計算機安全綜合實驗指導書

信息安全綜合實驗系統(tǒng)

ISIES實驗指導書

上海交通大學信息安全工程學院

2008年

何信息安全綜合實驗系統(tǒng)實驗指導書

KIES

目錄

一、防火墻實驗系統(tǒng)實驗指導書......................................................1

1、NAT轉換實驗...................................................................2

2、普通包過濾實驗.................................................................4

3、狀態(tài)檢測實驗...................................................................7

4、應用代理實驗..................................................................12

5,綜合實驗......................................................................18

6、事件審計實驗..................................................................19

二、入侵檢測實驗系統(tǒng)實驗指導書...................................................21

1、特征匹配檢測實驗..............................................................22

2、完整性檢測實驗................................................................32

3、網(wǎng)絡流量分析實驗..............................................................36

4、誤警分析實驗..................................................................41

三、安全審計實驗系統(tǒng)指導書.......................................................47

1、文件審計實驗..................................................................48

2、網(wǎng)絡審計實驗..................................................................53

3、打印審計實驗..................................................................57

4、日志監(jiān)測實驗..................................................................61

5、撥號審計實驗..................................................................64

6、審計跟蹤實驗..................................................................68

7、主機監(jiān)管實驗..................................................................73

四、病毒實驗系統(tǒng)實驗指導書.......................................................76

1、網(wǎng)絡炸彈實驗..................................................................77

2、萬花谷病毒實驗................................................................79

3、新歡樂時光病毒實驗.............................................................81

4、美麗莎病毒實驗................................................................86

5、N0.1病毒實驗..................................................................90

6、PE病毒實驗....................................................................92

五、PKI系統(tǒng)實驗指導書...........................................................97

1、證書申請實驗..................................................................98

2、用戶申請管理實驗.............................................................100

3、證書管理實驗.................................................................103

4、信任管理實驗.................................................................106

5、交叉認證實驗.................................................................109

6、證書應用實驗..................................................................112

7、SSL應用實驗..................................................................115

何信息安全綜合實驗系統(tǒng)實驗指導書

KIES

六、攻防實驗系統(tǒng)指導書..........................................................120

1、RPCDCOM堆棧溢出實驗.......................................................121

2、端口掃描實驗.................................................................127

3、漏洞掃描實驗.................................................................132

4、UNIX口令實驗破解.............................................................137

5、WINDOWS口令破解實驗.........................................................140

6、遠程控制實驗.................................................................147

7、灰鴿子遠程控制...............................................................153

七、密碼實驗系統(tǒng)指導書..........................................................159

1、DES單步加密實驗.............................................................160

2.DES算法實驗.................................................................162

3、3DES算法實驗................................................................164

4,AES算法實驗.................................................................166

5、MD5算法實驗.................................................................168

6、SHA-1算法實驗...............................................................170

7、RSA算法實驗.................................................................172

8、DSA數(shù)字簽名實驗.............................................................174

八、IPSECVPN實驗系統(tǒng)實驗指導書...............................................176

1、VPN安全性實驗...............................................................177

2、VPNIKE認證實驗.............................................................183

3、VPN模式比較實驗.............................................................187

九、多級安全訪問控制系統(tǒng)實驗指導書..............................................193

實驗環(huán)境介紹....................................................................194

1、PMI試驗.....................................................................195

2、XACML系統(tǒng)實驗..............................................................201

3、模型實驗.....................................................................206

4、RBAC系統(tǒng)實驗................................................................210

何信息安全綜合實驗系統(tǒng)

實驗指導書

防火墻實驗系統(tǒng)實驗指導書

1、NAT轉換實驗

2、普通包過濾實驗

3、狀態(tài)檢測實驗

4、應用代理實驗

5、綜合實驗

6、事件審計實驗

@信息安全綜合實驗系統(tǒng)

實驗指導書

1^1ES

1、NAT轉換實驗

【實驗目的】

通過實驗，深刻理解網(wǎng)絡地址分段、子網(wǎng)掩碼和端口的概念與原理。了解NAT的

基本概念、原理及其三種類型，即靜態(tài)NAT(StaticNAT)、動態(tài)地址NAT(PooledNAT)、

網(wǎng)絡地址端口轉換NAPT(Port-LevelNAT)。同時，掌握在防火墻實驗系統(tǒng)上配置NAT

的方法，學會判斷規(guī)則是否生效。

【實驗環(huán)境及說明】

1.本實驗的網(wǎng)絡拓撲圖如下。

DMZ區(qū)實驗室區(qū)域網(wǎng)

::

wet搬務器Internet

病毒防護實驗索統(tǒng)服務熟

入侵檢測實驗券統(tǒng)服務器

安全審計實驗系統(tǒng)服務器

防火墻區(qū)域網(wǎng)

:255,255.255.0

務器HR想狀況中DMZ會配置服務器來給滿足實驗功能.

