HCNA 安全题库 H12-711

1、 客户端A和服务器B之间建立TCP连接,再三次握手中,B往A发送的SYN+ACK(seq=b,

ack=a+1),下列说法正确的有:

A、 该数据包是对序号b的SYN数据包进行确认 B、 该数据包是对序号a+1的SYN数据包进行确认 C、 B下一个希望收到的ACK数据包的序号为b D、 B下一个希望收到的ACK数据包的序号为a+1

2、 rule permit ip source 192.168.11.35 0.0.0.31表示的地址范围是:

A、192.168.11.0-192.168.11.255 B、192.168.11.32-192.168.11.63 C、192.168.11.31-192.168.11.64 D、192.168.11.32-192.168.11.64

3、下列关于防火墙分片缓存功能,说法正确的有:(多选) A、配置分片报文直接转发功能后,防火墙不对分片报文进行缓存 B、配置分片报文直接转发功能后,对于不是首片报文的分片报文,防火墙将根据域间包过滤策略进行转发 C、分片报文也会创建会话表,转发时也会查找会话表 D、分片报文的非首片报文,由于没有端口号,所以分片报文直接转发功能一般不能用在NAT环境

4、下面哪个选项不属于UTM(Unified Treat Management)的功能? A、IPS入侵防御 B、上网行为 C、终端安全管理 D、AV网关防病毒

5、终端安全系统主要由以下哪些组件组成:(多选) A、防病毒服务器 B、SC控制服务器 C、准入控制设备 D、SM管理服务器

6、对称加密算法的加密秘钥和解密秘钥均相同,非对称加密算法的加密秘钥和解密秘钥均不相同。Ipsec在业务数据加解密时使用的是对称加密算法。 -------- T(true)

7、华为USG防火墙VRRP HELLO报文为组播报文,所以要求备份组中的各路由器必须能够实现直接的二层互通。-----------------T (true)

8、在ARP地址解析时,ARP REPLY报文采用广播的方式发送,同一个二层网络上主机都能够收到,并据此学习到IP和MAC地址对应关系。--------------F (FALSE) 9、USG状态检测防火墙查看Session信息如下: display firewall session table verbose Current total sessions:1 Icmp VPN:public--> public Zone:trust--> untrust Slot:8 CPU : 0 TTL: 00:00:20 Left: 00:00:19 Interface: GigabiEthernet6/0/0 Nexthop:107.255.255.10 <--packets: 134 bytes : 8040 --> packets : 134 bytes : 8040 107.229.15.100:1280 --> 107.228.10.100:2048

根据上面的信息下面说法正确的是:(多选)

A、 Trust区域中主机107.229.15.100正在访问或者曾经访问Untrust 107.228.10.100

B、 该报文时VPN报文

C、 后续到达防火墙的报文,需要匹配会话表和防火墙安全策略 D、 正向流量的出接口是GigabitEthernet6/0/0

10、CA(Certificate Authority)证书用于SSL通信连接建立时,验证虚拟网关用户的身份,保存于设备侧,由CA机构颁发。----------------- T

11、通过display ike sa看到的结果如下,说法正确的是?(多选) Current ike sa number 1

-------------------------------------------------------------------------------------

Connection-id peer vpn flag phase doi

------------------------------------------------------------------------------------- 0x1f1 2.2.2.1 0 RDIST v1: 1 IPSEC 0x6043dc4 Flag meaning RD—READY ST—STAYALIVE RL –REPLACED FD –FADING TO –TIMEOUT A、 第一阶段ike sa 已经成功建立

B、 第二阶段ipsec sa已经成功建立 C、 Ike 使用的版本是v1 D、 Ike使用的版本是v2

12、关于L2TP消息,说法错误的为: A、L2TP依附于PPP进行账户认证 B、控制消息只能用于隧道与会话连接的建立,维护以及传输控制 C、数据消息只能用于封装PPP帧并在隧道上传输 D、控制消息和数据消息都可以提供流量控制和拥塞控制功能 13、以下哪种攻击不属于网络层攻击? A、IP欺骗攻击 B、Smurf攻击 C、ARP欺骗攻击 D、ICMP攻击

