网络安全运行与维护课程学习指南

《网络安全运行与维护》学习指南

《网络安全运行与维护》是高职高专信息安全技术专业、计算机网络相关专业的一门实践性较强的专业核心课程，承担着培养网络安全管理、计算机网络技术领域核心职业能力的重要任务。它的任务是以提高学生全面素质为基础，使学生能够掌握企业网络、应用服务器的安全配置与管理等相关技术和职业技能，达到高素质劳动者和高等技术专门人才所必需具备的网络安全与维护的基本知识的基本应用技能，使学生理解网络安全管理与维护的内涵，及时了解信息安全技术、网络技术新的发展趋势，为就业和继续学习打下良好的基础。

一、课程知识结构

模块序号 模块名称 管理与维护Windows桌面系统安全 管理与维护Windows服务器系统安全 管理与维护Linux桌面系统安全 教学单元序号 教学单元1 教学单元2 教学单元3 教学单元4 教学单元5 教学单元1 教学单元2 教学单元3 教学单元4 教学单元1 教学单元2 教学单元3 教学单元4 教学单元1 教学单元2 教学单元3 教学单元4 教学单元5 教学单元1 教学单元2 教学单元3 教学单元4 教学单元1 教学单元2 教学单元3 教学单元1 教学单元2 教学单元1 教学单元2 教学单元1 教学单元2 教学单元名称 加强Windows主机网络安全访问权限 使用防火墙规则提高Windows桌面系统防御 使用文件加密加强Windows文件系统安全 使用本地安全策略加强Windows主机防御 使用安全审计加强Windows主机安全 提高Windows系统活动目录安全访问 加固Windows系统DHCP服务安全防御 提升Windows系统IIS服务安全防御 加强Windows系统DNS服务安全防御 通过系统口令加强Linux系统安全防护 加强Linux用户网络访问权限安全控制 加强Linux文件系统安全访问 使用安全审计加强Linux主机安全 加强Linux系统DNS服务安全防御 加固Linux系统DHCP服务安全防御 提升Linux系统WEB服务安全防御 提高Linux系统FTP服务安全访问及安全防御 使用Linux防火墙提升服务器安全防御 实施路由器与交换机设备的安全管理 实施接入层网络设备的安全管理 配置访问控制列表保护网络安全 实施子网络间路由器的安全管理 办公网防火墙初始化 配置防火墙保护网络安全 实施VPN网关接入安 提高园区网互联系统安全运行与管理 提高企业网互联系统安全运行与管理 提高园区网网络行为控制和防御 提高企业网网络行为控制和防御 利用测试命令排除网络故障 网络安全故障排除 模块1 模块2 模块3 模块4 管理与维护Linux服务器系统安全 模块5 网络互连设备安全配置 模块6 模块7 模块8 模块9 网络安全设备配置 维护和管理网络互联系统安全 控制与防御网络行为安全 网络安全技术与设备故障排除 二、学习目标和要求

（一）模块1 管理与维护Windows桌面系统安全

本能力模块涉及5个能力单元，具体要求学生：

1.掌握用户账户、文件系统和文件共享等安全措施，加强Windows主机网络安全访问权限的管理；

1

2.初步了解防火墙的基本概念、工作过程和防火墙规则，能提高Windows桌面系统的防御能力； 3.理解加密文件系统（EFS）的特性，并结合NTFS加密文件夹和文件，掌握加强Windows文件系统安全的方法；

4.能使用截止枚举账号、指派本地用户权利、实施IP安全策略和密码安全等本地安全策略，加强Windows主机的整体防御能力；

5.理解事件查看器中日志、数据类型等各项安全审计参数的含义，能使用事件查看器查看应用程序、安全系统事件，建立日志警报查看服务器特定设备如内存、CPU等的状态，提高Windows主机的安全维护能力。

通过在实践中掌握共享权限、NTFS文件系统的权限、EFS的特性及应用，系统本地安全策略，日志系统的审核等重难知识点的学习，为后续能力模块M6:Linux桌面系统安全管理与维护的学习打下坚实的基础。

（二）模块2 管理与维护Windows服务器系统安全

本能力模块涉及4个能力单元，具体要求学生：

1.掌握活动目录、目录服务、域（级别）、树、森林（级别）、站点、组织单元、LDAP、全局编录、组策略、信任关系等基本概念，学会安装活动目录、创建活动目录子域、安全管理活动目录的操作方法，提高Windows系统活动目录服务的安全访问能力；

