信息安全实验手册

信息安全综合实验系统

实验指导书

厂刍1Z

上海交通大学信息安全工程学院

2008年

目录

一、防火墙实验系统实验指导书.......................................................1

1、NAT转换实验...................................................................2

2、普通包过滤实验.................................................................4

3、状态检测实验...................................................................7

4、应用代理实验..................................................................12

5、综合实验.......................................................................18

6、事件审计实验..................................................................19

二、入侵检测实验系统实验指导书...................................................21

1、特点匹配检测实验..............................................................22

2、完整性检测实验................................................................32

3、网络流量分析实验..............................................................36

4、误警分析实验..................................................................41

三、安全审计实验系统指导书.......................................................47

1、文件审计实验..................................................................48

2、网络审计实验..................................................................53

3、打印审计实验..................................................................57

4、日志监测实验..................................................................61

5、拨号审计实验..................................................................64

6、审计跟踪实验..................................................................68

7、主机监管实验..................................................................73

四、病毒实验系统实验指导书.......................................................76

1、网络炸弹实验..................................................................77

2、万花谷病毒实验................................................................79

3、新欢乐时光病毒实验.............................................................81

4、美丽莎病毒实验................................................................86

5、N0.1病毒实验..................................................................90

6、PE病毒实验....................................................................92

五、PKI系统实验指导书...........................................................97

1、证书申请实验..................................................................98

2、用户申请治理实验.............................................................100

3、证书治理实验.................................................................103

4、信任治理实验.................................................................106

5、交叉认证实验.................................................................109

6、证书应用实验..................................................................112

7、SSL应用实验..................................................................115

六、攻防实验系统指导书..........................................................120

1、RPCDCOM堆栈溢出实验.......................................................121

2、端口扫描实验.................................................................126

3、漏洞扫描实验.................................................................131

4、UNIX口令实验破解.............................................................136

5、WINDOWS口令破解实验.........................................................139

6、远程控制实验.................................................................146

7、灰鸽子远程控制...............................................................152

七、密码实验系统指导书..........................................................158

1、DES单步加密实验.............................................................159

2.DES算法实验.................................................................161

3、3DES算法实验................................................................163

4、AES算法实验.................................................................165

5、MD5算法实验.................................................................167

6、SHA-1算法实验...............................................................170

7、RSA算法实验.................................................................172

8、DSA数字签名实验.............................................................174

八、IPSECVPN实验系统实验指导书...............................................176

1、VPN安全性实验...............................................................177

2、VPNIKE认证实验.............................................................183

3、VPN模式比较实验.............................................................188

九、多级安全拜访控制系统实验指导书..............................................194

实验环境介绍....................................................................195

1、PMI试验.....................................................................196

2、XACML系统实验..............................................................202

3、模型实验.....................................................................207

4、RBAC系统实验................................................................211

、防火墙实验系统实验指导书

1、NAT转换实验

2、普通包过滤实验

3、状态检测实验

4、应用代理实验

5、综合实验

6、事件审计实验

1、NAT转换实验

【实验目的】

通过实验，深刻懂得网络地址分段、子网掩码和端口的概念与原理。了解NAT的

基本概念、原理及其三种类型，即静态NAT(StaticNAT)、动态地址NAT(PooledNAT)、

网络地址端口转换NAPT(Port-LevelNAT)。同时，把握在防火墙实验系统上配置NAT

的方法，学会判定规则是否生效。

【实验环境及说明】

1.本实验的网络拓扑图如下。

实验室区域网

:

