① 采訪需要的器材和怎樣通常分工,我要做采訪視頻
一個攝像機 一套線麥 一個腳架 人員是攝像師負責拍攝 記者負責拿話筒問問題 後期剪輯製作誰都可以做 很簡單的
② 網路工程師面試題
網路工程師面試題 1: 交換機是如何轉發數據包的?
交換機通過學習數據幀中的源MAC地址生成交換機的MAC地址表,交換機查看數據幀的目標MAC地址,根據MAC地址表轉發數據,如果交換機在表中沒有找到匹配項,則向除接受到這個數據幀的埠以外的所有埠廣播這個數據幀。
2 簡述STP的作用及工作原理.
作用:(1) 能夠在邏輯上阻斷環路,生成樹形結構的拓撲;
(2) 能夠不斷的檢測網路的變化,當主要的線路出現故障斷開的時候,STP還能通過計算激活阻起到斷的埠,起到鏈路的備份作用。
工作原理: STP將一個環形網路生成無環拓樸的步驟:
選擇根網橋(Root Bridge)
選擇根埠(Root Ports)
選擇指定埠(Designated Ports)
生成樹機理
每個STP實例中有一個根網橋
每個非根網橋上都有一個根埠
每個網段有一個指定埠
非指定埠被阻塞 STP是交換網路的重點,考察是否理解.
3:簡述傳統的多層交換與基於CEF的多層交換的區別
簡單的說:傳統的多層交換:一次路由,多次交換
基於CEF的多層交換:無須路由,一直交換.
4:DHCP的作用是什麼,如何讓一個vlan中的DHCP伺服器為整個企業網路分配IP地址?
作用:動態主機配置協議,為客戶端動態分配IP地址.
配置DHCP中繼,也就是幫助地址.(因為DHCP是基於廣播的,vlan 或路由器隔離了廣播)
5:有一台交換機上的所有用戶都獲取不了IP地址,但手工配置後這台交換機上的同一vlan間的用戶之間能夠相互ping通,但ping不通外網,請說出排障思路.
1:如果其它交換機上的終端設備能夠獲取IP地址,看幫助地址是否配置正確;
2:此交換機與上連交換機間是否封裝為Trunk.
3:單臂路由實現vlan間路由的話看子介面是否配置正確,三層交換機實現vlan間路由的話看是否給vlan配置ip地址及配置是否正確.
4:再看此交換機跟上連交換機之間的級連線是否有問題;
排障思路.
6:什麼是靜態路由?什麼是動態路由?各自的特點是什麼?
靜態路由是由管理員在路由器中手動配置的固定路由,路由明確地指定了包到達目的地必須經過的路徑,除非網路管理員干預,否則靜態路由不會發生變化。靜態路由不能對網路的改變作出反應,所以一般說靜態路由用於網路規模不大、拓撲結構相對固定的網路。
靜態路由特點
1、它允許對路由的行為進行精確的控制;
2、減少了網路流量;
3、是單向的;
4、配置簡單。
動態路由是網路中的路由器之間相互通信,傳遞路由信息,利用收到的路由信息更新路由表的過程。是基於某種路由協議來實現的。常見的路由協議類型有:距離矢量路由協議(如RIP)和鏈路狀態路由協議(如 OSPF)。路由協議定義了路由器在與其它路由器通信時的一些規則。動態路由協議一般都有路由演算法。其路由選擇演算法的必要步驟
1、向其它路由器傳遞路由信息;
2、接收其它路由器的路由信息;
3、根據收到的路由信息計算出到每個目的網路的最優路徑,並由此生成路由選擇表;
4、根據網路拓撲的變化及時的做出反應,調整路由生成新的路由選擇表,同時把拓撲變化以路由信息的形式向其它路由器宣告。
動態路由適用於網路規模大、拓撲復雜的網路。
動態路由特點:
1、無需管理員手工維護,減輕了管理員的工作負擔。
2、佔用了網路帶寬。
3、在路由器上運行路由協議,使路由器可以自動根據網路拓樸結構的變化調整路由條目;
能否根據具體的環境選擇合適的路由協議
7:簡述有類與無類路由選擇協議的區別
有類路由協議:路由更新信息中不含有子網信息的協議,如RIPV1,IGRP
無類路由協議:路由更新信息中含有子網信息的協議,如OSPF,RIPV2,IS-IS,EIGRP 是否理解有類與無類
8:簡述RIP的防環機制
1.定義最大跳數 Maximum Hop Count (15跳)
2.水平分割 Split Horizon (默認所有介面開啟,除了Frame-Relay的物理介面,可用sh ip interface 查看開啟還是關閉)
3.毒化路由 Poizoned Route
4.毒性反轉 Poison Reverse (RIP基於UDP,UDP和IP都不可靠,不知道對方收到毒化路由沒有;類似於對毒化路由的Ack機制)
5.保持計時器 hold-down Timer (防止路由表頻繁翻動)
6.閃式更新 Flash Update
7.觸發更新 Triggered Update (需手工啟動,且兩邊都要開 Router (config-if)# ip rip triggered )
當啟用觸發更新後,RIP不再遵循30s的周期性更新時間,這也是與閃式更新的區別所在。
RIP的4個計時器:
更新計時器(update): 30 s
無效計時器(invalid): 180 s (180s沒收到更新,則置為possible down狀態)
保持計時器(holddown): 180s (真正起作用的只有60s)
刷新計時器(flush): 240s (240s沒收到更新,則刪除這條路由)
如果路由變成possible down後,這條路由跳數將變成16跳,標記為不可達;這時holddown計時器開始計時。
在holddown時間內即使收到更優的路由,不加入路由表;這樣做是為了防止路由頻繁翻動。
什麼時候啟用holddown計時器: 「當收到一條路由更新的跳數大於路由表中已記錄的該條路由的跳數」
9:簡述電路交換和分組交換的區別及應用場合. 電路交換連接
根據需要進行連接
每一次通信會話期間都要建立、保持,然後拆除
在電信運營商網路中建立起來的專用物理電路
分組交換連接
將傳輸的數據分組
多個網路設備共享實際的物理線路
使用虛電路/虛通道(Virtual Channel)傳輸
若要傳送的數據量很大,且其傳送時間遠大於呼叫時間,則採用電路交換較為合適;當端到端的通路有很多段的鏈路組成時,採用分組交換傳送數據較為合適。
10:簡述PPP協議的優點. 支持同步或非同步串列鏈路的傳輸
支持多種網路層協議
支持錯誤檢測
支持網路層的地址協商
支持用戶認證
允許進行數據壓縮
11: pap和chap認證的區別
PAP(口令驗證協議 Password Authentication Protocol)是一種簡單的明文驗證方式。NAS(網路接入伺服器,Network Access Server)要求用戶提供用戶名和口令,PAP以明文方式返回用戶信息。很明顯,這種驗證方式的安全性較差,第三方可以很容易的獲取被傳送的用戶名和口令,並利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以,一旦用戶密碼被第三方竊取,PAP無法提供避免受到第三方攻擊的保障措施。
CHAP(挑戰-握手驗證協議 Challenge-Handshake Authentication Protocol)是一種加密的驗證方式,能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發送一個挑戰口令(challenge),其中包括會話ID和一個任意生成的挑戰字串(arbitrary challengestring)。遠程客戶必須使用MD5單向哈希演算法(one-way hashing algorithm)返回用戶名和加密的挑戰口令,會話ID以及用戶口令,其中用戶名以非哈希方式發送。
CHAP對PAP進行了改進,不再直接通過鏈路發送明文口令,而是使用挑戰口令以哈希演算法對口令進行加密。因為伺服器端存有客戶的明文口令,所以伺服器可以重復客戶端進行的操作,並將結果與用戶返回的口令進行對照。CHAP為每一次驗證任意生成一個挑戰字串來防止受到再現攻擊(replay attack)。在整個連接過程中,CHAP將不定時的向客戶端重復發送挑戰口令,從而避免第3方冒充遠程客戶(remote client impersonation)進行攻擊。
12:ADSL是如何實現數據與語音同傳的?
物理層:頻分復用技術.(高頻傳輸數據,低頻傳輸語音)具體講解的話可以說明:調制,濾波,解調的過程.
