华为安全 HCIP722笔记
1、USG6000V软件逻辑架构分为三个平面:管理、控制、数据转发。
USG6000的反病毒库的升级方式:本地升级、在线升级。
在线升级分为:定时升级、立即升级。
USG6000的主要攻击防范技术:首包丢弃、阻断和限流、过滤器、黑白名单。
限流技术可以防范DNS Flood。
以下关于反病毒特征库在线升级的描述,错误的是哪—项?
2、DNS Request Flood 攻击。源认证过程中防火墙会触发客户端以TCP报文发送DNS请求,用以验证源IP的合法性,但是在一定程度上会消耗DNS缓存服务器的TCP连接资源。
(填空题)DNS Request Flood攻击是 直接或间接向DNS缓存服务器发送大量不存在的域名解析请求,导致DNS缓存服务器不停向授权服务器发送解析请求,最终导致DNS缓存服务器超载,影响正常业务的攻击。
3、DDos攻击属于流量型攻击。
4、匹配方式:前缀匹配、后缀匹配、关键字匹配、精确匹配。
关键字的匹配模式:文本、正则表达式。
关键字的响应动作:告警、阻断、按权重操作。
在按权重操作中,如果权重值大于等于告警阈值,小于阻断阈值,则执行告警操作,且告警动作只执行一次。
关键字最短3个字节。
不同的匹配方式存在优先级顺序,由高至低为:精确匹配> 后缀匹配> 前缀匹配> 关键字匹配
5、UDP flood 的三种防御方式:指纹学习、关联防御、限流。
6、文件过滤技术:根据文件特征进行文件过滤,FW能够识别出承载文件的应用、文件传输方向、文件类型和文件扩展名。
错误的:如果文件的所有参数都能够匹配所有(应该改为一个)文件过滤规则,那么模块将执行此文件过滤规则的动作。
文件过滤的步骤:安全策略应用为permit、应用识别、协议解码、文件类型识别、文件过滤
承载文件的应用:文件是承载在应用协议上传输的,例如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。
文件传输方向:包括上传和下载。
文件过滤:若文件解压失败,不会再进行文件过滤。
文件类型识别结果有三种异常情况:
(1)文件扩展名不匹配:文件类型与文件扩展名不一致。
(2)文件类型无法识别:无法识别文件类型,且没有文件扩展名
(3)文件损坏:由于文件被破坏而无法进行文件类型识别。
(1)文件扩展名不匹配时动作:文件类型与文件扩展名不一致。如果动作为“允许”或“告警”,则按照文件类型进行文件过滤、内容过滤和反病毒检测。
(2)文件类型无法识别时动作:无法识别出文件类型,且没有文件扩展名。不进行文件过滤、内容过滤和反病毒检测。(无法识别时,就放弃了,不进行后续操作。)
(3)文件损坏时动作:文件损坏时无法进行文件过滤、内容过滤和反病毒检测。此时可根据业务需求对文件进行放行或阻断。
(4)最大解压层数:NGFW支持对压缩文件解压后的内容进行过滤,解压层数小于等于所配置的“最大解压层数”。 超出最大解压层数时动作:当文件的压缩层数大于所配置的“最大解压层 数”时,NGFW需要执行的动作。
7、文件过滤的处理流程:
(1)安全策略应用为permit
(2)应用识别
(3)协议解码
(4)文件类型识别
(5)文件过滤
8、USG6000文件过滤技术:不会对文件进行宣告。
USG6000支持对以下协议进行病毒扫描和处理。
宣告和删除附件动作仅对SMTP协议和POP3协议生效。
9、流扫描与代理扫描
代理扫描方式:将所有经过防火墙的需要进行病毒检测的数据报文透明的转交给防火墙自身的协议栈,通过防火墙自身的协议栈将文件全部缓存下来后,再送入病毒检测引擎进行病毒检测。
流扫描方式:依赖于状态检测技术以及协议解析技术,提取文件的特征与本地签名库进行匹配。
基于代理的反病毒网关可以进行更多如解压,脱壳等高级操作,检测率高,但是由于进行了文件全缓存,其性能、系统开销将会比较大。
