1.以下哪个命令用于测试网络连通性？（C ）
A. ipconfig
B. nslookup
C. ping
D. tcpdump

2.RIP 协议的度量值最大为多少？（C ）
A. 14
B. 15
C. 16
D. 20

3.有一台 Windows Server 2008 的文件服务器名为 FileServer，在 D 盘中设置了共享文件夹
share，共享名为 shareKaTeX parse error: Undefined control sequence: share at position 39: …A. \FileServer̲s̲h̲a̲r̲e̲
B. FileServer
C. FileServershare
D. d:software

4.下列关于组策略对象（GPO）的说法，正确的是？（C ）
A. 只能够链接到域
B. 只能够链接到单个 OU
C. 可以链接到站点、域或者 OU
D. 可以链接到单个用户

5.下列关于 DHCP 服务器动态分配 IP 地址的过程，正确的是？（D ）
A. 服务器和主机之间会通过协商来指定协议的长度
B. 地址是永久分配的以便让主机长时间使用相同的地址
C. 在一定时间内地址是固定分配的，到期后再发送一个新的地址请求，会分配一个新的地址
给主机
D. 地址租凭给主机，定期的向 DHCP 服务器发送请求来保持相同的地址

6.下面哪个 Linux 命令适合查看小文件？ （ B）
A. less
B. cat
C. more
D. grep

7.DNS 域名系统主要负责主机名和什么之间的解析？（A ）
A. IP 地址
B. MAC 地址
C. 网络地址
D. 主机别名

8.以下关于邮件服务中 POP3 和 SMTP 协议的说法错误的是？（B ）

A. 用来发送或者转发电子邮件的是 SMTP 服务
B. SMTP 服务是基于 UDP 端口 25
C. 用来接收和存储邮件的是 POP3 服务
D. POP3 基于 TCP 端口 110
SMTP:简单邮件传输协议 采用的是TCP 端口的25

9.在开放系统互连参考模型 OSI 中，传输的比特流划分为帧的是哪一层？（ A）
A. 数据链路层
B. 网络层
C. 传输层
D. 会话层
OSI 应用、表示、会话、传输、网络、数据链路、物理层、
TCP/IP协议栈 一应用 传输 网络 数据链路层

10.下列攻击中，哪一项是应用层常见的攻击？（D ）
A. 溢出攻击，病毒木马，Smurf 攻击
B. 设备破坏，线路监听
C. IP 欺骗，ARP 欺骗
D. web 应用的攻击，漏洞利用

11.某电子商务网站最近发生了一起安全事件， 出现了一个价值 1000 元的商品用 1 元被买走
的情况，经分析是网站设计时出于性能考虑，在浏览时使用 HTTP 协议，攻击者通过伪造数据
包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价值 1000 元的商品以 1 元添
加到购物车中，而付款时又没有验证的环节，导致以上问题。对于网站的这个问题原因分析及
解决措施，下列哪项是最正确的说法? （B ）
A. 该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的问题，应对全网
站进行安全改造，所有的访问都强制要求使用 https
B. 该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到
该威胁并采取相应的消减措施
C. 该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验
证就可以解决
D. 该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可
危险建模，测试的一般流程

12.对恶意代码的预防，需要采取增强安全防范策略与意识等措施，关于以下预防措施或意识，
说法错误的是？（C ）
A. 在使用来自外部的移动介质前，需要进行安全扫᧿
B. 限制用户对管理员权限的使用
C. 开放所有端口和服务，充分使用系统资源
D. 不要从不可信来源下载或执行应用程序

13.关于对称加密体制和非对称加密体制，以下说法错误的是？（ B）
A 对称加密体制的优势在于算法相对非对称加密体制简单，被广泛运用于业务数据加密
B 对称加密算法有：DES,AED,IDEA,RC 系列等等，其安全性 DES 最为突出
C 近代加密学和古典加密学相比最大的优势在于算法和密钥都严格保密ᨀ高了算法的安全性
D 非对称加密体制由于公钥和私钥不能互相推导安全性较高，被广泛运用于数据通信加密以及
身份认证领域
AES 分组密码

14.下列关于 IPSEC 穿越 NAT 时存在的问题说法不正确的是？（C ）
A. IKE 协商的 IP 地址和端口不匹配
B. IPSEC 不能验证经过 NAT 转换的报文
C. IPSEC 不能加密经过 NAT 转换的报文
D. NAT 超时影响 IPSEC
能加密经过NAT转换的报文

15.关于 IKE 的᧿述不正确的是？（B ）
A. IKE 不是在网络上直接传送密钥，而是通过一系列数据的交换，最终计算出双方共享的密
钥
B. IKE 是在网络上传送加密后的密钥，以保证密钥的安全性
C. IKE 采用完善前向安全特性 PFS，一个密钥被破解，并不影响其他密钥的安全性
D. IKE 采用 DH 算法计算出最终的共享密钥
IKE的密钥是经过两边对等体的协商得来

