网络安全实验指导书V3.0

PAGEPAGE2广东工业大学计算机学院网络安全课程实验指导书2013年5月编订目录实验一密码技术实验 61DES单步加密实验 6【实验目的】 6【实验环境】 6【实验预备知识点】 6【实验内容】 6【实验步骤】 6【实验思考题】 72DES算法实验 8【实验目的】 8【实验环境】 8【实验预备知识点】 8【实验内容】 8【实验步骤】 8【实验思考题】 93RSA算法实验 10【实验目的】 10【实验环境】 10【实验预备知识点】 10【实验内容】 10【实验步骤】 10【实验思考题】 11【选做实验内容】 11实验二认证技术实验 121证书应用实验 12【实验目的】 12【实验原理】 12【实验环境】 12【实验预备知识点】 12【实验步骤】 12【实验思考】 142SSL应用实验 15【实验目的】 15【实验环境】 15【实验预备知识点】 15【实验步骤】 15【实验注意】 18【实验思考】 18实验三RBAC访问控制模型实验 191用户角色管理实验 19【实验目的】 19【实验预备知识点】 19【实验步骤】 19【实验思考题】 212角色权限管理实验 22【实验目的】 22【实验预备知识点】 22【实验步骤】 22【实验思考题】 233多级角色应用实验 24【实验目的】 24【实验预备知识点】 24【实验步骤】 24【实验思考题】 25实验四防火墙实验 261、普通包过滤实验 26【实验目的】 26【实验环境及说明】 26【预备知识】 26【实验原理】 26【实验内容及步骤】 27【实验思考题】 292状态检测实验 30【实验目的】 30【实验环境及说明】 30【预备知识】 30【实验原理】 31【实验内容及步骤】 31【实验思考题】 363应用代理实验 37【实验目的】 37【实验环境及说明】 37【预备知识】 37【实验原理】 37【实验内容及步骤】 384综合实验 44【实验目的】 44【实验环境及说明】 44【预备知识】 44【实验内容】 445事件审计实验 45实验五入侵检测实验 491、模式匹配检测实验 49【实验目的】 49【实验环境】 49【实验预备知识点】 50【实验内容】 50【实验步骤】 502、完整性检测实验 623、网络流量分析实验 644、误警分析实验 685、端口扫描检测实验 756、数据包记录器实验 77实验六病毒实验实验 791网络炸弹脚本病毒 79【实验目的】 79【实验原理】 79【实验预备知识点】 79【实验步骤】 79【实验思考】 812欢乐时光脚本病毒 82【实验目的】 82【实验原理】 82【实验预备知识点】 82【实验内容】 82【实验步骤】 82【实验思考】 863美丽莎宏病毒 87【实验目的】 87【实验原理】 87【实验预备知识点】 87【实验步骤】 87【实验思考】 904PE病毒 91【实验目的】 91【实验原理】 91【实验预备知识点】 91【实验内容】 91【实验步骤】 91【实验思考】 96实验七安全审计实验 971文件审计实验 97【实验目的】 97【预备知识】 97【实验方式及基本要求】 97【实验内容】 97【实验步骤】 97【实验思考题】 1002网络审计实验 101【实验目的】 101【预备知识】 101【实验方式及基本要求】 101【实验内容】 101【实验步骤】 101【实验思考题】 1043打印审计实验 105【实验目的】 105【预备知识】 105【实验内容】 105【实验步骤】 105【实验思考题】 1074拨号审计实验 108【实验目的】 108【预备知识】 108【实验方式及基本要求】 108【实验内容】 108【实验步骤】 1085审计跟踪实验 111【实验目的】 111【预备知识】 111【实验方式及基本要求】 111【实验内容】 111【实验步骤】 111【实验思考题】 1146主机监控 115【实验目的】 115【预备知识】 115【实验方式及基本要求】 115【实验内容】 115【实验步骤】 115【实验思考题】 1177日志查询 118【实验目的】 118【预备知识】 118【实验方式及基本要求】 118【实验内容】 118【实验步骤】 118【实验思考题】 121实验一密码技术实验1DES单步加密实验【实验目的】掌握DES算法的基本原理了解DES算法的详细步骤【实验环境】本试验需要密码教学实验系统的支持操作系统为Windows2000或者WindowsXP【实验预备知识点】什么是DES算法？