1、信息安全實驗指導書南昌大學信息工程學院計算機系二oo八年四月目 錄1 實驗1：網(wǎng)絡掃描實驗11.1實驗目的11.2 實驗環(huán)境11.3 實驗要求11.4 實驗背景21.4.1 基礎(chǔ)知識21.4.2 網(wǎng)絡掃描工具nmap簡介21.5 實驗步驟41.5.1 安裝nmap41.5.2 操作與測試62 實驗2：網(wǎng)絡監(jiān)聽實驗92.1實驗目的92.2 實驗環(huán)境92.3 實驗要求92.4 實驗背景102.4.1 基礎(chǔ)知識102.4.2 網(wǎng)絡監(jiān)聽工具sniffer簡介102.5 實驗步驟112.5.1 安裝sniffer112.5.2 操作與測試113 實驗3：入侵檢測實驗173.1實驗目的173.2 實驗環(huán)境

2、173.3 實驗要求173.4 實驗背景183.4.1 基礎(chǔ)知識183.4.2 入侵檢測軟件snort簡介183.5 實驗步驟183.5.1 安裝和配置輕量級ids軟件snort183.5.2 操作與測試214 實驗4：電子郵件安全實驗244.1實驗目的244.2 實驗環(huán)境244.3 實驗要求244.4 實驗背景254.4.1 基礎(chǔ)知識254.4.2 郵件服務器mdaemon254.4.3 郵件加密軟件pgp254.5 實驗步驟264.5.1 郵件服務器的安裝與測試264.5.2 郵件服務器的安全配置304.5.3 安裝pgp desktop pro v 8.1314.5.4 pgp密鑰管理3

3、14.5.5 郵件加密與簽名345 實驗5：網(wǎng)絡級防火墻實驗375.1實驗目的375.2 實驗環(huán)境375.3 實驗要求385.4 實驗背景385.4.1 實驗原理385.4.2 標準的ip訪問控制表385.4.3 擴展的ip訪問控制表405.5 實驗步驟415.5.1 構(gòu)建實驗環(huán)境415.5.2 進入交換機配置界面425.5.3 vlan的創(chuàng)建和應用445.5.4 配置交換機的ip參數(shù)455.5.5 過濾ip地址465.5.6 過濾icmp協(xié)議包475.5.7 限制遠程登錄服務486 實驗6：web安全實驗516.1實驗目的516.2 實驗環(huán)境516.3 實驗要求516.4 實驗背景516.5

4、 實驗步驟526.5.1 iis服務器的安全配置526.5.2 用戶機的ssl配置557 實驗7：vpn實驗657.1實驗目的657.2 實驗環(huán)境657.3 實驗要求657.4 實驗背景657.5 實驗步驟667.5.1 配置和啟用vpn服務器667.5.2 配置vpn客戶端71附1：實驗環(huán)境簡介771.1 網(wǎng)絡實驗室簡介771.2 網(wǎng)絡實驗室組成771.3 實驗設備介紹791.3.1 核心交換機cisco catalyst 3560791.3.2 二層交換機cisco catalyst 2950811.3.3 路由器cisco 280182附2：實驗室各組分布圖85附3：各組機器及設備的ip

5、地址分配86附4：交換機的初始配置和管理871 實驗1：網(wǎng)絡掃描實驗1.1實驗目的（1）了解網(wǎng)絡掃描技術(shù)的工作原理。（2）掌握常用掃描工具的基本用法。（3）熟悉網(wǎng)絡掃描的用途與后果。1.2 實驗環(huán)境每2位學生為一個實驗組，使用2臺安裝windows 2000/xp的pc機，通過局域網(wǎng)互聯(lián)，ip網(wǎng)絡為/24。其中一臺（01）上安裝windows平臺下的nmap 4.11軟件，另一臺（00）上安裝軟件防火墻，實驗環(huán)境的網(wǎng)絡拓撲如圖1所示。圖1 網(wǎng)絡掃描實驗拓撲1.3 實驗要求1、實驗任務（1）安裝和運行網(wǎng)絡掃描軟件。（2）進行典型的

6、探測，如主機探測、系統(tǒng)探測、tcp掃描等。（3）記錄并分析實驗結(jié)果。2、實驗預習（1）預習本實驗指導書，深入理解實驗的目的與任務，熟悉實驗步驟和基本環(huán)節(jié)。（2）復習有關(guān)網(wǎng)絡掃描的基本知識。3、實驗報告（1）簡要描述實驗過程。（2）實驗中遇到了什么問題，如何解決的。（3）分析網(wǎng)絡掃描器在網(wǎng)絡管理和網(wǎng)絡安全方面的作用。（4）實驗收獲與體會。1.4 實驗背景1.4.1 基礎(chǔ)知識掃描的目的是收集被掃描系統(tǒng)或網(wǎng)絡的信息。通常，掃描是利用一些程序或?qū)Ｓ玫膾呙杵鱽韺崿F(xiàn)，掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用掃描器，可以發(fā)現(xiàn)遠程服務器是否存活、對外開放的各種tcp端口的分配及提供的服務、

7、所使用的軟件版本，如操作系統(tǒng)或其他應用軟件的版本，以及可能被利用的系統(tǒng)漏洞。根據(jù)這些信息，可以使用戶了解目標主機所存在的安全漏洞。掃描器不僅是黑客用作網(wǎng)絡攻擊的工具，也是網(wǎng)絡安全管理員維護網(wǎng)絡安全的重要工具。網(wǎng)絡安全管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡安全漏洞和系統(tǒng)中的錯誤。1.4.2 網(wǎng)絡掃描工具nmap簡介nmap是一款開放源代碼的網(wǎng)絡探測和安全審核的工具，基本包括了常用的掃描方式，并且提供了許多非常實用的輔助功能，以對目標主機做出進一步的偵測，如操作系統(tǒng)識別、進程用戶分析以及眾多可選的方式來逃避目標系統(tǒng)的監(jiān)測等。nmap可任意指定主機、網(wǎng)段甚至是整個網(wǎng)絡作為掃描目標，掃描方式亦可通過添加合適

