HCIP安全認(rèn)證考試題庫（含答案）

PAGEPAGE1HCIP安全認(rèn)證考試題庫（含答案）一、單選題1.單包攻擊的類型多種多樣,以下哪一項(xiàng)攻擊屬于畸形報(bào)文攻擊?【構(gòu)建出了一個(gè)錯(cuò)誤的數(shù)據(jù)包,影響設(shè)備轉(zhuǎn)發(fā)】A、PingofDeath攻擊B、ICMP重定向攻擊C、IP地址掃描攻擊D、Tracert攻擊答案：A2.以下關(guān)于web代理中web改寫的描述,錯(cuò)誤的是哪一項(xiàng)?A、可能造成字體不全B、可以隱藏內(nèi)網(wǎng)服務(wù)器地址,安全性較高C、可能造成圖片錯(cuò)位D、依賴IE控件答案：D3.華為準(zhǔn)入控制方案中,接入設(shè)備接收到RADIUS服務(wù)器的CoA-Request報(bào)文或者DM-Request報(bào)文后,根據(jù)報(bào)文中的哪一個(gè)RADIUS屬性來識(shí)別用戶?(NAS識(shí)別用戶)A、called-Station-IdB、Filter-IdC、NAS-IP-AddressD、calling-Station-Id答案：C4.以下關(guān)于健康檢查的描述,錯(cuò)誤的是哪一項(xiàng)?(健康度檢查不就是為了快速感知到某段鏈路出現(xiàn)異常,然后對(duì)流量切換路徑嗎)A、健康檢查支持DNS探測(cè)協(xié)議(ICMP、DNS、TCP、UDP)B、防火墻通過健康檢查結(jié)果可以實(shí)時(shí)感知網(wǎng)絡(luò)連通性C、健康檢查功能不支持與策略路由結(jié)合使用D、除了檢測(cè)鏈路連通性外,健康檢查還可以實(shí)時(shí)檢測(cè)鏈路的時(shí)延、抖動(dòng)和丟包率答案：C5.以下關(guān)于Anti-DDoS設(shè)備部署模式的描述,錯(cuò)誤的是哪一項(xiàng)?(不一定需要聯(lián)動(dòng)部署,可以二合一部署旁掛式的ANTIDDOS設(shè)備)A、旁路部署可以不影響原有組網(wǎng)架構(gòu)B、直路部署組網(wǎng)簡單,不需要額外增加接口C、直路部署時(shí)僅部署清洗設(shè)備即可D、旁路部署必須使用檢測(cè)和清洗設(shè)備聯(lián)動(dòng)部署答案：D6.以下關(guān)于IP-Link探測(cè)技術(shù)的描述,錯(cuò)誤的是哪一項(xiàng)?(ARP只能探測(cè)同網(wǎng)段節(jié)點(diǎn)是否正常,二層探測(cè),DMAC為全F)A、如果檢測(cè)到鏈路發(fā)生故障,IP-Link的狀態(tài)會(huì)變?yōu)镈OWNB、ICMP探測(cè)模式適用于探測(cè)二層網(wǎng)絡(luò)的連通性C、IP-Link可以檢測(cè)到非直連鏈路的故障D、ARP探測(cè)模式適用于探測(cè)三層網(wǎng)絡(luò)的連通性答案：D7.為了對(duì)用戶的瀏覽網(wǎng)頁行為進(jìn)行控制,如禁止訪問某些網(wǎng)頁,可以對(duì)HTTP以下哪一項(xiàng)報(bào)文進(jìn)行檢測(cè)?(HTTPget是用戶向web服務(wù)器發(fā)起請(qǐng)求的消息,阻斷該消息就可以讓對(duì)方接收不到請(qǐng)求包)A、HTTPConnectB、HTTPGetC、HTTPOptionsD、HTTPDelete答案：B8.每一個(gè)引用帶寬通道的帶寬策略都獨(dú)自受到該帶寬通道的約束,即符合該帶寬策略匹配條件的流量,獨(dú)享最大帶寬資源。以下哪一選項(xiàng)屬于這種帶寬通道的引用方式?A、帶寬復(fù)用B、寬帶獨(dú)占C、寬帶共享D、動(dòng)態(tài)均分答案：B9.以下哪一項(xiàng)場景推薦便用Portal認(rèn)證?(認(rèn)證前域【用戶在通過認(rèn)證前能訪問哪些資源】、認(rèn)證后域【用戶在通過認(rèn)證后能訪問哪些資源】、隔離域【用戶認(rèn)證失敗了能訪問哪些資源】)A、管理訪客接入內(nèi)網(wǎng)B、用戶使用NAC客戶端(要下載APP)進(jìn)行認(rèn)證C、IP電話(網(wǎng)絡(luò)打印機(jī))D、用戶關(guān)注微信進(jìn)行認(rèn)證答案：D10.AAA作為網(wǎng)絡(luò)安全的一種管理機(jī)制不包含以下哪一項(xiàng)訪問控制?(認(rèn)證、授權(quán)、計(jì)費(fèi))A、udit(審計(jì))B、Accounting(計(jì)費(fèi))C、Authorization(授權(quán))D、Authentication(認(rèn)證)答案：A11.管理員想要使用正則表達(dá)去匹配URL:/sport/cn/index.php?,那么以下哪一項(xiàng)書寫能匹配該URL??任意htmlA、?htmlB、?index.AspC、?D、?sport/cn?(關(guān)鍵字匹配的方案可以匹配該URL鏈接)答案：D12.以下哪項(xiàng)參數(shù)不是全局選路策略分類的條件?(A選項(xiàng)是策略路由可以去選擇路徑的參數(shù),而非根據(jù)鏈路情況去選擇的參數(shù))A、端口號(hào)(策略路由選路策略)B、帶寬C、權(quán)重D、質(zhì)量答案：A13.訪客通過Portal認(rèn)證方式接入企業(yè)網(wǎng)絡(luò)時(shí),為保障訪客良好體驗(yàn),要求在訪客短時(shí)間離開無線網(wǎng)絡(luò)的范圍,再次進(jìn)入時(shí),無需再次輸入用戶名密碼,可以直接接入網(wǎng)絡(luò)。以下哪一種接入方式可以滿足上述需求?(首次完成PORTAL認(rèn)證后,RADIUS服務(wù)器可以記錄該MAC地址【有一段時(shí)間】,在有效時(shí)間內(nèi),再次進(jìn)入網(wǎng)絡(luò)不需要重復(fù)進(jìn)行portal的認(rèn)證)A、MAC旁路認(rèn)證B、MAC認(rèn)證C、MAC優(yōu)先的Portal認(rèn)證D、802.1X認(rèn)證答案：C14.某企業(yè)為了應(yīng)對(duì)突發(fā)安全事件,組建了一個(gè)應(yīng)急響應(yīng)小組,以便發(fā)生安全事故時(shí)立馬進(jìn)行支持。這屬于應(yīng)急響應(yīng)流程中的哪一項(xiàng)階段?A、準(zhǔn)備階段B、根除階段C、抑制階段D、恢復(fù)階段答案：A15.以下關(guān)于清洗中心的描述,錯(cuò)誤的是哪項(xiàng)?(anti-ddos清洗設(shè)備,你只要ddos攻擊,web服務(wù)器ddos(cc),ICMP泛洪,UDP、TCP)A、回注方式包括:策略路由回注、靜態(tài)路由回注、VPN回注和二層回注B、清洗設(shè)備支持豐富靈活的攻擊防范技術(shù),但對(duì)于CC(web服務(wù)器ddos攻擊)攻擊、ICMP攻擊無法做到較好的防護(hù)。C、引流方式有兩種:靜態(tài)引流和動(dòng)態(tài)引流D、清洗中心完成對(duì)異常流量的引流、清洗以及清洗后流量的回注等功能答案：B16.以下關(guān)于Anti-DDos系統(tǒng)的描述,錯(cuò)誤的是哪一項(xiàng)?(C/S)A、管理中心主要完成對(duì)攻擊事件的處理、控制清洗中心的引流策略和清洗策略,并對(duì)各種攻擊事件和攻擊流量分類查看,產(chǎn)生報(bào)表B、檢測(cè)中心主要負(fù)責(zé)網(wǎng)絡(luò)流量的檢測(cè)分析C、清洗中心主要根據(jù)管理中心下發(fā)的策略進(jìn)行引流、清洗,并把清洗后的正常流是回注,同時(shí)將這些動(dòng)作記錄在日志中上報(bào)管理中心D、管理中心采用B/S架構(gòu),部署簡單方便,不需安裝客戶端軟件即可完成業(yè)務(wù)的管理和監(jiān)控,一個(gè)管理中心可以集中管理多地域分散部署的多臺(tái)檢測(cè)和清洗設(shè)備答案：D17.在URL過濾處理流程中,第一步執(zhí)行以下哪一項(xiàng)動(dòng)作?(先去查看是不是HTTP的攻擊,如果不是,我再走一些別的過濾流程,如果是直接丟)A、檢測(cè)HTTP報(bào)文異常情況B、匹配黑白名單C、遠(yuǎn)程查詢D、匹配URL分類答案：A18.以下關(guān)于LDAP協(xié)議的描述,錯(cuò)誤的是哪一項(xiàng)?(是LDAP+Kerberos=AD)A、LDAP認(rèn)證支持網(wǎng)絡(luò)設(shè)備直接與LDAP服務(wù)器進(jìn)行交互B、LDAP服務(wù)器負(fù)責(zé)對(duì)來自應(yīng)用服務(wù)器的請(qǐng)求進(jìn)行認(rèn)證,同時(shí)還指定用戶訪問的資源范圍C、LDAP認(rèn)證架構(gòu)中可以采用iMasterNCE-Cus認(rèn)證服務(wù)器作為客戶端同步LDAP服務(wù)器上的用戶信息D、將Kerberos協(xié)議集成到AD認(rèn)證過程中就是LDAP認(rèn)證(說反了)答案：D19.以下關(guān)于滲透測(cè)試的描述,錯(cuò)誤的是哪一項(xiàng)?(DDoS攻擊是不允許進(jìn)行測(cè)試的)A、工程師可以未經(jīng)授權(quán)進(jìn)行測(cè)試,通過這種突擊手段可以更好的檢測(cè)系統(tǒng)的弱性和漏洞,但僅限工程師針對(duì)所屬企業(yè)B、滲透測(cè)試是實(shí)施安全評(píng)估的具體手段,不同的行業(yè)、不同的評(píng)估對(duì)象使用的透測(cè)試方法區(qū)別較大C、某些特殊行業(yè)的系統(tǒng)上線前一般需要經(jīng)過滲透測(cè)試,以便及時(shí)發(fā)現(xiàn)系統(tǒng)內(nèi)部和外部潛在的安全風(fēng)險(xiǎn)D、滲透測(cè)試目的是防御,安全專家針對(duì)漏洞產(chǎn)生的原因進(jìn)行分析,提出修復(fù)建議,以防御惡意攻擊者的攻擊答案：A20.某企業(yè)管理員想實(shí)現(xiàn)限制內(nèi)網(wǎng)用戶登錄QQ賬號(hào),則可以配置以下哪一項(xiàng)應(yīng)用控制行為?(ABC選項(xiàng)跟QQ沒有任何關(guān)系)A、HTTP行為B、FTP行為C、SSH行為D、IM行為答案：D21.管理員在防火墻上定義了兩個(gè)需要識(shí)別的關(guān)鍵字,關(guān)鍵字加密的權(quán)重值為2,關(guān)鍵字請(qǐng)勿外泄的權(quán)重值為3。定義了內(nèi)容過濾的告警閾值為6,阻斷閾值為10。如果設(shè)備檢測(cè)出用戶瀏覽的網(wǎng)頁中存在一次關(guān)鍵字“加密”,兩次關(guān)鍵字為“請(qǐng)勿外泄”。以下關(guān)于權(quán)重值及用戶訪問網(wǎng)頁行為的描述,正確的是哪一項(xiàng)?A、權(quán)重值為10,不能訪問網(wǎng)頁B、權(quán)重值為8,可以訪問網(wǎng)頁C、權(quán)重值為10,可以訪問網(wǎng)頁D、權(quán)重值為8,不能訪問網(wǎng)頁答案：B解析：2+3?2=8,大于告警閾值為6,小于阻斷閾值為1022.以下關(guān)于采用虛擬隧道接口方式建立IPSec隧道的描述,錯(cuò)誤的是哪一項(xiàng)?