GB0-510 H3CNE-Security H3C認證網(wǎng)絡安全工程師考試題庫（含答案）

D、按照IP地址劃分D、H交換接第110頁，共156頁H3C防火墻配置成二層模式時數(shù)據(jù)依靠()進行轉發(fā)。B、ESP協(xié)議報文用IP報文協(xié)議號51表示A、URL審計分為預定義URL和自定義URL兩部分答案：A27.錢荷解析：家庭上網(wǎng)環(huán)境、動態(tài)IP地址，一律easyip技術34.默認情況下LAC和LNS之間通道的Hello報文發(fā)送時間間隔為A、TCP報文的3次握手B、UDP報文的3次握手C、TCP報文的4次握手D、UDP報文的4次握手C、動態(tài)NAT的配置中，必須要配置ACL來指定可A、RC4內(nèi)網(wǎng)主機A地址為,地址池地址為-,某一時刻主機A訪問外網(wǎng)，分配的地址池地址為,此時改變主機地址為,其他條件不變，再次訪問外網(wǎng)，則分配的地址池地址是?防火墻缺省存在local、trust、DMZ、Management、untrust,并上述缺省安全如果在IP網(wǎng)絡中使用GRE協(xié)議在承載IPX協(xié)議，則報文的封裝過程為的不同GRE隧道。B、普通的源(目的地址作轉化的NAT,標準GRE封裝協(xié)議報文不可以正常穿越。源地址發(fā)起的不同GRE隧道。來區(qū)分相同源地址發(fā)起的不同GRE隧道工程師小L在調(diào)試SecPathU200-S設備時，把缺省的G0/0接口當成內(nèi)網(wǎng)口G0/1次執(zhí)行回滾到上一版本的操作后，特征庫替換成V1版本，再執(zhí)行回滾上一版本此功能對DPI業(yè)務造成影響，只需要在完成部署DPI各個模塊的配置文件后統(tǒng)一C、設備虛擬化之后，可以做到License統(tǒng)管理，這種情況下，在其中一個成員D、當需要的IPS特征在設備當前IPS特征庫中不存在時，可通過編輯Snort格PS特征文件內(nèi)容會自動覆蓋，包括系統(tǒng)中所有的自定義IPS特征。錯誤解析：EasyIP模式的NAT可以看作地址池只有一個地址(也就是出接口地址)內(nèi)網(wǎng)一臺服務器需要使用NAT地址對公網(wǎng)提供服務，公網(wǎng)主機5會對服務器發(fā)起訪問。出口防火墻已經(jīng)完成了接口IP和地址#Actionpasssource-zoneuntrustdestination-zonetrustsource-ipglobalActionpasssource-zonetrDestination-zoneuntrustsource-ipclienSource-zonetrustdestination-zoneuntrustsource-ipclienActionpasssource-zoneuntrustdestination-zonetrustsource-ipclient72.以下那條命令可以查看H3C防火墻快速轉發(fā)的會話統(tǒng)計功能?73.GRE協(xié)議的協(xié)議號是：A、50A、代理驗證D、都相同B、地址池C靜態(tài)路由DACLB、負戴均衡調(diào)度功能和會話保持功能不能同時啟動82.CHAP是三次握手的驗證協(xié)議，其中第1次握手是完成()下列哪一種防火墻運行時速度最慢，并且運行在0SA、包過濾防火墻B、狀態(tài)防火墻下列關于各層協(xié)議數(shù)據(jù)單元說法正確的是?關于H3C防火墻的License,下列說法正確的是?D、臨時license授權的特性可以使用一段時間(比如1-3個月),并且可以遷移C、NAT地址池中有2個地址96.IKE主模式報文交互()次?