1、USG6000V软件逻辑架构分为三个平面:管理、控制、数据转发。
USG6000的反病毒库的升级方式:本地升级、在线升级。
在线升级分为:定时升级、立即升级。
回退:如果升级特征库后出现异常情况,可以使用版本回退功能将特征库恢复到升级前的版本。版本回退只能回退一个版本,多次回退将在当前版本和可回退版本之间循环切换。升级前需要检查根目录剩余空间。
USG6000的主要攻击防范技术:首包丢弃、阻断和限流、过滤器、黑白名单。
限流技术可以防范DNS Flood。
以下关于反病毒特征库在线升级的描述,错误的是哪—项?
A.服务器端口,默认为 443B、升级时需要访问服务器地址,可以是 IP 地址或域名形式。B.升级时需要访问服务器地址,可以是 IP 地址或域名开形式。C.在线升级时可以根据设定的时间自动下载并更新本地的反病毒特征库。D.使用在线升级方式时,如果可以直接访问升级中心,只需要在 FW 上配置放行 HTTP 协议和安全策略。答案:D
2、DNS Request Flood 攻击。源认证过程中防火墙会触发客户端以TCP报文发送DNS请求,用以验证源IP的合法性,但是在一定程度上会消耗DNS缓存服务器的TCP连接资源。
TCP 代理:TCP 代理是指我们的 FW 部署在客户和服务器中间,当客户向服务器发送的 SYN 报文经过 FW 时,FW 代替服务器与客户端建立三次握手。一般用于报文来回路径一致的场景。TCP 源认证: TCP 源认证是 FW 防御 SYN flood 攻击的另一种方式,没有报文来回路径必须一致的限制,所以应用更普遍。TCP 代理过程中,防火墙会对收到的每一个 SYN 报文进行代理和回应,并保持半连接,所以当 SYN 报文流量很大时, 对防火墙的性能要求非常的高。
(填空题)DNS Request Flood攻击是 直接或间接向DNS缓存服务器发送大量不存在的域名解析请求,导致DNS缓存服务器不停向授权服务器发送解析请求,最终导致DNS缓存服务器超载,影响正常业务的攻击。
3、DDos攻击属于流量型攻击。
4、匹配方式:前缀匹配、后缀匹配、关键字匹配、精确匹配。
关键字的匹配模式:文本、正则表达式。
关键字的响应动作:告警、阻断、按权重操作。
在按权重操作中,如果权重值大于等于告警阈值,小于阻断阈值,则执行告警操作,且告警动作只执行一次。
关键字最短3个字节。
不同的匹配方式存在优先级顺序,由高至低为:精确匹配> 后缀匹配> 前缀匹配> 关键字匹配
5、UDP flood 的三种防御方式:指纹学习、关联防御、限流。
6、文件过滤技术:根据文件特征进行文件过滤,FW能够识别出承载文件的应用、文件传输方向、文件类型和文件扩展名。
错误的:如果文件的所有参数都能够匹配所有(应该改为一个)文件过滤规则,那么模块将执行此文件过滤规则的动作。
文件过滤的步骤:安全策略应用为permit、应用识别、协议解码、文件类型识别、文件过滤
承载文件的应用:文件是承载在应用协议上传输的,例如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。
文件传输方向:包括上传和下载。
文件过滤:若文件解压失败,不会再进行文件过滤。
文件类型识别结果有三种异常情况:
(1)文件扩展名不匹配:文件类型与文件扩展名不一致。
(2)文件类型无法识别:无法识别文件类型,且没有文件扩展名
(3)文件损坏:由于文件被破坏而无法进行文件类型识别。
(1)文件扩展名不匹配时动作:文件类型与文件扩展名不一致。如果动作为“允许”或“告警”,则按照文件类型进行文件过滤、内容过滤和反病毒检测。
(2)文件类型无法识别时动作:无法识别出文件类型,且没有文件扩展名。不进行文件过滤、内容过滤和反病毒检测。(无法识别时,就放弃了,不进行后续操作。)
(3)文件损坏时动作:文件损坏时无法进行文件过滤、内容过滤和反病毒检测。此时可根据业务需求对文件进行放行或阻断。
(4)最大解压层数:NGFW支持对压缩文件解压后的内容进行过滤,解压层数小于等于所配置的“最大解压层数”。 超出最大解压层数时动作:当文件的压缩层数大于所配置的“最大解压层 数”时,NGFW需要执行的动作。
7、文件过滤的处理流程:
(1)安全策略应用为permit
(2)应用识别
(3)协议解码
(4)文件类型识别
(5)文件过滤
8、USG6000文件过滤技术:不会对文件进行宣告。
USG6000支持对以下协议进行病毒扫描和处理。
宣告和删除附件动作仅对SMTP协议和POP3协议生效。
9、流扫描与代理扫描
代理扫描方式:将所有经过防火墙的需要进行病毒检测的数据报文透明的转交给防火墙自身的协议栈,通过防火墙自身的协议栈将文件全部缓存下来后,再送入病毒检测引擎进行病毒检测。
流扫描方式:依赖于状态检测技术以及协议解析技术,提取文件的特征与本地签名库进行匹配。
基于代理的反病毒网关可以进行更多如解压,脱壳等高级操作,检测率高,但是由于进行了文件全缓存,其性能、系统开销将会比较大。
基于流扫描的反病毒网关性能高,开销小,但该方式检测率有限,检测率低于代理扫描。
反病毒特征库的升级需要反病毒 License 支持、不支持针对断点续传文件的反病毒检测、虚拟系统下不支持反病毒的全文扫描模式。(断点续传文件需要文件过滤)
10、应答码:(通常是一个IP地址,可以是一个保留IP段的地址,没有统一规定)
FW根据应答码判断来自该SMTP Server的邮件是否为垃圾邮件。
如果从RBL服务器获得的应答码与FW上配置的应答码一致,该SMTP邮件将被视为垃圾邮件。
如果从RBL服务器获得的应答码与FW上配置的应答码不一致,该SMTP邮件将被放行。
RBL:实时黑名单列表(Realtime Blackhole List),即实时黑名单技术,简称RBL。
