- 积分
- 300
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2018-3-28
- 最后登录
- 1970-1-1
- 阅读权限
- 30
- 听众
- 收听
初级工程师
|
本帖最后由 小乔 于 2022-9-8 09:36 编辑
& z4 V I' k4 D2 T* Z% H9 E
; X/ Z" R4 P7 m4 F% }! Z: G) E6 d20220826 北京战报4 R: o* G/ `# M
LAB题目:LAB A+LAB B混合(大概用时3.5小时)
" _& G# k, D/ n" M# H3 O, \论述题目:IPsec、DDoS一+DDoS二、准入(大概用时3.5小时)$ x. y* j0 a8 d9 I# X+ k+ c
' o& M7 `4 q: y/ w4 V8 g+ k一、与练习题目对比0 f2 f& q" r/ B# i1 ], _- A
1、NAT在路由器,但是FW1缺省路由优先ISP1、FW2缺省路由ISP22 }+ Z1 v" H/ y% d4 f3 p* y
2、FW3没有做NAT Server
/ [/ w) m' s6 b$ q2 P! Y) \& \3、SSL VPN在FW3根墙,服务器在vfw2,做文件共享和网络扩展,没有web代理
4 \( I4 u0 b# u* u3 a2 X4、内容安全没有邮件过滤、文件过滤,但是内容过滤在vfw1上做,发邮件测试未出效果
( G' \/ |" y( j0 l5、DDoS是BGP引流,没有修改inbound告警阈值题目. _1 y; o2 K3 y! I8 c' o: k, G
6、准入题目只需要做portal认证+页面定制,未考802.1x
" ~/ T7 C" b$ I" V" R- y- q$ C7、未考带宽管理
' p2 I1 W8 C2 S/ |- c& r
9 A$ i, Z# o; V3 P5 W/ @2 _$ i二、坑点:9 t0 @9 z4 y1 R% P' `; h3 R. P' `
1、仔细读题仔细读题仔细读题,考试的题目要求和平时练习有一定差异,描述方式也有差异,要去理解理解,平时要看题做,不要盲背
* \8 Z! S: m" C. g$ O% U
' G# V% b( w: y, x5 L1 j: z0 [2、默认没有放行OSPF、BGP等协议,需要自己建策略放行(练习环境,配置完安全域后,OSPF就建完了,在考场并不是,需要在双机起来后再设置策略放行,邻居才起来)
u: N" P( Y$ L1 a- }5 ]( d, R: X$ n4 X/ o" E ~
3、11点左右在ATIC添加DDoS设备,telnet连通性测试通过、snmp测试通过,点击确定时出现报错,当前设备版本不支持添加该设备,请保证DDoS版本在XXXXX、XXXXX或XXXXX,方可进行添加。4 q4 b7 y3 Q6 I9 o! H
1)检查DDoS配置,并多次尝试添加都失败后,示意监考老师机架环境有问题;监考老师拍照询问技术老师后答复:机架环境没有问题,是配置问题,请考生仔细检查自己配置;# R6 t0 T% `5 x3 V* I# ]- s
2)然后又仔细检查了DDoS配置,没有问题….尝试添加仍是失败,添加界面有个“类型”选项,我尝试了各个DDoS设备类型,都还是不行;
+ h5 |) q9 P, _% b& a: \3)查看DDoS分数,该题目总分8分,BGP引流占了2分,添加DDos设备、配置防护对象、修改inbond阈值共计占6分,但是DDoS无法添加会导致后两项都做不了,此时有点上头,决定先暂时放弃,下午不行就再找老师确认机架环境;
+ v( g$ G8 [) A4)平复心情后继续做WAF,大概中午11点45 左右,临近吃饭,正好做完文件沙箱题目,监考老师过来说:技术老师问你那个问题解决了吗,我说没有,然后监考老师说技术老师要连接你电脑登录机架看一眼,于是我退出远程桌面由技术老师连接查看;
5 k, k& y) o/ {+ s4 Y5)11点55左右监考老师过来说,技术老师确已经登录机架帮你确认了,机架环境没有问题,请再仔细检查相关配置吧。& N3 V/ V8 f" y! m* C9 v, d6 \
