字节跳动内推码 春招 社招 字节跳动内推码校招内推码内推链接:字节跳动校招内推码: YYG5KEY投递链接: https://jobs.toutiao.com/s/e1pWdg8社招内推链接:https://job.toutiao.com/s/e1pKenC
Tacacs-配置single-connection单连接模式证测试与总结 其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例Tacacs+双通道认证配置测试与总结Tacacs+配置single-connection单连接模式证测试与总结Tacacs+ single-connection单连接模式测试经测试单连接模式真正实现的效果就是:不论有多少用户同时登陆一台网络设备,不论同时执行多少条命令,设计到的认证,授权,计费报文都在同一个TCP连接中传输。单连接模式相关概念:单连..
Tacacs-双通道认证配置测试与总结 其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例Tacacs+双通道认证配置测试与总结Tacacs+配置single-connection单连接模式证测试与总结背景一般在网络组网中,从可靠性来说,一般主要的网络设备都有两个管理地址:一个是loopback的逻辑地址,主要用于OSPF,BGP等路由协议配置Router-id等,也可以用于远程管理设备。loopback在网络中主要是通过路由协议的传播..
如何在交换机上抓包 在交换机上抓包,一般可排查一些网络问题。下面是总结的在各厂商交换机上抓包方式。H3C交换机抓包:在华三交换机上可使用:packet-capture 命令,在用户视图下执行。具体操作可查看这:https://www.h3c.com/cn/d_202009/1327093_30005_0.htm#做流统匹配抓包流量acl advanced 3000description test rule 0 permit ip source 192.168.1.1 0 destination 192.168
WireGuard基本原理 WireGuard:下一代内核网络隧道摘要:WireGuard是一个安全的网络隧道,在第3层运行,作为Linux的内核虚拟网络接口实现,其目标是在大多数情况下取代IPsec,以及流行的用户空间和/或基于tls的解决方案,如Openvnp,同时更安全、性能更高且更易于使用。虚拟隧道接口基于安全隧道的基本原则:对等公钥和隧道源IP地址之间的关联。它使用基于NoiseIK的单次往返密钥交换,并使用新的计时器状态机机制对用户透明地处理所有会话创建。短的预共享静态密钥(Curve25519点)用于OpenSSH风
Tacacs-协议交互报文抓包示例 其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例tacacs+协议报文抓包示例如果使用wireshark对tacacs+报文进行抓包,需要将tacacs+服务器的tac_plus服务监听端口设置为49,这是为tacacs+分配的默认端口,TCP 49。此时,会将TCP 49端口的报解码为tacacs+报文。否则,看到的都是TCP交互报文。实验拓扑:本次实验在eve-ng仿真环境中进行测试,可测试..
Tacacs-各厂商交换机配置 其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例以下为整理的常见厂商的交换机tacacs+认证配置。交换机配置Tacacs+认证思路交换机全局开启Tacacs+认证配置tacacs+认证模板,主要配置tacacs+认证的服务器地址,端口,密钥。配置tacacs+的认证,授权,计费列表全局内调用tacacs+认证方式vty,console下调用tacacs+认证方式华为交换机tacacs+认..
Tacacs-服务搭建与配置详解 其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例简介tac_plus是TACACS +守护程序。它为网络设备和访问服务器提供身份验证,授权和计费服务。(authentication, authorisation and accounting)此版本是原始Cisco源代码的主要重写。主要功能包括:NAS特定的主机密钥,提示,开启密码与NAS和ACL相关的组成员身份用于用户配置文件的灵活的外部后端(..
Tacscs-协议原理 参考资料:https://tools.ietf.org/html/draft-ietf-opsawg-tacacs-18TACACS+ 简介本文档介绍了(Terminal Access Controller Access-ControlSystem Plus )终端访问控制器访问控制系统增强版(TACACS +)协议。 它最初被构想为通用的身份验证,授权和计费(AAA)协议。 它在当今得到了广泛的部署,但主要限于AAA(Authentication, Authorization and Acco..
