天融信实操测试

1、如何规划防火墙，将内部业务服务器和部分PC机与Internet隔离?

将防火墙配置为路由模式，
将内部业务服务器和部分PC机设为一个VLAN，
设置访问控制策略，防火墙拒绝此VLAN与Internet的连接。

2、防火墙物理接口有哪些工作模式？

路由
交换
虚拟线
BOND
Listening

3、简要概述防火墙的配置步骤

以串口、WEBUI、ssh等方式登录防火墙配置页面
配置接口属性
配置路由
配置VLAN
配置区域属性
配置服务
配置路由
配置主机对象
配置访问对象
配置访问策略
配置双机热备
保存配置

4、描述天融信防火墙的访问控制规则的匹配顺序？

（1）访问控制策略匹配时，按照策略的排列顺序从上到下依次进行匹配，连接匹配访问控制策略的所有条件，则执行相应的策略动作，不再继续进行匹配，否则继续匹配下一条访问控制策略。
（2）访问控制策略匹配时会按照从上之下的顺序依次匹配不同策略组内的访问控制策略，直至成功匹配某一条访问控制策略或者匹配完所有策略组中的访问控制策略。
（3）首次匹配，如果报文匹配一条访问控制策略，防火墙执行相应的策略动作，不再继续匹配剩余的访问控制策略。

5、防火墙有哪几种管理方式？

WEBUI
SSH
telent
串口

6、防火墙的地址转换包括哪些类型的转换？

转换方式：
源地址转换（SNAT）
转换内容：源IP地址
特点： 1）通过配置 SNAT 地址池，实现特定数据报文经过 NGFW 后，数据报文的源 IP 地址转换为 SNAT 地址池中某个 IP 地址。 2）该地址转换方式为一对一转换。用户共享 SNAT 地址池中 IP 地址，SNAT 地址池中的 IP 地址全部被使用情况下，后续用户将不能通过 NGFW 的 SNAT技术进行地址转换，即 SNAT 地址池中地址个数为允许同时通过防火墙通信的最大用户数。
转换内容：源 IP 地址+源端口
1）通过配置 SNAT 地址池，实现特定数据报文经过 NGFW 后，数据报文的源 IP 地址转换为 SNAT 地址池中某个 IP 地址，并转换源端口号。 2）该转换方式为多对一转换。多个用户可同时使用同一个 IP 地址访问网络资源，NGFW 根据端口号区分不同的用户。

转换方式：目的地址转换（DNAT）
转换内容：目的 IP 地址
特点：通过配置 DNAT 地址池，实现特定数据报文经过 NGFW 后，数据报文的目的 IP 地址转换为 DNAT 地址池中某个 IP 地址。
转换内容：目的 IP 地址+ 目的端口
特点：通过配置 DNAT 地址池和转换后的目的端口号，实现特定数据报文经过 NGFW 后，数据报文的目的 IP 地址转换为 DNAT 地址池中某个 IP 地址，目的端口号转换为特定的端口号

转换方式：双向地址转换（双向 NAT）
转换内容：源 IP 地址+目的 IP 地址（+ 源/目的端口）
特点：通过配置 SNAT 和 DNAT 地址池，实现特定数据报文经过 NGFW 后，将数据报文的源 IP 地址转换为 SNAT 地址池中某个 IP 地址，目的 IP 地址转换为 DNAT 地址池中某个 IP 地址。说明：双向 NAT 为 SNAT 和 DNAT 的结合，其功能特性也为 SNAT 和 DNAT 的结合。

转换方式：不作转换（NoNAT）
内容：不转换
特点：不转换数据包的 IP 地址和端口。主要在已定义的 SNAT、DNAT、双向 NAT 基础上，定义无需执行地址转换的特例。说明：数据报文匹配 NAT 规则时，首先匹配 NoNAT 规则，如果满足 NoNAT 规则的条件，则不进行地址转换。

7、天融信VPN设备支持建立哪些VPN通道？

SSLVPN
IPsecVPN
PPTP
L2TP

8、简述WEB应用防火墙的主要功能？

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用（俗称网站）提供保护的产品。

异常检测协议
Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。
并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。
增强的输入验证
增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。
从而减少Web服务器被攻击的可能性。
基于规则的保护和基于异常的保护
基于规则的保护可以提供各种Web应用的安全规则，WAF生产商会维护这个规则库，
并时时为其更新。用户可以按照这些规则对应用进行全方面检测。
还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。
状态管理
AF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。
通过检测用户的整个操作行为我们可以更容易识别攻击。
状态管理模式还能检测出异常事件(比如登录失败),并且在达到极限值时进行处理。
对访问请求进行控制,
可以主动识别、阻断攻击流量,就如现在智能化的AI,可以发觉安全威胁对其主动进行防御。
不限制于被动状态下的规则和策略去防护。
防范cc攻击
此攻击是很难发现以及防的，WAF需要识别出来，把恶意软件的请求过滤清洗掉,
反射正常流量进入源站。最常见的高级高级便是ddos攻击,CC攻击,
在防御它们的时候也都是通过域名解析后,替换隐藏源IP,利用WAF指纹识别架构,
将所有访问的请求过滤清洗,正常的访问需求返回客户端。
其他防护技术：
WAF还有一些安全增强的功能，可以用来解决WEB程序员过分信任输入数据带来的问题。
比如敏感词语过滤、抗入侵规避技术、响应监视和信息泄露保护。

9、某企业的网络结构示意图如下图所示：

用户基本需求如下：
 内网 area_eth2 区域的文档组（10.10.10.0/24）可以上网；允许项目组领导（10.10.11.2 和 10.10.11.3）上网，禁止项目组普通员工上网。
 外网和 area_eth0 区域的机器不能访问研发部门内网；
 仅允许外网用户访问 area_eth0 区域的 WEB 服务器：真实 IP 为172.16.1.3，虚拟 IP 为 192.168.100.143。内网用户不允许访问 WEB 服务器。
请根据上述需求，阐述防火墙的配置步骤或要点。

原题：
网络卫士防火墙系统配置案例
http://www.techcan.com.cn/Uploads/Soft/20178516410391460.pdf

10 、请根据需求，简述设备的配置步骤或要点。

背景：网络卫士防火墙作为网关接入网络，设备的 eth2 口（接口 IP：202.99.65.100/24，网关 IP：202.99.65.1）与外网相连，设备的 eth1 口（接口 IP：192.168.1.1/24）与内网（192.168.1.0/24）相连，内网用户通过 Eth1 口访问外网，如图所示。
需求：实现入侵防御系统对访问控制规则允许的流量进行攻击防御。