一、核心精简知识点汇总一SSH 安全远程协议TCP 22 端口连接四阶段TCP 建立连接 → 协议版本协商明文→ 密钥交换生成加密隧道→ 用户身份认证关键特点SSH1.0 存在高危漏洞已淘汰仅 SSH-2.0 安全版本协商明文传输存在降级攻击风险密钥交换完成后所有通信加密。加密逻辑非对称加密完成密钥交换对称加密传输业务数据兼顾安全与传输效率。协商版本四大意义设备兼容、协议迭代、安全管控、运维故障排查。二SNMP 网络管理协议UDP四大组件NMS 管理站、SNMP Agent 代理、MIB 管理信息库、被管理对象端口区分UDP161NMS 下发查询 / 配置指令、UDP162设备主动发送 Trap 故障告警版本差异v1/v2c 明文团体字无加密不安全v3 新增认证、加密、访问控制企业标准推荐版本。核心概念MIB 是树形指标目录OID 为每个监控指标唯一编号被管理对象是 CPU、端口流量等具体监控数据。三HTTP / HTTPSHTTPTCP80 端口明文传输、无状态易窃听、篡改无身份校验。HTTPSTCP443 端口HTTP 叠加 SSL/TLS 加密层需 CA 数字证书实现加密传输、身份认证、数据完整性校验。四VXLAN 虚拟大二层技术传输端口UDP 4789封装格式 MAC-in-UDP。核心组件VTEP 隧道端点封装 / 解封装报文、VNI 虚拟网段标识替代传统 VLAN ID。作用在三层物理网络上搭建二层逻辑网络突破传统 VLAN 4096 数量限制支持跨机房、跨网段大二层组网。五防火墙工作层级2~7 层全域访问控制默认拒绝跨安全域流量。三大技术包过滤基于五元组 ACL、状态检测维护会话表跟踪 TCP 完整连接、AI 防火墙识别加密流量、0day 未知威胁。四大安全区域优先级从高到低Local (100)Trust (85)DMZ (50)Untrust (5)区域规则高优先级区域默认可访问低优先级低访问高必须手动配置放行策略。六各类安全设备IDS/IPSIDS旁路镜像流量仅检测、告警无法阻断攻击IPS串联部署实时拦截恶意报文配备 Bypass 容错设备故障自动直通流量防止业务中断通用技术DPI 深度包检测、特征库 异常行为双引擎、AI 智能流量分析。三层防病毒体系网关边界拦截第一道防线→核心服务器防护→终端节点管控防御勒索病毒、木马内网横向扩散。日志审计系统统一采集全网设备日志等保 2.0 强制要求日志留存≥6 个月用于安全溯源、合规审计、事件取证。运维堡垒机基于 4A 管控体系认证 Authentication、账号 Account、授权 Authorization、审计 Audit统一运维入口全程操作录像、命令记录可回放。AC 上网行为管理串联部署在互联网出口DPI 识别各类应用、DFI 动态流量管控管控娱乐软件、优化办公带宽、留存上网日志。零信任安全核心原则永不信任、始终验证、最小授权、动态管控抛弃传统内网可信边界支持 SPA 端口隐藏、内网微隔离、持续信任校验适配远程办公、多云场景。LB 负载均衡L4 四层基于 IP 端口调度转发性能高L7 七层基于 URL、Cookie、HTTP 头部等应用层内容精细化分发价值解决单服务器单点故障、分摊并发流量、业务弹性扩容。二、单选题20 道答案 详细解析1. SSH 协议默认使用的 TCP 端口是A.21 B.22 C.23 D.80答案B解析21 为 FTP 端口23 为 Telnet 明文远程登录端口80 为 HTTP 端口SSH 安全远程登录默认 TCP 22 端口。2. SSH 建立连接的正确顺序是A. 版本协商→TCP 连接→密钥交换→用户认证 B.TCP 连接→版本协商→密钥交换→用户认证 C.TCP 连接→密钥交换→版本协商→用户认证 D.TCP 连接→版本协商→用户认证→密钥交换答案B解析SSH 四阶段固定流程先建立 TCP 底层传输通道再明文协商协议版本协商算法交换密钥生成加密隧道最后加密通道内完成用户登录认证。3. SSH 哪个阶段传输数据为明文存在降级攻击风险A.TCP 连接建立 B. 版本协商 C. 密钥交换 D. 