1、1、 客户端 A 和服务器 B 之间建立 TCP 连接,再三次握手中,B 往 A 发送的SYN+ACK(seq=b ,ack=a+1) ,下列说法正确的有:A、 该数据包是对序号 b 的 SYN 数据包进行确认B、 该数据包是对序号 a+1 的 SYN 数据包进行确认C、 B 下一个希望收到的 ACK 数据包的序号为 bD、 B 下一个希望收到的 ACK 数据包的序号为 a+12、 rule permit ip source 192.168.11.35 0.0.0.31 表示的地址范围是:A、192.168.11.0-192.168.11.255B、192.168.11.32-192.168.
2、11.63C、 192.168.11.31-192.168.11.64D、192.168.11.32-192.168.11.643、下列关于防火墙分片缓存功能,说法正确的有:(多选)A、配置分片报文直接转发功能后,防火墙不对分片报文进行缓存B、配置分片报文直接转发功能后,对于不是首片报文的分片报文,防火墙将根据域间包过滤策略进行转发C、分片报文也会创建会话表,转发时也会查找会话表D、分片报文的非首片报文,由于没有端口号,所以分片报文直接转发功能一般不能用在 NAT 环境4、下面哪个选项不属于 UTM(Unified Treat Management)的功能?A、IPS 入侵防御B、上网行为C、
3、终端安全管理D、AV 网关防病毒5、终端安全系统主要由以下哪些组件组成:(多选)A、防病毒服务器B、SC 控制服务器C、准入控制设备D、SM 管理服务器6、对称加密算法的加密秘钥和解密秘钥均相同,非对称加密算法的加密秘钥和解密秘钥均不相同。Ipsec 在业务数据加解密时使用的是对称加密算法。 - T (true)7、华为 USG 防火墙 VRRP HELLO 报文为组播报文,所以要求备份组中的各路由器必须能够实现直接的二层互通。-T (true)8、在 ARP 地址解析时, ARP REPLY 报文采用广播的方式发送,同一个二层网络上主机都能够收到,并据此学习到 IP 和 MAC 地址对应关系
4、。-F (FALSE)9、 USG 状态检测防火墙查看 Session 信息如下:display firewall session table verboseCurrent total sessions:1Icmp VPN:public publicZone:trust untrust Slot:8 CPU : 0 TTL: 00:00:20 Left: 00:00:19Interface: GigabiEthernet6/0/0 Nexthop:107.255.255.10packets : 134 bytes : 8040 107.229.15.100:1280 107.228.10.10
5、0:2048根据上面的信息下面说法正确的是:(多选)A、 Trust 区域中主机 107.229.15.100 正在访问或者曾经访问 Untrust 107.228.10.100B、 该报文时 VPN 报文C、 后续到达防火墙的报文,需要匹配会话表和防火墙安全策略D、 正向流量的出接口是 GigabitEthernet6/0/010、 CA(Certificate Authority)证书用于 SSL 通信连接建立时,验证虚拟网关用户的身份,保存于设备侧,由 CA 机构颁发。 - T 11、通过 display ike sa 看到的结果如下,说法正确的是?(多选)Current ike sa
6、number 1-Connection-id peer vpn flag phase doi-0x1f12.2.2.1 0 RDIST v1: 1 IPSEC 0x6043dc4Flag meaningRDREADY STSTAYALIVE RL REPLACED FD FADING TO TIMEOUTA、 第一阶段 ike sa 已经成功建立B、 第二阶段 ipsec sa 已经成功建立C、 Ike 使用的版本是 v1D、 Ike 使用的版本是 v212、关于 L2TP 消息,说法错误的为:A、L2TP 依附于 PPP 进行账户认证B、控制消息只能用于隧道与会话连接的建立,维护以及传输控制
7、C、数据消息只能用于封装 PPP 帧并在隧道上传输D、控制消息和数据消息都可以提供流量控制和拥塞控制功能13、以下哪种攻击不属于网络层攻击?A、IP 欺骗攻击B、Smurf 攻击C、ARP 欺骗攻击D、ICMP 攻击14、 VRRP(Virtual Router Redundancy Protocol)中,主路由器定期向备份路由器发送通告报文(HELLO) ,备份路由器则只负责监听通告报文,不会进行回应。-T 15、使用 NAT 技术,只可以对数据报文中的网络层信息(IP 地址)进行转换。-F16、 ASPF(Application Specific Packet Filter)是一种基于应用
