1、了解基本的linux命令 2、會寫簡單的shell腳本 3、了解一些目錄和用戶管理命令 4、了解一下crontab這個應用,寫sql或rman備份時用的到
⑵ 網路安全工程師要學些什麼
1、計算機應用、計算機網路、通信、信息安全等相關專業本科學歷,三年以上網路安全領域工作經驗;
2、精通網路安全技術:包括埠、服務漏洞掃描、程序漏洞分析檢測、許可權管理、入侵和攻擊分析追蹤、網站滲透、病毒木馬防範等。
3、熟悉tcp/ip協議,熟悉sql注入原理和手工檢測、熟悉內存緩沖區溢出原理和防範措施、熟悉信息存儲和傳輸安全、熟悉數據包結構、熟悉ddos攻擊類型和原理有一定的ddos攻防經驗,熟悉iis安全設置、熟悉ipsec、組策略等系統安全設置;
4、熟悉windows或linux系統,精通php/shell/perl/python/c/c++ 等至少一種語言;
5、了解主流網路安全產品{如fw(firewall)、ids(入侵檢測系統)、scanner(掃描儀)、audit等}的配置及使用;
6、善於表達溝通,誠實守信,責任心強,講求效率,具有良好的團隊協作精神;
網路安全工程師:隨著互聯網發展和IT技術的普及,網路和IT已經日漸深入到日常生活和工作當中,社會信息化和信息網路化,突破了應用信息在時間和空間上的障礙,使信息的價值不斷提高。但是與此同時,網頁篡改、計算機病毒、系統非法入侵、數據泄密、網站欺騙、服務癱瘓、漏洞非法利用等信息安全事件時有發生。
工作內容:
1、分析網路現狀。對網路系統進行安全評估和安全加固,設計安全的網路解決方案;
2、在出現網路攻擊或安全事件時,提高服務,幫助用戶恢復系統及調查取證;
3、針對客戶網路架構,建議合理 的網路安全解決方案;
4、負責協調解決方案的客戶化實施、部署與開發,推定解決方案上線;
5、負責協調公司網路安全項目的售前和售後支持。
⑶ 學linux可以做網路安全嗎
可以。Linux是一套免費使用和自由傳播的類Unix作系統,它主要用於基於x86系列CPU的計算機上。這個系統是由世界各地的成千上萬的程序員設計和實現的。
⑷ 網路安全方向學linux學到什麼程度和學哪個方面的
學好Linux的基本命令操作和網站架設部分就可以了,基本命令操作一定要精通,因為有許多Linux上的網路安全工具都是命令行界面的,需要經常在終端命令行操作;網站架設需要精通原理、還有網站管理、日常維護,因為網站滲透測試需要知道這些知識,以Linux為平台架設的網站是很多的。
⑸ 網路安全和LINUX,我該選哪個
網路安全和Linux可以同時學習,兩者是不沖突的,而且技多不壓身,對以後的發展也很有幫助。
⑹ 如何保證Linux伺服器的網路安全
1.對指定網站禁止訪問
iptables支持試用域名和IP地址兩種方法來指定禁止的網站。如果使用域名的方式指定網站,iptables會通過DNS伺服器查詢該域名對應的所有IP地址,並將這些IP地址加入到規則中,所以使用域名指定網站時,iptables的執行速度會稍慢。
命令如下:
[root@localhost ~]# iptables -I FORWARD -d www.xxx.com -j DROP
[root@localhost ~]# iptables -t filter -L FORWARD
2.禁止linux伺服器上網
操作命令如下:
[root@localhost ~]# iptables -I FORWARD -s 192.168.1.102 -j DROP
[root@localhost ~]# iptables -t filter -L FORWARD
3.禁止Linux伺服器訪問某些訪問
埠是TCP/IP使用「埠」來區分系統中的不同的服務,如web服務使用的是TCP 80埠,FTP服務使用的是TCP 21埠等。由於不同的服務會使用不同的埠與外界進行通信,因此要禁止linux伺服器上的某些訪問,只要禁止服務使用的埠號即可。
操作命令如下:
[root@localhost ~]# iptables -I FROWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP
[root@localhost ~]# iptables -t filter -L FROWARD
⑺ 為什麼網路安全要學 Linux拜託各位大神
Linux操作系統也是自由軟體和開放源代碼發展中最著名的例子。Linux是一套免費使用和自由傳播的類Unix操作系統,它主要用於基於x86系列CPU的計算機上。這個系統是由世界各地的成千上萬的程序員設計和實現的。其目的是建立不受任何商品化軟體的版權制約的、全世界都能自由使用的Unix兼容產品。 傳統上有以Linux為基礎的「LAMP(Linux, Apache, MySQL, Perl/PHP/Python的組合)」經典技術組合,提供了包括操作系統、資料庫、網站伺服器、動態網頁的一整套網站架設支持。而面向更大規模級別的領域中,如資料庫中的Oracle、DB2、PostgreSQL,以及用於Apache的Tomcat JSP等都已經在Linux上有了很好的應用樣本。除了已在開發者群體中廣泛流行,它亦是現時提供網站務供應商最常使用的平台 已經發展成了一個遵循POSIX標準的純32位多工操作系統,64位版本也在開發之中。Linux可以兼容大部分的UNIX系統,很多UNIX的程序不需要改動,或者很少的改變就可以運行於Linux環境;內置TCP/IP協議,可以直接連入Internet,作為伺服器或者終端使用;內置JAVA解釋器,可直接運行JAVA源代碼;具備程序語言開發、文字編輯和排版、資料庫處理等能力;提供X Window的圖形界面;主要用於x86系列的個人電腦,也有其它不同硬體平台的版本,支持現在流行的所有硬體設備。