《信息安全实验手册.docx》由会员分享,可在线阅读,更多相关《信息安全实验手册.docx(221页珍藏版)》请在三一办公上搜索。
1、 信息安全综合实验系统 实 验 指 导 书上海交通大学信息安全工程学院2008年目 录一、防火墙实验系统实验指导书11、NAT转换实验22、普通包过滤实验43、状态检测实验74、应用代理实验125、综合实验186、事件审计实验19二、入侵检测实验系统实验指导书211、特征匹配检测实验222、完整性检测实验323、网络流量分析实验364、误警分析实验41三、安全审计实验系统指导书471、文件审计实验482、网络审计实验533、打印审计实验574、日志监测实验615、拨号审计实验646、审计跟踪实验687、主机监管实验73四、病毒实验系统实验指导书761、网络炸弹实验772、万花谷病毒实验793、
2、新欢乐时光病毒实验814、美丽莎病毒实验865、NO.1病毒实验906、PE病毒实验92五、PKI系统实验指导书971、证书申请实验982、用户申请管理实验1003、证书管理实验1034、信任管理实验1065、交叉认证实验1096、证书应用实验1127、SSL应用实验115六、攻防实验系统指导书1201、RPCDCOM堆栈溢出实验1212、端口扫描实验1273、漏洞扫描实验1324、Unix口令实验破解1375、Windows口令破解实验1406、远程控制实验1477、灰鸽子远程控制153七、密码实验系统指导书1561、DES单步加密实验1562DES算法实验1563、3DES算法实验1564
3、、AES算法实验1565、MD5算法实验1566、SHA-1算法实验1567、RSA算法实验1568、DSA数字签名实验156八、IPSEC VPN实验系统实验指导书1561、VPN安全性实验1562、VPN IKE认证实验1563、VPN模式比较实验156九、多级安全访问控制系统实验指导书156实验环境介绍1561、PMI试验1562、XACML系统实验1563、模型实验1564、RBAC系统实验156一、 防火墙实验系统实验指导书1、 NAT转换实验2、 普通包过滤实验3、 状态检测实验4、 应用代理实验5、 综合实验6、 事件审计实验1、NAT转换实验【实验目的】通过实验,深刻理解网络地
4、址分段、子网掩码和端口的概念与原理。了解NAT的基本概念、原理及其三种类型,即静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT(PortLevel NAT)。同时,掌握在防火墙实验系统上配置NAT的方法,学会判断规则是否生效。【实验环境及说明】1. 本实验的网络拓扑图如下。2. 实验小组的机器要求将网关设置为防火墙主机和内网的接口网卡IP地址:192.168.1.254(次地址可由老师事先指定)。3. 实验小组机器要求有WEB浏览器:IE或者其他。4. 配置结果测试页面通过NAT转换实验进入页面中的“验证NAT目标地址”提供的链接可以得到。N
5、AT规则配置结束后,新打开浏览器窗口,通过“验证NAT目标地址”提供的地址,进入测试结果页面,将显示地址转换后的目的地址。【预备知识】1. NAT基本概念、原理及其类型;2. 常用网络客户端的操作:IE的使用,并通过操作,判断防火墙规则是否生效;3. 了解常用的无法在互联网上使用的保留IP地址(如:10.0.0.010.255.255.255,172.16.0.0172.16.255.255, 192.168.0.0192.168.255.255)。深刻理解网络地址分段、子网掩码和端口的概念与原理。【实验内容】1. 在防火墙实验系统上,配置NAT的规则;2. 通过一些常用的网络客户端操作,判断
6、已配置的规则是否有效,对比不同规则下,产生的不同效果。【实验步骤】在每次实验前,都要打开浏览器,输入地址:http:/192.168.1.254/firewall/jsp/main,在打开的页面中输入学号和密码,登陆防火墙实验系统。在实验前应先删除防火墙原有的所有规则。1)登陆防火墙实验系统后,点击左侧导航栏的“NAT转换”,进入“NAT的规则配置”页面。2)在打开的页面中,如果有任何规则存在,点击“删除所有规则”;3)点击“增加一条规则”,进入规则配置的界面。下面对此界面中的一些选项作说明:源地址、目的地址地址用IP地址来表示。4)选择源地址:IP地址,192.168.1.35、目的地址,比
