👉文档
面试总结
★终端安全防护
★VPN技术
★上网行为管理
★下一代防火墙
★操作系统基础
★数通技术高级
★数通技术基础
下一代防火墙配置
操作系统基础实验
数通高级实验
数通高级命令操作
数通基础实验
数通基础命令操作
3 终端安全检测和防御技术
type
status
date
slug
summary
tags
category
icon
password
1)服务和应用有何区别?基于二者的访问控制有何区别?
服务指基于网络协议提供的功能(如HTTP、FTP),应用是使用这些服务的具体软件或程序(如浏览器、邮件客户端)。
基于服务的控制策略匹配数据包的五元组,并且如果匹配,就会立即进行拦截动作 基于应用的控制策略匹配数据包的特征,需要一定量的数据包通过才能判断应用类型,然后进行拦截
- 服务:通过网络协议(如HTTP、FTP)来识别和控制,通常按端口工作。
- 应用:是在这些服务之上的具体软件,按流量特征识别和控制。
2)应用控制策略不生效可能的原因有哪些,如何排查?
应用控制策略不生效的可能原因:
- 策略匹配顺序错误
- 策略冲突
- 对象配置错误(IP、端口等)
- 策略过期或失效
- 长连接未配置
排查方法:
- 策略匹配顺序错误:检查策略的优先级,确保重要策略排在前面。
- 策略冲突:使用冲突检测工具,查找并解决冲突的策略。
- 对象配置错误:核对源地址、目的地址、端口等配置是否准确。
- 策略过期或失效:检查策略的有效期和状态,确保策略未过期且配置正确。
- 长连接未配置:确认是否需要配置长连接,防止会话超时。
3)AF病毒扫描的方式有哪些,深信服的AF中采用的是哪种方式?
代理扫描方式:通过缓存整个文件后再进行病毒检测。
流扫描方式:依赖状态检测和协议解析技术,实时提取文件特征并与本地签名库匹配。
深信服的AF中采用的是代理扫描方式
代理扫描方式:将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈,通过网关自身的协议栈将文件全部缓存下来后,再送入病毒检测引擎进行病毒检测。
流扫描方式:依赖于状态检测技术以及协议解析技术,简单的提取文件的特征与本地签名库进行匹配。
4)什么是僵尸网络,AF如何检测及防御僵尸网络?
僵尸网络是指攻击者利用自己编写的分布式拒绝服务攻击程序,控制数万个感染的主机向目标网络发送大量的垃圾数据包,占用目标带宽,消耗资源,使目标服务器或网络瘫痪,进而实现拒绝服务攻击。
AF检测及防御僵尸网络的方式:
- 异常流量检测:分析网络和应用层的异常流量,识别僵尸网络活动。
- 外发流量分析:检测可疑的外发流量,如DDoS攻击、SYN flood等异常行为。
- DGA域名检测:通过模拟DGA算法识别未知的僵尸网络。
- 外联行为监控:监控设备的异常外部连接,防止僵尸网络通信。
- 多层防御:结合本地和云端威胁情报,提供动态更新的防御措施。
5)出现了僵尸网络误判,如何处理?
僵尸网络误判处理方法:
- 排除指定IP:排除被误判的指定IP,防止继续拦截。
- 规则禁用:禁用导致误判的规则,避免后续拦截。
- 添加例外:在日志中添加例外,防止同类误判再次发生。
具体:
- 发现某个终端的流量被AF僵尸网络规则误判,可以在僵尸网络功能模块下的排除指定IP,那么此IP将不受僵尸网络策略的拦截。
- 发现某个规则引起的误判拦截所有内网终端流量,可以在【安全防护规则库】-【僵尸网络与病毒防护库】找到指定规则禁用后,所有僵尸网络策略都不会对此规则做任何拦截动作。
- 也可以在内置数据中心中,查询僵尸网络日志后使用“添加例外”排除。
上一篇
2 下一代防火墙组网方案
下一篇
4 服务器安全检测和防御技术
Loading...