16.以下关于第三方 IPSEC VPN 对接，说法正确的是？（ A）
A. 标准 IPSEC VPN 中，启用 DPD（对等体死亡检测）可以防止 VPN 隧道黑洞
B. 标准 IPSEC VPN 中，我方以固定 IP 公网网关部署，对方是内网网关部署，如果需要 VPN
建立成功，必须是对方主动发起 VPN 连接才行
C. SANGFOR 在第三方 IPSEC VPN 对接时支持多线路选路
D. 跟第三方建立 IPSEC VPN 时，双方都是公网网关部署，但是我方是固定 IP，对方是动态
拨号，那么建立 VPN 时只能选择既可以选择主模式，也可以选择野蛮模式部署

17.在部署 SANGFOR VPN 时，下列哪些场景下不需要在 VPN 总部设备中配置虚拟 IP 池？（B ）
A. 无 PDLAN 接入时
B. 分支用户接入，并启用了隧道内 NAT
C. 第三合作伙伴接入
D. 分支用户接入

18.SANGFOR VPN 所使用的端口是？（ A）
A. 默认端口是 4009,可以修改
B. 默认 443
C. 端口随机协商
D. 属于网络层 VPN，没有端口
19.IPSec VPN 安全技术没有用到下列哪项？（C ）
A. 隧道技术
B. 加密技术
C. 入侵检测技术
D. 身份认证技术
入侵检测属于IPS/IDS中

20.关于 SANGFOR VPN 建立条件，说法不正确的是？（C ）
A. 至少有一端在公网上可访问，即“可寻址”或固定 IP
B. 建立 VPN 两端的内网地址不能冲突
C. 至少一端是总部，但是不需要授权
D. 建立 VPN 两端的版本要匹配
版本匹配/需要授权/可以冲突，要启用相关的配置

21.关于 SANGFOR VPN 的说法正确的是？（A ）
A. 建立总部与移动的 VPN 类型，需要使用虚拟 IP
B. 建立总部与分支的 VPN 类型，需要使用虚拟 IP
C. 建立总部与移动的 VPN 类型，不需要使用虚拟 IP
D. 建立 SANGFOR VPN 都需要使用虚拟 IP
SANGFOR VPN总部与移动的VPN需要虚拟IP,总部与分部 不需要使用虚拟IP

22.以下哪个需求在 AC 旁路模式下能够实现？（A ）
A. 禁止用户访问赌博网站
B. 禁止用户使用 QQ
C. 对视频流量进行限速
D. 禁止迅雷下载
AC的旁路模式，用于上网行为的审计和基于TCP应用的过滤

23．AC 设备使用网桥模式部署时，支持下列哪项功能？（b ）
A. VPN
B. 流控
C. DHCP
D. NAT
网桥模式/三种 值

24.下列哪项是 AC 设备路由模式、网桥模式和旁路模式均支持的功能？（ D）
A. VPN
B. 对视频做限速
C. Bypass
D. 记录上网行为

25.下列关于 AC 设备说法正确的是？（ A）
A. 路由模式部署时，LAN 口和 DMZ 口都有保留地址
B. 网桥模式部署时，只有 DMZ 口有保留地址
C. 旁路模式部署时，LAN 口和 DMZ 口都有保留地址
D. 无论路由模式、网桥模式还是旁路模式，LAN 口都有保留地址
路由模式部署时lan和dmz都有保留地址，旁路模式部署时管理口有保留地址

26.如果无法登录 AC 设备（如无法获得设备接口地址），可以尝试恢复出厂设置，下列关于恢
复出厂设置的操作顺序正确的是？（B ） ①准备一根交叉线；②将设备关机；③使用交叉线连接设备面板上任意两个非一组 bypass 电 口;④等设备起来后，即可通过出厂地址，默认控制台账号和密码登录设备；⑤将设备加电开
机，一直等待，直到设备重启，此时务必拔掉短接电口的交叉线;⑥使用交叉线连接设备面板
上任意两个一组 bypass 电口;
A. ②①③⑤⑥
B. ②①③⑤④
C. ①②③⑤④
D. ①②③⑤⑥

27.一位工程师为用户部署 AC 设备，采用网桥模式，但是不小心把网线接反了，即 WAN 口接了
内网交换机，LAN 口接了外网路由器。在这样的情况下，以下哪个功能可以正常使用？（C ）
A. 用户认证
B. 上网策略
C. 用户上网
D. 流量控制
LAN口指的是局域网接口，WAN口指的是广域网接口