(一個(gè)隧道口只會(huì)建立一個(gè)加密的IPSEC安全聯(lián)盟)A、需要實(shí)現(xiàn)源接口和目的接口之間路由可達(dá)B、在IPSec虛擬隧道接口(interfacetunnel口)下應(yīng)用IPSec安全框架后會(huì)根據(jù)數(shù)據(jù)流生成多條IPSec隧道C、虛擬隧道接口引用的安全提議只支持報(bào)文的封裝形式為隧道模式D、需要通過路由將數(shù)據(jù)流引到虛擬隧道接口答案：B解析：在IPsec虛擬隧道接口下應(yīng)用IPsec安全框架后,設(shè)備只會(huì)生成一條IPsec隧道。23.當(dāng)使用LDAP服務(wù)器作為認(rèn)證服務(wù)器時(shí),設(shè)備與服務(wù)器間的交互采用以下哪一種協(xié)議?A、RADIUS協(xié)議B、HTTP協(xié)議C、LDAP協(xié)議D、EAP協(xié)議答案：C24.以下關(guān)于保證帶寬和最大帶寬的描述,錯(cuò)誤的是哪一項(xiàng)?A、可以基于每IP/用戶(針對(duì)某個(gè)IP地址,你通過準(zhǔn)入認(rèn)證之后輸入的賬號(hào)密碼)設(shè)置保證帶寬(最低你會(huì)擁有多少帶寬)和最大帶寬(你最多可以使用多少帶寬)B、如果流量大于最大帶寬,則直接丟棄超出最大帶寬的流量C、如果流量小于保證帶寬,這部分流量在出接口與其它帶寬通道中同類型的流量自由競爭帶寬資源D、針對(duì)IP或用戶的保證帶寬和最大帶寬設(shè)置可實(shí)現(xiàn)更加細(xì)化的帶寬限制答案：C25.華為防火墻DDoS攻擊防范流程如下,那么以下哪一項(xiàng)是正確的流程排序?(一)系統(tǒng)啟動(dòng)流量統(tǒng)計(jì);(二)系統(tǒng)啟動(dòng)攻擊防范;(三)系統(tǒng)執(zhí)行防范動(dòng)作;(四)流量超過設(shè)定閾值;A、4-1-2-3B、1-2-4-3C、1-4-2-3D、4-1-3-2答案：C26.用戶授權(quán)是根據(jù)用戶完成認(rèn)證后進(jìn)行授權(quán),從而對(duì)用戶訪問的權(quán)限進(jìn)行管理和控制,那么以下哪一項(xiàng)不可以作為授權(quán)的參數(shù)?(IP地址只有手動(dòng)配置或DHCP自動(dòng)獲取,跟用戶授權(quán)無關(guān))A、CLB、IP地址C、VLAND、用戶組答案：B27.當(dāng)企業(yè)有訪客來臨時(shí),在方便訪客接入的同時(shí),需要對(duì)訪客訪問行為進(jìn)行管控。針對(duì)此類訪客場景,一般建議采用以下哪一種認(rèn)證方式?(訪客較多的場景用portal認(rèn)證)A、MAC旁路認(rèn)證B、Portal認(rèn)證C、802.1X認(rèn)證D、MAC認(rèn)證答案：B28.防火墻進(jìn)行郵件過濾時(shí),支持的郵件傳輸協(xié)議不包括以下哪項(xiàng)?A、SMTPSB、SMTPC、POP3D、IMAP答案：A29.以下關(guān)于部署防火墻虛擬系統(tǒng)的描述,錯(cuò)誤的是哪一項(xiàng)?(無法直接查看分配了多少會(huì)話、多少安全策略數(shù)量等)A、一個(gè)資源類可以同時(shí)被多個(gè)虛擬系統(tǒng)綁定B、在"虛擬系統(tǒng)列表"中可以查看已創(chuàng)建的虛擬系統(tǒng)及分配的資源內(nèi)容C、先配置資源類,再啟用虛擬系統(tǒng)進(jìn)行綁定D、資源類r0默認(rèn)與根系統(tǒng)綁定,不能刪除、不能修改名稱(對(duì)的)答案：B30.若想實(shí)現(xiàn)對(duì)用戶的論壇發(fā)帖、用戶登錄等行為進(jìn)行控制,應(yīng)配置以下哪一項(xiàng)HTTP行為控制?A、POST操作B、重定向C、文件上傳D、文件下載答案：A31.以下哪一項(xiàng)資源屬于給虛擬系統(tǒng)分配的定額資源?A、策略數(shù)B、VLANC、接口D、安全區(qū)域答案：D32.以下關(guān)于常用認(rèn)證方式的描述,錯(cuò)誤的是哪一項(xiàng)?(有一定安全性但不是很高)A、MAC認(rèn)證不需要安裝特殊的客戶端B、Portal認(rèn)證部署靈活,安全性很高C、MAC認(rèn)證適用于打印機(jī)、傳直機(jī)等啞終端接入認(rèn)證的場景D、802.1X認(rèn)證需部署專用的認(rèn)證服務(wù)器答案：B33.如圖所示,某企業(yè)管理員需要配置源端為/24的部門員工訪問外部網(wǎng)絡(luò),因?yàn)閳?bào)文要經(jīng)過根系統(tǒng)發(fā)送到Interet,所以需要配置相關(guān)去程的靜態(tài)路由。那么以下配置中,正確的是哪一項(xiàng)?(路由后方直接接public選項(xiàng)即可)A、[FW-VSYS_A]iproute-staticpublicB、[FW-VSYS_A]iproute-staticvpn-instancepublicC、[FW-VSYS_A]iproute-staticVirtual-if1D、[FW-VSYS_A]iproute-static54答案：A34.以下關(guān)于IPS簽名類型的描述中,哪一項(xiàng)簽名類型的動(dòng)作優(yōu)先級(jí)最高?(例外>簽名過濾器>簽名)A、例外簽名B、自定義簽名C、預(yù)定義簽名D、簽名過濾器答案：A35.如圖所示,某企業(yè)通過部署IP-Link(BFD弱化版本)來檢測(cè)鏈路故障,以下關(guān)于該場景的描述,錯(cuò)誤的是哪一項(xiàng)?(IP-LINK默認(rèn)15秒感知故障)A、防火墻發(fā)送探測(cè)報(bào)文后,在2個(gè)探測(cè)周期(默認(rèn)為10s)內(nèi)未收到響應(yīng)報(bào)文,則認(rèn)為當(dāng)前鏈路發(fā)生故障B、IP-Link可以檢測(cè)到非直連鏈路的故障,所以當(dāng)圖中鏈路發(fā)生故障,防火墻可以感知C、鏈路故障恢復(fù)后,IP-Link的狀態(tài)并不會(huì)立即變?yōu)閁PD、防火墻B會(huì)從Backup切換到Master答案：A36.企業(yè)管理員在審計(jì)的時(shí)候發(fā)現(xiàn)內(nèi)部員工在網(wǎng)絡(luò)上發(fā)表一些不合適的言論,為禁止此類情況發(fā)生,可以通過部署以下哪一項(xiàng)過濾技術(shù)來實(shí)現(xiàn)?(跟文件規(guī)范性、言語規(guī)范性相關(guān)的流量,可以依靠內(nèi)容過濾進(jìn)行阻斷)A、文件過濾B、郵件過濾C、應(yīng)用行為D、內(nèi)容過濾答案：D37.為判斷Linux主機(jī)是否被添加了非系統(tǒng)默認(rèn)或正常業(yè)務(wù)程序注冊(cè)的路徑,可查看Linux系統(tǒng)的哪一個(gè)環(huán)境變量A、$HOMEB、$SHELLC、$PATHD、$HOSTNAME答案：C38.某公司想要部署IPSec在公司總部和分支之間傳輸視頻會(huì)議等組播業(yè)務(wù),可以通過以下哪一項(xiàng)模式進(jìn)行封裝?(OVER前面的先封裝處理,只有GOIPSEC才能封裝組播數(shù)據(jù)包進(jìn)入IPSECVPN中)A、L2TPoverlPsecB、GREoverlPsecC、IPsecoverGRED、HCPoverIPSec答案：B39.某管理員想要在防火墻上開啟IP地址掃描攻擊防范功能,那么他應(yīng)該執(zhí)行以下哪一項(xiàng)命令進(jìn)行配置?A、firewalldefendip-fragmentenableB、firewalldefendip-spoofingenable(掃描網(wǎng)絡(luò)中存在哪些IP地址的)C、firewalldefendip-sweepenableD、firewalldefendport-scanenable(針對(duì)端口的掃描)答案：B40.以下關(guān)于源探測(cè)技術(shù)的描述,錯(cuò)誤的是哪一項(xiàng)?(源探測(cè)技術(shù)只能防御TCP的鏈接,UDPFlood靠的是指紋探測(cè))A、針對(duì)SYNFlood攻擊源探測(cè)技術(shù)可以驗(yàn)證客戶端的真實(shí)源B、對(duì)于HTTPFlood攻擊,防火墻收到具有相同的地址的HTTP請(qǐng)求報(bào)文數(shù)如果超過閾值,則啟動(dòng)HTTP報(bào)文源認(rèn)證C、該技術(shù)可以對(duì)源IP地址進(jìn)行探測(cè),將來自虛假源IP地址的報(bào)文進(jìn)行丟棄D、源探測(cè)技術(shù)可以防御UDPFlood攻擊答案：D41.某企業(yè)管理員在進(jìn)行日常運(yùn)維,通過displayaccess-user命令(華為設(shè)備上查看目前該網(wǎng)絡(luò)接入點(diǎn)有哪些用戶通過了準(zhǔn)入認(rèn)證登錄到網(wǎng)絡(luò)中來)來查看NAC接入用戶的信息,那么他無法查看到以下哪一項(xiàng)信息?(accounting是錯(cuò)誤的)A、DamicAccountingIDB、Userauthenticationtype(displayaccess-user+useridxx就可以看該用戶詳細(xì)上線的方式)C、UserlDD、Username答案：A解析：Userauthenticationtype:用戶的認(rèn)證類型,根據(jù)用戶的接入類型不同而不同。UserID:用戶索引。Username:用戶名。42.使用iMasterNCE-Cus作為Portal服務(wù)器時(shí),為了能夠讓iMasterNCE-Cus根據(jù)用戶的IP地址匹配對(duì)應(yīng)的Portal頁面。在接入設(shè)備配置URL模板時(shí),需要配置以下哪種URLparameter?A、ssid(無線信號(hào)的名稱)B、device-mac(接入設(shè)備的MAC地址)C、user-mac(用戶的MAC地址)D、user-ipaddress(用戶的IP地址)答案：D43.管理員在防火墻上創(chuàng)建虛擬系統(tǒng)時(shí),默認(rèn)會(huì)生成幾個(gè)安全區(qū)域?(trust、dmz、untrust、local)A、1B、2C、4D、3答案：C44.Portal認(rèn)證的認(rèn)證協(xié)議不包括以下哪一項(xiàng)?(EAP是802.1x專屬的認(rèn)證報(bào)文,跟其他認(rèn)證方式?jīng)]有任何關(guān)系)A、EAP協(xié)議B、Portal協(xié)議C、HTTP協(xié)議D、HTTPS協(xié)議答案：A45.在Linux主機(jī)上可通過以下哪一個(gè)命令查看當(dāng)前進(jìn)程的CPU、內(nèi)存利用率?A、topB、IostatC、df-hD、free-h答案：A46.以下關(guān)于雙機(jī)熱備的描述,錯(cuò)誤的是哪一項(xiàng)?(只能由配置主同步給配置備)A、負(fù)載分擔(dān)組網(wǎng)下,配置命令可以由"配置備設(shè)備"備份到"配置主設(shè)備"B、在主備備份組網(wǎng)下,配置命令和狀態(tài)信息都由主用設(shè)備備份到備用設(shè)備C、負(fù)載分擔(dān)模式組網(wǎng)中流量由兩臺(tái)設(shè)備共同處理,可以比主備備份模式或鏡像模式組網(wǎng)承擔(dān)更大的峰值流量D、負(fù)載分擔(dān)組網(wǎng)下,兩臺(tái)防火墻都是主用設(shè)備。