【深信服】PT1-AF認證考試復習題庫（含答案）

PAGEPAGE1【深信服】PT1-AF認證考試復習題庫（含答案）一、單選題1.下列哪項不是深信服下一代防火墻的核心價值點A、可以提供全面的風險可視化，簡化運維，快速定位風險B、提供企業(yè)業(yè)務全生命周期鏈的防護，包括從事前、事中、事后的整體防護C、提供企業(yè)內網全面的防護能力，網、端、東西向流量全方位防護D、提供應對未知威助的防護能力，應對不斷變化的外部威脅答案：C2.云端易部署功能中，關于分支快速接入的方式，以下說法錯誤的是A、采用插入4G卡的方式，快速完成分支設備的云端易部署B(yǎng)、采用WIFI接入/PC接入配置的方式，快速完成分支設備的云端易部署C、設備接入DHCP線路網絡中，SDW-R設備可自動獲取到IP，快速完成分支設備的云端易部署D、采用插入U盤的方式，快速完成分支設備的云端易部署答案：D3.SDW-R設備中，不包含以下哪種功能?A、SANGFORVPN/標準IPSecVPN功能B、基礎的靜態(tài)路由功能C、支持提供WIFI功能D、支持使用防勒索、郵件安全等安全防護的功能答案：D4.防火墻按結構劃分，下列不屬于此類的是A、單一主機防火墻B、路由集成防火墻C、分布式防火墻D、機柜式防火墻答案：D5.]客戶采購了一臺AF部署在互聯(lián)網出口，需要進行安全防護同時，還需要替換出口路由器，充當出口網關設備。在此部下，AF下列哪個操作是非必須的A、內網用終端配置私網IP需要上網，需要在AF上配置SNATB、內網服務器配置私網地址對外發(fā)布業(yè)務，需要在AF上配置DNATC、內網終端和服務器的網關都在同一個核心交換機上，要實現(xiàn)互訪，需要在AF上配置回包路由D、需要調整應用控制策略，默認AF是攔截所有數(shù)據(jù)通信答案：C6.]風和日麗的中午，工程師陳工與客戶了解到當前分支的深信服AC設備存在某些漏洞，此漏洞在最新的版本已經修復，那么此時陳工如何快速將所有分支完成升級?A、使用總部端BBC設備采用分支批量升級功能B、使用總部端BBC設備采用策略模板統(tǒng)一下發(fā)功能C、到每個分支現(xiàn)場將逐個設備進行升級D、使用總部AC下發(fā)升級包給分支進行升級答案：A7.郵件易部署功能說法錯誤的是?A、郵件易部署支持預配置LAN、WAN接口的網絡配置B、郵件易部署支持預配置加入SANGFORVPN拓撲，分支設備完成郵件易部署時可自動加入SANGFORVPN拓撲C、郵件易部署支持預配置關聯(lián)策略模板，分支設備完成郵件易部署可自動關聯(lián)策略模板D、郵件易部署支持預配置加入標準IPSECVPN拓撲，分支設備完成郵件易部署時可自動加入標準IPSECVPN拓撲答案：D8.AF僵尸網絡防護功能說法正確的是?A、惡意域名重定向功能要求AF設備路由部署B(yǎng)、僵尸網絡默認啟用惡意域名重定向C、惡意域名重定向功能要求AF設備能夠上網D、惡意域名重定向的原理是惡意域名解析的IP地址將會被AF重定向成蜜罐IP地址。通過監(jiān)聽對蜜罐地址的訪問，即可定位內網感染僵尸網絡病毒的真實主機IP答案：D9.AF的多線路負載不支持以下哪種方式?A、輪詢B、優(yōu)先使用前面線路C、加權最小流量D、隨機HASH答案：D10.關于BBC的分支接入，以下說明錯誤的是?A、BBC需要完成設備授權激活，分支設備才可接入到BBCB、BBC授權過期之后，BBC無法創(chuàng)建分支賬號，分支無法接入到BBCC、分支的接入數(shù)不能超過BBC上授權的設備數(shù)D、BBC授權過期之后，在30天內任然可以創(chuàng)建分支賬號提供給分支做接入答案：D11.