28.配置跨三层 MAC 识别时，AC 做为 SNMP 客户端，不支持查询交换机开启哪个版本的 SNMP？ （ C）
A. SNMPV1
B. SNMPV2
C. SNMPV3
D. SNMPV2C
不支持 PV3

29.以下关于端口映射实现原理的说法正确的是？（A ）
A. 端口映射即 DNAT，用来设置对数据包目标 IP 地址进行转换的规则
B. 端口映射即 SNAT，用来设置对数据包源 IP 地址进行转换的规则
C. 端口映射即 DNAT，用来设置对数据包源 IP 地址进行转换的规则
D. 端口映射即 SNAT，用来设置对数据包目标 IP 地址进行转换的规则
NAT的两种模式，SNAT(源地址转换 DNAT 目的地址转换

30.客户设备上架后，配置跨三层 MAC 绑定后，无法获取交换机的 ARP 表，下列排查方式不合
理的是？（C ）
A. 确认交换机 SNMP 版本协议，是否为 AC 所支持
B. 检查交换机与设备通讯是否正常
C. 检查中间设备是否有拦截 UDP162 端口
D. 检查交换机配置、ACL 和团体名

31. 下列关于旁路模式说法正确的是？（D ）
    A. 旁路模式多用于审计，可以对 TCP、UDP 做控制
    B. 旁路模式对客户原有网络改造影响最小，设备宕机可能会影响客户断网
    C. 旁路模式下可以使用监听口来管理设备
    D. 旁路模式除了管理口外，其他网口均可作为监听口，可以同时选择多个网口作为监听口

32.设备启用 SSL 内容识别后，打开 HTTPS 加密网站，弹出证书错误告警，客户希望取消此告
警，请问下列说法正确的是？（C ）
A. 无法取消此告警
B. 此网站证书有效时间过期了，重新生成证书即可取消此告警
C. 从 AC 设备下载“SSL 识别根证书”安装，即可取消此告警
D. AC 设备本身无法联网，修改配置使 AC 可以联网，即可取消此告警

33.客户需求针对 HTTP 下载文件进行流量限制，但不能影响访问网站，下列选项中合理的是？ （ B）
A. 无法实现此需求
B. 建立流量限制通道，通道适用应用选择所有“文件类型”
C. 建立流量限制通道，通道适用应用选择“下载工具”
D. 建立流量限制通道，通道适用应用选择“访问网站”
下载文件

34.下列选项中，哪个选项必须要使用准入策略？（C）
A. 审计邮件客户端发送邮件内容
B. 审计 webQQ 聊天内容
C. 审计电脑客户端 QQ 聊天内容
D. 审计加密论坛发贴内容

35.下列哪项不是 Sangfor 的 AC 设备实现防 PC 共享的技术？（ D）
A. DPI 检测技术
B. 字体检测技术
C. 辅助检测技术
D. SNMP 扫᧿检测技术
SANGFOR DPI 字体检测 辅助检测

36.下面关于外置数据中心的说法，错误的是？（C ）
A. 当客户需要长期保存日志时，推荐安装外置数据中心
B. 外置数据中心才有附件内容搜索功能
C. 外置数据中心支持安装在 linux 系统上
D. 外置数据中心推荐安装在 windows 服务器系统上

37. AC 设备路由模式最多支持多少外网线路？（C ）
    A. 24 条
    B. 24 对
    C. 32 条
    D. 32 对
    32条 条 条

38.下列选项中，关于全局排除地址的说法错误的是？（C ）
A. 全局排除地址可以排除源 IP 地址或目标 IP 地址
B. 应用控制对于全局排除的地址不再生效
C. 防火墙规则对于全局排除的地址不再生效
D. 全局排除中的主机上网行为不会被记录

39.客户购置了一台 AC 设备，路由模式部署作为互联网出口网关，内网有服务器需要对外ᨀ供
服务，所以在设备上配置了端口映射，但是发现仍旧无法访问，以下排查不合理的是？（D）
A. 检查内网 PC 到 WEB 服务器的访问是否正常
B. 检查 AC 到 WEB 服务器的访问是否正常
C. 检查外网访问的流量是否到达 AC 的外网口，向运营商确认端口是否正常开放
D. 检查 AC 的上网策略，开启直通测试
对外的跟对内的没关系

40.计算机病毒的工作过程是？（A）
A. 潜伏阶段-传染阶段-触发阶段-发作阶段
B. 传染阶段-潜伏阶段-触发阶段-发作阶段
C. 传染阶段-触发阶段-潜伏阶段-发作阶段
D. 潜伏阶段-触发阶段-传染阶段-发作阶段

