【深信服】安全PT1-atrust認證備考題庫（含答案）

PAGEPAGE1【深信服】安全PT1-atrust認證備考題庫（含答案）一、單選題1.【atrust】零信任aTrust對于資源發(fā)布，下列說法錯誤的是?A、遠程辦公接入場景，控制中心主要是承擔用戶認證，鑒權和策略下發(fā)的功能B、代理網關主要是承擔用戶訪問內網應用的流量C、用戶上線零信任后，控制中心會下載臨時路由和用戶資源下發(fā)給用戶終端D、無法發(fā)布泛域名資源答案：D2.【atrust】客戶黃工是企業(yè)微信的忠實用戶，一天銷售給黃工推薦了aTrust設備給他做遠程辦公配合企!們aTrust有一些疑問，下列疑問和回答說法錯誤的是?A、Q:我想在登錄你們aTrust設備的時候，直接通過企業(yè)微信掃碼就可以登錄，你們可以搞不?B、Q:我想把我內網的應用通過你們aTrust設備收縮到內網，你們可以做到加密嗎?C、Q:用企業(yè)微信訪問內網業(yè)務系統(tǒng)支持手機和電腦版本的企業(yè)微信嗎?

A:可以的，PC和手機的企業(yè)微信都可以使用D、Q:我要做企業(yè)微信對接，并通過企業(yè)微信訪問內網應用的話，需要我準備什么

1咱們設備需要能夠上網和企業(yè)微信通信

2咱們設備必須需要有域名，且將A記錄指向Proxy

3獲取企業(yè)微信的后臺權限，需要在上面創(chuàng)建應用并獲取相關參數答案：D3.aTrust部署完成后，需要對設備進行升級，下列說法錯誤的是A、2.1.17版本之后使用sftp協(xié)議連接設備，上傳升級包，使用默認賬號為quicksftp/SangforSDP1220B、2.1.17之前版本建議在后臺升級，2.1.17及之后版本建議web升級C、連接設備后臺需要使用ssh連接設備，輸入升級命令D、2.1.17版本之后設備升級有快照的功能，升級后可以進入快照管理對設備進行回退答案：D4.【atrust】某客戶需求:內網中有一個業(yè)務地址段/24，應用端口有443,80,4000-44330、一個門戶頁面https:lsangfor.atrust.，真實地址42、遠程桌面連接0。下面說法錯誤的是A、為了配置方便可將業(yè)務地址段/24網段使用隧道模式統(tǒng)—發(fā)布B、門戶頁面https:/lsangfor.atrust.可用web應用發(fā)布也可用隧道應用發(fā)布C、遠程桌面連接0必須使用隧道模式發(fā)布，也可發(fā)布隧道域名資源，并在控制中心的網絡管理上寫入hostt

析，供代理網關解析。D、．有隧道模式發(fā)布的應用，必須安裝客戶端，且如果在公網上訪問隧道應用必須將sdpc的441端口映射到公網答案：D5.【atrust】下列關于aTrust的功能說法錯誤的是A、SPA功能可以隱藏發(fā)布到互聯網的內網業(yè)務系統(tǒng)，但是aTrust設備發(fā)布到互聯網的端口服務沒有辦法隱藏B、權限基線功能分為三個階段，采集階段，試運行階段和正式運行階段C、可信應用可以實現訪問該業(yè)務系統(tǒng)的時候只允許使用授信的程序訪問，不授信的程序無法訪問該業(yè)務系統(tǒng)D、aTrust可以周期性的檢測終端環(huán)境是否滿足要求，而不是只在登錄時檢測答案：A6.【atrust】下列關于UEM沙箱辦公接入場景說法正確的是A、關于工作空間準入策略功能，截至到2.2.4版本，只適用于windows平臺、Mac平臺;Linux系統(tǒng)暫時不支持。B、作空間準入策略的處置方式有兩種:禁用空間隔離效果，隱藏空間入口:此模式下工作空間的網絡隔離失效，空間關聯的應用將允許在個人空間訪問;.當用戶關聯的所有空間都禁用時，相當于用戶未關聯任何空間(個人空間網絡隔離規(guī)則不會生效，終端將不會占用UEM標準版授權)保持空間隔離效果，隱藏空間入口:此模式下工作空間的網絡隔離仍有效，空間關聯的應用將無法訪問C、程序安裝名單的工作原理是:管理員把程序安裝包上傳到程序安裝名單中后，用戶在工作空間安裝這個程序時，UEM會把其安裝文件釋放到個人空間中，這樣就等同于在個人空間中安裝程序，從而解決再特殊環(huán)境下程序安裝問題D、在一些很嚴格的場景下，程序安裝包的下載地址只能在工作空間才能訪問，而且管理員設置了策略不允許用戶把文件從

