- 积分
- 465
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2011-5-6
- 最后登录
- 1970-1-1
- 阅读权限
- 30
- 听众
- 收听
初级工程师
|
1/503、如图所示,以下关于基于透明模式双机热备的描述,错误的是哪项?
A 由于防火墙的业务接口工作在二层,因此不能运行与IP地址相关的业务
B 在此组网中,防火墙透明接入到原有交换机网络,不改变网络拓扑
C 推荐该组网以负载分担方式工作,分担用户流量
D 默认情况下,不会根据VGMP组状态调整任何VLAN的状态
正确答案 C
2/503、 以下关于Eth-Trunk特点的描述,错误的是哪项?
A Eth-Trunk可以是二层接口.也可以是三层接口
B Eth-Trunk是一个逻辑接口
C Eth-Trunk成员链路最少为2个
D Eth-Trunk活动链路最少为1个
正确答案 C
单选题 3/503、 以下关于虚拟接口的描述。错误的是哪项?
A 虚拟系统之间通过虚拟接口实现互访
B 虚拟接口的链路层和协议层始终是UP
C 根系统的虚拟接口为Virtual-if
D 虚拟接口名的格式为"Virtual-if+接口号"
正确答案 C
单选题 4/503、 以下关于虚拟系统使用限制的描述,错误的是哪项?
A 只能在根系统中进行系统软件的升级
B 如果接口已经配置了IP地址,在分配给虚拟时会被清除
C 管理口不能分配给虚拟系统
D 虚拟系统管理员能通过Console口登录设备
正确答案 D
单选题 5/503、 以下哪项参数不是全局选路策略分类的条件?
A 端口号
B 带宽
C 权重
D 质量
正确答案 A
6/503、 采用IKE v1野蛮模式建立IPSec VPN.当检测到存在NAT设备之后,后续从以下哪项的ISAKIP消息开始,端口号发生转换?
A 消息4
B 消息3
C 消息2
D 消息1
正确答案 B
单选题 7/503、 IPSec使用证书认证时,需要验证对端证书的合法性,以下哪项不是验证证书合法性需要考虑的因素?
A 证书是否由同一方式申请
B 证书是否位于有效期
C 证书是否位于CRL存储库中
D 证书是否由同一CA颁发
正确答案 D
8/503、如图所示,总部与分支建立IPSec隧道,若要实现IPSec流量负载分担,则至少需要建立多少条IPSec隧道?
A 1
B 2
C 4
D 3
正确答案 C
9/503、 某企业具有多个分支,总部的出口IP地址固定,而分支的出口IP地址是随机的,需要在总部与分支之间建立IPSec VPN.为了减少管理和维护成本,以下哪项是合适的IPSec VPN配置方式?
A 总部和分支采用点到点方式
B 总部和分支都采用策略模板方式
C 总部采用策略模板方式。分支采用点对点方式
D 总部与分支采用IKE v2方式
正确答案 C
单选题 10/503、 以下哪项不是SSL VPN可以对移动办公用户提供的内网资源?
A Web资源
B IP资源
C 文件资源
D UDP资源
正确答案 D
单选题 11/503、 以下关于HTTP Flood防御的描述。错误的是哪项?
A 如果攻击过程中使用的免费代理支持重定向功能,会导致基本模式的防御失效
B 源认证防御方式是防御HITP Flood最常用的手段,这种防御方式适用于客户端为浏览器的HITP服务器场景
C 基于增强模式的防御可以通过让用户输入验证码,由此判断TTP访问是否由真实的用户发起
D 基于基本模式的防御无法有效阻止来自非浏览器客户端的访问
正确答案 D
单选题 12/503、 以下关于清洗中心的描述,错误的是哪项?
A 回注方式包括:策略路由回注、静态路由回注、VPN回注和二层回注
B 清洗设备支持丰富灵活的攻击防范技术,但对于CC攻击、ICMP Flood攻击无法进行防御
C 引流方式有两种:静态引流和动态引流
D 清洗中心完成对异常流量的引流、清洗以及清洗后流量的回注等功能
正确答案 B
单选题 13/503、 防火墙进行邮件过滤时,支持的邮件传输协议不包括以下哪项?
A SMTPS
B SMTP
C POP3
D IMAP
正确答案 A
单选题 14/503、 以下关于IPS预定义签名的描述,错误的是哪项?
A 当预定义签名的动作为放行时,对命中签名的报文放行,不记录日志
B 当预定义签名的动作为阻断时,阻断命中签名的报文,并记录日志
C 预定义签名的内容不是固定的,可以创建、修改或删除
D 当预定义签名的动作为告警时,对命中签名的报文放行,但记录日志
正确答案 C
单选题 15/503、 IPS设备基于特定的入侵防御机制进行工作,以下关于入侵防御机制的排序,正确的是哪项?
A 特征匹配->重组应用数据->协议识别和协议解析->响应处理
B 重组应用数据->协议识别和协议解析->特征匹配>响应处理
C 重组应用数据>特征匹配->协议识别和协议解析->响应处理
D 协议识别和协议解析->重组应用数据->特征匹配->响应处理
正确答案 B
16/503、 为判断Linux主机是否被添加了非系统默认或正常业务程序注册的路径,可查看Linux系统的哪一个环境变量?
A $HOME
B $SHELL
C $PATH
D $HOSTNAME
正确答案 C
17/503、 使用iMaster NCE Campus作为Portal服务器。在华为无线控制器上部署Portal认证。则以下哪项配置不是必须的?
A URL模板
B Portal认证模板
C 认证模板
D MAC认证模板
正确答案 D
18/503、 使用iMaster NCE-Campus作为Portal服务器时,为了能够让iMaster NCE-Campus根据用户的IP地址匹配对应的Portal页面。在接入设备配置URL模板时,需要配置以下哪种URL parameter?
A ssid
B device-mac
C user-mac
D user-ipaddress
正确答案 D
19/503、 通过华为iMaster NCE-Campus控制器实现准入控制功能,以下哪项不属于认证授权所需要配置的内容?
A 认证结果
B 授权结果
C 认证规则
D 授权规则
正确答案A
20/503、 如下所示是管理员在网络接入设备上执行了Portal认证的相关配置,则该管理员在Porta1认证中使用的认证协议是以下哪项?
[WAC]web-auth-server wacl
[WAC-web-auth-server-wacl]server-ip192.168.100.100
[WAC-web-authserver-wacl]port 50200
[WAC-web-auth-server-wacl]urlhttp://192.168.100.100:8080/portal
[WAC-webauth-server-wacl]shared-key cipherHuawei@2020
[WAC-web-auth-server-wacl]quit
A CHAP
B HTTP/HTTPS
C Portal
D PAP
正确答案 C
21/503、 在双机热备系统版本升级过程中,备机的升级步骤遵循以下哪一种顺序?
1. Shutdown备机的心跳接口;
2. Undo shutdown备机的心跳接口;
3升级备机的系统软件版本;
4 Undo shutdown备机的业务接口;
5 验证备机的升级结果;
6 保存配置;
7 等待主备防火墙同步会话表等表项;
8 Shutdown备机的业务接口;
A 8-1-3-2-4-7-5-6
B 1-8-3-4-2-7-5-6
C 8-1-3-2-7-4-5-6
D 1-8-3-2-7-4-5-6
正确答案 C
单选题 22/503、 以下哪一项为Tracert报文攻击的防范方法?
A 对ICMP不可达报文进行丢弃,并记录攻击日志
B 对于检测到的超时ICMP报文或UDP报文,或者目的端口不可达的报文,给予丢弃处理
C 丢弃带有时间的IP报文
D 用户可以根据实际网络需要配置允许通过的ICMP报文的最大长度,当实际ICMP报文的长度超过该值时,将丢弃该报文
正确答案 B
单选题 23/503、 以下哪一项不是文件类型识别结果的异常情况?
A 文件被压缩
B 文件扩展名不匹配
C 文件类型无法识别
D 文件损坏
正确答案 A
单选题 24/503、恶意URL是指包含恶意信息的URL,以下哪一项不是恶意URL的来源?
A 沙箱反馈的恶意URL
B 入侵防御功能反馈的恶意URL
C 本地信誉中包含的URL
D 反病毒功能反馈的恶意URL
正确答案 B
25/503、 管理员在防火墙上定义了两个需要识别的关键字,关键字x的权重值为2,关键字y的权重值为3。定义了内容过滤的告警阈值为6,阻断阈值为10。如果设备检测出用户浏览的网页中存在一次关键字x,两次关键字为y。则以下关于权重值及用户访间网页行为的指述,正确的是哪一项?
A 权重值为8,可以访问网页
B 权重值为8;不能访问网页
C 权重值为10,可以访同网页
D 权重值为10,不能访向网页
正确答案 A
26/503、 通用漏洞评估系统(Common Vulnerability Scoring System,CVSS)是广泛应用的漏洞评分开放标准,采用了模块化评分体系,其中不包含以下哪一项?
A 环境维度
B 时间维度
C 基本维度
D 空间维度
正确答案 D
27/503、802.1X认证场景中,接入设备将802.1X客户端发来的EAPoL报文直接封装到RADIUS报文中,无需对EAP内的数据进行处理。符合上述描述的是以下哪种认证方式?
A EAP终结
B 基于MAC的认证
C 基于接口的认证
D EAP中继
正确答案 D
28/503、 华为准入控制方案中,接入设备接收到RADTUS服务器的CoA-Request报文或者DM-Requst报文后,根据报文中的哪一个RADIUS属性来识别用户?
A called-Station-Id
B Filter-Id
C NAS-IP-Address
D calling-Station-Id
正确答案D
单选题 29/503、 以下哪一种接入认证方式,终端必须在认证之前获得IP地址?
A 802.1X认证
B Portal
C MAC认证
D MAC旁路认证
正确答案 B
单选题 30/503、如图所示为基于VRRP的主备备份组网,以下关于该场景的描述,错误的是哪一项?
A 为了保证链路切换的一致性,防火墙基于VGMP组实现设备状态管理
B 防火墙A的配置与状态信息.通过GE0/0/3接口实时备份到防火墙B
C 双机热备可以提高网络的可靠性
D 防火墙GE0/0/1接口为心跳口,所连接的线路为心跳线
正确答案 B
单选题 31/503、 以下关于双机热备的描述,错误的是哪一项?
A 负载分担组网下,配置命令可以由"配置备用设备"备份到"配置主设备"
B 在主备备份组网下,配置命令和状态信息都由主用设备备份到备用设备
C 负载分担模式组网中流量由两台设备共同处理,可以比主备备份模式或镜像模式组网承担更大的峰值流量
D 负载分担组网下,两台防火墙都是主用设备。因此如果允许两台主用设备之间能够相互备份命令,那么可能就会造成两台设备命令相互覆盖或冲突的问题
正确答案 A
32/503、 每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束,即符合该带宽策略匹配条件的流量,独享最大带宽资源。以下哪一选项属于这种带宽通道的引用方式?
A 宽带共享
B 带宽复用
C 宽带独占
D 动态均分
正确答案 C
单选题 33/503、 以下关于智能DNS的描述,错误的是哪一项?
A 通过配置智能DNS功能,防火墙可以将DNS回应报文中的解析地址进行智能的修改,使用户能够获得最合适的解析地址,即与用户属于同一ISP网络的地址
B 智能DNS支持加权轮询方式实现链路负载均衡
C 智能DNS无需配合其它技术,可以单独使用
D 智能能DNS分为单服务器智能DNS和多服务器智能DNS两种场景
正确答案 C
单选题 34/503、以下关于web代理中Web Link的描述,错误的是哪一项?
A 存在页面兼容性问题,可能会出现图片错位情况
B 对URL不会进行改写,会暴露内网服务器的真实地址
C 存在一定的安全风险
D 依赖IE控件,在非IE环境中无法正常使用
正确答案 A
单选题 35/503、 以下关于ATIC系统架构的描述,错误的是哪一项?
A ATIC软件包含三部分:管理服务器、采集器和控制器
B 一个管理中心可以集中管理多地域分散部署的多台检测和清洗设备
C SecoManager作为管理中心采用B/S架构
D ATIC管理服务器主要是管理检测和清洗中心设备
正确答案 A
单选题 36/503、 以下哪一项攻击不会暴露网络拓扑信息?
A Tracert报文攻击
B 带路由记录项的IP报文攻击端
C 扫描攻击
D Teardrop玫击
正确答案 D
单选题 37/503、 在URL过滤处理流程中,第一步执行以下哪一项动作?
A 检测HTTP报文异常情况
B 匹配黑白名单
C 远程查询
D 匹配URL分类
正确答案 A
单选题 38/503、 以下关于IPS签名类型的描述中,哪一项签名类型的动作优先级最高?
A 例外签名
B 自定义签名
C 预定义签名
D 签名过滤器
正确答案 A
单选题 39/503、 在Linux主机上可通过以下哪一个命令查看当前进程的CPU、内存利用率?
A top
B lostat
C df-h
D free-h
正确答案 A
单选题 40/503、 以下关于Portal认证的描述,错误的是哪一项?
A Portal认证的触发方式有主动认证和被动认证两种,主动认证由客户端发起,被动认证由认证服务器发起
B 一般情况下,客户端不需要安装额外的软件,直接在Web页面上认证,简单方便
C Portal服务器可以是接入设备之外的独立实体(外置Portal服务器),也可以是存在于接入设备之内的内嵌实体(内置Portal服务器)
D Portal认证系统主要包括四个基本要素,客户端、接入设备、Portal服务器与认证服务器
正确答案 A
单选题 41/503、 以下关于RADIUS和HWTACACS协议的描述,错误的是哪一项?
A 都使用共享密钥对传输的用户信息进行加密
B 都有较好的灵活性和可扩展性
C 结构上都采用客户端/服务器模式
D 都支持对设备上的配置命令进行授权使用
正确答案 D
42/503、 当企业有访客来临时,在方便访客接入的同时,需要对访客访问行为进行管控。针对此类访客场景,一般建议采用以下哪一种认证方式?
A MAC旁路认证
B Portal认证
C 802.1X认证
D MAC认证
正确答案 B
单选题 43/503、 对于新建网络、用户集中、信息安全要求严格的场合,一般采用哪一种认证方式?
A Portal认证
B MAC优先的Portal认证
C 802.1X认证
D MAC认证
正确答案 C
单选题 44/503、 以下关于带宽资源分配的描述,错误的是哪一项?
A 一条数据流是受哪类带宽资源限制与流量的出接口或入接口有关
B 公网接口指的是连接Internet的接口
C 资源类中的带宽资源分为入方向带宽、出方向带宽和整体带宽三类
D 在跨虚拟系统转发的场景中,Virtual-if接口默认为公网接口
正确答案 B
单选题 45/503、 以下哪一项资源属于给虚拟系统分配的定额资源?
A 策略数
B VLAN
C 接口
D 安全区域
正确答案 D
单选题 46/503、 防火墙最多支持几级带宽策略?
A 2
B 5
C 4
D 3
正确答案 C
47/503、 用户使用SSL访问内网的网络资源,管理员为用户开启了文件共享和web代理的业务,并且在防火墙上放行了业务的流量,但是用户在PC上输入虚拟网关的地址后,在网页中看不到文件共享和Web代理的列表,以下哪一选项可能导致该故障产生?
A 虚拟网关对外NAT的端口错误
B 用户PC的虚拟网卡上有没有获取到虚拟IP地址
C 管理员没有为用户配置文件共享和Web代理的授权
D 防火墙与客户端之间路由不可达
正确答案 C
单选题 48/503、 若想实现对用户的论坛发帖、用户登录等行为进行控制,应配置以下哪一项HTTP行为控制?
A POST操作
B 重定向
C 文件上传
D 文件下载
正确答案 A
单选题 49/503、 当使用LDAP服务器作为认证服务器时,设备与服务器间的交互采用以下哪一种协议?
A RADIUS协议
B HTTP协议
C LDAP协议
D EAP协议
正确答案 C
50/503、 当使用LDAP服务器作为认证服务器时,若要进行用户认证,则需要对LDAP服务器的数据进行以下哪一种操作?
A 查询类
B 删除类
C 写入类
D 更新类
正确答案 A
51/503、 访客通过Portal认证方式接入企业网络时,为保障访客良好体验,要求在访客短时间高开无线网络的范围,再次进入时,无需再次输入用户名密码,可以直接接入网络。以下哪一种接入方式可以满足上述需求?
A MAC旁路认证
B MAC认证
C MAC优先的Portal认证
D 802.1X认证
正确答案 C
单选题 52/503、 Portal认证的认证协议不包括以下哪一项?
A EAP协议
B Portal协议
C HTTP协议
D HTTPS协议
正确答案 A
53/503、如图所示,防火墙作为网关双机热备部署,上下行设备为交换机。若要实现来回流量负载均衡,则该场景至少需要配置几个VRRP备份组?
A 4
B 6
C 2
D 3
正确答案 C
单选题 54/503、 以下哪一项不是双机热备一致性检查的内容?
A 接口地址
B NAT配置
C 带宽策略
D 安全策略
正确答案 A
55/503、如图所示是防火墙负载分担组网,上下行设备为交换机。以下关于该场景中防火墙VGMP组状态的描述,正确的是哪一项?
A 防火墙A:Active,防火墙B:Standby
B 防火墙A:Master,防火墙B:Backup
C 防火墙A:Master,防火墙B:Master
D 防火墙A:Active,防火墙B:Active
正确答案 D
单选题 56/503、 以下关于保证带宽和最大带宽的描述,错误的是哪一项?
A 可以基于每IP/用户设置保证带宽和最大带宽
B 如果流量大于最大带宽,则直接丢弃超出最大带宽的流量
C 如果流量小于保证带宽,这部分流量在出接口与其它带宽通道中同类型的流量自由竞争带宽资源
D 针对IP或用户的保证带宽和最大带宽设置可实现更加细化的带宽限制
正确答案 C
单选题 57/503、 以下哪一项是健康检查无法支持的探测协议?
A RADIUS
B ICMP
C DNS
D UDP
正确答案 D
单选题 58/503、 针对SIP Flood政击,华为防火墙能采取以下哪一项的防范技术?
A 指纹防范
B 首包丢弃
C 源探测
D 限流
正确答案 C
单选题 59/503、 以下关于源探测技术的描述,错误的是哪一项?
A 针对SYN Flood攻击源探测技术可以验证客户端的真实源
B 对于HTTP Flood政击,防火墙收到具有相同目的地址的HTTP请求报文数如果超过阈值,则启动HTTP报文源认证
C 该技术可以对源IP地址进行探测,将来自虚假源IP地址的报文进行丢弃
D 源探测技术可以防御UDP Flood攻击
正确答案 D
单选题 60/503、 以下哪一项是URL匹配方式的正确排序?
A 前缀匹配>后缀匹配>关键字匹配>精确匹配
B 精确匹配>后缀匹配>前缀匹配>关键字匹配
C 关键字匹配>前缀匹配>后缀匹配>精确匹配
D 关键字匹配>后缀匹配>前缀匹配>精确匹配
正确答案 B
单选题 61/503、 以下关于邮件内容过滤机制的描述,错误的是哪一项?
A 邮件内容过滤仅在出方向检测
B 防火墙筛选出邮件流量后,再检查邮箱地址和附件大小,识别出非法邮件
C 检测到POP3或IMAP消息时,如果判定为非法邮件,防火墙的响应动作可以是发送告警信息或阻断邮件
D 防火墙首先需要根据匹配条件识别出要进行邮件过滤的流量
正确答案 A
62/503、 防火墙设备中存在一条日志信息,如下所示:
Jun 1202214:27:01FW3%%01UPDATE/3/LOAD_FATL(1)[182]: Failed to loadthe signaturedatabase.(Syslogld=4).Module=IPREPUTATION,Slot=11,CPU=0,LoadVersion=,Duration(s)=0,Reason="No SDB version isavailable for loading")。
则该日志中的"UPDATE"字段代表以下哪一项?
