2023年HCNA安全試題題庫

1、客戶端A和服務(wù)器B之間建立TCP連接，再三次握手中，B往A發(fā)送的SYN+ACK

(seq=b,ack=a+l),下列說法對的的有:

A、該數(shù)據(jù)包是對序號b的SYN數(shù)據(jù)包進行確認

B、該數(shù)據(jù)包是對序號a+1的SYN數(shù)據(jù)包進行確認

C、B下一個希望收到的ACK數(shù)據(jù)包的序號為b

D、B下一個希望收到的ACK數(shù)據(jù)包的序號為a+1

2、rulepermitipsource51表達的地址范圍是:

A、-55

B、2-3

C、1-4

D、2-4

3、下列關(guān)于防火墻分片緩存功能，說法對的的有：(多選)

A、配置分片報文直接轉(zhuǎn)發(fā)功能后，防火墻不對分片報文進行緩存

B、配置分片報文直接轉(zhuǎn)發(fā)功能后，對于不是首片報文的分片報文，防火墻將根據(jù)

域間包過濾策略進行轉(zhuǎn)發(fā)

C、分片報文也會創(chuàng)建會話表，轉(zhuǎn)發(fā)時也會查找會話表

D、分片報文的非首片報文，由于沒有端標(biāo)語，所以分片報文直接轉(zhuǎn)發(fā)功能一般不

能用在NAT環(huán)境

4、下面哪個選項不屬于UTM(UnifiedTreatManagement)的功能？

A、IPS入侵防御

B、上網(wǎng)行為

C、終端安全管理

D、AV網(wǎng)關(guān)防病毒

5、終端安全系統(tǒng)重要由以下哪些組件組成：(多選)

A、防病毒服務(wù)器

B、SC控制服務(wù)器

C、準(zhǔn)入控制設(shè)備

D、SM管理服務(wù)轉(zhuǎn)

6、對稱加密算法的加密秘鑰和解密秘鑰均相同，非對稱加密算法的加密秘鑰和解密秘鑰均

不相同。Ipsec在業(yè)務(wù)數(shù)據(jù)加解密時使用的是對稱加密算法。-----T(true)

7、華為USG防火墻VRRPHELLO報文為組播報文，所以規(guī)定備份組中的各路由器必須可以

實現(xiàn)直接的二層互通。----------T(true)

8、在ARP地址解析時，ARPREPLY報文采用廣播的方式發(fā)送，同?個二層網(wǎng)絡(luò)上主機都可

以收到，并據(jù)此學(xué)習(xí)到IP和MAC地址相應(yīng)關(guān)系。........F(FALSE)

9、USG狀態(tài)檢測防火墻查看Session信息如下：

<USG>displayfirewallsessiontableverbose

Currenttotalsessions:!

IcmpVPN:public->public

Zone:trust->untrustSlot:8CPU:0TTL:00:00:20Left:00:00:19

Interface:GigabiEthernet即QNexthop:0

<-packets:134bytes:8040->packets:134bytes:804000:1280->

00:2048

根據(jù)上面的信息下面說法對的的是：(多選)

A、Trust區(qū)域中主機00正在訪問或者曾經(jīng)訪問Untrust00

B、該報文時VPN報文

C、后續(xù)到達防火墻的報文，需要匹配會話表和防火墻安全策略

D、正向流量的出接II是GigabitEthernet^O/3

10>CA(CertificateAuthority)證書用于SSL通信連接建立時,驗證虛擬網(wǎng)關(guān)用戶的身份,

保存于設(shè)備側(cè)，由CA機構(gòu)頒發(fā)。-----------T

11、通過displayikesa看到的結(jié)果如下，說法對的的是?(多選)

Currentikesanumber1

Connection-idpeervpnflagphasedoi

Oxlfl

ORDISTvl:1IPSEC0x6043dc4

Flagmeaning

RD—READYST—STAYALIVERL-REPLACEDFD-FADINGTO-TIMEOUT

A、第一階段ikesa已經(jīng)成功建立

B、第二階段ipsecsa已經(jīng)成功建立

C、Ike使川的版本是vl

D、Ike使用的版本是v2

12、關(guān)于L2Tp消息，說法錯誤的為：

A、L2Tp依附于P叩進行賬戶認證

B、控制消息只能用于隧道與會話連接的建立，維護以及傳輸控制

C、數(shù)據(jù)消息只能用于封裝PPP幀并在隧道上傳輸

D、控制消息和數(shù)據(jù)消息都可以提供流量控制和刷塞控制功能

13、以下哪種襲擊不屬于網(wǎng)絡(luò)層襲擊？

A、IP欺騙襲擊

B、Smurf襲擊

C、ARP欺騙襲擊

D、ICMP襲擊

14.VRRP(VirtualRouterRedundancyProtocol)中，主路由器定期向備份路由器發(fā)送通告

報文(HELLO),備份路由器則只負責(zé)監(jiān)聽通告報文，不會進行回應(yīng)。一一T

15、使用NAT技術(shù)，只可以對數(shù)據(jù)報文中的網(wǎng)絡(luò)層信息(IP地址)進行轉(zhuǎn)換?！璅

16>ASPF(ApplicationSpecificPacketFilter)是一種基于應(yīng)用層的包過濾，它檢查應(yīng)用層協(xié)

議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。ASPF通過ServerMap表實現(xiàn)了特殊的安全機制關(guān)

