2023年HCNA安全試題題庫(kù)

1、客戶端A和服務(wù)器B之間建立TCP連接，再三次握手中，B往A發(fā)送的SYN+ACK

(seq=b,ack=a+l),下列說(shuō)法對(duì)的的有:

A、該數(shù)據(jù)包是對(duì)序號(hào)b的SYN數(shù)據(jù)包進(jìn)行確認(rèn)

B、該數(shù)據(jù)包是對(duì)序號(hào)a+1的SYN數(shù)據(jù)包進(jìn)行確認(rèn)

C、B下一個(gè)希望收到的ACK數(shù)據(jù)包的序號(hào)為b

D、B下一個(gè)希望收到的ACK數(shù)據(jù)包的序號(hào)為a+1

2、rulepermitipsource51表達(dá)的地址范圍是:

A、-55

B、2-3

C、1-4

D、2-4

3、下列關(guān)于防火墻分片緩存功能，說(shuō)法對(duì)的的有：(多選)

A、配置分片報(bào)文直接轉(zhuǎn)發(fā)功能后，防火墻不對(duì)分片報(bào)文進(jìn)行緩存

B、配置分片報(bào)文直接轉(zhuǎn)發(fā)功能后，對(duì)于不是首片報(bào)文的分片報(bào)文，防火墻將根據(jù)

域間包過(guò)濾策略進(jìn)行轉(zhuǎn)發(fā)

C、分片報(bào)文也會(huì)創(chuàng)建會(huì)話表，轉(zhuǎn)發(fā)時(shí)也會(huì)查找會(huì)話表

D、分片報(bào)文的非首片報(bào)文，由于沒(méi)有端標(biāo)語(yǔ)，所以分片報(bào)文直接轉(zhuǎn)發(fā)功能一般不

能用在NAT環(huán)境

4、下面哪個(gè)選項(xiàng)不屬于UTM(UnifiedTreatManagement)的功能？

A、IPS入侵防御

B、上網(wǎng)行為

C、終端安全管理

D、AV網(wǎng)關(guān)防病毒

5、終端安全系統(tǒng)重要由以下哪些組件組成：(多選)

A、防病毒服務(wù)器

B、SC控制服務(wù)器

C、準(zhǔn)入控制設(shè)備

D、SM管理服務(wù)轉(zhuǎn)

6、對(duì)稱加密算法的加密秘鑰和解密秘鑰均相同，非對(duì)稱加密算法的加密秘鑰和解密秘鑰均

不相同。Ipsec在業(yè)務(wù)數(shù)據(jù)加解密時(shí)使用的是對(duì)稱加密算法。-----T(true)

7、華為USG防火墻VRRPHELLO報(bào)文為組播報(bào)文，所以規(guī)定備份組中的各路由器必須可以

實(shí)現(xiàn)直接的二層互通。----------T(true)

8、在ARP地址解析時(shí)，ARPREPLY報(bào)文采用廣播的方式發(fā)送，同?個(gè)二層網(wǎng)絡(luò)上主機(jī)都可

以收到，并據(jù)此學(xué)習(xí)到IP和MAC地址相應(yīng)關(guān)系。........F(FALSE)

9、USG狀態(tài)檢測(cè)防火墻查看Session信息如下：

<USG>displayfirewallsessiontableverbose

Currenttotalsessions:!

IcmpVPN:public->public

Zone:trust->untrustSlot:8CPU:0TTL:00:00:20Left:00:00:19

Interface:GigabiEthernet即QNexthop:0

<-packets:134bytes:8040->packets:134bytes:804000:1280->

00:2048

根據(jù)上面的信息下面說(shuō)法對(duì)的的是：(多選)

A、Trust區(qū)域中主機(jī)00正在訪問(wèn)或者曾經(jīng)訪問(wèn)Untrust00

B、該報(bào)文時(shí)VPN報(bào)文

C、后續(xù)到達(dá)防火墻的報(bào)文，需要匹配會(huì)話表和防火墻安全策略

D、正向流量的出接II是GigabitEthernet^O/3

10>CA(CertificateAuthority)證書(shū)用于SSL通信連接建立時(shí),驗(yàn)證虛擬網(wǎng)關(guān)用戶的身份,

保存于設(shè)備側(cè)，由CA機(jī)構(gòu)頒發(fā)。-----------T

11、通過(guò)displayikesa看到的結(jié)果如下，說(shuō)法對(duì)的的是?(多選)

Currentikesanumber1

Connection-idpeervpnflagphasedoi

Oxlfl

ORDISTvl:1IPSEC0x6043dc4

Flagmeaning

RD—READYST—STAYALIVERL-REPLACEDFD-FADINGTO-TIMEOUT

A、第一階段ikesa已經(jīng)成功建立

B、第二階段ipsecsa已經(jīng)成功建立

C、Ike使川的版本是vl

D、Ike使用的版本是v2

12、關(guān)于L2Tp消息，說(shuō)法錯(cuò)誤的為：

A、L2Tp依附于P叩進(jìn)行賬戶認(rèn)證

B、控制消息只能用于隧道與會(huì)話連接的建立，維護(hù)以及傳輸控制

C、數(shù)據(jù)消息只能用于封裝PPP幀并在隧道上傳輸

D、控制消息和數(shù)據(jù)消息都可以提供流量控制和刷塞控制功能

13、以下哪種襲擊不屬于網(wǎng)絡(luò)層襲擊？

A、IP欺騙襲擊

B、Smurf襲擊

C、ARP欺騙襲擊

D、ICMP襲擊

14.VRRP(VirtualRouterRedundancyProtocol)中，主路由器定期向備份路由器發(fā)送通告

報(bào)文(HELLO),備份路由器則只負(fù)責(zé)監(jiān)聽(tīng)通告報(bào)文，不會(huì)進(jìn)行回應(yīng)。一一T

15、使用NAT技術(shù)，只可以對(duì)數(shù)據(jù)報(bào)文中的網(wǎng)絡(luò)層信息(IP地址)進(jìn)行轉(zhuǎn)換。…F

16>ASPF(ApplicationSpecificPacketFilter)是一種基于應(yīng)用層的包過(guò)濾，它檢查應(yīng)用層協(xié)

議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。ASPF通過(guò)ServerMap表實(shí)現(xiàn)了特殊的安全機(jī)制關(guān)

fASPF和Servermap表說(shuō)法對(duì)的的是？

A、ASPF監(jiān)視通信過(guò)程中的報(bào)文

B、ASPF動(dòng)態(tài)創(chuàng)建和刪除過(guò)濾規(guī)則

C、ASPF通過(guò)Servermap表實(shí)現(xiàn)動(dòng)態(tài)允許多通道協(xié)議數(shù)據(jù)通過(guò)

D、五元組Servermap表項(xiàng)實(shí)現(xiàn)了和會(huì)話表類似的功能

17、上網(wǎng)用戶管理的轉(zhuǎn)發(fā)流程中，上網(wǎng)用戶認(rèn)證只能發(fā)生在首包流程中，一旦用戶通過(guò)認(rèn)

證，設(shè)備建立session表，后續(xù)報(bào)文不需要反復(fù)進(jìn)行用戶認(rèn)證。------T

18、襲擊者通過(guò)發(fā)送ICMP應(yīng)答請(qǐng)求，并將請(qǐng)求包的目的地址設(shè)為受害網(wǎng)絡(luò)的廣播地址。