41.下列哪个是 NGAF 的僵尸网络防护中只检测不拦截的功能？（A）
A. 异常流量
B. 移动安全
C. 恶意链接
D. 木马远程

42.下列有关 NGAF 透明口与虚拟网线接口的说法中，错误的是？（D ）
A. 透明口与虚拟网线接口都属于二层接口，不具备基本的路由转发功能
B. 透明口在进行数据转发时是根据其 MAC 地址表进行转发的
C. 虚拟网线在进行数据转发时直接从虚拟网线配对的接口进行数据转发，不需要检查 MAC 表
D. 如果要设置两对虚拟网线，那么必须开通双线路授权，而设置两对透明口，就不需要开通
双线路授权

43.在混合模式部署环境下，客户的服务器接在 NGAF 的一个 LAN 口中，服务器网口配置了公网
IP，要求外网能正常访问服务器的地址，并且也要保证另外一个 LAN 口下配置私网 IP 的 PC 能
正常上网，下列说法正确的是？（ D）
A. 混合模式必须将 WAN 口配置为路由口
B. 混合模式所有 LAN 口都必须是交换口
C. 混合模式与配置公网 IP 服务器相邻接口必须是路由口
D. 混合模式必须将 WAN 口配置为交换口

44.如下图所示环境，客户内网有服务器群，服务器需配置公网 IP 地址，现客户想采用深信服
NGAF 进行规划部署，ᨀ供内网用户上网，且能通过公网 IP 地址直接访问服务器，该如何配置
更合理？（D ）
A. NGAF 路由模式部署，全部配置路由接口，内网用户通过 NAT 上网
B. NGAF 路由模式部署，全部配置路由接口，内网用户通过 NAT 上网，服务器通过 NAT 发布
C. NGAF 混合模式部署，eth1 配置路由接口，eth2 和 eth3 配置透明接口，内网用户通过 NAT
上网，服务器通过 NAT 发布
D. NGAF 混合模式部署，eth3 配置路由接口，eth1 和 eth2 配置透明接口，内网用户通过 NAT
上网
端口的配置需要成对出现

45.关于 NGAF 风险分析技术以下说法错误的是？（A ）
A. 风险分析可以分析服务器是否开放了必要的端口
B. 风险分析可以分析服务器自身操作系统存在的漏洞
C. 风险分析可以分析服务器自身软件存在的漏洞
D. 风险分析可以分析服务器网站是否存在登录弱密码
不能分析

46.下列哪项不是 DOS 攻击的目的？（C ）
A. 消耗带宽
B. 消耗服务器性能
C. 使被操控的僵尸机瘫痪
D. 引发服务器宕机

47.客户想关闭 NGAF 网页防篡功能，以下配置可行的是？（ C）
A. Windows 系统中，进入控制面板将防篡改客户端卸载
B. 可以将防火墙设置成离线状态
C. Linux 系统中，卸载防篡改程序后必须重启所有服务或者直接重启服务器
D. 以上说法都不对

48.关于 AF 的联动封锁功能，以下说法正确的是？（B ）
A. 仅有 IPS 和 WAF 模块可以配置联动封锁
B. 仅“阻断”事件会触发联动封锁
C. 联动封锁针对的是去往该目标 IP 通过防火墙的任何通信
D. 被联动封锁的主机可以访问数据中心，不能访问 AF 控制台

49.攻击者利用 TCP 协议三次握手的特性，攻击方大量发起的请求包，最终将占用大量服务端
的资源，使其资源耗尽或为 TCP 请求分配的资源耗尽，从而使服务端无法正常ᨀ供服务。这是

以下哪类攻击的特性？（ A）
A. SYN 洪水攻击
B. 畸形数据包攻击
C. CC 攻击
D. 慢速攻击
50.某用户的网络结构如图所示，如果用户想保护服务器安全，应该如何配置？（ C）
A. 配置 web 应用防护，新增策略设置源区域为服务器区域，目的区域为外网和内网区域，开
启防护功能检测到攻击后拒绝
B. 配置 web 应用防护，新增策略设置源区域为服务器区域，目的区域为外网和内网区域，开
启防护功能检测到攻击后允许
C. 配置 web 应用防护，新增策略设置源区域为外网和内网区域，目的区域为服务器区域，开
启防护功能检测到攻击后拒绝
D. 配置 web 应用防护，新增策略设置源区域为外网和内网区域，目的区域为服务器区域，开
启防护功能检测到攻击后允许

51.关于防篡改功能的说法错误的是？（ B）
A. 防篡改功能能保护 Linux 和 Windows 服务器上的网站内容不被篡改
B. 在客户端上不能查看拒绝日志
C. 服务器上需要安装驱动级的文件监控软件
D. 防篡改功能的二次认证可以支持邮件认证或 IP 认证