基于流扫描的反病毒网关性能高,开销小,但该方式检测率有限,检测率低于代理扫描。
10、应答码:(通常是一个IP地址,可以是一个保留IP段的地址,没有统一规定)
FW根据应答码判断来自该SMTP Server的邮件是否为垃圾邮件。
如果从RBL服务器获得的应答码与FW上配置的应答码一致,该SMTP邮件将被视为垃圾邮件。
如果从RBL服务器获得的应答码与FW上配置的应答码不一致,该SMTP邮件将被放行。
RBL:实时黑名单列表(Realtime Blackhole List),即实时黑名单技术,简称RBL。
11、IPS可以旁路或者直路部署。(不能检测垃圾邮件)
旁路部署方式:
SPAN:也叫做端口镜像或者端口监控,是通过交换机配置将某个端口或某组端口的流量复制到另外的端口实现的。
Tap:接在交换机与路由器中间,旁路安装,拷贝一份数据到IPS中;
直路部署方式:
Inline:接在交换机与路由器中间,在线安装,在线阻断攻击。
12、异常流量清洗方案系统主要包括三个组成部分:管理中心ATIC、检测中心、清洗中心
检测中心(配置端口镜像)
对镜像或者分光过来的流量进行DDoS攻击流量的检测和分析,将分析数据提供给管理中心进行判断。
管理中心:设备管理、策略管理、报表呈现。(在管理中心上添加防护对象)
由服务器系统组成,也称之为ATIC管理系统。主要完成对攻击事件的处理、控制清洗中心的引流策略和清洗策略,并对各种攻击事件和攻击流量分类查看,产生报表。
管理中心设备分为两个组件:
数据采集器:一台清洗设备对应一台数据采集器,数据采集器负责异常流量清洗业务数据采集、解析、汇总、入库并负责将汇总后的流量上报管理服务器用以报表呈现;
管理服务器:负责异常流量清洗方案设备集中管理配置及业务报表呈现。
支持分布式部署集中管理:数据采集器和管理服务器支持分布式部署和集中式部署两种部署模式;分布式部署模式下具备很好的可扩展性,管理服务器可同时管理50台DDoS防御设备。
清洗中心(配置引流和回注)
由执行清洗任务的硬件系统组成,主要是根据安全管理中心的控制策略进行攻击流量牵引并清洗,把清洗后的正常流量注回到客户网络,发送到真正的目的地。
单 CPU 的 Anti-DDos 盒式设备,可以部分接口工作在检测模式,部分接口工作在清洗模式。
引流方式有两种:
策略路由静态引流:核心设备上通过配置静态路由或者策略路由方式将流量引到清洗设备上;
BGP动态引流:通过BGP实现动态引流。清洗中心通过与核心设备建立BGP邻居,通告一条到目的地址的主机路由,将流量“骗”过来,清洗后再回注回去。这条主机路由是管理中心动态下发的一条静态路由,并且已经引入了BGP。
回注方式:
策略路由回注:通过策略路由将清洗后流量回注;
路由回注:通过默认路由或者动态路由方式回注;
VPN回注:通过GRE VPN或者MPLS VPN方式回注;
二层回注:如果上下行在一个网段,通过子接口或Vlanif接口方式回注。
使用BGP引流,推荐使用策略路由回注、GRE VPN、MPLS VPN方式回注。
逐流检测过程排序:对于 AntiDDos 进行逐流检测的过程排序
1)Netflow 分析设备对现网流量进行采样。
2)向清洗中心发送引流命令。
3)发现 DDos 攻击流量。
4)Netflow 分析设备发送告警给 ATIC 管理中心。
5)异常流量被引流到清洗中心进一步检查和清洗。
6)清洗中心发送受攻击对象 IP 地址服务器的主机路由给路由器,实现引流。
13、当文件的压缩层数大于所配置的“最大解压层数”时,防火墙无法过滤该文件。
病毒检测系统可以直接检测压缩过的文件。
14、DDos攻击防范配置流程:流量统计、流量超过阈值、启动攻击防范、执行防范动作。
15、基于网络的入侵检测系统(NIDS)有如下特点:
监测速度快:能在微秒或秒级发现问题,基于主机的IDS要依靠对最近几分钟内的审计记录的分析;
