深信服scsa知识点一

1.AH51端口 ESP 50端口

2.IPSEC能加密经过NAT转换的报文，但是不能验证经过NAT转换的报文，在穿越NAT时IKE协商的IP地址和端口不匹配

3.非对称加密，使用其中一个密钥加密后只能使用另一个密钥解密

4.加密和解密是对数据进行的某种交换，加密和解密的过程都在密钥的控制下完成的

5.SANGFOR VPN建立总部与分支的VPN类型，需要使用虚拟IP

6.标准IPSEC中，启用DPD（对等体死亡检测）可以防止VPN隧道黑洞

7.对于IPv4，IPSEC是可选的，对于IPv6，IPSEC是强制实施的

8.SANGFOR DLAN和SANGFOR DLAN之间对接是完全免费的

9.在公开密钥体系中，加密密钥即为公开密钥

10.PDLAN是SANGFOR VPN的Windows客户端软件

11.PDLAN接入时总部必须配置虚拟IP池

12.PDLAN接入后不需要配置隧道路由就能访问总部内网网段

13.SSL VPN远程发布是基于Windows server操作系统的

14.VPN设备不支持U盘密码恢复

15.SSL VPN tcp资源发布不支持DNS解析

16.SSL VPN web应用不支持用户新开浏览器输入地址访问

17.用户通过默认端口登录SSL VPN资源：https：//IP或域名

18.短信认证码不可以设置永久有效

19.远程应用发布，客户端不需要安装发布的应用层序就可以使用该应用

20.终端服务器支持WindowsServer不支持Linux

21.“公共用户”支持硬件特征码认证

22.“公共用户”不允许用户在线修改登录密码

23.TCP应用是通过协议转换实现的

24.一个角色可以对应多个用户，一个角色可以对应多个资源，一个用户可以对应多个角色，一个用户只能对应一个用户组

25.TCP资源支持Windows系统32/64应用程序

26.多个用户可以对应一个硬件特征码

27.硬件特征码不会根据时间变化自动改变

28.RARP：知道自己的mac地址，通过rarp协议得到自己的ip地址。即反向地址转换协议将mac地址转换为ip地址

29.AC审计模块，管理员配置IP网段后可以自动识别业务

30.AC审计模块，审计对象不仅包含服务器和客户端，保护服务器，业务，客户端

31.AC关于web业务审计，支持用户自定义关动作后审计相关操作

32.从上网行为管理到安全行为管理的变化是：内部威胁管理

33.不能通过SANGFOR firmware updater完成的操作是：备份内置数据中心，可以完成的操作是：给设备升级，测试设备的网络连通性，进行逻辑网口交换

21.跨三层环境下，因为数据包的源mac地址变了所有要开启跨三层取MAC

34.AC旁路模式，管理口和镜像口不能是同一个口

35.全局排除地址后防火墙规则仍生效，但不记录上网行为

36.PC与PC之间放共享的技术有：DPI 字体检测技术   SNMP扫描技术，没用辅助检测技术

37.相同平台相同型号的移动端可以识别

38.AC惩罚通道不能再应用控制引用，可以在时长配额，流速控制，流量配额里面引用

39.使用SSL识别可以审计到web微信聊天内容

40.外置数据中心必做的配置：1.在外置数据中心同步策略，2.在控制台–系统配置–日志中心配置–配置外置数据中心同步策略