258、防火墙Local安全区域包含设备接口。在防火墙上ping防火墙某接口IP地址时,这些报文将交给防火墙内部模块进行处理,并不被转发出去。因属于同一安全区域,因此无需配置域间包过滤就可正常通讯。---------------------------------------T
259、域内NAT的主要作用是在相同安全域的主机互访时,需要通过NAT Outbound命令来转换目标主机的IP地址。------------------------------------------F 260、加密服务主要有哪些安全能力:(选择3个答案) A、保密性 B、完整性 C、抗抵赖性 D、可扩展性
261、防火墙通过安全服务中心在线升级签名库、病毒库时,首先要求防火墙能够连接互联网,其次要求配置正确的ONS地址。---------------------------------------T 262、终端安全部分威胁来源于Internet,内部网络只需要部署防病毒软件就可以解决问题。-----------------------------------------F
263、当数据帧进入交换机的VLAN Access端口时,会检查数据帧是否带VLAN Tag标记,如果携带Tag标记,则打上端口PVID的标记。------------------------------T 264、防火墙上执行命令并显示以下信息,下述描述正确的是:(选择2个答案) HRP_M[USG] display vrrp interface Gigabit Ethernet0/0/1 GigabitEthernet0/0/1 | Virtual Router 1 VRRP Group:Master State:Master
Virtual IP:202.30.10.1
Virtual MAC:0000-5e00-0101 Primary IP:202.30.10.2 Priority Run:100 Priority Config:100 Master priority:100
Preempt:NO Delay Time:10
A、 此防火墙VGMP组状态为Master
B、 此防火墙G0/0/1接口的虚IP地址为202.38.10.2 C、 此防火墙VRID为1的VRRP备份组的优先级为100 D、 当主用设备发生故障时将不会切换
265、在GRE配置环境下,本端GRE设备配置对端网络的私网路由需指向以下哪些接口或IP地址:(选择2个答案) A、Tunnel接口 B、外网(互联网)接口 C、Tunnel接口IP地址 D、外网(互联网)接口IP地址
266、关于Policy Center系统的检查打印机共享安全策略描述正确的是:(选择3个答案) A、检查打印机共享目的是检查安装在本地的打印机是否共享给其他人使用及使用权限 B、提供自动修复功能,自动修复的时候,直接关闭打印机共享 C、可以设定检查打印机共享的周期 D、检查的内容包括是否开启打印机共享、打印权限共享给哪些账号、打印机共享的权限
267、如图示的连接: PC1--------------SW1--------------SW2----------------PC2
SW1的两个端口定义为VLAN1 Access类型端口,SW2的两个端口定义为VLAN2 Access类型端口,(PC1与PC2在同一网段内)则下列描述正确的是:
A、 因为都是Access端口,实际上不传递VLAN Tag信息,所以PC1可以访问PC2 B、 因为SW1与SW2两端的VLAN不同,所以两PC之间不能互通
C、 如果两台交换机相连的端口设置为Trunk端口(PVID为vlan2)则两台PC也可以互
通
D、 因为交换机上的端口的PVID缺省都是VLAN 1,所以两台PC可以互访
268、HRP(Huawei Redundancy Protocol)协议,用来将主防火墙关键配置和连接状态等数据向备防火墙上同步。------------------------------------T 269、UDP Flood攻击是攻击者通过向服务器发送大量的UDP报文,占用服务器的链路带宽,导致服务器负担过重而不能正常向外提供服务。-------------------T 270、防火墙双机热备需要具备的条件不包括: A、防火墙硬件型号一致 B、防火墙软件版本一致 C、使用的接口类型及编号一致 D、防火墙接口IP地址一致
271、GIE作为通用的一种VPN封装协议,能够在VPN内封装包括组播报文在内的所有L3报文。-------------------------------------T
272、配置防火墙安全区域的安全级别时,需要遵循的原则有:(选择3个答案) A、新建的安全区域,未设定其安全级别前,系统规定其安全级别为100 B、只能为自定义的安全区域设定安全级别 C、安全级别一旦设定,不允许更改 D、同一系统中,两个安全区域不允许配置相同的安全级别
273、IP sec通过AH(Authentication Header)来实现机密性、完整性、真实性和防重放。--F 274、在域间包过滤中,USG防火墙安全区域域间方向outbound是指数据由高安全级别区域向低安全级别区域传输的方向。----------------------------------------------T
275、配置防火墙域间安全策略时,如果把192.168.0.0/24网段设置为匹配对象,则一下配置正确的是()(选择2个答案) A、policy 1 policy source 192.168.0.0 mask 255.255.255.0 B、policy 1 policy source 192.168.0.0 255.255.255.0 C、policy 1 policy source192.168.0.0 mask 0.0.0.255 D、policy 1 policy source192.168.0.0 0.0.0.255 276、上网用户上线流程是: 上网用户-----(192.168.1.1) USG(1.1.1.2)--------Internet(1.1.1.1)
1. 认证通过,设备容许建立连接
2. 访问Internet 1.1.1.1收下http 192.168.1.1 3. 推送认证界面,User=?Password=?