光纤学习总结 光纤简介光纤概念:光导纤维(英语:Optical fiber),简称光纤,是一种由玻璃或塑料制成的纤维,利用光在这些纤维中以全内反射原理传输的光传导工具。微细的光纤封装在塑料护套中,使得它能够弯曲而不至于断裂。通常光纤的一端的发射设备使用发光二极管或一束激光将光脉冲发送至光纤中,光纤的另一端的接收设备使用光敏组件检测脉冲。包含光纤的线缆称为光缆。由于信息在光导纤维的传输损失比电在电线传导的损耗低得多,更因为主要生产原料是硅,蕴藏量极大,较易开采,所以价格很便宜,促使光纤被用作长距离的信息传递介质。
光模块学习总结 光模块简介什么是光模块:光模块(Optical Module)作为光纤通信中的重要组成部分,是实现光电转换和电光转换功能的光电子器件。准确来说,光模块是几种类别的模块的统称,具体包括:光发送模块Transmitter、光接收模块Receiver、光收发一体模块Transceiver和光转发模块Transponder。通常我们所说的光模块,一般是指光收发一体模块(下同)。工作原理:光模块工作在OSI模型的物理层,是光纤通信系统中的核心器件之一。它主要由光电子器件(光发射器、光接收器)、功能电路和光(
数据中心交换机芯片学习总结 交换机分类交换机按照品牌可以分为品牌交换机、裸机交换机、白盒交换机。品牌交换机厂商主要有 Cisco、Huawei、HPE 等;裸机交换机主要是台湾企业,包括 Accton,Quanta QCT,Alpha Networks 和 Delta Computer 等公司,这些公司还是许多主流交换机供应商的原始设计制 造商(ODM);白盒交换机相当于你是打包购买了一个裸机交换机和一个操作系统,主要 厂商有 Juniper、Arista、星网锐捷等。对比:交换机芯片交换机芯片的主要功能:交换芯
数据库审计系统基本原理与部署方式 数据库审计系统简介什么是数据库审计?数据库审计是记录数据库被访问行为的日志系统。访问数据库的一般有两种行为,一种是应用服务区的访问,一种是数据库运维人员的访问。数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。数据库审计是数据库安全技术之一,数据库
大学四年总结与感悟及给刚上大学的同学的一些建议 以下是我即将毕业,对自己大学四年生活的一个阶段性总结,以及给刚上大学的一些同学的建议。仅仅是个人意见,仅供参考。本人能力有限,各位大佬们勿喷。主要是刚上大学的学生可以参考下。先来个自我介绍 曹世宏,男,来自一所普通二本院校,大学本科专业网络工程。大学期间主要学习方向路由交换与网络安全。大四期间在安恒,小米实习了近一年。目前准备入职字节跳动,职位是数据中心的网络工程师。个人博客:https://cshihong.github.io/ https://blog.csdn.net/qq_3826.
日志审计系统的基本原理与部署方式 日志审计系统简介什么是日志审计?综合日志审计平台,通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。通过日志审计系统,企业管理员随时了解整个IT系统的运行情况,及时发现系统异常事件;另一方面,通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统
堡垒机(运维审计系统)的基本原理与部署方式 堡垒机简介堡垒机是什么?堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。[百度百科解释]堡垒机目前也有很多叫运维审计系统。简单总结一句话:堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源.)堡垒机的核心是可控及审计。可控是指权限可控、行为可控。权限可控,比如某个工程
WAF基本原理与部署方式 WAF介绍WAF是什么?WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF常见的部署方式: WAF常见部署方式WAF一般部署在Web服务器之前,用来保护Web应用。那么WAF能做什么?WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。WAF可以对Web应用进行安全审计WAF可以防止CC攻击应用
在大型数据中心使用BGP进行路由(翻译自RFC7938) 本文是在看RFC7938《 Use of BGP for Routing in Large-Scale Data Centers》是翻译整理的资料。主要讲述了在大型数据中心使用BGP进行路由。原文链接:https://tools.ietf.org/rfc/rfc7938.txt摘要一些网络运营者建立和运营数据中心,支持超过10万台服务器。在本文中,这样的数据中心被称为“大型(larg...
BGP in the datacenter, 数据中心的BGP,数据中心网络架构,Clos网络架构 数据中心的BGP说明:这是最近在学习《BGP in the datacenter》。由于原文是全英文。所以在学习过程中,利用谷歌翻译和网易翻译,再把翻译不通的地方,加上自己理解稍微改了改。在此共享出来,需要的人可以参考参考。原文链接:https://www.oreilly.com/library/view/bgp-in-the/9781491983416/前言这本小册子是我在与大大...
BGP知识手册-华为-华三-思科 备注:以下资料整理自以下三个网站,有华为,华三,思科三个厂商官网的BGP相关资料。放这里是为了自己查看方便。同时,有需要的可以参考参考。官方文档BGP相关资料:华为:https://support.huawei.com/hedex/hdx.do?docid=EDOC1100101225&lang=zh&idPath=24030814|21782165|21782236|2...
python通过nmap扫描在线设备并尝试AAA登录 如果管理网络设备很多,不可能靠人力每天去登录设备去查看是否在线。所以,可以利用python脚本通过每天扫描网络中的在线设备。可以部署在服务器上做成定时任务,每天发送AAA巡检报告。下面是我写的一个python练手小程序。用来扫描一个网段中的在线主机,并尝试AAA去登录。统计一个大网段内可以成功aaa登录的主机。注意:该程序只是测试小程序,还有些小bug需要解决。不是通用的程序。主要提供一...
python通过xlrd读取Excel表格和Template批量生成配置 当需要配置的网络设备很多的时候,不可能都通过手动去配置。此时则需要利用脚本来批量生成配置。从而既保证了配置的准确性,也提高了配置的效率。可以利用python的xrld库来读取execl表格,利用String库的Template模板来配合批量生成配置。Template模板替换:主要利用Template的substitute(config)方法进行替换。substitute(mapping[,...
python网络自动化netconf配置模块ncclient学习笔记 ncclient介绍ncclient简介:ncclient是一个用于NETCONF客户端的Python库。它旨在体用一个直观的API,将NETCONF的XML编码特性映射到Python构造和习语,并使编写网络管理脚本更容易。其他主要功能有:支持RFC 4741中定义的所有操作和功能。管道请求。异步RPC请求。保持XML的方式,除非真正需要变更。扩展。可以轻松添加新的传输映射和功能...
Netconf协议学习笔记 Netconf简介网络配置协议NETCONF(Network Configuration Protocol)提供一套管理网络设备的机制,用户可以使用这套机制增加、修改、删除网络设备的配置,获取网络设备的配置和状态信息。通过NETCONF协议,网络设备可以提供规范的应用程序编程接口API(Application Programming Interface),应用程序可以直接使用这些API,向网络设...
