2016年度SSL高级认证培训检测题目参考答案（汇总）

SANGFOR_SSL_v7.0_2016年度渠道高级认证培训01_多线路部署和配置.ppt问题及参考答案：1. 请简述单臂多线路部署配置步骤？ 参考PPT内容2.SSL VPN自动选路功能在直连公网的网关多线路和非直连公网的网关多线路模式下的配置是否有区别？如果有，请说出有哪些区别？ 有，SSL设备直连公网的情况下，需要启用IPSEC 多线路，并添加公网线路的IP地址，启用SSL多线路选路后，接入方式选择SSL用户直接接入本设备。SSL设备非直连公网的情况下，需要在前置设备上分别映射多条线路的80和443端口到SSL设备，启用SSL多线路选路后，接入方式选择SSL VPN用户通过前置设备接入，并需要添加公网线路真实的公网IP地址。3.请说出线路故障检测功能的作用。线路故障检测用于实时检测链路的好坏，实现线路故障时自动切换。4.如果SSL VPN只启用HTTPS端口，是否可以使用SSL多线路自动选路功能？为什么？不可以，需要开启HTTP端口。SANGFOR_SSL_v7.0_2016年渠道高级认证培训02_用户认证进阶培训.ppt 问题及参考答案：1. 某客户有一台ORACAL数据库服务器存放了账号密码信息，客户想用SSL VPN跟他结合做认证，请问是否直接与ORACAL数据库结合做认证？不能直接与ORCAL结合做认证。支持与LDAP和RADIUS结合。但是可以通过在ORACAL数据库上安装SRADIUS软件，通过SRADIUS软件调取ORACAL数据库信息，SSL VPN与RADIUS结合这样来实现。2. 组映射与LDAP用户导入组织结构的实现效果是否有区别？如果有，区别在哪里？组映射只将服务器里的OU以用户组的方式导入到设备里，不导入用户，可根据用户组来设置资源访问权限；通过LDAP用户导入组织结构，可以同时LDAP服务器中的用户和OU结构导入到设备中，可根据用户和用户组来设置资源访问权限。3. 某客户咨询SSL与LDAP结合做认证之后，担心用户权限的划分问题，客户希望实现不同级别的用户登录SSL VPN之后获取到不同资源，请问是否可以实现？可以实现的。可以利用SSL VPN的LDAP导入功能，将用户和用户组导入SSL VPN，实现对权限的细化。4. SSL VPN结合第三方CA做证书认证，是否一定需要将服务器证书导入设备？ 可不用，不导入第三方服务器证书，则用内置CA的设备证书进行SSL隧道加密。SANGFOR_SSL_v7.0_2016年度渠道高级认证培训03_VPN资源进阶培训.ppt问题及参考答案：1. EasyLink资源的实现方式有哪两种模式？这两种模式是如何实现的？EasyLink资源的实现方式有VPN端口模式和域名模式两种。VPN端口模式通过将SSL设备的端口映射给WEB应用；域名模式通过将SSL的接入域名映射给WEB应用。2. 请简述EasyLink资源的应用场景？ 参考PPT内容3. 资源服务选项支持哪两种模式？各有什么不同？ 参考PPT内容SANGFOR_SSL_v7.0_2016年渠道高级认证培训04_域名解析设置培训.ppt问题及参考答案：1. 域名解析设置的时候通过IP方式添加资源和通过域名方式添加资源的实现原理有什么不同之处？ 通过域名方式添加资源，由SSL设备向内网DNS服务器发起域名解析请求，并将请求的结果通过域名控件下发给SSL 客户端。通过IP方式添加资源，由SSL 客户端向内网DNS服务器发起域名解析请求，通过获得的域名解析结果，再发起对资源的访问。2. 某客户内网有一台服务器提供WEB服务，内网没有DNS服务器，但是客户要求SSL VPN接入之后用能访问到该服务，请问能否实现？为什么？ 可以，在SSL设备上添加系统host。3. 