信息安全實驗手冊

信息安全綜合實驗系統(tǒng)

實驗指導書

廠芻1Z

上海交通大學信息安全工程學院

2008年

目錄

一、防火墻實驗系統(tǒng)實驗指導書.......................................................1

1、NAT轉(zhuǎn)換實驗...................................................................2

2、普通包過濾實驗.................................................................4

3、狀態(tài)檢測實驗...................................................................7

4、應用代理實驗..................................................................12

5、綜合實驗.......................................................................18

6、事件審計實驗..................................................................19

二、入侵檢測實驗系統(tǒng)實驗指導書...................................................21

1、特點匹配檢測實驗..............................................................22

2、完整性檢測實驗................................................................32

3、網(wǎng)絡流量分析實驗..............................................................36

4、誤警分析實驗..................................................................41

三、安全審計實驗系統(tǒng)指導書.......................................................47

1、文件審計實驗..................................................................48

2、網(wǎng)絡審計實驗..................................................................53

3、打印審計實驗..................................................................57

4、日志監(jiān)測實驗..................................................................61

5、撥號審計實驗..................................................................64

6、審計跟蹤實驗..................................................................68

7、主機監(jiān)管實驗..................................................................73

四、病毒實驗系統(tǒng)實驗指導書.......................................................76

1、網(wǎng)絡炸彈實驗..................................................................77

2、萬花谷病毒實驗................................................................79

3、新歡樂時光病毒實驗.............................................................81

4、美麗莎病毒實驗................................................................86

5、N0.1病毒實驗..................................................................90

6、PE病毒實驗....................................................................92

五、PKI系統(tǒng)實驗指導書...........................................................97

1、證書申請實驗..................................................................98

2、用戶申請治理實驗.............................................................100

3、證書治理實驗.................................................................103

4、信任治理實驗.................................................................106

5、交叉認證實驗.................................................................109

6、證書應用實驗..................................................................112

7、SSL應用實驗..................................................................115

六、攻防實驗系統(tǒng)指導書..........................................................120

1、RPCDCOM堆棧溢出實驗.......................................................121

2、端口掃描實驗.................................................................126

3、漏洞掃描實驗.................................................................131

4、UNIX口令實驗破解.............................................................136

5、WINDOWS口令破解實驗.........................................................139

6、遠程控制實驗.................................................................146

7、灰鴿子遠程控制...............................................................152

七、密碼實驗系統(tǒng)指導書..........................................................158

1、DES單步加密實驗.............................................................159

2.DES算法實驗.................................................................161

3、3DES算法實驗................................................................163

4、AES算法實驗.................................................................165

5、MD5算法實驗.................................................................167

6、SHA-1算法實驗...............................................................170

7、RSA算法實驗.................................................................172

8、DSA數(shù)字簽名實驗.............................................................174

八、IPSECVPN實驗系統(tǒng)實驗指導書...............................................176

1、VPN安全性實驗...............................................................177

2、VPNIKE認證實驗.............................................................183

3、VPN模式比較實驗.............................................................188

九、多級安全拜訪控制系統(tǒng)實驗指導書..............................................194

實驗環(huán)境介紹....................................................................195

1、PMI試驗.....................................................................196

2、XACML系統(tǒng)實驗..............................................................202

3、模型實驗.....................................................................207

4、RBAC系統(tǒng)實驗................................................................211

、防火墻實驗系統(tǒng)實驗指導書

1、NAT轉(zhuǎn)換實驗

2、普通包過濾實驗

3、狀態(tài)檢測實驗

4、應用代理實驗

5、綜合實驗

6、事件審計實驗

1、NAT轉(zhuǎn)換實驗

【實驗目的】

通過實驗，深刻懂得網(wǎng)絡地址分段、子網(wǎng)掩碼和端口的概念與原理。了解NAT的

基本概念、原理及其三種類型，即靜態(tài)NAT(StaticNAT)、動態(tài)地址NAT(PooledNAT)、

網(wǎng)絡地址端口轉(zhuǎn)換NAPT(Port-LevelNAT)。同時，把握在防火墻實驗系統(tǒng)上配置NAT

的方法，學會判定規(guī)則是否生效。

【實驗環(huán)境及說明】

1.本實驗的網(wǎng)絡拓撲圖如下。

實驗室區(qū)域網(wǎng)

:

病毒防護實驗質(zhì)統(tǒng)服務器

入侵檢測實驗系統(tǒng)服務器

安全審計實驗凄統(tǒng)服務器

Web服務器:理想狀況中DMZ會配置服務器來給滿足實驗功能。

FTP服務罌:如果防火墻實驗系統(tǒng)服務器是在實驗室區(qū)域網(wǎng)和防火墻區(qū)域網(wǎng)邊界，則須在須在實驗室區(qū)域網(wǎng)內(nèi)增加一FTP服務用來做FTP代理實驗。

