信息安全实验手册

信息安全实验手册

实验指导书

上海交通大学信息安全工程学院

2008年

目录

一、防火墙实验系统实验指导书.......................................................1

1、NAT转换实验....................................................................2

2、普通包过滤实验..................................................................4

3、状态检测实验....................................................................7

4、应用代理实验...................................................................12

5、综合实验........................................................................17

6、事件审计实验...................................................................18

二、入侵检测实验系统实验指导书....................................................20

1、特征匹配检测实验...............................................................21

2、完整性检测实验.................................................................31

3、网络流量分析实验...............................................................35

4、误警分析实验...................................................................40

三、安全审计实验系统指导书........................................................45

1、文件审计实验...................................................................46

2、网络审计实验...................................................................51

3、打印审计实验...................................................................55

4、日志监测实验...................................................................59

5、拨号审计实验...................................................................62

6、审计跟踪实验...................................................................66

7、主机监管实验...................................................................71

四、病毒实验系统实验指导书........................................................74

1、网络炸弹实验...................................................................75

2、万花谷病毒实验.................................................................77

3、新欢乐时光病毒实验..............................................................79

4、美丽莎病毒实验.................................................................84

5、NO.1病毒实验...................................................................88

6、PE病毒实验.....................................................................9()

五、PKI系统实验指导书............................................................95

1、证书申请实验...................................................................96

2、用户申请管理实验...............................................................98

3、证书管埋实险..................................................................101

4、信任管理实验..................................................................104

5、交叉认证实验..................................................................107

6、证书应用实验...................................................................110

7、SSL应用实验...................................................................113

六、攻防实验系统指导书............................................................118

1、RPCDCOM堆栈溢出实验........................................................119

2、端口扫描实验..................................................................124

3、漏洞扫描实验..................................................................129

4、UNIX口令实验破解..............................................................134

5、WINDOWS口令破解实验..........................................................137

6、远程操纵实验..................................................................144

7、灰鸽子远程操纵................................................................150

七、密码实验系统指导书............................................................156

1、DES单步加密实验..............................................................157

2.DES算法实验.................................................................159

3、3DES算法实验.................................................................161

4、AES算法实验..................................................................163

5、MD5算法实验..................................................................165

6、SHA-1算法实验................................................................168

7、RSA算法实验..................................................................170

8、DSA数字签名实验..............................................................172

八、IPSECVPN实验系统实验指导书................................................174

1、VPN安全性实验................................................................175

2、VPNIKE认证实验..............................................................181

3、VPN模式比较实验..............................................................186

九、多级安全访问操纵系统实验指导书...............................................192

实验环境介绍......................................................................193

1、PMI试验.......................................................................194

2、XACML系统实验...............................................................200

3、模型实验......................................................................205

4、RBAC系统实验.................................................................209

一、防火墙实验系统实验指导书

1、NAT转换实验

2、普通包过滤实验

3、状态检测实验

4、应用代理实验

5、综合实验

6、事件审计实验

1、NAT转换实验

【实验目的】

通过实验，深刻懂得网络地址分段、子网掩码与端口的概念与原理。熟悉NAT的

基本概念、原理及其三种类型，即静态NAT(StaticNAT)、动态地址NAT(PoolcdNAT)、

网络地址端口转换NAPT(Port-LevelNAT)。同时，掌握在防火墙实验系统上配置NAT

的方法，学会推断规则是否生效。

【实验环境及说明】

I.本实验的网络拓扑图如卜。

Webll务•:理麴状况中DMZ会配置蜃务♦未启清足实9功能.

FTPJR务叁:如果防火・实殴系级■务号是在实险*区域网和防火堆区城网边界，购怎在怎在知1［区域同内增加一FTP量务用来做FTP代理实9・

如果防火墙实验不蝴R务■在实段1［区旗网和外网边界，制不IR1增加FTPJK务.

