1、實訓(xùn)一 基于IPTABLES的包過濾防火墻的構(gòu)建一、實訓(xùn)目的：了解包過濾防火墻的工作原理。掌握利用Iptables構(gòu)建包過濾防火墻。二、實訓(xùn)環(huán)境：安裝有VMWare虛擬機的計算機，Cisco路由器模擬器Dynamips，CD-Linux光盤鏡像文件。圖1-1實驗拓?fù)淙嵱?xùn)內(nèi)容1、建立虛擬機。2、模擬Cisco路由器。3、配置Iptables。4、配置路由器。5、結(jié)果測試。四、實訓(xùn)過程1、建立虛擬機新建虛擬機改變虛擬機設(shè)置，點擊【編輯虛擬機設(shè)置】按鈕，如圖1-2所示。圖1-2移除軟驅(qū)、USB、聲卡等設(shè)備，如圖1-2所示。圖1-3添加網(wǎng)卡，點擊圖1-3中的【Add】按鈕，出現(xiàn)如圖1-4所示窗口，

2、點擊【Next】按鈕。圖1-4設(shè)置網(wǎng)卡和宿主主機網(wǎng)絡(luò)之間的關(guān)系，選擇【Host-only】，如圖1-4所示。圖1-4設(shè)置第一塊網(wǎng)卡和宿主主機網(wǎng)絡(luò)之間的關(guān)系，選擇【Bridge】，如圖1-5所示。圖1-5設(shè)置CD-ROM中ISO鏡像文件的位置，如圖1-6所示。圖1-62、配置Linux的網(wǎng)絡(luò)地址啟動虛擬機在命令提示符后輸入如下命令ifconfig eth0 172.16.x.y netmask 注意：IP地址172.16.x.y中的x用你所在機房的實際情況代替，y最好用你用的主機的IP地址加100。在命令提示符后輸入如下命令ifconfig -a查看網(wǎng)卡IP地址配置。記

3、錄下eth1網(wǎng)絡(luò)接口卡的IP地址，一般為192.168.133.x。3、把虛擬機和物理主機與Cisco路由器橋接安裝Winpcap。獲取網(wǎng)卡的以太網(wǎng)參數(shù)。啟動Windows的命令行界面，在命令提示符后輸入getmac。如圖1-7，把圖中紅色橢圓中的內(nèi)容復(fù)制下來。圖1-7更改.net文件內(nèi)容，把上個步驟中獲得的參數(shù)替換掉圖1-8中文件的內(nèi)容 圖1-9 MAC地址為00-50開始的參數(shù)替換到SW2中，另外一個替換到SW1中的內(nèi)容，如圖1-10所示。本步驟是把路由器通過虛擬的以太網(wǎng)交換機和虛擬機及物理主機橋接起來。圖1-104、虛擬Cisco路由器啟動路由器模擬器。啟動路由器模擬器管

4、理平臺，如圖1-11所示。圖1-11啟動路由器，如圖1-12所示。圖1-124、配置路由器R1登錄R1配置F0/0接口RouterenableRouter#conf tRouter(config)#interface f0/0Router(config-if)#ip address 172.16.x.y Router(config-if)#no shutdownRouter(config-if)#exit注意：IP地址172.16.x.y中x是你所用機房中計算機所在的網(wǎng)絡(luò)的地址，y用你給虛擬機設(shè)置的IP地址主機地址加1。Router(config)#ip http s

5、erverRouter(config)#line vty 0 4Router(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#logg sRouter(config-line)#exitRouter(config)#ip route 172.16.x.y注意：172.16.x.y是你計算機中虛擬機Linux系統(tǒng)的eth0網(wǎng)卡的IP地址。3、配置路由器R2登錄R2配置F0/0接口RouterenableRouter#conf tRouter(config)#interf

