信息安全实验手册

上海交通大学信息安全工程学院2008年目录ー、防火墙实验系统实验指导书11,NAT转换实验22、一般包过滤实验43,状态检测实验74、应用代理实验!15、综合实验166、事件审计实验17二、入侵检测实验系统实验指导书191,特点匹配检测实验202、完整性检测实验253、网络流量分析实验294、误警分析实验 31三、安全审计实验系统指导书361、文件审计实验 372、网络审计实验413,打印审计实验444、日志监测实验475,拨号审计实验506^审计跟踪实验537、主机监管实验58四、病毒实验系统实验指导书601、网络炸弹实验612、万花谷病毒实验633,新欢乐时刻病毒实验 654、漂亮莎病毒实验685、N0.1病毒实验706、PE病毒实验72五、PKI系统实验指导书76TOC\o"1-5"\h\z1,证书申请实验 772、用户申请治理实验793,证书治理实验 814、信任治理实验 835,交叉认证实验 856、证书应用实验 887、SSL应用实验90六、攻防实验系统指导书 941、RPCDCOM堆栈溢出实验952、端口扫描实验 1023、漏洞扫描实验 1074、Unixロ令实验破解1105、Windows口令破解实验1156、远程操纵实验 !227、灰鸽子远程操纵128七、密码实验系统指导书!32DES单步加密实验133DES算法实验1353、3DES算法实验1374、AES算法实验1395,MD5算法实验1416、SHA-1算法实验!437、RSA算法实验1448、DSA数字签名实验147ハ、IPSecVPN实验系统实验指导书1491,VPN安全性实验!502、VPNIKE认证实验1563、VPN模式比较实验161九、多级安全访咨询操纵系统实验指导书168实验环境介绍1691,PMI试验1702、XACML系统实验!743,模型实验1794、RBAC系统实验!82防火墙实验系统实验指导书NAT转换实验一般包过滤实验状态检测实验应用代理实验综合实验事件审计实验ル，ハ▲ 1"ヽ:Web服务器令1,NAT转换实验ャ寞蓝百的厂病毒防护实验乐统服务器入侵检测实验系统服务潯安全审计实验系统服务器Internet読喲,即能态NAT(StaticNAT)、卜AT)、网络般籌曬黑砧PT(Port-LevelNAT)〇④生出通过实獭墙游a明白得网络地步び念与原理。了解N期•髀费Fラ舞建さ原理及キ胃貓!动态地址NAT(Po-同时,把本藹海韵思，縊苑疝图泰ほぼ验功能.配*NAT的方法,修へ］リ定规则やFTP服'彳匿 ーFTP服务器:如果防火墙实验系统服务器是在实验室区域网和防火墙区域网边界,则须在须在实验室区域网内增加FTP服务用来做FTP代理实验。如果防火墙实验系统服务器在实验室区域网和外网边界,则不需要增加FTP服务。实验小组的机器要求将网关设置为防火墙主机和内网的接口网卡IP地址:54(次地址可由老师事先指定)。实验小组机器要求有WEB扫瞄器:IE或者其他。配置结果测试页面通过NAT转换实验进入页面中的“验证NAT目标地址”提供的链接能够得到。NAT规则配置终止后,新打开扫瞄器窗口,通过“验证NAT目标地址’’提供的地址,进入测试结果页面,将显示地址转换后的目的地址。【预备知识】NAT差不多概念、原理及其类型;常用网络客户端的操作:IE的使用,并通过操作,判定防火墙规则是否生效;了解常用的无法在互联网上使用的保留IP地址(如:55,-55,-55)〇深刻明白得网络地址分段、子网掩码和端口的概念与原理。【实验内容】在防火墙实验系统上，配置NAT的规则;通过ー些常用的网络客户端操作,判定已配置的规则是否有效,对比不同规则下,产生的不同成效。【实验步骤】在每次实验前,都要打开扫瞄器,输入地址:http://192.168.L254/firewall/jsp/main,在打开的页面中输入学号和密码,登陆防火墙实验系统。在实验前应先删除防火墙原有的所有规则。1）登陆防火墙实验系统后，点击左侧导航栏的“NAT转换”,进入“NAT的规则配置”页面。2）在打开的页面中,如果有任何规则存在，点击“删除所有规则”；3）点击“增加一条规则”,进入规则配置的界面。下面对此界面中的ー些选项作讲明:源地址、目的地址ーー地址用IP地址来表示。4）选择源地址：IP地址,5、目的地址,例如：IP地址,100.目的端口：ethO。按“增加”后，就增加了一条NAT规则,这条规则将内部地址5映射为外部地址00o增加NAT规则后,能够用扫瞄器在规则添加前后进行检测（新打开窗ロ,输入进入页面中的“验证NAT目标地址”）,以判定规则是否有效以及起到了什么成效。详见参考答案。5）当完成配置规则和检测后，能够重复步骤2）到步骤4）,来配置不同的规则。2、一般包过滤实验【实验目的】通过实验,了解一般包过滤的差不多概念和原理,如方向、协议、端ロ、源地址、目的地址等等,把握常用服务所对应的协议和端口。同时,把握在防火墙实验系统上配置一般包过滤型防火墙的方法,学会判定规则是否生效。【实验环境及讲明】同实验ー【预备知识】运算机网络的基础知识,方向、协议、端口、地址等概念以及各常用服务所对应的协议、端口;常用网络客户端的操作:IE的使用,Ftp客户端的使用,ping命令的使用等,并通过这些操作,判定防火墙规则是否生效;包过滤型防火墙的差不多概念,明白得各规则的意义。【实验内容】在正确配置NAT规则的前提下（实验ー）,实验第一配置一般包过滤规则,然后通过登录外网web页面、登录外网ftp服务器等常用网络客户端操作判定配置的规则是否生效,具体内容如下:设置一条规则,阻挡所有外网到内网的数据包。采纳ping命令检测规则是否生效。将差不多设置的多条规则顺序打乱,分析不同次序的规则组合会产生如何样的作用,然后通过网络客户端操作检验规则组合产生的成效。【实验步骤】在每次实验前,都要打开扫瞄器,输入地址：http://192.168.L254/firewall/jsp/main,在打开的页面中输入学号和密码,登陆防火墙实验系统。第一步：登陆防火墙实验系统后,点击左侧导航栏的“一般包过滤”，在右侧的界面中选择ー个方向进入。此处共有外网＜-＞内网、外网＜-＞DMZ和内网＜-＞DMZ3个方向1可供选择。’例如,选择“外网＜-＞内网”,就能配置内网和外网之间的・般包过滤规则.