(填空题)NGFW 获取邮件发送方 SMTP 服务器的 IP 地址,向服务器发起查询,查询实时黑名单列表,以此来判断发送方 SMTP 服务器是否为垃圾邮件服务器,以上是对 RBL邮件过滤技术的描述。
11、IPS可以旁路或者直路部署。(不能检测垃圾邮件)
IPS 功能支持阻断与告警两种响应方式。
旁路部署方式:
SPAN:也叫做端口镜像或者端口监控,是通过交换机配置将某个端口或某组端口的流量复制到另外的端口实现的。
Tap:接在交换机与路由器中间,旁路安装,拷贝一份数据到IPS中;
直路部署方式:
Inline:接在交换机与路由器中间,在线安装,在线阻断攻击。
将 IPS 设备旁路部署在网络中时,IPS 连接在核心交换机的接口下应配置以下哪一项命令?A.detect-mode spanB.detect-mode bridgeC.detect-mode inlineD.detect-mode tap答案:D
12、异常流量清洗方案系统主要包括三个组成部分:管理中心ATIC、检测中心、清洗中心
检测中心(配置端口镜像)
对镜像或者分光过来的流量进行DDoS攻击流量的检测和分析,将分析数据提供给管理中心进行判断。
管理中心:设备管理、策略管理、报表呈现。(在管理中心上添加防护对象)
由服务器系统组成,也称之为ATIC管理系统。主要完成对攻击事件的处理、控制清洗中心的引流策略和清洗策略,并对各种攻击事件和攻击流量分类查看,产生报表。
管理中心设备分为两个组件:
数据采集器:一台清洗设备对应一台数据采集器,数据采集器负责异常流量清洗业务数据采集、解析、汇总、入库并负责将汇总后的流量上报管理服务器用以报表呈现;
管理服务器:负责异常流量清洗方案设备集中管理配置及业务报表呈现。
支持分布式部署集中管理:数据采集器和管理服务器支持分布式部署和集中式部署两种部署模式;分布式部署模式下具备很好的可扩展性,管理服务器可同时管理50台DDoS防御设备。
清洗中心(配置引流和回注)
由执行清洗任务的硬件系统组成,主要是根据安全管理中心的控制策略进行攻击流量牵引并清洗,把清洗后的正常流量注回到客户网络,发送到真正的目的地。
下列哪些选项对于管理中心 ATIC 的配置描述是正确的?A.在管理中心上需要 配置引流任务,在发现攻击行为时,向清洗中心下发。B.需要在管理中心上 配置防护对象,引导异常的访问流量。C.管理中心上需要配置端镜像,进行异常流量的监测。D.管理中心上需要配置回注策略,引导清洗后的流量。答案:AB
单 CPU 的 Anti-DDos 盒式设备,可以部分接口工作在检测模式,部分接口工作在清洗模式。
引流方式有两种:
策略路由静态引流:核心设备上通过配置静态路由或者策略路由方式将流量引到清洗设备上;
BGP动态引流:通过BGP实现动态引流。清洗中心通过与核心设备建立BGP邻居,通告一条到目的地址的主机路由,将流量“骗”过来,清洗后再回注回去。这条主机路由是管理中心动态下发的一条静态路由,并且已经引入了BGP。
回注方式:
策略路由回注:通过策略路由将清洗后流量回注;
路由回注:通过默认路由或者动态路由方式回注;
VPN回注:通过GRE VPN或者MPLS VPN方式回注;
二层回注:如果上下行在一个网段,通过子接口或Vlanif接口方式回注。
使用BGP引流,推荐使用策略路由回注、GRE VPN、MPLS VPN方式回注。
逐流检测过程排序:对于 AntiDDos 进行逐流检测的过程排序
1)Netflow 分析设备对现网流量进行采样。
2)向清洗中心发送引流命令。
3)发现 DDos 攻击流量。
4)Netflow 分析设备发送告警给 ATIC 管理中心。
5)异常流量被引流到清洗中心进一步检查和清洗。
6)清洗中心发送受攻击对象 IP 地址服务器的主机路由给路由器,实现引流。
7)清洗日志发送给管理中心生成报表。(最后生成报表)8)清洗后的流量发送给原始的目的服务器。13426587
13、当文件的压缩层数大于所配置的“最大解压层数”时,防火墙无法过滤该文件。
病毒检测系统可以直接检测压缩过的文件。
14、DDos攻击防范配置流程:流量统计、流量超过阈值、启动攻击防范、执行防范动作。
15、基于网络的入侵检测系统(NIDS)有如下特点:
监测速度快:能在微秒或秒级发现问题,基于主机的IDS要依靠对最近几分钟内的审计记录的分析;
隐蔽性好:基于网络的监视器不运行其他的应用程序,不提供网络服务,可以不响应其他计算机,因此不易受到攻击;
视野更宽、较少的监测器、攻击者不易转移证据、操作系统无关性。
入侵检测只能检测到源地址和目的地址,不能识别地址是否违造,所以难以定位真正的入侵者。
基于网络的入侵检测系统主要用于实时监控网络关键路径的信息,侦听网络上的所有分组,采集数据,分析可疑对象;
使用原始网络包作为数据源;
通过网络适配器来实时监视,并分析通过网络的所有通信业务,也可能采用其他特殊硬件获得原始网络包;
16、云沙箱远程检测服务过程:
上报可疑文件、云端沙箱进行检测、防火墙联动防御、回溯攻击事件。
沙箱不能代替IPS等设备。
沙箱可以对:WWW文件、PE文件和图片文件进行检测。
沙箱可以检测:加壳文件、压缩文件、WEB网页、办公文档、图片文件。
17、签名集是预定义签名的集合。签名集的动作优先级高于签名默认动作。
覆盖签名(应该也叫例外签名)优先级高于签名集。例外签名的动作优先级高于签名过滤器的。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。
例外(覆盖)签名>签名集>签名。
签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。
入侵防御签名分为预定义和自定义签名。
