“1+X”證書制度下防火墻仿真實(shí)驗(yàn)教學(xué)中層次化教學(xué)設(shè)計(jì)

王蓉蓉

（陜西財(cái)經(jīng)職業(yè)技術(shù)學(xué)院，陜西咸陽 712000)

0 引言

“1+X”證書制度試點(diǎn)工作作為職業(yè)教育教改新舉措之一，在國務(wù)院印發(fā)的《國家職業(yè)教育改革實(shí)施方案》中被首次提出[1]。“1+X”證書制度不僅是國家完善職業(yè)教育和培訓(xùn)體系，提高教學(xué)質(zhì)量和師資力量的關(guān)鍵舉措，還是提高學(xué)生專業(yè)水平，增強(qiáng)就業(yè)能力的關(guān)鍵舉措。

當(dāng)今網(wǎng)絡(luò)安全越來越受到重視，習(xí)近平總書記指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”。防火墻、虛擬專用網(wǎng)和入侵檢測(cè)等與網(wǎng)絡(luò)設(shè)備相關(guān)的安全技術(shù)對(duì)于保障網(wǎng)絡(luò)安全有著極大的作用。“防火墻技術(shù)”課程是高職院校信息安全技術(shù)應(yīng)用專業(yè)的核心課程之一，其仿真實(shí)驗(yàn)教學(xué)也很重要。

層次化教學(xué)方法，是在學(xué)生學(xué)習(xí)基礎(chǔ)和智力因素等存在個(gè)體差異的背景下，根據(jù)課程內(nèi)容的層次化特點(diǎn)或者教學(xué)對(duì)象的差異化特點(diǎn)，有針對(duì)性地進(jìn)行教學(xué)的方法，達(dá)到提高技能，培養(yǎng)積極的價(jià)值觀，提高創(chuàng)新能力的教學(xué)目標(biāo)[2-4]。在“1+X”證書制度下將層次化教學(xué)方法應(yīng)用于防火墻仿真實(shí)驗(yàn)，成為當(dāng)前研究熱點(diǎn)之一。

1 防火墻實(shí)驗(yàn)教學(xué)問題分析

“1+X”證書制度下，防火墻技術(shù)作為網(wǎng)絡(luò)設(shè)備安全技術(shù)之一，針對(duì)信息安全技術(shù)應(yīng)用專業(yè)的二年級(jí)學(xué)生開設(shè)，包括理論教學(xué)和實(shí)驗(yàn)教學(xué)。目前，防火墻實(shí)驗(yàn)教學(xué)普遍存在如下問題：1)真實(shí)設(shè)備昂貴：實(shí)驗(yàn)室需要配備的硬件設(shè)備有交換機(jī)、路由器和防火墻等，投入成本高、建設(shè)周期長、網(wǎng)絡(luò)布線復(fù)雜，并且需要定期更新、維護(hù)、保養(yǎng)這些設(shè)備。2)實(shí)驗(yàn)系統(tǒng)性差：傳統(tǒng)的防火墻實(shí)驗(yàn)教學(xué)知識(shí)結(jié)構(gòu)較為松散，不具備系統(tǒng)性，且與防火墻的理論課程關(guān)聯(lián)不大，而且在實(shí)際操作過程中，實(shí)驗(yàn)的操作步驟不清晰、操作記錄不完整等都會(huì)導(dǎo)致實(shí)驗(yàn)不具備系統(tǒng)性。3)學(xué)生主動(dòng)性差：實(shí)驗(yàn)操作過程中，學(xué)生僅僅參照老師提供的操作步驟進(jìn)行實(shí)驗(yàn)，缺乏自己的獨(dú)立思考，能力不同的學(xué)生學(xué)習(xí)進(jìn)度和實(shí)訓(xùn)效果也是不一樣的。教師需要先做學(xué)情分析，根據(jù)教學(xué)對(duì)象的特點(diǎn)設(shè)計(jì)不同難度的實(shí)驗(yàn)，才能更好地提升學(xué)生的實(shí)踐能力和創(chuàng)新能力。

