信息安全实验指导书26504

1、网络安全实验指导书目 录1 实验1：网络扫描实验11.1实验目的11.2 实验环境11.3 实验要求11.4 实验背景21.4.1 基础知识21.4.2 网络扫描工具Nmap简介21.5 实验步骤41.5.1 安装Nmap41.5.2 操作与测试62 实验2：网络监听实验92.1实验目的92.2 实验环境92.3 实验要求92.4 实验背景102.4.1 基础知识102.4.2 网络监听工具Sniffer简介102.5 实验步骤112.5.1 安装Sniffer112.5.2 操作与测试113 实验3：入侵检测实验173.1实验目的173.2 实验环境173.3 实验要求173.4 实验背景1

2、83.4.1 基础知识183.4.2 入侵检测软件Snort简介183.5 实验步骤183.5.1 安装和配置轻量级IDS软件Snort183.5.2 操作与测试214 实验4：电子邮件安全实验244.1实验目的244.2 实验环境244.3 实验要求244.4 实验背景254.4.1 基础知识254.4.2 邮件服务器Mdaemon254.4.3 邮件加密软件PGP254.5 实验步骤264.5.1 邮件服务器的安装与测试264.5.2 邮件服务器的安全配置304.5.3 安装PGP Desktop Pro v 8.1314.5.4 PGP密钥管理314.5.5 邮件加密与签名345 实验5

3、：网络级防火墙实验375.1实验目的375.2 实验环境375.3 实验要求385.4 实验背景385.4.1 实验原理385.4.2 标准的IP访问控制表385.4.3 扩展的IP访问控制表405.5 实验步骤415.5.1 构建实验环境415.5.2 进入交换机配置界面425.5.3 VLAN的创建和应用445.5.4 配置交换机的IP参数455.5.5 过滤IP地址465.5.6 过滤ICMP协议包475.5.7 限制远程登录服务486 实验6：WEB安全实验516.1实验目的516.2 实验环境516.3 实验要求516.4 实验背景516.5 实验步骤526.5.1 IIS服务器的安

4、全配置526.5.2 用户机的SSL配置557 实验7：VPN实验657.1实验目的657.2 实验环境657.3 实验要求657.4 实验背景657.5 实验步骤667.5.1 配置和启用VPN服务器667.5.2 配置VPN客户端71附1：实验环境简介771.1 网络实验室简介771.2 网络实验室组成771.3 实验设备介绍791.3.1 核心交换机Cisco Catalyst 3560791.3.2 二层交换机Cisco Catalyst 2950811.3.3 路由器Cisco 280182附2：实验室各组分布图85附3：各组机器及设备的IP地址分配86附4：交换机的初始配置和管理8

5、71 实验1：网络扫描实验1.1实验目的（1）了解网络扫描技术的工作原理。（2）掌握常用扫描工具的基本用法。（3）熟悉网络扫描的用途与后果。1.2 实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，通过局域网互联，IP网络为/24。其中一台（01）上安装Windows平台下的Nmap 4.11软件，另一台（00）上安装软件防火墙，实验环境的网络拓扑如图1所示。图1 网络扫描实验拓扑1.3 实验要求1、实验任务（1）安装和运行网络扫描软件。（2）进行典型的探测，如主机探测、系统探测、TCP扫描等。

6、（3）记录并分析实验结果。2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。（2）复习有关网络扫描的基本知识。3、实验报告（1）简要描述实验过程。（2）实验中遇到了什么问题，如何解决的。（3）分析网络扫描器在网络管理和网络安全方面的作用。（4）实验收获与体会。1.4 实验背景1.4.1 基础知识扫描的目的是收集被扫描系统或网络的信息。通常，扫描是利用一些程序或专用的扫描器来实现，扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用扫描器，可以发现远程服务器是否存活、对外开放的各种TCP端口的分配及提供的服务、所使用的软件版本，如操作系统或其他应用软件

7、的版本，以及可能被利用的系统漏洞。根据这些信息，可以使用户了解目标主机所存在的安全漏洞。扫描器不仅是黑客用作网络攻击的工具，也是网络安全管理员维护网络安全的重要工具。网络安全管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误。1.4.2 网络扫描工具Nmap简介Nmap是一款开放源代码的网络探测和安全审核的工具，基本包括了常用的扫描方式，并且提供了许多非常实用的辅助功能，以对目标主机做出进一步的侦测，如操作系统识别、进程用户分析以及众多可选的方式来逃避目标系统的监测等。Nmap可任意指定主机、网段甚至是整个网络作为扫描目标，扫描方式亦可通过添加合适的选项按需组合。本实验使用基于Window