13:OSPF中那幾種網路類型需要選擇DR,BDR?
廣播型網路和非廣播多路訪問NBMA網路需要選.
14:OSPF中完全末梢區域的特點及適用場合
特點:不能學習其他區域的路由
不能學習外部路由
完全末梢區域不僅使用預設路由到達OSPF自主系統外部的目的地址,而且使用這個預設路由到達這個區域外部的所有目的地址.一個完全末梢區域的ABR不僅阻塞AS外部LSA,而且阻塞所有匯總LSA.
適用場合:只有一出口的網路.
15:OSPF中為什麼要劃分多區域?
1、減小路由表大小
2、限制lsa的擴散
3、加快收斂
4、增強穩定性
16:NSSA區域的特點是什麼?
1.可以學習本區域連接的外部路由;
2.不學習其他區域轉發進來的外部路由
17:你都知道網路的那些冗餘技術,請說明.
交換機的冗餘性:spanning-tree、ethernet-channel
路由的冗餘性:HSRP,VRRP,GLBP.
(有必要的話可以詳細介紹)
18:HSRP的轉換時間是多長時間?
10s
19:標准訪問控制列表和擴展訪問控制列表的區別.
標准訪問控制列表:基於源進行過濾
擴展訪問控制列表: 基於源和目的地址、傳輸層協議和應用埠號進行過濾
20:NAT的原理及優缺點.
原理:轉換內部地址,轉換外部地址,PAT,解決地址重疊問題.
優點:節省IP地址,能夠處理地址重復的情況,增加了靈活性,消除了地址重新編號,隱藏了內部IP地址.
缺點:增加了延遲,丟失了端到端的IP的跟蹤過程,不能夠支持一些特定的應用(如:SNMP),需要更多的內存來存儲一個NAT表,需要更多的CPU來處理NAT的過程.
21: 對稱性加密演算法和非對稱型加密演算法的不同?
對稱性加密演算法的雙方共同維護一組相同的密鑰,並使用該密鑰加密雙方的數據,加密速度快,但密鑰的維護需要雙方的協商,容易被人竊取;非對稱型加密演算法使用公鑰和私鑰,雙方維護對方的公鑰(一對),並且各自維護自己的私鑰,在加密過程中,通常使用對端公鑰進行加密,對端接受後使用其私鑰進行解密,加密性良好,而且不易被竊取,但加密速度慢.
22: 安全關聯的作用?
SA分為兩步驟:1.IKE SA,用於雙方的對等體認證,認證對方為合法的對端;2.IPSec SA,用於雙方認證後,協商對數據保護的方式.
23: ESP和AH的區別?
ESP除了可以對數據進行認證外,還可以對數據進行加密;AH不能對數據進行加密,但對數據認證的支持更好 .
24: snmp的兩種工作方式是什麼,有什麼特點?
首先,SNMP是基於UDP的,有兩種工作方式,一種是輪詢,一種是中斷.
輪詢:網管工作站隨機開埠輪詢被管設備的UDP的161埠.
中斷:被管設備將trap報文主動發給網管工作站的UDP的162埠.
特點:輪詢一定能夠查到被管設備是否出現了故障,但實時性不好.
中斷實時性好(觸發更新),但不一定能夠將trap報文報告給網管工作站.
③ 面試網路維護工程師會被問到哪些問題
我從事酒店網管6年,讓我來告訴你吧,這些紙上的要求其實都是唬人的回,只有新人答才會去看他的要求,是否每一條都符合要求,然後才敢去面試,其實這樣是錯的,和你面試一般先是人事面試,然後再有技術和你面試,最後老總面試,,基本都是個流程,其實技術這一關沒有什麼,可能會問一些名詞,認證都有哪些,有沒有工作經驗,以前在哪裡做過這些,高級一點的,會問到一些自己在工作中遇到難處理的CASE 問你是不是能解決,或者有更好的方法。就這些了,,反正我遇到的只有這些,這幾年不知道這類行業有沒有變化,,總結一句話就是,只要你能進入公司,肯定就能勝任。技術這一關分人吧。
④ 面試題:ARP和MAC哪個優先出現在交換機裡面
mac啊,有了mac才有arp表
⑤ 職場面試需要注意哪些細節
1、與旁人嘮叨是禁忌,在接待室恰巧遇到朋友或熟人時千萬不可旁若無人地大聲說話或笑鬧版;
2、不要吃東權西,包括嚼口香糖;不要抽煙;注意個人衛生;
3、對其它工作人員以禮相待,主動打招呼或行點頭禮;
4、關掉所有通訊設備,以免面試時出現尷尬的場面;
5、可以適當的輕聲於其它應聘者交流,這也可以體現出你樂於助人,謙虛好學的品質;
6、不要太關注非面試官司工作人員的談話,更不可冒失的發表評論;
7、等待過程要注意精神面貌,要時刻保持微笑,也應該站有站相,坐有坐相;
8、緊張的時候不要東張西望,可以拿出隨身帶來的材料以緩解緊張的心情;
9、進入面試室時,不論門是開著、關著、半開著,你都應該敲門。敲門時以指節輕扣三聲,力度以面試人員能聽到為宜。等到回復後再開門進去,開門一定要輕。進去後面向里邊輕輕將門帶上,向面試人員問好,30°鞠躬或行點頭禮,並微笑自信的說出自己的名字。
10、在對方沒請你入座之前,切記不可貿然就座。若對方一直沒請你入座,你可以適時
提出「我是否可以坐在這呢?」的要求,得到對方允許後要說聲「謝謝」,然後大大方方坐下
去,其中動作一定要穩健、輕緩,不能製造出雜聲。
⑥ 技術面試會問很多技術問題嗎
筆者其實沒有想到去面試,只是在智聯上更新了一下簡歷,就陸陸續續接到很多獵頭的郵件和電話,實在是沒准備好要去面試,就推掉了幾家公司的面試了。正因為筆者也很久沒有面試了,筆者也想去面試學習一下,閑話少說,下面就分享給大家筆者在2018年1月4號上午10點30分的面試經歷:
首先,獵頭或者公司人資會把公司的介紹及崗位要求發到你郵箱(或者QQ、微信),下面這份是獵頭發給我的崗位說明,為了職業道德操守,公司的介紹和面試通知信息我就不貼出來了,我就把崗位要求貼出來:
職位描述:
1、 負責應用伺服器的安裝、配置、優化與維護;
2、 負責應用系統的日誌信息備份、管理、維護與分析;
3、 負責應用系統的日常監測於維護、故障處理、性能分析與優化;
4、 負責應用部署系統、環境配置系統、監控系統的開發、部署、升級與維護,建設高性能的運維平台。
崗位要求:
1、 熟悉Linux操作系統的基礎知識,熟練使用Linux常用操作命令;
2、 熟練配置Nginx、HAproxy 等應用相關軟體的部署、配置與優化維護;
3、 熟悉網路基礎知識、熟悉TCP/IP的工作原理,會配交換機或路由器,能熟練的對網路情況進行分析
4、 熟悉shell/perl/python中的一種或多種進行運維程序的開發;
5、 熟悉Nagios,Ganglia等監控軟體
看著上面的要求大家是不是覺得要求也不高啊,你要細看就會發現,這家公司要求的還挺多,不僅要會網路知識(熟悉TCP/IP好像是每家單位的都會寫這樣的要求),還要會開發技能。相信很多做運維的兄弟在網路這一塊是個頭疼的事情,都對交換機和路由器不怎麼會配置和管理。
然後,筆者詳細了解他們公司,了解崗位要求,在突擊復習一下可能會問到的知識點和技術點。到了面試的這天時間,早早的起床,把牙一定要刷干凈,特別是有口臭的兄弟,最好准備點口香糖,到達面試公司前嚼塊口香糖,以免因為口氣的原因熏到面試官,讓你在面試官心裡減分。早點要記得吃,如果你是下午面試的話也要吃午飯,吃早點了精氣神就有了。還要注意,帶上你的簡歷和一支筆,雖然他們那邊也會有你的簡歷,為了以防萬一還是准備好簡歷。
最後,關鍵點來了,就是和面試官溝通了,有筆試的公司會讓你做些面試題,沒有筆試就直接和面試官聊了,下面是我和面試官溝通完之後記住的一些問題,分享給大家看一下,筆者一共記住了7個問題,好像還有兩個問題實在想不起來了,如果大家有更恰當的回答一定要貼出來一起探討和進步:
1、介紹下自己?(幾乎每家公司首先都會讓你做個自我介紹,好像是必修課一樣)
筆者回答:此處省略筆者的自我介紹,筆者建議介紹自己的時間不宜過長,3-4分鍾為宜,說多了面試官會覺得你太啰嗦了。說太少了也不行,那樣會讓人感覺你的經歷太簡單了、太空了。正常情況下,一般你在做自我介紹的同時,面試官這個時候在看你的簡歷,他需要一邊看簡歷、一邊聽你介紹自己,如果你說個幾句話就把自己介紹完了,他肯定還沒緩過神來,對你的映像會減分的。在介紹的同時思維要清晰,邏輯要清楚,最好是根據你簡歷上寫的經歷來介紹,這樣可以把面試官的思路帶到你這里來,讓他思路跟著你走。不要東扯一句,西扯一句。竟量少介紹自己的性格、愛好(最好能不說就不說),你可以簡單羅列干過幾家公司(最多羅列3家公司/也包含目前所在的公司,注意順序不要亂),都在那幾家公司負責什麼工作,都用過什麼技術,在著重介紹一下你目前所在的公司是負責哪些工作的,可以稍微詳細一點介紹,不要讓面試官聽著暈頭轉向的感覺。
2、灰度發布如何實現?
