① 采访需要的器材和怎样通常分工,我要做采访视频
一个摄像机 一套线麦 一个脚架 人员是摄像师负责拍摄 记者负责拿话筒问问题 后期剪辑制作谁都可以做 很简单的
② 网络工程师面试题
网络工程师面试题 1: 交换机是如何转发数据包的?
交换机通过学习数据帧中的源MAC地址生成交换机的MAC地址表,交换机查看数据帧的目标MAC地址,根据MAC地址表转发数据,如果交换机在表中没有找到匹配项,则向除接受到这个数据帧的端口以外的所有端口广播这个数据帧。
2 简述STP的作用及工作原理.
作用:(1) 能够在逻辑上阻断环路,生成树形结构的拓扑;
(2) 能够不断的检测网络的变化,当主要的线路出现故障断开的时候,STP还能通过计算激活阻起到断的端口,起到链路的备份作用。
工作原理: STP将一个环形网络生成无环拓朴的步骤:
选择根网桥(Root Bridge)
选择根端口(Root Ports)
选择指定端口(Designated Ports)
生成树机理
每个STP实例中有一个根网桥
每个非根网桥上都有一个根端口
每个网段有一个指定端口
非指定端口被阻塞 STP是交换网络的重点,考察是否理解.
3:简述传统的多层交换与基于CEF的多层交换的区别
简单的说:传统的多层交换:一次路由,多次交换
基于CEF的多层交换:无须路由,一直交换.
4:DHCP的作用是什么,如何让一个vlan中的DHCP服务器为整个企业网络分配IP地址?
作用:动态主机配置协议,为客户端动态分配IP地址.
配置DHCP中继,也就是帮助地址.(因为DHCP是基于广播的,vlan 或路由器隔离了广播)
5:有一台交换机上的所有用户都获取不了IP地址,但手工配置后这台交换机上的同一vlan间的用户之间能够相互ping通,但ping不通外网,请说出排障思路.
1:如果其它交换机上的终端设备能够获取IP地址,看帮助地址是否配置正确;
2:此交换机与上连交换机间是否封装为Trunk.
3:单臂路由实现vlan间路由的话看子接口是否配置正确,三层交换机实现vlan间路由的话看是否给vlan配置ip地址及配置是否正确.
4:再看此交换机跟上连交换机之间的级连线是否有问题;
排障思路.
6:什么是静态路由?什么是动态路由?各自的特点是什么?
静态路由是由管理员在路由器中手动配置的固定路由,路由明确地指定了包到达目的地必须经过的路径,除非网络管理员干预,否则静态路由不会发生变化。静态路由不能对网络的改变作出反应,所以一般说静态路由用于网络规模不大、拓扑结构相对固定的网络。
静态路由特点
1、它允许对路由的行为进行精确的控制;
2、减少了网络流量;
3、是单向的;
4、配置简单。
动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由表的过程。是基于某种路由协议来实现的。常见的路由协议类型有:距离矢量路由协议(如RIP)和链路状态路由协议(如 OSPF)。路由协议定义了路由器在与其它路由器通信时的一些规则。动态路由协议一般都有路由算法。其路由选择算法的必要步骤
1、向其它路由器传递路由信息;
2、接收其它路由器的路由信息;
3、根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成路由选择表;
4、根据网络拓扑的变化及时的做出反应,调整路由生成新的路由选择表,同时把拓扑变化以路由信息的形式向其它路由器宣告。
动态路由适用于网络规模大、拓扑复杂的网络。
动态路由特点:
1、无需管理员手工维护,减轻了管理员的工作负担。
2、占用了网络带宽。
3、在路由器上运行路由协议,使路由器可以自动根据网络拓朴结构的变化调整路由条目;
能否根据具体的环境选择合适的路由协议
7:简述有类与无类路由选择协议的区别
有类路由协议:路由更新信息中不含有子网信息的协议,如RIPV1,IGRP
无类路由协议:路由更新信息中含有子网信息的协议,如OSPF,RIPV2,IS-IS,EIGRP 是否理解有类与无类
8:简述RIP的防环机制
1.定义最大跳数 Maximum Hop Count (15跳)
2.水平分割 Split Horizon (默认所有接口开启,除了Frame-Relay的物理接口,可用sh ip interface 查看开启还是关闭)
3.毒化路由 Poizoned Route
4.毒性反转 Poison Reverse (RIP基于UDP,UDP和IP都不可靠,不知道对方收到毒化路由没有;类似于对毒化路由的Ack机制)
5.保持计时器 hold-down Timer (防止路由表频繁翻动)
6.闪式更新 Flash Update
7.触发更新 Triggered Update (需手工启动,且两边都要开 Router (config-if)# ip rip triggered )
当启用触发更新后,RIP不再遵循30s的周期性更新时间,这也是与闪式更新的区别所在。
RIP的4个计时器:
更新计时器(update): 30 s
无效计时器(invalid): 180 s (180s没收到更新,则置为possible down状态)
保持计时器(holddown): 180s (真正起作用的只有60s)
刷新计时器(flush): 240s (240s没收到更新,则删除这条路由)
如果路由变成possible down后,这条路由跳数将变成16跳,标记为不可达;这时holddown计时器开始计时。
在holddown时间内即使收到更优的路由,不加入路由表;这样做是为了防止路由频繁翻动。
什么时候启用holddown计时器: “当收到一条路由更新的跳数大于路由表中已记录的该条路由的跳数”
9:简述电路交换和分组交换的区别及应用场合. 电路交换连接
根据需要进行连接
每一次通信会话期间都要建立、保持,然后拆除
在电信运营商网络中建立起来的专用物理电路
分组交换连接
将传输的数据分组
多个网络设备共享实际的物理线路
使用虚电路/虚通道(Virtual Channel)传输
若要传送的数据量很大,且其传送时间远大于呼叫时间,则采用电路交换较为合适;当端到端的通路有很多段的链路组成时,采用分组交换传送数据较为合适。
10:简述PPP协议的优点. 支持同步或异步串行链路的传输
支持多种网络层协议
支持错误检测
支持网络层的地址协商
支持用户认证
允许进行数据压缩
11: pap和chap认证的区别
PAP(口令验证协议 Password Authentication Protocol)是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
CHAP(挑战-握手验证协议 Challenge-Handshake Authentication Protocol)是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack)。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remote client impersonation)进行攻击。
12:ADSL是如何实现数据与语音同传的?
物理层:频分复用技术.(高频传输数据,低频传输语音)具体讲解的话可以说明:调制,滤波,解调的过程.
13:OSPF中那几种网络类型需要选择DR,BDR?
广播型网络和非广播多路访问NBMA网络需要选.
14:OSPF中完全末梢区域的特点及适用场合
特点:不能学习其他区域的路由
不能学习外部路由
完全末梢区域不仅使用缺省路由到达OSPF自主系统外部的目的地址,而且使用这个缺省路由到达这个区域外部的所有目的地址.一个完全末梢区域的ABR不仅阻塞AS外部LSA,而且阻塞所有汇总LSA.