fASPF和Servermap表說法對的的是？

A、ASPF監(jiān)視通信過程中的報文

B、ASPF動態(tài)創(chuàng)建和刪除過濾規(guī)則

C、ASPF通過Servermap表實現(xiàn)動態(tài)允許多通道協(xié)議數(shù)據(jù)通過

D、五元組Servermap表項實現(xiàn)了和會話表類似的功能

17、上網(wǎng)用戶管理的轉(zhuǎn)發(fā)流程中，上網(wǎng)用戶認證只能發(fā)生在首包流程中，一旦用戶通過認

證，設(shè)備建立session表，后續(xù)報文不需要反復(fù)進行用戶認證。------T

18、襲擊者通過發(fā)送ICMP應(yīng)答請求，并將請求包的目的地址設(shè)為受害網(wǎng)絡(luò)的廣播地址。

這種行為屬于哪一種襲擊？

A、IP欺騙襲擊

B、Smurf襲擊

C、ICMP重定向襲擊

D、SYNflood襲擊

19、以下哪個選項不屬于AES的秘鑰長度？

A、64

B、128

C、192

D、256

20、基于會話的狀態(tài)監(jiān)測防火墻對于首包和后續(xù)包有不同的解決流程，下面描述對的的

是：（多選）

A、報文到達防火墻，會查找會話表，假如沒有匹配，防火墻進行首包解決流程

B、報文到達防火墻，會查找會話表，假如匹配防火墻進行后續(xù)包解決流程

C、在狀態(tài)檢查機制打開的情況下，防火墻處TCP報文時候，只有SYN報文才干建

立會話

D、在狀態(tài)檢查機制打開的情況下，后續(xù)和他需要進行安全策略檢查

21、AH協(xié)議號是下面那個選項？

A、51

B、SO

C、52

D、49

22、AAA包含以下哪幾項：（多選）

A、Authentication認證

B、Authentication授權(quán)

C、Accounting計費

D、Audit審計

23、安全聯(lián)盟由三元組唯一標(biāo)記，以下哪一項不屬于安全聯(lián)盟的三元組？

A、安全協(xié)議號

B、源IP地址

C、目的IP地址

D、安全參數(shù)索引

24、一般的公司或組織中有時會存在這樣一類用戶，他們不是該公司員工，只是臨時到訪

該公司，需要借用該公司網(wǎng)絡(luò)上網(wǎng)，他們沒有屬于自己的賬號，無法進行認證，但設(shè)備要

對他們的網(wǎng)絡(luò)權(quán)限進行控制。對于這類用戶，支持自動為其創(chuàng)建相應(yīng)的臨M用戶，井使用

IP地址作為該用戶的用戶名。管理員在規(guī)劃用戶管理時，一般將這類用戶認證劃分為：

A、免認證

B、單點認證

C、密碼認證

D、臨時認證

25、HRP會話快速備份時將主用設(shè)備相應(yīng)的狀態(tài)信息表項快速備份到備用設(shè)備，使返網(wǎng)報

文在備用設(shè)備上可以查找到相應(yīng)的狀態(tài)信息表項，從而保證內(nèi)外部用戶的業(yè)務(wù)不中斷。…T

26、配置源NAT策略時，目的區(qū)域的配置可以用配置流量出接口信息來取代。--T

27、防火墻IPS協(xié)議辨認功能對基于非標(biāo)準(zhǔn)端口的服務(wù)進行辨認，解決了使用非標(biāo)準(zhǔn)端口

的應(yīng)用服務(wù)報文的漏報和誤報問題。-.....T

28、防火墻配置防病毒功能選擇過濾協(xié)議涉及以下哪幾項：（多選）

A、文獻傳輸協(xié)議

B、郵件協(xié)議

C、安全協(xié)議

D、共享協(xié)議

29、終端安全系統(tǒng)支持藍牙、SD卡等計算機外設(shè)的監(jiān)控功能，并支持配置嚴禁外部設(shè)備。

T

30、在USG產(chǎn)品的web配置界面中，在配置虛擬IP地址池時，虛擬IP地址范圍內(nèi)的IP地

址可認為虛擬網(wǎng)關(guān)或接口的IP地址，也可認為內(nèi)網(wǎng)存在的IP地址。F

32、防火墻雙機熱備配置中，HRP必須配置涉及：（多選）

A、啟用HRP備份功能hrpenable

B、啟用會話快速備份hrpmirrorsessionenable

C、指定心跳口hrpinterfaceinterface-typeinterface-number

D、搶占延遲時間hrppreempt[delayinterval]

33、如何查看安全策略的匹配次數(shù)：

A、displayfirewallsessiontable

B、displaysecuritypolicyall

C、displaysecuritypolicycount

D、countsecuritypolicyhit

34、ESP報文在哪種封裝模式下，可以實現(xiàn)對原IP頭數(shù)據(jù)的機密性：

A、傳輸模式

B、隧道模式

C、傳輸模式+隧道模式

D、加密模式

35、在IPSecVPN配置中假如使用pre-shared方式驗證,可以選擇是否為對端配置秘鑰，

兩邊的秘鑰必須一致F

36、關(guān)于終端安全系統(tǒng)的部署方式描述錯誤的是：

A、集中部署方式的重要特點是可以根據(jù)管理終端數(shù)目的多少，選擇SM、SC、數(shù)

據(jù)庫等組件來安裝在同一臺服務(wù)器上

B、終端相對集中在幾個區(qū)域，并且區(qū)域之間的帶寬比較小，建議采用分布式組網(wǎng)

C、終端規(guī)模相稱大時，可以考慮使用集中式部署組網(wǎng)，避免大量撞斷訪問終端服

務(wù)器，占用大量的網(wǎng)絡(luò)帶寬

D、分布式部署時，終端安全安全代理選擇就近的控制服務(wù)器SC,獲得身份認證和

準(zhǔn)入控制等各項業(yè)務(wù)

37、終端安全體系的五大要素不涉及以下哪一項：

A、身份認證

B、業(yè)務(wù)隔離

C、安全認證

D、業(yè)務(wù)授權(quán)

38、某公司在部署網(wǎng)絡(luò)邊界防火墻時，配置了NATServer源NAT,OSPF路由和相關(guān)安全策

略，數(shù)據(jù)到達該防火墻時，防火墻的解決順序為：

A、OSPF路由一>安全策略-->源NAT->NATServer

B、安全策略-。源NAT->NATServer-->OSPF路由器

C、源NAT->OSPF路由一》安全策略一〉NATserver

D、NATServer->OSPF路由安全策略一〉源NAT

39、以下哪個問題可以運用IPsec-IKE野蠻模式進行解決：（多選）

A、隧道兩端協(xié)商慢的問題

B、協(xié)商過程中的安全性問題

C、NAT穿越問題

D、發(fā)起者源地址不擬定問題

40、配置防火墻安全區(qū)域的安全級別時，描述錯誤的是：

A、新建的安全區(qū)域，系統(tǒng)默認其安全級別為1

B、只能為自定義的安全區(qū)域設(shè)定安全級別

C、安全級別一旦設(shè)定，不允許更改

D、同一系統(tǒng)中，兩個安全區(qū)域不允許配置相同的安全級別

41、關(guān)于NAT的說法對的的是：

A、帶端II轉(zhuǎn)換的NAT可以通過配置NAT地址池來實現(xiàn)