第二步:在打开的页面中,如果有任何规则存在‘点击’‘删除所有规第三步:点击“增加一条规则”,进入规则配置界面2,配置规则。如果对正在配置的规则不中意,能够点击’‘重置"，将配置页面复原到默认的状态。1.设置一条规则,阻挡所有外网到内网的数据包并检测规则有效性。选择正确的选项，点击“增加”后,增加一条一般包过滤规则,阻挡所有外网到内网的数据包。例如:方向：'‘外网-〉内网”增加到位置:1协议：any源地址:IP地址,/源端口：disabled（由于协议选择了any,此处不用选择）目的地址:IP地址,/目的端口:disabled（由于协议选择了any,此处不用选择）动作：REJECT〇规则添加成功后,能够用各种客户端工具,例如IE、FTP客户端工具、ping等进行检测,以判定规则是否有效以及起到了什么成效。多条规则设置必须注意每一条规则增加到的位置（即规则的优先级），能够参考下面的所列的规则组合增加多条规则。方向:外，内增加到位置:1方向:外，内增加到位置:1方向:外一〉内增加到位置:2方向:外一〉内增加到位置:3源地址:/源端口:any源端口:21源端口:any源端口:212此界面中能够选择的项包括:方向 对什么方向上的包进行过滤;增加到位置——将新增的规则放到指定的位置,越靠前优先级越高（不同规则顺序可能产生不同结果）；协议 tcp^udp和icmp,any表示所有3种协议;源地址、目的地址一地址能够用IP地址、网络地址、域名以及MAC地址能不同的方式来表示,其中表示所有地址;源端口、目的端ロー不同的服务对应不同的端口，要选择正确的端口才能过滤相应的服务;动作——ACCEPT和REJECT,决定是否让一个包通过。

目的地址:/目的端口:any协议类型:all动作:ACCEPT目的地址:/目的地址:/目的端口: any 目的端口: any协议类型:tcp 协议类型:all动作:ACCEPT 动作:REJECT规则添加成功后,能够用IE、ドTP客户端工具、ping等进行检测,以判定规则组合是否有效。3.将差不多设置的多条规则顺序打乱,分析不同次序的规则组合会产生如何样的作用,并使用IE、FTP客户端工具、ping等进行验证。【实验摸索题】优先级不源地址源端口目的地址目的端口协议动作3、状态检测实验【实验目的】把握防火墙状态检测机制的原理;把握防火墙状态检测功能的配置方法;明白得网络连接的各个状态的含义;明白得防火墙的状态表；明白得Ftp两种不同传输方式的区不,以及把握防火墙对Ftp应用的配置。【实验环境及讲明】同实验ー【预备知识】网络基础知识:网络差不多概念,网络基础设备,TCP/IP协议,UDP协议,ICMP协议和ARP协议等;常用网络客户端的操作:IE的使用,Ftp客户端的使用,ping命令的使用等；从某主机到某目的网络阻断与否的判定方法；FTP的两种不同数据传输方式的原理；本实验拓扑图所示网络的工作方式,明白得数据流通的方向；防火墙实验系统的差不多使用,而且差不多把握了包过滤功能的有关实验。【实验内容】设置一般包过滤规则,实现ftp两种不同的数据传输方式,采纳ftp客户端工具FlashFXP检测规则是否生效。设置状态检测规则,实现ftp的两种不同数据传输方式,采纳ftp客户端工具FlashFXP检测规则是否生效。与前面的一般包过滤实验比较,明白得状态检测机制的优越性。查看防火墙的状态表,分析TCP、UDP和ICMP三种协议的状态信息。【实验步骤】

在每次实验前,打开扫瞄器,输入地址:54/firewall/jsp/main,在打开的页面中输入学号和密码,登陆防火墙教学实验系统。1.配置一般包过滤规则,实现FTP的主动和被动传输模式PORT（主动）模式1）选择正确的选项，点击’’增加”后,增加两条一般包过滤规则,阻挡所有内网到外网及外网到内网的TCP协议规则。源地址:/源端口:源地址:/源端口:any目的端口:20协议类型:tcp动作:ACCEPTPASV（被动）模式1）选择正确的选项，点击’’增加”后,增加两条一般包过滤规则,阻挡所有内网到外网及外网到内网的TCP协议规则。2）增加两条一般包过滤规则,承诺ftp操纵连接。3）增加两条一般包过滤规则,承诺ftp数据连接。可参考如下规则设置:方向:内ー〉外增加到位置:1方向:外一〉内增加到位置:12）增加两条一般包过滤规则,置:方向:内ー〉外增加到位置:1源地址:/源端口:any目的端口:21协议类型:tcp动作:ACCEPT3）增加两条一般包过滤规则,置：方向:内ー〉外增加到位置:1承诺ftp操纵连接。可参考如下规则设方向:外一〉内增加到位置:1源端口:21目的地址:/目的端口:any协议类型:tcp动作:ACCEPT承诺ftp数据连接。可参考如下规则设方向:外-〉内增加到位置:1源端口:20目的地址:/目的端口:any协议类型:tcp动作:ACCEPT源地址:/源端口:any目的端口:1024：65535协议类型:tcp动作:ACCEPT2.配置状态检测规则,实现FTP1）选择正确的选项,点击“增加内网到外网及外网到内网的所有TCP规则设置:方向:内-〉外增加到位置:1源地址:/源端口:any目的地址:/目的端口:any协议类型:tcp状态:NEW,ESTABLISHED,RELATED,INVALID动作:REJECT2）增加两条状态检测规则,承诺端口为任意、状态为ESTABLISHED；如下规则设置:方向:内ー〉外增加到位置:1源地址:/源端口:any目的地址:/目的端口:any协议类型:tcp优态:ESTABLISHED,RELATED动作:ACCEPT3）增加一条状态检测规则,承诺为NEW、ESTABLISHED和RELATE!置：源端口:1024：65535目的地址:/目的端口:any协议类型:tcp动作:ACCEPT的主动和被动传输模式”后,增加两条状态检测规则,阻挡协议、所有状态的规则。可参考如下方向:タド〉内增加到位置:1源地址:/源端口:any目的地址:/目的端口:any协议类型:tcp状态:NEW,ESTABLISHED,RELATEDJNVAL1D动作:REJECT访咨询内网到外网及外网到内网目的和RELATED的TCP数据包。可参考方向:外一〉内增加到位置:1源地址:/源端口:any目的地址:/目的端口:any协议类型:tcp状态:ESTABLISHED,RELATED动作:ACCEPT内网访咨询外网目的端口为21、状态D的TCP数据包。可参考如下规则设方向:'‘内网-〉外网''增加到位置:1协议:tcp源地址:IP地址,/目的端口：21状态：NEW,ESTABLISHED,RELATED动作：ACCEPT〇第三步:点击左边导航栏的''状态检测”,在右边打开的页面中选择"状态表”,在打开的页面中查看防火墙系统所有连接的状态并进行分析。3.查看分析防火墙的状态表点击左边导航栏的"状态检测",在右边打开的页面中选择"状态表",在打开的页面中查看当前防火墙系统的所有连接的状态。分不选取一条TCP连接,UDP连接,ICMP连接3,分析各个参数的含义;并分析当前所有连接,了解每条连接相应的打开程序,及其用途。【实验摸索题】分不用一般包过滤和状态检测设置规则,使ftp客户端仅仅能够下载站点ftp://shuguang:shuguang@2:2121的文件。’讲明:如果当前没有ICMP连接,按如下步骤:(3)刷新状态表页面,即可看到ICMP连接状态。4、应用代理实验【实验目的】了解防火墙代理级网关的工作原理;把握配置防火墙代理级网关的方法。【实验环境及讲明】同实验ー。【预备知识】明白本实验拓扑图所示网络的工作方式,明白得数据流通的方向;把握HTTP代理和FTP代理的配置;【实验内容】设置HTTP代理规则,配置IE的HTTP代理,采纳扫瞄器访咨询外网以测试规则是否生效；设置FTP代理规则,配置FlashFXP的FTP代理,采纳FlashFXP访咨询FTP服务器以测试规则是否生效；【实验步骤】在每次实验前,都要打开扫瞄器,输入地址:http://192.168J.254/firewall/jsp/main,在打开的页面中输入学号和密码,登陆防火墙实验系统。(一)HTTP代理实验:登陆防火墙实验系统后,点击左侧导航栏的“HTTP代理”,在打开的页面中,如果有任何规则存在,将规则删除后再设置新规则。打开IE扫瞄器,配置HTTP代理。.设置IE的HTTP代理IE菜单中的工具ー＞Internet选项，弹出"Internet属性”对话框;点击“连接”标签，按“局域网设置”,弹出“局域网(LAN)设置”对话框；在“代理服务器”中勾选“使用代理服务器”，并输入防火墙IP地址及端口:54:3128,选择“关于本地地址不使用代理服务器”,点击“高级”按钮，进入“代理服务器设置”页面,在“例外”栏填入!54；依次按下“确定”退出设置页面;建议每次实验后清空历史纪录。