以下關于AF接口的說法正確的是A、如果接口設置為路由接口，并且是ADSL撥號，需要選上添加默認路由選項，并且該選項默認勾選B、eth0為固定的管理口，接口IP為51/24且無法刪除,無法修改,無法新增C、聚合接口主備模式中，會取優(yōu)先級最高的接口為主接口，其余為備接口D、一個路由接口下可添加多個子接口，且路由接口的IP地址可以與子接口的IP地址在同網段答案：A12.關于BBC的分支接入所使用的是BBC的哪個端口號A、TCP5000B、TCP5001C、UDP5001D、TCP4009答案：A13.客戶采購了一臺AF部署在互聯(lián)網出口，在不改變用戶網絡結構的需求下，決定采用透明部署。在此部署下，AF下列哪個

操作是非必須的A、AF自身需要上網，所以需要配置缺省路由B、需要調整應用控制策略，默認AF是攔截所有數(shù)據(jù)通信C、內網服務器配置私網地址對外發(fā)布業(yè)務，需要在AF上配置DNATD、AF如需被不同網段的終端管理，需要配置回包路由答案：C14.下列哪項操作是目前AF的MANAGE口可進行的操作A、改為透明模式的接口，支持透明部署B(yǎng)、禁用該接口，需要的時候再啟用C、添加客戶的IP地址址，做為管理地址D、刪除該接口，不再使用答案：C15.]POC測試項目中，以下關于xhack工具的應用，理解錯誤的是A、在交付項目中，對于新上架部署的AF產品，想快速驗證配置的安全策略是否正確，可使用xhack進行快速驗證B、在POC測試項目中，客戶想測試一些POC功能用例，可使用xhack工具給客戶做POC測試用例演示C、在POC的PK測試項目中，想通過打批量ocap包優(yōu)勢樣本的方式，和友商PK我們某方面功能的攔截檢出率，可使用xhack工具進行自定義批量pcap包優(yōu)勢樣本的導入，并支持批量回放pcap包優(yōu)勢樣本D、在日常的設備運維中，客戶想了解當前網絡環(huán)境中部署的AF對內網業(yè)務的安全防護狀態(tài)是否良好，可使用xhack工具過客戶網絡環(huán)境中部署的AF，向客戶內網的業(yè)務進行模擬攻擊，利用xhack工具自動生成對應的安全報告，并下載報給客戶做安全分析匯報答案：D16.郵件易部署功能的基礎排障思路中，以下說法錯誤的是?A、檢查BBC的訪問地址，需要保證該地址為互聯(lián)網映射后的地址，保證分支可通過該地址訪問到BBCB、通過易部署鏈接無法訪問設備時，檢查連接易部署的PC的IP地址配置是否與設備的LAN口默認地址同一個網段C、當分支管理員未接收到郵件時，檢查下發(fā)郵件的郵箱地址是否時該管理員的郵箱地址D、但郵件易部署接入BBC失敗時，需要檢查BBC與云圖之間的對接是否正常答案：D17.下列有關AF接口與區(qū)域的說法中，錯誤的是?A、AF的一個路由口下可以添加多個子接口，且路由接口的IP地址不能與子接口的IP地址在同網段B、AF的一個區(qū)域可以包含多個接口，一個接口也可以屬于多個區(qū)域C、AF的虛擬網線區(qū)域只能包含虛擬網線接口，不能包含透明接口和三層接口D、單進單出透明部署情況下，可以通過配置VLAN接口IP來對設備進行管理答案：B18.IPSEC是一套協(xié)議集，它不包括下列哪個協(xié)議?A、AHB、ESPC、SSLD、IKE答案：C19.防火墻按技術劃分，主要可以分為)等三大類型?A、包過濾、入侵檢測、數(shù)據(jù)加密B、包過濾、入侵檢測、應用代理C、包過濾、狀態(tài)檢測、入侵檢測D、包過濾、狀態(tài)檢測、應用代理答案：D20.以下不是業(yè)務發(fā)布區(qū)域的服務器面臨的威脅?、A、業(yè)務內容被算改，植入非法文字、圖片或鏈接，影響公司形象B、發(fā)布應用上保存用于日常在線服務相關的敏感業(yè)務數(shù)據(jù)，容易被黑客覬覦導致數(shù)據(jù)泄露風險。