信息安全實(shí)驗(yàn)手冊(cè)

Y海T乂與三冊(cè)

上海交通大學(xué)信息安全工程學(xué)院

2008年

目錄

一、防火墻實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書1

1、NAT轉(zhuǎn)換實(shí)驗(yàn)2

2、一般包過(guò)濾實(shí)驗(yàn)4

3、狀態(tài)檢測(cè)實(shí)驗(yàn)7

4、應(yīng)用代理實(shí)驗(yàn)11

5、綜合實(shí)驗(yàn)16

6、事件審計(jì)實(shí)驗(yàn)17

二、入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書19

1、特點(diǎn)匹配檢測(cè)實(shí)驗(yàn)20

2、完整性檢測(cè)實(shí)驗(yàn)25

3、網(wǎng)絡(luò)流量分析實(shí)驗(yàn)29

4、誤警分析實(shí)驗(yàn)31

三、安全審計(jì)實(shí)驗(yàn)系統(tǒng)指導(dǎo)書36

1、文件審計(jì)實(shí)驗(yàn)37

2、網(wǎng)絡(luò)審計(jì)實(shí)驗(yàn)41

3、打印審計(jì)實(shí)驗(yàn)44

4、日志監(jiān)測(cè)實(shí)驗(yàn)47

5、撥號(hào)審計(jì)實(shí)驗(yàn)50

6、審計(jì)跟蹤實(shí)驗(yàn)53

7、主機(jī)監(jiān)管實(shí)驗(yàn)58

四、病毒實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書60

1、網(wǎng)絡(luò)炸彈實(shí)驗(yàn)61

2、萬(wàn)花谷病毒實(shí)驗(yàn)63

3、新歡樂(lè)時(shí)刻病毒實(shí)驗(yàn)65

4、漂亮莎病毒實(shí)驗(yàn)68

5、NO.1病毒實(shí)驗(yàn)70

6、PE病毒實(shí)驗(yàn)72

五、PKI系統(tǒng)實(shí)驗(yàn)指導(dǎo)書76

1、證書申請(qǐng)實(shí)驗(yàn)77

2、用戶申請(qǐng)治理實(shí)驗(yàn)79

3、證書治理實(shí)驗(yàn)81

4、信任治理實(shí)驗(yàn)83

5、交叉認(rèn)證實(shí)驗(yàn)85

6、證書應(yīng)用實(shí)驗(yàn)88

7、SSL應(yīng)用實(shí)驗(yàn)90

六、攻防實(shí)驗(yàn)系統(tǒng)指導(dǎo)書94

1、RPCDCOM堆棧溢出實(shí)驗(yàn)95

2、端口掃描實(shí)驗(yàn)102

3、漏洞掃描實(shí)驗(yàn)107

4、Unix口令實(shí)驗(yàn)破解110

5、Windows口令破解實(shí)驗(yàn)115

6、遠(yuǎn)程操縱實(shí)驗(yàn)122

7、灰鴿子遠(yuǎn)程操縱128

七、密碼實(shí)驗(yàn)系統(tǒng)指導(dǎo)書132

1、DES單步加密實(shí)驗(yàn)133

2.DES算法實(shí)驗(yàn)135

3、3DES算法實(shí)驗(yàn)137

4、AES算法實(shí)驗(yàn)139

5、MD5算法實(shí)驗(yàn)141

6、SHA-1算法實(shí)驗(yàn)143

7、RSA算法實(shí)驗(yàn)144

8、DSA數(shù)字簽名實(shí)驗(yàn)147

八、IPSecVPN實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書149

1、VPN安全性實(shí)驗(yàn)150

2、VPNIKE認(rèn)證實(shí)驗(yàn)156

3、VPN模式比較實(shí)驗(yàn)161

九、多級(jí)安全訪咨詢操縱系統(tǒng)實(shí)驗(yàn)指導(dǎo)書168

實(shí)驗(yàn)環(huán)境介紹169

1、PMI試驗(yàn)170

2、XACML系統(tǒng)實(shí)驗(yàn)174

3、模型實(shí)驗(yàn)179

4、RBAC系統(tǒng)實(shí)驗(yàn)182

防火墻實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書

NAT轉(zhuǎn)換實(shí)驗(yàn)

一般包過(guò)濾實(shí)驗(yàn)

狀態(tài)檢測(cè)實(shí)驗(yàn)

應(yīng)用代理實(shí)驗(yàn)

綜合實(shí)驗(yàn)

事件審計(jì)實(shí)驗(yàn)

:255,255.255.0:

Web服務(wù)器Internet

病毒防護(hù)實(shí)驗(yàn)系統(tǒng)服務(wù)器

入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)服務(wù)器

安全審計(jì)實(shí)驗(yàn)系統(tǒng)服務(wù)器

1、NAT轉(zhuǎn)換實(shí)驗(yàn)

認(rèn)證服務(wù)'

【實(shí)驗(yàn)?zāi)康摹?-------

一逋丑福墻港陋■百篇憫維完M分尸福國(guó)碼巡端口階念與原理。

了解N品徵整率費(fèi)產(chǎn)。愿理及*登如R/J,即*態(tài)NAT湍ANAT)、

動(dòng)態(tài)地址NAT(Po^^NAT)、網(wǎng)絡(luò)勰圭簫峰號(hào)MhPT(Port-LevelNAT)。

同時(shí)，把配亶NAT的方法

I

FTP..：■-；--

森衾疑崩盤絳痢亂圖用曝裝驗(yàn)功能。

FTP服務(wù)器:如果防火墻實(shí)驗(yàn)系統(tǒng)服務(wù)器是在實(shí)驗(yàn)室區(qū)域網(wǎng)和防火墻區(qū)域網(wǎng)邊界，則須在須在實(shí)驗(yàn)室區(qū)域網(wǎng)內(nèi)增加一FTP服務(wù)用來(lái)做FTP代理實(shí)驗(yàn).

