一、核心精简知识点汇总
(一)SSH 安全远程协议(TCP 22 端口)
- 连接四阶段:TCP 建立连接 → 协议版本协商(明文)→ 密钥交换(生成加密隧道)→ 用户身份认证
- 关键特点:SSH1.0 存在高危漏洞已淘汰,仅 SSH-2.0 安全;版本协商明文传输,存在降级攻击风险;密钥交换完成后所有通信加密。
- 加密逻辑:非对称加密完成密钥交换,对称加密传输业务数据,兼顾安全与传输效率。
- 协商版本四大意义:设备兼容、协议迭代、安全管控、运维故障排查。
(二)SNMP 网络管理协议(UDP)
- 四大组件:NMS 管理站、SNMP Agent 代理、MIB 管理信息库、被管理对象
- 端口区分:UDP161(NMS 下发查询 / 配置指令)、UDP162(设备主动发送 Trap 故障告警)
- 版本差异:v1/v2c 明文团体字,无加密不安全;v3 新增认证、加密、访问控制,企业标准推荐版本。
- 核心概念:MIB 是树形指标目录,OID 为每个监控指标唯一编号;被管理对象是 CPU、端口流量等具体监控数据。
(三)HTTP / HTTPS
- HTTP:TCP80 端口,明文传输、无状态,易窃听、篡改,无身份校验。
- HTTPS:TCP443 端口,HTTP 叠加 SSL/TLS 加密层,需 CA 数字证书,实现加密传输、身份认证、数据完整性校验。
(四)VXLAN 虚拟大二层技术
- 传输端口:UDP 4789,封装格式 MAC-in-UDP。
- 核心组件:VTEP 隧道端点(封装 / 解封装报文)、VNI 虚拟网段标识(替代传统 VLAN ID)。
- 作用:在三层物理网络上搭建二层逻辑网络,突破传统 VLAN 4096 数量限制,支持跨机房、跨网段大二层组网。
(五)防火墙
- 工作层级:2~7 层全域访问控制,默认拒绝跨安全域流量。
- 三大技术:包过滤(基于五元组 ACL)、状态检测(维护会话表跟踪 TCP 完整连接)、AI 防火墙(识别加密流量、0day 未知威胁)。
- 四大安全区域(优先级从高到低):Local (100)>Trust (85)>DMZ (50)>Untrust (5)
- 区域规则:高优先级区域默认可访问低优先级;低访问高必须手动配置放行策略。
(六)各类安全设备
- IDS/IPS
- IDS:旁路镜像流量,仅检测、告警,无法阻断攻击;
- IPS:串联部署,实时拦截恶意报文;配备 Bypass 容错,设备故障自动直通流量,防止业务中断;
- 通用技术:DPI 深度包检测、特征库 + 异常行为双引擎、AI 智能流量分析。
- 三层防病毒体系:网关边界拦截第一道防线→核心服务器防护→终端节点管控,防御勒索病毒、木马内网横向扩散。
- 日志审计系统:统一采集全网设备日志,等保 2.0 强制要求日志留存≥6 个月,用于安全溯源、合规审计、事件取证。
- 运维堡垒机:基于 4A 管控体系(认证 Authentication、账号 Account、授权 Authorization、审计 Audit),统一运维入口,全程操作录像、命令记录可回放。
- AC 上网行为管理:串联部署在互联网出口,DPI 识别各类应用、DFI 动态流量管控,管控娱乐软件、优化办公带宽、留存上网日志。
- 零信任安全:核心原则永不信任、始终验证、最小授权、动态管控;抛弃传统内网可信边界,支持 SPA 端口隐藏、内网微隔离、持续信任校验,适配远程办公、多云场景。
- LB 负载均衡
- L4 四层:基于 IP + 端口调度,转发性能高;
- L7 七层:基于 URL、Cookie、HTTP 头部等应用层内容精细化分发;
- 价值:解决单服务器单点故障、分摊并发流量、业务弹性扩容。