如何防范Land攻擊?A、檢查TCP報文，如果報文的目的端口號為139,且TCP的緊急指針標志被置,則根據(jù)用戶配置D、檢查UDP報文，如果報文的目的端口號為139,且UDP的緊急標志被置位，選項A描述的是針對某種特定TCP報文的處理，但Land攻擊通常與TCP的緊急指針標志無關，因此A不是正確答案。選項B涉及ICMP應答請求報文的處nd攻擊主要利用的是IP報文的特性，與UDP的C、NAT地址池中有2個地址A、ESA、10B、[Device-line-vty0-63]autC、[Device-line-vty0-63]authentD、[Device-line-vty0-63]a如DHCP服務，并非NAT的必需配置。-D項(地址轉換):地址轉換是NAT的核文D、兩者互不影響A、用戶名中指定的ISP域-->系統(tǒng)缺省的ISP域-->接入模塊指定的認證域B、接入模塊指定的認證域-->用戶名中指定ISP域-->系統(tǒng)缺省的ISP域C、接入模塊指定的認證域--->系統(tǒng)缺省的ISP域-->用戶名中指定的ISP域D、用戶名中指定的ISP域-->-接入模塊指定的認證域-->系統(tǒng)缺省的ISP域B、都是用來進行加密的算法在UDP端口掃描中，對主機端口是否開放的判A、根據(jù)被掃描主機開放端口放回的信息判斷116.編號3001的ACL對應的類型是A、二層ACL層ACL本ACLC、Security(安全)和safety(可靠)120.IKE野蠻模式報文交互()次?話.1為()地址?A、D類B、A類D、C類解析：這道題考察的是網(wǎng)絡設備接口配置的基礎知識。在SecPathU200-S設備中，接口的配置決定了網(wǎng)絡流量的走向和安全策略的應用。通常，G0/0接口被預設為內(nèi)網(wǎng)口，而G0/1接口被預設為外網(wǎng)口(Untrust區(qū)域)。工程師小L將這兩個接口的配置顛倒，意味著原本應該處理內(nèi)網(wǎng)到外網(wǎng)流量的安全策略現(xiàn)在被錯誤地應用到了相反的方向。由于安全策略通常是根據(jù)接口的角色(內(nèi)網(wǎng)或外網(wǎng))來定義的，因此這種配置錯誤會導致內(nèi)網(wǎng)用戶無法正常訪問外網(wǎng)。所以，答案是B,即內(nèi)網(wǎng)用戶不能正常訪問外網(wǎng)。SSL協(xié)議向()提供端到端的、有連接的加密傳輸服務A、傳輸層B、應用層C、網(wǎng)絡層D、數(shù)據(jù)鏈路層131.在TCP連接的三次握手過程中，第一步是由發(fā)起端發(fā)送132.下列關于L2TP的說法正確的有：olConnection)一個隧道內(nèi)只支持一個會話以下哪些配置可以實現(xiàn)portal用戶的本地認證?D、[Device-line-vty0-63]au的所有接口只能處于同一種IPSec連接B、負戴均衡調(diào)度功能和會話保持功能不能同時啟動C、可以提供基于ICMP,TCP,HTTP,VFA、TCP報文的3次握手B、UDP報文的3次握手C、TCP報文的4次握手D、UDP報文的4次握手C、防水墻的默認登錄IP地址是192.168.0142.下述哪個是H3C專有的VPN技術C、端口掃描D、地址掃描A、[Device-line-console0]authentication-modescB、[Device-line-vty0-63]autC、[Device-line-vty0-63]authentD、[Device-line-vty0-63]a的問題，上述說法是()稱之為()答案：C答案：D151.在防火墻上配置動態(tài)NAT使用命令displaynatsessionverbose有如下信息。