2025年深信服技术类岗位笔试原题及标准答案

2025年深信服技术类岗位笔试原题及标准答案

一、单项选择题（总共10题，每题2分）1.以下哪项不是零信任架构的核心原则？A.持续验证身份B.默认不信任内部网络C.最小权限访问D.静态网络边界防护2.在TCP/IP协议栈中，HTTP协议工作在哪个层次？A.网络接口层B.网络层C.传输层D.应用层3.以下哪种加密算法属于对称加密？A.RSAB.AESC.ECCD.SHA-2564.防火墙按照工作层次划分，以下哪类属于应用层防火墙？A.包过滤防火墙B.状态检测防火墙C.代理防火墙D.硬件防火墙5.在Linux系统中，查看当前进程占用CPU资源的命令是？A.topB.psC.netstatD.df6.以下哪种攻击方式属于DDoS攻击？A.SQL注入B.跨站脚本（XSS）C.分布式拒绝服务D.中间人攻击（MITM）7.云计算的服务模式中，PaaS指的是？A.基础设施即服务B.平台即服务C.软件即服务D.数据即服务8.在OSI参考模型中，负责将数据分割为帧的层次是？A.物理层B.数据链路层C.网络层D.传输层9.以下哪种漏洞属于操作系统层面的安全风险？A.未打补丁的内核漏洞B.弱密码登录C.数据库SQL注入D.网页跨站请求伪造（CSRF）10.以下哪项是SD-WAN（软件定义广域网）的核心功能？A.静态路由转发B.基于应用的智能选路C.硬件专线绑定D.物理网络隔离二、填空题（总共10题，每题2分）1.常见的对称加密算法中，AES的密钥长度通常有128位、192位和______位。2.TCP三次握手的第一步是客户端向服务器发送______报文。3.防火墙的主要功能包括访问控制、流量过滤和______。4.Linux系统中，文件权限的三位数字表示法中，第一个数字代表______的权限。5.常见的Web应用攻击类型包括XSS、SQL注入和______（任填一种）。6.云计算的三种典型部署模式是公有云、私有云和______。7.在OSI模型中，传输层的主要协议有TCP和______。8.数据加密技术分为传输加密和______加密。9.网络安全中，IDS的中文全称是______。10.常见的端口号中，HTTPS默认使用的端口是______。三、判断题（总共10题，每题2分）1.防火墙可以完全防止DDoS攻击。（）2.TCP是面向连接的协议，UDP是无连接的协议。（）3.零信任架构的核心是“从不信任，始终验证”。（）4.Linux系统中，root用户拥有最高权限，应避免长期使用root账户操作。（）5.哈希算法（如SHA-256）可以用于数据加密，且支持解密。（）6.云服务器的“弹性扩展”指的是根据需求动态调整计算资源。（）7.SQL注入攻击的主要目标是操作系统内核。（）8.数据链路层的主要功能是提供端到端的可靠传输。（）9.双因素认证（2FA）可以增强账户安全性，常见方式包括密码+短信验证码。（）10.漏洞扫描工具可以自动修复系统中的安全漏洞。（）四、简答题（总共4题，每题5分）1.简述零信任架构的核心原则。2.比较入侵检测系统（IDS）与入侵防御系统（IPS）的区别。3.描述TCP三次握手的具体过程。4.说明XSS（跨站脚本攻击）的常见类型及主要防御措施。五、讨论题（总共4题，每题5分）1.设计一个企业级Web应用防火墙（WAF）的部署方案，需考虑哪些关键因素？2.分析云环境下数据泄露的主要风险点及应对策略。3.讨论SD-WAN相比传统WAN的优势及典型适用场景。4.提出提升Linux服务器安全性的具体措施（至少5条）。答案及解析一、单项选择题1.D（零信任架构强调动态验证，而非静态边界防护）2.D（HTTP属于应用层协议）3.B（AES是对称加密，RSA、ECC是公钥加密，SHA-256是哈希算法）4.C（代理防火墙工作在应用层）5.A（top命令实时显示进程CPU/内存占用）6.C（DDoS即分布式拒绝服务攻击）7.B（PaaS是平台即服务）8.B（数据链路层负责将数据封装为帧）9.A（未打补丁的内核漏洞属于操作系统层面）10.B（SD-WAN支持基于应用的智能选路）二、填空题1.2562.SYN3.威胁防护（或“安全审计”）4.文件所有者5.CSRF（或“SSRF”“命令注入”等）6.混合云7.UDP8.存储9.入侵检测系统10.443三、判断题1.×（防火墙无法完全防御大规模DDoS，需结合流量清洗等技术）2.√（TCP需建立连接，UDP直接发送）3.√（零信任核心是持续验证）4.√（长期使用root易导致误操作或权限泄露）5.×（哈希算法是单向的，无法解密）6.√（弹性扩展是云计算的核心特性）7.×（SQL注入目标是数据库）8.×（传输层负责端到端可靠传输）9.√（2FA通过两种验证方式增强安全）10.×（漏洞扫描仅检测漏洞，修复需人工或补丁工具）四、简答题1.零信任核心原则包括：①持续验证：所有访问请求需动态验证身份、设备、环境等；②最小权限：仅授予完成任务所需的最小权限；③无默认信任：内部/外部网络均默认不信任；④动态访问控制：根据风险动态调整访问策略。2.IDS（入侵检测系统）主要监控网络或系统活动，检测攻击并生成警报，但不主动干预；IPS（入侵防御系统）在检测到攻击后，会主动阻断恶意流量或终止攻击行为，具备防御能力。IDS侧重检测，IPS侧重防御+检测。3.三次握手过程：①客户端发送SYN报文（同步序列编号），请求建立连接；②服务器收到后，回复SYN+ACK报文（确认客户端SYN并发送自己的SYN）；③客户端发送ACK报文确认服务器的SYN，完成连接建立。4.XSS类型：①存储型：恶意脚本存储在服务器（如留言板）；②反射型：脚本通过URL参数反射到页面；③DOM型：通过前端JS操作DOM触发。防御措施：输入输出转义、启用CSP（内容安全策略）、限制用户输入长度、使用安全框架。五、讨论题1.关键因素：①部署位置：需在Web服务器前端（如DMZ区）；②策略配置：根据业务需求定制规则（如SQL注入、XSS过滤）；③日志与监控：记录攻击事件并实时告警；④高可用性：采用集群或负载均衡避免单点故障；⑤性能优化：避免过度检测影响业务响应速度；⑥规则更新：定期同步最新攻击特征库。2.风险点：①配置错误：如对象存储桶未关闭公共读写权限；②权限管理漏洞：IAM角色权限过大或未及时回收；③加密不足：数据传输/存储未启用TLS或AES加密；④内部人员误操作：误删或泄露敏感数据；⑤API接口漏洞：未授权访问导致数据泄露。应对策略：加强配置审计、最小权限原则、强制加密、API安全网关、员工安全培训。3.优势：①智能选路：基于应用优先级和链路质量动态选择路径；②简化管理：集中化软件定义策略，无需逐设备配置；③成本降低：支持混合链路（如公网+专线），减少专线依赖；④弹性扩展：快速新增分支节点。适用场景：多分支企业互联、云数据中心互联、对应用体验要求高的场景（如视频会议）。4.