上海交通大學信息安全工程學院2008年目錄ー、防火墻實驗系統(tǒng)實驗指導書11,NAT轉(zhuǎn)換實驗22、一般包過濾實驗43,狀態(tài)檢測實驗74、應(yīng)用代理實驗!15、綜合實驗166、事件審計實驗17二、入侵檢測實驗系統(tǒng)實驗指導書191,特點匹配檢測實驗202、完整性檢測實驗253、網(wǎng)絡(luò)流量分析實驗294、誤警分析實驗 31三、安全審計實驗系統(tǒng)指導書361、文件審計實驗 372、網(wǎng)絡(luò)審計實驗413,打印審計實驗444、日志監(jiān)測實驗475,撥號審計實驗506^審計跟蹤實驗537、主機監(jiān)管實驗58四、病毒實驗系統(tǒng)實驗指導書601、網(wǎng)絡(luò)炸彈實驗612、萬花谷病毒實驗633,新歡樂時刻病毒實驗 654、漂亮莎病毒實驗685、N0.1病毒實驗706、PE病毒實驗72五、PKI系統(tǒng)實驗指導書76TOC\o"1-5"\h\z1,證書申請實驗 772、用戶申請治理實驗793,證書治理實驗 814、信任治理實驗 835,交叉認證實驗 856、證書應(yīng)用實驗 887、SSL應(yīng)用實驗90六、攻防實驗系統(tǒng)指導書 941、RPCDCOM堆棧溢出實驗952、端口掃描實驗 1023、漏洞掃描實驗 1074、Unixロ令實驗破解1105、Windows口令破解實驗1156、遠程操縱實驗 !227、灰鴿子遠程操縱128七、密碼實驗系統(tǒng)指導書!32DES單步加密實驗133DES算法實驗1353、3DES算法實驗1374、AES算法實驗1395,MD5算法實驗1416、SHA-1算法實驗!437、RSA算法實驗1448、DSA數(shù)字簽名實驗147ハ、IPSecVPN實驗系統(tǒng)實驗指導書1491,VPN安全性實驗!502、VPNIKE認證實驗1563、VPN模式比較實驗161九、多級安全訪咨詢操縱系統(tǒng)實驗指導書168實驗環(huán)境介紹1691,PMI試驗1702、XACML系統(tǒng)實驗!743,模型實驗1794、RBAC系統(tǒng)實驗!82防火墻實驗系統(tǒng)實驗指導書NAT轉(zhuǎn)換實驗一般包過濾實驗狀態(tài)檢測實驗應(yīng)用代理實驗綜合實驗事件審計實驗ル，ハ▲ 1"ヽ:Web服務(wù)器令1,NAT轉(zhuǎn)換實驗ャ寞藍百的廠病毒防護實驗樂統(tǒng)服務(wù)器入侵檢測實驗系統(tǒng)服務(wù)潯安全審計實驗系統(tǒng)服務(wù)器Internet読喲,即能態(tài)NAT(StaticNAT)、卜AT)、網(wǎng)絡(luò)般籌曬黑砧PT(Port-LevelNAT)〇④生出通過實獺墻游a明白得網(wǎng)絡(luò)地步び念與原理。了解N期?髀費Fラ舞建さ原理及キ胃貓!動態(tài)地址NAT(Po-同時,把本藹海韻思，縊苑疝圖泰ほぼ驗功能.配*NAT的方法,修へ］リ定規(guī)則やFTP服'彳匿 ーFTP服務(wù)器:如果防火墻實驗系統(tǒng)服務(wù)器是在實驗室區(qū)域網(wǎng)和防火墻區(qū)域網(wǎng)邊界,則須在須在實驗室區(qū)域網(wǎng)內(nèi)增加FTP服務(wù)用來做FTP代理實驗。如果防火墻實驗系統(tǒng)服務(wù)器在實驗室區(qū)域網(wǎng)和外網(wǎng)邊界,則不需要增加FTP服務(wù)。實驗小組的機器要求將網(wǎng)關(guān)設(shè)置為防火墻主機和內(nèi)網(wǎng)的接口網(wǎng)卡IP地址:54(次地址可由老師事先指定)。實驗小組機器要求有WEB掃瞄器:IE或者其他。配置結(jié)果測試頁面通過NAT轉(zhuǎn)換實驗進入頁面中的“驗證NAT目標地址”提供的鏈接能夠得到。NAT規(guī)則配置終止后,新打開掃瞄器窗口,通過“驗證NAT目標地址’’提供的地址,進入測試結(jié)果頁面,將顯示地址轉(zhuǎn)換后的目的地址。【預(yù)備知識】NAT差不多概念、原理及其類型;常用網(wǎng)絡(luò)客戶端的操作:IE的使用,并通過操作,判定防火墻規(guī)則是否生效;了解常用的無法在互聯(lián)網(wǎng)上使用的保留IP地址(如:55,-55,-55)〇深刻明白得網(wǎng)絡(luò)地址分段、子網(wǎng)掩碼和端口的概念與原理。【實驗內(nèi)容】在防火墻實驗系統(tǒng)上，配置NAT的規(guī)則;通過ー些常用的網(wǎng)絡(luò)客戶端操作,判定已配置的規(guī)則是否有效,對比不同規(guī)則下,產(chǎn)生的不同成效。【實驗步驟】在每次實驗前,都要打開掃瞄器,輸入地址:http://192.168.L254/firewall/jsp/main,在打開的頁面中輸入學號和密碼,登陸防火墻實驗系統(tǒng)。在實驗前應(yīng)先刪除防火墻原有的所有規(guī)則。1）登陸防火墻實驗系統(tǒng)后，點擊左側(cè)導航欄的“NAT轉(zhuǎn)換”,進入“NAT的規(guī)則配置”頁面。2）在打開的頁面中,如果有任何規(guī)則存在，點擊“刪除所有規(guī)則”；3）點擊“增加一條規(guī)則”,進入規(guī)則配置的界面。下面對此界面中的ー些選項作講明:源地址、目的地址ーー地址用IP地址來表示。4）選擇源地址：IP地址,5、目的地址,例如：IP地址,100.目的端口：ethO。按“增加”后，就增加了一條NAT規(guī)則,這條規(guī)則將內(nèi)部地址5映射為外部地址00o增加NAT規(guī)則后,能夠用掃瞄器在規(guī)則添加前后進行檢測（新打開窗ロ,輸入進入頁面中的“驗證NAT目標地址”）,以判定規(guī)則是否有效以及起到了什么成效。詳見參考答案。5）當完成配置規(guī)則和檢測后，能夠重復步驟2）到步驟4）,來配置不同的規(guī)則。2、一般包過濾實驗【實驗?zāi)康摹客ㄟ^實驗,了解一般包過濾的差不多概念和原理,如方向、協(xié)議、端ロ、源地址、目的地址等等,把握常用服務(wù)所對應(yīng)的協(xié)議和端口。同時,把握在防火墻實驗系統(tǒng)上配置一般包過濾型防火墻的方法,學會判定規(guī)則是否生效。【實驗環(huán)境及講明】同實驗ー【預(yù)備知識】運算機網(wǎng)絡(luò)的基礎(chǔ)知識,方向、協(xié)議、端口、地址等概念以及各常用服務(wù)所對應(yīng)的協(xié)議、端口;常用網(wǎng)絡(luò)客戶端的操作:IE的使用,Ftp客戶端的使用,ping命令的使用等,并通過這些操作,判定防火墻規(guī)則是否生效;包過濾型防火墻的差不多概念,明白得各規(guī)則的意義。【實驗內(nèi)容】在正確配置NAT規(guī)則的前提下（實驗ー）,實驗第一配置一般包過濾規(guī)則,然后通過登錄外網(wǎng)web頁面、登錄外網(wǎng)ftp服務(wù)器等常用網(wǎng)絡(luò)客戶端操作判定配置的規(guī)則是否生效,具體內(nèi)容如下:設(shè)置一條規(guī)則,阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包。采納ping命令檢測規(guī)則是否生效。將差不多設(shè)置的多條規(guī)則順序打亂,分析不同次序的規(guī)則組合會產(chǎn)生如何樣的作用,然后通過網(wǎng)絡(luò)客戶端操作檢驗規(guī)則組合產(chǎn)生的成效。【實驗步驟】在每次實驗前,都要打開掃瞄器,輸入地址：http://192.168.L254/firewall/jsp/main,在打開的頁面中輸入學號和密碼,登陸防火墻實驗系統(tǒng)。第一步：登陸防火墻實驗系統(tǒng)后,點擊左側(cè)導航欄的“一般包過濾”，在右側(cè)的界面中選擇ー個方向進入。此處共有外網(wǎng)＜-＞內(nèi)網(wǎng)、外網(wǎng)＜-＞DMZ和內(nèi)網(wǎng)＜-＞DMZ3個方向1可供選擇。’例如,選擇“外網(wǎng)＜-＞內(nèi)網(wǎng)”,就能配置內(nèi)網(wǎng)和外網(wǎng)之間的?般包過濾規(guī)則.