FTHR務器和果防火墻實驗系統(tǒng)服務器是在實驗室區(qū)域網(wǎng)和防火墻區(qū)域網(wǎng)邊界-則須在須在實驗室區(qū)域河內增加一FTHK務用來做FTP代理實驗-

如果防火墻實驗系統(tǒng)服務器在實驗室區(qū)域網(wǎng)和外網(wǎng)邊界-則不需要增加FTP服務-

2.實驗小組的機器要求將網(wǎng)關設置為防火墻主機和內網(wǎng)的接口網(wǎng)卡IP地址：

54(次地址可由老師事先指定)。

3.實驗小組機器要求有WEB瀏覽器：IE或者其他。

4.配置結果測試頁面通過NAT轉換實驗進入頁面中的“驗證NAT目標地址”提供的鏈

接可以得到。NAT規(guī)則配置結束后，新打開瀏覽器窗口，通過“驗證NAT目標地址”

提供的地址，進入測試結果頁面，將顯示地址轉換后的目的地址。

2

■?信息安全綜合實驗系統(tǒng)實驗指導書

【預備知識】

1.NAT基本概念、原理及其類型；

2.常用網(wǎng)絡客戶端的操作：IE的使用，并通過操作，判斷防火墻規(guī)則是否生效；

3.了解常用的無法在互聯(lián)網(wǎng)上使用的保留IP地址（如：-55,

-55,~55）。深刻理解網(wǎng)絡地址分段、

子網(wǎng)掩碼和端口的概念與原理。

【實驗內容】

1.在防火墻實驗系統(tǒng)上，配置NAT的規(guī)則；

2.通過一些常用的網(wǎng)絡客戶端操作，判斷已配置的規(guī)則是否有效，對比不同規(guī)則下，

產(chǎn)生的不同效果。

【實驗步驟】

在每次實驗前,都要打開瀏覽器，輸入地址：54/firewal1/jsp/main,

在打開的頁面中輸入學號和密碼，登陸防火墻實驗系統(tǒng)。

在實驗前應先刪除防火墻原有的所有規(guī)則。

1）登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“NAT轉換”，進入“NAT的規(guī)則配置”