工作空間導出到個人空間，此時就導致了用戶只能在工作空間安裝這個程序，但再無痕模式下不適用且強制安裝可能會引發(fā)系統(tǒng)問題，此情況下應用程序安裝名單解決答案：A7.【atrust】下列關于安全加固場景的不屬于終端安全配置的是?A、可信應用的防護策略只能添加到windows、macOS、linux系統(tǒng)中;不支持IOS和Android系統(tǒng)。B、EDR聯動阻斷C、UEMPC端沙箱D、SPA業(yè)務隱身答案：D8.【aTrust】關于atrust對接認證，下列說法錯誤的是?A、對接CAS認證服務器時，需要在CAS認證服務器上，將atrust地址加白，加白的地址為https:l/[aTrust客戶端接入地址域名.端口]/passport/v1/auth/casB、對接釘釘認證時，掃碼登錄時需要填寫回調域名，地址為

Https://sdpc.sangforts.ink:443/passport/v1/auth/dingdingQrcodeC、釘釘miniconnect場景，實現用戶點擊應用后拉起miniconnect認證建立隧道，并訪問htp:3,配置為:

Https:/lSDP接入地址/portal/dingtalk.html#redirecturl=http%3A%2F%2F3D、aTrust對接任何第三方認證服務器時，都需要控制中心!綜合網關獲取賬號密碼，并傳送給第三方認證服務器，以此來實現用戶登錄認證上線。答案：D9.3【atrust】以下哪些功能需要安裝客戶端才能使用A、權限采集B、WEB應用中的私有DNSC、檢測訪問WEB應用的瀏覽器類型D、WEB應用水印答案：B10.【atrust】零信任aTrust對接飛書，以下說法錯誤的是?A、通過oauth2票據認證對接，可對接飛書，實現用戶掃碼登錄PC端，訪問內網應用。B、對接飛書后，可實現用戶在手機端登錄飛書app，訪問H5應用，且不需要再次經過aTrust認證，即可單點訪問應用C、對接飛書后，可使用用戶在PC端登錄飛書軟件，訪問H5應用，且不需要再次經過aTrust認證，即可單點登錄訪問D、對接飛書，要求客戶必須提供aTrust控制中心的域名和證書，否則會對接失敗答案：D11.【atrust】關于aTrust的授權申請，下列說法正確的是A、申請授權—定要設備連接互聯網B、申請授權需要獲取設備IDC、商用授權為設備發(fā)貨自帶，無法通過統(tǒng)—授權中心進行離線授權D、測試授權申請試用時常默認為一個月答案：B12.【atrust】aTrust單臂上架好了之后，需要互聯網訪問接入，此時你的操作哪項是不符合互聯網接入要求的A、需要將控制中心的https接入端口（默認TCP443)端口映射到互聯網，并在aTrust上設置接入地址B、發(fā)布Web資源，需要使用HTTPS標準端口訪問Web資源，則需要代理網關的443端口映射到互聯網C、發(fā)布隧道資源，需要使用ssh標準端口訪問隧道資源，則需要代理網關的22端口映射到互聯網

D﹒發(fā)布隧道資源，需要使用RDP標準端口訪問隧道資源，則需要代理網關的441端口映射到互聯網答案：C13.【atrust】關于Workspace辦公接入場景核心需求，以下選項錯誤的是?A、安全可信B、極簡運維C、良好體驗D、追蹤溯源答案：D14.【atrust】下列關于UEM沙箱辦公接入場景說法正確的是A、工作空間進程和個人空間進程可訪問的目標地址范圍默認相互隔離，即工作空間進程只能通過零信任網關訪問該空間和

用戶關聯的隧道應用，其他請求會被攔截B、工作空間進程和個人空間進程可訪問的目標地址范圍默認相互隔離，WEB應用也受影響，只能在個人空間或者工作空

間進行訪問。C、程序運行限制功能是說當開啟程序運行限制功能后，則將禁止所有程序運行(該限制對Windows的常用自帶程序無

效)，此時需要在程序運行限制的功能配置界面手動添加允許運行的程序后，對應程序才可以在該工作空間中運行D、程序倉庫是為工作空間的“程序運行限制”這一功能服務的，在工作空間開啟程序運行限制后，默認禁止任何進程運行