第二步:在打開的頁面中,如果有任何規(guī)則存在‘點擊’‘刪除所有規(guī)第三步:點擊“增加一條規(guī)則”,進入規(guī)則配置界面2,配置規(guī)則。如果對正在配置的規(guī)則不中意,能夠點擊’‘重置"，將配置頁面復原到默認的狀態(tài)。1.設(shè)置一條規(guī)則,阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包并檢測規(guī)則有效性。選擇正確的選項，點擊“增加”后,增加一條一般包過濾規(guī)則,阻擋所有外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包。例如:方向：'‘外網(wǎng)-〉內(nèi)網(wǎng)”增加到位置:1協(xié)議：any源地址:IP地址,/源端口：disabled（由于協(xié)議選擇了any,此處不用選擇）目的地址:IP地址,/目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）動作：REJECT〇規(guī)則添加成功后,能夠用各種客戶端工具,例如IE、FTP客戶端工具、ping等進行檢測,以判定規(guī)則是否有效以及起到了什么成效。多條規(guī)則設(shè)置必須注意每一條規(guī)則增加到的位置（即規(guī)則的優(yōu)先級），能夠參考下面的所列的規(guī)則組合增加多條規(guī)則。方向:外，內(nèi)增加到位置:1方向:外，內(nèi)增加到位置:1方向:外一〉內(nèi)增加到位置:2方向:外一〉內(nèi)增加到位置:3源地址:/源端口:any源端口:21源端口:any源端口:212此界面中能夠選擇的項包括:方向 對什么方向上的包進行過濾;增加到位置——將新增的規(guī)則放到指定的位置,越靠前優(yōu)先級越高（不同規(guī)則順序可能產(chǎn)生不同結(jié)果）；協(xié)議 tcp^udp和icmp,any表示所有3種協(xié)議;源地址、目的地址一地址能夠用IP地址、網(wǎng)絡(luò)地址、域名以及MAC地址能不同的方式來表示,其中表示所有地址;源端口、目的端ロー不同的服務(wù)對應(yīng)不同的端口，要選擇正確的端口才能過濾相應(yīng)的服務(wù);動作——ACCEPT和REJECT,決定是否讓一個包通過。

目的地址:/目的端口:any協(xié)議類型:all動作:ACCEPT目的地址:/目的地址:/目的端口: any 目的端口: any協(xié)議類型:tcp 協(xié)議類型:all動作:ACCEPT 動作:REJECT規(guī)則添加成功后,能夠用IE、ドTP客戶端工具、ping等進行檢測,以判定規(guī)則組合是否有效。3.將差不多設(shè)置的多條規(guī)則順序打亂,分析不同次序的規(guī)則組合會產(chǎn)生如何樣的作用,并使用IE、FTP客戶端工具、ping等進行驗證。【實驗摸索題】優(yōu)先級不源地址源端口目的地址目的端口協(xié)議動作3、狀態(tài)檢測實驗【實驗?zāi)康摹堪盐辗阑饓顟B(tài)檢測機制的原理;把握防火墻狀態(tài)檢測功能的配置方法;明白得網(wǎng)絡(luò)連接的各個狀態(tài)的含義;明白得防火墻的狀態(tài)表；明白得Ftp兩種不同傳輸方式的區(qū)不,以及把握防火墻對Ftp應(yīng)用的配置。【實驗環(huán)境及講明】同實驗ー【預(yù)備知識】網(wǎng)絡(luò)基礎(chǔ)知識:網(wǎng)絡(luò)差不多概念,網(wǎng)絡(luò)基礎(chǔ)設(shè)備,TCP/IP協(xié)議,UDP協(xié)議,ICMP協(xié)議和ARP協(xié)議等;常用網(wǎng)絡(luò)客戶端的操作:IE的使用,Ftp客戶端的使用,ping命令的使用等；從某主機到某目的網(wǎng)絡(luò)阻斷與否的判定方法；FTP的兩種不同數(shù)據(jù)傳輸方式的原理；本實驗拓撲圖所示網(wǎng)絡(luò)的工作方式,明白得數(shù)據(jù)流通的方向；防火墻實驗系統(tǒng)的差不多使用,而且差不多把握了包過濾功能的有關(guān)實驗。【實驗內(nèi)容】設(shè)置一般包過濾規(guī)則,實現(xiàn)ftp兩種不同的數(shù)據(jù)傳輸方式,采納ftp客戶端工具FlashFXP檢測規(guī)則是否生效。設(shè)置狀態(tài)檢測規(guī)則,實現(xiàn)ftp的兩種不同數(shù)據(jù)傳輸方式,采納ftp客戶端工具FlashFXP檢測規(guī)則是否生效。與前面的一般包過濾實驗比較,明白得狀態(tài)檢測機制的優(yōu)越性。查看防火墻的狀態(tài)表,分析TCP、UDP和ICMP三種協(xié)議的狀態(tài)信息。【實驗步驟】

在每次實驗前,打開掃瞄器,輸入地址:54/firewall/jsp/main,在打開的頁面中輸入學號和密碼,登陸防火墻教學實驗系統(tǒng)。1.配置一般包過濾規(guī)則,實現(xiàn)FTP的主動和被動傳輸模式PORT（主動）模式1）選擇正確的選項，點擊’’增加”后,增加兩條一般包過濾規(guī)則,阻擋所有內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。源地址:/源端口:源地址:/源端口:any目的端口:20協(xié)議類型:tcp動作:ACCEPTPASV（被動）模式1）選擇正確的選項，點擊’’增加”后,增加兩條一般包過濾規(guī)則,阻擋所有內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的TCP協(xié)議規(guī)則。2）增加兩條一般包過濾規(guī)則,承諾ftp操縱連接。3）增加兩條一般包過濾規(guī)則,承諾ftp數(shù)據(jù)連接。可參考如下規(guī)則設(shè)置:方向:內(nèi)ー〉外增加到位置:1方向:外一〉內(nèi)增加到位置:12）增加兩條一般包過濾規(guī)則,置:方向:內(nèi)ー〉外增加到位置:1源地址:/源端口:any目的端口:21協(xié)議類型:tcp動作:ACCEPT3）增加兩條一般包過濾規(guī)則,置：方向:內(nèi)ー〉外增加到位置:1承諾ftp操縱連接。可參考如下規(guī)則設(shè)方向:外一〉內(nèi)增加到位置:1源端口:21目的地址:/目的端口:any協(xié)議類型:tcp動作:ACCEPT承諾ftp數(shù)據(jù)連接。可參考如下規(guī)則設(shè)方向:外-〉內(nèi)增加到位置:1源端口:20目的地址:/目的端口:any協(xié)議類型:tcp動作:ACCEPT源地址:/源端口:any目的端口:1024：65535協(xié)議類型:tcp動作:ACCEPT2.配置狀態(tài)檢測規(guī)則,實現(xiàn)FTP1）選擇正確的選項,點擊“增加內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)的所有TCP規(guī)則設(shè)置:方向:內(nèi)-〉外增加到位置:1源地址:/源端口:any目的地址:/目的端口:any協(xié)議類型:tcp狀態(tài):NEW,ESTABLISHED,RELATED,INVALID動作:REJECT2）增加兩條狀態(tài)檢測規(guī)則,承諾端口為任意、狀態(tài)為ESTABLISHED；如下規(guī)則設(shè)置:方向:內(nèi)ー〉外增加到位置:1源地址:/源端口:any目的地址:/目的端口:any協(xié)議類型:tcp優(yōu)態(tài):ESTABLISHED,RELATED動作:ACCEPT3）增加一條狀態(tài)檢測規(guī)則,承諾為NEW、ESTABLISHED和RELATE!置：源端口:1024：65535目的地址:/目的端口:any協(xié)議類型:tcp動作:ACCEPT的主動和被動傳輸模式”后,增加兩條狀態(tài)檢測規(guī)則,阻擋協(xié)議、所有狀態(tài)的規(guī)則。可參考如下方向:タド〉內(nèi)增加到位置:1源地址:/源端口:any目的地址:/目的端口:any協(xié)議類型:tcp狀態(tài):NEW,ESTABLISHED,RELATEDJNVAL1D動作:REJECT訪咨詢內(nèi)網(wǎng)到外網(wǎng)及外網(wǎng)到內(nèi)網(wǎng)目的和RELATED的TCP數(shù)據(jù)包。可參考方向:外一〉內(nèi)增加到位置:1源地址:/源端口:any目的地址:/目的端口:any協(xié)議類型:tcp狀態(tài):ESTABLISHED,RELATED動作:ACCEPT內(nèi)網(wǎng)訪咨詢外網(wǎng)目的端口為21、狀態(tài)D的TCP數(shù)據(jù)包。可參考如下規(guī)則設(shè)方向:'‘內(nèi)網(wǎng)-〉外網(wǎng)''增加到位置:1協(xié)議:tcp源地址:IP地址,/目的端口：21狀態(tài)：NEW,ESTABLISHED,RELATED動作：ACCEPT〇第三步:點擊左邊導航欄的''狀態(tài)檢測”,在右邊打開的頁面中選擇"狀態(tài)表”,在打開的頁面中查看防火墻系統(tǒng)所有連接的狀態(tài)并進行分析。3.查看分析防火墻的狀態(tài)表點擊左邊導航欄的"狀態(tài)檢測",在右邊打開的頁面中選擇"狀態(tài)表",在打開的頁面中查看當前防火墻系統(tǒng)的所有連接的狀態(tài)。分不選取一條TCP連接,UDP連接,ICMP連接3,分析各個參數(shù)的含義;并分析當前所有連接,了解每條連接相應(yīng)的打開程序,及其用途。【實驗摸索題】分不用一般包過濾和狀態(tài)檢測設(shè)置規(guī)則,使ftp客戶端僅僅能夠下載站點ftp://shuguang:shuguang@2:2121的文件。’講明:如果當前沒有ICMP連接,按如下步驟:(3)刷新狀態(tài)表頁面,即可看到ICMP連接狀態(tài)。4、應(yīng)用代理實驗【實驗?zāi)康摹苛私夥阑饓Υ砑壘W(wǎng)關(guān)的工作原理;把握配置防火墻代理級網(wǎng)關(guān)的方法。【實驗環(huán)境及講明】同實驗ー。【預(yù)備知識】明白本實驗拓撲圖所示網(wǎng)絡(luò)的工作方式,明白得數(shù)據(jù)流通的方向;把握HTTP代理和FTP代理的配置;【實驗內(nèi)容】設(shè)置HTTP代理規(guī)則,配置IE的HTTP代理,采納掃瞄器訪咨詢外網(wǎng)以測試規(guī)則是否生效；設(shè)置FTP代理規(guī)則,配置FlashFXP的FTP代理,采納FlashFXP訪咨詢FTP服務(wù)器以測試規(guī)則是否生效；【實驗步驟】在每次實驗前,都要打開掃瞄器,輸入地址:http://192.168J.254/firewall/jsp/main,在打開的頁面中輸入學號和密碼,登陸防火墻實驗系統(tǒng)。(一)HTTP代理實驗:登陸防火墻實驗系統(tǒng)后,點擊左側(cè)導航欄的“HTTP代理”,在打開的頁面中,如果有任何規(guī)則存在,將規(guī)則刪除后再設(shè)置新規(guī)則。打開IE掃瞄器,配置HTTP代理。.設(shè)置IE的HTTP代理IE菜單中的工具ー＞Internet選項，彈出"Internet屬性”對話框;點擊“連接”標簽，按“局域網(wǎng)設(shè)置”,彈出“局域網(wǎng)(LAN)設(shè)置”對話框；在“代理服務(wù)器”中勾選“使用代理服務(wù)器”，并輸入防火墻IP地址及端口:54:3128,選擇“關(guān)于本地地址不使用代理服務(wù)器”,點擊“高級”按鈕，進入“代理服務(wù)器設(shè)置”頁面,在“例外”欄填入!54；依次按下“確定”退出設(shè)置頁面;建議每次實驗后清空歷史紀錄。

