1、 客户端A和服务器B之间建立TCP连接,再三次握手中,B往A发送的SYN+ACK(seq=b,
ack=a+1),下列说法正确的有:
A、 该数据包是对序号b的SYN数据包进行确认 B、 该数据包是对序号a+1的SYN数据包进行确认 C、 B下一个希望收到的ACK数据包的序号为b D、 B下一个希望收到的ACK数据包的序号为a+1
2、 rule permit ip source 192.168.11.35 0.0.0.31表示的地址范围是:
A、192.168.11.0-192.168.11.255 B、192.168.11.32-192.168.11.63 C、192.168.11.31-192.168.11.64 D、192.168.11.32-192.168.11.64
3、下列关于防火墙分片缓存功能,说法正确的有:(多选) A、配置分片报文直接转发功能后,防火墙不对分片报文进行缓存 B、配置分片报文直接转发功能后,对于不是首片报文的分片报文,防火墙将根据域间包过滤策略进行转发 C、分片报文也会创建会话表,转发时也会查找会话表 D、分片报文的非首片报文,由于没有端口号,所以分片报文直接转发功能一般不能用在NAT环境
4、下面哪个选项不属于UTM(Unified Treat Management)的功能? A、IPS入侵防御 B、上网行为 C、终端安全管理 D、AV网关防病毒
5、终端安全系统主要由以下哪些组件组成:(多选) A、防病毒服务器 B、SC控制服务器 C、准入控制设备 D、SM管理服务器
6、对称加密算法的加密秘钥和解密秘钥均相同,非对称加密算法的加密秘钥和解密秘钥均不相同。Ipsec在业务数据加解密时使用的是对称加密算法。 -------- T(true)
7、华为USG防火墙VRRP HELLO报文为组播报文,所以要求备份组中的各路由器必须能够实现直接的二层互通。-----------------T (true)
8、在ARP地址解析时,ARP REPLY报文采用广播的方式发送,同一个二层网络上主机都能够收到,并据此学习到IP和MAC地址对应关系。--------------F (FALSE) 9、USG状态检测防火墙查看Session信息如下:
根据上面的信息下面说法正确的是:(多选)
A、 Trust区域中主机107.229.15.100正在访问或者曾经访问Untrust 107.228.10.100
B、 该报文时VPN报文
C、 后续到达防火墙的报文,需要匹配会话表和防火墙安全策略 D、 正向流量的出接口是GigabitEthernet6/0/0
10、CA(Certificate Authority)证书用于SSL通信连接建立时,验证虚拟网关用户的身份,保存于设备侧,由CA机构颁发。----------------- T
11、通过display ike sa看到的结果如下,说法正确的是?(多选) Current ike sa number 1
-------------------------------------------------------------------------------------
Connection-id peer vpn flag phase doi
------------------------------------------------------------------------------------- 0x1f1 2.2.2.1 0 RDIST v1: 1 IPSEC 0x6043dc4 Flag meaning RD—READY ST—STAYALIVE RL –REPLACED FD –FADING TO –TIMEOUT A、 第一阶段ike sa 已经成功建立
B、 第二阶段ipsec sa已经成功建立 C、 Ike 使用的版本是v1 D、 Ike使用的版本是v2
12、关于L2TP消息,说法错误的为: A、L2TP依附于PPP进行账户认证 B、控制消息只能用于隧道与会话连接的建立,维护以及传输控制 C、数据消息只能用于封装PPP帧并在隧道上传输 D、控制消息和数据消息都可以提供流量控制和拥塞控制功能 13、以下哪种攻击不属于网络层攻击? A、IP欺骗攻击 B、Smurf攻击 C、ARP欺骗攻击 D、ICMP攻击
14、VRRP(Virtual Router Redundancy Protocol)中,主路由器定期向备份路由器发送通告报文(HELLO),备份路由器则只负责监听通告报文,不会进行回应。------T
15、使用NAT技术,只可以对数据报文中的网络层信息(IP地址)进行转换。---F
16、ASPF(Application Specific Packet Filter)是一种基于应用层的包过滤,它检查应用层协议信息并且监控连接的应用层协议状态。ASPF通过Server Map表实现了特殊的安全机制关于ASPF和Server map表说法正确的是? A、ASPF监视通信过程中的报文 B、ASPF动态创建和删除过滤规则 C、ASPF通过Server map表实现动态允许多通道协议数据通过 D、五元组Server map表项实现了和会话表类似的功能 17、上网用户管理的转发流程中,上网用户认证只能发生在首包流程中,一旦用户通过认证,设备建立session表,后续报文不需要重复进行用户认证。-----------T
18、攻击者通过发送ICMP应答请求,并将请求包的目的地址设为受害网络的广播地址。这种行为属于哪一种攻击? A、IP欺骗攻击 B、Smurf攻击
C、ICMP重定向攻击 D、SYN flood攻击
19、以下哪个选项不属于AES的秘钥长度? A、64 B、128 C、192 D、256
20、基于会话的状态监测防火墙对于首包和后续包有不同的处理流程,下面描述正确的是:(多选) A、报文到达防火墙,会查找会话表,如果没有匹配,防火墙进行首包处理流程 B、报文到达防火墙,会查找会话表,如果匹配防火墙进行后续包处理流程 C、在状态检查机制打开的情况下,防火墙处TCP报文时候,只有SYN报文才能建立会话 D、在状态检查机制打开的情况下,后续和他需要进行安全策略检查 21、AH协议号是下面那个选项? A、51 B、50 C、52 D、49
22、AAA包含以下哪几项:(多选) A、Authentication认证 B、Authentication授权 C、Accounting计费 D、Audit审计
23、安全联盟由三元组唯一标识,以下哪一项不属于安全联盟的三元组? A、安全协议号 B、源IP地址 C、目的IP地址 D、安全参数索引
24、一般的公司或组织中有时会存在这样一类用户,他们不是该公司员工,只是临时到访该公司,需要借用该公司网络上网,他们没有属于自己的账号,无法进行认证,但设备要对他们的网络权限进行控制。对于这类用户,支持自动为其创建对应的临时用户,并使用IP地址作为该用户的用户名。管理员在规划用户管理时,一般将这类用户认证划分为: A、免认证 B、单点认证 C、密码认证 D、临时认证 25、HRP会话快速备份时将主用设备相应的状态信息表项快速备份到备用设备,使返回报文在备用设备上能够查找到相应的状态信息表项,从而保证内外部用户的业务不中断。---T 26、配置源NAT策略时,目的区域的配置可以用配置流量出接口信息来取代。---T
27、防火墙IPS协议识别功能对基于非标准端口的服务进行识别,解决了使用非标准端口的应用服务报文的漏报和误报问题。 -----------T
28、防火墙配置防病毒功能选择过滤协议包括以下哪几项:(多选) A、文件传输协议
B、邮件协议 C、安全协议 D、共享协议
29、终端安全系统支持蓝牙、SD卡等计算机外设的监控功能,并支持配置禁止外部设备。T 30、在USG产品的web配置界面中,在配置虚拟IP地址池时,虚拟IP地址范围内的IP地址可以为虚拟网关或接口的IP地址,也可以为内网存在的IP地址。 F 32、防火墙双机热备配置中,HRP必须配置包括:(多选) A、启用HRP备份功能hrp enable B、启用会话快速备份hrp mirror session enable C、指定心跳口hrp interface interface-type interface-number D、抢占延迟时间hrp preempt [delay interval] 33、如何查看安全策略的匹配次数: A、display firewall session table B、display security policy all C、display security policy count D、count security policy hit
34、ESP报文在哪种封装模式下,可以实现对原IP头数据的机密性: A、传输模式 B、隧道模式 C、传输模式+隧道模式 D、加密模式
35、在IP Sec VPN配置中如果使用pre-shared方式验证,可以选择是否为对端配置秘钥,两边的秘钥必须一致------------------- F
36、关于终端安全系统的部署方式描述错误的是: A、集中部署方式的主要特点是可以根据管理终端数目的多少,选择SM、SC、数据库等组件来安装在同一台服务器上 B、终端相对集中在几个区域,而且区域之间的带宽比较小,建议采用分布式组网 C、终端规模相当大时,可以考虑使用集中式部署组网,避免大量撞断访问终端服务器,占用大量的网络带宽 D、分布式部署时,终端安全安全代理选择就近的控制服务器SC,获得身份认证和准入控制等各项业务
37、终端安全体系的五大要素不包括以下哪一项: A、身份认证 B、业务隔离 C、安全认证 D、业务授权
38、某企业在部署网络边界防火墙时,配置了NAT Server 源NAT,OSPF路由和相关安全策略,数据到达该防火墙时,防火墙的处理顺序为: A、OSPF路由-->安全策略-->源NAT-->NAT Server B、安全策略-->源NAT-->NAT Server-->OSPF路由器 C、源NAT-->OSPF路由-->安全策略-->NAT server D、NAT Server -->OSPF路由-->安全策略-->源NAT
39、以下哪个问题可以利用IP sec-IKE野蛮模式进行解决:(多选) A、隧道两端协商慢的问题
B、协商过程中的安全性问题 C、NAT穿越问题 D、发起者源地址不确定问题
40、配置防火墙安全区域的安全级别时,描述错误的是: A、新建的安全区域,系统默认其安全级别为1 B、只能为自定义的安全区域设定安全级别 C、安全级别一旦设定,不允许更改 D、同一系统中,两个安全区域不允许配置相同的安全级别 41、关于NAT的说法正确的是: A、带端口转换的NAT可以通过配置NAT地址池来实现 B、NAT兼容目前所有的IPsec安全协议 C、因为FTP协议是多通道协议,所以不支持NAT D、NAT支持TCP/IP二、三、四层进行转换 42、查看防火墙的HRP状态信息如下: HRP_S[USG_B]display hrp state The firewall’s config state is: Standby Current state of virtual routers configured as standby GigabitEthernet1/0/0 vrid 1:standby GigabitEthernet1/0/1 vrid 2:standby 以下描述正确的是:
A、 此防火墙VGMP组状态为Active
B、 此防火墙G1/0/0和G1/0/1接口的VRRP组状态为standby C、 此防火墙的HRP心跳线接口为G1/0/0和G1/0/1 D、 此防火墙一定是出于抢占状态
43、防火墙IPS策略的签名过滤器之间存在优先关系,在同一条IPS策略中,编号小的签名过滤器比编号大的签名过滤器的优先级高-------------F
44、状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话,由防火墙安全策略决定建立哪些会话,数据包只有与会话相关联时才会被转发-------T 45、关于NAT配置中“easy IP”的说法,下列描述正确的是: A、easy IP不能再pat场景下 B、配置NAT策略直接转换成出接口IP地址 C、easy ip 用于目的地址转换的场景 D、easy ip可以与address-group同时使用
46、ASPF技术使得防火墙能够支持如FTP等多通道协议,同时还可以对复杂的应用制订相应的安全策略-----------------------------T
47、反掩码和子网掩码格式相似,但取值含义不同,在反掩码中,1表示对应的IP地址位需要比较,0表示对应的IP地址位忽略比较-------------------------------F 48、下面关于SSL握手协议各阶段中的内容描述哪个是错误的? A、客户端发送client_Hello消息,服务器端回应Server_Hello消息 B、服务器端发送Server_Hello便等待客户端发送的消息 C、服务器端收到服务器发送的一系列消息并消化后,发送Client Key Exchange等消息给服务器 D、客户端和服务器各自发送ChangeCipherSpec和finished消息给对方
49、在USG系列防火墙Trust区域视图下配置add interface GigabitEthernet0/0/1后,
GigabitEthernet0/0/1不在属于Local区域。----------------------F 50、适合出差人员在公网环境下接入企业内网的VPN方式有:(多选) A、GRE VPN B、L2TP VPN C、SSL VPN D、L2TP over Ipsec
51、入侵防御系统技术特点包括:(多选) A、在线模拟 B、实时阻断 C、自学习及自适应 D、直路部署
