第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁深信服安全基礎題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.在深信服安全產品體系中，以下哪一項屬于終端安全產品的范疇？（）

A.下一代防火墻

B.VPN網(wǎng)關

C.蜜罐系統(tǒng)

D.安全審計系統(tǒng)

2.深信服SSG系列防火墻默認的訪問控制策略級別是？（）

A.高

B.中

C.低

D.自定義

3.當深信服VPN用戶通過SSLVPN訪問內網(wǎng)資源時，其數(shù)據(jù)傳輸通道通常采用哪種加密協(xié)議？（）

A.IPsec

B.SSL/TLS

C.SSH

D.HTTPS

4.在深信服安全策略配置中，用于阻止特定IP地址訪問內網(wǎng)所有服務，哪種策略類型最直接有效？（）

A.NAC認證策略

B.訪問控制策略

C.URL過濾策略

D.內容安全策略

5.深信服H3COS操作系統(tǒng)中的"QoS"功能主要用于？（）

A.網(wǎng)絡設備固件升級

B.流量優(yōu)先級管理和帶寬控制

C.VPN用戶身份認證

D.防火墻攻擊檢測

6.配置深信服IDPS時，以下哪個參數(shù)與入侵行為檢測的靈敏度直接相關？（）

A.網(wǎng)絡端口掃描頻率

B.檢測規(guī)則優(yōu)先級

C.告警級別閾值

D.探針探測間隔

7.深信服NAC（網(wǎng)絡準入控制）系統(tǒng)在用戶接入網(wǎng)絡前，主要依據(jù)什么信息進行身份驗證？（）

A.用戶MAC地址

B.指紋信息

C.802.1X身份認證

D.操作系統(tǒng)版本

8.在深信服安全審計系統(tǒng)中，用于記錄用戶登錄、登出及關鍵操作日志的功能模塊是？（）

A.VPN管理

B.防火墻日志分析

C.安全事件響應

D.審計日志管理

9.深信服WAF（Web應用防火墻）主要針對哪種類型的攻擊提供防護？（）

A.DDoS攻擊

B.網(wǎng)絡層攻擊

C.Web應用層攻擊

D.物理層攻擊

10.配置深信服無線控制器AC時，以下哪個命令用于查看當前連接的AP設備狀態(tài)？（）

A.`showaplist`

B.`showuserdetail`

C.`showinterface`

D.`showconfig`

11.深信服SASE（安全訪問服務邊緣）架構中，"S"和"A"分別代表？（）

A.SD-WAN,SecureAccess

B.Security,Access

C.ServiceDelivery,SecureAgent

D.Server,Service

12.在配置深信服IDPS規(guī)則時，"靜默"模式的主要作用是？（）

A.禁用所有檢測規(guī)則

B.降低檢測規(guī)則誤報率

C.僅記錄檢測事件不產生告警

D.優(yōu)先執(zhí)行靜默規(guī)則

13.深信服NAC系統(tǒng)中，用于強制未授權終端接入隔離網(wǎng)絡的策略稱為？（）

A.隔離策略

B.授權策略

C.例外策略

D.日志策略

14.配置深信服防火墻時，"安全區(qū)域"的主要作用是？（）

A.定義網(wǎng)絡接口的物理位置

B.區(qū)分不同安全級別的網(wǎng)絡段

C.設置防火墻處理速度等級

D.配置網(wǎng)絡地址轉換規(guī)則

15.深信服VPN系統(tǒng)中，"雙因素認證"通常指結合了哪種組合？（）

A.用戶名+密碼，動態(tài)令牌

B.指紋+人臉識別

C.IP地址+MAC地址

D.操作系統(tǒng)+瀏覽器類型

16.在深信服WAF配置中，"OWASPTop10"主要指代哪種安全風險列表？（）

A.網(wǎng)絡攻擊類型

B.漏洞利用方式

C.Web應用常見安全漏洞

D.安全設備功能模塊

17.深信服無線網(wǎng)絡中，"AC+FitAP"架構中，"FitAP"的主要功能是？（）

A.管理無線接入點

B.承載用戶業(yè)務流量

C.生成無線網(wǎng)絡SSID

D.進行無線信號優(yōu)化

18.配置深信服安全策略時，"匹配條件"主要用于描述？（）

A.策略生效的時長

B.規(guī)則適用的對象范圍

C.網(wǎng)絡設備的配置參數(shù)

