信息安全實(shí)驗(yàn)手冊

信息安全實(shí)驗(yàn)手冊

實(shí)驗(yàn)指導(dǎo)書

上海交通大學(xué)信息安全工程學(xué)院

2008年

目錄

一、防火墻實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書.......................................................1

1、NAT轉(zhuǎn)換實(shí)驗(yàn)....................................................................2

2、普通包過濾實(shí)驗(yàn)..................................................................4

3、狀態(tài)檢測實(shí)驗(yàn)....................................................................7

4、應(yīng)用代理實(shí)驗(yàn)...................................................................12

5、綜合實(shí)驗(yàn)........................................................................17

6、事件審計(jì)實(shí)驗(yàn)...................................................................18

二、入侵檢測實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書....................................................20

1、特征匹配檢測實(shí)驗(yàn)...............................................................21

2、完整性檢測實(shí)驗(yàn).................................................................31

3、網(wǎng)絡(luò)流量分析實(shí)驗(yàn)...............................................................35

4、誤警分析實(shí)驗(yàn)...................................................................40

三、安全審計(jì)實(shí)驗(yàn)系統(tǒng)指導(dǎo)書........................................................45

1、文件審計(jì)實(shí)驗(yàn)...................................................................46

2、網(wǎng)絡(luò)審計(jì)實(shí)驗(yàn)...................................................................51

3、打印審計(jì)實(shí)驗(yàn)...................................................................55

4、日志監(jiān)測實(shí)驗(yàn)...................................................................59

5、撥號審計(jì)實(shí)驗(yàn)...................................................................62

6、審計(jì)跟蹤實(shí)驗(yàn)...................................................................66

7、主機(jī)監(jiān)管實(shí)驗(yàn)...................................................................71

四、病毒實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書........................................................74

1、網(wǎng)絡(luò)炸彈實(shí)驗(yàn)...................................................................75

2、萬花谷病毒實(shí)驗(yàn).................................................................77

3、新歡樂時光病毒實(shí)驗(yàn)..............................................................79

4、美麗莎病毒實(shí)驗(yàn).................................................................84

5、NO.1病毒實(shí)驗(yàn)...................................................................88

6、PE病毒實(shí)驗(yàn).....................................................................9()

五、PKI系統(tǒng)實(shí)驗(yàn)指導(dǎo)書............................................................95

1、證書申請實(shí)驗(yàn)...................................................................96

2、用戶申請管理實(shí)驗(yàn)...............................................................98

3、證書管埋實(shí)險(xiǎn)..................................................................101

4、信任管理實(shí)驗(yàn)..................................................................104

5、交叉認(rèn)證實(shí)驗(yàn)..................................................................107

6、證書應(yīng)用實(shí)驗(yàn)...................................................................110

7、SSL應(yīng)用實(shí)驗(yàn)...................................................................113

六、攻防實(shí)驗(yàn)系統(tǒng)指導(dǎo)書............................................................118

1、RPCDCOM堆棧溢出實(shí)驗(yàn)........................................................119

2、端口掃描實(shí)驗(yàn)..................................................................124

3、漏洞掃描實(shí)驗(yàn)..................................................................129

4、UNIX口令實(shí)驗(yàn)破解..............................................................134

5、WINDOWS口令破解實(shí)驗(yàn)..........................................................137

6、遠(yuǎn)程操縱實(shí)驗(yàn)..................................................................144

7、灰鴿子遠(yuǎn)程操縱................................................................150

七、密碼實(shí)驗(yàn)系統(tǒng)指導(dǎo)書............................................................156

1、DES單步加密實(shí)驗(yàn)..............................................................157

2.DES算法實(shí)驗(yàn).................................................................159

3、3DES算法實(shí)驗(yàn).................................................................161

4、AES算法實(shí)驗(yàn)..................................................................163

5、MD5算法實(shí)驗(yàn)..................................................................165

6、SHA-1算法實(shí)驗(yàn)................................................................168

7、RSA算法實(shí)驗(yàn)..................................................................170

8、DSA數(shù)字簽名實(shí)驗(yàn)..............................................................172

八、IPSECVPN實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書................................................174

1、VPN安全性實(shí)驗(yàn)................................................................175

2、VPNIKE認(rèn)證實(shí)驗(yàn)..............................................................181

3、VPN模式比較實(shí)驗(yàn)..............................................................186

九、多級安全訪問操縱系統(tǒng)實(shí)驗(yàn)指導(dǎo)書...............................................192

實(shí)驗(yàn)環(huán)境介紹......................................................................193

1、PMI試驗(yàn).......................................................................194

2、XACML系統(tǒng)實(shí)驗(yàn)...............................................................200

3、模型實(shí)驗(yàn)......................................................................205

4、RBAC系統(tǒng)實(shí)驗(yàn).................................................................209

一、防火墻實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書

1、NAT轉(zhuǎn)換實(shí)驗(yàn)

2、普通包過濾實(shí)驗(yàn)

3、狀態(tài)檢測實(shí)驗(yàn)

4、應(yīng)用代理實(shí)驗(yàn)

5、綜合實(shí)驗(yàn)

6、事件審計(jì)實(shí)驗(yàn)

1、NAT轉(zhuǎn)換實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

通過實(shí)驗(yàn)，深刻懂得網(wǎng)絡(luò)地址分段、子網(wǎng)掩碼與端口的概念與原理。熟悉NAT的

基本概念、原理及其三種類型，即靜態(tài)NAT(StaticNAT)、動態(tài)地址NAT(PoolcdNAT)、

網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-LevelNAT)。同時，掌握在防火墻實(shí)驗(yàn)系統(tǒng)上配置NAT

的方法，學(xué)會推斷規(guī)則是否生效。

【實(shí)驗(yàn)環(huán)境及說明】

I.本實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)鋱D如卜。

Webll務(wù)?:理麴狀況中DMZ會配置蜃務(wù)?未啟清足實(shí)9功能.

