网络安全面试常见100题

1.dns是啥意思?DNS的工作原理? 10.31 每日一练
域名解析系统,因特网上作为域名和IP地址互相映射的一个分布式数据库,能够使用户更方便的通过主机名访问互联网,最终得到该主机对应的IP地址的过程叫做域名解析。
2.tcp 与 udp 之间的区别
1.udp 是无连接的,tcp 是面向连接的;2.udp 是不可靠传输,tcp 是可靠传输;
3.udp 是面向报文传输,tcp 是面向字节流传输。
4.采用tcp协议传输,视频图像则采用udp协议
3.windows如何查看本地端口连接状态?
windows查看端口:netstat -ano
4.windows和linux日志文件存放在哪里?
windows查看日志:计算机管理---事件查看器---windows日志
linux存放日志位置:/var/ log

5.DNS劫持是啥
DNS 劫持通常通过社会工程学的手段修改域名的解析值,将域名解析到自己的服务器上
实现劫持请求。
6.Http和Https的区别
http协议采用明文传输,端口号80
https协议采用SSL加密,端口号443
7.linux查看文件命令,删除命令,查看进程命令
linux查看文件的命令 cat
linux删除文件的命令 rm
linx查看进程的命令 ps
8.TCP三次握手过程
第一次握手: 建立链接 客户端发送 SYN 包 第二次握手:服务器确认收到 SYN 包,
同时发送一个 SYN 包反馈给客户端。第三次握手:客户端收到服务器的 SYN 包后向服务器确认收到,此时三次握手完毕。

9.一次完整的HTTP请求过程? 11.1 每日一练
域名解析、发起 TCP 3次握手、建立 TCP 连接后发起 http 请求、服务器端响应 http 请
求,浏览器得到 html 代码、浏览器解析 html 代码,并请求 html 代码中的资源、浏览器对页面进行渲染呈现给用户

10.linux复制文件哪个命令,如果需要连同文件夹一块复制呢?
cp cp -r
11.啥是三次握手四次挥手
第一次握手:客户端给服务器发送一个SYN报文
第二次握手:服务器收到SYN报文后,会回应一个SYN+ACK报文
第三次握手:客户端收到SYN+ACK报文后,会回应一个ACK报文
第一次挥手:客户端发送FIN报文
第二次挥手:服务端收到到FIN报文之后,会发送ACK报文
第三次挥手:客户端同样发送一个FIN报文
第四次挥手:客户端收到FIN之后,一样发送一个ACK报文作为应答
12.OSI七层模型
第一场物理层
第二层数据链路层
第三层网络层
第四层 传输层
第五层 会话层
第六层 表达层
第七层 应用层
13.Cookies和 session 区别
1.存储位置不同
Cookie的数据信息存放在客户端浏览器上
session的数据信息存放在服务器上
2.存储容量不同
单个cookie保存的数据<=4kb,一个站点最多保存20个cookie
对于session并没有上限,session内存不要存放过多的东西

3.存取方式不同
cookie只能保管ASCLL字符串,需要通过编码的方式存取Unicode字符或者二进制数据
4.隐私策略不同
cookie对客服端是可见的
5.有效期不同
开发可以通过设置cookie的属性,达到cookie长期有效的效果
session的超过时间过长,服务器累计的session就会越多,越容易导致内存溢出
6.服务器压力不同
cookie是保管在客户端
session是保管在服务端
7.浏览器支持不同
cookie是需要客户端浏览器支持的
session需要使用URL地址重写的方式
8.跨域支持上的不同
cookie支持跨域名访问
session 则不会支持跨域名访问
14.如何判断web服务器是linux还是windows?
通过ping的TTL值,大小写区分进行判断

15.熟悉linux的使用吗?查看CPU的使用情况?查看磁盘的使用率?
查看网络端口的状态?过滤一下,只看固定端口?
cat /proc/loadavg 查看系统负载磁盘和分区
uname -a 查看内核 / 操作系统 / CPU信息
netstat - lntp 查看所有监听端口
netstat - antp 查看所有已建立的连接
查看CPU使用情况 top
查看磁盘使用率 df-h
16.啥是虚拟机逃逸?
虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的
11.2 每日一练
17.漏扫工具用过吗?使用过哪些工具?
漏扫工具没有使用过,漏扫工具有awvs,nessus,w3af,zap,御剑,北极熊
18.抓包做过吗?咋做?
做过,抓包可以实时捕获并详细显示各种类型数据包,可以通过多种方式过滤数据包,还可以进行多种统计分析。
Wireshark是一个网络抓包软件,主要功能是通过抓取网络数据包,然后最大限度分析出网络数据包的详细的资料。
19.linux熟悉吗?安装过程
熟悉,创建虚拟机,选择安装系统,选择安装位置,添加映像文件,开机选择install centros 7,选择语言推荐中文,在系统中选择安装位置,在网络和主机名中更改主机名称,配置IP地址,子网掩码,网关和DNS 服务器,开始安装,并输入root密码,新建新用户,完成安装之后重启就可以了
20.vpn了解吗?ipsec是啥?
通过vpn可以模拟点对点专用链接的方式,可以配置VPN服务器,赋予用户拨入的权限,通过局域网来进行的vpn连接
IPSec 协议主要由认证头,封装安全载荷,安全关联和密钥协议所组成
IPSec是ietf提出的使用密码学额保护IP层通信的安全保密架构,是一个协议簇
21.啥是SQL注入?
SQL注入是发生在WEB程序中数据库层的安全漏洞,是网站存在最多也是最简单的漏洞
22.windows server 搭建方法
新建虚拟机 ---默认选择版本--选择安装路径--选择磁盘空间--设置cpu内存参数--开机前载入镜像路径--开机完安装vmtools
23.动态路由做过吗?操作思路?
rip 最大跳数15跳
rip network 192.168.1.0 network 192.168.2.0
ospf ospf area0
network 192.168.3.0 0.0.0.255 反掩码
network 192.168.4.0 0.0.0.255 反掩码
24.arp协议工作原理?
地址解析协议,是根据IP地址获取物理地址的一个
TCP/IP协议
11.3每日一练
25.GET和POST 的区别?
GET用来获取资源,它只是获取、查询数据,不会修改服务器的数据
POST则是可以向服务器发送修改请求,进行数据的修改的
26.linux移动文件用哪个命令?改名用哪个命令?
linux 移动文件和改名命令 mv
27.TCP如何保证可靠传输?
TCP主要提供了检验和、序列号/确认应答、超时重传、最大消息长度、滑动窗口控制等方法实现了可靠性传输。
28.常见的HTTP请求类型?
GET,POST,OPTIONS,HEAD,PUT,TRACE,CONNECT,DELETE,
29.等保分几个等级?
第一级(自主保护级)
第二级(指导保护级)
第三级(监督保护级)
第四级(强制保护级)
第五级(专控保护级)
30.linux文件权限修改用啥命令?
修改文件或目录的类型 chmod
31.HTTP常见的状态码有哪些?
100: 开头代表收到请求,需要继续操作
200: 开头代表成功
300: 开头代表 url 重定向
400: 开头代表客户端出错
500: 开头代表服务器出错
32.TCP 工作在第几层?
第四层 传输层
33.rip协议是啥?rip的工作原理?
RIP是一种基于距离矢量(Distance-Vector)算法的协议,它使用跳数(Hop Count)作为度量来衡量到达目的网络的路由距离。RIP通过UDP报文进行路由信息的交换,使用的端口号为520。内部网关协议
RIP路由协议用“更新(UNPDATES)”和“请求(REQUESTS)”这两种分组来传输信息的
34.网关是啥有啥作用?
网关是设备与路由器之间的桥梁,是一种充当转换重任的计算机系统或者设备,作用是将不同的网络间进行访问的控制,转换,交接等等。
35.https是如何保证数据传输的安全?
