计算机安全综合实验指导书

信息安全综合实验系统

ISIES实验指导书

上海交通大学信息安全工程学院

2008年

何信息安全综合实验系统实验指导书

KIES

目录

一、防火墙实验系统实验指导书......................................................1

1、NAT转换实验...................................................................2

2、普通包过滤实验.................................................................4

3、状态检测实验...................................................................7

4、应用代理实验..................................................................12

5,综合实验......................................................................18

6、事件审计实验..................................................................19

二、入侵检测实验系统实验指导书...................................................21

1、特征匹配检测实验..............................................................22

2、完整性检测实验................................................................32

3、网络流量分析实验..............................................................36

4、误警分析实验..................................................................41

三、安全审计实验系统指导书.......................................................47

1、文件审计实验..................................................................48

2、网络审计实验..................................................................53

3、打印审计实验..................................................................57

4、日志监测实验..................................................................61

5、拨号审计实验..................................................................64

6、审计跟踪实验..................................................................68

7、主机监管实验..................................................................73

四、病毒实验系统实验指导书.......................................................76

1、网络炸弹实验..................................................................77

2、万花谷病毒实验................................................................79

3、新欢乐时光病毒实验.............................................................81

4、美丽莎病毒实验................................................................86

5、N0.1病毒实验..................................................................90

6、PE病毒实验....................................................................92

五、PKI系统实验指导书...........................................................97

1、证书申请实验..................................................................98

2、用户申请管理实验.............................................................100

3、证书管理实验.................................................................103

4、信任管理实验.................................................................106

5、交叉认证实验.................................................................109

6、证书应用实验..................................................................112

7、SSL应用实验..................................................................115

何信息安全综合实验系统实验指导书

KIES

六、攻防实验系统指导书..........................................................120

1、RPCDCOM堆栈溢出实验.......................................................121

2、端口扫描实验.................................................................127

3、漏洞扫描实验.................................................................132

4、UNIX口令实验破解.............................................................137

5、WINDOWS口令破解实验.........................................................140

6、远程控制实验.................................................................147

7、灰鸽子远程控制...............................................................153

七、密码实验系统指导书..........................................................159

1、DES单步加密实验.............................................................160

2.DES算法实验.................................................................162

3、3DES算法实验................................................................164

4,AES算法实验.................................................................166

5、MD5算法实验.................................................................168

6、SHA-1算法实验...............................................................170

7、RSA算法实验.................................................................172

8、DSA数字签名实验.............................................................174

八、IPSECVPN实验系统实验指导书...............................................176

1、VPN安全性实验...............................................................177

2、VPNIKE认证实验.............................................................183

3、VPN模式比较实验.............................................................187

九、多级安全访问控制系统实验指导书..............................................193

实验环境介绍....................................................................194

1、PMI试验.....................................................................195

2、XACML系统实验..............................................................201

3、模型实验.....................................................................206

4、RBAC系统实验................................................................210

何信息安全综合实验系统

实验指导书

防火墙实验系统实验指导书

1、NAT转换实验

2、普通包过滤实验

3、状态检测实验

4、应用代理实验

5、综合实验

6、事件审计实验

@信息安全综合实验系统

实验指导书

1^1ES

1、NAT转换实验

【实验目的】

通过实验，深刻理解网络地址分段、子网掩码和端口的概念与原理。了解NAT的

基本概念、原理及其三种类型，即静态NAT(StaticNAT)、动态地址NAT(PooledNAT)、

网络地址端口转换NAPT(Port-LevelNAT)。同时，掌握在防火墙实验系统上配置NAT

的方法，学会判断规则是否生效。

【实验环境及说明】

1.本实验的网络拓扑图如下。

DMZ区实验室区域网

::

wet搬务器Internet

病毒防护实验索统服务熟

入侵检测实验券统服务器

安全审计实验系统服务器

防火墙区域网

:255,255.255.0

务器HR想状况中DMZ会配置服务器来给满足实验功能.