52.SSL VPN 发布的远程应用，是基于什么操作系统的？（ C）
A. Redhat
B. CentOS
C. Windows Server
D. Windows 7

53. 下列哪项不是常见的终端安全场景？（B ）
    A. 移动办公
    B. 双网物理隔离
    C. 第三方用户接入
    D. 移动终端开展业务

54. 客户购买了深信服的 SSL VPN 设备，客户业务多是基于 UDP、ICMP 以及 C/S 架构的应用，
    那么建议客户配置哪种类型的资源？（C ）
    A. TCP 应用
    B. WEB 应用
    C. L3VPN 应用
    D. 远程应用

55.数字证书不包含下列哪项？（ D）
A. 用户身份信息
B. 用户公钥信息
C. 身份验证机构数字签名的数据
D. 用户私钥信息

56.下列哪项不是 WEB 应用支持协议类型？（ D）
A. HTTP
B. HTTPS
C. MAIL
D. SMTP

57. 使用硬件特征码认证时，读取接入电脑硬件信息正确的顺序是？（ D）
    A. 硬盘 ID-网卡 MAC-C 盘 ID-E 盘 ID-D 盘 ID
    B. 网卡 MAC-硬盘 ID-C 盘 ID-D 盘 ID-E 盘 ID
    C. 硬盘 ID-C 盘 ID-D 盘 ID-E 盘 ID-网卡 MAC
    D. 硬盘 ID-网卡 MAC-C 盘 ID-D 盘 ID-E 盘 ID

58. 关于公共用户的᧿述正确的是？（ D）
    A. “公共用户”支持本地用户认证和证书认证
    B. “公共用户”支持短信认证，令牌认证等辅助认证
    C. “公共用户”不支持硬件特征码认证
    D. “公共用户”不允许用户在线修改登录密码

59.为了加强用户名、密码认证的安全性，可启用的密码安全策略不包含下列哪项？（ D）
A. 软键盘，字母随机变化
B. 软键盘，数字随机变化
C. 图形校验码
D. 短信验证

60.TCP 应用和 L3VPN 应用通过组件抓包实现，登陆 SSL 后，没有自动安装 TCP 和 L3VPN 组件，
以下原因可能的是？（A ）
A. 没有选择自动安装 TCP、L3VPN 应用组件
B. 应用组件数据被 AC 等设备过滤
C. 客户没有购买授权
D. 客户系统不支持

MTU：最大传输单元=1500
TTL：生存时间，最大值255
windows：128
Linux：64
数据帧格式：type：
0X0800 IP
0X0806 ARP
MAC地址表的保留时间：5分钟（五分钟没有被用到，就会自动删除）
ARP：
ARP请求
ARP代理
免费ARP
MAC地址表的保留时间五分钟
Unix中ARP缓存表老化时间：20分钟
Windows中ARP缓存表老化时间：2分钟为20分钟
路由器中ARP缓存表老化时间：1–1440分钟 缺省
广播包无法通过路由器
VLAN标记：
通过802.1Q协议做VLAN标记
STP生成树解决交换机环路问题
IKE的A阶段用UDP做封装，并且原目端口基本500

TCP网关状态好
UDP网络状态差

信息安全五要素：
保密性
完整性
可用性
可控性
不可否认性
常见的对称加密算法：
RC
AES
DES/3DES
IDEA

VPN:
按业务类型分类：
Client-LAN VPN 适合初查在外的员工与公司的通信
LAN-LAN VPN 适合企业、分支企业间的通信
按网络层次分类：
SSL VPN 应用层
Sangfor VPN 传输层
IP Sec、 GRE 网络层
L2F/L2TP、pptp 网络接口处
VPN常用技术：
隧道技术
加解密技术
身份验证技术
数据认证技术
密钥管理技术
PKI:是一种遵循标准的利用非对称加密技术的一套安全基础平台的技术和规范
采用证书管理公钥，通过CA认证中心，在互联网上验证用户身份
CA证书的作用：
签发证书
规定证书的有效期
发布证书废除列表（LRC）
对证书和密钥进行管理
数字证书包含：
用户身份信息
用户公钥信息
身份验证机构数字签名的数据
IPSec VPN：
是一组基于网络层的，应用密码学的安全通信协议簇
即提供隧道也提供加密的技术
隧道模式：既可以提供隧道，也可以提供加密
传输模式：仅提供加密技术
机密性：所采用的加密算法，比如对称加密算法和非对称加密算法
完整性：完整性校验算法，比如哈希算法
数据源鉴别：认证方式，比如预共享和证书认证
重传保护：通过随机数（序号）实现
不可否认性：采用非对称加密算法实现：私钥加密公钥解密
IPSec协议框架:
两种工作模式：
传输模式：没有隧道，只提供安全
隧道模式：即有隧道，又提供安全
两种通信协议：
ESP:提供加密和鉴别算法----跨越公网环境
AH：提供仅鉴别算法----内网传输
密钥交换管理协议（IKE）：
阶段一：主模式（6个包）
野蛮模式（3个包）
阶段二：
快速模式
两个数据库：
安全关联数据库（IKE SA）—第一阶段形成
（IPSec SA）----第二阶段
安全策略数据库