就性能上來說,它並不弱於Windows甚至UNIX,而且靠模擬程序還可以運行Windows應用程序。它有成千上萬的各類應用軟體,並不輸於Windows的應用軟體數量,其中也有商業公司開發的贏利性的軟體。最可貴的是:它是一個真正的UNIX系統,可以供專業用戶和想學UNIX的人在自己的個人電腦上使用。Linux是一個非常靈活的系統,相對於Windows而言也是一個比較難用的系統,就如同大多數用戶用不慣MacOS的單鍵滑鼠一樣。 想要對Linux輕車熟路,你必須懂得一些相關知識,軟、硬體的配置,最好還懂點程序,因為沒有人有義務為您提供技術支援,除了和其它用戶交流之外 ,您必須要自己解決問題。當然,如果您只是作為日常應用,就不需要那麼復雜啦,Linux一樣會為您提供完美的操作環境,你所要做的就是改變使用習慣和成見。 早期的操作系統是沒有圖形界面的,自從Apple於1984年推出System 1.0開始,個人電腦才實現了真正的GUI(Graphics User Interface,圖形用戶界面),從此電腦變得更加具有親和力,也更加易於使用。Windows的圖形化開始於Windows 3.1/3.2,直到Windows 95的出現才標志著多媒體時間的到來,從此計算機變得能說會唱起來。Linux始於UNIX,卻青出於藍勝於藍,同樣擁有著不俗的圖形用戶界面,性能更穩定,也更漂亮,可以和世界上曾經出現過的,最美麗的操作系統媲美!不同於現在的XP,Linux的圖形界面是基於Console之上的,類似於Windows 95架於DOS之上,Linux下實現圖形界面的是X Window系統(區別於MS的Windows)。 X Window是一套用於UNIX的具有極大可攜性、對彩色掌握的多樣性和網路之間的操作透明性的健在式處理窗口系統。它和微軟的Windows的工作原理並不相同,不過兩者都使用圖形界面和窗口技術,從外表看來有那麼一點點相似,但又存在著巨大的不同,實際上X Window的界面更加多樣化,也更漂亮,且高效快捷。就Windows對於DOS的地位一樣,X Window一改UNIX/Linux單調的文本界面,提供了一個友善的圖形用戶界面(GUI)。 1984年在麻省理工學院(MIT)電腦科學研究室工作的Bob Scheifler正在發展分布式系統,DEC公司的Jim Gettys也在MIT進行A-thena計劃的一部分。兩者都需要一套在UNIX系統上使用的圖形界面,因此兩者開始合作研製X Window。1987年,MIT發布了第11個版本的X Window,並成立了非贏利性組織「X協會」來發展及控制X Window標准。所以現在的X Window並不完全是一個軟體,而是一個協定,定義了一個系統所必須具備的功能。任何系統能滿足這個協定及符合X協會其它的規范,便可稱為X Window,它的源代碼公開。因為X Window具有強大的與設備無關結構性,它提供了一組網路通信協議,任何硬體只要提供X協定,便可以執行應用程序顯示一群包含圖文的窗口,不需要重新編譯,這種與設備無關的特性只要是根據X Window標准所開發的應用程序均可在不同的環境下作用,這就大大減少了跨越不同平台之間的編譯工作,應用程序更加具有可移植性。 Linux上最常用的X Window是Xfree86,它是MIT的X11R5的移植版,使用Openlook窗口管理系統,所以Xfree86是免費的。Xfree86支持現行所有的PC顯示卡,但不一定支持它們的Windows加速特性,比如DirectX 9。
⑻ 怎樣規劃linux網路安全學習路線
防火牆的原理
防火牆的作用
主要作用:過濾兩個網路之間的數據包
INERNET------fire wall------server------LAN
Linux內核的Netfilter
Linux內核空間和應用程序空間是不一樣的
內核空間是受保護的,任何進出伺服器的數據包都要經過內核處理
所有發送給本地的數據包都要經過INPUT
任何從本機產生的數據包發送給其它人都要經過OUTPUT
一個數據從本機路由轉發,目標不是自己,是發給別人的將從FORWARD經過
INPUT/OUTPUT保護的是本機FORWARD保護的是區域網用戶
包過濾原理
一個數據包要經過本地的路由,要判斷怎麼走,ROUTING是非常重要的,它決定了要怎麼走
如果一個包和我本地網卡地址一樣,本地可以收到,進入INPUT,否則FORWARD
如果一個包是本地產生的,發出去的經過OUTPUT
包過濾就是在這三個地方設置條件,設置障礙,阻止或通過數據包,及設置包的處理方式
包的處理方式
iptable -A INPUT -p icmp -j DROP
包的處理方式常見的有目標(Target) 丟棄(DROP) 接受(ACCEPT) (彈回)REJECT 日誌(LOG)等
iptables命令
iptables -A INPUT -p icmp -j DROP 增加一個過濾規則
ping 192.168.0.101
iptables -L -n查看過濾規則
iptables -F清空過濾規則
iptables --help | more
iptables -L -n –line-number
增加一條規則把拒絕所有訪問21埠的數據包
iptables -A INPUT -p tcp -d 192.168.0.101 --dport 21 -j DROP
iptables -F修改的時候要把防火牆的門全部關起來 然後一個一個埠打開
iptables -L -n –line-numbers
