華為認證HCIE安全-H12-731考試題及答案

華為認證HCIE安全-H12-731必備考試題及答案單選題1.以下哪個功能不屬于WAF的防護功能？A、網頁防篡改B、DDoS防護C、反病毒D、CC防護參考答案：C2.在防火墻虛擬系統(tǒng)向根系統(tǒng)下的eLog輸出日志的場景中，以下關于輸出方式的描述，正確的哪項？A、不可以通過手動配置將丟包日志輸出到根系統(tǒng)對接的eLog。B、可以手動配置將會話日志輸出到根系統(tǒng)對接的eLog。C、不可以手動配置將業(yè)務日志輸出到根系統(tǒng)對接的eLog。D、PortRange日志不能輸出到虛擬系統(tǒng)對應的eLog,只能輸出到根系統(tǒng)對接的eLog。參考答案：B3.關于Radius的認證流程，有以下幾個步驟：1，網絡設備中的Radius客戶端接收用戶名和密碼，并向Radius服務器發(fā)送認證請求；2，用戶登錄USG等網絡設備時，會將用戶名和密碼發(fā)送給Radius客戶端；3，Radius服務器接收到合法的請求后，完成認證，并把所需的用戶授權信息返回給Radius客戶端；以下哪個選項的順序是正確的？A、1-2-3B、2-1-3C、3-2-1D、2-3-1參考答案：B4.下列哪項不是華為主動安全方案的特點A、被動關聯(lián)B、關聯(lián)分析C、自適應安全架構D、持續(xù)監(jiān)控所有數(shù)據參考答案：A5.如果攻擊者使用虛假源地址發(fā)動TCPF1ood政擊,則使用以下哪種防御手段最有效?A、源驗證B、會話檢查C、載荷檢查D、指紋學習參考答案：A6.以下關于VPC內不同子網互訪情況的描述,錯誤的是哪一項?A、屬于不同安全組的虛擬機之間無法通信B、同一VPC內所有虛擬機默認都處于default安全組C、可以在default組添加新規(guī)則,允許其他安全組中的虛擬機訪問default安全組D、默認情況下不同子網之間不可以通信參考答案：D7.以下可以作為華為IPS設備判斷入侵行為依據的是哪項？A、會話表B、簽名C、路由表D、IP地址參考答案：B8.關于風險評估的描述,以下哪個選項是錯誤的?A、風險評估需要監(jiān)控體系運行。B、風險評估需要做資產收集及風險評估方法培訓。C、風險評估需要評估風險并對風險等級進行劃分。D、風險評估需要識別威脅、脆弱性、并對安全漏洞進行掃描。參考答案：A9.以下哪項不屬于信息安全標準？A、ISO27001B、ITSECC、網絡安全法D、信息安全等級保護參考答案：C10.下列哪項不能用于云數(shù)據中心東西向流量防護？A、安全策略B、虛擬系統(tǒng)C、安全組D、SNAT參考答案：D11.在考慮Web服務器安全防護時,以下選項哪些不是考慮的重點?A、是使用IIS還是Apache搭建Web服務器B、數(shù)據庫信息是否加密存儲C、Web服務器權限設置是否合理D、是否開啟FTP服務參考答案：A12.下列關于租戶云上安全操作全程可管控的描述,錯誤的是哪一項?A、預先定義風險高危操作行為,對于高危行為進行權限控制,限制低權限人員執(zhí)行高危操作B、記錄操作人員的字符（Telnet、SSH）、圖形化操作（RDP、VNC）,操作過程可國放,實現(xiàn)事后追溯和舉證C、預定義安全策略檢測所有用戶的數(shù)據,確保所有云端用戶數(shù)據的安全性。D、通過嚴格的策略限制可以訪回業(yè)務資源環(huán)境的人員,杜絕越權訪問參考答案：C13.以下關于云服務基本概念的描述,錯誤的是哪一項?A、VPC般包括計算、存儲和網絡資源B、每個VPC為—個安全域,對應于一個部門C、VDC是一個組織可使用資源的集合D、一個VPC只能屬于一個VDC參考答案：A14.在TCP/IP協(xié)議棧中,下列哪項協(xié)議工作在應用層?A、ICMPB、IGMPC、RIPD、ARP參考答案：C15.以下哪項行為不具備信息安全風險？A、連接公共WIFIB、誤操關閉不必要的主機端口C、誤操作D、重要文件不加密參考答案：B16.以下哪些選項屬于針對IPv6協(xié)議中NDP協(xié)議的攻擊手段?A、仿目路由器響應RA報文。B、DAD/NUD欺騙C、偽造NS/NA報文引流到攻擊者或者造成流量黑洞。D、偽造,篡改路由前綴信息。參考答案：D17.以下關于創(chuàng)建陷阱賬戶的描述,說法正確的是哪一項?A、創(chuàng)建一個名為Administrator的本地帳戶,并將它的權限設置成最低,加上一個超過10位的強密碼。B、創(chuàng)建一個名為Administrator的本地帳戶，并將它的權限設置成最低，加上一個低于6位的弱密碼。C、創(chuàng)建一個名為Administrator的本地帳戶，并將它的權限設置成最高，加上一個超過10位的強密碼。D、創(chuàng)建一個名為Administrator的本地帳戶，并將它的權限設置成最高,加上一個低于6位的弱密碼。參考答案：A18.下列哪一項不屬于單點登錄的實現(xiàn)方式?A、AgileController單點登錄B、RADIUS單點登錄C、AD單點登錄D、SNMP單點登錄參考答案：D19.“有權要求數(shù)據控制者修改、補充不準確/不完整的個人數(shù)據”是屬于數(shù)據主體的哪一項權限？A、訪問權B、刪除權C、更證權D、知情權參考答案：C20.關于態(tài)勢感知工作流程的描述，以下哪一項說法是錯誤的？A、態(tài)勢感知技術在數(shù)據采集階段，不僅可以收集各設備和主機的日志收集威脅信息，也可以通過采集流量檢測威脅。B、態(tài)勢感知技術不一定能檢測出APT攻擊中的某些單點攻擊C、態(tài)勢感知產品CIS支持自動到云端信譽中心查詢，其本地不需要加載信譽庫，從而節(jié)省存儲資源。D、態(tài)勢感知技術能夠展示出威脅攻擊路徑，從而上報管理員阻斷攻擊。參考答案：B21.1.鎖定目標，2.內網轉發(fā)，3.內網滲透，4.痕跡清除，5.信息收集，6.漏洞探測，7.漏洞利用，8.撰寫測試報告，以下對于滲透測試流程理解正確的是哪一項？A、1-5-6-7-2-3-4-8B、1-5-6-7-4-2-3-8C、1-5-2-3-4-6-7-8D、1-5-6-7-3-2-4-8參考答案：A22.以下選項對“后門”類的惡意代碼描述正確的是哪一項？A、通過加密文件，敲詐用戶繳納贖金B(yǎng)、消耗系統(tǒng)資源，挖取比特幣C、消耗系統(tǒng)資源，騙取流量D、具有感染設備全部操作權限的惡意代碼參考答案：D23.下列哪項標準或條例對隱私保護做了規(guī)范要求？A、信息安全等級保護B、ITSECC、GDPRD、ISO27000參考答案：C24.以下關于網絡誘捕技術的描述，錯誤的是哪一項A、網絡誘捕能夠干擾攻擊的信息收集過程，暴露攻擊者的意圖B、網絡誘捕技術在識別到攻擊事件后，能夠直接將攻擊源快速隔離，在攻擊造成破壞前阻斷威脅，保護真實系統(tǒng)C、網絡誘捕系統(tǒng)利用網絡混淆技術，通過展現(xiàn)虛假資源，欺騙網絡探測行為，從而發(fā)現(xiàn)攻擊者D、網絡誘捕的優(yōu)勢在于能夠提前防御威脅、客戶損失小參考答案：B25.下關于IPv6ACL的描述，錯誤的是哪一項?A、NGFW支持多種匹配條件,例如，按照IPv6源地址、IPv6目的地址、承載的協(xié)議類型等條件對IPv6流量進行過濾。B、對符合匹配條件的流量執(zhí)行的操作，有permit和deny兩種。C、IPv6ACL是IPv6流量匹配工具，可以將符合匹配條件的IPv6流量與其他IPv6流量區(qū)分開來。D、ACL配置完畢之后，即可生效。參考答案：D26.在安全團隊能力建設中,一般分為管理崗和技術崗,以下不屬于技術崗位關鍵職責的是哪一項?A、負責組織開展信息系統(tǒng)安全等級保護工作B、負責安全漏洞檢測和防護C、負責制定企業(yè)級的信息安全技術規(guī)劃和技術架構D、負責組織信息安全突發(fā)事件的應急處置參考答案：D27.當需要使用AH和ESP進行報文封裝時,IKE協(xié)商完成后,會建立幾個SA？A、1B、2C、3D、4參考答案：C28.下列哪種狀態(tài)表示已經成功建立？A、DownB、InitC、UpD、Admin參考答案：C29.以下哪項攻擊可以通過單點設備檢測出來？A、口令暴力破解B、加密惡意流量C、用戶權限提升D、刪除進程參考答案：A30.為實現(xiàn)云端操作可審計，需要實施以下哪一種措施。A、限制高危命令的授權，防止高危操作發(fā)生。B、嚴格控制賬號權限，防止越權操作出現(xiàn)。