D、hash算法
205、防火墙进行Ant-birus和IPS的配置前需要完成下列操作:(多选) A、需要申请并激活license B、指定使用的病毒库、签名库 C、确认防火墙模式为UTM模式,启用UTM D、关闭防火墙链路状态检测机制
206、SVN产品虚拟网关,只能使用域名访问的是以下哪种虚拟网关类型: A、独占型 B、共享型 C、固定型 D、手动型
207、在传输模式IPsec应用情况中,以下哪个区域数据报文可受到加密安全保护: A、网络层及上层数据报文 B、原IP报文头 C、新IP报文头 D、传输层及上层数据报文
208、管理员可以通过以下几种方式升级USG防火墙软件版本:(多选) A、FTP B、TFTP C、HTTP D、SSH
209、为了使出差移动用户能访问企业内部文件服务器,可以采用以下哪个最优SSL VPN功能来实现: A、Web代理 B、文件共享 C、端口转发 D、网络扩展
210、在USG系列防火墙系统视图下,执行完命令reset saved-configuration后设备配置就会恢复到缺省配置,无需进行其他操作即可生效。----------------------------------F
211、关于防火墙域间转发安全策略的控制动作permit和deny,描述正确的是:(多选) A、permit指域间包过滤检查通过 B、deny指丢弃匹配该安全策略的报文 C、及时数据包匹配安全策略的permit动作,也不一定会被防火墙转发 D、报文不管是匹配安全策略的permit动作,还是deny动作,都会转到UTM模块处理 212、针对缓冲区溢出攻击的描述正确的是:(多选) A、缓冲区溢出攻击是利用软件系统对内存操作的缺陷,以高操作权限运行攻击代码 B、缓冲区溢出攻击是攻击软件系统的行为中最常见的一种方法 C、缓冲区溢出攻击是攻击软件系统的行为中最常见的一种方法 D、缓冲区溢出攻击属于应用层攻击行为 213、网关防病毒主要实现方式包括:(多选) A、代理扫描方式 B、流扫描方式 C、包查杀方式 D、文件查杀方式
214、在状态检测防火墙中,开启状态检测机制时,三次握手的第二个报文(SYN+ACK)到达防火墙的时候,如果防火墙上还没有对应的会话表,下面说法正确的是: A、如果防火墙安全策略容许报文通过,报文可以通过防火墙 B、如果防火墙安全策略容许报文通过,则创建会话表 C、报文一定不能通过防火墙 D、报文一定通过防火墙,并建立会话表
215、LNS在收到报文后,将会检查TCP目的端口是否为1701,如果是,则交给L2TP处理模块进行后续处理,如果不是,则按正常IP报文进行处理。-----------------F 216、在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效或无用。这是对()的攻击。 A、可用性 B、保密性 C、完整性 D、真实性
217、USG系列防火墙的Servermap表中三要素,不包括以下哪一项: A、目的IP B、目的端口号 C、协议号 D、源IP
218、USG产品端口转发是基于端口控制的访问内网资源的方式,适用哪种应用服务: A、TCP B、UDP C、TCP或UDP D、SPX
219、对称加密性算法和非对称加密算法对密钥的分发方式比较类似,都是通过把密钥发送给接收方进行信息的解密,发送方法可采用E-mail等方式。------------------F 220、数字证书不包括以下哪个部分: A、证书持有者名称 B、证书有效期 C、证书公钥 D、证书私钥
221、Web代理有哪些实现方式:(多选) A、Web-link B、Web改写 C、Web转发 D、Web透传
222、管理员通过Web进行USG设备初始化操作,以下说法正确的是:(多选) A、管理PC的浏览器访问http://192.168.0.1 B、管理PC的IP地址设置为192.168.0.2-192.168.0.254 C、管理PC的浏览器范围https://192.168.1.1 D、管理PC的IP地址设置为192.168.1.2-192.168.1.254.