(該限制對Windows的常用自帶程序無效)，此時需要在程序運行限制的功能配置界面手動添加允許運行的程序后，對應程序才可以在該工作空間中運行答案：B15.atrust關于atrust在各過程提供的安全保障中，說法錯誤的?A、業(yè)務發(fā)布過程中可采用SPA單包授權機制，所有終端先發(fā)起認證請求，再進行受信校驗，通過認證后才能連接業(yè)務B、認證接入過程可采用動態(tài)自適應認證、終端動態(tài)環(huán)境檢測、終端進程可信等方式檢測終端認證接入的安全性C、權限控制過程，采用動態(tài)權限控制?；谏矸荨h(huán)境、行為變化，動態(tài)收縮權限不同敏感度業(yè)務采取不同級別訪問控制D、行為管理過程通過集成第三方安全能力，多源信任評估訪問行為安全審計、分析異常行為，動態(tài)處置、灰度處置。答案：A16.【atrust】零信任aTrust替換SSLVPN場景中，導入出現報錯信息:"code":10000000,"message""pleaseapecifyresourceNodeArea",可能是因為什么原因?A、上傳的SSLVPN配置文件有錯誤B、零信任aTrust版本不兼容C、零信任aTrust的代理網關區(qū)域節(jié)點被更改了，但導入時默認選擇了默認區(qū)域節(jié)點，需要使用參數指定區(qū)域節(jié)點D、可能是因為SSLVPN設備低于7.5版本，同時零信任aTrust設備在導入是輸入參數錯誤，導致的。解決辦法就是升級SSLVPN和升級零信任aTrust設備再重新導入。答案：C17.【aTrust】下列關于零信任SPA的簡單數據流，下列說法錯誤的是?A、安裝客戶端后，輸入客戶端接入地址，會被客戶端的地址引流，并解析為/16中的某一個B、用戶客戶端發(fā)出UDP敲門包后，如果敲門成功，控制中心會關閉防火墻C、如果敲門失敗了，用戶會看到請求訪問鏈接被拒絕D、若多個用戶出口共用一個出口IP地址，那么敲門成功后，所有的用戶都能掃描到aTrust端口答案：B18.【atrust】下列關于零信任的核心思想，說法錯誤的是A、網絡中的位置不足以決定網絡的可信程度B、所有的設備、用戶和網絡流量都應當經過認證和授權C、安全策略必須是動態(tài)的，并基于盡可能多的數據源計算而來D、應用之間必須建立區(qū)域，以對抗不同的威脅答案：D19.【atrust】下列關于移動端應用封裝接入說法不正確的是A、深信服零信任EMMSDK集成封裝場景下，用戶的認證方式支持CAS和OAUTH2認證B、當用戶關聯了任意移動應用中心中的自動封裝應用、SDK生態(tài)應用、H5應用或普通應用時，其aTrustapp界面的應用中心將不會顯示，取而代之的是工作臺C、設備封裝應用時，需要訪問互聯網的封裝服務器(地址https:lew.sangfor.:60330)，須放通相關網絡權限D、做封裝應用時，建議使用客戶提供的企業(yè)簽名證書，設備內置的iOS證書存在容易被封的風險，且只有90天試用期，試用期后，應用界面會彈證書過期的告警答案：A20.【aTrust】下列關于SPA的說法錯誤的是A、SPA即單包授權，通過對連接服務器的所有數據包進行認證授權，服務器認證通過之后，才會響應連接請求。以此實

企業(yè)業(yè)務的網絡隱身，從網絡上無法連接、無法掃描。B、啟用UDP敲門，需同時將要隱藏的服務器端口在公網上做TCP和UDP協(xié)議的端口映射，否則將無法訪問C、SPA目前支持第三代，即UDP+TCP敲門。其中UDP敲門可實現端口隱藏，TCP敲門是減緩DOS攻