6、ace f0/0Router(config-if)#ip address 192.168.133.x 注意：x不能和你虛擬機的eth1網(wǎng)卡的IP地址的主機地址重復(fù)。Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#ip http serverRouter(config)#line vty 0 4Router(config-line)#password ciscoRouter(config-line)#loginRouter(config-line)#logg sRouter(config

7、-line)#exitRouter(config)#ip route 192.168.133.y注意：192.168.133.y是你計算機中虛擬Linux系統(tǒng)的eth1網(wǎng)卡的IP地址。4、配置Iptables語法格式：iptables -AI INPUT,OUTPUT,FORWARD -io interface -p TCP,UDP -s IP/network -sport ports -d IP/network -dport ports -j ACCEPT,DROP 參數(shù)說明： -A ：新增加一條規(guī)則，該規(guī)則增加在最后面一行； -I ：在第一條規(guī)則加入； IN

8、PUT：封包為輸入主機的方向； OUTPUT ：封包為輸出主機的方向； FORWARD：封包為不進入主機而向外再傳輸出去的方向； -i ：流入的網(wǎng)卡界面 -o：流出的網(wǎng)卡界面 interface ：網(wǎng)絡(luò)卡接口，例如 ppp0, eth0, eth1. -p ：請注意，這是小寫呦！封包的協(xié)定啦！ TCP ：封包為 TCP 協(xié)定的封包； UDP ：封包為 UDP 協(xié)定的封包； -s ：來源封包的 IP 或者是 Network ( 網(wǎng)域 )； -sport：來源封包的 port 號碼； -d ：目標(biāo)主機的 IP 或者是 Network ( 網(wǎng)域 )； -dport：目標(biāo)主機的 port 號碼； -j

9、 ：動作，可以接底下的動作； ACCEPT ：接受該封包 DROP ：丟棄封包*假設(shè)eth1和路由器R2構(gòu)成了內(nèi)部網(wǎng)絡(luò)*禁止從外部路由器上登錄內(nèi)部路由器R2，但是從路由器R1除外。只開放內(nèi)部對外部的www,ftp,smtp,dns,pop3，telnet訪問。禁止外部用戶ping內(nèi)部路由器R2和防火墻的內(nèi)部網(wǎng)絡(luò)接口。禁止在Linux上訪問R2的Web服務(wù)。5、結(jié)果測試。在路由器R1上telnet路由器R2。在Linux下訪問R2的Web服務(wù)。（在命令提示符后輸入lynx http:/IP地址 或者域名）。在R1上ping路由器R2和Linux的eth1接口。五、實訓(xùn)總結(jié) 實訓(xùn)二：基于Cisco

10、路由器的過濾路由器的配置一、配置標(biāo)準(zhǔn) ACL地址表設(shè)備接口IP 地址子網(wǎng)掩碼R1S0/0/052Fa0/0Fa0/1R2S0/0/052S0/0/52S0/1/02524Fa0/0R3S0/0/52Fa0/0192.168.3

11、0.1ISPS0/0/12624Fa0/024Fa0/12924PC1網(wǎng)卡0PC2網(wǎng)卡0PC3網(wǎng)卡0PC4網(wǎng)卡28WEB/TFTPServer網(wǎng)卡54WEBServer

12、網(wǎng)卡024OutsideHost網(wǎng)卡5824標(biāo)準(zhǔn) ACL 是一種路由器配置腳本，根據(jù)源地址來控制 路由器應(yīng)該允許還是應(yīng)該拒絕數(shù)據(jù)包。本練習(xí)的主要內(nèi)容是 定義過濾標(biāo)準(zhǔn)、配置標(biāo)準(zhǔn) ACL、將 ACL 應(yīng)用于路由器 接口并檢驗和測試 ACL 實施。路由器已經(jīng)過 配置，包括 IP 地址和 EIGRP 路由。用戶執(zhí)行 口令是cisco，特權(quán)執(zhí)行口令是class。任務(wù) 1：檢查當(dāng)前的網(wǎng)絡(luò)配置將任何 ACL 應(yīng)用于網(wǎng)絡(luò)中之前，都必須確認(rèn)網(wǎng)絡(luò)完全連通。如果應(yīng)用 ACL 之前不測試網(wǎng)絡(luò)連通性，排查故障 可能會