C、用戶通過互聯(lián)網下載包含木馬、后門的文件，并橫向擴散感染其他終端.D、業(yè)務存在漏洞、惡意鏈接，被監(jiān)管單位檢測通報答案：C21.BBC部署形式與部署模式說法錯誤的是?A、可提供硬件物理設備BBCB、可提供虛擬鏡像部署在云端C、使用單臂的部署模式完成設備的部署D、使用路由模式部署，作為內網的網關答案：D22.關于防病毒網關和傳統(tǒng)防火墻的對比說明，下列說法不準確的是A、防病毒網關更關注于病毒的過濾可阻斷病毒文件的傳播B、防病毒網關在ISO七層模式中的工作范圍要大于傳統(tǒng)防火墻C、防病毒網關一般也具備應用控制功能模塊D、防病毒網關開啟殺毒功能后，在處理速度上，較傳統(tǒng)防火墻要快答案：D23.關于深信服下一代防火墻的核心價值說法，不包含A、提供健康的上網管理B、提供安全全面可視的能力C、提供業(yè)務安全全面防護的能力D、提供未知威脅抵御的能力答案：A24.BBC的AutoVPN的作用是什么?A、通過與預定義的策略，自動創(chuàng)建SSLVPN連接B、通過與預定義的策略，自動創(chuàng)建標準IPSECVPN連接C、通過與預定義的策略，自動創(chuàng)建SangforVPN連接D、通過預定義的策略，啟用VPN模塊答案：C25.下列關于入侵檢測系統(tǒng)的說法，不準確的是A、常見于串接部署，對流經設備的流量進行分析B、需要更新設備上的相應規(guī)則庫C、一般不支持攔截所檢測到的風險行為D、工作范圍可涵蓋L2-L7層答案：A26.以下關于AF雙機說法不正確的是A、雙機不能用eth0口作為業(yè)務口B、雙機在接口不足的情況下，可以用eth0做心跳口C、備機沒有加入網絡監(jiān)聽的網口，對外發(fā)包同樣會被抑制D、透明模式雙機AF不支持STP可能會存在廣播風暴問題答案：C27.部署在互聯(lián)網出口的AF無法針對以下哪種方向的流量進行安全防護A、互聯(lián)網區(qū)域訪問內網服務區(qū)的流量。B、內網辦公區(qū)訪問內網服務器區(qū)的流量C、內網辦公區(qū)訪問互聯(lián)網區(qū)域的流量D、內網服務器區(qū)訪問互聯(lián)網區(qū)域的流量答案：B28.客戶內網部署了一臺AF設備做標準IPSECVPN對接，現(xiàn)需要在出口防火墻上放通相應協(xié)議和端口以下需要放通的協(xié)議和端口號中，正確的是()A、IP協(xié)議號:50，51，端口:TCP1723，UDP1701AB、IP協(xié)議號:47，50，端口:TCP1723，UDP1701BC、IP協(xié)議號:50，51，端口:UDP4500，UDP500D、IP協(xié)議號:50，51，端口:TCP4009，UDP4009答案：C29.以下關于AF雙機配置說法正確的是A、AF建立雙機后，使用PC直連備機MANAGE口無法登錄WEB控制臺B、AF僅能配置一個HAIP地址C、無法登陸備機狀態(tài)設備的WEB控制臺D、AF雙機部署，只要啟用配置同步，則所有非HA的接口IP都會同步答案：D30.BBC的eth0口缺省IP地址是多少A、/24B、51/24C、52/24D、54/24答案：A31.關于BBC的告警設置，以下說法錯誤的是?A、針對產品線的相關告警設置需要導入對應產品線的策略模板才可進行設置B、針對CPU、內存等通用的告警設置不需要導入產品的策略模板也可進行設置C、分支設備的告警處置完成之后，BBC上會自動顯示告警已處理D、BBC的告警設置無法針對各自產品線的告警內容進行設置，只能在分支端進行告警設置答案：D32.