【实验内容】掌握DES算法的原理及过程完成DES密钥扩展运算完成DES数据加密运算【实验步骤】打开“DES理论学习”，掌握DES算法的加解密原理；打开“DES算法流程”，开始DES单步加密实验，如图1-1；选择密钥输入为ASCII码或十六进制码模式，输入密钥；若为ASCII码模式，则输入8个字符的ASCII码；若为十六进制码模式，则输入16个字符的十六进制码（0～9，a～f，A～F）；点击“比特流”按钮，将输入的密钥转化为64位比特流；点击“置换选择I”按钮，完成置换选择I运算，得到56bit有效密钥位，并分为左右两部分，各28bit；点击C0下的“循环左移”按钮，对C0进行循环左移运算；点击D0下的“循环左移”按钮，对D0进行循环左移运算；点击“选择置换II”按钮，得到扩展子密钥K1；进入第二部分——加密，选择加密输入为ASCII码或十六进制码模式，输入明文；若为ASCII码模式，则输入8个字符的ASCII码；若为十六进制码模式，则输入16个字符的十六进制码（0～9，a～f，A～F）；点击“比特流”按钮，将输入明文转化为64位比特流；点击“初始IP置换”按钮，将64bit明文进行IP置换运算，得到左右两部分，各32bit；点击“选择运算E”按钮，将右32bit扩展为48bit；点击“异或运算”按钮，将扩展的48bit与子密钥K1进行按位异或；依次点击“S1”、“S2”、“S3”、“S4”、“S5”、“S6”、“S点击“置换运算P”按钮，对S盒运算结果进行P置换运算；点击“异或运算”按钮，将P置换运算结果与L0进行按位异或，得到R1；点击“逆初始置换IP_1”图1-1DES单步加密实验界面【实验思考题】DES算法中大量的置换运算的作用是什么？DES算法中S盒变换的作用是什么？

2DES算法实验【实验目的】掌握DES运算的基本原理了解DES运算的实现方法【实验环境】本试验需要密码教学实验系统的支持操作系统为Windows2000或者WindowsXP【实验预备知识点】DES算法有什么特点？DES算法的加解密过程？DES有哪些工作模式？各有什么特点？【实验内容】掌握DES算法的原理及过程完成字符串数据的DES加密运算完成字符串数据的DES解密运算【实验步骤】打开“DES理论学习”，掌握DES算法的加解密原理；打开“DES实例”，进行字符串的加解密操作，如图2-1；选择“工作模式”为“ECB”或“CBC”或“CFB”或“OFB”；选择“填充模式”为“ISO_1”或“ISO_2”或“PAK_输入明文前选择ASCII码或十六进制码输入模式，然后在明文编辑框内输入待加密的字符串；输入密钥前选择ASCII码或十六进制码输入模式，然后在密钥编辑框内输入密钥；若为ASCII码模式，则输入不超过8个字符的ASCII码，不足部分将由系统以0x00补足；若为十六进制码模式，则输入不超过16个字符的十六进制码（0～9，a～f，A～F），不足部分将由系统以0x00补足；点击“加密”按钮，进行加密操作，密钥扩展的结果将显示在列表框中，密文将显示在密文编辑框中；点击“解密”按钮，密文将被解密，显示在明文编辑框中，填充的字符将被自动除去；也可以修改密钥，再点击“解密”按钮，观察解密是否会正确；点击“清空”按钮即可进行下次实验。图1-2DES算法实验界面【实验思考题】在DES算法中有哪些是弱密钥？哪些是半弱密钥？

3RSA算法实验【实验目的】了解RSA算法的基本原理掌握RSA算法的实现方法【实验环境】1.本试验需要密码教学演示系统的支持2.操作系统为Windows2000及WindowsXP【实验预备知识点】1. RSA密码系统所基于的数学难题是什么？2. RSA密码系统可以取代DES、3DES等公钥密码系统吗？【实验内容】自行以2位小素数为p，q，3为公钥e，构造一个小的RSA系统，对“1、2、3、4”这4个字母的ASCII码进行加密，解密在密码教学系统中实现RSA运算的大素数、公钥、私钥的生成、明文加解密、分块大小的选择了解在不同分块大小的情况下，RSA系统的密文长度也会有所变化了解在不同参数的情况下，RSA系统的性能变化【实验步骤】熟悉RSA运算原理；打开“非对称加密算法”中的“加密”选项下的“RSA”，选择“RSA实例”，如图1-3；选择密钥长度为128、256、512或者1024比特；点击“GetPQ”按钮，得到两个大素数；点击“GetN”按钮，得到一个由两个大素数的积构成的大整数；点击“GetDE”按钮，得到公钥和私钥；在明文对话框中输入需要加密的明文字符串；点击“获得明文ASCII”按钮可得到明文的ASCII码；输入分块长度，或者通过点击“推荐值”按钮直接获得；点击“加密”按钮可获得加密后的密文，点击“解密”按钮可获得解密后的明文；反复使用RSA实例，通过输入不同大小的分片，了解密文长度的变化；反复使用RSA实例，通过输入不同安全参数，了解RSA密码系统的性能与参数关系。图1-3RSA算法实验【实验思考题】对于128bit的AES算法，需要多少安全参数为多少的RSA系统与之相匹配？RSA系统的安全参数是什么意思？安全参数为1024bit的RSA系统，其模数n大约为多少bit？【选做实验内容】3DES加密算法；DSA数字签名算法；