A 日志等级
B 日志信息摘要
C 产生该日志的功能模块
D 日志描述信息
正确答案 C
单选题 63/503、 以下哪一项是防火墙虚拟系统正确的用户名格式?
A 虚拟系统名@@管理员名
B 管理员名@@虚拟系统名
C 管理员名@虚拟系统名
D 虚拟系统名@管理员名
正确答案 B
单选题 64/503、 以下关于防火墙会话保持的描述,错误的是哪一项?
A 该功能支持与全局选路策略联合使用
B 如果没有开启该功能,可能导致链路过载时引起会话重新建立的情况
C 可以使用display session persistence table命令查看会话保持表项
D 当开启该功能后,无论新用户还是原用户的流量始终都从过载链路转发,但是保持了会话不会中断
正确答案 D
单选题 65/503、 以下关于健康检查的描述,错误的是哪一项?
A 健康检查支持DNS探测协议
B 防火墙通过健康检查结果可以实时感知网络连通性
C 健康检查功能不支持与策略路由结合使用
D 除了检测链路连通性外,健康检查还可以实时检测链路的时延、抖动和丢包率
正确答案 C
单选题 66/503、 IKEv1协商阶段1支持两种协商模式,其中主模式包含几次双向交换?
A 1
B 3
C 2
D 4
正确答案 B
67/503、 ESP(封装安全载荷)是IPSec的一种协议,用于为IP提供保密性和抗重播服务,包括数据包内容的保密性和有限的流量保密性,以下哪一项为ESP的协议号?
A 500
B 51
C 4500
D 50
正确答案 D
单选题 68/503、 对等体双方支持的IPSec安全协议不一致,将会造成以下哪一种后果?
A IPSec业务质量差
B IPSecSA无法建立
C IKE SA无法建立
D 没有数据流触发IKE协商
正确答案 B
单选题 69/503、 IPSec整个协议框架包含多种协议,以下哪一项协议不属于IPSec协议框架?
A ESP
B AH
C IKE
D TLS
正确答案 D
单选题 70/503、 以下关于Web代理中Web改写的描述,错误的是哪一项?
A 可能造成字体不全
B 可以隐藏内网服务器地址,安全性较高
C 可能造成图片错位
D 依赖IE控件
正确答案 D
单选题 71/503、某企业组网如图所示,以下哪一项是合适的回注方式?
A 策略路由回注
B 静态路由回注
C 二层回注
D GRE VPN回注
正确答案 C
单选题 72/503、以下哪一项不属于畸形报文攻击?
A WinNuke攻击
B Ping of Death攻击
C 超大ICMP报文攻击
D IP欺骗攻击
正确答案C
单选题 73/503、 以下哪一项不属于单包攻击类型?
A 特殊报文攻击
B 畸形报文攻击
C DoS攻击
D 扫描窥探攻击
正确答案 C
74/503、 防火墙上内容过滤的配置文件中针对HTTP应用的上传方向调用了关键字组"Keyword",动作为阻断,并调用在安全策略中。在该关键字组"Keyword"中配置了以下正则表达式。"b.*d".则内部员工此时能在论坛上发布哪一项文字?
A boring
B Bad
C Beside
D abroad
正确答案 A
单选题 75/503、 以下关于渗透测试中黑盒测试的描述,错误的是哪一项?
A 测试覆盖率较低。一般只能覆盖到代码的30%
B 可以提高代码的质量,发现代码中隐藏的问题
C 更贴近用户的实际使用场景
D 测试过程较为简单,不需要了解程序内部的代码结构及特性
正确答案 B
单选题 76/503、 以下哪一项是入侵防御特征库中包含的签名?
A 例外签名
B 自定义签名
C 预定义签名
D 签名过滤器
正确答案 C
77/503、 若管理员需要将某些签名动作设置为与签名过滤器不同的动作时,可以配置例外签名。以下哪一项不是例外签名的动作?
A 告警且超出质值后阻断
B 阻断且隔离源IP
C 放行
D 阻断且隔离目的IP
正确答案 A
单选题 78/503、 以下关于华为入侵防御特性配置流程的排序,正确的是哪一项?
A 配置入侵防卸文件->升级特征库->配置签名->验证与检查
B 升级特征库->配置入侵防御文件->配置签名->验证与检查
C 配置签名->升级特征库->配置入侵防御文件->验证与检查
D 升级特征库->配置签名->配置入侵防御文件->验证与检查
正确答案 D
单选题 79/503、 IPS(入侵防御系统)是一种应用层安全设备,可基于以下哪一项对网络攻击进行识别?
A 端口号
B 源IP地址
C 目的IP地址
D 特征库
正确答案 D
80/503、 某企业的业务形态复杂,横块之间使用多种协议进行通信,为确保通信数据安全,防止第三方窃取关健数据信息,应该尽量避免使用以下哪一通信协议?
A SSH
B SFTP
C HTTPS
D HTTP
正确答案 D
单选题 81/503、 在Linux主机上,可通过查看以下哪一个文件来统计当前系统中的所有用户名称及登陆方式?
A /etc/shadow
B /etc/passwd
C /etc/rc.local
D /etc/profile
正确答案 B
单选题 82/503、 以下关于HWTACACS协议特征的描述,错误的是哪一项?
A 基于TCP传输层协议,网络传输可靠性较高
B 认证、授权和计费功能分高,所以认证、授权和计费服务可以分别部署在不同的服务器上
C 使用共享密钥加密方式,但是仅对认证报文中的密码字段进行加密
D 支持对设备上的配置命令进行授权使用,多用于设备认证
正确答案 C
83/503、 在802.1X认证中,为了支持EAP中继方式,RADIUS协议新增了一些属性,其中用来封装EAP报文的RADIUS属性是以下哪一项?
A NAS-Identifier
B Message-Authenticator
C NAS-Message
D EAP-Message
正确答案 D
单选题 84/503、 在iMaster NCE-Campus配置Portal页面推送策略时,不支持使用以下哪一项作为匹配条件?
A 用户IP地址
B 操作系统版本号
C SSID
D 浏览器类型
正确答案 B
单选题 85/503、 以下关于部署防火墙虚拟系统的描述,错误的是哪一项?
A 一个资源类可以同时被多个虚拟系统绑定
B 在"虚拟系统列表"中可以查看已创建的虚拟系统及分配的资源内容
C 资源类r0默认与根系统绑定,不能删除、不能修改名称
D 先配置资源类,再启用虚拟系统进行绑定
正确答案 B
单选题 86/503、 以下哪一项不属于IKE验证远端对等体的方式?
A 数字证书认证
B AD认证
C 预共享密钥认证
D 数字信封认证
正确答案 B
单选题 87/503、 IKE v1协商第一阶段主模式协商过程中Message 1和Message2的作用是以下哪一项?
A 协商IPSec SA
B 相互做身份认证
C 用DH算法交换与密钥相关的信息,并生成密钥
D 协商对等体之间使用的IKE安全提议
正确答案 D
单选题 88/503、 MAC地址认证场景中,不需要用户手动输入用户名和密码,采用以下哪一项作为用户认证的用户名?
A IP地址
B 账号
C MAC地址
D 接口编号
正确答案 C
单选题 89/503、 以下关于Eth-Trunk的描述,错误的是哪一项?
A Eth-Trunk接口的总带宽是各成员带宽之和,通过这种方式,可以增加接口的带宽
B 组成Eth-Trunk接口的各个物理接口称为成员接口
C 在Eth-Trunk接口中,如果某个成员端口状态为Down,流量还能依靠其他的端口进行传输
D 手工模式不仅可以检测链路断连,还可以检测链路故障和错连等故障
正确答案 D
单选题 90/503、 以下关于配额控制策略的描述,错误的是哪一顶?
A 配额控制策略只能限制用户上网流量的额度
B 配额控制策略由检测和控制两部分组成
C 配额控制策略可以限制最大带宽
D 配额控制策略可以实时检测上网流量
正确答案 A
单选题 91/503、 在NAT穿越场景中,如果检测到NAT设备后,ISAKMP消息的目的端口号将变为以下哪一项?
A 51
B 500
C 50
D 4500
正确答案 D
单选题 92/503、 移动办公用户通过Web代理访问企业内部Web服务器,以下哪一项的描述是正确的?
A 移动办公用户与虚拟网关建立HTTP会话,虚拟网关与内部Web服务器也建立HTTP会话
B 移动办公用户与虚拟网关建立HTP会话,虚拟网关与内部Web服务器建立HTTPS会话
C 移动办公用户与虚拟网关建立HTTPS会话,虚拟网关与内部Web服务器建立HTTP会话
D 移动办公用户与虚拟网关建立HTTPS会话,虚拟网关与内部Web服务器也建立HTTPS会话
正确答案 C
单选题 93/503、 对于正常的TCP报文,标志位可能出现以下哪一种情况?
A RST和FIN同时为1
B FIN和URG同时为1
C SYN和ACK同时为1
D SYN和RST同时为1
正确答案 C
单选题 94/503、 若攻击者伪造大量用户对业务服务器发起DDoS攻击,则以下哪一项为虚假源攻击的有效措施?
A 源认证技术
B CDN缓存
C 负载均衡技术
D 智能DNS调度
正确答案 A
单选题 95/503、 IPS设备签名过滤器的过滤条件不包括以下哪一项?
A 攻击源
B 对象
C 威胁类别
D 协议
正确答案 A
96/503、 某企业的业务网络中采用了高端框式交换机作为核心交换机,近日该框式交换机的某个交换板卡故障,导致部分业务流量中断,则该故障属于哪一类安全事件?
A 灾害性事件
B 设备设施故障事件
C 网络攻击事件
D 信息破坏事件
正确答案 B
97/503、 华为iMaster NCB-Camus是ClouCampus解决方案的基于Web的集中式管理控制系统,支持用户准入管理,可充当多种类型的认证服务器。但是不可以作为以下哪一种类型的服务器?
A HWTACACS服务器
B RADIUS服务器
C AD服务器
D Portal服务器
正确答案 C
98/503、对于MAC认证用户密码的处理,有PAP和CHAP两种方式,当采用PAP方式时,设备将MAC地址、共享秘钥、随机值依次排列顺序,经过MD5算法进行HASH处理后,将密码封装在以下哪一属性名中?
A PAP-Password
B PAP-Challenge
C CHAP-Password
D User-Password
正确答案 D
99/503、Portal认证场景中,当采用iMaster NCE-Campus作为Portal服务器,华为无线控制器为接入设备时,无线控制器处理Portal协议报文的端口号默认为以下哪一个?
A 50200
B 1813
C 2000
D 1812
正确答案 C
单选题 100/503、 以下关于防火墙虚拟系统中入方向流量的描述,正确的是哪一项?
A 从公网接口流向私网接口的流量,受出方向带宽的限制
B 从公网接口流向私网接口的流量,受入方向带宽的限制
C 从私网接口流向公网接口的流量,受入方向带宽的限制
D 从私网接口流向公网接口的流量,受出方向带宽的限制
正确答案 B
101/503、 带宽通道定义了具体的带宽资源,是进行带宽管理的基础。以下哪一项是带宽通道中可以定义的资源?
A 策略独占
B 带宽策略
C 每日流量配额
D 出口带宽限制
正确答案 A
单选题 102/503、 若在网络中部署Anti-DDoS防御方案,则以下哪一项不是管理中心的必要配置?
A 配置防御策略
B 添加Anti-DDoS设备
C 配置防护对象
D 配置流量引导
正确答案 D
单选题 103/503、 WAF设备的工作模式不包括以下哪一项?
A 桥模式
B 透明代理
C 反向代理
D 正向代理
正确答案 D
单选题 104/503、 IPS的签名过滤器是满足指定过滤条件的签名集合。签名过滤器的过滤条件不包括以下哪一项?
A 威胁类别
B 签名ID
C 操作系统
D 协议
正确答案 B
105/503、如图所示,防火墙主备备份组网,通过在防火墙A上查看HRP状态,得到信息如下:HRP_M【Fw_A】 display hrp state Role: active,peer:unknown Running priority:45000,peer:45000 Backup channel usage:0.00%Stabletime:0 days,5 hours,49 minutes
以下哪一项不是可能的原因?
A 心跳线没有加入安全区域
B 对端没有开启双机热备功能
C 对端没有指定心跳口
D 防火墙B上的业务接口皆故障
正确答案 D
单选题 106/503、 以下关于虚拟系统分流的描述,错误的是哪一项?
A 通过分流能将进入设备的报文送入正确的虚拟系统处理
B 接口工作在三层时,采用基于接口的分流方式
C 采用基于接口的分流方式时,管理口可以分配给指定的虚拟系统
D 接口工作在二层时,采用基于VLAN的分流方式
正确答案 C
单选题 107/503、 以下关于SSL VPN的特点的描述,错误的是哪一项?
A SSL VPN针对内网资源可以解析到应用层,并精细化地发布应用
B SSL VPN能支持各种IP应用
C 由于SSL VPN登录方式借助了浏览器,所以实现了客户端的自动安装和配置,这样用户可以随时随地用设备快捷登录,同时也缓解了网络管理员维护客户端等方面的压力
D SSL VPN支持的认证种类少,与原有身份认证系统较难集成
正确答案 D
单选题 108/503、 以下哪一项不属于远程用户通过SSL VPN访问内网资源的流程?
A 用户认证
B 用户登录
C 资源访问
D 访问计费
正确答案 D
单选题 109/503、 以下关于URL黑白名单的描述,错误的是哪一项?
A 黑白名单可以与URL分类结合使用
B 一般大的网页都会内嵌其他的网页链接,如果只将主网页加入白名单,则该主网页下的内嵌网页部分将无法正常访问
C 黑白名单的匹配优先级最高,高于自定义URL分类和预定义URL分类
D 黑名单的优先级高于白名单的优先级
正确答案 D
单选题 110/503、 "WannaCry"勒索病毒是利用哪一TCP端口存在的漏洞对Windows系统发起网路攻击的?
A 139
B 443
C 3389
D 445
正确答案 D
111/503、 华为iMaster NCE-Campus可作为认证服务器,对认证用户进行授权,以下哪一项不属于iMasterNCE-Campus可授权的参数?
A ACL
B VLAN
C DSCP
D IP地址
正确答案 D
单选题 112/503、 RADIUS协议支持认证、授权和计费功能,RADIUS服务器是通过以下哪一报文下发授权的?
A Access-Request
B Access-Accept
C Accounting-Response
D Accounting-Request
正确答案 B
单选题 113/503、 以下哪一项不属于ESP的功能特点?
A 数据源验证
B 数据加密
C 数据完整
D 数据可用
正确答案 D
单选题 114/503、 以下哪一项不是URL的匹配方式?
A 精确匹配
B 模糊匹配
C 前缀匹配
D 后缀匹配
正确答案 B
115/503、 “震网”病毒是一种针对工业控制系统进行攻击的蠕虫病毒。以下关于“震网”病毒攻击过程的排序,正确的是哪一项?
A 侦察组织架构和人员信息->社会工程学渗透->寻找感染目标->使用U盘横向扩散->发起攻击
B 寻找感染目标->侦察组织架构和人员信息->社会工程学渗透->使用U盘横向扩散->发起攻击
C 侦察组织架构和人员信息->社会工程学渗透->使用U盘横向扩散->寻找感染目标->发起攻击
D 社会工程学渗透->侦察组织架构和人员信息->使用U盘横向扩散->寻找感染目标->发起攻击
正确答案 C
单选题 116/503、 以下哪一项不是Anti-DDoS防御系统管理中心的职责?
A 进行流量引流
B 安全报表分析
C 下发防御策略
D 设备管理
正确答案 A
单选题 117/503、 以下关于策略路由执行动作的描述,错误的是哪一项?
A 可以不做策略路由,按照现有的路由表进行转发
B 无法按照策略路由将流量转发至其他虚拟系统
C 把报文发送到指定的下一跳设备或者从指定出接口发送报文
D 利用智能选路功能,从多个出接口中选择一个出接口发送报文
正确答案 B
118/503、 以下关于防火墙DDoS攻击防范流程的排序,正确的是哪一项?
1.系统执行防范动作
2.流量超过设定阈值
3.系统启动攻击防范
4.系统启动流量统计
A 3-4-2-1
B 4-2-3-1
C 2-4-3-1
D 4-3-2-1
正确答案 B
开启每种DDoS攻击防御前,需先配置防范参数
119/503、 根据《国家网络安全事件应急预案》的规定,当发生国家秘密信息、重要敏感信息和关教据丢失或着被窃取、篡改、假冒等事件II且对国家安全和社会稳定构成特别严重威胁时,应当启动哪一等的应急响应?
A 一级响应
B 二级响应
C 特别响应
D 三级响应
正确答案 A
单选题 120/503、 在Linux主机上查看是否存在异常的任务计划(非用户自行设定),可使用以下哪一个命令?
A crontab-u mysql
B crontab-e
C crontab-r
D crontab-l
正确答案 D
单选题 121/503、 以下关于文件类型识别结果异常情况的描述,错误的是哪一项?
A 文件类型无法识别是指无法识别出文件类型,且没有文件扩展名
B 文件类型无法识别是指无法识别出文件类型,也无法识别出文件扩展名
C 文件扩展名不匹配是指文件类型与文件扩展名不一致
D 文件损坏是指由于文件被破坏而无法进行文件类型识别
正确答案 B
文件类型识别结果有三种异常情况:
(1)文件扩展名不匹配:文件类型与文件扩展名不一致。
(2)文件类型无法识别:无法识别文件类型,且没有文件扩展名
(3)文件损坏:由于文件被破坏而无法进行文件类型识别。
(1)文件扩展名不匹配时动作:文件类型与文件扩展名不一致。如果动作为“允许”或“告警”,则按照文件类型进行文件过滤、内容过滤和反病毒检测。
(2)文件类型无法识别时动作:无法识别出文件类型,且没有文件扩展名。不进行文件过滤、内容过滤和反病毒检测。(无法识别时,就放弃了,不进行后续操作。)
(3)文件损坏时动作:文件损坏时无法进行文件过滤、内容过滤和反病毒检测。此时可根据业务需求对文件进行放行或阻断。
(4)最大解压层数:NGFW支持对压缩文件解压后的内容进行过滤,解压层数小于等于所配置的“最大解压层数”。 超出最大解压层数时动作:当文件的压缩层数大于所配置的“最大解压层 数”时,NGFW需要执行的动作。
单选题 122/503、如图所示为HTTP Flood的防御原理,请问图中显示的是哪一种源探测技术?
A 302重定向模式
B 基本模式
C URL监测
D 增强模式
正确答案 D
单选题 123/503、 以下关于BFD检测特点的描述,错误的是哪一项?
A 减少应用中断时间,提高网络的可靠性
B 在两台设备之间建立会话,用来监测双向转发路径
C 提供小于1秒的检测时间,从而加快网络收敛速度
D 只可以对网络设备间直连物理链路的双向转发路径进行故障检测
正确答案 D
单选题 124/503、 以下关于虚拟系统资源分配的描述,错误的是哪一项?
A 不合理的资源分配可能会致其他虚拟系统无法获取资源、业务无法正常运行的情况
B 定额资源是直接按照系统规格自动分配固定的资源数
C 管理员为虚拟系统手工分配资源时,首先需要配置资源类,并在资源类中指定各个资源项的保证值和大值,然后源类与虚拟系统绑定
D 各个虚拟系统可以一起共享抢占整机资源,但是可以手工进行分配
正确答案 D
单选题 125/503、 以下哪一项不是带宽管理的实现流程?
A 带宽通道
B 流量分析
C 接口限速
D 带宽策略
正确答案 B
单选题 126/503、 在iMaster NCE-Campus上配置认证规则时,不支持使用以下哪种类型的认证方式作为配条件?
A 无线用户认证
B 用户接入认证
C MAC认证
D 设备管理认证
正确答案 D
127/503、 LDAP协议是基于Client/Server结构提供目录信息的绑定和查询,所有的目录信息存储在LDAP服务器上。LDAP协议中目录是按照树型结构组织,目录由条目组成,条目是具有区别名DN的属性集合。以下哪一项是LDAP的域名属性?