7、如:IP地址,196.168.123.200、目的端口:eth0。按“增加”后,就增加了一条NAT规则,这条规则将内部地址192.168.1.35映射为外部地址196.168.123.200。增加NAT规则后,可以用浏览器在规则添加前后进行检测(新打开窗口,输入进入页面中的“验证NAT目标地址”),以判断规则是否有效以及起到了什么效果。详见参考答案。5)当完成配置规则和检测后,可以重复步骤2)到步骤4),来配置不同的规则。2、普通包过滤实验【实验目的】通过实验,了解普通包过滤的基本概念和原理,如方向、协议、端口、源地址、目的地址等等,掌握常用服务所对应的协议和端口。同时,掌握在防火墙实验系统上
8、配置普通包过滤型防火墙的方法,学会判断规则是否生效。【实验环境及说明】同实验一【预备知识】1. 计算机网络的基础知识,方向、协议、端口、地址等概念以及各常用服务所对应的协议、端口;2. 常用网络客户端的操作:IE的使用,Ftp客户端的使用,ping命令的使用等,并通过这些操作,判断防火墙规则是否生效;3. 包过滤型防火墙的基本概念,理解各规则的意义。【实验内容】在正确配置NAT规则的前提下(实验一),实验首先配置普通包过滤规则,然后通过登录外网web页面、登录外网ftp服务器等常用网络客户端操作判断配置的规则是否生效,具体内容如下:1. 设置一条规则,阻挡所有外网到内网的数据包。采用ping命
9、令检测规则是否生效。2. 设置多条规则,使本机只能访问外网中和的服务。采用浏览器和FTP工具测试规则是否生效。3. 将已经设置的多条规则顺序打乱,分析不同次序的规则组合会产生怎样的作用,然后通过网络客户端操作检验规则组合产生的效果。【实验步骤】在每次实验前,都要打开浏览器,输入地址:http:/192.168.1.254/firewall/jsp/main ,在打开的页面中输入学号和密码,登陆防火墙实验系统。第一步:登陆防火墙实验系统后,点击左侧导航栏的“普通包过滤”,在右侧的界面中选择一个方向进入。此处共有外网内网、外网DMZ和内网DMZ 3个方向例如,选择“外网内网”,就能配置内网和外网之
10、间的普通包过滤规则。可供选择。第二步:在打开的页面中,如果有任何规则存在,点击“删除所有规则”。第三步:点击“增加一条规则”,进入规则配置界面此界面中可以选择的项包括:方向对什么方向上的包进行过滤;增加到位置将新增的规则放到指定的位置,越靠前优先级越高(不同规则顺序可能产生不同结果);协议tcp、udp和icmp,any表示所有3种协议;源地址、目的地址地址可以用IP地址、网络地址、域名以及MAC地址能不同的方式来表示,其中0.0.0.0表示所有地址;源端口、目的端口不同的服务对应不同的端口,要选择正确的端口才能过滤相应的服务;动作ACCEPT和REJECT,决定是否让一个包通过。,配置规则。
11、如果对正在配置的规则不满意,可以点击“重置”,将配置页面恢复到默认的状态。1. 设置一条规则,阻挡所有外网到内网的数据包并检测规则有效性。选择正确的选项,点击“增加”后,增加一条普通包过滤规则,阻挡所有外网到内网的数据包。例如:方向:“外网-内网”增加到位置:1协议:any源地址:IP地址,0.0.0.0/0.0.0.0源端口:disabled(由于协议选择了any,此处不用选择)目的地址:IP地址,0.0.0.0/0.0.0.0目的端口:disabled(由于协议选择了any,此处不用选择)动作:REJECT。规则添加成功后,可以用各种客户端工具,例如IE、FTP客户端工具、ping等进行检
12、测,以判断规则是否有效以及起到了什么效果。2. 设置多条规则,使本机只能访问外网中和提供的服务,检测规则组合有效性。多条规则设置必须注意每一条规则增加到的位置(即规则的优先级),可以参考下面的所列的规则组合增加多条规则。方向:外-内方向:外-内方向:外-内增加到位置:1增加到位置:2增加到位置:3源地址:源地址:源地址:0.0.0.0/0.0.0.0源端口:any源端口:21源端口:any目的地址:0.0.0.0/0.0.0.0目的地址:0.0.0.0/0.0.0.0目的地址:0.0.0.0/0.0.0.0目的端口:any目的端口:any目的端口:any协议类型:all协议类型:tcp协议类型
