信息安全实验手册模板.doc

《信息安全实验手册模板.doc》由会员分享，可在线阅读，更多相关《信息安全实验手册模板.doc（358页珍藏版）》请在咨信网上搜索。

信息安全实验手册模板 352 资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。 信息安全综合实验系统 实 验 指 导 书 上海交通大学信息安全工程学院 目 录 一、 防火墙实验系统实验指导书 1 1、 NAT转换实验 2 2、 普通包过滤实验 4 3、 状态检测实验 7 4、 应用代理实验 12 5、 综合实验 18 6、 事件审计实验 19 二、 入侵检测实验系统实验指导书 21 1、 特征匹配检测实验 22 2、 完整性检测实验 32 3、 网络流量分析实验 36 4、 误警分析实验 41 三、 安全审计实验系统指导书 47 1、 文件审计实验 48 2、 网络审计实验 53 3、 打印审计实验 57 4、 日志监测实验 61 5、 拨号审计实验 64 6、 审计跟踪实验 68 7、 主机监管实验 73 四、 病毒实验系统实验指导书 76 1、 网络炸弹实验 77 2、 万花谷病毒实验 79 3、 新欢乐时光病毒实验 81 4、 美丽莎病毒实验 86 5、 NO.1病毒实验 90 6、 PE病毒实验 92 五、 PKI系统实验指导书 97 1、 证书申请实验 98 2、 用户申请管理实验 100 3、 证书管理实验 103 4、 信任管理实验 106 5、 交叉认证实验 109 6、 证书应用实验 112 7、 SSL应用实验 115 六、 攻防实验系统指导书 120 1、 RPCDCOM堆栈溢出实验 121 2、 端口扫描实验 127 3、 漏洞扫描实验 132 4、 Unix口令实验破解 137 5、 Windows口令破解实验 140 6、 远程控制实验 147 7、 灰鸽子远程控制 153 七、 密码实验系统指导书 156 1、 DES单步加密实验 156 2．DES算法实验 156 3、 3DES算法实验 156 4、 AES算法实验 156 5、 MD5算法实验 156 6、 SHA-1算法实验 156 7、 RSA算法实验 156 8、 DSA数字签名实验 156 八、 IPSEC VPN实验系统实验指导书 156 1、 VPN安全性实验 156 2、 VPN IKE认证实验 156 3、 VPN模式比较实验 156 九、 多级安全访问控制系统实验指导书 156 实验环境介绍 156 1、 PMI试验 156 2、 XACML系统实验 156 3、 模型实验 156 4、 RBAC系统实验 156 一、 防火墙实验系统实验指导书 1、 NAT转换实验 2、 普通包过滤实验 3、 状态检测实验 4、 应用代理实验 5、 综合实验 6、 事件审计实验 1、 NAT转换实验 【实验目的】 经过实验, 深刻理解网络地址分段、 子网掩码和端口的概念与原理。了解NAT的基本概念、 原理及其三种类型, 即静态NAT(Static NAT)、 动态地址NAT(Pooled NAT)、 网络地址端口转换NAPT( Port－Level NAT) 。同时, 掌握在防火墙实验系统上配置NAT的方法, 学会判断规则是否生效。 【实验环境及说明】 1. 本实验的网络拓扑图如下。 2. 实验小组的机器要求将网关设置为防火墙主机和内网的接口网卡IP地址: 192.168.1.254( 次地址可由老师事先指定) 。 3. 实验小组机器要求有WEB浏览器: IE或者其它。 4. 配置结果测试页面经过NAT转换实验进入页面中的”验证NAT目标地址”提供的链接能够得到。NAT规则配置结束后, 新打开浏览器窗口, 经过”验证NAT目标地址”提供的地址, 进入测试结果页面, 将显示地址转换后的目的地址。 【预备知识】 1. NAT基本概念、 原理及其类型; 2. 常见网络客户端的操作: IE的使用, 并经过操作, 判断防火墙规则是否生效; 3. 