35+ 个最常问的 Checkpoint 面试问题及答案

1) 什么是欺骗？欺骗的例子是什么？

“欺骗”一词指的是一种包括网络犯罪分子冒充受信任的实体或设备进行欺诈的犯罪行为。这是一种网络犯罪，有人冒充您信任的联系人或组织，假冒成您信任的人，并试图获取您的敏感个人信息。任何时候，在线骗子或诈骗者都会伪装成其他身份，这就是欺骗。在这种网络犯罪中，攻击者会复制并利用您联系人的身份，并将他们伪装成知名品牌或一些受信任的网站和网络。

在欺骗攻击中，攻击者会更改传入数据包的源地址，使其看起来像是来自一个已知、受信任的源。

欺骗的一个好例子是电话欺骗。在这种欺骗中，对方来电者谎称自己是银行代表或官方银行人员，并索要您的账户详细信息或借记卡/信用卡信息。欺骗的另一个例子是 IP 地址欺骗，其中黑客会创建带有虚假源 IP 地址的互联网协议 (IP) 数据包，以冒充另一台计算设备。

2) 如何防止欺骗？

安全专家使用多种智能安全工具来防止欺骗。这些智能安全工具可以帮助我们防止欺骗攻击。例如，垃圾邮件过滤器可以阻止大多数网络钓鱼电子邮件到达您的收件箱。许多组织使用防欺骗工具来保护其用户的凭证安全。一些网络运营商也使用类似的软件来阻止垃圾电话到达用户的手机。

3) Checkpoint 防火墙中的反欺骗是什么？

反欺骗是 Checkpoint 防火墙最重要的功能之一。它是一种用于识别和丢弃具有虚假源地址的数据包的技术。它保护用户免受那些创建带有欺骗或虚假源地址的 IP 数据包并试图欺骗他人的攻击者的侵害。通过使用这项技术，安全专家可以检查传入流量是否合法。

4) 您对非对称加密有什么理解？

非对称加密是一种技术，其中提供两个不同的密钥来加密和解密消息或数据包。在这里，一个密钥用于加密消息，另一个密钥用于解密消息。

5) 您对 CheckPoint 防火墙有什么理解？

CheckPoint 防火墙是全球领先的网络安全解决方案提供商之一，为公司和政府提供服务。它用于防御网络攻击，例如勒索软件、恶意软件和其他类型的常见威胁。设备可以根据定义的策略与多个网络通信。它是私有内部网络和公共互联网之间的屏障。CheckPoint 防火墙提供了一个保护所有网络和云免受任何定向攻击的架构。

CheckPoint 防火墙为我们提供了下一代防火墙 (NGF) 功能，包括以下服务

• 提供互联网访问和过滤。
• 还可以用于监视和控制应用程序。
• 提供移动设备和 VPN（虚拟专用网络）连接。
• 用于身份识别和计算机感知
• 防止安全威胁和入侵。
• 它是下一代防火墙领域的领导者之一，拥有广泛的本地部署和虚拟产品，主要面向中小型企业以及大型公司和电信运营商。
• 全球有超过一百万家公司使用 CheckPoint 防火墙保护。