52、SVN产品网络扩展功能中,需要实现用户只可以访问远端企业文内网,不能访问本地局域网和Internet,需要使用的客户端路由方式为: A、全路由模式(Full Tunnel) B、分离模式(Split Tunnel) C、路由模式(Route Tunnel) D、手动模式(Manual Tunnel)
53、Web重定向密码认证功能,只有用户进行目的端口是80的HTTP业务访问时,系统才支持“重定向”到认证页面,进行会话认证。---------------------------F 54、针对MAC地址欺骗攻击的描述错误的是: A、MAC地址欺骗攻击主要利用了交换机Mac地址学习机制 B、攻击者可以通过伪造的源Mac地址数据帧发送给交换机来实施MAC地址欺骗攻击 C、MAC地址欺骗攻击会造成交换机学习到错误的MAC地址与IP地址的映射关系 D、MAC地址欺骗攻击会导致交换机要发送到正确目的地址的数据被发送给了攻击者 55、在GRE配置环境下,Tunnel接口模式下,Destination地址一般是指: A、本Tunnel接口IP地址 B、本端外网出口IP地址 C、对端外网接口IP地址 D、对Tunnel接口IP地址
56、SSL VPN可以通过如下哪些方式对用户进行访问权限控制:(多选) A、IP B、MAC C、PORT D、URL 57、在USG系列防火墙中,使用非知名端口提供知名应用服务器时,可采用以下哪种技术: A、端口映射 B、MAC与IP地址绑定 C、包过滤 D、长连接
58、以下哪个选项不属于AH可以实现的特性? A、抗防重放 B、数据源认证 C、机密性 D、数据完整性检验
59、比较典型的远端认证方式有:(多选) A、RADIUS B、Local C、HWTACACS D、LLDP
60、以下哪个选项不属于内网安全威胁? A、存储介质滥用 B、信息资产泄密 C、未授权访问 D、间谍软件
61、IKE协议能够为Ipsec提供自动协商交换秘钥、建立安全联盟的服务器,以简化Ipsec的使用和管理--------------------------------------------T 62、防火墙网关防病毒响应方式包括告警和阻断,其中告警方式设备只产生日志,不对HTTP协议传输的文件进行处理就发送出去,阻断方式设备断开与HTTP服务器的连接并阻断文件,向客户推送WEB页面并产生日志----------------------------T
63、HRP(Huawei Redundancy Protocol)协议,用来将主防火墙关键配置和连接状态等数据向备防火墙上同步,以下哪个选项不属于同步的范围? A、安全策略 B、NAT策略 C、黑名单 D、IPS签名集
64、主动攻击最大特点是对信息进行侦听,以获取机密信息,而对数据的拥有者或合法用户来说对此类活动无法得知----------------------------------F 65、以下哪个选项属于非对称加密算法? A、RC4 B、3DES C、AES D、DH
66、如下安全策略的命令,代表的含义是: # Security-policy Rule name rule1 Source-zone trust Destination-zone untrust Source-address 10.1.0.0 0.0.255.255 Service icmp Action deny #
A、 禁止从trust区域访问untrust区域且目的地址为10.1.10.10主机的ICMP报文
B、 禁止从trust区域访问untrust区域且目的地址为10.1.0.0/16网段的所有主机ICMP
报文
C、 禁止从trust区域访问untrust区域且源地址为10.1.0.0/16网段的所有主机ICMP报
文
D、 禁止从trust区域访问untrust区域且源地址为10.2.10.10主机来的所有主机ICMP
报文
67、防火墙配置了IPS策略后,需要把该策略应用到域内或域间后IPS功能才生效。---T 68、配置防火墙域间安全策略时,如果把192.168.0.0/24网段设置为匹配对象,则以下配置正确的是:(多选) A、rule name policy 1 source-address 192.168.0.0 mask 255.255.255.0 B、rule name policy 1 source-address 192.168.0.0 255.255.255.0 C、rule name policy 1 source-address 192.168.0.0 mask 0.0.0.255 D、rule name policy 1 source-address 192.168.0.0 0.0.0.255
69、非对称算法比对称算法加密强度更强,因为非对称算法秘钥长度更长------F
70、在USG防火墙用户管理功能中Web重定向密码认证功能,用户不主动进行认证,进行业务访问,设备推送“重定向”到认证页面--------------------------------------T 71、包过滤防火墙的主要特点包括:(多选) A、随着ACL复杂度和长度的增加,防火墙过滤性能呈指数下降趋势 B、静态的ACL规则难以使用动态的安全过滤要求 C、不检查会话状态也不分析数据,这很容易让黑客蒙混过关 D、能够完全控制网络信息的交换,控制会话过程,具有较高的安全性
72、在防火墙转发流程中,会先进行安全配置文件的比对,在进行安全策略的检查------F 73、以下哪些SSL VPN业务功能会使用到控件:(多选) A、Web改写 B、文件共享 C、端口转发 D、网络扩展
74、SSL VPN中文件共享应用在使用过程需输入用户名、密码和域信息,为了不想输入用户名密码,可以在文件共享服务器上设置权限-------------------------T 75、AH可以提供以下哪些安全功能:(多选) A、数据源验证 B、数据机密性 C、数据完整性校验 D、抗重放
76、下列关于终端安全功能区域说法错误的是: A、认证前域是指客户端通过身份认证前所能访问的区域 B、认证后域是指客户端通过安全认证后所能访问的区域 C、隔离域是指客户端通过身份认证后所必须访问的区域 D、隔离域是指客户端安全认证失败时所需访问的区域
77、安全接入控制网关(Security Access Control Gateway,简称SACG)的主要功能是控制终端的网络访问权限,对不同的用户和不同安全状况的用户开放不同的权限----------------T 78、终端安全准入控制可以支持以下哪些:(多选) A、硬件SACG(硬件安全接入控制网关) B、802.1X C、ARP控制 D、软件SACG(主机防火墙) 79、USG防火墙支持的NAT功能包括:(多选) A、可以指定同一地址池中某一部分地址进行端口转换,另一部分地址不进行端口转换 B、基于目的地址转换的NAT Server
C、基于源地址转换的NAT Server D、配置源NAT时,可直接使用出接口地址作为转换后的地址 80、TCP/IP协议栈数据包封装包括以下部分,封装顺序正确的是: 1、DATA 2、TCP/UDP 3、MAC 4、IP 5、APP A、1-->5-->4-->2-->3 B、1-->4-->2-->3-->5 C、1-->5-->2-->4-->3 D、1-->5-->2-->3-->4
81、网络地址端口转换(NAPT)与仅转换网络地址(No-PAT)有什么区别: A、经过NAPT转换后,对于外网用户,所有报文都来自同一个IP地址或某几个IP地址 B、No-PAT只支持传输层的协议端口转换 C、NAPT只支持网络层的协议地址转换 D、No-PAT支持网络层的协议地址转换
82、管理员希望创建Web配置管理员,并设Https设备管理端口号为20000,且设置管理员为管理员级别,下面命令正确的是: A、Step 1:web-manager security enable port 20000 Step 2:AAA View [USG]aaa
[USG-aaa]manager-user-client001
[USG-aaa-manager-client001]service-type web [USG-aaa-manager-client001]level 15
[USG-aaa-manager-client001]password cipher Admin@123
B、Step 1:web-manager security enable port 20000 Step 2:AAA View [USG]aaa
[USG-aaa]manager-user-client001
[USG-aaa-manager-client001]service-type web
[USG-aaa-manager-client001]password cipher Admin@123 C、Step 1:web-manager security enable port 20000 Step 2:AAA View [USG]aaa
[USG-aaa]manager-user-client001
[USG-aaa-manager-client001]service-type web [USG-aaa-manager-client001]password cipher
D、Step 1:web-manager security enable port 20000 Step 2:AAA View [USG]aaa
[USG-aaa]manager-user-client001
[USG-aaa-manager-client001]service-type web [USG-aaa-manager-client001]level 1
[USG-aaa-manager-client001]password cipher Admin@123
83、下列TCP/IP协议栈中的协议,工作在应用层的有: A、ARP B、IGMP
C、TELNET D、ICMP
84、ESP协议是下面那个选项? A、51 B、50 C、52 D、49
85、入侵检测的内容涵盖授权的和非授权的各种入侵行为,例如,违反安全策略行为、冒充其他用户、泄露系统资源、恶意行为、非法访问,以及授权者滥用权力等。-----T 86、USG系列防火墙自定义安全域的安全级别可设置以下哪些值:(多选) A、150 B、100 C、80 D、40
87、进行源NAT配置时,再有no-pat配置参数的情况下,以下哪些说明是错误的:(多选) A、只进行源IP地址转换 B、只进行目的IP地址转换 C、同时进行源IP地址和端口转换 D、进行目的IP地址和目的端口转换
88、状态检查防火墙后续数据包(非首包)转发主要依据以下哪一项: A、Rout表 B、MAC地址表 C、Session表 D、FIB表
89、USG防火墙中用户认证的分类有:(多选) A、免认证 B、密码认证 C、单点登录 D、指纹认证
90、在防火墙域间安全策略中,以下哪一项的数据流不是Outbound方向: A、从DMZ区域到Untrust区域的数据流 B、从Trust区域到DMZ区域的数据流 C、从Trust区域到Untrust区域的数据流 D、从Trust区域到Local区域的数据流
91、在当前网络中依据部署了其他的身份认证系统,设备通过启用单点登录功能,减少用户重复输入密码。关于单点登录舒服正确的是:(多选) A、设备可以识别出经过这些身份认证系统认证通过的用户,用户上网时,设备将不推送认证页面,避免再次要求输入用户名/密码 B、AD域单点登录只有一种部署模式 C、虽然不需要输入用户名密码,但是认证服务器需要将密码和设备进行交互,用来保证认证通过 D、AD域单点登录可采用镜像登录数据流的方式通过到防火墙 92、终端安全系统的共享目录检查安全策略包括以下哪些方面内容: A、共享文件大小检查,对于大文件不允许共享
B、共享账号名称(用户或者用户组)检查 C、违规共享权限检查 D、提供自动修复功能,删除违规共享
93、要实现NAT ALG功能,以下哪项配置是正确的: A、nat alg protocl B、alg protocl C、nat protocl D、detect protocl
94、对于防火墙域间转发的访问控制流程: 1、查找路由表 2、查找域间包过滤规则 3、查找会话表 4、查找黑名单 正确的顺序为: A、1-3-2-4 B、3-2-1-4 C、3-4-1-2 D、4-3-1-2
95、在IKE v1协商第一阶段中,以下哪个IKE交换模式不能提供身份保护功能: A、主模式 B、野蛮模式 C、快速模式 D、被动模式
96、以下哪一项应用不需要端口转发来实现? A、telnet B、FTP C、windows远程桌面 D、HTTP
97、下列关于网关防病毒检查到病毒后的响应动作,包括:(多选) A、告警 B、阻断 C、宣告 D、删除附件
98、在USG系列防火墙中,以下哪种说法是正确的:
A、时延是指数据包的第一个比特进入防火墙到第一个比特输出防火墙的时间间隔指标,是用于测量防火墙处理数据的速度理想的情况 B、最大并发连接数指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接 C、如果USG防火墙以太网接口采用二层模式,则只需在网络中像网桥一样接入即可,无需修改原来的结构及配置 D、USG防火墙以太网接口采用三层模式时,没有ACL包过滤、ASPF动态过滤、NAT转换功能
99、长连接可以对待特定的TCP、UDP数据流设置超长老化时间,确保会话信息长时间不被老化-------------------------F
100、在L2TP的配置中,对于Tunel Name,说法正确的是:(多选)
A、用来指定本端的隧道名称 B、用来指定对端的隧道名称 C、必须和对端的Tunnel Name配置一致 D、如果不配置Tunnel Name,则隧道名称为本地系统名称 101、安全联盟(SA)是由哪些元组组成进行唯一标识:(多选) A、SPI B、源IP地址 C、目的IP地址 D、安全协议号