4. 用户成功访问Internet 1.1.1.1,设备创建Session表 5. 用户输入User=*** Password=***
以下正确的流程排序是: A、2-5-3-1-4 B、2-3-5-1-4
C、2-1-3-5-4 D、2-3-1-5-4
277、在GRE VPN技术中,以下哪个是封装协议: A、GRE B、IN C、IP D、NetBEUI
278、一个套接字由5元组组成,分为源套接字和目的套接字。源套接字是指:源IP地址+源端口+目的IP地址。--------------------------------------------------F
279、HRP(Huawei Redundancy Protocol)协议要备份的连接状态数据包括: A、TCP/UDP会话表 B、Server Map表项 C、动态黑名单 D、路由表
280、USG产品端口代理功能主要用于C/S等不能使用web技术访问的应用。---T
281、在防火墙创建IPS策略时,如果策略模板能够满足应用场景或者与应用场景相似,则可直接在策略中引用模板或引用模板后对签名集中进行相应的修改。这样可以达到提升攻击检测率、性能最优化,同时简化配置。-------------------------------------------T 282、IKE主模式和野蛮模式的主要区别有: A、交换消息主模式来用3个报文,野蛮模式来用6个报文 B、主模式最后两条消息有加密,可以提供身份保护功能 C、野蛮模式最后两条消息有加密,可以提供身份保护功能 D、主模式只能使用IP地址方式表示对等体,而野蛮模式可以使用IP地址或者Name方式标识对等体
283、防火墙双机热备配置中,HRP关键配置包括:(选择3个答案) A、启用HRP备份功能hrp enable B、启用快速会话备份 hrp mirror session enable C、只能心跳口hrp interface interface-type interface-number D、抢占延迟时间hrp preempt[delay interval]
284、下列TCP/IP协议栈中的协议,工作在应用层的有:(选择2个答案) A、ARP B、IGMP C、TELNET D、HTTP
285、以下哪个IPS安全协议支持NAT穿越(IPsec VPN隧道中间有NAT设备情况): A、AH B、ESP C、AH+ESP D、AES
286、USG产品网络扩展功能支持的访问方式包括哪些:(选择3个答案) A、全路由模式(Full Tunnel) B、分离模式(Split Tunnel) C、路由模式(Route Tunnel) D、手动模式(Manual Tunnel)
287、对于E1/CE1的配置: 1.配置虚拟串口IP地址 2.配置虚拟串口链路层协议 3.配置E1工作模式 4.配置时隙捆绑 正确的配置顺序是: A、1-2-3-4 B、2-1-3-4 C、3-4-2-1 D、4-3-2-1
288、VRRP HELLO报文为组播报文,所以要求备份组中的各路由器必须能够实现直接的二层互通。-------------------------------------------------------------T
289、关于Policy Center系统的监控USB存储设备安全策略描述错误的是: A、支持只禁用USB存储设备,允许使用USB鼠标/键盘之类的非存储设备 B、支持USB设备只读控制,只允许读操作,禁止写操作 C、提供USB设备文件操作的监控能力,能够识别并且记录文件操作 D、在启用加密写功能后,终端用户U盘拷入拷出的文件是经过加密的 290、policy center系统终端用户接入认证方式:(选择3个答案) A、Web 只进行身份认证 B、Web Agent进行身份认证和部分安全认证 C、Agent进行身份认证和安全认证 D、不认证直接接入网络 291、VLAN 的端口类型包括:(选择3个答案) A、Access口 B、Trunk口 C、Hybrid口 D、以太网口