13、很困難。有助于連通性測試的一個步驟是查看每臺設(shè)備上的路由表，確保列出了每個網(wǎng)絡(luò)。在 R1、R2 和 R3 上發(fā)出show ip route命令。輸出應(yīng)該顯示，每臺設(shè)備都有路由通往其連接的網(wǎng)絡(luò)，并且有到所有其它遠程網(wǎng)絡(luò)的動態(tài)路由。所有設(shè)備均可訪問所有其它位置。雖然路由表有助于評估網(wǎng)絡(luò)狀態(tài)，但仍應(yīng)使用ping命令測試連通性。完成以下測試： 從 PC1 ping PC2。 從 PC2 ping Outside Host。 從 PC4 ping Web/TFTP Server。任務(wù) 2：評估網(wǎng)絡(luò)策略并規(guī)劃 ACL 實施步驟 1. 評估 R1 LAN 的策略。允許 /24 網(wǎng)絡(luò)訪

14、問除 /24 網(wǎng)絡(luò)外的所有位置。允許 /24 網(wǎng)絡(luò)訪問所有目的地址，連接到 ISP 的所有網(wǎng)絡(luò)除外。步驟 2. 為 R1 LAN 規(guī)劃 ACL 實施。用兩個 ACL 可完全實施 R1 LAN 的安全策略。在 R1 上配置第一個 ACL，拒絕從 /24 網(wǎng)絡(luò)發(fā)往 /24 網(wǎng)絡(luò)的流量，但允許所有其它流量。此 ACL 應(yīng)用于 R1 Fa0/0 接口的出站流量，監(jiān)控發(fā)往 網(wǎng)絡(luò)的所有流量。在 R2 上配置第二個 ACL，拒絕 /24 網(wǎng)絡(luò)訪問 ISP，但允許所

15、有其它流量。控制 R2 S0/1/0 接口的出站流量。ACL 語句的順序應(yīng)該從最具體到最概括。拒絕網(wǎng)絡(luò)流量訪問其它網(wǎng)絡(luò)的語句應(yīng)在允許所有其它流量的語句之前。步驟 3. 評估 R3 LAN 的策略。允許 /10 網(wǎng)絡(luò)訪問所有目的地址。拒絕主機 0 訪問 LAN 以外的地址。步驟 4. 為 R3 LAN 規(guī)劃 ACL 實施。一個 ACL 即可完全實施 R3 LAN 的安全策略。在 R3 上配置該 ACL，拒絕 0 主機訪問 LAN 以外的地址，但允許 LAN 中的所有其它主機發(fā)出的流量。此 ACL 將應(yīng)用于 Fa0/0 接口的

16、入站流量，監(jiān)控嘗試離開 /10 網(wǎng)絡(luò)的所有流量。ACL 語句的順序應(yīng)該從最具體到最 概括。拒絕 0 主機訪問的語句應(yīng)在允許所有 其它流量的語句之前。二、配置擴展 ACL地址表設(shè)備接口IP 地址子網(wǎng)掩碼R1S0/0/052Fa0/0Fa0/1R2S0/0/052S0/0/52S0/1/025255.