2.实验小组的机器要求将网关设置为防火墙主机与内网的接口网卡IP地址：

54(次地址可由老师事先指定)。

3.实验小组机器要求有WEB浏览器：IE或者者其他。

4.配置结果测试页面通过NAT转换实脸进入页面中的“验证NAT目标地址”提供

的链接能够得到。NAT规则配置结束后，新打开浏览器窗口，通过“验证NAT

目标地址”提供的地址，进入测试结果页面，将显示地址转换后的目的地址。

【预备知识】

I.NAT基本概念、原理及其类型；

2.常用网络客户端的操作：1E的使用，并通过操作，推断防火墙规则是否生效；

3.熟悉常用的无法在互联网上使用的保留IP地址（如：55,

〜55,-55）。深刻懂得网络地址

分段、子网掩码与端口的概念与原理。

【实验内容】

1.在防火墙实验系统匕配置NAT的规则；

2.通过一些常用的网络客户端操作，推断已配置的规则是否有效，对比不一致规

则下，产生的不一致效果。

【实验步骤】

在实验前应先删除防火濡原有的所有规则。

1）登陆防火墙实验系统后，点击左侧导航栏的“NAT转换”，进入“NAT的规则配置”

页面。

2）在打开的页面中，假如有任何规则存在，点击“删除所有规则”；

3）点击“增加一条规则”，进入规则配置的界面。下面对此界面中的一些选项作说

明：源地址、目的地址——地址用IP地址来表示。

4）选择源地址：IP地址，5、目的地址,比如：IP地址,00.

目的端口：ethO。按“增力IT后,就增加了一条NAT规则，这条规则将内部地址5

映射为外部地址00o

增加NAT规则后，能够用浏览器在规则添加前后进行检测（新打开窗口，输入法

入页面中的“验证NAT口标地址”），以推断规则是否有效与起到了什么效果。详见参考

答案。

5）当完成配置规则与检测后，能够重复步骤2）到步骤4）,来配置不一致的规则。

2、普通包过滤实验

【实验目的】

通过实验，熟悉普通包过滤的基本概念与原理，如方向、协议、端口、源地址、目

的地址等等，掌握常用服务所对应的协议与端口。同时，掌握在防火墙实验系统上配置

普通包过滤型防火墙的方法，学会推断规则是否生效。

【实验环境及说明】

同实验一

【预备知识】

1.计算机网络的基础知识，方向、协议、端口、地址等概念与各常用服务所对应

的协议、端口；

2.常用网络客户端的操作：IE的使用，Ftp客户端的使用，ping命令的使用等，

并通过这些操作，推断防火墙规则是否生效；

3.包过滤型防火墙的基本概念，懂得各规则的意义。

【实验内容】

在正确配置NAT规则的前提下（实验一），实验首先配置普通包过滤规则，然后

通过登录外网web页面、登录外网ftp服务器等常用网络客户端操作推断配置的规则是

否生效，具体内容如下：

1.设置一条规则，阻挡所有外网到内网的数据包。使用ping命令检测规则是否生

效。

2.将已经设置的多条规则顺序打乱，分析不一致次序的规则组合会产生如何的作

用，然后通过网络客户端操作检验规则组合产生的效果。

【实验步骤】

第一步：登陆防火墙实验系统后，点击左侧导航栏的“普通包过滤”，在右侧的界面

中选择一个方向进入。此处共有外网＜-＞内网、外网v-＞DMZ与内网＜-＞DMZ3个方向।可

供选择。

第二步：在打开的页面中，假如有任何规则存在，点击“删除所有规则”。

第三步：点击“增加一条规则”，进入规则配置界面2,配置规则。假如对正在配置

।比如，选择“外网＜-＞内网”，就能配苴内网与外网之间的普通包过谑规则。

2此界面中能够选择的项包含：

方向——对什么方向上的包进行过灌；

增加到位置一一将新增的规则放到指定的位置，越靠前优先级越爵（不一致规则顺序可能产生不一致结果）:

的规则小满意，能够点击'唾置”，将配置贝面恢复到默认的状态。

1.设置一条规则，阻挡所有外网到内网的数据包并检测规则有效性。

选择正确的选项，点击“增加''后，增加一条普通包过滤规则，阻挡所有外网到内网

的数据包。比如：

方向：“外网，内网”

增加到位置:1

协议：any

源地址：IP地址,/

源端口:disabled（由于协议选择了any,此处不用选择）

目的地址：1P地址,/

目的端口：disabled（由于协议选择了an、,此处不用选择）

动作:REJECT。

规则添加成功后，能够用各类客户端工具，比如IE、FTP客户端工具、ping等达

行检测，以推断规则是否有效与起到了什么效果。

多条规则设置务必注意每一条规则增加到的位置（即规则的优先级），能够参考下

面的所列的规则组合增加多条规则。

方向:外-＞内方向:外-＞内方向:外，内

增加到位置：1增加到位置：2增加到位置:3

源地址:flD.源地址:/

源端U：any源端口:21源端U：any

目的地址:/目的地址:/目的地址:/

目的端口：any目的端口：any目的端口:any

协议类型:all协议类型:tcp协议类型:all

动作:ACCEPT动作:ACCEPT动作:REJECT

规则添加成功后，能够用IE、FTP客户端工具、ping等进行检测，以推断规则组

合是否有效。

3.将已经设置的多条规则顺序打乱，分析不一致次序的规则组合会产生如何的作用,

并使用IE、FTP客户端工具、ping等进行验证。

【实验思考题】

优先级别源地址源端口目的地址目的端口协议动作

协议---lep、udp与icinp.any表示所有3种协议：

源地址、目的地址一地址能够用IP地址、网络地址、域名与MAC地址能不一致的方式来表示，其中0.0.0D

表示所有地址：

源端口、目的端M一—不一致的服务对应不一致的端口，要选择正确的端口才能过浓相应的服务；

动作---ACCEPT与REJECT,决定是否让一个包通过。

3、状态检测实验

【实验目的】

1.掌握防火墙状态检测机制的原理；

2.掌握防火墙状态检测功能的配置方法；

3.懂得网络连接的各个状态的含义；

4.懂得防火墙的状态表；

5.懂得Ftp两种不一致传输方式的区别，与掌握防火墙对Ftp应用的配置。

【实验环境及说明】

同实验一

【预备知识】

I.网络基础知识；网络基本概念，网络基础设备，TCP/IP协议，UDP协议，1CMP

协议与ARP协议等；

2.常用网络客户端的操作：IE的使用，Ftp客户端的使用，ping命令的使用等；

3.从某主机到某目的网络阻断与否的推断方法；

4.FTP的两种不一致数据传输方式的原理；

5.本实验拓扑图所示网络的工作方式，懂得数据流通的方向；

6.防火墙实验系统的基本使用，而且已经掌握了包史滤功能的有关实验。

【实验内容】

在正确配置NAT规则的前提下（实验一），实验以为例，针对FTP

主动与被动数据传输方式，分别配置普通包过滤规则与状态检测规则，通过登录外网

ftp服务器验证配置的规则有效性，体会防火墙状态检测技术的优越性，最后分析

TCP/UDP/ICMP三种协议状态信息。具体内容如下：

I.设置普通包过滤规贝J,实现即两种不一致的数据传输方式，使用即客户端工

具FlashFXP检测规则是否生效。

2.设置状态检测规则，实现ftp的两种不一致数据传输方式，使用ftp客户端工具

FlashFXP检测规则是否生效。与前面的普通包过滤实验比较，懂得状态检测机

制的优越性。

3.查看防火墙的状态表，分析TCP、UDP与ICMP三种协议的状态信息。

【实验步骤】

第一步：登陆防火墙实验系统后，点击左侧导航栏的“普通包过滤“，在打开的页面

中，假如有任何规则存在，点击“删除所有规则”后开始新规则设置，实现与即.

