經過一周的實踐教學學習,總體來講深信服的scsa認證還是不難(理論基本上上都是基礎知識),對於實驗來講呢,技術做的越多,熟練度也就越好,也就能更快的做出題目來。這次我主要還是講講深信服的理論知識。
五元組:源ip位址,源埠,目的ip位址,目的埠和傳輸層協議
mail.qq.com fqdn full domain name //頂級網域名稱
qq.com domain name
郵件傳輸協議:smtp(25埠)、pop3(110埠)、imap4
通一資源標誌符(uniform resource identifier,uri)
通一資源定位符 (url)
狀態碼:
3xx:重新定向
4xx:客戶端錯誤
5xx:伺服器端錯誤
user-agent 瀏覽器標識(作業系統等
server:響應頭包含處理請求的原始伺服器的軟體資訊
referer:跳轉前面的乙個**
location:重新定向
cookie:型別為「小型文字檔案」,是某些**為了辨別使用者身份
進行session跟蹤而儲存在使用者本地終端上的資料(通常經過加密)
由使用者客戶端計算機暫時或永久儲存的資訊
ssl:
與應用層無關
加密演算法
1.單向加密演算法(雜湊演算法,摘要演算法)md5,sha1 sah128 sha512
保證資料的完整性
2.對稱加密:加密密碼=解密密碼 des (保證資料的機密性)
3.非對稱加密:加密密碼!=解密密碼 機密性,簽名 加密速度慢
ssl協議是乙個分層協議
ssl的身份認證
可選linux作業系統
power on—>cmos(bois/uefi boot)
—>mbr(mbr)|gpt---->gurp2.0—>kernel(核心)+inintamfs.img—>init
|systemd+network+bash+gun
深信服科技:
ips:入侵防禦系統
ids:入侵檢測系統
協議棧的脆弱性
icmp:internet訊息控制協議
cdn分流
資訊保安的五要素:
保密 完整 可用 可控 不可否認性
企業資訊保安建設規劃目標:
風險視覺化,防禦主動化,執行自動化,安全智慧型化
傳統安全方案痛點:產品堆疊為主 邊界防護為主 被動防守為主
深信服apdro智安全架構
上網行為可視:使用者可視 流量應用可視 內容可視
上網行為可控:工作效率提公升 流量可視可控 規避法律法規
模擬試卷:
dns協議執行在udp協議之上,使用埠號53。
在傳輸層tcp提供端到端可靠的服務,在udp端提供盡力交付的服務。
其控制埠作用於udp埠53。
vpn簡介:
虛擬私有網:依靠isp或者其他nsp在公用網路基礎
基於1internet遠端訪問的vpn
按照網路層次分類:
應用層:ssl vpn
傳輸層:sangfor vpn
網路層:ipsec gre
網路介面層:l2f/l2tp pptp
day04
隧道技術:在對道德兩端通過封裝技術在公網上建立一條資料
通道隧道協議:gre(網路層)l2tp ipsec snagforvpn
ssl vpn (應用層)
加密技術:rsa是乙個變長金鑰的公共金鑰演算法
pki就是利用公鑰理論和技術建立的提供安全服務的基礎設施
pki是建立,頒發,管理,登出公鑰證書所涉及到的所有軟體
硬體的集合體。
ca證書介紹
ipsec協議族(網路層)
ipsec:是一組基於網路層的,應用密碼學的安全通訊協議族
ike協商
工作模式:傳輸模式 隧道模式
兩個通訊保護協議:鑑別頭(ah) 封裝安全載荷(esp)
ike金鑰交換管理:主動模式 野蠻模式
資料庫:安全策略資料庫(spd)安全關聯資料庫(sad)
解釋域(doi)
ah:連線資料完整性 資料來源認證 抗重放服務
可以保護資料報頭部
esp:保密服務通過使用密碼演算法加密ip資料報的相關部分來實現
使用對稱演算法加密,使用md5和sha1來實現資料完整性認證
esp是傳輸模式
防重放方式:序列號和加時間戳
esp(埠號50)在傳輸模式下保證資料的完整性校驗,不保證頭部
ah(埠號51)資料完整性支援 不支援資料加密解密
ah 不支援位址轉換,esp支援位址轉換
ipsec 建立階段
sa:安全引數索引 目的ip 安全協議號
ike為ipsec協商生成金鑰,供ah/esp加解密和驗證使用
主動模式:(安全性較高 速度較慢)
sa交換,金鑰交換(dh),ad交換及驗證(這兩個包是加密的)
共6個包
野蠻模式:(安全性較低,訊息互動速度快)
1.第乙個互動包發起方建議sa,發起dh交換(明文)(五元組包)
2.第二個互動包接受方接受sa(明文)
3.第三個互動包發起方認證接收方(加密)
標準ipsec vpn建立過程
加密演算法 hash演算法 安全協議 封裝模式() 存活時間
第二階段:只有一種資訊交換模式—快速模式 它定義了保護資料連線是如何在兩個ipsec
對等體之間構成的
快速模式有兩個主要的功能:
1.協商安全引數來保護資料連線
2.週期性的對資料連線更新金鑰資訊
資料傳輸階段:
ike規定的源和目的埠都是udp 500。
dpd:死亡對等檢測,檢測對端的isakmp sa是否存在。當
vpn隧道異常的時候,能檢測並可以重新發起協商,並維護vpn隧道
dpd包不是連續傳送,而是採用空閒計時器機制
ipsec vpn 應用場景(深信服)
遇到問題講述 遇到nat時只能使用野蠻模式不可以使用主動模式
ah的傳輸模式和隧道模式都不可以用(nat中)
esp的傳輸模式不可以用,隧道模式可以傳輸(nat)
nat—t技術:可以允許源埠為非udp 500埠,使用
目的埠是udp4500埠
考題:ah 和esp區別 數字證書
sangfor vpn
隧道間路由,分支使用者通過總部上網,實現總部的統一管理
應用控制技術:
alg:應用層閘道器檢測技術
深度包識別技術
ad域的連線埠為389
以上就是我簡單總結了一下,怎麼樣還是很簡單塞,下週我還會更新裡面的個別要點,主要的考點以及一些題型,其實知識也不是很多。要考深信服的同學可以多看看課件哦。
基礎知識學習
format 字串格式化的一種方式 10月 日 format 1 10月 日 format 1,2,3 10月 日 format 月 日 format 1,2,3 月 日 format 1 一 列表推導式 幫助快速的生成包含一堆資料的列表 i 10 for i in range 10 10 11,1...
CPU卡基礎知識及認證方法
第一部分 cpu基礎知識 一 為什麼用cpu卡 ic卡從介面方式上分,可以分為接觸式ic卡 非接觸式ic卡及復合卡。從器件技術上分,可分為非加密儲存卡 加密儲存卡及cpu卡。非加密卡沒有安全性,可以任意改寫卡內的資料,加密儲存卡在普通儲存卡的基礎上加了邏輯加密電路,成了加密儲存卡。邏輯加密儲存卡由於...
QT學習 基礎知識
qt把它所支援的平台分兩級,第一級是重點支援的,第二級次之 第一級平台 platform compilers linux 32 and 64 bit gcc 4.2 microsoft windows xp gcc 4.4 mingw 32 bit msvc 2003,2005 32 and 64 ...