8、s的Nmap软件，其命令语法如下：nmap 扫描类型 选项 在Nmap的所有参数中，只在目标参数是必须给出的，其最简单的形式是在命令行直接输入一个主机名或者一个IP地址。如果希望扫描某个IP地址的一个子网，可以在主机名或者IP地址的后面加上/掩码。掩码的范围是0（扫描整个网络）32（只扫描这个主机）。使用/24扫描C类地址，/16扫描B类地址。可以使用nmap h快速列出Nmap选项参数的说明，下面列举出一些常用的扫描类型：-sT 表示TCP全连接扫描（TCP connect（）。-sS 表示TCP半开扫描。-sF 表示隐蔽FIN数据包扫描。-sA 表示Xmas Tree扫描。-sN 表示空（

9、Null）扫描。-sP 表示ping扫描。-sU 表示UDP扫描。-sA 表示ACK扫描。-sW表示对滑动窗口的扫描。-sR 表示RPC扫描。-b 表示FTP反弹攻击（bounce attack）。功能选项可以组使用，有些功能选项只能在扫描模式下使用，Nmap会自动识别无效或者不支持的功能选项组合，并向用户发出警告信息。下面列举出一些常用的选项：-P0表示在扫描之前，不必ping主机。 -PT 表示扫描之前，使用TCP ping确定哪些主机正在运行。-PS 表示使用SYN包而不是ACK包来对目标主机进行扫描（需要Root权限）。 -PI表示使用真正的ping（ICMP echo请求）来扫描目标

10、主机是否正在运行。 -PB 表示这是默认的ping扫描选项。它使用ACK（-PT）和ICMP（-PI）两种扫描类型并行扫描。-O表示对TCP/IP指纹特征（fingerprinting）的扫描，获得远程主机的标志。 -I 表示反向标志扫描。-f 表示使用碎片IP数据包发送SYN、FIN、XMAS、NULL扫描。-v 表示冗余模式。它会给出扫描过程中的详细信息。使用-d选项可以得到更加详细的信息。-h 表示快速参考选项。 -oN表示把扫描结果重定向到一个可读的文件logfilename中。 -oS 表示把扫描结果重定向到标准输出上。-resume 表示可以使扫描接着以前的扫描进行。-iL表示从i

11、nputfilename文件中读取扫描的目标。 -iR 表示让nmap自己随机挑选主机进行扫描。 -p 表示选择要进行扫描的端口号的范围。-F 表示快速扫描模式。-D 表示使用诱饵扫描方法对目标网络/主机进行扫描。 -S 表示指定IP源地址。-e表示使用哪个接口发送和接受数据包。-g 表示设置扫描的源端口。Nmap运行通常会得到被扫描主机端口的列表、Well-known端口的服务名（如果可能）、端口号、状态和协议等信息。每个端口有Open、Filtered和Unfiltered三种状态。Open状态意味着目标主机能够在这个端口使用Accept（）系统调用接受连接；Filtered状态表示防火墙

12、、包过滤和其他的网络安全软件掩盖了这个端口，禁止Nmap探测其是否打开；Unfiltered表示这个端口关闭，并且没有防火墙/包过滤软件来隔离Nmap的探测企图。1.5 实验步骤1.5.1 安装Nmap（1）下载基于Windows平台的namp-4.11-setup.exe，双击安装程序执行安装。图2 安装界面（2）单击Next按钮，指定Namp的安装目录，如图3。（3）Windows平台下安装Namp需要安装数据包捕捉库WinPcap，其作用是帮助调用程序（即Namp）捕获通过网卡传输的原始数据。WinPcap 安装界面如图4。（4）单击“开始”“运行”命令，输入cmd并按Enter键，打开

13、命令提示符窗口，在该窗口输入如下命令：nmap vA 01 图3 指定安装目录 图4 WinPcap 安装界面注意：命令行是区分大小写的。若返回结果如图5所示，表明安装成功。（5）Windows平台上的Nmap程序没有在UNIX平台上的效率高，特别是连接扫描（-sT）速度非常慢。如图6所示，双击Nmap目录中的nmap_performance.reg文件，将之导入注册表，此注册表文件的内容如图7所示。在注册表中做了3个修改，增加为Nmap应用程序保留的临时端口数量，减少一个关闭连接重新使用之前的时间，从而提高连接扫描的性能。图5 确认Nmap是否安装成功图6 将nmap_

