8.31 网络与信息安全工程师--收集面试题

[vieyahn2017]

网络与信息安全工程师

[vieyahn2017]

2016.07 - 至今 中移信息技术有限公司（原中国移动集团公司业务支撑系统管理部） (2年 2个月) 信息安全岗 | 10001-15000元/月 通信/电信/网络设备 工作描述： 1.负责公司生产系统上线前的安全评估，包括漏洞，基线和应用扫描 2.负责对各省公司做支撑网系统安全检查和稽核审计，包括4A,SMP等项目的合规检查。 3.负责迎检两部委对业务支撑网全网安全的考核检查工作和工信部对基础电信企业公司网络与信息安全工作考核的工作 4.负责公司生产网和办公网段的划分和准入管控，熟悉飞塔准入，防火墙，DDOS,IDS/IPS,天玥安全审计系统等安全产品 5.负责公司citrix思杰桌面运维，终端接入安全审计工作，熟悉dlp,防毒墙，landesk等安全办公终端软件产品 6.会议保障：参加了中国移动全网十九大会议安全保障工作，“两会”期间通信和网络安全保障工作，厦门金砖会议安全保障工作， 青岛上合峰会网络信息安全保障部署工作，十三届全运会安全保障工作等系列国家重大活动网络安全保障工作

项目经历
2018.01 - 2018.06 中移信息技术有限公司云计算安全管控平台项目 项目描述： 中移IDC云化建设从传统IT安全管理角度出发，结合云计算应用特点，将现有成熟的安全机制延伸到IDC应用及安全管理当中，打造:1.虚拟化安全 2.网络安全 3.业务及数据安全 4.运营管理安全的安全管控平台 职责：参与公司云安全管控平台的规划设计，主要包括：主机安全，虚拟化安全，网络安全管控方案的制定，云计算网络安全域划分，主要负责接入云平台的虚拟机安全加固：安全配置操作、病毒防护、系统补丁操作、防恶意代码操作等功能模块的测试工作。 2017.01 - 2017.08 中国移动业务支撑网安全管理平台（SMP）建设 项目描述： 中国移动业务支撑网安全管理平台（SMP）是一级安全管理工作常态化运行的技术支撑平台，以集中化的安全策略管理为中心、重点建设安全量化指标管理、安全合规管理、安全资产管理、安全事件管理、安全作业管理、网络安全、系统安全、数据安全、接口、统一采集控制的安全运营支撑能力，为安全管理工作提供有效的技术支撑手段。 职业：负责项目建设进度跟进，对阶段性的项目输出进行验收和融合团队进行考勤，对规范中要求接入smp平台的安全基础数据进行梳理，以及公司个性化安全管控数据的补充收集，负责系统对接和日志提取功能的测试。

[vieyahn2017]

问题： Appscan扫描原理 Appscan扫描策略

---

Appscan扫描原理

AppScan是IBM公司的一款web漏洞扫描工具，相似的工具还有AWVS、burpsuite、paros等，这些工具扫描原理相似，都是通过内置爬虫爬取网管的URL和http请求，然后根据这些请求创建测试用例，详细原理如下：

对站点进行测试以发现安全漏洞的过程，首先它会对站点进行一次 Explore（其行为与网络爬虫类似）过程，从某一起始 URL 开始通过页面间的链接不断探索，直到站点的所有页面都被访问或者达到某设定的最大值。在 Explore 的同时，AppScan 会分析每一个发现的页面并确定是否需要对其进行测试。如果需要，AppScan 将根据设定的测试策略（后面章节有对测试策略的详细介绍）为其创建测试用例，测试用例的数量由测试策略包含的规则集决定。Explore 完成后，AppScan 将根据测试用例对站点进行测试并分析站点的响应信息以发现安全缺陷。AppScan 引入了 扫描工程 的概念对安全扫描进行管理，通过 扫描工程 用户可以配置各种参数、保存扫描结果等。

