摘要：本文通過防火墻綜合實驗的設(shè)計與開發(fā)，對在“網(wǎng)絡(luò)安全”課程教學(xué)中如何將理論教學(xué)的知識點有機地融入實踐教學(xué)，通過實踐教學(xué)培養(yǎng)學(xué)生的綜合運用能力、獨立解決問題能力、團結(jié)協(xié)作能力和工程實踐能力等問題做了較深入的研究和有益的探索。

關(guān)鍵詞：網(wǎng)絡(luò)安全；實踐教學(xué)；綜合性設(shè)計性實驗

中圖分類號：G64 文獻標識碼：A

文章編號：1672-5913（2007）01-0038-03

1 引言

“網(wǎng)絡(luò)安全”是信息安全本科教學(xué)的主要專業(yè)課程之一，教學(xué)內(nèi)容主要包括：數(shù)據(jù)加密、計算機病毒與防治、黑客入侵技術(shù)、網(wǎng)絡(luò)協(xié)議安全、防火墻技術(shù)、入侵檢測技術(shù)和入侵者跟蹤技術(shù)等。是一門綜合性很強的課程，與網(wǎng)絡(luò)工程技術(shù)也有密不可分的聯(lián)系。為了更好地突出實踐教學(xué)在該課程教學(xué)中的作用，該課程將學(xué)時數(shù)設(shè)為：理論教學(xué)32學(xué)時，實踐教學(xué)24學(xué)時。課時比例為4∶3。從課時分配上充分肯定了實踐教學(xué)在教學(xué)中的重要性。為此，如何開展實踐教學(xué)？如何更好地將理論教學(xué)的知識點有機地融入到具體的實驗中去？使學(xué)生不僅能夠通過實驗理解和掌握理論教學(xué)的內(nèi)容，還能通過實驗了解和掌握一定的工程技術(shù)知識，培養(yǎng)和鍛煉學(xué)生的分析能力、綜合解決問題的能力和實際動手能力，就成為我們在實踐教學(xué)研究中的主要問題。本文僅以防火墻綜合實驗的設(shè)計與開發(fā)為例，闡述教學(xué)組在實踐教學(xué)過程中所做的具體研究和探索。

2 確定實踐教學(xué)的理論知識點

作為重要的網(wǎng)絡(luò)安全技術(shù)之一，理論教學(xué)中的防火墻技術(shù)主要涵蓋以下知識點：數(shù)據(jù)包過濾技術(shù)、代理技術(shù)、 狀態(tài)檢測技術(shù)、地址轉(zhuǎn)換技術(shù)、內(nèi)容檢測技術(shù)和VPN技術(shù)等。教學(xué)組根據(jù)實驗室提供的硬件防火墻設(shè)備和相應(yīng)實驗環(huán)境，首先確定了綜合實驗中應(yīng)該包含的知識點為：地址轉(zhuǎn)換技術(shù)、數(shù)據(jù)包過濾技術(shù)、狀態(tài)檢測技術(shù)、內(nèi)容檢測技術(shù)和入侵者跟蹤。這些知識點從不同協(xié)議層次和不同安全角度較典型地反應(yīng)了防火墻技術(shù)的應(yīng)用特點。對這些知識點的理解和掌握可以通過硬件防火墻的地址轉(zhuǎn)換功能、包過濾功能、狀態(tài)檢測功能、黑名單設(shè)置功能、反地址掃描功能和日志輸出功能加以實現(xiàn)。

3 設(shè)計模擬的用戶需求

為了更好地將以上的知識點融入到具體實驗中，使學(xué)生學(xué)會通過分析判斷來提煉問題，根據(jù)具體問題自行設(shè)計安全方案，我們在綜合實驗中設(shè)計了一個模擬的安全需求，具體如下：

某公司因業(yè)務(wù)需要欲組建一個網(wǎng)絡(luò)，組網(wǎng)的安全要求為：

● 公司內(nèi)部網(wǎng)絡(luò)采用私有IP地址，并與外網(wǎng)隔離；

● 公司內(nèi)部只有指定計算機可以訪問外網(wǎng)，每次訪問要有詳細的日志信息；內(nèi)部網(wǎng)絡(luò)能夠防范來自Internet的惡意攻擊，如地址掃描和病毒等；

● 公司對外提供WWW、FTP服務(wù)，但外部網(wǎng)絡(luò)只有特定用戶可以訪問內(nèi)部服務(wù)器。

這一用戶需求巧妙地將實踐教學(xué)的知識點隱藏了起來，給學(xué)生提供了一個綜合分析問題的空間。學(xué)生只有通過認真的需求分析，反芻所學(xué)的理論知識，才能正確地確定采用何種防御技術(shù)組網(wǎng)。從而培養(yǎng)和鍛煉了學(xué)生的分析能力。