8、的選項按需組合。本實驗使用基于windows的nmap軟件，其命令語法如下：nmap 掃描類型 選項 在nmap的所有參數(shù)中，只在目標參數(shù)是必須給出的，其最簡單的形式是在命令行直接輸入一個主機名或者一個ip地址。如果希望掃描某個ip地址的一個子網(wǎng)，可以在主機名或者ip地址的后面加上/掩碼。掩碼的范圍是0（掃描整個網(wǎng)絡）32（只掃描這個主機）。使用/24掃描c類地址，/16掃描b類地址。可以使用nmap h快速列出nmap選項參數(shù)的說明，下面列舉出一些常用的掃描類型：-st 表示tcp全連接掃描（tcp connect（）。-ss 表示tcp半開掃描。-sf 表示隱蔽fin數(shù)據(jù)包掃描。-sa 表

9、示xmas tree掃描。-sn 表示空（null）掃描。-sp 表示ping掃描。-su 表示udp掃描。-sa 表示ack掃描。-sw表示對滑動窗口的掃描。-sr 表示rpc掃描。-b 表示ftp反彈攻擊（bounce attack）。功能選項可以組使用，有些功能選項只能在掃描模式下使用，nmap會自動識別無效或者不支持的功能選項組合，并向用戶發(fā)出警告信息。下面列舉出一些常用的選項：-p0表示在掃描之前，不必ping主機。 -pt 表示掃描之前，使用tcp ping確定哪些主機正在運行。-ps 表示使用syn包而不是ack包來對目標主機進行掃描（需要root權(quán)限）。 -pi表示使用真正的p

10、ing（icmp echo請求）來掃描目標主機是否正在運行。 -pb 表示這是默認的ping掃描選項。它使用ack（-pt）和icmp（-pi）兩種掃描類型并行掃描。-o表示對tcp/ip指紋特征（fingerprinting）的掃描，獲得遠程主機的標志。 -i 表示反向標志掃描。-f 表示使用碎片ip數(shù)據(jù)包發(fā)送syn、fin、xmas、null掃描。-v 表示冗余模式。它會給出掃描過程中的詳細信息。使用-d選項可以得到更加詳細的信息。-h 表示快速參考選項。 -on表示把掃描結(jié)果重定向到一個可讀的文件logfilename中。 -os 表示把掃描結(jié)果重定向到標準輸出上。-resume 表示可

11、以使掃描接著以前的掃描進行。-il表示從inputfilename文件中讀取掃描的目標。 -ir 表示讓nmap自己隨機挑選主機進行掃描。 -p 表示選擇要進行掃描的端口號的范圍。-f 表示快速掃描模式。-d 表示使用誘餌掃描方法對目標網(wǎng)絡/主機進行掃描。 -s 表示指定ip源地址。-e表示使用哪個接口發(fā)送和接受數(shù)據(jù)包。-g 表示設置掃描的源端口。nmap運行通常會得到被掃描主機端口的列表、well-known端口的服務名（如果可能）、端口號、狀態(tài)和協(xié)議等信息。每個端口有open、filtered和unfiltered三種狀態(tài)。open狀態(tài)意味著目標主機能夠在這個端口使用accept（）系統(tǒng)調(diào)

12、用接受連接；filtered狀態(tài)表示防火墻、包過濾和其他的網(wǎng)絡安全軟件掩蓋了這個端口，禁止nmap探測其是否打開；unfiltered表示這個端口關(guān)閉，并且沒有防火墻/包過濾軟件來隔離nmap的探測企圖。1.5 實驗步驟1.5.1 安裝nmap（1）下載基于windows平臺的namp-4.11-setup.exe，雙擊安裝程序執(zhí)行安裝。圖2 安裝界面（2）單擊next按鈕，指定namp的安裝目錄，如圖3。（3）windows平臺下安裝namp需要安裝數(shù)據(jù)包捕捉庫winpcap，其作用是幫助調(diào)用程序（即namp）捕獲通過網(wǎng)卡傳輸?shù)脑紨?shù)據(jù)。winpcap 安裝界面如圖4。（4）單擊“開始”“運

13、行”命令，輸入cmd并按enter鍵，打開命令提示符窗口，在該窗口輸入如下命令：nmap va 01 圖3 指定安裝目錄 圖4 winpcap 安裝界面注意：命令行是區(qū)分大小寫的。若返回結(jié)果如圖5所示，表明安裝成功。（5）windows平臺上的nmap程序沒有在unix平臺上的效率高，特別是連接掃描（-st）速度非常慢。如圖6所示，雙擊nmap目錄中的nmap_performance.reg文件，將之導入注冊表，此注冊表文件的內(nèi)容如圖7所示。在注冊表中做了3個修改，增加為nmap應用程序保留的臨時端口數(shù)量，減少一個關(guān)閉連接重新使用之前的時間，從而提高連接掃描的性能。圖5

14、確認nmap是否安裝成功圖6 將nmap_performance.reg文件導入注冊表圖7 顯示nmap_performance.reg文件內(nèi)容1.5.2 操作與測試（1）用ping掃描方式探測主機在局域網(wǎng)中的一臺機器上安裝nmap后，輸入命令：nmap -sp -254用于探測局域網(wǎng)中開放的主機，返回結(jié)果如圖8所示，輸出結(jié)果包括開放主機的ip地址和mac地址。圖8 使用ping掃描方式探測主機（2）探測操作系統(tǒng)類型對局域網(wǎng)中一臺運行windows操作系統(tǒng)的主機（192.168.100）進行探測，輸入命令：nmap -o 00掃描結(jié)果如圖9。對操作系

