網安練習2附有答案

網安練習2[復制]1．H3CSSLVPN通過那些因素綜合確定用戶可以合法訪問的網絡資源?（）*A.安全策略(正確答案)B.用戶身份(正確答案)C.主機檢查結果(正確答案)D.認證方式2.數(shù)字簽名對應于我們生活中的手寫簽名,但它和手寫簽名也存在一些差別下列說法中,正確的有。（）*A.數(shù)字簽名中簽,和消息是分開的,需要一種方法將簽名和消息綁定在一起,而在傳統(tǒng)的手寫簽名中簽名是被簽名消息的一部分(正確答案)B.數(shù)字簽名和手寫簽名都具有法律效力,都是重要的認證手段(正確答案)C.數(shù)字簽名只有接受者才可能對簽名進行驗證,而手寫簽名可以接受任何人的公開驗證D.數(shù)字簽名和手寫簽名樣,備獨無亡的特性,既無法被修改也無法被復制3.下列哪些交換模式是在IKE協(xié)商的第二階段存在的?（）[單選題]*A.主模式B.野蠻模式C.快速模式(正確答案)D.普通模式4.L2TP協(xié)議是承載在UDP協(xié)議之上的,數(shù)據包的封裝過程為。（）[單選題]*A.私有IP->L2TP->UDP->PPP->公有IPB.私有IP->PPP->L2TP->UDP->公有IP(正確答案)C.私有IP->PPP->UDP->L2TP->公有IPD.私有IP->L2TP->PPP->UDP->公有1P5.SSL協(xié)議支持的塊加密算法有。（）*A.3DES(正確答案)B.DES(正確答案)C.AES(正確答案)D.RC46.下列關于GRE穿越NAT的說法正確的是。（）*A.對于基于端口或協(xié)議的NAT,即NAPT來說,標準GRE協(xié)議報文可以正常穿越,且可以區(qū)分相同源地址發(fā)起的不同GRE隧道。B.普通的源(目的地址作轉化的NAT,標準GRE封裝協(xié)議報文不可以正常穿越。(正確答案)C.對于基于端口或協(xié)議的NAT,即NAPT來說,NGRE可以通過Key選項來區(qū)分相同源地址發(fā)起的不同GRE隧道。(正確答案)D.對于基于端口或協(xié)議的NAT,即NAPT來說,GRE可以通過SequenceNumber選項來區(qū)分相同源地址發(fā)起的不同GRE隧道答案解析：如果是多選就選BC，如果是單選就選C）7．對于消息摘要的描述，正確的有。（）*A.相同的消息一定會產生相同的摘要(正確答案)B.不同的消息不會產生相同的摘要(正確答案)C.即使消息相同，定會產生不同的摘要D.摘要是隨機生成的，所以可能長度發(fā)生變化答案解析：章節(jié)38.L2TP建立隧道時使用的消息有。（）*A.SCCRP(正確答案)B.SCCRQ(正確答案)C.ICRQD.ICRP9.在下列哪種密碼應用中,我們是使用公鑰加密、私鑰解密?（）[單選題]*A.非對稱密碼(正確答案)B.對稱密碼C.數(shù)字簽名D.DH交換10.關于數(shù)字證書的說法,正確的是。（）*A.數(shù)字證書就是我們網絡身份證,它提供了證明自己身份和識別對方身份的功能(正確答案)B.數(shù)字證書是由CA來頒發(fā)的(正確答案)C.數(shù)字證書將個人私鑰和個人身份進行了綁定D.數(shù)字證書一旦生成,將永久有效11.下列關于L2TP的說法正確的是。（）[單選題]*A.用戶和LAC之間會進行協(xié)商以獲取IP地址B.在LAC上會根接入用戶的PPP驗證信息進行驗證,以確定是否是L2tp的用戶以及用戶屬于哪個L2TP組，隨后LAC會向相應的LNS發(fā)起建立隧道的請求。(正確答案)C.隨道建立后,LAC與用戶相連接的PCP會變?yōu)閁P狀態(tài)D.CHAP驗證只能在用戶端和LNS端進行12.DES是最著名的對稱密碼算法,其屬于分組密碼,明文分組的位數(shù)為。（）[單選題]*A.64(正確答案)B.56C.128D.25613.網絡通信對安全性的要求包括。（）*A.完整性(正確答案)B.私密性(正確答案)C.可控性D.