华为HCIP-Security练习题01

混沌骑士

QUESTION 1
用户在使用网络扩展功能时不能访问内网资源，下列哪些选项不是该故障的可能原因？
A.用户 PC的虚拟网卡上有没有获取到虚拟 IP地址

B.防火墙与内网服务器间路由不可达

C.用户连接超时

D.虚拟 IP地址与 FW的接地址、内网服务器地址、 DHCP地址池地址冲突



Correct Answer: C
QUESTION 2在双机热备组网中，配置 HRP心跳接口，如果指定了对端心跳接地址，那么防火墙之间发送的 VGMP Hello报文是下列哪种类型的报文？
A.单播报文

B.广播报文

C.组播报文

D. UDP报文 Correct Answer: A

QUESTION 3双机热备组网图如下所示，途中 PC1的网关地址应该为主用设备的接 IP地址，即 10.110.10.2/24。

A.对

B.错 Correct Answer: B

QUESTION 4带宽管理功能仅支持对某个指定 IP发起的连接数量进行限制。

A.对

B.错 Correct Answer: B

QUESTION 5在使用 Radius服务器对用户进行认证时，在 Radius服务器和防火墙上都需要配置对应的用户名和密码。

A.对

B.错



Correct Answer: B
QUESTION 6如图所示为防火墙双机热备组网环境，在该组网环境中，以下哪条命令可以保证设备自动调整 VGMP管理组优先级，并自动进行主备切换？

A. hrp osfp-cost adjust-enable
B. hrp preempt delay 60
C. hrp interface GigabitEthernet 0/0/2
D. hrp auto-sync config
Correct Answer: A
QUESTION 7
下列对于网络扩展的工作过程描述错误的时哪项？
A.触发网络扩展功能后，首先需要远程用户与虚拟网关之间会建立一条 SSL VPN隧道

B.远程用户本地 PC会自动生成一个虚拟网卡，虚拟网关从地址池中随机选择一个 IP地址，分配给远程用户的虚拟网卡

C.远程用户虚拟网卡获得私网 IP地址后，需要手动配置到达内网服务器的路由，才能正常访问内网资

D.远程用户向企业内网的 SERVER发送业务请求报文，该报文通过 SSL VPN隧道到达虚拟网关


Correct Answer: C
QUESTION 8在IDC机房中可以用一台华为 USG6000系列防火墙划分成若干个虚拟系统，然后由根防火墙管理员生成虚拟系统管理员分别实现对各虚拟系统的管理。
A.对

B.错


Correct Answer: A
QUESTION 9
两台 FW之间通过 IPSec互联，在 FW_A中执行 display ike sa，结果显示如下，下列说法正确的时哪些？
（多选）


A. FW_A是IKE安全通道协商的发起方

B. FW_B是IKE安全通道协商的发起方

C.防火墙之间的 SA已经成功建立

D.防火墙之间的 SA尚未建立成功


Correct Answer: AC
QUESTION 10
双机热备中，多少个周期没有收到对端发送的 HRP HELLO报文时， Slave 端会认为对端出现故障？

A. 1个

B. 2个

C. 3个

D. 5个


Correct Answer: C
QUESTION 11华为 USG6000产品资源分配支持以下哪些资源分配方式？
A.定额分配

B.自动分配

C.手工分配

D.不定额配


Correct Answer: AC
QUESTION 12某企业组网如图所示，其中 USG_A与USG_B上配置了双机热备， USG_A为主设备。管理员想在防火墙上配置 SSL VPN使分支机构员工可以通过 SSLVPN访问总部。该 SSL VPN的虚拟网关地址应该为什么？

A. 202.38.10.2/24
B. 202.38.10.3/24
C. 202.38.10.1/24
D. 202.38.10.2/24 Correct Answer: C
QUESTION 13 GRE Over IPSec隧道可以实现 IPX报文的传输。
A.对

B.错 Correct Answer: A

QUESTION 14华为 UMA产品可采用逻辑串联的方式部署，关于这种部署方式的逻辑模式，下列哪种说法是正确的？

A.逻辑模式：人 →从账号 →授权 →主账号 →目标系统

B.逻辑模式：人 →主账号 →授权 →从账号 →目标系统

C.逻辑模式：授权 →从账号 →人→主账号 →目标系统

D.逻辑模式：目标系统 →从账号 →授权 →主账号 →人


Correct Answer: B
QUESTION 15全局选路是指到达目的网络有多条等价路由时，华为 USG600防火墙可以根据管理员设置的链路带宽、权重、优先级或者自动探测到的链路质量动态地选择出接，实现链路资源的合理利用和用户体验的提升。
A.对

B.错


Correct Answer: A QUESTION 16
流量最终从出接发送时，受出接带宽的限制。如果流量大于出接带宽，将根据下列哪项对流量进行队列调度，保证高优先级的报文被优先发送？
A.重标记 DSCP优先级

B.转发优先级

C.带宽

D.策略匹配顺序


Correct Answer: B
QUESTION 17
关于服务器负载均衡，可以依靠下列哪一种技术实现感知服务器状态的变化，保证用户请求不会被发送到故障服务器上？
A. VGMP Hello报文

B. VRRP报文

C. DPD

D.服务健康检查 Correct Answer: D


QUESTION 18
如图所示为 BFD for OSPF的组网场景：


FW_A、FW_B和FW_C三台设备之间运行 OSPF，互为邻居。邻居状态到达 FUL态，并配置 BFD与OSPF联动， BFD完成建立 BFD会话。
以下哪些说法是正确的？
A.当链路 a出现故障， BFD首先感知， FW_A和FW_B会马上收敛

B. BFD能够提供秒级别的故障检测机制

C. BFD发现邻居 Down事件后，设备之间重新进行路由计算，新的路由为链路 b

D.当链路 a发生故障时， OSPF自动收敛并通知 BFD


Correct Answer: AC QUESTION 19
如图所示， Bf绑定静态路由，管理员在防火墙 A上做了如下配置 :
[USG6000_A]bfd [USG6000A-bfd]quit [USG6000_A]bfd as bind peer-IP 1.1.1.2 [USG6000_A-bfd-session-aa]discriminator local 10 [USG6000_A-bfd-session-aa]discriminator remote 10 [USG6000_A-bfd-session-aa]commit [USG6000_A-bfd-session-aa]quit
对于该段配置，以下哪些说法是正确的？
A.命令 bid as bind peer-IP 1.1.1.2用来创建检测链路状态的 BFD会绑定策略

B.该命令中 [USG6000]bd配置错误，应改为 [US6000_A] bfd enable以便启用 BFD功能

C. [USG6000_A-bfd-session-aa]commit为可选项配置，如不配置系统将缺省提交配置并生成 BFD会话日志信息，但不建立会话表

D.防火墙上还需要将 BFD会话与静态路由绑定的命令 : [USG6000_A]IP route-static 0.0.0.0 0 1.1.1.2 track bid-session aa


Correct Answer: AD
QUESTION 20使用 Web页面登录 SSL VPN网关，间隔一段时间后会自动退出可能的原因是 VPN网关的会话超时。
A.对

B.错


Correct Answer: A QUESTION 21
以下哪些场景可以实现带宽复用？
A.多条流量匹配到了同一个带宽策略，多条流量之间可以实现带宽复用

B.多个带宽策略以策略共享的方式引用带宽通道，则匹配了带宽策略的多条流量之间可以实现带宽复用

C.匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用

D.多个带宽策略以策略独享的方式引用带宽通道，则匹配了带宽策略的多条流量之间可以实现带宽复用


Correct Answer: ABC QUESTION 22
关于虚拟接口的说法，哪些是正确的？
A.虚拟接口有可能会因为未配置 IP地址而导致协议层 DOWN

B.虚拟接口必须加入安全区域才可以工作

C.虚拟接口可以不配置 P地址

D.虚拟接口是一个逻辑接口，需要为其配置 IP地址


Correct Answer: BC QUESTION 23
保证流量传输不受服务器或链路故障的影响，管理员配置了链路的健康检查，但配置完成后发现健康检查的状态仍为 Down，可能的原因有哪些？
A.对端设备未放开相应的协议和端口