1.客户端向服务器发起ssl请求
2.服务器把公钥发送给客户端
3.客户端用公钥进行加密发送给服务器端
4.服务器利用唯一私钥对客户端发来的对称密钥解密
5.进行数据传输,保证在数据传输过程中的安全
36.windows 加固
1.定期检查删除无用账户
2.使用IIS工具
3.不显示最后的用户名
4.设置账户锁定
5.启动防火墙
6.修改3389远程端口以及一些高危端口
7.设置复杂密码
8.授权远程关机
9.设置密码最长保留期
37.dos,ddos攻击?如何防御?
DDOS攻击:客户端向服务端发送请求链接数据包,服务端向客户端发送确认数据包,客户端不向服务端发送确认数据包,导致服务器一直等待来自客户的确认,它是一个分布式拒绝服务攻击。
设置黑名单:DDOS清洗,CDN加速

38.ospf 协议和工作原理?
OSPF开放最短路径优先协议,是一个最常用的内部网关协议,是一个链路状态协议

工作原理
当带有路由功能的网络设备运行OSPF协议之后,设备之间会开始交互hello报文,通过收到的DBD报文来跟自身的LSA信息作对比
39.RARP协议和原理?
反向地址转换协议,网络层协议,RARP与ARP工作方式相反
原理:主机从网卡上读取MAC地址,然后在网络上发送一个RARP请求的广播数据包,请求RARP服务器回复该主机的IP地址
40.介绍一下常见的WEB端口比如mysql,tomcat?
MySQL使用 3306 端口,Tomcat 使用 8080 端口,Aphace使用80端口
41.介绍一下linux的安全加固?
1.设置复杂密码
2.设置密码策略
3.对密码强度进行设置
4.对用户的登录次数进行限制
5.禁止root用户远程登录
6.更改ssh端口
7.安全组关闭没必要的端口
8.设置账户保存历史命令条数,超时时间
9.定期查看系统日志
10.定期备份数据
42.等保1.0和等保2.0区别
1.名称上的不同
2.法律效力不同
3.保护对象有扩展
4.控制措施分类不同
5.内容进行了扩充
43.DNS解析过程?
答:(1)本地电脑检查浏览器缓存
本地电脑检查host配置文件
用户发起DNS请求
向根dns服务器发起解析请求
返回顶级DNS服务器地址
向顶级DNS服务器发起解析请求
返回NameServer服务器地址
向NameServer服务器发起解析请求
返回正确的DNS解析结果
44.主机向本地域名服务器的查询属于啥类型?
递归查询
45.应用层有哪些协议?
域名系统DNS协议、FTP文件传输协议、、telnet远程终端协议、HTTP超文本传送协议、SMTP简单邮件协议、POP3邮件读取协议、Telnet远程登录协议、SNMP简单网络管理协议等。
46.DHCP分配过程以及涉及到的四种报文?
(1)客户端广播DHCP发现(DHCP Discovery)
(2)服务器回应DHCP响应(DHCP Offer)
(3)客户端广播DHCP请求(DHCP Request)
(4)服务器回应DHCP确认(DHCP ACK)
47.FTP 20和21端口功能不同之处?
Ftp端口号20和21的区别是:数据端口为20传输数据,控制端口为21用于连接。
48.使用过哪些路由协议?
1.RIP协议-路由信息协议 2.OSPF协议-开放最短路径优先协议 3.ISIS协议-中间系统到中间系统协议 4.GP协议-边界网关协议
49.配置过哪些安全加固策略?
1.禁用Guest账户和无关的账户
控制面板 ->管理工具 ->计算机管理 -> 本地用户和组 -> 用户 -> Guest,在“账户已禁用”前面打上对勾。
2.密码策略加固
控制面板-> 管理工具-> 本地安全策略 ->账户策略 -> 密码策略。
3.账户锁定策略加固
控制面板 -> 管理工具 -> 本地安全策略 -> 账户策略 -> 账户锁定策略。
4.设置安全审计
控制面板 -> 管理工具 -> 本地安全策略-> 本地策略 -> 审核策略
5.设置不显示上次使用的用户名
控制面板 -> 管理工具 -> 本地安全策略-> 本地策略 -> 安全选项
6.启用主机安全选项的‘关机前清除虚拟内存页面’
控制面板 -> 管理工具-> 本地安全策略 -> 本地策略 -> 安全选项
7.配置日志文件大小
控制面板 -> 管理工具 -> 计算机管理 -> 事件查看器 -> windows日志
8.磁盘配额设置
我的电脑 -> C盘 -> 属性 -> 配额。
9.远程会话策略
运行(cmd)-> gpedit.msc -> 计算机配置 -> 管理模板 -> windows组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 会话时间限制

50.docker 拉取镜像的命令?
docker pull images_name
51.等保测评的流程?