102、SSL VPN业务功能包括:(多选) A、Web代理 B、网络扩展 C、端口共享 D、文件共享
103、地址转换技术的优点包括:(多选) A、地址转换可以使内部网络用户(私有IP地址)方便访问Internet B、地址转换可以使内部局域网的许多主机共享一个IP地址上网 C、地址转换能处理IP报头加密的情况 D、地址转换可以屏蔽内部网络的用户,提高内部网络的安全性
104、在配置NAT过程中,以下哪些情况,设备会生成Server-map表项:(多选) A、配置源NAT时自动生成server-map表项 B、配置NAT server成功后,设备会自动生成静态server-map表项 C、配置easy-ip时会生成server-map D、配置NAT No-pat后,设备会为所配置的多通道协议数据流建立server-表项 105、下面哪个选项不属于终端安全系统区域? A、认证前域 B、认证后域 C、安全域 D、隔离域
106、关于断开TCP连接四次握手描述错误的是: A、主动关闭方发送第一个FIN执行主动关闭,而另一方收到这个FIN执行被动关闭 B、当被动关闭方收到第一个FIN,它将发回一个ACK,并随机产生确认序号 C、被动关闭方需要向应用程序传送一个文件结束符,应用程序就关闭它的连接,并导致发送一个FIN D、在被动关闭方发送FIN后,主动关闭方必须发回一个确认,并将确认序号设置为收到的序号加1
107、USG系列防火墙Untrust区域的安全级别是多少: A、5 B、10 C、15 D、50
108、关于终端安全系统的检查打印机共享安全策略描述正确的是:(多选) A、检查打印机共享目的是检查安全在本地的打印机是否共享给其他人使用及使用权限 B、不提供自动修复功能,需要手动修复
C、可以设定检查打印机共享的周期 D、检查的内容包括是否开启打印机共享、打印权限共享给哪些账号、打印机共享的权限
109、通过display ike proposal命令看到的结果如下,以下说法正确的是?(多选) Priority authentication authentication encryption Diffie-Hellman duration
Method algorithm algorithm group (seconds) ------------------------------------------------------------------------------------------------- Default PRE_SHARED SHA DES_CBC MODP_768 86400
A、 认证算法是SHA B、 加密算法是DES
C、 DH group使用的是group2 D、 使用是野蛮模式
110、针对入侵检测系统描述错误的是: A、入侵检测系统可以通过网络和计算机动态地搜索大量关键信息资料,并能及时分析和判断整个系统的目前状态 B、入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等,可以实施阻断操作 C、入侵检测系统包括用于入侵检测的所有软硬件系统 D、入侵检测系统可与防火墙、交换机进行联动,成为防火墙的得力“助手”,更好、更精确的控制外域间地访问
111、如图所示,防火墙上配置了nat server global 202.106.1.1 inside 10.10.1.1,以下针对域间规则,配置正确的是:
A、 security-policy
rule name a
source-zone untrust destination-zone trust
source-address 202.106.1.1 32 action permit B、 rule name b
source-zone untrust destination-zone trust
source-address 10.10.1.1 32 action permit C、 rule name c
source-zone untrust
destination-zone trust
destination-address 202.106.1.1 32 action permit D、 rule name d
source-zone untrust destination-zone trust
destination-address 10.10.1.1 32 action permit
112、终端安全系统的操作系统补丁等级不包括: A、关键 B、重要 C、中 D、高
113、IP sec 中隧道模式下,ESP对哪个字段不做验证: A、原IP报文头 B、新IP报文头 C、TCP报文头 D、应用层数据
114、TCP/IP v4版本,存在的安全隐患有:(多选) A、缺乏数据源验证机制 B、缺乏对数据包的确认机制 C、缺乏对数据完整性的验证机制 D、缺乏机密性保障机制
115、查询NAT转换结果的命令是: A、display nat translation B、display firewall session table C、display current nat D、display Firewalls nat translation
116、OSI模型中哪一层可以处理数据格式和数据加密? A、应用层 B、表示层 C、会话层 D、传输层
117、USG产品共享型虚拟网关,可以通过IP,域名两种方式访问----------F 118、在华为防火墙用户管理中,分成哪几种用户管理(多选) A、上网用户管理 B、接入用户管理 C、管理员用户管理 D、设备用户管理
119、SSL 与IPS安全协议一样,提供加密和身份验证。但是SSL协议只对通信双方传输的应用数据进行加密,而不是对从一个主机到另一个主机的所有数据进行加密(如TCP/IP和应用层协议)----------------------------- T
120、上网用户单点登录功能,用户直接向AD服务器认证,设备不干涉用户认证工程,AD监控服务器需要部署在USG设备中,监控AD服务器的认证信息。---------F
121、SVN产品网络扩展功能中,需要实现用户既可以访问远端企业内网和本地局域网,又能访问Internet,需要使用的客户端路由方式为: A、全路由模式(Full Tunnel) B、分离模式(Split Tunnel) C、路由模式(route Tunnel) D、手动模式(Manual Tunnel)
122、USG防火墙高级ACL可以通过多个维度进行流量匹配,以下哪个选项不属于高级ACL的匹配范围: A、源IP B、目的IP C、源MAC D、目的端口
123、在GRE配置环境下,以下哪些说法是正确的:(多选) A、为使隧道两端正常转发数据报文,两端设备均配置经过Tunnel接口的路由 B、如两端同事启用关键字验证配置,则关键字需一致 C、本端设备发送数据报文时,通过识别IP报头的协议字段值为GRE来决定是否把数据包递交给GRE协议模块进行处理 D、对端设备收到数据报文时,通过识别IP报头的协议字段值为GRE来决定是否把数据包递交给GRE协议模块进行处理
124、USG系统防火墙IP-link功能主要应用在以下哪些场景: A、链路聚合 B、静态路由 C、双机热备 D、长连接
125、HRP A [USG]display vrrp interface GigabitEthernet 1/0/1 GigabitEtherne1/0/1 | Virtual Router 1 VRRP Group:Active State:Active VirtualIP:202.30.10.1 Virtual MAC:0000-5e00-0101 Primary IP:202.38.10.2 PrimaryRun:100 PrimarConfig:100 MasterPriority:100 Preempt:YES Delay Time:10 防火墙上执行命令并显示以上信息,下述描述正确的是:(多选)
A、 此防火墙的VGMP组状态为Active
B、 此防火墙G1/0/1接口的虚拟IP地址为202.30.10.2 C、 此防火墙VRID为1的VRRP备份组的优先级为100 D、 当主用设备发生故障时将不会切换
126、防火墙双机热备配置中启用允许配置备用设备功能hrp standby config enable后,所有可以备份的信息都可以直接在备用设备上进行配置,且备用设备上的配置可以同步到主用设备。---------------T
127、SSL是一个安全协议,为基于TCP的应用层协议提供安全连接,SSL介于TCP/IP协议栈
第四层和第五层之间。SSL可以为HTTP(Hypertext Transfer Protocol)协议提供安全连接—T 128、以下属于加密算法的是: A、DES B、3DES C、SHA-1 D、MD5
129、在IPSEC VPN中,隧道模式主要应用在以下哪个场景中: A、主机与主机之间 B、主机与安全网关之间 C、安全网关之间 D、隧道模式与传输模式之间
130、下列关于NAT地址转换的说法中哪个是错误的? A、地址转换技术可以有效隐藏局域网内的主机,是一种有效的网络安全保护技术 B、地址转换可以按照用户的需要,在局域网内向提供FTP、WWW、Telnet等服务 C、有些应用层协议在数据中携带IP地址信息,对它们作NAT时还要修改上层数据中的IP地址信息 D、对于某些非TCP、UDP的协议(如ICMP、PPP),无法做NAT转换 131、关于USG系列安全防火墙的默认安全区域,下列说法正确的是: A、默认安全区域可以删除 B、默认安全区域可以修改安全级别 C、默认安全区域不能删除,但是可以修改安全级别 D、默认安全区域有4个
132、防火墙所有类型的访问控制列表都支持对数据包的IP五元组进行访问控制-----F 133、终端安全系统的操作系统补丁违规等级包括:(多选) A、低 B、重要 C、严重 D、一般
134、在防火墙做双机热备组网时,为实现备份组整体状态切换,需要使用以下哪个协议技术: A、VRRP B、VGMP C、HRP D、OSPF
135、下列哪些地址可以用于USG产品的web管理地址(多选) A、接口地址 B、子接口地址 C、接口的从IP地址 D、AUX接口地址 136、ACL 2999S属于(): A、基本访问控制列表 B、高级访问控制列表 C、基于MAC地址访问控制列表 D、基于时间段访问控制列表
137、下面关于TCP/IP协议栈数据包解封装描述正确的是:(多选) A、数据报文先传送至数据链路层,经过解析后数据链路层信息被剥离,并根据解析信息知道网络层信息,比如为IP B、传输层(TCP)接收数据报文后,经过解析后传输层信息被剥离,并根据解析信息知道上层处理协议,比如UDP C、网络层接收数据报文后,经过解析后网络层信息被剥离,并根据接卸信息知道上层处理协议,比如HTTP D、应用层接收到数据报文后,经过解析后应用层信息被剥离,最终展示的用户数据与发送方主机发送的数据完全相同
138、关于上网用户组管理说法错误的是: A、每个用户组可以包括多个用户和用户组 B、每个用户组可以属于多个父用户组 C、系统默认有一个default用户组,该用户组同时也是系统默认认证域 D、每个用户组至少属于一个用户组,也可以属于多个用户组
139、IP sec 安全联盟(SA)是双向的,通过安全联盟可实现对两个方向的数据流进行安全保护--------------------------------------------F
140、以下对于AH和ESP的说法错误的是: A、AH可以听数据完整性校验和加密 B、隧道模式下,AH对新的IP头也要验证,所以AH无法应用在IpsecVPN中间有nat转换的情况 C、AH可以提供ESP除了数据加密外的所有功能 D、隧道模式下,ESP报文不对新IP头做验证 141、对于防火墙域间安全策略,下列说法正确的是:(多选) A、rule disable命令表示禁用这条rule B、缺省情况下,越先创建的rule优先级越高,越先匹配 C、通过rule move命令将rule调整位置后,rule id将做相应的改变 D、一旦匹配到一条rule,就直接按照该rule的定义处理报文,不在继续往下匹配 142、关于状态检测型防火墙,下列描述正确的是: A、状态检测防火墙需要对每个进入防火墙的数据包进行规则匹配 B、因为UDP协议为面向无连接的协议,协议为面向无连接的协议,因此状态检测型防火墙无法对UDP报文进行状态表的匹配 C、状态检测型防火墙对报文进行检查时,同一连接的前后报文不具有相关性 D、状态检测型防火墙只需要对该连接的第一个数据包进行访问规则的匹配,该连接的后续报文直接在状态表中进行匹配
143、USG6000系列防火墙IP sec web配置不支持以下哪个应用场景:(多选) A、网关到网关 B、中心网关 C、分支网关 D、主机到主机
144、FTP协议可能用到的端口号有:(多选) A、20 B、21 C、23 D、80
145、SSL协议包含以下哪几个协议:(多选) A、握手协议 B、记录协议 C、警告协议 D、发现协议 146、命令allow l2tp virtual-template virtual-template-nmber[remote remote-name],当l2tp grup为1时,必须制定remote-name参数-------------------------F
147、下面关于Client-initialized的L2TP VPN,说法错误的是: A、远程用户接入internet后,可通过客户端软件直接向远端的LNS发起L2TP隧道连接请求 B、LNS设备接收到用户L2TP连接请求,可以根据用户名、密码对用户进行验证 C、LNS为远端用户分配私有IP地址 D、远端用户不需要安装VPN客户端软件