13、:all动作:ACCEPT动作:ACCEPT动作:REJECT规则添加成功后,可以用IE、FTP客户端工具、ping等进行检测,以判断规则组合是否有效。3. 将已经设置的多条规则顺序打乱,分析不同次序的规则组合会产生怎样的作用,并使用IE、FTP客户端工具、ping等进行验证。【实验思考题】某机构的网络可以接受来自Internet的访问。有只在端口80上提供服务的Web服务器;只在端口25上提供服务的邮件服务器(接收发来的所有邮件并发送所有要发出的邮件);允许内部用户使用Http、Https、Ftp、Telnet、Ssh服务。请制定合适的包过滤防火墙规则(要求以列表的形式给出,可以抽象表示IP
14、地址,比如“源IP”:内部网络)。优先级别源地址源端口目的地址目的端口协议动作3、状态检测实验【实验目的】1. 掌握防火墙状态检测机制的原理;2. 掌握防火墙状态检测功能的配置方法;3. 理解网络连接的各个状态的含义;4. 理解防火墙的状态表;5. 理解Ftp两种不同传输方式的区别,以及掌握防火墙对Ftp应用的配置。【实验环境及说明】同实验一【预备知识】1. 网络基础知识:网络基本概念,网络基础设备,TCP/IP协议,UDP协议,ICMP协议和ARP协议等;2. 常用网络客户端的操作:IE的使用,Ftp客户端的使用,ping命令的使用等;3. 从某主机到某目的网络阻断与否的判断方法;4. FT
15、P的两种不同数据传输方式的原理;5. 本实验拓扑图所示网络的工作方式,理解数据流通的方向;6. 防火墙实验系统的基本使用,而且已经掌握了包过滤功能的相关实验。【实验内容】在正确配置NAT规则的前提下(实验一),实验以为例,针对FTP主动和被动数据传输方式,分别配置普通包过滤规则和状态检测规则,通过登录外网ftp服务器验证配置的规则有效性,体会防火墙状态检测技术的优越性,最后分析TCP/UDP/ICMP三种协议状态信息。具体内容如下:1. 设置普通包过滤规则,实现ftp两种不同的数据传输方式,采用ftp客户端工具FlashFXP检测规则是否生效。2. 设置状态检测规则,实现ftp的两种不同数据传
16、输方式,采用ftp客户端工具FlashFXP检测规则是否生效。与前面的普通包过滤实验比较,理解状态检测机制的优越性。3. 查看防火墙的状态表,分析TCP、UDP和ICMP三种协议的状态信息。【实验步骤】在每次实验前,打开浏览器,输入地址:http:/192.168.1.254/firewall/jsp/main,在打开的页面中输入学号和密码,登陆防火墙教学实验系统。第一步:登陆防火墙实验系统后,点击左侧导航栏的“普通包过滤”,在打开的页面中,如果有任何规则存在,点击“删除所有规则”后开始新规则设置,实现与服务器之间的主动和被动数据传输方式。1. 配置普通包过滤规则,实现FTP的主动和被动传输模
17、式 PORT(主动)模式1)选择正确的选项,点击“增加”后,增加两条普通包过滤规则,阻挡所有内网到外网及外网到内网的TCP协议规则。规则添加成功后,打开ftp客户端,设置ftp客户端默认的传输模式为主动模式,即PORTFlashFXP软件,点击选项-参数设置-连接,设置主动模式或被动模式。匿名连接,查看FTP客户端软件显示的连接信息。2)增加两条普通包过滤规则,允许ftp控制连接。可参考如下规则设置:方向:内-外方向:外-内增加到位置:1增加到位置:1源地址:0.0.0.0/0.0.0.0源地址:源端口:any源端口:21目的地址:目的地址:0.0.0.0/0.0.0.0目的端口:21目的端口
18、:any协议类型:tcp协议类型:tcp动作:ACCEPT动作:ACCEPT规则添加成功后,打开ftp客户端,连接,匿名,查看FTP客户端软件显示的连接信息。3)增加两条普通包过滤规则,允许ftp数据连接。可参考如下规则设置:方向:内-外方向:外-内增加到位置:1增加到位置:1源地址:0.0.0.0/0.0.0.0源地址:源端口:any源端口:20目的地址:目的地址:0.0.0.0/0.0.0.0目的端口:20目的端口:any协议类型:tcp协议类型:tcp动作:ACCEPT动作:ACCEPT规则添加成功后,打开ftp客户端,连接,匿名,查看FTP客户端软件显示的连接信息。 PASV(被动)模
