论文部分内容阅读
【摘要】 基于“做中学”教学改革思想和“VMware Workstation”虚拟环境,模拟了一个《计算机网络安全》教学情境,使得学生可以从网络侦听、数据加密、VPN等多方面掌握网络安全配置技能,提高课程的学习效果和增强学生的安全意识。
【关键词】 做中学;VMware;计算机网络安全
一、引言
在高职课程基于CDIO(即构思(Conceive)、设计(Design)、实现(Implement)、运作(Operate)4个单词的缩写,是“做中学”原则和“基于项目的教育、学习”的集中体现)思想进行课程改革的今天,相信同样担任《计算机网络安全》课程教学任务的同行们有这样的感受:作为计算机网络专业的经典课程,《计算机网络安全》课程改革在实现起来困难重重。
究其原因,大致分如下两个方面:首先实训平台的搭建。《计算机网络安全》的项目实践需要计算机网络环境的支持,这无形中提高了实训的环境建设的成本。另外,如果学生人手一台计算机,多人合作进行实训,学生也会受到所担角色的限制,只能完成某一方面的任务,不能窥其全貌。其次如何对课程体系解构,重新排序知识点,才能凸显行动体系的重构,实现学习领域的定位?网络安全知识众多,像网络攻击与防护、网络嗅探、加密和虚拟专用网VPN等,它不像语言类课程一样,通过一个综合项目的程序编写就可以切身体会数据结构和算法的功用,而且网络安全更强调正反两方面分析问题,要从安全隐患确定防范策略。
因此,如何引入新的教学平台和教学手段,对于《计算机网络安全》课程改革,已显的尤为重要。本文将通过一个教学案例的设计,提出VMware Workstation虚拟工具实现《计算机网络安全》“做中学”课程改革的实现思路。
二、平台概述
VMware Workstation是VMware公司推出的一款虚拟机仿真程序,它可以在一台计算机上模拟多台虚拟计算机,并可以实现虚拟机与物理计算机、虚拟机与虚拟机之间的网络连接。VMware主要支持三种网络连接形式,即“桥接”方式、“NAT”方式、“仅主机”方式。基于VMware Workstation,可以实现《计算机网络安全》教学所需的网络操作环境。笔者在一台安装有Windows XP的物理微机上,安装一台Windows XP和Windows 2003 Server的虚拟机各一台,并且通过“仅主机”方式实现三者的内部联网,再辅以《计算机网络安全》课程思想和相关工具,以此搭建出实践教学平台。
三、实现过程
通过VMware Workstation虚拟软件,在一台安装有Windows XP的计算机上,安装配置一台Windows XP的虚拟机和安装有Windows 2003 Server的虚拟机,并通过“仅主机”方式实现物理计算机和两台虚拟机系统的网络连接。其中,安装了Windows 2003 Server系统的虚拟机作为网络中的服务器,并且通过Serv-U的安装配置,实现FTP服务器的功能。另外安装PGP软件,实现加密解密的实训环节;物理计算机担任网络客户端的角色,可以使用Internet Explorer和CuteFTP 软件实现对服务器FTP资源的常规访问;配置有Windows XP的虚拟机作为网络中的“不良分子”,通过Sniffer Pro和“Wireshark”软件侦听网络环境,实现网络嗅探的功能。(如图2所示)的三台设备分别配置好IP地址之后,即虚拟实现了(图1中)的小型局域网的环境,实现网络安全实训平台的搭建。
(1)网络侦听实训模块。正常情况下,当我们在Windows 2003 Server平台下,经过释放IIS的FTP资源,启用Serv-U程序,然后新建FTP站点,再创建相应访问账号后,FTP服务器即对局域网内的其他用户开放了。为了保证合法使用者的访问权,FTP采用授权用户访问的形式有限对客户端开放上传和下载功能,授权账户信息的用户名为admin,密码也是admin。这个时候,作为正常客户的物理计算机,可以通过Internet Explorer访问FTP服务器的资源。假设企图进行侦听的Windows XP虚拟计算机,早先开启了Sniffer Pro工具进行侦听,则可以截获(如图3所示的信息)。由此可以看出合法用户的登录账号被侦听者直接获取,这主要是因为默认FTP信息是以明文的形式进行传递导致。