如果防火墻實(shí)驗(yàn)系統(tǒng)服務(wù)器在實(shí)驗(yàn)室區(qū)域網(wǎng)和外網(wǎng)邊界，則不需要增加FTP服務(wù).

實(shí)驗(yàn)小組的機(jī)器要求將網(wǎng)關(guān)設(shè)置為防火墻主機(jī)和內(nèi)網(wǎng)的接口網(wǎng)卡IP地

址：54(次地址可由老師事先指定)。

實(shí)驗(yàn)小組機(jī)器要求有WEB掃瞄器：IE或者其他。

配置結(jié)果測(cè)試頁(yè)面通過(guò)NAT轉(zhuǎn)換實(shí)驗(yàn)進(jìn)入頁(yè)面中的“驗(yàn)證NAT目標(biāo)地

址”提供的鏈接能夠得到。NAT規(guī)則配置終止后，新打開掃瞄器窗口，通

過(guò)“驗(yàn)證NAT目標(biāo)地址”提供的地址，進(jìn)入測(cè)試結(jié)果頁(yè)面，將顯示地址轉(zhuǎn)

換后的目的地址。

【預(yù)備知識(shí)】

NAT差不多概念、原理及其類型；

常用網(wǎng)絡(luò)客戶端的操作：IE的使用，并通過(guò)操作，判定防火墻規(guī)則是

否生效；

了解常用的無(wú)法在互聯(lián)網(wǎng)上使用的保留IP地址(如：-10.255.

255.255,?55,?192.160255.255)。深刻

明白得網(wǎng)絡(luò)地址分段、子網(wǎng)掩碼和端口的概念與原理。

【實(shí)驗(yàn)內(nèi)容】

在防火墻實(shí)驗(yàn)系統(tǒng)上，配置NAT的規(guī)則；

通過(guò)一些常用的網(wǎng)絡(luò)客戶端操作，判定已配置的規(guī)則是否有效，對(duì)比

不同規(guī)則下，產(chǎn)生的不同成效。

【實(shí)驗(yàn)步驟】

在每次實(shí)驗(yàn)前，都要打開掃瞄器，輸入地址：http://192.168.L254/firew

all/jsp/main,在打開的頁(yè)面中輸入學(xué)號(hào)和密碼，登陸防火墻實(shí)驗(yàn)系統(tǒng)。

在實(shí)驗(yàn)前應(yīng)先刪除防火墻原有的所有規(guī)則。

1）登陸防火墻實(shí)驗(yàn)系統(tǒng)后，點(diǎn)擊左側(cè)導(dǎo)航欄的“NAT轉(zhuǎn)換“，進(jìn)入

“NAT的規(guī)則配置”頁(yè)面。

2）在打開的頁(yè)面中，如果有任何規(guī)則存在，點(diǎn)擊“刪除所有規(guī)則”;

3）點(diǎn)擊“增加一條規(guī)則”，進(jìn)入規(guī)則配置的界面。下面對(duì)此界面中

的一些選項(xiàng)作講明：源地址、目的地址一一地址用IP地址來(lái)表示。

4）選擇源地址：IP地址，5、目的地址，例如：IP地址，1

00,目的端口:ethO。按“增加”后,就增加了一條NAT規(guī)則，

這條規(guī)則將內(nèi)部地址5映射為外部地址00o

增加NAT規(guī)則后，能夠用掃瞄器在規(guī)則添加前后進(jìn)行檢測(cè)（新打開窗

口，輸入進(jìn)入頁(yè)面中的“驗(yàn)證NAT目標(biāo)地址”），以判定規(guī)則是否有效以及

起到了什么成效。詳見參考答案。

5）當(dāng)完成配置規(guī)則和檢測(cè)后，能夠重復(fù)步驟2）到步驟4）,來(lái)配置不

同的規(guī)則。

2、一般包過(guò)濾實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

通過(guò)實(shí)驗(yàn)，了解一般包過(guò)濾的差不多概念和原理，如方向、協(xié)議、端

口、源地址、目的地址等等，把握常用服務(wù)所對(duì)應(yīng)的協(xié)議和端口。同時(shí)，

把握在防火墻實(shí)驗(yàn)系統(tǒng)上配置一般包過(guò)濾型防火墻的方法，學(xué)會(huì)判定規(guī)則

是否生效。

【實(shí)驗(yàn)環(huán)境及講明】

同實(shí)驗(yàn)一

【預(yù)備知識(shí)】

運(yùn)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)知識(shí)，方向、協(xié)議、端口、地址等概念以及各常用

服務(wù)所對(duì)應(yīng)的協(xié)議、端口；

常用網(wǎng)絡(luò)客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使

用等，并通過(guò)這些操作，判定防火墻規(guī)則是否生效；

包過(guò)濾型防火墻的差不多概念，明白得各規(guī)則的意義。

【實(shí)驗(yàn)內(nèi)容】

在正確配置NAT規(guī)則的前提下（實(shí)驗(yàn)一），實(shí)驗(yàn)第一配置一般包過(guò)濾

規(guī)則，然后通過(guò)登錄外網(wǎng)web頁(yè)面、登錄外網(wǎng)ftp服務(wù)器等常用網(wǎng)絡(luò)客戶端

操作判定配置的規(guī)則是否生效，具體內(nèi)容如下：

設(shè)置一條規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包。采納ping命令檢測(cè)規(guī)

