華為認證HCIA-Security安全H12-711考試題庫及答案

華為認證HCIA-Security安全H12-711

考試題庫及答案

單選題

i.下列哪項不屬于防火墻的日志格式？

A、二進制格式

B、netflow格式

C、ASCH編碼格式

D、Syslog格式

參考答案：C

2.關于數據包在iptables傳輸過程中的描述，以下哪個選項是錯誤

的？

A、當一個數據包進入網卡時,它首先去匹配PREROUTING鏈

B、如果數據包的目的地址是本機,則系統(tǒng)會將該數據包發(fā)往INPUT鏈。

C、如果數據包的目的地址不是本機,系統(tǒng)把數據包發(fā)往OUTPUT鏈

D、如果數據包的目的地址不是本機,系統(tǒng)把數據包發(fā)往FORWARD鏈。

參考答案：C

3.缺省情況下，以下哪種服務是加密傳輸的？

A、ssh

B、ftp

C、telnet

D、http

參考答案：A

4.相較于傳統(tǒng)五元組信息，以下哪一項元素是下一代防火墻新增元素?

A、目的地址

B、源端口

C、應用

D、協(xié)議號

參考答案：C

5.關于GRE封裝與解封裝，以下哪項描述是錯誤的？

A、封裝過程,原始數據包通過查找路由把數據包傳遞到Tunnel接口

后觸發(fā)GRE封裝

B、封裝過程,經過GRE模塊封裝后,此數據包將進入IP模塊進行下一

步處理

C、解封裝過程，目的端收到GRE報文后,通過查找路由把數據包傳遞

到Tunnel接口后出發(fā)GRE解封裝

D、解封裝過程,經過GRE模塊解封裝后,此數據包將進入IP模塊進行

下一步處理

參考答案：C

6.以下關于L2TP的描述,錯誤的是哪一項？

A、L2Tp要應用在遠程公場景中為出差員工遠程訪問企業(yè)內網資源提

供接入服務。

B、無論出差員工是通過傳統(tǒng)拔號方式接入Internet,還是通過以太

網方式接入Internet,L2TPVPN都可以向其提供遠程接入服務。

C、PPP報文可以在在Internet直接傳輸-

D、L2Tp是一種用于承線PPP報文的隧道技術，

參考答案：C

7.針對IP欺騙攻擊(IPSpoofing)的描述，以下哪項是錯誤？

A、IP欺騙攻擊是利用了主機之間正常的基于IP地址的信任關系來

發(fā)動的

B、IP欺騙攻擊成功后,攻擊者可使用偽造的任意IP地址模仿合法主

機訪問關鍵信息

C、攻擊者需要把源IP地址偽裝成被信任主機,并發(fā)送帶有SYN標注

的數據段請求連接

D、基于IP地址的信任關系的主機之間無需輸入口令驗證就可以直接

登錄

參考答案：C

9.SSLVPN不能加密下列哪項協(xié)議？

A、HTTP

B、UDP

C、IP

D、PPP

參考答案：D

10.問卷調查的設計原則不包括下列哪項？

A、完整性

B、公開性

C、具體性

D、一致性

參考答案：B

11.在Linux系統(tǒng)中，查詢IP地址信息的命令是以下哪一項

A、displayip

B、ifconfig

C、ipconfig

D、displayipinterfacebrief

參考答案：B

12.關于操作系統(tǒng)的描述，以下哪項是錯誤的？

A、操作系統(tǒng)是用戶和計算機之間的接口

B、操作系統(tǒng)負責管理計算機系統(tǒng)的全部硬件資源和控制軟件的執(zhí)行。

C、操作系統(tǒng)與用戶對話的界面都是圖形界面

D、操作系統(tǒng)本身也是軟件

參考答案：C

13.關于SSLVPN技術，以下哪個選項說法是錯誤的？

A、SSLVPN技術可以完美適用于NAT穿越場景

B、SSLVPN技術的加密只對應用層生效

C、SSLVPN需要撥號客戶端

D、SSLVPN技術擴展了企業(yè)的網絡范圍

參考答案：C

14.VGMP組出現(xiàn)以下哪種情況時，不會主動向對端發(fā)送VGMP報文.

A、雙機熱備份功能啟用

B、手工切換防火墻主備狀態(tài)

C、防火墻業(yè)務接口故障

D、會話表表項變化

參考答案：D

15.下列關于雙機熱備的描述中錯誤的是？

A、無論是二層還是三層接口，無論是業(yè)務接口還是心跳接口，都需要

加入安全區(qū)域

B、缺省情況下?lián)屨佳舆t是60s

C、缺省情況下主動搶占功能是開啟的

D、雙機熱備功能需要license支持

參考答案：D

17.在TCP.IP協(xié)議棧中，下列哪項協(xié)議工作在應用層？（

A、IGMP

B、ICMP

C、RIP

D、ARP

參考答案：C

18.在TCP.IP協(xié)議棧中，下列哪項協(xié)議工作在應用層？

A、ICMP

B、IGMP

C、RIP

D、ARP

參考答案：C

20.如使用Client-Initiated方式建立L2TPVPN時，下列哪項是報文

用的”八占、、2?

A、LNS

B、接入用戶

C、服務器

D、LAC

參考答案：A

21.針對入侵檢測系統(tǒng)的描述，以下哪項是錯誤的?.

A、入侵檢測系統(tǒng)可以通過網絡和計算機動態(tài)地搜集大量關鍵信息資

料.并能及時分析和判斷整個系統(tǒng)環(huán)境的目前狀態(tài)

B、入侵檢測系統(tǒng)一旦發(fā)現(xiàn)有違反安全策略的行為或系統(tǒng)存在被攻態(tài)

的痕跡等，可以實施阻斷操作

C、入侵檢測系統(tǒng)包括用于入侵檢測的所有軟硬件系統(tǒng)

D、入浸檢測系統(tǒng)可與防火墻、交換機進行聯(lián)動，成為防火墻的得力“助

手”，更好，更精確的控制域間的流量訪問

參考答案：B

22.以下哪一項不屬于二層VPN技術？

A、PPTP

B、IPsec

C、L2TP

D、L2F

參考答案：B

23.以下列哪一項不屬于對稱加密算法？

A、IDEA

B、RSA

C、AES

D、3DES

參考答案：B

24.以下哪種安全威脅屬于應用安全威脅？

A、中間人攻擊

B、用戶身份未經驗證

C、病毒、木馬

D、網絡入侵

參考答案：C

25.向全網發(fā)送一個ABP廣播，請求主機C.的里MAC.地址。如圖所示。

主機A.訪問主機C.時檢查ARP表項中不存在目的地址的MAC地址表

項,主機A.通過以下哪種方式找到目的MA

C.地址？

A、向全網發(fā)送一個ABP廣播，請求主機C.的里MAC.地址。

B、向子網發(fā)送一個ARP廣播，請求網關的MAC.地址。

C、查找主機C.的路由表。

D、向子網發(fā)送一個ARP廣播，請求主機C.的MAC.地址。

參考答案：B

26.某公司員工通過防火墻訪問公司內部的Web服務器，使用瀏覽器

可以打開網站的網頁，但是使用Ping命令測試到We

B,服務器的可達性,顯示不可達。則可能的原因是什么？

A、防火墻上部署的安全策略放行了TCP協(xié)議,但是沒有放行ICMP協(xié)

議

B、web服務器宕機

C、防火墻上部署的安全策略放行了HTTP協(xié)議,但是沒有放行ICMP協(xié)