身份驗證(正確答案)答案解析：其實我覺得C也是對的，但教材沒有講14.下列關于SSLVPN的說法,正確的是。（）*A.SSLVPN可以對傳輸?shù)臄?shù)據進行加密(正確答案)B.SSLVPNI支持對客戶端身份的驗證(正確答案)C.SSLVPN支持雙因子認證(正確答案)D.SSLVPN可以保證傳輸數(shù)據的完整性(正確答案)15.下列關于證書機構的說法中,正確的是。（）*A.證書注冊中心(RA)負責證書的生成工作B.數(shù)字證書的生成和維護過程中一般需要證書授權中心和證書注冊中心兩個機構(正確答案)C.證書授權中心(CA)負責證書的生成工作(正確答案)D.證書授權中心按照層次結構進行(正確答案)答案解析：章節(jié):章節(jié)316.工作數(shù)字簽名算法和哈希函數(shù)的關系是。（）[單選題]*A.都是用來簽名的算法B.都是用來進行加密的算法C.哈希函數(shù)濟生消息摘要,而數(shù)字簽名算法對消息摘要進行加密(正確答案)D.數(shù)字簽名對消息進行簽名,然后由哈希函數(shù)產生摘要17．IPsec的優(yōu)點有。（）*A.數(shù)據完整性(Dataintergrity）(正確答案)B.數(shù)據機密性(Conidentiality)(正確答案)C.身份驗證(DataAuthentication)(正確答案)D.抗DDos（DistributedDenyofService）18.SSL握手層包括哪些協(xié)議?（）*A.告警協(xié)議(正確答案)B.握手協(xié)議(正確答案)C.密鑰改變協(xié)議(正確答案)D.會話保持協(xié)議19.下列關于加密和解密的說法,正確的是。（）[單選題]*A.將密文解碼為明文的過程稱之為解密,它是加密的相反過程(正確答案)B.加密和解密是互逆的兩個過程,因此加解密的密鑰需要相同C.一般來講,加密比解密要消耗更多的設備性能D.密碼算法的安全性不僅和密鑰相關,也和加解密算法相關,因此算法不能公開20.SSL協(xié)議向（）提供端到端的、有連接的加密傳輸服務。[單選題]*A.傳輸層B.應用層(正確答案)C.網絡層D.數(shù)據鏈路層21.下列VPN中,能單獨提供數(shù)據加密特性的有。（）*A.IPSECVPN(正確答案)B.L2TPVPNC.SSLVPN(正確答案)D.GREVPN22.如下圖所示的網絡中,RTB對RTA發(fā)起IPSec連接,有關NAT穿越描述正確的是。（）[單選題]*A.IPSec隧道兩端不啟用IKE的情況下亦能實現(xiàn)NAT穿越B.通過將IPsec報文封裝在UDP1701端協(xié)議報文中實現(xiàn)IPSec的NAT穿越C.RTA在主模式情況下不能實現(xiàn)NAT穿越D.NAT網關會修改UDP報文頭,IPSec報文的IP頭(正確答案)答案解析：(以前主模式不支持穿越，但現(xiàn)在是支持的）23.SSL協(xié)議支持的流加密算法包括。（）[單選題]*A.3DESB.DESC.AESD.RC4(正確答案)24.當出現(xiàn)大量VPN需求時，可以引導那些產品？（）*A.SecPath系列防火墻(正確答案)B.SecPath系列VPN(正確答案)C.H3CIPS(正確答案)D.SR系列路由器25.下面關于L2TP的描述正確的是？（）*A.L2TP隧道傳輸PPPOE報文B.與PPP協(xié)議配合，L2TP協(xié)議支持隧道認證和報文計費功能(正確答案)C.與PPP協(xié)議配合，L2TP協(xié)議支持IP地址動態(tài)分配(正確答案)D.L2TP協(xié)議不支持報文加密(正確答案)26.H3CSecpath防火墻具有那些功能，可以保證網絡的安全性。（）*A.訪問控制(正確答案)B.NAT轉換(正確答案)C.攻擊防范(正確答案)D.黑名單(正確答案)E.入侵防御(正確答案)答案解析：注意區(qū)分防火墻的基本功能和所有功能27.H3CSecPath防火墻的會話包含以下哪些信息？（）*A.