大家好! 8 L+ V2 Q1 {2 M5 Z' k3 ? H h4 o
今天通过了CCSP CSIDS 3.0考试。谈一谈学习考试经验,希望对大家有用。 ' W4 e% ~) ^, C' s5 f
" U& E) C1 t6 E1 q6 D CSIDS 3.0 ' a1 u: d2 ~8 V
- G/ H b5 U9 \$ @ 60题,825分通过,如果选英语为第二语言,时间105分钟。 5 p0 T/ }5 ]( j3 X$ P
" w- n& i/ s! N8 A# N
考试内容可参考考试大纲: 5 L8 d! }6 Z- B8 D e
http://www.cisco.com/warp/public/10...ms/9E0-100.html
" S5 x, Y! L" I' l" U$ d : c3 m: l6 ]2 G3 A& v0 D6 E
[考试内容] $ x Z6 J& X2 g% G( S
如果把考试大纲的线条划粗些,可以说,考试主要着重在以下几个方面: & H4 W( F$ A6 i5 }2 J) h2 U% _
) r9 C- _" }( b1 b7 e
1.攻击与安全的基本知识。
" W/ Z1 H! K- x# ]' Z* Z9 c" a* r 2.IDS Sensor和Module的安装与配置。 ( p- D" X L \
3.IDS管理,监控与报告。
3 ^ g: x! Y8 y! J5 v$ z 4.Sensor和签名的管理
( |& |: |6 \0 x. J- Z, v( k; q' n; w R 5.IDS维护和内部结构。
1 Q: |: T4 A, M0 C: V6 _' J) w
2 M/ x1 O/ X! z/ ?7 S 与其他考试一样,CSIDS3.0的考试内容与2.x版相差很大,一定要注意书和学习资料与考试大纲相符。考试大纲那两页纸,应该打印出来钉在床头才对。呵呵。 8 l; R1 t3 K. d6 M. O, V9 F
% C8 \# _0 w1 H- o6 i
[学习材料]
, x: P6 u$ a* ]( j" k3 p. \
" h+ s% H& ], `2 Y 1.旧版书 (覆盖律 40%)
; Q" Q o7 s3 v; B f
- v# k! x4 p& v( j l! r& W 我买了本CSIDS by Earl Carter,觉得还是很值得的。书很系统地讲解了攻击与防范初步介绍,Cisco安全,IDS概念和网络上的配置等等。在基础知识这部分,书写的很好,没有一点过时的东西(很策略性的) ,并且,把IDS原理讲的很清楚。所以,这书还是值得收藏的。现在国内人邮出了中文版,我不知道翻译的效果怎么样,80块人民币也不是什么大数目,大家如果想考IDS,还是应该看这本书的。(当然,有新教材的另说。有新教材的朋友,就不必看我写的东西了,直接去考试就行了。呵呵) 9 G% G$ Y6 y& [
- {$ t, c; O% {% m/ M5 L5 A% X
那么书里不必看的是CSPM和Director部分。相应换成了IDS Device Manager和Event Viewer,以及Management/Monitoring Center。下面有介绍。另外,书里很大一部分是各种Signature的介绍,理解意思就可以,不用钻的太深,如果你想考试而不是先当黑客的话。 ( C4 p$ y( h+ v6 l0 Z
: C7 Q4 g! h/ P. o+ x" _/ h, c
2.Cisco Document CD或网页 ( h) p, V5 }0 ~8 I6 d% a
: k, l5 k z3 Y' n( f) Q8 L 覆盖率:70% 0 C% F: z% J" Q! `4 I6 C/ X8 n
- h# H# c# Z& n 上面说了,大纲里的IDS Device Management,Event Viewer,Cisco Works MC都是旧版书里没有的,要看网页才行。 4 ~4 X+ m. e- S5 N
0 L7 |8 y. O6 c1 j6 Q
IDS Network Sensor 3.1 - Y( f; g3 l- h% K
9 P; a$ L7 _! C+ ^, X7 o$ `7 Q } http://www.cisco.com/univercd/cc/td...s8/13872_01.htm 0 M) Y% ~7 @0 Z0 l s
http://www.cisco.com/univercd/cc/td...s8/13870_01.htm 3 D% C0 z8 A, ~+ r' z( Z
0 Z/ Z3 {4 I5 D- g* E
IDS Device Management:
& {& r2 g7 f+ z- P$ g6 p% P. ^( h 9 \- P% n) r, z8 ^3 G6 r
http://www.cisco.com/univercd/cc/td...s8/13876_01.htm
1 A' P' n! s; B4 q$ |6 L
, m$ N& Z5 x) P* }; s Event Viewer:
3 m( k- C; Y& C' ]9 ?" d6 A
& N; X3 B" \3 Q5 a A# z http://www.cisco.com/univercd/cc/td...s8/13877_01.htm
( [8 l* B. L- `4 J: i$ o, v4 S; z( s
; Z7 E5 {. m7 g/ o; s Signature Engine $ c: _) n: e0 M- a0 Q- c
( E2 |( D# M2 S8 l7 [ http://www.cisco.com/univercd/cc/td...s8/13869_01.htm