C、通過技術手段記錄操作人員的所有操作記錄，不管是圖形化操作還是字符類型操作（ssh、telnet）。D、部署專業(yè)的訪問控制設備，限制可操作人員的IP。參考答案：C31.繞過系統(tǒng)安全性控制而具有操作權限的是以下哪種病毒？A、惡作劇病毒B、勒索病毒C、蠕蟲D、后門病毒參考答案：D32.lPS支持的官理員登錄方式不包括以下哪一項A、TelnetB、SSHC、HTTPD、Console參考答案：A33.以下哪個選項不能體現(xiàn)APT攻擊的高級特性?A、APT攻擊遵循網絡攻擊鏈的過程B、APT攻擊中會使用零日漏洞。C、APT攻擊一般較為隱蔽,通過加密通道等方式隱藏攻擊。D、發(fā)動APT攻擊一般需具備大型組織的力量。參考答案：A34.以下關于普通用戶造成的安全風險描述,錯誤的是哪一項?A、誤操作導致運維數(shù)據庫被刪除、破壞。B、假冒用戶身份查詢、獲取數(shù)據導致數(shù)據泄露。C、用戶通過復制屏幕內容、截屏、或通過其他非法手段拷貝、下載數(shù)據庫。D、在未經授權的情況下訪問與本職工作無關的的業(yè)務系統(tǒng)。參考答案：A35.以下哪一項不屬于防火墻的業(yè)務日志？A、威脅日志B、審計日志C、丟包日志D、策略命中日志參考答案：C36.作為網絡管理員，如果想通過查看WAF上的日志了解Web攻擊的安全事件，需要查看以下哪些日志？A、操作日志B、應用防護日志C、防篡改日志D、系統(tǒng)日志參考答案：B37.以下關于安全管理關系的描述，不正確的是哪一項？A、安全與質量包涵B、安全與生產統(tǒng)一C、安全與危險并存D、安全與管理兼顧參考答案：D38.以下關于URL過濾和DNS過濾的描述,錯誤的是哪一項?A、DNS過濾對設備性能影響更大。B、DNS過濾是在域名解析階段進行控制。C、URL過濾是在發(fā)起HTTP/HTTPS的URL請求階段進行控制。D、DNS過濾能夠對該域名對應的所有服務進行控制。參考答案：A39.如果能夠成功訪問.huawei.的網站資源，不會涉及到以下那個協(xié)議A、TCPB、TelnetC、HTTPD、DNS參考答案：B40.以下對于安全目標職責分離原因的描述，正確的是哪一項？A、幫助公司員工做他們擅長的工作。B、為了避免人員合謀損害公司利益。C、避免安全人員個人的更改波及到其他人。D、可以幫助提升員工的工作效率。參考答案：C41.對于DDoS攻擊產生的影響描述不正確的是哪一項?A、造成網絡病毒泛濫B、使防火墻設備成為網絡瓶頸C、造成服務器不能正常提供服務D、造成網絡擁塞參考答案：A42.以下關于ECA檢測方案的指述，錯誤的是哪一項？A、探針主要負責明文流量的特征提取B、ECA探針提取網絡流量中的特征數(shù)據，包括TLS握手信息、TCP統(tǒng)計信息、DNS/HTTP相關信息，統(tǒng)一上報給CIS系統(tǒng)C、ECA檢測方案分為ECA探針和ECA分析系統(tǒng)D、分析系統(tǒng)會結合檢測模型檢測發(fā)現(xiàn)惡意流量參考答案：A43.以下哪個選項不會造成失效的身份驗證威脅?A、利用SQL注入繞過密碼登錄B、Web服務器使用默認的80端口提供服務C、URL中攜帶SesionIDD、用戶密碼沒有加密存儲。參考答案：B44.華為HiSec方案不可以實現(xiàn)下列哪項功能？A、解密被加密的流量B、安全協(xié)防C、檢測加密流量D、安全服務化參考答案：A45.以下關于IPv6無狀態(tài)自動配置地址的描述,錯誤的是哪一項?A、主機接入網絡后可以主動發(fā)送RS報文。B、IPv6支持無狀態(tài)地址自動配置,需要結合使用諸如DHCP之類的輔助協(xié)議。C、路由器發(fā)現(xiàn)功能是IPv6地址自動配置功能的基礎,主要通過RA報文和RS報文來實現(xiàn)的。D、每臺路由器為了讓二層網絡上的主機和其他路由器知道自己的存在,定期以組播方式發(fā)送攜帶網絡配置參數(shù)的RA報文。參考答案：B46.下列哪條命在華為US6000序列防火墻中表示不限流A、no-qosB、no-carC、no-profileD、no-limit參考答案：A47.在Linux系統(tǒng)中，命令“passwd-u<用戶名>”的作用是什么？A、刪除新用戶B、創(chuàng)建新用戶C、解鎖需要恢復的賬號D、鎖定不必要的賬號參考答案：C48.以下哪個選項是用于滲透測試獲取信息的手段？A、連接開放的端口，登錄服務器B、利用漏洞對主機植入后門C、為普通用戶提取超級管理員權限D、使用工具掃描服務器開放的端口參考答案：D49.以下哪項不屬于防火墻檢測病毒的方式?A、啟發(fā)式檢測技術B、惡意域名檢測技術C、文件信譽技術D、首包檢測技術參考答案：B50.以下哪個選項是針對社會工程學的有效應對手段?A、防止信息的泄露以及控制信息的發(fā)布。B、員工在公開場合談論公司機密信息。C、做好資產管理即可,人員管理跟網絡安全無關。D、禁止向公網發(fā)布任何企業(yè)信息。參考答案：A51.以下哪種安全威脅屬于應用安全威脅?A、中間人攻擊B、用戶身份未經驗證C、病毒、木馬D、網絡入侵參考答案：C52.1.確定目標，2.內網轉發(fā)，3.內網滲透，4.痕跡清除，5.信息收集，6.漏洞探測，7.漏洞利用，8.撰寫測試報告，以下對于滲透流程理解正確的是哪一項？A、1-5-6-7-3-2-4-8B、1-5-6-7-4-2-3-8C、1-5-6-7-2-3-4-8D、1-5-2-3-4-6-7-8參考答案：C53.以下關于郵件信息收集手段的描述，不正確的是：A、搜索引擎查詢B、社工庫泄露信息查詢C、郵件用戶名字典破解D、DDOS攻擊郵件服務器參考答案：D54.下列哪一項不是eLog具備的主要功能A、態(tài)勢感知B、運維故障分析C、日志存儲D、攻擊溯源參考答案：A55.AntiDDoS設備中開啟流量統(tǒng)計功能的命令是下列哪一項？A、[Antiddos-gigabitethernet1/0/0]anti-ddosflow-checkenableB、[Antiddos-gigabitethernet1/0/0]anti-ddosflow-detectenableC、[antiddos-gigabitethernet1/0/0]anti-ddosflow-statisticenableD、Lantiddos-gigabitethernet1/0/0]anti-ddosflowenable參考答案：C56.在ISMS建立過程中,需要實施風險評估,下列哪一項不屬于風險評估的內容？A、資金評估B、資產評估C、威脅評估D、脆弱性評估參考答案：A57.訪問控制的類型不包括下列哪一項?A、物理性訪問控制B、外部訪問控制C、行政管理性訪問控制D、技術性訪問控制參考答案：B58.以下關于傳統(tǒng)運維特征的描述中,正確的是哪一項?A、訪問操作沒有嚴格限制B、風險可識別C、操作可管控D、使用嚴格的安全策略進行身份控制參考答案：A59.以下關于黑洞路由的描述，錯誤的是哪一項？A、配置目的NAT，為了防止路由環(huán)路，需要配置到轉換目的IP地址的黑洞路由。B、黑洞路由配置會消耗設備CPU處理資源。C、當NAT地址池地址與公網接口地址不在同一網段時，必須配置黑洞路由。D、黑洞路由的配置命令行：iproute-static[ip-address]NULL0。參考答案：B60.假設有一組原始數(shù)據為：“0.50”，通過隨機調換數(shù)據的位置對該數(shù)據進行脫敏，脫敏后的數(shù)據為：“0.40”此種數(shù)據脫敏方法采用的算法是下列哪一項？A、截斷B、哈希C、加噪D、置換參考答案：D61.下列哪一項不是帶寬管理的目的？A、限制帶寬B、保證連接數(shù)C、限制連接數(shù)D、保證帶寬參考答案：B62.下列哪一項不屬于AntiDDoS常規(guī)的引流回注方式？A、策略路由引流+策略路由回注B、策略路由引流+GRE回注C、BGP引流+策略路由回注D、BGP引流+GRE回注參考答案：B63.以下哪個NAT技術屬于目的NAT技術?A、Easy-ipB、NATNo-PATC、NAPTD、NATServer參考答案：D64.以下不屬于cvss評估的基礎度量指標的是那個選項？A、可用性影響B(tài)、漏洞嚴重等級C、范圍D、攻擊向量參考答案：B65.交換機的誘捕配置如下:DeceptionDeceptionenableDeceptiondetect-networkid1Deceptiondetect-networkid1Deceptiondecoydestination00以下關于該配置的描述,正確的是哪一項?A、deceptionenable應在接口下做配置B、deceptiondecoydestination用來配置誘捕探針的IP地址C、deception用來開啟設備的誘捕功能D、deceptiondetect-networkid用來配置誘捕的檢測網段參考答案：D66.