定级--备案申请--网安支队发备案编号--咨询机构做差距分析--建设整改--测评机构入场测评--通过发备案证明--不通过--咨询机构作出评估--加固整改--再现场测评--等待通过
52.思科的VLAN咋划分?
1、基于端口的静态划分
2、基于MAC地址的动态划分
3、基于子网的动态划分
4、基于协议的动态划分
53.在liux上进行过哪些防火墙的配置,iptables进行端口的转发命令?
iptables, iptables -t nat -A PREROUTING -p tcp --dport [端口号] -j DNAT --to-destination
54.docker和虚拟机的区别?它们的隔离效果区别?
1、docker启动快速属于秒级别,而虚拟机通常需要几分钟去启动;2、性能损耗不同,docker需要的资源更少;3、隔离性不同,docker属于进程之间的隔离,隔离性较弱,而虚拟机可以实现系统级别的隔离。
55.对HTTP协议的了解?
HTTP 协议 (超文本传输协议HyperText Transfer Protocol),它是基于TCP协议的应用层传输协议,简单来说就是客户端和服务端进行数据传输的一种规则
56.数据库用过吗?查询,统计命令?
查询:select
统计:count case
4.HTTPS默认的端口号?
TCP 443
57.TCP对应的应用层协议?UDP对应的应用协议?
TCP应用层协议
FTP:定义了文件传输协议,使用21端口。下载文件,上传主页都是用到FTP服务。
SMTP:定义了简单邮件传送协议,用于发送邮件,使用的是25端口。
HTTP:从Web服务器传输超文本到本地浏览器的传送协议。
Telnet:一种用于远程登陆的端口,用户可以以自己的身份远程连接到计算机上,通过这种端口可以提供一种基于DOS模式下的通信服务。
POP3:和SMTP对应,POP3用于接收邮件。通常情况下,POP3协议使用的是110端口
UDP应用层协议
DNS:用于域名解析服务,将域名地址转换成IP地址。DNS用的是53号端口。
SNMP:简单网络管理协议,使用161号端口,是用来管理网络设备的。由于网络设备很多,无连接的服务就体现出优势。
TFTP(Trival File Transfer Protocal):简单文件传输协议,该协议在熟知端口69上使用UDP服务。
DHCP NFS IGMP
58.啥是XSS攻击,咋防御?
简易介绍:攻击者通过在目标网站上注入脚本,使之在用户的浏览器上运行,从而引发潜在风险。 通过 HTML 转义,可以防止 XSS 攻击
完整介绍:XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
1. 对输入内容的特定字符进行编码
2. 对重要的 cookie设置 httpOnly,
3. 将不可信的值输出 URL参数之前,进行 URLEncode操作
4. 不要使用 Eval来解析并运行不确定的数据或代码
5. 后端接口也应该要做到关键字符过滤的问题
59.BPDU协议是啥?
网络协议数据单元,是一种生成树协议问候数据包,它以可配置的间隔发出,用来在网络的网桥间进行信息交换
60.对ACL认识? 华三ACL配置?
ACL,是一个访问控制列表,访问控制列表是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
华三ACL配置: 1.基于ACL: 编号范围2000~2999
2.高级或扩展ACL: 编号范围3000~3999
3.二层ACL: 编号范围4000~4999
4.自定义ACL: 编号范围5000~5999
61.掩码和反掩码的区别?