如果防火墻實驗系統(tǒng)服務器在實驗室區(qū)域網(wǎng)和外網(wǎng)邊界，則不需要增加FTP服務。

2.實驗小組的機器要求將網(wǎng)關(guān)設置為防火墻主機和內(nèi)網(wǎng)的接口網(wǎng)卡IP地址：

54(次地址可由老師事先指定)。

3.實驗小組機器要求有WEB瀏覽器：IE或者其他。

4.配置結(jié)果測試頁面通過NAT轉(zhuǎn)換實驗進入頁面中的“驗證NAT目標地址”提供

的鏈接可以得到。NAT規(guī)則配置終止后，新打開瀏覽器窗口，通過“驗證NAT

目標地址”提供的地址，進入測試結(jié)果頁面，將顯示地址轉(zhuǎn)換后的目的地址。

【預備知識】

1.NAT基本概念、原理及其類型；

2.常用網(wǎng)絡客戶端的操作：IE的使用，并通過操作，判定防火墻規(guī)則是否生效；

3.了解常用的無法在互聯(lián)網(wǎng)上使用的保留IP地址（如：1000.0~55,

-55,-55）□深刻懂得網(wǎng)絡地址

分段、子網(wǎng)掩碼和端口的概念與原理。

【實驗內(nèi)容】

1.在防火墻實驗系統(tǒng)上，配置NAT的規(guī)則；

2.通過一些常用的網(wǎng)絡客戶端操作，判定已配置的規(guī)則是否有效，對比不同規(guī)則

下，產(chǎn)生的不同成效。

【實驗步驟】

在每次實驗前，都要打開瀏覽器，輸入地址：54/firewall/jsp/main,

在打開的頁面中輸入學號和密碼，登陸防火墻實驗系統(tǒng)。

在實驗前應先刪除防火墻原有的所有規(guī)則。

1）登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導航欄的“NAT轉(zhuǎn)換”，進入“NAT的規(guī)則配置”

頁面。

2）在打開的頁面中，如果有任何規(guī)則存在，點擊“刪除所有規(guī)則”；

3）點擊“增加一條規(guī)則”，進入規(guī)則配置的界面。下面對此界面中的一些選項作說

明：源地址、目的地址——地址用IP地址來表示。

4）挑選源地址地P地址,5、目的地址，比如：IP地址，00、

目的端口：ethO。按“增加”后，就增加了一條NAT規(guī)則，這條規(guī)則將內(nèi)部地址5

映射為外部地址00=

增加NAT規(guī)則后，可以用瀏覽器在規(guī)則添加前后進行檢測（新打開窗口，輸入進

入頁面中的“驗證NAT目標地址”），以判定規(guī)則是否有效以及起到了什么成效。詳見參

考答案。

5）當完成配置規(guī)則和檢測后，可以重復步驟2）到步驟4）,來配置不同的規(guī)則。

2、普通包過濾實驗

【實驗目的】

通過實驗，了解普通包過濾的基本概念和原理，如方向、協(xié)議、端口、源地址、目

的地址等等，把握常用服務所對應的協(xié)議和端口。同時，把握在防火墻實驗系統(tǒng)上配置

普通包過濾型防火墻的方法，學會判定規(guī)則是否生效。

【實驗環(huán)境及說明】

同實驗一

【預備知識】

1.運算機網(wǎng)絡的基礎知識，方向、協(xié)議、端口、地址等概念以及各常用服務所對

應的協(xié)議、端口；

2.常用網(wǎng)絡客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使用等，

并通過這些操作，判定防火墻規(guī)則是否生效；

3.包過濾型防火墻的基本概念，懂得各規(guī)則的意義。

【實驗內(nèi)容】

在正確配置NAT規(guī)則的前提下（實驗一），實驗第一配置普通包過濾規(guī)則，然后

通過登錄外網(wǎng)web頁面、登錄外網(wǎng)ftp服務器等常用網(wǎng)絡客戶端操作判定配置的規(guī)則是

否生效，具體內(nèi)容如下：

1.設置一條規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包。采用ping命令檢測規(guī)則是否生

效。

2.設置多條規(guī)則，使本機只能拜訪外網(wǎng)中和的服務。

采用瀏覽器和FTP工具測試規(guī)則是否生效。'

