友情提示该题库在2026年考试中抽到仅仅百分之50,不过通过该题目了解网络安全信息还是停有必要的,祝各位顺利通过
1、NAT 的 NAT static 方式可以实现公网地址的复用,有效解决 ipv4 地址短缺的,上述说法
是()
A. 错误
B. 正确
答案:A
2、ACL(访问控制列表)的类型包括有()
A. 七层 ACL
B. 二层 ACL
C. 高级 ACL
D. 基本 ACL
答案: BCD
3、AAA 认证主要包括了什么()
A. 计费(Accounting)
B. 授权(Authonzation)
C. 认证(Authentization)
D. 接入(Access)
答案: ABC
4、以下关于 HWTACACS 协议与 RADIUS 协议说法正确的是()
A. HWTACACS 和 RADIUS 都支持对设备的配置命令进行授权使用
B. RADIUS 只对认证报文中的密码字段进行加密
C. HWTACACS 对报文主体全部进行加密
D. HWTACACS 采用 TCP 传输, RADIUSR 用 UDP
答案: BCD
5、H3c NGFW 的特征库包括以下哪些?
A. URL 分类特征库
B. ARP 特征库
C. 防病毒特征库
D. IPS 特征库
答案: ABCD
6、下列攻击手段中,不属于单包攻击的是()
A. UDPflood 攻击
B. WinNuke
C. Land 攻击
D. Smurf 攻击
答案: AC
7、IPsec 的优点有
A. 抗 DDoS(disributed deny of sevice)
B. 身份验证(data authentication)
C. 参数完整性(data integrity)
D. 数据机密性(Confidenttiality)
答案: BCD
8.L2TP 数据报文以()报文的形式发送,注册得端口号为()
A. UDP 1701
B. TCP 1701
C. UDP 1700
D. TCP 1700
答案: A
9、安全联盟 security association,通过以下哪些元素来唯一标识?
A. ip 目的地址
B. 安全协议号
C. IP 源地址
D. 安全参数索引(SPI)
答案: ABD
10、TCP\IP 协议定义了一个对等的开放性网络,针对该网络可能的攻击和破坏包括
A. 对硬件的破坏
B. 对软件的破坏
C. 对网络层,应用层协议的破坏
D. 对物理传输线路的破坏
答案: ABCD
11、H3c 防火墙缺省的安全域包括
A. DMZL
B. Management
C. untrust
D. local
E. trust
答案: ABCDE
12、NO-PAT 方式是指直接使用接口的公网 IP 地址作为转换后的源地址进行地址转换 上述
说法是
A. 错误
B. 正确
答案: A
13、NAT 的实现方式包括
A. easy IP 方式
B. Nat server 方式
C. PAT 方式
D. no-pat 方式
答案: ABCD
14、用户 AAA 授权方式包括什么?
A. 管理员授权
B. 远端授权
C. 本地授权
D. 不授权
答案: BCD
15、假设某企业总部和分支之间原采用物理专线连接的方式构建 Intranet 网络;现欲将总部
和分支都接入 Intranet ,在总部和分支间启用 VPN 随道,并保证数据在网络上传输的私密性,可选择() VPN 技术
A. PPTP
B. IPsec
C. GRE
D. L2tp
答案: B
16、pat 方式的 nat 主要对数据包的()信息进行转换
A. 应用层
B. 传输层
C. 网络层
D. 数据链路层
答案: BC
17、防火墙具有隐私内网网络结构,防止外部攻击源对内部服务器的攻击行为,称之为()
A. 攻击防范
B. 包过滤
C. NAT
D. 地址过滤
答案: C
18、IPSec 协议支持哪些封装模式
A. 隧道模式
B. 交换模式
C. 路由模式
D. 传输模式
答案: AD
19、网络上常见的安全威胁有哪些?
A. 漏洞攻击
B. 非法资源访问
C. ARP 攻击泛滥
D. DOS 攻击
E. 未授权资源访问
答案: ABCDE
20、下面关于 H3C ACG 的说话正确的有
A. ACG 产品支持微信认证,短信认证等功能
B. ACG 产品支持旁路部署,在系统管理部署方式处将接收流量的接口打钩,并将流量镜像到该接口
C. ACG 产品不支持 VRG 功能,因此无法可作为 MCE 设备和 MPLS 网络对接
D. ACG 的 DFI 主要用来是被应用的静态报文特征,DPI 主要用来识别应用的动态流量特征
答案: AB
21、关于 H3C 防火墙的安全域,以下说法正确的有
A. 防火墙无安全区域优先级的概念
B. 不同安全区域优先级一定不一样
C. 防火墙自身所有接口都属于 local 区域
D. 防火墙有五个安全区域,management、local、trust、untrust、DMZ
答案: CD
22、防范 SYIN Flood 攻击的常见手段是连接限制技术和连接代理技术,其中连接代理技术是
指对 TCP 连接速率进行检测, 通过设置检查阈值来发现并阻断攻击流量,上述说法是
A. 错误
B. 正确
答案: A
23、一般来说,以下哪些功能是由 NGFW 防火墙来实现的
A. 监控网络中回话状态
B. 隔离内网与外网
C. 防止内网被篡改
D. 隔离可信任网络和不可信网络
答案: ABD
24、关于 H3C 防火墙,下列说法正确的是
A. 防火墙的安全策略只能在 Web 页面下配置.
B. 防火墙只能通过命令行方式升级版本
C. 防火境的默认登录 IP 地址是 192.168.0.1
D. 防火墙通过 WEB 登录的默认用户名/密码是:admin/admin
答案: CD
25、NAt 的 easy IP 方式可以实现公网地址的复用,有效解决 IPv4 地址短缺的。上述说法是
A. 错误
B. 正确
答案: B
26、对于 H3C 防火墙来说,如果不将物理接口添加到某一安全域中,则该接口不能正常收发报文
A. 错误
B. 正确
答案: B
27、下列关于应用审计配置说法错误的是
A. URL 审计分为预定义 URL 和自定义 URL 两部分
B. 旁路部署时做全部应用的升级,镜像流量不需做处理动作
C. 日志级别默认为“不记录”仍然可以在日志查询里查到相关日志信息
D. 在“审计行为内容”里可以配置某个 APP 做的相应动作
答案: C
28、防火墙的工作模式包括
A. 交叉模式
B. 混合模式
C. 路由模式
D. 透明模式
答案: BCD
29、下列哪一种防火墙运行时速度最慢,并且运行在 OSI 模型中的最高层
A. 包过滤防火墙
B. 状态防火墙
C. 应用代理防火墙
D. SMB 防火墙
答案: C
30、H3c SecPath 防火墙的默认域间访问控制策略是
A. 所有区域都可以访问 local 区域
B. 属于同一个安全域的各个接口之间的报文可以互访
C. 未划分到安全域的接口之间的报文会被丢弃
D. 安全域间的报文默认丢弃,包括同域之间
答案: CD
31、下列关于对于 NGFW 防火墙的功能描述,不正确的是单选
A. 防火墙能够防网页被篡改
B. 防火墙能够限制网络访问
C. 防火墙能够产生审计日志
D. 防火墙能够执行安全策略
答案: A
32、在 UDP 端口扫描中,对主机端口是否开放的判断依据是
A. 根据被扫描主机开放端口放回的信息判断
B. 根据被扫描主机关闭端口返回的信息判断
C. 既不根据 A 也不根据 B
D. 综合考虑 A 和 B 的情况进行判断
答案: B
33、H3c NGFW 的 DPI 功能说法正确的有
A. ARP 功能可以实现对报文所属应用程序的识别
B. 如果报文与黑名单匹配成功,则会直接丢弃,不进行其他检测口
C. 无法深度识别到报文所属的应用程序口
D. 业务流匹配安全策略后会进行 DPI 的检测
答案: ABD
34、如果在 IP 网络中使用 GRE 协议在承载 IPX 协议,则报文的封装过程为
A. 链路层 协议->IPX>GRE>IP
B. 链路层 协议->GRE>IPX>IP
C. 链路层 协议->IP>GRE>IPX
D. 链路层 协议->GRE>IP>IPX
答案: C
35、IPSec 是在 IETF 制定的保证在 IP 网络上传送数据的安全保密性的三层安全协议体。IPSec协议族包含
A. PPP
B. ESP
C. AH
D. PKL
答案: BC
36、下面列举那些不属于 AAA 认证
A. 授权(authorzation)
B. 控制(ACL)
C. 认证(authentication)
D. 接入(Access)
答案: BD
37、工程师小 L 在调试 SecPath F1020 设备是,把缺省的 G1/0/0 当成内网口 Trust,G1/0/0 接口配置成 untrust 区域当成外网口,此时内网用户是否可以正常上网
A. 不能
B. 能
答案: A
38、防火墙缺省存在 local、trust、DMZ、Management、untrust,并上述缺省安全域不能被
删除,以上说法是
A. 错误
B. 正确
答案: B
39、IPSec 支持哪些秘钥协商模式?
A. DPD 方式
B. IKE 自动协商方式
C. 模板方式
D. 手工配置方式
答案: BD
40、根据防火墙的技术演进特征,可以分为
A. 包过滤防火墙
B. 状态防火墙
C. 应用代理防火墙
D. 电信级防火墙
答案: ABC
41、下列那一项没有涉及到密码技术
A. SSH
B. SSL
C. GRE
D. IPSec/IKE
答案: C
42、H3c 负载均衡交换机目前可以支持四层负载均衡,但不支持七层负载均衡
A. 正确
B. 错误
答案: B
43、负载均衡支持的算法包括:轮询,加权轮询,最少连接,加权最少连接,随机,加权随
机,原地址 HASH 等算法。
A. 最少连接
B. 预测模式
C. 轮询
D. 目标地址散列
答案: ABCD
44、H3C 负载均衡交换机提供了全面的健康检测算法,负载均衡调度算法以及会话保持功能,
可以根据应用场景进行灵活的选择,从而达到最优的负载均衡效果,下面关于 H3C 负载均衡交换机描述不正确的是:
A. 可以提供基于源地址/端口, HITTP 头信息, SSLID,HTTP Cookie 信息的会话保持
B. 负戴均衡调度功能和会话保持功能不能同时启动
C. 可以提供基于 ICMP , TCP , HTTP , VFTP ,QSSL92 DNS 等健康检测算法;
D. 可以提供基于轮询,最小连接,最小响应时间,加权方式,源/目的地址 Hash 等负载均衡调度算法。
答案: B
45、H3C 目前已经推出一系列高性能负载均衡交换机,可以应用在网络的各个节点,不面哪些
交换机系列支持负载
均衡功能?
A. S9500E
B. S7500E
C. S12500
D. S5800
答案: ABC
46、关于 VPN,下述哪个说法是正确的?
A. 包转发率不是 VPN 网关的关键性能指标;
B. 接口数是 VPN 网关的关键性能指标;
C. 加密吞吐量是 VPN 网关的关键性能指标;
D. 最大并发隧道数是 VPN 网关的关键性能指标。
答案: CD
47、以下哪些防火墙不支持 SSL VPN 功能?
A. F1000-S
B. U200-A
C. V100-S
D. v100-E
答案: C
48、下面那个用户可能存在 VPN 应用需求?
A. 某大型网吧,提供高达千北的 Intermet 接入以及多达台的主机,需要对上网用户进行有效
的计费,对用户上网行为进行有效的管理;
B. 大型制造企业,内部建设覆盖整个厂区的局域网,有统一的intemet出口,企业内部已经启动
ERP,系统,应用完善,每天有大量的销售人员出差
C. 大型连锁机构,某品牌汽车 4S 店,总部设在上海,在全国省会额以上城市都有连锁店面,每
天销售数据和财务信息需要向总部汇总;
D. 某省级政府机构,在全省县级以及县级以上分布有专属分支机构,已经通过,线相互连接,正
在考虑一种经济有效的方式实现专线线路备份。
答案: BCD
49、F100-E 固定 4 个 GE 接口,一个扩展槽,支持 SSL VPN 模块。
A. 正确
B. 错误
答案: B
50、通过哪个工具可以简化 IPSec VPN 的配置?
A. VPN Manager
B. VMS
C. SMS
D. XLOG
答案: A
51、SSL VPN 同 IPSec 相比的优势是
A. 采用 B/S 架构,不需要进行客户端的安装和维护;
B. 可以进一步控制 VPN 内数据的访问,进行细粒度访问控制
C. 可以定制登录界面,实现个性化配置;
D. 实现数据加密
答案: ABC
52、以下哪个场景不存在 VPN 的需求?
A. 大型企业园区互联
B. 出差员工移动办公
C. 超市/门店/卖场的联网
D. 加油站/收费站的联网
答案: A
53、下面哪个不是 VPN 技术中用到的加密算法
A. DES
B. 3DES
C. AES
D. RIP/RIP2
答案: D
54、关于 VPN,下述哪个说法是不正确的?
A. 包转发是 VPN 网关的关键性能指标;
B. 接口数是 VPN 网关的关键性能指标;
C. 加密吞吐量是 VPN 网关的关键性能指标;
D. 最大并发隧道数是 VPN 网关的关键性能指标。
答案: B
55、VPN Manager 的两大核心作用是?
A. VPN 部署
B. VPN 监控
C. VPN 备份
D. VPN 加速
答案: AB
56、VPN 组网和专线相比的优点包括以下哪几个?
