網(wǎng)安練習(xí)2附有答案

網(wǎng)安練習(xí)2[復(fù)制]1．H3CSSLVPN通過那些因素綜合確定用戶可以合法訪問的網(wǎng)絡(luò)資源?（）*A.安全策略(正確答案)B.用戶身份(正確答案)C.主機(jī)檢查結(jié)果(正確答案)D.認(rèn)證方式2.數(shù)字簽名對應(yīng)于我們生活中的手寫簽名,但它和手寫簽名也存在一些差別下列說法中,正確的有。（）*A.數(shù)字簽名中簽,和消息是分開的,需要一種方法將簽名和消息綁定在一起,而在傳統(tǒng)的手寫簽名中簽名是被簽名消息的一部分(正確答案)B.數(shù)字簽名和手寫簽名都具有法律效力,都是重要的認(rèn)證手段(正確答案)C.數(shù)字簽名只有接受者才可能對簽名進(jìn)行驗(yàn)證,而手寫簽名可以接受任何人的公開驗(yàn)證D.數(shù)字簽名和手寫簽名樣,備獨(dú)無亡的特性,既無法被修改也無法被復(fù)制3.下列哪些交換模式是在IKE協(xié)商的第二階段存在的?（）[單選題]*A.主模式B.野蠻模式C.快速模式(正確答案)D.普通模式4.L2TP協(xié)議是承載在UDP協(xié)議之上的,數(shù)據(jù)包的封裝過程為。（）[單選題]*A.私有IP->L2TP->UDP->PPP->公有IPB.私有IP->PPP->L2TP->UDP->公有IP(正確答案)C.私有IP->PPP->UDP->L2TP->公有IPD.私有IP->L2TP->PPP->UDP->公有1P5.SSL協(xié)議支持的塊加密算法有。（）*A.3DES(正確答案)B.DES(正確答案)C.AES(正確答案)D.RC46.下列關(guān)于GRE穿越NAT的說法正確的是。（）*A.對于基于端口或協(xié)議的NAT,即NAPT來說,標(biāo)準(zhǔn)GRE協(xié)議報(bào)文可以正常穿越,且可以區(qū)分相同源地址發(fā)起的不同GRE隧道。B.普通的源(目的地址作轉(zhuǎn)化的NAT,標(biāo)準(zhǔn)GRE封裝協(xié)議報(bào)文不可以正常穿越。(正確答案)C.對于基于端口或協(xié)議的NAT,即NAPT來說,NGRE可以通過Key選項(xiàng)來區(qū)分相同源地址發(fā)起的不同GRE隧道。(正確答案)D.對于基于端口或協(xié)議的NAT,即NAPT來說,GRE可以通過SequenceNumber選項(xiàng)來區(qū)分相同源地址發(fā)起的不同GRE隧道答案解析：如果是多選就選BC，如果是單選就選C）7．對于消息摘要的描述，正確的有。（）*A.相同的消息一定會(huì)產(chǎn)生相同的摘要(正確答案)B.不同的消息不會(huì)產(chǎn)生相同的摘要(正確答案)C.即使消息相同，定會(huì)產(chǎn)生不同的摘要D.摘要是隨機(jī)生成的，所以可能長度發(fā)生變化答案解析：章節(jié)38.L2TP建立隧道時(shí)使用的消息有。（）*A.SCCRP(正確答案)B.SCCRQ(正確答案)C.ICRQD.ICRP9.在下列哪種密碼應(yīng)用中,我們是使用公鑰加密、私鑰解密?（）[單選題]*A.非對稱密碼(正確答案)B.對稱密碼C.數(shù)字簽名D.DH交換10.關(guān)于數(shù)字證書的說法,正確的是。（）*A.數(shù)字證書就是我們網(wǎng)絡(luò)身份證,它提供了證明自己身份和識別對方身份的功能(正確答案)B.數(shù)字證書是由CA來頒發(fā)的(正確答案)C.數(shù)字證書將個(gè)人私鑰和個(gè)人身份進(jìn)行了綁定D.數(shù)字證書一旦生成,將永久有效11.下列關(guān)于L2TP的說法正確的是。（）[單選題]*A.用戶和LAC之間會(huì)進(jìn)行協(xié)商以獲取IP地址B.在LAC上會(huì)根接入用戶的PPP驗(yàn)證信息進(jìn)行驗(yàn)證,以確定是否是L2tp的用戶以及用戶屬于哪個(gè)L2TP組，隨后LAC會(huì)向相應(yīng)的LNS發(fā)起建立隧道的請求。(正確答案)C.隨道建立后,LAC與用戶相連接的PCP會(huì)變?yōu)閁P狀態(tài)D.CHAP驗(yàn)證只能在用戶端和LNS端進(jìn)行12.DES是最著名的對稱密碼算法,其屬于分組密碼,明文分組的位數(shù)為。（）[單選題]*A.64(正確答案)B.56C.128D.25613.網(wǎng)絡(luò)通信對安全性的要求包括。（）*A.完整性(正確答案)B.私密性(正確答案)C.可控性D.身份驗(yàn)證(正確答案)答案解析：其實(shí)我覺得C也是對的，但教材沒有講14.下列關(guān)于SSLVPN的說法,正確的是。