隐蔽性好:基于网络的监视器不运行其他的应用程序,不提供网络服务,可以不响应其他计算机,因此不易受到攻击;
视野更宽、较少的监测器、攻击者不易转移证据、操作系统无关性。
入侵检测只能检测到源地址和目的地址,不能识别地址是否违造,所以难以定位真正的入侵者。
基于网络的入侵检测系统主要用于实时监控网络关键路径的信息,侦听网络上的所有分组,采集数据,分析可疑对象;
使用原始网络包作为数据源;
通过网络适配器来实时监视,并分析通过网络的所有通信业务,也可能采用其他特殊硬件获得原始网络包;
16、云沙箱远程检测服务过程:
上报可疑文件、云端沙箱进行检测、防火墙联动防御、回溯攻击事件。
沙箱不能代替IPS等设备。
沙箱可以对:WWW文件、PE文件和图片文件进行检测。
沙箱可以检测:加壳文件、压缩文件、WEB网页、办公文档、图片文件。
17、签名集是预定义签名的集合。签名集的动作优先级高于签名默认动作。
覆盖签名(应该也叫例外签名)优先级高于签名集。例外签名的动作优先级高于签名过滤器的。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。
例外(覆盖)签名>签名集>签名。
签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。
入侵防御签名分为预定义和自定义签名。
签名属性:ID/协议/方向。
签名过滤器:签名满足所有过滤条件,才能加入签名过滤器。签名过滤器的过滤条件包括:签名的类别、对象、协议、严重性、操作系统等。
由于设备升级签名库后会存在大量签名,而这些签名是没有进行分类的,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作:阻断、告警、签名的缺省动作。
例外签名的动作:阻断、告警、放行、添加黑名单。
签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时,以签名过滤器中的动作为准。
入侵防御文件只能包含一个签名过滤器和多个例外签名。
18、入侵防御系统构成:事件提取、入侵分析、入侵响应、远程管理。
19、SQL注入攻击的步骤:
判断网页是否存在漏洞、判断数据库类型、获取数据库中的数据、提权。
SQL注入会携带在HTTP post和HTTP get报文中。
20、特殊报文攻击不具备直接破坏性
21、APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
APT攻击利用的是0day漏洞。零日漏洞,是指还没有补丁的安全漏洞。
攻击者向感染主机发送 C&C 攻击或其它远程指令,使攻击在内网横向扩散。
APT攻击的四个阶段:1.搜集信息&入侵、4.远程控制与渗透、2.长期潜伏&挖掘、3.数据泄露。
IPS设备不能直接检测到APT类型的攻击。
22、URL过滤配置文件,若网站属于两个类别的网站,有一个类别为阻断,则用户无法访问。
23、华为 WAF 产品主要由执行前端、后端中心系统及数据库组成。其中数据库主要存储前端的检测规则及黑白名单等配置文件。
白名单优先级高于黑名单。
WAF防篡改步骤:
WAF防篡改基于缓存模块,1、首先启动学习模式对用户访问网站的页面内容进行学习,2、学习完成后将页面内容存储在缓存中,3、当服务器页面发生篡改并有用户访问该页面时,4、WAF首先会获取服务器的页面内容,并和缓存中的页面内容进行水印比对,5、当发现页面篡改时WAF则使用缓存中的页面返回给客户端,达到视觉防篡改。
24、误用检测与异常检测:
异常检测模型:首先总结系统主体的(单个用户、一组用户、主机、系统中的某个关键的程序和文件等)正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为时入侵。
