HCIP安全認證考試題庫（含答案）

PAGEPAGE1HCIP安全認證考試題庫（含答案）一、單選題1.單包攻擊的類型多種多樣,以下哪一項攻擊屬于畸形報文攻擊?【構(gòu)建出了一個錯誤的數(shù)據(jù)包,影響設(shè)備轉(zhuǎn)發(fā)】A、PingofDeath攻擊B、ICMP重定向攻擊C、IP地址掃描攻擊D、Tracert攻擊答案：A2.以下關(guān)于web代理中web改寫的描述,錯誤的是哪一項?A、可能造成字體不全B、可以隱藏內(nèi)網(wǎng)服務(wù)器地址,安全性較高C、可能造成圖片錯位D、依賴IE控件答案：D3.華為準入控制方案中,接入設(shè)備接收到RADIUS服務(wù)器的CoA-Request報文或者DM-Request報文后,根據(jù)報文中的哪一個RADIUS屬性來識別用戶?(NAS識別用戶)A、called-Station-IdB、Filter-IdC、NAS-IP-AddressD、calling-Station-Id答案：C4.以下關(guān)于健康檢查的描述,錯誤的是哪一項?(健康度檢查不就是為了快速感知到某段鏈路出現(xiàn)異常,然后對流量切換路徑嗎)A、健康檢查支持DNS探測協(xié)議(ICMP、DNS、TCP、UDP)B、防火墻通過健康檢查結(jié)果可以實時感知網(wǎng)絡(luò)連通性C、健康檢查功能不支持與策略路由結(jié)合使用D、除了檢測鏈路連通性外,健康檢查還可以實時檢測鏈路的時延、抖動和丟包率答案：C5.以下關(guān)于Anti-DDoS設(shè)備部署模式的描述,錯誤的是哪一項?(不一定需要聯(lián)動部署,可以二合一部署旁掛式的ANTIDDOS設(shè)備)A、旁路部署可以不影響原有組網(wǎng)架構(gòu)B、直路部署組網(wǎng)簡單,不需要額外增加接口C、直路部署時僅部署清洗設(shè)備即可D、旁路部署必須使用檢測和清洗設(shè)備聯(lián)動部署答案：D6.以下關(guān)于IP-Link探測技術(shù)的描述,錯誤的是哪一項?(ARP只能探測同網(wǎng)段節(jié)點是否正常,二層探測,DMAC為全F)A、如果檢測到鏈路發(fā)生故障,IP-Link的狀態(tài)會變?yōu)镈OWNB、ICMP探測模式適用于探測二層網(wǎng)絡(luò)的連通性C、IP-Link可以檢測到非直連鏈路的故障D、ARP探測模式適用于探測三層網(wǎng)絡(luò)的連通性答案：D7.為了對用戶的瀏覽網(wǎng)頁行為進行控制,如禁止訪問某些網(wǎng)頁,可以對HTTP以下哪一項報文進行檢測?(HTTPget是用戶向web服務(wù)器發(fā)起請求的消息,阻斷該消息就可以讓對方接收不到請求包)A、HTTPConnectB、HTTPGetC、HTTPOptionsD、HTTPDelete答案：B8.每一個引用帶寬通道的帶寬策略都獨自受到該帶寬通道的約束,即符合該帶寬策略匹配條件的流量,獨享最大帶寬資源。以下哪一選項屬于這種帶寬通道的引用方式?A、帶寬復(fù)用B、寬帶獨占C、寬帶共享D、動態(tài)均分答案：B9.以下哪一項場景推薦便用Portal認證?(認證前域【用戶在通過認證前能訪問哪些資源】、認證后域【用戶在通過認證后能訪問哪些資源】、隔離域【用戶認證失敗了能訪問哪些資源】)A、管理訪客接入內(nèi)網(wǎng)B、用戶使用NAC客戶端(要下載APP)進行認證C、IP電話(網(wǎng)絡(luò)打印機)D、用戶關(guān)注微信進行認證答案：D10.AAA作為網(wǎng)絡(luò)安全的一種管理機制不包含以下哪一項訪問控制?(認證、授權(quán)、計費)A、udit(審計)B、Accounting(計費)C、Authorization(授權(quán))D、Authentication(認證)答案：A11.管理員想要使用正則表達去匹配URL:/sport/cn/index.php?,那么以下哪一項書寫能匹配該URL??任意htmlA、?htmlB、?index.AspC、?D、?sport/cn?(關(guān)鍵字匹配的方案可以匹配該URL鏈接)答案：D12.以下哪項參數(shù)不是全局選路策略分類的條件?(A選項是策略路由可以去選擇路徑的參數(shù),而非根據(jù)鏈路情況去選擇的參數(shù))A、端口號(策略路由選路策略)B、帶寬C、權(quán)重D、質(zhì)量答案：A13.訪客通過Portal認證方式接入企業(yè)網(wǎng)絡(luò)時,為保障訪客良好體驗,要求在訪客短時間離開無線網(wǎng)絡(luò)的范圍,再次進入時,無需再次輸入用戶名密碼,可以直接接入網(wǎng)絡(luò)。以下哪一種接入方式可以滿足上述需求?(首次完成PORTAL認證后,RADIUS服務(wù)器可以記錄該MAC地址【有一段時間】,在有效時間內(nèi),再次進入網(wǎng)絡(luò)不需要重復(fù)進行portal的認證)A、MAC旁路認證B、MAC認證C、MAC優(yōu)先的Portal認證D、802.1X認證答案：C14.某企業(yè)為了應(yīng)對突發(fā)安全事件,組建了一個應(yīng)急響應(yīng)小組,以便發(fā)生安全事故時立馬進行支持。這屬于應(yīng)急響應(yīng)流程中的哪一項階段?A、準備階段B、根除階段C、抑制階段D、恢復(fù)階段答案：A15.以下關(guān)于清洗中心的描述,錯誤的是哪項?(anti-ddos清洗設(shè)備,你只要ddos攻擊,web服務(wù)器ddos(cc),ICMP泛洪,UDP、TCP)A、回注方式包括:策略路由回注、靜態(tài)路由回注、VPN回注和二層回注B、清洗設(shè)備支持豐富靈活的攻擊防范技術(shù),但對于CC(web服務(wù)器ddos攻擊)攻擊、ICMP攻擊無法做到較好的防護。C、引流方式有兩種:靜態(tài)引流和動態(tài)引流D、清洗中心完成對異常流量的引流、清洗以及清洗后流量的回注等功能答案：B16.以下關(guān)于Anti-DDos系統(tǒng)的描述,錯誤的是哪一項?(C/S)A、管理中心主要完成對攻擊事件的處理、控制清洗中心的引流策略和清洗策略,并對各種攻擊事件和攻擊流量分類查看,產(chǎn)生報表B、檢測中心主要負責(zé)網(wǎng)絡(luò)流量的檢測分析C、清洗中心主要根據(jù)管理中心下發(fā)的策略進行引流、清洗,并把清洗后的正常流是回注,同時將這些動作記錄在日志中上報管理中心D、管理中心采用B/S架構(gòu),部署簡單方便,不需安裝客戶端軟件即可完成業(yè)務(wù)的管理和監(jiān)控,一個管理中心可以集中管理多地域分散部署的多臺檢測和清洗設(shè)備答案：D17.在URL過濾處理流程中,第一步執(zhí)行以下哪一項動作?(先去查看是不是HTTP的攻擊,如果不是,我再走一些別的過濾流程,如果是直接丟)A、檢測HTTP報文異常情況B、匹配黑白名單C、遠程查詢D、匹配URL分類答案：A18.以下關(guān)于LDAP協(xié)議的描述,錯誤的是哪一項?(是LDAP+Kerberos=AD)A、LDAP認證支持網(wǎng)絡(luò)設(shè)備直接與LDAP服務(wù)器進行交互B、LDAP服務(wù)器負責(zé)對來自應(yīng)用服務(wù)器的請求進行認證,同時還指定用戶訪問的資源范圍C、LDAP認證架構(gòu)中可以采用iMasterNCE-Cus認證服務(wù)器作為客戶端同步LDAP服務(wù)器上的用戶信息D、將Kerberos協(xié)議集成到AD認證過程中就是LDAP認證(說反了)答案：D19.以下關(guān)于滲透測試的描述,錯誤的是哪一項?(DDoS攻擊是不允許進行測試的)A、工程師可以未經(jīng)授權(quán)進行測試,通過這種突擊手段可以更好的檢測系統(tǒng)的弱性和漏洞,但僅限工程師針對所屬企業(yè)B、滲透測試是實施安全評估的具體手段,不同的行業(yè)、不同的評估對象使用的透測試方法區(qū)別較大C、某些特殊行業(yè)的系統(tǒng)上線前一般需要經(jīng)過滲透測試,以便及時發(fā)現(xiàn)系統(tǒng)內(nèi)部和外部潛在的安全風(fēng)險D、滲透測試目的是防御,安全專家針對漏洞產(chǎn)生的原因進行分析,提出修復(fù)建議,以防御惡意攻擊者的攻擊答案：A20.某企業(yè)管理員想實現(xiàn)限制內(nèi)網(wǎng)用戶登錄QQ賬號,則可以配置以下哪一項應(yīng)用控制行為?(ABC選項跟QQ沒有任何關(guān)系)A、HTTP行為B、FTP行為C、SSH行為D、IM行為答案：D21.管理員在防火墻上定義了兩個需要識別的關(guān)鍵字,關(guān)鍵字加密的權(quán)重值為2,關(guān)鍵字請勿外泄的權(quán)重值為3。定義了內(nèi)容過濾的告警閾值為6,阻斷閾值為10。如果設(shè)備檢測出用戶瀏覽的網(wǎng)頁中存在一次關(guān)鍵字“加密”,兩次關(guān)鍵字為“請勿外泄”。以下關(guān)于權(quán)重值及用戶訪問網(wǎng)頁行為的描述,正確的是哪一項?A、權(quán)重值為10,不能訪問網(wǎng)頁B、權(quán)重值為8,可以訪問網(wǎng)頁C、權(quán)重值為10,可以訪問網(wǎng)頁D、權(quán)重值為8,不能訪問網(wǎng)頁答案：B解析：2+3?2=8,大于告警閾值為6,小于阻斷閾值為1022.以下關(guān)于采用虛擬隧道接口方式建立IPSec隧道的描述,錯誤的是哪一項?(一個隧道口只會建立一個加密的IPSEC安全聯(lián)盟)A、需要實現(xiàn)源接口和目的接口之間路由可達B、在IPSec虛擬隧道接口(interfacetunnel口)下應(yīng)用IPSec安全框架后會根據(jù)數(shù)據(jù)流生成多條IPSec隧道C、虛擬隧道接口引用的安全提議只支持報文的封裝形式為隧道模式D、需要通過路由將數(shù)據(jù)流引到虛擬隧道接口答案：B解析：在IPsec虛擬隧道接口下應(yīng)用IPsec安全框架后,設(shè)備只會生成一條IPsec隧道。