21世纪,随着人类步入信息社会,信息产业正成为全球经济发展的主导产业。计算机科学与技术在信息产业中占据了重要的地位,随着互联网技术的普及和推广,网络技术更是信息社会发展的推动力,人们日常学习、生活和工作都越来越依赖于网络,因此信息技术、信息安全技术和网络安全技术正发展成为越来越重要的学科。
互联网技术的发展改变了人们的生活,今天信息安全内涵已发生了根本变化。安全已从一般性的安全防卫,变成了一种非常普通的安全防范;从一种研究型的安全学科,变成了无处不在,与人们学习、生活和工作息息相关的安全技术。技术的普及也推动了社会对人才的需求,因此建立起一套完整的网络安全课程教学体系,提供体系化的安全专业人才培养计划,培养一批精通安全技术的专业人才队伍,对目前高校计算机网络安全方向专业人才的培养,显得尤为重要。
1. 关于教材开发背景
结合国家“十一五”本科计算机专业课程规划体系,以及深入领会教育部计算机科学与技术教学指导委员会编制的“计算机科学与技术专业规范的知识体系和课程大纲”文件精神,为及时反映目前网络安全专业学科发展动态,创新网络教材编辑委员会组织编写了本书。希望编撰的网络安全知识,既重视理论、方法和标准的介绍,又兼顾技术、系统和应用分析,在内容结构和知识点布局上还有所创新。
此外随着互联网技术的普及和推广,日常学习和工作依赖于网络的比重增加,计算机网络安全的实施和防范技术,成为目前最为瞩目的学习内容。根据上述思路,创新网络教材编辑委员会选择网络安全技术在生活中具体应用,作为教材开发主线,规划出面向实际工程案例,可操作、可应用、可实施的网络安全技术教程。更希望规划的安全技术直观、形象、具体、可落实,选编和规划的安全知识具有专业化、体系化、全面化特征,能体现和代表当前最新的网络安全技术发展方向。
2. 关于教材指导思想
通过市场调查发现,指导计算机网络安全实践教学内容的教材非常缺乏。翻阅市场上数量有限的安全类教材,这些教材品种都偏重于网络安全理论诠释,而针对实际网络安全工程实施、可在课堂中动手实施的甚少。正是基于此,创新网络教材编辑委员会组织国内院校一线教师,联合来自厂商专业工程师,联合开发了这本覆盖网络安全技术专业教程,希望培养学生对网络安全技术动手能力。
前言前言 和同类以网络安全技术为研究方向的专业书籍相比,本书更注重实际工作中遇到的安全问题的解决能力。全书以安全技术应用为主线,以培养学生安全问题解决能力为目标,以加强实际安全技能锻炼为根本,满足学校安全类课程实践教学需要。因此全书在开发过程中,强化实践教学能力的培养,着重讲授生活中的网络安全问题,诠释对应的安全策略配置,最后依据学校提供的安全实践教学平台,直观、形象地诠释安全技术,帮助学生理解抽象的网络安全专业理论。
3. 关于教材开发内容
本书主要是针对高等院校计算机科学与技术、通信工程、计算机网络等相关专业,在计算机网络基础理论、网络安全基础理论学习完成之后,学习VPN技术的网络安全实践教程的配套用书。全书分为两个知识模块,分别介绍组建虚拟专用网安全基础知识和使用虚拟专用网安全产品组建虚拟专用网实践教程。知识点包括: 构建站点到站点IPSec,站点到站点IPSec VPN(数字签名), IPSec VPN,远程访问IPSec VPN(用户口令),远程访问IPSec VPN (USB-Key数字证书),远程访问IPSec VPN的授权控制,使用桥接模式构建IPSec VPN,使用路由器构建GRE VPN,使用路由器构建GRE over IPSec VPN,在地址重叠环境中部署IPSec VPN,远程访问IPSec VPN准入控制,构建SSL VPN,构建SSL VPN单臂通信实验等。全书在每个章节中,对所使用到相关安全产品的基本配置,基本界面、功能配置,都进行详细的讲解,以帮助读者熟悉产品的使用,并进一步诠释其在工程项目中的实施方法。
