一、自学网络安全学习的误区和陷阱

1.不要试图先成为一名程序员（以编程为基础的学习）再开始学习
我在之前的回答中，我都一再强调不要以编程为基础再开始学习网络安全，一般来说，学习编程不但学习周期长，而且实际向安全过渡后可用到的关键知识并不多

一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间，容易半途而废。而且学习编程只是工具不是目的，我们的目标不是成为程序员。建议在学习网络安全的过程中，哪里不会补哪里，这样更有目的性且耗时更少

2.不要把深度学习作为入门第一课

很多人都是冲着要把网络安全学好学扎实来的，于是就很容易用力过猛，陷入一个误区：就是把所有的内容都要进行深度学习，但是把深度学习作为网络安全第一课不是个好主意。原因如下：

【1】深度学习的黑箱性更加明显，很容易学的囫囵吞枣

【2】深度学习对自身要求高，不适合自学，很容易走进死胡同

3.不要收集过多的资料

网上有很多关于网络安全的学习资料，动辄就有几个G的材料可以下载或者观看。而很多朋友都有“收集癖”，一下子购买十几本书，或者收藏几十个视频

网上的学习资料很多重复性都极高而且大多数的内容都还是几年前没有更新。在入门期间建议“小而精”的选择材料，下面我会推荐一些自认为对小白还不错的学习资源，耐心往下看

二、学习网络安全的一些前期准备

1.硬件选择

经常会问我“学习网络安全需要配置很高的电脑吗？”答案是否定的，黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!所以，不要打着学习的名义重新购买机器…

2.软件选择

很多人会纠结学习黑客到底是用Linux还是Windows或者是Mac系统，Linux虽然看着很酷炫，但是对于新人入门并不友好。Windows系统一样可以用虚拟机装靶机来进行学习

至于编程语言，首推Python，因为其良好的拓展支持性。当然现在市面上很多网站都是PHP的开发的，所以选择PHP也是可以的。其他语言还包括C++、Java…

很多朋友会问是不是要学习所有的语言呢？答案是否定的！引用我上面的一句话：学习编程只是工具不是目的，我们的目标不是成为程序员

（这里额外提一句，学习编程虽然不能带你入门，但是却能决定你能在网络安全这条路上到底能走多远，所以推荐大家自学一些基础编程的知识）

3.语言能力

我们知道计算机最早是在西方发明出来的，很多名词或者代码都是英文的，甚至现有的一些教程最初也是英文原版翻译过来的，而且一个漏洞被发现到翻译成中文一般需要一个星期的时间，在这个时间差上漏洞可能都修补了。而且如果不理解一些专业名词，在与其他黑客交流技术或者经验时也会有障碍，所以需要一定量的英文和黑客专业名词（不需要特别精通，但是要能看懂基础的）

比如说：肉鸡、挂马、shell、WebShell等等

三、自学网络安全学习路线

重点内容
入侵检测习题模型、分类及部署
VPN类型、工作原理

一、入侵检测系统

1、入侵检测系统模型

●IDES
1980年James P.Anderson为美国空军做的一份题为《Computer Security Threat Monitoring and Surveillance，计算机安全威胁监控与监视》的技术报告中指出，审计记录可以用于识别计算机滥用（Misuse），他给安全威胁进行了分类，第一次详细阐述了入侵检测的概念。
1984年到1986年间，乔治敦大学的Dorothy Denning和SRI公司计算机科学实验室的Peter Neumann研究出了一个实时入侵检测系统模型－IDES（Intrusion Detection Expert Systems，入侵检测专家系统），是第一个在应用中运用了统计和基于规则匹配两种技术的系统，是入侵检测系统研究中最有影响的一个系统。
●CIDF
为解决入侵检测系统之间的互操作性，一些国际研究组织开展了标准化工作。
CIDF早期由美国国防部高级研究计划署（Advanced Research Projects Agency，ARPA）赞助研究，现在由CIDF工作组负责，该工作组是一个开放组织。
CIDF阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：事件产生器（Event Generators），用E盒表示；事件分析器（Event Analyzers），用A盒表示；响应单元（Response Units），用R盒表示；事件数据库（Event Databases），用D盒表示。CIDF的结构框架