19、式1)选择正确的选项,点击“增加”后,增加两条普通包过滤规则,阻挡所有内网到外网及外网到内网的TCP协议规则。规则添加成功后,打开ftp客户端,设置ftp客户端默认的传输模式为被动模式,即PASV。匿名连接,查看FTP客户端软件显示的连接信息。2)增加两条普通包过滤规则,允许ftp控制连接。规则添加成功后,打开ftp客户端,连接,匿名,查看FTP客户端软件显示的连接信息。3)增加两条普通包过滤规则,允许ftp数据连接。可参考如下规则设置: 方向:内-外方向:外-内增加到位置:1增加到位置:1源地址:0.0.0.0/0.0.0.0源地址:源端口:any源端口:1024:65535目的地址:目的地
20、址:0.0.0.0/0.0.0.0目的端口:1024:65535目的端口:any协议类型:tcp协议类型:tcp动作:ACCEPT动作:ACCEPT规则添加成功后,打开ftp客户端,连接,匿名,查看FTP客户端软件显示的连接信息。第二步:点击左侧导航栏的“状态检测”,如果有任何规则存在,点击“删除所有规则”后开始新规则设置,实现与服务器之间的主动和被动数据传输方式。2. 配置状态检测规则,实现FTP的主动和被动传输模式1)选择正确的选项,点击“增加”后,增加两条状态检测规则,阻挡内网到外网及外网到内网的所有TCP协议、所有状态的规则。可参考如下规则设置: 方向:内-外方向:外-内增加到位置:1
21、增加到位置:1源地址:0.0.0.0/0.0.0.0源地址:0.0.0.0/0.0.0.0源端口:any源端口:any目的地址:0.0.0.0/0.0.0.0目的地址:0.0.0.0/0.0.0.0目的端口:any目的端口:any协议类型:tcp协议类型:tcp状态:NEW,ESTABLISHED,RELATED,INVALID状态:NEW,ESTABLISHED,RELATED,INVALID动作:REJECT动作:REJECT规则添加成功后,打开ftp客户端,设置ftp客户端默认的传输模式是PASV,即被动模式, 连接,匿名,查看FTP客户端软件显示的连接信息。然后,打开ftp客户端,设置
22、ftp客户端默认的传输模式是PORT,即主动模式,连接,匿名,查看FTP客户端软件显示的连接信息。2)增加两条状态检测规则,允许访问内网到外网及外网到内网目的端口为任意、状态为ESTABLISHED和RELATED的TCP数据包。可参考如下规则设置: 方向:内-外方向:外-内增加到位置:1增加到位置:1源地址:0.0.0.0/0.0.0.0源地址:0.0.0.0/0.0.0.0源端口:any源端口:any目的地址:0.0.0.0/0.0.0.0目的地址:0.0.0.0/0.0.0.0目的端口:any目的端口:any协议类型:tcp协议类型:tcp状态:ESTABLISHED,RELATED状态
23、:ESTABLISHED,RELATED动作:ACCEPT动作:ACCEPT规则添加成功后,打开ftp客户端,设置ftp客户端默认的传输模式是PASV,即被动模式, 连接,匿名,查看FTP客户端软件显示的连接信息。然后,打开ftp客户端,设置ftp客户端默认的传输模式是PORT,即主动模式,连接,匿名,查看FTP客户端软件显示的连接信息。3)增加一条状态检测规则,允许内网访问外网目的端口为21、状态为NEW、ESTABLISHED和RELATED的TCP数据包。可参考如下规则设置:方向:“内网-外网”增加到位置:1协议:tcp源地址:IP地址,0.0.0.0/0.0.0.0目的地址:目的端口:
24、21状态:NEW,ESTABLISHED,RELATED动作:ACCEPT。规则添加成功后,打开ftp客户端,设置ftp客户端默认的传输模式是PASV,即被动模式, 连接,匿名,查看连接信息。然后,打开ftp客户端,设置ftp客户端默认的传输模式是PORT,即主动模式,连接,匿名,查看连接信息。第三步:点击左边导航栏的“状态检测”,在右边打开的页面中选择“状态表”,在打开的页面中查看防火墙系统所有连接的状态并进行分析。3. 查看分析防火墙的状态表点击左边导航栏的“状态检测”,在右边打开的页面中选择“状态表”,在打开的页面中查看当前防火墙系统的所有连接的状态。分别选取一条TCP连接,UDP连接,
