信息安全实验手册模板.doc

1、信息安全实验手册模板352资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。 信息安全综合实验系统 实 验 指 导 书上海交通大学信息安全工程学院 目 录一、 防火墙实验系统实验指导书11、 NAT转换实验22、 普通包过滤实验43、 状态检测实验74、 应用代理实验125、 综合实验186、 事件审计实验19二、 入侵检测实验系统实验指导书211、 特征匹配检测实验222、 完整性检测实验323、 网络流量分析实验364、 误警分析实验41三、 安全审计实验系统指导书471、 文件审计实验482、 网络审计实验533、 打印审计实验574、 日志监测实验615、 拨号审计实验64

2、6、 审计跟踪实验687、 主机监管实验73四、 病毒实验系统实验指导书761、 网络炸弹实验772、 万花谷病毒实验793、 新欢乐时光病毒实验814、 美丽莎病毒实验865、 NO.1病毒实验906、 PE病毒实验92五、 PKI系统实验指导书971、 证书申请实验982、 用户申请管理实验1003、 证书管理实验1034、 信任管理实验1065、 交叉认证实验1096、 证书应用实验1127、 SSL应用实验115六、 攻防实验系统指导书1201、 RPCDCOM堆栈溢出实验1212、 端口扫描实验1273、 漏洞扫描实验1324、 Unix口令实验破解1375、 Windows口令破解

3、实验1406、 远程控制实验1477、 灰鸽子远程控制153七、 密码实验系统指导书1561、 DES单步加密实验1562DES算法实验1563、 3DES算法实验1564、 AES算法实验1565、 MD5算法实验1566、 SHA-1算法实验1567、 RSA算法实验1568、 DSA数字签名实验156八、 IPSEC VPN实验系统实验指导书1561、 VPN安全性实验1562、 VPN IKE认证实验1563、 VPN模式比较实验156九、 多级安全访问控制系统实验指导书156实验环境介绍1561、 PMI试验1562、 XACML系统实验1563、 模型实验1564、 RBAC系统实

4、验156一、 防火墙实验系统实验指导书1、 NAT转换实验2、 普通包过滤实验3、 状态检测实验4、 应用代理实验5、 综合实验6、 事件审计实验1、 NAT转换实验【实验目的】经过实验, 深刻理解网络地址分段、 子网掩码和端口的概念与原理。了解NAT的基本概念、 原理及其三种类型, 即静态NAT(Static NAT)、 动态地址NAT(Pooled NAT)、 网络地址端口转换NAPT( PortLevel NAT) 。同时, 掌握在防火墙实验系统上配置NAT的方法, 学会判断规则是否生效。【实验环境及说明】1. 本实验的网络拓扑图如下。2. 实验小组的机器要求将网关设置为防火墙主机和内网

5、的接口网卡IP地址: 192.168.1.254( 次地址可由老师事先指定) 。3. 实验小组机器要求有WEB浏览器: IE或者其它。4. 配置结果测试页面经过NAT转换实验进入页面中的”验证NAT目标地址”提供的链接能够得到。NAT规则配置结束后, 新打开浏览器窗口, 经过”验证NAT目标地址”提供的地址, 进入测试结果页面, 将显示地址转换后的目的地址。【预备知识】1. NAT基本概念、 原理及其类型; 2. 常见网络客户端的操作: IE的使用, 并经过操作, 判断防火墙规则是否生效; 3. 了解常见的无法在互联网上使用的保留IP地址( 如: 10.0.0.010.255.255.255,

6、 172.16.0.0172.16.255.255, 192.168.0.0192.168.255.255) 。深刻理解网络地址分段、 子网掩码和端口的概念与原理。【实验内容】1. 在防火墙实验系统上, 配置NAT的规则; 2. 经过一些常见的网络客户端操作, 判断已配置的规则是否有效, 对比不同规则下, 产生的不同效果。【实验步骤】在每次实验前, 都要打开浏览器, 输入地址: , 在打开的页面中输入学号和密码, 登陆防火墙实验系统。在实验前应先删除防火墙原有的所有规则。1) 登陆防火墙实验系统后, 点击左侧导航栏的”NAT转换”, 进入”NAT的规则配置”页面。2) 在打开的页面中, 如果有

