ipv4地址32位
ipv4display interdface
interface g0/0/0
system
authien
ip add 192.168.1.1 24
version header typeofservice totellenght
identificasatetions time 同LIbve TTL
Porcaltoal
framement div=1 or =1
df mf
分片
收到为0的报文数据片
第3、(单选题)以下关于URL分类的描述,错误的是哪一项?
A:自定义URL分类需要管理员手工配置; B:预定义URL分类是出厂预置的,无需管理员手动加载;
C:预定义URL分类不能创建、删除和重命名; D:预定义URL分类优先级高于自定义U RL分类;
解析:这道题考查对URL分类的理解。在网络管理中,自定义URL分类需管理员手工配置,A正确;预定义URL分类不能创建、删除和重命名,B正确;它是出厂预置且无需管理员手动加载,C正确。而实际上,自定义URL分类优先级高于预定义URL分类,并非D选项所说,所以答案选D。。
答案:D 。
第4、(单选题)以下哪一项为Tracer!报文攻击的防范方法?
A:丢弃带有时间的IP报文; B:对于检测到的超时ICMP报文或UDP报文,或者目的端口不可达的报文,给予丢弃处理;
C:用户可以根据实际网络需要配置允许通过的ICP报文的最大长度,1当实际IP报文的长度超过该值时,将丢弃该文; D:对ICMP不可达报文进彳于丢弃,并记录攻击日志;
解析:Traceroute报文攻击是一种网络攻击手段,攻击者利用Traceroute报文来探测网络拓扑结构、获取目标主机的信息等。为了防范这种攻击,可以采取以下措施:-丢弃带有时间的IP报文:这种方法可以防止攻击者利用Traceroute报文获取网络拓扑结构信息。-对于检测到的超时ICMP报文或UDP报文,或者目的端口不可达的报文,给予丢弃处理:这种方法可以防止攻击者利用Traceroute报文进行端口扫描等攻击。-用户可以根据实际网络需要配置允许通过的ICP报文的最大长度,当实际IP报文的长度超过该值时,将丢弃该报文:这种方法可以防止攻击者利用Traceroute报文进行拒绝服务攻击。综上所述,选项B是正确的答案。。
答案:B 。
第5、(单选题)在NAT穿越场景中,如果检测到NAT设备后,ISAKMP消息的目的端口号将变为以下哪一项?
A:4500; B:51; C:50; D:500;
解析:这道题考查对NAT穿越场景中ISAKMP消息目的端口号的了解。在网络通信技术中,NAT穿越场景有特定的端口设置规则。经过检测到NAT设备后,ISAKMP消息的目的端口号通常会变为4500,这是基于相关网络技术标准和实际应用情况得出的。。
答案:A 。
第6、(单选题)带宽通道定义了具体的带高资源,是进行带宽管理的基础。以下哪一项是带宽通道中可以定义的资源?
A:带宽策略; B:每日流量配额; C:出口带宽限制; D:策略独占;
解析:带宽通道是进行带宽管理的基础,它可以定义具体的带宽资源。在带宽通道中,可以定义的资源包括带宽策略、每日流量配额、出口带宽限制等。其中,策略独占是带宽通道中可以定义的唯一资源,它是指某个特定时间段内,该通道内流量具有独占的带宽资源,其他流量需要等待该通道空闲后才能使用。因此,选项D是正确的答案。。
答案:D 。
第7、(单选题)以下关于内容过滤中关键字的描述,错误的是哪一项?
A:正则表达式方式匹配比文本方式更加灵活和高效,但配置需要遵循正则表达式规则; B:关键字包括预定义关键字和自定义关键字;
C:预定义关键字是管理员手工定义且可以识别的关键字; D:文本和正则表达式能匹配的关键字最短长度为3个字节;
解析:这道题考查对内容过滤中关键字的理解。在内容过滤领域,关键字分为预定义和自定义两种。同时,正则表达式方式匹配虽更灵活高效但有规则要求,且能匹配的关键字最短长度通常不是由管理员随意定义。选项A中说预定义关键字是管理员手工定义,这是错误的,实际上预定义关键字是系统预先设定好的。。
答案:C 。
第8、(单选题)以下关于HWTACACS协议特征的描述,错误的是哪一项?
A:使用共享密钥加密方式,但是仅对认证报文中的密码字段进行加密; B:支持对设备上的配置命令进行授权使用,多用于设备认证;
C:基于TCP传输层协议,网络传输可靠性较高; D:认证、授权和计费功能分离,所以认证、授权和计费服务可以分别部署在不同的服务器上;
解析:HWTACACS协议的特征包括:它是基于TCP传输层协议,因此网络传输的可靠性较高;其认证、授权和计费功能是分离的,这使得这些服务可以灵活地分别部署在不同的服务器上;它还支持对设备上的配置命令进行授权使用,因此多用于设备认证。然而,关于加密方式,HWTACACS并非仅对认证报文中的密码字段进行加密,而是有更全面的加密机制。因此,选项C的描述是错误的。。
答案:A 。
第9、(单选题)为判断Linux主机是否被添加了非系统默认或正常业务程序注册的路径,可查看linux系统的哪一个环境变量?
A:$HOSTNAME; B:$SHELL; C:$HOME; D:SPATH;
解析:这道题考察的是对Linux环境变量的理解。在Linux系统中,环境变量用于定义系统操作的环境。对于判断系统是否被添加了非默认或异常程序注册的路径,关键在于理解哪个环境变量用于存储用户的shell路径。$SHELL环境变量正是用于此目的,它指向当前用户使用的shell程序,若被非法修改,则可能表明系统被添加了异常路径。因此,正确答案是B。。
答案:B 。
第10、(单选题)以下关于SSLVPN的特点的描述,错误的是哪一项?
A:SSLVPN支持的认证种类少,与原有身份认证系统较难集成; B:SSLVPN能支持各种IP应用;
C:SSLVPN针对内网资源可以解析到应用层,并精细化地发布应用; D:由于SSLVPN登录方式借助了浏览器,所以实现了客户端的自动安装和配置,这样用户可以随时随地用设备快捷登录,同时也缓解了网络管员维护客户端等方面的压力;
解析:SSLVPN是一种基于安全套接层协议的虚拟专用网络技术,它具有以下特点:1.**支持多种认证方式**:SSLVPN可以与多种身份认证系统集成,如RADIUS、LDAP等,提供灵活的认证方式。2.**支持各种IP应用**:SSLVPN可以通过浏览器访问各种基于IP的应用,如Web应用、文件共享、远程桌面等。3.**应用层精细化发布**:SSLVPN可以对内部网络资源进行应用层的解析和发布,实现更精细的访问控制。4.**客户端自动安装和配置**:SSLVPN利用浏览器的自动安装和配置功能,使用户可以方便快捷地登录,减轻了网络管理员维护客户端的压力。综上所述,选项A是错误的描述,SSLVPN支持的认证种类并不少,并且可以与原有身份认证系统较好地集成。因此,正确答案是A。。
答案:A 。
第11、(单选题)以下哪一项参数不是全局选路策略分类的条件?
A:宽带; B:端口号; C:质量; D:权重;
解析:全局选路策略是指在网络中选择最优路径的方法。常见的全局选路策略分类条件包括带宽、质量和权重等。带宽是指网络链路的传输能力,通常是选择路径时的重要考虑因素之一。质量可以包括延迟、丢包率等指标,用于评估路径的性能。权重可以根据特定的需求或策略来分配给不同的路径,以影响选路决策。而端口号通常与网络通信的具体应用或协议相关,不是全局选路策略分类的直接条件。因此,选项B是正确答案。。
答案:B 。
第12、(单选题)以下关于IPS预定义签名的描述,错误的是哪一项?
A:预定义签名的内容不是固定的,可以创建、修改或删除; B:当预定义签名的动作为阻断时,阻断命中签名的报文,并记录日志;
C:当预定义签名的动作为放行时,对命中签名的报文放行,不记录日志; D:当预定义签名的动作为告警时,对命中签名的报文放行,但记录日志;
解析:关于IPS预定义签名的描述,对于错误项的分析如下:A项正确。当预定义签名的动作为告警时,通常意味着系统对命中签名的报文进行了检测并发现潜在威胁,因此会放行报文但同时记录日志以供后续分析。B项正确。当动作为放行时,表示报文被允许通过,且由于没有检测到威胁,所以不记录日志。C项错误。预定义签名的内容通常是固定的,由网络安全团队根据已知的威胁和攻击模式预先设定。虽然可以创建、修改或删除签名集,但单个预定义签名的内容不是随意可变的。D项正确。当动作为阻断时,表示系统检测到与预定义签名匹配的报文可能构成威胁,因此会阻断该报文并记录日志以便分析。综上所述,错误的是C项,即预定义签名的内容不是固定的。。
答案:A 。
第13、(单选题)以下哪一项不属于IKE安全提议需要配置的参数?
A:协商模式; B:认证算法; C:加密算法; D:封装模式;
解析:这道题考查对IKE安全提议配置参数的了解。IKE安全提议中,认证算法、协商模式和加密算法都是常见且重要的配置参数。而封装模式通常不属于其必须配置的参数。熟悉IKE相关知识可知,前三项在保障安全和有效协商中起关键作用,所以答案选C。。
答案:D 。
第14、(单选题)在双机热备系统版本升级过程中,备机的升级步骤遵循以下哪一种顺序?
1Shutdown备机的心跳接口;
2Undo shutdown R机的心跳接口;
3升级备机的系统软件版本;
4Undo备机的业务接口;
5验证备机的升级结果;
6保存配置;
7等待主备防火墙同步会话表等表项;
8Shutdown备机的业务接口;
A:1-8-3-2-7-4-5-6; B:8-1-3-2-4-7-5-6;
C:8-1-3-2-7-4-5-6; D:1-8-3-4-2-7-5-6;
解析:这道题考察的是双机热备系统版本升级过程中备机的升级步骤顺序。在双机热备系统中,升级备机时,需要先关闭备机的心跳接口(步骤1),然后才能执行其他升级操作。接着,升级备机的系统软件版本(步骤3),之后要恢复备机的心跳接口(步骤2),以确保主备机之间的通信。随后,需要关闭备机的业务接口(步骤4),等待主备防火墙同步会话表等表项(步骤7),验证备机的升级结果(步骤5),最后保存配置(步骤6)。因此,正确的步骤顺序是8-1-3-2-7-4-5-6,对应选项C。。
答案:C 。
第15、(单选题)以下哪一项不是Anti-DDos防御系统管理中心的职责?
A:安全报表分析; B:设备管理; C:下发防御策略; D:进行流量引流;
解析: 。
答案:D 。
第16、(单选题)在Linux主机上可通过以下哪一个命令查看当前进程CPU内存利用率?
A:lostat; B:Top; C:Df-h; D:Free -h;
解析:这道题考察的是Linux系统监控命令的知识。在Linux系统中,`top`命令用于实时显示系统中各个进程的资源占用状况,包括CPU和内存利用率。`lostat`命令不存在,可能是`iostat`的误写,用于监控系统输入输出设备和CPU的使用情况。`df-h`命令用于显示磁盘空间的使用情况。`free-h`命令用于显示内存的使用情况,但不包括进程信息。因此,正确答案是B。。
答案:B 。
第17、(单选题)对于新建网络、用户集中、信息安全要求严格的场合,一般采用哪一种认证方式?
A:Portal认证; B:802.1x认证;C:MAC优先的Port扪认证; D:MAC认证;
解析:这道题考察的是网络认证方式的选择。在新建网络、用户集中、信息安全要求严格的场合,需要一种能够提供较高安全性的认证方式。802.1x认证是一种基于端口的网络访问控制协议,能够提供较高的安全性,适用于这种场合。因此,B选项“802.1x认证”是正确答案。。
答案:B 。
第18、(单选题)以下关于防火墙双机热备系统版本升级特点的指述,错误的是哪一项?
A:当现网防火接系统版本出现Bus时,需要升级系统版本; B:当现网防火撞系统版本不支持某些特性时,需要升级系统版本;
C:版本升级对升级前的设备型号和版本有要求; D:在进行双机热备版本升级时,遵循的原则为先升级Active设备,再升级Stand by设室;
解析:在防火墙双机热备系统版本升级时,应遵循先升级Standby设备,再升级Active设备的原则,而不是先升级Active设备,所以D选项错误。A选项,系统版本出现Bug确实需要升级;B选项,不支持某些特性通过升级版本来解决是合理的;C选项,版本升级通常对设备型号和版本有一定要求,以确保兼容性。综上所述,答案选D。。
答案:D 。
第19、(单选题)如图所示,防火墙作为网关双机热备部署,上下行设备为交接机。若要实现来回流量负载均衡,则该场景至少需要配置几个VRRP备份组?
A:4; B:3; C:6; D:2;
解析:这道题考察的是对VRRP(虚拟路由冗余协议)备份组配置的理解。在双机热备部署中,为了实现来回流量的负载均衡,通常需要在每个方向上配置一个VRRP备份组。由于题目描述中提到的是网关双机热备,且上下行设备为交接机,这意味着需要为上行和下行方向各配置一个VRRP备份组,因此总共需要2个备份组。所以答案是D。。
答案:D 。
第20、(单选题)以下关于防火墙虚拟系统中出方向流量的描述,正确的是哪一项?
A:从私网接口流向公网接口的流量,受入方向带宽的限制; B:从公网接口流向私网接口的流量,受入方向带宽的限制;
C:从私网接口流向公网接口的流量,受出方向带宽的限制; D:从公网接口流向私网接口的流量,受出方向带宽的限制;
解析:这道题考查防火墙虚拟系统中出方向流量的知识。在网络安全领域,出方向流量指从私网接口流向公网接口的流量。根据相关原理,此流量受出方向带宽的限制。A选项说受入方向带宽限制错误;B、D选项对流量方向和带宽限制的描述均不正确,所以答案是C。。
答案:C 。
第21、(单选题)以下关于虚拟系统分流的描述,错误的是哪一项?
A:接口工作在二层时,采用基于VLAN的分流方式; B:接口工作在三层时,采用基于接口的分流方式;
C:通过分流能将进入设备的报文送入正确的虚拟系统处理; D:采用基于接口的分流方式时,管理口可以分配给指定的虚拟系统;
解析:这道题考查虚拟系统分流的知识。在虚拟系统分流中,基于接口的分流方式下,管理口通常不能分配给指定的虚拟系统。A选项说明分流的作用;B选项指出接口工作在三层时的分流方式;D选项阐述接口工作在二层时的分流方式。综合来看,C选项的描述不符合虚拟系统分流的实际情况。。
答案:D 。
第22、(单选题)如图所示是基于链路优先级主备备份的全局选路策路。以下关于该场景的描述,错误的是哪一顼?
A:该种方式可以提高业务的可靠性; B:如果没有为主接口链接指定过载保护阈值,即使发生链接过载,防火墙也不会使用其他链接传输流量;
C:ISP1链路的优先级最高,所以防火墙连接ISP的接口为主接口; D:如果主接口链接发生故障后,防火墙连接ISP2和ISP3的接口被启用进行负载分担;
解析:基于链路优先级主备备份的全局选路策略可以提高业务的可靠性,因为优先级高的链路会优先被使用。如果主接口链接发生故障,防火墙会启用其他链接进行负载分担,而不是仅使用ISP2和ISP3的接口。因此选项D是错误的描述。。
答案:D 。
第23、(单选题)以下关于Web代理中Web Link的描述错误的是哪一项?
A:存在一定的安全风险; B:不会进行改写,会暴露内网服务器的真实地址;
C:存在页面兼容性问题,可能会出现图片错位情况; D:依赖IE控件,在非IE环境中无法正常使用;
解析:这道题考察的是对Web代理中WebLink的理解。WebLink作为代理技术的一种,主要用于在Web环境中提供资源的链接。
A选项提到“存在一定的安全风险”,这是正确的,因为任何代理技术都可能成为攻击的目标。B选项说“不会进行改写,会暴露内网服务器的真实地址”,这也是正确的,WebLink通常不会改写URL,因此可能会暴露内部网络结构。
C选项提到“存在页面兼容性问题,可能会出现图片错位情况”,这是不准确的。WebLink主要是链接技术,不涉及页面内容的改写或渲染,因此通常不会导致页面兼容性问题或图片错位。
D选项说“依赖IE控件,在非IE环境中无法正常使用”,这是正确的,因为早期的WebLink实现确实可能依赖于特定的浏览器控件,如IE控件。综上所述,C选项是错误的描述。。
答案:C 。
第24、(单选题)针对SIP Flood攻击,华为防火墙能采取以下哪一项的防范技术?
A:源探测; B:指纹防范; C:首包丢弃; D:限流;
解析:这道题考查对华为防火墙防范SIPFlood攻击技术的了解。在网络安全领域,针对此类攻击,源探测是一种有效的防范手段。通过对攻击源的探测,能更好地识别和应对攻击。选项A指纹防范、B首包丢弃、D限流在应对SIPFlood攻击时并非主要的有效技术,所以答案选C源探测。。
答案:A 。
第25、(单选题)若在网络中部WAnti-DDoS防方案,则以下哪一项不是管理中心的必要配置?
A:添加Anti-DDoS设备; B:配置防护对象;
C:配置流量引导; D:配置防制策略;
解析:在网络中部署Anti-DDoS防御方案时,管理中心通常需要进行以下配置:1.添加Anti-DDoS设备:将Anti-DDoS设备添加到网络中,以便对网络流量进行监测和防护。2.配置防护对象:指定需要防护的网络资源或服务,例如网站、服务器等。3.配置防护策略:根据实际需求,制定相应的防护策略,例如限制流量、过滤恶意请求等。而流量引导通常是在网络边缘设备(如路由器、防火墙等)上进行的配置,用于将流量引导到Anti-DDoS设备进行处理。因此,选项C不是管理中心的必要配置,正确答案是C。。
答案:C 。
第26、(单选题)某企业组网如图所示,以下哪一项是合理的回注方式?
A:二层回注; B:GRE VPN回注; C:策略路由回注; D:静态路由回注;
解析:在该企业组网中,二层回注是合理的回注方式。二层回注是指在数据链路层进行回注,通过交换机将流量回注到原始源地址。这种方式适用于网络拓扑相对简单、对实时性要求较高的场景。
GREVPN回注通常用于跨越不同网络或建立安全隧道。策略路由回注则根据特定的策略进行路由选择,可能不适合所有情况。静态路由回注需要手动配置路由,灵活性较差。
综合考虑,二层回注更符合该企业组网的需求,能够提供高效、快速的数据传输。因此,选项A是合理的回注方式。。
答案:A 。
第27、(单选题)以下哪一项是URL匹配方式的正确顺序?
A:精确匹配〉后缀匹配>前缀匹配〉关键字匹配; B:前缀匹配>后缀匹配>关键字匹配〉精确匹配;
C:关键字匹配〉后缀匹配>后缀匹配〉精确匹配; D:关键字匹配>前缀匹配>后缀匹配>精确匹配;
解析:在URL匹配中,不同的匹配方式有不同的优先级。精确匹配是指完全匹配URL,优先级最高;后缀匹配是指匹配URL的后缀部分,优先级次之;前缀匹配是指匹配URL的前缀部分,优先级再次之;关键字匹配是指匹配URL中的关键字,优先级最低。因此,正确的顺序是精确匹配>后缀匹配>前缀匹配>关键字匹配,选项A正确。。
答案:A 。
第28、(单选题)以下关于邮件内容过滤运行机制的描述,错误的是哪一项?
A:防火墙首先需要根据匹配条件识别出要进行邮件过滤的流量; B:检测到POP3或MAP消息时,如果判定为非法邮件,防火墙的响应动作可以是发送告警信息或阻断邮件;
C:邮件内容过滤仅在出方向检测; D:防火墙筛选出邮件流量后,再检查邮箱地址和附件大小,识别出非法邮件;
解析:这道题考察的是对邮件内容过滤运行机制的理解。邮件内容过滤不仅可以在出方向检测,也可以在入方向检测,目的是识别并处理非法邮件。防火墙确实需要根据匹配条件识别邮件流量,对于非法邮件,防火墙可以发送告警或阻断。邮件流量的筛选包括检查邮箱地址和附件大小等。因此,C选项“邮件内容过滤仅在出方向检测”是错误的描述。。
答案:C 。
第29、(单选题)以下哪个不是文件类型识别结果的异常情况?
A:文件扩展名不匹配; B:文件类型无法识别; C:文件损坏; D:文件被压缩;
解析: 。
答案:D 。
第30、(单选题)管理员在防火墙上定义了两个需要识别的关键字,关键字管理员在防火墙上定义了两个需要识别的关键字,关键字X的权重值为2,关键字Y的权重值为3。定义了内容过滤的告警阈值为5,阻断阈值为10。如果设备检测出用户浏览的网页中存在一次关键字X,两次关键字为Y。则关于权重值及用户访问网页的行为,以下哪个说法时正确的?
A:权重值为8,可以访问网页; B:权重值为10,不能访问网页;C:权重值为8,不能访问网页; D:权重值为10,可以访问网页;
解析: 。
答案:A 。
第31、(单选题)WAF设备的工作模式不包括以下哪一项?
A:正向代理; B:反向代理; C:桥模式; D:透明代理;
解析:这道题考查对WAF设备工作模式的了解。在网络安全领域,WAF设备常见的工作模式有桥模式、透明代理和反向代理。而正向代理一般不被包含在WAF设备的工作模式中,所以答案选D。。
答案:A 。
第32、(单选题)WAF设备可以有效、精准抵CC攻击,以下关于CC攻击的描述,错误的是哪一项?
A:CC攻击是DDoS攻击的一种; B:CC攻击的攻击成本较高,发起攻击需要大量的带宽资源;
C:CC攻击可以利用代理服务器发起攻击.导致难以追踪攻击源; D:CC攻击主要用来攻击Web服务器,导致服务器资源耗尽,其至宕机;
解析:CC攻击作为DDoS攻击的一种,其特点包括攻击成本低、不需要大量的带宽资源,这使得攻击者可以轻易地发起攻击。同时,CC攻击可以利用代理服务器进行,从而难以追踪攻击源。其主要目标是Web服务器,通过大量请求耗尽服务器资源,甚至导致服务器宕机。因此,选项B中“CC攻击的攻击成本较高,发起攻击需要大量的带宽资源”的描述是错误的。。
答案:B 。
第33、(单选题)防火墙设备中存在一条日志信息,如下所示:Jun 1 2022 14:27:01 FW3%%01UPDATE/3/LOADFATL(1)[182]:Failedtoloadthesignaturedatabase.(Syslogld=4).Module=IP-REPUTATION,Slot=11,CPU-0,LoadVersion=J Duration(s)-0,Reason ="No SDB version is available forloading)。则该日志中的"UPDATE"字段代表以下哪一项?
A:日志信息摘要; B:日志描述信息; C:日志等级; D:产生该日志的功能模块;
解析:这道题考察的是对防火墙设备日志信息的理解。日志信息中的各个字段有其特定的含义。在这个日志条目中,“UPDATE”字段通常用于表示日志的类型或分类,它指示这是一条关于更新操作的日志。根据日志的常规结构和字段含义,“UPDATE”在这里指的是日志描述信息,即这条日志是关于某个更新操作的记录。因此,正确答案是B,表示“日志描述信息”。。
答案:B 。
第34、(单选题)某企业网络组网架构如下图所示,在SW2上部署了PmtW认证.其免认证模板如图所示下描述正确的是哪一顶?
A:此时终端可以打开认证界面; B:此时终端可以Ping通自己的网关;
C:此时终端可以正常进行DN S解析; D:此时终端可以通过在浏览器输入URL的方式被重定向到认证界面;
解析:在SW2上部署了PmtW认证,根据免认证模板的设置,终端在这种情况下可以Ping通自己的网关。因为免认证模板可能允许了终端与网关之间的Ping通信,而对于选项A,不一定能直接打开认证界面;选项C,不一定能正常进行DNS解析;选项D,不一定能通过在浏览器输入URL的方式被重定向到认证界面。所以,正确答案是B。。
答案:B 。
第35、(单选题)Portal认证的认证协议不包括以哪一项
A:EAP协议; B:HTTP协议; C:Portal协议; D:HTTPS协议;
解析: 。
答案:A 。
第36、(单选题)LDAP协议是基于Client/Server结构提供目录信息的绑定和查询,所有的目录信息存储在LDAP服务器上。LDAP协议中目录是按照树型结构组织,目录由条目组成’条目是具有区别名DN的属性集合。以下哪一项是LDAP的域名属性?
A:DC; B:CN; C:OU; D:DN;
解析:这道题考查对LDAP协议中域名属性的了解。在LDAP协议里,目录按树型结构组织,由具有区别名DN的属性集合组成条目。而“DC”是LDAP中的域名属性。“CN”通常指通用名称,“OU”指组织单元,“DN”是区别名。综合来看,答案选A。。
答案:A 。
第37、(单选题)使用iNaster NCE-Campus作为Portal服务器,在华为无线控制器上部署Porta以证,下哪一项配置不是必须的?
A:URL模板; B:认证模板; C:Portal认证模板; D:MAC认证模板;
解析:在华为无线控制器上部署Portal认证,需要配置URL模板用于指定Portal服务器地址等信息,认证模板用于定义认证相关参数,Portal认证模板用于具体设置Portal认证方式等,而MAC认证模板与Portal认证并非直接相关,不是部署Portal认证必须的配置。所以答案选D。。
答案:D 。
第38、(单选题)MAC地址认证场景中,不需要用户手动输入用户名和密码,采用以下哪一项为认证的用户名?
A:账号; B:IP地址; C:接口编号; D:MAC地址;
解析: 。
答案:D 。
第39、(单选题)以下哪一项是入侵防御特征库中包含的签名
A:签名过滤器; B:预定义签名; C:自定义签名; D:例外签名;
解析:这道题考查对入侵防御特征库签名类型的了解。在入侵防御系统中,特征库包含多种签名类型。其中,预定义签名是常见且重要的一种。例外签名、自定义签名和签名过滤器并非特征库中直接包含的签名类型,所以这道题应选C。。
答案:B 。
第40、(单选题)以下关于文件过滤处理流程的描述,正确的是哪一项?
A:如果文件的所有参数都能够匹配所有文件过滤规则,那么模块将执行此文件过滤规则的动作; B:文件过滤模块会将之前模块识别出的文件的应用类型、文件类型和传输方向与管理员配置的文件过滤规则查询表进行从上到下的匹配;
C:执行的动作有告警和阻断两种; D:如果文件类型是压缩文件"那么在进行文件过滤检测后,文件将会被送到文件解压模块进行解压缩,解压出原始文件。若解压失败,文件不会再进行文件过滤;
解析:这道题考查文件过滤处理流程的知识。在文件处理中,压缩文件若解压失败不再进行文件过滤,这是一种特定的处理方式。A选项未提及压缩文件的特殊情况;B选项只是说匹配规则,不够具体;C选项动作描述不完整。综合来看,D选项对文件过滤处理流程的描述更准确全面。。
答案:D 。
第41、(单选题)在IPSec中,如果Security ACL与实际待保护数据流不匹配,将会引起以下哪一种后果?
A:IKE SA无法建立; B:IPSec VPN业务不通;
C:没有数据流触发IKE协商; D:IPSec SA无法建立;
解析:这道题考查对IPSec中SecurityACL与数据流匹配情况的理解。在IPSec中,SecurityACL用于确定哪些数据流需要保护。若其与实际待保护数据流不匹配,就没有数据流能触发IKE协商。因为IKE协商是建立IPSec连接的重要步骤,没有触发就无法进行后续操作。所以答案是C。。
答案:C 。
第42、(单选题)以下哪一项不是带宽管理的实现流程?
A:带宽通道; B:流量分析; C:带宽策略; D:接口限速;
解析:这道题考查对带宽管理实现流程的了解。在网络管理中,带宽管理通常包括带宽通道的设置、接口限速以及制定带宽策略等环节。而流量分析主要是用于了解网络流量状况,并非直接属于带宽管理的实现流程。所以这道题应选B选项。。
答案:B 。
第43、(单选题)以下关于802.1X认证的描述,错误的是哪一项?
A:EAP终结方式中,EAP报文被直接封装到RADIUS报文中; B:802.1XU证方式分为EAP中继方式和EAP终结方式,3相较之下,EAP中继方式支持的认证方式更多;
C:802.1X认证方式中,要求客户端必须支持802.1X协议; D:802.1X认证系统使用EAP协议来实现客户端、设各端和认证服务器之间的信息交互;
解析:在802.1X认证系统中,虽然要求客户端支持802.1X协议,但并不意味着客户端必须完全实现802.1X协议的全部功能,这是与EAP协议的一个主要区别。因此,选项C“802.1X认证方式中,要求客户端必须支持802.1X协议”表述错误。。
答案:C 。
第44、(单选题)以下关于策略路由执行动作的描述,错误的是哪一项?
A:利用智能选路功能,从多个出接口中选择一个出接口发送报文; B:无法按照策略路由将流量转发至其他虚拟系统;
C:把报文发送到指定的下一跳设备或者从指定出接口发送报文; D:可以不做策略路由,按照现有的路由表进行转发;
解析:这道题考查对策略路由执行动作的理解。策略路由具有多种执行方式,如可按现有路由表转发等。在实际应用中,策略路由能够把报文发送到指定下一跳设备或从指定出接口发送,也能利用智能选路功能选择出接口。而选项B说无法按照策略路由将流量转发至其他虚拟系统是错误的,策略路由是可以实现这种转发的。。
答案:B 。
第45、(单选题)以下关于虚拟系统资源分配的描述错误的是哪一项?
A:定额资源是直接按照系统规格自动分配固定的资源数; B:各个虚拟系统可以一起共享抢占整机资源,但是可以手工进行分配;
C:不合理的资源分配可能会致其他虚拟系统无法获取资源业务无法正常运行的情况; D:管理员为虚拟系统手工分配资源时,首先需要配置资源类,并在资源类中指定各个资源项的保证值和最大值,然后将资源类与虚拟系统绑定;
解析:这道题考察的是对虚拟系统资源分配机制的理解。在虚拟化技术中,资源分配是关键环节。A选项描述的是定额资源的分配方式,即按照系统规格自动分配固定资源,这是正确的。B选项提到虚拟系统可以一起共享抢占整机资源,并且可以手工分配。这里存在误导,因为虽然虚拟系统确实可以共享资源,但资源的分配通常是受管理的,不是简单的抢占,且手工分配通常是在更细粒度的资源调控中,不是共享时的常态操作。C选项指出不合理的资源分配可能导致其他虚拟系统无法获取资源,业务无法正常运行,这是正确的,体现了资源分配的重要性。D选项描述了管理员为虚拟系统手工分配资源的过程,包括配置资源类、指定资源项的保证值和最大值,以及将资源类与虚拟系统绑定,这是正确的操作流程。综上所述,B选项的描述是错误的。。
答案:B 。
第46、(单选题)以下关于源探测技术的描述,错误的是哪一项?
A:对于HTTP Flood攻击,防火墙收到具有相同目的地址的HTTP请求报文数如果超过阈值,贝U启动HTTP报文源认证; B:该技术可以对源IP地址进行探测,将来自虚假源IP地址的报文进行丢弃;
C:针对SYN Flood攻击源探测技术可以验证客户端的真实源; D:源探测技术可以防御UDP Flood攻击;
解析:这道题考察的是对源探测技术的理解。源探测技术主要用于识别和防御网络攻击,如HTTPFlood和SYNFlood。对于选项A,描述了HTTPFlood攻击时防火墙的行为,这是正确的。选项B说明了源探测技术可以探测并丢弃虚假源IP地址的报文,这也是正确的。选项C指出源探测技术可以验证客户端的真实源,这在SYNFlood攻击的防御中是有效的。然而,选项D提到源探测技术可以防御UDPFlood攻击,这是不准确的。因为UDP协议是无连接的,源探测技术难以直接应用于UDPFlood攻击的防御。所以,错误的描述是D。。
答案:D 。
第47、(单选题)WAF设备可以有效、精准抵御CC攻击,以下关于CC攻击的描述,错误的是哪一项?
A:CC攻击可以利用代理服务器发起攻击,导致难以追踪攻击源; B:CC攻击主要用来攻击Web服务器,导致服务器资源耗尽,甚至宕机,;
C:CC攻击是DDoS攻击的一种; D:CC攻击的攻击成本较高,发起攻击需要大量的带宽资源;
解析:这道题考察的是对CC攻击的理解。CC攻击,即ChallengeCollapsar攻击,是一种针对Web服务器的攻击方式。A选项描述正确,CC攻击确实可以利用代理服务器发起,这使得追踪攻击源变得困难。B选项描述正确,CC攻击属于DDoS(分布式拒绝服务)攻击的一种,它通过大量请求来耗尽服务器资源。C选项描述错误,CC攻击的攻击成本相对较低,不需要大量的带宽资源,这是它与DDoS攻击的一个主要区别。D选项描述正确,CC攻击的主要目标是Web服务器,通过大量请求来耗尽服务器资源,甚至导致服务器宕机。综上所述,错误的描述是C选项:CC攻击的攻击成本较高,发起攻击需要大量的带宽资源。。
答案:D 。
第48、(单选题)以下哪一项攻击不会暴露网络拓扑信息?
A:带路由记录项的IP报文攻击; B:Teardrop攻击;
C:Tracert报文攻击; D:端口扫描攻击;
解析:网络拓扑信息通常是通过网络流量分析、协议分析等方式来获取的。攻击者常用的几种拓扑信息暴露方式包括Tracert报文攻击、带路由记录项的IP报文攻击和端口扫描攻击。其中,Traert报文攻击通过跟踪网络中的路由信息,可以获取网络拓扑;带路由记录项的IP报文攻击可以通过分析IP报文中的路由记录,推断出网络拓扑,端口扫描攻击则通过扫描目标设备的端口,可以暴露出网络设备的配置信息和网络拓扑结构。而Teardrop攻击主要是一种网络流量生成攻击,它不会暴露网络拓扑信息。因此,正确是C。
答案:B 。
第49、(单选题)以下关于BFD检测特点的描述,错误的是哪一项?
A:在两台设备之间建立会话,用来监测双向转发路径; B:提供小于1秒的检测时间,从而加快网络收敛速度;
C:只可以对网络设备间直连物理链路的双向转发路径进行故障检测; D:减少应用中断时间,提高网络的可靠性;
解析:这道题考查对BFD检测特点的理解。BFD能减少应用中断时间、建立会话监测双向转发路径、提供短检测时间加快网络收敛速度。而实际上BFD不仅能对直连物理链路双向转发路径检测,还能对其他情况进行检测,并非如选项D所说只针对直连物理链路,所以选项D错误。。
答案:C 。
第50、(单选题)以下关于智能DNS的描述,错误的是哪一项?
A:智能DNS分为单服务器智能DNS和多服务器智能DNS两种场景; B:智能DNS支持加权轮询方式实现链路负载均衡;
C:通过配置智能DNS功能,防火墙可以将DNS回应报文中的解析地址进行智能的修改,使用户能够获得最合适的解析地址即与用户属于同TSP网络的地址; D:智能DNS无需配合其它技术,可以单独使用;
解析:这道题考察对智能DNS的理解。智能DNS确实分为单服务器和多服务器两种场景,支持加权轮询以实现负载均衡,且防火墙可以通过智能DNS修改DNS回应报文中的解析地址,使用户访问同TSP网络的地址。但智能DNS通常需要与其他技术配合,如配合链路负载均衡技术,以实现更高效的DNS解析和服务。因此,D选项中的“智能DNS无需配合其它技术,可以单独使用”是错误的。。
答案:D 。
第51、(单选题)以下哪-种DDoS攻击类型可以被限流技术防范?