2 “1+X”證書制度下防火墻實(shí)驗(yàn)教學(xué)的優(yōu)化

為解決硬件設(shè)備昂貴問題，我們采用華為提供的企業(yè)網(wǎng)絡(luò)仿真平臺(tái)( Enterprise Network Simulation Platform，eNSP)[5]進(jìn)行防火墻相關(guān)實(shí)驗(yàn)。eNSP 可進(jìn)行圖形化操作，可通過仿真企業(yè)網(wǎng)絡(luò)路由器、防火墻、交換機(jī)等，達(dá)到模擬真實(shí)設(shè)備的目的[6]。eNSP 有以下優(yōu)點(diǎn)：1) eNSP 使得學(xué)生可隨時(shí)進(jìn)行仿真實(shí)驗(yàn)練習(xí)；2)eNSP 支持將搭建的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及配置信息進(jìn)行保存，以免丟失；3)eNSP 不需要初始化或重置，重新打開軟件就可使不同班級(jí)的學(xué)生做實(shí)驗(yàn)；4)eNSP 使學(xué)生能夠更好地應(yīng)用并理解防火墻理論知識(shí)，解決了理論課程與實(shí)驗(yàn)課程關(guān)聯(lián)不大的問題。

此外，我們采用層次化教學(xué)方法解決實(shí)驗(yàn)系統(tǒng)性差和學(xué)生主動(dòng)性差的防火墻實(shí)驗(yàn)教學(xué)問題，在“1+X”證書制度下，層次化教學(xué)主要從明確層次化的教學(xué)標(biāo)準(zhǔn)、制定層次化的教學(xué)目標(biāo)和采用層次化的教學(xué)方法3個(gè)方面展開，具體如下：

1)層次化的教學(xué)標(biāo)準(zhǔn)：“1+X”證書制度下，防火墻課程的教學(xué)標(biāo)準(zhǔn)具有層次化的特點(diǎn)，信息安全基礎(chǔ)課程中有涉及防火墻的知識(shí)，該課程要求了解防火墻的概念，掌握防火墻的關(guān)鍵技術(shù)并了解網(wǎng)絡(luò)安全的常見產(chǎn)品。信息安全產(chǎn)品配置與應(yīng)用、防火墻技術(shù)是涉及了防火墻的核心課程，其中信息安全產(chǎn)品配置與應(yīng)用課程要求理解防火墻的基本原理，防火墻測(cè)試的基本方法，能夠?qū)Ψ阑饓Ξa(chǎn)品做初始化配置及正確部署。防火墻技術(shù)課程需要掌握防火墻的開發(fā)與測(cè)試標(biāo)準(zhǔn)，知道如何選購、部署及應(yīng)用個(gè)人防火墻及商用防火墻等內(nèi)容?？梢姺阑饓A(chǔ)課程和核心課程具有層次化的課程標(biāo)準(zhǔn)。

2)層次化的教學(xué)目標(biāo)：若根據(jù)“1+X”網(wǎng)絡(luò)安全運(yùn)維職業(yè)技能等級(jí)標(biāo)準(zhǔn)，教學(xué)目標(biāo)可分為3個(gè)層次，如初級(jí)只需掌握基礎(chǔ)網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)，了解網(wǎng)絡(luò)設(shè)備（路由、交換）的作用和原理；中級(jí)能夠參照網(wǎng)絡(luò)設(shè)備的狀態(tài)信息進(jìn)行線路調(diào)整等維護(hù)操作；高級(jí)能夠掌握防火墻等安全防護(hù)設(shè)備的安全策略配置及有效部署[7]。若根據(jù)“1+X”企業(yè)網(wǎng)絡(luò)安全防護(hù)職業(yè)技能等級(jí)標(biāo)準(zhǔn)[8]，初級(jí)、中級(jí)和高級(jí)的教學(xué)目標(biāo)又有所不同，初級(jí)能配置防火墻基本安全策略和安全防護(hù)功能，滿足企業(yè)的真實(shí)安全需求；中級(jí)要掌握WAF的部署、日志與告警規(guī)則，設(shè)置合適的應(yīng)用防護(hù)策略；高級(jí)則是能通過安全審計(jì)找到系統(tǒng)中潛在安全問題，加固系統(tǒng)從而提高安全性。