在掩码中,1表示精确匹配,0表示随机
1和0,永远不交叉
1永远在左边,0永远在右边
在配置IP地址以及路由的时候,会使用掩码
在反掩码中,1表示随机,0表示精确匹配
0和1,永远不交叉
0永远在左边,1永远在右边
62.BYPASS是什么,工作原理?几种不同的形式
bypass,是指可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统
Bypass一般按照控制方式或者称为触发方式来分,可以分为以下几个方式
1、 通过电源触发。这种方式下,一般是在设备没有通电的情况下,Bypass功能打开,如果设备一旦通电后,Bypass立即调整为关闭状态。
2、 由GPIO来控制。在进入OS后,可以通过GPIO来对特定的端口操作,从而实现对Bypass开关的控制。
3、 由Watchdog来控制。这种情况实际是对方式2的一种延伸应用,可以通过Watchdog来控制GPIO Bypass程序的启用与关闭,从而实现对Bypass状态的控制。
63.IDS 是什么,有什么作用?
答:IDS,即入侵检测系统 (Intrusion Detection systems)是威胁检测、分析与管理的安全设备,该产品对于病毒、蠕虫、木马、DDOS、扫描、SQL注入、xSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股) 等威胁具有高精度的检测能力,同时,该产品中的流量模块对于网络流量的异常情况具有非常准确、有效的发现能力。
64. IDS 分为哪些种类?
答:信息来源一类:基于主机IDS和基于网络的IDS。
检测方法一类:异常入侵检测和误用入侵检测。
65. IDS 的工作原理和工作流程是怎样的?
答:工作原理:部署于互联网关口、威胁传播关键路径,用于分析威胁蔓延态势,定位威胁,科学指导事件处理,衡量防御体系的效果。
工作流程:
1.流量分析 2.攻击特征发现 3.攻击事件分级分类 4. 邮件告警 5.工程师查看事件 6. 开始事件处置 7.处置完成回到系统进行记录 8.消除同类告警 g.网络环境逐步变得安全
66. IDS 的部署方式有哪些特点?
答:旁路模式,物理接线方式 (2根线):1根管理口(配IP地址),1根业务口 (没有IP地址,接镜像流量)。
67.进行IDS事件日志分析查询的时候,需要注意收集的信息有哪些
答:事件,日期,类型。
68. IDS检测工作机制分为哪两种,哪一种漏报率高?哪一种误报率高?
答:基于网络基于主机,基于主机漏报率高,基于网络误报率高。
69. 什么情况下需要对IDS事件特征库进行离线升级
答:在没有升级文件和没有网络
70.IDS咋部署?
答:一、控制中心部署流程:
1.硬件、服务器与数据库准备;
2.服务器防火墙上开放必要的端口;
3.windows server 2008服务器安装补丁包;
4.安装.net 3.5.1;
5.安装SQL Server数据库;
6.安装IDS控制中心软件;
7.使用IDS导库工具,生成IDS控制中心;
8.虚拟机windows防火墙开通对应端口,供他人远程访问
二、引擎部署流程:
1.更改IP地址/子网掩码;
2.重置引擎认证密钥;
3.配置路由;
4.允许ping引擎管理口;
5.检查引擎版本;
6.管理口接线,登录IDS WEB管理页面;
7.导入IDS授权文件,下发授权
71.sql注入验证方法?
答:SQL注入的检测方式目前主要分为两大类:动态检测和静态检测,以下是详细的内容介绍:
第一类:动态检测
动态检测,即在系统运行时,通常在系统验收阶段或上线运行阶段使用该方法,使用动态检测攻击对其系统进行扫描,然后依据扫描结果判断是否存在SQL注入漏洞。
动态检测分为两类:手工监测以及工具监测。相对于手动监测的高成本以及高漏检率,在实际生产过程中更偏向于工具监测,但工具监测同样存在较大的局限性。其原因在于工具是用报文来判断SQL注入是否生效,然而仅仅通过报文是很难精准地判断SQL注入是否存在,因此存在较高的误报率。
第二类:静态检测
又称静态代码扫描,对代码做深层次分析。
静态检测的误报率相对较低,其主要原因在于SQL注入漏洞的代码特征较为明显。
(1)使用数据库交互代码;
(2)使用字符串拼接方式构造动态SQL语句;
(3)使用未过滤的不可信任数据。
在常规的排查应用系统中是否存在SQL注入漏洞时,由于静态扫描的代码特征明显,误报率低和直接阅读相关代码,工作总量减少的优势,通常使用静态扫描。
72.什么是IPS?