D.日志存儲的路徑

19.深信服IDPS系統(tǒng)中，用于模擬攻擊行為進行安全測試的功能稱為？（）

A.探針

B.模糊測試

C.漏洞掃描

D.滲透測試

20.在深信服SASE架構中，"網(wǎng)絡邊緣"通常部署在？（）

A.數(shù)據(jù)中心機房

B.企業(yè)分支機構

C.云服務提供商

D.用戶終端設備

二、多選題（共15分，多選、錯選均不得分）

21.深信服下一代防火墻通常具備以下哪些功能？（）

A.惡意軟件防護

B.應用識別與控制

C.入侵防御系統(tǒng)（IPS）

D.網(wǎng)絡地址轉換（NAT）

E.虛擬專用網(wǎng)絡（VPN）

22.配置深信服NAC時，以下哪些信息可用于用戶身份認證？（）

A.802.1X用戶名密碼

B.RADIUS認證

C.靜態(tài)MAC地址綁定

D.智能卡認證

E.硬件令牌動態(tài)密碼

23.深信服WAF的主要防護對象包括哪些類型的風險？（）

A.SQL注入攻擊

B.跨站腳本攻擊（XSS）

C.CC攻擊

D.網(wǎng)頁仿冒

E.惡意軟件下載

24.在深信服防火墻策略配置中，以下哪些屬于匹配條件的內容？（）

A.源/目的IP地址

B.源/目的端口

C.協(xié)議類型（TCP/UDP/ICMP）

D.應用協(xié)議（HTTP/HTTPS/FTP）

E.用戶身份

25.深信服VPN系統(tǒng)中，以下哪些屬于常見的認證方式？（）

A.用戶名+密碼

B.數(shù)字證書

C.指紋識別

D.動態(tài)令牌

E.一次性密碼（OTP）

26.配置深信服IDPS時，以下哪些參數(shù)與檢測靈敏度相關？（）

A.規(guī)則檢測閾值

B.告警級別設置

C.探針探測頻率

D.日志采集范圍

E.誤報率控制

27.深信服無線網(wǎng)絡中，AC的主要功能包括哪些？（）

A.管理無線接入點

B.配置SSID和安全策略

C.承載用戶業(yè)務流量

D.進行無線信號優(yōu)化

E.統(tǒng)一認證和授權

28.深信服SASE架構相比傳統(tǒng)安全架構的優(yōu)勢包括？（）

A.統(tǒng)一管理平臺

B.網(wǎng)絡邊緣部署

C.提升安全能力

D.降低網(wǎng)絡延遲

E.增加設備成本

29.配置深信服防火墻安全區(qū)域時，以下哪些操作是常見的？（）

A.創(chuàng)建不同名稱的區(qū)域

B.配置區(qū)域間安全級別

C.將接口加入?yún)^(qū)域

D.設置區(qū)域路由策略

E.綁定訪問控制策略

30.深信服安全審計系統(tǒng)的主要功能包括哪些？（）

A.日志采集與存儲

B.日志分析與檢索

C.安全事件告警

D.合規(guī)性檢查報告

E.網(wǎng)絡流量監(jiān)控

三、判斷題（共10分，每題0.5分）

31.深信服下一代防火墻可以替代傳統(tǒng)防火墻的所有功能。（）

32.深信服NAC系統(tǒng)默認允許所有未認證設備接入網(wǎng)絡。（）

33.深信服WAF主要通過阻斷用戶IP來實現(xiàn)安全防護。（）

34.配置深信服VPN時，SSLVPN通常比IPsecVPN更適合大量用戶場景。（）

35.深信服IDPS的檢測規(guī)則會自動更新。（）

36.深信服無線控制器AC可以直接連接用戶終端設備。（）

37.深信服SASE架構中，"服務邊緣"指的是物理位置。（）

38.深信服防火墻的默認安全區(qū)域包括"trust"、"untrust"和"dmz"。（）

39.深信服安全審計系統(tǒng)可以自動識別日志中的安全事件。（）

40.配置深信服安全策略時，優(yōu)先級高的策略會自動覆蓋低優(yōu)先級策略。（）

四、填空題（共10空，每空1分，共10分）

41.深信服下一代防火墻的______功能可以識別并控制應用層流量。

42.配置深信服NAC時，______認證方式結合了靜態(tài)和動態(tài)認證因素。

43.深信服WAF的主要防護原理是______和______。

44.深信服VPN系統(tǒng)中，______VPN采用加密隧道傳輸數(shù)據(jù)。