A. 性价比高
B. 组网灵活
C. 扩范性好
D. 性能优异
答案: ABCD
57、下述哪个是 H3C 专有的 VPN 技术
A. IPSec VPN
B. GRE VPN
C. 动态 VPN
D. MPLS VPN
答案: C
58、下面哪些是 H3C SecPath 系列 VPN 产品的功能特点?
A. 支持和 RSA 公司动态口令卡的集成,保证口令安全
B. 支持 IPSec VPN 的 NAT 穿越,可以灵活组网
C. 支持 DVPN (动态 VPN )技术,降低配置难度
D. VPN mananger 实现 VPN 业务集中管理
答案: BCD
59、下述哪些是典型的 VPN 部署模式?
A. 分支机构与总部连接
B. 移动用户接入总部网络
C. 作为域线路的备份线路
D. 局域网內建立加密通道
答案: ABCD
60、下面哪个说法是错误的?
A. VPN 可以专线线路的备份,但是缺点在于组网复杂,而且价格昂贵
B. 相对于 PSTN 拨号接入, VPN 接入方式可以提供更高的性能,而且安全性高
C. 防火墙的一个功能特性是防止某些基于 2 层/3 层网络协议的网络层攻击
D. 防火墙可以提供路由交换、地址转换( NAT )、身份认证等多种功能
答案: A
61、H3c SecPath 系列 VPN 产品有哪 2 款?
A. V100-s
B. V1000-A
C. V2000
D. V3000
答案: AB
62、H3C SecPath 系列防火墙和 VPN 产品中,哪款不支持 SSL VPN 功能?
A. F1000-A
B. F1000-S
C. F100-S
D. F100-E
答案: D
63、SecPath SSL VPN 系列网关是 H3C 公司开发的新一代专业安全产品,具有丰富的功能,如:
A. 完善的防火墙功能,支持外部攻击防范、内网安全、流里监控、邮件过滤、网页过滤、应
用层过滤等功能
B. 强大的路由能力
C. 提供多种智能分析和管理手段
D. 支持丰富的 QoS 特性
答案: ACD
64、SSL VPN 是解决远程用户访问敏感公司数据最简单最安全的解决技术。要使用 SSL VPN ,
需安装哪个软件?
A. 客户端软件
B. 浏览器
C. 防火墙
D. 防病毒
答案: B
65、衡量 VPN 的性能,主要有以下哪些指标?
A. 最大并发连接数
B. 加密性能
C. 每秒新建连接数
D. 最大并发隧道数
答案: ABCD
66、SSL VPN 支持哪些接入方式?
A. Web
B. TCP
C. IP
D. 以上都是
答案: D
67、H3C 可提供的 VPN 解决方案包括哪些?
A. IPSec VPN 决案
B. DVPN 解决方案
C. SSL VPN 解决方案
D. 思科 VPN
答案: ABC
68、SSL VPN 主要可以解决:
A. 适应各种网络条件下的安全接入
B. 无法忍受 VPN 客户端损坏和网关配置修改后不能访问
C. 细粒度访问控制
D. 以上全是
答案: D
69、SSL VPN 的安全性体现在
A. 传输加密
B. 身份认证
C. 权限管理
D. 防病毒
答案: ABCD
70、以下属于块加密算法的是:
A. SHA-1
B. MD5
C. DES
D. RC4
答案: C
71、L2TP 建立隧道时使用的消息有
A. SCCRQ ( Session.Contol-connecting-Request)
B. SCCRP Session-Control-Connecting-Reply )
C. ICRP Incoming-Call-Reply)
D. IORO incoming-Call-Request )
答案: AB
72、关于 AH、ESP 的传输和隧道模式,下列描述正确的:
A. 在传输模式下, AH 协议验证 IP 报文的数据部分和 IP 报头中的不变部分
B. 在隧道模式下, AH 协议验证全部的原始 IP 报文和封装后新 IP 头中的不变部分
C. 在传输模式下, ESP 协议对 IP 报文的有效数据进行加密(可附加验证)
D. 在隧道模式下,ESP 协议对整个原始 IP 报文进行加密(可附加验证)
答案: ABCD
73、关于 IPSec 和 IKE 的配置,下列描述错误的是:
A. IKE 的密钥协商模式包括主模式和野蛮模式
B. IKE 认证方式包括预共享密钥和证书认证
C. NAT 穿越功能只能与野蛮模式配合使用
D. 配置 IPSec 安全策略只能使用策略模板方式
答案: CD
74、关于 IPSec 和 IKE ,下列说法中正确的是:
A. IPSec 有两种协商方式建立安全联盟,一种手工方式(manual)一种 IKE 自动协商( isakmp )方式
B. IKE 野蛮模式可以选择根据协商发起端的 IP 地址或者 ID,来查找对应的身份验证字并最终完成协商
C. NAT 穿越功能删去了 IKE 协商过程中对 UDR 端口号的验证过程,同时实现了对 VPN 隧道中INAT 网关设备发现功能,即如果发现了 NAT 网设备,则将在完后的 IPSee 数据传输中使用 UDP 封装
D. IKE 的 cookie 机制在一定程度上保护系统不受 DOS 攻击
答案: ABCD
75、在 L2TP 报文协商过程中, 进行 IP 地址分配工作是在以下哪个阶段?
A. Establish (链路建立)阶段
B. LCP 协商阶段
C. CHAP 或 PAP 验证阶段
D. 网络协商(NCP)阶段
答案: D
76、AH 和 ESP 的协议号分别是:
A. 51,50
B. 50,51
C. 17,47
D. 47,17
答案: A
77、GRE VPN 配置任务包括。
A. 创建虚拟 Tunnel 接口
B. 指定 Tunnel 接口的源端
C. 指定 Tunnel 接口的目的端
D. 设置 Tunnel 口的网络地址
答案: ABCD
78、IPSec 的加密和认证过程中所使用的密钥可以由()协议来自动生成和分发
A. ESP
B. IKE
C. SPI
D. AH
答案: B
79、在 L2TP 组网中, LNS 侧对用户的验证方式有三种,代理验证、强制验证和 LCP 重协商。其中优先级最高的是
A. 代理验证
B. 强制СНАР验证
C. LCP 重协商
D. 都相同
答案: C
80、以下关于 L2TP 的描述正确的是
A. L2TP 隧道传输 PPPoE 报文
B. 与 PPP 协议配合, L2TP 协议支持隧道认证和报文计费功能
C. 与 PPP 协议配合, L2TP 协议支持 IP 地址动态分配
D. L2TP 协议不支持报文加密
答案:BCD
81、下列关于 L2TP 的说法正确的有:
A. 用户的远程系统可以通过一个远程接入方式接入到运营商的 LAC 中,由 LAC 对 LNS 发起L2tp 隧道并建立会话
B. 当用户的远程系统使用 VPDN 客户端软件对 LNS 发起 L2tp 隧道并建立会话时,隧道直接建立在客户端和 LNS 之间,此时 L2tp 系统不存在 LAC
C. L2tp 隧道存在于一对 LAC 与 LNS 之间。一个隧道内包括一个控制连接( Control
Connection)一个隧道内只支持一个会话
D. L2tp 是面向连接的,可以为其传送的信息提供一定的可靠性。LAC 维护远程系统对其发起
的呼叫状态和信息。一对 LAC 和 LNS 也同时维护在两者之间的相应信息和状态
答案: ABD
82、GRE 协议的协议号是:
A. 50
B. 51
C. 47
D. 48
答案: C
83、L2TP 会话的建立是通过()完成的
A. TCP 报文的 3 次握手
B. UDP 报文的 3 次握手
C. TCP 报文的 4 次握手
D. UDP 报文的 4 次握手
答案: B
84、L2TP 建立会话时使用的消息有;
A. SCCRQ ( Session-Control-Connecting-Request )
B. SCCRP (Session-Control-Connecting-Reply )
C. ICRQ( incoming-Call-Request )
D. ICRP (Incoming-Call-Reply )
答案: CD
85、L2TP 建立过程中 PPP 链路协商不成功,可能的导致原因包括:
A. LAC 端设置的用户名或者密码有误
B. LNS 端没有设相应的用户
C. LNS 端没有设置地址池
D. LAC 和 LNS 端配置的密码验证类型不一致
答案: ABCD
- 下面有关 L2TP 配置说法正确的有;
A. 可以配置完整的用户名或者特定的域名作为触发 L2TP 发起连接的条件
B. 当使用 ip pool 命令给对端分配地址时,应确保 ip pool 地址池里的地址和虚模板接口地址在同一网段内
C. 当 L2TP group 组号为 0,且不指定通道对端名 remote-name 时,发起 L2TP 连接时,忽略对端用户名
D. L2TP 默认配置情况下启用了隧道验证,且验证密码为空
答案: BD
87、L2TP 协议主要操作包括:
A. 建立控制连接
B. 建立会话
C. 转发 PPP 帧
D. Keepalive
E. 关闭会话
F. 关闭控制连接
答案: ABCDEF
88、H3C SecPath SSL VPN 提供的 FCP 资源包括哪些?
A. 远程访问服务
B. 桌面共享
C. 电子邮件
D. Notes 服务
E. TCP 服务
答案: ABCDE
89、H3C SecPath SSL VPN 产品所支持的主机检查内容包括
A. 操作系统类型、版本和补丁
B. 浏览器类型和版本
C. 防火墙软件的类型、版本和补丁
D. 杀毒软件的类型版本和病毒库版本
答案: ABCD
90、一个完整的 SSL VPN 全握手过程包括:
A. 协商 SSL 协议版
B. 协商加密套
C. 协商密钥参数
D. 通信双方的身份
E. 建立 SSL 连接
答案: ABCDE
91、下列 VPN 中,能单独提供数据加密持性的有:
A. L2TP VPN
B. IPSec VPNE
C. SSL VPN
D. GRE VPN
答案: BC
92、下列关于 SSL VPN 的说法,正确的是:
A. SSL VPN 支持对客户端身份的验证
B. SSLVPN 支持双因子认证
C. SSL VPN 可以保证传输数据的完整性
D. SSL VPN 可以对传输的数据进行加密
答案: ABCD
93、在 SSL VPN 技术中,下列哪些算法可以保证数据传输的完整性?
A. DES
B. MD5
C. SHA-1
D. 3DES
答案: BC
94、H3C SSL VPN 的权限管理体系分为:
A. 静态授权
B. 远程授权
C. 动态授权
D. 本地授权
答案: AC
95、为了实现对用户的访问控制, SSL VPN 需要对用户的身份进行验证, H3C SecPath VPN 产品支持的认证方式包括:
A. 本地认证
B. Radius 认证
C. Ldap 认证
D. AD 认证
答案: ABCD
96、关于 H3C SSL VPN 的 TCP 接入方式,下列说法正确的是:
A. TCP 接入比较适合使用固定 IP 地址和端口的 TCP 应用
B. TCP 接入可以支持任何协议的网络应用
C. TCP 接入只能访问 WEB 类资源 testpau
D. TCP 接入需要在客户端自动下载,安装一个 VPN 客户端程序
答案: AD
97、H3C SSL VPN 产品的主要功能包括:
A. 远程接入
B. 身份认证
C. 联机检查
D. 权限管理
E. 缓存清除
答案: ABCDE
98、SSL VPN 有哪些接入方式?
A. WEB 接入
B. TCP 接入
C. UDP 接入
D. IP 接入
答案: ABD
99、网络安全的研究内容包过
A. 软件安全
B. 内容安全
C. 互联网与电信安全
D. 工业网络安全
答案: ABCD
100、基本 NAT 方式是指直接使用接口的公网 IP 地址作为转换后的源地址进行转换,上述说法是
A. 正确
B. 错误
答案: B
- 关于 H3C SecPath U200-S 产品的安全区域,以下说法正确的有:
A. 防火墙默认有五个安全区域:Management、Local 、Trust、untrust、DMZ
B. 防火墙自身所有接口都属于 Local 区域
C. 不同安全域的优先级一定不一样
D. Management 和 Local 区域的默认优先级都是 100
答案: ABD
102、查看 SecPath 防火墙会话的命令是()
A. display firewall session table
B. display firewall session
C. display session table
D. display aspf session
答案: C
103、SecPath IPS 设备的管理口仅支持同网段管理端 PC 访问,当管理端 PC 的地址与设备管理地址不在同一网段时, 无法对设备进行 Web 管理,以上说法是:
A. 正确
B. 错误
答案: B
104、关于 IPS 攻击防御策略的下发,下列说法正确的有:
A. 策略可以基于不同的 IP 地址(段)下发
B. 策略可以基于时间下发
C. 策略可以根据用户的具体应用来制定相应的攻击防护策略下发
D. 策略下发启,必须应用到段上,并且激活才能生效
答案: ACD
105、以下哪个病毒可以破坏计算机硬件?
A. CIH 病毒
B. 宏病毒
C. 冲击波病毒
D. 熊猫烧香病毒
答案: A
106、安全概念在所属的各个领域有着不同的含义,那么网络安全应属于
A. 经济安全领域
B. 信息安全领域
C. 生成安全领域
D. 国家安全领域
答案: B
107、信息安全的目标是实现:
A. 机密性
B. 完整性
C. 可用性
D. 可控性
E. 可审计性
答案: ABCDE
108、IIS( Internet Security Systems)公司提出的 PDR 安全模型包括哪三个方面?