A:DNS Flood; B:HTTP Flood;
C:ICMP Flood; D:SYN Flood;
解析:这道题考察的是对DDoS攻击类型和防御手段的理解。DDoS攻击中,ICMPFlood是通过发送大量ICMP(InternetControlMessageProtocol)请求来耗尽目标资源。限流技术通过设定阈值,限制进入网络的流量,可以有效防范ICMPFlood攻击。而DNSFlood、HTTPFlood和SYNFlood攻击则更多涉及到应用层或传输层,限流技术虽然有一定作用,但不是主要防范手段。因此,正确答案是C。。
答案:C 。
第52、(单选题)以下关于防火墙虚拟系统中入方向流量的描述,正确的是哪一项?
A:从私网接口流向公网接口的流量,受出方向带宽的限制; B:从私网接口流向公网接口的流量,受入方向带宽的限制;
C:从公网接口流向私网接口的流量,受入方向带宽的限制; D:从公网接口流向私网接口的流量,受出方向带宽的;
解析:防火墙虚拟系统中,入方向流量是指从外部网络(公网)流向内部网络(私网)的流量。根据网络流量的一般规则,入方向流量通常受到入方向带宽的限制,以防止过多的流量进入内部网络,导致网络拥塞或性能下降。A选项描述的是从私网接口流向公网接口的流量,这是出方向流量,受出方向带宽的限制,而不是入方向流量。B选项同样描述的是出方向流量,而不是入方向流量。D选项中“从公网接口流向私网接口的流量,受出方向带宽的限制”是错误的,应该是受入方向带宽的限制。因此,正确答案是C。。
答案:C 。
第53、(单选题)Porta以证场景中,当采用iNaster NCE-Campus作为Portal服务器号默认为以下哪一个?
A:1812; B:2000; C:1813; D:50200;
解析:在Porta认证场景中,iNasterNCE-Campus作为Portal服务器时,其默认端口号通常为2000。这是该系统在设计和配置时所设定的常见默认值。因此,选项B是正确的答案。。
答案:B 。
第54、(单选题)某URL参数是:http://www.example.com:8088/newsledu.aspx?name-tomsage-20,URL不包括以下哪一项字段?
A:host; B:port; C:?query; D:Protocol;
解析: 。
答案:D 。
第55、(单选题)以下关于华为IPS设备升级的描述,正确的是哪一项?
A:升级华为IPS的特征库,不需要License授权; B:升级华为IPS的系统版本,不需要重启设备就能生效;
C:升级华为IPS的特征库,需要重启设备才能生效; D:升级华为IPS的特征库,不需要重启设备就能生效;
解析:这道题考查对华为IPS设备升级的了解。在华为IPS设备中,特征库的升级通常不需要重启设备就能生效。这是因为特征库的更新是对已有功能的补充和优化,无需通过重启来实现。而A选项特征库升级一般需要License授权;B选项系统版本升级通常需要重启设备;C选项特征库升级无需重启。所以答案选D。。
答案:D 。
第56、(单选题)以下关于策略路由匹配规则的描述,错误的是哪一项?
A:当配置多条策略路由规则时,策略路由列表默认是按昭配置顺序排列按照配置顺予排列; B:一个匹配条件中如果可以配置多个值,多个值之间是“或”的关系,报文的属性只要匹配任意一个值,就认为报文的属性匹配了这个条件;
C:每条策略路由中只包含一个匹配条件; D:系统默认存在一条缺省策略路由default,缺省策略路由位于策略列表的最底部,优先级最行氐,所有匹配条件均为any,动作为不做策略路由;
解析:这道题考察的是对策略路由匹配规则的理解。策略路由可以根据不同的匹配条件对报文进行灵活转发。A选项描述正确,策略路由列表默认是按照配置顺序排列的,这意味着匹配规则会按照配置的先后顺序进行匹配。B选项也正确,一个匹配条件中确实可以配置多个值,这些值之间是“或”的关系,只要报文的属性匹配任意一个值,就认为报文的属性匹配了这个条件。C选项错误,每条策略路由中可以包含一个或多个匹配条件,这些条件共同决定了报文是否匹配该策略路由。D选项描述正确,系统默认存在一条缺省策略路由default,它位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作为不做策略路由,即如果报文没有匹配到任何其他策略路由,就会按照缺省策略路由进行处理。综上所述,错误的选项是C。。
答案:C 。
第57、(单选题)以下哪一项参数不是链路质量检查的条件?
A:时延; B:宽带; C:抖动; D:丢包率;
解析:在网络通信中,链路质量检查是确保数据传输可靠的重要环节。时延、抖动和丢包率都是评估链路质量的关键参数。时延指数据从发送端到接收端所需的时间,过长的时延会影响实时性应用的性能。抖动表示时延的变化程度,过大的抖动可能导致数据的不连续和错误。丢包率则反映了数据在传输过程中丢失的比例,高丢包率会导致数据重传和降低传输效率。而宽带通常是指链路的传输能力,它不是直接用于衡量链路质量的条件。因此,选项B不是链路质量检查的条件,答案为B。。
答案:B 。
第58、(单选题)以下哪一项不属于AH的功能特点?
A:完整性校验; B:抗重放; C:数据源验证; D:数据加密;
解析:这道题考查对AH(认证头)功能特点的了解。在网络安全领域,AH主要用于提供数据的完整性校验、抗重放和数据源验证等功能。而数据加密通常不是AH的主要功能特点,所以答案选D。。
答案:D 。
第59、(单选题)以下哪一项是健康检查无法支持的探测协议?
A:RADIUS; B:CHCMP; C:DNS; D:UDP;
解析: 。
答案:D 。
第60、(单选题)以下关于保证带宽和最大带宽的描述,错误的是哪一项?
A:可以基于每IP/用户设置保证带宽和最大带宽; B:如果流量大于最大带宽,则直接丢弃超出最大带宽的流量;
C:如果流量小于保证带宽,这部分流量在出接口与其它带宽通道中同类型的流量自由竞争带宽资源; D:针对IP或用户的保证带宽和最大带宽设置可实现更加细化的带宽限制23;
解析:保证带宽和最大带宽在网络流量管理中具有特定的规则和作用。A选项,基于每IP/用户设置保证带宽和最大带宽是可行的操作,这是常见的带宽管理方式。B选项,当流量大于最大带宽时,为了保证网络的稳定性和服务质量,直接丢弃超出部分是一种常见策略。C选项错误,若流量小于保证带宽,这部分流量应优先获得保障,而不是在出接口与其它同类型流量自由竞争带宽资源。D选项,针对IP或用户设置保证带宽和最大带宽确实能实现更细化的带宽限制。综上,答案选C。。
答案:C 。
第61、(单选题)以下关于部署防火墙虚拟系统的措述,错误的是哪一项?
A:一个资源类可以同时被多个虚拟系统绑定; B:在"虚拟系统列表"中可以宜看已创建的虚拟系统及分配的资源内容;
C:先配置资源类,再启用虚拟系统进行绑定; D:资源类r0默认与根系统绑定,不能删除、不能修改;
解析:在部署防火墙虚拟系统时,通常的步骤是先配置资源类,然后启用虚拟系统并进行绑定。一个资源类可以同时被多个虚拟系统绑定,而资源类r0默认与根系统绑定,且不能删除或修改。选项B中描述在“虚拟系统列表”中可以查看已创建的虚拟系统及分配的资源内容,这是正确的操作。因此,错误的是选项B。。
答案:B 。
第62、(单选题)如图所示是防火墙负载分担组网,上下行设备为交换机。以下关于该场景中防火墙VGMP组状态的描述,正确的是哪一项?
A:防火墙A:Active,防火墙B: Standby; B:防火墙A: Master,防火墙B: Backup;
C:防火墙A: Master,防火墙B:Master; D:防火墙A:Active,防火墙B: Active;
解析:在防火墙负载分担组网中,通过VGMP(VirtualGatewayManagementProtocol)组来管理设备的状态,实现双机热备或负载分担,以提高网络的可靠性和可用性。当两台防火墙都正常工作且配置相同时,它们可以都处于Active状态,共同分担网络流量。因此,在该场景中,防火墙A和防火墙B都可以处于Active状态,选项D“防火墙A:Active,防火墙B:Active”描述正确。。
答案:D 。
第63、(单选题)以下哪一项不是双机热备一致性检查的内容?
A:接口地; B:NAT配置; C:带宽策略; D:安全策略;
解析:双机热备主要是为了保证系统的高可用性和连续性,一致性检查通常涉及对关键配置的核对。接口地址、带宽策略、安全策略等都是系统运行的重要配置,需要保持一致。而NAT配置相对来说不是直接影响双机热备一致性的关键因素,它主要与网络地址转换相关,对双机热备的核心功能影响较小。所以答案选B。。
答案:B 。
第64、(单选题)访客通过Portal认证方式接入企业网络时,为保障访客良好体验,要求在访客短时间高开无线网络的范围再次进入时’无需再次输入用户名密码可以直接接入网络。以下哪一种接入方式可以满足上述需求
A:MAC旁路认证; B:MAC认证;
C:MAC优先的Portal认证; D:802.1X认证;
解析:MAC优先的Portal认证方式能够在访客短时间离开无线网络范围后再次进入时,无需重新输入用户名和密码,直接接入网络。这种方式结合了MAC地址识别和Portal认证的优点,既保证了网络的安全性,又提升了访客的使用体验。。
答案:C 。
第65、(单选题)当使用LDAP服务器作为认证服务器时,若要进行用户认证,则需要对LDAP服务器的数据进行以下哪一种操作
A:直询类; B:删除类; C:写入类; D:更新;
解析:这道题考察的是LDAP服务器在用户认证过程中的操作类型。LDAP(轻量级目录访问协议)服务器在用户认证时,主要是查询用户信息来验证身份,这是一个“直询类”操作。删除、写入或更新操作与用户认证过程无关,它们更多是在用户信息需要变动时才会进行。因此,正确答案是A,即直询类操作。。
答案:A 。
第66、(单选题)当使用LDAP服务器作为认证服务器时,设备与服务器间的交互采用以下哪一种协议?
A:RADI US协议; B:HTTP协议; C:LDAP协议; D:EAP协议;
解析:这道题考查对LDAP服务器相关协议的了解。LDAP服务器在进行认证交互时,使用的就是其自身对应的LDAP协议。A选项RADIUS协议常用于网络访问认证;B选项HTTP协议主要用于网页数据传输;D选项EAP协议多用于无线网络认证。所以当使用LDAP服务器作为认证服务器时,设备与服务器间交互采用的是LDAP协议。。
答案:C 。
第67、(单选题)若想实现对用户的论坛发帖、用户登录等行为进行控制,应配置以下哪一项HTTP行为控制?
A:POST操作; B:重定向; C:文件上传; D:文件下载;
解析:这道题考查对HTTP行为控制的理解。在网络应用中,POST操作常用于向服务器提交数据,如用户的论坛发帖、登录等行为。重定向主要用于页面跳转,文件上传和下载与用户的这些行为控制关系不大。所以能实现对用户相关行为控制的是POST操作。。
答案:A 。
第68、(单选题)用户使用SSL访问内网的网络资源'管理员为用户开启了文件共享和web代理的业务,并且在防火墙上放行了业务的流量,但是用户在PC上输入虚拟网关的地址后,在网页中看不到文件共享和Web代理的列表,以下哪一选项可能导致该故障产生?
A:虚拟网关对外HAT的端口错误; B:用户PC的虚拟网卡上有没有获取到虚拟IP地址;
C:管理员没有为用户配置文件共享和Web代理的授权; D:防火墙与客户妹之间路由不可达;
解析:在这个情境中,管理员已经开启了文件共享和Web代理业务,并在防火墙上放行相关流量,用户PC也能访问虚拟网关。然而,用户看不到文件共享和Web代理列表,可能是因为管理员没有为用户配置相应的授权。如果没有授权,即使其他条件都满足,用户也无法访问这些服务。A选项虚拟网关对外HAT的端口错误可能导致无法访问虚拟网关,但不会影响用户看到列表。B选项用户PC的虚拟网卡上有没有获取到虚拟IP地址,会影响用户与虚拟网关的连接,但与能否看到列表无关。D选项防火墙与客户端之间路由不可达会导致无法连接虚拟网关,而不是看不到列表。因此,C选项是最可能导致该故障产生的原因。。
答案:C 。
第69、(单选题)防火墙最多支持几级带宽策略?
A:2; B:5; C:4; D:3;
解析:这道题考查对防火墙带宽策略级别的了解。在网络安全领域,防火墙的带宽策略级别是有明确规定的。通常情况下,经过实践和技术发展,防火墙最多支持4级带宽策略,所以答案选C。。
答案:C 。
第70、(单选题)以下哪一项资源属于给虚拟系统分配的定额资源?
A:策略数; B:VLAN; C:接口; D:安全区域;
解析:这道题考查对虚拟系统定额资源的了解。在虚拟系统中,安全区域是被明确规定和分配的定额资源。策略数、VLAN和接口通常具有一定的灵活性和可配置性,不被视为定额资源。所以答案选D。。
答案:D 。
第71、(单选题)以下关于带宽资源分配的描述,错误的是哪一项?
A:—条数据流是受哪类带宽资源限制与流量的出接口或入接口有关; B:公网接口指的是连接Internet的接口;
C:资源类中的带宽资源分为入方向带宽、出方向带宽和整体带宽三类; D:在跨虚拟系统转发的场景中,Virtual-ifjg口默认为公网接口;
解析:这道题考察的是对带宽资源分配的理解。首先,A选项描述的是数据流受哪类带宽资源限制与流量的出接口或入接口有关,这是正确的,因为带宽资源的分配确实与数据的流向有关。C选项提到资源类中的带宽资源分为入方向带宽、出方向带宽和整体带宽三类,这也是准确的,它涵盖了带宽资源的主要分类。D选项说在跨虚拟系统转发的场景中,Virtual-ifjg口默认为公网接口,这符合一些网络设备或虚拟化技术的默认设置。而B选项,公网接口指的是连接Internet的接口,这个描述是不准确的。公网接口通常指的是能够连接到公共网络的接口,但并不一定特指Internet,它也可以连接到其他类型的公共网络。因此,B选项是错误的。。
答案:B 。
第72、(单选题)当企业有访客来临时,在方便访客接入的同时,需要对访客访问行为进行管控。针对此类访客场景,一般建议采用以下哪一种认证方式?
A:MAC旁路认证; B:Portal认证; C:802.1X认证; D:MAC认证;
解析:这道题考查对不同认证方式在访客场景中的应用。Portal认证能在方便访客接入的同时,有效管控其访问行为。MAC旁路认证、802.1X认证和MAC认证在访客管控方面存在局限性。而Portal认证具有操作便捷、管控有效的特点,更适用于访客场景。。
答案:B 。
第73、(单选题)以下关于RADIUS利OHWTACACS协议的描述,错误的是哪一项?
A:都使用共享密钥对传输的用户信息进行加密; B:都有较好的灵活性和可扩展性;
C:结构上都采用客户端/服务器模式; D:都支持对设备上的配置命令进行授权使用;
解析:本题考察对RADIUS和HWTACACS协议的了解和区分。RADIUS和HWTACACS协议都是用于网络认证、授权和账号管理的协议,但是它们在实现方式和功能上有所不同。RADIUS协议不支持对设备上的配置命令进行授权使用,而HWTACACS协议则支持。。
答案:D 。
第74、(单选题)以下关于Portal认证的描述,错误的是哪一项?
A:Portal认证的触发方式有主动认证和被动认证两种,主动认证由客户端发起,被动认证由认证服务器发起; B:一般情况下"客户端不需要安装额外的软件"直接在Web页面上认证,简单方便;
C:Portal服务器可以是接入设备之外的独立实体(外置Portal服务器),也可以是存在于接入设备之内的内嵌实体(内置Portal服务器); D:Portal认证系统主要包括四个基本要素'客户端、接入设备、Portal服务器与认证服务器;
解析:本题考察对于Portal认证的理解。Portal认证是一种常见的网络认证方式,主要用于公共场所的无线网络接入认证。根据题目描述,Portal认证的触发方式有主动认证和被动认证两种,主动认证由客户端发起,被动认证由认证服务器发起。这是正确的描述。因此,选项A是正确的描述,而其他选项都是正确的描述。。
答案:A 。
第75、(单选题)在Linux主机上可通过以下哪一个命令查看当前进程的CPU、内存利用率?
A:top; B:lostal; C:df-h; D:free-h;
解析:这道题考察的是Linux系统监控命令的知识。在Linux系统中,`top`命令用于实时显示系统中各个进程的资源占用状况,包括CPU和内存利用率。而`lostal`并不是一个标准的Linux命令,`df-h`用于显示磁盘空间使用情况,`free-h`用于显示内存使用情况,但不包括进程信息。因此,正确答案是A。。
答案:A 。
第76、(单选题)以下关于IPS签名类型的描述中,哪一项签名类型的动作优先级最高?
A:例外签名; B:自定义签名; C:预定义签名; D:签名过滤器;
解析:这道题考查对IPS签名类型动作优先级的了解。在IPS防护中,例外签名的动作优先级最高。因为例外签名通常用于特别指定的、需要优先处理的情况,其重要性和紧急性高于其他常见的自定义签名、预定义签名和签名过滤器。。
答案:A 。
第77、(单选题)在URL过滤处理流程中,第一步执行以下哪一项动作?
A:检测HTTP报文异常情况; B:匹配黑白名单; C:远程查询; D:匹配URL分类;
解析:这道题考查对URL过滤处理流程的了解。在URL过滤中,首先要检测HTTP报文是否存在异常情况。这是因为只有先确定报文正常,才能为后续的匹配黑白名单、远程查询和匹配URL分类等操作提供基础。其他选项都是在检测报文无异常之后进行的步骤。。
答案:A 。
第78、(单选题)以下关于ATIC系统架构的描述,错误的是哪一项?
A:ATIC软件包含三部分:管理服务器、采集器和控制器; B:一个管理中心可以集中管理多地域分散部署的多台检测和清洗设备;
C:SecoManager作为管理中心采用B/S架构; D:ATIC管理服务器主要是管理检测和清洗中心设备;
解析:这道题考查对ATIC系统架构的了解。ATIC系统架构有特定的组成和特点,在实际应用中,ATIC软件并非只包含管理服务器、采集器和控制器这三部分。B选项符合实际情况,C选项的架构描述正确,D选项对管理服务器的功能表述也无误,所以A选项错误。。
答案:A 。
第79、(单选题)每一个引用带宽通道的带竞策略都独自受到该带宽通道的约束,即符合该带宽策略匹配条件的流量,独享最大带宽资源。以下哪一选项属于这种带宽通道的引用方式?
A:宽带共享; B:带宽复用; C:宽带独占; D:动态均分;
解析:这道题考察的是对带宽通道引用方式的理解。根据题目描述,每个引用带宽通道的带宽策略都独自受到该通道的约束,且符合策略的流量可以独享最大带宽资源。这表明,所描述的带宽引用方式应是一种独占模式。分析选项:A.宽带共享-这意味着多个流量可能共享同一带宽资源,与题目描述的“独享”不符。B.带宽复用-这通常指在同一物理带宽上传输不同类型的数据,不涉及独占。C.宽带独占-这符合题目描述的“独享最大带宽资源”。D.动态均分-这意味着带宽资源会被动态分配给不同的流量,也不是独占。因此,正确答案是C,即“宽带独占”。。
答案:C 。
第80、(单选题)以下关于双机热备的描述,错误的是哪一项?
A:负载分担组网下,配置命令可以由"配置备用设备"备份到"配置主设备"; B:在主备备份组网下,配置命令和状态信息都由主用设备备份到备用项备;
C:负载分担模式组网中流量由两台设备共同处理,可以比主备备份模式或镜像模式组网承担更大的峰值流量; D:负载分担组网下,两台防火墙都是主用设备。因此如果允许两台主用设备之间能够相互备份命令,那么可能就会造成两台设备命令相互覆盖或冲突的问题;
解析: 。
答案:A 。
第81、(单选题)如图所示为基于VRRP的主备备份组网,以下关于该场景的描述,错误的是哪一项?
A:为了保证链路切换的一致性,防火墙基于VGM P组实现设备状态管理; B:防火墙A的配置与状态信息通过GE0/0/3接口实时备份到防火墙;
C:双机热备可以提高网络的可靠性; D:防火墙GE0/0/1接口为心跳口,所连接的线路为心協戲;
解析:在基于VRRP的主备备份组网中,通常是通过心跳线来实现主备设备之间的状态同步和信息备份。心跳线是专门用于传输心跳信号的线路,用于检测主备设备的状态。而选项B中说防火墙A的配置与状态信息通过GE0/0/3接口实时备份到防火墙C,这与通常的心跳线连接方式不符。因此,选项B是错误的。。
答案:B 。
第82、(单选题)以下哪一种接入认证方式,终端必须在认证之前获得IP地址?
A:802.1 x认证; B:Portal; C:MAC认证; D:MAC旁路认证;
解析:这道题考察的是对接入认证方式的理解。在接入认证过程中,不同的认证方式有不同的流程要求。对于Portal认证,终端在认证之前确实需要先获得IP地址,因为Portal认证通常是通过Web页面进行,需要终端能够访问网络以接收和发送认证信息。而其他认证方式,如802.1x认证、MAC认证和MAC旁路认证,并不要求终端在认证前必须获得IP地址。因此,正确答案是B。。
答案:B 。
第83、(单选题)华为准入控制方案中,接入设备接收到RADTUS服务器的6"阳411心报文或者。1V1卫的皿报文后,根据报文中的哪一个radius属性来识别用户?
A:called-Station-ld; B:Filter-ld;
C:NAS-IP-Address; D:calling-Station-ld;
解析: 。
答案:C 。
第84、(单选题)1X认证场景中,接入设备将802.IN客户端发来的EAPoL报文直接封装到RADIUS报文中,无需对EAP内的数据进行处理。符合上述描述的是以下哪种认证方式?
A:EAP终结; B:基于MAC的认证; C:基于接口的认证; D:EAP中继;
解析:这道题考察的是对1X认证场景中不同认证方式的理解。在1X认证中,EAP中继方式的特点是接入设备会将802.1X客户端发来的EAPoL报文直接封装到RADIUS报文中,而无需对EAP内的数据进行处理。这与题目描述相符,因此答案是D。。
答案:D 。
第85、(单选题)通用漏洞评怙系统(Common Vulnerability Scoring System,CVSS)是广泛应用的漏洞评分开放标准,采用了模块化评分体系,其中不包含以下哪一项?
A:环境维度; B:时间维度; C:基本维度; D:空间维度;
解析:CVSS是一种广泛应用的漏洞评分开放标准,采用了模块化评分体系,包括基本维度、时间维度和环境维度。基本维度反映了漏洞的固有特征,如访问复杂性、攻击向量等;时间维度反映了漏洞的时间特性,如漏洞的披露时间、补丁的可用性等;环境维度反映了漏洞在特定环境中的影响,如网络拓扑结构、系统配置等。空间维度通常不是CVSS评分体系的一部分,因为它与漏洞的本质特征和影响关系较小。因此,选项D是正确答案。。
答案:D 。
第86、(单选题)恶意URL是指包含恶意信息的URL,以下哪一项不是恶意URL的来源?
A:沙箱反馈的恶意URL; B:入侵防御功能反馈的恶意URL;
C:本地信誉中包含的URL; D:反病毒功能反馈的恶意U RL;
解析:这道题考查对恶意URL来源的了解。恶意URL通常来自多种渠道,如沙箱反馈、本地信誉包含以及反病毒功能反馈。而入侵防御功能主要针对网络攻击的防御,一般不直接反馈恶意URL。所以这道题应选B。。
答案:B 。
第87、(单选题)如图所示,以下关于基于透明模式双机热备描述,错误的是哪项?
A:由于防火墙的业务接口工作在二层,因此不能运行与IP地址相关的业务; B:在此组网中,防火墙透明接入到原有交换机网络,不改变网络拓扑;
C:推荐该组网以负载分担方式工作,分担用户流量; D:默认情况下,不会根据VGMP组状态调整田即/LAN的状态;
解析:这道题考察的是对基于透明模式双机热备的理解。透明模式双机热备是一种网络部署方式,其中防火墙以透明方式接入网络,不改变原有网络拓扑,业务接口工作在二层,因此不能运行与IP地址相关的业务。同时,默认情况下,不会根据VGMP组状态调整即/LAN的状态。而对于选项C提到的“推荐该组网以负载分担方式工作,分担用户流量”,这并不是透明模式双机热备的典型特征或推荐做法,因此是错误的描述。。
答案:C 。
第88、(单选题)以下关于Eth-Trunk特点的描述,错误的是哪项?
A:Eth-Trunk可以是二层接口,也可以是三层接口; B:Eth-Trunk是一个逻辑接口;
C:Eth-Trun k成员链路最少为2个; D:Eth-Tru n k活动链路最少为1个;
解析:Eth-Trunk(以太网链路聚合)是华为等网络设备厂商提供的一种技术,用于将多个物理以太网接口捆绑成一个逻辑接口,以提高带宽和可靠性。现在我们来分析每个选项:。
答案:C 。
第89、(单选题)以下关于虚拟接口的描述,错误的是哪项?
A:虚拟系统之间通过虚拟接口实现互访; B:虚拟接口的链路层和协议层始终是UP;
C:根系统的虚拟接口为Virtual-if1; D:虚拟接口的格式为"Virtual-if+接口号";
解析:这道题考察的是对虚拟接口相关知识的理解。在虚拟化技术中,虚拟接口是虚拟系统间通信的关键。选项A描述了虚拟接口的基本作用,即实现虚拟系统之间的互访,这是正确的。选项B指出虚拟接口的链路层和协议层始终是UP,这符合虚拟接口的工作特性,也是正确的。选项D描述了虚拟接口的一般格式,即“Virtual-if+接口号”,这也是准确的。而选项C提到根系统的虚拟接口为Virtual-if1,这通常不是固定的,因为虚拟接口的命名和编号可能因不同的虚拟化平台或配置而有所差异,所以C选项是错误的。。
答案:C 。
第90、(单选题)以下关于虚拟系统使用限制的描述,错误的是哪项?
A:只要在根系统中进行系统软件的升级; B:如果接口已经配置了IP地址,在分配给虚拟时会被清除;C:管理口不能分配给虚拟系统; D:虚拟系统管理员能通过Console口登录设备;
解析: 。
答案:D 。
第91、(单选题)采用IKEv1野蛮模式简BSIPSecVPN,当检测到存在NAT设备之后,后续从以下哪项的SAKIP消息开始开端口号发生转换?
A:消息4; B:消息3; C:消息2; D:消息1;
解析:在IKEv1野蛮模式中,当检测到存在NAT设备时,端口号转换会在消息3之后开始。IKEv1野蛮模式的消息交互过程如下:1.消息1:发起方发送IKE_SA_INIT请求,包含一些基本的IKE信息。2.消息2:响应方收到消息1后,发送IKE_SA_INIT响应,包含一些基本的IKE信息。3.消息3:发起方发送IKE_AUTH请求,包含身份验证信息和一些其他参数。4.消息4:响应方收到消息3后,发送IKE_AUTH响应,包含身份验证信息和一些其他参数。如果在消息3中检测到存在NAT设备,那么后续的消息(包括消息4及以后的消息)的端口号可能会发生转换,以适应NAT设备的网络环境。因此,正确答案是B。。
答案:B 。
第92、(单选题)IPSec使用证书认证时,需要验证对端证书的合法性,以下哪项不是验证证书合法性需要考虑的因素?
A:证书是否由同一方式申请; B:证书是否位于有效期;
C:证书是否位于C RL存储库中; D:证书是否由同一CA颁发;
解析:这道题考查对IPSec证书认证合法性的理解。在验证证书合法性时,需考虑证书是否在有效期内、是否位于CRL存储库中,以及申请方式等。而证书是否由同一CA颁发并非验证其合法性的关键因素。所以应选A选项。。
答案:D 。
第93、(单选题)如图所示,总部与分支建立IPSec隧道,若要实现IPSec流量负载分担,则至少需要建立多少条IPSec隧道?
A:1; B:2; C:4; D:3;
解析:在实现IPSec流量负载分担时,为了确保流量能够均匀分布并且提高网络的可靠性和容错性,至少需要建立4条IPSec隧道。这样可以通过多条隧道分担流量,避免单一隧道成为瓶颈或单点故障,从而提高整体的网络性能和安全性。。
答案:C 。
第94、(单选题)某企业具有多个分支,总部的出口IP地址固走,而分支的出口IP地址是随机的。需要在总部与分支之间建立IPSecVPN。为了减少管理和维护成本,以下哪项是合适的IPSecVPI配置方式?
A:总部和分支采用点到点方式; B:总部和分支都采用策略模式方式;
C:总部采用策略模板方式,分支采用点对点方式; D:总部与分支采用IKE v2方式;
解析:这道题考察的是IPSecVPN的配置方式。考虑到总部IP地址固定,而分支IP地址随机,为了降低管理和维护成本,总部适合采用策略模板方式,这样可以灵活应对分支IP地址的变化;而分支由于IP地址随机,采用点到点方式更为直接和简便。因此,C选项“总部采用策略模板方式,分支采用点到点方式”是合适的配置方式。。
答案:C 。
第95、(单选题)以下哪项不是SSLVPN可以对移动办公用户提供的内网资源?
A:Web资源; B:IP资源; C:文件资源; D:UDP资源;
解析:这道题考查对SSLVPN所能提供内网资源的了解。SSLVPN常用于为移动办公用户提供安全访问内网的途径。Web资源、IP资源和文件资源通常都在其可提供范围内。而UDP资源一般不是SSLVPN直接为移动办公用户提供的内网资源。。
答案:D 。
第96、(单选题)以下关于HTTP Flood防御的描述,错误的是哪项?
A:如果攻击过程中使用的免费代理支持重定向功能,会导致基本模式的防御失效(; B:源认证防御方式是防御HTTP Flood最常用的手段,这种防御方式适用于客户端为浏览器的HTTP服务器场景
息;
C:基于增强模式的防御可以通过让用户输入验证码,由此判断TTP访问是否庄真实的用户发起; D:基于基本模式的防御无法有效阻止来自非浏览器客户端的访问;
解析:这道题考察的是对HTTPFlood防御机制的理解。HTTPFlood攻击是一种通过发送大量HTTP请求来耗尽服务器资源的攻击方式。A选项描述的是,如果攻击过程中使用的免费代理支持重定向功能,可能导致基本模式的防御失效。这是因为重定向功能可能被攻击者利用来绕过一些基本的防御机制,所以这个描述是正确的。B选项提到源认证防御方式是防御HTTPFlood最常用的手段,并且适用于客户端为浏览器的HTTP服务器场景。源认证确实是一种有效的防御手段,通过验证请求的来源来阻止非法请求,所以这个描述也是正确的。C选项说基于增强模式的防御可以通过让用户输入验证码来判断HTTP访问是否由真实的用户发起。这是一种常见的防御手段,通过增加用户交互来区分正常请求和攻击请求,因此这个描述也是正确的。D选项声称基于基本模式的防御无法有效阻止来自非浏览器客户端的访问。然而,实际上基本模式的防御通常是通过检查请求的某些特征来判断是否为攻击请求,这种防御方式并不特定于浏览器客户端,也可以对非浏览器客户端的访问进行防御。因此,D选项的描述是错误的。综上所述,错误的描述是D选项。。
答案:D 。
第97、(单选题)以下关于清洗中心的描述,错误的是哪项?
A:回注方式包括:策略路由回注、静态路由回注、VPN回注和二层回注; B:清洗设备支持丰富灵活的攻击防范技术,但对于CC攻击、ICMP Flood攻击无法进行防御;
C:引流方式有两种:静态引流和动态引流; D:清洗中心完成对异常流量的引流、清洗以及和清洗后流量的回注等功能;
解析: 。
答案:B 。
第98、(单选题)防火墙进行邮件过滤时,支持的邮件传输协议不包括以下哪项?
A:SMTPS; B:SMTP; C:POP3; D:IMAP;
解析:这道题考查对防火墙邮件过滤所支持的邮件传输协议的了解。SMTP、POP3和IMAP是常见的邮件传输协议。而SMTPS并非标准的常见协议。防火墙在进行邮件过滤时,通常支持的是广泛应用的SMTP、POP3和IMAP协议。所以答案选A。。
答案:A 。
第99、(单选题)IPS设备基于特走的入侵防御机制进行工作,以下关于入侵防御机制的排序,正确的是哪项?
A:特征匹配->重组应用数据->协议识别和协议解析->响应处理; B:重组应用数据->协议识别和协议解析->特征匹配->响应处理;
C:重组应用数据->特征匹配->协议识别和协议解析->响应处理; D:协议识别和协议解析->重组应用数据->特征匹配->响应处理;
解析:这道题考察的是对IPS设备入侵防御机制的理解。IPS设备工作时,首先需要对应用数据进行重组,以便进行后续的分析。接着,进行协议识别和协议解析,这是理解数据内容的基础。之后,通过特征匹配来检测潜在的入侵行为。最后,根据检测结果进行响应处理。因此,正确的排序应该是重组应用数据->协议识别和协议解析->特征匹配->响应处理,选项B正确。。
答案:B 。
第100、(单选题)使用iMaster NCE-Campus作为Portal服务器时,为了能够让iMaster NCE-Campus根据用户的IP地址匹配对应的Portal页面。在接入设备配置URL模板时,需要配置以下哪种URL parameter?
A:ssid; B:device-mac;
C:user-mac; D:user-ipaddress;
解析:这道题考查对iMasterNCE-Campus作为Portal服务器时相关配置的了解。在这种场景下,要让服务器根据用户IP地址匹配对应的Portal页面,关键在于准确配置URL参数。而用户的IP地址对应的参数是user-ipaddress,所以应选择D选项。其他选项如ssid、device-mac、user-mac均不能实现根据用户IP地址匹配页面的功能。。
答案:D 。
第101、(单选题)通过华为iMaster NCE Campus控制器实现准入控制功能,以下哪项不属于认证授权所需要配置内容?
A:认证结果; B:授权结果; C:认证规则; D:授权规则;
解析: 。
答案:C 。
第102、(单选题)以下哪一项不属于Anti-DDoS管理中心的功能?
A:性能管理; B:策略管理; C:告警管理; D:流量检则;
解析:Anti-DDoS管理中心通常具备性能管理以监测系统性能、策略管理来制定防护策略、告警管理以便及时通知异常情况。而流量检测一般是Anti-DDoS系统中的一个基础操作环节,并非作为管理中心的独立功能模块。所以,选项D不属于Anti-DDoS管理中心的功能,答案选D。。
答案:D 。
第103、(单选题)以下关于SSLVPN中网络扩展过程的描述,错误的是哪一项?
