ICT网络赛道安全考点知识总结1

1. POST操作是HTTP协议的一种请求方法，用于向服务器提交数据。
2. UPDATE对应的是官方文档里ModuleName，是指功能模块。
3. 远程计费是指对用户在访问内网资源时所产生的费用进行计算和收取的过程。
4. 智能DNS可以单独使用，但在某些情况下可能配合其他技术来实现更好的效果。
5. 清洗中心的主要功能是防御各种网络攻击，包括CC攻击、ICMPFlood攻击等。
6. 渗透测试中黑盒测试：
   1、更贴近用户的实际使用场景   
   2、测试覆盖率较低，一般只能覆盖到代码的30%
   3、测试过程较为简单，不需要了解程序内部的代码结构及其特性
7. 以下MAC地址认证模版配置不是必须的：
   1、MAC地址白名单：在MAC认证模版中配置特定的MAC地址，允许这些设备无需进行Portal认证即可访问网络。如果不需要使用MAC地址白名单，可以不进行配置。
   2、MAC地址黑名单：在MAC认证模版中配置特定的MAC地址，禁止这些设备访问网络。如果不需要使用MAC地址黑名单，可以不进行配置。
   3、MAC地址过期时间：在MAC认证模版中配置MAC地址的过期时间，设定一段时间后需要重新进行Portal认证。如果不需要使用MAC地址过期时间，可以不进行配置。
   4、MAC地址绑定IP：在MAC地址认证模版中配置MAC地址与IP地址的绑定关系，确保该MAC地址只能进行指定的IP地址进行访问。
8. 黑名单的优先级应该低于白名单的优先级。
9. TCP报文有几个关键的标识位：SYN（同步序列编号），ACK（确认编号有效），RST（重置连接），FIN（没有数据发送了），URG（紧急指针有效）。
   SYN和RST同时为1是不合理的，因为SYN用于建立连接，而RST用于重置连接，二者在TC P连接的生命周期中不会同时出现。
   SYN和ACK同时为1是合理的，这发生在TCP三次握手的第二个和第三个报文中，用于同步序列编号并确认对方的序列编号。
10. 认证结果不属于认证授权所需要配置的内容。
11. 预定义签名是IPS中用于识别潜在威胁的预设规则，通常这些规则是固定的，不能随意更改，以确保系统的安全性和一致性。
    当预定义签名的动作为阻断时，系统会阻断命中签名的报文并记录日志，这是IPS的正常行为。
    当预定义签名的动作为放行时，系统会对命中签名的报文放行，但不记录日志，这也是IPS的一种可能行为。
    预定义签名的动作为告警时，系统会对命中签名的报文放行，但会记录日志，这同样是IPS的正常行为。
12. 邮件内容过滤应该在进出方向都进行检测，以确保邮件的安全性。
13. IPS（入侵防御系统）是一种网络安全设备，用于检测和阻止网络攻击。IPS签名是用于检测和识别网络攻击的规则集合。
    IPS签名类型包括预定义签名、自定义签名、例外签名和签名过滤器。
    动作优先级指的是当多个签名匹配同一数据包时，哪个签名的动作会被执行。
    例外签名是一种特殊的签名类型，用于排除某些特定的流量或主机，以避免误报或误封。当例外签名匹配时，IPS会跳过该数据包，不执行任何动作。因此，例外签名的动作优先级最高。
    自定义签名是用户自己创建的签名，用于检测特定的攻击或漏洞。当自定义签名匹配时，IPS会执行用户定义的动作，如阻止、警告或记录。自定义签名的动作优先级取决于用户定义的动作。
    预定义签名是由IPS厂商提供的签名，用于检测已知的攻击或漏洞。当预定义签名匹配时，IPS会执行预定义的动作，如阻止、警告或记录。预定义签名的动作优先级取决于IPS厂商定义的动作。
    签名过滤器签名过滤器是一种特殊的签名类型，用于过滤某些特定的流量或主机，以减轻IPS的负载。当签名过滤器匹配时，IPS会跳过该数据包，不执行任何动作。因此，签名过滤器的动作优先级最低。
14. WannaCry勒索病毒是一种利用Windows系统漏洞进行网络攻击的恶意软件。它利用了一个名为“EternalBlue”的漏洞，该漏洞存在于Windows操作系统的SMBv1协议中，允许攻击者通过TCP端口445远程执行恶意代码。
15. GRE封装过程中增加的IP头即源地址为IPSec隧道的源端地址，目的地址为隧道的下一跳地址。
16. 移动办公用户与虚拟网关建立HTTPS会话，虚拟网关与内部Web服务器建立HTTP会话。