B、NAT兼容目前所有的IPsec安全協(xié)議

C、由于FTP協(xié)議是多通道協(xié)議，所以不支持NAT

D、NAT支持TCP/IP二、三、四層進行轉(zhuǎn)換

42、查看防火墻的HRP狀態(tài)信息如下：

HRP_S[USG_B]displayhrpstate

Thefirewall'sconfigstateis:Standby

Currentstateofvirtualroutersconfiguredasstandby

GigabitEthernetl/3/0vridl:standby

GigabitEthernetW/1vrid2:standby

以下描述對的的是：

A、此防火墻VGMP組狀態(tài)為Active

B、此防火墻G1A0和GW/1接口的VRRP組狀態(tài)為standby

C、此防火墻的HRP心跳線接口為GMW和GMV1

D、此防火墻一定是出于搶占狀態(tài)

43、防火墻IPS策略的署名過濾器之間存在優(yōu)先關(guān)系，在同一條IPS策略中，編號小的署名

過濾器比編號大的著名過濾器的優(yōu)先級高........F

44、狀態(tài)檢測防火墻使用會話表來追蹤激活的TCP會話和UDP會話，由防火墻安全策略決

定建立哪些會話，數(shù)據(jù)包只有與會話相關(guān)聯(lián)時才會被轉(zhuǎn)發(fā)一…-T

45、關(guān)于NAT配置中“easyIP”的說法,下列描述對的的是:

A、easyIP不能再pat場景下

B、配置NAT策略直接轉(zhuǎn)換成出接口IP地址

C、easyip用于目的地址轉(zhuǎn)換的場景

D^easyip可以與address-group同時使用

46、ASPF技術(shù)使得防火墻可以支持如FTP等多通道協(xié)議，同時還可以對■復(fù):雜的應(yīng)用制訂相

應(yīng)的安全策略------------------T

47、反掩碼和子網(wǎng)掩碼格式相似，但取值含義不同，在反掩碼中，1表達相應(yīng)的IP地址位

需要比較，。表達相應(yīng)的IP地址位忽略比較-------------------F

48、下面關(guān)于SSL握手協(xié)議各階段中的內(nèi)容描述哪個是錯誤的？

A、客戶端發(fā)送client_Hello消息，服務(wù)器端回應(yīng)Server_Hello消息

B、服務(wù)器端發(fā)送ServejHell。便等待客戶端發(fā)送的消息

C、服務(wù)器端收到服務(wù)器發(fā)送的一系列消息并消化后，發(fā)送ClientKeyExchange等消

息給服務(wù)器

D、客戶端和服務(wù)器各自發(fā)送ChangeCipherSpec和finished消息給對方

49、在USG系列防火墻Trust區(qū)域視圖下配置addinterfaceGigabitEthernetO/0/l后,

GigabitEthernetO/D/l不在屬于Local區(qū)域。..............F

50、適合出差人員在公網(wǎng)環(huán)境下接入公司內(nèi)網(wǎng)的VPN方式有：（多選）

A、GREVPN

B、L2TPVPN

C、SSLVPN

D、L2TPoverIpsec

51、入侵防御系統(tǒng)技術(shù)特點涉及：（多選）

A、在線模擬

B、實時阻斷

C、自學(xué)習(xí)及自適應(yīng)

D、直路部署

52、SVN產(chǎn)品網(wǎng)絡(luò)擴展功能中，需要實現(xiàn)用戶只可以訪問遠端公司文內(nèi)網(wǎng)，不能訪問本地

局域網(wǎng)和Internet,需要使用的客戶端路由方式為:

A、全路由模式(FullTunnel)

B、分離模式(SplitTunnel)

C、路由模式(RouteTunnel)

D、手動模式(ManualTunnel)

53、Web重定向密碼認證功能，只有用戶進行目的端口是80的HTTP業(yè)務(wù)訪問時，系統(tǒng)才

支持“重定向”到認證頁面，進行會話認證。-----------------F

54、針對MAC地址欺騙襲擊的描述錯誤的是：

A、MAC地址欺騙襲擊重要運用了互換機Mac地址學(xué)習(xí)機制

B、襲擊者可以通過偽造的源Mac地址數(shù)據(jù)幀發(fā)送給互換機來實行MAC地址欺騙

襲擊

C、MAC地址欺騙襲擊會導(dǎo)致互換機學(xué)習(xí)到錯誤的MAC地址與IP地址的映射關(guān)系

D、MAC地址欺騙襲擊會導(dǎo)致互換機要發(fā)送到有的目的地址的數(shù)據(jù)被發(fā)送給了襲擊

者

55＞在GRE配置環(huán)境下，Tunnel接口模式下,Destination地址一般是指:

A、本Tunnel接口IP地址

B、本端外網(wǎng)出口IP地址

C、對端外網(wǎng)接口IP地址

D、對Tunnel接口IP地址

56、SSLVPN可以通過如下哪些方式對用戶進行訪問權(quán)限控制：(多選)

A、IP

B、MAC

C、PORT

D、URL

57、在USG系列防火墻中，使用非知名端口提供知名應(yīng)用服務(wù)器時，可采用以下哪種技

術(shù):

A、端口映射

B、MAC與IP地址綁定

C、包過濾

D、長連接

58、以下哪個選項不屬于AH可以實現(xiàn)的特性？

A、抗防重放

B、數(shù)據(jù)源認證

C、機密性

D、數(shù)據(jù)完整性檢查

59、比較典型的遠端認證方式有：(多選)

A、RADIUS

B、Local

C、HWTACACS

D、LLDP

60、以下哪個選項不屬于內(nèi)網(wǎng)安全威脅？

A、存儲介質(zhì)濫用

B、信息資產(chǎn)泄密

C、未授權(quán)訪問

D、間諜軟件

61、IKE協(xié)議可認為Ipsec提供自動協(xié)商互換秘鑰、建立安全聯(lián)盟的服務(wù)器，以簡化Ipsec

的使用和管理...........................T

62、防火墻網(wǎng)關(guān)防病毒響應(yīng)方式涉及告警和阻斷，其中告警方式設(shè)備只產(chǎn)生日記，不對

HTTP協(xié)議傳輸?shù)奈墨I進行解決就發(fā)送出去，阻斷方式設(shè)備斷開與HTTP服務(wù)器的連接并阻

斷文獻，向客戶推送WEB頁面并產(chǎn)生日記------------------T

63、HRP(HuaweiRedundancyProtocol)協(xié)議，用來將主防火墻關(guān)鍵配置和連接狀態(tài)等數(shù)

據(jù)向備防火堵上同步，以下哪個選項不屬于同步的范圍?

