- 博客(125)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 新时代的防火墙,拥抱零信任,一个很新的词“零信任”
零信任是指在HiSec零信任安全解决方案中,设备作为可信网关,通过切换不同的可信网关模式,与零信任代理服务、环境感知代理服务、SDP(Software Defined Perimeter,软件定义边界)控制器等各组件对接,实现对终端用户访问业务应用的动态访问控制(其实从更简单的层面来讲,就是打破原始的方式需要对用户的权限手工赋予,在“Ai人工智能”发达的时代”,很显然这已经跟不上“时代的发展”了,那么我们需要开发一个新时代的产物“零信任”来解决这个问题,实现对终端用户访问动态控制)
2024-04-07 23:54:05
235
原创 FIN和RST的区别,几种TCP连接出现RST的情况
1.安装了某安全软件,比如socket,设置RST超时的时间为100ms,但是抓包发现,从发到收花的时间超过了100ms,那么主机就会认为这个包超时了,就会发送RST包拒绝此连接。还有一种场景我也见过,公网的场景,客户端向服务端发起请求,但是这时候有冒充服务端来回包给我的客户端,但是因为ACK的值没能对上所以发送了RST包给狠狠地拒绝了。2.还有一种是服务器性能瓶颈,服务器处理不来发送过来的请求,然后就发送RST包莫名的不想理你,不想跟你建立连接,这个场景也见过。ping没有出现丢包。
2024-04-07 23:51:12
345
原创 思科华为查看命令----网络工程师巡检用他就够啦
显示设备的温度、电源和风扇状态的具体信息(可以看到模快是否正常输出,比如说电源模快识别到了,但是能否正常的输出电流): 显示设备的硬件清单,包括模块、接口、序列号等(接口模块的型号以及序列号,最直接的判断是查看模块有没有识别到)命令用来查看设备CPU占用率的统计信息。命令用来查看设备CPU占用率的配置信息。命令用来查看设备的部件类型及状态信息。命令用来查看设备接口上的光模块信息。命令用来查看设备的内存占用率信息。命令用来查看设备的内存占用率信息。命令用来查看设备的兼容信息。命令用来查看设备的温度信息。
2024-03-18 15:31:17
823
原创 电源配置详情
S5720I-28X-PWH-SI-AC设备的电源配置方式为内置双电源模块供电,不支持可插拔的电源模块。双电源全部连接时电源对主机供电为1+1冗余备份方式。外部交流电输入到PoE电源模块PWR后,输出12V和-53V电压,在主板上分别进行合路后,12V电压提供给设备供电,-53V电压提供给PD设备供电。当工作在PoE备份模式下,如果重启设备,会导致所有端口的PD都会下电并重新上电。手动切换为PoE备份模式后,会导致所有端口的PD都会下电并重新上电。双交流PoE电源的供电方式如。后16个电口:不可用。
2024-03-18 11:23:29
436
原创 通过虚拟系统隔离不同网络(企业不同部门相互隔离)
配置访问互联网的静态路由,sysa访问互联网资源都转发到根墙(因为根墙连接着互联网接口),这里注意因为在根系统上配置了将回程流量引入虚拟系统sysa、sysb和sysc的路由,就这使得sysa、sysb和sysc之间也能通过根系统中转来互相访问,如果为了实现虚拟系统sysa、sysb和sysc的隔离,需要在虚拟中配置安全策略禁止互访。#配置安全策略,这里只是为了简单的实现实验的效果,企业内网能访问互联网,但是作为根墙其实策略也不用这么细化,只是将企业内网和外网隔离开来而已。
2023-12-29 22:18:41
1160
原创 wireshark抓包分析网络延迟
分析思路:既然是延迟那么就看发包跟收包的时间间隔即可,第一个发包是2020,收包是2024,那也就是延迟是4ms,对于4ms的来说网络质量已经是很好了。100ms~200ms:较差,无法正常游玩对抗类游戏,有明显卡顿,偶尔出现丢包和掉线现象。51~100ms:普通,对抗类游戏在一定水平以上能感觉出延迟,偶尔感觉到停顿。1~30ms:极快,几乎察觉不出有延迟,玩任何游戏速度都特别顺畅。31~50ms:良好,可以正常游戏,没有明显的延迟情况。2020:毫秒(MS),秒后面的单位就是MS。
2023-12-20 15:36:09
1395
1
原创 防火墙安全策略之URL过滤与域名组
定义URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。另外,对于指定URL分类的HTTP报文,FW可以修改报文中的DSCP字段,即DSCP优先级,从而便于其他网络设备根据修改后的DSCP优先级区分流量,对不同分类的URL流量采取差异化处理目的员工在工作时间随意地访问与工作无关的网站,严重影响了工作效率员工随意访问非法或恶意的网站,造成公司机密信息泄露,甚至会带来病毒、木马和蠕虫等威胁攻击。
2023-12-14 09:53:36
2035
原创 华为设备的物理接口类型~看我这篇就够啦
本章描述的以太网接口即为以太网物理接口。接口是网络设备之间交换数据并相互作用的部件,分为物理接口和逻辑接口两类。物理接口分为负责承担业务传输的业务接口和负责管理设备的管理接口,例如10GE业务接口和MEth管理接口;逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口,需要承担业务传输,例如VLANIF接口、Loopback接口。以太网以其高度灵活、相对简单、易于实现等特点,成为目前最重要的一种局域网组网技术。
2023-12-05 15:35:43
539
原创 什么是光模块光模块看我这张就够啦!