議

D、防火墻連接服務器的接口沒有加入安全區(qū)域

參考答案：C

27.以下哪項不屬于非對稱加密算法？

A、DH

B、MD5

C、DSA

D、RSA

參考答案：B

28.以下哪項不屬于USG防火墻中的用戶認證方式？

A、免認證

B、密碼認證

C、單點登錄

D、指紋認證

參考答案：D

29.在VRRP中，如果虛擬組設備收到終端設備發(fā)送的ARP請求報文。

那么以下哪種處理方式是正確的？

A、由Master設備響應。

B、Master和Backup者B會響應。

C、由Backup設備響應。

D、Master和Backup都不會響應。因為收到的是AP請求報文的目的

IP地址是虛擬IP地址。

參考答案：A

30.當防火墻硬盤在位的時候，下列哪項對于防火墻日志的描述是正

確的？

A、管理員可以公告內容日志查看網絡威脅的檢測和防御記錄

B、管理員可以通過威脅日志了解用戶的安全風險行為以及被告警或

阻斷的原因

C、管理員通過用戶活動日志獲知用戶的行為、摸索的關鍵字以及審

計策略配置的生效情況等信息

D、管理員可以通過策略命中日志獲知流量命中的安全策略,在發(fā)生問

題時用于故障定位

參考答案：D

31.IPSeC.VPN使用傳輸模式封裝報文時,下列哪項不在ESP安全協(xié)議

的認證范圍？

A、ESPHeader

B、IPHeader

C、ESPTail

D、ICPHeader

參考答案：B

32.防火墻GE1.0.1和GE1.0,2口都屬于DMZ區(qū)域，如果要實現(xiàn)

GE1.0.1所連接的區(qū)域能夠訪問GE1.0.2所連接的區(qū)域，以下哪項是

正確的？

A、需要配置Local到DMZ的安全策略

B、無需做任何配置

C、需要配置域間安全策略

D、需要配置DMZ至Ulocal的安全策略

參考答案：B

33.關于防火墻安全策略的說法，以下選項錯誤的是？

A、如果該安全策略時-permit,則被丟棄的報文不會累加“命中次數”

B、配置安全策略名稱時，不可以重復使用同一個名稱

C、調整安全策略的順序,不需要保存配置文件,立即生效

D、華為USG系列防火墻的安全策略條目數都不能超過128條

參考答案：D

34.以下關于補丁的描述哪項是錯誤的？

A、補丁是軟件的原作者針對發(fā)現(xiàn)的漏洞制作的小程序

B、不打補丁也不影響系統(tǒng)的運行,所以,打補丁與否是無關緊要的。

C、補丁程序一般會不斷更新。

D、計算機用戶應及時下載并安裝最新補丁以保護自己的系統(tǒng)

參考答案：B

35.入侵檢測的內容涵蓋授權的和非授權的各種入侵行為，以下哪項

行為不屬于入侵檢測范圍？

A、冒充其他用戶

B、管理員誤刪配置

C、種植蠕蟲木馬

D、泄露數據信息

參考答案：B

36.某小型企業(yè)只有一個公網地址，管理員通過使用NAT接入

Internet,以下哪一項NAT方式最適合該公司需求？

A、Easyip

B、靜態(tài)NAT

C、目的NAT

D、動態(tài)NAT

參考答案：A

37.TCP.IP協(xié)議棧數據包封裝包括：以下哪項對封裝順序的描述是

1.DatA.2.TCP.UDP3.MAC.4.IP

A、1234

B、1243

C、1342

D、1423

參考答案：B

38.以下哪項在數字簽名技術中用于對數字指紋進行加密？

A、發(fā)送方公鑰

B、發(fā)送方私鑰

C、接收方公鑰

D、接收方私鑰

參考答案：B

39.管理員希望清除當前會話表，以下哪個命令是正確的？

A、clearfirewallsessiontable

B、resetfirewallsessiontable

C、displayfirewallsessiontable

D、displaysessiontable

參考答案：B

40.對于會話首包在防火墻域間轉發(fā)的流程，有以下幾個步驟:

1、查找路由表

2、查找域間包過濾規(guī)則

3、查找會話表

4、查找黑名單下列哪項順序是正確的？

A、1->3->2->4

B、3->2->1->4

C、3->4->1->2

D、4->3->l->2

參考答案：C

41.在USG系列防火墻上配置NATServer時，會產生server-map表，

以下哪項不屬于該表現(xiàn)中的內容？

A、目的IP

B、目的端口號

C、協(xié)議號

D、源IP

參考答案：D

42.ACL的類型不包括以下哪一項？

A、七層ACL

B、高級ACL

C、基本ACL

D、二層ACL

參考答案：A

43.以下關于VGMP協(xié)議描述錯誤的是哪項？需要更多新題庫

V:276137877

A、VGMP將同一臺防火墻上的多個VRRP備份組都加入到一個管理組,

由管理組統(tǒng)一管理所有VRRP備份組

B、VGMP通過統(tǒng)一控制各VRRP備份組狀態(tài)的切換,來保證管理組內的

所有VRRP備份組狀態(tài)都是一致

C、狀態(tài)為Active的VGMP組設備會定期向對端發(fā)送hello報

文,stdandby端只負責監(jiān)聽hello報文,不會進行回應

D、在缺省情況下當standby端三個hello報文周期沒有收到對端發(fā)

送的hello報文,會認為對端出現(xiàn)故障,從而將自己切換到Active狀

o

參考答案：C

44.人工審計是對工具評估的一種補充，它不需要在被評估的目標系

統(tǒng)上安裝任何軟件,對目標系統(tǒng)的運行和狀態(tài)沒有任何影響。人工審

計的內容不包括下列哪個選項？

A、對主機操作系統(tǒng)的人工檢測

B、對數據庫的人工檢查

C、對網絡設備的人工檢查

D、對管理員操作設備流程的人工檢查

參考答案：D

45.以下哪項是事件響應管理的正確順序？

1檢測

2報告

3緩解

4總結經驗

5修復

6恢復

7響應

A、1-3-2-7-5-6-4

B、1-3-2-7-6-5-4

C、1-2-3-7-6-5-4

D、1-7-3-2-6-5-4

參考答案：D

46.企業(yè)影響分析(BIA)不包括以下哪項？

A、業(yè)務優(yōu)先級

B、事故處理優(yōu)先級

C、影響評估

D、風險識別

參考答案：B

47.下列哪個選項不屬于windows操作系統(tǒng)的日志類型?

A、業(yè)務日志

B、應用程序日志

C、安全日志

D、系統(tǒng)日志

參考答案：A

48.部署IPSeC.VPN隧道模式時,采用AH協(xié)議進行報文封裝。在新IP

報文頭部字段中，以下哪個參數無需進行數據完整性校驗？

A、源IP地址

B、目的IP地址

C、TTL

D、Idetification

參考答案：C

49.關于VGMP管理的搶占功能的描述，以下哪項是錯誤的？

A、缺省情況下,VGMP管理組的搶占功能為啟用狀態(tài)

B、缺省情況下,VGMP管理組的搶占延遲時間為40s

C、搶占是指當原來出現(xiàn)故障的主設備故障恢復時一，其優(yōu)先級會恢復，

此時可以重新將自己的狀態(tài)搶占為主

D、當VRRP備份組加入到VGMP管理組后,VRRP備份組上原來的搶占

功能失效

參考答案：B

50.漏洞也叫脆弱性，是指計算機系統(tǒng)在硬件、軟件、協(xié)議的具體事

項或系統(tǒng)安全策略上存在缺陷和不足。以下關于漏洞的特性描述，錯

誤的是那項？

A、漏洞是種安全隱患，會使計算機遭受黑客攻擊。

B、漏洞可以被遠程利用。

C、漏洞無法進行修補

D、漏洞是事先未知、事后發(fā)現(xiàn)的。

參考答案：C

51.在USG系列防火墻中，可以通過以下哪個命令查詢NAT轉換結果？

A、displaynattranslation

B、displayfirewallsessiontable

C、displaycurrentnat

D、displayfirewalInattranslation

參考答案：B

52.在華為USG系列設備上,管理員希望擦除配置文件,下列哪項命令

是正確的？

A、clearsaved-configuration

B、resetsaved-configuration

C、resetcurrent-configuration

D、resetrunning-configuration

參考答案：B

53.以下哪個攻擊不屬于特殊報文攻擊？

A、ICMP重定向報文攻擊

B、ICMP不可達報文攻擊

C、IP地址掃描攻擊

D、超大ICMP報文攻擊

參考答案：C

54.使用AH+ESP協(xié)議對IP報文進行封裝，需要建立幾個IPSeC.SA?