B.安全策略没有放行流量

C.进行健康检查的链路出现故障

D.健康检查没有在接口调用 Correct Answer: ABC


QUESTION 24
关于下面智能选路中的配置命令，下哪些选项的描述是正确的？
# multi-interface mode priority-of-link-quality priority-of-link-quality parameter delay jitter loss priority-of-link-quality protocol tcp-simple add interface GigabitEthernet1/0/1 add interface GigabitEthernet1/0/2
A.使用的是基于带宽的负载分担方式

B.链路质量探测的参数有时延，抖动和丢包率

C.使用的 TCP协议进行探测

D.选择了 3条链路进行负载分担


Correct Answer: BC
QUESTION 25实现 USG6000防火墙的双机热备功能，不需要以下哪种协议？
A. HRP
B. VRRP
C. VGMP
D. IGMP
Correct Answer: D
QUESTION 26如下图所示为 L2TP over IPSec 应用场景，客户端使用 pre-shared-key方式进行 IPSec认证，在 LNS端应该如何配置 IPSec安全策略？

A.采用 IKEv1主模式进行协商

B.采用 IKEv2进行协商

C.配置 IPSec安全策略

D.配置 IPSec策略模板


Correct Answer: BD
QUESTION 27
会话保持可以基于哪种算法实现？
A.最小连接算法

B.源IP hash算法

C.简单轮询算法

D.加权轮询算法


Correct Answer: B
QUESTION 28某企业为了让 EMAIL、ERP等应用在正常工作时间内不受到影响，希望此流可获得的最小带宽不少于 60mps。
A. Time-range work_time period-range 09:00:00 to 18:00:00 working-day traffic-policy profile_ email bandwidth guaranteed-bandwidth whole both 60000 rule name policy_email source-zone trust destination-zone untrust application app BT application app YouKu time-range work_time action qos profile profile_email
B. Time-range work_time period-range 00:00:00 to 09 :00:00 working-day traffic-policy profile_ email bandwidth guaranteed-bandwidth whole both 60000 rule name policy_email source-zone trust destination-zone untrust application app LotusNotes application app OWA  time-range work_time action qos profile profile_email
C. Time-range work_time period-range 09:00:00 to 18 :00:00 working-day traffic-policy profile_ email bandwidth guaranteed-bandwidth whole both 60000 rule name policy_email source-zone trust destination-zone untrust application app LotusNotes application app OWA  time-range work_time action qos profile profile_email
D. Time-range work_time period-range 09:00:00 to 18 :00:00 working-day traffic-policy profile_ email bandwidth maximum -bandwidth whole both 60000 rule name policy_email source-zone trust destination-zone untrust application app LotusNotes application app OWA  time-range work_time action qos profile profile_email
Correct Answer: C
QUESTION 29
某企业已经部署了 eSight平台，此平台可管理以下哪些设备？

A.门禁

B.存储设备

C.交换机

D.防火墙


Correct Answer: BCD
QUESTION 30 IKEv1协商第一阶段主模式协商过程中包含下列哪些信息？
A. IKE提议集

B. IPSec 提议集

C. DH密钥交换公共信息

D.双方身份信息


Correct Answer: ACD
QUESTION 31防火墙输出的威肋日志、内容日志，策略命中日志、邮件过滤日志、 URL过滤日志以及审计日志等全部属于下列哪个日志类别？
A.会话日志

B.丢包日志

C.业务日志

D.系统日志


Correct Answer: C
QUESTION 32如下图所示，防火 GE0/0/0接与 PC主机通过网线直连。

以下哪些命令可以共同完成对系统配置文件 vrpcfg.cfg备份操作？
A.在防火墙上完成以下命令： [USG]ftp server enableInfo:Start FTP server [USG]aaa [USG-aaa]local-user ftpuser password simple Ftppass [USG-aaa]local-user ftpuser service-type ftp [USG-aaa]local-user ftpuser ftp-directory hda1:/

B.在防火墙上完成以下命令： <USG>ftp 192.168.0.2 <USG>ftpuser <USG>password <USG>get vrpcfg.cfg

C.在PC机上完成以下命令： ftp 192.168.0.1 ftpuser password get vrpcfg.cfg

D.在PC机上完成以下命令： ftp 192.168.0.1 ftpuser password put vrpcfg.cfg


Correct Answer: AC
QUESTION 33下列关于 IPSec说法错误的是哪项？
A.传输模式下， ESP不对 IP数据包头进行验证

B. AH只能验证数据报文不能对其进行加密

C. ESP可以支持 NAT穿越

D. AH协议使用 3DES算法进行数据验证


Correct Answer: D
QUESTION 34如果使用 SSL VPN提供文件共享功能，共享目录下的所有文件对终端用户都是可见的。对于文件共享路径的配置，下列哪项描述是正确的？
A. SMB类型资源的格式为 ://IP地址 (主机名 )/共享文件夹。 SMB类型资源路径可以是多级共享文件来目录

B. NFS类型资源的格式为 :// IP地址 (主机名 )/dir1/dir2/共享文件夹。 NFS类型资源路径只能有一级共享文件夹目录

C. Windows系统下文件共享资源选择 SMB


D. Linux系统下文件共享资源选择 SMB
Correct Answer: C QUESTION 35
关于虚拟系统的描述，哪个是错误的？
A. NGFW上存在根系统和虚拟系统两种类型的虚拟系统

B. NGFW上缺省存在的一个特殊的虚拟系统叫做根系统

C.在NGFW上划分出来的、独立运行的逻辑设备叫做虚拟系统

D.若虚拟系统功能未启用，根系统就不存在


Correct Answer: D QUESTION 36
以下哪种设备可以在虚拟的环境内对网络中传输的未知恶意文件进行检测？
A. eSight
B. LogCenter
C. FireHunter
D. WAF
Correct Answer: C QUESTION 37
关于服务器负载均衡技术，在防火墙上执行的命令和得到的输出如下：以下说法正确的是？

A.该负均衡策略启用了服务健康检查功能，采用的检测报文是 TCP报文

B.该负载均衡策略采用的是加权轮询算法

C.该负载均衡策采用的是加权最小连接算法

D.该负载均衡策的真实服务器均属于强制不可用状态


Correct Answer: B QUESTION 38
完成智能选路的配置后，发现流量并没有按照配置的方式进行转发，这时管理员可以采取的措施有哪些？
A.重新配置智能选路策略

B.等待会话表老化

C.通过命行 reset firewall session table手动清除会话表信息

D.提交配置，使其生效 Correct Answer: BC

QUESTION 39
在配置 IPSec VPN证书认证方式时，如果选择 “RSA签名 ”方式认证，需要完成下列哪些步骤的配置？


A.上传 CA证书

B.上传本地证书

C.上传对端设备证书

D.创建本端设备公私密钥对 Correct Answer: ABC

QUESTION 40
当BFD会话状态处于 Init时，以下哪个说法是正确的？


A.会话刚刚创建


B.本端希望使会话进入 Up状态


C.会话已经建立成功


D.会话处于管理性 Down状态



Correct Answer: B QUESTION 41
下列哪项是造成该故障的可能原因？
A.网关和内网服务器间路由不可达

B.用户没有被分配到 Web代理的资源

C.安全策略没有放行外网到内网服务器的流量

D. SSL VPN单臂部署旁挂在防火墙上，需要使用 NAT将SSL VPN网关私网地址映射为公网地址，地址映射错误


Correct Answer: B
QUESTION 42 IP-LINK会向指定的 P地址发送探测包，缺省情况下当 3次探测失败后，则认为通往此 IP地址的链路出现故障。
A.对

B.错 Correct Answer: A


QUESTION 43
下列哪一项不是带宽管理的目的？
A.限制带宽

B.保证连接数

C.限制连接数

D.保证带宽


Correct Answer: B
QUESTION 44用户使用 SSL VPN 访问内网资源，采用服务器认证的方式对用户进行认证，为了区分不同地区的公司用户，为不同地区的用户建立了不同的用户域，某用户在使用 SSL VPN进行认证时，认证提示密码错误。下列哪些选项是该故障的可能原因？
A.用户输入了错误的用户名和密码

