第四层和第五层之间。SSL可以为HTTP(Hypertext Transfer Protocol)协议提供安全连接—T 128、以下属于加密算法的是: A、DES B、3DES C、SHA-1 D、MD5
129、在IPSEC VPN中,隧道模式主要应用在以下哪个场景中: A、主机与主机之间 B、主机与安全网关之间 C、安全网关之间 D、隧道模式与传输模式之间
130、下列关于NAT地址转换的说法中哪个是错误的? A、地址转换技术可以有效隐藏局域网内的主机,是一种有效的网络安全保护技术 B、地址转换可以按照用户的需要,在局域网内向提供FTP、WWW、Telnet等服务 C、有些应用层协议在数据中携带IP地址信息,对它们作NAT时还要修改上层数据中的IP地址信息 D、对于某些非TCP、UDP的协议(如ICMP、PPP),无法做NAT转换 131、关于USG系列安全防火墙的默认安全区域,下列说法正确的是: A、默认安全区域可以删除 B、默认安全区域可以修改安全级别 C、默认安全区域不能删除,但是可以修改安全级别 D、默认安全区域有4个
132、防火墙所有类型的访问控制列表都支持对数据包的IP五元组进行访问控制-----F 133、终端安全系统的操作系统补丁违规等级包括:(多选) A、低 B、重要 C、严重 D、一般
134、在防火墙做双机热备组网时,为实现备份组整体状态切换,需要使用以下哪个协议技术: A、VRRP B、VGMP C、HRP D、OSPF
135、下列哪些地址可以用于USG产品的web管理地址(多选) A、接口地址 B、子接口地址 C、接口的从IP地址 D、AUX接口地址 136、ACL 2999S属于(): A、基本访问控制列表 B、高级访问控制列表 C、基于MAC地址访问控制列表 D、基于时间段访问控制列表
137、下面关于TCP/IP协议栈数据包解封装描述正确的是:(多选) A、数据报文先传送至数据链路层,经过解析后数据链路层信息被剥离,并根据解析信息知道网络层信息,比如为IP B、传输层(TCP)接收数据报文后,经过解析后传输层信息被剥离,并根据解析信息知道上层处理协议,比如UDP C、网络层接收数据报文后,经过解析后网络层信息被剥离,并根据接卸信息知道上层处理协议,比如HTTP D、应用层接收到数据报文后,经过解析后应用层信息被剥离,最终展示的用户数据与发送方主机发送的数据完全相同
138、关于上网用户组管理说法错误的是: A、每个用户组可以包括多个用户和用户组 B、每个用户组可以属于多个父用户组 C、系统默认有一个default用户组,该用户组同时也是系统默认认证域 D、每个用户组至少属于一个用户组,也可以属于多个用户组
139、IP sec 安全联盟(SA)是双向的,通过安全联盟可实现对两个方向的数据流进行安全保护--------------------------------------------F
140、以下对于AH和ESP的说法错误的是: A、AH可以听数据完整性校验和加密 B、隧道模式下,AH对新的IP头也要验证,所以AH无法应用在IpsecVPN中间有nat转换的情况 C、AH可以提供ESP除了数据加密外的所有功能 D、隧道模式下,ESP报文不对新IP头做验证 141、对于防火墙域间安全策略,下列说法正确的是:(多选) A、rule disable命令表示禁用这条rule B、缺省情况下,越先创建的rule优先级越高,越先匹配 C、通过rule move命令将rule调整位置后,rule id将做相应的改变 D、一旦匹配到一条rule,就直接按照该rule的定义处理报文,不在继续往下匹配 142、关于状态检测型防火墙,下列描述正确的是: A、状态检测防火墙需要对每个进入防火墙的数据包进行规则匹配 B、因为UDP协议为面向无连接的协议,协议为面向无连接的协议,因此状态检测型防火墙无法对UDP报文进行状态表的匹配 C、状态检测型防火墙对报文进行检查时,同一连接的前后报文不具有相关性 D、状态检测型防火墙只需要对该连接的第一个数据包进行访问规则的匹配,该连接的后续报文直接在状态表中进行匹配
143、USG6000系列防火墙IP sec web配置不支持以下哪个应用场景:(多选) A、网关到网关 B、中心网关 C、分支网关 D、主机到主机
144、FTP协议可能用到的端口号有:(多选) A、20 B、21 C、23 D、80
145、SSL协议包含以下哪几个协议:(多选) A、握手协议 B、记录协议 C、警告协议 D、发现协议 146、命令allow l2tp virtual-template virtual-template-nmber[remote remote-name],当l2tp grup为1时,必须制定remote-name参数-------------------------F
147、下面关于Client-initialized的L2TP VPN,说法错误的是: A、远程用户接入internet后,可通过客户端软件直接向远端的LNS发起L2TP隧道连接请求 B、LNS设备接收到用户L2TP连接请求,可以根据用户名、密码对用户进行验证 C、LNS为远端用户分配私有IP地址 D、远端用户不需要安装VPN客户端软件
148、某些应用如Oracle数据库应用,因长时间无数据流传输,使防火墙会话连接中断,从而导致业务中断,以下哪个技术可以最优地解决这个问题: A、配置某业务长连接 B、配置默认会话老化时间 C、优化包过滤规则 D、开启分片缓存