筆者回答:其實對這個問題筆者也答的不好,就不寫出來誤導大家了。大家有好的方法可以共享出來。不過筆事後在知呼上看到了一位網友的建議覺得不錯,大家可以參考看一下 :https://www.hu.com/question/20584476
3、Mongodb熟悉嗎,一般部署幾台?
筆者回答:部署過,沒有深入研究過,一般mongodb部署主從、或者mongodb分片集群;建議3台或5台伺服器來部署。MongoDB分片的基本思想就是將集合切分成小塊。這些塊分散到若乾片裡面,每個片只負責總數據的一部分。 對於客戶端來說,無需知道數據被拆分了,也無需知道服務端哪個分片對應哪些數據。數據在分片之前需要運行一個路由進程,進程名為mongos。這個路由器知道所有數據的存放位置,知道數據和片的對應關系。對客戶端來說,它僅知道連接了一個普通的mongod,在請求數據的過程中,通過路由器上的數據和片的對應關系,路由到目標數據所在的片上,如果請求有了回應,路由器將其收集起來回送給客戶端。
4、如何發布和回滾,用jenkins又是怎麼實現?
筆者回答:發布:jenkins配置好代碼路徑(SVN或GIT),然後拉代碼,打tag。需要編譯就編譯,編譯之後推送到發布伺服器(jenkins裡面可以調腳本),然後從分發伺服器往下分發到業務伺服器上。
回滾:按照版本號到發布伺服器找到對應的版本推送
5、Tomcat工作模式?
筆者回答:Tomcat是一個JSP/Servlet容器。其作為Servlet容器,有三種工作模式:獨立的Servlet容器、進程內的Servlet容器和進程外的Servlet容器。
進入Tomcat的請求可以根據Tomcat的工作模式分為如下兩類:
Tomcat作為應用程序伺服器:請求來自於前端的web伺服器,這可能是Apache, IIS, Nginx等;
Tomcat作為獨立伺服器:請求來自於web瀏覽器;
6、監控用什麼實現的?
筆者回答:現在公司的業務都跑在阿里雲上,我們首選的監控就是用阿里雲監控,阿里雲監控自帶了ECS、RDS等服務的監控模板,可結合自定義報警規則來觸發監控項。上家公司的業務是託管在IDC,用的是zabbix監控方案,zabbix圖形界面豐富,也自帶很多監控模板,特別是多個分區、多個網卡等自動發現並進行監控做得非常不錯,不過需要在每台客戶機(被監控端)安裝zabbix agent。
7、你是怎麼備份數據的,包括資料庫備份?
筆者回答:在生產環境下,不管是應用數據、還是資料庫數據首先在部署的時候就會有主從架構、或者集群,這本身就是屬於數據的熱備份;其實考慮冷備份,用專門一台伺服器做為備份伺服器,比如可以用rsync+inotify配合計劃任務來實現數據的冷備份,如果是發版的包備份,正常情況下有台發布伺服器,每次發版都會保存好發版的包。
總結
總結一下面試注意幾點事項,可能筆者也說得不太對,為了我們運維工作的兄弟們都能拿到高薪,大家一定要指證出來一起進步、一起探討:
第一,你要對自己的簡歷很熟悉,簡歷上的寫的技能自己一定要能說出個一二,因為面試官的很多問題都會挑你簡歷上寫的問。比如你簡歷上寫了這么一條技能「熟悉mysql資料庫的部署安裝及原理」。你即然寫了這么一條技能,你在怎麼不熟悉你也要了解mysql的原理,能說出個大概意思。萬一面試官問到了你寫的這一條,你都答不上來,那在他心裡你又減分了,基本上這次面試希望不大。
第二,如果面試官問到你不會的問題,你就說這個不太熟悉,沒有具體研究過,千萬別不懂裝懂,還扯一堆沒用的話題來掩飾,這樣只會讓面試官反感你。
第三,准備充分,竟可能多的記住原理性的知識,一般面試問的多的就是原理。很少問具體的配置文件是怎麼配置的。面試前也要了解清楚「職位描述」和「崗位要求」,雖然有時候大多數不會問到崗位要求的問題,但也要了解和熟悉。
第四,面試完後一定要總結,盡量記住面試官問的每一個問題,回去記錄下來,如果問到不會的問題,事後要立馬查網路或者找朋友搞清楚、弄明白,這樣你才能記勞,下次面試說不定又問到同樣的問題。
問完之後,面試官就跟我聊薪資待遇了,問我多少錢能達到自己的要求,我就不便透露了,可以私聊,哈哈,後續筆者會陸陸續續更新以前面試的經歷和問題,有需要的朋友可以轉載或者收藏起來一起討論。
基於大家熱情高昂的氣氛,筆者又花了一個下午的時間回憶並整理在2017年2月24號筆者在東三環邊上(快到東四環了,沒有地鐵過去,到了四惠還要轉公交車)的一家傳媒公司的面試經歷,還好筆者有做筆記的習慣,把之前面試的問題都記錄在案,這一次的面試筆者可是記憶猶新,因為這次這家公司都跟筆者發offer了,實在是真心不想去這家公司就找原因推掉了,大家可別學我這么不靠譜。下面是這家公司中的崗位要求說明:
崗位職責:
1、負責公司產品的版本控制、構建和發布管理;
2、負責公司統一配置庫管理工作,許可權管理與分配准確及時,定期完成配置備份;
3、負責公司內部開發/測試伺服器的運行管理工作;
4、負責Linux操作系統的安裝、配置、監控和維護、問題處理、軟體升級、 數據備份、應急響應、故障排除等、保證線上環境的穩定運行;
5、負責支撐平台24×7穩定運行,並進行前瞻性容量規劃;
6、負責公司機房伺服器日常維護及網路系統安裝、部署、維護工作。
崗位要求:
1、計算機相關專業本科及以上學歷,2年以上運維或配置管理工作經驗;
2、至少熟悉一種監控系統搭建,如Nagios/Zabbix/等;
3、至少熟悉一種集群管理工具,如Ansible/SaltStack等;
4、有使用集成發布工具發布構建經驗優先。比如:bamboo或者Jenkins;
5、熟悉Unix/Linux操作系統,熟悉Weblogic/tomcat等中間件,能夠編寫shell腳本,熟悉軟體開發過程及過程產品,有一定的網路基礎;
6、熟悉rsyslog, flume等日誌收集和處理系統;
7、具有強烈的安全意識及較強的溝通協調和學習能力,良好的團隊合作精神,工作積極主動。
過去之後,前台美眉把我帶到他們公司的地下室,我掃視了一下周圍的環境,貌似旁邊就是機房,因為我聽到伺服器的聲音。等了幾分鍾,面試官下來了,面試官目測比較瘦,看著跟我身材差不多(應該不到120),他說他是負責運維部的,然後開始就叫我先自我介紹,都是一個套路,免不了介紹的,所以兄弟們一定要把自我介紹練好。然後開始問我問題了,跟面試官聊得還行,問我應該有不下10個以上的問題,我記住了下面有10個問題:
1、LVS負載的原理,和Nginx負載有啥區別?
