深信服SCSA认证知识点(2)
深信服SCSA认证
1、信息风险主要是指:信息存储安全、信息传输安全、信息访问安全
磁卡电表2、DNS服务器中的A记录表⽰主机记录
3、客户现在想要上架⼀台SSL VPN,⼜不想改变现有⽹络,可以使⽤单臂模式部署 4、上⽹审计策略:可以审计⽤户发帖内容;可以审计⽤户上⽹产⽣的流量;可以审计⽤户上⽹时长
5、为了加强⽤户名、密码认证的安全性,可启⽤的密码安全策略包含:软键盘,字母随机变化;软键盘,数字随机变化;图形校验码;
6、【IPSec】⽤户现在有总部和分⽀两内⽹环境需要做标准的IPSec VPN对接,ESP+隧道模式⽅式可以实现 7、AC⽹桥部署,客户需求针对HTTP下载⽂件进⾏流量限制,但不影响访问⽹站。可以简历流量限制通道,通道适⽤应⽤选择所有“⽂件类型”
8、客户需求⽤户support 上班时间拒绝p2p和迅雷等多线程下载,玩游戏,炒股,qq和拒绝访问不良⽹站,下班时间全放⾏。在AC/SG 设备上进⾏配置 上⽹权限策略。 9、上门测试前,需要检查设备当前规则库是否最新,如果应⽤识别规则库不是最新。端⼝映射不受应⽤识别规则影响。
核桃壳滤料10、⽹卡混杂模式:接受所有本机⽹卡的数据包,包括⽬的MAC不是本机⽹卡的
11、数字证书是互联⽹中的唯⼀⾝份标识。
12、终端管理:Android平台⽀持识别具体终端型号;iOS不区分具体的型号版本;软件特征检测不⽀持webQQ等,只⽀持客户端
13、【AC】设备单⽹桥部署在⽹络出⼝路由器和核⼼交换机之间,现在发现设备中的规则库⽆法更新,配错⽅法:1、可能是设备的规则库序列号已经过期,需要检查“系统管理”“系统配置”“系统更新”“规则库升级”中的规则库序列号 2、可能是前置防⽕墙或者路由器对AC的地址做了限制,需要去前置设备上检查策略配置,并放通AC访问公⽹ 3、可能是设备⽆法上⽹,可以在“系统管理”“系统诊
断”“命令控制台”上ping公⽹地址测试设备是否联通
14、【SSL】⼀个⾓⾊可以对应多个⽤户;⼀个⾓⾊可以对应多个资源;⼀个⽤户可以对应多个⾓⾊
15、关于深信服NGAF透明接⼝和虚拟⽹线接⼝区别:虚拟⽹线接⼝的转发性能⾼于透明接⼝;路由接⼝⽀持路由转发,虚拟⽹线接⼝不⽀持;透明接⼝和虚拟⽹线接⼝都属于交换接⼝
16、【AC】pc和pc防共享检测场景:⼀台pc通过代理软件代理另⼀台pc共享上⽹;pc通过360共享wifi⽹络上⽹;多台pc通过前端路由器SNAT共享上⽹。
18、NGAF的IPS策略配置与安全防护对象规则:IPS策略检测攻击操作设置为拒绝,规则设置为“启⽤,检测后拦截”,则配置到该规则的⾏为会被拦截。
19、【AC】ac11.9R1通过server name字段识别https⽹站的url
20、TCP UDP IP协议的数据可以受到IPSec的保护。
21、dos攻击不包括arp攻击,包括smurf攻击 dns-flooding udp-flooding攻击
22、NGAF旁路部署时⽀持僵⼫⽹络、web应⽤防护、实时漏洞分析
23、标准IPSec VPN使⽤的协议端⼝号是:AH 51; ESP 50
24、AC流控管理系统能对重要的应⽤进⾏贷款保障;能基于⽤户和应⽤做不同的流量策略
25、SANGFOR VPN应⽤在TCP/IP的传输层
26、客户公司上班时间想保障办公业务的访问,上班时间对下载等应⽤访问带宽要限制,流控功能可以满⾜客户需求。
28、外部认证⽅式AC⽀持LDAP服务器 RADIUS服务器 POP3服务器,不⽀持认证。
29、NGAF的url过滤功能是通过检查HTTP头部的HOST字段
30、【AC】从⼀个客户那边拿回来的设备,不知道客户之前配置的设备IP,可以:恢复设备默认配置,⽤默认IP登录;通过客户了解之前设备接⼝配置的地址;pc连接设备⽹⼝,⽤升级客户端搜索设备地址。
31、NGAF的多线路负载⽀持:轮询;优先使⽤前⾯的线路;加权最⼩流量。不⽀持随机HASH
32、客户购买了深信服的SSL VPN设备,客户业务多是基于UDP、ICMP、以及C\S架构的应⽤,那么建议客户配置L3VPN应⽤。
33、某⽤户总部和分⽀均通过ADSL拨号上⽹,⽤户要分⽀和总部建⽴SNAGFOR VPN连接以实现两端内⽹互访,SANGFOR VPN 可以实现客户的需求,通过WEBAGENT动态寻址实现
水泥电阻器
34、IPSec VPN中⽤于提供数据流加密的协议是ESP
兔毛纱线
35、配置NGAF聚合接⼝时,镜像接⼝不⽀持聚合
36、SMTP不是web应⽤协议⽀持协议类型
37、关于SANGFOR PDLAN的说法:PDLAN是SANGFOR VPN的Windows客户端软、PDLAN接⼊,总部必须配置虚拟IP池、总部新建账号时类型必须设置为移动, 错误的是:PDLAN接⼊后还需要配置隧道路由才能访问总部内⽹⽹段。
