安全技術工程師
- 🏢崗位要求
- 🌠具體細化
- 2??二層(交換)
- 1、鏈路聚合Eth-Trunk
- 2、生成樹STP
- 3、快速生成樹RSTP
- 4、多生成樹MSTP
- 5、STP/RSTP/MSTP
- 3??三層(路由)
- 1、虛擬網關冗余VRRP
- 2、開放最短路徑優先OSPF(??)
- 3、IPSec VPN
- 4、GRE over IPSec
- 7??應用層
- 1、FTP的兩種模式
所謂安全技術工程師就是傳統路由交換+網路安全的結合,這是我的理解,
🏢崗位要求
1、路由交換知識
2、安全設備知識
3、web安全基礎知識
🌠具體細化
大廠的安全技術工程師最好是有滲透測驗基礎的,
這是一個應屆生的簡歷,很符合安全技術的要求,其實也符合安全服務工程師的要求,
安全技術最重要的一點是要掌握數通知識(思科、華為、H3C體系),
2??二層(交換)
1、鏈路聚合Eth-Trunk
- 增加鏈路帶寬、提高鏈路可靠性(鏈路備份)、負載分擔
- 手動模式
- LACP
2、生成樹STP
二層交換網路中經常使用它避免環路(廣播風暴)又提高可靠性
-
STP操作:通過構造一棵樹來消除交換網路中的環路
-
STP選舉
-
STP埠狀態
3、快速生成樹RSTP
解決STP收斂慢的缺點
-
RSTP減少了埠狀態
-
增加埠角色
-
TC時快速收斂(P/A機制)
P/A機制:“發送請求—回復同意”,無需依賴計時器
非邊緣埠變為Fowaring狀態時,產生TC -
RSTP保護
4、多生成樹MSTP
快速收斂、Vlan資料負載均衡
- 每棵生成樹一個MST實體,沒個實體包含一個或多個VLAN
- MST域:由多臺交換機以及他們之間的網段構成,同意MST域的設備特征
都啟動了MSTP
具有相同的域名
具有相同的實體映射
具有相同的修訂級別
5、STP/RSTP/MSTP
3??三層(路由)
1、虛擬網關冗余VRRP
多個物理網關加入VRRP備份組,由一個主和多個備組成,功能上相當于一臺虛擬網關,
- 虛擬網關具有一個虛擬IP地址
- VRRPv2——IPV4,VRRPv3——IPV6
- Master選舉:優先級越大越優先,默認100
- VRRP協議號112,組播地址=224.0.0.18
- VRRP的Master和MSTP的根橋保持一致
- VRRP上行鏈路監視:BFD/NQA
2、開放最短路徑優先OSPF(??)
- 大中型場景IGP協議,IP協議號89
- 鏈路狀態路由協議
- 組播地址=224.0.0.4/5
- 以開銷Cost作為度量值
- 管理距離(AD值):思科為110,華為為10
路由器型別
OSPF三張表
五個資料包
七個狀態
DR\BDR
只要是多路訪問BMA和NBMA網路中,為了減少鄰接關系的數量,從而減少資料包交換次數,最終節省帶寬,降低對路由器處理能力的壓力,選舉DR和BDR,
LSA總結
外部路由型別
3、IPSec VPN
IPSec:Internet Protocol Security
? IETF制定的一套安全保密性能框架
? 建立在網路層的安全保障機制
? 引入多種加密演算法、驗證演算法和密鑰管理機制
? 也具有配置復雜、消耗運算資源較多、增加延遲、不支持組播等缺點
? IPSec VPN是利用IPSec隧道建立的VPN技術
| 術語 | 描述 |
|---|---|
| 機密性 | 對資料進行加密,確保資料在傳輸程序中不被其它人員查看; |
| 完整性 | 對接收到資料包進行完整性驗證,以確保資料在傳輸程序中沒有被篡改; |
| 真實性 | 驗證資料源,以保證資料來自真實的發送者(IP報文頭內的源地址); |
| 抗重放 | 防止惡意用戶通過重復發送捕獲到的資料包所進行的攻擊,即接收方會拒絕舊的或重復的資料包, |
IPSec技術框架
IPSec封裝模式
安全聯盟:SA(Security Association)
4、GRE over IPSec
技術背景
- IPSec VPN用于在兩個端點之間提供安全的IP通信,但只能加密并傳播單播
資料,無法加密和傳輸語音、視頻、動態路由協議資訊等組播資料流量, - GRE可以封裝組播資料,并可以和IPSec結合使用,從而保證語音、視頻等組
播業務的安全,
作業流程:首先通過GRE對報文進行封裝,然后再由IPSec對封裝后的報文進行加
密和傳輸,
7??應用層
1、FTP的兩種模式
FTP協議要用到兩個TCP連接 :
1.一個是命令鏈路,用來在FTP客戶端與服務器之間傳遞命令;
2.一個是資料鏈路,用來上傳或下載資料,
兩種作業方式:PORT方式和PASV方式,
兩種作業模式:主動模式和被動模式
無論是主動模式還是被動模式,其要進行檔案傳輸都必須依次建立兩個連接,分別為命令連接與資料連接,而主動模式與被動模式的差異主要體現在資料連結通道上,
(1) PORT(主動模式)
PORT中文稱為主動模式,作業的原理: FTP客戶端連接到FTP服務器的21埠,發送用戶名和密碼登錄,登錄成功后要list串列或者讀取資料時,客戶端隨機開放一個埠(1024以上),發送 PORT命令到FTP服務器,告訴服務器客戶端采用主動模式并開放埠;FTP服務器收到PORT主動模式命令和埠號后,通過服務器的20埠和客戶端開放的埠連接,發送資料,原理如下圖:
(2) PASV(被動模式)
PASV是Passive的縮寫,中文成為被動模式,作業原理:FTP客戶端連接到FTP服務器的21埠,發送用戶名和密碼登錄,登錄成功后要list串列或者讀取資料時,發送PASV命令到FTP服務器, 服務器在本地隨機開放一個埠(1024以上),然后把開放的埠告訴客戶端, 客戶端再連接到服務器開放的埠進行資料傳輸,原理如下圖:
2. 兩種模式的比較
主動模式和被動模式的不同為:
-
主動模式傳送資料時是“服務器”連接到“客戶端”的埠;被動模式傳送資料是“客戶端”連接到“服務器”的埠,
-
主動模式需要客戶端必須開放埠給服務器,很多客戶端都是在防火墻內,開放埠給FTP服務器訪問比較困難,
-
被動模式只需要服務器端開放埠給客戶端連接就行了,
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/308911.html
標籤:其他