148、某些应用如Oracle数据库应用,因长时间无数据流传输,使防火墙会话连接中断,从而导致业务中断,以下哪个技术可以最优地解决这个问题: A、配置某业务长连接 B、配置默认会话老化时间 C、优化包过滤规则 D、开启分片缓存
149、下面针对VGMP的组管理描述错误的是: A、各备份组的主/备状态变化都需要通知其所属的VGMP管理组 B、两台防火墙心跳口的接口类型和编号可以不同,只要能够保证二层互通即可 C、主备防火墙的VGMP之间定时发送Hello报文 D、主备设备通过心跳线交互报文了解对方状态,并且备份相关命令和状态信息 150、企业内部用户上网场景如图所示,用户上线流程有: 1、认证通过,USG允许建立连接 2、用户访问Internet输入http://1.1.1.1 3、USG推送认证界面,User=?Password=? 4、用户成功访问http://1.1.1.1,设备穿件session 5、用户输入User=***Password=*** 以下正确的流程排序应该:
A、2-5-3-1-4 B、2-3-5-1-4 C、2-1-3-5-4
D、2-3-1-5-4
151、以下哪个用户系统可直接在USG产品系统上进行用户账户或密码等信息的修改: A、VPNDB用户 B、LDAP用户 C、Radius用户 D、所有用户系统
152、关于VGMP协议描述错误的是: A、VGMP将同一台防火墙上的多个VRRP备份组都加入到一个管理组,由管理组统一管理所有VRRP备份组 B、VGMP通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致 C、状态为Active的VGMP组设备会定期向对端发送HELLO报文,Stdandby端只负责监听HELLO报文,不会进行回应 D、在缺省情况下当Standby端三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态
153、终端安全系统可以实现组织管理和区域管理两个维度的管理功能。-------------T 154、
nat address-group 1
section 0 1.1.1.5 1.1.1.10
nat server 1 global 1.1.1.1 inside 10.1.1.2 #
nat-policy
rule name trust_to_untrust souce-zone trust
source-address 10.1.1.0 24 action nat address-group 1 #
以下说法哪个是错误的:
A、 FTP Server访问Client A时转换为地址池1中的地址1.1.1.5-1.1.1.10 B、 Client A访问FTP Server 1.1.1.1,目的地址转化为10.1.1.2,源地址不变 C、 NAT Server配置,只能针对源地址网段(10.1.1.0/24)进行目的地址转换 D、 源NAT配置,只能针对内网用户(10.1.1.0/24)访问外网进行转换 155、下列关于ASPF和Servermap的说法正确的是:(多选)
A、ASPF检查应用层协议信息并且监控连接的应用层协议状态 B、ASPF通过动态的生成ACL来决定数据包是否通过防火墙 C、配置NAT Server生成的静态Server-map D、Servermap表用五元组来表示一条会话
156、防火墙通过安全服务中心在线升级签名库、病毒库时,首先要求防火墙能够连接互联网,其次要求配置正确的DNS地址。----------------------------------T 157、在SSL握手协议中,Server Key Exchange消息的作用是: A、server key exchange 消息表示server已经将所有信息发送完毕 B、在server key exchange 消息中包含完成密钥交换所需的一系列参数 C、在server key exchange 消息中包含一个X.509证书,证书中包含公钥,发给客户端用来验证签名或在密钥交换时候给消息加密 D、在server key exchange消息中包含协商得到的CipherSuite拷贝到当前连接的状态中 158、网关防病毒典型技术不包括: A、文件识别技术 B、脱壳技术 C、解密技术 D、静态/动态识别技术
159、以下哪个选项属于DES的密钥长度: A、56 B、64 C、128 D、192
160、USG系列防火墙的IP-Link自动侦测功能只能应用在双机热备中。-----------------F 161、状态检测防火墙主要特点包括以下哪一项: A、处理速度慢 B、后续包处理性能优异 C、只能检测网络层 D、针对每一包进行包过滤检测
162、同一安全区域的主机和服务器之间互访时,不存在使用NAT进行地址转换的场景。--F 163、典型的入侵行为包括:(多选) A、篡改Web网页 B、使用网络嗅探工具获取用户密码 C、向主机植入特洛伊木马程序 D、使用RDP远程连接设备
164、如图所示,在配置点到多点应用场景时,总部网段为10.1.1.0/24,分支一的网段为10.1.2.0/24,分支二 10.1.3.0/24 。关于总部和分支机构定义被保护数据流的配置,以下哪些组合能完整的匹配需求:
1.[FW_A-acl-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 2.[FW_A-acl-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 3.[FW_B-acl-3000] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 4.[FW_B-acl-3001] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 5.[FW_C-acl-3000] rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 6.[FW_C-acl-3001] rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
A、1 2 B、1 2 3 5 C、1 2 4 6 D、3 4 5 6
165、USG系列防火墙DMZ区域的安全级别是多少: A、5 B、50 C、85 D、100
166、USG产品文件共享的交互过程,顺序正确的是:
1、文件服务器接受请求报文,将SMB格式的应答报文发送给USG产品 2、客户端用户向内网文件服务器发起HTTPS格式的请求,发送到USG产品 3、USG产品将SMB应答报文转换为HTTPS格式,并转发给客户端
4、USG产品将HTTPS格式的请求报文转换为SMB格式的报文,并转发给文件服务器。 A、2-3-1-4 B、2-4-1-3 C、2-3-1-4 D、2-4-3-1
167、防火墙Local安全区域包含设备接口。在防火墙上Ping防火墙某接口IP地址时,这些报文将交给防火墙内部模块进行处理,并不被转发出去,此时无需配置域间安全策略就可正常通讯。--------------------------------------------------------T 168、关于VGMP管理的抢占功能描述错误的是: A、缺省情况下,VGMP管理组的抢占功能为启用状态 B、缺省情况下,VGMP管理组的抢占延时为60s C、抢占是指当原来出现故障的主设备故障恢复时,其优先级也会恢复,此时可以重新将自己的状态抢占为主 D、当VRRP备份组加入到VGMP管理组后,备份组上原来的抢占功能继续有效 169、L2TP支持以下哪种负载协议数据。 A、IP B、IPX C、NetBEUI D、以上都支持
170、如图所示为一个NAT server的应用场景,在使用web配置方式进行该项配置时,下列说法正确的是:
A、 配置域间安全策略时,需设置源安全区域为Untrust,目标安全区域为DMZ B、 配置NAT Server时,内部地址为10.1.1.2,外部地址为200.10.10.1
C、 配置域间安全策略时,设置源安全区域为DMZ,目标安全区域为Untrust D、 配置NAT Server时,内部地址为200.10.10.1,外部地址为10.1.1.2 171、在SSL握手协议中,下列哪些消息是可选的?(多选) A、Server Key Exchange B、ChangeCipherSpec C、certificate verify D、ServerHelloDone
172、在使用Web配置方式配置目的NAT的场景时,手机默认出厂网关为202.10.10.2,当地运营商网关地址为200.10.10.2。因此在配置目的NAT时,目的地址为_____,转换后的IP地址为______。 A、200.10.10.2 200.10.10.2 B、200.10.10.2 202.10.10.2 C、202.10.10.2 200.10.10.2 D、202.10.10.2 202.10.10.2
173、防范被动攻击可通过对数据流进行分析检测以给出技术解决措施,比如数据源验证、完整性验证、防拒绝房屋攻击技术等--------------------------------------F
174、在USG产品配置Web代理的基本功能之前,需要准备以下哪些数据:(多选) A、Web资源的名称 B、Web资源的URL地址 C、Web资源的账号信息 D、Web资源的描述
175、华为防火墙默认提供的安全区域有:(多选)
A、Local区域 B、Trust区域 C、Untrust区域 D、security区域
176、终端安全系统中终端用户接入认证方式包括:(多选) A、Web只进行身份认证 B、WebAgent进行身份认证和部分安全认证 C、Agent进行身份认证和安全认证
D、不认证直接接入网络
177、管理员希望清除当前会话表。以下哪个命令是正确的: A、clear firewall session table B、reset firewall session table C、display firewall session table D、display session table
178、在防火墙创建IPS策略时,如果策略模板能够满足应用场景或者与应用场景相似,则可以在策略中引用改模板,但不能再模板下配置覆盖签名。-------------------F 179、在防火墙中,detect ftp 命令配置在哪个视图下:(多选) A、系统视图 B、接口视图 C、域内视图 D、域间视图
180、IPSEC安全协议AH和ESP的区别在于ESP仅能实现数据加密,AH支持的数据验证范围更广。------------------------------------------------------------F 181、终端安全系统支持以下哪些用户认证方式:(多选) A、IP地址认证 B、MAC地址认证 C、普通账号/口令认证 D、LDAP认证
182、IPsec中使用AH+ESP方式建立一个IPsec隧道,会建立几个IPsec SA: A、2 B、3 C、4 D、1
183、USG系列防火墙七元组包括以下哪些选项:(多选) A、用户 B、目的IP地址 C、协议号 D、时间
184、以下属于流量型攻击的有: A、Smurf B、IP地址扫描 C、SYN Flood D、Teardrop
185、USG6000系列防火墙IKE默认使用的是哪个DH group? A、DH group1 B、DH group2 C、DH group5 D、DH group14
186、以下关于TCP协议的描述正确的是:(多选) A、发送主机端会在封TCP报文时,确定一个初始号码,后续报文的序号会一次递增,接收端可以根据此序号来检测报文是否完整 B、接收端接收到TCP报文,通过检验确认之后随机产生一个回应序号,发送端根据此
序号确定报文被成功接收到 C、发送端发送报文时,会对报文进行计算得出一个检验并和报文一起发送,接收端收到报文后,对报文进行同样的计算,如果得出的值和检验值不一致,则会要求对方重发该报文 D、源端口好(Source port)和目的端口号(Destination port)用于标识和区分源端设备和目的端设备的应用进程
187、安全策略的匹配原则为:先查找手工配置的域间安全策略,如果没有匹配到,则直接将数据包丢弃。---------------------------------------------------------T 188、在某些场景下,既要对源IP地址进行转换,又要对目的IP地址转换,被称为双向NAT。--------T
189、在AH安全协议隧道模式中,以下哪个新IP报头字段无需进行数据完整性校验: A、TTL B、源IP地址 C、目的IP地址 D、源IP地址+目的IP地址
190、以下哪个选项是UDP协议和TCP协议报文都有的? A、校验和 B、序列号 C、确认号 D、紧急指针
191、防火墙高级访问控制列表可以使用下列哪些维度来进行流量匹配:(多选) A、源MAC B、目的MAC C、源IP D、目的IP
192、关于防火墙双机热备描述正确的是:(多选) A、当防火墙上多个区域需要提供双机备份功能时,需要在防火墙上配置多个VRRP备份组 B、要求同一台防火墙上同一VGMP管理组所有VRRP备份组状态保持一致 C、防火墙双机热备需要进行绘画表、MAC表、路由表等信息在主设备和从设备间同步备份 D、VGMP是为了保证所有VRRP备份组切换的一致性
193、以下哪个IKE交换模式可以采用IP地址方式和Name方式表示对等体: A、主模式 B、野蛮模式 C、快速模式 D、被动模式
194、IP报文头中的协议(Protocol)字段标识了其上层所使用的协议。以下哪个字段值表示上层协议为UDP协议 A、6 B、17 C、11 D、18