會話發(fā)起方和響應方IP地址及端口(正確答案)B.會話的創(chuàng)建時間(正確答案)C.會話的老化時間(正確答案)D.會話當前所處的狀態(tài)(正確答案)答案解析：章節(jié):章節(jié)328.關于H3CNGFW安全區(qū)域說法正確的是。（）*A.防火墻默認有五個安全區(qū)域：Management、Local、Trust、Untrust、DMZ(正確答案)B.防火墻自身所有接口都屬于Local區(qū)域(正確答案)C.非管理接口必須加入業(yè)務安全區(qū)域才能轉發(fā)數(shù)據(正確答案)D.處于同一區(qū)域內的接口數(shù)據默認無法互通(正確答案)29.HWTACACS協(xié)議和RADIUS協(xié)議的區(qū)別。（）*A.以上信息記住(正確答案)B.以上信息記住(正確答案)C.以上信息記住(正確答案)D.以上信息記住(正確答案)30.經過IPSec封裝后的報文格式如下圖所示，參與驗證算法生成驗證字段的數(shù)據報文有哪些？（）*A.AH頭(正確答案)B.新報文頭(正確答案)C.原始報文(正確答案)D.共享秘鑰(正確答案)答案解析：AH的整體VPN報文和秘鑰一起參與驗證計算，所以不支持NAT穿越）31.CHAP是三次握手的驗證協(xié)議，其中第1次握手是完成。（）[單選題]*A.主驗證方將一段隨機報文和用戶名傳遞到被驗證方(正確答案)B.被驗證方直接將用戶名和令傳遞給驗證方C.被驗證方生成段隨機報文，用自己的令對這段隨機報文進行加密，然后與自己的用戶名一起傳遞給被驗證方D.驗證方將用戶名和密碼傳遞到被驗證方32.假如Alice和Bob使用DH算法來進行秘鑰協(xié)商，Maliory作為中間人來竊聽他們之間的通信，則以下說法中正確的是？（）*A.中間人Maliory是通過偵聽Alice和Bob協(xié)商的共享秘鑰來實現(xiàn)攻擊目的的B.DH算法天生就容易遭受中間人攻擊(正確答案)C.中間人Maliory在發(fā)起中間人攻擊時，需要分別和Alice和Bob協(xié)商出不同的共享秘鑰(正確答案)D.DH算法的安全性是基于“素因子分解難題”的33.ACG帶寬管理通道匹配規(guī)則正確的是？（）*A.在透明模式下部署QoS時，需要將線路綁定在物理接口上，綁定在橋接口上無法生效。(正確答案)B.當父節(jié)點帶寬充足，而需要保障的通道帶寬未達到時，其他通道可以借用此部分空余帶寬，即低優(yōu)先級搶到上限后，中優(yōu)先級才能搶。C.當存在N個相同優(yōu)先級搶占時，按照均分處理，每個通道平分1/N的帶寬。(正確答案)D.QoS按照樹形結構匹配，只要某節(jié)點存在葉子節(jié)點的情況，就會繼續(xù)向下進行查找，一旦出現(xiàn)不匹配的情況，此處將會匹配父節(jié)點的默認通道進行QoS。(正確答案)E.所有子節(jié)點的帶寬之和必須小于父節(jié)點的帶寬。(正確答案)34.H3CACG的帶寬管理功能，可以對通過設備的流量實現(xiàn)基于（）進行精細化的管理和控制。*A.用戶／用戶組(正確答案)B.源／目的IP地址(正確答案)C.MAC地址D.服務(正確答案)E.時間(正確答案)F.應用/應用組(正確答案)35.IPSecVPN相比，SSLVPN具有哪些優(yōu)點？（）*A.SSLVPN客戶端免安裝、免維戶，易于使用(正確答案)B.SSLVPN可以根據遠端主機的安全狀態(tài)實現(xiàn)動態(tài)授權(正確答案)C.SSLVPN有很好的網絡連通性(正確答案)D.SSLVPN可以擁有高粒度的訪問控制(正確答案)36.在IKE協(xié)商模式中，哪種模式適合用于分支機構采用ADSL撥號與總部建立IPSec連接。（）[單選題]*A.野蠻模式(正確答案)B.主模式C.傳輸模式D.隧道模式37.H3C防火墻的安全域有優(yōu)先級概念，上述說法是否正確。（）[單選題]*A.正確B.錯誤(正確答案)38.H3C防火墻中，以下哪些接口必須加入到區(qū)域中才能轉發(fā)數(shù)據？