SlideShare una empresa de Scribd logo
1 de 51
Descargar para leer sin conexión
盧家慶




中壢資策會 第71期
網路工程師養成班
             「我,不是天才
                是想成為人才的人材」
     世新大學
公關暨廣告系廣告組

                          Tel 0916152267
                   Mail squll16@gmail.com
                O’Range http://orange26.net
網路新手:

   盧家慶

像金礦一樣的人脈:
    朋友口中的「好好先生」,只要我可以幫忙,盡力完成。尤其電腦、搬家。

像海棉一樣好吸收:
    閱讀雜誌書籍是獲得新知,解決問題的捷徑,有疑惑去書店&Google就對了。

像沙包一樣耐打:
    打工常從早上十點工作到凌晨一點,最高工作時數兩週達175小時。

像拚命三郎一樣有衝勁:
    兩個小時從桃園大溪騎車到淡水,參加聚會,結束再返家。

像老鷹一樣有企圖心:
    在資策會進修時,自主學習、自我創新、自我競爭在每項Report上。




                1
男(未婚,96.07.01 役畢 )


盧家慶 (Orange)               72.07.31


Tel:(03)3808659
E-mail:squll16@gmail.com
Moblie : 0916152267




                 2
Education

90,09月 - 95,1月   世新大學       公共關係暨廣告學系廣告組
    92.5月31日     第一屆「校園創意策略提案」競賽 第三名 - 色小孩終結行動




Training

97,07月 - 98,1月   財團法人資訊工業策進會           網路工程師養成班 第71期

    97.9月22日     「Microsoft LAB 勤學獎」

   97.12月24日     資策會71期網工班「企業資安專題」-你「資」不知道 -優勝

     98.1月7日     資策會71期網工班結訓成果展-Cisco技能競賽優勝

     98.1月9日     「 資策會71期網工班熱心公益獎」




Experience


95,4月 - 96,06月   國軍義務役 蘭陽指揮部
    96.6月22日     「陸軍司令部績效優異獎狀」


93,05月 - 95,2月   HaggenDazs敦南店
                 內場:擔任主廚,負責內容為品管、備料、訓練新進人員。
                 外場:服務顧客用餐、包裝產品。
    94.8月24日     「HaggenDazs 挖冰達人」第三名,工讀生第一名


90,7月 - 90,11月   景美燦坤店
                 維修部人員。負責電腦組裝、產品維修送件工作。




                                 3
Certificate
                           Cisco     :CCNA
                           Microsoft :MCSE
                           TQC Key_in 80 /min

   Refresher

                                       資策會 網工71期




 連至網頁 (*)指定作業                            網路概論            NET、TCP/IP、KM、PC DIY
 連至部落格



Windows 2003          Fedora 9            Cisco                Web                       Wireless

Server 2003 操作   熟悉指令介面                Cisco 操作       )
                                                    (*) DHTML                          Network Planning
IIS 架站操作         LiveCD 製作 (*)         Spanning Tree(*) CMS - Joomla                   Wireless Networking
AD 建置            開機故障排除 (*)            Trunking 模式 (*)                                 Wi-Fi 每日一問 (*)
Exchange 操作      更新核心            (*)   OSPF          )
                                              EIGRP(*)
                                                         6人小組 網站製作
ISA 管理                                 NAT + ACL     )
                                                   (*)                                  En
                                                                                        Enterprise
                                                     ) 宅男
                                       Frame Relay (*) 宅男七號
                                                       宅男七號                            69、7
                                                                                       69 70期網工結訓展
                                                                                       69、70期網工結訓展
                                                                                        9 7
                     個人 LX LAB
                                                         http://e71.orange26.net
                                                                                       企業模擬實境 Splunk(PM)
                                                         http:// itclub.iiietc.ncu.-
                 驗收目標
                 驗收目標
                    標                                    tw/ne/sc103/homeboyno7        Check Point 操作
10人小組 MS LAB                             NC LAB
                                                                                       Systex 企業演講
                                                         個人 部落格製作
驗收目標
驗收目標
   標                                                                                   企業資安專題簡報(組長)
                 6人小組 LX LAB                             O Range
                                                         O’Range
                                                         O’Range
                                                           Rang
地點:學生宿舍                                                                                Seednet 企業參訪
                                          結訓展            http://orange26.net
LAB 報告           驗收目標(組長)                                                              Softnext SPAM SQR 操作
                                                         Wordpress
LAB 個人心得                                                                               Foundstone 操作
                 地點:學生宿舍                                 HostMonster 主機
                 LAB 簡報                Cisco技能競賽
                 LAB 報告                  (組長)




   Creations
               資策會         網頁:宅男七號(http://e71.orange26.net)
                           部落格:O’Range(http://orange26.net)
                           影片:資策會 第71期 網路工程師 結訓成果展 開頭影片
                           海報:資策會 第71期 網路工程師 結訓成果展


           世新大學            文書:Word、Excel、PowerPoint、Outlook
                           繪圖:PhotoShop、Illustrator
                           網頁:Firework、Dreamweaver (公廣系棒球隊網站製作)
                           影片:Premiere、AfterEffects (Novartis 學員紀念光碟、公廣系畢展影片
                                                4    Spadind 三對三鬥牛賽、 2005樂樂棒球)
第一章   為何選擇資訊安全服務業?

        我很愛我的家,爸爸幽默,媽媽開明,姐姐活潑,妹妹貼心,為了能讓他們能更幸福、開心做自己
      的事,所以決定朝困難重重資訊業挑戰,靠著自己的努力減輕家裡高房貸的壓力,讓爸媽休息。如「當
      幸福來敲門」片中主角一樣,有想守護的人,潛力才能被激發出來。


        「好奇」是我對IT產業最佳代名詞,大學聯考一分飲恨淡江資管系,但還是不減我的興趣,大學沒
      教的軟體,都是靠自己慢慢鑽研出來,愈做愈快、上手,也最喜歡去上網接收新知。退伍轉換跑道在資
      策會網工班後,憑著自己的衝勁、求知慾,並要求自己一定要比別人更努力,因此,獲得同學、老師的
      肯定。近幾年來,資訊安全漸受重視,Hacker 從以前for fun,到現在for money,資安問題已是未來
      趨勢所在,再加上新版個資法可能通過,以往企業所重視的「內部系統安全」漸漸轉移到「使用者個資
      」。身為IT人員必需不停接收技術的日新月異,家慶雖為新手,但懷著一天比一天進步的企圖心,不同
      於別人。而Engineer不只要為企業網路把關,還必需為客戶預先想到資訊安全的問題。
        家慶期許自己能在貴公司繼續努力向上札根,累積知識、更多網路實務經驗,憑著自己不馬虎、創
      新的衝勁為貴公司盡自己最大的心力,就像這份履歷表,是自己一點一滴不斷進化而來的,謝謝。



第二章   「我思,故我在」

        當一個男人在當兵時,會是一個蛻變的時候,而我學會了「思考」,因為以前的我很「輕鬆」,只
      知道要打工賺錢,對未來並沒有什麼太大的期望,一切在當兵時有了巨大的改變,我不斷反省以前的我
      做錯了那些事,為什麼回頭看我自己是這麼大的失落,也思考著那我未來該做什麼?關鍵就在於我到了
      誠品,看了許多勵志的書,原來有很多事等著我去實現,也知道成功的人為什麼會成功,郭台銘能夠創
      當「鴻海」這世界代工大廠,成功的人會不斷的思考、不停的去執行想法而成功。

        「我思,故我在」,這句法國名言對我很深刻,讓我不單單只想到事情的現實面,我會去想了解背
      後的意義是什麼,甚至是未來性是什麼。當別人覺得LAB做好就好了,但我會想讓自己學更多一點,去
      增加更多的功能在上面,如LINUX LAB時,身為組長的我為了讓老師更滿意,我特別在額外多加了題目
      沒有的proxy、VPN、NAT的設定,也讓自己多學了一些老師沒教的功能。

        「思考」,也可以使事情加速完成,有效率的,身為木工的爸爸也告訴我,他在做每項事情的時候
      ,都會思考如何能讓自己更快做完,購買儀器、自製工具,最重要的還是靠經驗。



第三章   工作經驗:

        從高中到服兵役前,接觸過不少以服務業為主的工作,總計約三年四個月。工作默契從個人發展至
      團體,工作面向從本身到管理工讀生(15~20位),最高峰為擔任HaggenDazs敦南店工讀生Leader
      ,不管是在心智和態度有很大的轉變。


        日後的加薪為轉折點,店長要求資深的我必需擔任品管主廚、負責訓練新進員工和管理工作伙伴,
      那時的我深深體會到蜘蛛人片中所提到的「能力愈大,責任也愈大」這樣一句話,當時的我也是
      HaggenDazs挖冰達人,不管在挖冰技巧、工作經驗已算是頂尖。如果要獲得更優渥的待遇,自己要更
      加成長,要負更多責任。


        最後也不負期望,甚至得到台北區區經理的賞識,希望退伍後可以繼續為他們服務。


        在信義房屋這段期間,不僅熟悉了房屋的特性,買賣如何進行,中間人的作法,我覺得最重要的是
      讓我更了解社會,更了解人性一些,並不是我想的這麼簡單。要讓客戶信任,必需將客戶當做女朋友一
      樣的追求,無時無刻的關心他,多為他想一些。曾經有一位客戶因為託賣的契約到期,我並沒有放棄,
      而是傳簡訊關心她,在離職的那天,想要和我簽約。為了讓第一件案子被委託,我趁休假開車到南投找
      屋主,為的就是讓他覺得我和別的業務員不一樣。


        進敬鵬工業的初衷在於在短時間存一筆錢,在職訓局還未開課前,靠著自己不怕苦的耐力,5個月
      休假不超過15天,工作12個小時。因為這樣,讓我深刻覺得這不會是我未來工作的地方,無法讓我成
      長,而是消極的過生活。
                                 5
第四章   競爭力
       「遠見雜誌」244期提到農地休耕後,生產力可提升一倍。而在資策會這六個月可說是我的「休耕期
      」,在生理上,將過去累積的疲累獲得休息,在心理上,更加茁壯,也思考將進入職場的我,如何在眾
      多人選之中脫穎而出,已具備那些競爭力:


      一、先見力(預知明天怎麼變):
       在資策會受訓期間,擔任三次小組組長,組員從6至13人。其中一次企業專題,身為組長的我在得知
      老師出題方向為「資安」時,為了讓組員知道專題方向,家慶便利用當週二天假日,至桃園銘傳大學圖
      書館查閱三年份「資安人」,印了一百多頁資料,讓組員參考。家慶認為身為一個組長必需有要有「先
      見力」先去體驗錯誤、蒐集資料,組員便可以有更多時間去準備。而業界評審也對此簡報讚許有加。
                                                「準備是成功的基石」
      二、突破力(超越現狀開啟新局面):
       會選擇進入資策會網工班,而不是選擇多媒體班,自己需下很大決心,因為「網路」這領域只算初學
      者,換個角度想,我可以讓自己「混搭」,多一把刷子,將自己企劃、美工能力應用在「網路建置」上
      ,家慶到後來發展的人格特質是「改變現況」,而不是「維持現況」,創新在每一份報告、簡報設計上
      ,與自己競爭。在學習上,和剛進資策會連ping指令也不知道的門外漢大不同,不懂就是問老師,或是
      業界學長,讓自己在「網路」有一定的基礎。
                                       「失敗是成功的情人,改變是方法之一」
      三、學習力(學不完的的知識):
       資策會網工班負責Linux課程老師,不只希望我們只會課堂上所教授課程,而是「自主學習」能力,
      自我survey能力。期許我們在進入職場後,自己發現問題,自己解決,也就是troubleshouting能力。
      家慶將其應用在製作個人特色部落格,使用從未使用軟體,從購買國外虛擬主機到獨力完成,也將自己
      在設定上的錯誤發表在Blog。
                                               「不要煩惱,就要思考」
      四、人際力(人脈存摺):
       兵單來時前夕,感動朋友們一一為我舉辦離別會,不同時期的朋友為我祝福,檢視我的人脈存摺是如
      此豐富,很感動。如何讓每個人不同的故事產生交集,我想就是要靠仔細聆聽、理直氣和的溝通來搭起
      不同的橋樑,搭的好就是人脈,不好就是喪失一個機會點。設身處地為對方著想,讓對方感到貼心,他
      日便會為你付出。現在到HaggenDazs分店都會有熟識的幹部、同事,免費招待一球冰。
                                                   「多為別人想想」