在個別場景中，會要求AF旁路部署，在旁路部署下，下列說法錯誤的是A、旁路部署的優(yōu)勢是無論是上線還是設備故障，均不會影響到用戶現(xiàn)有網絡B、旁路部署可以實現(xiàn)當前設備所有安全功能的防護C、旁路部署不支持對UDP協(xié)議的攔截操作D、旁路部署一般需要有一個單獨管理口來進行設備的管理答案：B33.關于BBC的AutoVPN的配置思路中，下列說法錯誤的是?A、在總部BBC端上新建VPN拓撲，并關聯(lián)總部端設備與分支端設備B、不需要在總部端配置VPN賬號，分支端配置連接管理。此配置會由BBC進行自動生成C、新建VPN拓撲之前，需要保證分支端到總部端的VPN服務端口是路由可達的D、BBC上AutoVPN的功能只能進行手動下發(fā)VPN配置，無法實現(xiàn)自動下發(fā)VPN配置答案：D34.為構建云端、網端、終端全方位立體化的安全防護體系，深信服下一代防火墻可與其他產品進行聯(lián)動，形成整體的防護，下列不屬于該體系中的行為是A、聯(lián)動云圖，實現(xiàn)安威助情報快速更新補充B、聯(lián)動云圖，實現(xiàn)未知威助精準分析判斷8C、聯(lián)動SSL，實現(xiàn)終端接入安全可控D、聯(lián)動EDR，實現(xiàn)終端安全快速處置閉環(huán)答案：C35.下列有關AF接口與區(qū)域的說法中，錯誤的是?A、AF的一個路由口下可以添加多個子接口，且路由接口的IP地址不能與子接口的IP地址在同網段B、AF的一個區(qū)域可以包含多個接口，一個接口也可以屬于多個區(qū)域C、AF的虛擬網線區(qū)域只能包含虛擬網線接口，不能包含透明接口和三層接口D、單進單出透明部署情況下，可以通過配置VLAN接口IP來對設備進行管理答案：B36.客戶購買AF主要用于做上網NAT，同時作為內網DHCP服務器，請問什么部署模式可以滿足客戶需求?A、路由模式B、透明模式C、旁路模式D、虛擬網線模式答案：A37.以下關于本地子網的說法，正確的是:A、本地子網只有在單臂模式下才需要添加B、本地子網只有在網關模式下才需要添加C、本地子網在單臂和網關模式下都需要添加D、本地子網的添加與部署模式沒有關系，只有總部和分支設備內網非LAN口直連網段需要與對端通信才需要添加答案：D38.AF通過區(qū)域，定義并歸類接口，在各類安全策略中引用區(qū)分不同區(qū)域的安全等級以及安全方向，下列關于區(qū)域的說法錯誤的是A、一個物理接口可以劃分到多個同安全級別的區(qū)域內B、區(qū)域根據(jù)接口轉發(fā)類型分為二層、三層、虛擬網線三類C、可以把三個路由屬性的接口劃入到同一個三層區(qū)域中D、可以通過區(qū)域關閉該區(qū)域內接口對外提供的控制臺登錄權限答案：A39.從目前主流的傳統(tǒng)防火墻來看，下列哪項不能做為應用控制策略(ACL)的可控制項A、IPB、端口C、路由D、區(qū)域答案：C40.統(tǒng)一集中管理場景中，以下說法錯誤的是?A、通過總部端統(tǒng)一集中管理平臺BBC實現(xiàn)分支的統(tǒng)一管理B、通過總部端統(tǒng)一集中管理平臺BBC實現(xiàn)所有分支的運行狀態(tài)查看C、通過總部端統(tǒng)一集中管理平臺BBC實現(xiàn)策略的自動化配置，將策略統(tǒng)一下發(fā)到分支D、統(tǒng)一集中管理平臺BBC將安全事件進行收集并分析，并進行安全統(tǒng)一運營答案：D41.在防火墻的高可用性技術中，下列哪些是非常少見的A、集群B、主備C、多機D、冷備答案：A42.SANGFORVPN組網，如果兩個分支之間需要實現(xiàn)互相訪問，可以用如下哪個技術解決分支之間互訪的問題:A、隧道內NAT技術B、隧道間路由技術C、VPN內網權限技術D、在兩個分支之間配置靜態(tài)路由實現(xiàn)答案：B43.AF安全運營中心設置，不能實現(xiàn)以下哪個功能A、設置顯示的風險級別，可以只顯示風險級別為高的事件，其他事件一律不顯示B、設置顯示的IP范圍，非指定的IP范圍不顯示在運營中心C、設置檢測的風險項目，不希望關注的項目可以取消檢測D、設置處置記錄，對已處理的記錄可以進行刪除答案：A44.