误用检测(特征检测)模型:收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为时入侵。
异常检测可发现未知的攻击方法,体现了强健的保护机制,但对于给定的度量集能否完备到表示所有的异常行为仍需要深入研究
异常检测与误用检测的优缺点对比:
25、NIP6000在出厂配置启动后,默认接口是二层接口且自动成对,无需设置IP地址。
26、未授权的访问会对信息安全会造成完整性和机密性。
信息安全是对信息和信息系统进行保护,防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。
27、
网络攻击分类(两大类):
流量型攻击:网络层攻击、应用层攻击。
单包攻击:畸形报文攻击、特殊报文攻击、扫描窥探攻击。
特殊报文攻击:ICMP/Tracert/带时间的ip。(ICMP/UDP/IP)
特殊报文攻击,是指攻击者利用一些合法的报文对网络进行侦察或者数据检测,这些报文都是合法的应用类型,只是正常网络很少用到。特殊控制报文攻击也是一种潜在的攻击行为,不具备直接的破坏行为,攻击者通过发送特殊控制报文探测网络结构,为后续发动真正的攻击做准备。
畸形报文攻击:Ping of Death,IP分片报文攻击,Land攻击属于单包攻击。
IP Fragment攻击,分片攻击
DF(不支持分片)=1,而MF(最后一个分片)=1或者 Fragment Offset(分片偏移量)不为0.(110)
DF=0,Fragment Offset+length>65535 (DF=0表示可以分片,length分片长度。)(0>)
扫描窥探攻击:地址扫描和端口扫描攻击。
扫描类攻击:是一种潜在的攻击行为,并不具备直接的破坏行为,通常是攻击者发动真正攻击前的网络探测行为。分为地址扫描和端口扫描。扫描类攻击的源地址是真实的,因此可以采用直接加入黑名单的方法进行防御。扫描类攻击的扫描速度决定了攻击防范的有效性。蠕虫病毒爆发的时候,伴随着一般就是地址扫描攻击。
流量型攻击:流量型攻击最通常的形式是Flood方式,这种攻击把大量看似合法的TCP、UDP、ICMP包发送至目标主机。DNS,HTTP,FIN/RST.
ICMP flood攻击
Fraggle和Smurf都会产生大量无用的应答报文,占用网络带宽,消耗设备资源。
28、Web攻击的来源:(三个方面的攻击:客户端、服务器、通信通道)
客户端:网站木马、钓鱼欺骗、活动内容攻击
服务器:Web服务器的漏洞,授权、认证攻击、跨站脚本攻击、SQL注入
通信通道:Dos、CC攻击、窃听、SSL重定向。
Web基于客户端(Client)/服务器架构(Server)架构来实现。
29、云时代的事前、事中、事后。
事前:白帽众测、漏洞情报。
事中:纵深防御、攻防态势
事后:反击黑客
30、NIP组网的可靠性保障:双机热备、Link-group。
31、bypass:就是可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统,而直接物理上导通,所以有了Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
32、应用行为控制配置文件引用后即时生效,无需配置提交。p86
WEB信誉配置无需提交。
对 IPS 策略的修改不会立即生效,需要提交编译来更新 IPS 策略的配置
内容安全过滤需要提交。防火墙要提交。安全配置文件后,配置内容不会立即生效:需要单击界面右上角的“提交”来激活。
应用行为控制管控的行为是:HTTP、FTP、IM(及时通讯)
FTP过滤策略可以执行阻断和告警。
HTTP行为控制支持:允许、禁止、告警。
禁止HTTP访问某些页面:检测 HTTP connect.