B.用户输入用户名时没有输入用户城

C.管理员配置了错误的用户域

D.用户名和密码不存在 Correct Answer: ABC


QUESTION 45
以下不提供加密功能的 VPN封装协议有哪些？

A. ESP
B. AH
C. L2TP
D. GRE
Correct Answer: BCD
QUESTION 46在 IPSec VPN中使用数字证书进行身份认证，如若采用 IKEv1主模式进行协商，证书的验证是在消息 5和消息6中完成的。
A.对

B.错 Correct Answer: A

QUESTION 47带宽策略中的动作 no-qos，表示不对流量进行限制。

A.对

B.错 Correct Answer: A

QUESTION 48选择图形化配置 L2TP Over IPSec，应选择 IPSec点到点场景进行部署。

A.对

B.错


Correct Answer: B QUESTION 49
为了防止链路过载，造成链路拥塞，管理员可以在接设置过载保护阈值。当某条链路的带宽使用率达到阈值，已建立会话的流量仍从该链路转发，但后续新建立会话的流量不再通过此链路转发。
A.对

B.错 Correct Answer: A

QUESTION 50
关于 L2TP over IPSec VPN，下列哪种说法是正确的？


A. IPSec报文触发 L2TP隧道

B. L2TP报文触发 IPSec SA

C. L2TP隧道先建立

D. IPSec隧道先建立


Correct Answer: BD QUESTION 51
对于虚服务技术，以下哪些说法是正确的？
A.对于多个真实服务器，真实服务器需处在同一网段和同一安全区域中

B.对于多个真实服务器，真实服务器可不在同网段中，但必须在同安全区域中

C.对于多个真实服务器，真实服务器可不在同一安全区域中，但必须在同一网段中

D.对于多个真实服务器，真实服务器所在的网段及安全区域不会影响负载均衡功能


Correct Answer: A
QUESTION 52创建虚拟系统时，会自动生成相同名字的 VPN实例。且系统会自动为其创建一个逻辑接口，逻辑接口编号从哪一个数值开始？
A. 0
B. 1
C. 2
D. 3 Correct Answer: B
QUESTION 53
下列哪些命令不属于 IPSec故障排错时常用的命令？

A. display IPSec statistics
B. display IPSec session
C. display ike sa
D. display IPSec sa Correct Answer: B
QUESTION 54关于 SSL VPN虚拟网关采用的认证方式，以下哪项描述是错误的？
A.本地认证是指 SSL VPN用户的用户名和密码保存在防火墙本地，在防火墙上完成用户认证

B.服务器认证是指 SSL VPN用户的用户名和密码保存在远端务器上，需要在服务器上完成用户认证

C.证书匿名认证是指防火墙只通过验证客户端证书和密码的有效性来验证用户的身份

D.证书挑战认证是指将验证客户端证书与本地认证或服务器认证结合起来 Correct Answer: C

QUESTION 55在接口下由 IP binding vpn-instance vpn-instance name绑定的虚拟系统实例是随着虚拟系统创建而产生的。

A.对

B.错


Correct Answer: B QUESTION 56
以下哪些是带宽管理的限制元素？
A.连接数

B.带宽

C. P2P协议数据流限制

D. 1M协议数据流限制


Correct Answer: AB QUESTION 57
关于带宽限制的说法，哪个是错误的？
A.公网接口是特指华为 USG6000产品连接 Internet的接口

B.入方向（ inbound）流量是指从公网接口流向私网接口的流量。受入方向带宽的限制。

C.出方向（ outbound ound）流量是指从私网接口流向公网接口的流量。受出方向带宽的限制

D.虚拟系统的全部流量＝入方向流量＋出方向流量＋私网接口到私网接口的流量＋公网接口到公网接口的流量


Correct Answer: A
QUESTION 58 IPSec隧道可以使用 GRE over IPSec传播组播报文。
A.对

B.错


Correct Answer: A
QUESTION 59
某企业的 USG防火墙上启用了服务器健康性能检测机制，检测后端三台真实服务器（ ServerA，
ServerB，ServerC）的运行状态，当 USG多次收不到来自 ServerB的回应报文时，将禁止使用 ServerB，
并将流量按配置好的策略分配到其他服务器上。

A.对

B.错 Correct Answer: A

QUESTION 60华为 USG6000系列设备在部署双机热备时，默认情况下，防火墙不会备份以下哪些状态信息？

A. IPSec隧道和序列号

B.到防火墙自身的会话

C. PAT方式下的端口映射表

D.未完成 3次握手的 TCP半连接会话 Correct Answer: BD


QUESTION 61
下列有关接口带宽的说法，以下哪些选项是正确的？
A.流量入接口时，丢弃超过了预先定义的接口带宽的流量

B.在流量出接口时，接口带宽用于标记流量的优先级，作为后续队列调度的依据

C.受入接口带宽的限制，如果流量大于入接口带宽，将根据带宽通道中设置的重标记 DSCP优先级对流量进行队列调度，保证高优先级的报文被优先发送

D.受入接口带宽的限制，如果流量大于入接口带宽，将根据带宽通道中设置的转发优先级对流量进行队列调度，保证高优先级的报文被优先发送


Correct Answer: D
QUESTION 62
负载均衡实现了将访问同一个 IP地址的用户流量分配到不同服务器上的功能，其采用的主要技术有哪些？

A.虚服务技术

B.服务器健康性检测

C.双机热备技术

D.负载均衡算法 Correct Answer: ABD

QUESTION 63某企业部署了 LogCenter日志事件管理系统，可用于满足以下哪些需求？

A. NAT溯源

B.报表分析

C.智能配置

D.无线宽带集群设备管理 Correct Answer: AB


QUESTION 64
在设备上配置了 Link-group后，输入 display link-group 1命令，显示了如下信息：

<USG>display link-group 1 link group 1,total 2,fault 0 GigabitEthemet0/0/1: invalid GigabitEthemet0/0/2:fault
由此可以得出什么结论？
A. GigabitEthemet0/0/2接口发生了故障

B. GigabitEthemet0/0/1接口发生了故障

C. GigabitEthemet0/0/2因为组内其他接口故障而被强制转换为 fault状态

D. GigabitEthemet0/0/1因为组内其他接口故障而被强制转换为 fault状态


Correct Answer: BC
QUESTION 65防火墙输出的威胁日志、内容日志、策略命中日志、邮件过滤日志、 URL过滤日志以及审计日志等全部属于下列哪种日志类别？
A.会话日志

B.丢包日志

C.业务日志

D.系统日志


Correct Answer: C QUESTION 66
双机热备中，备份通道必须是接口板上的主接口，不支持哪种类型？
A. Ethernet
B. GigabitEthemet
C. E1
D. Vlan-if Correct Answer: C
QUESTION 67
下列选项中对于 SSL VPN会话恢复描述错误的是？

A.采用会话恢复的方式用于减少 SSL握手过程中造成的巨大开销

B.会话恢复只有在客户端和服务器端建立过会话后，再次重启会话才生效

C.会话恢复简化了整个 SSL的握手阶段，能够快速进行数据传输

D.会话超时后，客户端和服务器端需要重新认证 Correct Answer: D

QUESTION 68关于 IKE的描述，以下哪项是正确的？

A. IKE是UDP承载的一个协议，是 IPSec的信令协议

B. IKE为IPSec协商安全联盟，并把建立的参数和安全联盟交给 IPSec

C. IPSec使用 IKE协商的 SA对报文进行加密或验证处理

D. IPSec必须使用 IKE进行密钥交换


Correct Answer: ABC QUESTION 69
关于服务器负载均衡技术，以下哪些选项是正确的？
A.实服务器的 IP地址可以和虚拟防火墙的 IP地址相同