（）*A.SSLVPN可以對傳輸?shù)臄?shù)據(jù)進(jìn)行加密(正確答案)B.SSLVPNI支持對客戶端身份的驗(yàn)證(正確答案)C.SSLVPN支持雙因子認(rèn)證(正確答案)D.SSLVPN可以保證傳輸數(shù)據(jù)的完整性(正確答案)15.下列關(guān)于證書機(jī)構(gòu)的說法中,正確的是。（）*A.證書注冊中心(RA)負(fù)責(zé)證書的生成工作B.數(shù)字證書的生成和維護(hù)過程中一般需要證書授權(quán)中心和證書注冊中心兩個(gè)機(jī)構(gòu)(正確答案)C.證書授權(quán)中心(CA)負(fù)責(zé)證書的生成工作(正確答案)D.證書授權(quán)中心按照層次結(jié)構(gòu)進(jìn)行(正確答案)答案解析：章節(jié):章節(jié)316.工作數(shù)字簽名算法和哈希函數(shù)的關(guān)系是。（）[單選題]*A.都是用來簽名的算法B.都是用來進(jìn)行加密的算法C.哈希函數(shù)濟(jì)生消息摘要,而數(shù)字簽名算法對消息摘要進(jìn)行加密(正確答案)D.數(shù)字簽名對消息進(jìn)行簽名,然后由哈希函數(shù)產(chǎn)生摘要17．IPsec的優(yōu)點(diǎn)有。（）*A.數(shù)據(jù)完整性(Dataintergrity）(正確答案)B.數(shù)據(jù)機(jī)密性(Conidentiality)(正確答案)C.身份驗(yàn)證(DataAuthentication)(正確答案)D.抗DDos（DistributedDenyofService）18.SSL握手層包括哪些協(xié)議?（）*A.告警協(xié)議(正確答案)B.握手協(xié)議(正確答案)C.密鑰改變協(xié)議(正確答案)D.會(huì)話保持協(xié)議19.下列關(guān)于加密和解密的說法,正確的是。（）[單選題]*A.將密文解碼為明文的過程稱之為解密,它是加密的相反過程(正確答案)B.加密和解密是互逆的兩個(gè)過程,因此加解密的密鑰需要相同C.一般來講,加密比解密要消耗更多的設(shè)備性能D.密碼算法的安全性不僅和密鑰相關(guān),也和加解密算法相關(guān),因此算法不能公開20.SSL協(xié)議向（）提供端到端的、有連接的加密傳輸服務(wù)。[單選題]*A.傳輸層B.應(yīng)用層(正確答案)C.網(wǎng)絡(luò)層D.數(shù)據(jù)鏈路層21.下列VPN中,能單獨(dú)提供數(shù)據(jù)加密特性的有。（）*A.IPSECVPN(正確答案)B.L2TPVPNC.SSLVPN(正確答案)D.GREVPN22.如下圖所示的網(wǎng)絡(luò)中,RTB對RTA發(fā)起IPSec連接,有關(guān)NAT穿越描述正確的是。（）[單選題]*A.IPSec隧道兩端不啟用IKE的情況下亦能實(shí)現(xiàn)NAT穿越B.通過將IPsec報(bào)文封裝在UDP1701端協(xié)議報(bào)文中實(shí)現(xiàn)IPSec的NAT穿越C.RTA在主模式情況下不能實(shí)現(xiàn)NAT穿越D.NAT網(wǎng)關(guān)會(huì)修改UDP報(bào)文頭,IPSec報(bào)文的IP頭(正確答案)答案解析：(以前主模式不支持穿越，但現(xiàn)在是支持的）23.SSL協(xié)議支持的流加密算法包括。（）[單選題]*A.3DESB.DESC.AESD.RC4(正確答案)24.當(dāng)出現(xiàn)大量VPN需求時(shí)，可以引導(dǎo)那些產(chǎn)品？（）*A.SecPath系列防火墻(正確答案)B.SecPath系列VPN(正確答案)C.H3CIPS(正確答案)D.SR系列路由器25.下面關(guān)于L2TP的描述正確的是？（）*A.L2TP隧道傳輸PPPOE報(bào)文B.與PPP協(xié)議配合，L2TP協(xié)議支持隧道認(rèn)證和報(bào)文計(jì)費(fèi)功能(正確答案)C.與PPP協(xié)議配合，L2TP協(xié)議支持IP地址動(dòng)態(tài)分配(正確答案)D.L2TP協(xié)議不支持報(bào)文加密(正確答案)26.H3CSecpath防火墻具有那些功能，可以保證網(wǎng)絡(luò)的安全性。（）*A.訪問控制(正確答案)B.NAT轉(zhuǎn)換(正確答案)C.攻擊防范(正確答案)D.黑名單(正確答案)E.入侵防御(正確答案)答案解析：注意區(qū)分防火墻的基本功能和所有功能27.H3CSecPath防火墻的會(huì)話包含以下哪些信息？（）*A.會(huì)話發(fā)起方和響應(yīng)方IP地址及端口(正確答案)B.會(huì)話的創(chuàng)建時(shí)間(正確答案)C.會(huì)話的老化時(shí)間(正確答案)D.會(huì)話當(dāng)前所處的狀態(tài)(正確答案)答案解析：章節(jié):章節(jié)328.