23.當(dāng)使用LDAP服務(wù)器作為認證服務(wù)器時,設(shè)備與服務(wù)器間的交互采用以下哪一種協(xié)議?A、RADIUS協(xié)議B、HTTP協(xié)議C、LDAP協(xié)議D、EAP協(xié)議答案：C24.以下關(guān)于保證帶寬和最大帶寬的描述,錯誤的是哪一項?A、可以基于每IP/用戶(針對某個IP地址,你通過準入認證之后輸入的賬號密碼)設(shè)置保證帶寬(最低你會擁有多少帶寬)和最大帶寬(你最多可以使用多少帶寬)B、如果流量大于最大帶寬,則直接丟棄超出最大帶寬的流量C、如果流量小于保證帶寬,這部分流量在出接口與其它帶寬通道中同類型的流量自由競爭帶寬資源D、針對IP或用戶的保證帶寬和最大帶寬設(shè)置可實現(xiàn)更加細化的帶寬限制答案：C25.華為防火墻DDoS攻擊防范流程如下,那么以下哪一項是正確的流程排序?(一)系統(tǒng)啟動流量統(tǒng)計;(二)系統(tǒng)啟動攻擊防范;(三)系統(tǒng)執(zhí)行防范動作;(四)流量超過設(shè)定閾值;A、4-1-2-3B、1-2-4-3C、1-4-2-3D、4-1-3-2答案：C26.用戶授權(quán)是根據(jù)用戶完成認證后進行授權(quán),從而對用戶訪問的權(quán)限進行管理和控制,那么以下哪一項不可以作為授權(quán)的參數(shù)?(IP地址只有手動配置或DHCP自動獲取,跟用戶授權(quán)無關(guān))A、CLB、IP地址C、VLAND、用戶組答案：B27.當(dāng)企業(yè)有訪客來臨時,在方便訪客接入的同時,需要對訪客訪問行為進行管控。針對此類訪客場景,一般建議采用以下哪一種認證方式?(訪客較多的場景用portal認證)A、MAC旁路認證B、Portal認證C、802.1X認證D、MAC認證答案：B28.防火墻進行郵件過濾時,支持的郵件傳輸協(xié)議不包括以下哪項?A、SMTPSB、SMTPC、POP3D、IMAP答案：A29.以下關(guān)于部署防火墻虛擬系統(tǒng)的描述,錯誤的是哪一項?(無法直接查看分配了多少會話、多少安全策略數(shù)量等)A、一個資源類可以同時被多個虛擬系統(tǒng)綁定B、在"虛擬系統(tǒng)列表"中可以查看已創(chuàng)建的虛擬系統(tǒng)及分配的資源內(nèi)容C、先配置資源類,再啟用虛擬系統(tǒng)進行綁定D、資源類r0默認與根系統(tǒng)綁定,不能刪除、不能修改名稱(對的)答案：B30.若想實現(xiàn)對用戶的論壇發(fā)帖、用戶登錄等行為進行控制,應(yīng)配置以下哪一項HTTP行為控制?A、POST操作B、重定向C、文件上傳D、文件下載答案：A31.以下哪一項資源屬于給虛擬系統(tǒng)分配的定額資源?A、策略數(shù)B、VLANC、接口D、安全區(qū)域答案：D32.以下關(guān)于常用認證方式的描述,錯誤的是哪一項?(有一定安全性但不是很高)A、MAC認證不需要安裝特殊的客戶端B、Portal認證部署靈活,安全性很高C、MAC認證適用于打印機、傳直機等啞終端接入認證的場景D、802.1X認證需部署專用的認證服務(wù)器答案：B33.如圖所示,某企業(yè)管理員需要配置源端為/24的部門員工訪問外部網(wǎng)絡(luò),因為報文要經(jīng)過根系統(tǒng)發(fā)送到Interet,所以需要配置相關(guān)去程的靜態(tài)路由。那么以下配置中,正確的是哪一項?(路由后方直接接public選項即可)A、[FW-VSYS_A]iproute-staticpublicB、[FW-VSYS_A]iproute-staticvpn-instancepublicC、[FW-VSYS_A]iproute-staticVirtual-if1D、[FW-VSYS_A]iproute-static54答案：A34.以下關(guān)于IPS簽名類型的描述中,哪一項簽名類型的動作優(yōu)先級最高?(例外>簽名過濾器>簽名)A、例外簽名B、自定義簽名C、預(yù)定義簽名D、簽名過濾器答案：A35.如圖所示,某企業(yè)通過部署IP-Link(BFD弱化版本)來檢測鏈路故障,以下關(guān)于該場景的描述,錯誤的是哪一項?(IP-LINK默認15秒感知故障)A、防火墻發(fā)送探測報文后,在2個探測周期(默認為10s)內(nèi)未收到響應(yīng)報文,則認為當(dāng)前鏈路發(fā)生故障B、IP-Link可以檢測到非直連鏈路的故障,所以當(dāng)圖中鏈路發(fā)生故障,防火墻可以感知C、鏈路故障恢復(fù)后,IP-Link的狀態(tài)并不會立即變?yōu)閁PD、防火墻B會從Backup切換到Master答案：A36.企業(yè)管理員在審計的時候發(fā)現(xiàn)內(nèi)部員工在網(wǎng)絡(luò)上發(fā)表一些不合適的言論,為禁止此類情況發(fā)生,可以通過部署以下哪一項過濾技術(shù)來實現(xiàn)?(跟文件規(guī)范性、言語規(guī)范性相關(guān)的流量,可以依靠內(nèi)容過濾進行阻斷)A、文件過濾B、郵件過濾C、應(yīng)用行為D、內(nèi)容過濾答案：D37.為判斷Linux主機是否被添加了非系統(tǒng)默認或正常業(yè)務(wù)程序注冊的路徑,可查看Linux系統(tǒng)的哪一個環(huán)境變量A、$HOMEB、$SHELLC、$PATHD、$HOSTNAME答案：C38.某公司想要部署IPSec在公司總部和分支之間傳輸視頻會議等組播業(yè)務(wù),可以通過以下哪一項模式進行封裝?(OVER前面的先封裝處理,只有GOIPSEC才能封裝組播數(shù)據(jù)包進入IPSECVPN中)A、L2TPoverlPsecB、GREoverlPsecC、IPsecoverGRED、HCPoverIPSec答案：B39.某管理員想要在防火墻上開啟IP地址掃描攻擊防范功能,那么他應(yīng)該執(zhí)行以下哪一項命令進行配置?A、firewalldefendip-fragmentenableB、firewalldefendip-spoofingenable(掃描網(wǎng)絡(luò)中存在哪些IP地址的)C、firewalldefendip-sweepenableD、firewalldefendport-scanenable(針對端口的掃描)答案：B40.以下關(guān)于源探測技術(shù)的描述,錯誤的是哪一項?(源探測技術(shù)只能防御TCP的鏈接,UDPFlood靠的是指紋探測)A、針對SYNFlood攻擊源探測技術(shù)可以驗證客戶端的真實源B、對于HTTPFlood攻擊,防火墻收到具有相同的地址的HTTP請求報文數(shù)如果超過閾值,則啟動HTTP報文源認證C、該技術(shù)可以對源IP地址進行探測,將來自虛假源IP地址的報文進行丟棄D、源探測技術(shù)可以防御UDPFlood攻擊答案：D41.某企業(yè)管理員在進行日常運維,通過displayaccess-user命令(華為設(shè)備上查看目前該網(wǎng)絡(luò)接入點有哪些用戶通過了準入認證登錄到網(wǎng)絡(luò)中來)來查看NAC接入用戶的信息,那么他無法查看到以下哪一項信息?(accounting是錯誤的)A、DamicAccountingIDB、Userauthenticationtype(displayaccess-user+useridxx就可以看該用戶詳細上線的方式)C、UserlDD、Username答案：A解析：Userauthenticationtype:用戶的認證類型,根據(jù)用戶的接入類型不同而不同。UserID:用戶索引。Username:用戶名。42.使用iMasterNCE-Cus作為Portal服務(wù)器時,為了能夠讓iMasterNCE-Cus根據(jù)用戶的IP地址匹配對應(yīng)的Portal頁面。在接入設(shè)備配置URL模板時,需要配置以下哪種URLparameter?A、ssid(無線信號的名稱)B、device-mac(接入設(shè)備的MAC地址)C、user-mac(用戶的MAC地址)D、user-ipaddress(用戶的IP地址)答案：D43.管理員在防火墻上創(chuàng)建虛擬系統(tǒng)時,默認會生成幾個安全區(qū)域?(trust、dmz、untrust、local)A、1B、2C、4D、3答案：C44.Portal認證的認證協(xié)議不包括以下哪一項?(EAP是802.1x專屬的認證報文,跟其他認證方式?jīng)]有任何關(guān)系)A、EAP協(xié)議B、Portal協(xié)議C、HTTP協(xié)議D、HTTPS協(xié)議答案：A45.在Linux主機上可通過以下哪一個命令查看當(dāng)前進程的CPU、內(nèi)存利用率?A、topB、IostatC、df-hD、free-h答案：A46.以下關(guān)于雙機熱備的描述,錯誤的是哪一項?(只能由配置主同步給配置備)A、負載分擔(dān)組網(wǎng)下,配置命令可以由"配置備設(shè)備"備份到"配置主設(shè)備"B、在主備備份組網(wǎng)下,配置命令和狀態(tài)信息都由主用設(shè)備備份到備用設(shè)備C、負載分擔(dān)模式組網(wǎng)中流量由兩臺設(shè)備共同處理,可以比主備備份模式或鏡像模式組網(wǎng)承擔(dān)更大的峰值流量D、負載分擔(dān)組網(wǎng)下,兩臺防火墻都是主用設(shè)備。因此如果允許兩臺主用設(shè)備之間能夠相互備份命令,那么可能就會造成兩臺設(shè)備命令相互覆蓋或沖突的問題答案：A47.