IPy-IPv4和IPv6地址处理模块学习笔记 在日常网络规划中,会有很多关于IP地址的分配规划问题,如果是手动分配,在量很大的情况下,容易出错。而利用IPy这个python模块,可以很容易实现对iP地址的分配等操作。*IPy-用于处理IPv4和IPv6地址和网络的类和工具。
Kali基本扫描工具 Fping工具的使用fping简介:fping是一个小型命令行工具,用于向网络主机发送ICMP回应请求,类似于ping,但在ping多个主机时性能要高得多。fping完全不同于ping,因为可以在命令行上定义任意数量的主机,或者指定包含要ping的IP地址或主机列表的文件。与ping要等待某一主机连接超时或发回反馈信息不同,fping给一个主机发送完数据包后,马上给下一个主机发送数据包,实...
nmap扫描工具学习笔记 参考文档:2019.3_Kali man namp手册。Namp简介Namp概述:nmap - 网络探测工具和安全/端口扫描器Namp是一个综合性的工具,并且特性丰富的端口扫描工具。Nmap (“Network Mapper(网络映射器)”) 是一款开放源代码的 网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络,当然用它扫描单个 主机也没有问题。Nmap以新颖的方式使用原...
华为HCIE-Security考试心得 HCIE考试心得在此记录下我的HCIE成长之路。从2016年刚上大学对网络的一无所知,到2019-09-09一次通过HCIE-Security认证的一次记录与总结。也是对我一个阶段的一次学习总结。对HCIE的认识:因为从小对计算机技术的热爱,特别羡慕那电影里的电脑高手,对着屏幕,可以快速敲击键盘,来控制电脑做各种事情。 大学专业报考了网络工程。还记得从前一直对各种事情都充满了好奇。电话...
OS命令注入学习笔记 OS命令注入调用OS命令引起的安全隐患:Web开发所使用的编程语言中,大多数都能通过Shell执行OS(操作系统)命令。通过Shell执行OS命令时,或者开发中用到的某个方法其内部利用了Shell时,就有可能出现OS命令被任意执行的情况。这种现象被称为OS命令注入。安全隐患产生的原因:内部调用OS命令的函数以及系统调用(System Call)中,多数都通过Shell来启动命令。Shell...
文件处理相关问题 文件处理相关问题概述:在有些Web应用中,外界能够通过传入参数的形式来指定服务器中的文件名。比如由外界参数来指定模板文件的情况。这样的Web应用可能会招致以下攻击。非法访问Web服务器内的文件(目录遍历)调用OS命令(OS命令注入)目录遍历漏洞:Web应用中允许外界以参数的形式来指定服务器上的文件名时,如果没有对文件名进行充分的校验 ,就可能会造成意料之外的问题,比如文件被浏览、篡...
Cookie输出相关的安全隐患 Cookie输出相关问题Cookie的使用不当:Web应用中需要存储包含多个网页的信息时,一般会使用PHP或Servlet容器等提供的会话管理机制。通常情况下,会话管理机制仅将会话ID保存至Cookie,而将数据本身保存在Web服务器的内存或者文件、数据库中。如果在Cookie中保存了不该保存的数据,就有可能会产生安全隐患。不该保存在Cookie中的数据:**外界无法更改会话变量,而应用的...
重定向相关的安全隐患 重定向相关的安全隐患隐患来源:Web应用中有时会重定向至外界指定的URL。典型的案例为,在登录页面的参数中指定URL,登录成功后再重定向至该URL。比如:使用以下URL登录Googe后,就会重定向到continue=指定的URL(此处为Gmail)。https://www.goole.com/accounts/ServiceLogin?continue=https://mail.goole...
SQL注入学习笔记 SQL注入基础SQL注入介绍:SQL注入漏洞是由于SQL语句的调用方法不完善而产生的安全隐患。一旦应用中存在SQL注入漏洞,就可能造成如下影响。值得注意的是,以下影响中攻击者都能够直接对服务器实施主动攻击,而不需要用户参与。数据库内的信息全部被外界窃取数据库中的内容被篡改登录认证绕过(应用程序登录不需要用户名和密码)其他,例如服务器上的文件被读取或修改、服务器上的程序被执行等。S...
CSRF攻击学习笔记 CSRF攻击简介关键处理中引入的安全隐患:Web应用中,用户登录后执行的操作中有些处理一旦完成就无法撤销。比如用户使用信用卡支付、从用户的银行账号转账、发送邮件、更改密码或邮箱地址等都是关键处理的典型案例。关键处理中如果存在安全隐患,就会产生名为**跨站请求伪造(Cross-Site Request Forgeries,简称CSRF)**的漏洞。CSRF介绍:在执行关键处理前,需要确认该...
XSS基础学习笔记 XSS基础XSS概念:通常情况下,在Web应用的网页中,有些部分的显示内容会根据外届输入值而发生变化(会反弹恶意代码),而如果生成这些HTML的程序中存在问题,就会滋生名为跨站脚本(Cross-Site Scripting)的安全隐患。由于它和知名的CSS(层叠样式表)缩写冲突,所以经常缩写为XSS。XSS的风险:Web应用若存在XSS漏洞,就会有如下风险:用户的浏览器中运行攻击者的恶...
