- 积分
- 15
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2020-8-11
- 最后登录
- 1970-1-1
- 阅读权限
- 10
- 听众
- 收听
网络小学徒
|
一、1.4、描述TCP三次握手的过程,以及开启状态监测功能时如何建立会话
: A( f F; B) I- E按主干答,讲了3次握手4次断开,3 T* L) H9 s' j) u" J, n/ C$ t
追问:' k2 c- L0 o+ ?: G0 D- S
1、你简单的说一下会话表里面有什么内容?
0 v& \- n' U& }4 \7 T' b 以画了一个会话表
3 O5 n+ [# b' t: }/ u2、你在工作过程中,见过几种policyname的表示? & E% h3 P) C. n6 w0 s5 ~
我说两种,一种是正常匹配安全策略,policyname显示安全策略的名字,一种是---,表示不受安全策略控制的会话
0 J* g. Z* h6 l$ a( o* z6 W3、有哪些会话不受安全策略控制?6 e5 a: C5 k$ [( f6 H
开启接口网管功能,访问接口的流量,做了双机热备的时候,主机同步到备机的会话,在备机上看到就是---,考官说还有吗?我说由ASPF产生的会话表也是--,又问还有吗?
* R. o7 R' F6 O5 d- C, i$ @6 O% G' z 把你知道的都说出来,我又说了同一个安全区域内互访的流量也是
5 }( T `6 Y4 I* @& b5 N% j. F4、同一个接口的流量需要放行安全策略吗?8 k8 g3 `! S$ h6 N
我说不用,同一个安全区域内的流量互访才需要放行,我举了个例子,防火墙起2个不同网段的三层口,不同网段之间互访需要放行安全策略,考官:也就是同一个安全区域内不同接口互访* g" A: r2 g) |, D5 [# ]" B t7 X
需要放行策略对吧,我说是的4 l2 S6 o9 V z* A
5、那一个接口加入到多个安全区域的情况下,怎么处理呢? 1 R/ C3 q& }3 _8 L2 k* n
我说一个接口只能加入到一个安全区域
r4 ^4 w% m1 t. P# D9 V6 r6 O- |6、什么情况下MAC地址为全0?0 r4 d& w3 t# ~; u$ L4 D
答了3点:arp解析下一跳地址失败时,访问自身接口的流量,虚拟系统访问根系统的时候,根墙上是全0! V4 _5 o( E' E8 b1 f( d
二、3.10、IPSec和NAT
3 |& F. B! t% r按主干答,先分析两个场景,配置上需要注意的地方,然后开始讲怎么部署,最后讲安全策略怎么放行3 R4 F& J9 v. e+ P3 c7 V
1、你刚刚说到传输模式不支持NAT,隧道模式支持,为什么,?
; ~9 O% q7 _* m3 [6 A! H/ f 讲了TCP校验和再做完NAT后重新校验的时候,会校验失败,隧道模式是在原有数据包头前插入一个新的IP头,所以没有影响, l- F+ p' U' c/ }1 w3 j
2、对于场景二,FW1和FW2要放行什么策略?
2 ~( a" N1 O/ L; Q4 x 主干的时候已经讲了,又重新回答,FW1 放行UDP500,ESP,业务流量,FW2刚开始回答要放行UDP500,ESP,考官问为什么要放心esp的流量,当时反应过来说不是esp是udp4500
& k. z$ ~) A* m$ X3、你刚刚说要no-nat掉IPSEC的业务流量,不然会匹配不上感兴趣流,那可不可以把IPSEC的感兴趣流配置成NAT后的公网地址呢?为什么) [) u! G8 U3 F, ?+ B; x
我先回答不可以,对方收到解封装后露出新的IP头也是公网的,匹配不上感兴趣流,考官又说,那把对端的感兴趣流也配置成公网的呢?我想了一下说不知道,但应该是会有问题的,考官没说什么
* d# \5 B& u4 t三、1.3、两台虚拟系统如何实现互访,请描述设计和配置,有问到老虚拟防火墙的问题路由,包过滤等( F+ G$ }0 }- @5 B
按照主干,先讲了什么是虚拟系统,什么是虚拟接口,又讲了资源分配的三种方式,开始画图讲怎么部署 路由---策略
7 x$ `* s( C1 i7 o1、虚拟系统里面有一个引流表,是干什么用的?
. r+ d/ j6 y9 D$ |. W+ G 虚拟系统访问根系统时,两个系统都会创建会话,但匹配上引流表后,根墙就不会创建会话而是直接转发,能够节约会话资源,简化配置,根墙不用放行安全策略+ S0 }6 C' l9 K# D2 ^# ]
2、那在配置引流表的时候,有没有什么需要注意的?
4 C8 v7 L, u. _% { 讲了配置NAT和VPN的话,可能会影响业务,引流表只会根据收到的一个报文进行转发,对于像vpn解封装后得到的报文匹配上引流表后,也不会转发的
9 R) l! l2 ]/ f) ?3、虚拟系统之间互访,根墙要不要配置路由,安全策略?
" E5 ~! ]6 t% s& o6 m' C- J 回答路由需要配置,安全策略不用& k0 B8 A$ L. n" r" P. M
4 j% x5 B% Y6 V
- Q3 Q* Y$ |7 u% N0 s% s2 z考官点评; p2 {3 l8 E& L/ H/ k
1、既然你都说到了,策略名字是---的时候,是不受安全策略控制的,回去再自己查一下,还有哪些是不受安全策略控制的会话,比如hrp的数据同步,就不受安全策略控制,我这里只是举个例子- {/ b# f6 j" U+ r6 U. o
2、你说了传输模式不支持nat是因为tcp里面的校验和会检验失败,所以不支持,但传输模式是支持nat的,回去你自己做一下实验7 C; D( N* H7 _3 F8 _$ ]
3、对于你说的同一个安全区域内,要不要放行安全策略,以及从同一个接口内进来和出去的流量要不要放策略,回去再自己查一下文档。
3 k1 `4 o' @9 F" c# |& ~. {5 N( \0 H4 Q# l: a; b( V1 j0 z
提供数通安全云计算面试一对一辅导,解决讲师少学员多的问题,稳定题库视频持续更新提供噢!全程考证计划联系VX:Greyson-lin" J2 t, X; ^7 T) O
3 U6 x% O/ O, ~& @! a; F4 b
|
-
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2020-8-12 14:06:26
置顶卡
喧嚣卡
变色卡
千斤顶
成长值: 22795