最終章   願景

       在資策會這段期間,家慶讓自己像「老鷹」一樣,去印證我的想法對或錯,努力表現自己。就如同我
      在資策會結訓展對學弟妹薪火相傳時所提的:
       一、不斷的和自己競爭,今天的我要比昨天的我更進步。                     (自我競爭)
       二、有自己的腳步,當別人在輕鬆時,一定要和他們一樣嗎?                   (自主學習)
       三、團隊合作時,不要太埋怨別人,要換個角度想。                       (體諒別人)


       下列是家慶在未來工作上,期許自己能做到更好,讓自己成長最快的目標:
       一、「專業能力」:鞭策自己能以最快的速度學會網路的產品,整體架構,補足所學的不足。
                                              (考取公司產品相關證照)
       二、「英文能力」:不斷翻閱英文技術文件,閱讀能力的提升,
                  收看英文字幕美國影集,會話能力的提升。
                                              (目標考取「多益」證照)
       三、「新知能力」:留意網路相關研討會,規劃時間參加,汲取新知,不落人後。


       四、「團隊合作」:與同事之間能相互配合,共同努力完成負責的專案建置。


       五、「觀察力」:從規劃、建置網路到設定網路產品時,必須事先試著了解是否符合客戶資安需求。


      「一個會幫公司賺錢的人,和一個只賺公司錢的人明顯不一樣,
                                    我不是天才,是想成為人才的人材。」
                                6
前述:

西元 2008 年 9 月 19 日,

為當今武林傳奇寫下重要

的一頁。
                                       霸主當日驗收實況
武林神話中兩位盟主,中原

2003-霸主「戴有煒」、會
                      菊花寶典             世界各地而來的參賽者:

寫洋墨水-html
                                       一、趴待國(Birdie)
「Hubert 」 共同舉辦
        ,     「第            之
                                       家福、家慶、明晃、銘宏、貴
71 屆 KOF 網路天王」大
                          敗敗傳奇         升、勤知、書維、永俊、乾聖

賽。
                                       二、台灣代表 - 士林夜
而這是一部記載 Birdie 國參加
                                       市豪大雞排組。
歷史的這一天的紀錄,將會流
                                       三、日本戰國代表-本
傳在以後武林佳話中,他們的
                                       多忠勝組。
敗敗的教訓會警訓著世人。
                      www.Birdie.com
                             7
建置 LAB 環境前建議:

                                                      一、武功心法:

                                                      1.愈早準備,愈不用最後一天熬夜

                                                      2.試圖解決問題,不是被問題打敗

                                                      3.做之前先參考歷屆學長的心得

                                                       為什麼這麼做,減少失敗的挫折感
                            [參賽主機室內佈置圖]
                                                      4.每個步驟、設定都要去了解為什麼
[參賽拓樸圖]                     右:綠色框框---內部網路
                                                      5.LAB 的精神在於每一個人的想要
一、總公司:(Birdie.com)NLB 前端防   中:綠色框框---後端防火牆            LAB 的完成在於每一個人的行動力
火牆+DMZ+後端單一防火牆+公司內部網路。
                            左: 綠色框框---前端防火牆+DMZ 主機

                            右上紅色框框:子公司                二、武功良師(小組):

二、子公司:(Peko.com)前端單一防火                                1.積極領導人 :人是被動的,沒有主

牆+子公司內部網路。
                            【HUB 環境介紹】                動者出來督促,會愈拖愈累。

                                                      2.對網路熟悉者:可指引組員正確的
                            黑色圈:內部網路 HUB              方向、不會一頭霧水。我們就曾為了
                                                      記住難記的 IP 位址不斷問來問去。
網段 IP 位址介紹:                 藍色圈:DMZ 區 HUB

內部網路:192.168.5.0/24         紅色圈:外部網路 HUB              三、必要配備:

DMZ 網段:192.168.3.0/24       與拓樸圖不同的是我們將外部網路所需的兩個      實機操作的主機不要太差,RAM 至
                                                      少 512MB,尤其前、後端防火牆以最
                            HUB 合為一個,將總公司外網與子公司外網為同
外部網路:192.168.2.0/24                                   好為優先。ISA 設定同步的快慢有絕
                            一個網段。
                                                      對的影響。
前端 NLB:192.168.4.0/24
                                        8
Birde 每日建置流程紀錄:
家慶(小橘)                                                           優化工作流程:
                                                                 每日完成重要工程時,必需備份所有主機,家福使用
                              9/11                               GHOST 軟體,可用 DOS 模式下還原模式還原到我們想要
LAB 前:
                              目標:內部 AD 網域架設,後端防火牆信任 CA           的時間點。
                              達成:成功                              延誤工作流程:
先試著用虛擬機器完成各項 設定,對於實機操作
                                                                 明晃設計拓樸圖各個主機 ip 十分混亂,我們三人努力實作
LAB 能更快駕輕馭熟。如果我自己能更快在家試     情境:網域控制站的 AD2 法加入 Birdie.com 網       的同時,一直在背各個主機的 ip 位址。
驗 VPN 成功,對於實機操作就不會一頭亂。
                            域,但雙方可 ping 到對方。

LAB 時:                      解決:家福事先安裝的 NOD32 防毒軟體阻擋,移除後即可

                            安裝。                                  9/13
面對設定不對、電腦出問題時,要冷靜的看待問                                            目標:前端 NLB、Back -to- Back 架設完成
題、仔細的分析前因後果,不要被挫折感打敗                                             達成:失敗
                             延誤工作流程:
了,解決了,知識就是你的,放棄了,就學不         購買 20M 網路線,裁剪 8 條網路線,四人各負責二條。
                                                                情境一:前端 ISA Server 無法與 CSS 連線,流
會。和組員討論可得知自己不知道的原理,也可
                                                                量無法到 CSS。
增進友誼。
                                                                解決一:將後端 isa 所有進出流量全部開啟。成功連線後,使
心得:                           9/12                              用存放伺服器裡的「監視」觀看流量,發現少了設定

                              目標:前端 nlb、back to back 架設完成       Kerberos-adm(udp)。
雖然我們敗敗是個傳奇,也向 MS LAB 拜拜了,
                              達成:失敗
                                                                情境二:在使前端兩台 ISA 信任 CA 時,使用老
而我也十分的不甘心,自己的努力無法成功,而
                            情境:DMZ、ISA 前端主機無法連至內部網路。            師說只要將憑證放入隨身碟,至各台電腦安裝時,
不能成功一定有原因在,自我檢討後,覺得一定
                                                                發現憑證無法驗證。
是自己還努力的不夠,所以還無法完美。如果今       解決一:在 isa 前端及 dmz 主機加入進入內部網路的路由表。

天這是一份 job,上司和同事會怎麼看,還會像                                         解決一:使用原始方法,isa 至 ca 憑證網站下載 css 的憑證,
                            解決二:內部網路所閘道有主機的預設全部指向 isa 後端內網
老師們一樣給我機會嗎?我要對下次的 Linux     卡的 ip,即可。
                                                                就 ok。

LAB 會付出更多的心力在裡面。

                                                                 延誤工作流程:

                                                                 一、兩台電腦光碟、一張網路卡故障。
                                                                 二、Hub 第五個 port 不能使用,其它正常。

                                           9
情境三:後端 ISA server 可以連線至 CSS,但
  9/14                                                                        9/15
                                     CSS 無法和 ISA server 連線。                   目標:將前端防火牆轉變 nlb 架設完成
  目標:將後端單一防火牆轉變 nlb 架設完成
  達成:成功                                                                       達成:成功
                                     解決一:我們先在兩台 isa server 做設定 nlb 相關設定,不管
                                     css 有沒有連線,nlb 順利成功。更神奇的是在我們討論剛剛
                                                                             情境一:前端防火牆欲加入 CSS 所設前端陣列時,
                                     進度時,css 與 isa server 同步了。
                                                                             出現「必須將此電腦設為此陣列管理電腦」的畫
情境一: 前端 NLB 無法連線,一連線兩台電腦
                                     老師說的指示:「並耐心等待/檢查與 css 是否同
                                                                             面。
掛掉。                                  步、相關服務是否正常執行中」果然是名言。
                                                                             想法一:在虛擬機器設定時,按照老師規則即可成功,換至實
解決一:決定從後端 nlb 下手,加一台電腦做後端 nlb,
                                                                             體主機時,無法完成。


                                      優化工作流程:                                解決一:因為時間迫在眉捷,我們使用乾坤大挪移,不得已將

                                      重新設定 css 電腦的電腦名稱,將忘了設定的電腦名稱從           後端 isa 流量全開,先完成架設 nlb,這是我們下的最慘痛決
情境二:後端防火牆,第二台 isa 無法加入 CSS
                                      非常冗長的「birdie-bae68530」改為「css」。         定。
的陣列,在匯出機密時,出現與陣列成員無法連
                                      延誤工作流程:
線的畫面。                                                                        情境二:DMZ 內的 DNS3 持續發生「網路電纜
                                      新增加主機的 usb port 不能故障,使原本硬碟內截圖檔無
                                      法複製。                                   拔除」,又連線的情況
想法:試圖上網找微軟相關資料,發現對岸網友有說出架設
nlb 的網卡不能使用 realteck(錯誤)                                                     解決:將老舊的 hub 換成較新的 hub


解決一:發現這一點後,又因網卡 d-link 只有四張,家福想
                                     結論:是否要先在 nlb 做設定後,才能使 css 同步,我們抱著       情境三:在等待 css 與前端 isa 同步時,我們先
出前後端 isa server 各為一台實體,一台虛擬,可省掉購買多
                                     懷疑的心情,但因為我們花在 nlb 試過太多方法,花太多時           出去吃飯,有了昨天同步需要一段時間的經驗後,
張網卡預算。如些一來,又可在 dmz 及內部各增加一台實體
                                     間,必須花更多時間在接下來的部分,沒有去測試這部分。
機器。                                                                          沒想到在我們回來啟用 nlb 的時候,又發生兩天

解決二:還是發生情境二的畫面,這次我們試著將 css 存放控
                                                                             前在 dmz 網路的主機完全連不到內部網路,內部

制區畫面持續開啟,不中斷連線,isa 後端二台加入陣列時,                                                網路連不到 dmz 的重大錯誤。
都能順利安裝成功。
                                                                             想法:兩天前後端沒有 nlb 不成功,今天試著後端 nlb 也是
結論:isa 加入陣列時,css 電腦必須在管理主控台畫面。                                               發生同樣錯誤。




                                                         10
解決一:我們四個人下了重大決定,將 css 一分為二,在                                                情況三:我們發生最簡單的 PPTP 也無法連線到
dmz 增設 css 給 isa 前端使用。這是很重大的突破,因為這是        9/16
                                                                            VPN 後,與前端 NLB 發生問題後,經過小組會
我們參考的資料中都沒有的,為了能讓 lab 順利進行,這是我             目標:VPN 架設成功、DMZ 區完成各項服務
                                           達成:失敗                            議討論,我們下了二個決定:
們參考的資料中都沒有的,為了能讓 lab 順利進行,這是項未
知的實驗想法,我想這就是實驗的精神-創新。但卻有被接受
                                                                            1.   後端 NLB 撤掉,改換單一 CSS 與 ISA SERVER。 下
                                                                                                                (剩
或否決的風險存在。                                 情況一:前端 NLB 在我們早上準備要開始動工時,
                                                                                 沒多少時間,不能再因為 ISA SERVER 的不同步或是流
                                          發生 CSS 與陣列兩台電腦無法連線,出現 CSS              量有問題,再延誤工作流程)

                                          無法有效的連線問題。                        2.   將所有主機加入網域。
 優化工作流程:

