2015年度AF初级认证培训检测题目参考答案(汇总)

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

《基本功能介绍》1.请说出NGAF设备支持的部署模式有哪些?路由模式、透明模式、虚拟网线、混合模式、旁路模式2.请问FTP隐藏有什么作用?原理是什么?可以防止来自外部的攻击。客户端登录FTP服务器时,服务器通常会返回FTP服务器版本信息,攻击者可以利用版本漏洞攻击FTP服务器。通过隐藏FTP服务器返回客户端的数据包相关信息保护服务器安全。3.请问NGAF设备是否支持病毒过滤功能?支持4.NGAF设备忘记了接口IP地址怎么办?如何登陆设备?ETH0口的IP地址10.251.251.251不能修改删除,即使忘记了接口IP地址仍然可以从ETH0口登录设备。《基本网络环境部署》1.透明接口与虚拟网线接口有何共同点?这两种接口在哪些应用场景下可以通用?答:透明接口与虚拟网线接口都是交换网口,无需配置IP地址,不支持路由转发。在单进单出网桥的情况下,使用透明接口和虚拟网线接口都可以。2.哪些应用场景下要求接口属性必须是WAN?答:流控,策略路由,VPN的多线路情况下配置的外网接口。3.策略路由是否可以从一个非WAN属性的接口转发出去?如果可以,请问如何配置?答:可以,在源地址策略路由的“接口与下一跳”中,填写“下一跳”,设备将自动匹配出接口。4.若要实现外网线路的故障自动切换,需如何配置策略路由?对连接外网线路的接口有何要求?答:配置多线路负载路由,选择多个外网接口。连接外网线路的接口必须是WAN属性,且开启链路故障检测功能。《常见网络环境部署》1.设备路由模式部署,lan口对端的交换机端口属性是trunk,则设备lan有哪几种配置方式?lan口设置为路由口,并设置对应的vlan号的路由子接口设置lan口为trunk口,并设置对应的vlan号的vlan接口2.简单描述一下混合模式各个接口的配置?内网私有IP的方向,接口配置为内网同网段IP的路由口内网公有IP的方向,接口配置为透明接口外网方向,接口配置为透明接口透明接口这对桥需要配置对应的vlan接口,并填写相应的公网IP。3.虚拟线路部署配置接口时的注意事项?需要检查确认【网络配置】-【虚拟网线】是否已经生成成对的虚拟网线,若没有则会导致虚拟网线接口配置无效。《防火墙功能介绍》1.AF设备支持哪几种地址转换功能?各用于什么场景?源地址转换:用于设备路由部署在公网出口代理内网用户上网目的地址转换:用于外网用户通过公网出口IP访问内网服务器双向地址转换:用户内网用户通过公网出口IP/域名访问内网服务器2.用户内网有三层交换机,启用DOS内网防护时,就会出现断网,日志记录的DOS告警源MAC地址都是三层交换机的MAC地址,这时该怎么设置?在DOS/DDOS的内网防护中,将三层交换机地址加入到排除地址中。3.请简述双向地址转换与DNSMapping的区别?1)设置DNSMapping后,内网访问服务器的数据将不会经过防火墙设备,而是直接访问的服务器内网IP。双向地址转换则是所有数据都会经过防火墙去访问。所以通过DNSMapping可以减轻防火墙压力。2)DNSMapping的设置方法比双向转换规则简单。不涉及区域、IP组、端口等设置。3)DNSMapping不支持一个公网IP映射到多台内网服务器的情况。而双向地址转换功能没有此限制。《VPN互联配置》1.通过NGAF设备与其他的SANGFOR设备建立DLAN互联有哪些基本条件?答:SANGFORDLAN互联的基本条件:1.至少有一端作为总部,且有足够的授权(硬件与硬件之间互连不需要授权)。2.建立DLAN互联的两个设备路由可达,且至少有一个设备的VPN监听端口能被对端设备访问到。3.建立DLAN互联两端的内网地址不能冲突。4.建立DLAN互联两端的版本需匹配。NGAF设备除了满足上述的DLAN互联条件以外,只需要NGAF设备上有一个可配置IP地址的三层接口(可以是路由口、子接口、管理口和VLAN接口),即可建立DLAN互联。2.通过NGAF设备与其他的SANGFOR设备建立DLAN互联时,是否必须配置【内网接口设置】和【外网接口设置】?为什么?答:【内网接口设置】和【外网接口设置】不是必配的选项。【内网接口设置】的作用与本地子网相同,但是,【内网接口设置】中添加接口只通告设备直连网段;通过本地子网,可以通告本端所有的内网网段。当需要使用DLAN多线路时,才需要配置【外网接口设置】。3.通过NGAF设备与第三方设备建立标准IPSEC互联时,配置和其他SANGFOR设备有哪些不同?答:NGAF设备必须至少具有一个WAN属性的路由接口(非管理口Eth0),和一个非WAN属性的路由口(非管理口Eth0),用于建立标准IPSEC连接。通过NGAF设备与第三方设备进行标准IPSECVPN互联时,除了【第三方对接】的配置外,还需要配置【内网接口设置】和【外网接口设置】。《服务器保护培训》1.FTP和HTTP的应用隐藏分别能够隐藏哪些信息?答:FTP能够隐藏软件名称及软件的版本信息,HTTP可以根据报文头部返回的字段信息,自定义需要隐藏的信息。2.敏感信息防护策略组内多个条件之间是什么匹配关系?多条策略之间又是什么匹配关系?答:模式组内是“与”关系,要求同时出现多选的数据;模式组之间是“或”关系,顺序匹配直到拒绝或全部放行。3.服务器保护主要包括哪几大模块?答:网站攻击防护、应用隐藏、口令防护、权限过滤、DLP服务器数据防泄密《网站防篡改培训》1.简单描述防篡改原理的数据流程图或者步骤?答:AF去web服务器获取网页内容并缓存在设备本地远端PC访问web服务器Web服务器返回远端pc需要访问的网页内容AF对比本地缓存与服务器返回的网页无篡改则正常防护,篡改了则根据精确或模糊匹配策略返回内容2.网站管理员能分配哪些权限?答:1、网站管理员可以对分管网站禁用/启用网页防篡改2、网站管理员可更新缓存/添加例外《安全防护功能培训》1.应用控制策略中,基于服务的控制策略和基于应用的控制策略有何区别?答:基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的包通行后才能判断应用类型,然后进行拦截动作的判断。2.IPS规则中的保护客户端和保护服务器具有哪些相同的防护手段?答:操作系统漏洞、后门、木马、间谍、蠕虫软件以及恶意代码攻击3.在数据中心里面查询到误判规则的漏洞ID后,又应该如何修改IPS防护规则?答:对象设置---漏洞特征识别库中,根据漏洞ID搜索相应的漏洞规则,并修改相应漏洞ID的动作,如改成放行或禁用。《系统配置功能介绍》1.能够通过多功能序列号控制设备的哪些功能模块?答:VPN、网关杀毒、IPS、Web应用防护、流量控制、应用控制和Web过滤。2.某客户的日志设置如下图所示,此时用户是否能将日志记录到数据中心?答:不能,必须勾选上“启用内置数据中心”才能够记录日志到数据中心。3.Syslog支持发送哪些日志文件到Syslog服务器上?答:数据中心日志文件,不能够同步系统日志文件。

1 / 6
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功