17、255.255.224Fa0/0R3S0/0/52Fa0/0ISPS0/0/12624Fa0/024Fa0/12924PC1網(wǎng)卡0PC2網(wǎng)卡0PC3網(wǎng)卡0255.255.255

18、.0PC4網(wǎng)卡28WEB/TFTPServer網(wǎng)卡54WEB Server網(wǎng)卡024OutsideHost網(wǎng)卡5824任務(wù) 1：檢查當(dāng)前的網(wǎng)絡(luò)配置任務(wù) 2：評估網(wǎng)絡(luò)策略并規(guī)劃 ACL 實施步驟 1. 評估 R1 LAN 的策略。對于 /24 網(wǎng)絡(luò)，阻止TFTP 訪問所有位置，并且阻止通過telnet 訪問地址為 54 的企業(yè) Web/TFTP S

19、erver。允許所有其它訪問。對于 /24 網(wǎng)絡(luò)，允許通過 Web 訪問地址為 54 的企業(yè) Web/TFTP Server。阻止從 /24 網(wǎng)絡(luò)發(fā)往 /24 網(wǎng)絡(luò)的所有其它流量。允許所有其它訪問。步驟 2. 為 R1 LAN 規(guī)劃 ACL 實施。用兩個 ACL 可完全實施 R1 LAN 的安全策略。第一個 ACL 支持策略的第一部分，配置在 R1 上并應(yīng)用于 Fast Ethernet 0/0 接口的入站流量。第二個 ACL 支持策略的第二部分，配置在 R1 上并應(yīng)用于 Fast Ethernet

20、 0/1 接口的入站流量。步驟 3. 評估 R3 LAN 的策略。阻止 /24 網(wǎng)絡(luò)的所有 IP 地址訪問 /24 網(wǎng)絡(luò)的所有 IP 地址。允許 /24 的前一半地址訪問 /24 網(wǎng)絡(luò)和 /24 網(wǎng)絡(luò)。允許 /24 的前一半地址通過 Web 訪問和 ICMP 訪問所有其余目的地址。允許 /24 的后一半地址訪問所有其它目的地址。隱含拒絕所有其它訪問。步驟 4. 為 R3 LAN 規(guī)劃 ACL 實施。本步驟需要在 R3 上配置一個

21、 ACL 并應(yīng)用于 FastEthernet 0/0 接口的入站流量。步驟 5. 評估通過 ISP 進入的 Internet 流量的策略。僅允許 Outside Host 通過端口 80 與內(nèi)部 Web Server 建立 Web 會話。僅允許已建立 TCP 會話進入。僅允許 ping 應(yīng)答通過 R2。步驟 6. 為通過 ISP 進入的 Internet 流量規(guī)劃 ACL 實施。本步驟需要在 R2 上配置一個 ACL 并應(yīng)用于 Serial 0/1/0 接口的入站流量。三、實訓(xùn)總結(jié)實訓(xùn)三：Cisco PIX防火墻的配置一、實訓(xùn)目的：了解Cisco ASA防火墻。掌握Cisco ASA防火墻的配

22、置。二、實訓(xùn)環(huán)境：安裝有VMWare虛擬機的計算機，Cisco ASA5520 操作系統(tǒng)，軟件Named Pipe TCP Proxy、SecureCRT，JRE、Fiddler2、dotnetfx3。圖4-1實驗拓?fù)淙嵱?xùn)內(nèi)容1、建立Cisco ASA5520仿真機。2、建立管道TCP代理3、啟動ASA虛擬機，啟動Named Pipe TCP Proxy4、登錄Cisco ASA55205、配置Cisco ASA55206、結(jié)果測試四、實訓(xùn)過程1、建立Cisco ASA5520仿真機打開存在的虛擬機。圖 4-2 打開已經(jīng)存在的虛擬機改變虛擬機設(shè)置，點擊【編輯虛擬機設(shè)置】按鈕，如圖4-3所示

23、。圖4-3添加一塊新網(wǎng)卡，設(shè)置網(wǎng)卡和宿主主機網(wǎng)絡(luò)之間的關(guān)系，選擇【NAT】，如圖4-4所示。圖2-4設(shè)置虛擬機網(wǎng)卡和宿主主機網(wǎng)絡(luò)之間的關(guān)系2、建立管道TCP代理安裝Named Pipe TCP Proxy。啟動Named Pipe TCP Proxy，打開如圖2-5所示菜單。圖2-5設(shè)置TCP管道代理的端口為4000圖2-63、啟動ASA虛擬機，啟動Named Pipe TCP Proxy。啟動虛擬機Named Pipe TCP Proxy，要保證出現(xiàn)如圖2-7所示內(nèi)容。圖2-74、登錄Cisco ASA 5520登錄Cisco ASA 5520，如圖2-8所示。5、配置Cisco ASA 5