                                          解決一:明晃試著按確定後,強制連線到陣列,等了半小時,
 明晃將自己個人用雙核心、4g ram 更換原本擔任單核心
                                          終於出現同步。
 1gram 的 isa 前端 server 後,nlb 啟用,三台主機同步非                                     9/17(宿舍大斷線)18
 常的快(一分鐘內)。                                                                 目標:VPN 架設成功、DMZ 區完成各項服務
                                                                            達成:失敗
                                          情況二:到了晚上,我們為了測試 VPN 連線,
                                          將流量全開後,前端防火牆整個掛掉。
 延誤工作流程:
 一、前端 ISA 欲連至 CA 申請憑證時,發生網路斷線問            想法一:我們在懷疑是不是因為前後端流量全開後,會
 題,連剛向 CA 申請的 DMZ CSS2 也發生網路斷線問題,         導致前端防火牆 NLB 掛點,因為第二天在做前端 NLB
                                                                            小結:
 懷疑是不是 HUB 線脫落或是機器不優,重新插上就 OK。            時,也是因為開了流量全開測試連線後,便發生同步出
                                          錯的問題。                             1.防毒軟體在 LAB 完成後再安裝。
 二、以 512RAM 主機欲架設本機 EXG1,虛擬機器常常發
                                          解決一:發現原來是 ISA 前端防火牆之一的電腦硬碟容
 生斷線的問題,發生 exg3 ping 不到 exg1,必須要重開                                          2.在每日重要工作完成,備份一個時間
                                          量不足,只剩 400MB,是否導致 ISA 電腦掛點。
 機。
                                                                            點的所有主機。
                                          解決二:將 ISA 電腦重新安裝,並作適當的分割,虛擬
                                          機器放入 C 槽,如發生問題,還原時便可同時還原二台
                                                                            3.設計拓樸圖 IP 的人必需十分了解。
                                          主機,也在同一個時間點。


                                          解決三:將主機內的 VIRTUALL SERVER 的硬碟使用   4.確認軟體設定無誤後,也要考慮硬體
                                          「固定大小的磁碟」,負載 ISA 需要強大的效能,RAM
                                                                            的阻因。
                                          也提升到1G。


                                                                            5.不要在同時在 ISA、CSS 做設定。


                                                           11
肚子餓了,GuHu 叫
      2008 Linux Lab 企劃專案




 肚子餓了咕嚕咕嚕叫,全身無力不能跳,普通麵包我不要
青葉滷肉飯,香的不得了!媽媽不在家,青葉滷肉飯,蝦蝦叫!




          OTAKU
              2008/12/10
             組長:盧家慶
     組員: 吳庭源、楊家福、簡銘宏、楊明晃、林士裕



                  12
客戶檢查菜單全貌:
                           一、NESSUS Client 掃瞄防火牆網段 192.168.1.100,IPS 偵側後,將由
                              Guardian 將執行 Script,封鎖 IP:192.168.1.200 主機,寫入
                              Iptables 規則內。


                           二、VPN Clent 連至內部虛擬 VPN 192.168.2.0 網段,存取內網 Samba
                              分享資料夾及 Cups 網路印表機。
肚子餓了,GuHu 叫 | 2008/12/10




                           三、Client 可連至「宅男七號」,http://www.otaku.com,網頁。


                           四、內部網域 10.120.1.0 欲連至 Internet,必需經由防火牆 proxy
                              server 才可上網。

                           五、內部網域 10.120.1.0 主機藉由 NAT 轉換成 192.168.1.0 網段。



         3
                                                    13
專案甘特圖:




14
     4
         肚子餓了,GuHu 叫 | 2008/12/10
OPENVPN
                           .................................................
                                                                    負責人:家慶(小橘)


                           簡介:
                           OPENVPN 是一套免費架設 VPN 軟體,運作原理為先建立根 CA,製造企
                           業憑證,發行憑證,建立驗證端 SERVER 的憑證,再依照 CLIENT 的數目建
                           立本機獨立憑證,也就是一個 CLIENT 就需要一個憑證。




                           OPENVPN 建置:
                           SERVER 端:外網卡:192.168.1.100 內網卡:10.120.1.254

                           CLIENT 端(MS2003):192.168.1.200



                           建立 CA certificate 及 Server/Client keys

                           Server 端:
肚子餓了,GuHu 叫 | 2008/12/10




                           1.將 FEDORA 內建的 OPENVPN 複製至/etc/openvpn

                           cp /usr/share/openvpn/easy-rsa/2.0/* /etc/openvpn

                           2.編輯 CA 的變數

                           cd /etc/openvpn

         5
                                                          15
vi vars

(主要是設定最後面的 KEY_COUNTRY KEY_PROVINCE KEY_CITY
KEY_ORG KEY_EMAIL 等參數 )

. vars

./clean-all

3.產生 CA certificate

./build-ca

4.產生 Server 憑證

./build-key-server server

5.產生 Diffie Hellman parameters

./build/dh

6.產生 tls-auth key

openvpn --genkey --secret ta.key

mv ta.key keys/

7.產生 Client 憑證

./build-key 2003
                                               肚子餓了,GuHu 叫 | 2008/12/10




8.將 keys 資料夾有關 CA、Client 憑證複製到隨身碟

ca.crt 、ta.key 、2003*

9.將 openvpn server 端設定檔放至設定資料夾




                                                  6
                                   16
cp /usr/share/doc/openvpn-2.1/sample-config-files/server.conf
                           /etc/openvpn/

                           10.編輯 server.conf 設定

                           .............................................................................................................................................

                           25 行 local 192.168.1.100 (外網卡)

                           35 行 proto tcp                    (模式走的協定)

                           36 行#proto udp

                           52 行 dev tap (決定模式類型)

                           53 行 #dev tun

                           78 行 ca.crt

                                      cert server.crt

                                       key server.key (決定 server 端 key 的位置與名稱)

                           96 行 server 10.120.2.0 255.255.255.0 (設定 vpn 所走的網段)

                           231 行 tls-auth ta.key 0

                           .............................................................................................................................................

                           11.上官網下載 windows gui 介面的 openvpn 2.1 rc15 並安裝
肚子餓了,GuHu 叫 | 2008/12/10




                           http://openvpn.net/index.php/downloads.html




         7
                                                                                                17
12.將預設 client 設定檔及隨身碟的憑證放至 config 資料夾




13.編輯 client

.............................................................................................................................................

dev tap

#dev tun

proto tcp

#proto udp

remote 192.168.1.100 1194

ca ca.crt
                                                                                                                                                肚子餓了,GuHu 叫 | 2008/12/10




cert 2003.crt

key 2003.key

tls-auth ta.key 1

script-security 2



                                                                                                                                                   8
                                                                     18
14.按下右下角圖示 connect 建立連線




                           15.觀看連線 log 檔
肚子餓了,GuHu 叫 | 2008/12/10




         9
                                                19
16.觀看路由表的變化




17.觀看連至內部主機 samba 分享資料夾




                          肚子餓了,GuHu 叫 | 2008/12/10




18.觀看連至內部主機分享網路印表機




                          10
                    20
Q&A:

                           Q1:vpn client 端無法和主機建立連線?(觀看 log 檔後,說明 client 無
                           法定義使用者所用的安全類型)

                           A:script-security 2 加至 client 設定檔裡




                           Q2:vpn client 端無法找到憑證檔案?

                           A:一開始我在虛擬機器模擬時,是透過 gmail 來傳送憑證,而 google
                           大神卻將我的檔案類型變更為 txt 檔,所以找不到。




                           Q3:成功連線後,無法 ping 內部所有主機,只有防火牆內網卡?

                           A:必需加入 iptables 規則,才能傳送 VPN 10.120.2.0 的封包
肚子餓了,GuHu 叫 | 2008/12/10




 11
                                                        21
心得感想:
個人的角色:

一開始看了題目後,有一股想要全部都想做的衝動,但考量現實層面,身
為一個組長,要考量到組員能做到那裡?一開始討論工作分配時,大家都
有分配到一個主題,說我只要負責講解拓樸圖就好了,我當然不甘心,所
以我想要把從前失敗的 vpn 擊敗它,而組員也不太能諒解為什麼我要做,
而我從架 PPTP lX2TPSERVER 到 OPENVPN,挫折感很大,深怕又像上
次做不出來,這次個人 70%LINUX 最大的收穫在於使用 LOG 檔,一一去
比對什麼錯誤,旁人看來簡單,但什麼 LOG 才是我們要看的,這是我很
大的感觸,在驗收前一天,終於成功連線,但又發生不能共享資源時,又
是一大挫折,吃飯時,我說出那個點以後,阿宏說會不會是 IPTABLES 可
能也要設定一下,讓我頓開,再回官網上看需要設定什麼,果然,它上面
就有告知什麼環境下,需要改什麼設定,再和金魚互相研究,

也發現 IPV4 的轉送因重開機又不見了,後來能連至 SAMBA,至此 VPN
才終於算是成功。所以想法互相交流很重要的,不要一個人死命的做。

組長的角色:

這次相較 MS LAB,最大的進步在於自己扮演了一個不失職的組長角色,
一個組長沒有企圖心想要做好的話,那 LAB 一定大打折扣,簡報能獲得老
                                              肚子餓了,GuHu 叫 | 2008/12/10




師的賞識,沒有太多需要改進的地方,自己當然覺得很開心,也覺得當初
的堅持是對的,如果我選擇簡單建一個防火牆+IPS+nessus,那簡報時會
不會就很空洞。簡報的標題發想、背景設計都是自己來的,專案圖也試著
VISIO 畫,我想就在於組長有沒有想要做好的心,收集廣告信件也有了效
果,這次的簡報背景是參考 CNET 所寄發 HITACHI 企業廣告所發想的。

                                              12
                     22
組員的合作:

                           繼上次宅男七號成功後,大家其實就培養一定的默契,我們是最會吐槽對
                           方宅男的一組,也是一群有「想要」的組員們,雖然一開始對我要做這麼
                           多有意見,也不認同,但金魚還是會幫忙,雖然嘴巴抱怨不停,但我相信
                           沒有他的話,我應該會做不出來。阿宏是個很放心的人,他會做好自己的
                           本份,從上次 LAB 就有感覺,明晃雖然常常打錯字,但他還是把自己負責
                           的部分做出來,有聲有色的,家福身為班代,外事很多,所以儘量不打擾
                           他,但他是最主動、贊同我,和我討論的人,士裕雖然企圖心沒有很強烈

                           ,但他有盡力把自己的部分做出來。這次大家都扮演好自己的角色,為這
                           次 LAB 劃下一個成功的句點。




                           老師的評語:

                           在老師審核之中,老師希望我們多的 PROXY 伺服器還要有附加功能,或
                           是放在內網才算有用,VPN 最好是能由外網連進來,而不是和防火牆同一
                           網段,所以給正在看這份報告的學弟、妹們,學長希望你們不要再犯我們
                           的錯,SOP 出來了,能盡力把 LAB 弄至愈完整愈好,不是只有老師一開
                           始的要求,而我們這一階段任務完成,期待你們能有更多發展的空間。


                           參考資料:
肚子餓了,GuHu 叫 | 2008/12/10




                           http://openvpn.net/index.php/




 13
                                                           23
SALES : 盧家慶(小橘)
          24
                  1
NOW                about IT Security

Global、Enterprise、Company、Individual




              25
                                       2
Global:
 全球經濟不景氣。


 危機:股市慘跌      金融海嘯        失業、減薪風暴


 轉機:降低營運成本、強化內部管理
 台灣IBM全球企業諮詢服務事業群表示:
 「有許多台灣企業正從提供創新業務服務、收購兼併與轉換營運管理模式等三個方向,突顯
 其與競爭對手的差異、擴大市場佔有率,以及優化內部管理等,如奇美與光寶都積極於透過
 重整採購流程等方式,降低營運成本與強化內部管理。」
                                    ZDNet 12/04

                     26
                                                  3
Enterprise:
 步入「成長期」企業,對「資安」預算不足。


