文章目录
一、自学网络安全学习的误区和陷阱
1.不要试图先成为一名程序员(以编程为基础的学习)再开始学习
我在之前的回答中,我都一再强调不要以编程为基础再开始学习网络安全,一般来说,学习编程不但学习周期长,而且实际向安全过渡后可用到的关键知识并不多
一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间,容易半途而废。而且学习编程只是工具不是目的,我们的目标不是成为程序员。建议在学习网络安全的过程中,哪里不会补哪里,这样更有目的性且耗时更少
2.不要把深度学习作为入门第一课
很多人都是冲着要把网络安全学好学扎实来的,于是就很容易用力过猛,陷入一个误区:就是把所有的内容都要进行深度学习,但是把深度学习作为网络安全第一课不是个好主意。原因如下:
【1】深度学习的黑箱性更加明显,很容易学的囫囵吞枣
【2】深度学习对自身要求高,不适合自学,很容易走进死胡同
3.不要收集过多的资料
网上有很多关于网络安全的学习资料,动辄就有几个G的材料可以下载或者观看。而很多朋友都有“收集癖”,一下子购买十几本书,或者收藏几十个视频
网上的学习资料很多重复性都极高而且大多数的内容都还是几年前没有更新。在入门期间建议“小而精”的选择材料,下面我会推荐一些自认为对小白还不错的学习资源,耐心往下看
二、学习网络安全的一些前期准备
1.硬件选择
经常会问我“学习网络安全需要配置很高的电脑吗?”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!所以,不要打着学习的名义重新购买机器…
2.软件选择
很多人会纠结学习黑客到底是用Linux还是Windows或者是Mac系统,Linux虽然看着很酷炫,但是对于新人入门并不友好。Windows系统一样可以用虚拟机装靶机来进行学习
至于编程语言,首推Python,因为其良好的拓展支持性。当然现在市面上很多网站都是PHP的开发的,所以选择PHP也是可以的。其他语言还包括C++、Java…
很多朋友会问是不是要学习所有的语言呢?答案是否定的!引用我上面的一句话:学习编程只是工具不是目的,我们的目标不是成为程序员
(这里额外提一句,学习编程虽然不能带你入门,但是却能决定你能在网络安全这条路上到底能走多远,所以推荐大家自学一些基础编程的知识)
3.语言能力
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。而且如果不理解一些专业名词,在与其他黑客交流技术或者经验时也会有障碍,所以需要一定量的英文和黑客专业名词(不需要特别精通,但是要能看懂基础的)
比如说:肉鸡、挂马、shell、WebShell等等
三、自学网络安全学习路线
重点内容
链路加密与端到端加密
防火墙功能及分类
一、网络数据加密
1、链路加密
链路加密可用于任何类型的数据通信链路。因为链路加密须要对通过这条链路的所有数据进行加密,通常在物理层或数据链路层实施加密机制。链路加密方式如下图所示。
链路加密的工作原理是,数据报P(明文)经发送端的加密设备处理后(加密动作为E,使用密钥K1)变成C1(密文),发送到链路l上传输,到达中间节点1。在中间节点1内,首先由解密设备将C1进行解密操作(解密动作为D,密钥使用K1),恢复为P,再进行相关处理。在发送到链路2之前,再由加密设备对P进行加密(使用密钥K2)。在中间节点2和接收端也采取类似的处理过程。
2、链路加密优缺点
链路加密的优点:
对用户透明,能提供流量保密性,密钥管理简单,提供主机鉴别,加密和解密都是在线进行的。
链路加密的缺点:
数据仅在传输线路上是加密的,在发送主机和中问节点上都是暴露的明文形式,容易受到攻击。
3、端到端加密
端到端加密是指数据在发送端被加密后,通过网络传输,到达接收端后才被解密。端到端加密方式如下图所示。
在端到端加密方式中,数据在发送端被加密后,一直保持加密状态在网络中传输。
这样做有两个好处,一是避免了每段链路的加密解密开销,二是不用担心数据在中间节点被暴露。
端到端加密方式中,加密机制可放置在不同的位置,如应用层、网络层或数据链路层.端到端加密方式通常采用软件来实现。端到端加密方式的主要优点是,在发送端和中间节点上数,据都是加密的,安全性好。这种方式提供了更灵活的保护手段,能针对用户和应用实现加密,用户可以有选择地应用加密,并能提供用户鉴别。
主要缺点:不能提供流量保密性,需要用户来选择加密方法和决定算法,每对用户需要一组密钥,密钥管理系统复杂。这种方式只有在需要时才进行加密,即加密是离线的。
二、防火墙
1、防火墙的功能
防火墙就是位于内部网络或Web站点与Internet之间的一个路由器或一台计算机,又称堡垒主机,它是对所有网络通信流进行过滤的节点,是两个或多个安全域之间通信流的唯一通道,如下图所示。
防火墙通过审查经过堡垒主机的每一个数据包,判断它是否匹配事先设置的过滤规则(又称访问控制列表ACL,Access Control List)。如满足,根据控制机制做出相应的动作,不满足则将数据包丢弃,以保护网络的安全。
防火墙根据ACL对数据包进行匹配操作时,有两种基本策略:
第一种,除非规则指明的数据包允许通过, 其余数据包均被禁止通过,这种称为限制策略。
第二种,除非规则指明的数据包禁止通过, 其余数据包均允许通过,这种称为宽松策略。
为了提高安全性,通常防火墙均采用限制策略,但限制策略配置过程相对会复杂一些。
防火墙实现以下功能:
●隐藏内部网络。
●控制内部网络对外部网络的访问。
●控制外部网络用户对内部网络的访问。
●监视网络安全,提供安全日志并预警。
●缓解IP地址空间紧张问题。
●对内部用户的Internet访问进行审计和记录。
●引出DMZ(Demilitarizde Zone,非军事区,又称中立区)区。
2、防火墙功能的局限性
防火墙不能实现的功能:
●防火墙不能防范不经过防火墙的攻击。
●防火墙不能解决来自内部网络的攻击和安全问题。
●防火墙不能防止策略配置不当或错误配置引起的安全威胁。
