運維審計系統堡壘機是即在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便集中報警、及時處理及審計定責。

堡壘機是從跳板機（也叫前置機）的概念演變過來的。早在2000年左右，一些中大型企業為了能對運維人員的遠程登錄進行集中管理，會在機房部署一臺跳板機。跳板機其實就是一臺unix/windows操作系統的服務器，所有運維人員都需要先遠程登錄跳板機，然后再從跳板機登錄其他服務器中進行運維操作。

但跳板機并沒有實現對運維人員操作行為的控制和審計，使用跳板機過程中還是會有誤操作、違規操作導致的操作事故，一旦出現操作事故很難快速定位原因和責任人。此外，跳板機存在嚴重的安全風險，一旦跳板機系統被攻入，則將后端資源風險完全暴露無遺。同時，對于個別資源（如telnet）可以通過跳板機來完成一定的內控，但是對于更多更特殊的資源（ftp、rdp等）來講就顯得力不從心了。

人們逐漸認識到跳板機的不足，進而需要更新、更好的安全技術理念來實現運維操作管理。需要一種能滿足角色管理與授權審批、信息資源訪問控制、操作記錄和審計、系統變更和維護控制要求，并生成一些統計報表配合管理規范來不斷提升IT內控的合規性的產品。在這些理念的指導下，2005年前后，堡壘機開始以一個獨立的產品形態被廣泛部署，有效地降低了運維操作風險，使得運維操作管理變得更簡單、更安全。

在windows上使用ssh協議是因為該協議通過tcp22端口，服務器、路由器、交換機、sftp等不安全的程序通過該端口都可以用于幫助加強連接以防止竊聽。目前ssh協議大多用在linux系統中，但SSH協議本身實際上是在各種各樣的系統上實現的，雖然在windows操作系統中不是默認開啟的，但開啟后可以和linux操作系統一樣簡單方便的使用ssh協議來連接服務器等。

以下是幾款是windows下ssh常用工具：

• Putty：putty是最簡單的SSH工具，無需安裝，支持多系統版本，下載后就可以直接使用；

• XManager：Xmanager是一個工具集合，里面包括了xshell，xftp，xbrowser,xstart,xlpd等等功能，其中最常用的就是xshell和xftp，我個人認為xshell是最好用的ssh工具；

• SSH Secure Shell Client：SSH是一個用來替代TELNET、FTP以及R命令的工具包，主要是想解決口令在網上明文傳輸的問題。為了系統安全和用戶自身的權益，推廣SSH是必要的。 SSH是英文Secure Shell的簡寫形式。通過使用SSH，你可以把所有傳輸的數據進行加密，這樣”中間人”這種攻擊方式就不可能實現了，而且也能夠防止DNS欺騙和IP欺騙；

• secureCRT：SecureCRT支持SSH，同時支持Telnet和rlogin協議。SecureCRT是一款用于連接運行包括Windows、UNIX和VMS的理想工具。通過使用內含的VCP命令行程序可以進行加密文件的傳輸。有流行CRTTelnet客戶機的所有特點,包括:自動注冊、對不同主機保持不同的特性、打印功能、顏色設置、可變屏幕尺寸、用戶定義的鍵位圖和優良的VT100,VT102,VT220和ANSI競爭.能從命令行中運行或從瀏覽器中運行.其它特點包括文本手稿、易于使用的工具條、用戶的鍵位圖編輯器、可定制的ANSI顏色等.SecureCRT的SSH協議支持DES,3DES和RC4密碼和密碼與RSA鑒別；

• Mobaxterm：MobaXterm是一款遠程終端控制軟件,集串口,SSH遠程登錄和FTP傳輸三合一的工具,便攜版操作簡單,使用非常方便。

物聯網安全數據分析方法有以下這些：

• 描述性分析方法：描述性數據分析告訴我們現在或過去正在發生什么。例如，卡車發動機中的溫度計每秒報告一個溫度值。從描述性分析的角度來看，可以隨時提取這些數據，以了解卡車發動機的當前運行狀況。如果溫度值過高，則可能出現冷卻問題或發動機承受了太多的負荷。

• 診斷性分析方法：當我們對“為什么”感興趣時，診斷性數據分析可以提供答案。繼續以卡車發動機中的溫度傳感器為例，我們可能想知道為什么卡車發動機會出現故障。診斷性分析可能表明發動機溫度過高，發動機過熱。對由大量智能對象生成的數據應用診斷性分析，可以清楚地了解問題或事件發生的原因。

