1、你熟悉哪些品牌的安全设备
答：天融信的ngfw防火墙，老牌防火墙厂商，功能比较齐全，像流量检测，web应用防护和僵木蠕等模块都有，界面是红白配色，设计稍微有点老

2、IPS用的是哪个牌子的
答：安天和绿盟的IPS听说技术比较好，没实际上手用过

3、第一个关于防火墙的项目是在本公司做的还是做的甲方的活，你们之间是什么关系
答：是在甲方使用过防火墙，主要是看一些告警日志，也操作过IP黑名单

4、SIEM系统用的是哪个品牌的
答：IBM的Qradar 但我不是负责使用Qradar的岗

5、遇到应急响应事件是怎么做的，一般都是哪些告警事件
答：我接触的一般都是通过流量触发告警的事件，病毒外联黑域名基本是第一位，做这种应急响应，第一点点是保护现场设备，不要丢失日志和样本，第二点是断网，防止传播扩大，第三点就是取证，1.收集系统的相关日志，比如用户增添、提权或操作的日志、系统进程创建的信息，注册表信息等等。2.查看服务，尤其是最近的和开机启动的。3.端口信息，是否有端口被打开。第四点是溯源，尽可能的分析一下本次事件的5W1H，攻击线路，技战术等等。第五点是汇总报告，就本次事件做一个逻辑清晰的报告，让领导能够明白发生了什么事情，影响如何，解决结果，处理后的收获及后续针对此类的方案或策略

6、还部署过哪些安全设备
答：还部署过一种流量监控设备，是旁路的，可以对流量分析进行加强，该设备比防火墙增加了沙箱功能，可以还原流量中几种文件，进入沙箱，分析是否携带病毒木马，提高了检测能力和告警能力

7、不同厂商设备之间链路如何实现链路聚合对接
答：具体的实现不太清楚，了解到的一些信息，比如旁路设备，就从交换机再联一条数据线到设备，配置一下端口，把镜像流量再分给设备，确认流量没有异常即可。

8、你平常是怎么调试设备的，还有防火墙的连接方式
答：调试新上架的设备，一般都是console口，根据设备不同，查看状态的命令也都不同，但基本都是查看设备的硬件状态，软件运行状态，网络之间的通信状态，还有流量状态这些。日常的话基本都是远程连接防火墙，通过登录堡垒机去远程操作，即安全，又有留痕

9、基线检查是怎么检查的？
答：要先做计划，提前了解要做哪些设备或哪块区域的检查，会涉及到哪些设备，具体的还要有对应的软硬件版本，确定检查深度和主次点，举个例子：比如要检查测试区5台设备，都是linux，有几个应用，具体版本是3.4.1和5.32，本次是全面检查，要留痕归档，那么就按照Linux基线安全进行全面的检查--系统配置、账户权限、访问控制、日志记录等方面进行检查，如果出现问题，确定一下风险等级和解决方案，将解决方案和优化措施一同写进检查报告

10、了解过什么安全设备？具体说一说。都部署在什么位置？
答：防火墙，部署在流量出入口处；

11、管理防火墙接口有哪些？
答：console口直连；电口直连；远程连接

12、你常用的漏扫工具是什么
答：Nmap，Sqlmap，OpenVAS，Nessus，Burp Suite

13、如何评估一个网络的安全性
答：以攻击方角度来说，要先看这个网络的边界，边界防御是否强壮，如果进入到了内部，要看区域划分的是否清晰，各区域是否防守严密。以防守方的角度来说，首先边界的防御要全面且有力，能够阻挡大部分甚至全部的攻击，其次对未知的攻击也要有所准备，内部区域要有层次，能够针对不同的点进行相互补充的防御。以审计的角度来说，要看是否符合法律法规，安全制度，责任落实情况和充足的解决方案应急方案等

14、网络隔离是什么
答：是将不同网络或不同部门的网络资源相互隔离,以提高网络安全性。主要有3种技术：1.物理隔离(网络规划,网闸) 2.协议隔离（于二层的 MAC 地址访问控制，基于VLAN 的广播域控制，基于隧道协议（IPSec、GRE等）的VPN控制） 3.应用隔离（容器、虚拟机、沙箱虚拟化隔离）

15、数据泄露是什么原因造成的
答：1.窃密 被病毒木马等恶意攻击，致使数据被传输或拷贝窃取；
    2.泄密 被离职员工或第三方人员泄露
    3.失密 由于密级设置不当，数据安全分级不明确，操作失误，被员工或第三方人员无意中泄露

16、有效保护数据的方法有哪些
答：1加强安全防御，增加恶意攻击的成本，减少恶意攻击数量，防止数据被窃取
    2.设置合理的数据访问权限，对数据进行评级，几级人员访问几级数据，减少泄露风险
    3.追责，对已泄露数据进行职责追索，确认责任人，进行安全教育或法律追责，形成规则，增加安全风气

17、如何预防网络钓鱼
答：针对办公常用软件建立安全软件的下载池；经常访问的网站要建立好安全监控，防止被篡改，跳转和胁持；邮件附件过滤，防止木马病毒的投递或URL的跳转；不安全的U盘连接行为也应禁止；对员工进行安全指导培训