负责侦听的虚拟机甚至可以通过“Wireshark”工具直接读取上传、下载数据文件的内容。“a1.txt”文件是一个ASCII编码的纯文本文件,在合法用户在服务器上下载的同时,(通过图4可以看到)“a1.txt”的正文被侦听程序直接截获。以模块一所暴露出来网路安全问题,让学生对当前网络安全的现状进行反思,鼓励学生提出自己的处理方法,并且引导学生通过数据加密等思想、工具来解决问题。
(2)加密模块。针对“Wireshark”可以侦听到数据文件内容的问题,数据加密技术可以有针对性的进行解决。数据加密的基本过程是对原为明文的文件或数据内容按照某种算法进行处理,使其成为不可读的一段代码,即密文,使其只能在输入相应的密钥后,才能显示本来的内容的过程。主流的加密工具有很多,例如PGP软件,作为一款诞生于1991年的优秀的加密软件的代表,PGP可以实现大部分的加密和认证算法,并且可以非常好的支持现代加密技术中的非对称加密技术。若在服务器虚拟机上,执行PGP软件的加密功能,将涉及传输的数据文件在传输之前,封装成可以不依靠PGP软件自解封的文件,则PGP软件的像RSA等优秀加密技术可以保证在资源传输过程中,即使被侦听软件抓取到数据内容,由于数据本身是经过加密的,作为未获得合法用户密钥的侦听者,也无法读取到文件的内容。
(3)虚拟专用网VPN模块。随着数据应用规模的扩大,单纯的从数据文件角度进行加密操作显的无法满足用户对网络安全的需要。如果可以针对数据传输过程进行始于发送、终于接收的安全加密,才能更好的实现网络安全的目标。以隧道技术为实现核心的VPN技术,正可以提供出与企业级别的专用网络一样的安全性和可管理性。VPN(Virtual Private Network)即虚拟专用网,是通过综合利用访问控制技术和机密技术,并通过一定的密钥管理机制,在公共网络中建立起的安全的“专用”网络,保证数据在“加密管道”中进行安全传输。作为提供FTP服务器支持的Windows 2003 Server操作系统,可以原生支持VPN功能。仅需要在开始菜单上面,选择“管理我的服务器”,添加虛拟专用网(VPN)角色,即可以完成VPN服务器的创建。为了更好的实现VPN的易用性和可靠性,还需要进行“路由和远程访问”功能的设置,比方说VPN客户身份验证方法的确定,客户端网络地址的分配,以及网络端口的设计。
然后,Windows 2003 服务器再为登陆客户设置合法账户,设置访问权限。物理计算机即可通过“新建网络连接”的方式,建立起与服务器的安全连接。(像图5所示)的那样,合法客户在VPN安全连接的支持下,可以128位加密的形式,进行数据传输。此时,包括“Wireshark”、“Sniffer Pro”在内的嗅探软件,也无法直接读取到用户的账户信息和数据文件的正文了。
(4)基于客户端软件支持的账户保护措施。除了借助于第三方的加密工具和VPN的支持外,深度挖掘FTP本身应用工具的潜力,也是可以帮助提高网络安全性能的选择。Serv-U的FTP服务器工具内就包含有保护网络安全的相应选项,像数字安全证书等,其实,最为简单的,可以直接对账户本身进行MD5、MD4的加密,以解决账户信息被“Sniffer Pro”这样的软件侦听到内容的问题。Serv-U程序可以在上传、下载账户选项处,选择将“密码类型”由“规则密码”设置为“OTP S/KEY MD4”或者“OTP S/KEY MD5”方式(如图6所示)。这个时候,作为客户端计算机,由于Internet Explorer不支持直接通过带MD5加密的账户访问FTP,则需使用第三方FTP客户端(比方说CuteFTP等)实现对服务器的访问。相应的,在FTP客户端的密码保护类型选择处,也需设置为MD5或者MD4类型。设置完毕后,再次通过“Sniffer Pro”捕获数据封包,密码部分会以无序字符的形式进行显示(如图7所示),即实现了网络安全的访问保护。
