HCNA 安全题库 H12-711

GigabitEthernet0/0/1不在属于Local区域。----------------------F 50、适合出差人员在公网环境下接入企业内网的VPN方式有:(多选) A、GRE VPN B、L2TP VPN C、SSL VPN D、L2TP over Ipsec

51、入侵防御系统技术特点包括:(多选) A、在线模拟 B、实时阻断 C、自学习及自适应 D、直路部署

52、SVN产品网络扩展功能中,需要实现用户只可以访问远端企业文内网,不能访问本地局域网和Internet,需要使用的客户端路由方式为: A、全路由模式(Full Tunnel) B、分离模式(Split Tunnel) C、路由模式(Route Tunnel) D、手动模式(Manual Tunnel)

53、Web重定向密码认证功能,只有用户进行目的端口是80的HTTP业务访问时,系统才支持“重定向”到认证页面,进行会话认证。---------------------------F 54、针对MAC地址欺骗攻击的描述错误的是: A、MAC地址欺骗攻击主要利用了交换机Mac地址学习机制 B、攻击者可以通过伪造的源Mac地址数据帧发送给交换机来实施MAC地址欺骗攻击 C、MAC地址欺骗攻击会造成交换机学习到错误的MAC地址与IP地址的映射关系 D、MAC地址欺骗攻击会导致交换机要发送到正确目的地址的数据被发送给了攻击者 55、在GRE配置环境下,Tunnel接口模式下,Destination地址一般是指: A、本Tunnel接口IP地址 B、本端外网出口IP地址 C、对端外网接口IP地址 D、对Tunnel接口IP地址

56、SSL VPN可以通过如下哪些方式对用户进行访问权限控制:(多选) A、IP B、MAC C、PORT D、URL 57、在USG系列防火墙中,使用非知名端口提供知名应用服务器时,可采用以下哪种技术: A、端口映射 B、MAC与IP地址绑定 C、包过滤 D、长连接

58、以下哪个选项不属于AH可以实现的特性? A、抗防重放 B、数据源认证 C、机密性 D、数据完整性检验

59、比较典型的远端认证方式有:(多选) A、RADIUS B、Local C、HWTACACS D、LLDP

60、以下哪个选项不属于内网安全威胁? A、存储介质滥用 B、信息资产泄密 C、未授权访问 D、间谍软件

61、IKE协议能够为Ipsec提供自动协商交换秘钥、建立安全联盟的服务器,以简化Ipsec的使用和管理--------------------------------------------T 62、防火墙网关防病毒响应方式包括告警和阻断,其中告警方式设备只产生日志,不对HTTP协议传输的文件进行处理就发送出去,阻断方式设备断开与HTTP服务器的连接并阻断文件,向客户推送WEB页面并产生日志----------------------------T

63、HRP(Huawei Redundancy Protocol)协议,用来将主防火墙关键配置和连接状态等数据向备防火墙上同步,以下哪个选项不属于同步的范围? A、安全策略 B、NAT策略 C、黑名单 D、IPS签名集

64、主动攻击最大特点是对信息进行侦听,以获取机密信息,而对数据的拥有者或合法用户来说对此类活动无法得知----------------------------------F 65、以下哪个选项属于非对称加密算法? A、RC4 B、3DES C、AES D、DH

66、如下安全策略的命令,代表的含义是: # Security-policy Rule name rule1 Source-zone trust Destination-zone untrust Source-address 10.1.0.0 0.0.255.255 Service icmp Action deny #

A、 禁止从trust区域访问untrust区域且目的地址为10.1.10.10主机的ICMP报文

B、 禁止从trust区域访问untrust区域且目的地址为10.1.0.0/16网段的所有主机ICMP

报文

C、 禁止从trust区域访问untrust区域且源地址为10.1.0.0/16网段的所有主机ICMP报

D、 禁止从trust区域访问untrust区域且源地址为10.2.10.10主机来的所有主机ICMP

报文

67、防火墙配置了IPS策略后,需要把该策略应用到域内或域间后IPS功能才生效。---T 68、配置防火墙域间安全策略时,如果把192.168.0.0/24网段设置为匹配对象,则以下配置正确的是:(多选) A、rule name policy 1 source-address 192.168.0.0 mask 255.255.255.0 B、rule name policy 1 source-address 192.168.0.0 255.255.255.0 C、rule name policy 1 source-address 192.168.0.0 mask 0.0.0.255 D、rule name policy 1 source-address 192.168.0.0 0.0.0.255

69、非对称算法比对称算法加密强度更强,因为非对称算法秘钥长度更长------F

70、在USG防火墙用户管理功能中Web重定向密码认证功能,用户不主动进行认证,进行业务访问,设备推送“重定向”到认证页面--------------------------------------T 71、包过滤防火墙的主要特点包括:(多选) A、随着ACL复杂度和长度的增加,防火墙过滤性能呈指数下降趋势 B、静态的ACL规则难以使用动态的安全过滤要求 C、不检查会话状态也不分析数据,这很容易让黑客蒙混过关 D、能够完全控制网络信息的交换,控制会话过程,具有较高的安全性