14、performance.reg文件导入注册表图7 显示nmap_performance.reg文件内容1.5.2 操作与测试（1）用Ping扫描方式探测主机在局域网中的一台机器上安装Nmap后，输入命令：nmap -sP -254用于探测局域网中开放的主机，返回结果如图8所示，输出结果包括开放主机的IP地址和MAC地址。图8 使用Ping扫描方式探测主机（2）探测操作系统类型对局域网中一台运行Windows操作系统的主机（192.168.100）进行探测，输入命令：nmap -O 00扫描结果如图9。对操作系统的指纹识别图9 Windows操作系统指

15、纹识别（3）TCP连接扫描输入命令：nmap -sT 00用TCP连接扫描方法扫描目标主机（00），返回结果如图10所示。图10 TCP连接扫描（4）TCP同步扫描输入命令：nmap -sS 00用TCP同步扫描方法扫描目标主机（00），返回结果如图11。观察其与TCP连接扫描的异同，发现TCP同步扫描速度明显比TCP连接扫描快，所得结果略有不同。图11 TCP同步扫描（5）隐蔽扫描输入命令：nmap -sF 00nmap -sX 00使用FIN扫描和Xmas T

16、ree扫描方式对运行在Windows下的主机进行扫描并观察返回结果。如图12所示，表示Nmap未能发现目标主机开放的端口。图12 对Windows主机进行秘密FIN和Xmas Tree扫描2 实验2：网络监听实验2.1实验目的（1）熟悉网络监听的原理与技术。（2）熟悉Sniffer Pro的基本使用方法。（3）熟悉网络监听的用途与后果。2.2 实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，通过局域网互联，IP网络为/24。其中一台（01）安装Sniffer Pro 4.7.5，记为A，实验环境的网络拓扑如图1所示

17、。图1 网络监听实验拓扑2.3 实验要求1、实验任务（1）安装和运行网络监听软件。（2）使用和测试Sniffer的常用功能。（3）记录并分析实验结果。2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。（2）复习有关网络监听的基本知识。3、实验报告（1）简要描述实验过程。（2）实验中遇到了什么问题，如何解决的。（3）在一台主机上安装防火墙，另一台主机再进行嗅探，看是否还能接收信息。如果不能，分析其原因并详细写出来。（4）根据网络监听的工作原理，讨论针对网络监听的防范措施，并加以实施和效果分析。（5）实验收获与体会。2.4 实验背景2.4.1 基础知识网络监听也

18、称为嗅探，作为一种发展比较成熟的技术，在协助网络管理员监测网络传输数据及排除网络故障等方面具有不可替代的作用。然而，网络监听也给以太网带来了极大的隐患，许多网络入侵往往都伴随着以太网内网络监听，从而造成口令失窃、敏感数据被截获等安全事件。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关或远程网中的调制解调器等。监听效果最好的地方是在网关、路由器、防火墙一类的设备上，通常由网络管理员来操作。网络监听工具在功能和实际使用方面有多不同，有些只能分析一种，有些则能分析几百种。大多数的网络监听工具都能分析标准以太网、TCP/IP、IPX和DECNet等。通常，网络监听可以提供如下一些功能

19、。(1) 自动从网络中过滤及转换有用的信息。(2) 将截取的数据包转换成易于识别的格式。(3) 对网络环境中的通信失败进行分析。(4) 探测网络环境下的通信瓶颈。(5) 检测是否有黑客正在攻击网络系统，以阻止其入侵。(6) 记录网络通信过程。2.4.2 网络监听工具Sniffer简介Sniffer Portable是NAI公司开发的系列网络故障和性能管理解决方案，网络专业人士可以使用它对多拓扑结构和多协议网络时行维护、故障解决、优化调整和扩展。Sniffer Portable软件可以在台式计算机、便携式计算机或者笔记本计算机等硬件平台上运行，并且可以利用高级自定义硬件组件确保全线速的捕获能力。

20、2.5 实验步骤2.5.1 安装Sniffer在主机A上运行Sniffer Pro 4.7的安装程序。根据安装向导的提示，输入用户信息，指定安装路径，填写用户注册信息，输入序列号，指定连接到Internet的方式。安装结束后，重新启动计算机。 2.5.2 操作与测试Sniffer Pro的主要功能包括：l 监视功能：用于计算并显示实时网络通信量数据。l 捕获功能：用于捕获网络通信量并将当前数据包存储在缓冲区（或者文件）中，以备将来分析使用。l 实时专家系统分析功能：用于在捕获过程中分析网络数据包，并对潜在的问题发出警告。l 显示功能：用于解码和分析捕获缓冲区中的数据包，并用各种格式加以显示。本