FTPJR務(wù)叁:如果防火?實(shí)毆系級■務(wù)號是在實(shí)險(xiǎn)*區(qū)域網(wǎng)和防火堆區(qū)城網(wǎng)邊界，購怎在怎在知1［區(qū)域同內(nèi)增加一FTP量務(wù)用來做FTP代理實(shí)9?

如果防火墻實(shí)驗(yàn)不蝴R務(wù)■在實(shí)段1［區(qū)旗網(wǎng)和外網(wǎng)邊界，制不IR1增加FTPJK務(wù).

2.實(shí)驗(yàn)小組的機(jī)器要求將網(wǎng)關(guān)設(shè)置為防火墻主機(jī)與內(nèi)網(wǎng)的接口網(wǎng)卡IP地址：

54(次地址可由老師事先指定)。

3.實(shí)驗(yàn)小組機(jī)器要求有WEB瀏覽器：IE或者者其他。

4.配置結(jié)果測試頁面通過NAT轉(zhuǎn)換實(shí)臉進(jìn)入頁面中的“驗(yàn)證NAT目標(biāo)地址”提供

的鏈接能夠得到。NAT規(guī)則配置結(jié)束后，新打開瀏覽器窗口，通過“驗(yàn)證NAT

目標(biāo)地址”提供的地址，進(jìn)入測試結(jié)果頁面，將顯示地址轉(zhuǎn)換后的目的地址。

【預(yù)備知識】

I.NAT基本概念、原理及其類型；

2.常用網(wǎng)絡(luò)客戶端的操作：1E的使用，并通過操作，推斷防火墻規(guī)則是否生效；

3.熟悉常用的無法在互聯(lián)網(wǎng)上使用的保留IP地址（如：55,

?55,-55）。深刻懂得網(wǎng)絡(luò)地址

分段、子網(wǎng)掩碼與端口的概念與原理。

【實(shí)驗(yàn)內(nèi)容】

1.在防火墻實(shí)驗(yàn)系統(tǒng)匕配置NAT的規(guī)則；

2.通過一些常用的網(wǎng)絡(luò)客戶端操作，推斷已配置的規(guī)則是否有效，對比不一致規(guī)

則下，產(chǎn)生的不一致效果。

【實(shí)驗(yàn)步驟】

在實(shí)驗(yàn)前應(yīng)先刪除防火濡原有的所有規(guī)則。

1）登陸防火墻實(shí)驗(yàn)系統(tǒng)后，點(diǎn)擊左側(cè)導(dǎo)航欄的“NAT轉(zhuǎn)換”，進(jìn)入“NAT的規(guī)則配置”

頁面。

2）在打開的頁面中，假如有任何規(guī)則存在，點(diǎn)擊“刪除所有規(guī)則”；

3）點(diǎn)擊“增加一條規(guī)則”，進(jìn)入規(guī)則配置的界面。下面對此界面中的一些選項(xiàng)作說

明：源地址、目的地址——地址用IP地址來表示。

4）選擇源地址：IP地址，5、目的地址,比如：IP地址,00.

目的端口：ethO。按“增力IT后,就增加了一條NAT規(guī)則，這條規(guī)則將內(nèi)部地址5

映射為外部地址00o

增加NAT規(guī)則后，能夠用瀏覽器在規(guī)則添加前后進(jìn)行檢測（新打開窗口，輸入法

入頁面中的“驗(yàn)證NAT口標(biāo)地址”），以推斷規(guī)則是否有效與起到了什么效果。詳見參考

答案。

5）當(dāng)完成配置規(guī)則與檢測后，能夠重復(fù)步驟2）到步驟4）,來配置不一致的規(guī)則。

2、普通包過濾實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

通過實(shí)驗(yàn)，熟悉普通包過濾的基本概念與原理，如方向、協(xié)議、端口、源地址、目

的地址等等，掌握常用服務(wù)所對應(yīng)的協(xié)議與端口。同時，掌握在防火墻實(shí)驗(yàn)系統(tǒng)上配置

普通包過濾型防火墻的方法，學(xué)會推斷規(guī)則是否生效。

【實(shí)驗(yàn)環(huán)境及說明】

同實(shí)驗(yàn)一

【預(yù)備知識】

1.計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)知識，方向、協(xié)議、端口、地址等概念與各常用服務(wù)所對應(yīng)

的協(xié)議、端口；

2.常用網(wǎng)絡(luò)客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使用等，

并通過這些操作，推斷防火墻規(guī)則是否生效；

3.包過濾型防火墻的基本概念，懂得各規(guī)則的意義。

【實(shí)驗(yàn)內(nèi)容】

在正確配置NAT規(guī)則的前提下（實(shí)驗(yàn)一），實(shí)驗(yàn)首先配置普通包過濾規(guī)則，然后

通過登錄外網(wǎng)web頁面、登錄外網(wǎng)ftp服務(wù)器等常用網(wǎng)絡(luò)客戶端操作推斷配置的規(guī)則是

否生效，具體內(nèi)容如下：

1.設(shè)置一條規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包。使用ping命令檢測規(guī)則是否生

效。

2.將已經(jīng)設(shè)置的多條規(guī)則順序打亂，分析不一致次序的規(guī)則組合會產(chǎn)生如何的作

用，然后通過網(wǎng)絡(luò)客戶端操作檢驗(yàn)規(guī)則組合產(chǎn)生的效果。

【實(shí)驗(yàn)步驟】

第一步：登陸防火墻實(shí)驗(yàn)系統(tǒng)后，點(diǎn)擊左側(cè)導(dǎo)航欄的“普通包過濾”，在右側(cè)的界面

中選擇一個方向進(jìn)入。此處共有外網(wǎng)＜-＞內(nèi)網(wǎng)、外網(wǎng)v-＞DMZ與內(nèi)網(wǎng)＜-＞DMZ3個方向?可