6) 解释 Checkpoint 防火墙的 3 层架构组件。

Checkpoint 组件基于 3 层技术架构。这种 3 层技术架构如下

安全仪表板

安全仪表板是一个 Smart Console GUI（图形用户界面）应用程序，系统管理员使用它来创建和管理安全策略。

安全网关

安全网关是一种用作网络屏障的设备，用于防止未经授权的流量进入组织的网络。它为组织制定安全策略，并充当 LAN（局域网）的入口点。安全管理服务器对其进行管理。

安全管理服务器

系统管理员使用安全管理服务器来管理安全策略。它存储组织的数据库、安全策略和事件日志。它还用于存储、管理和分发安全策略到安全网关。

7) CheckPoint 解决方案的主要组件有哪些？

以下是 CheckPoint 解决方案主要组件的列表

• 内部网络
• 内部和外部网络
• 安全网关
• 安全仪表板
• 安全管理服务器

8) 您对软件刀片有什么理解？

软件刀片是一种安全应用程序或模块，就像防火墙一样。一些好的软件刀片示例是虚拟专用网络 (VPN) 和入侵防御系统 (IPS)。

9)Standalone 部署和分布式部署之间的主要区别是什么？

我们可以将 CheckPoint 防火墙用作独立系统或分布式系统。让我们看看它们之间的主要区别

10) Identity Awareness 软件刀片的主要用途是什么？

Identity Awareness 软件刀片最受欢迎的用途是允许防火墙配置，以便为单个用户和组启用访问控制。

11) 您对 Stealth Rule 和 Cleanup Rule 有什么理解？

Stealth Rule

Stealth 规则主要用于保护 checkpoint 防火墙免受直接访问流量。此规则位于安全角色基的顶部。

Cleanup Rule

Cleanup Rule 会丢弃所有不匹配 Stealth 规则且已记录的流量。此规则主要用于日志记录目的。

12) 防火墙允许的最常见连接是什么？

防火墙允许的最常见连接如下

• VPN 连接
• 指定的外部连接
• 连接到 DNS 服务器
• 连接到 DMZ 中的服务器
• 从内部网络到外部网络的连接

13) Checkpoints 有哪些不同类型？

以下是 Checkpoints 不同类型的列表

标准 Checkpoint

Standard Checkpoint 主要用于验证被测应用程序中对象的属性值。所有插件环境都支持此 CheckPoint。

位图 Checkpoint

Bitmap Checkpoint 主要用于检查图像的位图或整个网页。它逐像素比较实际图像和预期图像。

图像 CheckPoint

Image Checkpoint 用于检查 Web 图像的属性，例如源文件位置。此 CheckPoint 不像 Bitmap CheckPoint 那样检查像素。

文本 CheckPoint

Text CheckPoint 主要用于检查网页和应用程序中的预期文本。它可以是显示的少量文本，也可以是应用程序的特定区域/区域。

表格 CheckPoint

Table CheckPoint 方便用户动态检查环境中显示的表格（网格）内的单元格内容。它还检查各种表格属性，例如行高、单元格宽度等。

14) 什么是虚拟专用网络或 VPN？

虚拟专用网络或 VPN 是一种在线媒介，它将专用网络扩展到公共网络，并使用户能够通过共享或公共网络发送和接收数据，就好像他们的计算设备直接连接到专用网络一样。通过公共 Internet 使用 VPN 可以提供广域网 (WAN) 的优势。用户可以使用 VPN 远程访问专用网络内的可用资源。

换句话说，我们可以说 VPN 通过 Internet 在两个专用网络之间提供安全连接以进行通信。此方法使用加密身份验证来保护传输中的数据。

VPN 的最大优势在于它增强了专用网络的功能、安全性和管理。使用 VPN，我们可以访问公共网络上无法访问的资源，并且主要供远程工作者使用。

VPN 主要有两种类型

• 站点到站点 VPN
• 远程访问 VPN

15) 您对规则执行顺序有什么理解？

规则执行顺序是指定任务优先级顺序的优先顺序。防火墙会检查到网络的每个传入连接，并将数据与第一条规则进行比较。如果连接与规则匹配，防火墙将应用规则操作。在某些情况下，如果连接与规则不匹配，它将继续处理规则库中的下一条规则。

16) NAT 的完整形式是什么？

NAT 是 Network Address Translation 的缩写。NAT 主要用于将专用 IP 地址与公共 IP 地址以及公共 IP 地址与专用 IP 地址进行映射。它还为内部服务器和网络提供来自 Internet 的安全性。我们还可以使用它通过专用 IP 地址连接 Internet。

17) 什么是源 NAT？

源 NAT 发起从内部网络到外部网络的流量。在源 NAT 中，只有源 IP 被转换为公共 IP 地址。

18) 您对 IPSec 有什么理解？

IPSec 代表 IP Security。它是一组负责任的协议，可在 Internet 等公共网络上建立两个网络和主机之间的安全通信。IPSec 的最大优势在于它提供了完整性、机密性、真实性和防重放保护。