适用场合:只有一出口的网络.
15:OSPF中为什么要划分多区域?
1、减小路由表大小
2、限制lsa的扩散
3、加快收敛
4、增强稳定性
16:NSSA区域的特点是什么?
1.可以学习本区域连接的外部路由;
2.不学习其他区域转发进来的外部路由
17:你都知道网络的那些冗余技术,请说明.
交换机的冗余性:spanning-tree、ethernet-channel
路由的冗余性:HSRP,VRRP,GLBP.
(有必要的话可以详细介绍)
18:HSRP的转换时间是多长时间?
10s
19:标准访问控制列表和扩展访问控制列表的区别.
标准访问控制列表:基于源进行过滤
扩展访问控制列表: 基于源和目的地址、传输层协议和应用端口号进行过滤
20:NAT的原理及优缺点.
原理:转换内部地址,转换外部地址,PAT,解决地址重叠问题.
优点:节省IP地址,能够处理地址重复的情况,增加了灵活性,消除了地址重新编号,隐藏了内部IP地址.
缺点:增加了延迟,丢失了端到端的IP的跟踪过程,不能够支持一些特定的应用(如:SNMP),需要更多的内存来存储一个NAT表,需要更多的CPU来处理NAT的过程.
21: 对称性加密算法和非对称型加密算法的不同?
对称性加密算法的双方共同维护一组相同的密钥,并使用该密钥加密双方的数据,加密速度快,但密钥的维护需要双方的协商,容易被人窃取;非对称型加密算法使用公钥和私钥,双方维护对方的公钥(一对),并且各自维护自己的私钥,在加密过程中,通常使用对端公钥进行加密,对端接受后使用其私钥进行解密,加密性良好,而且不易被窃取,但加密速度慢.
22: 安全关联的作用?
SA分为两步骤:1.IKE SA,用于双方的对等体认证,认证对方为合法的对端;2.IPSec SA,用于双方认证后,协商对数据保护的方式.
23: ESP和AH的区别?
ESP除了可以对数据进行认证外,还可以对数据进行加密;AH不能对数据进行加密,但对数据认证的支持更好 .
24: snmp的两种工作方式是什么,有什么特点?
首先,SNMP是基于UDP的,有两种工作方式,一种是轮询,一种是中断.
轮询:网管工作站随机开端口轮询被管设备的UDP的161端口.
中断:被管设备将trap报文主动发给网管工作站的UDP的162端口.
特点:轮询一定能够查到被管设备是否出现了故障,但实时性不好.
中断实时性好(触发更新),但不一定能够将trap报文报告给网管工作站.
③ 面试网络维护工程师会被问到哪些问题
我从事酒店网管6年,让我来告诉你吧,这些纸上的要求其实都是唬人的回,只有新人答才会去看他的要求,是否每一条都符合要求,然后才敢去面试,其实这样是错的,和你面试一般先是人事面试,然后再有技术和你面试,最后老总面试,,基本都是个流程,其实技术这一关没有什么,可能会问一些名词,认证都有哪些,有没有工作经验,以前在哪里做过这些,高级一点的,会问到一些自己在工作中遇到难处理的CASE 问你是不是能解决,或者有更好的方法。就这些了,,反正我遇到的只有这些,这几年不知道这类行业有没有变化,,总结一句话就是,只要你能进入公司,肯定就能胜任。技术这一关分人吧。
④ 面试题:ARP和MAC哪个优先出现在交换机里面
mac啊,有了mac才有arp表
⑤ 职场面试需要注意哪些细节
1、与旁人唠叨是禁忌,在接待室恰巧遇到朋友或熟人时千万不可旁若无人地大声说话或笑闹版;
2、不要吃东权西,包括嚼口香糖;不要抽烟;注意个人卫生;
3、对其它工作人员以礼相待,主动打招呼或行点头礼;
4、关掉所有通讯设备,以免面试时出现尴尬的场面;
5、可以适当的轻声于其它应聘者交流,这也可以体现出你乐于助人,谦虚好学的品质;
6、不要太关注非面试官司工作人员的谈话,更不可冒失的发表评论;
7、等待过程要注意精神面貌,要时刻保持微笑,也应该站有站相,坐有坐相;
8、紧张的时候不要东张西望,可以拿出随身带来的材料以缓解紧张的心情;
9、进入面试室时,不论门是开着、关着、半开着,你都应该敲门。敲门时以指节轻扣三声,力度以面试人员能听到为宜。等到回复后再开门进去,开门一定要轻。进去后面向里边轻轻将门带上,向面试人员问好,30°鞠躬或行点头礼,并微笑自信的说出自己的名字。
10、在对方没请你入座之前,切记不可贸然就座。若对方一直没请你入座,你可以适时
提出“我是否可以坐在这呢?”的要求,得到对方允许后要说声“谢谢”,然后大大方方坐下
去,其中动作一定要稳健、轻缓,不能制造出杂声。
⑥ 技术面试会问很多技术问题吗
笔者其实没有想到去面试,只是在智联上更新了一下简历,就陆陆续续接到很多猎头的邮件和电话,实在是没准备好要去面试,就推掉了几家公司的面试了。正因为笔者也很久没有面试了,笔者也想去面试学习一下,闲话少说,下面就分享给大家笔者在2018年1月4号上午10点30分的面试经历:
首先,猎头或者公司人资会把公司的介绍及岗位要求发到你邮箱(或者QQ、微信),下面这份是猎头发给我的岗位说明,为了职业道德操守,公司的介绍和面试通知信息我就不贴出来了,我就把岗位要求贴出来:
职位描述:
1、 负责应用服务器的安装、配置、优化与维护;
2、 负责应用系统的日志信息备份、管理、维护与分析;
3、 负责应用系统的日常监测于维护、故障处理、性能分析与优化;
4、 负责应用部署系统、环境配置系统、监控系统的开发、部署、升级与维护,建设高性能的运维平台。
岗位要求:
1、 熟悉Linux操作系统的基础知识,熟练使用Linux常用操作命令;
2、 熟练配置Nginx、HAproxy 等应用相关软件的部署、配置与优化维护;
3、 熟悉网络基础知识、熟悉TCP/IP的工作原理,会配交换机或路由器,能熟练的对网络情况进行分析
4、 熟悉shell/perl/python中的一种或多种进行运维程序的开发;
5、 熟悉Nagios,Ganglia等监控软件
看着上面的要求大家是不是觉得要求也不高啊,你要细看就会发现,这家公司要求的还挺多,不仅要会网络知识(熟悉TCP/IP好像是每家单位的都会写这样的要求),还要会开发技能。相信很多做运维的兄弟在网络这一块是个头疼的事情,都对交换机和路由器不怎么会配置和管理。
然后,笔者详细了解他们公司,了解岗位要求,在突击复习一下可能会问到的知识点和技术点。到了面试的这天时间,早早的起床,把牙一定要刷干净,特别是有口臭的兄弟,最好准备点口香糖,到达面试公司前嚼块口香糖,以免因为口气的原因熏到面试官,让你在面试官心里减分。早点要记得吃,如果你是下午面试的话也要吃午饭,吃早点了精气神就有了。还要注意,带上你的简历和一支笔,虽然他们那边也会有你的简历,为了以防万一还是准备好简历。
最后,关键点来了,就是和面试官沟通了,有笔试的公司会让你做些面试题,没有笔试就直接和面试官聊了,下面是我和面试官沟通完之后记住的一些问题,分享给大家看一下,笔者一共记住了7个问题,好像还有两个问题实在想不起来了,如果大家有更恰当的回答一定要贴出来一起探讨和进步:
1、介绍下自己?(几乎每家公司首先都会让你做个自我介绍,好像是必修课一样)
笔者回答:此处省略笔者的自我介绍,笔者建议介绍自己的时间不宜过长,3-4分钟为宜,说多了面试官会觉得你太啰嗦了。说太少了也不行,那样会让人感觉你的经历太简单了、太空了。正常情况下,一般你在做自我介绍的同时,面试官这个时候在看你的简历,他需要一边看简历、一边听你介绍自己,如果你说个几句话就把自己介绍完了,他肯定还没缓过神来,对你的映像会减分的。在介绍的同时思维要清晰,逻辑要清楚,最好是根据你简历上写的经历来介绍,这样可以把面试官的思路带到你这里来,让他思路跟着你走。不要东扯一句,西扯一句。竟量少介绍自己的性格、爱好(最好能不说就不说),你可以简单罗列干过几家公司(最多罗列3家公司/也包含目前所在的公司,注意顺序不要乱),都在那几家公司负责什么工作,都用过什么技术,在着重介绍一下你目前所在的公司是负责哪些工作的,可以稍微详细一点介绍,不要让面试官听着晕头转向的感觉。
2、灰度发布如何实现?
