HCNA 安全题库 H12-711 下载本文

C、状态检测防火墙 D、软件防火墙

237、下列关于防火墙的域间安全策略,说法正确的是: A、域间安全策略按照排列顺序匹配,排列在前的优先匹配 B、域间安全策略按照ID号大小匹配,号码小的优先匹配 C、域间安全策略按照ID号大小匹配,号码打的优先匹配 D、域间安全策略按照讯号大小自动排列,当改变排列顺序,号码也跟着改变 238、针对ARP欺骗攻击的描述错误的是: A、ARP实现机制只考虑业务的正常交互,对非正常业务交互或恶意行为不做任务验证 B、ARP欺骗攻击只能通过ARP应答来实现,无法通过ARP请求实现 C、当某主机发送正常ARP请求时,攻击者会抢先应答,导致主机建立一个错误的IP和MAC映射关系 D、ARP静态绑定是解决ARP欺骗攻击的一种方案,主要应用在网络规模不大的场景 239、以下哪个选项不属于对称加密算法? A、DES B、3DES C、AES D、RSA 240、NAT ALG 是通过server-map表来实现动态翻译应用层信息。------------------T 241、有关VLAN Tag的处理,下列描述错误的是: A、当Trunk端口收到帧时,如果该帧不包含802.1Q Tag Header,将打上端口的PVID B、当Trunk端口发送帧时,当该帧的VLAN ID与端口的PVID不同时,直接丢弃;当该帧的VLAN ID与端口的PVID相同时,则透传 C、当Access端口收到帧时,如果该帧不包含802.1Q Tag Header将打上端口的PVID;如果该帧包含802.1Q Tag Header,交换机不做处理,直接丢弃 D、当Access端口发送帧时,剥离802.1Q Tag Header,发出的帧为普通以太网帧 242、关于NAT的说法错误的有:(选择两个答案) A、NAT Outbound是指对源IP地址进行转换,NAT Inbound是指对目的IP地址进行转换 B、NAT Inbound命令和NAT Server命令功能一致,可根据个人爱好进行选择配置 C、Outbound方向NAT可支持以下应用方式:一对一、多对多、多对一 D、NAT技术可支持多通道协议,如FTP等标准多通道协议 243、以下哪个属于多通道协议: A、FTP B、Telnet C、HTTP D、SMTP

244、IPsec IKE野蛮模式主要解决什么问题: A、解决隧道两端协商慢的问题 B、解决协商过程中的安全性问题 C、解决NAT穿越问题 D、解决因发起者源地址不确定而无法选择预共享密钥问题

245、二层交换机(未配置VLAN)在接收到一个数据帧时,如果未在MAC地址表中找到匹配项,则会向所有端口转发改数据帧(包括二层交换机接收端口)。-------------------F 246、USG系列防火墙IKE默认使用的是DH group2.----------------------------------F

247、主动攻击最大特点是对想窃取信息进行侦听,以获取机密信息,而对数据的拥有者或合法用户来说,对此类活动无法得知。-------------------------------------------------F 248、如果查看安全策略的匹配次数: A、display current-configuration B、display policy all C、display startup saved-configuration D、display device

249、针对入侵检测系统描述正确的是:(选择3个答案) A、入侵检测系统可以通过网络和计算机动态地搜集大量关键信息资料,并能及时分析和判断整个系统环境的目前状态 B、入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等,可以实施阻断操作 C、入侵检测系统包括用于入侵检测的所有软硬件系统 D、入侵检测系统可与防火墙、交换机进行联动,成为防火墙的得力“助手”,更好、更精确的控制外域间地访问

250、以下关于TCP协议的描述正确的是:(选择3个答案) A、发送主机端会在TCP报文封装时,确定一个初始号码,后续报文序号会依次的递增,接收端可以根据此序号来检测报文是否接收完整 B、接收端接收到TCP报文,通过检验确认之后会随机产生一个回应序号,发送端根据此序号确定报文被成功接收到 C、当发送报文时,发送端会对报文进行计算得出一个检验值并和报文一起发送,接收端收到报文后,会再对报文进行计算,如果得出的值和检验值不一致,则会要求对方重发该个报文 D、源端口号(Source port)和目的端口号(Destination port)用于标识和区分源端设备和目的端设备的应用进程 251、VPN隧道技术是指通过加密算法(如DES,3DES)来实现数据在网络中传输不被截取。-------------------------------------------------------------------F

252、在WLAN配置中,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。---------------------------------------------T

253、HRP会话快速备份时在首包创建会话时,立即将会话数据打包备份到对端,然后再将报文转发出去,保证了当回应的报文到达对端防火墙时,对端防火墙上已经接收到备份过来的会话数据并加入到会话表中。--------------------------------------------------T

254、USG产品网络扩展功能配置为全路由模式(Full Tunnel)后,内网用户只能访问企业内网资源。--------------------------------------------------------------T

255、SA接口卡可以工作在DTE(Data Terminal Equipment)和DEC(Data Circuit-terminal Equipment)两种方式。一般情况下,SA接口卡作为DTE设备,接受DCE设备提供的始终。------------------------------------------------T

256、在对USG系统防火墙配置时,不能向防火墙Local安全区域添加任何接口,因为防火墙接口本身就属于Local安全区域。--------------------------------------T 257、适合移动办公人员的VPN接入方式有:(选择3个答案) A、GRE VPN B、L2TP VPN C、SSL VLN D、L2TP over IPsec