則是否生效。

將差不多設(shè)置的多條規(guī)則順序打亂，分析不同次序的規(guī)則組合會(huì)產(chǎn)生

如何樣的作用，然后通過(guò)網(wǎng)絡(luò)客戶端操作檢驗(yàn)規(guī)則組合產(chǎn)生的成效。

【實(shí)驗(yàn)步驟】

在每次實(shí)驗(yàn)前，都要打開掃瞄器，輸入地址：http://192.168.L254/firew

all/jsp/main,在打開的頁(yè)面中輸入學(xué)號(hào)和密碼，登陸防火墻實(shí)驗(yàn)系統(tǒng)。

第一步：登陸防火墻實(shí)驗(yàn)系統(tǒng)后，點(diǎn)擊左側(cè)導(dǎo)航欄的“一般包過(guò)濾”，

在右側(cè)的界面中選擇一個(gè)方向進(jìn)入。此處共有外網(wǎng)＜-＞內(nèi)網(wǎng)、外網(wǎng)＜-＞DMZ

和內(nèi)網(wǎng)＜-＞DMZ3個(gè)方向1可供選擇。

?例如，選擇“外網(wǎng)＜-＞內(nèi)網(wǎng)”，就能配置內(nèi)網(wǎng)和外網(wǎng)之間的?般包過(guò)濾規(guī)則。

第二步：在打開的頁(yè)面中，如果有任何規(guī)則存在，點(diǎn)擊“刪除所有規(guī)

則”。

第三步：點(diǎn)擊“增加一條規(guī)則”，進(jìn)入規(guī)則配置界面2,配置規(guī)則。如果

對(duì)正在配置的規(guī)則不中意，能夠點(diǎn)擊“重置”，將配置頁(yè)面復(fù)原到默認(rèn)的狀

態(tài)。

1.設(shè)置一條規(guī)則，阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包并檢測(cè)規(guī)則有效性。

選擇正確的選項(xiàng)，點(diǎn)擊“增加”后，增加一條一般包過(guò)濾規(guī)則，阻擋

所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包。例如：

方向：“外網(wǎng)->內(nèi)網(wǎng)”

增加到位置：1

協(xié)議:any

源地址：IP地址，/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：IP地址，0.000/

目的端□:disabled（由于協(xié)議選擇了any,此處不用選擇）

動(dòng)作：REJECTo

規(guī)則添加成功后，能夠用各種客戶端工具，例如IE、FTP客戶端工具、

ping等進(jìn)行檢測(cè)，以判定規(guī)則是否有效以及起到了什么成效。

多條規(guī)則設(shè)置必須注意每一條規(guī)則增加到的位置（即規(guī)則的優(yōu)先級(jí)），

能夠參考下面的所列的規(guī)則組合增加多條規(guī)則。

方向:外，內(nèi)方向:外->內(nèi)方向:外，內(nèi)

增加到位置:I增加到位置:2增加到位置：3

源地址:/

源端口:any源端口:21源端口:any

2此界面中能夠選擇的項(xiàng)包括：

方向---對(duì)什么方向上的包進(jìn)行過(guò)濾；

增加到位置——將新增的規(guī)則放到指定的位置，越靠前優(yōu)先級(jí)越高（不同規(guī)則順序可能產(chǎn)生不同結(jié)果）：

協(xié)議---tcp^udp和icmp,any表示所有3種協(xié)議；

源地址、目的地址——地址能夠用IP地址、網(wǎng)絡(luò)地址、域名以及MAC地址能不同的方式來(lái)表示，其中

表示所有地址；

源端口、目的端口——不同的服務(wù)對(duì)應(yīng)不同的端口，要選擇正確的端口才能過(guò)濾相應(yīng)的服務(wù)；

動(dòng)作——ACCEPT和REJECT,決定是否讓一個(gè)包通過(guò)。

目的地址:/目的地址:/目的地址:/

目的端口:any目的端口:any目的端口:any

協(xié)議類型:all協(xié)議類型:tcp協(xié)議類型:all

動(dòng)作:ACCEPT動(dòng)作:ACCEPT動(dòng)作:REJECT

規(guī)則添加成功后，能夠用IE、FTP客戶端工具、ping等進(jìn)行檢測(cè)，以

判定規(guī)則組合是否有效。

3.將差不多設(shè)置的多條規(guī)則順序打亂，分析不同次序的規(guī)則組合會(huì)產(chǎn)

生如何樣的作用，并使用IE、FTP客戶端工具、ping等進(jìn)行驗(yàn)證。

【實(shí)驗(yàn)摸索題】

優(yōu)先級(jí)不源地址源端口目的地址目的端口協(xié)議動(dòng)作

3、狀態(tài)檢測(cè)實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

把握防火墻狀態(tài)檢測(cè)機(jī)制的原理；

把握防火墻狀態(tài)檢測(cè)功能的配置方法；

明白得網(wǎng)絡(luò)連接的各個(gè)狀態(tài)的含義；

明白得防火墻的狀態(tài)表；

明白得Ftp兩種不同傳輸方式的區(qū)不，以及把握防火墻對(duì)Ftp應(yīng)用的配

置。

【實(shí)驗(yàn)環(huán)境及講明】

同實(shí)驗(yàn)一

【預(yù)備知識(shí)】

網(wǎng)絡(luò)基礎(chǔ)知識(shí)：網(wǎng)絡(luò)差不多概念，網(wǎng)絡(luò)基礎(chǔ)設(shè)備，TCP/IP協(xié)議，UDP

協(xié)議，ICMP協(xié)議和ARP協(xié)議等；

常用網(wǎng)絡(luò)客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使

用等；

從某主機(jī)到某目的網(wǎng)絡(luò)阻斷與否的判定方法；

FTP的兩種不同數(shù)據(jù)傳輸方式的原理；

本實(shí)驗(yàn)拓?fù)鋱D所示網(wǎng)絡(luò)的工作方式，明白得數(shù)據(jù)流通的方向；

防火墻實(shí)驗(yàn)系統(tǒng)的差不多使用，而且差不多把握了包過(guò)濾功能的有關(guān)