笔者回答:其实对这个问题笔者也答的不好,就不写出来误导大家了。大家有好的方法可以共享出来。不过笔事后在知呼上看到了一位网友的建议觉得不错,大家可以参考看一下 :https://www.hu.com/question/20584476
3、Mongodb熟悉吗,一般部署几台?
笔者回答:部署过,没有深入研究过,一般mongodb部署主从、或者mongodb分片集群;建议3台或5台服务器来部署。MongoDB分片的基本思想就是将集合切分成小块。这些块分散到若干片里面,每个片只负责总数据的一部分。 对于客户端来说,无需知道数据被拆分了,也无需知道服务端哪个分片对应哪些数据。数据在分片之前需要运行一个路由进程,进程名为mongos。这个路由器知道所有数据的存放位置,知道数据和片的对应关系。对客户端来说,它仅知道连接了一个普通的mongod,在请求数据的过程中,通过路由器上的数据和片的对应关系,路由到目标数据所在的片上,如果请求有了回应,路由器将其收集起来回送给客户端。
4、如何发布和回滚,用jenkins又是怎么实现?
笔者回答:发布:jenkins配置好代码路径(SVN或GIT),然后拉代码,打tag。需要编译就编译,编译之后推送到发布服务器(jenkins里面可以调脚本),然后从分发服务器往下分发到业务服务器上。
回滚:按照版本号到发布服务器找到对应的版本推送
5、Tomcat工作模式?
笔者回答:Tomcat是一个JSP/Servlet容器。其作为Servlet容器,有三种工作模式:独立的Servlet容器、进程内的Servlet容器和进程外的Servlet容器。
进入Tomcat的请求可以根据Tomcat的工作模式分为如下两类:
Tomcat作为应用程序服务器:请求来自于前端的web服务器,这可能是Apache, IIS, Nginx等;
Tomcat作为独立服务器:请求来自于web浏览器;
6、监控用什么实现的?
笔者回答:现在公司的业务都跑在阿里云上,我们首选的监控就是用阿里云监控,阿里云监控自带了ECS、RDS等服务的监控模板,可结合自定义报警规则来触发监控项。上家公司的业务是托管在IDC,用的是zabbix监控方案,zabbix图形界面丰富,也自带很多监控模板,特别是多个分区、多个网卡等自动发现并进行监控做得非常不错,不过需要在每台客户机(被监控端)安装zabbix agent。
7、你是怎么备份数据的,包括数据库备份?
笔者回答:在生产环境下,不管是应用数据、还是数据库数据首先在部署的时候就会有主从架构、或者集群,这本身就是属于数据的热备份;其实考虑冷备份,用专门一台服务器做为备份服务器,比如可以用rsync+inotify配合计划任务来实现数据的冷备份,如果是发版的包备份,正常情况下有台发布服务器,每次发版都会保存好发版的包。
总结
总结一下面试注意几点事项,可能笔者也说得不太对,为了我们运维工作的兄弟们都能拿到高薪,大家一定要指证出来一起进步、一起探讨:
第一,你要对自己的简历很熟悉,简历上的写的技能自己一定要能说出个一二,因为面试官的很多问题都会挑你简历上写的问。比如你简历上写了这么一条技能“熟悉mysql数据库的部署安装及原理”。你即然写了这么一条技能,你在怎么不熟悉你也要了解mysql的原理,能说出个大概意思。万一面试官问到了你写的这一条,你都答不上来,那在他心里你又减分了,基本上这次面试希望不大。
第二,如果面试官问到你不会的问题,你就说这个不太熟悉,没有具体研究过,千万别不懂装懂,还扯一堆没用的话题来掩饰,这样只会让面试官反感你。
第三,准备充分,竟可能多的记住原理性的知识,一般面试问的多的就是原理。很少问具体的配置文件是怎么配置的。面试前也要了解清楚“职位描述”和“岗位要求”,虽然有时候大多数不会问到岗位要求的问题,但也要了解和熟悉。
第四,面试完后一定要总结,尽量记住面试官问的每一个问题,回去记录下来,如果问到不会的问题,事后要立马查网络或者找朋友搞清楚、弄明白,这样你才能记劳,下次面试说不定又问到同样的问题。
问完之后,面试官就跟我聊薪资待遇了,问我多少钱能达到自己的要求,我就不便透露了,可以私聊,哈哈,后续笔者会陆陆续续更新以前面试的经历和问题,有需要的朋友可以转载或者收藏起来一起讨论。
基于大家热情高昂的气氛,笔者又花了一个下午的时间回忆并整理在2017年2月24号笔者在东三环边上(快到东四环了,没有地铁过去,到了四惠还要转公交车)的一家传媒公司的面试经历,还好笔者有做笔记的习惯,把之前面试的问题都记录在案,这一次的面试笔者可是记忆犹新,因为这次这家公司都跟笔者发offer了,实在是真心不想去这家公司就找原因推掉了,大家可别学我这么不靠谱。下面是这家公司中的岗位要求说明:
岗位职责:
1、负责公司产品的版本控制、构建和发布管理;
2、负责公司统一配置库管理工作,权限管理与分配准确及时,定期完成配置备份;
3、负责公司内部开发/测试服务器的运行管理工作;
4、负责Linux操作系统的安装、配置、监控和维护、问题处理、软件升级、 数据备份、应急响应、故障排除等、保证线上环境的稳定运行;
5、负责支撑平台24×7稳定运行,并进行前瞻性容量规划;
6、负责公司机房服务器日常维护及网络系统安装、部署、维护工作。
岗位要求:
1、计算机相关专业本科及以上学历,2年以上运维或配置管理工作经验;
2、至少熟悉一种监控系统搭建,如Nagios/Zabbix/等;
3、至少熟悉一种集群管理工具,如Ansible/SaltStack等;
4、有使用集成发布工具发布构建经验优先。比如:bamboo或者Jenkins;
5、熟悉Unix/Linux操作系统,熟悉Weblogic/tomcat等中间件,能够编写shell脚本,熟悉软件开发过程及过程产品,有一定的网络基础;
6、熟悉rsyslog, flume等日志收集和处理系统;
7、具有强烈的安全意识及较强的沟通协调和学习能力,良好的团队合作精神,工作积极主动。
过去之后,前台美眉把我带到他们公司的地下室,我扫视了一下周围的环境,貌似旁边就是机房,因为我听到服务器的声音。等了几分钟,面试官下来了,面试官目测比较瘦,看着跟我身材差不多(应该不到120),他说他是负责运维部的,然后开始就叫我先自我介绍,都是一个套路,免不了介绍的,所以兄弟们一定要把自我介绍练好。然后开始问我问题了,跟面试官聊得还行,问我应该有不下10个以上的问题,我记住了下面有10个问题:
1、LVS负载的原理,和Nginx负载有啥区别?