A. 响应
B. 设计
C. 保护
D. 检测
答案: ACD
109、信息安全策略是特定应用环境中,为确保一定级别的安全保护所必须遵守的规则。而安
全策略建立模型主要包括
A. 先进的技术
B. 相关法律法规
C. 管理审计制度
D. 先例与经验
答案: ABC
110、信息对抗主要的研究方向包括:
A. 黑客攻击防范
B. 入侵检测
C. 系统安全性分析与评估
D. 信息隐藏算法与匿名技术
答案: ABC
111、下列关于 H3C SecPath ACG 流控产品带宽管理技术描述中,正确的是()
A. 接口:通常是指一个物理接口,与路由器或者交换机的网络接口相似
B. 通道带宽:通常将一个接口或者段的出方向带宽划分为个通道,每个通道都可以分配不同的平均带宽或者峰值带宽
C. 段:一个段可以理解为一条物理链路或者多条物理链路,是一个虚拟抽象的概念
D. 安全区域:多个物理接口的集合,是一个虚拟概念通常牙为,内部域”和"外部域
答案: ABCD
112、下列选项中,属于深度安全防卸技术的是()
A. 状态监测
B. 应用识别
C. 内容识别
D. 威胁识别
答案: BCD
113、常见的内网用户行为监管应包括
A. 内网 Web 应用的审计
B. 内网网络共享应用的审计
C. 内网 QQ,MSN 应用的审计
D. 内网 FTP 应用的审计
答案: ACD
114、H3C SecPath U200-S 支持的行为审计协议包括()
A. FTP
B. HTTP
C. SMTP
D. Telnet
答案: ABC
115、下列网络应用程序中,可能会造成带宽大量占用的应用包括
A. 迅雷
B. PPlive
C. Bit Torrent
D. MSN
答案: ABC
116、常见的行为识别技术包括:
A. 基于端口的识别,主要应用子使用固定端口进行通信的引用,例如,HTTP、 FTP
B. 基于行为特征的识别,主要是基于部分应用的数据流里和其它流量在行为特征上的差异来
进行
C. IP 地址的识,,至要是对某些使用固定 IP 地址的业务进行识别
D. 基于负载信息的识别,主要是基于部分协议在负载中含有,议特征字符串来完成识别
答案: ABD
117、行为识别主要有三种方法,分别是
A. 基于负载信息的识别
B. 基于协议的识别
C. 基于端口的识别
D. 基于行为特征的识别
答案: ACD
118、安全的含义包过
A. Security(安全)
B. Safety(可靠)
C. Security(安全)和 safety(可靠)
D. risk(风险)
答案: C
119、在 TCP 连接的三次握手过程中,第一步是由发起端发送
A. SYN 包
B. SCK 包
C. UDP 包
D. NULL 包
答案: A
120、现在各种 P2P 应用软件层出不穷,P2P 流量的识别也必须采用多种方法写作进行,以上说法是
A. 正确
B. 错误
答案: A
121、关于包过滤技术的描述,下列说法错误的是:单选
A. H3C UTM 产品默认开启了包过滤功能
B. 用户并不知道报文是否被过滤,也就是说包过滤对用户端是透明的
C. 包过滤技术主要是根据报文中的 IP 头信息来进行过滤
D. 包过滤技术可以根据报文中的应用层信息进行过滤
答案: D
122、从管理和控制上来区分,主流的带宽管理技术包括:
A. 基于段的带宽管理技术
B. 基于用启 IP 地址的带宽管理技术
C. 基于应用协议的带宽管理技术
D. 基于 MAC 地址的带宽管理技术
答案: ABC
123、防火墙主要工作在网络的 3-4 层,其访问控制规则可以基于报文的五元组进行定义。下列元素中,哪些是五元组的组成部分?
A. 源端口
B. 目的端口
C. 源地址
D. 协议
E. 目的地址
F. 载荷
答案: ABCDE
124、下面哪一个协议工作在 TCP/IP 协议栈的传输层以下?
A. SKIP
B. SSL
C. HTTPS
D. SSH
答案: A
125、黑名单表项可以手工添加,也可以有防火墙动态生成,上述说法是:
A. 正确
B. 错误
答案: A
126、常见的安全域划分方式有:
A. 按照接口划分
B. 按照业务划分
C. 按照规则划分
D. 按照 IP 地址划分
答案: AD
说明/参考: (单选A,多选AD)
127、在企业的内部信息平台中,存在的信息泄露的途径包括:
A. 可移动存储介质
B. 打印机
C. 内部网络共享
D. 公司对外的 FTP 服务器
答案: ABCD
128、随着网络技术的不断发展,防火墙也在完成自己的更新换代,防火墙所经历的技术演进
包括有:
A. 包过滤防火墙
B. 应用代理防
C. Dos 防火墙
D. 状态检测防火墙
答案: ABD
129、下述哪些攻击手段是防火墙无法防御的?
A. Smurf
B. 跨站脚本攻击
C. 畸形报文攻击
D. 后门木马
E. WinNuke 攻击
答案: BD
130、永久黑名单表项建立后,会一直存在,直到超过一定生存时间后防火墙会自动将该黑名
单表项删除,上述说法是
A. 正确
B. 错误
答案: B
131、当防火墙接收到包含 URL 参数的 HTTP 请求报文时,根据 Web 传输参数方式,从报文中获取 URL 参数,目前防火墙支持的 Web 传输参数有:
A. PUT
B. GET
C. PUSH
D. POST
答案: BD
132、ARP 协议报文包括有 ARP 请求和 ARP 应答报文
A. 错误
B. 正确
答案: B
133、SMTP 协议使用的端口号是
A. 21
B. 25
C. 110
D. 22
答案: B
134、使用防火墙 Web 过滤功能,可以组织或者允许内部用户访问某些特定网页
A. 正确
B. 错误
答案: A
135、H3C UTM 从高优先级域到低优先级域是允许访问的,但是反之不行,上述说法:
A. 正确
B. 错误
答案: B
136、防火墙的策略一般是应用在安全域之间的,而 IPS/AV 策略一般应用在某个段上。
A. 正确
B. 错误
答案: A
137、下列攻击中,属于 Dos 拒绝服务玫击的是:
A. SYN Flood
B. ICMP Flood
C. WinNuke 攻击
D. UDPFlood
答案: ABCD
138、根据由加密密钥得到解密密钥的算法复杂度差异,密码体制可以分为
A. 私钥密码体制
B. 公钥密码体制
C. 流密码
D. 分组密码
答案: AB
139、防火墙能够防御的攻击包括:
A. 畸形报文攻击
B. DoS/DDOS
C. 扫描窥探攻击
D. 病毒木马
答案: ABC
140、以下关于 DoS 攻击的描述,正确的是?
A. 攻击者通过后门程序来入受攻击的系统
B. 攻击者以窃取目标系统上的机密信息为目的
C. 攻击行为会导致目标系统无法处理正常用户的请求
D. 如果目标系统没有漏洞,远程攻击就不可能成功
答案: C
141、H3C SecPath 设备中, ACL 主要应用于
A. Qos 中,对数据流里进行分类
B. IPSec 中 用来规定触发建立 IPSec 的条件
C. NAT 中,限制哪些地址需要被转换
D. 域间访问,控制不同区域间的互访
E. 策略路由
答案: ABCDE
142、SecPath 防火墙中,下面哪些接口必须加入到区域中才能转发数据?
A. Loopback 接口
B. 物理接口
C. Vitual-Template 接口 ( )
D. Encrypt 接口
E. Tunnel 接口
F. Dialer 接口
G. Bridge Templatei 接口
H. Vlan Interface 接口
答案: BCDEFGH
143、H3C SecPath 防火墙中,配置 IP 地址资源的方式有哪些?
A. 主机地址
B. 范围地址
C. 子网地址
D. 网站域名
答案: ABCD
144、H3C SecPath 防火墙中,下面哪些攻击必须和动态黑名单组合使用?
A. WinNuke 攻击
B. Land 扫描攻击
C. 地址扫描攻击
D. Smurf 攻击
E. 端口扫描攻击
答案: CE
145、关于 SecPath 防火墙,下列说法正确的是口
A. 防火墙只能通过命令行方式升级版本
B. 防火墙通过 WEB 登录的默认用户名/密码是 h3c/h3c
C. 防水墙的默认登录 IP 地址是 192.168.0.1
D. 防火墙的域间策略只能再 Web 页面下配
答案: C
146、H3C SecPath 防火墙 Web 网站过滤具有哪些功能?
A. 网站地址过滤
B. URL 参数
C. JAVA 阻断
D. ActiveX 阻断
答案: ABCD
147、IPS (入侵防御系统)是一种基()的产品,它对攻击识别是基于()匹配的
A. 应用层,特征库
B. 网络层,协议
C. 应用层,协议
D. 网络层,特征库
答案: A
148、下列关于对防火墙的功能描述,不正确的是
A. 防火墙能够执行安全策略
B. 防火墙能够产生审计日志
C. 防火墙能够限制组织安全状况的暴露
D. 防火墙能够防病毒
答案: D
149、SecPath F1000-E 防火墙 Inline 转发是依据 Mac 地址表完成的,上述说法是?
A. 正确
B. 错误
答案: B
150、防火墙的 DMZ 区的主要用途是(
A. 解决公共设备如服务器防止
B. 解决军事侵犯
C. 解决防火墙区域划分不够
答案: A
151、SecPath 防火墙缺省开启黑名单功能。
A. 正确
B. 错误
答案: B
152、一般来说,以下哪些功能不是由防火墙来实现的.
A. 隔离可信任网络和不可信网络
B. 防止病毒和木马程序入侵
C. 隔离内网和外网
D. 监控网络中会话状态
答案: B
153、在防火墙应用中,一台需要与互联网通信的 Web 服务器放置在以下哪个区域时最安全?
A. DMZ 区域
B. Trust 区域
C. Local 区域
D. Untrust 区域
答案: A
154、由于新的漏洞、新的攻击工具、攻击方式的不断出现, IPS 只有不断的更新特征库才能
对网络、系统和业务的有效防御,下面关于 IPS 的特征:
A. H3C PS 升级持征库后需要重启设备才能是生效
B. H3C IPS 特征库升级有手动升级和自动升级两种
C. H3C IPS 只支持手动升级特征库
D. 用户可以 H3C 网站上自助进行 License 激活申请
答案: D
155、关于 ACG1000 智能和快速识别切换功能,下列说法正确的是:
A. 智能模式下应用识别只对 50%流量生效,起到减轻设备性能压力的作用,在业务繁忙时可以使用
B. 快速模式下应用识别只对 80%流里生效,起到减轻设备性能压力的作用,在业务繁忙时可
以使用
C. 快速模式下应用识别只对 50%流里生效,起到减轻设备性能压力的作用,在业务繁忙时可
以使用
D. 系统默认智能模式
答案: CD
156、ACG1000 产品不支持 VRF 功能,因此无法可作为 MCE 设备和 MPLS 网络对接
A. 对
B. 错
答案: B
157、ACG1000 产品支持旁路部署,在系统管理-部署方式处将接收流量的接口打钩,并将流里
镜像到该接口即可完成旁路部署
A. 对
B. 错
答案: A
158、H3C NGFW 的 NAT 特性支持下列哪些功能
A. NAT PAT
B. NAT-NOPAT
C. Easy-IP
D. NAT Server
E. NAT444
F. NAT Static
G. NAT hairpin
答案: ABCDEFG
159、L2TP 数据报文以报文的形式发送,注册的端口号为
A. UDP, 1700
B. TCР, 1700
C. TCP,1701
D. UDP,1701
答案: D
160、下列哪些协议属于二层隧道协议
A. L2TP
B. GRE
C. IPSec
D. PPTP
答案: AD
- IPSec 协议族包含协议
A. PKI
B. AH
C. ESP
D. PPP
答案: BC
162、IPSec 协议支持哪些封装模式
A. 交换模式
B. 路由模式
C. 传输模式
D. 隧道模式
E. 桥模式
答案: CD
163、防火墙不能实现哪些功能?
A. 不能实现 web 防篡改
答案: A
164、关于 SSL VPN 的三种接入方式,下列说法正确的是。
A. WEB 方式实现的真正的“免客户端”,主要适合于访问 WEB 站点
B. TCP 接入比较适谷使用固定 IP 地址和端口的 TCP 应用
C. IP 接入可以支持任何基于 IP 协议的网络应用
D. Telnet 服务器跃可以通过 TCP 接入又可以通过 IP 接入
答案: ABCD
165、根据防火墙的技术的演进特性,可以分为
A. 电信级防火墙
B. SMB 应用代理防火墙
C. 状态防火墙;
D. 包过滤防火墙
答案: BCD
166、基本 NAT 方式是指直接使用接口的公网 IP 地址作为转换后的源地址进行地址转换。上述说法是( )-
A. 正确
B. 错误
答案: B
167、防火墙具有隐藏私网内部网络结构,防止外部攻击源对内部服务器的攻击行为的技术,
称之为
A. 地址过滤;
B. NAT
C. 反转
D. IP 欺骗
答案: B
168、NAT 技术可以隐藏私网的网络结构 防止外部攻击源对内部服务器的攻击。上述说法是
A. 正确
B. 错误
答案: A
169、在 Internet 上,常见的安全威胁包括
A. 拒绝服务攻击
B. 资源共享
C. ARP 攻击泛滥
D. 未授收资源访问
答案: ACD
170、H3C 防火墙缺省的安全域包括
A. Trust
B. Untrust
C. Local
D. DMZ
答案: ABCD
171、ACL (访问控制列表)的类型包括哪些
A. 基本 ACL
B. 高级 ACL
C. 二层 ACL
D. 基于时间段的包过滤
答案: ABC
172、NAT 的 Easy IP 方式可以实现公网地址的复用,有效解决 1PV4 地址短缺。
A. 正确
B. 错误
答案: A
173、NAT 的 NAT PAT 方式属于多对一的地址转换,通过使用”地址+端口号”的形式进行转换,使多个私网用户可共用一个公网 IP 地址访问外网。上述说法是
A. 正确
B. 错误
答案: A
- 防火墙双机热备工作填式包括主备模式和负载分担模式
A. 正确
B. 错误
答案: A
175、下列关于应用层网关(ALG)技术,说法正确的是
A. ALG 是为了解决某些协议无法成功穿越 NAT 所产生的技术;
B. ALG 可以对某些多通道协议的载荷信息进行解析;.
C. ALG 可以解决包过滤防火墙无法理解数据报文上下文的
D. 除了解决 NAT 穿越, ALG 还可以用来对应用层报文进行解析,从而阻断应用层攻击。
答案: ABC
176、工程师小 L 在调试 SecPath U200-S 设备时,把缺省的 GO/0 接口当成内网口 G0/1 接口配置成了 Untrust 区域当成外网口,此时内网用户是否可以正常访问外网?
