信息安全實驗手冊

實驗指導書

上海交通大學信息安全工程學院

2008年

目錄

一、防火墻實驗系統(tǒng)實驗指導書.......................................................1

1、NAT轉換實驗....................................................................2

2、普通包過濾實驗..................................................................4

3、狀態(tài)檢測實驗....................................................................7

4、應用代理實驗...................................................................12

5、綜合實驗........................................................................17

6、事件審計實驗...................................................................18

二、入侵檢測實驗系統(tǒng)實驗指導書....................................................20

1、特征匹配檢測實驗...............................................................21

2、完整性檢測實驗.................................................................31

3、網(wǎng)絡流量分析實驗...............................................................35

4、誤警分析實驗...................................................................40

三、安全審計實驗系統(tǒng)指導書........................................................45

1、文件審計實驗...................................................................46

2、網(wǎng)絡審計實驗...................................................................51

3、打印審計實驗...................................................................55

4、日志監(jiān)測實驗...................................................................59

5、撥號審計實驗...................................................................62

6、審計跟蹤實驗...................................................................66

7、主機監(jiān)管實驗...................................................................71

四、病毒實驗系統(tǒng)實驗指導書........................................................74

1、網(wǎng)絡炸彈實驗...................................................................75

2、萬花谷病毒實驗.................................................................77

3、新歡樂時光病毒實驗..............................................................79

4、美麗莎病毒實驗.................................................................84

5、NO.1病毒實驗...................................................................88

6、PE病毒實驗.....................................................................9()

五、PKI系統(tǒng)實驗指導書............................................................95

1、證書申請實驗...................................................................96

2、用戶申請管理實驗...............................................................98

3、證書管埋實險..................................................................101

4、信任管理實驗..................................................................104

5、交叉認證實驗..................................................................107

6、證書應用實驗...................................................................110

7、SSL應用實驗...................................................................113

六、攻防實驗系統(tǒng)指導書............................................................118

1、RPCDCOM堆棧溢出實驗........................................................119

2、端口掃描實驗..................................................................124

3、漏洞掃描實驗..................................................................129

4、UNIX口令實驗破解..............................................................134

5、WINDOWS口令破解實驗..........................................................137

6、遠程操縱實驗..................................................................144

7、灰鴿子遠程操縱................................................................150

七、密碼實驗系統(tǒng)指導書............................................................156

1、DES單步加密實驗..............................................................157

2.DES算法實驗.................................................................159

3、3DES算法實驗.................................................................161

4、AES算法實驗..................................................................163

5、MD5算法實驗..................................................................165

6、SHA-1算法實驗................................................................168

7、RSA算法實驗..................................................................170

8、DSA數(shù)字簽名實驗..............................................................172

八、IPSECVPN實驗系統(tǒng)實驗指導書................................................174

1、VPN安全性實驗................................................................175

2、VPNIKE認證實驗..............................................................181

3、VPN模式比較實驗..............................................................186

九、多級安全訪問操縱系統(tǒng)實驗指導書...............................................192

實驗環(huán)境介紹......................................................................193

1、PMI試驗.......................................................................194

2、XACML系統(tǒng)實驗...............................................................200

3、模型實驗......................................................................205

4、RBAC系統(tǒng)實驗.................................................................209

一、防火墻實驗系統(tǒng)實驗指導書

1、NAT轉換實驗

2、普通包過濾實驗

3、狀態(tài)檢測實驗

4、應用代理實驗

5、綜合實驗

6、事件審計實驗

1、NAT轉換實驗

【實驗目的】

通過實驗，深刻懂得網(wǎng)絡地址分段、子網(wǎng)掩碼與端口的概念與原理。熟悉NAT的

基本概念、原理及其三種類型，即靜態(tài)NAT(StaticNAT)、動態(tài)地址NAT(PoolcdNAT)、

網(wǎng)絡地址端口轉換NAPT(Port-LevelNAT)。同時，掌握在防火墻實驗系統(tǒng)上配置NAT

的方法，學會推斷規(guī)則是否生效。

【實驗環(huán)境及說明】

I.本實驗的網(wǎng)絡拓撲圖如卜。

Webll務?:理麴狀況中DMZ會配置蜃務?未啟清足實9功能.

FTPJR務叁:如果防火?實毆系級■務號是在實險*區(qū)域網(wǎng)和防火堆區(qū)城網(wǎng)邊界，購怎在怎在知1［區(qū)域同內(nèi)增加一FTP量務用來做FTP代理實9?

如果防火墻實驗不蝴R務■在實段1［區(qū)旗網(wǎng)和外網(wǎng)邊界，制不IR1增加FTPJK務.