B.配置服务器负载均衡功能后，在配置域间安全策略时，需针对虚拟服务器的 IP地址进行配置。在配置路由时，需针对实服务器的 IP地址进行配置

C.配置服务健康检查功能后，需要配置 FW和实服务器所在安全域之间的安全策略，允许探测报文通过，否则将导致健康检查失败

D.实服务器的 IP地址不能和虚拟防火墙的 IP地址相同


Correct Answer: BCD QUESTION 70
以下哪些属于定额分配的内容？
A. SSL VPN虚拟网关

B.安全区域

C.接口

D. VLAN


Correct Answer: AB QUESTION 71
关于带宽策略的匹配顺序，下列哪些选项是正确的？
A.按照 ID号从小到大依次匹配

B.按照界面上的排列顺序从上到下依次匹配

C.对于多级策略，流量先匹配子策略，再去匹配父策略

D.对于多级策略，流量先匹配父策略，再去匹配子策略 Correct Answer: BD

QUESTION 72
关于 IKE DPD 说法，以下哪项是错误的？


A.用于 IKE邻居状态的检测

B. IKE Peer之间定时发送 DPD报文

C. DPD的周期型检测模式 :如果当前距离最后一次收到对端的 IPSec报文的时长已超过 DPD空闲时间，则本端主动向对端发送 DPD请求报文

D. DPD的按需型检测模式只在要发送加密报文前并且距离最后一次收到对端的 IPSec报的时长已超过 DPD空闲时间时发送查询


Correct Answer: B
QUESTION 73在华为 USG6000产品上有如下一段带宽策略配置命令 :
[USG] traffic-policy [USG-policy-traffic] profile class1 [USG-policy-traffic-profile-class1] bandwidth maximum-bandwidth whole both 1000 [USG-policy-traffic-profile-class1] quit [USG-policy-traffic] rule name policy1 [USG-policy-traffic-rule-policy1] source-zone trust [USG-policy-traffic-rule-policy1] destination-zone untrust [USG-policy-traffic-rule-policy1] source-address 192.168.1.0 mask 255.255.255.0 [USG-policy-traffic-rule-policy1] destination-address 192.168.2.0 mask 255.255.255.0 [USG-policy-traffic-rule-policy1] action qos profile class1
以下哪些说法是正确的？
A. Class11定义了整体限流，并且限流 1000kbps

B.匹配 Policy11的流量直接放行，不进行限流

C. 192.168.1.0/24的主机访问 192.168.2.0/24的数据流将会被限流

D.匹配 Policy1的流量，会对每个源 IP进行流量控制


Correct Answer: AC QUESTION 74
每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束，即符合该带宽策略匹配条件的流量，独享最大带宽资源。以下哪个选项属于这种带宽通道的引用方式？
A.带宽复用

B.动态均分

C.策略共享

D.策略独占 Correct Answer: D

QUESTION 75在一个 Eth-Trunk接口中，通过在各成员链路上配置不同的权重，可以实现流量负载分担。

A.对

B.错 Correct Answer: A

QUESTION 76华为 USG6000防火墙支持的负载均衡算法有哪些？

A.源 IP hash 算法

B.简单轮询算法

C.加权轮询算法

D.比率 (Ratio)


Correct Answer: ABC QUESTION 77
某大型企业有三个部门，市场部，研发部和销售部，每个业务部门都有自己的内部资源，公司希望每个部门出差员工使用 SSL VPN访问内网资源时，能够根据需求为不同部门的员工分配不同的资源访问权限，并相互隔离，该如何解决此问题？
A.为不同部门的员工分配不同角色

B.通过防火墙单臂组网解决

C.通过防火墙双臂组网解决

D.防火墙上创建多个虚拟网关，每个业务部门独立使用自己的虚拟网关对外提供 SSL VPN接入服务


Correct Answer: D
QUESTION 78开启智能选路会话保持功能后，当某个智能选路接口 down，该接口的所有流量都将在其他智能选路接口上进行转发，当该接口重新 UP以后，将出现什么问题？
A.该接口不能转发流量

B.该接口流量提升非常缓慢

C.该接口不能参与智能选路

D.该接口物理状态为 UP，协议状态为 error-down需要手工加入智能选路


Correct Answer: B
QUESTION 79某企业分支和总部之间希望能够传输组播报文，如图所示， FW_B为分支机构网关，并使用该 FW_B与总部立 IPSec VPN（采用预共享密钥认证），在 FW_B上需要配置如下哪些部分？

A.配置路由，将需要经过 GRE over IPSec隧道传输的流量下一跳设置为 12.1.1.1/24

B.在GRE Tunnel接口上应用 IPSec安全框架

C.配置 security policy，引用规则为 permit:192.168.0.0/24->Internet的数据流

D.配置路由，将需要经过 GRE over IPSec隧道传输的流量下一跳设置为 Tunnel接口地址


Correct Answer: BD
QUESTION 80 Web Link由于做了加密和适配，因此在安全性和适用性方面比较高。
A.对

B.错


Correct Answer: B QUESTION 81
某公司网络管理员为保证较大业务流量的正常转发，利用两台防火墙实现双机热备。如图所示，当配置完成后，发现当防火墙 A发生故障时，故障前正在传输的数据流发生了严重的丢包，但是故障后新传输的数据流可以正常工作。

造成现象可能的原因有哪些？
A.在防火墙上配置的 HRP抢占时间小于 OSPF的收时间

B.没有配置根据 HRP状态调整 OSPF的COST值功能

C.在USG上没有配置会话快速备份功能，在来回路径不一的情况下无法正常转发报文

D.未在防火上下行接口上启用 HRP track Correct Answer: C

QUESTION 82对于 SVN单臂组网场景，以下哪项描述是正确的？

A.单臂组网模式中， SVN单臂挂接在防火墙、路由器或交换机上，内网和 Internet 都通过这个网口与 SVN进行通信

B.为了使用户能够访问 SVN设备， SVN的IP必须为公网的 P地址

C.防火墙上需配置 NAT SERVER，将 SVN的地址映射到防火墙某一公网 P上

D.防火墙上需要映射 SVN的端口号为 445


Correct Answer: AC
QUESTION 83
健康检查可以根据不同类型的目的设备发送相应协议的探测报文，防火墙支持发送的协议报文包括下列哪些选项？
A. ICMP
B. TCP
C. UDP
D. SSH
Correct Answer: AB
QUESTION 84
关于虚拟系统管理员的说法，哪些是正确的？
A.启用虚拟系统功能后，设备上已有的管理员将成为根系统的管理员

B.创建虚拟系统后，根系统管理员可以为虚拟系统创建一个或多个管理员

C.虚拟系统管理员可以进入根系统的配置界面，配置和查看业务

D.虚拟系统管理员用户名格式统一为 “管理员名＠虚拟系统名 ”


Correct Answer: AB
QUESTION 85
用户在使用端口转发功能时，不能访问内网资源，下列哪项不是造成该故障的可能原因？
A.端口转发功能没有启用

B.用户连接是否超时

C.安全策略没有放行流量

D.用户 PC的虚拟网卡上有没有获取到虚拟 IP地址


Correct Answer: D
QUESTION 86针对企业员工个人需求和企业策略遵从之间的矛盾，华为 Any Office提供了有效的平衡方案。移动安全和管理本质上要解决的问题是？
A.数据不泄密（ Privacy）

B.完整性（ Integrity）

C.身份和设备可识别（ Identity）

D.设备可管理（ Compliance）


Correct Answer: ACD
QUESTION 87
在根据链路优先级主备备份的选路方式中，如果没有开启过载保护，当主链路的链路出现拥塞时，会发生什么情况？
A.自动启用备用链路分担流量

B.根据默认的过载保护值将流量分担到备用链路。

C.不启用备用链路，主链路继续转发流量


D.主备链路根据链路的优先级比值分担流量
Correct Answer: C QUESTION 88
在华为 USG6000产品上有如下一段带宽策略配置命令 :
[USG]traffic-policy [USG-policy-traffic]profile class1 [USG-policy-traffic-profile-class1]bandwidth maximum-bandwidth whole both 1000 [USG-policy-traffic-profile-class1]bandwidth connection-limit whole both 20 [USG-policy-traffic-profile-class1]quit [USG-policy-traffic]rule name policy1 [USG-policy-traffic-rule-policy1]source-zone untrust [USG-policy-traffic-rule-policy1]destination-zone dmz [USG-policy-traffic-rule-policy1]destination-address 10.10.10.0 mask 255.255.255.0 [USG-policy-traffic-rule-policy1]action cos profile class1 [USG-policy-traffic-rule-policy1]quit [USG-policy-traffic]rule name policy2 [USG-policy-traffic-rule-policy2]source-zone ne dmz [USG-policy-traffic-rule-policy2]destination-zone untrust [USG-policy-traffic-rule-policy2]destination-address 10.10.10.5 mask 255.255.255.255 [USG-policy-traffic-rule-policy2]action no-qos
以下哪些说法是正确的？
A.访问目的地址为 10.10.10.5的主机时将会被限制连接数