.測試HTTP代理的默認規(guī)則.配置HTTP代理規(guī)則,驗證規(guī)則有效性以教師分配的用戶名和密碼進入實驗系統(tǒng),點擊左側(cè)導航條的“HTTP代理”鏈接,進入‘'HTTP應(yīng)用代理規(guī)則表”頁面,點擊“增加一條新規(guī)則”后,增加一條HTTP代理規(guī)則承諾規(guī)則,承諾任意源地址到任意目的地址的訪咨詢。再次掃瞄上述網(wǎng)址,觀看能否訪咨詢。插入位置:1源地插入位置:1源地址:*插入位置:1源地址:*動作:deny插入位置:1源地址:*動作:deny插入位置:T源地址:*動作:allow動作:allow動作:allow結(jié)合一般包過濾規(guī)則,進ー步加深對HTTP代理作用的明白得。清空一般包過濾和HTTP代理規(guī)則,分不添加一條一般包過濾拒絕因此數(shù)據(jù)包規(guī)則和一條HTTP代理承諾規(guī)則,可參考如下規(guī)則設(shè)置:先添加一般包過濾規(guī)則:方向:“外網(wǎng)ー〉內(nèi)網(wǎng)”增加到位置:1協(xié)議:any源地址:IP地址,/源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）目的地址：IP地址,0.0.0.〇/〇.0.0.0目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）動作:REJECT〇再添加HTTP代理承諾規(guī)則：插入位置:1協(xié)議:any源地址：*目的地址:*動作:allow〇（二）FTP代理實驗:登陸防火墻實驗系統(tǒng)后,點擊左側(cè)導航欄的“FTP代理”,在打開的頁面中,如果有任何規(guī)則存在,將規(guī)則刪除后再設(shè)置新規(guī)則。打開FTP客戶端FlashFXP,配置FTP代理。設(shè)置FlashFTP的FTP代理:FlashFXP菜單中的"Options"->uPreferences",在彈出的"ConfigureFlashFXP"對話框中選擇"Connection"子項,點擊“Proxy",顯現(xiàn)代理設(shè)置對話框;點擊"Add"按鈕,在彈出的"AddProxyServerProfile"中依次輸入：Name:域名Type：Userftp-user@ftp-host:ftp-portHost：54Port：2121User及Password為空,依次按下“OK”按鈕,退出即可。測試FTP代理的默認規(guī)則:3.配置FTP代理規(guī)則,驗證規(guī)則有效性以教師分配的用戶名和密碼進入實驗系統(tǒng),點擊左側(cè)導航條的"FTP代理”鏈接,顯示"FTP應(yīng)用代理規(guī)則表”頁面,點擊"增加一條新規(guī)則”后,增加一條FTP代理承諾規(guī)則,承諾任意源地址到任意目的地址的訪咨詢。再次連接上述FTP站點,觀看能否訪咨詢。插入位置:I源地址:*目的地址:30動作:deny插入位置:1源地址:*目的地址:30動作:allow結(jié)合一般包過濾規(guī)則,進ー步加深對FTP代理作用的明白得。清空ー般包過濾和FTP代理規(guī)則,分不添加一條一般包過濾拒絕所有數(shù)據(jù)包規(guī)則和一條FTP代理承諾規(guī)則,可參考如下規(guī)則設(shè)置：先添加一般包過濾規(guī)則:方向:“外網(wǎng)ー〉內(nèi)網(wǎng)”增加到位置:1協(xié)議:any源地址：IP地址,/源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）目的地址:IP地址,/目的端口:disabled（由于協(xié)議選擇了any,此處不用選擇）動作:REJECT〇再添加FTP代理規(guī)則:插入位置:1協(xié)議:any源地址：*目的地址：*動作:allow〇插入位置:1源地址:*目的地址:61動作:deny插入位置:1 插入位置:1源地址:? 源地址:*動作:deny 動作:allow先添加一般包過濾規(guī)則:方向:“外網(wǎng)ー〉內(nèi)網(wǎng)”增加到位置：1協(xié)議:any源地址：IP地址，/源端口:disabled（由于協(xié)議選擇了any,此處不用選擇）目的地址:IP地址,/目的端口：disabled（由于協(xié)議選擇了any,此處不用選擇）動作:REJECT〇插入位置:1協(xié)議:any源地址:*目的地址:*動作:allow〇5、綜合實驗【實驗?zāi)康摹苛私馄髽I(yè)防火墻的ー樣作用。學會靈活運用防火墻規(guī)則設(shè)置滿足企業(yè)需求。【實驗環(huán)境及講明】同實驗ー、二、三【預(yù)備知識】了解差不多的企業(yè)網(wǎng)絡(luò)拓撲。了解ftp服務(wù)被動模式原理與有關(guān)代理設(shè)置。明白得http訪咨詢以及http代理工作原理。了解QQ工作原理【實驗內(nèi)容】某企業(yè)需要在防火墻上設(shè)置如下規(guī)則以滿足企業(yè)需要:通過設(shè)置防火墻規(guī)則設(shè)置正確的NAT規(guī)則通過設(shè)置防火墻規(guī)則將包過濾規(guī)則的默認動作為拒絕通過設(shè)置防火墻規(guī)則打開內(nèi)網(wǎng)到外網(wǎng),DMZ到外網(wǎng)的DNS服務(wù)通過設(shè)置防火墻規(guī)則承諾所有的客戶端以被動模式訪咨詢外網(wǎng)的FTP服務(wù)。通過設(shè)置防火墻規(guī)則承諾內(nèi)網(wǎng)用戶使用QQ服務(wù)。【實驗步驟】通過設(shè)置正確的NAT規(guī)則完成策略1〇通過設(shè)置正確的一般包過濾和狀態(tài)檢測完成策略2到策略6的。Web服務(wù)器inno;ミン病毒防護實驗系統(tǒng)服務(wù)器入侵檢測實驗系統(tǒng)服務(wù)器安全審計實驗泰統(tǒng)服務(wù)器Internet6、事件審計實驗【實驗劇雜域網(wǎng)ETH^X\屋會守照日志,爲缶性的檢驗攵.把握常見捻縈將Web服務(wù)器inno;ミン病毒防護實驗系統(tǒng)服務(wù)器入侵檢測實驗系統(tǒng)服務(wù)器安全審計實驗泰統(tǒng)服務(wù)器Internet6、事件審計實驗【實驗劇雜域網(wǎng)ETH^X\屋會守照日志,爲缶性的檢驗攵.把握常見捻縈將W鹹反其端口.加深關(guān)于tcp等ハ通明蹴?,。呼野火墻日志的幣也し規(guī)則,判定規(guī)則是廢ユ協(xié)議數(shù)q得.加群平!留通信過程的明電ミ?ETD包夂,if；FTP服務(wù)霽な說聯(lián)鹽M為插論鳳姐エイ實驗功能“FTP服務(wù)器:如果防火墻實驗系統(tǒng)服務(wù)器是在實驗室區(qū)域網(wǎng)和防火墻區(qū)域網(wǎng)邊界,則須在須在實驗室區(qū)域網(wǎng)內(nèi)増加一FTP服務(wù)用來做FTP代理實驗。如果防火墻實驗系統(tǒng)服務(wù)器在實驗室區(qū)域網(wǎng)和外網(wǎng)邊界,則不需要増加FTP服務(wù).實驗小組的機器要求將網(wǎng)關(guān)設(shè)置為防火墻主機和內(nèi)網(wǎng)的接口網(wǎng)卡IP地址:54（次地址可由老師事先指定）。實驗小組機器要求有WEB掃瞄器:IE或者其他;要求有Ftp客戶端:CuteFtp,LeapFtp、FlashFXP或者其他。【預(yù)備知識】運算機網(wǎng)絡(luò)的基礎(chǔ)知識,方向、協(xié)議、端口、地址等概念以及各常用服務(wù)所對應(yīng)的協(xié)議、端口;常用網(wǎng)絡(luò)客戶端的操作：IE的使用,Ftp客戶端的使用,ping命令的使用等,并通過這些操作,判定防火墻規(guī)則是否生效;tcp/ip協(xié)議明白得,三次握手。【實驗內(nèi)容】在各個實驗系統(tǒng)設(shè)置好規(guī)則后,通過一些常見的網(wǎng)絡(luò)客戶端操作驗證已配置的規(guī)則是否生效.網(wǎng)絡(luò)客戶端操作終止后,查看有關(guān)的日志,看看是否和自己的有關(guān)操作一致.結(jié)合規(guī)則,看是否和預(yù)期的成效一致.【實驗步驟】打開IE掃瞄器,輸入地址:54,在打開的頁面中輸入學號和密碼,登陸防火墻實驗系統(tǒng)。在實驗前刪除防火墻原有的所有規(guī)則。點擊左側(cè)導航欄的某ー個實驗.如“一般包過濾”在右側(cè)的界面中選擇ー個方向進入。此處共有外網(wǎng)く〉內(nèi)網(wǎng)、外網(wǎng)<->DMZ和內(nèi)網(wǎng)<->DMZ3個方向可供選擇。按照實驗ー的具體要求設(shè)置好規(guī)則后,利用ping,或者ie做某個網(wǎng)絡(luò)客戶端操作.點擊選擇左側(cè)導航欄的“事件審計”選項在右側(cè)界面上選擇”包過濾及其狀態(tài)檢測日志”選項,進入一般包過濾日志查詢頁面.直截了當點擊“查詢”按鈕,顯示該學生所有的一般包過濾日志在“源地址”、“源端口”、’’目的地址”、“目的端口”、“協(xié)議”中分不填入需查詢的條件,再點擊“查詢”按鈕,則可顯示符合查詢條件的日志信息。日志查詢支持模糊查詢,如在“源地址”中輸入:202,點擊查詢后,顯示所有源地址中包含202的日志。【實驗報告要求】由于本實驗屬于輔助性的實驗，涉及到每ー個具體的實驗系統(tǒng)。因此本實驗不另外作。而是滲透到每ー個具體的實驗系統(tǒng)當中。將最后的日志記錄在每一個子實驗當中。按照每次自己所設(shè)置的規(guī)則,然后利用某些網(wǎng)絡(luò)客戶端驗證規(guī)則,最后選擇查看有關(guān)日志.將日志的有關(guān)選項記錄下來.專門是有關(guān)自己規(guī)則的部分。入侵檢測實驗系統(tǒng)實驗指導書特點匹配檢測實驗完整性檢測實驗網(wǎng)絡(luò)流量分析實驗誤警分析實驗服藥服藥器1,特點匹配檢測實驗【實驗?zāi)康摹棵靼椎肗IDS的專門檢測原理;hub了解ヤ絡(luò)專IJ事件;一|明i|—p侵檢測系ろ［~Lp種協(xié)議“攻［—［事件的檢測原理;?—［了とユ規(guī)則的配t と高IBM兼容機IBM兼容機IBM兼容機IBM兼容機IBM兼容機本獎驗聃網(wǎng)絡(luò)拓撲圏難圏!-1所示:學生機3 ??.. 學生機N圖1-1網(wǎng)絡(luò)拓撲圖學生氣和中心服務(wù)器通過hub相連。為保證各學生氣ip不相互沖突,學生能夠用學號的后3位來設(shè)置ip地址,例如某學生的學號后3位為001,則可設(shè)置其ip為!,中心服務(wù)器地址為<IDServerIPAddress>0學生氣安裝Windows操作系統(tǒng)并安裝有DOS攻擊工具。要求有WEB掃瞄器:IE或者其他;【實驗預(yù)備知識點】本實驗需要如下的預(yù)備知識:入侵檢測的差不多概念及入侵檢測系統(tǒng)的差不多構(gòu)成,如數(shù)據(jù)源,入侵分析,響應(yīng)處理等;運算機網(wǎng)絡(luò)的基礎(chǔ)知識,如方向、協(xié)議、端口、地址等概念;常用網(wǎng)絡(luò)協(xié)議（如tcp,udp,icmp）的各字段含義。【實驗內(nèi)容】本實驗需要完成的內(nèi)容如下:配置入侵檢測規(guī)則;通過ー些常用的網(wǎng)絡(luò)客戶端操作,判定已配置的規(guī)則是否有效,并查看相應(yīng)的入侵事件，對比不同規(guī)則下，產(chǎn)生的不同成效。【實驗步驟】