2.實驗小組的機器要求將網(wǎng)關設置為防火墻主機與內(nèi)網(wǎng)的接口網(wǎng)卡IP地址：

54(次地址可由老師事先指定)。

3.實驗小組機器要求有WEB瀏覽器：IE或者者其他。

4.配置結果測試頁面通過NAT轉換實臉進入頁面中的“驗證NAT目標地址”提供

的鏈接能夠得到。NAT規(guī)則配置結束后，新打開瀏覽器窗口，通過“驗證NAT

目標地址”提供的地址，進入測試結果頁面，將顯示地址轉換后的目的地址。

【預備知識】

I.NAT基本概念、原理及其類型；

2.常用網(wǎng)絡客戶端的操作：1E的使用，并通過操作，推斷防火墻規(guī)則是否生效；

3.熟悉常用的無法在互聯(lián)網(wǎng)上使用的保留IP地址（如：55,

?55,-55）。深刻懂得網(wǎng)絡地址

分段、子網(wǎng)掩碼與端口的概念與原理。

【實驗內(nèi)容】

1.在防火墻實驗系統(tǒng)匕配置NAT的規(guī)則；

2.通過一些常用的網(wǎng)絡客戶端操作，推斷已配置的規(guī)則是否有效，對比不一致規(guī)

則下，產(chǎn)生的不一致效果。

【實驗步驟】

在實驗前應先刪除防火濡原有的所有規(guī)則。

1）登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“NAT轉換”，進入“NAT的規(guī)則配置”

頁面。

2）在打開的頁面中，假如有任何規(guī)則存在，點擊“刪除所有規(guī)則”；

3）點擊“增加一條規(guī)則”，進入規(guī)則配置的界面。下面對此界面中的一些選項作說

明：源地址、目的地址——地址用IP地址來表示。

4）選擇源地址：IP地址，5、目的地址,比如：IP地址,00.

目的端口：ethO。按“增力IT后,就增加了一條NAT規(guī)則，這條規(guī)則將內(nèi)部地址5

映射為外部地址00o

增加NAT規(guī)則后，能夠用瀏覽器在規(guī)則添加前后進行檢測（新打開窗口，輸入法

入頁面中的“驗證NAT口標地址”），以推斷規(guī)則是否有效與起到了什么效果。詳見參考

答案。

5）當完成配置規(guī)則與檢測后，能夠重復步驟2）到步驟4）,來配置不一致的規(guī)則。

2、普通包過濾實驗

【實驗目的】

通過實驗，熟悉普通包過濾的基本概念與原理，如方向、協(xié)議、端口、源地址、目

的地址等等，掌握常用服務所對應的協(xié)議與端口。同時，掌握在防火墻實驗系統(tǒng)上配置

普通包過濾型防火墻的方法，學會推斷規(guī)則是否生效。

【實驗環(huán)境及說明】

同實驗一

【預備知識】

1.計算機網(wǎng)絡的基礎知識，方向、協(xié)議、端口、地址等概念與各常用服務所對應

的協(xié)議、端口；

2.常用網(wǎng)絡客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使用等，

并通過這些操作，推斷防火墻規(guī)則是否生效；

3.包過濾型防火墻的基本概念，懂得各規(guī)則的意義。

【實驗內(nèi)容】

在正確配置NAT規(guī)則的前提下（實驗一），實驗首先配置普通包過濾規(guī)則，然后

通過登錄外網(wǎng)web頁面、登錄外網(wǎng)ftp服務器等常用網(wǎng)絡客戶端操作推斷配置的規(guī)則是

否生效，具體內(nèi)容如下：

1.設置一條規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包。使用ping命令檢測規(guī)則是否生

效。

2.將已經(jīng)設置的多條規(guī)則順序打亂，分析不一致次序的規(guī)則組合會產(chǎn)生如何的作

用，然后通過網(wǎng)絡客戶端操作檢驗規(guī)則組合產(chǎn)生的效果。

【實驗步驟】

第一步：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“普通包過濾”，在右側的界面

中選擇一個方向進入。此處共有外網(wǎng)＜-＞內(nèi)網(wǎng)、外網(wǎng)v-＞DMZ與內(nèi)網(wǎng)＜-＞DMZ3個方向?可

供選擇。

第二步：在打開的頁面中，假如有任何規(guī)則存在，點擊“刪除所有規(guī)則”。

第三步：點擊“增加一條規(guī)則”，進入規(guī)則配置界面2,配置規(guī)則。假如對正在配置

?比如，選擇“外網(wǎng)＜-＞內(nèi)網(wǎng)”，就能配苴內(nèi)網(wǎng)與外網(wǎng)之間的普通包過謔規(guī)則。

2此界面中能夠選擇的項包含：

方向——對什么方向上的包進行過灌；

增加到位置一一將新增的規(guī)則放到指定的位置，越靠前優(yōu)先級越爵（不一致規(guī)則順序可能產(chǎn)生不一致結果）:

的規(guī)則小滿意，能夠點擊'唾置”，將配置貝面恢復到默認的狀態(tài)。

1.設置一條規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包并檢測規(guī)則有效性。

選擇正確的選項，點擊“增加''后，增加一條普通包過濾規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)

的數(shù)據(jù)包。比如：

方向：“外網(wǎng)，內(nèi)網(wǎng)”

增加到位置:1

協(xié)議：any

源地址：IP地址,/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：1P地址,/

目的端口：disabled（由于協(xié)議選擇了an、,此處不用選擇）

動作:REJECT。

規(guī)則添加成功后，能夠用各類客戶端工具，比如IE、FTP客戶端工具、ping等達

行檢測，以推斷規(guī)則是否有效與起到了什么效果。

多條規(guī)則設置務必注意每一條規(guī)則增加到的位置（即規(guī)則的優(yōu)先級），能夠參考下

面的所列的規(guī)則組合增加多條規(guī)則。

方向:外-＞內(nèi)方向:外-＞內(nèi)方向:外，內(nèi)

增加到位置：1增加到位置：2增加到位置:3

源地址:flD.源地址:/

源端U：any源端口:21源端U：any

目的地址:/目的地址:/目的地址:/

目的端口：any目的端口：any目的端口:any

協(xié)議類型:all協(xié)議類型:tcp協(xié)議類型:all

動作:ACCEPT動作:ACCEPT動作:REJECT

規(guī)則添加成功后，能夠用IE、FTP客戶端工具、ping等進行檢測，以推斷規(guī)則組

合是否有效。

3.將已經(jīng)設置的多條規(guī)則順序打亂，分析不一致次序的規(guī)則組合會產(chǎn)生如何的作用,

并使用IE、FTP客戶端工具、ping等進行驗證。

【實驗思考題】

優(yōu)先級別源地址源端口目的地址目的端口協(xié)議動作

協(xié)議---lep、udp與icinp.any表示所有3種協(xié)議：

源地址、目的地址一地址能夠用IP地址、網(wǎng)絡地址、域名與MAC地址能不一致的方式來表示，其中0.0.0D

表示所有地址：

源端口、目的端M一—不一致的服務對應不一致的端口，要選擇正確的端口才能過濃相應的服務；

動作---ACCEPT與REJECT,決定是否讓一個包通過。

3、狀態(tài)檢測實驗

【實驗目的】

1.掌握防火墻狀態(tài)檢測機制的原理；

2.掌握防火墻狀態(tài)檢測功能的配置方法；

3.懂得網(wǎng)絡連接的各個狀態(tài)的含義；

4.懂得防火墻的狀態(tài)表；

5.懂得Ftp兩種不一致傳輸方式的區(qū)別，與掌握防火墻對Ftp應用的配置。

【實驗環(huán)境及說明】

同實驗一

【預備知識】

I.網(wǎng)絡基礎知識；網(wǎng)絡基本概念，網(wǎng)絡基礎設備，TCP/IP協(xié)議，UDP協(xié)議，1CMP

協(xié)議與ARP協(xié)議等；

2.常用網(wǎng)絡客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使用等；

3.從某主機到某目的網(wǎng)絡阻斷與否的推斷方法；

4.FTP的兩種不一致數(shù)據(jù)傳輸方式的原理；

5.本實驗拓撲圖所示網(wǎng)絡的工作方式，懂得數(shù)據(jù)流通的方向；

6.防火墻實驗系統(tǒng)的基本使用，而且已經(jīng)掌握了包史濾功能的有關實驗。

【實驗內(nèi)容】

在正確配置NAT規(guī)則的前提下（實驗一），實驗以為例，針對FTP

主動與被動數(shù)據(jù)傳輸方式，分別配置普通包過濾規(guī)則與狀態(tài)檢測規(guī)則，通過登錄外網(wǎng)

ftp服務器驗證配置的規(guī)則有效性，體會防火墻狀態(tài)檢測技術的優(yōu)越性，最后分析

TCP/UDP/ICMP三種協(xié)議狀態(tài)信息。具體內(nèi)容如下：

I.設置普通包過濾規(guī)貝J,實現(xiàn)即兩種不一致的數(shù)據(jù)傳輸方式，使用即客戶端工

具FlashFXP檢測規(guī)則是否生效。

2.設置狀態(tài)檢測規(guī)則，實現(xiàn)ftp的兩種不一致數(shù)據(jù)傳輸方式，使用ftp客戶端工具

FlashFXP檢測規(guī)則是否生效。與前面的普通包過濾實驗比較，懂得狀態(tài)檢測機

制的優(yōu)越性。

3.查看防火墻的狀態(tài)表，分析TCP、UDP與ICMP三種協(xié)議的狀態(tài)信息。

【實驗步驟】

第一步：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“普通包過濾“，在打開的頁面

中，假如有任何規(guī)則存在，點擊“刪除所有規(guī)則”后開始新規(guī)則設置，實現(xiàn)與即.

