网络安全工程师养成记-工程师的自我修养

0x01.从去做到做好，你需要准备什么？

知识点1：成长路径上的角色转变-思想意识
从思想上完成一个网络安全工程师的转变。
思考问题、处理问题、解决问题跳出单个设备、单个终端的思维局限，而是站在全网全局的角度上去思考解决方案。思想决定行动，想法决定做法。
知识点2：如何沉淀自己的知识框架
网络工程师要掌握哪些知识体系、准备哪些技能，才能胜任自己的工作。
实现从技术工程师-->技术专家-->技术顾问的转变。
知识点3：工程师的三个阶段，必备的核心素质
对专业技能的自信；
对自身能力的自信；
沟通能力，99.9%的问题通过沟通都可以找到解决方法。

0x02.一个网络安全工程师的日常

a.测试
b.实施
c.售后

例1.测试WOC加速

1.需求：北京、深圳两地专线互联。
2.方案规划：分别在北京总部和深圳分支单臂部署WOC设备，对两端的互访数据做加速。
3.测试拓扑：

静态路由配置：

交换机配置：
\【SW1】ip route-static 172.16.0.1 255.255.255.255 192.168.1.2
\【SW1】ip route-static 192.168.1.1 255.255.255.255 192.168.1.2
\【SW2】ip route-static 172.16.0.1 255.255.255.255 192.168.0.2
\【SW2】ip route-static 192.168.1.1 255.255.255.255 192.168.0.2

为什么没有配置PBR而配置静态路由
与客户对话（A是工程师，B是客户）：
A：我们需要在SW1、SW2上分别配置策略路由（PRB），将去往对端的数据交给WOC处理。
B：做静态路由可不可以呢？我觉得静态路由一样可以实现啊，而且配置还简单。
A：那个，对端的回包也要交给WOC设备处理
B：我再给你加一条，对端回包的数据我也通过静态路由交给WOC。这下OK了吧？
A：去往对端的数据除了匹配目的，还需要匹配源。
B：我静态路由一样可以匹配的，而且我是对所有的源地址生效。
A：绞尽脑汁在想（总觉得有问题，但就是没有想明白）
策略路由配置：

配置流策略
在SW1上创建流策略
【SW1】traffic policy p1
【SW1-trafficpolicy-p1】classifier c1 behavior b1
【SW1-trafficpolicy-p1】quit
【SW1】traffic policy p2
【SW1-trafficpolicy-p2】classifier c2 behavior b2
【SW1-trafficpolicy-p2】quit

将策略应用到接口上
将流策略p1、p2应用到接口GE 0/0/1（靠近PC1）和GE 0/0/2（靠近Router1）的入方向上
【SW1】interface gigabitethernet 0/0/1
【SW1-Gigabitethernet 0/0/1】traffic-policy p1 inbound
【SW1-Gigabitethernet 0/0/1】quit
【SW1】interface gigabitethernet 0/0/2
【SW1-Gigabitethernet 0/0/2】traffic-policy p1 inbound
【SW1-Gigabitethernet 0/0/2】quit

深圳端的SW2照着北京端的SW1配置即可。
静态路由数据转发流程：数据无法通过默认路由转发出去，会在交换机和WOC中形成环路。

策略路由数据转发流程：网关交换机收到数据后，会先查策略路由（优先级比默认路由高），匹配到WOC1，WOC1会匹配默认路由把数据交还给网关交换机，最后通过公网传输到深圳的网络中。
总结
1.项目中忌讳：被客户引导。
2.如何避免被客户引导：
准备充分。事情准充分，才能灵活应对各种情况，遇事不慌。
思路清晰。即：你知道是怎么回事，你还要给客户讲出来。否则就是茶壶里煮饺子——有货倒不出。
自信。自信的前提是有充足的知识储备，除了要了解自己的产品知识，还要了解客户网络中与上架产品相关的知识。

例2.AF上架实施

1.需求：使用AF替换客户原有的防火墙
2.原防火墙配置：
a.接口配置：设备透明部署，上下联接口均为trunk口，允许vlan10、20通过，native vlan10。vlan10管理IP为192.168.10.2，vlan20管理IP为192.168.20.2。
b.路由配置：配置了一条默认路由指向192.168.10.1。
c.地址转换：将192.168.20.0/24网段转换为192.168.10.2


问题
1.AF的配置保持与替换设备的配置完全一样，但是服务器区的设备无法访问到上级单位。
a.怀疑是AF设备的问题
查部署模式、策略配置、网络规划，没有发现问题。最后定位是服务器192.168.20.0/24网段没有匹配到SNAT，导致数据到达AF就交不出去了。
b.更改SW3的配置
配置了一条默认路由指向AF的192.168.20.2，配置一条去往192.168.10.0的静态路由指到SW2的VLAN20的管理IP。
2.原因：地址转换是三层的概念，AF要做地址转换，设备本身需要参与数据转发过程。当前AF是透明模式部署，需要将服务器网段的数据指向AF的VLAN20的管理IP，让AF参数数据的转发。
总结
1.跳出思维误区：整体考虑问题。不局限在故障点。一开始要跳出故障点是很难的，但也要往这个方向尝试。
2.准备要充分：在设备上架前，先对客户的网络有充分的了解，不要等出现问题后，再临时去了解客户的网络。

例3.AF售后排障

1.故障现象：客户反馈政务外网访问异常，时好时坏。有时一天没有问题，有时几分钟断一次
2.网络拓扑：AF->AC->核心交换机->接入交换机->PC

排查
1.现场了解情况：
a.办公网正常，只是在访问政务外网时出现异常——影响范围
b.中断时间有长有短，已经持续了有2天——故障时间
c.政务外网和互联网均接入NGAF防火墙上——网络结构
d.PC无法Ping通政务外网地址——故障节点
2.故障定位
a.从外向内排查，从出口设备逐个往里排查
b.定位到故障点后，再检查该节点的策略配置
3.原因
网线接触不良
总结
1.尽可能多的了解故障情况：客户跟你说的有可能跟实际情况不一样，如果有条件，一定要自己去验证，每个人对故障有自己的理解，再描述给别人，有可能就相差很大。
2.思路清晰：排查问题是有套路的。别人的套路不一定适合自己，但好的套路是可以拿来套用的。