A. 能
B. 不能
答案: B
177、AAA ( Authentication 、Authorization 、Accounting ,认证、授权、计费)是网络安全的一
种管理机制,提供了
认证、授权、计费三种安全功能。
A. 正确
B. 错误
答案: A
178、用户 AAA 计费方式包括
A. 按流量计费
B. 本地计费
C. 远端计费
D. 不计费
答案: BCD
179、哪些不属于 AAA
A. ACL
B. Access
答案: AB
180、AAA 授权包括以下哪些?
A. 本地授权
B. 远程授权
C. 不授权
答案: ABC
181、NAT PAT 功能涉及到哪些层?
A. 网络层和传输层
答案: A
182、ACG 以下错误的是?
A. 默认动作未不记录,还能往日志中查询到。
答案: A
183、NGFW 的特征库有哪些?
A. IPS
B. AV
C. ACG
D. ARP
答案: ABCD
184、防火墙实现包过滤的核心技术是 ACL 控制列表?
A. 正确
B. 错误
答案: A
185、下列算法中,属于数字签名算法的是()
A. SHA-1
B. DSA
C. RSA
D. MD5
答案: BC
186、下列说法中,属于对称密码体制的特点是()
A. 必须保证密钥的绝对安全性
B. 密钥量级为参与者的数目
C. 适合大数据量的加解密,加解密速度快
D. 加解密密钥相同或可以互相推导
答案: ACD
187、SSL 协议支持的加密算法包括
A. 3DES
B. DES
C. AES
D. RC4
答案: ABCD
188、ESP 报文格式如下图所示,关于 ESP 描述正确的有
A. SPI 字段可以唯标识这个数据包的 IPSec SA
B. ESP 协议报文用 IP 报文协议号 51 表示
C. 根据特定加密算法的要求,可以在 Padding 字段增加填充位
D. 验证字段(Authentication Data )对于 ESP 来说是必选字段
答案: A
189、如图所示, PC 通过 LAC 建立到 LNs 的 L2TP VPN 连接,并通过该 VPN 隧道访问 Http Sever服务器,发现能 ping 通该服务器,但是访问不了 Http Server 提供的 Web 页面,可能的原因为
A. LAC 到 LNS2 间存在防火墙设备阻断了 http 访问
B. POEEAC 之间存在防火墙设备阻断了 http 访问
C. LNSHp ever 之间存在防火墙设备阻断了 httpp 访问
D. PC 访问 Http Sever 交互报文长度为 1500 ,且 LAC 和 LNS 之间有不支持 IP 分片的设备存在
答案: ABCD
190、下面关于 GRE 说法正确的是
A. GRE 用来封装 IP 协议报文时, GRE 载荷协议类型号为 0x0800,
B. GRE 是一种在任意协议上承载任意-种其他协议的封装协议。
C. GRE 报文对应 IP 协议号为 50。
D. GRE 协议不仅提供了隧道封装的方法,还提供了数据加密功能
答案: AB
191、下列算法中,既可以用于加密,也可以用于签名的是
A. AES
B. DES
C. RSA
D. DSA
答案: C
192、对证书授权中心的说法中,正确的是
A. CA 按照证书链的层级机构进行工作
B. 证书授权中心简称 CA
C. CA 位于注册用户和 RA 之间
D. CA 的最终权威中心成为根 CA
答案: ABD
193、根据加密时对明文消息是否分组,密钥体制可以分为
A. 私钥密码体制
B. 序列密码
C. 公钥密码体制
D. 分组密码
答案: BD
194、默认情况下 LAC 和 LNS 之间通道的 Hello 报文发送时间间隔为
A. 10
B. 5
C. 30
D. 60
答案: D
195、证书注册中心在收到用户的证书注册请求后,需要对注册用户进行验证,其验证的主要
信息有
A. 确认注册用户有中请证书的权利
B. 确认注册用户拥有和证书请求相对应的私钥
C. 确认证书用户的身份信息正确
D. 确认注册用户是否曾注册过证书
答案: BC
196、在 SSL 协议体系中,服务器端使用()端口接收并处理建立 SSL 链接的请求报文
A. 443
B. 441
C. 500
D. 520
答案: A
197、关于 x.509 标准的说法,正确的是
A. 数字证书的格式不仅 R 有 X509 一种
B. 509 是由国际电信联盟制定的数字证书标准
C. X609 的版本号目前为 V3
D. x509 标准除了被数字证书采用外,还广泛应用于 IPsec、SSL、安全电子交易等网络应用
答案: ABCD
198、标准 GRE 头中必选字段包括有
A. Protocol Type
B. checksum
C. Key Field
D. Sequence Number
答案: A
199、密码体制是一个使得通信双方能能够进行秘密通信的协议,它是由
A. 密钥
B. 明文、密文
C. 加密算法、解密算法
D. 通信双方
E. 信道
答案: ABC
200、下面哪一项不是 IKE 的特点
A. 定时更新 IPSec SA
B. 允许端到端动态验证
C. 定时更新 IPsec 共享密钥
D. 允许 IPsec 提供抗重播服务
答案: B或者 C (倾向于 B)
201、H3C SSL VPN 通过那些因素综合确定用户可以合法访问的网络资源?
A. 安全策略
B. 用户身份
C. 主机检查结果
D. 认证方式
答案: ABC
202、数字签名对应于我们生活中的手写签名,但它和手写签名也存在一些差别下列说法中正确的有
A. 数字签名中签,和消息是分开的,需要一种方法将签名和消息绑定在一起,而在传统的手写
签名中签名是被签名消息的一部分
B. 数字签名和手写签名都具有法律效力,都是重要的认证手段
C. 数字签名只有接受者才可能对签名进行验证,而手写签名可以接受任何人的公开验证
D. 数字签名和手写签名样,备独无亡的特性,既无法被修改也无法被复制
答案: AB
- 下列哪些交换模式是在 IKE 协商的第二阶段存在的?
A. 主模式
B. 野蛮模式
C. 快速模式
D. 普通模式
答案: C
204、L2TP 协议是承载在 UDP 协议之上的,数据包的封装过程为
A. 私有 IP->L2TP->UDP->PPP->公有 IP
B. 私有 IP->PPP->L2TP-> UDP->公有 IP
C. 私有 IP->PPP->UDP->L2TP->公有 IP
D. 私有 IP->L2TP->PPP->UDP->公有 IP
答案: B
205、SSL 协议支持的块加密算法有
A. 3DES
B. DES
C. AES
D. RC4
答案: ABC
206、下列关于 GRE 穿越 NAT 的说法正确的是
A. 对于基于端口或协议的 NAT ,即 NAPT 来说,标准 GRE 协议报文可以正常穿越,且可以区分相同源地址发起的不同 GRE 隧道。
B. 普通的源/目的地址作转化的 NAT ,标准 GRE 封装协议报文不可以正常穿越。
C. 对于基于端口或协议的 NAT , 即 NAPT 来说,NGRE 可以通过 Key 选项来区分相同源地址发起的不同 GRE隧道。
D. 对于基于端口或协议的 NAT ,即 NAPT 来说, GRE 可以通过 Sequence Number 选项来区分相同源地址发起的不同 GRE 隧道。
答案: C
207、对于消息摘要的描述,正确的有
A. 相同的消息一定会产生相同的摘要
B. 不同的消息不会产生相同的摘要
C. 即使消息相同,一定会产生不同的摘要
D. 摘要是随机生成的,所以可能长度发生变化
答案: AB
208、L2TP 建立隧道时使用的消息有
A. SCCRP
B. SCCRQ
C. ICRQ
D. ICRP
答案: AB
209、在下列哪种密码应用中,我们是使用公钥加密、私钥解密?
A. 非对称密码
B. 对称密码
C. 数字签名
D. DH 交换
答案: A
210、关于数字证书的说法,正确的是。
A. 数字证书就是我们网络身份证,它提供了证明自己身份和识别对方身份的功能
B. 数字证书是由 CA 来颁发的
C. 数字证书将个人私钥和个人身份进行了绑定
D. 数字证书一旦生成,将永久有效
答案: AB
211、下列关于 L2TP 的说法正确的是
A. 用户和 LAC 之间会进行协商以获取 IP 地址
B. 在 LAC 上会根接入用户的 PPP 验证信息进行验证,以确定是否是 L2tp 的用户以及用户属于哪个 L2TP 组,随后 LAC 会向相应的 LNS 发起建立隧道的请求。
C. 隧道建立后,LAC 与用户相连接的 PCP 会变为 UP 状态
D. CHAP 验证只能在用户端和 LNS 端进行
答案: B
212、DES 是最著名的对称密码算法,其属于分组密码,明文分组的位数为
A. 64
B. 56
C. 128
D. 256
答案: A
213、网络通信对安全性的要求包括
A. 完整性
B. 私密性
C. 可控性
D. 身份验证
答案: ABD
214、下列关于 SSL VPN 的说法,正确的是
A. SSL VPN 可以对传输的数据进行加密
B. SSL VPN 支持对客户端身份的验证
C. SSL VPN 支持双因子认证
D. SSL VPN 可以保证传输数据的完整性
答案: ABCD
215、下列关于证书机构的说法中,正确的是
A. 证书注册中心(RA )负责证书的生成工作
B. 数字证书的生成和维护过程中一般需要证书授权中心和证书注册中心两个机构
C. 证书授权中心(CA )负责证书的生成工作
D. 证书授权中心按照层次结构进行
答案: BCD
216、工作数字签名算法和哈希函数的关系是
A. 都是用来签名的算法
B. 都是用来进行加密的算法
C. 哈希函数济生消息摘要,而数字签名算法对消息摘要进行加密
D. 数字签名对消息进行签名,然后由哈希函数产生摘要
答案: C
217、IPsec 的优点有
A. 数据完整性( Data intergrity)
B. 数据机密性(Conidentiality )
C. 身份验证( Data Authentication )
D. 抗 DDos (Distributed Deny of Service)
答案: ABC
218、SSL 握手层包括哪些协议?
A. 告警协议
B. 握手协议
C. 密钥改变协议
D. 会话保持协议
答案: ABC
219、下列关于加密和解密的说法,正确的是
A. 将密文解码为明文的过程称之为解密,它是加密的相反过程
B. 加密和解密是互逆的两个过程,因此加解密的密钥需要相同
C. 一般来讲,加密比解密要消耗更多的设备性能
D. 密码算法的安全性不仅和密钥相关,也和加解密算法相关,因此算法不能公开
答案: A
220、SSL 协议向() 提供端到端的、有连接的加密传输服务
A. 传输层
B. 应用层
C. 网络层
D. 数据链路层
答案: B
- 下列 VPN 中,能单独提供数据加密特性的有
A. IPSEC VPN
B. L2TP VPN
C. SSL VPN
D. GRE VPN
答案: AC
222、如下图所示的网络中, RTB 对 RTA 发起 IPSec 连接,有关 NAT 穿越描述正确的是
A. IP Sec 隧道两端不启用 TKE 的情况下亦能实现 NAT 穿越
B. 通过将 IPsec 报文封装在 UDP 1701 端协议报文中实现 IPSec 的 NAT 穿越
C. RTA 在主模式情况下不能实现 NAT 穿越
D. NAT 网关会修改 UDP 报文头, IPSec 报文的 IP 头
答案: C
223、SSL 协议支持的流加密算法包括
A. 3DES
B. DES
C. AES
D. RC4
答案: D
224、当出现大量 VPN 需求时,可以用那些产品?
A. SecPath 系列防火墙
B. SecPath 系列 VPN
C. H3C IPS
D. SR 系列路由器
答案: ABD
225、下面关于 L2TP 的描述正确的是?
A. L2TP 隧道传输 PPPOE 报文
B. 与 PPP 协议配合,L2TP 协议支持隧道认证和报文计费功能
C. 与 PPP 协议配合,L2TP 协议支持 IP 地址动态分配
D. L2TP 协议不支持报文加密
答案: BCD
226、H3C Secpath 防火墙具有那些功能,可以保证网络的安全性
A. 访问控制
B. NAT 转换
C. 攻击防范
D. 黑名单
E. 入侵防御
答案: ABCDE
- H3C SecPath 防火墙的会话包含以下哪些信息?