21、实验主要了解其监视功能。（1）Dashboard（仪表盘）仪表盘是Sniffer Pro的可视化网络性能监视器。在第一次启动Sniffer Pro时，仪表盘就会出现在屏幕上，如图2所示。如果关闭了仪表盘窗口，选择菜单Monitor（监控）Dashboard（仪表盘）来启动它，或者单击Sniffer Pro工具栏中的仪表盘图标。仪表盘窗口包括3个数字表盘，从左到右是：l 利用率百分比（Utilization%）：说明线路使用带宽的百分比，是用传输量与端口能够处理的最大带宽的比值来表示的。表盘的红色区域表示警戒值。在有盘下文有2个数字，用破折号隔开。第一个数字代表当前利用率百分比，破折号后面的数字

22、代表最大的利用率百分比。l 每秒传输的数据包（Packets/s）：说明当前数据包的传输速度。表盘的红色区域表示警戒值，表盘下文显示的是当前的数据包传输速度及其峰值。l 每秒产生的错误（Errors/s）：说明网络的出错率。表盘的红色区域表示警戒值，表盘下方的数值表示当前的出错率和最大的出错率。图2 Sniffer Pro仪表盘窗口Sniffer Pro的很多网络分析结果都可以设定阀值。如果超出了阀值，报警记录就会生成一条信息。在仪表盘上，超过设定阀值的范围用红色标记。单击仪表盘上方Set Thresholds（设置阀值）按钮，会出现仪表盘属性对话框，如图3所示。在仪表盘属性对话框中，左边是名

23、称栏，右边是高阈值栏，底部是以秒为单位计算的监控样本间隔。如果修正了一个参数，但是又想恢复默认值，首先就要选中这个参数，然后单击Reset（重置）按钮。如果要把所有参数都重新设定默认值，可以单击Reset All（全部重置）按钮。图3 仪表盘属性对话框仪表盘左下方的Gauge（计量表）卷标实时显示利用率、数据包速率和错误率。单击仪表盘左下方的Detail（详细资料）卷标，则以表格方式显示网络计数结果、规模分成和错误计数结果的详细情况，如图4所示。图4 Sniffer Pro仪表盘的详细资料卷标单击Short Term（短期）或Long Term（长期）按钮，可以缩小或扩大、详细错误和规模分布图

24、形的范围，短期范围大约是25分钟，长期范围是24小时.单击仪表盘左下方的Network（网络）选择框，显示如图5所示的网络仪表盘图和网络事件选择框。仪表盘中的网络图根据每秒的统计结果，提供所有网络图。图5 网络仪表盘图和网络事件选择框单击仪表盘在下方的Size Distribution（规模分布）选择框，显示如图6所示的规模分布仪表盘图和规模分布事件选择框。仪表盘中的分布图是与Sniffer Pro系统相连的网络区段上所有的活动按规模划分的一种实时视图。图6 规模分布仪表盘图和规模分布事件选择框同样，用户也可以单击仪表盘左下方的Detail Errors（详细错误）选择框，相看仪表盘中的详细错

25、误图以及详细错误的事件选择框。（2）Host table（主机列表）主机列表提供了被监视到的所有主机下在与网络的通信情况。选择菜单Monitor（监视）Host Table（主机列表）来启动它，或者单击图7中1所指向的Sniffer Pro工具栏中的主机列表图标。在主机列表窗口底部，可以选择以MAC地址，IP地址或IPX地址查看主机列表。如图7所示，选择2所指向的IP选项。主机列表支持4种不同的视图产：大纲（Outline）、详细资料（Detail）、直方图（Bar）和饼图（Pie）。如图7所示，单击大纲图标，明示出主机列表，以及经过这些主机的传输字节数量。在大纲视图中，如果想了解某一个特定工

26、作站（例如01）的连网情况，只须单击图7中所指向的IP地址，出现如图8所示的界面。231图7 主机列表大纲视图图8 主机连接地址示例图8中清楚地显示出该机器（01）连接的地址。单击左边的主机列表工具栏中其他的图标，会弹出该机器连接情况的相关数据界面。在图7所示的界面中单击Detail（详细资料）图标，将显示出整个网络中的协议分布情况，可清楚地看出网络中各台机器上正在运行的网络应用层协议，如图9所示。图9 详细资料视图在图7所示的界面中单击Bar（直方图）图标，出现以直方图形式显示的网络上传输量为前N位的主机。默认情况下，显示前10位的主机，如图10所