B.访问目的地址为 1010.10.5的主机时将不受带宽策略限制

C.访问目的网段 10.10.10.0/24时，将受到最大连接数为 20的流量限制

D.访问目的网段 10.10.10.0/24时，将不会受到最大连接数为 20的流量限制


Correct Answer: BC
QUESTION 89
关于防火墙接口绑定 VPN实例的配置，以下哪个选项是正确的？

A. IP binding vpn-instance vpn-id
B. IP binding vpn-instance vpn-instance-name
C. IP binding vpn-id
D. IP binding vpn-id vpn-instance-name
Correct Answer: B
QUESTION 90
以下哪些是虚拟系统分流的方式？
A.接口工作在二层，使用基于接口的分流

B.接口工作在二层，使用基于 vlan的分流

C.接口工作在三层，使用基于路由的分流

D.接口工作在三层，使用基于接口的分流


Correct Answer: BD
QUESTION 91
IPSec VPN使用以下哪种加密方式对通信数据流进行加密？

A.公钥加密

B.私钥加密

C.对称密钥加密

D.预共享密钥加密


Correct Answer: C
QUESTION 92关于 Radius协议，以下哪些说法是正确的？
A.使用 UDP协议传输 Radius报文

B.认证和授权端口号可以是 1812

C.使用 Radius协议传输用户账号和密码时要对账号进行加密处理

D.认证和授权端口号可以是 1645


Correct Answer: ABD
QUESTION 93使用 HRP技术，备防火墙的所有配置信息均可由主防火墙通过 HRP同步过来，不需进行任何配置，且重启后配置信息不丢失。
A.对

B.错 Correct Answer: B

QUESTION 94
基于如下某防火墙上 ISP路由的配置信息，以下哪些选项的描述是正确的？


A.一共配置 2个csv文件

B.已下发 ISP路由的文件有 2个

C. china-unicom.csv文件在防火墙上绑定了 2个出接口

D. china-unicom.csv的2个出接口都在路由表里下发了路由



Correct Answer: BC QUESTION 95
在同一组父子策略中，不能引用同一个带宽通道。
A.对

B.错 Correct Answer: A

QUESTION 96关于 IKEv1主模式和野蛮模式下列哪一项说法是正确的？

A.野蛮模式下第一阶段的所有协商包都加密

B.主模式下第一阶段的所有协商包都加密

C.野蛮模式用到 DH算法

D.无论协商成功与否，都将进入到快速模式


Correct Answer: C
QUESTION 97配置完成防火墙双机热备后，在 web配置界面下，选择 “系统 ”-“高可靠性 ”-“双机热备 ”，单击 “检查 HRP配置一致性 ”对应的 “检查 ”按钮。弹出提示窗口 “一致性检查结果 :发送失败 ”，以下哪一项配置可以解决该问题（假设心跳接口已被加入 DMZ区域）
A. security-policy rule name trust_local source-zone trust local destination-zone trust local action permit
B. security-policy rule name trust_dmz source-zone trust dmz destination-zone trust dmz action permit
C. security-policy rule name untrust_dmz source-zone untrust dmz destination-zone untrust dmz action permit
D. security-policy rule name local_dmz source-zone local dmz destination-zone local dmz action permit Correct Answer: D
QUESTION 98
如图所示，远程用户使用 Web代理访问内网资源，则下列选项对于 Web代理分析错误的是哪项？


A.图中 Web代理使用的是 Web Link方式实现的

B.如果要实现 Web代理的功能，远程用户首先要与 FW虚拟网关之间建立 HTTPS会话

C.远程用户与 FW虚拟网关建立 HTTP的会话后，再与 Web Server建立 HTTPS会话

D. Web Link的实现方式具有加密功能，因此可以保证远程用户安全访问内网资源


Correct Answer: CD
QUESTION 99在双机热备与 IP-Link联动的组网环境下（如下图所示），在主用防火墙的配置中，以下哪项是实现 IP-Link与双机热备联动的关键配置？

A. hrp mirror IP-Link 1
B. hrp track IP-Link1
C. hrp track IP-Link1 enable
D. IP-Link check enable
Correct Answer: B
QUESTION 100
在USG的系统视图下，需要删除 hda1:/目录下的 sslconfig.cfg文件，以下哪条命令能完成该操作？

A. cd  hda1/remove sslconfg.cfg
B. cd  hda1/delete sslconfg.cfg
C. cd  hda1/rmdir sslconfg.cfg
D. cd  hda1/mkdir sslconfg.cfg
Correct Answer: B
QUESTION 101
将整体最大带宽除以在线 IP数里得到的值作为每 IP最大带宽。以下哪个选项属于这种带宽的分配方式？

A.带宽复用

B.动态均分

C.策略共享

D.策略独占


Correct Answer: B
QUESTION 102
如果防火墙工作在二层，与内网之间直连或通过二层交换机相连，以下哪个选项不可以作为策略路由的匹配条件？
A. IP地址

B. MAC地址

C.入接口

D. DSCP优先级


Correct Answer: B
QUESTION 103在IPSec VPN中，以下哪个报文信息不存在？
A. AH报文头

B. AH报文尾

C. ESP报文头

D. ESP报文尾 Correct Answer: B

QUESTION 104
IPSec VPN使用数字证书进行身份验证时，以下哪项是不需要用来检验数字证书是否合法的？


A.证书签名


B. CRL证书序列号

C.证书公钥

D.证书有效期 Correct Answer: C

QUESTION 105对于 SSL VPN所支持的业务，以下哪项描述是正确的？

A. Web代理业务实现了无客户端的页面访问。远程用户与防火墙虚拟网关之间建立 HTTP会话，然后防火墙虚拟网关再与 Web Server建立 HTTPS会话

B.文件共享业务将不同的系统服务器的共享资源以网页的形式提供给用户访问

C.端口转发是通过在客户端上获取指定目的 P地址和端口的 UDP报文，实现对内网指定资源的访问

D.网络扩展业务远程客户端将自动安装虚拟网卡获取虚拟地址，就像在局域网一样能够使用各种业务，可以随意访问任意内网资源


Correct Answer: BD
QUESTION 106以下信息表示 USG强制真实服务器为不健康状态，而且真实服务器 4.4.4.4目前是不健康状态。

A.对

B.错 Correct Answer: B

QUESTION 107配置 IP-LINK组发送检测报文的时间时， interval取值越大，越能减小设备 CPU的负担，但链路检测的灵敏度降低。

A.对

B.错


Correct Answer: A
QUESTION 108
下列哪种状态表示 BFD会话已经成功建立？

A. Down
B. Init
C. UP
D. Admin Up
Correct Answer: C
QUESTION 109 USG6000防火墙上为三台 FTP服务器配置了负载均衡功能，三台实服务器的地址和权重值分别为
10.
1.1.3/24（Weight 16）,10.1.1.4/24（Weight 323）,10.1.1./24(Weight 16），虚服务器地址为

202.152.26.123/24。一台主机地址为 202.152.26.3/24的PC对该 FTP服务器发起访问。在防火墙上运行 display firewall session table 命令，下列哪一种情况说明成功实现了负载均衡功能？


A. <USG>display firewall session table Current total sessions: 1 ftp VPN: public->public 202.152.26.3:3327->10.1.1.4:21
B. <USG>display firewall session table Current total sessions: 3 ftp VPN: public->public 202.152.26.3:3327->202.152.26.123:21[10.1.1.3:21] 202.152.26.3:3327->202.152.26.123:21[10.1.1.4:21] 202.152.26.3:3327->202.152.26.123:21[10.1.1.5:21]
C. <USG>display firewall session table Current total sessions: 1 ftp VPN: public->public 202.152.26.3:3327->202.152.26.123:21
D. <USG>display firewall session table Current total sessions: 3 ftp VPN: public->public 202.152.26.3:3327->10.1.1.3:21 202.152.26.3:3327->10.1.1.4:21 202.152.26.3:3327->10.1.1.5:21
Correct Answer: B
QUESTION 110某用户希望限制 192.168.1.0/24网段的最大带宽为 500M，并且限制网段内的所有 P地址一直保持 1M的带宽。以下哪些配置可以完成此需求？
A.配置每 IP限流，设置 192.168.1.0/24网段的主机最大带宽为 500M

