作者:一粟
“沉寂的深夜,雜亂的小屋,只傳出陣陣清脆的鍵盤敲擊聲。屏幕上不時閃現出漂亮的3維立體動畫的口令提
示框….”在很多影視及文學作品中通常都是這樣描述***及***的工作的。
在現實生活中,真正***的工作是非常枯燥的,可能幾天沒日沒夜的試探只是爲了通過那個簡陋的WIN2000口
令提示框(甚至連框都沒有,就是一行簡單的字符:Enter your password:)。
同樣,網絡安全專家的工作絕大部分時候也是非常枯燥無味的,查閱設備配置文檔、每日檢查上千行的服務器
訪問日誌、防火牆、IDS訪問日誌以發現******的蛛絲馬跡……
然而,上面被人們談的最多的******防禦卻不是網絡安全學習的重點,儘管它們也很重要。
在網絡安全課程的學習過程中,很多朋友面對浩如煙海的各種網絡安全知識和技術不知所措。不知道該如何安
排自己的學習過程。
今天,借這個機會和對網絡安全感興趣的朋友們談談如何學好網絡安全課程。
首先,必須(時刻)意識到你是在學習一門可以說是最難的課程,是網絡專業領域的頂尖課程,不是什麼人、
隨隨便便就能學好的。不然,大家都是***,也就沒有***和網絡安全的概念了。
很多朋友抱着學一門課程、讀好一本書就可以掌握網絡安全的知識和技能。不幸的是,網絡安全技術決不是幾
本書、幾個月就可以速成的。你需要參考大量的參考書。
另一方面,在學校接受的傳統教育觀念使我們習慣由老師來指定教材、參考書。遺憾的是走向了社會,走到工
作崗位,沒有人給你指定解決這個安全問題需要什麼參考書,你得自己研究,自己解決問題。
網絡安全涉及的知識面廣、術語多、理論知識多。正給學習這門課程帶來很多困難。也需要我們投入比其它課
程多的時間和精力來學習它。
概括來說,網絡安全課程的主要內容包括:
l 安全基本知識
l 應用加密學
l 協議層安全
l Windows安全(***與防禦)
l Unix/Linux安全(***與防禦)
l 防火牆技術
l ***監測系統
l 審計和日誌分析
下面分別對每部分知識介紹相應的具體內容和一些參考書(正像前面提到的那樣,有時間、有條件的話,這些
書都應該看至少一遍)。
一、安全基本知識
這部分的學習過程相對容易些,可以花相對較少的時間來完成。這部分的內容包括:安全的概念和定義、常見
的安全標準等。
大部分關於網絡安全基礎的書籍都會有這部分內容的介紹。
下面推薦一些和這部分有關的參考書:
l 《CIW:安全專家全息教程》 魏巍 等譯,電子工業出版社
l 《計算機系統安全》 曹天傑,高等教育出版社
l 《計算機網絡安全導論》 龔儉,東南大學出版社
二、應用加密學
加密學是現代計算機(網絡)安全的基礎,沒有加密技術,任何網絡安全都是一紙空談。
加密技術的應用決不簡單地停留在對數據的加密、解密上。密碼學除了可以實現數據保密性外、它還可以完成
數據完整性校驗、用戶身份認證、數字簽名等功能。
以加密學爲基礎的PKI(公鑰基礎設施)是信息安全基礎設施的一個重要組成部分,是一種普遍適用的網絡安
全基礎設施。授權管理基礎設施、可信時間戳服務系統、安全保密管理系統、統一的安全電子政務平臺等的構築
都離不開它的支持。
可以說,加密學的應用貫穿了整個網絡安全的學習過程中。因爲之前大多數人沒有接觸過在這方面的內容,這
是個弱項、軟肋,所以需要花費比其它部分更多的時間和精力來學習。也需要參考更多的參考書。
下面推薦一些和這部分有關的參考書:
l 《密碼學》 宋震,萬水出版社
l 《密碼工程實踐指南》 馮登國 等譯,清華大學出版社
l 《祕密學導引》 吳世忠 等譯,機械工業(這本書內容較深,不必完全閱讀,可作爲參考)
三、協議層安全
系統學習TCP/IP方面的知識有很多原因。要適當地實施防火牆過濾,安全管理員必須對於TCP/IP的IP層和
TCP/UDP層有很深的理解、***經常使用TCP/IP堆棧中一部分區或來破壞網絡安全等。所以你也必須清楚地瞭解
這些內容。
協議層安全主要涉及和TCP/IP分層模型有關的內容,包括常見協議的工作原理和特點、缺陷、保護或替代措施
等等。
下面推薦一些和這部分有關的參考書(經典書籍、不可不看):
l 《TCP/IP詳解 卷1:協議》 範建華 等譯,機械工業出版社
l 《用TCP/IP進行網際互聯 第一卷原理、協議與結構》 林瑤 等譯,電子工業出版社
四、Windows安全(***與防禦)
因爲微軟的Windows NT操作系統已被廣泛應用,所以它們更容易成爲被***的目標。
對於Windows安全的學習,其實就是對Windows系統***與防禦技術的學習。而Windows系統安全的學習內容將
包括:用戶和組、文件系統、策略、系統默認值、審計以及操作系統本身的漏洞的研究。
這部分的參考書較多,實際上任何一本和Windows***有關係的書均可。下面推薦一些和這部分有關的參考書
:
l 《******實戰入門》 鄧吉,電子工業出版社
l 《***大曝光》 楊繼張 等譯,清華大學出版社
l 《狙擊***》 宋震 等譯,電子工業出版社
五、Unix/Linux安全(***與防禦)
隨着Linux的市佔率越來越高,Linux系統、服務器也被部署得越來越廣泛。Unix/Linux系統的安全問題也越來
越凸現出來。作爲一個網絡安全工作者,Linux安全絕對佔有網絡安全一半的重要性。但是相對Windows系統,普
通用戶接觸到Linux系統的機會不多。Unix/Linux系統本身的學習也是他們必須餓補的一課!
