2023年H3C安全理論考試題庫及答案

2023年H3C安全理論考試題庫及答案

一、單選題

1.

下面有關L2TP配置說法正確的有；

A、可以配置完整的用戶名或者特定的域名作為觸發(fā)L2Tp發(fā)起連接的條件

B、當使用ippool命令給對端分配地址時,應確保ippool地址池里的地址和虛模

板接口地址在同一網段內

C、當L2TPgroup組號為0,且不指定通道對端名remote-name時,發(fā)起L2TP連接

時,忽略對端用戶名

D、L2Tp默認配置情況下啟用了隧道驗證,且驗證密碼為空

答案：C

2.

防火墻具有隱藏私網內部網絡結構，防止外部攻擊源對內部服務器的攻擊行為的

技術,稱之為

A、地址過濾；

B、NAT

C、反轉

D、IP欺騙

答案：B

3.

安全的含義包過

A、Security（安全）

B、Safety（可靠）

GSecurity（安全）和safety（可靠）

D、risk（風險）

答案：c

4.

NAT技術可以隱藏私網的網絡結構防止外部攻擊源對內部服務器的攻擊。上述說

法是

A、正確

B、錯誤

答案：A

5.

防火墻具有隱私內網網絡結構，防止外部攻擊源對內部服務器的攻擊行為，稱之

為（）

A、攻擊防范

B、包過濾

GNAT

D、地址過濾

答案：C

6.

L2Tp數據報文以（）報文的形式發(fā)送，注冊得端口號為0

A、UDP1701

B、TCP1701

GUDP1700

D、TCP1700

答案：A

7.

使用防火墻Web過濾功能,可以組織或者允許內部用戶訪問某些特定網頁

A、正確

B、錯誤

答案：A

8.

SMTP協(xié)議使用的端口號是

A、21

B、25

C、110

D、22

答案：B

9.

SecPathIPS設備的管理口僅支持同網段管理端PC訪問，當管理端PC的地址與設

備管理地址不在同一網段時，

無法對設備進行Web管理,以上說法是：

A、正確

B、錯誤

答案：B

10.

通過哪個工具可以簡化IPSecVPN的配置？

A、VPNManager

B、VMS

C、SMS

D、XLOG

答案：A

11.

安全概念在所屬的各個領域有著不同的含義,那么網絡安全應屬于

A、經濟安全領域

B、信息安全領域

C、生成安全領域

D、國家安全領域

答案:B

12.

對于H3c防火墻來說，如果不將物理接口添加到某一安全域中，則該接口不能正

常收發(fā)報文

A、錯誤

B、正確

答案：B

13.

在企業(yè)的內部信息平臺中，存在的信息泄露途徑包括：

A、可移動存儲介質

B、打印機

C、內部網絡共享

D、公司對外的FTP服務器

答案:A

14.

SSLVPN支持哪些接入方式？

A、Web

B、TCP

C、IP

D、以上都是

答案：D

15.

關于包過濾技術的描述,下列說法錯誤的是：

A、H3CUTM產品默認開啟了包過濾功能

B、用戶并不知道報文是否被過濾,也就是說包過濾對用戶端是透明的

C、包過濾技術主要是根據報文中的IP頭信息來進行過濾

D、包過濾技術可以根據報文中的應用層信息進行過濾

答案：D

16.

IPS(入侵防御系統(tǒng))是一種基。的產品，它對攻擊識別是基于()匹配的

A、應用層，特征庫

B、網絡層，協(xié)議

C、應用層，協(xié)議

D、網絡層，特征庫

答案:A

17.172.168.1.1為_地址？

A、D類

B、A類

C、B類

D、C類

答案：C

18.

ACG1000產品支持旁路部署,在系統(tǒng)管理-部署方式處將接收流量的接口打鉤,并

將流里鏡像到該接口即可完成旁路部署

A、對

B、錯

答案：A

19.

NAT設備接口入方向下，對于報文處理流程，以下哪些描述是正確的？

A、隨機匹配nat和安全策略

B、nat在安全策路之前，即先匹配nat,再匹配安全策略

C、安全策略在nat之前，即先匹配安全策路，再匹配nat

D、根據nat策略和安全策略的優(yōu)先級來處理

E、0

答案：E

20.

以下關于DoS攻擊的描述,正確的是？

A、攻擊者通過后門程序來入受攻擊的系統(tǒng)

B、攻擊者以竊取目標系統(tǒng)上的機密信息為目的

C、攻擊行為會導致目標系統(tǒng)無法處理正常用戶的請求

D、如果目標系統(tǒng)沒有漏洞，遠程攻擊就不可能成功

答案：C

21.

在L2TP組網中，LNS側對用戶的驗證方式有三種，代理驗證、強制驗證和LCP重

協(xié)商。其中優(yōu)先級最高的是

A、代理驗證

B、強制CHAP驗證

C、LCP重協(xié)商

D、都相同

答案：C

22.

工程師小L在調試SecPathF1020設備是，把缺省的G1/0/0當成內網口Trust,

G1/0/0接口配置成untrust區(qū)域當成外網口，此時內網用戶是否可以正常上網

A、不能

B、能

答案：A

23.

AH和ESP的協(xié)議號分別是：

A、51,50

B、50,51

C、17,47

D、47,17

答案:A

24.

在UDP端口掃描中，對主機端口是否開放的判斷依據是

A、根據被掃描主機開放端口放回的信息判斷

B、根據被掃描主機關閉端口返回的信息判斷

C、既不根據A也不根據B

D、綜合考慮A和B的情況進行判斷

答案：A

25.

以下哪個場景不存在VPN的需求？

A、大型企業(yè)園區(qū)互聯(lián)

B、出差員工移動辦公

C、超市/門店/賣場的聯(lián)網

D、加油站/收費站的聯(lián)網

答案:A

26.

下面哪一個協(xié)議工作在TCP/IP協(xié)議棧的傳輸層以下？

A、SKIP

B、SSL

C、S-HTTP

D、SSH

答案：A

27.