A、2

B、1

C、4

D、3

參考答案：A

55.關于Client-Initialized的L2TPVPN,下列哪項說法是錯誤的？

A、遠程用戶接入internet后，可通過客戶端軟件直接向遠端的LNS

發(fā)起L2TP隧道連接請求

B、LNS設備接收到用戶L2TP連接請求，可以根據用戶名、密碼對用

戶進行驗證

C、LNS為遠端用戶分配私有IP地址

D、遠端用戶不需要安裝VPN客戶軟件

參考答案：D

56.證據保全直接關系到證據的法律效力，以下哪一項不屬于證據保

全技術？

A、數字證書技術

B、加密技術

C、數據挖掘技術

D、數字簽名技術

參考答案：C

57.以下哪項不屬于防火墻雙機熱備需要具備的條件？

A、防火墻硬件型號一致

B、防火墻軟件版本一致

C、使用的接口類型及編號一致

D、防火墻接口IP地址一致

參考答案：D

58.配置用戶單點登錄時?，采用接收PC消息模式，其認證過程有以下

步驟：

1訪問者PC執(zhí)行登錄腳本，將用戶登錄信息發(fā)給AD監(jiān)控器

2防火墻從登錄信息中提取用戶和IP的對應關系添加到在線用

戶表

3AD監(jiān)控器連接到AD服務器查詢登錄用戶信息，并將查詢到的用

戶信息轉發(fā)到防火墻

4訪問者登錄AD域,AD服務器向用戶返回登錄成功消息并下發(fā)

登錄腳本以下哪項的排序是正確的？

A、1-2-3-4

B、4-1-3-2

C、3-2-1-4

D、1-4-3-2

參考答案：B

59.在USG系列防火墻中，可以使用功能為非知名端口提供知名應用

服務。

A、端口映射

B、MAC與IP地址綁定

C、包過濾

D、長連接

參考答案：A

60.銀行A.是一家農村商業(yè)銀行，主要向本省轄內衣民、農村工商戶

等用戶提供金融服務?，F(xiàn)銀行A.的網絡需要做等保測評，以下哪一項

等保等級適用于銀行A?

A、等保三級

B、等保一級

C、等保四級及以上

D、等保二級

參考答案：C

61.SMTP協(xié)議的端口號是多少？

A、25http80,https443,telnet23,ssh22pop3110dns53,ftp21

B、30

C、109

D、32

參考答案：A

62.DHCP綁定表中不包含以下哪一項信息？

A、端口號

B、VLANID

C、MA

C.地址

D、IP地址

參考答案：A

63.在某些場景下，既要對源IP地址進行轉換,又要對目的IP地址進

行轉換,該場景使用以下哪項技術？

A、雙向NAT

B、源NAT

C、NAT-Server

D、NATALG

參考答案：A

64.安全評估方法的步驟不包括下列哪項？

A、人工審計

B、滲透測試

C、問卷調查

D、數據分析

參考答案：D

65.以下哪項不屬于數字證書的內容？

A、公鑰

B、私鑰

C、有效期

D、頒發(fā)者

參考答案：B

66.關于PKI工作過程的排序，以下哪項是正確的？

A、1-2-6-5-7-4-3-8

B、1-2-7-6-5-4-3-8

C、6-5-4-1-2-7-3-8

D、6-5-4-3-1-2-7-8

參考答案：B

67,下列哪項不屬于對稱加密算法中的分組加密算法？

A、RC5

B、RC4

C、RC6

D、RC2

參考答案：B

68.關于DNS的特點，以下哪一項的描述是錯誤的？

A、DNS的作用是把難記憶的IP地址轉換為容易記憶的字符形式。

B、DNS使用TCP協(xié)議，端口號是53。DNSTCP53,UDP53

C、DNS域名劫持通過偽造域名解析服務器等手段，將目標域名解析到

錯誤的IP地址，導致用戶訪問錯誤的網站。

D、DNS按分層管理，最高級別為根域，其次為頂級域名，CN是頂級

域名，表示中國。

參考答案：A

69.以下哪項是USG系列防火墻初次登錄的用戶名.密碼?

A、用戶名admin密碼Adminl23

B、用戶名admin密碼adminl23

C、用戶名admin密碼admin

D、用戶名admin密碼Adminl23

參考答案：A

70.關于NAT技術，以下哪項描述是錯誤的？

A、在華為防火墻中，源NAT技術是指對發(fā)起連接的IP報文頭中的源

地址進行轉換。

B、在華為防火墻中，EasyIP直接使用接口的公網地址作為轉換后的

地址，不需要配置NAT地址池。

C、在華為防火墻中,NATNo-PAT技術需要通過配置NAT地址池來實現(xiàn)。

D、在華為防火墻中，帶端口轉換的NAT技術只有NAPT.

參考答案：D

71.以下關于雙機熱備中自動備份模式的描述，錯誤的是哪一項？

A、在一臺FW上每執(zhí)行一條可以備份的命令時，此配置命令就會被立

即同步備份到另一臺FW上。

B、需要管理員手工開啟。

C、主用設備會周期性地將可以備份的狀態(tài)信息備份到備用設備上。

D、能夠自動實時備份配置命令和周期性地備份狀態(tài)信息，適用于各

種雙機熱備組網。

參考答案：B

72.監(jiān)視器對應下列哪項安全措施？

A、入侵檢測系統(tǒng)

B、加密VPN

C、門禁系統(tǒng)

D、防火墻

參考答案：A

73.數據分析技術是在已經獲取的數據流或者信息流中尋找、匹配關

鍵詞或關鍵短語,分析時間的關聯(lián)性。下列哪項不屬于證據分析技術?

A、密碼破譯,數據解密技術

B、文件數字摘要分析技術

C、發(fā)掘不同證據間的聯(lián)系的技術

D、垃圾郵件追蹤技術

參考答案：D

74.下列選項中對信息安全管理體系(ISMS)四個階段的順序描述正確

的是哪項？

A、Plan->Check->Do->Action

B、Check->Plan->Do->Action

C、Plan->Do->Check->Action

D、Plan->Check->Action->Do

參考答案：C

75.查看防火墻的HRP狀態(tài)信息如

下:HRPS[USG_B]displayhrpstateBbs.hhOlO.ThefirewalFsconfigs

tateis:StandbyCurrentstateofvirtualroutersconfigureD.asstan

dby:GigabitEthernetl.0.OvriD.1:standbyGigabitEthernetl.0.IV

riD.2:standby根據上述信息，以下哪項描述是正確的：

A、此防火墻VGMP組狀態(tài)為Active

B、此防火墻G1.0.0和G1.0.1接口的VRRP組狀態(tài)為standby

C、此防火墻的HRP心跳線接口為G1.0.0和G1.0.1

D、此防火墻一定是處于搶占狀態(tài)

參考答案：B

76.如果發(fā)生境外不法分子利用互聯(lián)網竊取我國國家機密的事件，則

國家會啟動哪種預警？

A、橙色預警

B、黃色預警

C、藍色預警

D、紅色預警

參考答案：A

77.下列哪項不是單機反病毒技術？

A、安裝殺毒軟件

B、網絡防火墻上配置反病毒技術

C、使用病毒檢測工具

D、為系統(tǒng)打補丁

參考答案：B

78.下列哪項不屬于計算機犯罪的主要形式?