2.掌握DHCP的作用、工作过程、加固DHCP服务器的安全措施，能安装DHCP和调试服务器、管理DHCP服务安全，提高Windows系统DHCP服务的安全防御能力；

3.掌握IIS的组件、SSL和CA的基本概念，学会限制端口访问、设置ACL过滤相关服务和提供SSL服务的操作方法，提高Windows系统IIS服务的安全防御能力；

4.掌握DNS的域名结构、查询过程等基本概念，学会安装DNS服务、改善DNS服务安全的方法，加强Windows系统DNS服务的安全防御能力。

通过在实践中掌握活动目录、信任关系、SSL、DNS查询、DHCP Snooping等重难知识点的学习，为后续能力模块M8:Linux服务器系统安全管理与维护的学习打下坚实的基础。 （三）模块3 管理与维护Linux桌面系统安全

本能力模块涉及4个能力单元，具体要求学生：

1.掌握口令保护Linux桌面系统的安全措施：口令保护GRUB、口令安全规则、口令老化手段等基本概念，学会使用口令保护GRUB、创建安全口令和设置口令老化的操作方法，提高Linux桌面系统的安全访问能力；

2.掌握根shell、根登录、根用户登录SSH、PAM模块、VSFTP、根权限存取的基本概念，学会使用禁用根shell、根登录、根用户登录SSH、PAM禁用根权限、限制存取权限等技术手段的操作方法，能对Linux系统的访问权限进行限制，达到提高用户安全访问Linux桌面系统的能力；

3.掌握NFS、SAMBA等文件系统工具的基本概念，学会使用Linux系统自带的防火墙功能手段，正确配置NFS、SAMBA的安全特性，提高Linux文件系统的安全访问能力；

2

4.掌握ac、lastcomm、accton和sa等安全审计工具的基本概念，学会使用安全审计工具psacct的操作方法，对网络行为进行审计，加强Linux主机的安全维护能力。

通过在实践中掌握口令安全、访问安全、文件系统安全、审计安全等相关重难知识点的学习，为后续能力模块M8:Linux服务器系统安全管理与维护的学习打下坚实的基础。 （四）模板4 管理与维护Linux服务器系统安全

本能力模块涉及5个能力单元，具体要求学生：

1.能够组建企业使用的DNS服务器并能够对其安全管理和维护等能力； 2.能够组建企业使用的DHCP服务器并能够对其安全管理和维护等能力； 3.能够组建企业使用的WEB服务器并能够对其安全管理和维护等能力； 4.能够组建企业使用的FTP服务器并能够对其安全管理和维护等能力； 5.能够组建企业使用IPTABLES服务器并能够对其安全管理和维护等能力。 （五）模块5 网络互连设备安全配置

本能力模块涉及5个能力单元，具体要求学生：

1.能够掌握如何更安全的管理网络设备。如何在网络设备上配置一些安全访问的技术； 2.能够掌握配置大多数常用的访问控制技术。以及这些技术的应用场合；

3.能够掌握配置接入层安全的能力。采用不同的接入层技术解决不同的接入层安全问题； 4.能够掌握配置如何让路由协议之间通信变得更安全。掌握动态路由协议之间的安全技术； 5.能够掌握配置网络中身份验证的方法和适用技术。 （六）模块6 网络安全设备配置

本能力模块涉及3个能力单元，具体要求学生： 1. 清楚防火墙的放置位置； 2. 熟悉掌握防火墙的拓扑设计； 3. 能够熟练掌握防火墙初始化安装; 4. 能够熟练掌握防火墙的安全规则配置； 5. 掌握VPN基本概念;

6. 掌握VPN搭建远程访问网络。 （七）模块7 管理和维护网络互联系统安全

本能力模块涉及2个能力单元，具体要求学生：

1.能够掌握如何更安全的管理网络设备。如何在网络设备上配置一些安全访问的技术； 2.能够掌握配置大多数常用的访问控制技术。以及这些技术的应用场合；

3.能够掌握配置接入层安全的能力。采用不同的接入层技术解决不同的接入层安全问题； 4.能够掌握配置如何让路由协议之间通信变得更安全。掌握动态路由协议之间的安全技术； 5.能够掌握配置网络中身份验证的方法和适用技术。