C、可以ping通D、地址池中只有1個地址A、可以配置完整的用戶名或者特定的域名作為觸發(fā)L2TP發(fā)起連接的條件A、會話是一個單方向的概念，根據(jù)報文所攜帶的三元組或者五元組唯一標識B、流是個雙向的概念，一個流通常關聯(lián)兩個方向的會話D、防火墻對組播或者廣播報文同樣建立會話_A、接入模塊指定的認證域-->系統(tǒng)缺省的ISP域-->用戶名中指定的ISP域B、用戶名中指定的ISP域-->接入模塊指定的認證域-->系統(tǒng)缺省的ISP域C、接入模塊指定的認證域-->用戶名中指定的ISP域-->系統(tǒng)缺省的ISP域D、用戶名中指定的ISP域-->系統(tǒng)缺省的ISP域-->接入模塊指定的認證域諜軟件、廣告軟件、CGI(CommonGatewayInterface)攻擊、跨站腳本攻擊、注入160.L2TP數(shù)據(jù)報文以()報文的形式發(fā)送，注冊得端口號為()A、TLV結構，利于擴展E、基于UDP傳輸，端口號1812、1813均可作為認證/授權、計費端口(應為：分別作為)解析：(1812指定為認證授權，1813指定為計費，不能變)Inboundinterface:GigabiVPNinstance/VLANID/InlineStardtime,2018-0-0916:0850πL:56s從設備輸出可確定的是：A、設備上配置的是NO-PAT方式的動態(tài)NATD、地址池中只有1個地址A、適應各種網(wǎng)絡條件下的安全接入B、無法忍受VPN客戶端損壞和網(wǎng)關配置修改后不能訪問C、細粒度訪問控制D、以上全是A、支持TCP、UDP,不支持ICMP報文開啟Portal認證的接口的IP地址D、本地PortalWeb服務器的HTTP服務偵聽的TCP端口號為2331C、高級ACLD、基本ACL下列關于NAT穿越功能說法正確的是?A、避免了NAT網(wǎng)關對IPsec報文進行修改C、刪去了IKE協(xié)商過程中對UDP端口號的驗證過程D、實現(xiàn)了對VPN隧道中NAT網(wǎng)關設備的發(fā)現(xiàn)功能13.下面關于安全聯(lián)盟(SA)的說法正確的是A、由SPI、IP目的地址以及安全協(xié)議標識符三元組唯一標識C、SA可通過手工配置和自動協(xié)商兩種方式建立D、IKE不僅用于IPsec,它是一個通用的交換協(xié)議解析：D答案優(yōu)點怪怪的，IKE可以獨立運行這是真的N產(chǎn)品支持的認證方式包括：A、本地認證C、IPsecSA是雙向的B、SSL報文不能通過NAT進行正常的傳輸，需要進行領外的配置念城城以A、3DESA、L2TP務器響應客戶端的報文可以根據(jù)實際需要選擇是否經(jīng)過防火墻，因此SafeReset能夠支持更靈活的組網(wǎng)方式。B、客戶端收到SYN/ACK后.按照協(xié)議規(guī)定向服務器回應RST消息。防火墻中途截取這個消息后，提取消息中的序列號。并對該序列號進行Cookie校驗。成功通過校驗的連接被認為是可信的連接，防火墻會分配TCB資源記錄此連接的描述信息，而不可信連接的后續(xù)報文會被防火墻丟棄。C、由于防火墻僅通過對客戶端向服務器首次發(fā)起連接的報文進行認證，就能夠完成對客戶端到服務器的連接檢驗而服務器向客戶端回應的報文即使不經(jīng)過防火墻也不會影響正常的業(yè)務處理，因此SafeReset技術也稱為單向代理技術。27.