●防火墙不能防止可接触的(即物理的)人为或自然的破坏。
●防火墙不能防止利用标准网络协议中的缺陷进行的攻击。
●防火墙不能防止利用服务器系统漏洞所进行的攻击。
●防火墙不能防止受病毒感染的文件的传输。
●防火墙不能防止数据驱动式的攻击
●防火墙不能防止内部的泄密行为
●防火墙不能防止本身的安全漏洞的威胁
3、防火墙的分类
1、按存在形式划分:
●软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好计算机操作系统,一般来说这台计算机就是整个网络的网关。
●硬件防火墙
传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区,当前新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数量。
●芯片级防火墙
芯片级防火墙基于专用的硬件平台,及专用的操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。这类防火墙的知名厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用操作系统,因此防火墙本身的漏洞比较少,这类防火墙价格相对比较高昂。
2、按过滤原理划分:
●包过滤(Packet Filtering)防火墙
包过滤型防火墙工作在网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许数据包通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被丢弃。
在防火墙技术发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
第一代静态包过滤防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括源IP地址、目标IP地址、源端口号、目的端口号等。
第二代动态包过滤防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为状态检测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,建立相应的状态表,并依据状态表动态地在过滤规则中增加或更新条目。当前成熟的动态包过滤防火墙均为状态检测防火墙,其中,Checkpoint的产品是典型的成功案例。
状态检测防火墙在判断数据包是否允许通过时,依据的不仅仅是ACL,还有状态表,要查看各个数据包之间的联系,如下图。
●应用代理(Application Proxy)防火墙
应用代理防火墙是工作应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。在应用代理防火墙技术的发展过程中,它也经历了两个不同的版本,即第一代应用网关型代理防火和第二代自适应代理防火墙。
第一代应用网关(Application Gateway)型防火墙是通过一种代理(Proxy)技术参与一个TCP连接的全过程。
第二代自适应代理(Adaptive Proxy)型防火墙是近几年才得到广泛应用的一种新防火墙类型。它可以结合应用网关防火墙的安全性和包过滤防火墙的高速度的优点,在不损失安全性的基础之上显著提高应用代理防火墙的性能。
3、按防火墙部署位置划分:
●边界防火墙
这是最为典型的防火墙部署类型,它们于内、外部网络的边界,用于对内网、外网实施隔离,保护网络边界及内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。边界防火墙部署示意图如下。
按防火墙部署位置划分:
●个人防火墙
个人防火墙又称单机防火墙,安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
●混合式防火墙
即“分布式防火墙”,又称“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内网、外网边界和内网中各主机之间,既对内网外网之间通信进行过滤,又对网络内部各主机间的通信进行过滤。混合式防火墙属于最新的防火墙类型,性能最好,价格也最贵。
4、按体系结构划分:
●双宿主机防火墙
又称为双重宿主主机防火墙,这类防火墙的体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器,将数据包从一个网络传送到其它网络。
●屏蔽主机防火墙
屏蔽主机防火墙使用一个屏蔽路由器把内部网络和外部网络隔离开。在这种体系结构中,安全保障由包过滤提供(例如,过滤数据包防止人们绕过代理服务器直接相连)。
●屏蔽子网防火墙
屏蔽子网防火墙添加额外的安全层到屏蔽主机防火墙中,通过添加一个独立的局域网,进一步把内网和外网(通常是Internet)隔离开。屏蔽子网防火墙的最简单的形式为,两个屏蔽路由器,每一个都连接到独立局域网。一个位于独立局域网与内网之间,另一个位于独立局域网与外网之间。屏蔽子网防火墙原理示意图如下。
5、按防火墙实体组成划分:
●单一主机防火墙。
是最为传统的防火墙,独立于其它网络设备,位于网络边界。这种防火墙其实与一台计算机结构类似,包括主板、CPU、内存、硬盘等基本组件。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接至少两个及以上的网络。
●路由器集成式防火墙。
许多中、高档的路由器中已集成了防火墙功能。
●分布式防火墙
有的防火墙不仅是一个独立的硬件实体,而是由多个软、硬件组成的系统,又称“分布式防火墙”。分布式防火墙也不是只是位于网络边界,而是作用于网络的每一台主机,对整个内部网络的主机实施保护。
4989
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