服务器之间的主动与被动数据传输方式。

1.配置普通包过漉规则，实现FTP的主动与被动传输模式

APORT（主动）模式

1）选择正确的选项，点击“增加”后，增加两条普通包过滤规则，阻挡所有内网到

外网及外网到内网的TCP协议规则。

规则添加成功后，打开ftp客户端，设置ftp客户端默认的传输模式为主动模式,

即PORT。匿名连接lE.,查看FTP客户端软件显示的连接信息。

2）增加两条普通包过渡规则，同意ftp操纵连接。可参考如下规则设置：

方向:内，外方向:外-＞内

增加到位置：1增加到位置：1

源地址:/源地址:flD.

源端U：any源端口:21

目的地址:HD.目的地址:/

目的端口:21目的端口:any

协议类型：tcp协议类型：icp

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开ftp客户端，连接flD.,匿名，查看FTP客户端软

件显示的连接信息。

3）增加两条普通包过渡规则，同意ftp数据连接，可参考如下规则设置：

方向:内,外方向:外「内

增加到位置：1增加到位置：1

源地址:/源地址:

源端口：an、源端口:20

出的地址:ftD.日的地址:/

目的端口:20目的端口：any

协议类型：icp协议类型：icp

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开ftp客户端，连接ftD.,匿名，查看FTP客户端软

件显示的连接信息。

＞PASV（被动）模式

1）选择正确的选项，点击“增加”后，增加两条普通包过滤规则，阻挡所有内网到

iFlashFXP软件，点击选项-＞参数设置-＞连接，设置主动模式或者被动模式。

外网及外网到内网的TCP协议规则。

规则添加成功后，打开flp客户端，设置flp客户端默认的传输模式为被动模式，

即PASV。匿名连接fgitu.edu.cn,查看FTP客户端软件显示的连接信息。

2）增加两条普通包过渡规则，同意ftp操纵连接。

规则添加成功后，打开ftp客户端，连接fS.,匿名，查看FTP客户端软

件显示的连接信息。

3）增加两条普通包过油规则，同意ftp数据连接。可参考如下规则设置：

方向:内-＞外方向：外-＞内

增加到位置：1增加到位置：1

源地址:/源地址:Ms血.

*原端H：an、源端口:1024：65535

目的地址:"dsiM.目的，也址:/

目的端口：1024：65535目的端口：a®

协议类型：tcp协议类型:tcP

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开ftp客户端，连接,匿名，查看FTP客户端软

件显示的连接信息。

第二步：点击左侧导航栏的“状态检测”，假如有任何规则存在，点击“删除所有规

则”后开始新规则设置，实现与ftp.siU服务器之间的主动与被动数据传输方式。

2.配置状态检测规则，实现FTP的主动与被动传输模式

I）选择正确的选项，点击“增加”后，增加两条状态险测规则，阻挡内网到外网及

外网到内网的所有TCP协议、所有状态的规则。可参考如下规则设置：

方向:内，外方向：外，内

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口：any源端口：any

目的地址:/目的地址:/

目的端口：any目的端Lhany

协议类型：tcp协议类型:tcp

状态:NEWESTABL1SHED.状态:NEW.ESTABLISHED.

RELATED,INVALIDRELATED,INVALID

动作:REJECT动作:REJECT

规则添加成功后，打开即客户端，设置即客户端默认的传输模式是PASV,即被

动模式，连接ftD.,匿名，查看FTP客户端软件显示的连接信息。然后，打

开ftp客户端，设置ftp客户端默认的传输模式是PORT,即主动模式,连接flD.,

匿名，查看FTP客户端软件显示的连接信息。

2）增加两条状态检测规则，同意访问内网到外网及外网到内网目的端口为任意、

状态为ESTABLISHED与RELATED的TCP数据包。可参考如下规则设置：

方向:内-＞夕卜方向:外-＞内

增加到位置：1增加到位置：1

源地址:/源地址:/

源端口:any源端口:any

目的地址:/目的地址:/

目的端匚hany目的端口：a呜

协议类型—cp协议类型：icp

状态:ESTABLISHED,状态:ESTABLISHED,

RELATEDRELATED

动作:ACCEPT动作:ACCEPT

规则添加成功后，打开即客户端，设置即客户端默认的传输模式是PASV,即被

动模式，连接fH.,匿名，查看FTP客户端软件显示的连接信息。然后，打

开ftp客户端，设置ftp客户端默认的传输模式是PORT,即生动模式,连接.