DSVNP基础原理 GRE over IPSec的缺陷GRE over IPSec的缺陷:图:企业典型的Hub-Spoke组网(配置DSVNP之前)如上图,如果一个公司又很多分支站点,采用GRE over IPSec的话会存在如下缺点:IPSec隧道集中在Hub点,所有流量都穿越Hub点。所有流量通过总部封装和解封装时,会引入额外的网络延时。每增加一个新的Sopke点,Hub点都必须被配置。若Spo...
Effient技术原理 VPN部署现状问题企业广泛部署VPN时的问题:总部不能集中管理VPN。每个分支需要配置IPSec VPN,工作量大,对维护人员有一定的技术要去。每一个分支需要重复配置:DNS域名、DNS服务器地址、WINS服务器地址等网络资源。ACL推送,设定了允许分支子网访问的总部子网范围需要重复配置分支设备升级。Efficient VPN简化企业VPN部署:总部集中管理VPN配置...
IPSec基本原理 IPSec简介为什么要实施?实施的最大动机是省钱。虚拟专用网络的分类:虚拟专用网分类方法很多。**站点到站点的虚拟专用网 **ATM,Rrame Relay, GRE, MPLS 虚拟专用网 , **IPSec 虚拟专用网 **。常用的是IPSec 虚拟专用网 。远程拨号虚拟专用网 。IPSec 虚拟专用网 , PPTP, L2TP + IPSec, **SSL 虚拟专用网 **。常用的是SSL 虚拟专用网。什么是IPSec?IPSec(Internet Protocol
L2TP基本原理 L2TP VPN简介L2TP基本概念:L2TP(Layer 2 Tunneling Protocol) VPN是一种用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。目的:L2TP VPN技术出现以后,使用L2TP VPN隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径。无论出差员工是通过传统拨号方式接入Int...
IPsec各种场景配置示例 IPSec VPN配置流程图:IPSec VPN配置流程图先配置IKE安全提议配置IKE对等体,调用IKE提议配置需要保护的感兴趣流配置IPSec 的安全提议配置IPSec策略在接口调用IPSec策略IPSEC VPN各场景配置示例采用IKEV1-主模式实验 : 图:IPsec VPN拓扑图配置思路:第一步: 阶段一协商IKE SA(ISAKMP SA) 1. ...
NAT穿越(NAT-T)原理 IPSec NAT 穿越简介IPSec NAT穿越的场景:本质上解决ESP协议无法提供转换端口,插入UDP 4500端口有以下两种场景,需要进行进行NAT穿越。场景一、FW既做IPSEC网关,又做NAT转换此种场景下,是当运营商给客户的动态分配的私网地址情况下,FW需要穿越运营商的nat。IPSEC网关与NAT在同一台设备 ,如果运营商给分配的是公网地址,需要做NAT旁路(NAT豁...
SSL技术原理 SSL详解建议直接看这:https://cshihong.github.io/2019/05/11/SSL-VPN%E6%8A%80%E6%9C%AF%E5%8E%9F%E7%90%86/SSL [虚拟专用网络]的技术主要用到了SSL技术。有关SSL具体技术,可以参考:SSL/TLS协议详解SSL [虚拟专用网络]简介SSL [虚拟专用网络]是以SSL协议为安全基础的[虚拟专用网络]远程接入技术,移动办公人员(在SSL [虚拟专用网络]中被称为远程用户)使用SSL [虚拟专用网络]可以安全
MPLS技术原理 BGP/MPLS IP简介BGP/MPLS IP [Virtual Private Network]是一种L3[Virtual Private Network](Layer 3 Virtual Private Network)。它使用BGP(Border Gateway Protocol)在服务提供商骨干网上发布[Virtual Private Network]路由,使用MPLS(Multiprotocol Label Switch)在服务提供商骨干网上转发[Virtual Private Network
【转载】如何成为优秀的网络安全工程师 转载至:https://blog.csdn.net/zhangnn5/article/details/6630254我2005年3月份来哈尔滨办事处从事技术工作。三年来,在日常工作学习中总结了一些经验与教训,拿来与大家分享。希望我的经验和教训能给大家今后工作带来帮助。合格工程师的N个基础素质网络安全工程师通常分为售前和售后两类。售前工程师主要负责用户交流、建议方案的设计以及投标书的撰...
IPS与IDS部署场景 IPS原理可参考:入侵防御IPS技术NIP介绍NIP简介:NIP是华为的IPS设备。NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离。您可以将每对接口对视作一台虚拟IPS设备或IDS设备,基于不同的接口对配置不同的应用安全策略,满足不同的安全防护需求。NIP的业务接口都工作在二层,能够不改变客户现有的网络拓扑结构,直接透明接入客户网络,...
防火墙双机热备升级步骤 防火墙上下VRRP双机热备在不中断业务的情况下升级设备过程:总体思路:在部署了双机热备的网络环境中升级软件版本,需要遵循主要原则是Active设备和Standby设备分别升级,先升级Standby设备,然后再升级Active设备,在升级过程中必须关闭HRP功能升级步骤:升级版本前的准备:检查当前版本软件,下载官方推荐版本镜像文件*.bin、补丁等。当前业务模拟测试、业务测试报告,...
Linux对大于2T的磁盘分区方法及创建逻辑卷LVM 在需要对一个4T的硬盘分区时,使用fdisk不能建立分区。原因是fdisk只能建立2TB大小的分区。如果大于2T需要采用GPT磁盘模式。下面介绍下MBR和GPT原理。MBR和GPT原理:MBR原理:主引导记录(MBR,Master Boot Record)是位于磁盘最前边的一段引导(Loader)代码。它负责磁盘操作系统(DOS)对磁盘进行读写时分区合法性的判别、分区引导信息的定位,它由...