.测试HTTP代理的默认规则.配置HTTP代理规则,验证规则有效性以教师分配的用户名和密码进入实验系统,点击左侧导航条的“HTTP代理”链接,进入‘'HTTP应用代理规则表”页面,点击“增加一条新规则”后,增加一条HTTP代理规则承诺规则,承诺任意源地址到任意目的地址的访咨询。再次扫瞄上述网址,观看能否访咨询。插入位置:1源地插入位置:1源地址:*插入位置:1源地址:*动作:deny插入位置:1源地址:*动作:deny插入位置:T源地址:*动作:allow动作:allow动作:allow结合一般包过滤规则,进ー步加深对HTTP代理作用的明白得。清空一般包过滤和HTTP代理规则,分不添加一条一般包过滤拒绝因此数据包规则和一条HTTP代理承诺规则,可参考如下规则设置:先添加一般包过滤规则:方向:“外网ー〉内网”增加到位置:1协议:any源地址:IP地址,/源端口:disabled（由于协议选择了any,此处不用选择）目的地址：IP地址,0.0.0.〇/〇.0.0.0目的端口:disabled（由于协议选择了any,此处不用选择）动作:REJECT〇再添加HTTP代理承诺规则：插入位置:1协议:any源地址：*目的地址:*动作:allow〇（二）FTP代理实验:登陆防火墙实验系统后,点击左侧导航栏的“FTP代理”,在打开的页面中,如果有任何规则存在,将规则删除后再设置新规则。打开FTP客户端FlashFXP,配置FTP代理。设置FlashFTP的FTP代理:FlashFXP菜单中的"Options"->uPreferences",在弹出的"ConfigureFlashFXP"对话框中选择"Connection"子项,点击“Proxy",显现代理设置对话框;点击"Add"按钮,在弹出的"AddProxyServerProfile"中依次输入：Name:域名Type：Userftp-user@ftp-host:ftp-portHost：54Port：2121User及Password为空,依次按下“OK”按钮,退出即可。测试FTP代理的默认规则:3.配置FTP代理规则,验证规则有效性以教师分配的用户名和密码进入实验系统,点击左侧导航条的"FTP代理”链接,显示"FTP应用代理规则表”页面,点击"增加一条新规则”后,增加一条FTP代理承诺规则,承诺任意源地址到任意目的地址的访咨询。再次连接上述FTP站点,观看能否访咨询。插入位置:I源地址:*目的地址:30动作:deny插入位置:1源地址:*目的地址:30动作:allow结合一般包过滤规则,进ー步加深对FTP代理作用的明白得。清空ー般包过滤和FTP代理规则,分不添加一条一般包过滤拒绝所有数据包规则和一条FTP代理承诺规则,可参考如下规则设置：先添加一般包过滤规则:方向:“外网ー〉内网”增加到位置:1协议:any源地址：IP地址,/源端口:disabled（由于协议选择了any,此处不用选择）目的地址:IP地址,/目的端口:disabled（由于协议选择了any,此处不用选择）动作:REJECT〇再添加FTP代理规则:插入位置:1协议:any源地址：*目的地址：*动作:allow〇插入位置:1源地址:*目的地址:61动作:deny插入位置:1 插入位置:1源地址:・ 源地址:*动作:deny 动作:allow先添加一般包过滤规则:方向:“外网ー〉内网”增加到位置：1协议:any源地址：IP地址，/源端口:disabled（由于协议选择了any,此处不用选择）目的地址:IP地址,/目的端口：disabled（由于协议选择了any,此处不用选择）动作:REJECT〇插入位置:1协议:any源地址:*目的地址:*动作:allow〇5、综合实验【实验目的】了解企业防火墙的ー样作用。学会灵活运用防火墙规则设置满足企业需求。【实验环境及讲明】同实验ー、二、三【预备知识】了解差不多的企业网络拓扑。了解ftp服务被动模式原理与有关代理设置。明白得http访咨询以及http代理工作原理。了解QQ工作原理【实验内容】某企业需要在防火墙上设置如下规则以满足企业需要:通过设置防火墙规则设置正确的NAT规则通过设置防火墙规则将包过滤规则的默认动作为拒绝通过设置防火墙规则打开内网到外网,DMZ到外网的DNS服务通过设置防火墙规则承诺所有的客户端以被动模式访咨询外网的FTP服务。通过设置防火墙规则承诺内网用户使用QQ服务。【实验步骤】通过设置正确的NAT规则完成策略1〇通过设置正确的一般包过滤和状态检测完成策略2到策略6的。Web服务器inno;ミン病毒防护实验系统服务器入侵检测实验系统服务器安全审计实验泰统服务器Internet6、事件审计实验【实验剧雜域网ETH^X\屋会守照日志,爲缶性的检验攵.把握常见捻縈將Web服务器inno;ミン病毒防护实验系统服务器入侵检测实验系统服务器安全审计实验泰统服务器Internet6、事件审计实验【实验剧雜域网ETH^X\屋会守照日志,爲缶性的检验攵.把握常见捻縈將W鹹反其端口.加深关于tcp等ハ通明蹴・,。呼野火墙日志的幣也し规则,判定规则是废ユ协议数q得.加群平!留通信过程的明电ミ।ETD包夂,if；FTP服务霽な說聯鹽M為插論鳳姐エイ实验功能“FTP服务器:如果防火墙实验系统服务器是在实验室区域网和防火墙区域网边界,则须在须在实验室区域网内増加一FTP服务用来做FTP代理实验。如果防火墙实验系统服务器在实验室区域网和外网边界,则不需要増加FTP服务.实验小组的机器要求将网关设置为防火墙主机和内网的接口网卡IP地址:54（次地址可由老师事先指定）。实验小组机器要求有WEB扫瞄器:IE或者其他;要求有Ftp客户端:CuteFtp,LeapFtp、FlashFXP或者其他。【预备知识】运算机网络的基础知识,方向、协议、端口、地址等概念以及各常用服务所对应的协议、端口;常用网络客户端的操作：IE的使用,Ftp客户端的使用,ping命令的使用等,并通过这些操作,判定防火墙规则是否生效;tcp/ip协议明白得,三次握手。【实验内容】在各个实验系统设置好规则后,通过一些常见的网络客户端操作验证已配置的规则是否生效.网络客户端操作终止后,查看有关的日志,看看是否和自己的有关操作一致.结合规则,看是否和预期的成效一致.【实验步骤】打开IE扫瞄器,输入地址:54,在打开的页面中输入学号和密码,登陆防火墙实验系统。在实验前删除防火墙原有的所有规则。点击左侧导航栏的某ー个实验.如“一般包过滤”在右侧的界面中选择ー个方向进入。此处共有外网く〉内网、外网<->DMZ和内网<->DMZ3个方向可供选择。按照实验ー的具体要求设置好规则后,利用ping,或者ie做某个网络客户端操作.点击选择左侧导航栏的“事件审计”选项在右侧界面上选择”包过滤及其状态检测日志”选项,进入一般包过滤日志查询页面.直截了当点击“查询”按钮,显示该学生所有的一般包过滤日志在“源地址”、“源端口”、’’目的地址”、“目的端口”、“协议”中分不填入需查询的条件,再点击“查询”按钮,则可显示符合查询条件的日志信息。日志查询支持模糊查询,如在“源地址”中输入:202,点击查询后,显示所有源地址中包含202的日志。【实验报告要求】由于本实验属于辅助性的实验，涉及到每ー个具体的实验系统。因此本实验不另外作。而是渗透到每ー个具体的实验系统当中。将最后的日志记录在每一个子实验当中。按照每次自己所设置的规则,然后利用某些网络客户端验证规则,最后选择查看有关日志.将日志的有关选项记录下来.专门是有关自己规则的部分。入侵检测实验系统实验指导书特点匹配检测实验完整性检测实验网络流量分析实验误警分析实验服药服药器1,特点匹配检测实验【实验目的】明白得NIDS的专门检测原理;hub了解ヤ络专IJ事件;一|明i|—p侵检测系ろ［~Lp种协议“攻［—［事件的检测原理;।—［了とユ规则的配t と高IBM兼容机IBM兼容机IBM兼容机IBM兼容机IBM兼容机本奖验聃网络拓扑圏難圏!-1所示:学生机3 ••.. 学生机N图1-1网络拓扑图学生气和中心服务器通过hub相连。为保证各学生气ip不相互冲突,学生能够用学号的后3位来设置ip地址,例如某学生的学号后3位为001,则可设置其ip为!,中心服务器地址为<IDServerIPAddress>0学生气安装Windows操作系统并安装有DOS攻击工具。要求有WEB扫瞄器:IE或者其他;【实验预备知识点】本实验需要如下的预备知识:入侵检测的差不多概念及入侵检测系统的差不多构成,如数据源,入侵分析,响应处理等;运算机网络的基础知识,如方向、协议、端口、地址等概念;常用网络协议（如tcp,udp,icmp）的各字段含义。【实验内容】本实验需要完成的内容如下:配置入侵检测规则;通过ー些常用的网络客户端操作,判定已配置的规则是否有效,并查看相应的入侵事件，对比不同规则下，产生的不同成效。【实验步骤】