匿名，查看FTP客户端软件显示的连接信息。

3）增加一条状态检测规则，同意内网访问外网目的端口为21、状态为NEW、

ESTABLISHED与RELATED的TCP数据包。可参考如下规则设置：

方向：“内网・＞外网'

增加到位置:1

协议：lep

源地址:IP地址,/

目的地址:

目的端口：21

NEW,ESTABLISHED,RELATED

动作:ACCEPT.

规则添加成功后，打开即客户端，设置即客户端默认的传输模式是PASV,即被

动模式，连接,匿名，查看连接信息。然后，打开ftp客户端，设置ftp

客户端默认的传输模式是PORT,即主动模式，连接,匿名，查看连接信

息。

第三步：点击左边导航栏的“状态检测”，在右边打开的页面中选择“状态表”，在拧

开的页面中杳看防火墙系统所有连接的状态并进行分析・。

3.查看分析防火墙的状态表

点击左边导航栏的“状态检测”，在右边打开的页面中选择“状态表”，在打开的页面

中查看当前防火墙系统的所有连接的状态。分别选取一条TCP连接，UDP连接，ICMP

连接，分析各个参数的含义；并分析当前所有连接，熟悉每条连接相应的打开程序，

4说明：假如节前没有ICMP连接，按如下步骤：

（3）刷新状态表页面，即可看到ICMP连接状态。

及其用途。

【实验思考题】

分别用普通包过滤与状态检测设置规则，使ftp客户端仅仅可下列载站点

:〃shuguang:shuguang(g)2:2121的文件。

4、应用代理实验

【实验目的】

1.熟悉防火墙代理级网关的工作原理；

2.掌握配置防火墙代理级网关的方法。

【实验环境及说明】

同实验一。

【预备知识】

I.常用网络客户端的操作：IE的使用，Ftp客户端的使用，Telnet命令的使用等;

2.明白本实验拓扑图所示网络的工作方式，懂得数据流通的方向；

【实验内容】

1.设置FTP代理规则，配置FlashPXP的FTP代理，使用PlashFXP访问FTP服

务器以测试规则是否生效；

2.设置TELNET代理规则，使用开始菜单“运行”命令行工具cmd.exe,输入代理

命令lelnel542323,再测试规则是否生效。

【实验步骤】

1)IE菜单中的工具一＞Internct选项，弹出”:ntcrnct属性”对话框；

2)点击“连接”标签，按“局域网设置”，弹出“局域网(LAN)设置”对话框；

3)在“代理服务器”中勾选“使用代理服务器”，并输入防火墙IP地址及端

U：54:3128,选择“关于本地地址不使用代理服务器”，点击“高

级”按钮，进入“代理服务器设置”页面,在“例外”栏填入54：

4)依次按下“确定”退出设置页面；建议每次实验后清空历史纪录。

插入位置:1插入位置:1

源地址:*源地址:*

动作:deny动作:deny

插入位置:1插入位置:1

源地址:*源地址:*

动作:allow动作:allow

先添加普通包过滤规则:

方向：“外网->内网”

增加到位置：1

协议：any

源地址：IP地址,/

源端口：disabled（由于协议选择了any,此处不用选择）

目的地址:IP地址,/

U的端口：disabled（由于协议选择了any,此处不用选择）

动作:REJECT.