33、内容过滤技术:文件内容过滤、应用内容过滤、邮件过滤技术、应用行为控制。
内容过滤技术可以对:关键字进行过滤。
基于IP的邮件过滤技术:本地黑名单、RBL 远程查询、本地白名单。
34、IAE是华为为了NGFW产品而全新研发的全新一代的高性能内容安全引擎。其全称为Intelligent Awareness Engine,中文直译可以成为智能感知引擎。主要功能包括主要包括:应用识别和感知、入侵防御、Web 应用安全、URL 分类和过滤、DLP 相关识别、文件安全、反病毒等。IAE的核心是将所有内容安全相关的检测功能,有机集中到一起。IAE引擎的安全检测是并行的,采用了基于流的文件处理机制,能够接收文件片段并执行安全检测。
内容安全核心技术在于异常检测,防御理念在于持续监控和分析。
内容安全过滤技术的实现需要内容安全组合License 的支持
邮件过滤:邮件过滤功能受 License 控制。
实现内容安全的技术:Web安全、应用安全、入侵防御、邮件安全、数据安全、网络安全、反病毒、安全环境感知(应用、时间、用户、攻击、位置)、沙箱与大数据分析。
35、URPF技术:单播逆向路径转发的简称,其主要功能是防止基于源地址欺骗的网络攻击行为。
两种模式:严格模式、松散模式。
严格模式(strict):建议在路由对称的环境下使用URPF严格模式,即:不仅要求在转发表中存在相应表项,还要求接口一定匹配才能通过URPF检查。如果两个网络边界路由器(此处为USG)之间只有一条路径的话,这时,路由能够保证是对称的,使用严格模式能够最大限度的保证网络的安全性。
松散模式:在不能保证路由对称的环境下使用URPF的松散模式,即:不检查接口是否匹配,只要存在针对源地址的路由,报文就可以通过。
对于loose型检查(松散型检查):
(1)当报文的源地址在USG的FIB表中存在(不管反向查找的出接口和报文的入接口是否一致),报文就通过检查;否则报文将被拒绝。
(2)如果报文的源地址在USG的FIB表中不存在,则检查缺省路由及URPF的allow default-route参数。对于配置了缺省路由,但没有配置参数allow-default-route的情况。只要报文的源地址在USG的FIB表中不存在,该报文都将被丢弃。(只配置一个就丢弃)
(3)对于配置了缺省路由,同时又配置了参数allow-default-route的情况。如果是strict检查,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查,进行正常的转发。如果缺省路由的出接口和报文的入接口不一致,则报文将拒绝,如果配置了ACL,再判断丢弃还是转发。如果是loose型检查,报文都将通过URPF的检查,进行正常的转发。(两个都配置了就转发)
36、TCP/IP协议栈的网络层攻击:IP地址欺骗、地址扫描。
传输层:端口扫描。
网络层:IP、地址
37、URL地址结构
主机名/端口protocol/路径/查询
hostname/protocol/path/query(?后面是query?)
(填空题)
URL:www.example.com/sport/cn/index.php?lang=zh,其中lang=zh属于URL中query。
38、 RootKit技术:是一种躲避方式,RootKit本身并没有任何危害。RootKit通过加载特殊的
驱动,修改系统的内核,达到隐藏自身及制定文件的作用。
使用rootkit技术的病毒,通常都会有一个.sys文件加载在系统的驱动中,用以实现rootkit技术的隐藏功能。
39:分析是入侵检测的核心功能,入侵检测的分析处理过程可分为三个阶段:构建分析器,对实际现场数据进行分析,反馈和提炼过程。其中,前两个阶段都包含三个功能:数据处理、数据分类(数据可分为入侵指示、非入侵指示或不确定)和后处理。
入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术,特定行为模式属于入侵检测知识库的内容。
40、蠕虫、病毒、木马
蠕虫是独立个体存在,通过系统漏洞进行传染,蠕虫是一个能传染自身拷贝到另一台计算机上的程序。蠕虫通过系统存在的漏洞感染。蠕虫的传染目标是网络上的其他计算机系统。