14、VRRP(Virtual Router Redundancy Protocol)中,主路由器定期向备份路由器发送通告报文(HELLO),备份路由器则只负责监听通告报文,不会进行回应。------T

15、使用NAT技术,只可以对数据报文中的网络层信息(IP地址)进行转换。---F

16、ASPF(Application Specific Packet Filter)是一种基于应用层的包过滤,它检查应用层协议信息并且监控连接的应用层协议状态。ASPF通过Server Map表实现了特殊的安全机制关于ASPF和Server map表说法正确的是? A、ASPF监视通信过程中的报文 B、ASPF动态创建和删除过滤规则 C、ASPF通过Server map表实现动态允许多通道协议数据通过 D、五元组Server map表项实现了和会话表类似的功能 17、上网用户管理的转发流程中,上网用户认证只能发生在首包流程中,一旦用户通过认证,设备建立session表,后续报文不需要重复进行用户认证。-----------T

18、攻击者通过发送ICMP应答请求,并将请求包的目的地址设为受害网络的广播地址。这种行为属于哪一种攻击? A、IP欺骗攻击 B、Smurf攻击

C、ICMP重定向攻击 D、SYN flood攻击

19、以下哪个选项不属于AES的秘钥长度? A、64 B、128 C、192 D、256

20、基于会话的状态监测防火墙对于首包和后续包有不同的处理流程,下面描述正确的是:(多选) A、报文到达防火墙,会查找会话表,如果没有匹配,防火墙进行首包处理流程 B、报文到达防火墙,会查找会话表,如果匹配防火墙进行后续包处理流程 C、在状态检查机制打开的情况下,防火墙处TCP报文时候,只有SYN报文才能建立会话 D、在状态检查机制打开的情况下,后续和他需要进行安全策略检查 21、AH协议号是下面那个选项? A、51 B、50 C、52 D、49

22、AAA包含以下哪几项:(多选) A、Authentication认证 B、Authentication授权 C、Accounting计费 D、Audit审计

23、安全联盟由三元组唯一标识,以下哪一项不属于安全联盟的三元组? A、安全协议号 B、源IP地址 C、目的IP地址 D、安全参数索引

24、一般的公司或组织中有时会存在这样一类用户,他们不是该公司员工,只是临时到访该公司,需要借用该公司网络上网,他们没有属于自己的账号,无法进行认证,但设备要对他们的网络权限进行控制。对于这类用户,支持自动为其创建对应的临时用户,并使用IP地址作为该用户的用户名。管理员在规划用户管理时,一般将这类用户认证划分为: A、免认证 B、单点认证 C、密码认证 D、临时认证 25、HRP会话快速备份时将主用设备相应的状态信息表项快速备份到备用设备,使返回报文在备用设备上能够查找到相应的状态信息表项,从而保证内外部用户的业务不中断。---T 26、配置源NAT策略时,目的区域的配置可以用配置流量出接口信息来取代。---T

27、防火墙IPS协议识别功能对基于非标准端口的服务进行识别,解决了使用非标准端口的应用服务报文的漏报和误报问题。 -----------T

28、防火墙配置防病毒功能选择过滤协议包括以下哪几项:(多选) A、文件传输协议

B、邮件协议 C、安全协议 D、共享协议

29、终端安全系统支持蓝牙、SD卡等计算机外设的监控功能,并支持配置禁止外部设备。T 30、在USG产品的web配置界面中,在配置虚拟IP地址池时,虚拟IP地址范围内的IP地址可以为虚拟网关或接口的IP地址,也可以为内网存在的IP地址。 F 32、防火墙双机热备配置中,HRP必须配置包括:(多选) A、启用HRP备份功能hrp enable B、启用会话快速备份hrp mirror session enable C、指定心跳口hrp interface interface-type interface-number D、抢占延迟时间hrp preempt [delay interval] 33、如何查看安全策略的匹配次数: A、display firewall session table B、display security policy all C、display security policy count D、count security policy hit