7、任何规则存在, 点击”删除所有规则”; 3) 点击”增加一条规则”, 进入规则配置的界面。下面对此界面中的一些选项作说明: 源地址、 目的地址地址用IP地址来表示。4) 选择源地址: IP地址, 192.168.1.35、 目的地址, 比如: IP地址, 196.168.123.200、 目的端口: eth0。按”增加”后, 就增加了一条NAT规则, 这条规则将内部地址192.168.1.35映射为外部地址196.168.123.200。增加NAT规则后, 能够用浏览器在规则添加前后进行检测( 新打开窗口, 输入进入页面中的”验证NAT目标地址”) , 以判断规则是否有效以及起到了什么效果。详

8、见参考答案。5) 当完成配置规则和检测后, 能够重复步骤2) 到步骤4) , 来配置不同的规则。2、 普通包过滤实验【实验目的】经过实验, 了解普通包过滤的基本概念和原理, 如方向、 协议、 端口、 源地址、 目的地址等等, 掌握常见服务所对应的协议和端口。同时, 掌握在防火墙实验系统上配置普通包过滤型防火墙的方法, 学会判断规则是否生效。【实验环境及说明】同实验一【预备知识】1. 计算机网络的基础知识, 方向、 协议、 端口、 地址等概念以及各常见服务所对应的协议、 端口; 2. 常见网络客户端的操作: IE的使用, Ftp客户端的使用, ping命令的使用等, 并经过这些操作, 判断防火墙

9、规则是否生效; 3. 包过滤型防火墙的基本概念, 理解各规则的意义。【实验内容】在正确配置NAT规则的前提下( 实验一) , 实验首先配置普通包过滤规则, 然后经过登录外网web页面、 登录外网ftp服务器等常见网络客户端操作判断配置的规则是否生效, 具体内容如下: 1. 设置一条规则, 阻挡所有外网到内网的数据包。采用ping命令检测规则是否生效。2. 设置多条规则, 使本机只能访问外网中和的服务。采用浏览器和FTP工具测试规则是否生效。3. 将已经设置的多条规则顺序打乱, 分析不同次序的规则组合会产生怎样的作用, 然后经过网络客户端操作检验规则组合产生的效果。【实验步骤】在每次实验前, 都

10、要打开浏览器, 输入地址: , 在打开的页面中输入学号和密码, 登陆防火墙实验系统。第一步: 登陆防火墙实验系统后, 点击左侧导航栏的”普通包过滤”, 在右侧的界面中选择一个方向进入。此处共有外网内网、 外网DMZ和内网DMZ 3个方向例如, 选择”外网内网”, 就能配置内网和外网之间的普通包过滤规则。可供选择。第二步: 在打开的页面中, 如果有任何规则存在, 点击”删除所有规则”。第三步: 点击”增加一条规则”, 进入规则配置界面此界面中能够选择的项包括: 方向对什么方向上的包进行过滤; 增加到位置将新增的规则放到指定的位置, 越靠前优先级越高( 不同规则顺序可能产生不同结果) ; 协议tc

11、p、 udp和icmp, any表示所有3种协议; 源地址、 目的地址地址能够用IP地址、 网络地址、 域名以及MAC地址能不同的方式来表示, 其中0.0.0.0表示所有地址; 源端口、 目的端口不同的服务对应不同的端口, 要选择正确的端口才能过滤相应的服务; 动作ACCEPT和REJECT, 决定是否让一个包经过。, 配置规则。如果对正在配置的规则不满意, 能够点击”重置”, 将配置页面恢复到默认的状态。1. 设置一条规则, 阻挡所有外网到内网的数据包并检测规则有效性。选择正确的选项, 点击”增加”后, 增加一条普通包过滤规则, 阻挡所有外网到内网的数据包。例如: 方向: ”外网-内网”增加

12、到位置: 1协议: any源地址: IP地址, 0.0.0.0/0.0.0.0源端口: disabled( 由于协议选择了any, 此处不用选择) 目的地址: IP地址, 0.0.0.0/0.0.0.0目的端口: disabled( 由于协议选择了any, 此处不用选择) 动作: REJECT。规则添加成功后, 能够用各种客户端工具, 例如IE、 FTP客户端工具、 ping等进行检测, 以判断规则是否有效以及起到了什么效果。2. 设置多条规则, 使本机只能访问外网中和提供的服务, 检测规则组合有效性。多条规则设置必须注意每一条规则增加到的位置( 即规则的优先级) , 能够参考下面的所列的规则

