深信服(SCSA)认证学习—基础知识点二

深信服(SCSA)认证学习—基础知识点二综述经过一周的实践教学学习,总体来讲深信服的scsa认证还是不难(理论基本上上都是基础知识),对于实验来讲呢,技术做的越多,熟练度也就越好,也就能更快的做出题目来。这次我主要还是讲讲深信服的理论知识。五元组:源IP地址,源端口,目的IP地址,目的端口和传输层协议mail.qq.comfqdnfulldomainname//顶级域名qq.comdomainname邮件传输协议:SMTP(25端口)、POP3(110端口)、IMAP4http:通一资源标志符(UniformRe

大家好,又见面了,我是你们的朋友全栈君。

综述

经过一周的实践教学学习,总体来讲深信服的scsa认证还是不难(理论基本上上都是基础知识),对于实验来讲呢,技术做的越多,熟练度也就越好,也就能更快的做出题目来。这次我主要还是讲讲深信服的理论知识。

五元组:源IP地址,源端口,目的IP地址,目的端口和传输层协议
mail.qq.com fqdn full domain name //顶级域名
qq.com domain name
邮件传输协议:SMTP(25端口)、POP3(110端口)、IMAP4
http:
通一资源标志符(Uniform Resource Identifier,uri)
通一资源定位符 (url)
状态码:
3XX:重新定向
4XX:客户端错误
5XX:服务器端错误
user-agent 浏览器标识(操作系统等
server:响应头包含处理请求的原始服务器的软件信息
referer:跳转前面的一个网站
location:重新定向
cookie:类型为“小型文本文件”,是某些网站为了辨别用户身份
进行Session跟踪而储存在用户本地终端上的数据(通常经过加密)
由用户客户端计算机暂时或永久保存的信息
ssl:
与应用层无关
加密算法

1.单向加密算法(散列算法,摘要算法)md5,sha1 sah128 sha512
保证数据的完整性
2.对称加密:加密密码=解密密码 des (保证数据的机密性)
3.非对称加密:加密密码!=解密密码 机密性,签名 加密速度慢

ssl协议是一个分层协议
ssl的身份认证
可选
linux操作系统
power on—>cmos(bois/uefi boot)
—>mbr(mbr)|gpt—->gurp2.0—>kernel(内核)+inintamfs.img—>init
|systemd+network+bash+gun
深信服科技:
ips:入侵防御系统
ids:入侵检测系统
协议栈的脆弱性
icmp:internet消息控制协议
CDN分流
信息安全的五要素:
保密 完整 可用 可控 不可否认性
企业信息安全建设规划目标:
风险可视化,防御主动化,运行自动化,安全智能化
传统安全方案痛点:产品堆叠为主 边界防护为主 被动防守为主
深信服APDRO智安全架构
上网行为可视:用户可视 流量应用可视 内容可视
上网行为可控:工作效率提升 流量可视可控 规避法律法规
模拟试卷:
DNS协议运行在UDP协议之上,使用端口号53。
在传输层TCP提供端到端可靠的服务,在UDP端提供尽力交付的服务。
其控制端口作用于UDP端口53。

VPN简介:
虚拟私有网:依靠ISP或者其他NSP在公用网络基础
基于1internet远程访问的VPN
按照网络层次分类:
应用层:ssl vpn
传输层:sangfor VPN
网络层:IPSec GRE
网络接口层:L2F/L2TP PPTP
day04
隧道技术:在对道德两端通过封装技术在公网上建立一条数据
通道
隧道协议:GRE(网络层)L2TP IPSec snagforVPN
SSL VPN (应用层)
加密技术:RSA是一个变长密钥的公共密钥算法
PKI就是利用公钥理论和技术建立的提供安全服务的基础设施
PKI是创建,颁发,管理,注销公钥证书所涉及到的所有软件
硬件的集合体。
CA证书介绍

IPSec协议族(网络层)
IPSec:是一组基于网络层的,应用密码学的安全通信协议族
IkE协商
工作模式:传输模式 隧道模式
两个通信保护协议:鉴别头(AH) 封装安全载荷(ESP)
IKE密钥交换管理:主动模式 野蛮模式
数据库:安全策略数据库(SPD)安全关联数据库(SAD)
解释域(DOI)

AH:连接数据完整性 数据源认证 抗重放服务
可以保护数据包头部

ESP:保密服务通过使用密码算法加密IP数据包的相关部分来实现
使用对称算法加密,使用MD5和sha1来实现数据完整性认证
ESP是传输模式
防重放方式:序列号和加时间戳
ESP(端口号50)在传输模式下保证数据的完整性校验,不保证头部
AH(端口号51)数据完整性支持 不支持数据加密解密
AH 不支持地址转换,ESP支持地址转换
IPSec 建立阶段
SA:安全参数索引 目的IP 安全协议号
IKE为IPSec协商生成密钥,供AH/ESP加解密和验证使用
主动模式:(安全性较高 速度较慢)
SA交换,密钥交换(DH),AD交换及验证(这两个包是加密的)
共6个包
野蛮模式:(安全性较低,消息交互速度快)
1.第一个交互包发起方建议SA,发起DH交换(明文)(五元组包)
2.第二个交互包接受方接受SA(明文)
3.第三个交互包发起方认证接收方(加密)
标准IPSEC VPN建立过程
加密算法 HASH算法 安全协议 封装模式() 存活时间
第二阶段:只有一种信息交换模式—快速模式 它定义了保护数据连接是如何在两个ipsec
对等体之间构成的
快速模式有两个主要的功能:
1.协商安全参数来保护数据连接
2.周期性的对数据连接更新密钥信息
数据传输阶段:
IKE规定的源和目的端口都是UDP 500。
DPD:死亡对等检测,检测对端的ISAKMP SA是否存在。当
VPN隧道异常的时候,能检测并可以重新发起协商,并维护VPN隧道
DPD包不是连续发送,而是采用空闲计时器机制
IPSEC VPN 应用场景(深信服)
遇到问题讲述 遇到nat时只能使用野蛮模式不可以使用主动模式
AH的传输模式和隧道模式都不可以用(nat中)
ESP的传输模式不可以用,隧道模式可以传输(nat)