以下關于日志license授權的描述，正確的是哪項?A、沙箱檢測日志包含本地沙箱和云沙箱檢測日志，云沙箱檢測日志需要License授權。B、審計日志的產生和1icense授權無關C、入侵防御日志的產生和1icense授權無關D、反病毒日志的產生和1icense授權無關參考答案：A67.在公開的數(shù)據中，等價類內敏感屬性值如果相同，則有敏感屬性披露的風險，以下哪項技術用于消除此種風險？A、態(tài)勢感知技術B、L-多樣性技術C、K-匿名技術D、數(shù)據屏蔽技術參考答案：B68.在華為用戶管理解決方案中，使用AD單點登錄時，防火墻不支持以下哪種方式獲取用戶認證通過的消息?A、防火墻監(jiān)控AD認證報文。B、AD單點登錄服務程序自動上報消息給防火墻C、安裝單點登錄服務程序接收PC的消息D、安裝單點登錄服務程序查詢AD服務器安全日志參考答案：B69.關于以下某接口IPV6安全鄰居發(fā)現(xiàn)功能信息的描述,錯誤的是哪一項A、該接口可以接受的密鑰長度的最小值為512B、該接口可以接受的密鑰長度的最大值為2048C、CGA地址的安全級別為1D、該接口未使能嚴格安全模式參考答案：D70.在華為用戶管理解決方案中,以下關于用戶組織架構的描述中,正確的是哪一項?A、認證域是用戶組織架構的容器。華為防火墻缺省存在default認證域,所以用戶不可以自定義創(chuàng)建認證域B、用戶組織架構是基于用戶進行權限管控的基礎C、管理員可以根據企業(yè)的組織結構來創(chuàng)建部門和用戶,這里的“部門”對應組織架構中的“安全組”D、當需要基于部門以外的維度對用戶進行管理,可以創(chuàng)建跨部門的用戶組。參考答案：B71.當服務器之間的性能差異較大，可以采用以下哪種算法進行負載均衡？A、簡單輪詢算法B、加權輪詢C、最小連接算法D、源IPhash算法參考答案：B72.以下哪一項不屬于IPs設備簽名過濾器的動作?A、采用簽名的缺省動作B、告警C、阻斷D、放行參考答案：D73.在活動目錄（AD）架構中,以下哪項是網絡接入服務器的功能?A、防火墻B、計費服務器C、認證服務器D、客戶端參考答案：A74.關于VRRP報文，以下說法正確的是A、VRRP使用TCP報文B、VRRP使用UDP報文C、VRRP報文的目的地址是8D、VRRP報文是單播報文參考答案：C75.以下哪些選項認證方法是通過密碼進行身份認證的?A、你是什么B、你知道什么C、你擁有什么D、你做什么參考答案：B76.以下對云數(shù)據中心中安全設備功能的描述,錯誤的是哪一項?A、Anti-DDoS可以為威脅DCN的DDoS攻擊提供檢測及流量清洗服務B、NGFW提供安全隔離、非法訪問防護和訪問權限管理等C、WAF可以對靜態(tài)頁面防篡改、阻斷SQL注入，XSS攻擊D、CIS可以提供全統(tǒng)一的網絡運維、管理及審計能力參考答案：D77.載荷檢查是針對以下哪種DDoS攻擊的防御手段?A、DNS反射FloodB、HTTPGetFloodC、DNSRequestFloodD、HTTP慢速攻擊參考答案：D78.如果建立IPSecVPN隧道的其中一方的IP地址不固定,則以下哪些配置方法不能適用在該場景？A、策略模板B、配置IKE時要求指定對端地址C、野蠻模式下的Name認證D、野蠻模式下的pre-sharekey認證參考答案：B79.WAF不能夠阻斷以下哪一項攻擊行為？A、跨站腳本B、PingofDeathC、CC攻擊D、SQL注入參考答案：B80.網絡掃描屬于下列網絡攻擊鏈中的哪項步驟？A、信息收集B、漏洞利用C、載荷投遞D、目標打擊參考答案：A81.關于L2TPoverIPSec的報文封裝順序，以下哪項是正確的？A、從先封裝到后封裝的順序是PPP>UDP->L2TP->IPSecB、從先封裝到后封裝的順序是PPP>L2TP->UDP-IPSecC、從先封裝到后封裝的順序是IPSec>L2TP->UDP-PPPDD、從先封裝到后封裝的順序是IPSec>PPP->L2TP->UDP參考答案：B82.下列哪一個國家不在GDPR約束范圍內?A、法國B、德國C、意大利D、瑞士參考答案：D83.以下關于網絡誘捕方案關鍵技術的描述,錯誤的是哪一項?A、網絡誘捕混淆可以通過向攻擊者展現(xiàn)大量虛假資源,使攻擊者無法獲得真實資源和漏洞信息。B、誘捕探針可以內置在交換機中,更靠近受保護網絡,同時可在網絡中廣泛部署。C、誘捕器支持對HTTP、SMB、RDP、SSH應用的仿真交互D、仿真交互技術使用真實資源實現(xiàn)攻擊交互,準確識別攻擊意圖,使攻擊者暴露。參考答案：A84.華為云能夠為租戶提供的安全服務不包括下列哪一項？A、代碼審計B、DDoS防護C、漏洞掃描D、數(shù)據加密參考答案：A85.在現(xiàn)網中，通常情況下AntiDDoS部署在下列哪一個位置最合適?A、部署在網絡內部需要保護的服務器前端B、部署在網絡總出口處防火墻后端C、部署在網絡總出口處和防火墻聯(lián)動D、部署在網絡總出口處防火墻前端參考答案：C86.防火墻使用下列哪個功能與沙箱聯(lián)動防范病毒A、黑名單B、入侵檢測與防御C、APT防御D、反病毒參考答案：C87.虛擬系統(tǒng)和VPN實例關系，以下哪個選項的描述是錯誤的？A、創(chuàng)建虛擬系統(tǒng)時，會自動生成相同名字的VPN實例。B、虛擬系統(tǒng)底層轉發(fā)依賴于自動生成的VPN實例，上層配置業(yè)務時無需與vpn實例掛鉤C、自動生成的VPN實例和手工配置的VPN實例一樣，都需要在接口下綁定vpn實例。D、管理員也可使用ipvpn-instance命令手動創(chuàng)建VPN實例，用于路由隔離。參考答案：C88.在ISMS建立過程中，需要實施風險評估，下列哪一項不屬于風險評估的內容？A、資產評估B、資金評估C、威脅評估D、脆弱性評估參考答案：B89.下列哪一項不屬于存儲區(qū)域網絡SAN的優(yōu)點？A、擴展能力強B、數(shù)據集中C、存儲傳輸性能高D、即插即用參考答案：D90.下列關于CIS系統(tǒng)高級版組網方式的描述,錯誤的是哪一項?A、CIS系統(tǒng)高級版包含6種主機類型B、CIS系統(tǒng)高級版雙平面組網方式包含管理平面與數(shù)據平面,適合流量穩(wěn)定,網絡帶寬充足的場景C、流探針是CIS系統(tǒng)流量的入口設備,通常部署在內網到因特網出口處,或內網不同區(qū)域間通信的出口位置D、CIS高級版有單平面組網及雙平面組網兩種方式參考答案：B91.若IPS想要訪問在線病毒庫，則下列關于IPS設備的安全策略的配置錯誤的是哪一項？A、若升級方式配置為HTTPS,需要放行HTTPS協(xié)議B、源安全區(qū)域為IPS所在的trust區(qū)域。C、目的安全區(qū)域為升級中心所在的安全區(qū)域。D、目的地址為升級中心的地址。參考答案：B92.下列哪一個選項不是部署在校園網出口處的防火墻的主要功能?A、入侵防御B、準入控制C、防DDoS攻擊D、網絡地址轉換參考答案：A93.在USG系列防火墻中,可以使用功能為非知名端口提供知名應用服務。A、端口映射B、MAC與IP地址綁定C、包過濾D、長連接參考答案：A94.以下哪種行為不需要強制遵守GDPR?A、公司位于法國境內，只針對中國客戶提供服務B、公司位于美國境內，只針對法國客戶提供服務C、公司位于中國境內，只針對法國客戶提供服務D、公司位于美國境內，只針對中國客戶提供業(yè)務參考答案：C95.以下哪項不屬于網絡攻擊的變化趨勢?A、攻擊手段復雜化B、攻擊目的多樣化C、攻擊方式物理化D、攻擊方式變小化參考答案：D96.以下哪項不是數(shù)據備份的方式？A、LAN備份B、Client-Less備份C、Server-Less備份D、LAN-Free備份參考答案：B97.如果防火墻工作在二層，與內網之間直連或通過二層交換機相連，以下哪個選項不可以作為策略路由的匹配條件？A、IP地址B、MAC地址C、入接口D、DSCP優(yōu)級參考答案：B98.以下關于FW審計行為的描述，正確的是哪一項？A、缺省情況下，外發(fā)文件內容審計功能是默認開啟的。B、缺省情況下，F(xiàn)W會對HTTP行為進行審計。C、缺省情況下，HTTP狀態(tài)碼審計模式為缺省模式，只對常見的HTTP狀態(tài)碼進行審計。