+ B! U8 B3 W ~3 s# u/ U
; M' N4 J! z- e5 H (以上都是在IDS 3.1目录下的,大家可以都看一看)
$ j# l. q+ T0 ~; K& r http://www.cisco.com/univercd/cc/td...sids8/index.htm
0 w) D/ v6 \$ u7 B% U 9 F9 R1 i B. D- ^( F$ h
那么Cat 6000上的IDS Module,书上有介绍,但版本不够,网页上有最新的: 3.0 ' a* B$ X! d* n; g4 ~8 M' M# H
) {( o8 x& b9 d
http://www.cisco.com/univercd/cc/td...dsm_2/index.htm
8 [" X9 R7 \( F! D' ~. @ 9 u! V/ ^( n$ v# E8 j
IDS内部体系结构,很重要
3 _- P+ b* o# g+ L& R, z$ N, z 3 I7 y& M/ F2 Q+ P9 ~/ p6 w
http://www.cisco.com/univercd/cc/td...ids/0866_02.htm 4 p- g% z0 ]; C0 a
. M# x7 {' Q9 b2 t9 F1 ~8 i4 ~
Cisco Works Management Center,介绍性地考了考,参考它的Datasheet, Q&A,和简单的介绍
1 \, n& k ]! b7 p# k2 C http://www.cisco.com/en/US/products...literature.html 3 Z3 s6 d2 D( J, H
% a( W: H" D0 ?9 ]1 s& j 列的这些资料基本覆盖全了。内容就不算多了。考试考的很细,所以单看书是不行的,要把操作做熟,很熟,要对命令行,文件体系结构,两个GUI界面的所有菜单的所有选项都很熟。要做到这点,就要对着文档做实验。
' z d: ~* E3 r
7 z' t9 f5 s" g* A) c [实验] , m0 |8 j# t' S. t& {7 a
1 l v3 |4 l2 p4 L& S- z
我反复强调实验的重要性,因为不仅考试有实验操作,而且大量的客观题是考你操作界面的属性,不做实验,实在是背不下来的。那么对於多数朋友,我想都缺乏IDS的操作经验,也缺少实验条件。最好的办法就是有CCO帐号,到Csico e-Learning上做实验。 ' U$ c" @) q2 l* f5 J
+ n4 j% a4 u% ^1 N6 S" a* h e-Learning实验分3个部分:
9 h3 B. F: H7 M. H6 w' y- k7 x+ d2 Q Z
2 z; m0 C; ~* W! x- } 1.VoD % T% ?( j- n/ B( u: s
有一个教学片,介绍了IDS 3.1,Device Manager,Event Viewer的安装和基本操作。一共一个小时不到,有条件一定要看,能省很多学习时间。强烈推荐。
A; `6 j* N! _# U Y* K8 E4 W- N- Q
连接在E-Learning-->Specialization-->Video on Demand -->VPN Security下, 3 r g) }; k. r5 j- m7 m" L2 p
CTU-NPI-IDS 3.1 Appliance 8 n+ p" B5 i( t, `, e+ S9 [! Q
: {; K. K$ W0 ~% U2 m" I" J3 J! l4 U 2.PEC提供的IDS实验。 . P: q! }+ K2 z: y2 l
这是“真” 的实验,不是Flash,连接到IDS 3.1的Console上,并有一台虚拟PC,可以做所有IDS 3。1的实验。包括命令行,目录和体系结构了解,IDS Device Manager,下载并安装Event Viewer。那么这三个界面占了考试的大部分内容。所以,有条件就要做上10遍8遍。强烈推荐。 ; w U2 J" ^# O$ S7 k2 @- v `
; g, S) k9 k D4 n8 L$ d 3.KnowledgeNet,是Flash型的,一是不自由,二是旧版的,都是CSPM相关的实验,不推荐。
. v8 n1 ?: P B& [/ W( z2 s , t, J* N( t5 b7 k6 r' }% W
[其他] 2 o6 s" u$ n3 o2 `( `) x
3 t% B) j( {9 P/ i2 x7 w2 { TK还是要看的。呵呵。
( ?, i4 w$ Z5 a; @/ a / k, p6 T) [& u. x% A" W
[收获] $ q9 d, U- l. B
) _& M" V3 I( _2 `2 v; |9 C IDS考下来还是很爽的。 ; ^; I& O/ O4 _/ l5 y; Q2 G
6 P; r; d$ C1 x. c- P3 N0 [ 1.这门是黎明前的黑暗。考完后,就看到曙光了。 8 `4 ~* W T; ]( \4 k% e0 w
; s2 z: x8 B6 F' h! m 2.在技术上,没有IDS,就谈不上安全。但由於工作限制,IDS是我们最缺乏经验的。靠考试的方法补足,在技术上翻越了一座小山。说小山是因为只是在基本概念,操作和维护上有了解,对攻击深层理解还差的很远,对Cisco以外的产品理解还没有。但这是迈出的第一步,是很关键的一步。 ; J% k4 r( j/ U& `4 a. J
( ^$ g9 t5 e9 f+ W' A 3.在心理上,过了一关。 |