34、ESP报文在哪种封装模式下,可以实现对原IP头数据的机密性: A、传输模式 B、隧道模式 C、传输模式+隧道模式 D、加密模式

35、在IP Sec VPN配置中如果使用pre-shared方式验证,可以选择是否为对端配置秘钥,两边的秘钥必须一致------------------- F

36、关于终端安全系统的部署方式描述错误的是: A、集中部署方式的主要特点是可以根据管理终端数目的多少,选择SM、SC、数据库等组件来安装在同一台服务器上 B、终端相对集中在几个区域,而且区域之间的带宽比较小,建议采用分布式组网 C、终端规模相当大时,可以考虑使用集中式部署组网,避免大量撞断访问终端服务器,占用大量的网络带宽 D、分布式部署时,终端安全安全代理选择就近的控制服务器SC,获得身份认证和准入控制等各项业务

37、终端安全体系的五大要素不包括以下哪一项: A、身份认证 B、业务隔离 C、安全认证 D、业务授权

38、某企业在部署网络边界防火墙时,配置了NAT Server 源NAT,OSPF路由和相关安全策略,数据到达该防火墙时,防火墙的处理顺序为: A、OSPF路由-->安全策略-->源NAT-->NAT Server B、安全策略-->源NAT-->NAT Server-->OSPF路由器 C、源NAT-->OSPF路由-->安全策略-->NAT server D、NAT Server -->OSPF路由-->安全策略-->源NAT

39、以下哪个问题可以利用IP sec-IKE野蛮模式进行解决:(多选) A、隧道两端协商慢的问题

B、协商过程中的安全性问题 C、NAT穿越问题 D、发起者源地址不确定问题

40、配置防火墙安全区域的安全级别时,描述错误的是: A、新建的安全区域,系统默认其安全级别为1 B、只能为自定义的安全区域设定安全级别 C、安全级别一旦设定,不允许更改 D、同一系统中,两个安全区域不允许配置相同的安全级别 41、关于NAT的说法正确的是: A、带端口转换的NAT可以通过配置NAT地址池来实现 B、NAT兼容目前所有的IPsec安全协议 C、因为FTP协议是多通道协议,所以不支持NAT D、NAT支持TCP/IP二、三、四层进行转换 42、查看防火墙的HRP状态信息如下: HRP_S[USG_B]display hrp state The firewall’s config state is: Standby Current state of virtual routers configured as standby GigabitEthernet1/0/0 vrid 1:standby GigabitEthernet1/0/1 vrid 2:standby 以下描述正确的是:

A、 此防火墙VGMP组状态为Active

B、 此防火墙G1/0/0和G1/0/1接口的VRRP组状态为standby C、 此防火墙的HRP心跳线接口为G1/0/0和G1/0/1 D、 此防火墙一定是出于抢占状态

43、防火墙IPS策略的签名过滤器之间存在优先关系,在同一条IPS策略中,编号小的签名过滤器比编号大的签名过滤器的优先级高-------------F

44、状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话,由防火墙安全策略决定建立哪些会话,数据包只有与会话相关联时才会被转发-------T 45、关于NAT配置中“easy IP”的说法,下列描述正确的是: A、easy IP不能再pat场景下 B、配置NAT策略直接转换成出接口IP地址 C、easy ip 用于目的地址转换的场景 D、easy ip可以与address-group同时使用

46、ASPF技术使得防火墙能够支持如FTP等多通道协议,同时还可以对复杂的应用制订相应的安全策略-----------------------------T

47、反掩码和子网掩码格式相似,但取值含义不同,在反掩码中,1表示对应的IP地址位需要比较,0表示对应的IP地址位忽略比较-------------------------------F 48、下面关于SSL握手协议各阶段中的内容描述哪个是错误的? A、客户端发送client_Hello消息,服务器端回应Server_Hello消息 B、服务器端发送Server_Hello便等待客户端发送的消息 C、服务器端收到服务器发送的一系列消息并消化后,发送Client Key Exchange等消息给服务器 D、客户端和服务器各自发送ChangeCipherSpec和finished消息给对方

49、在USG系列防火墙Trust区域视图下配置add interface GigabitEthernet0/0/1后,

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4