实验二认证技术实验1证书应用实验【实验目的】当我们得到数字证书后，证书有哪些主要用途呢？本实验就是指出两种常见的数字证书用途，分别是非对称加密及数字签名。同时用户在使用数字证书时最关心的莫非这张证书是否真实有效，OCSP查询能很好的解决这个问题。通过本实验的学习，令学生更了解使用数字证书实现非对称加密及数字签名以及OCSP的查询过程。【实验原理】1．证书的概念2．证书包含的内容3．证书的主要用途4．证书的实时性原则【实验环境】客户端硬件要求：Pentium2400Mhz以上，256M内存，与服务器的网络连接。客户端软件：JavaSwing（Java1.4版本以上）【实验预备知识点】在通信过程中，使用数字证书来进行非对称加密通信的过程是怎样？什么是会话密钥加密？OCSP的产生原因和实现的关键是什么？OCSP查询的过程是怎样的？怎样利用数字证书提供身份认证？【实验步骤】对称加密实验：先申请两张证书作为本实验之用，所用的证书的扩展名分别为（.p12）及（.cer），具体步骤可参见证书申请实验及证书管理实验；本实验分为信息发送方及信息接收方。分别如图2-1所示，当中分别有“发送方”页面及“接收方”页面；图2-1对称加密实验页面先设置好发送IP及端口号及接收端口号，确保发送方及接收方的端口号一致，并在接收方按下“开始监听端口”按钮，否则接收方不能收到数据。选择适当的证书作加密之用，这里的证书就是我们希望的接收方的公钥证书。这时我们要考虑到接受方的证书是否过期或者是否被撤销，即要通过OCSP及时查询该证书的存在状态，接着等待服务器返回查询结果。收到返回信息后先验证信息时候真实有效，同时查看证书的状态，之后用户再根据需要，选择是否采用此证书来进行加密。记录日志信息并分析。键入要发送的信息，选择适当的证书作加密之用，之后发送数据。记录日志信息并分析。接收方选择相应的证书以导出私钥作解密，对比接收的信息与原来发送的信息，记录日志信息并分析。接收方选择另外的证书作解密，记录结果并分析。数字签名实验：先申请两张证书作为本实验之用，也可以使用非对称加密实验的证书；本实验分为信息发送方及信息接收方。分别如图6-2所示，当中分别有“发送方”页面及“接收方”页面；图2-2数字签名实验页面先设置好发送IP及端口号及接收端口号，确保发送方及接收方的端口号一致，并在接收方按下“开始监听端口”按钮，否则接收方不能收到数据。键入要发送的信息，选择适当的证书作签名之用，之后发送数据。记录日志信息并分析。接收方选择相应的证书以导出公钥作身份认证，记录日志信息并分析。接收方更改收到的信息，当作信息在发送中途被修改，重新作身份认证，记录日志信息并分析。接收方选择另外的证书作身份认证，记录结果并分析。【实验思考】为什么要用会话密钥加密数据，而不直接用公钥加密信息？OCSP的请求和响应是什么格式，怎样封装的？数字证书还会应用到什么地方？

2SSL应用实验【实验目的】我们上网广泛使用的是明文传输的HTTP协议，这样对于用户的敏感信息诸如银行帐号和密码就很容易泄漏出去，通过SSL协议的使用，服务器和客户端就可以通过彼此的证书建立信任关系，共享一个相同的密钥来加密传输的信息。【实验环境】客户端硬件要求：Pentium2400Mhz以上，256M内存，单机版实验客户端软件：JavaSwing（Java1.4版本以上，包含了JSSE）【实验预备知识点】HTTPS协议与PKI有什么关系？SSL握手协议的具体步骤以及认证服务器的信任域问题？SSL握手协议中单向认证与双向认证的区别？【实验步骤】打开SSL实验界面如图7-1所示：单向认证实验：首先按下“选择”按钮选择服务端的证书，之后按下“单向认证”按钮启动SSL服务器。利用IE浏览器连接URL：https://localhost:8444，服务器收到连接后会向用户出示服务器证书，如图7-2所示，这是和我们熟悉的HTTP协议最明显的不同。用户需要选择是否信任此证书。若用户选择否，则连接中断，用户得不到想要浏览的网页信息。若用户选择信任，则服务器会向用户传递安全的页面信息，用户可以看到自己的连接情况和所需的页面信息。按下“关闭连接”按钮关闭SSL服务器。记录实验信息并进行分析。图2-3SSL实验界面图2-4IE中的证书安全警报双向认证实验：首先按下“选择”按钮选择服务端的证书，之后选择服务端的信任域，即服务端需要验证发起连接的客户端的身份，查看该用户是否具有访问权限。如果服务器不认可用户证书中的签名，那么认为是非法访问，断开用户的连接。所以首先必须设置用户连接时出示的证书。用户在建立连接时出示自己的证书的步骤如下：IE工具栏中选择工具－>Internet选项－>内容－>证书－>导入－>证书选择个人域(在客户机上选择自己的私钥证书.p12文件)－>输入使用私钥证书的密码－>下一步直到显示”导入成功”.－>刷新刚才的IE连接，看到不同的效果，如图2-5所示。(两个演示证书Alice与Bob密钥均为client，而PKI实验系统产生的证书密码是申请时用户提交的密码)图2-5导入SSL服务器信任的证书浏览器中添加了服务器信任的证书时，服务器会返回自己的证书，等待客户验证，类似单向认证过程。若用户选择信任服务器证书，返回成功的页面，服务端会显示连接发起通信的客户端的信息，如图7-4所示。