以下屬于動態(tài)NAT的是B、PAT方式的NATA、LAC端設置的用戶名或者密碼有誤A、基本ACLSee數(shù)據(jù)傳輸中使用UDP封裝后發(fā)現(xiàn)PC能夠重定向到認證頁面但是無法聯(lián)網(wǎng)，以下分析中正確的是?A、由于ACG設備需要與PC二層互聯(lián)才能學習到PC的Mac地址，所以ACG與PCB、ACG支持夸三層學習Mac功能，可能是netconf參數(shù)配置錯誤C、PC能夠重定向到認證頁面，說明設備的路由器和Ipv4策略沒問題A、創(chuàng)建虛擬Tunnel接口B、指定Tunnel接口的源端C、指定Tunnel接口的目的端D、設置Tunnel口的網(wǎng)絡地址利用SsteReset技術可以防范SYNFood攻擊.關于技術原理的描述，以下說法正過防火墻，因此SafeReset能夠支持更靈活的組網(wǎng)方式。B、客戶端收到SYN/ACK后.按照協(xié)議規(guī)定向服務器回應RST消息。防火墻中取這個消息后，提取消息8中的序列號。并對該序列號進行Cookie校驗。成功完成對客戶端到服務器的連接檢驗而服務器向客戶端60.AAA認證主要包括了什么()D、缺省情況下，設備管理接口的IP地址為/2463.IPSec是在IETF制定的保證在IP網(wǎng)絡上傳送數(shù)據(jù)的安全保密性的三層安全A、PPPC、轉發(fā)PPP幀F(xiàn)、關閉控制連接65.以下哪些配置授權給用戶PPP的登陸權限?B、[device-luser-net等B、在地址重復時提供解決方案C、隱藏內(nèi)部服務器的真實IP地址，提高安全性A、SSLVPN可以對傳輸?shù)臄?shù)據(jù)進行加密B、SSLVPNI支持對客戶端身份的驗證C、SSLVPN支持雙因子認證B、內(nèi)網(wǎng)網(wǎng)絡共享應用的審計商(isakmp)方式VPN隧道中INAT網(wǎng)關設備發(fā)D、IKE的cookie機制在一定程度上保護系統(tǒng)不受DOS攻擊C、激活License時，必須提供設備的DID文件C、LNSHpever之間存在防火墻設備阻斷了httpp訪問的設備存在86.在以下L2TP組網(wǎng)中，假設LAC與LNS都已在公網(wǎng)上.如果庭中名和URL字段進行模糊匹配[;parameters][?query][#fragment]”,其中“protocol”表示協(xié)議(如http、“path”表示路徑，“parameters”表示參數(shù)(可選),“query”表示查詢字符串(可選),“fragment”表示片段標識符(可選)。B選項中對URL的描述是A和C。置信息)C、Dictionary:用于存儲RADIUS客戶端的信息(如NAS的共享密鑰、IP地址等)D、Clients:用于存儲RADIUS協(xié)議中的屬性和屬性值含義的信息議)C、轉發(fā)PPP幀F(xiàn)、關閉控制連接A、支持TCP、UDP,不支持ICMP報文C、TCP接入只能訪問WEB類資源teD、ACG產(chǎn)品不支持VRF功能，因此無法作為MCE設備和MPLS網(wǎng)絡對接C、GRE提供了將一種協(xié)議的報文封裝在另一種協(xié)議報文中的機制，是報文能夠在異種網(wǎng)絡中傳輸，異種報文傳輸?shù)乃淼婪Q為tunnel解析：這道題考察的是對GRE協(xié)議的理解。GRE協(xié)議確實是對某些網(wǎng)絡層協(xié)議的數(shù)據(jù)報文進行封裝，以便在另一種網(wǎng)絡協(xié)議中傳輸，A選項正確。GRE是三層協(xié)議，不是二層協(xié)議，所以B選項錯誤。GRE提供了報文封裝機制，使報文能在異D選項錯誤。H3CSecPathU200-S支持的行為審計協(xié)議包括()105.