8、层的包过滤,它检查应用层协议信息并且监控连接的应用层协议状态。ASPF 通过 Server Map 表实现了特殊的安全机制关于 ASPF 和 Server map 表说法正确的是?A、ASPF 监视通信过程中的报文B、ASPF 动态创建和删除过滤规则C、ASPF 通过 Server map 表实现动态允许多通道协议数据通过D、五元组 Server map 表项实现了和会话表类似的功能17、上网用户管理的转发流程中,上网用户认证只能发生在首包流程中,一旦用户通过认证,设备建立 session 表,后续报文不需要重复进行用户认证。-T18、攻击者通过发送 ICMP 应答请求,并将请求包的目的地址设
9、为受害网络的广播地址。这种行为属于哪一种攻击?A、IP 欺骗攻击B、Smurf 攻击C、ICMP 重定向攻击D、SYN flood 攻击19、以下哪个选项不属于 AES 的秘钥长度?A、64B、128C、192D、25620、基于会话的状态监测防火墙对于首包和后续包有不同的处理流程,下面描述正确的是:(多选)A、报文到达防火墙,会查找会话表,如果没有匹配,防火墙进行首包处理流程B、报文到达防火墙,会查找会话表,如果匹配防火墙进行后续包处理流程C、在状态检查机制打开的情况下,防火墙处 TCP 报文时候,只有 SYN 报文才能建立会话D、在状态检查机制打开的情况下,后续和他需要进行安全策略检查21
10、、 AH 协议号是下面那个选项?A、51B、50C、52D、4922、 AAA 包含以下哪几项:(多选)A、Authentication 认证B、Authentication 授权C、Accounting 计费D、Audit 审计23、安全联盟由三元组唯一标识,以下哪一项不属于安全联盟的三元组?A、安全协议号B、源 IP 地址C、目的 IP 地址D、安全参数索引24、一般的公司或组织中有时会存在这样一类用户,他们不是该公司员工,只是临时到访该公司,需要借用该公司网络上网,他们没有属于自己的账号,无法进行认证,但设备要对他们的网络权限进行控制。对于这类用户,支持自动为其创建对应的临时用户,并使用
11、IP 地址作为该用户的用户名。管理员在规划用户管理时,一般将这类用户认证划分为:A、免认证B、单点认证C、密码认证D、临时认证25、 HRP 会话快速备份时将主用设备相应的状态信息表项快速备份到备用设备,使返回报文在备用设备上能够查找到相应的状态信息表项,从而保证内外部用户的业务不中断。-T26、配置源 NAT 策略时,目的区域的配置可以用配置流量出接口信息来取代。-T27、防火墙 IPS 协议识别功能对基于非标准端口的服务进行识别,解决了使用非标准端口的应用服务报文的漏报和误报问题。 -T28、防火墙配置防病毒功能选择过滤协议包括以下哪几项:(多选)A、文件传输协议B、邮件协议C、安全协议D
12、、共享协议29、终端安全系统支持蓝牙、SD 卡等计算机外设的监控功能,并支持配置禁止外部设备。T30、在 USG 产品的 web 配置界面中,在配置虚拟 IP 地址池时,虚拟 IP 地址范围内的 IP 地址可以为虚拟网关或接口的 IP 地址,也可以为内网存在的 IP 地址。 F32、防火墙双机热备配置中,HRP 必须配置包括:(多选)A、启用 HRP 备份功能 hrp enableB、启用会话快速备份 hrp mirror session enableC、指定心跳口 hrp interface interface-type interface-numberD、抢占延迟时间 hrp preemp
13、t delay interval33、如何查看安全策略的匹配次数:A、display firewall session tableB、display security policy allC、display security policy countD、count security policy hit34、 ESP 报文在哪种封装模式下,可以实现对原 IP 头数据的机密性:A、传输模式B、隧道模式C、传输模式+隧道模式D、加密模式35、在 IP Sec VPN 配置中如果使用 pre-shared 方式验证,可以选择是否为对端配置秘钥,两边的秘钥必须一致- F36、关于终端安全系统的部署方式
14、描述错误的是:A、集中部署方式的主要特点是可以根据管理终端数目的多少,选择 SM、SC 、数据库等组件来安装在同一台服务器上B、终端相对集中在几个区域,而且区域之间的带宽比较小,建议采用分布式组网C、终端规模相当大时,可以考虑使用集中式部署组网,避免大量撞断访问终端服务器,占用大量的网络带宽D、分布式部署时,终端安全安全代理选择就近的控制服务器 SC,获得身份认证和准入控制等各项业务37、终端安全体系的五大要素不包括以下哪一项:A、身份认证B、业务隔离C、安全认证D、业务授权38、某企业在部署网络边界防火墙时,配置了 NAT Server 源 NAT,OSPF 路由和相关安全策略,数据到达该防