A、向目標主機植入木馬

B、向目標主機進行黑客攻擊

C、使用計算機進行個人問卷調查

D、未經允許,利用掃描工具收集網絡信息

參考答案：C

79.下列哪個不是配置雙機熱備所應該具備的系統(tǒng)要求？

A、FW軟件版本必須相同

B、FW型號必須相同

C、FW硬盤配置必須相同

D、FW單板類型必須相同

參考答案：C

80.用iptables寫一條規(guī)則不允許.16的網段訪問本設備，以下哪項

規(guī)則寫法是正確的？

A、iptables-tfiter-A.INPUT-s.16-pall-JDROP

B、iptables-tfiter-PINPUT-s.16-pall-jDROP

C、iptables-tfiter-PINPUT-s.16-pall-j-ACCEPT

D、iptables-tfiter-PINPUT-D..16-pall-j-ACCEPT

參考答案：A

81.以下關于iptables表功能的描述，錯誤的是哪一項？

A、NAT表:地址轉換的功能。

B、Raw表:決定數據包是否被狀態(tài)跟蹤機制處理。

C、Mangle表:修改安全策略

D、Filter表:數據包中允許或者不允許的策略。

參考答案：C

82.L2TP協(xié)議是在以下哪一階段進行IP地址分配？

A、鏈路建立階段

B、LCP協(xié)商階段

C、CHAP階段

D、NCP協(xié)商階段

參考答案：D

83.以下哪項不屬于對稱加密算法？

A、DES

B、3DES

C、AES

D、RSA

參考答案：D

84.以下關于證書申請的描述，錯誤的是哪一項？

A、當證書過期、密鑰泄漏時，PKI實體必須更換證書，可以通過重新

申請來達到更新的目的，也可以使用SCEP或CMPv2協(xié)議自動進行更

新。

B、通常情況下PKI實體會生成一對公私鑰，公鑰和自己的身份信息

被發(fā)送給C

A.用來生成本地證書。

C、PKI實體支持通過SCEP協(xié)議向C

A.發(fā)送證書注冊請求消息來申請本地證書。

D、PKI只能通過在線方式申請本地證書，安全系數高。

參考答案：D

85.數字簽名技術通過對以下哪項數據進行了加密從而獲得數字簽名？

A、用戶數據

B、接收方公鑰

C、發(fā)送方公鑰

D、數字指紋

參考答案：D

86.在信息保障階段,需要從下列哪些角度入手考慮信息的安全問題？

A、管理

B、安全體系

C、業(yè)務

D、技術

參考答案：B

87.關于L2TPVPN的說法，以下哪項是錯誤的？

A、適用于出差員工撥號訪問內網

B、不會對數據進行加密操作

C、可以與IPseC.VPN結合使用

D、屬于三層VPN技術

參考答案：D

88.入侵防御系統(tǒng)針對攻擊識別是基于以下哪一項進行也配的？

A、端口號

B、協(xié)議

C、IP地址

D、特征庫

參考答案：D

89.下列哪個不是防火墻缺省的安全區(qū)域

A、untrustzone

B、trustzone

C、dmzzone

D、ispzone

參考答案：D

90.公司網絡管理員在配置雙機熱備時,配置VRRP備份組1的狀態(tài)為

Active,并配置虛擬IP地址為.24,則空白處需要鍵入的命令是

A、rulenamecSource-zoneuntrustDestination-

zonetrustDestination-address32Actionpermit

B、rulenamedSource-zoneuntrustDestination-

zonetrustDestination-address32Actionpermit

C、security-policyRulenameaSource-zoneuntrustSource-

address32Actionpermit

D、rulenamebSource-zoneuntrustDestination-zonetrustSource-

address32Actionpermit

參考答案：A

91.關于SSLVPN的描述，以下哪項是正確的？

A、可以在無客戶端的情況下使用

B、可以對IP層進行加密

C、存在NAT穿越問題

D、無需身份驗證

參考答案：A

92.通常我們會把服務器分為通用服務器和功能服務器兩大類，以下

哪個選項符合這種分類標準？

A、按應用層次劃分

B、按用途劃分

C、按外形劃分

D、按體系構架劃分

參考答案：B

93.入侵防御設備能夠有效防御以下哪一項的攻擊？

A、傳輸層

B、應用層

C、網絡層

D、物理層

參考答案：B

94.下列哪項是網絡地址端口轉換(NAPT)與僅轉換網絡地址(No-PAT)

的區(qū)別？

A、經過No-PAT轉換后，對于外網用戶，所有報文都來自同一個IP地

址

B、No-PAT只支持傳輸層的協(xié)議端口轉換

C、NAPT只支持網絡層的協(xié)議地址轉換

D、No-PAT支持網絡層的協(xié)議地址轉換

參考答案：D

97.在等保2.0中，哪一項規(guī)定了“應在關鍵網絡節(jié)點處對垃圾郵件

進行檢測和防護，并維護垃圾防護機制的升級和更新”？

A、惡意代碼防范

B、通信傳輸

C、集中管控

D、邊界防護

參考答案：A

99.以下哪種密碼屬于高強度密碼？

A、1001

B、tLzXsqc735!

C、adminl23

D、hellOworld

參考答案：B

100.關于Telnet服務的特點，以下哪一項的描述是錯誤的？

A、Telnet可用于遠程登錄主機,可通過暴力破解獲取到Telnet帳號

密碼。

B、默認情況下華為防火墻禁止遠程用戶使用Telnet登錄。

C、通過Telnet服務用戶可在本地計算機上連接遠程主機。

D、Telnet是一種遠程登錄服務協(xié)議，使用UDP協(xié)議的23端口號

參考答案：D

101.下列哪一項不屬于P2DR模型中Detection環(huán)節(jié)使用到的方法？

A、實時監(jiān)控

B、檢測

C、報警

D、關閉服務

參考答案：D

102.防火墻檢測到病毒后，下列哪種情況會放行病毒？

A、命中應用例外

B、不是防火墻支持的協(xié)議

C、源IP命中白名單

D、命中病毒例外

參考答案：C

103.關于防火墻的描述，以下哪項是正確的

A、防火墻不能透明接入網絡.

B、防火墻添加到在網絡中，必然會改變網絡的拓撲.

C、為了避免單點故障，防火墻只支持旁掛部署

D、根據使用場景的不同，防火墻可以部署為透明模式,也可以部署為

三層模式.

參考答案：D

104.最常見的等保三級標準,一共包含3個方面內容,分別為:物理安

全、數據安全和網絡安全。

A、正確

B、錯誤

參考答案：B

105.下列哪個不是防火墻缺省的安全區(qū)域？（單選）

A、UntrustZone

B、DMZZone

C、TrustZone

D、ISPZone

參考答案：D

106.下列不屬于常見的數字證書的應用場景的是？

A、FTP

B、HTTPS

C、IPSE

C.VPN

D、SSLVPN

參考答案：A

107.關于安全策略配置命令，以下哪項是正確的？

A、禁止從trust區(qū)域訪問untrust區(qū)域且目的地址為0主機的ICMP

報文

B、禁止從trust區(qū)域訪問untrust區(qū)域且目的地址為.16網段的所

有主機ICMP報文

C、禁止從trust區(qū)域訪問untrust區(qū)域且源地址為.16網段來的所

有主機ICMP報文

D、禁止從trust區(qū)域訪問untrust區(qū)域且源地址為0主機來的所有

主機ICMP報文

參考答案：C

108.以下哪個選項不是IPSe

C.SA的標識？

A、SPI

B、目的地址

C、源地址

D、安全協(xié)議

參考答案：C

109.下列關于心跳接口的描述中錯誤的是？

A、MGMT接口(GigabitEthernetO.0.0)不能作為心跳接口

B、心跳接口的連線方式可以是直連,也可以通過交換機或路由器連接

C、建議至少配置2個心跳接口。一個心跳接口作為主用，另一個心跳

接口作為備份

D、按口MTU值大于1500的接口不能作為心跳接口

參考答案：D

110.關于上網用戶組管理的說法，以下哪項是錯誤的？

A、每個用戶組可以包括多個用戶和用戶組。

B、每個用戶組可以屬于多個父用戶組。

C、系統(tǒng)默認有一個default用戶組，該用戶組同時也是系統(tǒng)默認認

證域.