D、新建或修改審計配置文件后，配置內容會立即生效。參考答案：C99.以下關于脆弱點識別和評估的描述,不正確的是哪一項?A、在技術脆弱點中,針對應用系統(tǒng)的脆弱點和管理脆弱點識別從審計機制、審計存儲、訪問控制策略、數(shù)據完整性、通信、鑒別機制、密碼保護等方面進行識別。B、脆弱點分為兩種類型,技術脆弱點和管理脆弱點,管理脆弱點識別對象僅針對組織管理部分。C、對某個資產,其技術脆弱點的嚴重程度受到組織的管理脆弱點的影響,因此,資產的脆弱點賦值還應參考技術管理和組織管理脆弱點的嚴重程度。D、脆弱點識別也稱弱點識別,弱點是資產本身存在的,如果沒有相應的威脅發(fā)生,單純的弱點本身不會對資產造成損害。參考答案：B100.為保證用戶本地數(shù)據中心和云上VPC之間的傳輸安全,華為云采用了以下那種技術?A、IPSecVPNB、GREVPNC、SSLVPND、MPLSVPN參考答案：A101.下列對AntiDDoS系統(tǒng)中的檢測中心和清洗中心的描述,錯誤的是哪一項?A、清洗中心負責清洗流量B、清洗中心負責將清洗后的正常流量回注C、檢測中心負責對流量進行檢測D、檢測中心負責下發(fā)引流策略參考答案：D102.服務器負載均衡技術利用Server-map表和會話表實現(xiàn)虛擬服務器和實服務器的映射,請問生成的是什么類型的server-map表?A、NATNO-PATB、轉發(fā)QQ/MSN、TFP等STUN類型協(xié)議C、靜態(tài)Server-map表D、動態(tài)Server-map表參考答案：C103.當發(fā)生網絡安全事件后,對入侵行為、病毒或木馬進行排查,對主機進行修補加固。上述動作屬于網絡安全應急響應哪個階段中的工作內容?A、恢復階段B、檢測階段C、根除階段D、抑制階段參考答案：D104.如果在入侵防御配置文件中，同時使用了簽名，簽名過濾器以及例外簽名，當有流量匹配到該配置文件時，以下關于匹配的順序，正確的是哪個選項？A、例外簽名＞簽名＞簽名過濾器B、簽名＞簽名過濾器＞例外簽名C、簽名過濾器＞簽名＞例外簽名D、例外簽名＞簽名過濾器＞簽名參考答案：D105.以下哪一項支持多種盜鏈錯識別算法，能有效解決單一來源盜鏈、分布式盜鏈和網站數(shù)據惡意是竊取等信息盜取行為，從而確保網站的資源只能通過本站才能訪問？A、FirewallB、IPSC、Anti-DDosD、WAF參考答案：D106.防火墻檢測到病毒后,下列哪種情況會放行病毒?A、命中應用例外B、不是防火墻支持的協(xié)議C、源IP命中白名單D、命中病毒例外參考答案：C107.下列有關VGMP組的描述中正確的是?A、VGMP組中VRRP的優(yōu)先級會隨著VGMP變化而變化B、VGMP是用來控制VRRP組狀態(tài)的協(xié)議C、USG6000的默認優(yōu)先級是65000D、USG9000的默認優(yōu)先極是45000參考答案：B108.關于虛擬系統(tǒng)中公網接口和私網接口的說法,以下哪個選項是錯誤的?A、公網接口是指接口下配置了setpublic-interface命令的接口B、私網接口是未配置setpublic-interface命令的接口C、私網接口是指使用私有IP地址的接口D、只有配置了公共接口,資源類中的帶寬資源配置才會生效參考答案：C109.以下關于運維安全的描述,錯誤的是哪個選項?A、通過安全策略管理系統(tǒng)對安全策略進行統(tǒng)一管理。B、堡壘機對運維人員的運維操作進行全面記錄,并且可以按照安全策略,檢驗和審查運維人員操作,發(fā)現(xiàn)違法行為。C、劃分特定的運維管理區(qū)域,通過專門的運維系統(tǒng)對安全設備進行統(tǒng)一運維,并且對運維人員的操作日志進行相應審計。D、對異地遠程運維場景,外網運維人員通過L2TPVPN隧道安全接入內網,登錄堡壘機系統(tǒng)進行統(tǒng)一運維操作。參考答案：D110.以下關于華為云租戶業(yè)務防護方案的描述，錯誤的是哪一項？A、企業(yè)主機安全服務是一個用于保障主機整體安全的安全服務B、漏洞掃描服務只有web網站掃描和主機掃描兩種掃描能力C、通過內置豐富的ACL來應對各種Web安全風險D、容器安全服務提供了鏡像漏洞管理、容器安全策略管理和容器逃逸檢測功能參考答案：C111.USG6000防火墻上為三臺FTP服務器配置了負載均衡功能，三臺實服務器的地址和權重值分別為/24（weight16），/24（weight32），/24,（weight16），虛服務器地址為23/24。一臺主機地址為/24的PC對該FTP服務器發(fā)起訪問。在防火墻上運行displayfirewallsessiontable命令，下列哪一種情況說明成功實現(xiàn)了負載均衡功能？A、displayfrewallsessiontableCurrenttotalsessions：1FtpVPN：public->public:3327-:21B、displayfirewallsessiontableCurrenttotalsessions：3FtpVPN:public->public:3327->23:21[:21]FtpVPN:public->pubic:3327->23:21[:21]FtpVPN:public->public:3327->23:21[:21]C、displayfirewallsessiontableCurrenttotalsessions：1FtpVPN：public->public202.15226.3:327->:23：21D、displayfirewallsessiontableCurrenttotalsessions：3FtpVPN：public->public:3327->:21FtpVPN:public->public:3327->:21FtpVPN：public->public:3327->:21參考答案：B112.在IKEV1協(xié)商中,關于野蠻模式與主模式的區(qū)別,以下哪項說法是錯誤的?A、主模式在預共享密鑰方式下不支持NAT穿越,而野蠻模式支持B、主模式協(xié)商消息為6個,野蠻模式為3個。C、在NAT穿越場景下,對等體ID不能使用IP地址D、主模式加密了身份信息的交換信息,而野蠻模式沒有加密身份信息參考答案：C113.以下關于華為HiSecCloudFabric解決方案的描述，錯誤的是哪一項？A、設備層為上層提供安全分析的數(shù)據源，并接受上層的統(tǒng)一管理B、分析層銜接協(xié)同層和設備層，直接管理云平臺C、協(xié)同層提供安全業(yè)務的展現(xiàn)功能D、控制層和分析層承擔安全分析以及安全、網絡策略下發(fā)功能參考答案：B114.以下哪項不屬于病毒免殺方式？A、修改內存特征碼B、修改文件特征碼C、修改系統(tǒng)文件D、寄生在宏文件里參考答案：D115.通過構建特殊的輸入作為參數(shù)傳入Web應用程序，通過破壞數(shù)據庫語的原始邏輯，進而執(zhí)行攻擊者所希望的操作，上述語句描述的是以下哪項攻擊？A、注入B、XSSC、未驗證的重定向D、會話劫持參考答案：A116.有關實現(xiàn)業(yè)務安全韌性的方法,以下錯誤的是哪一項?A、通過部署防火墻等安全設備就能實現(xiàn)被動防御B、根據ISO/IEC15408/CC規(guī)劃業(yè)務安全C、通過部署以威肋為中心的安全體系,實現(xiàn)被動安全D、通過態(tài)勢感知等技術實現(xiàn)主動安全參考答案：C117.下列哪一項不屬于活動目錄的邏輯結構組成成分?A、組織單元B、安全域C、網域樹D、對象參考答案：B118.以下哪一項不是WAF具有的功能?A、NATB、HITPS防護C、防篡改D、自學習參考答案：A119.遠程攻擊者可以利用以下哪一選項的漏洞構造惡意網站,進行釣魚,當用戶訪問惡意網站后,可實現(xiàn)對用戶機器的控制?A、MS14-064漏洞B、SMB漏洞C、臟牛漏洞D、CVE-2016-0099漏洞參考答案：A120.以下關于入侵防御特征庫升級方式的描述,錯誤的是哪項?A、在線升級方式包括定時升級和立即升級兩種方式。B、本地升級方式包括定時升級和立即升級兩種方式。C、可以通過在線升級方式升級特征庫。D、可以通過本地升級方式升級特征庫。參考答案：B121.以下關于風險評估準備階段主要工作順序的排序，正確的是哪一項？1、確定風險評估目標2、獲得支持3、組建團隊4、確定風險評估對象和范圍5、選擇方法6、準備相關評估工具A、2-1-4-3-5-6B、1-4-2-3-5-6C、1-4-3-5-2-6D、1-4-3-2-5-6參考答案：C122.UMA支持的身份認證方式不包括下列哪一項？