病毒防护实验质统服务器

入侵检测实验系统服务器

安全审计实验凄统服务器

Web服务器:理想状况中DMZ会配置服务器来给满足实验功能。

FTP服务罂:如果防火墙实验系统服务器是在实验室区域网和防火墙区域网边界，则须在须在实验室区域网内增加一FTP服务用来做FTP代理实验。

如果防火墙实验系统服务器在实验室区域网和外网边界，则不需要增加FTP服务。

2.实验小组的机器要求将网关设置为防火墙主机和内网的接口网卡IP地址：

54(次地址可由老师事先指定)。

3.实验小组机器要求有WEB浏览器：IE或者其他。

4.配置结果测试页面通过NAT转换实验进入页面中的“验证NAT目标地址”提供

的链接可以得到。NAT规则配置终止后，新打开浏览器窗口，通过“验证NAT

目标地址”提供的地址，进入测试结果页面，将显示地址转换后的目的地址。

【预备知识】

1.NAT基本概念、原理及其类型；

2.常用网络客户端的操作：IE的使用，并通过操作，判定防火墙规则是否生效；

3.了解常用的无法在互联网上使用的保留IP地址（如：1000.0~55,

-55,-55）□深刻懂得网络地址

分段、子网掩码和端口的概念与原理。

【实验内容】

1.在防火墙实验系统上，配置NAT的规则；

2.通过一些常用的网络客户端操作，判定已配置的规则是否有效，对比不同规则

下，产生的不同成效。

【实验步骤】

在每次实验前，都要打开浏览器，输入地址：54/firewall/jsp/main,

在打开的页面中输入学号和密码，登陆防火墙实验系统。

在实验前应先删除防火墙原有的所有规则。

1）登陆防火墙实验系统后，点击左侧导航栏的“NAT转换”，进入“NAT的规则配置”

页面。

2）在打开的页面中，如果有任何规则存在，点击“删除所有规则”；

3）点击“增加一条规则”，进入规则配置的界面。下面对此界面中的一些选项作说

明：源地址、目的地址——地址用IP地址来表示。

4）挑选源地址地P地址,5、目的地址，比如：IP地址，00、

目的端口：ethO。按“增加”后，就增加了一条NAT规则，这条规则将内部地址5

映射为外部地址00=

增加NAT规则后，可以用浏览器在规则添加前后进行检测（新打开窗口，输入进

入页面中的“验证NAT目标地址”），以判定规则是否有效以及起到了什么成效。详见参

考答案。

5）当完成配置规则和检测后，可以重复步骤2）到步骤4）,来配置不同的规则。

2、普通包过滤实验

【实验目的】

通过实验，了解普通包过滤的基本概念和原理，如方向、协议、端口、源地址、目

的地址等等，把握常用服务所对应的协议和端口。同时，把握在防火墙实验系统上配置

普通包过滤型防火墙的方法，学会判定规则是否生效。

【实验环境及说明】

同实验一

【预备知识】

1.运算机网络的基础知识，方向、协议、端口、地址等概念以及各常用服务所对

应的协议、端口；

2.常用网络客户端的操作：IE的使用，Ftp客户端的使用，ping命令的使用等，

并通过这些操作，判定防火墙规则是否生效；

3.包过滤型防火墙的基本概念，懂得各规则的意义。

【实验内容】

在正确配置NAT规则的前提下（实验一），实验第一配置普通包过滤规则，然后

通过登录外网web页面、登录外网ftp服务器等常用网络客户端操作判定配置的规则是

否生效，具体内容如下：

1.设置一条规则，阻挡所有外网到内网的数据包。采用ping命令检测规则是否生

效。

2.设置多条规则，使本机只能拜访外网中和的服务。

采用浏览器和FTP工具测试规则是否生效。'

3.将已经设置的多条规则顺序打乱，分析不同次序的规则组合会产生怎样的作用，

然后通过网络客户端操作检验规则组合产生的成效。

【实验步骤】

在每次实验前，都要打开浏览器，输入地址：54/firewall/jsp/main,

在打开的页面中输入学号和密码，登陆防火墙实验系统。

第一步：登陆防火墙实验系统后，点击左侧导航栏的“普通包过滤”，在右侧的界面

中挑选一个方向进入。此处共有外网＜-＞内网、外网＜-＞DMZ和内网＜-〉DMZ3个方向।可

供挑选。

।例如，挑选“外网＜-＞内网”，就能配置内网和外网之间的普通包过滤规则。

第二步：在打开的页面中，如果有任何规则存在，点击“删除所有规则”。

第三步：点击“增加一条规则”，进入规则配置界面2,配置规则。如果对正在配置

的规则不中意，可以点击“重置”，将配置页面复原到默认的状态。

1.设置一条规则，阻挡所有外网到内网的数据包并检测规则有效性。

挑选正确的选项，点击“增加”后，增加一条普通包过滤规则，阻挡所有外网到内网

的数据包。例如：

方向：“外网，内网”