如圖所示,某黑客偽造ICMPRequest報文向目標服務(wù)器發(fā)起攻擊,此類攻擊是以下哪一種攻擊類型?A、ICMP不可達報文攻擊B、Teardrop攻擊C、Smurf攻擊D、PingofDeath攻擊答案：C48.當(dāng)使用LDAP服務(wù)器作為認證服務(wù)器時,若要進行用戶認證,則需要對LDAP服務(wù)器的數(shù)據(jù)進行以下哪一種操做(查詢數(shù)據(jù)庫中是否存放了賬號密碼)A、查詢類B、刪除類C、寫入類D、更新類答案：A49.“網(wǎng)絡(luò)攻擊鏈”將網(wǎng)絡(luò)攻擊的生命周期分為了七個階段,為了使目標達成,攻擊者首先會從以下哪一步開始?A、研究目標,獲取目標信息B、在目標主機中安裝木馬等工具,獲得訪問權(quán)限C、制作針對網(wǎng)絡(luò)漏洞的武器,即載荷D、攻擊者連接并操縱目標主機,獲得持續(xù)控制權(quán)限答案：A50.SSLVPN的核心功能就是Web代理,以便出差員工可以訪問內(nèi)網(wǎng)Web服務(wù)器資源。以下關(guān)于該功能的描述,錯誤的是哪一項?A、WebLink模式比Web改寫模式效率高,因為WebLink少了加密和適配的環(huán)節(jié)B、如果使用Web改寫模式,則需要依賴IE控件使用C、如果使用Web改寫模式,可以隱藏內(nèi)網(wǎng)服務(wù)器的真實地址D、如果使用WebLink模式,防火墻會直接轉(zhuǎn)發(fā)相應(yīng)的報文,不做任何修改答案：B51.防火墻在創(chuàng)建虛擬系統(tǒng)時需要合理分配資源,但不是所有資源都需要手工分配,那么以下哪一項資源是系統(tǒng)定額分配的資源?A、公網(wǎng)IPB、VLANC、帶寬D、安全區(qū)域答案：D52.以下哪一項VPN不支持用戶認證功能?(GRE不支持用戶認證)A、GREoverlPSecB、L2TPoverlPSecC、IPSecD、L2TP答案：A53."永恒之藍"漏洞是windows操作系統(tǒng)的一種漏洞,攻擊者會利用該漏洞進行攻擊。正常情況下攻擊者會通單選過掃描以下哪一個端口號來確定漏洞?A、TCP463B、TCP445C、TCP499D、TCP472答案：B54.以下關(guān)于IPSec通過ACL方式匹配感興趣流的描述,錯誤的是哪一項?(解析:一個IPSec安全策略中只能引用一個ACL)A、在IPSec的應(yīng)用中,ACL規(guī)則中的permit關(guān)鍵字表示與之匹配的流量需要被IPSec保護B、在IPSec的應(yīng)用中,未匹配任何permit規(guī)則或與deny規(guī)則匹配的報文將不被保護,即報文不被做任何處理而直接轉(zhuǎn)發(fā)C、若不同的數(shù)據(jù)流的安全要求相同,則可以在一條ACL中配置多條rule來保護不同的數(shù)據(jù)流D、一個IPSec安全策略中可以引用多個ACL答案：D55.以下哪一項是URL匹配方式的正確排序?PPT原話A、前綴匹配>后綴匹配>關(guān)鍵字匹配>精確匹配B、精確匹配>后綴匹配>前綴匹配>關(guān)鍵字匹配C、關(guān)鍵字匹配>前綴匹配>后綴匹配>精確匹配D、關(guān)鍵字匹配>后綴匹配>前綴匹配>精確匹配答案：B56.虛擬系統(tǒng)雖然相當(dāng)于一臺真實的設(shè)備,但是并非所有的配置都能支持,那么虛擬系統(tǒng)不支持以下哪一項配置?(LINK-GROUP是屬于一個鏈路組中的鏈路,有一個發(fā)生故障時,其他接口一并給斷掉,避免流量走到了錯誤的設(shè)備上影響轉(zhuǎn)發(fā),虛擬系統(tǒng)畢竟是虛擬機,我不希望你這個虛擬機產(chǎn)生的問題,影響到了真機或其他虛擬機)A、IP-Link(檢測鏈路是否正常)【秒級】B、Link-groupC、BFD(檢測鏈路是否正常)【以毫秒級為單位檢測故障】D、雙機熱備答案：B57.以下關(guān)于Eth-Trunk(鏈路聚合)特點的描述,錯誤的是哪項?(最少為1個就夠了)A、Eth-Trunk可以是二層接口.也可以是三層接口B、Eth-Trunk是一個邏輯接口C、Eth-Trunk成員鏈路最少為2個D、Eth-Trunk活動鏈路最少為1個答案：C58.以下哪項不是SSLVPN可以對移動辦公用戶提供的內(nèi)網(wǎng)資源?A、Web資源(WEB代理)B、IP資源(網(wǎng)絡(luò)擴展功能)C、文件資源(文件代理)D、UDP資源(沒有單獨為用戶分配UDP資源的功能)答案：D59.雙機熱備組網(wǎng)中,心跳線是兩臺防火墻交互消息了解對端狀態(tài)以及備份配置命令和各種表項的通道。以下關(guān)于心跳線的描述,錯誤的是哪一項?(A錯誤在管理口有實例,且HRP只采用未綁定實例的接口public口去發(fā)包)A、在設(shè)備接口不夠用的情況下,可以考慮使用管理口作為心跳接口B、兩臺防火墻的心跳接口必須加入相同的安全區(qū)城C、心跳接口的連線方式可以是直連,也可以通過交換機或路由器連接D、兩臺防火墻通過定期互相發(fā)送心跳報文檢測對端設(shè)備是否存活答案：A60.以下哪一項為Tracert報文攻擊的防范方法?(直接基于Tracert的工作機制攔截掉數(shù)據(jù)包)A、對ICMP不可達報文進行丟棄,并記錄攻擊日志B、對于檢測到的超時ICMP報文或UDP報文,或者目的端口不可達的報文,給予丟棄處理C、丟棄帶有時間的IP報文D、用戶可以根據(jù)實際網(wǎng)絡(luò)需要配置允許通過的ICMP報文的最大長度,當(dāng)實際ICMP報文的長度超過該值時,將丟棄該報文答案：B61.如圖所示,在雙ISP接入場景中,某企業(yè)的員工組A權(quán)限高,需享受快速網(wǎng)絡(luò),即選擇鏈路ISP1(100M)訪問互聯(lián)網(wǎng);而員工組B權(quán)限低,通過鏈路ISP2(50M)訪問互聯(lián)網(wǎng)。那么可以采用以下哪一項技術(shù)來滿足該需求?(不同用戶走不同網(wǎng)絡(luò),并不是關(guān)注網(wǎng)絡(luò)質(zhì)量好不好,而是能否區(qū)分用戶去做轉(zhuǎn)發(fā))A、ISP選路B、策略路由C、全局選路D、靜態(tài)路由答案：B62.如圖所示,某企業(yè)通過部署B(yǎng)FD來檢測設(shè)備間故障,以下關(guān)于該場景的描述,錯誤的是哪一項?(目標UDP3784端口發(fā)包)【沒有考慮到BFDone-arm-echo的場景、A、BFD(雙向轉(zhuǎn)發(fā)檢測)報文的目的端口號是3784B、FD比普通協(xié)議能夠更快速感知鏈路故障,并在出現(xiàn)故障時通知上層協(xié)議C、安全設(shè)備如果不放行UDP報文,則無法使用BFD檢測D、如果路由器不支持BFD功能,則無法使用BFD來檢測鏈路答案：D解析：如果對端設(shè)備不支持BFD功能,則無法正常建立會話。此時可以使用基于單跳會話的BFDEcho功能來檢測鏈路。63.某企業(yè)部署WLAN時沒有測算好信號強弱,導(dǎo)致外部區(qū)域員工因無線信號不穩(wěn)定而掉線,用戶需要頻繁在Web瀏覽器上輸入帳號和密碼重新認證才能接入網(wǎng)絡(luò)。為了解決這個問題,管理員可以采取哪一種認證方式?A、MAC優(yōu)先的Portal認證B、MAC認證C、Portal認證D、802.1X認證答案：A64.某企業(yè)具有多個分支,總部的出口IP地址固定,而分支的出口IP地址是隨機的,需要在總部與分支之間建立IPSecVPN.為了減少管理和維護成本,以下哪項是合適的IPSecVPN配置方式?A、總部和分支采用點到點方式B、總部和分支都采用策略模板方式C、總部采用策略模板(被動接受分支發(fā)來的IKE協(xié)商)方式。分支采用點對點方式(主動找總部發(fā)起協(xié)商)D、總部與分支采用IKEv2方式答案：C65.以下關(guān)于智能選路的描述,錯誤的是哪一項?(出站可以通過鏈路質(zhì)量負載、鏈路權(quán)重負載、ISP選路等技術(shù)決定如何出去。入站可以靠智能DNS技術(shù),讓用戶選擇從哪段鏈路進入我們網(wǎng)絡(luò)內(nèi)部)A、智能選路不支持IPv6流量B、智能選路可以解決出站問題,不支持入站智能選路(智能DNS)C、智能選路中的智能DNS功能受License拉制D、智能選路可以解決某些帶寬大的鏈路空閑、某些帶寬小的鏈路擁塞的情況答案：B66.以下哪一種帶寬引用方式能滿足所有引用帶寬通道的帶寬策略都共同受到該帶寬通道的約束,并共享最大帶競資源?A、動態(tài)均分B、策略共享C、策略獨占D、帶寬復(fù)用答案：B67.以下關(guān)于防火墻中父子策略配置帶寬通道限制的描述,錯誤的是哪一項?(不能大于父策略,而不是不能小于)A、子策略的最大帶寬不能大于父策略(1000)B、子策略的連接數(shù)限制不能小于父策略(1000)C、同一組父子策略中,不能引用同一個帶寬通道D、同一組父子策路中,限流方式只能同時為“分別設(shè)置上下行帶寬“或者“設(shè)置總帶寬”,二者不能共同存在答案：B68.以下關(guān)于防火墻會話保持的描述,錯誤的是哪一項?(只有老用戶仍然從即將過載的鏈路進行業(yè)務(wù)轉(zhuǎn)發(fā),新用戶切換到新鏈路轉(zhuǎn)發(fā))A、該功能支持與全局選路策略聯(lián)合使用B、如果沒有開啟該功能,可能導(dǎo)致鏈路過載時引起會話重新建立的情況C、可以使用displayD、當(dāng)開啟該功能后,無論新用戶還是原用戶的流量始終都從過載鏈路轉(zhuǎn)發(fā),但是保持了會話不會中斷答案：D69.URL進行匹配時,不同的匹配方式存在優(yōu)先級順序關(guān)系。那么優(yōu)先級順序正確的排序是以下哪一項?