NIDS檢測實驗在扌1NIDS檢測實驗在扌1設(shè)置系統(tǒng)檢測項目

查看系統(tǒng)的檢測事件詆回當前系統(tǒng)檢測項目表當前系統(tǒng)對下列事件的檢測狀況是，[_序號修改檢測狀亜事件名稱網(wǎng)絡(luò)行為性質(zhì)大包Pin當前系統(tǒng)對下列事件的檢測狀況是，[_序號修改檢測狀亜事件名稱網(wǎng)絡(luò)行為性質(zhì)大包Pin淨件在3分鐘內(nèi)該事件發(fā)生超過10次視為異常探測Telnet服務(wù)器事件在2分鐘內(nèi)該事件發(fā)生超過10次視カ異常探測表格中狀態(tài)欄顯表格中狀態(tài)欄顯示了系嫵對大包件與teln.t服務(wù)器事件的檢測狀況，修改系嫵檢測狀況可按以下步驟進行:1.點擊相應(yīng)事件的“修改系統(tǒng)檢測狀況’’復選框人,LL2.點擊“修改所選設(shè)置”按鈕,即可修改系統(tǒng)對當前事件的檢測伏態(tài):作ヒ3.若修改狀態(tài)精課，頁面合岀現(xiàn)錯誤提示.圖1-4檢測項目表檢測事件表在 當前系統(tǒng)檢済到如下事件:網(wǎng)絡(luò)行カ性質(zhì) 發(fā)生時間1TOE 目的地址 協(xié)議類型1在 當前系統(tǒng)檢済到如下事件:網(wǎng)絡(luò)行カ性質(zhì) 發(fā)生時間1TOE 目的地址 協(xié)議類型1ICMPLarceICMPPacktt2ICMPLargeICMPPacket3ICMPLargeICMPPacket4ICMPLargeICMPPacket5ICMPLargeICMPPacket6ICMPLargeIBPPacket7ICMPLargeICMPPacket8ICMPLargeICMPPacket9TelnetServerAttempt10TelnetServerAttempt11TelnetServerAttempt富常常常常常常常常常常

正正正正正正正正正正正2006-07-111411:47.0192.168123.243192168123230ICMP2006-07-1114:11:47.〇192.168123.243192168.123230ICBP2006-07-1114:11:48.04330ICIP2006-07-1114:1149.0192.168123.243192168123230ICMP2006-07-1114:1150.0192.168123.243192168.123.230ICBP2006-07-1114:11:50.04330ICBP2006-07-1114:11:50.0192.168123.243192168.123.230ICBP2006-07-1114:11:51.0192.168123.243192168123.230ICBP2006-07-111411:34.04330TCP2006-07-1114:11:35.0192.168123.243192168.123230TCP2006-07-11141135.0192.168123.243192168.123.230TCP請選擇協(xié)議類型TCPUDPICMP

請選擇協(xié)議類型TCPUDPICMP圖1-6多協(xié)議檢測類型TCP協(xié)議檢測實驗TCP協(xié)議檢測規(guī)則TCP1次則如下: こ|序號|選擇| 事件特征 | 源地址 | 目的地址 |目的端口| 數(shù)施內(nèi)容 |大小美ー1廠 DeepThroat3.1 31 1111AhhhhlyMouthIsOpen敏感增加一條TCP協(xié)議檢測規(guī)則加先地土該エ端匸地土ロ;容;〇顯現(xiàn)增協(xié)議；“源オ戶無權(quán)對ヒ夠為任意お器的ipな的目的端的數(shù)據(jù)內(nèi)十,加先地土該エ端匸地土ロ;容;當防系統(tǒng)檢測到如下事件:即1序號1特征簽名發(fā)生時間源地址| 目的地址 |價議關(guān)理1DeepThroat3.12006-12-0211:12:28.031 TCP2DeepThroat3.12006-12-0211:12:28.031 TCP3DeepThroat3.12006-12-0211:12:28.031 TCP可ネ覇除已檢測第0率件TCP準返回圖1-10TCP檢測事件表TTHP4A刊拈涮立時增加一條UDP協(xié)議檢測規(guī)則I弓查看盤 方向:F>:!TOC\o"1-5"\h\z搟議,麼I .源地址:11 '源端口:any目的地址:|31目的端口：12222事件簽名:hijacker ［増 數(shù)據(jù)內(nèi)容:|NUCLEAR-notify］ 」丘1ProtocolSender1.20 fZ""|(B-||：X'|TCPUDPICMPDOS中白TCPUDPICMPDOS-12則”容、

當前系統(tǒng)檢測到如下事件:序號! 特征簽名 | 發(fā)生時間 | 源地址 | 目的地址 |協(xié)議類型即1 hijacker 2006-12-3021:14:37.0 1 31 UDP2 hijacker 2006-12-3021:14:37.0 1 31 UDP可ネ3 hijacker 2006-12-3021:14:37.0 1 31 UDPUD刪除己檢測的UDP事件図1.14ITDP裕涮事件增加一條ICMP協(xié)議檢測規(guī)則方向:|->^J協(xié)議I|ICMP|源地址:|192.168.3.TT-