這種行為屬于哪一種襲擊？

A、IP欺騙襲擊

B、Smurf襲擊

C、ICMP重定向襲擊

D、SYNflood襲擊

19、以下哪個(gè)選項(xiàng)不屬于AES的秘鑰長(zhǎng)度？

A、64

B、128

C、192

D、256

20、基于會(huì)話的狀態(tài)監(jiān)測(cè)防火墻對(duì)于首包和后續(xù)包有不同的解決流程，下面描述對(duì)的的

是：（多選）

A、報(bào)文到達(dá)防火墻，會(huì)查找會(huì)話表，假如沒(méi)有匹配，防火墻進(jìn)行首包解決流程

B、報(bào)文到達(dá)防火墻，會(huì)查找會(huì)話表，假如匹配防火墻進(jìn)行后續(xù)包解決流程

C、在狀態(tài)檢查機(jī)制打開(kāi)的情況下，防火墻處TCP報(bào)文時(shí)候，只有SYN報(bào)文才干建

立會(huì)話

D、在狀態(tài)檢查機(jī)制打開(kāi)的情況下，后續(xù)和他需要進(jìn)行安全策略檢查

21、AH協(xié)議號(hào)是下面那個(gè)選項(xiàng)？

A、51

B、SO

C、52

D、49

22、AAA包含以下哪幾項(xiàng)：（多選）

A、Authentication認(rèn)證

B、Authentication授權(quán)

C、Accounting計(jì)費(fèi)

D、Audit審計(jì)

23、安全聯(lián)盟由三元組唯一標(biāo)記，以下哪一項(xiàng)不屬于安全聯(lián)盟的三元組？

A、安全協(xié)議號(hào)

B、源IP地址

C、目的IP地址

D、安全參數(shù)索引

24、一般的公司或組織中有時(shí)會(huì)存在這樣一類用戶，他們不是該公司員工，只是臨時(shí)到訪

該公司，需要借用該公司網(wǎng)絡(luò)上網(wǎng)，他們沒(méi)有屬于自己的賬號(hào)，無(wú)法進(jìn)行認(rèn)證，但設(shè)備要

對(duì)他們的網(wǎng)絡(luò)權(quán)限進(jìn)行控制。對(duì)于這類用戶，支持自動(dòng)為其創(chuàng)建相應(yīng)的臨M用戶，井使用

IP地址作為該用戶的用戶名。管理員在規(guī)劃用戶管理時(shí)，一般將這類用戶認(rèn)證劃分為：

A、免認(rèn)證

B、單點(diǎn)認(rèn)證

C、密碼認(rèn)證

D、臨時(shí)認(rèn)證

25、HRP會(huì)話快速備份時(shí)將主用設(shè)備相應(yīng)的狀態(tài)信息表項(xiàng)快速備份到備用設(shè)備，使返網(wǎng)報(bào)

文在備用設(shè)備上可以查找到相應(yīng)的狀態(tài)信息表項(xiàng)，從而保證內(nèi)外部用戶的業(yè)務(wù)不中斷?！璗

26、配置源NAT策略時(shí)，目的區(qū)域的配置可以用配置流量出接口信息來(lái)取代。--T

27、防火墻IPS協(xié)議辨認(rèn)功能對(duì)基于非標(biāo)準(zhǔn)端口的服務(wù)進(jìn)行辨認(rèn)，解決了使用非標(biāo)準(zhǔn)端口

的應(yīng)用服務(wù)報(bào)文的漏報(bào)和誤報(bào)問(wèn)題。-.....T

28、防火墻配置防病毒功能選擇過(guò)濾協(xié)議涉及以下哪幾項(xiàng)：（多選）

A、文獻(xiàn)傳輸協(xié)議

B、郵件協(xié)議

C、安全協(xié)議

D、共享協(xié)議

29、終端安全系統(tǒng)支持藍(lán)牙、SD卡等計(jì)算機(jī)外設(shè)的監(jiān)控功能，并支持配置嚴(yán)禁外部設(shè)備。

T

30、在USG產(chǎn)品的web配置界面中，在配置虛擬IP地址池時(shí)，虛擬IP地址范圍內(nèi)的IP地

址可認(rèn)為虛擬網(wǎng)關(guān)或接口的IP地址，也可認(rèn)為內(nèi)網(wǎng)存在的IP地址。F

32、防火墻雙機(jī)熱備配置中，HRP必須配置涉及：（多選）

A、啟用HRP備份功能hrpenable

B、啟用會(huì)話快速備份hrpmirrorsessionenable

C、指定心跳口hrpinterfaceinterface-typeinterface-number

D、搶占延遲時(shí)間hrppreempt[delayinterval]

33、如何查看安全策略的匹配次數(shù)：

A、displayfirewallsessiontable

B、displaysecuritypolicyall

C、displaysecuritypolicycount

D、countsecuritypolicyhit

34、ESP報(bào)文在哪種封裝模式下，可以實(shí)現(xiàn)對(duì)原IP頭數(shù)據(jù)的機(jī)密性：

A、傳輸模式

B、隧道模式

C、傳輸模式+隧道模式

D、加密模式

35、在IPSecVPN配置中假如使用pre-shared方式驗(yàn)證,可以選擇是否為對(duì)端配置秘鑰，

兩邊的秘鑰必須一致F

36、關(guān)于終端安全系統(tǒng)的部署方式描述錯(cuò)誤的是：

A、集中部署方式的重要特點(diǎn)是可以根據(jù)管理終端數(shù)目的多少，選擇SM、SC、數(shù)

據(jù)庫(kù)等組件來(lái)安裝在同一臺(tái)服務(wù)器上

B、終端相對(duì)集中在幾個(gè)區(qū)域，并且區(qū)域之間的帶寬比較小，建議采用分布式組網(wǎng)

C、終端規(guī)模相稱大時(shí)，可以考慮使用集中式部署組網(wǎng)，避免大量撞斷訪問(wèn)終端服

務(wù)器，占用大量的網(wǎng)絡(luò)帶寬

D、分布式部署時(shí)，終端安全安全代理選擇就近的控制服務(wù)器SC,獲得身份認(rèn)證和

準(zhǔn)入控制等各項(xiàng)業(yè)務(wù)

37、終端安全體系的五大要素不涉及以下哪一項(xiàng)：

A、身份認(rèn)證

B、業(yè)務(wù)隔離

C、安全認(rèn)證

D、業(yè)務(wù)授權(quán)

38、某公司在部署網(wǎng)絡(luò)邊界防火墻時(shí)，配置了NATServer源NAT,OSPF路由和相關(guān)安全策

略，數(shù)據(jù)到達(dá)該防火墻時(shí)，防火墻的解決順序?yàn)椋?/p>

A、OSPF路由一>安全策略-->源NAT->NATServer

B、安全策略-。源NAT->NATServer-->OSPF路由器

C、源NAT->OSPF路由一》安全策略一〉NATserver

D、NATServer->OSPF路由安全策略一〉源NAT

39、以下哪個(gè)問(wèn)題可以運(yùn)用IPsec-IKE野蠻模式進(jìn)行解決：（多選）

A、隧道兩端協(xié)商慢的問(wèn)題

B、協(xié)商過(guò)程中的安全性問(wèn)題

C、NAT穿越問(wèn)題

D、發(fā)起者源地址不擬定問(wèn)題

40、配置防火墻安全區(qū)域的安全級(jí)別時(shí)，描述錯(cuò)誤的是：

A、新建的安全區(qū)域，系統(tǒng)默認(rèn)其安全級(jí)別為1

B、只能為自定義的安全區(qū)域設(shè)定安全級(jí)別

C、安全級(jí)別一旦設(shè)定，不允許更改

D、同一系統(tǒng)中，兩個(gè)安全區(qū)域不允許配置相同的安全級(jí)別

41、關(guān)于NAT的說(shuō)法對(duì)的的是：

A、帶端II轉(zhuǎn)換的NAT可以通過(guò)配置NAT地址池來(lái)實(shí)現(xiàn)

