网络安全技术学习路线分析

一、防火墙主要功能

1. 入站流量过滤：常见的病毒、网络攻击等拦截过滤，禁止其进入内网破坏；
2. 出站流量过滤：内网访问外网，限制哪些网站禁止访问，哪些网站可以访问，即非法网站流量、非法app应用流量拦截。

二、防火墙的分类

1. 软件防火墙：部署在用户电脑上，（1）只能保护个人电脑，不能保护整个网络，（2）由个人管理，保护作用差。
2. 硬件防火墙：部署在网络边界，对整个网络进行保护，保护面广，个人电脑防火墙可以不开，一般由专业网络工程师进行维护。

三、网络技术学习路线

• 单核心小型网络

1. 产品：（1）二、三层交换机：二层交换机只负责同网段间的通信；三层交换机实现不同网段通信和划VLAN；（2）路由器：用于内网与外网连接；主要功能是网络地址转换（NAT）和路由寻址；（3）无线网络：无线AC+AP组合;AC为无线控制器，AP为外放信号设备，1台AC可管理多台AP；（4）防火墙：加强网络安全性，对数据进行过滤。
2. 技术：（1）dhcp（Dynamic host configuration protocol）:动态主机配置协议，自动获取ip；（2）vlan:故障隔离、广播隔离，隔离不同部门和用户；（3）静态路由：多个网络、多个网段间通信，需要配静态路由；（4）nat（Network Address Translation）：网络地址转换，内网ip地址转换为外网ip地址，实现内网访问互联网。NAT主要用于路由器和防火墙中。

• 高可靠多分支中大型网络

1. 产品：（1）二、三层交换机：盒式、框式（几万1台）；（2）路由器：企业路由器、数据中心路由器（十几万1台）；（3）安全设备：防火墙（进出网络用户识别管控）/VPN（异地通讯构建虚拟通讯隧道）/IPS（入侵防御系统，识别数据流量安全行为并且拦截）/网闸（外网与内网严格管控和访问）/准入（准入系统，账号、密码、设备是否合法等接入）/行为管理（用户上网行为管理和记录）/漏扫（漏洞扫描）/堡垒机（提供网络管理安全性）/审计（服务器访问行为记录）/WAF（防火墙-保护网站系统防止攻击）/态势感觉等（日志分析判断安全威胁）。（4）无线：AC+AP+AAA+Portal，不是连接就能使用，需要弹出web认证页面输入账号密码、扫二维码、短信认证等。（5）网络管理：监控告警、日志系统。
2. 技术：（1）路由：ospf（开放式最短路径优先Open Shortest Path First Interior Gateway Protocol）/isis（分级的链接状态路由协议）/bgp（边界网关协议Border Gateway Protocol）。（2）交换：mstp/vrrp/链路聚合/堆叠/高级vlan。（3）安全：防火墙/VPN/攻击防范。（4）无线：高可靠/vlan pool/漫游组。（5）骨干网：mpls/v4v6双栈/vxlan/evpn。

• 进阶方向

1. 数通进阶：HCIE技术专家。
2. 网络安全：攻防/渗透/解决方案专家。
3. 云计算：公有云网络产品技术支持/数据中心网络技术支持。