了解常见的无法在互联网上使用的保留IP地址( 如: 10.0.0.0~10.255.255.255, 172.16.0.0~172.16.255.255, 192.168.0.0~192.168.255.255) 。深刻理解网络地址分段、 子网掩码和端口的概念与原理。 【实验内容】 1. 在防火墙实验系统上, 配置NAT的规则; 2. 经过一些常见的网络客户端操作, 判断已配置的规则是否有效, 对比不同规则下, 产生的不同效果。 【实验步骤】 在每次实验前, 都要打开浏览器, 输入地址: , 在打开的页面中输入学号和密码, 登陆防火墙实验系统。 在实验前应先删除防火墙原有的所有规则。 1) 登陆防火墙实验系统后, 点击左侧导航栏的”NAT转换”, 进入”NAT的规则配置”页面。 2) 在打开的页面中, 如果有任何规则存在, 点击”删除所有规则”; 3) 点击”增加一条规则”, 进入规则配置的界面。下面对此界面中的一些选项作说明: 源地址、 目的地址——地址用IP地址来表示。 4) 选择源地址: IP地址, 192.168.1.35、 目的地址, 比如: IP地址, 196.168.123.200、 目的端口: eth0。按”增加”后, 就增加了一条NAT规则, 这条规则将内部地址192.168.1.35映射为外部地址196.168.123.200。 增加NAT规则后, 能够用浏览器在规则添加前后进行检测( 新打开窗口, 输入进入页面中的”验证NAT目标地址”) , 以判断规则是否有效以及起到了什么效果。详见参考答案。 5) 当完成配置规则和检测后, 能够重复步骤2) 到步骤4) , 来配置不同的规则。 2、 普通包过滤实验 【实验目的】 经过实验, 了解普通包过滤的基本概念和原理, 如方向、 协议、 端口、 源地址、 目的地址等等, 掌握常见服务所对应的协议和端口。同时, 掌握在防火墙实验系统上配置普通包过滤型防火墙的方法, 学会判断规则是否生效。 【实验环境及说明】 同实验一 【预备知识】 1. 计算机网络的基础知识, 方向、 协议、 端口、 地址等概念以及各常见服务所对应的协议、 端口; 2. 常见网络客户端的操作: IE的使用, Ftp客户端的使用, ping命令的使用等, 并经过这些操作, 判断防火墙规则是否生效; 3. 包过滤型防火墙的基本概念, 理解各规则的意义。 【实验内容】 在正确配置NAT规则的前提下( 实验一) , 实验首先配置普通包过滤规则, 然后经过登录外网web页面、 登录外网ftp服务器等常见网络客户端操作判断配置的规则是否生效, 具体内容如下: 1. 设置一条规则, 阻挡所有外网到内网的数据包。采用ping命令检测规则是否生效。 2. 设置多条规则, 使本机只能访问外网中和的服务。采用浏览器和FTP工具测试规则是否生效。 3. 将已经设置的多条规则顺序打乱, 分析不同次序的规则组合会产生怎样的作用, 然后经过网络客户端操作检验规则组合产生的效果。 【实验步骤】 在每次实验前, 都要打开浏览器, 输入地址: , 在打开的页面中输入学号和密码, 登陆防火墙实验系统。 第一步: 登陆防火墙实验系统后, 点击左侧导航栏的”普通包过滤”, 在右侧的界面中选择一个方向进入。此处共有外网<->内网、 外网<->DMZ和内网<->DMZ 3个方向例如, 选择”外网<->内网”, 就能配置内网和外网之间的普通包过滤规则。 可供选择。 第二步: 在打开的页面中, 如果有任何规则存在, 点击”删除所有规则”。 第三步: 点击”增加一条规则”, 进入规则配置界面此界面中能够选择的项包括: 方向——对什么方向上的包进行过滤; 增加到位置——将新增的规则放到指定的位置, 越靠前优先级越高( 不同规则顺序可能产生不同结果) ; 协议——tcp、 udp和icmp, any表示所有3种协议; 源地址、 目的地址——地址能够用IP地址、 网络地址、 域名以及MAC地址能不同的方式来表示, 其中0.0.0.0表示所有地址; 源端口、 目的端口——不同的服务对应不同的端口, 要选择正确的端口才能过滤相应的服务; 动作——ACCEPT和REJECT, 决定是否让一个包经过。 , 配置规则。如果对正在配置的规则不满意, 能够点击”重置”, 将配置页面恢复到默认的状态。 1. 设置一条规则, 阻挡所有外网到内网的数据包并检测规则有效性。 选择正确的选项, 点击”增加”后, 增加一条普通包过滤规则, 阻挡所有外网到内网的数据包。例如: 方向: ”外网->内网” 增加到位置: 1 协议: any 源地址: IP地址, 0.0.0.0/0.0.0.0 源端口: disabled( 由于协议选择了any, 此处不用选择) 目的地址: IP地址, 0.0.0.0/0.0.0.0 目的端口: disabled( 由于协议选择了any, 此处不用选择) 动作: REJECT。 规则添加成功后, 能够用各种客户端工具, 例如IE、 FTP客户端工具、 ping等进行检测, 以判断规则是否有效以及起到了什么效果。 2. 设置多条规则, 使本机只能访问外网中和提供的服务, 检测规则组合有效性。 多条规则设置必须注意每一条规则增加到的位置( 即规则的优先级) , 能够参考下面的所列的规则组合增加多条规则。 方向: 外->内 方向: 外->内 方向: 外->内 增加到位置: 1 增加到位置: 2 增加到位置: 3 源地址: 源地址: 源地址: 0.0.0.0/0.0.0.0 源端口: any 源端口: 21 源端口: any 目的地址: 0.0.0.0/0.0.0.0 目的地址: 0.0.0.0/0.0.0.0 目的地址: 0.0.0.0/0.0.0.0 目的端口: any 目的端口: any 目的端口: any 协议类型: all 协议类型: tcp 协议类型: all 动作: ACCEPT 动作: ACCEPT 动作: REJECT 规则添加成功后, 能够用IE、 FTP客户端工具、 ping等进行检测, 以判断规则组合是否有效。 3. 将已经设置的多条规则顺序打乱, 分析不同次序的规则组合会产生怎样的作用, 并使用IE、 FTP客户端工具、 ping等进行验证。 【实验思考题】 某机构的网络能够接受来自Internet的访问。有只在端口80上提供服务的Web服务器; 只在端口25上提供服务的邮件服务器( 接收发来的所有邮件并发送所有要发出的邮件) ; 允许内部用户使用Http、 Https、 Ftp、 Telnet、 Ssh服务。请制定合适的包过滤防火墙规则( 要求以列表的形式给出, 能够抽象表示IP地址, 比如”源IP”: 内部网络) 。 优先级别 源地址 源端口 目的地址 目的端口 协议 动作 3、 状态检测实验 【实验目的】 1. 掌握防火墙状态检测机制的原理; 2. 掌握防火墙状态检测功能的配置方法; 3. 理解网络连接的各个状态的含义; 4. 理解防火墙的状态表; 5. 理解Ftp两种不同传输方式的区别, 以及掌握防火墙对Ftp应用的配置。 【实验环境及说明】 同实验一 【预备知识】 1. 网络基础知识: 网络基本概念, 网络基础设备, TCP/IP协议, UDP协议, ICMP协议和ARP协议等; 2. 常见网络客户端的操作: IE的使用, Ftp客户端的使用, ping命令的使用等; 3. 从某主机到某目的网络阻断与否的判断方法; 4. FTP的两种不同数据传输方式的原理; 5. 本实验拓扑图所示网络的工作方式, 理解数据流通的方向; 6. 防火墙实验系统的基本使用, 而且已经掌握了包过滤功能的相关实验。 【实验内容】 在正确配置NAT规则的前提下( 实验一) , 实验以为例, 针对FTP主动和被动数据传输方式, 分别配置普通包过滤规则和状态检测规则, 经过登录外网ftp服务器验证配置的规则有效性, 体会防火墙状态检测技术的优越性, 最后分析TCP/UDP/ICMP三种协议状态信息。具体内容如下: 1. 设置普通包过滤规则, 实现ftp两种不同的数据传输方式, 采用ftp客户端工具FlashFXP检测规则是否生效。 2. 