DPI 技术背景

主要考察安全威胁、什么是 DPI、DPI 特征库、DPI 业务、DPI 基本工作原理等。

问题1

H3C NGFW的特征库包括以下哪些？（ABCD）

A. URL分类特征库

B. APR特征库

C. 防病毒特征库

D. IPS特征库

说明/参考：

URL过滤特征库升级和URL过滤分类云端查询功能需要安装License才能使用。License过期后，URL过滤功能可以采用设备中已有的URL过滤特征库正常工作，但无法升级到比当前版本高的特征库，且无法进行URL过滤分类云端查询。

APR（Application Recognition，即应用层协议识别）特征库的升级需要安装License。License过期后，APR功能可以采用设备中已有的APR特征库正常工作，但无法升级特征库。

防病毒功能需要安装License才能使用。License过期后，防病毒功能可以采用设备中已有的病毒特征库正常工作，但无法升级特征库。

IPS功能需要安装License才能使用。License过期后，IPS功能可以采用设备中已有的IPS特征库正常工作，但无法升级到比当前版本高的特征库。

问题2

H3C NGFW的DPI功能说法正确的有（ABD）

A. APR功能可以实现对报文所属应用程序的识别

B. 如果报文与黑名单匹配成功，则会直接丢弃，不进行其他检测口

C. 无法深度识别到报文所属的应用程序口

D. 业务流匹配安全策略后会进行DPI的检测

说明/参考：

问题3

下列选项中，属于深度安全防御技术的是（BCD）

A. 状态监测

B. 应用识别

C. 内容识别

D. 威胁识别

说明/参考：

DPI深度安全提供如下功能：

业务识别

应用层检测引擎模块对报文传输层以上的内容进行分析，并与设备中的特征字符串进行匹配来识别业务流的类型。应用层检测引擎是实现DPI度安全功能的核心和基础应。业务识别的结果可为DPI各业务模块对报文的处理提供判断依据。

业务控制

业务识别之后，设备根据各DPI业务模块的策略以及规则配置，实现对业务流量的灵活控制。目前，设备支持的控制方法主要包括：放行、丢弃、源阻断、重置、捕获和生成日志。

业务统计

业务统计是指对业务流量的类型、协议解析的结果、特征报文的检测和处理结果等进行统计。业务统计的结果可以直观体现业务流量分布和用户的各种业务使用情况，便于更好的发现促进业务发展和影响网络正常运行的因素，为网络和业务优化提供依据。

问题4

ACG1000的DFI主要用来识别应用的静态报文特征（B）

A.正确

B.错误

说明/参考：

DFI主要用来识别应用的动态流量特征

DPI 技术原理

主要考察IPS 技术、IPS 特征、IPS 动作、防病毒技术、病毒特征与动作、URL 过滤、过滤规则、规则匹配方式、文件过滤技术、数据过滤特性等。

问题1

以下哪个病毒可以破坏计算机硬件?（A）

A. CIH病毒

B. 宏病毒

C. 冲击波病毒

D. 熊猫烧香病毒

说明/参考：

问题2

防火墙的策略一般是应用在安全域之间的，而IPS/AV策略一般应用在某个段上。（B）

A.正确

B.错误

说明/参考：

问题3

IPS(入侵防御系统)是一种基（）的产品，它对攻击识别是基于（）匹配的（A）

A. 应用层，特征库

B. 网络层，协议

C. 应用层，协议

D. 网络层，特征库

说明/参考：

IPS（Intrusion Prevention System，入侵防御系统）是一种可以对应用层攻击进行检测并防御的安全防御技术。IPS通过分析流经设备的网络流量来实时检测入侵行为，并通过一定的响应动作来阻断入侵行为，实现保护企业信息系统和网络免遭攻击的目的。