传输模式：
主要应用场景：主机到主机、端到端的通信
封装方式：在原始IP和数据之间插入IPSec包头，保护数据部分
隧道模式：
主要应用场景：用于私网与私网之间站到站的通信
封装方式：在原始数据和IP包之前加上隧道头，保护原始数据和IP头

AH在传输模式下的封装：
在原始IP和数据之间插入AH包头,对原始数据和包头做认证
AH在隧道模式下的封装：
在原始IP和数据之前插入AH包头，对所有头做认证
ESP：只认证ESP头包裹的部分
SA安全联盟
IKE的作用：
为IPSec通信双方协商，建立安全联盟
生成密钥
安全联盟SA:
通过三元组标识：安全参数索引、目的IP地址、安全协议号
安全参数：
加密算法
认证方式
哈希算法
DH强度值
密钥交换时间

IKE协商阶段1
五个安全参数：
加密方式
认证算法
哈希算法
DH强度值
密钥交换时间
主模式：6个数据包
野蛮模式：3个数据包
IKE协商阶段会出现3种：2个单项SA，一个双向SA
IKE做协商时时基于UDP协议，源目端口号：500
IKE协商时，IPSec VPN和SngForVPN默认开启野蛮模式，不可修改，但是其他厂家可能支持手动更改模式
SANGFOR vpn 相比IPSec VPN的优势：
支持两端都为非固定公网环境—通过webbagent实现
更细的权限颗粒度
线路宽带叠加技术
SANGFOR vpn 相比IPSec VPN的特殊场景：
更细的权限颗粒度
隧道间路由技术–实现分支通过总部上网
隧道间NAT技术，解决多个分支网段IP冲突的问题
SANGFOR vpn设备之间要能正常互联VPN，至少保证一端为直连

sangforVPN的建立条件：
总部需要有足够的权限，当与第三方对接时，需要做授权
至少一端在公网课访问，即“可寻址”或固定公网IP
建立VPN两端两端的内网地址不能冲突
建立VPN两端版本要匹配。 V4既能和V4匹配也能和V5匹配，V2只能和V2匹配
sangforVPN建立过程：
寻址
认证
策略
Sangfor VPN的优势（与IPSec VPN相比）：
支持两端都为非固定IP的公网环境–通过webbagent实现
更细致的权限颗粒度
线路带宽叠加技术
webagent工作原理：
分支和移动用户寻找总部IP的手段，寻址过程中，所有信息使用DES加密
VPNTun接口：VPN数据的虚拟路由口，用来引导数据发往VPN隧道，从而封装报文
sangforVPN 应用场景：
1.总部只允许分支网络的PC访问总部WEB服务器的80端口
VPN内网权限设置----两端都会收到限制
防火墙过滤规则----更细化的控制
2.实现分支间的互相访问
在分支网络设备中配置隧道见路由
3.总部要求分支通过总部上网，实现对分支上网行为的审计
在分支网络设备中配置隧道见路由
4.分支地址冲突
配置隧道内NAT实现
Sangfor PALAN：
PALAN接入，总部必须配置虚拟IP地址池
总部新建账号时，类型必须设置为移动
Sangfor PALAN 是windows客户端软件

Sangfor SSL VPN 中的TCP资源支持BS、CS架构的32为基于tcp协议的应用

Sangfor SSL VPN 配置网关模式，配置代理上网SNAT

上网行为管理：
上网行为管理：用户和终端、应用和人内容、流量
上网行为的审计：
记录内网用户上网的行为，一旦发生网络违法违规事件可作为追查证据
统计用户上网时间、应用流量、应用分布等，为企业决策提供依据
记录内网安全时间，帮助管理员发现安全威胁
设备的登录：
eth0（LAN）：10.251.251.251/24
eth1（DMZ）：10.252.252.252/24
保留地址：
通过升级工具获取设备IP，登录设备
eth0（LAN）：128.127.125.252/29 电脑端：128.127.125.153/29
eth1（DMZ）：128.128.125.252/29 电脑端：128.128.125.253/29
设备的部署模式：
AC设备：路由、网桥、旁路部署模式
SG设备：路由、网桥、旁路、单臂部署模式
路由模式部署时有lan和dmz保留地址，网桥模式为br0和dmz保留地址，旁路模式为管理口保留地址
路由模式：
路由模式下支持AC所有的功能
需要使用NAT、VPN 、DHCP功能时，AC必须配置路由模式
问题：内网用户需要上网时，需要配置什么
NAT、内网、外网地址和路由
网桥模式:对网络没有基本的改动，AC相当于透明模式
网不支持NAT（代理上网和端口映射）、VPN、DHCP功能
旁路模式：
相当于一台主机，完全不会改变用户的网络环境
主要用于上网行为的模式审计
只能对TCP应用做监控，实现较弱的控制，UDP不支持
不支持流量管理、NAT、VPN、DHCP功能