實(shí)驗(yàn)。

【實(shí)驗(yàn)內(nèi)容】

設(shè)置一般包過(guò)濾規(guī)則，實(shí)現(xiàn)ftp兩種不同的數(shù)據(jù)傳輸方式，采納ftp客

戶端工具FlashFXP檢測(cè)規(guī)則是否生效。

設(shè)置狀態(tài)檢測(cè)規(guī)則，實(shí)現(xiàn)ftp的兩種不同數(shù)據(jù)傳輸方式，采納ftp客戶

端工具FlashFXP檢測(cè)規(guī)則是否生效。與前面的一般包過(guò)濾實(shí)驗(yàn)比較，明白

得狀態(tài)檢測(cè)機(jī)制的優(yōu)越性。

查看防火墻的狀態(tài)表，分析TCP、UDP和ICMP三種協(xié)議的狀態(tài)信息。

【實(shí)驗(yàn)步驟】

在每次實(shí)驗(yàn)前,打開掃瞄器，輸入地址：http://192.168.L254/firewan/js

p/main,在打開的頁(yè)面中輸入學(xué)號(hào)和密碼，登陸防火墻教學(xué)實(shí)驗(yàn)系統(tǒng)。

1.配置一般包過(guò)濾規(guī)則，實(shí)現(xiàn)FTP的主動(dòng)和被動(dòng)傳輸模式

PORT（主動(dòng)）模式

1）選擇正確的選項(xiàng)，點(diǎn)擊“增加”后，增加兩條一般包過(guò)濾規(guī)則，阻

擋所有內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。

2）增加兩條一般包過(guò)濾規(guī)則,承諾ftp操縱連接?？蓞⒖既缦乱?guī)則設(shè)

置：

方向:內(nèi)-＞外方向:外-＞內(nèi)

增加到位置：】增加到位置：1

源地址:/

源端口:any源端口:21

目的地址:/

目的端口:21目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

動(dòng)作:ACCEPT動(dòng)作:ACCEPT

3）增加兩條一般包過(guò)濾規(guī)則,承諾ftp數(shù)據(jù)連接?？蓞⒖既缦乱?guī)則設(shè)

置：

方向:內(nèi)-＞外方向:外，內(nèi)

增加到位置：i增加到位置：1

源地址:/

源端口:any源端口:20

目的地址:/

目的端口:20目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

動(dòng)作:ACCEPT動(dòng)作:ACCEPT

PASV（被動(dòng)）模式

1）選擇正確的選項(xiàng)，點(diǎn)擊“增加”后，增加兩條一般包過(guò)濾規(guī)則，阻

擋所有內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。

2）增加兩條一般包過(guò)濾規(guī)則，承諾ftp操縱連接。

3）增加兩條一般包過(guò)濾規(guī)則，承諾ftp數(shù)據(jù)連接?？蓞⒖既缦乱?guī)則設(shè)

置:

方向:內(nèi)-＞外方向:外-）內(nèi)

增加到位置:I增加到位置:1

源地址:/

源端口:any源端口:1024：65535

目的地址:/

目的端口:1024：65535目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

動(dòng)作:ACCEPT動(dòng)作:ACCEPT

2.配置狀態(tài)檢測(cè)規(guī)則，實(shí)現(xiàn)FTP的主動(dòng)和被動(dòng)傳輸模式

1）選擇正確的選項(xiàng)，點(diǎn)擊“增加”后，增加兩條狀態(tài)檢測(cè)規(guī)則，阻擋

內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的所有TCP協(xié)議、所有狀態(tài)的規(guī)則?？蓞⒖既缦?/p>

規(guī)則設(shè)置：

方向:內(nèi)-＞外方向:外-＞內(nèi)

增加到位置：I增加到位置:1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端口:any目的端口:any

協(xié)議類型：tcp協(xié)議類型：tcp

狀態(tài):NEW,ESTABLISHED,狀態(tài):NEW,ESTABLISHED,

RELATED,INVALIDRELATED,INVALID

動(dòng)作:REJECT動(dòng)作:REJECT

2）增加兩條狀態(tài)檢測(cè)規(guī)則，承諾訪咨詢內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)目的

端口為任意、狀態(tài)為ESTABLISHED：和RELATED的TCP數(shù)據(jù)包?？蓞⒖?/p>

如下規(guī)則設(shè)置：

方向:內(nèi)，外方向:外，內(nèi)

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端口：any目的端口:any

協(xié)議類型：tcp協(xié)議類型:tcp

狀態(tài):ESTABLISHED,狀態(tài):ESTABLISHED,

RELATEDRELATED

動(dòng)作:ACCEPT動(dòng)作:ACCEPT

3）增加一條狀態(tài)檢測(cè)規(guī)則，承諾內(nèi)網(wǎng)訪咨詢外網(wǎng)目的端口為21、狀態(tài)

為NEW、ESTABLISHED和RELATE]D的TCP數(shù)據(jù)包?？蓞⒖既缦乱?guī)則設(shè)

置：

方向：”內(nèi)網(wǎng)-＞外網(wǎng)”