D、每個用戶至少屬于一個用戶組，也可以屬于多個用戶組.

參考答案：B

111.公司管理員使用命令ping命令測試網絡的連通性，如果他需要

指定ehco-request報文的源地址，則他需要附加的參數是？

A、-i

B、-a

C、-c

D、-f

參考答案：B

112.以下哪一項不是VPN中的加密算法？

A、3DES

B、DES

C、AES

D、RIP路由協(xié)議，不屬于加密算法。

參考答案：D

113.關于NAT地址轉換，以下哪項說法是錯誤的？

A、源NAT技術中配置NAT地址池,可以在地址池中只配置一個IP地

址

B、地址轉換可以按照用戶的需要,在局域網內向外提供FTP、、Telnet

等服務

C、有些應用層協(xié)議在數據中攜帶IP地址信息,對它們作NAT時還要

修改上層數據中的IP地址信息

D、對于某些TCP、UDP的協(xié)議（如ICMP、PPTP）,無法做NAT轉換

參考答案：D

114.以下哪個選項是GRE的協(xié)議號？

A、46

B、47

C、89

D、50

參考答案：B

115.以下關于華為防火墻安全區(qū)域的描述,正確的是哪一項？

A、防火墻的不同安全區(qū)域的優(yōu)先級相同。

B、防火墻的不同接口可以在同一個區(qū)域。

C、防火墻自帶的區(qū)域可以刪除。

D、防火墻同一個接口可以歸屬不同區(qū)域。

參考答案：B

116.關于NAT地址池的配置命令如下：nataddress-

grouplsectionOOOModeno-pat其中，no-pat參數的含義是：

A、不做地址轉換

B、進行端口復用

C、不轉換源端口

D、轉換目的端口

參考答案：C

117.在處理非首包數據流時，以下哪一類防火墻處理效率最高？

A、代理防火墻

B、包過濾防火墻

C、狀態(tài)監(jiān)測防火墻

D、軟件防火墻

參考答案：C

118.IP報文頭中的協(xié)議(protocol)字段標識了其上層所使用的協(xié)議,

以下哪個字段值表示上層協(xié)議為UDP協(xié)議？

A、6

B、17

C、11

D、18

參考答案：B

119.通過displayikesA.看到的結果如下,以下哪項說法是錯誤的？

A、IKESA,已經建立

B、IPSeC.SA已經建立

C、鄰居地址是

D、IKE采用的是VI版本

參考答案：B

120.IPSeC.可以通過以下哪一項協(xié)議來完成加密和認證過程的密鑰

自動分發(fā)？

A、AH

B、IKE（因特網密鑰交換協(xié)議）

C、ESP

D、SPI

參考答案：B

121.攻擊者發(fā)送源地址和目的地址相同，或者源地址為環(huán)回地址的sw

報文給目標主機（源端口和目的端口相同），導致被攻擊者向其自己的

地址發(fā)送SYN-ACK消息。這種行為屬于哪一種攻擊？

A、SYNflood攻擊

B、TCP欺騙攻擊

C、smurf攻擊

D、Land攻擊

參考答案：D

122.以下對防火墻日志的描述，錯誤的是哪一項？

A、日志等級Emergency為最嚴重的等級

B、Alert日志等級表示設備重大的異常，需要立即采取措施

C、根據信息的嚴重等級或緊急程度，日志可以分為8個等級，信息越

嚴重，其日志等級值越大

D、Debug日志等級表示是設備正常運轉的一般性信息,用戶無需關注

參考答案：C

123.下列哪項不是國家互聯(lián)網應急中心的業(yè)務范圍？

A、應急處理安全事件

B、預警通報安全事件

C、為政府部門、企事業(yè)單位提供安全評測服務

D、與其他機構合作,提供培訓服務

參考答案：D

124.下列關于心跳接口的描述中錯誤的是

A、建議至少配置2個心跳接口。一個心跳接口作為主用，另一個心跳

接口作為備份。

B、接口MTU值大于1500不能作為心跳接口

C、心跳接口的連線方式可以是直連,也可以通過交換機或路由器連接

D、MGMT接口(GigabitEtherneto.0.0)不能作為心跳接口

參考答案：B

125.中間人攻擊屬于數據安全威脅。

A、正確

B、錯誤

參考答案：A

126.以下哪項配置能實現(xiàn)NATALG功能？

A、natalgprotocol

B、algprotocol

C、natprotocol

D、detectprotocol

參考答案：D

127.以下關于單點登錄主要實現(xiàn)方式的描述中，錯誤的是哪一項？

A、接受PC.消息模式

B、查詢AD.服務器安全日志模式

C、查詢syslog服務器模式

D、防火墻監(jiān)控AD.認證報文

參考答案：C

128.在華為SDSec解決方案中，防火墻屬于哪一層的設備？

A、分析層

B、控制層

C、執(zhí)行層

D、監(jiān)控層

參考答案：C

129.DES加密技術使用的密鑰是多少位，而3DES加密技術使用的密

鑰是多少位。

A、56168

B、64168

C、64128

D、56128

參考答案：D

130.在防火墻上部署雙機熱備時，為實現(xiàn)VRRP備份組整體狀態(tài)切換,

需要使用以下哪個協(xié)議?

A、VRRP

B、VGMP

C、HRP

D、OSPF

參考答案：B

131.證據鑒定需要解決證據的完整性驗證和確定其是否符合可采用

標準,關于證概鑒定的標準，以下哪項描述是正確的？

A、關聯(lián)性標準是指電了證據如果在一定程度上能夠對案件事實產生

實質性影響,法庭應當裁定其具有關聯(lián)性。

B、客觀性標準是指電子證據的獲取、存儲、提交等環(huán)節(jié)約應合法，對

國家利益、社會公益和個人隱私等基本權利不構成嚴里侵犯。

C、合法性標準是保證電子證據從最初的獲取收集,到作為訴訟證據提

交使用的過程中，其內容沒有任何變化。

D、公平性標準是指由法定主體以合法手段取得的證據材料,才具有證

據能力。

參考答案：A

132.防火墻對匹配到的認證數據流采取的處理方式,不包括以下哪個

選項？

A、Portal認證

B、免認證

C、微信認證

D、不認證

參考答案：C

133.IPv6支持在設備上配置路由器授權功能,通過數字證書驗證對等

體身份，選用合法設備。

A、正確

B、錯誤

參考答案：B

134.針對發(fā)生的重大網絡安全事件,所對應的預警是哪個等級？

A、紅色預警

B、橙色預警

C、黃色預警

D、藍色預警

參考答案：B

135.以下哪個選項不屬于散列算法？

A、MD5

B、SHA1

C、SM1

D、SHA2

參考答案：C

137.二層交換機轉發(fā)數據時一,根據以下哪種表項確定目標端口？

A、ARP表項

B、MA

C.地址表項

C、路由表項

D、訪問控制列表

參考答案：B

138.IPSeC.VPN使用隧道模式封裝報文時，下列哪項不在ESP安全協(xié)

議的加密范圍？

A、ESPHeader

B、TCPHeader

C、RawIPHeader

D、ESPTail

參考答案：A

139.關于電子證據來源，以下哪項描述是錯誤的？

A、傳真資料，手機錄音屬于與通信技術有關的電子證據。

B、電影，電視劇屬于與網絡技術有關的電子證據.