FTHR务器和果防火墙实验系统服务器是在实验室区域网和防火墙区域网边界-则须在须在实验室区域河内增加一FTHK务用来做FTP代理实验-

如果防火墙实验系统服务器在实验室区域网和外网边界-则不需要增加FTP服务-

2.实验小组的机器要求将网关设置为防火墙主机和内网的接口网卡IP地址：

54(次地址可由老师事先指定)。

3.实验小组机器要求有WEB浏览器：IE或者其他。

4.配置结果测试页面通过NAT转换实验进入页面中的“验证NAT目标地址”提供的链

接可以得到。NAT规则配置结束后，新打开浏览器窗口，通过“验证NAT目标地址”

提供的地址，进入测试结果页面，将显示地址转换后的目的地址。

2

■»信息安全综合实验系统实验指导书

【预备知识】

1.NAT基本概念、原理及其类型；

2.常用网络客户端的操作：IE的使用，并通过操作，判断防火墙规则是否生效；

3.了解常用的无法在互联网上使用的保留IP地址（如：-55,

-55,~55）。深刻理解网络地址分段、

子网掩码和端口的概念与原理。

【实验内容】

1.在防火墙实验系统上，配置NAT的规则；

2.通过一些常用的网络客户端操作，判断已配置的规则是否有效，对比不同规则下，

产生的不同效果。

【实验步骤】

在每次实验前,都要打开浏览器，输入地址：54/firewal1/jsp/main,

在打开的页面中输入学号和密码，登陆防火墙实验系统。

在实验前应先删除防火墙原有的所有规则。

1）登陆防火墙实验系统后，点击左侧导航栏的“NAT转换”，进入“NAT的规则配置”

页面。

2）在打开的页面中，如果有任何规则存在，点击“删除所有规则”；

3）点击“增加一条规则”，进入规则配置的界面。下面对此界面中的一些选项作说

明：源地址、目的地址——地址用IP地址来表示。

4）选择源地址：IP地址，5,目的地址，比如：IP地址，00、

目的端口:ethO。按“增加”后,就增加了一条NAT规则,这条规则将内部地址5

映射为外部地址00o

增加NAT规则后，可以用浏览器在规则添加前后进行检测（新打开窗口，输入进

入页面中的“验证NAT目标地址”），以判断规则是否有效以及起到了什么效果。详见参

考答案。

5）当完成配置规则和检测后，可以重复步骤2）到步骤4）,来配置不同的规则。

3

■»信息安全综合实验系统实验指导书

2、普通包过滤实验

【实验目的】

通过实验，了解普通包过滤的基本概念和原理，如方向、协议、端口、源地址、目

的地址等等，掌握常用服务所对应的协议和端口。同时，掌握在防火墙实验系统上配置

普通包过滤型防火墙的方法，学会判断规则是否生效。

【实验环境及说明】

同实验一

【预备知识】

1.计算机网络的基础知识，方向、协议、端口、地址等概念以及各常用服务所对应的

协议、端口；

2.常用网络客户端的操作：IE的使用，Ftp客户端的使用，ping命令的使用等，并通

过这些操作，判断防火墙规则是否生效；

3.包过滤型防火墙的基本概念，理解各规则的意义。

【实验内容】

在正确配置NAT规则的前提下（实验一），实验首先配置普通包过滤规则，然后

通过登录外网web页面、登录外网ftp服务器等常用网络客户端操作判断配置的规则是

否生效，具体内容如下：

1.设置一条规则，阻挡所有外网到内网的数据包。采用ping命令检测规则是否生效。

2.设置多条规则，使本机只能访问外网中和的服务。采

用浏览器和FTP工具测试规则是否生效。

3.将已经设置的多条规则顺序打乱，分析不同次序的规则组合会产生怎样的作用，然

后通过网络客户端操作检验规则组合产生的效果。

【实验步骤】

在每次实验前，都要打开浏览器，输入地址：54/firewall/jsp/main,

在打开的页面中输入学号和密码，登陆防火墙实验系统。

第一步：登陆防火墙实验系统后，点击左侧导航栏的“普通包过滤”，在右侧的界面

中选择一个方向进入。此处共有外网＜-＞内网、外网＜-＞DMZ和内网＜-＞DMZ3个方向1可

供选择。

第二步：在打开的页面中，如果有任何规则存在，点击“删除所有规则”。

।例如，选择“外网＜-＞内网”，就能配置内网和外网之间的普通包过滤规则。

4

■»信息安全综合实验系统实验指导书

第三步：点击“增加一条规则”，进入规则配置界面2,配置规则。如果对正在配置

的规则不满意，可以点击“重置”，将配置页面恢复到默认的状态。

1.设置一条规则，阻挡所有外网到内网的数据包并检测规则有效性。

选择正确的选项，点击“增加”后，增加一条普通包过滤规则，阻挡所有外网到内网

的数据包。例如：

方向：“外网->内网”