签名属性:ID/协议/方向。
签名过滤器:签名满足所有过滤条件,才能加入签名过滤器。签名过滤器的过滤条件包括:签名的类别、对象、协议、严重性、操作系统等。
由于设备升级签名库后会存在大量签名,而这些签名是没有进行分类的,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作:阻断、告警、签名的缺省动作。
例外签名的动作:阻断、告警、放行、添加黑名单。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时,以签名过滤器中的动作为准。
入侵防御文件只能包含一个签名过滤器和多个例外签名。
当数据流 命中多个签名,对该数据流的处理方式如下:如果这些签名的实际动作 都为告警时,最终动作为告警。如果这些签名中 至少有一个签名的实际动作为阻断时,最终动作为 阻断。当数据流命中了多个签名过滤器时,设备会按照优先级最高的签名过滤器的动作来处理。在 IPS 的签名过滤器中可以通过哪些属性进行签名过滤?A.应用程序(Application)B.对象(Target)C.操作系统(os)D.严重性(Severity)答案:ABCD
18、入侵防御系统构成:事件提取、入侵分析、入侵响应、远程管理。
19、SQL注入攻击的步骤:
判断网页是否存在漏洞、判断数据库类型、获取数据库中的数据、提权。
SQL注入会携带在HTTP post和HTTP get报文中。
20、特殊报文攻击不具备直接破坏性
21、APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
APT攻击利用的是0day漏洞。零日漏洞,是指还没有补丁的安全漏洞。
攻击者向感染主机发送 C&C 攻击或其它远程指令,使攻击在内网横向扩散。
APT攻击的四个阶段:1.搜集信息&入侵、4.远程控制与渗透、2.长期潜伏&挖掘、3.数据泄露。
IPS设备不能直接检测到APT类型的攻击。
APT的渗透阶段,攻击者—般会有的攻击行为:A.长期潜伏,并进行关键数据的收集。C.通过钓鱼邮件,携带 Oday 漏洞的附件,造成用户的终端成为攻击的跳板。
22、URL过滤配置文件,若网站属于两个类别的网站,有一个类别为阻断,则用户无法访问。
23、华为 WAF 产品主要由执行前端、后端中心系统及数据库组成。其中数据库主要存储前端的检测规则及黑白名单等配置文件。
白名单优先级高于黑名单。
WAF防篡改步骤:
WAF防篡改基于缓存模块,1、首先启动学习模式对用户访问网站的页面内容进行学习,2、学习完成后将页面内容存储在缓存中,3、当服务器页面发生篡改并有用户访问该页面时,4、WAF首先会获取服务器的页面内容,并和缓存中的页面内容进行水印比对,5、当发现页面篡改时WAF则使用缓存中的页面返回给客户端,达到视觉防篡改。
24、误用检测与异常检测:
异常检测模型:首先总结系统主体的(单个用户、一组用户、主机、系统中的某个关键的程序和文件等)正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为时入侵。
误用检测(特征检测)模型:收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为时入侵。
异常检测可发现未知的攻击方法,体现了强健的保护机制,但对于给定的度量集能否完备到表示所有的异常行为仍需要深入研究
异常检测与误用检测的优缺点对比:
分析是入侵检测的核心功能,以下哪些项是误用检测分析模型的的优点?(误用检测,错误的集合)A.有效检测对合法用户的冒充检测。B.能够明确入侵行为并提示防范方法。C.不需要专门的操作系统缺陷特征库。D.可检测所有已知入侵行为。答案:BD
25、NIP6000在出厂配置启动后,默认接口是二层接口且自动成对,无需设置IP地址。
缺省情况下,NIP的接口都工作在旁路检测模式下,直接将一个接口连接到 交换机即可。
26、未授权的访问会对信息安全会造成完整性和机密性。
信息安全是对信息和信息系统进行保护,防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。
27、
网络攻击分类(两大类):
流量型攻击:网络层攻击、应用层攻击。
单包攻击:畸形报文攻击、特殊报文攻击、扫描窥探攻击。
特殊报文攻击:ICMP/Tracert/带时间的ip。(ICMP/UDP/IP)
特殊报文攻击,是指攻击者利用一些合法的报文对网络进行侦察或者数据检测,这些报文都是合法的应用类型,只是正常网络很少用到。特殊控制报文攻击也是一种潜在的攻击行为,不具备直接的破坏行为,攻击者通过发送特殊控制报文探测网络结构,为后续发动真正的攻击做准备。
畸形报文攻击:Ping of Death,IP分片报文攻击,Land攻击属于单包攻击。
IP Fragment攻击,分片攻击
DF(不支持分片)=1,而MF(最后一个分片)=1或者 Fragment Offset(分片偏移量)不为0.(110)
DF=0,Fragment Offset+length>65535 (DF=0表示可以分片,length分片长度。)(0>)
扫描窥探攻击:地址扫描和端口扫描攻击。
扫描类攻击:是一种潜在的攻击行为,并不具备直接的破坏行为,通常是攻击者发动真正攻击前的网络探测行为。分为地址扫描和端口扫描。扫描类攻击的源地址是真实的,因此可以采用直接加入黑名单的方法进行防御。扫描类攻击的扫描速度决定了攻击防范的有效性。蠕虫病毒爆发的时候,伴随着一般就是地址扫描攻击。
流量型攻击:流量型攻击最通常的形式是Flood方式,这种攻击把大量看似合法的TCP、UDP、ICMP包发送至目标主机。DNS,HTTP,FIN/RST.