NIDS检测实验在扌1NIDS检测实验在扌1设置系统检测项目

查看系统的检测事件诋回当前系统检测项目表当前系统对下列事件的检測状况是，[_序号修改检测状亜事件名称网络行为性质大包Pin当前系统对下列事件的检測状况是，[_序号修改检测状亜事件名称网络行为性质大包Pin淨件在3分钟内该事件发生超过10次视为异常探测Telnet服务器事件在2分钟内该事件发生超过10次视カ异常探测表格中状态栏显表格中状态栏显示了系妩对大包件与teln.t服务器事件的检测状况，修改系妩检测状况可按以下步骤进行:1.点击相应事件的“修改系统检测状况’’复选框人,LL2.点击“修改所选设置”按钮,即可修改系统对当前事件的检测伏态:作ヒ3.若修改状态精课，页面合岀现错误提示.图1-4检测项目表检测事件表在 当前系统检済到如下事件:网络行カ性质 发生时间1TOE 目的地址 协议类型1在 当前系统检済到如下事件:网络行カ性质 发生时间1TOE 目的地址 协议类型1ICMPLarceICMPPacktt2ICMPLargeICMPPacket3ICMPLargeICMPPacket4ICMPLargeICMPPacket5ICMPLargeICMPPacket6ICMPLargeIBPPacket7ICMPLargeICMPPacket8ICMPLargeICMPPacket9TelnetServerAttempt10TelnetServerAttempt11TelnetServerAttempt富常常常常常常常常常常

正正正正正正正正正正正2006-07-111411:47.0192.168123.243192168123230ICMP2006-07-1114:11:47.〇192.168123.243192168.123230ICBP2006-07-1114:11:48.04330ICIP2006-07-1114:1149.0192.168123.243192168123230ICMP2006-07-1114:1150.0192.168123.243192168.123.230ICBP2006-07-1114:11:50.04330ICBP2006-07-1114:11:50.0192.168123.243192168.123.230ICBP2006-07-1114:11:51.0192.168123.243192168123.230ICBP2006-07-111411:34.04330TCP2006-07-1114:11:35.0192.168123.243192168.123230TCP2006-07-11141135.0192.168123.243192168.123.230TCP请选择协议类型TCPUDPICMP

请选择协议类型TCPUDPICMP图1-6多协议检测类型TCP协议检测实验TCP协议检测规则TCP1次则如下: こ|序号|选择| 事件特征 | 源地址 | 目的地址 |目的端口| 数施内容 |大小美ー1厂 DeepThroat3.1 31 1111AhhhhlyMouthIsOpen敏感增加一条TCP协议检测规则加先地土该エ端匸地土ロ;容;〇显现增协议；“源オ户无权对ヒ够为任意お器的ipな的目的端的数据内十,加先地土该エ端匸地土ロ;容;当防系统检测到如下事件:即1序号1特征签名发生时间源地址| 目的地址 |价议关理1DeepThroat3.12006-12-0211:12:28.031 TCP2DeepThroat3.12006-12-0211:12:28.031 TCP3DeepThroat3.12006-12-0211:12:28.031 TCP可ネ覇除已检测第0率件TCP準返回图1-10TCP检测事件表TTHP4A刊拈涮立時增加一条UDP协议检测规则I弓查看盘 方向:F>:!TOC\o"1-5"\h\z擀议,麼I .源地址:11 '源端口:any目的地址:|31目的端口：12222事件签名:hijacker ［増 数据内容:|NUCLEAR-notify］ 」丘1ProtocolSender1.20 fZ""|(B-||：X'|TCPUDPICMPDOS中白TCPUDPICMPDOS-12则”容、

当前系统检测到如下事件:序号! 特征签名 | 发生时间 | 源地址 | 目的地址 |协议类型即1 hijacker 2006-12-3021:14:37.0 1 31 UDP2 hijacker 2006-12-3021:14:37.0 1 31 UDP可ネ3 hijacker 2006-12-3021:14:37.0 1 31 UDPUD删除己检测的UDP事件図1.14ITDP裕涮事件增加一条ICMP协议检测规则方向:|->^J协议I|ICMP|源地址:|192.168.3.TT-

