面试网安甲方，面试题尽然都是和设备相关，看你会不

网络安面试题库截止目前已更新51篇，近13w字，里面包含了网安的职业规划、面试准备篇幅、学习方向、求职名单、应届生面试题库、应届生笔试题库、国内外安全企业介绍、以及社会背调等。15w字的面试经验文末有彩蛋

1. "防火墙到底能防啥？如果有人说防火墙能防病毒，你觉得对吗？"

答案
防火墙主要控制网络流量（允许/拦截），基于IP、端口、协议等规则过滤流量。但它不能直接防病毒，因为病毒可能藏在允许通过的流量里（比如HTTP文件）。防病毒需要结合IPS、杀毒软件等设备。不过新一代防火墙（NGFW）可以集成病毒检测功能，但传统防火墙不行。

2. "入侵检测系统（IDS）和入侵防御系统（IPS）名字很像，实际用起来有啥区别？"

答案

• IDS像"监控摄像头"：只检测异常并报警，不阻断流量，适合事后分析。
• IPS像"安检门"：实时检测并直接拦截恶意流量，但配置不当可能误杀正常业务。
  部署位置也不同：IDS通常旁路监听，IPS必须串接在流量路径上（比如防火墙后面）。

3. "客户公司官网被SQL注入了，你会建议部署什么设备？为什么？"

答案
首选Web应用防火墙（WAF），因为：

1. 专门防护OWASP Top 10攻击（如SQL注入、XSS）
2. 能解析HTTP/HTTPS协议，识别恶意参数
3. 支持虚拟补丁，在代码修复前临时防护
   补充方案：同时用IPS的Web攻击特征库做二次防护。

4. "防火墙策略里为啥要'先拒绝所有，再逐个允许'？反过来行不行？"

答案
安全原则是最小化开放权限。如果"先允许所有再拒绝"，可能有隐藏漏洞：

• 新增业务时容易忘记添加拒绝规则
• 默认放行未知服务（如新开的危险端口）
  最佳实践：最后一条策略必须是deny any any，类似门禁"白名单"机制。

5. "VPN设备现在还有人用吗？和零信任网络有啥区别？"

答案
VPN仍在用，但零信任更安全：

• 传统VPN：连接后默认信任内网，一旦入侵横向移动容易
• 零信任：持续验证身份+设备健康状态，按需授权最小权限
  实际中常混合使用：用VPN做网络层接入，零信任控制应用层访问。

6. "沙箱设备是怎么检测高级威胁的？举个实际例子"

答案
沙箱通过"隔离环境执行文件"观察行为，比如：

1. 检测到Word文档释放恶意脚本
2. 观察进程尝试连接C2服务器
3. 记录注册表修改等持久化操作
   案例：Emotet木马在沙箱中会检测虚拟环境，高级沙箱会伪装成真实电脑诱使其触发恶意行为。

7. "终端装了EDR还要部署防火墙吗？为什么？"

答案
需要！二者防护维度不同：

• EDR：侧重主机层面（进程行为、文件查杀）
• 防火墙：控制网络通信（阻断恶意IP、限制端口）
  举例：即使终端感染木马，防火墙可以阻止它外连控制服务器。

8. "SIEM系统为啥要收防火墙和IDS的日志？光看一种不行吗？"

答案
关联分析需要多源数据：

• 防火墙日志显示某IP被拒绝
• IDS日志发现同一IP在扫描端口
  结合后可判断是攻击试探，自动提升威胁等级。单一设备日志无法还原完整攻击链。

9. "上网行为管理设备会被员工吐槽吗？怎么平衡安全和体验？"

答案
会，但可优化：

1. 分部门策略：研发部放行GitHub，市场部允许社交媒体
2. 设置宽松时间段：午休允许看视频
3. 透明沟通：告知安全风险（如钓鱼网站）
   关键：避免一刀切，用数据统计调整策略（如屏蔽占用带宽大的应用）。

10. "抗DDoS设备是怎么区分正常流量和攻击流量的？"

答案
常用方法：

• 特征匹配：SYN Flood攻击会有大量半连接
• 速率阈值：突然流量激增（如从1Gbps到10Gbps）
• 行为分析：正常用户访问多页面，攻击流量重复请求同一URL
  高级设备会结合AI模型，基线学习正常流量模式。

11. "漏洞扫描器扫出系统有高危漏洞，但业务不能停，怎么办？"

答案
分层处置：

1. 立即用WAF/IPS设置虚拟补丁拦截攻击
2. 在网络层面限制访问该系统的源IP
3. 联系厂商获取热修复补丁
4. 制定维护窗口期进行正式修复
   关键：不能只依赖扫描器，要结合其他防护设备争取修复时间。

12. "网闸（物理隔离设备）传文件时U盘都熔断了，怎么安全传数据？"

答案
标准流程：

1. 发送方检查文件无恶意代码
2. 使用专用摆渡机，格式化为FAT32（不支持恶意脚本）
3. 网闸启用内容过滤（如只允许PDF）
4. 接收方再次杀毒
   金融行业会使用光闸（激光单向传输）彻底杜绝反向攻击。

13. "零信任的SDP和传统VPN比，技术上有什么核心区别？"

答案

• 网络可见性：VPN让用户看到整个内网，SDP隐藏网络拓扑
• 认证方式：VPN通常用密码/证书，SDP需要多因素认证（MFA）
• 连接逻辑：VPN建立隧道后自由访问，SDP每次访问资源都需授权
  核心技术差异：SDP使用SPA（单包授权），未认证设备连端口都扫不到。

14. "DLP设备防止数据泄露，有哪些检测手段？"

答案
三重检测：

1. 内容识别：关键字匹配、指纹对比（如客户数据库特征）
2. 行为分析：员工突然批量下载文件
3. 通道管控：禁止USB写入、拦截未加密邮件附件
   高级功能：对敏感文件自动加密，即使泄露也无法打开。

15. "蜜罐（Honeypot）看起来像'诱饵'，实际部署有什么讲究？"

答案
关键原则：

• 逼真性：伪造生产环境（如假数据库、登录页面）
• 隔离性：放在独立网段，与真实系统物理隔离
• 数据收集：记录攻击者IP、工具、漏洞利用方式
  典型案例：部署伪装的工控系统协议，诱捕针对OT网络的攻击。

星球介绍

一个人走的很快，但一群人才能地的更远。吉祥同学学安全这个星球🔗成立了1年左右，已经有300+的小伙伴了，如果你是网络安全的学生、想转行网络安全行业、需要网安相关的方案、ppt，戳链接🔗（内有优惠卷）快加入我们吧。系统性的知识库已经有：《Java代码审计》++《Web安全》++《应急响应》++《护网资料库》++《网安面试指南》