A、安全策略

B、NAT策略

C、黑名單

D、IPS著名集

64、積極襲擊最大特點是對信息進行偵聽，以獲取機密信息，而對數(shù)據(jù)的擁有者或合法用

戶來說對此類活動無法得知----------------------F

65、以下哪個選項屬于非對稱加密算法？

A、RC4

B、3DES

C、AES

D、DH

66、如下安全策略的命令，代表的含義是：

#

Security-policy

Rulenamerulel

Source-zonetrust

Destination-zoneuntrust

Source-address55

Serviceicmp

Actiondeny

#

A、嚴禁從trust區(qū)域訪問untrust區(qū)域且目的地址為0主機的ICMP報文

B、嚴禁從trust區(qū)域訪問untrust區(qū)域且目的地址為/16網(wǎng)段的所有主機ICMP

報文

C、嚴禁從trust區(qū)域訪問untrust區(qū)域且源地址為/16網(wǎng)段的所有主機ICN1P報

文

D、嚴禁從trust區(qū)域訪問untrust區(qū)域且源地址為0主機來的所有主機ICMP

報文

67、防火墻配置了IPS策略后，需要把該策略應(yīng)用到域內(nèi)或域間后IPS功能才生效。一T

68、配置防火墻域間安全策略時，假如把192.168O0A4網(wǎng)段設(shè)立為匹配對象，則以下配

置對的的是：（多選）

A、rulenamepolicy1source-addressmask

B、rulenamepolicy1source-address

C、rulenamepolicy1source-addressmask55

D、rulenamepolicy1source-address55

69、非對稱算法比時稱算法加密強度更強，由于非對稱算法秘鑰長度更長……F

70、在USG防火墻用戶管理功能中Web重定向密碼認證功能，用戶不積極進行認證，進

行業(yè)務(wù)訪問，設(shè)備推送“重定向”到認證頁面........-...............T

71、包過濾防火墻的重要特點涉及：（多選）

A、隨著ACL復(fù)雜度和長度的增長，防火墻過濾性能呈指數(shù)卜.降趨勢

B、靜態(tài)的ACL規(guī)則難以使用動態(tài)的安全過渡規(guī)定

C、不檢查會話狀態(tài)也不分析數(shù)據(jù)，這很容易讓黑客蒙混過關(guān)

D、可以完全控制網(wǎng)絡(luò)信息的互換，控制會話過程，具有較高的安全性

72、在防火墻轉(zhuǎn)發(fā)流程中，會先進行安全配置文獻的比對，在進行安全策略的檢查----F

73、以下哪些SSLVPN業(yè)務(wù)功能會使用到控件：（多選）

A、Web改寫

B、文獻共享

C、端口轉(zhuǎn)發(fā)

D、網(wǎng)絡(luò)擴展

74、SSLVPN中文獻共享應(yīng)用在使用過程需輸入用戶名、密碼和域信息，為了不想輸入用戶

名密碼，可以在文獻共享服務(wù)器上設(shè)立權(quán)限---------------T

75、AH可以提供以下哪些安全功能：（多選）

A、數(shù)據(jù)源驗證

B、數(shù)據(jù)機密性

C、數(shù)據(jù)完整性校驗

D、抗重放

76、下列關(guān)于終端安全功能區(qū)域說法錯誤的是：

A、認證前域是指客戶端通過身份認證前所能訪問的區(qū)域

B、認證后域是指客戶端通過安全認證后所能訪問的區(qū)域

C、隔離域是指客戶端通過身份認證后所必須訪問的區(qū)域

D、隔離域是指客戶端安全認證失敗時所需訪問的區(qū)域

77、安全接入控制網(wǎng)關(guān)（SecurityAccessControlGateway,簡稱SACG）的重要功能是控制

終端的網(wǎng)絡(luò)訪問權(quán)限，對不同的用戶和不同安全狀況的用戶開放不同的權(quán)限---------T

78、終端安全準(zhǔn)入控制可以支持以下哪些：（多選）

A、硬件SACG（硬件安全接入控制網(wǎng)關(guān)）

B、802.1X

C、ARP控制

D、軟件5ACG（土機防火墻）

79、USG防火墻支持的NAT功能涉及：（多選）

A、可以指定同一地址池中某一部分地址進行端口轉(zhuǎn)換，另一部分地址不進行端口

轉(zhuǎn)換

B、基于H的地址轉(zhuǎn)換的NATServer

C、基于源地址轉(zhuǎn)換的NATServer

D、配置源NAT時，可直接使用出接口地址作為轉(zhuǎn)換后的地址

80、TCP/IP協(xié)議棧數(shù)據(jù)包封裝涉及以卜.部分，封裝順序?qū)Φ牡氖牵?/p>

1、DATA

2、TCP/UDP

3、MAC

4、IP

5、APP

A、l->5->4->2->3

B、l->4->2->3->5

C、l->5->2->4->3

D、l->5->2->3->4

81、網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT)與僅轉(zhuǎn)換網(wǎng)絡(luò)地址(NG-PAT)有什么區(qū)別：

A、通過NAPT轉(zhuǎn)換后，對于外網(wǎng)用戶，所有報文都來自同一個IP地址或某幾個IP

地址

B、No-PAT只支持傳輸層的協(xié)議端口轉(zhuǎn)換

C、NAPT只支持網(wǎng)絡(luò)層的協(xié)議地址轉(zhuǎn)換

D、No-PAT支持網(wǎng)絡(luò)層的協(xié)議地址轉(zhuǎn)換

82、管理員希望創(chuàng)建Web配置管理員，并設(shè)Https設(shè)備管理端標(biāo)語為20230,且設(shè)立管理

員為管理員級別，下面命令對的的是：

A、Step1：web-managersecurityenableport20230

Step2：AAAView[USG]aaa

(USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]level15

[USG-aaa-manager-client001]passwordcipherAdmin@123

B、Step1：web-managersecurityenableport20230

Step2：AAAView[USGjaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]passwordcipherAdmin(g)123