關(guān)于H3CNGFW安全區(qū)域說法正確的是。（）*A.防火墻默認(rèn)有五個(gè)安全區(qū)域：Management、Local、Trust、Untrust、DMZ(正確答案)B.防火墻自身所有接口都屬于Local區(qū)域(正確答案)C.非管理接口必須加入業(yè)務(wù)安全區(qū)域才能轉(zhuǎn)發(fā)數(shù)據(jù)(正確答案)D.處于同一區(qū)域內(nèi)的接口數(shù)據(jù)默認(rèn)無法互通(正確答案)29.HWTACACS協(xié)議和RADIUS協(xié)議的區(qū)別。（）*A.以上信息記住(正確答案)B.以上信息記住(正確答案)C.以上信息記住(正確答案)D.以上信息記住(正確答案)30.經(jīng)過IPSec封裝后的報(bào)文格式如下圖所示，參與驗(yàn)證算法生成驗(yàn)證字段的數(shù)據(jù)報(bào)文有哪些？（）*A.AH頭(正確答案)B.新報(bào)文頭(正確答案)C.原始報(bào)文(正確答案)D.共享秘鑰(正確答案)答案解析：AH的整體VPN報(bào)文和秘鑰一起參與驗(yàn)證計(jì)算，所以不支持NAT穿越）31.CHAP是三次握手的驗(yàn)證協(xié)議，其中第1次握手是完成。（）[單選題]*A.主驗(yàn)證方將一段隨機(jī)報(bào)文和用戶名傳遞到被驗(yàn)證方(正確答案)B.被驗(yàn)證方直接將用戶名和令傳遞給驗(yàn)證方C.被驗(yàn)證方生成段隨機(jī)報(bào)文，用自己的令對這段隨機(jī)報(bào)文進(jìn)行加密，然后與自己的用戶名一起傳遞給被驗(yàn)證方D.驗(yàn)證方將用戶名和密碼傳遞到被驗(yàn)證方32.假如Alice和Bob使用DH算法來進(jìn)行秘鑰協(xié)商，Maliory作為中間人來竊聽他們之間的通信，則以下說法中正確的是？（）*A.中間人Maliory是通過偵聽Alice和Bob協(xié)商的共享秘鑰來實(shí)現(xiàn)攻擊目的的B.DH算法天生就容易遭受中間人攻擊(正確答案)C.中間人Maliory在發(fā)起中間人攻擊時(shí)，需要分別和Alice和Bob協(xié)商出不同的共享秘鑰(正確答案)D.DH算法的安全性是基于“素因子分解難題”的33.ACG帶寬管理通道匹配規(guī)則正確的是？（）*A.在透明模式下部署QoS時(shí)，需要將線路綁定在物理接口上，綁定在橋接口上無法生效。(正確答案)B.當(dāng)父節(jié)點(diǎn)帶寬充足，而需要保障的通道帶寬未達(dá)到時(shí)，其他通道可以借用此部分空余帶寬，即低優(yōu)先級搶到上限后，中優(yōu)先級才能搶。C.當(dāng)存在N個(gè)相同優(yōu)先級搶占時(shí)，按照均分處理，每個(gè)通道平分1/N的帶寬。(正確答案)D.QoS按照樹形結(jié)構(gòu)匹配，只要某節(jié)點(diǎn)存在葉子節(jié)點(diǎn)的情況，就會(huì)繼續(xù)向下進(jìn)行查找，一旦出現(xiàn)不匹配的情況，此處將會(huì)匹配父節(jié)點(diǎn)的默認(rèn)通道進(jìn)行QoS。(正確答案)E.所有子節(jié)點(diǎn)的帶寬之和必須小于父節(jié)點(diǎn)的帶寬。(正確答案)34.H3CACG的帶寬管理功能，可以對通過設(shè)備的流量實(shí)現(xiàn)基于（）進(jìn)行精細(xì)化的管理和控制。*A.用戶／用戶組(正確答案)B.源／目的IP地址(正確答案)C.MAC地址D.服務(wù)(正確答案)E.時(shí)間(正確答案)F.應(yīng)用/應(yīng)用組(正確答案)35.IPSecVPN相比，SSLVPN具有哪些優(yōu)點(diǎn)？（）*A.SSLVPN客戶端免安裝、免維戶，易于使用(正確答案)B.SSLVPN可以根據(jù)遠(yuǎn)端主機(jī)的安全狀態(tài)實(shí)現(xiàn)動(dòng)態(tài)授權(quán)(正確答案)C.SSLVPN有很好的網(wǎng)絡(luò)連通性(正確答案)D.SSLVPN可以擁有高粒度的訪問控制(正確答案)36.在IKE協(xié)商模式中，哪種模式適合用于分支機(jī)構(gòu)采用ADSL撥號與總部建立IPSec連接。（）[單選題]*A.野蠻模式(正確答案)B.主模式C.傳輸模式D.隧道模式37.H3C防火墻的安全域有優(yōu)先級概念，上述說法是否正確。（）[單選題]*A.正確B.錯(cuò)誤(正確答案)38.H3C防火墻中，以下哪些接口必須加入到區(qū)域中才能轉(zhuǎn)發(fā)數(shù)據(jù)？（）*A.Virtual-Template(正確答案)B.物理接口(正確答案)C.LoopbackD.Dialer(正確答案)E.Vlan-interface(正確答案)F.Tunnel(正確答案)答案解析：章節(jié):章節(jié)339.