HC-721-CHS HCNP-Security-CISN模拟试卷

goodluck

华为认证资深网络工程师-构建安全网络架构HCNP-Security-CISN模拟考试

1.IP-CAR做限流时，各等级对应的带宽均为100000bit/s，如果配置带宽值为500000000bit/s，将视为不限流。(    )
True   False

2.防火墙系统统计命令主要统计系统总的连接数、会话数、流量速率、收到的报文数和丢弃的报文数等内容，通过查看系统统计信息您可以了解流经设备的流量信息，决定是否需要启用全局连接数限制。(    )
True   False

3.在业务优先的网络中，发现某两个网段间的数据通信由于报文分片无法通过防火墙。使用下面那些命令可能解决这个问题？
(Select 2 Answers)
A. firewall fragment-cache enable
B. firewall fragment-discared disable
C. firewall fragment-forward enable
D. undo firewall fragment-discard

4.特征检测和行为检测比较，描述错误的是: (    )
A. 特征检测的准确率更高
B. 特征检测的性能更高
C. 特征检测和行为检测结合使得 升级更容易
D. 使用行为检测，统计信息时很容易区分应用协议

5.USG系列防火墙双机热备不包括以下那些协议：
(Select 2 Answers)
A. HRP
B. HSRP
C. VRRP
D. IGMP

6.下列关于VRRP报文的说法正确的是(    )
A. VRRP报文TTL值为1
B. 当VRRP报文的TTL值小于255时会被路VRRP设备丢弃
C. 目的IP地址由于是组播地址，所以不能路由
D. 报文为广播报文

7.关于link-group描述正确的是
(Select 2 Answers)
A. 组内任意接口出现故障，系统将组内其它接口状态设置为Down。
B. 组内任意接口出现故障，组内其它接口状态不变换。
C. 当组内部分接口恢复正常后，整个组内的接口状态才重新被设置为Up。
D. 当组内所有接口恢复正常后，整个组内的接口状态才重新被设置为Up。

8.在一个Eth-Trunk接口中，通过在各成员链路上配置不同的权重，可以实现流量负载分担。(    )
True   False

9.虚拟防火墙转发多实例+配置多实例具备以下特性，除了：(    )
A. 在同一配置界面上实现，拥有配置权限的用户可以配置和查看所有的数据
B. 支持地址重叠
C. 存在多张转发表
D. 存在多张路由表

10.以下那些情况下IPSec IKE协商不能使用主模式：
(Select 3 Answers)
A. 使用vpn模板
B. 使用DHCP动态分配地址
C. 链路上存在NAT设备
D. 客户端到网关的vpn

11.在IPSec VPN中使用tunnel模式封装esp协议后数据报文的端口号是多少(    )
A. TCP 4500
B. UDP 500
C. TCP 500
D. 无法确认具体的端口号

12.下列关于IPSec IKE协商说法正确的是：(    )
A. IKE协商中使用一个安全联盟
B. IKE协商中使用2个安全联盟
C. IKE协商中不使用安全联盟
D. IKE协商使用3个以上安全联盟

13.下列关于IPSec和IKE的说法正确的是：
(Select 3 Answers)
A. IPSec有两种协商方式建立安全联盟，一种是手工方式（manual），一种是IKE 自动协商（isakmp）方式。
B. IKE 野蛮模式可以选择根据协商发起端的IP 地址或者ID，来查找对应的身份验证字并最终完成协商。
C. NAT 穿越功能删去了IKE协商过程中对UDP 端口号的验证过程，同时实现了对VPN 隧道中NAT 网关设备的发现功能，即如果发现NAT 网关设备，则将在之后的IPSec 数据传输中使用UDP 封装。
D. IKE 的安全机制包括DH Diffie-Hellman 交换及密钥分发，完善的前向安全性（Perfect Forward Secrecy PFS）以及SHA1等加密算法。

14.某黑客构造了两个分片包，两个包都含有TCP头，以下说发正确的是：
(Select 3 Answers)
A. 后续报文头会覆盖前面报文头
B. 这种做法可以令非法SYN报文通过防火墙
C. 是tear drop 攻击
D. 是 TCP Flag攻击

15.通过配置流量型攻击防范，可以实现对以下哪三种类型攻击的防范功能？
(Select 3 Answers)
A. SYN Flood
B. UDP Flood
C. ICMP Flood
D. DNS Flood

16.以下哪些说法是正确的？
(Select 3 Answers)
A. 如果一些畸形报文如：超大的ICMP报文，非法的分片报文，TCP标志混乱等进入网络，可能会造成比较严重的危害，因此防火墙应该识别出这些报文.
B. USG5300具备基于IP和基于域的统计功能，能防范ip-sweep、Port scan、IP option报文等各种扫描窥探攻击。
C. 提供黑名单功能。可以根据可疑的用户名单列表，采取不同的用户管理措施，可以设定染毒用户继续通过，还是封闭该用户一段时间、公告、在线杀毒等下一步的服务。
D. 提供连接数限制的功能，可以对不同类型的IP地址设定不同的连接数范围，但是仍然无法应对各种DOS攻击 。

17.关于使用netflow和DPI进行检测，下列说法正确的是(    )
A. DPI检测数据时间粒度中等，有些延迟
B. DPI检测无法做到精细化的检测
C. NETFLOW协议抽样支持特征匹配，会话重组
D. NETFLOW抽样比较大，不适合做小流量攻击检测

18.包过滤在防火墙转发流程中的顺序为：(    )
A. 包过滤、策略路由、查找路由、NAT Outbound
B. 策略路由、查找路由、包过滤、NAT Outbound
C. 策略路由、包过滤、查找路由、NAT Outbound
D. 策略路由、查找路由、NAT Outbound、包过滤

19.地址映射配置no-reverse参数后，关于防火墙的处理，以下说法正确的有：
(Select 2 Answers)
A. 配置nat server后，防火墙生成双向server-map表项，报文匹配server-map进行转发。
B. 配置nat server后，防火墙只生成正向server-map表项，回包匹配会话表。
C. 内网服务器回包时，需要匹配域间策略，因此域间策略需要放开。
D. 内网服务器回包时，不需要匹配域间策略，因此域间策略是否放开对回包无影响。

20.l2tp拨号失败，从下面的debug信息可以看出是什么原因导致拨号失败的？(    )
*0.15558730 E200E-B L2TP/7/L2TDBG: L2TP::Check SCCRQ MSG Type 1               
  *0.15558810 E200E-B L2TP/7/L2TDBG: L2TP:arse AVP Protocol version:  100      
  *0.15558900 E200E-B L2TP/7/L2TDBG: L2TP:arse AVP Host name, value: aaa      
  *0.15558990 E200E-B L2TP/7/L2TDBG: L2TP::requested host isn't in the define l2tp group , refuse the requested                                                  
  *0.15559120 E200E-B L2TP/7/L2TDBG: L2TP::Clear Calls On Tunnel ID=1 Reason=1   
  *0.15559210 E200E-B L2TP/7/L2TDBG: L2TP::Clear Tunnel remote ID:0, local ID:1
}
A. 隧道名称错误。
B. lns name配置错误。
C. 隧道密码未配置。
D. 未使能l2tp。


答案：
1.T    2.T    3.CD    4.D    5.BD     6.B    7.AD    8.T     9.A     10.ABC    11.D    12.A     13.ABC    14.ABC 15.ABC      16.ABC    17.D     18.B    19.BC    20.A

yangruiling

非常好，不错