假設我們一個伺服器只開啟一個http
那麼我們要開啟http/ssh(遠程管理)
所有的http 埠grep http /etc/services
打開ssh grep ssh /etc/services
iptables -A INPUT -p tcp -d 192.168.0.101 --dport 22 -j ACCEPT 接收進來,目標IP是本地IP,目標埠是22
iptables -A OUTPUT -p tcp -s 192.168.0.101 --sport 22 -j ACCEPT 發送出去,源IP是本地IP,源埠是22
iptables -L -n
iptables -P INPUT DROP改變防火牆的默認策略為DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p tcp -d 192.168.0.101 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.101 --sport 80 -j ACCEPT
iptables -L -n
iptables -L -n --line-numbers
netstat -tnl 就算本地開啟了很多服務,但只有22和80埠可以被訪問到
service iptables save保存當前的設置或用iptables-save > /etc/sysconfig/iptables
對於作何一個伺服器來說都少不了DNS解析請求,自己作為客戶機
grep domain /etc/services 搜索域名服務的埠號
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT DNS解析回應,目標埠是53
iptables -A INPUT -p udp --sport 53 -j ACCEPT 請求DNS解析,源埠是53
檢查客戶機DNS伺服器配置
more /etc/resolv.conf
host www.redhat.org.cn
如果這台伺服器本身也是DNS伺服器
iptables -A INPUT -p udp --dport 53 -j ACCEPT 接收來自別的機器的DNS解析請求
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT這台DNS伺服器發送DNS解析回應
iptables -D INPUT 5刪除在INPUT上的第5條規則
如果這台伺服器也要連上其它伺服器的SSH
到目前為止,在本機訪問本機的服務給忽略
在本機上,有很多服務都守護在127.0.01上,所以我們要打開本地的回環設備
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
^IN^OUT命令替換功能
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
service iptables save
現在我們注意一下22埠
Chain INPUT (policy DROP)
1 ACCEPT tcp -- 0.0.0.0/0 192.168.0.101 tcp dpt:22
Chain OUTPUT (policy DROP)
1 ACCEPT tcp -- 192.168.0.101 0.0.0.0/0 tcp spt:22
所有進來的包都要通過22埠
所有出去的包都要通過22埠,但是如果由於系統漏洞或是病毒,從22埠主動送出包出去,而不是通過請求進來的包回應的,這時就會出現比較大的問題
所以我們要增加一條規則看這個包是不是別人請求我,我回應別人的
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -D OUTPUT 1刪除第一條規則
iptables -n -L --line-numbers
Chain OUTPUT (policy DROP)
6 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22 state ESTABLISHED
針對80埠也是一樣
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
service iptables save
作為客戶機訪問別人的SSH也是有問題的
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT從客戶機發送出去的包,肯定被無條件接受
iptables -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT接受別人的服務
器SSH回應如果有病毒,是主動發給本客機的,就出現問題了,這時加上必須是我請求過SSH服務數據包回應的
LOG目標
iptables -A INPUT -p tcp –dport 22 -j LOG –log-level 5 –log-prefix 「IPTABLES」
編輯/etc/syslog.conf
注意:日誌級別5要跟syslog.conf中的級別一致。級別可以通過syslog的manual幫助獲得。
iptables -A INPUT -p tcp --dport 22 -j LOG --log-level 5 --log-prefix "iptable:"
vi /etc/rsyslog.conf
kern.=notice /var/log/firewall.log
這里為什麼是notice?