设置状态检测规则, 实现ftp的两种不同数据传输方式, 采用ftp客户端工具FlashFXP检测规则是否生效。与前面的普通包过滤实验比较, 理解状态检测机制的优越性。 3. 查看防火墙的状态表, 分析TCP、 UDP和ICMP三种协议的状态信息。 【实验步骤】 在每次实验前, 打开浏览器, 输入地址: , 在打开的页面中输入学号和密码, 登陆防火墙教学实验系统。 第一步: 登陆防火墙实验系统后, 点击左侧导航栏的”普通包过滤”, 在打开的页面中, 如果有任何规则存在, 点击”删除所有规则”后开始新规则设置, 实现与服务器之间的主动和被动数据传输方式。 1. 配置普通包过滤规则, 实现FTP的主动和被动传输模式 Ø PORT( 主动) 模式 1) 选择正确的选项, 点击”增加”后, 增加两条普通包过滤规则, 阻挡所有内网到外网及外网到内网的TCP协议规则。 规则添加成功后, 打开ftp客户端, 设置ftp客户端默认的传输模式为主动模式, 即PORTFlashFXP软件, 点击选项->参数设置->连接, 设置主动模式或被动模式。 。匿名连接, 查看FTP客户端软件显示的连接信息。 2) 增加两条普通包过滤规则, 允许ftp控制连接。可参考如下规则设置: 方向: 内->外 方向: 外->内 增加到位置: 1 增加到位置: 1 源地址: 0.0.0.0/0.0.0.0 源地址: 源端口: any 源端口: 21 目的地址: 目的地址: 0.0.0.0/0.0.0.0 目的端口: 21 目的端口: any 协议类型: tcp 协议类型: tcp 动作: ACCEPT 动作: ACCEPT 规则添加成功后, 打开ftp客户端, 连接, 匿名, 查看FTP客户端软件显示的连接信息。 3) 增加两条普通包过滤规则, 允许ftp数据连接。可参考如下规则设置: 方向: 内->外 方向: 外->内 增加到位置: 1 增加到位置: 1 源地址: 0.0.0.0/0.0.0.0 源地址: 源端口: any 源端口: 20 目的地址: 目的地址: 0.0.0.0/0.0.0.0 目的端口: 20 目的端口: any 协议类型: tcp 协议类型: tcp 动作: ACCEPT 动作: ACCEPT 规则添加成功后, 打开ftp客户端, 连接, 匿名, 查看FTP客户端软件显示的连接信息。 Ø PASV( 被动) 模式 1) 选择正确的选项, 点击”增加”后, 增加两条普通包过滤规则, 阻挡所有内网到外网及外网到内网的TCP协议规则。 规则添加成功后, 打开ftp客户端, 设置ftp客户端默认的传输模式为被动模式, 即PASV。匿名连接, 查看FTP客户端软件显示的连接信息。 2) 增加两条普通包过滤规则, 允许ftp控制连接。 规则添加成功后, 打开ftp客户端, 连接, 匿名, 查看FTP客户端软件显示的连接信息。 3) 增加两条普通包过滤规则, 允许ftp数据连接。可参考如下规则设置: 方向: 内->外 方向: 外->内 增加到位置: 1 增加到位置: 1 源地址: 0.0.0.0/0.0.0.0 源地址: 源端口: any 源端口: 1024: 65535 目的地址: 目的地址: 0.0.0.0/0.0.0.0 目的端口: 1024: 65535 目的端口: any 协议类型: tcp 协议类型: tcp 动作: ACCEPT 动作: ACCEPT 规则添加成功后, 打开ftp客户端, 连接, 匿名, 查看FTP客户端软件显示的连接信息。 第二步: 点击左侧导航栏的”状态检测”, 如果有任何规则存在, 点击”删除所有规则”后开始新规则设置, 实现与服务器之间的主动和被动数据传输方式。 2. 配置状态检测规则, 实现FTP的主动和被动传输模式 1) 选择正确的选项, 点击”增加”后, 增加两条状态检测规则, 阻挡内网到外网及外网到内网的所有TCP协议、 所有状态的规则。