大家好，又见面了，我是你们的朋友全栈君。

SCSA 模拟题 知识点 （一）

1、CIA三原则基本是安全业界的主流共识，CIA原则是：完整性、可用性、机密性
2、【AC】关于流量管理功能说法正确的是：流控可以基于用户进行流控
3、【AC】数据包如果经过二层交换机转发后，这个数据包的源MAC不会发生变化，如果经过三层交换机路由转发后，源MAC会发生变化
4、【SSL】私有用户同一时间只允许一台PC使用；共有用户允许多人使用，在同一时间内同时登录SSL VPN；私有用户可以在线修改登录密码、DKEY的PIN码、手机号码等
5、【EDR】病毒查杀、暴力激活成功教程检测、webshell检测安全策略对Linux系统服务器生效，无文件攻击防护安全策略不对Linux系统服务器生效
6、【SIP】在SIP对接AF时，可以使用单项认证也可以使用双向认证。但是单项联动无法联动。
7、【AF】关于入侵检测系统(IDS)，常见于串接部署，对流经设备的流量进行分析；需要更新设备上的相应规则库；工作范围可涵盖L2-L7层；支持拦截所检测到的风险行为（个别，比如发送reset包）
8、SANGFOR VPN建立的三个过程：寻址-认证-策略
9、关于webagent原理的说法：webagent用于非固定公网IP环境，常见拨号上网获取公网IP的场景，用于动态寻址。
10、【SSL】SSL/TLS协议通道的特性：机密性 可靠性 完整性
11、【AC】某公司禁止员工使用外设设备。关于全网行为管理外设管控功能：能实现U盘的精细化管控；可以用设备上的工具读取设备ID进行加白名单操作；支持管控存储设备、网络设备、蓝牙设备、摄像头、打印机；支持外设设备白名单，白名单中的设备不受管控。
12、【SIP】用户在使用SIP时发现，有一些安全事件在日志检索中心查看到是攻击日志，有一些确实正常的访问日志。原因是：STA识别到的日志包括安全检测日志和审计日志，都将上传到SIP，SIP根据这些日志，通过攻击模式，一集flow分析引擎，生成安全事件，所以在日志检索中查看到的日志包括用户看到的两种情况。
13、【AC】TCP头部长度是20字节；如果是单vlan环境，可以用vlan and host x.x.x.x抓指定IP的包；192.168.200.200转换成十六进制是c0a8c8c8
14、【SSL】SSL VPN新建用户使用用户名密码认证的时候才需要填写名称
15、【SSL】SSL VPN资源：L3VPN资源可以直接发布SSH协议
16、【SSL】客户内网有一台DNS服务器，现想实现通过登录SSL VPN能ping通该DNS服务器，SSL VPN通过L3VPN应用类型的资源可以满足该需求。
17、【AF】入侵检测功能只对外部攻击进行检测不拦截
18、【AC】旁路模式：旁路模式可以对用户的上网行为进行审计；管理口和镜像口不可以使用同一个物理接口；旁路模式需要客户交换机配置镜像接口，将需要监控的流量镜像过来；旁路模式下对用户的应用进行拦截，如果该应用使用TCP协议可以通过发送RST包进行拦截，如果使用UDP协议，则无法进行拦截，因为UDP协议是无连接的。
19、【AC】某客户反应，AC设备网桥部署 做了URL过滤，结果发现不生效，应该如何排查：检查策略是否关联了用户；检查是否匹配了自定义的应用，将自定义应用放通；检查用户地址是否加入了全局排除地址；（不可：重启设备，检查是否能够恢复）
20.【AF】防病毒网关和传统防火墙对比：防病毒网关开启杀毒功能后，在处理速度上，较传统防火墙快；防病毒网关更关注病毒的过滤，可阻断病毒文件的传播；防病毒网关在ISO七层模式中的工作范围要大于传统防火墙。
21、【EDR】EDR管理平台是EDR终端发现功能中的发起扫描设备
22、【EDR】服务器端的接权：智防+智控+智响应+服务端防护
24、在NAT环境下建立IPSEC VPN需要使用ESP隧道模式
25、【SIP】在SIP处置中心中有中危、低危都是不能100%确认存在安全问题，这时需要通过分析中心功能进行分析确认。
26、【SSL】下列关于SSL VPN的控件：SSL VPN的控件可以自动安装也可以手动下载安装。
27、ipconfig/release 可以释放DHCP地址
28、【EDR】紧急情况下EDR管理平台会下发Agent重启、Agent卸载和Agent停止等指令给客户端。54120端口的紧急情况下EDR管理平台和客户端通道的端口。
29、【AF】深信服下一代防火墙的核心价值：提供健康的上网管理。
30、【AC】关于网络安全法的明确要求：企业要明确网络安全的责任人；上网行为日志必须保存知道6个月；必须采取网络防范的相关保护措施。
31、【AF】在个别场景中，会要求AF旁路部署。旁路部署不支持UDP协议的拦截操作；旁路部署一般需要有一个单独管理口来进行设备的管理；旁路部署的优势是无论是上线还是设备故障，均不会影响到用户现有网络。