24、520基本配置enableconf thostname ASA5520domain-name enable password asa5520passwd ciscointerface Ethernet0/0nameif outsidesecurity-level 0ip address 172.16.x.y exitinterface Ethernet0/1nameif insidesecurity-level 100ip address 192.168.a.b exitinterface Ethernet0/2na

25、meif dmzsecurity-level 50ip address exit*注意172.16.x.y，要和你計算機所在機房的計算機的物理網(wǎng)卡的IP地址在一個段中。Y用你計算機IP地址數(shù)加100。192.168.a.b，要和你計算機網(wǎng)卡的IP地址在一個段里。配置完以后，在防火墻上ping 172.16.x.254,和192.168.a.1。配置靜態(tài)默認(rèn)路由。route outside 172.16.x.254配置完以后，在防火墻上ping 94。 配置telnet遠程管理teln

26、et 192.168.a.0 insidetelnet timeout 10*注意192.168.a.0是你計算機網(wǎng)卡的IP地址所在的網(wǎng)段。telnet測試配置SSH遠程管理crypto key generate rsa modulus 1024ssh 192.168.a.0 insidessh 0 0 outsidessh timeout 10ssh version 2測試SSH配置ASDM遠程管理http server enablehttp 192.168.a.0 insideasdm image disk

27、0username asdm password cisco privilege 15在瀏覽器里輸入https:/IP地址測試。配置地址轉(zhuǎn)換nat (inside) 100 global (outside) 100 interface配置訪問控制列表access-list 111 permit ip any anyaccess-list 111 permit ip any anyaccess-group 111 in interface insideaccess-group 111 in interface outside五、實訓(xùn)總結(jié)實訓(xùn)四：

28、基于Snort的入侵檢測系統(tǒng)的構(gòu)建1入侵檢測系統(tǒng)入侵檢測系統(tǒng)監(jiān)視計算機系統(tǒng)，尋找入侵的特征（未授權(quán)用戶）或錯誤使用（越權(quán)的授權(quán)用戶）。入侵檢測系統(tǒng)可分為如下幾類：（1）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品放置在比較重要的網(wǎng)段內(nèi)，不停的監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。目前，基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品是主流。（2）基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測產(chǎn)品通常是安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其中主體活動十分可疑（

29、特征或違反統(tǒng)計規(guī)律），入侵檢測系統(tǒng)就會采取相應(yīng)措施。（3）混合式入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御體系不全面。但是，它們的缺憾是互補的。如果這兩類產(chǎn)品能夠無縫的結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會構(gòu)架成一套完整立體的主動防御體系，綜合了基于網(wǎng)絡(luò)和基于主機兩種結(jié)構(gòu)特點的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。 （4）文件完整性檢查工具由于文件完整性檢查工具與原始意義上的基于主機的入侵檢測不同，它僅限于保護關(guān)鍵文件的完整性，所以將它作為一類產(chǎn)品單列。通2. SnortSnort為開放源代碼入侵檢測系統(tǒng)軟件，為用

30、來監(jiān)視網(wǎng)絡(luò)傳輸量的網(wǎng)絡(luò)型入侵檢測系統(tǒng)。主要工作是捕捉流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，一旦發(fā)現(xiàn)與非法入侵的組合一致，便向管理員發(fā)出警告。3.實訓(xùn)環(huán)境需求PC機若干臺（其中一臺要安裝Windows xp SP2）, PC機要組成計算機網(wǎng)絡(luò)。所需軟件: 1、Snort_232_Build12_Installer.exe（在windows平臺下的snort版本） 2、WinPcap-3.0beta.exe（windows版本的PCAP） http:/winpcap.polito.it 3、mysql-4.0.26-win32.zip（windows版本的mysql數(shù)據(jù)庫服務(wù)器