A. 会话发起方和响应方 IP 地址及端口
B. 会话的创建时间
C. 会话的老化时间
D. 会话当前所处的状态
答案: ABCD
228、关于 H3C NGFW 安全区域说法正确的是
A. 防火墙默认有五个安全区域:Management、Local、Trust、Untrust、DMZ
B. 防火墙自身所有接口都属于 Local 区域
C. 非管理接口必须加入业务安全区域才能转发数据
D. 处于同一区域内的接口数据默认无法互通
答案: ABCD
229、HWTACACS 协议和 RADIUS 协议的区别
A. HWTACACS 协议使用TCP,网络传输更可靠
B. RADIUS 协议使用TCP,网络传输更可靠
C. HWTACACS 协议只对认证报文中的密码字段进行加密
D. RADIUS协议支持对设备的配置命令进行授权使用
答案: A
230、经过 IPSec 封装后的报文格式如下图所示,参与验证算法生成验证字段的数据报文有
哪些?
A. AH 头
B. 新报文头
C. 原始报文
D. 共享秘钥
答案: CD
231、CHAP 是三次握手的验证协议,其中第 1 次握手是完成()
A. 验证方将一段随机报文和用户名传递到被验证方
B. 被验证方直接将用户名和令传递给验证方
C. 被验证方生成段随机报文,用自己的令对这段随机报文进行加密,然后与自己的用户名
一起传递给被验证方
D. 验证方将用户名和密码传递到被验证方
答案: A
232、假如 Alice 和 Bob 使用 DH 算法来进行秘钥协商,Maliory 作为中间人来窃听他们之间的通信,则以下说法中正确的是?
A. 中间人 Maliory 是通过侦听 Alice 和 Bob 协商的共享秘钥来实现攻击目的的
B. DH 算法天生就容易遭受中间人攻击
C. 中间人 Maliory 在发起中间人攻击时,需要分别和 Alice 和 Bob 协商出不同的共享秘钥
D. DH 算法的安全性是基于“素因子分解难题”的
答案: BC
233、ACG 带宽管理通道匹配规则正确的是?
A. 在透明模式下部署 QoS 时,需要将线路绑定在物理接口上,绑定在桥接口上无法生效。
B. 当父节点带宽充足,而需要保障的通道带宽未达到时,其他通道可以借用此部分空余带
宽,即低优先级抢到上限后,中优先级才能抢。
C. 当存在 N 个相同优先级抢占时,按照均分处理,每个通道平分 1/N 的带宽。
D. QoS 按照树形结构匹配,只要某节点存在叶子节点的情况,就会继续向下进行查找,一旦出现不匹配的情况,此处将会匹配父节点的默认通道进行 QoS。
E. 所有子节点的带宽之和必须小于父节点的带宽。
答案: ACDE
234、H3C ACG 的带宽管理功能,可以对通过设备的流量实现基于 ?进行精细化的管理和
控制。
A. 用户/用户组
B. 源/目的 IP 地址
C. MAC 地址
D. 服务
E. 时间
F. 应用/应用组
答案: ABEF
235、与 IPSec VPN 相比,SSL VPN 具有哪些优点?
A. SSL VPN 客户端 免安装、免维户,易于使用
B. SSL VPN 可以根据远端主机的安全状态实现动态授权
C. SSL VPN 有很好的网络连通性
D. SSL VPN 可以拥有高粒度的访问控制
答案: ABD
236、在 IKE 协商模式中,哪种模式适合用于分支机构采用 ADSL 拨号与总部建立 IPSec 连接
A. 野蛮模式
B. 主模式
C. 传输模式
D. 隧道模式
答案: A
237、H3C 防火墙的安全域有优先级概念。上述说法是否正确。
A. 正确
B. 错误
答案: A
238、H3C 防火墙中,以下哪些接口必须加入到区域中才能转发数据?
A. Virtual-Template
B. 物理接口
C. Loopback
D. Dialer
E. Vlan-interface
F. Tunnel
答案: ABDEF
239、关于 H3C 防火墙 URL 过滤功能,下列说法正确的有
A. URL 是互联网上标准资源的地址
B. URL 格式为:“protocol://host[ : port/path/[;parametersJ[?guery],其中[:parameters][?query]#fragment 称为 URL
C. URL 过滤功能是指对用户访问的 URL 进行控制,即允许或禁止用户访问 Web 资源,达到规范用户上网行为的目的
D. URL 过滤规则支持文本匹配和正则表达式匹配两种方式,文本匹配仅能使用指定的字符串对主机进行精确匹配。正则表达式匹配可以使用正则表达式对主机名和 URL 字段进行模糊匹配
答案: ACD
240、ACG1000 的 DFI 主要用来识别应用的静态报文特征
A. 正确
B. 错误
答案: B
241、NAT 转换技术包括
A. 基于 NAT 方式,即地址一对一的转换
B. NAPT 方式,即通过转换端口实现地址复用
C. Easy IP 方式,即直接使用公网接口做 NAT
D. NAT Server,寄映射内部服务器
答案: ABCD
242、关于 H3C 防火墙报文转发流程,下列说法正确的是
A. 当报文命中会话表或关联表后,则直接查找二三层转发表项后转发
B. 若报文命中安全策略的动作为丢弃,则直接丢弃报文,不需要创建会话表项
C. 对接收的报文首先判断是否匹配当前会话表或关联表
D. 对接收的报文首先判因是否命中安全策略
答案: ABC
243、H3C 防火墙要么工作在二层模式,要么工作在三层模式,不能同时工作在二层和三层,
以上说法正确吗?
A. 正确
B. 错误
答案: B
244、以下关于防火墙用户说法正确的是?
A. 接入类用户主要是 portal、sslvpn、ppp 等
B. 可以通过用户组来实现用户的统一管理
C. 防火墙用户分为管理类和接入类用户
D. 管理类用户主要有 ftp、ssh、telnet、http
答案: ABCD
245、H3C 防火墙特征库升级,支持以下几种方式
A. 手动离线升级
B. 特征库回滚
C. 定期自动在线升级
D. 立即自动在线升级
答案: ABCD
246、在检测到针对服务嚣的 SYN Flood 攻击行为后,防火墙应该可以支持选择多种应对攻
击的防范措施,主要包括连接限制技术和连接代理技术,其中属于连接限制技术的是
A. 单位时间内客户端发起的新建连接请求数超过指定阈值,则认为服务器遭受了 SYS Flood
攻击
B. 通过对正常 TCP 新建连接的协商报文进行处理,修改报文的序列号并使其携带认证信息,
再通过验证客户端回应的协商报文中携带的信息进行报文有效性确认。
C. 客户端发起的 TCP 半开连接请求超过指定阈值,则以为服务器遭受了 SYS Flood 攻击
D. 通过在新建连接的协商报文中携带认证信息,在通过验证客户端回应的协商报文中携带
的信息来进行信息分析。
答案: AC
247、H3C 防火墙安全策略规则可以基于以下哪些参数进行匹配?
A. 目的 IP 地址
B. 应用/应用组
C. 服务
D. 用户/用户组
E. 目的安全域
F. 源安全域
G. 源 IP 地址
H. VRF
答案: ABCDEFGH
248、H3C IPS 功能可以对业务流量进行以下那些缺省动作。
A. 黑名单
B. 丢弃
C. 允许
D. 抓包
E. 生成日志
F. 重置
答案: ABCDEF
249、以下哪些配置可以实现 telnet 用户的 AAA 认证
A. [Device-line-console0]authentication-mode scheme
B. [Device-line-vty0-63]authentication-mode scheme
C. [Device-line-vty0-63]authentication-mode none
D. [Device-line-vty0-63]authentication-mode local
答案: B
250、NAT ALG 技术可以解决所有多通道应用之间端到端的通信。以上说法是否正确
A. 正确
B. 错误
答案: B
251、在防火前上使用命令 display nat all 有如下信息:
基于以上信息可以得出结论是:
A. 接口的动态 NAT 没有配置 ACL 限制
B. NAT 地址池 1 中有 4 个地址
C. NAT 地址池中有 2 个地址
D. 当前设备上有 1 个地址池
答案: C
252、互联网中常见的网络安全威胁方式分为
A. 主动攻击
B. 平面攻击
C. 物理攻击
D. 立体攻击
答案: A(单选)
253、H3C ACG 产品日志信息可以输出到不同的目的地,下列说法正确的是 ?
A. 最大可以配置 3 个日志服务器,同时发送 3 份日志,实现互为备份
B. 和第三方日志服务器配合时,建议启用日志加密功能,防止在传输过程中泄露信息
C. 默认情况下,系统将日志记录在本地数据库
D. 系统可以将日志发送给日志服务器,推荐使用 userlog 方式,效率更高。
答案: ABCD
254、在防火墙上配置动态 NAT 使用命令 display nat session verbose 有如下信息。
从设备输出可确定的是:
A. 设备上配置的是 NO-PAT 方式的动态 NAT
B. 动态 NAT 的配置下发在 G1/0/0 口上
C. 192.168.0.3 可以 ping 通 2.2.2.2
D. 地址池中只有 1 个地址
答案: B
255、以下哪些配置授权给用户 SSLVPN 的登陆权限?
A. [device-luser-manage-test]service-type sslvpn
B. [device-luser-network-test]service-type sslvpn
C. [device]local-user test class mansge
D. [device]local-user test class network
答案: BD
256、地址转换技术只能用于将私网地址转换为公网地址,以上说法是否正确?
A. 正确
B. 错误
答案: B
257、IKEv1 主模式第一阶段协商的第一和第二个报文的作用是身份验证,从而保证了后续报文传递的合法性,以上说法是否正确?
A. 正确
B. 错误
答案: A
258、H3C 防火墙安全策略规则中,若引用 DPI 业务时,规则的动作需配置为允许,以上说法是否正确?
A. 正确
B. 错误
答案: A
259、利用 SN Cookie 技术可以防范 SYN Flood 攻击,关于技术原理的描述,以下说法正确的是。
A. .如果防火墙确认客户端的 ACK 消息合法,则模拟客户端向服务器发送一个 SYN 消息进行连接请求,同时分配 TCB 资源记录此连接请求的描述信息。
B. 防火墙的 SYN Cookie 技术利用 ACK 报文携带的认证信息,对握手协商的 ACK 报文进行认证,从而避免了防火过早分配 TCB 资源
C. 客户端发送的 SYN 消息经过防火墙时,防火墙截取该消息,并模拟服务器向客户端回应
SYN ACK 消息,
D. 客户端收到 SYN/ACK 报文后向服务器发送 ACK 消息进行确认,防火墙截取这个消息后,
提取该消息中的ACK 序列号,并再次使用客户端信息与加密索引计算 cookie,如果计算结果与 ACK 序列号相符,就可以确认发起连接请求的是一个真实客户端
答案: ABCD
260、以下关于 IKE 的说法正确的有
A. 具有完善的向前安全性
B. 可以穿越 NAT
C. 使用 UDP 51 端口
D. 使用 diffie-Hellma 交换
答案: ABD
261、在 H3C ACG 上配置用户策略时,新建用户并将 PC 的 Mac 地址绑定,完成配置后发现PC 能够重定向到认证页面但是无法联网,以下分析中正确的是?
A. 由于 ACG 设备需要与 PC 二层互联才能学习到 PC 的 Mac 地址,所以 ACG 与 PC 中间可能有三层设备
B. ACG 支持夸三层学习 Mac 功能,可能是 netconf 参数配置错误
C. PC 能够重定向到认证页面,说明设备的路由器和 Ipv4 策略没问题
D. 由于绑定的 Mac 地址必须与 PC 的 Mac 地址一致,所以可能是因为 ACG 上 Mac 地址配置错误
答案: BD
262、以下关于 RADIUS 认证说法正确的是?
A. RADIUS 最初仅是针对拨号用户的 AAA 协议,后来随着用户接入方式的多样化发展,RADIUS也被应用于多种接入方式
B. 常应用在即要求较高安全性、又允许远程用户访问的各种网络环境中
C. RADIUS 认证是一种分布式的客户端/服务器结构的信息交互协议
D. 基于 TCP 传输,端口号 1812、1813 分别作为认证/授权、计费端口
答案: ABC
263、以下关于动态 NAT 说法正确的是?
A. 动态 NAT 必须要指定地址池地址
B. PAT 模式中一个公网地址可以同时提供给多个私网地址使用
C. 动态 NAT 的配置中,必须要配置 ACL 来指定可以进行 NAT 转换的地址
D. 所有模式的动态 NAT 都支持复用公网地址
答案: B
264、关于 H3C 防火墙的命令视图,以下说法正确的是
A. 在接口视图下可以通过 port link-mode 命令切换二三层模式
B. 配置路由应在系统视图下
C. 用户登录设备后,直接进入用户视图
D. 在用户视图下输入 system view 命令进入系统视图
答案: ABCD
265、编号 3001 的 ACL 对应的类型是
A. 二层 ACL
B. 七层 ACL
C. 基本 ACL
D. 高级 ACL
答案: D
266、以下关于 easy IP 方式 NAT 配置不生效排查方法,正确的是
A. 检查地址池是否正确
B. 检查路由是否正常
C. 检查 NAT 配置的接口是否下发正确
D. 检查安全策略是否放通
答案: BCD
267GRE 协议栈如图所示,以下说法正确的是?
