信息安全實驗手冊

Y海T乂與三冊

上海交通大學(xué)信息安全工程學(xué)院

2008年

目錄

一、防火墻實驗系統(tǒng)實驗指導(dǎo)書1

1、NAT轉(zhuǎn)換實驗2

2、一般包過濾實驗4

3、狀態(tài)檢測實驗7

4、應(yīng)用代理實驗11

5、綜合實驗16

6、事件審計實驗17

二、入侵檢測實驗系統(tǒng)實驗指導(dǎo)書19

1、特點匹配檢測實驗20

2、完整性檢測實驗25

3、網(wǎng)絡(luò)流量分析實驗29

4、誤警分析實驗31

三、安全審計實驗系統(tǒng)指導(dǎo)書36

1、文件審計實驗37

2、網(wǎng)絡(luò)審計實驗41

3、打印審計實驗44

4、日志監(jiān)測實驗47

5、撥號審計實驗50

6、審計跟蹤實驗53

7、主機監(jiān)管實驗58

四、病毒實驗系統(tǒng)實驗指導(dǎo)書60

1、網(wǎng)絡(luò)炸彈實驗61

2、萬花谷病毒實驗63

3、新歡樂時刻病毒實驗65

4、漂亮莎病毒實驗68

5、NO.1病毒實驗70

6、PE病毒實驗72

五、PKI系統(tǒng)實驗指導(dǎo)書76

1、證書申請實驗77

2、用戶申請治理實驗79

3、證書治理實驗81

4、信任治理實驗83

5、交叉認(rèn)證實驗85

6、證書應(yīng)用實驗88

7、SSL應(yīng)用實驗90

六、攻防實驗系統(tǒng)指導(dǎo)書94

1、RPCDCOM堆棧溢出實驗95

2、端口掃描實驗102

3、漏洞掃描實驗107

4、Unix口令實驗破解110

5、Windows口令破解實驗115

6、遠(yuǎn)程操縱實驗122

7、灰鴿子遠(yuǎn)程操縱128

七、密碼實驗系統(tǒng)指導(dǎo)書132

1、DES單步加密實驗133

2.DES算法實驗135

3、3DES算法實驗137

4、AES算法實驗139

5、MD5算法實驗141

6、SHA-1算法實驗143

7、RSA算法實驗144

8、DSA數(shù)字簽名實驗147

八、IPSecVPN實驗系統(tǒng)實驗指導(dǎo)書149

1、VPN安全性實驗150

2、VPNIKE認(rèn)證實驗156

3、VPN模式比較實驗161

九、多級安全訪咨詢操縱系統(tǒng)實驗指導(dǎo)書168

實驗環(huán)境介紹169

1、PMI試驗170

2、XACML系統(tǒng)實驗174

3、模型實驗179

4、RBAC系統(tǒng)實驗182

防火墻實驗系統(tǒng)實驗指導(dǎo)書

NAT轉(zhuǎn)換實驗

一般包過濾實驗

狀態(tài)檢測實驗

應(yīng)用代理實驗

綜合實驗

事件審計實驗

:255,255.255.0:

Web服務(wù)器Internet

病毒防護(hù)實驗系統(tǒng)服務(wù)器

入侵檢測實驗系統(tǒng)服務(wù)器

安全審計實驗系統(tǒng)服務(wù)器

1、NAT轉(zhuǎn)換實驗

認(rèn)證服務(wù)'

【實驗?zāi)康摹?-------

一逋丑福墻港陋■百篇憫維完M分尸福國碼巡端口階念與原理。

了解N品徵整率費產(chǎn)。愿理及*登如R/J,即*態(tài)NAT湍ANAT)、

動態(tài)地址NAT(Po^^NAT)、網(wǎng)絡(luò)勰圭簫峰號MhPT(Port-LevelNAT)。

同時，把配亶NAT的方法

I

FTP..：■-；--

森衾疑崩盤絳痢亂圖用曝裝驗功能。

FTP服務(wù)器:如果防火墻實驗系統(tǒng)服務(wù)器是在實驗室區(qū)域網(wǎng)和防火墻區(qū)域網(wǎng)邊界，則須在須在實驗室區(qū)域網(wǎng)內(nèi)增加一FTP服務(wù)用來做FTP代理實驗.

如果防火墻實驗系統(tǒng)服務(wù)器在實驗室區(qū)域網(wǎng)和外網(wǎng)邊界，則不需要增加FTP服務(wù).