關(guān)于H3C防火墻URL過濾功能，下列說法正確的有。（）*A.URL是互聯(lián)網(wǎng)上標(biāo)準(zhǔn)資源的地址(正確答案)B.URL格式為：“protocol://host[:port/path/[;parametersJ[?guery］#fragment，其中［:parameters][?query］#fragment稱為URLC.URL過濾功能是指對用戶訪問的URL進(jìn)行控制，即允許或禁止用戶訪問Web資源，達(dá)到規(guī)范用戶上網(wǎng)行為的目的(正確答案)D.URL過濾規(guī)則支持文本匹配和正則表達(dá)式匹配兩種方式，文本匹配僅能使用指定的字符串對主機(jī)進(jìn)行精確匹配。正則表達(dá)式匹配可以使用正則表達(dá)式對主機(jī)名和URL字段進(jìn)行模糊匹配(正確答案)40.ACG1000的DFI主要用來識別應(yīng)用的靜態(tài)報(bào)文特征。（）[單選題]*A.正確B.錯(cuò)誤(正確答案)答案解析：DPI主要用來識別應(yīng)用的動(dòng)態(tài)流量特征41．NAT轉(zhuǎn)換技術(shù)包括。（）*A.基于NAT方式，即地址一對一的轉(zhuǎn)換(正確答案)B.NAPT方式，即通過轉(zhuǎn)換端口實(shí)現(xiàn)地址復(fù)用(正確答案)C.EasyIP方式，即直接使用公網(wǎng)接口做NAT(正確答案)D.NATServer，寄映射內(nèi)部服務(wù)器(正確答案)42.關(guān)于H3C防火墻報(bào)文轉(zhuǎn)發(fā)流程，下列說法正確的是。（）*A.當(dāng)報(bào)文命中會(huì)活表或關(guān)聯(lián)表后，則直接查找二三層轉(zhuǎn)發(fā)表項(xiàng)后轉(zhuǎn)發(fā)(正確答案)B.若報(bào)文命中安全策略的動(dòng)作為丟棄，則直接丟棄報(bào)文，不需要?jiǎng)?chuàng)建會(huì)話表項(xiàng)(正確答案)C.對接收的報(bào)文首先判斷是否匹配當(dāng)前會(huì)話表或關(guān)聯(lián)表(正確答案)D.對接收的報(bào)文首先判因是否命中安全策略答案解析：章節(jié):章節(jié)343.H3C防火墻要么工作在二層模式，要么工作在三層模式，不能同時(shí)工作在二層和三層，以上說法正確嗎？（）[單選題]*A.正確B.錯(cuò)誤(正確答案)44.以下關(guān)于防火墻用戶說法正確的是？（）*A.接入類用戶主要是portal、sslvpn、ppp等(正確答案)B.可以通過用戶組來實(shí)現(xiàn)用戶的統(tǒng)一管理(正確答案)C.防火墻用戶分為管理類和接入類用戶(正確答案)D.管理類用戶主要有ftp、ssh、telnet、http(正確答案)45.H3C防火墻特征庫升級，支持以下幾種方式。（）*A.手動(dòng)離線升級(正確答案)B.特征庫回滾(正確答案)C.定期自動(dòng)在線升級(正確答案)D.立即自動(dòng)在線升級(正確答案)46.在檢測到針對服務(wù)器的SYNFlood攻擊行為后，防火墻應(yīng)該可以支持選擇多種應(yīng)對攻擊的防范措施，主要包括連接限制技術(shù)和連接代理技術(shù)，其中屬于連接限制技術(shù)的是。（）*A.單位時(shí)間內(nèi)客戶端發(fā)起的新建連接請求數(shù)超過指定閾值，則認(rèn)為服務(wù)器遭受了SYSFlood攻擊(正確答案)B.通過對正常TCP新建連接的協(xié)商報(bào)文進(jìn)行處理，修改報(bào)文的序列號并使其攜帶認(rèn)證信息，再通過驗(yàn)證客戶端回應(yīng)的協(xié)商報(bào)文中攜帶的信息進(jìn)行報(bào)文有效性確認(rèn)。C.客戶端發(fā)起的TCP半開連接請求超過指定閾值，則以為服務(wù)器遭受了SYSFlood攻擊(正確答案)D.通過在新建連接的協(xié)商報(bào)文中攜帶認(rèn)證信息，在通過驗(yàn)證客戶端回應(yīng)的協(xié)商報(bào)文中攜帶的信息來進(jìn)行信息分析。答案解析：BD應(yīng)該屬于連接代理技術(shù)，他們使用認(rèn)證信息47.H3C防火墻安全策略規(guī)則可以基于以下哪些參數(shù)進(jìn)行匹配？（）*A.目的IP地址(正確答案)B.應(yīng)用/應(yīng)用組(正確答案)C.服務(wù)(正確答案)D.用戶/用戶組(正確答案)E.目的安全域(正確答案)F.源安全域(正確答案)G.源IP地址(正確答案)H.VRF(正確答案)48.H3CIPS功能可以對業(yè)務(wù)流量進(jìn)行以下那些缺省動(dòng)作。（）