A. 协议 B 是封装协议
B. 协议 B 是承载协议
C. 协议 A 是封装协议
D. 协议 A 是承载协议
答案: D
268、下列关于 L2TP 的说法正确的是
A. 在 LAC 上会根据接入用户的 PPP 验证信息进行验证,以确定是否是 L2TP 的用户以及用户属于哪一个 L2tp组,随后 LAC 会向相应的 LNS 发起建立隧道的请求
B. 用户和 LAC 之间会进行协商以获取 IP 地址
C. 隧道建立后,LAC 与用户相连接口的 IPCP 会变为 UP 状态
D. CHAP 验证只用在用户端和 LNS 端进行
答案: A
269、H3C ACG 透明模式部署,在配置带宽管理时,需要将线路绑定在物理接口上,绑定在
桥接口上无法生效
A. 错误
B. 正确
答案: B
270、IKE 野蛮模式下,IKE 协商发起者发送第一个消息中包含
A. DIffe-Hellman 公共值
B. 散列算法
C. 验证方法
D. 加密算法
答案: ABCD
271、以下关于 HWTACACS 认证说法正确的是
A. 采用 UDP 传输,网络传输效率更高。
B. 该协议与 RADIUS 协议类似,采用客户端/服务器模式实现 NAS 与 HWTACACS 服务器之间的通信。
C. 主要用户 PPP 和 VPDN 接入用户及终端用户的认证、授权和计费。
D. HWTACACS(HW Terminal Access Controller Access Control System,HW 终端访问控制器控制
系统协议)
答案: BCD
272、有关 GRE 的特点描述正确有。
A. GRE 不提供数据加密、身份验证等安全功能。
B. GRE 协议不支持封装组播报文。
C. GRE 隧道支持动态路由协议。
D. GRE VPN 要求在隧道两端上静态配置隧道接口,不利于大规模部署。
答案: ACD
273、包过滤 ACL 进行如下配置:
Acl basic 2000 match-order configrule permit source1.1.1.00.0.0.255
rule deny source 1.1.1.1 0
(题目当中可能没有这条命令,但不影响,因为是顺序匹配)
A. 源地址 1.1.1.20 目的地址 3.3.3.20 的报文被丢弃
B. 源地址 1.1.1.1 目的地址 3.3.3.3 的报文被丢弃
C. 源地址 1.1.1.20 目的地址 3.3.3.3 的报文允许通过
D. 源地址 1.1.1.1 目的地址 3.3.3.3 的报文允许通过
答案: CD
274、以下属于 NAT 技术的优点的是
A. 在网络发生变化时避免重新编址
B. 在地址重复时提供解决方案
C. 隐藏内部服务器的真实 IP 地址,提高安全性
D. 增加连接英特网的灵活性
E. 节省合法的注册地址
答案: ABCDE
275、SSL 协议的通讯实体在层次划分上分为以下哪几个层次?
A. 应用层
B. 会话层
C. 握手层
D. 记录层
答案: CD
276、如何防范 Smurf 攻击?
A. 检查 ICMP 请求报文的目的地址是否为子网地址,是则丢弃
B. 检查 ICMP 请求报文的源地址是否为子网地址,是则丢弃
C. 检查 ICMP 请求报文的目的地址是否为广播地址,是则丢弃
D. 检查 ICMP 请求报文的源地址是否为广播地址,是则丢弃
答案: C
277、下述攻击手段中,不属于 DOS 攻击的是
A. Fraggle
B. Land 攻击
C. 跨站攻击
D. Smurf 攻击
答案: AC
278、关于 H3C 防火墙的特征库功能说法正确的有
A. 不支持特征库回滚
B. 升级特征库需要 license 授权
C. 支持自定义特征
D. 不支持自动更新特征库
答案: BC
279、关于 H3C 防火墙 License,以下说法正确的是
A. 正式 License 过期后不能卸载。压缩 License 存储区可以释放 License 存储空间。
执行压缩操作时.系统会自动将已经过期的或者卸载的 License 信息删除,并修改 DID.
- 设备出现硬件故障后,可以将临时 License 迁移至其他设备继续使用。
C. 激活 License 时,必须提供设备的 DID 文件
D. License 的有效期分为永久( Permanent )和绝对时间(Date restricted)两种,根据发布渠道不
同分为临时 的(Trial 和正式的( Formal)
答案: ACD
280、以下属于网络安全威胁的有
A. IP 地址欺骗
B. DoS/DDOS 攻击
C. 扫描攻击
D. 畸形报文攻击
答案: ABCD
281、H3C 防火墙在接口上应用包过滤,方向可以选择 Inbound 和 lOutbound
A. 错误
B. 正确
答案: B
282、在以下 L2TP 组网中,假设 LAC 与 LNS 都已在公网上. 如果庭道建立失败,那么可能的原因有
A. LNS 端没有设置可以接收该感道对端的 L2TP 组。
B. LNS 端设置的用户名与密码有误。
C. 隧道验证不通过。
D. 在 LAC 端。LNS 地址设置不正确。
答案: ABCD
283、在 H3C ACG 上配置日志服务器后,发现管理平台上无法接收到任何日志,以下分析正确的有
A. 管理平台日志接收端目可能被操作系统其他软件占用。
B. 出于日志显考虑,系统在设计时,启用日志服务器功能后,还需要配置日志过滤,选择日
志级别,否则低级别的日志不会发送
C. 可以在管理平台上使用 Wireshark 抓包工具,确认日志是否已经发送过来。
D. ACG 默认使用 30514 端发送日志,可能中间存在防火墙,未放通端口。
答案: ABC
284、创建安全域后,需要给安全域添加成员。下列哪些可以作为成员加入安全域
A. 二层接口和 VLAN
B. 三层以太网子接口
C. 三层逻辑接口
D. 三层以太网接口
答案: ABCD
- 利用 Sste Reset 技术可以防范 SYN Food 攻击.关于技术原理的描述,以下说法正确的是
A. 一般而言,应用服务器不会主动对客户端发起恶意连接,因此服务器响应客户端的报文可以不需要经过防火墙的检查。防火墙仅需要对客户端发往应用服务器的报文进行实时监控。服务器响应客户端的报文可以根据实际需要选择是否经过防火墙,因此 Safe Reset 能够支持更灵活的组网方式。
B. 客户端收到 SYN/ACK 后.按照协议规定向服务器回应 RST 消息。防火墙中途截取这个消息后,提取消息中的序列号。并对该序列号进行 Cookie 校验。成功通过校验的连接被认为是可信的连接,防火墙会分配 TCB 资源记录此连接的描述信息,而不可信连接的后续报文会被防火墙丢弃。
C. 由于防火墙仅通过对客户端向服务器首次发起连接的报文进行认证,就能够完成对客户
端到服务器的连接检验而服务器向客户端回应的报文即使不经过防火墙也不会影响正常的业务处理,因此 Safe Reset 技术也称为单向代理技术。
D. 客户端发送的 SYN 消息经过防火墙时,防火墙截取该消息,并模拟服务器向客户端回应
SYN/ACK 消息,其中,SYN/ACK 消息中的 ACK 序列号与客户端期望的值一致,同时携带 Cookie 值,此 Cookie值是对加密索引与本次连接的客户端信息(包括 P 地址、端口号)进行加空运算的结果。
答案: ABCD
286、下列关于衡量防火墙的性能指标说法正确的有
A. 并发连接数是指每秒钟防火墙能够处理的新建连接的数量
B. 时延是数据包进入防火墙到从防火墙输出的时间间隔
C. 新建连接数是指每秒钟防火墙能够同时处理的连接总数
D. 吞吐量需要对不同大小的数据包。不同方向的流量等进行测试
答案: BD
287、H3C 防火墙防火墙版本升级过程中说法正确的有
A. boot-loader file 命令里必须带 system 参数,表示指定该软件包为系统软件包
B. 可以通过 FTP/TFTP 将软件版本文件上传到本地
C. 执行 boot-loader 命令来指定设备下次启动时使用的版本文件
D. 从 H3C 官网 http://www.h3c.com/cn/获取软件版本
答案: BCD
288、H3C 防火墙设备中,访问控制列表 ACL 主要应用于
A. 策略路由,依据用户制定的策略进行路由转发(如 ACL 规则等)
B. IPSec 中,用来规定触发建立 IPSec 的条件
C. NAT 中,限制哪些地址需要被转换
D. QoS 中,对数据流量进行分类
答案: ABCD
289、以下哪些配置可以实现 SSH 用的管理员权限?
A. [Device-luser-network-test] service-typessh
B. [Device] local-user test class network
C. [Device-luser-manage-test] service-typessh
D. [Device] local-user test class manage
答案: CD
290、如下 NAT 命令及其作用对应关系正确的是?
A. display nat session 显示 NAT 会话
B. display nat entry 显示地址条目
C. display nat 显示所有 NAT 配置
D. display nat table 显示地址表
答案: A
291、以下属于动态 NAT 的是
A. NAT Server
B. PAT 方式的 NAT
C. Easy IP
D. NO-PAT 方式的 NAT
答案: BCD
292、以下技术是设计用于解决 IPV4 地址短缺的是
A. CIDR
B. MPLS
C. VLSM
D. NAT
答案: CD
293、目前 SSL 协议支持的流加密算法有哪些?
A. RC4
B. 3DES
C. DES
D. AES
答案: A
294、IKE 主模式报文交互()次?
A. 3
B. 4
C. 5
D. 6
答案: D
295、IKE 野蛮模式报文交互()次?
A. 3
B. 4
C. 5
D. 6
答案: A
296、以下不属于传输层安全风险的是?
A. TCP 欺骗
B.UDP 拒绝攻击
C.端口扫描
D.地址扫描
答案 :D
297、H3C 防火墙串口的默认波特率为 9600,上述正确的是?
A 正确
B 错误
答案 A
298、H3C 防火墙支持记录日志信息,以下关于日志功能说法正确的是?
A. Flow 日志可以封装成 UDP 报文直接发送到日志主机,也可以发送到信息中心封装成系统日志
B. 系统日志、操作日志、安全策略日志以及攻击防范日志都采用 Syslog 方式以文本格式进
行输出
C. NAT 日志一般都采用 Syslog 日志格式直接发送给日志服务器
D. 系统日志传输格式为 ASCII 码,相比 Flow 日志的二进制格式传输效率低
答案: BCD
299、关于防火墙系统中缺省域描述正确的是
A.系统缺省存在的 system 域可以被刪除
B.系统缺省存在的 system 域只能被修改,不能被删除
C.一个 ISP 域被配置为缺省的 Isp 域后,将不能够被删除,必须首先使用命令 undo domain
defauit enable 将其修改为非缺省 ISP 域,然后才可以被删除。
D.一个 Isp 域被配置为缺省的 ISP 域后,可以直接通过命令 undo domain name 的方式进行删除
答案:BC
300、AAA 可以通过多种协议来实现,远端认证可通过以下哪些协议实现?
A . RADIUS 协议
B .HWTACACS 协议
C . LDAP 协议
D . AH 协议
答案:ABC
301、下列哪些功能可以有 H3C 防火墙实现?
A 产生审计日志
B 执行安全策略
C 隔离可信任网络和不可信任网络
D 监控网络中的会话状态
答案:ABCD
302、衡量防火墙的性能指标包括下列哪些选项?
A 新建连接数
B 并发连接数
C 吞吐量
D 使用带宽
答案:ABC
303、以下属于 LDAP 用户属性的是?
A.用户 DN 查询的起始节点 ( search-base-dn )
B.用户 DN 查询的格式( search-format )
C.用户名称属性 ( user-name-attribute )
D.用户名称格式( user-name-format )
答案:ACD
304、安全策略之间是存在顺序的,设备缺省按照规则的创建顺序对报文进行匹配,先创建
的先匹配。
A.正确
B.错误
答案:A
305、下列关于流与会话的说法哪个是正确的
A.会话是一个单方向的概念,根据报文所携带的三元组或者五元组唯一标识
B.流是个双向的概念,一个流通常关联两个方向的会话
C.对于 FTP 协议,数据通道会话老化之前控制通道会话不能老化
D.防火墙对组播或者广播报文同样建立会话
答案:C(单选C,多选CD)
306、防火墙业务正常,但是查看防火墙 web 页面安全策略为空,可能是以下哪些原因导致的?
A.使用命令行配置了 packet-filter
B.命令行配置的策略跟 web 下配置的策略不一致
C.在新版本下使用域间策略
D.web 界面与命令行混配
答案:ACD
307、关于 ACL 包过滤的应用,下列哪些说法是正确的?
A.只有将 ACL 应用在接口上才能实现包过滤的功能
B.防火墙 ACL 包过滤在接口上应用的方向只能是 outbound 方向
C.防火墙 ACL 包过滤在接口上应用的方向只能是 inbound 方向
D.防火墙产品默认关闭了包过滤规则
答案:AD
308、关于防火墙转发流程,以下错误的是?
A 首先判断是否匹配当前会话表或关联表
B 首先判断是否匹配当前安全策略
C 若未匹配到安全策略,则丢弃报文
D 若未匹配到安全策略,则按默认策略进行处理
答案:BC
309、no pat 模式下 ,地址池中只有一个外网地址 1.1.1.1.可以分配给一个内网用户使用,当该用户停止访向外网后,如果另一个用户想要访问互联网,下面哪项是正确的 ?
A.利用外网地址 1.1.1.1,可以正常访问互联网
B. 需要一定时间间隔后才可以正常访问互联网
C.不可以访问互联网
D.由于外网地址被占用,利用接口地址可以正常访问互联网
答案:B
310、动态 NAT 的三种模式均解决了公网地址匮乏的,这也是 NAT 技术的优点之一。
A:错误
B: 正确
答案:A
311、nat 设备接口入方向下,对于报文处理流程,以下哪些描述是正确的?
A. nat 在安全策路之前,即先匹配 nat,再匹配安全策略
B. 随机匹配 nat 和安全策略
C.根据 nat 策略和安全策略的优先级来处理
D.安全策路在 nat 之前,即先匹配安全策略,再匹配 nat
答案:A
312、以下哪些场景是经过一次地址转换即可满足需求的?