• 預測性分析方法：預測性分析的目的是在問題發生之前對其進行預測。例如，通過使用卡車發動機的歷史溫度值，預測性分析可以對發動機中某些部件的剩余壽命進行估計，從而在故障發生之前主動更換這些組件。或者，如果卡車發動機的溫度值隨著時間的推移開始緩慢上升，這可能表明需要更換機油或進行其他類型的發動機冷卻維護。

• 處方性分析方法：處方性分析超越了預測性分析，為即將出現的問題提出了解決方案。對卡車發動機的溫度數據進行處方性分析，可能會計算出各種替代方案，從而經濟有效地維護卡車。這些計算可能包括更頻繁地更換機油和冷卻維護所需的成本，以及在發動機上安裝新的冷卻設備或升級到租用一臺功率更大的發動機。處方性分析著眼于各種因素，并提出適當的建議。

漏洞掃描設備部署位置有以下兩種：

1. 漏洞掃描設備如果按獨立模式進行部署可以直接接入核心交換機上，也就是網絡中指部署一臺設備，管理員可以從任意地址登錄設備下達任務；

2. 漏洞掃描設備如果按照分布式模式部署則直接接在每個小型局域網的核心交換機上，部署多臺掃描設備進行集中管理和下達任務。

以個人用戶常用的TP-link路由器為例來說明解決被DNS網站劫持方法（其他品牌路由器修改方法如下）：

1. 修改DNS

在地址欄中輸入路由器的默認地址，并填寫用戶名密碼登錄到路由器控制界面；

2. 選擇無線設置選項

一般解決方法是修改路由器的DNS，或者修改路由器的登錄密碼和WiFi的密碼就可以解決網頁DNS劫持。

網絡安全問題主要帶來以下問題：

• 個人信息泄露：個人信息泄露，實質上是一些IT技術人員利用技術手段和工具進行的技術性竊取，有別于一般的偷盜。隨著互聯網應用的普及和人們對互聯網的依賴，互聯網的安全問題也日益凸顯。惡意程序、各類釣魚和欺詐繼續保持高速增長，同時黑客攻擊和大規模的個人信息技術竊取頻發，與各種網絡攻擊大幅增長相伴的，是大量網民個人信息的被技術性竊取與財產損失的不斷增加。目前信息安全“黑洞門”已經到觸目驚心的地步，網站攻擊與技術竊取正在向批量化、規模化方向發展，用戶隱私和權益遭到侵害，特別是一些重要數據甚至流向他國，不僅是個人和企業，信息安全威脅已經上升至國家安全層面。從某漏洞響應平臺上收錄的數據顯示，目前該平臺已知漏洞就可導致23.6億條隱私信息泄露，包括個人隱私信息、賬號密碼、銀行卡信息、商業機密信息等。導致大量數據泄露的最主要來源是：互聯網網站、游戲以及錄入了大量身份信息的政府系統。根據公開信息，2011年至今，已有11.27億用戶隱私信息被泄露。

• 病毒攻擊：計算機病毒（Computer Virus）指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機正常使用并且能夠自我復制的一組計算機指令。計算機病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發性、表現性或破壞性。計算機病毒的生命周期：開發期→傳染期→潛伏期→發作期→發現期→消化期→消亡期。

• 口令破解：攻擊者攻擊目標時常常把破譯用戶的口令作為攻擊的開始。只要攻擊者能猜測或者確定用戶的口令，他就能獲得機器或者網絡的訪問權，并能訪問到用戶能訪問到的任何資源。如果這個用戶有域管理員或root用戶權限，這是極其危險的。口令攻擊是黑客最喜歡采用的入侵網絡的方法。黑客通過獲取系統管理員或其他殊用戶的口令，獲得系統的管理權，竊取系統信息、磁盤中的文件甚至對系統進行破壞。

• 網絡監聽：網絡監聽是一種監視網絡狀態、數據流程以及網絡上信息傳輸的管理工具，它可以將網絡界面設定成監聽模式，并且可以截獲網絡上所傳輸的信息。也就是說，當黑客登錄網絡主機并取得超級用戶權限后，若要登錄其它主機，使用網絡監聽便可以有效地截獲網絡上的數據，這是黑客使用最好的方法。但是網絡監聽只能應用于連接同一網段的主機，通常被用來獲取用戶密碼等。