*A.黑名單(正確答案)B.丟棄(正確答案)C.允許(正確答案)D.抓包E.生成日志F.重置(正確答案)49.以下哪些配置可以實(shí)現(xiàn)telnet用戶的AAA認(rèn)證。（）[單選題]*A.[Device-line-console0]authentication-modeschemeB.[Device-line-vty0-63]authentication-modescheme(正確答案)C.[Device-line-vty0-63]authentication-modenoneD.[Device-line-vty0-63]authentication-modelocal50.NATALG技術(shù)可以解決所有多通道應(yīng)用之間端到端的通信問題。以上說法是否正確。（）[單選題]*A.正確B.錯(cuò)誤(正確答案)51.在防火前上使用命令displaynatall有如下信息：基于以上信息可以得出結(jié)論是：。（）[單選題]*A.接口的動(dòng)態(tài)NAT沒有配置ACL限制B.NAT地址池1中有4個(gè)地址C.NAT地址池中有2個(gè)地址(正確答案)D.當(dāng)前設(shè)備上有1個(gè)地址池答案解析：(A和D不確認(rèn)，注意看題目的提示）52.互聯(lián)網(wǎng)中常見的網(wǎng)絡(luò)安全威脅方式分為。（）*A.主動(dòng)攻擊(正確答案)B.平面攻擊C.物理攻擊(正確答案)D.立體攻擊53.H3CACG產(chǎn)品日志信息可以輸出到不同的目的地，下列說法正確的是。（）*A.最大可以配置3個(gè)日志服務(wù)器，同時(shí)發(fā)送3份日志，實(shí)現(xiàn)互為備份(正確答案)B.和第三方日志服務(wù)器配合時(shí)，建議啟用日志加密功能，防止在傳輸過程中泄露信息(正確答案)C.默認(rèn)情況下，系統(tǒng)將日志記錄在本地?cái)?shù)據(jù)庫(正確答案)D.系統(tǒng)可以將日志發(fā)送給日志服務(wù)器，推薦使用userlog方式，效率更高。(正確答案)54.在防火墻上配置動(dòng)態(tài)NAT使用命令displaynatsessionverbose有如下信息。從設(shè)備輸出可確定的是：（）[單選題]*A.設(shè)備上配置的是NO-PAT方式的動(dòng)態(tài)NAT(正確答案)B.動(dòng)態(tài)NAT的配置下發(fā)在G1/0/0口上C.可以ping通D.地址池中只有1個(gè)地址55.以下哪些配置授權(quán)給用戶SSLVPN的登陸權(quán)限？（）*A.[device-luser-manage-test]service-typesslvpnB.[device-luser-network-test]service-typesslvpn(正確答案)C.[device]local-usertestclassmansgeD.[device]local-usertestclassnetwork(正確答案)56.地址轉(zhuǎn)換技術(shù)只能用于將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，以上說法是否正確？（）[單選題]*A.正確B.錯(cuò)誤(正確答案)57.IKEv1主模式第一階段協(xié)商的第一和第二個(gè)報(bào)文的作用是身份驗(yàn)證，從而保證了后續(xù)報(bào)文傳遞的合法性，以上說法是否正確？（）[單選題]*A.正確B.錯(cuò)誤(正確答案)58.H3C防火墻安全策略規(guī)則中，若引用DPI業(yè)務(wù)時(shí)，規(guī)則的動(dòng)作需配置為允許，以上說法是否正確？（）[單選題]*A.正確(正確答案)B.錯(cuò)誤59.利用SNCookie技術(shù)可以防范SYNFlood攻擊，關(guān)于技術(shù)原理的描述，以下說法正確的是。（）[單選題]*A..如果防火墻確認(rèn)客戶端的ACK消息合法，則模擬客戶端向服務(wù)器發(fā)送一個(gè)SYN消息進(jìn)行連接請求，同時(shí)分配TCB資源記錄此連接請求的描述信息。B.防火墻的SYNCookie技術(shù)利用ACK報(bào)文攜帶的認(rèn)證信息，對握手協(xié)商的ACK報(bào)文進(jìn)行認(rèn)證，從而避免了防火過早分配TCB資源C.客戶端發(fā)送的SYN消息經(jīng)過防火墻時(shí)，防火墻截取該消息，并模擬服務(wù)器向客戶端回應(yīng)SYNACK消息，D.客戶端收到SYN/ACK報(bào)文后向服務(wù)器發(fā)送ACK消息進(jìn)行確認(rèn)，防火墻截取這個(gè)消息后，提取該消息中的ACK序列號，并再次使用客戶端信息與加密索引計(jì)算cookie，如果計(jì)算結(jié)果與ACK序列號相符，就可以確認(rèn)發(fā)起連接請求的是一個(gè)真實(shí)客戶端(正確答案)60.