增加到位置：1

协议:any

源地址:IP地址,/

源端口:disabled（由于协议选择了any,此处不用选择）

目的地址:1P地址,/

目的端口:disabled（由于协议选择了any,此处不用选择）

动作:REJECT。

规则添加成功后，可以用各种客户端工具，例如IE、FTP客户端工具、ping等进

行检测，以判断规则是否有效以及起到了什么效果。

2.设置多条规则，使本机只能访问外网中和提供的服

务，检测规则组合有效性。

多条规则设置必须注意每一条规则增加到的位置（即规则的优先级），可以参考下

面的所列的规则组合增加多条规则。

方向:外->内方向:外->内方向:外->内

增加到位置：1增加到位置:2增加到位置:3

源地址:源地址:源地址:/

源端口:any源端口：21源端口:any

目的地址:/目的地址:/目的地址:/

目的端口:any目的端口:any目的端口:any

协议类型:all协议类型：tcp协议类型：all

动作:ACCEPT动作:ACCEPT动作:REJECT

规则添加成功后，可以用IE、FTP客户端工具、；等进行检测，以判断规则组

合是否有效。

2此界面中可以选择的项包括：

方向一对什么方向上的包进行过滤；

增加到位置——将新增的规则放到指定的位置，越靠前优先级越高（不同规则顺序可能产生不同结果）；

协议---tcp、udp和icmp,any表示所有3种协议：

源地址、目的地址——地址可以用IP地址、网络地址、域名以及MAC地址能不同的方式来表示，其中

表示所有地址：

源端口、目的端口——不同的服务对应不同的端口，要选择正确的端口才能过滤相应的服务；

动作——ACCEPT和REJECT,决定是否让一个包通过。

5

何信息安全综合实验系统

实验指导书

3.将已经设置的多条规则顺序打乱，分析不同次序的规则组合会产生怎样的作用，并

使用IE、FTP客户端工具、ping等进行验证。

【实验思考题】

某机构的网络可以接受来自Internet的访问。有只在端口80上提供服务的Web服

务器；只在端口25上提供服务的邮件服务器（接收发来的所有邮件并发送所有要发出

的邮件）；允许内部用户使用Http、Https、Ftp、Telnet、Ssh服务。请制定合适的包过

滤防火墙规则（要求以列表的形式给出，可以抽象表示IP地址，比如“源IP”：内部网

络）。

优先级别源地址源端口目的地址目的端口协议动作

6

■»信息安全综合实验系统实验指导书

3、状态检测实验

【实验目的】

1.掌握防火墙状态检测机制的原理；

2.掌握防火墙状态检测功能的配置方法；

3.理解网络连接的各个状态的含义；

4.理解防火墙的状态表；

5.理解Ftp两种不同传输方式的区别，以及掌握防火墙对Ftp应用的配置。

【实验环境及说明】

同实验一

【预备知识】

1.网络基础知识：网络基本概念，网络基础设备，TCP/IP协议，UDP协议，ICMP协

议和ARP协议等；

2.常用网络客户端的操作：IE的使用，Ftp客户端的使用，ping命令的使用等；

3.从某主机到某目的网络阻断与否的判断方法；

4.FTP的两种不同数据传输方式的原理；

5.本实验拓扑图所示网络的工作方式，理解数据流通的方向；

6.防火墙实验系统的基本使用，而且已经掌握了包过滤功能的相关实验。

【实验内容】

在正确配置NAT规则的前提下（实验一），实验以为例，针对FTP