笔者回答:这个问题我觉得面试官司没问好,正常都会这么问“LVS有哪些负载均衡技术和调度算法?"。我回答就是按我说的这种问法回答的,反正他也频繁点头,当然,笔者回答的可能没有下面我整理出来的那么详细,大概意思我都说明白了。
LVS是Liunx虚拟服务器的简称,利用LVS提供的负载均衡技术和linux操作系统可实现高性能、高可用的服务器集群,一般LVS都是位于整个集群系统的最前端,由一台或者多台负载调度器(Director Server)组成,分发给应用服务器(Real Server)。它是工作在4层(也就是TCP/IP中的传输层),LVS是基于IP负载均衡技术的IPVS模块来实现的,IPVS实现负载均衡机制有三种,分别是NAT、TUN和DR,详述如下:
VS/NAT: 即(Virtual Server via Network Address Translation)
也就是网络地址翻译技术实现虚拟服务器,当用户请求到达调度器时,调度器将请求报文的目标地址(即虚拟IP地址)改写成选定的Real Server地址,同时报文的目标端口也改成选定的Real Server的相应端口,最后将报文请求发送到选定的Real Server。在服务器端得到数据后,Real Server返回数据给用户时,需要再次经过负载调度器将报文的源地址和源端口改成虚拟IP地址和相应端口,然后把数据发送给用户,完成整个负载调度过程。
可以看出,在NAT方式下,用户请求和响应报文都必须经过Director Server地址重写,当用户请求越来越多时,调度器的处理能力将称为瓶颈。
VS/TUN :即(Virtual Server via IP Tunneling)
也就是IP隧道技术实现虚拟服务器。它的连接调度和管理与VS/NAT方式一样,只是它的报文转发方法不同,VS/TUN方式中,调度器采用IP隧道技术将用户请求转发到某个Real Server,而这个Real Server将直接响应用户的请求,不再经过前端调度器,此外,对Real Server的地域位置没有要求,可以和Director Server位于同一个网段,也可以是独立的一个网络。因此,在TUN方式中,调度器将只处理用户的报文请求,集群系统的吞吐量大大提高。
VS/DR: 即(Virtual Server via Direct Routing)
也就是用直接路由技术实现虚拟服务器。它的连接调度和管理与VS/NAT和VS/TUN中的一样,但它的报文转发方法又有不同,VS/DR通过改写请求报文的MAC地址,将请求发送到Real Server,而Real Server将响应直接返回给客户,免去了VS/TUN中的IP隧道开销。这种方式是三种负载调度机制中性能最高最好的,但是必须要求Director Server与Real Server都有一块网卡连在同一物理网段上。
回答负载调度算法,IPVS实现在八种负载调度算法,我们常用的有四种调度算法(轮叫调度、加权轮叫调度、最少链接调度、加权最少链接调度)。一般说了这四种就够了,也不会需要你详细解释这四种算法的。你只要把上面3种负载均衡技术讲明白面试官就对这道问题很满意了。接下来你在简单说下与nginx的区别:
LVS的优点:
抗负载能力强、工作在第4层仅作分发之用,没有流量的产生,这个特点也决定了它在负载均衡软件里的性能最强的;无流量,同时保证了均衡器IO的性能不会受到大流量的影响;
工作稳定,自身有完整的双机热备方案,如LVS+Keepalived和LVS+Heartbeat;
应用范围比较广,可以对所有应用做负载均衡;
配置性比较低,这是一个缺点也是一个优点,因为没有可太多配置的东西,所以并不需要太多接触,大大减少了人为出错的几率。
LVS的缺点:
软件本身不支持正则处理,不能做动静分离,这就凸显了Nginx/HAProxy+Keepalived的优势。
如果网站应用比较庞大,LVS/DR+Keepalived就比较复杂了,特别是后面有Windows Server应用的机器,实施及配置还有维护过程就比较麻烦,相对而言,Nginx/HAProxy+Keepalived就简单一点
Nginx的优点:
工作在OSI第7层,可以针对http应用做一些分流的策略。比如针对域名、目录结构。它的正则比HAProxy更为强大和灵活;
Nginx对网络的依赖非常小,理论上能ping通就就能进行负载功能,这个也是它的优势所在;
Nginx安装和配置比较简单,测试起来比较方便;
可以承担高的负载压力且稳定,一般能支撑超过几万次的并发量;
Nginx可以通过端口检测到服务器内部的故障,比如根据服务器处理网页返回的状态码、超时等等,并且会把返回错误的请求重新提交到另一个节点;
Nginx不仅仅是一款优秀的负载均衡器/反向代理软件,它同时也是功能强大的Web应用服务器。LNMP现在也是非常流行的web环境,大有和LAMP环境分庭抗礼之势,Nginx在处理静态页面、特别是抗高并发方面相对apache有优势;
Nginx现在作为Web反向加速缓存越来越成熟了,速度比传统的Squid服务器更快,有需求的朋友可以考虑用其作为反向代理加速器;
Nginx的缺点:
Nginx不支持url来检测。
Nginx仅能支持http和Email,这个它的弱势。
Nginx的Session的保持,Cookie的引导能力相对欠缺。
2、redis集群的原理,redis分片是怎么实现的,你们公司redis用在了哪些环境?
