入侵檢測 VPN 防火墻 實驗報告

入侵檢測課程設(shè)計報告班級：學(xué)號：姓名：2012年6月前言隨著網(wǎng)絡(luò)的逐步普及，企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)是企業(yè)向信息化發(fā)展的必然選擇，企業(yè)的網(wǎng)絡(luò)系統(tǒng)是一個非常龐大而復(fù)雜的系統(tǒng)，它不僅為現(xiàn)代化發(fā)展、綜合信息管理和辦公自動化等一系列應(yīng)用提供基本操作平臺，而且能提供多種應(yīng)用服務(wù)，使信息能及時、準(zhǔn)確地傳送給各個系統(tǒng)。而企業(yè)網(wǎng)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來建設(shè)與管理的，因此本設(shè)計課題將主要以企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)劃建設(shè)來進(jìn)行。本公司有五個部門：財務(wù)部（10臺）、營銷部（20臺）、人事部（20臺）、生產(chǎn)部（20臺）、技術(shù)部（10臺），共有80臺計算機(jī)，我們可以選擇5臺24個端口10/100M普通交換機(jī)作為接入層；把接入層的交換機(jī)之間接入到核心層交換機(jī)上。核心層交換機(jī)我們選擇性能比較優(yōu)越的，交換機(jī)帶寬需要達(dá)到1000M。企業(yè)內(nèi)網(wǎng)設(shè)計1）接入Internet設(shè)計：專線接入，在企業(yè)級用戶中，主要采用的是專線接入方式，常用的專線接入使DDN方式。速度范圍64Kbps至2Mbps。采用DDN，網(wǎng)絡(luò)設(shè)備需要路由器，NTU、基帶調(diào)制解調(diào)器或HDSL。ADSL寬帶接入，作為備用的入網(wǎng)設(shè)備。接入Internet我們需要申請一個公網(wǎng)ip地址/30，采用通過光纖方式接入，并且為web服務(wù)器申請一個域名。內(nèi)網(wǎng)使用私有地址192.168.X.0/24。主干網(wǎng)采用以光纖為介質(zhì)的1000M的以太網(wǎng)；考慮到外網(wǎng)對DMZ區(qū)web服務(wù)器的訪問效率我們盡可能增大帶寬。所以與核心層交換機(jī)的接入也使用1000M光纖連接，各部門PC機(jī)與接入層交換機(jī)之間采用10/100M光纖對Internet資源的訪問，最終都是通過資源所具有的惟一的公有IP地址實現(xiàn)的。對于一個內(nèi)部網(wǎng)絡(luò)，每一臺工作站和應(yīng)用服務(wù)器的IP地址均為內(nèi)部專有的地址，以這樣的IP地址是不能訪問Internet資源的。因此，要實現(xiàn)一個內(nèi)部網(wǎng)絡(luò)對Internet的訪問，必須在內(nèi)部網(wǎng)絡(luò)和Internet之間設(shè)置一個具有網(wǎng)絡(luò)地址轉(zhuǎn)換功能（NAT）的設(shè)備，對于從內(nèi)部網(wǎng)絡(luò)向外發(fā)出的IP數(shù)據(jù)包，NAT設(shè)備可以將數(shù)據(jù)包中所包含的源IP地址和源TCP/IP端口號等信息轉(zhuǎn)換為可以在Internet上使用的公有IP地址和可能改變的TCP/UDP端口號；而當(dāng)Internet主機(jī)響應(yīng)的數(shù)據(jù)包流入內(nèi)部網(wǎng)絡(luò)時，NAT將數(shù)據(jù)包中包含的目的IP地址和目的TCP/UDP號等信息轉(zhuǎn)換為專有IP地址和最初的TCP/UDP端口號，從而對外部屏蔽了內(nèi)部網(wǎng)絡(luò)的IP地址。2）拓?fù)浣Y(jié)構(gòu)3）通信子網(wǎng)的構(gòu)建由于我們內(nèi)網(wǎng)采用私有地址（192.168.X.0/24），公司內(nèi)部不同部門在不同的VLAN，所以我們必須要進(jìn)行子網(wǎng)的劃分。公司部門VLAN劃分IP網(wǎng)段財務(wù)部(10臺)VLAN2/24營銷部（20臺）VLAN3/24人事部（20臺）VLAN4/24生產(chǎn)部（20臺）VLAN5/24技術(shù)部（10臺）VLAN6/24其中財務(wù)部不允許使用Internet，業(yè)務(wù)部只允許使用WWW服務(wù)和FTP服務(wù)，其余訪問不受限制。公司目前從ISP申請了兩個可用公網(wǎng)IP地址。根據(jù)以上要求，現(xiàn)做需求分析如下：在接入層采用二層交換機(jī)，并作一定措施分隔廣播風(fēng)暴；核心交換機(jī)采用高性能的三.層交換機(jī)，接入層交換機(jī)分別通過2條上行鏈路連接到核心交換機(jī)，由三層交換機(jī)實現(xiàn)VLAN之間的路由。（或者兩臺接入層交換機(jī)與核心交換機(jī)冗余備份，使用生成樹協(xié)議去除環(huán)路）；三層交換機(jī)配置路由接口，與RA（局域網(wǎng)路由器）、RB（模擬互聯(lián)網(wǎng)路由器）之間實現(xiàn)全網(wǎng)互通；在RA上用少量公網(wǎng)IP地址實現(xiàn)企業(yè)內(nèi)網(wǎng)到互聯(lián)網(wǎng)的訪問；在RA上對內(nèi)網(wǎng)到外網(wǎng)的訪問進(jìn)行一定控制，要求不允許財務(wù)部訪問互聯(lián)網(wǎng)，業(yè)務(wù)部只能訪問WWW和FTP服務(wù)，其余訪問不受控制。由于網(wǎng)絡(luò)工作站數(shù)量較少且接入比較集中，因此核心網(wǎng)絡(luò)設(shè)備選擇100M的以太交換機(jī)就可以了。