15、統(tǒng)的指紋識別圖9 windows操作系統(tǒng)指紋識別（3）tcp連接掃描輸入命令：nmap -st 00用tcp連接掃描方法掃描目標主機（00），返回結(jié)果如圖10所示。圖10 tcp連接掃描（4）tcp同步掃描輸入命令：nmap -ss 00用tcp同步掃描方法掃描目標主機（00），返回結(jié)果如圖11。觀察其與tcp連接掃描的異同，發(fā)現(xiàn)tcp同步掃描速度明顯比tcp連接掃描快，所得結(jié)果略有不同。圖11 tcp同步掃描（5）隱蔽掃描輸入命令：nmap -sf 00nmap -sx 192.16

16、8.1.100使用fin掃描和xmas tree掃描方式對運行在windows下的主機進行掃描并觀察返回結(jié)果。如圖12所示，表示nmap未能發(fā)現(xiàn)目標主機開放的端口。圖12 對windows主機進行秘密fin和xmas tree掃描2 實驗2：網(wǎng)絡監(jiān)聽實驗2.1實驗目的（1）熟悉網(wǎng)絡監(jiān)聽的原理與技術(shù)。（2）熟悉sniffer pro的基本使用方法。（3）熟悉網(wǎng)絡監(jiān)聽的用途與后果。2.2 實驗環(huán)境每2位學生為一個實驗組，使用2臺安裝windows 2000/xp的pc機，通過局域網(wǎng)互聯(lián)，ip網(wǎng)絡為/24。其中一臺（01）安裝sniffer pro 4.7

17、.5，記為a，實驗環(huán)境的網(wǎng)絡拓撲如圖1所示。圖1 網(wǎng)絡監(jiān)聽實驗拓撲2.3 實驗要求1、實驗任務（1）安裝和運行網(wǎng)絡監(jiān)聽軟件。（2）使用和測試sniffer的常用功能。（3）記錄并分析實驗結(jié)果。2、實驗預習（1）預習本實驗指導書，深入理解實驗的目的與任務，熟悉實驗步驟和基本環(huán)節(jié)。（2）復習有關(guān)網(wǎng)絡監(jiān)聽的基本知識。3、實驗報告（1）簡要描述實驗過程。（2）實驗中遇到了什么問題，如何解決的。（3）在一臺主機上安裝防火墻，另一臺主機再進行嗅探，看是否還能接收信息。如果不能，分析其原因并詳細寫出來。（4）根據(jù)網(wǎng)絡監(jiān)聽的工作原理，討論針對網(wǎng)絡監(jiān)聽的防范措施，并加以實施和效果分析。（5）實驗收獲與體會。2.

18、4 實驗背景2.4.1 基礎(chǔ)知識網(wǎng)絡監(jiān)聽也稱為嗅探，作為一種發(fā)展比較成熟的技術(shù)，在協(xié)助網(wǎng)絡管理員監(jiān)測網(wǎng)絡傳輸數(shù)據(jù)及排除網(wǎng)絡故障等方面具有不可替代的作用。然而，網(wǎng)絡監(jiān)聽也給以太網(wǎng)帶來了極大的隱患，許多網(wǎng)絡入侵往往都伴隨著以太網(wǎng)內(nèi)網(wǎng)絡監(jiān)聽，從而造成口令失竊、敏感數(shù)據(jù)被截獲等安全事件。網(wǎng)絡監(jiān)聽可以在網(wǎng)上的任何一個位置實施，如局域網(wǎng)中的一臺主機、網(wǎng)關(guān)或遠程網(wǎng)中的調(diào)制解調(diào)器等。監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設備上，通常由網(wǎng)絡管理員來操作。網(wǎng)絡監(jiān)聽工具在功能和實際使用方面有多不同，有些只能分析一種，有些則能分析幾百種。大多數(shù)的網(wǎng)絡監(jiān)聽工具都能分析標準以太網(wǎng)、tcp/ip、ipx和decn

19、et等。通常，網(wǎng)絡監(jiān)聽可以提供如下一些功能。(1) 自動從網(wǎng)絡中過濾及轉(zhuǎn)換有用的信息。(2) 將截取的數(shù)據(jù)包轉(zhuǎn)換成易于識別的格式。(3) 對網(wǎng)絡環(huán)境中的通信失敗進行分析。(4) 探測網(wǎng)絡環(huán)境下的通信瓶頸。(5) 檢測是否有黑客正在攻擊網(wǎng)絡系統(tǒng)，以阻止其入侵。(6) 記錄網(wǎng)絡通信過程。2.4.2 網(wǎng)絡監(jiān)聽工具sniffer簡介sniffer portable是nai公司開發(fā)的系列網(wǎng)絡故障和性能管理解決方案，網(wǎng)絡專業(yè)人士可以使用它對多拓撲結(jié)構(gòu)和多協(xié)議網(wǎng)絡時行維護、故障解決、優(yōu)化調(diào)整和擴展。sniffer portable軟件可以在臺式計算機、便攜式計算機或者筆記本計算機等硬件平臺上運行，并且可以利

20、用高級自定義硬件組件確保全線速的捕獲能力。2.5 實驗步驟2.5.1 安裝sniffer在主機a上運行sniffer pro 4.7的安裝程序。根據(jù)安裝向?qū)У奶崾荆斎胗脩粜畔?，指定安裝路徑，填寫用戶注冊信息，輸入序列號，指定連接到internet的方式。安裝結(jié)束后，重新啟動計算機。 2.5.2 操作與測試sniffer pro的主要功能包括：l 監(jiān)視功能：用于計算并顯示實時網(wǎng)絡通信量數(shù)據(jù)。l 捕獲功能：用于捕獲網(wǎng)絡通信量并將當前數(shù)據(jù)包存儲在緩沖區(qū)（或者文件）中，以備將來分析使用。l 實時專家系統(tǒng)分析功能：用于在捕獲過程中分析網(wǎng)絡數(shù)據(jù)包，并對潛在的問題發(fā)出警告。l 顯示功能：用于解碼和分析捕獲