可参考如下规则设置: 方向: 内->外 方向: 外->内 增加到位置: 1 增加到位置: 1 源地址: 0.0.0.0/0.0.0.0 源地址: 0.0.0.0/0.0.0.0 源端口: any 源端口: any 目的地址: 0.0.0.0/0.0.0.0 目的地址: 0.0.0.0/0.0.0.0 目的端口: any 目的端口: any 协议类型: tcp 协议类型: tcp 状态: NEW,ESTABLISHED, RELATED,INVALID 状态: NEW,ESTABLISHED, RELATED,INVALID 动作: REJECT 动作: REJECT 规则添加成功后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PASV, 即被动模式, 连接, 匿名, 查看FTP客户端软件显示的连接信息。然后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PORT, 即主动模式, 连接, 匿名, 查看FTP客户端软件显示的连接信息。 2) 增加两条状态检测规则, 允许访问内网到外网及外网到内网目的端口为任意、 状态为ESTABLISHED和RELATED的TCP数据包。可参考如下规则设置: 方向: 内->外 方向: 外->内 增加到位置: 1 增加到位置: 1 源地址: 0.0.0.0/0.0.0.0 源地址: 0.0.0.0/0.0.0.0 源端口: any 源端口: any 目的地址: 0.0.0.0/0.0.0.0 目的地址: 0.0.0.0/0.0.0.0 目的端口: any 目的端口: any 协议类型: tcp 协议类型: tcp 状态: ESTABLISHED, RELATED 状态: ESTABLISHED, RELATED 动作: ACCEPT 动作: ACCEPT 规则添加成功后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PASV, 即被动模式, 连接, 匿名, 查看FTP客户端软件显示的连接信息。然后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PORT, 即主动模式, 连接, 匿名, 查看FTP客户端软件显示的连接信息。 3) 增加一条状态检测规则, 允许内网访问外网目的端口为21、 状态为NEW、 ESTABLISHED和RELATED的TCP数据包。可参考如下规则设置: 方向: ”内网->外网” 增加到位置: 1 协议: tcp 源地址: IP地址, 0.0.0.0/0.0.0.0 目的地址: 目的端口: 21 状态: NEW,ESTABLISHED,RELATED 动作: ACCEPT。 规则添加成功后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PASV, 即被动模式, 连接, 匿名, 查看连接信息。然后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PORT, 即主动模式, 连接, 匿名, 查看连接信息。 第三步: 点击左边导航栏的”状态检测”, 在右边打开的页面中选择”状态表”, 在打开的页面中查看防火墙系统所有连接的状态并进行分析。 3. 查看分析防火墙的状态表 点击左边导航栏的”状态检测”, 在右边打开的页面中选择”状态表”, 在打开的页面中查看当前防火墙系统的所有连接的状态。分别选取一条TCP连接, UDP连接, ICMP连接说明: 如果当前没有ICMP连接, 按如下步骤: ( 1) 用普通包过滤设立一条拒绝到的ICMP协议包; ( 2) 打开DOS窗口, 输入ping –n 10 -t; ( 3) 刷新状态表页面, 即可看到ICMP连接状态。 , 分析各个参数的含义; 并分析当前所有连接, 了解每条连接相应的打开程序, 及其用途。 【实验思考题】 分别用普通包过滤和状态检测设置规则, 使ftp客户端仅仅能够下载站点ftp://shuguang::2121的文件。 4、 应用代理实验 【实验目的】 1. 了解防火墙代理级网关的工作原理; 2. 