353、包过滤防火墙在应用层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。--------------------------------------F
354、代理防火墙作用于TCP/IP协议栈的传输层,实质是代理防火墙代理处理内部网络和外部网络用户之间的业务。-------------------F
355、add-group { number 1 name } no-pat 中no-pat 参数的含义是:
A、不做地址转换 B、进行端口复用 C、不转换源端口 D、不转换目的端口
356、信息加密的四个关键要素:明文、密文、加密算法和密钥,为了确保信息的保密性,需对加密算法进行保密。------------------------------F 357、IP Sec中以下哪个算法不属于加密算法:
A、DES B、SHA1 C、3DES D、AES
358、USG产品文件共享技术就是将文件共享协议转换成基于SSL超文本传输协议(Https),针对终端用户感觉文件服务器就是基于Web应用。----------------------------T
359、USG系列防火墙默认的安全区域不能删除,但可以修改其安全级别。---------------------------------F
360、下面描述是SSL握手协议各阶段中的内容有哪些?(选择3个答案)
A、客户端发送client_Hello消息,服务器端回应Server Hello消息 B、服务器端发送Server Hello便等待客户端发送的消息
C、客户端收到服务器发送的一系列消息并消化后,发送Client Key Exchange等消息给服务器
D、客户端和服务器各自发送ChangeCipherSpec和finished消息给对方 361、Policy Center准入控制可支持以下哪些:(选择3个答案)
A、硬件SACG(硬件安全接入控制网关) B、802.1X C、ARP控制
D、软件SACG(主机防火墙) 362、USG产品配置时,VPNDB中的用户信息可以单个创建,也可以通过导入文件批里创建。------------------------------------T
363、SSL VPN支特文件共享类型分为SMB和NFS两种,SMB对应windows主机,NFS对应Linux主机。--------------------------------T
364、基于Outbound方向NAT配置,在有no-pat配置参数的情况下,以下哪些说明是错误的:(选择3个答案)
A、只进行源IP地址转换 B、只进行目的IP地址转换 C、进行源IP地址和源端口转换
D、进行目的IP地址和目的端口转换
365、Poliry Center系统支持以下哪些用户认证方式:(选择3个答案)
A、IP地址认证 B、MAC地址认证
C、普通账号/口令认证 D、LDAP认证
366、下列关于不同类型的防火墙的说法中正确的有:(选择3个答案}
A、包过滤防火墙对于通过防火墙的每个数据包,都要进行ACL匹配检查 B、状态检测防火墙只对没有命中会话的首包进行安全策略检查
C、状态检测防火墙需要配置报文的“去”和“回”两个方向的安全策略 D、代理防火墙代理内部网络和外部网络用户之间的业务 367、管理员搭建了如下组网:
LAN_A----一(G0/0)USG_A(G0/1)----一(G0/0)USG_B(G0/1)-------LAN_B
USG_A划分了防火墙安全区域,连接LAN_A的区域Trust,连接USG_B的区域是Untrust根据上面的描述,以下说法正确的是:
A、USG_B G0/0必须加入Untrust区域 B、USG_B G0/0必须加Trust区域 C、USG_B G0/1必须加Trust区域 D、USG_B G0/0可以加入任意区域
368、在IKE协商第一阶段中,以下哪个IKE交换模式不能提供身份保护功能:
A、主模式 B、野蛮模式 C、快速模式 D、被动模式
369、USG防火墙高级ACL的匹配,可以通过源IP地址、目的IP地址、源MAC地址、目的MAC地址、协议等维度来进行流里匹配。------------------F
370、下列关于NAT地址转换的说法中哪些是正确的:(选择3个答案)
A、地址转换技术可以有效隐藏局域网内的主机,是一种有效的网络安全保护技术 B、地址转换可以按照用户的需要,在局域网内向外提供FTP、WWW、Telnet等服务 C、有些应用层协议在数据中携带IP地址信息,对它们作NAT时还要修改上层数据中的IP地址信息
D、对于某些非TCP、UDP的协议(如ICMP、PPTP),无法做NAT转换
371、在USG系列防火墙区域间使用detect命令,若应用协议为非标准端口,以下哪个技术可解决由非标准端口所带来的问题:
A、端口识别
B、MAC与IP地址绑定 C、包过滤 D、长连接
372、以下哪类加密算法,加密和解密的密钥是相同的:
A、DES
B、RSA(1024) C、MD5 D、SHA-1
373、USG产品网络扩展功能中,需要实现用户即可以访问远端企业内网和本地局域网,又能访问Internet需要使用的客户端路由方式为:
A、全路由模式(Full Tunnel) B、分离模式(Split Tunnel ) C、路由模式(route Tunnel)
D、手动模式(Manual Tunnel)
374、Policy Center系统可以实现组织管理和区域管理两个维度的管理功能。-----------------------------------------T
375、下列关于ASPF和Server map的说法正确的是:〔选择2个答案)
A、ASPF检查应用层协议信息并且监控连接的应用层协议状态 B、ASPF通过动态的生成ACL来决定数据包是否通过防火墙 C、配置NAT Server生成的是静态Server-map D、Server-map表用五元组来表示一条会话
396、 USG产品可以通过如下哪些方式对用户进行访问权限控制:
A、IP B、MAC C、PORT D、URL
377、USG产品业务功能包括:(选择3个答案)
A、Web代理 B、网络扩展 C、端口共享 D、文件共享
378、Policy Center系统的共享目录检查安全策略包括以下哪些方面内容:(选择3个答案)
A、共享文件大小检查,对于大文件不允许共享 B、共享账号名称(用户或者用户组)检查 C、违规共享权限检查
D、提供自动修复功能,删除违规共享
379、如果防火墙的两个接口连接同一个区域,两个接口数据包流动也必须经过域间包过虑处理。-----------------------------------F
380、VLAN的Tag信息包含在哪个报文段中:
A、以太网帧头中 B、IP报文头中 C、TCP报文头中 D、UDP报文头中
381、以下哪些技术可以实现拒绝非法主机或非法数据报文通过:(选择3个答案)
A、MAC与lP地址绑定 B、ACL C、黑名单 D、静态路由 382、IPSec安全协议AH和ESP的区别在于AH能实现数据加密,ESP支持的数据验证范围更广。--------------------------------------F
383、在当前网络中已经部署了其他的身份认证系统,设备通过启用单点登录功能,减少用户重复输入密码。关于单点登录说法正确的是:(选择2个答案)
A、设备可以识别出经过这些身份认证系统认证通过的用户,用户上网时,设备将不推送认证页面,避免再次要求输入用户名/密码
B、设备仅支持AD域单点登录
C、虽然不需要输入用户密码,但是认证服务器需要将用户密码和设备进行交互,用来保证认证通过
D、设备支持LDAP,AD域单点登录 384、以下哪个IKE交换模式可以采用IP地址方式或Name方式标识对等体(选择:2个答案)
A、主模式 B、野蛮模式 C、快速模式 D、被动模式
385、IP地址扫描玫击的攻击者运用ICMP报文探测目标地址,获取目标网络的拓扑结构和存活的系统,实施下一步攻击做准备。--------------------------------T
386、在USG系列防火墙系统视图下,执行完命令reset saved-configuration后设备配置就会恢复到缺省配置,无需进行其他操作即可生效。---------------------------------------------F 387、Policy Center系统主要由以下哪些组件组成:(选择3个答案)
A、防病毒服务器 B、SC控制服务器 C、准入控制设备 D、SM管理服务器
388、在防火墙间安全策略中,inbound是指数据包从低优先级区域访问高优先级区域。在防火墙域内安全策略中,没有inbound和outbound方向,只需要直接定义Source和Destination即可。--------------------------T
389、对于防火墙默认安全区域Trust和Untrust的说法正确的有:(选择2个答案)
A、Trust区域访问Untrust区域方向为outbound方向 B、Trust区域访问Untrust区域方向为inbound方向 C、Trust的安全级别是85 D、Untrust的安全级别是50
390、IPSec的必需配置步骤包括: (选择3个答案)
A、配置IKE的加密算任便用DES B、定义保护数据流和域间规则 C、将IPSec安全策略应用到接口 D、配置IKE Peer
391、USG系列防火墙5元组包括以下哪些选项:(选择3个答案)
A、源IP地址 B、目的IP地址 C、协议号
D、源MAC地址
392、防火墙进行AV和IPS的配置前需要完成下列操作:〔选择3个答案)
A、需要申请并激活UTM特性的license并升级特征库 B、指定使用的病毒库、IPS签名库、URL热点库和知识库 C、确认防火墙模式为UTM模式,启用UTM D、关闭防火墙链路状态检查机制
393、在USG产品配置中,如果绑定Web网管和IP地址时设置的端口号为443以外的瑞口号,那么在下次登录Web网管输入IP地址时,请在IP地址后面加上\端口号“,如”
https://x.x.x.x:port“,否则将不能登录Web网管。------------------------------------------------------T