- 积分
- 15
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 10
- 听众
- 收听
网络小学徒
|
一、1.4、描述TCP三次握手的过程,以及开启状态监测功能时如何建立会话. Z( h; l% L' x. e Z0 H6 H: O
按主干答,讲了3次握手4次断开,6 w a/ T# M" \* T' Y
追问:: u8 u' e& K! m
1、你简单的说一下会话表里面有什么内容? ( x' j! B Z' z! W1 }( Z5 S
以画了一个会话表. F( r4 A9 o( B& l
2、你在工作过程中,见过几种policyname的表示? - z, @7 z# _& n
我说两种,一种是正常匹配安全策略,policyname显示安全策略的名字,一种是---,表示不受安全策略控制的会话
8 ^! Q. j' N+ _# D* q9 H3、有哪些会话不受安全策略控制?' e* \; d; s1 `( |4 ]9 w
开启接口网管功能,访问接口的流量,做了双机热备的时候,主机同步到备机的会话,在备机上看到就是---,考官说还有吗?我说由ASPF产生的会话表也是--,又问还有吗?; k/ `& N7 `8 v8 }: S7 x; n5 h
把你知道的都说出来,我又说了同一个安全区域内互访的流量也是: i) d1 @+ a0 H6 {- u# E
4、同一个接口的流量需要放行安全策略吗?2 x5 Y- m' g, m* c
我说不用,同一个安全区域内的流量互访才需要放行,我举了个例子,防火墙起2个不同网段的三层口,不同网段之间互访需要放行安全策略,考官:也就是同一个安全区域内不同接口互访 P" k/ x) t3 D% v
需要放行策略对吧,我说是的
( d( {4 F7 ~) G0 x( N+ i5、那一个接口加入到多个安全区域的情况下,怎么处理呢? $ ^ w$ c7 n* H9 Z# j
我说一个接口只能加入到一个安全区域% j, C" Z8 N) f ^. C. [
6、什么情况下MAC地址为全0?4 f3 D: n ~% o! O: R7 x
答了3点:arp解析下一跳地址失败时,访问自身接口的流量,虚拟系统访问根系统的时候,根墙上是全0
& i! m1 s9 f2 e9 w二、3.10、IPSec和NAT
& n+ @3 x( A. _9 u: n按主干答,先分析两个场景,配置上需要注意的地方,然后开始讲怎么部署,最后讲安全策略怎么放行; {7 p* B( H) F' B6 a' m: u* m# b
1、你刚刚说到传输模式不支持NAT,隧道模式支持,为什么,?
. {1 N3 T0 a- i" ] 讲了TCP校验和再做完NAT后重新校验的时候,会校验失败,隧道模式是在原有数据包头前插入一个新的IP头,所以没有影响+ R: @" r- r; F7 [# x8 W5 V
2、对于场景二,FW1和FW2要放行什么策略?
6 F9 m4 i: ?% X4 J; D( w. p0 o 主干的时候已经讲了,又重新回答,FW1 放行UDP500,ESP,业务流量,FW2刚开始回答要放行UDP500,ESP,考官问为什么要放心esp的流量,当时反应过来说不是esp是udp4500
0 p8 h( Q+ r) k4 ~/ `3、你刚刚说要no-nat掉IPSEC的业务流量,不然会匹配不上感兴趣流,那可不可以把IPSEC的感兴趣流配置成NAT后的公网地址呢?为什么
" p6 r+ _' H" x- [; t 我先回答不可以,对方收到解封装后露出新的IP头也是公网的,匹配不上感兴趣流,考官又说,那把对端的感兴趣流也配置成公网的呢?我想了一下说不知道,但应该是会有问题的,考官没说什么) O; x! G( T7 V0 z
三、1.3、两台虚拟系统如何实现互访,请描述设计和配置,有问到老虚拟防火墙的问题路由,包过滤等
$ E4 y s7 T6 S# }按照主干,先讲了什么是虚拟系统,什么是虚拟接口,又讲了资源分配的三种方式,开始画图讲怎么部署 路由---策略
2 N, U, t- ?* M9 d8 Y1、虚拟系统里面有一个引流表,是干什么用的?' c; ?5 n( _# t( }) m/ a+ X% _
虚拟系统访问根系统时,两个系统都会创建会话,但匹配上引流表后,根墙就不会创建会话而是直接转发,能够节约会话资源,简化配置,根墙不用放行安全策略
h9 A/ S! i. u& z2 J' ]# |2、那在配置引流表的时候,有没有什么需要注意的?
, g9 A @' d. G. F$ `- f0 X! E 讲了配置NAT和VPN的话,可能会影响业务,引流表只会根据收到的一个报文进行转发,对于像vpn解封装后得到的报文匹配上引流表后,也不会转发的! ^0 Z+ m. f( E' ^, y6 {5 V# B
3、虚拟系统之间互访,根墙要不要配置路由,安全策略?
) \8 e9 t& j+ K, A9 q4 d9 } 回答路由需要配置,安全策略不用
$ I' P+ X7 c. u6 j f" |; N* H9 P% R: ~
0 b% m$ _1 T) S5 S5 S- }/ _ W- v
考官点评) J) a4 ]# u. @6 }# j$ d+ w
1、既然你都说到了,策略名字是---的时候,是不受安全策略控制的,回去再自己查一下,还有哪些是不受安全策略控制的会话,比如hrp的数据同步,就不受安全策略控制,我这里只是举个例子1 {8 `' f0 f/ Q8 c& k0 d
2、你说了传输模式不支持nat是因为tcp里面的校验和会检验失败,所以不支持,但传输模式是支持nat的,回去你自己做一下实验
! k# J+ A1 F$ f- A3、对于你说的同一个安全区域内,要不要放行安全策略,以及从同一个接口内进来和出去的流量要不要放策略,回去再自己查一下文档。- ^& W3 a+ ~& r$ V
7 G, A* [6 P/ v( y5 R8 Z$ `& |/ B提供数通安全云计算面试一对一辅导,解决讲师少学员多的问题,稳定题库视频持续更新提供噢!全程考证计划联系VX:Greyson-lin& u0 \( M$ T/ X" R4 O+ i' F
: d% U) L- `" [3 Q: H |
-
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2020-8-12 14:06:26
置顶卡
喧嚣卡
变色卡
千斤顶
成长值: 24350