21、緩沖區(qū)中的數(shù)據(jù)包，并用各種格式加以顯示。本實驗主要了解其監(jiān)視功能。（1）dashboard（儀表盤）儀表盤是sniffer pro的可視化網(wǎng)絡性能監(jiān)視器。在第一次啟動sniffer pro時，儀表盤就會出現(xiàn)在屏幕上，如圖2所示。如果關(guān)閉了儀表盤窗口，選擇菜單monitor（監(jiān)控）dashboard（儀表盤）來啟動它，或者單擊sniffer pro工具欄中的儀表盤圖標。儀表盤窗口包括3個數(shù)字表盤，從左到右是：l 利用率百分比（utilization%）：說明線路使用帶寬的百分比，是用傳輸量與端口能夠處理的最大帶寬的比值來表示的。表盤的紅色區(qū)域表示警戒值。在有盤下文有2個數(shù)字，用破折號隔開。第一個

22、數(shù)字代表當前利用率百分比，破折號后面的數(shù)字代表最大的利用率百分比。l 每秒傳輸?shù)臄?shù)據(jù)包（packets/s）：說明當前數(shù)據(jù)包的傳輸速度。表盤的紅色區(qū)域表示警戒值，表盤下文顯示的是當前的數(shù)據(jù)包傳輸速度及其峰值。l 每秒產(chǎn)生的錯誤（errors/s）：說明網(wǎng)絡的出錯率。表盤的紅色區(qū)域表示警戒值，表盤下方的數(shù)值表示當前的出錯率和最大的出錯率。圖2 sniffer pro儀表盤窗口sniffer pro的很多網(wǎng)絡分析結(jié)果都可以設定閥值。如果超出了閥值，報警記錄就會生成一條信息。在儀表盤上，超過設定閥值的范圍用紅色標記。單擊儀表盤上方set thresholds（設置閥值）按鈕，會出現(xiàn)儀表盤屬性對話框，

23、如圖3所示。在儀表盤屬性對話框中，左邊是名稱欄，右邊是高閾值欄，底部是以秒為單位計算的監(jiān)控樣本間隔。如果修正了一個參數(shù)，但是又想恢復默認值，首先就要選中這個參數(shù)，然后單擊reset（重置）按鈕。如果要把所有參數(shù)都重新設定默認值，可以單擊reset all（全部重置）按鈕。圖3 儀表盤屬性對話框儀表盤左下方的gauge（計量表）卷標實時顯示利用率、數(shù)據(jù)包速率和錯誤率。單擊儀表盤左下方的detail（詳細資料）卷標，則以表格方式顯示網(wǎng)絡計數(shù)結(jié)果、規(guī)模分成和錯誤計數(shù)結(jié)果的詳細情況，如圖4所示。圖4 sniffer pro儀表盤的詳細資料卷標單擊short term（短期）或long term（長期）

24、按鈕，可以縮小或擴大、詳細錯誤和規(guī)模分布圖形的范圍，短期范圍大約是25分鐘，長期范圍是24小時.單擊儀表盤左下方的network（網(wǎng)絡）選擇框，顯示如圖5所示的網(wǎng)絡儀表盤圖和網(wǎng)絡事件選擇框。儀表盤中的網(wǎng)絡圖根據(jù)每秒的統(tǒng)計結(jié)果，提供所有網(wǎng)絡圖。圖5 網(wǎng)絡儀表盤圖和網(wǎng)絡事件選擇框單擊儀表盤在下方的size distribution（規(guī)模分布）選擇框，顯示如圖6所示的規(guī)模分布儀表盤圖和規(guī)模分布事件選擇框。儀表盤中的分布圖是與sniffer pro系統(tǒng)相連的網(wǎng)絡區(qū)段上所有的活動按規(guī)模劃分的一種實時視圖。圖6 規(guī)模分布儀表盤圖和規(guī)模分布事件選擇框同樣，用戶也可以單擊儀表盤左下方的detail error

25、s（詳細錯誤）選擇框，相看儀表盤中的詳細錯誤圖以及詳細錯誤的事件選擇框。（2）host table（主機列表）主機列表提供了被監(jiān)視到的所有主機下在與網(wǎng)絡的通信情況。選擇菜單monitor（監(jiān)視）host table（主機列表）來啟動它，或者單擊圖7中1所指向的sniffer pro工具欄中的主機列表圖標。在主機列表窗口底部，可以選擇以mac地址，ip地址或ipx地址查看主機列表。如圖7所示，選擇2所指向的ip選項。主機列表支持4種不同的視圖產(chǎn)：大綱（outline）、詳細資料（detail）、直方圖（bar）和餅圖（pie）。如圖7所示，單擊大綱圖標，明示出主機列表，以及經(jīng)過這些主機的傳輸字節(jié)

26、數(shù)量。在大綱視圖中，如果想了解某一個特定工作站（例如01）的連網(wǎng)情況，只須單擊圖7中所指向的ip地址，出現(xiàn)如圖8所示的界面。231圖7 主機列表大綱視圖圖8 主機連接地址示例圖8中清楚地顯示出該機器（01）連接的地址。單擊左邊的主機列表工具欄中其他的圖標，會彈出該機器連接情況的相關(guān)數(shù)據(jù)界面。在圖7所示的界面中單擊detail（詳細資料）圖標，將顯示出整個網(wǎng)絡中的協(xié)議分布情況，可清楚地看出網(wǎng)絡中各臺機器上正在運行的網(wǎng)絡應用層協(xié)議，如圖9所示。圖9 詳細資料視圖在圖7所示的界面中單擊bar（直方圖）圖標，出現(xiàn)以直方圖形式顯示的網(wǎng)絡上傳輸量為前n位的主機。