掌握配置防火墙代理级网关的方法。 【实验环境及说明】 同实验一。 【预备知识】 1. 常见网络客户端的操作: IE的使用, Ftp客户端的使用, Telnet命令的使用等; 2. 明白本实验拓扑图所示网络的工作方式, 理解数据流通的方向; 3. 掌握HTTP代理和FTP代理的配置; 4. 掌握HTTP代理、 FTP代理和Telnet代理的工作原理, 明确它们各自的通信过程, 简单的说, 代理均是起到一个中继的作用。 【实验内容】 在正确配置NAT规则的前提下( 实验一) , 配置好HTTP代理和FTP代理后, 分别配置HTTP代理规则、 FTP代理规则和Telnet代理规则, 然后配置好IE的HTTP代理和FlashFXP的FTP代理, 再经过登录外网web页面、 登录外网ftp服务器等常见网络客户端操作判断配置的规则是否生效, 具体内容如下: 1. 设置HTTP代理规则, 配置IE的HTTP代理, 采用浏览器访问外网以测试规则是否生效; 2. 设置FTP代理规则, 配置FlashFXP的FTP代理, 采用FlashFXP访问FTP服务器以测试规则是否生效; 3. 设置TELNET代理规则, 采用开始菜单”运行”命令行工具cmd.exe, 输入代理命令telnet 192.168.1.254 2323, 再测试规则是否生效。 【实验步骤】 在每次实验前, 都要打开浏览器, 输入地址: , 在打开的页面中输入学号和密码, 登陆防火墙实验系统。 ( 一) HTTP代理实验: 登陆防火墙实验系统后, 点击左侧导航栏的”HTTP代理”, 在打开的页面中, 如果有任何规则存在, 将规则删除后再设置新规则。打开IE浏览器, 配置HTTP代理。 1. 设置IE的HTTP代理 1） IE菜单中的工具－>Internet选项, 弹出”Internet属性”对话框; 2） 点击”连接”标签, 按”局域网设置”, 弹出”局域网(LAN)设置”对话框; 3） 在”代理服务器”中勾选”使用代理服务器”, 并输入防火墙IP地址及端口: 192.168.1.254:3128, 选择”对于本地地址不使用代理服务器”, 点击”高级”按钮, 进入”代理服务器设置”页面, 在”例外”栏填入192.168.1.254; 4） 依次按下”确定”退出设置页面; 建议每次实验后清空历史纪录。 2. 测试HTTP代理的默认规则 打开IE, 在地址栏中输入任意地址, 例如、 和等, 观察能否访问, 并说明原因; 3. 配置HTTP代理规则, 验证规则有效性 1） 以教师分配的用户名和密码进入实验系统, 点击左侧导航条的”HTTP代理”链接, 进入”HTTP应用代理规则表”页面, 点击”增加一条新规则”后, 增加一条HTTP代理规则允许规则, 允许任意源地址到任意目的地址的访问。再次浏览上述网址, 观察能否访问。 2） 清空规则, 增加两条HTTP代理拒绝规则, 拒绝访问和, 可参考如下规则设置: 插入位置: 1 插入位置: 1 源地址: * 源地址: * 目的地址: 目的地址: 动作: deny 动作: deny 规则添加成功后, 打开IE浏览器, 访问、 和, 观察能否访问。 3） 再增加两条HTTP代理允许规则, 允许访问和, 可参考如下规则设置: 插入位置: 1 插入位置: 1 源地址: * 源地址: * 目的地址: 目的地址: 动作: allow 动作: allow 规则添加成功后, 打开IE浏览器, 访问、 和, 观察能否访问, 说明原因。 4） 结合普通包过滤规则, 进一步加深对HTTP代理作用的理解。清空普通包过滤和HTTP代理规则, 分别添加一条普通包过滤拒绝因此数据包规则和一条HTTP代理允许规则, 可参考如下规则设置: 先添加普通包过滤规则: 方向: ”外网->内网” 增加到位置: 1 协议: any 源地址: IP地址, 0.0.0.0/0.0.0.0 源端口: disabled( 由于协议选择了any, 此处不用选择) 目的地址: IP地址, 0.0.0.0/0.0.0.0 目的端口: disabled( 由于协议选择了any, 此处不用选择) 动作: REJECT。 