C、Step1：web-managersecurityenableport20230

Step2：AAAView[USGJaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]passwordcipher

D、Step1：web-managersecurityenableport20230

Step2：AAAView[USGJaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]level1

[USG-aaa-manager-client001]passwordcipherAdmin@123

83、下列TCP/IP協(xié)議棧中的協(xié)議，工作在應(yīng)用層的有:

A、ARP

B、IGMP

C、TELNET

D、ICMP

84、ESP協(xié)議是下面那個選項？

A、51

B、50

C、52

D、49

8S、入侵檢測的內(nèi)容涵蓋授權(quán)的和非授權(quán)的各種入侵行為，例如，違反安全策略行為、冒

充其他用戶、泄露系統(tǒng)資源、惡意行為、非法訪問，以及授權(quán)者濫用權(quán)力等。--T

86、USG系列防火墻自定義安全域的安全級別可設(shè)立以下哪些值：（多選）

A、150

B、100

C、80

D、40

87、進行源NAT配置時，再有no-pat配置參數(shù)的情況下，以下哪些說明是錯誤的：（多

選）

A、只進行源IP地址轉(zhuǎn)換

B、只進行目的IP地址轉(zhuǎn)換

C、同時進行源IP地址和端口轉(zhuǎn)換

D、進行目的IP地址和目的端口轉(zhuǎn)換

88、狀態(tài)檢查防火墻后續(xù)數(shù)據(jù)包（非首包）轉(zhuǎn)發(fā)重要依據(jù)以下哪一項：

A、Rout表

B、MAC地址表

C、Session表

D、FIB表

89、USG防火墻中用戶認證的分類有：（多選）

A、免認證

B、密碼認證

C、單點登錄

D、指紋認證

90、在防火墻域間安全策略中，以下哪一項的數(shù)據(jù)流不是Outbound方向：

A、從DMZ區(qū)域到Untrust區(qū)域的數(shù)據(jù)流

B、從Trust區(qū)域到DMZ區(qū)域的數(shù)據(jù)流

C、從Trust區(qū)域到Untrust區(qū)域的數(shù)據(jù)流

D、從Trust區(qū)域到Local區(qū)域的數(shù)據(jù)流

91、在當(dāng)前網(wǎng)絡(luò)中依據(jù)部署了其他的身份認證系統(tǒng)，設(shè)備通過啟用單點登錄功能，減少用

戶反復(fù)輸入密碼。關(guān)于單點登錄舒適對的的是：（多選）

A、設(shè)備可以辨認出通過這些身份認證系統(tǒng)認證通過的用戶，用戶上網(wǎng)時，設(shè)備將

不推送認證頁面，避免再次規(guī)定輸入用戶名/密碼

B、AD域單點登錄只有一種部署模式

C、雖然不需要輸入用戶名密碼，但是認證服務(wù)器需要將密碼和設(shè)備進行交互，用

來保證認證通過

D、AD域單點登錄可采用鏡像登錄數(shù)據(jù)流的方式通過到防火墻

92、終端安全系統(tǒng)的共享目錄檢查安全策略涉及以下哪些方面內(nèi)容：

A、共享文獻大小檢查，對于大文獻不允許共享

B、共享賬號名稱（用戶或者用戶組）檢查

C、違規(guī)共享權(quán)限檢查

D、提供自動修復(fù)功能，刪除違規(guī)共享

93、要實現(xiàn)NATALG功能，以下哪項配置是對的的：

A、natalgprotocl

B、algprotocl

C、natprotocl

D、detectprotocl

94、對于防火墻域間轉(zhuǎn)發(fā)的訪問控制流程：

1、查找路由表

2、查找域間包過濾規(guī)則

3、查找會話表

4、查找黑名單

對的的順序為：

As1-3-2-4

B、3-2-1-4

C、3-4-1-2

D、4-3-1-2

95、在IKEvl協(xié)商第一階段中，以下哪個IKE互換模式不能提供身份保護功能：

A、主模式

B、野蠻模式

C、快速模式

D、被動模式

96＞以下哪一項應(yīng)用不需要端口轉(zhuǎn)發(fā)來實現(xiàn)？

A、telnet

B、FTP

C、windows遠程桌面

D、HTTP

97、下列關(guān)于網(wǎng)關(guān)防病毒檢查到病毒后的響應(yīng)動作，涉及：（多選）

A、告警

B、阻斷

C、宣告

D、刪除附件

98、在USG系列防火墻中，以下哪種說法是對的的：

A、時延是指數(shù)據(jù)包的第一個比特進入防火墻到第一個比特輸出防火墻的時間間隔

指標(biāo)，是用于測量防火墻解決數(shù)據(jù)的速度抱負的情況

B、最大并發(fā)連接數(shù)指每秒鐘可以通過防火墻建立起來的完整TCP/UDP連接

C、假如USG防火墻以太網(wǎng)接口采用二層模式，則只需在網(wǎng)絡(luò)中像網(wǎng)橋同樣接入即

可，無需修改本來的結(jié)構(gòu)及配置

D、USG防火墻以太網(wǎng)接口采用三層模式時，沒有ACL包過濾、ASPF動態(tài)過濾、

NAT轉(zhuǎn)換功能

99、長連接可以對待特定的TCP、UDP數(shù)據(jù)流設(shè)立超長老化時間，保證會話信息長時間不

被老化----------------F

100＞在L2Tp的配置中，對于TunelName,說法對的的是：（多選）

A、用來指定本端的隧道名稱

B、用來指定對端的隧道名稱

C、必須和對端的TunnelName配置一致

D、假如不配置TunnelName,則隧道名稱為本地系統(tǒng)名稱

101.安全聯(lián)盟（SA）是由哪些元組組成進行唯一標(biāo)記：（多選）

A、SPI

B、源IP地址

C、目的IP地址

D、安全協(xié)議號

102、SSLVPN業(yè)務(wù)功能涉及：（多選）

A、Web代理

B、網(wǎng)絡(luò)擴展

C、端口共享

D、文獻共享

103、地址轉(zhuǎn)換技術(shù)的優(yōu)點涉及：（多選）

A、地址轉(zhuǎn)換可以使內(nèi)部網(wǎng)絡(luò)用戶（私有IP地址）方便訪問Internet

B、地址轉(zhuǎn)換可以使內(nèi)部局域網(wǎng)的許多主機共享一個IP地址上網(wǎng)

