中熊制图面试总结

一、自我介绍环节

评价:自我介绍一般,体现过参加护网太假,在面试过程中尽量不要体现自己是在校生,多穿插护网经历。

修正后的自我介绍

面试官您好,我叫【+++】。毕业于[院校],专业为计算机应用技术。因为在校内对于网络安全感兴趣,所以自学了计算机、网络和信息安全相关的知识,然后并考取了国家信息安全水平测试的一级和二级证书。平时会在 GitHub 上下载一些开源的靶场,然后进行一些测试,具备一定的学习能力和实践能力。2025 年 7 月,在一个(中烟商务)护网项目中担任监控研判岗,主要负责深信服态势感知、AF 防火墙(AF 防火墙,深信服的下一代防火墙)及 EDR 平台的流量监测与告警研判。累计处置了异常外联、查看告警,封堵恶意 IP,并保障了业务 7×24 小时安全运行。

我具备扎实的安全基础、良好的安全设备实操能力,希望能胜任贵公司的安全岗位。

二、安全设备环节

可能被问的问题及回答

问题 1:护网经历中的典型联动场景

在我在中烟商务物流的护网经历中,最典型的一个联动场景是防御外部恶意扫描和爆破。当时 SIP(SIP 深信服的态势感知平台)上产生了大量的端口扫描告警,我点进详情查看流量特征和 Payload,确认是恶意的扫描器行为。因为当时正处于护网高压期,我直接在 SIP 平台的事件处置页面,勾选该攻击源 IP,点击”联动防火墙封堵”。AF 接收到指令后,立刻在边界将该 IP 拉黑,后续这个 IP 的所有探测包就都在防火墙层面被 Drop(丢弃)掉了,内网服务器彻底安全。

问题 2:态势感知误报导致误封正常业务 IP 的应急步骤

  1. 立即解封,恢复业务:登录 AF 防火墙,手动解封和移除,确保流量第一时间通过。
  2. 查明原因:登录深信服的态势感知,找到原 IP 和 Payload,找出误判原因。
  3. 策略优化:优化规则,缩小规则匹配范围,添加白名单过滤正常的 IP,更新特征库和威胁情报。
  4. 做好记录,向主管汇报。

问题 3:面对成千上万告警的过滤思路

很多告警都是扫描器行为,如果有大量的 Web 攻击告警对应的 HTTP 响应状态码都是 404(页面不存在)、403(被禁止访问)或者 500(服务器内部错误,未带出敏感数据),说明都是攻击未遂。只有响应状态码为 200 并且响应体的大小出现异常变化时,才需要重点关注。

产生误报的原因可能是规则特征过于宽泛,优化规则,缩小规则匹配范围,添加白名单过滤正常的 IP,更新特征库和威胁情报。

问题 4:用过哪些安全设备?

  • 态势感知:SIP(深信服态势)、NGSOC(奇安信的态势感知和安全运营平台)
  • 下一代防火墙:AF(深信服)、NGFW(深信服)

问题 5:下一代防火墙和传统防火墙的区别?

  1. 深度包检测:传统防火墙主要关注数据包的源地址、目标地址和端口号等基本信息,而下一代防火墙则能深入检查数据包内容,识别并拦截恶意流量。

  2. 应用识别与控制:传统防火墙很难识别应用程序或其特定功能,而下一代防火墙通过应用签名、行为和上下文分析等技术实现了对各种应用的精确识别和控制。

  3. 用户身份识别与控制:传统防火墙只能基于 IP 地址进行访问控制,而下一代防火墙可以识别具体的用户信息并实现基于用户身份的访问控制,这使得安全策略更加灵活且易于管理。

  4. 集成多种安全功能:下一代防火墙整合了入侵防御系统(IDS)、入侵预防系统(IPS)、防病毒、反垃圾邮件、沙箱分析等多种安全功能,提供了更加全面的网络安全防护。

  5. 统一管理与报告:下一代防火墙通常提供集中化的管理界面,使得管理员能够更方便地配置策略、查看各种报告和监控网络状况。

问题 6:用过什么设备?(态势感知方向)

态势感知,比如奇安信的天眼。

问题 7:如何通过 WAF 进行防御?