所有的網(wǎng)絡(luò)工作站和應(yīng)用服務(wù)器通過五類雙絞線接入到交換機(jī)中構(gòu)成一個集中接入的星型網(wǎng)絡(luò)結(jié)構(gòu)，每一臺計算機(jī)可以獨占100M的帶寬。當(dāng)中心交換設(shè)備需要由多個交換機(jī)構(gòu)成時，建議交換機(jī)選擇可以堆疊的交換機(jī)，可堆疊的交換機(jī)之間進(jìn)行交換時利用帶寬很高的內(nèi)部總線，可以保證每臺接入的計算機(jī)都具有100M的帶寬。當(dāng)工作站到中心交換設(shè)備的距離超過100m時，可以在工作站和中心交換機(jī)之間設(shè)置一臺交換機(jī)，以級聯(lián)的方式與中心交換機(jī)連接，工作站接入到級聯(lián)的交換機(jī)中，不過這些工作站只能共享100M的傳輸帶寬。劃分了VLAN后，各VLAN之間的通信需要第三層設(shè)備的支持。實現(xiàn)的方法是在網(wǎng)絡(luò)中設(shè)置路由器或三層交換機(jī)。三層交換機(jī)集成了第二層的數(shù)據(jù)交換技術(shù)和第三層的數(shù)據(jù)轉(zhuǎn)發(fā)技術(shù)，特別是它對于數(shù)據(jù)包的轉(zhuǎn)發(fā)是通過硬件來完成的，處理效率非常高，完全可以匹配局域網(wǎng)高速的傳輸速度。因此，在構(gòu)建采用VLAN技術(shù)的網(wǎng)絡(luò)時，最優(yōu)的選擇是以三層交換機(jī)作為網(wǎng)絡(luò)核心。4)內(nèi)網(wǎng)安全設(shè)計在對內(nèi)網(wǎng)到外網(wǎng)的訪問進(jìn)行一定控制，要求不允許財務(wù)部訪問互聯(lián)網(wǎng)，業(yè)務(wù)部只能訪問WWW和FTP服務(wù)，其余訪問不受控制。訪問控制，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對服務(wù)器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內(nèi)部用戶訪問權(quán)限設(shè)置、ARP病毒的防御、數(shù)據(jù)完整、審計記錄、防病毒入侵。對內(nèi)部采用：網(wǎng)絡(luò)管理軟件系統(tǒng):使網(wǎng)管人員對網(wǎng)絡(luò)中的實時數(shù)據(jù)流量情況能夠清晰了解。掌握整個網(wǎng)絡(luò)使用流量的平均標(biāo)準(zhǔn)，定位網(wǎng)絡(luò)流量的基線，及時發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。企業(yè)防火墻配置1）防火墻技術(shù)傳統(tǒng)意義的防火墻：用于控制實際的火災(zāi)，使火災(zāi)被限制在建筑物的某部分，不會蔓延到其他區(qū)域網(wǎng)絡(luò)安全中的防火墻：用于保護(hù)網(wǎng)絡(luò)免受惡意行為的侵害，并阻止其非法行為的網(wǎng)絡(luò)設(shè)備或系統(tǒng)，作為一個安全網(wǎng)絡(luò)的邊界點，在不同的網(wǎng)絡(luò)區(qū)域之間進(jìn)行流量的訪問控制防火墻是不同網(wǎng)絡(luò)或者安全域之間信息流的唯一通道，所有雙向數(shù)據(jù)流必須經(jīng)過防火墻。只有經(jīng)過授權(quán)的合法數(shù)據(jù)，即防火墻安全策略允許的數(shù)據(jù)才可以通過防火墻。防火墻系統(tǒng)應(yīng)該具有很高的抗攻擊能力，其自身可以不受各種攻擊的影響。2）防火墻的關(guān)鍵技術(shù) 1.包過濾技術(shù)包過濾技術(shù)的工作對象是數(shù)據(jù)包。對TCP/IP協(xié)議族來說，包過濾技術(shù)主要對其數(shù)據(jù)包包頭的各個字段進(jìn)行操作。安全過濾規(guī)則是包過濾技術(shù)的核心，是組織或機(jī)構(gòu)的整體安全策略中網(wǎng)絡(luò)安全策略部分的直接體現(xiàn)。包過濾技術(shù)必須在操作系統(tǒng)協(xié)議棧處理數(shù)據(jù)包之前攔截數(shù)據(jù)包，即防火墻模塊應(yīng)該被設(shè)置在操作系統(tǒng)協(xié)議棧網(wǎng)絡(luò)層之下，數(shù)據(jù)鏈路層之上的位置上。包過濾防火墻將包頭各個字段的內(nèi)容與安全過濾規(guī)則進(jìn)行逐條地比較判斷，直至找到一條相符的規(guī)則為止。如果沒有相符的規(guī)則，則執(zhí)行默認(rèn)的規(guī)則。具體實現(xiàn)包過濾技術(shù)的設(shè)備通常分為過濾路由器和訪問控制服務(wù)器兩類。 包過濾技術(shù)的優(yōu)點：包過濾技術(shù)實現(xiàn)簡單、快速。經(jīng)典的解決方案只需要在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的路由器上安裝過濾模塊即可。包過濾技術(shù)的實現(xiàn)對用戶是透明的。用戶無需改變自己的網(wǎng)絡(luò)訪問行為模式，也不需要在主機(jī)上安裝任何的客戶端軟件，更不用進(jìn)行任何的培訓(xùn)。包過濾技術(shù)的檢查規(guī)則相對簡單，因此檢查操作耗時極短，執(zhí)行效率非常高，不會給用戶網(wǎng)絡(luò)的性能帶來不利的影響。 包過濾技術(shù)的不足包過濾技術(shù)過濾思想簡單，對信息的處理能力有限。