主动和被动数据传输方式，分别配置普通包过滤规则和状态检测规则，通过登录外网

ftp服务器验证配置的规则有效性，体会防火墙状态检测技术的优越性，最后分析

TCP/UDP/ICMP三种协议状态信息。具体内容如下：

1.设置普通包过滤规则，实现ftp两种不同的数据传输方式，采用ftp客户端工具

FlashFXP检测规则是否生效。

2.设置状态检测规则，实现ftp的两种不同数据传输方式，采用ftp客户端工具

FlashFXP检测规则是否生效。与前面的普通包过滤实验比较，理解状态检测机制的

优越性。

3.查看防火墙的状态表，分析TCP、UDP和ICMP三种协议的状态信息。

7

何信息安全综合实验系统

实验指导书

【实验步骤】

在每次实验前，打开浏览器，输入地址：http://l54/firewall/jsp/main,在

打开的页面中输入学号和密码，登陆防火墙教学实验系统。

第一步：登陆防火墙实验系统后，点击左侧导航栏的“普通包过滤“，在打开的页面

中，如果有任何规则存在，点击“删除所有规则”后开始新规则设置，实现与

服务器之间的主动和被动数据传输方式。

1.配置普通包过滤规则，实现FTP的主动和被动传输模式

>PORT（主动）模式

1）选择正确的选项，点击“增加”后，增加两条普通包过滤规则，阻挡所有内网到

外网及外网到内网的TCP协议规则。

规则添加成功后，打开ftp客户端，设置ftp客户端默认的传输模式为主动模式,

即PORT3o匿名连接,查看FTP毒户端软件显示的连接信息。

2）增加两条普通包过滤规则，允许ftp控制连接。可参考如下规则设置：

方向:内-）外方向:外->内

增加到位置：1增加到位置：1

源地址:/源地址:代

源端U：any源端t~h21

目的地址:目的地址:/

目的端口:21目的端口:any

协议类型：tcp协议类型：tcp

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开ftp客户端，连接,匿名，查看FTP客户端软

件显示的连接信息。

3）增加两条普通包过滤规则，允许ftp数据连接。可参考如下规则设置:

方向:内-〉夕卜方向:外->内

增加到位置:1增加到位置:1

源地址:/源地址:ftD.

源端U：any源端U：20

目的地址:目的地址:/

目的端口:20目的端口:any

协议类型：tcp协议类型:tcp

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开ftp客户端，连接,匿名，查看FTP客户端软

件显示的连接信息。

3FlashFXP软件，点击选项->参数设置->连接，设置主动模式或被动模式。

8

■»信息安全综合实验系统实验指导书

>PASV（被动）模式

1）选择正确的选项，点击“增加”后，增加两条普通包过滤规则，阻挡所有内网到

外网及外网到内网的TCP协议规则。

规则添加成功后，打开ftp客户端，设置ftp客户端默认的传输模式为被动模式，

即PASV。匿名连接,查看FTP客户端软件显示的连接信息。

2）增加两条普通包过滤规则，允许ftp控制连接。

规则添加成功后，打开ftp客户端，连接,匿名，查看FTP客户端软

件显示的连接信息。

3）增加两条普通包过滤规则，允许ftp数据连接。可参考如下规则设置：

方向:内->外方向:外，内

增加到位置:1增加到位置:1

源地址:/源地址:

