陳紅松

北京科技大學(xué)計算機(jī)與通信工程學(xué)院 北京 100083

2016年6月，國家網(wǎng)信辦、教育部等六部委聯(lián)合發(fā)布《關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》，意見指出網(wǎng)絡(luò)空間的競爭歸根結(jié)底是人才競爭。從總體上看，我國網(wǎng)絡(luò)安全人才還存在數(shù)量缺口較大、能力素質(zhì)不高、結(jié)構(gòu)不盡合理等問題，與維護(hù)國家網(wǎng)絡(luò)安全、建設(shè)網(wǎng)絡(luò)強(qiáng)國的要求不相適應(yīng)。而網(wǎng)絡(luò)安全人才培育過程中，實驗教學(xué)作為提高學(xué)生實踐動手能力的重要環(huán)節(jié)正逐步得到重視。實驗教學(xué)就是利用實驗的方法進(jìn)行發(fā)現(xiàn)和驗證知識的一種教學(xué)方法。它是一種有別于純理論教學(xué)的實踐性教學(xué)方法和過程[1]。實驗教學(xué)是連接理論知識與工程應(yīng)用的橋梁，是培養(yǎng)學(xué)生實踐能力和創(chuàng)新意識的重要途徑，深化實驗教學(xué)改革、提高實驗教學(xué)質(zhì)量是當(dāng)前高校教學(xué)改革的重要任務(wù)[2]。完整深入地傳授給學(xué)生網(wǎng)絡(luò)安全課程的基本概念及原理，對學(xué)生構(gòu)建完整的網(wǎng)絡(luò)安全知識結(jié)構(gòu)體系是必不可少的[3]。但是，如果教師只單純進(jìn)行網(wǎng)絡(luò)安全理論講授，學(xué)生對某些網(wǎng)絡(luò)安全知識會感到難以理解、無法運用，學(xué)生迫切希望能夠通過實驗來進(jìn)一步理解知識技術(shù)，學(xué)以致用。

美國實用主義教育家杜威提出了知識與行為相結(jié)合的認(rèn)知教育理念，認(rèn)為學(xué)生在做的過程中學(xué)習(xí)是比在聽講更好的方法，強(qiáng)調(diào)個體在獲取知識上的主動性問題，鼓勵學(xué)生通過探究活動獲取知識和經(jīng)驗，而不是被動地接受知識。因此，實驗教學(xué)成為加強(qiáng)學(xué)生主動探究獲取知識的重要教學(xué)方法。

我國著名教育家陶行知先生在“教學(xué)做合一”理論中提到：“教學(xué)做合一”是生活法，也就是教育法。教的方法根據(jù)學(xué)的方法，學(xué)的方法根據(jù)“做”的方法。事怎樣做便怎樣學(xué)，怎樣學(xué)便怎樣教。教與學(xué)都是以做為中心。由此可見，“做”是教學(xué)的核心。因此，實驗教學(xué)是網(wǎng)絡(luò)安全教學(xué)的核心，也是學(xué)生掌握網(wǎng)絡(luò)安全知識的重要方式。

由于網(wǎng)絡(luò)安全課程所涉及內(nèi)容與實踐結(jié)合比較密切，理論與實驗結(jié)合的教學(xué)方式逐漸成為網(wǎng)絡(luò)安全教學(xué)的主流。

1 網(wǎng)絡(luò)信息安全實驗教學(xué)的特點與問題

1.1 網(wǎng)絡(luò)信息安全實驗教學(xué)的特點

1.1.1 網(wǎng)絡(luò)安全理論與實驗結(jié)合比較密切

網(wǎng)絡(luò)安全是一門實踐性較強(qiáng)的學(xué)科，強(qiáng)調(diào)理論與實踐的密切結(jié)合，脫離實驗支撐的純理論授課，而脫離理論指導(dǎo)的純實驗操作均無法達(dá)到良好的教學(xué)效果[4]。

1.1.2 網(wǎng)絡(luò)安全實驗工具種類繁多

目前，互聯(lián)網(wǎng)上各種開源的網(wǎng)絡(luò)安全工具軟件種類繁多、內(nèi)容龐雜，例如，Kali Linux自帶約有300多種安全類工具軟件，Parrot Security OS自帶安全類工具軟件大約有600多種。教師需要根據(jù)課程教學(xué)內(nèi)容要求從中分類篩選出一些適合網(wǎng)絡(luò)安全實驗教學(xué)的安全工具設(shè)計實驗教學(xué)內(nèi)容。

1.1.3 部分網(wǎng)絡(luò)安全實驗有一定破壞性

一些網(wǎng)絡(luò)安全實驗，如網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)攻擊等具有一定的破壞性，在進(jìn)行網(wǎng)絡(luò)安全實驗過程中需要一些特定的安全隔離手段保護(hù)實驗者的計算機(jī)和網(wǎng)絡(luò)系統(tǒng)安全。