因此如果允許兩臺(tái)主用設(shè)備之間能夠相互備份命令,那么可能就會(huì)造成兩臺(tái)設(shè)備命令相互覆蓋或沖突的問題答案：A47.如圖所示,某黑客偽造ICMPRequest報(bào)文向目標(biāo)服務(wù)器發(fā)起攻擊,此類攻擊是以下哪一種攻擊類型?A、ICMP不可達(dá)報(bào)文攻擊B、Teardrop攻擊C、Smurf攻擊D、PingofDeath攻擊答案：C48.當(dāng)使用LDAP服務(wù)器作為認(rèn)證服務(wù)器時(shí),若要進(jìn)行用戶認(rèn)證,則需要對(duì)LDAP服務(wù)器的數(shù)據(jù)進(jìn)行以下哪一種操做(查詢數(shù)據(jù)庫中是否存放了賬號(hào)密碼)A、查詢類B、刪除類C、寫入類D、更新類答案：A49.“網(wǎng)絡(luò)攻擊鏈”將網(wǎng)絡(luò)攻擊的生命周期分為了七個(gè)階段,為了使目標(biāo)達(dá)成,攻擊者首先會(huì)從以下哪一步開始?A、研究目標(biāo),獲取目標(biāo)信息B、在目標(biāo)主機(jī)中安裝木馬等工具,獲得訪問權(quán)限C、制作針對(duì)網(wǎng)絡(luò)漏洞的武器,即載荷D、攻擊者連接并操縱目標(biāo)主機(jī),獲得持續(xù)控制權(quán)限答案：A50.SSLVPN的核心功能就是Web代理,以便出差員工可以訪問內(nèi)網(wǎng)Web服務(wù)器資源。以下關(guān)于該功能的描述,錯(cuò)誤的是哪一項(xiàng)?A、WebLink模式比Web改寫模式效率高,因?yàn)閃ebLink少了加密和適配的環(huán)節(jié)B、如果使用Web改寫模式,則需要依賴IE控件使用C、如果使用Web改寫模式,可以隱藏內(nèi)網(wǎng)服務(wù)器的真實(shí)地址D、如果使用WebLink模式,防火墻會(huì)直接轉(zhuǎn)發(fā)相應(yīng)的報(bào)文,不做任何修改答案：B51.防火墻在創(chuàng)建虛擬系統(tǒng)時(shí)需要合理分配資源,但不是所有資源都需要手工分配,那么以下哪一項(xiàng)資源是系統(tǒng)定額分配的資源?A、公網(wǎng)IPB、VLANC、帶寬D、安全區(qū)域答案：D52.以下哪一項(xiàng)VPN不支持用戶認(rèn)證功能?(GRE不支持用戶認(rèn)證)A、GREoverlPSecB、L2TPoverlPSecC、IPSecD、L2TP答案：A53."永恒之藍(lán)"漏洞是windows操作系統(tǒng)的一種漏洞,攻擊者會(huì)利用該漏洞進(jìn)行攻擊。正常情況下攻擊者會(huì)通單選過掃描以下哪一個(gè)端口號(hào)來確定漏洞?A、TCP463B、TCP445C、TCP499D、TCP472答案：B54.以下關(guān)于IPSec通過ACL方式匹配感興趣流的描述,錯(cuò)誤的是哪一項(xiàng)?(解析:一個(gè)IPSec安全策略中只能引用一個(gè)ACL)A、在IPSec的應(yīng)用中,ACL規(guī)則中的permit關(guān)鍵字表示與之匹配的流量需要被IPSec保護(hù)B、在IPSec的應(yīng)用中,未匹配任何permit規(guī)則或與deny規(guī)則匹配的報(bào)文將不被保護(hù),即報(bào)文不被做任何處理而直接轉(zhuǎn)發(fā)C、若不同的數(shù)據(jù)流的安全要求相同,則可以在一條ACL中配置多條rule來保護(hù)不同的數(shù)據(jù)流D、一個(gè)IPSec安全策略中可以引用多個(gè)ACL答案：D55.以下哪一項(xiàng)是URL匹配方式的正確排序?PPT原話A、前綴匹配>后綴匹配>關(guān)鍵字匹配>精確匹配B、精確匹配>后綴匹配>前綴匹配>關(guān)鍵字匹配C、關(guān)鍵字匹配>前綴匹配>后綴匹配>精確匹配D、關(guān)鍵字匹配>后綴匹配>前綴匹配>精確匹配答案：B56.虛擬系統(tǒng)雖然相當(dāng)于一臺(tái)真實(shí)的設(shè)備,但是并非所有的配置都能支持,那么虛擬系統(tǒng)不支持以下哪一項(xiàng)配置?(LINK-GROUP是屬于一個(gè)鏈路組中的鏈路,有一個(gè)發(fā)生故障時(shí),其他接口一并給斷掉,避免流量走到了錯(cuò)誤的設(shè)備上影響轉(zhuǎn)發(fā),虛擬系統(tǒng)畢竟是虛擬機(jī),我不希望你這個(gè)虛擬機(jī)產(chǎn)生的問題,影響到了真機(jī)或其他虛擬機(jī))A、IP-Link(檢測(cè)鏈路是否正常)【秒級(jí)】B、Link-groupC、BFD(檢測(cè)鏈路是否正常)【以毫秒級(jí)為單位檢測(cè)故障】D、雙機(jī)熱備答案：B57.以下關(guān)于Eth-Trunk(鏈路聚合)特點(diǎn)的描述,錯(cuò)誤的是哪項(xiàng)?(最少為1個(gè)就夠了)A、Eth-Trunk可以是二層接口.也可以是三層接口B、Eth-Trunk是一個(gè)邏輯接口C、Eth-Trunk成員鏈路最少為2個(gè)D、Eth-Trunk活動(dòng)鏈路最少為1個(gè)答案：C58.以下哪項(xiàng)不是SSLVPN可以對(duì)移動(dòng)辦公用戶提供的內(nèi)網(wǎng)資源?A、Web資源(WEB代理)B、IP資源(網(wǎng)絡(luò)擴(kuò)展功能)C、文件資源(文件代理)D、UDP資源(沒有單獨(dú)為用戶分配UDP資源的功能)答案：D59.雙機(jī)熱備組網(wǎng)中,心跳線是兩臺(tái)防火墻交互消息了解對(duì)端狀態(tài)以及備份配置命令和各種表項(xiàng)的通道。以下關(guān)于心跳線的描述,錯(cuò)誤的是哪一項(xiàng)?(A錯(cuò)誤在管理口有實(shí)例,且HRP只采用未綁定實(shí)例的接口public口去發(fā)包)A、在設(shè)備接口不夠用的情況下,可以考慮使用管理口作為心跳接口B、兩臺(tái)防火墻的心跳接口必須加入相同的安全區(qū)城C、心跳接口的連線方式可以是直連,也可以通過交換機(jī)或路由器連接D、兩臺(tái)防火墻通過定期互相發(fā)送心跳報(bào)文檢測(cè)對(duì)端設(shè)備是否存活答案：A60.以下哪一項(xiàng)為Tracert報(bào)文攻擊的防范方法?(直接基于Tracert的工作機(jī)制攔截掉數(shù)據(jù)包)A、對(duì)ICMP不可達(dá)報(bào)文進(jìn)行丟棄,并記錄攻擊日志B、對(duì)于檢測(cè)到的超時(shí)ICMP報(bào)文或UDP報(bào)文,或者目的端口不可達(dá)的報(bào)文,給予丟棄處理C、丟棄帶有時(shí)間的IP報(bào)文D、用戶可以根據(jù)實(shí)際網(wǎng)絡(luò)需要配置允許通過的ICMP報(bào)文的最大長度,當(dāng)實(shí)際ICMP報(bào)文的長度超過該值時(shí),將丟棄該報(bào)文答案：B61.如圖所示,在雙ISP接入場景中,某企業(yè)的員工組A權(quán)限高,需享受快速網(wǎng)絡(luò),即選擇鏈路ISP1(100M)訪問互聯(lián)網(wǎng);而員工組B權(quán)限低,通過鏈路ISP2(50M)訪問互聯(lián)網(wǎng)。那么可以采用以下哪一項(xiàng)技術(shù)來滿足該需求?(不同用戶走不同網(wǎng)絡(luò),并不是關(guān)注網(wǎng)絡(luò)質(zhì)量好不好,而是能否區(qū)分用戶去做轉(zhuǎn)發(fā))A、ISP選路B、策略路由C、全局選路D、靜態(tài)路由答案：B62.如圖所示,某企業(yè)通過部署B(yǎng)FD來檢測(cè)設(shè)備間故障,以下關(guān)于該場景的描述,錯(cuò)誤的是哪一項(xiàng)?(目標(biāo)UDP3784端口發(fā)包)【沒有考慮到BFDone-arm-echo的場景、A、BFD(雙向轉(zhuǎn)發(fā)檢測(cè))報(bào)文的目的端口號(hào)是3784B、FD比普通協(xié)議能夠更快速感知鏈路故障,并在出現(xiàn)故障時(shí)通知上層協(xié)議C、安全設(shè)備如果不放行UDP報(bào)文,則無法使用BFD檢測(cè)D、如果路由器不支持BFD功能,則無法使用BFD來檢測(cè)鏈路答案：D解析：如果對(duì)端設(shè)備不支持BFD功能,則無法正常建立會(huì)話。此時(shí)可以使用基于單跳會(huì)話的BFDEcho功能來檢測(cè)鏈路。63.某企業(yè)部署WLAN時(shí)沒有測(cè)算好信號(hào)強(qiáng)弱,導(dǎo)致外部區(qū)域員工因無線信號(hào)不穩(wěn)定而掉線,用戶需要頻繁在Web瀏覽器上輸入帳號(hào)和密碼重新認(rèn)證才能接入網(wǎng)絡(luò)。為了解決這個(gè)問題,管理員可以采取哪一種認(rèn)證方式?A、MAC優(yōu)先的Portal認(rèn)證B、MAC認(rèn)證C、Portal認(rèn)證D、802.1X認(rèn)證答案：A64.某企業(yè)具有多個(gè)分支,總部的出口IP地址固定,而分支的出口IP地址是隨機(jī)的,需要在總部與分支之間建立IPSecVPN.為了減少管理和維護(hù)成本,以下哪項(xiàng)是合適的IPSecVPN配置方式?A、總部和分支采用點(diǎn)到點(diǎn)方式B、總部和分支都采用策略模板方式C、總部采用策略模板(被動(dòng)接受分支發(fā)來的IKE協(xié)商)方式。分支采用點(diǎn)對(duì)點(diǎn)方式(主動(dòng)找總部發(fā)起協(xié)商)D、總部與分支采用IKEv2方式答案：C65.以下關(guān)于智能選路的描述,錯(cuò)誤的是哪一項(xiàng)?(出站可以通過鏈路質(zhì)量負(fù)載、鏈路權(quán)重負(fù)載、ISP選路等技術(shù)決定如何出去。入站可以靠智能DNS技術(shù),讓用戶選擇從哪段鏈路進(jìn)入我們網(wǎng)絡(luò)內(nèi)部)A、智能選路不支持IPv6流量B、智能選路可以解決出站問題,不支持入站智能選路(智能DNS)C、智能選路中的智能DNS功能受License拉制D、智能選路可以解決某些帶寬大的鏈路空閑、某些帶寬小的鏈路擁塞的情況答案：B66.以下哪一種帶寬引用方式能滿足所有引用帶寬通道的帶寬策略都共同受到該帶寬通道的約束,并共享最大帶競資源?A、動(dòng)態(tài)均分B、策略共享C、策略獨(dú)占D、帶寬復(fù)用答案：B67.以下關(guān)于防火墻中父子策略配置帶寬通道限制的描述,錯(cuò)誤的是哪一項(xiàng)?(不能大于父策略,而不是不能小于)A、子策略的最大帶寬不能大于父策略(1000)B、子策略的連接數(shù)限制不能小于父策略(1000)C、同一組父子策略中,不能引用同一個(gè)帶寬通道D、同一組父子策路中,限流方式只能同時(shí)為“分別設(shè)置上下行帶寬“或者“設(shè)置總帶寬”,二者不能共同存在答案：B68.以下關(guān)于防火墻會(huì)話保持的描述,錯(cuò)誤的是哪一項(xiàng)?(只有老用戶仍然從即將過載的鏈路進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā),新用戶切換到新鏈路轉(zhuǎn)發(fā))A、該功能支持與全局選路策略聯(lián)合使用B、如果沒有開啟該功能,可能導(dǎo)致鏈路過載時(shí)引起會(huì)話重新建立的情況C、可以使用displayD、當(dāng)開啟該功能后,無論新用戶還是原用戶的流量始終都從過載鏈路轉(zhuǎn)發(fā),但是保持了會(huì)話不會(huì)中斷答案：D69.URL進(jìn)行匹配時(shí),不同的匹配方式存在優(yōu)先級(jí)順序關(guān)系。