问题4

由于新的漏洞、新的攻击工具、攻击方式的不断出现，IPS只有不断的更新特征库才能对网络、系统和业务的有效防御，下面关于IPS的特征：（D）

A. H3C IPS升级持征库后需要重启设备才能生效

B. H3C IPS特征库升级有手动升级和自动升级两种

C. H3C IPS只支持手动升级特征库

D. 用户可以H3C网站上自助进行License激活申请

说明/参考：

IPS特征库的升级包括如下几种方式：

定期自动在线升级：设备根据管理员设置的时间定期自动更新本地的IPS特征库。

立即自动在线升级：管理员手工触发设备立即更新本地的IPS特征库。

手动离线升级：当设备无法自动获取IPS特征库时，需要管理员先手动获取最新的IPS特征库，再更新设备本地的IPS特征库。

问题5

NGFW的特征库有哪些? （ABCD）

A.IPS

B.AV

C.ACG

D.APR

说明/参考：

DPI深度安全功能的业务识别是对报文进行特征字符串匹配，所以设备中必须拥有业务识别所需要的特征项。DPI特征库就是这些公共的、通用的特征项的集合，可被打包到标准的特征库文件中供设备加载。通常情况下，管理员只需要定期加载最新的特征库文件到设备上即可及时更新本地的特征项。除此之外，管理员还可以根据实际网络需求按照设备支持的语法，自定义特征，作为特殊网络环境下的补充。

目前，设备中支持的DPI特征库包括：IPS特征库、URL分类特征库、APR特征库和防病毒特征库。

DPI 技术配置

主要考察DPI 基础配置、License 申请、特征库升级、IPS 配置、防病毒配置、URL过滤配置等。

问题1

关于IPS攻击防御策略的下发，下列说法正确的有（ACD）

B. 策略可以基于时间下发

C. 策略可以根据用户的具体应用来制定相应的攻击防护策略下发

D. 策略下发后，必须应用到段上，并且激活才能生效

问题2

H3C IPS 功能可以对业务流量进行以下那些缺省动作。（ABCDEF）

A. 黑名单

B. 丢弃

C. 允许

D. 抓包

E. 生成日志

F. 重置

说明/参考：

IPS动作是指设备对匹配上IPS特征的报文做出的处理。IPS处理动作包括如下几种类型：

~重置：通过发送TCP的reset报文断开TCP连接。

~重定向：把符合特征的报文重定向到指定的Web页面上。

~丢弃：丢弃符合特征的报文。

~放行：允许符合特征的报文通过。

~捕获：捕获符合特征的报文。

~生成日志：对符合特征的报文生成日志信息。

负载均衡概述

问题1

H3C负载均衡交换机目前可以支持四层负载均衡，但不支持七层负载均衡（A）

A.正确

B.错误

问题2

A. 最少连接

B. 预测模式

C. 轮询

说明/参考：

·     HTTP哈希算法：根据HTTP载荷将请求分发给实服务器。

·     动态轮转算法：根据实服务器的内存使用率、CPU使用率和磁盘使用率等信息计算出当前的负载能力权值。负载越小，权值越大，分配到的新连接越多。该算法只有在引用了SNMP-DCA类型的NQA探测模板的情况下才会生效。若未引用SNMP-DCA类型的NQA探测模板，则使用轮转算法进行调度。有关NQA模板的配置请参见“网络管理与监控配置指导”中的“NQA”。

·     加权最小连接算法（基于实服务器）：总是将请求分发给加权活动连接数（当前实服务器在所有实服务组中的活动连接总数/权值）最小的实服务器。该算法中使用的权值为实服务器视图下配置的权值。

·     加权最小连接算法（基于实服务器组成员）：总是将请求分发给加权活动连接数（实服务组成员在指定实服务组中的活动连接数/权值）最小的实服务组成员。该算法中使用的权值为实服务器组成员视图下配置的权值。

·     随机算法：将请求随机分发给某个实服务器。

·     最短时间算法：根据实服务器的响应时间计算出当前负载能力的权值。响应时间越短，权值越大，分配到的新连接越多。

·     加权轮转算法：根据实服务器权值的大小将请求依次分发给每个实服务器，权值越大，分配的请求越多。

·     带宽算法：根据实服务器的权值与剩余带宽的比例把请求分发给每个实服务器。

·     最大带宽算法：总是将请求分发给处于空闲状态且剩余带宽最大的实服务器。

问题3

H3C负载均衡交换机提供了全面的健康检测算法，负载均衡调度算法以及会话保持功能，可以根据应用场景进行灵活的选择，从而达到最优的负载均衡效果，下面关于H3C负载均衡交换机描述不正确的是（B）

B. Cookie信息的会话保持负载均衡调度功能和会话保持功能不能同时启动

C. 可以提供基于ICMP，TCP，HTTP，VFTP，QSSL92，DNS等健康检测算法

问题4

H3C目前已经推出一系列高性能负载均衡交换机，可以应用在网络的各个节点，不面哪些交换机系列支持负载均衡功能?（ABC）

A. S9500E

B. S7500E

C. S12500

D. S5800

（题目来源于网络，仅供参考学习）

       

           

更多推荐