服務器之間的主動與被動數(shù)據(jù)傳輸方式。

1.配置普通包過漉規(guī)則，實現(xiàn)FTP的主動與被動傳輸模式

APORT（主動）模式

1）選擇正確的選項，點擊“增加”后，增加兩條普通包過濾規(guī)則，阻擋所有內(nèi)網(wǎng)到

外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。

規(guī)則添加成功后，打開ftp客戶端，設置ftp客戶端默認的傳輸模式為主動模式,

即PORT。匿名連接lE.,查看FTP客戶端軟件顯示的連接信息。

2）增加兩條普通包過渡規(guī)則，同意ftp操縱連接。可參考如下規(guī)則設置：

方向:內(nèi)，外方向:外-＞內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:flD.

源端U：any源端口:21

目的地址:HD.目的地址:/

目的端口:21目的端口:any

協(xié)議類型：tcp協(xié)議類型：icp

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端，連接flD.,匿名，查看FTP客戶端軟

件顯示的連接信息。

3）增加兩條普通包過渡規(guī)則，同意ftp數(shù)據(jù)連接，可參考如下規(guī)則設置：

方向:內(nèi),外方向:外「內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:

源端口：an、源端口:20

出的地址:ftD.日的地址:/

目的端口:20目的端口：any

協(xié)議類型：icp協(xié)議類型：icp

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端，連接ftD.,匿名，查看FTP客戶端軟

件顯示的連接信息。

＞PASV（被動）模式

1）選擇正確的選項，點擊“增加”后，增加兩條普通包過濾規(guī)則，阻擋所有內(nèi)網(wǎng)到

iFlashFXP軟件，點擊選項-＞參數(shù)設置-＞連接，設置主動模式或者被動模式。

外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。

規(guī)則添加成功后，打開flp客戶端，設置flp客戶端默認的傳輸模式為被動模式，

即PASV。匿名連接fgitu.edu.cn,查看FTP客戶端軟件顯示的連接信息。

2）增加兩條普通包過渡規(guī)則，同意ftp操縱連接。

規(guī)則添加成功后，打開ftp客戶端，連接fS.,匿名，查看FTP客戶端軟

件顯示的連接信息。

3）增加兩條普通包過油規(guī)則，同意ftp數(shù)據(jù)連接。可參考如下規(guī)則設置：

方向:內(nèi)-＞外方向：外-＞內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:Ms血.

*原端H：an、源端口:1024：65535

目的地址:"dsiM.目的，也址:/

目的端口：1024：65535目的端口：a?

協(xié)議類型：tcp協(xié)議類型:tcP

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端，連接,匿名，查看FTP客戶端軟

件顯示的連接信息。

第二步：點擊左側導航欄的“狀態(tài)檢測”，假如有任何規(guī)則存在，點擊“刪除所有規(guī)

則”后開始新規(guī)則設置，實現(xiàn)與ftp.siU服務器之間的主動與被動數(shù)據(jù)傳輸方式。

2.配置狀態(tài)檢測規(guī)則，實現(xiàn)FTP的主動與被動傳輸模式

I）選擇正確的選項，點擊“增加”后，增加兩條狀態(tài)險測規(guī)則，阻擋內(nèi)網(wǎng)到外網(wǎng)及

外網(wǎng)到內(nèi)網(wǎng)的所有TCP協(xié)議、所有狀態(tài)的規(guī)則。可參考如下規(guī)則設置：

方向:內(nèi)，外方向：外，內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口：any源端口：any

目的地址:/目的地址:/

目的端口：any目的端Lhany

協(xié)議類型：tcp協(xié)議類型:tcp

狀態(tài):NEWESTABL1SHED.狀態(tài):NEW.ESTABLISHED.

RELATED,INVALIDRELATED,INVALID

動作:REJECT動作:REJECT

規(guī)則添加成功后，打開即客戶端，設置即客戶端默認的傳輸模式是PASV,即被

動模式，連接ftD.,匿名，查看FTP客戶端軟件顯示的連接信息。然后，打

開ftp客戶端，設置ftp客戶端默認的傳輸模式是PORT,即主動模式,連接flD.,

匿名，查看FTP客戶端軟件顯示的連接信息。

2）增加兩條狀態(tài)檢測規(guī)則，同意訪問內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)目的端口為任意、

狀態(tài)為ESTABLISHED與RELATED的TCP數(shù)據(jù)包。可參考如下規(guī)則設置：

方向:內(nèi)-＞夕卜方向:外-＞內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端匚hany目的端口：a嗚

協(xié)議類型—cp協(xié)議類型：icp

狀態(tài):ESTABLISHED,狀態(tài):ESTABLISHED,

RELATEDRELATED

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開即客戶端，設置即客戶端默認的傳輸模式是PASV,即被

動模式，連接fH.,匿名，查看FTP客戶端軟件顯示的連接信息。然后，打

開ftp客戶端，設置ftp客戶端默認的傳輸模式是PORT,即生動模式,連接.