會話管理的內存分配機制是每次分配一塊大內存，當這塊大內存中的所有會話老

化后才會回收這塊內存，所以看到會話增減，內存利用率卻沒有明顯增加。

A、正確

B、錯誤

答案：A

28.

下列關于防火墻性能衡量指標的說法錯誤的是？

A、時延越高，防火墻處理速度越快

B、吞吐量需要對不同大小的數據包、不同方向的流量等進行測試，最終取平均

值

C、并發(fā)連接數越小，一段時間內能夠允許同時上網的用戶就越多

D、新建連接數越小，抗攻擊的能力也越強

E、0

答案：E

29.

下列關于應用審計配置說法錯誤的是

A、URL審計分為預定義URL和自定義URL兩部分

B、旁路部署時做全部應用的升級，鏡像流量不需做處理動作

C、日志級別默認為“不記錄”仍然可以在日志查詢里查到相關日志信息

D、在“審計行為內容”里可以配置某個APP做的相應動作

答案：C

30.

NAT的NATstatic方式可以實現公網地址的復用，有效解決ipv4地址短缺的，

上述說法是（）

A、錯誤

B、正確

答案：A

31.

以下哪些防火墻不支持SSLVPN功能？

A、F1000-S

B、U200-A

C、V100-S

D、v100-E

答案：c

32.

NAT最初設計的目的是為了實現任意兩個網絡之間的互訪

A、正確

B、錯誤

答案：B

33.

L2TP數據報文以報文的形式發(fā)送,注冊的端口號為

A、UDP,1700

B、TCP,1700

C、TCP,1701

D、UDP,1701

答案：D

34.

在配置本地認證方式的L2TPVPN時，需要在LNS側做什么配置?

A、[LNS-huser-vpnuser112tpenabIe

B、[LNS-1user-vpmuser]service-type12tp

C、[LNS]12tp-group2modeIns[LNS-12tp2]tunneInameLNS

[LNS-12tp2]alIow12tpvirtuaI-tempIateVTI

D、[LNS]domainsystem

[LNS-isp-system]authenticationpppIocaI

E、0

答案：E

35.

防火墻缺省存在local、trust、DMZ、Managementxuntrust,并上述缺省安全

域不能被刪除，以上說法是

A、錯誤

B、正確

答案：B

36.

關于SecPath防火墻,下列說法正確的是口

A、防火墻只能通過命令行方式升級版本

B、防火墻通過WEB登錄的默認用戶名/密碼是h3c/h3c

C、防水墻的默認登錄IP地址是192.168.0.1

D、防火墻的域間策略只能再Web頁面下配

答案：C

37.

基本NAT方式是指直接使用接口的公網IP地址作為轉換后的源地址進行地址轉

換。上述說法是()-

A、正確

B、錯誤

答案：B

38.

下面哪個說法是錯誤的？

A、VPN可以專線線路的備份，但是缺點在于組網復雜,而且價格昂貴

B、相對于PSTN撥號接入,VPN接入方式可以提供更高的性能,而且安全性高

C、防火墻的一個功能特性是防止某些基于2層/3層網絡協(xié)議的網絡層攻擊

D、防火墻可以提供路由交換、地址轉換(NAT)、身份認證等多種功能

答案：A

39.

常見的安全域劃分方式有：

A、按照接口劃分

B、按照業(yè)務劃分

C、按照規(guī)則劃分

D、按照IP地址劃分

答案:A

40.

H3C負載均衡交換機提供了全面的健康檢測算法,負載均衡調度算法以及會話保

持功能,可以根據應用場景進行靈活的選擇,從而達到最優(yōu)的負載均衡效果,下面

關于H3C負載均衡交換機描述不正確的是：

A、可以提供基于源地址/端口，HITTP頭信息,SSLID,HTTPCookie信息的會話保持

B、負戴均衡調度功能和會話保持功能不能同時啟動

C、可以提供基于ICMP,TCP,HTTP,VFTP,QSSL92DNS等健康檢測算法;

D、可以提供基于輪詢,最小連接,最小響應時間,加權方式,源/目的地址Hash等

負載均衡調度算法。

答案：B

41.

下列那一項沒有涉及到密碼技術

A、SSH

B、SSL

C、GRE

D、IPSec/IKE

答案：C

42.

下列關于對于NGFW防火墻的功能描述，不正確的是

A、防火墻能夠防網頁被篡改

B、防火墻能夠限制網絡訪問

C、防火墻能夠產生審計日志

D、防火墻能夠執(zhí)行安全策略

答案：A

43.

AAA認證不包括。

A、計費(Accounting)

B、接入(Access)

G認證(Authentication)

D、授權(Authorization)

答案：B

44.

下列關于對防火墻的功能描述,不正確的是

A、防火墻能夠執(zhí)行安全策略

B、防火墻能夠產生審計日志

C、防火墻能夠限制組織安全狀況的暴露

D、防火墻能夠防病毒

答案：D

45.

下面哪個不是VPN技術中用到的加密算法

A、DES

B、3DES

C、AES

D、RIP/RIP2

答案：D

46.

NAT的EasyIP方式可以實現公網地址的復用，有效解決IPV4地址短缺。

A、正確

B、錯誤

答案：B

47.

IKE主模式下經歷三個階段，在階段驗證對方身份？

A、DH交換

B、策略協(xié)商

C、ID交換及驗證

D、0

答案:D

48.

SSLVPN主要可以解決：

A、適應各種網絡條件下的安全接入

B、無法忍受VPN客戶端損壞和網關配置修改后不能訪問

C、細粒度訪問控制

D、以上全是

答案：D

49.

ARP協(xié)議報文包括有ARP請求和ARP應答報文

A、錯誤

B、正確

答案：B

50.

下列哪一種防火墻運行時速度最慢，并且運行在0SI模型中的最高層

A、包過濾防火墻

B、狀態(tài)防火墻

C、應用代理防火墻

D、SMB防火墻

答案：C

51.

以下屬于塊加密算法的是：

A、SHA-1

B、MD5

GDES

D、RC4

答案：C

52.