否则，连接中断。如果服务器信任域包含多个选项，同时用户用于HTTPS连接的IE浏览器中安装了对应被服务器信任的多个私钥证书，那么在客户端发起连接时，服务端会提示用户进行身份证书的选择，相应的用户选择的证书的身份也会在服务端显示出来，如图2-6所示。图2-6导入SSL服务器信任的证书图2-7双向认证成功页面将本实验系统中生成的客户私钥证书用于HTTPS安全连接使用证书申请实验中产生的公私钥证书，公钥证书用于验证是否是本实验系统签发的，私钥证书用于加入到IE浏览器中作为个人身份。在选择了服务器证书之后，用户勾选界面上的“信任”，信任本实验系统签发的证书，同时提交一份本实验系统签发的公钥证书，这里系统会根据用户的选择进行判断是否是本实验系统签发的合格的证书，若选择正确则在服务器信任域一栏显示CertsGenBy423，这时本系统签发的私钥证书用于HTTPS身份验证都将获得通过；反之，用户去掉勾选，服务器不予信任。【实验注意】用户在IE显示连接成功后，进行下一次连接必须关闭成功的页面。用户在IE中加入个人证书，输入密码一定要正确(因为密码是保护私钥证书的唯一方法),否则浏览器不会加入想要出示的个人证书。【实验思考】实验中若使用HTTP连接，即日常中未加密的数据传输方式，IE中连接http://localhost:8444，返回页面的情况有什么不同？为什么实验中认证方式切换时必须要关闭连接？实验三RBAC访问控制模型实验1用户角色管理实验【实验目的】基于角色访问控制(RBAC)的核心思想是将权限同角色关联起来，而用户的授权则通过赋予相应的角色来完成，用户所能访问的权限就由该用户所拥有的所有角色的权限集合的并集决定。用户角色管理实验的目的是使实验者了解用户与角色的概念、角色在RBAC系统中的作用与地位、用户指派（UserAssignment）管理等，角色之间继承、限制等逻辑关系，并通过这些关系影响用户和权限的实际对应。【实验预备知识点】1、什么是访问控制？2、什么是访问控制的主体和客体?3、什么是RBAC中的用户？4、什么是RBAC中的角色？【实验步骤】1、获取角色列表。首先打开IE浏览器，输入实验网址，打开用户角色管理实验页面（如图3-1所示）；点击[1]刷新角色列表按钮，获取系统默认角色。若与服务器交互成功，系统日志栏将会有提示信息。鼠标移动到功能列表区“提示”标记上时，用户将会看到系统帮助。图3-1用户角色管理实验页面2、显示角色图。点击显示角色图按钮，系统将生成当前状态下角色关系层次图，并以弹出窗口的形式打开。请暂时关闭浏览器的阻止弹出窗口选项。角色图如图3-2所示。按钮上的[*]标记提醒用户可以在任意时刻刷新角色图，查看当前的系统角色继承关系。图3-2角色层次图3、添加新角色。用户可以根据角色图在某一节点上添加新的角色作为其子节点。点击[添加新角色按钮]将弹出添加角色的面板，如图3-3所示。系统根据实际应用场景，规定角色层次中最高级[第5级]只能有一种角色，即CEO，故新添加的角色只能是它的子孙角色，角色等级在4级或以下。图3-3添加新角色用户只需选择要继承的父角色，系统自动判断新的角色的级别，并在角色等级中项中显示出来。用户填写角色名称后，点击[添加]按钮，即完成角色的添加。若取消添加，请点击[取消]按钮。添加成功后，系统自动刷新角色列表，用户可以看到新添加的角色已经在列表中。实验中，用户要模拟公司新设培训部门，故需要增加以下三个角色：[1]培训部主管–父角色：CEO–等级4；[2]培训部教师–父角色：培训部主管–等级3；[3]培训部学员–父角色：培训部教师–等级2。添加成功后，请重新打开角色层次图，查看添加结果是否正确。[注]在重新打开角色图之前，请关闭上一次打开的角色图。[注]在RBAC中，角色的删除非常复杂，本实验系统暂时不提供该功能，如果您角色添加错误，请关闭浏览器，重新进入实验。4、角色申请。前几步操作用户都是以管理员的身份进行的。现在用户要模拟实际系统中普通使用者的身份，申请角色。随后会有角色的审批和应用过程。在RBAC系统中，一个用户可以拥有若干个角色，分别应用到不同场景中。若要申请角色，用户请勾选角色前的复选框。然后点击[申请角色]按钮。操作成功后，系统日志将会有提示信息。本实验中，请用户先申请研发部中HPC项目经理和培训部教师角色。CEO的角色前的复选框是不可用的，此目的是用户了解RBAC中“角色基数”的概念，该角色的角色基数为1，即只能有一个用户申请该角色。本实验模拟的场景中该角色已经被占用。5、角色审批。在提交了申请的角色后，用户要模拟“系统管理员角色”进行角色审批。用户可以批准列表中一个或多个角色。单击[批准]按钮完成审批。在后面两个实验中，用户可能要返回本实验，进行更多角色的申请和审批。本实验中，请先批准开发部和培训部中的角色。不能同时批准开发部和销售部的角色，因为这两个部门之间的角色存在“角色互斥”关系。至此，用户角色管理实验基本完成。图3-4角色审批【实验思考题】1、RBAC中的角色是如何划分的？2、什么是“角色互斥”关系？3、什么是“角色基数限制”？什么是管理员角色？