3)層次化的教學(xué)方法：以傳統(tǒng)實(shí)驗(yàn)教學(xué)內(nèi)容為基礎(chǔ)，增加線上實(shí)驗(yàn)，漸漸形成線上線下混合教學(xué)的模式，對(duì)調(diào)動(dòng)學(xué)生的學(xué)習(xí)熱情有一定作用。再如發(fā)布任務(wù)“如何通過Web界面登錄防火墻”，引導(dǎo)學(xué)生合理利用網(wǎng)絡(luò)資源完成項(xiàng)目任務(wù)，學(xué)會(huì)自己分析并解決問題。此外，學(xué)生參照基礎(chǔ)仿真實(shí)驗(yàn)樣例完成高層次的仿真實(shí)驗(yàn)，這種范例教學(xué)法可提高學(xué)生的創(chuàng)新性和積極性，多樣的教學(xué)方法之間具有一定的層次性。

3 層次化防火墻仿真實(shí)驗(yàn)的設(shè)計(jì)

防火墻實(shí)驗(yàn)是網(wǎng)絡(luò)設(shè)備配置實(shí)驗(yàn)的重要部分，學(xué)生可通過防火墻實(shí)驗(yàn)的練習(xí)，更好地理解防火墻的基本原理，掌握網(wǎng)絡(luò)設(shè)備的安全技術(shù)，提高網(wǎng)絡(luò)安全防護(hù)能力，提高網(wǎng)絡(luò)安全保護(hù)意識(shí)。根據(jù)“1+X”證書要求，并參考學(xué)生的學(xué)情分析將防火墻仿真實(shí)驗(yàn)分成基礎(chǔ)實(shí)驗(yàn)、進(jìn)階實(shí)驗(yàn)和綜合實(shí)驗(yàn)三個(gè)層次，具體如表1 所示。

表1 層次化防火墻實(shí)驗(yàn)設(shè)計(jì)

表2 綜合實(shí)驗(yàn)配置規(guī)劃及關(guān)鍵配置命令

3.1 防火墻基礎(chǔ)實(shí)驗(yàn)-防火墻(USG6000V) 如何使用Web界面登錄

在該層次中學(xué)生需掌握通過Web 界面訪問防火墻USG6000V(Universal Service Gateway)的管理界面。該基礎(chǔ)實(shí)驗(yàn)的具體步驟如下：第一步先導(dǎo)入U(xiǎn)SG6000V 的鏡像包vfw_usg.vdi；第二步啟動(dòng)設(shè)備USG6000V；第三步設(shè)置密碼；第四步修改本機(jī)VMnet的IPV4地址，需要注意的是修改VMnet8的網(wǎng)卡地址，與后面的云處于同一網(wǎng)段；第五步在eNSP 上添加“云”，并對(duì)云進(jìn)行相關(guān)配置，然后“云”連接到VBox網(wǎng)卡，最終eNSP和本機(jī)PC連接成功。

1)實(shí)驗(yàn)拓?fù)鋱D

圖1 使用eNSP繪制的基礎(chǔ)實(shí)驗(yàn)拓?fù)鋱D

2)實(shí)驗(yàn)關(guān)鍵配置命令

[USG6000V1]int g 0/0/0//進(jìn)入g/0/0接口視圖

[USG6000V1-GigabitEthernet0/0/0]undo ip address 192.168.0.1 24//刪除接口的IP地址

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.20.22 24//修改IP地址為192.168.20.22

[USG6000V1-GigabitEthernet0/0/0]servicemanage all permit//允許所有服務(wù)

3)實(shí)驗(yàn)驗(yàn)證及分析

在瀏覽器中輸入網(wǎng)址https://192.168.20.22:8443，成功跳轉(zhuǎn)到華為防火墻Web登錄界面（如圖2所示）。

圖2 防火墻Web登錄結(jié)果

圖3 使用eNSP繪制的進(jìn)階實(shí)驗(yàn)拓?fù)鋱D

圖4 ping命令

圖5 使用eNSP繪制的綜合實(shí)驗(yàn)拓?fù)鋱D

3.2 防火墻進(jìn)階實(shí)驗(yàn)-防火墻安全轉(zhuǎn)發(fā)策略及NAT策略的配置

在這個(gè)層次中學(xué)生需要掌握防火墻安全策略的配置與NAT(Network Address Translator，網(wǎng)絡(luò)地址轉(zhuǎn)換）的配置，學(xué)會(huì)通過命令對(duì)防火墻進(jìn)行配置并搭建復(fù)雜的網(wǎng)絡(luò)拓?fù)?。NAT技術(shù)解決了IPv4地址短缺的問題[9]。