A. 公网访问内网资源
B. 内网用户访问公网
C. 内外网有固定互访需求
D.地址重要的 VPN 实例互访
答案:ABC
313、IKE 主模式下经理三个阶段,在( )阶段验证对方身份
A 策略协议
B DH 交换
C ID 交换及验证
答案:C
314、下面哪项不是 L2TP 的优点
A 节约拨号费用
B 接入方式灵活
C 能对传输层的数据进行加密
D 提供多种访问控制方式
答案:C
315、SSL 协议面向传输层提供端到端的、有连接的加密传输服务。
A 正确
B 错误
答案:B
316、下列关于 NAT 穿越功能说法正确的是?
A.刪去了 IKE 协商过程中对 UDP 端口号的验证过程
B.实现了对 VPN 隧道中 NAT 网关设备的发现功能
C.配置 NAT 穿越功能后,AH 可以穿越 NAT
D.避免了 NAT 网关对 IPsec 报文进行篡改
答案:BD
317、关于 SSL VPN 组网模式说法正确的是?
A. 直连模式组网网关可以对访问流量进行全面的控制
B. 直连模式组网网关可能成为网络的单点故障源
C.旁路模式组网网关的处理能力会限制内网访问外网的性能
D.旁路模式组网不能全面的保护网络
答案:ABD
318、下面关于安全联盟(SA)的说法正确的是
A. 由 SPI、 IP 目的地址以及安全协议标识符三元組唯一标识
B. IPsec SA 是双向的
C.SA 可通过手工配置和自动协商两种方式建立
D.IKE 不仅用于 IPsec, 它是一个通用的交换协议
答案:ACD
319、下面哪个说法是正确的
A. AH 在传输模式中保护整个原始 IP 包,在隧道模式中保护整个新 IP 包
B. AH 在传输模式中保护整个原始 IP 包,在隧道模式中保护 IP 包的上层协议
C.ESP 在传输模式中保护 IP 包的上层协议,在隧道模式中保护整个 IP 包
D.ESP 在传输模式中验证 IP 头后的数据包,在隧道模式中保护整个 IP 包
答案:AC
320、在防火墙上配置了 GRE VPN•现输入命令 display interface tunnel 0 :显示如下信息,
下列说法正确的是?
<H3C> display interface tunnel 0
Tunnelo...............................
A.本端 tunnel 口地址为 192.13.2.1
B.Tunne 接口当前状态为开启
C.隧道对端物理接口地址为 192.13.2.2
D.Tunnel 口己设置 GRE 类型隧道接口的密钥
答案: A
- 升级 H3C 防火墙特征库时,不需要重启设备就能生效。上述说法是??
A.正确
B.错误
答案:A
322、近日,某企业服务区大面积感染勒索百度,重要数据被加密,采取以下哪些措施可以
防止此类事件发生?
A. 在互联网处理设备上配置 IPS、AV 策略
B.位了保证特征库的及时升级,在相关设备上配置定期自动升级功能
C. 对于重要的数据文件,采取定期的本地备份
D.由于勒索病毒通过 23/135/137/139/445/3389 等端口传播,可以在网络边界防火墙上阻断
外界对于这些端口的访问
E. 及时省会操作系统到最新版本
答案:ABCDE
323、以下关于 NGFW 防火墙对 SYS Flood 攻击的防范,正确的是?
A.连接限制技术包括 SYN Cookie 和 Sate Reset 两种方法
B.连接代理技术包括 TCP 半开连接数限制和 TCP 新建连接速率限制两种方法
C.TCP 半开连接数限制和 TCP 新建连接速率限制都是基于统计意义上的方法
D.SYN Cookie 技术的实现机制是防火墙在客户端与服务器之间做连接代理
答案:CD
324、如果把 TCP SYN 包的源地址和目标地址都设置成某一个受害者的 P 地址,将导致受害者向它自己的地址发送 SYN-ACK 消息,结果这个地址又发回 ACK 消息并创建一个空连接,每一个这样的连接都将保留直到超时。这就造成 SYN Flood 攻击。上述说法是_的
A 正确
B 错误
答案:B
325、套接字是支持 TCP/P 的网络通信的基本操作单元,一个套接字由相关五元组构成。下
列元素中哪些是五元组的组成部分
A 目的地址
B 源端口
C 载荷
D 协议
答案:ABD
326、通过 web/telnet/SSH 登录设备,都需要在防火墙上放通从客户端到设备本地的安全策
略。上述说法是
A 正确
B 错误
答案:A
327、防范 WinNuke 攻击的方法是检查 UDP 报文,如果报文的目的端口号为 139,且 UDP 的紧急标志被置位,而且携带了紧急数据区,则丢弃。上述说法是
A 正确
B 错误
答案 B
328、下列哪些攻击手段是 H3C 防火墙可以防御的?
A 跨站脚本攻击
B Smurf 攻击
C WinNuke 攻击
D 后门攻击
答案:ABCD
329、用户认证时,防火墙將按照先启顺序选择认证域。正确顺序为
A.用户名中指定的 ISP 域-->系统缺省的 ISP 域-->接入模块指定的认证域
B.接入模块指定的认证域-->用户名中指定 ISP 域-->系統缺省的 ISP 域
C 接入模块指定的认证域--->系统缺省的 ISP 域-->用户名中指定的 ISP 域
D 用户名中指定的 ISP 域-->-接入模块指定的认证域-->系統缺省的 ISP 域
答案:B
330、防火墙基于域的用户管理,以下说法正确的是
A. 为便于对不同接入方式的用户进行区分管理,提供更为精细且有差异化的认证、授
权、计费服务,AAA 將用户划分为:Login 用戶、Portal 接入用户、PPP 接入用户
B.防火墙对用户的管理是基于 ISP 域的
C.防火墙根据用户登入的接口决定用户所属的域
D.用户所属的 ISP 域是由用户登录时提供的用户名决定的
答案:ABD
331、RADIUS 服务器通常要维护 Users、 Clients、 Dictionary 三个数据库,以下说法正确的有
A. Dictionary:用于存储 RADIUS 协议中的属性和属性值含义的信息
B.Users:用于存储用户信息(如用户名、口令以及使用的协议、IP 地址等配置信息)
C. Dictionary:用于存储 RADIUS 客户端的信息(如 NAS 的共享密钥、IP 地址等)
D. Clients:用于存储 RADIUS 协议中的属性和属性值含义的信息
答案:AB
332、关联表是一个三元组表项,使用 IP 地址、端口、和协议作为 Key . Matchmode 字段表示报文匹配关联表的 Local Key 还是 Global Key
A 正确
B 错误
答案:A
333、通过在交换机上配置静态条目,绑定到正确的出接口,可以避免 MAC 欺骗攻击风险,
上述说法是??
A 正确
B 错误
答案:A
334、网络层常见的安全风险有哪些?
A .MAC 欺骗
B .WEB 攻击
C.地址扫描
D.Smurf 攻击
答案:CD
335、防火墙的接口既可以工作在三层模式也可以工作在二层模式,但是同一台防火墙的所
有端口只能处于同一种模式,该说法?
A 正确
B 错误
答案:B
336、下列哪些是防火墙所具备的基本功能?
A. 攻击防范
B. NAT
C. 路由交换
D. 双机热备
答案:ABCD
337、防火墙按照检测技术可以分为哪几种?
A. 包过滤防火墙
B. 应用代理防火墙
C. 网络防火墙
D. 状态检测防火墙
答案:ABD
338、AAA 认证不包括?
A. 计费
B. 接入
C. 授权
D. 认证
答案:B
339、用户 AAA 认证方式包括?
A.远端认证
B. 不认证
C. 授权认证
D. 本地认证
答案:ABD
340、关于会话老化时间,以下说法错误的是?
A 当会话数目过多时,建议将协议状态和应用层老化时间设置短点
B 配置各协议状态的会话老化时间,只对新建立的会话有效
C 如果某些业务确实需要较长的时间,可以考虑配置长连接解决
D 应用层协议的会话老化时间,只对已经建立并处于 READY/ESTABLISHED 状态的会话有效
答案:B
341、以下那条命令可以查看 H3C 防火墙快速转发的会话统计功能?
A. reset session table ipv4
B. session statistics enable
C. display session table ipv4 verbose
D. display session table ipv4
答案 C
342、以下哪些类型的成员可以加入到安全域中?
A. IP 子网
B. 三层接口
C. VLAN
D. 二层接口
答案 BD
343、配置 NAT 时下面哪些是必须的?
A 地址转换
B 地址池
C 静态路由
D ACL
答案:A
344、动态 NAT 中 easy ip 模式下外网接口的地址同一时间只能给一个内网 IP 使用。
A. 正确
B. 错误
答案:B
345、关于 pat 模式,下面说法正确的是?
A. 地址转换时会建立 pat 表项,记录 IP 地址的映射关系
B. 该模式下,一个 NAT 地址可以分配给多个内网地址使用
C. 支持 TCP、UDP、不支持 ICMP 报文
D. NAT 设备只对报文头部的 IP 地址进行转换,不转换端口号
答案:AB
346、如果 vpn 网络需要运行动态路由协议并提供私网数据加密,通常采用什么技术手段实
现?
A. L2TP+IPSEC
B. IPSEC
C. L2TP
D. GRE+IPSEC
答案 D
- 下面那些不属于三层 vpn 技术?
A. PPTP
B. MPLS VPN
C. L2TP
D. GRE
答案:AC
348、下面关于 GRE 协议的描述正确的是?
A GRE 提供了将一种协议的报文封装在另外一种协议报文中的机制,使报文能够在异种网络
中传输,异种报文传输的隧道成为 tunnel
B GER 是二层协议
C GRE 协议实际上是一种承载协议
D GRE 是对某些网络协议(如:IP、IPX 等)的数据报文进行封装,使这项被封装的数据报文能够在另外一种网络协议(如:IP)中传输
答案:ACD
349、以下属于块加密算法的是:
A. RSA
B. RC4
C. DES
D.AES
答案: CD
350、H3C 防火墙入侵防御功能需要安装 License 文件,Licsnse 到期后无法升级特征库,入侵防御功能不可用。
A.正确
B.错误
答案:B
351、某客户在 H3C 防火墙上配置了 URL 过滤功能,没有实现过滤可能原因:
A.过滤规则 URL 填写错误
B. License 到期
C. 没有在安全策略中添加
D. 配置没有激活
答案:ACD
352、下面哪一个协议工作在 TCP/IP 协议栈的传输层以下?
A. ARP
B. SSL
C. HTTPS
D. SSH
答案: A
353、以下关于防火墙双机热备的说法正确的是?
A 负载分担模式下,两台设备均为主设备,都处理业务流量
B 根据组网情况,双机热备有两种工作模式:主备模式和负载分担模式
C 双机热备的实现机制是会话同步
D 防火墙双机热备流量切换只有两种方式:一是通过 VRRP 实现流量切换,二是通过动态路由实现流量切换
答案:ABC
354、关于 Internet 上常见的网络安全威胁,下列说法正确的是?
A. 主要的 DOS/DDOS 攻击有 Smurf、land、syn flood、udp flood 和 ICMP flood 等
B. 主要的畸形报文攻击有 ping of death、teardrop 等
C. DOS/DDOS 攻击的攻击者通过寻找进入目标网络的入口来阻止合法用户访问网络资源
D. 成功的 DOS/DDOS 攻击一定会导致服务器性能急剧下降,造成正常客户的访问失败
答案:ABD
355、在一个 ISP 域中,RADIUS 授权方法和 RADIUS 认证方法无需引用相同的 RADIUS 方案也可以生效。
A. 正确
B. 错误
答案:B
356、安全域是防火墙区别域路由器的基本特征之一,接口只有加入业务安全区域才能转发
数据。
A.正确
B.错误
答案:A
357、以下哪些情况会主动将快速转发表项置为无效?
A. 转发表项的删除
B. 接口地址的 ARP 发生变化
C. 转发表项的更新
D. 接口的物理 down
答案:ABD
(C 答案自己斟酌选择)
358 .内部服务器模式下在放通安全策略时,目的地址应该是?
A 内网服务器地址
B 接口地址
C 地址池地址
D global 地址
答案:D
359、关于内部服务器模式,下面说法正确的是?
A 内部服务器模式下,需配置 global 地址与服务器地址一一对应,且端口必须一一相同
B 若公司门户网站需要提供外部访问,则需要用到 NAT 技术中的内部服务器模式
C NAT 转换可以屏蔽服务器地址,提供网络安全性
D 配置简单,在接口下发 NAT 配置即可
答案:BC
360、IPsec 有两种工作模式,分别是传输模式和隧道模式。
A.正确
B.错误
答案:A
361、如需要通过 VPN 隧道在协议 A 的网络上传输协议 B 的数据包,我们将协议 B 称为什么协议?
A 封装协议
B 隧道协议
C 载荷协议
D 承载协议
答案:C
362、IKE 的配置任务包括?
A 配置 IKE 提议
B 配置 IKE profile
C 配置 IKE keychain
D 配置本端和对端身份信息
答案:ABCD
363、下列关于 SSL VPN 的 IP 接入方式的说法正确的是?
A.通过在远程主机上安装虚拟网卡,并配置内网 IP 和可以访间内网的路由实现
B.是一种基于 B/S 架构的访问模式
C.需要在远程主机上安装 IP 接入客户端软件
D. IP 接入方式也称为” 端口转发"方式
答案: AC
364、下列关于 L2TP 会话的说法中正确的是?