2角色权限管理实验【实验目的】角色权限管理实验的目的是使实验者了解访问权限在RBAC中的类型、权限指派(PermissionAssignment)的原理和权限的继承关系，并了解某个角色权限的变动对其他角色的影响。【实验预备知识点】1、什么是角色和用户组的区别？2、什么是权限指派？【实验步骤】1、获取角色列表。默认情况下，系统会自动刷新角色列表，并显示在左侧拦内。而权限列表栏默认情况下会显示最高级角色(CEO)的所有权限，如图3-5所示。图3-5角色权限管理实验示意图2、查看指定角色的权限。当用户单击可用角色列表中的某一个表项时，该表项会高亮显示，并在右侧权限列表栏显示该角色的所有权限。用户可以注意到角色的权限分为两类：自身拥有权限和继承权限。继承权限即指该角色继承于其所有子节点的权限。可以看到，顶级角色CEO的权限是最多的。现在我们要给第一个实验中审批的角色指派角色：请按照功能列表旁的提示给HPC项目经理角色添加对资源(1)HPC组开发文档的读写权限，给培训部教师角色添加新技术培训计划书和新技术培训教案两个资源的读写权限，如图3-6所示。至此，用户权限管理实验暂时告一段落。图3-6为培训部教师角色指派权限【实验思考题】1、能不能限制继承权限，即不允许父角色继承子角色部分或全部权限。RBAC中权限与访问类型的区别

3多级角色应用实验【实验目的】多级角色应用实验的目的是使实验者在模拟RBAC的应用情景中，检验角色权限管理实验中权限设置的效果，感受RBAC的强大功能。【实验预备知识点】1、什么是RBAC中的“会话(session)”概念？2、什么是静态职责分离？3、什么是动态职责分离？【实验步骤】1、获取获审批角色列表。默认情况下，系统会自动显示用户在第一个实验中获审批的角色列表，并显示在左上角信息栏内。2、查看指定角色的权限。当用户单击可用角色列表中的某一个表项时，该表项会高亮显示，并在左下角权限列表栏显示该角色的所有权限。比如当用户选择HPC项目经理角色时，该角色所有权限显示如图3-7所示：图3-73、激活某一角色。点击获审批角色列表中的一个角色进行激活。只能激活一个角色的原因涉及到RBAC中的会话概念，一个用户可以进行几次会话，在每次会话中激活不同的角色，这样用户将具有不同的权限。4、检验权限。用户查看资源列表，每个资源表项旁都有一个查看按钮，用户可以对照当前激活角色的权限，检验该角色是否对指定资源有读写权限，或是不可见。对于可读可写的资源，用户可以修改其内容，该修改在整个实验过程中都有效（即其他角色访问该资源时能看到修改结果）。对于只拥有只读权限的资源，在试图修改时，系统会提示操作失误。5、至此，您已经成功完成RBAC实验的一个流程。为了巩固实验效果，请您返回第一和第二个实验，建立新的角色，或修改相应角色的权限，再回到第三个实验进行检验。【实验思考题】1、若父角色自身对某资源具有只读权限，而子角色对某资源有读写权限，那当父角色试图修改该资源时，将会发生什么情况？为什么要这样规定？2、访问权限的判决流程是怎样的？3、在系统默认情况下，你能根据角色图写出CEO角色对资源：(5)6月份销售计划的访问权限判决过程中节点遍历的次序么？

实验四防火墙实验1、普通包过滤实验【实验目的】掌握普通包过滤技术的基本原理了解常用服务所对应的协议和端口掌握在防火墙教学实验系统上配置普通包过滤型防火墙的方法学会判断规则是否生效。【实验环境及说明】实验环境的网络拓扑如图1.1所示：图4-1实验环境的网络拓扑图2. 将实验小组机器的网关设置为防火墙主机内网卡IP地址：54。3. 给实验小组机器安装WEB浏览器（建议使用IE）。【预备知识】在做本实验前，要求具备以下基本知识：计算机网络的基础知识，以及各常用网络服务所对应的协议和端口；防火墙普通包过滤技术的基本原理；常用网络客户端操作：IE的使用，Ftp客户端的使用，Ping命令的使用等，并了解如何通过这些操作，判断防火墙规则是否生效。【实验原理】数据包过滤技术是一种简单、高效的安全控制技术。数据包过滤技术，顾名思义是在网络中的适当位置对数据包实施有选择的通过，其选择依据即为系统内设置的过滤规则（通常称为访问控制表ACL——AccessControlList），只有满足过滤规则的数据包才被转发至相应的网络接口，其余数据包则被防火墙从数据流中删除。TCP/IP的数据包是由包头和数据构成的，包头包括协议类型（TCP/UDP/ICMP）、源地址、目的地址、源端口和目的端口等信息。包过滤防火墙依据过滤规则对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。例如：使用防火墙普通包过滤技术实现禁止内网用户对新浪网的访问，则可以添加如下的一条规则：方向为内网到外网，协议为any，源地址为任意地址，目的地址为，动作为REJECT。