目的地址:|192,168.3.23?数据类型号:回三］数据代码号:0事件签名：aa则”填充内容:Izzl则”填充内容:Izzl图1-17数据包发送图3）查看入侵事件的I图1-18ICMP检测事件【实验的I图1-18ICMP检测事件【实验摸索题】删除己检测的［UHP事件当前系统检测到如下事件，ア刃 特征签名 ! 发生B祠 | 源地证 ！目的地址 厂・阿荚蹙TOC\o"1-5"\h\z1 aa 2006-12-30 21:09:14.0 192.168.3. 11 192. 168.3.231 IC1P2 aa 2006-12-30 21:09:14.0 192.168.3. 11 192. 168.3.231 ICIP3 aa 2006-12-30 21:09:14.0 192.168.3. 11 192. 168.3.231 ICIPCMし请按照实验过程及结果,叁与gj模块是如何检测出入侵事件的?2、完整性检测实验【实验冃住U 了禺见的对主机［离侵^弾见的统检测方立」!!IBM兼容机IBM兼容机IBM兼容机IBM兼容机IBM兼容机本实骏啲网络拓排图棚图2-1所承生机3 —.. 学生机N图2-1实验环境拓扑图学生气和中心服务器通过hub相连。服务器上预设了用户名stuOI,Stu02,，，•,stu5O;相应的用户名与密码相同。因此每位学生能够通过stu+“学号的后两位”作为用户名登录系统,后两位为“51”的,使用stuOI,…后两位00的,使用stu50.中心服务器ip地址为30。服务器安装linux操作系统,并安装有tomcat服务器、MySql数据库服务器、snort系统。学生气安装Windows操作系统，要求有WEB扫瞄器:IE或者其他,要求【实验预备知识点】本实验需要如下的预备知识:常用网络客户端的操作:IE的使用,常用Linux命令的使用,vi文本编辑器的使用。

HIDS差不多概念及入侵检测系统的差不多构成,如数据源,入侵分析,响应处理等。【实验内容】本实验需要完成的内容如下:通过ssh登录到linux主机,按照试验步骤,发动如下的攻击,查看其对系统安全的阻碍,然后查看HIDS检测报告。.木马入侵与检测.文件篡改与检测.日志入侵与检测【实验步骤】登录IDS实验系统后,点击左侧导航栏的“完整性检测”,进入完整性到linux服务器,如图2-2到linux服务器,如图2-2件篡改与检测、日图2-2使用ssh客户端登录界面木马入侵与检测使用自己的用户名、密码ssh登录到Linux主机,进入bin名目:#cdbin查看shell脚本ls_troj文件内容,分析其作用。#vils_troj查看完毕后退出（按Esc,输入:q!,回车）。用此shell文件替换1完整性检测报告/hom«/stu01RuleNameSeverityLevelAddedRemovedModifxedOperatingSystemUtilities100000

C/home/stuOl/bin)

SecurityControl66000

G^home/stuOl/protect)

♦SystemLogFiles80001

C/home/stuOl/log)Tottiobjectsscanned6

Totalviolationsfound：1RuleNtfie：SystemLogFiles(/horne/stuOl/log)

SeverityLevel80Modified7home/stu01/log/syslog*ErrorReportNoErrors报告返回图2-3系统报告界面还原系统文件:cd~rm—rfpdcdbincp-rfls_origIs文件篡改与检测使用自己的用户名、密码ssh登录至（］Linux主机.（如果差不多登录,则无须再次登录）。进入protect名目。#cd~/protect修改文件,或者任意增加文件（能够使用vi,gedit等编辑器）。进入实验系统界面,点击“查看报告’日志入侵与检测使用自己的用户名、密码ssh登录到LinuX主机,（如果差不多登录,则无须再次登录）。进入log名目:#cd~/log查看linux生成的系统日志syslog,分析其中有哪些信息。将syslog增加一个片断:#echo“Asegementisappendedtothesyslog!”»syslog进入实验系统界面,点击“查看报告”使用vi编辑器,将syslog删除或者修改ー个片断:#visyslog输入i进入编辑状态,移动光标到任意一行，输入“dd”删除一行。修改完毕后储存退出（按Esc,输入：wq,回车）。进入实验系统界面,点击“查看报告”。【实验摸索题】1.本实验所用H1DS是ー套有关数据和网络完整性爱护的工具,要紧是检测和报告系统中文件被改动、增加、删除的详细情形，能够用于入侵检测、缺失的评估和复原、证据储存等多个用途。该软件在基准数据库生成时,会按照策略文件中的规则读取指定的文件，同时生成该文件的数字签名并储备在自己的数据库中。由于使用了多达四种Hash算法，因此准确度专门高。然而,系统如何保证自身的基准数据库的安全呢?3、网络流量分析实验

【实验目的】し ノHUB長检测系统ヌミ了亡’:3、网络流量分析实验

【实验目的】し ノHUB長检测系统ヌミ了亡’:F3事件的发ナ量1大流量事件百ゆ原理。IBM兼容机IBM兼容机IBM兼容机本奖验病网络拓扑圏麵圏3-1所示:学生机3学生机N图3-1网络拓扑图学生气和中心服务器通过hub相连。为保证各学生气ip不相互冲突,学生能够用学号的后3位来设置ip地址,例如某学生的学号后3位为001,则可设置其ip为!,中心服务器地址为<IDServerIPAddress>0学生气安装Windows操作系统并安装有DOS攻击工具。要求有WEB扫瞄器:IE或者其他;【实验预备知识点】本实验需要如下的预备知识:运算机网络的基础知识;网络中数据的传输过程。【实验内容】本实验需要完成的内容如下:动而网络流量分析实验动而大流量事件

查看系统的流量图

査看系统检测事件3-图3-2网络流量实验点击“大流量事件”,进入“大流量事件表”页面。如图3-4所示。

下载大数据文件在某ー时刻,对流经网络的数据量进行监测分析,是判斷系统是否遭受入侵的ー个重要方面.本实魅’下载大数据文件事件’采用http方式下载testfile.tar.gz测试文件，实验人员将鼠标移至’点击下载',操作下軟文件,以此产生正・的网络流・OlultiProtocolSender1.20 ||ロTCPUDPjICMPJDOSDOS目的地址 J192・168,!23・230て,目的端ロ ロ“Ilて,ー小时流量图PU0U3S13：50 14:00 14：PU0U3S13：50 14:00 14：10 14：20 14：30 14:403k2k1kIncomingTrafficinBytespersecondOutgoingTrafficinBytesperSecondMaximal in: 6.325 k ( 0.51%) Maximal out: 8.082 k ( 0.6550Average In: 2.250 k ( 0.1ax) Average out: 2.947 k ( 0.2软)Current In: 231.907 ( 0.02X) Current Out: 137.139 ( 0.01%)»本流量图显示的是系统最近一小时内检测到的实验结果,以每分钟平均流量为单位。检测结果Atttcktyp*DDOSshtftzynflood

Events：223細除已检測事件险看到如下事件:1序号1攻击类型发生时间源地址目的地址1DDOSshaftsynflood2006-06-0715:05:06.095.8898134192168.123.2302DDOSshtftsynflood2006-06-0715:05:07,020224.98401921681232303DDOSshaftsynflood2006-06-0715:05:0802025416231921681232304DDOSshaftsynflood2006-06-0715:05:090190244291641921681232305DDOSshaftsynflood2006-06-0715:05:090128113102.261921681232306DDOSshaftsynflood2006-06-0715:05:09.015745107.202307DDOSshaftsynflood2006-06-0715:05:10.09308DDOSshaftsynflood2006-06-0715.05:10,0186139.574192.1681232309DDOSshaftsynflood2006-06-071505:11057101.151192168.12323077T毛10DDOSshaftsynflood2006-06-071505:110102240.3883192168123230土用有111DDOSshaftsynflood2006-06-0715:0511023,133140235192168123230ロ12DDOSshaftsynflood2006-06-0715:05:11.013730123172192168123230里13DDOSshaftsynflood2006-06-0715:05:12.0930〇14DDOSshaftsynflood2006-06-0715:05:12.011999204.653015DDOSxhaftsynflood2006-06-0715:05:12,0551524911619216812323016DDOSshaftsynflood2006-06-0715:05:1202196613710919216812323017TUIHS«卜・f，〈vnCccHクnM-nfi-n?isns13n215inn204HR1921R8123ク3n图3-10检测事件表9.同理能够操作一天,一周,一月,一年的流量图。【实验摸索题】

