安全交付 (下)
一、安全交付常用工具与设备(实战必备)
1. 基础工具(必须熟练使用)
- 远程登录 / 配置工具:SecureCRT(SSH/Console 登录)、Xshell、Putty;
- 网络测试工具:nmap(资产扫描)、ping、traceroute(路由追踪)、telnet(端口连通性);
- 日志 / 排查工具:Wireshark(流量抓包,排查策略拦截问题)、设备自带日志控制台(如华为 eSight、奇安信天擎管理平台);
- 批量部署工具:组策略(域环境)、Ansible(自动化部署)、批处理脚本(.bat/.sh)。
2. 主流安全设备(了解核心功能与配置逻辑)
| 设备类型 | 主流厂商 | 核心配置要点 |
|---|---|---|
| 防火墙 | 华为 USG6000、华三 SecBlade、深信服 NGAF | 安全域划分、ACL 策略、NAT 转换、VPN 配置 |
| WAF | 阿里云 WAF、腾讯云 WAF、深信服 WAF、绿盟 WAF | 源站配置、规则开启 / 优化、SSL 证书部署、白名单配置 |
| EDR | 奇安信天擎、火绒终端安全、卡巴斯基 EDR | 客户端部署、防护策略开启、病毒库更新、告警处理 |
| IDS/IPS | 启明星辰 IPS、天融信 NGIPS | 镜像口配置、攻击特征库更新、告警阈值调整 |
| SIEM(日志分析) | Splunk、ELK Stack、奇安信态势感知 | 日志采集(Syslog/SNMP)、关联分析规则配置 |
3. 命令行实操(面试可能要求现场写)
- 华为防火墙基础配置:
system-view # 进入系统视图 sysname FW-Internet # 设备命名 interface GigabitEthernet0/0/1 # 配置外网口 ip address 203.0.113.1 255.255.255.0 interface GigabitEthernet0/0/2 # 配置内网口 ip address 192.168.1.1 255.255.255.0 acl number 3000 # 创建ACL策略 rule permit tcp destination-port eq 80 rule permit tcp destination-port eq 443 rule deny ip # 拒绝其他所有流量 policy interzone untrust trust inbound # 应用到外网→内网方向 policy 10 match acl 3000 policy 10 permit - EDR 批量部署脚本(Windows):
@echo off rem 关闭自带杀毒软件(示例:Windows Defender) net stop WinDefend rem 静默安装EDR客户端 msiexec /i EDRClient.msi /quiet /qn INSTALLDIR="C:\Program Files\EDR" rem 激活客户端并关联管理平台 "C:\Program Files\EDR\edr_agent.exe" --activate --server 192.168.0.100:8080 --key ABC123
二、安全交付面试高频场景与应答技巧
场景 1:“作为交付实习生,你如何快速上手一个陌生项目?”
应答思路(体现 “流程化 + 主动性”)
- 先看 3 份核心文档:《需求分析报告》《网络拓扑图》《产品手册》,明确 “做什么、环境是什么、用什么设备”;
- 向资深工程师请教:了解项目难点(如 “客户内网拓扑复杂,需先梳理资产”)、注意事项(如 “客户业务不能中断,需夜间操作”);
- 从小任务入手:先完成设备登录、基础配置(如管理 IP 设置),再逐步推进策略配置、测试验证;
- 记录问题与解决方案:整理《问题台账》(如 “WAF 配置后无法访问源站,原因是源站未放行 WAF IP”),避免重复踩坑。
场景 2:“交付过程中,发现客户现有网络拓扑与提供的图纸不一致,怎么办?”
应答思路(体现 “风险意识 + 沟通能力”)
- 停止后续配置:避免基于错误拓扑配置策略,导致业务中断或防护失效;
- 重新梳理拓扑:用 nmap 扫描资产、登录核心交换机查看路由表(
display ip routing-table),确认真实网络结构; - 同步客户与售前:召开沟通会,展示真实拓扑与原图纸的差异,说明可能影响的交付范围(如 “原计划旁挂 WAF,实际需串联部署”);
- 更新方案:根据真实拓扑调整《安全交付方案》,重新确认交付时间表和资源需求,避免后续纠纷。
场景 3:“部署 WAF 后,客户反馈部分正常业务无法访问,如何排查?”
应答思路(体现 “排查逻辑 + 实操能力”)
- 定位问题范围:确认是所有业务还是特定 URL 无法访问,是否有报错提示(如 “403 Forbidden”“502 Bad Gateway”);
- 查看 WAF 日志:登录 WAF 管理平台,查看拦截日志,确认是否是规则误判(如 “正常表单提交被识别为 SQL 注入”);
- 抓包分析:用 Wireshark 抓取 WAF 与源站之间的流量,查看请求是否被篡改或拦截;
- 逐步排查:① 临时关闭 WAF,测试业务是否正常(判断是否为 WAF 问题);② 若为规则误判,添加白名单(而非关闭整个规则);③ 若为网络问题,检查 WAF 与源站的连通性(ping、telnet);
- 验证与反馈:优化配置后,让客户测试业务,确认问题解决,同时记录到《问题台账》。
场景 4:“客户要求交付后,确保通过等保 2.0 二级测评,你需要做哪些工作?”
应答思路(体现 “合规意识 + 交付深度”)
- 明确等保 2.0 二级要求:重点覆盖 “物理环境、网络安全、主机安全、应用安全、数据安全”5 个维度;
- 针对性配置:① 网络安全:防火墙 ACL 策略、VPN 加密、日志留存 6 个月;② 主机安全:EDR 防护、系统补丁更新、弱密码整改;③ 应用安全:WAF 防护 Web 攻击、数据库审计开启;④ 数据安全:敏感数据加密、备份策略(321 原则);
- 模拟测评:对照等保 2.0 二级测评表,逐项自查(如 “是否有未授权访问记录”“日志是否可追溯”);
- 准备测评资料:提供《安全设备配置报告》《日志留存证明》《漏洞扫描报告》(无高危漏洞),协助客户配合测评机构检查。
三、安全交付核心原则(避免踩坑)
- 最小权限原则:所有安全策略只放行必要业务,禁止 “全通” 配置;
- 业务连续性优先:任何操作前必须评估对业务的影响,提前规划中断窗口和回滚方案;
- 可追溯性:确保所有配置变更、测试操作、问题处理都有记录(文档 + 日志);
- 客户导向:交付的不仅是设备,更是 “让客户会用、放心” 的安全能力,重视培训和沟通。