（）*A.Virtual-Template(正確答案)B.物理接口(正確答案)C.LoopbackD.Dialer(正確答案)E.Vlan-interface(正確答案)F.Tunnel(正確答案)答案解析：章節(jié):章節(jié)339.關于H3C防火墻URL過濾功能，下列說法正確的有。（）*A.URL是互聯(lián)網上標準資源的地址(正確答案)B.URL格式為：“protocol://host[:port/path/[;parametersJ[?guery］#fragment，其中［:parameters][?query］#fragment稱為URLC.URL過濾功能是指對用戶訪問的URL進行控制，即允許或禁止用戶訪問Web資源，達到規(guī)范用戶上網行為的目的(正確答案)D.URL過濾規(guī)則支持文本匹配和正則表達式匹配兩種方式，文本匹配僅能使用指定的字符串對主機進行精確匹配。正則表達式匹配可以使用正則表達式對主機名和URL字段進行模糊匹配(正確答案)40.ACG1000的DFI主要用來識別應用的靜態(tài)報文特征。（）[單選題]*A.正確B.錯誤(正確答案)答案解析：DPI主要用來識別應用的動態(tài)流量特征41．NAT轉換技術包括。（）*A.基于NAT方式，即地址一對一的轉換(正確答案)B.NAPT方式，即通過轉換端口實現(xiàn)地址復用(正確答案)C.EasyIP方式，即直接使用公網接口做NAT(正確答案)D.NATServer，寄映射內部服務器(正確答案)42.關于H3C防火墻報文轉發(fā)流程，下列說法正確的是。（）*A.當報文命中會活表或關聯(lián)表后，則直接查找二三層轉發(fā)表項后轉發(fā)(正確答案)B.若報文命中安全策略的動作為丟棄，則直接丟棄報文，不需要創(chuàng)建會話表項(正確答案)C.對接收的報文首先判斷是否匹配當前會話表或關聯(lián)表(正確答案)D.對接收的報文首先判因是否命中安全策略答案解析：章節(jié):章節(jié)343.H3C防火墻要么工作在二層模式，要么工作在三層模式，不能同時工作在二層和三層，以上說法正確嗎？（）[單選題]*A.正確B.錯誤(正確答案)44.以下關于防火墻用戶說法正確的是？（）*A.接入類用戶主要是portal、sslvpn、ppp等(正確答案)B.可以通過用戶組來實現(xiàn)用戶的統(tǒng)一管理(正確答案)C.防火墻用戶分為管理類和接入類用戶(正確答案)D.管理類用戶主要有ftp、ssh、telnet、http(正確答案)45.H3C防火墻特征庫升級，支持以下幾種方式。（）*A.手動離線升級(正確答案)B.特征庫回滾(正確答案)C.定期自動在線升級(正確答案)D.立即自動在線升級(正確答案)46.在檢測到針對服務器的SYNFlood攻擊行為后，防火墻應該可以支持選擇多種應對攻擊的防范措施，主要包括連接限制技術和連接代理技術，其中屬于連接限制技術的是。（）*A.單位時間內客戶端發(fā)起的新建連接請求數(shù)超過指定閾值，則認為服務器遭受了SYSFlood攻擊(正確答案)B.通過對正常TCP新建連接的協(xié)商報文進行處理，修改報文的序列號并使其攜帶認證信息，再通過驗證客戶端回應的協(xié)商報文中攜帶的信息進行報文有效性確認。C.客戶端發(fā)起的TCP半開連接請求超過指定閾值，則以為服務器遭受了SYSFlood攻擊(正確答案)D.通過在新建連接的協(xié)商報文中攜帶認證信息，在通過驗證客戶端回應的協(xié)商報文中攜帶的信息來進行信息分析。答案解析：BD應該屬于連接代理技術，他們使用認證信息47.H3C防火墻安全策略規(guī)則可以基于以下哪些參數(shù)進行匹配？（）*A.目的IP地址(正確答案)B.應用/應用組(正確答案)C.服務(正確答案)D.用戶/用戶組(正確答案)E.目的安全域(正確答案)F.源安全域(正確答案)G.源IP地址(正確答案)H.VRF(正確答案)48.H3CIPS功能可以對業(yè)務流量進行以下那些缺省動作。（）