C、地址轉(zhuǎn)換能解決IP報頭加密的情況

D、地址轉(zhuǎn)換可以屏蔽內(nèi)部網(wǎng)絡(luò)的用戶，提高內(nèi)部網(wǎng)絡(luò)的安全性

104、在配置NAT過程中，以下哪些情況，設(shè)備會生成Server-map表項：（多選）

A、配置源NAT時自動生成server-map表項

B、配置NATserver成功后，設(shè)備會自動生成靜態(tài)server-map表項

C、配置easy-ip時會生成server-map

D、配置NATNo-pat后，設(shè)備會為所配置的多通道協(xié)議數(shù)據(jù)流建立server-表項

105、卜.面哪個選項不屬于終端安全系統(tǒng)區(qū)域？

A、認證前域

B、認證后域

C、安全域

D、隔離域

106.關(guān)于斷開TCP連接四次握手描述錯誤的是：

A、積極關(guān)閉方發(fā)送第一個FIN執(zhí)行積極關(guān)閉，而另一方收到這個FIN執(zhí)行被動關(guān)

閉

B、當(dāng)被動關(guān)閉方收到第一個FIN,它將發(fā)回一個ACK,并隨機產(chǎn)生確認序號

C、被動關(guān)閉方需要向應(yīng)用程序傳送一個文獻結(jié)束符，應(yīng)用程序就關(guān)閉它的連接，

并導(dǎo)致發(fā)送?個FIN

D、在被動關(guān)閉方發(fā)送FIN后，積極關(guān)閉方必須發(fā)回一個確認，并將確認序號設(shè)立

為收到的序號加1

107>USG系列防火墻Untrust區(qū)域的安全級別是多少：

A、5

B、10

C、15

D、50

108、關(guān)于終端安全系統(tǒng)的檢查打印機共享安全策略描述對的的是：（多選）

A、檢查打印機共享目的是檢直安全在本地的打印機是否共享給其別人使用及使用

權(quán)限

B、不提供自動修復(fù)功能，需要手動修復(fù)

C、可以設(shè)定檢查打印機共享的周期

D、檢查的內(nèi)容涉及是否啟動打印機共享、打印權(quán)限共享給哪些賬號、打印機共享

的權(quán)限

109、通過displayikeproposal命令看到的結(jié)果如下，以下說法對的的是？（多選）

PriorityauthenticationauthenticationencryptionDiffie-Hellmanduration

Methodalgorithmalgorithmgroup

（seconds）

DefaultPRESHAREDSHADESCBCMODP768

86400

A、認證算法是SHA

B、加密算法是DES

C、DHgroup使用的是group2

D、使用是野蠻模式

110、針對入侵檢測系統(tǒng)描述錯誤的是：

A、入侵檢測系統(tǒng)可以通過網(wǎng)絡(luò)和計算機動態(tài)地搜索大量關(guān)鍵信息資料，并能及時

分析和判斷整個系統(tǒng)的FI前狀態(tài)

B、入侵檢測系統(tǒng)一旦發(fā)現(xiàn)有違反安全策略的行為或系統(tǒng)存在被襲擊的痕跡等，可

以實行阻斷操作

C、入侵檢測系統(tǒng)涉及用于入侵檢測的所有軟硬件系統(tǒng)

D、入侵檢測系統(tǒng)可與防火墻、互換機進行聯(lián)動，成為防火墻的得力“助手”，更

好、更精確的控制外域間地訪問

111、如圖所示，防火墻上配置了natserverglobalinside10.10.1.1,以下針對域

間規(guī)則，配置對的的是：

A、security-policy

rulenamea

source-zoneuntrust

destination-zonetrust

source-address32

actionpermit

B、rulenameb

source-zoneuntrust

destination-zonetrust

source-address32

actionpermit

C、rulenamec

source-zoneuntrust

destination-zonetrust

destination-address32

actionpermit

D、rulenamed

source-zoneuntrust

destination-zonetrust

destination-address32

actionpermit

112、終端安全系統(tǒng)的操作系統(tǒng)補丁等級不涉及：

A、關(guān)鍵

B、重要

C、中

D、局

113、IPsec中隧道模式下，ESP對哪個字段不做驗證:

A、原IP報文頭

B、新IP報文頭

C、TCP報文頭

D、應(yīng)用層數(shù)據(jù)

114、TCP/IPv4版本，存在的安全隱患有：（多選）

A、缺少數(shù)據(jù)源驗證機制

B、缺少對數(shù)據(jù)包的確認機制

C、缺少對數(shù)據(jù)完整性的驗證機制

D、缺少機密性保獐機制

115、查詢NAT轉(zhuǎn)換結(jié)果的命令是：

A、displaynattranslation

B、displayfirewallsessiontable

C、displaycurrentnat

D、displayFirewallsnattranslation

116、OSI模型中哪一層可以解決數(shù)據(jù)格式和數(shù)據(jù)加密？

A、應(yīng)用層

B、表達層

CN會話層

D、傳輸層

117、USG產(chǎn)品共享型虛擬網(wǎng)關(guān)，可以通過IP,域名兩種方式訪問------F

118、在華為防火墻用戶管理中，提成哪幾種用戶管理（多選）

A、上網(wǎng)用戶管理

B、接入用戶管理

C、管理員用戶管理

D、設(shè)備用戶管理

119、SSL與IPS安全協(xié)議同樣，提供加密和身份驗證。但是SSL協(xié)議只對通信雙方傳輸?shù)?/p>

應(yīng)用數(shù)據(jù)進行加密，而不是對從一個主機到另一個主機的所有數(shù)據(jù)進行加密（如TCP/P和

應(yīng)用層協(xié)議）------------------T

120、上網(wǎng)用戶單點登錄功能，用戶直接向AD服務(wù)器認證，設(shè)備不干涉用戶認證工程，AD

監(jiān)控服務(wù)器需要部署在USG設(shè)備中，監(jiān)控AD服務(wù)器的認證信息。F

121.SVN產(chǎn)品網(wǎng)絡(luò)擴展功能中，需要實現(xiàn)用戶既可以訪問遠端公司內(nèi)網(wǎng)和本地局域網(wǎng)，又