3.將已經(jīng)設置的多條規(guī)則順序打亂，分析不同次序的規(guī)則組合會產(chǎn)生怎樣的作用，

然后通過網(wǎng)絡客戶端操作檢驗規(guī)則組合產(chǎn)生的成效。

【實驗步驟】

在每次實驗前，都要打開瀏覽器，輸入地址：54/firewall/jsp/main,

在打開的頁面中輸入學號和密碼，登陸防火墻實驗系統(tǒng)。

第一步：登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導航欄的“普通包過濾”，在右側(cè)的界面

中挑選一個方向進入。此處共有外網(wǎng)＜-＞內(nèi)網(wǎng)、外網(wǎng)＜-＞DMZ和內(nèi)網(wǎng)＜-〉DMZ3個方向?可

供挑選。

?例如，挑選“外網(wǎng)＜-＞內(nèi)網(wǎng)”，就能配置內(nèi)網(wǎng)和外網(wǎng)之間的普通包過濾規(guī)則。

第二步：在打開的頁面中，如果有任何規(guī)則存在，點擊“刪除所有規(guī)則”。

第三步：點擊“增加一條規(guī)則”，進入規(guī)則配置界面2,配置規(guī)則。如果對正在配置

的規(guī)則不中意，可以點擊“重置”，將配置頁面復原到默認的狀態(tài)。

1.設置一條規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包并檢測規(guī)則有效性。

挑選正確的選項，點擊“增加”后，增加一條普通包過濾規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)

的數(shù)據(jù)包。例如：

方向：“外網(wǎng)，內(nèi)網(wǎng)”

增加到位置：1

協(xié)議:any

源地址:IP地址,/

源端口:disabled（由于協(xié)議挑選了此處不用挑選）

目的地址：IP地址,/

目的端口:disabled（由于協(xié)議挑選了any,此處不用挑選）

動作:REJECT.,

規(guī)則添加成功后，可以用各種客戶端工具，例如IE、FTP客戶端工具、ping等進

行檢測，以判定規(guī)則是否有效以及起到了什么成效。

2.設置多條規(guī)則，使本機只能拜訪外網(wǎng)中和ftp.s_提供的服

務，檢測規(guī)則組合有效性。

多條規(guī)則設置必須注意每一條規(guī)則增加到的位置（即規(guī)則的優(yōu)先級），可以參考下

面的所列的規(guī)則組合增加多條規(guī)則。

方向:外「內(nèi)方向:外4內(nèi)方向:外-＞內(nèi)

增加到位置：1增加到位置：2增加到位置:3

源地址:源地址:源地址:/

源端口:any源端口:21源端口:any

目的地址:/目的地址:/目的地址:/

目的端口:any目的端口:any目的端口:any

協(xié)議類型:all協(xié)議類型：tcp協(xié)議類型：all

動作:ACCEPT動作:ACCEPT動作:REJECT

規(guī)則添加成功后，可以用IE、FTP客戶端工具、ping等進行檢測，以判定規(guī)則組

2此界面中可以挑選的項包括：

方向---對什么方向上的包進行過濾；

增加到位置——將新增的規(guī)則放到指定的位置，越靠前優(yōu)先級越高（不同規(guī)則順序可能產(chǎn)生不同結(jié)果）：

協(xié)議---tcp、udp和icmp,any表示所有3種協(xié)議；

源地址、目的地址一地址可以用IP地址、網(wǎng)絡地址、域名以及MAC地址能不同的方式來表示，其中0.000

表示所有地址；

源端口、目的端口一一不同的服務對應不同的端口，要挑選正確的端口才能過濾相應的服務；

動作——ACCEPT和REJECT,決定是否讓一個包通過。

合是否有效。

3.將已經(jīng)設置的多條規(guī)則順序打亂，分析不同次序的規(guī)則組合會產(chǎn)生怎樣的作用，并

使用IE、FTP客戶端工具、ping等進行驗證。

【實驗摸索題】

某機構(gòu)的網(wǎng)絡可以接受來自Internet的拜訪。有只在端口80上提供服務的Web服

務器；只在端口25上提供服務的郵件服務器（接收發(fā)來的所有郵件并發(fā)送所有要發(fā)出

的郵件）；答應內(nèi)部用戶使用Http、Https、Ftp、Telnet,Ssh服務。請制定合適的包過

濾防火墻規(guī)則（要求以列表的形式給出，可以抽象表示IP地址，比如“源IP”：內(nèi)部網(wǎng)