B、NAT兼容目前所有的IPsec安全協(xié)議

C、由于FTP協(xié)議是多通道協(xié)議，所以不支持NAT

D、NAT支持TCP/IP二、三、四層進(jìn)行轉(zhuǎn)換

42、查看防火墻的HRP狀態(tài)信息如下：

HRP_S[USG_B]displayhrpstate

Thefirewall'sconfigstateis:Standby

Currentstateofvirtualroutersconfiguredasstandby

GigabitEthernetl/3/0vridl:standby

GigabitEthernetW/1vrid2:standby

以下描述對(duì)的的是：

A、此防火墻VGMP組狀態(tài)為Active

B、此防火墻G1A0和GW/1接口的VRRP組狀態(tài)為standby

C、此防火墻的HRP心跳線接口為GMW和GMV1

D、此防火墻一定是出于搶占狀態(tài)

43、防火墻IPS策略的署名過(guò)濾器之間存在優(yōu)先關(guān)系，在同一條IPS策略中，編號(hào)小的署名

過(guò)濾器比編號(hào)大的著名過(guò)濾器的優(yōu)先級(jí)高........F

44、狀態(tài)檢測(cè)防火墻使用會(huì)話表來(lái)追蹤激活的TCP會(huì)話和UDP會(huì)話，由防火墻安全策略決

定建立哪些會(huì)話，數(shù)據(jù)包只有與會(huì)話相關(guān)聯(lián)時(shí)才會(huì)被轉(zhuǎn)發(fā)一…-T

45、關(guān)于NAT配置中“easyIP”的說(shuō)法,下列描述對(duì)的的是:

A、easyIP不能再pat場(chǎng)景下

B、配置NAT策略直接轉(zhuǎn)換成出接口IP地址

C、easyip用于目的地址轉(zhuǎn)換的場(chǎng)景

D^easyip可以與address-group同時(shí)使用

46、ASPF技術(shù)使得防火墻可以支持如FTP等多通道協(xié)議，同時(shí)還可以對(duì)■復(fù):雜的應(yīng)用制訂相

應(yīng)的安全策略------------------T

47、反掩碼和子網(wǎng)掩碼格式相似，但取值含義不同，在反掩碼中，1表達(dá)相應(yīng)的IP地址位

需要比較，。表達(dá)相應(yīng)的IP地址位忽略比較-------------------F

48、下面關(guān)于SSL握手協(xié)議各階段中的內(nèi)容描述哪個(gè)是錯(cuò)誤的？

A、客戶端發(fā)送client_Hello消息，服務(wù)器端回應(yīng)Server_Hello消息

B、服務(wù)器端發(fā)送ServejHell。便等待客戶端發(fā)送的消息

C、服務(wù)器端收到服務(wù)器發(fā)送的一系列消息并消化后，發(fā)送ClientKeyExchange等消

息給服務(wù)器

D、客戶端和服務(wù)器各自發(fā)送ChangeCipherSpec和finished消息給對(duì)方

49、在USG系列防火墻Trust區(qū)域視圖下配置addinterfaceGigabitEthernetO/0/l后,

GigabitEthernetO/D/l不在屬于Local區(qū)域。..............F

50、適合出差人員在公網(wǎng)環(huán)境下接入公司內(nèi)網(wǎng)的VPN方式有：（多選）

A、GREVPN

B、L2TPVPN

C、SSLVPN

D、L2TPoverIpsec

51、入侵防御系統(tǒng)技術(shù)特點(diǎn)涉及：（多選）

A、在線模擬

B、實(shí)時(shí)阻斷

C、自學(xué)習(xí)及自適應(yīng)

D、直路部署

52、SVN產(chǎn)品網(wǎng)絡(luò)擴(kuò)展功能中，需要實(shí)現(xiàn)用戶只可以訪問(wèn)遠(yuǎn)端公司文內(nèi)網(wǎng)，不能訪問(wèn)本地

局域網(wǎng)和Internet,需要使用的客戶端路由方式為:

A、全路由模式(FullTunnel)

B、分離模式(SplitTunnel)

C、路由模式(RouteTunnel)

D、手動(dòng)模式(ManualTunnel)

53、Web重定向密碼認(rèn)證功能，只有用戶進(jìn)行目的端口是80的HTTP業(yè)務(wù)訪問(wèn)時(shí)，系統(tǒng)才

支持“重定向”到認(rèn)證頁(yè)面，進(jìn)行會(huì)話認(rèn)證。-----------------F

54、針對(duì)MAC地址欺騙襲擊的描述錯(cuò)誤的是：

A、MAC地址欺騙襲擊重要運(yùn)用了互換機(jī)Mac地址學(xué)習(xí)機(jī)制

B、襲擊者可以通過(guò)偽造的源Mac地址數(shù)據(jù)幀發(fā)送給互換機(jī)來(lái)實(shí)行MAC地址欺騙

襲擊

C、MAC地址欺騙襲擊會(huì)導(dǎo)致互換機(jī)學(xué)習(xí)到錯(cuò)誤的MAC地址與IP地址的映射關(guān)系

D、MAC地址欺騙襲擊會(huì)導(dǎo)致互換機(jī)要發(fā)送到有的目的地址的數(shù)據(jù)被發(fā)送給了襲擊

者

55＞在GRE配置環(huán)境下，Tunnel接口模式下,Destination地址一般是指:

A、本Tunnel接口IP地址

B、本端外網(wǎng)出口IP地址

C、對(duì)端外網(wǎng)接口IP地址

D、對(duì)Tunnel接口IP地址

56、SSLVPN可以通過(guò)如下哪些方式對(duì)用戶進(jìn)行訪問(wèn)權(quán)限控制：(多選)

A、IP

B、MAC

C、PORT

D、URL

57、在USG系列防火墻中，使用非知名端口提供知名應(yīng)用服務(wù)器時(shí)，可采用以下哪種技

術(shù):

A、端口映射

B、MAC與IP地址綁定

C、包過(guò)濾

D、長(zhǎng)連接

58、以下哪個(gè)選項(xiàng)不屬于AH可以實(shí)現(xiàn)的特性？

A、抗防重放

B、數(shù)據(jù)源認(rèn)證

C、機(jī)密性

D、數(shù)據(jù)完整性檢查

59、比較典型的遠(yuǎn)端認(rèn)證方式有：(多選)

A、RADIUS

B、Local

C、HWTACACS

D、LLDP

60、以下哪個(gè)選項(xiàng)不屬于內(nèi)網(wǎng)安全威脅？

A、存儲(chǔ)介質(zhì)濫用

B、信息資產(chǎn)泄密

C、未授權(quán)訪問(wèn)

D、間諜軟件

61、IKE協(xié)議可認(rèn)為Ipsec提供自動(dòng)協(xié)商互換秘鑰、建立安全聯(lián)盟的服務(wù)器，以簡(jiǎn)化Ipsec

的使用和管理...........................T

62、防火墻網(wǎng)關(guān)防病毒響應(yīng)方式涉及告警和阻斷，其中告警方式設(shè)備只產(chǎn)生日記，不對(duì)

HTTP協(xié)議傳輸?shù)奈墨I(xiàn)進(jìn)行解決就發(fā)送出去，阻斷方式設(shè)備斷開(kāi)與HTTP服務(wù)器的連接并阻

斷文獻(xiàn)，向客戶推送WEB頁(yè)面并產(chǎn)生日記------------------T

63、HRP(HuaweiRedundancyProtocol)協(xié)議，用來(lái)將主防火墻關(guān)鍵配置和連接狀態(tài)等數(shù)

據(jù)向備防火堵上同步，以下哪個(gè)選項(xiàng)不屬于同步的范圍?