258、防火墙Local安全区域包含设备接口。在防火墙上ping防火墙某接口IP地址时,这些报文将交给防火墙内部模块进行处理,并不被转发出去。因属于同一安全区域,因此无需配置域间包过滤就可正常通讯。---------------------------------------T

259、域内NAT的主要作用是在相同安全域的主机互访时,需要通过NAT Outbound命令来转换目标主机的IP地址。------------------------------------------F 260、加密服务主要有哪些安全能力:(选择3个答案) A、保密性 B、完整性 C、抗抵赖性 D、可扩展性

261、防火墙通过安全服务中心在线升级签名库、病毒库时,首先要求防火墙能够连接互联网,其次要求配置正确的ONS地址。---------------------------------------T 262、终端安全部分威胁来源于Internet,内部网络只需要部署防病毒软件就可以解决问题。-----------------------------------------F

263、当数据帧进入交换机的VLAN Access端口时,会检查数据帧是否带VLAN Tag标记,如果携带Tag标记,则打上端口PVID的标记。------------------------------T 264、防火墙上执行命令并显示以下信息,下述描述正确的是:(选择2个答案) HRP_M[USG] display vrrp interface Gigabit Ethernet0/0/1 GigabitEthernet0/0/1 | Virtual Router 1 VRRP Group:Master State:Master

Virtual IP:202.30.10.1

Virtual MAC:0000-5e00-0101 Primary IP:202.30.10.2 Priority Run:100 Priority Config:100 Master priority:100

Preempt:NO Delay Time:10

A、 此防火墙VGMP组状态为Master

B、 此防火墙G0/0/1接口的虚IP地址为202.38.10.2 C、 此防火墙VRID为1的VRRP备份组的优先级为100 D、 当主用设备发生故障时将不会切换

265、在GRE配置环境下,本端GRE设备配置对端网络的私网路由需指向以下哪些接口或IP地址:(选择2个答案) A、Tunnel接口 B、外网(互联网)接口 C、Tunnel接口IP地址 D、外网(互联网)接口IP地址

266、关于Policy Center系统的检查打印机共享安全策略描述正确的是:(选择3个答案) A、检查打印机共享目的是检查安装在本地的打印机是否共享给其他人使用及使用权限 B、提供自动修复功能,自动修复的时候,直接关闭打印机共享 C、可以设定检查打印机共享的周期 D、检查的内容包括是否开启打印机共享、打印权限共享给哪些账号、打印机共享的权限

267、如图示的连接: PC1--------------SW1--------------SW2----------------PC2

SW1的两个端口定义为VLAN1 Access类型端口,SW2的两个端口定义为VLAN2 Access类型端口,(PC1与PC2在同一网段内)则下列描述正确的是:

A、 因为都是Access端口,实际上不传递VLAN Tag信息,所以PC1可以访问PC2 B、 因为SW1与SW2两端的VLAN不同,所以两PC之间不能互通

C、 如果两台交换机相连的端口设置为Trunk端口(PVID为vlan2)则两台PC也可以互

D、 因为交换机上的端口的PVID缺省都是VLAN 1,所以两台PC可以互访

268、HRP(Huawei Redundancy Protocol)协议,用来将主防火墙关键配置和连接状态等数据向备防火墙上同步。------------------------------------T 269、UDP Flood攻击是攻击者通过向服务器发送大量的UDP报文,占用服务器的链路带宽,导致服务器负担过重而不能正常向外提供服务。-------------------T 270、防火墙双机热备需要具备的条件不包括: A、防火墙硬件型号一致 B、防火墙软件版本一致 C、使用的接口类型及编号一致 D、防火墙接口IP地址一致

271、GIE作为通用的一种VPN封装协议,能够在VPN内封装包括组播报文在内的所有L3报文。-------------------------------------T

272、配置防火墙安全区域的安全级别时,需要遵循的原则有:(选择3个答案) A、新建的安全区域,未设定其安全级别前,系统规定其安全级别为100 B、只能为自定义的安全区域设定安全级别 C、安全级别一旦设定,不允许更改 D、同一系统中,两个安全区域不允许配置相同的安全级别

273、IP sec通过AH(Authentication Header)来实现机密性、完整性、真实性和防重放。--F 274、在域间包过滤中,USG防火墙安全区域域间方向outbound是指数据由高安全级别区域向低安全级别区域传输的方向。----------------------------------------------T

275、配置防火墙域间安全策略时,如果把192.168.0.0/24网段设置为匹配对象,则一下配置正确的是()(选择2个答案) A、policy 1 policy source 192.168.0.0 mask 255.255.255.0 B、policy 1 policy source 192.168.0.0 255.255.255.0 C、policy 1 policy source192.168.0.0 mask 0.0.0.255 D、policy 1 policy source192.168.0.0 0.0.0.255 276、上网用户上线流程是: 上网用户-----(192.168.1.1) USG(1.1.1.2)--------Internet(1.1.1.1)

1. 认证通过,设备容许建立连接

2. 访问Internet 1.1.1.1收下http 192.168.1.1 3. 推送认证界面,User=?Password=?

4. 用户成功访问Internet 1.1.1.1,设备创建Session表 5. 用户输入User=*** Password=***

以下正确的流程排序是: A、2-5-3-1-4 B、2-3-5-1-4