您的当前位置：首页网络安全攻防实验室建设方案(2020年4月)

网络安全攻防实验室建设方案(2020年4月)

来源：华佗健康网

完美WORD格式

网络安全攻防实验室

建设方案

2022/4/24

专业整理知识分享

完美WORD格式

第一章网络安全人才需求 ............................................................................................................. 3

1.1网络安全现状 .................................................................................................................... 3 1.2国家正式颁布五级安全等级保护制度 ............................................................................ 3 1.3网络安全技术人才需求猛增 ............................................................................................ 4 第二章网络安全技术教学存在的问题 ......................................................................................... 4

2.1网络安全实验室的建设误区 ............................................................................................ 4 2.2缺乏网络安全的师资力量 ................................................................................................ 4 2.3缺乏实用性强的安全教材 ................................................................................................ 5 第三章安全攻防实验室特点 ......................................................................................................... 5

3.1安全攻防实验室简介 ........................................................................................................ 5 第四章安全攻防实验室方案 ......................................................................................................... 6

4.1安全攻防实验室设备选型 ................................................................................................ 6

4.1.1 传统安全设备 ......................................................................................................... 6 4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品 ..................................... 6 4.2安全攻防实验室拓扑图 .................................................................................................... 8 4.3安全攻防实验室课程体系 ................................................................................................ 9

4.3.1 初级DCNSA网络安全管理员课程 ..................................................................... 9 4.3.2 中级 DCNSE网络安全工程师课程 ................................................................... 10 4.4高级安全攻防实验室实验项目 .................................................................................... 12

4.4.1基本实验 ................................................................................................................ 12 4.4.1扩展实验 ................................................................................................................ 14

第七章网络实验室布局设计 ....................................................................................................... 25

7.1 实验室布局平面图 ......................................................................................................... 25 7.2 实验室布局效果图 ......................................................................................................... 25 7.3 机柜摆放位置的选择 ..................................................................................................... 26

专业整理知识分享

完美WORD格式

第一章网络安全人才需求

1.1网络安全现状信息技术飞速发展，各行各业对信息系统的依赖程度越来越高，建立持续、稳定、安全的网络是保障用户业务发展的前提。

近年来，安全问题却日益严重：病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷，而且技术越来越复杂，病毒、木马及黑客技术等融合造成了网络安全的巨大危机。

用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制，备份等保护手段来保护信息系统的安全。

但是网络安全的技术支持以及安全管理人才极度缺乏。

1.2国家正式颁布五级安全等级保护制度 2007年7月24日，、国家保密局、国家密码管理局、信息工作办公室正式上线颁布了信息安全等级保护规定，信息安全等级保护管理办法及实施指南，颁布了《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息安全技术信息系统安全等级保护实施指南》、《信息安全技术信息系统安全等级保护基本要求》等办法。

办法明确规定，信息系统的安全保护等级分为五级，不同等级的信息系统应具备的基本安全保护能力如下：

第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度

专业整理知识分享

完美WORD格式

的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

第五级安全保护能力：（略）。

等保制度的颁布将网络安全的重要性提高到法律法规的高度，并催生了一个新的职业：网络安全评估工程师/专家，该职位属于IT行业的顶级职位，目前的人才储备远远不能满足行业需求。

1.3网络安全技术人才需求猛增网络安全技术涉及到国民经济的各个领域，技术发展迅速，在中国对安全人才的需求数量大，人才的需求质量高，高技能型应用人才十分缺乏，据51Job、中华英才网等人力资源网站统计，近年，人才市场对网络安全工程师的需求量骤增，大中型企业都已经设置了专业的网络安全管理员，中小企业也大量需要懂得网络安全的网络管理员，银行、证券、保险、航空、税务、海关等行业尤其看重。

网络安全行业的就业需求将以年均14%的速度递增，2008年，网络安全行业的就业缺口人数将达到20万以上。

网络安全工程师需要更高更全面的技术学习，因此薪资水平较一般网络工程师高，可以达到1.5至3倍的水平，走俏职场成为必然。

第二章网络安全技术教学存在的问题

2.1网络安全实验室的建设误区很多学校在建设网络安全实验室的时候都会走进一个误区，往往认为安全设备的安装调试就是安全实验室，没有把安全攻防、系统加固作为网络安全实验室的建设内容。

