大家好，又见面了，我是你们的朋友全栈君。

深信服SCSA认证

1、信息风险主要是指：信息存储安全、信息传输安全、信息访问安全

2、DNS服务器中的A记录表示主机记录

3、客户现在想要上架一台SSL VPN，又不想改变现有网络，可以使用单臂模式部署

4、上网审计策略：可以审计用户发帖内容；可以审计用户上网产生的流量；可以审计用户上网时长

5、为了加强用户名、密码认证的安全性，可启用的密码安全策略包含：软键盘，字母随机变化；软键盘，数字随机变化；图形校验码；

6、【IPSec】用户现在有总部和分支两内网环境需要做标准的IPSec VPN对接，ESP+隧道模式方式可以实现

7、AC网桥部署，客户需求针对HTTP下载文件进行流量限制，但不影响访问网站。可以简历流量限制通道，通道适用应用选择所有“文件类型”

8、客户需求用户support 上班时间拒绝p2p和迅雷等多线程下载，玩游戏，炒股，qq和拒绝访问不良网站，下班时间全放行。在AC/SG设备上进行配置 上网权限策略。

9、上门测试前，需要检查设备当前规则库是否最新，如果应用识别规则库不是最新。端口映射不受应用识别规则影响。

10、网卡混杂模式：接受所有本机网卡的数据包，包括目的MAC不是本机网卡的

11、数字证书是互联网中的唯一身份标识。

12、终端管理：Android平台支持识别具体终端型号；iOS不区分具体的型号版本；软件特征检测不支持webQQ等，只支持客户端

13、【AC】设备单网桥部署在网络出口路由器和核心交换机之间，现在发现设备中的规则库无法更新，配错方法：1、可能是设备的规则库序列号已经过期，需要检查“系统管理”“系统配置”“系统更新”“规则库升级”中的规则库序列号 2、可能是前置防火墙或者路由器对AC的地址做了限制，需要去前置设备上检查策略配置，并放通AC访问公网 3、可能是设备无法上网，可以在“系统管理”“系统诊断”“命令控制台”上ping公网地址测试设备是否联通

14、【SSL】一个角色可以对应多个用户；一个角色可以对应多个资源；一个用户可以对应多个角色

15、关于深信服NGAF透明接口和虚拟网线接口区别：虚拟网线接口的转发性能高于透明接口；路由接口支持路由转发，虚拟网线接口不支持；透明接口和虚拟网线接口都属于交换接口

16、【AC】pc和pc防共享检测场景：一台pc通过代理软件代理另一台pc共享上网；pc通过360共享wifi网络上网；多台pc通过前端路由器SNAT共享上网。

17、【AC】关于恢复设备默认密码：可以通过交叉线恢复密码；确保电脑和设备可以通信，电脑访问地址https://acip/php/rp.php；交叉线连接任意两个非bypass电口，通常使用eth0和eth1 **不可以通过u盘回复密码**

18、NGAF的IPS策略配置与安全防护对象规则：IPS策略检测攻击操作设置为拒绝，规则设置为“启用，检测后拦截”，则配置到该规则的行为会被拦截。

19、【AC】ac11.9R1通过server name字段识别https网站的url

20、TCP UDP IP协议的数据可以受到IPSec的保护。

21、dos攻击不包括arp攻击，包括smurf攻击 dns-flooding udp-flooding攻击

22、NGAF旁路部署时支持僵尸网络、web应用防护、实时漏洞分析

23、标准IPSec VPN使用的协议端口号是：AH  51; ESP 50

24、AC流控管理系统能对重要的应用进行贷款保障；能基于用户和应用做不同的流量策略

25、SANGFOR VPN应用在TCP/IP的传输层

26、客户公司上班时间想保障办公业务的访问，上班时间对下载等应用访问带宽要限制，流控功能可以满足客户需求。

27、设备正确登录方式：交叉线接NGAF eth0口，通过https://10.251.251.251使用账号admin 密码admin登录

28、外部认证方式AC支持LDAP服务器 RADIUS服务器 POP3服务器，不支持微信认证。

29、NGAF的url过滤功能是通过检查HTTP头部的HOST字段

30、【AC】从一个客户那边拿回来的设备，不知道客户之前配置的设备IP，可以：恢复设备默认配置，用默认IP登录；通过客户了解之前设备接口配置的地址；pc连接设备网口，用升级客户端搜索设备地址。

31、NGAF的多线路负载支持：轮询；优先使用前面的线路；加权最小流量。不支持随机HASH

32、客户购买了深信服的SSL VPN设备，客户业务多是基于UDP、ICMP、以及C\S架构的应用，那么建议客户配置L3VPN应用。

33、某用户总部和分支均通过ADSL拨号上网，用户要分支和总部建立SNAGFOR VPN连接以实现两端内网互访，SANGFOR VPN 可以实现客户的需求，通过WEBAGENT动态寻址实现