A DC
B CN
C OU
D DN
正确答案 A
128/503、某企业网络组网架构如TE所示,在SV2上部署7PortaliE其负认证模板如图所示则以下描述正确的是哪一项?
A 此时终端可以打开认证界面
B 此时终端可以Ping通自己的网关
C 此时终端可以正常进行DNS解析
D 此时终端可以通过在浏览器输入URD的方式被重定向到认证界面
正确答案 B
单选题 129/503、 以下关于防火墙双机热备系统版本升级特点的指述,错误的是哪一项?
A 当现网防火墙系统版本出现Bug时,需要升级系统版本
B 当现网防火墙系统版本不支持某些特性时,需要升级系统版本
C 版本升级对升级前的设备型号和版本有要求
D 在进行双机热备版本升级时,遵循的原则为先升级Active设备,再升级Standby设备
正确答案 D
单选题 130/503、 以下关于防火墙虚拟系统中出方向流量的描述,正确的是哪一项?
A 从私网接口流向公网接口的流量,受入方向带宽的限制
B 从公网接口流向私网接口的流量,受入方向带宽的限制
C 从私网接口流向公网接口的流量、受出方向带宽的限制
D 从公网接口流向私网接口的流量,受出方向带宽的限制
正确答案 C
单选题 131/503、如图所示是基于链路优先级主备备份的全局选路策略。以下关于该场景的描述,错误的是哪一项?
A 该种方式可以提高业务的可靠性
B 如果没有为主接口链路指定过载保护阈值,即使发生链路过载,防火墙也不会使用其他链路传输流量
C ISP1链路的优先级最高,所以防火境连接ISP的接口为主接口
D 如果主接口链路发生故障后,防火垮连接ISP2和ISP3的接口被启用进行负载分担
正确答案 D
单选题 132/503、 以下关于SSL VPN和IPSec VPN的描述,错误的是哪一项?
A SSLVPN比IPSeC VPN支持的终端类型更加丰富
B IPSec VPN和SSL VPN都支持非IP单播应用
C SSLVPN相较于IPSecVPN以支持的认证种类多,与原有身份证系统易于集成
D 用户使用IPSec VPN需要预先安装客户端,而使用SSLVPN可以免安装
正确答案 B
单选题 133/503、 WAF设备可以有效、精准抵御CC攻击,以下关于CC攻击的描述,错误的是哪一项?
A CC政击是DDoS攻击的一种
B CC攻击的攻击成本较高,发起攻击需要大量的带宽资源
C CC攻击可以利用代理服务器发起攻击.导致难以追踪攻击源
D CC攻击主要用来攻击Web服务器,导致服务器资源耗尽,其至宕机
正确答案 B
134/503、如图所示,企业A与企业B需要安全通信,防火墙A和防火墙B之间建立IPSec隧道,则以下哪一项的安全协议和封装模式可以满足该场景需求?
A AH;隧道模式
B ESP;隧道模式
C ESP;传输模式
D AH+ESP;传输模式
正确答案 B
135/503、采用IKE v1主模式建立IPSec VPN,当检测到存在NAT设备之后,后续从以下哪一项的ISAKMP消息开始,发生端口号的转换?
A 消息5
B 消息6
C 消息3
D 消息4
正确答案 A
单选题 136/503、 以下关于SSL VPN中网络扩展过程的描述,错误的是哪一项?
A 远程用户本地PC会自动生成一个虚拟网卡,虚拟网关从地址池中随机选择一个IP地址,分配给远程用户的虚拟网卡
B 远程用户向企业内网的Server发送业务请求报文,该报文通过SSL VPN隧道到达虚拟网关
C 可靠传输模式中,SSL VPN采用SSL协议封装报文,并以UDP协议作为传输协议
D 触发网络扩展功能后,首先需要远程用户与虚拟网关之间会建立一条SSL VPN隧道
正确答案 C
单选题 137/503、 以下哪一项不属于Anti-DDoS管理中心的功能?
A 性能管理
B 策略管理
C 告警管理
D 流量检测
正确答案 D
单选题 138/503、以下关于802.1X认证的描述,错误的是哪一项?
A EAP终结方式中,EAP报文被直接封装到RADIUS报文中
B 802.1X认证方式分为EAP中继方式和EAP终结方式,相较之下,EAP中继方式支持的认证方式更多
C 802.1X认证系统使用EAP协议来实现客户端、设备端和认证服务器之间的信息交互
D 802.1X认证方式中,要求客户端必须支持802.1x协议
正确答案 A
EAP终结方式中,EAP报文在设备端终结并重新封装到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。
EAP中继方式中,EAP报文被直接封装到RADIUS报文中(EAP over RADIUS,简称为EAPoR),以便穿越复杂的网络到达认证服务器。
单选题 139/503、 以下哪一项不属于AH的功能特点?
A 完整性校验
B 抗重放
C 数据源验证
D 数据加密
正确答案 D
单选题 140/503、 以下哪一项参数不是链路质量检查的条件?
A 时延
B 带宽
C 抖动
D 丢包率
正确答案 B
单选题 141/503、 以下关于策略路由匹配规则的描述,错误的是哪一项?
A 当配置多条策略路由规则时,策略路由列表默认是按照配置顺序排列
B 一个匹配条件中如果可以配置多个值,多个值之间是"或"的关系,报文的属性只要匹配任意一个值,就认为报文的属性匹配了这个条件
C 每条策略路由中只包含一个匹配条件
D 系统默认存在一条缺省策略路由default,缺省策略路由位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作为不做策略路由
正确答案 C
单选题 142/503、 以下哪一项不属于IKE安全提议需要配置的参数?
A 认证算法
B 协商模式
C 封装模式
D 加密算法
正确答案 B
IKE安全提议包括IPSec使用的安全协议、认证/加密算法以及数据的封装模式,没有协商模式。
单选题 143/503、 以下关于华为IPS设备升级的描述,正确的是哪一项?
A 升级华为IPS的特征库,不需要License授权
B 升级华为IPS的系统版本,不需要重启设备就能生效
C 升级华为IPS的特征库,需要重启设备才能生效
D 升级华为IPS的特征库,不需要重启设备就能生效
正确答案 D
单选题 144/503、 以下关于GRE over IPSec的描述,错误的是哪一项?
A IPSec需要保护的数据流为从GRE起点到GRE终点的数据流
B GRE封装过程中增加的IP头即源地址为IPSec隧道的源端地址,目的地址为IPSec隧道的目的端地址
C 当网关之间采用GRE over IPSec连接时,先进行GRE封装,在进行IPSec封装
D IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址,目的地址即IPSec对等体中应用IPSec安全策略的接口地址
正确答案 B
145/503某URL参数是:http://www.example.com:8088/news/edu. aspx?name-tomsage=20,该URL不包括以下哪一项字段?
A host
B :port
C ?query
D Protocol
正确答案 C
多选题 146/503、 (多选题)以下哪些项是智能选路中的出站技术?
A 智能DNS
B 策略路由
C ISP选路
D 全局选路
正确答案 BCD
多选题 147/503、 (多选题)以下哪些项是传输模式和隧道模式的区别?
A 隧道模式有一个额外的IP头,隧道横式比传输模式占用更多带宽
B 隧道模式隐藏原IP头信息,安全性更好
C 传输模式能实现对全报文(除可变IP头部参数)的完整性校验
D 隧道模式能够加密数据报文
正确答案 ABD
多选题 148/503、 (多选题)以下关于SSL VPN中文件共享的描述,正确的是哪些项?
A Windows系统下文件共享资源选择SMB
B 在文件共享业务中防火墙起到了协议转换器的作用
C Linux系统下文件共享资源选择NFS
D 共享资源的路径格式与资源类型无关
正确答案 ABC
多选题 149/503、 (多选题)以下关于SSL VPN中文件共享功能的描述。正确的是哪些项?
A 它能够让远程接入用户直接通过浏览器安全地访问企业内部的文件服务器
B 该功能可以让用户无需安装文件共享客户端就可以访问内网文件服务器
C 在业务交互过程中,防火墙作为中转站进行访问和响应格式的转换
D 只支持将NFs格式的协议转换成基于SSL的超文本传输协议
正确答案 ABC
多选题 150/503、 (多选题)Anti-DDoS的应用层源认证功能防范以下哪些攻击?
A HTTP GET/POST Flood
B ACK Flood
C HTTPS Flood
D DNS QUERY Flood
正确答案 ACD
多选题 151/503、 (多选题)以下关于Anti-DDoS检测中心的描述,正确的是哪些项?
A 检测中心发现流量异常后会上报管理中心
B 可通过在网络中部署分流设备将流量复制到检测中心
C 可通过部署流量镜像将流量复制到检测中心
D 检测中心只支持基于应用的还包检测技术
正确答案 ABC
多选题 152/503、 (多选题)防火墙在内容过滤检测时识别出关键字,可以执行哪些影响动作?
A 删除附件
B 阻断
C 允许
D 告警
正确答案 BD
多选题 153/503、 (多选题)华为IPS设备直路部署在网络中可以实现以下哪些项的功能?
A 控制内网P2P应用滥用公网流量
B 针对扫描攻击进行主动防御
C 针对漏洞进行主动防御
D 防止内网用户受到SQL注入攻击
正确答案 ABCD
多选题 154/503、 (多选题)在华为NGFW的IPS业务模块日志中,会记录以下哪些选项的内容?
A 攻击者源IP
B 攻击持续时长
C 签名ID
D 签名名称
正确答案 ACD
多选题 155/503、 (多选题)在Windows主机上通过netstat命令查看网络连接时,可以看到以下哪些输出信息?
A 源IP地址和源端口
B 目的IP地址和目的端口
C 协议号
D 连接状态
正确答案 ABD
多选题 156/503、 (多选题)AAA作为安全的一种管理机制,以模块化的方式提供以下哪些服务?
A 认证
B 授权
C 接入
D 计费
正确答案 ABD
多选题 157/503、(多选题)RADIUS服务器授权VLAN时,必须同时使用以下哪些RADIUS标准属性?
A Tunnel-Port
B Tunnel-Medium Type
C Tunnel-Type
D Tunnel-Private-Group ID
正确答案 BCD
多选题 158/503、 (多选题)以下哪些是带宽通道可以执行的处理动作?
A 丢弃超过了预先定义的最大带宽的流量
B 标记流量的优先级,作为后续队列调度的依据
C 限制业务的连接数
D 出接口限流
正确答案 ABC
多选题 159/503、 (多选题)在配额控制策略中,可以为用户设置以下哪些策略?
A 限定每日上网时长
B 限定每月上网流量总额
C 限定每日上网流量总额
D 限定每月上网总时长
正确答案 ABC
多选题 160/503、 (多选题)证书认证适用于以下哪些场景?
A 点到多点、其中总部出口地址固定,分支出口地址不固定
B 点到点,其中一方IP地址不固定
C 点到点,双方地址不固定
D 点到多点,总部出口地址和分支出口地址都不固定
正确答案 ABCD
多选题 161/503、 (多选题)手工方式建立IPSec SA与使用IKE方式建立IPSec SA有以下哪些区别?
A 手工方式也需费建立IKE SA。用于保护IPSec SA的建立
B 手工方式需要配置IPSec加密密钥。IKE方式无需配.置IPSec加密密钥,密钥自动生成
C 手工方式适用于对等体设备数量较少时,或是在小型网络中,IKE方式适用于中大型网络
D 手工方式建立的SA,一经建立永久存在:IKE方式建立的SA,其生存周期由双方配置的生存周期参数控制
正确答案 BCD
多选题 162/503、 (多选题)以下哪些项是GRE over IPSec VPN的优势?
A 支持创建虚拟接口
B 支持对报文进行加密
C 支持对收到数据的源进行认证
D 支持对收到的报文进行校验,检查报文是否完整,是否被改动
正确答案 ABCD
多选题 163/503、 (多选题)GRE over IPSec可以封装以下哪些协议?
A OSPF协议
B IPX协议
C IPv6协议
D VRRP协议
正确答案 ABC
多选题 164/503、(多选题)以下关于web代理方式的描述,正确的是哪些项?
A web改写方式web Link安全性更高、使用起来也更加便捷
B web Link会对URL进行改写,隐藏内网服务器地址
C web Link依赖IE控件,在非IE不境中无法正常使用
D web改写可能会造成图片错位,字体显示不正常等问题
正确答案 ACD
多选题 165/503、 (多选题)华为Anti-DDoS防御系统支持以下哪些镜像方式?
A 策略路由引流
B 在出口设备上使用端口镜像
C 分光器分光
D BGP引流
正确答案 BC
多选题 166/503、 (多选题)华为Anti-DDoS防御系统支持以下哪些引流方式?
A 静态路由引流
B BGP引流
C 策略路由引流
D GRE VPN引流
正确答案 BC
多选题 167/503、 (多选题)以下哪些应用协议可以承载文件?
A IMAP
B HTTP
C FTP
D POP3
正确答案 ABCD
多选题 168/503、 (多选题)防火墙在进行内容过滤时识别出关键字,可以执行以下哪些响应动作?
A 按权重操作
B 告警
C 阻断
D 允许
正确答案 ABC
多选题 169/503、 (多选题)以下关于华为IPS工作原理和功能的描述,正确的是哪些项?
A IPS直路部署在网络出口,可以在不影响网络拓扑的前提下对网络进行实时的保护
B IPS设备的特征库需要经常更新,才能识别最新的木马、病毒等网络攻击
C 当教据流量的来回路径不一致时,IPS无法对流量进行检测
D IPS可以执行的动作包括放行、通知、限流、隔离和重定向等操作
正确答案 ABC
多选题 170/503、 (多选题)以下哪些项属于常见的网络攻击方式?
A DDoS攻击
B SQL注入
C 木马、病毒等攻击
D XSS脚本攻击
正确答案 ABCD
171/503、 (多选题)IPS三层旁挂部署方式通常将IPS旁挂于其他网络设备上,如交换机、路由器等。以下关于IPS三层旁挂部署方式的描述,正确的是哪些项?
A 三层旁挂部署时,需要将进出网络设备的双向流量都引流到IPS进行检测
B 三层旁挂部署时,只需要将从外网进入内网的单向流量引流到IPS进行检测
C 三层务挂部署时,IPS不能对实时流量进行防护
D 三层旁挂部署时,IPS可以对实时流量进行防护
正确答案 AD
多选题 172/503、 (多选题)以下关于华为IPS部署方式的描述,错误的是哪些项?
A 二层直路部署,可以对网络流量进行实时的识别和控制
B 三层旁挂部署,可以对网络流量进行实时的识别和控制
C 二层直路部署、三层旁挂部署、二层旁路检测部署,均可以对网络流量进行实时的识别和控制
D 二层旁路检测部署,可以对网络流量进行实时的识别和控制
正确答案 CD
173/503、 (多选题)按照《国家网络安全事件应急预案》中的分类方式,以下属于设备设施故障的事件有哪些项?
A 光模块故障
B 接口板故障
C DDoS攻击导致的接口拥塞
D 设备软件BUG
正确答案 ABD
174/503、 (多选题)某企业为提高全体员工的信息安全意识,在企业内部举行了一次信息安全教育培训,以下哪些行为和习惯能够有效保护个人、企业的数据安全?
A 定期修改系统密码,特别是关键数据库系统的密码,且符合复杂度要求
B 不使用来路不明、未经安全验证的U盘拷贝敏感数据
C 下载必要软件时,仅从官方网站获取
D 收到来源不明的异常邮件,不打开任何超链接,及时上报,并删除邮件
正确答案 ABCD
175/503、 (多选题)Portal认证场景下,当用户已下线,而接入设备、RADIUS服务器和Portal服务器未感知到该用户已下线时,可能会导致以下哪些问题?
A 存在非法用户仿冒合法用户IP地址和MAC地址接入网络的风险
B 已下线用户数量过多的情况下、可能会导致其他用户无法接入网络
C 该用户再次上线时无需再进行认证
D RADIUS服务器仍会对该用户进行计费,造成误计费
正确答案 ABCD
176/503、 (多选题)NAC(Network Access Control,网络接入控制)是一种"端到端"的安全技术,需要与AAA互相配合,共同实现接入认证功能。以下关于NAC与AAA的描述,正确的是些选项?
A NAC主要用于接入设备与认证服务器之间的交互过程
B AAA服务器通过对接入用户进行认证、授权和计费实现对接入用户访问权限的控制
C AAA主要用于用户和接入设备之间的交互过程
D NAC主要包括三种认证方式:802.1X认证、MAC认证和Portal认证
正确答案 BD
177/503、 (多选题)华为准入控制方案中,当采用RADIUS协议下发授权时,iMaster NCE-Campus支持下发以下哪些授权参数?
A VLAN
B 接口
C 用户组
D ACL
正确答案 ACD
178/503、 (多选题)在802.1X认证系统中,接入设备和认证服务器之间如果采用EAP终结方式。在这种认证方式中,设备端不仅要从来自客户端的EAP报文中提取客户端认证信息,还要通过标准的RADIUS协议对这些信息进行封装,且不能支持以下哪些EAP认证方法?
A MD5-Challenge
B EAP-PEAP
C EAP-TLS
D EAP-TTLS
正确答案 BCD
179/503、 如图所示,防火墙负载均衡组网,通过在防火墙A上查看HRP状态,得到如下信息:
HRP_M[FW_A]display hrp state Role: active,peer:standby(should be"active-active")Running priority:45000,peer:45000 Backupchannel usage:0.00%Stable time:0 days,2hours,38 minutes以下哪些项是可能的原因?
A 防火墙B的VRRP接口故障
B 防火墙A的业务口故障
C 防火墙B没有启用双机热备
D 防火墙B监视的BFD状态为Down
正确答案 AD
多选题 180/503、 (多选题)以下哪些功能属于防火墙可以实现的虚拟化?
A 安全功能虚拟化
B 配置虚拟化
C 资源虚拟化
D 路由虚拟化
正确答案 ABCD
多选题 181/503、 (多选题)以下哪些条件可以作为带宽策略中匹配报文的依据?
A URL分类
B 服务
C 时间段
D 源安全区域
正确答案 ABCD
多选题 182/503、 (多选题)以下关于带宽通道中上下行带宽独立控制和整体控制的描述,正确的是哪些顶?
A 除了上下行带宽独立控制这种细粒度的管控方式,防火墙还提供了基于上行和下行流量之和的带宽管控方式
B 流量传输方向与带宽策略同向时,定义为下行
C 流量传输方向与带宽策略反向时,定义为上行
D 最大带宽、保证带宽和连接数限制均支持上下行带宽分别配置
正确答案 AD
多选题 183/503、 (多选题)以下关于策略模板方式IPSec安全策略的描述,正确的是哪些项?
A 在策略模板配置中,引用IPSec安全提议和IKE对等体为必选配置
B 如果对端采用PPPoE拨号获得IP地址,可以采用此方式建立安全策略
C IPSec隧道的两端都可以配置策略模板方式的IPSec安全策略
D 采用策略模板方式IPSec安全策略可简化多条IPSec随道建立时的配置工作量
正确答案 ABD
多选题 184/503、 (多选题)以下关于Anti-DDoS方案组网模式的描述,正确的是哪些项?
A 直路部署简单,串接在网络中,无需考虑单点故障
B 旁路部署支持动态引流将流量牵引到清洗中心
C 旁路部署可通过静态引流方式将流量牵引到清洗中心进行检测和清洗
D 在旁路部署组网中,缺省情况下流量不经过清洗中心
正确答案 BCD
多选题 185/503、 (多选题)华为防火墙支持以下哪些邮件安全保护功能?
A 邮箱地址检查
B 邮件附件控制
C 垃圾邮件防范
D 匿名邮件检查
正确答案 ABCD
多选题 186/503、 (多选题)以下关于文件过滤技术原理的描述,正确的是哪些项?