增加到位置：1

协议:any

源地址:IP地址,/

源端口:disabled（由于协议挑选了此处不用挑选）

目的地址：IP地址,/

目的端口:disabled（由于协议挑选了any,此处不用挑选）

动作:REJECT.,

规则添加成功后，可以用各种客户端工具，例如IE、FTP客户端工具、ping等进

行检测，以判定规则是否有效以及起到了什么成效。

2.设置多条规则，使本机只能拜访外网中和ftp.s_提供的服

务，检测规则组合有效性。

多条规则设置必须注意每一条规则增加到的位置（即规则的优先级），可以参考下

面的所列的规则组合增加多条规则。

方向:外「内方向:外4内方向:外-＞内

增加到位置：1增加到位置：2增加到位置:3

源地址:源地址:源地址:/

源端口:any源端口:21源端口:any

目的地址:/目的地址:/目的地址:/

目的端口:any目的端口:any目的端口:any

协议类型:all协议类型：tcp协议类型：all

动作:ACCEPT动作:ACCEPT动作:REJECT

规则添加成功后，可以用IE、FTP客户端工具、ping等进行检测，以判定规则组

2此界面中可以挑选的项包括：

方向---对什么方向上的包进行过滤；

增加到位置——将新增的规则放到指定的位置，越靠前优先级越高（不同规则顺序可能产生不同结果）：

协议---tcp、udp和icmp,any表示所有3种协议；

源地址、目的地址一地址可以用IP地址、网络地址、域名以及MAC地址能不同的方式来表示，其中0.000

表示所有地址；

源端口、目的端口一一不同的服务对应不同的端口，要挑选正确的端口才能过滤相应的服务；

动作——ACCEPT和REJECT,决定是否让一个包通过。

合是否有效。

3.将已经设置的多条规则顺序打乱，分析不同次序的规则组合会产生怎样的作用，并

使用IE、FTP客户端工具、ping等进行验证。

【实验摸索题】

某机构的网络可以接受来自Internet的拜访。有只在端口80上提供服务的Web服

务器；只在端口25上提供服务的邮件服务器（接收发来的所有邮件并发送所有要发出

的邮件）；答应内部用户使用Http、Https、Ftp、Telnet,Ssh服务。请制定合适的包过

滤防火墙规则（要求以列表的形式给出，可以抽象表示IP地址，比如“源IP”：内部网

络）。

优先级别源地址源端口目的地址目的端口协议动作

3、状态检测实验

【实验目的】

1.把握防火墙状态检测机制的原理；

2.把握防火墙状态检测功能的配置方法；

3.懂得网络连接的各个状态的含义；

4.懂得防火墙的状态表；

5.懂得Ftp两种不同传输方式的区别，以及把握防火墙对Ftp应用的配置。

【实验环境及说明】

同实验一

【预备知识】

1.网络基础知识：网络基本概念，网络基础设备，TCP/IP协议，UDP协议，ICMP

协议和ARP协议等；

2.常用网络客户端的操作：IE的使用，Ftp客户端的使用，ping命令的使用等；

3.从某主机到某目的网络阻断与否的判定方法；

4.FTP的两种不同数据传输方式的原理；

5.本实验拓扑图所示网络的工作方式，懂得数据流通的方向；

6.防火墙实验系统的基本使用，而且已经把握了包过滤功能的相关实验。

【实验内容】

在正确配置NAT规则的前提下（实验一），实验以为例，针对FTP