下面是推薦的一套Linux系統管理的參考書。
l 《Red Hat Linux 9桌面應用》 樑如軍,機械工業出版社(和網絡安全關係不大,可作爲參考)
l 《Red Hat Linux 9系統管理》 金潔珩,機械工業出版社
l 《Red Hat Linux 9網絡服務》 樑如軍,機械工業出版社
除了Unix/Linux系統管理相關的參考書外,這裏還給出兩本和安全相關的書籍。
l 《Red Hat Linux安全與優化》 鄧少鵾,萬水出版社
l 《Unix ***大曝光》 王一川 譯,清華大學出版社
六、防火牆技術
防火牆技術是網絡安全中的重要元素,是外網與內網進行通信時的一道屏障,一個哨崗。除了應該深刻理解防
防火牆技術是網絡安全中的重要元素,是外網與內網進行通信時的一道屏障,一個哨崗。除了應該深刻理解防
火牆技術的種類、工作原理之外,作爲一個網絡安全的管理人員還應該熟悉各種常見的防火牆的配置、維護。
至少應該瞭解以下防火牆的簡單配置。
l 常見的各種個人防火牆軟件的使用
l 基於ACL的包過濾防火牆配置(如基於Windows的IPSec配置、基於Cisco路由器的ACL配置等)
l 基於Linux操作系統的防火牆配置(Ipchains/Iptables)
l ISA配置
l Cisco PIX配置
l Check Point防火牆配置
l 基於Windows、Unix、Cisco路由器的***配置
下面推薦一些和這部分有關的參考書:
l 《
網絡安全與防火牆技術
》 楚狂,人民郵電出版社
l 《Linux防火牆》
餘青霓
譯,人民郵電出版社
l 《高級防火牆ISA Server 2000》 李靜安,中國鐵道出版社
l 《Cisco訪問表配置指南》 前導工作室 譯,機械工業出版社
l 《Check Point NG安全管理》
王東霞
譯,機械工業出版社
l 《虛擬專用網(***)精解》 王達,清華大學出版社
七、***監測系統(IDS)
防火牆不能對所有應用層的數據包進行分析,會成爲網絡數據通訊的瓶頸。既便是代理型防火牆也不能檢查所
至少應該瞭解以下防火牆的簡單配置。
l 常見的各種個人防火牆軟件的使用
l 基於ACL的包過濾防火牆配置(如基於Windows的IPSec配置、基於Cisco路由器的ACL配置等)
l 基於Linux操作系統的防火牆配置(Ipchains/Iptables)
l ISA配置
l Cisco PIX配置
l Check Point防火牆配置
l 基於Windows、Unix、Cisco路由器的***配置
下面推薦一些和這部分有關的參考書:
l 《
網絡安全與防火牆技術
》 楚狂,人民郵電出版社
l 《Linux防火牆》
餘青霓
譯,人民郵電出版社
l 《高級防火牆ISA Server 2000》 李靜安,中國鐵道出版社
l 《Cisco訪問表配置指南》 前導工作室 譯,機械工業出版社
l 《Check Point NG安全管理》
王東霞
譯,機械工業出版社
l 《虛擬專用網(***)精解》 王達,清華大學出版社
七、***監測系統(IDS)
防火牆不能對所有應用層的數據包進行分析,會成爲網絡數據通訊的瓶頸。既便是代理型防火牆也不能檢查所
有應用層的數據包。
***檢測是防火牆的合理補充,它通過收集、分析計算機系統、計算機網絡介質上的各種有用信息幫助系統管
***檢測是防火牆的合理補充,它通過收集、分析計算機系統、計算機網絡介質上的各種有用信息幫助系統管
理員發現***並進行響應。可以說***檢測是防火牆之後的第二道安全閘門,在不影響網絡性能的情況下能對網
絡進行監測,從而提供對內部***、外部***和誤操作的實時保護。
IDS提供了主動的網絡保護,它能夠自動探測網絡流量中可能涉及潛在***、***和濫用的模式。隨着各
IDS提供了主動的網絡保護,它能夠自動探測網絡流量中可能涉及潛在***、***和濫用的模式。隨着各
種商業***檢測系統的部署,IDS逐漸成爲網絡安全不可或缺的元素之一。
在各種著名的***檢測系統中,Snort以其免費、公開源代碼和高效運行的特點獲得了廣泛的應用。同時,