ICMP flood攻击
Fraggle和Smurf都会产生大量无用的应答报文,占用网络带宽,消耗设备资源。
Fraggle 类似于 Smurf 攻击,使用 UDP 应答消息而非 ICMP。UDP 端口 7(ECHO)和端口 19 (Chargen)在收到 UDP 报文后,会产生大量无用的应答报文,占满网络带宽。(Fraggle 攻击错。)
28、Web攻击的来源:(三个方面的攻击:客户端、服务器、通信通道)
客户端:网站木马、钓鱼欺骗、活动内容攻击
服务器:Web服务器的漏洞,授权、认证攻击、跨站脚本攻击、SQL注入
通信通道:Dos、CC攻击、窃听、SSL重定向。
Web基于客户端(Client)/服务器架构(Server)架构来实现。
29、云时代的事前、事中、事后。
事前:白帽众测、漏洞情报。
事中:纵深防御、攻防态势
事后:反击黑客
30、NIP组网的可靠性保障:双机热备、Link-group。
31、bypass:就是可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通,所以有了Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
32、应用行为控制配置文件引用后即时生效,无需配置提交。p86
WEB信誉配置无需提交。
对 IPS 策略的修改不会立即生效,需要提交编译来更新 IPS 策略的配置
内容安全过滤需要提交。防火墙要提交。安全配置文件后,配置内容不会立即生效:需要单击界面右上角的“提交”来激活。
应用行为控制管控的行为是:HTTP、FTP、IM(及时通讯)
FTP过滤策略可以执行阻断和告警。
HTTP行为控制支持:允许、禁止、告警。
禁止HTTP访问某些页面:检测 HTTP connect.
HTTP 行为控制可以限制使用 HTTP 协议进行文件下载的操作,同时也支持对在文件下载页面选择专用的下载工具(如 BT、电驴户等) 进行下载的行为进行控制。
33、内容过滤技术:文件内容过滤、应用内容过滤、邮件过滤技术、应用行为控制。
内容过滤技术可以对:关键字进行过滤。
基于IP的邮件过滤技术:本地黑名单、RBL 远程查询、本地白名单。
34、IAE是华为为了NGFW产品而全新研发的全新一代的高性能内容安全引擎。其全称为Intelligent Awareness Engine,中文直译可以成为智能感知引擎。主要功能包括主要包括:应用识别和感知、入侵防御、Web 应用安全、URL 分类和过滤、DLP 相关识别、文件安全、反病毒等。IAE的核心是将所有内容安全相关的检测功能,有机集中到一起。IAE引擎的安全检测是并行的,采用了基于流的文件处理机制,能够接收文件片段并执行安全检测。
内容安全核心技术在于异常检测,防御理念在于持续监控和分析。
内容安全过滤技术的实现需要内容安全组合License 的支持
邮件过滤:邮件过滤功能受 License 控制。
实现内容安全的技术:Web安全、应用安全、入侵防御、邮件安全、数据安全、网络安全、反病毒、安全环境感知(应用、时间、用户、攻击、位置)、沙箱与大数据分析。
以下关于 IAE 全局配置中使用限制的描述,错误的是哪项A.最大解压层数的设定值不会影响反病毒、文件过滤和内容过滤功能的检测结果B.对于单个压缩文件,检测超时时间默认为 10 秒。包含 RAR 或 ZIP 格式的多层压缩文件通过全文扫描模式检测时,如果被检测的压缩文件过大,会出现检测超时而被直接放行的情况C.缺省情况下,FW 放行 HTTP 或 FTP 协议的文件断点续传流量D.URL 远程查询功能受 URL 远程查询 License 控制答案:C
35、URPF技术:单播逆向路径转发的简称,其主要功能是防止基于源地址欺骗的网络攻击行为。
两种模式:严格模式、松散模式。
严格模式(strict):建议在路由对称的环境下使用URPF严格模式,即:不仅要求在转发表中存在相应表项,还要求接口一定匹配才能通过URPF检查。如果两个网络边界路由器(此处为USG)之间只有一条路径的话,这时,路由能够保证是对称的,使用严格模式能够最大限度的保证网络的安全性。
松散模式:在不能保证路由对称的环境下使用URPF的松散模式,即:不检查接口是否匹配,只要存在针对源地址的路由,报文就可以通过。
对于loose型检查(松散型检查):
(1)当报文的源地址在USG的FIB表中存在(不管反向查找的出接口和报文的入接口是否一致),报文就通过检查;否则报文将被拒绝。
(2)如果报文的源地址在USG的FIB表中不存在,则检查缺省路由及URPF的allow default-route参数。对于配置了缺省路由,但没有配置参数allow-default-route的情况。只要报文的源地址在USG的FIB表中不存在,该报文都将被丢弃。(只配置一个就丢弃)
(3)对于配置了缺省路由,同时又配置了参数allow-default-route的情况。如果是strict检查,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查,进行正常的转发。如果缺省路由的出接口和报文的入接口不一致,则报文将拒绝,如果配置了ACL,再判断丢弃还是转发。如果是loose型检查,报文都将通过URPF的检查,进行正常的转发。(两个都配置了就转发)
36、TCP/IP协议栈的网络层攻击:IP地址欺骗、地址扫描。
传输层:端口扫描。
网络层:IP、地址
37、URL地址结构
主机名/端口protocol/路径/查询
hostname/protocol/path/query(?后面是query?)