主动和被动数据传输方式，分别配置普通包过滤规则和状态检测规则，通过登录外网

ftp服务器验证配置的规则有效性，体会防火墙状态检测技术的优越性，最后分析

TCP/UDP/ICMP三种协议状态信息。具体内容如下：

1.设置普通包过滤规则，实现即两种不同的数据传输方式，采用ftp客户端工具

FlashFXP检测规则是否生效。

2.设置状态检测规则，实现ftp的两种不同数据传输方式，采用ftp客户端工具

FlashFXP检测规则是否生效。与前面的普通包过滤实验比较，懂得状态检测机

制的优越性。

3.查看防火墙的状态表，分析TCP、UDP和ICMP三种协议的状态信息。

【实验步骤】

在每次实验前，打开浏览器，输入地址：54/firewall/jsp/main,在

打开的页面中输入学号和密码，登陆防火墙教学实验系统。

第一步：登陆防火墙实验系统后，点击左侧导航栏的“普通包过滤“，在打开的页面

中，如果有任何规则存在，点击“删除所有规则”后开始新规则设置，实现与

服务器之间的主动和被动数据传输方式。

1.配置普通包过滤规则，实现FTP的主动和被动传输模式

＞PORT（主动）模式

1）挑选正确的选项，点击“增加”后，增加两条普通包过滤规则，阻挡所有内网到

外网及外网到内网的TCP协议规则。

规则添加成功后，打开ftp客户端，设置ftp客户端默认的传输模式为主动模式,

即P0RT3。匿名连接,查看FTP客户端软件显示的连接信息。

2）增加两条普通包过滤规则，答应ftp控制连接。可参考如下规则设置：

方向:内。外方向:外-＞内

增加到位置:1增加到位置：1

源地址:/源地址:ftD.

源端口:any源端口:21

目的地址:目的地址:/

目的端口:21目的端口:any

协议类型:tcp协议类型:tcp

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开ftp客户端,连接,匿名，查看FTP客户端软

件显示的连接信息。

3）增加两条普通包过滤规则，答应ftp数据连接。可参考如下规则设置:

方向:内-＞外方向:外-＞内

增加到位置：1增加到位置：1

源地址:/源地址:ftD.

源端口:any源端口:20

目的地址:目的地址:/

目的端口:20目的端口:any

协议类型：tcp协议类型:tcp

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开ftp客户端，连接,匿名，查看FTP客户端软

件显示的连接信息。

TlashFXP软件，点击选项，参数设置-＞连接，设置主动模式或被动模式。

>PASV（被动）模式

1）挑选正确的选项，点击“增加”后，增加两条普通包过滤规则，阻挡所有内网到

外网及外网到内网的TCP协议规则。

规则添加成功后，打开ftp客户端，设置ftp客户端默认的传输模式为被动模式，

即PASV。匿名连接,查看FTP客户端软件显示的连接信息。

2）增加两条普通包过滤规则，答应ftp控制连接。

规则添加成功后，打开ftp客户端，连接,匿名，查看FTP客户端软

件显示的连接信息。

3）增加两条普通包过滤规则，答应ftp数据连接。可参考如下规则设置:

方向:内->外方向:外，内

增加到位置：1增加到位置：1

源地址:/源地址:

源端口:any源端口:1024：65535

目的地址:ftD.sitihedu.cti目的地址:/

目的端口:1024：65535目的端口:any

协议类型:tcp协议类型：tcp

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开ftp客户端,连接,匿名，查看FTP客户端软

件显示的连接信息。

第二步：点击左侧导航栏的“状态检测”，如果有任何规则存在，点击“删除所有规

则”后开始新规则设置，实现与服务器之间的主动和被动数据传输方式。

2.配置状态检测规则，实现FTP的主动和被动传输模式

1）挑选正确的选项，点击“增加”后，增加两条状态检测规则，阻挡内网到外网及

外网到内网的所有TCP协议、所有状态的规则。可参考如下规则设置：

方向:内，外方向:外，内

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端口:any目的端口:any

协议类型:tcp协议类型:tcp

状态:NEW,ESTABLISHED,状态:NEW,ESTABLISHED,

RELATED,INVALIDRELATED,INVALID

动作:REJECT动作:REJECT

规则添加成功后，打开ftp客户端，设置ftp客户端默认的传输模式是PASV,即被

动模式，连接,匿名，查看FTP客户端软件显示的连接信息。然后，打

开ftp客户端，设置ftp客户端默认的传输模式是PORT,即主动模式，连接,

匿名，查看FTP客户端软件显示的连接信息。

2）增加两条状态检测规则，答应拜访内网到外网及外网到内网目的端口为任意、

状态为ESTABLISHED和RELATED的TCP数据包。可参考如下规则设置：

方向:内-＞外方向:外-＞内

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端口:any目的端口:any

协议类型:tcp协议类型:tcp

状态:ESTABLISHED,状态:ESTABLISHED,

RELATEDRELATED

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开ftp客户端，设置ftp客户端默认的传输模式是PASV,即被

动模式，连接,匿名，查看FTP客户端软件显示的连接信息。然后，打

开ftp客户端,设置ftp客户端默认的传输模式是PORT,即主动模式,连接,

匿名，查看FTP客户端软件显示的连接信息。

3）增加一条状态检测规则，答应内网拜访外网目的端口为21、状态为NEW、

ESTABLISHED和RELATED的TCP数据包。可参考如下规则设置：

方向：“内网-＞外网”

增加到位置：1

协议：tcp

源地址:IP地址,/

目的地址:ftD.

目的端口：21

状态:NEW,ESTABLISHED,RELATED

动作:ACCEPT.

规则添加成功后，打开ftp客户端，设置ftp客户端默认的传输模式是PASV,即被

动模式，连接,匿名，查看连接信息。然后，打开ftp客户端，设置ftp

客户端默认的传输模式是PORT,即主动模式，连接,匿名，查看连接信

息。

第三步：点击左边导航栏的“状态检测”，在右边打开的页面中挑选“状态表”，在打

开的页面中查看防火墙系统所有连接的状态并进行分析。

3.查看分析防火墙的状态表

点击左边导航栏的“状态检测”，在右边打开的页面中挑选“状态表”，在打开的页面

中查看当前防火墙系统的所有连接的状态。分别选取一条TCP连接，UDP连接，ICMP

连接4,分析各个参数的含义；并分析当前所有连接，了解每条连接相应的打开程序，

及其用途。

【实验摸索题】

分别用普通包过滤和状态检测设置规则，使ftp客户端仅仅可以下载站点

ftp:〃shuguang:shuguang@2:2121的文件。

4说明：如果当前没有ICMP连接，按如下步骤：

(1)用普通包过滤设立一条拒绝到的ICMP协议包;