匿名，查看FTP客戶端軟件顯示的連接信息。

3）增加一條狀態(tài)檢測規(guī)則，同意內(nèi)網(wǎng)訪問外網(wǎng)目的端口為21、狀態(tài)為NEW、

ESTABLISHED與RELATED的TCP數(shù)據(jù)包。可參考如下規(guī)則設置：

方向：“內(nèi)網(wǎng)?＞外網(wǎng)'

增加到位置:1

協(xié)議：lep

源地址:IP地址,/

目的地址:

目的端口：21

NEW,ESTABLISHED,RELATED

動作:ACCEPT.

規(guī)則添加成功后，打開即客戶端，設置即客戶端默認的傳輸模式是PASV,即被

動模式，連接,匿名，查看連接信息。然后，打開ftp客戶端，設置ftp

客戶端默認的傳輸模式是PORT,即主動模式，連接,匿名，查看連接信

息。

第三步：點擊左邊導航欄的“狀態(tài)檢測”，在右邊打開的頁面中選擇“狀態(tài)表”，在擰

開的頁面中杳看防火墻系統(tǒng)所有連接的狀態(tài)并進行分析?。

3.查看分析防火墻的狀態(tài)表

點擊左邊導航欄的“狀態(tài)檢測”，在右邊打開的頁面中選擇“狀態(tài)表”，在打開的頁面

中查看當前防火墻系統(tǒng)的所有連接的狀態(tài)。分別選取一條TCP連接，UDP連接，ICMP

連接，分析各個參數(shù)的含義；并分析當前所有連接，熟悉每條連接相應的打開程序，

4說明：假如節(jié)前沒有ICMP連接，按如下步驟：

（3）刷新狀態(tài)表頁面，即可看到ICMP連接狀態(tài)。

及其用途。

【實驗思考題】

分別用普通包過濾與狀態(tài)檢測設置規(guī)則，使ftp客戶端僅僅可下列載站點

:〃shuguang:shuguang(g)2:2121的文件。

4、應用代理實驗

【實驗目的】

1.熟悉防火墻代理級網(wǎng)關的工作原理；

2.掌握配置防火墻代理級網(wǎng)關的方法。

【實驗環(huán)境及說明】

同實驗一。

【預備知識】

I.常用網(wǎng)絡客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，Telnet命令的使用等;

2.明白本實驗拓撲圖所示網(wǎng)絡的工作方式，懂得數(shù)據(jù)流通的方向；

【實驗內(nèi)容】

1.設置FTP代理規(guī)則，配置FlashPXP的FTP代理，使用PlashFXP訪問FTP服

務器以測試規(guī)則是否生效；

2.設置TELNET代理規(guī)則，使用開始菜單“運行”命令行工具cmd.exe,輸入代理

命令lelnel542323,再測試規(guī)則是否生效。

【實驗步驟】

1)IE菜單中的工具一＞Internct選項，彈出”:ntcrnct屬性”對話框；

2)點擊“連接”標簽，按“局域網(wǎng)設置”，彈出“局域網(wǎng)(LAN)設置”對話框；

3)在“代理服務器”中勾選“使用代理服務器”，并輸入防火墻IP地址及端

U：54:3128,選擇“關于本地地址不使用代理服務器”，點擊“高

級”按鈕，進入“代理服務器設置”頁面,在“例外”欄填入54：

4)依次按下“確定”退出設置頁面；建議每次實驗后清空歷史紀錄。

插入位置:1插入位置:1

源地址:*源地址:*

動作:deny動作:deny

插入位置:1插入位置:1

源地址:*源地址:*

動作:allow動作:allow

先添加普通包過濾規(guī)則:

方向：“外網(wǎng)->內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：any

源地址：IP地址,/

源端口：disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址:IP地址,/

U的端口：disabled（由于協(xié)議選擇了any,此處不用選擇）

動作:REJECT.