根據(jù)由加密密鑰得到解密密鑰的算法復雜度差異，密碼體制可以分為A、私鑰密碼體制B、公鑰密碼體制C、流密碼D、分組密碼D、AH協(xié)議包B、IKE自動協(xié)商方式cookie,如果計算結果與ACK序列號相符，就可以確認發(fā)起連接請求的是一個真A、三層模式的防火墻可以完成包過濾、NAT、ALG、ASPF、攻擊防范等功能，且無需在防火墻上配置路由信息(需要)一次只能選擇其中一種模式D、對于防火墻而言，可以同時支持二層模式和三層模式，即一部分接口工作在開驗證A、直連模式組網(wǎng)網(wǎng)關可以對訪問流量進行全面的B、直連模式組網(wǎng)網(wǎng)關可能成為網(wǎng)絡的單點故障源C、旁路模式組網(wǎng)網(wǎng)關的處理能力會限制內(nèi)網(wǎng)訪問外網(wǎng)的性能錄IP地址確實是,且默認的用戶名和密碼是admin/admin,故C、D、Encrypt接口以下屬于公有地址范圍的是?A、-172.31.25D、可以根據(jù)報文傳輸?shù)姆较?包括上傳、下載和雙向)來靈活控制對哪個方向的A、在傳輸模式下，AH協(xié)議驗證IP報文的數(shù)據(jù)部分和IP報頭中的不變部分B、在隧道模式下，AH協(xié)議驗證全部的原始IP報文和封裝后新IP頭中的不變部分D、在隧道模式下，ESP協(xié)議對整個原始IP報文進行加密(可附加驗證)B、防火墻ACL包過濾在接口上應用的方向只能是outbound方向C、防火墻ACL包過濾在接口上應用的方向只能是inbound方向B、會話的創(chuàng)建時間A、IPSB、AV了SYSFlood攻擊C、默認情況下，系統(tǒng)將日志記錄在本地數(shù)據(jù)庫D、系統(tǒng)可以將日志發(fā)送給日志服務器，推薦使用userlog方式，效率更高。D、在隧道模式下，ESP協(xié)議對整個原始IP報文進C、一個ISP域被配置為缺省的Isp域后，將不能夠被刪除，必須首先使用命令undodomaindefauitenable將其修改為非缺省ISP域，然后才可以被刑除。D、一個Isp域被配置為缺省的ISP域后，可以直按通過命令undodomainnameA、開啟交換機動態(tài)MAC學習功能C、配置靜態(tài)MAC轉發(fā)表D、配置端口的MAC學習條目限制A、WEB接入A、CLD、融合UTM的對象策略態(tài)路由B、移動用戶接入總部網(wǎng)絡C、作為域線路的備份線路D、局域網(wǎng)內(nèi)建立加密通道170.基于ISP域的AAA實現(xiàn)有不進行AAA、本地AAA和遠程AAA,以下說法錯誤的B、不進行AAA無需在防火墻上進行多余配置C、遠程AAA配置本地用戶D、不進行AAA需要在防火墻上配置AAA實現(xiàn)方法為none171.下列攻擊中，屬于Dos拒絕服務玫擊的是：172.IPSec協(xié)議支持哪些封裝模式A、隧道模式C、路由模式D、傳輸模式A、二層接口和VLANA、PUT構180.關于H3C防火墻的安全域，以下說法正確的有B、不同安全區(qū)域優(yōu)先級一定不一樣C、防火墻自身所有接口都屬于local區(qū)域B、基于用啟IP地址的帶寬管理技術D、基于MAC地址的帶寬管理技術A、RSAA、設備將報文同時與特征庫中的病毒特征和MD、如果報文的應用層協(xié)議為防病毒功能所支持，則設備使用病毒特征庫中的病關于H3C防火墻，下列說法正確的是A、防火墻的安全策略只能在Web頁面下配置.B、文字。C、防火境的默認登錄IP地址是D、防火墻通過WEB登錄的默認用戶名/密碼是：admin/adminE、防火墻只能通過命令行方式升級版本硬件防火墻都基于專用的硬件平臺，下列關于防火墻硬件平臺的說法正確的是?A、NP是專門為網(wǎng)絡設備處理網(wǎng)絡流量而設計的處理器，以解決x86架構性能不架構不夠靈活的B、多核架構采用多核處理器，在同一個芯片上集成了多個獨立物理核心，每個核心都具有獨立的邏輯結構C、X86平臺使用的是共享總線的一種架構，參與的網(wǎng)卡數(shù)量越多，獲得的速率就越低，實際上不能應用在干兆防火墻上D、ASIC架構的芯片功能比較單一，ASIC靈活性和打展性也比較差，不能完成郵件過濾、病毒防護等比較復雜的功能VPN網(wǎng)絡設計的安全性原則包括?