13、组合增加多条规则。方向: 外-内方向: 外-内方向: 外-内增加到位置: 1增加到位置: 2增加到位置: 3源地址: 源地址: 源地址: 0.0.0.0/0.0.0.0源端口: any源端口: 21源端口: any目的地址: 0.0.0.0/0.0.0.0目的地址: 0.0.0.0/0.0.0.0目的地址: 0.0.0.0/0.0.0.0目的端口: any目的端口: any目的端口: any协议类型: all协议类型: tcp协议类型: all动作: ACCEPT动作: ACCEPT动作: REJECT规则添加成功后, 能够用IE、 FTP客户端工具、 ping等进行检测, 以判断规则组合是否

14、有效。3. 将已经设置的多条规则顺序打乱, 分析不同次序的规则组合会产生怎样的作用, 并使用IE、 FTP客户端工具、 ping等进行验证。【实验思考题】某机构的网络能够接受来自Internet的访问。有只在端口80上提供服务的Web服务器; 只在端口25上提供服务的邮件服务器( 接收发来的所有邮件并发送所有要发出的邮件) ; 允许内部用户使用Http、 Https、 Ftp、 Telnet、 Ssh服务。请制定合适的包过滤防火墙规则( 要求以列表的形式给出, 能够抽象表示IP地址, 比如”源IP”: 内部网络) 。优先级别源地址源端口目的地址目的端口协议动作3、 状态检测实验【实验目的】1.

15、 掌握防火墙状态检测机制的原理; 2. 掌握防火墙状态检测功能的配置方法; 3. 理解网络连接的各个状态的含义; 4. 理解防火墙的状态表; 5. 理解Ftp两种不同传输方式的区别, 以及掌握防火墙对Ftp应用的配置。【实验环境及说明】同实验一【预备知识】1. 网络基础知识: 网络基本概念, 网络基础设备, TCP/IP协议, UDP协议, ICMP协议和ARP协议等; 2. 常见网络客户端的操作: IE的使用, Ftp客户端的使用, ping命令的使用等; 3. 从某主机到某目的网络阻断与否的判断方法; 4. FTP的两种不同数据传输方式的原理; 5. 本实验拓扑图所示网络的工作方式, 理解

16、数据流通的方向; 6. 防火墙实验系统的基本使用, 而且已经掌握了包过滤功能的相关实验。【实验内容】在正确配置NAT规则的前提下( 实验一) , 实验以为例, 针对FTP主动和被动数据传输方式, 分别配置普通包过滤规则和状态检测规则, 经过登录外网ftp服务器验证配置的规则有效性, 体会防火墙状态检测技术的优越性, 最后分析TCP/UDP/ICMP三种协议状态信息。具体内容如下: 1. 设置普通包过滤规则, 实现ftp两种不同的数据传输方式, 采用ftp客户端工具FlashFXP检测规则是否生效。2. 设置状态检测规则, 实现ftp的两种不同数据传输方式, 采用ftp客户端工具FlashFXP

17、检测规则是否生效。与前面的普通包过滤实验比较, 理解状态检测机制的优越性。3. 查看防火墙的状态表, 分析TCP、 UDP和ICMP三种协议的状态信息。【实验步骤】在每次实验前, 打开浏览器, 输入地址: , 在打开的页面中输入学号和密码, 登陆防火墙教学实验系统。第一步: 登陆防火墙实验系统后, 点击左侧导航栏的”普通包过滤”, 在打开的页面中, 如果有任何规则存在, 点击”删除所有规则”后开始新规则设置, 实现与服务器之间的主动和被动数据传输方式。1. 配置普通包过滤规则, 实现FTP的主动和被动传输模式 PORT( 主动) 模式1) 选择正确的选项, 点击”增加”后, 增加两条普通包过滤

18、规则, 阻挡所有内网到外网及外网到内网的TCP协议规则。规则添加成功后, 打开ftp客户端, 设置ftp客户端默认的传输模式为主动模式, 即PORTFlashFXP软件, 点击选项-参数设置-连接, 设置主动模式或被动模式。匿名连接, 查看FTP客户端软件显示的连接信息。2) 增加两条普通包过滤规则, 允许ftp控制连接。可参考如下规则设置: 方向: 内-外方向: 外-内增加到位置: 1增加到位置: 1源地址: 0.0.0.0/0.0.0.0源地址: 源端口: any源端口: 21目的地址: 目的地址: 0.0.0.0/0.0.0.0目的端口: 21目的端口: any协议类型: tcp协议类型