增加到位置：1

協(xié)議:tcp

源地址：IP地址，/

目的端口：21

狀態(tài)：NEW,ESTABLISHED,RELATED

動(dòng)作：ACCEPTo

第三步：點(diǎn)擊左邊導(dǎo)航欄的“狀態(tài)檢測(cè)”，在右邊打開的頁(yè)面中選擇“狀

態(tài)表”，在打開的頁(yè)面中查看防火墻系統(tǒng)所有連接的狀態(tài)并進(jìn)行分析。

3.查看分析防火墻的狀態(tài)表

點(diǎn)擊左邊導(dǎo)航欄的“狀態(tài)檢測(cè)”，在右邊打開的頁(yè)面中選擇“狀態(tài)表”,

在打開的頁(yè)面中查看當(dāng)前防火墻系統(tǒng)的所有連接的狀態(tài)。分不選取一條TC

P連接，UDP連接，ICMP連接3,分析各個(gè)參數(shù)的含義；并分析當(dāng)前所有

連接，了解每條連接相應(yīng)的打開程序，及其用途。

【實(shí)驗(yàn)摸索題】

分不用一般包過(guò)濾和狀態(tài)檢測(cè)設(shè)置規(guī)則，使ftp客戶端僅僅能夠下載站

點(diǎn)ftp://shuguang:shuguang@2:2121的文件。

3講明：如果當(dāng)前沒(méi)有ICMP連接，按如下步驟：

(3)刷新狀態(tài)表頁(yè)面，即可看到ICMP連接狀態(tài)。

4、應(yīng)用代理實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

了解防火墻代理級(jí)網(wǎng)關(guān)的工作原理；

把握配置防火墻代理級(jí)網(wǎng)關(guān)的方法。

【實(shí)驗(yàn)環(huán)境及講明】

同實(shí)驗(yàn)一。

【預(yù)備知識(shí)】

明白本實(shí)驗(yàn)拓?fù)鋱D所示網(wǎng)絡(luò)的工作方式，明白得數(shù)據(jù)流通的方向；

把握HTTP代理和FTP代理的配置；

【實(shí)驗(yàn)內(nèi)容】

設(shè)置HTTP代理規(guī)則，配置IE的HTTP代理，采納掃瞄器訪咨詢外網(wǎng)

以測(cè)試規(guī)則是否生效；

設(shè)置FTP代理規(guī)則，配置FlashFXP的FTP代理，采納FlashFXP訪咨

詢FTP服務(wù)器以測(cè)試規(guī)則是否生效；

【實(shí)驗(yàn)步驟】

在每次實(shí)驗(yàn)前，都要打開掃瞄器，輸入地址：http://192.168.L254/firew

all/jsp/main,在打開的頁(yè)面中輸入學(xué)號(hào)和密碼，登陸防火墻實(shí)驗(yàn)系統(tǒng)。

(一)HTTP代理實(shí)驗(yàn)：登陸防火墻實(shí)驗(yàn)系統(tǒng)后，點(diǎn)擊左側(cè)導(dǎo)航欄的“H

TTP代理”，在打開的頁(yè)面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設(shè)置

新規(guī)則。打開IE掃瞄器，配置HTTP代理。

1.設(shè)置IE的HTTP代理

IE菜單中的工具一＞Internet選項(xiàng)，彈出“Internet屬性”對(duì)話框；

點(diǎn)擊“連接”標(biāo)簽，按“局域網(wǎng)設(shè)置”，彈出“局域網(wǎng)(LAN)設(shè)置”對(duì)

話框；

在“代理服務(wù)器”中勾選“使用代理服務(wù)器”，并輸入防火墻IP地址及

端口：54:3128,選擇“關(guān)于本地地址不使用代理服務(wù)器”，點(diǎn)擊

“高級(jí)”按鈕,進(jìn)入“代理服務(wù)器設(shè)置”頁(yè)面，在“例外”欄填入192.168.

1.254；

依次按下“確定”退出設(shè)置頁(yè)面；建議每次實(shí)驗(yàn)后清空歷史紀(jì)錄。

2.測(cè)試HTTP代理的默認(rèn)規(guī)則

3.配置HTTP代理規(guī)則，驗(yàn)證規(guī)則有效性

以教師分配的用戶名和密碼進(jìn)入實(shí)驗(yàn)系統(tǒng)，點(diǎn)擊左側(cè)導(dǎo)航條的“HTTP

代理”鏈接，進(jìn)入“HTTP應(yīng)用代理規(guī)則表”頁(yè)面，點(diǎn)擊“增加一條新規(guī)則”