A.会话建立后才可以为用户转发数据
B.会话与隧道一一对应
C.同一个隧道中可以建立多个会话,用 Session ID 加以区分
D.用户断开连接时,先关闭隧道,再关闭会话
答案:AC
365、与 L2TP VPN 相比,SSL VPN 具有哪些优点?
A.不需要额外的拨号上网费用
B.可以提供对数据的加密,保证数据传输的安全性
C.可以提供高细粒度的访问控制
D.拥有基于应用资源的访问控制策略
答案:ABCD
366、IKE 野蛮模式交换时 IKE 协商发起者发送的第一个消息 ,其中包括?
A.验证方法
B.散列算法
C.加密算法
D.进行 DH 操作的组信息以及 DH 公共值
E.身份信息
F.验证载荷
答案:ABCDE
367、下列关于 H3C 防火墙 URL 过滤实现流程说法错误的有? 单选题
A.如果报文与设备上 URL 过滤配置文件中的过滤规则匹配成功,则首先判断此 URL 过滤规
则是否属于 URL 过滤的黑/白名单规则。如果属于 URL 过滤白名单,规则则直接允许此报文通过,如果属于 URL 过滤的黑名单规则则直接将此报文阻断。白名单的优先级高于黑名单的优先级。
B.如果报文匹配了某个安全策略,且此策略的动作是允许并引用了 URL 过滤配置文件,
则设备提取报文中的 URL 字段进行 URL 过滤规则匹配。
C.如果此 URL 过滤规则既不属于 URL 过滤白名单规则也不属于 URL 过滤黑名单规则,则设备将进步判断该规则是否同时属于多个 URL 过滤分类。如果此 URL 过滤规则同时属于多个URL 过滤分类.则根据严重级别最高的 URL 过滤分类的动作对此报文进行处理。如果此 URL过滤规则只属于一个 URL 过滤分类,则根据该规则所属的 URL 过滤分类的动作对此报文进行处理。
D.如果报文未匹配上任何一条 URL 过滤配置文件中的过滤规则,则将进-步判断 URL 过滤配置文件中是否开启了 URL 过滤分类云端查询功能。如果分类云端查询功能已开启.则将报文中的 URL 发向云端 URL 过滤分类服务器进行查询。云端 URL 过滤分类服务器响应该请求,并向设备发送查询结果,该结果中包含了 URL 过滤规则及其所属的分类名称,设备根据该结果执行相应的分类处理动作。如果云端返回的分类在设备上没有与其对应的分类动作或者云端 URL 查询失败,则设备将丢奔此报文。
答案:A
368、Internet 网络上常见的安全威胁包括下列哪些内容?
A. ARP 攻击
B.未授权资源访问
C.拒绝服务攻击
D.非法资源访问
答案 ABCD
369、防范 ARP 欺骗的最好方法就是将 IP 和 MAC 静态绑定,把主机和网关都做 IP 和 MAC 绑定。上述说法是的。
A.错误
B.正确
答案:B
370、如何合理防范 MAC 泛洪攻击?
A.开启交换机动态 MAC 学习功能
B.关闭交换机的层转发功能
C.配置静态 MAC 转发表
D.配置端口的 MAC 学习条目限制
答案:CD
371、关于 H3C 防火墙的 License ,下列说法正确的是?
A.攻击防范功能需要取得 License 授权后才能使用
B. License 不需要在 H3C 官网注册
C.临时 License 授权的特性可以使用一段时间(比如 1~3 个月),并且可以迁移
D.可以使用 license activation-file install 命令用来安装激活文件
答案:D
372、H3C 防火墙配置成二层模式时数据依靠???进行转发。
A. HASH 表
B.路由表
C. MAC 地址表
D. FIB 表
答案:C
373、硬件防火墙都基于专用的硬件平台,下列关于防火墙硬件平台的说法正确的是?
A. NP 是专门为网络设备处理网络流量而设计的处理器,以解决 x86 架构性能不足和
ASIC 架构不够灵活的
B.多核架构采用多核处理器,在同一个芯片上集成了多个独立物理核心,每个核心都具
有独立的逻辑结构
C. X86 平台使用的是共享总线的一种架构,参与的网卡数量越多,获得的速率就越低,
实际上不能应用在干兆防火墙上
D. ASIC 架构的芯片功能比较单一,ASIC 灵活性和打展性也比较差,不能完成邮件过滤、
病毒防护等比较复杂的功能
答案:ABCD
374、想象下,你是某个公司的老板,手头上有一台 H3C 防火墙,为了让员工“全身心”投入工作,这台防火墙可以怎么帮助你?
A.微信只能发文字和语音,没法“斗图”
B.看看哪些人经常逛招聘网站
C.上班期间,-打开视频网站,浏览器就弹出自己的头像
D.打游戏高 Ping,但视频会议流畅的很
答案:ABD
375、以下关于 RADIUS 认证说法错误的是
A. TLV 结构,利于扩展
B.常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中
C. RADIUS 认证是是一种分布式的、客户端/服务器结构的信息交互协议
D. RADIUS 最初仅是针对拨号用户的 AAA 协议,后来随着用户接入方式的多样化发展,
RADIUS 也适应多种用户接入方式
E.基于 UDP 传输,端口号 1812、1813 均可作为认证/授权、计费端口
答案:E
376、关于以下命令说法正确的是[Device-isp-test] authentication default radius-scheme rd local
A. Radius 方案的名称为 rd local
B. Local 为备选认证方法
C.配置的 isp 域的名字是 test
D.缺省认证方法是 radius-scheme rd local
答案:BC
377、以下哪些配置可以实现 Portal 用户的登录权限?
A. [Device-luser-manage-test] service-type portal
B. [Device-luser-network-test] service-type portal
C. [Device] local-user test class manage
D. [Device] local-user test class network
答案:BD
378、以下关于 RADIUS 认证说法正确的是
A. RADIUS 最初仅是针对拨号用户的 AAA 协议,后来随着用户接入方式的多样化发展,
RADIUS 也适应多种用户接入方式
B.常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中
C. RADIUS 认证是一种分布式的、 客户端/服务器结构的信息交互协议
D.基于 TCP 传输,端口号 1812、1813 分别作为认证/授权、计费端口
答案: ABC
379、Portal 认证通常也称为 Web 认证,即通过 Web 页面接受用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。
图中利用防火墙作为 Portal Web 服务器和 Portal 认证服务器实现用户 Portali 认证,防火墙上的配置如下: 正确的是
A. Portal Web 服务器的 URL 为 http://192.168.0.100:2331/portal,不可配置为开启 Portal
认证的接口的 IP 地址
B. 本地 Portal Web 服升器的 HTTP 服务侦听的 TCP 端口号为 2331
C. 防火墙上的缺省域为 dm1
D. 配置本地 Portal Web 服务器提供的缺省认证页面文件为 abc.zip
答案:BCD
380、安全策略加速功能失效,规则匹配的过程和建立连接的时间会变长,同时也会占用系
统大量的 CPU 资源。
A.错误
B.正确
答案:B
381、下列关于 H3C 防火墙会话加速功能说法正确的是?
A.启用会话加速功能时,双向代理方式的 TCP Proxy 功能对受保护 IP 表项相关信息的统计不准确
B.启用会话加速功能时,会话的半连接数统计不准确,无法根据半连接数阈值进行 SYN
Flood 攻击检测
C.启用会话加速功能时,可以对非首包进行报文异常检测
D.会话加速和双机热备功能同时启用时,会话加速功能无效,并且会导致设备处理性能
的下降
答案: AB
382、根据 IP 层协议的不同,以下关于流的说法正确的是?
A. ICMP 流:通过源 IP、目的 IP、协议三元组唯标识
B. RAW IP 流:不属于上述协议的,通过源 IP、目的 IP、协议三元组唯一标识
C. TCP 流:通过源 IP、源端口、协议、目的 IP、目的端口五元组唯-标识
D. UDP 流:通过源 IP、源端口、协议、目的 IP、目的端口五元组唯标识
答案:ABCD
383、在设备上开启 debug 信息时,以下哪些说法是正确的?
A.有 vpn-instance 的需要在 ACL 里加 vpn-instance
B. debug 完成后需要关闭 debug 开关
C.防止不必要的 debug 信息开启
D.尽量写明精确的 ACL,精确到源目地址和协议
答案:ABCD
384、关于网络地址转换,下面说法正确的是?
A.若接口上配置了 nat 策略,则默认所有从该接口发出的流量都会进行地址转换
B. nat 策略需要在全局模式下启用
C.地址池的起始地址不能相同
D. acl 为必配项,用于筛选接口下需要进行 nat 的流量
答案:D
385、地址转换时,配置动态 nat,未配置动态 nat 的模式,则此时的动态 nat 模式为?
A.默认模式为空
B.pat
C.no pat
D. easy ip
答案:B
386、以下关于动态 NAT 的说法正确的是
A.动态 NAT 必须要指定地址池地址
B. PAT 模式中一个公网地址可以同时提供给多个私网地址使用
C.动态 NAT 的配置中,必须要配置 ACL 来指定可以进行 NAT 转换的地址
D.所有模式的动态 NAT 都支持复用公网地址
答案:B
387、如图所示.分支机构( 192.168.10.0)与总部之间( 192.168.20.0 )通过 IPsec 隧道传输数据,
在路由器的接口 1/0/1 上配置 IPsec 策略,当接口止又|被配置了 nat outbound 策略后,用户发现应该走隧道的流量并没有走隧道,下列哪种主要配置既能最合理的保证正常的地址转换又可以完美解决这一?
388、内网到外网的出接口做了 nat 配置.则下面说法正确的是?
A.内网访问外网流量到达 nat 设备(防火墙)先匹配安全策略,再匹配 nat 策略
B.动态 nat 策略均在接口模式下下发
C. pat 模式与 no pat 模式配置相同,区别在于全局下发配置时,不需要跟 no pat
D.内网访问外网流量到达 nat 设备(防火墙)先匹配 nat 策略,再匹配安全策略
答案:A
389、某公司有几百名员工需要访问因特网,下面哪种技术可以合理满足需求?
A. easy ip
B. nat static
C.nopat
D. pat
答案:D(单选D,多选AD)
390、IKE 协商过程中,野蛮模式需要交互??个消息报文
A .3
B .4
C. 6
D. 7
答案:A
392、如下图所示拓扑中作为 LAC 的 PC 可以拨通 LNS ,但是无法获取地址,下列分析正确的是?
A.检查是否在 VT 下使用”remote address pool"来给对方分配地址。
B.检查地址池配置是否正确。
C. L2TP 建立成功后,便开始 PPP 协商。
D. PC 的地址通过 IPCP 协商来获取。
答案:ABCD
393、H3C SSL VPN 通过哪些因素综合确定用户可以合法访问的网络资源?
A.主机检查结果
B.认证方式
C.用户身份
D.安全策略
答案:ACD
394、下面关于加密的实现层次说法正确的是
A. IPsec 是网络层加密
B.在链路两端直接加入加密盒是数据链路层加密
C.邮件加密、SSH. 文件加密是应用层加密
D. SSL 是传输层加密
答案:ABCD
395、在 H3C 防火墙上配置入侵防御,单击<提交>按钮,激活入侵防御配置文件的配置内容时此功能会暂时中断 DPI 业务的处理
A.错误
B.正确
答案:B
396、下列关于 H3C 防火墙防病毒处理的整体流程说法正确的有:
A.设备将报文同时与特征库中的病毒特征和 MD5 规则进行匹配,同时匹配成功则认为
该报文携带病毒,井进行下一步处理。
B.如果病毒报文符合应用例外,则执行应用例外的防病毒动作,否则执行所属应用层协
议的防病毒动作。
C.如果报文匹配了某个安全策略,且此策略的动作是允许并引用了防病毒策略,则设备
将继续识别此报文的应用层协议。
D.如果报文的应用层协议为防病毒功能所支持, 则设备使用病毒特征库中的病毒特征
对此报文进行匹配,否则不对其进行防病毒处理。
答案:BC
397、H3C 防火墙防病毒动作是指对符合病毒特征的报文做出的处理,包括如下几种类型:
A.阻断:禁止病毒报文通过,同时生成病毒日志。
B.允许:允许病毒报文通过。
C.告警:允许病毒报文通过,同时生成病毒日志。
D.重置:通过发送 TCP 的 reset 报文或 UDP 的 ICMP 端口不可达报文断开 TCP 或 UDP 连接。
答案:AC
398、以下关于 H3C ACG 说法正确的有
A. ACG 产品支持旁路部署,部署时需要在“系统管理-部署方式”处将接收流量的接口
打钩, 并在交换机上将流量镜像到该接口
B. ACG 产品支持微信认证、短信认证等功能
C. ACG 的 DFI 主要用来识别应用的静态报文特征,DPI 主要用来识别应用的动态流量特
征
D. ACG 产品不支持 VRF 功能,因此无法作为 MCE 设备和 MPLS 网络对接
答案:AB
399、H3C 防火墙安全策略的发展主要经历哪三个阶段?
A.基于三元组的域间策略
B.基于 ACL 的或间策略阶段
C. NGFW 的一体化安全策略
D.融合 UTM 的对象策略
答案: BCD
400、若设备的接口地址是通过 dhcp 或是 pppoe 动态获取.则应该配置哪种 nat 模式?
A. nopat
B. easy ip
C. nat server
D. nat static
答案 :B
扫一扫
477
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