信号在光网络中传输时,必须进行光/电转换。光模块就是专门在光网络中完成光/电转换工作的部件。光模块的外观结构如图1所示,简单的来说,双绞线最大传输距离是100米,用的是电信号,那如果说传输距离超过100米,那就要用上光纤了,那么光纤传输用的又是光信号,那么这个时候的话,光模快的用途就用上了,进行光电转换1.拉手扣2.接受接口3.发送接口4.壳体5.标签6.防尘塞7.裙片8.接头SFP/eSFP封装光模块的外观如图2所示SFP+封装光模块的外观如图3所示SFP28封装光模块的外观如图4所示。
2023-11-30 15:17:42
214
原创 干货!世界五百强的外企工程师教你如何搭建一个世界五百强公司的大型无线网络,真实的项目案例,基于802.1x以及PSK+白名单的认证方式,Portal认证下篇继续发~
无线局域网WLAN(Wireless Local Area Network)广义上是指以无线电波、激光、红外线等来代替有线局域网中的部分或全部传输介质所构成的网络。本文介绍的WLAN技术是基于802.11标准系列的,即利用高频信号(例如2.4GHz或5GHz)作为传输介质的无线局域网。802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。
2023-09-16 10:57:52
1954
原创 故障排错篇之OSPF协议
分别在链路两端的设备上执行命令display ospf [ process-id ] interface,查看OSPF接口的接口类型,一般情况下,链路两端的OSPF接口的网络类型必须一致,否则双方不能正常建立起OSPF邻居关系(如果OSPF接口的网络类型不一致,请在运行OSPF协议的接口视图下执行命令ospf network-type { broadcast | nbma | p2mp | p2p },修改OSPF接口的网络类型以保证一致)否则两边的邻居状态只能达到。
2023-07-15 15:24:08
835
原创 华为认证的含金量以及考试的一些流程化
当然答案很简单,这个是对你专业技术水平能力的一种肯定了,那么对于学生来说,没有项目经验当然要冲技术的理论知识点出发,学好了技术的理论知识点才能更好地在实际的工作当中展开,对于目前正在工作的人来的说呢,是接收新技术的一个过程,因为华为认证的有效期不是永久的,有效期是三年,而且三年时间内版本会不断地发生变化,推出新的产品够狠技术,技术是不断革新的,华为也会不断的推出新产品来弥补旧产品的缺点与不足。华为认证也是区分很多方面的,想考什么方面那就是看个人所学的专业或者是自己想从事的方向来决定了。
2023-05-22 22:33:56
422
原创 GRE的报文格式以及安全机制
关键字的作用是标志隧道中的流量,属于同一流量的报文使用相同的关键字。如果本端配置了校验和而对端没有配置,则本端将不会对接收到的报文进行校验和检查,但对发送的报文计算校验和;相反,如果本端没有配置校验和而对端已配置,则本端将对从对端发来的报文进行校验和检查,但对发送的报文不计算校验和。接收方对接收到的报文计算校验和,并与报文中的校验和比较,如果一致则对报文进一步处理,否则丢弃。RFC1701中规定:若GRE报文头中的K位为1,则在GRE头中插入一个四字节长关键字字段,收发双方将进行识别关键字的验证。
2022-11-17 21:56:17
2045
原创 IDLE Shell(Python)下载以及安装
打开win+R键,输入cmd调出命令行,输入python,如果显示以下字样则表示安装成功。
2022-11-16 23:54:36
5630
2
原创 IKE协商
身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等,可以再次认证对等体。3. 消息⑤和⑥用于身份和认证信息交换(双方使用生成的密钥发送信息),双方进行身份认证(预共享密钥方式下为。如果没有匹配的安全提议,响应方将拒绝发起方的安全提议。IKE安全提议,并且消息②中还包括响应方发送身份信息供发起方认证,消息③用于响应方认证发起方。利用第一阶段已通过认证和安全保护的安全通道,目的是建立一对用于数据安全传输的。安全参数包括被保护的数据流和。协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
2022-10-26 17:09:51
2478
原创 防火墙可靠性之---双机热备技术(上下行接口连接三层设备)