全书包括近十几个难度不同的组建虚拟专用网络安全实验,适合学生循序渐进地学习,可作为高等院校计算机科学与技术、通信工程、计算机网络等相关专业本科生或者研究生,计算机网络工程、网络安全课程实验教材。全书实验设计,以工程项目需求为依据,旨在加深学生对组建虚拟专用网所涉及的安全工程理论知识的理解,提高学生组建虚拟专用网络实践能力、分析问题的能力和解决问题的能力。
4. 关于教材使用方法
全书提供的近十多个组建虚拟专用网络安全实验,帮助学生熟练掌握网络安全工程师所需要的基本技能。所有实验操作都以日常安全需求为主线串接知识,以问题解决过程作为核心,因此教师在使用本书时,可以作为相关安全理论学习完成之后的实验补充,帮助学生加强对抽象安全理论的直观理解。也可以根据教学的实际情况,从中选择部分组建VPN网络实验内容,要求学生在学完理论之后,通过适当数量和难度的实验来补充理论诠释的不足。由于书中全部内容都来自厂商实际工程案例,本书可作为就业前实习用书,通过一定数量组建虚拟专用网络安全工程案例学习,积累实际的组建虚拟专用网安全施工经验,以增强施工能力和故障排除能力。
5. 关于课程环境安排
本书覆盖计算机网络安全规划、组建和配置中涉及主流安全设备配置、管理技术,书中所有项目都来自于企业多年积累的工程案例。经过提炼,按照再现企业工程项目的组织方式进行串接,每个工程项目都详细介绍了工程名称、工程背景、技术原理、工程设备、工程拓扑、工程规划、工作过程、结果验证等多个环节,循序渐进再现企业工程项目施工过程,并把这些工程在网络实验室中搭建出来,积累工作中的施工经验。
为顺利实施本教程,除需要对网络技术有学习的热情之外,还需要具备基本的计算机、网络、安全基础知识。这些基础知识为学习者提供一个良好的脚手架,帮助理解本书中的技术原理,为网络技术的进阶提供良好帮助。为做好这些安全实验,还需要为本课程提供一个可实施交换、路由、无线和安全实验的网络环境,再现企业网络工程项目。这种课程工作环境包括: 一个可以容纳40人左右的网络实验室;不少于4组实验台。每组实验台中包括的组网实验设备有: 二层交换机、三层交换机、模块化路由器、VPN安全设备、网络防火墙、测试计算机和若干根网络连接线(或制作工具).
虽然本书选择的组建虚拟专用网工程项目来自厂商案例,使用的组建虚拟专用网实验设备来自厂商,但本课程在规划中力求全部的关于虚拟专用网知识诠释和VPN技术选择都具有通用性,遵循行业内通用技术标准和行业规范。全书中关于设备的功能描述、接口标准、技术诠释、协议细节分析、命令语法解释、命令格式、操作规程、图标和拓扑图形的绘制方法,都使用行业内的标准,以加强其通用性。
6. 关于课程时间安排
本书希望加强学生组建虚拟专用网设备的实践操作,积累未来到一线组建安全VPN网络的工程施工经验,让学生深入地理解组建虚拟专用网中使用到相关安全设备的配置,熟悉组建虚拟专用网项目发生的场景,掌握施工过程。此外借助网络安全实验平台,还可以学习组建虚拟专用VPN网络安全设计、网络攻防和故障性能分析等相关知识,加强学生对网络安全技术的理解和掌握,培养学生的动手实践能力和设计分析能力,培养创新型人才。
本书可作为高等院校计算机科学与技术、通信工程、计算机网络等相关专业本科生或研究生,学习、研究网络安全技术的实验教材。其前导性的课程包括计算机网络、局域网组建、路由和交换技术等基础性网络技术。本书的课程安排时间在36~72学时不等,根据学校具体教学计划安排来确定,可选择全部的内容作为实验对象,也可选择部分内容作为实验对象。课程时间一般安排在三年级学期段,学生在学完基础网络技术后,作为基础技术的提高和补充。此外本书还可以作为社会上培训企业网络安全专业认证的培训教材以及网络设计师、网络工程师、系统集成工程师以及其他专业技术人员的技术参考书。
7. 关于课程资源
不同的专业课程教学都具有其本身的针对性。强化网络安全技术专业实践能力、强化安全技术应用和安全技能素养的培养,是本课程区别于传统网络安全专业课程特色之一。即使在目前众多以技能为教学实验课程中,本课程也具有其他课程不能比拟的特性。无论是前期为保证课程的有效实施,方便学校的管理,在课程实施环境(网络实验室)上投入资金,还是在课程规划上的创新、实验手段的多样性上,本课程在研发上投入的人力、物力都具有绝对优势。