A、安全策略

B、NAT策略

C、黑名單

D、IPS著名集

64、積極襲擊最大特點(diǎn)是對(duì)信息進(jìn)行偵聽(tīng)，以獲取機(jī)密信息，而對(duì)數(shù)據(jù)的擁有者或合法用

戶來(lái)說(shuō)對(duì)此類活動(dòng)無(wú)法得知----------------------F

65、以下哪個(gè)選項(xiàng)屬于非對(duì)稱加密算法？

A、RC4

B、3DES

C、AES

D、DH

66、如下安全策略的命令，代表的含義是：

#

Security-policy

Rulenamerulel

Source-zonetrust

Destination-zoneuntrust

Source-address55

Serviceicmp

Actiondeny

#

A、嚴(yán)禁從trust區(qū)域訪問(wèn)untrust區(qū)域且目的地址為0主機(jī)的ICMP報(bào)文

B、嚴(yán)禁從trust區(qū)域訪問(wèn)untrust區(qū)域且目的地址為/16網(wǎng)段的所有主機(jī)ICMP

報(bào)文

C、嚴(yán)禁從trust區(qū)域訪問(wèn)untrust區(qū)域且源地址為/16網(wǎng)段的所有主機(jī)ICN1P報(bào)

文

D、嚴(yán)禁從trust區(qū)域訪問(wèn)untrust區(qū)域且源地址為0主機(jī)來(lái)的所有主機(jī)ICMP

報(bào)文

67、防火墻配置了IPS策略后，需要把該策略應(yīng)用到域內(nèi)或域間后IPS功能才生效。一T

68、配置防火墻域間安全策略時(shí)，假如把192.168O0A4網(wǎng)段設(shè)立為匹配對(duì)象，則以下配

置對(duì)的的是：（多選）

A、rulenamepolicy1source-addressmask

B、rulenamepolicy1source-address

C、rulenamepolicy1source-addressmask55

D、rulenamepolicy1source-address55

69、非對(duì)稱算法比時(shí)稱算法加密強(qiáng)度更強(qiáng)，由于非對(duì)稱算法秘鑰長(zhǎng)度更長(zhǎng)……F

70、在USG防火墻用戶管理功能中Web重定向密碼認(rèn)證功能，用戶不積極進(jìn)行認(rèn)證，進(jìn)

行業(yè)務(wù)訪問(wèn)，設(shè)備推送“重定向”到認(rèn)證頁(yè)面........-...............T

71、包過(guò)濾防火墻的重要特點(diǎn)涉及：（多選）

A、隨著ACL復(fù)雜度和長(zhǎng)度的增長(zhǎng)，防火墻過(guò)濾性能呈指數(shù)卜.降趨勢(shì)

B、靜態(tài)的ACL規(guī)則難以使用動(dòng)態(tài)的安全過(guò)渡規(guī)定

C、不檢查會(huì)話狀態(tài)也不分析數(shù)據(jù)，這很容易讓黑客蒙混過(guò)關(guān)

D、可以完全控制網(wǎng)絡(luò)信息的互換，控制會(huì)話過(guò)程，具有較高的安全性

72、在防火墻轉(zhuǎn)發(fā)流程中，會(huì)先進(jìn)行安全配置文獻(xiàn)的比對(duì)，在進(jìn)行安全策略的檢查----F

73、以下哪些SSLVPN業(yè)務(wù)功能會(huì)使用到控件：（多選）

A、Web改寫(xiě)

B、文獻(xiàn)共享

C、端口轉(zhuǎn)發(fā)

D、網(wǎng)絡(luò)擴(kuò)展

74、SSLVPN中文獻(xiàn)共享應(yīng)用在使用過(guò)程需輸入用戶名、密碼和域信息，為了不想輸入用戶

名密碼，可以在文獻(xiàn)共享服務(wù)器上設(shè)立權(quán)限---------------T

75、AH可以提供以下哪些安全功能：（多選）

A、數(shù)據(jù)源驗(yàn)證

B、數(shù)據(jù)機(jī)密性

C、數(shù)據(jù)完整性校驗(yàn)

D、抗重放

76、下列關(guān)于終端安全功能區(qū)域說(shuō)法錯(cuò)誤的是：

A、認(rèn)證前域是指客戶端通過(guò)身份認(rèn)證前所能訪問(wèn)的區(qū)域

B、認(rèn)證后域是指客戶端通過(guò)安全認(rèn)證后所能訪問(wèn)的區(qū)域

C、隔離域是指客戶端通過(guò)身份認(rèn)證后所必須訪問(wèn)的區(qū)域

D、隔離域是指客戶端安全認(rèn)證失敗時(shí)所需訪問(wèn)的區(qū)域

77、安全接入控制網(wǎng)關(guān)（SecurityAccessControlGateway,簡(jiǎn)稱SACG）的重要功能是控制

終端的網(wǎng)絡(luò)訪問(wèn)權(quán)限，對(duì)不同的用戶和不同安全狀況的用戶開(kāi)放不同的權(quán)限---------T

78、終端安全準(zhǔn)入控制可以支持以下哪些：（多選）

A、硬件SACG（硬件安全接入控制網(wǎng)關(guān)）

B、802.1X

C、ARP控制

D、軟件5ACG（土機(jī)防火墻）

79、USG防火墻支持的NAT功能涉及：（多選）

A、可以指定同一地址池中某一部分地址進(jìn)行端口轉(zhuǎn)換，另一部分地址不進(jìn)行端口

轉(zhuǎn)換

B、基于H的地址轉(zhuǎn)換的NATServer

C、基于源地址轉(zhuǎn)換的NATServer

D、配置源NAT時(shí)，可直接使用出接口地址作為轉(zhuǎn)換后的地址

80、TCP/IP協(xié)議棧數(shù)據(jù)包封裝涉及以卜.部分，封裝順序?qū)Φ牡氖牵?/p>

1、DATA

2、TCP/UDP

3、MAC

4、IP

5、APP

A、l->5->4->2->3

B、l->4->2->3->5

C、l->5->2->4->3

D、l->5->2->3->4

81、網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT)與僅轉(zhuǎn)換網(wǎng)絡(luò)地址(NG-PAT)有什么區(qū)別：

A、通過(guò)NAPT轉(zhuǎn)換后，對(duì)于外網(wǎng)用戶，所有報(bào)文都來(lái)自同一個(gè)IP地址或某幾個(gè)IP

地址

B、No-PAT只支持傳輸層的協(xié)議端口轉(zhuǎn)換

C、NAPT只支持網(wǎng)絡(luò)層的協(xié)議地址轉(zhuǎn)換

D、No-PAT支持網(wǎng)絡(luò)層的協(xié)議地址轉(zhuǎn)換

82、管理員希望創(chuàng)建Web配置管理員，并設(shè)Https設(shè)備管理端標(biāo)語(yǔ)為20230,且設(shè)立管理

員為管理員級(jí)別，下面命令對(duì)的的是：

A、Step1：web-managersecurityenableport20230

Step2：AAAView[USG]aaa

(USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]level15

[USG-aaa-manager-client001]passwordcipherAdmin@123

B、Step1：web-managersecurityenableport20230

Step2：AAAView[USGjaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]passwordcipherAdmin(g)123