17. 使用LDAP服务器作为认证服务器时，设备与服务器间的交互采用LDAP协议。LDAP（LightweightDirectoryAccessProtocol）是一种轻量级的目录访问协议，用于访问分布式目录服务，如ActiveDirectory和OpenLDAP。LDAP协议提供了一种标准的方式来访问和管理目录信息，包括用户身份验证和授权等功能。
18. 例外签名的目的是在签名过滤器的基础上，对某些特定的签名动作进行特殊处理。因此阻断且隔离源IP和阻断且隔离目的IP都是例外签名的动作，因为它们表示了对源IP或目的IP的特殊处理方式。（放行）则表示不对签名动作进行任何阻断或隔离，不属于例外签名的动作。
19. URL匹配方式通常按照匹配的程度从精确到模糊的排序为：精确匹配＞后缀匹配＞前缀匹配＞关键字匹配。精确匹配要求URL地址完全一致，后缀匹配则主要看URL的后缀部分是否相同，前缀匹配则看URL的前缀部分是否相同，而关键字匹配是模糊匹配，只要URL中包含指定的关键字就算匹配。
20. iMasterNCE-Campus是一种网络控制引擎，可用作认证服务器，对认证用户进行授权。它可以授权的参数包括ACL、VLAN和DSCP，但不包括IP地址。
    ACL（AccessControlList）是一种网络安全技术，用于限制网络中的数据流。它可以根据源IP地址、目标IP地址、协议类型、端口号等条件来控制数据流的流向和访问权限。
    VLAN（VirtualLocalAreaNetwork）是一种虚拟局域网技术，可以将一个物理局域网划分为多个逻辑上独立的虚拟局域网，从而实现网络资源的隔离和管理。
    DSCP（DifferentiatedServicesCodePoint）是一种服务质量（QoS）技术，用于对网络流量进行分类和优先级处理，以保证网络中不同类型的数据流能够得到适当的带宽和延迟。
21. 升级华为IPS的特征库，不需要重启设备就能生效。升级特征库需要License授权；升级系统版本需要重启设备才能生效；只有升级系统版本需要重启设备，升级特征库不需要。
22. 在NAT穿越场景中，当检测到NAT设备时，ISAKMP消息的目的端口号将变为4500。这是因为在NAT穿越场景中，ISAKMP消息需要经过NAT设备进行转换，而NAT设备通常会将UDP端口号转换为4500，以便与其他UDP流进行区分。
23. 恶意URL指包含恶意信息的网页地址，能够用来引诱用户点击连接或下载恶意软件。在安全领域中，发现和识别恶意URL对于净化网络环境至关重要。恶意URL可以由多种来源搜集，这些来源包括沙箱反馈、入侵防御功能、本地信誉、反病毒功能等。
    然而，入侵防御功能反馈的URL通常不会被认定为恶意URL的来源，因为这一选项所描述的是入侵检测系统反馈的URL，入侵检测系统更倾向于反馈的是可能存在攻击行为的URL，而非明确的恶意URL。
24. leastactive-linknumber命令用来配置状态为Up的Eth-Trunk接口成员链路数的下限阈值。缺省情况下，状态为Up的Eth-Trunk接口成员链路数的下限阈值是1。
25. 在信息安全要求严格的场合，如新建网络、用户集中等，通常需要采用更严格的认证方式来确保网络安全。802.1X认证是一种广泛应用于以太网环境的认证方式，具有较高的安全性和灵活性。
26. 数据可用不属于ESP的功能特点
27. 根据题目中的描述，正确流程应该是先升级特征库，然后再配置签名，接着配置入侵防御文件，最后进行验证与检查。
28. RADIUS协议在网络接入认证中扮演着重要角色，它支持认证、授权和计费功能。在这些功能中，授权是指RADIUS服务器向网络接入设备（如交换机、无线接入点）下发访问权限的过程。在这个过程中，RADIUS服务器会使用Access-Accept报文来下发授权信息，告知网络接入设备允许用户访问网络，并附带相关的授权参数。
29. IKE协议用于在两个通信实体之间建立安全关联，并协商使用的安全参数。这些参数通常包括加密算法、认证算法以及密钥交换（协商）模式等。根据IKE协议的工作原理，封装模式并不是其需要配置的参数，它更多关联于IP封装安全载荷（ESP）或认证头（AH）等协议的功能。
30. 在配置过程中，为了让Portal服务器能根据用户的IP地址匹配对应的页面，需要在URL模板中配置与用户IP地址相关的参数。根据网络设备和Portal服务器的常规配置知识，这个参数通常是“user-ipaddress”。
31. 在使用LDAP服务器作为认证服务器时，进行用户认证需要查询LDAP服务器的数据来验证用户的身份信息，因此需要进行查询操作。更新类、写入类和删除类操作通常用于管理LDAP服务器中的数据，而不是用于用户认证。