C、數據庫操作記錄，操作系統(tǒng)日志屬于與計算機有關的電子證據？

D、操作系統(tǒng)日志,e-mail,聊天記錄都可以作為電子證據的來源

參考答案：B

140.關于上網用戶和VPN接入用戶認證的描述，以下哪項是錯誤的？

A、上網用戶和VPN接入用戶共享數據，用戶的屬性檢查（用戶狀態(tài)、

賬號過期時間等）同樣對VPN接入生效

B、上網用戶采用本地認證或服務器認證過程基本一致,都是通過認證

域對用戶進行認證,用戶觸發(fā)方式也相同

C、VPN用戶接入網絡后，可以訪問企業(yè)總部的網絡資源，防火墻可以

基于用戶名控制可訪問的網絡資源

D、VPN接入用戶通過認證后將同時在用戶在線列表上線

參考答案：B

141.關于入侵防御系統(tǒng)（IPS）的描述，以下哪項是錯誤的？

A、IDS設備需要與防火墻聯(lián)動才能阻斷入侵（IDS入侵檢測系統(tǒng)）

B、IPS設備在網絡中不能采取旁路部署方式（IPS入侵防御系統(tǒng)）

C、IPS設備可以串接在網絡邊界，在線部署

D、IPS設備一旦檢測出入侵行為可以實現(xiàn)實時阻斷

參考答案：B

142.啟用GRE的keepalive功能后，默認情況下設備會周期性的每隔

多少秒向對端發(fā)送一次keepalive報文？

A、20

B、10

C、5

D、3

參考答案：C

143.下列哪項SSLVPN功能能且只能訪問所有的TCP資源？

A、網絡擴展

B、文件共享

C、WE

B.代理

D、端口轉發(fā)

參考答案：D

144.攻擊者發(fā)送源地址和目的地址相同，或者源地址為環(huán)回地址的

SYN報文給目標主機（源端口和目的端口相同，導致被攻擊者向其自己

的地址發(fā)進婦SYN-AKY消息這種行為是哪種攻擊？（）

A、Smurf攻擊

B、SYNFloo

D.攻擊

C、TCP欺騙攻擊

D、Lan

D.攻擊

參考答案：D

145.管理員通過G1.0.0接口（已將該接口加入Trustzone）連接到防

火墻,如果允許管理員通過G1.0.o登錄防火墻進行配置管理,則該如

何配置安全策略中放行的流量方向？

A、放行TrustZone到UntrustZone的流量

B、放行TrustZone到LocalZone的流量

C、放行LocalZone到LocalZone的流量

D、放行TrustZone到TrustZone的流量

參考答案：B

147.二層ACL.的編號范圍是以下那一項？

A、3000^3999

B、2000^2999

C、10001999

D、4000?4999

參考答案：D

148.以下關于數字簽名中數字指紋的描述，錯誤的是哪一項？

A、接收方需要使用發(fā)送方的公鑰才能解開數字簽名得到數字指紋。

B、它是發(fā)送方通過HASH算法對明文信息計算后得出的數據。

C、接收方會用發(fā)送方的公鑰計算生成的數據指紋和收到的數字指紋

進行對比。

D、數字指紋又稱為信息摘要。

參考答案：C

149.關于NATNo-PAT產生的ServerMap表，以下哪項描述是正確的

A、NATNo-PAT產生的ServerMap的功能相當于安全策略，即匹配該

ServerMap表的報文可以直接通過防火墻,無需匹配安全策略。

B、NATNo-PAT產生的ServerMap默認有兩條，有一個是反向的

ServerMap表,主要作用外網用戶主動訪問該私網用戶時,無需另外配

置NAT和安全策略即可進行地址轉換進行訪問。

C、NATNo-PAT產生的ServerMap是靜態(tài)的，即配置好NATNo-PAT

后,ServerMap表會自動生成且永久存在。

D、NATNo-PAT產生的ServerMap默認有兩條，有一個是正向的

ServerMap表,主要作用是保證特定私網地址訪問公網時直接命中表

項進行地址轉換,提高效率。

參考答案：C

150.以下哪個NAT技術屬于目的NAT技術？

A、Easy-ip

B、NATNo-PAT

C、NAPT

D、NATServer

參考答案：D

151.以下哪一項措施能夠防止IP欺騙攻擊？

A、在邊界防火墻上過濾特定端口

B、在邊界防火墻上設置到特定IP的路由

C、在邊界路由器上部署目標IP地址過濾

D、在邊界防火墻上進行源IP地址過濾

參考答案：D

152.申請應急響應專項資金,采購應急響應軟硬件設備屬于網絡完全

應急響應中哪個階段中的工作內容？

A、準備階段

B、抑制階段

C、響應階段

D、恢復階段

參考答案：A

153.當在公共場所連接Wi-Fi時，下列哪一種行為相對更加安全？

A、連接未進行加密的Wi-Fi熱點

B、連接由運營商提供的付費Wi-Fi熱點且僅進行網絡瀏覽

C、連接未加密的免費Wi-Fi進行在線購物

D、連接加密的免費Wi-Fi進行在線轉賬操作

參考答案：B

154.當發(fā)生網絡安全事件后,對入侵行為、病毒或木馬進行排查,對主

機進行修補加固。上述動作屬于網絡安全應急響應哪個階段中的工作

內容？

A、恢復階段

B、檢測階段

C、根除階段

D、抑制階段

參考答案：D

155.以下哪種攻擊不屬于網絡攻擊？

A、IP欺騙攻擊

B、Smurf攻擊

C、MAC地址欺騙攻擊

D、ICMP攻擊

參考答案：C

156.下列哪個信息不是雙機熱備中狀態(tài)信息備份所包含的備份內容？

A、NAPI相關表項

B、IPv4會話表

C、IPSEC隧道

D、路由表

參考答案：D

157.下列哪項不屬于網絡安全事件中劃分的等級？

A、重大網絡安全事件

B、特殊網絡安全事件

C、一般網絡安全事件

D、較大網絡安全事件

參考答案：B

158.下列哪項屬于網絡安全事件分類中的“信息破壞事件〃？

A、軟硬件故障

B、信息仿冒

C、網絡掃描竊

D、聽木馬攻擊

參考答案：B

159.在信息安全體系建設管理周期中，下列哪一項的行為是“check”

環(huán)節(jié)中需要實施的？

A、安全管理體系設計

B、安全管理體系實施

C、風險評估

D、安全管理體系運行監(jiān)控

參考答案：D

160.以下哪項流量匹配了認證策略會觸發(fā)認證？

A、訪問設備或設備發(fā)起的流量

B、DHCP、BGP、OSP

F、LDP報文

C、訪問者訪問HTTP業(yè)務的流量

D、第一條HTTP業(yè)務數據流對應的DNS報文

參考答案：C

161.防火墻接入用戶認證的觸發(fā)認證方式,不包括以下的哪一項？

A、MPLSVPN

B、SSLVPN

C、IPSe

C.VPN

D、L2TPVPN

參考答案：A

162.以下哪項不屬于LINUX操作系統(tǒng)？

A、CentOSlinux

B、RedHatlinux

C、Ubuntulinux

D、MA

C.OSUnix

參考答案：D

163.在信息安全體系建設管理周期中，下列哪一項的行為是“Check”