(2)打开DOS窗口，输入ping-n10-t：

(3)刷新状态表页面，即可看到ICMP连接状态。

4、应用代理实验

【实验目的】

1.了解防火墙代理级网关的工作原理；

2.把握配置防火墙代理级网关的方法。

【实验环境及说明】

同实验一。

【预备知识】

1.常用网络客户端的操作：IE的使用，Ftp客户端的使用，Telnet命令的使用等；

2.明白本实验拓扑图所示网络的工作方式，懂得数据流通的方向；

3.把握HTTP代理和FTP代理的配置；

4.把握HTTP代理、FTP代理和Telnet代理的工作原理，明确它们各自的通信过

程，简单的说，代理均是起到一个中继的作用。

【实验内容】

在正确配置NAT规则的前提下（实验一），配置好HTTP代理和FTP代理后，分

别配置HTTP代理规则、FTP代理规则和Telnet代理规则，然后配置好IE的HTTP代

理和FlashFXP的FTP代理，再通过登录外网web页面、登录外网ftp服务器等常用网

络客户端操作判定配置的规则是否生效，具体内容如下：

1.设置HTTP代理规则，配置IE的HTTP代理，采用浏览器拜访外网以测试规则

是否生效；

2.设置FTP代理规则，配置FlashFXP的FTP代理，采用FlashFXP拜访FTP服

务器以测试规则是否生效；

3.设置TELNET代理规则，采用开始菜单“运行”命令行工具cmd.exe,输入代理

命令telnet542323,再测试规则是否生效。

【实验步骤】

在每次实验前，都要打开浏览器，输入地址：54/firewall/jsp/main,

在打开的页面中输入学号和密码，登陆防火墙实验系统。

（一）HTTP代理实验：登陆防火墙实验系统后，点击左侧导航栏的“HTTP代理”，在

打开的页面中，如果有任何规则存在，将规则删除后再设置新规则。打开正浏览器，

配置HTTP代理。

1.设置IE的HTTP代理

1）IE菜单中的工具一internet选项，弹出“Internet属性”对话框；

2）点击“连接”标签，按“局域网设置”，弹出“局域网（LAN）设置”对话框；

3）在“代理服务器”中勾选“使用代理服务器”，并输入防火墙IP地址及端

口：54:3128,挑选“对于本地地址不使用代理服务器”，点击“高

级”按钮，进入“代理服务器设置”页面，在“例外”栏填入54；

4）依次按下“确定”退出设置页面；建议每次实验后清空历史纪录。

2.测试HTTP代理的默认规则

打开IE,在地址栏中输入任意地址，例如http:〃www.sjtu.edu.cn、

http:〃www.yahoo.com和等，观察能否拜访，并说明原因；

3.配置HTTP代理规则，验证规则有效性

1）以教师分配的用户名和密码进入实验系统，点击左侧导航条的“HTTP

代理”链接，进入“HTTP应用代理规则表”页面，点击“增加一条新规则”

后，增加一条HTTP代理规则答应规则，答应任意源地址到任意目的地

址的拜访。再次浏览上述网址，观察能否拜访。

2）清空规则，增加两条HTTP代理拒绝规则，拒绝拜访

http:〃和http:〃www.sina.com.cn,可参考如下规则设置：

插入位置:1插入位置：1

源地址:*源地址:*

目的地址:ww.sj/a.eda.c”目的地址:WWcom.

动作:deny动作:deny

规则添加成功后，打开IE浏览器,拜访http:〃http:〃www.yahoo.com

和http:〃，观察能否拜访。

3）再增加两条HTTP代理答应规则，答应拜访http:〃www.sjtu.edu.cn和

http:〃www.sina.com.cn,可参考如下规则设置：

插入位置：1插入位置：1

源地址:*源地址:*

目的地址:w'vvw.sjra.eda.c"目的地址:ww'tv.siaa.c。，".。”

动作：allow动作:allow

规则添加成功后，打开正浏览器,拜访、

和http:〃www.sina.com.cn,观察能否拜访，说明原因。

4）结合普通包过滤规则，进一步加深对HTTP代理作用的懂得。清空普通

包过滤和HTTP代理规则，分别添加一条普通包过滤拒绝所以数据包规

则和一条HTTP代理答应规则，可参考如下规则设置：

先添加普通包过滤规则:

方向：“外网-＞内网”

增加到位置：1

协议：any

源地址：IP地址,/

源端口:disabled（由于协议挑选了any,此处不用挑选）

目的地址：1P地址,/

目的端口:disabled（由于协议挑选了any,此处不用挑选）

动作:REJECT.