223、USG系列防火墙的多个接口可以属于同一个安全区域。---------T
224、使用No-pat方式进行NAT转换,当所有外部IP地址均被使用后(使用NAT技术访问互联网应用场景),后续的内网用户如需上网将会发生什么情况:
A、挤掉前一个用户,强制进行NAT转换上网 B、后续的内网用户将不能上网 C、自动把NAT切换成PAT后上网 D、将报文同步到其他NAT转换设备进行NAT转换
225、IPsec使用模板方式也可以指定remote-address为地址段。---------T 226、以下哪种类型三层VPN在安全方面更有保证: A、GRE B、L2TP C、IP sec D、SSL
227、在同一种加密算法条件下,密钥长度越长需破解的成本也就越高。--------T 229、以下哪个技术可以实现某一密钥被破解后,不会影响其他密钥的安全性: A、数字证书认证 B、完善的前向安全性 C、身份验证 D、身份保护
230、针对IP欺骗攻击(IP Spoofing)描述正确的是:(选择3个答案) A、IP欺骗是利用了主机之间正常的基于IP地址的信任关系来发动 B、IP欺骗攻击成功后,攻击者可以使用伪造的任意IP地址模仿合法主机访问关键信息 C、攻击者需要把源地址伪装成被信任主机,并发送带有SYN标志的数据段请求连接 D、基于IP地址的信任关系的主机之一无需输入口令验证就可以直接登录 231、NAT技术可以通过对数据加密来实现数据安全传输。-------------------------F
232、在华为USG系列设备上,管理员希望擦除配置文件,希望下次启动采用缺省配置参数进行初始化,下面命令正确的是: A、clear saved-configuration B、reset saved-configuration C、reset current-configuration D、rest running-configuration
233、如果再FTP的场景下使用USG产品端口转发功能,内网服务器的映射端口号是: A、20 B、21 C、22 D、23
234、IPsec中如果想对新IP报文头做验证,需要使用哪种IPsec安全协议: A、AH B、ESP C、MD5 D、SHAT
235、如果一个企业新建一个网络,使用典型的网络设备(防火墙,交换机,路由器等),且管理员需要重新规划IP地址,为了支持更多的安全特性,推荐防火墙以太网接口工作在三层模式。------------------------------------------------T
236、以下哪类防火墙处理非首包的数据流转发效率最高: A、包过滤防火墙 B、代理防火墙
C、状态检测防火墙 D、软件防火墙
237、下列关于防火墙的域间安全策略,说法正确的是: A、域间安全策略按照排列顺序匹配,排列在前的优先匹配 B、域间安全策略按照ID号大小匹配,号码小的优先匹配 C、域间安全策略按照ID号大小匹配,号码打的优先匹配 D、域间安全策略按照讯号大小自动排列,当改变排列顺序,号码也跟着改变 238、针对ARP欺骗攻击的描述错误的是: A、ARP实现机制只考虑业务的正常交互,对非正常业务交互或恶意行为不做任务验证 B、ARP欺骗攻击只能通过ARP应答来实现,无法通过ARP请求实现 C、当某主机发送正常ARP请求时,攻击者会抢先应答,导致主机建立一个错误的IP和MAC映射关系 D、ARP静态绑定是解决ARP欺骗攻击的一种方案,主要应用在网络规模不大的场景 239、以下哪个选项不属于对称加密算法? A、DES B、3DES C、AES D、RSA 240、NAT ALG 是通过server-map表来实现动态翻译应用层信息。------------------T 241、有关VLAN Tag的处理,下列描述错误的是: A、当Trunk端口收到帧时,如果该帧不包含802.1Q Tag Header,将打上端口的PVID B、当Trunk端口发送帧时,当该帧的VLAN ID与端口的PVID不同时,直接丢弃;当该帧的VLAN ID与端口的PVID相同时,则透传 C、当Access端口收到帧时,如果该帧不包含802.1Q Tag Header将打上端口的PVID;如果该帧包含802.1Q Tag Header,交换机不做处理,直接丢弃 D、当Access端口发送帧时,剥离802.1Q Tag Header,发出的帧为普通以太网帧 242、关于NAT的说法错误的有:(选择两个答案) A、NAT Outbound是指对源IP地址进行转换,NAT Inbound是指对目的IP地址进行转换 B、NAT Inbound命令和NAT Server命令功能一致,可根据个人爱好进行选择配置 C、Outbound方向NAT可支持以下应用方式:一对一、多对多、多对一 D、NAT技术可支持多通道协议,如FTP等标准多通道协议 243、以下哪个属于多通道协议: A、FTP B、Telnet C、HTTP D、SMTP