目的地址:|192,168.3.23?數(shù)據(jù)類型號:回三］數(shù)據(jù)代碼號:0事件簽名：aa則”填充內(nèi)容:Izzl則”填充內(nèi)容:Izzl圖1-17數(shù)據(jù)包發(fā)送圖3）查看入侵事件的I圖1-18ICMP檢測事件【實驗的I圖1-18ICMP檢測事件【實驗摸索題】刪除己檢測的［UHP事件當前系統(tǒng)檢測到如下事件，ア刃 特征簽名 ! 發(fā)生B祠 | 源地證 ！目的地址 廠?阿莢蹙TOC\o"1-5"\h\z1 aa 2006-12-30 21:09:14.0 192.168.3. 11 192. 168.3.231 IC1P2 aa 2006-12-30 21:09:14.0 192.168.3. 11 192. 168.3.231 ICIP3 aa 2006-12-30 21:09:14.0 192.168.3. 11 192. 168.3.231 ICIPCMし請按照實驗過程及結(jié)果,叁與gj模塊是如何檢測出入侵事件的?2、完整性檢測實驗【實驗冃住U 了禺見的對主機［離侵^弾見的統(tǒng)檢測方立」!!IBM兼容機IBM兼容機IBM兼容機IBM兼容機IBM兼容機本實駿啲網(wǎng)絡(luò)拓排圖棚圖2-1所承生機3 —.. 學生機N圖2-1實驗環(huán)境拓撲圖學生氣和中心服務(wù)器通過hub相連。服務(wù)器上預(yù)設(shè)了用戶名stuOI,Stu02,，，?,stu5O;相應(yīng)的用戶名與密碼相同。因此每位學生能夠通過stu+“學號的后兩位”作為用戶名登錄系統(tǒng),后兩位為“51”的,使用stuOI,…后兩位00的,使用stu50.中心服務(wù)器ip地址為30。服務(wù)器安裝linux操作系統(tǒng),并安裝有tomcat服務(wù)器、MySql數(shù)據(jù)庫服務(wù)器、snort系統(tǒng)。學生氣安裝Windows操作系統(tǒng)，要求有WEB掃瞄器:IE或者其他,要求【實驗預(yù)備知識點】本實驗需要如下的預(yù)備知識:常用網(wǎng)絡(luò)客戶端的操作:IE的使用,常用Linux命令的使用,vi文本編輯器的使用。

HIDS差不多概念及入侵檢測系統(tǒng)的差不多構(gòu)成,如數(shù)據(jù)源,入侵分析,響應(yīng)處理等。【實驗內(nèi)容】本實驗需要完成的內(nèi)容如下:通過ssh登錄到linux主機,按照試驗步驟,發(fā)動如下的攻擊,查看其對系統(tǒng)安全的阻礙,然后查看HIDS檢測報告。.木馬入侵與檢測.文件篡改與檢測.日志入侵與檢測【實驗步驟】登錄IDS實驗系統(tǒng)后,點擊左側(cè)導航欄的“完整性檢測”,進入完整性到linux服務(wù)器,如圖2-2到linux服務(wù)器,如圖2-2件篡改與檢測、日圖2-2使用ssh客戶端登錄界面木馬入侵與檢測使用自己的用戶名、密碼ssh登錄到Linux主機,進入bin名目:#cdbin查看shell腳本ls_troj文件內(nèi)容,分析其作用。#vils_troj查看完畢后退出（按Esc,輸入:q!,回車）。用此shell文件替換1完整性檢測報告/hom?/stu01RuleNameSeverityLevelAddedRemovedModifxedOperatingSystemUtilities100000

C/home/stuOl/bin)

SecurityControl66000

G^home/stuOl/protect)

?SystemLogFiles80001

C/home/stuOl/log)Tottiobjectsscanned6

Totalviolationsfound：1RuleNtfie：SystemLogFiles(/horne/stuOl/log)

SeverityLevel80Modified7home/stu01/log/syslog*ErrorReportNoErrors報告返回圖2-3系統(tǒng)報告界面還原系統(tǒng)文件:cd~rm—rfpdcdbincp-rfls_origIs文件篡改與檢測使用自己的用戶名、密碼ssh登錄至（］Linux主機.（如果差不多登錄,則無須再次登錄）。進入protect名目。#cd~/protect修改文件,或者任意增加文件（能夠使用vi,gedit等編輯器）。進入實驗系統(tǒng)界面,點擊“查看報告’日志入侵與檢測使用自己的用戶名、密碼ssh登錄到LinuX主機,（如果差不多登錄,則無須再次登錄）。進入log名目:#cd~/log查看linux生成的系統(tǒng)日志syslog,分析其中有哪些信息。將syslog增加一個片斷:#echo“Asegementisappendedtothesyslog!”?syslog進入實驗系統(tǒng)界面,點擊“查看報告”使用vi編輯器,將syslog刪除或者修改ー個片斷:#visyslog輸入i進入編輯狀態(tài),移動光標到任意一行，輸入“dd”刪除一行。修改完畢后儲存退出（按Esc,輸入：wq,回車）。進入實驗系統(tǒng)界面,點擊“查看報告”。【實驗摸索題】1.本實驗所用H1DS是ー套有關(guān)數(shù)據(jù)和網(wǎng)絡(luò)完整性愛護的工具,要緊是檢測和報告系統(tǒng)中文件被改動、增加、刪除的詳細情形，能夠用于入侵檢測、缺失的評估和復原、證據(jù)儲存等多個用途。該軟件在基準數(shù)據(jù)庫生成時,會按照策略文件中的規(guī)則讀取指定的文件，同時生成該文件的數(shù)字簽名并儲備在自己的數(shù)據(jù)庫中。由于使用了多達四種Hash算法，因此準確度專門高。然而,系統(tǒng)如何保證自身的基準數(shù)據(jù)庫的安全呢?3、網(wǎng)絡(luò)流量分析實驗

【實驗?zāi)康摹郡?ノHUB長檢測系統(tǒng)ヌミ了亡’:3、網(wǎng)絡(luò)流量分析實驗

【實驗?zāi)康摹郡?ノHUB長檢測系統(tǒng)ヌミ了亡’:F3事件的發(fā)ナ量1大流量事件百ゆ原理。IBM兼容機IBM兼容機IBM兼容機本獎驗病網(wǎng)絡(luò)拓撲圏麵圏3-1所示:學生機3學生機N圖3-1網(wǎng)絡(luò)拓撲圖學生氣和中心服務(wù)器通過hub相連。為保證各學生氣ip不相互沖突,學生能夠用學號的后3位來設(shè)置ip地址,例如某學生的學號后3位為001,則可設(shè)置其ip為!,中心服務(wù)器地址為<IDServerIPAddress>0學生氣安裝Windows操作系統(tǒng)并安裝有DOS攻擊工具。要求有WEB掃瞄器:IE或者其他;【實驗預(yù)備知識點】本實驗需要如下的預(yù)備知識:運算機網(wǎng)絡(luò)的基礎(chǔ)知識;網(wǎng)絡(luò)中數(shù)據(jù)的傳輸過程。【實驗內(nèi)容】本實驗需要完成的內(nèi)容如下:動而網(wǎng)絡(luò)流量分析實驗動而大流量事件

查看系統(tǒng)的流量圖

査看系統(tǒng)檢測事件3-圖3-2網(wǎng)絡(luò)流量實驗點擊“大流量事件”,進入“大流量事件表”頁面。如圖3-4所示。

下載大數(shù)據(jù)文件在某ー時刻,對流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)量進行監(jiān)測分析,是判斷系統(tǒng)是否遭受入侵的ー個重要方面.本實魅’下載大數(shù)據(jù)文件事件’采用http方式下載testfile.tar.gz測試文件，實驗人員將鼠標移至’點擊下載',操作下軟文件,以此產(chǎn)生正?的網(wǎng)絡(luò)流?OlultiProtocolSender1.20 ||ロTCPUDPjICMPJDOSDOS目的地址 J192?168,!23?230て,目的端ロ ロ“Ilて,ー小時流量圖PU0U3S13：50 14:00 14：PU0U3S13：50 14:00 14：10 14：20 14：30 14:403k2k1kIncomingTrafficinBytespersecondOutgoingTrafficinBytesperSecondMaximal in: 6.325 k ( 0.51%) Maximal out: 8.082 k ( 0.6550Average In: 2.250 k ( 0.1ax) Average out: 2.947 k ( 0.2軟)Current In: 231.907 ( 0.02X) Current Out: 137.139 ( 0.01%)?本流量圖顯示的是系統(tǒng)最近一小時內(nèi)檢測到的實驗結(jié)果,以每分鐘平均流量為單位。檢測結(jié)果Atttcktyp*DDOSshtftzynflood