實驗小組的機器要求將網(wǎng)關(guān)設(shè)置為防火墻主機和內(nèi)網(wǎng)的接口網(wǎng)卡IP地

址：54(次地址可由老師事先指定)。

實驗小組機器要求有WEB掃瞄器：IE或者其他。

配置結(jié)果測試頁面通過NAT轉(zhuǎn)換實驗進(jìn)入頁面中的“驗證NAT目標(biāo)地

址”提供的鏈接能夠得到。NAT規(guī)則配置終止后，新打開掃瞄器窗口，通

過“驗證NAT目標(biāo)地址”提供的地址，進(jìn)入測試結(jié)果頁面，將顯示地址轉(zhuǎn)

換后的目的地址。

【預(yù)備知識】

NAT差不多概念、原理及其類型；

常用網(wǎng)絡(luò)客戶端的操作：IE的使用，并通過操作，判定防火墻規(guī)則是

否生效；

了解常用的無法在互聯(lián)網(wǎng)上使用的保留IP地址(如：-10.255.

255.255,?55,?192.160255.255)。深刻

明白得網(wǎng)絡(luò)地址分段、子網(wǎng)掩碼和端口的概念與原理。

【實驗內(nèi)容】

在防火墻實驗系統(tǒng)上，配置NAT的規(guī)則；

通過一些常用的網(wǎng)絡(luò)客戶端操作，判定已配置的規(guī)則是否有效，對比

不同規(guī)則下，產(chǎn)生的不同成效。

【實驗步驟】

在每次實驗前，都要打開掃瞄器，輸入地址：http://192.168.L254/firew

all/jsp/main,在打開的頁面中輸入學(xué)號和密碼，登陸防火墻實驗系統(tǒng)。

在實驗前應(yīng)先刪除防火墻原有的所有規(guī)則。

1）登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導(dǎo)航欄的“NAT轉(zhuǎn)換“，進(jìn)入

“NAT的規(guī)則配置”頁面。

2）在打開的頁面中，如果有任何規(guī)則存在，點擊“刪除所有規(guī)則”;

3）點擊“增加一條規(guī)則”，進(jìn)入規(guī)則配置的界面。下面對此界面中

的一些選項作講明：源地址、目的地址一一地址用IP地址來表示。

4）選擇源地址：IP地址，5、目的地址，例如：IP地址，1

00,目的端口:ethO。按“增加”后,就增加了一條NAT規(guī)則，

這條規(guī)則將內(nèi)部地址5映射為外部地址00o

增加NAT規(guī)則后，能夠用掃瞄器在規(guī)則添加前后進(jìn)行檢測（新打開窗

口，輸入進(jìn)入頁面中的“驗證NAT目標(biāo)地址”），以判定規(guī)則是否有效以及

起到了什么成效。詳見參考答案。

5）當(dāng)完成配置規(guī)則和檢測后，能夠重復(fù)步驟2）到步驟4）,來配置不

同的規(guī)則。

2、一般包過濾實驗

【實驗?zāi)康摹?/p>

通過實驗，了解一般包過濾的差不多概念和原理，如方向、協(xié)議、端

口、源地址、目的地址等等，把握常用服務(wù)所對應(yīng)的協(xié)議和端口。同時，

把握在防火墻實驗系統(tǒng)上配置一般包過濾型防火墻的方法，學(xué)會判定規(guī)則

是否生效。

【實驗環(huán)境及講明】

同實驗一

【預(yù)備知識】

運算機網(wǎng)絡(luò)的基礎(chǔ)知識，方向、協(xié)議、端口、地址等概念以及各常用

服務(wù)所對應(yīng)的協(xié)議、端口；

常用網(wǎng)絡(luò)客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使

用等，并通過這些操作，判定防火墻規(guī)則是否生效；

包過濾型防火墻的差不多概念，明白得各規(guī)則的意義。

【實驗內(nèi)容】

在正確配置NAT規(guī)則的前提下（實驗一），實驗第一配置一般包過濾

規(guī)則，然后通過登錄外網(wǎng)web頁面、登錄外網(wǎng)ftp服務(wù)器等常用網(wǎng)絡(luò)客戶端

操作判定配置的規(guī)則是否生效，具體內(nèi)容如下：

設(shè)置一條規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包。采納ping命令檢測規(guī)

則是否生效。

將差不多設(shè)置的多條規(guī)則順序打亂，分析不同次序的規(guī)則組合會產(chǎn)生

如何樣的作用，然后通過網(wǎng)絡(luò)客戶端操作檢驗規(guī)則組合產(chǎn)生的成效。

【實驗步驟】

在每次實驗前，都要打開掃瞄器，輸入地址：http://192.168.L254/firew

all/jsp/main,在打開的頁面中輸入學(xué)號和密碼，登陸防火墻實驗系統(tǒng)。

第一步：登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導(dǎo)航欄的“一般包過濾”，

在右側(cè)的界面中選擇一個方向進(jìn)入。此處共有外網(wǎng)＜-＞內(nèi)網(wǎng)、外網(wǎng)＜-＞DMZ

和內(nèi)網(wǎng)＜-＞DMZ3個方向1可供選擇。

?例如，選擇“外網(wǎng)＜-＞內(nèi)網(wǎng)”，就能配置內(nèi)網(wǎng)和外網(wǎng)之間的?般包過濾規(guī)則。

第二步：在打開的頁面中，如果有任何規(guī)則存在，點擊“刪除所有規(guī)