A:远程用户本地PC会自动生成一个虚拟网卡,虚拟网关从地址池中随机选择一个IP地址,分配给远程用户的虚拟网卡; B:远程用户向企业内网的Server发送业务请求报文,该报文通过SSLVPN隧道到达虚拟网关;
C:可靠传输模式中,SSLVPN采用SSL协议封装报文,并以UDP协议作为传输协议; D:触发网络扩展功能后,首先需要远程用户与虚拟网关之间会建立一条SSLVPN隧道;
解析:这道题考查SSLVPN中网络扩展的知识。在SSLVPN中,A选项描述了虚拟网卡和IP地址分配的正常情况;B选项说明了业务请求报文的传输路径;D选项指出了触发网络扩展功能的初始步骤。而C选项错误,可靠传输模式中,SSLVPN采用SSL协议封装报文,通常以TCP协议作为传输协议,而非UDP协议。。
答案:C 。
第104、(单选题)采SIKE v1主模式建立IPSec VPN,当检测到存在NAT设备之后,后续从以下哪一项的ISAKMP消息开始,发生端口号的转换?
A:消息5; B:消息6; C:消息3; D:消息4;
解析:在IKEv1主模式中,当检测到存在NAT设备后,从消息5开始发生端口号的转换。消息5是快速模式的第一个消息,用于协商IPSecSA的参数。在这个阶段,由于需要穿越NAT设备,所以需要进行端口号的转换。因此,选项A是正确的答案。。
答案:A 。
第105、(单选题)如图所示,企业A与企业B需要安全通信,防火墙A和防火墙B之间建立IPSec隧道,则以下哪一项的安全协议和封装模式可以满足该场景需求?
A:AH;隧道模式; B:ESP;隧道模式;
C:ESP;传输模式; D:AH+ESP;传输模式;
解析:这道题考查IPSec隧道的相关知识。在企业A与企业B安全通信的场景中,隧道模式能为整个IP数据包提供保护,更适合两个防火墙之间的通信。ESP协议能提供加密和认证服务。综合考虑,ESP的隧道模式能更好地满足该场景需求,所以答案选C。。
答案:B 。
第106、(单选题)以下关于SSLVPw和IPSecVP的描述,错误的是哪一项?
A:SSLVPWtLIPSeC VPI支持的终端类型更加丰富; B:IPSec VP和SSLVP都支持非IP单播应用;
C:SSLVPW相较于IPSecVP以支持的认证种类多,与原有身份证系统易于集成; D:用户使用IFSec VPIW需要预先安装客户端,而使用SSLVPI可以免安装;
解析:这道题考察的是SSLVPN和IPSecVPN的技术特性对比。首先,我们知道SSLVPN通常支持更多的终端类型,因为它基于Web浏览器,所以A选项描述正确。接着,关于认证,SSLVPN确实支持更多的认证方式,并且更容易与现有的身份认证系统集成,因此C选项也是正确的。最后,关于客户端安装,IPSecVPN通常需要预先安装客户端软件,而SSLVPN则可以通过Web浏览器访问,无需安装客户端,所以D选项描述也是准确的。而B选项提到的“IPSecVP和SSLVP都支持非IP单播应用”是不准确的,因为IPSecVPN主要设计用于IP网络,并不直接支持非IP单播应用。因此,B选项是错误的。。
答案:B 。
第107、(单选题)以下关于文件类型识别结果异常情况的描述,错误的是哪一项?
A:文件类型无法识别是指无法识别出文件类型,且没有文件扩展名; B:文件类型无法识别是指无法识别出文件类型,也无法识别出文件扩展名;
C:文件扩展名不匹配是指文件类型与文件扩展名不一致口; D:文件损坏是指由于文件被破坏而无法进行文件类型识别;
解析: 。
答案:B 。
第108、(单选题)在Linux主机上查看是否存在异常的任务计划(非用户自行设定),可使用以下哪一个命令?
A:crontab-u mysql; B:crontab-e;
C:crontab-r; D:crontab-I;
解析: 。
答案:D 。
第109、(单选题)根据《国家网络安全事件应急预案》的规走,当发生国家秘密信息、重要敏感信息和关教据丢失或着被窃取、篡改、假冒等事件且对国家安全和社会稳定构成特别严重威胁时,应当启动哪一等的应急响应?
A:一级响应; B:二级响应; C:特别响应; D:三级响应;
解析:根据《国家网络安全事件应急预案》,一级响应适用于发生对国家安全和社会稳定构成特别严重威胁的网络安全事件。在这种情况下,国家秘密信息、重要敏感信息和关键数据的丢失或被窃取、篡改、假冒等事件会对国家安全和社会稳定产生极大的影响。启动一级响应可以调动最大的资源和力量来应对事件,采取最严格的措施来保护国家利益和社会稳定。因此,选项A是正确的答案。。
答案:A 。
第110、(单选题)以下关于防火墙DDoS攻击防范流程的排序,正确的是哪一项? 1.系统执行防范动作2.流量超过设定阈值3.系统启动攻击防范4.系统启动流量统计
A:3-4-2-1; B:4-2-3-11; C:2-4-3-1;
解析:防火墙DDoS攻击防范的正常流程是先系统启动攻击防范(选项3),然后系统启动流量统计(选项4),当流量超过设定阈值(选项2)时,系统执行防范动作(选项1)。按照这样的逻辑顺序,正确的排序是3-4-2-1,所以选项A是正确的答案。。
答案:A 。
第111、(单选题)“震网”病毒是一种针对工业控制系统进行攻击的蠕虫病毒。以下关于"震网”病毒攻击过程的排序,正确的是哪一项?
A:侦察组织架构和人员信息->社会工程学渗透->寻找感染目标->使用U盘横向扩散->发起攻击; B:寻找感染目标->侦察组织架构和人员信息->社会工程学渗透->使用U盘横向扩散->发起攻击0;
C:侦察组织架构和人员信息->社会工程学渗透->使用U盘横向扩散->寻找感染目标->发起攻击; D:社会工程学渗透->侦察组织架构和人员信息->使用U盘横向扩散->寻找感染目标->发起攻击;
解析:这道题考察的是对“震网”病毒攻击过程的理解。首先,攻击者需要侦察目标组织的架构和人员信息,以便进行针对性的攻击。接着,通过社会工程学手段进行渗透,获取更多的内部信息。然后,使用U盘等移动存储设备横向扩散病毒,寻找并感染目标系统。最后,发起攻击,对目标系统造成破坏。因此,正确的攻击过程排序应该是C选项。。
答案:C 。
第112、(单选题)在Linux主机上,可通过查看以下哪一个文件来统计当前系统中的所有用户名称及登陆方式?
A:/et c/passwd; B:/et c/profile;
C:/et c/shadow; D:/et c/rc」ocal;
解析:这道题考察的是Linux系统文件的知识。在Linux系统中,`/etc/passwd`文件包含了系统上所有用户的信息,包括用户名、用户ID、组ID、家目录、登录shell等。而用户的登录方式(如SSH、图形界面等)通常不会直接记录在这个文件中,但用户名是可以通过这个文件获取的。其他选项如`/etc/profile`是系统级的环境变量和启动程序脚本,`/etc/shadow`存储加密的用户密码,`/etc/rc.local`是系统启动时执行的脚本,它们都不包含用户名称及登录方式的信息。因此,正确答案是A。。
答案:A 。
第113、(单选题)以下哪一项不是URL的匹配方式?
A:精确匹配; B:模糊匹配; C:前缀匹配; D:后缀匹配;
解析:这道题考查对URL匹配方式的了解。在网络技术中,常见的URL匹配方式有精确匹配、前缀匹配和后缀匹配。精确匹配要求完全一致,前缀匹配注重开头部分,后缀匹配关注结尾部分。而模糊匹配并非常见的URL匹配方式,所以答案选B。。
答案:B 。
第114、(单选题)以下哪一项不属于ESP的功能特点?
A:数据源验证; B:数据加密; C:数据完整; D:数据可用;
解析:这道题考查对ESP(封装安全载荷)功能特点的了解。ESP主要用于提供数据源验证、数据加密和保证数据完整等安全服务。而数据可用并非ESP的功能特点,它侧重于数据的状态能否被使用,与ESP保障数据安全的核心功能范畴不同。。
答案:D 。
第115、(单选题)RADIUS协议支持认证、授权和计费功能,RADIUS服务器是通过以下哪一报文下发授权的?
A:Access-Request; B:Access-Accept;
C:Acco untin g-Resp onse; D:Acco untin g-Request;
解析:这道题考查对RADIUS协议中报文功能的了解。在RADIUS协议里,不同的报文有不同作用。Access-Accept报文用于下发授权。认证时先发送Access-Request报文,而Accounting-Response和Accounting-Request报文主要用于计费相关。所以这道题应选B。。
答案:B 。
第116、(单选题)华为iMaster NCE-Campus可作为认证服务器「对认证用户进行授权「以下哪一项不属于iMaster N C E-Campus可授权的参数?
A:ACL; B:VLAN; C:DSCP; D:IP地址;
解析: 。
答案:D 。
第117、(单选题)"WannaCry"勒索病毒是利用TCP端口存在的哪个漏洞对Windows系统发起网路攻击的?
A:139; B:443; C:3389; D:445;
解析:这道题考察的是对“WannaCry”勒索病毒攻击方式的理解。WannaCry病毒主要利用了Windows系统中的SMB服务漏洞进行传播,该服务在TCP端口445上监听。通过这一端口,病毒能够执行恶意代码,进而对系统进行攻击。因此,正确答案是D,即端口445。。
答案:D 。
第118、(单选题)以下关于URL黑白名单的描述,错误的是哪一项?
A:黑白名单可以与U RL分类结合使用; B:一般大的网页都会内嵌其他的网页链接,如果只将主网页加入白名单,贝赅主网页下的内嵌网页部分将无法正常访问息ang;
C:黑白名单的匹配优先级最高,高于自定义URL分类和预定义URL分类(; D:黑名单的优先级高于白名单的优先级;
解析:这道题考察的是对URL黑白名单机制的理解。首先,黑白名单确实可以与URL分类结合使用,用于更精细地控制网络访问,所以A选项描述正确。其次,如果大网页内嵌了其他网页链接,而只将主网页加入白名单,那么未加入白名单的内嵌网页确实可能无法正常访问,因此B选项也是正确的。再来看C选项,黑白名单作为一种明确的允许或拒绝规则,其优先级通常确实高于自定义或预定义的URL分类,所以C选项描述也是准确的。最后,关于D选项,实际上在大多数安全策略中,白名单的优先级是高于黑名单的,即如果某个URL同时存在于白名单和黑名单中,它通常会被允许访问,因为白名单代表了一种明确的允许。因此,D选项的描述是错误的。。
答案:D 。
第119、(单选题)以下哪一项不属于远程用户通过SSLVPN访问内网资源的流程?
A:用户认证; B:用户登录; C:资源访问; D:访问计费;
解析:这道题考查对远程用户通过SSLVPN访问内网资源流程的了解。在常见的访问流程中,用户先进行认证,然后登录,接着访问资源。而访问计费并非是访问内网资源的必要流程。所以这道题应选D选项。。
答案:D 。
第120、(单选题)如图所示,防火墙主备备份组网,通过在防火墙A上查看HRP状态,得到信息如下:HRP_M[Fw_A]display hrp state Role:activer peer:unknown Running priority:45000,peer:45000 Backup channelusage:O.00% Stable time:O days,5 hours,49 minutes以下哪一顶不是可能的原因?
A:心跳线没有加入安全区域; B:对端没有开启双机热备功能;
C:对端没有指定心跳口; D:防火墙B上的业务接口皆故障;
解析:从给出信息看,显示peer为unknown,可能是心跳线相关问题或对端配置问题。A选项心跳线没加入安全区域可能导致无法正常通信识别;B选项对端没开启双机热备功能会使本端无法识别对端;C选项对端没指定心跳口也会造成无法识别。而D选项防火墙B上业务接口故障与显示的对端未知情况并无直接关联。所以答案选D。。
答案:D 。
第121、(单选题)IPS的签名过滤器是满足指走过滤条件的签名集合。签名过滤器的过滤条件不包括以下哪一项?
A:威胁类别; B:签名ID; C:操作系统; D:协议;
解析:这道题考察的是对IPS(入侵防御系统)签名过滤器过滤条件的理解。IPS的签名过滤器用于根据特定条件过滤签名,以便更有效地检测和防御网络威胁。过滤条件通常包括威胁类别、操作系统和协议等,这些都是用于识别和分类网络攻击的重要属性。而签名ID是签名的唯一标识符,用于区分不同的签名,并不作为过滤条件。因此,正确答案是B,签名ID不属于签名过滤器的过滤条件。。
答案:B 。
第122、(单选题)对于MAC认证用户密码的处理,有PAP和CHAP两种方式,当采用PAP方式时,设备将MAC地址、共享秘钥、随机值依次排列顺序,经过MD5算法进行HASH处理后,将密码封装在以下哪一属性名中?
A:PAP-Password; B:PAP-Challenge;
C:CHAP-Password; D:User-Password;
解析: 。
答案:D 。
第123、(单选题)华为iMaster NCB-Camus是ClouCampus解决方案的基于Web的集中式管理控制系统,支持用户准入管理,可充当多种类型的认证服务器。但是不可以作为以下哪一种类型的服务器?
A:HWTACACS服务器; B:RADIUS服务器;
C:AD服务器; D:Portal服务器;
解析:这道题考查对华为iMasterNCB-Camus功能的了解。在网络管理中,该系统支持多种认证服务器类型。HWTACACS服务器、RADIUS服务器和Portal服务器通常是常见且被支持的类型。而AD服务器不在其可充当的范围内,所以答案选C。。
答案:C 。
第124、(单选题)某企业的业务网络中采用了高端框式交换机作为核心交换机,近日该框式交换机的某个交换板卡故障,导致部分业务流量中断,则该故障属于类安全事件?
A:灾害性事件; B:设备设施故障事件; C:网络攻击事件; D:信息破坏事件;
解析:这道题考察的是对网络安全事件分类的理解。在网络安全领域,事件通常根据其原因和性质进行分类。根据题目描述,故障是由框式交换机的某个交换板卡引起的,这属于硬件设备的问题。对照选项,A项“灾害性事件”通常指自然灾害等不可抗力导致的事件;C项“网络攻击事件”涉及恶意行为者对网络的攻击;D项“信息破坏事件”涉及信息的恶意篡改或删除。而B项“设备设施故障事件”正是指硬件设备故障导致的事件,与题目描述的故障情况相符。因此,正确答案是B。。
答案:B 。
第125、(单选题)IPS设备签名过滤器的过滤条件不包括以下哪.项?
A:攻击源; B:.对象; C:威胁类别; D:协议;
解析:这道题考察的是对IPS设备签名过滤器过滤条件的理解。IPS设备签名过滤器主要用于识别和阻止网络攻击,其过滤条件通常包括攻击对象、威胁类别以及使用的协议。攻击源不是签名过滤器直接过滤的条件,它更多是在攻击发生后,用于追踪和定位攻击来源的信息。因此,正确答案是A,即攻击源不属于IPS设备签名过滤器的过滤条件。。
答案:A 。
第126、(单选题)若攻击者伪造大量用户对业务服务器SiBDDoS攻击,则以下哪一顼为虚假源攻击的育效措施?
A:源认证技术; B:CDN缓存; C:负载均衡技术; D:智能DNS调度;
解析:源认证技术是一种有效的防范虚假源攻击的措施。它通过验证数据包的来源,确保其来自合法的用户或设备。这样可以防止攻击者伪造大量用户对业务服务器进行DDoS攻击。CDN缓存、负载均衡技术和智能DNS调度主要用于优化网络性能和提高服务器的可用性,但它们并不能直接解决虚假源攻击的问题。因此,选项A是正确的答案。。
答案:A 。
第127、(单选题)对于正常的TCP报文,标志位可能出现以下哪一种情况?
A:RST和FIN同时为1; B:FIN和URG同时为1;
C:SYN和ACK同时为1; D:SYN和RST同时为1;
解析:TCP报文在正常的状态下,标志位中SYN和ACK可以同时为1,这是因为TCP连接的建立需要这两个标志位的配合使用。而RST和FIN通常在正常的数据传输中不会同时为1。。
答案:C 。
第128、(单选题)移动办公用户通过Web代理访问企业内部Web服努器,以下哪一项的描述是正确的?
A:移动办公用户与虚拟网关建立HTTP会话,虚拟网关与内部Web服务器也建立HTTP会话; B:移动办公用户与虚拟网关建立HTTP会话,虚拟网关与内部Web服务器建立HTTPS会话;
C:移动办公用户与虚拟网关建立HTTPS会话,虚拟网关与内部Web服务器建立HTP会话; D:移动办公用户与虚拟网关建立HTTPS会话,虚拟网关与内部Web服务器也建立FTTPS会话;
解析:在移动办公场景中,用户通过Web代理访问企业内部Web服务器时,通常会建立安全的HTTPS会话。当移动办公用户发起请求时,他们与虚拟网关之间建立了一个HTTPS会话。这意味着用户的请求是通过安全的加密连接进行传输的,以确保数据的保密性和完整性。虚拟网关作为中间人,接收到用户的HTTPS请求后,会将其转发到内部Web服务器。在这个过程中,虚拟网关与内部Web服务器之间建立的是HTTP会话。这样的设计有以下几个原因:1.**安全性**:HTTPS提供了加密和身份验证机制,确保用户与虚拟网关之间的通信安全。通过使用HTTPS,用户的敏感信息(如登录凭据、数据等)在传输过程中得到保护。2.**兼容性**:内部Web服务器可能并不支持HTTPS,或者在某些情况下,使用HTTP更适合与内部系统进行通信。虚拟网关将HTTPS转换为HTTP,以便与内部服务器进行交互。3.**性能**:建立HTTPS会话需要额外的计算资源和时间。通过在用户与虚拟网关之间建立HTTPS会话,而在虚拟网关与内部服务器之间使用HTTP,可以在一定程度上提高性能。综上所述,选项C是正确的答案。它描述了移动办公用户与虚拟网关建立HTTPS会话,而虚拟网关与内部Web服务器建立HTTP会话的情况。这样的架构可以在保证安全性的同时,实现与内部Web服务器的通信。。
答案:C 。
第129、(单选题)以下关于配额控制策略的描述,错误的是哪一顶?
A:配额控制策略只能限制用户上网流量的额度; B:配额控制策略由检测和控制两部分组成;
C:配额控制策略可以限制最大带宽; D:配额控制策略可以实时检测上网流量;
解析:这道题考查对配额控制策略的理解。配额控制策略并非仅能限制用户上网流量额度,它由检测和控制两部分构成,能限制最大带宽,还可实时检测上网流量。A选项说法片面且错误,其他选项均符合配额控制策略的特点。。
答案:A 。
第130、(单选题)以下关于Eth-Trunk的描述,错误的是哪一项?
A:Eth-Trunk接口的总带宽是各成员带宽之和,通过这种方式,可以增加接口的带宽; B:组成Eth-Tru n k接口的各个物理接口称为成员接口;
C:在Eth Trunks口中,如果某个成员端口状态为Down,流量还能依靠其他的端口进行传输; D:手工模式不仅可以检测链路断连"还可以检测链路故障口错连等故障;
解析:Eth-Trunk是一种链路聚合技术,可以将多个物理接口捆绑成一个逻辑接口,从而增加链路带宽和提高可靠性。以下是对每个选项的分析:-**A选项**:Eth-Trunk接口的总带宽是各成员带宽之和,这是链路聚合的基本原理,可以增加接口的带宽,A选项正确。-**B选项**:组成Eth-Trunk接口的各个物理接口称为成员接口,B选项正确。-**C选项**:在Eth-Trunk中,如果某个成员端口状态为Down,流量可以依靠其他的端口进行传输,这是链路聚合的冗余备份功能,C选项正确。-**D选项**:手工模式只能检测链路断连,不能检测链路故障口错连等故障。链路故障口错连等故障需要使用LACP协议(LinkAggregationControlProtocol)来检测和处理,D选项错误。因此,错误的是D选项。。
答案:D 。
第131、(单选题)MAC地址认证场景中,不需要用户手动输入用户名和密码,采用以下哪一项作为用户认证的用户名?
A:IP地址; B:账号; C:MAC地址; D:接口编号;
解析:这道题考查MAC地址认证的相关知识。在MAC地址认证场景中,MAC地址具有唯一性。它被用于直接作为用户认证的用户名,方便识别和验证用户身份。而IP地址、账号、接口编号都不具备这种唯一性和直接用于认证的特性,所以答案选C。。
答案:C 。
第132、(单选题)IKE协商第一阶段主模式协商过程中Message 1和Message2的作用是以下哪一项?
A:协商IPSecSA; B:相互做身份认证;
C:用D H算法交换与密钥相关的信息,并生成密钥; D:协商对等体之间使用的IKE安全提议;
解析:这道题考察的是IKE协商过程中Message1和Message2的具体作用。在IKE协商的第一阶段主模式中,Message1和Message2主要用于协商对等体之间使用的IKE安全提议,这包括加密算法、哈希算法、认证方法以及密钥交换方式等参数。因此,正确答案是D。。
答案:D 。
第133、(单选题)以下哪一项不属于IKE验证远端对等体的方式?
A:数字证书认证; B:AD认证; C:预共享密钥认证; D:数字信封认证;
解析:这道题考查对IKE验证远端对等体方式的了解。在网络安全领域,IKE常见的验证方式有数字证书认证、预共享密钥认证和数字信封认证。AD认证通常不用于IKE验证远端对等体。所以这道题应选B选项。。
答案:B 。
第134、(单选题)在ilaster NCE-Campus配置Portal页面推送策略时,不支持使用以下哪一项作为匹配条件?
A:用户IP地址; B:操作系统版本号; C:ssID; D:浏览器类型;
解析:这道题考察的是对ilasterNCE-Campus配置Portal页面推送策略的理解。在配置推送策略时,通常需要设定匹配条件来确定哪些用户或设备会接收到推送的页面。根据ilasterNCE-Campus的技术文档和实际操作经验,用户IP地址、ssID以及浏览器类型都是常见的匹配条件,它们可以帮助管理员精确地定位到目标用户或设备。然而,操作系统版本号通常不作为推送策略的匹配条件,因为Portal页面的推送更多地关注于网络层面和用户身份,而不是具体的操作系统细节。因此,正确答案是B,即操作系统版本号不支持作为匹配条件。。
答案:B 。
第135、(单选题)在802.1X认证中,为了支持EAP中继方式,RADIUS协议新增了一些属性,其中用来封装EAP报文的RADIUS属性是以下哪一项?
A:NAS-Identifier; B:Message-Authenticator;
C:NAS-Message; D:EAP-Messagee;
解析:这道题考察的是对802.1X认证中RADIUS协议属性的理解。在802.1X认证中,EAP中继方式允许EAP报文通过RADIUS协议进行封装和传输。其中,用来封装EAP报文的RADIUS属性是“EAP-Message”。这个属性专门用于在RADIUS协议中传输EAP报文,以实现认证信息的交换。因此,正确答案是D。。
答案:D 。
第136、(单选题)某企业的业务形态复杂,横块之间使用多种协议进行通信,为确保通信数据安全,防止第三方窃取关健数据信息,应该尽量避免使用以下哪一通信协议?
A:SSH; B:SFTP; C:HTTPS; D:HTTP;
解析:这道题考察的是对通信协议安全性的理解。在企业环境中,确保数据安全是非常重要的。SSH、SFTP和HTTPS都是加密的通信协议,它们提供了数据传输的安全性,可以有效防止第三方窃取关键数据信息。而HTTP是一个非加密的协议,它以明文形式传输数据,不提供任何加密保护,因此使用HTTP通信会存在数据被窃取的风险。所以,为确保通信数据安全,应该尽量避免使用HTTP协议。。
答案:D 。
第137、(单选题)以下关于华为入侵防御特性配置流程的排序,正确的是哪一项?
A:配置入侵防卸文件->升级特征库->配置签名->验证与检查; B:升级特征库->配置入侵防御文件->配署签名->验证与检直;
C:配置签名->升级特征库->配置入侵防御文件->验证与检查; D:升级特征库->配置签名->配置入侵防御文件-〉验证与检直;
解析:在华为入侵防御特性配置流程中,首先需要升级特征库,以确保系统具有最新的防护能力。然后,配置签名,以便系统能够识别和防范特定的入侵行为。接下来,配置入侵防御文件,进一步细化和定制防御策略。最后,进行验证与检查,确保配置的有效性和正确性。因此,正确的排序是D:升级特征库->配置签名->配置入侵防御文件->验证与检查。。
答案:D 。
第138、(单选题)若管理员需要将某些签名动作设置为与签名过滤器不同的动作时,可以配置例外签名。以下哪一项不是例外签名的动作?
A:告警且超出质值后阻断; B:阻断且隔离源IP; C:放行; D:阻断且隔离目的IP;
解析:管理员配置例外签名通常指的是对原有签名动作的一种补充或覆盖设置,这种配置能针对不同情况进行更精细的操作处理。这些例外签名动作包括但不限于阻断、隔离IP等。根据给出的选项:A.阻断且隔离目的IP-这是一个例外签名动作,它描述了在某种条件下阻断并隔离目标IP地址的行为。C.阻断且隔离源IP-这也是一个例外签名动作,指的是在特定情况下阻断并隔离源IP地址。D.放行-在网络安全的上下文中,放行通常不被视为一个例外签名动作,而是默认的允许通过的动作。这并不是一个需要额外配置的特殊动作。B.告警且超出质值后阻断-这是一个复杂的动作组合,既包括告警也包括阻断,且在特定条件下(如超过某个质值)进行阻断。然而,它并非“不是”例外签名的动作,只是其定义比其他选项更为复杂。但在本题中,它并未被明确地标记为非例外签名的动作。不过从表述来看,似乎问题要求选择与常规的“拦截或拒绝”类型不符的一个选项,所以告警部分更像是一种普通日志行为,而不完全是阻断类操作。而相对来看,放行是最简单也是最常见的原始默认动作,所以从这个角度理解,答案D.放行更符合题意。因此,答案解析中给出的答案D是正确的。但需要注意的是,题目中的描述可能存在歧义,导致B选项在某些情况下也可能被视为正确答案。但根据常规理解,放行是默认的、非特殊配置的动作,所以选择D作为答案。。
答案:A 。
第139、(单选题)以下关于渗透测试中黑盒测试的描述,错误的是哪一项?
A:测试覆盖率较低。一般只能覆盖到代码的30%; B:可以提高代码的质量,发现代码中隐藏的问题;
C:更贴近用户的实际使用场景; D:测试过程较为简单,不需要了解程序内部的代码结构及特性;
解析:这道题考查对渗透测试中黑盒测试特点的理解。黑盒测试不了解程序内部代码结构及特性,测试过程相对简单,更贴近用户实际使用场景,但其测试覆盖率较低,一般只能覆盖到代码的30%。选项B中说黑盒测试可以提高代码质量、发现隐藏问题是错误的,因为黑盒测试主要关注功能和外部表现,难以深入到代码内部进行质量把控。。
答案:B 。
第140、(单选题)防火墙上内容过滤的配置文件中针对HTTP应用的上传方向调用了关键字组"Keyword",动作为阻断,并调用在安全策略中°在该关键宇组"Keyword"中配置了以下正则表达式。"b.*d"·则内部员工此时能在论坛上发布哪一项文字?
A:boring; B:Bad; C:Beside; D:abroad;
解析:在防火墙的内容过滤配置中,使用了正则表达式`b.*d`来匹配字符串。这个正则表达式的含义是匹配以'b'开头,后面跟着任意数量的字符(包括零个字符),最终以'd'结尾的字符串。分析各个选项:A选项'boring'符合这一规则,因为它包含'b'开头和'd'结尾,中间有其他字符;B选项'Bad'、C选项'Beside'和D选项'abroad'均不满足该正则表达式,因为它们要么没有以'b'开头,要么'b'和'd'之间没有其他字符或不符合正则表达式的结构。因此,内部员工能在论坛上发布的文字是A选项'boring'。。
答案:A 。
第141、(单选题)以下哪一项不属于单包攻击类型?
A:特殊报文攻击; B:畸形报文攻击; C:DoS攻击; D:扫描窥探攻击;
解析:这道题考查对单包攻击类型的了解。单包攻击通常是指单个数据包引发的攻击。特殊报文攻击、畸形报文攻击、扫描窥探攻击都属于单包攻击。而DoS攻击一般是通过大量请求使系统资源耗尽,并非单包攻击。所以答案选C。。
答案:C 。
第142、(单选题)以下哪一项不属于畸形报文攻击?
A:WinNuke攻击; B:Ping of Death攻击;
C:超大ICMP报文攻击; D:IP欺骗攻击;
解析:这道题考查对畸形报文攻击类型的了解。畸形报文攻击是通过构造异常的网络报文来破坏系统。WinNuke攻击、PingofDeath攻击、IP欺骗攻击都属于常见的畸形报文攻击方式。而超大ICMP报文攻击并非典型的畸形报文攻击,所以答案选D。。
答案:D 。
第143、(单选题)以下关于Teb代理中eb改写的描述,错误的是哪一项?
A:可能造成字体不全; B:可以隐藏内网服务器地址"安全性较高;
C:可能造成图片错位; D:依赖IE控件;
解析:这道题考察的是对Teb代理中eb改写功能的理解。首先,eb改写是Teb代理的一个功能,它主要用于改写HTTP请求和响应,以实现特定的代理效果。A选项提到的“可能造成字体不全”是合理的,因为改写过程中可能会影响到HTML或CSS的某些部分,导致字体显示不全。B选项“可以隐藏内网服务器地址,安全性较高”也是正确的。eb改写可以修改HTTP请求中的Host头部,从而隐藏真实的服务器地址,提高安全性。C选项“可能造成图片错位”同样合理。改写过程中如果处理不当,可能会影响到页面中图片的加载和显示,导致错位。D选项“依赖IE控件”则是错误的。Teb代理的eb改写功能并不依赖于IE控件,它可以在多种浏览器环境下工作。综上所述,错误的描述是D选项。。
答案:D 。
第144、(单选题)IPS整个协议框架包含多种协议,以下哪一项协议不属于IPSec协议框架?
A:ESP; B:AH; C:IKE; D:TLS;
解析:这道题考察的是对IPSec协议框架的理解。IPSec协议框架主要包括封装安全载荷(ESP)协议和认证头(AH)协议,用于确保数据传输的安全性和完整性。IKE(Internet密钥交换)协议也常用于IPSec中,用于密钥的协商和管理。而TLS(传输层安全)协议,是用于在互联网上提供保密性和数据完整性的一种协议,它并不属于IPSec协议框架。因此,答案是D。。
答案:D 。
第145、(单选题)对等体双方支持的IPS安全协议不一致,将会造成以下哪一种后果?
A:IPSec业务质量差; B:IPSec SA无法建立;
C:IKE SA无法建立; D:没有数据流触发IKE协商;
解析:这道题考察对等体间IPS安全协议不一致的后果。IPSec(InternetProtocolSecurity)是一种网络协议,用于保护IP数据包的安全。SA(SecurityAssociation)是IPSec中的一个关键概念,它定义了如何对数据进行加密、认证等安全操作。当对等体双方支持的IPS安全协议不一致时,它们无法就如何安全地交换数据达成一致,因此无法建立IPSecSA。选项A提到的“IPSec业务质量差”并不是由协议不一致直接导致的,而是可能由其他因素(如网络拥塞)引起的。选项C提到的“IKESA无法建立”虽然与IPSec相关,但IKE(InternetKeyExchange)是用于协商IPSecSA的协议,其SA无法建立可能由多种原因造成,不一定是IPS安全协议不一致。选项D提到的“没有数据流触发IKE协商”与IPS安全协议不一致无直接关联,IKE协商可以由多种因素触发,不一定需要数据流。因此,正确答案是B,“IPSecSA无法建立”。。
答案:B 。
第146、(单选题)ESP(封装安全载荷)是IPSec的一种协议,用于为IP提供保密性和抗重播服务,包括数据包内容的保密性和有限的流量保密性以下哪一项为ESP的协议号?
A:50010182; B:51; C:4500; D:50;
解析:ESP(封装安全载荷)是IPsec的一种协议,用于为IP提供保密性和抗重播服务。在网络通信中,不同的协议通常被分配不同的协议号,以便识别和处理。ESP的协议号是50,这是在网络协议中被广泛认可和使用的标准协议号。因此,选项D是正确的答案。。
答案:D 。
第147、(单选题)IKEv1协商阶段1支持两种协商模式,其中主模式包含几次双向交换?
A:1; B:3; C:2; D:4;
解析:在IKEV1协商阶段1中,主模式和快速模式是两种协商模式,主模式需要进行三次双向交换,而快速模式只需要进行两次双向交换。在主模式中,第一次交换是由初始请求方(通常是客户端)发送到响应方(通常是服务器)的请求。第二次交换是由响应方发送到请求方的响应,其中包含用于加密和身份验证的密银材料。第三次交换是由请求方发送到响应方的最终确认,其中包含用于加密和身份验证的密钥材料的确认。。
答案:B 。
第148、(单选题)以下关于健康检查的描述,错误的是哪一项?
A:健康检查支持D N S探测协议; B:防火墙通过健康检查结果可以实时感知网络连通性;
C:健康检查功能不支持与策略路由结合使用; D:除了检测链路连通性外,健康检直还可以实时检测链路的时延、抖动和丢包率;
解析:健康检查是一种用于检测网络设备或服务是否正常运行的技术。通常,健康检查会定期发送探测请求,并根据响应来判断设备或服务的状态。选项A中提到健康检查支持DNS探测协议,这是一种常见的健康检查方式,可以用于检测DNS服务器的可用性。选项B中提到防火墙通过健康检查结果可以实时感知网络连通性,这也是健康检查的一个常见应用场景。通过定期检测网络连接的状态,防火墙可以及时发现网络故障或异常,并采取相应的措施。选项C中提到健康检查功能不支持与策略路由结合使用,这是错误的。实际上,健康检查可以与策略路由结合使用,以便根据网络设备或服务的状态来动态调整路由策略。选项D中提到除了检测链路连通性外,健康检查还可以实时检测链路的时延、抖动和丢包率,这也是健康检查的一些常见功能。通过检测这些指标,网络管理员可以更好地了解网络的性能状况,并及时发现潜在的问题。综上所述,选项C是错误的。。
答案:C 。
第149、(单选题)以下关于防火墙会话保持的描述,错误的是哪一项?
A:该功能支持与全局选路策略联合使用; B:如果没有开启该功育总,可能导致链路过载时引起会话重新建立的情况;
C:可以使用display session persistenee table命令直看令舌保扌寺表项; D:当开启该功能后,无论新用户还是原用户的流量始终都从过载链路转发,但是保持了会话不会中断;
解析:答案D错误。防火墙会话保持功能的目的是在特定条件下保持会话的连续性和稳定性。选项A,防火墙会话保持功能支持与全局选路策略联合使用,这是常见的配置方式。选项B,若不开启会话保持功能,链路过载时可能导致会话重新建立,影响通信。选项C,使用“displaysessionpersistencetable”命令查看会话保持表项是合理的操作。而选项D中说无论新用户还是原用户的流量始终都从过载链路转发是错误的,通常会话保持是为了更合理地分配流量,而不是始终从过载链路转发。综上,选项D错误。。
答案:D 。
第150、(单选题)以下哪一项是防火墙虚拟系统正确的用户名格式?