二、单选题(20 道,答案 + 详细解析)
1. SSH 协议默认使用的 TCP 端口是()
A.21 B.22 C.23 D.80
答案:B
解析:21 为 FTP 端口,23 为 Telnet 明文远程登录端口,80 为 HTTP 端口;SSH 安全远程登录默认 TCP 22 端口。
2. SSH 建立连接的正确顺序是()
A. 版本协商→TCP 连接→密钥交换→用户认证 B.TCP 连接→版本协商→密钥交换→用户认证 C.TCP 连接→密钥交换→版本协商→用户认证 D.TCP 连接→版本协商→用户认证→密钥交换
答案:B
解析:SSH 四阶段固定流程:先建立 TCP 底层传输通道,再明文协商协议版本,协商算法交换密钥生成加密隧道,最后加密通道内完成用户登录认证。
3. SSH 哪个阶段传输数据为明文,存在降级攻击风险()
A.TCP 连接建立 B. 版本协商 C. 密钥交换 D. 用户认证
答案:B
解析:TCP 连接仅建立链路无数据交互;版本协商两端明文发送版本字符串,未加密,存在攻击者强制降级至 SSH1.0 的风险;密钥交换完成后全程加密,用户认证在加密隧道内传输。
4. 以下哪个 SNMP 组件是监控指标的树形字典,包含 OID 标识()
A.NMS B.SNMP Agent C.MIB D. 被管理对象
答案:C
解析:NMS 是管理监控平台;Agent 是设备上采集数据的进程;MIB 是树形数据库,定义所有指标对应的唯一 OID;被管理对象是 CPU、端口等具体监控指标。
5. SNMP 设备主动发送故障告警使用的 UDP 端口是()
A.161 B.162 C.4789 D.22
答案:B
解析:UDP161 用于 NMS 主动查询设备数据;UDP162 为 Trap 告警端口,设备异常时主动向 NMS 推送告警;4789 是 VXLAN 端口,22 是 SSH 端口。
6. 目前企业推荐、支持加密与身份认证的 SNMP 版本是()
A.SNMPv1 B.SNMPv2c C.SNMPv3 D.SNMPv0
答案:C
解析:v1、v2c 仅依靠明文团体字验证身份,无加密,安全性极低;SNMPv3 新增认证、数据加密、访问权限控制,是行业标准安全版本。
7. HTTP 默认端口、HTTPS 默认端口分别是()
A.80、443 B.443、80 C.21、22 D.161、162
答案:A
解析:HTTP 明文网页 80 端口;HTTPS 加密网页 443 端口;21/22 为 FTP、SSH;161/162 为 SNMP。
8. VXLAN 隧道通信默认 UDP 端口为()
A.161 B.4789 C.22 D.443
答案:B
解析:VXLAN 采用 MAC-in-UDP 封装,固定 UDP 4789 端口传输隧道报文。
9. VXLAN 中用于区分不同虚拟二层网段的标识是()
A.OID B.VNI C.VTEP D.MAC
答案:B
解析:VNI 是 24 位虚拟网段 ID,作用等同于传统 VLAN ID;VTEP 是隧道封装端点;OID 属于 SNMP;MAC 是二层物理地址。
10. 防火墙安全区域优先级最高的是()
A.Untrust B.DMZ C.Trust D.Local
答案:D
解析:优先级 Local (100)>Trust 内网 (85)>DMZ 服务器区 (50)>Untrust 互联网 (5);Local 代表防火墙本机,权限最高。
11. 对外提供 Web 服务器、邮件服务器的防火墙区域是()
A.Trust B.DMZ C.Untrust D.Local
答案:B
解析:DMZ 隔离区放置对外业务服务器,隔离互联网与内网;Trust 为内部办公终端;Untrust 为外网互联网。
