摘要：本文通過防火墻綜合實驗的設計與開發(fā)，對在“網(wǎng)絡安全”課程教學中如何將理論教學的知識點有機地融入實踐教學，通過實踐教學培養(yǎng)學生的綜合運用能力、獨立解決問題能力、團結(jié)協(xié)作能力和工程實踐能力等問題做了較深入的研究和有益的探索。

關鍵詞：網(wǎng)絡安全；實踐教學；綜合性設計性實驗

中圖分類號：G64 文獻標識碼：A

文章編號：1672-5913（2007）01-0038-03

1 引言

“網(wǎng)絡安全”是信息安全本科教學的主要專業(yè)課程之一，教學內(nèi)容主要包括：數(shù)據(jù)加密、計算機病毒與防治、黑客入侵技術、網(wǎng)絡協(xié)議安全、防火墻技術、入侵檢測技術和入侵者跟蹤技術等。是一門綜合性很強的課程，與網(wǎng)絡工程技術也有密不可分的聯(lián)系。為了更好地突出實踐教學在該課程教學中的作用，該課程將學時數(shù)設為：理論教學32學時，實踐教學24學時。課時比例為4∶3。從課時分配上充分肯定了實踐教學在教學中的重要性。為此，如何開展實踐教學？如何更好地將理論教學的知識點有機地融入到具體的實驗中去？使學生不僅能夠通過實驗理解和掌握理論教學的內(nèi)容，還能通過實驗了解和掌握一定的工程技術知識，培養(yǎng)和鍛煉學生的分析能力、綜合解決問題的能力和實際動手能力，就成為我們在實踐教學研究中的主要問題。本文僅以防火墻綜合實驗的設計與開發(fā)為例，闡述教學組在實踐教學過程中所做的具體研究和探索。

2 確定實踐教學的理論知識點

作為重要的網(wǎng)絡安全技術之一，理論教學中的防火墻技術主要涵蓋以下知識點：數(shù)據(jù)包過濾技術、代理技術、 狀態(tài)檢測技術、地址轉(zhuǎn)換技術、內(nèi)容檢測技術和VPN技術等。教學組根據(jù)實驗室提供的硬件防火墻設備和相應實驗環(huán)境，首先確定了綜合實驗中應該包含的知識點為：地址轉(zhuǎn)換技術、數(shù)據(jù)包過濾技術、狀態(tài)檢測技術、內(nèi)容檢測技術和入侵者跟蹤。這些知識點從不同協(xié)議層次和不同安全角度較典型地反應了防火墻技術的應用特點。對這些知識點的理解和掌握可以通過硬件防火墻的地址轉(zhuǎn)換功能、包過濾功能、狀態(tài)檢測功能、黑名單設置功能、反地址掃描功能和日志輸出功能加以實現(xiàn)。

3 設計模擬的用戶需求

為了更好地將以上的知識點融入到具體實驗中，使學生學會通過分析判斷來提煉問題，根據(jù)具體問題自行設計安全方案，我們在綜合實驗中設計了一個模擬的安全需求，具體如下：

某公司因業(yè)務需要欲組建一個網(wǎng)絡，組網(wǎng)的安全要求為：

● 公司內(nèi)部網(wǎng)絡采用私有IP地址，并與外網(wǎng)隔離；

● 公司內(nèi)部只有指定計算機可以訪問外網(wǎng)，每次訪問要有詳細的日志信息；內(nèi)部網(wǎng)絡能夠防范來自Internet的惡意攻擊，如地址掃描和病毒等；

● 公司對外提供WWW、FTP服務，但外部網(wǎng)絡只有特定用戶可以訪問內(nèi)部服務器。

這一用戶需求巧妙地將實踐教學的知識點隱藏了起來，給學生提供了一個綜合分析問題的空間。學生只有通過認真的需求分析，反芻所學的理論知識，才能正確地確定采用何種防御技術組網(wǎng)。從而培養(yǎng)和鍛煉了學生的分析能力。