那么優(yōu)先級(jí)順序正確的排序是以下哪一項(xiàng)?(PPT原文內(nèi)容,大家可以按照嚴(yán)格程度去記憶)A、精確匹配>后綴匹配>前綴匹配>關(guān)鍵字匹配B、精確匹配>關(guān)鍵字匹配>前綴匹配>后綴匹配C、關(guān)鍵字匹配>前綴匹配>后綴匹配>精確匹配D、關(guān)鍵字匹配>后綴匹配>前綴匹配>精確匹配答案：A70.策略路由(policy-based-route)是由匹配規(guī)則(什么樣的流量是你想單獨(dú)做指揮的)和動(dòng)作(你想讓他干嘛)組成,如果流量成功匹配該策略路由規(guī)則,則執(zhí)行相應(yīng)的動(dòng)作。以下哪一項(xiàng)是策略路由不支持的動(dòng)作?(pbr)路由【只有指導(dǎo)數(shù)據(jù)包如何轉(zhuǎn)發(fā)的功能,沒有丟棄的功能】【traffic-filter流量過濾技術(shù)可以去實(shí)現(xiàn)D選項(xiàng),而不是PBR】A、不做策略路由,按照現(xiàn)有的路由表進(jìn)行轉(zhuǎn)發(fā)B、轉(zhuǎn)發(fā)其他虛擬系統(tǒng)C、把報(bào)文發(fā)送到指定的下一跳設(shè)備或者從指定出接口發(fā)送報(bào)文D、丟棄流量答案：D71.以下關(guān)于智能DNS的描述,錯(cuò)誤的是哪一項(xiàng)?(需要搭配NAT-SERVER技術(shù)一起使用,不然光解析而沒有真實(shí)的這個(gè)地址讓你去訪問的話,也沒有任何用的)A、通過配置智能DNS功能,防火墻可以將DNS回應(yīng)報(bào)文中的解析地址進(jìn)行智能的修改,使用戶能夠獲得最合適的解析地址,即與用戶屬于同一ISP網(wǎng)絡(luò)的地址B、智能DNS支持加權(quán)輪詢方式實(shí)現(xiàn)鏈路負(fù)載均衡C、智能DNS無需配合其它技術(shù),可以單獨(dú)使用D、智能能DNS分為單服務(wù)器智能DNS和多服務(wù)器智能DNS兩種場景答案：C72.以下哪一項(xiàng)不屬于畸形報(bào)文攻擊?HCIP-PPT-第八章-第十面A、WinNuke攻擊B、PingofDeath攻擊C、超大ICMP報(bào)文攻擊D、IP欺騙攻擊答案：C73.802.1X認(rèn)證支持EAP終結(jié)和EAP中繼兩種認(rèn)證方式,以下關(guān)于這兩種認(rèn)證方式的描述,錯(cuò)誤的是哪一項(xiàng)?(認(rèn)證方式不同,導(dǎo)致數(shù)據(jù)包處理方式不同,那對(duì)應(yīng)的處理協(xié)議就不一樣)A、EAP終結(jié)和EAP中繼兩種方式下,均支持EAP-TLS、EAP-TTLS、EAP-PEAP、MD5-Challenge等認(rèn)證方式B、EAP終結(jié)方式與EAP中繼方式的認(rèn)證流程相比,不同之處在于EAP認(rèn)證方法的協(xié)商C、EAP終結(jié)方式下對(duì)接入設(shè)備的要求較高,接入設(shè)備需通過標(biāo)準(zhǔn)的RADIUS協(xié)議對(duì)客戶端認(rèn)證信息進(jìn)行封裝D、EAP中繼方式下認(rèn)證服務(wù)器必須支持EAP答案：A74.以下關(guān)于IPS預(yù)定義簽名的描述,錯(cuò)誤的是哪項(xiàng)?(只可以刪除、更改、創(chuàng)建自定義簽名)A、當(dāng)預(yù)定義簽名的動(dòng)作為放行時(shí),對(duì)命中簽名的報(bào)文放行,不記錄日志B、當(dāng)預(yù)定義簽名的動(dòng)作為阻斷時(shí),阻斷命中簽名的報(bào)文,并記錄日志C、預(yù)定義簽名的內(nèi)容不是固定的,可以創(chuàng)建、修改或刪除D、當(dāng)預(yù)定義簽名的動(dòng)作為告警時(shí),對(duì)命中簽名的報(bào)文放行,但記錄日志答案：C75.某小型創(chuàng)業(yè)型公司想部署身份認(rèn)證從而保障內(nèi)網(wǎng)安全,但是資金有限。那么管理員可以部署以下哪一種認(rèn)證來滿足該小型企業(yè)的需求?A、本地認(rèn)證(不用額外采購服務(wù)器了)B、ADC、HWTACACSD、RADIUS答案：A76.對(duì)等體雙方支持的IPSec安全協(xié)議(如何加密?如何認(rèn)證?這些算法是什么?)不一致,將會(huì)造成以下哪一種后果?(A是因?yàn)閴焊鶅壕徒⒉黄饋?C和D是因?yàn)?第二階段參數(shù)不對(duì)等,不會(huì)影響第一階段IKE的協(xié)商)A、IPSec業(yè)務(wù)質(zhì)量差B、IPSecSA無法建立C、IKESA無法建立D、沒有數(shù)據(jù)流觸發(fā)IKE協(xié)商答案：B77.管理員通過CLI進(jìn)行日常維護(hù),以下哪一條命令可以幫助管理員切換到對(duì)應(yīng)的虛擬系統(tǒng)中?A、[FW]resource-classB、[FW]vsysenableC、[FW]switchvsysD、[FW]assignvni答案：C78.滲透測(cè)試中有很多類型工具供工程師模擬黑客進(jìn)行攻擊或使用,某工程師在滲透測(cè)試想破解密碼,可以使用以下哪一項(xiàng)工具進(jìn)行使用?A、ircrackB、SnortC、WiresharkD、Nessus答案：A79.對(duì)于新建網(wǎng)絡(luò)、用戶集中、信息安全要求嚴(yán)格的場合。一般采用哪一種認(rèn)證方式?A、MAC優(yōu)先的Portal認(rèn)證B、802.1X認(rèn)證C、MAC認(rèn)證D、Portal認(rèn)證答案：B80.某企業(yè)分支網(wǎng)關(guān)之間需要建立IPSec隧道,發(fā)現(xiàn)兩臺(tái)網(wǎng)關(guān)中間存在NAT設(shè)備,那么報(bào)文的端口號(hào)應(yīng)該轉(zhuǎn)換成以下哪一項(xiàng)以便支持NAT轉(zhuǎn)換?(IPSEC+NAT端口號(hào)4500)A、5120B、4600C、4800D、4500答案：D81.以下關(guān)于web代理中WebLink的描述,錯(cuò)誤的是哪一項(xiàng)?A、存在頁面兼容性問題,可能會(huì)出現(xiàn)圖片錯(cuò)位情況B、對(duì)URL不會(huì)進(jìn)行改寫,會(huì)暴露內(nèi)網(wǎng)服務(wù)器的真實(shí)地址C、存在一定的安全風(fēng)險(xiǎn)D、依賴IE控件,在非IE環(huán)境中無法正常使用答案：A82.防火墻全局選路策略有多重負(fù)載分擔(dān)模式,以下哪一種不是全局選路策略能支持的模式?(沒有出現(xiàn)鏈路二字的)A、根據(jù)鏈路權(quán)重負(fù)載分擔(dān)B、根據(jù)報(bào)文優(yōu)先級(jí)負(fù)載分擔(dān)C、根據(jù)鏈路質(zhì)量負(fù)載分擔(dān)D、根據(jù)鏈路帶寬負(fù)載分擔(dān)答案：B83.以下哪一項(xiàng)攻擊不會(huì)暴露網(wǎng)絡(luò)拓?fù)?結(jié)構(gòu))信息?A、帶路由記錄項(xiàng)的IP報(bào)文攻擊B、端口掃描攻擊C、Teardrop攻擊D、Tracert報(bào)文攻擊答案：C84.IKEv1協(xié)商階段1支持兩種協(xié)商模式,其中主模式包含幾次雙向交換?(主模式6個(gè)包完成密鑰的協(xié)商,身份的驗(yàn)證。野蠻模式3個(gè)包完成密鑰協(xié)商身份驗(yàn)證)A、1B、3C、2D、4答案：B85.以下關(guān)于ATIC系統(tǒng)架構(gòu)的描述,錯(cuò)誤的是哪一項(xiàng)?A、TIC軟件包含三部分:管理服務(wù)器、采集器和控制器B、一個(gè)管理中心可以集中管理多地域分散部署的多臺(tái)檢測(cè)和清洗設(shè)備C、SecoManager作為管理中心采用B/S架構(gòu)D、ATIC管理服務(wù)器主要是管理檢測(cè)和清洗中心設(shè)備答案：A86.以下關(guān)于WAF(專門用來防護(hù)網(wǎng)頁服務(wù)器,SQL注入,暴力破解,XSS存儲(chǔ)型、反射型)設(shè)備的描述,錯(cuò)誤的是哪一項(xiàng)?(WAF不攔UDP的,只關(guān)注TCP的HTTP這些)A、WAF設(shè)備可以對(duì)用戶的正常訪問進(jìn)行記錄并形成審計(jì)報(bào)表,用于安全審計(jì)B、WAF內(nèi)置的安全規(guī)則可以阻擋絕大部分的HTTP/HTTPS應(yīng)用層攻擊C、WAF不僅可以處理HTTP/HTTPS協(xié)議,還可以處理其他UDP協(xié)議(只攔截TCP關(guān)于HTTP、HTTPS的攻擊)D、WAF設(shè)備內(nèi)置的緩存可以保存服務(wù)器響應(yīng)的Web頁面信息答案：C87.如圖所示是802.1X認(rèn)證系統(tǒng),關(guān)于該系統(tǒng)的描述,錯(cuò)誤的是哪一項(xiàng)?A、802.1X系統(tǒng)為典型的B/S架構(gòu),可以通過瀏覽器進(jìn)行認(rèn)證B、接入設(shè)備通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備,它為客戶端提供接入局域網(wǎng)的端口,該端口可以是物理端口,也可以是邏輯端口C、認(rèn)證服務(wù)器用于實(shí)現(xiàn)對(duì)用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi),通常RADIUS服務(wù)器D、客戶端必須支持局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPoL答案：A88.ESP(封裝安全載荷)是IPSec的一種協(xié)議,用于為IP提供保密性和抗重播服務(wù),包括數(shù)據(jù)包內(nèi)容的保密性和有限的流量保密性,以下哪一項(xiàng)為ESP的協(xié)議號(hào)?(ESP是50)A、500B、51C、4500D、50答案：D89.RADIUS協(xié)議是實(shí)現(xiàn)AAA的常用協(xié)議,該協(xié)議通過以下哪一項(xiàng)端口號(hào)作為計(jì)費(fèi)端口號(hào)?(認(rèn)證端口,默認(rèn)是1812。計(jì)費(fèi)端口,默認(rèn)是1813)A、1823B、1812C、1813D、1822答案：C解析：RADIUS有時(shí)也會(huì)使用1645、1646分別作為默認(rèn)的認(rèn)證、計(jì)費(fèi)端口。90.以下哪一項(xiàng)是健康檢查無法支持的探測(cè)協(xié)議?A、UDP(大多數(shù)UDP端口你找他發(fā)包是不響應(yīng)的)B、RADIUSC、DNSD、ICMP答案：A91.如下所示是管理員在網(wǎng)絡(luò)接入設(shè)備上執(zhí)行了Portal認(rèn)證的相關(guān)配置,則該管理員在Portal認(rèn)證中使用的認(rèn)證協(xié)議是以下哪項(xiàng)?