筆者回答:這個問題我覺得面試官司沒問好,正常都會這么問「LVS有哪些負載均衡技術和調度演算法?"。我回答就是按我說的這種問法回答的,反正他也頻繁點頭,當然,筆者回答的可能沒有下面我整理出來的那麼詳細,大概意思我都說明白了。
LVS是Liunx虛擬伺服器的簡稱,利用LVS提供的負載均衡技術和linux操作系統可實現高性能、高可用的伺服器集群,一般LVS都是位於整個集群系統的最前端,由一台或者多台負載調度器(Director Server)組成,分發給應用伺服器(Real Server)。它是工作在4層(也就是TCP/IP中的傳輸層),LVS是基於IP負載均衡技術的IPVS模塊來實現的,IPVS實現負載均衡機制有三種,分別是NAT、TUN和DR,詳述如下:
VS/NAT: 即(Virtual Server via Network Address Translation)
也就是網路地址翻譯技術實現虛擬伺服器,當用戶請求到達調度器時,調度器將請求報文的目標地址(即虛擬IP地址)改寫成選定的Real Server地址,同時報文的目標埠也改成選定的Real Server的相應埠,最後將報文請求發送到選定的Real Server。在伺服器端得到數據後,Real Server返回數據給用戶時,需要再次經過負載調度器將報文的源地址和源埠改成虛擬IP地址和相應埠,然後把數據發送給用戶,完成整個負載調度過程。
可以看出,在NAT方式下,用戶請求和響應報文都必須經過Director Server地址重寫,當用戶請求越來越多時,調度器的處理能力將稱為瓶頸。
VS/TUN :即(Virtual Server via IP Tunneling)
也就是IP隧道技術實現虛擬伺服器。它的連接調度和管理與VS/NAT方式一樣,只是它的報文轉發方法不同,VS/TUN方式中,調度器採用IP隧道技術將用戶請求轉發到某個Real Server,而這個Real Server將直接響應用戶的請求,不再經過前端調度器,此外,對Real Server的地域位置沒有要求,可以和Director Server位於同一個網段,也可以是獨立的一個網路。因此,在TUN方式中,調度器將只處理用戶的報文請求,集群系統的吞吐量大大提高。
VS/DR: 即(Virtual Server via Direct Routing)
也就是用直接路由技術實現虛擬伺服器。它的連接調度和管理與VS/NAT和VS/TUN中的一樣,但它的報文轉發方法又有不同,VS/DR通過改寫請求報文的MAC地址,將請求發送到Real Server,而Real Server將響應直接返回給客戶,免去了VS/TUN中的IP隧道開銷。這種方式是三種負載調度機制中性能最高最好的,但是必須要求Director Server與Real Server都有一塊網卡連在同一物理網段上。
回答負載調度演算法,IPVS實現在八種負載調度演算法,我們常用的有四種調度演算法(輪叫調度、加權輪叫調度、最少鏈接調度、加權最少鏈接調度)。一般說了這四種就夠了,也不會需要你詳細解釋這四種演算法的。你只要把上面3種負載均衡技術講明白面試官就對這道問題很滿意了。接下來你在簡單說下與nginx的區別:
LVS的優點:
抗負載能力強、工作在第4層僅作分發之用,沒有流量的產生,這個特點也決定了它在負載均衡軟體里的性能最強的;無流量,同時保證了均衡器IO的性能不會受到大流量的影響;
工作穩定,自身有完整的雙機熱備方案,如LVS+Keepalived和LVS+Heartbeat;
應用范圍比較廣,可以對所有應用做負載均衡;
配置性比較低,這是一個缺點也是一個優點,因為沒有可太多配置的東西,所以並不需要太多接觸,大大減少了人為出錯的幾率。
LVS的缺點:
軟體本身不支持正則處理,不能做動靜分離,這就凸顯了Nginx/HAProxy+Keepalived的優勢。
如果網站應用比較龐大,LVS/DR+Keepalived就比較復雜了,特別是後面有Windows Server應用的機器,實施及配置還有維護過程就比較麻煩,相對而言,Nginx/HAProxy+Keepalived就簡單一點
Nginx的優點:
工作在OSI第7層,可以針對http應用做一些分流的策略。比如針對域名、目錄結構。它的正則比HAProxy更為強大和靈活;
Nginx對網路的依賴非常小,理論上能ping通就就能進行負載功能,這個也是它的優勢所在;
Nginx安裝和配置比較簡單,測試起來比較方便;
可以承擔高的負載壓力且穩定,一般能支撐超過幾萬次的並發量;
Nginx可以通過埠檢測到伺服器內部的故障,比如根據伺服器處理網頁返回的狀態碼、超時等等,並且會把返回錯誤的請求重新提交到另一個節點;
Nginx不僅僅是一款優秀的負載均衡器/反向代理軟體,它同時也是功能強大的Web應用伺服器。LNMP現在也是非常流行的web環境,大有和LAMP環境分庭抗禮之勢,Nginx在處理靜態頁面、特別是抗高並發方面相對apache有優勢;
Nginx現在作為Web反向加速緩存越來越成熟了,速度比傳統的Squid伺服器更快,有需求的朋友可以考慮用其作為反向代理加速器;
Nginx的缺點:
Nginx不支持url來檢測。
Nginx僅能支持http和Email,這個它的弱勢。
Nginx的Session的保持,Cookie的引導能力相對欠缺。
2、redis集群的原理,redis分片是怎麼實現的,你們公司redis用在了哪些環境?
筆者回答:reids集群原理:
其實它的原理不是三兩句話能說明白的,redis 3.0版本之前是不支持集群的,官方推薦最大的節點數量為1000,至少需要3(Master)+3(Slave)才能建立集群,是無中心的分布式存儲架構,可以在多個節點之間進行數據共享,解決了Redis高可用、可擴展等問題。集群可以將數據自動切分(split)到多個節點,當集群中的某一個節點故障時,redis還可以繼續處理客戶端的請求。
redis分片:
分片(partitioning)就是將你的數據拆分到多個 Redis 實例的過程,這樣每個實例將只包含所有鍵的子集。當數據量大的時候,把數據分散存入多個資料庫中,減少單節點的連接壓力,實現海量數據存儲。分片部署方式一般分為以下三種:
(1)在客戶端做分片;這種方式在客戶端確定要連接的redis實例,然後直接訪問相應的redis實例;
(2)在代理中做分片;這種方式中,客戶端並不直接訪問redis實例,它也不知道自己要訪問的具體是哪個redis實例,而是由代理轉發請求和結果;其工作過程為:客戶端先將請求發送給代理,代理通過分片演算法確定要訪問的是哪個redis實例,然後將請求發送給相應的redis實例,redis實例將結果返回給代理,代理最後將結果返回給客戶端。
(3)在redis伺服器端做分片;這種方式被稱為「查詢路由」,在這種方式中客戶端隨機選擇一個redis實例發送請求,如果所請求的內容不再當前redis實例中它會負責將請求轉交給正確的redis實例,也有的實現中,redis實例不會轉發請求,而是將正確redis的信息發給客戶端,由客戶端再去向正確的redis實例發送請求。
redis用在了哪些環境:
java、php環境用到了redis,主要緩存有登錄用戶信息數據、設備詳情數據、會員簽到數據等
3、你會怎麼統計當前訪問的IP,並排序?
筆者回答:統計用戶的訪問IP,用awk結合uniq、sort過濾access.log日誌就能統計並排序好。一般這么回答就夠了,當然你還可以說出其它方式來統計,這都是你的加分項。
4、你會使用哪些虛擬化技術?