則”。

第三步：點擊“增加一條規(guī)則”，進(jìn)入規(guī)則配置界面2,配置規(guī)則。如果

對正在配置的規(guī)則不中意，能夠點擊“重置”，將配置頁面復(fù)原到默認(rèn)的狀

態(tài)。

1.設(shè)置一條規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包并檢測規(guī)則有效性。

選擇正確的選項，點擊“增加”后，增加一條一般包過濾規(guī)則，阻擋

所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包。例如：

方向：“外網(wǎng)->內(nèi)網(wǎng)”

增加到位置：1

協(xié)議:any

源地址：IP地址，/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：IP地址，0.000/

目的端□:disabled（由于協(xié)議選擇了any,此處不用選擇）

動作：REJECTo

規(guī)則添加成功后，能夠用各種客戶端工具，例如IE、FTP客戶端工具、

ping等進(jìn)行檢測，以判定規(guī)則是否有效以及起到了什么成效。

多條規(guī)則設(shè)置必須注意每一條規(guī)則增加到的位置（即規(guī)則的優(yōu)先級），

能夠參考下面的所列的規(guī)則組合增加多條規(guī)則。

方向:外，內(nèi)方向:外->內(nèi)方向:外，內(nèi)

增加到位置:I增加到位置:2增加到位置：3

源地址:/

源端口:any源端口:21源端口:any

2此界面中能夠選擇的項包括：

方向---對什么方向上的包進(jìn)行過濾；

增加到位置——將新增的規(guī)則放到指定的位置，越靠前優(yōu)先級越高（不同規(guī)則順序可能產(chǎn)生不同結(jié)果）：

協(xié)議---tcp^udp和icmp,any表示所有3種協(xié)議；

源地址、目的地址——地址能夠用IP地址、網(wǎng)絡(luò)地址、域名以及MAC地址能不同的方式來表示，其中

表示所有地址；

源端口、目的端口——不同的服務(wù)對應(yīng)不同的端口，要選擇正確的端口才能過濾相應(yīng)的服務(wù)；

動作——ACCEPT和REJECT,決定是否讓一個包通過。

目的地址:/目的地址:/目的地址:/

目的端口:any目的端口:any目的端口:any

協(xié)議類型:all協(xié)議類型:tcp協(xié)議類型:all

動作:ACCEPT動作:ACCEPT動作:REJECT

規(guī)則添加成功后，能夠用IE、FTP客戶端工具、ping等進(jìn)行檢測，以

判定規(guī)則組合是否有效。

3.將差不多設(shè)置的多條規(guī)則順序打亂，分析不同次序的規(guī)則組合會產(chǎn)

生如何樣的作用，并使用IE、FTP客戶端工具、ping等進(jìn)行驗證。

【實驗摸索題】

優(yōu)先級不源地址源端口目的地址目的端口協(xié)議動作

3、狀態(tài)檢測實驗

【實驗?zāi)康摹?/p>

把握防火墻狀態(tài)檢測機制的原理；

把握防火墻狀態(tài)檢測功能的配置方法；

明白得網(wǎng)絡(luò)連接的各個狀態(tài)的含義；

明白得防火墻的狀態(tài)表；

明白得Ftp兩種不同傳輸方式的區(qū)不，以及把握防火墻對Ftp應(yīng)用的配

置。

【實驗環(huán)境及講明】

同實驗一

【預(yù)備知識】

網(wǎng)絡(luò)基礎(chǔ)知識：網(wǎng)絡(luò)差不多概念，網(wǎng)絡(luò)基礎(chǔ)設(shè)備，TCP/IP協(xié)議，UDP

協(xié)議，ICMP協(xié)議和ARP協(xié)議等；

常用網(wǎng)絡(luò)客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使

用等；

從某主機到某目的網(wǎng)絡(luò)阻斷與否的判定方法；

FTP的兩種不同數(shù)據(jù)傳輸方式的原理；

本實驗拓?fù)鋱D所示網(wǎng)絡(luò)的工作方式，明白得數(shù)據(jù)流通的方向；

防火墻實驗系統(tǒng)的差不多使用，而且差不多把握了包過濾功能的有關(guān)