(填空题)
URL:www.example.com/sport/cn/index.php?lang=zh,其中lang=zh属于URL中query。
38、 RootKit技术:是一种躲避方式,RootKit本身并没有任何危害。RootKit通过加载特殊的
驱动,修改系统的内核,达到隐藏自身及制定文件的作用。
使用rootkit技术的病毒,通常都会有一个.sys文件加载在系统的驱动中,用以实现rootkit技术的隐藏功能。
39:分析是入侵检测的核心功能,入侵检测的分析处理过程可分为三个阶段:构建分析器,对实际现场数据进行分析,反馈和提炼过程。其中,前两个阶段都包含三个功能:数据处理、数据分类(数据可分为入侵指示、非入侵指示或不确定)和后处理。
入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术,特定行为模式属于入侵检测知识库的内容。
入侵检测系统(Intrusion Detection System,IDS)就是执行入侵检测任务的硬件或软件产品。IDS 通过实时的分析,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式,监控与安全有关的活动。
40、蠕虫、病毒、木马
蠕虫是独立个体存在,通过系统漏洞进行传染,蠕虫是一个能传染自身拷贝到另一台计算机上的程序。蠕虫通过系统存在的漏洞感染。蠕虫的传染目标是网络上的其他计算机系统。
病毒需要寄生,通过宿主程序运行。
计算机病毒有潜伏性,它可能会长时间潜伏,遇到一定条件才开始进行破坏活动。
病毒由计算机使用者触发, 病毒可自我复制。
木马触发机制是通过程序本身,不自我复制。
常见病毒行为特征(特性):下载与后门特性、信息收集特性、自身隐藏特性、文件感染特性、网络攻击特性。
计算机病毒概念的描述:(ABCD)A.计算机病毒是一种基于硬件和操作系统的程序B.计算机病毒可以利用系统漏洞进入系统,达到传播的目的C.计算机病毒不仅占用系统资源,还可以册除或者修改文件或数据D.计算机病毒可自我复制
41、入侵防御设备主要功能(攻击防护):
攻击前期:网络扫描、漏洞扫描。
攻击中期:虚拟补丁、Web应用防护、Dos防御、基于行为检测发现暴力破解。
攻击后期:种植恶意软件、操控被攻击设备。
华为 NIP 入侵防御设备支持以下哪些威胁防护A.Web 应用防护B.恶意软件控制C.客户端防护D.虚拟补丁。答案:AD在正常的入侵防御中,可能要面临多个阶段的攻击。以下哪些项是攻击中期所面临的攻击行为?A.暴力破解B.种植恶意软件(后期)C.漏洞攻击D.网络扫描(早期)答案:AC
入侵防御:入侵防御是一种安全机制,通过分析网络流量,检测入侵,并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。入侵防御是种既能发现又能阻止入侵行为地新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而从根本上避免攻击。
入侵防御:入侵防御通过比较流量内容与入侵防御特征库来实现攻击检测,有效防御来自应用层的攻击,例如缓冲区溢出攻击、木马、后门攻击、蠕虫等。
42、不会对网络造成安全威胁的是:打开公司机密文件。
43、防火墙反病毒引擎典型技术:
防火墙引擎通过各种不同的检测技术检测出病毒:首包检测技术、启发式检测技术、文件信誉检测技术。
启发式检测技术:Web启发式检测引擎、PDF启发式检测引擎、PE启发式检测引擎和虚拟执行环境(也称为重量级沙箱)
FireHunter 的检测引擎包含以下哪些类型A.Web 启发式B.虚拟执行环境C.PE 启发式D.PDF 启发式答案:ABCD
PE启发式沙箱:可以分析文件静态行为数据,如文件大小、加壳信息、运行依赖的 DLL 和 API 函数信息等。(没有版本信息)
文件信誉检测技术:文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行简检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。
文件信誉检测技术文件信誉是通过计算待测文件全文 MD5,并与本地信誉 MD5 缓存进行匹配来进行检测。本地信誉 MD5 缓存包括 静态缓存和动态缓存。静态缓存来自于文件信誉库,动态缓存来自于沙箱联动。
配置文件信誉老化时间,默认为30天、配置范围为1-180天。
44、邮件病毒检测的相关操作:
当检测到邮件中存在病毒时,以下哪种不是检测的相应动作? 阻断
45、华为 USG6000 产品反病毒策略配置中,HTTP 协议的响应方式有哪些? 告警、阻断并推送页面。
在华为 USG6000 产品上配置的反病毒特性没有生效,以下哪些是可能原因?(多选)A.安全策略没有引用反病毒配置文件。B.反病毒配置文件配置错误。C.病毒特征库版本较旧。
反病毒策略的正确配置思路:申请并激活license、加载特征库、配置AV Profile 、配置安全策略、提交。
46、IMAP与POP3主要区别在于:使用POP3,客户端软件会将所有未阅读邮件下载到计算机,并且邮件服务器会删除该邮件。使用IMAP,用户直接对服务器上的邮件进行操作,不需要把所有邮件下载到本地再进行各项操作。POP3下载附件。
47、典型的入侵行为:破解系统密码、篡改WEB网页、复制/查看敏感数据、使用网络嗅探工具获取用户密码。
48、在华为 USG6000 产品中,创建或修改安全配置文件后,配置内容不会立即生效:需要单击界面右上角的“提交”来激活。(防火墙需要提交)
49、HTTP Flood 攻击原理:通过代理服务器或者僵尸主机向目标服务器发起大量的HTTP报文,请求涉及数据库操作的URI或其他消耗系统资源的URI,造成服务器资源耗尽,无法响应正常请求。
对于HTTP Flood 和 HTTPS Flood 吹击防御原理的描述,下列哪些选项是正确的? (多选)
A.HTTPS Flood 防御模式有基本模式、增强模式和 302 重定向。
B.HTTPS Flood 防御可以通过限制报文的请求速率进行源认证。
C.HTTPS Flood 攻击原理是通过请求涉及数据库操作的 URI 或其它消耗系统资源的 URI ,造成服务器资源耗尽,无法响应正常请求。
D.HTTPS Flood 攻击原理是向目标服务器发起大量的 HTTPS 连接,造成服务器资源耗尽,无法响应常的请求。
答案: BCD
HTTP flood攻击的防御手段::HTTP Flood源认证、HTTP源统计、URI监测、URI源指纹学习功能
源认证三种方式:基本模式(meta刷新)、增强模式(验证码认证)、302重定向模式。
HTTP flood 防御可以通过限制报文的请求速率进行源认证。