深信防火墻實現(xiàn)從“事前”、“事中”、“事后”的整體防護，其中下列哪些功能不屬于事中的防護A、業(yè)務資產識別管理B、Dos/Ddos攻擊防護C、漏洞攻擊防護D、WAF攻擊防護答案：A45.WEB應用防火墻，主要是針對WEB站點進行深入防護，下列哪項功能不是當前主流WEB防火墻的重點A、針對weblogic的漏洞有相應防護能力B、針對webshell上傳有相應的防護能力C、針對挖礦病毒有相應的防護能力D、針對CC攻擊有相應的防護能力答案：C46.SDW-R的4G冷備功能說法正確的是?A、4G冷備功能不會對線路進行探測B、4G冷備功能需要提前在SDW-R進行全接口的SNAT規(guī)則的設置C、4G冷備功能不需要關注4G接口是否啟用，直接在SDW-R設備端啟用4G冷備功能即可D、當有線線路故障時，4G卡插入SDWR設備之前不需要關注設備是否有插入天線。答案：B47.路由屬性的接口，都有鏈接故障檢測的功能，關于鏈路檢測功能的說法，錯誤的是A、鏈路檢測結果支持做為雙機切換的條件B、鏈路檢測結果支持做為接口是否啟用的生效條件C、鏈路檢測結果支持做為靜態(tài)路由是否生效的條件D、鏈路檢測結果支持做為策略路由選路的條件答案：B48.部署在數(shù)據(jù)中心出口的AF無法針對以下哪種方向的流量進行安全防護A、互聯(lián)網區(qū)域訪問內網服務區(qū)的流量。B、內網辦公區(qū)訪問內網服務器區(qū)的流量C、內網辦公區(qū)訪問互聯(lián)網區(qū)域的流量D、內網服務器區(qū)訪問互聯(lián)網區(qū)域的流量答案：C49.客戶購買了一臺AF設備，現(xiàn)需要對接第三方設備實現(xiàn)總部與分支之間的內網互通，以下那種VPN對接是可以正常對接起來的?A、標準IPSecVPNB、SANGFORVPNC、SSLVPND、以上選項均不正確答案：A50.SDW-R的VRRP高可用功能說明中，以下說法錯誤的是?A、網關模式VRRP下，HA接口啟用OSPF鄰居主要是用于故障切換時保證來回路由完整性，避免業(yè)務中斷B、SDW-R設備的LAN接口和WAN接口均可啟用VRRP組，通過不同的VRRP組來進行VRRP協(xié)商C、啟用VRRP的接口必須二層可達，可連接二層交換機透傳vrrp報文，組播地址8D、兩臺SDW-R啟用VRRP的LAN接口可以配置不同網段的IP，兩臺SDW-R啟用VRRP的LAN區(qū)域的工作IP可以與是不同網段的IP答案：D51.連鎖分支組網場景中需求與功能匹配關系錯誤的是?A、通過總部與分支之間的VPN連接實現(xiàn)分支訪問總部的內網互訪B、連鎖/小型分支通過使用SDW-R來減少分支IT成本的投入C、通過總部BBC統(tǒng)一集中管理運維分支設備，提升總部人員的IT運維效率D、總部運維人員通過互聯(lián)網線路映射80/443等端口直接運維分支設備，此方式提升總部運維人員的效率答案：D52.單進單出網橋的環(huán)境下，為什么AF推薦使用虛擬網線接口部署?A、虛擬網線接口是普通的交換接口B、虛擬網線接口不需要配置IP地址C、虛擬網線接口不支持路由轉發(fā)D、虛擬網線接口轉發(fā)數(shù)據(jù)幀時，無需檢查MAC表，直接從虛擬網線配對的接口轉發(fā)答案：D53.