Web程序的防御機制有以下這些：

• 身份驗證機制，現在絕大部分的 WEB 程序都采用原始的驗證方式，即用戶名和密碼驗證，服務器驗證通過，即登陸成功，走向會話管理和訪問控制環節。一 些安全性比較高的 WEB 程序，可能可能還會加入證書、Token 等驗證方式。原始的用戶名、密碼驗證機制存在很多問題，如可以獲取用戶名信息、可以推測密 碼、可以通過程序漏洞繞過認證。如果 WEB 程序存在 sql 注入漏洞，hacker 就可以繞過密碼認證。

• 訪問控制，根據既定的規則來決定允許或者拒絕用戶的請求。如果前面的權限認證機制正常工作，服務器就可以從用戶發送的請求 中確認用戶的身份，從而根據用戶的權限來決定是否授權用戶的請求動作。由于訪問控制的要求很復雜，場景很多，因此這一階段的安全漏洞也很多，但是滲透測試 時，也許需要大量重復性的工作，才會發現這樣的漏洞。

• 拒絕已知的非法輸入，一般是采用黑名單的方法，黑名單中包括在攻擊中使用的一直的字符串或者字符。這種方法效果不明顯，首先是惡意的字符串或者代碼可能會經過各種格式編碼，再次是攻擊技術在不斷的發展，總會有一些字符串過濾不到（防御總是落后于攻擊就是這個道理）。

• 只接受已知的正常輸入，即設置白名單。白名單雖然確實有效，但是許多情況下不滿足我們的需求。

• 凈化，這種方法是指WEB程序接收用戶的輸入，然后在后臺對用戶的輸入進行凈化。數據中可能存在的惡意字符被刪除或者進行編碼、轉義。這種方法一般很有效，也被廣泛使用。

針對DDoS攻擊的誤會有：

• DDoS攻擊都是洪水攻擊：在DDoS攻擊中，絕大多數是通過洪水（Flood）攻擊的方法進行的。但實際上除了Flood攻擊，還有慢速攻擊的方法。Flood攻擊一般是通過在一定時間段內，快速、大量地發送請求數據，從而迅速消耗目標資源，達到拒絕服務的效果，方法使用簡單、粗暴。而慢速攻擊則是通過緩慢、持續地發送請求并且長期占用，逐步對目標資源進行侵占，最終達到拒絕服務的效果。

• DDoS攻擊都是消耗帶寬資源的攻擊：在DDoS攻擊的相關報道中，我們經常會在標題中看到“史上最大流量”“攻擊流量達到了××”等字眼，體現攻擊之猛烈。這種以攻擊流量帶寬的大小作為衡量攻擊危害程度的說法，通常會誤導我們認為DDoS攻擊都是消耗帶寬資源的攻擊。但實際上我們以知道DDoS攻擊除了消耗目標網絡帶寬資源，還有消耗系統資源和應用資源的方法。同種攻擊方法，攻擊的流量越大，危害也就越大。而相同攻擊流量下，不同攻擊方法帶來的危害也不盡相同，由此可見攻擊的流量大小只是決定DDoS攻擊所帶來的危害程度的一個方面。

• 增加帶寬、購買防御產品能夠解決DDoS攻擊：目前，DDoS攻擊無法徹底解決。增加帶寬本質上屬于防護的一種退讓策略，這種策略還包括網絡架構、硬件設備的冗余，以及服務器性能的提升等。如果攻擊者的攻擊造成的資源消耗不高于當前帶寬、設備承載的能力，那么攻擊是無效的。然而攻擊者的攻擊資源一旦超出了當前的承載能力及防御限度，就需要再次采用相同的退讓策略進行解決。理論上講，這類退讓策略能夠解決DDoS攻擊，但企業因受成本、硬件等實際因素的限制，投入不可能無限增加，帶寬也不會無限擴大，因此退讓策略并不是有效緩解攻擊的方法。

DDoS攻擊的工作原理是通過控制發送大量的惡意流量，讓目標網站癱瘓或服務器宕機，從而無法正常響應合法流量的訪問請求。具體過程：

• 當你要訪問某一主機或網站時，首先，將數據包發送到目標主機，并發出連接請求。這將啟動TCP連接（兩個主機用于通信的進程）。目標主機一旦接收到一個請求的數據包（SYNchronize數據包），就會相應地返回一個響應的數據包（SYN-ACKnowledge數據包）。

防御DDOS攻擊：

• 采用高性能的網絡設備

  首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。
  

• 盡量避免NAT的使用

  無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用，因為采用此技術會較大降低網絡通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。