安全设备的安装调试以及安全网络的拓扑设计的确是安全实验室的重要内容，但应该不仅仅是这些内容。大部分的网络安全实验室之所以建成安全设备的调试级别，主要是因为组织实验室方案的往往是设备厂商，作为设备厂商关注的问题就是如何更多地销售设备，这就导致实验室的层次偏低，实验项目不全面。

2.2缺乏网络安全的师资力量网络安全是网络行业中技术含量较高的方向，安全人才较为缺乏，学校师资也是一样，好的师资是网络安全实验室教学中的一个重要环节。通过师资培训，再加上好的环境来实践，可以保障网络安全教学师资的提升。

专业整理知识分享

完美WORD格式

2.3缺乏实用性强的安全教材目前市面上面的网络安全教材很多，但绝大部分都是以理论为主，很容易导致学生学习的厌烦感，教材的编排并没有针对性的网络安全实验，这也是网络安全实验开展困难的主要问题。

第三章安全攻防实验室特点

在一个已经部署防毒软件、防火墙、IDS、VPN等安全产品的实验室中，很少有人清晰的知道这些安全产品的作用，以及能够为计算机安全所带来的保障。配置和组网的实验带给学生的仍然是书面的理论知识，学生没有一个整体的概念。实验室严重匮乏的是安全设备的组合以及攻防环境的建立，这让很多学校以及企业感到无从着手，无力进行有效的网络安全培训，面对以下问题无所适从：

问题1：怎样的教学方式才能让学员更加快捷、高效的学习网络安全方面的知识？问题2：什么样的教学环境才能让学员更容易、积极的学习网络安全方面的知识，增强网络安全意识？

攻防带给教学最真实的环境、最有效的实验方式，学会真正最实用性安全技术，在实验室中学生可以真实体验到未来工作中的网络状况，并加以排除、维护和改造。

3.1安全攻防实验室简介目前，各行业用户对信息系统的依赖程度也越来越高，建立持续、稳定、安全的网络是保障用户业务发展的前提。大家都认识到安全的重要性，纷纷采用防火墙、加密、身份认证、访问控制，备份等保护手段来保护信息系统的安全。与此同时，安全问题日益严重，病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷，而且技术越来越复杂，病毒、木马及黑客技术等融合造成了网络安全的巨大危机。因此，国内人才市场对网络安全工程师的需求量骤增，大中型企业需要精通网络安全的网管人员。

原来的网络安全实验室都是面向设备安装调试以及设备组网的实验室，没有针对网络管理员实际遇到的安全攻防做出相应的训练。

网络攻防实验室采用SZSM的SZSM安全沙盒系统进行试验。

安全攻防实验室使用主流的安全设备：如防火墙、入侵检测与防御系统、统一威胁管理系统、终端安全系统、安全准入认证系统组成实验网络，将典型安全漏洞实验案例、主机系统加固实验案例以及漏洞扫描案例浓缩到称之为“安全沙盒”的安全攻防实验平台中。安全沙盒与所有安全设备组合部署成一个强大的网络测试环境，学生和研究人员可以更直观、

专业整理知识分享

完美WORD格式

更有效、更方便地体验设备中安全技术的部署，观察并攻击“安全沙盒”中定制服务器常见的操作系统漏洞和网络应用服务漏洞等，然后在安全沙盒上进行系统加固，并可以利用整网的设备联动发现威胁、主动防御。安全沙盒的部署拓扑如下：

第四章安全攻防实验室方案

4.1安全攻防实验室设备选型 4.1.1 传统安全设备

传统的安全设备包括防火墙、UTM统一威胁管理、入侵检测引擎、认证计费、日志系统等产品，这些传统的安全设备可以组建完整的网络进行设备的安装调试，满足学生了解产品配置、了解产品功能的作用。传统的安全设备是安全攻防实验室不可或缺的产品，它们的组合可以完成安装调试级别的所有实验。

4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品

SZSM安全沙盒系统——DigitalChina Secure SandBox（简称：DCSS）为计算机安全教育提供实验课程以及实验环境。教师通过登录DCSS系统的管理平台SandBox Management

专业整理知识分享

完美WORD格式

Centrol（简称：SMC）进行实验课程的教学工作，学生也可以通过登录SMC进行教学课程的实验操作。DCSS是SZSM网络公司专为网络安全攻防实验室研发的产品，是进行网络安全攻击和防御的模拟平台，锻炼学生动态网络安全维护的能力。其名取材于军事术语“沙盘”，这意味着安全沙盒可以通过模拟实战演练战术和技术，其先进的设计理念为国内首创。