[WAC]web-auth-serverwacl[WAC-web-auth-server-wac]server-ip00[WAC-web-auth-server-wacl]port50200[WAC-web-auth-server-wacl]url00:8080/portal[WAC-web-auth-server-wacl]shared-keycipherHuawei2020[WAC-web-auth-server-wacl]quitA、CHAPB、HTTP/HTTPSC、PortalD、PAP答案：C92.以下關(guān)于SSLVPN中文件共享業(yè)務(wù)的描述,錯(cuò)誤的是哪一項(xiàng)?A、文件共享業(yè)務(wù)是通過將文件共享協(xié)議(SMB、NFS)轉(zhuǎn)換成基于SSL的超文本傳輸協(xié)議(HTTPS),實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)文件服務(wù)器的Web方式訪問B、文件共享業(yè)務(wù)僅提供上傳/下載業(yè)務(wù),出差員工無法進(jìn)行文件刪除操作C、防火墻需要放行對(duì)應(yīng)區(qū)域的報(bào)文才可使出差員工正常使用該功能(安全策略要書寫)D、企業(yè)內(nèi)網(wǎng)文件服務(wù)器可以是基于SMB協(xié)議的Windows系統(tǒng)答案：B93.以下關(guān)于虛擬接口的描述。錯(cuò)誤的是哪項(xiàng)?Virtual-if口就是每個(gè)防火墻內(nèi)部聯(lián)通其他防火墻的接口,根系統(tǒng)的虛擬接口永遠(yuǎn)為virtual-if0而不是其他的。A、虛擬系統(tǒng)之間通過虛擬接口實(shí)現(xiàn)互訪B、虛擬接口的鏈路層和協(xié)議層始終是UPC、根系統(tǒng)的虛擬接口為Virtual-if1D、虛擬接口名的格式為"Virtual-if+接口號(hào)"答案：C94.以下哪一項(xiàng)不是雙機(jī)熱備一致性檢查的內(nèi)容?(并不要求兩個(gè)防火墻接口IP地址都一樣)A、接口地址B、NAT配置C、帶寬策略D、安全策略答案：A95.防火墻最多支持幾級(jí)帶寬策略?(PPT原文)A、2B、5C、4D、3答案：C96.以下關(guān)于HWTACACS協(xié)議特征的描述,錯(cuò)誤的是哪一項(xiàng)?(也可以針對(duì)認(rèn)證報(bào)文中其他內(nèi)容進(jìn)行加密)A、基于TCP傳輸層協(xié)議,網(wǎng)絡(luò)傳輸可靠性較高B、認(rèn)證、授權(quán)和計(jì)費(fèi)功能分離,所以認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)可以分別部署在不同的服務(wù)器上C、使用共享密鑰加密方式,但是僅對(duì)認(rèn)證報(bào)文中的密碼字段進(jìn)行加密D、支持對(duì)設(shè)備上的配置命令進(jìn)行授權(quán)使用,多用于設(shè)備認(rèn)證答案：C97.以下關(guān)于郵件內(nèi)容過濾機(jī)制的描述,錯(cuò)誤的是哪一項(xiàng)?(郵件過濾也可以在入方向檢測(cè))A、郵件內(nèi)容過濾僅在出方向檢測(cè)B、防火墻篩選出郵件流量后,再檢查郵箱地址和附件大小,識(shí)別出非法郵件C、檢測(cè)到POP3或IMAP消息時(shí),如果判定為非法郵件,防火墻的響應(yīng)動(dòng)作可以是發(fā)送告警信息或阻斷郵件D、防火墻首先需要根據(jù)匹配條件識(shí)別出要進(jìn)行郵件過濾的流量答案：A98.雙機(jī)熱備雖然可以提高組網(wǎng)的可靠性,但是并非所有配置都會(huì)由主設(shè)備備份到備設(shè)備,那么以下哪一項(xiàng)配置是主備模式中不支持備份的配置?A、NATB、安全策骼C、BFDD、虛擬系統(tǒng)答案：C99.以下哪一種BFD的狀態(tài)表示已經(jīng)能夠與對(duì)端系統(tǒng)通信,同時(shí)本端希望會(huì)話進(jìn)入U(xiǎn)p狀態(tài)?A、Init(初始化階段,等待跟對(duì)方進(jìn)入U(xiǎn)P狀態(tài)了)B、WaitingC、DownD、AdminDown答案：A100.以下關(guān)于帶寬資源分配的描述,錯(cuò)誤的是哪一項(xiàng)?(虛擬系統(tǒng)的公網(wǎng)接口指的是鏈接public真機(jī)的接口)A、公網(wǎng)接口指的是連接Internet的接口B、資源類中的帶寬資源分為入方向帶寬、出方向帶寬和整體帶寬三類C、在跨虛擬系統(tǒng)轉(zhuǎn)發(fā)的場景中,Virtual-if接口默認(rèn)為公網(wǎng)接口D、一條數(shù)據(jù)流是受哪類帶寬資源限制與流量的出接口或入接口有關(guān)答案：A101.IPSec是基于定義的感興趣流觸發(fā)對(duì)特定數(shù)據(jù)的保護(hù),以下關(guān)于路由方式匹配感興趣流的描述,錯(cuò)誤的是哪一項(xiàng)?(IPSEC本身只能封裝單播報(bào)文)A、該方式不支持動(dòng)態(tài)路由協(xié)議B、通過路由將需要IPSec保護(hù)的數(shù)據(jù)流引到虛擬隧道接口,不需使用ACL定義待加/解密的流量特征C、IPSec虛擬隧道接口是一種三層邏輯接口D、所有路由到IPSec虛擬隧道接口的報(bào)文都進(jìn)行IPSec保護(hù)答案：A102.IPSec整個(gè)協(xié)議框架包含多種協(xié)議,以下哪一項(xiàng)協(xié)議不屬于IPSec協(xié)議框架?(TLS是給SSLVPN、HTTPS這類協(xié)議使用的)A、ESPB、AHC、IKED、TLS答案：D103.如圖所示,管理員在IPS設(shè)備的簽名過濾器上進(jìn)行了相關(guān)配置,用于攻擊防御,那么針對(duì)a01類型流量最后的過濾結(jié)果是以下哪一項(xiàng)?(例外簽名>簽名過濾器>簽名默認(rèn)行為)A、放行B、阻斷C、告警D、黑名單答案：C104.以下關(guān)于HTTPFlood防御的描述。錯(cuò)誤的是哪項(xiàng)?(基本式是靠重定向的方案判斷用戶是不是合法用戶,增強(qiáng)式是靠讓用戶輸入驗(yàn)證碼判斷該用戶合不合法)A、如果攻擊過程中使用的免費(fèi)代理支持重定向功能,會(huì)導(dǎo)致基本模式的防御失效B、源認(rèn)證防御方式是防御HTTPFlood最常用的手段,這種防御方式適用于客戶端為瀏覽器的HTTP服務(wù)器場景C、基于增強(qiáng)模式的防御可以通過讓用戶輸入驗(yàn)證碼,由此判斷HTTP訪問是否由真實(shí)的用戶發(fā)起D、基于基本模式的防御無法有效阻止來自非瀏覽器客戶端的訪問答案：D105.使用iMasterNCECus作為Portal服務(wù)器。在華為無線控制器上部署Portal認(rèn)證。則以下哪項(xiàng)配置不是必須的?A、URL模板B、Portal認(rèn)證模板C、認(rèn)證模板D、MAC認(rèn)證模板答案：D106.NAT穿越會(huì)話?；顧C(jī)制是NAT內(nèi)側(cè)設(shè)備會(huì)定期發(fā)送NATKeepalive報(bào)文,保證中間NAT設(shè)備上的源NAT會(huì)話不老化,默認(rèn)情況下NATKeepalive報(bào)文時(shí)間間隔為多少秒?(NATkeepalive報(bào)文默認(rèn)20秒,但是可以修改)A、20B、3C、10D、5答案：A107.管理員在防火墻上創(chuàng)建了一個(gè)虛擬系統(tǒng)vsys1,那么此虛擬系統(tǒng)對(duì)應(yīng)的管理員用戶名是以下哪一項(xiàng)?(必須是用戶名+虛擬系統(tǒng)名)A、dminB、adminvsys1C、vsys1D、adminvsys1答案：B108.終端進(jìn)行MAC認(rèn)證時(shí)使用的用戶名和密碼需要在接入設(shè)備上預(yù)先配置,缺省情況下終端進(jìn)行MAC認(rèn)證時(shí)使用的用戶名和密碼是以下哪一項(xiàng)?A、用戶名和密碼均為終端的MAC地址B、用戶名為指定用戶名,密碼是MAC地址C、用戶名為終端MAC,密碼是指定密碼D、用戶名和密碼均需要手工創(chuàng)建答案：A109.SSLVPN網(wǎng)絡(luò)擴(kuò)展功能支持建立網(wǎng)絡(luò)層VPN隧道,幫助用戶能夠訪問更加豐富的資源。該功能有兩種模式:可靠傳輸模式和快速傳輸模式。以下關(guān)于這兩種模式的描述,正確的是哪一項(xiàng)?(暫時(shí)跳過)A、可靠傳輸模式中,SSLVPN采用SSL協(xié)議封裝報(bào)文,并以UDP協(xié)議作為傳輸協(xié)議B、快速傳輸模式中,SSLVPN采用QUIC協(xié)議封裝報(bào)文,并以TCP協(xié)議作為傳輸協(xié)議C、快速傳輸模式中,遠(yuǎn)端用戶在傳輸數(shù)據(jù)前需要與虛擬網(wǎng)關(guān)建立SSLVPN隧道D、可靠傳輸模式中,遠(yuǎn)端用戶在傳輸數(shù)據(jù)前不需要與虛擬網(wǎng)關(guān)建立SSLVPN隧道答案：C110.華為防火墻提供了三個(gè)缺省的URL過濾級(jí)別,定義了各個(gè)URL分類的處理動(dòng)作。以下哪一項(xiàng)不是華為防火墻的缺省級(jí)別?(沒有危,只有低中高)A、危B、中C、高D、低答案：A111.IPSec使用證書認(rèn)證時(shí),需要驗(yàn)證對(duì)端證書的合法性,以下哪項(xiàng)不是驗(yàn)證證書合法性需要考慮的因素?(考慮到只要認(rèn)可CA即可)A、證書是否由同一方式申請(qǐng)B、證書是否位于有效期C、證書是否位于CRL存儲(chǔ)庫中D、證書是否由同一CA頒發(fā)答案：D112.滲透測(cè)試是工程師完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù),對(duì)目標(biāo)網(wǎng)絡(luò)、主機(jī)、應(yīng)用的安全作深入的探測(cè),發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測(cè)試類型也有很多類,以下哪一類測(cè)試是在知道目標(biāo)網(wǎng)站源碼、邏輯架構(gòu)和其他一些信息的情況下對(duì)其進(jìn)行滲透?A、紅盒B、黑盒C、灰盒D、白盒答案：D113.當(dāng)企業(yè)管理員配置了安全策略且配置了DNS過濾配置文件時(shí),流量命中安全策略后,DNS過濾會(huì)首先進(jìn)行以下哪一項(xiàng)處理?(一個(gè)DNS請(qǐng)求過濾的順序,優(yōu)先干掉黑名單里的DNS請(qǐng)求)A、匹配自定義分類B、匹配預(yù)定義分類C、匹配重定向D、匹配黑名單答案：D114.以下關(guān)于RADIUS和HWTACACS協(xié)議的描述,錯(cuò)誤的是哪一項(xiàng)?(觀點(diǎn)錯(cuò)誤,PPT上原話)A、都使用共享密鑰對(duì)傳輸?shù)挠脩粜畔⑦M(jìn)行加密B、都有較好的靈活性和可擴(kuò)展性C、結(jié)構(gòu)上都采用客戶端/服務(wù)器模式D、都支持對(duì)設(shè)備上的配置命令進(jìn)行授權(quán)使用答案：D115.以下關(guān)于虛擬系統(tǒng)使用限制的描述,錯(cuò)誤的是哪項(xiàng)?