只能訪問包頭中的部分信息，不能理解通信的上下文，因此不能提供更安全的網(wǎng)絡(luò)防護(hù)能力當(dāng)過濾規(guī)則增多的時候，對于過濾規(guī)則的維護(hù)是一個非常困難的問題。不但要考慮過濾規(guī)則是否能夠完成安全過濾任務(wù)，還要考慮規(guī)則之間的關(guān)系防止沖突的發(fā)生。尤其是后一個問題是非常難于解決的。包過濾技術(shù)控制層次較低，不能實現(xiàn)用戶級控制。特別是不能實現(xiàn)對用戶合法身份的認(rèn)證以及對冒用的IP地址的確定。2.狀態(tài)檢測技術(shù) 狀態(tài)檢測技術(shù)根據(jù)連接的“狀態(tài)”進(jìn)行檢查。當(dāng)一個連接的初始數(shù)據(jù)報文到達(dá)執(zhí)行狀態(tài)檢測的防火墻時，首先要檢查該報文是否符合安全過濾規(guī)則的規(guī)定。如果該報文與規(guī)定相符合，則將該連接的信息記錄下來并自動添加一條允許該連接通過的過濾規(guī)則，然后向目的地轉(zhuǎn)發(fā)該報文。以后凡是屬于該連接的數(shù)據(jù)防火墻一律予以放行，包括從內(nèi)向外的和從外向內(nèi)的雙向數(shù)據(jù)流。在通信結(jié)束、釋放該連接以后，防火墻將自動地刪除關(guān)于該連接的過濾規(guī)則。動態(tài)過濾規(guī)則存儲在連接狀態(tài)表中并由防火墻維護(hù)。為了更好地為用戶提供網(wǎng)絡(luò)服務(wù)以及更精確地執(zhí)行安全過濾，狀態(tài)檢測技術(shù)往往需要察看網(wǎng)絡(luò)層和應(yīng)用層的信息，但主要還是在傳輸層上工作。從傳統(tǒng)包過濾發(fā)展而來，除了包過濾檢測的特性外，對網(wǎng)絡(luò)連接設(shè)置狀態(tài)特性加以檢測。狀態(tài)檢測防火墻對通過其的數(shù)據(jù)會話在內(nèi)部建立一個狀態(tài)連接表，其回應(yīng)的數(shù)據(jù)會首先通過狀態(tài)連接表的檢測，而不是通過安全過濾規(guī)則 狀態(tài)檢測分類：TCP狀態(tài)檢測、UDP狀態(tài)檢測、ＩＣＭＰ狀態(tài)檢測狀態(tài)檢測技術(shù)的優(yōu)點安全性比靜態(tài)包過濾技術(shù)高。狀態(tài)檢測機(jī)制可以區(qū)分連接的發(fā)起方與接收方；可以通過狀態(tài)分析阻斷更多的復(fù)雜攻擊行為；可以通過分析打開相應(yīng)的端口而不是“一刀切”，要么全打開要么全不打開。與靜態(tài)包過濾技術(shù)相比，提升了防火墻的性能。狀態(tài)檢測機(jī)制對連接的初始報文進(jìn)行詳細(xì)檢查，而對后續(xù)報文不需要進(jìn)行相同的動作，只需快速通過即可。狀態(tài)檢測技術(shù)的不足主要工作在網(wǎng)絡(luò)層和傳輸層，對報文的數(shù)據(jù)部分檢查很少，安全性還不夠高。檢查內(nèi)容多，對防火墻的性能提出了更高的要求。3．代理技術(shù)代理的執(zhí)行一種情況是代理服務(wù)器監(jiān)聽來自內(nèi)部網(wǎng)絡(luò)的服務(wù)請求。當(dāng)請求到達(dá)代理服務(wù)器時按照安全策略對數(shù)據(jù)包中的首部和數(shù)據(jù)部分信息進(jìn)行檢查。通過檢查后，代理服務(wù)器將請求的源地址改成自己的地址再轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的目標(biāo)主機(jī)上。外部主機(jī)收到的請求將顯示為來自代理服務(wù)器而不是源內(nèi)部主機(jī)。代理服務(wù)器在收到外部主機(jī)的應(yīng)答時，首先要按照安全策略檢查包的首部和數(shù)據(jù)部分的內(nèi)容是否符合安全要求。通過檢查后，代理服務(wù)器將數(shù)據(jù)包的目的地址改為內(nèi)部源主機(jī)的IP地址，然后將應(yīng)答數(shù)據(jù)轉(zhuǎn)發(fā)至該內(nèi)部源主機(jī)。另外一種情況是內(nèi)部主機(jī)只接收代理服務(wù)器轉(zhuǎn)發(fā)的信息而不接收任何外部地址主機(jī)發(fā)來的信息。這個時候外部主機(jī)只能將信息發(fā)送至代理服務(wù)器，由代理服務(wù)器轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡(luò)，相當(dāng)于代理服務(wù)器對外部網(wǎng)絡(luò)執(zhí)行代理操作。具體來說，所有發(fā)往內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過代理服務(wù)器的安全檢查，通過后將源IP地址改為代理服務(wù)器的IP地址，然后這些數(shù)據(jù)包才能被代理服務(wù)器轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡(luò)中的目標(biāo)主機(jī)。代理服務(wù)器負(fù)責(zé)監(jiān)控整個的通信過程以保證通信過程的安全性。代理服務(wù)器的實現(xiàn)與部署代理服務(wù)器通常安裝在堡壘主機(jī)或者雙宿主網(wǎng)關(guān)上。如果將代理服務(wù)器程序安裝在堡壘主機(jī)上，則可能采取不同的部署與實現(xiàn)結(jié)構(gòu)。比如說采用屏蔽主機(jī)或者屏蔽子網(wǎng)方案，將堡壘主機(jī)置于過濾路由器之后。這樣堡壘主機(jī)還可以獲得過濾路由器提供的、額外的保護(hù)。缺點則是如果過濾路由器被攻陷，則數(shù)據(jù)將旁路安裝代理服務(wù)器程序的堡壘主機(jī)，即代理服務(wù)器將不起作用。