IPSec之IKEv2协议详解 IKEv2简介IKEv2介绍:定义在RFC4306 ,更新与 RFC 5996.不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。支持NAT穿越。IKEv2支持私密性、完整性、源认证。工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。IKE的安全机制:身份认证确认通信算双方的身份(对等体的IP地址或者名称),包括:预共享密钥...
HTTP协议分析 HTTP简介HTTP(HyperText Transfer Protocol)即超文本传输协议,是一种详细规定了浏览器和万维网服务器之间互相通信的规则,它是万维网交换信息的基础,它允许将HTML(超文本标记语言)文档从Web服务器传送到Web浏览器。HTTP协议目前最新版的版本是1.1,HTTP是一种无状态的协议,无状态是指Web浏览器与Web服务器之间不需要建立持久的连接,这意味着当一个客户...
【转载】网络工程师行业的岗位认知 本文转载至:红茶三杯:网络工程师行业的岗位认知 http://ccietea.com1. 写在前面的话网络工程是一个发展非常迅速的行业,也是一个极具潜力的行业,行业的技术覆盖面广,涉及到的岗位也是多种多样的。根据企业或服务体系不同岗位更是多变,本文档由于篇幅和个人视野所限,无法做到面面俱到,仅将行业中常见的一些岗位做个描述,好让大家有个基本的认知。初入行业的在职人员或是大学生往往对一些...
应用行为控制技术 应用行为控制简介定义:FW的应用行为控制功能用来对用户的HTTP行为、FTP行为和IM行为进行精确的控制。与传统设备使用协议或端口号来控制HTTP和FTP协议不同,FW的应用行为控制功能可以对HTTP和FTP进行更精细的控制。例如,可以通过应用行为控制功能禁止FTP的文件上传和文件删除操作,但允许FTP文件下载操作。FW还支持对QQ登录行为进行控制。应用场景:应用行为控制常用于企业内部对...
邮件过滤技术 邮件过滤简介电子邮件的基本概念:电子邮件是一种通过网络提供信息交互的通信方式。完整的电子邮件一般包括邮件地址、主题、正文和附件。电子邮件的格式有:SMTP、POP3、MUA、MTA。MUA(Mail User Agent):电子邮件系统的构成之一,接受用户输入的各种指令,将用户的邮件发送至MTA或者通过POP3、IMAP协议将邮件从MTA取到本机。常见的MUA有Foxmail,Outl...
内容过滤技术 内容过滤简介定义:内容过滤是一种对通过FW的文件或应用的内容进行过滤的安全机制。通过业务感知技术识别流量中包含的内容,设备可以包含特定关键字的流量进行阻断或告警。作用:阻止机密信息的传播,降低公司机密泄漏的风险。降低因员工浏览、发布、传播敏感信息而给公司带来的法律风险。阻止员工浏览和搜索与工作无关的内容,保证工作效率。内容过滤原理通过深度识别流量中包含的内容,设备可以对包含特...
文件过滤技术 文件过滤简介定义:文件过滤是一种根据文件类型对文件进行过滤的安全机制。文件过滤功能可以降低机密信息泄露和病毒文件进入公司内部网络的风险,还可以阻止占用带宽和影响员工工作效率的文件传输。目的:机密信息和病毒往往存在于特定的文件类型中,例如机密信息一般保存在文档文件中,病毒信息一般附着在可执行文件中。因此文件过滤通过阻断特定类型文件的传输,可以降低机密信息泄露和内网感染病毒的风险。如果想进...
URL过滤技术 URL过滤简介URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。URL过滤还可以通过引用时间段或用户/组等配置项,实现针对不同时间段或不同用户/组的URL访问控制,达到更加精细化和准确化控制员工上网权限的需求。URL过滤功能只支持过滤HTTP或HTTPS协议的URL请求。需要过滤HTTPS协议的URL请求时,还需要配置URL过滤的加密流量过滤...
入侵防御(IPS)技术 入侵防御简介IPS定义:IPS(Intrusion Prevention System)入侵防御系统,是一种安全机制,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。入侵防御的优势:入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而...
反病毒技术 UTM简介UTM(Unified Threat Management)统一威胁管理。 2004年9月,IDC首度提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别。UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个...
SACG认证原理 SACG技术简介什么是SACG认证?SACG认证(华为私有):使用防火墙作为接入控制设备,对用户接入网络进行身份认证和安全检查。部署在数据中心或网络出口位置,方便维护。适用于大中型园区,网络环境复杂,对网络安全要求适中的场景。SACG是指设备通过在SACG认证系统中承担SACG的角色,协助SACG认证系统实现内网终端用户的安全控制。SACG准入,是Controller和和防火墙配合实现的用...
MAC认证和MAC旁路认证 MAC认证原理MAC认证是什么?MAC认证,是指终端网络接入控制设备自动获取终端的MAC地址,作为接入网络的凭证发到RADIUS服务器进行校验。MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。MAC...
Portal认证原理 Portal认证简介Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,只有认证通过后才可以使用网络资源。用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方...
802.1X(Dot1x)认证原理 802.1X(dot1x)技术简介802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。802.1X认证时采用了RADIUS协议的一种认证方式,典型的C/S结构,包括终端、RADIUS客户端和RADIUS服务器。802.1x简介:IEEE802 LAN/WAN委员...