A、微信認證B、手機短信認證C、本地靜態(tài)密碼認證D、AD域認證參考答案：A123.以下關于iptables表功能的描述,錯誤的是哪一項?A、NAT表:地址轉換的功能。B、Raw表:決定數(shù)據包是否被狀態(tài)跟蹤機制處理。C、Mangle表:修改安全策略D、Filter表:數(shù)據包中允許或者不允許的策略。參考答案：C124.以下哪種訪問控制類型是依照組織的安全策略或其他規(guī)則而定義的？A、行政管理性訪問控制B、邏輯/技術性訪問控制C、糾正性訪問控制D、物理性訪問控制參考答案：A125.當接入用戶使用Client-InitiatedVPN方式與LNS建立隧道時,一條隧道可以承載多少PPP接?A、3B、1C、2D、4參考答案：B126.關于廣電網絡方案中的出口選路策略,下列哪一項是不正確的?A、可以通過基于應用的策略路由將流量引導至適當?shù)逆溌稡、通過DNS透明代理分擔內網用戶上網的DNS請求,達到在多個ISP間分擔流量的目的C、可以通過健康檢查探測鏈路的可達性D、通過基于多出口的靜態(tài)路由實現(xiàn)ISP選路參考答案：D127.在WAF縱治深防御體系中,以下哪種安全檢查用于防御CC攻擊?A、訪問行為安全檢查B、內容安全檢查C、敏感信息安全檢查D、網絡安全檢查參考答案：A128.以下關于網絡誘捕方案業(yè)務流程的描述,錯誤的是哪一項?A、誘捕探針能夠分析同一個源地址掃描不同目的IP或port的頻率,然后虛擬一個MAC來回應攻擊者。B、攻擊者最終攻擊的業(yè)務為故意構建的仿真業(yè)務,因此攻擊者的所有行為都被監(jiān)控,并會被上報CIS平臺。C、當訪問流量到達誘捕探針的時候,會通過探針與誘捕器之間的隧道,將訪問流量發(fā)送到誘捕器。D、攻擊者發(fā)起網絡掃描攻擊,目的是探測網絡結構。參考答案：B129.下列哪一項不屬于GDPR中定義的數(shù)據處理者的義務?A、第三方管理B、數(shù)據保護影響評估C、保證安全性D、記錄數(shù)據處理活動參考答案：B130.以下關于HWTACACS協(xié)議和RADIUS協(xié)議的描述，錯誤的是哪一項？A、HWTACACS協(xié)議認證與授權是一起處理的B、HWTACACS協(xié)議使用TCPC、RADIUS協(xié)議不支持對配置命令進行授權D、RADIUS協(xié)議使用UDP參考答案：A131.如下圖使用旁路方式部署AntiDDos系統(tǒng)時，采用BGP引流+UNR路由的方式。圖中的P1~P5為設備的端口編號，如果沒有在R2的策略將清洗的流量引導至P5，將會發(fā)生什么問題？A、待檢測流量被清洗設備丟棄B、待檢測流量到不了檢測設備C、待檢測設備清洗后會被再次發(fā)往清洗設備D、待檢測流量不能被正常清洗參考答案：C132.華為UMA產品允許特定IP，特定帳號的運維人員通過UMA平臺去管理IT設備,這屬于下列哪一步驟?A、事前控制B、事中監(jiān)控C、事后審計D、維護準備參考答案：A133.RADIUS協(xié)議采用以下哪種類型報文？A、IGMPB、UDPC、ICMPD、TCP參考答案：B134.華為WAF5000產品使用以下哪種技術來應對盜鏈、跨站請求偽造等特殊Web攻擊？A、簽名匹配技術B、行為狀態(tài)鏈檢測技術C、非法鏈接過濾技術D、異常狀態(tài)跟蹤技術參考答案：B135.對于DDoS攻擊產生的影響描述不正確的是哪一項?A、使防火墻設備成為網絡瓶頸B、造成網絡擁塞C、造成服務器不能正常提供服務D、造成網絡病毒泛濫參考答案：D136.有關實現(xiàn)業(yè)務安全韌性的方法，以下錯誤的是哪一項？A、通過態(tài)勢感知等技術實現(xiàn)主動安全B、根據ISP/IEC15408/CC規(guī)劃業(yè)務安全C、通過部署以威脅為中心的安全體系，實現(xiàn)被動安全D、通過部署防火墻等安全設備就能實現(xiàn)被動防御參考答案：D137.下列哪項不屬于網絡安全事件中劃分的等級?A、重大網絡安全事件B、特殊網絡安全事件C、一般網絡安全事件D、較大網絡安全事件參考答案：B138.下列哪一項能夠較好防御APT攻擊？A、關閉重要業(yè)務系統(tǒng)B、及時更新IPS病毒庫C、部署CIS、沙箱等設備D、及時更新防火墻病毒庫參考答案：C139.對云端進行等保測評，以下哪一個步驟的完成標志著等保評測工作的結束A、等級評測B、建設整改C、系統(tǒng)備案D、系統(tǒng)定級參考答案：A140.以下關于防火墻文件過濾功能的配置內容的描述,錯誤的是哪一項?A、通過命令行配置安全策略引用缺省配置文件時,需要輸入完整的配置文件配置名稱,否則無法成功引用。B、使用命令displaycurrent-configuration,可以顯示缺省配置文件自生成的配置信息。C、在命令行界面下,通過命令displaytypefile-blocknamedefault可以查看到缺省配置文件中的配置信息。D、管理員應該首先明確需要對哪些類型的文件進行過濾,然后選擇設備能夠支持的文件類型,最后在“自定義擴展名”中填寫剩余的文件類型。參考答案：B141.以下關于防火墻的URL過濾功能配置描述中,錯誤的是哪一項?A、管理員可以利用預定義URL分類阻斷對成人網站和非法網站的訪問請求B、開啟惡意URL和URL信譽檢測功能的命令為。C、URL過濾缺省配置文件可以被修改D、當用戶訪問的URL命中URL過濾配置文件的過濾條件,且管理員配置的動作為阻斷參考答案：C142.以下哪個攻擊行為可以使用網絡誘捕去應對？A、畸形報文攻擊B、超大ICMP報文攻擊C、DDoSD、TCP端口掃描參考答案：D143.IPSecVPN使用數(shù)字證書進行身份驗證時，以下哪項是不需要用來檢驗數(shù)字證書是否合法的？A、證書簽名B、CRL證書序列號C、證書公鑰D、證書有效期參考答案：C144.某數(shù)據中心同一VPC網絡下創(chuàng)建了子網A和子網B,兩個子網分別申請了主機A和主機B,現(xiàn)將主A加入到安全組A且移出default安全組，以下哪項是正確的？A、A和B能夠互訪B、僅允許B訪問AC、A和B不能互訪D、僅允許A訪B參考答案：B145.在“用戶通過用戶名和密碼登錄網頁”中，以下關于“用戶名”的作用，描述正確的是哪一項？A、計費B、身份識別C、身份認證D、授權參考答案：B146.管理員在華為USG6000產品上開啟了虛擬系統(tǒng)功能并創(chuàng)建了唯一的一個虛擬系統(tǒng)vsysa，若屬于vsysa的用戶想要訪問根系統(tǒng)的某個服務器，則在虛擬系統(tǒng)vsysa的路由表中，出接口是哪個接口？A、vlan-if0B、virtual-if0C、vlan-if1D、virtual-if1參考答案：B147.公司網絡管理員在配置雙機熱備時,配置VRRP備份組1的狀態(tài)為Active,并配置虛擬IP地址為/24,則空白處需要鍵入的命令是A、rulenamecSource-zoneuntrustDestination-zonetrustDestination-address32ActionpermitB、rulenamedSource-zoneuntrustDestination-zonetrustDestination-address32ActionpermitC、security-policyRulenameaSource-zoneuntrustSource-address32ActionpermitD、rulenamebSource-zoneuntrustDestination-zonetrustSource-address32Actionpermit參考答案：A148.某項研究表明，根據出生日期、性別和郵編三個屬性可以識別87%的國人。這種風險屬于下列哪一項風險？A、直接識別個別風險B、推理攻擊風險C、隱私風險D、鏈路攻擊風險參考答案：D149.SSLVPN不能加密下列哪項協(xié)議?A、HTTPB、UDPC、IPD、PPP參考答案：D150.以下關于與配置elog日志管理的描述,錯誤的是哪一項?A、FW上的時區(qū)和時間與elog采集器上的時區(qū)和時間必須保持一致,否則將會影響日志查看結果。B、如果FW同時輸出會話老化日志、會話新建日志和定期會話日志,將會導致elog接收到的日志數(shù)量激增,消耗elog的存儲空間。C、默認情況下,elog不解析會話新建日志,如需要在elog上解析并呈現(xiàn)會話新建日志,則需要在采集器上做相應配置。