供選擇。

第二步：在打開的頁面中，假如有任何規(guī)則存在，點(diǎn)擊“刪除所有規(guī)則”。

第三步：點(diǎn)擊“增加一條規(guī)則”，進(jìn)入規(guī)則配置界面2,配置規(guī)則。假如對正在配置

?比如，選擇“外網(wǎng)＜-＞內(nèi)網(wǎng)”，就能配苴內(nèi)網(wǎng)與外網(wǎng)之間的普通包過謔規(guī)則。

2此界面中能夠選擇的項(xiàng)包含：

方向——對什么方向上的包進(jìn)行過灌；

增加到位置一一將新增的規(guī)則放到指定的位置，越靠前優(yōu)先級越爵（不一致規(guī)則順序可能產(chǎn)生不一致結(jié)果）:

的規(guī)則小滿意，能夠點(diǎn)擊'唾置”，將配置貝面恢復(fù)到默認(rèn)的狀態(tài)。

1.設(shè)置一條規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包并檢測規(guī)則有效性。

選擇正確的選項(xiàng)，點(diǎn)擊“增加''后，增加一條普通包過濾規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)

的數(shù)據(jù)包。比如：

方向：“外網(wǎng)，內(nèi)網(wǎng)”

增加到位置:1

協(xié)議：any

源地址：IP地址,/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：1P地址,/

目的端口：disabled（由于協(xié)議選擇了an、,此處不用選擇）

動作:REJECT。

規(guī)則添加成功后，能夠用各類客戶端工具，比如IE、FTP客戶端工具、ping等達(dá)

行檢測，以推斷規(guī)則是否有效與起到了什么效果。

多條規(guī)則設(shè)置務(wù)必注意每一條規(guī)則增加到的位置（即規(guī)則的優(yōu)先級），能夠參考下

面的所列的規(guī)則組合增加多條規(guī)則。

方向:外-＞內(nèi)方向:外-＞內(nèi)方向:外，內(nèi)

增加到位置：1增加到位置：2增加到位置:3

源地址:flD.源地址:/

源端U：any源端口:21源端U：any

目的地址:/目的地址:/目的地址:/

目的端口：any目的端口：any目的端口:any

協(xié)議類型:all協(xié)議類型:tcp協(xié)議類型:all

動作:ACCEPT動作:ACCEPT動作:REJECT

規(guī)則添加成功后，能夠用IE、FTP客戶端工具、ping等進(jìn)行檢測，以推斷規(guī)則組

合是否有效。

3.將已經(jīng)設(shè)置的多條規(guī)則順序打亂，分析不一致次序的規(guī)則組合會產(chǎn)生如何的作用,

并使用IE、FTP客戶端工具、ping等進(jìn)行驗(yàn)證。

【實(shí)驗(yàn)思考題】

優(yōu)先級別源地址源端口目的地址目的端口協(xié)議動作

協(xié)議---lep、udp與icinp.any表示所有3種協(xié)議：

源地址、目的地址一地址能夠用IP地址、網(wǎng)絡(luò)地址、域名與MAC地址能不一致的方式來表示，其中0.0.0D

表示所有地址：

源端口、目的端M一—不一致的服務(wù)對應(yīng)不一致的端口，要選擇正確的端口才能過濃相應(yīng)的服務(wù)；

動作---ACCEPT與REJECT,決定是否讓一個包通過。

3、狀態(tài)檢測實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

1.掌握防火墻狀態(tài)檢測機(jī)制的原理；

2.掌握防火墻狀態(tài)檢測功能的配置方法；

3.懂得網(wǎng)絡(luò)連接的各個狀態(tài)的含義；

4.懂得防火墻的狀態(tài)表；

5.懂得Ftp兩種不一致傳輸方式的區(qū)別，與掌握防火墻對Ftp應(yīng)用的配置。

【實(shí)驗(yàn)環(huán)境及說明】

同實(shí)驗(yàn)一

【預(yù)備知識】

I.網(wǎng)絡(luò)基礎(chǔ)知識；網(wǎng)絡(luò)基本概念，網(wǎng)絡(luò)基礎(chǔ)設(shè)備，TCP/IP協(xié)議，UDP協(xié)議，1CMP

協(xié)議與ARP協(xié)議等；

2.常用網(wǎng)絡(luò)客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使用等；

3.從某主機(jī)到某目的網(wǎng)絡(luò)阻斷與否的推斷方法；

4.FTP的兩種不一致數(shù)據(jù)傳輸方式的原理；

5.本實(shí)驗(yàn)拓?fù)鋱D所示網(wǎng)絡(luò)的工作方式，懂得數(shù)據(jù)流通的方向；

6.防火墻實(shí)驗(yàn)系統(tǒng)的基本使用，而且已經(jīng)掌握了包史濾功能的有關(guān)實(shí)驗(yàn)。

【實(shí)驗(yàn)內(nèi)容】

在正確配置NAT規(guī)則的前提下（實(shí)驗(yàn)一），實(shí)驗(yàn)以為例，針對FTP

主動與被動數(shù)據(jù)傳輸方式，分別配置普通包過濾規(guī)則與狀態(tài)檢測規(guī)則，通過登錄外網(wǎng)

ftp服務(wù)器驗(yàn)證配置的規(guī)則有效性，體會防火墻狀態(tài)檢測技術(shù)的優(yōu)越性，最后分析

TCP/UDP/ICMP三種協(xié)議狀態(tài)信息。具體內(nèi)容如下：

I.設(shè)置普通包過濾規(guī)貝J,實(shí)現(xiàn)即兩種不一致的數(shù)據(jù)傳輸方式，使用即客戶端工

具FlashFXP檢測規(guī)則是否生效。

2.設(shè)置狀態(tài)檢測規(guī)則，實(shí)現(xiàn)ftp的兩種不一致數(shù)據(jù)傳輸方式，使用ftp客戶端工具

FlashFXP檢測規(guī)則是否生效。與前面的普通包過濾實(shí)驗(yàn)比較，懂得狀態(tài)檢測機(jī)