[Device-isp-test]authenticationdefC、配置的isp域的名字是test式A、CIDRD、Notes服務t下列關于衡量防火墻的性能指標說法正確的有206.H3c防火墻缺省的安全域包括答案：ABCDE以下屬于私有地址范圍的是?A、-172.31.255209.下列哪些攻擊手段是H3C防火墻可以防御的?A、[Device-luser-network-test]service-typC、[Device-luser-manage-test]D、網(wǎng)站域名A、DES218.3C防火墻缺省的安全域包括()D、配置SSLVPN訪問實例答案：BDD、接口的物理down229.在檢測到針對服務囂的SYNFlood攻擊行為后，防火墻應該可以支持選擇多A、單位時間內(nèi)客戶端發(fā)起的新建連接請求數(shù)超過指定閾值，則認為服務器遭受了SYSFlood攻擊B、通過對正常TCP新建連接的協(xié)商報文進行處理，修改報文的序列號并使C、客戶端發(fā)起的TCP半開連接請求超過指定閾od攻擊解析：如果問到連接代理技術的是?則選BD233.關于H3C防火墻的版本升級，下列說法正確的是?B、版本升級后無需重啟設備如下圖所示拓撲中作為LAC的PC可以撥通LNS,但是無法獲取地址，下列分析正確的是?A、檢查地址池配置是否正確D、檢查是否在VT下使用”remoteaddresspool“來給對方分配地址A、SSLVPN的使用可以減輕客戶端的維護工作B、SSL報文不能通過NAT進行正常的傳輸，需要進行額外的配置因為它基于Web瀏覽器，無需額外客戶端軟件。SSLVPN支持TCP為開啟Portal認證的接口的IP地址A、ftp數(shù)據(jù)連接和控制連接端口號不同，傳統(tǒng)nat會導致ftp功能異常B、nat只轉換IP地址和端口號，不解析應用層數(shù)據(jù)C、natalg可以解析應用層報文D、alg可以根據(jù)端口號識別協(xié)議類型并且解析應用層數(shù)據(jù)，進行完整的nat轉換248.L2TP建立隧道時使用的消息有249.當出現(xiàn)大量VPN需求時，可以引導那些產(chǎn)品?A、ip目的地址C、IP源地址D、用戶可以H3C網(wǎng)站上自助進行License激活申請保及時應對新威脅。同時，用戶可以在H3C網(wǎng)站上自助進行License激活申請，S不僅支持手動升級。A選項未提及是否需要重啟設備，且與題目核心考查點關D、思科VPN適用于動態(tài)變化的網(wǎng)絡環(huán)境，SSLVPN則通過SSL協(xié)議實現(xiàn)遠程安全訪問。這些都是H3C提供的VPN解決方案。而思科VPN是另一品牌的產(chǎn)品，不屬于H3C提供B、防火墻自身所有接口都屬于LocalC、不同安全域的優(yōu)先級一定不一樣下列關于SSLVPN的說法，的是：可以對傳輸?shù)臄?shù)據(jù)進行加密A、當報文命中會活表或關聯(lián)表后，則直接查找二三層轉發(fā)表項后轉發(fā)263.H3cSecPath防火墻的默認域間訪問控制策略是A、所有區(qū)域都可以訪問local區(qū)域B、屬于同一個安全域的各個接口之間的報文可以互訪D、安全域間的報文默認丟棄，包括同域之間解析：這道題考察的是H3cSecPath防火墻的默認域間訪問控制策略。在H3cSec