12. 关于 IDS 与 IPS 部署方式描述正确的是()
A.IDS 串联、IPS 旁路 B.IDS 旁路、IPS 串联 C. 两者均旁路 D. 两者均串联
答案:B
解析:IDS 通过端口镜像旁路监听流量,不影响业务转发,仅告警;IPS 串联在链路中间,所有流量必经设备,可实时丢弃攻击报文。
13. IPS 设备故障断电时保障业务不中断的机制是()
A. 会话表 B.Bypass 旁路容错 C.DPI D. 微隔离
答案:B
解析:Bypass 硬件直通机制,IPS 断电 / 过载故障时自动物理导通网线,避免全网断网;会话表用于跟踪连接;DPI 是流量检测技术;微隔离属于零信任。
14. 等保 2.0 要求安全日志最低留存时长为()
A.1 个月 B.3 个月 C.6 个月 D.12 个月
答案:C
解析:《网络安全等级保护 2.0》明确硬性要求,安全日志至少留存 6 个月,用于事后安全事件溯源取证。
15. 堡垒机核心遵循的运维安全管控体系是()
A.3A B.4A C.5A D.6A
答案:B
解析:堡垒机集成 4A 体系:认证、账号、授权、审计,覆盖运维全流程安全管控。
16. 零信任安全体系的核心理念是()
A. 内网可信、外网不可信 B. 永不信任、始终验证 C. 仅靠防火墙边界防护 D. 固定权限永久授权
答案:B
解析:传统边界安全思维是内网可信;零信任彻底打破边界,无论内外网,所有访问持续校验身份与权限。
17. 四层负载均衡的调度依据是()
A.URL、Cookie B.IP + 端口 C. 应用内容 D. 网页请求头
答案:B
解析:L4 四层负载均衡工作在传输层,仅识别源 / 目的 IP、端口;URL、Cookie、请求头属于应用层,是七层负载均衡调度依据。
18. 上网行为管理 AC 部署位置通常为()
A. 内网核心交换机 B. 互联网出口边界 C. 服务器内网区 D. 机房接入交换机
答案:B
解析:AC 管控员工上网、出口带宽,必须串联在企业互联网出口,拦截外网违规流量。
19. 以下不属于防火墙状态检测防火墙核心能力的是()
A. 维护会话状态表 B. 跟踪 TCP 连接完整状态 C. 仅基于五元组静态放行 D. 抵御 SYN Flood 攻击
答案:C
解析:仅五元组静态放行是包过滤防火墙特点;状态检测防火墙会维护会话表,跟踪 TCP 三次握手、挥手状态,有效防御 SYN 泛洪攻击。
20. 全网三层纵深防病毒第一道防线是()
A. 终端杀毒软件 B. 服务器防护 C. 网关边界病毒查杀 D. 堡垒机审计
答案:C
解析:三层架构顺序:互联网网关边界(第一道,拦截病毒进内网)→核心服务器防护→办公终端管控。
三、填空题(15 道,答案 + 逐空详细讲解)
1. SSH 底层基于____传输协议,默认端口____。
答案:TCP;22
讲解:SSH 属于应用层协议,依赖 TCP 可靠传输;Telnet 同为 TCP 23,SSH 加密替代明文 Telnet。
2. SSH 四大连接阶段:TCP 连接、____、密钥交换、用户认证。
答案:协议版本协商
讲解:版本协商是第二阶段,两端明文交换 SSH 版本,仅兼容 SSH2.0 才能继续建立加密隧道。
3. SNMP 四大组件:NMS、____、MIB、被管理对象。
答案:SNMP Agent
讲解:Agent 部署在交换机、路由器等被监控设备,接收 NMS 指令,采集设备运行数据回传。
4. SNMP 管理查询端口 UDP____,告警 Trap 端口 UDP____。
答案:161;162
讲解:161 端口双向交互查询配置指令;162 端口仅用于设备主动向 NMS 上报告警,单向传输。