后，增加一條HTTP代理規(guī)則承諾規(guī)則，承諾任意源地址到任意目的地址

的訪咨詢。再次掃瞄上述網(wǎng)址，觀看能否訪咨詢。

插入位置:1插入位置:1

源地址:*源地址:*

動(dòng)作:deny動(dòng)作:deny

插入位置：\插入位置：1

源地址:*源地址:*

動(dòng)作:allow動(dòng)作:allow

結(jié)合一般包過(guò)濾規(guī)則，進(jìn)一步加深對(duì)HTTP代理作用的明白得。清空

一般包過(guò)濾和HTTP代理規(guī)則，分不添加一條一般包過(guò)濾拒絕因此數(shù)據(jù)包

規(guī)則和一條HTTP代理承諾規(guī)則，可參考如下規(guī)則設(shè)置：

先添加一般包過(guò)濾規(guī)則：

方向：“外網(wǎng)-＞內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：any

源地址：IP地址，/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：IP地址，/0.000

目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

動(dòng)作：REJECTo

再添加HTTP代理承諾規(guī)則：

插入位置：1

協(xié)議：any

源地址：*

目的地址：*

動(dòng)作：allowo

（二）FTP代理實(shí)驗(yàn)：登陸防火墻實(shí)驗(yàn)系統(tǒng)后，點(diǎn)擊左側(cè)導(dǎo)航欄的“F

TP代理”，在打開的頁(yè)面中，如果有任何規(guī)則存在，將規(guī)則刪除后再設(shè)置

新規(guī)則。打開FTP客戶端FlashFXP,配置FTP代理。

設(shè)置FlashFTP的FTP代理：

FlashFXP菜單中的"Optionsv->“Preferences”,在彈出的"Configure

FlashFXPn對(duì)話框中選擇"Connection”子項(xiàng)，點(diǎn)擊“Proxy”,顯現(xiàn)代理

設(shè)置對(duì)話框；

點(diǎn)擊"Add”按鈕，在彈出的"AddProxyServerProfile”中依次輸入：

Name：域名

Type：Userftp-user@ftp-host:ftp-port

Host：54Port：2121

User及Password為空，

依次按下“OK”按鈕，退出即可。

測(cè)試FTP代理的默認(rèn)規(guī)則：

3.配置FTP代理規(guī)則，驗(yàn)證規(guī)則有效性

以教師分配的用戶名和密碼進(jìn)入實(shí)驗(yàn)系統(tǒng)，點(diǎn)擊左側(cè)導(dǎo)航條的“FTP

代理”鏈接，顯示“FTP應(yīng)用代理規(guī)則表”頁(yè)面，點(diǎn)擊“增加一條新規(guī)則”

后，增加一條FTP代理承諾規(guī)則，承諾任意源地址到任意目的地址的訪咨

詢。再次連接上述FTP站點(diǎn)，觀看能否訪咨詢。

插入位置：1

源地址:*

目的地址:30

動(dòng)作:deny

插入位置：1

源地址:*

目的地址:30

動(dòng)作:allow

結(jié)合一般包過(guò)濾規(guī)則，進(jìn)一步加深對(duì)FTP代理作用的明白得。清空一

般包過(guò)濾和FTP代理規(guī)則，分不添加一條一般包過(guò)濾拒絕所有數(shù)據(jù)包規(guī)則

和一條FTP代理承諾規(guī)則，可參考如下規(guī)則設(shè)置：

先添加一般包過(guò)濾規(guī)則：

方向：“外網(wǎng)->內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：any

源地址：IP地址，/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：IP地址，/

目的端□:disabled（由于協(xié)議選擇了any,此處不用選擇）

動(dòng)作：REJECTo

再添加FTP代理規(guī)則：

插入位置：1

協(xié)議：any

源地址：*

目的地址：*

動(dòng)作：allowo

插入位置：1

源地址:*

目的地址:61

動(dòng)作:deny

插入位置:1插入位置：1

源地址:*源地址:*

動(dòng)作:deny動(dòng)作:allow

先添加一般包過(guò)濾規(guī)則：

方向：“外網(wǎng)->內(nèi)網(wǎng)”

增加到位置：1

協(xié)議：any

源地址:IP地址,/

源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

目的地址：IP地址，/

目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）

動(dòng)作：REJECTo

插入位置：1

協(xié)議：any

源地址：*

目的地址：*

動(dòng)作：allowo

5、綜合實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

了解企業(yè)防火墻的一樣作用。

學(xué)會(huì)靈活運(yùn)用防火墻規(guī)則設(shè)置滿足企業(yè)需求。

【實(shí)驗(yàn)環(huán)境及講明】

同實(shí)驗(yàn)一、二、三

【預(yù)備知識(shí)】

了解差不多的企業(yè)網(wǎng)絡(luò)拓?fù)洹?/p>

了解ftp服務(wù)被動(dòng)模式原理與有關(guān)代理設(shè)置。

明白得http訪咨詢以及http代理工作原理。

了解QQ工作原理

【實(shí)驗(yàn)內(nèi)容】

某企業(yè)需要在防火墻上設(shè)置如下規(guī)則以滿足企業(yè)需要：

通過(guò)設(shè)置防火墻規(guī)則設(shè)置正確的NAT規(guī)則

通過(guò)設(shè)置防火墻規(guī)則將包過(guò)濾規(guī)則的默認(rèn)動(dòng)作為拒絕

通過(guò)設(shè)置防火墻規(guī)則打開內(nèi)網(wǎng)到外網(wǎng)，DMZ到外網(wǎng)的DNS服務(wù)

通過(guò)設(shè)置防火墻規(guī)則承諾所有的客戶端以被動(dòng)模式訪咨詢外網(wǎng)的FTP

服務(wù)。

通過(guò)設(shè)置防火墻規(guī)則承諾內(nèi)網(wǎng)用戶使用QQ服務(wù)。

【實(shí)驗(yàn)步驟】

通過(guò)設(shè)置正確的NAT規(guī)則完成策略10

通過(guò)設(shè)置正確的一般包過(guò)濾和狀態(tài)檢測(cè)完成策略2到策略6的。

,Web服務(wù)器Internet

病毒防護(hù)實(shí)驗(yàn)用統(tǒng)服務(wù)器

入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)服務(wù)器

安全審計(jì)實(shí)驗(yàn)系統(tǒng)服務(wù)器

6、事件審計(jì)實(shí)驗(yàn)

域網(wǎng)ETHO

堂會(huì)垠照日志，有洋寸性的檢驗(yàn)

.加」關(guān)學(xué)aP等

協(xié)議數(shù)得.加澤網(wǎng)嵬通信過(guò)程的明山R

IIc-

；W

；1FCTDPR服S-務(wù)5L器W

森離驗(yàn)盥劇,盜I?成思融給實(shí)驗(yàn)功能.