19、: tcp动作: ACCEPT动作: ACCEPT规则添加成功后, 打开ftp客户端, 连接, 匿名, 查看FTP客户端软件显示的连接信息。3) 增加两条普通包过滤规则, 允许ftp数据连接。可参考如下规则设置: 方向: 内-外方向: 外-内增加到位置: 1增加到位置: 1源地址: 0.0.0.0/0.0.0.0源地址: 源端口: any源端口: 20目的地址: 目的地址: 0.0.0.0/0.0.0.0目的端口: 20目的端口: any协议类型: tcp协议类型: tcp动作: ACCEPT动作: ACCEPT规则添加成功后, 打开ftp客户端, 连接, 匿名, 查看FTP客户端软件显示的连

20、接信息。 PASV( 被动) 模式1) 选择正确的选项, 点击”增加”后, 增加两条普通包过滤规则, 阻挡所有内网到外网及外网到内网的TCP协议规则。规则添加成功后, 打开ftp客户端, 设置ftp客户端默认的传输模式为被动模式, 即PASV。匿名连接, 查看FTP客户端软件显示的连接信息。2) 增加两条普通包过滤规则, 允许ftp控制连接。规则添加成功后, 打开ftp客户端, 连接, 匿名, 查看FTP客户端软件显示的连接信息。3) 增加两条普通包过滤规则, 允许ftp数据连接。可参考如下规则设置: 方向: 内-外方向: 外-内增加到位置: 1增加到位置: 1源地址: 0.0.0.0/0.0

21、.0.0源地址: 源端口: any源端口: 1024: 65535目的地址: 目的地址: 0.0.0.0/0.0.0.0目的端口: 1024: 65535目的端口: any协议类型: tcp协议类型: tcp动作: ACCEPT动作: ACCEPT规则添加成功后, 打开ftp客户端, 连接, 匿名, 查看FTP客户端软件显示的连接信息。第二步: 点击左侧导航栏的”状态检测”, 如果有任何规则存在, 点击”删除所有规则”后开始新规则设置, 实现与服务器之间的主动和被动数据传输方式。2. 配置状态检测规则, 实现FTP的主动和被动传输模式1) 选择正确的选项, 点击”增加”后, 增加两条状态检测规

22、则, 阻挡内网到外网及外网到内网的所有TCP协议、 所有状态的规则。可参考如下规则设置: 方向: 内-外方向: 外-内增加到位置: 1增加到位置: 1源地址: 0.0.0.0/0.0.0.0源地址: 0.0.0.0/0.0.0.0源端口: any源端口: any目的地址: 0.0.0.0/0.0.0.0目的地址: 0.0.0.0/0.0.0.0目的端口: any目的端口: any协议类型: tcp协议类型: tcp状态: NEW,ESTABLISHED,RELATED,INVALID状态: NEW,ESTABLISHED,RELATED,INVALID动作: REJECT动作: REJECT规

23、则添加成功后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PASV, 即被动模式, 连接, 匿名, 查看FTP客户端软件显示的连接信息。然后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PORT, 即主动模式, 连接, 匿名, 查看FTP客户端软件显示的连接信息。2) 增加两条状态检测规则, 允许访问内网到外网及外网到内网目的端口为任意、 状态为ESTABLISHED和RELATED的TCP数据包。可参考如下规则设置: 方向: 内-外方向: 外-内增加到位置: 1增加到位置: 1源地址: 0.0.0.0/0.0.0.0源地址: 0.0.0.0/0.0.0.0源端口: any

24、源端口: any目的地址: 0.0.0.0/0.0.0.0目的地址: 0.0.0.0/0.0.0.0目的端口: any目的端口: any协议类型: tcp协议类型: tcp状态: ESTABLISHED,RELATED状态: ESTABLISHED,RELATED动作: ACCEPT动作: ACCEPT规则添加成功后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PASV, 即被动模式, 连接, 匿名, 查看FTP客户端软件显示的连接信息。然后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PORT, 即主动模式, 连接, 匿名, 查看FTP客户端软件显示的连接信息。3) 增加