244、IPsec IKE野蛮模式主要解决什么问题: A、解决隧道两端协商慢的问题 B、解决协商过程中的安全性问题 C、解决NAT穿越问题 D、解决因发起者源地址不确定而无法选择预共享密钥问题
245、二层交换机(未配置VLAN)在接收到一个数据帧时,如果未在MAC地址表中找到匹配项,则会向所有端口转发改数据帧(包括二层交换机接收端口)。-------------------F 246、USG系列防火墙IKE默认使用的是DH group2.----------------------------------F
247、主动攻击最大特点是对想窃取信息进行侦听,以获取机密信息,而对数据的拥有者或合法用户来说,对此类活动无法得知。-------------------------------------------------F 248、如果查看安全策略的匹配次数: A、display current-configuration B、display policy all C、display startup saved-configuration D、display device
249、针对入侵检测系统描述正确的是:(选择3个答案) A、入侵检测系统可以通过网络和计算机动态地搜集大量关键信息资料,并能及时分析和判断整个系统环境的目前状态 B、入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等,可以实施阻断操作 C、入侵检测系统包括用于入侵检测的所有软硬件系统 D、入侵检测系统可与防火墙、交换机进行联动,成为防火墙的得力“助手”,更好、更精确的控制外域间地访问
250、以下关于TCP协议的描述正确的是:(选择3个答案) A、发送主机端会在TCP报文封装时,确定一个初始号码,后续报文序号会依次的递增,接收端可以根据此序号来检测报文是否接收完整 B、接收端接收到TCP报文,通过检验确认之后会随机产生一个回应序号,发送端根据此序号确定报文被成功接收到 C、当发送报文时,发送端会对报文进行计算得出一个检验值并和报文一起发送,接收端收到报文后,会再对报文进行计算,如果得出的值和检验值不一致,则会要求对方重发该个报文 D、源端口号(Source port)和目的端口号(Destination port)用于标识和区分源端设备和目的端设备的应用进程 251、VPN隧道技术是指通过加密算法(如DES,3DES)来实现数据在网络中传输不被截取。-------------------------------------------------------------------F
252、在WLAN配置中,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。---------------------------------------------T
253、HRP会话快速备份时在首包创建会话时,立即将会话数据打包备份到对端,然后再将报文转发出去,保证了当回应的报文到达对端防火墙时,对端防火墙上已经接收到备份过来的会话数据并加入到会话表中。--------------------------------------------------T
254、USG产品网络扩展功能配置为全路由模式(Full Tunnel)后,内网用户只能访问企业内网资源。--------------------------------------------------------------T
255、SA接口卡可以工作在DTE(Data Terminal Equipment)和DEC(Data Circuit-terminal Equipment)两种方式。一般情况下,SA接口卡作为DTE设备,接受DCE设备提供的始终。------------------------------------------------T
256、在对USG系统防火墙配置时,不能向防火墙Local安全区域添加任何接口,因为防火墙接口本身就属于Local安全区域。--------------------------------------T 257、适合移动办公人员的VPN接入方式有:(选择3个答案) A、GRE VPN B、L2TP VPN C、SSL VLN D、L2TP over IPsec