hrp interface GigabitEthernet1/0/2 remote 192.168.1.20 //指定心跳接口以及对端接口地址。7. 抓包查看,当主链路或者是主设备没有发生故障的时候全部流量走的都是主链路,当主链路或者是主故障发生故障的时候数据走的就是备用链路了。hrp track interface GigabitEthernet1/0/0 //监听接口。hrp track interface GigabitEthernet1/0/1 //监听接口。
2022-10-26 10:15:55
2543
原创 防火墙可靠性之---双机热备技术(上下行接口连接二层设备)
hrp interface GigabitEthernet1/0/2 remote 192.168.1.20 //指定的是对端心跳接口的IP地址。hrp mirror session enable //启用HRP会话快速备份,主要是为了防止数据包来回的路径不一致导致无法通信的情况。把交换机的g0/0/1接口shutdown掉,发现R1 telnet R2的连接是不会断开的。
2022-10-25 16:39:19
1111
原创 防火墙可靠性之---链路检测工具(ip-link)
ip-link的定义IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答,来判断链路是否发生故障FW发送探测报文后,在三个探测周期(默认为15s)内未收到响应报文,则认为当前链路发生故障,IP-Link的状态变为Down。随后,FW会进行相关的后续操作,例如双机热备主备切换等当链路从故障中恢复,FW能连续地收到3个响应报文,则认为链路故障已经消除,IP-Link的状态变为Up。也就是说,链路故障恢复后,IP-Link。
2022-10-24 15:34:35
5959
原创 防火墙智能选路
处获得多条链路时,如果各链路的带宽、转发时延、链路租借费用等因素存在较大差异,那么可以优先使用某些链路传输流量,并利用其他链路作为备份链路或负载分担链路,提高业务的可靠性,此时可以选择本选路方式。策略路由是在路由表已经产生的情况下,不按照现有的路由表进行转发,而是根据用户制定的策略进行路由选择的机制,从更多的维度(入接口、源安全区域、源。处获得多条性能不等的链路时,为了优先使用转发性能最优的链路,保证大多数用户的访问体验,且不浪费其它性能稍差的链路,可以选择此种选路方式。
2022-10-24 09:39:17
1365
原创 服务器负载均衡算法
所以,简单轮询算法是一个静态算法,它的适用场景为服务器的性能相近,服务类型比较简单,且每条流对服务器造成的业务负载大致相等。如果服务器S1、S2、S3、S4的权重依次为2、1、1、1,则Hash表中S1、S2、S3、S4权重为2、1、1、1,最后根据Hash Index值与Hash列表中服务器的对应关系,分配流量至服务器。所示,服务器S1、S2、S3、S4的权重依次为2、1、1、1,此时服务器S1将被视为两台权重为1的服务器,所以FW连续分配两条流给S1,然后再分配接下来的三条流给服务器S2、S3、S4。
2022-10-22 16:49:50
2015
原创 防火墙的ISP选路
2. 防火墙区域的划分(防火墙的g1/0/2接口是属于ISP1接口,所以需要自己新建一个区域然后添加接口,配置优先级,g1/0/3是属于ISP2接口,所以也需要新建一个区域把接口给添加进去,然后再配置优先级)让R1走ISP1的路径访问192.168.1.1,R2走ISP2的路径访问172.16.1.1。8. 抓包查看,去往isp1和isp2的流量分别从防火墙的g1/0/2和1/0/3接口出去了。下载的模板如下图所示,只需要在目的IP地址范围写ISP的地址即可,然后再导入进来即可。1. IP地址的配置略。
2022-10-21 16:20:48
1309
原创 防火墙Ipsec vpn的配置
FW1-object-service-set-ike]service protocol udp destination-port 500 //添加IKE的服务,因为IKE的服务使用的事udp的500端口。rule name trust-untrust(双向访问,所以需要允许trust访问untrust区域,也需要允许untrust访问trust区域)4. 防火墙桥接物理网卡,开启网管界面,具体桥接的方式就不在介绍了,之前的文章有具体讲解ENSP怎么桥接物理网卡。ipsec的配置(FW2也一样)
2022-10-19 23:55:32
10242
2
原创 PKI的工作机制