以下關(guān)于IKE的說法正確的有。（）*A.具有完善的向前安全性(正確答案)B.可以穿越NAT(正確答案)C.使用UDP51端口D.使用diffie-Hellma交換(正確答案)61.在H3CACG上配置用戶策略時(shí)，新建用戶并將PC的Mac地址綁定，完成配置后發(fā)現(xiàn)PC能夠重定向到認(rèn)證頁面但是無法聯(lián)網(wǎng)，以下分析中正確的是？（）*A.由于ACG設(shè)備需要與PC二層互聯(lián)才能學(xué)習(xí)到PC的Mac地址，所以ACG與PC中間可能有三層設(shè)備(正確答案)B.ACG支持夸三層學(xué)習(xí)Mac功能，可能是netconf參數(shù)配置錯(cuò)誤C.PC能夠重定向到認(rèn)證頁面，說明設(shè)備的路由器和Ipv4策略沒問題(正確答案)D.由于綁定的Mac地址必須與PC的Mac地址一致，所以可能是因?yàn)锳CG上Mac地址配置錯(cuò)誤(正確答案)62.以下關(guān)于RADIUS認(rèn)證說法正確的是？（）*A.RADIUS最初僅是針對撥號用戶的AAA協(xié)議，后來隨著用戶接入方式的多樣化發(fā)展，RADIUS也被應(yīng)用于多種接入方式(正確答案)B.常應(yīng)用在即要求較高安全性、又允許遠(yuǎn)程用戶訪問的各種網(wǎng)絡(luò)環(huán)境中(正確答案)C.RADIUS認(rèn)證是一種分布式的客戶端/服務(wù)器結(jié)構(gòu)的信息交互協(xié)議(正確答案)D.基于TCP傳輸，端口號1812、1813分別作為認(rèn)證/授權(quán)、計(jì)費(fèi)端口63.以下關(guān)于動(dòng)態(tài)NAT說法正確的是？（）[單選題]*A.動(dòng)態(tài)NAT必須要指定地址池地址B.PAT模式中一個(gè)公網(wǎng)地址可以同時(shí)提供給多個(gè)私網(wǎng)地址使用C.動(dòng)態(tài)NAT的配置中，必須要配置ACL來指定可以進(jìn)行NAT轉(zhuǎn)換的地址(正確答案)D.所有模式的動(dòng)態(tài)NAT都支持復(fù)用公網(wǎng)地址64.關(guān)于H3C防火墻的命令視圖，以下說法正確的是。（）*A.在接口視圖下可以通過portlink-mode命令切換二三層模式(正確答案)B.配置路由應(yīng)在系統(tǒng)視圖下(正確答案)C.用戶登錄設(shè)備后，直接進(jìn)入用戶視圖D.在用戶視圖下輸入systemview命令進(jìn)入系統(tǒng)視圖(正確答案)答案解析：(防火墻需要賬號密碼）章節(jié):章節(jié)365.編號3001的ACL對應(yīng)的類型是。（）[單選題]*A.二層ACLB.七層ACLC.基本ACLD.高級ACL(正確答案)66.以下關(guān)于easyIP方式NAT配置不生效排查方法，正確的是。（）*A.檢查地址池是否正確B.檢查路由是否正常(正確答案)C.檢查NAT配置的接口是否下發(fā)正確(正確答案)D.檢查安全策略是否放通(正確答案)67.GRE協(xié)議棧如圖所示，以下說法正確的是？（）[單選題]*

A.協(xié)議B是封裝協(xié)議B.協(xié)議B是承載協(xié)議C.協(xié)議A是封裝協(xié)議D.協(xié)議A是承載協(xié)議(正確答案)解析：協(xié)議A是承載協(xié)議，GRE是封裝協(xié)議

68．下列關(guān)于L2TP的說法正確的是。（）[單選題]*A.在LAC上會(huì)根據(jù)接入用戶的PPP驗(yàn)證信息進(jìn)行驗(yàn)證,以確定是否是L2TP的用戶以及用戶屬于哪一個(gè)L2tp(正確答案)組，隨后LAC會(huì)向相應(yīng)的LNS發(fā)起建立隧道的請求B.用戶和LAC之間會(huì)進(jìn)行協(xié)商以獲取IP地址C.隧道建立后,LAC與用戶相連接口的IPCP會(huì)變?yōu)閁P狀態(tài)D.CHAP驗(yàn)證只用在用戶端和LNS端進(jìn)行69.H3CACG透明模式部署，在配置帶寬管理時(shí)，需要將線路綁定在物理接口上，綁定在橋接口上無法生效。（）[單選題]*A.錯(cuò)誤B.正確(正確答案)70.IKE野蠻模式下，IKE協(xié)商發(fā)起者發(fā)送第一個(gè)消息中包含。（）*A.DIffe-Hellman公共值(正確答案)B.散列算法(正確答案)C.驗(yàn)證方法(正確答案)D.加密算法(正確答案)答案解析：章節(jié):章節(jié)371.以下關(guān)于HWTACACS認(rèn)證說法正確的是。