插入位置：1

協(xié)議：any

源地址：*

U的地址:*

動作：allow。

（二）FTP代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“FTP代理”，在打開

的頁面中，假如有任何規(guī)則存在，將規(guī)則刪除后再設置新規(guī)則。打開FTP客戶端

FlashFXP,配置FTP代理。

1.設置FlashFTP的FTP代理：

1）FlashFXP莢單中的“Options"->“Prefbrences”，在彈出的“Configure

FlashFXP”對話框中選擇“Connection”子項，點擊“Proxy”，出現(xiàn)代理設置

對話框；

2）點擊“Add”按鈕，在彈出的"AddProxyServerProfile”中依次輸入：

Name：域名

Type：Userftp-user@ftp-host:ftp-port

Host：54Port：2121

User及Password為空,

3）依次按下“OK”按鈕，退出即可。

2.測試FTP代理的默認規(guī)則：

打開FlashFTP,在地址欄中填入或者ftD2.，觀察能否連接,

說明原因；

3.配置FTP代理規(guī)則，驗證規(guī)則有效性

1）以教師分配的用戶名與密碼進入實驗系統(tǒng)，點擊左側導航條的“FTP代

理”鏈接，顯示“FTP應用代理規(guī)則表”頁面，點擊“增加一條新規(guī)則”后，

增加一條FTP代理同意規(guī)則，同意任意源地址到任意目的地址的訪問。

再次連接上述FTP站點，觀察能否訪問。

插入位置：1

源地址:*

目的地址:30

動作:deny

插入位置：1

源地址:*

日的川1比:：30

動作:allow

規(guī)則添加成功后，打開flashFXP,訪問與,觀察能

否訪問；

2）結合普通包過濾規(guī)則，進一步加深對FTP代理作用的懂得。清空普通

包過濾與FTP代理規(guī)則，分別添加一條普通包過濾拒絕所有數(shù)據(jù)包規(guī)則

與條FTP代理同意規(guī)則，可參考如下規(guī)則設置：

先添加普通包過濾規(guī)則：

方向：“外網(wǎng)->內(nèi)網(wǎng)”

增加到位置：1

協(xié)議:any

源地址：IP地址,/

源端口：disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址:IP地址,/

目的端口：disabled（由丁協(xié)議選擇J'any,此處不用選擇）

動作:REJECT.

取消flashFXP的FTP代理配置，連接1E.站點,觀察能否訪問。

再添加FTP代理規(guī)則：

插入位置:1

協(xié)議：any

源地址:*

目的地址:*

動作:allowo

（三）Telnet代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“Telnet代理“，在

打開的頁面中，假如有任何規(guī)則存在，將規(guī)則刪除后再設置新規(guī)則。

1.測試Telnet代理的默認規(guī)則：

打開“開始”菜單的“運行”命令行工具cmd.exe,先輸入代理命令telnet54

2323,再輸入命令lelnet,觀察能否連接，說明原因。

2.配置Telnet代理規(guī)則，驗證規(guī)則有效性：

1）以教師分配的用戶名與密碼進入實驗系統(tǒng)，點擊實驗系統(tǒng)左側導航條的

“Telnet代理”鏈接，顯示“TELNET應用代理規(guī)則表”頁面，點擊“增加一

條新規(guī)則”后，增加一條Telnet代理同意規(guī)則，同意任意源地址到任意目

的地址的訪問。使用命令行工具cmd.exe,先輸入代理命令telnet

542323>再訪問,觀察能否訪問,

2）按“增加一條新規(guī)則”按鈕，增加一條Telnet代理拒絕規(guī)則，拒絕訪問

（IP地址：6H，可參考如下規(guī)則設置:

插入位置：I

源地址:*

日的地址:202,120.58.161

動作:deny

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet

542323,再訪問,觀察能否訪問。

3）清空規(guī)則，分別添加一條Telnet代理拒絕規(guī)則，拒絕訪問

（IP地址：6條Tcincl代理同意規(guī)則，同意訪問

（IP地址：6D河參考如下規(guī)則設置：

插入位置:1插入位置:1

源地址:*源地址:*

動作:deny動作:allow

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet

542323,再訪問,觀察能否訪問，說明原因。

4）結合普通包過濾規(guī)則，講一步加深對TELNET代理作用的懂得。清空

普通包過濾與TELNET代理規(guī)則，分別添加一條普通包過濾拒絕所有數(shù)

據(jù)包規(guī)則與一條TELNET代理同意規(guī)則，可參考如下規(guī)則設置：

先添加普通包過濾規(guī)則：

方向：“外網(wǎng)〉內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：an、

源地址：IP地址,/

WZ7..disabled（由于協(xié)議選擇了any,此處不用選擇）

目的士也址:IP地址,/

目的端口：disabled（由于協(xié)議選擇了an、,此處不用選擇）

動作:REJECT.