安全沙盒系统为计算机及网络安全教育提供多系统平台的教学课件，在教学、培训过程中，根据需要可以启动基于不同操作系统平台的教学课件，满足所有教学环境的需求。

安全沙盒系统为计算机及网络安全教育提供多模式的安全攻防实验课件，能够进行各种安全威胁的攻防操作，针对不同的攻击防御模式，提供多种实验课件选择。

安全沙盒系统的全部课件均是将安全理论与实际环境和动手操作相结合的实验课程，所有的学习过程中，都需要通过实际动手进行实验操作，完成课件要求的安全威胁攻击以及针对该攻击的安全防御措施。通过不同的实验课程让学员亲身体验计算机及网络安全的攻防全过程，让学生从枯燥的理论学习中解脱出来，可以极大的提升学生学习网络安全知识的积极性，并帮助学生在未来的就业和职业发展奠定扎实、实用的技术基础和经验。

安全沙盒具有10个千兆电口，其中2个用于管理，8个用于学生实验，可以满足8人同时实验，并具有如下特点满足教学需求：

1、的实验环境：教师通过SMC控制台可以为学生开启各种计算机安全教学课程的实验环境，学生可以在实验环境中进行各种计算机安全的攻防实验。隔离的实验环境不会对其他网络造成危害。

2、可定制的安全实验课件：教师可以在SMC控制台上进行日常教学的课程定制，根据已有的实验课件，教师可以自行编写教学课程内容。

3、支持多实验课程同时进行：教师可以在SMC控制台上进行多个计算机安全实验课程的教学，通过启动不动的安全实验课件，为不同的学生分配相应的实验课程。

4、支持单独的实验评分系统：教师可以在SMC控制台上为上课的学生进行实验评分，每个学生都可以有自己的实验分数，且支持对学生实验成绩可以导出功能。

5、具备实验课程在线帮助：学生在进行每个实验课程时，都可以通过在线实验说明，实验提示步骤，自行完成实验课程。

专业整理知识分享

完美WORD格式

6、可扩展的实验课件体系：安全沙盒系统可以通过不断的更新实验课件，不断扩容实验能力，可以无限为计算机安全教学提供长期的实验操作平台。 4.2安全攻防实验室拓扑图在安全攻防实验室方案中，我们把实验室分成了六个区域：

安全攻防实验组拓扑内部网用户IDS入侵检测引擎沙盒课件管理器DCSS安全沙盒DCBI防火墙内部网NETLOG系统攻防演练区DCSMDCSMDCSMDCSM内网安全管理系统防火墙网络VPN安全域内网核心安全域DCBA BAS 设备外部网UTMUTM远程接入802.1x交换机UTMSCANNER网络接入安全域学生机学生机DCFS流量整形网络边界域攻击机/scanner模拟安全域 1、网络VPN安全域：使用防火墙进行VPN技术的组网和配置，让学生了解VPN技术的特点、适用范围以及安装调试。

2、网络接入安全域：使用802.1x技术、web接入技术或者PPPoE接入技术管理接入安全，也可以利用DCSM内网安全管理系统进行病毒检查和资产评估。

3、内网核心安全域：部署日志系统和Radius服务器进行安全审计。

4、网络边界域：具有流量整形网关设备、UTM和BAS设备，可以很完整的管理边界安全。

5、模拟安全域：主要进行远程接入的安全设置以及模拟产生的恶意扫描和攻击。

6、系统攻防演练区：安全沙盒是主要设备，在安全沙盒上进行系统的攻击和防御，IDS入侵检测引擎负责网络安全的嗅探和威胁发现。为了保证安全沙盒不对网络的其他区域造成危害，还需要使用防火墙和其他区域隔离，使用DCSM内网安全管理系统对这些工具和软件

专业整理知识分享

完美WORD格式

进行资产管理，防止学生私自复制，对校园网络造成危害。

安全攻防实验室不再是普通意义上的设备安装调试级别的实验室，它带来全新的实验室理念，即运维攻防级别的实验室理念，它提供了全动态绝对真实的网络实训环境。对学生而言网络不再是一台台静止的设备组成，而是具有各种关联，提供各种服务，存在各种威胁的一个动态的整体。