環(huán)節(jié)中需要實施的？

A、安全管理體系設計

B、安全管理體系實施

C、風險評估

D、安全管理體系運行監(jiān)控

參考答案：D

164.受外部用戶控制通過竊取本機信息或者控制權來攻擊網絡安全

的方式是以下哪種攻擊行為？

A、木馬攻擊

B、拒絕服務攻擊

C、釣魚攻擊

D、緩沖區(qū)溢出攻擊

參考答案：A

165.DES加密技術使用的密鑰是位,而3DES加密技術使用的密鑰是位。

A、56168

B、64168

C、64128

D、56128

參考答案：D

166.在USG系統(tǒng)防火墻上配置NATServer時，會產生server-map表，

以下哪項不屬于該表現(xiàn)中的內容？

A、目的IP

B、目的端口號

C、協(xié)議號

D、源IP

參考答案：D

167.關于VGMP的組管理的描述，以下哪項是錯誤的？

A、VRRP備份組的主.備狀態(tài)變化都需要通知其所屬的VGMP管理組

B、兩臺防火墻心跳口的接口類型和編號可以不同，只要能夠保證二層

互通即可

C、主備防火墻的VGMP之間定時發(fā)動hello報文

D、主備設備通過心跳線交互報文了解對方狀態(tài),并且備份相關命令和

狀態(tài)信息。

參考答案：B

168.AH協(xié)議的協(xié)議號是多少？

A、50

B、51

C、55

D、52

參考答案：B

169.在密碼學應用中，哪一項技術是使用公鑰加密,私鑰解密？

A、對稱密鑰

B、非對稱密鑰

C、數字簽名

D、DH

參考答案：B

170.針對ARP欺騙攻擊的描述，以下哪項是錯誤的

A、ARP實現(xiàn)機制只考慮正常業(yè)務交互,對非正常業(yè)務交互或惡意行為

不做任何驗證

B、ARP欺騙攻擊只能通過ARP應答來實現(xiàn),無法通過ARP請求實現(xiàn)

C、當某主機發(fā)送正常ARP請求時,攻擊者會搶先應答,導致主機建立

一個錯誤的IP和MAC映射關系

D、ARP靜態(tài)綁定是解決ARP欺騙攻擊的一種方案,主要應用在網絡規(guī)

模不大的場景

參考答案：B

171.下列哪項SSLVPN功能能且僅能訪問所有TCP資源？

A、網絡擴展

B、端口轉發(fā)

C、web代理

D、文件共享

參考答案：B

172.電子證據保全直接關系到證據法律效力，符合法律手續(xù)的保全,

其真實性和可靠性才有保障。下列哪項不屬于證據保全技術？

A、加密技術

B、數字證書技術

C、數字簽名技術

D、報文標記追蹤技術

參考答案：D

173.以下哪個選項屬于二層VPN技術?

A、SSLVPN

B、L2TPVPN

C、GREVPN

D、IPSe

C.VPN

參考答案：B

174.利用程序漏洞，構造特殊的SQL語句并提交以獲取敏感信息的攻

擊方式是以下哪種攻擊方式？

A、SQL注入攻擊

B、蠕蟲攻擊

C、釣魚攻擊

D、緩沖區(qū)溢出攻擊

參考答案：A

175.以下哪項不屬于殺毒軟件的關鍵技術？

A、脫殼技術

B、自我保護

C、格式化磁盤

D、實時升級病毒庫

參考答案：C

176.以下哪一項不屬于二層VPN?

A、L2F

B、PPTP

C、L2TP

D、IPSeC.

參考答案：D

177.下列選項中，哪一個不是私網P地址？

A、54.16

B、.24

C、54.24

D、0.8

參考答案：B

178.下列哪個選項不屬于被動獲取信息的手段？

A、端口掃描

B、端口鏡像

C、收集日志

D、抓包

參考答案：D

179.在IPSeC.VPN傳輸模式中，數據報文被加密的區(qū)域是哪部分?

A、網絡層及上層數據報文

B、原IP報文頭

C、新IP報文頭

D、傳輸層及上層數據報文

參考答案：D

180.以下關于對稱加密技術的描述中，錯誤的是哪項？

A、系統(tǒng)開銷小。

B、擴展性好。

C、效率高，算法簡單。

D、適合加密大量數據。

參考答案：B

181.服務器在使用過程中，存在著各種各樣的安全威脅。以下哪個選

項不屬于服務器安全威脅？

A、自然災害

B、DDos攻擊

C、黑客攻擊

D、惡意程序

參考答案：A

182.在數字簽名過程中，主要是對以下哪項進行了HASH算法從而驗

證數據傳輸的完整性？

A、用戶數據

B、對稱密鑰

C、接收方公鑰

D、接收方私鑰

參考答案：A

183.在部署IPSeC.VPN時-，以下哪項屬于隧道模式的主要應用場景？

A、主機與主機之間

B、主機與安全網關之間

C、安全網關之間

D、主機和服務器之間

參考答案：C

184.關于HRP主備配置一致性檢查內容不包括下列哪個選項？

A、NAT策略

B、是否配置了相同序號的心跳接口

C、靜態(tài)路由的下一跳和出接口

D、認證策略

參考答案：C

185.在某些場景下，既要對源IP地址進行轉換，又要對目的IP地址

進行轉換，該場景使用以下哪項技術？

A、雙向NAT

B、源NAT

C、NAT-Server

D、NATALG

參考答案：A

186.管理員希望清除當前會話表。以下哪個命令是正確的了？

A、displaysessiontable

B、displayfirewallsessiontable

C、resetfirewallsessiontable

D、clearfirewallsessiontable

參考答案：C

187.以下哪種攻擊不屬于網絡層攻擊？

A、IP欺騙攻擊

B、Smurf攻擊

C、MA

C.地址欺騙攻擊

D、ICMP攻擊

參考答案：C

188.SSL不支持以下哪一項加密算法？

A、RC4

B、DES

C、3DES

D、AES

參考答案：A

189.下列哪項VPN不能用于site-to-Site場景？

A、SSLVPN

B、L2TPVPN

C、IPSe

C.VPN

D、GREVPN

參考答案：A

190.關于防火墻的特點，以下哪一項的描述是正確的？

A、防火墻都能準確地檢測出攻擊來自哪一臺計算機

B、防火墻能夠很好她解決內網網絡攻擊的問題

C、防火墻可以防止把外網未經授權的信息發(fā)送到內網

D、防火墻可以取代反病毒系統(tǒng)

參考答案：C

191.在域間包過濾中，以下哪一項屆于InbouD.方向？

A、Untrust>Trust

B、Local>Trust

C、DMZ>Untrust

D、Local>DNZ

參考答案：A

192.以下哪一種工具可以用于滲透weB.應用程序？

A、Nmap

B、Sparta

C、BurpSuite

D、Superscan

參考答案：C

193.管理員通過Gl.0.0接口（己將接口加入TrustZone）逵接到防火

墻,如果允言午管理景通過G

1.0.0登象防火堵迸行配置管理,即如何配置安全策略中放行的流量

方向？（

A、放行TrustZone到TrustZone的流量

B、放行TrustZone到UntrustZone的流量

C、放行LocalZone到LocalZone的流量

D>放行TrustZone到LocalZone的流量(I)

參考答案：D

194.在USG系統(tǒng)防火墻中，可以使用------功能為非知名端口提供

知名應用服務。

A、端口映射

B、MAC與IP地址綁定

C、包過濾

D、長連接

參考答案：A

195.關于IKESA,以下哪項描述是錯誤的？

A、IKESA是雙向的

B、IKE是基于UDP的應用層協(xié)議

C、IKESA是為IPSeC.SA服務的

D、用戶數據報文采用的加密算法由IKESA決定

參考答案：D

196.雙機熱備的缺省備份方式是以下哪種？

A、自動備份

B、手工批量備份

C、會話快速備份

D、設備重啟后主備FW的配置

參考答案：A

197.關于TCP.IP協(xié)議棧的特點，以下哪一項的描述是錯誤的？

A、設備接受數據時.，會依照TCP.IP模型拆除協(xié)議報頭，分析載荷信

息，這一動作稱為解封裝。

B、網絡的通信過程是在協(xié)議棧的對等層次進行通信的，如網絡層和

網絡層通信，數據鏈路層和數據鏈路層通信。

C、在設備封裝數據時，TCP.IP協(xié)議找在每一層上對數據都設置了校

驗機制。

D、設備發(fā)送數據時，會將數據依照ICP.IP模型添加上特定的協(xié)議報

頭信息，這一動作稱為封裝。

參考答案：C

198.關于查看安全策略匹配次數的命令，以下哪項是正確的？

A、displayfirewallsesstiontable

B、displaysecurity-policyall

C、displaysecurity-policycount

D、countsecurity-policyhit

參考答案：B

199.下列哪項不是單機反病毒技術？

A、網絡防火墻上配置反病毒技術

B、使用病毒檢測工具

C、為系統(tǒng)打補丁

參考答案：A

201.以下關于在雙機熱備中心跳線傳遞信息的描述，錯誤的是哪一項?