25、ICMP连接说明:如果当前没有ICMP连接,按如下步骤:(1)用普通包过滤设立一条拒绝到的ICMP协议包;(2)打开DOS窗口,输入ping n 10 -t;(3)刷新状态表页面,即可看到ICMP连接状态。,分析各个参数的含义;并分析当前所有连接,了解每条连接相应的打开程序,及其用途。【实验思考题】分别用普通包过滤和状态检测设置规则,使ftp客户端仅仅可以下载站点ftp:/shuguang:shuguang202.120.61.12:2121的文件。4、应用代理实验【实验目的】1. 了解防火墙代理级网关的工作原理;2. 掌握配置防火墙代理级网关的方法。【实验环境及说明】同实验一。【预备知识】1
26、. 常用网络客户端的操作:IE的使用,Ftp客户端的使用,Telnet命令的使用等;2. 明白本实验拓扑图所示网络的工作方式,理解数据流通的方向;3. 掌握HTTP代理和FTP代理的配置;4. 掌握HTTP代理、FTP代理和Telnet代理的工作原理,明确它们各自的通信过程,简单的说,代理均是起到一个中继的作用。【实验内容】在正确配置NAT规则的前提下(实验一),配置好HTTP代理和FTP代理后,分别配置HTTP代理规则、FTP代理规则和Telnet代理规则,然后配置好IE的HTTP代理和FlashFXP的FTP代理,再通过登录外网web页面、登录外网ftp服务器等常用网络客户端操作判断配置的
27、规则是否生效,具体内容如下:1. 设置HTTP代理规则,配置IE的HTTP代理,采用浏览器访问外网以测试规则是否生效;2. 设置FTP代理规则,配置FlashFXP的FTP代理,采用FlashFXP访问FTP服务器以测试规则是否生效;3. 设置TELNET代理规则,采用开始菜单“运行”命令行工具cmd.exe,输入代理命令telnet 192.168.1.254 2323,再测试规则是否生效。【实验步骤】在每次实验前,都要打开浏览器,输入地址:http:/192.168.1.254/firewall/jsp/main ,在打开的页面中输入学号和密码,登陆防火墙实验系统。(一)HTTP代理实验:
28、登陆防火墙实验系统后,点击左侧导航栏的“HTTP代理”,在打开的页面中,如果有任何规则存在,将规则删除后再设置新规则。打开IE浏览器,配置HTTP代理。1. 设置IE的HTTP代理1) IE菜单中的工具Internet选项,弹出“Internet属性”对话框;2) 点击“连接”标签,按“局域网设置”,弹出“局域网(LAN)设置”对话框;3) 在“代理服务器”中勾选“使用代理服务器”,并输入防火墙IP地址及端口:192.168.1.254:3128,选择“对于本地地址不使用代理服务器”,点击“高级”按钮,进入“代理服务器设置”页面,在“例外”栏填入192.168.1.254;4) 依次按下“确定
29、”退出设置页面;建议每次实验后清空历史纪录。2. 测试HTTP代理的默认规则打开IE,在地址栏中输入任意地址,例如、和等,观察能否访问,并说明原因;3. 配置HTTP代理规则,验证规则有效性1) 以教师分配的用户名和密码进入实验系统,点击左侧导航条的“HTTP代理”链接,进入“HTTP应用代理规则表”页面,点击“增加一条新规则”后,增加一条HTTP代理规则允许规则,允许任意源地址到任意目的地址的访问。再次浏览上述网址,观察能否访问。2) 清空规则,增加两条HTTP代理拒绝规则,拒绝访问和,可参考如下规则设置:插入位置:1插入位置:1源地址:*源地址:*目的地址:目的地址:动作:deny动作:d
30、eny规则添加成功后,打开IE浏览器,访问、和,观察能否访问。3) 再增加两条HTTP代理允许规则,允许访问和,可参考如下规则设置:插入位置:1插入位置:1源地址:*源地址:*目的地址:目的地址:动作:allow动作:allow规则添加成功后,打开IE浏览器,访问、和,观察能否访问,说明原因。4) 结合普通包过滤规则,进一步加深对HTTP代理作用的理解。清空普通包过滤和HTTP代理规则,分别添加一条普通包过滤拒绝所以数据包规则和一条HTTP代理允许规则,可参考如下规则设置:先添加普通包过滤规则:方向:“外网-内网”增加到位置:1协议:any源地址:IP地址,0.0.0.0/0.0.0.0源端口