實驗。

【實驗內(nèi)容】

設(shè)置一般包過濾規(guī)則，實現(xiàn)ftp兩種不同的數(shù)據(jù)傳輸方式，采納ftp客

戶端工具FlashFXP檢測規(guī)則是否生效。

設(shè)置狀態(tài)檢測規(guī)則，實現(xiàn)ftp的兩種不同數(shù)據(jù)傳輸方式，采納ftp客戶

端工具FlashFXP檢測規(guī)則是否生效。與前面的一般包過濾實驗比較，明白

得狀態(tài)檢測機制的優(yōu)越性。

查看防火墻的狀態(tài)表，分析TCP、UDP和ICMP三種協(xié)議的狀態(tài)信息。

【實驗步驟】

在每次實驗前,打開掃瞄器，輸入地址：http://192.168.L254/firewan/js

p/main,在打開的頁面中輸入學(xué)號和密碼，登陸防火墻教學(xué)實驗系統(tǒng)。

1.配置一般包過濾規(guī)則，實現(xiàn)FTP的主動和被動傳輸模式

PORT（主動）模式

1）選擇正確的選項，點擊“增加”后，增加兩條一般包過濾規(guī)則，阻

擋所有內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。

2）增加兩條一般包過濾規(guī)則,承諾ftp操縱連接?？蓞⒖既缦乱?guī)則設(shè)

置：

方向:內(nèi)-＞外方向:外-＞內(nèi)

增加到位置：】增加到位置：1

源地址:/

源端口:any源端口:21

目的地址:/

目的端口:21目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

動作:ACCEPT動作:ACCEPT

3）增加兩條一般包過濾規(guī)則,承諾ftp數(shù)據(jù)連接。可參考如下規(guī)則設(shè)

置：

方向:內(nèi)-＞外方向:外，內(nèi)

增加到位置：i增加到位置：1

源地址:/

源端口:any源端口:20

目的地址:/

目的端口:20目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

動作:ACCEPT動作:ACCEPT

PASV（被動）模式

1）選擇正確的選項，點擊“增加”后，增加兩條一般包過濾規(guī)則，阻

擋所有內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。

2）增加兩條一般包過濾規(guī)則，承諾ftp操縱連接。

3）增加兩條一般包過濾規(guī)則，承諾ftp數(shù)據(jù)連接?？蓞⒖既缦乱?guī)則設(shè)

置:

方向:內(nèi)-＞外方向:外-）內(nèi)

增加到位置:I增加到位置:1

源地址:/

源端口:any源端口:1024：65535

目的地址:/

目的端口:1024：65535目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

動作:ACCEPT動作:ACCEPT

2.配置狀態(tài)檢測規(guī)則，實現(xiàn)FTP的主動和被動傳輸模式

1）選擇正確的選項，點擊“增加”后，增加兩條狀態(tài)檢測規(guī)則，阻擋

內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的所有TCP協(xié)議、所有狀態(tài)的規(guī)則?？蓞⒖既缦?/p>

規(guī)則設(shè)置：

方向:內(nèi)-＞外方向:外-＞內(nèi)

增加到位置：I增加到位置:1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端口:any目的端口:any

協(xié)議類型：tcp協(xié)議類型：tcp

狀態(tài):NEW,ESTABLISHED,狀態(tài):NEW,ESTABLISHED,

RELATED,INVALIDRELATED,INVALID

動作:REJECT動作:REJECT

2）增加兩條狀態(tài)檢測規(guī)則，承諾訪咨詢內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)目的

端口為任意、狀態(tài)為ESTABLISHED：和RELATED的TCP數(shù)據(jù)包。可參考

如下規(guī)則設(shè)置：

方向:內(nèi)，外方向:外，內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端口：any目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

狀態(tài):ESTABLISHED,狀態(tài):ESTABLISHED,

RELATEDRELATED

動作:ACCEPT動作:ACCEPT

3）增加一條狀態(tài)檢測規(guī)則，承諾內(nèi)網(wǎng)訪咨詢外網(wǎng)目的端口為21、狀態(tài)

為NEW、ESTABLISHED和RELATE]D的TCP數(shù)據(jù)包。可參考如下規(guī)則設(shè)

置：

方向：”內(nèi)網(wǎng)-＞外網(wǎng)”