2008年資安人-「資安使用者需求調查報告」:
                        對資安預算,近6成受訪者表示持平。


2006年iThome - 「中小型企業e化調查」:
                        半數中小型企業年度IT預算僅十萬元。
                        38.3%只有1~10萬元的IT預算、毫無預算則有19%




                   27
                                                       4
Company:
已導入「UTM」公司,對「管理」不足,「效能」不彰。


Juniper Networks:目前客戶端對於UTM應該在企業擔任何種角色,什麼程度的
                資安整合,將會比較有明確方向,而不是認UTM為萬靈丹。

奕 端 科 技 : 過去UTM太過於訴求多合一,部分企業遇到效能問題,未來
                重於在管理的方便性。

C i s c o:      以50-150台PC公司,銷售狀況接近50%、60%成長,購買
                UTM可能依部門、單位需求僅開啟部分所需功能。



    資料來源:2008.3 資安人 – 「從銷售市場,再探2008年資安動態」

                           28
                                                  5
Individual:
內部員工對「資安執行面」不落實。          保護企業資產

2008年資安人:「回顧2007、展望2008資安市場動態調查報告」
         08年市場成長最多前三名:1.端點安全與NAC、2.DLP、3.IM/P2P控管


2008年Websense:「針對IT人員做資料外洩意見調查報告」
         99%受訪者認為資料外洩議題值得關心,因企業最重要的是智慧財產權
                外接式儲存裝置、E-mail及Web Mail為資料外洩主要管道


實例:台灣雨傘代工總經理監守自盜 竊取公司機密
專幫歐洲名牌代工雨傘的國x洋傘公司,該公司總經理,為到大陸另立門戶,夥同胞
弟在公司電腦植入木馬程式,竊取客戶名單、財務報表等機密,並偷走新款洋傘樣
品。


                     29
                                                    6
曾對「網路」成痴,不惜成為「宅男」的工程師團隊




  盧家慶、簡銘宏、楊家福、羅昀書、楊明晃、林士裕、游華彥、
  洪暐捷、陳忠勝、許溪輝、郭裕晟、吳庭源、李乾聖
          30
                           7
OTAKU Source:
                                                                             Q4 2007 台灣資安硬體市場營收

                                                            19%                         UTM
                                               2%
                                                                            49%         IPS
                                                                                        IDS
                                                           30%                          Firewall/VPN

IDC企業應用產業分析師表示:
「一直以來, 因為 UTM為多功能的高度整合,導致硬體效能不彰,致使大型企業導入意願降低,
 然近來更高硬體規格UTM的問世,中小企業市場採用率有上升趨勢。」



   資料來源:IDC , March 2008 Taiwan Security Appliance Revenue Share by Function, 4Q 2007

                                                      31
                                                                                                       8
OTAKU Vision:


Security   The First - 協助中、小企業網路規劃守護第一道防線!


Service    The Forever - 信任,帶來欣幸福!




                        32
                                             9
OTAKU Strategy:


以   「客製化」的策略達到
Management - Cost Lower、Safe More、Use Faster」
「




                     33
                                            10
以「OTAKU」 宅男電子商務有限公司   為例
Background:
 「OTAKU」 公司為目前最hito的web 2.0網路新創公司, 該公司並與台灣
 最紅的電影「海角七號」合作行銷 ,短短一個月就創造七百萬瀏覽人次,創造
 佳績!



vision:
 「OTAKU」 公司為了因應「未來的業務」與「組織規模」
 的大幅成長,朝向多方面電子商務服務應用發展,已於桃園、台中設立分公司據
 點。
Proposal:
 「OTAKU」 公司經開會討論後,決定公司整體網路規劃需求如下:
  台北總公司採用階層式     IP定址規劃,分為:
                    SNMP、Server Farm、DMZ、Marketing與Finance Department。

  在台北總公司與桃園分公司之間已向ISP申請Frame       Relay為主要網路,並希望以IPSec VPN來
  備援Frame Relay,做為備援線路。

  台北總公司與台中分公司之間,可以使用Site-to-Site      IPSec Tunnel互通,並可讓出差在外的
  員工可以使用Remote   Access VPN,限制其存取DMZ、Server Farm區。

  總公司內部Marketing、Finance 部門使用DHCP技術,自動配發IP。

  台北總公司與台中分公司可以直接連上Internet上網,桃園分公司必須經過台北總公司,方可連接至
  Internet,不可直接上網。
Definition   Design   Topology   Attention   Pratice   Example

            Virtual Local Area Network:
Vlan + IP

              在支援802.1Q Switch傳送封包時加上Vlan ID ,並透過建立 接收
                識別     移除     傳送的機制,使得各Swtich間能識別該封包該送
              往何處,可達到以下所述 :



            Excellence:
    規        Segmentation:不同樓層同一部門可屬於同一網段,避免Broadcast Storm。
    劃        Flexibility:如新行銷部員工進入時,只需指派port給其所在vlan 。
             Security:網路管理者可控制port只能存取特定Resoure。
Definition   Design   Topology   Attention   Pratice   Example
Vlan + IP




    規
    劃
Definition     Design   Topology   Attention   Pratice   Example
Vlan + IP

            Attention(1):
                          Switch 設置IP的用意在於可以使管理者遠端管理Switch。


            Attention(2):
                         使用兩個Cisco 2611 取代Frame Relay 與 Internet兩朵雲。
    規
    劃
Definition   Design   Topology   Attention   Pratice   Example

            Command Line Interface ,CLI
Vlan + IP

               設定IP、Gateway:
               #interface vlan 2
               #ip address 10.1.2.1 255.255.255.0
               #no shutdown
               #ip default-gateway 10.1.2.254

    規          建立Vlan Database:
    劃          #vlan 2
               #name snmp
               #exit

               檢視IP配置狀態:
               #show ip int brief
               #show running-config
Definition   Design   Topology   Attention       Pratice     Example

                      Trunking:
      Vlan Trunking

                        Switch與Switch、Switch與Router之間的點對點Link,而此Link可以
                        運載多個Vlan的Traffic,簡言之,可使一個port同時成為多個Vlan的一部份。

                      Vlan Trunking Protocol(VTP):
VTP




 規                      由Cisco所建立,目的是要管理交換式互連網路上所有設定的VLAN,以及
 劃                      維護整個網路的一致性。
             、
                      Excellence:
         Rounting &




                        Consistence:總公司Switch之間有一致的 Vlan設定。               Server
                        Dynamic:動態更新給VTP網域(XYZ)中所有Switch 。
                        Support:支援混合式trunks(Fast Ethernet,FDDI,ATM)。


                      Inter-VLAN Routing:
                                                              Client               Transparent



                        不同VLAN的主機之間要互相通信,必需藉由第三方的路由功能設備來實現。
Definition   Design   Topology   Attention   Pratice   Example
      Vlan Trunking

                       Inter-Vlan Routing Setting:
                       目前總公司內尚無預算採購Multilayer Switch來完成不同VLAN之間封包
                       遶送,因此決定在HQ Router上設定Inter-Vlan Routing,節省支出。
VTP




 規
 劃                     VTP Setting:
             、
                       台北總公司區域網路採用VTP進行管理,將VTP Domain設定為「XYZ」,
         Rounting &




                       並採用密碼認證,設定為「cisco」。
Definition   Design   Topology   Attention   Pratice   Example
      Vlan Trunking
VTP




 規
 劃           、
         Rounting &
Definition   Design   Topology   Attention   Pratice   Example
      Vlan Trunking

                      Attention(1):
                                   指派vlan給指定port之前, 必須先建立vlan database。
VTP




                      Attention(2):
 規                         vlan database 只需在sw1設定,VTP client switch會自動學習。
 劃           、

                      Attention(3):
         Rounting &




                                        需要在使用trunk port上,設定native vlan 為2。
Definition    Design       Topology       Attention         Pratice   Example

                      Command Line Interface ,CLI
      Vlan Trunking

                         建立VTP :
                         HQ-sw1(config)#vtp domain XYZ
                         HQ-sw1(config)#vtp password cisco
                         HQ-sw1(config)#vtp mode server (可以不用打,預設就是)
VTP




                         HQ-sw2(config)#vtp mode client

 規
                         設定HQ Router Inter-VLAN Routing:
 劃           、           HQ(config)#int fa 0/0.10
                         HQ(config-subif)#encapsulation dot1Q 10
         Rounting &




                         HQ(config-subif)#ip address 10.1.10.254


                         設定Switch Trunking:
                         HQ-sw1(config)#int ra fa 0/20 - 24
                         HQ-sw1(config-if-range)#switchport mode trunk
                         HQ-sw1(config-if-range)#switchport trunk native vlan 2


                         指派Vlan 給對應的端口:
                         HQ-sw3(config)#int range fa 0/1 - 5
                         HQ-sw3(config-if-range)#switchport mode access
                         HQ-sw3(config-if-range)#switchport access vlan 2
Definition   Design   Topology   Attention   Pratice   Example

       Dynamic HostConfiguration Protocol:
DHCP


          DHCP 的主要功能是讓用戶端能夠透過自己的Ethernet Address 廣播,
          向 DHCP Server 取得有關IP 、Netmask、 Default Gateway、DNS
          等設定。
 設
 計
Definition   Design   Topology   Attention   Pratice   Example
DHCP


        DHCP Setting:
        總公司內部Marketing、Finance 部門,必須使用DHCP技術,可透過
 設      HQ Router自動取得IP位址,不需手動設定IP。
 計
Definition   Design   Topology   Attention   Pratice   Example
DHCP



 設
 計                   DHCP
Definition   Design   Topology   Attention   Pratice   Example
DHCP


       Attention(1):
                    設定分發IP位址範圍時,需排除Gateway位址,避免衝突。
 設
 計
Definition   Design   Topology    Attention   Pratice   Example

       Command Line Interface ,CLI
DHCP


        設置vlan 20
        HQ(config)#ip dhcp pool vlan20
 設      設置DNS
 計      HQ(dhcp-config)#dns-server 10.1.2.254
        分配給vlan20的網段
        HQ(dhcp-config)#network 10.1.20.0 255.255.255.0
        設置Gateway
        HQ(dhcp-config)#default-router 10.1.20.254

        設定需要排除的IP或指定的IP範圍
        HQ(config)#ip dhcp excluded-address 10.1.20.254
        HQ(config)#ip dhcp excluded-address 10.1.20.1 10.1.20.10

Más contenido relacionado

Similar a Resume

51 cto linuxops_issue2
51 cto linuxops_issue251 cto linuxops_issue2
51 cto linuxops_issue2Yiwei Ma
 
Ops X Serverless (GCPUG.TW meetup 20180627)
Ops X Serverless (GCPUG.TW meetup 20180627)Ops X Serverless (GCPUG.TW meetup 20180627)
Ops X Serverless (GCPUG.TW meetup 20180627)Earou Huang
 
How to-become-ocm1
How to-become-ocm1How to-become-ocm1
How to-become-ocm1xiaoshi100a
 
覺旅創新深潛營開場簡報 20121002
覺旅創新深潛營開場簡報 20121002覺旅創新深潛營開場簡報 20121002
覺旅創新深潛營開場簡報 20121002Brendon Chang
 
China Test2012 W2 徐毅 大测大悟 测试的敏捷之道
China Test2012 W2 徐毅 大测大悟   测试的敏捷之道China Test2012 W2 徐毅 大测大悟   测试的敏捷之道
China Test2012 W2 徐毅 大测大悟 测试的敏捷之道Yi Xu
 
Our experience to start a startup
Our experience to start a startupOur experience to start a startup
Our experience to start a startupYenwen Feng
 
我要活下來 - Ruby Junior 工程師的存活術
我要活下來 - Ruby Junior 工程師的存活術我要活下來 - Ruby Junior 工程師的存活術
我要活下來 - Ruby Junior 工程師的存活術Li Hsuan Hung
 
Csdn Java电子杂志第1期
Csdn Java电子杂志第1期Csdn Java电子杂志第1期
Csdn Java电子杂志第1期yiditushe
 
Java Web框架汇总
Java Web框架汇总Java Web框架汇总
Java Web框架汇总yiditushe
 
Architect 201003-by-info q
Architect 201003-by-info qArchitect 201003-by-info q
Architect 201003-by-info qgavin shaw
 