答:IPS入侵防御系统,是通过对网络中深层攻击行为进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全设备。
73.IPS和IDS的区别有哪些?
答:(1)IDS旁路部署,IPS串行部署;
(2)IDS可以看到所有经过核心交换(关键网络节点)的所有流量,有时候也称为全网流量,而IPS通常只能看到它所保护的那条线路的流量。
(3)IDS不能阻断,只能检测,需要人员看到IDS上报的事件以后,再另行处理,才能消除事件。而IPS通常可以直接阻断安全事件。
(4)IPS可能产生误拦截的情况,需要人员查看IPS日志以后,确认确实是误报后,给予放行(白名单处理)。换句话说,IPS的部署,给网络中增加了新的故障排查点。但IDS的部署,不存在这个问题。
(5)进一步说明,IDS的部署,不会影响网络,不会影响数据包传输。而IPS的部署,会拦截数据包。
74.IPS常见部署方式有哪些?
答:路由模式、透明模式、旁路模式、混合模式
75.IPS的部署流程是什么?
答:修改管理口默认IP及访问限制
配置管理口路由
配置网关
配置透明桥
手动设置系统时间
76. HA是什么?
HA是High Availability缩写,即高可用性 ,可防止网络中由于单个IPS的设备故障或网络故障导致网络中断,保证IPS检测阻断服务的连续性和安全强度。
HA分为主备模式和主主模式。
77.攻防演习有哪三方势力?防守方有哪三个工作组?
答:攻击方(红队)、防守方(蓝队)、组织方(紫队)三方;安全监控组、事件研判组、应急处置组
78.IPS运行在那一层?为什么?
答:IPS在透明模式工作在OSI第二层数据链路层,因为接口没有IP
在路由模式下工作在OSI第三层网络层,因为接口都要设置IP
79.做攻防演习的这个目的是为了什么?
答:净化企业或机构的网络环境、强化网络安全意识;
防攻击、防破坏、防泄密、防重大网络安全故障;
检验企业关键基础设施的安全防护能力;
提升关键基础设施的网络安全防范能力和水平。
80.IPS的主要配置操作有哪些?
答:物理环境准备,业务接口配置,入侵防御配置,事件集与黑白名单配置。
81.日志审计设备是什么?为什么要选用日志审计?
答:日志审计系统是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。
使用原因:
1.日志的收集、汇总和分析,实现完整攻击链还原与追溯;
2.范式化:将可读性差的原始日志信息,通过正则表达式变成条件清晰的审计日志;
3.网络安全法:第二十一条(三)项:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照留存相关的网络日志不少于六个月;
4.等级保护要求:能对网络中发生的各类安全事件进行识别、报警和分析。
82.日志审计设备的输入和输出是什么?
答:输入:网络设备、服务器、操作系统、应用程序的日志;
输出:安全告警、事件索引、事件报表
83. 日志审计设备的常见部署方式有哪些,有什么特点?
答:旁路部署,物理接线方式(1根线):1根管理口(配IP地址)。
逻辑部署位置:网络可达即可,理论上可以接在网络中任何位置,但比较常见的部署区域是:1、运维管理区域;2、服务器区域;3、DMZ区域
84.VLAN是什么?
答:VLAN,是英文Virtual Local Area Network的缩写,中文名为"虚拟局域网", VLAN是一种将局域网(LAN)设备从逻辑上划分成一个个网段,从而实现虚拟工作组(单元)的数据交换技术。
85.数据库审计的作用是什么?
答:具备风险状况、运行状况、性能状况、语句分布的实时监控能力;
帮助记录、分析、追查数据库安全事件;
通过数据库性能诊断,追踪危险事件和不安全操作;
有效发现程序后门,降低数据泄密风险;
提供数据库实时风险告警能力,及时响应数据库攻击
有效发现程序后门,降低数据泄密风险;
提供数据库实时风险告警能力,及时响应数据库攻击。
86.数据库审计的设备架构和常见部署方式有哪些,有什么特点?
