大家好,又见面了,我是你们的朋友全栈君。
深信服SCSA认证
1、信息风险主要是指:信息存储安全、信息传输安全、信息访问安全
2、DNS服务器中的A记录表示主机记录
3、客户现在想要上架一台SSL VPN,又不想改变现有网络,可以使用单臂模式部署
4、上网审计策略:可以审计用户发帖内容;可以审计用户上网产生的流量;可以审计用户上网时长
5、为了加强用户名、密码认证的安全性,可启用的密码安全策略包含:软键盘,字母随机变化;软键盘,数字随机变化;图形校验码;
6、【IPSec】用户现在有总部和分支两内网环境需要做标准的IPSec VPN对接,ESP+隧道模式方式可以实现
7、AC网桥部署,客户需求针对HTTP下载文件进行流量限制,但不影响访问网站。可以简历流量限制通道,通道适用应用选择所有“文件类型”
8、客户需求用户support 上班时间拒绝p2p和迅雷等多线程下载,玩游戏,炒股,qq和拒绝访问不良网站,下班时间全放行。在AC/SG设备上进行配置 上网权限策略。
9、上门测试前,需要检查设备当前规则库是否最新,如果应用识别规则库不是最新。端口映射不受应用识别规则影响。
10、网卡混杂模式:接受所有本机网卡的数据包,包括目的MAC不是本机网卡的
11、数字证书是互联网中的唯一身份标识。
12、终端管理:Android平台支持识别具体终端型号;iOS不区分具体的型号版本;软件特征检测不支持webQQ等,只支持客户端
13、【AC】设备单网桥部署在网络出口路由器和核心交换机之间,现在发现设备中的规则库无法更新,配错方法:1、可能是设备的规则库序列号已经过期,需要检查“系统管理”“系统配置”“系统更新”“规则库升级”中的规则库序列号 2、可能是前置防火墙或者路由器对AC的地址做了限制,需要去前置设备上检查策略配置,并放通AC访问公网 3、可能是设备无法上网,可以在“系统管理”“系统诊断”“命令控制台”上ping公网地址测试设备是否联通
14、【SSL】一个角色可以对应多个用户;一个角色可以对应多个资源;一个用户可以对应多个角色
15、关于深信服NGAF透明接口和虚拟网线接口区别:虚拟网线接口的转发性能高于透明接口;路由接口支持路由转发,虚拟网线接口不支持;透明接口和虚拟网线接口都属于交换接口
17、【AC】关于恢复设备默认密码:可以通过交叉线恢复密码;确保电脑和设备可以通信,电脑访问地址https://acip/php/rp.php;交叉线连接任意两个非bypass电口,通常使用eth0和eth1 **不可以通过u盘回复密码**
18、NGAF的IPS策略配置与安全防护对象规则:IPS策略检测攻击操作设置为拒绝,规则设置为“启用,检测后拦截”,则配置到该规则的行为会被拦截。
19、【AC】ac11.9R1通过server name字段识别https网站的url
20、TCP UDP IP协议的数据可以受到IPSec的保护。
21、dos攻击不包括arp攻击,包括smurf攻击 dns-flooding udp-flooding攻击
22、NGAF旁路部署时支持僵尸网络、web应用防护、实时漏洞分析
23、标准IPSec VPN使用的协议端口号是:AH 51; ESP 50
24、AC流控管理系统能对重要的应用进行贷款保障;能基于用户和应用做不同的流量策略
25、SANGFOR VPN应用在TCP/IP的传输层
26、客户公司上班时间想保障办公业务的访问,上班时间对下载等应用访问带宽要限制,流控功能可以满足客户需求。
27、设备正确登录方式:交叉线接NGAF eth0口,通过https://10.251.251.251使用账号admin 密码admin登录
28、外部认证方式AC支持LDAP服务器 RADIUS服务器 POP3服务器,不支持微信认证。
29、NGAF的url过滤功能是通过检查HTTP头部的HOST字段
30、【AC】从一个客户那边拿回来的设备,不知道客户之前配置的设备IP,可以:恢复设备默认配置,用默认IP登录;通过客户了解之前设备接口配置的地址;pc连接设备网口,用升级客户端搜索设备地址。
31、NGAF的多线路负载支持:轮询;优先使用前面的线路;加权最小流量。不支持随机HASH
32、客户购买了深信服的SSL VPN设备,客户业务多是基于UDP、ICMP、以及C\S架构的应用,那么建议客户配置L3VPN应用。
33、某用户总部和分支均通过ADSL拨号上网,用户要分支和总部建立SNAGFOR VPN连接以实现两端内网互访,SANGFOR VPN 可以实现客户的需求,通过WEBAGENT动态寻址实现
34、IPSec VPN中用于提供数据流加密的协议是ESP
35、配置NGAF聚合接口时,镜像接口不支持聚合
36、SMTP不是web应用协议支持协议类型
37、关于SANGFOR PDLAN的说法:PDLAN是SANGFOR VPN的Windows客户端软、PDLAN接入,总部必须配置虚拟IP池、总部新建账号时类型必须设置为移动, 错误的是:PDLAN接入后还需要配置隧道路由才能访问总部内网网段。