31、） 4、acid-0.9.6b22.tar.gz（基于php的入侵檢測數(shù)據(jù)庫分析控制臺） /kb/acid 5、adodb465.tar（ADODB（Active Data Objects Data Base）庫for PHP） /sourceforge/adodb/adodb465.zip 6、apache_2.0.55-win32-x86-no_ssl.msi（windows版本的apache Web服務(wù)器） 7、

32、php-4.4.2-Win32.zip（windows版本的php腳本環(huán)境支持） 8、jpgraph-1.20.3.tar.gz（php下的圖形庫） http:/www.aditus.nu/jpgraph 注：由于每種軟件都有很多的版本，并不是每種版本之間都能兼容，所以上述軟件不一定是最新的，但是這樣的一個組合已經(jīng)實現(xiàn). 9.2.4 實訓(xùn)步驟1. 安裝Apache For Windows 2. 添加Apache 對PHP 的支持(1) 解壓縮php-4.4.2-Win32.zip至c:php.(2) 拷貝php4ts.dll 至c:windowssystem

33、32，拷貝php.ini-dist 至c:windowsphp.ini。(3)修改php.ini，將extension=php_gd2.dll前面的“；”去掉，將extension=php_msql.dll前面的“；”去掉。拷貝c:phpextensios下的php_gd2.dll與php_msql.dll 至c:windows。以上添加gd 圖形庫支持。 (4) 打開C：Program FilesApache GroupApache2conf httpd.conf 文件，在其中中添加以下行：LoadModule php4_module c:/php/sapi/php4apache2.dllS

34、criptAlias /php/ c:/php/AddType application/x-httpd-php .phpAcTion application/x-httpd-php /php/php.exe(5) 在C:Program FilesApache GroupApache2htdocs文件夾內(nèi)建立一個a.php文件,起內(nèi)容為： (6) 在IE地址欄里輸入： http:/localhost/a.php或 /a.php,如果能看到PHP的測試頁面，說明安裝成功。3.安裝Snort 雙擊snort的安裝文件。 到了選擇安裝路徑，保持默認(rèn)。 一路“Next”，直

35、至“Finish”，安裝就結(jié)束。4. 安裝配置mysql(1) 安裝mysql雙擊mysql的安裝文件，和普通windows程序安裝一樣，一路點“Next”就可以。(2) 啟動mysql 服務(wù) 運行 C：mysqlbinwinmysqladmin.exe 輸入root管理員密碼。為默認(rèn)root 帳號添加口令： c:cd mysqlbin C:mysqlbinmysql -u root mysql mysqlset password for rootlocalhost = password(snort); 建立snort 運行必須的snort 庫和snort_archive 庫C:mysqlbi

36、nmysql -u rootmysql create database snort;mysql create database snort_archive;mysql quit建立snort、snort_archive數(shù)據(jù)庫的表結(jié)構(gòu)運行 :c:mysqlbinmysql -D snort -u root -p c:snortschemascreate_mysql c:mysqlbinmysql -D snort_archive -u root -p grant usage on *.* to acidlocalhost identified by acidtest; mysql grant u

37、sage on *.* to snortlocalhost identified by snorttest; 為acid 用戶和snort 用戶分配相關(guān)權(quán)限 mysql grant select,insert,update,delete,create,alter on snort .* to acidlocalhost; mysql grant select,insert on snort .* to snortlocalhost; mysql grant select,insert,update,delete,create,alter on snort_archive .* to acidl