34、IPSec VPN中用于提供数据流加密的协议是ESP

35、配置NGAF聚合接口时，镜像接口不支持聚合

36、SMTP不是web应用协议支持协议类型

37、关于SANGFOR PDLAN的说法：PDLAN是SANGFOR VPN的Windows客户端软、PDLAN接入，总部必须配置虚拟IP池、总部新建账号时类型必须设置为移动， 错误的是：PDLAN接入后还需要配置隧道路由才能访问总部内网网段。

38、【ac】已知域名解析正常，那么telnet  www.taobao.com 443不通，可以肯定网站无法访问。

39、【NGAF】在NGAF中，关于子接口说法：子接口只能路由部署

40、端口映射即DNAT，用来设置对数据包目标IP地址进行转换的规则。

41、跨三层环境下，因为 经过三层设备后，源MAC地址改变了，所以AC需要启用跨三层取MAC功能。

42、【NGAF】关于僵尸网络：可以用来做DDOS攻击、僵尸网络可以进行路由表投毒、检测原理一般分为：行为特征检测、bot行为仿真以监控和流量数据特征匹配

43、AC设备想用来上网审计和行为管控，同时不希望对网络造成太多改动可以通过透明模式部署。

44、数据完整性指：防止非法实体对用户的主动攻击，保证数据接收方收到的信息与发送方发送的信息完全一致

45、关于标准IPSEC VPN的相关说法：建立两个阶段，阶段1有两种工作模式：主模式和野蛮模式、有两种不同的协议：AH和ESP；有两种工作模式：传输模式和隧道模式；

46、RIP协议的度量值最大为16

47、【SSL】SANGFOR VPN用户认证都为主认证的是用户名/密码、数字证书

48、关于放共享功能，可以选择封堵用户还是封堵IP

49、SSL VPN支持的组网方式：网关模式；不支持：旁路 镜像和代理模式

50、【AC】关于行为感知系统：支持校园网贷行为检测，识别高风险客户

51、【AC】审计电脑客户端QQ聊天内容 必须要使用准入策略。

52、【AC】QQ邮箱内容审计不成功的排查：需要开启审计策略；需要开启SSL识别，把mail.qq.com加入进去；检查是否派出了mail.qq.com

53、关于防火墙：防火墙接口上配置的IP地址，要求接口属性中沟通了允许PING，才能响应到接口IP地址的ICMP请求包

54、【SSL】如果要求分配资源的访问权限给用户，通过角色管理把用户和资源管理起来

55、电脑中ARP表的作用是记录IP和MAC地址的对应关系

56、【SSL】关于短信认证的说法中，需要有发送短信的外置系统；短信猫和webservice是发送短信的常用方式；短信认证是一种辅助认证方式；

57、AC设备，采用网桥模式，但把WAN口接了内网交换机，LAN口接了外网路由器。这种情况下，用户上网功能可以使用。

58、HTTPS、简单邮件传输协议、域名解析协议默认使用的端口是：TCP 443  TCP 25  UDP 53

59、【AC】ac网桥部署后，内网所有用户无法上网，排查：登录设备开启直通测试是否网络恢复；跳过AC看网络是否恢复；从内网电脑ping测试，查看哪里网络中断。

60、SSL/TLS协议标准端口 tcp 443

61、AC设备：路由模式部署时，LAN口和DMZ口都有保留地址

62、如果无法登录AC设备（如无法获得设备的接口地址），可以尝试恢复出厂设置：1、将设备关机。2、准备一根交叉线。3、使用交叉线连接设备面板上任意两个非一组bypass电口。4、将设备加电开机，一直等待，直到设备重启，此时无比拔掉短接电口的交叉线。5、等设备起来后，即可通过出场地址，默认控制台账号和密码登录设备

63、【NGAF】单臂路由部署环境下，使用子接口来实现不同VLAN间的通信

64、中间人攻击的主要原因：缺少身份认证

65、为了避免冒名发送数据或发送后不承认的情况出现，可以采用数字签名

66、【NGAF】关于设备恢复默认密码：U盘格式为FAT32、reset-password.txt文件必须放在U盘根目录、U盘可以为单分区或多分区。 错误的是：可使用交叉线恢复设备默认密码。

67、【AC】旁路模式的说法：旁路模式需要客户交换机配置镜像接口，将需要监控的流量镜像过来；旁路模式可以对用户的上网行为进行审计；旁路模式下对用户的应用惊醒拦截，如果改应用使用TCP协议可以拦截，因为UDP协议是无连接；

68、SNMP依赖于UDP协议工作。

69、IDS只能检测不能阻断，IPS亦可以检测也可以阻断

70、关于NGAF链路故障检测，任何一组内的所有IP检测不同才判定链路故障。

71、关于LDAP协议，可以用于身份认证；是一种开放的协议标准；微软Active Directory支持LDAP协议；

72、数字证书不包含：用户私钥信息

73、关于SANGFOR SSL VPN中L3VPN资源，错误的是：虚拟IP必须是ssl vpn所在内网网段。

74、关于SANGFOR SSL VPN 中远程应用发布，说法错误的是：终端服务器支持Windowsserver和Linux服务器

75、再部署SANGFOR VPN时，分支用户接入，并启用了隧道内NAT场景下不需要在VPN总部设备中配置虚拟IP池。