195、防火墙IPS工作模式包括:(多选)
A、防护模式 B、告警模式 C、路由模式 D、透明模式
196、基于GRE封装与解封装描述错误的是: A、封装过程:原始数据包通过查找路由把数据包传递到Tunnel接口后触发GRE封装 B、封装过程:经过GRE模块封装后,此数据包将进入IP模块进行下一步处理 C、解封装过程:目的端收到GRE报文后,通过查找路由把数据包传递到Tunnel接口后触发GRE解封装 D、解封装过程:进过GRE模块解封装后,此数据包将进入IP模块进行下一步处理 197、管理员将内部网络划为trust区域,将Internet划为untrust区域,对于Inbound方向的源NAT,以下说法正确的是:(多选) A、主要应用在内部主机不需要知道某条公网路由的情况 B、是将外网用户请求报文的源地址,转换为内网地址 C、是将内网用户地址转换为internet地址 D、为了让内部私网地址用户能访问Internet 198、以下关于入侵防御系统(IPS)描述错误的是: A、IPS使得IDS和防火墙走向统一 B、IPS在网络中不能采用旁路部署方式 C、IPS在网络中直路部署方式是串接在网络边界,在线部署 D、IPS一旦检测出入侵行为可以实现即时阻断操作
199、在USG系列防火墙中,数据包到达防火墙,最先被匹配以下哪一项: A、包过滤 B、攻击防范 C、黑名单 D、会话表
200、下列关于不同类型防火墙的说法中错误的是: A、包过滤防火墙对于通过防火墙的每个数据包,都要进行ACL匹配检查 B、状态检测防火墙只对没有命中会话的首包进行安全策略检查 C、状态检测防火墙需要配置报文的“去”和“回”两个方向的安全策略 D、代理防火墙代理内部网络和外部网络用户之间的业务
201、在USG防火墙中,由于UDP是基于无连接的通信,所以UDP格式的报文通过防火墙不创建会话表。----------------------------------------------------F 202、包过滤防火墙对哪一层的数据报文进行检查? A、应用层 B、传输层 C、网络层 D、链路层
203、如果IKE协商模式为主模式,则只能配置ID类型为IP地址形式,如果协商模式为野蛮模式,则只能配置ID类型为名称形式。-------------------------------------------------F 204、身份认证技术是采用以下哪些方式对用户身份合法性进行识别:(多选) A、用户名密码 B、USG KEY C、密码算法
D、hash算法
205、防火墙进行Ant-birus和IPS的配置前需要完成下列操作:(多选) A、需要申请并激活license B、指定使用的病毒库、签名库 C、确认防火墙模式为UTM模式,启用UTM D、关闭防火墙链路状态检测机制
206、SVN产品虚拟网关,只能使用域名访问的是以下哪种虚拟网关类型: A、独占型 B、共享型 C、固定型 D、手动型
207、在传输模式IPsec应用情况中,以下哪个区域数据报文可受到加密安全保护: A、网络层及上层数据报文 B、原IP报文头 C、新IP报文头 D、传输层及上层数据报文
208、管理员可以通过以下几种方式升级USG防火墙软件版本:(多选) A、FTP B、TFTP C、HTTP D、SSH
209、为了使出差移动用户能访问企业内部文件服务器,可以采用以下哪个最优SSL VPN功能来实现: A、Web代理 B、文件共享 C、端口转发 D、网络扩展
210、在USG系列防火墙系统视图下,执行完命令reset saved-configuration后设备配置就会恢复到缺省配置,无需进行其他操作即可生效。----------------------------------F
211、关于防火墙域间转发安全策略的控制动作permit和deny,描述正确的是:(多选) A、permit指域间包过滤检查通过 B、deny指丢弃匹配该安全策略的报文 C、及时数据包匹配安全策略的permit动作,也不一定会被防火墙转发 D、报文不管是匹配安全策略的permit动作,还是deny动作,都会转到UTM模块处理 212、针对缓冲区溢出攻击的描述正确的是:(多选) A、缓冲区溢出攻击是利用软件系统对内存操作的缺陷,以高操作权限运行攻击代码 B、缓冲区溢出攻击是攻击软件系统的行为中最常见的一种方法 C、缓冲区溢出攻击是攻击软件系统的行为中最常见的一种方法 D、缓冲区溢出攻击属于应用层攻击行为 213、网关防病毒主要实现方式包括:(多选) A、代理扫描方式 B、流扫描方式 C、包查杀方式 D、文件查杀方式
214、在状态检测防火墙中,开启状态检测机制时,三次握手的第二个报文(SYN+ACK)到达防火墙的时候,如果防火墙上还没有对应的会话表,下面说法正确的是: A、如果防火墙安全策略容许报文通过,报文可以通过防火墙 B、如果防火墙安全策略容许报文通过,则创建会话表 C、报文一定不能通过防火墙 D、报文一定通过防火墙,并建立会话表
215、LNS在收到报文后,将会检查TCP目的端口是否为1701,如果是,则交给L2TP处理模块进行后续处理,如果不是,则按正常IP报文进行处理。-----------------F 216、在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效或无用。这是对()的攻击。 A、可用性 B、保密性 C、完整性 D、真实性
217、USG系列防火墙的Servermap表中三要素,不包括以下哪一项: A、目的IP B、目的端口号 C、协议号 D、源IP
218、USG产品端口转发是基于端口控制的访问内网资源的方式,适用哪种应用服务: A、TCP B、UDP C、TCP或UDP D、SPX
219、对称加密性算法和非对称加密算法对密钥的分发方式比较类似,都是通过把密钥发送给接收方进行信息的解密,发送方法可采用E-mail等方式。------------------F 220、数字证书不包括以下哪个部分: A、证书持有者名称 B、证书有效期 C、证书公钥 D、证书私钥
221、Web代理有哪些实现方式:(多选) A、Web-link B、Web改写 C、Web转发 D、Web透传
222、管理员通过Web进行USG设备初始化操作,以下说法正确的是:(多选) A、管理PC的浏览器访问http://192.168.0.1 B、管理PC的IP地址设置为192.168.0.2-192.168.0.254 C、管理PC的浏览器范围https://192.168.1.1 D、管理PC的IP地址设置为192.168.1.2-192.168.1.254.
223、USG系列防火墙的多个接口可以属于同一个安全区域。---------T
224、使用No-pat方式进行NAT转换,当所有外部IP地址均被使用后(使用NAT技术访问互联网应用场景),后续的内网用户如需上网将会发生什么情况:
A、挤掉前一个用户,强制进行NAT转换上网 B、后续的内网用户将不能上网 C、自动把NAT切换成PAT后上网 D、将报文同步到其他NAT转换设备进行NAT转换
225、IPsec使用模板方式也可以指定remote-address为地址段。---------T 226、以下哪种类型三层VPN在安全方面更有保证: A、GRE B、L2TP C、IP sec D、SSL
227、在同一种加密算法条件下,密钥长度越长需破解的成本也就越高。--------T 229、以下哪个技术可以实现某一密钥被破解后,不会影响其他密钥的安全性: A、数字证书认证 B、完善的前向安全性 C、身份验证 D、身份保护
230、针对IP欺骗攻击(IP Spoofing)描述正确的是:(选择3个答案) A、IP欺骗是利用了主机之间正常的基于IP地址的信任关系来发动 B、IP欺骗攻击成功后,攻击者可以使用伪造的任意IP地址模仿合法主机访问关键信息 C、攻击者需要把源地址伪装成被信任主机,并发送带有SYN标志的数据段请求连接 D、基于IP地址的信任关系的主机之一无需输入口令验证就可以直接登录 231、NAT技术可以通过对数据加密来实现数据安全传输。-------------------------F
232、在华为USG系列设备上,管理员希望擦除配置文件,希望下次启动采用缺省配置参数进行初始化,下面命令正确的是: A、clear saved-configuration B、reset saved-configuration C、reset current-configuration D、rest running-configuration
233、如果再FTP的场景下使用USG产品端口转发功能,内网服务器的映射端口号是: A、20 B、21 C、22 D、23
234、IPsec中如果想对新IP报文头做验证,需要使用哪种IPsec安全协议: A、AH B、ESP C、MD5 D、SHAT
235、如果一个企业新建一个网络,使用典型的网络设备(防火墙,交换机,路由器等),且管理员需要重新规划IP地址,为了支持更多的安全特性,推荐防火墙以太网接口工作在三层模式。------------------------------------------------T
236、以下哪类防火墙处理非首包的数据流转发效率最高: A、包过滤防火墙 B、代理防火墙
C、状态检测防火墙 D、软件防火墙
237、下列关于防火墙的域间安全策略,说法正确的是: A、域间安全策略按照排列顺序匹配,排列在前的优先匹配 B、域间安全策略按照ID号大小匹配,号码小的优先匹配 C、域间安全策略按照ID号大小匹配,号码打的优先匹配 D、域间安全策略按照讯号大小自动排列,当改变排列顺序,号码也跟着改变 238、针对ARP欺骗攻击的描述错误的是: A、ARP实现机制只考虑业务的正常交互,对非正常业务交互或恶意行为不做任务验证 B、ARP欺骗攻击只能通过ARP应答来实现,无法通过ARP请求实现 C、当某主机发送正常ARP请求时,攻击者会抢先应答,导致主机建立一个错误的IP和MAC映射关系 D、ARP静态绑定是解决ARP欺骗攻击的一种方案,主要应用在网络规模不大的场景 239、以下哪个选项不属于对称加密算法? A、DES B、3DES C、AES D、RSA 240、NAT ALG 是通过server-map表来实现动态翻译应用层信息。------------------T 241、有关VLAN Tag的处理,下列描述错误的是: A、当Trunk端口收到帧时,如果该帧不包含802.1Q Tag Header,将打上端口的PVID B、当Trunk端口发送帧时,当该帧的VLAN ID与端口的PVID不同时,直接丢弃;当该帧的VLAN ID与端口的PVID相同时,则透传 C、当Access端口收到帧时,如果该帧不包含802.1Q Tag Header将打上端口的PVID;如果该帧包含802.1Q Tag Header,交换机不做处理,直接丢弃 D、当Access端口发送帧时,剥离802.1Q Tag Header,发出的帧为普通以太网帧 242、关于NAT的说法错误的有:(选择两个答案) A、NAT Outbound是指对源IP地址进行转换,NAT Inbound是指对目的IP地址进行转换 B、NAT Inbound命令和NAT Server命令功能一致,可根据个人爱好进行选择配置 C、Outbound方向NAT可支持以下应用方式:一对一、多对多、多对一 D、NAT技术可支持多通道协议,如FTP等标准多通道协议 243、以下哪个属于多通道协议: A、FTP B、Telnet C、HTTP D、SMTP
244、IPsec IKE野蛮模式主要解决什么问题: A、解决隧道两端协商慢的问题 B、解决协商过程中的安全性问题 C、解决NAT穿越问题 D、解决因发起者源地址不确定而无法选择预共享密钥问题
245、二层交换机(未配置VLAN)在接收到一个数据帧时,如果未在MAC地址表中找到匹配项,则会向所有端口转发改数据帧(包括二层交换机接收端口)。-------------------F 246、USG系列防火墙IKE默认使用的是DH group2.----------------------------------F
247、主动攻击最大特点是对想窃取信息进行侦听,以获取机密信息,而对数据的拥有者或合法用户来说,对此类活动无法得知。-------------------------------------------------F 248、如果查看安全策略的匹配次数: A、display current-configuration B、display policy all C、display startup saved-configuration D、display device
249、针对入侵检测系统描述正确的是:(选择3个答案) A、入侵检测系统可以通过网络和计算机动态地搜集大量关键信息资料,并能及时分析和判断整个系统环境的目前状态 B、入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等,可以实施阻断操作 C、入侵检测系统包括用于入侵检测的所有软硬件系统 D、入侵检测系统可与防火墙、交换机进行联动,成为防火墙的得力“助手”,更好、更精确的控制外域间地访问
250、以下关于TCP协议的描述正确的是:(选择3个答案) A、发送主机端会在TCP报文封装时,确定一个初始号码,后续报文序号会依次的递增,接收端可以根据此序号来检测报文是否接收完整 B、接收端接收到TCP报文,通过检验确认之后会随机产生一个回应序号,发送端根据此序号确定报文被成功接收到 C、当发送报文时,发送端会对报文进行计算得出一个检验值并和报文一起发送,接收端收到报文后,会再对报文进行计算,如果得出的值和检验值不一致,则会要求对方重发该个报文 D、源端口号(Source port)和目的端口号(Destination port)用于标识和区分源端设备和目的端设备的应用进程 251、VPN隧道技术是指通过加密算法(如DES,3DES)来实现数据在网络中传输不被截取。-------------------------------------------------------------------F