下述哪個是H3C專有的VPN技術

A、IPSecVPN

B、GREVPN

G動態(tài)VPN

D、MPLSVPN

答案：C

53.

H3c負載均衡交換機目前可以支持四層負載均衡，但不支持七層負載均衡

A、正確

B、錯誤

答案：A

54.

防火墻的DMZ區(qū)的主要用途是（

A、解決公共設備如服務器防止

B、解決軍事侵犯

C、解決防火墻區(qū)域劃分不夠

答案:A

55.

在TCP連接的三次握手過程中，第一步是由發(fā)起端發(fā)送

A、SYN包

B、SCK包

C、UDP包

D、NULL包

答案：A

56.

SSLVPN是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。要使用SS

LVPN,需安裝哪個軟件？

A、客戶端軟件

B、瀏覽器

C、防火墻

D、防病毒

答案：B

57.

查看SecPath防火墻會話的命令是()

A、dispIayfirewaIIsessiontabIe

B、dispIayfirewaIIsession

C、dispIaysessiontabIe

DxdispIayaspfsession

答案:C

58.

L2Tp會話的簡歷是通過()完成的

A、TCP報文的3次握手

B、UDP報文的3次握手

C、TCP報文的4次握手

D、UDP報文的4次握手

答案：B

59.

NAt的easyIP方式可以實現公網地址的復用，有效解決IPv4地址短缺的。上述

說法是

A、錯誤

B、正確

答案：A

60.

防火墻的策略一般是應用在安全域之間的,而IPS/AV策略一般應用在某個段上。

A、正確

B、錯誤

答案：A

61.

F100-E固定4個GE接口，一個擴展槽，支持SSLVPN模塊。

A、正確

B、錯誤

答案：B

62.

NO-PAT方式是指直接使用接口的公網IP地址作為轉換后的源地址進行地址轉換

上述說法是

A、錯誤

B、正確

答案：A

63.

在L2TP報文協(xié)商過程中，進行IP地址分配工作是在以下哪個階段？

A、EstabIish（鏈路建立）階段

B、LCP協(xié)商階段

C、CHAP或PAP驗證階段

D、網絡協(xié)商（NCP）階段

答案：D

64.

在進行網絡地址轉換的時候，NAT設備從地址池挑選地址是隨機的。

A、正確

B、錯誤

答案：B

65.

下列攻擊手段中，不屬于單包攻擊的是（）

A、UDPflood攻擊

B、WinNuke

GLand攻擊

D、Smurf攻擊

答案：A

66.

SecPath防火墻缺省開啟黑名單功能。

A、正確

B、錯誤

答案：B

67.

H3c防火墻配置成二層模式時，數據依靠進行轉發(fā)。

A、FIB

B、MAC地址表

C、路由表

D、HASH表

答案：B

68.

永久黑名單表項建立后,會一直存在,直到超過一定生存時間后防火墻會自動將

該黑名單表項刪除,上述說法是

A、正確

B、錯誤

答案：B

69.

關于VPN,下述哪個說法是不正確的？

A、包轉發(fā)是VPN網關的關鍵性能指標；

B、接口數是VPN網關的關鍵性能指標；

C、加密吞吐量是VPN網關的關鍵性能指標；

D、最大并發(fā)隧道數是VPN網關的關鍵性能指標。

答案：A

解析：

此題在新版本的NE、SE教材中均為提到VPN的關鍵性能指標，但在老版本的SE

題庫GB0-521中有原題，原題是多選，如下所示，因此在實際考試中若不幸遇到

此題，首先看是單選還是多選，多選則不正確的是包轉發(fā)和接口數；如果是單選

則選A或者B

70.

下面哪種VPN技術可以保證數據在網絡上傳遞的私密性？

A、GRE

B、L2TP

C、IPsec

D、PPTP

E、0

答案：E

71.

安全策略加速功能失效，規(guī)則匹配的過程和建立連接的時間會變長，同是也會占

用系統(tǒng)大量的CPU資源。

A、正確

B、錯誤

答案：A

解析：

安全策略加速功能用來提高安全策略規(guī)則的匹配速度。當有大量用戶同時通過設

備新建連接時，若安全策略內包含大量規(guī)則，此功能可以提高規(guī)則的匹配速度，

保證網絡通暢；若安全策略加速功能失效，則匹配的過程將會很長，導致用戶建

立連接的時間超長，同時也會占用系統(tǒng)大量的CPU資源。

72.

下列關于L2TP的說法正確的有:

A、用戶的遠程系統(tǒng)可以通過一個遠程接入方式接入到運營商的LAC中，由LAC

對LNS發(fā)起L2tp隧道并建立會話

B、當用戶的遠程系統(tǒng)使用VPDN客戶端軟件對LNS發(fā)起L2tp隧道并建立會話時,

隧道直接建立在客戶端和

LNS之間，此時L2tp系統(tǒng)不存在LAC

C、L2tp隧道存在于一對LAC與LNS之間。一個隧道內包括一個控制連接(Contr

olConnection)一個隧道內只支持一個會話

D、L2tp是面向連接的,可以為其傳送的信息提供一定的可靠性。LAC維護遠程系

統(tǒng)對其發(fā)起的呼叫狀態(tài)和信息。一對LAC和LNS也同時維護在兩者之間的相應信

息和狀態(tài)

答案：D

73.

ACG1000產品不支持VRF功能，因此無法可作為MCE設備和MPLS網絡對接

A、對

B、錯

答案：B

74.

如果在IP網絡中使用GRE協(xié)議在承載IPX協(xié)議，則報文的封裝過程為

A、鏈路層協(xié)議->IPX>GRE>IP

B、鏈路層協(xié)議->GRE>IPX>IP

C、鏈路層協(xié)議->IP>GRE>IPX

D、鏈路層協(xié)議->GRE>IP>IPX

答案：C

75.

IPSec的加密和認證過程中所使用的密鑰可以由（）協(xié)議來自動生成和分發(fā)

A、ESP

B、IKE

C、SPI

D、AH

答案：B

76.