答:安恒等厂商为一台硬件设备,启明星辰有一体式设备和分体式设备
旁路模式,物理接线方式(2根线):1根管理口(配IP地址),1根业务口 (没有IP地址,接镜像流量)
87. 数据库审计的部署步骤是什么?
答:网络配置,License(授权)导入,时间配置,流量接入,资产配置(添加数据库),规则挂载,外发告警配置
88. WAF的作用是什么?
答:WAF部署在Web应用程序前面,在用户请求到达Web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。
89. WAF的设备架构和常见部署方式有哪些,有什么特点?
答:透明模式,WAF的业务口工作在桥接口下。无需调整更改用户网络的拓扑结构。
代理模式,WAF的业务口工作在路由方式下。业务口分配IP地址。需要更改原有拓扑,代理模式能确保web服务器操作系统、发布程序不暴露在Internet,保障web应用安全。
单臂模式,waf的业务口工作在路由方式下,业务口分配IP地址。需要更改用户原有的网络拓扑,单臂模式下,能完全对访问用户隐藏web服务器的真实IP地址,有效保障web服务器安全。
旁路模式,交换机把流量镜像给WAF设备的业务口。无需改变原有的拓扑结构,是最简便的方式,只检测不阻断。
90. WAF的部署步骤是什么?
答:基础部署:配置管理口地址、配置网关地址、如果有日志服务器,配置日志服务器、配置DNS服务器、配置系统时间
安全配置:配置透明桥、配置事件响应模板、新建站点策略,启用事件并应用事件响应模板、在虚拟服务(类似安全策略)应用安全站点策略
HTTP设置:新建需要保护的web对象IP地址,端口号,HTTPS正式等、新建虚拟服务(类似安全策略)应用web对象,安全站点策略等
HA配置:如果有两台WAF且需要配置双机,才配置HA、主备互相指定地址、主备选择工作模式、监听端口等
完成部署
91.waf跑在第几层,防护什么?
答:WAF工作在第七层应用层
防护对WEB应用程序的安全漏洞攻击
92.Waf设备对于http和https所做的策略是否一样,不一样在哪
答:https需要导入证书,HTTP不需要
https配置默认端口为443,http配置默认端口为80
93. WAF端口,白名单放行操作
答:新建需要放行的源地址,目的地址,目的端口
新建全局访问控制白名单,选择入接口、源地址、目的地址、目的端口
94. 审计类设备有哪几种?详细介绍
答:主机审计:审计针对主机的各种操作和行为——需要设备:堡垒机
设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计网络——需要设备:堡垒机
运维安全审计:对网络中各种访问、操作的审计,例如telnet操作、FTP操作,等等——需要设备:上网行为管理设备
数据库审计:对数据库行为和操作、甚至操作的内容进行审计业务审计,对业务操作、行为、内容的审计——需要设备:数据库审计系统
终端审计:对终端设备(PC、打印机)等的操作和行为进行审计,包括预配置审计。
用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象——需要设备:上网行为管理;堡垒机等
95.日志审计和日志服务器的区别?
答:区别一、定义不同
区别二、审计重点不一样
区别三、审计对象不一样
96.介绍一下防火墙?
答:防火墙也被称为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
97. 传统防火墙工作在几层?
传输层
98. IDS/IPS/WAF主要区别?
**


WAF IPS/IDS
网络布局 放置在网站/ Web应用程序的前面 防火墙后的线内或带外。
主要用例 专用于仅检查HTTP Web流量并防止Web特定攻击。 专门检查所有网络数据包,以使其与已知恶意攻击的特征进行匹配。然后,流量被阻止或发出警报。
防范这些安全攻击 SQL注入,跨站点脚本,GET / POST攻击,会话操纵攻击,javascript,LFI / RFI等 针对Web服务器,SMTP,RDP,DNS,Windows OS,Linux OS等服务的利用。

99. WAF部署,透明模式,路由模式区别?
答:透明模式:主要是为上下行设备提供互联的透传,不做路由转发。
路由模式:与上下行设备配置三层互联,同时做路由的转发