防火墙与安全网关
Q1:为什么不能把交换机和路由器的 ACL功能当作防火墙使用?
A1:ACL 不能跟踪连接状态,在处理 TCP流的情况无法判断连接是否确实建立,有安全隐患;
Q2:只具备 NAT功能的设备,作为防火墙使用会存在什么样的缺陷?
A2:除无法跟踪 TCP连接之外,还无法实现灵活的安全域及域间策略;
Q3:防火墙双机 HA模式工作时,为什么建议两台防火墙之间的连线至少为10G以太网?
A3:避免防火墙之间连线成为新建连接时同步会话信息的瓶颈;
Q4:如果负载均衡设备的吞吐量比较小(如<=10Gbps),而用户访问服务器可能产生比较大的流量(如40Gbps以上),怎么样可以避免负载均衡设备成为瓶颈?
A4:使用三角模式部署;
Q5:如果 Web服务使用 HTTPS,配置负载均衡设备需要注意什么?
A5:需要将 web服务器/虚机的证书在负载均衡设备上加载;
Q6:为什么 IPSec VPN 不采用双因子认证?
A6:因为 IPSec VPN穿越NAT和CGN有较多困难,IPSec VPN 主要用于站点之间互联场景,在路由器上发起隧道,因此无需双因子认证;
Q7:流控网关能不能监控 QQ、微信等聊天工具传输的内容?如果需要监控,要满足什么样的条件?
A7:在使用 Web QQ/Web微信时可以利用中间人攻击的方法监控传输内容,但会触发用户浏览器告警。
Q8:防病毒网关怎么样对HTTPS传输的文件查杀病毒?
A8:对于内网用户上网场景需要使用中间人攻击方法监控传输内容,但会触发用户浏览器告警。