A:虚拟系统名@@管理员名; B:管理员名@@虚拟系统名;
C:管理员名@虚拟系统名授; D:虚拟系统名@管理员名;
解析:在防火墙虚拟系统中,正确的用户名格式是管理员名@@虚拟系统名。这是该技术领域中特定的规定和设置方式,通过这种格式可以明确区分不同虚拟系统中的管理员身份。其他选项的格式不符合常规的设定要求,所以答案是B。。
答案:B 。
第151、(单选题)在网络接入设备上执行了Protal认证的相关配置,则该管理员在Protal认证中使用的认证协议是以下哪项?【WAC web-auth-server wacl [WAC-web-auth-server waciservertp 192.168.100.100 [WAC-web-auth-serverwaclport 50200 WAC-web-auth-server waclun http:/192.168.100.100:8080/poral [WAC-web-auth-server-wacllshared-key cipher Huawei@2020 [WAC-web-auh-server-waclquit
A:CHAP; B:HTTP/HTTPS; C:Protal; D:PAP;
解析: 。
答案:C 。
第152、(单选题)若正则表达式为"abc.de"则以下哪一项不会匹配该正则表达式?
A:abcdde; B:abc.de; C:abcde; D:abc+de;
解析:这道题考查对正则表达式“abc.de”的理解。正则表达式中“.”代表任意一个字符。选项A不符合格式;选项B完全匹配;选项D中“+”代表前面字符出现1次或多次,也不符合。而选项C没有“.”对应的字符,所以不会匹配该正则表达式。。
答案:C 。
第153、(单选题)IPS的入侵防御配置文件可以基于严重性对签名进行过滤,其中严重性的等级不包含以下哪一项?
A:低; B:自定义; C:提示; D:高;
解析:入侵防御系统(IPS)的入侵防御配置文件可以基于严重性对签名进行过滤。在其严重性等级中,通常包括提示、低、高这三个标准级别,但并不包含自定义级别。这是因为IPS的严重性等级是标准化的,以便统一管理和响应安全威胁。。
答案:B 。
第154、(单选题)以下关于GRE over IPS的描述,错误的是哪一项?
A:IPSec需要保护的数据流为从G RE起点到G RE终点的数据流; B:GRE封装过程中增加的IP头即源地址为IPSec隧道的源端地址,目的地址为IPSec隧道的目的端地址;
C:当网关之间采用GRE overlPSec连接时,先进行GRE封装,在进行IPSec封装; D:IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址,目的地址即IPSec对等体中应用1PSec安全策略的接口地址0;
解析:这道题考察的是对GREoverIPSec技术的理解。首先,GRE(GenericRoutingEncapsulation)是一种封装协议,用于在不同网络层协议之间传输数据包。IPSec(InternetProtocolSecurity)则是一种网络协议套件,用于保障互联网协议(IP)通信的安全性。选项A正确,因为IPSec确实需要保护从GRE起点到终点的数据流,确保数据传输的安全性。选项B错误,因为在GRE封装过程中增加的IP头,其源地址和目的地址应该是GRE隧道的源端和目的端地址,而不是IPSec隧道的地址。选项C正确,描述了当网关之间采用GREoverIPSec连接时,数据包的封装顺序:先进行GRE封装,再进行IPSec封装。选项D正确,描述了IPSec封装过程中增加的IP头的地址信息,即源地址为IPSec网关应用IPSec安全策略的接口地址,目的地址为IPSec对等体中应用IPSec安全策略的接口地址。综上所述,错误的描述是选项B。。
答案:B 。
第155、(单选题)在虚拟系统中,引流表记录的是以下哪一种归属关系?
A:MAC地址与虚拟系统; B:IP地址与安全策略;C:IP地址与虚拟系统; D:安全策略与虚拟系统;
解析:这道题考查对虚拟系统中引流表记录归属关系的了解。在虚拟系统的相关知识中,引流表主要用于记录IP地址与虚拟系统的对应关系。A选项的MAC地址通常不是引流表重点记录的;C选项的IP地址与安全策略并非引流表的记录内容;D选项安全策略与虚拟系统的关系也非引流表所关注。所以答案是B。。
答案:C 。
第156、(单选题)以下关于AH和ESP协议的描述,正确的是哪一项?
A:都验证IP头部; B:都支持加密; C:都支持数据源验证; D:都支持NAT穿越;
解析:AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)是IPsec中两种主要的协议,主要用于IP网络流量的安全。都支持数据源验证-正确。AH协议通过使用散列和密钥来验证数据源的完整性,而ESP协议也支持数据源验证,通过使用消息认证码(MAC)来确保数据的完整性和来源的真实性。都支持加密-错误。虽然ESP协议确实支持加密,但AH协议主要是用于验证和抗重放服务,不提供加密功能。都支持NAT穿越-不完全正确。尽管一些版本和配置可以增强或附加的功能中包含了NAT穿越的能力,但这并非两种协议的基本或默认功能。因此不能笼统地声称都支持NAT穿越。都验证IP头部-不准确。虽然两者都在保护网络层的通信数据中发挥作用,但并不是都去单独地验证整个IP头部,这种描述太过宽泛且可能会造成误导。综上,正确的答案是AH和ESP协议都支持数据源验证。。
答案:C 。
第157、(单选题)SSLVPN的网络扩展业务可以实现对内网所有复杂应用的全网访问,以下哪一项不属于网络扩展业务的路由模式?
A:全路由模式; B:分离模式; C:手动模式; D:聚合模式;
解析:这道题考查对SSLVPN网络扩展业务路由模式的了解。在网络技术中,常见的SSLVPN网络扩展业务路由模式有分离模式、手动模式和全路由模式。而聚合模式通常不被包含在其中,所以这道题选D。。
答案:D 。
第158、(单选题)以下关于管理中心的描述,错误的是哪一项?
A:管理中心的管理服务器负责异常流量的清洗,以及业务数据的采集、解析、汇总、入库,并负责将汇总后的流量上传管理服务器用以报表呈现; B:管瑾中心是整个方案的中枢,通过管理中心将检测分析中心和清洗中心连接起采形成完整的解决方案;
C:管瑾中心分为管理服务器和数据采集器两个部分; D:管琏中心的两个组件可以安装在一台服务器上,也可以安装在不同服务器上;
解析:管理中心的主要功能是将检测分析中心和清洗中心连接起来,形成完整的解决方案,并负责数据的采集、解析、汇总、入库以及报表呈现等工作。而异常流量的清洗是由清洗中心负责的,不是管理中心的管理服务器。因此,选项A是错误的。。
答案:A 。
第159、(单选题)在企业网络中部署WAF设备的优势不包括以下哪一项?
A:实时解析HTTP/HTTPS流量,识别并防御多种攻击; B:支持对基于TCP的应用进行防护,如FTP服务器等;
C:支持We b站点信息隐藏功能,防止信息泄露; D:支持网页防篡改功能,保护关键Web站点;
解析:这道题考查对WAF设备优势的了解。在企业网络中,WAF设备主要用于防护Web应用。B选项的网页防篡改能保障关键站点;C选项能实时解析流量并防御攻击;D选项可防止信息泄露。而A选项中对基于TCP的应用如FTP服务器的防护并非WAF设备的主要优势。。
答案:B 。
第160、(单选题)以下关于MAC认证的描述,错误的是哪一项?
A:对于MAC认证用户密码的处理,有PAP和CHAP两种方式; B:为了避免攻击者暴力破解合法用户的密码,可使能MAC认证静默功能,静默期间,合法用户依然能够D通过MAC认证;
C:MAC认证方式中用户终端不需要安装任何客户端软件”适合于哑终端接入认证的场景; D:MAC认证是一种基于接口和终端MAC地址对用户的访问权限进行控制的认证方法;
解析:这道题考察的是对MAC认证相关知识的理解。首先,A选项提到的PAP和CHAP确实是MAC认证中用户密码处理的两种方式,这是正确的。C选项描述的“MAC认证方式中用户终端不需要安装任何客户端软件”,这也是准确的,特别适用于哑终端接入认证的场景。D选项说明MAC认证是基于接口和终端MAC地址进行访问权限控制的,这同样是正确的。而对于B选项,“为了避免攻击者暴力破解合法用户的密码,可使能MAC认证静默功能,静默期间,合法用户依然能够通过MAC认证”,这是错误的。实际上,在MAC认证静默功能启用期间,如果攻击者尝试暴力破解密码,合法用户在此期间是无法通过MAC认证的,这是一种安全保护措施。因此,B选项是错误的。。
答案:B 。
第161、(单选题)以下哪一项不是文件识别异常的响应动作?
A:阻断; B:删除; C:告警; D:允许;
解析: 。
答案:B 。
第162、(单选题)在WLAN网络的802.1X认证场景中,认证设备上的授权静态ACL配置如下所示,那么以下哪一个网段能够被通过认证的客户访问?
A:10.1.4.0/24; B:10.1.3.0/24;
C:10.1.2.0/24; D:10.1.1.0/24;
解析:从授权静态ACL配置可以看出,允许通过认证的网段为10.1.1.0/24。A选项10.1.4.0/24、B选项10.1.3.0/24、C选项10.1.2.0/24均不在允许范围内,只有D选项符合,所以答案是D。。
答案:D 。
第163、(单选题)如图所示为HTTP Flood的防御原理,请问图中单显示的是哪一种源探测技术?
A:302重定向模式; B:基本模式; C:URI监测; D:增强模式;
解析:这道题考察的是对HTTPFlood防御原理中源探测技术的理解。HTTPFlood攻击是一种利用大量HTTP请求来耗尽服务器资源的攻击方式。在防御这种攻击时,源探测技术是一个重要的环节。根据图示和HTTPFlood防御的常规知识,我们可以判断图中显示的是一种高级的源探测技术,即“增强模式”。这种模式通常能够更有效地识别和过滤掉恶意的HTTP请求,从而保护服务器不受攻击。因此,正确答案是D。。
答案:D 。
第164、(多选题)在IPSec组网中,策略模板适用于以下哪些场景?
A:点到多点,其中总部出口地址固定,分支出口地址不固定; B:点到多点,总部出口地址和分支出口地址都不固定;
C:点到点,双方地址不固定; D:点到点,其中一方IP地址不固定;
解析:这道题考查IPSec组网中策略模板的适用场景。点到点一方IP不固定及点到多点总部固定分支不固定的情况适合用策略模板。点到多点总部和分支地址都不固定,以及点到点双方地址都不固定的场景不适用,因其情况更复杂,策略模板难以满足。。
答案:AD 。
第165、(多选题)以下关于华为IPS部署方式的描述,错误的是哪些项?
A:二层直路部署,可以对网络流量进行实时的识别和控制; B:二层旁路检测部署,可以对网络流量进行实时的识别和控制;
C:三层旁挂部署,可以对网络流量进行实时的识别和控制; D:二层直路部署、三层旁挂部署、二层旁路检测部署,均可以对网络流量进行实时的识别和控制;
解析:这道题考查华为IPS部署方式。二层直路和三层旁挂部署能实时识别和控制网络流量。二层旁路检测部署只是检测,不能实时控制。C选项说三种部署方式都能实时控制是错的,D选项说二层旁路检测部署能实时控制也是错的。。
答案:BD 。
第166、(多选题)以下关于虚拟系统与VPN实例的描述,正确的是哪些项?
A:VPN实例可以支持组播协议; B:管理员使用ipvpn-instance命令手动创建的VPN实例;
C:创建虚拟系统时,会自动生成相同名字的VPN实例; D:虚拟系统与VPN实例都可以实现业务隔离和路由隔离;
解析:首先,我们分析选项A,VPN实例一般并不直接支持组播协议,组播协议通常在网络层实现,而VPN更多关注的是数据的加密和传输安全,不直接涉及组播。。
答案:BD 。
第167、(多选题)以下哪些为流量型攻击?
A:Dos攻击; B:畸形报文攻击; C:扫描窥探攻击; D:DDoS攻击;
解析:流量型攻击主要是通过向目标系统发送大量无用的数据包,消耗系统资源,使系统无法处理正常的服务请求。DDoS攻击和DoS攻击均属于此类,它们通过大量的请求或数据包拥塞目标系统,导致系统服务中断或性能严重下降。而扫描窥探攻击主要是探测目标系统的信息,畸形报文攻击则是通过发送异常格式的数据包来攻击系统,这两者并不直接通过大量流量来攻击,因此不属于流量型攻击。所以正确答案是BC。。
答案:AD 。
第168、(多选题)RADIUS支持使用PAP和CHAP方式对用户的身份信息进行验证,以下关于CHAP方式的描述,正确的是哪些选项?
A:密码在认证终端与网络接入没备中明文传输; B:与PAP认证方式相比,CHAP认证方式保密性较好,更为安全可靠;
C:在认证过程中,NAS设备把用户名和加密后的密码,以及一个16字节随机码传给RADIUS服务器; D:密码在认证终端与网络接入没备中密文传输;
解析:B选项正确,CHAP相对PAP更安全,因为密码不是明文传输。C选项正确,这是CHAP认证过程的特点之一。D选项正确,CHAP中密码是经过加密处理后传输的,即密文传输。A选项错误,PAP才是密码明文传输,CHAP不是。所以正确答案是BCD。。
答案:BCD 。
第169、(多选题)某客户现网采用华为无线控制器部署Portal认证,工程师在调试过程中发现终端一直无法认证成功,导致此问题的原因可能有哪些?
A:无线控制器上关闭了STA地址学习功能; B:无线控制器上配置的Portal密钥与认证服务器不一致;
C:无线控制器上开启了Portal服务器探测功能,而Portal服务器上未开启此功能; D:无线控制器上配置的Portal服务器目的端口与Portal服务器上的监听端口不一致;
解析:这道题考查华为无线控制器部署Portal认证的相关知识。无线控制器上关闭STA地址学习功能、配置的Portal密钥与服务器不一致、开启服务器探测但服务器未开启此功能,都会导致终端无法认证成功。而配置的服务器目的端口与服务器监听端口不一致并非导致此问题的原因。。
答案:AB 。
第170、(多选题)1X认证是一种基于端口的网络接入控制协议,即在接入设备的端口这一级验证用户身份并控制其访问权限。以下关于802.1X认证的触发方式的描述,正确的是哪些选项?
A:客户端关联设备触发认证; B:关联设备主动发起;
C:客户端发送DHCP请求报文触发认证; D:客户端发送EAPoL-Start报文触发认证;
解析:这道题考查802.1X认证的触发方式。客户端关联设备和发送EAPoL-Start报文可触发认证。客户端发送DHCP请求报文主要用于获取网络配置,不触发802.1X认证。关联设备主动发起这种方式不准确,所以不选A和D选项。。
答案:AB 。
第171、(多选题)IPS签名的对象可以分为以下哪些类别?
A:客户端; B:服务端; C:请求端; D:响应端;
解析:这道题考查对IPS签名对象类别的认识。在网络安全中,IPS签名对象有特定分类。服务端和客户端与网络交互密切,是IPS签名的常见对象。请求端和响应端并非IPS签名的主要对象类别。。
答案:AB 。
第172、(多选题)防火墙可以对HTTP的哪些控制项进行行为控制?
A:POST操作; B:代理上网; C:文件上传; D:文件删除;
解析:这道题考查防火墙对HTTP控制项的行为控制知识。POST操作、代理上网、文件上传都涉及网络数据交互,防火墙可对其进行行为控制。文件删除通常不是HTTP常见操作,且防火墙一般不直接对此控制。。
答案:ABC 。
第173、(多选题)以下哪些功能属于防火墙可以实现的虚拟化?
A:路由虚拟化; B:配置虚拟化; C:资源虚拟化; D:安全功能虚拟化;
解析:防火墙可以实现的虚拟化包括安全功能虚拟化、配置虚拟化、路由虚拟化和资源虚拟化。这些虚拟化功能可以帮助用户更好地管理和使用防火墙,提高安全性和效率。。
答案:ABCD 。
第174、(多选题)NAC(NG EWOrk ACCess Control,网络接入控制)是一种"端到端"的安全技术,需要与AAA互相配合,共同实现接入认证功能。以下关于NAC与AAA的描述,正确的是哪些选项?
A:AAA主要用于用户和接入设备之间的交互过程; B:AAA服务器通过对接入用户进行认证、授权和计费实现对接入用户访问权限的控制;
C:NAC主要包括三种认证方式:802.1 X认证、MAC认证和Portal认证; D:NAC主要用于接入设备与认证服务器之间的交互过程;
解析:这道题考察的是对NAC与AAA在网络接入控制中作用的理解。NAC确实是“端到端”的安全技术,其核心在于与AAA的配合实现接入认证。AAA服务器负责用户的认证、授权和计费,从而控制访问权限,这是其关键功能。NAC的认证方式多样,包括802.1X、MAC和Portal认证。而NAC主要处理的是接入设备与认证服务器间的交互,不是用户与接入设备间的交互。因此,B、C、D选项描述准确。。
答案:BCD 。
第175、(多选题)华为防火墙支持以下哪些邮件安全保护功能?
A:垃圾邮件防范; B:邮件附件控制; C:邮箱地址检查; D:匿名邮件检查;
解析:这道题考查华为防火墙的邮件安全保护功能。邮箱地址检查可保障邮件来源安全,邮件附件控制确保附件合规,垃圾邮件防范过滤有害邮件,匿名邮件检查增强邮件安全性。这些均是有效的保护功能。而这几个选项涵盖了常见且重要的邮件安全方面,没有其他选项可补充。。
答案:ABCD 。
第176、(多选题)以下关于Anti-DDoS方案组网模式的描述,正确的是哪些项?
A:直路部署简单,串接在网络中,无需考虑单点故障; B:在旁路部署组网中,缺省情况下流量不经过清洗中心;
C:旁路部署支持动态引流将流量牵引到清洗中心; D:旁路部署可通过静态引流方式将流量牵引到清洗中心进行检测和清洗;
解析:这道题考查Anti-DDoS方案组网模式的知识。旁路部署具有多种引流方式,支持动态和静态引流将流量牵引到清洗中心进行处理。而直路部署并非简单且存在单点故障问题。在旁路部署中,默认流量不经过清洗中心。。
答案:BCD 。
第177、(多选题)IPSec VPN通过以下哪些方面保障了用户业务数据在Internet中的安全传输
A:接收方验证发送方身份是否合法; B:数据以密文的形式在l nternet上传送;
C:接收方拒绝旧的或重复的数据包; D:接收方对接收的数据进行验证;
解析:这道题考察IPSecVPN如何保障数据安全。IPSecVPN确保数据传输安全主要通过:验证发送方身份,保证数据来自合法源;数据加密,以密文形式传输,防止数据被窃取;拒绝旧或重复数据包,防止重放攻击;接收方验证数据,确保数据完整性。这些措施共同保障了数据在Internet中的安全传输。。
答案:ABCD 。
第178、(多选题)华为IPS设备中,物理接口的工作模式有以下哪些项?
A:交换; B:接口对; C:路由; D:旁路;
解析: 。
答案:ABCD 。
第179、(多选题)以下关于BFD特点的描述,正确的是哪些项?
A:BFD的检测机制包括检测模式、检测的间以及检测参数协商过程; B:BFD协议规走发送间隔和接收间隔单位是微秒;
C:BFD的检测机制是两个系统建立BFD会话,并沿它们之间的路径周期性发送BFD控制报文; D:BFD控制报文封装在TC P报文中传送;
解析:BFD(BidirectionalForwardingDetection,双向转发检测)是一种用于检测网络中链路或节点故障的协议。以下是对每个选项的分析:A选项:BFD的检测机制包括检测模式、检测间隔以及检测参数协商过程。检测模式可以是异步模式或查询模式,检测间隔是发送BFD控制报文的时间间隔,检测参数协商用于确定双方使用的参数,如检测间隔、最小接收间隔等。B选项:BFD协议规定发送间隔和接收间隔的单位是毫秒,而不是微秒。C选项:BFD的检测机制是两个系统建立BFD会话,并沿它们之间的路径周期性发送BFD控制报文。这些控制报文用于检测链路或节点的状态,如果在一定时间内没有收到对方的回应,则认为链路或节点出现故障。D选项:BFD控制报文可以封装在多种协议中传送,包括UDP和TCP。在某些情况下,使用TCP可以提供更可靠的传输,但这并不是BFD的必需要求。综上所述,正确的是A、C、D选项。。
答案:ACD 。
第180、(多选题)以下哪些资源属于给虚拟系统手工分配的资源?
A:VLAN; B:安全区域; C:带宽; D:接口;
解析:这道题考查虚拟系统的资源分配知识。带宽决定数据传输量,VLAN实现网络隔离,接口用于连接设备,它们都能手工分配给虚拟系统。安全区域主要用于安全策略划分,并非直接手工分配给虚拟系统的资源。。
答案:ACD 。
第181、(多选题)如图所示是外网用户访问内部服务器场景,那么以下关于该场景的描述,正确的是哪些项?
A:ISP2用户发起DNS解析后的地址与自己不是同一网段,因此无法访问; B:ISP2可以通过ISP1网络访问Web服务器;
C:可以通过ISP选路路由技术保证ISP2用户通过最短路径访问Web服务器; D:ISP1链路可能会造成网络拥塞;
解析:这道题考察的是外网用户访问内部服务器的网络知识。首先,用户是否能访问不是基于是否同一网段,而是基于路由可达性,因此A项错误。ISP之间通常会互联,使得用户能跨ISP访问资源,所以B项正确。选路路由技术用于优化路径,但不一定是最短路径,C项描述不准确。网络拥塞可能发生在任何链路,包括ISP1,因此D项正确。。
答案:BD 。
第182、(多选题)以下哪些项属于IPSec安全提议需要配置的参数?
A:安全协议; B:密钥; C:认证算法; D:封装模式;
解析:这道题考查IPSec安全提议的配置参数。IPSec安全提议主要关注数据的安全传输,涉及加密与认证。密钥是加密和解密的关键,认证算法确保数据的真实性和完整性,两者都是必需的配置参数。安全协议是IPSec框架的一部分,但不是安全提议直接配置的参数;封装模式描述数据如何封装,也不属于直接配置的参数范畴。。
答案:BC 。
第183、(多选题)在IPSec诊断过程中。通过display ike Sa命令可以查看以下哪些参数信息?
A:安全联盟的状态; B:对端ID类型;
C:IPSec报文统计信息; D:IPSec隧道数目;
解析:这道题考察的是对IPSec诊断命令displayikeSa的理解。在执行此命令时,可以观察到安全联盟(SA)的状态,这是IPSec通信中的一个关键参数,用于确认安全通信的状态。同时,也能查看对端ID类型,它帮助识别通信的对端实体。而IPSec报文统计信息和IPSec隧道数目,并非通过此命令直接查看,因此不选C和D。。
答案:AB 。
第184、(多选题)以下哪些特征可以作为Anti-DDos过滤器的过滤条件?
A:目的; B:源IP; C:协议; D:TTL;
解析:这道题考察的是对Anti-DDoS过滤器过滤条件的理解。在网络安全领域,Anti-DDoS过滤器用于识别和防御分布式拒绝服务攻击。过滤条件通常包括目的地址、源IP地址、协议类型以及TTL(生存时间)值,这些都能帮助区分正常流量和潜在的攻击流量。因此,所有这些特征都可以作为过滤条件。。
答案:ABCD 。
第185、(多选题)以下关于Anti-DDos检测中心的描述,正确的是哪些项?
A:可通过部器流量镜像将流呈复制到检测中心; B:检测中心只支持基于应用的还包检测技术;
C:检测中心发现流量异常后会上报管理中心; D:可通过在网络中部署分流设备将流量复制到检测中心;
解析:Anti-DDos检测中心是一种用于检测和防御分布式拒绝服务(DDoS)攻击的系统。以下是对每个选项的分析:A.可通过部器流量镜像将流量复制到检测中心。这种方式可以将网络中的流量镜像到检测中心,以便进行分析和检测。这是一种常见的方法,可以帮助检测中心获取全面的流量信息。B.检测中心不只支持基于应用的还包检测技术。检测中心通常会使用多种技术来检测DDoS攻击,包括基于流量特征的检测、基于协议分析的检测、基于行为分析的检测等。因此,选项B是错误的。C.检测中心发现流量异常后会上报管理中心。当检测中心发现流量异常时,它会将这些信息上报给管理中心,以便管理员采取相应的措施来应对攻击。这是检测中心的一个重要功能,可以帮助管理员及时发现和处理攻击。D.可通过在网络中部署分流设备将流量复制到检测中心。分流设备可以将网络中的流量按照一定的规则进行分流,将一部分流量复制到检测中心进行分析和检测。这也是一种常见的方法,可以帮助检测中心获取特定的流量信息。综上所述,正确答案是A、C、D。。
答案:ACD 。
第186、(多选题)以下哪些是防火墙可以识别的文件类型异常情况?
A:文件类型无法识别; B:文件内容不匹配; C:文件损坏; D:文件扩展名不匹配;
解析:这道题考查防火墙对文件类型异常的识别。文件类型无法识别、扩展名不匹配、文件损坏都属于防火墙能察觉的异常。无法识别表明超出识别范围,扩展名不匹配存在错误,文件损坏不符合正常状态。而文件内容不匹配并非防火墙主要识别的文件类型异常情况。。
答案:ACD 。
第187、(多选题)当防火墙识别出文件异常时,可以实现以下哪些相应动作?
A:阻断; B:告警; C:允许; D:删除附件;
解析:这道题考查防火墙对文件异常的处理动作。防火墙的主要作用是保障网络安全。阻断能阻止异常文件传输,告警提醒管理员,允许是在风险可控时的选择。而删除附件并非防火墙常见动作,它可能导致重要数据丢失。。
答案:ABC 。
第188、(多选题)在华为无线控制器上部署Portal以证,为保证认证终端能够正常跳转页面并打开Porta以证页面,在接入设备上的免认证模板中应放通哪些流量?
A:访问DNS服务器的流量; B:访问Portal服务器的流量;
C:访问Internet的流量; D:访问RADIU S服务器的流量;
解析:在华为无线控制器上部署Portal认证时,为保证认证终端能够正常跳转页面并打开Portal认证页面,需要在接入设备上的免认证模板中放通访问DNS服务器的流量和访问Portal服务器的流量。访问DNS服务器的流量是为了让终端能够解析Portal服务器的域名,从而找到Portal服务器的IP地址。访问Portal服务器的流量是为了让终端能够与Portal服务器进行通信,从而完成认证过程。访问Internet的流量和访问RADIUS服务器的流量在认证过程中并不是必需的,因此不需要在免认证模板中放通。综上所述,正确答案是AB。。
答案:AB 。
第189、(多选题)以下哪些项可能导致IPSec VPN建立失败?
A:到达对端内网的路由不可达; B:ACL不包含两端需要通信的业务地址;
C:封装模式不一致; D:支持的加密算法不一致;
解析:这道题考查对IPSecVPN建立失败原因的掌握。IPSecVPN建立需各方面条件匹配。到达对端内网路由不可达则无法连接;封装模式、加密算法不一致会导致不兼容;ACL不包含通信业务地址则无法正常通信。以上情况都会导致建立失败。。
答案:ABCD 。
第190、(多选题)以下关于URL分类的描述,正确的是哪些项?
A:为了简化操作,防火墙提供了四个缺省的URL过滤级别并定义了各个URL分类的处理动作; B:预定义分类中,大类中还包含了小类;
C:在安全策略中处理动作的应用始终以大类为基准; D:防火墙根据URL分类信息,可以执行不同的分类处理动作;
解析:这道题考查对URL分类的理解。预定义分类中,大类包含小类,能更细致区分。防火墙根据分类信息执行不同处理动作,体现其作用。A选项说防火墙提供四个缺省级别并非正确描述。C选项处理动作以大类为基准说法错误。。
答案:BD 。
第191、(多选题)以下关于引流表的描述,正确的是哪些项?
A:引流表可以解决业务量大时,会话资源紧张的问题; B:报文命中引流表分为正向命中和反向命中两种情况;
C:引流表中记录的是IP地址和MAC地址的绑定关系; D:引流表可以减少根系统配置的策略;
解析:这道题考察的是对引流表的理解。引流表主要用来处理业务量大会话资源紧张的问题,它能有效分散会话,减轻系统负担,因此A项正确。引流表的作用并不涉及报文命中的正反向问题,所以B项错误。引流表记录的是会话引流的相关信息,而非IP地址和MAC地址的绑定关系,C项错误。引流表的使用可以减少根系统配置的策略,因为它可以在一定程度上自主处理会话引流,D项正确。。
答案:AD 。
第192、(多选题)如图所示,防火墙负载均衡组网,发现业务流量有时会出现丢包现象。以下哪些项可能导致该情况发生?
A:未配置会话快速备份; B:没有配置hrp adjust;
C:只配置了一个VRRP组; D:心跳口故障;
解析:这道题考察的是对防火墙负载均衡组网中可能导致丢包现象原因的理解。未配置会话快速备份时,主设备故障切换可能导致会话丢失,引发丢包。没有配置hrpadjust时,设备间状态同步可能出问题,也可能导致丢包。心跳口故障会影响设备间通信,同样可能导致丢包。而只配置了一个VRRP组,主要影响的是路由冗余,通常不会直接导致丢包。。
答案:ABD 。
第193、(多选题)以下关于IKE中主模式和野蛮模式的描述,正确的是哪些项?
A:主模式不支持NAT穿越,野蛮模式支持NAT穿越; B:主模式仅支持IP地址标识身份,野蛮模式支持IP地址和Name两种方式标识身份;
C:为了简化操作,主模式保护身份信息,野蛮模式缺乏对身份信息的保护; D:主模式使用6条ISAKMP信息,野蛮模式使用3条ISAKMP信息;
解析:A选项正确,主模式在NAT环境下会遇到问题,而野蛮模式可适应NAT穿越。B选项正确,野蛮模式相比主模式在身份标识上更灵活。C选项正确,主模式对身份信息保护更周全,野蛮模式相对简单。D选项正确,主模式和野蛮模式在交换ISAKMP信息数量上确实不同,主模式为6条,野蛮模式为3条。综上,ABCD均正确。。
答案:ABCD 。
第194、(多选题)以下哪些选项属于应急响应根除阶段的操作?
A:在企业内部交换机上部署ACL,限制病毒在内部网络的传播; B:加强网络安全教育宣传;
C:启用安全审计; D:使用杀毒软件对终端进行全面杀毒;
解析:这道题考查应急响应根除阶段的操作。加强网络安全教育宣传能提高防范意识,启用安全审计有助于查找问题根源,使用杀毒软件全面杀毒可清除病毒。在企业内部交换机上部署ACL限制病毒传播,属于遏制阶段的操作,不属于根除阶段。。
答案:BCD 。
第195、(多选题)华为Anti-DDoS防御系统支持以下哪些镜像方式?
A:分光器分光; B:BGP引流; C:在出口设备上使用端口镜像; D:策略路由引流授;
解析: 。
答案:AC 。
第196、(多选题)以下关于邮件协议的描述,正确的是哪些项?
A:使用POP3,用户直接对服务器上的邮件进行操作,不需要把所有邮件下载到本地再进行各项操作; B:使用IMAP,客户端软件会将所有未阅读邮件下载到计算机,并且邮件服务器会删除该邮件;
C:使用IMAP,用户直接对服务器上的邮件进行操作,不需要把所有邮件下载到本地再进行各项操作; D:使用POP3,客户端载件会将所有未阅读邮件下载到计算机,并且邮件服务器会删除该邮件;
解析:POP3协议的特点是客户端软件会将所有未阅读邮件下载到计算机,同时邮件服务器会删除该邮件。IMAP协议则允许用户直接对服务器上的邮件进行操作,无需把所有邮件下载到本地就能进行各项操作。A选项中关于POP3的描述错误,POP3需要下载邮件且服务器会删除。B选项中关于IMAP的描述错误,IMAP无需下载所有邮件且服务器不会删除。所以,正确答案是CD。。
答案:CD 。
第197、(多选题)以下哪些是防火墙URL过滤的匹配模式?
A:后缀匹配; B:关键字匹配; C:模糊匹配; D:精确匹配;
解析:这道题考查防火墙URL过滤的匹配模式知识。精确匹配能准确对应特定URL,后缀匹配针对URL后缀,关键字匹配依据关键部分。这三种都属于常见的匹配模式。而模糊匹配不够准确和特定,在防火墙URL过滤中不常用,所以不选。。
答案:ABD 。
第198、(多选题)双机热备系统版本升级是现网中常见的运维操作,在升级完成后需要验证以下哪些信息来确定升级成功
A:会话表; B:设备运营状态; C:版本信息; D:License信息;
解析:双机热备系统版本升级后,需要全面验证相关信息以确定升级成功。A选项会话表,它反映了系统当前的连接状态,确保会话正常是系统正常运行的重要标志。B选项设备运营状态,能直接反映设备是否稳定运行。C选项版本信息,确认是否已正确升级到目标版本。D选项License信息,保证系统的使用权限和功能完整性。综上所述,ABCD选项的信息都需要验证,才能确定双机热备系统版本升级成功。。
答案:ABCD 。
第199、(多选题)随着网络技术的不断发展,新的漏洞、新的攻击工具、攻击方式的不断出现IPS设备只有不断的更新特征库才能对网络、系统和业务进行持续有效的防御。以下关于IPS特征库的描述,正确的是哪些项?
A:华为IPS特征库只支持手动升级; B:华为IPS特征库支持手动升级和自动升级;
C:用户可以从华为官网下载最新的入侵防御特征库; D:华为IPS特征库升级后需要重启设备才能使其生效;
解析:这道题考查对IPS特征库的了解。华为IPS特征库支持手动和自动升级,方便用户灵活选择。用户还能从华为官网下载最新特征库。而A选项说只支持手动升级错误。D选项说升级后需重启设备生效也不对,实际并非如此。。
答案:BC 。
第200、(多选题)Portal认证通常也称为Web认证,用户上网时,必须在认证网站进行认证,如果未认证成功,仅可以访问特走的网络资源,认证成功后,以访问其他网络资源。以下关于Portal认证触发方式的描述,正确的是哪些选项?
A:接入设备主动触发; B:用户通过浏览器主动访问PortalUffi网站触发;
C:客户端发送DHCP请求报文触发; D:用户输入的访问地址不是Portal认证网站地址时,将被强制访问Portal认证网站;
解析:Portal认证的触发方式有多种。A选项,接入设备主动触发,这是设备按照设定规则来启动认证流程。B选项,用户通过浏览器主动访问Portal网站触发,这是用户自主发起认证操作。D选项,当用户输入的访问地址不是认证网站地址时强制访问认证网站,可有效引导未认证用户进行认证。而C选项中客户端发送DHCP请求报文一般不用于触发Portal认证。综上所述,正确答案是ABD。。
答案:ABD 。
第201、(多选题)某客户现网采用AD认证方式控制终端接入网络,其中AD服务器由以下哪些部件组成?