2、入侵检测系统分类

根据对收集到的信息进行识别和分析原理的不同，可以将入侵检测分为异常检测和滥用（又称误用）检测。
异常检测（Anomaly Detection）类入侵检测系统检测目标行为与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。先总结正常操作具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。如果系统错误地将异常活动定义为入侵则称为误报（False Positive），如系统未能检测出真正的入侵行为则称为漏报（False Negative）。

滥用检测（Misuse Detection）类入侵检测系统检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。

按照入侵检测系统的检测对象划分，入侵检测系统可分为基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统。
网络型入侵检测系统（NIDS，Network Intrusion Detection System）。系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的采集器组成，采集器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。探测器按一定的规则从网络上捕获与安全事件相关的数据包，然后传递给分析引擎进行安全分析判断。

分布式入侵检测系统（DIDS，Distributed Intrusion Detection System）。无论是NIDS还是HIDS，无论采用滥用检测技术还是异常检测技术，在整个数据处理过程中，包括数据的收集、预处理、分析、检测以及检测到入侵行为后采取的相应措施，都由单个监控设备或者监控程序完成。

3、入侵检测系统部署

入侵检测系统的部署，应当遵循以下几个步骤：
1．定义IDS的目标。不同的网络应用环境应当使用不同的配置规则，所以用户在配置人侵检测系统前应先明确自己的目标。
2．选择监视内容。（1）选择监视的网络区域。（2）选择监视的数据包的类型。（3）根据网络数据包的内容进行检测。
3．部署IDS。
（1）只检测内部网络和外部网络边界流量。如下图。
（2）集中监控多个子网流量。如下图。内部局域网中划分了多个不同职能的子网，有些子网访问某些子网资源量希望受到监控和保护，本例假设需要对关键子网LAN1的流量进行监控，且LAN2子网了放置了各种服务器，因此对LAN2的所有流量也需要进行监控。同时网络管理员要能够集中监控网络的流量和异常情况。

二、VPN

1、VPN工作原理

VPN是利用公共网络基础设施，通过“隧道”技术等手段实现类似私有专网的数据安全传输。VPN具有虚拟特点，即VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路，但同时VPN又具有专线的数据传输功能，因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN可以说是一种网络外包，企业不再追求拥有自己的专有网络，而是将对另外一个部门或分支企业的网络访问需求，部分或全部外包给一个专业公司去做。VPN工作原理示意图如下。

2、VPN的优点

●降低成本。企业不必租用长途专线建设专网，不必大量的网络维护人员和设备投资。利用现有的公用网组建的Intranet，比租用专线或铺设专线开支少得多，而且当距离越远时节省的越多。

●容易扩展。网络路由设备配置简单，无需增加太多的设备，省时省钱。对于发展很快的企业，对VPN的需求就更加迫切。

●完全控制主动权。VPN上的设施和服务完全掌握在企业手中。例如，企业可以把拨号访问交给NSP（Network Service Provider，网络服务提供商）去做，自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

3、VPN的分类

1、 VPN从应用的方式上分，有两种基本类型：拨号VPN与专用VPN。

●拨号VPN为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式，主要是基于L2F协议。拨号VPN使多个不同领域的用户都能通过公共网络或者Internet获得安全的通路，来访问其企业内部网络。

●专用VPN以多个用户和比拨号VPN高速的连接为特征。有多种形式的专用VPN业务，但最常见的是在IP网上建立的IP VPN业务。专用VPN提供了公司总部与公司分部、远程分支办事处以及Extranet用户的虚拟点对点连接。

完整的VPN解决方案通常把拨号VPN和专用VPN组合在一起，以满足不同用户的使用需求。

2、 按VPN的应用平台分类，可分为软件平台VPN、专用硬件平台VPN，以及辅助硬件平台VPN。

●软件平台VPN用于对数据连接速率要求不高，对性能和安全性需求不强时。可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能。