38、【ac】已知域名解析正常,那么telnet www.taobao 443不通,可以肯定⽹站⽆法访问。
39、【NGAF】在NGAF中,关于⼦接⼝说法:⼦接⼝只能路由部署
40、端⼝映射即DNAT,⽤来设置对数据包⽬标IP地址进⾏转换的规则。
41、跨三层环境下,因为 经过三层设备后,源MAC地址改变了,所以AC需要启⽤跨三层取MAC功能。
42、【NGAF】关于僵⼫⽹络:可以⽤来做DDOS攻击、僵⼫⽹络可以进⾏路由表投毒、检测原理⼀般分为:⾏为特征检测、bot⾏为仿真以监控和流量数据特征匹配
43、AC设备想⽤来上⽹审计和⾏为管控,同时不希望对⽹络造成太多改动可以通过透明模式部署。
44、数据完整性指:防⽌⾮法实体对⽤户的主动攻击,保证数据接收⽅收到的信息与发送⽅发送的信息完全⼀致
45、关于标准IPSEC VPN的相关说法:建⽴两个阶段,阶段1有两种⼯作模式:主模式和野蛮模式、有两种不同的协议:AH和ESP;有两种⼯作模式:传输模式和隧道模式;
46、RIP协议的度量值最⼤为16
47、【SSL】SANGFOR VPN⽤户认证都为主认证的是⽤户名/密码、数字证书
48、关于放共享功能,可以选择封堵⽤户还是封堵IP
49、SSL VPN⽀持的组⽹⽅式:⽹关模式;不⽀持:旁路 镜像和代理模式
50、【AC】关于⾏为感知系统:⽀持校园⽹贷⾏为检测,识别⾼风险客户
51、【AC】审计电脑客户端QQ聊天内容 必须要使⽤准⼊策略。
母鸡接鸡蛋52、【AC】QQ邮箱内容审计不成功的排查:需要开启审计策略;需要开启SSL识别,把mail.qq
加⼊进去;检查是否派出了
mail.qq
53、关于防⽕墙:防⽕墙接⼝上配置的IP地址,要求接⼝属性中沟通了允许PING,才能响应到接⼝IP地址的ICMP请求包
54、【SSL】如果要求分配资源的访问权限给⽤户,通过⾓⾊管理把⽤户和资源管理起来
55、电脑中ARP表的作⽤是记录IP和MAC地址的对应关系
56、【SSL】关于短信认证的说法中,需要有的外置系统;短信猫和webservice是的常⽤⽅式;短信认证是⼀种辅助认证⽅式;
57、AC设备,采⽤⽹桥模式,但把WAN⼝接了内⽹交换机,LAN⼝接了外⽹路由器。这种情况下,⽤户上⽹功能可以使⽤。
58、HTTPS、简单邮件传输协议、域名解析协议默认使⽤的端⼝是:TCP 443 TCP 25 UDP 53
59、【AC】ac⽹桥部署后,内⽹所有⽤户⽆法上⽹,排查:登录设备开启直通测试是否⽹络恢复;跳过AC看⽹络是否恢复;从内⽹电脑ping测试,查看哪⾥⽹络中断。
60、SSL/TLS协议标准端⼝ tcp 443
61、AC设备:路由模式部署时,LAN⼝和DMZ⼝都有保留地址
62、如果⽆法登录AC设备(如⽆法获得设备的接⼝地址),可以尝试恢复出⼚设置:1、将设备关机。2、准备⼀根交叉线。3、使⽤交叉线连接设备⾯板上任意两个⾮⼀组bypass电⼝。4、将设备加电开机,⼀直等待,直到设备重启,此时⽆⽐拔掉短接电⼝的交叉线。5、等设备起来后,即可通过出场地址,默认控制台账号和密码登录设备
63、【NGAF】单臂路由部署环境下,使⽤⼦接⼝来实现不同VLAN间的通信
64、中间⼈攻击的主要原因:缺少⾝份认证
65、为了避免冒名发送数据或发送后不承认的情况出现,可以采⽤数字签名
66、【NGAF】关于设备恢复默认密码:U盘格式为FAT32、⽂件必须放在U盘根⽬录、U盘可以为单分区或多分区。错误的是:可使⽤交叉线恢复设备默认密码。
67、【AC】旁路模式的说法:旁路模式需要客户交换机配置镜像接⼝,将需要监控的流量镜像过来;旁路模式可以对⽤户的上⽹⾏为进⾏审计;旁路模式下对⽤户的应⽤惊醒拦截,如果改应⽤使⽤TCP协议可以拦截,因为UDP协议是⽆连接;
68、SNMP依赖于UDP协议⼯作。
69、IDS只能检测不能阻断,IPS亦可以检测也可以阻断
70、关于NGAF链路故障检测,任何⼀组内的所有IP检测不同才判定链路故障。
71、关于LDAP协议,可以⽤于⾝份认证;是⼀种开放的协议标准;微软Active Directory⽀持LDAP协议;
72、数字证书不包含:⽤户私钥信息
73、关于SANGFOR SSL VPN中L3VPN资源,错误的是:虚拟IP必须是ssl vpn所在内⽹⽹段。
74、关于SANGFOR SSL VPN 中远程应⽤发布,说法错误的是:终端服务器⽀持Windowsserver和Linux服务器
规划沙盘75、再部署SANGFOR VPN时,分⽀⽤户接⼊,并启⽤了隧道内NAT场景下不需要在VPN总部设备中配置虚拟IP池。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议