源端口:any源端口:1024：65535

目的地址:目的地址:/

目的端口:1024：65535目的端口:any

协议类型：tcp协议类型:tcp

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开ftp客户端,连接,匿名，查看FTP客户端软

件显示的连接信息。

第二步：点击左侧导航栏的“状态检测”，如果有任何规则存在，点击“删除所有规

则”后开始新规则设置，实现与服务器之间的主动和被动数据传输方式。

2.配置状态检测规则，实现FTP的主动和被动传输模式

1）选择正确的选项，点击“增加”后，增加两条状态检测规则，阻挡内网到外网及

外网到内网的所有TCP协议、所有状态的规则。可参考如下规则设置：

方向:内->夕卜方向:外->内

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端口：any目的端口：any

协议类型：tcp协议类型：tcp

状态:NEW,ESTABLISHED,状态：NEW,ESTABLISHED,

RELATED,INVALIDRELATED,INVALID

动作:REJECT动作:REJECT

规则添加成功后，打开即客户端，设置ftp客户端默认的传输模式是PASV,即被

动模式，连接,匿名，查看FTP客户端软件显示的连接信息。然后，打

9

信息安全综合实验系统实验指导书

开ftp客户端，设置ftp客户端默认的传输模式是PORT,即主动模式，连接,

匿名，查看FTP客户端软件显示的连接信息。

2）增加两条状态检测规则，允许访问内网到外网及外网到内网目的端口为任意、

状态为ESTABLISHED和RELATED的TCP数据包。可参考如下规则设置：

方向:内，外方向:外-＞内

增加到位置：1增加到位置：1

源地址:/源地址:/

源端U：any源端口：any

目的地址:/目的地址:/

目的端口：any目的端口:any

协议类型：tcp协议类型:tcp

状态:ESTABLISHED,状态;ESTABLISHED,

RELATEDRELATED

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开即客户端，设置即客户端默认的传输模式是PASV,即被

动模式，连接,匿名，查看FTP客户端软件显示的连接信息。然后，打

开ftp客户端，设置ftp客户端默认的传输模式是PORT,即主动模式，连接,

匿名，查看FTP客户端软件显示的连接信息。

3）增加一条状态检测规则，允许内网访问外网目的端口为21、状态为NEW、

ESTABLISHED和RELATED的TCP数据包。可参考如下规则设置：

方向:“内网-＞夕卜网”

增加到位置:1

协议：tcp

源地址：IP地址,/

目的地址:

目的端口:21

状态:NEW,ESTABLISHED,RELATED

动作:ACCEPTo

规则添加成功后，打开即客户端，设置即客户端默认的传输模式是PASV,即被

动模式，连接,匿名，查看连接信息。然后，打开ftp客户端，设置ftp

客户端默认的传输模式是PORT,即主动模式，连接,匿名，查看连接信

息。

第三步：点击左边导航栏的“状态检测”，在右边打开的页面中选择“状态表”，在打

开的页面中查看防火墙系统所有连接的状态并进行分析。

3.查看分析防火墙的状态表

点击左边导航栏的“状态检测”，在右边打开的页面中选择“状态表”，在打开的页面

中查看当前防火墙系统的所有连接的状态。分别选取一条TCP连接，UDP连接，ICMP

10

■»信息安全综合实验系统实验指导书

连接二分析各个参数的含义；并分析当前所有连接，了解每条连接相应的打开程序，

及其用途。

【实验思考题】

分别用普通包过滤和状态检测设置规则，使ftp客户端仅仅可以下载站点

ftp:〃shuguang:shuguang@2:2121的文件。

4说明：如果行前没有【CMP连接，按如卜.步骤：

(1)用普通包过滤设立一条拒绝到的ICMP协议包:

(2)打开DOS窗口，输入ping-n10-t；

(3)刷新状态表页面，即可看到ICMP连接状态。

11

何信息安全综合实验系统

实验指导书

4、应用代理实验

【实验目的】

1.了解防火墙代理级网关的工作原理；

2.掌握配置防火墙代理级网关的方法。

【实验环境及说明】

同实验一。

【预备知识】

1.常用网络客户端的操作：IE的使用，Ftp客户端的使用，Telnet命令的使用等；

2.明白本实验拓扑图所示网络的工作方式，理解数据流通的方向；

3.掌握HTTP代理和FTP代理的配置；

4.掌握HTTP代理、FTP代理和Telnet代理的工作原理，明确它们各自的通信过程，

简单的说，代理均是起到一个中继的作用。

【实验内容】

在正确配置NAT规则的前提下(实验一)，配置好HTTP代理和FTP代理后，分

别配置HTTP代理规则、FTP代理规则和Telnet代理规则，然后配置好IE的HTTP代

理和FlashFXP的FTP代理，再通过登录外网web页面、登录外网ftp服务器等常用网

络客户端操作判断配置的规则是否生效，具体内容如下：

1.设置HTTP代理规则，配置IE的HTTP代理，采用浏览器访问外网以测试规则是

否生效；

2.设置FTP代理规则，配置FlashFXP的FTP代理，采用FlashFXP访问FTP服务器

以测试规则是否生效；

3.设置TELNET代理规则，采用开始菜单“运行”命令行工具cmd.exe,输入代理命令

telnet542323,再测试规则是否生效。

【实验步骤】

在每次实验前，都要打开浏览器，输入地址：54/firewall/jsp/main,

在打开的页面中输入学号和密码，登陆防火墙实验系统。

(-)HTTP代理实验：登陆防火墙实验系统后，点击左侧导航栏的“HTTP代理”，在

打开的页面中，如果有任何规则存在，将规则删除后再设置新规则。打开IE浏览器，

配置HTTP代理。

1.设置IE的HTTP代理

12

■»信息安全综合实验系统实验指导书

1）IE菜单中的工具一Xntemet选项，弹出“Internet属性”对话框；

2）点击“连接”标签，按“局域网设置”，弹出“局域网（LAN）设置”对话框；

3）在“代理服务器”中勾选“使用代理服务器”，并输入防火墙IP地址及端口：

54:3128,选择“对于本地地址不使用代理服务器”，点击“高级”按钮，

进入“代理服务器设置”页面，在“例外”栏填入54；

4）依次按下“确定”退出设置页面；建议每次实验后清空历史纪录。

2.测试HTTP代理的默认规则

打开IE,在地址栏中输入任意地址，例如、

和http:〃等,观察能否访问，并说明原因；

3.配置HTTP代理规则，验证规则有效性

1）以教师分配的用户名和密码进入实验系统，点击左侧导航条的“HTTP代理”链

接，进入“HTTP应用代理规则表”页面，点击“增加一条新规则”后，增加一条

HTTP代理规则允许规则，允许任意源地址到任意目的地址的访问。再次浏览上

述网址，观察能否访问。

2）清空规则，增加两条HTTP代理拒绝规则，拒绝访问和

http:〃,可参考如下规则设置：

插入位置：1插入位置：1

源地址:*源地址:*

目的地址:目的地址:

动作:deny动作:deny

规则添加成功后，打开IE浏览器,访问http:〃http:〃

和,观察能否访问。

3）再增加两条HTTP代理允许规则，允许访问http:〃和

http:〃,可参考如下规则设置：

插入位置:1插入位置:1

源地址:*源地址:*

目的地址:www.sjfw.etfa.c”目的地址:ww"'.sin”,com,cn

动作:allow动作:allow

规则添加成功后，打开IE浏览器,访问、http:〃

和http:〃,观察能否访问，说明原因。

4）结合普通包过滤规则，进一步加深对HTTP代理作用的理解。清空普通包过滤

和HTTP代理规则，分别添加一条普通包过滤拒绝所以数据包规则和一条HTTP

代理允许规则，可参考如下规则设置：

先添加普通包过滤规则:

方向:“外网-＞内网”

