王蓉蓉

（陜西財經(jīng)職業(yè)技術(shù)學(xué)院，陜西咸陽 712000)

0 引言

“1+X”證書制度試點工作作為職業(yè)教育教改新舉措之一，在國務(wù)院印發(fā)的《國家職業(yè)教育改革實施方案》中被首次提出[1]?！?+X”證書制度不僅是國家完善職業(yè)教育和培訓(xùn)體系，提高教學(xué)質(zhì)量和師資力量的關(guān)鍵舉措，還是提高學(xué)生專業(yè)水平，增強就業(yè)能力的關(guān)鍵舉措。

當(dāng)今網(wǎng)絡(luò)安全越來越受到重視，習(xí)近平總書記指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”。防火墻、虛擬專用網(wǎng)和入侵檢測等與網(wǎng)絡(luò)設(shè)備相關(guān)的安全技術(shù)對于保障網(wǎng)絡(luò)安全有著極大的作用?！胺阑饓夹g(shù)”課程是高職院校信息安全技術(shù)應(yīng)用專業(yè)的核心課程之一，其仿真實驗教學(xué)也很重要。

層次化教學(xué)方法，是在學(xué)生學(xué)習(xí)基礎(chǔ)和智力因素等存在個體差異的背景下，根據(jù)課程內(nèi)容的層次化特點或者教學(xué)對象的差異化特點，有針對性地進行教學(xué)的方法，達到提高技能，培養(yǎng)積極的價值觀，提高創(chuàng)新能力的教學(xué)目標[2-4]。在“1+X”證書制度下將層次化教學(xué)方法應(yīng)用于防火墻仿真實驗，成為當(dāng)前研究熱點之一。

1 防火墻實驗教學(xué)問題分析

“1+X”證書制度下，防火墻技術(shù)作為網(wǎng)絡(luò)設(shè)備安全技術(shù)之一，針對信息安全技術(shù)應(yīng)用專業(yè)的二年級學(xué)生開設(shè)，包括理論教學(xué)和實驗教學(xué)。目前，防火墻實驗教學(xué)普遍存在如下問題：1)真實設(shè)備昂貴：實驗室需要配備的硬件設(shè)備有交換機、路由器和防火墻等，投入成本高、建設(shè)周期長、網(wǎng)絡(luò)布線復(fù)雜，并且需要定期更新、維護、保養(yǎng)這些設(shè)備。2)實驗系統(tǒng)性差：傳統(tǒng)的防火墻實驗教學(xué)知識結(jié)構(gòu)較為松散，不具備系統(tǒng)性，且與防火墻的理論課程關(guān)聯(lián)不大，而且在實際操作過程中，實驗的操作步驟不清晰、操作記錄不完整等都會導(dǎo)致實驗不具備系統(tǒng)性。3)學(xué)生主動性差：實驗操作過程中，學(xué)生僅僅參照老師提供的操作步驟進行實驗，缺乏自己的獨立思考，能力不同的學(xué)生學(xué)習(xí)進度和實訓(xùn)效果也是不一樣的。教師需要先做學(xué)情分析，根據(jù)教學(xué)對象的特點設(shè)計不同難度的實驗，才能更好地提升學(xué)生的實踐能力和創(chuàng)新能力。

2 “1+X”證書制度下防火墻實驗教學(xué)的優(yōu)化

為解決硬件設(shè)備昂貴問題，我們采用華為提供的企業(yè)網(wǎng)絡(luò)仿真平臺( Enterprise Network Simulation Platform，eNSP)[5]進行防火墻相關(guān)實驗。eNSP 可進行圖形化操作，可通過仿真企業(yè)網(wǎng)絡(luò)路由器、防火墻、交換機等，達到模擬真實設(shè)備的目的[6]。eNSP 有以下優(yōu)點：1) eNSP 使得學(xué)生可隨時進行仿真實驗練習(xí)；2)eNSP 支持將搭建的網(wǎng)絡(luò)拓撲結(jié)構(gòu)及配置信息進行保存，以免丟失；3)eNSP 不需要初始化或重置，重新打開軟件就可使不同班級的學(xué)生做實驗；4)eNSP 使學(xué)生能夠更好地應(yīng)用并理解防火墻理論知識，解決了理論課程與實驗課程關(guān)聯(lián)不大的問題。