統(tǒng)一集中管理場景中，關于BBC設備的功能使用，以下說法正確的是?A、BBC作為統(tǒng)一集中管理平臺統(tǒng)一納管深信服的AF/AC等安全設備B、BBC作為VPN總部接入端，為分支提供VPN接入，保障總部與分支的連通性C、BBC可以通過命令行下發(fā)的方式進行分支統(tǒng)一管理D、BBC作為總部或者分支網絡出口路由設備，為總部或者分支提供路由轉發(fā)的功能答案：A54.以下關于AF雙機配置說法正確的是A、AF建立雙機后，使用PC直連備機MANAGE口無法登錄WEB控制臺B、自動對焦僅能配置一個主機地址C、無法登陸備機狀態(tài)設備的WEB控制臺D、雙機部署，只要啟用配置同步，則所有非高可用的接口都會同步答案：D55.[連鎖分支組網]以下連鎖分支組網場景的特點中，說法錯誤的是?A、分支機構分散而且數(shù)量眾多，基本上覆蓋全省區(qū)域或者全國區(qū)域B、分支IT建設成本高，需要多種安全設備和數(shù)通設備進行組網C、分支無IT管理人員，針對設備的部署與運維難度巨大D、分支到總部之間的業(yè)務訪問通過專線訪問，不需要考慮專線線路成本受連鎖分支快速開/關店的影響答案：D56.AF的業(yè)務安全中心，把事件根據(jù)風險進行分類，如果是檢測到用戶網站只有被掃描的日志記錄，而無其他風險記錄，此類事件會被歸為哪類A、已被入侵B、曾被攻擊C、曾被收集信息D、存在漏洞答案：C57.POC測試項目中，以下關于xhack工具靶機的安裝，理解正確的是A、使用xhack的[安全數(shù)據(jù)流檢測]中的“數(shù)據(jù)流檢測”功能模塊時，靶機的安裝要求客戶端和服務端都要安裝xhack，且DNAT場景中，AF需要做端口映射B、使用xhack的[安全數(shù)據(jù)流檢測]中的“PcapPkt檢測”功能模塊時，靶機的安裝要求客戶端和服務端都要安裝xhack，且DNAT場景中，AF需要做全端口映射C、使用xhack的[安全數(shù)據(jù)流檢測]中的“威助情報檢測”功能模塊時，靶機的安裝要求客戶端和服務端都要安裝xhack，且DNAT場景中，AF對于靶機的DNAT映射只能映射為80端口D、使用xhack的[實況靶場]中的“web實況攻擊”功能模塊時，靶機的安裝要求客戶端和服務端都要安裝xhack，且DNAT場景中，AF對于靶機的DNAT映射只能映射為80端口答案：A58.關于BBC的分支接入，以下排障思路錯誤的是?A、檢查分支的接入地址與端口是否配置正確，是否屬于總部端映射出來的地址與端口B、檢查分支的接入賬號信息與總部端BBC配置的賬號信息是否一致C、檢查分支到總部BBC接入地址的連通性，確認分支可訪問到BBC的接入服務端口D、檢查分支端設備是否能接受到BBC下發(fā)的策略配置答案：D59.基于當前的外部威助環(huán)境，下列哪項不是傳統(tǒng)安全建設的弊端A、成本比較高，要采購很多各類的安全產品B、防護全面性不夠，無法防護到終端側的安全C、運維比較難，各個產品及廠商的日志獨立，無法綜合分析D、數(shù)據(jù)處理效率比較低，數(shù)據(jù)交互要經過多套安全產品的串行處理答案：B60.關于傳統(tǒng)的總部管理分支的場景特性中，以下說法錯誤的是?\A、分支數(shù)量眾多，涉及到所有分支策略調整、升級變更是難度大。B、分支的部分運維端口需要映射到互聯(lián)網，總部通過互聯(lián)網方式運維分支C、總部管理分支設備，十分便捷，通過互聯(lián)網訪問即可訪問到分支端設備D、總部通過互聯(lián)網訪問的方式，運維分支設備，分支設備存在安全風險的問題答案：C61.關于防病毒網關和傳統(tǒng)防火墻的對比說明，下列說法不準確的是A、防病毒網關更關注于病毒的過濾，可阻斷病毒文件的傳播B、防病毒網關在ISO七層模式中的工作范圍要大于傳統(tǒng)防火墻C、防病毒網關一般也具備應用控制功能模塊D、防病毒網關開啟殺毒功能后，在處理速度上，較傳統(tǒng)防火墻要快答案：D62.