27、默認情況下，顯示前10位的主機，如圖10所示。圖10 傳輸量為前n位的主機直方圖在圖7所示的界面中單擊pie（餅圖）圖標，出現(xiàn)以餅圖形式顯示的網(wǎng)絡上傳輸量為前n位的主機。默認情況下，顯示前10位的主機，如圖11所示。圖11 傳輸量為前n位的主機餅圖（3）matrix（矩陣）主機列表提供了單臺主機的通信情況，矩陣則提供了被監(jiān)視到的主機對之間的網(wǎng)絡通信情況，兩者的操作界面和功能信息是完全類似的。選擇菜單monitor（監(jiān)控）matrix（矩陣）來啟動它，或者單擊sniffer pro工具欄中的矩陣圖標。圖中綠線表示正在發(fā)生的網(wǎng)絡連接，藍線表示過去發(fā)生的連接，將鼠標放到線上可以看出連接情況。3 實驗

28、3：入侵檢測實驗3.1實驗目的（1）理解入侵檢測的作用和檢測原理。（2）理解誤用檢測和異常檢測的區(qū)別。（3）掌握snort的安裝、配置和使用等實用技術(shù)。3.2 實驗環(huán)境每2位學生為一個實驗組，使用2臺安裝windows 2000/xp的pc機，通過局域網(wǎng)互聯(lián)，ip網(wǎng)絡為/24。其中一臺（00）上安裝windows平臺下的snort 2.8.1軟件，另一臺的ip地址為01。實驗環(huán)境的網(wǎng)絡拓撲如圖1所示。圖1 入侵檢測實驗拓撲3.3 實驗要求1、實驗任務（1）安裝和配置入侵檢測軟件。（2）查看入侵檢測軟件的運行數(shù)據(jù)。（3）記錄并分析

29、實驗結(jié)果。2、實驗預習（1）預習本實驗指導書，深入理解實驗的目的與任務，熟悉實驗步驟和基本環(huán)節(jié)。（2）復習有關(guān)入侵檢測的基本知識。3、實驗報告（1）簡要描述實驗過程。（2）實驗中遇到了什么問題，如何解決的。（3）分析入侵檢測系統(tǒng)在網(wǎng)絡安全方面的作用。（4）實驗收獲與體會。3.4 實驗背景3.4.1 基礎(chǔ)知識入侵檢測是指對入侵行為的發(fā)現(xiàn)、報警和響應，它通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或者系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)（intrusion detection system， ids）是完成入侵檢測功能的軟件和硬件的集合。隨著

30、網(wǎng)絡安全風險系數(shù)不斷揭帖，防火墻作為最主要的安全防范手段已經(jīng)不能滿足人們對網(wǎng)絡安全的需求。作為對防火墻極其有益的補充，位于其后的第二道安全閘門ids能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡攻擊的發(fā)生，有效擴展系統(tǒng)管理員的安全管理能力及提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。ids能在不影響網(wǎng)絡及主機性能的情況下對網(wǎng)絡數(shù)據(jù)流和主機審計數(shù)據(jù)進行監(jiān)聽和分析，對可疑的網(wǎng)絡連接和系統(tǒng)行為進行記錄和報警，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。3.4.2 入侵檢測軟件snort簡介snort是一款免費的nisd，具有小巧、易于配置、檢測效率高等我，常被稱為輕量級的ids。snort具有實時數(shù)據(jù)流量分析和ip數(shù)據(jù)包日志分

31、析能力，具有跨平臺特征，能夠進行協(xié)議分析和對內(nèi)容的搜索或匹配。snort能夠檢測不同的攻擊行為，如緩沖區(qū)溢出、端口掃描和拒絕服務攻擊等，并進行實時報警。snort可以根據(jù)用戶事先定義的一些規(guī)則分析網(wǎng)絡數(shù)據(jù)流，并根據(jù)檢測結(jié)果采取一定的行動。snort有3種工作模式，即嗅探器、數(shù)據(jù)包記錄器和nids。嗅探器模式僅從網(wǎng)絡上讀取數(shù)據(jù)包并作為連續(xù)不斷的數(shù)據(jù)流顯示在終端上；數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上，以備分析之用；nids模式功能強大，可以通過配置實現(xiàn)。3.5 實驗步驟3.5.1 安裝和配置輕量級ids軟件snort由于需要對網(wǎng)絡底層進行操作，安裝snort前需要預先安裝winpcap（win3

32、2平臺上網(wǎng)絡分析和捕獲數(shù)據(jù)包的鏈接庫）。winpcap的下載地址為：.（由于之前做nmap實驗時已經(jīng)安裝了，可不必再安裝）（1）從 網(wǎng)站下載windows平臺下的snort安裝程序，雙擊安裝程序進行安裝，選擇安裝目錄為d：snort。（2）進行到選擇日志文件存時，為簡單起見，選擇不需要數(shù)據(jù)庫支持，或者選擇snort默認的mysql和ocbc數(shù)據(jù)庫的方式。（3）單擊“開始”菜單，選擇“運行”命令，輸入cmd并按回車鍵，在命令行方式下輸入如下命令：c：documents and settingsadministrator d：d：cd snortbind：snortbinsnort w如果snor

33、t安裝成功，系統(tǒng)將顯示出如圖所示的信息。圖2 查看網(wǎng)卡信息（4）從返回的結(jié)果可知主機上有哪個物理網(wǎng)卡正在工作及該網(wǎng)卡的詳細信息。圖2中顯示的第二個是具有物理地址的網(wǎng)卡。輸入snort -vi2命令啟用snort。其中，-v表示使用verbose模式，把信息包打印在屏幕上；-i2表示監(jiān)聽第二個網(wǎng)卡。如圖3所示。圖3 啟用snort（5）為了進一步查看snort的運行情況，可以人為制造一些icmp網(wǎng)絡流量。在局域網(wǎng)的另一臺主機上使用ping指令，探測snort的主機。（6）回到運行snort的主機，可以發(fā)現(xiàn)snort已經(jīng)記錄了這次探測的數(shù)據(jù)包。例如圖4所示，snort在屏幕上輸出了從172.16.