方向：内->外增加到位置：1协议类型：any源地址：IP地址/源端口：disabled（由于协议选择了any，此处不用选择）目的地址：域名目的端口：disabled（由于协议选择了any，此处不用选择）动作：REJECT【实验内容及步骤】 实验首先要求学生设置一条规则，以实现阻挡外网到内网的所有类型的数据包。通过配置这样一条简单又标准的普通包过滤规则，学生可以掌握普通包过滤型防火墙的配置方法，以及如何使用各种网络客户端工具来判断规则是否生效。然后实验要求学生通过设置多条普通包过滤规则使本机只能访问外网中的和。学生通过配置多条规则，可以深刻理解规则优先级的重要性并学会合理安排规则的顺序。 在每次实验前，都要打开浏览器，输入防火墙教学实验系统的地址（如：54/firewall/jsp/main，具体地址请参照实际实验环境的配置）。在打开的页面中输入学号和密码，登陆防火墙实验系统。 设置一条规则，阻挡所有外网到内网的数据包并检测规则有效性。第一步：登陆防火墙实验系统后，点击左侧导航栏的“普通包过滤”进入普通包过滤子实验。在右侧的界面中有三个方向，此处的三个方向外网<->内网，外网<->DMZ，内网<->DMZ分别对外网与内网之间通信的数据包，外网与DMZ区之间通信的数据包，内网与DMZ区之间通信的数据包进行过滤。因为此处要求阻挡所有外网到内网的数据包，所以应该选择外网<->方向进入。在打开的页面中，如果有任何规则存在，点击“删除所有规则”。第二步：使用IE、FTP客户端工具、ping等进行检测，以判断默认规则是否为允许各方向各种类型的数据包通过。第三步：选择正确的选项，点击“增加”后，增加一条普通包过滤规则，阻挡所有外网到内网的数据包。例如：方向：外->内增加到位置：1协议类型：any源地址：IP地址/源端口：disabled目的地址：IP地址/目的端口：disabled动作：REJECT规则添加成功后，可以用各种客户端工具，例如IE、FTP客户端工具、ping等进行检测，以判断规则是否有效以及起到了什么效果。但是需要注意，由于浏览器具有缓存功能，所以可能会出现如下情况：之前成功访问过某个网站，在添加了一条拒绝访问该网站的规则后，却依然可以访问该网站。这时可换用ping指令来验证所添加的规则是否生效。2.设置多条规则，使本机只能访问外网中和提供的服务，检测规则组合有效性。多条规则设置必须注意每一条规则增加到的位置（即规则的优先级），可以参考下面的所列的规则组合增加多条规则。注意：当源地址或目的地址填写为域名时，需要DNS服务器进行域名解析，所以必须添加一条允许DNS解析包通过的规则(此规则中的目的地址应填写真实环境中DNS服务器的ip地址)：方向：内->外方向：内->外增加到位置：1协议类型：any增加到位置：2协议类型：any源地址：IP地址/源地址：IP地址/源端口：disabled源端口：disabled目的地址：IP地址01目的地址：域名目的端口：disabled目的端口：disabled动作：ACCEPT动作：ACCEPT方向：内->外方向：内->外增加到位置：3协议类型：tcp增加到位置：4协议类型：any源地址：IP地址/源地址：IP地址/源端口：21源端口：disabled目的地址：域名目的地址：IP地址/目的端口：disabled目的端口：disabled动作：ACCEPT动作：REJECT规则添加成功后，可以用IE、FTP客户端工具、ping等进行检测，以判断规则组合是否有效。此界面中可以选择的项包括：方向——对什么方向上的包进行过滤；增加到位置——将新增的规则放到指定的位置，越靠前优先级越高（不同规则顺序可能产生不同结果）；协议——tcp、udp和icmp，any表示所有3种协议；源地址、目的地址——地址可以用IP地址、网络地址、域名以及MAC地址能不同的方式来表示，其中/表示所有地址；源端口、目的端口——不同的服务对应不同的端口，要选择正确的端口才能过滤相应的服务；动作——ACCEPT和REJECT，决定是否允许包通过。【实验思考题】1.分析说明在普通包过滤实验中，规则顺序对实验结果有何影响，并使用IE、FTP客户端工具、ping等进行验证。

2状态检测实验【实验目的】掌握防火墙状态检测机制的原理；掌握防火墙状态检测功能的配置方法；理解网络连接的各个状态的含义；理解防火墙的状态表；理解Ftp两种不同传输方式的区别，以及掌握防火墙对Ftp应用的配置。【实验环境及说明】实验环境的网络拓扑如图4-2所示：图4-2实验环境的网络拓扑图将实验小组机器的网关设置为防火墙主机和内网的接口网卡IP地址：54。给实验小组机器安装WEB浏览器（IE或者其他）。