*A.黑名單(正確答案)B.丟棄(正確答案)C.允許(正確答案)D.抓包E.生成日志F.重置(正確答案)49.以下哪些配置可以實現(xiàn)telnet用戶的AAA認證。（）[單選題]*A.[Device-line-console0]authentication-modeschemeB.[Device-line-vty0-63]authentication-modescheme(正確答案)C.[Device-line-vty0-63]authentication-modenoneD.[Device-line-vty0-63]authentication-modelocal50.NATALG技術可以解決所有多通道應用之間端到端的通信問題。以上說法是否正確。（）[單選題]*A.正確B.錯誤(正確答案)51.在防火前上使用命令displaynatall有如下信息：基于以上信息可以得出結論是：。（）[單選題]*A.接口的動態(tài)NAT沒有配置ACL限制B.NAT地址池1中有4個地址C.NAT地址池中有2個地址(正確答案)D.當前設備上有1個地址池答案解析：(A和D不確認，注意看題目的提示）52.互聯(lián)網中常見的網絡安全威脅方式分為。（）*A.主動攻擊(正確答案)B.平面攻擊C.物理攻擊(正確答案)D.立體攻擊53.H3CACG產品日志信息可以輸出到不同的目的地，下列說法正確的是。（）*A.最大可以配置3個日志服務器，同時發(fā)送3份日志，實現(xiàn)互為備份(正確答案)B.和第三方日志服務器配合時，建議啟用日志加密功能，防止在傳輸過程中泄露信息(正確答案)C.默認情況下，系統(tǒng)將日志記錄在本地數(shù)據庫(正確答案)D.系統(tǒng)可以將日志發(fā)送給日志服務器，推薦使用userlog方式，效率更高。(正確答案)54.在防火墻上配置動態(tài)NAT使用命令displaynatsessionverbose有如下信息。從設備輸出可確定的是：（）[單選題]*A.設備上配置的是NO-PAT方式的動態(tài)NAT(正確答案)B.動態(tài)NAT的配置下發(fā)在G1/0/0口上C.可以ping通D.地址池中只有1個地址55.以下哪些配置授權給用戶SSLVPN的登陸權限？（）*A.[device-luser-manage-test]service-typesslvpnB.[device-luser-network-test]service-typesslvpn(正確答案)C.[device]local-usertestclassmansgeD.[device]local-usertestclassnetwork(正確答案)56.地址轉換技術只能用于將私網地址轉換為公網地址，以上說法是否正確？（）[單選題]*A.正確B.錯誤(正確答案)57.IKEv1主模式第一階段協(xié)商的第一和第二個報文的作用是身份驗證，從而保證了后續(xù)報文傳遞的合法性，以上說法是否正確？（）[單選題]*A.正確B.錯誤(正確答案)58.H3C防火墻安全策略規(guī)則中，若引用DPI業(yè)務時，規(guī)則的動作需配置為允許，以上說法是否正確？（）[單選題]*A.正確(正確答案)B.錯誤59.利用SNCookie技術可以防范SYNFlood攻擊，關于技術原理的描述，以下說法正確的是。（）[單選題]*A..如果防火墻確認客戶端的ACK消息合法，則模擬客戶端向服務器發(fā)送一個SYN消息進行連接請求，同時分配TCB資源記錄此連接請求的描述信息。B.防火墻的SYNCookie技術利用ACK報文攜帶的認證信息，對握手協(xié)商的ACK報文進行認證，從而避免了防火過早分配TCB資源C.客戶端發(fā)送的SYN消息經過防火墻時，防火墻截取該消息，并模擬服務器向客戶端回應SYNACK消息，D.