1.1.4 大多基于虛擬化技術(shù)

由于部分網(wǎng)絡(luò)安全實驗具有一定的破壞性，目前大多數(shù)網(wǎng)絡(luò)安全實驗教學(xué)平臺通常采用虛擬機(jī)、Docker容器等虛擬化技術(shù)實現(xiàn)實驗系統(tǒng)與物理系統(tǒng)的隔離，當(dāng)做完實驗后通過釋放虛擬化資源，使得系統(tǒng)快速恢復(fù)到初始狀態(tài)。

1.1.5 強(qiáng)調(diào)網(wǎng)絡(luò)安全攻防對抗特點

網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)攻擊技術(shù)如同網(wǎng)絡(luò)空間里“矛與盾”的關(guān)系，只有深入理解網(wǎng)絡(luò)攻擊技術(shù)才能更好做好網(wǎng)絡(luò)安全防御。

1.2 網(wǎng)絡(luò)信息安全實驗教學(xué)的問題

目前，只有在軟硬件實驗條件較好、投入資金較充沛的高校才建立了網(wǎng)絡(luò)信息安全實驗室和實驗環(huán)境?，F(xiàn)有的網(wǎng)絡(luò)安全實驗教學(xué)方法仍然需要面臨以下幾個問題，只有有效解決這些問題才能進(jìn)一步提高網(wǎng)絡(luò)安全教育教學(xué)質(zhì)量。

(1)網(wǎng)絡(luò)安全實驗教學(xué)仍處于輔助地位。 實驗教學(xué)在網(wǎng)絡(luò)安全教學(xué)過程中重視程度不夠，沒有充分發(fā)揮實驗教學(xué)的特殊作用，缺乏與網(wǎng)絡(luò)安全理論教學(xué)的有機(jī)聯(lián)系。

(2)網(wǎng)絡(luò)安全實驗教學(xué)內(nèi)容較分散、不成系統(tǒng)，不能完全反映真實的網(wǎng)絡(luò)攻防環(huán)境。

(3)網(wǎng)絡(luò)安全實驗室建設(shè)成本較高。

(4)學(xué)生根據(jù)預(yù)設(shè)步驟做實驗，缺乏獨立思考和應(yīng)用知識的主動性。

2 案例教學(xué)的特點

網(wǎng)絡(luò)信息安全類課程最顯著的一個特點是強(qiáng)調(diào)應(yīng)用、時效性強(qiáng)，理論與實踐聯(lián)系密切，適合采用案例法進(jìn)行教學(xué)?？禃曾P提出了綜合應(yīng)用多媒體教學(xué)、互動教學(xué)、實戰(zhàn)案例教學(xué)和現(xiàn)實生活案例教學(xué)提高本門課程的教學(xué)效果[5]。案例教學(xué)法是一種以案例為基礎(chǔ)的教學(xué)法(case-based teaching)，它把理論和實踐有機(jī)聯(lián)系在一起，提高學(xué)生分析問題、解決問題的能力[6]。案例是針對一個真實、具體發(fā)生事件的反思與探討，是對已經(jīng)發(fā)生事實的再現(xiàn)與思考[7]。不同的案例之間應(yīng)由淺入深、逐步深入，所涉及到的知識點之間應(yīng)相互聯(lián)系、前后連貫[8]。為進(jìn)一步拓展教學(xué)的深度與廣度，吳淮等在實驗中引入虛擬仿真實驗教學(xué)平臺[9]，該實驗課程面向有意參加全國信息安全大賽及對信息安全感興趣的學(xué)生，課程內(nèi)容包括信息安全、計算機(jī)相關(guān)技術(shù)、文檔寫作、項目答辯等各種技能。

3 網(wǎng)絡(luò)信息安全實驗教學(xué)案例設(shè)計

本文針對網(wǎng)絡(luò)信息安全課程實驗教學(xué)設(shè)計了3種不同類型的實驗教學(xué)案例，如圖1所示，分為以下3大類：演示型實驗案例、驗證型實驗案例、綜合型實驗案例。

圖1 網(wǎng)絡(luò)信息安全實驗教學(xué)案例體系示意圖

由圖1可知，本文設(shè)計的網(wǎng)絡(luò)信息安全實驗教學(xué)案例體系包括演示型、驗證型、綜合性3種不同類型的實驗教學(xué)案例，由教師與學(xué)生共同參與實驗教學(xué)過程，分別在實驗教案書、實驗指導(dǎo)書、實驗任務(wù)書等教學(xué)規(guī)范文件指導(dǎo)下完成相關(guān)實驗教學(xué)任務(wù)；每種實驗教學(xué)案例從不同角度調(diào)動學(xué)生主動參與學(xué)習(xí)的積極性，這些實驗教學(xué)案例由淺入深、逐步深入，分別通過教師演示并提問、學(xué)生驗證并擴(kuò)展、綜合應(yīng)用并研討等師生互動環(huán)節(jié)促進(jìn)教學(xué)相長，形成了網(wǎng)絡(luò)安全實驗教學(xué)案例體系。