15、火墙时,防火墙的处理顺序为:A、OSPF 路由安全策略源 NATNAT ServerB、安全策略 源 NATNAT ServerOSPF 路由器C、源 NATOSPF 路由 安全策略NAT serverD、NAT Server OSPF 路由安全策略源 NAT39、以下哪个问题可以利用 IP sec-IKE 野蛮模式进行解决:(多选)A、隧道两端协商慢的问题B、协商过程中的安全性问题C、NAT 穿越问题D、发起者源地址不确定问题40、配置防火墙安全区域的安全级别时,描述错误的是:A、新建的安全区域,系统默认其安全级别为 1B、只能为自定义的安全区域设定安全级别C、安全级别一旦设定,不允许更改D
16、、同一系统中,两个安全区域不允许配置相同的安全级别41、关于 NAT 的说法正确的是:A、带端口转换的 NAT 可以通过配置 NAT 地址池来实现B、NAT 兼容目前所有的 IPsec 安全协议C、因为 FTP 协议是多通道协议,所以不支持 NATD、NAT 支持 TCP/IP 二、三、四层进行转换42、查看防火墙的 HRP 状态信息如下:HRP_SUSG_Bdisplay hrp stateThe firewalls config state is: StandbyCurrent state of virtual routers configured as standbyGigabitEth
17、ernet1/0/0 vrid 1:standbyGigabitEthernet1/0/1 vrid 2:standby以下描述正确的是:A、 此防火墙 VGMP 组状态为 ActiveB、 此防火墙 G1/0/0 和 G1/0/1 接口的 VRRP 组状态为 standbyC、 此防火墙的 HRP 心跳线接口为 G1/0/0 和 G1/0/1D、 此防火墙一定是出于抢占状态43、防火墙 IPS 策略的签名过滤器之间存在优先关系,在同一条 IPS 策略中,编号小的签名过滤器比编号大的签名过滤器的优先级高-F44、状态检测防火墙使用会话表来追踪激活的 TCP 会话和 UDP 会话,由防火墙安全策
18、略决定建立哪些会话,数据包只有与会话相关联时才会被转发-T45、关于 NAT 配置中“easy IP”的说法,下列描述正确的是:A、easy IP 不能再 pat 场景下B、配置 NAT 策略直接转换成出接口 IP 地址C、easy ip 用于目的地址转换的场景D、easy ip 可以与 address-group 同时使用46、 ASPF 技术使得防火墙能够支持如 FTP 等多通道协议,同时还可以对复杂的应用制订相应的安全策略-T47、反掩码和子网掩码格式相似,但取值含义不同,在反掩码中,1 表示对应的 IP 地址位需要比较,0 表示对应的 IP 地址位忽略比较-F48、下面关于 SSL 握
19、手协议各阶段中的内容描述哪个是错误的?A、客户端发送 client_Hello 消息,服务器端回应 Server_Hello 消息B、服务器端发送 Server_Hello 便等待客户端发送的消息C、服务器端收到服务器发送的一系列消息并消化后,发送 Client Key Exchange 等消息给服务器D、客户端和服务器各自发送 ChangeCipherSpec 和 finished 消息给对方49、在 USG 系列防火墙 Trust 区域视图下配置 add interface GigabitEthernet0/0/1 后,GigabitEthernet0/0/1 不在属于 Local 区域。
20、-F50、适合出差人员在公网环境下接入企业内网的 VPN 方式有:(多选)A、GRE VPNB、L2TP VPNC、SSL VPND、L2TP over Ipsec51、入侵防御系统技术特点包括:(多选)A、在线模拟B、实时阻断C、自学习及自适应D、直路部署52、 SVN 产品网络扩展功能中,需要实现用户只可以访问远端企业文内网,不能访问本地局域网和 Internet,需要使用的客户端路由方式为:A、全路由模式(Full Tunnel)B、分离模式(Split Tunnel)C、路由模式(Route Tunnel)D、手动模式(Manual Tunnel)53、 Web 重定向密码认证功能,只
21、有用户进行目的端口是 80 的 HTTP 业务访问时,系统才支持“重定向”到认证页面,进行会话认证。-F54、针对 MAC 地址欺骗攻击的描述错误的是:A、MAC 地址欺骗攻击主要利用了交换机 Mac 地址学习机制B、攻击者可以通过伪造的源 Mac 地址数据帧发送给交换机来实施 MAC 地址欺骗攻击C、MAC 地址欺骗攻击会造成交换机学习到错误的 MAC 地址与 IP 地址的映射关系D、MAC 地址欺骗攻击会导致交换机要发送到正确目的地址的数据被发送给了攻击者55、在 GRE 配置环境下,Tunnel 接口模式下,Destination 地址一般是指:A、本 Tunnel 接口 IP 地址B、