252、在WLAN配置中,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。---------------------------------------------T
253、HRP会话快速备份时在首包创建会话时,立即将会话数据打包备份到对端,然后再将报文转发出去,保证了当回应的报文到达对端防火墙时,对端防火墙上已经接收到备份过来的会话数据并加入到会话表中。--------------------------------------------------T
254、USG产品网络扩展功能配置为全路由模式(Full Tunnel)后,内网用户只能访问企业内网资源。--------------------------------------------------------------T
255、SA接口卡可以工作在DTE(Data Terminal Equipment)和DEC(Data Circuit-terminal Equipment)两种方式。一般情况下,SA接口卡作为DTE设备,接受DCE设备提供的始终。------------------------------------------------T
256、在对USG系统防火墙配置时,不能向防火墙Local安全区域添加任何接口,因为防火墙接口本身就属于Local安全区域。--------------------------------------T 257、适合移动办公人员的VPN接入方式有:(选择3个答案) A、GRE VPN B、L2TP VPN C、SSL VLN D、L2TP over IPsec
258、防火墙Local安全区域包含设备接口。在防火墙上ping防火墙某接口IP地址时,这些报文将交给防火墙内部模块进行处理,并不被转发出去。因属于同一安全区域,因此无需配置域间包过滤就可正常通讯。---------------------------------------T
259、域内NAT的主要作用是在相同安全域的主机互访时,需要通过NAT Outbound命令来转换目标主机的IP地址。------------------------------------------F 260、加密服务主要有哪些安全能力:(选择3个答案) A、保密性 B、完整性 C、抗抵赖性 D、可扩展性
261、防火墙通过安全服务中心在线升级签名库、病毒库时,首先要求防火墙能够连接互联网,其次要求配置正确的ONS地址。---------------------------------------T 262、终端安全部分威胁来源于Internet,内部网络只需要部署防病毒软件就可以解决问题。-----------------------------------------F
263、当数据帧进入交换机的VLAN Access端口时,会检查数据帧是否带VLAN Tag标记,如果携带Tag标记,则打上端口PVID的标记。------------------------------T 264、防火墙上执行命令并显示以下信息,下述描述正确的是:(选择2个答案) HRP_M[USG] display vrrp interface Gigabit Ethernet0/0/1 GigabitEthernet0/0/1 | Virtual Router 1 VRRP Group:Master State:Master
Virtual IP:202.30.10.1
Virtual MAC:0000-5e00-0101 Primary IP:202.30.10.2 Priority Run:100 Priority Config:100 Master priority:100
Preempt:NO Delay Time:10
A、 此防火墙VGMP组状态为Master
B、 此防火墙G0/0/1接口的虚IP地址为202.38.10.2 C、 此防火墙VRID为1的VRRP备份组的优先级为100 D、 当主用设备发生故障时将不会切换
265、在GRE配置环境下,本端GRE设备配置对端网络的私网路由需指向以下哪些接口或IP地址:(选择2个答案) A、Tunnel接口 B、外网(互联网)接口 C、Tunnel接口IP地址 D、外网(互联网)接口IP地址
266、关于Policy Center系统的检查打印机共享安全策略描述正确的是:(选择3个答案) A、检查打印机共享目的是检查安装在本地的打印机是否共享给其他人使用及使用权限 B、提供自动修复功能,自动修复的时候,直接关闭打印机共享 C、可以设定检查打印机共享的周期 D、检查的内容包括是否开启打印机共享、打印权限共享给哪些账号、打印机共享的权限
267、如图示的连接: PC1--------------SW1--------------SW2----------------PC2
SW1的两个端口定义为VLAN1 Access类型端口,SW2的两个端口定义为VLAN2 Access类型端口,(PC1与PC2在同一网段内)则下列描述正确的是:
A、 因为都是Access端口,实际上不传递VLAN Tag信息,所以PC1可以访问PC2 B、 因为SW1与SW2两端的VLAN不同,所以两PC之间不能互通
C、 如果两台交换机相连的端口设置为Trunk端口(PVID为vlan2)则两台PC也可以互
通
D、 因为交换机上的端口的PVID缺省都是VLAN 1,所以两台PC可以互访
268、HRP(Huawei Redundancy Protocol)协议,用来将主防火墙关键配置和连接状态等数据向备防火墙上同步。------------------------------------T 269、UDP Flood攻击是攻击者通过向服务器发送大量的UDP报文,占用服务器的链路带宽,导致服务器负担过重而不能正常向外提供服务。-------------------T 270、防火墙双机热备需要具备的条件不包括: A、防火墙硬件型号一致 B、防火墙软件版本一致 C、使用的接口类型及编号一致 D、防火墙接口IP地址一致
271、GIE作为通用的一种VPN封装协议,能够在VPN内封装包括组播报文在内的所有L3报文。-------------------------------------T
272、配置防火墙安全区域的安全级别时,需要遵循的原则有:(选择3个答案) A、新建的安全区域,未设定其安全级别前,系统规定其安全级别为100 B、只能为自定义的安全区域设定安全级别 C、安全级别一旦设定,不允许更改 D、同一系统中,两个安全区域不允许配置相同的安全级别
273、IP sec通过AH(Authentication Header)来实现机密性、完整性、真实性和防重放。--F 274、在域间包过滤中,USG防火墙安全区域域间方向outbound是指数据由高安全级别区域向低安全级别区域传输的方向。----------------------------------------------T
275、配置防火墙域间安全策略时,如果把192.168.0.0/24网段设置为匹配对象,则一下配置正确的是()(选择2个答案) A、policy 1 policy source 192.168.0.0 mask 255.255.255.0 B、policy 1 policy source 192.168.0.0 255.255.255.0 C、policy 1 policy source192.168.0.0 mask 0.0.0.255 D、policy 1 policy source192.168.0.0 0.0.0.255 276、上网用户上线流程是: 上网用户-----(192.168.1.1) USG(1.1.1.2)--------Internet(1.1.1.1)
1. 认证通过,设备容许建立连接
2. 访问Internet 1.1.1.1收下http 192.168.1.1 3. 推送认证界面,User=?Password=?
4. 用户成功访问Internet 1.1.1.1,设备创建Session表 5. 用户输入User=*** Password=***
以下正确的流程排序是: A、2-5-3-1-4 B、2-3-5-1-4
C、2-1-3-5-4 D、2-3-1-5-4
277、在GRE VPN技术中,以下哪个是封装协议: A、GRE B、IN C、IP D、NetBEUI
278、一个套接字由5元组组成,分为源套接字和目的套接字。源套接字是指:源IP地址+源端口+目的IP地址。--------------------------------------------------F
279、HRP(Huawei Redundancy Protocol)协议要备份的连接状态数据包括: A、TCP/UDP会话表 B、Server Map表项 C、动态黑名单 D、路由表
280、USG产品端口代理功能主要用于C/S等不能使用web技术访问的应用。---T
281、在防火墙创建IPS策略时,如果策略模板能够满足应用场景或者与应用场景相似,则可直接在策略中引用模板或引用模板后对签名集中进行相应的修改。这样可以达到提升攻击检测率、性能最优化,同时简化配置。-------------------------------------------T 282、IKE主模式和野蛮模式的主要区别有: A、交换消息主模式来用3个报文,野蛮模式来用6个报文 B、主模式最后两条消息有加密,可以提供身份保护功能 C、野蛮模式最后两条消息有加密,可以提供身份保护功能 D、主模式只能使用IP地址方式表示对等体,而野蛮模式可以使用IP地址或者Name方式标识对等体
283、防火墙双机热备配置中,HRP关键配置包括:(选择3个答案) A、启用HRP备份功能hrp enable B、启用快速会话备份 hrp mirror session enable C、只能心跳口hrp interface interface-type interface-number D、抢占延迟时间hrp preempt[delay interval]
284、下列TCP/IP协议栈中的协议,工作在应用层的有:(选择2个答案) A、ARP B、IGMP C、TELNET D、HTTP
285、以下哪个IPS安全协议支持NAT穿越(IPsec VPN隧道中间有NAT设备情况): A、AH B、ESP C、AH+ESP D、AES
286、USG产品网络扩展功能支持的访问方式包括哪些:(选择3个答案) A、全路由模式(Full Tunnel) B、分离模式(Split Tunnel) C、路由模式(Route Tunnel) D、手动模式(Manual Tunnel)
287、对于E1/CE1的配置: 1.配置虚拟串口IP地址 2.配置虚拟串口链路层协议 3.配置E1工作模式 4.配置时隙捆绑 正确的配置顺序是: A、1-2-3-4 B、2-1-3-4 C、3-4-2-1 D、4-3-2-1
288、VRRP HELLO报文为组播报文,所以要求备份组中的各路由器必须能够实现直接的二层互通。-------------------------------------------------------------T
289、关于Policy Center系统的监控USB存储设备安全策略描述错误的是: A、支持只禁用USB存储设备,允许使用USB鼠标/键盘之类的非存储设备 B、支持USB设备只读控制,只允许读操作,禁止写操作 C、提供USB设备文件操作的监控能力,能够识别并且记录文件操作 D、在启用加密写功能后,终端用户U盘拷入拷出的文件是经过加密的 290、policy center系统终端用户接入认证方式:(选择3个答案) A、Web 只进行身份认证 B、Web Agent进行身份认证和部分安全认证 C、Agent进行身份认证和安全认证 D、不认证直接接入网络 291、VLAN 的端口类型包括:(选择3个答案) A、Access口 B、Trunk口 C、Hybrid口 D、以太网口
292、下列关于网关防病毒AV配置描述不正确的是: A、AV策略支持对断点续传的HTTP文件进行传输,但不对断点续传的HTTP文件进行病毒扫描 B、启用传输体验功能可提高文件传输速率但有可能导致带病毒的文件漏阻断 C、当经过设备的HTTP协议文件大于最大扫描文件大小的值时,设备将丢弃该文件 D、启用智能扫描,将根据文件的真是类型进行扫描,此方式下设备扫描所有文件 293、防火墙Trust域中客户机想访问Untrust中服务器的FTP服务,已经允许客户机访问服务器的TCP21端口,客户端在Windows命令行窗口下可以登录到FTP server,但无法下载文件,以下解决办法中可能是:(选择3个答案) A、修改Trust Untrust域间双向的默认访问策略为允许 B、FTP工作方式为port模式时,修改Untrust Trust域间inbound方向的模式访问策略为允许 C、Trust Untrust域间配置中启用detect ftp D、FTP工作方式为Passive模式时,修改Untrust Trust域间inbound方向的默认访问策略为允许
294、NAT技术有如下哪些特点:(选择2个答案) A、为内网用户提供地址隐藏,有一定的安全性
B、不支持内网IP进行NAPT转换 C、对于内外网络用户,感觉不到IP地址转换的过程,整个过程对于用户来说是透明的 D、配置了双向NAT后,外部用户可以任意访问内网资源 295、关于Trunk口说法正确的有:(选择2个答案) A、Trunk口在收到一个携带标签的数据帧时,如果该标签和PVID不同,且该接口允许通过该VLAN,则直接转发 B、Trunk口在收到一个携带标签的数据帧时,如果该标签和PVID不同,则直接丢弃 C、Trunk口在收到一个携带标签的数据帧时,如果该标签和PVID相同,则直接转发 D、Trunk口在收到一个携带标签的数据帧时,如果该标签和PVID相同,且该接口允许通过该VLAN,则去掉标签后转发