4.3安全攻防实验室课程体系形成专门的两级安全认证体系：

4.3.1 初级DCNSA网络安全管理员课程

掌握程度分为：掌握、理解、了解三个层次。

项目类型一级知识点二级知识点交换机设备安全安全的控制台访问配置特权密码 service password-encryption命令配置多个特权级别警告标语(Warning Banners) 交互式访问安全vty访问安全Shell(SSH)协议课时数 2 2 1 1 2 2 2 2 2 掌握程度掌握掌握掌握掌握掌握掌握掌握掌握掌握项目1：局域网安全攻防技术局域网设备安全专业整理知识分享

完美WORD格式

局域网常见安全威胁及解决方案禁用不需要的服务 MAC flooding/MAC spoofing spanning-tree攻击 VLAN跳转 DHCP攻击（虚假DHCP防御和DHCP拒绝服务攻击防御） ARP扫描/ARP攻击/ARP欺骗互联网接入设备安全过滤IP网络流量过滤Web和应用流量特洛伊木马扫描器拒绝服务攻击网络互联设备安全数据监听数据篡改数据重放非法的数据来源使用IPSEC实现数据的加密、认证、反重放互联网接入身份验证设备安全配置IEEE802.1X实现互联网接入身份认证配置PPPOE实现接入客户端身份认证配置web portal实现接入客户端身份认证 2 4 4 4 4 4 2 2 2 4 4 4 2 4 4 4 4 8 掌握理解了解了解了解理解理解了解了解了解了解了解理解理解理解了解理解理解互联网接入设备安全项目2：互联网接入安全攻防技术互联网接入常见威胁及解决方案网络互联设备安全项目3：网络互联数据安全攻防技术网络互联常见（VPN、威胁及解决方VPDN）案项目4：互联网接入身份互联网接入常验证AAA 见威胁及解决方案课时合计互联网接入身份验证设备安全 2 理解 4 4 4 96 理解了解了解 4.3.2 中级 DCNSE网络安全工程师课程

掌握程度分为：掌握、理解、了解三个层次。

项目类型一级知识点二级知识点网络为什么不安全安全威胁手段安全防范措施黑客密码技术概念课时数 1 1 1 1 1 掌握程度了解了解了解了解理解网络安全综述网络安全的现状计算机网络安全术语专业整理知识分享

完美WORD格式

访问控制技术概念数字签名数据物理安全数据机密数据完整性数据可控网络安全策略数据可用身份鉴别数据鉴别数据防抵赖审计与监测防火墙概述防火墙技术防火墙实施防火墙局限入侵检测技术概述入侵检测技术入侵检测系统分类入侵检测系统实施企业网络UTM系统概述安全技术企业网络与UTM设UTM的基本内涵备 UTM的实施基础网络和防火墙的部署入侵检测系统部署绿网技术接入认证系统部署 802.1x交换机系统部署传统的加密方法传统的加密方法秘密密钥加密算法现代主流加密方公开密钥加密算法法算法的混合使用密钥的管理密钥的管理数字签名的概念数字签名的基本形式信息摘要技术数字签名数据完整性的概念加密技术数字签名的实现基于RSA的数字签名认证技术认证技术什么是数字证书为什么要用数字证书数字证书数字证书原理介绍证书与证书授权中心数字证书的应用 PKI构成公钥基础设施PKI PKI服务 2 1 2 2 1 1 1 1 1 1 1 2 4 2 2 2 4 2 2 4 4 4 4 4 2 2 2 2 2 2 2 2 1 1 1 2 1 1 2 2 1 2 2 理解理解理解理解理解理解理解理解理解理解理解掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握专业整理知识分享

完美WORD格式

黑客攻击手段揭秘常见黑客技术及系统的缺陷 PKI应用模式一般攻击步骤端口扫描网络监听缓冲区溢出拒绝服务攻击 IP欺骗（可选）特洛伊木马黑客攻击系统的工具和步骤计算机病毒的工作原理 2 2 2 2 1 1 2 2 2 1 1 1 1 1 2 2 1 1 1 1 1 1 2 2 2 128 掌握理解理解理解理解理解理解理解理解了解了解了解了解了解理解理解理解理解了解了解了解了解理解理解了解黑客攻击系统的工具和步骤计算机病毒的工作原理网络病毒机制与防护操作系统安全问题及保护措施合计