H3CUTM從高優(yōu)先級域到低優(yōu)先級域是允許訪問的，但是反之不行,上述說法：

A、正確

B、錯誤

答案：B

解析：

手冊原文1:

安全域的優(yōu)先級表示安全域的安全級別。安全域的優(yōu)先級數值越高（100為最高）,

表示安全域的安全級別越高。對于未被任何域間策略規(guī)則匹配的報文，設備允許

其從高優(yōu)先級安全域（Management域除外）到低優(yōu)先級安全域方向通過或相同

優(yōu)先級的安全域之間通過，禁止其從低優(yōu)先級安全域方向到高優(yōu)先級安全域方向

通過。

手冊原文2：

各種優(yōu)先級的域間和域內都不允許轉發(fā)報文，除非使能默認域間策略轉發(fā)規(guī)則命

令interzonepolicydefaultby-priority,該命令的詳細介紹，請參見“訪問控

制配置指導”中的“域間策略”

按照這個意思有點矛盾，按照工作經驗來說不同區(qū)域之間是默認不能訪問的，高

優(yōu)先級也是不能訪問低優(yōu)先級的，除非有域間訪問策略，所以這題默認情況下個

人認為是訪問不了，答案選B.錯誤

77.

假設某企業(yè)總部和分支之間原采用物理專線連接的方式構建Intranet網絡;現

欲將總部和分支都接入Intranet,

在總部和分支間啟用VPN隨道,并保證數據在網絡上傳輸的私密性,可選擇OVPN

技術

A、PPTP

B、IPsec

C、GRE

D、L2tp

答案:B

78.

編號3001的ACL對應的類型是。

A、二層ACL

B、基本ACL

C\局級ACL

D、七層ACL

答案：C

79.

防范SYlNFIood攻擊的常見手段是連接限制技術和連接代理技術,其中連接代理

技術是指對TCP連接速率進行檢測,通過設置檢查閾值來發(fā)見并阻斷攻擊流量，

上述說法是的。

A、錯誤

B、正確

答案:A

80.

防火墻不能實現哪些功能？

A、不能實現web防篡改

答案：A

81.

SecPathF1000-E防火墻Iniine轉發(fā)是依據Mac地址表完成的，上述說法是？

A、正確

B、錯誤

答案：B

82.

在防火墻應用中，一臺需要與互聯(lián)網通信的Web服務器放置在以下哪個區(qū)域時最

安全？

A、DMZ區(qū)域

B、Trust區(qū)域

C、LocaI區(qū)域

D、Untrust區(qū)域

答案：A

83.

若接口同時配置IPSec和nat,則以下哪些描述是正確的？

A、接口策略無法正常匹配

B、由于nat在報文處理流程的優(yōu)先級上高于IPsec,因此應當走IPSec的流量

無法正常走IPSec隧道

C、兩者互不影響

D、由于nat在報文處理流程的優(yōu)先級上低于IPsec,因此應當走IPSec的流量

可以正常走IPSec隧道

答案：C

84.

以下哪個病毒可以破壞計算機硬件？

A、CIH病毒

B、宏病毒

C、沖擊波病毒

D、熊貓燒香病毒

答案：A

85.

OSI七層模型中，給每一個對等層數據起一個統(tǒng)一的名字為：協(xié)議數據單元。下

列關于各層協(xié)議數據單元說法正確的是？

A、數據鏈路層數據稱為幀

B、傳輸層數據稱為數據包

C、網絡層數據稱為段

D、表示層數據稱為SPDU

答案：A

86.

黑名單表項可以手工添加，也可以有防火墻動態(tài)生成,上述說法是：

A、正確

B、錯誤

答案：A

87.

NAT的NATPAT方式屬于多對一的地址轉換，通過使用”地址+端口號”的形式進

行轉換，使多個私網用戶可共用一個公網IP地址訪問外網。上述說法是

A、正確

B、錯誤

答案:A

88.

現在各種P2P應用軟件層出不窮,P2P流量的識別也必須采用多種方法寫作進行,

以上說法是

A、正確

B、錯誤

答案:A

89.

一般來說,以下哪些功能不是由防火墻來實現的.

A、隔離可信任網絡和不可信網絡

B、防止病毒和木馬程序入侵

C、隔離內網和外網

D、監(jiān)控網絡中會話狀態(tài)

答案：B

90.

GRE協(xié)議的協(xié)議號是：

A、50

B、51

C、47

D、48

答案：C

多選題

1.

下述哪些攻擊手段是防火墻無法防御的？

AxSmurt

B、跨站腳本攻擊

C、畸形報文攻擊

D、后門木馬

E、WinNuke攻擊

答案：BD

2.

當防火墻接收到包含URL參數的HTTP請求報文時,根據Web傳輸參數方式,從報

文中獲取URL參數，目前防火墻支持的Web傳輸參數有：

A、PUT

B、GET

GPUSH

D、POST

答案：ABD

3.

H3CSecPath設備中，ACL主要應用于

A、Qos中，對數據流里進行分類

B、IPSec中用來規(guī)定觸發(fā)建立IPSec的條件

C、NAT中，限制哪些地址需要被轉換

D、域間訪問，控制不同區(qū)域間的互訪

E、策略路由

答案：ABCE

4.

L2TP建立會話時使用的消息有；

A、SCCRQ(Session-ControI-Connecting-Request)

B、SCCRP(Session-ControI-Connecting-RepIy)

C、ICRQ(ining-CaII-Request)

D、ICRP（lning-Call-Reply）

答案：CD

5.

H3C目前已經推出一系列高性能負載均衡交換機,可以應用在網絡的各個節(jié)點，

不面哪些交換機系列支持負載均衡功能？

A、S9500E

B、S7500E

GS12500

D、S5800

答案:ABC

6.

