在如今这个数字化时代，网络安全的重要性不言而喻。无论是企业还是个人，都面临着各种网络威胁。对于想要从事网络安全行业的人来说，面试是一道必经的关卡。今天，咱们就来聊聊那些网络安全面试中常见的问题与答案，哪怕你是个网络安全小白，也能轻松看懂！

一、网络协议那些事儿

1. 常见网络协议大盘点

上网时，我们离不开 HTTP（普通网页传输）、HTTPS（加密网页传输），比如你刷新闻、看视频，背后都有它们在工作；传文件靠 FTP；把网址变成 IP 地址得靠 DNS 。发邮件则要用到 SMTP（发送）、POP3/IMAP（接收）。连 Wi-Fi 是自动分配 IP 地址的是 DHCP，监控网络设备流量的是 SNMP。在底层通信中，TCP 保证可靠传输，像下载文件就靠它稳稳当当；UDP 主打快速，视频通话就需要它；IP 则是网络层的 “地址大师”。还有 ARP，它能把 IP 转成电脑的 MAC 地址。

打个比方，HTTP 就像我们在电商平台下单的操作界面，TCP 是保证商品完好无损送到你手上的物流，IP 则是快递单上的地址。我之前也闹过乌龙，把 HTTP 错说成网络层协议，后来查了好多资料才搞清楚。

二、探秘 OSI 七层模型

2. 七层模型全解析

OSI 七层模型从上到下依次是：

应用层：这是我们直接打交道的一层，比如浏览器访问网页用 HTTP 协议，收发邮件用 SMTP 等。就像你在淘宝购物，应用层就是你看到的淘宝 APP 或网页。

表示层：负责数据的翻译、加密和压缩。HTTPS 就是它加密的成果，而我们常见的.zip 文件压缩也是它的 “杰作”。

会话层：管理会话时长，比如微信语音通话时，突然断网又自动重连，背后就是会话层在努力。

传输层：TCP 和 UDP 的 “主战场”，它把数据切成小块传输，就像把一大箱货物分成多个小包裹发货。

网络层：IP 协议在这里决定数据走哪条路，类似我们开车用的导航软件规划路线。

数据链路层：通过 MAC 地址找到隔壁设备，同一个 Wi-Fi 下手机和电脑能互相发现，就靠它。

物理层：实实在在的传输介质，网线、光纤这些能看得见摸得着的东西。

以淘宝下单为例，从应用层发起订单，经过表示层加密，会话层维持连接，传输层分包，网络层选路径，数据链路层通过路由器传输，最后在物理层以光信号在网线中奔向淘宝服务器。

三、网络层核心协议

3. 网络层的 “四大天王”

网络层主要有四个重要协议：

IP 协议：给数据包贴上地址标签，就像快递单上的发件人和收件人地址，让数据能准确送达。

ICMP 协议：网络诊断小能手，我们常用的 ping 命令就是基于它，用来检测对方是否在线。

RIP/OSPF 协议：动态路由协议，相当于快递公司的智能调度系统，自动规划最快的运输路线。

IGMP 协议：管理组播，比如多人同时看直播，它能让视频流高效传输到每个观众那里。

这里要特别注意，HTTP 属于应用层，可不是网络层的哦。就像网购时，IP 是快递单号，HTTP 是你点击 “提交订单” 的那个操作。

四、HTTP 请求头的秘密

4. User - Agent 和 Referer 是什么

在 HTTP 请求头里，User - Agent 和 Referer 是两个常见字段：

User - Agent：相当于我们在网络世界的身份证，它会告诉服务器我们用的浏览器（如 Chrome 120）、操作系统（如 Windows 11），甚至手机型号（如 iPhone 15 Pro Max）。

Referer：记录了我们从哪个页面跳转而来。比如从百度搜索结果点进某个网站，Referer 就会显示百度的网址。另外，显示 IP 的是 Host 头，访问http://example.com ，Host 头就是example.com，服务器靠这个区分不同网站。

在实际应用中，用 Burp Suite 抓包时，修改 User - Agent 可以伪装成手机访问；Referer 可以用来防盗链，防止别人网站直接盗用你的图片。

五、常见端口知多少

5. 这些端口你得认识

端口就像房子的门牌号，不同的服务对应不同端口：

21：用于 FTP 文件传输服务，传大文件时可能就会用到它。

22：用于 SSH 远程登录服务器，运维人员经常会和它打交道。不过要注意，开放 22 端口且密码简单的话，很容易被黑客暴力破解登录。

80/443：分别用于 HTTP 和 HTTPS 网页服务，我们日常上网浏览网页基本都离不开它们。

3306：MySQL 数据库默认端口，很多网站的后台数据存储就靠它。

8080：常用于 Tomcat 服务器，一些 Java Web 应用会部署在这个端口。

6379：Redis 数据库端口，我一开始也没反应过来，还是面试官提醒才知道。

六、中间件解析漏洞揭秘

6. IIS、Apache 和 Nginx 的那些坑

中间件的解析漏洞可让不少人栽过跟头：

IIS 6.0：如果在网站建个 /test.asp 文件夹，里面放个 1.jpg，黑客上传 1.asp;.jpg 文件，服务器可能当成 ASP 脚本执行，这就给了黑客可乘之机。