擊D、用戶使用UDP敲門成功后，同一環(huán)境下的用戶安裝一個普通客戶端也能正常接入答案：D21.【atrust】關于認證策略，下列說法錯誤的是?A、一個用戶只能屬于一個認證策略，新的認證策略管理用戶會覆蓋原來的認證策略B、增強認證中的“賬號弱密碼登錄”針對的賬號是外部用戶賬號C、移動端也可以使用自適應認證方式D、如果管理員在【認證策略-增強認證】中，開啟了"賬號首次登錄"、“賬號在該終端首次登錄"和"賬號在非常用地點登錄的條件“，只會觸發(fā)“賬號首次登錄"時，不會觸發(fā)”賬號在該終端首次登錄“和"賬號在非常用地點登錄”答案：C22.【atrust】高校場景下，不能實現的場景有?A、通過零信任aTrust代理全校師生訪問知網，圖書館等資源，訪問這些資源時地址將會被改寫。B、可實現師生代理訪問內網教務系統(tǒng)，并對接統(tǒng)—身份認證平臺CAS，實現訪問教務系統(tǒng)內的應用單點登錄。C、可通過零信任aTrsut實現內外網用戶統(tǒng)—訪問，不論用戶是在校內還是在校外，不需要經過aTust接入認證，也能訪問相關資源D、客戶有訪問內網的敏感業(yè)務需求，如內網設備運維，財務系統(tǒng)等，可將代理網關的441端口映射至公網，實現用戶在家辦公運維校內設備。答案：C23.【atrust】以下關于自適應訪問控制的功能說明中，說法錯誤的是?A、通過自適應訪問控制，平衡安全與體驗，持續(xù)應對高級威脅，構建一個更安全、體驗更好的新一代企業(yè)網B、自適應應用訪問控制不僅是在登錄時進行評估，而是持續(xù)、自適應地動態(tài)評估C、自適應應用訪問控制結合終端環(huán)境、身份認證可信程度、用戶行為形成數字化身份D、自適應訪問控制，在提高接入安全性的同時，犧牲了接入體驗性。在可信任的安全接入環(huán)境中也需要進行增強認證答案：D24.【atrust】關于設備升級，下列說法錯誤的是?A、設備2.1.17版本及之后支持Web端上傳升級包升級B、當前設備升級，可進入后臺升級，后臺升級需要開啟21和20端口，使用ftp工具上傳升級包C、截止標準版本aTrust2.2.4，暫不支持硬件設備降級設備版本D、虛擬化部署的設備，升級前建議在虛擬化平臺創(chuàng)建快照，避免升級中出現異常，導致設備起不來影響業(yè)務。答案：B25.【atrust】有一次到客戶處，客戶問最近比較火的零信任，你們公司有沒有做，此時你給客戶的答復說法正確的是?A、我們公司是有涉及零信任領域的，使用aTrust就可以將內網改造成零信任架構B、我們公司是有涉及零信任領域的，涉及到的產品有aTrust產品、IDtrust產品等C、零信任實際上是一個新型的網絡架構，使用防火墻和IDtrust進行過改造就可以完成零信任的建設D、零信任的核心理念是從不信任，總是驗證，目前這么理念想法比較超前，用戶體驗因為總是要驗證，所以體驗比較差。答案：B26.[atrust】一天，你到客戶黃工處測試aTrust，測試過程中，你給黃工介紹了在Windows下的aTrust客戶端使用，黃工問你支不支持手機端接入，下列你給客戶介紹移動端aTrustAPP說法錯誤的是?A、移動端APP支持iOS和AndroidB、移動端APP支持無流量自動注銷的功能，超時會自動注銷移動端APP，下次訪問需要重新登錄C、手機如果安裝了aTrustAPP，可以使用aTrustAPP掃碼接入，使用手機的瀏覽器訪問aTrust也可以實現快捷拉起aTrust

APP登錄范根D、手機端APP支持SPA、上線準入策略、安全基線等功能，也支持二次認證答案：B27.【atrust】關于Workspace辦公接入場景的方案，哪個場景不是該方案主推的體現?A、零信任SDP的安全接入場景B、SPA服務隱身場景C、UEM沙箱的數據安全加密場景D、桌面云VDI的數據不落地場景答案：B28.【atrust】小明只配置了一個web應用，其中前端訪問地址為httpsi:latrust.cxssvpn.xyz:4320，客戶想要在公網環(huán)境能訪問該應用，以下為必要的操作是?A、客戶端接入地址端口未更改，需要將零信任sdpc的地址加443端口映射到公網B、將零信任proxy的地址加4430端口映射到公網C、將零信任sdpc的地址加4320端口映射到公網D、將零信任proxy的地址加4433端口映射到公網答案：A29.【atrust】關于零信任aTrust對接企業(yè)微信和釘釘，下列說法正確的是?A、aTrust對接企業(yè)微信，并發(fā)布H5微應用客戶必須要提供域名，否則不支持B、aTrust對接釘釘，并發(fā)布H5微應用客戶必須要要提供域名，否則不支持C、企業(yè)微信使用H5微應用訪問時，需提供域名，域名要指向代理網關公網地址，保證流量能正常引流到aTrust設備代理訪問D、aTrust對接釘釘實現miniconnect場景，必須提供域名和證書，否則不支持。miniconnect場景在新的釘釘版本依舊能使用正常答案：C30.