为有效保证课程实验的有效实施,保证课程教学资源的长期提供,安全案例的积累、最新安全技术的更新、新技术的学习、课程学习中的技术交流和讨论等,本课程的研发队伍为此还专门投入人力和物力,为本课程建设有专门的实践教学俱乐部资源共享基地,以有效支持课程在实施的过程中,资源的更新,疑难问题的解决,课程实施讨论等一系列支持和服务工作,详细内容可以访问和本课程配套网站: http://www.labclub.com.cn,在网站上可以获得更多的资源支持。
8. 关于课程开发队伍
本书由创新网络教材编辑委员会组织来自院系教学一线的专家、教师,联合来自厂商专业工程师协作编写完成。这些工作在各行业内的专家,把自己多年来在各自领域中积累的网络组建虚拟专用网安全技术及工作经验,以及对组建虚拟专用网络安全技术的深刻理解,凝结成本书。
金汉均博士,华中师范大学计算机科学系教授,主要研究方向是“网上虚拟现实中的关键技术和最优化算法应用”等。近年来,其在网络安全领域的研究也具有突出成就,发表了大量论文,其中十五篇被世界SCI, EI, ISTP三大检索企业收录。其长期在教学一线从事网络工程技术的教学经验和研究工作成果,以及其在网络安全领域的技术积累,为全书技术方向引导、知识体系的选择、技术的诠释方法正确性提供了重要保证。
仲红教授,2005年中国科学技术大学计算机系博士研究生毕业,获工学博士学位。硕士生导师。安徽省高校首批中青年骨干教师培养对象,现为网络安全专业建设带头人。
汪双顶高级工程工程师,毕业于北京师范大学,硕士。熟悉思科网络和锐捷网络产品及方案,拥有厂商的工作经历,以及面对不同厂商的安全设备,针对应用和实施网络安全防范的能力。他拥有多年在网络一线从事工程师、培训讲师的工作背景,参与过多个网络工程整网安全的规划、有实施经历,对再现企业安全工程实验的体例和样式起到结构形成作用。
此外在本书的编写过程中,还得到了其他一线教师、技术工程师等的大力支持。他们积累多年的来自教学和工程一线的工作经验,为本书的真实性、专业性、教学的方便性和实施的方便性提供了有力的支持。
本书规划、编辑的过程历经三年多的时间,前后经过多轮修订,得到很多人力支持,其改革力度之大,远远超过前期策划者原先的估计,加之课程组文字水平有限,错漏之处在所难免,敬请广大读者指正(labserv@ruijie.com.cn) !
创新网络教材编辑委员会 为帮助学生全面理解安全技术细节,建立直观的网络安全印象,本书每一实验开始环节,都为读者引入一个来自企业真实网络安全问题,建立教学、学习环境,让读者深入到网络安全的环境中,了解本节安全知识内容,了解发生在真实网络工程项目中的场景,了解相应施工中需要的技术。
在全书关键技术解释和工程方案实施中,会涉及一些网络专业术语和词汇,为方便大家今后在工作中的应用,全书采用业界标准的技术和图形绘制方案。全书中使用相关的符号,以及网络拓扑图形惯有的风格和惯例,本书中使用的命令语法规范约定如下。
竖线“|”表示分隔符,用于分开可选择的选项。
星号“*”表示可以同时选择多个选项。
方括号“\”表示可选项。
大括号“{}”表示必选项。
粗体字表示按照显示的文字输入的命令和关键字。在配置的示例和输出中,粗体字表示需要用户手工输入的命令(例如show命令).
斜体字表示需要用户输入的具体值。
以下为本书中所使用的图标示例。
感谢提供网络产品和方案的锐捷网络有限公司,为全书提供多个来自不同行业的工程案例。为方便对工程项目的技术细节诠释,本书技术描述主要依托锐捷网络RGNOS网络操作系统展开。但在书籍中出现的所有命令和术语,同样具有通用性,能兼容目前网络工程施工中应用到的所有主流设备。并且本书中讲述的技术原理,以及针对网络问题提出的解决方案,同样可以适用于所有现实网络工作场景。
尽管得到了众多一线授课教师及业内专家建议,但面对复杂的工程选择,繁杂网络技术描述,以及把工程和技术完美结合的编撰工作,创新教材编辑委员会深知仍然难免有所错漏,还望读者批评指正。