插入位置：1

协议：any

源地址：*

U的地址:*

动作：allow。

（二）FTP代理实验：登陆防火墙实验系统后，点击左侧导航栏的“FTP代理”，在打开

的页面中，假如有任何规则存在，将规则删除后再设置新规则。打开FTP客户端

FlashFXP,配置FTP代理。

1.设置FlashFTP的FTP代理：

1）FlashFXP荚单中的“Options"->“Prefbrences”，在弹出的“Configure

FlashFXP”对话框中选择“Connection”子项，点击“Proxy”，出现代理设置

对话框；

2）点击“Add”按钮，在弹出的"AddProxyServerProfile”中依次输入：

Name：域名

Type：Userftp-user@ftp-host:ftp-port

Host：54Port：2121

User及Password为空,

3）依次按下“OK”按钮，退出即可。

2.测试FTP代理的默认规则：

打开FlashFTP,在地址栏中填入或者ftD2.，观察能否连接,

说明原因；

3.配置FTP代理规则，验证规则有效性

1）以教师分配的用户名与密码进入实验系统，点击左侧导航条的“FTP代

理”链接，显示“FTP应用代理规则表”页面，点击“增加一条新规则”后，

增加一条FTP代理同意规则，同意任意源地址到任意目的地址的访问。

再次连接上述FTP站点，观察能否访问。

插入位置：1

源地址:*

目的地址:30

动作:deny

插入位置：1

源地址:*

日的川1比:：30

动作:allow

规则添加成功后，打开flashFXP,访问与,观察能

否访问；

2）结合普通包过滤规则，进一步加深对FTP代理作用的懂得。清空普通

包过滤与FTP代理规则，分别添加一条普通包过滤拒绝所有数据包规则

与条FTP代理同意规则，可参考如下规则设置：

先添加普通包过滤规则：

方向：“外网->内网”

增加到位置：1

协议:any

源地址：IP地址,/

源端口：disabled（由于协议选择了any,此处不用选择）

目的地址:IP地址,/

目的端口：disabled（由丁协议选择J'any,此处不用选择）

动作:REJECT.

取消flashFXP的FTP代理配置，连接1E.站点,观察能否访问。

再添加FTP代理规则：

插入位置:1

协议：any

源地址:*

目的地址:*

动作:allowo

（三）Telnet代理实验：登陆防火墙实验系统后，点击左侧导航栏的“Telnet代理“，在

打开的页面中，假如有任何规则存在，将规则删除后再设置新规则。

1.测试Telnet代理的默认规则：

打开“开始”菜单的“运行”命令行工具cmd.exe,先输入代理命令telnet54

2323,再输入命令lelnet,观察能否连接，说明原因。

2.配置Telnet代理规则，验证规则有效性：

1）以教师分配的用户名与密码进入实验系统，点击实验系统左侧导航条的

“Telnet代理”链接，显示“TELNET应用代理规则表”页面，点击“增加一

条新规则”后，增加一条Telnet代理同意规则，同意任意源地址到任意目

的地址的访问。使用命令行工具cmd.exe,先输入代理命令telnet

542323>再访问,观察能否访问,

2）按“增加一条新规则”按钮，增加一条Telnet代理拒绝规则，拒绝访问

（IP地址：6H，可参考如下规则设置:

插入位置：I

源地址:*

日的地址:202,120.58.161

动作:deny

规则添加成功后，使用命令行工具cmd.exe,先输入代理命令telnet

542323,再访问,观察能否访问。

3）清空规则，分别添加一条Telnet代理拒绝规则，拒绝访问

（IP地址：6条Tcincl代理同意规则，同意访问

（IP地址：6D河参考如下规则设置：

插入位置:1插入位置:1

源地址:*源地址:*

动作:deny动作:allow

规则添加成功后，使用命令行工具cmd.exe,先输入代理命令telnet

542323,再访问,观察能否访问，说明原因。

4）结合普通包过滤规则，讲一步加深对TELNET代理作用的懂得。清空

普通包过滤与TELNET代理规则，分别添加一条普通包过滤拒绝所有数

据包规则与一条TELNET代理同意规则，可参考如下规则设置：

先添加普通包过滤规则：

方向：“外网〉内网”

增加到位置：1

协议：an、

源地址：IP地址,/

WZ7..disabled（由于协议选择了any,此处不用选择）

目的士也址:IP地址,/

目的端口：disabled（由于协议选择了an、,此处不用选择）

动作:REJECT.