由于内置爬虫是通过某一起始URL开始通过页面间的链接不断探索，因此探索的深度和广度有限制，导致大部分的URL无法被爬取，要想测试完全必须通过手动探索加载URL。具体方法就是网管界面涉及的菜单需要去手工触发一下，这样AppScan才能录制未被爬取到的URL。

---

Appscan扫描策略

AppScan 扫描策略配置

以扫描网站是否存在跨站点脚本执行和 SQL 注入的问题为例配置扫描策略 方法如下：

1. 选择缺省的扫描策略，或者把当前的扫描策略，切换到按照“类型”分类，取消掉“基础结构”和“应用程序”两种类型。 说明：把扫描策略置空，没有选择任何的扫描策略，指所有分布类型选择“类型”分类，是因为类型分类里面含有的类型，只有两种类型，可以快速全部都取消掉。

2. 分组类型，切换到“WASC 威胁分类”，选择“SQL 注入”和“跨站点脚本编制”。

3. 分组类型，切换到“类型”，发现这时候“基础结构”和“应用程序”两种类型的扫描策略都是选择上的模式，而且是虚线，说明这两种类型下均有部分扫描策略被选择了。

4. 我们不关心“基础结构”级别的安全问题，所以在这里取消“基础结构”。 图 2. 按“类型”分类的测试策略

5. 分组类型，切换到“侵入式”类型，下面有“非侵入式”和“侵入式”两种分类。取消“基础结构”级别的测试。 图 3. 按“侵入式”分类的测试策略

侵入式的测试用例，往往因为有比较强的副作用，可能对系统造成伤害，所以一般扫描生产系统的时候，很少选择。我们可以查看一个 SQL 注入类型的侵入式安全问题，在“输入以查找”输入框中输入“SQL”，然后回车查询。可以看到测试变体的描述“将参数值设置为 Declare/Case SQL 注入攻击（尝试关闭 DB 服务器）”，则扫描过程中，会使用该测试用例去执行尝试关闭数据库的命令，如果该测试用例执行通过，则就关闭了数据库，则整个系统就瘫痪！所以，要很慎重的选择“侵入式的测试用例”。 图 3. 查询测试策略

其他的在“类型”中，“应用程序”类型表示该问题的存在是因为应用程序不严谨，代码存在安全问题而造成的，修改方法就是修改原代码；而“基础结构”类型，则表示该问题是配置问题，建议修改系统配置或者安装最新的补丁。

[vieyahn2017]

问题： 入侵检测系统(IDS)与入侵防御系统(IPS) 的区别

---

入侵检测系统(IDS)

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是： 服务器区域的交换机上； Internet接入路由器之后的第一台交换机上； 重点保护网段的局域网交换机上。

入侵防御系统(IPS)

IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。 对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。 进行了以上分析以后，我们可以得出结论，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。至于其它区域，可以根据实际情况与重要程度，酌情部署。