增加到位置：1

協(xié)議:tcp

源地址：IP地址，/

目的端口：21

狀態(tài)：NEW,ESTABLISHED,RELATED

動作：ACCEPTo

第三步：點擊左邊導(dǎo)航欄的“狀態(tài)檢測”，在右邊打開的頁面中選擇“狀

態(tài)表”，在打開的頁面中查看防火墻系統(tǒng)所有連接的狀態(tài)并進(jìn)行分析。

3.查看分析防火墻的狀態(tài)表

點擊左邊導(dǎo)航欄的“狀態(tài)檢測”，在右邊打開的頁面中選擇“狀態(tài)表”,

在打開的頁面中查看當(dāng)前防火墻系統(tǒng)的所有連接的狀態(tài)。分不選取一條TC

P連接，UDP連接，ICMP連接3,分析各個參數(shù)的含義；并分析當(dāng)前所有

連接，了解每條連接相應(yīng)的打開程序，及其用途。

【實驗摸索題】

分不用一般包過濾和狀態(tài)檢測設(shè)置規(guī)則，使ftp客戶端僅僅能夠下載站

點ftp://shuguang:shuguang@2:2121的文件。

3講明：如果當(dāng)前沒有ICMP連接，按如下步驟：

(3)刷新狀態(tài)表頁面，即可看到ICMP連接狀態(tài)。

4、應(yīng)用代理實驗

【實驗?zāi)康摹?/p>

了解防火墻代理級網(wǎng)關(guān)的工作原理；

把握配置防火墻代理級網(wǎng)關(guān)的方法。

【實驗環(huán)境及講明】

同實驗一。

【預(yù)備知識】

明白本實驗拓?fù)鋱D所示網(wǎng)絡(luò)的工作方式，明白得數(shù)據(jù)流通的方向；

把握HTTP代理和FTP代理的配置；

【實驗內(nèi)容】

設(shè)置HTTP代理規(guī)則，配置IE的HTTP代理，采納掃瞄器訪咨詢外網(wǎng)

以測試規(guī)則是否生效；

設(shè)置FTP代理規(guī)則，配置FlashFXP的FTP代理，采納FlashFXP訪咨

詢FTP服務(wù)器以測試規(guī)則是否生效；

【實驗步驟】

在每次實驗前，都要打開掃瞄器，輸入地址：http://192.168.L254/firew

all/jsp/main,在打開的頁面中輸入學(xué)號和密碼，登陸防火墻實驗系統(tǒng)。

(一)HTTP代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導(dǎo)航欄的“H

TTP代理”，在打開的頁面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設(shè)置

新規(guī)則。打開IE掃瞄器，配置HTTP代理。

1.設(shè)置IE的HTTP代理

IE菜單中的工具一＞Internet選項，彈出“Internet屬性”對話框；

點擊“連接”標(biāo)簽，按“局域網(wǎng)設(shè)置”，彈出“局域網(wǎng)(LAN)設(shè)置”對

話框；

在“代理服務(wù)器”中勾選“使用代理服務(wù)器”，并輸入防火墻IP地址及

端口：54:3128,選擇“關(guān)于本地地址不使用代理服務(wù)器”，點擊

“高級”按鈕,進(jìn)入“代理服務(wù)器設(shè)置”頁面，在“例外”欄填入192.168.

1.254；

依次按下“確定”退出設(shè)置頁面；建議每次實驗后清空歷史紀(jì)錄。

2.測試HTTP代理的默認(rèn)規(guī)則

3.配置HTTP代理規(guī)則，驗證規(guī)則有效性

以教師分配的用戶名和密碼進(jìn)入實驗系統(tǒng)，點擊左側(cè)導(dǎo)航條的“HTTP

代理”鏈接，進(jìn)入“HTTP應(yīng)用代理規(guī)則表”頁面，點擊“增加一條新規(guī)則”

后，增加一條HTTP代理規(guī)則承諾規(guī)則，承諾任意源地址到任意目的地址

的訪咨詢。再次掃瞄上述網(wǎng)址，觀看能否訪咨詢。

插入位置:1插入位置:1

源地址:*源地址:*

動作:deny動作:deny

插入位置：\插入位置：1

源地址:*源地址:*

動作:allow動作:allow

結(jié)合一般包過濾規(guī)則，進(jìn)一步加深對HTTP代理作用的明白得。清空

一般包過濾和HTTP代理規(guī)則，分不添加一條一般包過濾拒絕因此數(shù)據(jù)包

規(guī)則和一條HTTP代理承諾規(guī)則，可參考如下規(guī)則設(shè)置：

先添加一般包過濾規(guī)則：

方向：“外網(wǎng)-＞內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：any

源地址：IP地址，/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：IP地址，/0.000

目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

動作：REJECTo

再添加HTTP代理承諾規(guī)則：

插入位置：1

協(xié)議：any

源地址：*

目的地址：*

動作：allowo

（二）FTP代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導(dǎo)航欄的“F

TP代理”，在打開的頁面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設(shè)置

新規(guī)則。打開FTP客戶端FlashFXP,配置FTP代理。

設(shè)置FlashFTP的FTP代理：

FlashFXP菜單中的"Optionsv->“Preferences”,在彈出的"Configure

FlashFXPn對話框中選擇"Connection”子項，點擊“Proxy”,顯現(xiàn)代理

設(shè)置對話框；

點擊"Add”按鈕，在彈出的"AddProxyServerProfile”中依次輸入：

Name：域名

Type：Userftp-user@ftp-host:ftp-port

Host：54Port：2121

User及Password為空，

依次按下“OK”按鈕，退出即可。

測試FTP代理的默認(rèn)規(guī)則：

3.配置FTP代理規(guī)則，驗證規(guī)則有效性

以教師分配的用戶名和密碼進(jìn)入實驗系統(tǒng)，點擊左側(cè)導(dǎo)航條的“FTP

代理”鏈接，顯示“FTP應(yīng)用代理規(guī)則表”頁面，點擊“增加一條新規(guī)則”