筆者回答:vmware vsphere及kvm,我用得比較多的是vmware vsphere虛擬化,幾本上生產環境都用的vmware vsphere,kvm我是用在測試環境中使用。vmware 是屬於原生架構虛擬化技術,也就是可直接在硬體上運行。kvm屬於寄居架構的虛擬化技術,它是依託在系統之上運行。vmware vcenter
管理上比較方便,圖形管理界面功能很強大,穩定性強,一般比較適合企業使用。KVM管理界面稍差點,需要管理人員花費點時間學習它的維護管理技術。
5、假如有人反應,調取後端介面時特別慢,你會如何排查?
筆者回答:其實這種問題都沒有具體答案,只是看你回答的內容與面試官契合度有多高,能不能說到他想要的點上,主要是看你排查問題的思路。我是這么說的:問清楚反應的人哪個服務應用或者頁面調取哪個介面慢,叫他把頁面或相關的URL發給你,首先,最直觀的分析就是用瀏覽器按F12,看下是哪一塊的內容過慢(DNS解析、網路載入、大圖片、還是某個文件內容等),如果有,就對症下葯去解決(圖片慢就優化圖片、網路慢就查看內網情況等)。其次,看後端服務的日誌,其實大多數的問題看相關日誌是最有效分析,最好用tail -f 跟蹤一下日誌,當然你也要點擊測試來訪問介面日誌才會打出來。最後,排除sql,,找到sql去mysql執行一下,看看時間是否很久,如果很久,就要優化SQL問題了,expain一下SQL看看索引情況啥的,針對性優化。數據量太大的能分表就分表,能分庫就分庫。如果SQL沒啥問題,那可能就是寫的邏輯代碼的問題了,一行行審代碼,找到耗時的地方改造,優化邏輯。
6、mysql資料庫用的是主從讀寫分離,主庫寫,從庫讀,假如從庫無法讀取了、或者從庫讀取特別慢,你會如何解決?
筆者回答:這個問題筆者覺得回答的不太好,對mysql比較在行的朋友希望能給點建議。以解決問題為前提條件,先添加從庫數量,臨時把問題給解決,然後抓取slow log ,分析sql語句,該優化就優化處理。慢要不就是硬體跟不上,需要升級;要不就是軟體需要調試優化,等問題解決在細化。
7、cpu單核和多核有啥區別?
筆者回答:很少有面試官會問這樣的問題,即然問到了,也要老實回答。還好筆者之前了解過CPU,我是這么說的:雙核CPU就是能處理多份任務,順序排成隊列來處理。單核CPU一次處理一份任務,輪流處理每個程序任務。雙核的優勢不是頻率,而是對付同時處理多件事情。單核同時只能幹一件事,比如你同時在後台BT下載,前台一邊看電影一邊拷貝文件一邊QQ。
8、機械磁碟和固態硬碟有啥區別?
筆者回答:我擦,啥年代了,還問磁碟的問題,這面試官有點逗啊。那也要回答啊:
HDD代表機械硬碟,SSD代表固態硬碟。首先,從性能方面來說,固態硬碟幾乎完勝機械硬碟,固態硬碟的讀寫速度肯定要快機械硬碟,因為固態硬碟和機械硬碟的構造是完全不同的(具體的構造就沒必要解釋了)。其次,固態盤幾乎沒有噪音、而機械盤噪音比較大。還有就是,以目前的市場情況來看,一般機械盤容量大,價格低;固態盤容量小,價格偏高。但是企業還是首選固態盤。
9、說一下用過哪些監控系統?
筆者回答:這個監控的問題又問到了,筆者在2018年1月4號也被問到類似這樣的問題,筆者曾經用過zabbix、nagios、 cacit等。但是在這次面試中只說用過zabbix和nagios。說完了之後,面試官就讓我說一下這兩個監控有啥區別:
從web功能及畫圖來講:
Nagios簡單直觀,報警與數據都在同一頁面, 紅色即為問題項。Nagios web端不要做任何配置。 Nagios需要額外安裝插件,且插件畫圖不夠美觀。
Zabbix監控數據與報警是分開的,查看問題項需要看觸發器,查看數據在最新數據查看。而且zabbix有很多其它配置項, zabbix攜帶畫圖功能,且能手動把多個監控項集在一個圖中展示。
從監控服務來講:
Nagios自帶的監控項很少。對一些變動的如多個分區、多個網卡進行監控時需要手動配置。
Zabbix自帶了很多監控內容,感覺zabbix一開始就為你做了很多事,特別是對多個分區、多個網卡等自動發現並進行監控時,那一瞬間很驚喜,很省心的感覺。
從批量配置和報警來講:
Nagios對於批量監控主機,需要用腳本在server端新增host,並拷貝service文件。 Nagios用腳本來修改所有主機的services文件,加入新增服務。
Zabbix在server端配置自動注冊規則,配置好規則後,後續新增client端不需要對server端進行操作。 Zabbix只需手動在模板中新增一監控項即可。
總體來講:
Nagios要花很多時間寫插件,Zabbix要花很多時間探索功能。
Nagios更易上手,Nagios兩天弄會,Zabbix兩周弄會。
Zabbix畫圖功能比Nagios更強大
Zabbix對於批量監控與服務更改,操作更簡潔;Nagios如果寫好自動化腳本後,也很簡單,問題在於寫自動化腳本很費神。
10、給你一套環境,你會如何設計高可用、高並發的架構?
筆者回答:如果這套環境是部署在雲端(比如阿里雲),你就不用去考慮硬體設計的問題。可直接上阿里雲的SLB+ECS+RDS這套標準的高可用、高並發的架構。對外服務直接上SLB負載均衡技術,由阿里的SLB分發到後端的ECS主機;ECS主機部署多台,應用拆分在不同的ECS主機上,盡量細分服務。資料庫用RDS高可用版本(一主一備的經典高可用架構)、或者用RDS金融版(一主兩備的三節點架構)。在結合阿里其它的服務就完全OK,業務量上來了,主機不夠用了,直橫向擴容ECS主機搞定。
如果這套環境託管在IDC,那麼你就要從硬體、軟體(應用服務)雙面去考慮了。硬體要達到高可用、高並發公司必須買多套網路硬體設備(比如負載設備F5、防火牆、核心層交換、接入層交換)都必須要冗餘,由其是在網路設計上,設備之間都必須有雙線連接。設備如果都是跑的單機,其中一個設備掛了,你整個網路都癱瘓了,就談不上高可用、高並發了。其次在是考慮應用服務了,對外服務我會採用成熟的開源方案LVS+Keepalived或者Nginx+Keepalived,緩存層可以考慮redis集群及Mongodb集群,中間件等其它服務可以用kafka、zookeeper,圖片存儲可以用fastDFS或MFS,如果數據量大、又非常多,那麼可採用hadoop這一套方案。後端資料庫可採用 「主從+MHA」。這樣一套環境下來是絕對滿足高可用、高並發的架構
⑦ 面試網路維護工程師會被問到哪些問題
-物理層
物理層定義了設備介面上的一些電子電氣化的標准,比如RJ45介面,光纖介面。傳輸介質雙絞線,無線,光,電。等
--數據鏈路層
二層定義了一個重要的表示,MAC地址,准確的說他必須在一個LAN內是唯一的。他又48位的十六進制組成,前24位是廠商表示,後24位 是廠商自定義的序列號。有時候 MAC地址就是表示了一個設備的位置。
--網路層
網路層是用來邏輯上選路定址的,這一層最重要的一個協議就是IP協議。基於ip 又分為 ARP,RARP,ICMP,IGMP等
--傳輸層
這一層定義類了 兩個重要的協議 TCP和UDP 。還有就是埠號的概念。這一層關聯的是一個主機上的某個程序或者是服務。比如 tcp 80 的web服務 udp 4000的QQ 程序等。
--會話層
主要作用是建立會話和管理會話。我一般這樣理解 會話的 比如 telnet 一台主機,是一次會話的鏈接。打開網路的網頁,就和網路的伺服器建立了一次會話。
--表示層
因為底層傳輸的是二進制,應用層無法直接識別。所以根據這一層的名字可以直接理解為他是一個翻譯。比如把一長串的數據「翻譯」成rmvb格式,交給上層的 快播 這個程序,把另一串數據「翻譯成」MP3格式交給 音樂播放器。其實這一層的工作很多。
壓縮,解壓縮,加密,解密等
--應用層
為用戶提供了一個可以操所的界面,如windows的桌面化或UNIX的字元界面。
OSI七層的每一層是獨立工作的,但是層與層之間是相互「合作」「兼容」的關系。
1.2 [三層交換和路由器的不同]
雖說三層交換機和路由器都可以工作在三層,但本質上還是有所區別。
一 在設計的功能上不同
現在有很多的多功能路由器,又能實現三層的路由功能,包括NAT地址轉換。有提供了二層的埠,有的還配置了無線功能。再有就是還具備防火牆的功能。但是你不能它單獨的劃分為交換機或者是防火牆吧。只能說是個多功能的路由器。防火牆二層交換只是他的附加功能。三層交換也一樣,主要功能還是解決區域網內數據頻繁的通信,三層功能也有,但不見得和路由器差很多。
二 應用的環境不同
三層交換的路由功能比較簡單,因為更多的把他應用到區域網內部的通信上,主要功能還是數據的交換
路由器的主要功能就是選路定址,更適合於不同網路之間,比如區域網和廣域網之間,或者是不同的協議之間。
三 實現方式不同
路由器能夠實現三層的路由(或轉發) 是基於軟體的實現方式,當收到一個數據包要轉發的時候,要經過查看路由表,最長匹配原則等一系列復雜的過程最終實現數據包的轉發,相比三層交換效率略低。而三層交換是基於硬體的方式實現三層的功能,他成功轉發一個數據包後,就會記錄相應的IP和MAC的對應關系,當數據再次轉發是根據之前的記錄的表項直接轉發。這個過程成為「一次路由,多次交換」。
總之,三層交換和路由器的最大區別是路由器可以基於埠做NAT,而三層交換機不能。路由器直接接入光纖可以直接上網,而三層交換機不能。主要是三層交換機的每一個介面都有專有的MAC地址和特定的ASIC集成電路。
.