制的優(yōu)越性。

3.查看防火墻的狀態(tài)表，分析TCP、UDP與ICMP三種協(xié)議的狀態(tài)信息。

【實(shí)驗(yàn)步驟】

第一步：登陸防火墻實(shí)驗(yàn)系統(tǒng)后，點(diǎn)擊左側(cè)導(dǎo)航欄的“普通包過濾“，在打開的頁面

中，假如有任何規(guī)則存在，點(diǎn)擊“刪除所有規(guī)則”后開始新規(guī)則設(shè)置，實(shí)現(xiàn)與即.

服務(wù)器之間的主動與被動數(shù)據(jù)傳輸方式。

1.配置普通包過漉規(guī)則，實(shí)現(xiàn)FTP的主動與被動傳輸模式

APORT（主動）模式

1）選擇正確的選項(xiàng)，點(diǎn)擊“增加”后，增加兩條普通包過濾規(guī)則，阻擋所有內(nèi)網(wǎng)到

外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。

規(guī)則添加成功后，打開ftp客戶端，設(shè)置ftp客戶端默認(rèn)的傳輸模式為主動模式,

即PORT。匿名連接lE.,查看FTP客戶端軟件顯示的連接信息。

2）增加兩條普通包過渡規(guī)則，同意ftp操縱連接?？蓞⒖既缦乱?guī)則設(shè)置：

方向:內(nèi)，外方向:外-＞內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:flD.

源端U：any源端口:21

目的地址:HD.目的地址:/

目的端口:21目的端口:any

協(xié)議類型：tcp協(xié)議類型：icp

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端，連接flD.,匿名，查看FTP客戶端軟

件顯示的連接信息。

3）增加兩條普通包過渡規(guī)則，同意ftp數(shù)據(jù)連接，可參考如下規(guī)則設(shè)置：

方向:內(nèi),外方向:外「內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:

源端口：an、源端口:20

出的地址:ftD.日的地址:/

目的端口:20目的端口：any

協(xié)議類型：icp協(xié)議類型：icp

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端，連接ftD.,匿名，查看FTP客戶端軟

件顯示的連接信息。

＞PASV（被動）模式

1）選擇正確的選項(xiàng)，點(diǎn)擊“增加”后，增加兩條普通包過濾規(guī)則，阻擋所有內(nèi)網(wǎng)到

iFlashFXP軟件，點(diǎn)擊選項(xiàng)-＞參數(shù)設(shè)置-＞連接，設(shè)置主動模式或者被動模式。

外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。

規(guī)則添加成功后，打開flp客戶端，設(shè)置flp客戶端默認(rèn)的傳輸模式為被動模式，

即PASV。匿名連接fgitu.edu.cn,查看FTP客戶端軟件顯示的連接信息。

2）增加兩條普通包過渡規(guī)則，同意ftp操縱連接。

規(guī)則添加成功后，打開ftp客戶端，連接fS.,匿名，查看FTP客戶端軟

件顯示的連接信息。

3）增加兩條普通包過油規(guī)則，同意ftp數(shù)據(jù)連接?？蓞⒖既缦乱?guī)則設(shè)置：

方向:內(nèi)-＞外方向：外-＞內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:Ms血.

*原端H：an、源端口:1024：65535

目的地址:"dsiM.目的，也址:/

目的端口：1024：65535目的端口：a?

協(xié)議類型：tcp協(xié)議類型:tcP

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端，連接,匿名，查看FTP客戶端軟

件顯示的連接信息。

第二步：點(diǎn)擊左側(cè)導(dǎo)航欄的“狀態(tài)檢測”，假如有任何規(guī)則存在，點(diǎn)擊“刪除所有規(guī)

則”后開始新規(guī)則設(shè)置，實(shí)現(xiàn)與ftp.siU服務(wù)器之間的主動與被動數(shù)據(jù)傳輸方式。

2.配置狀態(tài)檢測規(guī)則，實(shí)現(xiàn)FTP的主動與被動傳輸模式

I）選擇正確的選項(xiàng)，點(diǎn)擊“增加”后，增加兩條狀態(tài)險(xiǎn)測規(guī)則，阻擋內(nèi)網(wǎng)到外網(wǎng)及

外網(wǎng)到內(nèi)網(wǎng)的所有TCP協(xié)議、所有狀態(tài)的規(guī)則。可參考如下規(guī)則設(shè)置：

方向:內(nèi)，外方向：外，內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口：any源端口：any

目的地址:/目的地址:/

目的端口：any目的端Lhany

協(xié)議類型：tcp協(xié)議類型:tcp

狀態(tài):NEWESTABL1SHED.狀態(tài):NEW.ESTABLISHED.

RELATED,INVALIDRELATED,INVALID

動作:REJECT動作:REJECT

規(guī)則添加成功后，打開即客戶端，設(shè)置即客戶端默認(rèn)的傳輸模式是PASV,即被

動模式，連接ftD.,匿名，查看FTP客戶端軟件顯示的連接信息。然后，打

開ftp客戶端，設(shè)置ftp客戶端默認(rèn)的傳輸模式是PORT,即主動模式,連接flD.,

匿名，查看FTP客戶端軟件顯示的連接信息。

2）增加兩條狀態(tài)檢測規(guī)則，同意訪問內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)目的端口為任意、

狀態(tài)為ESTABLISHED與RELATED的TCP數(shù)據(jù)包?？蓞⒖既缦乱?guī)則設(shè)置：

方向:內(nèi)-＞夕卜方向:外-＞內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端匚hany目的端口：a嗚

協(xié)議類型—cp協(xié)議類型：icp

狀態(tài):ESTABLISHED,狀態(tài):ESTABLISHED,

RELATEDRELATED

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開即客戶端，設(shè)置即客戶端默認(rèn)的傳輸模式是PASV,即被

動模式，連接fH.,匿名，查看FTP客戶端軟件顯示的連接信息。然后，打

開ftp客戶端，設(shè)置ftp客戶端默認(rèn)的傳輸模式是PORT,即生動模式,連接.