此外，我們采用層次化教學(xué)方法解決實驗系統(tǒng)性差和學(xué)生主動性差的防火墻實驗教學(xué)問題，在“1+X”證書制度下，層次化教學(xué)主要從明確層次化的教學(xué)標準、制定層次化的教學(xué)目標和采用層次化的教學(xué)方法3個方面展開，具體如下：

1)層次化的教學(xué)標準：“1+X”證書制度下，防火墻課程的教學(xué)標準具有層次化的特點，信息安全基礎(chǔ)課程中有涉及防火墻的知識，該課程要求了解防火墻的概念，掌握防火墻的關(guān)鍵技術(shù)并了解網(wǎng)絡(luò)安全的常見產(chǎn)品。信息安全產(chǎn)品配置與應(yīng)用、防火墻技術(shù)是涉及了防火墻的核心課程，其中信息安全產(chǎn)品配置與應(yīng)用課程要求理解防火墻的基本原理，防火墻測試的基本方法，能夠?qū)Ψ阑饓Ξa(chǎn)品做初始化配置及正確部署。防火墻技術(shù)課程需要掌握防火墻的開發(fā)與測試標準，知道如何選購、部署及應(yīng)用個人防火墻及商用防火墻等內(nèi)容?？梢姺阑饓A(chǔ)課程和核心課程具有層次化的課程標準。

2)層次化的教學(xué)目標：若根據(jù)“1+X”網(wǎng)絡(luò)安全運維職業(yè)技能等級標準，教學(xué)目標可分為3個層次，如初級只需掌握基礎(chǔ)網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計，了解網(wǎng)絡(luò)設(shè)備（路由、交換）的作用和原理；中級能夠參照網(wǎng)絡(luò)設(shè)備的狀態(tài)信息進行線路調(diào)整等維護操作；高級能夠掌握防火墻等安全防護設(shè)備的安全策略配置及有效部署[7]。若根據(jù)“1+X”企業(yè)網(wǎng)絡(luò)安全防護職業(yè)技能等級標準[8]，初級、中級和高級的教學(xué)目標又有所不同，初級能配置防火墻基本安全策略和安全防護功能，滿足企業(yè)的真實安全需求；中級要掌握WAF的部署、日志與告警規(guī)則，設(shè)置合適的應(yīng)用防護策略；高級則是能通過安全審計找到系統(tǒng)中潛在安全問題，加固系統(tǒng)從而提高安全性。

3)層次化的教學(xué)方法：以傳統(tǒng)實驗教學(xué)內(nèi)容為基礎(chǔ)，增加線上實驗，漸漸形成線上線下混合教學(xué)的模式，對調(diào)動學(xué)生的學(xué)習(xí)熱情有一定作用。再如發(fā)布任務(wù)“如何通過Web界面登錄防火墻”，引導(dǎo)學(xué)生合理利用網(wǎng)絡(luò)資源完成項目任務(wù)，學(xué)會自己分析并解決問題。此外，學(xué)生參照基礎(chǔ)仿真實驗樣例完成高層次的仿真實驗，這種范例教學(xué)法可提高學(xué)生的創(chuàng)新性和積極性，多樣的教學(xué)方法之間具有一定的層次性。

3 層次化防火墻仿真實驗的設(shè)計

防火墻實驗是網(wǎng)絡(luò)設(shè)備配置實驗的重要部分，學(xué)生可通過防火墻實驗的練習(xí)，更好地理解防火墻的基本原理，掌握網(wǎng)絡(luò)設(shè)備的安全技術(shù)，提高網(wǎng)絡(luò)安全防護能力，提高網(wǎng)絡(luò)安全保護意識。根據(jù)“1+X”證書要求，并參考學(xué)生的學(xué)情分析將防火墻仿真實驗分成基礎(chǔ)實驗、進階實驗和綜合實驗三個層次，具體如表1 所示。

表1 層次化防火墻實驗設(shè)計

表2 綜合實驗配置規(guī)劃及關(guān)鍵配置命令

3.1 防火墻基礎(chǔ)實驗-防火墻(USG6000V) 如何使用Web界面登錄

在該層次中學(xué)生需掌握通過Web 界面訪問防火墻USG6000V(Universal Service Gateway)的管理界面。該基礎(chǔ)實驗的具體步驟如下：第一步先導(dǎo)入USG6000V 的鏡像包vfw_usg.vdi；第二步啟動設(shè)備USG6000V；第三步設(shè)置密碼；第四步修改本機VMnet的IPV4地址，需要注意的是修改VMnet8的網(wǎng)卡地址，與后面的云處于同一網(wǎng)段；第五步在eNSP 上添加“云”，并對云進行相關(guān)配置，然后“云”連接到VBox網(wǎng)卡，最終eNSP和本機PC連接成功。

