深信服面试：协议理解、OSI模型与Web安全问题详解

在深信服的网络安全面试中，面试者遇到了一系列关于网络基础知识的问题，展示了面试过程中的学习曲线和个人准备情况。以下是面试中涉及的主要知识点： 1. 协议类型：面试开始时，面试官询问了应聘者对各种网络协议的了解，包括HTTP和HTTPS（应用层协议）、TCP/IP（传输层协议），以及ARP、SNMP（网络管理协议）、DHCP（动态主机配置协议）、FTP（文件传输协议）等。虽然应聘者最初未能全面列举，但这次经历促使他后来自我提升。 2. OSI七层模型：应聘者能够清楚地阐述OSI模型的七个层次（应用层、表示层、会话层、传输层、网络层、数据链路层和物理层），并提到自己大学的专业背景是网络工程，这表明他对网络理论有一定的基础。 3. 网络层协议：尽管对网络层的具体协议如IP、ICMP、RIP、IGMP有所混淆，但面试官并未过于纠结于错误，而是着重讨论了TCP/IP在传输层的作用。 4. HTTP协议和请求头：当被问及HTTP协议的请求头时，应聘者虽然不够熟悉，但通过联想到了抓包工具Burp中的数据包内容，例如User-Agent和Referer，表明有一定的网络实战经验。 5. 常见端口：面试者列举了一些常见的服务端口，如FTP、SSH、MongoDB、MySQL、HTTPS、Tomcat等，并在遇到具体问题时，如Redis端口，能够识别其作为数据库服务的用途。 6. 中间件和解析漏洞：面试者展示了对IIS（如ASP解析漏洞）、Apache（从右往左解析规则漏洞）和Nginx（jpg/1.php漏洞）等中间件的了解，尽管在细节上有些模糊，但仍表现出一定的研究和关注。 7. CSRF漏洞：面试者被问及CSRF（跨站请求伪造）漏洞，这显示了对Web安全问题的认知，尽管在具体描述上可能存在不足，但显示出面试者正在努力扩展其安全知识库。 这次面试不仅测试了应聘者的理论知识，还考察了他们的实践经验和自我学习能力。应聘者在面对挑战时，通过回顾和关联已有知识来应对，体现了积极的学习态度。对于准备此类面试的求职者，理解基础协议、熟悉网络模型、掌握常见端口和中间件，以及关注安全漏洞是至关重要的。同时，持续学习和灵活运用实践经验也是提升面试表现的关键。