防火墙技术课程标准.docVIP

防火墙技术课程标准 学分:6 参考学时:68学时 一、课程的性质 本课程的计算机应用技术 (信息安全) 专业的核心课程之一,其目的是培养学生网络防火墙、IPS入侵防御技术、VPN技术等网络安全产品配置的核心职业能力.使学生掌握防火墙设计策略、IPS的配置与管理、VPN配置管理等网络安全防范方法,具备企业网络安全、资源维护所需要的基本技能. 课程的基本理念 1、网络信息安全的基本理念 网络安全是指利用网络管理、控制或用技术措施保障一个网络环境里的信息数据的保密性、完整性和可用性。具体地说，网络安全要确保计算机网络信息系统在存储、处理、传输信息数据的保密性、完整性和可用性，确保对授权合法用户的服务和限制非授权用户的服务。 网络安全包括两方面内容，即网络的系统安全和网络的信息安全。系统安全包括系统的软、硬件和固件的安全性，包括计算机网络信息系统的ＣＰＵ操作系统、存储器、路由器等的安全；而信息安全包括信息数据的存储、处理、传输的安全，包括信息的保密性、完整性和可用性。 以下主要对网络信息安全的基本理念及预防措施做详细分析研究。 （一）、网络信息安全的基本概念 信息安全包括信息数据的存储、处理、传输的安全，包括信息的保密性、完整性和可用性。信息保密性目的是为了防止非授权者获取、破坏信息系统中的秘密信息；信息完整性是解决信息的精确、有效，防止信息数据被篡改和破坏；信息可用性是保证网络资源在需要时即可使用，不因为系统的故障或误操作而使资源丢失或不能被使用，还包括具有某些不正常情况下系统的继续运行的能力。 （二）、网络信息安全的发展变化 网络信息安全是在信息技术的发展和对抗中不断发展和充实的。信息安全的发展大体经历了三个阶段，即通信保密阶段、计算机系统安全阶段以及计算机网络信息系统的安全阶段。 ７０年代以前的通信保密阶段主要采用密码技术解决数据在电信网上传输的保密性。这一阶段主要的安全威胁是外部的窃听、接收破译及内部操作员的违规通信。在７０－８０年代的计算机系统安全阶段，则主要采用密码技术、访问控制技术、身份鉴定技术等安全措施，保障信息的保密性和完整性，保障计算机系统为授权用户所使用。这一阶段的主要威胁来自外部的非法访问，操作员使用脆弱口令等。９０年代以后，随着计算机网络尤其是因特网发展，构成网络信息系统的安全保障系统，不仅需要确保信息系统存储、处理、传输信息数据的保密性、完整性和可用性，还要解决对合法用户的服务和限制非授权用户的服务，解决身份的真实性，解决信息传输过程的不可否认性。此外，信息系统还要设置必要的防御攻击的措施。这阶段的主要威胁是外部的网络入侵、病毒破坏、信息对抗以及内部的违规操作和恶意报复。 （三）、计算机网络信息系统安全威胁的来源 与７０年代之前通信保密阶段安全威胁的来源，现在的计算机信息网络系统安全威胁也主要来自外部因素和内部原因。外部威胁一是无组织的黑客攻击，二是有组织的网络攻击。前者是个人行为，后者则发展为信息战。两者都是凭借计算机技术和通信技术侵入到计算机网络信息系统中，但黑客攻击相对独立无组织，而网络攻击是有组织的军事斗争手段，是信息战的一种形态。外部攻击有两种目的：一是以刺探、破坏信息为目的，另一是获取信息内的秘密文件，进而为篡改文件命令，即获取情报为目的。前者主要表现为各种计算机病毒，后者则是秘密地窃取情报，和前者相比，更不容易被发现，所造成的危害也就更深远一些。 内部人员的威胁行为分为违规操作和恶意报复。其中违规操作是造成外部威胁得逞的主要原因。如内部人员擅自通过实名计算机直接进入因特网，造成计算机内存储的秘密文件被窃；又如不经病毒过滤擅自从互联网上下载多媒体影音数据，造成计算机的感染。另外，内部人员的恶意报复在企业也时有发生，如对企业不满的计算机工作人员恶意破坏数据库软件，造成数据丢失和系统故障；企业的工业间谍还通过信息系统获取工业秘密，造成企业的重大损失；银行内部的计算机员工利用计算机对银行业务的识别进行计算机犯罪等。 三、课程目标 该课程主要任务是使学生能够了解防火墙、VPN 等网络安全产品的核心技术，理解防火墙、VPN 解决方案中各种主要网络硬件、软件设备的功能、原理及相互间的联系和作用，能够使用和配置相关的网络安全设备和软件。理解重点掌握对于网络安全的解决方案，基于成本的设备选型，各种设备网络安全性能的配置、掌握在不同典型工作环境中网络安全产品的设置。具体如下：1 ．能够熟练掌握防火墙的配置与管理2 ．能够掌握IPS 的配置与管理3 ．能够进行入侵检测配置与管理4 ．能够熟练掌握VPN 的配置与管理5 ．能够掌握UTM 的配置与管理 四、本课程与其他课程的关系 防火墙技术是基于信息安全班开设的课程,本课程的学习是基于其它网络课程的