32、【AF】当前AF的策略路由功能中，可以实现的是：出口两条互联网线路，内网两个部门，每个部门不同IP端，希望实现两不同部门上网时，走不同的互联网出口；出口有电信和联通两个出口，希望内网用户访问电信的数据走点心出口，范文联通走联通出口；出口两条互联网线路，希望两条线路正常时分别承载数据，故障时能实现互为备份
33、【AC】关于密码认证：发送访问网站请求，第二部进行TCP三次握手；三次握手成功后，客户端发GET请求；发起访问网站请求，第一步先进行DNS解析
34、对于漏洞攻击防护拦截业务，使用 将拦截业务规则ID动作改成允许 方法方通业务（不影响策略正常运行）
35、TELNET工作在应用层
36、【AC】外置数据中心，使用syslog协议
37、【AC】帮客户配置了密码认证，但是测试时发现密码认证页面重定向失败，可能时AC下联设备有拦截限制
38、【SIP】SIEM作为SIP的一个组件，可以实现 将第三方日志归一化
39、【AF】关于AF的WEB应用防护模板的功能，能够实现的是：防止web服务器遭受口令爆破 隐藏FTP服务器的版本信息 防止web服务器遭受XSS攻击 。不能替换FTP服务器的出错页面。
40、【AF】关于AF的杀毒功能，FTP HTTP POP3都支持，但不支持ALG协议
41、关于AF8017版本联动封锁：联动封锁防火墙容量为20000条；在联动封锁列表中的主机可访问AF控制台，无法访问数据中心；联动封锁添加封锁攻击者IP或者添加到永久封堵是对针对源IP进行阻断，于老版本一样
42、【AC】下列选项中，场景和SSL内容识别的实现方式对应关系错误的：因为配置了IM聊天内容审计，不能再选择准入插件解密方式。正确的是：审计场景，qq两天内容审计和准入插件解密使用的是同一个插件；实现https内容审计，ssl内容识别的两种方式都支持；需要实现web关键字过滤，只能选择中间人解密
43、【SIP】SIP和STA上架部署完成后，客户只允许SIP联网，STA不能联网，不影响检测效果，STA只需要连接上SIP的TCP4488端口就能更新特征库
44、【AF】计算机病毒是指特制的具有破坏性的程序。
45、【SIP】SAVE的优势：占用内存小；能够查杀病毒变种；使用及其学习识别恶意文件特征
46、【AC】关于全网终端识别功能：识别网络设备需要开启snmp功能；支持识别办公设备如pc和移动终端等；支持识别网络设备如路由器交换机等
47、【SIP】在安全事件分析时，STP可以对原始数据进行及其学习以及异常行为分享，发现传统判断机制难以发现的问题。如：未知恶意文件 隐蔽通道检测 通过行为检测
48、【AC】B/s表示byte/s b/s表示bit/s   1MB/s=8Mb/s
49、【SIP】当客户只有一块大屏时，可以使用大屏轮播功能暂时全面的大屏信息
50、【AC】外部认证：外部认证服务器会将认证成功与否的信息通知给AC设备；AC支持对接MS AD 域做外部认知 ；外部认证的账号密码信息不保存在AC上
51、【AC】内网-AC（网桥）-代理服务器-AD，可以做应用选路
52、SANGFOR VPN总部：提供SANGFOR VPN接入服务，需要配置web agent 、用户账号等信息
54、可以认为数据的假面和解密是对数据进行的某种变换，加密和解密的过程都是在密钥的控制下进行的
55、【AF】防火墙按结构划分：分布式防火墙 单一主机防火墙 路由集成防火墙
56、【SIP】SIP中，可以转为同胞事件的是：漏洞隐患 安全事件 辖区内攻击
57、【AF】AF的多线路负载支持加权最小流量 优先使用前面的线路 轮询，不支持随机HASH
58、【AF】对新建的应用连接，预先设置安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成规则表。对该连接的后续数据包，只要符合规则表就可以通过。这种防火墙技术成为状态检测技术
59、Windows 2000（2003)server远程桌面的服务端口默认为：3389
60、为了将几个已经分片的数据报按照顺序重新组装，目的主机需要使用IP数据报头中的偏移字段
61、【AC】在客户处实施AC单网桥上架，AC内网口接内网三层交换机，AC外网口接外网防火墙，现上架后发现内网上网正常，单内网pc登录不了AC控制台，一下排查合理的是：AC可能没有配置到内网的回包路由，价差路由配置；pc直连AC的DMZ口尝试登录控制台；AC部署在Trunk环境中，但是在AC上没有启用vlan配置。正确的是：外网防火墙对AC做了过滤策略禁止AC上网
62、【AC】关于流量管理功能和部署模式：网桥模式支持DNS代理。
63、【AF】Windows炒作系统设置账户锁定策略可以防止暴力激活成功教程攻击
64、【SSL】关于SSL VPN策略组，可以实现：用户拨上ssl vpn后，限制其访问互联网；限制其使用vpn带宽；设置其自动跳转到关联的某个资源；