31、:disabled(由于协议选择了any,此处不用选择)目的地址:IP地址,0.0.0.0/0.0.0.0目的端口:disabled(由于协议选择了any,此处不用选择)动作:REJECT。取消IE的HTTP代理配置,在地址栏中输入,观察能否访问。再添加HTTP代理允许规则:插入位置:1协议:any源地址:*目的地址:*动作:allow。设置IE的HTTP代理,使用防火墙IP地址及端口:192.168.1.254:8008。再次浏览,观察能否访问。根据两次实验结果,分析使用HTTP代理对普通包过滤规则的影响及原因。所有HTTP实验结束以后,取消IE的HTTP代理,保证可以正常访问实验系统页面。
32、(二)FTP代理实验:登陆防火墙实验系统后,点击左侧导航栏的“FTP代理”,在打开的页面中,如果有任何规则存在,将规则删除后再设置新规则。打开FTP客户端FlashFXP,配置FTP代理。1. 设置FlashFTP的FTP代理:1) FlashFXP菜单中的”Options”-“Preferences”,在弹出的“Configure FlashFXP”对话框中选择“Connection”子项,点击“Proxy”,出现代理设置对话框;2) 点击“Add”按钮,在弹出的”Add Proxy Server Profile”中依次输入:Name:域名Type:User ftp-userftp-host
33、:ftp-portHost:192.168.1.254Port:2121User及Password为空,3) 依次按下“OK”按钮,退出即可。2. 测试FTP代理的默认规则:打开FlashFTP,在地址栏中填入或 ,观察能否连接,说明原因; 3. 配置FTP代理规则,验证规则有效性1) 以教师分配的用户名和密码进入实验系统,点击左侧导航条的“FTP代理”链接,显示“FTP应用代理规则表”页面,点击“增加一条新规则”后,增加一条FTP代理允许规则,允许任意源地址到任意目的地址的访问。再次连接上述FTP站点,观察能否访问。2) 增加一条FTP代理拒绝规则,拒绝访问 (IP地址:202.38.97.
34、230),可参考如下规则设置:插入位置:1源地址:*目的地址:202.38.97.230动作:deny规则添加成功后,打开flashFXP,访问 (IP地址:202.38.97.230)和 (IP地址:202.120.58.162),观察能否访问;3) 清空规则,增加一条FTP代理允许规则,允许访问 (IP地址:202.38.97.230),可参考如下规则设置:插入位置:1源地址:*目的地址:202.38.97.230动作:allow规则添加成功后,打开flashFXP,访问和 ,观察能否访问;4) 结合普通包过滤规则,进一步加深对FTP代理作用的理解。清空普通包过滤和FTP代理规则,分别添加
35、一条普通包过滤拒绝所有数据包规则和一条FTP代理允许规则,可参考如下规则设置:先添加普通包过滤规则:方向:“外网-内网”增加到位置:1协议:any源地址:IP地址,0.0.0.0/0.0.0.0源端口:disabled(由于协议选择了any,此处不用选择)目的地址:IP地址,0.0.0.0/0.0.0.0目的端口:disabled(由于协议选择了any,此处不用选择)动作:REJECT。取消flashFXP的FTP代理配置,连接 站点 ,观察能否访问。再添加FTP代理规则:插入位置:1协议:any源地址:*目的地址:*动作:allow。设置flashFXP的FTP代理配置,连接 站点,观察能否
36、访问。根据两次实验结果,分析使用FTP代理对普通包过滤规则的影响及原因。所有FTP实验结束以后,取消flashFXP的FTP代理。(三)Telnet代理实验:登陆防火墙实验系统后,点击左侧导航栏的“Telnet代理”,在打开的页面中,如果有任何规则存在,将规则删除后再设置新规则。1.测试Telnet代理的默认规则:打开“开始”菜单的“运行”命令行工具cmd.exe,先输入代理命令telnet 192.168.1.254 2323,再输入命令telnet ,观察能否连接,说明原因。 2. 配置Telnet代理规则,验证规则有效性:1) 以教师分配的用户名和密码进入实验系统,点击实验系统左侧导航条