頁面。

2）在打開的頁面中，如果有任何規(guī)則存在，點擊“刪除所有規(guī)則”；

3）點擊“增加一條規(guī)則”，進入規(guī)則配置的界面。下面對此界面中的一些選項作說

明：源地址、目的地址——地址用IP地址來表示。

4）選擇源地址：IP地址，5,目的地址，比如：IP地址，00、

目的端口:ethO。按“增加”后,就增加了一條NAT規(guī)則,這條規(guī)則將內部地址5

映射為外部地址00o

增加NAT規(guī)則后，可以用瀏覽器在規(guī)則添加前后進行檢測（新打開窗口，輸入進

入頁面中的“驗證NAT目標地址”），以判斷規(guī)則是否有效以及起到了什么效果。詳見參

考答案。

5）當完成配置規(guī)則和檢測后，可以重復步驟2）到步驟4）,來配置不同的規(guī)則。

3

■?信息安全綜合實驗系統(tǒng)實驗指導書

2、普通包過濾實驗

【實驗目的】

通過實驗，了解普通包過濾的基本概念和原理，如方向、協(xié)議、端口、源地址、目

的地址等等，掌握常用服務所對應的協(xié)議和端口。同時，掌握在防火墻實驗系統(tǒng)上配置

普通包過濾型防火墻的方法，學會判斷規(guī)則是否生效。

【實驗環(huán)境及說明】

同實驗一

【預備知識】

1.計算機網(wǎng)絡的基礎知識，方向、協(xié)議、端口、地址等概念以及各常用服務所對應的

協(xié)議、端口；

2.常用網(wǎng)絡客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使用等，并通

過這些操作，判斷防火墻規(guī)則是否生效；

3.包過濾型防火墻的基本概念，理解各規(guī)則的意義。

【實驗內容】

在正確配置NAT規(guī)則的前提下（實驗一），實驗首先配置普通包過濾規(guī)則，然后

通過登錄外網(wǎng)web頁面、登錄外網(wǎng)ftp服務器等常用網(wǎng)絡客戶端操作判斷配置的規(guī)則是

否生效，具體內容如下：

1.設置一條規(guī)則，阻擋所有外網(wǎng)到內網(wǎng)的數(shù)據(jù)包。采用ping命令檢測規(guī)則是否生效。

2.設置多條規(guī)則，使本機只能訪問外網(wǎng)中和的服務。采

用瀏覽器和FTP工具測試規(guī)則是否生效。

3.將已經(jīng)設置的多條規(guī)則順序打亂，分析不同次序的規(guī)則組合會產(chǎn)生怎樣的作用，然

后通過網(wǎng)絡客戶端操作檢驗規(guī)則組合產(chǎn)生的效果。

【實驗步驟】

在每次實驗前，都要打開瀏覽器，輸入地址：54/firewall/jsp/main,

在打開的頁面中輸入學號和密碼，登陸防火墻實驗系統(tǒng)。

第一步：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“普通包過濾”，在右側的界面

中選擇一個方向進入。此處共有外網(wǎng)＜-＞內網(wǎng)、外網(wǎng)＜-＞DMZ和內網(wǎng)＜-＞DMZ3個方向1可

供選擇。

第二步：在打開的頁面中，如果有任何規(guī)則存在，點擊“刪除所有規(guī)則”。

?例如，選擇“外網(wǎng)＜-＞內網(wǎng)”，就能配置內網(wǎng)和外網(wǎng)之間的普通包過濾規(guī)則。

4

■?信息安全綜合實驗系統(tǒng)實驗指導書

第三步：點擊“增加一條規(guī)則”，進入規(guī)則配置界面2,配置規(guī)則。如果對正在配置

的規(guī)則不滿意，可以點擊“重置”，將配置頁面恢復到默認的狀態(tài)。

1.設置一條規(guī)則，阻擋所有外網(wǎng)到內網(wǎng)的數(shù)據(jù)包并檢測規(guī)則有效性。

選擇正確的選項，點擊“增加”后，增加一條普通包過濾規(guī)則，阻擋所有外網(wǎng)到內網(wǎng)

的數(shù)據(jù)包。例如：

方向：“外網(wǎng)->內網(wǎng)”

增加到位置：1

協(xié)議:any

源地址:IP地址,/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址:1P地址,/

目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

動作:REJECT。

規(guī)則添加成功后，可以用各種客戶端工具，例如IE、FTP客戶端工具、ping等進

行檢測，以判斷規(guī)則是否有效以及起到了什么效果。

2.設置多條規(guī)則，使本機只能訪問外網(wǎng)中和提供的服

務，檢測規(guī)則組合有效性。

多條規(guī)則設置必須注意每一條規(guī)則增加到的位置（即規(guī)則的優(yōu)先級），可以參考下

面的所列的規(guī)則組合增加多條規(guī)則。

方向:外->內方向:外->內方向:外->內

增加到位置：1增加到位置:2增加到位置:3

源地址:源地址:源地址:/

源端口:any源端口：21源端口:any

目的地址:/目的地址:/目的地址:/

目的端口:any目的端口:any目的端口:any

協(xié)議類型:all協(xié)議類型：tcp協(xié)議類型：all

動作:ACCEPT動作:ACCEPT動作:REJECT

規(guī)則添加成功后，可以用IE、FTP客戶端工具、；等進行檢測，以判斷規(guī)則組

合是否有效。

2此界面中可以選擇的項包括：

方向一對什么方向上的包進行過濾；

增加到位置——將新增的規(guī)則放到指定的位置，越靠前優(yōu)先級越高（不同規(guī)則順序可能產(chǎn)生不同結果）；

協(xié)議---tcp、udp和icmp,any表示所有3種協(xié)議：

源地址、目的地址——地址可以用IP地址、網(wǎng)絡地址、域名以及MAC地址能不同的方式來表示，其中

表示所有地址：

源端口、目的端口——不同的服務對應不同的端口，要選擇正確的端口才能過濾相應的服務；

動作——ACCEPT和REJECT,決定是否讓一個包通過。

5

何信息安全綜合實驗系統(tǒng)