某客户需要域名解析设置来满足域名访问的需求，通过IP方式添加资源，在设置DNS规则的时候发现客户有主域名下面有几十个域名（如等）需要添加，需要新建几十个规则，客户咨询是否能够支持导入功能或者其他简便的方式快速添加？支持通配，可填写*.。SANGFOR_SSL_v7.0_2016年渠道高级认证培训05_单点登录配置培训.ppt问题及参考答案：1. 单点登录对用户来说有什么作用？登录SSL VPN之后可以直接访问到应用系统，减少重复输密码带来的麻烦，同时也降低了密码泄露的风险。2. 单点登录有哪两种实现方式，两种实现方式有什么不同？自动填表和自动构建参数。自动填表的单点登录功能支持所有WEB应用，TCP应用 ，L3VPN和远程应用的所有B/S和C/S应用。自动构建参数的单点登录方式只支持WEB应用， TCP应用和L3VPN的HTTP、HTTPS应用。 3. 某客户新建资源的时候发现单点登录的选项灰色的，不让勾选，请问可能是什么原因？是因为在单点登录配置处，没有勾选“启用单点登录”。SANGFOR_SSL_v7.0_2016年渠道高级认证培训06_集群部署模式培训.ppt问题及参考答案：1. 什么是分发器？假如客户一共部署了5台SNAGFOR SSL设备做成集群，那么这5台设备可以同时成为分发器吗？分发器是一个集群中分发策略的主设备。一个集群环境中只能有一台设备是分发器，所以5台设备不能同时成为分发器。2. 请描述两台SANGFOR SSL设备做成单臂模式集群需要怎么设置？集群序列号、网口配置（LAN口真实IP网关等）、集群配置（集群消息密码，LAN口CIP等）。3. 请描述分布式集群如何保证用户的接入选择的是最快的SSL设备？通过搭建WEBAGENT服务器，集群里面的设备向WEBAGENT上传IP地址信息，用户访问WEBAGENT服务器，然后分别从各个节点下载一个小图片，哪个节点最快即选择从该节点访问到SSL VPN。SANGFOR_SSL_v7.0_2016年渠道高级认证培训07_远程应用发布功能进阶培训.ppt问题及参考答案：1. 远程应用发布有哪些什么优势？ 客户端无需安装应用程序，由于传输内容只有输入输出内容，不包括应用数据，因此可大大降低网络数据传输量，同时对于客户端设备的配置要求也大为降低。 2. 如何获取远程应用发布服务器的终端服务授权 ？ 通过正规渠道从微软购买序列号3. 远程应用发布的一般排错步骤是什么 ？ 确认服务器问题，确认网络问题，确认授权问题，具体请参考培训PPT内容。4. 如果出现部分用户无法正常使用远程应用发布资源，如何进行排错？ 此类问题一般是服务器授权问题导致，服务器没有足够授权，请先获得足够的授权。终端服务器配置，将授权方式从“每设备”改成“每用户。SANGFOR_SSL_v7.0_2016年度渠道高级认证培训08_PPTP、L2TP功能培训.ppt问题及参考答案：1. 用户通过PPTP接入SSL设备，是否可以访问所有类型的资源？不是，只能访问L3VPN类型的资源。2. SSL 设备如何部署，才能支持用户通过PPTP接入? 如果SSL设备单臂模式部署，需要前置设备支持PPTP穿透，且除了映射TCP 80和443端口外，还需要映射TCP 1723端口。 网关模式部署在公网出口则无特殊要求，与普通用户接入的部署相同。3. 如果SSL设备没有固定的公网地址，是否支持用户通过PPTP方式接入？ 如果支持，需要如何设置？可以，通过webagent地址接入SSL VPN，获得设备的实时IP地址，再通过PPTP的方式接入。SANGFOR_SSL_v7.0_2016年渠道高级认证培训09_安全桌面功能进阶培训.ppt问题及参考答案：1. SSL安全桌面实现的基本原理是什么？ 注册表重定向、文件重定向、网络访问权限控制、外接设备拦截，具体请参考本章培训PPT2