(PPT原文內(nèi)容,大家可以按照嚴格程度去記憶)A、精確匹配>后綴匹配>前綴匹配>關(guān)鍵字匹配B、精確匹配>關(guān)鍵字匹配>前綴匹配>后綴匹配C、關(guān)鍵字匹配>前綴匹配>后綴匹配>精確匹配D、關(guān)鍵字匹配>后綴匹配>前綴匹配>精確匹配答案：A70.策略路由(policy-based-route)是由匹配規(guī)則(什么樣的流量是你想單獨做指揮的)和動作(你想讓他干嘛)組成,如果流量成功匹配該策略路由規(guī)則,則執(zhí)行相應(yīng)的動作。以下哪一項是策略路由不支持的動作?(pbr)路由【只有指導(dǎo)數(shù)據(jù)包如何轉(zhuǎn)發(fā)的功能,沒有丟棄的功能】【traffic-filter流量過濾技術(shù)可以去實現(xiàn)D選項,而不是PBR】A、不做策略路由,按照現(xiàn)有的路由表進行轉(zhuǎn)發(fā)B、轉(zhuǎn)發(fā)其他虛擬系統(tǒng)C、把報文發(fā)送到指定的下一跳設(shè)備或者從指定出接口發(fā)送報文D、丟棄流量答案：D71.以下關(guān)于智能DNS的描述,錯誤的是哪一項?(需要搭配NAT-SERVER技術(shù)一起使用,不然光解析而沒有真實的這個地址讓你去訪問的話,也沒有任何用的)A、通過配置智能DNS功能,防火墻可以將DNS回應(yīng)報文中的解析地址進行智能的修改,使用戶能夠獲得最合適的解析地址,即與用戶屬于同一ISP網(wǎng)絡(luò)的地址B、智能DNS支持加權(quán)輪詢方式實現(xiàn)鏈路負載均衡C、智能DNS無需配合其它技術(shù),可以單獨使用D、智能能DNS分為單服務(wù)器智能DNS和多服務(wù)器智能DNS兩種場景答案：C72.以下哪一項不屬于畸形報文攻擊?HCIP-PPT-第八章-第十面A、WinNuke攻擊B、PingofDeath攻擊C、超大ICMP報文攻擊D、IP欺騙攻擊答案：C73.802.1X認證支持EAP終結(jié)和EAP中繼兩種認證方式,以下關(guān)于這兩種認證方式的描述,錯誤的是哪一項?(認證方式不同,導(dǎo)致數(shù)據(jù)包處理方式不同,那對應(yīng)的處理協(xié)議就不一樣)A、EAP終結(jié)和EAP中繼兩種方式下,均支持EAP-TLS、EAP-TTLS、EAP-PEAP、MD5-Challenge等認證方式B、EAP終結(jié)方式與EAP中繼方式的認證流程相比,不同之處在于EAP認證方法的協(xié)商C、EAP終結(jié)方式下對接入設(shè)備的要求較高,接入設(shè)備需通過標準的RADIUS協(xié)議對客戶端認證信息進行封裝D、EAP中繼方式下認證服務(wù)器必須支持EAP答案：A74.以下關(guān)于IPS預(yù)定義簽名的描述,錯誤的是哪項?(只可以刪除、更改、創(chuàng)建自定義簽名)A、當(dāng)預(yù)定義簽名的動作為放行時,對命中簽名的報文放行,不記錄日志B、當(dāng)預(yù)定義簽名的動作為阻斷時,阻斷命中簽名的報文,并記錄日志C、預(yù)定義簽名的內(nèi)容不是固定的,可以創(chuàng)建、修改或刪除D、當(dāng)預(yù)定義簽名的動作為告警時,對命中簽名的報文放行,但記錄日志答案：C75.某小型創(chuàng)業(yè)型公司想部署身份認證從而保障內(nèi)網(wǎng)安全,但是資金有限。那么管理員可以部署以下哪一種認證來滿足該小型企業(yè)的需求?A、本地認證(不用額外采購服務(wù)器了)B、ADC、HWTACACSD、RADIUS答案：A76.對等體雙方支持的IPSec安全協(xié)議(如何加密?如何認證?這些算法是什么?)不一致,將會造成以下哪一種后果?(A是因為壓根兒就建立不起來,C和D是因為,第二階段參數(shù)不對等,不會影響第一階段IKE的協(xié)商)A、IPSec業(yè)務(wù)質(zhì)量差B、IPSecSA無法建立C、IKESA無法建立D、沒有數(shù)據(jù)流觸發(fā)IKE協(xié)商答案：B77.管理員通過CLI進行日常維護,以下哪一條命令可以幫助管理員切換到對應(yīng)的虛擬系統(tǒng)中?A、[FW]resource-classB、[FW]vsysenableC、[FW]switchvsysD、[FW]assignvni答案：C78.滲透測試中有很多類型工具供工程師模擬黑客進行攻擊或使用,某工程師在滲透測試想破解密碼,可以使用以下哪一項工具進行使用?A、ircrackB、SnortC、WiresharkD、Nessus答案：A79.對于新建網(wǎng)絡(luò)、用戶集中、信息安全要求嚴格的場合。一般采用哪一種認證方式?A、MAC優(yōu)先的Portal認證B、802.1X認證C、MAC認證D、Portal認證答案：B80.某企業(yè)分支網(wǎng)關(guān)之間需要建立IPSec隧道,發(fā)現(xiàn)兩臺網(wǎng)關(guān)中間存在NAT設(shè)備,那么報文的端口號應(yīng)該轉(zhuǎn)換成以下哪一項以便支持NAT轉(zhuǎn)換?(IPSEC+NAT端口號4500)A、5120B、4600C、4800D、4500答案：D81.以下關(guān)于web代理中WebLink的描述,錯誤的是哪一項?A、存在頁面兼容性問題,可能會出現(xiàn)圖片錯位情況B、對URL不會進行改寫,會暴露內(nèi)網(wǎng)服務(wù)器的真實地址C、存在一定的安全風(fēng)險D、依賴IE控件,在非IE環(huán)境中無法正常使用答案：A82.防火墻全局選路策略有多重負載分擔(dān)模式,以下哪一種不是全局選路策略能支持的模式?(沒有出現(xiàn)鏈路二字的)A、根據(jù)鏈路權(quán)重負載分擔(dān)B、根據(jù)報文優(yōu)先級負載分擔(dān)C、根據(jù)鏈路質(zhì)量負載分擔(dān)D、根據(jù)鏈路帶寬負載分擔(dān)答案：B83.以下哪一項攻擊不會暴露網(wǎng)絡(luò)拓撲(結(jié)構(gòu))信息?A、帶路由記錄項的IP報文攻擊B、端口掃描攻擊C、Teardrop攻擊D、Tracert報文攻擊答案：C84.IKEv1協(xié)商階段1支持兩種協(xié)商模式,其中主模式包含幾次雙向交換?(主模式6個包完成密鑰的協(xié)商,身份的驗證。野蠻模式3個包完成密鑰協(xié)商身份驗證)A、1B、3C、2D、4答案：B85.以下關(guān)于ATIC系統(tǒng)架構(gòu)的描述,錯誤的是哪一項?A、TIC軟件包含三部分:管理服務(wù)器、采集器和控制器B、一個管理中心可以集中管理多地域分散部署的多臺檢測和清洗設(shè)備C、SecoManager作為管理中心采用B/S架構(gòu)D、ATIC管理服務(wù)器主要是管理檢測和清洗中心設(shè)備答案：A86.以下關(guān)于WAF(專門用來防護網(wǎng)頁服務(wù)器,SQL注入,暴力破解,XSS存儲型、反射型)設(shè)備的描述,錯誤的是哪一項?(WAF不攔UDP的,只關(guān)注TCP的HTTP這些)A、WAF設(shè)備可以對用戶的正常訪問進行記錄并形成審計報表,用于安全審計B、WAF內(nèi)置的安全規(guī)則可以阻擋絕大部分的HTTP/HTTPS應(yīng)用層攻擊C、WAF不僅可以處理HTTP/HTTPS協(xié)議,還可以處理其他UDP協(xié)議(只攔截TCP關(guān)于HTTP、HTTPS的攻擊)D、WAF設(shè)備內(nèi)置的緩存可以保存服務(wù)器響應(yīng)的Web頁面信息答案：C87.如圖所示是802.1X認證系統(tǒng),關(guān)于該系統(tǒng)的描述,錯誤的是哪一項?A、802.1X系統(tǒng)為典型的B/S架構(gòu),可以通過瀏覽器進行認證B、接入設(shè)備通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備,它為客戶端提供接入局域網(wǎng)的端口,該端口可以是物理端口,也可以是邏輯端口C、認證服務(wù)器用于實現(xiàn)對用戶進行認證、授權(quán)和計費,通常RADIUS服務(wù)器D、客戶端必須支持局域網(wǎng)上的可擴展認證協(xié)議EAPoL答案：A88.ESP(封裝安全載荷)是IPSec的一種協(xié)議,用于為IP提供保密性和抗重播服務(wù),包括數(shù)據(jù)包內(nèi)容的保密性和有限的流量保密性,以下哪一項為ESP的協(xié)議號?(ESP是50)A、500B、51C、4500D、50答案：D89.RADIUS協(xié)議是實現(xiàn)AAA的常用協(xié)議,該協(xié)議通過以下哪一項端口號作為計費端口號?(認證端口,默認是1812。計費端口,默認是1813)A、1823B、1812C、1813D、1822答案：C解析：RADIUS有時也會使用1645、1646分別作為默認的認證、計費端口。90.以下哪一項是健康檢查無法支持的探測協(xié)議?A、UDP(大多數(shù)UDP端口你找他發(fā)包是不響應(yīng)的)B、RADIUSC、DNSD、ICMP答案：A91.如下所示是管理員在網(wǎng)絡(luò)接入設(shè)備上執(zhí)行了Portal認證的相關(guān)配置,則該管理員在Portal認證中使用的認證協(xié)議是以下哪項?[WAC]web-auth-serverwacl[WAC-web-auth-server-wac]server-ip00[WAC-web-auth-server-wacl]port50200[WAC-web-auth-server-wacl]url00:8080/portal[WAC-web-auth-server-wacl]shared-keycipherHuawei2020[WAC-web-auth-server-wacl]quitA、CHAPB、HTTP/HTTPSC、PortalD、PAP答案：C92.