34、7.1到的icmp數(shù)據(jù)包頭。圖4 snort 監(jiān)測到的數(shù)據(jù)包（7）打開d：snortetcsnort.conf，設置snort的內(nèi)部網(wǎng)絡和外部網(wǎng)絡網(wǎng)絡檢測范圍。將snort.conf文件中的var home_net any語句的any改為自己所在的子網(wǎng)地址，即將snort監(jiān)測的內(nèi)部網(wǎng)絡設置為所在的局域網(wǎng)。如本地ip為 ，則改為 /24。（8）配置網(wǎng)段內(nèi)提供網(wǎng)絡服務的ip地址，只需要把默認的$home_net改成對應的主機地址即可。var dns_servers $home_net var smtp_servers $home_netv

35、ar http_servers $home_netvar sql_servers $home_netvar telnet_servers $home_netvar snmp_servers $home_net如果不需要監(jiān)視類型的服務，可以用#號將上述語句注釋掉。（9）在snort.conf文件中，修改配置文件classification.config和reference.config的路徑：include d：snortetcclassification.configinclude d：snortetcreference.config其中classification.config文件保存的是規(guī)

36、則的警報級別相關(guān)的配置，reference.config文件保存了提供更多警報相關(guān)信息的鏈接。3.5.2 操作與測試（1）snort嗅探器模式檢測snort安裝是否成功時，用到的就是snort嗅探器模式。輸入命令如下：snort -v-i2使snort只將ip和tcp/udp/icmp的包頭信息輸出到屏幕上。如果要看到應用層的數(shù)據(jù)，可以輸入如下命令：snort -ve-i2如圖5所示。圖5 snort的嗅探器模式如果需要輸出更詳細的信息，輸入命令：snort -ve-i1（或i2）可以顯示數(shù)據(jù)層的信息。（2）數(shù)據(jù)包記錄器模式上面的命令只是在屏幕上輸出，如果要記錄在log文件上，需要預先建立一個

37、log目錄。輸入下面的命令數(shù)據(jù)包記錄器模式：snort -dve-i2-l d：snortlog -h /24 -k ascii其中，-l選項指定了存放日志的文件夾：-h指定目標主機，這里檢測對象是局域網(wǎng)段內(nèi)的所有主機，如不指定-h，則默認檢測本機；-k指定了記錄的格式，默認是tcpdump格式，此處使用ascii碼。在命令行窗口運行了該指令后，將打開保存日志的目錄。在log目錄下自動生成了許多文件夾和文件，文件夾是以數(shù)據(jù)包主機的ip地址命名的（如圖6所示），每個文件夾下記錄的日志就是和該外部主機相關(guān)的網(wǎng)絡流量。打開其中任一個，使用記事本查看日志文件，會發(fā)現(xiàn)文件的內(nèi)容和嗅探

38、器模式下的屏幕輸出類似，如圖7所示。圖6 snort數(shù)據(jù)包記錄器模式記錄的日志圖7 snort數(shù)據(jù)包記錄器模式下日志的內(nèi)容4 實驗4：電子郵件安全實驗4.1實驗目的（1）了解windows平臺下mdaemon郵件服務器的安裝與安全配置。（2）了解pgp的原理、功能與作用。（3）熟悉pgp的安裝和使用，如對郵件進行加密和數(shù)字簽名等。4.2 實驗環(huán)境通過局域網(wǎng)互聯(lián)的若干臺pc機，ip網(wǎng)絡為/24。一臺pc機（10）安裝windows xp和mdaemon郵件服務器程序，作為郵件服務器；其余若干臺安裝windows xp和pgp軟件，作為學生實驗用機。4.

39、3 實驗要求1、實驗任務（1）安裝和運行郵件服務器軟件mdaemon和pgp郵件加密軟件。（2）對mdaemon郵件服務器進行安全配置。（3）使用pgp對郵件進行加密測試。（4）記錄并分析實驗結(jié)果。2、實驗預習（1）預習本實驗指導書，深入理解實驗的目的與任務，熟悉實驗步驟和基本環(huán)節(jié)。（2）復習數(shù)據(jù)加密的基本知識。（3）復習有關(guān)郵件安全的基本知識。3、實驗報告（1）簡要描述實驗過程。（2）實驗中遇到了什么問題，如何解決的。（3）mdaemon郵件服務器的安全配置內(nèi)容。（4）分析pgp郵件加密軟件在郵件安全方面的作用。（5）實驗收獲與體會。4.4 實驗背景4.4.1 基礎(chǔ)知識電子郵件系統(tǒng)的安全主要

40、包括如下兩個方面：（1）電子郵件服務器的安全包括網(wǎng)絡安全以及如何從服務器端防范和杜絕垃圾郵件，病毒郵件，郵件炸彈和釣魚郵件等，這些是電子郵件服務的基本要求。（2）電子郵件信息的安全如何確保電子郵件內(nèi)容不會被非法竊取，非法篡改，發(fā)信方和收信方不能否認對郵件的發(fā)送和接受行為以及防止非法用戶登錄合法用戶的電子郵件帳號等。目前解決電子郵件服務的信息安全問題主要是通過端到端的安全電子郵件技術(shù)。端到端的安全電子郵件技術(shù)保證郵件從被發(fā)出到被接收的整個過程中信息的機密性，完整性和不可否認性。目前，internet使用的端到端的安全電子郵件標準主要有兩種：pgp(pretty good privacy)和安全多