引导型病毒文件型病毒病毒分类混合型病毒其他病毒特征代码法校验和法计算机网络病毒的防范行为监测法软件模拟法 CIH病毒蠕虫病毒网络病毒实例 2002年流行病毒 2003年流行病毒 Windows NT/2000 Windows NT/2000系统的缺陷的安全与保护措Windows NT/2000系统攻击与防范实施例 Linux 系统的缺Linux 系统的缺陷与数据保护陷与数据保护 4.4高级安全攻防实验室实验项目 4.4.1基本实验

实验类型实验项目防火墙外观与接口介绍防火墙用户管理管理员地址设置恢复出厂设置配置文件保存与恢复产品升级实验课时数 2 1 2 1 1 1 掌握程度掌握掌握掌握掌握掌握掌握防火墙设备实验专业整理知识分享

完美WORD格式

防火墙透明模式初始配置防火墙透明模式配置网络对象防火墙透明模式配置安全规则防火墙路由模式初始配置防火墙路由模式配置网络对象防火墙路由模式设置路由及地址转换策略防火墙路由模式配置安全规则混合模式初始配置混合模式配置网络对象混合模式设置路由及地址转换策略混合模式配置安全规则防火墙日志系统实验双机热备(选修) 抗DoS实验（选修） VPN设备——设备隧道的建立 VPN虚拟VPN客户端——VPN设备隧道的建立专用网实IPSEC VPN实验验 SSL VPN实验安装顺序介绍配置传感器安装数据库 IDS入侵安装LogServer检测系统 Event-Collector 的安装与配置实验 NIDS Console 的安装与配置NIDS Report 的安装与配置查询工具的使用安全响应策略的配置及防火墙联动 UTM的基本配置 UTM统一利用UTM进行网络病毒控制威胁管理利用UTM进行垃圾邮件控制（选修）系统实验利用UTM进行P 2P 控制 DCBI-3000安装 DCBI-3000使用 DCBI-3000WEB自服务系统安装 DCBI-3000WEB自服务系统使用 802.1X功能的组网调试安全接入DCBA-3000W基本调试命令和认证计DCBA-3000W配置Radius 费实验 DCBA-3000W NAT调试说明 DCBA-3000W Filist调试说明 DCBA-3000W ACL调试说明 DCBA-3000W二次认证（桥模式）配置实验 DCBA-3000W二次认证（路由模式）配置实验 1 1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 0.5 0.5 1 0.5 0.5 1 1 1 1 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握掌握理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解理解专业整理知识分享

完美WORD格式

特洛伊木马攻击实验网络监听sniffer 基础扫描器+口令探测 superscan x-scan SSS 流光拒绝服务攻击(DDOS) Windows缓冲区溢出漏洞利用（MS06-040）数据库漏洞利用（MySQL） SQL注入攻击（MySQL）安全攻防木马植入（Web挂马）综合实验木马利用与防护（灰鸽子）（使用Linux主动防御（配置安全） DCSS） Linux漏洞利用（CVE-2005-2959、CVE-2006-2451）口令破解（口令猜测与网络窃听）数据库主动防御（MySQL）毒邮件首页篡改（Apache） —审核系统安全性访问控制账号安全策略系统安全管理员权限加固实验网络服务（IIS和NETBIOS的安全设置）文件系统安全安全日志安全防护系统的部署 IDS入侵检测系统部署绿网模拟攻击并进行阻断（外部）综合网络接入认证系统部署安全实验 802.1x交换机系统部署模拟攻击并进行阻断（内部） 2 2 2 2 4 4 4 4 4 4 4 4 4 4 1 1 1 1 1 1 1 2 2 2 2 2 2 理解理解理解理解理解理解理解理解理解理解理解理解理解理解掌握掌握掌握掌握掌握掌握掌握理解理解理解理解理解理解 4.4.1扩展实验

安全沙盒是一个可以不断扩展的实验平台，教师可根据课程需要自行研发扩展实验，教师按照一定的研发规则自行研发相应实验课件导入安全沙盒，SZSM提供必要的技术支持。

实验类型实验项目实验点 Kaiser密码、单表置换密码对称密码体系、DES算法、AES算法非对称密码体系、RSA算法、ELGamal算法 MD5哈希函数、SHA-1哈希函数数字签名、对称密钥加密、非对称密钥加密 PGP加密机制 PKI体系、证书生成与签发、IIS服务器证书安装与古典密码算法对称密码算法非对称密码算法 Hash算法密码学实验手工实现安全通信过程利用PGP实现安全通信过程 PKI应用实验 IIS服务器安全通信专业整理知识分享