A 可以识别承载文件的应用协议
B 可以根据文件的传输方向进行识别
C 文件过滤无法识别真正的文件类型
D 默认情况下,防火墙文件识别结果异常会直接阻断
正确答案 AB
多选题 187/503、 (多选题)内容过滤技术可以对以下哪些内容进行过滤?
A 邮件正文
B 搜索的内容
C 发布的帖子内容
D 上传到服务器的文件
正确答案 ABCD
188/503、 (多选题)802.1X认证是一种基于端口的网络接入控制协议,即在接入设备的端口这一级验证用户身份并控制其访问权限。以下关于802.1X认证的触发方式的描述,正确的是哪些选项?
A 客户端发送DHCP请求报文触发认证
B 客户端关联设备触发认证
C 客户端发送EAPoL-Start报文触发认证
D 关联设备主动发起
正确答案 BC
189/503、(多选题)如图所示,防火墙负载均衡组网,发现业务流量有时会出现丢包现象。以下哪些项可能导致该情况发生?
A 没有配置hrp adjust ospf-cost enable
B 未配置会话快速备份
C 只配置了一个VRRP组
D 心跳口故障
正确答案 ABD
多选题 190/503、 (多选题)在双机系统软件版本升级前,需要准备以下哪些工作?
A 双机倒换情况
B 确认当前业务运行情况并记录,如MAC表、会话表等
C 备份重要数据,如当前配置文件和系统软件
D 确认设备的运行情况并记录,如当前版本软件、License、设备硬件情况等
正确答案 ABCD
多选题 191/503、 (多选题)以下关于策略路由匹配条件的描述,正确的是哪些项?
A 可以指定流量的应用类型,通过应用防火墙能够区分使用相同协议和端口号的不同应用程序,使网络管理更加精细
B 如果想要匹配不同优先级的流量,可以在创建策略路由规则时将DSCP优先级作为匹配条件
C 如果希望策略路由规则仅在特定时间段内生效,可以在创建策略路由规则时将时间段作为匹配条件
D 源安全区域和入接口可以同时使用,匹配用户流量更加精准
正确答案 ABC
多选题 192/503、 (多选题)全局选路策略包含以下哪些类型?
A 链路优先级主备备份
B 链路带宽负载分担
C 链路质量负载分担
D 链路权重负载分担
正确答案 ABCD
多选题 193/503、 (多选题)以下哪些不属于IPSec SA的建立方式?
A IKE方式
B 主模式
C 手工方式
D 野蛮模式
正确答案 BD
多选题 194/503、 (多选题)以下哪些项可能导致IPSec VPN建立失败?
A 到达对端内网的路由不可达
B 封装模式不一致
C 支持的加密算法不一致
D ACL不包含两端需要通信的业务地址
正确答案 ABCD
多选题 195/503、 (多选题)在IPSec组网中,策略模板适用于以下哪些场景?
A 点到点、其中一方IP地址不固定
B 点到多点,其中总部出口地址固定、分支出口地址不固定
C 点到多点,总部出口地址和分支出口地址都不固定
D 点到点,双方地址不固定
正确答案 AB
多选题 196/503、 (多选题)Anti-DDoS的会话检查机制可以防范以下哪些攻击?
A TCP连接耗尽攻击
B ACK Flood
C TCP异常会话攻击
D UDP Flood
正确答案 ABC
多选题 197/503、 (多选题)以下哪些特证可以作为Anti-DDoS过滤器的过滤条件?
A 协议
B 目的
C TTL
D 源IP
正确答案 ABCD
多选题 198/503、 (多选题)以下关于URL过滤和DNS过滤对比的描述,正确的是哪些项?
A URL过滤比DNS过滤对设备性能的影响小
B URL过滤的控制范围比DNS过滤小
C URL过滤比DNS过滤的控制粒度细
D DNS过滤相比于URL过滤可以更精细的进行访问控制
正确答案 BC
多选题 199/503、 (多选题)以下哪些属于内容安全过滤技术?
A 邮件过滤
B 带宽限制
C 应用行为控制
D URL过滤
正确答案 ACD
多选题 200/503、 (多选题)防火墙支持的内容安全过滤技术不包括以下哪些项?
A Web服务器防护
B DDoS防护
C 文件过滤
D URL过滤
正确答案 AB
多选题 201/503、(多选题)华为IPS设备中,物理接口的工作模式有以下哪些项?
A 旁路检测
B 路由
C 接口对
D 交换
正确答案 ABD
202/503、 (多选题)木马的危害性非常大,其可能泄露受害者的敏感信息,甚至远程操纵受害者的主机。则木马程序的传播方式包括以下哪些项?
A 攻击者利用漏洞入侵主机,随后安装木马程序
B 伪装成工具程序,诱骗用户运行,一旦运行,木马就会自动植入主机中
C 第三方下载器下载软件携带木马
D 捆绑在某知名工具程序中
正确答案 ABCD
多选题 203/503、(多选题)某Linux系统中top命令输出显示如图所示,则关于此输出信息的描述,正确的是哪些项?
A PR代表进程优先级,数值越小,优先级越高
B PID代表进程ID,在Linux系统中是唯一的,不可重复
C %MEM代表进程使用内存占总物理内存的百分比
D CPU代表进程的CPU占用率,其显示上限为100%
正确答案 ABCD
多选题 204/503、 (多选题)以下哪些资源属于给虚拟系统手工分配的资源?
A 安全区域
B 带宽
C VLAN
D 接口
正确答案 BCD
多选题 205/503、 (多选题)以下哪些属于虚拟系统的特点?
A 每个虚拟系统拥有独立的配置及路由表项
B 每个虚拟系统由独立的管理员进行管理
C 虚拟系统之间的流量相互隔离,更加安全
D需要为每个虚拟系统分配固定的系统资源
正确答案 ABC
206/503、 (多选题)如图所示是外网用户访问内部服务器场景,那么以下关于该场景的描述,正确的是哪些项?
A ISP1链路可能会造成网络拥塞
B ISP2可以通过ISP1网络访间Web服务器
C 可以通过ISP选路路由技术保证ISP2用户通过最短路径访间web服务器
D ISP2用户发起DNS解析后的地址与自己不是同一网段,因此无法访问
正确答案 AB
多选题 207/503、 (多选题)以下哪些是策略路由可以匹配的条件?
A 源安全区域
B 源MAC地址
C 源IP地址
D 应用
正确答案 ACD
208/503、 (多选题)IPSec使用IKE v1主横式建立隧道,并且使用证书验证身份,以下哪些消息对证书进行合法性进行验证?
A 消息5
B 消息4
C 消息6
D 消息3
正确答案 AC
多选题 209/503、 (多选题)IPSec VPN通过以下哪些方面保障了用户业务数据在Internet中的安全传输?
A 数据以密文的形式在Internet上传送
B 接收方对接收的数据进行验证
C 接收方验证发送方身份是否合法
D 接收方拒绝旧的或重复的数据包
正确答案 ABCD
多选题 210/503、 (多选题)以下哪些是华为Anti-DDoS支持的防范机制?
A 会话检查
B 限流
C 过滤器
D 首包检查
正确答案 ABCD
多选题 211/503、 (多选题)URL地址的结构组成包含以下哪些字段?
A protocol
B Path
C Hostname
D :port
正确答案 ABCD
多选题 212/503、 (多选题)WAF是企业中常见的一种安全设备,其应用场景有哪些?
A 敏感词过滤
B 访问审计
C 防网页篡改
D 防CC攻击
正确答案 ABCD
213/503、 (多选题)某工程师正在部署无线网络,访客接入采用Portal认证方式,认证点为无线控制器,认证服务器采用iMaster NCE-CGampus。在无线控制器上配置的Portal服务器模板内容如下,以下关于配置的描述,正确
的是哪些项?
[WAC]web-auth-server abc
[WAC-web-auth-server-abc]server-ip 10.23.200.1
[WAC-web-authserver-abc]source-ip 10.10.10.254
[WAC-web-auth-server-abc]urlHttp://access.example.com:8080/portall
[WAC-web-auth-server-abc]port 50200
[WAC-web-auth-serverabc]shared-key cipher Admin@123
[WAC-web-auth-server-abc]url-parameter ssidssid redirect-url url
A 设备上处理Portal协议报文的端口号为50200
B 设备和Portal服务器通信的IP地址为10.10.10.254
C 重定向给用户的URL中会带有ssid名称
D Portal服务器的IP地址为10.23.200.1
正确答案 BCD
214/503、 (多选题)某工程师正在部署无线网络,用户接入采用802.1X认证方式,认证点为无线控制器,认证服务器采用iMaster NCE-Campus。在无线控制器上配置RADIUS认证参数如下,以下关于配置的描述,正确的是哪些项?
[WAC-wlan-view]quit
[WAC]radius-server template wlan-net
[WAC-radius-wlan-net]radiusserverauthentication 10.23.103.11812
[WAC-radius-wlan-net]radius-server accounting 10.23.103.11813
[WAC-radius-wlan-net]radius-servershared-key cipher huawei@123
[WAC-radius-wlan-net]quit
[WAC-wlan-view]quit
[WAC]aaa
[WAC-aaa]accounting-scheme schemel
[WAC-aaa-accountingschemel]accounting-moderadius
[WAC-aaa-accounting-schemel]accounting realtime 15
[WAC-aaaaccounting-schemel]quit
[WAC-aaa]quit
A RADIUS认证、计费端口号分别为1812、1813
B RADIUS服务器地址为10.23.103.1
C 配置计费模式为RADIUS计费
D 设备按时长计费,未使能实际计费功能
正确答案 ABC
215/503、 (多选题)某客户现网采用华为无线控制器部署802.1X认证,认证服务器为iMaster NCE Campus。工程师在调试无线网络过程中发现终端一直认证失败,导致该问题的可能原因有哪些?
A 终端与认证服务器网络不可达
B 无线控制器上配置的授权密钥与认证服务器配置不一致
C 无线控制器上未配置业务VLAN
D 无线控制器上配置的认证模板没有绑定接入模板
正确答案 CD
多选题 216/503、 (多选题)以下关于防火墙双机热备系统软件版本升级的描述,正确的是哪些项?
A 当备机系统升级完成后,需要验证业务的运行情况,如业务运行异常,则需要进行版本回退
B 双机系统软件版本升级前,需要将待升级版本软件保存在本地PC,无需上传到防火墙
C 升级主机时,先shutdown心跳接口,再shutdown业务接口,会造成双主现象
D 双机系统软件版本升级完成后,需要测试防火墙的主备状态和业务运行情况,对双机切换不做验证要求
正确答案 AC
217/503、如图所示为BFD与双机热备联动场景,以下关于该场景的配置,正确的是哪些项?
A
[Fw_B]bfd
[Fw_B-bfd]quit
[FW_B] bfd 1 bindpeer-ip 10.1.1.1
[FW_B-bfd-session1]discriminator local 10
[FW_B-bfd-session-1]discriminator remote 20
[FW_B-bfd-session1]commit
[FW_B-bfd-session-1] quit
[Router_B]bfd
[Router_B- bfd]quit
[Router_B]bfd 1 bindpeer-ip 10.100.40.2
[ Router_B-bfd-session-1]discriminator local 20
[ Router_B-bfd-session-1]discriminator remote 10
[ Router_B-bfd-session-1]commit
[ Router_B-bfd-session1]quit
[FW_B]hrp track bfd-session 20
B
[Fw_A] bfd
[Fw_A-bfd] quit
[FW_A]bfd 1 bindpeer- ip 1.1.1.2
[FW_A-bfd-session-1]discriminator local 10
[FW_A-bfd-session-1]discriminator remote 20
[FW_A-bfd-session-1]commit
[FW_Abfd-session-1] quit
[Router_A]bfd
[Router_A-bfd] quit
[Router_A] bfd 1 bindpeer-ip 10.100.30.2
[Router_A-bfd-session-1]discriminator local 20
[Router_A-bfd-session1]discriminator remote 10
[Router_B-bfd-session-1] commit
[Router_A-bfd-session-1]Quit
[FW_A] hrp track bfd-session 10
C
[Fw_B] bfd
[Fw_B-bfd] quit
[FW_B] bfd 1 bindpeer-ip 2.2.2.2
[FW_B-bfd-session-1]discriminator local 10
[FW_B-bfd-session-1]discriminator remote 20
[FW_B-bfd-session-1]commit
[FW_B-bfd-session-1] quit
[Router_B]bfd
[Router_B-bfd] quit
[Router_B] bfd 1 bindpeer- ip 10.100.40.2
[Router_B-bfd-session-1]discriminator local 20
[Router_B-bfd-session-1]discriminator remote 10
[Router_B-bfd-session-1] commit
[Router_B-bfd-session-1] quit
[FW_B] hrp track bfd-session 10
D
[Fw_A] bfd
[Fw_A-bfd] quit
[FW_A]bfd 1 bindpeer-ip 10.1.1.2
[FW_A-bfd-session1]discriminator local 10
[FW_A-bfd-session-1]discriminator remote 20
[FW_A-bfd-session1]commit
[FW_B-bfd-session-1] quit
[Router_A]bfd
[Router_A-bfd] quit
[Router_A]bfd 1 bindpeer-ip 10.100.30.2
[Router_A-bfd-session-1]discriminator local 20
[Router_A-bfdsession-1]discriminator remote 10
[Router_A-bfd-session-1] commit
[Router_A-bfd-session1] quit
[FW_A] hrp track bfd-session 10
正确答案 BC
多选题 218/503、 (多选题)以下关于使用ACL作为IPSec感头趣流匹配规则的描述,正确的是哪些项?
A 若不同的数据流有不同的安全要求,则需要创建不同的ACL和相应的IPSec安全策略
B 如果应用IPSec安全策略的接口同时配置了NAT,由于设备先执行NAT,会导致IPSsec不生效。此时需要将IPSec引用的ACL规则匹配经过NAT转换后的IP地址
C 同一个IPSec安全策略组中配置的ACL可以包含相同的rule规则
D IPSec隧道两端ACL规则定义的协议类型要一致。例如,一端使用IP协议,另一端也必须使用IP协议
正确答案 ABD
多选题 219/503、 (多选题)华为Anti-DDoS解决方案由以下哪些部分组成?
A 检测中心
B 清洗中心
C 管理中心
D 防护对象
正确答案 ABC
多选题 220/503、以下关于URL过滤中黑白名单的描述,正确的是哪些项?
A 白名单的优先级高于黑名单的优先级
B 如果防火墙上的URL过滤网站较少,那么既可以使用黑白名单,也可以使用自定义URL分类
C 如果只将主网页加入白名单,则该主网页下的内嵌网页部分将无法正常访问
D黑白名单无法与URL分类结合使用
正确答案 ABC
多选题 221/503、 (多选题)以下关于邮件协议的描述,正确的是哪些项?
A 使用POP3,用户直接对服务器上的邮件进行操作,不需要把所有邮件下载到本地再进行各项操作
B 使用POP3,客户端软件会将所有未阅读邮件下载到计算机。并且邮件服务器会删除该邮件
C 使用IMAP,用户直接对服务器上的邮件进行操作,不需要把所有邮件下载到本地再遗行各项操作
D 使用IMAP,客户端软件会将所有未阅读邮件下载到计算机。并且邮件服务器会删除读邮件
正确答案 BC
多选题 222/503、 (多选题)管理员在防火墙上部署了内容过滤功能,可以实现以下哪些安全保护?
A 对内网用户搜素的内容进行过滤,阻止内网用户搜索与工作无关的内容
B 对内网用户发布的微博和帖子内容进行过滤,阻止内网用户发布包含违规信息的微博和帖子
C 对内网用户下载的文件内容进行过滤,阻止内网用户下载包含违规信息的文件
D 对内网用户上传的文件内容进行过滤,阻止内网用户上传包含公司机密信息的文件
正确答案 ABCD
多选题 223/503、 (多选题)以下哪些是带宽通道中可以管理的资源?
A 连接数限制
B 策略独占
C 上下行带宽独立控制
D 整体保证带宽
正确答案 ABCD
多选题 224/503、 (多选题)以下关于带宽通道中整体保证带宽和最大带宽的描述,正确的是哪些项?
A 如果流量大于最大带宽,则直接丢弃超出最大带宽的流量
B 整体的保证带宽是指进入带宽通道的流量可获得的最小带宽资源
C 如果流量小于保证带宽,这部分流量在出接口发送环节能够确保被转发
D 整体的最大带宽是指进入带宽通道的流量可获得的最大带宽资源
正确答案 ABCD
多选题 225/503、 (多选题)过载保护虽然可以保证链路的稳定性,但是会引起以下哪些问题?
A 网络游戏在链路切换后掉线
B 网站在刷新后需要重新登录
C 所有流量因超出阈值而被丢弃
D 网上银行业务因检测到IP地址变化而拒绝用户访问
正确答案 ABD
多选题 226/503、 (多选题)以下关于手工方式IPSec安全策略的描述,正确的是哪些项?
A 在配置时本端的入方向SA参数不一定需要和对端的出方向SA参数一样
B 手工方式IPSec安全策略所有的安全参数都需要手工配置
C 适用于小型静态环境
D 管理员配置工作量大
正确答案 BCD
多选题 227/503、 (多选题)华为防火墙能够对单包攻击采取以下哪些防范动作?
A 源认证
B 丢弃
C 告警
D 放行
正确答案 BC
多选题 228/503、 _((多选题)Anti-DDoS首包检查机制支持以下哪些报文?
A UDP
B TCP
C DNS
D ICMP
正确答案 BC
多选题 229/503、选((多选题)以下哪些是防火墙URL过滤的匹配模式?
A 后缀匹配
B 模糊匹配
C 精确匹配
D 关键字匹配
正确答案 ACD
多选题 230/503、 (多选题)Linux操作系统可以从以下哪些方面进行安全加固?
A 日志安全
B 系统安全
C 服务启动管理
D 账号安全
正确答案 ABCD
多选题 231/503、 (多选题)针对windows操作系统,可以执行以下哪些操作进行加固?
A 限制用户数量
B 定期审核账号权限
C 取消默认共享
D 修改默认TTL值
正确答案 ABCD
多选题 232/503、 (多选题)IPS的签名过滤器支持对以下哪些操作系统类型进行过滤?
A Unix-like
B IOS
C Android
D Windows
正确答案 ABCD
多选题 233/503、 (多选题)某客户现网采用AD认证方式控制终端接入网络,其中AD服务器由以下哪些部件组成?
A Authentication Server
B Accounting Server
C LDAP Server
D Ticket-Granting Server
正确答案 ACD
234/503、 (多选题)RADIUS支持使用PAP和CHAP方式对用户的身份信息进行验证,以下关于CHAP方式的描述,正确的是哪些选项?
A 密码在认证终端与网络接入设备中密文传输
B 与PAP认证方式相比,CHAP认证方式保密性较好,更为安全可靠
C 密码在认证终端与网络接入设备中明文传输
D 在认证过程中,NAS设备把用户名和加密后的密码,以及一个16字节随机码传给RADIUS服务器
正确答案 ABD
235/503、(多选题)某园区组网如图所示,其中SW1是认证点设备。以下关于该网络准入控制的描述,正确的是哪些项?
A 若部署MAC地址认证,不需要提前收集所有哑终端的MAC地址
B 若部署MAC优先的Portal认证,访客掉线后,在一定时间内可不输入用户名密码直接访问网络
C 若部署802.1X认证,在SW2和SW3上需要做EAP报文透传配置
D 若部署Portal认证,可让iMaster NCE-Campus同时担任RADIUS服务器和Portal服务器
正确答案 BCD
多选题 236/503、 (多选题)当双机热备的系统软件版本升级完成后,需要验证以下哪些事项?
A 系统软件版本
B 防火墙主备状态
C 双机倒换
D 会话表
正确答案 ABCD
多选题 237/503、 (多选题)以下关于虚拟系统管理员的描述,正确的是哪些项?