代理技術(shù)的缺陷代理服務(wù)程序很多都是專用的，不能夠很好地適應(yīng)網(wǎng)絡(luò)服務(wù)和協(xié)議的不斷發(fā)展。在訪問數(shù)據(jù)流量較大的情況下，代理技術(shù)會增加訪問的延遲，影響系統(tǒng)的性能。應(yīng)用層網(wǎng)關(guān)需要用戶改變自己的行為模式，不能夠?qū)崿F(xiàn)用戶的透明訪問。應(yīng)用層代理還不能夠完全支持所有的協(xié)議。代理系統(tǒng)對操作系統(tǒng)有明顯的依賴性，必須基于某個特定的系統(tǒng)及其協(xié)議。相對于包過濾技術(shù)來說，代理技術(shù)執(zhí)行的速度是較慢的。3）防火墻的作用和意義1.通過防火墻的規(guī)則設(shè)置隔離了數(shù)據(jù)庫安全域與其它安全域，實現(xiàn)了保護(hù)關(guān)鍵業(yè)務(wù)的應(yīng)用、控制對服務(wù)器的訪問、記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。到數(shù)據(jù)庫安全域的全部通信都受到防火墻的監(jiān)控，通過防護(hù)墻的策略可以設(shè)置成相應(yīng)的保護(hù)級別，以保證系統(tǒng)的安全?2.過濾網(wǎng)絡(luò)中不必要傳輸?shù)臒o用數(shù)據(jù)?防火墻是一種網(wǎng)關(guān)型的設(shè)備，各個區(qū)域之間的通信，可以通過防火墻的添加規(guī)則策略保障，如果在防火墻上添加一些有關(guān)重要應(yīng)用的策略，就可以過濾掉部分無用的信息，只要網(wǎng)絡(luò)中傳輸必要的應(yīng)用數(shù)據(jù)，比如封閉目前常見的蠕蟲病毒使用的端口?3.防火墻具有流量控制的特性，可以依據(jù)應(yīng)用來限制流量，來調(diào)整鏈路的帶寬利用，如：在網(wǎng)絡(luò)中，有數(shù)據(jù)庫調(diào)用應(yīng)用、域登陸應(yīng)用等等，可以在防火墻中直接加載控制策略，使數(shù)據(jù)庫調(diào)用應(yīng)用、域登陸應(yīng)用按照預(yù)定的帶寬進(jìn)行數(shù)據(jù)交換?實現(xiàn)流量控制，調(diào)整鏈路帶寬利用的功能?4.在防火墻上還可以防止惡意的內(nèi)部員工通過網(wǎng)絡(luò)對數(shù)據(jù)庫安全域的服務(wù)器TCP/UDP端口進(jìn)行非法掃描，消除系統(tǒng)安全的隱患?可防止惡意的內(nèi)部員工通過網(wǎng)絡(luò)對數(shù)據(jù)庫安全域的服務(wù)器進(jìn)行源路由攻擊、IP碎片包攻擊、DNS/RIP/ICMP攻擊、SYN攻擊、拒絕服務(wù)攻擊等多種攻擊?5.對于防火墻自身來說，日志的導(dǎo)出、日志服務(wù)器的安裝，可使得通過防火墻的數(shù)據(jù)訪問加以統(tǒng)計，為優(yōu)化網(wǎng)絡(luò)提供必要的數(shù)據(jù)，日志服務(wù)器可以完成，每個不同的源訪問的流量統(tǒng)計，可以了解到每個源的流量是否在正常范圍內(nèi)，等等?這樣的數(shù)據(jù)對于網(wǎng)絡(luò)安全是十分重要的?6.防火墻提供應(yīng)用級透明代理，可以對高層應(yīng)用(HTTP、FTP、SMTP、POP3、NNTP)做了更詳細(xì)控制，如HTTP命令(GET，POST，HEAD)及URL，F(xiàn)TP命令(GEI，PUT)及文件控制，也就是說，在的網(wǎng)絡(luò)中當(dāng)通過防火墻對數(shù)據(jù)庫安全域進(jìn)行訪問時，可在應(yīng)用層上做更詳細(xì)的訪問控制?4）防火墻的部署方案根據(jù)需要劃分了幾個網(wǎng)絡(luò)安全域，在不同的安全域之間分別放置了防火墻設(shè)備，設(shè)備的部署情況描述如下：1、根據(jù)內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)的實際情況，我們在核心交換機(jī)和數(shù)據(jù)庫服務(wù)器之間作為安全區(qū)域一來部署一臺防火墻，以保障所有對安全域一中的數(shù)據(jù)庫進(jìn)行調(diào)用時長連接的正常轉(zhuǎn)發(fā)，不會因為防火墻的原因造成數(shù)據(jù)調(diào)用的失敗，從而影響正常的業(yè)務(wù)應(yīng)用?這種邊界位置通常放置應(yīng)用網(wǎng)關(guān)防火墻，這類防火墻是通過一種代理技術(shù)參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。2、由于網(wǎng)絡(luò)視頻、視頻會議、網(wǎng)絡(luò)電話等應(yīng)用對防火墻的要求很高，不斷要求防火墻能夠?qū).323、MMS、RTSP、NETMeeting、SIP等協(xié)議有很好的支持，并且對防火墻的轉(zhuǎn)發(fā)率、對數(shù)據(jù)的延遲、丟包率以及對突發(fā)數(shù)據(jù)的處理能力都有嚴(yán)格的要求，因此在核心骨干區(qū)單獨部署了一臺防火墻，以滿足業(yè)務(wù)對防火墻的這種高要求的需要?可以考慮使用高速度的自適應(yīng)代理型防火墻。它是近幾年才得到廣泛應(yīng)用的一種新防火墻類型。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個：自適應(yīng)代理服務(wù)器與動態(tài)包過濾器。在“自適應(yīng)代理服務(wù)器”與“動態(tài)包過濾器”之間存在一個控制通道。