4 引入網(wǎng)絡(luò)工程知識

防火墻既是網(wǎng)絡(luò)安全的主要防御工具，也是網(wǎng)絡(luò)工程的重要組成部分。一個完整的防火墻體系不僅與防火墻的安全策略有關(guān)，還與組成網(wǎng)絡(luò)的計算機、服務(wù)器、路由器、交換機等硬件設(shè)備的連接配置和操作系統(tǒng)等軟件的使用密不可分。為了培養(yǎng)學(xué)生的實際動手能力和工程實踐能力，讓學(xué)生通過實踐教學(xué)了解實際組網(wǎng)工程的相關(guān)流程，我們將網(wǎng)絡(luò)工程中的系統(tǒng)集成、網(wǎng)絡(luò)規(guī)劃與設(shè)計等相關(guān)知識引入實驗，在教學(xué)內(nèi)容中明確要求學(xué)生在實驗室提供的軟硬件設(shè)備基礎(chǔ)上進行網(wǎng)絡(luò)規(guī)劃，提出組網(wǎng)方案，完成需求分析、軟硬件設(shè)備選擇、網(wǎng)絡(luò)系統(tǒng)選擇、拓撲結(jié)構(gòu)設(shè)計、組網(wǎng)地址信息規(guī)劃等工程內(nèi)容。并按自己設(shè)計的組網(wǎng)方案完成網(wǎng)絡(luò)組建。

作為網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃設(shè)計的第一步，需求分析中我們強調(diào)了以用戶的安全需求為基礎(chǔ)進行分析，目的是使學(xué)生更好地運用所學(xué)的安全防御知識來組網(wǎng)。這比一般的網(wǎng)絡(luò)規(guī)劃設(shè)計更進了一步。每個學(xué)生都可以根據(jù)工程的實際安全需求提出自己認為最好的方案，而在實驗步驟中，我們僅僅給出了幾個參考步驟，更多、更細的步驟則作為實驗報告的內(nèi)容讓學(xué)生在反復(fù)摸索中完成并提交。

網(wǎng)絡(luò)安全規(guī)劃除了對一般組網(wǎng)的軟硬件設(shè)備進行選擇外，還包括對安全產(chǎn)品的選擇。安全系統(tǒng)的規(guī)劃則要求學(xué)生在安全需求分析的基礎(chǔ)上進行網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計、組網(wǎng)地址信息規(guī)劃以及網(wǎng)絡(luò)操作系統(tǒng)的選擇。方案的實施包括硬件組網(wǎng)、各種操作系統(tǒng)的安裝配置；路由器和交換機的配置，以及硬件防火墻的配置等。其中硬件防火墻的配置體現(xiàn)了安全防御方案的主要內(nèi)容。如：地址轉(zhuǎn)換、報文過濾、攻擊防范和入侵者跟蹤技術(shù)等。結(jié)果的檢驗要求學(xué)生在組建好的網(wǎng)絡(luò)環(huán)境中進行。這一環(huán)節(jié)可以幫助學(xué)生發(fā)現(xiàn)問題，檢驗實驗完成情況。

顯然，要完成這些實驗內(nèi)容，學(xué)生必須了解相應(yīng)的網(wǎng)絡(luò)工程知識、操作系統(tǒng)知識；了解路由器、交換機和防火墻等硬件設(shè)備的功能特性等，從而達到培養(yǎng)和鍛煉學(xué)生綜合運用知識能力、動手能力和一定的工程實踐能力的目的。

5 改革實驗方法

5.1 指導(dǎo)而不引導(dǎo)

為了更好地培養(yǎng)和鍛煉學(xué)生的獨立工作能力和創(chuàng)造性思維能力，在實踐教學(xué)中，我們沒有給出學(xué)生具體的實驗方法步驟，也不要求學(xué)生按某個固定方法步驟進行實驗。而是根據(jù)實驗?zāi)康慕o學(xué)生提供了一個簡略的參考步驟，供學(xué)生參考，大致內(nèi)容如下：

1）需求分析。從基本的安全防護需求、內(nèi)網(wǎng)對外網(wǎng)的訪問控制需求、每個安全區(qū)域內(nèi)的安全防御需求、攻擊防范需求等方面考慮。