27、示。图10 传输量为前N位的主机直方图在图7所示的界面中单击Pie（饼图）图标，出现以饼图形式显示的网络上传输量为前N位的主机。默认情况下，显示前10位的主机，如图11所示。图11 传输量为前N位的主机饼图（3）Matrix（矩阵）主机列表提供了单台主机的通信情况，矩阵则提供了被监视到的主机对之间的网络通信情况，两者的操作界面和功能信息是完全类似的。选择菜单Monitor（监控）Matrix（矩阵）来启动它，或者单击Sniffer Pro工具栏中的矩阵图标。图中绿线表示正在发生的网络连接，蓝线表示过去发生的连接，将鼠标放到线上可以看出连接情况。3 实验3：入侵检测实验3.1实验目的（1）理解入

28、侵检测的作用和检测原理。（2）理解误用检测和异常检测的区别。（3）掌握Snort的安装、配置和使用等实用技术。3.2 实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，通过局域网互联，IP网络为/24。其中一台（00）上安装Windows平台下的Snort 2.8.1软件，另一台的IP地址为01。实验环境的网络拓扑如图1所示。图1 入侵检测实验拓扑3.3 实验要求1、实验任务（1）安装和配置入侵检测软件。（2）查看入侵检测软件的运行数据。（3）记录并分析实验结果。2、实验预习（1）预习本实验指导

29、书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。（2）复习有关入侵检测的基本知识。3、实验报告（1）简要描述实验过程。（2）实验中遇到了什么问题，如何解决的。（3）分析入侵检测系统在网络安全方面的作用。（4）实验收获与体会。3.4 实验背景3.4.1 基础知识入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。随着网络安全风险系数不断揭帖，防火墙作为最主要

30、的安全防范手段已经不能满足人们对网络安全的需求。作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。3.4.2 入侵检测软件Snort简介Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和

31、对内容的搜索或匹配。Snort能够检测不同的攻击行为，如缓冲区溢出、端口扫描和拒绝服务攻击等，并进行实时报警。Snort可以根据用户事先定义的一些规则分析网络数据流，并根据检测结果采取一定的行动。Snort有3种工作模式，即嗅探器、数据包记录器和NIDS。嗅探器模式仅从网络上读取数据包并作为连续不断的数据流显示在终端上；数据包记录器模式把数据包记录到硬盘上，以备分析之用；NIDS模式功能强大，可以通过配置实现。3.5 实验步骤3.5.1 安装和配置轻量级IDS软件Snort由于需要对网络底层进行操作，安装Snort前需要预先安装WinpCap（WIN32平台上网络分析和捕获数据包的链接库）。W

32、inpCap的下载地址为：http：/winpcap.polito.it/.（由于之前做Nmap实验时已经安装了，可不必再安装）（1）从 网站下载Windows平台下的Snort安装程序，双击安装程序进行安装，选择安装目录为D：Snort。（2）进行到选择日志文件存时，为简单起见，选择不需要数据库支持，或者选择Snort默认的MySQL和OCBC数据库的方式。（3）单击“开始”菜单，选择“运行”命令，输入cmd并按回车键，在命令行方式下输入如下命令：C：Documents and SettingsAdministrator D：D：cd SnortbinD：Snort

33、binsnort W如果Snort安装成功，系统将显示出如图所示的信息。图2 查看网卡信息（4）从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图2中显示的第二个是具有物理地址的网卡。输入snort -vi2命令启用Snort。其中，-v表示使用Verbose模式，把信息包打印在屏幕上；-i2表示监听第二个网卡。如图3所示。图3 启用Snort（5）为了进一步查看Snort的运行情况，可以人为制造一些ICMP网络流量。在局域网的另一台主机上使用Ping指令，探测Snort的主机。（6）回到运行Snort的主机，可以发现Snort已经记录了这次探测的数据包。例如图4所示，Snor

34、t在屏幕上输出了从到的ICMP数据包头。图4 Snort 监测到的数据包（7）打开D：Snortetcsnort.conf，设置Snort的内部网络和外部网络网络检测范围。将Snort.conf文件中的var HOME_NET any语句的any改为自己所在的子网地址，即将Snort监测的内部网络设置为所在的局域网。如本地IP为 ，则改为 /24。（8）配置网段内提供网络服务的IP地址，只需要把默认的$HOME_NET改成对应的主机地址即可。var DNS_SERVERS $HOME_NET var SMTP_SE

35、RVERS $HOME_NETvar HTTP_SERVERS $HOME_NETvar SQL_SERVERS $HOME_NETvar TELNET_SERVERS $HOME_NETvar SNMP_SERVERS $HOME_NET如果不需要监视类型的服务，可以用#号将上述语句注释掉。（9）在Snort.conf文件中，修改配置文件classification.config和reference.config的路径：include D：snortetcclassification.configinclude D：snortetcreference.config其中classificati