C、Step1：web-managersecurityenableport20230

Step2：AAAView[USGJaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]passwordcipher

D、Step1：web-managersecurityenableport20230

Step2：AAAView[USGJaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]level1

[USG-aaa-manager-client001]passwordcipherAdmin@123

83、下列TCP/IP協(xié)議棧中的協(xié)議，工作在應(yīng)用層的有:

A、ARP

B、IGMP

C、TELNET

D、ICMP

84、ESP協(xié)議是下面那個(gè)選項(xiàng)？

A、51

B、50

C、52

D、49

8S、入侵檢測(cè)的內(nèi)容涵蓋授權(quán)的和非授權(quán)的各種入侵行為，例如，違反安全策略行為、冒

充其他用戶、泄露系統(tǒng)資源、惡意行為、非法訪問(wèn)，以及授權(quán)者濫用權(quán)力等。--T

86、USG系列防火墻自定義安全域的安全級(jí)別可設(shè)立以下哪些值：（多選）

A、150

B、100

C、80

D、40

87、進(jìn)行源NAT配置時(shí)，再有no-pat配置參數(shù)的情況下，以下哪些說(shuō)明是錯(cuò)誤的：（多

選）

A、只進(jìn)行源IP地址轉(zhuǎn)換

B、只進(jìn)行目的IP地址轉(zhuǎn)換

C、同時(shí)進(jìn)行源IP地址和端口轉(zhuǎn)換

D、進(jìn)行目的IP地址和目的端口轉(zhuǎn)換

88、狀態(tài)檢查防火墻后續(xù)數(shù)據(jù)包（非首包）轉(zhuǎn)發(fā)重要依據(jù)以下哪一項(xiàng)：

A、Rout表

B、MAC地址表

C、Session表

D、FIB表

89、USG防火墻中用戶認(rèn)證的分類有：（多選）

A、免認(rèn)證

B、密碼認(rèn)證

C、單點(diǎn)登錄

D、指紋認(rèn)證

90、在防火墻域間安全策略中，以下哪一項(xiàng)的數(shù)據(jù)流不是Outbound方向：

A、從DMZ區(qū)域到Untrust區(qū)域的數(shù)據(jù)流

B、從Trust區(qū)域到DMZ區(qū)域的數(shù)據(jù)流

C、從Trust區(qū)域到Untrust區(qū)域的數(shù)據(jù)流

D、從Trust區(qū)域到Local區(qū)域的數(shù)據(jù)流

91、在當(dāng)前網(wǎng)絡(luò)中依據(jù)部署了其他的身份認(rèn)證系統(tǒng)，設(shè)備通過(guò)啟用單點(diǎn)登錄功能，減少用

戶反復(fù)輸入密碼。關(guān)于單點(diǎn)登錄舒適對(duì)的的是：（多選）

A、設(shè)備可以辨認(rèn)出通過(guò)這些身份認(rèn)證系統(tǒng)認(rèn)證通過(guò)的用戶，用戶上網(wǎng)時(shí)，設(shè)備將

不推送認(rèn)證頁(yè)面，避免再次規(guī)定輸入用戶名/密碼

B、AD域單點(diǎn)登錄只有一種部署模式

C、雖然不需要輸入用戶名密碼，但是認(rèn)證服務(wù)器需要將密碼和設(shè)備進(jìn)行交互，用

來(lái)保證認(rèn)證通過(guò)

D、AD域單點(diǎn)登錄可采用鏡像登錄數(shù)據(jù)流的方式通過(guò)到防火墻

92、終端安全系統(tǒng)的共享目錄檢查安全策略涉及以下哪些方面內(nèi)容：

A、共享文獻(xiàn)大小檢查，對(duì)于大文獻(xiàn)不允許共享

B、共享賬號(hào)名稱（用戶或者用戶組）檢查

C、違規(guī)共享權(quán)限檢查

D、提供自動(dòng)修復(fù)功能，刪除違規(guī)共享

93、要實(shí)現(xiàn)NATALG功能，以下哪項(xiàng)配置是對(duì)的的：

A、natalgprotocl

B、algprotocl

C、natprotocl

D、detectprotocl

94、對(duì)于防火墻域間轉(zhuǎn)發(fā)的訪問(wèn)控制流程：

1、查找路由表

2、查找域間包過(guò)濾規(guī)則

3、查找會(huì)話表

4、查找黑名單

對(duì)的的順序?yàn)椋?/p>

As1-3-2-4

B、3-2-1-4

C、3-4-1-2

D、4-3-1-2

95、在IKEvl協(xié)商第一階段中，以下哪個(gè)IKE互換模式不能提供身份保護(hù)功能：

A、主模式

B、野蠻模式

C、快速模式

D、被動(dòng)模式

96＞以下哪一項(xiàng)應(yīng)用不需要端口轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)？

A、telnet

B、FTP

C、windows遠(yuǎn)程桌面

D、HTTP

97、下列關(guān)于網(wǎng)關(guān)防病毒檢查到病毒后的響應(yīng)動(dòng)作，涉及：（多選）

A、告警

B、阻斷

C、宣告

D、刪除附件

98、在USG系列防火墻中，以下哪種說(shuō)法是對(duì)的的：

A、時(shí)延是指數(shù)據(jù)包的第一個(gè)比特進(jìn)入防火墻到第一個(gè)比特輸出防火墻的時(shí)間間隔

指標(biāo)，是用于測(cè)量防火墻解決數(shù)據(jù)的速度抱負(fù)的情況

B、最大并發(fā)連接數(shù)指每秒鐘可以通過(guò)防火墻建立起來(lái)的完整TCP/UDP連接

C、假如USG防火墻以太網(wǎng)接口采用二層模式，則只需在網(wǎng)絡(luò)中像網(wǎng)橋同樣接入即

可，無(wú)需修改本來(lái)的結(jié)構(gòu)及配置

D、USG防火墻以太網(wǎng)接口采用三層模式時(shí)，沒(méi)有ACL包過(guò)濾、ASPF動(dòng)態(tài)過(guò)濾、

NAT轉(zhuǎn)換功能

99、長(zhǎng)連接可以對(duì)待特定的TCP、UDP數(shù)據(jù)流設(shè)立超長(zhǎng)老化時(shí)間，保證會(huì)話信息長(zhǎng)時(shí)間不

被老化----------------F

100＞在L2Tp的配置中，對(duì)于TunelName,說(shuō)法對(duì)的的是：（多選）

A、用來(lái)指定本端的隧道名稱

B、用來(lái)指定對(duì)端的隧道名稱

C、必須和對(duì)端的TunnelName配置一致

D、假如不配置TunnelName,則隧道名稱為本地系統(tǒng)名稱

101.安全聯(lián)盟（SA）是由哪些元組組成進(jìn)行唯一標(biāo)記：（多選）

A、SPI

B、源IP地址

C、目的IP地址

D、安全協(xié)議號(hào)