5. HTTPS = HTTP + ___/TLS 安全加密层,默认端口_____。
答案:SSL;443
讲解:早期加密层为 SSL,后升级为 TLS;HTTP 明文 80,HTTPS 加密 443。
6. VXLAN 核心隧道端点设备简称为____,网段标识为____。
答案:VTEP;VNI
讲解:VTEP 负责封装、解封装 VXLAN 隧道报文;VNI 区分不同虚拟二层广播域,支持 24 位编号,突破 VLAN 4096 上限。
7. 防火墙四大安全区域:Local、Trust、____、Untrust。
答案:DMZ
讲解:DMZ 非军事隔离区,专门放置对外发布业务的服务器,隔离内网与互联网。
8. IDS 仅能告警无法阻断流量,____串联部署可实时拦截攻击。
答案:IPS
讲解:IPS 在 IDS 检测能力基础上增加主动阻断能力,串联在链路中实时丢弃恶意数据包。
9. 堡垒机 4A 体系包含:认证、账号、____、审计。
答案:授权
讲解:4A 全称:Authentication 认证、Account 账号、Authorization 授权、Audit 审计。
10. 零信任四大核心原则:永不信任、始终验证、____、动态管控。
答案:最小授权
讲解:最小授权指仅分配用户完成工作必需的权限,杜绝多余权限带来的安全风险。
11. 七层负载均衡基于 URL、Cookie 等____层内容实现精细化流量调度。
答案:应用
讲解:七层对应 OSI 七层模型应用层,可识别网页地址、会话 Cookie 等业务内容做分流。
12. VXLAN 报文封装格式为____-in-UDP,依靠底层三层 IP 网络传输二层流量。
答案:MAC
讲解:将原始二层以太网 MAC 帧封装进 UDP 三层报文,实现跨三层路由器二层互通。
13. 防火墙包过滤技术基于五元组:源 IP、目的 IP、源端口、目的端口、____。
答案:传输层协议
讲解:五元组完整标识一条网络连接,传输协议包含 TCP、UDP、ICMP 等。
14. 深度包检测技术简称____,可解析应用层流量识别攻击与违规应用。
答案:DPI
讲解:DPI 深度包检测区别于仅识别 IP 端口的浅层检测,可解析数据包内部应用层载荷。
15. 企业标准安全日志合规要求日志留存不少于____个月。
答案:6
讲解:等保 2.0 强制合规指标,日志不足 6 个月会导致等保测评不通过。
四、多选题(10 道,多选 / 少选 / 错选不得分,答案 + 详细解析)
1. SSH 密钥交换阶段完成的工作包含()
A. 协商加密、校验算法
B. 通过 DH/ECDH 生成会话密钥
C. 服务端下发主机公钥,客户端校验指纹防中间人攻击
D. 完成账号密码登录认证
答案:ABC
解析:D 选项用户账号认证属于第四阶段;密钥交换阶段仅协商加密算法、生成统一会话密钥、校验主机公钥,建立加密隧道。
2. SNMPv3 相比 v1/v2c 新增安全能力有()
A. 身份认证 B. 数据加密 C. 访问权限控制 D. 批量数据查询
答案:ABC
解析:批量查询是 v2c 新增功能,不属于安全能力;v3 核心升级为安全三要素:认证、加密、访问控制。
3. 防火墙安全区域访问规则描述正确的有()
A. 默认高优先级区域可访问低优先级区域
B. 低优先级访问高优先级必须手动配置放行策略
C.Local 区域优先级最高,为防火墙自身管理接口
D.Untrust 为内网办公区域,优先级最高
答案:ABC
解析:Untrust 代表互联网外网,优先级最低;Trust 才是内网办公区域。
4. IPS 设备核心关键技术包含()