后，增加一條FTP代理承諾規(guī)則，承諾任意源地址到任意目的地址的訪咨

詢。再次連接上述FTP站點，觀看能否訪咨詢。

插入位置：1

源地址:*

目的地址:30

動作:deny

插入位置：1

源地址:*

目的地址:30

動作:allow

結(jié)合一般包過濾規(guī)則，進(jìn)一步加深對FTP代理作用的明白得。清空一

般包過濾和FTP代理規(guī)則，分不添加一條一般包過濾拒絕所有數(shù)據(jù)包規(guī)則

和一條FTP代理承諾規(guī)則，可參考如下規(guī)則設(shè)置：

先添加一般包過濾規(guī)則：

方向：“外網(wǎng)->內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：any

源地址：IP地址，/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：IP地址，/

目的端□:disabled（由于協(xié)議選擇了any,此處不用選擇）

動作：REJECTo

再添加FTP代理規(guī)則：

插入位置：1

協(xié)議：any

源地址：*

目的地址：*

動作：allowo

插入位置：1

源地址:*

目的地址:61

動作:deny

插入位置:1插入位置：1

源地址:*源地址:*

動作:deny動作:allow

先添加一般包過濾規(guī)則：

方向：“外網(wǎng)->內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：any

源地址:IP地址,/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：IP地址，/

目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

動作：REJECTo

插入位置：1

協(xié)議：any

源地址：*

目的地址：*

動作：allowo

5、綜合實驗

【實驗?zāi)康摹?/p>

了解企業(yè)防火墻的一樣作用。

學(xué)會靈活運用防火墻規(guī)則設(shè)置滿足企業(yè)需求。

【實驗環(huán)境及講明】

同實驗一、二、三

【預(yù)備知識】

了解差不多的企業(yè)網(wǎng)絡(luò)拓?fù)洹?/p>

了解ftp服務(wù)被動模式原理與有關(guān)代理設(shè)置。

明白得http訪咨詢以及http代理工作原理。

了解QQ工作原理

【實驗內(nèi)容】

某企業(yè)需要在防火墻上設(shè)置如下規(guī)則以滿足企業(yè)需要：

通過設(shè)置防火墻規(guī)則設(shè)置正確的NAT規(guī)則

通過設(shè)置防火墻規(guī)則將包過濾規(guī)則的默認(rèn)動作為拒絕

通過設(shè)置防火墻規(guī)則打開內(nèi)網(wǎng)到外網(wǎng)，DMZ到外網(wǎng)的DNS服務(wù)

通過設(shè)置防火墻規(guī)則承諾所有的客戶端以被動模式訪咨詢外網(wǎng)的FTP

服務(wù)。

通過設(shè)置防火墻規(guī)則承諾內(nèi)網(wǎng)用戶使用QQ服務(wù)。

【實驗步驟】

通過設(shè)置正確的NAT規(guī)則完成策略10

通過設(shè)置正確的一般包過濾和狀態(tài)檢測完成策略2到策略6的。

,Web服務(wù)器Internet

病毒防護(hù)實驗用統(tǒng)服務(wù)器

入侵檢測實驗系統(tǒng)服務(wù)器

安全審計實驗系統(tǒng)服務(wù)器

6、事件審計實驗

域網(wǎng)ETHO

堂會垠照日志，有洋寸性的檢驗

.加」關(guān)學(xué)aP等

協(xié)議數(shù)得.加澤網(wǎng)嵬通信過程的明山R

IIc-

；W

；1FCTDPR服S-務(wù)5L器W

森離驗盥劇,盜I?成思融給實驗功能.