RADIUS协议基础原理 RADIUS简介RADIUS概述:RADIUS(Remote Authentication Dial-In User Server,远程认证拨号用户服务)是一种分布式的、C/S架构的信息交互协议,能包含网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,...
AC敏捷控制器及准入控制技术对比 aAgile Controller介绍AC-Campus是做什么的:基于用户与应用的网络资源自动化控制系统,作为园区网络的集中化控制核心,全局控制园区网络的用户、业务与安全等策略。AC应用场景:传统园区有线无线一体化接入敏捷园区接入公共场所无线接入AC的功能特性:准入控制(接入管理)支持多种认证方式,可基于用户/用户组,接入时间,接入地点,接入终端,终端类型、接入方式等...
二层攻击防范技术 DHCP SnoopingDHCP原理:DHCP详细原理可参考:DHCP工作原理。DHCP ----C/S架构基于 UDP 67-----bootps ,服务端使用 68-----bootpc , 客户端使用工作原理:发现-----广播提供-----单播请求-----广播确认-----单播DHCP Snooping:可参...
单包攻击原理与防御 单包攻击简介在DDoS攻击中最常见的攻击便单包 。单包攻击防御是防火墙具备的最基本的的方法功能。单包攻击主要分为三类:扫描窥探攻击畸形报文攻击特殊报文攻击简要笔记:SUMRF攻击: 伪造ICMP EHCO-REQUEST,把源地址设置为被攻击服务器地址,目的地址设置受害者的广播地址LAND攻击:利用系统的BUG,自己跟自己建立大量的TCP的空连接,消耗资源。...
网络层(TCP/UDP)攻击与防御原理 应用层攻击 :HTTP、DNS、FTP等应用层攻击可参考:应用层(DNS/HTTP/HTTPS)攻击与防御原理网络层攻击防御网络层攻击防御主要分为以下三类:TCP类报文攻击防御UDP类报文攻击防御ICMP类报文攻击防御TCP类报文攻击防御TCP正常的交互过程:图:TCP正常交互过程在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。第...
应用层(DNS/HTTP/HTTPS)攻击与防御原理 网络层攻击:TCP、UDP类攻击网络层攻击可参考:网络层(TCP/UDP)攻击与防御原理DNS类报文攻击防御简要笔记:针对DNSAnti-ddos ,针对缓存服务器虚假源(1)源认证发送UDP 53的DNS请求 ---------------请用TCP 53的DNS请求分为两种情况客户端不支持TCP 53被动模式:首包丢弃服务端不支持TCP 53Anti-d...
DDoS攻击防范技术 网络攻击介绍可参考:网络攻击介绍Anti-DDoS防御体系介绍Anti-DDoS介绍:华为的Anti-DDoS是主要用来防范DDoS攻击。DDoS(Distributed Denial of Service)即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正...
网络攻击介绍 网络攻击介绍网络攻击简介:网络攻击(Cyberattack,也译为赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。于计算机和计算机网络中,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据,都会被视为于计算机和计算机网络中的攻击。网络攻击行为是企业网中重大安全隐患。应对不同的网络攻击行为有不同的防御方法和...
SSL协议原理详解 SSL 可参考:SSL技术原理SSL简介SSL和TLS:SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。1994年改版为SSLv2,1995年改版为SSLv3.TLS(Transport Layer Security)安全传输层协...
GRE over IPSec技术原理 GRE原理GRE简介:General Routing Encapsulation,简称GRE,是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel(隧道)。GRE报文封装:图:GRE报文格式其中:净荷(...
IPSec的高可靠性 IPSec高可靠性技术IPSec VPN高可靠性概述:IPSec隧道由网络设备和链路组成,设备故障或者链路故障都会导致IPSec隧道中断,存在单点故障。因此在设计IPSec VPN高可靠性时既要考虑保护链路,也需要考虑保护网络设备。IPSec高可靠性设计可以分为两类,一种是链路冗余,另一种是主备网络备份。其中链路冗余可以分为主备链路备份和隧道化链路备份。解决链路单点故障解决方案概述:多...
数字证书PKI原理 PKI基础架构密钥管理面临的挑战:在使用任何基于RSA服务之前 ,一个实体需要真实可靠的获取其他实体的公钥。通过非信任的通道,公钥交换必须是安全的。在密钥交换过程中,公钥必须不能够被截获和更改。交换呈现Full Mesh的复杂度。由最终用户来确认密钥有效性,非常不靠谱。PIK介绍:公钥基础设施PKI(Public Key Infrastructure),是通过使用公钥技术和数字...
IPSec之IKEv1协议详解 IKE简介安全联盟SA:定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的...
5G网络基础知识 5G挑战5G面临挑战分类:MBB(Mobile Broadband)数量流量雪崩式增长。移动设备通信所带来的流量增长。10年增长1000倍。MBB(Mobile Broadband)指移动宽带。联网设备数量巨大增长。2020年预计有1000亿的联网设备。应用场景和需求的多样性。设备与设备之间的通信,比如自动驾驶,车与车之间的通信。要求时延尽可能的小。 由于机器通信所带来...
