并搭建復雜的網絡拓撲。NAT技術解決了IPv4地址短缺的問題[9]。

1)實驗拓撲圖

2)實驗關鍵配置命令

①配置基本的IP 地址和所屬安全區域

[USG6000V1]interface GigabitEthernet 1/0/1//進入防火墻FW1的GigabitEthernet 1/0/1

[USG6000V1 -GigabitEthernet1/0/1]ip address 100.100.100.1 24//配置防火墻FW1接口IP地址

[USG6000V1]firewall zone untrust//進入防火墻FW1的untrust區域

[USG6000V1-zone-untrust]add interface g1/0/1//將該端口添加到untrust區域

類似地，我們將防火墻FW1 interface GigabitEthernet 1/0/0接口的IP地址配置為10.10.10.1/24,并將該端口添加到trust區域，同時開啟permit服務。

②配置安全轉發策略

[USG6000V1]security-policy//進入安全策略配置

[USG6000V1-security-policy]rule name trust_to_untrust//對安全策略進行命名

[USG6000V1-security-policy-rule-to_in]source-zone trust//定義源區域為trust

[USG6000V1-security-policy-rule-to_in]destination-zone untrust//定義目的區域為untrust

[USG6000V1-security-policy-rule-to_in]source-address 10.10.10.1 24//定義源地址

[USG6000V1-security-policy-rule-to_in]destination-address any//定義目的地址

[USG6000V1-security-policy-rule-to_in]action permit//執行動作允許

注意：建立好trust到untrust的策略后，又因為untrust 是屬于外網范圍，不會接收來自內網的包，所以需要進行NAT地址轉換。

③配置基本的NAT策略

[USG6000V1]nat-policy//進入NAT策略配置

[USG6000V1-policy-nat]rule name trust_nat_untrust//對NAT策略命名

[USG6000V1-policy-nat-rule-trust_nat_untrust]destination-zone untrust//定義目的區域

[USG6000V1-policy-nat-rule-trust_nat_untrust]source-zone trust//定義源區域

[USG6000V1-policy-nat-rule-trust_nat_untrust]source-address any//定義源地址

[USG6000V1-policy-nat-rule-trust_nat_untrust]destination-address any//定義目的地址

[USG6000V1-policy-nat-rule-trust_nat_untrust]action nat easy-ip//執行動作為easy-ip

3)實驗驗證及分析

通過下圖觀察到能夠ping通，說明防火墻的安全策略配置正確，trust區域可以成功訪問untrust區域。

3.3 防火墻綜合實驗-區域劃分及不同區域間的流量訪問

此層次是在層次2 中防火墻安全轉發策略及NAT 策略的配置實驗基礎上，新增缺省路由和DMZ(Demilitarized Zone，隔離區）的知識點，DMZ作為內外網之間的緩沖區，使得安裝防火墻后，外部網絡可以訪問內部網絡服務器[9]。此階段學生需要掌握trust區域、untrust 區域和DMZ 區域的劃分，及不同區域間進行流量訪問時應該如何配置部署。該層次分為兩個實驗配置目標，配置目標一：untrust 區域可以訪問DMZ區域；配置目標二：trust區域可以訪問防火墻，防火墻可以訪問所有區域。

1)實驗拓撲圖

2)實驗關鍵配置命令

在防火墻綜合實驗中，需要對Router、FireWall和Server 進行相關配置。可將實施過程分為兩部分，第一部分完成eNSP中設備接口IP地址的配置及區域的劃分，并搭建拓撲圖；第二部分在完成第一部分的基礎上完成2個實驗配置目標，實現不同區域間的訪問。下表為綜合實驗配置規劃及關鍵配置命令。

3)實驗驗證及分析

在不同設備上執行ping命令，觀察ping 的丟包情況。觀察下圖6，發現內網R2 能夠成功ping 通DMZ區域的123.4.5.6，說明untrust 區域可以訪問DMZ 區域。發現內網R1 能夠成功ping 通192.168.1.1，說明trust區域能成功訪問防火墻。同理，可知防火墻能成功訪問任何區域。

圖6 不同區域間的流量訪問結果

3.4 考核評價

考核評價時根據基礎、進階和綜合三個層次的防火墻仿真實驗的難易程度，設置不同的權重，分別為0.2、0.3 和0.5。學生可以根據自己的情況，選擇適合自己的實驗進行操作。其實3個實驗中都涉及網絡設備IP地址的配置以及拓撲圖的搭建，所以學生完成后即可獲得基本分，成績占40%。學生通過提交不同層次的實驗結果驗證進行考核，成績占60%。實際操作過程中，不同層次的實驗項目間沒有完全嚴格的界限，比如層次2 的進階實驗也可以在層次3 的綜合實驗中進行，實現trust區域訪問untrust區域。我們也可以將綜合性實驗3的兩個實驗配置目標分解成兩個基礎實驗。通過不同層次實驗的轉化，也可以將學生是否具有分析解決問題的能力或挑戰困難的精神作為考評指標之一。此外，對于實驗過程中，主動幫助其他同學的學生可以適當給予平時分獎勵。總之，我們采取定性評價和定量評價相結合，過程考核與結果考核相結合的方式對學生進行評價，盡可能地使層次化教學下的實驗評價相對公平。

4 結束語

本文采用層次化教學方法設計防火墻eNSP仿真實驗。層次化教學摒棄了“一刀切”的教學思路，引導學生發現問題并解決問題，取得了良好的教學效果。使用eNSP 仿真軟件可以完美模擬防火墻的基礎、進階和綜合3個層次的實驗，解決了真實設備昂貴、實驗系統性差和學生主動性差的問題，增加了學生的實踐經驗。如何提煉防火墻綜合性實驗內容，并與“1+X”考證內容相結合，設計出更合適的實驗內容，還需進一步研究和實踐。