病毒需要寄生,通过宿主程序运行。
计算机病毒有潜伏性,它可能会长时间潜伏,遇到一定条件才开始进行破坏活动。
木马触发机制是通过程序本身,不自我复制。
常见病毒行为特征(特性):下载与后门特性、信息收集特性、自身隐藏特性、文件感染特性、网络攻击特性。
41、入侵防御设备主要功能(攻击防护):
攻击前期:网络扫描、漏洞扫描。
攻击中期:虚拟补丁、Web应用防护、Dos防御、基于行为检测发现暴力破解。
攻击后期:种植恶意软件、操控被攻击设备。
入侵防御:入侵防御是一种安全机制,通过分析网络流量,检测入侵,并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。入侵防御是种既能发现又能阻止入侵行为地新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而从根本上避免攻击。
入侵防御:入侵防御通过比较流量内容与入侵防御特征库来实现攻击检测,有效防御来自应用层的攻击,例如缓冲区溢出攻击、木马、后门攻击、蠕虫等。
42、不会对网络造成安全威胁的是:打开公司机密文件。
43、防火墙反病毒引擎典型技术:
防火墙引擎通过各种不同的检测技术检测出病毒:首包检测技术、启发式检测技术、文件信誉检测技术。
启发式检测技术:Web启发式检测引擎、PDF启发式检测引擎、PE启发式检测引擎和虚拟执行环境(也称为重量级沙箱)
PE启发式沙箱:可以分析文件静态行为数据,如文件大小、加壳信息、运行依赖的 DLL 和 API 函数信息等。(没有版本信息)
文件信誉检测技术:文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行简检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。
配置文件信誉老化时间,默认为30天、配置范围为1-180天。
44、邮件病毒检测的相关操作:
当检测到邮件中存在病毒时,以下哪种不是检测的相应动作? 阻断
45、华为 USG6000 产品反病毒策略配置中,HTTP 协议的响应方式有哪些? 告警、阻断并推送页面。
反病毒策略的正确配置思路:申请并激活license、加载特征库、配置AV Profile 、配置安全策略、提交。
46、IMAP与POP3主要区别在于:使用POP3,客户端软件会将所有未阅读邮件下载到计算机,并且邮件服务器会删除该邮件。使用IMAP,用户直接对服务器上的邮件进行操作,不需要把所有邮件下载到本地再进行各项操作。POP3下载附件。
47、典型的入侵行为:破解系统密码、篡改WEB网页、复制/查看敏感数据、使用网络嗅探工具获取用户密码。
48、在华为 USG6000 产品中,创建或修改安全配置文件后,配置内容不会立即生效:需要单击界面右上角的“提交”来激活。(防火墙需要提交)
49、HTTP Flood 攻击原理:通过代理服务器或者僵尸主机向目标服务器发起大量的HTTP报文,请求涉及数据库操作的URI或其他消耗系统资源的URI,造成服务器资源耗尽,无法响应正常请求。
对于HTTP Flood 和 HTTPS Flood 吹击防御原理的描述,下列哪些选项是正确的? (多选)
A.HTTPS Flood 防御模式有基本模式、增强模式和 302 重定向。
B.HTTPS Flood 防御可以通过限制报文的请求速率进行源认证。
C.HTTPS Flood 攻击原理是通过请求涉及数据库操作的 URI 或其它消耗系统资源的 URI ,造成服务器资源耗尽,无法响应正常请求。
D.HTTPS Flood 攻击原理是向目标服务器发起大量的 HTTPS 连接,造成服务器资源耗尽,无法响应常的请求。
答案: BCD
HTTP flood攻击的防御手段::HTTP Flood源认证、HTTP源统计、URI监测、URI源指纹学习功能
源认证三种方式:基本模式(meta刷新)、增强模式(验证码认证)、302重定向模式。
HTTP flood 防御可以通过限制报文的请求速率进行源认证。