以下關(guān)于SSLVPN中文件共享業(yè)務(wù)的描述,錯誤的是哪一項?A、文件共享業(yè)務(wù)是通過將文件共享協(xié)議(SMB、NFS)轉(zhuǎn)換成基于SSL的超文本傳輸協(xié)議(HTTPS),實現(xiàn)對內(nèi)網(wǎng)文件服務(wù)器的Web方式訪問B、文件共享業(yè)務(wù)僅提供上傳/下載業(yè)務(wù),出差員工無法進行文件刪除操作C、防火墻需要放行對應(yīng)區(qū)域的報文才可使出差員工正常使用該功能(安全策略要書寫)D、企業(yè)內(nèi)網(wǎng)文件服務(wù)器可以是基于SMB協(xié)議的Windows系統(tǒng)答案：B93.以下關(guān)于虛擬接口的描述。錯誤的是哪項?Virtual-if口就是每個防火墻內(nèi)部聯(lián)通其他防火墻的接口,根系統(tǒng)的虛擬接口永遠為virtual-if0而不是其他的。A、虛擬系統(tǒng)之間通過虛擬接口實現(xiàn)互訪B、虛擬接口的鏈路層和協(xié)議層始終是UPC、根系統(tǒng)的虛擬接口為Virtual-if1D、虛擬接口名的格式為"Virtual-if+接口號"答案：C94.以下哪一項不是雙機熱備一致性檢查的內(nèi)容?(并不要求兩個防火墻接口IP地址都一樣)A、接口地址B、NAT配置C、帶寬策略D、安全策略答案：A95.防火墻最多支持幾級帶寬策略?(PPT原文)A、2B、5C、4D、3答案：C96.以下關(guān)于HWTACACS協(xié)議特征的描述,錯誤的是哪一項?(也可以針對認證報文中其他內(nèi)容進行加密)A、基于TCP傳輸層協(xié)議,網(wǎng)絡(luò)傳輸可靠性較高B、認證、授權(quán)和計費功能分離,所以認證、授權(quán)和計費服務(wù)可以分別部署在不同的服務(wù)器上C、使用共享密鑰加密方式,但是僅對認證報文中的密碼字段進行加密D、支持對設(shè)備上的配置命令進行授權(quán)使用,多用于設(shè)備認證答案：C97.以下關(guān)于郵件內(nèi)容過濾機制的描述,錯誤的是哪一項?(郵件過濾也可以在入方向檢測)A、郵件內(nèi)容過濾僅在出方向檢測B、防火墻篩選出郵件流量后,再檢查郵箱地址和附件大小,識別出非法郵件C、檢測到POP3或IMAP消息時,如果判定為非法郵件,防火墻的響應(yīng)動作可以是發(fā)送告警信息或阻斷郵件D、防火墻首先需要根據(jù)匹配條件識別出要進行郵件過濾的流量答案：A98.雙機熱備雖然可以提高組網(wǎng)的可靠性,但是并非所有配置都會由主設(shè)備備份到備設(shè)備,那么以下哪一項配置是主備模式中不支持備份的配置?A、NATB、安全策骼C、BFDD、虛擬系統(tǒng)答案：C99.以下哪一種BFD的狀態(tài)表示已經(jīng)能夠與對端系統(tǒng)通信,同時本端希望會話進入Up狀態(tài)?A、Init(初始化階段,等待跟對方進入UP狀態(tài)了)B、WaitingC、DownD、AdminDown答案：A100.以下關(guān)于帶寬資源分配的描述,錯誤的是哪一項?(虛擬系統(tǒng)的公網(wǎng)接口指的是鏈接public真機的接口)A、公網(wǎng)接口指的是連接Internet的接口B、資源類中的帶寬資源分為入方向帶寬、出方向帶寬和整體帶寬三類C、在跨虛擬系統(tǒng)轉(zhuǎn)發(fā)的場景中,Virtual-if接口默認為公網(wǎng)接口D、一條數(shù)據(jù)流是受哪類帶寬資源限制與流量的出接口或入接口有關(guān)答案：A101.IPSec是基于定義的感興趣流觸發(fā)對特定數(shù)據(jù)的保護,以下關(guān)于路由方式匹配感興趣流的描述,錯誤的是哪一項?(IPSEC本身只能封裝單播報文)A、該方式不支持動態(tài)路由協(xié)議B、通過路由將需要IPSec保護的數(shù)據(jù)流引到虛擬隧道接口,不需使用ACL定義待加/解密的流量特征C、IPSec虛擬隧道接口是一種三層邏輯接口D、所有路由到IPSec虛擬隧道接口的報文都進行IPSec保護答案：A102.IPSec整個協(xié)議框架包含多種協(xié)議,以下哪一項協(xié)議不屬于IPSec協(xié)議框架?(TLS是給SSLVPN、HTTPS這類協(xié)議使用的)A、ESPB、AHC、IKED、TLS答案：D103.如圖所示,管理員在IPS設(shè)備的簽名過濾器上進行了相關(guān)配置,用于攻擊防御,那么針對a01類型流量最后的過濾結(jié)果是以下哪一項?(例外簽名>簽名過濾器>簽名默認行為)A、放行B、阻斷C、告警D、黑名單答案：C104.以下關(guān)于HTTPFlood防御的描述。錯誤的是哪項?(基本式是靠重定向的方案判斷用戶是不是合法用戶,增強式是靠讓用戶輸入驗證碼判斷該用戶合不合法)A、如果攻擊過程中使用的免費代理支持重定向功能,會導(dǎo)致基本模式的防御失效B、源認證防御方式是防御HTTPFlood最常用的手段,這種防御方式適用于客戶端為瀏覽器的HTTP服務(wù)器場景C、基于增強模式的防御可以通過讓用戶輸入驗證碼,由此判斷HTTP訪問是否由真實的用戶發(fā)起D、基于基本模式的防御無法有效阻止來自非瀏覽器客戶端的訪問答案：D105.使用iMasterNCECus作為Portal服務(wù)器。在華為無線控制器上部署Portal認證。則以下哪項配置不是必須的?A、URL模板B、Portal認證模板C、認證模板D、MAC認證模板答案：D106.NAT穿越會話?；顧C制是NAT內(nèi)側(cè)設(shè)備會定期發(fā)送NATKeepalive報文,保證中間NAT設(shè)備上的源NAT會話不老化,默認情況下NATKeepalive報文時間間隔為多少秒?(NATkeepalive報文默認20秒,但是可以修改)A、20B、3C、10D、5答案：A107.管理員在防火墻上創(chuàng)建了一個虛擬系統(tǒng)vsys1,那么此虛擬系統(tǒng)對應(yīng)的管理員用戶名是以下哪一項?(必須是用戶名+虛擬系統(tǒng)名)A、dminB、adminvsys1C、vsys1D、adminvsys1答案：B108.終端進行MAC認證時使用的用戶名和密碼需要在接入設(shè)備上預(yù)先配置,缺省情況下終端進行MAC認證時使用的用戶名和密碼是以下哪一項?A、用戶名和密碼均為終端的MAC地址B、用戶名為指定用戶名,密碼是MAC地址C、用戶名為終端MAC,密碼是指定密碼D、用戶名和密碼均需要手工創(chuàng)建答案：A109.SSLVPN網(wǎng)絡(luò)擴展功能支持建立網(wǎng)絡(luò)層VPN隧道,幫助用戶能夠訪問更加豐富的資源。該功能有兩種模式:可靠傳輸模式和快速傳輸模式。以下關(guān)于這兩種模式的描述,正確的是哪一項?(暫時跳過)A、可靠傳輸模式中,SSLVPN采用SSL協(xié)議封裝報文,并以UDP協(xié)議作為傳輸協(xié)議B、快速傳輸模式中,SSLVPN采用QUIC協(xié)議封裝報文,并以TCP協(xié)議作為傳輸協(xié)議C、快速傳輸模式中,遠端用戶在傳輸數(shù)據(jù)前需要與虛擬網(wǎng)關(guān)建立SSLVPN隧道D、可靠傳輸模式中,遠端用戶在傳輸數(shù)據(jù)前不需要與虛擬網(wǎng)關(guān)建立SSLVPN隧道答案：C110.華為防火墻提供了三個缺省的URL過濾級別,定義了各個URL分類的處理動作。以下哪一項不是華為防火墻的缺省級別?(沒有危,只有低中高)A、危B、中C、高D、低答案：A111.IPSec使用證書認證時,需要驗證對端證書的合法性,以下哪項不是驗證證書合法性需要考慮的因素?(考慮到只要認可CA即可)A、證書是否由同一方式申請B、證書是否位于有效期C、證書是否位于CRL存儲庫中D、證書是否由同一CA頒發(fā)答案：D112.滲透測試是工程師完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù),對目標網(wǎng)絡(luò)、主機、應(yīng)用的安全作深入的探測,發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試類型也有很多類,以下哪一類測試是在知道目標網(wǎng)站源碼、邏輯架構(gòu)和其他一些信息的情況下對其進行滲透?A、紅盒B、黑盒C、灰盒D、白盒答案：D113.當(dāng)企業(yè)管理員配置了安全策略且配置了DNS過濾配置文件時,流量命中安全策略后,DNS過濾會首先進行以下哪一項處理?(一個DNS請求過濾的順序,優(yōu)先干掉黑名單里的DNS請求)A、匹配自定義分類B、匹配預(yù)定義分類C、匹配重定向D、匹配黑名單答案：D114.以下關(guān)于RADIUS和HWTACACS協(xié)議的描述,錯誤的是哪一項?(觀點錯誤,PPT上原話)A、都使用共享密鑰對傳輸?shù)挠脩粜畔⑦M行加密B、都有較好的靈活性和可擴展性C、結(jié)構(gòu)上都采用客戶端/服務(wù)器模式D、都支持對設(shè)備上的配置命令進行授權(quán)使用答案：D115.以下關(guān)于虛擬系統(tǒng)使用限制的描述,錯誤的是哪項?