22、本端外网出口 IP 地址C、对端外网接口 IP 地址D、对 Tunnel 接口 IP 地址56、 SSL VPN 可以通过如下哪些方式对用户进行访问权限控制:(多选)A、IPB、MACC、PORTD、URL57、在 USG 系列防火墙中,使用非知名端口提供知名应用服务器时,可采用以下哪种技术:A、端口映射B、MAC 与 IP 地址绑定C、包过滤D、长连接58、以下哪个选项不属于 AH 可以实现的特性?A、抗防重放B、数据源认证C、机密性D、数据完整性检验59、比较典型的远端认证方式有:(多选)A、RADIUSB、LocalC、HWTACACSD、LLDP60、以下哪个选项不属于内网安全威胁?A
23、、存储介质滥用B、信息资产泄密C、未授权访问D、间谍软件61、 IKE 协议能够为 Ipsec 提供自动协商交换秘钥、建立安全联盟的服务器,以简化 Ipsec的使用和管理-T62、防火墙网关防病毒响应方式包括告警和阻断,其中告警方式设备只产生日志,不对HTTP 协议传输的文件进行处理就发送出去,阻断方式设备断开与 HTTP 服务器的连接并阻断文件,向客户推送 WEB 页面并产生日志-T63、 HRP(Huawei Redundancy Protocol)协议,用来将主防火墙关键配置和连接状态等数据向备防火墙上同步,以下哪个选项不属于同步的范围?A、安全策略B、NAT 策略C、黑名单D、IPS
24、签名集64、主动攻击最大特点是对信息进行侦听,以获取机密信息,而对数据的拥有者或合法用户来说对此类活动无法得知-F65、以下哪个选项属于非对称加密算法?A、RC4B、3DESC、AESD、DH66、如下安全策略的命令,代表的含义是:#Security-policyRule name rule1Source-zone trustDestination-zone untrustSource-address 10.1.0.0 0.0.255.255Service icmpAction deny#A、 禁止从 trust 区域访问 untrust 区域且目的地址为 10.1.10.10 主机的 ICM
25、P 报文B、 禁止从 trust 区域访问 untrust 区域且目的地址为 10.1.0.0/16 网段的所有主机 ICMP报文C、 禁止从 trust 区域访问 untrust 区域且源地址为 10.1.0.0/16 网段的所有主机 ICMP 报文D、 禁止从 trust 区域访问 untrust 区域且源地址为 10.2.10.10 主机来的所有主机 ICMP报文67、防火墙配置了 IPS 策略后,需要把该策略应用到域内或域间后 IPS 功能才生效。-T68、配置防火墙域间安全策略时,如果把 192.168.0.0/24 网段设置为匹配对象,则以下配置正确的是:(多选)A、rule na
26、me policy 1 source-address 192.168.0.0 mask 255.255.255.0B、rule name policy 1 source-address 192.168.0.0 255.255.255.0C、rule name policy 1 source-address 192.168.0.0 mask 0.0.0.255D、rule name policy 1 source-address 192.168.0.0 0.0.0.25569、非对称算法比对称算法加密强度更强,因为非对称算法秘钥长度更长-F70、在 USG 防火墙用户管理功能中 Web 重定向密
27、码认证功能,用户不主动进行认证,进行业务访问,设备推送“重定向”到认证页面-T71、包过滤防火墙的主要特点包括:(多选)A、随着 ACL 复杂度和长度的增加,防火墙过滤性能呈指数下降趋势B、静态的 ACL 规则难以使用动态的安全过滤要求C、不检查会话状态也不分析数据,这很容易让黑客蒙混过关D、能够完全控制网络信息的交换,控制会话过程,具有较高的安全性72、在防火墙转发流程中,会先进行安全配置文件的比对,在进行安全策略的检查-F73、以下哪些 SSL VPN 业务功能会使用到控件:(多选)A、Web 改写B、文件共享C、端口转发D、网络扩展74、 SSL VPN 中文件共享应用在使用过程需输入用
28、户名、密码和域信息,为了不想输入用户名密码,可以在文件共享服务器上设置权限-T75、 AH 可以提供以下哪些安全功能:(多选)A、数据源验证B、数据机密性C、数据完整性校验D、抗重放76、下列关于终端安全功能区域说法错误的是:A、认证前域是指客户端通过身份认证前所能访问的区域B、认证后域是指客户端通过安全认证后所能访问的区域C、隔离域是指客户端通过身份认证后所必须访问的区域D、隔离域是指客户端安全认证失败时所需访问的区域77、安全接入控制网关(Security Access Control Gateway,简称 SACG)的主要功能是控制终端的网络访问权限,对不同的用户和不同安全状况的用户开放