4 網(wǎng)絡(luò)安全實驗教學(xué)的實施

下面舉例說明本課程采用的實驗教學(xué)案例的實施過程。

4.1 演示型實驗教學(xué)案例設(shè)計

在網(wǎng)絡(luò)信息安全實驗教學(xué)中，需要任課教師選定部分關(guān)鍵知識點設(shè)定網(wǎng)絡(luò)信息安全場景，在課堂上先講授實驗原理，再依據(jù)實驗教案書演示實驗步驟，通過網(wǎng)絡(luò)安全實驗演示該知識點及應(yīng)用場景，培養(yǎng)學(xué)生記錄和分析實驗結(jié)果、根據(jù)所觀察實驗現(xiàn)象聯(lián)系所學(xué)理論知識的能力，最后總結(jié)歸納相關(guān)知識點，加深學(xué)生對該應(yīng)用場景的印象，通過對關(guān)鍵知識點的三遍傳授，促進(jìn)其將所學(xué)理論與實踐相結(jié)合以及對相關(guān)知識點的掌握與理解。

實驗教學(xué)案例題目：Linux Iptables網(wǎng)絡(luò)防火墻安全規(guī)則實驗。

實驗教學(xué)目的：通過演示Iptables網(wǎng)絡(luò)防火墻安全規(guī)則的設(shè)計運用，使學(xué)生理解包過濾網(wǎng)絡(luò)防火墻原理，并能靈活運用安全規(guī)則對網(wǎng)絡(luò)突發(fā)流量進(jìn)行安全管控。

實驗儀器及環(huán)境：Vmware虛擬機(jī)管理軟件、Linux操作系統(tǒng)、Iptables網(wǎng)絡(luò)防火墻軟件。

實驗原理：Iptables是Linux下網(wǎng)絡(luò)數(shù)據(jù)包過濾防火墻，工作在網(wǎng)絡(luò)層，針對TCP/IP數(shù)據(jù)包實施過濾和限制。Iptables利用網(wǎng)絡(luò)數(shù)據(jù)包過濾機(jī)制分析網(wǎng)絡(luò)數(shù)據(jù)包的報頭部分?jǐn)?shù)據(jù)，根據(jù)報頭數(shù)據(jù)與用戶定義的安全規(guī)則來決定該數(shù)據(jù)包是進(jìn)入主機(jī)、進(jìn)行修改還是直接丟棄。Iptables可以對流入和流出網(wǎng)絡(luò)的信息進(jìn)行細(xì)粒度控制。它采用狀態(tài)機(jī)制(STATEFUL)，通過不同規(guī)則進(jìn)行匹配；Iptables包括filter，nat，mangle，raw共4張表，包括INPUT，OUTPUT，F(xiàn)ORWARD，PREROUTING，POSTROUTING共5條鏈。Iptables的表鏈結(jié)構(gòu)如圖2所示。

圖2 Iptables防火墻的表鏈結(jié)構(gòu)

Iptables網(wǎng)絡(luò)防火墻數(shù)據(jù)包過濾工作流程如圖3所示。

圖3 Iptables網(wǎng)絡(luò)防火墻數(shù)據(jù)包過濾工作流程

由圖3可知，Iptables防火墻可在Input，Output，F(xiàn)orward等5個鏈上分別設(shè)置檢查點進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)封包的檢測與規(guī)則匹配，在每個檢查點上根據(jù)規(guī)則匹配的結(jié)果實施相應(yīng)的操作。

4.2 實驗教學(xué)步驟及內(nèi)容

Iptables網(wǎng)絡(luò)防火墻演示實驗采用由易到難、由初級實驗到中級實驗再到高級實驗的逐級演示實施方式，讓學(xué)生對網(wǎng)絡(luò)防火墻的認(rèn)識有逐步深入的過程。

初級實驗：防火墻基本參數(shù)的使用

iptables -L

# -L是列舉的意思，作用就是把FILTRE TABLE的所有鏈的規(guī)則都列舉。

iptables -A

# -A是追加新規(guī)則的意思，作用是把新的規(guī)則將追加到鏈尾。

iptables -F

# -F是清除的意思，作用就是把FILTRE TABLE的所有鏈的規(guī)則都清空。

中級實驗：通過網(wǎng)絡(luò)防火墻限制部分主機(jī)通過SSH遠(yuǎn)程登錄。

iptables -A INPUT -s 172.16.0.6 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