能訪問Internet,需要使用的客戶端路由方式為：

A、全路由模式(FullTunnel)

B、分離模式(SplitTunnel)

C、路由模式(routeTunnel)

D、手動模式(ManualTunnel)

122、USG防火墻高級ACL可以通過多個維度進行流量匹配，以下哪個選項不屬于高級ACL

的匹配范圍：

A、源IP

B、目的IP

C、源MAC

D、目的端U

123、在GRE配置環(huán)境下，以下哪些說法是對的的：(多選)

A、為使隧道兩端正常轉(zhuǎn)發(fā)數(shù)據(jù)報文，兩端設(shè)備均配置通過Tunnel接II的路由

B、如兩端同事啟用關(guān)鍵字驗證配置，則關(guān)鍵字需一致

C、本端設(shè)備發(fā)送數(shù)據(jù)報文M，通過辨認IP報頭的協(xié)議字段值為GRE來決定是否把

數(shù)據(jù)包遞交給GRE協(xié)議模塊進行解決

D、對端設(shè)備收到數(shù)據(jù)報文時，通過辨認IP報頭的協(xié)議字段值為GRE來決定是否把

數(shù)據(jù)包遞交給GRE協(xié)議模塊進行解決

124、USG系統(tǒng)防火墻IP-Ink功能重要應(yīng)用在以下哪些場景：

A、鏈路聚合

B、靜態(tài)路由

C、雙機熱備

D、長連接

125、HRPA[USG]displayvrrpinterfaceGigabitEthernetW/l

GigabitEthernel/D/lIVirtualRouter1

VRRPGroup：Active

State：Active

VirtuallP：

VirtualMAC：0000-5e00-0101

PrimaryIP：20238.10.2

PrimaryRun：100

PrimarConfig：100

MasterPriority：100

Preempt：YESDelayTime：10

防火墻上執(zhí)行命令并顯示以上信息，下述描述對的的是：(多選)

A、此防火墻的VGMP組狀態(tài)為Active

B、此防火墻GW/1接I」的虛擬IP地址為

C、此防火墻VRID為1的VRRP備份組的優(yōu)先級為100

D、當(dāng)主用設(shè)備發(fā)生故障時將不會切換

126、防火增雙機熱備配置中啟用允許配置備用設(shè)備功能hrpstandbyconfigenable后,所有

可以備份的信息都可以直接在備用設(shè)備.卜.進行配置，且備用設(shè)備上的配置可以同步到上用

設(shè)備。---------T

127、SSL是一個安全協(xié)議，為基于TCP的應(yīng)用層協(xié)議提供安全連接，SSL介于TCP/IP協(xié)議

棧第四層和第五層之間。SSL可認為HTTP(HypertextTransferProtocol)協(xié)議提供安全連接

-T

128.以下屬于加密算法的是：

A、DES

B、3DES

C、SHA-1

D、MD5

129、在IPSECVPN中，隧道模式重要應(yīng)用在以下哪個場景中:

A、主機與主機之間

B、主機與安全網(wǎng)關(guān)之間

C、安全網(wǎng)關(guān)之間

D、隧道模式與傳輸模式之間

130、下列關(guān)于NAT地址轉(zhuǎn)換的說法中哪個是錯誤的？

A、地址轉(zhuǎn)換技術(shù)可以有效隱藏局域網(wǎng)內(nèi)的主機，是一種有效的網(wǎng)絡(luò)安全保護技術(shù)

B、地址轉(zhuǎn)換可以按照用戶的需要，在局域網(wǎng)內(nèi)向提供FTP、WWW、Telnet等服務(wù)

C、有些應(yīng)用層協(xié)議在數(shù)據(jù)中攜帶IP地址信息，對它們作NAT時還要修改上層數(shù)據(jù)

中的IP地址信息

D、對于某些非TCP、UDP的協(xié)議（如ICMP、PPP）,無法做NAT轉(zhuǎn)換

131、關(guān)于USG系列安全防火墻的默認安全區(qū)域，下列說法對的的是：

A、默認安全區(qū)域可以刪除

B、默認安全區(qū)域可以修改安全級別

C、默認安全區(qū)域不能刪除，但是可以修改安全級別

D、默認安全區(qū)域有4個

132、防火墻所有類型的訪問控制列表都支持對數(shù)據(jù)包的IP五元組進行訪問控制-----F

133、終端安全系統(tǒng)的操作系統(tǒng)補丁違規(guī)等級涉及：（多選）

A、低

B、重要

C、嚴重

D、一般

134、在防火墻做雙機熱備組網(wǎng)時，為實現(xiàn)備份組整體狀態(tài)切換，需要使用以下哪個協(xié)議技

術(shù)：

A、VRRP

B、VGMP

C、HRP

D、OSPF

135.下列哪些地址可以用于USG產(chǎn)品的web管理地址（多選）

A、接口地址

B、子接口地址

C、接口的從IP地址

D、AUX接口地址

136、ACL2999s屬于（）：

A、基本訪問控制列表

B、高級訪問控制列表

C、基于MAC地址訪問控制列表

D、基于時間段訪問控制列表

137、下面關(guān)于TCP/IP協(xié)議棧數(shù)據(jù)包解封裝描述對的的是：（多選）

A、數(shù)據(jù)報文先傳送至數(shù)據(jù)鏈路層，通過解析后數(shù)據(jù)鏈路層信息被剝離，并根據(jù)解

析信息知道網(wǎng)絡(luò)層信息，比如為IP

B、傳輸層（TCP）接受數(shù)據(jù)報文后，通過解析后傳輸層信息被剝離，并根據(jù)解析信

息知道上層解決協(xié)議，比如UDP

C、網(wǎng)絡(luò)層接受數(shù)據(jù)報文后，通過解析后網(wǎng)絡(luò)層信息被剝離，并根據(jù)接卸信息知道

上層解決協(xié)議，比如HTTP

D、應(yīng)用層接受到數(shù)據(jù)報文后，通過解析后應(yīng)用層信息被剝離，最終展示的用戶數(shù)