匿名，查看FTP客戶端軟件顯示的連接信息。

3）增加一條狀態(tài)檢測規(guī)則，同意內(nèi)網(wǎng)訪問外網(wǎng)目的端口為21、狀態(tài)為NEW、

ESTABLISHED與RELATED的TCP數(shù)據(jù)包?？蓞⒖既缦乱?guī)則設(shè)置：

方向：“內(nèi)網(wǎng)?＞外網(wǎng)'

增加到位置:1

協(xié)議：lep

源地址:IP地址,/

目的地址:

目的端口：21

NEW,ESTABLISHED,RELATED

動作:ACCEPT.

規(guī)則添加成功后，打開即客戶端，設(shè)置即客戶端默認(rèn)的傳輸模式是PASV,即被

動模式，連接,匿名，查看連接信息。然后，打開ftp客戶端，設(shè)置ftp

客戶端默認(rèn)的傳輸模式是PORT,即主動模式，連接,匿名，查看連接信

息。

第三步：點(diǎn)擊左邊導(dǎo)航欄的“狀態(tài)檢測”，在右邊打開的頁面中選擇“狀態(tài)表”，在擰

開的頁面中杳看防火墻系統(tǒng)所有連接的狀態(tài)并進(jìn)行分析?。

3.查看分析防火墻的狀態(tài)表

點(diǎn)擊左邊導(dǎo)航欄的“狀態(tài)檢測”，在右邊打開的頁面中選擇“狀態(tài)表”，在打開的頁面

中查看當(dāng)前防火墻系統(tǒng)的所有連接的狀態(tài)。分別選取一條TCP連接，UDP連接，ICMP

連接，分析各個參數(shù)的含義；并分析當(dāng)前所有連接，熟悉每條連接相應(yīng)的打開程序，

4說明：假如節(jié)前沒有ICMP連接，按如下步驟：

（3）刷新狀態(tài)表頁面，即可看到ICMP連接狀態(tài)。

及其用途。

【實(shí)驗(yàn)思考題】

分別用普通包過濾與狀態(tài)檢測設(shè)置規(guī)則，使ftp客戶端僅僅可下列載站點(diǎn)

:〃shuguang:shuguang(g)2:2121的文件。

4、應(yīng)用代理實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

1.熟悉防火墻代理級網(wǎng)關(guān)的工作原理；

2.掌握配置防火墻代理級網(wǎng)關(guān)的方法。

【實(shí)驗(yàn)環(huán)境及說明】

同實(shí)驗(yàn)一。

【預(yù)備知識】

I.常用網(wǎng)絡(luò)客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，Telnet命令的使用等;

2.明白本實(shí)驗(yàn)拓?fù)鋱D所示網(wǎng)絡(luò)的工作方式，懂得數(shù)據(jù)流通的方向；

【實(shí)驗(yàn)內(nèi)容】

1.設(shè)置FTP代理規(guī)則，配置FlashPXP的FTP代理，使用PlashFXP訪問FTP服

務(wù)器以測試規(guī)則是否生效；

2.設(shè)置TELNET代理規(guī)則，使用開始菜單“運(yùn)行”命令行工具cmd.exe,輸入代理

命令lelnel542323,再測試規(guī)則是否生效。

【實(shí)驗(yàn)步驟】

1)IE菜單中的工具一＞Internct選項(xiàng)，彈出”:ntcrnct屬性”對話框；

2)點(diǎn)擊“連接”標(biāo)簽，按“局域網(wǎng)設(shè)置”，彈出“局域網(wǎng)(LAN)設(shè)置”對話框；

3)在“代理服務(wù)器”中勾選“使用代理服務(wù)器”，并輸入防火墻IP地址及端

U：54:3128,選擇“關(guān)于本地地址不使用代理服務(wù)器”，點(diǎn)擊“高

級”按鈕，進(jìn)入“代理服務(wù)器設(shè)置”頁面,在“例外”欄填入54：

4)依次按下“確定”退出設(shè)置頁面；建議每次實(shí)驗(yàn)后清空歷史紀(jì)錄。

插入位置:1插入位置:1

源地址:*源地址:*

動作:deny動作:deny

插入位置:1插入位置:1

源地址:*源地址:*

動作:allow動作:allow

先添加普通包過濾規(guī)則:

方向：“外網(wǎng)->內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：any

源地址：IP地址,/

源端口：disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址:IP地址,/

U的端口：disabled（由于協(xié)議選擇了any,此處不用選擇）

動作:REJECT.