应用控制技术：
1.应用特征识别：
传统行为检测原理： 五元组：源目端口、源目IP、协议
深度行为检测：依据数据包五元组、数据内容（应用层）做识别
分类：深度包检测技术、深度流检测技术
深度包检测技术：基于“特征字”的检测技术：
基于应用网关的检测技术
基于行为模式的检测技术
2.应用控制技术：
流量整形技术
连接干扰（TCP）信令干扰（UDP）
3.流量组网模式：
直连串联流控模式
旁路干扰流控技术：
TCP截断
TCP降速
UDP截断
UDP降速

防共享技术：
1.ID轨迹检测技术
特点：
1.较准确地判断出是否共享上网
2.较准确地判断出在线共享上网主机数
3.完全被动监听，不发送检测消息
2.时钟偏移检测技术：
特点：
1.非常准确的判断出是否为共享上网用户
2.较准确的判断出共享上网的主机数

1.深信服DPI检测技术
   通过抓包分析数据包携带电脑网卡的IP地址来判断是否存在共享行为
2.深信服字体检测技术
   通过识别PC的flash插件的字体信息判断是存在共享上网行为
3.深信服辅助检测技术
   URL检测技术：通过URL特征字符串判断
   微信特征ID检测:通过数据包固定便宜位置存在的二进制数判断
1
2
3
4
5
6
7

SOCKS代理原理：
sock5协议没有规定加密，明文传输。可以搭配SSL加密
上网行为管理的三要素：
用户和终端
应用和内容
流量
用户认证的目的：
确立上网用户身份
提该信息作为用户标识，随用户上网进行控股及审计
获取用户上网信息，为企业营销提供高质量营销对象
防火墙的种类：
包过滤
应用代理
状态检测
MTU
下一代防火墙
防火墙的性能指标：
吞吐量
时延
丢包率
背靠背
并发连接数
并发连接数
下一代防火墙防火墙部署模式：
路由模式
透明模式
虚拟网线模式
混合模式
旁路模式
路由优先级:
VPN路由>静态路由>策略路由>默认路由

终端安全检测技术和防御技术
基于7层应用的深度数据包检测可实现终端安全可控
非法应用-----禁止
可疑应用-----允许访问，但需要进行IPS扫描
合法应用-----允许访问，需要保证和限制带宽
基于应用的控制策略----数据包特征过滤
基于服务的控制策略----数据包五元组

常见的dos攻击手段：
syn flood
icmp flood
dns flood
udp flood
畸形数据包攻击
CC攻击
慢速攻击
防御dos攻击
syn代理
SSL VPN:
SSL VPN一般采用插件系统支持各种TCP和UDP的非WEB应用，使得SS VPN真正称得上是一种VPN
SSL协议主要通过三个协议实现：
SSL握手协议
SSL修改密文协议
SSL报警协议
SSL握手协议采用非对称加密算法（公钥加密算法）协商出会话密钥，后续使用此会话密钥进行加解密（堆成加密算法）速度和效率大大提示
使用CA认证完成密钥传输
组网模式：
网关模式：用户需要将SSL VPN作为网络出口设备，满足内网用户上网，同时，实现外网用户通过SSL VPN访问内网资源
单臂模式:不会改动原有网络的拓扑
配置：配置LAN口IP地址、DNS
前置网关做TCP 443和80端口映射
用户认证技术：
用户名、密码
硬件特征码
短信认证
口袋认证
口袋助理
UKey认证
动态令牌认证
CA认证
LDAP
RADIUS
移动接入身份认证技术：
本地账户认证技术
数字证书认证技术
LDAP认证技术
硬件特征码认证技术
SSL VPN远程接入的服务类型：
WEB
TCP（需要安装Proxy控件）
L3VPN（需要安装虚拟网卡，即客户端）支持TCP、UDP、ICMP协议
远程应用（需要安装客户端）