絡）。

優(yōu)先級別源地址源端口目的地址目的端口協(xié)議動作

3、狀態(tài)檢測實驗

【實驗目的】

1.把握防火墻狀態(tài)檢測機制的原理；

2.把握防火墻狀態(tài)檢測功能的配置方法；

3.懂得網(wǎng)絡連接的各個狀態(tài)的含義；

4.懂得防火墻的狀態(tài)表；

5.懂得Ftp兩種不同傳輸方式的區(qū)別，以及把握防火墻對Ftp應用的配置。

【實驗環(huán)境及說明】

同實驗一

【預備知識】

1.網(wǎng)絡基礎知識：網(wǎng)絡基本概念，網(wǎng)絡基礎設備，TCP/IP協(xié)議，UDP協(xié)議，ICMP

協(xié)議和ARP協(xié)議等；

2.常用網(wǎng)絡客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使用等；

3.從某主機到某目的網(wǎng)絡阻斷與否的判定方法；

4.FTP的兩種不同數(shù)據(jù)傳輸方式的原理；

5.本實驗拓撲圖所示網(wǎng)絡的工作方式，懂得數(shù)據(jù)流通的方向；

6.防火墻實驗系統(tǒng)的基本使用，而且已經(jīng)把握了包過濾功能的相關(guān)實驗。

【實驗內(nèi)容】

在正確配置NAT規(guī)則的前提下（實驗一），實驗以為例，針對FTP

主動和被動數(shù)據(jù)傳輸方式，分別配置普通包過濾規(guī)則和狀態(tài)檢測規(guī)則，通過登錄外網(wǎng)

ftp服務器驗證配置的規(guī)則有效性，體會防火墻狀態(tài)檢測技術(shù)的優(yōu)越性，最后分析

TCP/UDP/ICMP三種協(xié)議狀態(tài)信息。具體內(nèi)容如下：

1.設置普通包過濾規(guī)則，實現(xiàn)即兩種不同的數(shù)據(jù)傳輸方式，采用ftp客戶端工具

FlashFXP檢測規(guī)則是否生效。

2.設置狀態(tài)檢測規(guī)則，實現(xiàn)ftp的兩種不同數(shù)據(jù)傳輸方式，采用ftp客戶端工具

FlashFXP檢測規(guī)則是否生效。與前面的普通包過濾實驗比較，懂得狀態(tài)檢測機

制的優(yōu)越性。

3.查看防火墻的狀態(tài)表，分析TCP、UDP和ICMP三種協(xié)議的狀態(tài)信息。

【實驗步驟】

在每次實驗前，打開瀏覽器，輸入地址：54/firewall/jsp/main,在

打開的頁面中輸入學號和密碼，登陸防火墻教學實驗系統(tǒng)。

第一步：登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導航欄的“普通包過濾“，在打開的頁面

中，如果有任何規(guī)則存在，點擊“刪除所有規(guī)則”后開始新規(guī)則設置，實現(xiàn)與

服務器之間的主動和被動數(shù)據(jù)傳輸方式。

1.配置普通包過濾規(guī)則，實現(xiàn)FTP的主動和被動傳輸模式

＞PORT（主動）模式

1）挑選正確的選項，點擊“增加”后，增加兩條普通包過濾規(guī)則，阻擋所有內(nèi)網(wǎng)到

外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。

規(guī)則添加成功后，打開ftp客戶端，設置ftp客戶端默認的傳輸模式為主動模式,

即P0RT3。匿名連接,查看FTP客戶端軟件顯示的連接信息。

2）增加兩條普通包過濾規(guī)則，答應ftp控制連接?？蓞⒖既缦乱?guī)則設置：

方向:內(nèi)。外方向:外-＞內(nèi)

增加到位置:1增加到位置：1

源地址:/源地址:ftD.

源端口:any源端口:21

目的地址:目的地址:/

目的端口:21目的端口:any

協(xié)議類型:tcp協(xié)議類型:tcp

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端,連接,匿名，查看FTP客戶端軟

件顯示的連接信息。

3）增加兩條普通包過濾規(guī)則，答應ftp數(shù)據(jù)連接?？蓞⒖既缦乱?guī)則設置:

方向:內(nèi)-＞外方向:外-＞內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:ftD.

源端口:any源端口:20

目的地址:目的地址:/

目的端口:20目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端，連接,匿名，查看FTP客戶端軟

件顯示的連接信息。

TlashFXP軟件，點擊選項，參數(shù)設置-＞連接，設置主動模式或被動模式。

>PASV（被動）模式

1）挑選正確的選項，點擊“增加”后，增加兩條普通包過濾規(guī)則，阻擋所有內(nèi)網(wǎng)到

外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。

規(guī)則添加成功后，打開ftp客戶端，設置ftp客戶端默認的傳輸模式為被動模式，

即PASV。匿名連接,查看FTP客戶端軟件顯示的連接信息。

2）增加兩條普通包過濾規(guī)則，答應ftp控制連接。

規(guī)則添加成功后，打開ftp客戶端，連接,匿名，查看FTP客戶端軟

件顯示的連接信息。

3）增加兩條普通包過濾規(guī)則，答應ftp數(shù)據(jù)連接。可參考如下規(guī)則設置:

方向:內(nèi)->外方向:外，內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:

源端口:any源端口:1024：65535

目的地址:ftD.sitihedu.cti目的地址:/

目的端口:1024：65535目的端口:any

協(xié)議類型:tcp協(xié)議類型：tcp

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端,連接,匿名，查看FTP客戶端軟

件顯示的連接信息。

第二步：點擊左側(cè)導航欄的“狀態(tài)檢測”，如果有任何規(guī)則存在，點擊“刪除所有規(guī)