NAT—T技术:可以允许源端口为非UDP 500端口,使用
目的端口是UDP4500端口

考题:AH 和ESP区别 数字证书

sangfor VPN
隧道间路由,分支用户通过总部上网,实现总部的统一管理

AC(上网行为管理)
默认出厂IP:eth0(lan)10.251.251.251/24
eh1(DMZ)10.252.252.252.252/24
使用一根交叉线
保留IP:128.127.125.252/29
上网行为部署解决方案:
网桥模式不可以使用VPN nat
路由模式可以实现设备的所有功能
端口映射nat
SNMP是基于TCP/IP协议族的网络管理标准
MIB:任何一个被管理的资源都表示成一个对象
称为被管理的对象
SNMP端口为UDP161
如果设备无法获取到交换机的arp表,应该如何排查?
1.检查设备与交换机是否通讯正常
2.检查交换机的配置(是否允许AC访问其SNMP服务器)
ACL和团体名
密码认证实战分析
外部认证服务:
LDAP认证
RADIUS认证
POP3认证

应用控制技术:

ALG:应用层网关检测技术
深度包识别技术

AD域的连接端口为389

以上就是我简单总结了一下,怎么样还是很简单塞,下周我还会更新里面的个别要点,主要的考点以及一些题型,其实知识也不是很多。要考深信服的同学可以多看看课件哦。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/151423.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(1)


相关推荐

  • MySQL 5.7.27详细下载安装配置教程

    MySQL 5.7.27详细下载安装配置教程本文详细介绍了Win10下MySQL5.7.27的安装及配置步骤,也列举出了一些常见的问题及解决方案

  • 欧拉函数最全总结

    欧拉函数最全总结文章目录欧拉函数的内容一、欧拉函数的引入二、欧拉函数的定义三、欧拉函数的性质四、欧拉函数的计算方法(一)素数分解法(二)编程思维1.求n以内的所有素数2.求φ(n)3.格式化输出0-100欧拉函数表(“x?”代表十位数,“x”代表个位数)五、欧拉函数相关定理以及证明(一)定理1:缩系与欧拉函数的关系(二)定理2:缩系的充要条件(三)定理3:缩系拓展1.简单证明:(a,m)=1,(x,m)=1,故(ax,m)=1。(四)定理4:设m>1,(a,m)=1,则aφ(m)≡1(modm).1.**若ac≡bc

  • mysql查询每个用户的第一条记录_mysql怎么创建用户

    mysql查询每个用户的第一条记录_mysql怎么创建用户数据库记录:MYSQL查询不同用户最新的一条记录方法1:查询出结果后将时间排序后取第一条(只能取到一条,并且不能查询不同客户的记录)SELECTCUSTOMER_ID,CONTENT,MODIFY_TIMEFROM`service_records`ORDERBYMODIFY_TIMEDESCLIMIT1;查询结果:方法2:查询排序后groupby(先按照MODIFY_TI…

  • 中国银行笔试题目回忆录_中国银行好考吗

    中国银行笔试题目回忆录_中国银行好考吗亲,戳上面的蓝字关注我们哦!中国银行笔试回忆题目昨天刚考完的中国银行笔试题目,趁着头脑还比较清醒先在这里记录一下吧,我选的是中国银行的信息技术岗位。我是提前就进了考场,中国银行考场还是比较好的,还

  • cmd命令ping不是内部或外部命令_ping命令次数

    cmd命令ping不是内部或外部命令_ping命令次数介绍ping命令是一个用来测试能不能与另一台主机交换数据包的命令,通常我们会用ping命令测试域名可达性。1.语法:ping+ip(v4)或者域名实例一:通过ping百度域名,以此来看网络是否正常连接@echooffpingwww.baidu.com>nuliferrorlevel0(echo网络连接正常)elseecho网络连接异常pauseexit2.参数,可调出cmd窗口输入ping/?列出具体的参数介绍几个常用的参数:1.ping/t一直ping一

  • ftp免费下载工具,4个好用的ftp免费下载工具

    ftp免费下载工具,4个好用的ftp免费下载工具ftp免费下载工具主要是网络上用来传送文件的工具。但有些ftp免费下载工具传输文件不是特别稳定。今天就来为大家分享4款站长们都爱用的ftp免费下载工具。第一款:IIS7服务器管理工具这款软件的Ftp客户端做的是非常棒的,不仅具有批量操作功能,还具有定时同步(上传和下载)和自动更新功能。这些功能真的是我超爱的功能,做事效率提高了不止一星半点。而且特别容易上手,一般的软件都还需要熟悉一下,这个就是很快的能开始运用。好处很多,需要用户慢慢去体会。有的东西是只能亲身体验过后才知道的。IIS7服务器管理工具所包

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号