A 根系统管理员可以为虚拟系统创建一个或多个管理员
B 根系统管理员和虚拟系统管理员都可以进行删除其它虚拟系统的相关配置
C 启用虚拟系统功能后,设备上已有的管理员将成为虚拟系统的管理员
D 根据虚拟系统的类型,管理员分为根系统管理员和虚拟系统管理员
正确答案 AD
238/503、(多选题)如图所示,移动办公用户通过文件共享功能访间文件内部服务器。那么以下关于该过程的描述,正确的是哪些项?
A 文件共享功能在出差用户访问内网的文件资源过程中起到了协议转换的作用
B 请求和响应报文直接通过防火墙进行透传,不做任何改变
C 首先用户需要登录虚拟网关再发起访问文件的HTTPS格式请求
D 如果是用户首次访问文件共享资源,要先通过文件服务器的认证
正确答案 ACD
多选题 239/503、 (多选题)针对HTTP Flood攻击,华为防火墙支持以下哪些防范机制?
A 基础源探测
B 限流
C 高级源探测
D 302重定向
正确答案 ACD
多选题 240/503、(多选题)如图所示为策略路由回注场景,以下关于该场景的描述,正确的是哪些项?
A 回注流量到达Router 1后,Router 1根据自身转发机制将流量分别发送至下行路由器Router2或Router3,流量最终到达不同的防护对象
B 清洗设备根据策略路由,将不同防护对象的流量回注到Router1不同的接口(10GE1/0/2和10GE1/0/3)
C Router1为引流路由器
D Router1的10GE1/0/1接口与清洗设备的10GE2/0/1接口之间的通道为引流通道
正确答案 ABCD
多选题 241/503、 (多选题)在文件过滤中,防火墙对接收的文件可以识别以下哪些属性?
A 文件传输方向
B 文件类型
C 文件扩展名
D 承载文件的应用协议
正确答案 ABCD
多选题 242/503、 (多选题)溢出类攻击是一种较为普遍的攻击方式,以下关于溢出攻击的描述,正确的是哪些项?
A 溢出攻击会导致程序运行异常,但不会造成信息泄露
B 溢出攻击可以利用软件漏洞来实施攻击
C 溢出攻击利用向缓冲区写入超出其容量的内容,导致缓冲区溢出,进而扰乱程序运行,实现攻击
D 溢出攻击可以用来攻击操作系统和多种应用软件
正确答案 BCD
多选题 243/503、 (多选题)华为HWTACACS认证方案中,以下哪些报文是HWTACACS的计费报文?
A Accounting Reply
B Accounting Response
C Accounting Request
D Accounting Start
正确答案 BC
多选题 244/503、 (多选题)以下关于MAC认证的描述,哪些选项是正确的?
A MAC认证简化用户操作
B MAC认证适用于用户分散、用户流动性大的场景
C MAC认证的账号管理比较简单
D MAC认证不需要安装客户端
正确答案 ACD
多选题 245/503、 (多选题)以下关于引流表的描述,正确的是哪些项?
A 引流表中记录的是IP地址和MAC地址的绑定关系
B 报文命中引流表分为正向命中和反向命中两种情况
C 引流表可以解决业务量大时,会话资源紧张的问题
D 引流表可以减少根系统配置的策略数
正确答案 BCD
多选题 246/503、 (多选题)以下哪些属于终端安全中的主机检查策略?
A 防火墙软件
B 临时文件
C 杀毒软件
D 自动保存的密码
正确答案 AC
多选题 247/503、 (多选题)对Windows操作系统进行安全加固,可以防御以下哪些类型的攻击?
A 网络病毒
B 木马程序
C 密码破解
D 用户权限篡改
正确答案 ABCD
多选题 248/503、 (多选题)以下哪些选项属于应急响应总结阶段的操作?
A 查找系统漏洞
B 恢复数据库数据
C 应急响应总结
D 安全事件调查
正确答案 CD
249/503、 (多选题)用户身份认证、授权可以在准入控制设备上完成,也可以交由服务器完成。当采用准入设备进行认证授权时即为本地认证,以下关于本地认证方式的描述,正确的是哪些选项?
A 配置本地授权时,支持的授权参数有:VLAN、ACL等
B 存储信息量受设备硬件条件限制,一般常用于设备登录认证
C 采用本地认证时,同样需要第三方服务器进行用户信息存储、校验等
D 本地认证的认证速度快,可以为运营降低成本
正确答案 ABD
250/503、 (多选题)Portal认证通常也称为Web认证,用户上网时,必须在认证网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访间其他网络资源。以下关于Portal认证触发方式的描述,正确的是哪些选项?
A 客户端发送DHCP请求报文触发
B 用户输入的访问地址不是Portal认证网站地址时,将被强制访问Portal认证网站
C 用户通过浏览器主动访问Portal认证网站触发
D 接入设备主动触发
正确答案 BC
两种认证触发方式。主动认证:用户通过浏览器主动访问Portal认证网站时,在显示的网页中输入用户名和密码进行认证;重定向认证:用户输入的访问地址不是Portal认证网站地址时,将被强制访问Portal认证网站(通常称为重定向)从而开始Portal认证过程。
多选题 251/503、 (多选题)以下关于虚拟系统与VPN实例的描述,正确的是哪些项?
A VPN实例可以支持组播协议
B 创建虚拟系统时,会自动生成相同名字的VPN实例
C 管理员使用使用ip vpn-instance命令手动创建的VPN实例
D 虚拟系统与VPN实例都可以实现业务隔离和路由隔离
正确答案 BC
多选题 252/503、 (多选题)以下关于策略路由匹配规则的描述,正确的是哪些项?
A 节点内的多个匹配条件之间的关系为"或"
B PBR根据节点编号从小到大顺序执行,匹配当前节点将不会继续向下匹配
C 每个节点内可包含多个匹配条件
D 每个节点由匹配条件和执行动作两部分组成
正确答案 BCD
253/503、 (多选题)报文采用GRE over IPSec封装,IPSec采用AH隧道模式,以下哪些属于GRE封装的载荷内容?
A 载荷数据
B 新IP头
C AH头
D 原始报文头
正确答案 AD
多选题 254/503、 (多选题)以下关于端口扫描的描述,正确的是哪些项?
A 如果某个源IP地址每秒发出的报文中目的端口不同的报文数超过了设定的阈值时,就认为该源IP地址在进行端口扫描攻击
B 可以对UDP报文进行检测
C 端口扫描攻击防范功能按照IP报文的首包速率进行统计,如果源IP加入了白名单,则防火墙不再对此源IP进行防御
D 可以对TCP报文进行检测
正确答案 ABCD
255/503、 (多选题)DDoS攻击是指一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,那么DDoS攻击的方式包括以下哪些项?
A CC攻击
B UDP Flood攻击
C SQL注入攻击
D DNS Flood攻击
正确答案 ABD
多选题 256/503、 (多选题)以下哪些项是FTP行为的控制项?
A 文件下载
B 文件上传
C 代理上网
D 浏览网页
正确答案 AB
多选题 257/503、 (多选题)以下关于URL分类的描述,正确的是哪些项?
A 为了简化操作,防火墙提供了四个缺省的URL过滤级别,并定义了各个URL分类的处理动作
B 预定义分类中,大类中还包含了小类
C 在安全策略中,处理动作的应用始终以大类为基准
D 防火墙根据URL分类信息,可以执行不同的分类处理动作
正确答案 BD
多选题 258/503、 (多选题)IPS签名的对象可以分为以下哪些类别?
A 请求端
B 响应端
C 服务端
D 客户端
正确答案 CD
259/503、 (多选题)CVE(Common Vulnerabilities and Exposures)的全称是公共漏洞和暴露,是公开披露的网络安全漏洞列表,每个CVE条目主要包含以下哪些信息?
A 发布此CVE的CNA
B 此CVE的发布日期
C 漏洞的来源、攻击方式等简要描述
D 漏洞的相关参考信息链接汇总,例如供应商的漏洞公告、应急响应建议等
正确答案 ABCD
多选题 260/503、 (多选题)华为防火墙通过HRP协议可以备份以下哪些内容?
A 黑白名单
B Sever-Map表
C 路由表
D 会话表
正确答案 ABD
多选题 261/503、 (多选题)以下关于内容过滤中关键字的描述,正确的是哪些项?
A 关键字是内容过滤时设备需要识别的内容
B 关键字包括预定义关键字和自定义关键字
C 文本能匹配的关键字最短长度为2个字节
D 自定义关键字只能用文本方式进行定义
正确答案 AB
262/503、 (多选题)SQL注入攻击的主要方式是构造巧妙的SQL语句,作为输入项提交给服务器实现攻击。SQL注入攻击的具体方法包含以下哪些项?
A 使用union语句进行联合查询
B 使用insert或update语句插入或修改数据
C 使用注释符号
D 利用恒等式(如1=1)0
正确答案 ABCD
多选题 263/503、 (多选题)Flood攻击通过以下哪些方式造成拒绝服务?
A 控制网络主机权限
B 耗尽服务器资源
C 耗尽网络带宽
D 耗尽网络设备资源
正确答案 BCD
多选题 264/503、 (多选题)以下哪些协议基于TCP进行工作?
A NFS
B HTTP
C SMB
D DHCP
正确答案 ABC
多选题 265/503、 (多选题)以下关于BFD特点的描述,正确的是哪些项?
A BFD协议规定发送间隔和接收间隔单位是微秒
B BFD控制报文封装在TCP报文中传送
C BFD的检测机制是两个系统建立BFD会话,并沿它们之间的路径周期性发送BFD控制报文
D BFD的检测机制包括检测模式、检测时间以及检测参数协商过程
正确答案 ACD
266/503、 (多选题)802.1X认证支持EAP终结和EAP中继两种认证方式,以下关于这两种认证方式的描述,正的是?
A EAP终结方式与EAP中继方式的认证流程相比,不同之处在于EAP认证方法的协商
B EAP中继方式下认证服务器必须支持EAP
C EAP终结方式下对接入设备的要求较高,接入设备需通过标准的RADIUS协议对客户端认证信意进行封装
D EAP终结和EAP中继两种方式下,均支持EAP-TLS,EAP-TTLS,EAP-PEAP,MDS-Challenge等方式
正确答案 BC
多选题 267/503、 (多选题)SSL VPN支持以下哪些认证方式?
A 证书挑战认证
B 服务器认证
C 证书匿名认证
D 本地认证
正确答案 ABCD
268/503、 (多选题)LDAP的目录是一种树形结构,由条目(Entry)组成,每个条目都有自己的唯一可识别名DN(Distinguished Name)。某录服务器的DN如:CN=Stephen,OU=Enterprise,OU=Huawe,DC=AD,DC=Huawei,则以下描述中正确的是哪些项?
A DN表示的是对象的位置
B 这个目录服务器的域名是Huawei
C 这个目录服务器不是AD服务器
D Stephen代表用户或用户组
正确答案 AB
269/503、(多选题)如图所示,防火墙A和防火墙B采用IKE v1主模式建立IPSec VPN,则以下哪些ISAKMP消息可以检测出防火墙之间存在NAT设备?
A 消息6
B 消息3
C 消息5
D 消息4
正确答案 BD
270/503、 (多选题)某工程师正在客户现场搭建无线网络环境,无线终端认证方式采用802.1X认证,认证点在华为无线控制器上,认证服务器采用iMasterNCE-Campus。为实现802.1X功能,则工程师要在天上配以下那些模板?
A 配置认证模板
B 配置VAP模板
C 配置接入模板
D 配置安全模板
正确答案 ABCD
多选题 271/503、 (多选题)当防火墙识别出文件异常时,可以实现以下哪些相应动作?
A 阻断
B 告警
C 允许
D 删除附件
正确答案 ABC
272/503、 (多选题)在华为无线控制器上部署Portal认证,为保证认证终端能够正常跳转页面并打开Portal认证页面,在接入设备上的免认证模板中应放通哪些流量?
A 访问DNS服务器的流量
B 访问Porta1服务器的流量
C 访问Internet的流量
D 访问RADIUS服务器的流量
正确答案 AB
多选题 273/503、 (多选题)以下哪些项属于IPSec安全提议需要配置的参数?
A 安全协议
B 密钥
C 认证算法
D 封装模式
正确答案 ACD
多选题 274/503、 (多选题)在IPSec诊断过程中,通过display ike sa命令可以查看以下哪些参数信息?
A 安全联盟的状态
B 对端ID类型
C IPSec报文统计信息
D IPSec隧道数目
正确答案 AB
多选题 275/503、 (多选题)以下哪些是防火墙可以识别的灾件类型异常情况?
A 文件类型元法识别
B 文件内容不匹配
C 文件损坏
D 文件扩展名不匹配
正确答案 ACD
276/503、 (多选题)某客户现网采用华为无线控制器部署MAC认证,认证服务器为iMaster NCE-Campus。终端关联无线信号,完成MAC认证接入网络后,登录无线控制器使用display access-useruser-id命令行查看输出信息,则可以查询到以下哪些信息?
A User authentication type
B User name
C Dynamic Accounting ID
D User MAC
正确答案 BD
多选题 277/503、 (多选题)如采用服务器认证,则网络准入控制系统架构可能包含以下哪些设备?
A 数据源服务器
B 用户终端
C 认证服务器
D 网络接入设备
正确答案 BCD
多选题 278/503、 (多选题)以下哪些属于防火墙上存在的虚拟系统类型?
A 配置系统
B 虚拟系统
C 管理系统
D 根系统
正确答案 BD
多选题 279/503、 (多选题)带宽管理无法完全限制以下哪些应用的流量?
A Email
B P2P流量
C 在线视频
D ERP
正确答案 ABC
280(多选题)如图所示,防火墙A和防火墙B之间建立冗余IPSec隧道,正常情况下,流量通过IPSec隧道1转发,当主链路故障时,流量通过IPSec隧道2转发。以下关于该场景的配置,正确的是哪些项?
A
【FW_B】interface GEO/0/1
【FW_B-GigabitEthernet0/0/1】 ip address 1.1.0.124
【FW_B-GigabitEthernet0/0/1】 ipsec policymap1
【FW_B-GigabitEthernet0/0/1】 quit
【FW_B】interface GE0/0/2
【FW_B-GigabitEthernet0/0/2】 ip address 1.1.0.224
【FW_B-GigabitEthernet0/0/2】 ipsec policy map2
【FW_B-GigabitEthernet0/0/2】 quit
B
【FW_B】interface tunnel 0
【FW_B-tunne10】tunnel-protocol ipsec
【FW_B-tunne10】ip address 1.1.0.224
【FW_B-tunne10】ipsec policy map1
【FW_B-tunne10】quit
C
【FW_A】interface tunnel 1
【FW_A-Tunnel1】ip address unnumbered interface GigabitEthernet 0/0/1
【FW_A-Tunnel1】tunnel-protocol ipsec
【FW_A-Tunnel1】quit
【FW_A】interface tunnel 2
【FW_A-Tunnel1】ip address unnumberedinterface GigabitEthernet 0/0/1
【FWA-Tunnel1】tunnel-protocol ipsec
【FWA-Tunnel1】quit
【FWA】interface tunnel 1
【FWA-Tunnel1ipsec policy map1
【FWA-Tunnel1】quit
【FWA】interface tunnel 2
【FW_A-Tunne12】ipsec policy map2
【FW_A-Tunne12】quit
D
【FW_A】interface tunnel 0
【FW_A-tunnelO】tunnel-protocol ipsec
【FW_A-tunnelO】ip address 1.1.0.124
【FW_A-tunnelO】ipsec policy mapl
【FW_A-tunnel0】quit
正确答案 AC
多选题 281/503、(多选题)以下关于虚拟系统中带宽资源分类的描述,正确的是哪些项?
A 从私网接口流向公网接口的流量,受出方向带宽的限制。
B 在跨虚拟系统转发的场景中,Virtual-if接口默认为公网接口
C 公网接口指的是防火墙连接Internet的接口
D 从公网接口流向私网接口的流量,受入方向带宽的限制
正确答案 ABD
多选题 282/503、 (多选题)以下哪些属于特殊报文攻击?
A ICMP重定向报文攻击
B IP分片报文攻击
C Land攻击
D 带源路由选项的IP报文攻击
正确答案 AD
多选题 283/503、 (多选题)以下哪些为流量型攻击?
A 扫描窥探攻击
B DDoS攻击
C DoS攻击
D 畸形报文攻击
正确答案 BC
多选题 284/503、 (多选题)以下关于LDAP和AD认证的描述,正确的是哪些选项?
A AD服务器是集成了Kerberos和LDAP认证的服务器
B AD认证在LDAP基础上集成了Kerberos协议
C LDAP认证支持网络设备直接与LDAP服务器进行交互
D LDAP认证架构中可以采用iMaster NCE-Campus认证服务器作为客户端同步LDAP服务器上的用户信息
正确答案 ABD
多选题 285/503、 (多选题)以下关于SYN扫描攻击的描述,正确的有哪些项?
A 当扫描者发出SYN报文,如果对端回复RST,则对端端口是关闭的
B 当扫描者发出SYN报文,如果对端没有回复,则是对端主机不存在,或者网络、主机中存在过滤行为
C 当扫描者发出SYN报文,如果对端回复SYN ACK报文,则对端端口是打开的
D 当扫描者发送SYN报文,如果对端回应SYN ACK报文,扫描者还会回应ACK报文,完成三次握手
正确答案 ABC
多选题 286/503、 )以下关于Eth-Trunk接口的描述,正确的是哪些项?
A 一个接口可以加入到不同Eth-Trunk接口中
B Eth-Trunk接口的总带宽是各成员带宽之和
C 在双机热备场景中,Eth-Trunk接口可以作为心跳接口使用
D Eth-Trunk接口通过将流量分散到不同的链路上,可以实现同一个Eth-Trunk内各成员链路的流量负载分担
正确答案 BCD
多选题 287/503、 )以下哪些是会话保持表项里包含的内容?
A 端口号
B 出接口
C 源IP地址
D 老化时间
正确答案 BC
多选题 288/503、 )IPSec使用以下哪些安全协议封装业务报文?
A AH
B ISAKMP
C ESP
D IKE
正确答案 AC
多选题 289/503、 SSL VPN中的文件共享功能支持以下哪些协议的应用?
A FTP
B NFS
C HTTP
D SMB
正确答案 BD
多选题 290/503、 )华为Anti-DDoS防御系统支持以下哪些回注方式?
A VPN回注
B 二层回注
C 静态路由回注
D 策略路由回注
正确答案 ABCD
多选题 291/503、 以下哪些是防火墙可以识别的文件类型异常情况?