.什么缘故下载大数据包文件雌候IDS没有检测到任何信息,而发动Dos攻击后系统检测到了专门多任L24、误警分析实验动Dos攻击后系统检测到了专门多任L24、误警分析实验HUB【实产目地! ——明白入侵检测系禹警的原理JLド侵检测单^膏警的原理言r实駿环境］ 侬兼容机IBM兼容机IロFsIIBM兼容机本实駿啲网络拓拚图极。图4-1所殍生机3学生机、图4-1实验环境拓扑图.学生气和中心服务器通过hub相连。为保证各学生气IP地址互不冲突,学生能够用学号的后3位来设置ip地址,例如某学生的学号后3位为001,则可设置其ip为!,中心服务器地址为!30o服务器安装linux操作系统,并安装有tomcat服务器、MySql数据库服务器、snort系统。学生气安装Windows操作系统。要求有WEB扫瞄器:IE或者其他。【实验预备知识点】本实验需要如下的预备知识:运算机网络应用的基础知识，如URL编码,双斜线,逆遍历,自引用和名目分隔符等概念;运算机安全的基础知识。【实验内容】本实验需要完成的内容如下:通过发动各种入侵事件,对比不同情形下的检测结果,深入明白得漏警和虚警的原理。【实验步骤】在每次实验前,都要打开扫瞄器,输入地址:30,在打开的页面中输入学号和密码，登录IDS实验系统。点击首页左下方“误警分析’’,进入”虚警率分析实验”页面。・漏警部分URL编码实验将URL进行编码,能够躲开ー些采纳规则匹配的NIDS。二进制编码中HTTP协议承诺在URL中使用任意ASCII字符,把二进制字符表示成形力口“〇/i!ムし! 'J4-4nlTFJノームしtt"xnユ=17"厶レ丄ん刀ア7T丄-it•t•i！厶レルr士上检测结果检测到如下事件:图4-2查看事件结果(2)如果用户先点击“URL编码”按钮,然后点击它下面的“发送要求”按钮发动攻击,再点击“查看检测结果”按钮查看事件,因为与规则不匹配,就检测不到事件,因此显示为空。双斜线实验在当前的正常网络环境中,web服务器能够识不多个反斜杠的情形,并返回要求的资源。然而关于目前大多数基于模式匹配的入侵检测系统来讲，还无法检测到这种变化。检测结果图4-3查看事件结果(2)如果用户先点击“转换”按钮,然后点击它下面的“发动攻击”按钮发动攻击,再点击“查看检测结果”按钮查看事件,因为与规则不匹配,就检测不到事件,因此显示为空。逆遍历实验在文件系统中,".•"表示的是上一级名目,在命令行下,我们经常用命令"cd切换到上一级名目。HTTP协议中对资源的要求确实是对服务器上文件的要 检测结果■MHaHHHH检测到如下事件:1序号1攻击美空发生时间源地址目的地址1cgiattack2006-07-0820:21:28.043302cgiattack2006-07-0820:21:36.043303cgiattack2006-07-0820:21:38.04330—鋼季條看检返回图4-4查看事件结果如果用户先点击‘‘逆遍历”按钮,然后点击它下面的“发动攻击”按钮发动攻击,再点击“查看检测结果”按钮查看事件，因为与规则不匹配,就检测不到事件,因此显示为空。自引用实验在文件系统中，’表示的是本名目,在命令行下,"cd."将仍旧停留在原先名目,HTTP协议中对资源的要求确实是对服务器上文件的要求,同样是对文件系统的操作。假定攻击字符串为"/cgi-bin/some.cgi",入侵检测系统已配置为对"/cgi-bin/some.cgi"作检测。通过在攻击字符串中插入多个"./"(自引用),对比两种情形下的检测结果。用户通过点击上面一个“发送攻击”按钮,发动攻击，然后点击“查看检测结果”按钮,查看事件,如图4-5所示:图4-5查看事件结果5.名目分隔符Unix系统下文件的分隔符为'/',在Windows平台下文件分割符为、但兼容Unix的文件分隔符。而HTTPRFC规定用'/',但Microsoft的web服务器如HS会主动把'/'转换成'''。专门多软件为了在Unix和Windows平台下都能yp-*•▼・^^说,Z>4im!B-4-1口-ノ二,”イlハ,再r411-A*Z4-ノ、R亘印r厶ん~-rz--V-检测结果却除己;件n/so检测到如却除己;件n/so检测到如下事件，检双图4-6查看事件结果如果用户先点击“变换斜杠”按钮,然后点击它下面的“发动攻击”按钮发动攻击,再点击“查看检测结果”按钮查看事件,因为与规则不匹配,就检测不到事件,因此显示为空。*虚警部分phf的常见攻击形式为: http://hostname/cgi-bin/phf?QaIias=%0A/bin/cat%20/etc/passwd如果服务器存在phf漏洞,那么上面的命令就能够看到服务器的用户密码文件.针对那个漏洞,我们通过匹配"/phf"字符串作检查,如果HTTP要求中包含"/phf'字符串就产生告警。如果服务器上存在文件"/phfiles/phonefiles.txピ',那么对那个文件的HTTP要求确实是:http://hostname/phfiles/phonefiles.txt正常工作的入侵检测系统就会对那个要求产生告警,但这是对服务器检测结果桧测到如下事件:测事件1序号1攻击类型发生时间源地址目的地址1phfattack2006-07-0821:01:34.04330上父确实结県图4-フ查看事件结果【实验摸索题】1.请按照实验过程及结果,摸索检测模块是如何检测出入侵事件的?安全审计实验系统指导书文件审计实验网络审计实验打印审计实验日志监测实验拨号审计实验审计跟踪实验主机监管实验1,文件审计实验【实验目的】本实验旨在了解文件审计和文件策略的差不多概念和原理,同时还要把握在安全审计教学实验系统中如何制定文件事件审计策略,了解实验系统是如何对指定扫瞄器端进行各类文件操作的实时监控以及当天记录的查询,学会判定所设置的策略是否生效。【预备知识】.文件策略和文件审计的差不多概念，明白得各种策略的意义。【实验方式及差不多要求】.实验设计按小组进行,每组1-2人。.实验者先对自己的IP地址进行设置,然后对其他某个IP地址进行设置。【实验内容】.使用安全审计教学实验系统软件,对文件策略进行设置。.通过对客户端进行一些常用的文件操作,判定所设置的策略是否有效，对比不同设置条件下,产生的不同成效。.通过使用监听功能监测所有在本网段的需要审计的机器,观看文件事图レ1文件策略制定界面对右侧的界面中制定策略的各个选项进行ー些讲明:

能够选择的选项有:监测对象ーー用于选择所要监测运算机的IP地址,选择某ーIP地址后,在其下方会显示出此IP地址及其对应的MAC地址。选择时刻范畴ーー用来指定所要监测的起始和终止时刻的,终止时刻不能早于起始时刻,否则出错。监测设备类型ーー包括软盘、光盘、硬盘名目、移动硬盘,想要监测哪种设备则在其左侧的方框内打勾,监测设备能够多选。硬盘名目ーー选择的监测设备是硬盘名目时，一定要从‘‘硬盘名目‘‘选项后的下拉框中选择ー个路径。访咨询类型——"禁止访咨询”或“记录访咨询”,用来禁止或记录对指定对象的访咨询。策略应用对象ーー"该IP的所有用户"，"该IP的当前用户”,用来指定所要监测的用户。则5：冬增加"00对已存重无リ1起始时间结束时间 动作 由曼类型目录则5：冬增加"00对已存重无リ1起始时间结束时间 动作 由曼类型目录显示上海交通大学信息安全工程实践培调与应用技术班充实总室版权所有©2004-2005图1-2制定某一文件策略注意:最好不要设置冲突的几个策略,当几个策略之间发生冲突时,以后面制定的策略为准。选定某ーIP后,如果有任何策略存在,点击策略左侧的方框打勾选定所有的策略后,然后点击"删除"按钮加以删除即可。如果选择的是"记录访咨询"，在点击了"增加"按钮将其添加到下面的显示框之后,再单击"事件监测",通过对各项的设置能够查看记录访咨询所设置的时刻段内所进行的所有文件操作,(具体见下面的文件监测)并与实际所进行的文件操作进行比较看是否一致,以验证策略是否有效。当完成条件设置和检测后,能够重复步骤(2)至步骤(4),重新设置不同的条件。通过对条件设置界面中,对各选项不同的选择,能够写出专门多不同成效的条件。举例如下:监测时刻范畴:从00：00：00至U00：00：00,监测设备类型:硬盘名目，其上方的硬盘名目项右侧的下拉框中选择想监测的文件名目如:E:\,访咨询类型：记录访咨询,策略应用对象：该IP当前用户：****,这ー设置条件的作用是记录在监测时刻段内对硬盘中指定的文件名目下的文件的所有操作,包括:文件的读、写、删除,新建等。二件如二件如展图!-3事件监测界面对右侧的界面中制定策略的各个选项进行如下的ー些讲明：时刻范畴——所有时刻段:从制定策略时刻起的当天所有时刻段,用于查询实时操作,自定义:在其右侧的第一个空白框中填入查询时刻段的起始时刻：0000-00-00,第二个空白框中填入查询时刻段的终止时刻:0000-00-000注意：自定义时刻段的开始时刻不可超过终止时刻。文件类型一ー所有文件类型：用于查询所有的文件类型,自定义：用于查询所指定的文件类型。例如：时刻范畴：选择所有时刻段,文件类型:选择所有文件类型;点击“查询”按钮，这ー条件的作用是查询从制定策略时刻起的当天所有时刻段所进行的所有文件操作;是对监测对象的实时监测,要紧用于上面策略制定实验中记录访咨询策略的结果确认。如果文件类型ー栏选定的是自定义文件类型，则在其右侧的空白框内写入想要查询的某种文件类型（如：.txt文件就直截了当在其内写入txt）,按右方的“添加”按钮添加,添加的文件类型会显示在右方的空白框内,设定文件审计条件重変除“时间范围「所有时间段行自定义从|13:00:00到「5:00:00文件类型「所有文件类型"自双添加|doc移除丨多1n1图1-4自定义文件类型例如:文件类型:选择自定义文件类型,在其右侧填入txt再添加至右侧空白框内;时刻范畴:选择自定义,从13：00：00至15：00：00,点击“查询”按钮,这ー条件的作用是查询从13：00：00至15：00：00的时刻段内对.txt文件所进行的文件操作;对各个选项都设置好了之后，点击右侧“查询”按钮,即可查询指定条件下的文件操作记录。点击右侧“查询”按钮后,在左下方会有“10秒后重刷本页!”，在查询的时刻内每10秒刷新一次页面,直至停止查询或者查询时刻终止。如果对正在使用的查询条件不中意的话,能够点击“停止查询”按钮,停止当前的查询,再重新设置其他的查询条件,然后点击“查询”即可。如果直截了当点击“查询”按钮,表示查询所有IP中的所有用户在当前时刻起的当天所有时刻段内的文件操作记录,即整个网段内的所有实时文件操作记录。当完成指定设置的查询后,能够重复步骤(2)(3)重新设置。【实验摸索题】.什么缘故在禁止某一名目时，有时能直截了当禁止访咨询其名目下的文件子名目而有时候能访咨询名目下的文件子名目?.如果制定一条禁止访咨询系统盘的策略，会有什么后果?2、网络审计实验【实验目的】本实验旨在了解网络策略和网络审计的差不多概念和原理,把握常用服务所对应的协议和端口。同时，把握在安全审计教学实验系统上配置网络策略的方法,学会判定所制定的策略是否生效。了解实验系统是如何对指定扫瞄器端进行内部网络实时监控以及当天记录的查询,学会判定所设置的策略是否生效。【预备知识】1.运算机网络的基础知识,协议、端口、地址等概念以及常用服务所对应的协议、端口。.从某主机到某目的网络阻断与否的判定方法。.网络策略和网络审计的差不多概念,明白得各种策略的意义。【实验方式及差不多要求】.实验设计按小组进行,每组1-2人。.实验者先对自己的IP地址进行设置,然后对其他某个IP地址进行设置。不恒事【实验内容】1.使用安全审计教学实验系统软不恒事【实验内容】1.使用安全审计教学实验系统软件,对网络事件审计的策略进行设置;全年策埠图2-1网络审计策略制定界面起始时间结束时间动作地址|r00:00:00ト2:00:00 〇|r|08:20:00|l7:40:00!〇 !80\|r|l1:00:00卜2:00:00禁止 Io可。(2)对右侧的界面中制定策略的各个选项进行ー些讲明:A木二生F:ル窄4N二上上，，麻ル”总ル +ル曰 宀厶口木己存策・图2-2制定策略注意:最好不要设置冲突的几个策略,当几个策略之间发生冲突时,以后面制定的策略为准。(3)选定某ー监测IP,如果有任何废弃的策略存在,在显示框中选择要删除的行在其左侧的方框内打勾后,然后点击“删除”按钮加以删除。(4)如果选择的是“记录访咨询”,在点击了“增加”按钮将其添加到下面的显示框之后，再打开“事件监测,通过对各项的设置能够查看记录访咨询所设置的时刻段内所进行的所有网络操作,并与实际所进行的网络操作进行比较看是否一致,以验证策略是否有效。(5)如果对正在设置的条件不中意,再重新点击监控对象旁的下拉框选择所要监控的运算机IP地址即可。(6)当完成条件设置和检测后,能够重复步骤(2)至步骤(4),重司设ラミ司设ラミ图2-3事件监测界面(2)对右侧的界面中制定策略的各个选项进行如下的ー些讲明:例如:时刻范畴:选择自定义时刻段,从11：00：00至22：00：00,协议:选择自定义协议:HTTP,数据流向：选择进和出,然后点击“查询”按钮,这ー条件的作用是查询从11：00：00至22：00：00的时刻段内HTTP协议下的所有数据流入和流出的网络操作。对各个选项都设置好了之后，点击右侧“查询”按钮,即可查询指定条件-1―// 1n/レ|E3/ヽ1H/i1 // 1-ヽf1.» 设定网络审计条件1__t- ヽ ar~~t-rt-——0秒启时间范围「所有时间段自定义从|11:00:00到|22:00:00或者造协议「所有协议自定义［HTTPd数据流向「出进Jj图2-4网络事件监测设置(3)如果对正在使用的查询条件不中意的话,能够点击“停止查询”按钮,停止当前的查询,再重新设置其他的查询条件,然后点击“查询”即可。如果直截了当点击“查询”按钮,表示查询所有IP中的所有用户在从当前时刻起的当天所有时刻段内的数据流出的网络操作记录，即整个网段内的所有实时数据流出的网络操作记录。(4)当完成指定设置的查询后，能够重复步骤(2)(3)重新设置。【实验摸索题】1.如果禁止url地址为http:〃く审计服务器IP地址＞:8O8O,会显现什么情形?3、打印审计实验【实验目的】本实验旨在了解打印策略和打印审计的差不多概念和原理,学习和把握如何在安全审计教学实验系统中制定打印策略,对指定扫瞄器端的打印操作进行内部网络实时监控,学会判定所制定策略是否生效。同时还要了解实验系统是如何对指定扫瞄器端进行打印事件的实时监控以及当天记录的查询,学会判定所设置的策略是否生效。【预备知识】1.打印策略和打印审计的差不多概念,明白得各种策略的意义。【实验内容】.使用安全审计教学实验系统软件,对打印事件审计的策略进行设置。.通过对所监控的本网段内指定的机器进行一些打印操作，判定所设置的功能是否生效。对比不同设置条件下,所产生的不同成效。a涌过伟田的口斤エカ能的涮斫右在本双目・的雪亜宙荘蛇a涌过伟田的口斤エカ能的涮斫右在本双目・的雪亜宙荘蛇知件崗事女建信息安全综合实验系统InformationSecurityIntegrativeExperimentSystem图3-1制定打印策略界面对右侧的界面中制定策略的各个选项进行ー些讲明（如图3-1）：能够选择的选项有:监测对象ーー用于选择所要监测运算机的IP地址,选择某ーIP地址后，在其右侧会显示出此IP地址及其对应的MAC地址。监测时刻范畴ーー用来指定所要监测的起始和终止时刻的,终止时刻不能早于起始时刻,否则出错。访咨询类型ーー“禁止打印”或“记录打印’‘，