防火墙虚拟系统 防火墙虚拟系统虚拟化技术:虚拟化技术主要分为两类,一类是一虚多,就是在一台物理机上虚拟出多台逻辑计算机。 另一类是多虚拟一:就是将多台物理机通过虚拟化技术虚拟为一台逻辑计算机。有关虚拟化技术可参考:Vmware虚拟化概念原理虚拟系统简介:虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。防火墙虚拟化就是将一个物理防火墙划分为多个虚拟系统。每一...
防火墙双机热备各种场景备配置示例 双机热备各场景应用主备备份和负载分担应用场景:主备备份和负载分担配置简介:配置流程:配置流程图:三大配置原则:在双机热备组网中,在配置其他业务之前必须在主备设备上先完成双机热备的所有配置,并保证双机状态正常。在主备组网中,关键业务在主设备上完成配置即可,备用设备可以同步主设备的配置命令,建议割接前对比主备设备配置文件,保证双机配置一致。在负载分担组网中,两个设备处于互为主备...
防火墙双机热备三大协议(VRRP-VGMP-HRP)原理 防火墙双机热备技术双机热备概述:为什么需要要双机热备?解决单点故障,实现业务的平滑过渡(会话表需要同步的)双机热备的两种部署方式:主备方式负载分担分时。防火墙双机热备产生的原因,详细内容可参考:防火墙双机热备技术三大协议框架:VRRP------虚拟路由冗余协议VGMP------VRRP组管理协议(华为私有)HRP--------华为冗余协议(华为私有)...
动态规划例题 动态规划算法简介:动态规划算法背包问题:有n个重量和价值分别为wi,vi的物品,从这些物品中挑选出总重量不超过W的物品,求所有挑选方案中价值总和的最大值。1≤n≤1001≤wi,vi≤1001≤W≤10000输入:n=4(w,v)={(2,3),(1,2),(3,4),(2,2)}W=5输出:7(选择第0,1,3号物品)因为对每个物品只有选和不选两种情况,所以这...
贪心策略算法例题 贪心算法简介:贪心算法硬币支付问题:有1元,5元,10元,50元,100元,500元的硬币各c1,c5,c10,c50,c100,c500枚.现在要用这些硬币来支付A元,最少需要多少枚硬币?假定本题至少存在一种支付方案.0≤ci≤10^90≤A≤10^9输入:第一行有六个数字,分别代表从小到大6种面值的硬币的个数第二行为A,代表需支付的A元样例:输入3 2 1 3...
2019年蓝桥杯省赛Java-B组 1.组队:作为篮球队教练,你需要从以下名单中选出1 号位至5 号位各一名球员,组成球队的首发阵容。每位球员担任1 号位至5 号位时的评分如下表所示。请你计算首发阵容1号位至5 号位的评分之和最大可能是多少?这是一道结果填空的题,你只需要算出结果后提交即可。本题的结果为一个整数,在提交答案时只填写这个整数,填写多余的内容将无法得分。解题思路:该题很简单。仔细找找就出来了。先找...
防火墙用户与认证 用户与认证用户是指访问网络资源的主提,表示“谁”在进行访问,是网络访问行为的重要标识。用户分类:上网用户内部网络中访问网络资源的主体,如企业总部的内部员工。上网用户可以直接通过FW访问网络资源。接入用户外部网络中访问网络资源的主体,如企业的分支机构员工和出差员工。接入用户需要先通过SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到FW,然后才能访问企业总...
DFS例题 深度优先遍历和广度优先遍历:可参考深度优先遍历和广度优先遍历数独游戏:你一定听说过“数独”游戏。如下图所示,玩家需要根据9×9盘面上的已知数字,推理出所有剩余空格的数字,并满足每一行、每一列、每一个同色九宫内的数字均含1-9,不重复。数独的答案都是唯一的,所以,多个解也称为无解。本图的数字据说是芬兰数学家花了3个月的时间设计出来的较难的题目。但对会使用计算机编程的你来说,恐怕...
防火墙NAT技术 防火墙NAT技术简介NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。NAT类型...
防火墙报文转发流程 防火墙的转发流程以会话为中心,分别分析会话前、会话中、会话后的转发流程。下一代防火墙:下一代防火墙通过应用与内容的深度检测,提供更加完善的网络安全防护。FW提供了先进的“一次扫描”和“实时检测”机制。“一次扫描”机制是指FW通过专业的智能感知引擎,只需对报文进行一次扫描,就可以提取所有内容安全功能所需的数据,识别出流量的应用类型、包含的内容与可能存在的网络危险。即使开启所有内容安全功能...
防火墙工作原理和详解会话表 防火墙工作原理防火墙工作原理:本质上是查看会话表。报文到达防火墙,先查看是否会有会话表匹配。如果有会话表匹配,则匹配会话表转发。如果没有匹配会话表,看是否能够创建会话表。前提是必须是首包才能创建会话表。A.先匹配路由表。B.再匹配安全策略。TCP: SYN ---------首包 SYN+ACK ACKICMP echo-re...
算法练习之数学问题 题目:巧用进制,天平称重用天平称重时,我们希望用尽可能少的砝码组和出尽可能多的重量。如果有无限个砝码,但他们的重量分别是1,3,9,27,81,······等3的指数幂。神奇之处在于用他们的组和可以称出任意整数重量(砝码允许放在左右两个盘子中)。本题目要求编程实现:对用户给定的重量,给出砝码组和方案,重量<100000.例如:用户输如:5程序输出: 9 -3-1解题思路:利...