36、on.config文件保存的是规则的警报级别相关的配置，reference.config文件保存了提供更多警报相关信息的链接。3.5.2 操作与测试（1）Snort嗅探器模式检测Snort安装是否成功时，用到的就是Snort嗅探器模式。输入命令如下：snort -v-i2使Snort只将IP和TCP/UDP/ICMP的包头信息输出到屏幕上。如果要看到应用层的数据，可以输入如下命令：snort -ve-i2如图5所示。图5 Snort的嗅探器模式如果需要输出更详细的信息，输入命令：snort -ve-i1（或i2）可以显示数据层的信息。（2）数据包记录器模式上面的命令只是在屏幕上输出，如果要记录

37、在LOG文件上，需要预先建立一个Log目录。输入下面的命令数据包记录器模式：snort -dve-i2-l d：Snortlog -h /24 -K ascii其中，-l选项指定了存放日志的文件夹：-h指定目标主机，这里检测对象是局域网段内的所有主机，如不指定-h，则默认检测本机；-K指定了记录的格式，默认是Tcpdump格式，此处使用ASCII码。在命令行窗口运行了该指令后，将打开保存日志的目录。在Log目录下自动生成了许多文件夹和文件，文件夹是以数据包主机的IP地址命名的（如图6所示），每个文件夹下记录的日志就是和该外部主机相关的网络流量。打开其中任一个，使用记事本查看

38、日志文件，会发现文件的内容和嗅探器模式下的屏幕输出类似，如图7所示。图6 Snort数据包记录器模式记录的日志图7 Snort数据包记录器模式下日志的内容4 实验4：电子邮件安全实验4.1实验目的（1）了解Windows平台下Mdaemon邮件服务器的安装与安全配置。（2）了解PGP的原理、功能与作用。（3）熟悉PGP的安装和使用，如对邮件进行加密和数字签名等。4.2 实验环境通过局域网互联的若干台PC机，IP网络为/24。一台PC机（10）安装Windows XP和Mdaemon邮件服务器程序，作为邮件服务器；其余若干台安装Windows XP和P

39、GP软件，作为学生实验用机。4.3 实验要求1、实验任务（1）安装和运行邮件服务器软件Mdaemon和PGP邮件加密软件。（2）对MDaemon邮件服务器进行安全配置。（3）使用PGP对邮件进行加密测试。（4）记录并分析实验结果。2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。（2）复习数据加密的基本知识。（3）复习有关邮件安全的基本知识。3、实验报告（1）简要描述实验过程。（2）实验中遇到了什么问题，如何解决的。（3）Mdaemon邮件服务器的安全配置内容。（4）分析PGP邮件加密软件在邮件安全方面的作用。（5）实验收获与体会。4.4 实验背景4.4.1

40、 基础知识电子邮件系统的安全主要包括如下两个方面：（1）电子邮件服务器的安全包括网络安全以及如何从服务器端防范和杜绝垃圾邮件，病毒邮件，邮件炸弹和钓鱼邮件等，这些是电子邮件服务的基本要求。（2）电子邮件信息的安全如何确保电子邮件内容不会被非法窃取，非法篡改，发信方和收信方不能否认对邮件的发送和接受行为以及防止非法用户登录合法用户的电子邮件帐号等。目前解决电子邮件服务的信息安全问题主要是通过端到端的安全电子邮件技术。端到端的安全电子邮件技术保证邮件从被发出到被接收的整个过程中信息的机密性，完整性和不可否认性。目前，Internet使用的端到端的安全电子邮件标准主要有两种：PGP(pretty g

41、ood privacy)和安全多功英特网电子邮件扩充标准SMIME (secure multi-part Internet mail extensions)。4.4.2 邮件服务器MdaemonMdaemon是一款著名的标准SMTP/POP/IMAP邮件服务系统，由美国Alt-N公司开发，称为万能邮件服务器，支持Windows和UNIX平台，特别适用于中小型企业。它提供完整的邮件服务器功能，保护用户不受垃圾邮件的干扰，实现网页登录收发邮件，支持远程管理，并且当与Mdaemon AntiVirus插件使用时，它还保护系统防御邮件病毒。由于其具有较高的安全性、可靠性和强大的功能，成为广泛使用的一种