2）網(wǎng)絡(luò)規(guī)劃。從組網(wǎng)的軟硬件設(shè)備、使用的網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)的總體結(jié)構(gòu)等方面考慮。

3）網(wǎng)絡(luò)系統(tǒng)設(shè)計。從規(guī)劃網(wǎng)絡(luò)拓撲結(jié)構(gòu)、規(guī)劃組網(wǎng)地址信息、選擇網(wǎng)絡(luò)操作系統(tǒng)等方面考慮。

4）方案實施。具體組網(wǎng)并配置相應(yīng)硬件設(shè)備。

5）結(jié)果檢測。按用戶的安全需求在組建好的網(wǎng)絡(luò)上進行驗證。

這個參考步驟給毫無工程實踐經(jīng)驗的學(xué)生提供了一個框架性的實驗指導(dǎo)，但每一步的具體內(nèi)容還要學(xué)生自己充實完成。這樣就為學(xué)生充分發(fā)揮主觀能動性留下了較大的空間。

5.2 分組開設(shè)實驗

由于綜合實驗包含了較多的實驗內(nèi)容和較大的工作量，我們將實驗設(shè)計為分組進行，每組4~6人，要求學(xué)生自報或推選產(chǎn)生一名組長，有組織、有計劃地完成這個綜合性實驗。組織和計劃的內(nèi)容包括：確定實驗完成的計劃進度表；明確每位組員要完成的工作；定期組織組員討論實驗中遇到的問題并共同確定解決方案；及時與指導(dǎo)教師聯(lián)系取得教師的指導(dǎo)等。這種實驗方式擺脫了學(xué)生在實驗過程中的孤立性和被動性，使學(xué)生可以通過相互交流討論開拓視野，提高動手動腦的興趣。同時也鍛煉了學(xué)生的組織能力、交流能力和協(xié)作能力。

5.3 列出參考資料，開拓學(xué)生視野

由于綜合實驗涉及了較多的安全和工程知識點，同時由于不同的硬件生產(chǎn)廠家生產(chǎn)的硬件在結(jié)構(gòu)和配置命令方面都不相同，組網(wǎng)方法也各有千秋，學(xué)生會在初涉實驗時感到無從下手。為此，我們除在實驗指導(dǎo)書中說明了實驗預(yù)備知識外，還列出了相關(guān)參考資料，讓學(xué)生通過資料的查詢收集完成相關(guān)的實驗內(nèi)容，從而培養(yǎng)學(xué)生的學(xué)習(xí)能力和資料檢索運用能力，開拓學(xué)生的視野。

6 實驗實施情況

本實驗已作為2004級“信息安全”專業(yè)本科課程設(shè)計題目進入教學(xué)環(huán)節(jié)，學(xué)生以團隊組合的方式參加，根據(jù)實驗要求完成實驗報告。目前實施情況良好。例如，某學(xué)生團隊在課題完成后給出了課程設(shè)計報告，較好地反映了學(xué)生們的思維過程和解決問題的思路，如表1和圖1所示。

表1 安全需求分析及解決方案

圖1 規(guī)劃的網(wǎng)絡(luò)拓撲結(jié)構(gòu)

報告的最后還提交了測試記錄說明和詳細配置命令。

從學(xué)生提交的實驗報告可以看出，學(xué)生通過實驗已基本掌握了如何運用安全理論知識設(shè)計一個具體的安全防御方案，基本掌握了面向?qū)嶋H工程的網(wǎng)絡(luò)規(guī)劃、設(shè)計和實現(xiàn)方法，達到了實踐教學(xué)的目的。

7 結(jié)束語

實踐教學(xué)是理論教學(xué)的完善和補充。教學(xué)效果良好的實踐教學(xué)應(yīng)能充分融合理論教學(xué)的重要知識點，打破理論教學(xué)的課程界限，更好地體現(xiàn)學(xué)科的綜合性，更多地面向工程實際，使教師通過實踐教學(xué)能夠真正培養(yǎng)學(xué)生的獨立思考能力、綜合運用能力、實際動手能力、發(fā)明創(chuàng)造能力和團隊協(xié)作能力。我們的教學(xué)研究充分證明了這一點。

參考文獻：

[1]卿斯?jié)h，蔣建春.網(wǎng)絡(luò)功防技術(shù)原理與實踐[M].北京：科學(xué)出版社，2004.

[2]鄧亞平.計算機網(wǎng)絡(luò)安全[M].北京：人民郵電出版社，2004.

投稿日期：2006-10-18

作者簡介：諶黔燕，女，大學(xué)本科，工程師，主要研究方向：計算機安全教學(xué)、實驗。