規(guī)則添加成功后，使用命令行工具cmd.exe,輸入命令telnet,訪問

,觀察能否訪問。

再添力UTELNET代理規(guī)則：

插入位置：1

協(xié)議：any

源地址:*

目的地址:*

動作：allow。

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet54

2323,冉訪問,觀察能否訪問，說明原因。

5、綜合實驗

【實驗目的】

1.熟悉企業(yè)防火墻的通常作用。

2.學會靈活運用防火墻規(guī)則設置滿足企業(yè)需求。

【實驗環(huán)境及說明】

同實驗一、二、三

【預備知識】

1.熟悉基本的企業(yè)網(wǎng)絡拓撲。

2.熟悉ftp服務被動模式原理與有關代理設置。

3.懂得telnet服務工作原理。

4.熟悉QQ工作原理

【實驗內(nèi)容】

某企業(yè)需要在防火墻上設置如下規(guī)則以滿足企業(yè)需要：

1.通過設置防火墻規(guī)貝J設置正確的NAT規(guī)則

2.通過設置防火墻規(guī)貝J將包過濾規(guī)則的默認動作為拒絕

3.通過設置防火墻規(guī)則打開內(nèi)網(wǎng)到外網(wǎng)，DMZ到外網(wǎng)的DNS服務

4.通過設置防火墻規(guī)則同意所有的客戶端以被動模式訪問外網(wǎng)的FTP服務。

5.通過設置防火墻規(guī)貝J同意內(nèi)網(wǎng)用戶訪問DMZ區(qū)中IP地址為與所

有外網(wǎng)的Telnet服務。

6.通過設置防火墻規(guī)貝］同意內(nèi)網(wǎng)用戶使用QQ服務。

【實驗步驟】

1.通過設置正確的NAT規(guī)則完成策略1。

2.通過設置正確的普通包過濾與狀態(tài)檢測完成策略2到策略6的。

6、事件審計實驗

【實驗目的】

通過實驗，熟悉防火墻口志的常見格式.學會根據(jù)口志，有針對性的檢驗規(guī)則,推斷規(guī)

則是否生效.掌握常見服務所用的協(xié)議及其端U.加深關于tcp等協(xié)議數(shù)據(jù)報文的懂得.加

深對網(wǎng)絡通信過程的懂得。

【實驗環(huán)境及說明】

1.本實驗的網(wǎng)絡拓撲圖如下：

DMZ區(qū)；；實驗室區(qū)域網(wǎng)

WebJH務器:建"狀況中DMZ會配置里務?來將於足實驗功能.

FTPK務■:如果防火?實險菜級?務?是在實”區(qū)域網(wǎng)和防火地區(qū)就網(wǎng)邊界，用須在在實毆宣區(qū)域同內(nèi)地lOTTP服務用來做FTP代理實驗.

如果防火墻實毆系藐屋務外在實險宣區(qū)域網(wǎng)和外同邊界，則不需鬟*IDFTP屋務.

2.實驗小組的機器要求將網(wǎng)關設置為防火墻主機與內(nèi)網(wǎng)的接口網(wǎng)卡IP地址：

54（次地址可由老師事先指定）。

3.實驗小組機器要求有WEB瀏覽器：IE或者者其他；要求有Ftp客戶端：CuteFtp.

LcapFtp.FlashFXP或者者其他。

【預備知識】

1.計算機網(wǎng)絡的基礎知識，方向、協(xié)議、端口、地址等概念與各常用服務所對應的協(xié)

議、端口；

2.常用網(wǎng)絡客戶端的操作：IE的使用，F(xiàn)lp客戶端的使用，ping命令的使用等，并通

過這些操作，推斷防火墻規(guī)則是否生效；

3.tcp/ip協(xié)議懂得，三次握手。

【實驗內(nèi)容】

1.在各個實驗系統(tǒng)設置好規(guī)則后，通過一些常見的網(wǎng)絡客戶端操作驗證已配置的規(guī)則

是否生效.

2.網(wǎng)絡客戶端操作結束后，查看有關的口志，看看是否與自己的有關操作一致.結合規(guī)則,

看是否與預期的效果一致.

【實驗步驟】

1.點擊左側導航欄的某一個實驗汝口“普通包過濾”

2.在右側的界面中選擇一個方向進入。此處共有外網(wǎng)<->內(nèi)網(wǎng)、外網(wǎng)<->DMZ與內(nèi)網(wǎng)

<->DMZ3個方向可供選擇。

3.根據(jù)實驗一的具體要求設置好規(guī)則后，利用ping,或者者ie做某個網(wǎng)絡客戶端操作.

4.點擊選擇左側導航欄的”事件審計”選項

5.在右側界面上選擇”包過濾及其狀態(tài)檢測日志”選項，進入普通包過濾H志查詢頁面.

6.直接點擊“查詢”按鈕，顯示該學生所有的普通包過濾日志

7.在“源地址”、“源端口”、“目的地址”、“目的端口”、“協(xié)議”中分別填入需查詢的條

件，再點擊“查詢”按鈕，則可顯示符合查詢條件的日志信息。

8.日志查詢支持模糊查詢，如在“源地址”中輸入：202,點擊查詢后，顯示所有源地

址中包含202的日志。

【實驗報告要求】

由于本實驗屬于輔助性的實驗，涉及到每一個具體的實驗系統(tǒng)。因此本實驗不另外

作。而是滲透到每一個具體的實驗系統(tǒng)當中。將最后的日志記錄在每一個子實驗當中.