笔者回答:reids集群原理:
其实它的原理不是三两句话能说明白的,redis 3.0版本之前是不支持集群的,官方推荐最大的节点数量为1000,至少需要3(Master)+3(Slave)才能建立集群,是无中心的分布式存储架构,可以在多个节点之间进行数据共享,解决了Redis高可用、可扩展等问题。集群可以将数据自动切分(split)到多个节点,当集群中的某一个节点故障时,redis还可以继续处理客户端的请求。
redis分片:
分片(partitioning)就是将你的数据拆分到多个 Redis 实例的过程,这样每个实例将只包含所有键的子集。当数据量大的时候,把数据分散存入多个数据库中,减少单节点的连接压力,实现海量数据存储。分片部署方式一般分为以下三种:
(1)在客户端做分片;这种方式在客户端确定要连接的redis实例,然后直接访问相应的redis实例;
(2)在代理中做分片;这种方式中,客户端并不直接访问redis实例,它也不知道自己要访问的具体是哪个redis实例,而是由代理转发请求和结果;其工作过程为:客户端先将请求发送给代理,代理通过分片算法确定要访问的是哪个redis实例,然后将请求发送给相应的redis实例,redis实例将结果返回给代理,代理最后将结果返回给客户端。
(3)在redis服务器端做分片;这种方式被称为“查询路由”,在这种方式中客户端随机选择一个redis实例发送请求,如果所请求的内容不再当前redis实例中它会负责将请求转交给正确的redis实例,也有的实现中,redis实例不会转发请求,而是将正确redis的信息发给客户端,由客户端再去向正确的redis实例发送请求。
redis用在了哪些环境:
java、php环境用到了redis,主要缓存有登录用户信息数据、设备详情数据、会员签到数据等
3、你会怎么统计当前访问的IP,并排序?
笔者回答:统计用户的访问IP,用awk结合uniq、sort过滤access.log日志就能统计并排序好。一般这么回答就够了,当然你还可以说出其它方式来统计,这都是你的加分项。
4、你会使用哪些虚拟化技术?
笔者回答:vmware vsphere及kvm,我用得比较多的是vmware vsphere虚拟化,几本上生产环境都用的vmware vsphere,kvm我是用在测试环境中使用。vmware 是属于原生架构虚拟化技术,也就是可直接在硬件上运行。kvm属于寄居架构的虚拟化技术,它是依托在系统之上运行。vmware vcenter
管理上比较方便,图形管理界面功能很强大,稳定性强,一般比较适合企业使用。KVM管理界面稍差点,需要管理人员花费点时间学习它的维护管理技术。
5、假如有人反应,调取后端接口时特别慢,你会如何排查?
笔者回答:其实这种问题都没有具体答案,只是看你回答的内容与面试官契合度有多高,能不能说到他想要的点上,主要是看你排查问题的思路。我是这么说的:问清楚反应的人哪个服务应用或者页面调取哪个接口慢,叫他把页面或相关的URL发给你,首先,最直观的分析就是用浏览器按F12,看下是哪一块的内容过慢(DNS解析、网络加载、大图片、还是某个文件内容等),如果有,就对症下药去解决(图片慢就优化图片、网络慢就查看内网情况等)。其次,看后端服务的日志,其实大多数的问题看相关日志是最有效分析,最好用tail -f 跟踪一下日志,当然你也要点击测试来访问接口日志才会打出来。最后,排除sql,,找到sql去mysql执行一下,看看时间是否很久,如果很久,就要优化SQL问题了,expain一下SQL看看索引情况啥的,针对性优化。数据量太大的能分表就分表,能分库就分库。如果SQL没啥问题,那可能就是写的逻辑代码的问题了,一行行审代码,找到耗时的地方改造,优化逻辑。
6、mysql数据库用的是主从读写分离,主库写,从库读,假如从库无法读取了、或者从库读取特别慢,你会如何解决?
笔者回答:这个问题笔者觉得回答的不太好,对mysql比较在行的朋友希望能给点建议。以解决问题为前提条件,先添加从库数量,临时把问题给解决,然后抓取slow log ,分析sql语句,该优化就优化处理。慢要不就是硬件跟不上,需要升级;要不就是软件需要调试优化,等问题解决在细化。
7、cpu单核和多核有啥区别?
笔者回答:很少有面试官会问这样的问题,即然问到了,也要老实回答。还好笔者之前了解过CPU,我是这么说的:双核CPU就是能处理多份任务,顺序排成队列来处理。单核CPU一次处理一份任务,轮流处理每个程序任务。双核的优势不是频率,而是对付同时处理多件事情。单核同时只能干一件事,比如你同时在后台BT下载,前台一边看电影一边拷贝文件一边QQ。
8、机械磁盘和固态硬盘有啥区别?
笔者回答:我擦,啥年代了,还问磁盘的问题,这面试官有点逗啊。那也要回答啊:
HDD代表机械硬盘,SSD代表固态硬盘。首先,从性能方面来说,固态硬盘几乎完胜机械硬盘,固态硬盘的读写速度肯定要快机械硬盘,因为固态硬盘和机械硬盘的构造是完全不同的(具体的构造就没必要解释了)。其次,固态盘几乎没有噪音、而机械盘噪音比较大。还有就是,以目前的市场情况来看,一般机械盘容量大,价格低;固态盘容量小,价格偏高。但是企业还是首选固态盘。
9、说一下用过哪些监控系统?
笔者回答:这个监控的问题又问到了,笔者在2018年1月4号也被问到类似这样的问题,笔者曾经用过zabbix、nagios、 cacit等。但是在这次面试中只说用过zabbix和nagios。说完了之后,面试官就让我说一下这两个监控有啥区别:
从web功能及画图来讲:
Nagios简单直观,报警与数据都在同一页面, 红色即为问题项。Nagios web端不要做任何配置。 Nagios需要额外安装插件,且插件画图不够美观。
Zabbix监控数据与报警是分开的,查看问题项需要看触发器,查看数据在最新数据查看。而且zabbix有很多其它配置项, zabbix携带画图功能,且能手动把多个监控项集在一个图中展示。
从监控服务来讲:
Nagios自带的监控项很少。对一些变动的如多个分区、多个网卡进行监控时需要手动配置。
Zabbix自带了很多监控内容,感觉zabbix一开始就为你做了很多事,特别是对多个分区、多个网卡等自动发现并进行监控时,那一瞬间很惊喜,很省心的感觉。
从批量配置和报警来讲:
Nagios对于批量监控主机,需要用脚本在server端新增host,并拷贝service文件。 Nagios用脚本来修改所有主机的services文件,加入新增服务。
Zabbix在server端配置自动注册规则,配置好规则后,后续新增client端不需要对server端进行操作。 Zabbix只需手动在模板中新增一监控项即可。
总体来讲:
Nagios要花很多时间写插件,Zabbix要花很多时间探索功能。
Nagios更易上手,Nagios两天弄会,Zabbix两周弄会。
Zabbix画图功能比Nagios更强大
Zabbix对于批量监控与服务更改,操作更简洁;Nagios如果写好自动化脚本后,也很简单,问题在于写自动化脚本很费神。
10、给你一套环境,你会如何设计高可用、高并发的架构?