(虛擬系統(tǒng)管理員只能夠通過遠(yuǎn)程或web的方式登陸設(shè)備)A、只能在根系統(tǒng)中進(jìn)行系統(tǒng)軟件的升級(jí)B、如果接口已經(jīng)配置了IP地址,在分配給虛擬系統(tǒng)時(shí)會(huì)被清除C、管理口不能分配給虛擬系統(tǒng)D、虛擬系統(tǒng)管理員能通過Console口登錄設(shè)備答案：D116.IPS設(shè)備基于特定的入侵防御機(jī)制進(jìn)行工作,以下關(guān)于入侵防御機(jī)制的排序,正確的是哪項(xiàng)?A、特征匹配->重組應(yīng)用數(shù)據(jù)->協(xié)議識(shí)別和協(xié)議解析->響應(yīng)處理B、重組應(yīng)用數(shù)據(jù)->協(xié)議識(shí)別和協(xié)議解析->特征匹配>響應(yīng)處理C、重組應(yīng)用數(shù)據(jù)>特征匹配->協(xié)議識(shí)別和協(xié)議解析->響應(yīng)處理D、協(xié)議識(shí)別和協(xié)議解析->重組應(yīng)用數(shù)據(jù)->特征匹配->響應(yīng)處理答案：B117.以下關(guān)于HTTPFlood源認(rèn)證中基本模式的描述,錯(cuò)誤的是哪一項(xiàng)?(增強(qiáng)模式肯定是比基本模式更靠譜)A、僵尸工具沒有實(shí)現(xiàn)完整的HTTP協(xié)議棧,不支持自動(dòng)重定向,所以基本模式可以有效防御HTTPFlood攻擊B、如果攻擊過程中使用的免費(fèi)代理支持重定向功能,會(huì)導(dǎo)致基本模式的防御失效C、基本模式不會(huì)影響用戶體驗(yàn),所以防御效果高于增強(qiáng)模式D、基本模式可有效阻止來自非瀏覽器客戶端的訪問答案：C118.RADIUS報(bào)文類型非常豐富,不同的功能使用各自的報(bào)文。以下哪一項(xiàng)報(bào)文不屬于認(rèn)證報(bào)文?(response最后提供相關(guān)授權(quán)信息、結(jié)果等報(bào)文,說明認(rèn)證流程已經(jīng)走完了)A、ccess-AcceptB、Access-RequestC、Access-ChallengeD、Access-Response答案：D119.采用IKEv1野蠻模式建立IPSecVPN.當(dāng)檢測(cè)到存在NAT設(shè)備之后,后續(xù)從以下哪項(xiàng)的ISAKIP消息開始,端口號(hào)發(fā)生轉(zhuǎn)換?(消息3轉(zhuǎn)換端口)A、消息4B、消息3C、消息2D、消息1答案：B120.以下哪一種接入認(rèn)證方式,終端必須在認(rèn)證之前獲得IP地址?(只有portal認(rèn)證需要由portal服務(wù)器把認(rèn)證網(wǎng)頁回復(fù)給終端,那么如果終端此時(shí)沒有IP地址的話,就無法接受portal服務(wù)器發(fā)回來的網(wǎng)頁了)A、802.1X認(rèn)證B、PortalC、MAC認(rèn)證D、MAC旁路認(rèn)證答案：B121.虛擬網(wǎng)關(guān)是移動(dòng)辦公用戶通過SSLVPN訪問企業(yè)內(nèi)網(wǎng)資源的統(tǒng)一入口,以下關(guān)于虛擬網(wǎng)關(guān)的描述,錯(cuò)誤的是哪一項(xiàng)?(由于共享型就是去節(jié)約了端口、公網(wǎng)IP的方案,所以如果再不加以區(qū)分的話,就無法找到對(duì)應(yīng)設(shè)備讓你訪問)A、在部署共享型虛擬網(wǎng)關(guān)時(shí),由于使用相同的IP和端口,所以不需要使用不同的訪問路徑來區(qū)分不同的內(nèi)網(wǎng)資源B、在部署獨(dú)占性虛擬網(wǎng)關(guān)時(shí),如果不同虛擬系統(tǒng)下獨(dú)占域名,可以通過各自域名來訪問SSLVPN登錄界面C、一臺(tái)防火墻設(shè)備可以創(chuàng)建多個(gè)虛擬網(wǎng)關(guān),虛擬網(wǎng)關(guān)之間相互獨(dú)立,互不影響D、用戶通過IE內(nèi)核瀏覽器登錄虛擬網(wǎng)關(guān)使用SSLVPN業(yè)務(wù)時(shí),需要下載并安裝Active控件器答案：A122.IPS中簽名過濾器中設(shè)置的簽名動(dòng)作是統(tǒng)一的,無法修改單個(gè)簽名動(dòng)作?？紤]到各種例外情況,IPS設(shè)備提供例外簽名功能,以下哪一項(xiàng)不是例外簽名可以執(zhí)行的動(dòng)作?(簽名、簽名過濾器、例外簽名,都不具備標(biāo)記的效果)A、阻新B、標(biāo)記C、放行D、告警答案：B123.管理員在設(shè)置基于郵件協(xié)議的過濾功能時(shí),無法配置以下哪一項(xiàng)內(nèi)容?A、郵箱地址檢查B、RBL遠(yuǎn)程查詢C、附件數(shù)量控制D、附件大小答案：B124.在部署SSLVPN時(shí),企業(yè)內(nèi)部無法通過端口轉(zhuǎn)發(fā)方式提供以下哪一項(xiàng)應(yīng)用服務(wù)?(無法訪問UDP服務(wù))A、Telnet(TCP23口)B、TFTP(UDP)C、FTP(TCP21口,數(shù)據(jù)通道20口及其他TCP端口)D、Email(TCP)答案：B125.出差員工在通過SSLVPN訪問企業(yè)內(nèi)網(wǎng)資源時(shí)需要經(jīng)過一系列流程才可正常訪問,以下關(guān)于該流程的排序,正確的是哪一項(xiàng)?1用戶登錄2角色授權(quán)3資源訪問4用戶認(rèn)證(循序漸進(jìn),先登陸,再認(rèn)證登陸是否成功,成功之后再看你能訪問什么資源,最后讓你訪問該資源)A、1423B、2413C、1243D、4231答案：A126.某企業(yè)內(nèi)部員工收到的郵件中攜帶了偽裝成excel文件的exe可執(zhí)行程序附件,導(dǎo)致電腦系統(tǒng)被感染,為防止此類情況再次發(fā)生,可以部署以下哪一項(xiàng)內(nèi)容安全過濾技術(shù)?(郵件過濾只是去限制郵件收發(fā)時(shí)的規(guī)范性,文件過濾才是針對(duì)于各個(gè)協(xié)議傳輸文件時(shí),做檢測(cè)的一個(gè)技術(shù))A、內(nèi)容過濾B、郵件過濾C、文件過濾D、應(yīng)用行為答案：C127.某企業(yè)管理員在日志審計(jì)時(shí)發(fā)現(xiàn)一臺(tái)華為防火墻的系統(tǒng)日志出現(xiàn)"Emergency"告警,以下哪一種故障可能會(huì)產(chǎn)生該告警信息?(目前來看影響到業(yè)務(wù)且最嚴(yán)重的一個(gè))A、溫度超過低溫告警線B、用戶密碼錯(cuò)誤C、內(nèi)存的使用被檢測(cè)出錯(cuò)誤D、設(shè)備內(nèi)存占用率達(dá)到極限答案：C128.防火墻設(shè)備中存在一條日志信息,如下所示:Jun1202214:27:01FW3%%01UPDATE/3/LOAD_FATL(1)[182]:Failedtoloadthesignaturedatabase.(Syslogld=4).Module=IP-REPUTATION,Slot=11,CPU=0,LoadVersion=,Duration(s)=0,Reason="NoSDBversionisavailableforloading”)。則該日志中的"UPDATE"字段代表以下哪一項(xiàng)?A、日志等級(jí)B、日志信息摘要C、產(chǎn)生該日志的功能模塊D、日志描述信息答案：D129.某企業(yè)管理員在進(jìn)行日常運(yùn)維時(shí)通過displayipsecsa輸出的信息的如下,以下關(guān)于該信息的描述,錯(cuò)誤的是哪一項(xiàng)?(隧道模式,和傳輸模式)A、IPSec感興趣流是通過ACL方式進(jìn)行定義的B、IPSec安全策略的創(chuàng)建方式是通過ISAKMP方式C、從本端發(fā)出去的封裝后的IPSec報(bào)文,目的地址是D、IPSec的封裝方式是隧道模式答案：A解析：圖中可以看出IPSEC封裝模式為隧道,所以IPSec感興趣流是通過路由方式定義130.《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》將網(wǎng)絡(luò)安全事件分為四級(jí),如果預(yù)警等級(jí)是橙色預(yù)警,那么屬于以下哪一項(xiàng)安全事件?A、特別重大網(wǎng)絡(luò)安全事件B、一般網(wǎng)絡(luò)安全事件C、較大網(wǎng)絡(luò)安全事件D、重大網(wǎng)絡(luò)安全事件答案：D131.以下哪一項(xiàng)是防火墻虛擬系統(tǒng)正確的用戶名格式?A、虛擬系統(tǒng)名管理員名B、管理員名虛擬系統(tǒng)名(hutianyifinance)C、管理員名虛擬系統(tǒng)名D、虛擬系統(tǒng)名管理員名答案：B132.華為防火墻支持配置多級(jí)策略,即一條帶寬策略下可以配置多條帶寬子策略,華為防火墻最多支持幾級(jí)父子策略?(四級(jí)子策略)A、3B、4C、1D、2答案：B多選題1.如圖所示,某管理員購買了一臺(tái)IPS設(shè)備并以二層直路的方式部署在網(wǎng)絡(luò)中,以下關(guān)于該場景的描述正確的是哪些項(xiàng)?A、IPS使用固定二層接口對(duì)接入網(wǎng)絡(luò)B、該部署方式可以實(shí)現(xiàn)實(shí)時(shí)阻斷攻擊流量C、上行設(shè)備不用做任何配置調(diào)整D、下行設(shè)備需要做配置調(diào)整答案：ABC2.RADIUS協(xié)議支持使用PAP和CHAP方式對(duì)用戶的身份信息進(jìn)行驗(yàn)證,以下關(guān)于這兩種驗(yàn)證方式的描述,正確的是哪些項(xiàng)?A、PAP方式中,準(zhǔn)入控制設(shè)備和RADIUS服務(wù)器之間傳遞密碼采用密文B、與PAP認(rèn)證方式相比,CHAP認(rèn)證方式安全性更高C、在CHAP方式中,準(zhǔn)入控制設(shè)備產(chǎn)生一個(gè)16字節(jié)的隨機(jī)碼給用戶D、CHAP方式中,準(zhǔn)入控制設(shè)備和RADIUS服務(wù)器之間傳遞密碼采用明文答案：BC解析：PAP方式中,準(zhǔn)入控制設(shè)備和RADIUS服務(wù)器之間傳遞密碼采用明文,不是密文;CHAP方式中,準(zhǔn)入控制設(shè)備和RADIUS服務(wù)器之間傳遞密碼不是明文,而是通過挑戰(zhàn)-響應(yīng)機(jī)制來間接驗(yàn)證。3.某管理員將華為防火墻以旁路檢測(cè)的模式部署在企業(yè)網(wǎng)絡(luò)中,用于攻擊防范檢測(cè)。以下關(guān)于該模式使用限制的描述,正確的是哪些項(xiàng)?A、該模式支持源探測(cè)防范技術(shù)B、該模式部署時(shí),如果管理員同時(shí)在防火墻配置了DDoS攻擊防范功能,則必須同時(shí)使用ddos-modedetect-only命令C、該模式檢測(cè)到流量異常時(shí)可以實(shí)時(shí)阻斷D、該模式檢測(cè)流量異常時(shí)會(huì)產(chǎn)生流量異常日志以供管理員進(jìn)行查看答案：ABD4.DNS過濾功能是對(duì)DNS請(qǐng)求報(bào)文中的域名進(jìn)行過濾,以下關(guān)于該技術(shù)的描述,正確的是哪些項(xiàng)?A、DNS過濾可以實(shí)現(xiàn)對(duì)用戶的請(qǐng)求進(jìn)行放行、告警或者阻斷B、DNS過濾對(duì)設(shè)備的性能影響很大,需要謹(jǐn)慎使用C、DNS過濾只能控制到域名級(jí)別D、NS過濾無法針對(duì)用戶訪問請(qǐng)求引入時(shí)間段限制答案：AC5.