CCSP之CSIDS3.0考试经验（1）

会计考友

大家好！
　　今天通过了CCSP CSIDS 3.0考试。谈一谈学习考试经验，希望对大家有用。
1 y0 N# ~9 h# E4 y. p0 R9 B　　
　　CSIDS 3.0
　　
　　60题，825分通过，如果选英语为第二语言，时间105分钟。
$ H% ^' _0 B9 J( w7 h& V　　
　　考试内容可参考考试大纲：
. `: {. t, H7 g6 }  W# T( |　　http://www.cisco.com/warp/public/10...ms/9E0-100.html
　　
　　[考试内容]
; E- H! ?+ \) k$ v; V& h& ~　　如果把考试大纲的线条划粗些，可以说，考试主要着重在以下几个方面：
　　
, H3 x& H; l( |. H　　1.攻击与安全的基本知识。
2 u/ O- u$ I5 J) V1 I8 A' R　　2.IDS Sensor和Module的安装与配置。
) s; M1 F7 E* G" n2 j　　3.IDS管理，监控与报告。
　　4.Sensor和签名的管理
0 Q: c8 ]8 n/ K　　5.IDS维护和内部结构。
) s1 M- e  i+ g, G1 e　　
　　与其他考试一样，CSIDS3.0的考试内容与2.x版相差很大，一定要注意书和学习资料与考试大纲相符。考试大纲那两页纸，应该打印出来钉在床头才对。呵呵。
　　
　　[学习材料]
1 k( M. [- z1 ~2 \" R　　
- N$ R' q/ G) t3 y, V% G; Q$ X　　1.旧版书 (覆盖律 40%)
# ~: a; U! L+ {# {　　
　　我买了本CSIDS by Earl Carter，觉得还是很值得的。书很系统地讲解了攻击与防范初步介绍，Cisco安全，IDS概念和网络上的配置等等。在基础知识这部分，书写的很好，没有一点过时的东西(很策略性的) ，并且，把IDS原理讲的很清楚。所以，这书还是值得收藏的。现在国内人邮出了中文版，我不知道翻译的效果怎么样，80块人民币也不是什么大数目，大家如果想考IDS，还是应该看这本书的。(当然，有新教材的另说。有新教材的朋友，就不必看我写的东西了，直接去考试就行了。呵呵)
5 F  s1 R3 j) g3 E. S　　
　　那么书里不必看的是CSPM和Director部分。相应换成了IDS Device Manager和Event Viewer，以及Management/Monitoring Center。下面有介绍。另外，书里很大一部分是各种Signature的介绍，理解意思就可以，不用钻的太深，如果你想考试而不是先当黑客的话。
　　
( y$ H- L. X, Z/ Y　　2.Cisco Document CD或网页
: [" v6 S! ]( {2 r4 q, r! A) N　　
2 i: f. L8 H9 |　　覆盖率：70%
　　
　　上面说了，大纲里的IDS Device Management，Event Viewer，Cisco Works MC都是旧版书里没有的，要看网页才行。
0 v% k) b; N0 n- A# f* M$ E, l) [　　
0 y( g) A8 K9 c" U1 t$ A$ y+ g　　IDS Network Sensor 3.1
+ @4 g1 h5 `2 G6 I) V9 p　　
2 s% p; L2 I$ V5 l# M　　http://www.cisco.com/univercd/cc/td...s8/13872_01.htm
　　http://www.cisco.com/univercd/cc/td...s8/13870_01.htm
" P3 v1 N0 v# T. S# [+ K1 \　　
　　IDS Device Management:
# t/ r' K7 a- N2 ~# e4 }" k# P4 F　　
& o  B( e( J* q6 R5 i' Z' j/ D　　http://www.cisco.com/univercd/cc/td...s8/13876_01.htm
: x- _1 ^# e2 R- ~0 \+ A: t　　
　　Event Viewer:
　　
. Q( F: D2 K3 y　　http://www.cisco.com/univercd/cc/td...s8/13877_01.htm
' H  M- w. I; M" c: M; Y* G　　
　　Signature Engine
　　
, U/ A6 i0 E. r7 q2 _　　http://www.cisco.com/univercd/cc/td...s8/13869_01.htm
　　
　　(以上都是在IDS 3.1目录下的，大家可以都看一看)
　　http://www.cisco.com/univercd/cc/td...sids8/index.htm
) e8 H% t- V3 b5 k4 q; b2 i: \　　
' X9 P7 Y% D5 B" X/ _　　

