網(wǎng)絡(luò)安全的實驗教學(xué)設(shè)計

鄧?yán)?，任正偉，張凱

（1.武漢科技大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院，武漢430065；2.智能信息處理與實時工業(yè)系統(tǒng)湖北省重點實驗室，武漢430065）

0 引言

一般地，信息安全專業(yè)的核心課程大多涉及枯燥、抽象的理論知識[1]，學(xué)生在學(xué)習(xí)過程中對知識點的理解有一定難度，難點積累多了，學(xué)習(xí)興趣就會慢慢減退甚至消失。學(xué)生的學(xué)習(xí)效果自然會大打折扣。同時，教師在講授專業(yè)核心課程時，如果純粹專注于理論知識，會讓學(xué)生覺得這些知識太抽象，離實際應(yīng)用太遠(yuǎn)，會導(dǎo)致“知識無用論”的觀點。實踐課程將抽象難懂的理論應(yīng)用在某些具體場景中，不僅加深對知識點的理解，也讓學(xué)生了解理論在實踐中的具體應(yīng)用，較好地將理論和實踐聯(lián)系起來。

信息安全專業(yè)，本身具有鮮明的技術(shù)性和實踐性特征[2]。而網(wǎng)絡(luò)安全作為信息安全專業(yè)的核心課程，其實踐性要求更為突出。而網(wǎng)絡(luò)安全的實驗環(huán)境的軟硬件配置要求多，部署費用高，許多高?，F(xiàn)有的網(wǎng)絡(luò)安全實驗以模擬、仿真為主，缺乏真實的操作平臺，學(xué)生能夠進(jìn)行的專業(yè)實踐活動非常有限。同時，現(xiàn)有的模擬仿真實驗平臺有一個比較大的缺陷：事先在系統(tǒng)里設(shè)置好所有的實驗步驟，學(xué)生的實驗內(nèi)容實際上就是按照既定的步驟再現(xiàn)這個實驗。這種仿真平臺不僅在實驗內(nèi)容設(shè)置上缺乏靈活性，而且一成不變的東西容易導(dǎo)致學(xué)生懈怠、缺乏思考。存在不少學(xué)生即使在再現(xiàn)完實驗內(nèi)容后，還是對實驗原理一知半解。

本文首先分析了網(wǎng)絡(luò)安全實驗教學(xué)的目標(biāo)，然后，針對這些既定的目標(biāo)，設(shè)計了相應(yīng)的網(wǎng)絡(luò)安全實驗教學(xué)內(nèi)容。

1 網(wǎng)絡(luò)安全實驗教學(xué)的目標(biāo)

網(wǎng)絡(luò)安全實驗教學(xué)是對網(wǎng)絡(luò)安全理論教學(xué)的輔助和補(bǔ)充，具有不可取代的重要地位。一方面，實驗教學(xué)以具體的應(yīng)用場景或詳細(xì)的操作步驟的形式將相關(guān)理論教學(xué)中的知識重點和難點再現(xiàn)出來，使得原本深奧難懂的知識點變得具象，學(xué)生理解起來會容易得多，自然就加深了對相關(guān)理論知識點的理解和掌握。另一方面，實驗教學(xué)以實際應(yīng)用問題為例綜合運用網(wǎng)絡(luò)安全中各理論知識點，可以考察學(xué)生對相關(guān)知識點的掌握和靈活應(yīng)用程度，并將結(jié)果反饋到網(wǎng)絡(luò)安全的理論教學(xué)中，相互促進(jìn)。

一般地，網(wǎng)絡(luò)安全實驗教學(xué)內(nèi)容主要有以下目標(biāo)：

（1）加深網(wǎng)絡(luò)安全理論知識點的理解。

網(wǎng)絡(luò)安全理論知識一般涉及原理、算法等，常常抽象深奧，比較難以理解?？梢酝ㄟ^實驗教學(xué)將深奧難懂的理論知識轉(zhuǎn)化為具體的實例、操作步驟或?qū)崿F(xiàn)代碼語句，給學(xué)生以直觀感受，加深對原有理論知識的理解。同時，學(xué)生通過實驗教學(xué)熟悉了相關(guān)理論知識點的具體實現(xiàn)和應(yīng)用場景，對知識點的掌握不僅僅停留在理論層面，較好地將理論和實踐聯(lián)系起來，實現(xiàn)了對網(wǎng)絡(luò)安全知識點的立體認(rèn)識[3]。