對(duì)Windows操作系統(tǒng)進(jìn)行安全加固,可以防御以下哪些類型的攻擊?A、網(wǎng)絡(luò)病毒B、木馬程序C、密碼破解D、用戶權(quán)限篡改答案：ABCD6.某新建商場準(zhǔn)備使用Portal認(rèn)證作為用戶的接入?yún)f(xié)議,以便用戶快速接入到網(wǎng)絡(luò)中。以下關(guān)于該協(xié)議使用的描述,正確的是哪些項(xiàng)?A、Portal認(rèn)證不支持free-ruleB、如果管理員設(shè)置了重定向認(rèn)證,即使用戶輸入的訪問地址不是Portal認(rèn)證網(wǎng)站地址,被接入設(shè)備也會(huì)強(qiáng)制訪問Portal認(rèn)證網(wǎng)站C、用戶可以通過瀏覽器主動(dòng)訪問Portal認(rèn)證網(wǎng)站D、在認(rèn)證之前客戶端與接入設(shè)備之間無需建立超預(yù)連接答案：BC7.某企業(yè)管理員想要升級(jí)雙機(jī)熱備系統(tǒng)版本,那么以下正確的操作是哪些項(xiàng)?A、查看設(shè)備路由表B、先升級(jí)Standby設(shè)備,然后再升級(jí)Active設(shè)備C、確認(rèn)了當(dāng)前License的使用情況D、檢查剩余空間答案：ABCD8.以下哪些是防火墻URL過濾的匹配模式?A、后綴匹配B、模糊匹配C、精確匹配D、關(guān)鍵字匹配答案：ACD9.入侵防御系統(tǒng)是一種基于攻擊特征庫對(duì)網(wǎng)絡(luò)流量進(jìn)行入侵檢測(cè)、防御的系統(tǒng)。以下關(guān)于該系統(tǒng)的描述正確的是哪些項(xiàng)?A、該系統(tǒng)可以實(shí)時(shí)阻斷攻擊B、入侵防御特征庫可以從云端安全中心定期升級(jí)設(shè)備的特征庫,以保持入侵防御的持續(xù)有效性C、該系統(tǒng)只能檢測(cè)網(wǎng)絡(luò)層威脅,無法檢測(cè)出應(yīng)用層威脅D、華為IPS是軟件系統(tǒng),可以部署在任意服務(wù)器上進(jìn)行防御答案：AB10.防火墻在處理報(bào)文時(shí)會(huì)產(chǎn)生相應(yīng)的表項(xiàng),并基于這些表項(xiàng)對(duì)報(bào)文進(jìn)行檢測(cè)和轉(zhuǎn)發(fā)。為了保證故障切換后業(yè)務(wù)不中斷,組成雙機(jī)熱備的兩臺(tái)防火墻之間需要備份業(yè)務(wù)表項(xiàng),那么以下哪些表項(xiàng)是防火墻可以備份的表項(xiàng)?A、IPv4會(huì)話表B、AAA用戶表C、地址池D、路由表答案：ABC11.以下關(guān)于特殊報(bào)文攻擊的描述,錯(cuò)誤的是哪些項(xiàng)?A、攻擊者可以通過發(fā)送特殊控制報(bào)文探測(cè)網(wǎng)絡(luò)結(jié)構(gòu)并以此發(fā)動(dòng)真正的攻擊B、特殊控制報(bào)文攻擊并不具有探測(cè)網(wǎng)絡(luò)結(jié)構(gòu)的能力,只有掃描類型的攻擊才可以探測(cè)網(wǎng)絡(luò)C、特殊控制報(bào)文攻擊是一種潛在的攻擊行為,不具有直接的破壞行為D、特殊控制報(bào)文攻擊只能使用ICMP構(gòu)造攻擊報(bào)文答案：ABD12.管理員可以在AntiDDos防御設(shè)備上部署過濾器實(shí)現(xiàn)靜態(tài)過濾,當(dāng)協(xié)議匹配到定義的特征時(shí)便會(huì)執(zhí)行相關(guān)動(dòng)作,那么管理員可以配置以下哪些動(dòng)作對(duì)匹配的報(bào)文進(jìn)行處理?A、丟棄B、黑名單C、源探測(cè)D、源限速答案：ABCD13.防火墻在內(nèi)容過濾檢測(cè)時(shí)識(shí)別出關(guān)鍵字,可以執(zhí)行哪些影響動(dòng)作?A、刪除附件B、阻斷C、允許D、告警答案：BD14.以下哪些是帶寬通道可以執(zhí)行的處理動(dòng)作?A、丟棄超過了預(yù)先定義的最大帶寬的流量B、標(biāo)記流量的優(yōu)先級(jí),作為后續(xù)隊(duì)列調(diào)度的依據(jù)C、限制業(yè)務(wù)的連接數(shù)D、出接口限流答案：ABC15.某管理員通過配置智能選路來充分利用帶寬資源,最后選擇了基于鏈路質(zhì)量負(fù)載分擔(dān)的方式,那么管理員可以根據(jù)以下哪些參數(shù)信息來作為衡量鏈路質(zhì)量的標(biāo)準(zhǔn)?A、丟包率B、時(shí)延C、TTLD、抖動(dòng)答案：ABD16.在部署AntiDDoS時(shí)使用鏡像將流量復(fù)制到檢測(cè)中心是常見的手段,以下關(guān)于該手段的描述,正確的是哪些項(xiàng)?A、鏡像技術(shù)不影響設(shè)備對(duì)報(bào)文的正常處理B、鏡像中觀測(cè)端口是指連接監(jiān)控設(shè)備的端口,用于將鏡像端口復(fù)制過來的報(bào)文發(fā)送給監(jiān)控設(shè)備C、根據(jù)復(fù)制報(bào)文的方向,鏡像可分為上行像和下行鏡像兩種D、AntDDoS不支持本地端口鏡像答案：ABC17.為了保障企業(yè)內(nèi)網(wǎng)安全,管理員在部署SSLVPN時(shí)可以設(shè)置主機(jī)檢查策略,以此來確定用戶接入虛擬網(wǎng)關(guān)的主機(jī)是否符合安全要求。那么管理員可以基于以下哪些項(xiàng)內(nèi)容來設(shè)置主機(jī)檢查策略?A、殺擊軟件B、操作系統(tǒng)C、進(jìn)程D、注冊(cè)表答案：ABCD18.以下哪些選項(xiàng)屬于應(yīng)急響應(yīng)總結(jié)階段的操作?A、查找系統(tǒng)漏洞B、恢復(fù)數(shù)據(jù)庫數(shù)據(jù)C、應(yīng)急響應(yīng)總結(jié)D、安全事件調(diào)查答案：CD19.某企業(yè)管理員通過displaysessionpersistencetable命令查看會(huì)話保持表項(xiàng),可以看到以下哪些信息?A、會(huì)話保持模式B、會(huì)話保持表項(xiàng)的剩余老化時(shí)間C、鏈路質(zhì)量D、智能選路策略名和編號(hào)答案：ABD20.如圖所示,某企業(yè)管理員為提高網(wǎng)絡(luò)可靠性,將企業(yè)分支通過兩條鏈路與企業(yè)總部建立IPSec連接,形成兩條主備鏈路。以下關(guān)于該場景的描述,正確的是哪些項(xiàng)?A、防火墻A上需要?jiǎng)?chuàng)建兩個(gè)Tunnel接口,并借用同一個(gè)物理接口的IP地址B、防火墻B的兩個(gè)物理接口上需要應(yīng)用不同的IPSec安全策路C、防火墻A上只需要?jiǎng)?chuàng)建一個(gè)IPSec安全策略,并應(yīng)用在物理接口上D、正常情況下主備鏈路同時(shí)建立IPSec隧道,以供切換主鏈路備鏈路答案：AB21.某企業(yè)管理員想禁止員工訪問某些網(wǎng)站,規(guī)范上網(wǎng)行為。他在設(shè)置的時(shí)候發(fā)現(xiàn)URL過濾和DNS過濾都能達(dá)到目的,那么關(guān)于這兩類過濾區(qū)別的描述,正確的是哪些項(xiàng)?A、DNS過濾可以控制到目錄和文件級(jí)別B、URL過濾相比于DNS過濾可以進(jìn)行更精細(xì)控制用戶對(duì)網(wǎng)絡(luò)資源的訪問C、URL過濾僅控制HTTP/HTTPS訪問D、NS過濾在發(fā)起HTTP/HTTPS的URL請(qǐng)求階段進(jìn)行控制答案：BC22.帶寬資源分為入方向帶寬、出方向帶寬和整體帶寬三類,作為管理員必須需要分清這三種帶寬資源的區(qū)別,防止部署策略時(shí)弄錯(cuò)流量方向,那么以下關(guān)于帶寬資源的描述,正確的是哪些項(xiàng)?A、整體流量:虛擬系統(tǒng)的全部流量=入方向流量+出方向流量B、出方向流量:從私網(wǎng)接口流向公網(wǎng)接口的流量,受出方向帶寬的限制C、入方向流量:從公網(wǎng)接口流向私網(wǎng)接口的流量,受入方向帶寬的限制D、整體流量:私網(wǎng)接口到私網(wǎng)接口的流量+公網(wǎng)接口到公網(wǎng)接口的流星答案：BC23.在Windows主機(jī)上通過netstat命令查看網(wǎng)絡(luò)連接時(shí),可以看到以下哪些輸出信息?A、源IP地址和源端口B、目的IP地址和目的端口C、協(xié)議號(hào)D、連接狀態(tài)答案：ABD24.以下關(guān)于使用ACL作為IPSec感興趣流匹配規(guī)則的描述,正確的是哪些項(xiàng)?A、同一個(gè)IPSec安全策略組中配置的ACL可以包含相同的rule規(guī)則B、若不同的數(shù)據(jù)流有不同的安全要求,則需要?jiǎng)?chuàng)建不同的ACL和相應(yīng)的IPSec安全策略C、如果應(yīng)用IPSec安全策略的接口同時(shí)配置了NAT,由于設(shè)備先執(zhí)行NAT,會(huì)導(dǎo)致IPSec不生效。此時(shí)需要將D、IPSec隧道兩端ACL規(guī)則定義的協(xié)議類型要一致。答案：BCD25.AH和ESP是IPSec中提供安全服務(wù)的重要協(xié)議,以下哪些安全特性這兩個(gè)協(xié)議都能夠支持?A、數(shù)據(jù)完整性校驗(yàn)B、數(shù)據(jù)加密C、數(shù)據(jù)源驗(yàn)證D、防報(bào)文重放攻擊答案：ACD26.IPS的簽名過濾器支持對(duì)以下哪些操作系統(tǒng)類型進(jìn)行過濾?(都支持,都選擇)A、Unix-likeB、IOSC、AndroidD、Windows答案：ABCD27.華為HWTACACS認(rèn)證方案中,以下哪些報(bào)文是HWTACACS的計(jì)費(fèi)報(bào)文?(稍后文檔截圖)A、ccountingReplyB、AccountingResponseC、AccountingRequestD、AccountingStart答案：BC28.某企業(yè)管理員在防火墻上部署了Portal認(rèn)證,員工只有通過認(rèn)證后才能訪問網(wǎng)絡(luò)資源,但是實(shí)際部署員工反饋訪問網(wǎng)絡(luò)時(shí)無法重定向至認(rèn)證頁面。那么以下哪些原因可能造成此類情況?A、員工PC與認(rèn)證頁面網(wǎng)絡(luò)不通B、防火墻安全策略配置錯(cuò)誤C、瀏覽器SSL版本與FT認(rèn)證頁面SSL版本不匹配D、防火墻未開啟Web認(rèn)證功能答案：ABCD29.AntiDDoS解決方案中檢測(cè)中心負(fù)責(zé)對(duì)流量進(jìn)行檢測(cè),并將發(fā)現(xiàn)的異常上報(bào)給管理中心,以下關(guān)于檢測(cè)中心中檢測(cè)技術(shù)的描述,正確的是哪些項(xiàng)?A、基于Netflow的流量檢測(cè)技術(shù)可以用于檢測(cè)小流量攻擊B、基于Netflow的流量檢測(cè)技術(shù)可以檢測(cè)出應(yīng)用層攻擊和異常報(bào)文C、逐包檢測(cè)對(duì)設(shè)備的性能壓力遠(yuǎn)大于逐流檢測(cè)D、逐包檢測(cè)技術(shù)可以檢測(cè)大流量攻擊答案：CD30.