38、ocalhost; 為acid擁護和snort 擁護設(shè)置密碼 mysqlset password for snortlocalhost = password(snort); mysqlset password for acidlocalhost = password(snort);5. 安裝adodb解壓縮adodb465.tar 至c:phpadodb 目錄下6. 安裝acid(1)解壓縮acid-0.9.6b22.tar.gz至c：program filesapache group apache2htdocsacid目錄下。 (2)修改acid_conf.php文件，找到相應(yīng)的行，并把它們

39、改成： $DBlib_path = c:phpadodb; $alert_dbname = snort; $alert_host = localhost; $alert_port = 3306; $alert_user = acid; $alert_password = your password; /* Archive DB connection parameters */ $archive_dbname = snort_archive; $archive_host = localhost; $archive_port = 3306; $archive_user = acid; $archi

40、ve_password = your password; $ChartLib_path = c:phpjpgraphsrc;注意：yourpassword代表的是root用戶的密碼(3)打開/acid/acid_db_setup.php，測試基本功能是否安裝成功。在正常情況下，到此處應(yīng)該能夠正常連接數(shù)據(jù)庫。 這里常出現(xiàn)的一種錯誤是Warning: mysql_pconnect(): Client does not support authentication protocol requested by server ,原因：這是因為php不支持mysql4.1及后

41、續(xù)版本新的驗證方式。 解決方法： mysql UPDATE mysql.user SET password=OLD_PASSWORD(yourpassword) WHERE Host=localhost AND User=root; mysql FLUSH PRIVILEGES; (4)如果將兩個步驟都完成，那么就可以進入到主頁： /acid/acid_main.php，如果有一些顯示信息，基本上全是0，則說明安裝成功。7. 安裝winpcap(1) 雙擊winpcap的安裝文件，和普通windows程序安裝一樣，一路點“Next”就可以。8. 設(shè)置Snort(1

42、) 安裝Snort 雙擊snort的安裝文件。 到了選擇安裝路徑，保持默認(rèn)。 一路“Next”，直至“Finish”，安裝就結(jié)束。(2) 編輯c:snortetcsnort.conf 需要修改的地方： include classification.config include reference.config 改為絕對路徑：include c:snortetcclassification.config include c:snortetcreference.config(3) 設(shè)置snort 輸出alert 到mysql server編輯c:snortetcsnort.conf,添加以下內(nèi)容：

43、 如果mysql和snort在同一臺服務(wù)器上 output database: alert, mysql, host=localhost user=snort password=snort dbname=snort detail=full 如果不是在本地的mysql服務(wù)器，使用 output database: alert, mysql, host=39(mysql服務(wù)器地址) port=3306 dbname=snort_ncool_1 user=snort password=your_password sensor_name=n detail=full9. 測試Sn

44、ort(1) 打開【開始】，【運行】，在【打開】對話框中輸入:cmd(2) 進入c:snortbin文件夾(3) 輸入snort -c c:snortetcsnort.conf -l c:snortlog -d -e(4) 輸入http:/localhost/acid/，應(yīng)該可以看到當(dāng)前的網(wǎng)絡(luò)情況分析。實訓(xùn)五：Cisco IDS的配置 一、實訓(xùn)目的：了解入侵檢測系統(tǒng)的工作原理。掌握Cisco IDS的基本配置。二、實訓(xùn)環(huán)境：PC機若干臺, PC機要組成計算機網(wǎng)絡(luò)，Cisco IDS。三、實訓(xùn)內(nèi)容1、設(shè)置新密碼。2、設(shè)置管理IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)。3、設(shè)置主機名。4、設(shè)置Telnet功能。