實驗指導書

3.將已經(jīng)設置的多條規(guī)則順序打亂，分析不同次序的規(guī)則組合會產(chǎn)生怎樣的作用，并

使用IE、FTP客戶端工具、ping等進行驗證。

【實驗思考題】

某機構的網(wǎng)絡可以接受來自Internet的訪問。有只在端口80上提供服務的Web服

務器；只在端口25上提供服務的郵件服務器（接收發(fā)來的所有郵件并發(fā)送所有要發(fā)出

的郵件）；允許內部用戶使用Http、Https、Ftp、Telnet、Ssh服務。請制定合適的包過

濾防火墻規(guī)則（要求以列表的形式給出，可以抽象表示IP地址，比如“源IP”：內部網(wǎng)

絡）。

優(yōu)先級別源地址源端口目的地址目的端口協(xié)議動作

6

■?信息安全綜合實驗系統(tǒng)實驗指導書

3、狀態(tài)檢測實驗

【實驗目的】

1.掌握防火墻狀態(tài)檢測機制的原理；

2.掌握防火墻狀態(tài)檢測功能的配置方法；

3.理解網(wǎng)絡連接的各個狀態(tài)的含義；

4.理解防火墻的狀態(tài)表；

5.理解Ftp兩種不同傳輸方式的區(qū)別，以及掌握防火墻對Ftp應用的配置。

【實驗環(huán)境及說明】

同實驗一

【預備知識】

1.網(wǎng)絡基礎知識：網(wǎng)絡基本概念，網(wǎng)絡基礎設備，TCP/IP協(xié)議，UDP協(xié)議，ICMP協(xié)

議和ARP協(xié)議等；

2.常用網(wǎng)絡客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使用等；

3.從某主機到某目的網(wǎng)絡阻斷與否的判斷方法；

4.FTP的兩種不同數(shù)據(jù)傳輸方式的原理；

5.本實驗拓撲圖所示網(wǎng)絡的工作方式，理解數(shù)據(jù)流通的方向；

6.防火墻實驗系統(tǒng)的基本使用，而且已經(jīng)掌握了包過濾功能的相關實驗。

【實驗內容】

在正確配置NAT規(guī)則的前提下（實驗一），實驗以為例，針對FTP

主動和被動數(shù)據(jù)傳輸方式，分別配置普通包過濾規(guī)則和狀態(tài)檢測規(guī)則，通過登錄外網(wǎng)

ftp服務器驗證配置的規(guī)則有效性，體會防火墻狀態(tài)檢測技術的優(yōu)越性，最后分析

TCP/UDP/ICMP三種協(xié)議狀態(tài)信息。具體內容如下：

1.設置普通包過濾規(guī)則，實現(xiàn)ftp兩種不同的數(shù)據(jù)傳輸方式，采用ftp客戶端工具

FlashFXP檢測規(guī)則是否生效。

2.設置狀態(tài)檢測規(guī)則，實現(xiàn)ftp的兩種不同數(shù)據(jù)傳輸方式，采用ftp客戶端工具

FlashFXP檢測規(guī)則是否生效。與前面的普通包過濾實驗比較，理解狀態(tài)檢測機制的

優(yōu)越性。

3.查看防火墻的狀態(tài)表，分析TCP、UDP和ICMP三種協(xié)議的狀態(tài)信息。

7

何信息安全綜合實驗系統(tǒng)

實驗指導書

【實驗步驟】

在每次實驗前，打開瀏覽器，輸入地址：http://l54/firewall/jsp/main,在

打開的頁面中輸入學號和密碼，登陸防火墻教學實驗系統(tǒng)。

第一步：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“普通包過濾“，在打開的頁面

中，如果有任何規(guī)則存在，點擊“刪除所有規(guī)則”后開始新規(guī)則設置，實現(xiàn)與

服務器之間的主動和被動數(shù)據(jù)傳輸方式。

1.配置普通包過濾規(guī)則，實現(xiàn)FTP的主動和被動傳輸模式

>PORT（主動）模式

1）選擇正確的選項，點擊“增加”后，增加兩條普通包過濾規(guī)則，阻擋所有內網(wǎng)到

外網(wǎng)及外網(wǎng)到內網(wǎng)的TCP協(xié)議規(guī)則。

規(guī)則添加成功后，打開ftp客戶端，設置ftp客戶端默認的傳輸模式為主動模式,

即PORT3o匿名連接,查看FTP毒戶端軟件顯示的連接信息。

2）增加兩條普通包過濾規(guī)則，允許ftp控制連接。可參考如下規(guī)則設置：

方向:內-）外方向:外->內

增加到位置：1增加到位置：1

源地址:/源地址:代

源端U：any源端t~h21

目的地址:目的地址:/

目的端口:21目的端口:any

協(xié)議類型：tcp協(xié)議類型：tcp

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端，連接,匿名，查看FTP客戶端軟

件顯示的連接信息。

3）增加兩條普通包過濾規(guī)則，允許ftp數(shù)據(jù)連接?？蓞⒖既缦乱?guī)則設置:

方向:內-〉夕卜方向:外->內

增加到位置:1增加到位置:1

源地址:/源地址:ftD.