6)于是我查看了一下CRT记录,发现技术老师只通过dis version查看了DDoS版本,没有其他的命令执行,于是我登录AT IC再次尝试添加后,咦,好了,添加成功了!5 F/ l A$ L' j9 x* n* i1 _
7)告知监考老师问题已解决,设备添加成功了,感谢其帮助,然后就暂停考试吃午饭了;(此时怀疑就是机架环境问题,DDoS版本和ATIC版本不匹配,各位同学若遇见环境问题一定要及时与考官沟通)
; f+ w$ k- p3 _! |! k6 b2 j6 g4 q2 w: r3 _
4、IPS设备看不到威胁日志,我通过在界面命令行执行了log type policy enable和log type traffic enable后,再在FW1触发告警,发现IPS有威胁日志,且为阻断;, _% L: ?- p9 R5 c$ Q3 T, d2 n1 z
: ] b% v' U6 [; |3 r0 w: J7 e
5、关于文件沙箱题目最后一小问,需要注意,在FW1未添加删除邮件附件的反病毒策略前,可以在防火墙威胁日志以及文件沙箱中看到邮件病毒告警,在FW1添加策略后,再触发邮件告警,能看到删除邮件附件的策略有命中,但是在防火墙威胁日志以及文件沙箱中都看不到告警,经过分析后,此时应该是正常现象,因为咱们RACK1没法模拟攻击告警,所以之前没关注过这里,大家注意下就行了。
4 |5 o# }( H: `% d5 t$ g! u6 v! z- L( I2 |5 |% H
6、关于论述之IPSec,考试场景中给了非常详细的描述,并描述了流量路径,请按照上述流量路径进行设计。我记得大概是,两台防火墙的ISP1出口是G0/0/3,连接ISP2的出口是G0/0/5,缺省情况下,流量走FW1的G0/0/3接口需求是这样的:
# }+ P5 {& ]6 c: u8 n3 l链路故障:+ L) V' S* n% ?* Z
1)FW1连接ISP1链路故障,但是ISP1未故障,流量走FW2的G0/0/3;. U& B# F" U X5 ?/ ?! W$ J
2)FW1连接ISP1链路未故障,但是ISP1故障,流量走FW2的G0/0/5;
/ U- }+ z' p# D3 G3)FW1连接ISP1链路恢复,ISP1恢复,流量走FW1的G0/0/3;0 h' F) B9 B1 R% C$ g
设备故障:
# N) H& O! l% F5 d/ ?( r; n9 N1)FW1正常情况下,流量走FW1的G0/0/3;& m+ l& W: w/ R( D _. Z p
2)FW1设备故障,流量走FW2的G0/0/3;2 Q: y3 l( S* |- g" p# X7 s( u" [
3)FW1及ISP1设备故障,流量走FW2的G0/0/5(这个记不清了,好像是这样);
5 h6 o% ^3 @/ a9 ^1 M. @1 f) R" `# ^4 }
7、论述之DDoS,就是DDoS一的第1题+DDoS二的第2题;没啥好说的,好好准备吧
3 a6 d6 G6 P# y# b* a4 f& H- [) n2 M! [, }+ i/ ~
8、论述之准入,这个我昨天在群里说了,有一丢丢小变化,不太大,题目大概如下:
0 x% u* c( [3 t4 [: G1)所有员工都使用有线认证,通过域账户认证,访问公司所有PC和服务器/ o; {2 P1 e1 G& H1 s
2)没有无线员工用户人群(题目直接就没有说无线员工的事)0 f" ^* N0 I% i* h: C6 u2 `% C
3)员工自行购买的电子设备接入网络不安全,需要做安全检查,检查通过后使用域账户接入网络;公司配备的电脑不需要做安全检查
! b* @0 Z" q) N! x$ X4)访客认证自带PC或手机,只允许访问互联网
) k3 M! |" [; v3 b: {: E5)2问,第一问:设计思路,第二问,使用域账户认证无法访问认证后域资源(就是802.1x认证无法访问认证后域资源的原题)
# Z) `9 ?; X. z! H; r, b3 c0 T1 v: q0 v9 }0 D9 A5 |
最后,希望能过吧,祝各位好运,早日通过。 |
评分
-
查看全部评分
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2022-9-5 15:43:19
置顶卡
喧嚣卡
变色卡
千斤顶
楼主
成长值: 59230