關于H3CSecPathU200-S產品的安全區(qū)域，以下說法正確的有：

A、防火墻默認有五個安全區(qū)域:Management、Local、Trust、untrust、DMZ

B、防火墻自身所有接口都屬于Local區(qū)域

C、不同安全域的優(yōu)先級一定不一樣

D、Management和Local區(qū)域的默認優(yōu)先級都是100

答案：AD

解析：

缺省情況下，缺省VD中存在5個缺省安全域：Management（編號為0）、Local

（編號為1）、Trust（編號為2）、DMZ（編號為3）和Untrust（編號為4）,

非缺省VD中不存在任何安全域；

用戶創(chuàng)建的安全域的優(yōu)先級為1,系統(tǒng)缺省安全域的優(yōu)先級分別為：Management

域優(yōu)先級為100、Local域優(yōu)先級為100、Trust域優(yōu)先級為85、DMZ域優(yōu)先級為

50、Untrust域優(yōu)先級為5；

各種優(yōu)先級的域間和域內都不允許轉發(fā)報文，除非使能默認域間策略轉發(fā)規(guī)則命

令interzonepolicydefaultby-priority,該命令的詳細介紹，請參見“訪問控

制配置指導”中的“域間策略

缺省情況下，接口GigabitEthernetO/O處于Management域中

注：手冊并沒說其他接口默認屬于那個區(qū)域，但是三星級培訓課件上說“默認所

有接口屬于Local區(qū)域”

個人見解：本題是多選，AB選項明顯錯誤，所以只能選CD,如果是單選的話選

D（本題與21題極度相似，參考21題）

7.

IPsec支持哪些秘鑰協(xié)商模式？

A、DPD方式

B、手工配置方式

C、模板方式

DxIKE自動協(xié)商方式

答案：BD

8.

SSLVPN有哪些接入方式？

A、WEB接入

B、TCP接入

C、UDP接入

D、IP接入

答案:ABD

9.

網絡層常見的安全風險有哪些?

A、Smurf攻擊

B、地址掃描

GWeb攻擊

D、MAC欺騙

答案：AB

10.

防火墻能夠防御的攻擊包括：

A、畸形報文攻擊

B、DoS/DDOS

C、掃描窺探攻擊

D、病毒木馬

答案：ABC

11.

3C防火墻缺省的安全域包括

A、Trust

B、Untrust

C、LocaI

D、DMZ

答案：ABCD

12.

H3CSecPath防火墻中,下面哪些攻擊必須和動態(tài)黑名單組合使用？

A、WinNuke攻擊

B、Land掃描攻擊

C、地址掃描攻擊

D、Smurf攻擊

E、端口掃描攻擊

答案：CE

13.

從管理和控制上來區(qū)分,主流的帶寬管理技術包括：

A、基于段的帶寬管理技術

B、基于用啟IP地址的帶寬管理技術

C、基于應用協(xié)議的帶寬管理技術

D、基于MAC地址的帶寬管理技術

答案：ABC

14.

H3csecPathSSLVPN產品所支持的主機檢查內容包括

A、操作系統(tǒng)類型、版本和補丁

B、瀏覽器類型和版本

C、防火墻軟件的類型、版本和補丁

D、殺毒軟件的類型版本和病毒庫版本

答案：ABCD

15.

行為識別主要有三種方法,分別是

A、基于負載信息的識別

B、基于協(xié)議的識別

C、基于端口的識別

D、基于行為特征的識別

答案：ACD

解析：

共三種，基于端口'基于行為特征、基于負載信息

16.

H3CSecPathU200-S支持的行為審計協(xié)議包括()

A、FTP

B、HTTP

C、SMTP

D、eInet

答案：ABC

17.

關于ACG1000智能和快速識別切換功能，下列說法正確的是：

A、智能模式下應用識別只對50%流量生效,起到減輕設備性能壓力的作用，在業(yè)

務繁忙時可以使用

B、快速模式下應用識別只對80%流里生效,起到減輕設備性能壓力的作用，在業(yè)

務繁忙時可以使用

C、快速模式下應用識別只對50%流里生效,起到減輕設備性能壓力的作用，在業(yè)

務繁忙時可以使用

D、系統(tǒng)默認智能模式

答案：CD

18.

IPSec協(xié)議族包含協(xié)議

A、PKI

B、AH

C、ESP

D、PPP

答案：BC

19.

通過與PPP模塊配合，L2Tp可以支持哪些功能？

A、加密

B、認證

C、計費

D、授權

答案：ABCD

20.

SecPath防火墻中，下面哪些接口必須加入到區(qū)域中才能轉發(fā)數據?

A、Loopback接口

B、物理接口

GVituaITempIate接口()

D、Encrypt接口

E\TunneI接口

F、Dialer接口

G\BridgeTempIatei接口

H、VIanInterface接口

答案：BCEFGH

21.

為了實現對用戶的訪問控制,SSLVPN需要對用戶的身份進行驗證,H3csecPathVP

N產品支持的認證方式包括：

A、本地認證

B、Radius認證

GLdap認證

D、AD認證

答案：ABCD

22.

關于IPSec和IKE,下列說法中正確的是：

A、IPSec有兩種協(xié)商方式建立安全聯(lián)盟,一種手工方式(manual)一種IKE自動協(xié)

商(isakmp)方式

B、IKE野蠻模式可以選擇根據協(xié)商發(fā)起端的IP地址或者ID,來查找對應的身份

驗證字并最終完成協(xié)商

C、NAT穿越功能刪去了IKE協(xié)商過程中對UDR端口號的驗證過程,同時實現了對

VPN隧道中INAT網關設備發(fā)現功能,即如果發(fā)現了NAT網設備,則將在完后的IP

See數據傳輸中使用UDP封裝

D、IKE的cookie機制在一定程度上保護系統(tǒng)不受DOS攻擊

答案：ABCD

23.

L2TP建立過程中PPP鏈路協(xié)商不成功,可能的導致原因包括：

A、LAC端設置的用戶名或者密碼有誤

B、LNS端沒有設相應的用戶

C、LNS端沒有設置地址池

D、LAC和LNS端配置的密碼驗證類型不一致

答案：ABCD

24.

信息對抗主要的研究方向包括：

A、黑客攻擊防范

B、入侵檢測

C、系統(tǒng)安全性分析與評估

D、信息隱藏算法與匿名技術

答案：ABC

25.

