- 积分
- 354
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2018-3-28
- 最后登录
- 1970-1-1
- 阅读权限
- 30
- 听众
- 收听
初级工程师
|
LAB题目:Lab-A和B混合,刚好三小时写完,所有现象都出来了。 N1 P' X2 _) @+ z
1、
: I: q8 O& ^( O1 R, q; r8 \/ Q (1)、FW3上建2个虚墙
5 Q3 x2 h- R, H, l% p! [6 Y" n (2)、FW1上VRRP只配置10.1.5.254/24,ip-link监测路由器E0/0/1口(即10.1.40.11)并在FW1上绑定到HRP,总部NAT做在R1R2上,FW3没考NAT Server
* g( r7 G2 h6 g7 i2、
+ J, R) |5 w3 n& r e4 } (1)总部ipsec需要做NAT穿越,写了sa trigger-mode auto,IPSec策略放行UDP-500和4500,其中FW1和FW2放行源目端口,FW3放行目的端口。实测可以主备切换,切换时丢了3到4个包。7 f+ r' C8 g5 \* w& s- y6 a: n
(2)SSLVPN配置在FW3根墙,需要配置virtual-if 0的IP地址(我配了10.1.123.23这个地址),没考WEB访问,根墙下配置放行2条策略(untrust--->local的访问SSLVPN页面,untrust<--->trust的10.1.24.0/24到10.1.22.104访问策略),vfw2下配置放行1条策略(untrust<--->trust,virtual-if 0互访10.1.22.104策略)。
" W! j* y9 l% d+ Z9 v2 f3、内容安全考了反病毒、内容过滤、URL过滤、IPS。3 \9 j! A% |. ~' s
(1)反病毒可能先前配置未清除,推送页面能看到中文,跟题目要求一字不差,如果自己修改推送内容,就变成乱码,最后我用回原来的推送配置,不清楚这里会不会扣分;
8 o6 ^0 k# ]( O+ ~. M (2)内容过滤在FW3的vfw1考了password和account,动作为阻止。配置后不会即时生效,发邮件不会有拦截通知,需耐心等待大约10分钟才有效果;
}" r0 s! a$ E/ }, N ?" r (3)URL过滤为*.bt.com,p2p,赌博和博彩;
2 Q/ s# S- f* p% b. k* l (4)IPS匹配SQL注入攻击,处理动作为告警。配置后不会即时生效,PC1测试时不会有日志产生,需耐心等待大约10分钟才有效果;
! j/ ^9 V& c K1 E" g% V7 {1 N$ E4、需配置BGP引流DDoS,但没有考inbound告警策略,其余跟题库一致
& P# w2 K3 ]' [, @% ^) `/ o5、WAF全考,由于FW3没考NAT Server,所以题目要求用PC3来测试。配置后不会即时生效,PC3测试时不会被拦截,需耐心等待大约10分钟才有效果;配置缓存加速和防篡改后特征库匹配会暂时失效,此时PC3的攻击测试不会被拦截,也是需要等10分钟左右才有效果
( H7 C3 P) V" Y, d6 e6、FH全考,跟题库一致,题目会给出FH检测到病毒附件时的截图,可以参考,这里的配置也是不会即时生效,要等10分钟左右;! x! E# q4 h& k/ w$ t5 P0 a" T8 p
7、只考了portal和AD域同步,SW3上配置了dot1x和portal,其他步骤跟题库一致,其他没考2 [8 X% r6 s0 `8 G5 `9 Q/ W
# C+ H' ^6 W& j; O R$ Z+ e' e9 y0 |9 [! f8 C
论述(大概2个小时写完,写了5000字左右):0 \+ p, k4 r6 W6 h. m. B+ Y
论述题考了等保、IPS,DDoS混合
7 B6 l+ f% k2 U/ g: B. N! c1、等保缺了VPN,数据库防火墙,IPS,终端防病毒,IAM,agile controller,安全控制器,日志审计中心,态势感知流探针(记得的都写上了)
' g9 O4 l% a+ O. u3 j/ h. q2、IPS跟题库基本一致,但有些签名动作不同,变化不大,需要认真读题判断动作(我这里4个动作是告警、告警、放行、告警),第二题问的是部署了IPS,但wannacry在内网还有攻击行为。5 G# w6 C2 p S- r/ Y; ^* i
PS:第二题我加了个情况,就是IPS有日志且日志为阻止,此情况下是IPS为旁路部署且接收的流量为镜像流量,即使IPS做出拦截动作,也无法对业务流量产生影响。
5 @8 _, x* J: I( B2 X$ w3、DDoS有点小变化,第1小问出自DDoS 1第一题,没任何变化;第2小问出自DDoS 2第2题,但问法不一样,问的是管理员发现TCP攻击,在AntiDDoS部署了TCP源认证,但效果不佳,原因是什么。这个情况下,不能回答攻击为UDP Flood和HTTP Flood的那个答案,只能回答其余3个。
& G$ @( }; W, [2 M5 W. I# k7 t( h+ J$ F) w* M; [5 w
! C; I" \$ V; R
|
评分
-
查看全部评分
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2022-11-8 17:51:01
置顶卡
喧嚣卡
变色卡
千斤顶
不错,很详细的战报!