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUGYingSiang Geng
 
簡報規劃與技巧
簡報規劃與技巧簡報規劃與技巧
簡報規劃與技巧基欽 劉
 
企业系统和网络管理员的日常工作-丫美D-www.yamed.cn
企业系统和网络管理员的日常工作-丫美D-www.yamed.cn企业系统和网络管理员的日常工作-丫美D-www.yamed.cn
企业系统和网络管理员的日常工作-丫美D-www.yamed.cnsese101
 
极速 Angular 开发:效能调校技巧 (ngChina 2019)
极速 Angular 开发:效能调校技巧 (ngChina 2019)极速 Angular 开发:效能调校技巧 (ngChina 2019)
极速 Angular 开发:效能调校技巧 (ngChina 2019)Will Huang
 
从运维系统的开发谈安全架构设计
从运维系统的开发谈安全架构设计从运维系统的开发谈安全架构设计
从运维系统的开发谈安全架构设计mysqlops
 
开发 运维-开发,一路走来的收获与感悟
开发 运维-开发,一路走来的收获与感悟开发 运维-开发,一路走来的收获与感悟
开发 运维-开发,一路走来的收获与感悟ayanamist
 
高雄和春資工系-Axure RP基礎課程
高雄和春資工系-Axure RP基礎課程高雄和春資工系-Axure RP基礎課程
高雄和春資工系-Axure RP基礎課程Souyi Yang
 
rebar erlang 2
rebar erlang 2rebar erlang 2
rebar erlang 2致远 郑
 

Similar a Resume (20)

51 cto linuxops_issue2
51 cto linuxops_issue251 cto linuxops_issue2
51 cto linuxops_issue2
 
Ops X Serverless (GCPUG.TW meetup 20180627)
Ops X Serverless (GCPUG.TW meetup 20180627)Ops X Serverless (GCPUG.TW meetup 20180627)
Ops X Serverless (GCPUG.TW meetup 20180627)
 
How to-become-ocm1
How to-become-ocm1How to-become-ocm1
How to-become-ocm1
 
覺旅創新深潛營開場簡報 20121002
覺旅創新深潛營開場簡報 20121002覺旅創新深潛營開場簡報 20121002
覺旅創新深潛營開場簡報 20121002
 
China Test2012 W2 徐毅 大测大悟 测试的敏捷之道
China Test2012 W2 徐毅 大测大悟   测试的敏捷之道China Test2012 W2 徐毅 大测大悟   测试的敏捷之道
China Test2012 W2 徐毅 大测大悟 测试的敏捷之道
 
吳明展的履歷表 My Resume 2009 (pdf)
吳明展的履歷表 My Resume 2009 (pdf)吳明展的履歷表 My Resume 2009 (pdf)
吳明展的履歷表 My Resume 2009 (pdf)
 
Our experience to start a startup
Our experience to start a startupOur experience to start a startup
Our experience to start a startup
 
我要活下來 - Ruby Junior 工程師的存活術
我要活下來 - Ruby Junior 工程師的存活術我要活下來 - Ruby Junior 工程師的存活術
我要活下來 - Ruby Junior 工程師的存活術
 
Csdn Java电子杂志第1期
Csdn Java电子杂志第1期Csdn Java电子杂志第1期
Csdn Java电子杂志第1期
 
Java Web框架汇总
Java Web框架汇总Java Web框架汇总
Java Web框架汇总
 
Architect 201003-by-info q
Architect 201003-by-info qArchitect 201003-by-info q
Architect 201003-by-info q
 
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
探索 ISTIO 新型 DATA PLANE 架構 AMBIENT MESH - GOLANG TAIWAN GATHERING #77 X CNTUG
 
簡報規劃與技巧
簡報規劃與技巧簡報規劃與技巧
簡報規劃與技巧
 
企业系统和网络管理员的日常工作-丫美D-www.yamed.cn
企业系统和网络管理员的日常工作-丫美D-www.yamed.cn企业系统和网络管理员的日常工作-丫美D-www.yamed.cn
企业系统和网络管理员的日常工作-丫美D-www.yamed.cn
 
0918 產品經理先修班
0918 產品經理先修班0918 產品經理先修班
0918 產品經理先修班
 
极速 Angular 开发:效能调校技巧 (ngChina 2019)
极速 Angular 开发:效能调校技巧 (ngChina 2019)极速 Angular 开发:效能调校技巧 (ngChina 2019)
极速 Angular 开发:效能调校技巧 (ngChina 2019)
 
从运维系统的开发谈安全架构设计
从运维系统的开发谈安全架构设计从运维系统的开发谈安全架构设计
从运维系统的开发谈安全架构设计
 
开发 运维-开发,一路走来的收获与感悟
开发 运维-开发,一路走来的收获与感悟开发 运维-开发,一路走来的收获与感悟
开发 运维-开发,一路走来的收获与感悟
 
高雄和春資工系-Axure RP基礎課程
高雄和春資工系-Axure RP基礎課程高雄和春資工系-Axure RP基礎課程
高雄和春資工系-Axure RP基礎課程
 