A:Accounting Server; B:Ticket-Granting Server;
C:Authentication Server; D:LDAP Server;
解析:这道题考查对AD认证方式中服务器组成部件的了解。AD认证中,AuthenticationServer用于认证,LDAPServer提供目录服务,Ticket-GrantingServer负责授权。这三者均是AD服务器的组成部分。AccountingServer主要用于计费,并非AD服务器的组成部件。。
答案:BCD 。
第202、(多选题)华为HWTACACS认证方案中,以下哪些报文是HWTACACS的计费报文?
A:Accounting Response; B:Accounting Reply;
C:Accounting Start; D:Accounting Request;
解析: 。
答案:AD 。
第203、(多选题)以下哪些项是传输模式和隧道模式的区别?
A:隧道模式能够加密数据报文; B:隧道模式有一个额外的IP头,隧道模式比传输模式用更多带宽;
C:隧道模式隐藏原IP头信息,安全性更好; D:传输模式能实现对全报文(除可变IP头部参数)的完整性校验;
解析:传输模式和隧道模式是两种常见的网络通信模式。A选项正确,隧道模式可以对整个数据包进行加密,包括数据和原IP头。B选项正确,隧道模式会增加一个额外的IP头,导致数据包长度增加,从而占用更多的带宽。C选项正确,隧道模式隐藏了原IP头信息,提供了更好的安全性。D选项错误,传输模式只能对数据部分进行完整性校验,而不能对整个数据包进行校验。因此,ABC是传输模式和隧道模式的区别,正确答案是ABC。。
答案:ABC 。
第204、(多选题)华为准入控制方案中,当采用RADIUS协议下发授权时,Master NCE-Campus支持下发以下哪些授权参数?
A:接口; B:VLAN; C:ACL; D:用户组;
解析: 。
答案:BCD 。
第205、(多选题)华为Anti-DDoS防御系统支持以下哪些回注方式?
A:VPN回注; B:二层回注; C:静态路由回注; D:策略路由回注;
解析:这道题考查对华为Anti-DDoS防御系统回注方式的掌握。在网络安全防御中,回注方式多样。VPN回注保障安全连接,二层回注实现数据传输,静态路由回注稳定可靠,策略路由回注灵活高效。这些都属于支持的回注方式。。
答案:ABCD 。
第206、(多选题)SSLVPN中的文件共享功能支持以下哪些协议的应用?
A:FTP; B:NFS; C:HTTP; D:SMB;
解析:这道题考查对SSLVPN中文件共享功能支持协议的了解。NFS常用于网络文件系统共享,SMB是常见的文件共享协议。而FTP主要用于文件传输,HTTP用于网页访问,它们不属于SSLVPN中文件共享功能支持的协议。。
答案:BD 。
第207、(多选题)IPSec使用以下哪些安全协议封装业务报文?
A:AH; B:ISAKMP; C:ESP; D:IKE;
解析:这道题考察的是IPSec使用的安全协议。IPSec主要使用两种协议封装业务报文,分别是AH(认证头协议)和ESP(封装安全载荷协议)。这两种协议能提供数据的完整性、认证和加密服务。ISAKMP(Internet安全关联和密钥管理协议)和IKE(Internet密钥交换)则是用于密钥交换和管理,不直接封装业务报文。因此,正确答案是C和D。。
答案:ACD 。
第208、(多选题)以下哪些是会话保持表项里包含的内容?
A:端口号; B:出接口; C:源IP地址; D:老化时间;
解析:这道题考查会话保持表项的内容。出接口用于数据传输,源IP地址标识会话来源,老化时间决定表项有效期,它们都是会话保持表项包含的。端口号主要用于区分不同服务,不属于会话保持表项的内容。。
答案:BC 。
第209、(多选题)以下关于Eth-Trunk接口的描述,正确的是哪些项?
A:一个接口可以加入到不同Eth-Trunk接口中; B:Eth-Trun k接口的总带宽是各成员带宽之和;
C:在双机热备场景中,Eth-Trunk接口可以作为心跳接口使用; D:Eth-Trunk接口通过将流量分散到不同的链路上,可以实现同一个Eth-Trunk内各成员链路的流量负载分担;
解析:这道题考查对Eth-Trunk接口的理解。Eth-Trunk接口总带宽是成员带宽之和,能实现流量负载分担。在双机热备场景中可作心跳接口。一个接口不能加入不同Eth-Trunk接口,所以A选项错误。。
答案:BCD 。
第210、(多选题)以下关于SYN扫描攻击的描述,正确的有哪些项?
A:当扫描者发出SYN报文,如果对端回复RST,则对端端口是关闭的; B:当扫描者发出SYN报文,如果对端没有回复,则是对端主机不存在,或者网络、主机中存在过滤行为;
C:当扫描者发出SYN报文,如果对端回复SYN ACK报文,则对端端口是打开的; D:当扫描者发送SYN报文,如果对端回应SYN ACK报文,扫描者还会回应ACK报文,完成三次握手;
解析:这道题考查对SYN扫描攻击的理解。SYN扫描中,若回复RST端口关闭,没回复可能主机不存在或有过滤,回复SYNACK端口打开。而D选项中完成三次握手并非SYN扫描攻击的重点。A、B、C选项准确描述了SYN扫描攻击的特征。。
答案:ABC 。
第211、(多选题)以下关于LDAP和AD认证的描述,正确的是哪些选项?
A:AD服务器是集成了Kerberos和LDAP认证的服务器; B:AD认证在LDAP基础上集成了Kerberos协议;
C:LDAP认证支持网络设备直接与LDAP服务器进行交互; D:LDAP认证架构中可以采用iMaster NCE-Campus服务器作为客户端同步LDAP服务器上的用用户信息;
解析:LDAP(轻型目录访问协议)是一种用于访问和管理目录信息的开放标准协议。AD(活动目录)是微软的一种目录服务,它集成了Kerberos和LDAP认证。A选项正确,AD服务器确实集成了Kerberos和LDAP认证。B选项正确,AD认证在LDAP基础上集成了Kerberos协议,提供了更强大的认证和授权功能。C选项错误,虽然LDAP认证支持网络设备与LDAP服务器进行交互,但并不是所有网络设备都直接与LDAP服务器进行交互。D选项正确,iMasterNCE-Campus服务器可以作为客户端同步LDAP服务器上的用户信息。综上所述,正确答案是ABD。。
答案:ABD 。
第212、(多选题)以下哪些属于特殊报文攻击?
A:ICMP重定向报文攻击; B:IP分片报文攻击;
C:Land攻击; D:带源路由选项的IP报文攻击;
解析:这道题考查特殊报文攻击的知识。ICMP重定向报文攻击可误导网络路径,带源路由选项的IP报文攻击能绕过安全策略。这两种均属特殊报文攻击。IP分片报文攻击主要影响数据传输,Land攻击是一种特定的拒绝服务攻击,它们不属于特殊报文攻击范畴。。
答案:AD 。
第213、(多选题)以下关于虚拟系统中带宽资源分类的描述,正确的是哪些项?
A:从私网接口流向公网接口的流量,受出方向带宽的限制。; B:在跨虚拟系统转发的场景中,Virtual-if接口默认为公网接口;
C:公网接口指的是防火墙连接Internet的接口; D:从公网接口流向私网接口的流量,受入方向带宽的限制;
解析:这道题考查虚拟系统中带宽资源分类知识。出方向带宽限制私网到公网流量,入方向带宽限制公网到私网流量。跨虚拟系统转发时,Virtual-if接口默认为公网接口。公网接口是连接Internet的接口。C选项表述不全面,未涉及带宽资源分类。。
答案:AD 。
第214、(多选题)以下哪些是华为Anti-DDoS支持的防范机制?
A:会话检查; B:限流; C:过滤器; D:首包检查;
解析:这道题考查对华为Anti-DDoS防范机制的掌握。会话检查能保障会话安全,限流可控制流量,过滤器过滤异常,首包检查确保初始数据安全。这些都属于华为Anti-DDoS支持的防范机制。。
答案:ABCD 。
第215、(多选题)IPS"使用IKE v1主横式建立隧道,并且使用证书验证身份,以下哪些消息对证书进行合法性进行验证?
A:消息5; B:消息4; C:消息6; D:消息3;
解析:这道题考察的是IKEv1协议中的消息交互过程。在IKEv1协议中,使用证书进行身份验证时,主要涉及消息5和消息6对证书进行合法性验证。消息5包含响应者的证书,而消息6则包含发起者的证书。这两个消息用于在双方之间交换并验证证书的有效性。消息3和消息4主要涉及密钥交换和非证书身份验证,不直接涉及证书的合法性验证。。
答案:AC 。
第216、(多选题)以下哪些是策略路由可以匹配的条件?
A:源安全区域; B:源MAC地址; C:源IP地址; D:应用;
解析:策略路由可以匹配的条件有应用策略路由可以根据应用(如HTTP、FTP等)进行匹配,并选择相应的路由策略。源安全区域策略路由可以根据源安全区域进行匹配,将流量从特定的安全区域引导到目标安全区域。源IP地址策略路由可以根据源IP地址进行匹配,根据不同的源IP地址选择相应的路由策略。在配置策略路由时,可以根据应用、源安全区域和源IP地址等条件来实现灵活的路由控制和流量分发。。
答案:ACD 。
第217、(多选题)以下哪些属于虚拟系统的特点?
A:每个虚拟系统拥有独立的配置及路由表项; B:每个虚拟系统由独立的管理员进行管理;
C:虚拟系统之间的流量相互隔离,更加安全; D:需要为每个虚拟系统分配固定的系统资源;
解析:这道题考察的是虚拟系统的特点。虚拟系统拥有独立的配置和路由表项,确保各自环境的独特性。每个虚拟系统由独立的管理员管理,增强安全性和灵活性。虚拟系统间流量隔离,提高安全性。而系统资源分配可以是动态的,不必固定,因此B选项不属于虚拟系统的普遍特点。。
答案:ABC 。
第218、(多选题)某Linux系统中top命令输出显示如图所示,则关于此输出信息的描述,正确的是哪些项?
A:PR代表进程优先级,数值越小,优先级越高; B:PID代表进程ID”在Linux系统中是唯一的,不可重复;
C:%MEM代表进程使用内存占总物理内存的百分比; D:CPU代表进程的CPU占用率,其显示上限为100%;
解析:在Linux系统中,top命令用于显示系统进程状态。PR确实代表进程优先级,数值越小代表优先级越高。PID即进程ID,它在系统中是唯一的。%MEM显示的是进程使用的内存占系统总物理内存的百分比。CPU列显示的是进程占用的CPU百分比,它的上限确实是100%。因此,选项A、B、C、D均正确描述了top命令的输出信息。。
答案:ABCD 。
第219、(多选题)木马的危害性非常大,其可能泄露受害者的敏感信息,甚至远程操纵受害者的主机。则木马程序的传播方式包括以下哪些项?
A:攻击者利用漏洞入侵主机,随后安装木马程序。; B:伪装成工具程序,诱骗用户运行,一旦运行,木马就会自动植入主机中;
C:第三方下载器下载软件携带木马; D:捆绑在某知名工具程序中;
解析:这道题考查木马程序的传播方式。攻击者利用漏洞入侵安装木马,会造成危害。伪装成工具诱骗运行植入,具有欺骗性。第三方下载器携带木马,易被用户误装。捆绑在知名程序中,也能实现传播。这些方式都能让木马入侵主机,造成敏感信息泄露和远程操纵等危害。。
答案:ABCD 。
第220、(多选题)防火墙支持的内容安全过滤技术不包括以下哪些项?
A:Web服务期防护; B:DDoS防护; C:文件过滤; D:URL过滤;
解析:防火墙的内容安全过滤技术主要针对信息内容进行筛选和控制。C选项文件过滤,可对传输的文件进行类型、大小等方面的过滤。D选项URL过滤,能限制对特定网址的访问。而A选项Web服务器防护,通常涉及服务器本身的安全防护措施,并非防火墙的内容安全过滤技术。B选项DDoS防护,主要针对分布式拒绝服务攻击的防御,也不属于防火墙的内容安全过滤范畴。综上所述,答案选择AB。。
答案:AB 。
第221、(多选题)以下哪些属于内容安全过滤技术?
A:邮件过滤; B:带宽限制; C:应用行为控制; D:URL过滤;
解析:这道题考查内容安全过滤技术的知识。邮件过滤可筛选有害邮件,URL过滤能限制不良网址访问,应用行为控制规范应用操作,它们都属于内容安全过滤技术。带宽限制主要是对网络带宽的管理,并非针对内容安全进行过滤。。
答案:ACD 。
第222、(多选题)以下关于URL过滤和DNS过滤对比的描述,正确的是哪些项?
A:URL过滤比DNS过滤对设备性能的影响小; B:URL过滤的控制范围比DNS过滤小;
C:URL过滤比DNS过滤的控制粒度细; D:DN S过滤相比于URL过滤可以更好的进行访问控制;
解析:这道题考查URL过滤和DNS过滤的区别。URL过滤针对具体网页地址,控制粒度细,但范围相对较小。DNS过滤针对域名,控制范围更广,能更好地进行访问控制,但对设备性能影响可能稍大。因此,B、C、D项描述正确。A项错误,因为DNS过滤通常对设备性能影响不会更大。。
答案:BCD 。
第223、(多选题)Anti-DDoS的会话检查机制可以防范以下哪些攻击?
A:TCP连接耗尽攻击; B:ACK Flood;
C:TCP异常会话攻击°; D:UDP Flood;
解析:这道题考查Anti-DDoS会话检查机制的防范范围。TCP连接耗尽攻击、ACKFlood、TCP异常会话攻击都会影响会话,能被该机制防范。而UDPFlood并非主要通过会话影响,所以不在防范范围内。。
答案:ABC 。
第224、(多选题)以下哪些不属于IPSec SA的建立方多选式?
A:IKE方式; B:主模式; C:手工方式; D:野蛮模式;
解析:这道题考察IPSecSA(安全关联)的建立方式。IPSecSA的建立通常有三种方式:手工方式、IKE方式(Internet密钥交换)和继承方式。野蛮模式和主模式并不是IPSecSA的建立方式,而是IKE协议中的两个阶段,用于协商密钥。因此,B和D选项是不正确的。。
答案:BD 。
第225、(多选题)全局选路策略包含以下哪些类型?
A:链路优先级主备备份; B:链路带宽负载分担;
C:链路质量负载分担; D:链路权重负载分担;
解析:这道题考查全局选路策略的类型。链路优先级主备备份可保障关键链路优先使用。链路带宽、质量、权重负载分担能合理分配网络流量。这几种类型均属于全局选路策略。它们从不同方面优化网络路径选择,提升网络性能。。
答案:ABCD 。
第226、(多选题)以下关于策略路由匹配条件的描述,正确的是哪些项?
A:可以指定流量的应用类型,通过应用防火墙能够区分使用相同协议和端口号的不同应用程序,使网络管理更加精细; B:如果想要匹配不同优先级的流量,可以在创建策略路由规则时将DSCP优先级作为匹配条件;
C:如果希望策略路由规则仅在特定时间段内生效,可以在创建策略路由规则时将时间段作为匹配条件; D:源安全区域和入接口可以同时使用,匹配用户流量更加精准;
解析:这道题考查策略路由匹配条件的知识。指定流量应用类型能精细管理网络,以DSCP优先级和时间段作条件可更精准控制流量。源安全区域和入接口不能同时使用,所以不选D。A能区分应用程序,B可匹配流量优先级,C能按时间段生效,这些均符合策略路由匹配条件。。
答案:ABC 。
第227、(多选题)在双机系统软件版本升级前,需要准备以下哪些工作?
A:双机倒换情况; B:确认当前业务运行情况并记录,如MAC表、会话表等;
C:备份重要数据,如当前配置文件和系统软件; D:确认设备的运行情况并记录,如当前版本软件、License.设备硬件情况等;
解析:这道题考查双机系统软件版本升级的准备工作。升级前要全面准备,双机倒换情况需了解,确认业务运行及设备情况并记录很重要,备份重要数据能防丢失。这些都是保障升级顺利进行的关键。未选选项不存在,因为这四个选项都是必要的准备工作。。
答案:ABCD 。
第228、(多选题)内容过滤技术可以对以下哪些内容进行过滤?
A:邮件正文; B:搜索的内容; C:发布的帖子内容; D:上传到服务器的文件;
解析:这道题考查内容过滤技术的应用范围。邮件正文、搜索内容、发布的帖子内容和上传到服务器的文件,都可能包含不良或违规信息。内容过滤技术可对这些进行处理,以保障网络环境安全。。
答案:ABCD 。
第229、(多选题)以下关于文件过滤技术原理的描述,正确的是哪些项?
A:可以识别承载文件的应用协议苓可以识别季较文件的应用阶段; B:可以根据文件的传输方向进行识别;
C:文件过滤无法识别真正的文件类型; D:默认情况下,防火墙文件识别结果异常会直接阻断;
解析:文件过滤技术是网络安全中的重要手段。A选项正确,通过对承载文件的应用协议以及应用阶段的识别,能够更精准地进行文件过滤。B选项正确,根据文件的传输方向进行识别有助于确定文件的流向和安全性。C选项错误,文件过滤技术可以识别真正的文件类型。D选项错误,默认情况下,防火墙文件识别结果异常并非直接阻断,而是依据预设策略进行相应处理。综上所述,正确答案是AB。。
答案:AB 。
第230、(多选题)以下关于策略模板方式IPSec安全策略的描述,正确的是哪些项?
A:在策略模板配置中,引用IPSec安全提议和IKE对等体为必选配置; B:如果对端采用PPPoE拨号获得IP地址,可以采用此方式建立安全策略;
C:IPSec隧道的两端都可以配置策略模板方式的IPSec安全策略; D:采用策略模板方式IPSec安全策略可简化多条IPSec隧道建立时的配置工作量;
解析:策略模板方式IPSec安全策略是一种网络安全的配置方式,对于给出的选项,分析如下:A.正确。策略模板配置中确实需要引用IPSec安全提议和IKE对等体,这是策略模板方式的必要配置。B.正确。如果对端采用PPPoE拨号获得IP地址,可以通过策略模板方式来建立安全策略,因为这种方式较为灵活,可以适应不同的IP获取方式。C.这个选项表述较为模糊,策略模板方式的IPSec安全策略并非不能在IPSec隧道两端都配置,但具体是否需要在两端都配置,取决于网络拓扑和安全需求,因此不能简单地说“都可以配置”。D.正确。采用策略模板方式IPSec安全策略可以简化多条IPSec隧道建立时的配置工作量,这是策略模板方式的一个显著优点。因此,正确答案是ABD。。
答案:ABD 。
第231、(多选题)以下关于带宽通道中上下行带宽独立控制和整体控制的描述,正确的是哪些顶?
A:除了上下行带宽独立控制这种细粒度的管控方式,防火墙还提供了基于上行和下行流量之和的带宽管控方式; B:流量传输方向与带宽策略同向时,定义为下行;
C:流量传输方向与带宽策略反向时,定义为上行; D:最大带宽、保证带宽和连接数限制均支持上下行带宽分别配置;
解析:这道题考查对带宽通道中带宽控制的理解。在带宽管理中,除了可以对上下行带宽进行独立控制外,防火墙也支持整体控制,即基于上行和下行流量之和进行管控。同时,最大带宽、保证带宽及连接数限制均可对上下行带宽分别配置。对于流量的方向定义,通常以客户端为参考,流向服务器的为上行,反之为下行,而非简单地与带宽策略方向比较。。
答案:AD 。
第232、(多选题)以下哪些条件可以作为带宽策略中匹配报文的依据?
A:URL分类; B:服务; C:时间段; D:源安全区域;
解析:这道题考查带宽策略中匹配报文的依据。URL分类可区分不同网页类型,服务能针对特定网络服务,时间段便于按时间管理,源安全区域可基于来源进行控制。这些都能作为匹配依据。而这四个选项涵盖了常见的匹配要素,相互配合实现有效的带宽策略管理。。
答案:ABCD 。
第233、(多选题)在802.1X认证系统中,接入设备和认证服努器之间如果采用EAP终结方式。在这种认证方式中,设备端不仅要从来自客户端的EAP报文中提取客户端认证信息,还要通过标准的RADIUS协议对这些信息进行封装,且不能支持以下哪些EAP认证方法?
A:MD5-Challenge; B:EAP-PEAP;
C:EAP-TLS; D:EAP-TTLS;
解析:这道题考查802.1X认证系统中的EAP终结方式。在这种方式下,设备端需处理客户端的EAP报文,并使用RADIUS协议封装信息。关键是不支持某些EAP认证方法。EAP-PEAP、EAP-TLS、EAP-TTLS均需要设备端进行额外处理,如TLS加密或隧道建立,这与EAP终结方式中设备端的简化处理相冲突。而MD5-Challenge作为一种简单的认证方法,符合EAP终结方式的要求。因此,不支持的方法包括EAP-PEAP、EAP-TLS、EAP-TTLS,即选项B、C、D。。
答案:BCD 。
第234、(多选题)Portal认证场景下,当用户已下线,而接入设备、RADIUS服务器和Portal服务器未感知到该用户已下线时,可能会导致以下哪些问题?
A:存在非法用户仿冒合法用户IP地址和MAC地址接入网络的风险; B:已下线用户数量过多的情况下、可能会导致其他用户无法接入网络;
C:该用户再次上线时无需再进行认证; D:RADIUS服务器仍会对该用户进行计费,造成误计费;
解析:这道题考查Portal认证场景下用户下线未被感知的情况。非法用户可能仿冒未感知下线用户的信息接入网络。下线用户过多会占用资源,影响其他用户接入。未感知下线,用户再次上线就无需再认证。RADIUS服务器未感知下线会继续计费造成误计费。这些都是可能导致的问题。。
答案:ABCD 。
第235、(多选题)某企业为提高全体员工的信息安全意识,在企业内部举行了一次信息安全教育培训,以下哪些行为和习惯能够有效保护个人、企业的数据安全?
A:定期修改系统密码,特别是关键数据库系统的密码,且符合复杂度要求; B:不使用来路不明、未经安全验证的U盘拷贝敏感数据;
C:下载必要软件时,仅从官方网站获取; D:收到来源不明的异常邮件,不打开任何超链接,及时上报,并删除邮件;
解析:这道题考查保护数据安全的行为习惯。定期改复杂密码可防破解,来路不明U盘易带病毒,官方软件更安全,不明邮件多风险。以上行为均能有效保护个人和企业数据安全。。
答案:ABCD 。
第236、(多选题)按照《国家网络安全事件应急预案》中的分类方式,以下属于设备设施故障的事件有哪些项?
A:光模块故障; B:接口板故障;
C:DDoS攻击导致的接口拥塞; D:设备软件BUG;
解析:这道题考查对设备设施故障的认识。光模块故障、接口板故障、设备软件BUG都属于设备自身的问题导致的故障。而DDoS攻击导致的接口拥塞并非设备自身故障,而是外部攻击造成的,所以不选。。
答案:ABD 。
第237、(多选题)IPS三层旁挂部署方式通常将IPS旁挂于其他网络设备上,如交换机、路由器等。以下关于IPS三层旁挂部署方式的描述,正确的是哪些项?
A:三层旁挂部署时,需要将进出网络设备的双向流量都引流到IPS进行检测; B:三层旁挂部署时,只需要将从外网进入内网的单向流量引流到IPS进行检测;
C:三层务挂部署时,IPS不能对实时流量进行防护; D:三层旁挂部署时,IPS可以对实时流量进行防护;
解析:这道题考查对IPS三层旁挂部署方式的理解。三层旁挂部署时,双向流量都应引流到IPS检测,所以A正确。同时IPS能对实时流量防护,D也正确。B只引流单向流量说法错误。C中IPS不能防护实时流量说法不对。。
答案:AD 。
第238、(多选题)以下哪些项属于常见的网络攻击方式?
A:DoS攻击; B:SQL注入; C:木马、病毒等攻击; D:XSS脚本攻击;
解析:这道题考察对网络攻击方式的了解。DoS攻击即拒绝服务攻击,能让目标机器停止提供服务。SQL注入是通过插入恶意SQL命令,对数据库进行攻击。木马、病毒等攻击是常见的恶意软件攻击方式。XSS脚本攻击即跨站脚本攻击,能窃取用户信息。这些都是常见的网络攻击方式。。
答案:ABCD 。
第239、(多选题)以下关于华为IPS工作原理和功能的描述,正确的是哪些项?
A:IPS直路部署在网络出口,可以在不影响网络拓扑的前提下对网络进行实时的保护; B:IPS设备的特征库需要经常更新,才能识别最新的木马、病毒等网络攻击;
C:当数据流量的来回路径不一致时,IPS无法对流量进行检测; D:IPS可以执行的动作包括放行、通知、限流、隔离和重定向等操作;
解析: 。
答案:ABC 。
第240、(多选题)防火墙在进行内容过滤时识别出关键字,可以执行以下哪些响应动作?
A:按权重操作; B:告警; C:阻断; D:允许;
解析:这道题考查防火墙内容过滤的响应动作。防火墙识别关键字时,按权重操作能灵活处理,告警可提醒管理员,阻断能阻止相关内容。而允许不符合过滤要求,因为发现关键字通常不应直接允许。。
答案:ABC 。
第241、(多选题)以下哪些应用协议可以承载文件?
A:IMAP; B:HTTP; C:FTP; D:POP3;
解析:这道题考查常见的可承载文件的应用协议。IMAP、HTTP、FTP、POP3都能用于文件的传输或处理。IMAP和POP3常用于邮件相关的文件操作,HTTP常用于网页文件传输,FTP则是专门的文件传输协议。它们都具备承载文件的功能。。
答案:ABCD 。
第242、(多选题)华为Anti-DDoS防御系统支持以下哪些引流方式?
A:静态路由引流; B:BGP引流; C:策略路由引流; D:GREVPN引流;
解析:这道题考查华为Anti-DDoS防御系统的引流方式。BGP引流和策略路由引流是常见且有效的方式。静态路由引流通常不用于此,GREVPN引流也并非该系统支持的主要引流方式。。
答案:BC 。
第243、(多选题)华为Anti-DDoS防御系统支持以下哪些镜像方式?
A:策略路由引流; B:在出口设备上使用端口镜像; C:分光器分光; D:BGP引流;
解析:这道题考查华为Anti-DDoS防御系统的镜像方式。在该系统中,出口设备上的端口镜像和分光器分光是支持的方式。策略路由引流常用于网络策略控制,BGP引流多在路由协议中,它们不属于此防御系统的镜像方式。。
答案:BC 。
第244、(多选题)以下关于web代理方式的描述,正确的是哪些项?
A:web改写方式web link安全性更高、使用起来也更加便捷; B:web Link会对URL进行改写,隐藏内网服务器地址;
C:web Link依赖IE控件,在非IE不境中无法正常使用; D:we b改写可能会造成图片错位,字体显示不正常等问;
解析:A选项正确,web改写方式weblink在安全性和使用便捷性上具有优势。C选项正确,webLink确实依赖IE控件,这导致其在非IE环境中无法正常使用。B选项错误,web改写方式会对URL进行改写,隐藏内网服务器地址,而非webLink。D选项错误,web改写可能会造成图片错位、字体显示不正常等问题,而非webLink。综上所述,正确答案是AC。。
答案:AC 。
第245、(多选题)GREover IPSec可以封装以下哪些协议?
A:OSPF协议; B:PX协议; C:IPv6协议; D:VRRP协议;
解析: 。
答案:ABC 。
第246、(多选题)以下哪些项是GRE over IPSec VPN的优势?
A:支持创建虚拟接口; B:支持对报文进行加密;
C:支持对收到数据的源进行认证; D:支持对收到的报文进行校验,检查报文是否完整,是否被改动;
解析:这道题考查GREoverIPSecVPN的优势。虚拟接口方便配置和管理,加密保障数据安全,源认证确保来源可靠,校验保证报文完整和未改动。这些都是其重要优势。而这几个方面都是提升VPN性能和安全性的关键,缺一不可。。
答案:ABCD 。
第247、(多选题)手工方式建立IPSec SA与使用IKE方式建立IPSec SA有以下哪些区别?
A:手工方式也需费建立IKE SAO用于保护IPSec SA的建立; B:手工方式需要配置IPSec加密密钥。IKE方式无需配置I PSec加密密钥,密钥自动生成;
C:手工方式适用于对等体设备数量较少时,或是在小型网络中,IKE方式适用于中大型网络; D:手工方式建立的SA,一经建立永久存在:IKE方式建立的SA,其生存周期由双方配置的生存周期参数控制;
解析:这道题考查IPSecSA建立方式的理解。手工方式需配置IPSec加密密钥,适用于小型或对等体少的网络。IKE方式能自动生成密钥,适用于中大型网络。手工方式建立的SA是永久的,而IKE方式建立的SA生存周期由配置参数控制。因此,选项B、C、D描述了这两种方式的区别。A选项描述不准确,手工方式不需要建立IKESAO。。
答案:BCD 。
第248、(多选题)证书认证适用于以下哪些场景?
A:点到多点、其中总部出口地址固定,分支出口地址不固定; B:点到点,具中一方IP地址不固定;
C:点到点,双方地址不固定; D:点到多点,总部出口地址和分支出口地址都不固定;
解析:证书认证是一种通过数字证书来验证身份的安全机制。数字证书包含了用户的身份信息和公钥,可用于加密通信和验证签名。以下是证书认证适用的场景:1.**点到多点、其中总部出口地址固定,分支出口地址不固定**:在这种场景下,总部可以作为证书颁发机构,为分支颁发数字证书。分支使用证书进行身份验证,确保与总部的通信安全。2.**点到点,其中一方IP地址不固定**:如果一方的IP地址不固定,可以使用证书来验证身份,而无需依赖固定的IP地址。3.**点到点,双方地址不固定**:在双方地址都不固定的情况下,证书认证可以提供一种可靠的身份验证方式,确保通信的安全性。4.**点到多点,总部出口地址和分支出口地址都不固定**:与第一种场景类似,总部可以颁发证书给分支,分支使用证书进行身份验证,即使总部和分支的出口地址都不固定。综上所述,证书认证适用于各种网络拓扑结构和地址不固定的场景,可以提供可靠的身份验证和通信安全。因此,选项ABCD都是正确的。。
答案:ABCD 。
第249、(多选题)在配额控制策略中,可以为用户设置以多选下哪些策略?
A:限定每日上网时长; B:限定每月上网流量总额;
C:限定每日上网流量总额; D:限定每月上网总时长;
解析:这道题考查配额控制策略的相关知识。限定每日上网时长、每月上网流量总额、每日上网流量总额都能有效控制用户使用网络的情况。限定每日上网时长可约束每天的使用时间;限定每月上网流量总额和每日上网流量总额能控制流量使用。而限定每月上网总时长并非常见的配额控制策略。。
答案:ABC 。
第250、(多选题)以下哪些是带宽通道可以执行的处理多选动作?
A:丢弃超过了预先定义的最大带宽的流量; B:标记流量的优先级,作为后续队列调度的依据;
C:限制业务的连接数; D:出接口限流;
解析:流量匹配带宽策略,经过带宽策略的分流后,进入相应的带宽通道进行处理。带宽通道的处理包括丢弃超过了预先定义的最大带宽的流量。限制业务的连接数。标记流量的优先级,作为后续队列调度的依据。。
答案:ABC 。
第251、(多选题)以下哪些项是智能选路中的出战技术?
A:智能DNS; B:策略路由; C:ISP选路; D:全局选路;
解析: 。
答案:BCD 。
第252、(多选题)以下关于SSLVPN中文件共享的描述,正确的是哪些项?
A:Windows系统下文件共享资源选择SMB; B:在文件共享业务中防火墙起到了协议转换器的作用;
C:Lin ux系统下文件共享资源选择NFS; D:共享资源的路径格式与资源类型无关;
解析:这道题考查SSLVPN中文件共享的知识。Windows系统用SMB共享,Linux系统用NFS共享,文件共享中防火墙有协议转换作用。而共享资源的路径格式与资源类型有关,并非无关。所以选ABC。。
答案:ABC 。
第253、(多选题)以下关于SSLVPN中文件共享功能的描述,正确的是哪些项?
A:它能够让远程接入用户直接通过浏览器安全地访问企业内部文件服务器; B:该功能可以让用户无需安装文件共享客户端就可以访问内网文件服务器;
C:在业务交互过程中,防火墙作为中转站进行访问和响应格式的转换; D:只支持将N FS格式的协议转换成基于SS L的超文本传输协议;
解析: 。
答案:ABC 。
第254、(多选题)Anti-DDoS的应用层源认证功能防范以下哪些攻击?
A:HTTP GET/POST Flood; B:ACK Flood;
C:HTTPS Flood; D:DNS QUERY Flood;
解析:这道题考查Anti-DDoS应用层源认证功能的防范范围。HTTPGET/POSTFlood、HTTPSFlood、DNSQUERYFlood均属于应用层攻击,能被该功能防范。ACKFlood主要是网络层攻击,不在应用层源认证功能的防范之列。。
答案:ACD 。
第255、(多选题)华为IPS设备直路部署在网络中可以实现以下哪些项的功能?
A:控制内网P2P应用滥用公网流量; B:针对扫描攻击进行主动防御;
C:针对漏洞进行主动防御; D:防止内网用户受到SQL注入攻击;
解析:这道题考查华为IPS设备直路部署的功能。IPS设备能有效保障网络安全。控制内网P2P应用可合理分配流量,针对扫描和漏洞的主动防御能提前防范风险,防止SQL注入攻击可保护内网用户。这些功能均能通过华为IPS设备直路部署实现。。
答案:ABCD 。
第256、(多选题)在华为NGFW的IPS业务模块日志中,会记录以下哪些选项的内容?
A:攻击者源IP; B:攻击持续时长; C:签名ID; D:签名名称;
解析:在华为NGFW的IPS业务模块日志中,通常会记录攻击者的源IP地址、签名ID以及签名名称等信息。攻击持续时长通常在日志中以时间戳的形式记录,而不是作为单独的选项记录。。
答案:ACD 。
第257、(多选题)在Windows主机上通过netstat命令查询网络连接时,可以看到以下哪些输出信息?
A:源IP地址和源端口; B:目的IP地址和目的端口; C:协议号; D:连接状态;
解析: 。
答案:ABD 。
第258、(多选题)AAA作为安全的一种管理机制,以模块化的方式提供以下哪些服务?
A:认证; B:授权; C:接入; D:计费;
解析:这道题考查对AAA管理机制服务的认识。AAA机制在安全管理中很重要。认证用于确认身份,授权决定权限,计费核算费用,这都属于其服务。而接入主要是连接相关设备或网络,并非AAA以模块化方式提供的服务。。
答案:ABD 。
第259、(多选题)如图所示,防火墙A和防火墙B之间建立冗余IPS"隧道,正常情况下,流量通过IPSec隧道1转发,当主链路发生故障时,流量通过IPSec隧道2转发.以下关于该场景的配置,正确的是哪些项?