13

■»信息安全综合实验系统实验指导书

增加到位置:1

协议:any

源地址:1P地址,/

源端口:disabled（由于协议选择了any,此处不用选择）

目的地址：IP地址,/

目的端口:disabled（由于协议选择了any,此处不用选择）

动作:REJECTo

取消IE的HTTP代理配置，在地址栏中输入,观察能否访问。

再添加HTTP代理允许规则：

插入位置:1

协议:any

源地址:*

目的地址:*

动作:allowo

设置IE的HTTP代理，使用防火墙IP地址及端口：54:8008。再次浏览

,观察能否访问。根据两次实验结果，分析使用HTTP代理对普

通包过滤规则的影响及原因。所有HTTP实验结束以后，取消IE的HTTP代理，保证

可以正常访问实验系统页面。

（二）FTP代理实验：登陆防火墙实验系统后，点击左侧导航栏的“FTP代理”，在打开

的页面中，如果有任何规则存在，将规则删除后再设置新规则。打开FTP客户端

FlashFXP,配置FTP代理。

1.设置FlashFTP的FTP代理：

1）FlashFXP菜单中的“Options”->“Prefbrences”，在弹出的“ConfigureFlashFXP”对

话框中选择“Connection”子项，点击“Proxy”，出现代理设置对话框；

2）点击“Add”按钮，在弹出的"AddProxyServerProfile”中依次输入：

Name：域名

Type：Userftp-user@ftp-host:ftp-port

Host：54Port：2121

User及Password为空,

3）依次按下“OK”按钮，退出即可。

2.测试FTP代理的默认规则：

打开FlashFTP,在地址栏中填入或，观察能否连接，

说明原因；

3.配置FTP代理规则，验证规则有效性

1）以教师分配的用户名和密码进入实验系统，点击左侧导航条的“FTP代理”链接，

显示“FTP应用代理规则表”页面，点击“增加一条新规则”后，增加一条FTP代

理允许规则，允许任意源地址到任意目的地址的访问。再次连接上述FTP站点，

14

■»信息安全综合实验系统实验指导书

观察能否访问。

2）增加一条FTP代理拒绝规则，拒绝访问（IP地址:30）,

可参考如下规则设置：

插入位置:I

源地址:*

目的地址:30

动作：deny

规则添加成功后，打开flashFXP,访问（IP地址:30）和

（IP地址:62）,观察能否访问；

3）清空规则，增加一条FTP代理允许规则，允许访问（IP地

址:30）,可参考如下规则设置：

插入位置：1

源地址:*

目的地址:30

动作:allow

规则添加成功后，打开flashFXP,访问和,观察能

否访问；

4）结合普通包过滤规则，进一步加深对FTP代理作用的理解。清空普通包过滤和

FTP代理规则，分别添加一条普通包过滤拒绝所有数据包规则和一条FTP代理

允许规则，可参考如下规则设置：

先添加普通包过滤规则：

方向:“外网-＞内网”

增加到位置：1

协议:any

源地址:1P地址,/

源端口:disabled（由于协议选择了any,此处不用选择）

目的地址:1P地址,/

目的端口:disabled（由于协议选择了any,此处不用选择）

动作:REJECTo

取消flashFXP的FTP代理配置，连接站点,观察能否访问。

再添加FTP代理规则：

插入位置：1

协议:any

源地址:*

目的地址:*

动作:allowo

15

信息安全综合实验系统实验指导书

设置flashFXP的FTP代理配置，连接站点，观察能否访问。根据两

次实验结果，分析使用FTP代理对普通包过滤规则的影响及原因。所有FTP实验结束

以后，取消flashFXP的FTP代理。

（三）Telnet代理实验：登陆防火墙实验系统后，点击左侧导航栏的“Telnet代理”，在

打开的页面中，如果有任何规则存在，将规则删除后再设置新规则。

1.测试Telnet代理的默认规则：

打开“开始”菜单的“运行”命令行工具cmd.exe,先输入代理命令telnet54

2323,再输入命令telnet,观察能否连接，说明原因。

2.配置Telnet代理规则，验证规则有效性：

1）以教师分配的用户名和密码进入实验系统，点击实验系统左侧导航条的“Telnet

代理”链接，显示“TELNET应用代理规则表”页面，点击“增加一条新规则”后，

增加一条Telnet代理接受规则，允许任意源地址到任意目的地址的访问。使用

命令行工具cmd.exe,先输入代理命令telnet542323,再访问

,观察能否访问0

2）按“增加一条新规则”按钮，增加一条Telnet代理拒绝规则，拒绝访问

（IP地址：6D，可参考如下规则设置：

插入位置:1

源地址:*

目的地址:61

动作:deny

规则添加成功后，使用命令行工具cmd.exe,先输入代理命令telnet

542323,再访问,观察能否访问。

3）清空规则，分别添加,条Telnet代理拒绝规则，拒绝访问（IP地

址：61）,一条Telnet代理接受规则，接受访问（IP

地址：61），可参考如下规则设置：

插入位置：1插入位置：T

源地址:*源地址:*

目的地址:61目的地址:202.12058.161

动作:deny动作:allow

规则添加成功后，使用命令行工具cmd.exe,先输入代理命令telnet

542323,再访问,观察能否访问，说明原因。

4）结合普通包过滤规则，进一步加深对TELNET代理作用的理解。清空普通包过

滤和TELNET代理规则，分别添加一条普通包过滤拒绝所有数据包规则和一条

TELNET代理允许规则，可参考如下规则设置：

先添加普通包过滤规则：

方向:“外网-＞内网”

增加到位置：1

协议:any

16

■»信息安全综合实验系统实验指导书

源地址：IP地址,/

源端口:disabled（由于协议选择了any,此处不用选择）

目的地址:1P地址,/

目的端口:disabled（由于协议选择了any,此处不用选择）

动作:REJECT.

规则添加成功后，使用命令行工具cmd.exe,输入命令telnet,访问

,观察能否访问。

再添力口T