對新建的應用連接，預先設置安全規(guī)則，允許符合規(guī)則的連接通過，并在內存中記錄下該連接的相關信息，生成規(guī)則表。對該連接的后續(xù)數(shù)據(jù)包，只要符合規(guī)則表就可以通過。這種防火墻技術稱為?A、包過濾技術B、狀態(tài)檢測技術C、代理服務技術D、入侵檢測技術答案：B63.AF以下什么部署模式支持使用標準IPSecVPN/SANGFORVPN的功能?A、路由模式B、透明模式C、虛擬網線模式D、旁路模式答案：A64.客戶采購了一臺AF部署在互聯(lián)網出口，需要進行安全防護同時，還需要替換出口路由器，充當出口網關設備。在此部署下，AF下列哪個操作是非必須的A、內網用終端配置私網IP需要上網，需要在AF上配置SNATB、內網服務器配置私網地址對外發(fā)布業(yè)務，需要在AF上配置DNATC、內網終端和服務器的網關都在同一個核心交換機上，要實現(xiàn)互訪，需要在AF上配置回包路由D、需要調整應用控制策略，默認AF是攔截所有數(shù)據(jù)通信答案：C65.下列功能中，AF旁路部署時不支持的是?A、僵尸網絡B、DNS代理C、WEB應用防護D、實時漏洞分析答案：B66.連鎖分支組網場景中關于分支快速部署上線的方式，以下說法錯誤的是?A、SDW-R通過云端注冊開局的方式上線B、SDW-R通過郵件注冊的方式上線C、SDW-R通過U盤易部署的方式上線D、AF通過郵件注冊的方式上線答案：C67.云端易部署功能所使用到的深信服產品，以下錯誤的是?A、SDWRB、BBCC、云圖D、云鏡答案：D68.客戶處新采購一臺AF放在出口，需要代理內網用戶上網且對外發(fā)布的服務器要直接配置公網地址，下述哪種部署模式最合適A、旁路鏡像模式B、透明模式C、虛擬網線模式D、混合模式答案：D69.下列關于目前主流廠商包過濾防火墻的說法，不準確的是A、主要工作在網絡層和傳輸層B、可以支持路由轉發(fā)功能C、支持自動學習后生成攔截動作D、一般有處理速度快，價格便宜的優(yōu)點答案：C70.目前AF的接口，根據(jù)工作的層面，不可以劃分的區(qū)域有A、三層區(qū)域B、鏡像區(qū)域C、二層區(qū)域D、虛擬網線區(qū)域答案：B71.關于AF鏈路故障檢測，下列說法正確的是?A、鏈路故障檢測最多可配置兩組IP，每組可配置8個IPB、任何一組內的某個IP檢測不通即判定鏈路故障C、任何一組內的所有IP檢測不通才判定鏈路故障D、多組內的所有IP檢測不通時才判定鏈路故障答案：C72.云端易部署功能中，關于分支快速接入的方式，以下說法錯誤的是?A、采用插入4G卡的方式，快速完成分支設備的云端易部署B(yǎng)、采用WIFI接入/PC接入配置的方式，快速完成分支設備的云端易部署C、設備接入DHCP線路網絡中，SDW-R設備可自動獲取到IP，快速完成分支設備的云端易部署D、采用插入U盤的方式，快速完成分支設備的云端易部署答案：D73.下列關于目前主流廠商包過濾防火墻的說法，不準確的是()?A、主要工作在網絡層和傳輸層B、可以支持路由轉發(fā)功能C、支持自動學習后生成攔截動作D、一般有處理速度快，價格便宜的優(yōu)點答案：C74.關于BBC的分支序列號批量更新功能，以下說法錯誤的是?A、設備接入BBC之后，會自動上報序列號信息到BBCB、BBC不支持分支序列號批量導出或者導入功能C、BBC導出的分支設備序列號表格中不包含具體的功能序列號D、BBC導入序列號信息之后，可對分支設備進行批量更新答案：B75.關于地域訪問控制與應用控制功能說法正確的是A、先匹配地域訪問控制，再匹配應用控制B、先匹配應用控制，再匹配地域訪問控制C、地域訪問控制與應用控制策略是同時匹配D、先匹配的地址訪問控制的拒絕之后，還是會匹配應用控制策略答案：A76.