IPS与IDS的区别、选择

IPS对于初始者来说，是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。 目前无论是从业于信息安全行业的专业人士还是普通用户，都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现，给用户带来新的困惑：到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢? 从产品价值角度讲：入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。 从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。 而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。 入侵检测系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。 明确了这些区别，用户就可以比较理性的进行产品类型选择： • 若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统，在网络的边界点部署入侵防御系统。 • 若用户计划分布实施安全解决方案，可以考虑先部署入侵检测系统进行网络安全状况监控，后期再部署入侵防御系统。 • 若用户仅仅关注网络安全状况的监控(如金融监管部门，电信监管部门等)，则可在目标信息系统中部署入侵检测系统即可。 明确了IPS的主线功能是深层防御、精确阻断后，IPS未来发展趋势也就明朗化了：不断丰富和完善IPS可以精确阻断的攻击种类和类型，并在此基础之上提升IPS产品的设备处理性能。 而在提升性能方面存在的一个悖论就是：需提升性能，除了在软件处理方式上优化外，硬件架构的设计也是一个非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+专用语言开发，将已知攻击行为的特征固化在电子固件上，虽然能提升匹配的效率，但在攻击识别的灵活度上过于死板(对变种较难发现)，在新攻击特征的更新上有所滞后(需做特征的编码化)。而基于开放硬件平台的IPS由于采用的是高级编程语言，不存在变种攻击识别和特征更新方面的问题，厂商的最新产品已经可以达到电信级骨干网络的流量要求，比如McAfee公司推出的电信级IPS产品M8000（10Gbps流量）、M6050（5Gbps）。 所以，入侵防御系统的未来发展方向应该有以下两个方面： 第一， 更加广泛的精确阻断范围：扩大可以精确阻断的事件类型，尤其是针对变种以及无法通过特征来定义的攻击行为的防御。 第二， 适应各种组网模式：在确保精确阻断的情况下，适应电信级骨干网络的防御需求。

[vieyahn2017]

网络安全工程师面试题tcp/ip篇

置顶 2016年08月17日 10:54:56 阅读数：8908 标签： 黑客 面试题 网络安全 网络 工作 个人分类： 网络安全 版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/nuoya_1995/article/details/52228909 最近在面试网络安全工程师，在面试过程中网络基础知识必须满足以下几点：

1、理解模型：尤其必须理解OSI、TCP/IP、Cisco和纵深防御网络模型。 2、理解第二层相关问题：包括了冲突域、广播域、交换与集线、端口安全以及生成树的相关主题 3、理解第三层相关问题：包含了IP路由协议；内部路由协议、如RIPv1/v2 和OSPF；外部路由协议，如BGP、子网络、超网络；网络地址转换（NAT）和IPv6 4、理解第四层相关问题：包含了TCP和UDP、会话的建立、报头和选项、端口地址转换以及常用端口 5、理解五到七层相关问题;包含了应用漏洞、特洛伊/蠕虫/病毒、内容过滤和IDS/ISP/IDP.

我又总结了一下在面试中经常被问到的知识点，算是比较全面的吧，如果大家发现了什么遗漏，希望大家可以提示一下，我会补充起来，方便大家共同学习进步~

下面就是总结的技术点（按照问题出现的频率排列）：

1、讲一讲交换机的学习机制

2、TCP的半连接状态是怎样的？ （TCP的半连接，SYN攻击）

3、什么是DDOS攻击？和DOS攻击有什么区别？

4、DHCP动态分配IP的过程是什么？它的原理是什么？

5、讲一讲什么是ARP协议？

6、ARP投毒过程和原理？该怎么防御ARP投毒？

7、讲一下TCP协议和UDP协议的区别？

8、讲一下TCP的三次握手过程

9、DHCP协议的功能？报文结构？

10、MAC泛红攻击的原理和过程？它的防御方式是什么？

11、ip报头格式是什么？

12、nat转换的原理是什么？和iptables的关系？

[vieyahn2017]

服务器的安全策略

服务器的安全策略分为：

a、物理安全策略

b、访问控制策略

c、信息加密策略

d 、网络安全管理策略

措施比如：

1. 修改ssh默认连接22端口 和 添加防火墙firewalld 通过端口

2. 禁止root帐号直接登录

3. 安装DenyHosts【拦截获取攻击的IP，生成黑名单，防止再次攻击】

[vieyahn2017]

《云计算安全体系》之虚拟化安全读后总结

2016年01月05日 11:18:33 阅读数：1272 标签： 云安全 虚拟化安全 个人分类： 云安全 版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/u010774286/article/details/50461191 《云计算安全体系》之虚拟化安全读后总结