據(jù)與發(fā)送方主機發(fā)送的數(shù)據(jù)完全相同

138.關(guān)于上網(wǎng)用戶組管理說法錯誤的是：

A、每個用戶組可以涉及多個用戶和用戶組

B、每個用戶組可以屬于多個父用戶組

C、系統(tǒng)默認有一個default用戶組，該用戶組同時也是系統(tǒng)默認認證域

D、每個用戶組至少屬于一個用戶組，也可以屬于多個用戶組

139、IPsec安全聯(lián)盟（SA）是雙向的，通過安全聯(lián)盟可實現(xiàn)對兩個方向的數(shù)據(jù)流進行安全

保護.............................F

140、以下對于AH和ESP的說法偌誤的是：

A、AH可以聽數(shù)據(jù)完整性校驗和加密

B、隧道模式下，AH對新的IP頭也要驗證，所以AH無法應(yīng)用在IpsecVPN中間有

nat轉(zhuǎn)換的情況

C、AH可以提供ESP除了數(shù)據(jù)加密外的所有功能

D、隧道模式下，ESP報文不對新IP頭做驗證

141、對于防火堵域間安全策略，下列說法對的的是：（多選）

A、ruledisable命令表達禁用這條rule

B、缺省情況下，越先創(chuàng)建的rule優(yōu)先級越高，越先匹配

C、通過rulemove命令將rule調(diào)整位置后，ruleid將做相應(yīng)的改變

D、一旦匹配到一條rule,就直接按照該rule的定義解決報文，不在繼續(xù)往下匹配

142、關(guān)于狀態(tài)檢測型防火墻，下列描述對的的是：

A、狀態(tài)檢測防火墻需要對每個進入防火墻的數(shù)據(jù)包進行規(guī)則匹配

B、由于UDP協(xié)議為面向無連接的協(xié)議，協(xié)議為面向無連接的協(xié)議，因此狀態(tài)檢測

型防火墻無法對UDP報文進行狀態(tài)表的匹配

C、狀態(tài)檢測型防火墻對報文進行檢查時，同一連接的前后報文不具有相關(guān)性

D、狀態(tài)檢測型防火墻只需要對該連接的第一個數(shù)據(jù)包進行訪問規(guī)則的匹配，該連

接的后續(xù)報文直接在狀態(tài)表中進行匹配

143、USG6000系列防火墻IPsecweb配置不支持以下哪個應(yīng)用場景：（多選）

A、網(wǎng)關(guān)到網(wǎng)關(guān)

B、中心網(wǎng)關(guān)

C、分支網(wǎng)關(guān)

D、主機到主機

144、FTP協(xié)議也許用到的端標(biāo)語有：（多選）

A、20

B、21

C、23

D、80

145、SSL協(xié)議包含以下哪幾個協(xié)議：（多選）

A、握手協(xié)議

B、記錄協(xié)議

C、警告協(xié)議

D、發(fā)現(xiàn)協(xié)議

146、命令allowI2tpvirtual-templatevirtual-template-nnber[remoteremote-name]?當(dāng)12tp

grup為1時，必須制定remote-name參數(shù)................F

147、下面關(guān)于Client-initialized的L2TPVPN,說法錯誤的是：

A、遠程用戶接入internet后，可通過客戶端軟件直接向遠端的LNS發(fā)起L2Tp隧道

連接請求

B、LNS設(shè)備接受到用戶L2Tp連接請求，可以根據(jù)用戶名、密碼對用戶進行驗證

C、LNS為遠端用戶分派私有IP地址

D、遠端用戶不需要安裝VPN客戶端軟件

148、某些應(yīng)用如Oracle數(shù)據(jù)庫應(yīng)用，因長時間無數(shù)據(jù)流傳輸，使防火墻會話連接中斷，

從而導(dǎo)致業(yè)務(wù)中斷，以下哪個技術(shù)可以最優(yōu)地解決這個問題：

A、配置某業(yè)務(wù)長連接

B、配置默認會話老化時間

C、優(yōu)化包過濾規(guī)則

D、啟動分片緩存

149、卜.面針對VGMP的組管理描述錯誤的是：

A、各備份組的主/備狀態(tài)變化都需要告知其所屬的VGMP管理組

B、兩臺防火墻心跳口的接口類型和編號可以不同，只要可以保證二層互通即可

C、主備防火墻的VGMP之間定期發(fā)送Hello報文

D、主備設(shè)備通過心跳線交互報文了解對方狀態(tài)，并且備份相關(guān)命令和狀態(tài)信息

150.公司內(nèi)部用戶上網(wǎng)場景如圖所示，用戶上線流程有：

1、認證通過，USG允許建立連接

2、用戶訪問Internet輸入

3、USG推送認證界面，User=?Password=?

4、用戶成功訪問，設(shè)備穿件session

5、用戶輸入User=***Password=***

以下對的的流程排序應(yīng)當(dāng)：

A、2-5-3-1-4

B、2-3-5-1->1

C、2-1-3-5-4

D、2-3-1-5-4

151、以下哪個用戶系統(tǒng)可直接在USG產(chǎn)品系統(tǒng).上進行用戶賬戶或密碼等信息的修改：

A、VPNDB用戶

B、LDAP用戶

C、Radius用戶

D、所有用戶系統(tǒng)

152、關(guān)于VGMP協(xié)議描述錯誤的是：

A、VGMP將同一臺防火墻上的多個VRRP備份組都加入到一個管理組，由管理組統(tǒng)

一管理所有VRRP備份組

B、VGMP通過統(tǒng)一控制各VRRP備份組狀態(tài)的切換，來保證管理組內(nèi)的所有VRRP

備份組狀態(tài)都是一致

C、狀態(tài)為Active的VGMP組設(shè)備會定期向?qū)Χ税l(fā)送HELLO報文，Stdandby端只負

責(zé)監(jiān)聽HELLO報文，不會進行回應(yīng)

D、在缺省情況下當(dāng)Standby端三個HELLO報文周期沒有收到對端發(fā)送的HELLO報

文時，會認為對端出現(xiàn)故隙，從而將自己切換到Active狀態(tài)

153、終端安全系統(tǒng)可以實現(xiàn)組織管理和區(qū)域管理兩個維度的管理功能。-