安全技術工程師
所謂安全技術工程師就是傳統路由交換+網絡安全的結合,這是我的了解。
1、路由交換知識
2、安全裝置知識
3、web安全基礎知識
大廠的安全技術工程師最好是有滲透測試基礎的。
這是一個應屆生的履歷,很符合安全技術的要求,其實也符合安全服務工程師的要求。
安全技術最重要的一點是要掌握數通知識(思科、華為、H3C體系)。
- 增加鍊路帶寬、提高鍊路可靠性(鍊路備份)、負載分擔
- 手動模式
- LACP
安全廠商安全技術工程師(校招)——技術要求🏢崗位要求🌠具體細化
二層交換網絡中經常使用它避免環路(廣播風暴)又提高可靠性
- STP操作:通過構造一棵樹來消除交換網絡中的環路
安全廠商安全技術工程師(校招)——技術要求🏢崗位要求🌠具體細化 - STP選舉
安全廠商安全技術工程師(校招)——技術要求🏢崗位要求🌠具體細化 安全廠商安全技術工程師(校招)——技術要求🏢崗位要求🌠具體細化 - STP端口狀态
安全廠商安全技術工程師(校招)——技術要求🏢崗位要求🌠具體細化
解決STP收斂慢的缺點
- RSTP減少了端口狀态
安全廠商安全技術工程師(校招)——技術要求🏢崗位要求🌠具體細化 - 增加端口角色
安全廠商安全技術工程師(校招)——技術要求🏢崗位要求🌠具體細化 -
TC時快速收斂(P/A機制)
P/A機制:“發送請求—回複同意”,無需依賴計時器
非邊緣端口變為Fowaring狀态時,産生TC
- RSTP保護
快速收斂、Vlan資料負載均衡
- 每棵生成樹一個MST執行個體,沒個執行個體包含一個或多個VLAN
-
MST域:由多台交換機以及他們之間的網段構成,同意MST域的裝置特征
都啟動了MSTP
具有相同的域名
具有相同的執行個體映射
具有相同的修訂級别
多個實體網關加入VRRP備份組,由一個主和多個備組成,功能上相當于一台虛拟網關。
- 虛拟網關具有一個虛拟IP位址
- VRRPv2——IPV4,VRRPv3——IPV6
- Master選舉:優先級越大越優先,預設100
- VRRP協定号112,多點傳播位址=224.0.0.18
- VRRP的Master和MSTP的根橋保持一緻
- VRRP上行鍊路監視:BFD/NQA
安全廠商安全技術工程師(校招)——技術要求🏢崗位要求🌠具體細化
- 大中型場景IGP協定,IP協定号89
- 鍊路狀态路由協定
- 多點傳播位址=224.0.0.4/5
- 以開銷Cost作為路徑成本
- 管理距離(AD值):思科為110,華為為10
路由器類型
OSPF三張表
五個資料包
七個狀态
DR\BDR
隻要是多路通路BMA和NBMA網絡中,為了減少鄰接關系的數量,進而減少資料包交換次數,最終節省帶寬,降低對路由器處理能力的壓力,選舉DR和BDR。
LSA總結
外部路由類型
IPSec:Internet Protocol Security
• IETF制定的一套安全保密性能架構
• 建立在網絡層的安全保障機制
• 引入多種加密算法、驗證算法和密鑰管理機制
• 也具有配置複雜、消耗運算資源較多、增加延遲、不支援多點傳播等缺點
• IPSec VPN是利用IPSec隧道建立的VPN技術
| 術語 | 描述 |
| 機密性 | 對資料進行加密,確定資料在傳輸過程中不被其它人員檢視; |
| 完整性 | 對接收到資料包進行完整性驗證,以確定資料在傳輸過程中沒有被篡改; |
| 真實性 | 驗證資料源,以保證資料來自真實的發送者(IP封包頭内的源位址); |
| 抗重放 | 防止惡意使用者通過重複發送捕獲到的資料包所進行的攻擊,即接收方會拒絕舊的或重複的資料包。 |
IPSec技術架構
IPSec封裝模式
安全聯盟:SA(Security Association)
技術背景
-
IPSec VPN用于在兩個端點之間提供安全的IP通信,但隻能加密并傳播單點傳播
資料,無法加密和傳輸語音、視訊、動态路由協定資訊等多點傳播資料流量。
-
GRE可以封裝多點傳播資料,并可以和IPSec結合使用,進而保證語音、視訊等組
播業務的安全。
工作流程:首先通過GRE對封包進行封裝,然後再由IPSec對封裝後的封包進行加
密和傳輸。
FTP協定要用到兩個TCP連接配接 :
1.一個是指令鍊路,用來在FTP用戶端與伺服器之間傳遞指令;
2.一個是資料鍊路,用來上傳或下載下傳資料。
兩種工作方式:PORT方式和PASV方式。
兩種工作模式:主動模式和被動模式
無論是主動模式還是被動模式,其要進行檔案傳輸都必須依次建立兩個連接配接,分别為指令連接配接與資料連接配接。而主動模式與被動模式的差異主要展現在資料連結通道上。
(1) PORT(主動模式)
PORT中文稱為主動模式,工作的原理: FTP用戶端連接配接到FTP伺服器的21端口,發送使用者名和密碼登入,登入成功後要list清單或者讀取資料時,用戶端随機開放一個端口(1024以上),發送 PORT指令到FTP伺服器,告訴伺服器用戶端采用主動模式并開放端口;FTP伺服器收到PORT主動模式指令和端口号後,通過伺服器的20端口和用戶端開放的端口連接配接,發送資料,原理如下圖:
(2) PASV(被動模式)
PASV是Passive的縮寫,中文成為被動模式,工作原理:FTP用戶端連接配接到FTP伺服器的21端口,發送使用者名和密碼登入,登入成功後要list清單或者讀取資料時,發送PASV指令到FTP伺服器, 伺服器在本地随機開放一個端口(1024以上),然後把開放的端口告訴用戶端, 用戶端再連接配接到伺服器開放的端口進行資料傳輸,原理如下圖:
2. 兩種模式的比較
主動模式和被動模式的不同為:
- 主動模式傳送資料時是“伺服器”連接配接到“用戶端”的端口;被動模式傳送資料是“用戶端”連接配接到“伺服器”的端口。
- 主動模式需要用戶端必須開放端口給伺服器,很多用戶端都是在防火牆内,開放端口給FTP伺服器通路比較困難。
- 被動模式隻需要伺服器端開放端口給用戶端連接配接就行了。