A、兩臺防火墻通過定期互相發(fā)送心跳報文檢測對端設備是否存活。

B、心跳鏈路探測報文用于兩臺防火墻同步配置命令和狀態(tài)。

C、配置一致性檢查報文用于檢測兩臺防火墻的關鍵配置是否一致。

D、VGMP報文用于確定對端設備狀態(tài)來判斷是否需要進行切換。

參考答案：B

202.當接入用戶使用Client-InitiateD.VPN方式與LNS建立隧道時，

一條隧道可以承載多少PPP接？

A、3

B、1

C、2

D、4

參考答案：B

203.HRP(HuaweiRedundancyProtocol)協(xié)議，用來將防火墻關鍵配置

和連接狀態(tài)等數據向備防火墻上同步，以下哪個選項不屬于同步的范

圍？

A、安全策略

B、NAT策略

C、黑名單

D、IPS簽名集

參考答案：D

204.關于防火墻安全策略，以下哪項是正確的?

A、缺省情況,安全策略能夠對單播報文和廣播報文進行控制

B、缺省情況,安全策略能夠對組播進行控制

C、缺省情況,安全策略僅對單播報文進行控制

D、缺省情況,安全策略能夠對單播報文、廣播報文和組播報文進行控

制

參考答案：C

205.關于漏洞掃描的描述，以下哪項是錯誤的？

A、漏洞掃描是一種基于網絡遠程監(jiān)測目標網絡或主機安全性能脆弱

性的技術,可以被用來進行模擬攻擊實驗和安全審計。

B、漏洞掃描用來探測目標主機系統(tǒng)是否存在漏洞,一般是對目標主機

進行特定漏洞的掃描

C、漏洞掃描就是一種被動的防范措施,可以有效避免黑客攻擊行為

D、可以根據ping掃描和端口掃描的結果進行漏洞掃描

參考答案：C

206.在USG系列防火墻上，配置了web重定向功能后，無法彈出認證

頁面，以下哪項不屬于故障原因？

A、未配置認證策略或認證策略配置錯誤

B、未開啟web認證功能

C、瀏覽器SSL版本與防火墻認證頁面SSL版本不匹配

D、認證頁面服務的端口號設為8887

參考答案：D

207.以下哪一項不是公鑰技術可以實現(xiàn)的功能？

A、數據完整性

B、公鑰自身的安全性

C、身份驗證

D、數據的私密性

參考答案：B

208.關于NAT配置的說法，以下哪項是錯誤的？

A、在透明模式下配置源NAT,防火墻不支持easy-ip方式

B、地址池中的IP地址可以與NATserver的公網IP地址重疊

C、網絡中有VoIP業(yè)務時，不需要配置NATALG

D、防火墻不支持對ESP和AH報文進行NAPT轉換

參考答案：B

209.關于上網用戶管理的說法，以下哪項是錯誤的？

A、每個用戶組可以包括多個用戶和用戶組

B、每個用戶組可以屬于多個父用戶組

C、系統(tǒng)默認有一個default用戶組,該用戶組同時也是系統(tǒng)默認認證

域

D、每個用戶至少屬于一個用戶組，也可以屬于多個用戶組

參考答案：B

210.關于防火墻網關針對HTTP協(xié)議的防病毒響應方式，以下哪項說

法是錯誤的？

A、當網關設備阻斷HTTP連接后，向客戶端推送web頁面并產生日志

B、響應方式包括宣告和阻斷

C、告警方式設備只產生日志,不對HTTP協(xié)議傳輸的文件進行處理就

發(fā)送出去

D、阻斷是指設備斷開與HTTP服務器的連接并阻斷文件傳輸

參考答案：B

211.以下哪一項技術可以實現(xiàn)隱藏私網內部網絡同時還能防止外部

針對內部服務器的攻擊？

A、IP欺騙

B、NAT

C、VRRP

D、地址過濾

參考答案：B

212.以下關于IPSe

C.中ESP協(xié)議的描述,錯誤的是哪一項？

A、ESP將數據中的有效載荷進行加密后再封裝到數據包中，以保證數

據的機密性。

B、ESP只能提供加密功能,不支持認證。

C、ESP的協(xié)議號是50。AH協(xié)議號51

D、ESP支持校驗數據的完整性。

參考答案：B

213.下列哪一個協(xié)議不屬于ASPF能夠檢測的協(xié)議類型

A、MSTP.SMTP

B、FTP

C、DNS

D、PPTP

參考答案：A

214.關于斷開TCP連接四次握手的描述，以下哪項是錯誤的？

A、主動關閉方發(fā)送第一個FIN執(zhí)行主動關閉,而另一方收到這個FIN

執(zhí)行被關閉

B、當被動關閉收到第一個FIN,它將發(fā)回一個ACK,并隨機產生確認序

號。

C、被動關閉方需要向應用程序傳送一個文件結束符,應用程序就關閉

它的連接,并導致發(fā)送一個FIN

D、在被動關閉方發(fā)送FIN后,主動關閉方必須發(fā)回一個確認,并將確

認序號設置為收到序號加1

參考答案：B

215.下列哪一項是P2DR模型中的核心部分？

A、Policy策略

B、Protection防護

C、Detection檢測

D、Response響應

參考答案：A

217.下列哪個協(xié)議不屬于ASPF能夠檢測的協(xié)議類型?C

A、PPTP

B、FTP

C、SMTP

D、DNS

參考答案：C

218.關于根CA證書，以下哪個描述是錯誤的？

A、頒發(fā)者是CA

B、證書主體名是CA

C、公鑰信息是CA的公鑰

D、簽名是CA公鑰加密產生的

參考答案：D

219.關于漏洞的掃描，以下哪項是錯誤的？

A、漏洞是事先未知、事后發(fā)現(xiàn)的。

B、漏洞一般是可以修補的

C、漏洞是安全隱患,會使計算機遭受黑客攻擊

D、漏洞是可以避免的

參考答案：D

220.關于NAT地址轉換，以下哪項說法是錯誤的？

A、源NAT技術中配置NAT地址池,可以在地址池中只配置一個IP地

址

B、地址轉換可以按照用戶的需要,在局域網內向外提供FTP、、Telnet

等服務

C、有些應用層協(xié)議在數據中攜帶IP地址信息,對它們作NAT時還要

修改上層數據中的IP地址信息

D、對于某些非TCP、UDP的協(xié)議（比如ICMP、PPTP）,無法做NAT轉換

參考答案：D

221.以下哪個選項不屬于五元組范圍？

A、源IP

B、源MAC

C、目的IP

D、目的端口

參考答案：B

222.以下關于防火墻日志的描述，錯誤的是哪一項？

A、管理員可以通過策略命中日志獲知流量命中的安全策略，在發(fā)生

問題時用于故障定位。

B、管理員可以通過用戶活動日志獲知用戶的行為、搜索的關鍵字以

及審計策略配置的生效情況等信息。

C、在日志等級中，Emergency為最嚴重的等級。

D、根據信息的嚴重等級或緊急程度，日志可以分為8個等級，信息

越嚴重，其日志等級值越大。

參考答案：D

223.關于windows和linux的對比，以下哪個說法是錯誤的？

A、linux新手入門較困難，需要一些學習和指導

B、windows下可以兼容絕大部分的軟件，玩大部分的游戲

C、linux