步骤一:将暴露在互联网上的 Web 业务确保走 WAF 的代理,配置策略,阻断海外 IP 的访问,同时将各大厂商的最新高威胁情报库同步到 WAF,实现秒级黑 IP 拦截。直接在 WAF 上配置规则,拦截对敏感目录的访问,禁用如 PUT、DELETE 等非必要的 HTTP 请求方法。

步骤二:结合态势感知,态势感知结合其他设备(如 EDR,全流量分析)绘制攻击链,WAF 负责拦截,当 SIP 判断 IP 存在攻击行为时,直接下令 WAF 封死该 IP。

问题 8:会不会部署 WAF?

三种部署方式:反向代理模式、透明桥接模式、旁站镜像模式。

后两者只是知道,实践进行过反向代理部署。

反向代理流程

  1. 首先:有源站 IP,业务为 HTTPS 的话还需要 SSL 证书和私钥。
  2. 然后:在 WAF 上配置,在 WAF 新建站点,填入域名和源站 IP,配置好证书。注意,此时的防护策略一定要是【观察模式】
  3. 测试业务访问是否正常,在观察模式下观察业务流量是否存在大量的误报拦截正常业务,再切换为【严格阻断模式】。

问题 9:没有安全设备如何判断是否有后门?

利用 netstat 查看网络链接。

问题 10:EDR 是什么?

端点检测与响应(行为监控和主机级微隔离)。

作用在于黑客的代码直接注入到了内存中运行,磁盘中没有任何的文件落地,杀毒软件扫描不到,但是 EDR 可以发现这个正常进程在执行异常的内存读写和外联操作,从而就会触发告警。

问题 11:IDS 和 IPS 的区别

  • IDS(入侵检测系统):仅检测、记录、告警(仅产生告警垃圾,不影响正常业务)。
  • IPS(入侵防御系统):检测、记录、告警并主动拦截(具备破坏性,误拦导致正常业务中断)。

问题 12:护网中爆出 0day 如何处理?

研发来不及修补代码,必须立刻在 WAF 上编写自定义规则,针对该漏洞的 Payload 特征进行精准拦截。

问题 13:如何应急?

  1. 提前准备应急预案,定期开展应急演练。
  2. 收到告警判断事件类型,评估资产影响范围和严重程度。
  3. 立即隔离资产,断开网络连接,防止攻击面范围扩大。
  4. 排查入侵入口,清除恶意程序、后门、异常账号,修复漏洞。
  5. 在验证漏洞修复有效后恢复业务系统正常运行,恢复网络链接。
  6. 编写应急响应报告,分析原因,制定安全加固方案,优化防御策略。

三、流量特征

1. SQL 注入的流量特征

特征识别

  • 敏感字符和 SQL 关键字:闭合和注释的符号,如单引号、双引号、反斜杠。用于截断后端语句的注释符:-- (杠杠空格)、#(井号)等。
  • 高危动作关键字selectunionandorinsertdelete

绕过手法识别

然而,红队在实战中绝对不会直接发送明文,而是会使用各种编码来绕过 WAF,比如说:

  • 最常见的 URL 编码:单引号变成 %27,空格变成 %20# 变成 %23。为了绕过也可能会使用二次编码。
  • 内联注释混淆:如 /*5000SELECT*/
  • 等价替换:流量中会出现 ||(代替 or),&&(代替 and)。
  • Payload 专有特征:报错注入中常见的 XML 函数,如 updatexml()extractvalue(),或者几何函数如 floor()exp()

2. CS 流量特征

CS 简称 Cobalt Strike,命令与控制工具。

特定的 Header 注入:很多开源的 C2 配置习惯将加密的元数据隐藏在特定的 HTTP 头部字段中,例如 Cookie。如果发现这些字段的 Base64 字符串长度异常且毫无逻辑,非常可疑。

3. WebShell 的流量特征

工具 流量特征
冰蝎 3.0 请求包 Accept 字段为 */*,Content-Type 为 application/octet-stream,传输为 AES 加密二进制数据
冰蝎 4.0 采用动态密钥协商,首次请求时会交换公钥,无固定长度特征
蚁剑 默认的 User-Agent 包含 antsword 标识,请求体为 Base64 编码的代码,响应体也会有 Base64 编码的执行结果
哥斯拉 请求体 Cookie 中包含 pass== 开头的参数,Cookie 末尾常多出分号,流量采取的是 AES 加密

4. 怎么和甲方沟通?

(文档未展开详细说明)

5. 防火墙优化的原则是什么?

最小化原则:只开放必要的端口和服务。
(内容由AI生成,仅供参考)