【预备知识】 在做本实验前，要求具备以下基本知识：网络基础知识：网络基本概念，网络基础设备，TCP/IP协议，UDP协议，ICMP协议和ARP协议等；常用网络客户端的操作：IE的使用，Ftp客户端的使用，ping命令的使用等；防火墙实验系统的基本使用，而且已经掌握了包过滤实验的配置方法；从某主机到某目的网络是否可达的判断方法；FTP的两种不同数据传输方式的原理；本实验拓扑图所示网络的工作方式，理解数据流通的方向；【实验原理】对于新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。 在状态检测实验中，如果我们要设置一条方向为内网到外网，协议为tcp，源地址为任意地址，源端口为任意端口，目的地址为，目的端口为80，状态类型为NEW,RELATED,ESTABLISHED,INVALID，动作为ACCEPT的状态检测规则，我们可以参考如下规则设置：方向：内->外增加到位置：1协议类型：tcp源地址：IP地址/源端口：目的地址：域名目的端口：80状态类型：NEW，RELATEDESTABLISHED,INVALID动作：ACCEPT【实验内容及步骤】实验以为例，针对FTP主动和被动数据传输方式，分别配置普通包过滤规则和状态检测规则，通过登录外网ftp服务器验证配置的规则有效性，体会防火墙状态检测技术的优越性，最后分析TCP/UDP/ICMP三种协议状态信息。具体内容如下：在ftp主动数据传输方式下，分别设置普通包过滤规则和状态检测规则，采用ftp客户端工具FlashFXP检测规则是否生效。理解状态检测机制的优越性。在ftp被动数据传输方式下，分别设置普通包过滤规则和状态检测规则，采用ftp客户端工具FlashFXP检测规则是否生效。理解状态检测机制的优越性。查看防火墙的状态表，分析TCP、UDP和ICMP三种协议的状态信息。 在每次实验前，打开IE浏览器，输入防火墙教学实验系统地址（如54/firewall_bak，具体地址请参照实际实验环境的配置）。在打开的页面中输入学号和密码，登陆防火墙教学实验系统。PORT（主动）传输模式 配置普通包过滤规则第一步：登陆防火墙教学实验系统后，点击左侧导航栏的“普通包过滤”，在打开的页面中，如果有任何规则存在，点击“删除所有规则”后开始新规则设置，实现与服务器之间的主动数据传输方式。（1）选择“外网<-->内网”的普通包过滤方向，点击“增加一条新规则”，增加两条普通包过滤规则，阻挡所有内网到外网及外网到内网的TCP协议规则。规则添加成功后，打开ftp客户端，设置ftp客户端默认的传输模式为主动模式，即PORTFlashFXP软件，点击选项->参数设置->连接，设置主动模式或被动模式。。匿名连接FlashFXP软件，点击选项->参数设置->连接，设置主动模式或被动模式。（2）增加两条普通包过滤规则，允许DNS解析包通过。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：any增加到位置：1协议类型：any源地址：IP地址/源地址：IP地址01源端口：disabled源端口：disabled目的地址：IP地址01目的地址：IP地址/目的端口：disabled目的端口：disabled动作：ACCEPT动作：ACCEPT（3）增加两条普通包过滤规则，允许ftp控制连接。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：tcp增加到位置：1协议类型：tcp源地址：IP地址/源地址：域名源端口：源端口：21目的地址：域名目的地址：IP地址/目的端口：21目的端口：动作：ACCEPT动作：ACCEPT规则添加成功后，打开ftp客户端，连接，匿名，查看FTP客户端软件显示的连接信息。（4）增加两条普通包过滤规则，允许ftp数据连接。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：tcp增加到位置：1协议类型：tcp源地址：IP地址/源地址：域名源端口：源端口：20目的地址：域名目的地址：IP地址/目的端口：20目的端口：动作：ACCEPT动作：ACCEPT规则添加成功后，打开ftp客户端，连接，匿名，查看FTP客户端软件显示的连接信息。配置状态检测规则第二步：点击左侧导航栏的“状态检测”，如果有任何规则存在，点击“删除所有规则”后开始新规则设置，实现与服务器之间的主动数据传输方式。（1）选择“外网<-->内网”的状态检测方向，点击“增加一条新规则”后，增加两条状态检测规则，阻挡内网到外网及外网到内网的所有TCP协议、所有状态的规则。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：tcp增加到位置：1协议类型：tcp源地址：IP地址0.0.0源地址：IP地址/源端口：源端口：目的地址：IP地址/目的地址：IP地址/目的端口：状态类型：NEW，RELATEDESTABLISHED,INVALID目的端口：状态类型：NEW，RELATEDESTABLISHED,INVALID动作：REJECT动作：REJECT规则添加成功后，打开ftp客户端，连接，匿名，查看FTP客户端软件显示的连接信息。