【atrust】下列關于SPA功能，說法錯誤的是?A、2.2.2版本之后SPA功能，客戶端與安全碼做了分離;用戶敲門需使用SPA安全碼，安全碼的分發(fā)需要使用短信進行分發(fā)。B、用戶未安裝客戶端或未獲取到SPA安全碼訪問零信任設備，客戶端輸入用戶接入地址，登錄失敗，被SPA攔截，攔截頁

面會顯示無訪問此網站，響應時間超時的錯誤狀態(tài)碼。C、自2.2.2版本之后，SPA支持使用域名或IP接入，即用戶可使用域名或IP地址訪問零信任設備，實現SPA敲門校驗D、開啟SPA功能后，使用端口掃描工具，可以掃描到零信任設備的相關業(yè)務端口答案：D31.實現個人微信公眾號登錄后，訪問應用A、實現個人微信公眾號登錄后，訪問應用B、新版釘釘場景下，取消了掃碼登錄appld和appsecret的概念，轉而由應用的appkey和appsecret替代C、釘釘對接miniconnect后，無法主動注銷D、企業(yè)微信，釘釘和飛書，都可將用戶目錄信息同步至aTrust本地，實現精細化授權答案：D32.【atrust】客戶黃工之前使用了我們SSLVPN產品，現在市場給黃工推薦我們的aTrust設備，黃工對我們的釘釘認證非常感興趣，讓你給他介紹—下這個功能，下面你給黃工介紹功能，說法錯誤的是?A、釘釘認證可以使用釘釘的APP進行掃碼登錄到aTrust，也可以直接在釘釘中通過aTrust代理訪問H5應用B、釘釘認證只支持微應用，不支持小程序C、使用釘釘認證需要把應用發(fā)布成隧道應用，然后在釘釘應用中訪問D、釘釘訪問應用不僅支持手機APP，而且也支持電腦端答案：C33.【atrust】對于傳統(tǒng)的安全接入方案中，以下說法錯誤的是?A、縮小暴露面效果欠佳，通過傳統(tǒng)SSL方案發(fā)布如OA業(yè)務，OA業(yè)務雖然隱藏，但仍然對公網暴露SSL認證頁面，網絡

意位置都可發(fā)起認證請求，仍存在利用SSL認證頁面的漏洞掃描、注入攻擊等風險。B、缺少接入終端全周期安全檢測手段，針對BYOD終端缺少輕量、靈活的安全檢測手段。缺少業(yè)務訪問全周期的檢測能

力，接入時候安全可信，不代表訪問業(yè)務過程一直是安全可信的。C、訪問權限固化，使用靜態(tài)訪問權限，認證通過后業(yè)務訪問權限不會進行調整默認接入內網等于進入"“安全地帶"D、使用體驗效果良好，同時提供極簡的運維方式，傳統(tǒng)SSL方案中客戶端接入VPN時不需要安裝客戶端插件。答案：D34.【atrust】以下關于流量身份化的功能說明中，說法錯誤的是?A、基于『身·份』做訪問控制B、基于組織架構、崗位、用戶等角度對用戶進行應用授權C、ACL跟隨用戶，實現『業(yè)務隨行』，不受區(qū)域位置限制，釋放生產力D、流量身份化依賴IP，形成了對地理位置的限制答案：D35.【atrust】零信任aTrust自適應場景中，若管理員開啟了二次認證，同時開啟了免二次認證和一鍵上線，未配置安全規(guī)則，下列說法錯誤的是?A、用戶登錄時，不論環(huán)境是怎樣的，都會免除二次認證，并能實現─鍵免密登錄B、用戶登錄，若終端滿足免二次認證的條件，但不滿足一鍵上線的條件，那么用戶能實現的效果為登錄免二次認證，但無法實現一鍵免密上線C、用戶登錄，若終端滿足免二次認證的條件和一鍵上線的條件，那么用戶在登錄時可只需要輸入一次賬號密碼即可;用戶退出客戶端/電腦關機/重啟后，重新再次打開aTrust客戶端可實現一鍵免密登錄