源端U：any源端U：20

目的地址:目的地址:/

目的端口:20目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端，連接,匿名，查看FTP客戶端軟

件顯示的連接信息。

3FlashFXP軟件，點擊選項->參數(shù)設置->連接，設置主動模式或被動模式。

8

■?信息安全綜合實驗系統(tǒng)實驗指導書

>PASV（被動）模式

1）選擇正確的選項，點擊“增加”后，增加兩條普通包過濾規(guī)則，阻擋所有內網(wǎng)到

外網(wǎng)及外網(wǎng)到內網(wǎng)的TCP協(xié)議規(guī)則。

規(guī)則添加成功后，打開ftp客戶端，設置ftp客戶端默認的傳輸模式為被動模式，

即PASV。匿名連接,查看FTP客戶端軟件顯示的連接信息。

2）增加兩條普通包過濾規(guī)則，允許ftp控制連接。

規(guī)則添加成功后，打開ftp客戶端，連接,匿名，查看FTP客戶端軟

件顯示的連接信息。

3）增加兩條普通包過濾規(guī)則，允許ftp數(shù)據(jù)連接?？蓞⒖既缦乱?guī)則設置：

方向:內->外方向:外，內

增加到位置:1增加到位置:1

源地址:/源地址:

源端口:any源端口:1024：65535

目的地址:目的地址:/

目的端口:1024：65535目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開ftp客戶端,連接,匿名，查看FTP客戶端軟

件顯示的連接信息。

第二步：點擊左側導航欄的“狀態(tài)檢測”，如果有任何規(guī)則存在，點擊“刪除所有規(guī)

則”后開始新規(guī)則設置，實現(xiàn)與服務器之間的主動和被動數(shù)據(jù)傳輸方式。

2.配置狀態(tài)檢測規(guī)則，實現(xiàn)FTP的主動和被動傳輸模式

1）選擇正確的選項，點擊“增加”后，增加兩條狀態(tài)檢測規(guī)則，阻擋內網(wǎng)到外網(wǎng)及

外網(wǎng)到內網(wǎng)的所有TCP協(xié)議、所有狀態(tài)的規(guī)則。可參考如下規(guī)則設置：

方向:內->夕卜方向:外->內

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端口：any目的端口：any

協(xié)議類型：tcp協(xié)議類型：tcp

狀態(tài):NEW,ESTABLISHED,狀態(tài)：NEW,ESTABLISHED,

RELATED,INVALIDRELATED,INVALID

動作:REJECT動作:REJECT

規(guī)則添加成功后，打開即客戶端，設置ftp客戶端默認的傳輸模式是PASV,即被

動模式，連接,匿名，查看FTP客戶端軟件顯示的連接信息。然后，打

9

信息安全綜合實驗系統(tǒng)實驗指導書

開ftp客戶端，設置ftp客戶端默認的傳輸模式是PORT,即主動模式，連接,

匿名，查看FTP客戶端軟件顯示的連接信息。

2）增加兩條狀態(tài)檢測規(guī)則，允許訪問內網(wǎng)到外網(wǎng)及外網(wǎng)到內網(wǎng)目的端口為任意、

狀態(tài)為ESTABLISHED和RELATED的TCP數(shù)據(jù)包?？蓞⒖既缦乱?guī)則設置：

方向:內，外方向:外-＞內

增加到位置：1增加到位置：1

源地址:/源地址:/

源端U：any源端口：any

目的地址:/目的地址:/

目的端口：any目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

狀態(tài):ESTABLISHED,狀態(tài);ESTABLISHED,

RELATEDRELATED

動作:ACCEPT動作:ACCEPT

規(guī)則添加成功后，打開即客戶端，設置即客戶端默認的傳輸模式是PASV,即被

動模式，連接,匿名，查看FTP客戶端軟件顯示的連接信息。然后，打

開ftp客戶端，設置ftp客戶端默認的傳輸模式是PORT,即主動模式，連接,

匿名，查看FTP客戶端軟件顯示的連接信息。

3）增加一條狀態(tài)檢測規(guī)則，允許內網(wǎng)訪問外網(wǎng)目的端口為21、狀態(tài)為NEW、

ESTABLISHED和RELATED的TCP數(shù)據(jù)包。可參考如下規(guī)則設置：

方向:“內網(wǎng)-＞夕卜網(wǎng)”