通过网络侦听、数据加密、传输加密、工具强化等一系列模块的过程化的学习和实践,学生一方面可以在网络应用的同时,体会安全、分析安全、实现安全,而且还能从网络节点端、信道传输、应用层次上,基于具体操作过程化的掌握网络安全的相应技术。
教学过程即将结束之时,还可向学生提出几点建议和注意事项:
建议一:网络环境中存在着各式各样的安全隐患,在网络安全问题面前,可以通过网络安全技术有针对性的解决问题。
建议二:抛弃浏览器,选择专用FTP工具,用带有“嗅探”功能的下载工具可以提升FTP下载速度,也可以增强网络访问的安全性。
建议三:在实践过程中,不断发现问题、分析问题、解决问题,培养独立处理网络安全问题、错误的能力。
建议四:网络应用安全功能的强化的过程,也是针对前序课程知识深化的过程,需不断巩固以前所学,增加新知识的积累,才能更好的在专业学习上有所突破。
四、结语
美国著名教育学家杜威说过,“从做中学是比从听中学更好的学习方法。”它把学校里知识的获得与生活过程中的活动联系起来,充分体现了学与做的结合,知与行的统一。凭借VMware Workstation我们可以在单一的一台计算机上建立一个可以实现完整安全技术实训的虚拟网络平台,全方位的来实践安全配置操作,提高解决实际问题的能力。这就好比是一个框架,在这个框架里你可以配置任何类型的安全功能或所要求的安全软件,同时实现网络数据的捕获和安全控制。虽然网络安全工具众多,功能强大,但很难针对大多数网络安全问题提出解决方案。这也就使得我们培养的学生学会多方面的网络安全设置办法,通过特定的设置降低危险性。危险只能减缓,不可能全部消除,网络安全就是“魔高一尺,道高一丈”。人们研究新的技术来模拟攻击者的行为,使相同的攻击行为在针对这些技术演化中得出相应的对抗措施。
参考文献
[1]查建中.《面向經济全球化的工程教育改革战略》.《高等工程教育研究》.2008(1)
[2]杨文虎,樊静淳.《网络安全技术与实训》.人民邮电出版社,2007 (10)
[3]赵勃.虚拟计算机技术在高校教学中的应用[J].现代电子技术.2008(10)
【关键词】 做中学;VMware;计算机网络安全
一、引言
在高职课程基于CDIO(即构思(Conceive)、设计(Design)、实现(Implement)、运作(Operate)4个单词的缩写,是“做中学”原则和“基于项目的教育、学习”的集中体现)思想进行课程改革的今天,相信同样担任《计算机网络安全》课程教学任务的同行们有这样的感受:作为计算机网络专业的经典课程,《计算机网络安全》课程改革在实现起来困难重重。
究其原因,大致分如下两个方面:首先实训平台的搭建。《计算机网络安全》的项目实践需要计算机网络环境的支持,这无形中提高了实训的环境建设的成本。另外,如果学生人手一台计算机,多人合作进行实训,学生也会受到所担角色的限制,只能完成某一方面的任务,不能窥其全貌。其次如何对课程体系解构,重新排序知识点,才能凸显行动体系的重构,实现学习领域的定位?网络安全知识众多,像网络攻击与防护、网络嗅探、加密和虚拟专用网VPN等,它不像语言类课程一样,通过一个综合项目的程序编写就可以切身体会数据结构和算法的功用,而且网络安全更强调正反两方面分析问题,要从安全隐患确定防范策略。
因此,如何引入新的教学平台和教学手段,对于《计算机网络安全》课程改革,已显的尤为重要。本文将通过一个教学案例的设计,提出VMware Workstation虚拟工具实现《计算机网络安全》“做中学”课程改革的实现思路。
二、平台概述
VMware Workstation是VMware公司推出的一款虚拟机仿真程序,它可以在一台计算机上模拟多台虚拟计算机,并可以实现虚拟机与物理计算机、虚拟机与虚拟机之间的网络连接。VMware主要支持三种网络连接形式,即“桥接”方式、“NAT”方式、“仅主机”方式。基于VMware Workstation,可以实现《计算机网络安全》教学所需的网络操作环境。笔者在一台安装有Windows XP的物理微机上,安装一台Windows XP和Windows 2003 Server的虚拟机各一台,并且通过“仅主机”方式实现三者的内部联网,再辅以《计算机网络安全》课程思想和相关工具,以此搭建出实践教学平台。