A 文件类型无法识别
B 文件扩展名不匹配
C 文件内容不匹配
D 文件损坏
正确答案 ABD
292/503、如图所示为负载均衡组网,防火墙A与防火墙B分别与防火墙C建立IPSec VPN隧道。当防火墙A与防火墙C之间出现链路故障时VPE未能切换,导致业务流量被丢弃。可能的原因是没有使用VRRP虚拟地址与防火墙C建立隧道。
A 正确
B 错误
正确答案 A
判断题 293/503、 管理员在创建防火墙虚拟系统时.也需要同时创建相同名字的VPN实例,用于隔离路由。
A 正确
B 错误
正确答案 B
判断题 294/503、 华为防火墙只支持在接口的出方向限制带宽。
正确答案 B
295/503、 防火墙对于多级策略,流量先匹配父策略,再去匹配子策略,直到匹配到最后级可以匹配到的子策略为止。
判断题
正确答案 A
296/503、 在多出口场景下,当到达目的网络有多条等价路由或者缺省路由时,通过配置全局选路策略。防火墙可以根据智能选路方式为等价路由或缺省路由的流量动态地选择出接口。
判断题
正确答案 A
297/503、 策略路由是在路由表已经产生的情况下,根据用户制定的策略修改路由表的里条目再进行路由选择的机制。
判断题
正确答案 B
判断题 298/503、 IPSec VPN采用对称密钥加密业务数据。
正确答案 A
判断题 299/503、如图所示,两端防火墙建立GRE over IPSec.原始报文先经过IPSec封装,再经过GRE封装。
正确答案 B
判断题 300/503、 SSL VPN基于B/S架构,无需安装客户端。
正确答案 A
301/503、 DDoS攻击防范配置的关键在于闽值合理设置,如果防范阈值设置过低则在没有发生攻击时.系统就启动攻击防范功能。影响设备性能或者造成正常流量被丢弃。
判断题
正确答案 A
判断题 302/503、 若ICMP Flood攻击的攻击频率没有超过阈值,则安全设备不会启动防范措施。
正确答案 A
判断题 303/503、 在防火墙内容过滤中,关键字识别可以按权重值执行相应的动作。
正确答案 A
判断题 304/503、 内容过滤包括文件内容过滤和应用内容过滤。
正确答案 A
判断题 305/503、 URL过滤比DNS过滤控制粒度细,可以控制到目录和文件级别。
正确答案 A
判断题 306/503、 当检测到POP3或工HAP消息时,如果判定为非法邮件,防火墙的响应动作只可以是阻断邮件。
正确答案 B
判断题307/503、 端口扫描技术是对主机运行状态进行扫描探测的技术。通过端口扫描,可确定目标主机上开启了何种服务,为下一步攻击提供入口。
正确答案 B
308/503、 安全沙箱通过还原交换机或者传统安全设备镜像的网络流量,在虚拟的环境内对网络中传输的文件进行检测,实现对来知恶意文件的检测。
正确答案 A
判断题 309/503、 由于零日漏洞暂未发布对应的补丁,所以目前没有任何方法能够有效抵御零日攻击。
正确答案 B
判断题 310/503、 企业部署准入控制技术,可以对员工进行行为管控,但对访客的行为无法管控。
正确答案 B
判断题 311/503、 iMaster NCE Campus支持作为RADIUS服务器,但不支持作为RADIUS中继设备。
正确答案 A
判断题 312/503、在iMaster NCE-Campus上添加的第三方准入设备。支持使用TACACS协议进行对接。
正确答案 A
313/503、 在防火墙心跳线部署Eth-Trunk时,只要满足Eth-Trunk活动链路的总带宽大于业务流量所需带宽的30%,Eth-Truk就可以设置为二层接口。
正确答案 B
判断题 314/503、虚拟系统之间通过虚拟接口实现互访,同时虚拟接口的链路层和协议层始终处于Up状态。
正确答案 A
判断题 315/503、 在给虚拟系统分配资源时,某些资源是按照系统规格自动分配的固定资源数,不支持用户手动分配。
正确答案 A
判断题 316/503、 在给虚拟系统分配接口时,管理口不能分配给虚拟系统。
正确答案 A
判断题 317/503、 智能DNS功能需要配合NAT Server功能和源进源出功能一起使用。
正确答案 A
318/503、 完成策略路由智能选路的配置后,后续经过防火墙的流量将按照选路策略被转发。而之前的部分流量由于会话没有老化,所以不会立即按照选路策略被转发。
正确答案 B
319/503、 在对IPSec业务可靠性要求较高的场景下,建议在隧道两端的设备上同时开启DPD检测功能,以确保设备能够有效检测并及时恢复对端隧道故障。
判断题
正确答案 A
A 正确
B 错误
320/503、如图所示,在该场景中,开启了NAT穿越,防火墙B有关NAT穿越的安全策略配置如下。[FW]display current-configuration\ip service-set nat_traversal type object 512 service 0 protocol udp source-port 500 destination-port 500 service1 protocol udp source-port 4500 destination-port4500\security- Policy rule name nat_traversal source-zone local source-zone untrust destination-zone local destination-zone untrust service nat_traversal action permit 若其他配置都正确,则通讯双方能正常建立IPSec VPN。
判断题
正确答案 B
判断题 321/503、 IPSec使用非对称加密算法加密传输数据。
正确答案 B
判断题 322/503、 IPSec VPN不支持对非IP单播报文的封装。
正确答案 A
判断题 323/503、 在配置SSL VPN端口转发功能时,安全策略只需要放行Untrust到Trust之间的流量。
正确答案 B
324/503、 终端安全是SSL VPN中检查终端是否安全的一种手段,包括用户接入虚拟网关时的主机检查和用户退出时的缓存清理两部分
判断题
正确答案 A
325/503、 DoS攻击与DDoS攻击的区别在于DoS攻击通常由攻击者直接发起,而DDoS攻击通常由攻击者控制多个肉机发起。
判断题
正确答案 A
判断题 326/503、 配置策略路由引流时,需要同时在引流设备和清洗设备上配置。
正确答案 B
判断题 327/503、 BGP引流仅支持手动引流。
正确答案 B
328/503、 即使防火墙配置了内容过滤,如果在安全策略中没有被正确引用,那么应该被阻断的内容仍然能够正常的传输
判断题
正确答案 A
329/503、 一个Word文档file. doc可以将文件名修改为file. exe,但是防火墙的文件过滤机制依然可以识别出该文件的真正类型。
判断题
正确答案 A
判断题 330/503、 AD域认证是LDAP认证的一种实现方式。
正确答案 A
331/503、 通讯双方周期性地发送BFD回声报文,如果某方在检测时间内没有收到对端发来的回声报文,则认为该链路故障。上述为BFD回声功能的检测机制。
判断题
正确答案 B
判断题 332/503、 管理员在给防火墙虚拟系统分配资源时,需要合理的进行计算。避免因某个虚拟系统占用过多的资源,导致其他虚拟系统无法 获取资源、业务无法正常运行的情况。
正确答案 A
333/503、 除了检测链路连通性外,健康检查还可以实时检测链路的时延、抖动和丢包率。在智能选路中引用健康检查和链路质量指标,优先选择符合质量指标要求的链路,使链路选择更加智能。
判断题
正确答案 A
334/503、 为了提高流量转发的可靠性,ISP选路功能可以配合健康检查功能一起使用,保证流量不被转发到故障链路
判断题
正确答案 A
判断题 335/503、 AH协议的协议号为50。
正确答案 B
判断题 336/503、 安全联盟由三元组唯一标识,包括安全参数索引SPI,源IP地址和安全协议号。
正确答案 B
337/503、 特殊控制报文攻击是一种潜在的攻击行为,不具直接的破坏行为,攻击者通过发送特殊控制报文探测网络结构,为后续发送真正的攻击做准备。
判断题
正确答案 A
判断题 338/503、 华为防火墙中的预定义URL分类是出厂自带的分类预置库,无需用户手动加载。
正确答案 A
339/503、 WAF可以对HTTPS流量进行防护,其实现原理为通过上传到WAF设备的公钥、私钥以及证书链,对报文进行解密、过滤、重新加密,实现对HTTPS加密报文进行检测与防护。
判断题
正确答案 A
340/503、 保持浏览器版本更新、注意浏览器的弹出窗口、不主动访问未知网站等习惯可以有效防止网络钓鱼攻击。
判断题
正确答案 A
判断题 341/503、 构造错误的查询语句,从数据库返回的错误提示中获取关键信息,是实施SQL注入攻击的常用手段。
正确答案 A
342/503、 进程排查主要用于查看是否存在异常进程,判断业务主机是否被入侵、植入木马或后门程序等,但是无法发现尚未运行,仅仅潜伏在系统中的恶意程序。
判断题
正确答案 A
343/503、 在部署Portal认证时,需配置免认证模板保证认证终端可以正常打开Portal页面。为实现该目的,在免认证横板中需放通的流量包括,用户终端的DNS解析流量、用户终端访问Portal页面的流量、用户终端访问RADTUS服务器的流量。
判断题
正确答案 B
344/503、 Link-Group通过绑定多个物理接口,提升链路的可靠性,当其中一个接口故障时,流量从其他接口转发。
判断题
正确答案 B
345/503、 防火墙带宽管理可以限制业务的连接数,有利于降低该业务占用的带宽,还可以节省设备的会话资源。
判断题
正确答案 A
346/503、 面对P2P下载、在线视频这些应用,采用传统限制带宽的方式,已经无法应对长时间挂机下载、缓冲等逃避方案,因此可以使用配额控制策略进行流量限制。
判断题
正确答案 A
判断题 347/503、 IPSec智能选路场景中,华为防火墙支持基于链路质量探测进行链路切换。
正确答案 A
348/503、 在防护墙上执行命令display ike sa;得到以下信息:<FA_A> display ike sa Current ike sa number:0该信息表示IKE SA未建立。
判断题
正确答案 A
349/503、 相对于IPSec网络层的控制,SSLPN的所有访问控制都是基于应用层,其细分程度可以达到URL或文件级别,可以大大提高企业远程接入的安全级别。
判断题
正确答案 A
判断题 350/503、 单包攻击、DoS和DDoS攻击都会造成拒绝服务。
正确答案 B
判断题 351/503、 垃圾邮件除了会影响正常的邮件阅读,还可能包含病毒等有害信息。
正确答案 A
352/503、 邮件内容过滤既可以过滤掉匿名邮件,也可以通过检查邮件内容控制内网用户邮件发送或接收的权限。
判断题
正确答案 A
判断题 353/503、 URL过滤可以比DNS过滤更的进行访问控制,有效降低整网HTTP报文的流量。
正确答案 B
判断题 354/503、 IPS设备若采用二层旁路检测部署方式,则仅能够对业务流量进行监控,无法做到实时防护。
正确答案 A
355/503、 当使用802.1X认证时,用户每次访问业务前,都必须在802.1X客户端上输入用户名密码主动触发认证。
判断题
正确答案 A
356/503、 HWTACACS是一种集中式的、客户端/服务器结构的信息交互协议,使用UDP协议传输,用于采用点对点协议PPP或虚拟私有拨号网络VPDN方式接入Internet的接入用户以及对设备进行操作的管理用户的认证、授权和计费。
判断题
正确答案 B
357/503、管理员在给防火墙虚拟系统分配资源时,需要合理的进行计算。避免因某个虚拟系统占用过多的资源,导致其他虚拟系统无法获取资源、业务无法正常运行的情况。
正确答案 A
判断题 358/503、如图所示,在该场景下,通讯双方(即防火墙A和防火墙B)需要开启NAT穿越。
正确答案 A
判断题 359/503、 在点到多点的场景,且总部地址固定。分支地不固定,建议采用IPSec策略模板方式建立VPN。
正确答案 A
判断题 360/503、 SSL VPN用户可以支持不认证登录。
正确答案 B
361/503、 在配置DDoS攻击防范时,需要为各种攻击配置防范阈值。该阈值可以看做是网络中正常流量的上限,当网络中的实际流量大小超过设置的阈值时,则认为流量发生异常,从而触发防火墙执行相应的攻击防范动作。
判断题
正确答案 A
362/503、 UDP Flood攻击通过发起大流量访问,占用协议栈资源,从而达到服务器拒绝为正常用户提供服务的目的。
判断题
正确答案 A
判断题 363/503、 当直路部署Anti-DDoS防御系统时,需要考虑可靠性,防止单点故障。
正确答案 A
判断题 364/503、 在URL预定义分类中,大类中包含了小类。但是在安全策略中,处理动作的应用始终以大类为基准。
正确答案 B
365/503、 IPS的签名过滤器中配置了多个过滤条件,同类型的过滤条件中如果配置多个值,则多个值之间是"与"的关
判断题
正确答案 B
判断题 366/503、 SQL注入攻击会导致数据丢失、数据损坏、数据泄露等严重后果。
正确答案 A
判断题 367/503、 MAC认证过程中,用户终端不需要安装任何客户端软件,不需要用户手动输入用户名和密码。
正确答案 A
368/503、 对于Portal认证,由于部分手机浏览器存在兼容问题,因此对于使用这些浏览器的Portal认证用户,将无法完成认证。
判断题
正确答案 A
判断题 369/503、如图所示,若采用有线802.1X认证,则网络准入设备与终端之间必须为二层网络。
正确答案 A
370/503、 某客户现场部署无线网络,无线终端接入采用Portal认证方式,当华为无线控制器作为接入设备时,设备上配置的安全策略采用Open认证方式即可。
判断题
正确答案 B
371/503、 当802.1X认证模式采用基于端口方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络资源。
判断题
正确答案 A
判断题 372/503、 两台防火墙主备部署正常后,某日出现了双主现象,可能是出现了心跳口故障。
正确答案 A
判断题 373/503、 当防火墙开启虚拟系统功能后,会自动生成根系统并继承先前防火墙上的配置。
正确答案 B
374/503、 端口转发是通过在用户终端的客户端程序上获取用户请求,然后使用虚拟网关转发到内网,实现对内网指定uDP资源的访问。
判断题
正确答案 B
375/503、 在网络中交换设备与防护对象之间部署Anti-DDoS防御系统,当只有二层转发设备时,通常采用二层回注方式。
判断题
正确答案 A
376/503、 DoS攻击是流量型攻击,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃。
判断题
正确答案 A
判断题 377/503、 若采用802.1X认证,则用户需要安装客户端或使用系统自带客户端发起802.1X认证。
正确答案 A
378/503、 防火墙三层双机部署,上行设备为路由器,下行设备为二层交换机,防火墙可以通过hrp track interface或link-group监控直连业务接口.
判断题
正确答案 A
判断题 379/503、 双机热备环境下,BFD的配置不支持备份,需要在主备防火墙上分别配置。
正确答案 A
380/503、 策略路由是由匹配条件和动作组成的,防火墙收到流量后,对流量的属性进行识别,并将流量的属性与策略路由的匹配条件进行匹配。
判断题
正确答案 A
判断题 381/503、如图所示,防火墙A主动发起IKE协商,则仅需在防火墙A上配置安全策略,防火墙B上无需配置。
正确答案 B
382/503、 在防火墙上执行命令display ike sa,得到如下信息:<FW_A> display ike sa current ike sa number:0该信息表示IKE SA未建立。
判断题
正确答案 A
判断题 383/503、 IPSec VPN是三层VPN,并且能够对IP网络层提供加密保护。
正确答案 A
判断题 384/503、 在接入虚拟网关时,用户终端需要通过主机检查策略,用户才可以成功接入SSL VPN。
正确答案 A
判断题 385/503、 SSL VPN通过web代理使得移动用户可以通过防火墙做代理访问内网的Web服务器资源。
正确答案 A
判断题 386/503、 文件过滤不仅可以识别接收的文件类型,甚至还可以根据文件传输的方向进行过滤。
正确答案 A
387/503、 某工程师为了检查Windows主机是否存在异常连接,可使用netstat命令查看主机当前活动的TCP连接,显示结果包含TCP连接的源目地址、源目端口号、连接状态、进程或应用的名称等关键信息。
判断题
正确答案 A
388/503、 iMaster NCE-Campus作为认证服务器,支持多种授权结果,包括:ACL、VLAN、DSCP值,对于未预定义的参数,可通过自定义授权参数进行授权下发。
判断题
正确答案 A
判断题 389/503、 对于Anti-DDoS盒式设备而言,单CPU的设备只能作为检测中心或者清洗中心。
正确答案 A
390/503、 零日漏洞是指还没有对应补丁的安全漏洞,提供该漏洞细节或者利用该漏洞进行攻击的人通常是该漏洞的发现者。
判断题
正确答案 A
391/503、 某Linux主机部署了Nginx应用程序,通过查看Nginx相关日志,运维工程师可以得到用户提交的完整URL信息,并以此判断服务器是否遭受了SQL注入攻击。
判断题
正确答案 A
392/503、 Portal认证场景中,为保证终端能正常打开Portal页面(使用iMastar NCE-Campus作为Pertal服务器),iMaster NCcE-Canmus应能够与认证终端之间网络可达。
判断题
正确答案 A
判断题 393/503、 在防火墙虚拟系统中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务。
正确答案 A
394/503、 智能选路接口可以配置过载保护阈值,当链路的带宽利用率达到过载保护阈值时,防火墙对新流量进行智能选路时将排除该过载链路,在其他未过载的链路中进行选路。
正确答案 A
395/503、 由于AH对数据进行的完整性检查会对包括IP地址在内的整个IP包进行Hash运算,而地址转换会改变IP地址,从而破坏AH的Hash值。因此使用AH的IPSec隧适无法穿越NAT设备。
判断题
正确答案 A
396/503、 在CRE隧道场景下采用BGP引流时,为了避免发生环路,可以通过GRE隧道将回注流量直接送到回注路由
判断题
正确答案 A
397/503、 DNS过滤可以通过引用时间段或用户/组等配置项,实现针对不同时间段或不同用户/组的请求进行放行或者阻断,达到更加精细化和准确化控制员工上网权限的需求
判断题
正确答案 B
398/503、 IMAP与POP3主要区别在于使用IMAP,客户端软件会将所有未阅读邮件下载到计算机,并且邮件服务器会删除该邮件。使用POP3,用户直接对服务器上的邮件进行操作,不需要把所有邮件下载到本地再进行各项操作。
判断题
正确答案 B
399/503、 利用人性弱点、行为特征、心理特征等实施的攻击称为社会工程学攻击,例如:在不同的系统中使用相同的密码、使用出生日期作为密码、诱导用户访问钓鱼网站等都是社会工程学可利用的攻击点。
判断题
正确答案 A
400/503、 大多数企业邮箱都有一定的反病毒机制,若在企业邮箱中发现未知来源的电子邮件,点击邮件中的超链接或者下载邮件中的附件,不会造成个人、公司信息的泄露。
判断题
正确答案 B
401/503、 通过查看Linux主机的/var/log/secure日志文件,可以判断此主机是否遭受到暴力破解登陆密码的攻击。
判断题
正确答案 A
判断题 402/503、 Master NCE-Campus支持作为Portal服务器,提供Portal认证页面。
正确答案 A
403/503、 无线网络中,在WAC上配置无线Portal认证时,无需额外的配置即可实现授权下发VLAN,无线用户完成Portal认证之后,WAC将会按照授权下发的VLAN对无线用户的流量进行转发。
判断题
正确答案 A
判断题 404/503、 硬件Bypass通常用于防火墙单机直路部署的场景。
正确答案 B
判断题 405/503、 防火墙父子策略中不支持带宽复用。
正确答案 B
判断题 406/503、如图所示,L2TP over IPSec适用于出差员工访问总部网络的场景。
正确答案 A
判断题 407/503、 攻击者通过地址扫描攻击来判断哪些目标系统活跃在目标网络中。
正确答案 A
判断题 408/503、 策略路由引流是一种静态引流方式。
正确答案 A
判断题 409/503、 在防火墙URL过滤中,黑名单的优先级高于白名单的优先级。
正确答案 B
判断题 410/503、 华为防火墙的应用行为控制功能可以针对用户的HTTP行为、FTP行为和IM行为进行精确的控制。
正确答案 A
判断题 411/503、 SYN扫描需要建立完整的TCP连接,同时SYN扫描会被记录到系统日志中。
正确答案 B
412/503、 在iMaster NCE-Campus上配置第三方准入设备时,在RADIUS认证参数中需配置认证计费密钥、授权密钥、终端IP地址列表等。
判断题
正确答案 A
判断题 413/503、 防火墙虚拟系统不仅可以起到隔离路由的作用,还可以实现业务的隔离。
正确答案 A
414/503、 默认情况下,防火墙上存在一条缺省的带宽策略,所有匹配条件均为任意(any),动作为超出限流后丢弃。
判断题
正确答案 B
判断题 415/503、 在URL过滤中,自定义URL分类优先级高于预定义URL分类。
正确答案 A
416/503、 在iMaster NCE-Campus上配置的认证规则,支持多种匹配条件,包括匹配账号信息、SSID信息匹配、终端IP范围匹配,以实现对不同的用户执行不同的认证规则。
判断题
正确答案 B
417/503、 在应急响应的准备阶段,应该明确信息系统的网络架构、信息资源清单、应急响应人员清单,编制合理的应急预案。
判断题
正确答案 A
判断题 418/503、 IKE是TCP之上的一个应用层
正确答案 B
判断题 419/503、 如果用户登录的虚拟网关页面中没有开启端口转发功能,则可能导致用户无法访问端口转发资源
正确答案 A
420/503、 在IPSec VPN建立过程中,第一阶段先建立IKESA,IKE SA阶段产生的密保护IPSec SA的建立;IPSec SA阶段则产生密钥保护业务数据流。
判断题
正确答案 A
421/503、如图所示,防火墙上的NAT策略配置如下:
[FW-policy-nat]display this nat-policy rule name no-nat source-zone trust destination-zone untrust source address 10.1.2.0 mask 255.255.255.0 action no-nature name nat source-zone trust destination-zone untrust action source-nat easy-ip