基本模式:该模式可有效阻止来自非浏览器客户端的访问,如果僵尸工具没有实现完整的HTTP协议栈,不支持自动重定向,无法通过认证。而浏览器支持自动重定向,可以通过认证。该模式不会影响用户体验,但防御效果低于增强模式。
HTTP flood 源认证的增强模式:有些僵尸工具实现了重定向功能,或者攻击过程中使用的免费代理支持重定向功能,导致基本模式的防御失效,通过推送验证码的方式可以避免此类防御失效。
50、云平台安全解决方案包含:基础设施,租户服务、运维管理的安全。
云平台面临的安全挑战:外部入侵、内部风险、租户的安全服务要求、管理安全。
SDN解决方案可以防护同一个VPC内同一个网段之间的东西向互访流量。
USG6000v不可以实现同一个VPC内互访的东西向流量的安全检查。
51、反垃圾邮件本地黑白名单是通过IP匹配来实现的,与DNS无关。
邮件过滤配置:可以对附件的大小和个数进行配置、邮箱地址。P84
不支持设置使用POP3协议传输邮件中的附件
52、华为 NIP 入侵防御设备支持下列哪些功能特性? A.虚拟补丁、C.SSL 流量检测、D.应用识别和控制。
53、Anti-DDos防御系统:
七层防御可以从基于接口的防御、基于全局的防御和基于防护对象的防御维度来工作的。
54、大数据智能安全分析平台
数据处理:数据预处理、分布式存储、分布式索引。
大数据特性:数据量巨大、数据种类繁多、价值密度低。
55、fraggle攻击是UDP攻击。land攻击是TCP。(FU、IT)
56、内容安全过滤技术的实现需要内容安全组合License 的支持。
反病毒功能需要License支持,在进行反病毒功能配置前,需要申请并激活反病毒特性的license。
反病毒 License 未激活时,功能可以配置,但是不生效。以下哪些技术可以实现内容安全?(多选)(ABCD)A.Web 安全防护B.全局环境感知C.沙箱与大数据分析D.入侵防御安全威胁正从单纯的网络威胁向应用与数据安全威胁演进,以下哪些项属于内容安全威胁?A.Anti-DDosB.病毒C.溢出攻击D.垃圾邮件答案:BCD
57、反向代理模式是指WAF在旁路模式部署可实现防护功能,部署时只需将网站的域名或抢占服务器IP方式,访问时先访问到WAF,WAF检测后再将流量转发给服务器。
58、入侵检测系统的特点:无法检测来自内部人员地恶意操作或者误操作。
59、存储型XSS地攻击步骤:
③用户登录
②攻击者提交包含已知 JavaScript 的问题
④用户请求攻击者的问题
⑤服务器对攻击者的 JavaScript 做出响应
⑦攻击者的 JavaScript 在用户的浏览器中执行
⑥用户的浏览器向攻击者发送会话令牌
①攻击者劫持用户会话
60、安全中心平台网址:sec.huawei.com
61、IPS支持阻断、告警、放行三种响应方式。
IPS,IPS会实时阻断入侵行为,是一种侧重于风险控制的安全机制。(保护--控制)
IDS,主要作用是监控网络状况,发现入侵行为并记录事件,但是不会对入侵行为采取动作,是一种侧重于风险管理的安全机制。
62、HTTP行为控制项:POST操作、浏览网页、代理上网、文件上传/下载。
63、查看AV引擎以及病毒库版本的命令行:display version av-sdo
64、PDRR模型:Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。
65、profile:简介。application:应用。
66、HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、
CONNECT。GET:读取由URL所标识的信息。(支持)OPTION:请求一些选项的信息HEAD:请求读取URL所标识信息的首部。POST:给服务器添加信息。(支持)(论坛发帖,用户登录)PUT:在指明的URL下存储一个文档。(支持)DELETE:删除指明的URL所标志的资源。TRACE:用来进行环回测试的请求报文。CONNECT HTTP:用于代理服务器。(访问网页)HTTP 请求(request)头部由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息,典型的请求头有:User-Agent:产生请求的浏览器类型。Accept:请求报头域用于指定客户端接受哪些类型的信息。Referer:上一个资源的URL。Connection:当值为Close时,告诉服务器发送响应的文件后关闭连接,为Keep-Alive时,告诉服务器在完成本次请求的响应后,保持连接。Host:主要用于指定被请求资源的Internet主机和端口号,它通常从 URL中提取出来的,eg:www.google.cn 。此处使用缺省端口号80,若指定了端口号,则变成:Host: www.google.cn:指定端口号。NGFW 实现 URL 过滤时,通过检查 HTTP Request 中的哪项字段实现获取用户访问的 URL答:Host。HTTP 响应报文response(响应)HTTP response 不一定有body字段。错误:相较于http get ,http post报文更多的是用户提交的数据,因此存在更少的安全隐患。HTTP的响应报文由三部分组成:状态行,消息报头和响应数据,不包括 请求行。(填空题)为防止泄露Web服务器版本,WAF可以删除HTTP Response中的 Server头部。Server:告诉浏览器服务器的名称和版本号。如:Apache/2.2.10。Content-Type:实体报头域用语指明发送给接收者的消息主体的媒体类型。如: Content-Type:text/html。NGFW 的内容安全过滤技术支持对以下 哪些 HTTP 报文进行检测以实现 HTTP 行为控制?A.HTTP PostB.HTTP DeleteC.HTTP PutD.HTTP Get答案:AD
67、(填空题)
为防范Slow-Post类型的CC攻击,WAF会检测HTTP头部种的Content-Type字段是否异常。
Http slow post 属于流量型Dos攻击。
68、(填空题)若想调用IPS配置文件,在IPS的安全策略中应将策略的动作设置为permit。
69、ICMP Flood攻击:让目标服务器CPU一直繁忙从而实现瘫痪目标服务器。
70、Anti-DDoS方案按检测方式分:逐包检测和Netflow检测2种,清洗方案相同。
逐包检测:
NETflow(精确)检测:
如果使用Netflow协议,那么要求网络设备支持Netflow协议,对网络流量进行采样分析。这样的话,并不能分析所有流量,因此检测准确率较低,其主要特点如下:数据时间粒度中等,有些延迟;无法做到精细化的检测,而精细化的检测对行业网来说非常重要;抽样比较大,不适合做小流量攻击检测,不包含应用层信息;部署简单,易于扩展;需要现网设备向分析设备发送Netflow流,对现网设备有一部分的影响。71、(填空题)Hisec Insight 平台通过以下哪个选项的南向接口获取流量日志: NETCONF、syslog。vFW通过 openflow的北向接口对接AC控制器。VNGFW使用的北向接口:NETCONF、SNMP72、(填空题) WEB启发式沙箱:模拟了IE浏览器环境,对页面彻底去除混淆,通过机器学习,对web文件进行分类。对浏览过程中产生的二进制内容进行Shellcode检测。实时检测页面执行过程中的各种危险行为。
73、cookie
可以通过cookie携带服务器给终端用户分配的Session值。
74、WAF的应用层访问控制功能:
应用层访问控制优于规则检查
在应用层访问控制中被匹配中的内容,且行为为检测的才会执行规则检查。
WAF基于7层防护技术,又叫做纵深安全防御。
用户访问WEB应用时会调用大量图片、css样式、js脚本等静态文件,而这部分文件通常不具备攻击条件, 华为 WAF具备高性能模块对静态文件进行高速转发,无需通过大量的特征库检测,从而提升了网站访问性能。
WAF的部署方式:透明代理、反向代理、网关模式。
在透明代理模式中,客户端不直接与服务器建立连接,可实现对服务器隐藏。不需要网络层、应用层做任何的改变,也不需要在任何设备上做任何的变动并且数据包转发时不改变其内容。( 透明代理模式下WAF只有二层转发功能,无法检测IP和应用层内容)
透明代理模式是指WAF使用直连部署模式时,无需对现有环境进行改动即可实现部署。
反向代理模式是指WAF在旁路模式部署可实现防护功能,部署时只需将网站的域名或抢占服务器IP方式,访问时先访问到WAF,WAF检测后再将流量转发给服务器。
网关模式是指WAF可实现对多台服务器流量负载均衡,部署时需要将服务器网关映射到WAF。
75、SMURF攻击:由于路由器等三层设备本身就不会转发目的地址是广播地址的报文,因此SMURF攻击在网络上很难形成攻击。在防火墙上,检查SMURF攻击要求被攻击网络与防火墙必须是直接相连的。所以,攻击者和被攻击者不在一个二层网络中,不能实施SMURF攻击。
76、(连线题)
检测未知威胁——————————————————————沙箱
联动Hisec Insight进行未知协议阻断————————————NGFW
采集流量,生成流量日志,用于发现异常流量————————流探针
77、错误选项:POP3的非法邮件,防火墙的响应动作仅支持发送告警信息,不会阻断邮件。
SMTP、POP3、IMAP邮件协议没有阻断。
78、(连线题)
命令注入——GET/show.asp?id=1306|cat/etc/passwd HTTP/1.1
目录遍历——GET/index.html/../../../../../etc/passwd HTTP/1.0
SQL注入——GET/'+union+(select+@@version)+-2 HTTP/1.0
跨站脚本攻击——GET/yearca1.php?ycyear=<script>alert("1253917605");</script>HTTP/1.0
79、(连线题)
CC——————————攻击中期
NMAP扫描——————攻击前期
种植恶意软件——————攻击后期
80、防火墙入侵功能,不用检查License是否支持入侵防御特征库升级、是否支持入侵防御功能。
81、(填空题)
IPS设备使用二层直路部署(串行)模式安装在网络中,连接路由器的接口下应配置命令:detect---mode inline
82、NIP6330:设备采用一体化机箱的结构设计,由固定接口板、电源模块、内置风扇模块组成,并且支持选配硬盘、双电源和多种扩展卡来提升系统可靠性和接口的扩展能力。
固定接口板: 管理平面、转发平面、控制平面、智能感知引擎。扩展插槽: 支持插接扩展卡,以获得更多的接口或者其他特定功能。电源模块:标配交流单电源。 支持选配双电源,组成 1+1冗余备份,在另一块电源模块工作正常的前提下,支持热插拔。
83、firehunter
firehunter采用多层次化地恶意文件行为检测机制,及时发现潜在攻击。
firehunter通过智能行为分析,来对威胁判断定性。
84、在云网一体化场景下,设计安全防护时需要考虑哪些网络平面:逻辑网络、物理网络、应用网络、业务呈现网络。
85、(连线题)
对用户的HTTP行为、FTP行为和IM行为进行精确的控制————————————应用行为控制
根据文件类型对文件进行过滤——————————————————————————文件过滤
使用IP地址检查和邮件内容检查过滤技术,帮助局域网用户提高邮件系统的安全性。——邮件过滤
86、NFV:NFA2000V,AntiDDoS网关。
87、NGFW 支持的文件过滤承载应用包括以下哪些选项:FTP、HTTP、NFS、SMTP。
88、(填空题)
为防止泄露Web服务器版本,WAF可以删除http response中的Server头部。
89、b.*d
.:匹配任意非换行字符。
*:匹配前面的字符或者表达式零次或多次。
bad、abroad
90、HTTP 状态码
401 Unauthorized:表示请求未验证状态码。403 Forbidden:表示服务器请求被拒绝状态码。404 Not Found:表示请求失败状态码。503 Service Unavailable:表示服务器当前无法处理请求状态码。91、向RADIUS服务器认证:Access-Request.92、入侵防御中签名过滤器和防火墙联动后,防火墙可以设置的动作 不包括以下哪—项:阻断目的 Port,当报文命中此签名过滤器中的任何签名时,联动防火墙将报文的 目的端口号加入黑名单。防火墙联动:设置联动防火墙的动作。关闭:联动防火墙不做处理。阻断源 IP:当报文命中此签名过滤器中的任何签名时,联动防火墙将报文的源 IP 加入黑名单。阻断目的 IP:当报文命中此签名过滤 器中的任何签名时,联动防火墙将报文的 目的 IP 加入黑名单。双向阻断:当报文命中此签名过滤器中的任何签名时,联动防火墙将报文的源 IP 和目的 IP 加入黑名单。93、防火墙 IPS 特性需要配置入侵防御配置文件,然后应用到安全策略上,而 NIP 上的配置是基于接口对的策略。错误:华为 NIP6000 可以将两个同类型接口组成接口对,从一个接口进入的流量固定从另一个接口转发出去,不需要查询 MAC 地址表。94、防火墙病毒处理流程中优先级最高的流程是 白名单。95、动态限流功能防范的流量型攻击主要有 会话型和丢包型两种。