B.配置整体限流，限制 192.168.1.0/24网段的最大带宽为 500M

C.配置整体限流，限制 192.168.1.0/24网段的最大带宽为 500M

D.配置每 IP限流，限制 192.168.1.0/24网段所有 IP地址的保证带宽为 1M


Correct Answer: BD
QUESTION 111
当服务器之间的性能差异较大，可以采用以下哪种算法进行负载均衡？
A.简单轮询算法

B.加权轮询算法

C.最小连接算法

D.源HASH算法


Correct Answer: B
QUESTION 112网络扩展功能建立 SSL VPN隧道的方式有两种可靠传输模式和快速传输模式。下列对于这两种方式描述错误的是哪项？
A.可靠传输模式中， SSL VPN采用 SSL协议封装报文，并以 TCP协议作为传输协议

B.快速传输模式中， SSL VPN 采用 QUIC（Quick UDP Internet Connections）协议封装报文，并以 UDP协议作为传输协议

C.可靠传输模式中，远端用户在传输数据前需要与虚拟网关建立 SSL VPN隧道

D.快速传输模式中，远端用户在传输数据前不需要与虚拟网关建立 SSL VPN隧道


Correct Answer: D
QUESTION 113在总部 -分支结构 IPSec VPN网络的组网中，进行总部配置时，当总部采用 IPSec策略模板时，下列哪些配置为必配项目？
A. IPSec policy-template template-name sec-number
B. Proposal proposal-name
C. Policy enable
D. IPSec policy policy-name sec-number isakmp template-name
Correct Answer: ABD QUESTION 114
在服务器负载均衡中，可以使用下列哪些报文进行健康检查？
A. ICMP报文

B. UDP报文

C. TCP报文

D. DNS报文 Correct Answer: ACD

QUESTION 115
在IKE第一阶段的主模式协商过程中，以下哪一项是 Message5和Message6的作用？


A.运行 DH算法

B.协商提议集

C.相互做身份认证

D.协商 IPSec SA


Correct Answer: C
QUESTION 116默认情况下，华为 USG6000产品上存在一条缺省的带宽策略，所有匹配条件均为任意（ any），动作为限流。
A.对

B.错


Correct Answer: B QUESTION 117
以下哪些选项属于虚拟系统的特点？
A.管理独立

B.表项独立

C.资源独立

D.流量隔离


Correct Answer: ABCD
QUESTION 118某企业有研发（ research）市场（ marketing）财务（ finance）三个部门。企业使用防火墙的本地认证对各部门的员工进行用户认证，认证域为 default。通过认证的用户能够获得接入企业内部网络的权限。现在企业希望员工出差时也能使用 Webmail系统收发邮件，使用 ERP系统办公。如果使用 SSL VPN接入网络，该如何部署？
A.由于 Webmail系统和 ERP系统都可以使用 WEB界面访问，因此为了实现出差员工访问企业内部服务器的需求，需要配置 SSL VPN的Web代理功能

B.可以根据部门属性将用户划分为不同的用户组，并为用户组授权不同的 SSL VPN业务

C.防火墙上只需要放行外部用户访问 SSL VPN虚拟网关的流量就可以实现出差员工使用 Webmail和ERP系统

D.如果出差员工使用 Webmail发送文件，则需要开启文件共享功能才能实现


Correct Answer: AB
QUESTION 119在华为 USG6000防火墙上导入 ISP地址文件后，指定出接口与某个运营商名称关联，则防火墙会批量生成到此运营商网络的 ISP路由，以下哪些选顶对这种路由的描述是正确的？
A.源地址是 ISP地址文件中的 IP地址

B.下一跳是运营商网络的设备的地址

C.在路由表中显示的协议类型为 UNR

D.路由优先级为 60 Correct Answer: C

QUESTION 120华为 SVN产品可应用于以下哪些场景？

A.终端到网络场景 :SSL VPN

B.终端到网络场果 2TP over IPSec

C.终端到网络场景 : IPSec VPN

D.终端到网络场景 :GRE over IPSec Correct Answer: ABC


QUESTION 121
如下图所示为 L2TP over IPSec应用场景，下列关于 IPSec保护数据流的配置正确的是哪项？


A. [LNS] acl number 2001 [LNS-acl-basic-2001] rule permit udp source 10.10.1.0 0.0.0.255
B. [LNS] acl number 3001 [LNS-acl-adv-2001] rule permit source 10.10.1.0 0.0.0.255 destination 10.10.2.0 0.0.0.255
C. [LNS] acl number 3001 [LNS-acl-adv-2001] rule permit tcp source-port 1701
D. [LNS] acl number 3001 [LNS-acl-adv-2001] rule permit udp source-port eq 1701
Correct Answer: D QUESTION 122
在双机热备环境下，如果存在数据包来回路径不一致的现象，以下哪种情况不会导致丢包？
A.没有启用会话快速同步功能

B.心跳线带宽不足

C.关闭了状态监测功能

D.指定错误的心跳线端口


Correct Answer: C
QUESTION 123 IP-Link技术通过向指定的目的地址连续发送 ICMP报文或者 ARP请求报文，然后检查是否可以收到响应的 ICMP echo reply报文或 ARP应答报文来判断链路是否发生故障。
A.对

B.错


Correct Answer: A QUESTION 124
以下哪些选项不可以作为策略路由的匹配条件？
A.源安全区域

B.入接口

C. DSCP优先级

D.下一跳地址 Correct Answer: D

QUESTION 125虚拟系统和 VPN实例关系，以下哪个选项的描述是错误的？

A.创建虚拟系统时，会自动生成相同名字的 VPN实例

B.拟系统底层转发依赖于自动生成的 VPN实例，上层配置业务时无需与 vpn实例挂钩

C.自动生成的 VPN实例和手工配置的 vpn实例一样，都需要在接口下绑定 vpn实例

D.管理员也可使用 ip vpn-instance命令手动创建 VPN实例，用于路由隔离


Correct Answer: C
QUESTION 126华为 LogCenter产品采用分布式部署组网时，日志采集器和分析器安装在不同的物理服务器上，一台分析器最多可管理多少台采集器？
A. 13
B. 14
C. 15
D. 16
Correct Answer: C
QUESTION 127华为 USG6000系列设备在双机热备部署下发生主备切换时，会执行哪些动作？

A. USG_B发送免费 ARP报文

B. USG_B发送代理 ARP报文

C. VRRP备份组虚拟地址不可用

D.相关交换机收到 ARP报文后，刷新 MAC地址表，将流量引导至 USG_B


Correct Answer: AD
QUESTION 128华为 WAF5000产品使用以下哪种技术来应对盗链、跨站请求伪造等特殊 Web攻击？
A.签名匹配技术

B.行为状态链检测技术

C.非法链接过滤技术

D.异常状态跟踪技术


Correct Answer: B
QUESTION 129为了提高流量转发的可靠性， ISP选路功能可以配合健康检查功能一起使用，保证流量不被转发到故障链上。当健康检查的结果显示链路故障时，对应的 ISP路由表项将被删除，所以流量不会命中该条路由，也就避免被转发到故障链路上。
A.对

B.错 Correct Answer: A

QUESTION 130下列关干 IKE的说法正确的是？

A. IPSec由两种协商方式建立安全联盟，一种是手工方式（ manual），一种是 IKE自动协商（ isakmp）方式

B. IKEv1野蛮模式可以选择根据协商发起端的 IP地址或者 Name，来查找对应的身份验证字并最终完成协商

C. NAT穿越功能删去了 IKE协商过程中 UDP端口号的验证过程，同时实现了对 VPN隧道中 NAT网关设备的发现功能，即如果发现 NAT网关设备，则将在之后的 IPSec数据传输中使用 UDP封装

D. IKE的安全机制包括 DH Diffie-Hellman交换及密钥分发，完善的前向安全性（ Perfect Forward Secrecy PFS）以及 SHA1等加密算法


Correct Answer: ABC QUESTION 131
根据双机热备组网图，关于双机热备抢占功能，以下哪个说法是错误的？

A. VRRP备份组本身具有抢占功能。如图，当 USG_A出现故障并恢复后， USG_A会使用抢占功能重新变为 master状态

B. VRRP管理组的抢占功能和 VRRP备份组类似，当管理组中出现故障的备份组故障恢复时，管理组的优先级也将恢复

C.缺省情况下，抢占功能关闭

D.当VRRP备份组加入到 VGMP管理组后，备份组上原来的抢占功能将失效，抢占行为发生与否必须由 VGMP管理组统一决定


Correct Answer: C QUESTION 132
一个接口只能应用一个健康检查策略，但一个健康检查策略可以被应用在多个接口上。
A.对

B.错


Correct Answer: B QUESTION 133
智能选路的功能主要分为两部分，以下哪个选项的说法是正确的？
A.当企业从不同 ISP处获得多条带宽不等的链路时，为了充分利用各链路的带宽，可以根据链路带宽负载分担进行智能选路