4 引入網(wǎng)絡工程知識

防火墻既是網(wǎng)絡安全的主要防御工具，也是網(wǎng)絡工程的重要組成部分。一個完整的防火墻體系不僅與防火墻的安全策略有關，還與組成網(wǎng)絡的計算機、服務器、路由器、交換機等硬件設備的連接配置和操作系統(tǒng)等軟件的使用密不可分。為了培養(yǎng)學生的實際動手能力和工程實踐能力，讓學生通過實踐教學了解實際組網(wǎng)工程的相關流程，我們將網(wǎng)絡工程中的系統(tǒng)集成、網(wǎng)絡規(guī)劃與設計等相關知識引入實驗，在教學內(nèi)容中明確要求學生在實驗室提供的軟硬件設備基礎上進行網(wǎng)絡規(guī)劃，提出組網(wǎng)方案，完成需求分析、軟硬件設備選擇、網(wǎng)絡系統(tǒng)選擇、拓撲結(jié)構(gòu)設計、組網(wǎng)地址信息規(guī)劃等工程內(nèi)容。并按自己設計的組網(wǎng)方案完成網(wǎng)絡組建。

作為網(wǎng)絡安全系統(tǒng)規(guī)劃設計的第一步，需求分析中我們強調(diào)了以用戶的安全需求為基礎進行分析，目的是使學生更好地運用所學的安全防御知識來組網(wǎng)。這比一般的網(wǎng)絡規(guī)劃設計更進了一步。每個學生都可以根據(jù)工程的實際安全需求提出自己認為最好的方案，而在實驗步驟中，我們僅僅給出了幾個參考步驟，更多、更細的步驟則作為實驗報告的內(nèi)容讓學生在反復摸索中完成并提交。

網(wǎng)絡安全規(guī)劃除了對一般組網(wǎng)的軟硬件設備進行選擇外，還包括對安全產(chǎn)品的選擇。安全系統(tǒng)的規(guī)劃則要求學生在安全需求分析的基礎上進行網(wǎng)絡拓撲結(jié)構(gòu)設計、組網(wǎng)地址信息規(guī)劃以及網(wǎng)絡操作系統(tǒng)的選擇。方案的實施包括硬件組網(wǎng)、各種操作系統(tǒng)的安裝配置；路由器和交換機的配置，以及硬件防火墻的配置等。其中硬件防火墻的配置體現(xiàn)了安全防御方案的主要內(nèi)容。如：地址轉(zhuǎn)換、報文過濾、攻擊防范和入侵者跟蹤技術等。結(jié)果的檢驗要求學生在組建好的網(wǎng)絡環(huán)境中進行。這一環(huán)節(jié)可以幫助學生發(fā)現(xiàn)問題，檢驗實驗完成情況。

顯然，要完成這些實驗內(nèi)容，學生必須了解相應的網(wǎng)絡工程知識、操作系統(tǒng)知識；了解路由器、交換機和防火墻等硬件設備的功能特性等，從而達到培養(yǎng)和鍛煉學生綜合運用知識能力、動手能力和一定的工程實踐能力的目的。

5 改革實驗方法

5.1 指導而不引導

為了更好地培養(yǎng)和鍛煉學生的獨立工作能力和創(chuàng)造性思維能力，在實踐教學中，我們沒有給出學生具體的實驗方法步驟，也不要求學生按某個固定方法步驟進行實驗。而是根據(jù)實驗目的給學生提供了一個簡略的參考步驟，供學生參考，大致內(nèi)容如下：

1）需求分析。從基本的安全防護需求、內(nèi)網(wǎng)對外網(wǎng)的訪問控制需求、每個安全區(qū)域內(nèi)的安全防御需求、攻擊防范需求等方面考慮。

2）網(wǎng)絡規(guī)劃。從組網(wǎng)的軟硬件設備、使用的網(wǎng)絡系統(tǒng)、網(wǎng)絡的總體結(jié)構(gòu)等方面考慮。

