问网络安全

EN

看看Ross Anderson的“安全工程”。第一版和第二版的一部分可以在here上免费下载。虽然他谈到了许多非网络问题，但这些原则大多适用。

网络安全是一个庞大的课题。在开发人员方面，我认为您很可能会关心大量的加密方案和进程安全性。有一些基本的东西，比如对程序的网络流量使用SSL，以达到更高级的主题，比如防止程序处理(可能是加密)后，任何敏感操作的痕迹留在RAM中。

今天，您需要成为TCP/IP协议方面的专家。从ARP、DNS、UDP、ICMG、BGP等等。大多数网络都是基于IP的，具有基于IP的防火墙。例如，防火墙将允许“端口80上的TCP流量”通过。您需要能够了解该流量是否为有效的网上冲浪、DOS攻击或其他恶意流量。只有详细了解IP网络的工作原理，才能做到这一点。DNS等其他协议也是如此。此外，对以太网通信和其他传输方式(如手机网络或WiFi网络)的较低层次的了解也很重要。我想这取决于你所说的“网络安全”是什么意思--对我来说，这是在应用层之下。