Events：223細除已檢測事件險看到如下事件:1序號1攻擊類型發(fā)生時間源地址目的地址1DDOSshaftsynflood2006-06-0715:05:06.095.8898134192168.123.2302DDOSshtftsynflood2006-06-0715:05:07,020224.98401921681232303DDOSshaftsynflood2006-06-0715:05:0802025416231921681232304DDOSshaftsynflood2006-06-0715:05:090190244291641921681232305DDOSshaftsynflood2006-06-0715:05:090128113102.261921681232306DDOSshaftsynflood2006-06-0715:05:09.015745107.202307DDOSshaftsynflood2006-06-0715:05:10.09308DDOSshaftsynflood2006-06-0715.05:10,0186139.574192.1681232309DDOSshaftsynflood2006-06-071505:11057101.151192168.12323077T毛10DDOSshaftsynflood2006-06-071505:110102240.3883192168123230土用有111DDOSshaftsynflood2006-06-0715:0511023,133140235192168123230ロ12DDOSshaftsynflood2006-06-0715:05:11.013730123172192168123230里13DDOSshaftsynflood2006-06-0715:05:12.0930〇14DDOSshaftsynflood2006-06-0715:05:12.011999204.653015DDOSxhaftsynflood2006-06-0715:05:12,0551524911619216812323016DDOSshaftsynflood2006-06-0715:05:1202196613710919216812323017TUIHS?卜?f，〈vnCccHクnM-nfi-n?isns13n215inn204HR1921R8123ク3n圖3-10檢測事件表9.同理能夠操作一天,一周,一月,一年的流量圖。【實驗摸索題】

.什么緣故下載大數(shù)據(jù)包文件雌候IDS沒有檢測到任何信息,而發(fā)動Dos攻擊后系統(tǒng)檢測到了專門多任L24、誤警分析實驗動Dos攻擊后系統(tǒng)檢測到了專門多任L24、誤警分析實驗HUB【實產(chǎn)目地! ——明白入侵檢測系禹警的原理JLド侵檢測單^膏警的原理言r實駿環(huán)境］ 儂兼容機IBM兼容機IロFsIIBM兼容機本實駿啲網(wǎng)絡(luò)拓拚圖極。圖4-1所殍生機3學生機、圖4-1實驗環(huán)境拓撲圖.學生氣和中心服務(wù)器通過hub相連。為保證各學生氣IP地址互不沖突,學生能夠用學號的后3位來設(shè)置ip地址,例如某學生的學號后3位為001,則可設(shè)置其ip為!,中心服務(wù)器地址為!30o服務(wù)器安裝linux操作系統(tǒng),并安裝有tomcat服務(wù)器、MySql數(shù)據(jù)庫服務(wù)器、snort系統(tǒng)。學生氣安裝Windows操作系統(tǒng)。要求有WEB掃瞄器:IE或者其他。【實驗預(yù)備知識點】本實驗需要如下的預(yù)備知識:運算機網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)知識，如URL編碼,雙斜線,逆遍歷,自引用和名目分隔符等概念;運算機安全的基礎(chǔ)知識。【實驗內(nèi)容】本實驗需要完成的內(nèi)容如下:通過發(fā)動各種入侵事件,對比不同情形下的檢測結(jié)果,深入明白得漏警和虛警的原理。【實驗步驟】在每次實驗前,都要打開掃瞄器,輸入地址:30,在打開的頁面中輸入學號和密碼，登錄IDS實驗系統(tǒng)。點擊首頁左下方“誤警分析’’,進入”虛警率分析實驗”頁面。?漏警部分URL編碼實驗將URL進行編碼,能夠躲開ー些采納規(guī)則匹配的NIDS。二進制編碼中HTTP協(xié)議承諾在URL中使用任意ASCII字符,把二進制字符表示成形力口“〇/i!ムし! 'J4-4nlTFJノームしtt"xnユ=17"厶レ丄ん刀ア7T丄-it?t?i！厶レルr士上檢測結(jié)果檢測到如下事件:圖4-2查看事件結(jié)果(2)如果用戶先點擊“URL編碼”按鈕,然后點擊它下面的“發(fā)送要求”按鈕發(fā)動攻擊,再點擊“查看檢測結(jié)果”按鈕查看事件,因為與規(guī)則不匹配,就檢測不到事件,因此顯示為空。雙斜線實驗在當前的正常網(wǎng)絡(luò)環(huán)境中,web服務(wù)器能夠識不多個反斜杠的情形,并返回要求的資源。然而關(guān)于目前大多數(shù)基于模式匹配的入侵檢測系統(tǒng)來講，還無法檢測到這種變化。檢測結(jié)果圖4-3查看事件結(jié)果(2)如果用戶先點擊“轉(zhuǎn)換”按鈕,然后點擊它下面的“發(fā)動攻擊”按鈕發(fā)動攻擊,再點擊“查看檢測結(jié)果”按鈕查看事件,因為與規(guī)則不匹配,就檢測不到事件,因此顯示為空。逆遍歷實驗在文件系統(tǒng)中,".?"表示的是上一級名目,在命令行下,我們經(jīng)常用命令"cd切換到上一級名目。HTTP協(xié)議中對資源的要求確實是對服務(wù)器上文件的要 檢測結(jié)果■MHaHHHH檢測到如下事件:1序號1攻擊美空發(fā)生時間源地址目的地址1cgiattack2006-07-0820:21:28.043302cgiattack2006-07-0820:21:36.043303cgiattack2006-07-0820:21:38.04330—鋼季條看檢返回圖4-4查看事件結(jié)果如果用戶先點擊‘‘逆遍歷”按鈕,然后點擊它下面的“發(fā)動攻擊”按鈕發(fā)動攻擊,再點擊“查看檢測結(jié)果”按鈕查看事件，因為與規(guī)則不匹配,就檢測不到事件,因此顯示為空。自引用實驗在文件系統(tǒng)中，’表示的是本名目,在命令行下,"cd."將仍舊停留在原先名目,HTTP協(xié)議中對資源的要求確實是對服務(wù)器上文件的要求,同樣是對文件系統(tǒng)的操作。假定攻擊字符串為"/cgi-bin/some.cgi",入侵檢測系統(tǒng)已配置為對"/cgi-bin/some.cgi"作檢測。通過在攻擊字符串中插入多個"./"(自引用),對比兩種情形下的檢測結(jié)果。用戶通過點擊上面一個“發(fā)送攻擊”按鈕,發(fā)動攻擊，然后點擊“查看檢測結(jié)果”按鈕,查看事件,如圖4-5所示:圖4-5查看事件結(jié)果5.名目分隔符Unix系統(tǒng)下文件的分隔符為'/',在Windows平臺下文件分割符為、但兼容Unix的文件分隔符。而HTTPRFC規(guī)定用'/',但Microsoft的web服務(wù)器如HS會主動把'/'轉(zhuǎn)換成'''。專門多軟件為了在Unix和Windows平臺下都能yp-*?▼?^^說,Z>4im!B-4-1口-ノ二,”イlハ,再r411-A*Z4-ノ、R亙印r厶ん~-rz--V-檢測結(jié)果卻除己;件n/so檢測到如卻除己;件n/so檢測到如下事件，檢雙圖4-6查看事件結(jié)果如果用戶先點擊“變換斜杠”按鈕,然后點擊它下面的“發(fā)動攻擊”按鈕發(fā)動攻擊,再點擊“查看檢測結(jié)果”按鈕查看事件,因為與規(guī)則不匹配,就檢測不到事件,因此顯示為空。*虛警部分phf的常見攻擊形式為: http://hostname/cgi-bin/phf?QaIias=%0A/bin/cat%20/etc/passwd如果服務(wù)器存在phf漏洞,那么上面的命令就能夠看到服務(wù)器的用戶密碼文件.針對那個漏洞,我們通過匹配"/phf"字符串作檢查,如果HTTP要求中包含"/phf'字符串就產(chǎn)生告警。如果服務(wù)器上存在文件"/phfiles/phonefiles.txピ',那么對那個文件的HTTP要求確實是:http://hostname/phfiles/phonefiles.txt正常工作的入侵檢測系統(tǒng)就會對那個要求產(chǎn)生告警,但這是對服務(wù)器檢測結(jié)果檜測到如下事件:測事件1序號1攻擊類型發(fā)生時間源地址目的地址1phfattack2006-07-0821:01:34.04330上父確實結(jié)県圖4-フ查看事件結(jié)果【實驗摸索題】1.請按照實驗過程及結(jié)果,摸索檢測模塊是如何檢測出入侵事件的?安全審計實驗系統(tǒng)指導書文件審計實驗網(wǎng)絡(luò)審計實驗打印審計實驗日志監(jiān)測實驗撥號審計實驗審計跟蹤實驗主機監(jiān)管實驗1,文件審計實驗【實驗?zāi)康摹勘緦嶒炛荚诹私馕募徲嫼臀募呗缘牟畈欢喔拍詈驮?同時還要把握在安全審計教學實驗系統(tǒng)中如何制定文件事件審計策略,了解實驗系統(tǒng)是如何對指定掃瞄器端進行各類文件操作的實時監(jiān)控以及當天記錄的查詢,學會判定所設(shè)置的策略是否生效。【預(yù)備知識】.文件策略和文件審計的差不多概念，明白得各種策略的意義。【實驗方式及差不多要求】.實驗設(shè)計按小組進行,每組1-2人。.實驗者先對自己的IP地址進行設(shè)置,然后對其他某個IP地址進行設(shè)置。【實驗內(nèi)容】.使用安全審計教學實驗系統(tǒng)軟件,對文件策略進行設(shè)置。.通過對客戶端進行一些常用的文件操作,判定所設(shè)置的策略是否有效，對比不同設(shè)置條件下,產(chǎn)生的不同成效。.通過使用監(jiān)聽功能監(jiān)測所有在本網(wǎng)段的需要審計的機器,觀看文件事圖レ1文件策略制定界面對右側(cè)的界面中制定策略的各個選項進行ー些講明:

能夠選擇的選項有:監(jiān)測對象ーー用于選擇所要監(jiān)測運算機的IP地址,選擇某ーIP地址后,在其下方會顯示出此IP地址及其對應(yīng)的MAC地址。選擇時刻范疇ーー用來指定所要監(jiān)測的起始和終止時刻的,終止時刻不能早于起始時刻,否則出錯。監(jiān)測設(shè)備類型ーー包括軟盤、光盤、硬盤名目、移動硬盤,想要監(jiān)測哪種設(shè)備則在其左側(cè)的方框內(nèi)打勾,監(jiān)測設(shè)備能夠多選。硬盤名目ーー選擇的監(jiān)測設(shè)備是硬盤名目時，一定要從‘‘硬盤名目‘‘選項后的下拉框中選擇ー個路徑。訪咨詢類型——"禁止訪咨詢”或“記錄訪咨詢”,用來禁止或記錄對指定對象的訪咨詢。策略應(yīng)用對象ーー"該IP的所有用戶"，"該IP的當前用戶”,用來指定所要監(jiān)測的用戶。則5：冬增加"00對已存重無リ1起始時間結(jié)束時間 動作 由曼類型目錄則5：冬增加"00對已存重無リ1起始時間結(jié)束時間 動作 由曼類型目錄顯示上海交通大學信息安全工程實踐培調(diào)與應(yīng)用技術(shù)班充實總室版權(quán)所有?2004-2005圖1-2制定某一文件策略注意:最好不要設(shè)置沖突的幾個策略,當幾個策略之間發(fā)生沖突時,以后面制定的策略為準。選定某ーIP后,如果有任何策略存在,點擊策略左側(cè)的方框打勾選定所有的策略后,然后點擊"刪除"按鈕加以刪除即可。如果選擇的是"記錄訪咨詢"，在點擊了"增加"按鈕將其添加到下面的顯示框之后,再單擊"事件監(jiān)測",通過對各項的設(shè)置能夠查看記錄訪咨詢所設(shè)置的時刻段內(nèi)所進行的所有文件操作,(具體見下面的文件監(jiān)測)并與實際所進行的文件操作進行比較看是否一致,以驗證策略是否有效。當完成條件設(shè)置和檢測后,能夠重復步驟(2)至步驟(4),重新設(shè)置不同的條件。通過對條件設(shè)置界面中,對各選項不同的選擇,能夠?qū)懗鰧ｉT多不同成效的條件。舉例如下:監(jiān)測時刻范疇:從00：00：00至U00：00：00,監(jiān)測設(shè)備類型:硬盤名目，其上方的硬盤名目項右側(cè)的下拉框中選擇想監(jiān)測的文件名目如:E:\,訪咨詢類型：記錄訪咨詢,策略應(yīng)用對象：該IP當前用戶：****,這ー設(shè)置條件的作用是記錄在監(jiān)測時刻段內(nèi)對硬盤中指定的文件名目下的文件的所有操作,包括:文件的讀、寫、刪除,新建等。二件如二件如展圖!-3事件監(jiān)測界面對右側(cè)的界面中制定策略的各個選項進行如下的ー些講明：時刻范疇——所有時刻段:從制定策略時刻起的當天所有時刻段,用于查詢實時操作,自定義:在其右側(cè)的第一個空白框中填入查詢時刻段的起始時刻：0000-00-00,第二個空白框中填入查詢時刻段的終止時刻:0000-00-000注意：自定義時刻段的開始時刻不可超過終止時刻。文件類型一ー所有文件類型：用于查詢所有的文件類型,自定義：用于查詢所指定的文件類型。例如：時刻范疇：選擇所有時刻段,文件類型:選擇所有文件類型;點擊“查詢”按鈕，這ー條件的作用是查詢從制定策略時刻起的當天所有時刻段所進行的所有文件操作;是對監(jiān)測對象的實時監(jiān)測,要緊用于上面策略制定實驗中記錄訪咨詢策略的結(jié)果確認。如果文件類型ー欄選定的是自定義文件類型，則在其右側(cè)的空白框內(nèi)寫入想要查詢的某種文件類型（如：.txt文件就直截了當在其內(nèi)寫入txt）,按右方的“添加”按鈕添加,添加的文件類型會顯示在右方的空白框內(nèi),設(shè)定文件審計條件重変除“時間范圍「所有時間段行自定義從|13:00:00到「5:00:00文件類型「所有文件類型"自雙添加|doc移除丨多1n1圖1-4自定義文件類型例如:文件類型:選擇自定義文件類型,在其右側(cè)填入txt再添加至右側(cè)空白框內(nèi);時刻范疇:選擇自定義,從13：00：00至15：00：00,點擊“查詢”按鈕,這ー條件的作用是查詢從13：00：00至15：00：00的時刻段內(nèi)對.txt文件所進行的文件操作;對各個選項都設(shè)置好了之后，點擊右側(cè)“查詢”按鈕,即可查詢指定條件下的文件操作記錄。點擊右側(cè)“查詢”按鈕后,在左下方會有“10秒后重刷本頁!”，在查詢的時刻內(nèi)每10秒刷新一次頁面,直至停止查詢或者查詢時刻終止。如果對正在使用的查詢條件不中意的話,能夠點擊“停止查詢”按鈕,停止當前的查詢,再重新設(shè)置其他的查詢條件,然后點擊“查詢”即可。如果直截了當點擊“查詢”按鈕,表示查詢所有IP中的所有用戶在當前時刻起的當天所有時刻段內(nèi)的文件操作記錄,即整個網(wǎng)段內(nèi)的所有實時文件操作記錄。當完成指定設(shè)置的查詢后,能夠重復步驟(2)(3)重新設(shè)置。【實驗摸索題】.什么緣故在禁止某一名目時，有時能直截了當禁止訪咨詢其名目下的文件子名目而有時候能訪咨詢名目下的文件子名目?.如果制定一條禁止訪咨詢系統(tǒng)盤的策略，會有什么后果?2、網(wǎng)絡(luò)審計實驗【實驗?zāi)康摹勘緦嶒炛荚诹私饩W(wǎng)絡(luò)策略和網(wǎng)絡(luò)審計的差不多概念和原理,把握常用服務(wù)所對應(yīng)的協(xié)議和端口。同時，把握在安全審計教學實驗系統(tǒng)上配置網(wǎng)絡(luò)策略的方法,學會判定所制定的策略是否生效。了解實驗系統(tǒng)是如何對指定掃瞄器端進行內(nèi)部網(wǎng)絡(luò)實時監(jiān)控以及當天記錄的查詢,學會判定所設(shè)置的策略是否生效。【預(yù)備知識】1.運算機網(wǎng)絡(luò)的基礎(chǔ)知識,協(xié)議、端口、地址等概念以及常用服務(wù)所對應(yīng)的協(xié)議、端口。.從某主機到某目的網(wǎng)絡(luò)阻斷與否的判定方法。.網(wǎng)絡(luò)策略和網(wǎng)絡(luò)審計的差不多概念,明白得各種策略的意義。【實驗方式及差不多要求】.實驗設(shè)計按小組進行,每組1-2人。.實驗者先對自己的IP地址進行設(shè)置,然后對其他某個IP地址進行設(shè)置。不恒事【實驗內(nèi)容】1.使用安全審計教學實驗系統(tǒng)軟不恒事【實驗內(nèi)容】1.使用安全審計教學實驗系統(tǒng)軟件,對網(wǎng)絡(luò)事件審計的策略進行設(shè)置;全年策埠圖2-1網(wǎng)絡(luò)審計策略制定界面起始時間結(jié)束時間動作地址|r00:00:00ト2:00:00 〇|r|08:20:00|l7:40:00!〇 !80\|r|l1:00:00卜2:00:00禁止 Io可。(2)對右側(cè)的界面中制定策略的各個選項進行ー些講明:A木二生F:ル窄4N二上上，，麻ル”總ル +ル曰 宀厶口木己存策?圖2-2制定策略注意:最好不要設(shè)置沖突的幾個策略,當幾個策略之間發(fā)生沖突時,以后面制定的策略為準。(3)選定某ー監(jiān)測IP,如果有任何廢棄的策略存在,在顯示框中選擇要刪除的行在其左側(cè)的方框內(nèi)打勾后,然后點擊“刪除”按鈕加以刪除。(4)如果選擇的是“記錄訪咨詢”,在點擊了“增加”按鈕將其添加到下面的顯示框之后，再打開“事件監(jiān)測,通過對各項的設(shè)置能夠查看記錄訪咨詢所設(shè)置的時刻段內(nèi)所進行的所有網(wǎng)絡(luò)操作,并與實際所進行的網(wǎng)絡(luò)操作進行比較看是否一致,以驗證策略是否有效。(5)如果對正在設(shè)置的條件不中意,再重新點擊監(jiān)控對象旁的下拉框選擇所要監(jiān)控的運算機IP地址即可。(6)當完成條件設(shè)置和檢測后,能夠重復步驟(2)至步驟(4),重司設(shè)ラミ司設(shè)ラミ圖2-3事件監(jiān)測界面(2)對右側(cè)的界面中制定策略的各個選項進行如下的ー些講明:例如:時刻范疇:選擇自定義時刻段,從11：00：00至22：00：00,協(xié)議:選擇自定義協(xié)議:HTTP,數(shù)據(jù)流向：選擇進和出,然后點擊“查詢”按鈕,這ー條件的作用是查詢從11：00：00至22：00：00的時刻段內(nèi)HTTP協(xié)議下的所有數(shù)據(jù)流入和流出的網(wǎng)絡(luò)操作。對各個選項都設(shè)置好了之后，點擊右側(cè)“查詢”按鈕,即可查詢指定條件-1―// 1n/レ|E3/ヽ1H/i1 // 1-ヽf1.? 設(shè)定網(wǎng)絡(luò)審計條件1__t- ヽ ar~~t-rt-——0秒啟時間范圍「所有時間段自定義從|11:00:00到|22:00:00或者造協(xié)議「所有協(xié)議自定義［HTTPd數(shù)據(jù)流向「出進Jj圖2-4網(wǎng)絡(luò)事件監(jiān)測設(shè)置(3)如果對正在使用的查詢條件不中意的話,能夠點擊“停止查詢”按鈕,停止當前的查詢,再重新設(shè)置其他的查詢條件,然后點擊“查詢”即可。如果直截了當點擊“查詢”按鈕,表示查詢所有IP中的所有用戶在從當前時刻起的當天所有時刻段內(nèi)的數(shù)據(jù)流出的網(wǎng)絡(luò)操作記錄，即整個網(wǎng)段內(nèi)的所有實時數(shù)據(jù)流出的網(wǎng)絡(luò)操作記錄。(4)當完成指定設(shè)置的查詢后，能夠重復步驟(2)(3)重新設(shè)置。【實驗摸索題】1.如果禁止url地址為http:〃く審計服務(wù)器IP地址＞:8O8O,會顯現(xiàn)什么情形?3、打印審計實驗【實驗?zāi)康摹勘緦嶒炛荚诹私獯蛴〔呗院痛蛴徲嫷牟畈欢喔拍詈驮?學習和把握如何在安全審計教學實驗系統(tǒng)中制定打印策略,對指定掃瞄器端的打印操作進行內(nèi)部網(wǎng)絡(luò)實時監(jiān)控,學會判定所制定策略是否生效。同時還要了解實驗系統(tǒng)是如何對指定掃瞄器端進行打印事件的實時監(jiān)控以及當天記錄的查詢,學會判定所設(shè)置的策略是否生效。【預(yù)備知識】1.打印策略和打印審計的差不多概念,明白得各種策略的意義。【實驗內(nèi)容】.使用安全審計教學實驗系統(tǒng)軟件,對打印事件審計的策略進行設(shè)置。.通過對所監(jiān)控的本網(wǎng)段內(nèi)指定的機器進行一些打印操作，判定所設(shè)置的功能是否生效。對比不同設(shè)置條件下,所產(chǎn)生的不同成效。a涌過偉田的口斤エカ能的涮斫右在本雙目?的雪亜宙荘蛇a涌過偉田的口斤エカ能的涮斫右在本雙目?的雪亜宙荘蛇知件崗事女建信息安全綜合實驗系統(tǒng)InformationSecurityIntegrativeExperimentSystem圖3-1制定打印策略界面對右側(cè)的界面中制定策略的各個選項進行ー些講明（如圖3-1）：能夠選擇的選項有:監(jiān)測對象ーー用于選擇所要監(jiān)測運算機的IP地址,選擇某ーIP地址后，在其右側(cè)會顯示出此IP地址及其對應(yīng)的MAC地址。監(jiān)測時刻范疇ーー用來指定所要監(jiān)測的起始和終止時刻的,終止時刻不能早于起始時刻,否則出錯。訪咨詢類型ーー“禁止打印”或“記錄打印’‘，