会计考友

那么Cat 6000上的IDS Module，书上有介绍，但版本不够，网页上有最新的： 3.0
0 K, d1 Z2 _* D4 B  U　　
3 x; H) Q9 {, l& ~, F+ E5 L　　http://www.cisco.com/univercd/cc/td...dsm_2/index.htm
" N  |. D- U* W　　
1 Z5 T- i6 {2 s1 F$ K# l　　IDS内部体系结构，很重要
4 n. r9 q  V' a　　
- q! {" n, e) @; O" e) t( z  l  D　　http://www.cisco.com/univercd/cc/td...ids/0866_02.htm
0 y3 \3 ]2 q! |. g% N! E　　
　　Cisco Works Management Center，介绍性地考了考，参考它的Datasheet, Q&A，和简单的介绍
' F! y# j$ X+ {9 u$ F! a　　http://www.cisco.com/en/US/products...literature.html
$ V6 t. t$ Y" i( ~) g) k+ _8 y9 E　　
　　列的这些资料基本覆盖全了。内容就不算多了。考试考的很细，所以单看书是不行的，要把操作做熟，很熟，要对命令行，文件体系结构，两个GUI界面的所有菜单的所有选项都很熟。要做到这点，就要对着文档做实验。
　　
　　[实验]
8 q+ `! S3 t9 h1 a　　
( p3 T3 }0 y& V, u& _7 x　　我反复强调实验的重要性，因为不仅考试有实验操作，而且大量的客观题是考你操作界面的属性，不做实验，实在是背不下来的。那么对於多数朋友，我想都缺乏IDS的操作经验，也缺少实验条件。最好的办法就是有CCO帐号，到Csico e-Learning上做实验。
+ }2 ]( q( R6 Z4 F, e. [　　
& i6 c- b& E, k5 ?# [7 H' h1 D3 X　　e-Learning实验分3个部分：
　　
6 d3 @' w! m  T# V' v$ `　　1.VoD
* V4 d6 l& ?* o. S　　有一个教学片，介绍了IDS 3.1，Device Manager，Event Viewer的安装和基本操作。一共一个小时不到，有条件一定要看，能省很多学习时间。强烈推荐。
　　
" E+ ^1 [9 D, T2 v0 H3 s　　连接在E-Learning-->Specialization-->Video on Demand -->VPN Security下，
  N; ?) f$ R% a0 m+ l. ^) s* k  Z　　CTU-NPI-IDS 3.1 Appliance
1 ~+ V7 G- B8 G, {　　
1 Y# P) P7 t) z* |　　2.PEC提供的IDS实验。
　　这是“真” 的实验，不是Flash，连接到IDS 3.1的Console上，并有一台虚拟PC，可以做所有IDS 3。1的实验。包括命令行，目录和体系结构了解，IDS Device Manager，下载并安装Event Viewer。那么这三个界面占了考试的大部分内容。所以，有条件就要做上10遍8遍。强烈推荐。
　　
　　3.KnowledgeNet，是Flash型的，一是不自由，二是旧版的，都是CSPM相关的实验，不推荐。
& J  ?1 h1 q+ U! t% l8 }4 _　　
6 O2 j4 g$ O! P/ J0 A! D　　[其他]
　　
　　TK还是要看的。呵呵。
$ t- c' N; N. t0 Z3 H$ ^　　
　　[收获]
' k/ G% ?1 ^7 _/ T! |　　
$ W9 L! Y! H8 a- f/ i2 y　　IDS考下来还是很爽的。
; F8 P7 \/ X( _$ p8 W　　
　　1.这门是黎明前的黑暗。考完后，就看到曙光了。
　　
' G) [9 p- `7 t　　2.在技术上，没有IDS，就谈不上安全。但由於工作限制，IDS是我们最缺乏经验的。靠考试的方法补足，在技术上翻越了一座小山。说小山是因为只是在基本概念，操作和维护上有了解，对攻击深层理解还差的很远，对Cisco以外的产品理解还没有。但这是迈出的第一步，是很关键的一步。
7 A/ v3 _2 j& `9 q& I　　
　　3.在心理上，过了一关。