B.为了使用户获得最佳的访问体验，可以根据各链路的实时传输质量动态调整流量的分配情况

C.可以有限使用某些链路传输流量，并利用其他链路作为备份链路或负载分担链路，提高业务的可靠性

D.智能选路可以根据不同的需求实现基于全局选路策略的选路，也可以对服务可用性、链路可用性或链路时延进行探测


Correct Answer: D
QUESTION 134
下列协议报文默认情况下不可以在 IPSec隧道中传播的是哪一项？

A. TCP
B. UDP
C. ICMP
D. IGMP
Correct Answer: D
QUESTION 135虚拟系统（ Virtual System）是在一台物理设备上划分出的多台相互独立的逻辑设备。每个虚拟系统相当于一台真实的设备有自己的接口、地址集、用户 /组、路由表项以及策略，并可通过虚拟系统管理员进行配置和管理。
A.对

B.错 Correct Answer: A

QUESTION 136
关于 GRE Over IPSec的说法，下列哪项说法是错误的？


A. IPSec封装过程中增加的 IP头即源地址为 IPSec网关应用 IPSec安全策略的接口地址，目的地址即 IPSec对等体中应用 IPSec安全策略的接口地址

B. IPSec需要保护的数据流为从 GRE起点到 GRE点的数据流

C. GRE封装过程中增加的 IP头即源地址为 GRE隧道的源端地址，目的地址为 GRE隧道的目的端地址

D.当网关之间采用 GRE over IPSec连接时，先进行 IPSec封装，再进行 GRE封装


Correct Answer: D QUESTION 137
关于服务器负载均衡有以下配置：
[USG]slb [USG-slb]group 0 test [USG-slb-group-test]metric weight-srchash [USG-slb-group-test]rserver 1 rip 10.1.1.3 weight 32 [USG-slb-group-test]rserver 1 rip 10.1.1.4 weight 16 [USG-slb-group-test]rserver 1 rip 10.1.1.5 weight 32 [USG-slb]vserver 1 test [USG-slb-vserver-1]protocol any [USG-slb-vserver-1]group test
以下哪些说法是正确的？
A.负载均衡算法为简单轮询算法

B.该配置是完整的负载均衡配置

C.根据 weight值判断数据流流向哪一台服务器，weight值越小，对应真实服务器处理能力越弱

D.负载均衡算法为加权会话保持


Correct Answer: CD
QUESTION 138在使用 SSL VPN进行通信之前，客户端和服务端通过 Handshake协议建立一个会话，协商数据传输中要用到的相关安全参数。
A.对

B.错


Correct Answer: A
QUESTION 139 Radius双因子认证是指防火墙 Radius服务器配合，对 SSL VPN用户进行身份认证。认证时，除了验证用户名和静态 PIN码，还要求用户输入动态验证码。 Radius服务器在收到防火墙发来的用户名和 PIN码后，根据自己的数据库检查用户名和 PIN码是否正确。对于后续过程描述哪些选项是正确的？
A.如果用户名和 PIN码不正确， Radius服务向防火墙发送认证失败的消息

B.如果用户名和 PIN码正确， Radius服务器向防火墙发送认证成功的消息

C.如果用户名和 PIN码正确，则 Radius服务器向防火墙发送 Challenge消息，请求动态验证码

D.如果用户名和 PIN码不正确， Radius服务器客户端发送 “非法的用户名、错误的密码或用户被锁定 ”的提示信息


Correct Answer: AC
QUESTION 140华为 FireHunter6000沙箱在虚拟的环境内对网络中传输的文件进行检测，可检测以下哪些文件类型？
A.员工的游戏账号

B. MP4文件

C. Word文件或 PDF文档

D. WEB网页内容，如 JavaScript、Flash、JavaApplet等 Correct Answer: CD

QUESTION 141
管理员给虚拟系统 vsysa分配接口 G1/0/0时，发现分配失败，不可能的原因是？


A. G1/0/0口已经被分配给其他虚拟系统


B.该接口是个二层口，无法直接分配给虚拟系统


C.该接口已被加入其他虚拟系统的安全区域中


D.接口未处于 UP状态



Correct Answer: D QUESTION 142
在配置服务器负载均衡时，以下哪个选项不是必需的？
A.服务器健康检查

B.负载均衡算法

C.虚拟服务器地址

D.实服务器地址


Correct Answer: A QUESTION 143
管理员在华为 USG6000产品上卡起了虚拟系统功能并创建了唯一的一个虚拟系统 vaysa，若属于 vsysa的用户想要访问根系统的某个服务器，则在虚拟系统 vsysa的路由表中，出接口是哪个接口？
A. Vlan-if0
B. Virtual-if0
C. Vlan-if1
D. Virtual-if1 Correct Answer: B
QUESTION 144关于 VRRP报文，以下说法正确的是？
A. VRRP使用 TCP报文

B. VRRP使用 UDP报文

C. VRRP报文的目的地址是 224.0.0.18

D. VRRP报文是单播报文


Correct Answer: C QUESTION 145
使用策略路由修改下一跳地址后，流量没有按照策略路由转发，以下哪个选项的说法是错误的？
A.策略路由有没有提交生效

B.接口的 P地址没有配置正确

C.匹配的源安全区域不正确

D.没有放行域间流量


Correct Answer: C QUESTION 146
下列哪些选项可以作为带宽策略中规则的匹配条件？
A.源安全区域 /入接口

B.套接字

C. URL分类

D. DSCP优先级 Correct Answer: ACD


QUESTION 147关于 Radius的认证流程，有以下几个步骤 :
1.网络设备中的
Radius客户端接收用户名和密码，并向 Radius服务器发送认证请求。

2.用户登录
USG等网络设备时，会将用户名和密码发送给 Radius客户端。

3. Radius服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给 Radius客户端。


以下哪个选项的顺序是正确的？
A. 1-2-3
B. 2-1-3
C. 3-2-1
D. 2-3-1
Correct Answer: B QUESTION 148
智能选路中的选路方式包括以下哪些选项？
A.根据链路带宽负载分担

B.根据链路权重负载分担

C.根据链路优先级主备备份

D.根据链路质量负载分担 Correct Answer: ABCD

QUESTION 149
关于 L2TP over IPSec的报文封装顺序以下哪项是正确的？


A.从先封装到后封装的顺序是 PPP>UDP>L2TP>IPSec

B.从先封装到后封装的顺序是 PPP>L2TP>UDP>IPSec

C.从先封装到后封装的顺序是 IPSec>L2TP>UDP>PP

D.从先封装到后封装的顺序是 IPSec>PP>L2TP>UDP


Correct Answer: B
QUESTION 150当IPSec VPN隧道建立失败时，管理员通过查看设备 SA建立情况，发现设备之间 IKE SA没有建立起来，以下哪些原因可能导致该故障？
A.到IKE对等体的路由不可达

B.两端身份认证方法及算法不一致。

C.两端 IPSec proposal配不一致

D.本端的 “对端网关 ”和对端的 “本地地址 ”不匹配


Correct Answer: ABD QUESTION 151
关于防火墙带宽策略，下列哪项说法是错误的？
A.对于最大带宽和连接数限制，子策略不能大于父策略

B.在同一组父子策略中，不能引用同一个带宽通道

C.如果带宽管理与源 NAT功能同时使用，配置宽策略的源地址 /地区匹配条件时应指定转换前的地址

D.如果带宽管理与源 NAT功能同时使用，配置带宽策略的源地址 /地区匹配条件时应指定转换后的地址


Correct Answer: D QUESTION 152
一台防火墙设备可以创建多个虚拟网关，每个虚拟网关之间相互独立，互不影响。管理员可以在虚拟网关下配置各自的用户资源和策略，进行单独管理。
A.对