45、5、設(shè)置Web管理功能。6、設(shè)置可連入管理IP。7、設(shè)置自定義Signature。四、實訓(xùn)過程1.登錄IDS，設(shè)子新密碼，默認(rèn)系統(tǒng)用戶名和密碼都是cisco。2設(shè)置完密碼后，在命令提示符后輸入 setup，進入系統(tǒng)初始化界面。3. 設(shè)置管理IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)；設(shè)置主機名；設(shè)置Telnet功能；設(shè)置Web管理功能；設(shè)置可連入管理IP。4. 設(shè)置完成后，選2進行保存，如下圖所示。5. 保存后Reset 系統(tǒng)。6.Web管理系統(tǒng)7.設(shè)置自定義Signature。五、實訓(xùn)總結(jié)實訓(xùn)六：利用第二層、第三層隧道協(xié)議實現(xiàn)VPN一、實訓(xùn)目的：了解IPSec VPN的工作原理。掌握利用路由器構(gòu)建IPSe

46、c VPN。二、實訓(xùn)環(huán)境：安裝有Cisco路由器模擬器Dynamips的計算機。圖7-1實驗拓?fù)淙嵱?xùn)內(nèi)容1、配置路由器R1。2、配置路由器R2。3、測試。四、實訓(xùn)過程1、啟動并連接路由器啟動路由器圖7-2連接路由器R1圖7-3連接路由器R2圖7-42、配置路由器r1enableconf thostname R1no ip domain lookupinterface Serial1/0 ip address 52 serial restart-delay 0 clock rate 64000no shutdowninterface Tunn

47、el0 ip address 52 tunnel source tunnel destination no shutdownexitcrypto isakmp enablecrypto isakmp policy 11encryption 3deshash shagroup 1lifetime 5000authentication pre-shareexitcrypto isakmp key cisco123 address crypto ipsec transform-set

48、 myset1 ah-sha-hmac esp-3des esp-md5-hmacmode tunnel exitaccess-list 111 permit gre host host access-list 111 permit ip any anycrypto map map1 10 ipsec-isakmpmatch address 111set transform-set myset1set peer exit3、配置路由器R2enableconf thostname R2no ip domain lookupint

49、erface Serial1/0 ip address 52 serial restart-delay 0 clock rate 64000no shutdowninterface Tunnel0 ip address 52 tunnel source tunnel destination no shutdownexitcrypto isakmp enablecrypto isakmp policy 11encryption 3deshash sha

50、group 1lifetime 5000authentication pre-shareexitcrypto isakmp key cisco123 address crypto ipsec transform-set myset1 ah-sha-hmac esp-3des esp-md5-hmacmode tunnel exitaccess-list 111 permit gre host host access-list 111 permit ip any anycrypto map map1 10 ipsec-isakm

51、pmatch address 111set transform-set myset1set peer exit3、測試R1#ping R1#show crypto ipsec saR2#ping R2#show crypto ipsec sa五、實訓(xùn)總結(jié)實訓(xùn)七：利用MPLS隧道協(xié)議實現(xiàn)VPN一、實訓(xùn)目的：了解MPLS VPN的工作原理。掌握利用路由器構(gòu)建MPLS VPN。二、實訓(xùn)環(huán)境：安裝有Cisco路由器模擬器Dynamips的計算機。圖8-1實驗拓?fù)淙嵱?xùn)內(nèi)容1、啟動并連接路由器2、配置P路由器，準(zhǔn)備P-network。3

52、、配置PE路由器，配置PE-PE的路由會話, 配置PE-CE的路由會話。4、配置CE路由器。5、測試。四、實訓(xùn)過程1、啟動并連接路由器啟動路由器圖7-2連接路由器R1圖7-3連接路由器R2圖7-42、配置P路由器，準(zhǔn)備P-network Conf tHostname Pip cef interface Loopback0 ip address 55 interface Serial1/0 ip unnumbered Loopback0 mpls ip interface Serial1/1 ip unnumbered Loopback0 mpls router ospf 1 log-adjacency-changes network area 0 3、配置PE路由器，配置PE-PE的路由會話配置路由器PEAconf t ip cef interface Loopback0 ip address 55 interface Serial1/0 ip unnumbered Loopback0 mpls ip router ospf 1 log-adjacency-changes network ar