基本模式:该模式可有效阻止来自非浏览器客户端的访问,如果僵尸工具没有实现完整的HTTP协议栈,不支持自动重定向,无法通过认证。而浏览器支持自动重定向,可以通过认证。该模式不会影响用户体验,但防御效果低于增强模式。
HTTP flood 源认证的增强模式:有些僵尸工具实现了重定向功能,或者攻击过程中使用的免费代理支持重定向功能,导致基本模式的防御失效,通过推送验证码的方式可以避免此类防御失效。
50、云平台安全解决方案包含:基础设施,租户服务、运维管理的安全。
云平台面临的安全挑战:外部入侵、内部风险、租户的安全服务要求、管理安全。
SDN解决方案可以防护同一个VPC内同一个网段之间的东西向互访流量。
USG6000v不可以实现同一个VPC内互访的东西向流量的安全检查。
51、反垃圾邮件本地黑白名单是通过IP匹配来实现的,与DNS无关。
邮件过滤配置:可以对附件的大小和个数进行配置、邮箱地址。P84
不支持设置使用POP3协议传输邮件中的附件
52、华为 NIP 入侵防御设备支持下列哪些功能特性? A.虚拟补丁、C.SSL 流量检测、D.应用识别和控制。
53、Anti-DDos防御系统:
七层防御可以从基于接口的防御、基于全局的防御和基于防护对象的防御维度来工作的。
54、大数据智能安全分析平台
数据处理:数据预处理、分布式存储、分布式索引。
大数据特性:数据量巨大、数据种类繁多、价值密度低。
55、fraggle攻击是UDP攻击。land攻击是TCP。(FU、IT)
56、内容安全过滤技术的实现需要内容安全组合License 的支持。
反病毒功能需要License支持,在进行反病毒功能配置前,需要申请并激活反病毒特性的license。
57、反向代理模式是指WAF在旁路模式部署可实现防护功能,部署时只需将网站的域名或抢占服务器IP方式,访问时先访问到WAF,WAF检测后再将流量转发给服务器。
58、入侵检测系统的特点:无法检测来自内部人员地恶意操作或者误操作。
59、存储型XSS地攻击步骤:
③用户登录
②攻击者提交包含已知 JavaScript 的问题
④用户请求攻击者的问题
⑤服务器对攻击者的 JavaScript 做出响应
⑦攻击者的 JavaScript 在用户的浏览器中执行
⑥用户的浏览器向攻击者发送会话令牌
①攻击者劫持用户会话
60、安全中心平台网址:sec.huawei.com
61、IPS支持阻断、告警、放行三种响应方式。
IPS,IPS会实时阻断入侵行为,是一种侧重于风险控制的安全机制。(保护--控制)
IDS,主要作用是监控网络状况,发现入侵行为并记录事件,但是不会对入侵行为采取动作,是一种侧重于风险管理的安全机制。
62、HTTP行为控制项:POST操作、浏览网页、代理上网、文件上传/下载。
63、查看AV引擎以及病毒库版本的命令行:display version av-sdo
64、PDRR模型:Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。
65、profile:简介。application:应用。
66、HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、
67、(填空题)
为防范Slow-Post类型的CC攻击,WAF会检测HTTP头部种的Content-Type字段是否异常。
Http slow post 属于流量型Dos攻击。
68、(填空题)若想调用IPS配置文件,在IPS的安全策略中应将策略的动作设置为permit。
69、ICMP Flood攻击:让目标服务器CPU一直繁忙从而实现瘫痪目标服务器。
70、Anti-DDoS方案按检测方式分:逐包检测和Netflow检测2种,清洗方案相同。
逐包检测:
NETflow(精确)检测:
73、cookie
可以通过cookie携带服务器给终端用户分配的Session值。
74、WAF的应用层访问控制功能:
应用层访问控制优于规则检查
在应用层访问控制中被匹配中的内容,且行为为检测的才会执行规则检查。
WAF基于7层防护技术,又叫做纵深安全防御。
WAF的部署方式:透明代理、反向代理、网关模式。