29、不同的权限-T78、终端安全准入控制可以支持以下哪些:(多选)A、硬件 SACG(硬件安全接入控制网关)B、802.1XC、ARP 控制D、软件 SACG(主机防火墙)79、 USG 防火墙支持的 NAT 功能包括:(多选)A、可以指定同一地址池中某一部分地址进行端口转换,另一部分地址不进行端口转换B、基于目的地址转换的 NAT ServerC、基于源地址转换的 NAT ServerD、配置源 NAT 时,可直接使用出接口地址作为转换后的地址80、 TCP/IP 协议栈数据包封装包括以下部分,封装顺序正确的是:1、DATA2、TCP/UDP3、MAC4、IP5、APPA、15423B、1423
30、5C、15243D、1523481、网络地址端口转换(NAPT)与仅转换网络地址(No-PAT)有什么区别:A、经过 NAPT 转换后,对于外网用户,所有报文都来自同一个 IP 地址或某几个 IP 地址B、No-PAT 只支持传输层的协议端口转换C、NAPT 只支持网络层的协议地址转换D、No-PAT 支持网络层的协议地址转换82、管理员希望创建 Web 配置管理员,并设 Https 设备管理端口号为 20000,且设置管理员为管理员级别,下面命令正确的是:A、Step 1:web-manager security enable port 20000Step 2:AAA View USGaaa
31、USG-aaamanager-user-client001USG-aaa-manager-client001service-type webUSG-aaa-manager-client001level 15USG-aaa-manager-client001password cipher Admin123B、Step 1: web-manager security enable port 20000Step 2:AAA View USGaaaUSG-aaamanager-user-client001USG-aaa-manager-client001service-type webUSG-aaa-
32、manager-client001password cipher Admin123C、Step 1:web-manager security enable port 20000Step 2:AAA View USGaaaUSG-aaamanager-user-client001USG-aaa-manager-client001service-type webUSG-aaa-manager-client001password cipher D、Step 1:web-manager security enable port 20000Step 2:AAA View USGaaaUSG-aaaman
33、ager-user-client001USG-aaa-manager-client001service-type webUSG-aaa-manager-client001level 1USG-aaa-manager-client001password cipher Admin12383、下列 TCP/IP 协议栈中的协议,工作在应用层的有:A、ARPB、IGMPC、TELNETD、ICMP84、 ESP 协议是下面那个选项?A、51B、50C、52D、4985、入侵检测的内容涵盖授权的和非授权的各种入侵行为,例如,违反安全策略行为、冒充其他用户、泄露系统资源、恶意行为、非法访问,以及授权者滥用
34、权力等。-T86、 USG 系列防火墙自定义安全域的安全级别可设置以下哪些值:(多选)A、150B、100C、80D、4087、进行源 NAT 配置时,再有 no-pat 配置参数的情况下,以下哪些说明是错误的:(多选)A、只进行源 IP 地址转换B、只进行目的 IP 地址转换C、同时进行源 IP 地址和端口转换D、进行目的 IP 地址和目的端口转换88、状态检查防火墙后续数据包(非首包)转发主要依据以下哪一项:A、Rout 表B、MAC 地址表C、Session 表D、FIB 表89、 USG 防火墙中用户认证的分类有:(多选)A、免认证B、密码认证C、单点登录D、指纹认证90、在防火墙域间安全策略中,以下哪一项的数据流不是 Outbound 方向:A、从 DMZ 区域到 Untrust 区域的数据流B、从 Trust 区域到 DMZ 区域的数据流C、从 Trust 区域到 Untrust 区域的数据流D、从 Trust 区域到 Local 区域的数据流91、在当前网络中依据部署了其他的身份认证系统,设备通过启用单点登录功能,减少用户重复输入密码。关于单点登录舒服正确的是:(多选)A、设备可以识别出经过这些身份认证系统认证通过的用户,用户上网时,设备将不推送认证页面,避免再次要求输入用户名/密码B、AD 域单点登录只有一种部署模式