完美WORD格式

Apache服务器安全通信 IIS下个人网站搭建 WEB日志审计安全审计实验 Linux主机安全审计 Windows口令破解 Linux口令缓冲区溢出单机攻防实验 Windows下文件恢复 Linux下文件恢复端口扫描漏洞扫描网络攻防实验明文嗅探洪泛攻击

认证 OpenSSL证书生成与签发、Apache服务器证书安装与认证 HTML语言及语法结构、IIS个人网站搭建 Windows日志系统、IIS日志格式、日志审计、WEB漏洞扫描常用Linux日志文件、Linux文件完整性、LSAT审计暴力破解、字典破解阴影口令、阴影文件、Linux口令加密算法 CPU寄存器、堆栈、函数调用过程、缓冲区溢出方式、Windows缓冲区溢出、Linux下溢出实现权限提升硬盘物理结构、Windows文件存储结构、Windows文件系统 Ext2文件系统、Ext3文件系统 TCP协议、UDP协议、ICMP协议、全连接扫描、半连接扫描、UDP端口扫描、主机扫描弱口令、CGI通用网关接口、NetBIOS 明文嗅探、FTP会话过程、POP3会话过程、网络协议解析 TCP SYN洪水、ICMP洪水、Windows系统监视器的使用专业整理知识分享

完美WORD格式

建设内容

（包括建设思路；在条件与环境、运行管理、开放共享、安全环保、特色等方面的规划建设内容；必要性与可行性分析；实施条件等）

各个实验室目前用的板凳和座椅存在着较多损坏的情况，加上学生数量的增加，在分组进行实验的情况下座椅存在严重不足，需要维修原有座椅和购置一定数量的座椅。计算机组成与结构实验室需增加座椅60把，微机系统实验室需增加30把，各实验室总共需要维修的椅子40把。

四、经费预算

（包括预算总额、支出内容、测算依据、年度安排等）序号 1 2 3 表2.预算汇总表支出项目设备购置其中：已有条件完善（补充、更新、升级）新增新建环境建设（实验家具、通风工程等）维修维护总计：金额（万元） 195.1 240.9 34 470.0 表3.仪器设备购置计划表（分年度排序，同年度按重要性排序）

序名称技术指标推荐型号推荐厂单价数总金额年号规格家 (万元) 量 (万元) 度 15 9.75 1 ARM实验ARM9处理器，主频GX-ARM9-北京革新0.65 20箱 200MHz以上，MB 2410RP 科技有限14 SDRAM， 8MB NOR Flash， EEPROM:2K，2个RS232串口，1个485通信接口，1个SD卡接口，1个10M/100M以太网卡接口,USB接口:2个USB Host, 1个USB Device, 1个VGA接口公司 2 台式计算CPU I5,4G以上内存，Inspiron 机带NVIDIA GTX0 660-R398-J以上显卡 N 戴尔（DELL） 0.6 30 18 2015 专业整理知识分享

完美WORD格式

3 高清摄像300万像素头 C270 罗技海尔海尔 0.018 0.35 0.3 30 80 60 0. 28 18 4 台式计算CPU I5,4G以上内存机 5 台式计算CPU G2030,4G以上机器内存 6 无盘服务 2015 2015 2015 7 密码实验密码算法分析设计实密码实验软件系统平台机验；密码算法演示实验通讯接口包含1. 用户证书申请实验 2. 用户申请管理实验 3. 证书管理实验 4. 交叉认证实验 5. 信任管理实验 6. 证书应用实验 7. SSL应用实验等基本实验项目漏洞扫描与安全性检测软件系统平台 SJY86 西普 1 20 20 8 终端密码以USB接口为主机9 奕驰 4 0.2 0.8 PKI实验软件系统平台 PKI实验软件系统平台西普 1 10 10 10 漏洞扫描器 NERCIS脆弱性扫描系统 NERCIS 2 5 10 11 防火墙网络吞吐量：最高300Mbps； CISCO 并发连接数130000 ASA5510-安全过滤带宽：K8 170Mbps；安全过滤带宽：325Mbps；网络吞吐量：650Mbps ；并发连接数：400000 ；网络端口：4*10/100/1000,1*10/100,1*SSC/SSM 控制端口：console,2个RJ-45 思科 4 1.5 6 12 IDS CISCO ASA50-K8 思科 4 7.5 30 专业整理知识分享