對于漏洞攻擊防護攔截業(yè)務，使用下列哪種方法放通業(yè)務(不能影響到策略正常運行)是正確的:A、直接繞開設備B、刪除漏洞攻擊防護策略BC、將源目的ip加入全局排除D、將攔截業(yè)務的規(guī)則id動作改成允許答案：D77.關于AF旁路部署的說法錯誤的是?A、不需要單獨配置管理接口B、需要開啟旁路reset功能，才能實現(xiàn)阻斷C、防護策略對FTP服務器有效D、設備宿機也不會對現(xiàn)有業(yè)務造成影響答案：A78.vlan接口是一種邏輯接口，下列關于vlan接口的說法，錯誤的是A、vlan接口屬于路由屬性接口，可配置IP地址B、vlan接口可以支持鏈路探測功能C、vlan接口只能劃分到三層區(qū)域D、vlan接口支持adsl撥號答案：D79.單進單出網橋的環(huán)境下，為什么AF推薦使用虛擬網線接口部署A、虛擬網線接口是普通的交換接口B、虛擬網線接口不需要配置IP地址C、虛擬網線接口不支持路由轉發(fā)D、虛擬網線接口轉發(fā)數(shù)據(jù)幀時，無需檢查MAC表，直接從虛擬網線配對的接口轉發(fā)答案：D80.關于NGFW(下一代防火墻)和UTM(統(tǒng)一威助管理)的差異說明，說法不準確的是A、UTM工作在L2-L4層，NGFW工作在L2-L7層B、UTM對經過的數(shù)據(jù)包是串行解析處理，NGFW是并行解析處理C、UTM一般不帶WAF功能，NGFW一般帶有WAF功能D、相較UTM，NGFW的處理性能要更強答案：A81.POC測試項目中，以下關于xhack工具的相關應用，理解錯誤的是()A、xhack應用場景中，xhack所有功能模塊的使用，都不受AF部署模式的影響B(tài)、xhack應用場景中，關于靶機的部署，xhack還不能對接客戶自己提供的靶機，只能對接我們對應搭配的靶機C、xhack應用場景中，關于xhack客戶端和靶機連通性的校驗，如果審接在中間的AF設備配置的是DNAT場景，AF需要針對靶機做端口映射，否則靶機的連通性校驗不能成功D、xhack應用場景中，hack通過"數(shù)據(jù)流檢測”進行的樣本流回放，和通過"PcapPkt檢測”進行的樣本包回放，都支持自動修改樣本自帶的IP地址為測試環(huán)境的真實IP地址，使得在AF上產生的攻擊攔截日志中，看到的IP地址就是真實攻擊測試環(huán)境的IP地址答案：A82.AF的安全運營中心功能，自動/手動評估后，重點需要關注哪個模塊的結論并處置A、風險評估B、動態(tài)保護C、監(jiān)測與分析D、待辦事件E、通過總部端統(tǒng)一集中管理平臺BBC實現(xiàn)所有分支的運行狀態(tài)查看F、通過總部端統(tǒng)一集中管理平臺BBC實現(xiàn)策略的自動化配置，將策略統(tǒng)一下發(fā)到分支G、統(tǒng)一集中管理平臺BBC將安全事件進行收集并分析，并進行安全統(tǒng)一運營答案：D83.關于BBC的分支接入，關于接入BBC的分支設備中，以下說法錯誤的是?A、支持AF設備接入B、支持AC設備接入C、支持AD設備接入D、支持SDW-R設備接入答案：C84.關于AF物理接口配置路由模式情況下，相關功能配置，說法錯誤的是A、不能在界面直接調整接口的MTUB、配置的下一跳網關不會生成8個0的缺省路由C、勾選的WAN屬性，會影影響到流控、流審功能的使用D、設置的線路帶寬，與流控功能沒有關系答案：A85.VPN組網場景]在標準IPSecVPN/SANFORVPN組網場景中，以下需求描述錯誤的是?A、通過VPN技術打通總部與分支的內網，實現(xiàn)總部分支“大內網”的需求B、需保障數(shù)據(jù)在傳輸過程中的數(shù)據(jù)安全性(保密性、完整性、數(shù)據(jù)來源的身份驗證等)的要求C、滿足