深信服(SCSA)认证学习—基础知识点二

大家好，又见面了，我是你们的朋友全栈君。

综述

经过一周的实践教学学习，总体来讲深信服的scsa认证还是不难（理论基本上上都是基础知识），对于实验来讲呢，技术做的越多，熟练度也就越好，也就能更快的做出题目来。这次我主要还是讲讲深信服的理论知识。

五元组：源IP地址，源端口，目的IP地址，目的端口和传输层协议
mail.qq.com fqdn full domain name //顶级域名
qq.com domain name
邮件传输协议：SMTP（25端口）、POP3（110端口）、IMAP4
http：
通一资源标志符(Uniform Resource Identifier,uri）
通一资源定位符（url）
状态码：
3XX：重新定向
4XX：客户端错误
5XX：服务器端错误
user-agent 浏览器标识(操作系统等
server：响应头包含处理请求的原始服务器的软件信息
referer：跳转前面的一个网站
location：重新定向
cookie：类型为“小型文本文件”，是某些网站为了辨别用户身份
进行Session跟踪而储存在用户本地终端上的数据（通常经过加密）
由用户客户端计算机暂时或永久保存的信息
ssl：
与应用层无关
加密算法

1.单向加密算法（散列算法，摘要算法）md5,sha1 sah128 sha512
保证数据的完整性
2.对称加密：加密密码=解密密码 des （保证数据的机密性）
3.非对称加密：加密密码！=解密密码机密性，签名加密速度慢

ssl协议是一个分层协议
ssl的身份认证
可选
linux操作系统
power on—>cmos(bois/uefi boot)
—>mbr(mbr)|gpt—->gurp2.0—>kernel(内核)+inintamfs.img—>init
|systemd+network+bash+gun
深信服科技：
ips：入侵防御系统
ids：入侵检测系统
协议栈的脆弱性
icmp：internet消息控制协议
CDN分流
信息安全的五要素：
保密完整可用可控不可否认性
企业信息安全建设规划目标：
风险可视化，防御主动化，运行自动化，安全智能化
传统安全方案痛点：产品堆叠为主边界防护为主被动防守为主
深信服APDRO智安全架构
上网行为可视:用户可视流量应用可视内容可视
上网行为可控：工作效率提升流量可视可控规避法律法规
模拟试卷：
DNS协议运行在UDP协议之上，使用端口号53。
在传输层TCP提供端到端可靠的服务,在UDP端提供尽力交付的服务。
其控制端口作用于UDP端口53。

VPN简介：
虚拟私有网：依靠ISP或者其他NSP在公用网络基础
基于1internet远程访问的VPN
按照网络层次分类：
应用层：ssl vpn
传输层：sangfor VPN
网络层：IPSec GRE
网络接口层：L2F/L2TP PPTP
day04
隧道技术：在对道德两端通过封装技术在公网上建立一条数据
通道
隧道协议：GRE（网络层）L2TP IPSec snagforVPN
SSL VPN （应用层）
加密技术：RSA是一个变长密钥的公共密钥算法
PKI就是利用公钥理论和技术建立的提供安全服务的基础设施
PKI是创建，颁发，管理，注销公钥证书所涉及到的所有软件
硬件的集合体。
CA证书介绍

IPSec协议族（网络层）
IPSec：是一组基于网络层的，应用密码学的安全通信协议族
IkE协商
工作模式：传输模式隧道模式
两个通信保护协议：鉴别头（AH）封装安全载荷（ESP）
IKE密钥交换管理：主动模式野蛮模式
数据库：安全策略数据库（SPD）安全关联数据库（SAD）
解释域（DOI）

AH：连接数据完整性数据源认证抗重放服务
可以保护数据包头部

ESP：保密服务通过使用密码算法加密IP数据包的相关部分来实现
使用对称算法加密，使用MD5和sha1来实现数据完整性认证
ESP是传输模式
防重放方式：序列号和加时间戳
ESP（端口号50）在传输模式下保证数据的完整性校验，不保证头部
AH（端口号51）数据完整性支持不支持数据加密解密
AH 不支持地址转换，ESP支持地址转换
IPSec 建立阶段
SA：安全参数索引目的IP 安全协议号
IKE为IPSec协商生成密钥，供AH/ESP加解密和验证使用
主动模式：（安全性较高速度较慢）
SA交换，密钥交换（DH），AD交换及验证（这两个包是加密的）
共6个包
野蛮模式：（安全性较低，消息交互速度快）
1.第一个交互包发起方建议SA，发起DH交换（明文）（五元组包）
2.第二个交互包接受方接受SA（明文）
3.第三个交互包发起方认证接收方（加密）
标准IPSEC VPN建立过程
加密算法 HASH算法安全协议封装模式（）存活时间
第二阶段：只有一种信息交换模式—快速模式它定义了保护数据连接是如何在两个ipsec
对等体之间构成的
快速模式有两个主要的功能：
1.协商安全参数来保护数据连接
2.周期性的对数据连接更新密钥信息
数据传输阶段：
IKE规定的源和目的端口都是UDP 500。
DPD：死亡对等检测，检测对端的ISAKMP SA是否存在。当
VPN隧道异常的时候，能检测并可以重新发起协商，并维护VPN隧道
DPD包不是连续发送，而是采用空闲计时器机制
IPSEC VPN 应用场景（深信服）
遇到问题讲述遇到nat时只能使用野蛮模式不可以使用主动模式
AH的传输模式和隧道模式都不可以用（nat中）
ESP的传输模式不可以用，隧道模式可以传输（nat）

NAT—T技术：可以允许源端口为非UDP 500端口，使用
目的端口是UDP4500端口

考题：AH 和ESP区别数字证书

sangfor VPN
隧道间路由，分支用户通过总部上网，实现总部的统一管理

AC（上网行为管理）
默认出厂IP：eth0（lan）10.251.251.251/24
eh1（DMZ）10.252.252.252.252/24
使用一根交叉线
保留IP：128.127.125.252/29
上网行为部署解决方案：
网桥模式不可以使用VPN nat
路由模式可以实现设备的所有功能
端口映射nat
SNMP是基于TCP/IP协议族的网络管理标准
MIB：任何一个被管理的资源都表示成一个对象
称为被管理的对象
SNMP端口为UDP161
如果设备无法获取到交换机的arp表，应该如何排查？
1.检查设备与交换机是否通讯正常
2.检查交换机的配置（是否允许AC访问其SNMP服务器）
ACL和团体名
密码认证实战分析
外部认证服务：
LDAP认证
RADIUS认证
POP3认证