A.DPI 深度包检测
B. 特征库 + 异常双引擎检测
C.AI 机器学习识别未知威胁
D. 仅镜像流量被动监测
答案:ABC
解析:仅镜像被动监测是 IDS 特点,IPS 串联主动拦截,不属于 IPS 技术。
5. 上网行为管理 AC 核心功能包含()
A. 游戏、视频、违规网站访问管控
B.DFI 动态带宽流控
C. 上网日志留存、行为报表
D. 服务器漏洞自动修复
答案:ABC
解析:AC 仅管控上网行为与带宽,无服务器漏洞修复能力,漏洞修复属于漏洞扫描 / 运维工具。
6. 零信任安全落地四阶段包含()
A. 定义保护面资产 B. 梳理身份与资产台账
C. 编排部署访问策略 D. 持续运营优化防护体系
答案:ABCD
解析:零信任落地完整四步:梳理资产→统一身份→部署访问策略→长期运营迭代,四项均正确。
7. 负载均衡 LB 分为四层、七层,七层调度依据有()
A. 目标 IP、端口 B.URL 地址 C.Cookie 会话标识 D.HTTP 请求头
答案:BCD
解析:IP + 端口是四层负载均衡调度依据;URL、Cookie、请求头属于应用层七层识别内容。
8. 全网三层防病毒纵深架构包含哪些层级()
A. 互联网网关边界 B. 核心业务服务器 C. 办公 / 工控终端节点 D. 防火墙 Local 区域
答案:ABC
解析:三层纵深防御为网关、服务器、终端;Local 是防火墙自身区域,不属于防病毒架构层级。
9. 日志审计系统核心能力有()
A. 多厂商设备日志统一采集
B. 日志清洗归一标准化
C. 多日志关联分析发现异常
D. 日志防篡改存储、事件溯源取证
答案:ABCD
解析:日志审计平台全功能覆盖:多源采集、格式标准化、关联告警、防篡改存储、安全事件取证,四项全部正确。
10. SSH 版本协商必须协商而非固定版本的原因()
A. 兼容新旧不同厂商设备固件
B. 协议迭代升级修复漏洞
C. 服务端灵活禁用不安全 SSH1 版本
D. 版本字符串便于运维排查兼容故障
答案:ABCD
解析:四点为文档明确的版本协商四大意义,全部正确。
五、判断题(5 道,判断正误 + 详细解析 + 标准改正)
1. SSH 密钥交换阶段之前,整条通信链路已经完成加密。()
答案:×
解析:版本协商阶段为明文传输,密钥交换完成后,两端生成统一会话密钥,通信链路才完成加密。
改正:SSH 密钥交换完成后,整条通信链路才实现加密,版本协商阶段明文传输。
2. SNMP Agent 运行在管理服务器,主动下发查询指令采集设备数据。()
答案:×
解析:NMS 管理站运行在监控服务器,主动下发查询指令;Agent 运行在交换机、路由器等被管理设备,被动响应查询。
改正:SNMP Agent 运行在被管理设备,NMS 管理站下发查询指令采集设备数据。
3. VXLAN 采用 UDP 4789 端口封装二层报文,实现跨三层网络大二层互通。()
答案:√
解析:VXLAN 标准封装端口 UDP4789,MAC-in-UDP 封装,依托三层 IP 路由网络传递二层以太网流量,实现跨机房大二层组网。
4. IDS 串联部署在网络链路中,可直接丢弃恶意攻击数据包阻断威胁。()
答案:×
解析:IDS 旁路镜像流量,仅做监测告警,无流量拦截能力;IPS 才是串联部署、主动丢弃恶意报文。
改正:IDS 旁路部署仅告警无法阻断;IPS 串联部署在链路中,可实时拦截攻击。
5. 堡垒机 4A 中的 Audit 代表账号统一生命周期管理。()
答案:×
解析:Audit 是审计,负责操作录像、命令日志留存回放;账号管理对应 4A 中的 Account。
改正:Audit 代表审计;账号统一生命周期管理对应 Account。