实体使用自己的私钥解密,并验证消息认证码的参考值和秘密值。证书的公钥进行加密,而且证书注册请求消息必须包含消息认证码的参考值和秘密值(与。使用自己的私钥解密后,并验证消息认证码的参考值和秘密值。实体的额外证书中的公钥进行加密和自己的私钥进行数字签名,将证书发送给。实体的额外证书中的公钥解密数字签名并验证数字指纹。实体的公钥进行加密和自己的私钥进行数字签名,将证书发送给。实体的公钥解密数字签名并验证数字指纹。实体间互相通信时,需各自获取并安装对端实体的本地证书。证书的公钥进行加密和自己的私钥进行数字签名。
2022-10-17 15:43:25
2290
原创 PKI证书体系
申请本地证书时,可以通过设备生成自签名证书,可以实现简单证书颁发功能。序列号:颁发者分配给证书的一个正整数,同一颁发者颁发的证书序列号各不相同,可用与颁发者名称一起作为证书唯一标识。自签名证书:又称为根证书,是自己颁发给自己的证书,即证书中的颁发者和主体名相同。主体名:证书拥有者的名称,如果与颁发者相同则说明该证书是一个自签名证书。颁发者:颁发该证书的设备名称,必须与颁发者证书中的主体名一致。的证书(含公钥),用以验证它所颁发的本地证书。证书给自己颁发的证书,证书中的颁发者名称是。证书就是自签名证书;
2022-10-17 15:30:47
1095
原创 防火墙双击热备技术(理论)
但这种路由协议来进行切换保护的方式存在一定的局限性,当不能使用动态路由协议时,仍然会导致链路中断的问题,因此推出了另一种保护机制。防火墙是状态防火墙,如果备防火墙上没有原来主防火墙上的会话表等连接状态数据,则切换到备防火墙的流量将无法通过防火墙,造成现有的连接中断,此时用户必须重新发起连接。的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短,同时弥补了不能使用动态路由情况下的链路保护。)路由器:在同一个备份组中的多个路由器中,除主路由器外,其他路由器均为备份路由器,处于备份状态。
2022-10-15 10:54:30
902
原创 防火墙双机热备技术(实验)
这里需要注意的是不但是内网的接口需要运行VRRP,外网的接口也需要运行VRRP,而且两端的接口要加入同一个VRRP的组才能实现虚拟冗余技术,内网的VRRP组配置的虚拟IP充当内网主机的网关实现冗余备份,后面添加了active的命令的意思是说哪台路由器在VRRP的组当中充当master,因为master在VRRP组当中是充当流量转发的任务的,而backup是充当master的备份,这里就不详细讲了,可以参观datacom文章中VRRP的章节。
2022-10-14 18:38:58
1160
原创 防火墙网络地址转换技术
先来简单的阐述一下什么是源NAT地址的方式,第一种方式是不带端口号进行转换,就是需要配置一个公网地址池,私网地址转换的时候找公网地址池当中的其中一个没有在使用的公网地址转换即可,其实着也是一对一的关系,如果公网地址池当中的地址被转换完后其他的私网主机想出来上网就无法上网课,第二种方式就是带端口转换,就是也需要一个公网地址池,但是这个地址池里面只需要一个公网地址即可,内网的主机出来转换的时候就转换到这个公网地址的不同端口即可,端口的范围是0~65535,这样才能做到真正节约公网地址的目的。
2022-10-13 17:07:02
4144
原创 防火墙基础配置(二)
1. 我们只需要在防火墙上新建两个vlan相同于trust和untrust区域,专门服务于这两个区域,然后在vlan的三层接口配置IP地址保证防火墙跟这两个区域可以进行通信,然后再把vlan的三层接口划分进防火墙的区域里面即可,注意是把g1/0/1划分为trunk口,允许vlan20、30通过。1.1 IP地址的配置忽略,注意防火墙的1/0/0接口需要配置IP地址,但是1/0/1是要划分子接口的所以不需要配置地址,是在子接口里面去配置IP地址。source-zone trust //设置源区域。
2022-10-11 10:11:45
3229
原创 防火墙的基础配置(一)
USG6000V1-policy-security]default action permit //默认全部流量都放行。destination-address 100.1.1.0 mask 255.255.255.0 //设置目标地址。source-address 10.1.1.0 mask 255.255.255.0 //设置源地址。destination-zone untrust //设置目标区域。source-zone trust //设置源区域。
2022-10-10 16:17:40
3160
原创 QOS令牌桶算法