則”后開始新規(guī)則設置，實現(xiàn)與服務器之間的主動和被動數(shù)據(jù)傳輸方式。

2.配置狀態(tài)檢測規(guī)則，實現(xiàn)FTP的主動和被動傳輸模式

1）挑選正確的選項，點擊“增加”后，增加兩條狀態(tài)檢測規(guī)則，阻擋內(nèi)網(wǎng)到外網(wǎng)及

外網(wǎng)到內(nèi)網(wǎng)的所有TCP協(xié)議、所有狀態(tài)的規(guī)則?？蓞⒖既缦乱?guī)則設置：

方向:內(nèi)，外方向:外，內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端口:any目的端口:any

協(xié)議類型:tcp協(xié)議類型:tcp

狀態(tài):NEW,ESTABLISHED,狀態(tài):NEW,ESTABLISHED,

RELATED,INVALIDRELATED,INVALID

動作:REJECT動作:REJECT

規(guī)則添加成功后，打開ftp客戶端，設置ftp客戶端默認的傳輸模式是PASV,即被

動模式，連接,匿名，查看FTP客戶端軟件顯示的連接信息。然后，打

開ftp客戶端，設置ftp客戶端默認的傳輸模式是PORT,即主動模式，連接,

匿名，查看FTP客戶端軟件顯示的連接信息。

2）增加兩條狀態(tài)檢測規(guī)則，答應拜訪內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)目的端口為任意、

狀態(tài)為ESTABLISHED和RELATED的TCP數(shù)據(jù)包。可參考如下規(guī)則設置：

方向:內(nèi)-＞外方向:外-＞內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端口:any目的端口:any

協(xié)議類型:tcp協(xié)議類型:tcp

狀態(tài):ESTABLISHED,狀態(tài):ESTABLISHED,

RELATEDRELATED

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端，設置ftp客戶端默認的傳輸模式是PASV,即被

動模式，連接,匿名，查看FTP客戶端軟件顯示的連接信息。然后，打

開ftp客戶端,設置ftp客戶端默認的傳輸模式是PORT,即主動模式,連接,

匿名，查看FTP客戶端軟件顯示的連接信息。

3）增加一條狀態(tài)檢測規(guī)則，答應內(nèi)網(wǎng)拜訪外網(wǎng)目的端口為21、狀態(tài)為NEW、

ESTABLISHED和RELATED的TCP數(shù)據(jù)包。可參考如下規(guī)則設置：

方向：“內(nèi)網(wǎng)-＞外網(wǎng)”

增加到位置：1

協(xié)議：tcp

源地址:IP地址,/

目的地址:ftD.

目的端口：21

狀態(tài):NEW,ESTABLISHED,RELATED

動作:ACCEPT.

規(guī)則添加成功后，打開ftp客戶端，設置ftp客戶端默認的傳輸模式是PASV,即被

動模式，連接,匿名，查看連接信息。然后，打開ftp客戶端，設置ftp

客戶端默認的傳輸模式是PORT,即主動模式，連接,匿名，查看連接信

息。

第三步：點擊左邊導航欄的“狀態(tài)檢測”，在右邊打開的頁面中挑選“狀態(tài)表”，在打

開的頁面中查看防火墻系統(tǒng)所有連接的狀態(tài)并進行分析。

3.查看分析防火墻的狀態(tài)表

點擊左邊導航欄的“狀態(tài)檢測”，在右邊打開的頁面中挑選“狀態(tài)表”，在打開的頁面

中查看當前防火墻系統(tǒng)的所有連接的狀態(tài)。分別選取一條TCP連接，UDP連接，ICMP

連接4,分析各個參數(shù)的含義；并分析當前所有連接，了解每條連接相應的打開程序，

及其用途。

【實驗摸索題】

分別用普通包過濾和狀態(tài)檢測設置規(guī)則，使ftp客戶端僅僅可以下載站點

ftp:〃shuguang:shuguang@2:2121的文件。

4說明：如果當前沒有ICMP連接，按如下步驟：

(1)用普通包過濾設立一條拒絕到的ICMP協(xié)議包;