• 充足的網絡帶寬保證

  網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。

• 升級主機服務器硬件

  在有網絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P42.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存。

• 把網站做成靜態頁面或者偽靜態

  大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩。

• 安裝專業抗DDOS防火墻

• HTTP 請求的攔截

  如果惡意請求有特征，對付起來很簡單：直接攔截它就行了。

• 備份網站

  備份網站不一定是全功能的，如果能做到全靜態瀏覽，就能滿足需求。最低限度應該可以顯示公告，告訴用戶，網站出了問題，正在全力搶修。

• 部署CDN

  CDN 指的是網站的靜態內容分發到多個服務器，用戶就近訪問，提高速度。因此，CDN 也是帶寬擴容的一種方法，可以用來防御 DDOS 攻擊。

軟件安全編碼實踐技術有以下這些：

• 內存管理：包括幾個重要的內存管理措施，如引用局部性、垃圾回收、類型安全和代碼訪問安全等，這些措施可以幫助軟件實現適度的內存安全控制。

• 例外管理：對所有的例外都必須要明確處理，最好采用統一的方法來處理，以防止敏感信息泄露。

• 會話管理：要求會話具有唯一的會話令牌，并對用戶活動進行跟蹤。

• 配置參數管理：組成軟件的配置參數需要被管理和保護，避免被攻擊者利用。

• 并發控制技術：一些常用的預防競爭條件或者TOC/TOU攻擊的保護方法主要包括避免競爭窗口、操作的原子性和交叉互斥。

• 標簽化技術：使用用戶唯一的身份符號代替敏感信息的過程，既保存了需要的相關信息，又不會對安全造成破壞。

• 沙箱技術：通過沙箱將運行的軟件與主機操作系統隔離，避免未經測試的、不可信的、未經驗證的代碼和程序被執行，尤其是要避免那些由第三方發布的程序直接在主機操作系統上運行。

• 安全的API：要避免使用那些容易受到安全破壞的、被禁用和被棄用的API函數，代之以安全的API。

• 防篡改技術：防篡改技術保證完整性，保護軟件代碼和數據免受未授權的惡意修改。幾種典型的防篡改技術有代碼混淆、抗逆向工程和代碼簽名。

入侵檢測的基本方法有：

• 特征檢測：特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高，但對于無經驗知識的入侵與攻擊行為無能為力。

• 專家系統：用專家系統對入侵進行檢測，經常是針對有特征入侵行為。所謂的規則，即是知識，不同的系統與設置具有不同的規則，且規則之間往往無通用性。專家系統的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統的關鍵。在系統實現中，將有關入侵的知識轉化為if-then結構（也可以是復合結構），條件部分為入侵特征，then部分是系統防范措施。運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性。

• 文件完整性檢查：文件完整性檢查系統檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統保存有每個文件的數字文摘數據庫，每次檢查時，它重新計算文件的數字文摘并將它與數據庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發生變化。文件的數字文摘通過Hash函數計算得到。不管文件長度如何，它的Hash函數計算結果是一個固定長度的數字。與加密算法不同，Hash算法是一個不可逆的單向函數。采用安全性高的Hash算法，如MD5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結果。從而，當文件一被修改，就可檢測出來。在文件完整性檢查中功能最全面的當屬Tripwire。

• 統計檢測 ：統計模型常用異常檢測，在統計模型中常用的測量參數包括：審計事件的數量、間隔時間、資源消耗情況等。統計方法的最大優點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統計規律，從而透過入侵檢測系統。

網絡安全問題主要帶來以下問題：

• 個人信息泄露：個人信息泄露，實質上是一些IT技術人員利用技術手段和工具進行的技術性竊取，有別于一般的偷盜。隨著互聯網應用的普及和人們對互聯網的依賴，互聯網的安全問題也日益凸顯。惡意程序、各類釣魚和欺詐繼續保持高速增長，同時黑客攻擊和大規模的個人信息技術竊取頻發，與各種網絡攻擊大幅增長相伴的，是大量網民個人信息的被技術性竊取與財產損失的不斷增加。目前信息安全“黑洞門”已經到觸目驚心的地步，網站攻擊與技術竊取正在向批量化、規模化方向發展，用戶隱私和權益遭到侵害，特別是一些重要數據甚至流向他國，不僅是個人和企業，信息安全威脅已經上升至國家安全層面。從某漏洞響應平臺上收錄的數據顯示，目前該平臺已知漏洞就可導致23.6億條隱私信息泄露，包括個人隱私信息、賬號密碼、銀行卡信息、商業機密信息等。導致大量數據泄露的最主要來源是：互聯網網站、游戲以及錄入了大量身份信息的政府系統。根據公開信息，2011年至今，已有11.27億用戶隱私信息被泄露。