41、功英特網(wǎng)電子郵件擴充標準smime (secure multi-part internet mail extensions)。4.4.2 郵件服務器mdaemonmdaemon是一款著名的標準smtp/pop/imap郵件服務系統(tǒng)，由美國alt-n公司開發(fā)，稱為萬能郵件服務器，支持windows和unix平臺，特別適用于中小型企業(yè)。它提供完整的郵件服務器功能，保護用戶不受垃圾郵件的干擾，實現(xiàn)網(wǎng)頁登錄收發(fā)郵件，支持遠程管理，并且當與mdaemon antivirus插件使用時，它還保護系統(tǒng)防御郵件病毒。由于其具有較高的安全性、可靠性和強大的功能，成為廣泛使用的一種郵件服務器。4.4.3 郵件加密

42、軟件pgppgp是一個基于rsa公匙加密體系的郵件加密軟件，其主要功能包括：基于idea的郵件內(nèi)容加密；基于rsa的數(shù)字簽名；md5報文摘要功能；數(shù)據(jù)壓縮功能；不需要任何保密渠道傳遞密匙。它的功能強大，有很快的速度。而且源代碼是免費的。4.5 實驗步驟4.5.1 郵件服務器的安裝與測試（1）執(zhí)行安裝文件。（2）當出現(xiàn)如圖1所示的對話框時，設置郵件服務器的域名。圖1（3）當出現(xiàn)如圖2所示的對話框時，設置用戶全名，郵箱名和密碼，可以設置此帳號為管理員，允許完全的配置訪問。圖2（4）單擊“下一步”按鈕，設置dns，可以直接使用默認的dns設置。（5）單擊“下一步”按鈕，根據(jù)需要選擇操作模式。（6）單

43、擊“下一步”按鈕，若在windows 98/me/xp上安裝，會出現(xiàn)“是否將mdaemon設置為系統(tǒng)服務”的提示框，可以根據(jù)需要選擇。（7）單擊“下一步”按鈕，直至完成安裝。（8）mdaemon允許客戶使用任何標準的pop3/smtp/imap軟件，如microsoft outlook express。安裝完成之后，可以在自己主機上的outlook express設置一個賬號，如圖3至圖7所示，然后進行收發(fā)郵件的測試。測試結(jié)果如圖8所示。圖3圖4圖5圖6圖7圖84.5.2 郵件服務器的安全配置mdaemon server測試成功之后就可以正常運行，管理員可以根據(jù)自己的需要設置相關(guān)選項。單擊md

44、aemon server菜單欄的“安全”菜單，進行安全設置，出現(xiàn)如圖9所示界面，它提供了多種安全設置來確保郵件服務器的安全。圖9在使用mdaemon server的病毒防護功能之前，需安裝securityplus插件(av_zh.exe)。 在“安全”菜單中，可以進行如下安全設置：（1）mdaemon server的病毒防護（2）郵件內(nèi)容的過濾（3）dns黑名單的設置（4）垃圾郵件的過濾（5）ssl和證書設置（6）地址抑制和主機、ip和動態(tài)屏蔽（7）中繼/可信的/tarpit設置/灰名單/反向查詢/局域網(wǎng)ips設置（8）ip防護/auth/pop先于smtp設置（9）spf和發(fā)件人id/域密鑰

45、和dkim/證書/hashcash設置（10）站點使用策略設置4.5.3 安裝pgp desktop pro v 8.1（1）雙擊pgp的安裝程序，根據(jù)安裝向?qū)нM行安裝。（2）在user type對話框中，根據(jù)實際情況進行選擇：如果曾經(jīng)使用過pgp，選擇“yes，i already have keyrings”單選按鈕，再導入密鑰即可。第一次使用pgp時，需要申請密鑰，選擇“no，i am a new user”單選按鈕。（3）單擊“下一步”按鈕，安裝程序會詢問需要選擇哪些軟件的支持組件安裝，可以根據(jù)需要選擇，然后單擊“下一步”按鈕完成安裝。（4）程序安裝完成之后會提示需要重新啟動計算機。重新

46、啟動之后，選擇“開始”“程序”pgppgp keys，在計算機右下角出現(xiàn)一個鎖形狀的pgp圖標。4.5.4 pgp密鑰管理（1）生成密鑰對在使用pgp之前，必須先生成公私密鑰對。其中，公鑰可以分發(fā)給需要與之通信的人，讓他們用這個公鑰來加密郵件或驗證接受郵件的數(shù)字簽名；私鑰由使用者自己保存，使用者可以用這個密鑰來解開加密郵件或?qū)Πl(fā)送的郵件進行簽名。選擇“開始”“程序”pgppgp keys,進入pgp開始界面。執(zhí)行keysnew key生成新的密鑰對，單擊后會提示正在使用密鑰生成向?qū)В瑔螕簟跋乱徊健卑粹o后出現(xiàn)如圖10所示的界面，需要填寫名字和郵件信息。單擊“下一步”按鈕，在與passphrase

47、對應的文本框中設置一個不少于8位的密碼，再在confirmation對應的文本框中輸入一便剛才設置的密碼，以確定密碼是否設置正確。passphrase quality表示了用戶設置的密碼的質(zhì)量，綠色條越長表示密碼設置的質(zhì)量越好，如圖11所示。單擊“下一步”按鈕生成密鑰，完成密鑰生成向?qū)?，出現(xiàn)如圖12所示的對話框。生成密鑰后關(guān)掉對話框時會提示是否需要備份剛生成的密鑰對，一般最好進行備份，以免丟失。圖10圖11圖12（2）導出密鑰在生成的密鑰上右擊，選擇export，導出擴展名為asc的“sunyat-sen.asc”公鑰文件，如圖13所示。可以用郵件或利用其他安全通道將公鑰分發(fā)給需要與之通信的人

48、。特別提示：通信的雙方都要進行密鑰的導入和導出。圖13（3）導入密鑰如果需要閱讀他人發(fā)送過來的已簽名郵件，或者需要給他人發(fā)送加密郵件時，就必須擁有對方的公鑰。假設通信方為test，其，當接收方收到通信方的公鑰并下載到自己的計算機后，雙擊這個公鑰，會出現(xiàn)如圖14所示的對話框。此時，選中好友或通信方的e-mail地址（若有多個，可以單擊select all按鈕），然后單擊import按鈕，導入好友公鑰。啟動pgp程序，選中通信方的公鑰（也就是pgp中顯示出的對方e-mail地址），然后右擊選擇sign，即可以對公鑰進行簽名，如圖15所示。單擊ok按鈕，會要求輸入私鑰保護口令，如圖16所示。簽名后還