D﹒用戶輸入主認證后，客戶端就會上報終端環(huán)境給服務端，服務器根據上報的信息來決定用戶是否需要免除二次認證;用戶在退出客戶端后，客戶端會檢查終端終端環(huán)境，上報服務端，一次來決定用戶退出是否需要記住登錄信息答案：A36.【atrust】零信任aTrust替換SSLVPN場景下列說法正確的是A、支持將SSLVPN設備的所有配置導入到零信任aTrust設備B、只允許將SSLVPN的用戶、用戶組導入零信任aTrust設備C、允許將SSLVPN的用戶、用戶組、角色、應用和應用組之間的關聯關系導入至零信任aTrust設備D、SSLVPN設備導入零信任aTrust設備，不受版本的限制答案：C37.【atrust】以下認證功能，哪些不是屬于aTrust支持的功能A、CAS票據認證B、OAuth2票據認證C、SAML票據認證D、HTTP(S)驗證碼認證答案：C38.【atrust】下列關于移動端應用封裝接入說法不正確的是A、當aTrust網頁版應用商店的認證模式為"無需認證"時，任何網絡可達的終端均可訪問aTrust應用商店，存在一定的泄露風險B、應用需要關聯用戶后，用戶才能在網頁版應用商店看到該應用，但即使網頁版應用商店的認證方式為“"無需認證"時，也需要將應用發(fā)布給至少一個用戶（任意用戶均可)，方可確保該應用出現在aTrust應用商店C、新增自動封裝應用時，默認選擇標準化封裝，只有做了定制的情況下才選擇定制化封并填寫封裝單號D、設備未在特性中心開啟UEM特性時，UEM菜單也能在頁面顯示。答案：D39.【aTrust】關于aTrust設備集群，下列說法錯誤的是?A、控制中心支持主從集群和主備集群B、綜合網關只支持主從集群C、代理網關支持主從集群和主備集群D、控制中心、代理網關和綜合網關都支持主從集群答案：A40.【atrust】aTrust部署完成后，你發(fā)現控制臺—直登陸不上，下列說法錯誤的是A、檢查PC到設備的443端口是否能夠通B、檢查登陸的地址是不是使用的4433端口C、檢查使用的賬號密碼是不是admin/SangforSDP1220D、檢查設備的IP地址是否有配置錯誤答案：A41.【atrust】以下提供深信服零信任aTrust訪問隧道資源數據流程順序，以下選項中的訪問順序正確的是?(1）雙擊打開aTrust客戶端，輸入接入地址;

(2）登錄aTrust客戶端，進行身份認證;(3)控制中心驗證用戶身份的合法性;

(4)認證成功后，發(fā)起隧道資源訪問，aTrust客戶端與代理網關建立隧道連接;(5)隧道連接建立成功，代理網關基于連接會話中token信息進行鑒權;

(6)鑒權成功后，代理網關進行請求轉發(fā);

(7)業(yè)務系統(tǒng)返回請求結果，代理網關返回給終端，完成訪問A、1-2-3-4-5-6-7B、1-3-4-5-2-6-7C、1-4-3-2-5-6-7D、1-2-3-6-4-5-7答案：A42.【atrust】零信任aTrust高校無端接入場景下，說法錯誤的是?A、客戶必須提前準備好泛域名和證書，若沒有證書則無法改寫B(tài)、需要客戶提供泛域名，若客戶使用的https訪問則必須提供證書，若不提供則無法對訪問的應用進行改寫C、需要客戶提供泛域名，若客戶訪問應用使用的是http協(xié)議，則可不需要提供證書也能實現應用的改寫D、客戶提供的泛域名必須能解析到代理網關對外的公網地址答案：A43.【atrust】客戶黃工考慮到需要保障業(yè)務連續(xù)性，需要我們設備實現高可用，你給黃大濕推薦設備集群部署，在部署本地集群時，下列操作錯誤的是?A、設備組建本地集群后，接入地址為SDPC的集群IP，需要把客戶端接入地址改成集群IP的地址，若做了端口映射，則需