1)實驗拓撲圖

圖1 使用eNSP繪制的基礎(chǔ)實驗拓撲圖

2)實驗關(guān)鍵配置命令

[USG6000V1]int g 0/0/0//進入g/0/0接口視圖

[USG6000V1-GigabitEthernet0/0/0]undo ip address 192.168.0.1 24//刪除接口的IP地址

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.20.22 24//修改IP地址為192.168.20.22

[USG6000V1-GigabitEthernet0/0/0]servicemanage all permit//允許所有服務(wù)

3)實驗驗證及分析

在瀏覽器中輸入網(wǎng)址https://192.168.20.22:8443，成功跳轉(zhuǎn)到華為防火墻Web登錄界面（如圖2所示）。

圖2 防火墻Web登錄結(jié)果

圖3 使用eNSP繪制的進階實驗拓撲圖

圖4 ping命令

圖5 使用eNSP繪制的綜合實驗拓撲圖

3.2 防火墻進階實驗-防火墻安全轉(zhuǎn)發(fā)策略及NAT策略的配置

在這個層次中學(xué)生需要掌握防火墻安全策略的配置與NAT(Network Address Translator，網(wǎng)絡(luò)地址轉(zhuǎn)換）的配置，學(xué)會通過命令對防火墻進行配置并搭建復(fù)雜的網(wǎng)絡(luò)拓撲。NAT技術(shù)解決了IPv4地址短缺的問題[9]。

1)實驗拓撲圖

2)實驗關(guān)鍵配置命令

①配置基本的IP 地址和所屬安全區(qū)域

[USG6000V1]interface GigabitEthernet 1/0/1//進入防火墻FW1的GigabitEthernet 1/0/1

[USG6000V1 -GigabitEthernet1/0/1]ip address 100.100.100.1 24//配置防火墻FW1接口IP地址

[USG6000V1]firewall zone untrust//進入防火墻FW1的untrust區(qū)域

[USG6000V1-zone-untrust]add interface g1/0/1//將該端口添加到untrust區(qū)域

類似地，我們將防火墻FW1 interface GigabitEthernet 1/0/0接口的IP地址配置為10.10.10.1/24,并將該端口添加到trust區(qū)域，同時開啟permit服務(wù)。

②配置安全轉(zhuǎn)發(fā)策略

[USG6000V1]security-policy//進入安全策略配置

[USG6000V1-security-policy]rule name trust_to_untrust//對安全策略進行命名

[USG6000V1-security-policy-rule-to_in]source-zone trust//定義源區(qū)域為trust

[USG6000V1-security-policy-rule-to_in]destination-zone untrust//定義目的區(qū)域為untrust

[USG6000V1-security-policy-rule-to_in]source-address 10.10.10.1 24//定義源地址

[USG6000V1-security-policy-rule-to_in]destination-address any//定義目的地址

[USG6000V1-security-policy-rule-to_in]action permit//執(zhí)行動作允許

注意：建立好trust到untrust的策略后，又因為untrust 是屬于外網(wǎng)范圍，不會接收來自內(nèi)網(wǎng)的包，所以需要進行NAT地址轉(zhuǎn)換。

③配置基本的NAT策略

[USG6000V1]nat-policy//進入NAT策略配置

[USG6000V1-policy-nat]rule name trust_nat_untrust//對NAT策略命名

[USG6000V1-policy-nat-rule-trust_nat_untrust]destination-zone untrust//定義目的區(qū)域

[USG6000V1-policy-nat-rule-trust_nat_untrust]source-zone trust//定義源區(qū)域

[USG6000V1-policy-nat-rule-trust_nat_untrust]source-address any//定義源地址

[USG6000V1-policy-nat-rule-trust_nat_untrust]destination-address any//定義目的地址

[USG6000V1-policy-nat-rule-trust_nat_untrust]action nat easy-ip//執(zhí)行動作為easy-ip