（）*A.采用UDP傳輸，網(wǎng)絡(luò)傳輸效率更高。B.該協(xié)議與PADIUS協(xié)議類似，采用客戶端/服務(wù)器模式實(shí)現(xiàn)NAS與HWTACACS服務(wù)器之間的通信。(正確答案)C.主要用于PPP和VPDN接入用戶及終端用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)。(正確答案)D.HWTACACS（HWTerminalAccessControllerAccessControlSystem,HW終端訪問控制器控制系統(tǒng)協(xié)議）(正確答案)72.有關(guān)GRE的特點(diǎn)描述正確有。（）*A.GRE不提供數(shù)據(jù)加密、身份驗(yàn)證等安全功能。(正確答案)B.GRE協(xié)議不支持封裝組播報(bào)文。C.GRE隧道支持動(dòng)態(tài)路由協(xié)議。(正確答案)D.GREVPN要求在隧道兩端上靜態(tài)配置隧道接口，不利于大規(guī)模部署。(正確答案)73.包過濾ACL進(jìn)行如下配置。Aclbasic2000match-orderconfigrulepermitsource55ruledenysource0（）*A.源地址0目的地址0的報(bào)文被丟棄B.源地址目的地址的報(bào)文被丟棄C.源地址0目的地址的報(bào)文允許通過(正確答案)D.源地址目的地址的報(bào)文允許通過(正確答案)答案解析：相似的題：包過濾ACL進(jìn)行如下配置:Aclbasic2000match-orderautorulepermitsource55ruledenysource0A源地址0目的地址0的報(bào)文被丟棄B源地址目的地址的報(bào)文被丟棄C源地址0目的地址的報(bào)文允許通過D源地址目的地址的報(bào)文允許通過74.以下屬于NAT技術(shù)的優(yōu)點(diǎn)的是。（）*A.在網(wǎng)絡(luò)發(fā)生變化時(shí)避免重新編址(正確答案)B.在地址重復(fù)時(shí)提供解決方案(正確答案)C.隱藏內(nèi)部服務(wù)器的真實(shí)IP地址，提高安全性(正確答案)D.增加連接英特網(wǎng)的靈活性(正確答案)E.節(jié)省合法的注冊地址(正確答案)答案解析：75.SSL協(xié)議的通訊實(shí)體在層次劃分上分為以下哪幾個(gè)層次?（）*A.應(yīng)用層B.會(huì)話層C.握手層(正確答案)D.記錄層(正確答案)答案解析：章節(jié):章節(jié)376.如何防范Smurf攻擊?（）*A.檢查ICMP請求報(bào)文的目的地址是否為子網(wǎng)地址，是則丟棄(正確答案)B.檢查ICMP請求報(bào)文的源地址是否為子網(wǎng)地址，是則丟棄C.檢查ICMP請求報(bào)文的目的地址是否為廣播地址，是則丟棄(正確答案)D.檢查ICMP請求報(bào)文的源地址是否為廣播地址，是則丟棄答案解析：章節(jié):章節(jié)377.下述攻擊手段中，不屬于DOS攻擊的是。C)[單選題]*A.Fraggle(正確答案)B.Land攻擊C.跨站攻擊D.Smurf攻擊78.關(guān)于H3C防火墻的特征庫功能說法正確的有。BC)*A.不支持特征庫回滾B.升級特征庫需要license授權(quán)(正確答案)C.支持自定義特征(正確答案)D.不支持自動(dòng)更新特征庫79.關(guān)于H3C防火墻License,以下說法正確的是。CD)[單選題]*A.正式License過期后不能卸載、壓縮License存儲(chǔ)區(qū)可以釋放License存儲(chǔ)空間。執(zhí)行壓縮操作時(shí).系統(tǒng)會(huì)自動(dòng)將已經(jīng)過期的或者卸載的License信息刪除，并修改DID.(正確答案)B.設(shè)備出現(xiàn)硬件故障后,可以將臨時(shí)License遷移至其他設(shè)備繼續(xù)使用。C.激活License時(shí)，必須提供設(shè)備的DID文件D.License的有效期分為永久(Permanent)和絕對時(shí)間(Daterestricted)兩種，根據(jù)發(fā)布渠道不同分為臨時(shí)的(Trial和正式的(Formal)80.以下屬于網(wǎng)絡(luò)安全威脅的有。ABCD)[單選題]*A.IP地址欺騙(正確答案)B.DoS/DDOS攻擊C.掃描攻擊D.畸形報(bào)文攻擊81.H3C防火墻在接口上應(yīng)用包過濾，方向可以選擇Inbound和Outbound。（）[單選題]*A.錯(cuò)誤B.正確(正確答案)正確答案:B82.在以下L2TP組網(wǎng)中，假設(shè)LAC與LNS都已在公網(wǎng)上.如果庭道建立失敗，那么可能的原因有。