102、SSLVPN業(yè)務(wù)功能涉及：（多選）

A、Web代理

B、網(wǎng)絡(luò)擴(kuò)展

C、端口共享

D、文獻(xiàn)共享

103、地址轉(zhuǎn)換技術(shù)的優(yōu)點(diǎn)涉及：（多選）

A、地址轉(zhuǎn)換可以使內(nèi)部網(wǎng)絡(luò)用戶（私有IP地址）方便訪問(wèn)Internet

B、地址轉(zhuǎn)換可以使內(nèi)部局域網(wǎng)的許多主機(jī)共享一個(gè)IP地址上網(wǎng)

C、地址轉(zhuǎn)換能解決IP報(bào)頭加密的情況

D、地址轉(zhuǎn)換可以屏蔽內(nèi)部網(wǎng)絡(luò)的用戶，提高內(nèi)部網(wǎng)絡(luò)的安全性

104、在配置NAT過(guò)程中，以下哪些情況，設(shè)備會(huì)生成Server-map表項(xiàng)：（多選）

A、配置源NAT時(shí)自動(dòng)生成server-map表項(xiàng)

B、配置NATserver成功后，設(shè)備會(huì)自動(dòng)生成靜態(tài)server-map表項(xiàng)

C、配置easy-ip時(shí)會(huì)生成server-map

D、配置NATNo-pat后，設(shè)備會(huì)為所配置的多通道協(xié)議數(shù)據(jù)流建立server-表項(xiàng)

105、卜.面哪個(gè)選項(xiàng)不屬于終端安全系統(tǒng)區(qū)域？

A、認(rèn)證前域

B、認(rèn)證后域

C、安全域

D、隔離域

106.關(guān)于斷開(kāi)TCP連接四次握手描述錯(cuò)誤的是：

A、積極關(guān)閉方發(fā)送第一個(gè)FIN執(zhí)行積極關(guān)閉，而另一方收到這個(gè)FIN執(zhí)行被動(dòng)關(guān)

閉

B、當(dāng)被動(dòng)關(guān)閉方收到第一個(gè)FIN,它將發(fā)回一個(gè)ACK,并隨機(jī)產(chǎn)生確認(rèn)序號(hào)

C、被動(dòng)關(guān)閉方需要向應(yīng)用程序傳送一個(gè)文獻(xiàn)結(jié)束符，應(yīng)用程序就關(guān)閉它的連接，

并導(dǎo)致發(fā)送?個(gè)FIN

D、在被動(dòng)關(guān)閉方發(fā)送FIN后，積極關(guān)閉方必須發(fā)回一個(gè)確認(rèn)，并將確認(rèn)序號(hào)設(shè)立

為收到的序號(hào)加1

107>USG系列防火墻Untrust區(qū)域的安全級(jí)別是多少：

A、5

B、10

C、15

D、50

108、關(guān)于終端安全系統(tǒng)的檢查打印機(jī)共享安全策略描述對(duì)的的是：（多選）

A、檢查打印機(jī)共享目的是檢直安全在本地的打印機(jī)是否共享給其別人使用及使用

權(quán)限

B、不提供自動(dòng)修復(fù)功能，需要手動(dòng)修復(fù)

C、可以設(shè)定檢查打印機(jī)共享的周期

D、檢查的內(nèi)容涉及是否啟動(dòng)打印機(jī)共享、打印權(quán)限共享給哪些賬號(hào)、打印機(jī)共享

的權(quán)限

109、通過(guò)displayikeproposal命令看到的結(jié)果如下，以下說(shuō)法對(duì)的的是？（多選）

PriorityauthenticationauthenticationencryptionDiffie-Hellmanduration

Methodalgorithmalgorithmgroup

（seconds）

DefaultPRESHAREDSHADESCBCMODP768

86400

A、認(rèn)證算法是SHA

B、加密算法是DES

C、DHgroup使用的是group2

D、使用是野蠻模式

110、針對(duì)入侵檢測(cè)系統(tǒng)描述錯(cuò)誤的是：

A、入侵檢測(cè)系統(tǒng)可以通過(guò)網(wǎng)絡(luò)和計(jì)算機(jī)動(dòng)態(tài)地搜索大量關(guān)鍵信息資料，并能及時(shí)

分析和判斷整個(gè)系統(tǒng)的FI前狀態(tài)

B、入侵檢測(cè)系統(tǒng)一旦發(fā)現(xiàn)有違反安全策略的行為或系統(tǒng)存在被襲擊的痕跡等，可

以實(shí)行阻斷操作

C、入侵檢測(cè)系統(tǒng)涉及用于入侵檢測(cè)的所有軟硬件系統(tǒng)

D、入侵檢測(cè)系統(tǒng)可與防火墻、互換機(jī)進(jìn)行聯(lián)動(dòng)，成為防火墻的得力“助手”，更

好、更精確的控制外域間地訪問(wèn)

111、如圖所示，防火墻上配置了natserverglobalinside10.10.1.1,以下針對(duì)域

間規(guī)則，配置對(duì)的的是：

A、security-policy

rulenamea

source-zoneuntrust

destination-zonetrust

source-address32

actionpermit

B、rulenameb

source-zoneuntrust

destination-zonetrust

source-address32

actionpermit

C、rulenamec

source-zoneuntrust

destination-zonetrust

destination-address32

actionpermit

D、rulenamed

source-zoneuntrust

destination-zonetrust

destination-address32

actionpermit

112、終端安全系統(tǒng)的操作系統(tǒng)補(bǔ)丁等級(jí)不涉及：

A、關(guān)鍵

B、重要

C、中

D、局

113、IPsec中隧道模式下，ESP對(duì)哪個(gè)字段不做驗(yàn)證:

A、原IP報(bào)文頭

B、新IP報(bào)文頭

C、TCP報(bào)文頭

D、應(yīng)用層數(shù)據(jù)

114、TCP/IPv4版本，存在的安全隱患有：（多選）

A、缺少數(shù)據(jù)源驗(yàn)證機(jī)制

B、缺少對(duì)數(shù)據(jù)包的確認(rèn)機(jī)制

C、缺少對(duì)數(shù)據(jù)完整性的驗(yàn)證機(jī)制

D、缺少機(jī)密性保獐機(jī)制

115、查詢NAT轉(zhuǎn)換結(jié)果的命令是：

A、displaynattranslation

B、displayfirewallsessiontable

C、displaycurrentnat

D、displayFirewallsnattranslation

116、OSI模型中哪一層可以解決數(shù)據(jù)格式和數(shù)據(jù)加密？

A、應(yīng)用層

B、表達(dá)層

CN會(huì)話層

D、傳輸層

117、USG產(chǎn)品共享型虛擬網(wǎng)關(guān)，可以通過(guò)IP,域名兩種方式訪問(wèn)------F

118、在華為防火墻用戶管理中，提成哪幾種用戶管理（多選）

A、上網(wǎng)用戶管理

B、接入用戶管理

C、管理員用戶管理

D、設(shè)備用戶管理

119、SSL與IPS安全協(xié)議同樣，提供加密和身份驗(yàn)證。但是SSL協(xié)議只對(duì)通信雙方傳輸?shù)?/p>

應(yīng)用數(shù)據(jù)進(jìn)行加密，而不是對(duì)從一個(gè)主機(jī)到另一個(gè)主機(jī)的所有數(shù)據(jù)進(jìn)行加密（如TCP/P和