1)實(shí)驗(yàn)拓?fù)鋱D

2)實(shí)驗(yàn)關(guān)鍵配置命令

①配置基本的IP 地址和所屬安全區(qū)域

[USG6000V1]interface GigabitEthernet 1/0/1//進(jìn)入防火墻FW1的GigabitEthernet 1/0/1

[USG6000V1 -GigabitEthernet1/0/1]ip address 100.100.100.1 24//配置防火墻FW1接口IP地址

[USG6000V1]firewall zone untrust//進(jìn)入防火墻FW1的untrust區(qū)域

[USG6000V1-zone-untrust]add interface g1/0/1//將該端口添加到untrust區(qū)域

類似地，我們將防火墻FW1 interface GigabitEthernet 1/0/0接口的IP地址配置為10.10.10.1/24,并將該端口添加到trust區(qū)域，同時(shí)開啟permit服務(wù)。

②配置安全轉(zhuǎn)發(fā)策略

[USG6000V1]security-policy//進(jìn)入安全策略配置

[USG6000V1-security-policy]rule name trust_to_untrust//對(duì)安全策略進(jìn)行命名

[USG6000V1-security-policy-rule-to_in]source-zone trust//定義源區(qū)域?yàn)閠rust

[USG6000V1-security-policy-rule-to_in]destination-zone untrust//定義目的區(qū)域?yàn)閡ntrust

[USG6000V1-security-policy-rule-to_in]source-address 10.10.10.1 24//定義源地址

[USG6000V1-security-policy-rule-to_in]destination-address any//定義目的地址

[USG6000V1-security-policy-rule-to_in]action permit//執(zhí)行動(dòng)作允許

注意：建立好trust到untrust的策略后，又因?yàn)閡ntrust 是屬于外網(wǎng)范圍，不會(huì)接收來自內(nèi)網(wǎng)的包，所以需要進(jìn)行NAT地址轉(zhuǎn)換。

③配置基本的NAT策略

[USG6000V1]nat-policy//進(jìn)入NAT策略配置

[USG6000V1-policy-nat]rule name trust_nat_untrust//對(duì)NAT策略命名

[USG6000V1-policy-nat-rule-trust_nat_untrust]destination-zone untrust//定義目的區(qū)域

[USG6000V1-policy-nat-rule-trust_nat_untrust]source-zone trust//定義源區(qū)域

[USG6000V1-policy-nat-rule-trust_nat_untrust]source-address any//定義源地址

[USG6000V1-policy-nat-rule-trust_nat_untrust]destination-address any//定義目的地址

[USG6000V1-policy-nat-rule-trust_nat_untrust]action nat easy-ip//執(zhí)行動(dòng)作為easy-ip

3)實(shí)驗(yàn)驗(yàn)證及分析

通過下圖觀察到能夠ping通，說明防火墻的安全策略配置正確，trust區(qū)域可以成功訪問untrust區(qū)域。

3.3 防火墻綜合實(shí)驗(yàn)-區(qū)域劃分及不同區(qū)域間的流量訪問

此層次是在層次2 中防火墻安全轉(zhuǎn)發(fā)策略及NAT 策略的配置實(shí)驗(yàn)基礎(chǔ)上，新增缺省路由和DMZ(Demilitarized Zone，隔離區(qū)）的知識(shí)點(diǎn)，DMZ作為內(nèi)外網(wǎng)之間的緩沖區(qū)，使得安裝防火墻后，外部網(wǎng)絡(luò)可以訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器[9]。此階段學(xué)生需要掌握trust區(qū)域、untrust 區(qū)域和DMZ 區(qū)域的劃分，及不同區(qū)域間進(jìn)行流量訪問時(shí)應(yīng)該如何配置部署。該層次分為兩個(gè)實(shí)驗(yàn)配置目標(biāo)，配置目標(biāo)一：untrust 區(qū)域可以訪問DMZ區(qū)域；配置目標(biāo)二：trust區(qū)域可以訪問防火墻，防火墻可以訪問所有區(qū)域。