用户认证答案B解析TCP 连接仅建立链路无数据交互版本协商两端明文发送版本字符串未加密存在攻击者强制降级至 SSH1.0 的风险密钥交换完成后全程加密用户认证在加密隧道内传输。4. 以下哪个 SNMP 组件是监控指标的树形字典包含 OID 标识A.NMS B.SNMP Agent C.MIB D. 被管理对象答案C解析NMS 是管理监控平台Agent 是设备上采集数据的进程MIB 是树形数据库定义所有指标对应的唯一 OID被管理对象是 CPU、端口等具体监控指标。5. SNMP 设备主动发送故障告警使用的 UDP 端口是A.161 B.162 C.4789 D.22答案B解析UDP161 用于 NMS 主动查询设备数据UDP162 为 Trap 告警端口设备异常时主动向 NMS 推送告警4789 是 VXLAN 端口22 是 SSH 端口。6. 目前企业推荐、支持加密与身份认证的 SNMP 版本是A.SNMPv1 B.SNMPv2c C.SNMPv3 D.SNMPv0答案C解析v1、v2c 仅依靠明文团体字验证身份无加密安全性极低SNMPv3 新增认证、数据加密、访问权限控制是行业标准安全版本。7. HTTP 默认端口、HTTPS 默认端口分别是A.80、443 B.443、80 C.21、22 D.161、162答案A解析HTTP 明文网页 80 端口HTTPS 加密网页 443 端口21/22 为 FTP、SSH161/162 为 SNMP。8. VXLAN 隧道通信默认 UDP 端口为A.161 B.4789 C.22 D.443答案B解析VXLAN 采用 MAC-in-UDP 封装固定 UDP 4789 端口传输隧道报文。9. VXLAN 中用于区分不同虚拟二层网段的标识是A.OID B.VNI C.VTEP D.MAC答案B解析VNI 是 24 位虚拟网段 ID作用等同于传统 VLAN IDVTEP 是隧道封装端点OID 属于 SNMPMAC 是二层物理地址。10. 防火墙安全区域优先级最高的是A.Untrust B.DMZ C.Trust D.Local答案D解析优先级 Local (100)Trust 内网 (85)DMZ 服务器区 (50)Untrust 互联网 (5)Local 代表防火墙本机权限最高。11. 对外提供 Web 服务器、邮件服务器的防火墙区域是A.Trust B.DMZ C.Untrust D.Local答案B解析DMZ 隔离区放置对外业务服务器隔离互联网与内网Trust 为内部办公终端Untrust 为外网互联网。12. 关于 IDS 与 IPS 部署方式描述正确的是A.IDS 串联、IPS 旁路 B.IDS 旁路、IPS 串联 C. 两者均旁路 D. 两者均串联答案B解析IDS 通过端口镜像旁路监听流量不影响业务转发仅告警IPS 串联在链路中间所有流量必经设备可实时丢弃攻击报文。13. IPS 设备故障断电时保障业务不中断的机制是A. 会话表 B.Bypass 旁路容错 C.DPI D. 微隔离答案B解析Bypass 硬件直通机制IPS 断电 / 过载故障时自动物理导通网线避免全网断网会话表用于跟踪连接DPI 是流量检测技术微隔离属于零信任。14. 等保 2.0 要求安全日志最低留存时长为A.1 个月 B.3 个月 C.6 个月 D.12 个月答案C解析《网络安全等级保护 2.0》明确硬性要求安全日志至少留存 6 个月用于事后安全事件溯源取证。15. 堡垒机核心遵循的运维安全管控体系是A.3A B.4A C.5A D.6A答案B解析堡垒机集成 4A 体系认证、账号、授权、审计覆盖运维全流程安全管控。16. 零信任安全体系的核心理念是A. 内网可信、外网不可信 B. 永不信任、始终验证 C. 仅靠防火墙边界防护 D. 固定权限永久授权答案B解析传统边界安全思维是内网可信零信任彻底打破边界无论内外网所有访问持续校验身份与权限。17. 四层负载均衡的调度依据是A.URL、Cookie B.IP 端口 C. 应用内容 D. 网页请求头答案B解析L4 四层负载均衡工作在传输层仅识别源 / 目的 IP、端口URL、Cookie、请求头属于应用层是七层负载均衡调度依据。18. 上网行为管理 AC 部署位置通常为A. 