插入位置：1

協(xié)議：any

源地址：*

U的地址:*

動作：allow。

（二）FTP代理實(shí)驗(yàn)：登陸防火墻實(shí)驗(yàn)系統(tǒng)后，點(diǎn)擊左側(cè)導(dǎo)航欄的“FTP代理”，在打開

的頁面中，假如有任何規(guī)則存在，將規(guī)則刪除后再設(shè)置新規(guī)則。打開FTP客戶端

FlashFXP,配置FTP代理。

1.設(shè)置FlashFTP的FTP代理：

1）FlashFXP莢單中的“Options"->“Prefbrences”，在彈出的“Configure

FlashFXP”對話框中選擇“Connection”子項(xiàng)，點(diǎn)擊“Proxy”，出現(xiàn)代理設(shè)置

對話框；

2）點(diǎn)擊“Add”按鈕，在彈出的"AddProxyServerProfile”中依次輸入：

Name：域名

Type：Userftp-user@ftp-host:ftp-port

Host：54Port：2121

User及Password為空,

3）依次按下“OK”按鈕，退出即可。

2.測試FTP代理的默認(rèn)規(guī)則：

打開FlashFTP,在地址欄中填入或者ftD2.，觀察能否連接,

說明原因；

3.配置FTP代理規(guī)則，驗(yàn)證規(guī)則有效性

1）以教師分配的用戶名與密碼進(jìn)入實(shí)驗(yàn)系統(tǒng)，點(diǎn)擊左側(cè)導(dǎo)航條的“FTP代

理”鏈接，顯示“FTP應(yīng)用代理規(guī)則表”頁面，點(diǎn)擊“增加一條新規(guī)則”后，

增加一條FTP代理同意規(guī)則，同意任意源地址到任意目的地址的訪問。

再次連接上述FTP站點(diǎn)，觀察能否訪問。

插入位置：1

源地址:*

目的地址:30

動作:deny

插入位置：1

源地址:*

日的川1比:：30

動作:allow

規(guī)則添加成功后，打開flashFXP,訪問與,觀察能

否訪問；

2）結(jié)合普通包過濾規(guī)則，進(jìn)一步加深對FTP代理作用的懂得。清空普通

包過濾與FTP代理規(guī)則，分別添加一條普通包過濾拒絕所有數(shù)據(jù)包規(guī)則

與條FTP代理同意規(guī)則，可參考如下規(guī)則設(shè)置：

先添加普通包過濾規(guī)則：

方向：“外網(wǎng)->內(nèi)網(wǎng)”

增加到位置：1

協(xié)議:any

源地址：IP地址,/

源端口：disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址:IP地址,/

目的端口：disabled（由丁協(xié)議選擇J'any,此處不用選擇）

動作:REJECT.

取消flashFXP的FTP代理配置，連接1E.站點(diǎn),觀察能否訪問。

再添加FTP代理規(guī)則：

插入位置:1

協(xié)議：any

源地址:*

目的地址:*

動作:allowo

（三）Telnet代理實(shí)驗(yàn)：登陸防火墻實(shí)驗(yàn)系統(tǒng)后，點(diǎn)擊左側(cè)導(dǎo)航欄的“Telnet代理“，在

打開的頁面中，假如有任何規(guī)則存在，將規(guī)則刪除后再設(shè)置新規(guī)則。

1.測試Telnet代理的默認(rèn)規(guī)則：

打開“開始”菜單的“運(yùn)行”命令行工具cmd.exe,先輸入代理命令telnet54

2323,再輸入命令lelnet,觀察能否連接，說明原因。

2.配置Telnet代理規(guī)則，驗(yàn)證規(guī)則有效性：

1）以教師分配的用戶名與密碼進(jìn)入實(shí)驗(yàn)系統(tǒng)，點(diǎn)擊實(shí)驗(yàn)系統(tǒng)左側(cè)導(dǎo)航條的

“Telnet代理”鏈接，顯示“TELNET應(yīng)用代理規(guī)則表”頁面，點(diǎn)擊“增加一

條新規(guī)則”后，增加一條Telnet代理同意規(guī)則，同意任意源地址到任意目

的地址的訪問。使用命令行工具cmd.exe,先輸入代理命令telnet

542323>再訪問,觀察能否訪問,

2）按“增加一條新規(guī)則”按鈕，增加一條Telnet代理拒絕規(guī)則，拒絕訪問

（IP地址：6H，可參考如下規(guī)則設(shè)置:

插入位置：I

源地址:*

日的地址:202,120.58.161

動作:deny

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet

542323,再訪問,觀察能否訪問。

3）清空規(guī)則，分別添加一條Telnet代理拒絕規(guī)則，拒絕訪問

（IP地址：6條Tcincl代理同意規(guī)則，同意訪問

（IP地址：6D河參考如下規(guī)則設(shè)置：

插入位置:1插入位置:1

源地址:*源地址:*

動作:deny動作:allow

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet

542323,再訪問,觀察能否訪問，說明原因。

4）結(jié)合普通包過濾規(guī)則，講一步加深對TELNET代理作用的懂得。清空

普通包過濾與TELNET代理規(guī)則，分別添加一條普通包過濾拒絕所有數(shù)

據(jù)包規(guī)則與一條TELNET代理同意規(guī)則，可參考如下規(guī)則設(shè)置：

先添加普通包過濾規(guī)則：

方向：“外網(wǎng)〉內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：an、

源地址：IP地址,/

WZ7..disabled（由于協(xié)議選擇了any,此處不用選擇）

目的士也址:IP地址,/

目的端口：disabled（由于協(xié)議選擇了an、,此處不用選擇）

動作:REJECT.

規(guī)則添加成功后，使用命令行工具cmd.exe,輸入命令telnet,訪問

,觀察能否訪問。

再添力UTELNET代理規(guī)則：

插入位置：1

協(xié)議：any

源地址:*

目的地址:*

動作：allow。

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet54

2323,冉訪問,觀察能否訪問，說明原因。

5、綜合實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

1.熟悉企業(yè)防火墻的通常作用。

2.學(xué)會靈活運(yùn)用防火墻規(guī)則設(shè)置滿足企業(yè)需求。

【實(shí)驗(yàn)環(huán)境及說明】

同實(shí)驗(yàn)一、二、三

【預(yù)備知識】

1.熟悉基本的企業(yè)網(wǎng)絡(luò)拓?fù)洹?/p>

2.熟悉ftp服務(wù)被動模式原理與有關(guān)代理設(shè)置。

3.懂得telnet服務(wù)工作原理。

4.熟悉QQ工作原理

【實(shí)驗(yàn)內(nèi)容】

某企業(yè)需要在防火墻上設(shè)置如下規(guī)則以滿足企業(yè)需要：

1.通過設(shè)置防火墻規(guī)貝J設(shè)置正確的NAT規(guī)則

2.通過設(shè)置防火墻規(guī)貝J將包過濾規(guī)則的默認(rèn)動作為拒絕

3.通過設(shè)置防火墻規(guī)則打開內(nèi)網(wǎng)到外網(wǎng)，DMZ到外網(wǎng)的DNS服務(wù)

