深信服面试题及答案.docx

深信服面试题及答案

一、网络安全基础题（适合初级工程师岗位）

问题：深信服NGAF（下一代防火墙）相比传统防火墙，核心优势是什么？实际配置时，怎么避免策略冲突导致业务中断？

答案：NGAF核心优势是能整合入侵防御（IPS）、病毒查杀、应用识别这些功能，不用再单独部署多台设备，减少运维复杂度。比如之前帮客户做电商网站防护，NGAF能直接识别“SQL注入”攻击并拦截，不用再配额外的IPS规则。

避免策略冲突的话，有两个实操点：一是建策略时按“优先级从高到低”排，比如“禁止访问高危端口22”的策略要放在“允许办公网上网”前面，因为NGAF是按顺序匹配的，先匹配到就不往下走了；二是用NGAF里的“策略仿真”功能，配置完先仿真测试，看会不会把正常业务流量拦住，比如仿真“允许财务系统访问银行网站”的策略，能看到匹配的流量是否符合预期，没问题再上线。

问题：遇到客户反馈“员工用微信传文件时，部分文件传不出去”，排查方向是什么？（假设客户用了深信服上网行为管理AC）

答案：先看AC的“应用控制策略”，是不是把“微信文件传输”这个细分应用给禁了——AC里微信会拆成“微信聊天”“微信文件”“微信视频”等子应用，有时候客户可能只禁了文件传输但自己没注意。

再查“流量管理”，是不是给微信分配的带宽不够，比如高峰期带宽被占满，文件传一半断了，这时可以临时调高微信的带宽保障值。

最后看“日志中心”，搜这个员工的IP和“微信文件”关键词，看日志里是“被策略拦截”还是“流量超限制”，拦截的话会显示对应的策略ID，直接定位修改就行，比瞎找快很多。

二、云计算与超融合题（适合中级工程师岗位）

问题：深信服aCloud（超融合架构）部署时，硬件选型要注意什么？如果客户现有服务器想加入aCloud集群，怎么判断能不能兼容？

答案：硬件选型关键看三个点：一是硬盘，aCloud的存储靠分布式存储，所以要选企业级SSD当缓存盘，机械硬盘当数据盘，别用消费级SSD，之前有客户贪便宜用了家用SSD，半年后缓存盘故障导致集群性能暴跌；二是网卡，至少要双万兆网卡，而且得支持SR-IOV（单根I/O虚拟化），不然虚拟机的网络性能上不去，比如跑数据库虚拟机时会卡顿；三是内存，每台服务器至少64G，因为aCloud的虚拟化层和分布式存储都会占内存，内存不够会频繁换页，影响速度。

现有服务器兼容判断，直接用深信服官网的“硬件兼容性列表（HCL）”查，输入服务器型号、CPU型号、网卡型号，能查到是否经过官方认证。如果没在列表里，先测最小配置：装aCloud的试用版，跑24小时稳定性测试，看存储读写速度、虚拟机迁移是否正常，比如迁移一个100G的虚拟机，要是耗时超过5分钟，或者迁移中虚拟机断连，基本就不建议加进去，避免拖慢整个集群。

问题：aCloud里虚拟机突然蓝屏，怎么排查原因？（排除硬件故障的前提下）

答案：先看aCloud的“虚拟机日志”，在“主机-虚拟机-更多-日志下载”里，找蓝屏前后的日志，重点看有没有“磁盘IO超时”“内存分配失败”的报错。比如之前遇到过，日志里显示“虚拟机磁盘读写延迟超过300ms”，最后发现是分布式存储里的一块数据盘性能下降，换了盘就好。

再查“主机资源监控”，看蓝屏时对应主机的CPU、内存使用率是不是突然拉满，比如其他虚拟机把内存占完了，导致这个虚拟机内存不足蓝屏，这时要调整虚拟机的资源配额，给关键虚拟机设“内存预留”。

还有一种情况是虚拟机里装的软件冲突，比如客户在虚拟机里装了第三方杀毒软件，和aCloud的虚拟机工具（SVMR）冲突，这时可以先卸载杀毒软件，重启虚拟机看是否恢复，再联系深信服技术支持要兼容的杀毒软件列表。

三、运维与应急题（适合全岗位，侧重实战）

问题：客户反馈“深信服SSLVPN突然连不上，提示‘认证失败’”，但昨天还能用，排查步骤是什么？

答案：第一步先问客户“是不是改了密码”，很多时候是员工密码过期或自己忘了，让客户试下初始密码或重置密码，这是最常见的原因。

第二步查VPN的“认证策略”，比如客户是不是把“AD认证”改成了“本地认证”，而员工还在用AD账号登录，这时在VPN控制台“用户认证-认证策略”里改回原来的认证方式就行。

第三步看“日志-认证日志”，搜客户的账号，看日志里是“密码错误”还是“账号被锁定”，如果是锁定，日志会显示“连续错误5次锁定”，在“用户管理”里解锁就行；如果是“认证服务器无响应”，比如AD服务器断连，那就去检查AD服务器的网络是否通，VPN能不能pi