25、一条状态检测规则, 允许内网访问外网目的端口为21、 状态为NEW、 ESTABLISHED和RELATED的TCP数据包。可参考如下规则设置: 方向: ”内网-外网”增加到位置: 1协议: tcp源地址: IP地址, 0.0.0.0/0.0.0.0目的地址: 目的端口: 21状态: NEW,ESTABLISHED,RELATED动作: ACCEPT。规则添加成功后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PASV, 即被动模式, 连接, 匿名, 查看连接信息。然后, 打开ftp客户端, 设置ftp客户端默认的传输模式是PORT, 即主动模式, 连接, 匿名, 查看连接信息。第三

26、步: 点击左边导航栏的”状态检测”, 在右边打开的页面中选择”状态表”, 在打开的页面中查看防火墙系统所有连接的状态并进行分析。3. 查看分析防火墙的状态表点击左边导航栏的”状态检测”, 在右边打开的页面中选择”状态表”, 在打开的页面中查看当前防火墙系统的所有连接的状态。分别选取一条TCP连接, UDP连接, ICMP连接说明: 如果当前没有ICMP连接, 按如下步骤: ( 1) 用普通包过滤设立一条拒绝到的ICMP协议包; ( 2) 打开DOS窗口, 输入ping n 10 -t; ( 3) 刷新状态表页面, 即可看到ICMP连接状态。, 分析各个参数的含义; 并分析当前所有连接, 了解每

27、条连接相应的打开程序, 及其用途。【实验思考题】分别用普通包过滤和状态检测设置规则, 使ftp客户端仅仅能够下载站点ftp:/shuguang:2121的文件。4、 应用代理实验【实验目的】1. 了解防火墙代理级网关的工作原理; 2. 掌握配置防火墙代理级网关的方法。【实验环境及说明】同实验一。【预备知识】1. 常见网络客户端的操作: IE的使用, Ftp客户端的使用, Telnet命令的使用等; 2. 明白本实验拓扑图所示网络的工作方式, 理解数据流通的方向; 3. 掌握HTTP代理和FTP代理的配置; 4. 掌握HTTP代理、 FTP代理和Telnet代理的工作原理, 明确它们各自的通信过

28、程, 简单的说, 代理均是起到一个中继的作用。【实验内容】在正确配置NAT规则的前提下( 实验一) , 配置好HTTP代理和FTP代理后, 分别配置HTTP代理规则、 FTP代理规则和Telnet代理规则, 然后配置好IE的HTTP代理和FlashFXP的FTP代理, 再经过登录外网web页面、 登录外网ftp服务器等常见网络客户端操作判断配置的规则是否生效, 具体内容如下: 1. 设置HTTP代理规则, 配置IE的HTTP代理, 采用浏览器访问外网以测试规则是否生效; 2. 设置FTP代理规则, 配置FlashFXP的FTP代理, 采用FlashFXP访问FTP服务器以测试规则是否生效; 3

29、. 设置TELNET代理规则, 采用开始菜单”运行”命令行工具cmd.exe, 输入代理命令telnet 192.168.1.254 2323, 再测试规则是否生效。【实验步骤】在每次实验前, 都要打开浏览器, 输入地址: , 在打开的页面中输入学号和密码, 登陆防火墙实验系统。( 一) HTTP代理实验: 登陆防火墙实验系统后, 点击左侧导航栏的”HTTP代理”, 在打开的页面中, 如果有任何规则存在, 将规则删除后再设置新规则。打开IE浏览器, 配置HTTP代理。1. 设置IE的HTTP代理1） IE菜单中的工具Internet选项, 弹出”Internet属性”对话框; 2） 点击”连接

30、”标签, 按”局域网设置”, 弹出”局域网(LAN)设置”对话框; 3） 在”代理服务器”中勾选”使用代理服务器”, 并输入防火墙IP地址及端口: 192.168.1.254:3128, 选择”对于本地地址不使用代理服务器”, 点击”高级”按钮, 进入”代理服务器设置”页面, 在”例外”栏填入192.168.1.254; 4） 依次按下”确定”退出设置页面; 建议每次实验后清空历史纪录。2. 测试HTTP代理的默认规则打开IE, 在地址栏中输入任意地址, 例如、 和等, 观察能否访问, 并说明原因; 3. 配置HTTP代理规则, 验证规则有效性1） 以教师分配的用户名和密码进入实验系统, 点击