在配額控制策略中,可以為用戶設(shè)置以下哪些策略?A、限定每日上網(wǎng)時(shí)長B、限定每月上網(wǎng)流量總額C、限定每日上網(wǎng)流量總額D、限定每月上網(wǎng)總時(shí)長答案：ABC31.Linux操作系統(tǒng)可以從以下哪些方面進(jìn)行安全加固?A、日志安全B、系統(tǒng)安全C、服務(wù)啟動(dòng)管理D、賬號(hào)安全答案：ABCD32.用戶身份認(rèn)證、授權(quán)可以在準(zhǔn)入控制設(shè)備上完成,也可以交由服務(wù)器完成。當(dāng)采用準(zhǔn)入設(shè)備進(jìn)行認(rèn)證授權(quán)時(shí)即為本地認(rèn)證,以下關(guān)于本地認(rèn)證方式的描述,正確的是哪些選項(xiàng)?A、配置本地授權(quán)時(shí),支持的授權(quán)參數(shù)有:VLAN、ACL等B、存儲(chǔ)信息量受設(shè)備硬件條件限制,一般常用于設(shè)備登錄認(rèn)證C、采用本地認(rèn)證時(shí),同樣需要第三方服務(wù)器進(jìn)行用戶信息存儲(chǔ)、校驗(yàn)等D、本地認(rèn)證的認(rèn)證速度快,可以為運(yùn)營降低成本答案：BD33.802.1X認(rèn)證根據(jù)接入設(shè)備對(duì)802.1X客戶端發(fā)送的EAPOL報(bào)文處理機(jī)制的不同,認(rèn)證方式也有所區(qū)別。以下關(guān)于EAP中繼認(rèn)證方式的描述,正確的是哪些項(xiàng)?A、認(rèn)證服務(wù)器必須支持EAPB、接入設(shè)備會(huì)將802.1X客戶端發(fā)來的EAPOL報(bào)文封裝到RADIUS報(bào)文中C、對(duì)認(rèn)證服務(wù)器的要求較低,可以節(jié)約成本D、如果采用EAP-TLS.則需要在客戶端和服務(wù)器上加載證書答案：ABD34.某企業(yè)管理員使用netstat-ano命令在排查Windows主機(jī)是否存在異常連接,通過該命令可以查看到以下哪些參數(shù)信息?A、協(xié)議B、進(jìn)程IDC、外部地址D、MAC地址答案：ABC35.以下哪些應(yīng)用協(xié)議可以承載文件?A、IMAPB、HTTPC、FTPD、POP3答案：ABCD36.在華為NGFW的IPS業(yè)務(wù)模塊日志中,會(huì)記錄以下哪些選項(xiàng)的內(nèi)容?A、攻擊者源IPB、攻擊持續(xù)時(shí)長C、簽名IDD、簽名名稱答案：ACD37.防火墻雙機(jī)熱備功能可以保證網(wǎng)絡(luò)中主用設(shè)備出現(xiàn)故障時(shí),備用設(shè)備能夠平滑地接替主用設(shè)備的工作從而實(shí)現(xiàn)業(yè)務(wù)的不間斷運(yùn)行。以下關(guān)于該技術(shù)的描述,正確的是哪些項(xiàng)?A、兩臺(tái)防火墻的心跳接口必須加入相同的安全區(qū)域B、組成雙機(jī)熱備的兩臺(tái)防火墻的系統(tǒng)軟件版本可以不一致,高版本可以兼容低版本C、雙機(jī)熱備功能不需要LicenseD、心跳接口可以使用網(wǎng)線或者光纖直連答案：ACD38.當(dāng)雙機(jī)熱備的系統(tǒng)軟件版本升級(jí)完成后,需要驗(yàn)證以下哪些事項(xiàng)?(能升級(jí)完成版本構(gòu)建雙機(jī)熱備就說明版本沒問題)A、系統(tǒng)軟件版本(你只要是能組建起雙機(jī)熱備,你們版本肯定是一樣的)B、防火墻主備狀態(tài)C、雙機(jī)倒換D、會(huì)話表答案：BCD39.證書認(rèn)證適用于以下哪些場景?A、點(diǎn)到多點(diǎn)、其中總部出口地址固定,分支出口地址不固定B、點(diǎn)到點(diǎn),其中一方IP地址不固定C、點(diǎn)到點(diǎn),雙方地址不固定D、點(diǎn)到多點(diǎn),總部出口地址和分支出口地址都不固定答案：ABCD40.在部署IPSec安全提議時(shí),以下哪些參數(shù)需要保持一致才能使隧道協(xié)商成功?A、認(rèn)證算法B、報(bào)文封裝模式C、安全協(xié)議D、加密算法答案：ABCD41.防火墻在進(jìn)行內(nèi)容過濾時(shí)識(shí)別出關(guān)鍵字,可以執(zhí)行以下哪些響應(yīng)動(dòng)作?(不要和IPS的簽名行為搞混了!!!簽名是放行、告警、阻斷!!)A、按權(quán)重操作B、告警C、阻斷D、允許答案：ABC42.某企業(yè)部署完IPSec后發(fā)現(xiàn)業(yè)務(wù)不通,經(jīng)管理員檢查后發(fā)現(xiàn)是沒有數(shù)據(jù)流觸發(fā)IKE協(xié)商,那么以下哪些原因可能導(dǎo)致此種情況?A、域間安全策略配置錯(cuò)誤B、SecurityACL與實(shí)際待保護(hù)數(shù)據(jù)流不匹配C、IPSec策略沒有正確應(yīng)用到接口上D、主機(jī)到網(wǎng)關(guān)路由不可達(dá)答案：ABCD43.以下關(guān)于GREoverIPSec的描述,正確的是哪些項(xiàng)?A、GREoverIPSec可以對(duì)收到數(shù)據(jù)的源進(jìn)行認(rèn)證B、GREoverIPSec可以封裝廣播報(bào)文C、GREoverIPSec僅支持傳輸模式D、當(dāng)網(wǎng)關(guān)之間采用GREoverIPSec連接時(shí),先進(jìn)行GRE封裝,再進(jìn)行IPSec封裝答案：AD44.某管理員使用displayhrpsiate命令查看設(shè)備的VGMP組優(yōu)先級(jí)和狀態(tài)如下,那么關(guān)于該回顯的說明,正確的是哪些項(xiàng)?A、本端VGMP組狀態(tài)由load-balance變成了activeB、對(duì)端設(shè)備狀態(tài)為slandbyC、本端VGMP組優(yōu)先級(jí)為45000D、VGMP組狀態(tài)發(fā)生變化是因?yàn)閷?duì)端設(shè)備發(fā)生了故障,VGMP組優(yōu)先級(jí)降低答案：BC45.華為Anti-DDoS防御系統(tǒng)支持以下哪些引流方式?A、靜態(tài)路由引流B、GP引流C、策略路由引流D、GREVPN引流答案：BC46.AAA可以通過多種協(xié)議來實(shí)現(xiàn),在實(shí)際應(yīng)用中,最常使用RADIUS協(xié)議。以下關(guān)于該協(xié)議的描述,正確的是哪些項(xiàng)?A、該協(xié)議適應(yīng)多種用戶接入方式,具備良好的擴(kuò)展性B、該協(xié)議基于TCP工作,因此安全性很高,廣受企業(yè)青睞C、該協(xié)議支持計(jì)費(fèi)功能D、該協(xié)議是基于B/S架構(gòu),因此使用起來非常便捷答案：ACD47.AntiDDoS設(shè)備可以自定義特征作為過濾條件,從而對(duì)特征匹配的報(bào)文執(zhí)行相應(yīng)動(dòng)作。那么以下哪些參數(shù)可以做AntiDDoS設(shè)備自定義的特性?A、源IPB、TTLC、DSCPD、協(xié)議答案：ABD48.針對(duì)HTTPFlood攻擊,華為防火墻支持以下哪些防范機(jī)制?A、基礎(chǔ)源探測(cè)B、限流C、高級(jí)源探測(cè)D、302重定向答案：ACD49.在文件過濾中,防火墻對(duì)接收的文件可以識(shí)別以下哪些屬性?A、文件傳輸方向B、文件類型C、文件擴(kuò)展名D、承載文件的應(yīng)用協(xié)議答案：ABCD50.GREoverIPSec可以封裝以下哪些協(xié)議?A、OSPF協(xié)議B、IPX協(xié)議C、IPv6協(xié)議D、VRRP協(xié)議答案：ABC51.華為入侵防御系統(tǒng)可以抵御以下哪些攻擊?A、木馬B、廣告軟件C、目錄遍歷D、間諜軟件答案：ABCD52.Portal認(rèn)證通常也稱為Web認(rèn)證,用戶上網(wǎng)時(shí),必須在認(rèn)證網(wǎng)站進(jìn)行認(rèn)證,如果未認(rèn)證成功,僅可以訪問特定的網(wǎng)絡(luò)資源,認(rèn)證成功后,才可以訪問其他網(wǎng)絡(luò)資源。以下關(guān)于Portal認(rèn)證觸發(fā)方式的描述,正確的是哪些選項(xiàng)?除了DHCP不選,其他都可以選上A、客戶端發(fā)送DHCP請(qǐng)求報(bào)文觸發(fā)(獲取IP地址等相關(guān)參數(shù)的)B、用戶輸入的訪問地址不是Portal認(rèn)證網(wǎng)站地址時(shí),將被強(qiáng)制訪問Portal認(rèn)證網(wǎng)站(重定向)C、用戶通過瀏覽器主動(dòng)訪問Portal認(rèn)證網(wǎng)站觸發(fā)(直接打開)D、接入設(shè)備主動(dòng)觸發(fā)答案：BCD53.Anti-DDoS解決方案由以下哪些部分組成?A、引流中心B、檢測(cè)中心C、清洗中心D、管理中心答案：BCD54.計(jì)算機(jī)系統(tǒng)一般都存在相應(yīng)漏洞,黑客會(huì)利用這些漏洞發(fā)起一些攻擊,從而使企業(yè)遭受損失。那么黑客基于漏洞可以采取以下哪些攻擊?A、溢出攻擊B、病毒入侵C、拒絕服務(wù)D、口令破解答案：ABCD55.華為IPS(入侵防御系統(tǒng))設(shè)備直路部署在網(wǎng)絡(luò)中可以實(shí)現(xiàn)以下哪些項(xiàng)的功能?A、控制內(nèi)網(wǎng)P2P應(yīng)用濫用公網(wǎng)流量B、針對(duì)掃描攻擊進(jìn)行主動(dòng)防御C、針對(duì)漏洞進(jìn)行主動(dòng)防御D、防止內(nèi)網(wǎng)用戶受到SQL注入攻擊答案：ABCD56.如圖所示,某企業(yè)在部署AntiDDoS時(shí)采用BGP進(jìn)行引流,以下關(guān)于該場景的描述,正確的是哪些項(xiàng)?A、Router1上會(huì)生成一條32位主機(jī)UNR路由B、清洗設(shè)備的清洗口GE2/0/1與Router1的接口GE1/0/1建立BGPPeer,Router1把生成的UNR路由通過BGP發(fā)布給清洗設(shè)備C、Router1的GE1/0/1接口與清洗設(shè)備的GE2/0/1接口之間需要建立引流通道,GE2/0/1為清洗口,GE2/0/2為回注D、當(dāng)?shù)竭_(dá)防護(hù)對(duì)象IP地址/32的流量發(fā)生異常時(shí),管理中心自動(dòng)下發(fā)一條引流任務(wù)到清洗設(shè)備答案：ABCD57.某企業(yè)管理員準(zhǔn)備部署SSLVPN來幫助出差員工遠(yuǎn)程接入內(nèi)網(wǎng),在實(shí)際部署前必須了解一些注意事項(xiàng),防止部署失敗。以下關(guān)于SSLVPN使用限制的描述,正確的是哪些項(xiàng)?A、SSLVPN兼容IPV6B、當(dāng)SSLVPN采用RADIUS服務(wù)器認(rèn)證時(shí),RADIUS服務(wù)器上配置的用戶名不能帶符號(hào)C、在負(fù)載分擔(dān)組網(wǎng)下,不支持SSLVPN功能D、SSlVPN接入場景,角色和用戶相關(guān)聯(lián)時(shí),只支持角色指定所屬用戶組及其父組,不支持指定所屬用戶組父組的父組答案：ACD58.管理員在部署IPSec時(shí)需要知