在各種著名的***檢測系統中,Snort以其免費、公開源代碼和高效運行的特點獲得了廣泛的應用。同時,
也成爲學習***檢測系統的首選。
建議有條件的朋友最好能在Linux系統上部署、維護運行一段時間的Snort以期獲得寶貴的實踐經驗。
下面推薦一些和這部分有關的參考書:
l 《***檢測系統及實例剖析》 韓東海,清華大學出版社
l 《Snort 2.0***檢測》 宋勁鬆 等譯,國防工業出版社
l 《Snort ***檢測實用解決方案》 吳溥峯 機械工業出版社
八、審計和日誌分析
在部署了各種先進的防火牆、***檢測系統,實施了嚴格的、近乎完美的網絡安全策略之後,如果不進行檢查
建議有條件的朋友最好能在Linux系統上部署、維護運行一段時間的Snort以期獲得寶貴的實踐經驗。
下面推薦一些和這部分有關的參考書:
l 《***檢測系統及實例剖析》 韓東海,清華大學出版社
l 《Snort 2.0***檢測》 宋勁鬆 等譯,國防工業出版社
l 《Snort ***檢測實用解決方案》 吳溥峯 機械工業出版社
八、審計和日誌分析
在部署了各種先進的防火牆、***檢測系統,實施了嚴格的、近乎完美的網絡安全策略之後,如果不進行檢查
、監督、改進和維護,那麼你只能獲得短暫的、一時的安全。因此,審計在安全金字塔當中同樣具有重要的位置
。如下圖所示。
日誌分析是審計的重要手段。在一個網絡安全系統中存在着各種日誌:操作系統(Windows、Unix)日誌、服
務器日誌(IIS、BIND… …)、防火牆系統日誌、***檢測系統日誌、撥號服務器日誌等等。因此,對於如何維
護日誌系統的學習實際上是融入到操作系統以及防火牆、IDS的學習過程中的。
相關的參考資料也在前面已經列出,這裏不再重複。
前面談了網絡安全領域的各個知識方面,有了這些具體的學習目標,接下來就是集中精力、個個擊破了。
具體的學習方法是:讀書+實踐。
首先,看書是必須的。想要在網絡安全實踐的過程中知其然、知其所以然,就必須牢固掌握書本上的理論知識
相關的參考資料也在前面已經列出,這裏不再重複。
前面談了網絡安全領域的各個知識方面,有了這些具體的學習目標,接下來就是集中精力、個個擊破了。
具體的學習方法是:讀書+實踐。
首先,看書是必須的。想要在網絡安全實踐的過程中知其然、知其所以然,就必須牢固掌握書本上的理論知識
。尤其是對於加密學這樣的比較抽象的章節更是如此。每個人的看書習慣都不相同,如果覺得自己看書的收效不
高,可以試試採用下面的方法:第1遍,略讀(快速瞭解某個章節的內容);第2遍,細讀(認真、仔細閱讀某個
章節的每段文字);第3遍,通讀(完全閱讀某個章節,並記下重點、難點,之後再重點看這些)。
其次,是動手實踐(實驗)。對於網絡安全來說,不能只停留在理論(紙上談兵),重點應該放在實踐上。
對於實驗內容可以分別針對上面的網絡安全的每一部分的內容(PGP、SSL、SSH、IPSEC、IPTABLES、ACL、***
其次,是動手實踐(實驗)。對於網絡安全來說,不能只停留在理論(紙上談兵),重點應該放在實踐上。
對於實驗內容可以分別針對上面的網絡安全的每一部分的內容(PGP、SSL、SSH、IPSEC、IPTABLES、ACL、***
、PIX、ISA、SNORT… …)來進行實驗。對於實驗環境,建議採用Windows 2000(2003)Server+Linux RedHat
9(FC3、4)(VMWare)這種實驗環境模式。採用這種模式可以完全實現上述各種實驗的需求。
同時需要指出,如果Linux的基礎比較差,需要多進行和Linux相關的實驗,至少應該有能力安裝Linux、配置
同時需要指出,如果Linux的基礎比較差,需要多進行和Linux相關的實驗,至少應該有能力安裝Linux、配置
Linux上的各種服務。
最後,對於學習過程中遇到的問題。建議通過查閱書籍、搜索引擎,這樣有利於鍛鍊自己獨立實際解決問題的能
最後,對於學習過程中遇到的問題。建議通過查閱書籍、搜索引擎,這樣有利於鍛鍊自己獨立實際解決問題的能
力。而高效解決實際問題也是對網絡安全管理人員能力的最大考驗