A:[FW_B] interface GEO/O/1 [FW_B-GigabitEthernetO/O/1] ip address 1.1.0.124[FW_B-GigabitEthernetO/O/1]ipsecpolicymap1[FW_B-GigabitEthemet0/0/1]quit[FW_B]interface GE0/0/2[FW_B-GigabitEthernet0/0/2]ipaddress1.1.0.224[FW_B-GigabitEthernet0/0/2]ipsecpolicy map2[FW_B-GigabitEthernet0/0/2]quit; B:[FW_B] interface tunnel O[FW_B-tunne10] tunnel-protocol ipsec[FW_B-tunne10] ip address1.1.0.224[FW_B-tunne10] ipsec policy map1 [FW_B-tunne10] quit B[FW_B] interface tunnel0[FW_B-tunne10] tunnel-protocol ipsec[FW_B-tunne10] ip address 1.1.0.224[FW_B-tunne10]ipsec policy map1 [FW_B-tunne10] quit;
C:[FW_A] in terface tun nel 1 [FWA-T un nel1] ip address un numbered in terface GigabitEthernet0/0/1 IFW A-TunnellJtunnel-protocol ipsec[FW_A-Tunnel1 J quit[FW_AJ interface tunnel 2[FW_A-Tunnell] ip address unnumbered interface GigabitEthernet 0/0/1 [FWA-Tunnell] tunnelsprotocolipsec[FWA-Tunnel1] quit[FWA] interface tunnel 1 [FWA-Tunne 1] ipsec policy map1[FWA-Tunnel1] quit[FWA] interface tunnel 2[FW_A-Tunne12] ipsec policy map2[FW_A- Tunne12] quit; D:[FW_A] interface tunnel 0[FW_A-tunnelO] tunnel-protocol ipsec[FW_A-tunnelO] ip address1.1.0.124[FW_A-tunnelO] ipsec policy mapl[FW_A-tunnelo] quit;
解析:这道题考察的是防火墙之间IPSec隧道的配置知识。正确配置应包括接口的IP地址设置、IPSec策略映射以及隧道协议的设置。A选项展示了防火墙B的两个接口分别配置了不同的IP地址,并应用了不同的IPSec策略映射,符合冗余IPSec隧道的配置要求。C选项显示了防火墙A的两个隧道接口的配置,其中隧道接口未分配IP地址而是使用了“ipaddressunnumbered”命令借用物理接口的IP地址,同时分别应用了IPSec策略映射1和2,这也是正确的配置方式。B选项错误地重复了相同的隧道接口和IPSec策略映射配置,不符合冗余隧道的设置。D选项错误地为隧道接口分配了具体的IP地址,这与隧道接口通常不配置具体IP地址的常规做法不符。综上所述,正确的配置是A和C选项。。
答案:AC 。
第260、(多选题)宽带管理无法完全限制以下哪些应用的流量?
A:Email; B:P2P流量; C:在线视频; D:ERP;
解析:这道题考察的是对宽带管理限制应用流量的理解。宽带管理主要目标是优化和控制网络流量,但某些应用流量难以完全限制。例如,Email和在线视频,它们使用动态端口和加密技术,难以被宽带管理完全识别和控制。P2P流量由于其分布式特性,也常能绕过传统宽带管理的限制。而ERP系统通常使用固定端口,宽带管理可以较容易地进行流量限制。。
答案:ABC 。
第261、(多选题)以下哪些属于防火墙上存在的虚拟系多选统类型?
A:配置系统; B:虚拟系统; C:管理系统; D:根系统;
解析:这道题考查对防火墙上虚拟系统类型的掌握。虚拟系统和根系统是防火墙上常见的虚拟系统类型。虚拟系统用于特定场景,根系统则是基础。配置系统主要用于设置参数,管理系统侧重管理功能,它们不属于防火墙的虚拟系统类型。。
答案:BD 。
第262、(多选题)如采用服务器认证,则网络准入控制系统架构可能包含以下哪些设备?
A:数据源服务器; B:用户终端; C:认证服务器; D:网络接入设备;
解析:这道题考查网络准入控制系统架构的设备组成。认证服务器用于认证,用户终端是接入网络的主体,网络接入设备保障接入。它们都在架构中。数据源服务器主要提供数据,并非网络准入控制架构的直接组成部分。。
答案:BCD 。
第263、(多选题)某客户现网采用华为无线控制器部署MAC认证,认证服务器为iMaster NCE-Campuso终端关联无线信号,完成MAC认证接入网络后,登录无线控制器使用display access-user user-id命令行查看输出信息,则可以查询到以下哪些信息?
A:User authentication type; B:User name;C:Dynamic Accounting ID; D:User MAC;
解析: 。
答案:BD 。
第264、(多选题)以下哪些项属于IPSec安全提议需要配置的参数?
A:安全协议; B:密钥; C:认证算法; D:封装模式;
解析:这道题考查IPSec安全提议的配置参数。IPSec安全提议主要关注数据的安全传输,涉及加密与认证。密钥是加密和解密的关键,认证算法确保数据的真实性和完整性,两者都是必需的配置参数。安全协议是IPSec框架的一部分,但不是安全提议直接配置的参数;封装模式描述数据如何封装,也不属于直接配置的参数范畴。。
答案:BC 。
第265、(多选题)某工程师正在客户现场搭建无线网络环境,无线终端认证方式采用802.1认证,认证点在华为无线控制器上,认证服务器采用iMaster NCE-Campuso为实现802.1X功能,则工程师要在天上配以下哪些模板?
A:配置认证模板; B:配置VAP模板; C:配置接入模; D:配置安全模板;
解析:要实现802.1X功能,需要在华为无线控制器上进行以下配置:1.配置认证模板:用于指定认证服务器的类型、IP地址、端口号等信息。2.配置VAP模板:用于创建虚拟接入点(VAP),并关联认证模板。3.配置接入模板:用于配置接入控制策略,如允许或拒绝哪些终端接入无线网络。4.配置安全模板:用于配置无线网络的加密方式、密钥等安全参数。因此,正确答案是ABCD。。
答案:ABCD 。
第266、(多选题)如图所示,防火墙A和防火墙B采用IKEv主模式建立IPSecVPN,则以下哪些ISAKMP消可以检测出防火墙之间存在NAT设备?
A:消息6; B:消息3; C:消息5; D:消息4;
解析:这道题考察的是IKEv主模式下ISAKMP消息与NAT设备检测的关系。在IKEv主模式中,消息3和消息4包含了用于NAT穿越的特定机制,如UDP封装和NAT-D检测。消息3中的HASH包含了发起方的IP和端口信息,而消息4则回应了这一HASH,允许双方确认是否存在NAT设备。因此,通过消息3和消息4可以检测出防火墙间是否存在NAT设备。消息5和消息6则用于后续的密钥交换和身份验证,与NAT检测不直接相关。。
答案:BC 。
第267、(多选题)LDAP的目录是一种树形结构,由条目(Entry)组成,每个条目都有自己的唯一可识别名DN (DistinguishedName)。某录服务器的DN如:CN=Stephen, OU =Enterprise, OU = Huawe, DC=AD, DC二Huawei,则以下描述中正确的是哪些项?
A:DN表示的是对象的位置; B:这个目录S服务器的域名是Huawei;
C:这个目剥服务器不是AD服务器; D:Stephen代表用户或用户组;
解析:DN(DistinguishedName)是LDAP目录中用于唯一标识条目的名称,它描述了对象在目录树中的位置,因此选项A正确。DC(DomainComponent)是域名的一部分,在这个例子中,DC=AD,DC=Huawei表示该目录服务器属于Huawei域,因此选项B正确。由于DN中包含了AD(ActiveDirectory),所以可以判断这个目录服务器是AD服务器,选项C错误。CN(CommonName)通常表示对象的名称,在这个例子中,CN=Stephen表示一个名为Stephen的对象,但不能确定它代表的是用户还是用户组,需要根据具体的目录结构和配置来确定,选项D错误。因此,正确答案是AB。。
答案:AB 。
第268、(多选题)SSLVPN支持以下哪些认证方式?
A:证书挑战认证; B:服务器认证; C:证书匿名认证; D:本地认证;
解析:这道题考查对SSLVPN认证方式的掌握。证书挑战认证、证书匿名认证、本地认证都属于常见的SSLVPN认证方式。服务器认证能确保服务器的合法性和安全性。这些认证方式共同保障SSLVPN的使用安全。。
答案:ABCD 。
第269、(多选题)802.1X认证支持EAP终结和EAP中继两种认证方式,以下关于这两种认证方式的描述,正确的是?
A:EAP终结方式与EAP中继方式的认证流程相比,不同之处在于EAP认证方法的协商; B:EAP中继方式下认证服务器必须支持EAP;
C:EAP终结方式下对接入设备的要求较高,接入设备需通过标准的RADIUS协议对客户端认证信意进行封装; D:EAP终结和EAP中继两种方式下,均支持EAP-TLS,EAP-TTLS,EAP-PEAP,MDS-Challenge等方式;
解析:这道题考查802.1X认证的两种方式。EAP中继方式下认证服务器必须支持EAP。EAP终结方式下对接入设备要求高,需用标准RADIUS协议封装客户端认证信息。A选项,认证流程不同不仅在于EAP认证方法协商。D选项,两种方式并非都支持所列举的全部方式。。
答案:BC 。
第270、(多选题)以下哪些协议基于TCP进行工作?
A:NFS; B:HTTP; C:SMB; D:DHCP;
解析:这道题考查对基于TCP工作的协议的掌握。TCP是一种可靠的传输协议。HTTP用于网页传输,SMB用于文件共享,NFS用于网络文件系统,它们都基于TCP工作。而DHCP主要用于自动分配IP地址,基于UDP工作,并非基于TCP。。
答案:ABC 。
第271、(多选题)Flood攻击通过以下哪些方式造成拒绝服务?
A:控制网络主机权限; B:耗尽服务器资源; C:耗尽网络带宽; D:耗尽网络设备资源;
解析:这道题考查对Flood攻击造成拒绝服务方式的理解。Flood攻击主要通过消耗资源来实现。耗尽服务器资源会使服务无法正常运行,耗尽网络带宽会阻塞数据传输,耗尽网络设备资源也会导致网络瘫痪。而控制网络主机权限并非Flood攻击造成拒绝服务的主要方式。。
答案:BCD 。
第272、(多选题)SQL注入攻击的主要方式是构造巧妙的SQL语句,作为输入项提交给服舞器实现攻击。SQL注入攻击的具体方法包含以下哪些项?
A:使用union语句进行联合查询; B:使用insert或update语句插入或修改数据; C:使用注释符号; D:利用恒等式(如1=1);
解析:SQL注入攻击是一种常见的网络攻击方式,攻击者通过在输入项中构造巧妙的SQL语句,试图绕过服务器的验证机制,获取或修改数据库中的数据。以下是对每个选项的具体分析:A.使用union语句进行联合查询:union语句用于将多个查询结果合并成一个结果集。攻击者可以利用union语句将恶意查询与正常查询结合起来,从而获取额外的信息。B.使用insert或update语句插入或修改数据:攻击者可以通过构造恶意的insert或update语句,向数据库中插入或修改非法数据,从而破坏数据库的完整性。C.使用注释符号:注释符号(如--或#)可以用于在SQL语句中添加注释。攻击者可以利用注释符号来绕过服务器的验证机制,或者隐藏恶意代码。D.利用恒等式(如1=1):恒等式(如1=1)在SQL中总是成立的。攻击者可以利用恒等式来绕过服务器的验证机制,或者构造恶意的查询条件。综上所述,ABCD选项都是SQL注入攻击的常见方法,因此正确答案是ABCD。。
答案:ABCD 。
第273、(多选题)以下关于内容过滤中关键字的描述,正确的是哪些项?
A:关键字是内容过滤时设备需要识别的内容; B:关键字包括预定义关键字和自定义关键字; C:文本能匹配的关键字最短长度为2个字节; D:自定义关键字只能用文本方式进行定义;
解析:这道题考查对内容过滤中关键字的理解。关键字在内容过滤中很关键,包括预定义和自定义两种。它是设备识别的内容。自定义关键字并非只能用文本定义,A错误。文本能匹配的关键字最短长度不是2个字节,B错误。。
答案:AB 。
第274、(多选题)CVE(Common Vulnerabilities and Exposures)的全称是公共漏洞和暴露,是公开披露的网络安全漏洞列表,每个CVE条目主要包含以下哪些信息?
A:发布此CVE的CNA; B:此CVE的发布日期;
C:漏洞的来源、攻击方式等简要描述; D:漏洞的相关参考信息链接汇总,例如供应商的漏洞公告、应急响应建议等;
解析:这道题考查对CVE条目的了解。CVE作为网络安全漏洞列表,其条目包含多方面信息。A选项的CNA是发布者。B选项的发布日期是重要标识。C选项的漏洞描述有助于了解情况。D选项的相关参考信息链接汇总能提供更多应对资料。这些都属于CVE条目的主要内容。。
答案:ABCD 。
第275、(多选题)DDoS攻击是指一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,那DDoS攻击的方式包括以下哪些项?
A:CC攻击; B:UDP Flood攻击; C:SQL注入攻击; D:DNS Flood攻击;
解析:DDoS攻击涉及利用多台机器对受害者发起攻击。CC攻击是通过大量请求造成资源耗尽,它属于应用层攻击,但不是DDoS的经典方式。UDPFlood攻击通过发送大量UDP数据包来耗尽网络资源,是DDoS的一种方式。SQL注入是攻击数据库,与DDoS的分布式特性不符。DNSFlood攻击通过发送大量DNS请求来耗尽网络资源,也是DDoS的一种方式。因此,UDPFlood和DNSFlood是DDoS攻击的常见方式。。
答案:BD 。
第276、(多选题)以下关于端口扫描的描述,正确的是哪些项?
A:如果某个源IP地址每秒发出的报文中目的端口不同的报文数超过了设定的阈值时,就认为该源IP地址在进行端口扫描攻击; B:可以对UDP报文进行检测;
C:端口扫描攻击防范功能按照IP报文的首包速率进行统计,如果源IP加入了白名单,则防火墙不再对此源IP进行防御; D:可以对TCP报文进行检测;
解析:这道题考查端口扫描的相关知识。端口扫描攻击防范很重要。A选项描述了判断端口扫描攻击的一种方式。B、D选项表明可对UDP和TCP报文检测。C选项说明白名单内源IP不受防御。总之,这四个选项都正确反映了端口扫描的相关情况。。
答案:ABCD 。
第277、(多选题)报文采用GRE over IPSec封装,IPSec采用AH隧道模式,以下哪些属于GRE封装的载荷内容?
A:载荷数据; B:新IP头; C:AH头; D:原始报文头;
解析:这道题考查GREoverIPSec封装的知识。GRE封装的载荷通常包含载荷数据和原始报文头。载荷数据是实际传输的信息,原始报文头用于标识原始报文。新IP头是外层封装的,AH头属于IPSec部分,均不属于GRE封装的载荷。。
答案:AD 。
第278、(多选题)以下关于策略路由匹配规则的描述,正确的是哪些项?
A:节点内的多个匹配条件之间的关系为"或"; B:PBR根据节点编号从小到大顺序执行,匹配当前节点将不会继续向下匹配;
C:每个节点内可包含多个匹配条件; D:每个节点由匹配条件和执行动作两部分组成;
解析:这道题考查策略路由匹配规则的知识。每个节点包含匹配条件和执行动作,多个匹配条件可存在于节点内。PBR按节点编号从小到大执行,匹配当前节点就不再继续。而节点内多个匹配条件之间是“与”关系,不是“或”,所以A选项错误。。
答案:BCD 。
第279、(多选题)用户身份认证.授权可以在准入控制设备上完成,也可以交由服务器完成。当采用准入设备进行认证授权时即为本地认证,以下关于本地认证方式的描述,正确的是哪些选项?
A:配置本地授权时,支持的授权参数有:VLAN、ACL等; B:存储信息量受设备硬件条件限制,一般常用于设备登录认证;
C:采用本地认证时,同样需要第三方服务器进行用户名言息存储、校验等; D:本地认证的认证速度快,可以为运营降低成本;
解析:B选项正确,由于准入控制设备的硬件条件限制,其存储信息量有限,所以本地认证常用于设备登录认证这种相对简单和信息量需求较小的场景。D选项正确,本地认证不需要依赖第三方服务器进行复杂的信息交互和处理,因此认证速度快,能够降低运营成本。A选项错误,本地授权支持的授权参数通常不止VLAN、ACL等。C选项错误,本地认证不需要第三方服务器进行用户信息存储、校验等操作。综上,正确答案是BD。。
答案:BD 。
第280、(多选题)以下哪些选项属于应急响应总结阶段的操作?
A:直找系统漏洞; B:恢复数据库数据; C:应急响应总结; D:安全事件调查;
解析:应急响应通常包括准备、检测、遏制、根除、恢复和总结等阶段。C选项“应急响应总结”,在应急响应结束后,对整个过程进行回顾和总结,以积累经验教训,为未来类似事件提供参考,是总结阶段的重要操作。D选项“安全事件调查”,通过调查了解事件的原因、影响范围和损失情况等,为后续的总结和改进提供依据,也属于总结阶段的工作。A选项“查找系统漏洞”一般在遏制和根除阶段进行。B选项“恢复数据库数据”属于恢复阶段的操作。综上,正确答案是CD。。
答案:CD 。
第281、(多选题)对Windows操作系统进行安全加固,可以防御以下哪些类型的攻击?
A:网络病毒; B:木马程序; C:密码破解; D:用户权限篡改;
解析:这道题考查Windows操作系统安全加固的作用。网络病毒、木马程序会威胁系统安全,安全加固可防御。密码破解和用户权限篡改也能通过加固来防范。而进行安全加固能全面提升系统防护能力,有效抵御这些攻击类型。。
答案:ABCD 。
第282、(多选题)以下哪些属于终端安全中的主机检查策略?
A:防火墙软件; B:临时文件; C:杀毒软件; D:自动保存的密码;
解析:这道题考查终端安全中的主机检查策略。防火墙软件可防护网络攻击,杀毒软件能查杀病毒,临时文件可能存在安全隐患,自动保存的密码易导致信息泄露。这些都属于主机检查策略范畴。。
答案:ABCD 。
第283、(多选题)以下关于MAC认证的描述,哪些选项是正确的?
A:MAC认证简化用户操作; B:MAC认证适用于用户分散、用户流动性大的场景;
C:MAC认证的账号管理比较简单; D:MAC认证不需要安装客户端;
解析:这道题考查对MAC认证的理解。MAC认证无需用户复杂操作,账号管理简便,也无需安装客户端。简化用户操作能提高效率,管理简单方便管理。适用于用户分散、流动性大场景的是Portal认证,而非MAC认证。。
答案:ACD 。
第284、(多选题)在文件过滤中,防火墙对接收的文件可以识别以下哪些属性?
A:文件传输方向; B:文件类型; C:文件扩展名; D:承载文件的应用协议;
解析:这道题考查防火墙对文件属性的识别能力。文件传输方向决定文件流向,文件类型和扩展名反映文件特征,承载文件的应用协议影响文件处理方式。这些属性防火墙均可识别。而这几个选项涵盖了文件过滤中关键的不同方面,相互独立又共同构成完整的识别范畴。。
答案:ABCD 。
第285、(多选题)针对HTTP Flood攻击'华为防火墙支持以下哪些防范机制?
A:基础源探测; B:限流; C:高级源探测; D:302重定向;
解析:这道题考查对华为防火墙防范HTTPFlood攻击机制的掌握。基础源探测、高级源探测能有效识别攻击源,302重定向可改变攻击路径。这些都属于有效的防范机制。限流主要针对流量控制,对这种攻击的防范作用不明显。。
答案:ACD 。
第286、(多选题)以下关于虚拟系统管理员的描述,正确的是哪些项?
A:根系统管理员可以为虚拟系统创建一个或多个管理员; B:根系统管理员和虚拟系统管理员都可以进行删除其它虚拟系统的相关配置;
C:启用虚拟系统功能后,设备上已有的管理员将成为虚拟系统的管理员; D:根据虚拟系统的类型,管理员分为根系统管理员和虚拟系统管理员;
解析:这道题考查对虚拟系统管理员的理解。根系统管理员有权为虚拟系统创建管理员,所以A正确。D选项准确说明了管理员的分类。B选项中虚拟系统管理员不能删除其它虚拟系统配置。C选项启用虚拟系统功能后,已有管理员不一定成为虚拟系统管理员。。
答案:AD 。
第287、(多选题)溢出类攻击是一种较为普遍的攻击方式,以下关于溢出攻击的描述,正确的是哪些项?
A:溢出攻击会导致程序运行异常,但不会造成信息泄露; B:溢出攻击可以利用软件漏洞来实施攻击;
C:溢出攻击利用向缓冲区写入超出其容量的内容,导致缓冲区溢出,进而扰乱程序运行,实现攻击; D:溢出攻击可以用来攻击操作系统和多种应用软件;
解析:这道题考查对溢出攻击的理解。溢出攻击是利用软件漏洞,向缓冲区写入超容量内容,扰乱程序运行。它能攻击操作系统和多种应用软件,会导致程序异常,也可能造成信息泄露。选项均正确描述了溢出攻击的特点和危害。。
答案:AC 。
第288、(多选题)如图所示为策略路由回注场景,以下关于该场景的描述,正确的是哪些项?
A:回注流量到达Router 1后,Router 1根据自身转发机制将流量分别发送至下行路由器Router2或Router3,流量最终到达不同的防护对象; B:清洗设备根据策略路由,将不同防护对象的流量回注到Routerl不同的接口(10GE1/0/2和10GE1/0/3);
C:Routerl为引流路由器; D:Routerl的10GE1/0/1接口与清洗设备的10GE2/0/1接口之间的通道为引流通道;
解析:这道题考察的是对策略路由回注场景的理解。在策略路由回注中,清洗设备会将流量回注到指定路由器的不同接口。Router1作为引流路由器,接收回注流量后,会根据自身转发机制将流量发送到不同的下行路由器,最终到达防护对象。引流通道是连接引流路由器和清洗设备的通道。所以A、C、D选项描述正确。B选项描述的是清洗设备将流量回注到Router1的不同接口,但题目中未提及具体接口,因此B选项信息不准确。。
答案:ACD 。
第289、(多选题)如图所示,移动办公用户通过文件共享功能访问文件内部服务器。那么以下关于该过程的描述,正确的是哪些项?
A:文件共享功能在出差用户访问内网的文件资源过程中起到了协议转换的作用; B:请求和响应报文直按通过防火墙进行运传,不做任何改变;
C:首先用户需要登录虚拟网关再发起访问文件的HTTPS格式请求; D:如果是用户首次访问文件共享资源,要先通过文件服务器的认证;
解析:这道题考察的是对移动办公用户通过文件共享访问内部服务器过程的理解。文件共享功能确实能在用户访问内网文件时起到协议转换作用,确保访问顺畅。用户需要先登录虚拟网关,再通过HTTPS格式请求访问文件,这是安全访问的标准流程。对于首次访问的用户,确实需要通过文件服务器的认证,以确保访问权限。而请求和响应报文在通过防火墙时,可能会受到检查或修改,以确保网络安全,不是直接不做任何改变地运传。。
答案:ACD 。
第290、(多选题)某园区组网如图所示,其中SW1是认证点设备。以下关于该网络准入控制的描述,正确的是哪些项?
A:若部署MAC地址认证,不需要提前收集所有哑终端的MAC地址; B:若部署MAC优先的Portal认证,访客掉线后,在一定时间内可不输入用户名密码直接访问网络;
C:若部署802.1X认证,在SW2和SW3上需要做EAP报文透传配置; D:若部署Portal认证,可让iMaster NCE-Campus同时担任RADIUS服务器和Porta服务器;
解析:这道题考察的是对网络准入控制的理解。MAC地址认证通常需要提前收集终端MAC,所以A项错误。MAC优先的Portal认证允许访客掉线后短时间内免登录,B项正确。802.1X认证需要在交换机上配置EAP报文透传,C项正确。Portal认证中,iMasterNCE-Campus可以兼任RADIUS和Portal服务器,D项正确。。
答案:BCD 。
第291、(多选题)IPS的签名过滤器支持对以下哪些操作系统类型进行过滤?
A:Linux-like; B:IOS; C:Android; D:Windows;
解析:这道题考察的是IPS(入侵防御系统)的签名过滤器功能。IPS的签名过滤器能够识别并过滤各种操作系统的攻击行为。Linux-like、IOS、Android、Windows都是常见的操作系统类型,IPS的签名过滤器均支持对这些系统类型的攻击行为进行过滤。因此,所有选项均正确。。
答案:ABCD 。
第292、(多选题)针对windows操作系统,可以执行以下哪些操作进行加固?
A:限制用户数量; B:定期审核账号权限; C:取消默认共享; D:修改默认TIL值;
解析:针对Windows操作系统的加固操作,可以从多个方面进行以增强系统安全性。选项A,限制用户数量,是一种有效的加固手段,通过减少不必要的用户账号,可以降低系统被非法访问的风险。选项B,定期审核账号权限,也是加固的重要步骤。通过定期检查和调整账号权限,可以确保用户只拥有执行其任务所必需的最小权限,从而降低潜在的安全风险。选项C,取消默认共享,是为了防止未经授权的访问和数据泄露。Windows系统默认会共享一些资源,取消这些默认共享可以提高系统的安全性。选项D,修改默认TIL值,也是一种加固措施。TIL(ThreadInjectionLevel)值控制着哪些进程可以注入代码到其他进程。通过修改这个值,可以限制潜在的恶意代码注入行为。综上所述,选项A、B、C、D都是针对Windows操作系统进行加固的有效操作,因此答案选择ABCD是正确的。。
答案:ABCD 。
第293、(多选题)Linux操作系统可以从以下哪些方面进行安全加固?
A:日志安全; B:系统安全; C:服务启动管理; D:账号安全;
解析:这道题考查Linux操作系统的安全加固知识。日志安全可记录系统活动,系统安全保障整体稳定,服务启动管理控制服务运行,账号安全保护用户权限。这些方面都能增强Linux系统安全性。而这四个选项涵盖了系统安全加固的主要范畴,缺其一都可能存在安全隐患。。
答案:ABCD 。
第294、(多选题)Anti-DDoS首包检查机制支持以下哪些报文?
A:UDP; B:TCP; C:DNS; D:ICMP;
解析:这道题考察的是对Anti-DDoS首包检查机制报文类型的了解。Anti-DDoS首包检查机制主要关注传输控制协议(TCP)和用户数据报协议(UDP)报文,这两种协议在网络通信中常用于传输数据,因此是DDoS攻击防护的重点。TCP和UDP报文会被该机制检查以预防潜在的DDoS攻击。ICMP和DNS报文虽然也是网络通信中常见的报文类型,但它们不是Anti-DDoS首包检查机制主要关注的报文类型。。
答案:BC 。
第295、(多选题)华为防火墙能够对单包攻击采取以下哪些防范动作?
A:源认证; B:丢弃; C:告警; D:放行;
解析:这道题考查华为防火墙对单包攻击的防范动作。丢弃能直接阻止攻击包,告警可提醒管理员。源认证并非针对单包攻击的常见防范动作。放行则不符合防范攻击的目的。所以选择丢弃和告警。。
答案:BC 。
第296、(多选题)以下关于手工方式IPSec安全策略的描述,正确的是哪些项?
A:在配置时本端的入方向SA参数不一定需要和对端的出方向SA参数一样; B:手工方式IPSec安全策略所有的安全参数都需要手工配置;
C:适用于小型静态环境; D:管理员配置工作量大;
解析:这道题考查对手工方式IPSec安全策略的理解。手工配置所有安全参数,适用于小型静态环境,因全靠手工,管理员工作量大。而本端入方向SA参数必须和对端出方向SA参数一致,A选项错误。。
答案:BCD 。
第297、(多选题)以下关于使用ACL作为IPSec感兴趣流匹配规则的描述,正确的是哪些项?
A:同一个IPSec安全策略组中酉己置的ACL可以包含相同的rule规则息副; B:若不同的数据流有不同的安全要求,则需要创建不同的ACL和相应的IPSec安全策略;
C:如果应用IPSec安全策略的接口同时配置了NAT,由于设备先执行NAT,会导致IPSec不生效。此时需要将IPSec引用的ACL规则匹配经过N AT转换后的IP地址; D:IPSec隧道两端ACL规则定义的协议类型要一致。例如,一端使用IP协议,另一端也必须使用IP协议;
解析:B选项正确,不同的数据流有不同的安全要求,需要创建不同的ACL和相应的IPSec安全策略,以实现精细化的安全控制。C选项正确,如果接口同时配置了NAT,设备先执行NAT可能导致IPSec不生效,此时需要将IPSec引用的ACL规则匹配经过NAT转换后的IP地址。D选项正确,IPSec隧道两端ACL规则定义的协议类型要一致,以确保两端的安全策略能够正确匹配和执行。A选项错误,同一个IPSec安全策略组中配置的ACL不能包含相同的rule规则信息,否则会导致匹配冲突。因此,正确答案是BCD。。
答案:BCD 。
第298、(多选题)过载保护虽然可以保证链路的稳走性,但是会引起以下哪些问题?
A:网络游戏在链路切换后掉线; B:网站在刷新后需要重新登录;
C:所有流量因超出阈值而被丢弃; D:网上银行业务因检测到IP地址变化而拒绝用户访问;
解析:过载保护是一种网络安全机制,用于防止网络链路因流量过大而崩溃。当链路的流量超过设定的阈值时,过载保护会触发,将一些流量丢弃或限制,以保护链路的稳定性。然而,过载保护也可能会导致一些问题,例如:A选项,网络游戏在链路切换后掉线,可能是由于过载保护导致的网络中断或延迟。B选项,网站在刷新后需要重新登录,可能是由于过载保护导致的会话中断或丢失。C选项,所有流量因超出阈值而被丢弃,这是过载保护的基本功能,但并不是一个问题,而是一种保护机制。D选项,网上银行业务因检测到IP地址变化而拒绝用户访问,可能是由于过载保护导致的网络拓扑变化或IP地址分配变化。因此,正确答案是ABD。。
答案:ABD 。
第299、(多选题)以下关于带宽通道中整体保证带宽和最大带竟的描述,正确的是哪些项?
A:如果流量大于最大带宽,则直接丢弃超出最大带宽的流量; B:整体的保证带宽是指进入带宽通道的流量可获得的最小带宽资源;
C:如果流量小于保证带宽,这部分流量在出接口发送环节能够确保被转发; D:整体的最大带宽是指进入带宽通道的流量可获得的最大带宽资源;
解析:这道题考察的是对带宽通道中保证带宽和最大带宽的理解。保证带宽意味着即使在网络拥堵时,进入带宽通道的流量也能获得的最小带宽资源。如果实际流量小于这个保证值,那么在出口发送时,这部分流量肯定能被转发。而最大带宽是通道能处理的最大流量,超出这个值的流量通常会被丢弃。因此,所有选项都正确描述了这两个概念。。
答案:ABCD 。
第300、(多选题)以下哪些是带宽通道中可以管理的资源?
A:连接数限制; B:策略独占; C:上下行带宽独立控制; D:整体保证带宽;
解析:这道题考查对带宽通道管理资源的掌握。连接数限制可优化网络使用,策略独占保障特定需求,上下行带宽独立控制灵活分配资源,整体保证带宽确保基本需求。这些都属于可管理的资源。。
答案:ABCD 。
第301、(多选题)以下关于URL过滤中黑白名单的描述,正确的是哪些项?
A:白名单的优先级高于黑名单的优先级; B:如果防火墙上的URL过滤网站较少,那么既可以使用黑白名单,也可以使用自定义URL分类;
C:如果只将主网页加入白名单,则该主网页下的内嵌网页部分将元法正常访问; D:黑白名单无法与URL分类结合使用;
解析:A选项正确,在URL过滤中,通常白名单具有更高的优先级,即白名单中的网站会优先被允许访问。B选项正确,当防火墙上的URL过滤网站较少时,根据实际需求,可以灵活选择使用黑白名单或者自定义URL分类。C选项正确,如果只将主网页加入白名单,其下的内嵌网页未在白名单内,则无法正常访问。D选项错误,黑白名单可以与URL分类结合使用。综上所述,正确答案是ABC。。
答案:ABC 。
第302、(多选题)华为Anti-DDoS解决方案由以下哪些部分组成?
A:检测中心; B:清洗中心; C:管理中心; D:防护对象;
解析:这道题考查对华为Anti-DDoS解决方案的组成部分的了解。检测中心用于发现攻击,清洗中心清除攻击流量,管理中心进行整体管控。这三个部分共同构成解决方案。防护对象并非解决方案的组成部分,而是被防护的对象。。
答案:ABC 。
第303、(多选题)以下关于使用ACL作为IPSec感兴趣流匹配规则的描述,正确的是哪些项?
A:若不同的数据流有不同的安全要求,则需要创建不同的AC_和相应的IPSec安全策略; B:如果应用IPSec安全策略的接口同时配置了NAT,由于设备先执行NAT,会导致IPSsec不生效。此时需将IPSec引用的AcL规则匹配经过NAT转换后的IP地址;
C:同一个IPSec安全策略组中配置的ACL可以包含相同的rule规则; D:IPSec隧道两端ACL规则定义的协议类型要一致。例如,一端使用IP协议,另一端也必须;
解析:A选项正确,不同数据流安全要求不同,需不同ACL和策略来匹配。B选项正确,先NAT可能影响IPSec,需匹配转换后地址。C选项错误,ACL中相同rule规则没意义。D选项正确,两端ACL规则协议类型不一致会导致匹配错误,影响IPSec建立。所以正确答案是ABD。。
答案:ABD 。
第304、(多选题)如图所示,防火墙负载均衡组网,通过在防火墙A上查看HRP状态,得到信息如下:HRP_M[FW_A]display hrp state Role:activefpeer:standby (should be "active-active ')Rurning priority: 45000,peer:45000Backup channel usage:0.00% Stable time:0 days,2 hours,38 minutes以下哪些项是可能的原因?
A:防火墙B没有启用双机热备; B:防火墙A的业务口故障;
C:防火墙B监视的BFD状态为Dowm; D:防火墙B的VRRP接口故障;
解析:这道题考察的是对防火墙负载均衡组网中HRP状态的理解。从题干信息看,防火墙A的HRP状态显示对端(防火墙B)应为"active-active",但实际为"standby",说明存在问题。考虑到优先级相同,问题可能出在通信或状态监测上。选项C提到防火墙B的BFD状态为Down,这影响双机状态监测;选项D提到防火墙B的VRRP接口故障,这也影响双机通信和状态。A项与题干信息不符,因为已显示对端存在;B项与题干信息不直接相关,题干未提及业务口状态。因此,C、D是可能的原因。。
答案:CD 。
第305、(多选题)某客户现网采用华为无线控制器部署802.1X认证,认证服务器为iMaster NCE-Campuso工程师在调试无线网络过程中发现终端一直认证失败,导致该问题的可能原因有哪些?
A:终端与认证服务器网络不可达; B:无线控制器上配置的授权密钥与认证服务器配置不一致;
C:无线控制器上未配置业务VLAN; D:无线控制器上配置的认证模板没有绑定接入模板;
解析: 。
答案:AD 。
第306、(多选题)以下哪些是防火墙可以识别的文件类型异常情况?
A:文件类型无法识别; B:文件扩展名不匹配; C:文件内容不匹配; D:文件损坏;
解析:这道题考查防火墙对文件类型异常的识别。文件类型无法识别、扩展名不匹配、文件损坏都属于防火墙能察觉的异常。无法识别表明超出识别范围,扩展名不匹配存在错误,文件损坏不符合正常状态。而文件内容不匹配并非防火墙主要识别的文件类型异常情况。。
答案:ABD 。
第307、(多选题)在Linux系统中,从以下哪些文件中能够查看到用户登录的相关日志信息?