D、目前elog支持手動添加和自動發(fā)現(xiàn)兩種管理FW的方式,手動添加方式需要在FW上配置SNMP相關參數(shù)。參考答案：D151.為防范病毒,可以在云端網絡邊界部署以下哪種安全設備?A、數(shù)據庫審計B、Anti-DDoSC、堡壘機D、沙箱參考答案：D152.已知該編輯注冊表鍵HKEY_LoCal_MACHINESYSTEMCurrentControlSetservicesLanmanServerParameters,新建項AutoShareServer的值為多少A、100B、0C、10D、1參考答案：B153.日志管理的作用不包括下列哪項？A、日志存儲B、運維故障分析C、攻擊溯源D、審計用戶行為參考答案：D154.以下關于病毒特征的描述，錯誤的是哪項?A、影響設備或程序的正常運行，刪除或加密文件等，具備破壞性B、殺毒軟件通過加殼偽裝自己逃避查殺，具備偽裝性C、隨著計算機病毒制作技術的不斷提高，病毒會出現(xiàn)變種，具備不可預見性D、病毒本身很小，通常依附于正常程序之中或磁盤引導扇區(qū)中，具備傳染性參考答案：B155.以下關于IPv6安全特性的描述,錯誤的是哪一項?A、AH和ESP可作為IPv6的擴展頭部,IPsec用于保障額外安全。B、IPv6的DNS等相關協(xié)議增加安全設計。C、IPv6的地址是128位,從而保證源地址可信。D、可通過加密方式生成IPv6地址,但是不支持隱私頭部。參考答案：C156.華為UMA產品可采用邏輯串聯(lián)的方式部署，關于這種部署方式，下列哪種說法是錯誤的？A、邏輯模式：人->從賬號->授權->主賬號->目標系統(tǒng)B、主賬號為UMA賬號，與運維人員一一對應C、從賬號為目標系統(tǒng)賬號，無需與人員一一對應，普通運維人員可以不感知D、用戶Web登錄UMA，不需要在終端安裝客戶端，不改變原有操作習慣參考答案：A157.以下哪一項不屬于華為HiSecCloudFabric解決方系執(zhí)行層的設備組件？A、SeanagerB、VSCANC、USGD、IPS參考答案：A158.以下關于防火墻的應用行為控制配置內容的描述中,錯誤的是哪一項?A、displayprofiletypeapp-controlnamedefault可以查看到缺省配置文件中的配置信息。B、FTP文件刪除是指刪除FTP服務器上的文件。C、創(chuàng)建或修改安全配置文件后,配置內容不會立即生效,需要執(zhí)行engineconfigurationmit命令來激活配置。D、IM行為控制能夠對QQ的聊天內容進行控制,包括文字、圖片、文件等內容。參考答案：D159.以下關于雙機場景下L2TPoverIPSec的實現(xiàn)中，描述錯誤的是哪一項？A、建立L2TP隧道后，用戶不可正常訪問internet。B、客戶端設置的參數(shù)要與防火墻上設置的參數(shù)相匹配。C、客戶端應對雙機虛擬地址發(fā)起撥號連接。D、在這種場景下的防火墻會給客戶端分配IP地址參考答案：A160.以下關于IPv6下NAT的描述，錯誤的是哪一項？A、IPv6NAT可以避免IP溯源困難而產生的安全隱患。B、IPv6NAT協(xié)議可以保證外部非授權用戶無法直接對真實的IPv6地址建立連接。C、IPv6NAT技術支持一對多的地址翻譯。D、IPv6NetworkPrefixTranslation協(xié)議可以隱藏內部IPv6地址。參考答案：A161.網絡設備的AAA功能不包括下列哪一項？A、AccountingB、AuthorizationC、AuthenticationD、Accessing參考答案：D162.下列哪項是造成該故障的可能原因？A、網關和內網服務器間路由不可達。B、用戶沒有被分配到Web代理的資源。C、安全策略沒有放行外網到內網服務器的流量D、SSLVPN單臂部署旁掛在防火墻上，需要使用NAT將SSLVPN網關私網地址映射為公網地址，地址映射錯誤。參考答案：B163.在防火墻虛擬系統(tǒng)向根系統(tǒng)下的eLog輸出日志的場景中，以下關于輸出方式的描述，正確的哪項?A、PortRange日志不能輸出到虛擬系統(tǒng)對應的eLog,只能輸出到根系統(tǒng)對接的eLogB、可以手動配置將會話日志輸出到根系統(tǒng)對接的eLogC、不可以通過手動配置將丟包日志輸出到根系統(tǒng)對接的eLog。D、不可以手動配置將業(yè)務日志輸出到根系統(tǒng)對接的eLog。參考答案：A164.以下哪項不屬于網絡誘捕技術的典型部署場景？A、接入或匯聚旁掛防火墻誘捕B、核心旁掛防火墻誘捕C、交換機網關（靠接入側）直路誘捕D、核心路由器上部署參考答案：D165.防火墻接入用戶認證的觸發(fā)認證方式,不包括以下的哪項?A、SSLVPNB、L2TPVPNC、MPLSVPND、IPSecVPN參考答案：C166.數(shù)據在其產生、傳輸、存儲、銷毀的生命周期中不存在下列哪項風險？A、數(shù)據生產風險B、數(shù)據傳輸風險C、數(shù)據存儲風險D、數(shù)據使用風險參考答案：A167.以下哪項不是NAS存儲方案的優(yōu)點？A、即插即用B、存儲性能高C、存儲部署簡單D、管理容易且成本低參考答案：B168.下列哪一項不是華為主動安全方案的特點?A、被動處置B、關聯(lián)分析C、持續(xù)監(jiān)控所有數(shù)據D、自適應安全架構參考答案：A169.在CIS系統(tǒng)工作流程中,數(shù)據采集后就會進入大數(shù)據處理階段的描述,錯誤的是哪一項?A、數(shù)據預處理負責對采集器上報的歸一化日志和流探針上報的流量元數(shù)據進行格式化處理。B、分布式存儲負責對格式化后的數(shù)據進行存儲。C、分希式索引負責對關鍵的式化數(shù)據建立索引。D、大數(shù)據處理完成直接可以進行威肋聯(lián)動聯(lián)動相關安全設備對數(shù)據進行威脅檢測。參考答案：D170.以下哪項不屬于網絡層安全或脅?A、釣魚攻擊B、DDoS攻擊C、IPSpoofingD、IP地址掃描參考答案：A171.在實現(xiàn)云端數(shù)據庫儲存安全時,以下選項中不需要涉及的是哪一項?A、文檔加密B、密鑰管理C、數(shù)據庫加密D、數(shù)據上傳加密參考答案：D172.以下哪一項不是單點登錄的優(yōu)點？A、賬號可以分區(qū)授權B、一定程度上增加了安全性C、無需多個賬號密碼D、提高用戶效率參考答案：A173.某企業(yè)在網絡中部署了華為USG6000系列防火墻，要實現(xiàn)用戶通過Telnet/SSH訪問防火墻，而且該用戶輸入的每一條命令都要通過服務器授權才能執(zhí)行。以下哪種認證方式可以滿足需求？A、RadiusB、LDAPC、HWTACACSD、AD參考答案：C174.以下哪個選項不能體現(xiàn)APT攻擊的高級特性?A、APT攻擊遵循網絡攻擊鏈的過程。B、APT攻擊中會使用零日漏洞C、APT攻擊一般較為隱蔽,通過加密通道等方式隱藏攻擊。D、發(fā)動APT攻擊一般需具備大型組織的力量。參考答案：A175.以下關于信息安全管理的指導原則的描述,不正確的一項是?A、需要明確國家、企業(yè)和個人對信息安全的職責和可確認性。B、信息安全需要積極防御和綜合防范。C、需要綜合考慮社會因素對信息安全的制約。D、工程原則中降低復雜度的原則是需要實現(xiàn)訪問的最大控制權。參考答案：D176.在防火墻上部署雙機熱備時,為實現(xiàn)VRRP備份組整體狀態(tài)切換,需要使用以下哪個協(xié)議?A、VRRPB、VGMPC、HRPD、OSPF參考答案：B177.當接入用戶使用Client-InitiatedVPN方式與LNS建立隧道時,一條隧道可以承載多少PPP連接?A、4B、1C、2D、3參考答案：B178.關于NAT地址池的配置命令如下:其中,no-pat參數(shù)的含義是:A、不做地址轉換B、進行端口復用C、不轉換源端口D、不轉換目的端口參考答案：C179.以下屬于應用層流量型攻擊的是哪一項？A、TCPfloodB、HTTPfloodC、CSRFD、XSS參考答案：B180.以下關于信息安全管理體系ISMS的描述,不正確的一項是?A、ISMS和等級保護的共同之處有都可以加強對信息安全保障工作、對安全管理的要求有相同點、能夠相互促進與補充。B、ISMS的規(guī)劃設計包括建立階段、事實和運行階段、監(jiān)視和評審階段、保持和改進階段。C、ISMS的實施過程包括規(guī)劃和設計、建立、實施和運行、監(jiān)視和評審4個階段。