rebar erlang 2
rebar erlang 2rebar erlang 2
rebar erlang 2
 

Resume

  • 1. 盧家慶 中壢資策會 第71期 網路工程師養成班 「我,不是天才 是想成為人才的人材」 世新大學 公關暨廣告系廣告組 Tel 0916152267 Mail squll16@gmail.com O’Range http://orange26.net
  • 2. 網路新手: 盧家慶 像金礦一樣的人脈: 朋友口中的「好好先生」,只要我可以幫忙,盡力完成。尤其電腦、搬家。 像海棉一樣好吸收: 閱讀雜誌書籍是獲得新知,解決問題的捷徑,有疑惑去書店&Google就對了。 像沙包一樣耐打: 打工常從早上十點工作到凌晨一點,最高工作時數兩週達175小時。 像拚命三郎一樣有衝勁: 兩個小時從桃園大溪騎車到淡水,參加聚會,結束再返家。 像老鷹一樣有企圖心: 在資策會進修時,自主學習、自我創新、自我競爭在每項Report上。 1
  • 3. 男(未婚,96.07.01 役畢 ) 盧家慶 (Orange) 72.07.31 Tel:(03)3808659 E-mail:squll16@gmail.com Moblie : 0916152267 2
  • 4. Education 90,09月 - 95,1月 世新大學 公共關係暨廣告學系廣告組 92.5月31日 第一屆「校園創意策略提案」競賽 第三名 - 色小孩終結行動 Training 97,07月 - 98,1月 財團法人資訊工業策進會 網路工程師養成班 第71期 97.9月22日 「Microsoft LAB 勤學獎」 97.12月24日 資策會71期網工班「企業資安專題」-你「資」不知道 -優勝 98.1月7日 資策會71期網工班結訓成果展-Cisco技能競賽優勝 98.1月9日 「 資策會71期網工班熱心公益獎」 Experience 95,4月 - 96,06月 國軍義務役 蘭陽指揮部 96.6月22日 「陸軍司令部績效優異獎狀」 93,05月 - 95,2月 HaggenDazs敦南店 內場:擔任主廚,負責內容為品管、備料、訓練新進人員。 外場:服務顧客用餐、包裝產品。 94.8月24日 「HaggenDazs 挖冰達人」第三名,工讀生第一名 90,7月 - 90,11月 景美燦坤店 維修部人員。負責電腦組裝、產品維修送件工作。 3
  • 5. Certificate Cisco :CCNA Microsoft :MCSE TQC Key_in 80 /min Refresher 資策會 網工71期 連至網頁 (*)指定作業 網路概論 NET、TCP/IP、KM、PC DIY 連至部落格 Windows 2003 Fedora 9 Cisco Web Wireless Server 2003 操作 熟悉指令介面 Cisco 操作 ) (*) DHTML Network Planning IIS 架站操作 LiveCD 製作 (*) Spanning Tree(*) CMS - Joomla Wireless Networking AD 建置 開機故障排除 (*) Trunking 模式 (*) Wi-Fi 每日一問 (*) Exchange 操作 更新核心 (*) OSPF ) EIGRP(*) 6人小組 網站製作 ISA 管理 NAT + ACL ) (*) En Enterprise ) 宅男 Frame Relay (*) 宅男七號 宅男七號 69、7 69 70期網工結訓展 69、70期網工結訓展 9 7 個人 LX LAB http://e71.orange26.net 企業模擬實境 Splunk(PM) http:// itclub.iiietc.ncu.- 驗收目標 驗收目標 標 tw/ne/sc103/homeboyno7 Check Point 操作 10人小組 MS LAB NC LAB Systex 企業演講 個人 部落格製作 驗收目標 驗收目標 標 企業資安專題簡報(組長) 6人小組 LX LAB O Range O’Range O’Range Rang 地點:學生宿舍 Seednet 企業參訪 結訓展 http://orange26.net LAB 報告 驗收目標(組長) Softnext SPAM SQR 操作 Wordpress LAB 個人心得 Foundstone 操作 地點:學生宿舍 HostMonster 主機 LAB 簡報 Cisco技能競賽 LAB 報告 (組長) Creations 資策會 網頁:宅男七號(http://e71.orange26.net) 部落格:O’Range(http://orange26.net) 影片:資策會 第71期 網路工程師 結訓成果展 開頭影片 海報:資策會 第71期 網路工程師 結訓成果展 世新大學 文書:Word、Excel、PowerPoint、Outlook 繪圖:PhotoShop、Illustrator 網頁:Firework、Dreamweaver (公廣系棒球隊網站製作) 影片:Premiere、AfterEffects (Novartis 學員紀念光碟、公廣系畢展影片 4 Spadind 三對三鬥牛賽、 2005樂樂棒球)
  • 6. 第一章 為何選擇資訊安全服務業?   我很愛我的家,爸爸幽默,媽媽開明,姐姐活潑,妹妹貼心,為了能讓他們能更幸福、開心做自己 的事,所以決定朝困難重重資訊業挑戰,靠著自己的努力減輕家裡高房貸的壓力,讓爸媽休息。如「當 幸福來敲門」片中主角一樣,有想守護的人,潛力才能被激發出來。   「好奇」是我對IT產業最佳代名詞,大學聯考一分飲恨淡江資管系,但還是不減我的興趣,大學沒 教的軟體,都是靠自己慢慢鑽研出來,愈做愈快、上手,也最喜歡去上網接收新知。退伍轉換跑道在資 策會網工班後,憑著自己的衝勁、求知慾,並要求自己一定要比別人更努力,因此,獲得同學、老師的 肯定。近幾年來,資訊安全漸受重視,Hacker 從以前for fun,到現在for money,資安問題已是未來 趨勢所在,再加上新版個資法可能通過,以往企業所重視的「內部系統安全」漸漸轉移到「使用者個資 」。身為IT人員必需不停接收技術的日新月異,家慶雖為新手,但懷著一天比一天進步的企圖心,不同 於別人。而Engineer不只要為企業網路把關,還必需為客戶預先想到資訊安全的問題。 家慶期許自己能在貴公司繼續努力向上札根,累積知識、更多網路實務經驗,憑著自己不馬虎、創 新的衝勁為貴公司盡自己最大的心力,就像這份履歷表,是自己一點一滴不斷進化而來的,謝謝。 第二章 「我思,故我在」 當一個男人在當兵時,會是一個蛻變的時候,而我學會了「思考」,因為以前的我很「輕鬆」,只 知道要打工賺錢,對未來並沒有什麼太大的期望,一切在當兵時有了巨大的改變,我不斷反省以前的我 做錯了那些事,為什麼回頭看我自己是這麼大的失落,也思考著那我未來該做什麼?關鍵就在於我到了 誠品,看了許多勵志的書,原來有很多事等著我去實現,也知道成功的人為什麼會成功,郭台銘能夠創 當「鴻海」這世界代工大廠,成功的人會不斷的思考、不停的去執行想法而成功。 「我思,故我在」,這句法國名言對我很深刻,讓我不單單只想到事情的現實面,我會去想了解背 後的意義是什麼,甚至是未來性是什麼。當別人覺得LAB做好就好了,但我會想讓自己學更多一點,去 增加更多的功能在上面,如LINUX LAB時,身為組長的我為了讓老師更滿意,我特別在額外多加了題目 沒有的proxy、VPN、NAT的設定,也讓自己多學了一些老師沒教的功能。 「思考」,也可以使事情加速完成,有效率的,身為木工的爸爸也告訴我,他在做每項事情的時候 ,都會思考如何能讓自己更快做完,購買儀器、自製工具,最重要的還是靠經驗。 第三章 工作經驗: 從高中到服兵役前,接觸過不少以服務業為主的工作,總計約三年四個月。工作默契從個人發展至 團體,工作面向從本身到管理工讀生(15~20位),最高峰為擔任HaggenDazs敦南店工讀生Leader ,不管是在心智和態度有很大的轉變。 日後的加薪為轉折點,店長要求資深的我必需擔任品管主廚、負責訓練新進員工和管理工作伙伴, 那時的我深深體會到蜘蛛人片中所提到的「能力愈大,責任也愈大」這樣一句話,當時的我也是 HaggenDazs挖冰達人,不管在挖冰技巧、工作經驗已算是頂尖。如果要獲得更優渥的待遇,自己要更 加成長,要負更多責任。 最後也不負期望,甚至得到台北區區經理的賞識,希望退伍後可以繼續為他們服務。 在信義房屋這段期間,不僅熟悉了房屋的特性,買賣如何進行,中間人的作法,我覺得最重要的是 讓我更了解社會,更了解人性一些,並不是我想的這麼簡單。要讓客戶信任,必需將客戶當做女朋友一 樣的追求,無時無刻的關心他,多為他想一些。曾經有一位客戶因為託賣的契約到期,我並沒有放棄, 而是傳簡訊關心她,在離職的那天,想要和我簽約。為了讓第一件案子被委託,我趁休假開車到南投找 屋主,為的就是讓他覺得我和別的業務員不一樣。 進敬鵬工業的初衷在於在短時間存一筆錢,在職訓局還未開課前,靠著自己不怕苦的耐力,5個月 休假不超過15天,工作12個小時。因為這樣,讓我深刻覺得這不會是我未來工作的地方,無法讓我成 長,而是消極的過生活。 5
  • 7. 第四章 競爭力 「遠見雜誌」244期提到農地休耕後,生產力可提升一倍。而在資策會這六個月可說是我的「休耕期 」,在生理上,將過去累積的疲累獲得休息,在心理上,更加茁壯,也思考將進入職場的我,如何在眾 多人選之中脫穎而出,已具備那些競爭力: 一、先見力(預知明天怎麼變): 在資策會受訓期間,擔任三次小組組長,組員從6至13人。其中一次企業專題,身為組長的我在得知 老師出題方向為「資安」時,為了讓組員知道專題方向,家慶便利用當週二天假日,至桃園銘傳大學圖 書館查閱三年份「資安人」,印了一百多頁資料,讓組員參考。家慶認為身為一個組長必需有要有「先 見力」先去體驗錯誤、蒐集資料,組員便可以有更多時間去準備。而業界評審也對此簡報讚許有加。 「準備是成功的基石」 二、突破力(超越現狀開啟新局面): 會選擇進入資策會網工班,而不是選擇多媒體班,自己需下很大決心,因為「網路」這領域只算初學 者,換個角度想,我可以讓自己「混搭」,多一把刷子,將自己企劃、美工能力應用在「網路建置」上 ,家慶到後來發展的人格特質是「改變現況」,而不是「維持現況」,創新在每一份報告、簡報設計上 ,與自己競爭。在學習上,和剛進資策會連ping指令也不知道的門外漢大不同,不懂就是問老師,或是 業界學長,讓自己在「網路」有一定的基礎。 「失敗是成功的情人,改變是方法之一」 三、學習力(學不完的的知識): 資策會網工班負責Linux課程老師,不只希望我們只會課堂上所教授課程,而是「自主學習」能力, 自我survey能力。期許我們在進入職場後,自己發現問題,自己解決,也就是troubleshouting能力。 家慶將其應用在製作個人特色部落格,使用從未使用軟體,從購買國外虛擬主機到獨力完成,也將自己 在設定上的錯誤發表在Blog。 「不要煩惱,就要思考」 四、人際力(人脈存摺): 兵單來時前夕,感動朋友們一一為我舉辦離別會,不同時期的朋友為我祝福,檢視我的人脈存摺是如 此豐富,很感動。如何讓每個人不同的故事產生交集,我想就是要靠仔細聆聽、理直氣和的溝通來搭起 不同的橋樑,搭的好就是人脈,不好就是喪失一個機會點。設身處地為對方著想,讓對方感到貼心,他 日便會為你付出。現在到HaggenDazs分店都會有熟識的幹部、同事,免費招待一球冰。 「多為別人想想」 最終章 願景 在資策會這段期間,家慶讓自己像「老鷹」一樣,去印證我的想法對或錯,努力表現自己。就如同我 在資策會結訓展對學弟妹薪火相傳時所提的: 一、不斷的和自己競爭,今天的我要比昨天的我更進步。 (自我競爭) 二、有自己的腳步,當別人在輕鬆時,一定要和他們一樣嗎? (自主學習) 三、團隊合作時,不要太埋怨別人,要換個角度想。 (體諒別人) 下列是家慶在未來工作上,期許自己能做到更好,讓自己成長最快的目標: 一、「專業能力」:鞭策自己能以最快的速度學會網路的產品,整體架構,補足所學的不足。 (考取公司產品相關證照) 二、「英文能力」:不斷翻閱英文技術文件,閱讀能力的提升, 收看英文字幕美國影集,會話能力的提升。 (目標考取「多益」證照) 三、「新知能力」:留意網路相關研討會,規劃時間參加,汲取新知,不落人後。 四、「團隊合作」:與同事之間能相互配合,共同努力完成負責的專案建置。 五、「觀察力」:從規劃、建置網路到設定網路產品時,必須事先試著了解是否符合客戶資安需求。 「一個會幫公司賺錢的人,和一個只賺公司錢的人明顯不一樣, 我不是天才,是想成為人才的人材。」 6
  • 8. 前述: 西元 2008 年 9 月 19 日, 為當今武林傳奇寫下重要 的一頁。 霸主當日驗收實況 武林神話中兩位盟主,中原 2003-霸主「戴有煒」、會 菊花寶典 世界各地而來的參賽者: 寫洋墨水-html 一、趴待國(Birdie) 「Hubert 」 共同舉辦 , 「第 之 家福、家慶、明晃、銘宏、貴 71 屆 KOF 網路天王」大 敗敗傳奇 升、勤知、書維、永俊、乾聖 賽。 二、台灣代表 - 士林夜 而這是一部記載 Birdie 國參加 市豪大雞排組。 歷史的這一天的紀錄,將會流 三、日本戰國代表-本 傳在以後武林佳話中,他們的 多忠勝組。 敗敗的教訓會警訓著世人。 www.Birdie.com 7
  • 9. 建置 LAB 環境前建議: 一、武功心法: 1.愈早準備,愈不用最後一天熬夜 2.試圖解決問題,不是被問題打敗 3.做之前先參考歷屆學長的心得 為什麼這麼做,減少失敗的挫折感 [參賽主機室內佈置圖] 4.每個步驟、設定都要去了解為什麼 [參賽拓樸圖] 右:綠色框框---內部網路 5.LAB 的精神在於每一個人的想要 一、總公司:(Birdie.com)NLB 前端防 中:綠色框框---後端防火牆 LAB 的完成在於每一個人的行動力 火牆+DMZ+後端單一防火牆+公司內部網路。 左: 綠色框框---前端防火牆+DMZ 主機 右上紅色框框:子公司 二、武功良師(小組): 二、子公司:(Peko.com)前端單一防火 1.積極領導人 :人是被動的,沒有主 牆+子公司內部網路。 【HUB 環境介紹】 動者出來督促,會愈拖愈累。 2.對網路熟悉者:可指引組員正確的 黑色圈:內部網路 HUB 方向、不會一頭霧水。我們就曾為了 記住難記的 IP 位址不斷問來問去。 網段 IP 位址介紹: 藍色圈:DMZ 區 HUB 內部網路:192.168.5.0/24 紅色圈:外部網路 HUB 三、必要配備: DMZ 網段:192.168.3.0/24 與拓樸圖不同的是我們將外部網路所需的兩個 實機操作的主機不要太差,RAM 至 少 512MB,尤其前、後端防火牆以最 HUB 合為一個,將總公司外網與子公司外網為同 外部網路:192.168.2.0/24 好為優先。ISA 設定同步的快慢有絕 一個網段。 對的影響。 前端 NLB:192.168.4.0/24 8