A:Ivar/log/lastlog; B:Ivar/log/secure;
C:/ var/log/failog; D:var/log/wtmp;
解析:这道题考查Linux系统中用户登录日志的相关知识。在Linux中,用户登录的日志信息可以通过几个关键文件查看:`/var/log/lastlog`记录用户最后一次登录信息,`/var/log/secure`存储用户登录认证过程的日志,`/var/log/faillog`记录登录失败的信息,`/var/log/wtmp`记录所有登录和注销事件。这些文件共同提供了用户登录的相关日志信息。。
答案:ABCD 。
第308、(多选题)以下关于802.1x认证的描述,哪些选项是正确的?
A:802.1X协议为二层协议,不需要到达三层,对接入设备的整体性能要求不高,可以有效降低建网成本; B:客户端发送DHCPIARP或任意报文可以触发802.1X认证;
C:802.1X认证系统使用可扩展认证协议EAP来实现客户端、设备端和认证服务器之间的信息交互; D:客户端发送EAPoL-Start报文可以触发802.1X认证;
解析:这道题考察的是对802.1x认证的理解。802.1X协议工作在二层,不依赖IP,因此对设备性能要求低,能降低建网成本。它确实使用EAP协议进行信息交互。客户端发送EAPoL-Start报文可以触发认证。而客户端发送DHCPIARP报文触发的是DHCP过程,不是802.1X认证。因此,A、C、D选项描述正确。。
答案:ACD 。
第309、(多选题)Portal认证方式下,当用户已下线,而接入设备、RADIUS服务器和Portal服务器未感知到该用户已下线时,会产生一系列问题。因此,接入设备要能够及时感知到用户已下线,删除该用户表项,并通知RADIUS服务器停止对该用户进行收费。那么以下关于Portal用户下线方式的描述,正确的是哪些选项?
A:认证服务器强制客户下线; B:接入设备控制用户下线;
C:Portal服务器强制用户下线; D:用户发起主动下线请求;
解析:在Portal认证方式下,用户下线的方式主要有以下几种:-选项A:认证服务器可以强制用户下线,例如在用户违反认证策略或达到会话超时时间时。-选项C:Portal服务器也可以强制用户下线,例如在管理员需要终止用户会话或进行系统维护时。-选项D:用户可以主动发起下线请求,例如在完成工作后手动注销或关闭浏览器。而选项B中接入设备控制用户下线并不常见,通常接入设备只是负责传递用户的认证请求和下线通知,而不是直接控制用户的下线。综上所述,正确答案是ACD。。
答案:ACD 。
第310、(多选题)Portal认证场景下,当用户已下线,而接入设备、RADIUS服务器和Portal服务器未感知到该用户已下线时,可能会导致以下哪些问题?
A:存在非法用户仿冒合法用户IP地址和MAC地址接入网络的风险; B:已下线用户数量过多的情况下、可能会导致其他用户无法接入网络;
C:该用户再次上线时无需再进行认证; D:RADIUS服务器仍会对该用户进行计费,造成误计费;
解析:这道题考查Portal认证场景下用户下线未被感知的情况。非法用户可能仿冒未感知下线用户的信息接入网络。下线用户过多会占用资源,影响其他用户接入。未感知下线,用户再次上线就无需再认证。RADIUS服务器未感知下线会继续计费造成误计费。这些都是可能导致的问题。。
答案:ABCD 。
第311、(多选题)华为防火墙通过HRP协议可以备份以下哪些内容?
A:黑白名单; B:Sever-Map表; C:路由表; D:会话表;
解析:这道题考查华为防火墙HRP协议的备份内容。黑白名单用于控制访问权限,Sever-Map表辅助策略执行,会话表记录连接状态,它们通过HRP协议可备份。路由表主要用于路径选择,通常不由该协议备份。。
答案:ABD 。
第312、(多选题)以下哪些项是FTP行为的控制项?
A:文件下载; B:文件上传; C:代理上网; D:浏览网页;
解析:这道题考查对FTP行为控制项的认识。FTP主要用于文件传输,文件下载和文件上传属于其控制项。文件下载能获取所需文件,文件上传可共享文件。而代理上网和浏览网页并非FTP的主要功能,与FTP行为无关。。
答案:AB 。
第313、(多选题)当双击热备的系统软件版本升级完成后,需要验证以下哪些项?
A:系统软件版本; B:防火墙主备状态; C:双机倒换; D:会话表;
解析:在热备系统软件版本升级完成后,需要验证以下内容:-**B选项**:防火墙主备状态,确保主备切换正常,以保证系统的可靠性。-**C选项**:双机倒换,验证在主设备出现故障时,备用设备能否正常接管工作。-**D选项**:会话表,检查会话表是否正常,以确保系统的通信功能正常。而A选项系统软件版本在升级完成后已经得到了更新,无需再次验证。综上所述,正确答案是BCD。。
答案:BCD 。
第314、(多选题)如图所示,请将以下邮件传输流程按照正确顺序进行排序。( )
A:用户将邮件内容封装在SMTP消息中寄给发送方SMTP Server; B:发送方SMTP Server将邮件封装在SMIP消息中寄给接收方SMTP存储起来;
C:POP3/IMAP/Server收到用户的请求后,读取SMTP Server储存的邮件; D:POP3/IMAP/Server将邮件封装到POP3/IMAP消息中发送给接收方;
解析:这道题考查邮件传输流程的理解。正确顺序是:用户先将邮件内容封装在SMTP消息中寄给发送方SMTPServer,然后发送方SMTPServer再将邮件封装在SMTP消息中寄给接收方SMTP存储。接着,当接收方使用POP3/IMAP客户端请求邮件时,POP3/IMAPServer会读取SMTPServer上存储的邮件,并将其封装在POP3/IMAP消息中发送给接收方。所以,整个流程就是ABCD的顺序。。
答案:ABCD 。
第315、(多选题)请将以下MAC优先的Portal认证首次进行认证的流程进行排序。( )
A:用户浏览网页终端发出HTTP流量; B:执行MAc认证结果失败;
C:将用户的HTTP请求重定向到Porta以证页面; D:执行Porta以证结果成功;
解析:Portal认证通常用于在用户访问网络资源之前对其进行身份验证。MAC优先的Portal认证意味着首先尝试使用用户设备的MAC地址进行认证,如果MAC认证失败,则会重定向到Portal页面进行用户名和密码的认证。以下是首次进行MAC优先的Portal认证的一般流程:1.用户打开浏览器或其他支持HTTP的应用程序,尝试访问网络资源。2.终端设备发出HTTP请求,该请求被网络设备(如交换机或路由器)截获。3.网络设备检查用户的MAC地址,并尝试进行MAC认证。4.如果MAC认证失败(可能是因为MAC地址未在认证服务器中注册或其他原因),网络设备会将用户的HTTP请求重定向到Portal认证页面。5.用户在Portal认证页面上输入用户名和密码等认证信息。6.Portal服务器将认证信息发送到认证服务器进行验证。7.如果认证成功,认证服务器会通知网络设备允许用户访问网络资源。8.网络设备允许用户的HTTP请求通过,并为用户提供访问网络资源的权限。因此,正确的流程应该是ABCD。。
答案:ABCD 。
第316、(多选题)请根据IPS设备的工作机制,将以下入侵防御步骤按照先后顺序进行排序。( )
A:执行IP分片报文重组以及TC P流重组; B:识别应用层协议,并进行解析;
C:执行签名匹配; D:根据入侵防御配置文件执行响应动作;
解析:这道题考察的是IPS设备工作机制的理解。IPS在处理网络流量时,首先进行IP分片报文和TCP流重组,确保数据的完整性。接着,识别并解析应用层协议,了解传输内容。然后,执行签名匹配,检测是否有已知的恶意行为。最后,根据配置文件执行相应的响应动作。因此,步骤的正确顺序是ABCD。。
答案:ABCD 。
第317、(判断题)实现防火墙心跳线的高可靠性有两种方式,多心跳口方式和Eth-Trunko相较于多心跳口方式,的优点在于能够提高链路的通讯带竟,以及能够多实现流量的负载分担
A:正确; B:错误;
解析:“带竟”修改为“带宽”。。
答案:A 。
第318、(判断题)SSLVPN工作在传输层和网络层之间,不会改变IP报文头和TCP文头
A:正确; B:错误;
解析:SSLVPN工作在传输层之上,可能会封装原始的IP报文和TCP报文,因此可能会改变IP报文头和TCP报文头。。
答案:B 。
第319、(判断题)在企业出口出部署多条链路,可以提高用户网络的可靠性。
A:正确; B:错误;
解析:多条链路可以提供冗余,确保在一条链路出现故障时,其他链路可以继续传输数据,从而提高网络的可靠性。。
答案:A 。
第320、(判断题)企业部署准入控制技术,可以对员工进行行为管控,但对访客的无法管
A:正确; B:错误;
解析:企业部署准入控制技术,不仅可以对员工进行行为管控,还可以对访客进行管控。。
答案:B 。
第321、(判断题)在iMaster NCE-Campus上配置第三方准入设备时,在RADIUS认证参数中需配置认证计费密钥、授权密钥、终端IP地址列表等。
A:正确; B:错误;
解析:在iMasterNCE-Campus上配置第三方准入设备时,在RADIUS认证参数中配置认证计费密钥、授权密钥、终端IP地址列表等操作是符合规范和要求的。
答案:B 。
第322、(判断题)面对P2P下载、在线视频这些应用,采用传统限制带宽的方式,已经无法应对长时间挂机下载、缓冲等逃避方案,因此可以使用配额控制策略进行流量限制
A:正确; B:错误;
解析:面对P2P下载、在线视频这些应用,采用传统限制带宽的方式,难以应对长时间挂机下载、缓冲等情况,所以可以使用配额控制策略进行流量限制。。
答案:A 。
第323、(判断题)配置策略路由引流时,需要同时在引流设备和清洗设备和清洗设备上配置
A:正确; B:错误;
解析:题目中的“和清洗设备和清洗设备”是重复的,应修改为“和清洗设备上配置”。。
答案:A 。
第324、(判断题)IPSec VPN采用对称密钥加密业务数据。
A:正确; B:错误;
解析:IPSecVPN通常采用对称密钥加密业务数据,以保证数据传输的安全性和效率。。
答案:A 。
第325、(判断题)防火墙虚拟系统不仅可以起到隔离路由的作用,还可以实现业务的隔离
A:正确; B:错误;
解析:防火墙虚拟系统通过划分不同的区域和设置访问规则,既能实现路由隔离,又能达成业务隔离,具有重要的网络安全保障作用。。
答案:A 。
第326、(判断题)在点到多点的场景"且总部地址固定"分支地址不固走,建议采用IPSec策略模板方式建立VPN.
A:正确; B:错误;
解析:题目描述基本准确,无需修正。IPSec策略模板方式适用于点到多点场景,尤其是总部地址固定而分支地址不固定的情况,可以有效建立VPN。。
答案:A 。
第327、(判断题)华为防火墙的应用行为控制功能可以针对用户的HTTP行权FTP行为和IWI行为进行精确的控制。
A:正确; B:错误;
解析: 。
答案:A 。
第328、(判断题)某Linux主机部署了Nginx应用程序,通过查看Nginx相关日志,维工程师可以得到用户提交的完整URL信息,并以此判断服务器是否遭受了SQL注入攻击。
A:正确; B:错误;
解析:Nginx日志通常记录请求的URL,但不一定能直接显示SQL注入攻击,需要结合其他日志和服务器表现来判断。。
答案:A 。
第329、(判断题)虚拟系统之间通过虚拟接口实现互访,同时虚拟接口的链路层和协议始终处于UP状态
A:正确; B:错误;
解析:这道题正确,因为虚拟系统之间确实通过虚拟接口实现互访,且这些接口的链路层和协议通常设计为始终保持在UP状态,以确保虚拟系统间的通信始终可用。。
答案:A 。
第330、(判断题)策略路由可以和IP-Link或BFD联动,以便根据IP-Link或BFD的状态检查结果来决定策略路由的可用
A:正确; B:错误;
解析: 。
答案:A 。
第331、(判断题)通讯双方周期性地发送BFD回声报文,如果某方在检测时间内没有收到对端发来的回声报文,则认为该链路故障。上述为BFD回声功能的检测机制。
A:正确; B:错误;
解析:通讯双方周期性地发送BFD控制报文,如果某方在检测时间内没有收到对端发来的控制报文,则认为该链路故障。上述为BFD控制功能的检测机制。。
答案:B 。
第332、(判断题)在同一组父子策略中,限流方式只能同时为"分别设置上下行带竟"或者"设置上下行总带竟",二者不能同时存在"否则会出现带宽控制不准的问题
A:正确; B:错误;
解析:无需修正,题目描述准确。在同一组父子策略中,限流方式确实只能为"分别设置上下行带宽"或"设置上下行总带宽",二者共存会导致带宽控制问题。。
答案:A 。
第333、(判断题)如图所示,防火墙双机热备负载均衡部署,对Trust区域,需要部署两组VRRP备份组。一组以防火墙A为Masster,另一组也以防火墙A为Master
A:正确; B:错误;
解析:一组以防火墙A为Master,另一组以防火墙B为Master。。
答案:B 。
第334、(判断题)当网关之间采用GRE over IPSec连接时iPSec封装模式只可UI是隧道模式。
A:正确; B:错误;
解析:iPSec封装模式既可以是隧道模式,也可以是传输模式。。
答案:B 。
第335、(判断题)如图所示,防火墙A主动发起IKE协商,则仅需在防火墙A上配置安全策略,防火墙B无需配置。
A:正确; B:错误;
解析: 。
答案:B 。
第336、(判断题)华为防火墙中的预定义URL分类是出厂后自带的分类预置库,无需用户手动加载
A:正确; B:错误;
解析: 。
答案:A 。
第337、(判断题)IPS设备可以拦截利用未知漏洞进行传播和攻击的病毒、木马或恶登代码,保护办公电话的隐私、身份、文件等关键数据信息。
A:正确; B:错误;
解析: 。
答案:A 。
第338、(判断题)在应对网络攻击时"仅仅需变在互联网出口位置部署安全设备(如防火墙,IPS等)即可,企业内网无需部署安全设备。
A:正确; B:错误;
解析:在应对网络攻击时,不仅需要在互联网出口位置部署安全设备(如防火墙、IPS等),企业内网也需部署安全设备。。
答案:B 。
第339、(判断题)若采用802.1X认证,则用户需要安装客户端或使用系统自带客户端发起802.1x认证
A:正确; B:错误;
解析:这道题是正确的,因为802.1X认证确实需要用户端安装客户端或使用系统自带的客户端来发起认证。。
答案:A 。
第340、(判断题)健康检查一般不会独立使用,与智能选路结合使用才能实际作用,华为防火墙的健康检查功能只支持全局选路,功能结合使用
A:正确; B:错误;
解析: 。
答案:A 。
第341、(判断题)Ping扫描是网络扫描最为基础的方法,其优点是操作简单、扫描快速、绝大多数系统均支持;缺点是容易被防火墙,服务器等设备限制,导致扫描失效
A:正确; B:错误;
解析:原因在于其对Ping扫描的优点和缺点的描述准确清晰,符合Ping扫描的实际特点和应用情况。。
答案:A 。
第342、(判断题)DoS攻击是流量里攻击,目的是让目标计算机或网络畫法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃.
A:正确; B:错误;
解析:“DoS攻击是流量里攻击”修改为“DoS攻击是拒绝服务攻击”。。
答案:A 。
第343、(判断题)智能DNS功能需要配合NAT ServerRigg和源进源出功能一起使用。
A:正确; B:错误;
解析:智能DNS功能不需要配合NATServerRigg,但需要配合源进源出功能一起使用。。
答案:B 。
第344、(判断题)在iMaster NCE-Campus上配置的认证规则,支持多种匹配条件,包括匹配账号信息、SSID信息匹配,终端IP范围匹配,实现对不同的用户执行不同的认证规则。
A:正确; B:错误;
解析:在iMasterNCE-Campus上配置的认证规则,支持多种匹配条件,包括匹配账号信息、SSID信息匹配,**但不包括终端IP范围匹配**,实现对不同的用户执行不同的认证规则。。
答案:B 。
第345、(判断题)SSLVPN通过将文件共享协议转换成基于HL的超文本传输协议,可实现对内网文件服务器的Teb方式访问。
A:正确; B:错误;
解析:“HL的超文本传输协议”应改为“HTTPS协议”,“Teb方式访问”应改为“Web方式访问”。。
答案:A 。
第346、(判断题)SSLVPN基于B/S架构"无需安装客户端.
A:正确; B:错误;
解析:SSLVPN基于B/S架构,具有无需安装客户端的特点,方便用户使用和访问。。
答案:A 。
第347、(判断题)在配置DDoS攻击防范时,需要为各种攻击配置防范阈值。该阈值可以看做是网络中正常流量的上限'当网络中的实际流最大小超过设置的阈值时,则认为流量发生异常,从而触发防火墙执行相应的攻击防范动作。
A:正确; B:错误;
解析:DDoS攻击防范确实需要配置防范阈值,该阈值代表网络流量的正常上限,超过此阈值则认为流量异常,触发防火墙执行防范动作。。
答案:A 。
第348、(判断题)在IPSec中使用AH-ESP进行报文封装时,先进行ESP封装,再进行AH封装。
A:正确; B:错误;
解析:在IPSec中使用AH-ESP进行报文封装时,确实需要先进行ESP封装,再进行AH封装。这是因为ESP(封装安全载荷)协议负责提供数据的加密和认证,而AH(验证头)协议主要提供数据的完整性和认证性。先进行ESP封装可以保证数据的加密安全,之后再进行AH封装是为了对已加密的数据进行完整性和认证的验证。。
答案:A 。
第349、(判断题)URL过滤可以比DNS过滤更早的进行访问控制,有效降低整网HTTP报文的流量。
A:正确; B:错误;
解析:URL过滤通常是对网络中传输的URL地址进行过滤,而DNS过滤则是在域名解析阶段进行控制。理论上,DNS过滤比URL过滤更早地进行了访问控制,因为它在域名解析时就进行了干预。不过,URL过滤确实可以在一定程度上降低整网HTTP报文的流量,因为它可以阻止某些基于URL的非法或者无效的网络访问请求。。
答案:B 。
第350、(判断题)某工程师为了检查Windows主机是否存在异常连接,可使用netstat^令直看主机当前活动的TCP连接,显示结果包含TCP连接的源目地址、源目端口号、连接状态,进程或应用的名称等关键信息。
A:正确; B:错误;
解析:使用netstat命令确实可以查看Windows主机的当前TCP连接状态,包括源目地址、端口号、连接状态等信息。。
答案:A 。
第351、(判断题)在IPSec VPN建立过程中,第一阶段先建立IKE SA.IKE SA阶段产生的密钥保护IPSec SA的建立:IPSec SA阶段则产生密钥保护业务数据流。
A:正确; B:错误;
解析:无需修正,描述准确。IKESA确实在第一阶段建立,用于保护IPSecSA的建立过程,而IPSecSA则在第二阶段建立,用于保护实际的数据流。。
答案:A 。
第352、(判断题)默认情况下,防火墙上存在一条缺省的带宽策略,所有匹配条件均为任意(any)(动作为超出限流后丢弃
A:正确; B:错误;
解析:默认情况下,防火墙上存在一条缺省的带宽策略,所有匹配条件均为任意(any),动作为允许。。
答案:B 。
第353、(判断题)文件过滤不仅可以识别接收的文件类型,甚至还可以根据文件传输的方向进行过滤。
A:正确; B:错误;
解析:文件过滤能够根据文件类型和传输方向进行有效过滤,这是其常见且重要的功能。。
答案:A 。
第354、(判断题)企业内部使用防火墙虚拟系统可以隔离不同部门之间的网络,能够进一步提高安全系数。
A:正确; B:错误;
解析:企业内部使用防火墙虚拟系统隔离不同部门网络,可有效阻止未经授权的访问和数据传输,从而进一步提高安全系数。。
答案:A 。
第355、(判断题)若ICMP Flood攻击的攻击频率没有超过阈值,则安全设备不会启动防范措施。
A:正确; B:错误;
解析:ICMPFlood攻击具有一定的危害性,即使攻击频率未超过阈值,安全设备也应保持监测和预警状态,随时准备启动防范措施。。
答案:A 。
第356、(判断题)大多数企业邮箱都有一定的反痛毒机制,若在企业邮箱中发现未知来源的电子邮件,点击邮件中的超链接或者下载邮件中的附件,不会造成,个人、公司信息的泄露。
A:正确; B:错误;
解析:点击邮件中的超链接或者下载邮件中的附件,可能会造成个人、公司信息的泄露。。
答案:B 。
第357、(判断题)SYN扫描技术一般不会在目标主机上留下扫描痕迹,也不需要获取目标主机的root权限。
A:正确; B:错误;
解析:SYN扫描技术具有隐蔽性,通常不会在目标主机留下明显痕迹,且无需获取目标主机的root权限,这是其特点之一。
答案:B 。
第358、(判断题)SYN Flood攻击主要是通过发起大流量访问「消耗网络带宽「从而达到拒绝服务的目的。
A:正确; B:错误;
解析:SYNFlood攻击主要是通过发送大量的半开连接请求,消耗服务器的连接资源,从而达到拒绝服务的目的。。
答案:B 。
第359、(判断题)Anti-DDoS检测中心支持基于Netflow的流量检测技术。
A:正确; B:错误;
解析:Anti-DDoS检测中心通常支持基于Netflow的流量检测技术,这是一种常见且有效的检测手段。。
答案:A 。
第360、(判断题)在双机热备组网中,为了保证链路切换的一致性,华为防火墙基于VGMP组实现设备状态管理。
A:正确; B:错误;
解析:在双机热备组网中,华为防火墙通过VGMP组来实现设备状态管理,能够保证链路切换的一致性。。
答案:A 。
第361、(判断题)准入认证方案中,授权信息分为两类:服务器下发的授权信息和域下的授权信息。用户从何处获得授权与授权方案中配置的授权方法有关。
A:正确; B:错误;
解析:准入认证方案中,确实存在服务器下发的授权信息和域下的授权信息两类,且用户获得授权的方式与授权方案的配置方法有关。。
答案:A 。
第362、(判断题)iMaster NCE-Campus内置了LDAP模块,可当做LDAP服务器使用,支持通过LDAP协议与接入设备进行对接。
A:正确; B:错误;
解析:iMasterNCE-Campus内置LDAP模块的这一功能特性,使其能够充当LDAP服务器,并通过LDAP协议与接入设备成功对接。
答案:A 。
第363、(判断题)防火墙的虚拟系统管理员只能进入其所属的虚拟系统的配置界面,能配置和查看的业务也仅限于该虚拟系统
A:正确; B:错误;
解析:防火墙的虚拟系统管理员在权限设置上,只能进入其所属的虚拟系统的配置界面,能配置和查看的业务也仅限于该虚拟系统,这种权限限制有助于保障系统的安全性和独立性。。
答案:A 。
第364、(判断题)IPS的签名过滤器是一系列签名的条件集合,凡是符合其中一个过滤条件的签名都能够匹配签名过滤器
A:正确; B:错误;
解析:IPS的签名过滤器是一系列签名的条件集合。只有符合所有过滤条件的签名才能够匹配签名过滤器。。
答案:B 。
第365、(判断题)即使防火墙配置了内容过滤,如果在安全策略中没有被正确引用,那么应该被阻断的内容仍然能够正常的传输。
A:正确; B:错误;
解析:防火墙配置了内容过滤但在安全策略中未被正确引用时,应被阻断的内容仍能正常传输,这是因为安全策略的引用是决定内容过滤是否生效的关键因素。。
答案:A 。
第366、(判断题)远程查询服务器提供更庞大的URL分类信息,如果预走义URL分类缓存中查询不到URL分类,可以到远程查询服务器上继续查询。
A:正确; B:错误;
解析: 。
答案:A 。
第367、(判断题)开启邮件过滤功能可以查杀邮件中携带的病毒。
A:正确; B:错误;
解析:开启邮件过滤功能不能查杀邮件中携带的病毒,只能对邮件进行筛选和分类。。
答案:B 。
第368、(判断题)DDoS攻击是一种分布式的DoS攻击。
A:正确; B:错误;
解析:DDoS攻击是通过控制多台主机向目标服务器发送大量请求,从而使目标服务器无法正常服务的一种攻击方式,其本质就是一种分布式的DoS攻击。
答案:A 。
第369、(判断题)当直路部署Anti-DDoS防御系统时,需要考虑可靠性,防止单点故障。
A:正确; B:错误;
解析:部署Anti-DDoS防御系统在直路时,考虑可靠性以防止单点故障是合理且必要的。。
答案:A 。
第370、(判断题)UDP Flood攻击通过发起大流量访问,占用协议栈资源,从而达到服务器拒绝为正常用户提供服务的目的。
A:正确; B:错误;
解析:UDPFlood攻击是通过向目标服务器发送大量的UDP数据包,占用网络带宽和服务器资源,导致服务器无法正常处理合法用户的请求,从而拒绝为正常用户提供服务。。
答案:A 。
第371、(判断题)SSLVPN用户可以支持不认证登录。
A:正确; B:错误;
解析:SSLVPN用户不可以支持不认证登录。。
答案:B 。
第372、(判断题)如图所示,在该场景下,通讯双方(即防火墙A和防火墙B)需要开启NAT穿趣。
A:正确; B:错误;
解析:开启NAT穿透是常见需求,以便让处于不同网络地址转换(NAT)后的设备能够相互通信。。
答案:A 。
第373、(判断题)管理员在给防火墙虚拟系统分配资源时,需要合理的进行计算。避免因某个虚拟系统占用过多的资源导致其他虚拟系统无法获取资源、业务无法正常运行的情况。
A:正确; B:错误;
解析:管理员合理分配防火墙虚拟系统资源,能有效避免因资源分配不均导致部分虚拟系统无法正常运行的情况,这种做法是保障系统稳定运行的重要措施。。
答案:A 。
第374、(判断题)HWTACACS是一种集中式的、客户端/服务器结构的信息交互协议,使用UDP协议传输,用于采用点对点协议PPP或虚拟私有拨号网络VPN方式接入Internet的接入用户以及对设备进行操作的管理用户的认证、授权和计费。
A:正确; B:错误;
解析: 。
答案:B 。
第375、(判断题)当使用802.1X认证时,用户每次访问业务前,都必须在802.1x客户端上输入用户名密码主动触发认证。
A:正确; B:错误;
解析:802.1X认证是一种基于端口的网络访问控制协议,用于对网络设备进行认证。其认证过程并非只能由用户每次访问业务前在客户端上主动输入用户名和密码来触发。实际上,802.1X的认证可以由客户端主动发起,也可以通过设备端主动触发,如通过DHCP报文触发或源MAC地址未知报文触发。。
答案:B 。
第376、(判断题)IPS设备若采用二层旁路检测部署方式,则仅能够对业务流量进行监控,无法做到实时防护。
A:正确; B:错误;
解析:IPS设备采用二层旁路检测部署方式,其特点是只能对业务流量进行监控,不能实现实时防护,这是由其工作原理和部署方式决定的。。
答案:A 。
第377、(判断题)邮件内容过滤既可以过滤掉匿名邮件,也可以通过检查邮件内容控制内网用户邮件发送或接收的权限。
A:正确; B:错误;
解析:邮件内容过滤通过特定技术和规则,能够实现对匿名邮件的过滤,同时能依据邮件内容对内网用户邮件的发送或接收权限进行有效控制。。
答案:A 。
第378、(判断题)垃圾邮件除了会影响正常的邮件阅读,还可能包含病毒等有害信息。
A:正确; B:错误;
解析:垃圾邮件确实会对正常邮件阅读造成影响,并且存在携带病毒等有害信息的可能性。。
答案:A 。
第379、(判断题)单包攻击、DoS和DDoS攻击都会造成拒绝服务。
A:正确; B:错误;
解析:单包攻击、DoS和DDoS攻击的特点就是通过各种手段导致目标系统无法正常提供服务,造成拒绝服务的结果。。
答案:B 。
第380、(判断题)相对于IPSec网络层的控制,SSLVPN的所有访问控制都是基于应用层,其细分程度可以达到URL或文件级别,可以大大提高企业远程接入的安全级别。
A:正确; B:错误;
解析:IPSecVPN主要在网络层实现安全控制,而SSLVPN的安全控制则基于应用层。SSLVPN的访问控制能够细化到URL或文件级别,这种细粒度的控制可以显著提升企业远程接入的安全性,因为它能够更精确地管理和监控数据流动,防止未经授权的访问和数据泄露。因此,题目中的描述是准确的。。
答案:A 。
第381、(判断题)在防火墙上执行命令display ike sa;得到以下信息:<FAA>display ike sa Current ike sa number:O该信息表示IKE SA未建立。
A:正确; B:错误;
解析:displayikesa命令显示当前IKESA(InternetKeyExchangeSecurityAssociation)的数量,输出“Currentikesanumber:0”确实表示没有建立IKESA。。
答案:A 。
第382、(判断题)IPSec智能选路场景中,华为防火墙支持基于链路质量探测进行链路切换。
A:正确; B:错误;
解析:在IPSec智能选路场景中,华为防火墙支持基于链路质量探测进行链路切换,这是其具备的一项功能。
答案:A 。
第383、(判断题)防火墙带宽管理可以限制业务的连接数,有利于降低该业务占用的带宽,还可以节省设备的会话资源.