4.通過設(shè)置防火墻規(guī)則同意所有的客戶端以被動模式訪問外網(wǎng)的FTP服務(wù)。

5.通過設(shè)置防火墻規(guī)貝J同意內(nèi)網(wǎng)用戶訪問DMZ區(qū)中IP地址為與所

有外網(wǎng)的Telnet服務(wù)。

6.通過設(shè)置防火墻規(guī)貝］同意內(nèi)網(wǎng)用戶使用QQ服務(wù)。

【實(shí)驗(yàn)步驟】

1.通過設(shè)置正確的NAT規(guī)則完成策略1。

2.通過設(shè)置正確的普通包過濾與狀態(tài)檢測完成策略2到策略6的。

6、事件審計(jì)實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

通過實(shí)驗(yàn)，熟悉防火墻口志的常見格式.學(xué)會根據(jù)口志，有針對性的檢驗(yàn)規(guī)則,推斷規(guī)

則是否生效.掌握常見服務(wù)所用的協(xié)議及其端U.加深關(guān)于tcp等協(xié)議數(shù)據(jù)報(bào)文的懂得.加

深對網(wǎng)絡(luò)通信過程的懂得。

【實(shí)驗(yàn)環(huán)境及說明】

1.本實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)鋱D如下：

DMZ區(qū)；；實(shí)驗(yàn)室區(qū)域網(wǎng)

WebJH務(wù)器:建"狀況中DMZ會配置里務(wù)?來將於足實(shí)驗(yàn)功能.

FTPK務(wù)■:如果防火?實(shí)險(xiǎn)菜級?務(wù)?是在實(shí)”區(qū)域網(wǎng)和防火地區(qū)就網(wǎng)邊界，用須在在實(shí)毆宣區(qū)域同內(nèi)地lOTTP服務(wù)用來做FTP代理實(shí)驗(yàn).

如果防火墻實(shí)毆系藐屋務(wù)外在實(shí)險(xiǎn)宣區(qū)域網(wǎng)和外同邊界，則不需鬟*IDFTP屋務(wù).

2.實(shí)驗(yàn)小組的機(jī)器要求將網(wǎng)關(guān)設(shè)置為防火墻主機(jī)與內(nèi)網(wǎng)的接口網(wǎng)卡IP地址：

54（次地址可由老師事先指定）。

3.實(shí)驗(yàn)小組機(jī)器要求有WEB瀏覽器：IE或者者其他；要求有Ftp客戶端：CuteFtp.

LcapFtp.FlashFXP或者者其他。

【預(yù)備知識】

1.計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)知識，方向、協(xié)議、端口、地址等概念與各常用服務(wù)所對應(yīng)的協(xié)

議、端口；

2.常用網(wǎng)絡(luò)客戶端的操作：IE的使用，F(xiàn)lp客戶端的使用，ping命令的使用等，并通

過這些操作，推斷防火墻規(guī)則是否生效；

3.tcp/ip協(xié)議懂得，三次握手。

【實(shí)驗(yàn)內(nèi)容】

1.在各個實(shí)驗(yàn)系統(tǒng)設(shè)置好規(guī)則后，通過一些常見的網(wǎng)絡(luò)客戶端操作驗(yàn)證已配置的規(guī)則

是否生效.

2.網(wǎng)絡(luò)客戶端操作結(jié)束后，查看有關(guān)的口志，看看是否與自己的有關(guān)操作一致.結(jié)合規(guī)則,

看是否與預(yù)期的效果一致.

【實(shí)驗(yàn)步驟】

1.點(diǎn)擊左側(cè)導(dǎo)航欄的某一個實(shí)驗(yàn)汝口“普通包過濾”

2.在右側(cè)的界面中選擇一個方向進(jìn)入。此處共有外網(wǎng)<->內(nèi)網(wǎng)、外網(wǎng)<->DMZ與內(nèi)網(wǎng)

<->DMZ3個方向可供選擇。

3.根據(jù)實(shí)驗(yàn)一的具體要求設(shè)置好規(guī)則后，利用ping,或者者ie做某個網(wǎng)絡(luò)客戶端操作.

4.點(diǎn)擊選擇左側(cè)導(dǎo)航欄的”事件審計(jì)”選項(xiàng)

5.在右側(cè)界面上選擇”包過濾及其狀態(tài)檢測日志”選項(xiàng)，進(jìn)入普通包過濾H志查詢頁面.

6.直接點(diǎn)擊“查詢”按鈕，顯示該學(xué)生所有的普通包過濾日志

7.在“源地址”、“源端口”、“目的地址”、“目的端口”、“協(xié)議”中分別填入需查詢的條

件，再點(diǎn)擊“查詢”按鈕，則可顯示符合查詢條件的日志信息。

8.日志查詢支持模糊查詢，如在“源地址”中輸入：202,點(diǎn)擊查詢后，顯示所有源地

址中包含202的日志。

【實(shí)驗(yàn)報(bào)告要求】

由于本實(shí)驗(yàn)屬于輔助性的實(shí)驗(yàn)，涉及到每一個具體的實(shí)驗(yàn)系統(tǒng)。因此本實(shí)驗(yàn)不另外

作。而是滲透到每一個具體的實(shí)驗(yàn)系統(tǒng)當(dāng)中。將最后的日志記錄在每一個子實(shí)驗(yàn)當(dāng)中.