透明代理模式是指WAF使用直连部署模式时,无需对现有环境进行改动即可实现部署。
反向代理模式是指WAF在旁路模式部署可实现防护功能,部署时只需将网站的域名或抢占服务器IP方式,访问时先访问到WAF,WAF检测后再将流量转发给服务器。
网关模式是指WAF可实现对多台服务器流量负载均衡,部署时需要将服务器网关映射到WAF。
75、SMURF攻击:由于路由器等三层设备本身就不会转发目的地址是广播地址的报文,因此SMURF攻击在网络上很难形成攻击。在防火墙上,检查SMURF攻击要求被攻击网络与防火墙必须是直接相连的。所以,攻击者和被攻击者不在一个二层网络中,不能实施SMURF攻击。
76、(连线题)
检测未知威胁——————————————————————沙箱
联动Hisec Insight进行未知协议阻断————————————NGFW
采集流量,生成流量日志,用于发现异常流量————————流探针
77、错误选项:POP3的非法邮件,防火墙的响应动作仅支持发送告警信息,不会阻断邮件。
SMTP、POP3、IMAP邮件协议没有阻断。
78、(连线题)
命令注入——GET/show.asp?id=1306|cat/etc/passwd HTTP/1.1
目录遍历——GET/index.html/../../../../../etc/passwd HTTP/1.0
SQL注入——GET/'+union+(select+@@version)+-2 HTTP/1.0
跨站脚本攻击——GET/yearca1.php?ycyear=HTTP/1.0
79、(连线题)
CC——————————攻击中期
NMAP扫描——————攻击前期
种植恶意软件——————攻击后期
80、防火墙入侵功能,不用检查License是否支持入侵防御特征库升级、是否支持入侵防御功能。
81、(填空题)
IPS设备使用二层直路部署(串行)模式安装在网络中,连接路由器的接口下应配置命令:detect---mode inline
82、NIP6330:设备采用一体化机箱的结构设计,由固定接口板、电源模块、内置风扇模块组成,并且支持选配硬盘、双电源和多种扩展卡来提升系统可靠性和接口的扩展能力。
83、firehunter
firehunter采用多层次化地恶意文件行为检测机制,及时发现潜在攻击。
firehunter通过智能行为分析,来对威胁判断定性。
84、在云网一体化场景下,设计安全防护时需要考虑哪些网络平面:逻辑网络、物理网络、应用网络、业务呈现网络。
85、(连线题)
对用户的HTTP行为、FTP行为和IM行为进行精确的控制————————————应用行为控制
根据文件类型对文件进行过滤——————————————————————————文件过滤
使用IP地址检查和邮件内容检查过滤技术,帮助局域网用户提高邮件系统的安全性。——邮件过滤
86、NFV:NFA2000V,AntiDDoS网关。
87、NGFW 支持的文件过滤承载应用包括以下哪些选项:FTP、HTTP、NFS、SMTP。
88、(填空题)
为防止泄露Web服务器版本,WAF可以删除http response中的Server头部。
89、b.*d
.:匹配任意非换行字符。
*:匹配前面的字符或者表达式零次或多次。
bad、abroad
90、HTTP 状态码
A.在学习过程中,应该从采集样本开始,分析出其特性向里再进行机器学习。
B.机器学习仅仅是对大量的样本进行统计,方便安全管理员进行查看。
C.在检测过程中,针对未知样本需要将其特性进行提取计算出相应模型为后续进行静态比对提供样本。
D.安全源数据可以来自很多地方,包括数据流、报文、威胁事件、日志等。
答案: ACD
125、管理员配置了文件过滤禁止内部员工上传开发文件,但内部员工仍可以上传开发文件,以下哪个是不可能的原因?
A.未在安全策略中引用文件过滤配置文件
B.文件过滤配置文件有误
C.License 未激活。
D.文件扩展名不匹配的动作配置有误
答案:D
126、以下哪些技术可以实现内容安全?(多选)
A.Web 安全防护
B.全局环境感知
C.沙箱与大数据分析
D.入侵防御
答案: ABCD
127、alert 警告,不是根系统。