下面那個用戶可能存在VPN應用需求？

A、某大型網吧,提供高達千北的Intermet接入以及多達臺的主機,需要對上網用

戶進行有效的計費,對用戶上網行為進行有效的管理；

B、大型制造企業(yè),內部建設覆蓋整個廠區(qū)的局域網，有統(tǒng)一的internet出口，企業(yè)

內部已經啟動ERP,系統(tǒng),應用完善,每天有大量的銷售人員出差

C、大型連鎖機構,某品牌汽車4S店，總部設在上海,在全國省會額以上城市都有

連鎖店面,每天銷售數據和財務信息需要向總部匯總；

D、某省級政府機構，在全省縣級以及縣級以上分布有專屬分支機構，已經通過，

線相互連接,正在考慮一種經濟有效的方式實現專線線路備份。

答案：BCD

26.

VPN組網和專線相比的優(yōu)點包括以下哪幾個？

A、性價比高

B、組網靈活

C、擴范性好

D、性能優(yōu)異

答案:ABCD

27.

與L2TPVPN相比，SSLVPN具有哪些優(yōu)點？

A、不需要額外的撥號上網費用

B、可以提供對數據的加密，保證數據傳輸的安全性

C、擁有基于應用資源的訪問控制策略

D、可以提供高細粒度的訪問控制

答案：ABCD

28.

下面關于L2TP的描述正確的是：

A、L2Tp隧道傳輸PPPOE報文

B、與PPP協(xié)議配合,L2TP協(xié)議支持隧道認證和報文計費功能

C、與PPP協(xié)議配合,L2TP協(xié)議支持IP地址動態(tài)分配

D、L2Tp協(xié)議不支持報文加密

答案：BCD

29.

以下關于GRE協(xié)議描述正確的是？

A、GRE是對某些網絡層協(xié)議（如：IP、IPX等）的數據報文進行封裝，使這些被

封裝的數據報文能夠在另一種網絡協(xié)議（如：IP）中傳輸

B、GRE協(xié)議是二層協(xié)議

C、GRE提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，是報文能夠

在異種網絡中傳輸，異種報文傳輸的隧道稱為tunnel

D、GRE協(xié)議實際上是一種承載協(xié)議

答案：AC

30.

關于H3c防火墻的安全域，以下說法正確的有

A、防火墻無安全區(qū)域優(yōu)先級的概念

B、不同安全區(qū)域優(yōu)先級一定不一樣

C、防火墻自身所有接口都屬于local區(qū)域

D、防火墻有五個安全區(qū)域，managementslocal、trustsuntrust、DMZ

答案：CD

解析：

三星級培訓教材上說“防火墻所有接口屬于Local區(qū)域”，但官網防火墻手冊上

說“缺省情況下，接口

GigabitEthernetO/O處于Management域中”，矛盾。

個人見解：本題是多選，AB選項明顯錯誤，所以只能選CD,如果是單選的話選

D

31.

H3csecPathSSLVPN提供的FCP資源包括哪些？

A、遠程訪問服務

B、桌面共享

C、電子郵件

D、Notes服務

E、TCP服務

答案：ABCDE

32.

Pat方式的nat主要對數據包的（）信息進行轉換

A、應用層

B、傳輸層

G網絡層

D、數據鏈路層

答案：BC

33.

ACL（訪問控制列表）的類型包括哪些

Av基本ACL

B\懸）級ACL

C、二層ACL

D、基于時間段的包過濾

答案:ABC

34.

下列選項中，屬于深度安全防卸技術的是。

A、狀態(tài)監(jiān)測

B、應用識別

C、內容識別

D、威脅識別

答案：BCD

35.

H3cNGFW的特征庫包括以下哪些？

A、URL分類特征庫

B、ARP特征庫

C、防病毒特征庫

D、IPS特征庫

答案:ABCD

36.

信息安全的目標是實現：

A、機密性

B、完整性

C、可用性

D、可控性

E、可審計性

答案：ABCDE

37.

IPSec是在IETF制定的保證在IP網絡上傳送數據的安全保密性的三層安全協(xié)議

體。IPSec協(xié)議族包含

A、PPP

B、ESP

C、AH

D、PKL

答案：BC

38.

根據由加密密鑰得到解密密鑰的算法復雜度差異，密碼體制可以分為

A、私鑰密碼體制

B、公鑰密碼體制

C、流密碼

D、分組密碼

答案：AB

39.

下列哪些協(xié)議屬于二層隧道協(xié)議

A、L2TP

B、GRE

C、IPSec

D、PPTP

答案:AD

40.

關于VPN,下述哪個說法是正確的？

A、包轉發(fā)率不是VPN網關的關鍵性能指標；

B、接口數是VPN網關的關鍵性能指標；

C、加密吞吐量是VPN網關的關鍵性能指標；

D、最大并發(fā)隧道數是VPN網關的關鍵性能指標。

答案：BCD

41.

IPsec的有點有

A、抗DDoS(disributeddenyofsevice)

B\身份驗證(dataauthentication)

G參數完整性(dataintegrity)

D、數據機密性(Confidenttiality)

答案：BCD

42.

網絡安全的研究內容包過

A、軟件安全

B、內容安全

C、互聯(lián)網與電信安全

D、工業(yè)網絡安全

答案：ABCD

43.

下面哪些是H3CSecPath系列VPN產品的功能特點？

A、支持和RSA公司動態(tài)口令卡的集成,保證口令安全

B、支持IPSecVPN的NAT穿越，可以靈活組網

C、支持DVPN(動態(tài)VPN)技術,降低配置難度

D、VPNmananger實現VPN業(yè)務集中管理

答案：BCD

44.

IPSec支持哪些密鑰協(xié)商？

A、DPD方式

BxIKE自動協(xié)商方式

C、模板方式

D、手工配置方式

答案：BD

45.