(虛擬系統(tǒng)管理員只能夠通過遠程或web的方式登陸設(shè)備)A、只能在根系統(tǒng)中進行系統(tǒng)軟件的升級B、如果接口已經(jīng)配置了IP地址,在分配給虛擬系統(tǒng)時會被清除C、管理口不能分配給虛擬系統(tǒng)D、虛擬系統(tǒng)管理員能通過Console口登錄設(shè)備答案：D116.IPS設(shè)備基于特定的入侵防御機制進行工作,以下關(guān)于入侵防御機制的排序,正確的是哪項?A、特征匹配->重組應(yīng)用數(shù)據(jù)->協(xié)議識別和協(xié)議解析->響應(yīng)處理B、重組應(yīng)用數(shù)據(jù)->協(xié)議識別和協(xié)議解析->特征匹配>響應(yīng)處理C、重組應(yīng)用數(shù)據(jù)>特征匹配->協(xié)議識別和協(xié)議解析->響應(yīng)處理D、協(xié)議識別和協(xié)議解析->重組應(yīng)用數(shù)據(jù)->特征匹配->響應(yīng)處理答案：B117.以下關(guān)于HTTPFlood源認證中基本模式的描述,錯誤的是哪一項?(增強模式肯定是比基本模式更靠譜)A、僵尸工具沒有實現(xiàn)完整的HTTP協(xié)議棧,不支持自動重定向,所以基本模式可以有效防御HTTPFlood攻擊B、如果攻擊過程中使用的免費代理支持重定向功能,會導(dǎo)致基本模式的防御失效C、基本模式不會影響用戶體驗,所以防御效果高于增強模式D、基本模式可有效阻止來自非瀏覽器客戶端的訪問答案：C118.RADIUS報文類型非常豐富,不同的功能使用各自的報文。以下哪一項報文不屬于認證報文?(response最后提供相關(guān)授權(quán)信息、結(jié)果等報文,說明認證流程已經(jīng)走完了)A、ccess-AcceptB、Access-RequestC、Access-ChallengeD、Access-Response答案：D119.采用IKEv1野蠻模式建立IPSecVPN.當(dāng)檢測到存在NAT設(shè)備之后,后續(xù)從以下哪項的ISAKIP消息開始,端口號發(fā)生轉(zhuǎn)換?(消息3轉(zhuǎn)換端口)A、消息4B、消息3C、消息2D、消息1答案：B120.以下哪一種接入認證方式,終端必須在認證之前獲得IP地址?(只有portal認證需要由portal服務(wù)器把認證網(wǎng)頁回復(fù)給終端,那么如果終端此時沒有IP地址的話,就無法接受portal服務(wù)器發(fā)回來的網(wǎng)頁了)A、802.1X認證B、PortalC、MAC認證D、MAC旁路認證答案：B121.虛擬網(wǎng)關(guān)是移動辦公用戶通過SSLVPN訪問企業(yè)內(nèi)網(wǎng)資源的統(tǒng)一入口,以下關(guān)于虛擬網(wǎng)關(guān)的描述,錯誤的是哪一項?(由于共享型就是去節(jié)約了端口、公網(wǎng)IP的方案,所以如果再不加以區(qū)分的話,就無法找到對應(yīng)設(shè)備讓你訪問)A、在部署共享型虛擬網(wǎng)關(guān)時,由于使用相同的IP和端口,所以不需要使用不同的訪問路徑來區(qū)分不同的內(nèi)網(wǎng)資源B、在部署獨占性虛擬網(wǎng)關(guān)時,如果不同虛擬系統(tǒng)下獨占域名,可以通過各自域名來訪問SSLVPN登錄界面C、一臺防火墻設(shè)備可以創(chuàng)建多個虛擬網(wǎng)關(guān),虛擬網(wǎng)關(guān)之間相互獨立,互不影響D、用戶通過IE內(nèi)核瀏覽器登錄虛擬網(wǎng)關(guān)使用SSLVPN業(yè)務(wù)時,需要下載并安裝Active控件器答案：A122.IPS中簽名過濾器中設(shè)置的簽名動作是統(tǒng)一的,無法修改單個簽名動作?？紤]到各種例外情況,IPS設(shè)備提供例外簽名功能,以下哪一項不是例外簽名可以執(zhí)行的動作?(簽名、簽名過濾器、例外簽名,都不具備標記的效果)A、阻新B、標記C、放行D、告警答案：B123.管理員在設(shè)置基于郵件協(xié)議的過濾功能時,無法配置以下哪一項內(nèi)容?A、郵箱地址檢查B、RBL遠程查詢C、附件數(shù)量控制D、附件大小答案：B124.在部署SSLVPN時,企業(yè)內(nèi)部無法通過端口轉(zhuǎn)發(fā)方式提供以下哪一項應(yīng)用服務(wù)?(無法訪問UDP服務(wù))A、Telnet(TCP23口)B、TFTP(UDP)C、FTP(TCP21口,數(shù)據(jù)通道20口及其他TCP端口)D、Email(TCP)答案：B125.出差員工在通過SSLVPN訪問企業(yè)內(nèi)網(wǎng)資源時需要經(jīng)過一系列流程才可正常訪問,以下關(guān)于該流程的排序,正確的是哪一項?1用戶登錄2角色授權(quán)3資源訪問4用戶認證(循序漸進,先登陸,再認證登陸是否成功,成功之后再看你能訪問什么資源,最后讓你訪問該資源)A、1423B、2413C、1243D、4231答案：A126.某企業(yè)內(nèi)部員工收到的郵件中攜帶了偽裝成excel文件的exe可執(zhí)行程序附件,導(dǎo)致電腦系統(tǒng)被感染,為防止此類情況再次發(fā)生,可以部署以下哪一項內(nèi)容安全過濾技術(shù)?(郵件過濾只是去限制郵件收發(fā)時的規(guī)范性,文件過濾才是針對于各個協(xié)議傳輸文件時,做檢測的一個技術(shù))A、內(nèi)容過濾B、郵件過濾C、文件過濾D、應(yīng)用行為答案：C127.某企業(yè)管理員在日志審計時發(fā)現(xiàn)一臺華為防火墻的系統(tǒng)日志出現(xiàn)"Emergency"告警,以下哪一種故障可能會產(chǎn)生該告警信息?(目前來看影響到業(yè)務(wù)且最嚴重的一個)A、溫度超過低溫告警線B、用戶密碼錯誤C、內(nèi)存的使用被檢測出錯誤D、設(shè)備內(nèi)存占用率達到極限答案：C128.防火墻設(shè)備中存在一條日志信息,如下所示:Jun1202214:27:01FW3%%01UPDATE/3/LOAD_FATL(1)[182]:Failedtoloadthesignaturedatabase.(Syslogld=4).Module=IP-REPUTATION,Slot=11,CPU=0,LoadVersion=,Duration(s)=0,Reason="NoSDBversionisavailableforloading”)。則該日志中的"UPDATE"字段代表以下哪一項?A、日志等級B、日志信息摘要C、產(chǎn)生該日志的功能模塊D、日志描述信息答案：D129.某企業(yè)管理員在進行日常運維時通過displayipsecsa輸出的信息的如下,以下關(guān)于該信息的描述,錯誤的是哪一項?(隧道模式,和傳輸模式)A、IPSec感興趣流是通過ACL方式進行定義的B、IPSec安全策略的創(chuàng)建方式是通過ISAKMP方式C、從本端發(fā)出去的封裝后的IPSec報文,目的地址是D、IPSec的封裝方式是隧道模式答案：A解析：圖中可以看出IPSEC封裝模式為隧道,所以IPSec感興趣流是通過路由方式定義130.《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》將網(wǎng)絡(luò)安全事件分為四級,如果預(yù)警等級是橙色預(yù)警,那么屬于以下哪一項安全事件?A、特別重大網(wǎng)絡(luò)安全事件B、一般網(wǎng)絡(luò)安全事件C、較大網(wǎng)絡(luò)安全事件D、重大網(wǎng)絡(luò)安全事件答案：D131.以下哪一項是防火墻虛擬系統(tǒng)正確的用戶名格式?A、虛擬系統(tǒng)名管理員名B、管理員名虛擬系統(tǒng)名(hutianyifinance)C、管理員名虛擬系統(tǒng)名D、虛擬系統(tǒng)名管理員名答案：B132.華為防火墻支持配置多級策略,即一條帶寬策略下可以配置多條帶寬子策略,華為防火墻最多支持幾級父子策略?(四級子策略)A、3B、4C、1D、2答案：B多選題1.如圖所示,某管理員購買了一臺IPS設(shè)備并以二層直路的方式部署在網(wǎng)絡(luò)中,以下關(guān)于該場景的描述正確的是哪些項?A、IPS使用固定二層接口對接入網(wǎng)絡(luò)B、該部署方式可以實現(xiàn)實時阻斷攻擊流量C、上行設(shè)備不用做任何配置調(diào)整D、下行設(shè)備需要做配置調(diào)整答案：ABC2.RADIUS協(xié)議支持使用PAP和CHAP方式對用戶的身份信息進行驗證,以下關(guān)于這兩種驗證方式的描述,正確的是哪些項?A、PAP方式中,準入控制設(shè)備和RADIUS服務(wù)器之間傳遞密碼采用密文B、與PAP認證方式相比,CHAP認證方式安全性更高C、在CHAP方式中,準入控制設(shè)備產(chǎn)生一個16字節(jié)的隨機碼給用戶D、CHAP方式中,準入控制設(shè)備和RADIUS服務(wù)器之間傳遞密碼采用明文答案：BC解析：PAP方式中,準入控制設(shè)備和RADIUS服務(wù)器之間傳遞密碼采用明文,不是密文;CHAP方式中,準入控制設(shè)備和RADIUS服務(wù)器之間傳遞密碼不是明文,而是通過挑戰(zhàn)-響應(yīng)機制來間接驗證。3.某管理員將華為防火墻以旁路檢測的模式部署在企業(yè)網(wǎng)絡(luò)中,用于攻擊防范檢測。以下關(guān)于該模式使用限制的描述,正確的是哪些項?A、該模式支持源探測防范技術(shù)B、該模式部署時,如果管理員同時在防火墻配置了DDoS攻擊防范功能,則必須同時使用ddos-modedetect-only命令C、該模式檢測到流量異常時可以實時阻斷D、該模式檢測流量異常時會產(chǎn)生流量異常日志以供管理員進行查看答案：ABD4.DNS過濾功能是對DNS請求報文中的域名進行過濾,以下關(guān)于該技術(shù)的描述,正確的是哪些項?A、DNS過濾可以實現(xiàn)對用戶的請求進行放行、告警或者阻斷B、DNS過濾對設(shè)備的性能影響很大,需要謹慎使用C、DNS過濾只能控制到域名級別D、NS過濾無法針對用戶訪問請求引入時間段限制答案：AC5.