完美WORD格式

13 流量发生2个测试槽位，以及器最多16个10/100 Mbps以太网端口、8个千兆以太网端口、4个光纤通道端口、4smartbits60个OC-3c/OC-12c 0B POS端口、2个OC-48c POS端口、1个10G万兆端口或以上各种端口上网行为审计；网络应用行为审计思博伦 1 15 15 14 安全审计业务运维行为审计；系统 NSFOCUS 绿盟 SAS 1000A 1 10 10 15 杀毒软件节省网络管理事务；掌控全网漏洞修复金山毒霸；快速部署反病毒体网络企业系；有效组织网络反版病毒工作综合性恶意代码防护；Web信誉技术（WRT）增强；POP3邮件扫描；集中式管理；增强的防间谍软件功能；安全策略强制实施；企业客户端防火墙础知识考核、常见攻防技术训练以及真实网络环境渗透实战等全方位的培训、测试环境多业务路由器模块化接入路由器金山 1 1 1 16 杀毒软件趋势科技防毒墙-网络版趋势 1 2 2 17 网络攻防一体化的信息安全基实战系统 SZSM SZSM 4 4 16 18 汇聚层路由器 AR40 AR2811 H3C H3C 5 5 0.8 0.5 4 2.5 19 接入层路由器机 20 三层交换24口；包转发率：65.5Mpps；VLAN：CISCO VLAN总数1005 WS-C3750VLAN ID数4K；可X-24T-S 堆叠思科 5 2 10 专业整理知识分享

完美WORD格式

21 服务器内存4G；网络控制器四端口千兆网；标配硬盘容量：300GB CPU I5处理器,4G以上内存；核心/线程数：四核心/四线程 IBM x3650 IBM M4 4 2 8 22 终端联想启天联想 M4350 40 0.5 20 23 UPS电源整机效率：达到90%；过载能力：Load＜105%，长期运行 105%＜Load≤125% 山特城堡＞1min 系列 C6k 125%＜Load≤150% ＞30sec；为用户负载提供安全可靠的电源保障山特 1 0.5 0.5 总计：表4.仪器设备购置理由说明表（应与表3.排序一致）

序号名称需求现有申购总量数量数量 15 15（旧型号） 15 申购理由说明选修课，人数30人左右，2人一组类别（已有条件完善、新增新建）以ARM9处理器为核心，包含SDRAM、FLASH、SMC卡、SD卡等通用存储器以及网口、串口、USB接口、CAN、IIC等通讯接口，辅助LED显示、4.3寸真彩液晶显示、小键盘等1 ARM实验箱 GX-ARM9-2410RP 专业整理知识分享

完美WORD格式

其它外围设备。 2 台式计算机（带显卡） 30 0 30 用于新增加的动画设计和计算机视觉实验，每人一组 I核处理器、4G内存，GTX0显卡支持CUDA USB接口，获取实3 高清摄像头 30 0 30 用于计算机视觉的实验课，30人左右时的视频图像数据，用于相关的视觉分析实验 4 台式计算机 80 80 （旧型号） 60（旧型号） 0 80 5 台式计算机 60 60 6 无盘服务器 1 1 用于现代密码学理论与实践课教学，分一个班次，共同使用集成了密码编码与密码分析所需开发环境，兼容windows系统，提高学生的动手能力、加强学生对密码学的理解与综合设计能力 7 密码实验软件系统平台 8 终端密码机 4 0 4 用于现代密码学理论与实践课教学，人数90人，20-25人一组用于终端加密的密码学实验。 9 PKI实验软件系统平台 1 0 1 用于PKI原理与技术实验课教学，分一个班次，共同使模拟PKI系统运行机制，支持Windows 专业整理知识分享