65、SSL VPN单臂部署：不支持配置wan口地址
66、【SSL】即时通讯工具等使用UDP协议的应用必须添加L3VPN应用才能访问服务器。
67、【SSL】SANGFOR VPN中的用户、角色、资源之间关系的描述：一个角色可以对应多个资源；一个用户可以对应多个角色；一个角色可以对应多个用户
68、【AF】关于AF链路故障检测：任何一组内的所有IP检测不通才判定链路故障
69、【SIP】通过安全感知平台的核心能力我们知道，在检测的第一步我们需要 全网资产梳理的 能力
70、【AF】AF路由接口配置静态地址和配置ADSL的差异：都能可选作为WAN属性接口
71、【EDR】暴力激活成功教程检测：支持配置暴力激活成功教程白名单，可以将误判的攻击源加入白名单；暴力激活成功教程支持SSH RDP SMB协议；暴力激活成功教程检测支持界面配置快速爆破阈值
72、【AC】SSL内容识别的两种方式：都支持全解密
73、IPSEC是一套协议集，包括：ESP IKE AH等
74、【AC】下一跳检测技术部署深信服共享识别技术
75、【AC】关于外部密码认证的过程：AC设备转发认证信息到外部认证服务器进行校验；外部认证服务器返回消息AC设备；客户端提交用户名密码认证信息
76、【AC】设备链路负载功能：不需要做应用/用户等选路时，可以使用默认负载策略，对线路进行负载；高校场景，支持结合负载均衡设备，做网桥模式的链路负载；前置设备做tos标签，AC网桥模式支持联动实现选路。
77、【AF】DOS攻击：ICMP洪水攻击 DNS洪水攻击 畸形数据包攻击
78、SSL同一个客户的不同属性或者不同部门的用户（组）要有自己的个性化登录界面可以通过登录策略来实现。
79、【AF】Linux系统中，在防篡改功能开启前已经建立的会话或者连接，防篡改功能不会生效
80、【EDR】EDR可以根据终端IP实现终端上线自动分组。
81、【AF】关于深信服下一代防火墙与其他品类防火墙对比的优势功能：对比IDS，提供处置拦截的能力；对比包过滤防火墙，提供应用层的防护能力；对比UTM，可以提供更强的性能
82、关于协议和端口说法正确的是：SNMP协议一般是UDP161 162 端口
83、【AF】拒绝服务攻击破坏服务的可用性
84、【SSL】SSL VPN接入后无法访问资源，排查方法：尝试更换电脑测试，确认是否是客户端的问题；尝试使用关联了内网所有网段资源的SSL VPN账号接入，再访问该资源
85、【AC】默认负载策略的特征：不支持基于用户选路；支持优先级最高的路线；能看到线路状态
87、【AC】应用选路功能：可以配合负载均衡设备实现应用选路；应用选路的前提是应用识别能以及具有多条线路；应用选路是精准的识别出应用，进而对应用进行引流
88、【AC】测试防共享功能时，客户使用PC正常上网，但发现这台PC杯识别到共享行为，排错方法：抓包分析是否存在多种系统字体格式；检查是否有私接共享的工具；有没有拿手机充电，或者安装其他虚拟机
89、【AC】下列关于链路负载策略优先级说法:希望平时走质量比较好的线路,线路压力大走其他线路,选择“优先使用优先级最高的线路”;平时走专线,专线断了走VPN,选择”VPN做专线备份”;希望按运营商线路分配,解析到电信dns就走电信,选择“按运营商负载”
90、【AC】关于行为感知系统的应用场景:解决学生通过校园网络发布舆情事件影响学校声誉事件;帮助学校识别贫困学生;帮助企业解决因为下班不关电脑带了的费电问题
91、【AF】下列关于SYN Cookie:SYN Cookie经常结合代理服务器一起工作;SYN cookie建立连接的过程是无状态的三次握手;SYN Cookie经常用来防御DOS攻击中的SYN Flooding攻击
93、【AC】下列选项中对优先负载策略:支持指定应用走指定线路;多线路选路支持优先使用前面线路选路;支持指定用户走指定线路
94、【AF】—键生成安全防护策略,帮助用户实现快速防护;主动扫描用户关注的业务段,是否存在相应的风险；推送当前的热点事件到设备,让用户感知当前的外部威胁   属于热点事件预警与处置功能带来的价值点
95、全网行为管理包含原上网行为管理
96、【AC】某客户要求数据中心区域内的运维PC只能访问固定的一台设备,不允许访问非授权的设备,你向客户推荐全网行为管理的外联控制功能实现该需求。支持白名单方式；支持端口管控；支持黑名单方式。
97、【AC】上网行为管理三要素和内容对应关系为：流量-看视频流量；用户-邮箱账号；行为-游戏
99、【SIP】客户在使用SIP时发现，SIP只能做检测，却无法解决问题，为了给客户进行问题闭环处理：加入EDR，进行联动，对问题进行闭环；加入AF，进行联动，对外部攻击进行封锁用环；购买安全服务，通过人工方式进行问题闭环
100、【EDR】急速扫描模式不限制EDR病毒查杀时CPU的使用。