规则添加成功后，使用命令行工具cmd.exe,输入命令telnet,访问

,观察能否访问。

再添力UTELNET代理规则：

插入位置：1

协议：any

源地址:*

目的地址:*

动作：allow。

规则添加成功后，使用命令行工具cmd.exe,先输入代理命令telnet54

2323,冉访问,观察能否访问，说明原因。

5、综合实验

【实验目的】

1.熟悉企业防火墙的通常作用。

2.学会灵活运用防火墙规则设置满足企业需求。

【实验环境及说明】

同实验一、二、三

【预备知识】

1.熟悉基本的企业网络拓扑。

2.熟悉ftp服务被动模式原理与有关代理设置。

3.懂得telnet服务工作原理。

4.熟悉QQ工作原理

【实验内容】

某企业需要在防火墙上设置如下规则以满足企业需要：

1.通过设置防火墙规贝J设置正确的NAT规则

2.通过设置防火墙规贝J将包过滤规则的默认动作为拒绝

3.通过设置防火墙规则打开内网到外网，DMZ到外网的DNS服务

4.通过设置防火墙规则同意所有的客户端以被动模式访问外网的FTP服务。

5.通过设置防火墙规贝J同意内网用户访问DMZ区中IP地址为与所

有外网的Telnet服务。

6.通过设置防火墙规贝］同意内网用户使用QQ服务。

【实验步骤】

1.通过设置正确的NAT规则完成策略1。

2.通过设置正确的普通包过滤与状态检测完成策略2到策略6的。

6、事件审计实验

【实验目的】

通过实验，熟悉防火墙口志的常见格式.学会根据口志，有针对性的检验规则,推断规

则是否生效.掌握常见服务所用的协议及其端U.加深关于tcp等协议数据报文的懂得.加

深对网络通信过程的懂得。

【实验环境及说明】

1.本实验的网络拓扑图如下：

DMZ区；；实验室区域网

WebJH务器:建"状况中DMZ会配置里务•来将於足实验功能.

FTPK务■:如果防火・实险菜级♦务•是在实”区域网和防火地区就网边界，用须在在实殴宣区域同内地lOTTP服务用来做FTP代理实验.

如果防火墙实殴系藐屋务外在实险宣区域网和外同边界，则不需鬟*IDFTP屋务.

2.实验小组的机器要求将网关设置为防火墙主机与内网的接口网卡IP地址：

54（次地址可由老师事先指定）。

3.实验小组机器要求有WEB浏览器：IE或者者其他；要求有Ftp客户端：CuteFtp.

LcapFtp.FlashFXP或者者其他。

【预备知识】

1.计算机网络的基础知识，方向、协议、端口、地址等概念与各常用服务所对应的协

议、端口；

2.常用网络客户端的操作：IE的使用，Flp客户端的使用，ping命令的使用等，并通

过这些操作，推断防火墙规则是否生效；

3.tcp/ip协议懂得，三次握手。

【实验内容】

1.在各个实验系统设置好规则后，通过一些常见的网络客户端操作验证已配置的规则

是否生效.

2.网络客户端操作结束后，查看有关的口志，看看是否与自己的有关操作一致.结合规则,

看是否与预期的效果一致.

【实验步骤】

1.点击左侧导航栏的某一个实验汝口“普通包过滤”

2.在右侧的界面中选择一个方向进入。此处共有外网<->内网、外网<->DMZ与内网

<->DMZ3个方向可供选择。

3.根据实验一的具体要求设置好规则后，利用ping,或者者ie做某个网络客户端操作.

4.点击选择左侧导航栏的”事件审计”选项

5.在右侧界面上选择”包过滤及其状态检测日志”选项，进入普通包过滤H志查询页面.