●使用专用硬件平台的VPN设备可以满足企业和个人用户对提高数据安全及通信性能的需求，尤其是从通信性能的角度来看，指定的硬件平台可以完成数据加密等对CPU处理能力需求较高的功能。提供这些平台的硬件厂商比较多，如Nortel、Cisco等。

●辅助硬件平台VPN介于软件平台和专用硬件平台之间，辅助硬件平台的VPN主要是指以现有网络设备为基础，再增添适当的VPN软件以实现VPN的功能。

3、 按构建VPN的隧道协议，可将VPN分为二层VPN、三层VPN。

●VPN的隧道协议可分为第二层隧道协议、第三层隧道协议。第二层隧道协议最为典型的有PPTP、L2F、L2TP等，第三层隧道协议有GRE、IPSec等。

●第二层隧协议道和第三层隧道协议的本质区别在于，在隧道里传输的用户数据包是被封装在哪一层的数据包中。第二层隧道协议和第三层隧道协议一般来说分别使用，但合理的运用两层协议，将具有更好的安全性。

因实际使用中，需要通过客户端与服务器端的交互实现认证与隧道建立，故基于二层、三层的VPN，都需要安装专门的客户端系统（硬件或软件），完成VPN相关的工作。

4、 根据服务类型，VPN业务按用户需求分为三种：Intranet VPN、Access VPN与Extranet VPN。

●Intranet VPN（内部网VPN）。即企业的总部与分支机构间通过公网构筑的虚拟网。这种类型的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，并将它作为公司网络的扩展。内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上。Intranet VPN结构图如下图。

●Access VPN（远程访问VPN），又称为拨号VPN(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的VPN。典型的远程访问VPN是用户通过本地的Internet服务提供商（Internet Service Provider，ISP）登录到Internte上，并在现在的办公室和公司内部网之间建立一条加密信道。Access VPN结构如下图。

●Extranet VPN（外联网VPN），即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的VPN。它能保证包括TCP和UDP服务在内的各种应用服务的安全，如WWW、Email、HTTP、FTP、RealAudio、数据库的安全以及一些应用程序如Java、ActiveX的安全。Extranet VPN结构如下图。

5、按VPN的部署模式分类，可分为端到端（End-to-End）模式、供应商—企业（Provider-to-Enterprise）模式、内部供应商（Intra-Provider）模式。

●端到端（End-to-End）模式是典型的由自建VPN的客户所采用的模式，最常见的隧道协议是IPSec和PPTP。

●供应商—企业（Provider-to-Enterprise）模式中，隧道通常在VPN服务器或路由器中创建，在客户前端关闭。该模式客户不需要购买专门的隧道软件，由服务商的设备来建立通道并验证。最常见的隧道协议有L2TP、L2F和PPTP。

●内部供应商（Intra-Provider）模式。服务商保持了对整个VPN设施的控制。在该模式中，通道的建立和终止都是在服务商的网络设施中实现的。客户不需要做任何实现VPN的工作。

4、VPN的工作原理

VPN是利用公网来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的。我们通常将VPN当作WAN解决方案,但它也可以简单地用于LAN。VPN类似于点到点直接拨号连接或租用线路连接,尽管它是以交换和路由的方式工作。
利用VPN实现Intranet的扩展原理如下图。

5、VPN的主要技术

隧道技术。隧道技术实质上是一种数据封装技术，即将一种协议封装在另一种协议中传输，从而实现被封装协议对封装协议的透明性，保持被封装协议的安全特性。使用IP协议作为封装协议的隧道协议称为IP隧道协议。利用隧道技术，理论上任何协议的数据都可以透过IP网络传输。
QoS（Qulity of Service，服务质量）。通过隧道技术和加密技术可以建立一个具有安全性、互操作性的VPN。但是该VPN的性能可能不稳定，需要在VPN隧道运行的网段加入QoS技术。
QoS的主要指标有：带宽，即网络提供给用户的传输率；反应时间，即用户所能容忍的数据包传输延时；抖动，即延时的变化；丢失率，即数据包丢失的比率。