增加到位置:1

協(xié)議：tcp

源地址：IP地址,/

目的地址:

目的端口:21

狀態(tài):NEW,ESTABLISHED,RELATED

動作:ACCEPTo

規(guī)則添加成功后，打開即客戶端，設置即客戶端默認的傳輸模式是PASV,即被

動模式，連接,匿名，查看連接信息。然后，打開ftp客戶端，設置ftp

客戶端默認的傳輸模式是PORT,即主動模式，連接,匿名，查看連接信

息。

第三步：點擊左邊導航欄的“狀態(tài)檢測”，在右邊打開的頁面中選擇“狀態(tài)表”，在打

開的頁面中查看防火墻系統(tǒng)所有連接的狀態(tài)并進行分析。

3.查看分析防火墻的狀態(tài)表

點擊左邊導航欄的“狀態(tài)檢測”，在右邊打開的頁面中選擇“狀態(tài)表”，在打開的頁面

中查看當前防火墻系統(tǒng)的所有連接的狀態(tài)。分別選取一條TCP連接，UDP連接，ICMP

10

■?信息安全綜合實驗系統(tǒng)實驗指導書

連接二分析各個參數(shù)的含義；并分析當前所有連接，了解每條連接相應的打開程序，

及其用途。

【實驗思考題】

分別用普通包過濾和狀態(tài)檢測設置規(guī)則，使ftp客戶端僅僅可以下載站點

ftp:〃shuguang:shuguang@2:2121的文件。

4說明：如果行前沒有【CMP連接，按如卜.步驟：

(1)用普通包過濾設立一條拒絕到的ICMP協(xié)議包:

(2)打開DOS窗口，輸入ping-n10-t；

(3)刷新狀態(tài)表頁面，即可看到ICMP連接狀態(tài)。

11

何信息安全綜合實驗系統(tǒng)

實驗指導書

4、應用代理實驗

【實驗目的】

1.了解防火墻代理級網(wǎng)關的工作原理；

2.掌握配置防火墻代理級網(wǎng)關的方法。

【實驗環(huán)境及說明】

同實驗一。

【預備知識】

1.常用網(wǎng)絡客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，Telnet命令的使用等；

2.明白本實驗拓撲圖所示網(wǎng)絡的工作方式，理解數(shù)據(jù)流通的方向；

3.掌握HTTP代理和FTP代理的配置；

4.掌握HTTP代理、FTP代理和Telnet代理的工作原理，明確它們各自的通信過程，

簡單的說，代理均是起到一個中繼的作用。

【實驗內容】

在正確配置NAT規(guī)則的前提下(實驗一)，配置好HTTP代理和FTP代理后，分

別配置HTTP代理規(guī)則、FTP代理規(guī)則和Telnet代理規(guī)則，然后配置好IE的HTTP代

理和FlashFXP的FTP代理，再通過登錄外網(wǎng)web頁面、登錄外網(wǎng)ftp服務器等常用網(wǎng)