D、信息安全管理體系實施就是指信息安全管理體系的建立。參考答案：D181.以下關于IPS處理流量的過程，正確的順序是哪項？A、數(shù)據重組→特征匹配→應用識別→相應處理B、數(shù)據重組→應用識別→特征匹配→相應處理C、相應處理→數(shù)據重組→特征匹配→應用識別D、相應處理→特征匹配→應用識別→數(shù)據重組參考答案：B182.如下圖所示總部網絡雙機部署，分別網絡配置實現(xiàn)L2TPoverIPSec接入總部網絡，以下關于IPSec感興趣流配置的描述，正確的一項是A、aclnumber3000Rule10permitudpsource-porteq1701B、aclnumber3000Rule10permitudpdestination-porteq1701C、aclnumber3000Rule10permittcpsource-porteq1701D、aclnumber3000Rule10permittcpdestination-porteq1701參考答案：B183.下列關于雙機熱備的描述中錯誤的是?A、無論是二層還是三層接口,無論是業(yè)務接口還是心跳接口,都需要加入安全區(qū)域B、缺省情況下?lián)屨佳舆t是60sC、缺省情況下主動搶占功能是開啟的D、雙機熱備功能需要license支持參考答案：D184.以下哪種不是數(shù)據中心部署防火墻的作用？A、防護VDC南北向流量B、隔離VPC內不同主機的流量C、隔離VDC內不同VPC的流量D、隔離不同VDC的流量參考答案：B185.在廣電方案中,防火墻部署在網絡出口處的主要功能不包括下列哪一項?A、準入控制B、NATC、安全管理D、多出口智能選路參考答案：A186.下列哪項不屬于HCIE-Security課程中的內容？A、信息安全等級保護B、代碼審計C、Web安全D、病毒防范參考答案：B187.沙箱無法跟下列哪個設備聯(lián)動反病毒?A、交換機B、CISC、防火墻D、路由器參考答案：D188.關于GREOverIPSec的說法，下列哪項說法是錯誤的？A、IPSec封裝過程中增加的IP頭即源地址為IPSec網關應用IPSec安全策略的接口地址，目的地址即IPSec對等體中應用IPSec安全策略的接口地址。B、IPSec需要保護的數(shù)據流為從GRE起點到GRE終點的數(shù)據流。C、GRE封裝過程中增加的IP頭即源地址為GRE隧道的源端地址，目的地址為GRE隧道的目的端地址。D、當網關之間采用GREoverIPSec連接時，先進行IPSec封裝，再進行GRE封裝。參考答案：D189.以下關于CC防護的描述，不正確的是哪項？A、當開啟CC防護后，如果WAF設備發(fā)現(xiàn)攻擊行為，訪問流量會被直接丟棄B、CC防護是通過用戶設置的閾值來判定是否存在攻擊行為C、WAF設備在發(fā)現(xiàn)攻擊行為后，會提供攻擊者的IP地址D、攻擊者的IP地址會被WAF設備加入黑名單參考答案：A190.下列哪一項不屬于常見個人數(shù)據范疇？A、生日B、政治觀點C、姓名D、職業(yè)參考答案：B191.用iptables寫一條規(guī)則不允許/16的網段訪問本設備,以下哪項規(guī)則寫法是正確的?A、iptables-tfiter-AINPUT-s/16-pall-jDROPB、iptables-tfiter-PINPUT-s/16-pall-jDROPC、iptables-tfiter-PINPUT-s/16-pall-j-ACCEPTD、iptables-tfiter-PINPUT-d/16-pall-j-ACCEPT參考答案：A192.使用策略路由修改下一跳地址后，流量的沒有按照策略路由轉發(fā)，以下哪個選項的說法是錯誤的？A、策略路由有沒有提交生效B、接口的IP地址沒有配置正確C、匹配的源安全區(qū)域不正確D、沒有放行域間流量參考答案：C193.以下哪項不屬于當前病毒傳播途徑？A、電話交流B、網頁感染C、U盤D、郵件參考答案：A194.以下關于華為云安全構架的網絡層防護規(guī)劃的描述，不正確的是哪項?A、云端網絡邊界通過DDoS防御保護業(yè)務可用性。B、租戶間可以通過安全組網絡隔離。C、云端網絡邊界防護DDoS只能通過部署Anti-DDoS設備來實現(xiàn)。D、華為云與客戶網絡之間通過防火墻實現(xiàn)安全隔離。參考答案：C195.下列關于數(shù)據庫審計系統(tǒng)（DAS）的描述，錯誤的是哪一項？A、管理中心負責提供管理和據分析界面，方便用戶進行審計引擎管理和系統(tǒng)日志分析B、審計引擎負責接收審計策略，對網絡訪問依據審計策略進行審計和響應，并將審計日志上報到管理中心C、DAS包括管理中心、審計引擎和授權中心三部分D、授權中心負責對管理中心、審計引撃進行授權，保證其永久正常使用參考答案：D196.同一VPC內創(chuàng)建了兩個子網，兩個子網又分別創(chuàng)建了兩個云主機A和云主機B，云主機在default安全組，云主機B在default安全組和安全組，下列哪項說法正確？A、云主機A和云主機B能夠互訪B、云主機A和云主機B彼此不能互訪C、云主機A可以訪問云主機B，云主機B不能訪問云主機AD、云主機B可以訪問云主機A，云主機A不能訪問云主機B參考答案：A197.關于GRE封裝與解封裝,以下哪項描述是錯誤的?A、封裝過程,原始數(shù)據包通過查找路由把數(shù)據包傳遞到Tunnel接口后出發(fā)GRE封裝B、封裝過程,經過GRE模塊封裝后,此數(shù)據包將進入IP模塊進行下一步處理C、解封裝過程,目的端收到GRE報文后,通過查找路由把數(shù)據包傳遞到Tunnel接口后出發(fā)GRE解封裝D、解封裝過程,經過GRE模塊解封裝后,此數(shù)據包將進入IP模塊進行下一步處理參考答案：C198.以下關于入侵防御的描述，正確的是哪一項？A、預定義簽名的缺省動作包括放行，告警和阻斷。B、當安全策略中引用了入侵防御配置文件時，安全策略的方向和攻擊流量的方向必須是一致的C、自定義簽名優(yōu)先級高于預定義簽名優(yōu)先級。D、入侵防御智能檢測入侵行為，不能阻斷。參考答案：A199.以下關于服務識別的描述,錯誤的是哪一項?A、攻擊者可根據服務版本檢索到相關的漏洞,并加以利用。B、服務識別是一種識別服務器上提供的服務類型的偵查技術C、SSH協(xié)議會主動告知訪問者自己版本信息。D、所有服務的識別均可通過端口掃描技術實現(xiàn)。參考答案：D200.下列哪一項不屬于IPv6協(xié)議中AH報頭的作用？A、數(shù)據加密B、身份驗證C、防重放攻擊D、完整性校驗參考答案：A201.以下哪種類型的日志不能使用Netflow日志格式？A、URL會話日志B、IPv4會話日志C、半連接會話日志D、IPv6NAT64會話日志參考答案：A202.以下關于華為UMA統(tǒng)一運維審計的描述,錯誤的是哪一項?A、在非永久授權情況下,運維管理員授權到期后如果有授權定制則不會被刪除授權。B、支持定期自動修改服務器、網絡設備等目標設備密碼的功能。C、支持SSH、FIIP、RDP等各類協(xié)議。D、在日志管理中,日志一旦被刪除,將無法還原。參考答案：A203.以下關于華為數(shù)據庫審計系統(tǒng)部署方式的描述，錯誤的是哪一項？A、分布式高可靠性部署是由分布式部署方式結合HA高可靠性。B、一體化高可靠性部署是由一體化單機部署方式結合HA高可靠性。C、分布式部署中管理中心、授權中心部署在同一個VM上，審計引擎部署于另一個VM上。D、一體機單機部署方式中管理中心、審計引擎、授權中心三個組件部署于同一個VM上。參考答案：A204.如果想針對源IP地址進行智能選路可以使用以下哪種智能選路的方式?A、全局選路策略B、策略路由選路C、ISP選路D、健康檢查參考答案：B205.下列哪一項不屬于配置ASG設備雙機熱備的優(yōu)點？A、提高數(shù)據傳輸速度B、提高系統(tǒng)可靠性C、降低故障對業(yè)務的影響D、提高故障恢復速度參考答案：A206.下列哪項設備一般不會部署在網絡邊界處?A、防火墻B、Anti-DDoSC、ASGD、CIS參考答案：D207.以下信息不能通過namp工具掃描出來的是哪幾項？A、端口B、系統(tǒng)漏洞C、操作系統(tǒng)服務D、服務參考答案：B208.以下對于IPs的描述,錯誤的是哪一項?A、IPS可以抵御單包攻擊B、IPS可以抵御APT攻擊C、IPS可以和防火墻聯(lián)動D、IPS可以進行內容安全過濾參考答案：B209.