292、下列关于网关防病毒AV配置描述不正确的是: A、AV策略支持对断点续传的HTTP文件进行传输,但不对断点续传的HTTP文件进行病毒扫描 B、启用传输体验功能可提高文件传输速率但有可能导致带病毒的文件漏阻断 C、当经过设备的HTTP协议文件大于最大扫描文件大小的值时,设备将丢弃该文件 D、启用智能扫描,将根据文件的真是类型进行扫描,此方式下设备扫描所有文件 293、防火墙Trust域中客户机想访问Untrust中服务器的FTP服务,已经允许客户机访问服务器的TCP21端口,客户端在Windows命令行窗口下可以登录到FTP server,但无法下载文件,以下解决办法中可能是:(选择3个答案) A、修改Trust Untrust域间双向的默认访问策略为允许 B、FTP工作方式为port模式时,修改Untrust Trust域间inbound方向的模式访问策略为允许 C、Trust Untrust域间配置中启用detect ftp D、FTP工作方式为Passive模式时,修改Untrust Trust域间inbound方向的默认访问策略为允许
294、NAT技术有如下哪些特点:(选择2个答案) A、为内网用户提供地址隐藏,有一定的安全性
B、不支持内网IP进行NAPT转换 C、对于内外网络用户,感觉不到IP地址转换的过程,整个过程对于用户来说是透明的 D、配置了双向NAT后,外部用户可以任意访问内网资源 295、关于Trunk口说法正确的有:(选择2个答案) A、Trunk口在收到一个携带标签的数据帧时,如果该标签和PVID不同,且该接口允许通过该VLAN,则直接转发 B、Trunk口在收到一个携带标签的数据帧时,如果该标签和PVID不同,则直接丢弃 C、Trunk口在收到一个携带标签的数据帧时,如果该标签和PVID相同,则直接转发 D、Trunk口在收到一个携带标签的数据帧时,如果该标签和PVID相同,且该接口允许通过该VLAN,则去掉标签后转发
296、IPsec WEB配置向导不支持一下哪个应用场景: A、网关到网关 B、中心网关 C、分支网关 D、主机与主机
297、下列关于Policy Center功能区域说法不正确的是: A、认证前域是指客户端通过身份认证前所能访问的区域 B、认证后域是指客户端通过安全认证后所能访问的区域 C、隔离域是指客户端通过身份认证后所必须访问的区域 D、隔离域是指客户端安全认证失败时所需访问的区域 298、在防火墙中,detect ftp命令配置在哪个模式下:(选择2个答案) A、系统模式 B、接口模式 C、域模式 D、域间模式
299、在大部分应用场景中,NAT Inbound用于企业私网用户访问互联网的场景。-----F 300、常见的散列算法有哪些:(选择2个答案) A、DES B、AES C、MD5 D、SHA-1
301、关于上网用户组织管理说法正确的是:〔选择3个答案)
A、每个用户组可以包括多个用户和用户组 B、每个用户组可以属于多个父用户组 C、系统默认有一个root用户组
D、每个用户至少属于一个用户组,也可以属于多个用户组
302、使用NAT技术能够隐藏内部IP地址部署情况,因此能够提高网络的安全性。------------------------------T
303、网络地址端口转换(NAT)与仅转换网络地址(No-PAT)有什么区别:(选择2个答案)
A、经过NAPT转换后,对于外网用户,所有报文都来自于同一个IP地址或某几个IP地址
B、No-PAT只支持应用层的协议地址转换 C、NAPT只支持网络层的协议地址转换 D、No-PAT支持网络层的协议地址转换