实验平台

本课程主要使用如下实验平台：

1. 网络安全实训平台    

网络安全实训平台由启明星辰USG-FW-310DP一体化安全网关、NT600-C检测与管理系统、SAG-6000-800安全网关系统和TJCS-NS-L脆弱性扫描系统组成，每四台设备组成一组，实验平台提供8组设备，共同支撑课程实验五～实验七实验的实验内容。

(1) USG-FW-310DP，一体化安全网关

一体化安全网关集防火墙、VPN、入侵防御（IPS）、防病毒、上网行为管理、内网安全、反垃圾邮件、抗拒绝服务攻击（Anti-DoS）、内容过滤等多种安全技术于一身，高性能、绿色低炭，同时全面支持各种路由协议、QoS、高可用性（HA）、日志审计等功能。从业务、用户、应用和行为的角度出发，提供用户策略、应用策略和行为策略等智能控制手段，为网络边界提供了全面实时的安全防护，抵御日益复杂的安全威胁。

(2) NT600-C，检测与管理系统

入侵检测与管理系统（IDS）是具有威胁发现、威胁展示、威胁分析、威胁处理的专业化威胁发现与管理系统。对于病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量等恶性攻击行为有非常准确高效的检测效果，并通过简单易懂的去技术化语言帮助用户分析威胁，通过智能关联分析过滤的方法过滤掉无需关注的事件，多种途径帮助使用者对威胁进行全面分析和处理。

(3) SAG-6000-800，安全网管系统

安全网关系统以隧道技术、密码技术、访问控制技术作为三大核心技术，以代理技术，访问控制技术作为两大支撑技术，能确保只有被允许的主体在受控制的链路上，访问被允许的客体；也就是接入、传输、应用三环节均受控，任何主体，客体，第三方都难以越界，难以破坏。支持国家商用密码算法SM1-SM4，支持静态口令、UKEY证书、动态令牌等多种认证方式，并可进行多种认证方式的组合，同时可以实现对指定账号和硬件设备的特征绑定，从而实现安全接入。提供安全的传输链路加密服务。

(4) TJCS-NS-L， 脆弱性扫描系统

脆弱性扫描与管理系统提供对主机、操作系统以及网络设备的脆弱性检查、评估与管理。支持多引擎分布式部署，自动分担任务，适应大规模，大范围漏洞扫描。能够快速发现网络资产，准确识别资产属性、全面扫描安全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核。通过对漏洞发布信息的实时跟踪和分析，漏洞扫描系统能够及时更新漏洞的补丁信息和修补建议。从而帮助用户在弱点全面评估的基础上实现安全自主掌控。

2. PKI证书教学平台

在网络环境中，数字证书越来越被广泛的用来代表人、设备等各类实体的身份，用来颁发和管理数字证书的是公钥基础设施（Public Key Infrastructure，简称PKI）。本实验平台支撑课堂实验四的教学内容。

完整的PKI系统主要包含下面的内容：

● CA：Certification Authority   ——证书签发系统，用于证书签发

● RA：Registration Authority   ——证书注册系统，用于证书注册

● KM：Key Management      ——密钥管理系统，用于密钥管理

● OCSP：Online Certificate Status Protocol ——在线证书状态查询系统，用于查询证书状态

● LDAP：Lightweight Directory Access Protocol ——目录服务，用于CA发布证书和证书注销列表（Certificate Revocation List）

本平台向学生展示全套PKI系统的组成，实际通过操作了解PKI系统的组成和功能。在实验课中，让学生学习并掌握PKI 数字证书的典型使用场景和原理，例如网上银行，安全电子邮件、高安全身份鉴别、可信网站服务、代码签名保护，达到学以致用的目的。

在具体的实验环节，包含了PKI体系及应用的核心内容：

(1) 证书签发管理

通过RA系统，连接CA，进行用户数字证书的签发下载。了解和体验PKI系统证书管理的核心内容。

(2) 证书注销管理

通过RA系统，连接CA，进行用户证书的注销。证书注销是保障PKI体系安全性的重要手段。

(3) 证书更新管理

通过RA系统，连接CA，进行用户证书的更新。证书存在有效期，邻近过期的证书需要通过“更新“功能来延续有效期。

(4) 证书的场景应用

通过使用合法有效的数字证书，访问应用系统，学习通过数字证书进行“高安全身份鉴别”的应用；

通过使用已经注销的数字证书，访问应用系统，学习体验失效数字证书在访问应用系统时的场景（应用系统拒绝失效证书登录）。

3. 网络靶场平台                            

网络靶场平台为学生提供网络攻防、安全对抗、工程实践等方面的实验与实训，为学生提供专业化定制化的平台支撑，促进学生较全面地掌握信息对抗领域的基本理论和技术，通过对攻防领域的技能学习和实践训练，使学生能够利用系统的观点分析、处理信息对抗方面的科学技术问题。

平台为学生网络攻防各类型竞赛提供模式对抗环境，提高学生的网络攻防实践能力。平台分为了5 层，分别为:虚拟化层、数据层、接口层、逻辑层和显示层。

“虚拟化层”主要担负虚拟机、实验场景实例化的工作。通过上层调用获取虚拟机和场景的模板，将这些模板实例化为竞赛场景。

“数据层”主要包括攻防行为数据库、场景数据库、平台数据库、工具数据库、竞赛题目库。这一层的主要工作是存储数据，提供访问接口。

“接口层”对外提供了虚拟化层、数据层的接口。这些接口有工具库数据接口、场景数据接口、平台数据接口、攻防行为数据接口、虚拟网络配置接口、主机虚拟化接口、虚拟主机控制接口、网络设备虚拟化接口。

“逻辑层”接收显示层发送的命令，通过自身逻辑流程调用接口层相应的接口。逻辑层的功能包括权限控制、系统日志、用户管理、系统管理、工具库管理、赛题管理、竞赛管理、宿主机管理等。

“显示层”提供UI功能，操作员直接操作这一层中的功能项。按角色将 其划分为管理员界面、参赛人员界面两部分页面。其中系统管理员主要功能包括系统登录、登出操作、竞赛管理、场景管理、虚拟化监控、攻防可视化、人 员管理、队伍管理、赛题管理等。参赛人员功能包括系统登录、登出、提交flag、参加竞赛和数据统计等。

通过网络信息安全培训平台虚拟化的方式，对网络安全技能、典型漏洞环境进行复现还原，例如：SQL注入环境、XSS利用环境等，并在每个教学中，配备对应的攻防实验工具及电子实验指导书，辅助完成教学任务。业务人员完成某一系列课程的学习后，可通过CTF、理论选择题的方式，对教学效果进行评估，发现不足，提升网络安全技能水平。