取消IE的HTTP代理配置, 在地址栏中输入, 观察能否访问。 再添加HTTP代理允许规则: 插入位置: 1 协议: any 源地址: * 目的地址: * 动作: allow。 设置IE的HTTP代理, 使用防火墙IP地址及端口: 192.168.1.254:8008。再次浏览, 观察能否访问。根据两次实验结果, 分析使用HTTP代理对普通包过滤规则的影响及原因。所有HTTP实验结束以后, 取消IE的HTTP代理, 保证能够正常访问实验系统页面。 ( 二) FTP代理实验: 登陆防火墙实验系统后, 点击左侧导航栏的”FTP代理”, 在打开的页面中, 如果有任何规则存在, 将规则删除后再设置新规则。打开FTP客户端FlashFXP, 配置FTP代理。 1. 设置FlashFTP的FTP代理: 1） FlashFXP菜单中的”Options”->”Preferences”, 在弹出的”Configure FlashFXP”对话框中选择”Connection”子项, 点击”Proxy”, 出现代理设置对话框; 2） 点击”Add”按钮, 在弹出的”Add Proxy Server Profile”中依次输入: Name: 域名 Type: User ftp-user@ftp-host:ftp-port Host: 192.168.1.254 Port: 2121 User及Password为空, 3） 依次按下”OK”按钮, 退出即可。 2. 测试FTP代理的默认规则: 打开FlashFTP, 在地址栏中填入或 ,观察能否连接, 说明原因; 3. 配置FTP代理规则, 验证规则有效性 1） 以教师分配的用户名和密码进入实验系统, 点击左侧导航条的”FTP代理”链接, 显示”FTP应用代理规则表”页面, 点击”增加一条新规则”后, 增加一条FTP代理允许规则, 允许任意源地址到任意目的地址的访问。再次连接上述FTP站点, 观察能否访问。 2） 增加一条FTP代理拒绝规则, 拒绝访问 (IP地址:202.38.97.230), 可参考如下规则设置: 插入位置: 1 源地址: * 目的地址: 202.38.97.230 动作: deny 规则添加成功后, 打开flashFXP, 访问 (IP地址:202.38.97.230)和 (IP地址:202.120.58.162), 观察能否访问; 3） 清空规则, 增加一条FTP代理允许规则, 允许访问 (IP地址:202.38.97.230), 可参考如下规则设置: 插入位置: 1 源地址: * 目的地址: 202.38.97.230 动作: allow 规则添加成功后, 打开flashFXP, 访问和 , 观察能否访问; 4） 结合普通包过滤规则, 进一步加深对FTP代理作用的理解。清空普通包过滤和FTP代理规则, 分别添加一条普通包过滤拒绝所有数据包规则和一条FTP代理允许规则, 可参考如下规则设置: 先添加普通包过滤规则: 方向: ”外网->内网” 增加到位置: 1 协议: any 源地址: IP地址, 0.0.0.0/0.0.0.0 源端口: disabled( 由于协议选择了any, 此处不用选择) 目的地址: IP地址, 0.0.0.0/0.0.0.0 目的端口: disabled( 由于协议选择了any, 此处不用选择) 动作: REJECT。 取消flashFXP的FTP代理配置, 连接 站点 , 观察能否访问。 再添加FTP代理规则: 插入位置: 1 协议: any 源地址: * 目的地址: * 动作: allow。 设置flashFXP的FTP代理配置, 连接 站点, 观察能否访问。根据两次实验结果, 分析使用FTP代理对普通包过滤规则的影响及原因。所有FTP实验结束以后, 取消flashFXP的FTP代理。 ( 三) Telnet代理实验: 登陆防火墙实验系统后, 点击左侧导航栏的”Telnet代理”, 在打开的页面中, 如果有任何规则存在, 将规则删除后再设置新规则。 