42、邮件服务器。4.4.3 邮件加密软件PGPPGP是一个基于RSA公匙加密体系的邮件加密软件，其主要功能包括：基于IDEA的邮件内容加密；基于RSA的数字签名；MD5报文摘要功能；数据压缩功能；不需要任何保密渠道传递密匙。它的功能强大，有很快的速度。而且源代码是免费的。4.5 实验步骤4.5.1 邮件服务器的安装与测试（1）执行安装文件。（2）当出现如图1所示的对话框时，设置邮件服务器的域名。图1（3）当出现如图2所示的对话框时，设置用户全名，邮箱名和密码，可以设置此帐号为管理员，允许完全的配置访问。图2（4）单击“下一步”按钮，设置DNS，可以直接使用默认的DNS设置。（5）单击“下一步”按钮

43、，根据需要选择操作模式。（6）单击“下一步”按钮，若在Windows 98/Me/XP上安装，会出现“是否将Mdaemon设置为系统服务”的提示框，可以根据需要选择。（7）单击“下一步”按钮，直至完成安装。（8）Mdaemon允许客户使用任何标准的POP3/SMTP/IMAP软件，如Microsoft Outlook Express。安装完成之后，可以在自己主机上的Outlook Express设置一个账号，如图3至图7所示，然后进行收发邮件的测试。测试结果如图8所示。图3图4图5图6图7图84.5.2 邮件服务器的安全配置Mdaemon Server测试成功之后就可以正常运行，管理员可以根据

44、自己的需要设置相关选项。单击Mdaemon Server菜单栏的“安全”菜单，进行安全设置，出现如图9所示界面，它提供了多种安全设置来确保邮件服务器的安全。图9在使用Mdaemon Server的病毒防护功能之前，需安装SecurityPlus插件(av_zh.exe)。 在“安全”菜单中，可以进行如下安全设置：（1）Mdaemon Server的病毒防护（2）邮件内容的过滤（3）DNS黑名单的设置（4）垃圾邮件的过滤（5）SSL和证书设置（6）地址抑制和主机、IP和动态屏蔽（7）中继/可信的/Tarpit设置/灰名单/反向查询/局域网Ips设置（8）IP防护/AUTH/POP先于SMTP设置

45、（9）SPF和发件人ID/域密钥和DKIM/证书/HashCash设置（10）站点使用策略设置4.5.3 安装PGP Desktop Pro v 8.1（1）双击PGP的安装程序，根据安装向导进行安装。（2）在User Type对话框中，根据实际情况进行选择：如果曾经使用过PGP，选择“Yes，I already have keyrings”单选按钮，再导入密钥即可。第一次使用PGP时，需要申请密钥，选择“No，I am a new user”单选按钮。（3）单击“下一步”按钮，安装程序会询问需要选择哪些软件的支持组件安装，可以根据需要选择，然后单击“下一步”按钮完成安装。（4）程序安装完成之

46、后会提示需要重新启动计算机。重新启动之后，选择“开始”“程序”PGPPGP keys，在计算机右下角出现一个锁形状的PGP图标。4.5.4 PGP密钥管理（1）生成密钥对在使用PGP之前，必须先生成公私密钥对。其中，公钥可以分发给需要与之通信的人，让他们用这个公钥来加密邮件或验证接受邮件的数字签名；私钥由使用者自己保存，使用者可以用这个密钥来解开加密邮件或对发送的邮件进行签名。选择“开始”“程序”PGPPGP keys,进入PGP开始界面。执行KeysNew Key生成新的密钥对，单击后会提示正在使用密钥生成向导，单击“下一步”按钮后出现如图10所示的界面，需要填写名字和邮件信息。单击“下一步

47、”按钮，在与Passphrase对应的文本框中设置一个不少于8位的密码，再在Confirmation对应的文本框中输入一便刚才设置的密码，以确定密码是否设置正确。Passphrase Quality表示了用户设置的密码的质量，绿色条越长表示密码设置的质量越好，如图11所示。单击“下一步”按钮生成密钥，完成密钥生成向导，出现如图12所示的对话框。生成密钥后关掉对话框时会提示是否需要备份刚生成的密钥对，一般最好进行备份，以免丢失。图10图11图12（2）导出密钥在生成的密钥上右击，选择Export，导出扩展名为ASC的“SunYat-Sen.asc”公钥文件，如图13所示。可以用邮件或利用其他安全

48、通道将公钥分发给需要与之通信的人。特别提示：通信的双方都要进行密钥的导入和导出。图13（3）导入密钥如果需要阅读他人发送过来的已签名邮件，或者需要给他人发送加密邮件时，就必须拥有对方的公钥。假设通信方为test，其E-mail地址为testSunYat-Sen.mail，当接收方收到通信方的公钥并下载到自己的计算机后，双击这个公钥，会出现如图14所示的对话框。此时，选中好友或通信方的E-mail地址（若有多个，可以单击Select All按钮），然后单击Import按钮，导入好友公钥。启动PGP程序，选中通信方的公钥（也就是PGP中显示出的对方E-mail地址），然后右击选择Sign，即可以对