38、【ac】已知域名解析正常,那么telnet www.taobao.com 443不通,可以肯定网站无法访问。
39、【NGAF】在NGAF中,关于子接口说法:子接口只能路由部署
40、端口映射即DNAT,用来设置对数据包目标IP地址进行转换的规则。
41、跨三层环境下,因为 经过三层设备后,源MAC地址改变了,所以AC需要启用跨三层取MAC功能。
42、【NGAF】关于僵尸网络:可以用来做DDOS攻击、僵尸网络可以进行路由表投毒、检测原理一般分为:行为特征检测、bot行为仿真以监控和流量数据特征匹配
43、AC设备想用来上网审计和行为管控,同时不希望对网络造成太多改动可以通过透明模式部署。
44、数据完整性指:防止非法实体对用户的主动攻击,保证数据接收方收到的信息与发送方发送的信息完全一致
45、关于标准IPSEC VPN的相关说法:建立两个阶段,阶段1有两种工作模式:主模式和野蛮模式、有两种不同的协议:AH和ESP;有两种工作模式:传输模式和隧道模式;
46、RIP协议的度量值最大为16
47、【SSL】SANGFOR VPN用户认证都为主认证的是用户名/密码、数字证书
48、关于放共享功能,可以选择封堵用户还是封堵IP
49、SSL VPN支持的组网方式:网关模式;不支持:旁路 镜像和代理模式
50、【AC】关于行为感知系统:支持校园网贷行为检测,识别高风险客户
51、【AC】审计电脑客户端QQ聊天内容 必须要使用准入策略。
52、【AC】QQ邮箱内容审计不成功的排查:需要开启审计策略;需要开启SSL识别,把mail.qq.com加入进去;检查是否派出了mail.qq.com
53、关于防火墙:防火墙接口上配置的IP地址,要求接口属性中沟通了允许PING,才能响应到接口IP地址的ICMP请求包
54、【SSL】如果要求分配资源的访问权限给用户,通过角色管理把用户和资源管理起来
55、电脑中ARP表的作用是记录IP和MAC地址的对应关系
56、【SSL】关于短信认证的说法中,需要有发送短信的外置系统;短信猫和webservice是发送短信的常用方式;短信认证是一种辅助认证方式;
57、AC设备,采用网桥模式,但把WAN口接了内网交换机,LAN口接了外网路由器。这种情况下,用户上网功能可以使用。
58、HTTPS、简单邮件传输协议、域名解析协议默认使用的端口是:TCP 443 TCP 25 UDP 53
59、【AC】ac网桥部署后,内网所有用户无法上网,排查:登录设备开启直通测试是否网络恢复;跳过AC看网络是否恢复;从内网电脑ping测试,查看哪里网络中断。
60、SSL/TLS协议标准端口 tcp 443
61、AC设备:路由模式部署时,LAN口和DMZ口都有保留地址
62、如果无法登录AC设备(如无法获得设备的接口地址),可以尝试恢复出厂设置:1、将设备关机。2、准备一根交叉线。3、使用交叉线连接设备面板上任意两个非一组bypass电口。4、将设备加电开机,一直等待,直到设备重启,此时无比拔掉短接电口的交叉线。5、等设备起来后,即可通过出场地址,默认控制台账号和密码登录设备
63、【NGAF】单臂路由部署环境下,使用子接口来实现不同VLAN间的通信
64、中间人攻击的主要原因:缺少身份认证
65、为了避免冒名发送数据或发送后不承认的情况出现,可以采用数字签名
66、【NGAF】关于设备恢复默认密码:U盘格式为FAT32、reset-password.txt文件必须放在U盘根目录、U盘可以为单分区或多分区。 错误的是:可使用交叉线恢复设备默认密码。
67、【AC】旁路模式的说法:旁路模式需要客户交换机配置镜像接口,将需要监控的流量镜像过来;旁路模式可以对用户的上网行为进行审计;旁路模式下对用户的应用惊醒拦截,如果改应用使用TCP协议可以拦截,因为UDP协议是无连接;
68、SNMP依赖于UDP协议工作。
69、IDS只能检测不能阻断,IPS亦可以检测也可以阻断
70、关于NGAF链路故障检测,任何一组内的所有IP检测不同才判定链路故障。
71、关于LDAP协议,可以用于身份认证;是一种开放的协议标准;微软Active Directory支持LDAP协议;
72、数字证书不包含:用户私钥信息
73、关于SANGFOR SSL VPN中L3VPN资源,错误的是:虚拟IP必须是ssl vpn所在内网网段。
74、关于SANGFOR SSL VPN 中远程应用发布,说法错误的是:终端服务器支持Windowsserver和Linux服务器
75、再部署SANGFOR VPN时,分支用户接入,并启用了隧道内NAT场景下不需要在VPN总部设备中配置虚拟IP池。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/151433.html原文链接:https://javaforall.cn
原文链接:https://cloud.tencent.com/developer/article/2088577?areaSource=102001.16&traceId=q8_9rSUrOYq03NUuQWrnk