三、实现过程
通过VMware Workstation虚拟软件,在一台安装有Windows XP的计算机上,安装配置一台Windows XP的虚拟机和安装有Windows 2003 Server的虚拟机,并通过“仅主机”方式实现物理计算机和两台虚拟机系统的网络连接。其中,安装了Windows 2003 Server系统的虚拟机作为网络中的服务器,并且通过Serv-U的安装配置,实现FTP服务器的功能。另外安装PGP软件,实现加密解密的实训环节;物理计算机担任网络客户端的角色,可以使用Internet Explorer和CuteFTP 软件实现对服务器FTP资源的常规访问;配置有Windows XP的虚拟机作为网络中的“不良分子”,通过Sniffer Pro和“Wireshark”软件侦听网络环境,实现网络嗅探的功能。(如图2所示)的三台设备分别配置好IP地址之后,即虚拟实现了(图1中)的小型局域网的环境,实现网络安全实训平台的搭建。
(1)网络侦听实训模块。正常情况下,当我们在Windows 2003 Server平台下,经过释放IIS的FTP资源,启用Serv-U程序,然后新建FTP站点,再创建相应访问账号后,FTP服务器即对局域网内的其他用户开放了。为了保证合法使用者的访问权,FTP采用授权用户访问的形式有限对客户端开放上传和下载功能,授权账户信息的用户名为admin,密码也是admin。这个时候,作为正常客户的物理计算机,可以通过Internet Explorer访问FTP服务器的资源。假设企图进行侦听的Windows XP虚拟计算机,早先开启了Sniffer Pro工具进行侦听,则可以截获(如图3所示的信息)。由此可以看出合法用户的登录账号被侦听者直接获取,这主要是因为默认FTP信息是以明文的形式进行传递导致。
负责侦听的虚拟机甚至可以通过“Wireshark”工具直接读取上传、下载数据文件的内容。“a1.txt”文件是一个ASCII编码的纯文本文件,在合法用户在服务器上下载的同时,(通过图4可以看到)“a1.txt”的正文被侦听程序直接截获。以模块一所暴露出来网路安全问题,让学生对当前网络安全的现状进行反思,鼓励学生提出自己的处理方法,并且引导学生通过数据加密等思想、工具来解决问题。
(2)加密模块。针对“Wireshark”可以侦听到数据文件内容的问题,数据加密技术可以有针对性的进行解决。数据加密的基本过程是对原为明文的文件或数据内容按照某种算法进行处理,使其成为不可读的一段代码,即密文,使其只能在输入相应的密钥后,才能显示本来的内容的过程。主流的加密工具有很多,例如PGP软件,作为一款诞生于1991年的优秀的加密软件的代表,PGP可以实现大部分的加密和认证算法,并且可以非常好的支持现代加密技术中的非对称加密技术。若在服务器虚拟机上,执行PGP软件的加密功能,将涉及传输的数据文件在传输之前,封装成可以不依靠PGP软件自解封的文件,则PGP软件的像RSA等优秀加密技术可以保证在资源传输过程中,即使被侦听软件抓取到数据内容,由于数据本身是经过加密的,作为未获得合法用户密钥的侦听者,也无法读取到文件的内容。
(3)虚拟专用网VPN模块。随着数据应用规模的扩大,单纯的从数据文件角度进行加密操作显的无法满足用户对网络安全的需要。如果可以针对数据传输过程进行始于发送、终于接收的安全加密,才能更好的实现网络安全的目标。以隧道技术为实现核心的VPN技术,正可以提供出与企业级别的专用网络一样的安全性和可管理性。VPN(Virtual Private Network)即虚拟专用网,是通过综合利用访问控制技术和机密技术,并通过一定的密钥管理机制,在公共网络中建立起的安全的“专用”网络,保证数据在“加密管道”中进行安全传输。作为提供FTP服务器支持的Windows 2003 Server操作系统,可以原生支持VPN功能。仅需要在开始菜单上面,选择“管理我的服务器”,添加虛拟专用网(VPN)角色,即可以完成VPN服务器的创建。为了更好的实现VPN的易用性和可靠性,还需要进行“路由和远程访问”功能的设置,比方说VPN客户身份验证方法的确定,客户端网络地址的分配,以及网络端口的设计。
