一个土鳖安全工程师的十年奋斗史

2008 年，我是看着《我的华为十年》这篇文章进入这家公司的，当时我的总监就是这篇文章的作者家骏。转眼云烟，第一份工作做到了现在。

我入职的时候，公司规模远没有现在这么大，北京地区的研发零星分散在中关村的几个写字楼，包括理想国际、普天大厦和银科大厦。

我是在普天大厦入职的，记得当时是 12 月份，第一次冬天来北京的我，领会到了啥叫冰雪两重天。

在武汉是没有暖气的，屋外四度，屋里也是四度。北京是有暖气的，屋外零下十度，屋里起步价二十度。

公司里不少大姐大哥在公司里面穿的和夏天一样，出门套个大棉袄正合适。

我没经验，带着一身毛衣毛裤来的，结果在外面还是冻死，在公司里热死。

我大二的时候开始给华为三康做一些项目，在公司里面是不能上外网，而且都是又重又大的台式机。

入职的时候，行政小哥发给我个笔记本，我当时一激动就问了一句，这个回家加班可以用不？

行政小哥一脸懵逼，为啥不可以呀。

刚到北京的第一个月我是住在南二环的亲戚家，公司在拥挤的宇宙中心中关村，每天基本我就跟取经一样，天蒙蒙灰就出门，天漆漆黑回家。

每一个自己觉得自己很牛逼的公司，都会有一个精心设计的新员工培训，有的像传销，有的像传教，有的讲情怀，有的忆苦思甜。我对新员工培训唯一的印象就是别在公司抽烟和养宠物，其他随便。可见当初一定有个在公司抽烟又养宠物的人把大佬惹毛了。虽然我不抽烟，但是我想养个小乌龟小金鱼，也只能放弃。

我的第一个任务是做防火墙双机上线，首先感谢组织信任，其次觉得专业好像有点不对口，我是个 rd 呀，虽然我懂点网络，不过也是写过交换机的软件而已。于是我硬着头皮看白皮书，看配置命令，幸好一起升级的还有经理黄姐和一个老员工永校，感觉自己打下手应该问题也不大。第一个任务总不能搞砸嘛，我还蛮认真的画了网络拓扑和配置回滚方案。其实仔细想想，双机以前不就是一个防火墙吗，现在就是再放一台上去呗。

为了不影响业务，我们选择在元旦凌晨上线。上线的过程确实非常顺利，简单描述，就是把新防火墙放上机架，插上电，配置灌进去，接线，搭完收工。十分钟不到搞定了，我都准备撤了。

老员工说，这才哪到哪呀，我们要验证可以自动切换。新防火墙和老防火墙之间有两根心跳线，汇聚层有大概 6 台汇聚层交换机，分别会连到两台防火墙上，要验证诸如心跳线段，上联线段的情况。另外国内众所周知的原因，分为南北网，联通电信互通很差劲，防火墙上联四根运营商的链路，还要测试这几根线路断的情况下的自动切换。于是乎，不停插拔网线，ping 新浪 ping 搜狐。测试完凌晨 4 点了，总算搞得差不多了。我记得我走出普天大厦的时候，居然看到了 2009 年的第一个日出了。

我的第一个项目是开发准入系统。所谓的准入系统，简单讲，就是上网认证，主机安全检查加上网络权限控制。满足一定安全基线要求的终端才允许接入公司办公网，并且根据不同的部门和职位，赋予不同的网络访问权限。

公司当时已经买了号称全球顶尖的准入系统，不过在易用性和可定制性上差强人意。另外一个原因，我们总监最初在华为就做了第一套准入系统，他对准入的理解非常深刻，从他的角度来看，目前这个国外的准入系统，有线无线不能自动切换，不能和微软的域管理集成，权限管理过于死板，最坑爹是对网络设备有要求，捆绑销售他们的防火墙。

这些在传统企业不是太大问题，但是在互联网公司就是硬伤了。于是我入职前基本就拍下来要自己研发准入系统。他老人家是理解深刻，我理解不深刻呀，从网上搜了个遍，还是一知半解。还好有个老安全工程师志刚领路，介绍了一些厂商进行交流，总算整明白咋回事了。于是开工干活，整个系统分为客户端，策略管理平台，测试管理服务器和防火墙。防火墙由系统部的一个大拿负责写网络控制模块，现在这哥们是我们公司 CDN、流量清洗这些基础设施的负责人。

客户端的主机检查模块由我们另外一个安全工程师负责，他现在也是 BAT 某公司的高 P 了。其他都是我弄的，第一次写网页还有点小兴奋，尤其是自己画 logo，尽显人文修养。我在学校用 delphi 写了系的教师考评系统，在那个年代 dephi + sqlserver 是绝配，access 也面对小 case 也是 ok 的，因此我们考核系统也是 cs 架构的。惯性思维，我的客户端也是用 delphi 写的。为了支持使用 linux 办公的同学，还开发了 linux 客户端。