  • 10. Birde 每日建置流程紀錄: 家慶(小橘) 優化工作流程: 每日完成重要工程時,必需備份所有主機,家福使用 9/11 GHOST 軟體,可用 DOS 模式下還原模式還原到我們想要 LAB 前: 目標:內部 AD 網域架設,後端防火牆信任 CA 的時間點。 達成:成功 延誤工作流程: 先試著用虛擬機器完成各項 設定,對於實機操作 明晃設計拓樸圖各個主機 ip 十分混亂,我們三人努力實作 LAB 能更快駕輕馭熟。如果我自己能更快在家試 情境:網域控制站的 AD2 法加入 Birdie.com 網 的同時,一直在背各個主機的 ip 位址。 驗 VPN 成功,對於實機操作就不會一頭亂。 域,但雙方可 ping 到對方。 LAB 時: 解決:家福事先安裝的 NOD32 防毒軟體阻擋,移除後即可 安裝。 9/13 面對設定不對、電腦出問題時,要冷靜的看待問 目標:前端 NLB、Back -to- Back 架設完成 題、仔細的分析前因後果,不要被挫折感打敗 達成:失敗 延誤工作流程: 了,解決了,知識就是你的,放棄了,就學不 購買 20M 網路線,裁剪 8 條網路線,四人各負責二條。 情境一:前端 ISA Server 無法與 CSS 連線,流 會。和組員討論可得知自己不知道的原理,也可 量無法到 CSS。 增進友誼。 解決一:將後端 isa 所有進出流量全部開啟。成功連線後,使 心得: 9/12 用存放伺服器裡的「監視」觀看流量,發現少了設定 目標:前端 nlb、back to back 架設完成 Kerberos-adm(udp)。 雖然我們敗敗是個傳奇,也向 MS LAB 拜拜了, 達成:失敗 情境二:在使前端兩台 ISA 信任 CA 時,使用老 而我也十分的不甘心,自己的努力無法成功,而 情境:DMZ、ISA 前端主機無法連至內部網路。 師說只要將憑證放入隨身碟,至各台電腦安裝時, 不能成功一定有原因在,自我檢討後,覺得一定 發現憑證無法驗證。 是自己還努力的不夠,所以還無法完美。如果今 解決一:在 isa 前端及 dmz 主機加入進入內部網路的路由表。 天這是一份 job,上司和同事會怎麼看,還會像 解決一:使用原始方法,isa 至 ca 憑證網站下載 css 的憑證, 解決二:內部網路所閘道有主機的預設全部指向 isa 後端內網 老師們一樣給我機會嗎?我要對下次的 Linux 卡的 ip,即可。 就 ok。 LAB 會付出更多的心力在裡面。 延誤工作流程: 一、兩台電腦光碟、一張網路卡故障。 二、Hub 第五個 port 不能使用,其它正常。 9
  • 11. 情境三:後端 ISA server 可以連線至 CSS,但 9/14 9/15 CSS 無法和 ISA server 連線。 目標:將前端防火牆轉變 nlb 架設完成 目標:將後端單一防火牆轉變 nlb 架設完成 達成:成功 達成:成功 解決一:我們先在兩台 isa server 做設定 nlb 相關設定,不管 css 有沒有連線,nlb 順利成功。更神奇的是在我們討論剛剛 情境一:前端防火牆欲加入 CSS 所設前端陣列時, 進度時,css 與 isa server 同步了。 出現「必須將此電腦設為此陣列管理電腦」的畫 情境一: 前端 NLB 無法連線,一連線兩台電腦 老師說的指示:「並耐心等待/檢查與 css 是否同 面。 掛掉。 步、相關服務是否正常執行中」果然是名言。 想法一:在虛擬機器設定時,按照老師規則即可成功,換至實 解決一:決定從後端 nlb 下手,加一台電腦做後端 nlb, 體主機時,無法完成。 優化工作流程: 解決一:因為時間迫在眉捷,我們使用乾坤大挪移,不得已將 重新設定 css 電腦的電腦名稱,將忘了設定的電腦名稱從 後端 isa 流量全開,先完成架設 nlb,這是我們下的最慘痛決 情境二:後端防火牆,第二台 isa 無法加入 CSS 非常冗長的「birdie-bae68530」改為「css」。 定。 的陣列,在匯出機密時,出現與陣列成員無法連 延誤工作流程: 線的畫面。 情境二:DMZ 內的 DNS3 持續發生「網路電纜 新增加主機的 usb port 不能故障,使原本硬碟內截圖檔無 法複製。 拔除」,又連線的情況 想法:試圖上網找微軟相關資料,發現對岸網友有說出架設 nlb 的網卡不能使用 realteck(錯誤) 解決:將老舊的 hub 換成較新的 hub 解決一:發現這一點後,又因網卡 d-link 只有四張,家福想 結論:是否要先在 nlb 做設定後,才能使 css 同步,我們抱著 情境三:在等待 css 與前端 isa 同步時,我們先 出前後端 isa server 各為一台實體,一台虛擬,可省掉購買多 懷疑的心情,但因為我們花在 nlb 試過太多方法,花太多時 出去吃飯,有了昨天同步需要一段時間的經驗後, 張網卡預算。如些一來,又可在 dmz 及內部各增加一台實體 間,必須花更多時間在接下來的部分,沒有去測試這部分。 機器。 沒想到在我們回來啟用 nlb 的時候,又發生兩天 解決二:還是發生情境二的畫面,這次我們試著將 css 存放控 前在 dmz 網路的主機完全連不到內部網路,內部 制區畫面持續開啟,不中斷連線,isa 後端二台加入陣列時, 網路連不到 dmz 的重大錯誤。 都能順利安裝成功。 想法:兩天前後端沒有 nlb 不成功,今天試著後端 nlb 也是 結論:isa 加入陣列時,css 電腦必須在管理主控台畫面。 發生同樣錯誤。 10
  • 12. 解決一:我們四個人下了重大決定,將 css 一分為二,在 情況三:我們發生最簡單的 PPTP 也無法連線到 dmz 增設 css 給 isa 前端使用。這是很重大的突破,因為這是 9/16 VPN 後,與前端 NLB 發生問題後,經過小組會 我們參考的資料中都沒有的,為了能讓 lab 順利進行,這是我 目標:VPN 架設成功、DMZ 區完成各項服務 達成:失敗 議討論,我們下了二個決定: 們參考的資料中都沒有的,為了能讓 lab 順利進行,這是項未 知的實驗想法,我想這就是實驗的精神-創新。但卻有被接受 1. 後端 NLB 撤掉,改換單一 CSS 與 ISA SERVER。 下 (剩 或否決的風險存在。 情況一:前端 NLB 在我們早上準備要開始動工時, 沒多少時間,不能再因為 ISA SERVER 的不同步或是流 發生 CSS 與陣列兩台電腦無法連線,出現 CSS 量有問題,再延誤工作流程) 無法有效的連線問題。 2. 將所有主機加入網域。 優化工作流程: 解決一:明晃試著按確定後,強制連線到陣列,等了半小時, 明晃將自己個人用雙核心、4g ram 更換原本擔任單核心 終於出現同步。 1gram 的 isa 前端 server 後,nlb 啟用,三台主機同步非 9/17(宿舍大斷線)18 常的快(一分鐘內)。 目標:VPN 架設成功、DMZ 區完成各項服務 達成:失敗 情況二:到了晚上,我們為了測試 VPN 連線, 將流量全開後,前端防火牆整個掛掉。 延誤工作流程: 一、前端 ISA 欲連至 CA 申請憑證時,發生網路斷線問 想法一:我們在懷疑是不是因為前後端流量全開後,會 題,連剛向 CA 申請的 DMZ CSS2 也發生網路斷線問題, 導致前端防火牆 NLB 掛點,因為第二天在做前端 NLB 小結: 懷疑是不是 HUB 線脫落或是機器不優,重新插上就 OK。 時,也是因為開了流量全開測試連線後,便發生同步出 錯的問題。 1.防毒軟體在 LAB 完成後再安裝。 二、以 512RAM 主機欲架設本機 EXG1,虛擬機器常常發 解決一:發現原來是 ISA 前端防火牆之一的電腦硬碟容 生斷線的問題,發生 exg3 ping 不到 exg1,必須要重開 2.在每日重要工作完成,備份一個時間 量不足,只剩 400MB,是否導致 ISA 電腦掛點。 機。 點的所有主機。 解決二:將 ISA 電腦重新安裝,並作適當的分割,虛擬 機器放入 C 槽,如發生問題,還原時便可同時還原二台 3.設計拓樸圖 IP 的人必需十分了解。 主機,也在同一個時間點。 解決三:將主機內的 VIRTUALL SERVER 的硬碟使用 4.確認軟體設定無誤後,也要考慮硬體 「固定大小的磁碟」,負載 ISA 需要強大的效能,RAM 的阻因。 也提升到1G。 5.不要在同時在 ISA、CSS 做設定。 11
  • 13. 肚子餓了,GuHu 叫 2008 Linux Lab 企劃專案 肚子餓了咕嚕咕嚕叫,全身無力不能跳,普通麵包我不要 青葉滷肉飯,香的不得了!媽媽不在家,青葉滷肉飯,蝦蝦叫! OTAKU 2008/12/10 組長:盧家慶 組員: 吳庭源、楊家福、簡銘宏、楊明晃、林士裕 12
  • 14. 客戶檢查菜單全貌: 一、NESSUS Client 掃瞄防火牆網段 192.168.1.100,IPS 偵側後,將由 Guardian 將執行 Script,封鎖 IP:192.168.1.200 主機,寫入 Iptables 規則內。 二、VPN Clent 連至內部虛擬 VPN 192.168.2.0 網段,存取內網 Samba 分享資料夾及 Cups 網路印表機。 肚子餓了,GuHu 叫 | 2008/12/10 三、Client 可連至「宅男七號」,http://www.otaku.com,網頁。 四、內部網域 10.120.1.0 欲連至 Internet,必需經由防火牆 proxy server 才可上網。 五、內部網域 10.120.1.0 主機藉由 NAT 轉換成 192.168.1.0 網段。 3 13
  • 15. 專案甘特圖: 14 4 肚子餓了,GuHu 叫 | 2008/12/10
  • 16. OPENVPN ................................................. 負責人:家慶(小橘) 簡介: OPENVPN 是一套免費架設 VPN 軟體,運作原理為先建立根 CA,製造企 業憑證,發行憑證,建立驗證端 SERVER 的憑證,再依照 CLIENT 的數目建 立本機獨立憑證,也就是一個 CLIENT 就需要一個憑證。 OPENVPN 建置: SERVER 端:外網卡:192.168.1.100 內網卡:10.120.1.254 CLIENT 端(MS2003):192.168.1.200 建立 CA certificate 及 Server/Client keys Server 端: 肚子餓了,GuHu 叫 | 2008/12/10 1.將 FEDORA 內建的 OPENVPN 複製至/etc/openvpn cp /usr/share/openvpn/easy-rsa/2.0/* /etc/openvpn 2.編輯 CA 的變數 cd /etc/openvpn 5 15
  • 17. vi vars (主要是設定最後面的 KEY_COUNTRY KEY_PROVINCE KEY_CITY KEY_ORG KEY_EMAIL 等參數 ) . vars ./clean-all 3.產生 CA certificate ./build-ca 4.產生 Server 憑證 ./build-key-server server 5.產生 Diffie Hellman parameters ./build/dh 6.產生 tls-auth key openvpn --genkey --secret ta.key mv ta.key keys/ 7.產生 Client 憑證 ./build-key 2003 肚子餓了,GuHu 叫 | 2008/12/10 8.將 keys 資料夾有關 CA、Client 憑證複製到隨身碟 ca.crt 、ta.key 、2003* 9.將 openvpn server 端設定檔放至設定資料夾 6 16
  • 18. cp /usr/share/doc/openvpn-2.1/sample-config-files/server.conf /etc/openvpn/ 10.編輯 server.conf 設定 ............................................................................................................................................. 25 行 local 192.168.1.100 (外網卡) 35 行 proto tcp (模式走的協定) 36 行#proto udp 52 行 dev tap (決定模式類型) 53 行 #dev tun 78 行 ca.crt cert server.crt key server.key (決定 server 端 key 的位置與名稱) 96 行 server 10.120.2.0 255.255.255.0 (設定 vpn 所走的網段) 231 行 tls-auth ta.key 0 ............................................................................................................................................. 11.上官網下載 windows gui 介面的 openvpn 2.1 rc15 並安裝 肚子餓了,GuHu 叫 | 2008/12/10 http://openvpn.net/index.php/downloads.html 7 17
  • 19. 12.將預設 client 設定檔及隨身碟的憑證放至 config 資料夾 13.編輯 client ............................................................................................................................................. dev tap #dev tun proto tcp #proto udp remote 192.168.1.100 1194 ca ca.crt 肚子餓了,GuHu 叫 | 2008/12/10 cert 2003.crt key 2003.key tls-auth ta.key 1 script-security 2 8 18
  • 20. 14.按下右下角圖示 connect 建立連線 15.觀看連線 log 檔 肚子餓了,GuHu 叫 | 2008/12/10 9 19
  • 21. 16.觀看路由表的變化 17.觀看連至內部主機 samba 分享資料夾 肚子餓了,GuHu 叫 | 2008/12/10 18.觀看連至內部主機分享網路印表機 10 20
  • 22. Q&A: Q1:vpn client 端無法和主機建立連線?(觀看 log 檔後,說明 client 無 法定義使用者所用的安全類型) A:script-security 2 加至 client 設定檔裡 Q2:vpn client 端無法找到憑證檔案? A:一開始我在虛擬機器模擬時,是透過 gmail 來傳送憑證,而 google 大神卻將我的檔案類型變更為 txt 檔,所以找不到。 Q3:成功連線後,無法 ping 內部所有主機,只有防火牆內網卡? A:必需加入 iptables 規則,才能傳送 VPN 10.120.2.0 的封包 肚子餓了,GuHu 叫 | 2008/12/10 11 21
  • 23. 心得感想: 個人的角色: 一開始看了題目後,有一股想要全部都想做的衝動,但考量現實層面,身 為一個組長,要考量到組員能做到那裡?一開始討論工作分配時,大家都 有分配到一個主題,說我只要負責講解拓樸圖就好了,我當然不甘心,所 以我想要把從前失敗的 vpn 擊敗它,而組員也不太能諒解為什麼我要做, 而我從架 PPTP lX2TPSERVER 到 OPENVPN,挫折感很大,深怕又像上 次做不出來,這次個人 70%LINUX 最大的收穫在於使用 LOG 檔,一一去 比對什麼錯誤,旁人看來簡單,但什麼 LOG 才是我們要看的,這是我很 大的感觸,在驗收前一天,終於成功連線,但又發生不能共享資源時,又 是一大挫折,吃飯時,我說出那個點以後,阿宏說會不會是 IPTABLES 可 能也要設定一下,讓我頓開,再回官網上看需要設定什麼,果然,它上面 就有告知什麼環境下,需要改什麼設定,再和金魚互相研究, 也發現 IPV4 的轉送因重開機又不見了,後來能連至 SAMBA,至此 VPN 才終於算是成功。所以想法互相交流很重要的,不要一個人死命的做。 組長的角色: 這次相較 MS LAB,最大的進步在於自己扮演了一個不失職的組長角色, 一個組長沒有企圖心想要做好的話,那 LAB 一定大打折扣,簡報能獲得老 肚子餓了,GuHu 叫 | 2008/12/10 師的賞識,沒有太多需要改進的地方,自己當然覺得很開心,也覺得當初 的堅持是對的,如果我選擇簡單建一個防火牆+IPS+nessus,那簡報時會 不會就很空洞。簡報的標題發想、背景設計都是自己來的,專案圖也試著 VISIO 畫,我想就在於組長有沒有想要做好的心,收集廣告信件也有了效 果,這次的簡報背景是參考 CNET 所寄發 HITACHI 企業廣告所發想的。 12 22