根據(jù)每次自己所設置的規(guī)則然后利用某些網(wǎng)絡客戶端驗證規(guī)則，最后選擇查看有關H志.將H志

的有關選項記錄下來.特別是有關自己規(guī)則的部分。

二、入侵檢測實驗系統(tǒng)實驗指導書

1、特征匹配檢測實驗

2、完整性檢測實驗

3、網(wǎng)絡流量分析實驗

4、誤警分析實驗

1、特征匹配檢測實驗

【實驗目的】

1.懂得NIDS的特殊檢測原理；

2.熟悉網(wǎng)絡特殊事件；

3.懂得入侵檢測系統(tǒng)對各類協(xié)議“攻擊”事件的檢測原理;

4.熟悉入侵規(guī)則的配置方法。

【實驗環(huán)境】

1.本實驗的網(wǎng)絡拓撲圖如圖1-1所示:

學生機1學生機2學生機3學生機N

圖1-1

網(wǎng)絡拓撲圖

2.學生機與中心服務器通過hub相連。為保證各學生機ip不相互沖突，學生能夠

用學號的后3位來設置ip地址，比如某學生的學號后3位為001,則可設置其ip

為192.168.1.1,中心服務器地址為<IDServerIPAddress〉。

3.學生機安裝Windows操作系統(tǒng)并安裝有DOS攻擊工具。要求有WEB瀏覽器:

IE或者者其他；

【實驗預備知識點】

木實驗需要如卜.的預備知識:

1.常用網(wǎng)絡客戶端的操作：IE的使用，telnet命令的使用，ping命令的使用；

2.入侵檢測的基本概念及入侵檢測系統(tǒng)的基本構成，如數(shù)據(jù)源，入侵分析，響應處理

等；

3.計算機網(wǎng)絡的基礎知識，如方向、協(xié)議、端口、地址等概念；

4.常用網(wǎng)絡協(xié)議（如tcp,udp,icmp）的各字段含義。

【實驗內(nèi)容】

本實驗需要完成的內(nèi)容如下：

1.配置入侵檢測規(guī)則；

2.通過一些常用的網(wǎng)絡客戶端操作，推斷已配置的規(guī)則是否有效，并查看相應的入侵

事件，對比不一致規(guī)則下，產(chǎn)生的不一致效果。

【實驗步驟】

請選擇實驗類型

NIDS檢測實驗

多協(xié)議檢測實驗

圖1-2特征匹配實驗

*NIDS檢測實驗部分

1.點擊“NIDS檢測實驗”，進入NIDS檢測實驗界面，如圖1-3所示。

NIDS檢測實驗

設置系統(tǒng)檢測項目

查看系統(tǒng)的檢測事件

返回

圖1-3NIDS檢測實驗

2.設置系統(tǒng)檢測規(guī)則

在界面中點擊“設置系統(tǒng)檢測項目“，進入當前系統(tǒng)檢測項目表頁面。在此，可查看

當前系統(tǒng)對事件的檢測情況及事件特殊判定，如圖1-4所示。

當前系統(tǒng)檢測項目表

當前系統(tǒng)封下列事件的桂測狀況是?

表格中伏石欄顯示了系統(tǒng)對大包PR評件與t“n”般務第事件的檢測狀況，修改系脫檢硼t況可技以下步驟進行：

I點擊相較事件的“修改樂擾益秘狀況”復選報

2..<5$“峰改所選設2T及0，即可修改系統(tǒng)對當時手件的檢測伏宓：

3.若修改伏方懦或，頁面會出現(xiàn)信誤四示.

返回

圖1-4檢測項目表

比如，系統(tǒng)當前對大包ping事件檢測，Telnet服務器事件進行檢測。若要使系統(tǒng)的

檢測規(guī)則變?yōu)椋簩Υ蟀黳ing事件不做檢測，但仍對Telnel服務器事件進行檢測，則按

下列步驟進行：先點擊“大包ping事件”旁的復選框，再點擊“修改所選設置”按鈕，出現(xiàn)

設置規(guī)則成功頁面，最后點擊“返回”，可重新回到當前系統(tǒng)檢測事件表頁面。如今，可

看出系統(tǒng)對大包ping事件與Tclnc//////t服務器事件進行檢測。重復次步驟可設置不一致

的檢測規(guī)則0

3.啟動入侵事件

啟動大包ping事件：點擊電腦左下方的“開始”按鈕，再點擊“運行”，在

輸入框中輸入大包Ping命令，如：ping30-11200o

啟動Telnet服務器事件：點擊