45.深信服IDPS的檢測方式包括______檢測和______檢測。

46.深信服無線網(wǎng)絡中，F(xiàn)itAP通過______與AC進行通信。

47.深信服SASE架構中，"S"代表______。

48.配置深信服防火墻安全區(qū)域時，"trust"區(qū)域通常代表______網(wǎng)絡段。

49.深信服安全審計系統(tǒng)需要滿足______和______等合規(guī)性要求。

50.在深信服安全策略配置中，"匹配條件"和"動作"構成了______的基本單元。

五、簡答題（共30分，第51題10分，第52題10分，第53題10分）

51.簡述深信服NAC系統(tǒng)的主要工作流程，并說明其在企業(yè)網(wǎng)絡安全管理中的作用。

52.比較深信服SSLVPN和IPsecVPN的主要區(qū)別，并說明各自適用的場景。

53.結合實際工作場景，簡述配置深信服防火墻訪問控制策略的基本步驟和注意事項。

六、案例分析題（共25分）

某企業(yè)部署了深信服SSG60防火墻，網(wǎng)絡拓撲如下：

-內網(wǎng)區(qū)域（trust）：包含/24，服務器群組

-外網(wǎng)區(qū)域（untrust）：包含互聯(lián)網(wǎng)

-DMZ區(qū)域（dmz）：包含Web服務器群組（/24）

近期發(fā)現(xiàn)部分外部用戶通過掃描內網(wǎng)IP地址，成功獲取了Web服務器的敏感配置文件。安全部門要求排查原因并提出解決方案。

問題：

1.分析可能導致該問題的深信服防火墻配置風險點。（10分）

2.提出具體的防火墻策略調整建議，以阻止此類攻擊行為。（10分）

3.說明如何通過深信服其他安全產品增強對此類風險的防護能力。（5分）

參考答案及解析

參考答案

一、單選題（共20分）

1.C

2.B

3.B

4.B

5.B

6.C

7.C

8.D

9.C

10.A

11.B

12.C

13.A

14.B

15.A

16.C

17.B

18.B

19.D

20.B

二、多選題（共15分，多選、錯選均不得分）

21.ABC

22.ABDE

23.ABDE

24.ABCDE

25.ABDE

26.ABC

27.ABE

28.ABCD

29.ABCDE

30.ABCD

三、判斷題（共10分，每題0.5分）

31.×

32.×

33.×

34.√

35.√

36.×

37.×

38.√

39.√

40.√

四、填空題（共10空，每空1分，共10分）

41.應用識別與控制

42.雙因素

43.攔截，檢測

44.IPsec

45.網(wǎng)絡流量，入侵行為

46.CAPWAP協(xié)議

47.安全訪問服務邊緣

48.可信

49.等級保護，GDPR

50.訪問控制策略

五、簡答題（共30分）

51.答：

工作流程：

①用戶終端接入網(wǎng)絡時，NAC系統(tǒng)通過802.1X、RADIUS等方式獲取用戶身份信息。

②NAC系統(tǒng)驗證用戶身份和終端合規(guī)性（如操作系統(tǒng)版本、防病毒軟件等）。

③根據(jù)驗證結果，NAC系統(tǒng)決定是放行用戶接入內網(wǎng)，還是將終端放入隔離區(qū)進行整改。

④符合要求的終端獲得網(wǎng)絡訪問權限，同時被記錄在日志系統(tǒng)供后續(xù)審計。

作用：實現(xiàn)終端準入控制，確保只有合規(guī)終端接入網(wǎng)絡，降低惡意軟件傳播和內部威脅風險，符合等級保護等合規(guī)性要求。

解析：本題考查NAC核心工作流程及作用。流程需覆蓋認證、合規(guī)檢查、策略執(zhí)行三個關鍵環(huán)節(jié)。作用需結合企業(yè)安全實際，如降低終端風險、符合合規(guī)要求等。答案要點①需包含至少三個步驟，要點②需明確至少兩個作用方面。解析：要點①對應培訓中NAC模塊“認證流程”部分，包含用戶認證、終端檢查、策略執(zhí)行三個核心步驟。要點②涉及“終端安全管理”和“合規(guī)性”兩大培訓重點，符合企業(yè)安全管理的實際需求。