例如：在介紹主機(jī)端口掃描的兩種常見方法：全連接掃描（簡稱全掃描）和TCP SYN 掃描（也稱半掃描）時，學(xué)生很難弄清楚這兩種方法的本質(zhì)區(qū)別。雖然學(xué)生能粗略了解到全連接是完成了TCP 連接的三次握手的全過程，半連接方式只進(jìn)行了TCP 連接過程的一半，但是由于不了解這兩種方式的具體實施方法，因此，對全連接掃描和半連接掃描的本質(zhì)差異的理解，還僅僅停留在原理和概念上，在腦海中的印象并不深刻。在實驗教學(xué)中，可以通過分析這兩種掃描方式的核心源代碼，進(jìn)一步加深對它們的理解。全連接方式可以在用戶態(tài)系統(tǒng)調(diào)用connect()函數(shù)來激發(fā)TCP 連接的三次握手過程，并通過該函數(shù)的返回值來進(jìn)行端口狀態(tài)的判斷。而半連接方式需要向端口探測方發(fā)送設(shè)置了SYN 標(biāo)記的TCP 包，必須使用root 權(quán)限創(chuàng)建原始套接字（raw socket）來實現(xiàn)。

（2）實現(xiàn)對網(wǎng)絡(luò)安全理論知識點的拓展應(yīng)用。

網(wǎng)絡(luò)安全理論課時有限，對各知識點的講解不可能面面俱到。對應(yīng)的實驗教學(xué)可以在一定程度上對理論教學(xué)內(nèi)容進(jìn)行拓展和延伸，強(qiáng)化學(xué)生對相關(guān)知識點掌握的深度和廣度。實驗教學(xué)，從技術(shù)的實際應(yīng)用的角度，激發(fā)學(xué)生對問題的新的分析和思考。理論教學(xué)和實驗教學(xué)相互補(bǔ)充，夯實網(wǎng)絡(luò)安全的基礎(chǔ)知識的同時，提升學(xué)生的實踐能力和創(chuàng)新能力。

在學(xué)習(xí)防火墻技術(shù)時，由于硬件防火墻價格昂貴，很少直接在硬件防火墻上進(jìn)行實驗和配置，一般都使用軟件防火墻。iptables 是用得比較多的Linux 防火墻管理程序，是傳統(tǒng)的管理軟件。針對基于iptables 的軟件防火墻的教學(xué)實驗，可以從其安裝、配置、使用等方面來進(jìn)行，例如：iptables 的語法、常見TCP 服務(wù)的啟動和關(guān)閉、傳入/出數(shù)據(jù)包的跟蹤記錄等。通過實驗教學(xué)，可以讓學(xué)生對iptables 有比較系統(tǒng)和全面的認(rèn)識。

（3）實現(xiàn)對網(wǎng)絡(luò)安全各理論知識點的綜合應(yīng)用。

網(wǎng)絡(luò)安全是信息安全專業(yè)本科生的專業(yè)核心課程，一般在高年級開設(shè)，涉及多門其他專業(yè)核心課程的內(nèi)容。因此，網(wǎng)絡(luò)安全實驗教學(xué)更多地強(qiáng)調(diào)多個知識點的融合，考察學(xué)生對不同課程知識點的熟練掌握、靈活應(yīng)用和銜接[4]。例如：在對一臺目標(biāo)服務(wù)器進(jìn)行安全性分析時，需要識別出該服務(wù)器的操作系統(tǒng)，開放了哪些端口，提供了哪些服務(wù)，以及這些服務(wù)可能存在的漏洞，服務(wù)器賬戶密碼的破解等。這個實驗幾乎涵蓋了所學(xué)的大部分安全知識，可以考察學(xué)生分析安全問題的嚴(yán)密性、邏輯性、系統(tǒng)性等方面。實驗教學(xué)可以通過綜合安全應(yīng)用問題，訓(xùn)練和培養(yǎng)學(xué)生的問題分析能力和動手實踐能力，將理論和實踐進(jìn)行有效地結(jié)合。