客戶端收到SYN/ACK報文后向服務器發(fā)送ACK消息進行確認，防火墻截取這個消息后，提取該消息中的ACK序列號，并再次使用客戶端信息與加密索引計算cookie，如果計算結果與ACK序列號相符，就可以確認發(fā)起連接請求的是一個真實客戶端(正確答案)60.以下關于IKE的說法正確的有。（）*A.具有完善的向前安全性(正確答案)B.可以穿越NAT(正確答案)C.使用UDP51端口D.使用diffie-Hellma交換(正確答案)61.在H3CACG上配置用戶策略時，新建用戶并將PC的Mac地址綁定，完成配置后發(fā)現(xiàn)PC能夠重定向到認證頁面但是無法聯(lián)網，以下分析中正確的是？（）*A.由于ACG設備需要與PC二層互聯(lián)才能學習到PC的Mac地址，所以ACG與PC中間可能有三層設備(正確答案)B.ACG支持夸三層學習Mac功能，可能是netconf參數(shù)配置錯誤C.PC能夠重定向到認證頁面，說明設備的路由器和Ipv4策略沒問題(正確答案)D.由于綁定的Mac地址必須與PC的Mac地址一致，所以可能是因為ACG上Mac地址配置錯誤(正確答案)62.以下關于RADIUS認證說法正確的是？（）*A.RADIUS最初僅是針對撥號用戶的AAA協(xié)議，后來隨著用戶接入方式的多樣化發(fā)展，RADIUS也被應用于多種接入方式(正確答案)B.常應用在即要求較高安全性、又允許遠程用戶訪問的各種網絡環(huán)境中(正確答案)C.RADIUS認證是一種分布式的客戶端/服務器結構的信息交互協(xié)議(正確答案)D.基于TCP傳輸，端口號1812、1813分別作為認證/授權、計費端口63.以下關于動態(tài)NAT說法正確的是？（）[單選題]*A.動態(tài)NAT必須要指定地址池地址B.PAT模式中一個公網地址可以同時提供給多個私網地址使用C.動態(tài)NAT的配置中，必須要配置ACL來指定可以進行NAT轉換的地址(正確答案)D.所有模式的動態(tài)NAT都支持復用公網地址64.關于H3C防火墻的命令視圖，以下說法正確的是。（）*A.在接口視圖下可以通過portlink-mode命令切換二三層模式(正確答案)B.配置路由應在系統(tǒng)視圖下(正確答案)C.用戶登錄設備后，直接進入用戶視圖D.在用戶視圖下輸入systemview命令進入系統(tǒng)視圖(正確答案)答案解析：(防火墻需要賬號密碼）章節(jié):章節(jié)365.編號3001的ACL對應的類型是。（）[單選題]*A.二層ACLB.七層ACLC.基本ACLD.高級ACL(正確答案)66.以下關于easyIP方式NAT配置不生效排查方法，正確的是。（）*A.檢查地址池是否正確B.檢查路由是否正常(正確答案)C.檢查NAT配置的接口是否下發(fā)正確(正確答案)D.檢查安全策略是否放通(正確答案)67.GRE協(xié)議棧如圖所示，以下說法正確的是？（）[單選題]*

A.協(xié)議B是封裝協(xié)議B.協(xié)議B是承載協(xié)議C.協(xié)議A是封裝協(xié)議D.協(xié)議A是承載協(xié)議(正確答案)解析：協(xié)議A是承載協(xié)議，GRE是封裝協(xié)議

68．下列關于L2TP的說法正確的是。（）[單選題]*A.在LAC上會根據接入用戶的PPP驗證信息進行驗證,以確定是否是L2TP的用戶以及用戶屬于哪一個L2tp(正確答案)組，隨后LAC會向相應的LNS發(fā)起建立隧道的請求B.用戶和LAC之間會進行協(xié)商以獲取IP地址C.隧道建立后,LAC與用戶相連接口的IPCP會變?yōu)閁P狀態(tài)D.CHAP驗證只用在用戶端和LNS端進行69.H3CACG透明模式部署，在配置帶寬管理時，需要將線路綁定在物理接口上，綁定在橋接口上無法生效。（）[單選題]*A.錯誤B.正確(正確答案)70.IKE野蠻模式下，IKE協(xié)商發(fā)起者發(fā)送第一個消息中包含。（）*A.DIffe-Hellman公共值(正確答案)B.散列算法(正確答案)C.驗證方法(正確答案)D.