- 积分
- 15
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2020-8-11
- 最后登录
- 1970-1-1
- 阅读权限
- 10
- 听众
- 收听
网络小学徒
|
一、1.4、描述TCP三次握手的过程,以及开启状态监测功能时如何建立会话
2 k) z" z) k2 }5 f' T1 V2 w& h! O& v按主干答,讲了3次握手4次断开,$ C* ~5 Q+ ]! L ] s* e$ S
追问:
2 C+ _' J1 T2 P) d6 b) G% d1、你简单的说一下会话表里面有什么内容?
1 @6 l% E; X; [% ~' h b5 g8 X! j 以画了一个会话表9 U6 m( R- M4 `9 Y; v2 P) p. t
2、你在工作过程中,见过几种policyname的表示?
6 ~" A. \% k1 X) g6 N, q; G 我说两种,一种是正常匹配安全策略,policyname显示安全策略的名字,一种是---,表示不受安全策略控制的会话
+ \; t5 G6 t$ n4 h" A3、有哪些会话不受安全策略控制?
& i+ W/ n# B3 [" S. C 开启接口网管功能,访问接口的流量,做了双机热备的时候,主机同步到备机的会话,在备机上看到就是---,考官说还有吗?我说由ASPF产生的会话表也是--,又问还有吗?3 Q5 Z O2 u8 j3 r4 M
把你知道的都说出来,我又说了同一个安全区域内互访的流量也是 O. B2 R* H) ] e* A
4、同一个接口的流量需要放行安全策略吗?
+ {$ }2 Z# \1 H( o! H0 T8 K 我说不用,同一个安全区域内的流量互访才需要放行,我举了个例子,防火墙起2个不同网段的三层口,不同网段之间互访需要放行安全策略,考官:也就是同一个安全区域内不同接口互访
2 {6 K; ?; y/ h0 G$ `4 c$ f7 A4 D 需要放行策略对吧,我说是的
' _2 U1 k- C- n, i8 I5、那一个接口加入到多个安全区域的情况下,怎么处理呢?
9 ~" }9 H9 T0 q/ [# r 我说一个接口只能加入到一个安全区域
. t; c o7 `# F4 e3 }: R3 j6、什么情况下MAC地址为全0?8 L4 k# d Y4 y0 v
答了3点:arp解析下一跳地址失败时,访问自身接口的流量,虚拟系统访问根系统的时候,根墙上是全0" q3 I, E/ p0 q s* q6 a/ j6 q! g
二、3.10、IPSec和NAT
% S3 n0 x9 b0 v4 {9 F4 `按主干答,先分析两个场景,配置上需要注意的地方,然后开始讲怎么部署,最后讲安全策略怎么放行2 S1 G( i ^4 Z5 v+ J; z
1、你刚刚说到传输模式不支持NAT,隧道模式支持,为什么,?
: X6 y' P2 D' @9 x( v 讲了TCP校验和再做完NAT后重新校验的时候,会校验失败,隧道模式是在原有数据包头前插入一个新的IP头,所以没有影响
8 @! g% m+ j+ A) b( \. z2、对于场景二,FW1和FW2要放行什么策略?/ [1 `/ |9 w9 S. }5 H# U5 I3 T
主干的时候已经讲了,又重新回答,FW1 放行UDP500,ESP,业务流量,FW2刚开始回答要放行UDP500,ESP,考官问为什么要放心esp的流量,当时反应过来说不是esp是udp4500
3 ?" K* O) a" L3、你刚刚说要no-nat掉IPSEC的业务流量,不然会匹配不上感兴趣流,那可不可以把IPSEC的感兴趣流配置成NAT后的公网地址呢?为什么/ t. ?. I: R; k3 E
我先回答不可以,对方收到解封装后露出新的IP头也是公网的,匹配不上感兴趣流,考官又说,那把对端的感兴趣流也配置成公网的呢?我想了一下说不知道,但应该是会有问题的,考官没说什么$ y, J3 u! ^- v
三、1.3、两台虚拟系统如何实现互访,请描述设计和配置,有问到老虚拟防火墙的问题路由,包过滤等
6 z3 m7 x. M( i7 h* L( E按照主干,先讲了什么是虚拟系统,什么是虚拟接口,又讲了资源分配的三种方式,开始画图讲怎么部署 路由---策略 R3 f* @7 b9 v g5 X, l
1、虚拟系统里面有一个引流表,是干什么用的?- R: _* M: P* A2 k' n! P9 x
虚拟系统访问根系统时,两个系统都会创建会话,但匹配上引流表后,根墙就不会创建会话而是直接转发,能够节约会话资源,简化配置,根墙不用放行安全策略' n# @9 D" `- n+ a; I
2、那在配置引流表的时候,有没有什么需要注意的?- N4 L- f- x/ x1 r V0 T
讲了配置NAT和VPN的话,可能会影响业务,引流表只会根据收到的一个报文进行转发,对于像vpn解封装后得到的报文匹配上引流表后,也不会转发的
R" E( L5 {) j$ z7 G- n) N( O4 r3、虚拟系统之间互访,根墙要不要配置路由,安全策略?/ v6 k0 T3 G/ a4 ?3 ~
回答路由需要配置,安全策略不用/ E$ K8 C( `1 G
* M0 q7 p7 @% e& c. U: x
* W; v! ?5 C$ r% @ y3 y考官点评
0 |: q* _( h! ~6 P1、既然你都说到了,策略名字是---的时候,是不受安全策略控制的,回去再自己查一下,还有哪些是不受安全策略控制的会话,比如hrp的数据同步,就不受安全策略控制,我这里只是举个例子
* M: Q' \& y* X; q; `5 l3 u2、你说了传输模式不支持nat是因为tcp里面的校验和会检验失败,所以不支持,但传输模式是支持nat的,回去你自己做一下实验7 X+ r+ o: U, `8 c9 V
3、对于你说的同一个安全区域内,要不要放行安全策略,以及从同一个接口内进来和出去的流量要不要放策略,回去再自己查一下文档。
: I* V a4 \9 q
' D6 p% H: u6 T" A: d1 R提供数通安全云计算面试一对一辅导,解决讲师少学员多的问题,稳定题库视频持续更新提供噢!全程考证计划联系VX:Greyson-lin
+ A, D) h/ V0 K
$ Q2 r9 E; o6 i4 J( [4 _' ~/ K- r |
-
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2020-8-12 14:06:26
置顶卡
喧嚣卡
变色卡
千斤顶
成长值: 22795