man syslog查看消息的級別
#define KERN_EMERG "<0>" /* system is unusable */
#define KERN_ALERT "<1>" /* action must be taken immediately */
#define KERN_CRIT "<2>" /* critical conditions */
#define KERN_ERR "<3>" /* error conditions */
#define KERN_WARNING "<4>" /* warning conditions */
#define KERN_NOTICE "<5>" /* normal but significant condition */
#define KERN_INFO "<6>" /* informational */
#define KERN_DEBUG "<7>" /* debug-level messages */
在防火牆中我們定的級別是5,所以對應的內核是notice
iptables -A INPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -n -L –line-number
iptables -D INPUT 8
iptables -I INPUT 6 -p tcp --dport 22 -j LOG --log-level 5 --log-prefix "iptable:"
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -D INPUT 1 把前擁同樣規則的移到日誌後面
service iptables save
tail /var/log/firewall.log -f
NAT地址轉換
http://www.netfilter.org/
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT允許本地互聯網訪問
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
光這樣還不行,還要打開內核里的轉發文件
more /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward
這時只能臨時生效,若伺服器重啟,這個值又變成0
vi /etc/sysctl.conf
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
service iptables save
此時我們還是不能用,因為區域網通過本機轉發到互聯網上,網路上的地址並不知道本地區域網的IP
所以我們要通過NAT
iptables -t nat -L -n
Netfilter的NAT表
內核空間---->PREROUTING---->ROUTING---->FORWARD---->POSTROUTING
SNAT發生在POSTROUTING
PREROUTING---->FORWARD---->POSTROUTING
destination: 11.22.33.1:22 destination: 11.22.33.1:22
source: 10.0.0.1:<port> source: 11.22.33.44:<port>
proto: tcp proto: tcp
本機地址:
eth0: 10.0.0.254
eth1: 11.22.33.44
SNAT應用
10.0.0.241 eth0:10.0.0.254 /eth1:192.168.0.254 192.168.0.1
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT –to-source 192.168.0.254
IP:10.0.0.241 getway: 10.0.0.254 subnet mask:255.255.255.0
ping 192.168.0.1若能ping通,說明訪問成功
在實際的運用中
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE支持動態的翻譯
回來時自動找到源IP
iptables -t nat -F
DNAT發生在PREROUTING
PREROUTING---->FORWARD---->POSTROUTING
destination: 11.22.33.44:22 destination: 10.0.0.1:22
source: 11.22.33.1:<port> source: 11.22.33.1:<port>
proto: tcp proto: tcp
本機地址:
eth0: 10.0.0.254
eth1: 11.22.33.44
DNAT應用
10.0.0.241 eth0:10.0.0.254 /eth1:192.168.0.254 192.168.0.1
iptables -t nat -A PREROUTING -d 10.0.0.254 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1
192.168.0.1這是一台實際的伺服器,不讓訪問者10.0.0.241看到,訪問者看到只是一個防火牆
本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/beauty9235/archive/2008/12/01/3423069.aspx
⑼ 為什麼網路安全需要學習linux
既然是網路安全,你應該知道現在做伺服器最好的系統是什麼。當然不是windows,所以要學習linux,它採用的核心是開源的。而且安全性比windows強多了。
學習linux代碼就會更好的學習linux啊,然後更好的學習網路安全啊。