應(yīng)用層協(xié)議）------------------T

120、上網(wǎng)用戶單點(diǎn)登錄功能，用戶直接向AD服務(wù)器認(rèn)證，設(shè)備不干涉用戶認(rèn)證工程，AD

監(jiān)控服務(wù)器需要部署在USG設(shè)備中，監(jiān)控AD服務(wù)器的認(rèn)證信息。F

121.SVN產(chǎn)品網(wǎng)絡(luò)擴(kuò)展功能中，需要實(shí)現(xiàn)用戶既可以訪問(wèn)遠(yuǎn)端公司內(nèi)網(wǎng)和本地局域網(wǎng)，又

能訪問(wèn)Internet,需要使用的客戶端路由方式為：

A、全路由模式(FullTunnel)

B、分離模式(SplitTunnel)

C、路由模式(routeTunnel)

D、手動(dòng)模式(ManualTunnel)

122、USG防火墻高級(jí)ACL可以通過(guò)多個(gè)維度進(jìn)行流量匹配，以下哪個(gè)選項(xiàng)不屬于高級(jí)ACL

的匹配范圍：

A、源IP

B、目的IP

C、源MAC

D、目的端U

123、在GRE配置環(huán)境下，以下哪些說(shuō)法是對(duì)的的：(多選)

A、為使隧道兩端正常轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文，兩端設(shè)備均配置通過(guò)Tunnel接II的路由

B、如兩端同事啟用關(guān)鍵字驗(yàn)證配置，則關(guān)鍵字需一致

C、本端設(shè)備發(fā)送數(shù)據(jù)報(bào)文M，通過(guò)辨認(rèn)IP報(bào)頭的協(xié)議字段值為GRE來(lái)決定是否把

數(shù)據(jù)包遞交給GRE協(xié)議模塊進(jìn)行解決

D、對(duì)端設(shè)備收到數(shù)據(jù)報(bào)文時(shí)，通過(guò)辨認(rèn)IP報(bào)頭的協(xié)議字段值為GRE來(lái)決定是否把

數(shù)據(jù)包遞交給GRE協(xié)議模塊進(jìn)行解決

124、USG系統(tǒng)防火墻IP-Ink功能重要應(yīng)用在以下哪些場(chǎng)景：

A、鏈路聚合

B、靜態(tài)路由

C、雙機(jī)熱備

D、長(zhǎng)連接

125、HRPA[USG]displayvrrpinterfaceGigabitEthernetW/l

GigabitEthernel/D/lIVirtualRouter1

VRRPGroup：Active

State：Active

VirtuallP：

VirtualMAC：0000-5e00-0101

PrimaryIP：20238.10.2

PrimaryRun：100

PrimarConfig：100

MasterPriority：100

Preempt：YESDelayTime：10

防火墻上執(zhí)行命令并顯示以上信息，下述描述對(duì)的的是：(多選)

A、此防火墻的VGMP組狀態(tài)為Active

B、此防火墻GW/1接I」的虛擬IP地址為

C、此防火墻VRID為1的VRRP備份組的優(yōu)先級(jí)為100

D、當(dāng)主用設(shè)備發(fā)生故障時(shí)將不會(huì)切換

126、防火增雙機(jī)熱備配置中啟用允許配置備用設(shè)備功能hrpstandbyconfigenable后,所有

可以備份的信息都可以直接在備用設(shè)備.卜.進(jìn)行配置，且備用設(shè)備上的配置可以同步到上用

設(shè)備。---------T

127、SSL是一個(gè)安全協(xié)議，為基于TCP的應(yīng)用層協(xié)議提供安全連接，SSL介于TCP/IP協(xié)議

棧第四層和第五層之間。SSL可認(rèn)為HTTP(HypertextTransferProtocol)協(xié)議提供安全連接

-T

128.以下屬于加密算法的是：

A、DES

B、3DES

C、SHA-1

D、MD5

129、在IPSECVPN中，隧道模式重要應(yīng)用在以下哪個(gè)場(chǎng)景中:

A、主機(jī)與主機(jī)之間

B、主機(jī)與安全網(wǎng)關(guān)之間

C、安全網(wǎng)關(guān)之間

D、隧道模式與傳輸模式之間

130、下列關(guān)于NAT地址轉(zhuǎn)換的說(shuō)法中哪個(gè)是錯(cuò)誤的？

A、地址轉(zhuǎn)換技術(shù)可以有效隱藏局域網(wǎng)內(nèi)的主機(jī)，是一種有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)

B、地址轉(zhuǎn)換可以按照用戶的需要，在局域網(wǎng)內(nèi)向提供FTP、WWW、Telnet等服務(wù)

C、有些應(yīng)用層協(xié)議在數(shù)據(jù)中攜帶IP地址信息，對(duì)它們作NAT時(shí)還要修改上層數(shù)據(jù)

中的IP地址信息

D、對(duì)于某些非TCP、UDP的協(xié)議（如ICMP、PPP）,無(wú)法做NAT轉(zhuǎn)換

131、關(guān)于USG系列安全防火墻的默認(rèn)安全區(qū)域，下列說(shuō)法對(duì)的的是：

A、默認(rèn)安全區(qū)域可以刪除

B、默認(rèn)安全區(qū)域可以修改安全級(jí)別

C、默認(rèn)安全區(qū)域不能刪除，但是可以修改安全級(jí)別

D、默認(rèn)安全區(qū)域有4個(gè)

132、防火墻所有類型的訪問(wèn)控制列表都支持對(duì)數(shù)據(jù)包的IP五元組進(jìn)行訪問(wèn)控制-----F

133、終端安全系統(tǒng)的操作系統(tǒng)補(bǔ)丁違規(guī)等級(jí)涉及：（多選）

A、低

B、重要

C、嚴(yán)重

D、一般

134、在防火墻做雙機(jī)熱備組網(wǎng)時(shí)，為實(shí)現(xiàn)備份組整體狀態(tài)切換，需要使用以下哪個(gè)協(xié)議技

術(shù)：

A、VRRP

B、VGMP

C、HRP

D、OSPF

135.下列哪些地址可以用于USG產(chǎn)品的web管理地址（多選）

A、接口地址

B、子接口地址

C、接口的從IP地址

D、AUX接口地址

136、ACL2999s屬于（）：

A、基本訪問(wèn)控制列表

B、高級(jí)訪問(wèn)控制列表

C、基于MAC地址訪問(wèn)控制列表

D、基于時(shí)間段訪問(wèn)控制列表

137、下面關(guān)于TCP/IP協(xié)議棧數(shù)據(jù)包解封裝描述對(duì)的的是：（多選）

A、數(shù)據(jù)報(bào)文先傳送至數(shù)據(jù)鏈路層，通過(guò)解析后數(shù)據(jù)鏈路層信息被剝離，并根據(jù)解

析信息知道網(wǎng)絡(luò)層信息，比如為IP

B、傳輸層（TCP）接受數(shù)據(jù)報(bào)文后，通過(guò)解析后傳輸層信息被剝離，并根據(jù)解析信

息知道上層解決協(xié)議，比如UDP

C、網(wǎng)絡(luò)層接受數(shù)據(jù)報(bào)文后，通過(guò)解析后網(wǎng)絡(luò)層信息被剝離，并根據(jù)接卸信息知道

上層解決協(xié)議，比如HTTP

D、應(yīng)用層接受到數(shù)據(jù)報(bào)文后，通過(guò)解析后應(yīng)用層信息被剝離，最終展示的用戶數(shù)