訪問者可以通過Portal認證頁面獲取短信驗證碼，然后輸入短信驗證碼即通過認證，以下哪項屬于該認證方式A、本地認證B、單點登陸C、短信認證D、服務器認證參考答案：C210.關于防火墻帶寬策略，下列哪項說法是錯誤的A、對于最大帶寬和連接數(shù)限制，子策略不能大于父策略B、在同一組父子策略中，不能引用同一個帶寬通道C、如果帶寬管理與源NAT功能同時使用，配置帶寬策略的源地址/地區(qū)匹配條件時應指定轉換前的地址D、如果帶寬管理與源NAT功能同時使用，配置帶寬策略的源地址，/地區(qū)匹配條件時應指定轉換后的地址參考答案：D211.如圖所示，總部網絡防火墻雙機部署，分部網絡配置實現(xiàn)GREoverIPSec接入總部網絡，以下關于雙機情況下GREoverIPSecVPN的描述中，正確的是哪一項？A、總部防火墻上配置GRE隧道接口的源地址使用主防火墻物理接口的地址。B、GREoverIPSec中的IPSec感興趣流針對數(shù)據流量的真實業(yè)務源目地址寫ACL。C、分部網絡防火墻指定的IKE鄰居地址應為。D、總部網絡防火墻指定的IKE鄰居地址應為。參考答案：C212.有關華為實現(xiàn)業(yè)務安全韌性的方法,以下哪一項是錯誤的?A、采用AI技術彌補威脅防御的滯后性。B、通過關聯(lián)分析與協(xié)同聯(lián)防方式實現(xiàn)主動安全。C、摒棄傳統(tǒng)被動的網絡威脅防御方式,以業(yè)務為中心實現(xiàn)安全韌性。D、通過部署主動安全與被動防御,防范網絡攻擊鏈各個階段的攻擊。參考答案：C213.以下哪項威脅不能被沙箱虛擬執(zhí)行環(huán)境檢測？A、PE文件病毒B、PDE文件病毒C、Web文件病毒D、C&C攻擊參考答案：D214.以下關于園區(qū)安全聯(lián)動的描述，錯誤的是哪一項？A、能夠智能檢測威脅。B、控制器能夠實時阻斷威脅。C、能夠對全網的數(shù)據進行采集。D、安全設備會將流量日志上報給CIS進行分析。參考答案：B215.圖一表格為原始數(shù)據表格，圖二為進行K-匿名化技術處理后的數(shù)據，該項處理的K值為多少？A、3B、1C、2D、4參考答案：D216.在配置自定義簽名時，可以配置的動作不包括以下哪項？A、放行B、阻斷C、缺省D、告警參考答案：C217.甲乙通信雙方進行數(shù)據通信,若采用非對稱加密算法進行加密,甲發(fā)送數(shù)據給乙時,以下哪個密鑰將被用于進行數(shù)據加密?A、甲的公鑰B、甲的私鑰C、乙的公鑰D、乙的私鑰參考答案：C218.所示,USG防火墻NAT配置如下:A、FTPServer回應ClientA時轉化為地址地1中的地址B、源NAT配置,只能針對內網用戶（/24）訪問外網進行轉換C、當把FTPServer主機的IP地址改為1.11.3.ClientA主機仍然能夠訪問FTPServerD、ClientA訪問FTPServer,目的地址轉化為,源地址不變參考答案：C219.針對Web安全風險,在云端網絡邊界部署以下哪種安全設備防護效果最好?A、WAFB、漏掃C、IPSD、IDS參考答案：C220.以下關于eLog在線日志和轉儲日志的描述，正確的是哪一項？A、在線日志免去了解壓縮的過程，所以速度最快。B、轉儲日志通常為未壓縮的文件數(shù)據庫。C、在線日志占用空間較小，而轉儲日志占用空間較大。D、在線日志通常為壓縮的文件數(shù)據庫。參考答案：A221.管理員希望清楚當前會話表。以下哪個命令是正確的?A、clearfirewallsessiontableB、resetfirewallsessiontableC、displayfirewallsessiontableD、displaysessiontable參考答案：B222.下列哪個選項不屬于通信類電子證據?A、電話錄音B、聊天記錄C、電子郵件D、系統(tǒng)日志參考答案：A223.以下基于郵件內容的過濾中，錯誤的是哪一項？A、郵件附件控制B、郵箱地址檢查C、匿名郵件檢測D、垃圾郵件防范參考答案：D224.以下哪個選項不屬于智能選路的方式？A、基于全局選路策略選路B、基于策略路由選路C、基于ISP選路D、基于鏈路質量選路參考答案：D225.以下哪一項不屬于ATIC中的防御策略可以匹配的動作?A、阻斷B、限流C、防御D、告警參考答案：D226.沙箱與防火墻聯(lián)動反病毒,沙箱檢測病毒文件后將以下哪項信息反饋到防火墻?A、應用B、源IPC、文件MD5D、URL參考答案：C227.如所示,防火墻上配置了natserverglobalinside,以下針對域間規(guī)則,配置正確的是:A、rulenamecsource-zoneuntrustdestination-zonetrustdestination-address32B、rulenamedsource-zoneuntrustdestination-zonetrustdestination-address32actionpermitC、rulenamebsource-zoneuntrustdestination-zonetrustD、rulenamebsource-zoneuntrustdestination-zonetrustsource-address32actionpermit參考答案：B228.關于防火墻開啟虛擬化功能的配置命令，以下哪個選項是正確的？A、vsysenableB、vsysnameenableC、vsysD、vsys-viewenable參考答案：A229.以下關于VGMP協(xié)議描述錯誤的是哪項?A、VGMP將同一臺防火墻上的多個VRRP備份組都加入到一個管理組,由管理組統(tǒng)一管理所有VRRP備份組B、VGMP通過統(tǒng)一控制各VRRP備份組狀態(tài)的切換,來保證管理組內的所有VRRP備份組狀態(tài)都是一致C、狀態(tài)為Active的VGMP組設備會定期向對端發(fā)送hello報文,stdandby端只負責監(jiān)聽hello報文,不會進行回應D、在缺省情況下當standby端三個hello報文周期沒有收到對端發(fā)送的hello報文,會認為對端出現(xiàn)故障,從而將自己切換到Active狀態(tài)。參考答案：C230.以下哪一項不屬于IPS設備預定義簽名的缺省動作？A、放行B、告警C、阻斷D、丟棄參考答案：D231.以下關于郵件過濾的描述，錯誤的是哪一項？A、開啟匿名郵件檢查，能夠防止違法信息通過后名郵件方式在整個網絡內部傳播。B、開啟郵件附件控制，對附件的大小和個數(shù)進行控制，防止大量信息通過附件泄露出去。C、開啟郵箱地址檢查，只允許指定郵箱地址發(fā)送或接收電子郵件，從發(fā)送和接收權限上進行控制，防止內部用戶泄露重要信息。D、開啟垃圾郵件防范，能夠防止外網的SMTP服務器收到大量垃圾郵件。參考答案：D232.以下關于安全防護的描述，正確的是哪一項？A、當FW部署在NAT設備后面時，可能會出現(xiàn)大量同一源IP地址訪問不同端口的。流量，此種場景下不能開啟端口掃描攻擊防范功能。B、當FW工作在透明模式時，可以開啟IP欺騙攻擊防范功能。C、以太網接口接收的報文，不可以綁定其源IP地址與MAC地址的對應關系D、ASPF功能不會影響設備性能。參考答案：A233.以下關于APT的攻擊特點的描述,錯誤的是哪一項?A、常使用0-day漏洞進行攻擊B、攻擊目標明確C、外聯(lián)通道通常加密，不易檢測D、遵守網絡攻擊鏈流程參考答案：D234.以下選項中哪一個不屬于網絡數(shù)據傳輸過程中可能受到的威脅？A、數(shù)據篡改B、惡意代碼C、數(shù)據竊聽D、身份偽造參考答案：B235.實現(xiàn)華為云端業(yè)務系統(tǒng)全生命周期安全時,以下哪個階段不在實現(xiàn)范圍之內?A、業(yè)務系統(tǒng)安全維護B、業(yè)務系統(tǒng)上線時C、業(yè)務系統(tǒng)升級優(yōu)化D、業(yè)務系統(tǒng)上線前參考答案：C236.華為網絡安全智能系統(tǒng)CIS不能與以下哪項設備聯(lián)動阻斷病毒?A、AgileController-CampusB、AgileController-DCNC、SeanagerD、防火墻參考答案：B237.下列哪個選項不屬于被動獲取信息的手段?A、端口掃描B、端口鏡像C、收集日志D、抓包參考答案：D238.在配置服務器負載均衡時，以下哪個選項不是必需的？A、服務健康檢查B、負載均衡算法C、虛擬服務器地址D、實服務器地址參考答案：A239.以下關于IPV6無狀態(tài)地址DAD檢查的描述,錯誤的是哪一項?A、當接口配置為IPV6地址時,DAD用來在本地