云计算安全体系之虚拟化安全读后总结

虚拟化架构 虚拟化安全隐患 虚拟化安全攻击 虚拟化安全解决方法 虚拟化架构

之前了解比较少，重点记录下

• 裸机虚拟化：无需HostOS，hypervisor直接运行在硬件上，对上提供指令集和设备接口给虚拟机，性能高，实现复杂，多用于企业级虚拟化架构，典型实现有VMware ESX、Microsoft Hyper V 等。
• 主机虚拟化：需HostOS，Hypervisor为其上的软件，性能差，实现简单，目前是发展主流，典型实现有xen、kvm、VMware workstation 等。
• 操作系统虚拟化：继续HostOS的隔离机制实现，运行效率高，但必须使用单一标准的操作系统，灵活性差，典型实现有 docker、LXC 等，也就是容器，目前很火热。

虚拟化安全隐患

配置问题导致

• 虚拟机蔓延：虚拟机创建越来越容易，数量越来越多，导致管理和回收工作越来越困难，这种失去控制的虚拟机繁殖成为虚拟机蔓延，具有僵尸虚拟机、幽灵虚拟机、虚胖虚拟机三种表现形式。
• 特殊配置隐患：模拟多种操作系统下软件的运行情况，会租用多个虚拟机，部署不同的操作系统，在仿真条件，比如不更新补丁的情况下查看自己软件运行情况，存在漏洞。
• 状态恢复隐患：备份和快照的功能，导致虚拟机可随时回滚，导致安全策略比如已更新的补丁丢失的情况。
• 虚拟机暂态隐患：虚拟机暂停使用的状态，系统管理员无法对其进行安全更新。

虚拟化安全攻击

恶意攻击

• 虚拟机窃取和篡改：虚拟机磁盘内容和镜像以文件存在的缘故。
• 虚拟机跳跃：同一Hypervisor上虚拟机之间能够通过网络连接、共享内存等互相通信，攻击者基于一台虚拟机通过上述方式获取同一Hypervisor上其他虚拟机的访问权限。
• 虚拟机逃逸：Hypervisor存在漏洞，攻击者使用虚拟机获取到Hypervisor的访问权限。
• VMBR攻击：virtual machine based rootkit。在已有的操作系统之下安装一个虚拟机监视器，将操作系统上移，编程一个虚拟机，这样在VMM中运行任何恶意程序都不会被运行在目标操作系统上的入侵检测程序发现。
• 拒绝服务攻击

虚拟化安全解决方法

宿主机安全：物理安全和操作系统安全，传统的安全机制。

Hypervisor安全机制：

自身安全保障：构建轻量级Hypervisor，较少TCB(Trusted Computing Base)；基于可信计算技术的完整性保护。。 提高Hypervisor防御能力：虚拟防火墙；合理分配主机资源；保障远程控制台安全（连接数为1，禁止拷贝和黏贴）；根据需要分配权限（先分配角色，不带权限，用户需要什么权限，再分配）。

虚拟机隔离机制：

安全隔离模型：硬件协助的安全内存管理SMM；硬件协助的安全I/O管理SIOM。 访问控制模型：sHype，Shamon

虚拟机安全监控：

内部监控：被监控的虚拟机中插入一些钩子函数，典型代表Lares、SIM，可以直接截取系统级语义。 外部监控：依赖Hypervisor的截获，典型代表Livewire，需要语义重构（低级语义如二进制语义重构出高级语义如操作系统级语义）。

虚拟机安全防护与检测：

纵向流量的防护与检测：客户端到服务器的访问，不同虚拟机之间三层转发流量，交换必经过硬件交换，传统的防火墙和入侵检测都可使用。 横向流量的防护与检测：虚拟化新问题，不经过硬件交换，2种技术，一是基于虚拟机的安全服务模型（建立安全虚拟机，开发Hypervisor嵌入式模块，将流量重定向到安全虚拟机进行安全管理）；二是边缘虚拟桥（edge virtual bridge EVB）和虚拟以太网端口汇聚器VEPA，将虚拟交换上的流量重定向到物理交换上进行管理。