49、公钥进行签名，如图15所示。单击OK按钮，会要求输入私钥保护口令，如图16所示。签名后还需要在密钥属性里将信任值从Untrusted端移到Trusted端。图14图15图164.5.5 邮件加密与签名（1）重新启动Outlook Express，在工具栏中会出现PGP Keys的按钮。（2）打开Outlook Express，写一封测试邮件，由SYSUSunYat-Sen.mail发信给testSunYat-Sen.mail），在出现的“新邮件”窗口中填入正确的收件人、邮件主题以及邮件内容。写完邮件之后，在“新邮件”窗口中单击按钮，如图17所示。图17（3）单击工具栏中的Sign Messag

50、e（PGP）和Encrypted Message（PGP）后，单击“发送”按钮发送一封签名和加密的信件。在图18对话框中输入私钥保护口令，单击OK按钮即可。图18（4）邮件接受者接受到测试邮件，刚开始打开时看到的是一堆乱码，如图19。图19如果没有发送人的公钥和邮件接收者的私钥是不可能查看里面的内容的，这样就能保证别人不能获得邮件的真正内容。如果需要看到真实的邮件内容，真正的邮件接收者可以在工具栏中单击Decrypt PGP Message按钮，弹出如图20所示的对话框。图20输入私钥保护口令，单击OK按钮后就可以正常看到信件的原文，如图21。图215 实验5：网络级防火墙实验5.1实验目的（

51、1）理解网络级防火墙的功能和工作原理。（2）理解IP访问控制列表ACL的基本格式和各项参数的含义。（3）掌握VLAN和IP子网的配置方法。（4）掌握网络级防火墙的基本要素和配置方法。 5.2 实验环境本实验分成每3人一组进行。每组实验设备包括：cisco3560三层交换机1台PC机3台（双网卡），组成两个VLAN，构成实验测试环境。其中，PC1还连接实验管理服务器（00），兼做交换机的配置终端。直通双绞线3根，用于将各PC机的2号网卡连接到交换机的FastEthernet 端口。实验拓扑如图1。其中，PC1和PC2组成VLAN2和子网，PC3组成vla

52、n3和子网，vlan2 与vlan3使用IP协议通过三层交换实现相互通信。FastEthernet0/6FastEthernet0/3FastEthernet0/2网关：/24网关：/24网关：/24图1 网络级防火墙实验拓扑5.3 实验要求1、实验任务（1）按要求创建和配置VLAN与IP子网。（2）按要求创建和配置ACL。（3）使用PING命令等方法验证实验结果。 （4）记录并分析实验结果。2、实验预习（1）预习本实验指导书，深入理解实验目

53、的与要求，熟悉实验设备与实验环境。（2）了解虚拟局域网的相关知识。（3）熟悉Cisco交换机相关配置命令和实验步骤，了解ACL的格式及其参数的含义3、实验报告（1）简要描述实验过程。（2）实验中遇到了什么问题，如何解决的。（3）简要叙述利用访问控制列表ACL实现IP地址过滤和协议过滤的方法。（4）实验收获与体会。5.4 实验背景5.4.1 实验原理目前的网络级防火墙大都基于IP路由器实现，其基础是路由器的访问控制列表（ACL）。ACL提供了一种机制，可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流，以制定机构内部网络的安全策略，这些策略可以描述安全

54、功能，并且反映流量的优先级别。路由器一般都支持两种类型的访问表：标准访问表和扩展访问表。在一个接口上配置访问表需要三个步骤： （1）定义访问表; （2）指定访问表所应用的接口; （3）定义访问表作用于接口上的方向。本实验通过将两个IP子网划分到不同的VLAN中（见拓扑图），利用三层交换技术实现两个子网的相互通信，然后通过访问控制列表（ACL）实现IP地址过滤、限制ICMP、远程登录交换机、禁止TCP协议等功能完成网络防火墙的配置与测试。5.4.2 标准的IP访问控制表标准访问表控制（表序号从1到99）基于网络地址的信息流，只实现IP地址过滤。1、标准IP访问表的基本格式access-listlist numberpermit/denyhost/anysource addresswildcard-masklog2、标准IP访问表基本格式中各项参数的含义（1）list number-表号范围标准IP访问表的表序号从1到99。（2）permit/deny-允许或拒绝关键字permit和deny用来表示满足访问表项的报文是允许通过接口，还是要过滤掉。permit表示允许报文通过接口，而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。（3）source address-IP源地址对于标