IPSec 协议主要有两种类型

• ESP（封装安全协议）
• 身份验证头 (AH)

19) Authentication Header (AH) 和 ESP (Encapsulation Security Protocol) IPSec 协议之间的主要区别是什么？

Authentication Header (AH) 和 ESP (Encapsulation Security Protocol) IPSec 是 IPSec 套件的组成部分，但它们之间存在一些差异。以下是它们之间主要差异的列表

20) 建议对所有规则库使用的基本访问控制规则是什么？

以下是建议对所有规则库使用的基本访问控制规则列表

• Stealth 规则：此规则可防止直接访问安全网关。
• Cleanup 规则：此规则丢弃之前规则未允许的所有流量。
• 另一个隐含的规则会丢弃所有流量，但允许我们使用 Cleanup 规则来记录流量。

21) 您对 CheckPoint 防火墙的显式规则有什么理解？

Checkpoint 防火墙的显式规则是网络安全管理员在规则库中创建的规则。

22) 您对 Checkpoint SecureXL、ClusterXL 和 CoreXL 有什么理解？

Checkpoint SecureXL（安全加速）

Checkpoint SecureXL 在不牺牲安全性的情况下提供最大的防火墙性能。我们可以使用虚拟化软件处理和处理多个 CPU 密集型操作，而不是在安全网关上使用 SecureXL 的防火墙内核。它有助于防火墙进行更好的检查并更有效地处理连接。它还可以加速吞吐量和连接速率。

ClusterXL

ClusterXL 也称为智能负载均衡。它拥有一组相同的 CheckPoint 安全网关，这些网关连接在一起，如果其中一个（安全网关）发生故障，另一个会立即替换它。它提供高可用性和负载共享，可以维护业务连续性。如果连接网关或网络中断，连接将无缝重定向到备份，从而确保业务连续性。

CoreXL

CoreXL 也称为多核加速。当我们在安全网关上启用 CoreXL 时，防火墙内核会被复制多次，并且每个副本（实例）都运行在单个处理器核心上。在 CoreXL 中，所有实例都是完整的防火墙内核，它们并发地处理和检查流量。通过这种方式，它提高了安全网关的性能。每个防火墙实例用于处理通过相同接口的流量，并应用相同的网关安全策略。CoreXL 还可以同时提供高安全性和高性能。

23) 您对“隐藏 NAT”和“目标 NAT”有什么理解？

隐藏 NAT：隐藏 NAT 用于一对多转换。它将多个 IP 或网络与单个公共 IP 地址进行转换。它只能用于源 NAT 转换。我们不能将其用于目标 NAT。

目标 NAT：目标 NAT 用于转换目标 IP 地址。当我们想要转换目标 IP 地址以从公共 IP 地址连接到内部专用网络时，我们只能在目标 NAT 中使用静态 NAT。

24) 防火墙在边界允许哪些类型的连接？

防火墙在边界允许的连接类型如下

• 连接到 DNS 服务器。
• 连接到 DMZ 中的服务器。
• 到 Internet 的出站连接。
• 指定的外部连接。
• 从内部网络到内部网络的连接
• VPN 连接

25) SIC 的完整形式是什么？

SIC 是 Secure Internal Communication 的缩写。它是 CheckPoint 防火墙功能，用于在 CheckPoint 防火墙组件之间建立安全连接。SIC 主要在安全网关和安全管理服务器可用于分布式部署时使用。

26) GAIA 相对于 SPLAT 的主要优点是什么？

GAIA 是 CheckPoint 的最新版本，是 SPLAT 和 IPSO 的结合。

以下是 GAIA 相对于 SPLAT/IPSO 的一些优点列表

• 它是一个基于 Web 的用户界面，具有搜索导航功能。
• 它提供完整的软件刀片支持。
• 它提供高连接容量。
• 它提供原生的 IPv4 和 IPv6 支持。
• 它具有基于角色的管理访问权限。
• 它具有智能软件更新。
• 它提供与 IPSO 和 SecurePlatform 的完全兼容性。
• 它具有可管理的动态路由套件。