149、下面针对VGMP的组管理描述错误的是: A、各备份组的主/备状态变化都需要通知其所属的VGMP管理组 B、两台防火墙心跳口的接口类型和编号可以不同,只要能够保证二层互通即可 C、主备防火墙的VGMP之间定时发送Hello报文 D、主备设备通过心跳线交互报文了解对方状态,并且备份相关命令和状态信息 150、企业内部用户上网场景如图所示,用户上线流程有: 1、认证通过,USG允许建立连接 2、用户访问Internet输入http://1.1.1.1 3、USG推送认证界面,User=?Password=? 4、用户成功访问http://1.1.1.1,设备穿件session 5、用户输入User=***Password=*** 以下正确的流程排序应该:
A、2-5-3-1-4 B、2-3-5-1-4 C、2-1-3-5-4
D、2-3-1-5-4
151、以下哪个用户系统可直接在USG产品系统上进行用户账户或密码等信息的修改: A、VPNDB用户 B、LDAP用户 C、Radius用户 D、所有用户系统
152、关于VGMP协议描述错误的是: A、VGMP将同一台防火墙上的多个VRRP备份组都加入到一个管理组,由管理组统一管理所有VRRP备份组 B、VGMP通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致 C、状态为Active的VGMP组设备会定期向对端发送HELLO报文,Stdandby端只负责监听HELLO报文,不会进行回应 D、在缺省情况下当Standby端三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态
153、终端安全系统可以实现组织管理和区域管理两个维度的管理功能。-------------T 154、
nat address-group 1
section 0 1.1.1.5 1.1.1.10
nat server 1 global 1.1.1.1 inside 10.1.1.2 #
nat-policy
rule name trust_to_untrust souce-zone trust
source-address 10.1.1.0 24 action nat address-group 1 #
以下说法哪个是错误的:
A、 FTP Server访问Client A时转换为地址池1中的地址1.1.1.5-1.1.1.10 B、 Client A访问FTP Server 1.1.1.1,目的地址转化为10.1.1.2,源地址不变 C、 NAT Server配置,只能针对源地址网段(10.1.1.0/24)进行目的地址转换 D、 源NAT配置,只能针对内网用户(10.1.1.0/24)访问外网进行转换 155、下列关于ASPF和Servermap的说法正确的是:(多选)
A、ASPF检查应用层协议信息并且监控连接的应用层协议状态 B、ASPF通过动态的生成ACL来决定数据包是否通过防火墙 C、配置NAT Server生成的静态Server-map D、Servermap表用五元组来表示一条会话
156、防火墙通过安全服务中心在线升级签名库、病毒库时,首先要求防火墙能够连接互联网,其次要求配置正确的DNS地址。----------------------------------T 157、在SSL握手协议中,Server Key Exchange消息的作用是: A、server key exchange 消息表示server已经将所有信息发送完毕 B、在server key exchange 消息中包含完成密钥交换所需的一系列参数 C、在server key exchange 消息中包含一个X.509证书,证书中包含公钥,发给客户端用来验证签名或在密钥交换时候给消息加密 D、在server key exchange消息中包含协商得到的CipherSuite拷贝到当前连接的状态中 158、网关防病毒典型技术不包括: A、文件识别技术 B、脱壳技术 C、解密技术 D、静态/动态识别技术
159、以下哪个选项属于DES的密钥长度: A、56 B、64 C、128 D、192
160、USG系列防火墙的IP-Link自动侦测功能只能应用在双机热备中。-----------------F 161、状态检测防火墙主要特点包括以下哪一项: A、处理速度慢 B、后续包处理性能优异 C、只能检测网络层 D、针对每一包进行包过滤检测
162、同一安全区域的主机和服务器之间互访时,不存在使用NAT进行地址转换的场景。--F 163、典型的入侵行为包括:(多选) A、篡改Web网页 B、使用网络嗅探工具获取用户密码 C、向主机植入特洛伊木马程序 D、使用RDP远程连接设备
164、如图所示,在配置点到多点应用场景时,总部网段为10.1.1.0/24,分支一的网段为10.1.2.0/24,分支二 10.1.3.0/24 。关于总部和分支机构定义被保护数据流的配置,以下哪些组合能完整的匹配需求:
1.[FW_A-acl-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 2.[FW_A-acl-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 3.[FW_B-acl-3000] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 4.[FW_B-acl-3001] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.3.0 0.0.0.255 5.[FW_C-acl-3000] rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 6.[FW_C-acl-3001] rule permit ip source 10.1.3.0 0.0.0.255 destination 10.1.2.0 0.0.0.255