1)實(shí)驗(yàn)拓?fù)鋱D

2)實(shí)驗(yàn)關(guān)鍵配置命令

在防火墻綜合實(shí)驗(yàn)中，需要對(duì)Router、FireWall和Server 進(jìn)行相關(guān)配置?？蓪?shí)施過程分為兩部分，第一部分完成eNSP中設(shè)備接口IP地址的配置及區(qū)域的劃分，并搭建拓?fù)鋱D；第二部分在完成第一部分的基礎(chǔ)上完成2個(gè)實(shí)驗(yàn)配置目標(biāo)，實(shí)現(xiàn)不同區(qū)域間的訪問。下表為綜合實(shí)驗(yàn)配置規(guī)劃及關(guān)鍵配置命令。

3)實(shí)驗(yàn)驗(yàn)證及分析

在不同設(shè)備上執(zhí)行ping命令，觀察ping 的丟包情況。觀察下圖6，發(fā)現(xiàn)內(nèi)網(wǎng)R2 能夠成功ping 通DMZ區(qū)域的123.4.5.6，說明untrust 區(qū)域可以訪問DMZ 區(qū)域。發(fā)現(xiàn)內(nèi)網(wǎng)R1 能夠成功ping 通192.168.1.1，說明trust區(qū)域能成功訪問防火墻。同理，可知防火墻能成功訪問任何區(qū)域。

圖6 不同區(qū)域間的流量訪問結(jié)果

3.4 考核評(píng)價(jià)

考核評(píng)價(jià)時(shí)根據(jù)基礎(chǔ)、進(jìn)階和綜合三個(gè)層次的防火墻仿真實(shí)驗(yàn)的難易程度，設(shè)置不同的權(quán)重，分別為0.2、0.3 和0.5。學(xué)生可以根據(jù)自己的情況，選擇適合自己的實(shí)驗(yàn)進(jìn)行操作。其實(shí)3個(gè)實(shí)驗(yàn)中都涉及網(wǎng)絡(luò)設(shè)備IP地址的配置以及拓?fù)鋱D的搭建，所以學(xué)生完成后即可獲得基本分，成績占40%。學(xué)生通過提交不同層次的實(shí)驗(yàn)結(jié)果驗(yàn)證進(jìn)行考核，成績占60%。實(shí)際操作過程中，不同層次的實(shí)驗(yàn)項(xiàng)目間沒有完全嚴(yán)格的界限，比如層次2 的進(jìn)階實(shí)驗(yàn)也可以在層次3 的綜合實(shí)驗(yàn)中進(jìn)行，實(shí)現(xiàn)trust區(qū)域訪問untrust區(qū)域。我們也可以將綜合性實(shí)驗(yàn)3的兩個(gè)實(shí)驗(yàn)配置目標(biāo)分解成兩個(gè)基礎(chǔ)實(shí)驗(yàn)。通過不同層次實(shí)驗(yàn)的轉(zhuǎn)化，也可以將學(xué)生是否具有分析解決問題的能力或挑戰(zhàn)困難的精神作為考評(píng)指標(biāo)之一。此外，對(duì)于實(shí)驗(yàn)過程中，主動(dòng)幫助其他同學(xué)的學(xué)生可以適當(dāng)給予平時(shí)分獎(jiǎng)勵(lì)?？傊?，我們采取定性評(píng)價(jià)和定量評(píng)價(jià)相結(jié)合，過程考核與結(jié)果考核相結(jié)合的方式對(duì)學(xué)生進(jìn)行評(píng)價(jià)，盡可能地使層次化教學(xué)下的實(shí)驗(yàn)評(píng)價(jià)相對(duì)公平。

4 結(jié)束語

本文采用層次化教學(xué)方法設(shè)計(jì)防火墻eNSP仿真實(shí)驗(yàn)。層次化教學(xué)摒棄了“一刀切”的教學(xué)思路，引導(dǎo)學(xué)生發(fā)現(xiàn)問題并解決問題，取得了良好的教學(xué)效果。使用eNSP 仿真軟件可以完美模擬防火墻的基礎(chǔ)、進(jìn)階和綜合3個(gè)層次的實(shí)驗(yàn)，解決了真實(shí)設(shè)備昂貴、實(shí)驗(yàn)系統(tǒng)性差和學(xué)生主動(dòng)性差的問題，增加了學(xué)生的實(shí)踐經(jīng)驗(yàn)。如何提煉防火墻綜合性實(shí)驗(yàn)內(nèi)容，并與“1+X”考證內(nèi)容相結(jié)合，設(shè)計(jì)出更合適的實(shí)驗(yàn)內(nèi)容，還需進(jìn)一步研究和實(shí)踐。