根據(jù)每次自己所設(shè)置的規(guī)則然后利用某些網(wǎng)絡(luò)客戶端驗(yàn)證規(guī)則，最后選擇查看有關(guān)H志.將H志

的有關(guān)選項(xiàng)記錄下來.特別是有關(guān)自己規(guī)則的部分。

二、入侵檢測實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書

1、特征匹配檢測實(shí)驗(yàn)

2、完整性檢測實(shí)驗(yàn)

3、網(wǎng)絡(luò)流量分析實(shí)驗(yàn)

4、誤警分析實(shí)驗(yàn)

1、特征匹配檢測實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

1.懂得NIDS的特殊檢測原理；

2.熟悉網(wǎng)絡(luò)特殊事件；

3.懂得入侵檢測系統(tǒng)對各類協(xié)議“攻擊”事件的檢測原理;

4.熟悉入侵規(guī)則的配置方法。

【實(shí)驗(yàn)環(huán)境】

1.本實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)鋱D如圖1-1所示:

學(xué)生機(jī)1學(xué)生機(jī)2學(xué)生機(jī)3學(xué)生機(jī)N

圖1-1

網(wǎng)絡(luò)拓?fù)鋱D

2.學(xué)生機(jī)與中心服務(wù)器通過hub相連。為保證各學(xué)生機(jī)ip不相互沖突，學(xué)生能夠

用學(xué)號的后3位來設(shè)置ip地址，比如某學(xué)生的學(xué)號后3位為001,則可設(shè)置其ip

為192.168.1.1,中心服務(wù)器地址為<IDServerIPAddress〉。

3.學(xué)生機(jī)安裝Windows操作系統(tǒng)并安裝有DOS攻擊工具。要求有WEB瀏覽器:

IE或者者其他；

【實(shí)驗(yàn)預(yù)備知識點(diǎn)】

木實(shí)驗(yàn)需要如卜.的預(yù)備知識:

1.常用網(wǎng)絡(luò)客戶端的操作：IE的使用，telnet命令的使用，ping命令的使用；

2.入侵檢測的基本概念及入侵檢測系統(tǒng)的基本構(gòu)成，如數(shù)據(jù)源，入侵分析，響應(yīng)處理

等；

3.計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)知識，如方向、協(xié)議、端口、地址等概念；

4.常用網(wǎng)絡(luò)協(xié)議（如tcp,udp,icmp）的各字段含義。

【實(shí)驗(yàn)內(nèi)容】

本實(shí)驗(yàn)需要完成的內(nèi)容如下：

1.配置入侵檢測規(guī)則；

2.通過一些常用的網(wǎng)絡(luò)客戶端操作，推斷已配置的規(guī)則是否有效，并查看相應(yīng)的入侵

事件，對比不一致規(guī)則下，產(chǎn)生的不一致效果。

【實(shí)驗(yàn)步驟】

請選擇實(shí)驗(yàn)類型

NIDS檢測實(shí)驗(yàn)

多協(xié)議檢測實(shí)驗(yàn)

圖1-2特征匹配實(shí)驗(yàn)

*NIDS檢測實(shí)驗(yàn)部分

1.點(diǎn)擊“NIDS檢測實(shí)驗(yàn)”，進(jìn)入NIDS檢測實(shí)驗(yàn)界面，如圖1-3所示。

NIDS檢測實(shí)驗(yàn)

設(shè)置系統(tǒng)檢測項(xiàng)目

查看系統(tǒng)的檢測事件

返回

圖1-3NIDS檢測實(shí)驗(yàn)

2.設(shè)置系統(tǒng)檢測規(guī)則

在界面中點(diǎn)擊“設(shè)置系統(tǒng)檢測項(xiàng)目“，進(jìn)入當(dāng)前系統(tǒng)檢測項(xiàng)目表頁面。在此，可查看

當(dāng)前系統(tǒng)對事件的檢測情況及事件特殊判定，如圖1-4所示。

當(dāng)前系統(tǒng)檢測項(xiàng)目表

當(dāng)前系統(tǒng)封下列事件的桂測狀況是?

表格中伏石欄顯示了系統(tǒng)對大包PR評件與t“n”般務(wù)第事件的檢測狀況，修改系脫檢硼t況可技以下步驟進(jìn)行：

I點(diǎn)擊相較事件的“修改樂擾益秘狀況”復(fù)選報(bào)

2..<5$“峰改所選設(shè)2T及0，即可修改系統(tǒng)對當(dāng)時手件的檢測伏宓：

3.若修改伏方懦或，頁面會出現(xiàn)信誤四示.

返回

圖1-4檢測項(xiàng)目表

比如，系統(tǒng)當(dāng)前對大包ping事件檢測，Telnet服務(wù)器事件進(jìn)行檢測。若要使系統(tǒng)的

檢測規(guī)則變?yōu)椋簩Υ蟀黳ing事件不做檢測，但仍對Telnel服務(wù)器事件進(jìn)行檢測，則按

下列步驟進(jìn)行：先點(diǎn)擊“大包ping事件”旁的復(fù)選框，再點(diǎn)擊“修改所選設(shè)置”按鈕，出現(xiàn)

設(shè)置規(guī)則成功頁面，最后點(diǎn)擊“返回”，可重新回到當(dāng)前系統(tǒng)檢測事件表頁面。如今，可

看出系統(tǒng)對大包ping事件與Tclnc//////t服務(wù)器事件進(jìn)行檢測。重復(fù)次步驟可設(shè)置不一致

的檢測規(guī)則0

3.啟動入侵事件

啟動大包ping事件：點(diǎn)擊電腦左下方的“開始”按鈕，再點(diǎn)擊“運(yùn)行”，在

輸入框中輸入大包Ping命令，如：ping30-11200o

啟動Telnet服務(wù)器事件：點(diǎn)擊