FTP服務(wù)器:如果防火墻實驗系統(tǒng)服務(wù)器站在實驗室區(qū)域網(wǎng)和防火墻區(qū)域.網(wǎng)邊界，則須在須在實驗室區(qū)域網(wǎng)內(nèi)增加…FTP服務(wù)用來做FTP代理實驗。

如果防火墻實驗系統(tǒng)服務(wù)器在實驗室區(qū)域網(wǎng)和外網(wǎng)邊界，則不需要增加FTP服務(wù)。

實驗小組的機器要求將網(wǎng)關(guān)設(shè)置為防火墻主機和內(nèi)網(wǎng)的接口網(wǎng)卡IP地

址：54（次地址可由老師事先指定）。

實驗小組機器要求有WEB掃瞄器：IE或者其他；要求有Ftp客戶端：

CuteFtp、LeapFtp.FlashFXP或者其他。

【預(yù)備知識】

運算機網(wǎng)絡(luò)的基礎(chǔ)知識，方向、協(xié)議、端口、地址等概念以及各常用

服務(wù)所對應(yīng)的協(xié)議、端口；

常用網(wǎng)絡(luò)客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使

用等，并通過這些操作，判定防火墻規(guī)則是否生效；

tcp/ip協(xié)議明白得，三次握手。

【實驗內(nèi)容】

在各個實驗系統(tǒng)設(shè)置好規(guī)則后，通過一些常見的網(wǎng)絡(luò)客戶端操作驗證已

配置的規(guī)則是否生效.

網(wǎng)絡(luò)客戶端操作終止后，查看有關(guān)的日志,看看是否和自己的有關(guān)操作

一致.結(jié)合規(guī)則,看是否和預(yù)期的成效一致.

【實驗步驟】

打開IE掃瞄器，輸入地址：54,在打開的頁面中輸

入學(xué)號和密碼，登陸防火墻實驗系統(tǒng)。在實驗前刪除防火墻原有的所有規(guī)

則。

點擊左側(cè)導(dǎo)航欄的某一個實驗.如“一般包過濾”

在右側(cè)的界面中選擇一個方向進(jìn)入。此處共有外網(wǎng)＜-＞內(nèi)網(wǎng)、外網(wǎng)＜-＞D

MZ和內(nèi)網(wǎng)＜-＞DMZ3個方向可供選擇。

按照實驗一的具體要求設(shè)置好規(guī)則后，利用ping,或者ie做某個網(wǎng)絡(luò)客戶

端操作.

點擊選擇左側(cè)導(dǎo)航欄的“事件審計”選項

在右側(cè)界面上選擇”包過濾及其狀態(tài)檢測日志”選項，進(jìn)入一般包過濾

日志查詢頁面.

直截了當(dāng)點擊“查詢”按鈕，顯示該學(xué)生所有的一般包過濾日志

在“源地址”、“源端口”、“目的地址”、“目的端口”、“協(xié)議”中分不

填入需查詢的條件，再點擊“查詢”按鈕，則可顯示符合查詢條件的日志

信息。

日志查詢支持模糊查詢，如在“源地址”中輸入：202,點擊查詢后，

顯示所有源地址中包含202的日志。

【實驗報告要求】

由于本實驗屬于輔助性的實驗，涉及到每一個具體的實驗系統(tǒng)。因此

本實驗不另外作。而是滲透到每一個具體的實驗系統(tǒng)當(dāng)中。將最后的日志

記錄在每一個子實驗當(dāng)中。

按照每次自己所設(shè)置的規(guī)則，然后利用某些網(wǎng)絡(luò)客戶端驗證規(guī)則，最后

選擇查看有關(guān)日志.將日志的有關(guān)選項記錄下來.專門是有關(guān)自己規(guī)則的部

分。

入侵檢測實驗系統(tǒng)實驗指導(dǎo)書

特點匹配檢測實驗

完整性檢測實驗

網(wǎng)絡(luò)流量分析實驗

誤警分析實驗

服匆器

1、特點匹配檢測實驗

【實驗?zāi)康摹?/p>

明白得NIDS的專門檢測原理;HDB

7解網(wǎng)絡(luò)專11事件;