49、需要在密鑰屬性里將信任值從untrusted端移到trusted端。圖14圖15圖164.5.5 郵件加密與簽名（1）重新啟動outlook express，在工具欄中會出現(xiàn)pgp keys的按鈕。（2）打開outlook express，寫一封測試郵件，發(fā)信給testsunyat-sen.mail），在出現(xiàn)的“新郵件”窗口中填入正確的收件人、郵件主題以及郵件內(nèi)容。寫完郵件之后，在“新郵件”窗口中單擊按鈕，如圖17所示。圖17（3）單擊工具欄中的sign message（pgp）和encrypted message（pgp）后，單擊“發(fā)送”按鈕發(fā)送一封簽名和加密的信件。在圖18對話框中輸入私鑰

50、保護口令，單擊ok按鈕即可。圖18（4）郵件接受者接受到測試郵件，剛開始打開時看到的是一堆亂碼，如圖19。圖19如果沒有發(fā)送人的公鑰和郵件接收者的私鑰是不可能查看里面的內(nèi)容的，這樣就能保證別人不能獲得郵件的真正內(nèi)容。如果需要看到真實的郵件內(nèi)容，真正的郵件接收者可以在工具欄中單擊decrypt pgp message按鈕，彈出如圖20所示的對話框。圖20輸入私鑰保護口令，單擊ok按鈕后就可以正?？吹叫偶脑?，如圖21。圖215 實驗5：網(wǎng)絡級防火墻實驗5.1實驗目的（1）理解網(wǎng)絡級防火墻的功能和工作原理。（2）理解ip訪問控制列表acl的基本格式和各項參數(shù)的含義。（3）掌握vlan和ip子網(wǎng)的

51、配置方法。（4）掌握網(wǎng)絡級防火墻的基本要素和配置方法。 5.2 實驗環(huán)境本實驗分成每3人一組進行。每組實驗設備包括：cisco3560三層交換機1臺pc機3臺（雙網(wǎng)卡），組成兩個vlan，構(gòu)成實驗測試環(huán)境。其中，pc1還連接實驗管理服務器（00），兼做交換機的配置終端。直通雙絞線3根，用于將各pc機的2號網(wǎng)卡連接到交換機的fastethernet 端口。實驗拓撲如圖1。其中，pc1和pc2組成vlan2和子網(wǎng)，pc3組成vlan3和子網(wǎng)，vlan2 與vlan3使用ip協(xié)議通過三層交換實現(xiàn)相互通信。fastethernet0/6f

52、astethernet0/3fastethernet0/2網(wǎng)關(guān)：/24網(wǎng)關(guān)：/24網(wǎng)關(guān)：/24圖1 網(wǎng)絡級防火墻實驗拓撲5.3 實驗要求1、實驗任務（1）按要求創(chuàng)建和配置vlan與ip子網(wǎng)。（2）按要求創(chuàng)建和配置acl。（3）使用ping命令等方法驗證實驗結(jié)果。 （4）記錄并分析實驗結(jié)果。2、實驗預習（1）預習本實驗指導書，深入理解實驗目的與要求，熟悉實驗設備與實驗環(huán)境。（2）了解虛擬局域網(wǎng)的相關(guān)知識。（3）熟悉cisco交換機相關(guān)配置命令和實驗步驟，了解acl的

53、格式及其參數(shù)的含義3、實驗報告（1）簡要描述實驗過程。（2）實驗中遇到了什么問題，如何解決的。（3）簡要敘述利用訪問控制列表acl實現(xiàn)ip地址過濾和協(xié)議過濾的方法。（4）實驗收獲與體會。5.4 實驗背景5.4.1 實驗原理目前的網(wǎng)絡級防火墻大都基于ip路由器實現(xiàn)，其基礎(chǔ)是路由器的訪問控制列表（acl）。acl提供了一種機制，可以控制和過濾通過路由器的不同接口去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流，以制定機構(gòu)內(nèi)部網(wǎng)絡的安全策略，這些策略可以描述安全功能，并且反映流量的優(yōu)先級別。路由器一般都支持兩種類型的訪問表：標準訪問表和擴展訪問表。在一個接口上配置訪問表需要三個步驟： （

54、1）定義訪問表; （2）指定訪問表所應用的接口; （3）定義訪問表作用于接口上的方向。本實驗通過將兩個ip子網(wǎng)劃分到不同的vlan中（見拓撲圖），利用三層交換技術(shù)實現(xiàn)兩個子網(wǎng)的相互通信，然后通過訪問控制列表（acl）實現(xiàn)ip地址過濾、限制icmp、遠程登錄交換機、禁止tcp協(xié)議等功能完成網(wǎng)絡防火墻的配置與測試。5.4.2 標準的ip訪問控制表標準訪問表控制（表序號從1到99）基于網(wǎng)絡地址的信息流，只實現(xiàn)ip地址過濾。1、標準ip訪問表的基本格式access-listlist numberpermit/denyhost/anysource addresswildcard-masklog2、標準ip訪問表基本格式中各項參數(shù)的含義（1）list number-表號范圍標準ip訪問表的表序號從1到99。（2）permit/deny-允許或拒絕關(guān)鍵字permit和deny用來表示滿足訪問表項的報文是允許通過接口，還是要過濾掉。permit表示允許報文通過接口，而deny表示匹配標準ip訪問表源地址的報文要被丟棄掉。（3）source address-ip源地址對于標準的ip訪問表，源地址是主機或一組主機的點分十進制表示，如：（4）host/any-主機匹配h