1.3 [靜態路由和動態路由的區別]
靜態路由特點
靜態路由是管理員手工配置,精確。但是不夠靈活,是單向性的。考慮到靜態路由穩定,節省資源(內存,cpu,鏈路帶寬)。在網路TOP不是很大的環境中常用。
動態路由的特點
動態路由的好處就是路由器本身通過運行動態路由協議來互相學習路由條目,在大型的網路環境中,一定程度上減少了工程師的工作量。動態路由協議分為很多種,IGP和EGP,IGP中根據工作的原理分為鏈路狀態型和距離矢量型的。但是不管哪一種動態協議,他都要經過以下幾個過程。
1.「說話」 向其他的路由器發送路由信息
2.「收聽」 接收其他路由器發來的路由信息
3.「計算」不同的動態路由協議有不同的演算法,每種路由協議通過自己特有的演算法把收到的路由信息計算,得出最好的路由條目,載入到路由表中。
4.「維護」 維護路由表,當TOP發生變化的時候,及時的更新自己的路由表,並發送變更的消息
在生產環境下,應當更具不同的網路規模,選擇不同的路由協議。
1.4 [描述一下ACL和NAT]
ACL:acl訪問控制列表是用來制定規則的一種機制。他用來告訴路由器那些數據包訪問那些資源是允許的,那些是拒絕的。他可以分為兩種方式,一是標準的訪問控制列表,只能基於源地址進行限制。而是擴展的訪問控制列表,他不僅可以基於源地址和目標地址進行過濾,還可以根據埠來進行限制。ACL的工作原理就是讀取數據包的三層和四層,和訪問控制列表中的條目進行匹配,如有相符的,直接按照策略(允許或拒絕),不在往下匹配。如沒有匹配的條目則按照默認規則。
NAT:nat網路地址轉換,是為了解決ipv4地址空間不足產生的。
Nat的原理就是替換掉數據包中的源ip+埠或目標ip+埠,以達到私有地址不能再公網上傳播的這種情況,或者是區域網中伺服器的發布。Nat一定程度上提高了區域網用戶的安全性。
實現方式大概可以分成 靜態NAT,動態NAT PAT(埠復用)
1.5 [描述一下VLAN]
VLAN 是為了避免二層出現廣播風暴給大面積用戶帶來影響,所採取的一種手段。
Vlan 帶來的好處
減少廣播風暴
提高一定的安全
簡化網路的管理,有易於故障排查
Vlan 是把區域網進行邏輯上的分割,實現方式有兩種
1.靜態vlan 基於埠的vlan (常用)
2.基於MAC地址的vlan (適合於移動用戶)
Vlan之間的通信需要配置TRUNK鏈路(中繼) 封裝模式有兩種
Isl 思科私有的技術,在數據幀的頭部和尾部添加30位元組的標示符
Dot1q 通過 在mac地址後面打標記的方式 標識vlan 共4個位元組 公有協議
1.6 [RIP和OSPF的區別]
兩者都屬於IGP協議,rip是典型的距離矢量動態路由協議。Ospf是鏈路狀態型的協議
Rip是整張路由表進行廣播更新(v2是組播),學習未知的路由條目,有存在環路的情況
並且沒有鄰居表,網路收斂速度比較慢。因為有環路的缺陷,不適合較大的網路使用。
Ospf組播更新,並且只有TOP發生變化的時候才出發更新,把收到更新的路由會放置在LSDB中,並生成路由。Ospf本身沒有環路的產生,並且是有分層的結構,而rip是平面的沒有層次化。所以ospf比rip收斂速度快。在NBMA網路中還會有DR和BDR的概念,促進了ospf的收斂。
Rip 管理距離 120 ospf 管理距離 110
1.7 [解釋以下術語的意思]
LAN 本地區域網
WAN 廣域網
VLAN 虛擬區域網
WLAN 無線區域網
VPN 虛擬專用網
AD 管理距離,用來衡量不同路由協議生成去往同一目標的可信值
Metric 度量值,用來判斷同一種路由協議生成去往同一目標的優先順序
1.8 [簡述一下stp是什麼]
Stp 生成樹協議。
一個良好的網路應該要考慮到鏈路的冗餘,比如二層的交換機做冗餘,來防範單點故障帶來的問題。但是二層做冗餘的話會帶來一些問題:
1.廣播風暴,因為二層對未知數據幀的處理是進行廣播,而且二層的封裝結構又不像三層那樣有TTL 的機制來防護。所以一旦廣播風暴產生,其他的交換機就會跟著廣播,造成鏈路的堵塞癱瘓。
2.MAC地址的重復。因為二層的工作原理,會造成交換機對一個MAC的多次重復的去學習,造成不必要的資源浪費,直到設備癱瘓
3.MAC地址表的不穩定,因為要重復去學習一些地址。造成轉發效率緩慢。
二層環路帶來的後果是嚴重的 ,stp協議就是在冗餘的環境下,邏輯上去DOWN掉一個借口,打破環路的產生,同時做到冗餘。當環境變化時,會自動跳轉down的介面。
1.9 [STP計算的過程]
1.選擇根網橋
2.選擇根埠
3.選擇指定埠
4.指定阻塞埠
2.0 [描述一下HSRP]
熱備路由協議 是Cisco私有的網關冗餘協議。它是由一組路由器(最低2台)構成的一個熱備組 作用是為用戶提供一個不間斷的網關ip,用戶通過這個ip訪問互聯網,即使真實的網關設備DOWN掉一台,也不會影響客戶的正常工作。
原理: 熱備組中包含4中路由器的角色,
活躍路由器:負責承載發往虛擬ip地址的流量,是真正轉發用戶數據流量的路由器,
同時向UDP1985發送hello包 表明自己的狀態,一個組中只有一台
備份路由器:監聽整個HSRP組的狀態,是成為下一個活躍路由器之前的狀態,一個組中只有一個 同時向組中發送
其他路由器:靜聽整個HSRP組的狀態,是備份路由器的候選者
虛擬路由器:為客戶端提供一個虛擬的ip和MAC 能夠然活躍路由器轉發。
當活躍路由器Down後 備份路由器收不到hello包 就會成為活躍路由器。而這個轉換的過程用戶是感覺不到的。
⑧ 網路工程師面試問題!
和IPS
從題庫里找到的答案,加油!