96、TCP 代理是指我们的 FW 部署在客户和服务器中问间,当客户效向服务器发送的 SYN 报文经过 FW 时,FW 代替服务器与客户嫡健立三次握手。 一般用于报文来回路径一致的场景。(一致代理)TCP 源认证是 FW 防御 SYN flood 政击的另一种方式,没有报文来回路径必须一致的限制,所以 应用更普遍。(不一致源)97、(连线题)实现负载分担,将外部流量负载到多个内部VM上。——————vLB(负载均衡)实现IPSec,VPN,NAT,LB和状态检测的基础功能——————vFW实现WEB流量代理,基于会话的WEB安全检测————————vWAF98、支持多种盗链识别算法,能有效解决单—来源盗链、分布式盗链和网站数据恶意窃取等信息盗取行为,从而确保网站的资源只能通过本站才能访问——WAF。99、Profile type ips name Testsignature-set name Setos unix-like windows androld ios othortarget bothseverity low medium high informationprotocol allcategory allapplication allexception ips-signature-id 6116302 action block在 IPS 上存在如上的配置信息,则最终 ID 为 6116302 的签名,其执行动作为 block。100、以下关于 IPS 设备部署模式的描述,正确的是哪些项A.可以采用旁路模式部署,交换机通过端口镜像将流量镜像到 IPS 设备B.相比于直路部署,旁路部对网络结构变动较小C.IPS 旁挂在核心交换机上,那么此时部署模式一定是旁路部署D.旁路部署无法实现阻断攻击连接答案:ABD以下关于 IPS 旁路部署方式的描述,正确的是哪些项?A.缺省情况下,NIP 接囗都工作在旁路检测模式下,直接将一个接口连接到交换机即可B.这种部署方式只能通过交换机镜像方式监控链路C.这种部署方式主要用来记录各类攻击事件和网络应用流量情况,进而进行网络安全事件审核和用户行为分析D.这种部署方式下一般不进行防护响应, 如果有特殊需要可以配置全局工作模式配置为防护模式答案:ACD111、 断点续传:客户端软件断点续传指的是在下载或上传时,将下载或上传任务(一个文件或一个压缩包)人为的划分为几个部分,每一个部分采用一个线程进行上传或下载,如果碰到网络故障,可以从已经上传或下载的部分开始继续上传下载未完成的部分,而没有必要从头开始上传下载。用户可以节省时间,提高速度。( 断点续传的文件不需要进行文件过滤)112、IPS的处理流程有以下几个步骤:1)重组应用数据 2)匹配签名 3)报文处理 4)协议识别,处理流程的排序为1423(首先对报文进行 重组应用数据,最后处理报文)113、(连线题)禁止HTTP浏览网页行为——————http-control web-browse action deny禁止HTTP文件上传——————http-control file direction upload action deny禁止HTTP Post行为——————http-control post action deny114、WAF 支持通过 URL、IP作为检测 CC 攻击频率的判断依据。115、(填空题)在云网一体化场景中,AC-DCN 通过 NETCONF协议向 NGFW 下发创建的虚拟系统命令。116、基于邮件协议的过滤功能不包括以下哪—项A.RBL 远程查询B.附件数量控制C.附件大小控制D.邮箱地址检查答案:A117、为防止内网用户对外部服务器实施 Slow HTTP Post 攻击,部署以下哪种形式的 HTTP 行为控制技术最为合适:A.限制用户进行代理上网B.限制用户上传大文件C.限制用户浏览网页,对用户的 HTTP Get 请求进行检查D.限制用户的 Post 操作的内容大小,对用户的 HTTP Post 报文中的 Content-Length 字段进行检查答案:D118、在数据中心解决方案中,为实现南北向边界安全、SMAT、IPsec VPN 和 IPS 等功能,可部署以下哪一种 VAS 服务A.vLBB.VNIPC.VWAFD.VNGFW答案:D119、华为防火墙 不支持对 QQ 登录行为进行控制。120、使用双向 SSL 功能对 HTTPS 数据包进行解密检测时,反向代理级数的取值 不代表数据包可被解密的次数。121、华为 NIP6000 产品具有零设置网络参数和即插即用的功能, 是由于接口和接口对均只工作在 2 层,无需设置 IP 地址。122、下列那些选项对于 BGP 引流配置的描述是正确的?A.使用 BGP 发布 UNR 路由,实现动态引流B.收到 UNR 路由后,对端邻居不会发送给任何 BGP8 居C.还需要配置 friewall ddos bgp-next-hop fib-filter 命令,实现回注D.管理中心不需要配置防护对象,当发现攻击行为时,自动下发引流任务答案:AB123、FW 上配置了内容过滤功能,想硬阻断包含特定关键字的内容在安全区域间的传输。但是内网用户在使用时发现不包含关键字的内容也无法正常传输。则造成这种现象的原因可能是哪些?A.流量没有匹配正确的安全策略。B.内容过滤配置文件配置错误。C.流量被其他内容安全功能阻断。D.关键字组配置错误。答案:AB124、如果将安全防御与大数据技术结合起来,以下哪些说法是正确的? (多选)
A.在学习过程中,应该从采集样本开始,分析出其特性向里再进行机器学习。
B.机器学习仅仅是对大量的样本进行统计,方便安全管理员进行查看。
C.在检测过程中,针对未知样本需要将其特性进行提取计算出相应模型为后续进行静态比对提供样本。
D.安全源数据可以来自很多地方,包括数据流、报文、威胁事件、日志等。
答案: ACD
125、管理员配置了文件过滤禁止内部员工上传开发文件,但内部员工仍可以上传开发文件,以下哪个是不可能的原因?
A.未在安全策略中引用文件过滤配置文件
B.文件过滤配置文件有误
C.License 未激活。
D.文件扩展名不匹配的动作配置有误
答案:D
126、以下哪些技术可以实现内容安全?(多选)
A.Web 安全防护
B.全局环境感知
C.沙箱与大数据分析
D.入侵防御
答案: ABCD
127、alert 警告,不是根系统。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4553.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
打赏
微信支付宝扫一扫,打赏作者吧~
休息一下~~
官码2024000195号
萌ICP备20248119号