#這兩條規(guī)則只允許通過172.16.0.6主機(jī)通過ssh遠(yuǎn)程登錄防火墻主機(jī)，其它計算機(jī)禁止使用ssh登錄防火墻主機(jī)。

高級實驗：通過網(wǎng)絡(luò)防火墻對抗網(wǎng)絡(luò)DDOS拒絕服務(wù)攻擊

iptables -P INPUT DROP

#首先設(shè)置iptables默認(rèn)安全策略為拒絕

iptables -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT

#限制tcp包每秒一個

iptables -A FORWARD -f -m limit --limit 100/sec--limit-burst 100 -j ACCEPT

#限制IP碎片，每秒鐘只允許100個IP碎片通過，限制觸發(fā)條件是100個包，用來防止DoS拒絕服務(wù)攻擊

iptables -A FORWARD -p icmp -m limit --limit 1/sec--limit-burst 10 -j ACCEPT

#限制ICMP包每秒一個，限制觸發(fā)條件是10個包

實驗數(shù)據(jù)及分析：通過iptables -L命令查看實驗配置，網(wǎng)絡(luò)防火墻配置如圖4所示。

圖4 網(wǎng)絡(luò)防火墻配置

實驗思考：用戶如何合理設(shè)置防火墻安全規(guī)則實現(xiàn)安全目標(biāo)？引導(dǎo)學(xué)生從單條安全規(guī)則理解到多條安全規(guī)則組合理解，并通過網(wǎng)絡(luò)防火墻規(guī)則配置實驗演示，促進(jìn)學(xué)生理解網(wǎng)絡(luò)防火墻安全規(guī)則及組合的重要作用，提高對本課程學(xué)習(xí)的興趣。在演示實驗過程中，要不斷地引導(dǎo)學(xué)生積極思考、參與設(shè)計、共同研討，激發(fā)學(xué)生創(chuàng)新思維，讓其知其然，更要知其所以然，達(dá)到靈活運用所學(xué)知識的教學(xué)目的。

實驗擴(kuò)展：結(jié)合安全需求制訂安全規(guī)則的過程，然后讓學(xué)生分別以網(wǎng)絡(luò)安全管理員、入侵者及網(wǎng)絡(luò)用戶等不同角色理解并體會網(wǎng)絡(luò)防火墻的作用，以及在規(guī)則配置中應(yīng)注意的問題。學(xué)生可以建立一個小型局域網(wǎng)，重現(xiàn)課堂實驗演示的內(nèi)容，通過擴(kuò)展安全規(guī)則和應(yīng)用場景進(jìn)一步發(fā)現(xiàn)Iptables的新用法，提升學(xué)生利用已有安全軟件工具對所學(xué)知識進(jìn)行擴(kuò)展創(chuàng)新的能力。

實驗總結(jié)：通過設(shè)置初級、中級、高級不同難度等級的演示實驗，學(xué)生可以由淺入深、逐步理解Iptables防火墻安全規(guī)則的作用和配置方法，實現(xiàn)限制tcp包、ip包、icmp包速率以及新建網(wǎng)絡(luò)連接數(shù)量，通過制訂防火墻訪問控制規(guī)則丟棄拒絕服務(wù)類攻擊包、限制流量速率，實現(xiàn)防護(hù)拒絕服務(wù)攻擊的安全目標(biāo)。所設(shè)計實施的網(wǎng)絡(luò)安全教學(xué)案例取得了良好的教學(xué)效果，獲得學(xué)生的一致認(rèn)可。

5 結(jié)語

根據(jù)信息安全本科課程的教學(xué)目標(biāo)和教學(xué)內(nèi)容開展實驗案例教學(xué)體系研究與實踐，提出3種不同類型的實驗教學(xué)案例，形成信息安全實驗教學(xué)案例體系。以網(wǎng)絡(luò)防火墻為例設(shè)計了實驗教學(xué)案例，實驗教案包括實驗題目、實驗?zāi)康?、實驗儀器及環(huán)境、實驗原理、實驗教學(xué)步驟及內(nèi)容、實驗思考、實驗擴(kuò)展、實驗總結(jié)等結(jié)構(gòu)及內(nèi)容。實驗教學(xué)實踐表明實驗案例教學(xué)法有利于學(xué)生對網(wǎng)絡(luò)信息安全知識的理解與認(rèn)識，能促進(jìn)學(xué)生對理論課程的深層思考和全面認(rèn)識，可提高學(xué)生的實踐創(chuàng)新能力，使學(xué)生變被動接受為主動學(xué)習(xí)，取得了良好的教學(xué)效果。