72、在防火墙转发流程中,会先进行安全配置文件的比对,在进行安全策略的检查------F 73、以下哪些SSL VPN业务功能会使用到控件:(多选) A、Web改写 B、文件共享 C、端口转发 D、网络扩展

74、SSL VPN中文件共享应用在使用过程需输入用户名、密码和域信息,为了不想输入用户名密码,可以在文件共享服务器上设置权限-------------------------T 75、AH可以提供以下哪些安全功能:(多选) A、数据源验证 B、数据机密性 C、数据完整性校验 D、抗重放

76、下列关于终端安全功能区域说法错误的是: A、认证前域是指客户端通过身份认证前所能访问的区域 B、认证后域是指客户端通过安全认证后所能访问的区域 C、隔离域是指客户端通过身份认证后所必须访问的区域 D、隔离域是指客户端安全认证失败时所需访问的区域

77、安全接入控制网关(Security Access Control Gateway,简称SACG)的主要功能是控制终端的网络访问权限,对不同的用户和不同安全状况的用户开放不同的权限----------------T 78、终端安全准入控制可以支持以下哪些:(多选) A、硬件SACG(硬件安全接入控制网关) B、802.1X C、ARP控制 D、软件SACG(主机防火墙) 79、USG防火墙支持的NAT功能包括:(多选) A、可以指定同一地址池中某一部分地址进行端口转换,另一部分地址不进行端口转换 B、基于目的地址转换的NAT Server

C、基于源地址转换的NAT Server D、配置源NAT时,可直接使用出接口地址作为转换后的地址 80、TCP/IP协议栈数据包封装包括以下部分,封装顺序正确的是: 1、DATA 2、TCP/UDP 3、MAC 4、IP 5、APP A、1-->5-->4-->2-->3 B、1-->4-->2-->3-->5 C、1-->5-->2-->4-->3 D、1-->5-->2-->3-->4

81、网络地址端口转换(NAPT)与仅转换网络地址(No-PAT)有什么区别: A、经过NAPT转换后,对于外网用户,所有报文都来自同一个IP地址或某几个IP地址 B、No-PAT只支持传输层的协议端口转换 C、NAPT只支持网络层的协议地址转换 D、No-PAT支持网络层的协议地址转换

82、管理员希望创建Web配置管理员,并设Https设备管理端口号为20000,且设置管理员为管理员级别,下面命令正确的是: A、Step 1:web-manager security enable port 20000 Step 2:AAA View [USG]aaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-type web [USG-aaa-manager-client001]level 15

[USG-aaa-manager-client001]password cipher Admin@123

B、Step 1:web-manager security enable port 20000 Step 2:AAA View [USG]aaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-type web

[USG-aaa-manager-client001]password cipher Admin@123 C、Step 1:web-manager security enable port 20000 Step 2:AAA View [USG]aaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-type web [USG-aaa-manager-client001]password cipher

D、Step 1:web-manager security enable port 20000 Step 2:AAA View [USG]aaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-type web [USG-aaa-manager-client001]level 1

[USG-aaa-manager-client001]password cipher Admin@123

83、下列TCP/IP协议栈中的协议,工作在应用层的有: A、ARP B、IGMP

C、TELNET D、ICMP

84、ESP协议是下面那个选项? A、51 B、50 C、52 D、49

85、入侵检测的内容涵盖授权的和非授权的各种入侵行为,例如,违反安全策略行为、冒充其他用户、泄露系统资源、恶意行为、非法访问,以及授权者滥用权力等。-----T 86、USG系列防火墙自定义安全域的安全级别可设置以下哪些值:(多选) A、150 B、100 C、80 D、40

87、进行源NAT配置时,再有no-pat配置参数的情况下,以下哪些说明是错误的:(多选) A、只进行源IP地址转换 B、只进行目的IP地址转换 C、同时进行源IP地址和端口转换 D、进行目的IP地址和目的端口转换

88、状态检查防火墙后续数据包(非首包)转发主要依据以下哪一项: A、Rout表 B、MAC地址表 C、Session表 D、FIB表

89、USG防火墙中用户认证的分类有:(多选) A、免认证 B、密码认证 C、单点登录 D、指纹认证

90、在防火墙域间安全策略中,以下哪一项的数据流不是Outbound方向: A、从DMZ区域到Untrust区域的数据流 B、从Trust区域到DMZ区域的数据流 C、从Trust区域到Untrust区域的数据流 D、从Trust区域到Local区域的数据流

91、在当前网络中依据部署了其他的身份认证系统,设备通过启用单点登录功能,减少用户重复输入密码。关于单点登录舒服正确的是:(多选) A、设备可以识别出经过这些身份认证系统认证通过的用户,用户上网时,设备将不推送认证页面,避免再次要求输入用户名/密码 B、AD域单点登录只有一种部署模式 C、虽然不需要输入用户名密码,但是认证服务器需要将密码和设备进行交互,用来保证认证通过 D、AD域单点登录可采用镜像登录数据流的方式通过到防火墙 92、终端安全系统的共享目录检查安全策略包括以下哪些方面内容: A、共享文件大小检查,对于大文件不允许共享

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4