• 病毒攻擊：計算機病毒（Computer Virus）指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機正常使用并且能夠自我復制的一組計算機指令。計算機病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發性、表現性或破壞性。計算機病毒的生命周期：開發期→傳染期→潛伏期→發作期→發現期→消化期→消亡期。

• 口令破解：攻擊者攻擊目標時常常把破譯用戶的口令作為攻擊的開始。只要攻擊者能猜測或者確定用戶的口令，他就能獲得機器或者網絡的訪問權，并能訪問到用戶能訪問到的任何資源。如果這個用戶有域管理員或root用戶權限，這是極其危險的。口令攻擊是黑客最喜歡采用的入侵網絡的方法。黑客通過獲取系統管理員或其他殊用戶的口令，獲得系統的管理權，竊取系統信息、磁盤中的文件甚至對系統進行破壞。

• 網絡監聽：網絡監聽是一種監視網絡狀態、數據流程以及網絡上信息傳輸的管理工具，它可以將網絡界面設定成監聽模式，并且可以截獲網絡上所傳輸的信息。也就是說，當黑客登錄網絡主機并取得超級用戶權限后，若要登錄其它主機，使用網絡監聽便可以有效地截獲網絡上的數據，這是黑客使用最好的方法。但是網絡監聽只能應用于連接同一網段的主機，通常被用來獲取用戶密碼等。

嗅探器的英文寫法是siffer, 所謂網絡嗅探，其實就是對大量網絡數據流進行分析，從中分離出我們感興趣的東西并記錄下來或顯示出來。可以理解為個安裝在計算機上的竊聽設備，它可以用來竊聽計算機在網絡上所產生的眾多的信息，可以監視網絡的狀態、數據流動情況及網絡上傳輸的信息。當信息以明文的形式在網絡上傳輸時，便可以使用網絡監聽的方式竊取網上傳送的數據包。將網絡接口設置在監聽模式，可以將網上傳輸的信息截獲。

嗅探類型的工具有以下模塊組成：

• 數據包嗅探模塊：大規模的應用程序很少采用單機運行模式，Snort通常采用分布式體系對網絡進行入侵檢測。最典型的安裝方式是3層體系，即傳感器層、服務器層、分析員控制臺。通常數據包采集模塊和包解碼器運行在傳感器上，負責對抓來的包進行解釋。由于傳感器必須放置在被監控的網段，為了保證安全，通常只安裝Snort和在它之下運行的支撐應用程序。傳感器的兩塊網卡中的一塊用作被動采集數據包，接口不分配IP地址，另一塊用作管理接口，需要分配IP地址。數據包采集程序運行在Libpcap平臺上，由于Libpcap平臺的獨立性使得Snort可以被移植到任何地方，成為一個真正與平臺無關的應用程序。

• 預處理程序模塊：預處理程序是Snort的一類插件。它在Snort運行檢測引擎之前對數據進行處理，并且努力與不斷變化的漏洞和攻擊保持同步。用戶可以添加新的協議為Snort提供支持，它既能對數據包操作以便檢測引擎能正確分析數據包，又能檢測特征檢測所不能單獨發現的可疑流量。新的攻擊方法和IDS躲避技術不斷涌現，以至Snort的檢測引擎要么不能檢測，要么檢測效率不高。預處理程序可以將數據標準化以便檢測引擎能正確對其進行分析。此外，一些病毒制造者為了躲避反病毒程序的特征匹配引擎而引入多態病毒；同樣的技術也被用于遠程利用，shell代碼具有多種形態。Fnord預處理程序能檢測出變異的NO-OP Sled，從而避免了由于緩沖區溢出使處理器強制執行惡意代碼導致的程序崩潰。NO-OP Sled能被許多IDS輕易地檢測到，除非它在每次被使用時都做修改。如果沒有Fnord預處理，Snort將無法檢測多態Shell代碼。