在對防火墻進(jìn)行配置時，用戶僅僅將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)Proxy的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求。代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。另外代理型防火墻采取是一種代理機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計算機(jī)任何直接會話的機(jī)會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)，可以一定程度的防止視網(wǎng)絡(luò)視頻、視頻會議、網(wǎng)絡(luò)電話的內(nèi)容被竊聽、截獲。3、應(yīng)用服務(wù)器，包括WEB服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等，這些服務(wù)器對網(wǎng)絡(luò)的穩(wěn)定性、轉(zhuǎn)發(fā)速率和安全性有非常高的要求，一旦這些服務(wù)器出現(xiàn)問題整個辦公系統(tǒng)將會癱瘓，嚴(yán)重影響辦公效率，因此部署一臺防火墻，并且在郵件服務(wù)器的前端部署防病毒過濾網(wǎng)關(guān)，以滿足基本的訪問控制的要求和系統(tǒng)對網(wǎng)絡(luò)的穩(wěn)定性、轉(zhuǎn)發(fā)速率和安全性的高要求?這種服務(wù)器較多的服務(wù)器專區(qū)可以采用分布式防火墻，分布式防火墻滲透于網(wǎng)絡(luò)的每一臺主機(jī)，對整個內(nèi)部網(wǎng)絡(luò)的主機(jī)實施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會安裝一個用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡，這樣一塊防火墻卡同時兼有網(wǎng)卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的，都需要嚴(yán)格過濾。而不是傳統(tǒng)邊界防火墻那樣，僅對外部網(wǎng)絡(luò)發(fā)出的通信請求“不信任”。4、內(nèi)部終端用戶區(qū)，分部在各個樓層，并且鏈路是光纖接口，如果部署防火墻系統(tǒng)，一是設(shè)備數(shù)量很多，二是光纖設(shè)備非常昂貴，這樣部署防火墻設(shè)備的造價很高，大量的投入也并不能提高網(wǎng)絡(luò)的安全狀況，但我們可以在連接終端用戶的三層交換機(jī)端口上進(jìn)行簡單的訪問控制，滿足基本的訪問控制要求?5）常用的硬件防火墻1.intelX86架構(gòu)以其高靈活性和擴(kuò)展性在百兆防火墻上獲得過巨大的成功，百兆級的處理能力正好在這種架構(gòu)的范圍內(nèi)?；谶@個架構(gòu)的防火墻受CPU處理能力和PCI總線速度的制約，很難滿足千兆防火墻的高吞吐量，低時延的要求。2.ASIC架構(gòu)把指令或計算機(jī)邏輯固化到硬件中，可以獲得很高的處理能力。能夠達(dá)到線速千兆，滿足骨干網(wǎng)絡(luò)應(yīng)用的技術(shù)方案。但是，由于是固化硬件，所以缺乏靈活性，也不便于修改或升級。ASiC設(shè)計費用昂貴且風(fēng)險較大。3.NP架構(gòu)采用微碼編程，具有以下特點：完全的可編程性簡單的編程模式最大化系統(tǒng)靈活性高處理能力高度功能集開放的編程接口入侵檢測系統(tǒng)1）入侵檢測系統(tǒng)入侵檢測：對入侵行為的發(fā)覺。它通過從計算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息，并對這些信息進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統(tǒng)：進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（簡稱IDS）。入侵檢測系統(tǒng)的作用：監(jiān)控、分析用戶和系統(tǒng)的活動審計系統(tǒng)的配置和弱點評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識別攻擊的活動模式對異?；顒舆M(jìn)行統(tǒng)計分析對操作系統(tǒng)進(jìn)行審計跟蹤管理，識別違反政策的用戶活動入侵檢測系統(tǒng)的功能：監(jiān)視、分析用戶及系統(tǒng)的活動；系統(tǒng)構(gòu)造和弱點的審計；識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警；對異常行為模式進(jìn)行統(tǒng)計分析；對重要系統(tǒng)和數(shù)據(jù)文件的完整性進(jìn)行評估；對操作系統(tǒng)進(jìn)行審計跟蹤管理；識別用戶違反安全策略的行為。2）入侵檢測的過程 過程分為三部分：信息收集、信息分析和結(jié)果處理。信息收集：從入侵檢測系統(tǒng)的信息源中收集信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動的狀態(tài)和行為入侵檢測很大程度上依賴于所收集信息的可靠性和正確性信息分析：入侵檢測的關(guān)鍵所收集信息量龐大大部分是正常信息信息分析方法 模式匹配統(tǒng)計分析完整性分析告急與響應(yīng)：常見告警方式如下：自動終止攻擊終止用戶連接禁止用戶帳號新配置防火墻阻塞攻擊的源地址向管理控制臺發(fā)出警告指出事件的發(fā)生向網(wǎng)絡(luò)管理平臺發(fā)出SNMPtrap記錄事件相關(guān)日志及其相關(guān)信息向安全管理人員發(fā)送提示性電子郵件執(zhí)行一個用戶自定義的程序3）入侵檢測的核心技術(shù)入侵分析的任務(wù)就是在提取到的龐大的數(shù)據(jù)中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測技術(shù)規(guī)則進(jìn)行比較，從而發(fā)現(xiàn)入侵行為。