32. 在Linux系统中，`$PATH`环境变量用于存储系统搜索命令的路径列表。如果非系统默认或正常业务程序注册了路径，这个路径可能会被添加到`$PATH`中。而`$HOSTNAME`表示主机名，`$SHELL`表示当前使用的shell，`$HOME`表示用户的主目录，它们与题目要求判断的内容无关。
33. 源认证防御方式是防御HTTPFlood最常用的手段。这种防御方式适用于客户端为浏览器的HTTP服务器场景，因为浏览器支持完整的HTTP协议栈，可以正常回应重定向报文或者是验证码。
    基本模式可有效阻止来自非浏览器客户端的访问，如果僵尸工具没有实现完整的HTTP协议栈，不支持自动重定向，无法通过认证。有些僵尸工具实现了重定向功能，或者攻击过程中使用的免费代理支持重定向功能，导致基本模式的防御失效。增强模式通过推送验证码的方式可以避免此类防御失效。此时通过让用户输入验证码，可以判断HTTP访问是否由真实的用户发起，而不是僵尸工具发起的访问
34. 在Linux系统中，`top`命令用于实时显示系统中各个进程的资源占用状况，包括CPU和内存利用率。`free-h`命令主要用于显示内存使用情况，不包括CPU利用率。`df-h`命令用于显示磁盘空间使用情况。`iostat`用于监控系统输入输出设备和CPU的使用情况，但不直接显示当前进程的CPU、内存利用率。
35. IPS(入侵防御系统)是一种应用层安全设备，它可以对网络攻击进行识别和防御。在识别网络攻击时，IPS通常会使用特征库来检测攻击行为。“端口号”和“目的IP地址”通常用于网络流量过滤和路由，而不是用于识别网络攻击。“源IP地址”也不是用于识别网络攻击的关键因素。
36. 在IPSec使用证书认证时，验证证书合法性需要考虑的因素包括证书是否位于有效期、证书是否位于CRL存储库中、证书是否由同一CA颁发。验证证书是否由同一方式申请并不是验证证书合法性的因素。
37. AH（AuthenticationHeader）是一种用于网络安全通信中的认证头部，其主要功能特点包括完整性校验、抗重放和数据源验证。
    完整性校验可以确保数据在传输过程中没有被篡改，抗重放可以防止攻击者重复使用会话ID等关键信息，数据源验证可以确保发送方是真实可信的。而数据加密属于SSL的功能特点，与AH不同。
38. 加入多个成员接口增加没备的带宽及可靠性。组Eth-Trunk接门的各个物理接门称为成员接口。成员接口对应的链路称为成员链路。
    手工模式Eth-Trunk的建立、成员接口的加入由手工配置，没有链路聚合控制协议的参与，设备不需要支持LACP协议；正常情况下，所有链路都是活动链路，所有活动链路均参与数据转发，如果某条活动链路故障，链路聚台组自动在剩余的活动链路中分担流量；不支持跨设备的链路聚合；只能检测到同一聚合组内的成员链路有断路等有限故障，是无法检测到链路断连、错连等故障。
    LACP模式Eth-Trunk的建立是基于LACP协议的，LACP为交换数据的设备提供一种标准的协商方式，以供系统根据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成以后，负责维护链路状态。在聚合条件发生变化时，自动调整或解散链路聚合，设备需要支持LACP协议；正常情况下，部分链路是活动链路，所有活动链路均参与数据转发，如果某条活动链路故障，链路聚合组自动在非活动链路中选择一条链路作为活动链路，参与数据转发的链路数目不变；支持跨设备的链路聚合；不仅能够检测到同一聚合组内的成员链路有断路等有限故障，还可以检测到链路故障、链路错连等故障
39. 源探测技术通常用于防御DDoS攻击等网络攻击，通过验证客户端的真实源地址来识别虚假源IP地址。对于HTTPFlood攻击，防火墙会根据收到来自相同目的地址的HTTP请求报文数量进行源认证，如果超过阈值，则启动源认证机制。UDPFlood攻击防御，这与源探测技术的主要应用场景不符。
40. 防火墙进行邮件过滤时，支持的邮件传输协议包括SMTP（简单邮件传输协议）和POP3/IMAP（邮局协议和Internet邮件访问协议）。而SMTPS是SMTP的加密版本，用于通过SSL/TLS协议进行安全传输，与邮件过滤无关。

原文地址：https://blog.csdn.net/m0_72765822/article/details/143326462

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！