3)實驗驗證及分析

通過下圖觀察到能夠ping通，說明防火墻的安全策略配置正確，trust區(qū)域可以成功訪問untrust區(qū)域。

3.3 防火墻綜合實驗-區(qū)域劃分及不同區(qū)域間的流量訪問

此層次是在層次2 中防火墻安全轉(zhuǎn)發(fā)策略及NAT 策略的配置實驗基礎(chǔ)上，新增缺省路由和DMZ(Demilitarized Zone，隔離區(qū)）的知識點，DMZ作為內(nèi)外網(wǎng)之間的緩沖區(qū)，使得安裝防火墻后，外部網(wǎng)絡(luò)可以訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器[9]。此階段學(xué)生需要掌握trust區(qū)域、untrust 區(qū)域和DMZ 區(qū)域的劃分，及不同區(qū)域間進行流量訪問時應(yīng)該如何配置部署。該層次分為兩個實驗配置目標，配置目標一：untrust 區(qū)域可以訪問DMZ區(qū)域；配置目標二：trust區(qū)域可以訪問防火墻，防火墻可以訪問所有區(qū)域。

1)實驗拓撲圖

2)實驗關(guān)鍵配置命令

在防火墻綜合實驗中，需要對Router、FireWall和Server 進行相關(guān)配置?？蓪嵤┻^程分為兩部分，第一部分完成eNSP中設(shè)備接口IP地址的配置及區(qū)域的劃分，并搭建拓撲圖；第二部分在完成第一部分的基礎(chǔ)上完成2個實驗配置目標，實現(xiàn)不同區(qū)域間的訪問。下表為綜合實驗配置規(guī)劃及關(guān)鍵配置命令。

3)實驗驗證及分析

在不同設(shè)備上執(zhí)行ping命令，觀察ping 的丟包情況。觀察下圖6，發(fā)現(xiàn)內(nèi)網(wǎng)R2 能夠成功ping 通DMZ區(qū)域的123.4.5.6，說明untrust 區(qū)域可以訪問DMZ 區(qū)域。發(fā)現(xiàn)內(nèi)網(wǎng)R1 能夠成功ping 通192.168.1.1，說明trust區(qū)域能成功訪問防火墻。同理，可知防火墻能成功訪問任何區(qū)域。

圖6 不同區(qū)域間的流量訪問結(jié)果

3.4 考核評價

考核評價時根據(jù)基礎(chǔ)、進階和綜合三個層次的防火墻仿真實驗的難易程度，設(shè)置不同的權(quán)重，分別為0.2、0.3 和0.5。學(xué)生可以根據(jù)自己的情況，選擇適合自己的實驗進行操作。其實3個實驗中都涉及網(wǎng)絡(luò)設(shè)備IP地址的配置以及拓撲圖的搭建，所以學(xué)生完成后即可獲得基本分，成績占40%。學(xué)生通過提交不同層次的實驗結(jié)果驗證進行考核，成績占60%。實際操作過程中，不同層次的實驗項目間沒有完全嚴格的界限，比如層次2 的進階實驗也可以在層次3 的綜合實驗中進行，實現(xiàn)trust區(qū)域訪問untrust區(qū)域。我們也可以將綜合性實驗3的兩個實驗配置目標分解成兩個基礎(chǔ)實驗。通過不同層次實驗的轉(zhuǎn)化，也可以將學(xué)生是否具有分析解決問題的能力或挑戰(zhàn)困難的精神作為考評指標之一。此外，對于實驗過程中，主動幫助其他同學(xué)的學(xué)生可以適當(dāng)給予平時分獎勵?？傊?，我們采取定性評價和定量評價相結(jié)合，過程考核與結(jié)果考核相結(jié)合的方式對學(xué)生進行評價，盡可能地使層次化教學(xué)下的實驗評價相對公平。

4 結(jié)束語

本文采用層次化教學(xué)方法設(shè)計防火墻eNSP仿真實驗。層次化教學(xué)摒棄了“一刀切”的教學(xué)思路，引導(dǎo)學(xué)生發(fā)現(xiàn)問題并解決問題，取得了良好的教學(xué)效果。使用eNSP 仿真軟件可以完美模擬防火墻的基礎(chǔ)、進階和綜合3個層次的實驗，解決了真實設(shè)備昂貴、實驗系統(tǒng)性差和學(xué)生主動性差的問題，增加了學(xué)生的實踐經(jīng)驗。如何提煉防火墻綜合性實驗內(nèi)容，并與“1+X”考證內(nèi)容相結(jié)合，設(shè)計出更合適的實驗內(nèi)容，還需進一步研究和實踐。