一方面入侵檢測技術(shù)系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導(dǎo)致判定入侵的規(guī)則越來越復(fù)雜，為了保證入侵檢測技術(shù)的效率和滿足實時性的要求，入侵分析必須在系統(tǒng)的性能和檢測技術(shù)能力之間進(jìn)行權(quán)衡，合理地設(shè)計分析策略，并且可能要犧牲一部分檢測技術(shù)能力來保證系統(tǒng)可靠、穩(wěn)定地運行并具有較快的響應(yīng)速度。分析策略是入侵分析的核心，系統(tǒng)檢測技術(shù)能力很大程度上取決于分析策略。在實現(xiàn)上，分析策略通常定義為一些完全獨立的檢測技術(shù)規(guī)則。基于網(wǎng)絡(luò)的入侵檢測技術(shù)系統(tǒng)通常使用報文的模式匹配或模式匹配序列來定義規(guī)則，檢測技術(shù)時將監(jiān)聽到的報文與模式匹配序列進(jìn)行比較，根據(jù)比較的結(jié)果來判斷是否有非正常的網(wǎng)絡(luò)行為。這樣以來，一個入侵行為能不能被檢測技術(shù)出來主要就看該入侵行為的過程或其關(guān)鍵特征能不能映射到基于網(wǎng)絡(luò)報文的匹配模式序列上去。有的入侵行為很容易映射，如ARP欺騙，但有的入侵行為是很難映射的，如從網(wǎng)絡(luò)上下載病毒。對于有的入侵行為，即使理論上可以進(jìn)行映射，但是在實現(xiàn)上是不可行的，比如說有的網(wǎng)絡(luò)行為需要經(jīng)過非常復(fù)雜的步驟或較長的過程才能表現(xiàn)其入侵特性，這樣的行為由于具有非常龐大的模式匹配序列，需要綜合大量的數(shù)據(jù)報文來進(jìn)行匹配，因而在實際上是不可行的。而有的入侵行為由于需要進(jìn)行多層協(xié)議分析或有較強(qiáng)的上下文關(guān)系，需要消耗大量的處理能力來進(jìn)行檢測技術(shù)，因而在實現(xiàn)上也有很大的難度。4）入侵檢測技術(shù)的分類 根據(jù)檢測對象劃分 基于主機(jī)型的入侵檢測技術(shù)：該類型的入侵檢測系統(tǒng)主要針對保護(hù)主機(jī)安全而設(shè)計，在被保護(hù)主機(jī)中安裝嗅探功能的執(zhí)行程序，使其成為一個基于主機(jī)型的入侵檢測系統(tǒng)，這是一種軟件檢測系統(tǒng)。它通過監(jiān)視、分析主機(jī)操作系統(tǒng)的事件日志、應(yīng)用程序日志、系統(tǒng)和端口調(diào)用、安全審計記錄來檢測入侵，從而保護(hù)所在主機(jī)的系統(tǒng)安全 基于網(wǎng)絡(luò)型的入侵檢測技術(shù)：該類型的入侵檢測系統(tǒng)主要針對保護(hù)網(wǎng)絡(luò)而設(shè)計，由遍及在網(wǎng)絡(luò)中的多個網(wǎng)絡(luò)適配器組成，這些設(shè)置為混雜模式，用于嗅探網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，這是一種硬件檢測系統(tǒng)。它通過在共享網(wǎng)段上偵聽、采集傳輸?shù)臄?shù)據(jù)包，分析數(shù)據(jù)包中的可疑現(xiàn)象，保護(hù)整個網(wǎng)段的安全。 混合型的入侵檢測技術(shù)：由于基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)有各自的缺陷，單獨使用任何一種類型建立的防御體系都存在不足，混合型入侵檢測綜合了這兩種類型的優(yōu)點，它既能嗅探網(wǎng)絡(luò)中的攻擊信息，又能分析系統(tǒng)日志中的異常情況，能更加全面地檢測針對主機(jī)和網(wǎng)絡(luò)的入侵行為，讓攻擊行為無處藏身。根據(jù)檢測技術(shù)劃分：異常檢測該類型的入侵檢測系統(tǒng)根據(jù)正常主體的活動，建立正常活動的“活動簡檔”，由于入侵行為異于當(dāng)前正常的主體活動，當(dāng)檢測到某活動與“活動簡檔”的統(tǒng)計規(guī)律相違背時，即可認(rèn)為該活動有“入侵”行為的嫌疑。異常檢測技術(shù)的關(guān)鍵工作是根據(jù)正常的主體活動來描述和構(gòu)建正?；顒訖n案庫，它能檢測出未知行為，并具有簡單的學(xué)習(xí)功能。 特征模式檢測：該類型的入侵檢測系統(tǒng)根據(jù)入侵活動的規(guī)律建立入侵特征模式，并將當(dāng)前的主體活動與特征模式進(jìn)行比較，以此來判斷是否存在入侵行為，這與異常檢測技術(shù)原理正好相反。特征模式檢測技術(shù)的關(guān)鍵是建立入侵活動特征模式的表示形式，且要能夠辨別入侵活動和正?；顒拥膮^(qū)別。該技術(shù)僅能檢測使用固定特征模式的入侵而非其他任何經(jīng)過輕微變換后的攻擊行為，導(dǎo)致了它的檢測準(zhǔn)確度不高，另外該技術(shù)對系統(tǒng)資源消耗較大，檢測速度較慢。協(xié)議分析檢測該類型的入侵檢測系統(tǒng)利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測入侵活動的存在，它的引擎中包含70多個不同的命令解析器，能完整解析各類協(xié)議，詳細(xì)分析各種用戶命令并辨認(rèn)出每個特征串的含義。