(2)打開DOS窗口，輸入ping-n10-t：

(3)刷新狀態(tài)表頁面，即可看到ICMP連接狀態(tài)。

4、應用代理實驗

【實驗目的】

1.了解防火墻代理級網(wǎng)關(guān)的工作原理；

2.把握配置防火墻代理級網(wǎng)關(guān)的方法。

【實驗環(huán)境及說明】

同實驗一。

【預備知識】

1.常用網(wǎng)絡客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，Telnet命令的使用等；

2.明白本實驗拓撲圖所示網(wǎng)絡的工作方式，懂得數(shù)據(jù)流通的方向；

3.把握HTTP代理和FTP代理的配置；

4.把握HTTP代理、FTP代理和Telnet代理的工作原理，明確它們各自的通信過

程，簡單的說，代理均是起到一個中繼的作用。

【實驗內(nèi)容】

在正確配置NAT規(guī)則的前提下（實驗一），配置好HTTP代理和FTP代理后，分

別配置HTTP代理規(guī)則、FTP代理規(guī)則和Telnet代理規(guī)則，然后配置好IE的HTTP代

理和FlashFXP的FTP代理，再通過登錄外網(wǎng)web頁面、登錄外網(wǎng)ftp服務器等常用網(wǎng)

絡客戶端操作判定配置的規(guī)則是否生效，具體內(nèi)容如下：

1.設置HTTP代理規(guī)則，配置IE的HTTP代理，采用瀏覽器拜訪外網(wǎng)以測試規(guī)則

是否生效；

2.設置FTP代理規(guī)則，配置FlashFXP的FTP代理，采用FlashFXP拜訪FTP服

務器以測試規(guī)則是否生效；

3.設置TELNET代理規(guī)則，采用開始菜單“運行”命令行工具cmd.exe,輸入代理

命令telnet542323,再測試規(guī)則是否生效。

【實驗步驟】

在每次實驗前，都要打開瀏覽器，輸入地址：54/firewall/jsp/main,

在打開的頁面中輸入學號和密碼，登陸防火墻實驗系統(tǒng)。

（一）HTTP代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導航欄的“HTTP代理”，在

打開的頁面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設置新規(guī)則。打開正瀏覽器，

配置HTTP代理。

1.設置IE的HTTP代理

1）IE菜單中的工具一internet選項，彈出“Internet屬性”對話框；

2）點擊“連接”標簽，按“局域網(wǎng)設置”，彈出“局域網(wǎng)（LAN）設置”對話框；

3）在“代理服務器”中勾選“使用代理服務器”，并輸入防火墻IP地址及端

口：54:3128,挑選“對于本地地址不使用代理服務器”，點擊“高

級”按鈕，進入“代理服務器設置”頁面，在“例外”欄填入54；

4）依次按下“確定”退出設置頁面；建議每次實驗后清空歷史紀錄。

2.測試HTTP代理的默認規(guī)則

打開IE,在地址欄中輸入任意地址，例如http:〃www.sjtu.edu.cn、

http:〃www.yahoo.com和等，觀察能否拜訪，并說明原因；

3.配置HTTP代理規(guī)則，驗證規(guī)則有效性

1）以教師分配的用戶名和密碼進入實驗系統(tǒng)，點擊左側(cè)導航條的“HTTP

代理”鏈接，進入“HTTP應用代理規(guī)則表”頁面，點擊“增加一條新規(guī)則”

后，增加一條HTTP代理規(guī)則答應規(guī)則，答應任意源地址到任意目的地

址的拜訪。再次瀏覽上述網(wǎng)址，觀察能否拜訪。

2）清空規(guī)則，增加兩條HTTP代理拒絕規(guī)則，拒絕拜訪

http:〃和http:〃www.sina.com.cn,可參考如下規(guī)則設置：

插入位置:1插入位置：1

源地址:*源地址:*

目的地址:ww.sj/a.eda.c”目的地址:WWcom.

動作:deny動作:deny

規(guī)則添加成功后，打開IE瀏覽器,拜訪http:〃http:〃www.yahoo.com

和http:〃，觀察能否拜訪。

3）再增加兩條HTTP代理答應規(guī)則，答應拜訪http:〃www.sjtu.edu.cn和

http:〃www.sina.com.cn,可參考如下規(guī)則設置：

插入位置：1插入位置：1

源地址:*源地址:*

目的地址:w'vvw.sjra.eda.c"目的地址:ww'tv.siaa.c。，".?！?/p>

動作：allow動作:allow

規(guī)則添加成功后，打開正瀏覽器,拜訪、

和http:〃www.sina.com.cn,觀察能否拜訪，說明原因。

4）結(jié)合普通包過濾規(guī)則，進一步加深對HTTP代理作用的懂得。清空普通

包過濾和HTTP代理規(guī)則，分別添加一條普通包過濾拒絕所以數(shù)據(jù)包規(guī)

則和一條HTTP代理答應規(guī)則，可參考如下規(guī)則設置：

先添加普通包過濾規(guī)則:

方向：“外網(wǎng)-＞內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：any

源地址：IP地址,/

源端口:disabled（由于協(xié)議挑選了any,此處不用挑選）

目的地址：1P地址,/

目的端口:disabled（由于協(xié)議挑選了any,此處不用挑選）

動作:REJECT.