由于新的漏洞、新的攻擊工具、攻擊方式的不斷出現，IPS只有不斷的更新特征

庫才能對網絡、系統(tǒng)和業(yè)務的有效防御，下面關于IPS的特征：

A、H3cps升級持征庫后需要重啟設備才能是生效

B、H3CIPS特征庫升級有手動升級和自動升級兩種

C、H3CIPS只支持手動升級特征庫

D、用戶可以H3C網站上自助進行License激活申請

答案：BD

46.

關于AH、ESP的傳輸和隧道模式,下列描述正確的：

A、在傳輸模式下,AH協(xié)議驗證IP報文的數據部分和IP報頭中的不變部分

B、在隧道模式T,AH協(xié)議驗證全部的原始IP報文和封裝后新IP頭中的不變部分

C、在傳輸模式下,ESP協(xié)議對IP報文的有效數據進行加密（可附加驗證）

D、在隧道模式下,ESP協(xié)議對整個原始IP報文進行加密（可附加驗證）

答案：ABCD

47.

關于IPS攻擊防御策略的下發(fā)，下列說法正確的有：

A、策略可以基于不同的IP地址（段）下發(fā)

B、策略可以基于時間下發(fā)

C、策略可以根據用戶的具體應用來制定相應的攻擊防護策略下發(fā)

D、策略下發(fā)啟，必須應用到段上，并且激活才能生效

答案：ACD

48.

網絡上常見的安全威脅有哪些？

A、漏洞攻擊

B、非法資源訪問

C、ARP攻擊泛濫

D、DOS攻擊

E、未授權資源訪問

答案：ABCDE

49.

常見的行為識別技術包括：

A、基于端口的識別，主要應用子使用固定端口進行通信的引用，例如,HTTP、FTP

B、基于行為特征的識別,主要是基于部分應用的數據流里和其它流量在行為特征

上的差異來進行

C、IP地址的識,，至要是對某些使用固定IP地址的業(yè)務進行識別

D、基于負載信息的識別,主要是基于部分協(xié)議在負載中含有,議特征字符串來完

成識別

答案:ABD

解析：

共三種，基于端口、基于行為特征、基于負載信息

50.

負載均衡支持的算法包括：輪詢，加權輪詢，最少連接，加權最少連接，隨機,

加權隨機，原地址HASH等算法。

A\最少連接

B、預測模式

C、輪詢

D、目標地址散列

答案：BD

51.

下列關于SSLVPN的說法,正確的是：

A、SSLVPN支持對客戶端身份的驗證

B、SSLVPN支持雙因子認證

C、SSLVPN可以保證傳輸數據的完整性

D、SSLVPN可以對傳輸的數據進行加密

答案：ABCD

52.

關于IPSec和IKE的配置,下列描述錯誤的是：

A、IKE的密鑰協(xié)商模式包括主模式和野蠻模式

B、IKE認證方式包括預共享密鑰和證書認證

C、NAT穿越功能只能與野蠻模式配合使用

D、配置IPSec安全策略只能使用策略模板方式

答案：CD

53.

L2Tp協(xié)議主要操作包括：

A、建立控制連接

B\建立會話

C、轉發(fā)PPP幀

D、KeepaIive

E、關閉會話

F、關閉控制連接

答案：ABCDEF

54.

IIS(InternetSecuritySystems)公司提出的PDR安全模型包括哪三個方面？

A、響應

B、設計

C、保護

D、檢測

答案：ACD

55.

SSLVPN同IPSec相比的優(yōu)勢是

A、采用B/S架構,不需要進行客戶端的安裝和維護；

B、可以進一步控制VPN內數據的訪問,進行細粒度訪問控制

C、可以定制登錄界面，實現個性化配置；

D、實現數據加密

答案：ABC

56.

下列攻擊中，屬于Dos拒絕服務玫擊的是：

A、SYNFIood

B、ICMPFIoed

GWinNuke攻擊

D、UDPFIood

答案：ABD

57.

TCP\IP協(xié)議定義了一個對等的開放性網絡,針對該網絡可能的攻擊和破壞包括

A、對硬件的破壞

B、對軟件的破壞

C、對網絡層，應用層協(xié)議的破壞

D、對物理傳輸線路的破壞

答案：ABCD

58.

一個完整的SSLVPN全握手過程包括：

A、協(xié)商SSL協(xié)議版

B、協(xié)商加密套

C、協(xié)商密鑰參數

D、通信雙方的身份

E、建立SSL連接

答案：ABODE

59.

GREVPN配置任務包括。

Av創(chuàng)建虛擬Tunnel接口

B、指定Tunnel接口的源端

G指定Tunnel接口的目的端

D、設置Tunnel口的網絡地址

答案：ABCD

60.

安全聯(lián)盟securityassociation,通過以下哪些元素來唯一標識？

Axip目的地址

B、安全協(xié)議號

C、IP源地址

D、安全參數索引(SPI)

答案：ABD

61.

在Internet上,常見的安全威脅包括

A、拒絕服務攻擊

B、資源共享

C、ARP攻擊泛濫

D、未授收資源訪問

答案：ACD

62.

ACL(訪問控制列表)的類型包括有。

A、七層ACL

B、二層ACL

C、局級ACL

D、基本ACL

答案：BCD

63.

以下關于HWTACACS協(xié)議與RADIUS協(xié)議說法正確的是()

A、HWTACACS和RADIUS都支持對設備的配置命令進行授權使用

B、RADIUS只對認證報文中的密碼字段進行加密

C、HWTACACS對報文主體全部進行加密

D、HWTACACS采用TCP傳輸,RADIUSR用UDP

答案：BCD

64.

在SSLVPN技術中，下列哪些算法可以保證數據傳輸的完整性？

A、DES

B、MD5

C、SHA-1

D、3DES

答案:BC

65.

L2TP建立隧道時使用的消息有

AvSCCRQ(Session.ContoI-connecting-Request)

B、SCCRPSession-ControI-Connecting-RepIy)

C、ICRPIning-CalI-Reply)

D、IOROining-CaII-Request)

答案：AB

66.

根據防火墻的技術的演進特性,可以分為

A、電信級防火墻

B、SMB應用代理防火墻

C、狀態(tài)防火墻；

D、包過濾防火墻

答案：BCD

67.