笔者回答:如果这套环境是部署在云端(比如阿里云),你就不用去考虑硬件设计的问题。可直接上阿里云的SLB+ECS+RDS这套标准的高可用、高并发的架构。对外服务直接上SLB负载均衡技术,由阿里的SLB分发到后端的ECS主机;ECS主机部署多台,应用拆分在不同的ECS主机上,尽量细分服务。数据库用RDS高可用版本(一主一备的经典高可用架构)、或者用RDS金融版(一主两备的三节点架构)。在结合阿里其它的服务就完全OK,业务量上来了,主机不够用了,直横向扩容ECS主机搞定。
如果这套环境托管在IDC,那么你就要从硬件、软件(应用服务)双面去考虑了。硬件要达到高可用、高并发公司必须买多套网络硬件设备(比如负载设备F5、防火墙、核心层交换、接入层交换)都必须要冗余,由其是在网络设计上,设备之间都必须有双线连接。设备如果都是跑的单机,其中一个设备挂了,你整个网络都瘫痪了,就谈不上高可用、高并发了。其次在是考虑应用服务了,对外服务我会采用成熟的开源方案LVS+Keepalived或者Nginx+Keepalived,缓存层可以考虑redis集群及Mongodb集群,中间件等其它服务可以用kafka、zookeeper,图片存储可以用fastDFS或MFS,如果数据量大、又非常多,那么可采用hadoop这一套方案。后端数据库可采用 “主从+MHA”。这样一套环境下来是绝对满足高可用、高并发的架构
⑦ 面试网络维护工程师会被问到哪些问题
-物理层
物理层定义了设备接口上的一些电子电气化的标准,比如RJ45接口,光纤接口。传输介质双绞线,无线,光,电。等
--数据链路层
二层定义了一个重要的表示,MAC地址,准确的说他必须在一个LAN内是唯一的。他又48位的十六进制组成,前24位是厂商表示,后24位 是厂商自定义的序列号。有时候 MAC地址就是表示了一个设备的位置。
--网络层
网络层是用来逻辑上选路寻址的,这一层最重要的一个协议就是IP协议。基于ip 又分为 ARP,RARP,ICMP,IGMP等
--传输层
这一层定义类了 两个重要的协议 TCP和UDP 。还有就是端口号的概念。这一层关联的是一个主机上的某个程序或者是服务。比如 tcp 80 的web服务 udp 4000的QQ 程序等。
--会话层
主要作用是建立会话和管理会话。我一般这样理解 会话的 比如 telnet 一台主机,是一次会话的链接。打开网络的网页,就和网络的服务器建立了一次会话。
--表示层
因为底层传输的是二进制,应用层无法直接识别。所以根据这一层的名字可以直接理解为他是一个翻译。比如把一长串的数据“翻译”成rmvb格式,交给上层的 快播 这个程序,把另一串数据“翻译成”MP3格式交给 音乐播放器。其实这一层的工作很多。
压缩,解压缩,加密,解密等
--应用层
为用户提供了一个可以操所的界面,如windows的桌面化或UNIX的字符界面。
OSI七层的每一层是独立工作的,但是层与层之间是相互“合作”“兼容”的关系。
1.2 [三层交换和路由器的不同]
虽说三层交换机和路由器都可以工作在三层,但本质上还是有所区别。
一 在设计的功能上不同
现在有很多的多功能路由器,又能实现三层的路由功能,包括NAT地址转换。有提供了二层的端口,有的还配置了无线功能。再有就是还具备防火墙的功能。但是你不能它单独的划分为交换机或者是防火墙吧。只能说是个多功能的路由器。防火墙二层交换只是他的附加功能。三层交换也一样,主要功能还是解决局域网内数据频繁的通信,三层功能也有,但不见得和路由器差很多。
二 应用的环境不同
三层交换的路由功能比较简单,因为更多的把他应用到局域网内部的通信上,主要功能还是数据的交换
路由器的主要功能就是选路寻址,更适合于不同网络之间,比如局域网和广域网之间,或者是不同的协议之间。
三 实现方式不同
路由器能够实现三层的路由(或转发) 是基于软件的实现方式,当收到一个数据包要转发的时候,要经过查看路由表,最长匹配原则等一系列复杂的过程最终实现数据包的转发,相比三层交换效率略低。而三层交换是基于硬件的方式实现三层的功能,他成功转发一个数据包后,就会记录相应的IP和MAC的对应关系,当数据再次转发是根据之前的记录的表项直接转发。这个过程成为“一次路由,多次交换”。
总之,三层交换和路由器的最大区别是路由器可以基于端口做NAT,而三层交换机不能。路由器直接接入光纤可以直接上网,而三层交换机不能。主要是三层交换机的每一个接口都有专有的MAC地址和特定的ASIC集成电路。
.
1.3 [静态路由和动态路由的区别]
静态路由特点
静态路由是管理员手工配置,精确。但是不够灵活,是单向性的。考虑到静态路由稳定,节省资源(内存,cpu,链路带宽)。在网络TOP不是很大的环境中常用。
动态路由的特点
动态路由的好处就是路由器本身通过运行动态路由协议来互相学习路由条目,在大型的网络环境中,一定程度上减少了工程师的工作量。动态路由协议分为很多种,IGP和EGP,IGP中根据工作的原理分为链路状态型和距离矢量型的。但是不管哪一种动态协议,他都要经过以下几个过程。
1.“说话” 向其他的路由器发送路由信息
2.“收听” 接收其他路由器发来的路由信息
3.“计算”不同的动态路由协议有不同的算法,每种路由协议通过自己特有的算法把收到的路由信息计算,得出最好的路由条目,加载到路由表中。
4.“维护” 维护路由表,当TOP发生变化的时候,及时的更新自己的路由表,并发送变更的消息
在生产环境下,应当更具不同的网络规模,选择不同的路由协议。
1.4 [描述一下ACL和NAT]
ACL:acl访问控制列表是用来制定规则的一种机制。他用来告诉路由器那些数据包访问那些资源是允许的,那些是拒绝的。他可以分为两种方式,一是标准的访问控制列表,只能基于源地址进行限制。而是扩展的访问控制列表,他不仅可以基于源地址和目标地址进行过滤,还可以根据端口来进行限制。ACL的工作原理就是读取数据包的三层和四层,和访问控制列表中的条目进行匹配,如有相符的,直接按照策略(允许或拒绝),不在往下匹配。如没有匹配的条目则按照默认规则。
NAT:nat网络地址转换,是为了解决ipv4地址空间不足产生的。
Nat的原理就是替换掉数据包中的源ip+端口或目标ip+端口,以达到私有地址不能再公网上传播的这种情况,或者是局域网中服务器的发布。Nat一定程度上提高了局域网用户的安全性。
实现方式大概可以分成 静态NAT,动态NAT PAT(端口复用)
1.5 [描述一下VLAN]
VLAN 是为了避免二层出现广播风暴给大面积用户带来影响,所采取的一种手段。
Vlan 带来的好处
减少广播风暴
提高一定的安全
简化网络的管理,有易于故障排查
Vlan 是把局域网进行逻辑上的分割,实现方式有两种
1.静态vlan 基于端口的vlan (常用)
2.基于MAC地址的vlan (适合于移动用户)
Vlan之间的通信需要配置TRUNK链路(中继) 封装模式有两种
Isl 思科私有的技术,在数据帧的头部和尾部添加30字节的标示符
Dot1q 通过 在mac地址后面打标记的方式 标识vlan 共4个字节 公有协议
1.6 [RIP和OSPF的区别]
两者都属于IGP协议,rip是典型的距离矢量动态路由协议。Ospf是链路状态型的协议