31、左侧导航条的”HTTP代理”链接, 进入”HTTP应用代理规则表”页面, 点击”增加一条新规则”后, 增加一条HTTP代理规则允许规则, 允许任意源地址到任意目的地址的访问。再次浏览上述网址, 观察能否访问。2） 清空规则, 增加两条HTTP代理拒绝规则, 拒绝访问和, 可参考如下规则设置: 插入位置: 1插入位置: 1源地址: *源地址: *目的地址: 目的地址: 动作: deny动作: deny规则添加成功后, 打开IE浏览器, 访问、 和, 观察能否访问。3） 再增加两条HTTP代理允许规则, 允许访问和, 可参考如下规则设置: 插入位置: 1插入位置: 1源地址: *源地址: *目的地

32、址: 目的地址: 动作: allow动作: allow规则添加成功后, 打开IE浏览器, 访问、 和, 观察能否访问, 说明原因。4） 结合普通包过滤规则, 进一步加深对HTTP代理作用的理解。清空普通包过滤和HTTP代理规则, 分别添加一条普通包过滤拒绝因此数据包规则和一条HTTP代理允许规则, 可参考如下规则设置: 先添加普通包过滤规则: 方向: ”外网-内网”增加到位置: 1协议: any源地址: IP地址, 0.0.0.0/0.0.0.0源端口: disabled( 由于协议选择了any, 此处不用选择) 目的地址: IP地址, 0.0.0.0/0.0.0.0目的端口: disable

33、d( 由于协议选择了any, 此处不用选择) 动作: REJECT。取消IE的HTTP代理配置, 在地址栏中输入, 观察能否访问。再添加HTTP代理允许规则: 插入位置: 1协议: any源地址: *目的地址: *动作: allow。设置IE的HTTP代理, 使用防火墙IP地址及端口: 192.168.1.254:8008。再次浏览, 观察能否访问。根据两次实验结果, 分析使用HTTP代理对普通包过滤规则的影响及原因。所有HTTP实验结束以后, 取消IE的HTTP代理, 保证能够正常访问实验系统页面。( 二) FTP代理实验: 登陆防火墙实验系统后, 点击左侧导航栏的”FTP代理”, 在打开的

34、页面中, 如果有任何规则存在, 将规则删除后再设置新规则。打开FTP客户端FlashFXP, 配置FTP代理。1. 设置FlashFTP的FTP代理: 1） FlashFXP菜单中的”Options”-”Preferences”, 在弹出的”Configure FlashFXP”对话框中选择”Connection”子项, 点击”Proxy”, 出现代理设置对话框; 2） 点击”Add”按钮, 在弹出的”Add Proxy Server Profile”中依次输入: Name: 域名Type: User ftp-userftp-host:ftp-portHost: 192.168.1.254Po

35、rt: 2121User及Password为空, 3） 依次按下”OK”按钮, 退出即可。2. 测试FTP代理的默认规则: 打开FlashFTP, 在地址栏中填入或 ,观察能否连接, 说明原因; 3. 配置FTP代理规则, 验证规则有效性1） 以教师分配的用户名和密码进入实验系统, 点击左侧导航条的”FTP代理”链接, 显示”FTP应用代理规则表”页面, 点击”增加一条新规则”后, 增加一条FTP代理允许规则, 允许任意源地址到任意目的地址的访问。再次连接上述FTP站点, 观察能否访问。2） 增加一条FTP代理拒绝规则, 拒绝访问 (IP地址:202.38.97.230), 可参考如下规则设置

36、: 插入位置: 1源地址: *目的地址: 202.38.97.230动作: deny规则添加成功后, 打开flashFXP, 访问 (IP地址:202.38.97.230)和 (IP地址:202.120.58.162), 观察能否访问; 3） 清空规则, 增加一条FTP代理允许规则, 允许访问 (IP地址:202.38.97.230), 可参考如下规则设置: 插入位置: 1源地址: *目的地址: 202.38.97.230动作: allow规则添加成功后, 打开flashFXP, 访问和 , 观察能否访问; 4） 结合普通包过滤规则, 进一步加深对FTP代理作用的理解。清空普通包过滤和FTP代

37、理规则, 分别添加一条普通包过滤拒绝所有数据包规则和一条FTP代理允许规则, 可参考如下规则设置: 先添加普通包过滤规则: 方向: ”外网-内网”增加到位置: 1协议: any源地址: IP地址, 0.0.0.0/0.0.0.0源端口: disabled( 由于协议选择了any, 此处不用选择) 目的地址: IP地址, 0.0.0.0/0.0.0.0目的端口: disabled( 由于协议选择了any, 此处不用选择) 动作: REJECT。取消flashFXP的FTP代理配置, 连接 站点 , 观察能否访问。再添加FTP代理规则: 插入位置: 1协议: any源地址: *目的地址: *动作:

38、 allow。设置flashFXP的FTP代理配置, 连接 站点, 观察能否访问。根据两次实验结果, 分析使用FTP代理对普通包过滤规则的影响及原因。所有FTP实验结束以后, 取消flashFXP的FTP代理。( 三) Telnet代理实验: 登陆防火墙实验系统后, 点击左侧导航栏的”Telnet代理”, 在打开的页面中, 如果有任何规则存在, 将规则删除后再设置新规则。1.测试Telnet代理的默认规则: 打开”开始”菜单的”运行”命令行工具cmd.exe, 先输入代理命令telnet 192.168.1.254 2323, 再输入命令telnet , 观察能否连接, 说明原因。 2. 配置

39、Telnet代理规则, 验证规则有效性:1） 以教师分配的用户名和密码进入实验系统, 点击实验系统左侧导航条的”Telnet代理”链接, 显示”TELNET应用代理规则表”页面, 点击”增加一条新规则”后, 增加一条Telnet代理接受规则, 允许任意源地址到任意目的地址的访问。使用命令行工具cmd.exe, 先输入代理命令telnet 192.168.1.254 2323, 再访问, 观察能否访问。2） 按”增加一条新规则”按钮, 增加一条Telnet代理拒绝规则, 拒绝访问( IP地址: 202.120.58.161) ,可参考如下规则设置: 插入位置: 1源地址: *目的地址: 202.

40、120.58.161 动作: deny规则添加成功后, 使用命令行工具cmd.exe, 先输入代理命令telnet 192.168.1.254 2323, 再访问, 观察能否访问。3） 清空规则, 分别添加一条Telnet代理拒绝规则, 拒绝访问( IP地址: 202.120.58.161) , 一条Telnet代理接受规则, 接受访问( IP地址: 202.120.58.161) ,可参考如下规则设置: 插入位置: 1插入位置: 1源地址: *源地址: *目的地址: 202.120.58.161目的地址: 202.120.58.161动作: deny动作: allow规则添加成功后, 使用命

41、令行工具cmd.exe, 先输入代理命令telnet 192.168.1.254 2323, 再访问, 观察能否访问, 说明原因。4） 结合普通包过滤规则, 进一步加深对TELNET代理作用的理解。清空普通包过滤和TELNET代理规则, 分别添加一条普通包过滤拒绝所有数据包规则和一条TELNET代理允许规则, 可参考如下规则设置: 先添加普通包过滤规则: 方向: ”外网-内网”增加到位置: 1协议: any源地址: IP地址, 0.0.0.0/0.0.0.0源端口: disabled( 由于协议选择了any, 此处不用选择) 目的地址: IP地址, 0.0.0.0/0.0.0.0目的端口: d

42、isabled( 由于协议选择了any, 此处不用选择) 动作: REJECT。规则添加成功后, 使用命令行工具cmd.exe, 输入命令telnet , 访问, 观察能否访问。再添加TELNET代理规则: 插入位置: 1协议: any源地址: *目的地址: *动作: allow。规则添加成功后, 使用命令行工具cmd.exe, 先输入代理命令telnet 192.168.1.254 2323, 再访问, 观察能否访问, 说明原因。5、 综合实验【实验目的】1. 了解企业防火墙的一般作用。2. 学会灵活运用防火墙规则设置满足企业需求。【实验环境及说明】同实验一、 二、 三【预备知识】1. 了解

43、基本的企业网络拓扑。2. 了解ftp服务被动模式原理与相关代理设置。3. 理解telnet服务工作原理。4. 理解http访问以及http代理工作原理。5. 了解QQ工作原理【实验内容】某企业需要在防火墙上设置如下规则以满足企业需要: 1. 经过设置防火墙规则设置正确的NAT规则2. 经过设置防火墙规则将包过滤规则的默认动作为拒绝3. 经过设置防火墙规则打开内网到外网, DMZ到外网的DNS服务4. 经过设置防火墙规则允许所有的客户端以被动模式访问外网的FTP服务。5. 经过设置防火墙规则允许内网用户访问DMZ区中IP地址为223.120.16.1和所有外网的Telnet服务。6. 经过设置防火墙规则允许内网用户使用QQ服务。【实验步骤】1. 经过设置正确的