防火墻的工作模式包括

A、交叉模式

B、混合模式

C、路由模式

D、透明模式

答案：BCD

68.

H3cSecPath防火墻的默認域間訪問控制策略是

A、所有區(qū)域都可以訪問local區(qū)域

B、屬于同一個安全域的各個接口之間的報文可以互訪

C、未劃分到安全域的接口之間的報文會被丟棄

D、安全域間的報文默認丟棄，包括同域之間

答案：CD

解析：

缺省安全域：當首次創(chuàng)建安全域或者域間策略時，系統(tǒng)會自動創(chuàng)建以下缺省安全

域：Local、Trust、DMZ

（DemiIitarizedZone,隔離區(qū)）、Management和Untrust。缺省安全域不能被

刪除。

基于安全域的報文處理規(guī)則

創(chuàng)建安全域后，設備上各接口的報文轉發(fā)遵循以下規(guī)則：

一個安全域中的接口與一個不屬于任何安全域的接口之間的報文，會被丟棄。

屬于同一個安全域的各接口之間的報文缺省會被丟棄。

安全域之間的報文由域間策略進行安全檢查，并根據檢查結果放行或丟棄。若域

間策略不存在或不生效，則報文會被丟棄。

非安全域的接口之間的報文被丟棄。

目的地址或源地址為本機的報文，缺省會被丟棄，若該報文與域間策略匹配，則

由域間策略進行安全檢查，并根據檢查結果放行或丟棄。

69.

H3cNGFW的DPI功能說法正確的有

A、ARP功能可以實現對報文所屬應用程序的識別

B、如果報文與黑名單匹配成功，則會直接丟棄，不進行其他檢測口

C、無法深度識別到報文所屬的應用程序口

D、業(yè)務流匹配安全策略后會進行DPI的檢測

答案：ABD

70.

關于SSLVPN的三種接入方式,下列說法正確的是。

A、WEB方式實現的真正的“免客戶端”，主要適合于訪問WEB站點

B、TCP接入比較適谷使用固定IP地址和端口的TCP應用

C、IP接入可以支持任何基于IP協(xié)議的網絡應用

D、Telnet服務器躍可以通過TCP接入又可以通過IP接入

答案：ABCD

71.

IPSec協(xié)議支持哪些封裝模式口

A、交換模式

B、路由模式

C、傳輸模式

D、隧道模式

E、橋模式

答案：CD

72.

信息安全策略是特定應用環(huán)境中，為確保一定級別的安全保護所必須遵守的規(guī)則。

而安全策略建立模型主要包括

A、先進的技術

B、相關法律法規(guī)

C、管理審計制度

D、先例與經驗

答案：ABC

73.

常見的內網用戶行為監(jiān)管應包括

A、內網Web應用的審計

B、內網網絡共導?應用的審計

C、內網QOMSN應用的審計

D、內網FTP應用的審計

答案：ACD

74.

H3c防火墻缺省的安全域包括

A、DMZL

B、Management

C、untrust

D\IocaI

E、trust

答案：ABODE

75.

隨著網絡技術的不斷發(fā)展,防火墻也在完成自己的更新?lián)Q代,防火墻所經歷的技

術演進包括有：

A、包過濾防火墻

B、應用代理防

C、Dos防火墻

D、狀態(tài)檢測防火墻

答案：ABD

76.

H3CSSLVPN產品的主要功能包括：

A、遠程接入

B、身份認證

C、聯(lián)機檢查

D、權限管理

E、緩存清除

答案：ABCDE

77.

關于域間策略到安全策略的轉換，下面說法正確的是？

A、包過濾策略優(yōu)先級高于安全策略

B、安全策略與對象策略可以共存

C、使用新版本時建議將對象策略轉化為域間策略

D、安全策略與域間策略可以共存

答案：BCD

78.

VPNManager的兩大核心作用是？

A、VPN部署

B、VPN監(jiān)控

GVPN備份

D、VPN加速

答案：AB

79.

關于H3C防火墻,下列說法正確的是

A、防火墻的安全策略只能在Web頁面下配置.

B、文字。

G防火境的默認登錄IP地址是192.168.0.1

D、防火墻通過WEB登錄的默認用戶名/密碼是:admin/admin

E、防火墻只能通過命令行方式升級版本

答案：BCD

80.

SSLVPN的安全性體現在

A、傳輸加密

B、身份認證

C、權限管理

D、防病毒

答案:ABCD

81.

H3cSecPath系列VPN產品有哪2款？

A、V100-S

B、V1000-A

GV2000

D、V3000

答案：AB

82.

SecPathSSLVPN系列網關是H3C公司開發(fā)的新一代專業(yè)安全產品，具有豐富的功

能,如：

A、完善的防火墻功能,支持外部攻擊防范、內網安全'流里監(jiān)控、郵件過濾、網

頁過濾、應用層過濾等功能

B、強大的路由能力

C、提供多種智能分析和管理手段

D、支持豐富的QoS特性

答案：ACD

83.

下列網絡應用程序中，可能會造成帶寬大量占用的應用包括

A、迅雷

B、PPIive

CxBitTorrent

D、MSN

答案：ABC

84.

下面關于H3cACG的說話正確的有

A、ACG產品支持微信認證，短信認證等功能

B、ACG產品支持旁路部署，在系統(tǒng)管理部署方式處將接收流量的接口打鉤，并

將流量鏡像到該接口

C、ACG產品不支持VRG功能，因此無法可作為MCE設備和MPLS網絡對接

D、ACG的DFI主要用來是被應用的靜態(tài)報文特征，DPI主要用來識別應用的動態(tài)

流量特征

答案：AB

85.

H3CSecPath防火墻Web網站過濾具有哪些功能？

A、網站地址過濾

B、URL參數

GJAVA阻斷

D、ActiveX阻斷

答案：ABCD

86.

H3CSSLVPN的權限管理體系分為：

A、靜態(tài)授權

B、遠程授權

C、動態(tài)授權

D、本地授權

答案：AC

87.

衡量VPN的性能,主要有以下哪些指標？

A