明I匚P侵檢測系吻匚［種協(xié)議”攻匚［事件的檢測原理；|--|

了卜，拆規(guī)則的配/高rwi

IBM兼容機IBM兼容機IBM兼容機

本燙觸網(wǎng)絡(luò)拓?fù)溧蛳鑸D1-1所示：學(xué)生機3????學(xué)生機N

圖1-1網(wǎng)絡(luò)拓?fù)鋱D

學(xué)生氣和中心服務(wù)器通過hub相連。為保證各學(xué)生氣ip不相互沖突，

學(xué)生能夠用學(xué)號的后3位來設(shè)置ip地址，例如某學(xué)生的學(xué)號后3位為001,

則可設(shè)置其ip為,中心服務(wù)器地址為<IDServerIPAddress>o

學(xué)生氣安裝Windows操作系統(tǒng)并安裝有DOS攻擊工具。要求有WEB

掃瞄器：IE或者其他；

【實驗預(yù)備知識點】

本實驗需要如下的預(yù)備知識：

入侵檢測的差不多概念及入侵檢測系統(tǒng)的差不多構(gòu)成，如數(shù)據(jù)源，入

侵分析，響應(yīng)處理等；

運算機網(wǎng)絡(luò)的基礎(chǔ)知識，如方向、協(xié)議、端口、地址等概念；

常用網(wǎng)絡(luò)協(xié)議（如tcp,udp,icmp）的各字段含義。

【實驗內(nèi)容】

本實驗需要完成的內(nèi)容如下：

配置入侵檢測規(guī)則；

通過一些常用的網(wǎng)絡(luò)客戶端操作，判定已配置的規(guī)則是否有效，并查

看相應(yīng)的入侵事件，對比不同規(guī)則下，產(chǎn)生的不同成效。

【實驗步驟】

N1DS檢測實驗

NIDS檢測實驗

在捫

設(shè)置系統(tǒng)檢測項目

點匹

查看系統(tǒng)的檢測事件

返回

當(dāng)前系統(tǒng)檢測項目表一

當(dāng)前系統(tǒng)時下列事件的檢測狀況是:

信掇州/事件名稱網(wǎng)絡(luò)仃為性質(zhì)狀態(tài)

ir大包Pin浮件在3分鐘內(nèi)該事件發(fā)生超過10次視為異常探測

2rTelnet服務(wù)器事件在2分鐘內(nèi)該事件發(fā)生超過10次視為異常探測

表格中伏態(tài)欄顯示了系嫵對大包Pn浮件與t.ln.t服務(wù)題事件的檢測狀況，修改系嫵檢測狀況可按以下步驟進(jìn)行：

1.點擊相應(yīng)事件的“修改系統(tǒng)檢測狀況”復(fù)選框

左,LL2.點擊“修改所選設(shè)置“按用，即可修改系統(tǒng)對當(dāng)前事件的檢測狀態(tài)；

性>13,若修改狀態(tài)錯誤，頁面會出現(xiàn)錯誤提示.

返回

圖1-4檢測項目表

巨升人惇童性

檢測事件表

在當(dāng)前系統(tǒng)檢測到如下事件：

|>T]W?I網(wǎng)絡(luò)行為性質(zhì)I發(fā)生時詢IBE5EI目的地址~~I~~協(xié)議類型~~I

1ICMPLargeICMPPacket2006-07-1114:11:47.0192.168123.24330ICMP

2ICMPLargeICMPPacket2006-07-1114:11:47,04330ICMP

3ICMPLargeICMPPacket2006-07-1114:11:48,04330ICMP

4ICHPLargoICMPPacket2006-07-1114:11:49,04330ICMP

5ICMPLargeICMPPacket2006-07-1114:11:50.04330ICMP

6ICMPLargeICMPPacket2006-07-1114:11:50,04330ICMP

7ICMPLargeICMPPacket2006-07-1114:11:50,04330IC?P

8ICMPLargeICMPPacket2006-07-1114:11:51.04330ICMP

9TelnetServerAttempt2006-07-1114:11:34.04330TCP

系統(tǒng)10TelnetServerAttempt2006-07-1114:11:35,04330TCP

11TelnetServerAttempt2006-07-1114:11:35.04330TCP

鈕“

5所請選擇協(xié)議類型

TCP

UDP

ICMP

Fo

返回

圖1-6多協(xié)議檢測類型

TCP協(xié)議檢測實驗

TCP協(xié)議檢測規(guī)則

TC陽則如下：灌

|序號|選擇|事件特征源地址目的地址|目的埔口|數(shù)據(jù)內(nèi)容I大小寫

1廠DeepThroat3.1311111AhhhhMyMouthIsOpen敏感

當(dāng)2

增加一條TCP協(xié)議檢測規(guī)則

方向：卜〉二］

物■議：|TCP|

o顯現(xiàn)增

源地址：

加先協(xié)議；“源

源端口:

地土目的地址:口戶無權(quán)對

該工目的端口:歸夠為任意

端【事件簽名:DeepThroat3.1發(fā)器的ip

數(shù)據(jù)內(nèi)容:hhhhMyMouthIsOpen!

地土七的目的端

大小寫敏感:c敏感。不敏感

口；的數(shù)據(jù)內(nèi)

[W1

容;如圖1-

8期

規(guī)

則，

內(nèi)

容、1,

如1

檢測事件表

當(dāng)前系統(tǒng)檢測到如下事件：

1序號1特征簽名發(fā)生時間源地址目的地址|協(xié)議關(guān)筌

1DeepThroat3.12006-12-0211:12:28.031TCP

2DeepThroat3.12006-12-0211:12:28.031TCP即

3DeepThroat3.12006-12-0211:12:28.031TCP

可彳iTC

P厚

返回

圖1-10TCP檢測事件表