移动接入：
主流远程接入方式：
基于互联网接入
基于专线接入
基于VPN接入

实时漏洞分析功能不支持集中管理
实时漏洞分析功能仅支持TCP协议，不支持·udp、dns
实时漏洞分析功能对ftp与http支持任意端口识别，其他服务仅支持标准协议 mysql、ssh
实时漏洞分析需要通过多功能序列号开启
实时漏洞分析不干预数据转发流程，不发reset包
实时漏洞分析识别库下的规则无拒绝动作
问选路，不支持htt
多线路选路功能需要通过http访ps触发自动选路

关于用户注销：
DKEY用户无法手动强制注销
可以通过无流量自动注销所有用户
密码认证的用户可以被手动强制注销

移动端识别检验机制：
URL识别
应用规则识别
UA识别

CIA三原则：
可用性
完整性
机密性

NGAF所实现的功能：
防止WEB服务器遭遇XSS攻击
防止WEB服务器遭口令暴力破解
隐藏FTP服务器的版本信息
针对FTP服务器不支持出错页面
普通的防火墙一般具有DOS攻击防护能力

AC服务与端口的对应关系：
Sangfor Firmware Update连接设备51111端口
设备http密码认证服务端口80
设备同步日志到外部数据中心端口810（tcp810同步数据、udp810同步命令）

关于硬件特征码的描述：
多个用户可以对应一个硬件特征码
一个用户可以对应多个硬件特征码
一个终端设备只有一个硬件特征码

AC审计QQ传文件：
AC可以审计QQ发送文件、文件夹，但是不支持接受
审计QQ发送文件内容，需要通过准入策略来实现

WebAgent用于非固定公网IP环境，常见拨号上网获取公网IP的场景，用于动态寻址
WebAgent寻址过程中会加密，使用DES加密算法

IDS部署在网络中是并联部署，IPS为串联、并联部署

公共IP地址利用率从低到高：
静态NAT、动态NAT、NAPT

通过角色管理把用户和资源管理起来

关于NGAF网关杀毒：
双向流量检测
文件识别技术
加密协议解密杀毒

SSL/TLS协议通道描述：
可靠性
完整性
机密性

虚拟IP重定向只在网桥模式下存在
一般在无可用网桥IP时选择DMZ口重定向

sangforVPN PDLAN、SSL VPN用户数可以调整，保持授权总数不变

SANGFOR SSL VPN：
WEB
支持固定IP
支持DHCP
支持ADSL拨号
支持客户端免控件
支持所有类型浏览器
支持资源页面访问
L3VPN
依赖客户端虚拟网卡
支持TCP、UDP、ICMP协议
支持新开浏览器输入地址访问
TCP
TCP登录时需要安装控件

私有用户和公有用户都能使用硬件特征码认证
所有数字认证的用户都是私有用户

中间人攻击原因：缺少身份认证

关于审计：
可以审计客户端QQ
使用SSL识别可以审计微信网页版
不能审计手机QQ聊天内容

数据包经过三层交换机转发后源和目MAC地址都会变化

混杂模式：接受所有经过本机网卡的数据包，包括目的MAC不是本机网卡的

Sangfor Firmware Update：
给设备升级
将设备的光口和电口进行逻辑网口交换
测试设备网络联通性

未对输入做过滤所造成的漏洞：
SQL注入
XSS攻击
CSRF攻击

计算机病毒特征：
隐藏性
破坏性
繁殖性
潜伏性
不可预见性
传染性

计算机病毒工作过程：
潜伏
传染
触发
发作

三层网络环境下：开启跨三层取MAC

软件检测不支持webQQ ，只支持客户端

移动终端识别和控制技术：
URL检测
应用规则检测
UA检测

主流检测管控技术：
流量检测方法
应用检测技术
应用控制技术
识别控制组网模式

流量检测方法：
主动检测方法
被动检测方法

应用检测技术：
常见端口检测
深度流检测（DFI）
深度包检测（DPI）

应用控制技术：
流量整形技术
干扰连接（TCP）/信令干扰（UDP）

惩罚通道：
惩罚通道只能是限制通道，且此通道不可再建子通道
惩罚通道要按应用来匹配，即一个用户流量可以跑多个惩罚通道（最多20），没有匹配上惩罚通道的流量走原有的通道匹配流程
惩罚通道的生效时目的IP组、线路号也要有效

web 关键字过滤只针对网页版邮箱过滤
如果网站是https的，需要开启内容识别，并且添加对应的URL
邮箱过滤 只针对客户端方式生效，对于web mail不生效

AC支持http显示代理、socks4代理、socks5代理、PAC脚本

ICAP：应用层协议，常用于金融客户做校验

路由接口默认存在管理口，eth0：10.251.251.251/24 且无法删除

远程桌面端口号：3389

通过SYn代理防御SYn洪水攻击

IPS配置：
保护客户端：选择内网客户端所在的区域，源IP选择需要防护的客户端IP组
保护服务器：选择外网区域，源IP选择全部