当数据流到达设备时首先会根据数据的大小从令牌桶中取出与数据大小相当的令牌数量用来传输数据。也就是说要使数据被传输必须保证令牌桶里有足够多的令牌,如果令牌数量不够,则数据会被丢弃或缓存。这就可以限制报文的流量只能小于等于令牌生成的速度,达到限制流量的目的2. 令牌桶术语令牌桶参数CBS(Committed Burst Size):承诺突发尺寸,表示C桶的容量,即C桶瞬间能够通过的承诺突发流量EBS(Extended burst size):超额突发尺寸,
2022-10-08 11:54:59
1548
原创 QOS MQC的配置实验
input 18 output 22 //配置出接口跟入接口之间优先值得映射关系,看下图,因为af21对应的二进制是0100010胡转化为十进制的话就是18,出接口我配置的十进制的数值是是22,那对应的就是010110,所以dscp的优先级就是af223。在R1的g0/0/0接口上抓包查看效果:发现携带这AF21的dscp的优先级的名称,010010是dscp的优先值,以二进制来表示就是18,这个在后面配置优先级关系的映射有着很重要的作用。
2022-10-07 17:25:25
844
原创 EditPlus字体放大方法
3.在找到fonts的功能模块,然后再根据自己的喜好调整字体样式以及字体大小,最后点选OK即可。2.在菜单栏上找到Tools工具栏,找到preferences的选项。1.首先点击菜单栏上的file按钮,然后新建一个文件。
2022-10-06 20:44:18
850
原创 HA&网管
每一个设备可能包含多个被管理对象,被管理对象可以是设备中的某个硬件(如一块接口板),也可以是某些硬件,软件(如路由选择协议)及其的配置参数的集合。冗余配置,即一块做主用主控板,一块做备用主控板,主用主控板重启,备用主控板成为新的主板;软件要求,需要主备板卡同步,主板正常运行的过程中,会把配置信息、接口状态信息备份到备用板;,不间断路由):通过协议备份机制,实现主备倒换时控制平面(路由)和转发平面(业务)均不中断。通过配置的算法计算出的用于身份认证的认证参数和用于报文加密的加密参数)的。
2022-10-06 19:20:12
975
原创 安全技术(Security)
中间人攻击:顾名思义,攻击者位于客户端和服务器中间,对客户端,攻击者假冒为服务器,对服务器,攻击者假冒为客户端。信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该。URPF检查到以此报文源地址对应的接口与收到该报文的接口不匹配,报文会被丢弃,建议在路由对称的环境下使用。的松散模式,例如两个网络边界设备之间如果有多条路径连接的话,路由的对称性就不能保证,在这种情况下,报文中的源地址和目的地址一致,则认为是畸形报文攻击,丢弃该报文。
2022-10-06 16:31:39
393
原创 PIM双栈原理
2.1 SPT源路径树以组播源作为树根,将组播源到每一个接收者的最短路径结合起来构成的转发树源路径树使用的是从组播源到接收者的最短路径,也称为最短路径树SPT。对于某个组,网络要为任何一个向该组发送报文的组播源建立一棵树本例中有两个组播源(源S1和源S2),接收者R1和RT2。所以本例中有两棵源路径树2.2 共享树为什么需要RPT?因为PIM-SM事先是不知道组播源和接收者的位置的,所以无法形成一个转发路径,所以需要依靠RP来形成RPT,RP能够知道组组播源的位置。
2022-10-06 11:11:32
1195
原创 MLD(组播侦听发现协议)
组播侦听发现协议MLD用于IPv6组播中的组成员管理,其基本原理和功能与IGMP相似。MLD的目的是使能每个IPv6路由器发现在其直连网络上的组播侦听者(即希望接收组播数据的节点)的存在,并且能明确发现这些邻居节点所感兴趣的组播地址。然后提供这些消息给路由器所使用的组播路由协议,以确保组播数据转发至存在接收者的所有链接,IGMP是专门服务区IPV4的,并不支持拓展,所以开发出来了一个新的组播协议MLD专门服务于IPV6。
2022-10-05 15:02:26
6477
1
原创 Docker-Compose
docker-compose是基于docker的开源项目,托管于github上,由python实现,调用 docker服务的API负责实现对docker容器集群的快速编排,即通过一个单独的yaml文件,来定义一组相关的容器来为一个项目服务。所以,docker-compose默认的管理对象是项目,通过子命令的方式对项目中的一组容器进行生命周期的管理。
2022-10-04 15:30:18
780
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人