• 檢測引擎模塊：檢測引擎是Snort的主要組件。它有兩個主要功能：規則分析和特征檢測。檢測引擎通過分析Snort規則來建立攻擊特征。Snort規則被載入到檢測引擎并以樹形數據結構分類。規則按功能分為兩個部分：規則頭（規則樹節點）和規則選項（選項樹節點）。規則頭包含特征應用的條件信息。樹形結構通過最小化發現可疑行為的必要檢測次數來提高效率。惡意行為被發現后，Snort將入侵數據寫入不同的輸出插件。最有效的檢測攻擊的方法是基于特征的檢測。基于特征的檢測的基礎是異常或惡意網絡流量符合一種獨特的模式，而正常或良性流量不符合。對Snort來說，一個惡意流量特征可以被創建成一個規則以載入它的檢測引擎，用于進行特征匹配。通過特征檢測出可疑流量后，還可以進一步檢測可疑的數據包內容字段。

• 數據聚合模塊：以一種工業標準格式從許多完全不同的安全設施聚合數據，從而進行事件關聯。

• 報警模塊：Snort有兩種主要的報警方法，即Syslog和Swatch報警、入侵數據庫控制臺報警。Swatch是一種簡單且功能強大的工具，它能積極地監控系統日志，當發生了事先配置的事件時就發出報警。

• 分層報警模塊：入侵檢測系統領域的報警分為3類，無優先級報警、嚴格編碼的優先級報警、可定制的優先級報警。無優先級報警不能按嚴重程度進行分類，通告會變得非常多，無法采用緊急時間自動通知機制；嚴格編碼的優先級報警由銷售商決定哪些報警重要，程序員可以進行排序和篩選，但這種“one fits all”的方法對于報警并不適合；可定制的優先級報警是現代網絡的模塊化和獨特性所需要的。報警能基于事先設置的優先級進行排序。Snort自帶了32種預定義的警報分類。

主要的通用網絡安全技術有以下這些：

• 身份認證（Identity and Authentication）：通過網絡身份的一致性確認，保護網絡授權用戶的正確存儲、同步、使用、管理和控制，防止別人冒用或盜用的技術手段。

• 訪問管理（Access Management）：保障授權用戶在其權限內對授權資源進行正當使用，防止非授權使用的措施。

• 加密（Cryptograghy）：加密技術是最基本的網絡安全手段。包括加密算法、密鑰長度確定、密鑰生命周期（生成、分發、存儲、輸入/輸出、更新、恢復和銷毀等）安全措施和管理等。

• 防惡意代碼（Anti-Malicode）：建立健全惡意代碼（計算機病毒及流氓軟件）的預防、檢測、隔離和清除機制，預防惡意代碼入侵，迅速隔離和查殺已感染病毒，識別并清除網內惡意代碼。

• 加固（Hardening）：對系統漏洞及隱患采取必要的安全防范措施，主要包括安全性配置、關閉不必要的服務端口、系統漏洞掃描、滲透性測試、安裝或更新安全補丁，以及增設防御功能和對特定攻擊預防手段等，提高系統自身的安全。

• 監控（Monitoring）：通過監控用戶主體的各種訪問行為，確保對網絡等客體的訪問過程中安全的技術手段。

• 審核跟蹤（Audit Trail）：對網絡系統異常訪問、探測及操作等事件及時核查、記錄和追蹤。利用多項審核跟蹤不同活動。

• 備份恢復（Backup and Recovery）：為了在網絡系統出現異常、故障或入侵等意外情況時，及時恢復系統和數據而進行的預先備份等技術方法。備份恢復技術主要包括4個方面備份技術、容錯技術、冗余技術和不間斷電源保護。

漏洞掃描NTV全稱為Network Vulnerability Tool，中文為網絡漏洞工具本質上就是網絡漏洞掃描系統，一種自動檢測遠程目標主機安全漏洞的工具。是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測（滲透攻擊）行為。

網站的漏洞掃描工具有：

1. Nikto

   是一個開源的Web服務器掃描程序，它可以對Web服務器的多種項目(包括3500個潛在的危險文件/CGI，以及超過900個服務器版本，還有250多個服務器上的版本特定問題)進行全面的測試。其掃描項目和插件經常更新并且可以自動更新(如果需要的話)。

2. Paros

   這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基于Java的web代理程序，可以評估Web應用程序的漏洞。

3. WebScarab

   這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，并會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

4. WebInspect

   這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，并會嘗試一些常見的Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

5. Whisker/libwhisker

   Libwhisker是一個Perla模塊，適合于HTTP測試。它可以針對許多已知的安全漏洞，測試HTTP服務器，特別是檢測危險CGI的存在。Whisker是一個使用libwhisker的掃描程序。