内网核心交换机 B. 互联网出口边界 C. 服务器内网区 D. 机房接入交换机答案B解析AC 管控员工上网、出口带宽必须串联在企业互联网出口拦截外网违规流量。19. 以下不属于防火墙状态检测防火墙核心能力的是A. 维护会话状态表 B. 跟踪 TCP 连接完整状态 C. 仅基于五元组静态放行 D. 抵御 SYN Flood 攻击答案C解析仅五元组静态放行是包过滤防火墙特点状态检测防火墙会维护会话表跟踪 TCP 三次握手、挥手状态有效防御 SYN 泛洪攻击。20. 全网三层纵深防病毒第一道防线是A. 终端杀毒软件 B. 服务器防护 C. 网关边界病毒查杀 D. 堡垒机审计答案C解析三层架构顺序互联网网关边界第一道拦截病毒进内网→核心服务器防护→办公终端管控。三、填空题15 道答案 逐空详细讲解1. SSH 底层基于____传输协议默认端口____。答案TCP22讲解SSH 属于应用层协议依赖 TCP 可靠传输Telnet 同为 TCP 23SSH 加密替代明文 Telnet。2. SSH 四大连接阶段TCP 连接、____、密钥交换、用户认证。答案协议版本协商讲解版本协商是第二阶段两端明文交换 SSH 版本仅兼容 SSH2.0 才能继续建立加密隧道。3. SNMP 四大组件NMS、____、MIB、被管理对象。答案SNMP Agent讲解Agent 部署在交换机、路由器等被监控设备接收 NMS 指令采集设备运行数据回传。4. SNMP 管理查询端口 UDP____告警 Trap 端口 UDP____。答案161162讲解161 端口双向交互查询配置指令162 端口仅用于设备主动向 NMS 上报告警单向传输。5. HTTPS HTTP ___/TLS 安全加密层默认端口_____。答案SSL443讲解早期加密层为 SSL后升级为 TLSHTTP 明文 80HTTPS 加密 443。6. VXLAN 核心隧道端点设备简称为____网段标识为____。答案VTEPVNI讲解VTEP 负责封装、解封装 VXLAN 隧道报文VNI 区分不同虚拟二层广播域支持 24 位编号突破 VLAN 4096 上限。7. 防火墙四大安全区域Local、Trust、____、Untrust。答案DMZ讲解DMZ 非军事隔离区专门放置对外发布业务的服务器隔离内网与互联网。8. IDS 仅能告警无法阻断流量____串联部署可实时拦截攻击。答案IPS讲解IPS 在 IDS 检测能力基础上增加主动阻断能力串联在链路中实时丢弃恶意数据包。9. 堡垒机 4A 体系包含认证、账号、____、审计。答案授权讲解4A 全称Authentication 认证、Account 账号、Authorization 授权、Audit 审计。10. 零信任四大核心原则永不信任、始终验证、____、动态管控。答案最小授权讲解最小授权指仅分配用户完成工作必需的权限杜绝多余权限带来的安全风险。11. 七层负载均衡基于 URL、Cookie 等____层内容实现精细化流量调度。答案应用讲解七层对应 OSI 七层模型应用层可识别网页地址、会话 Cookie 等业务内容做分流。12. VXLAN 报文封装格式为____-in-UDP依靠底层三层 IP 网络传输二层流量。答案MAC讲解将原始二层以太网 MAC 帧封装进 UDP 三层报文实现跨三层路由器二层互通。13. 防火墙包过滤技术基于五元组源 IP、目的 IP、源端口、目的端口、____。答案传输层协议讲解五元组完整标识一条网络连接传输协议包含 TCP、UDP、ICMP 等。14. 深度包检测技术简称____可解析应用层流量识别攻击与违规应用。答案DPI讲解DPI 深度包检测区别于仅识别 IP 端口的浅层检测可解析数据包内部应用层载荷。15. 企业标准安全日志合规要求日志留存不少于____个月。答案6讲解等保 2.0 强制合规指标日志不足 6 个月会导致等保测评不通过。四、多选题10 道多选 / 少选 / 错选不得分答案 详细解析1. SSH 密钥交换阶段完成的工作包含A. 协商加密、校验算法B. 通过 DH/ECDH 生成会话密钥C. 服务端下发主机公钥客户端校验指纹防中间人攻击D. 