對Windows操作系統(tǒng)進行安全加固,可以防御以下哪些類型的攻擊?A、網(wǎng)絡(luò)病毒B、木馬程序C、密碼破解D、用戶權(quán)限篡改答案：ABCD6.某新建商場準備使用Portal認證作為用戶的接入?yún)f(xié)議,以便用戶快速接入到網(wǎng)絡(luò)中。以下關(guān)于該協(xié)議使用的描述,正確的是哪些項?A、Portal認證不支持free-ruleB、如果管理員設(shè)置了重定向認證,即使用戶輸入的訪問地址不是Portal認證網(wǎng)站地址,被接入設(shè)備也會強制訪問Portal認證網(wǎng)站C、用戶可以通過瀏覽器主動訪問Portal認證網(wǎng)站D、在認證之前客戶端與接入設(shè)備之間無需建立超預(yù)連接答案：BC7.某企業(yè)管理員想要升級雙機熱備系統(tǒng)版本,那么以下正確的操作是哪些項?A、查看設(shè)備路由表B、先升級Standby設(shè)備,然后再升級Active設(shè)備C、確認了當(dāng)前License的使用情況D、檢查剩余空間答案：ABCD8.以下哪些是防火墻URL過濾的匹配模式?A、后綴匹配B、模糊匹配C、精確匹配D、關(guān)鍵字匹配答案：ACD9.入侵防御系統(tǒng)是一種基于攻擊特征庫對網(wǎng)絡(luò)流量進行入侵檢測、防御的系統(tǒng)。以下關(guān)于該系統(tǒng)的描述正確的是哪些項?A、該系統(tǒng)可以實時阻斷攻擊B、入侵防御特征庫可以從云端安全中心定期升級設(shè)備的特征庫,以保持入侵防御的持續(xù)有效性C、該系統(tǒng)只能檢測網(wǎng)絡(luò)層威脅,無法檢測出應(yīng)用層威脅D、華為IPS是軟件系統(tǒng),可以部署在任意服務(wù)器上進行防御答案：AB10.防火墻在處理報文時會產(chǎn)生相應(yīng)的表項,并基于這些表項對報文進行檢測和轉(zhuǎn)發(fā)。為了保證故障切換后業(yè)務(wù)不中斷,組成雙機熱備的兩臺防火墻之間需要備份業(yè)務(wù)表項,那么以下哪些表項是防火墻可以備份的表項?A、IPv4會話表B、AAA用戶表C、地址池D、路由表答案：ABC11.以下關(guān)于特殊報文攻擊的描述,錯誤的是哪些項?A、攻擊者可以通過發(fā)送特殊控制報文探測網(wǎng)絡(luò)結(jié)構(gòu)并以此發(fā)動真正的攻擊B、特殊控制報文攻擊并不具有探測網(wǎng)絡(luò)結(jié)構(gòu)的能力,只有掃描類型的攻擊才可以探測網(wǎng)絡(luò)C、特殊控制報文攻擊是一種潛在的攻擊行為,不具有直接的破壞行為D、特殊控制報文攻擊只能使用ICMP構(gòu)造攻擊報文答案：ABD12.管理員可以在AntiDDos防御設(shè)備上部署過濾器實現(xiàn)靜態(tài)過濾,當(dāng)協(xié)議匹配到定義的特征時便會執(zhí)行相關(guān)動作,那么管理員可以配置以下哪些動作對匹配的報文進行處理?A、丟棄B、黑名單C、源探測D、源限速答案：ABCD13.防火墻在內(nèi)容過濾檢測時識別出關(guān)鍵字,可以執(zhí)行哪些影響動作?A、刪除附件B、阻斷C、允許D、告警答案：BD14.以下哪些是帶寬通道可以執(zhí)行的處理動作?A、丟棄超過了預(yù)先定義的最大帶寬的流量B、標記流量的優(yōu)先級,作為后續(xù)隊列調(diào)度的依據(jù)C、限制業(yè)務(wù)的連接數(shù)D、出接口限流答案：ABC15.某管理員通過配置智能選路來充分利用帶寬資源,最后選擇了基于鏈路質(zhì)量負載分擔(dān)的方式,那么管理員可以根據(jù)以下哪些參數(shù)信息來作為衡量鏈路質(zhì)量的標準?A、丟包率B、時延C、TTLD、抖動答案：ABD16.在部署AntiDDoS時使用鏡像將流量復(fù)制到檢測中心是常見的手段,以下關(guān)于該手段的描述,正確的是哪些項?A、鏡像技術(shù)不影響設(shè)備對報文的正常處理B、鏡像中觀測端口是指連接監(jiān)控設(shè)備的端口,用于將鏡像端口復(fù)制過來的報文發(fā)送給監(jiān)控設(shè)備C、根據(jù)復(fù)制報文的方向,鏡像可分為上行像和下行鏡像兩種D、AntDDoS不支持本地端口鏡像答案：ABC17.為了保障企業(yè)內(nèi)網(wǎng)安全,管理員在部署SSLVPN時可以設(shè)置主機檢查策略,以此來確定用戶接入虛擬網(wǎng)關(guān)的主機是否符合安全要求。那么管理員可以基于以下哪些項內(nèi)容來設(shè)置主機檢查策略?A、殺擊軟件B、操作系統(tǒng)C、進程D、注冊表答案：ABCD18.以下哪些選項屬于應(yīng)急響應(yīng)總結(jié)階段的操作?A、查找系統(tǒng)漏洞B、恢復(fù)數(shù)據(jù)庫數(shù)據(jù)C、應(yīng)急響應(yīng)總結(jié)D、安全事件調(diào)查答案：CD19.某企業(yè)管理員通過displaysessionpersistencetable命令查看會話保持表項,可以看到以下哪些信息?A、會話保持模式B、會話保持表項的剩余老化時間C、鏈路質(zhì)量D、智能選路策略名和編號答案：ABD20.如圖所示,某企業(yè)管理員為提高網(wǎng)絡(luò)可靠性,將企業(yè)分支通過兩條鏈路與企業(yè)總部建立IPSec連接,形成兩條主備鏈路。以下關(guān)于該場景的描述,正確的是哪些項?A、防火墻A上需要創(chuàng)建兩個Tunnel接口,并借用同一個物理接口的IP地址B、防火墻B的兩個物理接口上需要應(yīng)用不同的IPSec安全策路C、防火墻A上只需要創(chuàng)建一個IPSec安全策略,并應(yīng)用在物理接口上D、正常情況下主備鏈路同時建立IPSec隧道,以供切換主鏈路備鏈路答案：AB21.某企業(yè)管理員想禁止員工訪問某些網(wǎng)站,規(guī)范上網(wǎng)行為。他在設(shè)置的時候發(fā)現(xiàn)URL過濾和DNS過濾都能達到目的,那么關(guān)于這兩類過濾區(qū)別的描述,正確的是哪些項?A、DNS過濾可以控制到目錄和文件級別B、URL過濾相比于DNS過濾可以進行更精細控制用戶對網(wǎng)絡(luò)資源的訪問C、URL過濾僅控制HTTP/HTTPS訪問D、NS過濾在發(fā)起HTTP/HTTPS的URL請求階段進行控制答案：BC22.帶寬資源分為入方向帶寬、出方向帶寬和整體帶寬三類,作為管理員必須需要分清這三種帶寬資源的區(qū)別,防止部署策略時弄錯流量方向,那么以下關(guān)于帶寬資源的描述,正確的是哪些項?A、整體流量:虛擬系統(tǒng)的全部流量=入方向流量+出方向流量B、出方向流量:從私網(wǎng)接口流向公網(wǎng)接口的流量,受出方向帶寬的限制C、入方向流量:從公網(wǎng)接口流向私網(wǎng)接口的流量,受入方向帶寬的限制D、整體流量:私網(wǎng)接口到私網(wǎng)接口的流量+公網(wǎng)接口到公網(wǎng)接口的流星答案：BC23.在Windows主機上通過netstat命令查看網(wǎng)絡(luò)連接時,可以看到以下哪些輸出信息?A、源IP地址和源端口B、目的IP地址和目的端口C、協(xié)議號D、連接狀態(tài)答案：ABD24.以下關(guān)于使用ACL作為IPSec感興趣流匹配規(guī)則的描述,正確的是哪些項?A、同一個IPSec安全策略組中配置的ACL可以包含相同的rule規(guī)則B、若不同的數(shù)據(jù)流有不同的安全要求,則需要創(chuàng)建不同的ACL和相應(yīng)的IPSec安全策略C、如果應(yīng)用IPSec安全策略的接口同時配置了NAT,由于設(shè)備先執(zhí)行NAT,會導(dǎo)致IPSec不生效。此時需要將D、IPSec隧道兩端ACL規(guī)則定義的協(xié)議類型要一致。答案：BCD25.AH和ESP是IPSec中提供安全服務(wù)的重要協(xié)議,以下哪些安全特性這兩個協(xié)議都能夠支持?A、數(shù)據(jù)完整性校驗B、數(shù)據(jù)加密C、數(shù)據(jù)源驗證D、防報文重放攻擊答案：ACD26.IPS的簽名過濾器支持對以下哪些操作系統(tǒng)類型進行過濾?(都支持,都選擇)A、Unix-likeB、IOSC、AndroidD、Windows答案：ABCD27.華為HWTACACS認證方案中,以下哪些報文是HWTACACS的計費報文?(稍后文檔截圖)A、ccountingReplyB、AccountingResponseC、AccountingRequestD、AccountingStart答案：BC28.某企業(yè)管理員在防火墻上部署了Portal認證,員工只有通過認證后才能訪問網(wǎng)絡(luò)資源,但是實際部署員工反饋訪問網(wǎng)絡(luò)時無法重定向至認證頁面。那么以下哪些原因可能造成此類情況?A、員工PC與認證頁面網(wǎng)絡(luò)不通B、防火墻安全策略配置錯誤C、瀏覽器SSL版本與FT認證頁面SSL版本不匹配D、防火墻未開啟Web認證功能答案：ABCD29.AntiDDoS解決方案中檢測中心負責(zé)對流量進行檢測,并將發(fā)現(xiàn)的異常上報給管理中心,以下關(guān)于檢測中心中檢測技術(shù)的描述,正確的是哪些項?A、基于Netflow的流量檢測技術(shù)可以用于檢測小流量攻擊B、基于Netflow的流量檢測技術(shù)可以檢測出應(yīng)用層攻擊和異常報文C、逐包檢測對設(shè)備的性能壓力遠大于逐流檢測D、逐包檢測技術(shù)可以檢測大流量攻擊答案：CD30.