  • 24. 組員的合作: 繼上次宅男七號成功後,大家其實就培養一定的默契,我們是最會吐槽對 方宅男的一組,也是一群有「想要」的組員們,雖然一開始對我要做這麼 多有意見,也不認同,但金魚還是會幫忙,雖然嘴巴抱怨不停,但我相信 沒有他的話,我應該會做不出來。阿宏是個很放心的人,他會做好自己的 本份,從上次 LAB 就有感覺,明晃雖然常常打錯字,但他還是把自己負責 的部分做出來,有聲有色的,家福身為班代,外事很多,所以儘量不打擾 他,但他是最主動、贊同我,和我討論的人,士裕雖然企圖心沒有很強烈 ,但他有盡力把自己的部分做出來。這次大家都扮演好自己的角色,為這 次 LAB 劃下一個成功的句點。 老師的評語: 在老師審核之中,老師希望我們多的 PROXY 伺服器還要有附加功能,或 是放在內網才算有用,VPN 最好是能由外網連進來,而不是和防火牆同一 網段,所以給正在看這份報告的學弟、妹們,學長希望你們不要再犯我們 的錯,SOP 出來了,能盡力把 LAB 弄至愈完整愈好,不是只有老師一開 始的要求,而我們這一階段任務完成,期待你們能有更多發展的空間。 參考資料: 肚子餓了,GuHu 叫 | 2008/12/10 http://openvpn.net/index.php/ 13 23
  • 26. NOW about IT Security Global、Enterprise、Company、Individual 25 2
  • 27. Global: 全球經濟不景氣。 危機:股市慘跌 金融海嘯 失業、減薪風暴 轉機:降低營運成本、強化內部管理 台灣IBM全球企業諮詢服務事業群表示: 「有許多台灣企業正從提供創新業務服務、收購兼併與轉換營運管理模式等三個方向,突顯 其與競爭對手的差異、擴大市場佔有率,以及優化內部管理等,如奇美與光寶都積極於透過 重整採購流程等方式,降低營運成本與強化內部管理。」 ZDNet 12/04 26 3
  • 28. Enterprise: 步入「成長期」企業,對「資安」預算不足。 2008年資安人-「資安使用者需求調查報告」: 對資安預算,近6成受訪者表示持平。 2006年iThome - 「中小型企業e化調查」: 半數中小型企業年度IT預算僅十萬元。 38.3%只有1~10萬元的IT預算、毫無預算則有19% 27 4
  • 29. Company: 已導入「UTM」公司,對「管理」不足,「效能」不彰。 Juniper Networks:目前客戶端對於UTM應該在企業擔任何種角色,什麼程度的 資安整合,將會比較有明確方向,而不是認UTM為萬靈丹。 奕 端 科 技 : 過去UTM太過於訴求多合一,部分企業遇到效能問題,未來 重於在管理的方便性。 C i s c o: 以50-150台PC公司,銷售狀況接近50%、60%成長,購買 UTM可能依部門、單位需求僅開啟部分所需功能。 資料來源:2008.3 資安人 – 「從銷售市場,再探2008年資安動態」 28 5
  • 30. Individual: 內部員工對「資安執行面」不落實。 保護企業資產 2008年資安人:「回顧2007、展望2008資安市場動態調查報告」 08年市場成長最多前三名:1.端點安全與NAC、2.DLP、3.IM/P2P控管 2008年Websense:「針對IT人員做資料外洩意見調查報告」 99%受訪者認為資料外洩議題值得關心,因企業最重要的是智慧財產權 外接式儲存裝置、E-mail及Web Mail為資料外洩主要管道 實例:台灣雨傘代工總經理監守自盜 竊取公司機密 專幫歐洲名牌代工雨傘的國x洋傘公司,該公司總經理,為到大陸另立門戶,夥同胞 弟在公司電腦植入木馬程式,竊取客戶名單、財務報表等機密,並偷走新款洋傘樣 品。 29 6
  • 32. OTAKU Source: Q4 2007 台灣資安硬體市場營收 19% UTM 2% 49% IPS IDS 30% Firewall/VPN IDC企業應用產業分析師表示: 「一直以來, 因為 UTM為多功能的高度整合,導致硬體效能不彰,致使大型企業導入意願降低, 然近來更高硬體規格UTM的問世,中小企業市場採用率有上升趨勢。」 資料來源:IDC , March 2008 Taiwan Security Appliance Revenue Share by Function, 4Q 2007 31 8
  • 33. OTAKU Vision: Security The First - 協助中、小企業網路規劃守護第一道防線! Service The Forever - 信任,帶來欣幸福! 32 9
  • 34. OTAKU Strategy: 以 「客製化」的策略達到 Management - Cost Lower、Safe More、Use Faster」 「 33 10
  • 36. Background: 「OTAKU」 公司為目前最hito的web 2.0網路新創公司, 該公司並與台灣 最紅的電影「海角七號」合作行銷 ,短短一個月就創造七百萬瀏覽人次,創造 佳績! vision: 「OTAKU」 公司為了因應「未來的業務」與「組織規模」 的大幅成長,朝向多方面電子商務服務應用發展,已於桃園、台中設立分公司據 點。
  • 37. Proposal: 「OTAKU」 公司經開會討論後,決定公司整體網路規劃需求如下: 台北總公司採用階層式 IP定址規劃,分為: SNMP、Server Farm、DMZ、Marketing與Finance Department。 在台北總公司與桃園分公司之間已向ISP申請Frame Relay為主要網路,並希望以IPSec VPN來 備援Frame Relay,做為備援線路。 台北總公司與台中分公司之間,可以使用Site-to-Site IPSec Tunnel互通,並可讓出差在外的 員工可以使用Remote Access VPN,限制其存取DMZ、Server Farm區。 總公司內部Marketing、Finance 部門使用DHCP技術,自動配發IP。 台北總公司與台中分公司可以直接連上Internet上網,桃園分公司必須經過台北總公司,方可連接至 Internet,不可直接上網。
  • 38. Definition Design Topology Attention Pratice Example Virtual Local Area Network: Vlan + IP 在支援802.1Q Switch傳送封包時加上Vlan ID ,並透過建立 接收 識別 移除 傳送的機制,使得各Swtich間能識別該封包該送 往何處,可達到以下所述 : Excellence: 規 Segmentation:不同樓層同一部門可屬於同一網段,避免Broadcast Storm。 劃 Flexibility:如新行銷部員工進入時,只需指派port給其所在vlan 。 Security:網路管理者可控制port只能存取特定Resoure。
  • 39. Definition Design Topology Attention Pratice Example Vlan + IP 規 劃
  • 40. Definition Design Topology Attention Pratice Example Vlan + IP Attention(1): Switch 設置IP的用意在於可以使管理者遠端管理Switch。 Attention(2): 使用兩個Cisco 2611 取代Frame Relay 與 Internet兩朵雲。 規 劃
  • 41. Definition Design Topology Attention Pratice Example Command Line Interface ,CLI Vlan + IP 設定IP、Gateway: #interface vlan 2 #ip address 10.1.2.1 255.255.255.0 #no shutdown #ip default-gateway 10.1.2.254 規 建立Vlan Database: 劃 #vlan 2 #name snmp #exit 檢視IP配置狀態: #show ip int brief #show running-config
  • 42. Definition Design Topology Attention Pratice Example Trunking: Vlan Trunking Switch與Switch、Switch與Router之間的點對點Link,而此Link可以 運載多個Vlan的Traffic,簡言之,可使一個port同時成為多個Vlan的一部份。 Vlan Trunking Protocol(VTP): VTP 規 由Cisco所建立,目的是要管理交換式互連網路上所有設定的VLAN,以及 劃 維護整個網路的一致性。 、 Excellence: Rounting & Consistence:總公司Switch之間有一致的 Vlan設定。 Server Dynamic:動態更新給VTP網域(XYZ)中所有Switch 。 Support:支援混合式trunks(Fast Ethernet,FDDI,ATM)。 Inter-VLAN Routing: Client Transparent 不同VLAN的主機之間要互相通信,必需藉由第三方的路由功能設備來實現。
  • 43. Definition Design Topology Attention Pratice Example Vlan Trunking Inter-Vlan Routing Setting: 目前總公司內尚無預算採購Multilayer Switch來完成不同VLAN之間封包 遶送,因此決定在HQ Router上設定Inter-Vlan Routing,節省支出。 VTP 規 劃 VTP Setting: 、 台北總公司區域網路採用VTP進行管理,將VTP Domain設定為「XYZ」, Rounting & 並採用密碼認證,設定為「cisco」。
  • 44. Definition Design Topology Attention Pratice Example Vlan Trunking VTP 規 劃 、 Rounting &
  • 45. Definition Design Topology Attention Pratice Example Vlan Trunking Attention(1): 指派vlan給指定port之前, 必須先建立vlan database。 VTP Attention(2): 規 vlan database 只需在sw1設定,VTP client switch會自動學習。 劃 、 Attention(3): Rounting & 需要在使用trunk port上,設定native vlan 為2。
  • 46. Definition Design Topology Attention Pratice Example Command Line Interface ,CLI Vlan Trunking 建立VTP : HQ-sw1(config)#vtp domain XYZ HQ-sw1(config)#vtp password cisco HQ-sw1(config)#vtp mode server (可以不用打,預設就是) VTP HQ-sw2(config)#vtp mode client 規 設定HQ Router Inter-VLAN Routing: 劃 、 HQ(config)#int fa 0/0.10 HQ(config-subif)#encapsulation dot1Q 10 Rounting & HQ(config-subif)#ip address 10.1.10.254 設定Switch Trunking: HQ-sw1(config)#int ra fa 0/20 - 24 HQ-sw1(config-if-range)#switchport mode trunk HQ-sw1(config-if-range)#switchport trunk native vlan 2 指派Vlan 給對應的端口: HQ-sw3(config)#int range fa 0/1 - 5 HQ-sw3(config-if-range)#switchport mode access HQ-sw3(config-if-range)#switchport access vlan 2
  • 47. Definition Design Topology Attention Pratice Example Dynamic HostConfiguration Protocol: DHCP DHCP 的主要功能是讓用戶端能夠透過自己的Ethernet Address 廣播, 向 DHCP Server 取得有關IP 、Netmask、 Default Gateway、DNS 等設定。 設 計
  • 48. Definition Design Topology Attention Pratice Example DHCP DHCP Setting: 總公司內部Marketing、Finance 部門,必須使用DHCP技術,可透過 設 HQ Router自動取得IP位址,不需手動設定IP。 計
  • 49. Definition Design Topology Attention Pratice Example DHCP 設 計 DHCP
  • 50. Definition Design Topology Attention Pratice Example DHCP Attention(1): 設定分發IP位址範圍時,需排除Gateway位址,避免衝突。 設 計
  • 51. Definition Design Topology Attention Pratice Example Command Line Interface ,CLI DHCP 設置vlan 20 HQ(config)#ip dhcp pool vlan20 設 設置DNS 計 HQ(dhcp-config)#dns-server 10.1.2.254 分配給vlan20的網段 HQ(dhcp-config)#network 10.1.20.0 255.255.255.0 設置Gateway HQ(dhcp-config)#default-router 10.1.20.254 設定需要排除的IP或指定的IP範圍 HQ(config)#ip dhcp excluded-address 10.1.20.254 HQ(config)#ip dhcp excluded-address 10.1.20.1 10.1.20.10