加密算法(正確答案)答案解析：章節(jié):章節(jié)371.以下關于HWTACACS認證說法正確的是。（）*A.采用UDP傳輸，網絡傳輸效率更高。B.該協(xié)議與PADIUS協(xié)議類似，采用客戶端/服務器模式實現(xiàn)NAS與HWTACACS服務器之間的通信。(正確答案)C.主要用于PPP和VPDN接入用戶及終端用戶的認證、授權和計費。(正確答案)D.HWTACACS（HWTerminalAccessControllerAccessControlSystem,HW終端訪問控制器控制系統(tǒng)協(xié)議）(正確答案)72.有關GRE的特點描述正確有。（）*A.GRE不提供數(shù)據加密、身份驗證等安全功能。(正確答案)B.GRE協(xié)議不支持封裝組播報文。C.GRE隧道支持動態(tài)路由協(xié)議。(正確答案)D.GREVPN要求在隧道兩端上靜態(tài)配置隧道接口，不利于大規(guī)模部署。(正確答案)73.包過濾ACL進行如下配置。Aclbasic2000match-orderconfigrulepermitsource55ruledenysource0（）*A.源地址0目的地址0的報文被丟棄B.源地址目的地址的報文被丟棄C.源地址0目的地址的報文允許通過(正確答案)D.源地址目的地址的報文允許通過(正確答案)答案解析：相似的題：包過濾ACL進行如下配置:Aclbasic2000match-orderautorulepermitsource55ruledenysource0A源地址0目的地址0的報文被丟棄B源地址目的地址的報文被丟棄C源地址0目的地址的報文允許通過D源地址目的地址的報文允許通過74.以下屬于NAT技術的優(yōu)點的是。（）*A.在網絡發(fā)生變化時避免重新編址(正確答案)B.在地址重復時提供解決方案(正確答案)C.隱藏內部服務器的真實IP地址，提高安全性(正確答案)D.增加連接英特網的靈活性(正確答案)E.節(jié)省合法的注冊地址(正確答案)答案解析：75.SSL協(xié)議的通訊實體在層次劃分上分為以下哪幾個層次?（）*A.應用層B.會話層C.握手層(正確答案)D.記錄層(正確答案)答案解析：章節(jié):章節(jié)376.如何防范Smurf攻擊?（）*A.檢查ICMP請求報文的目的地址是否為子網地址，是則丟棄(正確答案)B.檢查ICMP請求報文的源地址是否為子網地址，是則丟棄C.檢查ICMP請求報文的目的地址是否為廣播地址，是則丟棄(正確答案)D.檢查ICMP請求報文的源地址是否為廣播地址，是則丟棄答案解析：章節(jié):章節(jié)377.下述攻擊手段中，不屬于DOS攻擊的是。C)[單選題]*A.Fraggle(正確答案)B.Land攻擊C.跨站攻擊D.Smurf攻擊78.關于H3C防火墻的特征庫功能說法正確的有。BC)*A.不支持特征庫回滾B.升級特征庫需要license授權(正確答案)C.支持自定義特征(正確答案)D.不支持自動更新特征庫79.關于H3C防火墻License,以下說法正確的是。CD)[單選題]*A.正式License過期后不能卸載、壓縮License存儲區(qū)可以釋放License存儲空間。執(zhí)行壓縮操作時.系統(tǒng)會自動將已經過期的或者卸載的License信息刪除，并修改DID.(正確答案)B.設備出現(xiàn)硬件故障后,可以將臨時License遷移至其他設備繼續(xù)使用。C.激活License時，必須提供設備的DID文件D.License的有效期分為永久(Permanent)和絕對時間(Daterestricted)兩種，根據發(fā)布渠道不同分為臨時的(Trial和正式的(Formal)80.以下屬于網絡安全威脅的有。ABCD)[單選題]*A.IP地址欺騙(正確答案)B.DoS/DDOS攻擊C.掃描攻擊D.畸形報文攻擊81.H3C防火墻在接口上應用包過濾，方向可以選擇Inbound和Outbound。（）[單選題]*A.錯誤B.