296、IPsec WEB配置向导不支持一下哪个应用场景: A、网关到网关 B、中心网关 C、分支网关 D、主机与主机
297、下列关于Policy Center功能区域说法不正确的是: A、认证前域是指客户端通过身份认证前所能访问的区域 B、认证后域是指客户端通过安全认证后所能访问的区域 C、隔离域是指客户端通过身份认证后所必须访问的区域 D、隔离域是指客户端安全认证失败时所需访问的区域 298、在防火墙中,detect ftp命令配置在哪个模式下:(选择2个答案) A、系统模式 B、接口模式 C、域模式 D、域间模式
299、在大部分应用场景中,NAT Inbound用于企业私网用户访问互联网的场景。-----F 300、常见的散列算法有哪些:(选择2个答案) A、DES B、AES C、MD5 D、SHA-1
301、关于上网用户组织管理说法正确的是:〔选择3个答案)
A、每个用户组可以包括多个用户和用户组 B、每个用户组可以属于多个父用户组 C、系统默认有一个root用户组
D、每个用户至少属于一个用户组,也可以属于多个用户组
302、使用NAT技术能够隐藏内部IP地址部署情况,因此能够提高网络的安全性。------------------------------T
303、网络地址端口转换(NAT)与仅转换网络地址(No-PAT)有什么区别:(选择2个答案)
A、经过NAPT转换后,对于外网用户,所有报文都来自于同一个IP地址或某几个IP地址
B、No-PAT只支持应用层的协议地址转换 C、NAPT只支持网络层的协议地址转换 D、No-PAT支持网络层的协议地址转换
304、USG产品支持的功能不包括:
A、WEB推送 B、端口转发 C、文件共享 D、网络扩展
305、关于VGMP协议描述正确的是:(选择3个答案)
A、 VGMP将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP备份组
B、VGMP通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致
C、状态为Master的VGMP组设备会定期向对端发送HELLO报文,Slave端只负责监听HELLO报文,不会进行回应
D、存缺省情况下当Slave 端三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Master状态
306、VPN隧道技术与DDN专线一样,通过搭建物理通道实现链路的安全------------------F 307、ADSL中的关键配置是哪些:(选择3个答案)
A、dialer-rule 1 ip permit B、dialer bundle 1 C、dialer-group 1 D、link-protocol ppp
308、L2TP作为一种通用的二层VPN技术,支持数据报文加密。---------------F
309、使用一对一或者多对多方式的NAT转换(非PAT),当所有外部IP地址均被使用后(使用NAT技术访问互联网应用场景),后续的内网用户如需上网将会发生什么情况:
A、挤掉前一个用户,强制进行NAT转换上网 B、后续的内网用户将不能上网 C、自动把NAT切换成PAT后上网
D、将报文同步到其他NAT转换设备讲行NAT转换
310、Policy Center系统旁挂模式是指将SACG直接旁挂在原有网络中的核心交换机或者路由器上,实现Policy Center功能的组网模式。旁挂模式可以在不影响用户原有组网前提下完成Policy Center功能的部署。------------------------------T
311、SYN Flood攻击是攻击者通过向服务端发送大里SYN报文,却不做第三步确认,造成服务端存在大里未完全建立的TCP连接,占用服务端的资源。--------------------------------------T 312、UTM(Unified Threat Management)统一威胁管理融台了IPS入侵防御系统、AS网关防病毒、上网行为管理,为更好的解决来自企业内部、外部的攻击威胁提供了强有力的保障。---------------------------------T
313、在USG产品配置Web代理的基本功能之前,需要准备以下那些数据。(选择2个答案}
A、Web资源的名称
B、Web资源的URL地址 C、Web资源的帐号信息 D、Web资源的描述
314、USG防火墙支持的NAT功能包括:(选择3个答案)
A、基于Outbound方向的源地址NAT转换 B、基于目的地址转换的NAT Server C、基于源地址转换的NAT Server
D、基于Inbound方向的源地址NAT转换 315、查看防火墙的HRP状态信息如下: HRP_S[USG_B]display hrp state 16:90:13 2010/11/29
The firewall's config state is : SLAVE
Current state of virtual routers configured as slave GigabitEthernet0/0/0 vird 1:slave GigabitEthernet0/0/1 vird 2 :slave
以下描述正确的是:
A、此防火墙VGMP组状态为Master
B、此防火墙G0/0/0和G0/0/1接口的VRRP组状态为Slave C、此防火墙的HRP心跳接口为G0/0/0和G0/0/1 D、此防火墙一定是处于抢占状态 316.下列关于E1,说法正确的有:(多选)
A、 E 1接口的本质是时分复用
B、E1工作在非通道模式下属于非成帧模式 C、非通道化是E1接口的其中一个应用模式 D、 E1接口是广泛应用的低速WAN物理接口
317、USG产品网络扩展功能中,需要实现用户只可以访问远端企业内网,不能访问本地局域网和Internet,需要使用的客户端路由方式为:
A、全路由模式(Full Tunnel) B、分离模式(Split Tunnel ) C、路由模式(Route Tunnel) D、手动模式(Manual Tunnel) 318、Policy Center系统为了禁止终端用户把重要资料拷贝到存储介质而引发信息安全事件,但因业务需求允许终端用户阅读存储介质内资料,需启用以下哪条策略:
A、禁用移动存储设备 B、移动存储设备只读 C、监控移动存储设备
D、移动存储设备写入加密 319、ACL 2009属于():
A、基本访问控制列表 B、高级访问控制列表
C、基于MAC地址访问控制列表 D、基于时间段访问控制列表
320、以下哪些类型以太网交换机端口,在数据流出端口后还可能携带VLAN标识:〔选择2个答案)
A、Access端口 B、Trunk端口 C、Hybrid端口 D、Switch端口
321、下列关于ADSL的技木,描述正确的是:(选择2个答案)
A、ADSL全称为非对称数字链路,其上行速率和下行速率不同 B、ADSL全称为对称数字链路,其上行速率和下行速率相同
C、ADSL v1.0下行传输速率最大可以达到896kbps D、ADSL v1.0上行传输速率最大可以达到896kbps
322、在配置点到多点应用场景时,总部网段为10.1.0.0/24,分支一的网段为10.1.2.0/24,分支二10.1.3.0/24。关于总部和各分支机构定义被保护的数据流的配置,以下正确的有:(选择3个答案)
A、在总部机构定义到达分支一的数据流::rule permit ip source 10.1.1.0 000.255 destination 10.1.2.0 0.0.0.255
B、在分支二定义到达总部机构的数据流:rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
C、在总部机构定义到达分支一的数据流:rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.0.0 0.0.255.255
D、在分支一定义到达总部机构的数据流:rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
323、域间安全策略的匹配原则为:失查找手工配置的域间Policy,如果没有匹配到,管理员可以通过配置不查找默认域间包过瘾规则,而直接将数据包丢弃,拒绝通过。------------------------------------F
324、防火墙全局病毒扫描的等级共有3级,默认为2级(中),等级越高对文件的扫描深度越深,系统消耗的资原也越多。-------------------T
325、在USG系列防火墙中,以下哪个安全区域可以被管理员删除:
A、Security区域 B、Trust区域 C、Untrust区域 D、DMZ区域
326、LNS在收到报文后,将会检查UDP目的端口号是否为1701,如果是,则交给L2TP处理模块进行后续处理,如果不是,则按正常的IP报文进行处。-------------------------T
327、隧道两端的设备都使用IPSec非模板方式时,两端设备的ACL配置中,推荐配置源和目的地址互为镜像。----------------------------T 328、查询NAT转换会话的命令是:
A、display nat translation
B、display firewall session table C、display current nat
D、display firewall nat translation
329、状态检测防火墙在网络层截获数据包,然后提取出安全策略所需的状态信息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。-------------------------------T
330、关于NAT的说法正确的是:
A、域内NAT会对报文做源地址转换 B、NAT兼容目前所有的IPSec安全协议
C、因为FTP协议是多通道协议,所以不支持NAT D、NAT支持对TCP/IP二、三、四层进行转换
331、通过命令行方式配置NAT,需要配置Trust和Untrust区域Inbound方向时,在命令nat-policy interzone trust unirust inbound中必须Trust区域放在Untrust区域前面。------------------------------F
332、USG产品虚拟网关,只能使用域名访问的是以下哪种虚拟网关类型:
A、独占型 B、共享型 C、固定型 D、手动型
333、加密技术由以下哪些要素组成:(选择3个答案)
A、隧道算法 B、密钥 C、密文
D、加密算法
334、对于防火墙安全区域,说法正确的是:
A、防火墙的不同安全区域,优先级可以相同 B、防火墙的同一个接口可以分属不同的安全区域 C、防火墙的不同接口可以属于同一安全区域 D、防火墙的自带安全区域可以被删除
335、以下哪些选项属于USG防火墙的SSL本地用户: A、VPNDB B、Local Database C、Local User D、LDAP
336、IP报文头中的协议(protocol)字段标识了其上层所使用的协议。当上层为TCP协议时该字段值为6,当上层为UDP协议时该享段值为17。------------------T
337、被动玫击可通过对数据流进行分析检测l以给出技术解决措施,最终保障业务的正常运行。比如数据源验证、宪整性验证、防拒绝服务玫击技术等。------------------------------------------F 338、IKE如果协商模式为主模式,则只能配置ID类型为IP地址形式。如果协商模式为野蛮模式,则只能配置ID类型为名称模式。--------------------------------F
339、Policy Center系统支持蓝牙、SD卡等计算机外设的监控功能,并支持配置禁止外部设备。----------------------------------T
340、关于Policy Center系统的部署方式描述正确的是:(选择3个答案)
A、集中部署方式的主要特点是可以根据管理终端数目的多少,选择SM、SC、数据库等组件安装在同一台服务器上
B、终端相对集中在几个区域,而且区域之间的带宽比较小,建议采用分布式组网 C、终端规模相当大时,可以考虑使用集中式部署组网,避免大里终端访问Policy Center服务器,占用大里的网络带宽
D、分布式部署时,Policy Center安全代理选择就近的控制服务器SC,获得身份认证和准入控制等各项业务
341、因私网地址不能在Internet上路由,如果私网地址用尸需妻访问Internet,需要经过NAT转换。---------------------------------T
342、在使用web页面配置方式下开启Trust区域和Untrust区域之间Outbound的域间转发策略时,下列哪一项配置是正确的:
A、在区域方向一栏中选择Outbound,并Trust放在Untrust之前 B、将源安全区域设置为Trust,目标安全区域设置为Untrust C、在区域方向一栏中选择Outbound,并将Untrust放Trust之前 D、将源安全区域设置为Untrust,目标安全区域设置为Trust 343、GFE的特点主要包括:(选择3个答案)
A、机制简单
B、对隧道两端设备的CPU负担小 C、提供数据的加密
D、不提供流量控制和QoS