B.错


Correct Answer: A QUESTION 153
关于虚拟系统分流的说法，哪些是正确的？
A.用于确定报文与虚拟系统归属关系的过程称为分流

B.将流量进行分类的过程叫做分流

C.通过分流能将进入设备的报文送入正确的虚拟系统处理

D.通过分流能够对报文进行分类处理 Correct Answer: AC


QUESTION 154
关于防火墙开启虚拟化功能的配置命令，以下哪个选项是正确的？
A. vsys enable
B. vsys name enable
C. vsys
D. vsys-view enable
Correct Answer: A
QUESTION 155用户使用 SSL提供的业务访问内网的网络资源，管理员为用户开启了文件共享和 Web代理的业务，并且在防火墙上放行了业务的流量，但是用户在 PC上输入虚拟网关的地址后，在网页中看不到文件共享和 Web代理的列表，下列哪些选项是该故障的可能原因？
A.防火墙与客户端之间路由不可达

B.虚拟网关对外 NAT的端口错误

C.用户 PC的虚拟网卡上有没有获取到虚拟 IP地址

D.管理员没有为用户配置文件共享和 web代理的授权 Correct Answer: D

QUESTION 156如果采用了策略模板和子策略方式配置 IPSec策略，防火墙会先应用策略模板再应用子策略。

A.对

B.错 Correct Answer: B

QUESTION 157 Link-Group组内有三个物理接口，当其中任意一个接口出现故障时，以下哪些说法是正确的？

A.组内任意接口出现故障，系统将组内其它接口状态设置为 Down

B.组内任意接口出现故障，组内其它接口状态不变换

C.当组内部分接口恢复正常后，整个组内的接口状态才重新被设置为 UP

D.当组内所有接口恢复正常后，整个组内的接口状态才重新被设置为 UP


Correct Answer: AD
QUESTION 158某企业在网络中部署了华为 USG6000系列防火墙，要实现用户通过 Telnet/SSH登录防火墙，而且该用户输入的每一条命令都要通过服务器授权才能执行。以下哪种认证方式可以满足需求？
A. Radius
B. LDAP
C. HWTACACS
D. AD
Correct Answer: C
QUESTION 159 SSL VPN采用 B/S架构设计，远程用户终端上无需安装额外的客户端软件，直接使用 Web浏览器就可以安全、快捷的访问企业内网资源。
A.对

B.错


Correct Answer: A
QUESTION 160开启会话保持后，流量进行首次智能选路选择某接口链路后，华为 USG6000防火墙会生成相应的会话保持表项，新流量如果命中了该会话保持表项，则根据表项中记录的出接口转发流量，这样能保证该用户的流量始终使用同一接口链路转发，会话保持表项中记录的参数不包括下列哪个选项？
A.源地址

B.目的地址

C.出接口

D.下一跳地址


Correct Answer: D
QUESTION 161在L2TP over IPSec应用场景中，华为 USG6000产品会对原始数据报文先使用 IPSec进行封装，再用 L2TP封装该数据报文。
A.对

B.错


Correct Answer: B QUESTION 162
以下哪个选项不属于智能选路的方式？
A.基于全局选路策略选路

B.基于策略路由选路

C.基于 ISP选路

D.基于链路质量选路 Correct Answer: D


QUESTION 163
当需要同时使用 AH和ESP进行报文封装时， IKE协商完成后，会建立几个 SA？

A. 1
B. 2
C. 3
D. 4 Correct Answer: D
QUESTION 164
下列哪条命令在华为 USG6000系列防火墙中表示不限流？

A. no-gos
B. no-car
C. no-profile
D. no-limit Correct Answer: A
QUESTION 165在IKEv1协商中，关于野蛮模式与主模式的区别，以下哪项说法是错误的？ c
A.主模式在预共享密钥方式下不支持 NAT穿越，而野蛮模式支持

B.主模式协商消息为 6个，野蛮模式为 3个

C.在NAT穿越场景下，对等体 ID不能使用 IP地址

D.主模式加密了身份信息的交换信息，而野蛮模式没有加密身份信息


Correct Answer: C
QUESTION 166如图所示为双机热备组网环境，共中备份组 1和2加入 VGMP管理组， USG_A为主用设备， USG_B为备用设备。若 USG_A发生了故障，如断电等， USG_B状态会从 Slave切换为 Master。当 USG_A恢复后，状态又重新切换为 Master，而此时 USG_B状态依然为 Master。造成该现象的原因是什么？

A.两台防火造为负载分担方式，在同一备份组下配置为 master，也配置了 slave

B. USG_A故障恢后，其 VRR备份组优先级没有及时恢复

C.在USG_A从故障恢复后，心跳线发生故障

D.没有配置 hrp track


Correct Answer: C
QUESTION 167
华为 UMA产品允许特定 IP、特定帐号的运维人员通过 UMA平台去管理 IT设备，这属于下列哪一步骤？

A.事前控制

B.事中监控

C.事后审计

D.维护准备


Correct Answer: A
QUESTION 168服务器负载均衡技术利用 Server-map表和会话表实现虚拟服务器和实服务器的映射，请问生成的是什么类型的 Server-map表？
A. NAT NO-PAT
B.转发 QQ/MSN、TFTP等STUN类型协议

C.静态 Server-map表

D.动态 Server-map表


Correct Answer: C
QUESTION 169
关于虚拟系统中公网接口和私网接口的说法，以下哪个选项是错误的？
A.公网接口是指接口下置了 set public-interface命令的接口

B.私网接口是未配置 set public-interface命令的接口

C.私网接口是指使用私有 IP地址的接口

D.只有配置了公共接口，资源类中的带宽资源配置才会生效 Correct Answer: C

QUESTION 170
如果建立 IPSec VPN隧道的其中一方的 IP地址不固定，则以下哪些配置方法不能适用在该场景？


A.策略模板


B.配置 IKE时要求指定对端地址


C.野蛮模式下的 Name认证


D.野蛮模式下的 pre-share-key认证


Correct Answer: B QUESTION 171
在防火墙上创建了新的虚拟系统后，虚拟系统上不具备任何安全区域，需要管理员自行规划配置。
A.对

B.错 Correct Answer: B

QUESTION 172
用户登录 SSL VPN网关时，提示 “非法的用户名、错误的密码 ”。下列哪些选项是该故障的可能原因？


A.用户多次输错密码，账户被锁定


B.认证服务器配置错误


C.用户名和密码输入错误


D.证书过滤字段配置错误



Correct Answer: BCD QUESTION 173
在带宽管理整体流程中，流量首先匹配带宽策略，经过带宽策略的分流后，进入相应的带宽通道进行处理。以下哪些选项是带宽通道的处理流程？
A.丢弃超过了预先定义的最大带宽的流量

B.丢弃超过了预先定义的接口带宽的流量

C.限制业务的连接数

D.标记流量的优先级，作为后续队列调度的依据 Correct Answer: ACD

QUESTION 174对Web Link的描述，以下哪项是正确的？

A. Web Link功能适用于任何操作系统和浏览器

B. Web Link不会进行加密和适配，只 “转发 ”远程用户的 Web源请求

C. Web Link需要加密和适配的环节，因此业务处理效率较慢

D. Web Link需要加密和适配的环节，因此安全性更高 Correct Answer: B


QUESTION 175下图为 USG双机热备典型应用场景，其中 USG_A为主用设备， USG_B为备用设备， VRRP备份组及心跳口
均已完威配置，其中防火墙 A的GE2/0/0与GE2/0/1加入 link-group 1。

以下说法正确的是？
A.当防火墙 A的GE2/0/1出现物理线路故障时， USG_A上GE2/0/0的链路状态为 dovn，物理接口指示灯常亮

B.故障恢复后，当防火墙检测到 GE2/0/0和GE2/0/1两个接口状态均为 UP时， USG_A状态切换成 master

C.当GE2/0/1接口状态故障恢复后， USG_A作为 USG_B的备用设备进行工作

D.如果将 GE2/0/2也加入了 link-group1，当防火墙 A的GE2/0/1出现物理线路故障，主备设备信息的备份将会被中断


Correct Answer: BD