!£!太一』，コヨ4•匕宀れ丄缶づ，J--Tピr4-nムレ;キ-シャ」ん!生 tr:H-nA-缶“二，rto妬/TJネ1监控对象选择刑所ス监测对象133jJip地址192.168123.133MAC地址00-05-5D-85-AD-6C00到2监控策略制定访选择时间范围从|12:00:00到|22:20:00勿咨询忖问类量「禁止打印£j记录打印置策略应用对象6该IP的所有用户C该IP的当前用戶|Adjninistrator妁兀［卫IJH»J如他已存策略起始时间结束时间动作|r10:00:0020:00:00禁止图3-2制定某一策略注意:最好不要设置冲突的几个策略,当几个策略之间发生冲突时,以后面制定的策略为准。选定某ー监测IP,如果有任何废弃的策略存在,在显示框中选择要删除的行在其左侧的方框内打勾后，然后点击“删除”按钮加以删除。如果选择的是“记录打印”策略时,在点击了“增加”按钮将其添加到下面的显示框之后，再打开’‘事件监测”,通过对各项的设置能够查看记录讥次;为斯窖如g•加田・山讦キ卄右必6印轉所風安全审计央輪系统录讥次;为斯窖如g•加田・山讦キ卄右必6印轉所風安全审计央輪系统文件审计实药信息安全综合实验系统InformationSecurityIntegrativeExperimentSystem门;r11制定融事件监测B闲络审计实蛉制定相■事件监测打印审计实脸

制定策略藍一斑纣白拨号审计实楼為定策略事件监測置图3-3打印事件监测的界面(2)对右侧的界面中制定策略的各个选项进行如下的ー些讲明:时刻范畴——所有时刻段:从制定策略时刻起的当天所有时刻段,用于查询实时操作,自定义：在其右侧的第一个空白框中填入查询时刻段的起始时刻:0000-00-00,第二个空白框中填入查询时刻段的终止时刻:0000-00-00〇注意:自定义时刻段的开始时刻不可超过终止时刻。打印类型ーー包括容许打印、禁止打印。按禁止打印的操作和容许打印的操作进行查询,想要选择哪个则在其左侧的方框内打勾,打印类型能够多选,即：能够选择只查询容许打印或禁止打印的操作记录,也能够选择查询所有的打印操作记录。例如:时刻范畴:选择自定义,从10：00：00至20：00：00,打印类型:禁止打印和容许打印,然后点击“查询”按钮，这ー条件的作用是查询从10：00：00至20：00：00的时刻段内所有用户所进行的禁止打印和容许打印的操作记录。对各个选项都设置好了之后,点击右侧“查询”按钮，即可查询指定条件下的打印操作记录。点击右侧“查询”按钮后,在左下方会有“10秒后里 设団府计条件 者时间范围「所有时间段(•自定义从|10：00：00 到|20:00:00打印类型レ禁止打EPPj允许打印史］セItgw|图3-4事件监测(3)如果对正在使用的查询条件不中意的话,能够点击“停止查询”按钮,停止当前的查询,再重新设置其他的查询条件,然后点击“查询”即可。如果直截了当点击“查询”按钮,表示查询所有IP中的所有用户在当前时刻起的当天所有时刻段内的禁止打印的操作记录,即整个网段内的所有实时禁止打印的操作记录。(4)当完成指定设置的查询后,能够重复步骤(2)(3)重新设置。【实验摸索题】1.什么缘故没有连上打印机,关于监控对象的打印操作依旧能查看到?4、日志监测实验【实验目的】通过实验,了解日志监测的差不多概念和原理,同时还要把握在安全审计教学实验系统中制定日志监测策略的配置方法,能对扫瞄器端进行内部网络实时监控以及历史记录的查询,学会判定所设置的策略是否生效。【预备知识】.日志文件及其作用。.日志监测的差不多概念,明白得各种策略的意义。【实验方式及差不多要求】.实验设计按小组进行,每组1-2人。.实验者先对自己的IP地址进行设置,然后对其他某个IP地址进行设置。【实验内容】1.使用安全审计教学实验系统软件,对日志监测策略进行设置;图4-1日志监测界面在各个事件日志监测下面确实是查询条件设置的界面。下面对此界面中的ー些选项进行讲明:IP地址ーー对哪个IP的历史操作进行查询,选择IP地址：在其下的空白框中填入所要查询的IP地址：000.0;登录用户ーー对哪个登录用户的17文件E志聯！网络日志监测打印日志监测上方小/ZA文件日志监割-a登的r发生时闻从(2005-01-01到p005-01-01r旧地址时亥V登录用尸|Adainistrator),J隹一弟—查询结果时刻自ip地址用户名』作进證发生时间-1192.168123133AdministratorSystem82005-11-1421:54:34V9亠J33Administratorexplorerexe:13282005-11-1421:54:33衣不192.168123133AdministratorSystems2005-11-1420:352233AdministratorWinRARexe:5842005-11-1420:35:16192.168.123133Administratorexplorerexe:13282005-11-1420:35:10 \192.168.123133Administratorexplorerexe:13282005-11-1420:33:42由pJl33AdministratorSystems2005-11-1416:4947192.168123133AdministratorSystems2005-11-14164925灯33Administratorexplorer.exe:14762005-11-1416:49:24时於192.168123133Administratorexplorerexe14762005-11-14164915不192.168123133Admini