2 網(wǎng)絡(luò)安全實驗教學(xué)的內(nèi)容設(shè)置

針對網(wǎng)絡(luò)安全實驗教學(xué)的不同目標(biāo)，確定了相應(yīng)類型的實驗教學(xué)內(nèi)容。所有實驗被分成三類——驗證型實驗、設(shè)計型實驗和綜合型實驗，以實現(xiàn)不同的教學(xué)目標(biāo)。實驗教學(xué)內(nèi)容既包含模擬、仿真實驗平臺里已有的部分實驗，利用這些實驗平臺的優(yōu)勢，也有自行設(shè)計的實驗內(nèi)容，以彌補(bǔ)實驗平臺的不足。

圖1 列出了網(wǎng)絡(luò)安全實驗教學(xué)的內(nèi)容設(shè)置，以及不同類型實驗的實例。

圖1 網(wǎng)絡(luò)安全實驗教學(xué)的內(nèi)容設(shè)置

（1）驗證型實驗

驗證型實驗主要針對網(wǎng)絡(luò)安全理論授課中的重點或難點內(nèi)容而設(shè)置的，通常是某單一的知識點。該類實驗的設(shè)置主要通過具體的操作步驟和方法在實際的應(yīng)用場景中加深和鞏固對相關(guān)知識點的理解，可以強(qiáng)化學(xué)生在專業(yè)技術(shù)方面的深度掌握，同時也培養(yǎng)學(xué)生的動手實踐能力。該類實驗在所有實驗中的比例約為60%，其內(nèi)容涵蓋了網(wǎng)絡(luò)安全的大部分重要知識點。這一部分實驗一般比較獨立，實驗環(huán)境和條件相對較低，可以根據(jù)需要自行設(shè)計題目，也可以直接進(jìn)行現(xiàn)有模擬仿真平臺里的實驗。

（2）設(shè)計型實驗

設(shè)計型實驗主要針對網(wǎng)絡(luò)安全理論授課中的重點內(nèi)容而設(shè)置的，通常是針對某一重要知識點的延伸和擴(kuò)展。由于課時的限制，某些重要的知識點在理論授課中難以全面展開去介紹，可以通過實驗教學(xué)的形式激發(fā)學(xué)生自發(fā)主動地對相關(guān)知識點進(jìn)行拓展學(xué)習(xí)。該類實驗培養(yǎng)學(xué)生的實踐能力的同時也鍛煉了學(xué)生的自學(xué)能力，提升了學(xué)生的整體專業(yè)素質(zhì)，為學(xué)生更好地適應(yīng)社會做準(zhǔn)備。該類實驗在所有實驗中的比例約為20%。這一部分實驗，根據(jù)具體內(nèi)容的實際情況，題目可以自行設(shè)計，也可以利用模擬仿真平臺或者虛擬機(jī)進(jìn)行實驗。

（3）綜合型實驗

綜合型實驗主要利用某一應(yīng)用場景實現(xiàn)對多個網(wǎng)絡(luò)安全知識點的考查，是對多個知識點的融合應(yīng)用，關(guān)注不同知識點的交叉和銜接，要求學(xué)生的相關(guān)知識面寬且有一定深度，并能靈活應(yīng)用各種不同的專業(yè)技術(shù)。該類實驗在一定程度可培養(yǎng)學(xué)生以專業(yè)視角進(jìn)行分析問題、解決問題的能力。該類實驗在所有實驗中的比例約為20%。這一部分實驗，通常涉及的環(huán)節(jié)多，實驗環(huán)境比較復(fù)雜，實驗條件和要求相對較高，一般就利用現(xiàn)有的模擬仿真平臺或者虛擬機(jī)進(jìn)行相關(guān)的實驗。

3 結(jié)語

網(wǎng)絡(luò)安全實驗教學(xué)是對相應(yīng)理論課程的補(bǔ)充和延伸，著重培養(yǎng)學(xué)生的動手實踐能力，在一定程度上培養(yǎng)學(xué)生分析問題、解決問題的能力。本文分析了網(wǎng)絡(luò)安全實驗教學(xué)課程的目標(biāo)，并針對這些目標(biāo)分門別類地設(shè)計了相應(yīng)的實驗教學(xué)內(nèi)容。