在配額控制策略中,可以為用戶設(shè)置以下哪些策略?A、限定每日上網(wǎng)時長B、限定每月上網(wǎng)流量總額C、限定每日上網(wǎng)流量總額D、限定每月上網(wǎng)總時長答案：ABC31.Linux操作系統(tǒng)可以從以下哪些方面進行安全加固?A、日志安全B、系統(tǒng)安全C、服務(wù)啟動管理D、賬號安全答案：ABCD32.用戶身份認證、授權(quán)可以在準入控制設(shè)備上完成,也可以交由服務(wù)器完成。當(dāng)采用準入設(shè)備進行認證授權(quán)時即為本地認證,以下關(guān)于本地認證方式的描述,正確的是哪些選項?A、配置本地授權(quán)時,支持的授權(quán)參數(shù)有:VLAN、ACL等B、存儲信息量受設(shè)備硬件條件限制,一般常用于設(shè)備登錄認證C、采用本地認證時,同樣需要第三方服務(wù)器進行用戶信息存儲、校驗等D、本地認證的認證速度快,可以為運營降低成本答案：BD33.802.1X認證根據(jù)接入設(shè)備對802.1X客戶端發(fā)送的EAPOL報文處理機制的不同,認證方式也有所區(qū)別。以下關(guān)于EAP中繼認證方式的描述,正確的是哪些項?A、認證服務(wù)器必須支持EAPB、接入設(shè)備會將802.1X客戶端發(fā)來的EAPOL報文封裝到RADIUS報文中C、對認證服務(wù)器的要求較低,可以節(jié)約成本D、如果采用EAP-TLS.則需要在客戶端和服務(wù)器上加載證書答案：ABD34.某企業(yè)管理員使用netstat-ano命令在排查Windows主機是否存在異常連接,通過該命令可以查看到以下哪些參數(shù)信息?A、協(xié)議B、進程IDC、外部地址D、MAC地址答案：ABC35.以下哪些應(yīng)用協(xié)議可以承載文件?A、IMAPB、HTTPC、FTPD、POP3答案：ABCD36.在華為NGFW的IPS業(yè)務(wù)模塊日志中,會記錄以下哪些選項的內(nèi)容?A、攻擊者源IPB、攻擊持續(xù)時長C、簽名IDD、簽名名稱答案：ACD37.防火墻雙機熱備功能可以保證網(wǎng)絡(luò)中主用設(shè)備出現(xiàn)故障時,備用設(shè)備能夠平滑地接替主用設(shè)備的工作從而實現(xiàn)業(yè)務(wù)的不間斷運行。以下關(guān)于該技術(shù)的描述,正確的是哪些項?A、兩臺防火墻的心跳接口必須加入相同的安全區(qū)域B、組成雙機熱備的兩臺防火墻的系統(tǒng)軟件版本可以不一致,高版本可以兼容低版本C、雙機熱備功能不需要LicenseD、心跳接口可以使用網(wǎng)線或者光纖直連答案：ACD38.當(dāng)雙機熱備的系統(tǒng)軟件版本升級完成后,需要驗證以下哪些事項?(能升級完成版本構(gòu)建雙機熱備就說明版本沒問題)A、系統(tǒng)軟件版本(你只要是能組建起雙機熱備,你們版本肯定是一樣的)B、防火墻主備狀態(tài)C、雙機倒換D、會話表答案：BCD39.證書認證適用于以下哪些場景?A、點到多點、其中總部出口地址固定,分支出口地址不固定B、點到點,其中一方IP地址不固定C、點到點,雙方地址不固定D、點到多點,總部出口地址和分支出口地址都不固定答案：ABCD40.在部署IPSec安全提議時,以下哪些參數(shù)需要保持一致才能使隧道協(xié)商成功?A、認證算法B、報文封裝模式C、安全協(xié)議D、加密算法答案：ABCD41.防火墻在進行內(nèi)容過濾時識別出關(guān)鍵字,可以執(zhí)行以下哪些響應(yīng)動作?(不要和IPS的簽名行為搞混了!!!簽名是放行、告警、阻斷!!)A、按權(quán)重操作B、告警C、阻斷D、允許答案：ABC42.某企業(yè)部署完IPSec后發(fā)現(xiàn)業(yè)務(wù)不通,經(jīng)管理員檢查后發(fā)現(xiàn)是沒有數(shù)據(jù)流觸發(fā)IKE協(xié)商,那么以下哪些原因可能導(dǎo)致此種情況?A、域間安全策略配置錯誤B、SecurityACL與實際待保護數(shù)據(jù)流不匹配C、IPSec策略沒有正確應(yīng)用到接口上D、主機到網(wǎng)關(guān)路由不可達答案：ABCD43.以下關(guān)于GREoverIPSec的描述,正確的是哪些項?A、GREoverIPSec可以對收到數(shù)據(jù)的源進行認證B、GREoverIPSec可以封裝廣播報文C、GREoverIPSec僅支持傳輸模式D、當(dāng)網(wǎng)關(guān)之間采用GREoverIPSec連接時,先進行GRE封裝,再進行IPSec封裝答案：AD44.某管理員使用displayhrpsiate命令查看設(shè)備的VGMP組優(yōu)先級和狀態(tài)如下,那么關(guān)于該回顯的說明,正確的是哪些項?A、本端VGMP組狀態(tài)由load-balance變成了activeB、對端設(shè)備狀態(tài)為slandbyC、本端VGMP組優(yōu)先級為45000D、VGMP組狀態(tài)發(fā)生變化是因為對端設(shè)備發(fā)生了故障,VGMP組優(yōu)先級降低答案：BC45.華為Anti-DDoS防御系統(tǒng)支持以下哪些引流方式?A、靜態(tài)路由引流B、GP引流C、策略路由引流D、GREVPN引流答案：BC46.AAA可以通過多種協(xié)議來實現(xiàn),在實際應(yīng)用中,最常使用RADIUS協(xié)議。以下關(guān)于該協(xié)議的描述,正確的是哪些項?A、該協(xié)議適應(yīng)多種用戶接入方式,具備良好的擴展性B、該協(xié)議基于TCP工作,因此安全性很高,廣受企業(yè)青睞C、該協(xié)議支持計費功能D、該協(xié)議是基于B/S架構(gòu),因此使用起來非常便捷答案：ACD47.AntiDDoS設(shè)備可以自定義特征作為過濾條件,從而對特征匹配的報文執(zhí)行相應(yīng)動作。那么以下哪些參數(shù)可以做AntiDDoS設(shè)備自定義的特性?A、源IPB、TTLC、DSCPD、協(xié)議答案：ABD48.針對HTTPFlood攻擊,華為防火墻支持以下哪些防范機制?A、基礎(chǔ)源探測B、限流C、高級源探測D、302重定向答案：ACD49.在文件過濾中,防火墻對接收的文件可以識別以下哪些屬性?A、文件傳輸方向B、文件類型C、文件擴展名D、承載文件的應(yīng)用協(xié)議答案：ABCD50.GREoverIPSec可以封裝以下哪些協(xié)議?A、OSPF協(xié)議B、IPX協(xié)議C、IPv6協(xié)議D、VRRP協(xié)議答案：ABC51.華為入侵防御系統(tǒng)可以抵御以下哪些攻擊?A、木馬B、廣告軟件C、目錄遍歷D、間諜軟件答案：ABCD52.Portal認證通常也稱為Web認證,用戶上網(wǎng)時,必須在認證網(wǎng)站進行認證,如果未認證成功,僅可以訪問特定的網(wǎng)絡(luò)資源,認證成功后,才可以訪問其他網(wǎng)絡(luò)資源。以下關(guān)于Portal認證觸發(fā)方式的描述,正確的是哪些選項?除了DHCP不選,其他都可以選上A、客戶端發(fā)送DHCP請求報文觸發(fā)(獲取IP地址等相關(guān)參數(shù)的)B、用戶輸入的訪問地址不是Portal認證網(wǎng)站地址時,將被強制訪問Portal認證網(wǎng)站(重定向)C、用戶通過瀏覽器主動訪問Portal認證網(wǎng)站觸發(fā)(直接打開)D、接入設(shè)備主動觸發(fā)答案：BCD53.Anti-DDoS解決方案由以下哪些部分組成?A、引流中心B、檢測中心C、清洗中心D、管理中心答案：BCD54.計算機系統(tǒng)一般都存在相應(yīng)漏洞,黑客會利用這些漏洞發(fā)起一些攻擊,從而使企業(yè)遭受損失。那么黑客基于漏洞可以采取以下哪些攻擊?A、溢出攻擊B、病毒入侵C、拒絕服務(wù)D、口令破解答案：ABCD55.華為IPS(入侵防御系統(tǒng))設(shè)備直路部署在網(wǎng)絡(luò)中可以實現(xiàn)以下哪些項的功能?A、控制內(nèi)網(wǎng)P2P應(yīng)用濫用公網(wǎng)流量B、針對掃描攻擊進行主動防御C、針對漏洞進行主動防御D、防止內(nèi)網(wǎng)用戶受到SQL注入攻擊答案：ABCD56.如圖所示,某企業(yè)在部署AntiDDoS時采用BGP進行引流,以下關(guān)于該場景的描述,正確的是哪些項?A、Router1上會生成一條32位主機UNR路由B、清洗設(shè)備的清洗口GE2/0/1與Router1的接口GE1/0/1建立BGPPeer,Router1把生成的UNR路由通過BGP發(fā)布給清洗設(shè)備C、Router1的GE1/0/1接口與清洗設(shè)備的GE2/0/1接口之間需要建立引流通道,GE2/0/1為清洗口,GE2/0/2為回注D、當(dāng)?shù)竭_防護對象IP地址/32的流量發(fā)生異常時,管理中心自動下發(fā)一條引流任務(wù)到清洗設(shè)備答案：ABCD57.某企業(yè)管理員準備部署SSLVPN來幫助出差員工遠程接入內(nèi)網(wǎng),在實際部署前必須了解一些注意事項,防止部署失敗。以下關(guān)于SSLVPN使用限制的描述,正確的是哪些項?A、SSLVPN兼容IPV6B、當(dāng)SSLVPN采用RADIUS服務(wù)器認證時,RADIUS服務(wù)器上配置的用戶名不能帶符號C、在負載分擔(dān)組網(wǎng)下,不支持SSLVPN功能D、SSlVPN接入場景,角色和用戶相關(guān)聯(lián)時,只支持角色指定所屬用戶組及其父組,不支持指定所屬用戶組父組的父組答案：ACD58.管理員在部署IPSec時需要知