Rip是整张路由表进行广播更新(v2是组播),学习未知的路由条目,有存在环路的情况
并且没有邻居表,网络收敛速度比较慢。因为有环路的缺陷,不适合较大的网络使用。
Ospf组播更新,并且只有TOP发生变化的时候才出发更新,把收到更新的路由会放置在LSDB中,并生成路由。Ospf本身没有环路的产生,并且是有分层的结构,而rip是平面的没有层次化。所以ospf比rip收敛速度快。在NBMA网络中还会有DR和BDR的概念,促进了ospf的收敛。
Rip 管理距离 120 ospf 管理距离 110
1.7 [解释以下术语的意思]
LAN 本地局域网
WAN 广域网
VLAN 虚拟局域网
WLAN 无线局域网
VPN 虚拟专用网
AD 管理距离,用来衡量不同路由协议生成去往同一目标的可信值
Metric 度量值,用来判断同一种路由协议生成去往同一目标的优先级
1.8 [简述一下stp是什么]
Stp 生成树协议。
一个良好的网络应该要考虑到链路的冗余,比如二层的交换机做冗余,来防范单点故障带来的问题。但是二层做冗余的话会带来一些问题:
1.广播风暴,因为二层对未知数据帧的处理是进行广播,而且二层的封装结构又不像三层那样有TTL 的机制来防护。所以一旦广播风暴产生,其他的交换机就会跟着广播,造成链路的堵塞瘫痪。
2.MAC地址的重复。因为二层的工作原理,会造成交换机对一个MAC的多次重复的去学习,造成不必要的资源浪费,直到设备瘫痪
3.MAC地址表的不稳定,因为要重复去学习一些地址。造成转发效率缓慢。
二层环路带来的后果是严重的 ,stp协议就是在冗余的环境下,逻辑上去DOWN掉一个借口,打破环路的产生,同时做到冗余。当环境变化时,会自动跳转down的接口。
1.9 [STP计算的过程]
1.选择根网桥
2.选择根端口
3.选择指定端口
4.指定阻塞端口
2.0 [描述一下HSRP]
热备路由协议 是Cisco私有的网关冗余协议。它是由一组路由器(最低2台)构成的一个热备组 作用是为用户提供一个不间断的网关ip,用户通过这个ip访问互联网,即使真实的网关设备DOWN掉一台,也不会影响客户的正常工作。
原理: 热备组中包含4中路由器的角色,
活跃路由器:负责承载发往虚拟ip地址的流量,是真正转发用户数据流量的路由器,
同时向UDP1985发送hello包 表明自己的状态,一个组中只有一台
备份路由器:监听整个HSRP组的状态,是成为下一个活跃路由器之前的状态,一个组中只有一个 同时向组中发送
其他路由器:静听整个HSRP组的状态,是备份路由器的候选者
虚拟路由器:为客户端提供一个虚拟的ip和MAC 能够然活跃路由器转发。
当活跃路由器Down后 备份路由器收不到hello包 就会成为活跃路由器。而这个转换的过程用户是感觉不到的。
⑧ 网络工程师面试问题!
和IPS
从题库里找到的答案,加油!
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
这些位置通常是:
•服务器区域的交换机上
•Internet接入路由器之后的第一台交换机上
•重点保护网段的局域网交换机上
防火墙和IDS可以分开操作,IDS是个临控系统,可以自行选择合适的,或是符合需求的,比如发现规则或监控不完善,可以更改设置及规则,或是重新设置!
IPS:侵入保护(阻止)系统
【导读】:侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样,IPS 中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。
同侵入检测系统(IDS)一样,IPS 系统分为基于主机和网络两种类型。
基于主机 IPS
基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或 API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。
基于网络的 IPS
基于网络的 IPS 综合了标准 IDS 的功能,IDS 是 IPS 与防火墙的混合体,并可被称为嵌入式 IDS 或网关 IDS(GIDS)。基于网络的 IPS 设备只能阻止通过该设备的恶意信息流。为了提高 IPS 设备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:
指定的网络领域中,需要高度的安全和保护和/或
该网络领域中存在极可能发生的内部爆发
配置地址能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。
IDS和IPS争议有误区
【导读】:对于“IDS和IPS(IDP)谁更能满足用户需求”这个问题,给人一种二选一的感觉。经过了长时间的反复争论,以及来自产品开发和市场的反馈,冷静的业内人士和客户已经看到这根本不是一个二选一的问题。
对于“IDS和IPS(IDP)谁更能满足用户需求”这个问题,给人一种二选一的感觉。经过了长时间的反复争论,以及来自产品开发和市场的反馈,冷静的业内人士和客户已经看到这根本不是一个二选一的问题。
很显然,用户需要的不是单一的产品,也不是众多产品的简单堆砌。现在一个比较流行的说法就是“信息安全保障体系(系统)”,也就是用户的安全是要靠众多技术、产品、服务和管理等要素组合成一个完整的体系,来解决所面临的安全威胁,以保护信息资产和正常业务。
在安全保障框架中,不同的产品、服务、措施会在不同的地方发挥作用。比如,PKI和生物鉴别机制的优势在鉴别认证领域能够很好地发挥作用;入侵检测则在监测、监控和预警领域发挥优势;防火墙和IPS能在访问控制领域发挥长处;数据加密和内容过滤在内容安全领域独领风骚。讨论不同的安全技术领域哪个更加符合用户的需求,其实不如探讨让各种安全技术如何有效地协同工作。
IPS真的能够替代防火墙和IDS吗?提供IPS(IDP)的厂商常常声称,其IPS能够兼具防火墙的网关防御能力和入侵检测的深度检测,企图达到把IPS的作用上升到1+1>2的效果。但是很遗憾,实际上并不是这样。我们必须从技术本质上寻找解决办法。目前IPS能够解决的主要是准确的单包检测和高速传输的融合问题。
当然,检测和访问控制如何协同和融合,将会一直是业内研究的课题,也将会有更多更好的技术形态出现。不管叫什么名字,适合用户需求的就是最好的。
三个维度区分IDS与IPS
【导读】:3年前,当入侵防御技术(IPS)出现时,咨询机构Gartner曾经预言,IDS(入侵检测)即将死亡,将由IPS取代,当时曾引起媒体一片讨论。2006年,咨询机构IDC断言,IDS与IPS是两种不同的技术,无法互相取代。而今天,依然有很多用户不清楚两者之间的差别。
中国人民银行的张涨是IDS的骨灰级用户,对IDS玩得非常熟,但即使这样,他也仅仅是听说IPS而已,并没有真正使用和见过。他的担心是:IPS既然是网络威胁的阻断设备,误报、误阻影响网络的连通性怎么办?北京银行的魏武中也认为,如果在网络的入口处,串接了一串安全设备:IPS、防火墙/VPM以及杀病毒网关等,怎么保证网络的效率?是否会因增添一种新的设备而引起新的单点故障的风险?