3）網(wǎng)絡系統(tǒng)設計。從規(guī)劃網(wǎng)絡拓撲結(jié)構(gòu)、規(guī)劃組網(wǎng)地址信息、選擇網(wǎng)絡操作系統(tǒng)等方面考慮。

4）方案實施。具體組網(wǎng)并配置相應硬件設備。

5）結(jié)果檢測。按用戶的安全需求在組建好的網(wǎng)絡上進行驗證。

這個參考步驟給毫無工程實踐經(jīng)驗的學生提供了一個框架性的實驗指導，但每一步的具體內(nèi)容還要學生自己充實完成。這樣就為學生充分發(fā)揮主觀能動性留下了較大的空間。

5.2 分組開設實驗

由于綜合實驗包含了較多的實驗內(nèi)容和較大的工作量，我們將實驗設計為分組進行，每組4~6人，要求學生自報或推選產(chǎn)生一名組長，有組織、有計劃地完成這個綜合性實驗。組織和計劃的內(nèi)容包括：確定實驗完成的計劃進度表；明確每位組員要完成的工作；定期組織組員討論實驗中遇到的問題并共同確定解決方案；及時與指導教師聯(lián)系取得教師的指導等。這種實驗方式擺脫了學生在實驗過程中的孤立性和被動性，使學生可以通過相互交流討論開拓視野，提高動手動腦的興趣。同時也鍛煉了學生的組織能力、交流能力和協(xié)作能力。

5.3 列出參考資料，開拓學生視野

由于綜合實驗涉及了較多的安全和工程知識點，同時由于不同的硬件生產(chǎn)廠家生產(chǎn)的硬件在結(jié)構(gòu)和配置命令方面都不相同，組網(wǎng)方法也各有千秋，學生會在初涉實驗時感到無從下手。為此，我們除在實驗指導書中說明了實驗預備知識外，還列出了相關參考資料，讓學生通過資料的查詢收集完成相關的實驗內(nèi)容，從而培養(yǎng)學生的學習能力和資料檢索運用能力，開拓學生的視野。

6 實驗實施情況

本實驗已作為2004級“信息安全”專業(yè)本科課程設計題目進入教學環(huán)節(jié)，學生以團隊組合的方式參加，根據(jù)實驗要求完成實驗報告。目前實施情況良好。例如，某學生團隊在課題完成后給出了課程設計報告，較好地反映了學生們的思維過程和解決問題的思路，如表1和圖1所示。

表1 安全需求分析及解決方案

圖1 規(guī)劃的網(wǎng)絡拓撲結(jié)構(gòu)

報告的最后還提交了測試記錄說明和詳細配置命令。

從學生提交的實驗報告可以看出，學生通過實驗已基本掌握了如何運用安全理論知識設計一個具體的安全防御方案，基本掌握了面向?qū)嶋H工程的網(wǎng)絡規(guī)劃、設計和實現(xiàn)方法，達到了實踐教學的目的。

7 結(jié)束語

實踐教學是理論教學的完善和補充。教學效果良好的實踐教學應能充分融合理論教學的重要知識點，打破理論教學的課程界限，更好地體現(xiàn)學科的綜合性，更多地面向工程實際，使教師通過實踐教學能夠真正培養(yǎng)學生的獨立思考能力、綜合運用能力、實際動手能力、發(fā)明創(chuàng)造能力和團隊協(xié)作能力。我們的教學研究充分證明了這一點。

參考文獻：

[1]卿斯?jié)h，蔣建春.網(wǎng)絡功防技術原理與實踐[M].北京：科學出版社，2004.

[2]鄧亞平.計算機網(wǎng)絡安全[M].北京：人民郵電出版社，2004.

投稿日期：2006-10-18

作者簡介：諶黔燕，女，大學本科，工程師，主要研究方向：計算機安全教學、實驗。