完美WORD格式

用 xp/Windows vista/Windows 7等操作平台 10 漏洞扫描器 4 0 4 用于入侵检测与网络安全扫描技术实通过网络扫描发现漏洞并进行修补，，验课，人数90人，有效阻止入侵事件分两个班次，每班一台的发生 11 防火墙 4 0 4 用于入侵检测技术与安全扫描实验室安全过滤带宽：170Mbps、控制端建设，分两个班次，口：console，2个每40-50人一组 RJ-45、入侵检测：DoS，协助确保网络传输数据安全 12 IDS 2 0 2 用于入侵检测技术与安全扫描实验室安全过滤带宽：325Mbps、控制端建设，分两个班次，口：console,2个每班一台 RJ-45、入侵检测：DoS，对网络、系统的运行状况进行监视 13 流量发生器 1 0 1 用于网络与信息安全及课程设计教学，分一个班次，共同使用高端口密度的性能分析系统，支持POS、ATM等多种接口，能帮助学生完成测试交换机、路由器性能及指标 14 安全审计系统 1 0 1 用于网络与信息安全实验课，分一个监听捕获并分析网络数据包、审计过专业整理知识分享

完美WORD格式

班次，共同使用滤邮件、日志、还原并准确记录网络访问关键信息 15 杀毒软件 1 0 1 用于计算机病毒与防治技术、系统安全课程设计实验室建设集成监控识别、病毒扫描和清除等功能，保障计算机在使用过程中的安全集成监控识别、病毒扫描和清除等功能，保障计算机在使用过程中的安全网络攻防技能训练及渗透测试的实战平台，辅助学生学16 杀毒软件 1 0 1 用于计算机病毒与防治技术、系统安全课程设计实验室建设 17 网络攻防实战系统 4 0 4 用于计算机病毒与防治技术、系统安全课程设计实验课，人数90人左右，会知识点和特定环共同使用境下的工具使用及攻防实现 18 汇聚层路由器 5 0 5 为需要联网的实验室配备，每间实验室一台可提供引RPU-350Kpps擎；配备不同的机箱AR46-80、、AR46-40AR46-20，自动选择最佳路径连接各局域网、广域网 19 接入层路由器 5 0 5 为需要联网的实验室配备，每间实验室一台支持Qos、VPN；包转发率：70-80Kpps；网络管理：Console、专业整理知识分享

完美WORD格式

RMON、SNM；内置防火墙 20 三层交换机 5 0 5 为需要联网的实验室配备，每间实验室一台三层应用层级、端口数量：24、背板带宽：160Gbps、VLAN总数1005、包转发率：65.5Mpps；加快局域网内部的数据交换，达到最优网络性能 21 服务器 4 0 4 满足实验室相应客户机提交的服务请求内存容量：1GB DDR2、标配硬盘容量：146GB、主板芯片组：intel e7520；管理软件、控制对网络资源进行访问 22 终端 40 0 40 用于系统安全课程设计实验室建设，每班40-50人，每人一台显示器尺寸：19英寸、CPU 型号：Intel 酷睿2双核 E8、显卡；用于学生实验操作 23 UPS电源 1 0 1 用于实验室建设用于为用户负载提供安全可靠的电源保障专业整理知识分享

完美WORD格式

专业整理知识分享

完美WORD格式

第五章网络实验室布局设计

5.1 实验室布局平面图网络实验室岛式布局实验组机柜实验组机柜实验组机柜实验组机柜门门实验组实验组实验组实验组实验室核心机柜实验组实验组实验组实验组讲台黑板和投影实验组机柜实验组机柜实验组机柜实验组机柜服务器区域岛式布局是目前最流行的实验室布局方式，每个物理实验组成为一个小岛，每个组推荐4－6个学生使用，最多不应该超过8人。

5.2 实验室布局效果图

专业整理知识分享

完美WORD格式

实验室中有一个核心机柜，放置中心交换机组（可能是一台交换机，也可能是几台交换机级联或者堆叠而成，提供足够的网络接口）、防火墙、实验室管理系统服务器Netcollege以及其他必要的服务器等。

因此，网络实验室机柜的数量=N+1（N=实验组的数量）。

5.3 机柜摆放位置的选择每个实验组都配备一个实验组机柜，用于放置每组的实验设备。机柜一般摆放在离相应实验组较近的位置贴墙而放或者定制小机架，放置在实验台的桌面上。（左下图为六角桌，每边长90cm，直径180cm，高75cm；右下图为六角桌，每边长90cm，直径180cm，高75cm。中间配件座边长30cm，高15cm。）如果使用小机架，设备摆放不超过6台设备，当设备较多的时候，还是推荐使用机柜。

专业整理知识分享

完美WORD格式

专业整理知识分享

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文