!￡!太一』，コヨ4?匕宀れ丄缶づ，J--Tピr4-nムレ;キ-シャ」ん!生 tr:H-nA-缶“二，rto妬/TJネ1監(jiān)控對象選擇刑所ス監(jiān)測對象133jJip地址192.168123.133MAC地址00-05-5D-85-AD-6C00到2監(jiān)控策略制定訪選擇時間范圍從|12:00:00到|22:20:00勿咨詢忖問類量「禁止打印￡j記錄打印置策略應(yīng)用對象6該IP的所有用戶C該IP的當前用戶|Adjninistrator妁兀［衛(wèi)IJH?J如他已存策略起始時間結(jié)束時間動作|r10:00:0020:00:00禁止圖3-2制定某一策略注意:最好不要設(shè)置沖突的幾個策略,當幾個策略之間發(fā)生沖突時,以后面制定的策略為準。選定某ー監(jiān)測IP,如果有任何廢棄的策略存在,在顯示框中選擇要刪除的行在其左側(cè)的方框內(nèi)打勾后，然后點擊“刪除”按鈕加以刪除。如果選擇的是“記錄打印”策略時,在點擊了“增加”按鈕將其添加到下面的顯示框之后，再打開’‘事件監(jiān)測”,通過對各項的設(shè)置能夠查看記錄譏次;為斯窖如g?加田?山訐キ卄右必6印轉(zhuǎn)所風安全審計央輪系統(tǒng)錄譏次;為斯窖如g?加田?山訐キ卄右必6印轉(zhuǎn)所風安全審計央輪系統(tǒng)文件審計實藥信息安全綜合實驗系統(tǒng)InformationSecurityIntegrativeExperimentSystem門;r11制定融事件監(jiān)測B閑絡(luò)審計實蛉制定相■事件監(jiān)測打印審計實臉

制定策略藍一斑紂白撥號審計實樓為定策略事件監(jiān)測置圖3-3打印事件監(jiān)測的界面(2)對右側(cè)的界面中制定策略的各個選項進行如下的ー些講明:時刻范疇——所有時刻段:從制定策略時刻起的當天所有時刻段,用于查詢實時操作,自定義：在其右側(cè)的第一個空白框中填入查詢時刻段的起始時刻:0000-00-00,第二個空白框中填入查詢時刻段的終止時刻:0000-00-00〇注意:自定義時刻段的開始時刻不可超過終止時刻。打印類型ーー包括容許打印、禁止打印。按禁止打印的操作和容許打印的操作進行查詢,想要選擇哪個則在其左側(cè)的方框內(nèi)打勾,打印類型能夠多選,即：能夠選擇只查詢?nèi)菰S打印或禁止打印的操作記錄,也能夠選擇查詢所有的打印操作記錄。例如:時刻范疇:選擇自定義,從10：00：00至20：00：00,打印類型:禁止打印和容許打印,然后點擊“查詢”按鈕，這ー條件的作用是查詢從10：00：00至20：00：00的時刻段內(nèi)所有用戶所進行的禁止打印和容許打印的操作記錄。對各個選項都設(shè)置好了之后,點擊右側(cè)“查詢”按鈕，即可查詢指定條件下的打印操作記錄。點擊右側(cè)“查詢”按鈕后,在左下方會有“10秒后里 設(shè)団府計條件 者時間范圍「所有時間段(?自定義從|10：00：00 到|20:00:00打印類型レ禁止打EPPj允許打印史］セItgw|圖3-4事件監(jiān)測(3)如果對正在使用的查詢條件不中意的話,能夠點擊“停止查詢”按鈕,停止當前的查詢,再重新設(shè)置其他的查詢條件,然后點擊“查詢”即可。如果直截了當點擊“查詢”按鈕,表示查詢所有IP中的所有用戶在當前時刻起的當天所有時刻段內(nèi)的禁止打印的操作記錄,即整個網(wǎng)段內(nèi)的所有實時禁止打印的操作記錄。(4)當完成指定設(shè)置的查詢后,能夠重復步驟(2)(3)重新設(shè)置。【實驗摸索題】1.什么緣故沒有連上打印機,關(guān)于監(jiān)控對象的打印操作依舊能查看到?4、日志監(jiān)測實驗【實驗?zāi)康摹客ㄟ^實驗,了解日志監(jiān)測的差不多概念和原理,同時還要把握在安全審計教學實驗系統(tǒng)中制定日志監(jiān)測策略的配置方法,能對掃瞄器端進行內(nèi)部網(wǎng)絡(luò)實時監(jiān)控以及歷史記錄的查詢,學會判定所設(shè)置的策略是否生效。【預(yù)備知識】.日志文件及其作用。.日志監(jiān)測的差不多概念,明白得各種策略的意義。【實驗方式及差不多要求】.實驗設(shè)計按小組進行,每組1-2人。.實驗者先對自己的IP地址進行設(shè)置,然后對其他某個IP地址進行設(shè)置。【實驗內(nèi)容】1.使用安全審計教學實驗系統(tǒng)軟件,對日志監(jiān)測策略進行設(shè)置;圖4-1日志監(jiān)測界面在各個事件日志監(jiān)測下面確實是查詢條件設(shè)置的界面。下面對此界面中的ー些選項進行講明:IP地址ーー對哪個IP的歷史操作進行查詢,選擇IP地址：在其下的空白框中填入所要查詢的IP地址：000.0;登錄用戶ーー對哪個登錄用戶的17文件E志聯(lián)！網(wǎng)絡(luò)日志監(jiān)測打印日志監(jiān)測上方小/ZA文件日志監(jiān)割-a登的r發(fā)生時聞從(2005-01-01到p005-01-01r舊地址時亥V登錄用尸|Adainistrator),J隹一弟—查詢結(jié)果時刻自ip地址用戶名』作進證發(fā)生時間-1192.168123133AdministratorSystem82005-11-1421:54:34V9亠J33Administratorexplorerexe:13282005-11-1421:54:33衣不192.168123133AdministratorSystems2005-11-1420:352233AdministratorWinRARexe:5842005-11-1420:35:16192.168.123133Administratorexplorerexe:13282005-11-1420:35:10 \192.168.123133Administratorexplorerexe:13282005-11-1420:33:42由pJl33AdministratorSystems2005-11-1416:4947192.168123133AdministratorSystems2005-11-14164925燈33Administratorexplorer.exe:14762005-11-1416:49:24時於192.168123133Administratorexplorerexe14762005-11-14164915不192.168123133Admini