假设其他配置都正确,则IPSec VPN业务能够正常访问。
正确答案 B
422/503、 无线用户进行802.1X认证场景下,由于EAP报文属于控制报文需要通过CAPWAP隧道到无线控制器,所以不管直接转发还是隧道转发,都必须在无线控制器上创建相应的业务VLAN。
判断题
正确答案 A
423/503、 通过有线方式接入网络的终端,采用MAC旁路认证比普通的MAC认证多一个802.1X认证环节,当802.1X认证失败时会再尝试MAC认证。
判断题
正确答案 A
判断题 424/503、 因HTTP协议基于TCP协议使用,因此使用防范TCP Flood的方法,可以防范所有HTTP Flood攻击。
正确答案 B
判断题 425/503、 使用野蛮模式建立IPSec VPN的情况下,在NAT穿越场景,可以使用AH+ESP封装报文。
正确答案 B
426/503、如图所示,防火墙双机热备负载均衡部署,对Trust区域,需要部署两组AVRRP备份组.一组以防火墙A为Master,另一组也以防火墙A为Master
正确答案 B
判断题 427/503、 当网关之间采用GRE over IPSec连接时,IPSec封装模式只可以是隧道模式。
正确答案 B
428/503、 IPS设备可以拦截利用未知漏洞进行传播和攻击的病毒、木马或恶登代码,保护办公电的隐私、身份、文件等关键数据信息。
判断题
正确答案 A
429/503、 在应对网络攻击时,仅仅需变在互联网出口位置部署安全设备(如防火墙、IPS等)即可,企业内网无需部署安全设备。
判断题
正确答案 B
430/503、 实现防火墙心跳线的高可靠性有两种方式,多心跳口方式和Eth-Trunk。相较于多心跳口方式,Eth-Trunk的优点在于能够提高链路的通讯带宽,以及能够实现流量的负载分担。
判断题
正确答案 A
判断题 431/503、 企业内部使用防火墙虚拟系统可以隔离不同部门之间的网络,能够进一步提高安全系数。
正确答案 A
432/503、 策略路由可以和IP-Link或BFD联动,以便根据IP-Link或BFD的状态检查结果来决定策略路由的可用性。
判断题
正确答案 A
433/503、 在Anti-DDoS部署方案中,如果使用BGP引流,需要事先在路由器和清洗设备上配置BGP协议,建立BGP邻居关系。
判断题
正确答案 A
434/503、 Ping扫描是网络扫描最为基础的方法,其优点是操作简单、扫描快速、绝大多数系统均支持;缺点是容易被防火墙、服务器等设备限制,导致扫描失效。
判断题
正确答案 A
435/503、 Nmap是常用的网络扫描和嗅探工具,可以扫描发现目标主机开放的UDP或者TCP端口,但是无法判断目标主机使用何种操作系统。
判断题
正确答案 B
A 正确
B 错误
436/503、 在iMaster NCE-Campus上配置Portal页面推送策略时支持使用操作系统、浏览器信息作为匹配条件,为实现iMasterNCE-Campus能够识别认证用户的这些信息,需在接入设备的URL模板中配置对应的urlparameter。
判断题
正确答案 A
判断题 437/503、 BFD控制报文封装在TCP报文中传送,其目的端口号为3784。
正确答案 B
438/503、 在同一组父子策略中,限流方式只能同时为"分别设置上下行带宽"或者"设置上下行总带宽",二者不能同时存在,否则会出现带宽控制不准的问题。
判断题
正确答案 A
判断题 439/503、 在企业出口处部署多条链路,可以提高用户网络的可靠性。
正确答案 A
判断题 440/503、 DDoS攻击是一种分布式的DoS攻击。
正确答案 A
判断题 441/503、 开启邮件过滤功能可以查杀邮件中携带的病毒。
正确答案 B
442/503、 远程查询服务器提供更庞大的URL分类信息,如果预定义URL分类缓存中查询不到URL分类,可以到远程查询服务器上继续查询。
判断题
正确答案 A
443/503、 IPS的签名过滤器是一系列签名的条件集合。凡是符合其中一个过滤条件的签名都能够匹配签名过滤器。
判断题
正确答案 B
444/503、 防火墙的虚拟系统管理员只能进入其所属的虚拟系统的配置界面,能配置和查看的业务也仅限于该虚拟系统。
判断题
正确答案 A
445/503、 iMaster NCE-Campus内置了LDAP模块,可当做LDAP服务器使用,支持通过LDAP协议与接入设备进行对接。
判断题
正确答案 A
446/503、 准入认证方案中,授权信息分为两类:服务器下发的授权信息和域下的授权信息。用户从何处获取授权与授权方案中配置的授权方法有关。
判断题
正确答案 A
判断题 447/503、 在双机热备组网中,为了保证链路切换的一致性,华为防火墙基于VGMP组实现设备状态管理。
正确答案 A
判断题 448/503、 Anti-DDoS检测中心支持基于Netflow的流量检测技术。
正确答案 A
判断题 449/503、 SYN Flood攻击主要是通过发起大流量访问,消耗网络带宽,从而达到拒绝服务的目的。
正确答案 B
判断题 450/503、 SYN扫描技术一般不会在目标主机上留下扫描痕迹,也不需要获取目标主机的root权限。
正确答案 B
451/503、(填空题)防火墙上存在两种类型的虚拟系统,分别是( )和虚拟系统。(中文标准术语)
正确答案 根系统
452/503、(填空题)在带宽通道管理中.( )字段是网络设备进行流量分类的依据。位于报文传输路径上的各个网络设备,可以通过该字段来区分流量.进而对不同的流量采取差异化处理。(英文缩写,全大写)
正确答案 DSCP
453/503、(填空题)在URL分类中,( )URL分类是一个分类预置库,随设备出厂预置,无需用户手动加载。即可帮助用户对常见网站进行访问控制。(中文,标准术语)
正确答案 预定义
454/503、(填空题)通过display eth-trunk可查看Eth-Trunk的配置信息及接口状态,其中STATC表示静态LACP模式,( )表示手工负载分担模式。(英文,全大写)
正确答案 NORMAL
455/503、(填空题)使用网络扩展功能建立SSL VPN隧道的方式有两种,可靠传输模式和( )传输模式。(中文,标准术语)
正确答案 快速
456/503、(填空题)如果数据报文的载荷内容完全一致(如载荷内容全为1等),则丢弃该报文。此种DDoS防御方式为( ).(中文标准术语)
正确答案 载荷检查
457/503、(填空题)如图所示,网关1处在NAT设备之后,为了保证网关1、网关2都可以任意发起流量访问,需要存在一种机制保证NAT设备的NAT会话不会超时,即NAT( )。(中文标准术语)
正确答案 会话保活
458(填空题)网络扩展功能根据对用户终端报文处理逻辑的区别,分为( )路由模式、全路由模式和手动路由模式。(中文,标准术语)
正确答案 分离
459/503、(填空题)如果802.1X客户端采用MD5加密方式,则设备端用户的认证方式可配置为EAP或CHAP方式,如果802.1X客户端采用PEAP认证方式。则设备端用户的认证方式可配置为( )。(英文缩写,全大写)
正确答案 EAP-PEAP
460/503、(填空题)( )方式IPSec安全策略适用于对端IP地址不固定(例如对端是通过PPPoE拨号获得的IP地址)或存在多个对端的场景,一般用于总部的配置,可以简化配置工作量。(中文标准术语)
正确答案 模板
461/503、(填空题)在Windows主机和Linux主机上都可以使用( )命令查看网络连接。(英文,全小写)
正确答案 netstat
462/503、(填空题)华为防火墙的带宽策略功能支持多级配置方式,即在一条带宽策略下,还可以继续配置多条带宽子策略。目前华为防火墙最多可以支持( )级策略。(阿拉伯数字)
正确答案 4
463/503、(填空题)IPS设备中的( )用来描述网络中攻击行为的特征,通过将数据流与其进行比对来检测和防范攻击。(中文标准术语)
正确答案 入侵防御签名
464/503、(填空题)在Linux系统中,文件"/var/log/( )"中记录了较为全面的系统日志信息,如系统启动期间的日志、系统运行过程中的日志、系统带误日志等。(英文,全小写)
正确答案 messages
465/503、(填空题)无线网络中,针对访客采用Portal认证方式接入网络。当认证点在华为无线控制器上时,无线控制器上对应的socialty-profile模板内配置的安全策略为( )。(全英文,首字母大写)
正确答案 Portal
466(填空题)外部恶意URL特征库仅支持在线升级,在线升级可分为( )升级和立即升级两种方式。(中文,标准术语)
正确答案 定时
467/503、(填空题)开启( )后,上网用户流量进行首次智能选路选择某链路后,防火墙会生成相应的该表项,新流量如果命中了该表项,防火墙会按照表项中记录的链路转发流量,这样能保证该用户的流量始终使用同一链路转发。(中文,标准术语)
正确答案 会话保持
468/503、(填空题)WAP设备串接部署在网络中,支持即插即用,无需更改网站DNS和服务器配置。此部署方式称为( )模式。(中文标准术语)
正确答案 透明代理
469/503、(填空题)在基于动态路由协议的双机热备应用场景中,防火墙可以通过 hrp( )ospf-cost enable命令来启动根据防火墙主备状态调整OSPF的Cost值。(英文,全小写)
正确答案 adjust
470/503、(填空题)WLAN网络中,进行AD或LDAP认证时, Portal 认证用户的认证方式必须配置为( )方式。(英文缩写,全大写)
正确答案 PAP
471/503、(填空题)( )中记录的是IP地址和虚拟系统的归属关系。(中文标准术语)
正确答案 引流表
472/503、(填空题)如图所示,F_A通过主备两条链路连接FW_B,当FW_A主链路故障时,需要拆除旧的IPSec隧道1,与FB的备份链路建立IPSec隧道2,切换流量。在FA上配置IKE( )检测机制,可以检测链路故障,从而拆除IPSec隧道。(中文标准术语)
正确答案 心跳
473/503、(填空题)( )设备只能对网络环境进行检测,但无法进行防御;而IPS设备则可针对已知威胁进行主动防御。(英文缩写,全大写)
正确答案 IDS
474/503、(填空题)802.1X认证用户下线方式分为客户端主动下线,接入设备控制用户下线和服务器控制用户下线。当采用服务器控制用户下线时,RADIUS服务器可通过( )报文强制用户下线。(英文缩写,全大写)
正确答案 DM
475/503、(填空题)Anti-DDoS可以检测( )状态,根据状态判断报文是否合法,如并未存在ICP Sym报文,直接受到一个全新五元组的ACK报文,不符合状态的报文将被丢弃。(中文标准术话)
正确答案 会话
476/503、(排序题)如图所示,这是出接口方式的单服务器智能DNS场景,请将以下描述按正确的顺序进行排序。
A:DNS服务器返回解析后的IP地址2.2.2.10
B:防火墙根据智能DNS映射表将DNS回应报文中的IP地址修改为1.1.1.10 (与1SP1用户属于同属于-ISP),映射表中记录了出接口GigabitEthernet0/0/1 应映射后的地址 1.1.1.10
C:ISP1用户通过域名www.example.com访问企业的web 服务器,发起DNS 请求
D:ISP1用户以返回的IP地址1.1.1.10为目的进行访问,通过ISP1网络到达防火墙。
E:利用 NAT Server功能将报文的目的地址由1.1.1.10转换为 web服务器的私网地址10.1.1.10
正确答案:A-2,B-3,C-1,D-4,E-5
477/503、(拖图题)请将以下网络攻击方式与其对应的描述信息进行——匹配。
A-中间人攻击 B-DDoS攻击 C-SQL注入 D-零日攻击
1-攻击者通过将自身插入双方事务中发起的攻击,可以用来窃取、篡改通信数据
2-漏洞公布后,暂未有对应的补丁或解决方案,攻击者利用此类漏洞发起的攻击
3-攻击者利用大量流量对系统、服务器或网络发动泛洪攻击,使其耗尽资源和带宽,最终导致系统无法满足正常请求
4-攻击者将精心构造的代码作为输入,发送至web服务器,以此来欺骗服务器执行非授权的数据查询
正确答案:A-1,B-3,C-4,D-2
478/503、(排序题)请排列802.1X认证EAP中继方式的认证流程。
A-客户端触发802.1x认证
B-RADIUS服务器启动和客户端EAP认证方法的协商
C-认证设备请求客户端的身份信息
D-RADIUS服务器发送RADIUS Access-Challenge 报文给认证设备,设备将其中的EAP信息转发给客户端
E-客户端发送身份信息给认证设备
F-客户端发送 Challenge Response信息给认证设备
G-认证设备将客户端身份信息封装在RADIUS报文中,发送给认证服务器进行处理
H:RADIUS 服务器收到后,如果客户端与服务器选择的认证方法一致,EAP认证方法协商成功,开始认证
I-认证设备将 Challenge Response信息封装到RADIUS报文中发给RADIUS服务器
J-RADIUS服务器完成对客户端身份验证之后,通知设备认证成功
正确答案:
A-1,B-5,C-2,D-6,E-3,F-7,G-4,H-9,i-8,J-10
479/503、(拖图题)请将以下SSL VPN资源发布方式和对应的概念进行匹配。
A-Web代理,B-文件共享,C-端口转发,D-网络扩展
1-能够让远程接入用户直接通过浏览器安全的访问企业内网的web资源
2-能够让远程接入用户直接通过浏览器安全的访问企业内网的文件服务器
3-能够让远程接入用户访向企业内网基于TCP的应用服务
4-通过给移动办公用户下发IP地址,实现移动办公用户可以直接访问内网全部的IP资源
正确答案:A-1,B-2,C-3,D-4
480/503、(排序题)请将以下Anti-DDoS清洗中心的流量检测机制按照执行顺序进行排列。
A-应用层认证 B-行为分析 C-智能限速 D-虚假源认证 E.畸形报文过滤 F-特征过滤 G-会话分析
正确答案:A-4,B-6,C-7,D-3,E-1,F-2,G-5
481/503、(排序题)请将以下URL匹配方式按照优先级顺序由高至低进行排序。
A-精确匹配,B-前缀匹配,C-后缀匹配,D-关键字匹配
正确答案:A-1,B-3,C-2,D-4
482/503、(拖图题)请将iMaster NCE-Campus上的认证功能模板与其功能对应起来。
A-认证规则,B-授权规则,C-授权结果
1-配置终瑞用户认证通过后所获得的权限集(ACL,VLAN)、流量限速策略、过滤策略等
2-定义对接入网络的客户端和用户进行认证的规则
3-为匹配对应条件的用户授予对应的权限集合
正确答案:A-2,B-3,C-1
483/503、(排序题)请将以下用户登录SSL VPN虚拟网关并访问企业内网资源的流程按顺序进行排序。
A-用户登录,B-角色授权,C-资源访问,D-用户认证
正确答案:A-1,B-3,C-4,D-2
484/503、(排序题)请根据IPS设备的工作机制,将以下入侵防御步骤按照先后顺序进行排序。
A-根据入侵防御配置文件执行响应动作
B-识别应用层协议,并进行解析。
C-执行IP分片报文重组以及TCP流量组
D-执行签名匹配
正确答案:A-4,B-2,C-1,D-3
485/503、(排序题)请将以下MAC优先的Portal认证首次进行认证的流程进行排序。
A-将用户的HTTP请求重定向到Portal认证页面
B-用户浏览网页终端发出HTTP流量
C-执行MAC认证结果失败
D-执行Portal认证结果成功
正确答案:A-3,B-1,C-2,D-4
486/503、(拖图题)请将以下IPSec故障与可能的原因进行匹配。
A- ACL加密数据流未包含需要加密的业务
B-两端ACL加密数据流没有交集
C-防火墙未配置放通untrust到local方向数据流的安全策略
D- VPN加密数据流匹配了源NAT策源地址被转换
1-没有数据流触发IKE协商
2-IKE SA协商不成功
3-IPSec SA协商不成功
4-IPSec VPN业务不通
正确答案:A-1,B-3,C-2,D-4
487/503、(拖图题)请将以下Web网络攻击与其对应的描述进行——匹配。
A-暴力破解
B-跨站请求伪造(CSRF) 攻击
C-跨站脚本攻击
D-内部人员攻击
1-利用用户在当前Teb站点的登陆信息发起非用户意愿的请求操作
2-凭借自身管理权限窃取和滥用访问凭据,窃取客户数据或对外泄露敏感信息
3-攻击者试图通过反复攻击来发现系统或服务的密码,进而获得系统权限
4-攻击者向Web页面中插入恶意HTML代码,当用户浏览该页面时,恶意代码自动执行,达到攻击目的
正确答案:A-3,B-1,C-4,D-2
488/503、(拖图题)请将以下应急响应技术与其作用对应起来。
A-查看是否存在异常的网络连接,一些常见的后门连接都有固定的端口号,可通过网络连接判断出系统是否又被攻击的可能
B-查看是否存在非用户运行的异常进程
C-查看是否存在攻击者留下的异常文件或者对一些系统关键文件排查,确定业务主机是否存在被侵入的痕迹
1-进程排查
2-文件排查
3-网络连接分析
正确答案:A-3,B-1,C-2
489/503、(排序题)请将以下防火带宽管理实现流程按顺序进行排列。
A-受入口和出口带宽限制,如果流量大于接口带宽设置将根据设置的转发优先级对流量进行队列调度保证高优先级的报文被优先发送
B-根据通道中对流量设置的处理动作对流量执行相关操作包括丢弃超过了预先定义的最大带宽的流量、限制业务的连接数等
C-流量匹配带宽策略,经过带宽策略的分流后,进入相应的通道进行处理
正确答案:A-3,B-2,C-1
490/503、(拖图题)请将华为无线控制器上Portal认证相关模板与其功能进行对应。
A- URL模板
B- Portal服务器模板
C- 免认证模板
1-定义Portal服务器IP地址,Portal密钥
2-定义免认证流量
3-定义Portal页面URL,URL Parameter
正确答案:A-3,B-1,C-2
491/503、(拖图题)请将以下高可靠性技术与其应用进行匹配。
A-跨数据中心集群
B-硬件Bypass
C-BFD
D- Eth-Trunk
1-快速检测链路的可用性,通常与双机热备、静态路由等联动
2-当防火墙工作失效时,会导致网络中断,可以用过该技术能让防火墙在工作失效的情况下,依然能够转发流量
3-当某一个数据中心防火墙发生故障或灾难的情况下,其他数据中心防火墙可以对其业务实现接管,达到互为备份的效果
4-提高链路带宽,通常用于提升防火墙双机热备心跳线的可靠性
正确答案:A-3,B-2,C-1,D-4
492/503、(排序题)如图所示,请将以下邮件传输流程按照正确顺序进行排序。
A-用户将邮件内容封装在SMTP消息中寄给发送方SMTP Server
B-发送方SMTP Server将邮件封装在SMTP消息中寄给接收方SMTP Server,接收方SMTP Server存储起来
C- POP3/IMAP Server收到用户的请求后,读取SMTP Server储存的邮件
D- POP3/IMAP Server将邮件封装到POP3/IMAP消息中发送到接收方
正确答案:A-1,B-2,C-3,D-4
493/503、(拖图题)请将以下具体的安全事件与类型进行一一匹配。
A-来自互联网的DDoS攻击导致业务中断
B-包含客户信息的数据库被篡改
C-施工导致光缆意外中断
1-设备设施故障
2-网络攻击事件
3-信息破坏事件
正确答案:A-2,B-3,C-1
494/503、(拖图题)请将以下智能选路类型与其对应的概念进行匹配。
A-全局选路
B-策略路由选路
C- ISP选路
D-入站智能选路
1-当外网用户通过域名访问内网服务器时,向个业内网DNS服务器发起DNS请求,DNS服务器返回解析后地址给外网用户:防火墙可以将DNS回应报文中的解析地址进行智能的修改,使用户能够获得最合适的解析地址,避免链路拥塞或者跨运营商访问
2-当到达目的网络有多条等价路由或者缺省路由时,防火墙通过不同的智能先路方式动态选择最优链路
3-当网络中配置了策略路由,并且流量命中配置的策略路由时,如果到达目的网络有多条链路可选FW通过不同的智能选路方式动态选择最优链路
4-当防火墙作为出口网关设备连按多个ISP网络时通过批量生成SP路由,使访问特点ISP网络的流量从相应出接口转发出去保证流量转发只用最短路径
正确答案:A-2,B-3,C-4,D-1
495/503、(拖图题)请将以下网络攻击与其概念——对应。
A-攻击者发送大量有缺陷的报文从而造成主机或服务器在处理这类报文时系统崩溃
B-一种潜在的攻击行为,不具备直接的破坏行为,攻击者通过发送该种报文探测网络结构,为后续发动真正的攻击做准备
C-攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞
1-特殊控制报文攻击
2-畸形报文攻击
3-扫描类攻击
正确答案:A-2,B-1,C-3
496/503、(拖图题)如图所示为GRE over IPSec的报文格式,IPSec采用ESP隧道封装模式,请将以下报文头与封装位置进行匹配。
A-ESP报文 B-原始报文头 C-新IP头 D-GRE头
正确答案:A-2,B-4,C-1,D-3
497/503、(拖图题)请将以下IPSec的应用与场景——对应。
A-总部与多个分支建立IPSec场景,且分支地址不固定
B-总部与多个分支建立IPSec场景,且分支地址不固定,无法使用预共享密钥验证IPSec对等体身份
C-总部与分支需要安全地传输组播业
D-总部与分支建立IPSec,IPSec对等体中间存在NAT设备转换发起方源IP地址
1- IPSec证书认证
2- GRE over IPSec
3- IPSec策略模板
4- NAT穿越
正确答案:A-3,B-1,C-2,D-4
498/503、(拖图题)请将以下HTTP的控制项和对应说明进行正确匹配。
A-POST操作
B-代理上网
C-文件上传/下载大小
1-当允许文件上传操作时,可以配置告警阈值和阻断阈值,对上传/下载的文件大小进行控制
2-一般用于通过网页向服务器发送信息,例如论坛发帖、表单提交、用户名/密码登录
3-用户使用代理服务器访问特定网站,使用该功能时防火墙需部署在内网用户和代理服务器之间
正确答案:A-2,B-3,C-1
499/503、(拖图题)请将不同的接入认证方式和用户接入场景进行——对应。
A- 802.1x认证
B-Portal认证
C-MAC地址认证
1-员工PC接入有线网络场景
2- IP电话、打印机等哑终端接入的场景
3-访客接入场景
正确答案:A-1,B-3,C-2
500/503、(拖图题)如图所示为路由清洗和回注过程,请将以下描述和对应的步骤进行匹配。
A:引流流量
B:配置静态、OPR路由
C:回注流量
D:清洗后流量转发至防护对象
正确答案:A-1,B-2,C-3,D-4
501/503、(拖图题)请将以下防火墙高可靠性技术与分类进行匹配。
A-设备高可靠
B-链路高可靠
1.Eth-Trunk
2.硬件Bypass
3.BFD
4.双机热备
正确答案:A-2 A-4 B-1 B-3
1 双机热备系统版本升级是现网中常见的运维操作,在升级完成后需要验证以下哪些信息来确定升级成功?