據(jù)與發(fā)送方主機(jī)發(fā)送的數(shù)據(jù)完全相同

138.關(guān)于上網(wǎng)用戶組管理說(shuō)法錯(cuò)誤的是：

A、每個(gè)用戶組可以涉及多個(gè)用戶和用戶組

B、每個(gè)用戶組可以屬于多個(gè)父用戶組

C、系統(tǒng)默認(rèn)有一個(gè)default用戶組，該用戶組同時(shí)也是系統(tǒng)默認(rèn)認(rèn)證域

D、每個(gè)用戶組至少屬于一個(gè)用戶組，也可以屬于多個(gè)用戶組

139、IPsec安全聯(lián)盟（SA）是雙向的，通過(guò)安全聯(lián)盟可實(shí)現(xiàn)對(duì)兩個(gè)方向的數(shù)據(jù)流進(jìn)行安全

保護(hù).............................F

140、以下對(duì)于AH和ESP的說(shuō)法偌誤的是：

A、AH可以聽(tīng)數(shù)據(jù)完整性校驗(yàn)和加密

B、隧道模式下，AH對(duì)新的IP頭也要驗(yàn)證，所以AH無(wú)法應(yīng)用在IpsecVPN中間有

nat轉(zhuǎn)換的情況

C、AH可以提供ESP除了數(shù)據(jù)加密外的所有功能

D、隧道模式下，ESP報(bào)文不對(duì)新IP頭做驗(yàn)證

141、對(duì)于防火堵域間安全策略，下列說(shuō)法對(duì)的的是：（多選）

A、ruledisable命令表達(dá)禁用這條rule

B、缺省情況下，越先創(chuàng)建的rule優(yōu)先級(jí)越高，越先匹配

C、通過(guò)rulemove命令將rule調(diào)整位置后，ruleid將做相應(yīng)的改變

D、一旦匹配到一條rule,就直接按照該rule的定義解決報(bào)文，不在繼續(xù)往下匹配

142、關(guān)于狀態(tài)檢測(cè)型防火墻，下列描述對(duì)的的是：

A、狀態(tài)檢測(cè)防火墻需要對(duì)每個(gè)進(jìn)入防火墻的數(shù)據(jù)包進(jìn)行規(guī)則匹配

B、由于UDP協(xié)議為面向無(wú)連接的協(xié)議，協(xié)議為面向無(wú)連接的協(xié)議，因此狀態(tài)檢測(cè)

型防火墻無(wú)法對(duì)UDP報(bào)文進(jìn)行狀態(tài)表的匹配

C、狀態(tài)檢測(cè)型防火墻對(duì)報(bào)文進(jìn)行檢查時(shí)，同一連接的前后報(bào)文不具有相關(guān)性

D、狀態(tài)檢測(cè)型防火墻只需要對(duì)該連接的第一個(gè)數(shù)據(jù)包進(jìn)行訪問(wèn)規(guī)則的匹配，該連

接的后續(xù)報(bào)文直接在狀態(tài)表中進(jìn)行匹配

143、USG6000系列防火墻IPsecweb配置不支持以下哪個(gè)應(yīng)用場(chǎng)景：（多選）

A、網(wǎng)關(guān)到網(wǎng)關(guān)

B、中心網(wǎng)關(guān)

C、分支網(wǎng)關(guān)

D、主機(jī)到主機(jī)

144、FTP協(xié)議也許用到的端標(biāo)語(yǔ)有：（多選）

A、20

B、21

C、23

D、80

145、SSL協(xié)議包含以下哪幾個(gè)協(xié)議：（多選）

A、握手協(xié)議

B、記錄協(xié)議

C、警告協(xié)議

D、發(fā)現(xiàn)協(xié)議

146、命令allowI2tpvirtual-templatevirtual-template-nnber[remoteremote-name]?當(dāng)12tp

grup為1時(shí)，必須制定remote-name參數(shù)................F

147、下面關(guān)于Client-initialized的L2TPVPN,說(shuō)法錯(cuò)誤的是：

A、遠(yuǎn)程用戶接入internet后，可通過(guò)客戶端軟件直接向遠(yuǎn)端的LNS發(fā)起L2Tp隧道

連接請(qǐng)求

B、LNS設(shè)備接受到用戶L2Tp連接請(qǐng)求，可以根據(jù)用戶名、密碼對(duì)用戶進(jìn)行驗(yàn)證

C、LNS為遠(yuǎn)端用戶分派私有IP地址

D、遠(yuǎn)端用戶不需要安裝VPN客戶端軟件

148、某些應(yīng)用如Oracle數(shù)據(jù)庫(kù)應(yīng)用，因長(zhǎng)時(shí)間無(wú)數(shù)據(jù)流傳輸，使防火墻會(huì)話連接中斷，

從而導(dǎo)致業(yè)務(wù)中斷，以下哪個(gè)技術(shù)可以最優(yōu)地解決這個(gè)問(wèn)題：

A、配置某業(yè)務(wù)長(zhǎng)連接

B、配置默認(rèn)會(huì)話老化時(shí)間

C、優(yōu)化包過(guò)濾規(guī)則

D、啟動(dòng)分片緩存

149、卜.面針對(duì)VGMP的組管理描述錯(cuò)誤的是：

A、各備份組的主/備狀態(tài)變化都需要告知其所屬的VGMP管理組

B、兩臺(tái)防火墻心跳口的接口類型和編號(hào)可以不同，只要可以保證二層互通即可

C、主備防火墻的VGMP之間定期發(fā)送Hello報(bào)文

D、主備設(shè)備通過(guò)心跳線交互報(bào)文了解對(duì)方狀態(tài)，并且備份相關(guān)命令和狀態(tài)信息

150.公司內(nèi)部用戶上網(wǎng)場(chǎng)景如圖所示，用戶上線流程有：

1、認(rèn)證通過(guò)，USG允許建立連接

2、用戶訪問(wèn)Internet輸入

3、USG推送認(rèn)證界面，User=?Password=?

4、用戶成功訪問(wèn)，設(shè)備穿件session

5、用戶輸入U(xiǎn)ser=***Password=***

以下對(duì)的的流程排序應(yīng)當(dāng)：

A、2-5-3-1-4

B、2-3-5-1->1

C、2-1-3-5-4

D、2-3-1-5-4

151、以下哪個(gè)用戶系統(tǒng)可直接在USG產(chǎn)品系統(tǒng).上進(jìn)行用戶賬戶或密碼等信息的修改：

A、VPNDB用戶

B、LDAP用戶

C、Radius用戶

D、所有用戶系統(tǒng)

152、關(guān)于VGMP協(xié)議描述錯(cuò)誤的是：

A、VGMP將同一臺(tái)防火墻上的多個(gè)VRRP備份組都加入到一個(gè)管理組，由管理組統(tǒng)

一管理所有VRRP備份組

B、VGMP通過(guò)統(tǒng)一控制各VRRP備份組狀態(tài)的切換，來(lái)保證管理組內(nèi)的所有VRRP

備份組狀態(tài)都是一致

C、狀態(tài)為Active的VGMP組設(shè)備會(huì)定期向?qū)Χ税l(fā)送HELLO報(bào)文，Stdandby端只負(fù)

責(zé)監(jiān)聽(tīng)HELLO報(bào)文，不會(huì)進(jìn)行回應(yīng)

D、在缺省情況下當(dāng)Standby端三個(gè)HELLO報(bào)文周期沒(méi)有收到對(duì)端發(fā)送的HELLO報(bào)

文時(shí)，會(huì)認(rèn)為對(duì)端出現(xiàn)故隙，從而將自己切換到Active狀態(tài)

153、終端安全系統(tǒng)可以實(shí)現(xiàn)組織管理和區(qū)域管理兩個(gè)維度的管理功能。-