27) 您对网络防火墙有什么理解？

网络防火墙是一种系统或集合，用于在两个网络之间实施访问控制策略。防火墙有一对机制

• 防火墙的第一种机制是阻止流量。
• 第二种是允许流量。

这意味着一些防火墙用于阻止流量，而一些防火墙则旨在允许流量。在防火墙中，最重要的是实施访问控制策略。用户必须清楚地了解他们想要允许或拒绝的访问类型。

28) 什么是堡垒主机？

堡垒主机是专门暴露在公共网络上的专用系统。从安全的网络观点来看，由于它是唯一有意暴露在公共网络上的节点，因此它非常容易受到攻击。该专用系统放置在防火墙外部的一个防火墙系统中，或者如果系统有两个防火墙，则放置在两个防火墙之间。

堡垒主机过滤和处理传入流量，并阻止易受攻击的流量进入网络，充当网关。堡垒主机的一些常见示例是域名系统和邮件。

29) SmartLog 的最重要的功能是什么？

SmartLog 的最重要的功能如下

• 它使用户能够通过简单的搜索字符串快速搜索数十亿条日志。
• 它还实时监视管理员活动和连接的日志。
• 从许多默认搜索引擎中选择适用的日志。
• 通过 SmartLog，管理员可以快速识别重要的安全事件。

30) 您对身份验证有什么理解？

身份验证是确定想要访问系统的用户的身份的过程。在身份验证过程中，用户必须验证其计算机身份（用户名和密码）。

31) 您对 Stealth Rule 有什么理解？

Stealth Rule 是一条规则，它不允许与防火墙进行任何通信，并保护它免受任何漏洞攻击。此规则位于规则库的顶部。

32) 您对加密校验和有什么理解？

加密校验和是一种应用于文件的单向函数，用于生成唯一的指纹以供以后参考。校验和系统是检测 UNIX 系统文件系统篡改的主要方法。

33) 防火墙有哪些不同类型？

以下是防火墙不同类型的列表

• 数据包过滤防火墙：此类型的防火墙用于检测数据包、阻止不必要的数据包并释放网络流量。
• 筛选路由器防火墙：此类型的防火墙是在路由器中可用的基于软件的防火墙。它仅提供轻度过滤。
• 基于计算机的防火墙：此类型的防火墙存储在具有现有操作系统（如 Windows 和 UNIX）的服务器中。
• 硬件基础防火墙：顾名思义，此类型的防火墙有一个设备状的盒子，可以提供强大的公共网络安全。大型网络大多使用此类型的防火墙。
• 代理服务器：它也充当一种防火墙，允许所有客户端以不同的访问限制访问 Internet。代理服务器有自己的防火墙，它过滤来自 Web 服务器的所有数据包。

34) 什么是应用层网关？

应用层网关是 ScreenOS 网关的重要功能之一。它使网关能够解析应用层有效负载。除此之外，还有一些其他 ScreenOS 功能，如深度检查，其中网关在应用层检查流量。

应用层网关主要用于支持使用应用层有效负载与应用程序打开数据连接的动态传输控制协议 (TCP) 或用户数据报协议 (UDP) 进行交互的应用程序。

35) 安全区域有哪些不同元素？

以下是安全区域不同关键元素的列表

• 外部网络：包括不安全的数据。
• 内部网络：包含公司数据。
• 边界：指定内部和外部网络之间的边界。
• DMZ：包含公司服务器。

36) 您对透明防火墙有什么理解？

透明防火墙是一种介于两个设备之间的层，可以在现有网络上进行配置。在透明防火墙层中，我们可以在没有访问列表配置的情况下从更高的安全级别传递到更低的安全级别。

37) UDP、TCP 和 ICMP 会话的超时时长是多少？

UDP 会话、TCP 会话和 ICMP 会话的超时时长如下

• 对于 TCP 会话，超时时长为 60 分钟。
• 对于 UDP 会话，超时时长为 2 分钟。
• 对于 ICMP 会话，超时时长为 2 秒。