深信服翔鹰计划第五周

SCSA认证篇,启动——

首先介绍了信息安全当前的形式,以及所面临的威胁方式,及其分类,当前网络架构协议栈的脆弱性,安全层的划分,以及应该有的安全认责机制,都做了较为详细的解读。

以及缓存溢出(stack/cache overflow)或者漏洞攻击

最后吹一波自家解决方案(

=========================================================

第二章第一节详细讲解了VPN分类,分析VPN的需求 主要面向的客户群,各种VPN技术之间的实现区别,以及深信服自己的sangfore VPN的高级特性。将其与传统VPN做比较 区分开来,相比之下确实是深信服这个做的更加易用,高效,快速,安全性上来说也是更胜一筹,不过感觉配置上应该会有些繁琐、、

这里涉及到了加密的算法问题,介绍了对称/非对称加密,以及基于加密的身份认证技术,CA的定义,PKI体系,数字证书的原理,以及使用数字证书的https协议。

=====================================================

第二章第二节介绍了IPSec的协议簇,框架,工作模式以及应用场景

传输模式和隧道模式,个人理解也就是C/S模式和对等的设备互联模式

AH和ESP协议。

IPSec工作中的故障情景以及排障简单介绍, IPSec 协商过程详解

NAT 下传输的可行性

以及分支地址冲突情景。这个是比较在意的点,正常情况下,传统的VPN对于这种情况应该是没有办法解决的,深信服这个解决方案是在隧道内做NAT..这个具体的实现还不清楚orz

=============================================================

第四节 移动接入解决方案 又称为PDLAN接入解决方案

这里是采用了软件虚拟网卡的解决方案,比较常见,特殊点在于远端可以屏蔽客户端的公网,在用户鉴权阶段可以选择屏蔽指定用户的公网访问,客户端软件收到请求会屏蔽掉本机的0.0.0.0默认路由。

==================================================

第五节,WOC广域网加速

亮点:流缓存(二进制缓存技术),分协议代理技术

在低丢包率的前提下,使用快速TCP协议替代传统TCP协议

流缓存不像普通的web缓存一样针对于http协议的资源进行缓存,其针对二进制资源,也就是数据包进行缓存,使用特征匹配方式搜索数据包当数据包到达设备时,根据一定的策略,采样出特征值,与已有的特征值比对,如完全相同则命中缓存,将数据编码,发送给对端,否则包特征值保存在数据库中供以后比对,缓存满时会清除最旧的缓存,如在使用则清除次旧的。

同时针对不同的协议开发了多种加速代理技术

以及多个WOC加速配置实例
===========================================

总结一下这两章,了解到了深信服对于细节和安全的优化做的十分给力,在传统协议的基础上,开发了许多使得传统协议能够提升效率的方案,学习过后,了解了相关协议的具体实现细节,也了解了开发人员优化的思路,获益良多~

0 评论
留言