修改成SDPC的集群lP映射后的地址B、SDPC和Proxy組建本地集群后，均會自動所有同步配置，無需手動操作C、SDPC組建本地集群后，Proxy加入SDPC需要填寫SDPC的集群IP加入D、Proxy本地集群默認采用的DR模式，要求Proxy本地集群節(jié)點只能是在同一局域網，不能夸局域網之間的節(jié)點進行組建答案：B44.【atrust】在虛擬化環(huán)境下部著aTrust，說法錯誤的是A、aTrust支持在阿里云、騰訊云環(huán)境下部署B(yǎng)、虛擬化環(huán)境部署好aTrust后，可以使用虛擬機直連Manage口，使用54/24的地址登陸控制臺C、虛擬化部署，設備若要授權，需要設備能訪問互聯網，通過互聯網給設備授權D、虛擬化環(huán)境部署，后臺修改網口地址后不會生成直連路由，需要手動配置答案：C45.【aTrust】關于釘釘認證，以下場景無法實現的是?A、釘釘掃碼認證登錄atrustB、釘釘APPH5微應用單點登錄(適用于web應用/隧道應用)C、釘釘APP掃碼登錄PC端aTrust和訪問內網業(yè)務(WEB應用)D、釘釘APP拉起MiniConnectAPP單點登錄(適用于隧道應用答案：B46.【atrust】下列關于安全加固場景關于三防護說法不正確的是A、安全加固場景中賬號安全是要從多因素認證+密碼安全防護+防爆破+行為安全(基于終端、地點、時間)多個方面來行防護B、終端安全是從基礎終端安全(準入/桌管/殺毒)+進程安全+網絡隔離+終端數據防泄露多個方面來進行防護。C、SDP設備安全是從端口安全(端口隱藏)+中間件/框架安全(越少、越簡單就越安全，防漏洞)認證接口安全(防繞過)API接口參數安全(參數防滲透)+API暴露面安全(最小化白名單，防攻擊)+API邏輯安全(防越權)+源碼安全(SDLE計)多個方面來提升D、訪問安全是從訪問控制+權限控制+增強認證(基于訪問、權限控制及處置)多方面進行安全加固答案：D47.【atrust】客戶黃工之前有使用我們的SSLVPN設備，現在了解了零信任后，想使用aTrust替換SSLVPN，你去實施的時候下列操作錯誤的是?A、客戶設備是7.1版本的SSL設備，可以直接將配置文件導入aTrust設備中B、導入SSL的配置可以導入用戶、用戶組、資源、資源組、角色、認證策略C、導入SSL的配置需要在控制中心和代理網關分別導入D、使用全新的域名和端口或公網IP和端口接入aTrust是替換SSL最容易回退的方案答案：A48.【atrust】下列關于UEM沙箱功能，說法錯誤的是?A、沙箱功能支持Win7、Win8、Win10和MacOS系統(tǒng)B、開啟沙箱功能后，訪問隧道應用只能在沙箱內訪問C、開啟沙箱功能后，訪問Web應用無影響。D、開啟沙箱功能后，PC安裝UEM組件后必須要重啟計算機才能正常使用答案：A49.【atrust】高校場景下，用戶對接了統(tǒng)一身份認證平臺，關于授權相關下列說法錯誤的是A、aTrust控制中心對接統(tǒng)一身份認證平臺的，若認證服務器提供LDAPIAD域這類協(xié)議，不需要將LDAPIAD域服務器的用

戶信息同步到aTrust本地，也能對組織架構和用戶做精細化授權。B、aTrust對接統(tǒng)一身份認證平臺，客戶沒有提供用戶同步接口，但客戶想要對不同的組做授權。那么我們可以在aTrsut控制中心創(chuàng)建一個自定義本地用戶目錄，登錄設置選擇<根據認證時解析的組織架構和群組信息獲取授權和策略>來實現C、用戶沒有同步用戶的接口，若選擇<根據認證時解析的組織架構和群組信息獲取授權和策略>來授權，則需要在aTrust本地創(chuàng)建與認證服務器相同的組織架構信息，再對組織架構做授權，那么用戶上線后就可以具備組織架構的資源訪問權限。D、若客戶有特殊的應用想要單獨發(fā)布和單獨授權給特定人員，那么可將該應用發(fā)布為web泛域名資源或隧道資源，并授權給用戶。答案：A50.【atrust】關于aTrust與SSLVPN的功能對比，下列說法錯誤的是A、aTrust應用分為兩種，分別是隧道應用和web應用。SSLVPN分為L3VPN/TCP/WEBVPN資源B、SSLVPN支持發(fā)布長鏈接，aTrust支持短連接和長鏈接的發(fā)布C、aTrust發(fā)布WEB資源時，可以不安裝客戶端。SSLVPN發(fā)布WEBVPN時可以不需要安裝客戶端D、aTrust支持發(fā)布Web資源免客戶端的功能，而SSLVPN接入必須使用客戶端答案：D51.【atrust】零信任aTrust自適應場景中，若管理員開啟了豁免規(guī)則(即免二次認證和一鍵上線)，同時還開啟了安全規(guī)則，下列說法錯誤的是?A、用戶登錄上線，環(huán)境滿足了豁免規(guī)則和安全規(guī)則的條件，那么用戶登錄需要進行1次認證B、用戶登錄上線，環(huán)境不滿足豁免規(guī)則的條件，但滿足安全規(guī)則的條件，那么用戶登錄需要進行3次認證C、用戶登錄上線，環(huán)境滿足了一鍵上線的條件和安全規(guī)則的條件;那么首次登錄時需要進行2次認證，退出客戶端后再次