正確(正確答案)正確答案:B82.在以下L2TP組網中，假設LAC與LNS都已在公網上.如果庭道建立失敗，那么可能的原因有。（）*A.LNS端沒有設置可以接收該感道對端的L2TP組。(正確答案)B.LNS端設置的用戶名與密碼有誤。(正確答案)C.隧道驗證不通過。(正確答案)D.在LAC端。LNS地址設置不正確。(正確答案)83.在H3CACG上配置日志服務器后，發(fā)現(xiàn)管理平臺上無法接收到任何日志，以下分析正確的有。（）*A.管理平臺日志接收端目可能被操作系統(tǒng)其他軟件占用。(正確答案)B.出于日志顯考慮，系統(tǒng)在設計時，啟用日志服務器功能后,還需要配置日志過濾，選擇日志級別，否則低級別的日志不會發(fā)送(正確答案)C.可以在管理平臺上使用Wireshark抓包工具，確認日志是否已經發(fā)送過來。(正確答案)D.ACG默認使用30514端發(fā)送日志，可能中間存在防火墻，未放通端口。(正確答案)84.創(chuàng)建安全域后，需要給安全域添加成員。下列哪些可以作為成員加入安全域。（）*A.二層接口和VLAN(正確答案)B.三層以太網子接口(正確答案)C.三層邏輯接口(正確答案)D.三層以太網接口(正確答案)85.利用SsteReset技術可以防范SYNFood攻擊.關于技術原理的描述，以下說法正確的是。（）*A.一般而言，應用服務器不會主動對客戶端發(fā)起惡意連接，因此服務器響應客戶端的報文可以不需要經過防火墻的檢查。防火墻僅需要對客戶端發(fā)往應用服務器的報文進行實時監(jiān)控。服務器響應客戶端的報文可以根據實際需要選擇是否經過防火墻，因此SafeReset能夠支持更靈活的組網方式。(正確答案)B.客戶端收到SYN/ACK后.按照協(xié)議規(guī)定向服務器回應RST消息。防火墻中途截取這個消息后，提取消息中的序列號。并對該序列號進行Cookie校驗。成功通過校驗的連接被認為是可信的連接，防火墻會分配TCB資源記錄此連接的描述信息，而不可信連接的后續(xù)報文會被防火墻丟棄。(正確答案)C.由于防火墻僅通過對客戶端向服務器首次發(fā)起連接的報文進行認證，就能夠完成對客戶端到服務器的連接檢驗而服務器向客戶端回應的報文即使不經過防火墻也不會影響正常的業(yè)務處理，因此SafeReset技術也稱為單向代理技術。(正確答案)D.客戶端發(fā)送的SYN消息經過防火墻時，防火墻截取該消息，并模擬服務器向客戶端回應SYN/ACK消息，其中，SYN/ACK消息中的ACK序列號與客戶端期望的值一致，同時攜帶Cookie值，此Cookie值是對加密索引與本次連接的客戶端信息(包括P地址、端口號)進行加空運算的結果。86.下列關于衡量防火墻的性能指標說法正確的有。（）*A.并發(fā)連接數(shù)是指每秒鐘防火墻能夠處理的新建連接的數(shù)量B.時延是數(shù)據包進入防火墻到從防火墻輸出的時間間隔(正確答案)C.新建連接數(shù)是指每秒鐘防火墻能夠同時處理的連接總數(shù)D.吞吐量需要對不同大小的數(shù)據包。不同方向的流量等進行測試(正確答案)87.H3C防火墻防火墻版本升級過程中說法正確的有。（）*A.boot-loaderfile命令里必須帶system參數(shù)，表示指定該軟件包為系統(tǒng)軟件包B.可以通過FTP/TFTP將軟件版本文件上傳到本地(正確答案)C.執(zhí)行boot-loader命令來指定設備下次啟動時使用的版本文件(正確答案)D.從H3C官網/cn/獲取軟件版本(正確答案)88.H3C防火墻設備中，訪問控制列表ACL主要應用于。（）*A.策略路由，依據用戶制定的策略進行路由轉發(fā)(如ACL規(guī)則等)(正確答案)B.IPSec中，用來規(guī)定觸發(fā)建立IPSec的條件(正確答案)C.NAT中，限制哪些地址需要被轉換(正確答案)D.QoS中，對數(shù)據流量進行分類(正確答案)89.以下哪些配置可以實現(xiàn)SSH用的管理員權限