IDS是英文「Intrusion Detection Systems」的縮寫,中文意思是「入侵檢測系統
IDS是英文「Intrusion Detection Systems」的縮寫,中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
我們做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況並發出警告。
不同於防火牆,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里,"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中,已經很難找到以前的HUB式的共享介質沖突域的網路,絕大部分的網路區域都已經全面升級到交換式的網路結構。因此,IDS在交換式網路中的位置一般選擇在:
(1)盡可能靠近攻擊源
(2)盡可能靠近受保護資源
這些位置通常是:
•伺服器區域的交換機上
•Internet接入路由器之後的第一台交換機上
•重點保護網段的區域網交換機上
防火牆和IDS可以分開操作,IDS是個臨控系統,可以自行選擇合適的,或是符合需求的,比如發現規則或監控不完善,可以更改設置及規則,或是重新設置!
IPS:侵入保護(阻止)系統
【導讀】:侵入保護(阻止)系統(IPS)是新一代的侵入檢測系統(IDS),可彌補 IDS 存在於前攝及假陽性/陰性等性質方面的弱點。IPS 能夠識別事件的侵入、關聯、沖擊、方向和適當的分析,然後將合適的信息和命令傳送給防火牆、交換機和其它的網路設備以減輕該事件的風險。
侵入保護(阻止)系統(IPS)是新一代的侵入檢測系統(IDS),可彌補 IDS 存在於前攝及假陽性/陰性等性質方面的弱點。IPS 能夠識別事件的侵入、關聯、沖擊、方向和適當的分析,然後將合適的信息和命令傳送給防火牆、交換機和其它的網路設備以減輕該事件的風險。
IPS 的關鍵技術成份包括所合並的全球和本地主機訪問控制、IDS、全球和本地安全策略、風險管理軟體和支持全球訪問並用於管理 IPS 的控制台。如同 IDS 中一樣,IPS 中也需要降低假陽性或假陰性,它通常使用更為先進的侵入檢測技術,如試探式掃描、內容檢查、狀態和行為分析,同時還結合常規的侵入檢測技術如基於簽名的檢測和異常檢測。
同侵入檢測系統(IDS)一樣,IPS 系統分為基於主機和網路兩種類型。
基於主機 IPS
基於主機的 IPS 依靠在被保護的系統中所直接安裝的代理。它與操作系統內核和服務緊密地捆綁在一起,監視並截取對內核或 API 的系統調用,以便達到阻止並記錄攻擊的作用。它也可以監視數據流和特定應用的環境(如網頁伺服器的文件位置和注冊條目),以便能夠保護該應用程序使之能夠避免那些還不存在簽名的、普通的攻擊。
基於網路的 IPS
基於網路的 IPS 綜合了標准 IDS 的功能,IDS 是 IPS 與防火牆的混合體,並可被稱為嵌入式 IDS 或網關 IDS(GIDS)。基於網路的 IPS 設備只能阻止通過該設備的惡意信息流。為了提高 IPS 設備的使用效率,必須採用強迫信息流通過該設備的方式。更為具體的來說,受保護的信息流必須代表著向聯網計算機系統或從中發出的數據,且在其中:
指定的網路領域中,需要高度的安全和保護和/或
該網路領域中存在極可能發生的內部爆發
配置地址能夠有效地將網路劃分成最小的保護區域,並能夠提供最大范圍的有效覆蓋率。
IDS和IPS爭議有誤區
【導讀】:對於「IDS和IPS(IDP)誰更能滿足用戶需求」這個問題,給人一種二選一的感覺。經過了長時間的反復爭論,以及來自產品開發和市場的反饋,冷靜的業內人士和客戶已經看到這根本不是一個二選一的問題。
對於「IDS和IPS(IDP)誰更能滿足用戶需求」這個問題,給人一種二選一的感覺。經過了長時間的反復爭論,以及來自產品開發和市場的反饋,冷靜的業內人士和客戶已經看到這根本不是一個二選一的問題。
很顯然,用戶需要的不是單一的產品,也不是眾多產品的簡單堆砌。現在一個比較流行的說法就是「信息安全保障體系(系統)」,也就是用戶的安全是要靠眾多技術、產品、服務和管理等要素組合成一個完整的體系,來解決所面臨的安全威脅,以保護信息資產和正常業務。
在安全保障框架中,不同的產品、服務、措施會在不同的地方發揮作用。比如,PKI和生物鑒別機制的優勢在鑒別認證領域能夠很好地發揮作用;入侵檢測則在監測、監控和預警領域發揮優勢;防火牆和IPS能在訪問控制領域發揮長處;數據加密和內容過濾在內容安全領域獨領風騷。討論不同的安全技術領域哪個更加符合用戶的需求,其實不如探討讓各種安全技術如何有效地協同工作。
IPS真的能夠替代防火牆和IDS嗎?提供IPS(IDP)的廠商常常聲稱,其IPS能夠兼具防火牆的網關防禦能力和入侵檢測的深度檢測,企圖達到把IPS的作用上升到1+1>2的效果。但是很遺憾,實際上並不是這樣。我們必須從技術本質上尋找解決辦法。目前IPS能夠解決的主要是准確的單包檢測和高速傳輸的融合問題。
當然,檢測和訪問控制如何協同和融合,將會一直是業內研究的課題,也將會有更多更好的技術形態出現。不管叫什麼名字,適合用戶需求的就是最好的。
三個維度區分IDS與IPS
【導讀】:3年前,當入侵防禦技術(IPS)出現時,咨詢機構Gartner曾經預言,IDS(入侵檢測)即將死亡,將由IPS取代,當時曾引起媒體一片討論。2006年,咨詢機構IDC斷言,IDS與IPS是兩種不同的技術,無法互相取代。而今天,依然有很多用戶不清楚兩者之間的差別。
中國人民銀行的張漲是IDS的骨灰級用戶,對IDS玩得非常熟,但即使這樣,他也僅僅是聽說IPS而已,並沒有真正使用和見過。他的擔心是:IPS既然是網路威脅的阻斷設備,誤報、誤阻影響網路的連通性怎麼辦?北京銀行的魏武中也認為,如果在網路的入口處,串接了一串安全設備:IPS、防火牆/VPM以及殺病毒網關等,怎麼保證網路的效率?是否會因增添一種新的設備而引起新的單點故障的風險?