該技術(shù)具有檢測速度快、性能高、誤報率低、資源消耗低等特點，并能同時檢測已知和未知的入侵活動。根據(jù)工作方式劃分 離線檢測系統(tǒng)該類型的入侵檢測系統(tǒng)是非實時工作的檢測系統(tǒng)，在系統(tǒng)正常運行時根據(jù)用戶的操作活動來記錄審計事件，由網(wǎng)管人員定期或不定期地分析這些之前記錄的審計事件，并根據(jù)歷史審計記錄判斷是否存在可能的入侵活動，如果發(fā)現(xiàn)存在著入侵活動就立即斷開連接，并記錄入侵證據(jù)和修復(fù)數(shù)據(jù)。該檢測方法不具有實時性，入侵活動的檢測靈敏度較低。在線檢測系統(tǒng)該類型的入侵檢測系統(tǒng)是實時聯(lián)機(jī)工作的檢測系統(tǒng)，它能實時檢測網(wǎng)絡(luò)連接過程中的入侵行為。在工作過程中，該系統(tǒng)實時分析網(wǎng)絡(luò)數(shù)據(jù)包，實時分析主機(jī)審計記錄，根據(jù)用戶的歷史行為模型、專家知識、神經(jīng)網(wǎng)絡(luò)模型等對用戶當(dāng)前的行為實時進(jìn)行判斷，一旦發(fā)現(xiàn)有入侵跡象立即斷開有害連接，并搜集證據(jù)，實施數(shù)據(jù)恢復(fù)。整個檢測過程循環(huán)進(jìn)行，保證能及時發(fā)現(xiàn)入侵活動，并快速作出響應(yīng)，入侵活動的檢測靈敏度較高。5）入侵檢測系統(tǒng)部署 基于主機(jī)的入侵檢測系統(tǒng)部署 審計數(shù)據(jù)的獲取與預(yù)處理 數(shù)據(jù)獲取劃分為直接監(jiān)測和間接監(jiān)測兩種方法。入侵檢測時，直接監(jiān)測要好于間接監(jiān)測，原因如下：（1）間接數(shù)據(jù)源（如審計跟蹤）的數(shù)據(jù)可能在IDS使用這些數(shù)據(jù)之前被篡改。（2）一些事件可能沒有被間接數(shù)據(jù)源記錄。（3）使用間接監(jiān)測，數(shù)據(jù)是通過某些機(jī)制產(chǎn)生的，這些機(jī)制并不知道哪些數(shù)據(jù)是IDS真正需要的。（4）間接數(shù)據(jù)源通常在數(shù)據(jù)產(chǎn)生時刻和IDS能夠訪問這些數(shù)據(jù)的時刻之間引入時延。而直接監(jiān)測時延更短，確保IDS能更及時地做出反應(yīng)?；诮y(tǒng)計模型的入侵檢測技術(shù)異常檢測模型異常檢測模型是基于正常行為的統(tǒng)計，根據(jù)在過去一段時間內(nèi)正常行為的觀測，得到當(dāng)前活動觀測值的“可信區(qū)間”。異常檢測模型可以通過不斷學(xué)習(xí)使模型趨于精確、完善，相比于特權(quán)濫用檢測模型，能在一定程度上識別未知類型的攻擊及資源的非授權(quán)訪問在檢測系統(tǒng)中，從警報數(shù)據(jù)可獲取的并能衡量異常發(fā)生的原始特征數(shù)據(jù)如下?？蛻艟W(wǎng)絡(luò)發(fā)生的攻擊數(shù)目總量?？蛻艟W(wǎng)絡(luò)發(fā)起攻擊和受攻擊主機(jī)數(shù)目。邊緣網(wǎng)絡(luò)（Internet）的發(fā)起攻擊和受攻擊主機(jī)和網(wǎng)絡(luò)數(shù)目。用戶主機(jī)和網(wǎng)絡(luò)被攻擊的分布概率?；趯＜蚁到y(tǒng)的入侵檢測技術(shù)基于規(guī)則的專家系統(tǒng)從結(jié)構(gòu)組成角度由五部分組成1.知識庫；存儲和管理系統(tǒng)獲取的知識；2.綜合數(shù)據(jù)庫；存儲領(lǐng)域內(nèi)的初始數(shù)據(jù)、證據(jù)及推理過程中得到的中間結(jié)果等；3.推理機(jī)；協(xié)調(diào)控制整個系統(tǒng)以及決定如何使用知識庫中的知識；4解釋機(jī)，人機(jī)交互；5.知識獲取，采用基于規(guī)則的方法，主要具備以下幾個優(yōu)點。專家系統(tǒng)可有針對性地建立高效的入侵檢測系統(tǒng)，檢測準(zhǔn)確度高。但在具體實現(xiàn)中，專家系統(tǒng)主要面臨如下問題。專家知識獲取問題，即由于專家系統(tǒng)的檢測規(guī)則由安全專家用專家知識構(gòu)因此難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識。規(guī)則動態(tài)更新問題，用戶行為模式的動態(tài)性要求入侵檢測系統(tǒng)具有自學(xué)習(xí)、自適應(yīng)的功能?；跔顟B(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)當(dāng)前的基于特征的檢測方法過渡依賴審計數(shù)據(jù)，而對IP欺騙攻擊而言依賴審計數(shù)據(jù)的規(guī)則很難定義狀態(tài)分析法的基本思想是將攻擊看成一個連續(xù)的分步驟的并且各個步驟之間有一定關(guān)聯(lián)的過程?；谥悄荏w的入侵檢測技術(shù)采用智能體采集和分析數(shù)據(jù)有以下主要特點。（1）因為智能體是獨立的運行實體，因此，不需改變其他的組件，即可向系統(tǒng)中增加或從系統(tǒng)中移走智能體。（2）如果一個智能體由于某種原因（如下線維護(hù)）而停止了工作，損失只局限在有限的范圍內(nèi)，不會造成整個系統(tǒng)的癱瘓，這就保證了系統(tǒng)的連續(xù)運行。（3）如果將智能體以分級結(jié)構(gòu)的形式組織起來，可以使得系統(tǒng)的可伸縮性更好。系統(tǒng)開銷小、智能體的編程可以很靈活。