FTP服務(wù)器:如果防火墻實(shí)驗(yàn)系統(tǒng)服務(wù)器站在實(shí)驗(yàn)室區(qū)域網(wǎng)和防火墻區(qū)域.網(wǎng)邊界，則須在須在實(shí)驗(yàn)室區(qū)域網(wǎng)內(nèi)增加…FTP服務(wù)用來(lái)做FTP代理實(shí)驗(yàn)。

如果防火墻實(shí)驗(yàn)系統(tǒng)服務(wù)器在實(shí)驗(yàn)室區(qū)域網(wǎng)和外網(wǎng)邊界，則不需要增加FTP服務(wù)。

實(shí)驗(yàn)小組的機(jī)器要求將網(wǎng)關(guān)設(shè)置為防火墻主機(jī)和內(nèi)網(wǎng)的接口網(wǎng)卡IP地

址：54（次地址可由老師事先指定）。

實(shí)驗(yàn)小組機(jī)器要求有WEB掃瞄器：IE或者其他；要求有Ftp客戶端：

CuteFtp、LeapFtp.FlashFXP或者其他。

【預(yù)備知識(shí)】

運(yùn)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)知識(shí)，方向、協(xié)議、端口、地址等概念以及各常用

服務(wù)所對(duì)應(yīng)的協(xié)議、端口；

常用網(wǎng)絡(luò)客戶端的操作：IE的使用，F(xiàn)tp客戶端的使用，ping命令的使

用等，并通過(guò)這些操作，判定防火墻規(guī)則是否生效；

tcp/ip協(xié)議明白得，三次握手。

【實(shí)驗(yàn)內(nèi)容】

在各個(gè)實(shí)驗(yàn)系統(tǒng)設(shè)置好規(guī)則后，通過(guò)一些常見的網(wǎng)絡(luò)客戶端操作驗(yàn)證已

配置的規(guī)則是否生效.

網(wǎng)絡(luò)客戶端操作終止后，查看有關(guān)的日志,看看是否和自己的有關(guān)操作

一致.結(jié)合規(guī)則,看是否和預(yù)期的成效一致.

【實(shí)驗(yàn)步驟】

打開IE掃瞄器，輸入地址：54,在打開的頁(yè)面中輸

入學(xué)號(hào)和密碼，登陸防火墻實(shí)驗(yàn)系統(tǒng)。在實(shí)驗(yàn)前刪除防火墻原有的所有規(guī)

則。

點(diǎn)擊左側(cè)導(dǎo)航欄的某一個(gè)實(shí)驗(yàn).如“一般包過(guò)濾”

在右側(cè)的界面中選擇一個(gè)方向進(jìn)入。此處共有外網(wǎng)＜-＞內(nèi)網(wǎng)、外網(wǎng)＜-＞D

MZ和內(nèi)網(wǎng)＜-＞DMZ3個(gè)方向可供選擇。

按照實(shí)驗(yàn)一的具體要求設(shè)置好規(guī)則后，利用ping,或者ie做某個(gè)網(wǎng)絡(luò)客戶

端操作.

點(diǎn)擊選擇左側(cè)導(dǎo)航欄的“事件審計(jì)”選項(xiàng)

在右側(cè)界面上選擇”包過(guò)濾及其狀態(tài)檢測(cè)日志”選項(xiàng)，進(jìn)入一般包過(guò)濾

日志查詢頁(yè)面.

直截了當(dāng)點(diǎn)擊“查詢”按鈕，顯示該學(xué)生所有的一般包過(guò)濾日志

在“源地址”、“源端口”、“目的地址”、“目的端口”、“協(xié)議”中分不

填入需查詢的條件，再點(diǎn)擊“查詢”按鈕，則可顯示符合查詢條件的日志

信息。

日志查詢支持模糊查詢，如在“源地址”中輸入：202,點(diǎn)擊查詢后，

顯示所有源地址中包含202的日志。

【實(shí)驗(yàn)報(bào)告要求】

由于本實(shí)驗(yàn)屬于輔助性的實(shí)驗(yàn)，涉及到每一個(gè)具體的實(shí)驗(yàn)系統(tǒng)。因此

本實(shí)驗(yàn)不另外作。而是滲透到每一個(gè)具體的實(shí)驗(yàn)系統(tǒng)當(dāng)中。將最后的日志

記錄在每一個(gè)子實(shí)驗(yàn)當(dāng)中。

按照每次自己所設(shè)置的規(guī)則，然后利用某些網(wǎng)絡(luò)客戶端驗(yàn)證規(guī)則，最后

選擇查看有關(guān)日志.將日志的有關(guān)選項(xiàng)記錄下來(lái).專門是有關(guān)自己規(guī)則的部

分。

入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)實(shí)驗(yàn)指導(dǎo)書

特點(diǎn)匹配檢測(cè)實(shí)驗(yàn)

完整性檢測(cè)實(shí)驗(yàn)

網(wǎng)絡(luò)流量分析實(shí)驗(yàn)

誤警分析實(shí)驗(yàn)

服匆器

1、特點(diǎn)匹配檢測(cè)實(shí)驗(yàn)

【實(shí)驗(yàn)?zāi)康摹?/p>

明白得NIDS的專門檢測(cè)原理;HDB

7解網(wǎng)絡(luò)專11事件;

明I匚P侵檢測(cè)系吻匚［種協(xié)議”攻匚［事件的檢測(cè)原理；|--|

了卜，拆規(guī)則的配/高rwi

IBM兼容機(jī)IBM兼容機(jī)IBM兼容機(jī)

本燙觸網(wǎng)絡(luò)拓?fù)溧蛳鑸D1-1所示：學(xué)生機(jī)3????學(xué)生機(jī)N

圖1-1網(wǎng)絡(luò)拓?fù)鋱D

學(xué)生氣和中心服務(wù)器通過(guò)hub相連。為保證各學(xué)生氣ip不相互沖突，

學(xué)生能夠用學(xué)號(hào)的后3位來(lái)設(shè)置ip地址，例如某學(xué)生的學(xué)號(hào)后3位為001,

則可設(shè)置其ip為,中心服務(wù)器地址為<IDServerIPAddress>o

學(xué)生氣安裝Windows操作系統(tǒng)并安裝有DOS攻擊工具。要求有WEB

掃瞄器：IE或者其他；

【實(shí)驗(yàn)預(yù)備知識(shí)點(diǎn)】

本實(shí)驗(yàn)需要如下的預(yù)備知識(shí)：

入侵檢測(cè)的差不多概念及入侵檢測(cè)系統(tǒng)的差不多構(gòu)成，如數(shù)據(jù)源，入

侵分析，響應(yīng)處理等；

運(yùn)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)知識(shí)，如方向、協(xié)議、端口、地址等概念；