（2）增加两条状态检测规则，允许ftp控制连接。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：tcp增加到位置：1协议类型：tcp源地址：IP地址/源地址：域名源端口：源端口：21目的地址：域名目的地址：IP地址/目的端口：21状态类型：NEWESTABLISHED目的端口：状态类型：ESTABLISHED动作：ACCEPT动作：ACCEPT规则添加成功后，打开ftp客户端，连接，匿名，查看FTP客户端软件显示的连接信息。（3）增加两条状态检测规则，允许ftp数据连接。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：tcp增加到位置：1协议类型：tcp源地址：IP地址/源地址：域名源端口：源端口：20目的地址：域名目的地址：IP地址/目的端口：20状态类型：ESTABLISHED目的端口：状态类型：RELATEDESTABLISHED动作：ACCEPT动作：ACCEPT规则添加成功后，打开ftp客户端，连接，匿名，查看FTP客户端软件显示的连接信息。PASV（被动）传输模式 配置普通包过滤规则第三步：点击左侧导航栏的“普通包过滤”，在打开的页面中，如果有任何规则存在，点击“删除所有规则”后开始新规则设置，实现与服务器之间的被动数据传输方式。（1）选择“外网<-->内网”的普通包过滤方向，点击“增加一条新规则”后，增加两条普通包过滤规则，阻挡所有内网到外网及外网到内网的TCP协议规则。规则添加成功后，打开ftp客户端，设置ftp客户端默认的传输模式为被动模式，即PASV。匿名连接，查看FTP客户端软件显示的连接信息。（2）增加两条普通包过滤规则，允许ftp控制连接。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：tcp增加到位置：1协议类型：tcp源地址：IP地址/源地址：域名源端口：源端口：21目的地址：域名目的地址：IP地址/目的端口：21目的端口：动作：ACCEPT动作：ACCEPT规则添加成功后，打开ftp客户端，连接，匿名，查看FTP客户端软件显示的连接信息。（3）增加两条普通包过滤规则，允许ftp数据连接。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：tcp增加到位置：1协议类型：tcp源地址：IP地址/源地址：域名源端口：源端口：1024：65535目的地址：域名目的地址：IP地址/目的端口：1024：65535目的端口：动作：ACCEPT动作：ACCEPT规则添加成功后，打开ftp客户端，连接，匿名，查看FTP客户端软件显示的连接信息。配置状态检测规则第四步：点击左侧导航栏的“状态检测”，如果有任何规则存在，点击“删除所有规则”后开始新规则设置，实现与服务器之间的被动数据传输方式。（1）选择“外网<-->内网”的状态检测方向，点击“增加一条新规则”后，增加两条状态检测规则，阻挡内网到外网及外网到内网的所有TCP协议、所有状态的规则。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：tcp增加到位置：1协议类型：tcp源地址：IP地址/源地址：IP地址/源端口：源端口：目的地址：IP地址/目的地址：IP地址/目的端口：状态类型：NEW，RELATEDESTABLISHED,INVALID目的端口：状态类型：NEW，RELATEDESTABLISHED,INVALID动作：REJECT动作：REJECT规则添加成功后，打开ftp客户端，连接，匿名，查看FTP客户端软件显示的连接信息。（2）增加两条状态检测规则，允许ftp控制连接。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：tcp增加到位置：1协议类型：tcp源地址：IP地址/源地址：域名源端口：源端口：21目的地址：域名目的地址：IP地址/目的端口：21状态类型：NEWESTABLISHED目的端口：状态类型：ESTABLISHED动作：ACCEPT动作：ACCEPT规则添加成功后，打开ftp客户端，连接，匿名，查看FTP客户端软件显示的连接信息。（3）增加两条状态检测规则，允许ftp数据连接。可参考如下规则设置：方向：内->外方向：外->内增加到位置：1协议类型：tcp增加到位置：1协议类型：tcp源地址：IP地址/源地址：域名源端口：源端口：1024：65535目的地址：域名目的地址：IP地址/目的端口：1024：65535状态类型：RELATEDESTABLISHED目的端口：状态类型：ESTABLISHED动作：ACCEPT动作：ACCEPT规则添加成功后，打开ftp客户端，连接，匿名，查看FTP客户端软件显示的连接信息。 第五步：点击左边导航栏的“状态检测”，在右边打开的页面