絡客戶端操作判斷配置的規(guī)則是否生效，具體內容如下：

1.設置HTTP代理規(guī)則，配置IE的HTTP代理，采用瀏覽器訪問外網(wǎng)以測試規(guī)則是

否生效；

2.設置FTP代理規(guī)則，配置FlashFXP的FTP代理，采用FlashFXP訪問FTP服務器

以測試規(guī)則是否生效；

3.設置TELNET代理規(guī)則，采用開始菜單“運行”命令行工具cmd.exe,輸入代理命令

telnet542323,再測試規(guī)則是否生效。

【實驗步驟】

在每次實驗前，都要打開瀏覽器，輸入地址：54/firewall/jsp/main,

在打開的頁面中輸入學號和密碼，登陸防火墻實驗系統(tǒng)。

(-)HTTP代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“HTTP代理”，在

打開的頁面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設置新規(guī)則。打開IE瀏覽器，

配置HTTP代理。

1.設置IE的HTTP代理

12

■?信息安全綜合實驗系統(tǒng)實驗指導書

1）IE菜單中的工具一Xntemet選項，彈出“Internet屬性”對話框；

2）點擊“連接”標簽，按“局域網(wǎng)設置”，彈出“局域網(wǎng)（LAN）設置”對話框；

3）在“代理服務器”中勾選“使用代理服務器”，并輸入防火墻IP地址及端口：

54:3128,選擇“對于本地地址不使用代理服務器”，點擊“高級”按鈕，

進入“代理服務器設置”頁面，在“例外”欄填入54；

4）依次按下“確定”退出設置頁面；建議每次實驗后清空歷史紀錄。

2.測試HTTP代理的默認規(guī)則

打開IE,在地址欄中輸入任意地址，例如、

和http:〃等,觀察能否訪問，并說明原因；

3.配置HTTP代理規(guī)則，驗證規(guī)則有效性

1）以教師分配的用戶名和密碼進入實驗系統(tǒng)，點擊左側導航條的“HTTP代理”鏈

接，進入“HTTP應用代理規(guī)則表”頁面，點擊“增加一條新規(guī)則”后，增加一條

HTTP代理規(guī)則允許規(guī)則，允許任意源地址到任意目的地址的訪問。再次瀏覽上

述網(wǎng)址，觀察能否訪問。

2）清空規(guī)則，增加兩條HTTP代理拒絕規(guī)則，拒絕訪問和

http:〃,可參考如下規(guī)則設置：

插入位置：1插入位置：1

源地址:*源地址:*

目的地址:目的地址:

動作:deny動作:deny

規(guī)則添加成功后，打開IE瀏覽器,訪問http:〃http:〃

和,觀察能否訪問。

3）再增加兩條HTTP代理允許規(guī)則，允許訪問http:〃和

http:〃,可參考如下規(guī)則設置：

插入位置:1插入位置:1

源地址:*源地址:*

目的地址:www.sjfw.etfa.c”目的地址:ww"'.sin”,com,cn

動作:allow動作:allow

規(guī)則添加成功后，打開IE瀏覽器,訪問、http:〃

和http:〃,觀察能否訪問，說明原因。

4）結合普通包過濾規(guī)則，進一步加深對HTTP代理作用的理解。清空普通包過濾

和HTTP代理規(guī)則，分別添加一條普通包過濾拒絕所以數(shù)據(jù)包規(guī)則和一條HTTP

代理允許規(guī)則，可參考如下規(guī)則設置：

先添加普通包過濾規(guī)則:

方向:“外網(wǎng)-＞內網(wǎng)”