A:正确; B:错误;
解析:防火墙带宽管理通过限制业务连接数,不仅能降低业务占用的带宽,还能节省设备会话资源,这是其常见且有效的功能。。
答案:A 。
第384、(判断题)Link-Group通过绑定多个物理接口,提升链路的可靠性,当其中一个接口故障时,流量从其他接口转发。
A:正确; B:错误;
解析:Link-Group通过绑定多个物理接口,实现链路冗余,当其中一个接口故障时,流量从其他接口转发。。
答案:B 。
第385、(判断题)进程排查主要用于查看是否存在异常进程,判断业务主机是否被入侵、植入木马或后门程序等,但是无法发现尚未进行,仅仅潜伏在系统中的恶意程序。
A:正确; B:错误;
解析:进程排查确实可以用于查看异常进程和判断业务主机是否被入侵、植入木马或后门程序等,但它也有可能发现潜伏在系统中的恶意程序,尤其是当这些程序在系统中有所活动时。所以,“但是无法发现尚未进行,仅仅潜伏在系统中的恶意程序”这一说法不准确,应修正为“但可能无法发现完全未活动,仅潜伏在系统中的恶意程序”。。
答案:A 。
第386、(判断题)构造错误的查询语句,从数据库返回的错误提示中获取关键信息,是实施SQL注入攻击的常用手段。
A:正确; B:错误;
解析:构造错误的查询语句,从数据库返回的错误提示中获取关键信息,这种行为属于恶意的SQL注入攻击手段,会对数据库安全造成严重威胁。。
答案:A 。
第387、(判断题)保持浏览器版本更新、注意浏览器的弹出窗口不主动访问未知网站等习惯可以有效防止网络钓鱼攻击。
A:正确; B:错误;
解析:保持浏览器版本更新、注意浏览器的弹出窗口、不主动访问未知网站等习惯有助于降低遭遇网络钓鱼攻击的风险,能在一定程度上起到防护作用。。
答案:A 。
第388、(判断题)WAF可以对HTTPS流量进行防护,其实现原理为通过上传到WAF设备的公钥、私钥以及证书链,对报文进行解密、过滤、重新加密,实现对HTTPS加密报文进行检测与防护。
A:正确; B:错误;
解析:WAF对HTTPS流量进行防护的原理是通过上传到WAF设备的公钥、私钥以及证书链,对报文进行解密、过滤、重新加密,从而实现对HTTPS加密报文的检测与防护,这是一种有效的网络安全防护手段。。
答案:A 。
第389、(判断题)特殊控制报文攻击是一种潜在的攻击行为,不具直接的破坏行为,攻击者通过发送特殊控制报文探测网络结构,为后续发送真正的攻击做准备。
A:正确; B:错误;
解析:特殊控制报文攻击是一种潜在的攻击方式,攻击者利用发送特殊控制报文来探测网络结构,为后续可能的真正攻击做准备,其本身虽不具直接的破坏行为,但存在潜在威胁。。
答案:B 。
第390、(判断题)安全联盟由三元组唯一标识,包括安全参数索引SPI,源IP地址和安全协议号。
A:正确; B:错误;
解析:安全联盟由三元组唯一标识,包括安全参数索引SPI、目的IP地址和安全协议号。。
答案:B 。
第391、(判断题)AH协议的协议号为50。
A:正确; B:错误;
解析: 。
答案:B 。
第392、(判断题)为了提高流量转发的可靠性,ISP选路功能可以配合健康检查功能一起使用,保证流量不被转发到故障链路
A:正确; B:错误;
解析:ISP选路功能与健康检查功能配合,能够及时发现故障链路,避免流量被转发到故障链路,从而提高流量转发的可靠性。。
答案:A 。
第393、(判断题)防火墙虚拟系统分配资源。
A:正确; B:错误;
解析:防火墙虚拟系统分配资源是网络安全中的一个重要考点,此表述正确。。
答案:A 。
第394、(判断题)AD域认证是LDAP认证的一种实现方式。
A:正确; B:错误;
解析:AD域认证基于LDAP协议,是LDAP认证的常见实现方式之一。。
答案:A 。
第395、(判断题)一个Word文档fle.doc可以将文件名修改为file.exe,但是防火墙的文件过滤机制依然可以识别出该文件的真正类型。
A:正确; B:错误;
解析:修改文件名并不能改变文件的实际类型,防火墙的文件过滤机制可以识别文件的实际内容类型,而不仅仅是依据文件名。。
答案:A 。
第396、(判断题)BGP引流仅支持手动引流。
A:正确; B:错误;
解析:BGP引流支持手动引流和自动引流。。
答案:B 。
第397、(判断题)DoS攻击与DDoS攻击的区别在于DoS攻击通常由攻击者直接发起,而DDoS攻击通常由攻击者控制多个内鸡发起多个内鸡及起。
A:正确; B:错误;
解析:“多个内鸡”应改为“多个肉鸡(受控计算机)”。。
答案:A 。
第398、(判断题)终端安全是SSLVPN中检查终端是否安全的一种手段,包括用户接入虚拟网关时的主机检查和用户退出时的缓存清理两部分。
A:正确; B:错误;
解析:终端安全作为SSLVPN中检查终端是否安全的手段,涵盖了用户接入虚拟网关时的主机检查以及用户退出时的缓存清理这两个重要部分,符合相关技术原理和实际应用情况。
答案:A 。
第399、(判断题)在配置SSLVPN端口转发功能时,安全策略只需要放行Untrust到Trust之间的流量。
A:正确; B:错误;
解析:在配置SSLVPN端口转发功能时,安全策略不仅仅需要放行Untrust到Trust之间的流量,还需要考虑到所有进出数据流的安全性。。
答案:B 。
第400、(判断题)IPSec VPN不支持对非IP单播报文的封装。
A:正确; B:错误;
解析:IPSecVPN技术本身的特性决定了其不支持对非IP单播报文的封装,这是由其工作原理和协议规定所决定的。。
答案:A 。
第401、(判断题)IPSec使用非对称加密算法加密传输数据。
A:正确; B:错误;
解析:IPSec使用对称加密算法加密传输数据。。
答案:B 。
第402、(判断题)如图所示,在该场景中,开启了NAT穿越,防火墙B有关NAT穿越的安全策略配置如下。
[FW] display current-configuration \ip service-set nat traversal type object 512 service 0 protocol udpsource-port 500 destination□port 500 service 1 protocol udp source-nort 4500 destination-port4500\security Sudfce-port 4300 uestiffation-port 4300 T Seculty-Policy rule name nat traversal sourcezonelocal source-zone untrust destinatiozone local destination-zone untrust service nat traversal action permit若其他配置都正确,则通讯双方能正常建立IPS"VPN。
A:正确; B:错误;
解析:“securitySudfce-port4300uestiffation-port4300”应改为“securitysource-port4300destination-port4300”。。
答案:B 。
第403、(判断题)在对IPSec业务可靠性要求较高的场景下,建议在隧道两端的设备上同时开启DPD检测功能,以确保设设备能够有效检测并及时恢复对端隧道故障。
A:正确; B:错误;
解析:这道题是正确的,因为在对IPSec业务可靠性要求较高的场景下,确实建议在隧道两端的设备上同时开启DPD检测功能,以确保设备能够有效检测并及时恢复对端隧道故障。。
答案:A 。
第404、(判断题)完成策略路由智能选路的配置后,后续经过防火墙的流量将按照选路策略被转发。而之前的部分流量由于会话没有老化,所以不会立即按照选路策略被转发。
A:正确; B:错误;
解析:完成策略路由智能选路的配置后,后续经过防火墙的流量以及之前的部分流量(即使会话没有老化)都会立即按照选路策略被转发。。
答案:B 。
第405、(判断题)在给虚拟系统分配接口时,管理口不能分配给虚拟系统。
A:正确; B:错误;
解析:在给虚拟系统分配接口的常规操作中,管理口通常不能分配给虚拟系统,这是基于系统管理和安全的考量。。
答案:A 。
第406、(判断题)在给虚拟系统分配资源时,某些资源是按照系统规格自动分配的固定资源数,不支持用户手动分配。
A:正确; B:错误;
解析:在给虚拟系统分配资源时,某些资源是按照系统规格自动分配的固定资源数,用户无法手动分配,这符合虚拟系统资源分配的常见规则。。
答案:A 。
第407、(判断题)如图所示为负载均衡组网,防火墙A与防火墙B分别与防火墙C建立IPS"VPN隧道。当防火墙A与防火墙C之间出现链路故障时VPE未能切换,导致业务流量被丢弃。可能的原因是没有使用VRRP虚拟地址与防火墙C建立隧道。
A:正确; B:错误;
解析:应使用VRRP虚拟地址与防火墙C建立隧道,且需要确保VRRP优先级和抢占模式配置正确,以便在链路故障时能及时切换。。
答案:B 。
第408、(判断题)管理员在创建防火墙虚拟系统时,也需要同时创建相同名字的VPN实例,用于隔离路由
A:正确; B:错误;
解析:管理员在创建防火墙虚拟系统时,不需要同时创建相同名字的VPN实例用于隔离路由。。
答案:B 。
第409、(判断题)华为防火墙只支持在接口的出方向限制带宽。
A:正确; B:错误;
解析:华为防火墙支持在接口的出方向和入方向限制带宽。。
答案:B 。
第410、(判断题)防火墙对于多级策略,流量先匹配父策略,再去匹配子策略,直到匹配到最后级可以匹配的子策略为止。
A:正确; B:错误;
解析:这道题正确,因为防火墙在处理多级策略时,确实会先匹配父策略,再去匹配子策略,直到找到可以匹配的最终子策略。。
答案:A 。
第411、(判断题)在多出口场景下,当到达目的网络有多条等价路由或者缺省路由时,通过匹配全局选路策略。防火墙可以根据只能选路方式为等价路由或缺省路由的流量动态去选择出接口。
A:正确; B:错误;
解析: 。
答案:A 。
第412、(判断题)策略路由是在路由表已经产生的情况下,根据用户制定的策略修改路由表的里条目再进行路由选择的。
A:正确; B:错误;
解析:策略路由是在路由表已经产生的情况下,**不修改路由表**,而是根据用户制定的策略进行路由选择的。。
答案:B 。
第413、(判断题)如图所示,两端防火墙建立GRE over IPSec,原始报文先经过IPS"封装,再经过GRE封装。
A:正确; B:错误;
解析:原始报文先经过GRE封装,再经过IPSec封装。。
答案:B 。
第414、(判断题)DDoS攻击防范配置的关键在于阈值合理配置,如果防范阀值设置过低则在没有发生攻击时,系统就启动攻击防范功能,影响其他设备性能或者造成正常流量被丢。
A:正确; B:错误;
解析:DDoS攻击防范的关键确实在于阈值的合理配置,设置过低会导致系统在没有攻击时误判,影响设备性能或造成正常流量被丢弃。。
答案:A 。
第415、(判断题)在防火墙内容过滤中,关键字识别可以按权重值执行相应的动作。
A:正确; B:错误;
解析:在防火墙内容过滤中,关键字识别通常可以按权重值执行相应的动作,这是一种常见且有效的过滤方式。。
答案:A 。
第416、(判断题)内容过滤包括文件内容过滤和应用内容过滤。
A:正确; B:错误;
解析:这道题说法正确,内容过滤确实包括文件内容过滤和应用内容过滤。。
答案:A 。
第417、(判断题)URL过滤比DNS过滤控制粒度细,可以控制到目录和文件级别。
A:正确; B:错误;
解析:URL过滤通过对网址的精确分析,能够实现比DNS过滤更细致的控制,达到目录和文件级别的管控。
答案:A 。
第418、(判断题)当检测到POP3或工HAP消息时’如果判是为非法邮件「防火墙的响应动作条件只可以是阻断邮件。
A:正确; B:错误;
解析:“防火墙的响应动作条件可以是阻断邮件或者进行其他安全策略的处理。”。
答案:B 。
第419、(判断题)端口扫描技术是对主机运行状态进行扫描探测的技术。通过端口扫描,可确定目标主机上开启了何种任务,为下一步攻击提供入口。
A:正确; B:错误;
解析:端口扫描技术确实可以探测主机运行状态,确定开放的端口和服务,为攻击者提供潜在的攻击入口。。
答案:A 。
第420、(判断题)安全沙箱通过还原交换机或者传统安全设备镜像的网络流量,在虚拟的环境内对网络中传输的文件进行检测,实现对未知恶意文件的检测。
A:正确; B:错误;
解析:无需修正,题目描述准确。安全沙箱确实可以通过还原网络流量,在虚拟环境中检测传输的文件,从而实现对未知恶意文件的检测。。
答案:A 。
第421、(判断题)由于零日漏洞暂未发布对应的补丁,所以目前没有任何方法能够有效抵御零日攻击。
A:正确; B:错误;
解析:可以采取一些通用的安全措施来降低零日攻击的风险,如使用防火墙、入侵检测系统、及时更新系统和软件等。。
答案:B 。
第422、(判断题)iMaster NCE Campus支持作为RADIUS服务器,但不支持作为RADIUS中继设备。
A:正确; B:错误;
解析:iMasterNCECampus支持作为RADIUS服务器,也支持作为RADIUS中继设备。。
答案:A 。
第423、(判断题)在iMaster NCE-Campus上添加的第三方准入设备,支持使用TACACS协议进行对接。
A:正确; B:错误;
解析:这道题没有错误,答案正确的原因是:iMasterNCE-Campus上添加的第三方准入设备确实支持使用TACACS协议进行对接,符合实际情况。。
答案:A 。
第424、(判断题)BFD控制报文封装在TCP报文中传送,其目的端口号为3784。
A:正确; B:错误;
解析:BFD控制报文封装在UDP报文中传送,其目的端口号为3784。。
答案:B 。
第425、(判断题)在iMaster NCE-Campus上配置Portal页面推送策略时支持使用操作系统、浏览器信息作为匹配条件,为实现iMasterNCE-Campus能够识别认证用户的这些信息,需在接入设备的URL模板中配置对应的url-parameter。
A:正确; B:错误;
解析:在iMasterNCE-Campus上配置Portal页面推送策略时支持使用操作系统、浏览器信息作为匹配条件,为实现iMasterNCE-Campus能够识别认证用户的这些信息,需在接入设备的URL模板中配置对应的url-parameter,此配置符合相关技术规范和操作要求。
答案:A 。
第426、(判断题)Nmap是常用的网络扫描和嗅探工具,可以扫描发现目标主机开放的UDP或者TCP端口,但是无法判断目标主机使用何种操作系统。
A:正确; B:错误;
解析:Nmap是常用的网络扫描和嗅探工具,可以扫描发现目标主机开放的UDP或者TCP端口,并且能够判断目标主机使用何种操作系统。。
答案:B 。
第427、(判断题)在Ant-DDoS部署方案中,如果使用BGP引流,需要事先在路由器和清洗设备上配置BGP协议,建立BGP邻居关系。
A:正确; B:错误;
解析:这道题是正确的,因为在使用BGP引流时,确实需要在路由器和清洗设备上配置BGP协议,并建立BGP邻居关系,以确保流量可以被正确引流到清洗设备进行处理。。
答案:A 。
第428、(判断题)使用野蛮模式建立IPSec VPN的情况下,在NAT穿趣场景,可以使用AH+ESP封装报文。
A:正确; B:错误;
解析:不能使用AH+ESP封装报文,只能单独使用ESP封装报文。。
答案:B 。
第429、(判断题)因HTTP协议基于TCP协议使用,因此使用防范TCP Flood的方法,可以防范所有HTTP Flood攻击。
A:正确; B:错误;
解析:因HTTP协议基于TCP协议使用,但使用防范TCPFlood的方法,不能防范所有HTTPFlood攻击。。
答案:B 。
第430、(判断题)通过有线方式接入网络的终端,采用MAC旁路认证比普通的MAC认证多一个802.1X认证环节,当802.1X认证失败时会再尝试MAC认证。
A:正确; B:错误;
解析:MAC旁路认证在802.1X认证失败时会自动切换到MAC认证,这种认证方式在保障网络安全的同时提高了认证的灵活性和可靠性。。
答案:A 。
第431、(判断题)无线用户进行802.1X认证场景下,由于EAP报文属于控制报文需要通过CAPWAP隧道到无线控制,所以不管直接转发还是隧道转发器都必须在无线控制器上创建相应的业务VLAN。
A:正确; B:错误;
解析:“由于EAP报文属于控制报文需要通过CAPWAP隧道到无线控制”改为“由于EAP报文属于控制报文,不一定需要通过CAPWAP隧道到无线控制”。。
答案:B 。
第432、(判断题)如图所示,防火墙上的NAT策略配置如下:
[FW-Policy-nat]display thisnat-policyrule name no-natsource-zone trustdestination-zone untrustsource-address 10.1.2.0 mask 255.255.255.0action no-natrule name natsource-zone trustdestination-zoneuntrustaction source-nat easy-ip假设其他配置都正确,则IPSec VPN业务能够正常访问。
A:正确; B:错误;
解析: 。
答案:A 。
第433、(判断题)如果用户登录的虚拟网关页面中没有开启端口转发功能,则可能导致用户无法访问端口转发资源。
A:正确; B:错误;
解析:当用户登录的虚拟网关页面未开启端口转发功能时,确实会造成用户无法获取端口转发资源,这是符合网络配置和访问规则的。。
答案:A 。
第434、(判断题)IKE是TCP之上的一个应用层。
A:正确; B:错误;
解析:IKE是IP层之上的一个应用层。
答案:B 。
第435、(判断题)在应急响应的准备阶段,应该明确信息系统的网络架构、信息资源清单、应急响应人员清单,编制合理的应急预案
A:正确; B:错误;
解析:在应急响应的准备阶段,明确信息系统的网络架构、信息资源清单、应急响应人员清单,编制合理的应急预案,有助于提高应急响应的效率和效果,保障系统的安全稳定运行。。
答案:A 。
第436、(判断题)在URL过滤中,自定义URL分类优先级高于预定义URL分类。
A:正确; B:错误;
解析:在URL过滤中,通常自定义URL分类的优先级确实高于预定义URL分类。。
答案:A 。
第437、(判断题)SYN扫描需要建立完整的TCP连接,同时SYN扫描会被记录到系统日志中
A:正确; B:错误;
解析:SYN扫描不需要建立完整的TCP连接,同时SYN扫描不会被记录到系统日志中。。
答案:B 。
第438、(判断题)在防火墙URL过滤中,黑名单的优先级高于白名单的优先级。
A:正确; B:错误;
解析:在防火墙URL过滤中,白名单的优先级高于黑名单的优先级。。
答案:B 。
第439、(判断题)策略路由引流是一种静态引流方式。
A:正确; B:错误;
解析:策略路由引流是一种静态引流方式,这种说法符合相关技术原理和定义。
答案:A 。
第440、(判断题)攻击者通过地址扫描攻击来判断哪些目标系统活跃在目标网络中。
A:正确; B:错误;
解析:地址扫描攻击是攻击者用于判断目标网络中哪些系统活跃的常见手段之一。。
答案:A 。
第441、(判断题)如图所示,L2TP overlPSec适用于出差员工访问总部网络的场景。
A:正确; B:错误;
解析: 。
答案:A 。
第442、(判断题)防火墙父子策略中不支持带宽复用。
A:正确; B:错误;
解析:防火墙父子策略中支持带宽复用。。
答案:B 。
第443、(判断题)硬件Bypass通常用于防火墙单机直路部署的场景。
A:正确; B:错误;
解析:硬件Bypass通常用于防火墙多机直路部署的场景。。
答案:B 。
第444、(判断题)无线网络中,在WAC上配置无线Portal认证时,无需额外的配置即可实现授权下发VLAN,无线用户完成Portal认证之后,WAC将会按照授权下发的VLAN对无线用户的流量进行转发。
A:正确; B:错误;
解析:在WAC上配置无线Portal认证时,其原理和流程使得无需额外配置就能实现授权下发VLAN,用户完成认证后,WAC会依授权下发的VLAN对流量进行准确转发。。
答案:A 。
第445、(判断题)Master NCE-Campus支持作为Porta服务器,提供Porta以证页面。
A:正确; B:错误;
解析:MasterNCE-Campus确实可以作为Porta服务器,提供Porta认证页面,这是其功能和用途之一。。
答案:A 。
第446、(判断题)通过查看Linux主机的/var/log/secure日志文件,可以判断此主机是否遭受到暴力破解登陆空'码的攻击。
A:正确; B:错误;
解析:无需修正,因为/var/log/secure日志文件确实记录了关于系统安全相关的事件,包括登录失败的信息,可以用来判断是否存在暴力破解登录密码的攻击。。
答案:A 。
第447、(判断题)利用人性弱点、行为特征、心理特征等实施的攻击称为社会工程学攻击,例如:在不同的系统中使用相同的密码、使用出生日期作为密码.诱导用户访问钓鱼网站等都是社会工程学可利用的攻击点。
A:正确; B:错误;
解析:社会工程学攻击正是利用人性弱点、行为特征、心理特征等进行,所列举的在不同系统使用相同密码、用出生日期作密码、诱导访问钓鱼网站等都是常见且有效的攻击点。。
答案:A 。
第448、(判断题)IMAP与POP3主要区别在于使用IMAP,客户端软件会将所有未阅读邮件下载到计算机,并且邮件服务器会删除该邮件。使用POP3,用户直接对服务器上的邮件进行操作,不需要把所有邮件下载到本地再进行各项操作。
A:正确; B:错误;
解析:IMAP用户直接对服务器上的邮件进行操作,不需要把所有邮件下载到本地再进行各项操作,而POP3客户端软件会将所有未阅读邮件下载到计算机,并且邮件服务器会删除该邮件。。
答案:B 。
第449、(判断题)DNS过滤可以通过引用时间段或用户组等配置项,实现针对不同时间段或不同用户组的请求进行放行或者阻断,达到更加精细化和准确化控制员工上网权限的需求。
A:正确; B:错误;
解析:DNS过滤通过引用时间段或用户/组等配置项,能实现对不同时间段或不同用户/组的请求进行放行或者阻断,从而满足更加精细化和准确化控制员工上网权限的需求。。
答案:A 。
第450、(判断题)在CRE隧道场景下采用BGP引流时,为了避免发生环路,可以通过GREH通道将回注流量直接送到回注路由
A:正确; B:错误;
解析: 。
答案:A 。
第451、(判断题)由于AH对数据进行的完整性检查会对包括IP地址在内的整个IP包进行Hash运算,而地址转换会改变IP地址,从而破坏AH的Hash值。因此使用AH的IPSec隧适无法穿趣NAT设备。
A:正确; B:错误;
解析:“隧适”应改为“隧道”,“穿趣”应改为“穿越”。。
答案:A 。
第452、(判断题)智能选路接口可以配置过载保护阈值,当链路的带竞利用率达到过载保护阈值时,防火墙对新流量进行智能选路时将排除该过载链路,在其他未过载的链路中进行选路。
A:正确; B:错误;
解析: 。
答案:A 。
第453、(判断题)在防火墙虚拟系统中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务。
A:正确; B:错误;
解析:防火墙虚拟系统中,根系统确实承担着管理其他虚拟系统以及为虚拟系统间通信提供服务的作用。。
答案:A 。
第454、(判断题)Portal认证场景中,为保证终端能正常打开Portal页面(使用iMastar NCE-Campus作为Pertal服务器),iMaster NCE-Canmus应能够与认证终端之间网络可达。
A:正确; B:错误;
解析:在Portal认证场景中,为保证终端能正常打开Portal页面(使用iMasterNCE-Campus作为Portal服务器),iMasterNCE-Campus应能够与认证终端之间网络可达,这是确保认证流程正常进行的基本条件。。
答案:A 。
第455、(判断题)零日漏洞是指还没有对应补丁的安全漏洞,提供该漏洞细节或者利用该漏洞进行攻击的人通常是该漏洞的发现者。
A:正确; B:错误;
解析:零日漏洞是指被发现后立即被恶意利用的安全漏洞,在厂商发布相关补丁前,提供该漏洞细节或者利用该漏洞进行攻击的人通常是该漏洞的发现者。。
答案:A 。
第456、(判断题)对于Anti-DDoS盒式设备而言,单CPU的设备只能作为检测中心或者清洗中心。
A:正确; B:错误;
解析:对于Anti-DDoS盒式设备而言,单CPU的设备只能作为检测中心或者清洗中心,这是其设备特性决定的。。
答案:A 。
第457、(判断题)iMaster NCE-Campus作为认证服务器,支持多种授权结果,包括:ACL、VLAN、DSCPff,对于未预定义的参数,可通过自定义授权参数进行授权下发。
A:正确; B:错误;
解析: 。
答案:A 。
第458、(判断题)在iMaster NCE-Campus上添加的第三方准入设备,支持使用TACACS协议进行对接。
A:正确; B:错误;
解析:这道题没有错误,答案正确的原因是:iMasterNCE-Campus上添加的第三方准入设备确实支持使用TACACS协议进行对接,符合实际情况。。
答案:A 。
第459、(判断题)SSLVPN通过web代理使得移动用户可以通过防火墙做代理访问内网的Web服务器资源。
A:正确; B:错误;
解析:SSLVPN利用Web代理技术,让移动用户能借助防火墙代理访问内网的Web服务器资源,实现了安全便捷的远程访问。。
答案:A 。
第460、(判断题)在接入虚拟网关时,用户终端需要通过主机检查策略,用户才可以成功接入SSLVPN。
A:正确; B:错误;
解析:在接入虚拟网关时,用户终端需要通过主机检查策略,用户才可以成功接入SSLVPN,这是符合技术规范和安全要求的。。
答案:A 。
第461、(判断题)IPSec VPN是三层VPN,并且能够对IP网络层提供加密保护。
A:正确; B:错误;
解析:IPSecVPN作为三层VPN,其工作原理决定了它能够对IP网络层进行加密保护,这是由其技术特性所决定的。。
答案:A 。
第462、(判断题)在防火墙上执行命令display ike sa,number:得到如下信息:<FW_A>display ike sa current ike sa number O该信息表示I KE SA未建立。
A:正确; B:错误;
解析:该信息表示当前IKESA的数量为0,确实意味着IKESA未建立。。
答案:A 。
第463、(判断题)策略路由是由匹配条件和动作组成的,防火墙收到流量后,对流量的属性进行识别,并将流量的属性与策略路由的匹配条件进行匹配。
A:正确; B:错误;
解析:策略路由通过匹配条件和动作来引导流量,防火墙在接收流量后,会对其属性进行识别,然后与策略路由的匹配条件进行比对,从而实现对流量的有效引导和控制。。
答案:A 。
第464、(判断题)双机热备环境下,BFD的配置不支持备份,需要在主备防火墙上分别配置。
A:正确; B:错误;
解析:双机热备环境下,BFD的配置不支持备份,需要在主备防火墙上分别配置,这是符合实际情况和技术原理的。
答案:A 。
第465、(判断题)防火墙三层双机部署,上行设备为路由器,下行设备为二层交换机,防火墙可以通过hrp track interface或link-group监控直连业务接口。
A:正确; B:错误;
解析:防火墙三层双机部署,在这种网络架构中,上行设备为路由器,下行设备为二层交换机,防火墙能够通过hrptrackinterface或link-group监控直连业务接口,这是符合网络配置原理和技术规范的。。
答案:A 。
第466、(判断题)在网络中交换设备与防护对象之间部署Anti-DDoS防御系统,当只有二层转发设备时,通常采用二层回注方。
A:正确; B:错误;
解析:在网络中交换设备与防护对象之间部署Anti-DDoS防御系统,当只有二层转发设备时,通常采用二层回注方式是合理有效的。。
答案:A 。
第467、(判断题)端口转发是通过在用户终端的客户端程序上获取用户请求,然后使用虚拟网关转发到内网,实现对内网指定UDP资源的访问。
A:正确; B:错误;
解析:端口转发是通过在网络设备(如路由器)上进行设置,获取用户请求,然后将其转发到内网,实现对内网指定资源(包括UDP资源)的访问。。
答案:B 。
第468、(判断题)当防火墙开启虚拟系统功能后,会自动生成根系统并继承先前防火墙上的配置。
A:正确; B:错误;
解析:当防火墙开启虚拟系统功能后,不会自动生成根系统并继承先前防火墙上的配置。。
答案:B 。
第469、(判断题)两台防火墙主备部署正常后,某日出现了双主现象,可能是出现了心跳口故障。
A:正确; B:错误;
解析:当两台防火墙主备部署正常后出现双主现象,心跳口故障是可能的原因之一。。
答案:A 。
第470、(判断题)当802.1X认证模式采用基于端口方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络资源。
A:正确; B:错误;
解析:当802.1X认证模式采用基于端口方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,这有效提高了网络使用的便捷性。当第一个用户下线后,其他用户也会被拒绝使用网络资源,保障了网络使用的安全性。。
答案:A 。
第471、(判断题)某客户现场部署无线网络"无线终端接入采用Portal认证方式’当华为无线控制器作为接入设备时,备上配置的安全策踣采用Open认证方式即可。
A:正确; B:错误;
解析: 。
答案:B 。
第472、(判断题)如图所示,若采用有线802.1X认证,则网络准入设备与终端之间必须为二层网结。
A:正确; B:错误;
解析:修正为:“若采用有线802.1X认证,通常建议网络准入设备与终端之间为二层网结,以确保认证过程的有效性。”。
答案:A 。
第473、(判断题)对于Portal认证,由于部分手机浏览器存在兼容问题,因此对于使用这些浏览器的Portal认证用户,将无法完成认证。
A:正确; B:错误;
解析:部分手机浏览器存在兼容问题可能会导致使用这些浏览器的Portal认证用户认证困难,但并非绝对无法完成认证。。
答案:A 。
第474、(判断题)MAC认证过程中,用户终端不需要安装任何客户端软件,不需要用户手动输入用户名和密码。
A:正确; B:错误;
解析:MAC认证具有便捷性,其过程中用户终端无需安装客户端软件,也无需用户手动输入用户名和密码。。
答案:A 。
第475、(判断题)SQL注入攻击会导致数据丢失、数据损坏、数据泄露等严重后果。
A:正确; B:错误;
解析:SQL注入攻击是一种常见的网络攻击手段,确实会造成数据丢失、数据损坏、数据泄露等严重危害。。
答案:A 。
第476、(判断题)IPS的签名过滤器中配置了多个过滤条件,同类型的过滤条件中如果配置多个值,则多个值之间是"与"的关系。
A:正确; B:错误;
解析:在IPS(入侵防御系统)的签名过滤器中,通常会配置多个过滤条件以精确匹配和识别网络流量中的潜在威胁。对于同类型的过滤条件,如果配置了多个值,这些值之间的关系通常是“或”的关系,而不是“与”的关系。这意味着只要流量匹配到这些值中的任何一个,过滤器就会将其视为匹配成功。。
答案:B 。
第477、(判断题)在URL预定义分类中,大类中包含了小类。但是在安全策略中,处理动作的应用始终以大类为基准。
A:正确; B:错误;
解析:在URL预定义分类中,小类包含于大类中。并且在安全策略中,处理动作的应用始终以小类为基准。。
答案:A 。
第478、(判断题)在防火墙心跳线部署Eth-Trunk时,只要满足Eth-Trunk活动链路的总带宽大于业务流量所需要带宽的30%Eth-Trunk就可以设置为二层接口。
A:正确; B:错误;
解析: 。
答案:B 。
第479、(填空题)如图所示.网关1处在NAT设备之后,为了保证网关1、网关2都可以任意发起流量访问,需要存在一种机制保证MAT设备的IAT会话不会超时.即NAT( )。(中文标准术语)
解析: 。
答案: 心跳。
第480、(填空题)Anti-DDos可以检测( )状态,根据此状态判断报文是否合法.如并未存在TCP Sm报文,直接受到一个全新五元组的ACK报文.不符合状态的报文将被丢弃。(中文标准术语)
解析:Anti-DDoS(反域名劫持洪水攻击)系统是一种网络安全设备或机制,其主要功能是检测并防御DDoS攻击。在TCP通信中,一个“会话”指的是从TCP三次握手开始到四次挥手结束的一个完整的连接过程。Anti-DDoS系统能够检测这种会话状态,如果报文(如本例中的TCP报文)与当前的会话状态不符,系统将会识别这种不一致性并将该报文丢弃。所以填入的中文标准术语是“会话”。。
答案: 会话。
第481、(填空题)华为防火墙的带竟策略功能支持多级配置方式.即在一条带竟策略下.还可以继续配置多条带竟子策略。目前华为防火墙最多可以支持( )级策略。(阿拉伯数字)
解析: 。
答案: 4。
第482、(填空题)( )设备只能对网络环境选行检测.但无法进行防御;而IPS设备则可针对已知威胁进行主动防御(英文缩写.全大写)
解析: 。
答案: IDS。
第483、(填空题)在Lirax系统中.文件"/var/log/"( )^记录了较为全面的系统日志信息.如系统启动期间的日志、系统运行过程中的日志、系统错误日志等。(英文,全小写)
解析: 。
答案: message。
第484、(填空题)802.1X认证用户下线方式分为客户端主动下线,接入设备控制用户下线和服务器控制用户下线。当采用服务器控制用户下线时.RADIUS服务可通过( )报文强制用户下线。(英文缩写.全大写)
解析: 。
答案: DM。
第485、(填空题)网络扩展功能根据对用户终端报文处理逻辑的区别,分为( )路由模式.全路由模式和手动路由模式。
解析:网络扩展功能的确可以根据对用户终端报文处理逻辑的区别,分为不同的路由模式。根据您的答案,填空处应填写“分离”。这表示在网络扩展中,存在一种路由模式,其特点是处理用户终端报文时,某些部分或功能被分离出来进行特殊处理。具体的分离方式和处理逻辑可能会因网络架构、设备类型和业务需求的不同而有所差异。因此,答案填写“分离”是正确的。。
答案: 分离。
第486、(填空题)( )中记录的是IP地址和虚拟系统的归属关系(中文标准术语)
解析:这道题核心考察对网络术语的了解。“引流表”是关键答案,填空处填此词,旨在考查对特定网络概念中记录IP地址与虚拟系统归属关系这一知识的掌握。。
答案: 引流表。
第487、(填空题)WLAN网络中.进行AD或LDAP认证时.Portal认证用户的认证方式必须配置为( )方式。(英文缩写,全大写)
解析:这道题核心考察对WLAN网络认证方式的了解。填空处“PAP”是常见认证方式的英文缩写。填写此答案能准确体现用户在该网络认证中的特定方式,是关键知识点的准确表述。。
答案: WEP。
第488、(填空题)在基于动态路由协议的双机热备应用场景中,防火墙可以通过hrp_( )_ospf-cost enable命令来启动根据防火墙主备状态调整OSPF的Cost值。(英文,全小写)
解析:这道题核心考察对动态路由协议相关命令的了解。“adjust”体现关键动作,表明防火墙调整OSPF的Cost值,考查对特定功能命令中准确词汇的掌握。。
答案: adjust。
第489、(填空题)WAP设备串接部署在网络中,支持即插即用,无需更改网站DNS和服务器配置,此部署方式称为( )模式(中文标准术语)
解析:这道题核心考察对WAP设备部署模式的了解。填空“透明代理”,体现了这种无需更改网站配置的特点,反映出其在网络中隐形、不影响原有设置的重要特性。。
答案: 透明代理。
第490、(填空题)开启_( )后.上网用户流量进行首次智能选路选择某链路后,防火墙会生成相应的该表项.新流量如果命中了该表项,防火墙会按照表项中记录的链路转发流量.这样能保证该用户的流量始终使用同一链路转发。(中文,标准术语)
解析:这道题核心考察对网络技术术语的理解。“会话保持”是关键,它体现了保证用户流量始终使用同一链路转发的技术手段,反映了网络流量管理中的重要概念。。
答案: 会话保持。
第491、(填空题)外部恶意URL特征库仅支持在线升级.在线升级可分为_( )_升级和立即升级两种方式。(中文,标准术语)
解析: 。
答案: 定时。
第492、(填空题)无线网络中,针对访客采用Portal认证方式接入网络。当认证点在华为无线控制器上时.无线控制器上对应的socurity-profilte模板内配置的安全策略为__( )_(全英文.首字母大写)
解析: 。
答案: Portal。
第493、(填空题)在Linux系统中.文件'/var/log/( )冲记录了较为全面的系统日志信息,如系统启动期间的曰志、系统运行过程中的日志、系统带误日志等。(英文,全小写)
解析: 。
答案: message。
第494、(填空题)IPS设备中的_( )一用来描述网络中攻击行为的特征,通过将数据流与其进行比对来检测和防范攻击。(中文标准术语)
解析: 。
答案: 签名。
第495、(填空题)在Windows主机和Linux主机上都可以使用( )命令查看网络连接。(英文.全小写)
解析: 。
答案: netstat。
第496、(填空题)方式IPSec安全策略适用于对端IP地址不固定(例如对端是通过PPPoE拨号获得的IP地址)或存在多个对端的场景,一般用于总部的配置,可以简化配置工作量。(中文标准术语)( )
解析: 。
答案: 模板。
第497、(填空题)如果802.1 x客户端采用MD5加密方比则设备端用户的认证方式可配置为EAP或CHAP方式.如果802.1 x客户端采用PEAP认证方式。则设备端用户的认证方式可配置为( )(英文缩写.全大写)
解析: 。
答案: EAP-PEAP。
第498、(填空题)网络扩散功能根据对用户终端报文处理逻辑的区别,分为( )_路由模式、全路由模式和手动路由模式。(中文,标准术语)
解析: 。
答案: 分离。
第499、(填空题)如图所示,网关1处在NAT设备之后,为了保证网关X网关2都可以任意发起流量访问.需要存在一种机制保证MATig备的MAT会话不会超时,即NAT_( )__。(中文标准术语)
解析: 。
答案: 保持。
第500、(填空题)如果数据报文的较何内容元全一致(如载荷内容全为1等),则丢弃该报文。此种DDoS防御方式为( )
解析: 。
答案: 指纹技术。
第501、(填空题)使用网络扩展功能建立SSLVPN隧道的方式有两种,可靠传输模式和__( )_传输模式。(中文,标准术语)
解析:这道题核心考察对SSLVPN隧道建立方式的了解。“可靠传输模式”是常见的,填空“快速”传输模式,完善了两种不同的方式,有助于全面掌握相关知识。。
答案: 快速。
第502、(填空题)通过display eth-trunk可查看Eth-Trunk的配置信息及接口状态,其中STATC表示静态LACP模式,( )_表示手工负载分担模式。(英文,全大写)
解析:这道题核心考察对Eth-Trunk模式的了解。STATC对应静态LACP模式,填“NORMAL”对应手工负载分担模式,有助于区分不同模式,加深对相关配置的理解。。
答案: NARMAL。
第503、(填空题)在URL分类中,( )_URL分类是一个分类预置库,随设备出厂预置,无需用户手动加载,即可帮助用户对常见网站进行访问控制。(中文,标准术语)
解析:这道题核心考察对URL分类相关术语的了解。“预定义”这个填空体现了关键概念,表明是设备出厂就预置好的分类,突出其事先设定无需用户手动操作的特点。。
答案: 预定义。7
第504、(填空题)在带宽通道管理中_( )_字段是网络设备进行流量分类的依据。位于报文传输路径上的各个网络设备.可以通过该字段来区分流量·进而对不同的流量采取差异化处理。(英文缩写,全大写)
解析:这道题核心考察对带宽通道管理中流量分类依据的了解。“DSCP”这个答案是关键缩写,体现了专业术语的掌握,理解其能明确网络设备区分流量的依据,反映对相关知识的精准把握。。
答案: DSCP。
第505、(填空题)防火墙上存在两种类型的虚拟系统,分别是_( )_和虚拟系统。(中文,标准术语)
解析: 。
答案: 根系统。
第506、(填空题)URL的动作模式分别是严格模式和( )模式。(中文,标准术语)
解析: 。
答案: 松散。
第507、(简答题)如图所示.FW A通过主备两条链路连接FW
B,当主链路故障时,需要拆除旧的IPSec隧道1.与FWB的备份路建立IPSec隧道2,切换流量。在FWA上配置IKE检测机制,可以检测链路故障,从而拆除IPSec隧道。( )
解析: 。
答案: 心跳。
第508、(简答题)如图所示为CRE overlPSec的报文格式,IPSec采用ESP隧道封装模式,请将以下报文头与封装位置进行匹配。
解析: 。
答案: 新IP头------1 ESP头------2 GRE头------3原始报文头------4。
第509、(简答题)如图所示为CRE overlPSec的报文格式,IPSec采用ESP隧道封装模式,请将以下报文头与封装位置进行匹配。
ipv4display interdface
interface g0/0/0
system
authien
ip add 192.168.1.1 24
version header typeofservice totellenght
identificasatetions time 同LIbve TTL
Porcaltoal
framement div=1 or =1
df mf
分片
收到为0的报文数据片