完成账号密码登录认证答案ABC解析D 选项用户账号认证属于第四阶段密钥交换阶段仅协商加密算法、生成统一会话密钥、校验主机公钥建立加密隧道。2. SNMPv3 相比 v1/v2c 新增安全能力有A. 身份认证 B. 数据加密 C. 访问权限控制 D. 批量数据查询答案ABC解析批量查询是 v2c 新增功能不属于安全能力v3 核心升级为安全三要素认证、加密、访问控制。3. 防火墙安全区域访问规则描述正确的有A. 默认高优先级区域可访问低优先级区域B. 低优先级访问高优先级必须手动配置放行策略C.Local 区域优先级最高为防火墙自身管理接口D.Untrust 为内网办公区域优先级最高答案ABC解析Untrust 代表互联网外网优先级最低Trust 才是内网办公区域。4. IPS 设备核心关键技术包含A.DPI 深度包检测B. 特征库 异常双引擎检测C.AI 机器学习识别未知威胁D. 仅镜像流量被动监测答案ABC解析仅镜像被动监测是 IDS 特点IPS 串联主动拦截不属于 IPS 技术。5. 上网行为管理 AC 核心功能包含A. 游戏、视频、违规网站访问管控B.DFI 动态带宽流控C. 上网日志留存、行为报表D. 服务器漏洞自动修复答案ABC解析AC 仅管控上网行为与带宽无服务器漏洞修复能力漏洞修复属于漏洞扫描 / 运维工具。6. 零信任安全落地四阶段包含A. 定义保护面资产 B. 梳理身份与资产台账C. 编排部署访问策略 D. 持续运营优化防护体系答案ABCD解析零信任落地完整四步梳理资产→统一身份→部署访问策略→长期运营迭代四项均正确。7. 负载均衡 LB 分为四层、七层七层调度依据有A. 目标 IP、端口 B.URL 地址 C.Cookie 会话标识 D.HTTP 请求头答案BCD解析IP 端口是四层负载均衡调度依据URL、Cookie、请求头属于应用层七层识别内容。8. 全网三层防病毒纵深架构包含哪些层级A. 互联网网关边界 B. 核心业务服务器 C. 办公 / 工控终端节点 D. 防火墙 Local 区域答案ABC解析三层纵深防御为网关、服务器、终端Local 是防火墙自身区域不属于防病毒架构层级。9. 日志审计系统核心能力有A. 多厂商设备日志统一采集B. 日志清洗归一标准化C. 多日志关联分析发现异常D. 日志防篡改存储、事件溯源取证答案ABCD解析日志审计平台全功能覆盖多源采集、格式标准化、关联告警、防篡改存储、安全事件取证四项全部正确。10. SSH 版本协商必须协商而非固定版本的原因A. 兼容新旧不同厂商设备固件B. 协议迭代升级修复漏洞C. 服务端灵活禁用不安全 SSH1 版本D. 版本字符串便于运维排查兼容故障答案ABCD解析四点为文档明确的版本协商四大意义全部正确。五、判断题5 道判断正误 详细解析 标准改正1. SSH 密钥交换阶段之前整条通信链路已经完成加密。答案×解析版本协商阶段为明文传输密钥交换完成后两端生成统一会话密钥通信链路才完成加密。改正SSH 密钥交换完成后整条通信链路才实现加密版本协商阶段明文传输。2. SNMP Agent 运行在管理服务器主动下发查询指令采集设备数据。答案×解析NMS 管理站运行在监控服务器主动下发查询指令Agent 运行在交换机、路由器等被管理设备被动响应查询。改正SNMP Agent 运行在被管理设备NMS 管理站下发查询指令采集设备数据。3. VXLAN 采用 UDP 4789 端口封装二层报文实现跨三层网络大二层互通。答案√解析VXLAN 标准封装端口 UDP4789MAC-in-UDP 封装依托三层 IP 路由网络传递二层以太网流量实现跨机房大二层组网。4. IDS 串联部署在网络链路中可直接丢弃恶意攻击数据包阻断威胁。答案×解析IDS 旁路镜像流量仅做监测告警无流量拦截能力IPS 才是串联部署、主动丢弃恶意报文。改正IDS 旁路部署仅告警无法阻断IPS 串联部署在链路中可实时拦截攻击。5. 堡垒机 4A 中的 Audit 代表账号统一生命周期管理。答案×解析Audit 是审计负责操作录像、命令日志留存回放账号管理对应 4A 中的 Account。改正Audit 代表审计账号统一生命周期管理对应 Account。