常用網(wǎng)絡(luò)協(xié)議（如tcp,udp,icmp）的各字段含義。

【實(shí)驗(yàn)內(nèi)容】

本實(shí)驗(yàn)需要完成的內(nèi)容如下：

配置入侵檢測(cè)規(guī)則；

通過(guò)一些常用的網(wǎng)絡(luò)客戶端操作，判定已配置的規(guī)則是否有效，并查

看相應(yīng)的入侵事件，對(duì)比不同規(guī)則下，產(chǎn)生的不同成效。

【實(shí)驗(yàn)步驟】

N1DS檢測(cè)實(shí)驗(yàn)

NIDS檢測(cè)實(shí)驗(yàn)

在捫

設(shè)置系統(tǒng)檢測(cè)項(xiàng)目

點(diǎn)匹

查看系統(tǒng)的檢測(cè)事件

返回

當(dāng)前系統(tǒng)檢測(cè)項(xiàng)目表一

當(dāng)前系統(tǒng)時(shí)下列事件的檢測(cè)狀況是:

信掇州/事件名稱網(wǎng)絡(luò)仃為性質(zhì)狀態(tài)

ir大包Pin浮件在3分鐘內(nèi)該事件發(fā)生超過(guò)10次視為異常探測(cè)

2rTelnet服務(wù)器事件在2分鐘內(nèi)該事件發(fā)生超過(guò)10次視為異常探測(cè)

表格中伏態(tài)欄顯示了系嫵對(duì)大包Pn浮件與t.ln.t服務(wù)題事件的檢測(cè)狀況，修改系嫵檢測(cè)狀況可按以下步驟進(jìn)行：

1.點(diǎn)擊相應(yīng)事件的“修改系統(tǒng)檢測(cè)狀況”復(fù)選框

左,LL2.點(diǎn)擊“修改所選設(shè)置“按用，即可修改系統(tǒng)對(duì)當(dāng)前事件的檢測(cè)狀態(tài)；

性>13,若修改狀態(tài)錯(cuò)誤，頁(yè)面會(huì)出現(xiàn)錯(cuò)誤提示.

返回

圖1-4檢測(cè)項(xiàng)目表

巨升人惇童性

檢測(cè)事件表

在當(dāng)前系統(tǒng)檢測(cè)到如下事件：

|>T]W?I網(wǎng)絡(luò)行為性質(zhì)I發(fā)生時(shí)詢IBE5EI目的地址~~I~~協(xié)議類型~~I

1ICMPLargeICMPPacket2006-07-1114:11:47.0192.168123.24330ICMP

2ICMPLargeICMPPacket2006-07-1114:11:47,04330ICMP

3ICMPLargeICMPPacket2006-07-1114:11:48,04330ICMP

4ICHPLargoICMPPacket2006-07-1114:11:49,04330ICMP

5ICMPLargeICMPPacket2006-07-1114:11:50.04330ICMP

6ICMPLargeICMPPacket2006-07-1114:11:50,04330ICMP

7ICMPLargeICMPPacket2006-07-1114:11:50,04330IC?P

8ICMPLargeICMPPacket2006-07-1114:11:51.04330ICMP

9TelnetServerAttempt2006-07-1114:11:34.04330TCP

系統(tǒng)10TelnetServerAttempt2006-07-1114:11:35,04330TCP

11TelnetServerAttempt2006-07-1114:11:35.04330TCP

鈕“

5所請(qǐng)選擇協(xié)議類型

TCP

UDP

ICMP

Fo

返回

圖1-6多協(xié)議檢測(cè)類型

TCP協(xié)議檢測(cè)實(shí)驗(yàn)

TCP協(xié)議檢測(cè)規(guī)則

TC陽(yáng)則如下：灌

|序號(hào)|選擇|事件特征源地址目的地址|目的埔口|數(shù)據(jù)內(nèi)容I大小寫

1廠DeepThroat3.1311111AhhhhMyMouthIsOpen敏感

當(dāng)2

增加一條TCP協(xié)議檢測(cè)規(guī)則

方向：卜〉二］

物■議：|TCP|

o顯現(xiàn)增

源地址：

加先協(xié)議；“源

源端口:

地土目的地址:口戶無(wú)權(quán)對(duì)

該工目的端口:歸夠?yàn)槿我?/p>

端【事件簽名:DeepThroat3.1發(fā)器的ip

數(shù)據(jù)內(nèi)容:hhhhMyMouthIsOpen!

地土七的目的端

大小寫敏感:c敏感。不敏感

口；的數(shù)據(jù)內(nèi)

[W1

容;如圖1-

8期

規(guī)

則，

內(nèi)

容、1,

如1

檢測(cè)事件表

當(dāng)前系統(tǒng)檢測(cè)到如下事件：

1序號(hào)1特征簽名發(fā)生時(shí)間源地址目的地址|協(xié)議關(guān)筌

1DeepThroat3.12006-12-0211:12:28.031TCP

2DeepThroat3.12006-12-0211:12:28.031TCP即

3DeepThroat3.12006-12-0211:12:28.031TCP

可彳iTC

P厚

返回

圖1-10TCP檢測(cè)事件表