2022深信服安全实战题集：AF、AC、SIP关键知识点解析

在2022年的深信服PT1题集中，我们发现了一系列关于网络安全设备和服务的问题。这些问题涵盖了深信服防火墙(AirFence, AF)、统一威胁管理(Advanced Threat Protection, ATP)、准入控制(Advanced Content Security, AC)、安全信息和事件管理(Security Information and Event Management, SIP)等多个模块。 1. 关于AF的实时漏洞分析功能，如果长时间未生成记录，可能的原因包括：实时漏洞分析功能只针对TCP 80端口的HTTP流量进行识别和分析，其他非80端口的数据包可能会被忽略；目标服务器的流量未经过设备，导致无法分析；规则库未更新，无法识别最新的服务器漏洞。排除选项A，正确的分析是B、C和D。 2. 在AC的QQ邮箱内容审计问题上，排查步骤包括开启SSL识别并添加mail.qq.com；确保审计策略启用；检查是否全局排除该域名；以及确认AC设备能够上网。A、B、C选项都是正确的排查手段，D并非审计不成功的原因。 3. 行为感知系统由多个组件构成，包括数据采集的上网行为管理、数据分析模块以及用于呈现结果的大屏幕。选项C错误，因为数据采集并非由行为感知系统本身完成，而是其他组件如AC/AF/SIP负责。 4. AH使用的协议号是51，因此答案是C。 5. 全网行为管理的802.1x认证功能允许通过radius报文进行认证，其中1813是默认的认证端口，1812用于计费。A项正确。B项提到的动态VLAN功能也属于认证流程的一部分。C项指出802.1x认证用户类型限制正确，D项提到的哑终端用户绑定也是可行的。因此，错误的说法是C。 6. 在纯内网环境中，全网行为管理功能仍可实现自定义IP或域名检查、判断终端拨号行为并断网卡以及检查无线网卡，但不支持检查4G网卡，D项正确。 7. 常见的信息泄漏包括IP地址泄露、web服务器缺省页面信息、应用错误信息等，备份文件信息泄露并不常见，不属于此类，所以D是不正确的。 8. 当发现一台被高度传染性病毒的终端，首要步骤是判断病毒性质和传播途径，而不是立刻网上搜索解决方案或拔网线，B选项更为合理。 9. 在公开密钥体制中，加密密钥对应的是公开密钥，而非私密密钥或解密密钥，B是正确的。 10. SIP解码小工具通常用于处理特定类型的编码，如UTF-8、Unicode编码、Base64编码和URL编码，A、B、C是可以解码的，D项正确答案应该是其他编码方式。 11. 关于AC的具体问题缺失，可能是对某项配置或功能的提问。如果提供完整的问题，我们可以更详细地解析。 这些题目反映了深信服产品在实际运维和安全管理中的关键知识点，对于熟悉深信服设备及其应用场景的IT专业人员来说，解答这些问题有助于提升网络安全管理和故障排查能力。