52.答：

主要區(qū)別：

①加密方式：SSLVPN采用SSL/TLS協(xié)議加密，可在應用層建立加密通道；IPsecVPN在網(wǎng)絡層進行加密，通過IP封裝隧道傳輸。

②適用場景：SSLVPN適合需要靈活訪問多種應用的用戶，如遠程辦公；IPsecVPN更適合需要穩(wěn)定、透明訪問內網(wǎng)資源的場景，如分支機構互聯(lián)。

③用戶體驗：SSLVPN通常提供更豐富的客戶端功能（如網(wǎng)頁界面）；IPsecVPN依賴操作系統(tǒng)支持，配置相對復雜。

④安全特性：IPsecVPN具備更好的抗干擾能力，適合穿越復雜網(wǎng)絡環(huán)境；SSLVPN在Web應用訪問方面表現(xiàn)更優(yōu)。

適用場景：

①SSLVPN：適用于需要訪問Web應用、郵箱、內部系統(tǒng)的遠程辦公人員，用戶數(shù)量多且分布廣泛。

②IPsecVPN：適用于需要穩(wěn)定訪問內網(wǎng)所有資源（如文件共享、數(shù)據(jù)庫）的分支機構場景，用戶數(shù)量相對固定。

解析：本題考查VPN技術對比。區(qū)別需從技術原理、適用場景、用戶體驗、安全特性四個維度展開。場景分析需結合實際應用，如遠程辦公和分支機構互聯(lián)的區(qū)別。解析：要點①對應培訓中“VPN技術”模塊的知識點，需全面對比兩種VPN的技術差異。要點②的適用場景需結合“遠程辦公”和“分支機構互聯(lián)”兩種典型應用場景，符合企業(yè)網(wǎng)絡安全的實際需求。

53.答：

基本步驟：

①規(guī)劃安全區(qū)域：根據(jù)網(wǎng)絡拓撲創(chuàng)建trust、untrust、dmz等安全區(qū)域，并分配接口。

②配置默認策略：設置默認允許內網(wǎng)訪問外網(wǎng)，默認拒絕所有其他流量。

③制定業(yè)務策略：根據(jù)實際業(yè)務需求，制定具體的訪問控制策略，如允許Web服務器訪問特定內網(wǎng)服務。

④測試驗證：通過模擬業(yè)務場景測試策略有效性，確保業(yè)務正常開展且無安全風險。

注意事項：

①優(yōu)先級管理：重要業(yè)務策略優(yōu)先級需高于一般策略，防止被默認策略覆蓋。

②最小權限原則：僅開放必要的訪問權限，避免過度開放導致安全風險。

③動態(tài)調整：根據(jù)業(yè)務變化及時更新策略，確保持續(xù)符合安全要求。

④定期審計：定期檢查策略有效性，清理冗余策略。

解析：本題考查防火墻策略配置流程。步驟需覆蓋規(guī)劃、配置、測試、審計四個關鍵階段。注意事項需結合企業(yè)安全實踐，如最小權限原則、優(yōu)先級管理等。解析：要點①對應培訓中“防火墻策略配置”模塊的核心流程，包含區(qū)域劃分、默認策略、業(yè)務策略、測試驗證四個步驟。要點②涉及“訪問控制最佳實踐”培訓內容，符合深信服防火墻配置的實戰(zhàn)要求。

六、案例分析題（共25分）

案例背景分析：

該企業(yè)防火墻配置存在安全風險，主要體現(xiàn)在：

①DMZ區(qū)域的Web服務器（/24）直接暴露在untrust區(qū)域，缺乏有效隔離。

②防火墻策略可能未限制untrust區(qū)域對內網(wǎng)IP的掃描行為。

③缺乏針對Web應用層攻擊的防護措施。

問題解答：

1.可能導致該問題的深信服防火墻配置風險點：

問題1：答：

①DMZ區(qū)域配置不當：防火墻策略可能允許untrust區(qū)域直接訪問dmz區(qū)域的Web服務器，且未限制訪問范圍。

②訪問控制策略缺失：可能未配置阻止untrust區(qū)域掃描內網(wǎng)IP的策略。

③Web應用防護不足：防火墻可能未啟用或未正確配置WAF功能，導致無法檢測Web層攻擊。

④日志審計缺失：可能未開啟相關日志記錄，導致無法追蹤攻擊行為。

問題2：答：

①調整DMZ區(qū)域策略：在untrust到dmz