取消IE的HTTP代理配置，在地址欄中輸入,觀察能否拜訪。

再添加HTTP代理答應規(guī)則：

插入位置：1

協(xié)議:any

源地址:*

目的地址:*

動作:allow<）

設置IE的HTTP代理，使用防火墻IP地址及端口：54:8008。再次瀏覽

,觀察能否拜訪。根據(jù)兩次實驗結(jié)果，分析使用HTTP代理對普

通包過濾規(guī)則的影響及原因。所有HTTP實驗終止以后，取消IE的HTTP代理，保證

可以正常拜訪實驗系統(tǒng)頁面。

（二）FTP代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導航欄的“FTP代理”，在打開

的頁面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設置新規(guī)則。打開FTP客戶端

FlashFXP,配置FTP代理。

1.設置FlashFTP的FTP代理：

1）FlashFXP菜單中的"Options"->"Preferences”,在彈出的“Configure

FlashFXP”對話框中挑選“Connection”子項，點擊“Proxy”，顯現(xiàn)代理設置

對話框；

2）點擊“Add”按鈕，在彈出的“AddProxyServerProfile”中依次輸入：

Name：域名

Type：Userftp-user@ftp-host:fip-port

Host：54Port：2121

User及Password為空,

3）依次按下“OK”按鈕，退出即可。

2.測試FTP代理的默認規(guī)則：

打開FlashFTP,在地址欄中填入或，觀察能否連接，

說明原因；

3.配置FTP代理規(guī)則，驗證規(guī)則有效性

1）以教師分配的用戶名和密碼進入實驗系統(tǒng)，點擊左側(cè)導航條的“FTP代

理”鏈接，顯示“FTP應用代理規(guī)則表”頁面，點擊“增加一條新規(guī)則”后，

增加一條FTP代理答應規(guī)則，答應任意源地址到任意目的地址的拜訪。

再次連接上述FTP站點，觀察能否拜訪。

2）增加一條FTP代理拒絕規(guī)則，拒絕拜訪（IP地

址:30）,可參考如下規(guī)則設置：

插入位置：1

源地址:*

目的地址:30

動作:deny

規(guī)則添加成功后，打開flashFXP,拜訪（IP地址:30）和

（IP地址:62）,觀察能否拜訪；

3）清空規(guī)則，增加一條FTP代理答應規(guī)則，答應拜訪（IP地

址:30）,可參考如下規(guī)則設置：

插入位置：1

源地址:*

目的地址:30

動作:allow

規(guī)則添加成功后，打開flashFXP,拜訪和,觀察能

否拜訪；

4）結(jié)合普通包過濾規(guī)則，進一步加深對FTP代理作用的懂得。清空普通

包過濾和FTP代理規(guī)則，分別添加一條普通包過濾拒絕所有數(shù)據(jù)包規(guī)則

和一條FTP代理答應規(guī)則，可參考如下規(guī)則設置：

先添加普通包過濾規(guī)則：

方向：“外網(wǎng)-＞內(nèi)網(wǎng)”

增加到位置：1

協(xié)議:any

源地址：IP地址,/

源端口:disabled（由于協(xié)議挑選了cmy,此處不用挑選）

目的地址：IP地址,/

目的端口:disabled（由于協(xié)議挑選了any,此處不用挑選）

動作:REJECT.