事实上,这些疑问一直如影随形地伴随着IPS的诞生和发展。以至于,在很多用户的安全设备的采购清单中,一直在出现“IDS或IPS”的选择,这证明用户依然不了解这两种技术的差别。
启明星辰公司的产品管理中心总监万卿认为,现在是重新审视这两种技术的时候了。他认为,要从三个维度上认清这两种技术的不同。
从趋势看差别
2004年,Gartner的报告曾经预言IDS即将死亡,但无论从用户的需求还是从厂商的产品销售来看,IDS依然处于旺盛的需求阶段,比如,国内最大的IDS生产厂商启明星辰公司,今年上半年IDS的增长超过了50%,并且,公司最大的赢利来源依然是IDS,事实证明,IDS即将死亡的论断是错误的。
万卿认为,IDC的报告是准确的,IDS和IPS分属两种不同产品领域,前者是一种检测技术,而后者是一种阻断技术,只不过后者阻断攻击的依据是检测,因此要用到很多的检测技术,很多用户就此搞混了。
从理论上看,IDS和IPS是分属两个不同的层次,这与用户的风险防范模型有关,用户首先要查找到风险,才能预防和阻断风险。而IDS是查找和评估风险的设备,IPS是阻断风险的设备。防火墙只能做网络层的风险阻断,不能做到应用层的风险阻断。过去,人们曾经利用防火墙与IDS联动的方式实现应用层的风险阻断,但由于是联动,阻断时间上会出现滞后,往往攻击已经发生了才出现阻断,这种阻断已经失去了意义,IPS就此产生。
用一句话概括,IDS是帮助用户自我评估、自我认知的设备,而IPS或防火墙是改善控制环境的设备。IPS注重的是入侵风险的控制,而IDS注重的是入侵风险的管理。也许有一天,通过IDS,我们能确定到底在什么地方放IPS?到底在什么地方放防火墙?这些设备应该配备哪些策略?并可以通过IDS检测部署IPS/防火墙的效果如何。
IDS与IPS各自的应用价值与部署目标
【导读】:从2003年 Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明用户还不能确定到底使用哪种产品,显然是因为对两类产品的区分不够清晰所致,其实从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。
从2003年 Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明用户还不能确定到底使用哪种产品,显然是因为对两类产品的区分不够清晰所致,其实从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。
从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。用户进行网络安全建设之前,通常要考虑信息系统面临哪些威胁;这些威胁的来源以及进入信息系统的途径;信息系统对这些威胁的抵御能力如何等方面的信息。在信息系统安全建设中以及实施后也要不断的观察信息系统中的安全状况,了解网络威胁发展趋势。只有这样才能有的放矢的进行信息系统的安全建设,才能根据安全状况及时调整安全策略,减少信息系统被破坏的可能。
入侵防御系统关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。
从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
IDS是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
⑨ 爱美克空气过滤器(苏州)有限公司待遇怎么样:::是面试的设备技术
采购专员/助理 本科抄 4-6K 28岁
销售工程师 本科 4-6K 28岁
质量检验员/测试员 大专 2-4K 23岁 应该相对的,做技术会稍微高点吧, 你自己做个参考吧。(下一站薪水网提供)
⑩ 对于产品新人来说,从简历到面试,都要注意哪些问题
对于面试应届生或者初级的产品经理,我主要侧重以下几个方面来考察。
一、对岗位和自身的认知。
1.为什么选择产品经理岗位?学校课程和知识结构?(岗位意愿和选择路径)
2.产品这个职位最吸引你的是什么?(目标)
3.怎么看待产品经理这个岗位?(职责和任务)
4.你认为自己应聘这个岗位的优劣势?(软实力)
二、了解行业和专业学习途径,记录总结能力。
1.了解行业和提升产品专业能力的途径有哪些?(接触行业和专业学习能力)
2.有没有看一些书籍?(系统学习行为)列举触动自己的观点?(思维和认知层面的提升)
3.浏览或看书会不会做些记录或笔记?(记录能力)
4.做些项目或体验产品有没有做些总结,输出些报告。(阶段总结能力)
三、基础研究能力。
1.有没有做过一些用户调研或者用户研究的工作?(对用户的了解和关注)具体是怎么开展的?
2.是否做过竞品分析报告? 竞品好在哪里?差在哪里?(行业及竞对研究)
3.怎么样评判一个产品或者功能策划的好坏?有哪几个维度?(产品思维和原则)
4.是否关注过用户反馈,怎么对待用户的意见反馈?(需求敏感度,需求的过滤和甄别能力)
5.是否经常观测产品数据,并做一些数据分析工作?(数据敏感度和分析能力)
四、项目和工作能力。
1.是否有实习经历(实际项目能力)?具体做了哪些工作?
2.是否带来了之前写的文档和原型设计?查看一下,可以提些简单问题;(需求落地、原型构建能力和工具使用情况)
3.请一句话描述自己做的产品?简述产品的商业模式?产品的相关竞品有哪些?其差别和优劣势?(概括及商业分析能力)
4.请描述实际项目中你是怎么去做的?如每天怎么安排自己的工作?(执行和推动能力)
5.你和他人在工作中有没有意见不一致的时候,你是怎么解决的?(沟通协作能力)
6.实习期间有哪些提高和收获?(成长及收获)
7.期间别人对你最好的评价和最坏的评价?你最看重什么?(工作和团队表现)
五、对行业的关注和公司的意愿。
1.列举自己最喜欢的app有哪些?喜好的原因?是否存在一些问题,如果自己策划如何规避?(关注点)
2.现在互联网细分领域比较多,如社交、电商、金融、智能设备等,自己最喜欢哪个领域?(喜好领域)
3.对招聘者所在行业是否有一定的了解?对我们公司是否了解和关注,以及选择的理由?(意愿和积极性)
4.对我们公司的业务和该岗位了解多少?我们的产品思路是怎么样的?与行业其他产品的差别在哪里?(意愿和认同)
六、生活的热爱和追求,成长和规划。
1.性格?专业外的兴趣爱好?关注点?能够看出其对生活的热爱和心气儿,以及对待工作的态度等!(生活兴趣及工作态度)
2.毕业后1-3年的职业规划?更看重什么?平台大小、公司前景、产品和团队、个人空间、薪资等(稳定性和向心力)
3.有没有偶像?谈谈对自己的影响?说说你最想实现的一个梦想是什么?(人生追求及价值实现)
整个面试过程重点评估学习能力、逻辑思维能力和表达能力,专业知识储备和基础实操能力以及对公司的意向和对业务的兴趣。