取消IE的HTTP代理配置，在地址栏中输入,观察能否拜访。

再添加HTTP代理答应规则：

插入位置：1

协议:any

源地址:*

目的地址:*

动作:allow<）

设置IE的HTTP代理，使用防火墙IP地址及端口：54:8008。再次浏览

,观察能否拜访。根据两次实验结果，分析使用HTTP代理对普

通包过滤规则的影响及原因。所有HTTP实验终止以后，取消IE的HTTP代理，保证

可以正常拜访实验系统页面。

（二）FTP代理实验：登陆防火墙实验系统后，点击左侧导航栏的“FTP代理”，在打开

的页面中，如果有任何规则存在，将规则删除后再设置新规则。打开FTP客户端

FlashFXP,配置FTP代理。

1.设置FlashFTP的FTP代理：

1）FlashFXP菜单中的"Options"->"Preferences”,在弹出的“Configure

FlashFXP”对话框中挑选“Connection”子项，点击“Proxy”，显现代理设置

对话框；

2）点击“Add”按钮，在弹出的“AddProxyServerProfile”中依次输入：

Name：域名

Type：Userftp-user@ftp-host:fip-port

Host：54Port：2121

User及Password为空,

3）依次按下“OK”按钮，退出即可。

2.测试FTP代理的默认规则：

打开FlashFTP,在地址栏中填入或，观察能否连接，

说明原因；

3.配置FTP代理规则，验证规则有效性

1）以教师分配的用户名和密码进入实验系统，点击左侧导航条的“FTP代

理”链接，显示“FTP应用代理规则表”页面，点击“增加一条新规则”后，

增加一条FTP代理答应规则，答应任意源地址到任意目的地址的拜访。

再次连接上述FTP站点，观察能否拜访。

2）增加一条FTP代理拒绝规则，拒绝拜访（IP地

址:30）,可参考如下规则设置：

插入位置：1

源地址:*

目的地址:30

动作:deny

规则添加成功后，打开flashFXP,拜访（IP地址:30）和

（IP地址:62）,观察能否拜访；

3）清空规则，增加一条FTP代理答应规则，答应拜访（IP地

址:30）,可参考如下规则设置：

插入位置：1

源地址:*

目的地址:30

动作:allow

规则添加成功后，打开flashFXP,拜访和,观察能

否拜访；

4）结合普通包过滤规则，进一步加深对FTP代理作用的懂得。清空普通

包过滤和FTP代理规则，分别添加一条普通包过滤拒绝所有数据包规则

和一条FTP代理答应规则，可参考如下规则设置：

先添加普通包过滤规则：

方向：“外网-＞内网”

增加到位置：1

协议:any

源地址：IP地址,/

源端口:disabled（由于协议挑选了cmy,此处不用挑选）

目的地址：IP地址,/

目的端口:disabled（由于协议挑选了any,此处不用挑选）

动作:REJECT.