Apache：文件名是 test.php.xxx，服务器可能按 php 解析，比如 test.php.jpg 可能会被当成 PHP 代码执行。

Nginx：路径 /test.jpg/1.php 可能被当成 PHP 执行（具体取决于配置）。还有老版本 PHP 的 %00 截断漏洞，文件名 1.jpg%00.php 会被截断成 1.jpg，但却按 PHP 执行。

防御这些漏洞，主要是升级中间件版本、严格限制文件上传类型以及关闭危险的解析配置。

七、CSRF 漏洞防御策略

7. 让黑客无机可乘

CSRF 漏洞防御的关键是让黑客伪造不了请求，主要方法有：

加 Token：在表单里藏个随机字符串，就像电影票的防伪码，服务器验证这个码是否合法。

检查 Referer：只允许从自家网站发起的请求，不过有些浏览器会禁用 Referer，这个方法有一定局限性。

双重验证：重要操作（比如转账）要再输一次密码或短信验证码，多一层保障。

SameSite Cookie：给 Cookie 加个限制，禁止跨站携带，Chrome 现在默认就采用这种方式。

假设你在 A 网站登录了银行，点了黑客发的链接，如果银行采用了 Token 机制，这个恶意请求没正确 Token 就会被拦截。

八、常见高危漏洞及防御

8. 网络安全的 “定时炸弹” 与拆除方法

除了解析漏洞，还有这些常见高危漏洞：

SQL 注入：在输入框偷偷塞 SQL 代码，像输入 ' OR 1=1 -- 就能绕过登录验证。防御办法是用预编译语句，把参数安全处理。

XSS：在网页插入恶意脚本，比如评论里写盗 Cookie。防御要对用户输入做 HTML 转义，把 < 变成 < 。

文件上传漏洞：上传木马文件，把 php 后缀改成 jpg。防御要检查文件头，用白名单限制后缀。

反序列化漏洞：篡改数据触发恶意代码，比如 WebLogic 那个著名漏洞。防御关键是别乱反序列化不可信数据。

我曾经复现 ThinkPHP 的 RCE 漏洞，直接用 EXP 就拿到了服务器权限，当时可把我吓了一跳，赶紧打上补丁。

九、应急响应实战经验

9. 遇到网络攻击怎么办

虽然没参加过护网行动，但我有几次应急响应经验：

先断网：赶紧拔网线，防止黑客继续搞破坏，就像给房子先锁上门。

查异常：Windows 用 netstat -ano 看有没有奇怪的连接，Linux 用 ps -ef 找可疑进程，比如名字带 miner 的可能是挖矿木马。

查日志：Windows 通过事件查看器看 4625（登录失败）等事件，Linux 查看 /var/log/secure 文件里的 SSH 登录记录。

杀木马：用 D 盾扫描 Web 目录，找 webshell 文件，比如最近修改的.jsp、.php 文件。

改密码：所有账号密码全换一遍，尤其是管理员密码。

有一次客户服务器被挖矿，查了半天才发现是他自己装了盗版软件，里面带木马，后来老板让我写报告强调正版化的重要性。

十、判断安全设备告警真假

10. 别被误报迷惑

判断安全设备告警是不是误报，可以这样做：

看告警详情：告警说 “SQL 注入”，检查 Payload 是不是 ' OR 1=1 这种典型攻击语句。

查上下文：User - Agent 里有 sqlmap（黑客常用工具），或者同一个 IP 短时间疯狂尝试攻击，比如 1 分钟扫 80 端口 100 次，很可能是真攻击。

手动验证：Web 攻击用 Burp 重放请求，看是否真能注入；暴力破解告警，查看目标账号是否存在。

偷懒的办法是上威胁情报平台，如微步在线，查 IP，是已知黑 IP 就直接封。

十一、应急响应报告怎么写

11. 报告撰写全攻略

写应急响应报告，我一般按这个套路：

概况：说清楚什么时候、哪个 IP 攻击了哪台服务器。

攻击分析：讲明白用了啥漏洞（如 SQL 注入 CVE - 2023 - 1234）和攻击路径（外网→Web 服务器→内网数据库）。

影响范围：被窃取了什么数据（如用户手机号）、涉及多少台机器，这部分很关键，我就因为没写好被客户追问过。

修复建议：提出紧急措施（打补丁、封 IP）和长期整改方案（上 WAF、做代码审计）。

附录：贴上日志截图、流量包关键信息等。

15万字干货!网络安全面试常见问答合集!