37、的“Telnet代理”链接,显示“TELNET应用代理规则表”页面,点击“增加一条新规则”后,增加一条Telnet代理接受规则,允许任意源地址到任意目的地址的访问。使用命令行工具cmd.exe,先输入代理命令telnet 192.168.1.254 2323,再访问,观察能否访问。2) 按“增加一条新规则”按钮,增加一条Telnet代理拒绝规则,拒绝访问(IP地址:202.120.58.161) ,可参考如下规则设置:插入位置:1源地址:*目的地址:202.120.58.161 动作:deny规则添加成功后,使用命令行工具cmd.exe,先输入代理命令telnet 192.168.1.254
38、2323,再访问,观察能否访问。3) 清空规则,分别添加一条Telnet代理拒绝规则,拒绝访问(IP地址:202.120.58.161),一条Telnet代理接受规则,接受访问(IP地址:202.120.58.161) ,可参考如下规则设置:插入位置:1插入位置:1源地址:*源地址:*目的地址:202.120.58.161目的地址:202.120.58.161动作:deny动作:allow规则添加成功后,使用命令行工具cmd.exe,先输入代理命令telnet 192.168.1.254 2323,再访问,观察能否访问,说明原因。4) 结合普通包过滤规则,进一步加深对TELNET代理作用的理解
39、。清空普通包过滤和TELNET代理规则,分别添加一条普通包过滤拒绝所有数据包规则和一条TELNET代理允许规则,可参考如下规则设置:先添加普通包过滤规则:方向:“外网-内网”增加到位置:1协议:any源地址:IP地址,0.0.0.0/0.0.0.0源端口:disabled(由于协议选择了any,此处不用选择)目的地址:IP地址,0.0.0.0/0.0.0.0目的端口:disabled(由于协议选择了any,此处不用选择)动作:REJECT。规则添加成功后,使用命令行工具cmd.exe,输入命令telnet ,访问,观察能否访问。再添加TELNET代理规则:插入位置:1协议:any源地址:*目的
40、地址:*动作:allow。规则添加成功后,使用命令行工具cmd.exe,先输入代理命令telnet 192.168.1.254 2323,再访问,观察能否访问,说明原因。5、综合实验【实验目的】1. 了解企业防火墙的一般作用。2. 学会灵活运用防火墙规则设置满足企业需求。【实验环境及说明】同实验一、二、三【预备知识】1. 了解基本的企业网络拓扑。2. 了解ftp服务被动模式原理与相关代理设置。3. 理解telnet服务工作原理。4. 理解http访问以及http代理工作原理。5. 了解QQ工作原理【实验内容】某企业需要在防火墙上设置如下规则以满足企业需要:1. 通过设置防火墙规则设置正确的NA
41、T规则2. 通过设置防火墙规则将包过滤规则的默认动作为拒绝3. 通过设置防火墙规则打开内网到外网,DMZ到外网的DNS服务4. 通过设置防火墙规则允许所有的客户端以被动模式访问外网的FTP服务。5. 通过设置防火墙规则允许内网用户访问DMZ区中IP地址为223.120.16.1和所有外网的Telnet服务。6. 通过设置防火墙规则允许内网用户使用QQ服务。【实验步骤】1. 通过设置正确的NAT规则完成策略1。2. 通过设置正确的普通包过滤和状态检测完成策略2到策略6的。6、事件审计实验【实验目的】通过实验,了解防火墙日志的常见格式.学会根据日志,有针对性的检验规则,判断规则是否生效.掌握常见服务所用的协议及其端口.加深对于tcp等协议数据报文的理解.加深对网络通信过程的理解。【实验环境及说明】1. 本实验的网络拓扑图如下:2. 外网使用的WEB验证服务器一般使用交大本校主页 ;Ftp服务器使用本校Ftp服务器 。3. 实验小组的机器要求将网关设置为防火墙主机和内网的接口网卡IP地址:192.168.1.254(次地址可由老师事先指定)。4. 实验小组机器要求有WEB浏览器:IE或者其他;要求有Ftp客户端:CuteFtp、LeapFtp、FlashFXP或者其他。【预备知识】