取消flashFXP的FTP代理配置，连接站点，观察能否拜访。

再添加FTP代理规则：

插入位置：1

协议:any

源地址:*

目的地址:*

动作:allowo

设置flashFXP的FTP代理配置，连接站点，观察能否拜访。根据两

次实验结果，分析使用FTP代理对普通包过滤规则的影响及原因。所有FTP实验终止

以后，取消flashFXP的FTP代理。

（三）Telnet代理实验：登陆防火墙实验系统后，点击左侧导航栏的“Telnet代理”，在

打开的页面中，如果有任何规则存在，将规则删除后再设置新规则。

1.测试Telnet代理的默认规则：

打开“开始”菜单的“运行”命令行工具cmd.exe,先输入代理命令telnet54

2323,再输入命令telnet,观察能否连接，说明原因。

2.配置Telnet代理规则，验证规则有效性：

1）以教师分配的用户名和密码进入实验系统，点击实验系统左侧导航条的

“Telnet代理”链接，显示“TELNET应用代理规则表”页面，点击“增加一

条新规则”后，增加一条Telnet代理接受规则，答应任意源地址到任意目

的地址的拜访。使用命令行工具cmd.exe,先输入代理命令telnet

542323,再拜访,观察能否拜访o

2）按“增加一条新规则”按钮，增加一条Telnet代理拒绝规则，拒绝拜访

（IP地址：61），可参考如下规则设置：

插入位置：1

源地址:*

目的地址:61

动作:deny

规则添加成功后，使用命令行工具cmd.exe,先输入代理命令telnet

542323,再拜访,观察能否拜访。

3）清空规则，分别添加一条Telnet代理拒绝规则，拒绝拜访

（IP地址：61）,一条Telnet代理接受规则，接受拜访

（IP地址：61），可参考如下规则设置：

插入位置：1插入位置：1

源地址:*源地址:*

目的地址:202120.58」61目的地址:202.120.58.⑹

动作:deny动作:allow

规则添加成功后，使用命令行工具cmd.exe,先输入代理命令telnet

542323,再拜访,观察能否拜访，说明原因。

4）结合普通包过滤规则，进一步加深对TELNET代理作用的懂得。清空

普通包过滤和TELNET代理规则，分别添加一条普通包过滤拒绝所有数

据包规则和一条TELNET代理答应规则，可参考如下规则设置：

先添加普通包过滤规则:

方向：“外网-＞内网”

增加到位置：1

协议：any

源地址：IP地址,/

源端口:disabled（由于协议挑选了any,此处不用挑选）

目的地址：1P地址,/

目的端口:disabled（由于协议挑选了any,此处不用挑选）

动作:REJECT.

规则添加成功后，使用命令行工具cmd.exe,输入命令telnet,拜访

,观察能否拜访。

再添加TELNET代理规则：

插入位置：1

协议:any

源地址:*

目的地址:*

动作:allowo

规则添加成功后，使用命令行工具cmd.exe,先输入代理命令telnet54

2323,再拜访,观察能否拜访，说明原因。

5、综合实验

【实验目的】

1.了解企业防火墙的一样作用。

2.学会灵活运用防火墙规则设置满足企业需求。

【实验环境及说明】

同实验一、二、三

【预备知识】

1.了解基本的企业网络拓扑。

2.了解ftp服务被动模式原理与相关代理设置。

3.懂得telnet服务工作原理。

4.懂得http拜访以及http代理工作原理。

5.了解QQ工作原理

【实验内容】

某企业需要在防火墙上设置如下规则以满足企业需要：

1.通过设置防火墙规则设置正确的NAT规则

2.通过设置防火墙规则将包过滤规则的默认动作为拒绝

3.通过设置防火墙规则打开内网到外网，DMZ到外网的DNS服务

4.通过设置防火墙规则答应所有的客户端以被动模式拜访外网的FTP服务。

5.通过设置防火墙规则答应内网用户拜访DMZ区中IP地址为和所

有外网的Telnet服务。

6.通过设置防火墙规则答应内网用户使用QQ服务。

【实验步骤】

1.通过设置正确的NAT规则完成策略1。

2.通过设置正确的普通包过滤和状态检测完成策略2到策略6的。

6、事件审计实验

【实验目的】

通过实验，了解防火墙日志的常见格式.学会根据日志，有针对性的检验规则,判定规

则是否生效.把握常见服务所用的协议及其端口.加深对于tcp等协议数据报文的懂得.加

深对网络通信过程的懂得。

【实验环境及说明】

1.本实验的网络拓扑图如下：

Web服务器:理想状况中DMZ会配置服务器来给满足实验功能。

FTPIR务器:如果防火墙实验系统服务器是在实验室区域网和防火墙区域网边界，则须在须在实验室区域网内增加一FTP服务用来做FTP代理实验。

如果防火墙实验系统服务器在实验室区域网和外网边界，则不需要增加FTP服务.

2.外网使用的WEB验证服务器一样使用交大本校主页http:〃；Ftp

服务器使用本校Ftp服务器。

3.实验小组的机器要求将网关设置为防火墙主机和内网的接口网卡IP地址：

54（次地址可由老师事先指定）。

4.实验小组机器要求有WEB浏览器：IE或者其他；要求有Ftp客户端：CuteFtp、

LeapFtp、FlashFXP或者其他。

【预备知识】

1.运算机网络的基础知识，方向、协议、端口、地址等概念以