登錄aTrust，則不可實現免密上線，這是因為免密上線規(guī)則優(yōu)先與安全規(guī)則D、用戶登錄上線，終端環(huán)境不滿足豁免規(guī)則和安全規(guī)則，那么用戶登錄需要進行2次認證答案：A52.【atrust】客戶黃工發(fā)布了門戶網站oa.sangfor.的隧道資源，終端用戶左大美女訪問該門戶網站的時候發(fā)現無法打開列排查方法正確的是?A、在代理網關設備ping—下域名，查看代理網關是否能解析，若能解析可能是網絡或服務器問題B、檢查終端PC上是否生成門戶網站內網IP的路由，下一跳為虛擬網卡的IP，若未生成，檢查是否有給左大美女的用)

配該應用，或終端環(huán)境問題導致，再進—步排查C、在終端PC上檢查域名是否正常解析為內網真實IP地址，若不能，更換PC的DNS服務器為內網DNSD、在終端電腦上teInet門戶網站的域名,發(fā)現無法正常通，說明設備故障了答案：A53.【atrust】下列關于安全加固場景關于4個閉環(huán)能力說法不正確的是A、事前-安全加固:主要包括管理員安全配置檢測用戶安全配置檢測，設備自身巡檢不在安全加固范圍內，屬于日常運維。B、事中-持續(xù)運營:查看賬號變更，異常登錄，風險進程識別和攻擊IP的巡檢信息展示，根據展示的信息和處理建議對其進程持續(xù)的安全運營，保障設備安全檢C、事后-攻擊溯源:攻擊溯源，FW，態(tài)勢感知和安全運營平臺等方式進行聯動，配合零信任跨設備查詢日志的高級功能，進行檢索篩選，獲取關鍵數據進行分析。同時配合零信任可信應用采集功能，識別攻擊進程/木馬/攻擊路徑等D、事后-快速補丁更新:快速推出補丁、緊急補丁推送答案：A54.atrust一個風和日麗的一天，客戶call你去上架設備，到達客戶處，客戶給你aTrust的硬件設備，以下區(qū)別aTrust設備類型錯誤的是?A、aTrust設備型號以C結尾的是控制中心設備B、aTrust設備型號以G結尾的是代理網關設備C、aTrust設備型號以M結尾的是綜合網關設備D、aTrust-ONE結尾的設備型號是綜合網關設備答案：D55.【atrust】以下關于終端環(huán)境檢測與可信應用的相關說法，錯誤的是?A、通過終端環(huán)境檢測與準入功能強制終端執(zhí)行企業(yè)設定的終端安全基線，是強有力的抓手工具B、終端環(huán)境檢測與準入可設置相應的安全基線，當終端滿足對應的基線條件時，才允許終端訪問業(yè)務系統(tǒng)。比如:1要求

終端必需打齊操作系統(tǒng)補丁才允許訪問CIS應用;要求終端必需加入域控、必須在內網才允許訪問財務系統(tǒng)C、針對不可信應用，可及時發(fā)現和阻止不可信應用訪問業(yè)務服務器，有效防止終端失陷感染業(yè)務服務器D、對于atrust采集到的終端應用，管理員無法手動設置此應用為可信或者不可信，只能通過atrust控制中心自行進行判斷答案：D56.【aTrust】關于aTrust設備，組建集群時的要求，下列說法錯誤的是?A、設備組集群必須滿足cpu/內存/網口數保持—致B、設備組集群必須滿足設備版本，定制包和補丁包—致C、設備組集群，授權類型必須保持一致(基礎授權不能和高級授權組集群)D、硬件和虛擬化可組集群，實現設備高可靠性和高冗余性答案：D57.【atrust】一天，你到客戶黃工處測試aTrust，測試過程中，你給黃工介紹了在Windows下的aTrust客戶端使用，黃工問你支不支持手機端接入，下列你給客戶介紹移動端aTrustAPP說法錯誤的是?A、移動端APP支持iOS和AndroidB、移動端APP支持無流量自動注銷的功能，超時會自動注銷移動端APP，下次訪問需要重新登錄C、手機如果安裝了aTrustAPP，可以使用aTrustAPP掃碼接入，使用手機的瀏覽器訪問aTrust也可以實現快捷拉起aTrust

APP登錄范根D、手機端APP支持SPA、上線準入策略、安全基線等功能，也支持二次認證答案：B58.【atrust】針對零信任aTrust接入場景描述，下列說法錯誤的是?A、遠程辦公接入場景是零信任aTrust的主打場景B、遠程辦公接入場