字符串专题算法练习 题目:判断字符串有无重复字符判断一个字符串中是否有重复的字符。假设都是ASCII字符。java代码示例:public class 串内有无重复字符串 { public static void main(String[] args) { String s1 = "abcdsefg"; String s2 = "adfasfad"; System.out.println(ch...
排序算法案例 题目:调整数组顺序使奇数位于偶数前面输入一个整数数组,调整数组中数字的顺序,使得所有奇数位于数组的前班部分,所有偶数位于数组的后半部分。要求时间复杂度为O(n)。解题思想:方案1: 归并排序的思想。利用辅助空间进行排序,判断每个数,如果是奇数放入数组的左边,如果是偶数从右边开始放。方案2:快速排序的思想。不需要辅助空间,利用两个指针,从最左边和最右边的数判断,如果左指针指向的数为偶...
10种排序算法的对比分析 10种排序算法对比分析冒泡排序:效率太低,通过冒泡可以掌握swap。选择排序:效率较低,但经常使用它内部的循环方式来找最大值和最小值。插入排序:虽然平均效率低,但在序列基本有序时,它很快,所以也有其适用范围。希尔排序:是插入排序的改良,对空间思维训练有帮助。快速排序:快排是软件工业中最常见的常规排序法,其双向指针扫描和分区算法是核心。往往用于解决类似问题,特别地partiti...
常见排序算法2 冒泡排序,插入排序,选择排序,快速排序,希尔排序,归并排序等可参考: 排序算法(1)快速排序优化及分区扫描法:该篇文章主要记录了堆排序,计数排序,桶排序,基数排序等。堆排序堆排序的概念:堆排序(英语:Heapsort)是指利用堆这种数据结构所设计的一种排序算法。堆是一个近似完全二叉树的结构,并同时满足堆积的性质:即子结点的键值或索引总是小于(或者大于)它的父节点。(百度百科)...
快速排序优化及扫描分区法 快速排序扫描分区法:通过单向扫描,双向扫描,以及三指针分区分别实现快速排序算法。着重体现分区的思想。一遍单向扫描法:思路:一遍扫描法的思路是,用两个指针将数组划分为三个区间,扫描指针(scan_pos)左边是确认小于等于主元的,扫描指针到某个指针(next_bigger_pos)中间为未知的,因此我们将第二个指针(next_bigger_pos)成为位未知区间末指针,末指针的右边区间为...
多维数组和矩阵程序练习 顺时针打印二维数组:题目:顺时针打印二维数组。例如:将如下数组:{{1, 2, 3, 4},{5, 6, 7, 8},{9, 10, 11, 12},{13, 14, 15, 16}}输出为:1 2 3 4 8 12 16 15 14 13 9 5 6 7 11 10思路:可以先一圈一圈的打印。先打印外圈,再缩小边界范围循环打印内圈即可。打印的时候注意控制边界。代码...
递归与循环 递归与循环:理论上,任何循环都可以重写为递归形式。有时候,为栈限制,需要“尾递归”。java不支持尾递归。有些语言没有循环语句,只能使用递归。循环改递归:改为递归的关键是发现逻辑的“相似性”。不要忘记递归的“出口”。构造相似性:如果没有明显的相似性,需要主动构造。不能相似的原因很可能是缺少参数。递归与数学上的递推公式类似。递归调用:递归调用紧紧是被函数恰为的函数...
Python获取Cookie时遇到重定向的情况 问题描述和解决:在模拟登录教务处的时候,需要通过获取cookie来进行后面一系列操作。但是刚开始,python模拟登录一直失败,提示的没权限。通过网页抓包分析,最后看到每次输入地址进行登录时候,会发生302重定向,重定向后的地址和原来一样,但是会在地址后面传入一段随机值。通过Burpsuite抓包查看每次登录请求头部信息,提交的Cookie有两个字段。在以前的时候一直是 :Cookie: ...
Python实现爬取教务处成绩系统 Python查询教务处成绩系统简介项目简介:该项目是利用tornado框架写的,程序运行后,可以在浏览器输入地址进行访问网站,可以实现输入账号密码后查询成绩。以及可以进行评教。项目工程文件目录: 图:项目工程文件图:网页文件程序功能和效果图如下:登录界面:登录界面要求输入账号密码,如果账号密码不正确,都会提示错误。图:登录界面菜单界面:菜单界面,实现的...
位运算的奇巧淫技 位运算简介位运算简介: 程序中的所有数在计算机内存中都是以二进制的形式储存的。位运算就是直接对整数在内存中的二进制位进行操作。比如,and运算本来是一个逻辑运算符,但整数与整数之间也可以进行and运算。举个例子,6的二进制是110,11的二进制是1011,那么6 and 11的结果就是2,它是二进制对应位进行逻辑运算的结果(0表示False,1表示True,空位都当0处理)。位运算的特点:...
回溯算法 基本概念:回溯算法(back tracking)实际上一个类似枚举的搜索尝试过程,主要是在搜索尝试过程中寻找问题的解,当发现已不满足求解条件时,就“回溯”返回,尝试别的路径。回溯法是一种选优搜索法,按选优条件向前搜索,以达到目标。但当探索到某一步时,发现原先选择并不优或达不到目标,就退回一步重新选择,这种走不通就退回再走的技术为回溯法,而满足回溯条件的某个状态的点称为“回溯点”。 ...
1250阅读
0评论
6点赞
1250阅读 0评论 6点赞 1250阅读 0评论 6点赞 