然后,Windows 2003 服务器再为登陆客户设置合法账户,设置访问权限。物理计算机即可通过“新建网络连接”的方式,建立起与服务器的安全连接。(像图5所示)的那样,合法客户在VPN安全连接的支持下,可以128位加密的形式,进行数据传输。此时,包括“Wireshark”、“Sniffer Pro”在内的嗅探软件,也无法直接读取到用户的账户信息和数据文件的正文了。
(4)基于客户端软件支持的账户保护措施。除了借助于第三方的加密工具和VPN的支持外,深度挖掘FTP本身应用工具的潜力,也是可以帮助提高网络安全性能的选择。Serv-U的FTP服务器工具内就包含有保护网络安全的相应选项,像数字安全证书等,其实,最为简单的,可以直接对账户本身进行MD5、MD4的加密,以解决账户信息被“Sniffer Pro”这样的软件侦听到内容的问题。Serv-U程序可以在上传、下载账户选项处,选择将“密码类型”由“规则密码”设置为“OTP S/KEY MD4”或者“OTP S/KEY MD5”方式(如图6所示)。这个时候,作为客户端计算机,由于Internet Explorer不支持直接通过带MD5加密的账户访问FTP,则需使用第三方FTP客户端(比方说CuteFTP等)实现对服务器的访问。相应的,在FTP客户端的密码保护类型选择处,也需设置为MD5或者MD4类型。设置完毕后,再次通过“Sniffer Pro”捕获数据封包,密码部分会以无序字符的形式进行显示(如图7所示),即实现了网络安全的访问保护。
通过网络侦听、数据加密、传输加密、工具强化等一系列模块的过程化的学习和实践,学生一方面可以在网络应用的同时,体会安全、分析安全、实现安全,而且还能从网络节点端、信道传输、应用层次上,基于具体操作过程化的掌握网络安全的相应技术。
教学过程即将结束之时,还可向学生提出几点建议和注意事项:
建议一:网络环境中存在着各式各样的安全隐患,在网络安全问题面前,可以通过网络安全技术有针对性的解决问题。
建议二:抛弃浏览器,选择专用FTP工具,用带有“嗅探”功能的下载工具可以提升FTP下载速度,也可以增强网络访问的安全性。
建议三:在实践过程中,不断发现问题、分析问题、解决问题,培养独立处理网络安全问题、错误的能力。
建议四:网络应用安全功能的强化的过程,也是针对前序课程知识深化的过程,需不断巩固以前所学,增加新知识的积累,才能更好的在专业学习上有所突破。
四、结语
美国著名教育学家杜威说过,“从做中学是比从听中学更好的学习方法。”它把学校里知识的获得与生活过程中的活动联系起来,充分体现了学与做的结合,知与行的统一。凭借VMware Workstation我们可以在单一的一台计算机上建立一个可以实现完整安全技术实训的虚拟网络平台,全方位的来实践安全配置操作,提高解决实际问题的能力。这就好比是一个框架,在这个框架里你可以配置任何类型的安全功能或所要求的安全软件,同时实现网络数据的捕获和安全控制。虽然网络安全工具众多,功能强大,但很难针对大多数网络安全问题提出解决方案。这也就使得我们培养的学生学会多方面的网络安全设置办法,通过特定的设置降低危险性。危险只能减缓,不可能全部消除,网络安全就是“魔高一尺,道高一丈”。人们研究新的技术来模拟攻击者的行为,使相同的攻击行为在针对这些技术演化中得出相应的对抗措施。
参考文献
[1]查建中.《面向經济全球化的工程教育改革战略》.《高等工程教育研究》.2008(1)
[2]杨文虎,樊静淳.《网络安全技术与实训》.人民邮电出版社,2007 (10)
[3]赵勃.虚拟计算机技术在高校教学中的应用[J].现代电子技术.2008(10)