A会话表.
B设备运行状态
C版本信息
D License信息
答案 ABCD
2 请将以下防火墙带宽管理功能的作用与其定义进行匹配。
3 健康检查一般不会独立使用, 与智能选路结合使用才有实际作用。华为防火墙的健康检查功能只支持与全局选路、ISP选路和多出口策略路由功能结合使用。
答案 正确
4 在IPSec中,如果Security ACL与实际待保护数据流不匹配,将会引起以下哪一种后果?
A IKE SA无法建立
B IPSec VPN业务不通
C 没有数据流触发IKE协商
D IPSec SA无法建立
答案C
5 以下关于IKE v1中主模式和野蛮模式的描述,正确的是哪些项?
A主模式不支持NAT穿越,野蛮模式支持NAT穿越
B主模式仅支持IP地址标识身份,野蛮模式支持IP地址和Name两种方式标识身份
C主模式保护身份信息,野蛮模式缺乏对身份信息的保护
D主模式使用6条ISAKMP信息,野蛮模式使用3条ISAKMP信息
答案 ABCD
6 DPD的检测模式分为以下哪些?
A共享型.
B周期型
C独占型
D按需型
答案 BD
7 在IPSec中使用AH-ESP进行报文封装时,先进行ESP封装,再进行AH封装。
A TRUE
B FALSE
答案 A
8 SSL VPN通过将文件共享协议转换成基于SSL的超文本传输协议,可以实现对内网文件服务器的Web方式访问。
A TRUE
B FALSE
答案 A
9 以下哪一种DDoS攻击类型可以被限流技术防范?
A DNS Flood
B HTTP Flood .
C ICMP Flood
D SYN Flood
答案 C
10 以下关于文件过滤处理流程的描述,正确的是哪一项?
A如果文件的所有参数都能够匹配所有文件过滤规则,那么模块将执行此文件过滤规则的动作
B文件过滤模块会将之前模块识别出的文件的应用类型、文件类型和传输方向与管理员配置的文件过滤规则查询表进行从上到下的匹配
C执行的动作有告警和阻断两种
D如果文件类型是压缩文件,那么在进行文件过滤检测后,文件将会被送到文件解压模块进行解压缩,解压出原始文件。若解压失败,文件不会再进行文件过滤
答案A
11 IPS设备可以拦截利用未知漏洞进行传播和攻击的病毒、木马或恶意代码,保护办公电脑的隐私、身份、文件等关键数据信息。
答案 正确
12 随着网络技术的不断发展,新的漏洞、新的攻击工具、攻击方式的不断出现,IPS设备只有不断的更新特征库才能对网络、系统和业务进行持续有效的防御。以下关于IPS特征库的描述,正确的是哪些项?
A华为IPS特征库只支持手动升级
B华为IPS特征库支持手动升级和自动升级
C用户可以从华为官网下载最新的入侵防御特征库
D华为IPS特征库升级后需要重启设备才能使其生效
答案 BC
13 以下哪些选项属于应急响应根除阶段的操作?
A在企业内部交换机上部署ACL,限制病毒在内部网络的传播
B加强网络安全教育宣传
C启用安全审计
D使用杀毒软件对终端进行全面杀毒
答案 BCD
14 RADIUS支持使用PAP和CHAP方式对用户的身份信息进行验证,以下关于CHAP方式的描述,正确的是哪些选项?
A与PAP认证方式相比,CHAP认证方式保密性较好,更为安全可靠
B 密码在认证终端与网络接入设备中明文传输
C 在认证过程中,NAS设备把用户名和加密后的密码,以及一个16字节随机码传给RADIUS服务器
D密码在认证终端与网络接入设备中密文传输
答案 ACD
1 在虚拟系统和根系统互访时,去程和回程报文都需要匹配会话。因此业务量大时,会造成整机的会话资源紧张。
A TRUE
B FALSE
答案A
2 如图所示,FW_A与FW_B建立IPSec隧道,在FW_A上执行命令display ike sa,得到信息如下:
<FW_A>display ike sa
Current ike sa number:0
以下哪一项不是IPSec隧道建立失败的可能原因?
A到IKE对等体的路由不可达
B 两端ACL没有交集
C 本端的“对端网关”和对端的“本地地址”不匹配
D 加密算法不一致
答案B
3 以下哪一项不是策略路由的匹配条件?
A源安全区域
B源IP地址
C源端口号
D DSCP优先级
答案C
4 以下关于URL分类的描述,错误的是哪一项?
A预定义URL分类优先级高于自定义URL分类
B自定义URL分类需要管理员手工配置
C预定义URL分类是出厂预置的,无需管理员手动加载。
D预定义URL分类不能创建、删除和重命名
答案A
5以下哪一项命令可以看到IPSec SA的的协商结果及IPSec策略配置信息?
A display ike sa
B display ipsec statistics
C display ipsec sa
D display ike peer
答案 C
6部署防火墙策略以及交换机的ACL封禁特定目的端口的流量,以抑制病毒的传播,该操作属于应急响应的抑制阶段。
A TRUE
B FALSE
答案A
7 在Linux系统中,从以下哪些文件中能够查看到用户登录的相关日志信息?
A /var/log/lastlog
B /var/log/faillog
C /var/log/secure
D /var/log/wtmp
答案 ABCD
8以下关于内容过滤中关键字的描述,错误的是哪一项?
A 关键字包括预定义关键字和自定义关键字
B文本和正则表达式能匹配的关键字最短长度为3个字节
C预定义关键字是管理员手工定义且可以识别的关键字
D正则表达式方式匹配比文本方式更加灵活和高效,但配置需要遵循正则表达式规则
答案 C
9 Portal认证方式下,当用户已下线,而接入设备、RADIUS服务器 和Portal服务器未感知到该用户已下线时,会产生一系列问题。 因此,接入设备要能够及时感知到用户已下线,删除该用户表项,并通知RADIUS服务器停止对该用户进行计费。那么以下关于Portal用户下线方式的描述,正确的是哪些选项?
A认证服务器强制用户下线
B Portal服务器强制用户下线
C接入设备控制用户下线
D用户发起主动下线请求
答案 ABCD
10以下哪一项技术不属于出站智能选路?
A全局选路策略
B智能DNS
C ISP选路
D策略路由
答案B
11在Anti -DDoS方案中,以下哪些属于面对DDoS攻击的通用防御技术?
A过滤器
B首包丢弃
C限流
D黑名单
答案 ABCD
12 MAC优先的Portal认证,如果客户端的MAC地址在RADIUS服务器已经过期,则RADIUS服务器会删除保存的客户端MAC地址。
A TRUE
B FALSE
答案A
13在匹配URL时,如果匹配方式且规则长度也相同,则最终以配置的动作模式为准。
A TRUE
B FALSE
答案A
14带宽通道被带宽策略引用时,如果工作方式采用的是策略共享,则所有引用带宽通道的带宽策略都共同受到该带宽通道的约束。
A TRUE
B FALSE
答案A
15 以下关于防火墙带宽策略的描述,正确的是哪一项?
A在同一组父子策略中,可以引用同一个带宽通道
B默认情况下,防火墙上存在一条缺省的带宽策略, 所有匹配条件均为任意(any) ,动作为限流
C如果带宽管理与源NAT功能同时使用,配置带宽策略的源地址/地区匹配条件时应指定转换前的地址
D对于最大带宽和连接数限制,子策略可以大于父策略
答案C
16为禁止内部员工在网络上发表一些不合适的言论, 可以在防火墙上部署以下哪一种内容安全过滤技术?
A邮件过滤
B内容过滤
C应用行为
D文件过滤
答案 B
17在内容过滤技术中,如果通过关键字识别出违规信息后只能执行阻断内容传输,从而保障企业的安全性。
A TRUE
B FALSE
答案B
18 单选题 257/863、
如图所示,以下哪一项是图示的UDP防御原理?
A 载荷检查
B 指纹学习
C 关联防御
D 会话检查
正确答案 B
上一题 下一题
19多选题 520/863、
防火墙可以对HTTP的哪些控制项进行行为控制 ?
A POST操作
B 文件上传
C 代理上网
D 文件删除
正确答案 ABC
上一题 下一题
20多选题519/863、
某客户现网采用华为无线控制器部署Portal认证,工程师在调试过程中发现终端一直无法认证成功,导致此问题的原因可能有哪些?
A 无线控制器上关闭了STA地址学习功能
B 无线控制器上配置的Portal密钥与认证服务器不一致
C 无线控制器上开启了Portal服务器探测功能,而Portal服务器上未开启此功能
D 无线控制器上配置的Portal服务器目的端口与Portal服务器上的监听端口不一致
正确答案 ABC
上一题 下一题
21判断题 806/863、
SSL VPN工作在传输层和网络层之间,不会改变IP报文头和TCP报文头.
A 正确
B 错误
正确答案 A
1 iMaster NCE-Campus 上配置的第三方准入设备,其Portal认证参数中, Portal认证端口默认值为2000。该参数代表在接入设备上配置的Portal服务器模板中的端口号也要配置为2000.
A TRUE
B FALSE
答案 B
2当本端需要向对端发送IPSec报文时,判断当前距离最后一次收到对端的IPSec报文已超过DPD空闲时间, 则本端主动向对端发送DPD请求报文。此为DPD _____检测模式。(中文标准术语)
答案:按需型
以下关于HTTP行为的描述,错误的是哪一项?
A当上传或下载的文件大小、POST操作的内容大小达到阻断阈值时,系统将阻断上传或下载的文件、POST操作
B当上传或下载的文件大小、POST操作的内容大小达到告警阈值时,系统会产生日志信息,提示设备管理员并阻断行为
C HTTP POST一般用于通过网页向服务器发送信息,例如论坛发帖、表单提交、用户名/密码登录
D当允许文件上传操作时,可以配置告警阈值和阻断阈值,对上传的文件大小进行控制
答案B
1 防火墙应用行为控制技术无法管控以下哪一项应用行为?
A FTP
B HTTP
C SSH
D IM
答案C
2 以下关于管理中心的描述,错误的是哪一项?
A管理中心是整个方案的中枢,通过管理中心将检测分析中心和清洗中心连接起来形成完整的解诀方案
B管理中心的管理服务器负责异常流量的清洗,以及业务数据的采集、解析、汇总、入库,并负责将汇总后的流量上报管理服务器用以报表呈现
C管理中心的两个组件可以安装在一台服务器 上,也可以安装在不同服务器上
D管理中心分为管理服务器和数据采集器两个部分
答案B
3 攻击者发送ICMP请求报文,将目的地址设置为某个网络的广播地址,将源IP地址设置为攻击目标,使大量主机回复应答报文给目标主机,从而导致目标主机服务性能下降。上述描述的攻击方式为____攻击。 (英文, 首字母大写)
答案 Smurf
4 以下关于Anti-DDoS引流的描述,正确的有哪些项?
A网络设备把原本发往防护对象的流量发往清洗中心的过程,称为引流
B BGP引流可以和策略路由回注搭配使用
C策略路由引流需要在引流设备和清洗设备上同时配置才生效
D BGP引流需要事先在路由器和清洗设备上配置BGP协议,建立BGP邻居关系
答案ABD
5以下关于802.1X认证的描述,哪些选项是正确的?
A 802.1X协议为二层协议,不需要到达三层,对接入设备的整体性能要求不高,可以有效降低建网成本
B客户端发送EAPoL-Start报文可以触发802.1X认证
C 802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互
D客户端发送DHCP /ARP或任意报文可以触发802.1X认证
答案ABC
6 SSL VPN中的文件共享功能支持以下哪些文件操作?
A 新建
B 上传
C 修改
D 下载
答案ABCD
7 升级杀毒软件特征库,对操作系统打补丁,优化安全设备的安全策略,该操作属于应急响应的根除阶段。
A 正确
B 错误
答案A
8如图所示,如要满足分支与总部间组播业务安全传输,可以通过部署GRE over IPSec确保信息不被窃听或篡改。
A 正确
B 错误
答案A
9以下关于MAC认证的描述,错误的是哪一项?
A MAC认证是一种基于接口和终端MAC地址对用户的访问权限进行控制的认证方法
B MAC认证方式中用户终端不需要安装任何客户端软件,适合于哑终端接入认证的场景
C对于MAC认证用户密码的处理,有PAP和CHAP两种方式
D为了避免攻击者暴力破解合法用户的密码,可使能MAC认证静默功能, 静默期间,合法用户依然能够通过MAC认证
答案D
10 WLAN网络中,终端通过802. 1X认证方式接入网络。当终端要下线时,可以选择以下哪些方式?
A认证服务器控制用户下线
B客户端主动下线
C Portal服务器控制用户下线
D接入设备控制用户下线
答案ABD
11在企业网络中部署WAF设备的优势不包括以下哪一项?
A支持对基于TCP的应用进行防护,如FTP服务器等
B支持网页防篡改功能,保护关键Web站点
C实时解析HTP /HTTPS流量,识别并防御多种攻击
D支持Web站点信息隐藏功能,防止信息泄露
答案A
================================================
1请将以下防火墙虚拟系统分配的资源和正确的分配方式进行匹配
2开启NAT穿越之后,当检测到两台网关中间存在NAT设备,ESP报文将会被封装在一个UDP头部中,以下哪一项是该UDP头部的源目端口号?
A、 源端口:4500,目的端口:4500
B、 源端口:4500,目的端口:500
C、 源端口:500,目的端口:500
D、 源端口:500,目的端口:4500
答案 A
3如图所示是移动办公用户通过网络扩展功能来访问服务器资源的业务交互流程。那么以下关于这过程的描述,正确的是哪些项?
A、 启用扩展功能后,移动用会自动生成默认路由,不需要虚拟网关向移动用户下发到达Server的路由信息
B、 服务器回应的响应报文到达虚拟网关后会进入SSL
C、 移动办公用户需要通过Web浏览器登录虚拟网关
D、 用户成功登录虚拟网关后启动网络扩展功能,并触发移动办公用户和虚拟网关之间建立一条SSL
答案 BCD
4以下哪一项攻击是利用TTL为0的返回超时报文来窥探目标网络的结构?
A、 HTTP Flood
B、 Tracert攻击
C、 UDP Flood
D、 ICMP重定向攻击
答案B
1 BFD是一种双向转发检测机制,可以提供毫秒级的检测,可以实现链路的快速检测,并且可以与以下哪些技术联动使用?
A、 静态路由
B、 BGP
C、 双机热备
D、 策略路由
正确答案:ABCD
2 如图所示是虚拟系统访问根系统的流程,那么以下关于路由配置的描述,正确的是哪些项?
A、 根系统无需配置回程路由
B、 虚拟系统到根系统的回程路由可以是动态路由,也可以是静态路由
C、 虚拟系统到根系统的去程路由只能是静态路由
D、 根系统到虚拟系统的去程路由可以是动态路由,也可以是静态路由
答案 BCD
3 以下哪一项参数无法在防火墙的带宽通道中进行配置?
A、 每IP最大带宽
B、 整体最大带宽
C、 整体最大并发连接数限制
D、 源目安全区域
答案D
4 如图所示是基于链路优先级主备备份的全局选路策略,那么以下关于图示的描述,正确的是哪些项?
A、如果没有为主接口链路指定过载保护阈值,那么即使链路过载,防火墙也不会使用其他链路传输流量
B、当主接口链路发生故障后,余下备份接口启用负载分担
C、因为连接ISP1的链路优先级最高,所以防火墙连接ISP1的接口为主接口
D、如果各链路的带宽、转发时延、链路租借费用等因素存在较大差异,那么可以优先使用某些链路传输流量,并利用其他链路作为备份链路或负载分担链路,提高业务的可靠性,此时推荐选择该选路方式
答案AC
IPSec可以通过以下哪些机制进行智能选路?
A带宽利用率
B链路优先级
C链路质量探测
D路由状态
答案ABC
请将以下IPSec常用诊断命令与作用一一匹配。
在渗透测试过程中,以下哪一项工具常被用于端口扫描?
A Wireshark
B Nmap
C Aircrack
D Tracert
答案B
使用iMaster NCE-Campus作为Portal服务器时,在WAC上的Portal服务器模板中,设备向Portal服务器主动发送报文时使用的目的端口号应配置为( )。(阿拉伯数字)
答案 50100
URL的动作模式分别是严格模式和 ( )模式。(标准术语)
答案:松散
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2024-6-17 17:29:19
置顶卡
喧嚣卡
变色卡
千斤顶