1. 测试Telnet代理的默认规则: 打开”开始”菜单的”运行”命令行工具cmd.exe, 先输入代理命令telnet 192.168.1.254 2323, 再输入命令telnet , 观察能否连接, 说明原因。 2. 配置Telnet代理规则, 验证规则有效性: 1） 以教师分配的用户名和密码进入实验系统, 点击实验系统左侧导航条的”Telnet代理”链接, 显示”TELNET应用代理规则表”页面, 点击”增加一条新规则”后, 增加一条Telnet代理接受规则, 允许任意源地址到任意目的地址的访问。使用命令行工具cmd.exe, 先输入代理命令telnet 192.168.1.254 2323, 再访问, 观察能否访问。 2） 按”增加一条新规则”按钮, 增加一条Telnet代理拒绝规则, 拒绝访问( IP地址: 202.120.58.161) ,可参考如下规则设置: 插入位置: 1 源地址: * 目的地址: 202.120.58.161 动作: deny 规则添加成功后, 使用命令行工具cmd.exe, 先输入代理命令telnet 192.168.1.254 2323, 再访问, 观察能否访问。 3） 清空规则, 分别添加一条Telnet代理拒绝规则, 拒绝访问( IP地址: 202.120.58.161) , 一条Telnet代理接受规则, 接受访问( IP地址: 202.120.58.161) ,可参考如下规则设置: 插入位置: 1 插入位置: 1 源地址: * 源地址: * 目的地址: 202.120.58.161 目的地址: 202.120.58.161 动作: deny 动作: allow 规则添加成功后, 使用命令行工具cmd.exe, 先输入代理命令telnet 192.168.1.254 2323, 再访问, 观察能否访问, 说明原因。 4） 结合普通包过滤规则, 进一步加深对TELNET代理作用的理解。清空普通包过滤和TELNET代理规则, 分别添加一条普通包过滤拒绝所有数据包规则和一条TELNET代理允许规则, 可参考如下规则设置: 先添加普通包过滤规则: 方向: ”外网->内网” 增加到位置: 1 协议: any 源地址: IP地址, 0.0.0.0/0.0.0.0 源端口: disabled( 由于协议选择了any, 此处不用选择) 目的地址: IP地址, 0.0.0.0/0.0.0.0 目的端口: disabled( 由于协议选择了any, 此处不用选择) 动作: REJECT。 规则添加成功后, 使用命令行工具cmd.exe, 输入命令telnet , 访问, 观察能否访问。 再添加TELNET代理规则: 插入位置: 1 协议: any 源地址: * 目的地址: * 动作: allow。 规则添加成功后, 使用命令行工具cmd.exe, 先输入代理命令telnet 192.168.1.254 2323, 再访问, 观察能否访问, 说明原因。 5、 综合实验 【实验目的】 1. 了解企业防火墙的一般作用。 2. 学会灵活运用防火墙规则设置满足企业需求。 【实验环境及说明】 同实验一、 二、 三 【预备知识】 1. 了解基本的企业网络拓扑。 2. 了解ftp服务被动模式原理与相关代理设置。 3. 理解telnet服务工作原理。 4. 理解http访问以及http代理工作原理。 5. 了解QQ工作原理 【实验内容】 某企业需要在防火墙上设置如下规则以满足企业需要: 1. 经过设置防火墙规则设置正确的NAT规则 2. 经过设置防火墙规则将包过滤规则的默认动作为拒绝 3. 经过设置防火墙规则打开内网到外网, DMZ到外网的DNS服务 4. 经过设置防火墙规则允许所有的客户端以被动模式访问外网的FTP服务。 5. 经过设置防火墙规则允许内网用户访问DMZ区中IP地址为223.120.16.1和所有外网的Telnet服务。 6. 经过设置防火墙规则允许内网用户使用QQ服务。 【实验步骤】 1. 经过设置正确的