（）*A.LNS端沒有設(shè)置可以接收該感道對端的L2TP組。(正確答案)B.LNS端設(shè)置的用戶名與密碼有誤。(正確答案)C.隧道驗(yàn)證不通過。(正確答案)D.在LAC端。LNS地址設(shè)置不正確。(正確答案)83.在H3CACG上配置日志服務(wù)器后，發(fā)現(xiàn)管理平臺上無法接收到任何日志，以下分析正確的有。（）*A.管理平臺日志接收端目可能被操作系統(tǒng)其他軟件占用。(正確答案)B.出于日志顯考慮，系統(tǒng)在設(shè)計(jì)時(shí)，啟用日志服務(wù)器功能后,還需要配置日志過濾，選擇日志級別，否則低級別的日志不會(huì)發(fā)送(正確答案)C.可以在管理平臺上使用Wireshark抓包工具，確認(rèn)日志是否已經(jīng)發(fā)送過來。(正確答案)D.ACG默認(rèn)使用30514端發(fā)送日志，可能中間存在防火墻，未放通端口。(正確答案)84.創(chuàng)建安全域后，需要給安全域添加成員。下列哪些可以作為成員加入安全域。（）*A.二層接口和VLAN(正確答案)B.三層以太網(wǎng)子接口(正確答案)C.三層邏輯接口(正確答案)D.三層以太網(wǎng)接口(正確答案)85.利用SsteReset技術(shù)可以防范SYNFood攻擊.關(guān)于技術(shù)原理的描述，以下說法正確的是。（）*A.一般而言，應(yīng)用服務(wù)器不會(huì)主動(dòng)對客戶端發(fā)起惡意連接，因此服務(wù)器響應(yīng)客戶端的報(bào)文可以不需要經(jīng)過防火墻的檢查。防火墻僅需要對客戶端發(fā)往應(yīng)用服務(wù)器的報(bào)文進(jìn)行實(shí)時(shí)監(jiān)控。服務(wù)器響應(yīng)客戶端的報(bào)文可以根據(jù)實(shí)際需要選擇是否經(jīng)過防火墻，因此SafeReset能夠支持更靈活的組網(wǎng)方式。(正確答案)B.客戶端收到SYN/ACK后.按照協(xié)議規(guī)定向服務(wù)器回應(yīng)RST消息。防火墻中途截取這個(gè)消息后，提取消息中的序列號。并對該序列號進(jìn)行Cookie校驗(yàn)。成功通過校驗(yàn)的連接被認(rèn)為是可信的連接，防火墻會(huì)分配TCB資源記錄此連接的描述信息，而不可信連接的后續(xù)報(bào)文會(huì)被防火墻丟棄。(正確答案)C.由于防火墻僅通過對客戶端向服務(wù)器首次發(fā)起連接的報(bào)文進(jìn)行認(rèn)證，就能夠完成對客戶端到服務(wù)器的連接檢驗(yàn)而服務(wù)器向客戶端回應(yīng)的報(bào)文即使不經(jīng)過防火墻也不會(huì)影響正常的業(yè)務(wù)處理，因此SafeReset技術(shù)也稱為單向代理技術(shù)。(正確答案)D.客戶端發(fā)送的SYN消息經(jīng)過防火墻時(shí)，防火墻截取該消息，并模擬服務(wù)器向客戶端回應(yīng)SYN/ACK消息，其中，SYN/ACK消息中的ACK序列號與客戶端期望的值一致，同時(shí)攜帶Cookie值，此Cookie值是對加密索引與本次連接的客戶端信息(包括P地址、端口號)進(jìn)行加空運(yùn)算的結(jié)果。86.下列關(guān)于衡量防火墻的性能指標(biāo)說法正確的有。（）*A.并發(fā)連接數(shù)是指每秒鐘防火墻能夠處理的新建連接的數(shù)量B.時(shí)延是數(shù)據(jù)包進(jìn)入防火墻到從防火墻輸出的時(shí)間間隔(正確答案)C.新建連接數(shù)是指每秒鐘防火墻能夠同時(shí)處理的連接總數(shù)D.吞吐量需要對不同大小的數(shù)據(jù)包。不同方向的流量等進(jìn)行測試(正確答案)87.H3C防火墻防火墻版本升級過程中說法正確的有。（）*A.boot-loaderfile命令里必須帶system參數(shù)，表示指定該軟件包為系統(tǒng)軟件包B.可以通過FTP/TFTP將軟件版本文件上傳到本地(正確答案)C.執(zhí)行boot-loader命令來指定設(shè)備下次啟動(dòng)時(shí)使用的版本文件(正確答案)D.從H3C官網(wǎng)/cn/獲取軟件版本(正確答案)88.H3C防火墻設(shè)備中，訪問控制列表ACL主要應(yīng)用于。（）*A.策略路由，依據(jù)用戶制定的策略進(jìn)行路由轉(zhuǎn)發(fā)(如ACL規(guī)則等)(正確答案)B.IPSec中，用來規(guī)定觸發(fā)建立IPSec的條件(正確答案)C.NAT中，限制哪些地址需要被轉(zhuǎn)換(正確答案)D.QoS中，對數(shù)據(jù)流量進(jìn)行分類(正確答案)89.以下哪些配置可以實(shí)現(xiàn)SSH用的管理員權(quán)限