取消flashFXP的FTP代理配置，連接站點，觀察能否拜訪。

再添加FTP代理規(guī)則：

插入位置：1

協(xié)議:any

源地址:*

目的地址:*

動作:allowo

設置flashFXP的FTP代理配置，連接站點，觀察能否拜訪。根據(jù)兩

次實驗結(jié)果，分析使用FTP代理對普通包過濾規(guī)則的影響及原因。所有FTP實驗終止

以后，取消flashFXP的FTP代理。

（三）Telnet代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導航欄的“Telnet代理”，在

打開的頁面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設置新規(guī)則。

1.測試Telnet代理的默認規(guī)則：

打開“開始”菜單的“運行”命令行工具cmd.exe,先輸入代理命令telnet54

2323,再輸入命令telnet,觀察能否連接，說明原因。

2.配置Telnet代理規(guī)則，驗證規(guī)則有效性：

1）以教師分配的用戶名和密碼進入實驗系統(tǒng)，點擊實驗系統(tǒng)左側(cè)導航條的

“Telnet代理”鏈接，顯示“TELNET應用代理規(guī)則表”頁面，點擊“增加一

條新規(guī)則”后，增加一條Telnet代理接受規(guī)則，答應任意源地址到任意目

的地址的拜訪。使用命令行工具cmd.exe,先輸入代理命令telnet

542323,再拜訪,觀察能否拜訪o

2）按“增加一條新規(guī)則”按鈕，增加一條Telnet代理拒絕規(guī)則，拒絕拜訪

（IP地址：61），可參考如下規(guī)則設置：

插入位置：1

源地址:*

目的地址:61

動作:deny

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet

542323,再拜訪,觀察能否拜訪。

3）清空規(guī)則，分別添加一條Telnet代理拒絕規(guī)則，拒絕拜訪

（IP地址：61）,一條Telnet代理接受規(guī)則，接受拜訪

（IP地址：61），可參考如下規(guī)則設置：

插入位置：1插入位置：1

源地址:*源地址:*

目的地址:202120.58」61目的地址:202.120.58.⑹

動作:deny動作:allow

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet

542323,再拜訪,觀察能否拜訪，說明原因。

4）結(jié)合普通包過濾規(guī)則，進一步加深對TELNET代理作用的懂得。清空

普通包過濾和TELNET代理規(guī)則，分別添加一條普通包過濾拒絕所有數(shù)

據(jù)包規(guī)則和一條TELNET代理答應規(guī)則，可參考如下規(guī)則設置：

先添加普通包過濾規(guī)則:

方向：“外網(wǎng)-＞內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：any

源地址：IP地址,/

源端口:disabled（由于協(xié)議挑選了any,此處不用挑選）

目的地址：1P地址,/

目的端口:disabled（由于協(xié)議挑選了any,此處不用挑選）

動作:REJECT.

規(guī)則添加成功后，使用命令行工具cmd.exe,輸入命令telnet,拜訪

,觀察能否拜訪。

再添加TELNET代理規(guī)則：

插入位置：1

協(xié)議:any

源地址:*

目的地址:*

動作:allowo

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet54

2323,再拜訪,觀察能否拜訪，說明原因。

5、綜合實驗

【實驗目的】

1.了解企業(yè)防火墻的一樣作用。

2.學會靈活運用防火墻規(guī)則設置滿足企業(yè)需求。

【實驗環(huán)境及說明】

同實驗一、二、三

【預備知識】

1.了解基本的企業(yè)網(wǎng)絡拓撲。

2.了解ftp服務被動模式原理與相關(guān)代理設置。

3.懂得telnet服務工作原理。

4.懂得http拜訪以及http代理工作原理。

5.了解QQ工作原理

【實驗內(nèi)容】

某企業(yè)需要在防火墻上設置如下規(guī)則以滿足企業(yè)需要：

1.通過設置防火墻規(guī)則設置正確的NAT規(guī)則

2.通過設置防火墻規(guī)則將包過濾規(guī)則的默認動作為拒絕

3.通過設置防火墻規(guī)則打開內(nèi)網(wǎng)到外網(wǎng)，DMZ到外網(wǎng)的DNS服務

4.通過設置防火墻規(guī)則答應所有的客戶端以被動模式拜訪外網(wǎng)的FTP服務。

5.通過設置防火墻規(guī)則答應內(nèi)網(wǎng)用戶拜訪DMZ區(qū)中IP地址為和所

有外網(wǎng)的Telnet服務。

6.通過設置防火墻規(guī)則答應內(nèi)網(wǎng)用戶使用QQ服務。

【實驗步驟】

1.通過設置正確的NAT規(guī)則完成策略1。

2.通過設置正確的普通包過濾和狀態(tài)檢測完成策略2到策略6的。

6、事件審計實驗

【實驗目的】

通過實驗，了解防火墻日志的常見格式.學會根據(jù)日志，有針對性的檢驗規(guī)則,判定規(guī)

則是否生效.把握常見服務所用的協(xié)議及其端口.加深對于tcp等協(xié)議數(shù)據(jù)報文的懂得.加

深對網(wǎng)絡通信過程的懂得。

【實驗環(huán)境及說明】

1.本實驗的網(wǎng)絡拓撲圖如下：

Web服務器:理想狀況中DMZ會配置服務器來給滿足實驗功能。

FTPIR務器:如果防火墻實驗系統(tǒng)服務器是在實驗室區(qū)域網(wǎng)和防火墻區(qū)域網(wǎng)邊界，則須在須在實驗室區(qū)域網(wǎng)內(nèi)增加一FTP服務用來做FTP代理實驗。

如果防火墻實驗系統(tǒng)服務器在實驗室區(qū)域網(wǎng)和外網(wǎng)邊界，則不需要增加FTP服務.

2.外網(wǎng)使用的WEB驗證服務器一樣使用交大本校主頁http:〃；Ftp

服務器使用本校Ftp服務器。

3.實驗小組的機器要求將網(wǎng)關(guān)設置為防火墻主機和內(nèi)網(wǎng)的接口網(wǎng)卡IP地址：

54（次地址可由老師事先指定）。

4.實驗小組機器要求有WEB瀏覽器：IE或者其他；要求有Ftp客戶端：CuteFtp、

LeapFtp、FlashFXP或者其他。

【預備知識】

1.運算機網(wǎng)絡的基礎知識，方向、協(xié)議、端口、地址等概念以