344、在IKE Peer视图下,若执行exchange-mode main,那么以下哪条配置是不可能生效的:
A、remote-address 202.101.0.1
B、remote-address 202.101.0.1 202.101.0.5 C、remote-name chengdu D、remote-address ip-pool 1
345、GRE VPN本身不具有提供对数据进行完整性验证和保密性传输能力。----------------T 346、防火墙IPS策略的签名集之间存在优先关系,在同一条IPS策略中,编号小的签名集比编号大的签名集的优先级高。------------------------------------F
347、下面关于Client-Initialized的L2TP VPN,正确的说法有:(选择3个答案)
A、远程用户接入internet后,可通过客户端软件直接向远端的LNS发起L2TP道连接请求
B、LNS设备接收到用户L2TP连接请求,根据用户名,密码对用户进行验证 C、 LNS为远端用户分配私有IP地址 D、远端用户不零要安装VPN客户端软件
348、在IPSec中需要清除SA时,注意先清除阶段1的IKE SA,再清除阶段2的IPSec SA。--------------------------------------------F
349、以下对于AH和ESP的说法正确的是:(选择3个答案)
A、AH可以提供数据完整性校验和加密
B、隧道模式下,AH对新的IP头也要验证,所以AH无法应用在IPSec VPN中间有nat转换的情况
C、AH可以提供ESP除了数据加密外的所有功能 D、隧道模式下,ESP报文不对新IP头做验证
350、对于防火墙域间安全策略,下列说法正确的是:(选择3个答案)
A、 policy 1 disable命令表示禁用police 1
B、缺省情况下,越先创建的Policy优先级越高,越先匹配
C、通过policy move命令将policy调整位置后,policy id将做相应的改变
D、一旦匹配到一条Policy,就直接按照该Policy的定义处理报文,不再继续住下匹配 351、防墙双机热备配置中启用允许配置备用设备功能hrp slave config enable后,所有可以备份的信息都可以直接在备用设备上进行配置,且备用设备上的配置可以同步到主用设备。----------------------T
352、如下安全策略的命令,代表的含义是: [USG] policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 0
[USG-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1 0.10 0.0.255.255 [USG-policy-interzone-trust-untrust-outbound-0] policy service service-set icmp [USG-policy-interzone-trust-untrust-outbound-0] action deny
A、禁止从trust区域untrust区域目的地址为10.1.10.10主机的ICMP报文
B、禁止从trust区域untrust区域目的地址为10.1.0.0/16网段的所有主机ICMP报文 C、禁止从trust区域untrust区域源地址为10.1.0.0/16网段来的所有主机ICMP报文 D、禁止从trust区域untrust区域源地址为10.2.10.10主机来的所有主机ICMP报文
353、包过滤防火墙在应用层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。--------------------------------------F
354、代理防火墙作用于TCP/IP协议栈的传输层,实质是代理防火墙代理处理内部网络和外部网络用户之间的业务。-------------------F
355、add-group { number 1 name } no-pat 中no-pat 参数的含义是:
A、不做地址转换 B、进行端口复用 C、不转换源端口 D、不转换目的端口
356、信息加密的四个关键要素:明文、密文、加密算法和密钥,为了确保信息的保密性,需对加密算法进行保密。------------------------------F 357、IP Sec中以下哪个算法不属于加密算法:
A、DES B、SHA1 C、3DES D、AES
358、USG产品文件共享技术就是将文件共享协议转换成基于SSL超文本传输协议(Https),针对终端用户感觉文件服务器就是基于Web应用。----------------------------T
359、USG系列防火墙默认的安全区域不能删除,但可以修改其安全级别。---------------------------------F
360、下面描述是SSL握手协议各阶段中的内容有哪些?(选择3个答案)
A、客户端发送client_Hello消息,服务器端回应Server Hello消息 B、服务器端发送Server Hello便等待客户端发送的消息
C、客户端收到服务器发送的一系列消息并消化后,发送Client Key Exchange等消息给服务器
D、客户端和服务器各自发送ChangeCipherSpec和finished消息给对方 361、Policy Center准入控制可支持以下哪些:(选择3个答案)
A、硬件SACG(硬件安全接入控制网关) B、802.1X C、ARP控制
D、软件SACG(主机防火墙) 362、USG产品配置时,VPNDB中的用户信息可以单个创建,也可以通过导入文件批里创建。------------------------------------T
363、SSL VPN支特文件共享类型分为SMB和NFS两种,SMB对应windows主机,NFS对应Linux主机。--------------------------------T
364、基于Outbound方向NAT配置,在有no-pat配置参数的情况下,以下哪些说明是错误的:(选择3个答案)
A、只进行源IP地址转换 B、只进行目的IP地址转换 C、进行源IP地址和源端口转换
D、进行目的IP地址和目的端口转换
365、Poliry Center系统支持以下哪些用户认证方式:(选择3个答案)
A、IP地址认证 B、MAC地址认证
C、普通账号/口令认证 D、LDAP认证
366、下列关于不同类型的防火墙的说法中正确的有:(选择3个答案}
A、包过滤防火墙对于通过防火墙的每个数据包,都要进行ACL匹配检查 B、状态检测防火墙只对没有命中会话的首包进行安全策略检查
C、状态检测防火墙需要配置报文的“去”和“回”两个方向的安全策略 D、代理防火墙代理内部网络和外部网络用户之间的业务 367、管理员搭建了如下组网:
LAN_A----一(G0/0)USG_A(G0/1)----一(G0/0)USG_B(G0/1)-------LAN_B
USG_A划分了防火墙安全区域,连接LAN_A的区域Trust,连接USG_B的区域是Untrust根据上面的描述,以下说法正确的是:
A、USG_B G0/0必须加入Untrust区域 B、USG_B G0/0必须加Trust区域 C、USG_B G0/1必须加Trust区域 D、USG_B G0/0可以加入任意区域
368、在IKE协商第一阶段中,以下哪个IKE交换模式不能提供身份保护功能:
A、主模式 B、野蛮模式 C、快速模式 D、被动模式
369、USG防火墙高级ACL的匹配,可以通过源IP地址、目的IP地址、源MAC地址、目的MAC地址、协议等维度来进行流里匹配。------------------F
370、下列关于NAT地址转换的说法中哪些是正确的:(选择3个答案)
A、地址转换技术可以有效隐藏局域网内的主机,是一种有效的网络安全保护技术 B、地址转换可以按照用户的需要,在局域网内向外提供FTP、WWW、Telnet等服务 C、有些应用层协议在数据中携带IP地址信息,对它们作NAT时还要修改上层数据中的IP地址信息
D、对于某些非TCP、UDP的协议(如ICMP、PPTP),无法做NAT转换
371、在USG系列防火墙区域间使用detect命令,若应用协议为非标准端口,以下哪个技术可解决由非标准端口所带来的问题:
A、端口识别
B、MAC与IP地址绑定 C、包过滤 D、长连接
372、以下哪类加密算法,加密和解密的密钥是相同的:
A、DES
B、RSA(1024) C、MD5 D、SHA-1
373、USG产品网络扩展功能中,需要实现用户即可以访问远端企业内网和本地局域网,又能访问Internet需要使用的客户端路由方式为:
A、全路由模式(Full Tunnel) B、分离模式(Split Tunnel ) C、路由模式(route Tunnel)
D、手动模式(Manual Tunnel)
374、Policy Center系统可以实现组织管理和区域管理两个维度的管理功能。-----------------------------------------T
375、下列关于ASPF和Server map的说法正确的是:〔选择2个答案)
A、ASPF检查应用层协议信息并且监控连接的应用层协议状态 B、ASPF通过动态的生成ACL来决定数据包是否通过防火墙 C、配置NAT Server生成的是静态Server-map D、Server-map表用五元组来表示一条会话
396、 USG产品可以通过如下哪些方式对用户进行访问权限控制:
A、IP B、MAC C、PORT D、URL
377、USG产品业务功能包括:(选择3个答案)
A、Web代理 B、网络扩展 C、端口共享 D、文件共享
378、Policy Center系统的共享目录检查安全策略包括以下哪些方面内容:(选择3个答案)
A、共享文件大小检查,对于大文件不允许共享 B、共享账号名称(用户或者用户组)检查 C、违规共享权限检查
D、提供自动修复功能,删除违规共享
379、如果防火墙的两个接口连接同一个区域,两个接口数据包流动也必须经过域间包过虑处理。-----------------------------------F
380、VLAN的Tag信息包含在哪个报文段中:
A、以太网帧头中 B、IP报文头中 C、TCP报文头中 D、UDP报文头中
381、以下哪些技术可以实现拒绝非法主机或非法数据报文通过:(选择3个答案)
A、MAC与lP地址绑定 B、ACL C、黑名单 D、静态路由 382、IPSec安全协议AH和ESP的区别在于AH能实现数据加密,ESP支持的数据验证范围更广。--------------------------------------F
383、在当前网络中已经部署了其他的身份认证系统,设备通过启用单点登录功能,减少用户重复输入密码。关于单点登录说法正确的是:(选择2个答案)
A、设备可以识别出经过这些身份认证系统认证通过的用户,用户上网时,设备将不推送认证页面,避免再次要求输入用户名/密码
B、设备仅支持AD域单点登录
C、虽然不需要输入用户密码,但是认证服务器需要将用户密码和设备进行交互,用来保证认证通过
D、设备支持LDAP,AD域单点登录 384、以下哪个IKE交换模式可以采用IP地址方式或Name方式标识对等体(选择:2个答案)
A、主模式 B、野蛮模式 C、快速模式 D、被动模式
385、IP地址扫描玫击的攻击者运用ICMP报文探测目标地址,获取目标网络的拓扑结构和存活的系统,实施下一步攻击做准备。--------------------------------T
386、在USG系列防火墙系统视图下,执行完命令reset saved-configuration后设备配置就会恢复到缺省配置,无需进行其他操作即可生效。---------------------------------------------F 387、Policy Center系统主要由以下哪些组件组成:(选择3个答案)
A、防病毒服务器 B、SC控制服务器 C、准入控制设备 D、SM管理服务器
388、在防火墙间安全策略中,inbound是指数据包从低优先级区域访问高优先级区域。在防火墙域内安全策略中,没有inbound和outbound方向,只需要直接定义Source和Destination即可。--------------------------T
389、对于防火墙默认安全区域Trust和Untrust的说法正确的有:(选择2个答案)
A、Trust区域访问Untrust区域方向为outbound方向 B、Trust区域访问Untrust区域方向为inbound方向 C、Trust的安全级别是85 D、Untrust的安全级别是50
390、IPSec的必需配置步骤包括: (选择3个答案)
A、配置IKE的加密算任便用DES B、定义保护数据流和域间规则 C、将IPSec安全策略应用到接口 D、配置IKE Peer
391、USG系列防火墙5元组包括以下哪些选项:(选择3个答案)
A、源IP地址 B、目的IP地址 C、协议号
D、源MAC地址
392、防火墙进行AV和IPS的配置前需要完成下列操作:〔选择3个答案)
A、需要申请并激活UTM特性的license并升级特征库 B、指定使用的病毒库、IPS签名库、URL热点库和知识库 C、确认防火墙模式为UTM模式,启用UTM D、关闭防火墙链路状态检查机制
393、在USG产品配置中,如果绑定Web网管和IP地址时设置的端口号为443以外的瑞口号,那么在下次登录Web网管输入IP地址时,请在IP地址后面加上\端口号“,如”
https://x.x.x.x:port“,否则将不能登录Web网管。------------------------------------------------------T