（5）自主智能體采集數(shù)據(jù)的方法很靈活，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)部署網(wǎng)絡(luò)數(shù)據(jù)包的捕獲網(wǎng)絡(luò)數(shù)據(jù)包的截獲是基于網(wǎng)絡(luò)的入侵檢測技術(shù)的工作基石。根據(jù)網(wǎng)絡(luò)類型的不同，網(wǎng)絡(luò)數(shù)據(jù)截獲可以通過兩種方法實現(xiàn)：一種是利用以太網(wǎng)絡(luò)的廣播特性，另一種是通過設(shè)置路由器的監(jiān)聽端口或者是鏡像端口來實現(xiàn)。檢索引擎的設(shè)計檢測引擎的設(shè)計是基于網(wǎng)絡(luò)入侵檢測的核心問題。網(wǎng)絡(luò)檢測引擎必須獲取和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，才能得到可能入侵的信息。檢測引擎首先需要利用數(shù)據(jù)包截獲機(jī)制，截獲引擎所在網(wǎng)絡(luò)中的數(shù)據(jù)包。經(jīng)過過濾后，引擎需要采用一定的技術(shù)對數(shù)據(jù)包進(jìn)行處理和分析，從而發(fā)現(xiàn)數(shù)據(jù)流中存在的入侵事件和行為。有效的處理和分析技術(shù)是檢測引擎的重要組成部分。從具體的實現(xiàn)機(jī)制看，檢測引擎可分為嵌入式規(guī)則檢測引擎和可編程的檢測。從具體采用的檢測技術(shù)看，網(wǎng)絡(luò)入侵檢測引擎常見的技術(shù)類型分為兩類：模式匹配和協(xié)議分析技術(shù)。網(wǎng)絡(luò)入侵特征提取網(wǎng)絡(luò)入侵特征提取是模式匹配技術(shù)和協(xié)議分析中的關(guān)鍵步驟IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù)，通常分為多種，以下是一些典型情況及識別方法：來自保留IP地址的連接企圖：可通過檢查IP報頭的來源地址識別。帶有非法TCP標(biāo)志組合的數(shù)據(jù)包：可通過對比TCP報頭中的標(biāo)志集與已知正確和錯誤標(biāo)記組合的不同點來識別。含有特殊病毒信息的Email：可通過對比每封Email的主題信息和病態(tài)Email的主題信息來識別，或者通過搜索特定名字的附近來識別。幾種典型的入侵方式1）口令破解：帳戶是一種參考上下文，操作系統(tǒng)在這個上下文描述符運行它的大部分代碼。換一種說法，所有的用戶模式代碼在一個用戶帳戶的上下文中運行。即使是那些在任何人都沒有登錄之前就運行的代碼（例如服務(wù)）也是運行在一個帳戶（特殊的本地系統(tǒng)賬戶SYSTEM）的上下文中的。如果用戶使用帳戶憑據(jù)（用戶名和口令）成功通過了登錄認(rèn)證，之后他執(zhí)行的所有命令都具有該用戶的權(quán)限。暴力破解。暴力破解基本上是一種被動攻擊的方式。黑客在知道用戶的賬戶號后，利用一些專門的軟件強(qiáng)行破解用戶口令，這種方法不受網(wǎng)段限限制，但需要有足夠的耐心和時間。這些工具軟件可以自動地從黑客字典中取出一個單詞一，作為用戶的口令輸入給遠(yuǎn)端的主機(jī)，申請進(jìn)入系統(tǒng)。(2)登錄界面攻擊法。黑客可以在被攻擊的主機(jī)上，利用程序偽造一個登錄界面，以騙取用戶的賬號和密碼。當(dāng)用戶在這個偽造四界面?zhèn)€鍵入登錄信息后，程序可將用戶的輸入信息記錄并傳送到黑客的主機(jī)，然后關(guān)閉界面，給出提示信息“系統(tǒng)故障”或“輸入錯誤”，要求用戶重新輸入。(3)網(wǎng)絡(luò)監(jiān)聽。黑客可以通過網(wǎng)絡(luò)監(jiān)聽非法得到的用戶口令，這類方法有一定的局限性，但危害性極大。由于很多網(wǎng)絡(luò)協(xié)議根本就沒有彩任何加密或身份認(rèn)證技術(shù)，如在telnet、FTP、HTTP、SMTP等傳輸協(xié)議中，用戶賬號和密碼信息都是以文明格式傳輸?shù)?，此時若黑客利用數(shù)據(jù)包截取工具便可很容易收集到用戶的賬號和密碼。另外，黑客有時還會利用軟件和硬件工具時刻監(jiān)視系統(tǒng)主機(jī)的工作，等待記錄用戶登錄信息，從而取得用戶密碼。(4)密碼探測。大多數(shù)情況下，操作系統(tǒng)保存和傳送密碼都要經(jīng)過一個加密處理的過程，完全看不出原始密碼的模樣。而且理論上要逆向還原密碼的幾率幾乎為零。但黑客可以利用密碼探測的工具，反復(fù)模擬編程過程，并將編出和密碼與加加密后的密碼相比較，如果兩者相同，就表示得到了正確的密碼。解決方法可以建議用戶在設(shè)置口令的時候不要將自己的生日、身份證號碼、電話號碼等容易被人獲得信息作為自己的口令，選取一些沒有規(guī)律的字母數(shù)字和符號組合的字符作為自己的口令。此外還可以對口令的傳輸過程進(jìn)行加密也可以防止口令被破解。并定期修改密碼，防止被破解。2）漏洞攻擊：漏洞的產(chǎn)生大致可分為有意和無意的兩類。前者是在程序編寫過程種，編程人員為了達(dá)到不可告人的目的，有意的在程序的隱蔽處留下各種各樣的后門。后者是由于編程人員的水平問題，經(jīng)驗和當(dāng)時安全技術(shù)加密方法所限，在程序中總會或多或少的有些不足之處，有的影響程序的效率，有的會導(dǎo)致非授權(quán)用戶的權(quán)利提升。解決方法：

可以通過實時的更新自己的系統(tǒng)，盡快的給自己的系統(tǒng)和軟件打好補(bǔ)丁還有把機(jī)器的不用的端口都關(guān)閉來進(jìn)行避免。3）木馬：比較典型的是特洛伊木馬，