事實上,這些疑問一直如影隨形地伴隨著IPS的誕生和發展。以至於,在很多用戶的安全設備的采購清單中,一直在出現「IDS或IPS」的選擇,這證明用戶依然不了解這兩種技術的差別。
啟明星辰公司的產品管理中心總監萬卿認為,現在是重新審視這兩種技術的時候了。他認為,要從三個維度上認清這兩種技術的不同。
從趨勢看差別
2004年,Gartner的報告曾經預言IDS即將死亡,但無論從用戶的需求還是從廠商的產品銷售來看,IDS依然處於旺盛的需求階段,比如,國內最大的IDS生產廠商啟明星辰公司,今年上半年IDS的增長超過了50%,並且,公司最大的贏利來源依然是IDS,事實證明,IDS即將死亡的論斷是錯誤的。
萬卿認為,IDC的報告是准確的,IDS和IPS分屬兩種不同產品領域,前者是一種檢測技術,而後者是一種阻斷技術,只不過後者阻斷攻擊的依據是檢測,因此要用到很多的檢測技術,很多用戶就此搞混了。
從理論上看,IDS和IPS是分屬兩個不同的層次,這與用戶的風險防範模型有關,用戶首先要查找到風險,才能預防和阻斷風險。而IDS是查找和評估風險的設備,IPS是阻斷風險的設備。防火牆只能做網路層的風險阻斷,不能做到應用層的風險阻斷。過去,人們曾經利用防火牆與IDS聯動的方式實現應用層的風險阻斷,但由於是聯動,阻斷時間上會出現滯後,往往攻擊已經發生了才出現阻斷,這種阻斷已經失去了意義,IPS就此產生。
用一句話概括,IDS是幫助用戶自我評估、自我認知的設備,而IPS或防火牆是改善控制環境的設備。IPS注重的是入侵風險的控制,而IDS注重的是入侵風險的管理。也許有一天,通過IDS,我們能確定到底在什麼地方放IPS?到底在什麼地方放防火牆?這些設備應該配備哪些策略?並可以通過IDS檢測部署IPS/防火牆的效果如何。
IDS與IPS各自的應用價值與部署目標
【導讀】:從2003年 Gartner公司副總裁Richard Stiennon發表的《入侵檢測已壽終正寢,入侵防禦將萬古長青》報告引發的安全業界震動至今,關於入侵檢測系統與入侵防禦系統之間關系的討論已經趨於平淡,2006年IDC年度安全市場報告更是明確指出入侵檢測系統和入侵防禦系統是兩個獨立的市場,給這個討論畫上了一個句號。可以說,目前無論是從業於信息安全行業的專業人士還是普通用戶,都認為入侵檢測系統和入侵防禦系統是兩類產品,並不存在入侵防禦系統要替代入侵檢測系統的可能。但由於入侵防禦產品的出現,給用戶帶來新的困惑:到底什麼情況下該選擇入侵檢測產品,什麼時候該選擇入侵防禦產品呢?筆者曾見過用戶進行產品選擇的時候在產品類型上寫著「入侵檢測系統或者入侵防禦系統」。這說明用戶還不能確定到底使用哪種產品,顯然是因為對兩類產品的區分不夠清晰所致,其實從產品價值以及應用角度來分析就可以比較清晰的區分和選擇兩類產品。
從2003年 Gartner公司副總裁Richard Stiennon發表的《入侵檢測已壽終正寢,入侵防禦將萬古長青》報告引發的安全業界震動至今,關於入侵檢測系統與入侵防禦系統之間關系的討論已經趨於平淡,2006年IDC年度安全市場報告更是明確指出入侵檢測系統和入侵防禦系統是兩個獨立的市場,給這個討論畫上了一個句號。可以說,目前無論是從業於信息安全行業的專業人士還是普通用戶,都認為入侵檢測系統和入侵防禦系統是兩類產品,並不存在入侵防禦系統要替代入侵檢測系統的可能。但由於入侵防禦產品的出現,給用戶帶來新的困惑:到底什麼情況下該選擇入侵檢測產品,什麼時候該選擇入侵防禦產品呢?筆者曾見過用戶進行產品選擇的時候在產品類型上寫著「入侵檢測系統或者入侵防禦系統」。這說明用戶還不能確定到底使用哪種產品,顯然是因為對兩類產品的區分不夠清晰所致,其實從產品價值以及應用角度來分析就可以比較清晰的區分和選擇兩類產品。
從產品價值角度講:入侵檢測系統注重的是網路安全狀況的監管。用戶進行網路安全建設之前,通常要考慮信息系統面臨哪些威脅;這些威脅的來源以及進入信息系統的途徑;信息系統對這些威脅的抵禦能力如何等方面的信息。在信息系統安全建設中以及實施後也要不斷的觀察信息系統中的安全狀況,了解網路威脅發展趨勢。只有這樣才能有的放矢的進行信息系統的安全建設,才能根據安全狀況及時調整安全策略,減少信息系統被破壞的可能。
入侵防禦系統關注的是對入侵行為的控制。當用戶明確信息系統安全建設方案和策略之後,可以在入侵防禦系統中實施邊界防護安全策略。與防火牆類產品可以實施的安全策略不同,入侵防禦系統可以實施深層防禦安全策略,即可以在應用層檢測出攻擊並予以阻斷,這是防火牆所做不到的,當然也是入侵檢測產品所做不到的。
從產品應用角度來講:為了達到可以全面檢測網路安全狀況的目的,入侵檢測系統需要部署在網路內部的中心點,需要能夠觀察到所有網路數據。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,即每子網部署一個入侵檢測分析引擎,並統一進行引擎的策略管理以及事件分析,以達到掌控整個信息系統安全狀況的目的。
而為了實現對外部攻擊的防禦,入侵防禦系統需要部署在網路的邊界。這樣所有來自外部的數據必須串列通過入侵防禦系統,入侵防禦系統即可實時分析網路數據,發現攻擊行為立即予以阻斷,保證來自外部的攻擊數據不能通過網路邊界進入網路。
IDS是依照一定的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。IPS 能夠識別事件的侵入、關聯、沖擊、方向和適當的分析,然後將合適的信息和命令傳送給防火牆、交換機和其它的網路設備以減輕該事件的風險。
⑨ 愛美克空氣過濾器(蘇州)有限公司待遇怎麼樣:::是面試的設備技術
采購專員/助理 本科抄 4-6K 28歲
銷售工程師 本科 4-6K 28歲
質量檢驗員/測試員 大專 2-4K 23歲 應該相對的,做技術會稍微高點吧, 你自己做個參考吧。(下一站薪水網提供)
⑩ 對於產品新人來說,從簡歷到面試,都要注意哪些問題
對於面試應屆生或者初級的產品經理,我主要側重以下幾個方面來考察。
一、對崗位和自身的認知。
1.為什麼選擇產品經理崗位?學校課程和知識結構?(崗位意願和選擇路徑)
2.產品這個職位最吸引你的是什麼?(目標)
3.怎麼看待產品經理這個崗位?(職責和任務)
4.你認為自己應聘這個崗位的優劣勢?(軟實力)
二、了解行業和專業學習途徑,記錄總結能力。
1.了解行業和提升產品專業能力的途徑有哪些?(接觸行業和專業學習能力)
2.有沒有看一些書籍?(系統學習行為)列舉觸動自己的觀點?(思維和認知層面的提升)
3.瀏覽或看書會不會做些記錄或筆記?(記錄能力)
4.做些項目或體驗產品有沒有做些總結,輸出些報告。(階段總結能力)
三、基礎研究能力。
1.有沒有做過一些用戶調研或者用戶研究的工作?(對用戶的了解和關注)具體是怎麼開展的?
2.是否做過競品分析報告? 競品好在哪裡?差在哪裡?(行業及競對研究)
3.怎麼樣評判一個產品或者功能策劃的好壞?有哪幾個維度?(產品思維和原則)
4.是否關注過用戶反饋,怎麼對待用戶的意見反饋?(需求敏感度,需求的過濾和甄別能力)
5.是否經常觀測產品數據,並做一些數據分析工作?(數據敏感度和分析能力)
四、項目和工作能力。
1.是否有實習經歷(實際項目能力)?具體做了哪些工作?
2.是否帶來了之前寫的文檔和原型設計?查看一下,可以提些簡單問題;(需求落地、原型構建能力和工具使用情況)
3.請一句話描述自己做的產品?簡述產品的商業模式?產品的相關競品有哪些?其差別和優劣勢?(概括及商業分析能力)
4.請描述實際項目中你是怎麼去做的?如每天怎麼安排自己的工作?(執行和推動能力)
5.你和他人在工作中有沒有意見不一致的時候,你是怎麼解決的?(溝通協作能力)
6.實習期間有哪些提高和收獲?(成長及收獲)
7.期間別人對你最好的評價和最壞的評價?你最看重什麼?(工作和團隊表現)
五、對行業的關注和公司的意願。
1.列舉自己最喜歡的app有哪些?喜好的原因?是否存在一些問題,如果自己策劃如何規避?(關注點)
2.現在互聯網細分領域比較多,如社交、電商、金融、智能設備等,自己最喜歡哪個領域?(喜好領域)
3.對招聘者所在行業是否有一定的了解?對我們公司是否了解和關注,以及選擇的理由?(意願和積極性)
4.對我們公司的業務和該崗位了解多少?我們的產品思路是怎麼樣的?與行業其他產品的差別在哪裡?(意願和認同)
六、生活的熱愛和追求,成長和規劃。
1.性格?專業外的興趣愛好?關注點?能夠看出其對生活的熱愛和心氣兒,以及對待工作的態度等!(生活興趣及工作態度)
2.畢業後1-3年的職業規劃?更看重什麼?平台大小、公司前景、產品和團隊、個人空間、薪資等(穩定性和向心力)
3.有沒有偶像?談談對自己的影響?說說你最想實現的一個夢想是什麼?(人生追求及價值實現)
整個面試過程重點評估學習能力、邏輯思維能力和表達能力,專業知識儲備和基礎實操能力以及對公司的意向和對業務的興趣。