3

（八）模块8 控制和防御网络行为安全

本能力模块涉及2个能力单元，具体要求学生：

1.能够掌握如何更安全的管理网络设备。如何在网络设备上配置一些安全访问的技术； 2.能够掌握配置常用的防火墙访问控制技术。以及这些技术的应用场合； 3.能够掌握入侵检测系统的使用位置和使用方法； 4.能够掌握配置如何使用VPN连接远程两个公司站点； 5.能够掌握配置VPN远程连接公司内部网络。 （九）模块9 网络安全技术与设备故障排除

本能力模块涉及2个能力单元，具体要求学生： 1.熟练掌握故障诊断命令和工具的能力

2.能借助于网络协议分析软件以及测试命令，尽可能多的收集故障现象，并根据故障现象对故障发生的可能原因加以分析并逐一排查。

3.能够在复杂的网络运营环境中，快速发现问题解决问题的能力。

三、重点与难点

（一）模块1 管理与维护Windows桌面系统安全

【重点知识】

1.教学单元1:加强Windows主机网络安全访问权限的管理要求掌握的重点知识 （1）共享文件夹

（2）设置共享文件夹的权限 （3）设置NTFS权限

2.教学单元2:使用防火墙规则提高Windows桌面系统的防御要求掌握的重点知识 （1）防火墙原理 （2）防火墙的规则配置

3.教学单元3:使用文件系统加密来加强Windows文件系统安全要求掌握的重点知识 （1）EFS的原理 （2）EFS的特性

4.教学单元:使用本地安全策略加强Windows主机的整体防御要求掌握的重点知识 （1）禁止枚举账号 （2）指派本地用户权利 （3）配置密码安全策略

5.教学单元5:使用安全审计加强Windows主机的安全维护要求掌握的重点知识 （1）事件查看器的查看方法 （2）新建警报并配置警报类型

4

（3）通过系统监视器监控系统运行状态 【难点知识】

1.教学单元1:加强Windows主机网络安全访问权限的管理要求掌握的难点知识

（1）NTFS文件权限：读取(Read)、写入( Write)、读取和执行(Read & Execute) 、修改(Modify)、完全控制(Full Control)。

（2）NTFS文件夹权限：读取(Read)、写入(Write)、列出文件件夹目录(List Folder Contents)、读取和执行(Read & Execute)、修改(Modify)、完全控制(Full Control)。

（3）NTFS权限属性：NTFS权限是可继承的、NTFS权限是累加的、拒绝的NTFS权限比允许的权限级别高

2.教学单元2:使用防火墙规则提高Windows桌面系统的防御要求掌握的难点知识 防火墙的规则：

（1）启用：在“高级”选项卡上选定的所有网络连接启用Windows防火墙，启用Windows防火墙，仅允许请求的通信和已添加到例外列表中的传入通信。

（2）不允许例外：允许请求的传入通信。不允许已添加到例外列表中的传入通信。 （3）关闭：禁用Windows防火墙。

3.教学单元3:使用文件系统加密来加强Windows文件系统安全要求掌握的难点知识 EFS文件加密系统及NTFS来配合数据的安全保护。

（1）只有NTFS磁盘内的文件、文件夹才可以被加密，若将文件复制或移动到非NTFS磁盘内 ,则此新文件会被解密。

（2）文件加密系统和压缩两个操作之间是互斥状态。

（3）如果要对已压缩的文件加密，则该文件会自动被解压。如要对已加密的文件压缩，则该文件会自动被解密。

（4）用户或应用程序想要读取加密文件时，系统会将文件由磁盘内读出、自动解密后提供给用户或应用程序使用，然而存储在磁盘内的文件仍然是处于加密的状态

（5）而当用户或用程序要将文件写入磁盘时，它们也会被自动加密后再写入磁盘内。这些些操作针对用户都是透明的。

4.教学单元4:使用本地安全策略加强Windows主机的整体防御要求掌握的难点知识 IP安全策略

5.教学单元5:使用安全审计加强Windows主机的安全维护要求掌握的难点知识 解释事件标题包含的信息

（二）模块2 管理与维护Windows服务器系统安全

【重点知识】

1.教学单元1: 提高Windows系统活动目录安全访问要求掌握的重点知识 （1）Windows Server 2003活动目录的安装

5