13

■?信息安全綜合實驗系統(tǒng)實驗指導書

增加到位置:1

協(xié)議:any

源地址:1P地址,/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：IP地址,/

目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

動作:REJECTo

取消IE的HTTP代理配置，在地址欄中輸入,觀察能否訪問。

再添加HTTP代理允許規(guī)則：

插入位置:1

協(xié)議:any

源地址:*

目的地址:*

動作:allowo

設置IE的HTTP代理，使用防火墻IP地址及端口：54:8008。再次瀏覽

,觀察能否訪問。根據(jù)兩次實驗結果，分析使用HTTP代理對普

通包過濾規(guī)則的影響及原因。所有HTTP實驗結束以后，取消IE的HTTP代理，保證

可以正常訪問實驗系統(tǒng)頁面。

（二）FTP代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“FTP代理”，在打開

的頁面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設置新規(guī)則。打開FTP客戶端

FlashFXP,配置FTP代理。

1.設置FlashFTP的FTP代理：

1）FlashFXP菜單中的“Options”->“Prefbrences”，在彈出的“ConfigureFlashFXP”對

話框中選擇“Connection”子項，點擊“Proxy”，出現(xiàn)代理設置對話框；

2）點擊“Add”按鈕，在彈出的"AddProxyServerProfile”中依次輸入：

Name：域名

Type：Userftp-user@ftp-host:ftp-port

Host：54Port：2121

User及Password為空,

3）依次按下“OK”按鈕，退出即可。

2.測試FTP代理的默認規(guī)則：

打開FlashFTP,在地址欄中填入或，觀察能否連接，

說明原因；

3.配置FTP代理規(guī)則，驗證規(guī)則有效性

1）以教師分配的用戶名和密碼進入實驗系統(tǒng)，點擊左側導航條的“FTP代理”鏈接，

顯示“FTP應用代理規(guī)則表”頁面，點擊“增加一條新規(guī)則”后，增加一條FTP代

理允許規(guī)則，允許任意源地址到任意目的地址的訪問。再次連接上述FTP站點，

14

■?信息安全綜合實驗系統(tǒng)實驗指導書

觀察能否訪問。

2）增加一條FTP代理拒絕規(guī)則，拒絕訪問（IP地址:30）,

可參考如下規(guī)則設置：

插入位置:I

源地址:*

目的地址:30

動作：deny

規(guī)則添加成功后，打開flashFXP,訪問（IP地址:30）和

（IP地址:62）,觀察能否訪問；

3）清空規(guī)則，增加一條FTP代理允許規(guī)則，允許訪問（IP地

址:30）,可參考如下規(guī)則設置：

插入位置：1

源地址:*

目的地址:30

動作:allow

規(guī)則添加成功后，打開flashFXP,訪問和,觀察能

否訪問；

4）結合普通包過濾規(guī)則，進一步加深對FTP代理作用的理解。清空普通包過濾和

FTP代理規(guī)則，分別添加一條普通包過濾拒絕所有數(shù)據(jù)包規(guī)則和一條FTP代理

允許規(guī)則，可參考如下規(guī)則設置：

先添加普通包過濾規(guī)則：

方向:“外網(wǎng)-＞內網(wǎng)”

增加到位置：1

協(xié)議:any

源地址:1P地址,/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址:1P地址,/

目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

動作:REJECTo

取消flashFXP的FTP代理配置，連接站點,觀察能否訪問。

再添加FTP代理規(guī)則：

插入位置：1

協(xié)議:any

源地址:*

目的地址:*

動作:allowo

15

信息安全綜合實驗系統(tǒng)實驗指導書

設置flashFXP的FTP代理配置，連接站點，觀察能否訪問。根據(jù)兩

次實驗結果，分析使用FTP代理對普通包過濾規(guī)則的影響及原因。所有FTP實驗結束

以后，取消flashFXP的FTP代理。

（三）Telnet代理實驗：登陸防火墻實驗系統(tǒng)后，點擊左側導航欄的“Telnet代理”，在

打開的頁面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設置新規(guī)則。

1.測試Telnet代理的默認規(guī)則：

打開“開始”菜單的“運行”命令行工具cmd.exe,先輸入代理命令telnet54

2323,再輸入命令telnet,觀察能否連接，說明原因。

2.配置Telnet代理規(guī)則，驗證規(guī)則有效性：

1）以教師分配的用戶名和密碼進入實驗系統(tǒng)，點擊實驗系統(tǒng)左側導航條的“Telnet

代理”鏈接，顯示“TELNET應用代理規(guī)則表”頁面，點擊“增加一條新規(guī)則”后，

增加一條Telnet代理接受規(guī)則，允許任意源地址到任意目的地址的訪問。使用

命令行工具cmd.exe,先輸入代理命令telnet542323,再訪問

,觀察能否訪問0

2）按“增加一條新規(guī)則”按鈕，增加一條Telnet代理拒絕規(guī)則，拒絕訪問

（IP地址：6D，可參考如下規(guī)則設置：

插入位置:1

源地址:*

目的地址:61

動作:deny

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet

542323,再訪問,觀察能否訪問。

3）清空規(guī)則，分別添加,條Telnet代理拒絕規(guī)則，拒絕訪問（IP地

址：61）,一條Telnet代理接受規(guī)則，接受訪問（IP

地址：61），可參考如下規(guī)則設置：

插入位置：1插入位置：T

源地址:*源地址:*

目的地址:61目的地址:202.12058.161

動作:deny動作:allow

規(guī)則添加成功后，使用命令行工具cmd.exe,先輸入代理命令telnet

542323,再訪問,觀察能否訪問，說明原因。

4）結合普通包過濾規(guī)則，進一步加深對TELNET代理作用的理解。清空普通包過

濾和TELNET代理規(guī)則，分別添加一條普通包過濾拒絕所有數(shù)據(jù)包規(guī)則和一條

TELNET代理允許規(guī)則，可參考如下規(guī)則設置：

先添加普通包過濾規(guī)則：

方向:“外網(wǎng)-＞內網(wǎng)”

增加到位置：1

協(xié)議:any

16

■?信息安全綜合實驗系統(tǒng)實驗指導書

源地址：IP地址,/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址:1P地址,/

目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

動作:REJECT.

規(guī)則添加成功后，使用命令行工具cmd.exe,輸入命令telnet,訪問

,觀察能否訪問。

再添力口T