6.直接点击“查询”按钮，显示该学生所有的普通包过滤日志

7.在“源地址”、“源端口”、“目的地址”、“目的端口”、“协议”中分别填入需查询的条

件，再点击“查询”按钮，则可显示符合查询条件的日志信息。

8.日志查询支持模糊查询，如在“源地址”中输入：202,点击查询后，显示所有源地

址中包含202的日志。

【实验报告要求】

由于本实验属于辅助性的实验，涉及到每一个具体的实验系统。因此本实验不另外

作。而是渗透到每一个具体的实验系统当中。将最后的日志记录在每一个子实验当中.

根据每次自己所设置的规则然后利用某些网络客户端验证规则，最后选择查看有关H志.将H志

的有关选项记录下来.特别是有关自己规则的部分。

二、入侵检测实验系统实验指导书

1、特征匹配检测实验

2、完整性检测实验

3、网络流量分析实验

4、误警分析实验

1、特征匹配检测实验

【实验目的】

1.懂得NIDS的特殊检测原理；

2.熟悉网络特殊事件；

3.懂得入侵检测系统对各类协议“攻击”事件的检测原理;

4.熟悉入侵规则的配置方法。

【实验环境】

1.本实验的网络拓扑图如图1-1所示:

学生机1学生机2学生机3学生机N

图1-1

网络拓扑图

2.学生机与中心服务器通过hub相连。为保证各学生机ip不相互冲突，学生能够

用学号的后3位来设置ip地址，比如某学生的学号后3位为001,则可设置其ip

为192.168.1.1,中心服务器地址为<IDServerIPAddress〉。

3.学生机安装Windows操作系统并安装有DOS攻击工具。要求有WEB浏览器:

IE或者者其他；

【实验预备知识点】

木实验需要如卜.的预备知识:

1.常用网络客户端的操作：IE的使用，telnet命令的使用，ping命令的使用；

2.入侵检测的基本概念及入侵检测系统的基本构成，如数据源，入侵分析，响应处理

等；

3.计算机网络的基础知识，如方向、协议、端口、地址等概念；

4.常用网络协议（如tcp,udp,icmp）的各字段含义。

【实验内容】

本实验需要完成的内容如下：

1.配置入侵检测规则；

2.通过一些常用的网络客户端操作，推断已配置的规则是否有效，并查看相应的入侵

事件，对比不一致规则下，产生的不一致效果。

【实验步骤】

请选择实验类型

NIDS检测实验

多协议检测实验

图1-2特征匹配实验

*NIDS检测实验部分

1.点击“NIDS检测实验”，进入NIDS检测实验界面，如图1-3所示。

NIDS检测实验

设置系统检测项目

查看系统的检测事件

返回

图1-3NIDS检测实验

2.设置系统检测规则

在界面中点击“设置系统检测项目“，进入当前系统检测项目表页面。在此，可查看

当前系统对事件的检测情况及事件特殊判定，如图1-4所示。

当前系统检测项目表

当前系统封下列事件的桂测状况是।

表格中伏石栏显示了系统对大包PR评件与t“n”般务第事件的检测状况，修改系脱检硼t况可技以下步骤进行：

I点击相较事件的“修改乐扰益秘状况”复选报

2..<5$“峰改所选设2T及0，即可修改系统对当时手件的检测伏宓：

3.若修改伏方懦或，页面会出现信误四示.

返回

图1-4检测项目表

比如，系统当前对大包ping事件检测，Telnet服务器事件进行检测。若要使系统的

检测规则变为：对大包ping事件不做检测，但仍对Telnel服务器事件进行检测，则按

下列步骤进行：先点击“大包ping事件”旁的复选框，再点击“修改所选设置”按钮，出现

设置规则成功页面，最后点击“返回”，可重新回到当前系统检测事件表页面。如今，可

看出系统对大包ping事件与Tclnc//////t服务器事件进行检测。重复次步骤可设置不一致

的检测规则0

3.启动入侵事件

启动大包ping事件：点击电脑左下方的“开始”按钮，再点击“运行”，在

输入框中输入大包Ping命令，如：ping30-11200o

启动Telnet服务器事件：点击