深信服 SCSA 认证模拟题（二）

深信服SCSA认证模拟题（二）1.IP数据报文在网络层选路时，是基于下列哪个原则?（）[单选题]*A.最长匹配(正确答案)B.最短匹配C.模糊匹配D.路由表序列匹配2.在一个C类网段中要划分出32个子网，下面哪个掩码最合适?（）[单选题]*A.52B.48(正确答案)C.40D.553.SNMP依赖于下列哪种协议工作?（）[单选题]*A.IPB.ARPC.TCPD.UDP(正确答案)4.IP报文头部中有一个TTL字段，关于该字段的说法正确的是?（）[单选题]*A.该字段长度为7位B.该字段用于数据包分片C.该字段用于数据包防环(正确答案)D.该字段用于标记数据包的优先级5.下列关于trunk端口与access端口描述正确的是?（）[单选题]*A.Access端口只能发送untagged帧(正确答案)B.Access端口只能发送tagged帧C.Trunk端口只能发送untagged帧D.Trunk端口只能发送tagged帧6.关于RIP协议，下列描述正确的是?（）[单选题]*A.路由器不可能发送跳数为16的路由器条目给它的直连邻居B.路由器可能会收到直连邻居发送的跳数为16的路由条目，但收到后会立即丢弃，不再做任何别的处理C.路由器可能会收到直连邻居发送的跳数为16的路由条目，收到后会利用它来更新自己的路由表(正确答案)D.路由表可能会发送跳数为16的路由条目给它的直连邻居，但直连邻居收到后不会利用它来更新自己的路由表7.如果希望一台DHCP客户机总是获得一个固定的IP地址，那么需要在DHCP服务器上为其设置什么?（）[单选题]*A.IP作用域B.IP地址的保留(正确答案)C.DHCP中继代理D.IP地址的限制8.关于HTTP响应状态码302说法正确的是?（）[单选题]*A.网页重定向(正确答案)B.服务器错误C.找不到网页D.请求成功9.下列哪个是windows系统常用的DNS测试的命令?（）[单选题]*A.nslookup(正确答案)B.ipconfigC.route-nD.tracert10.下列关于网络安全的描述正确的是?（）[单选题]*A.计算机网络环境下的信息安全(正确答案)B.物理安全中的一部分C.网络安全不属于信息安全组成部分，需要单独对待D.技术手段可以完全杜绝网络安全事件11.下列关于溢出类型攻击的防范哪个方法是错误的?（）[单选题]*A.填充数据时计算边界B.使用没有缓冲区溢出问题的函数C.基于探测方法的防御D.可在堆栈上执行代码的防御(正确答案)12.为了避免冒名发送数据或发送后不承认的情况出现，可以采用的办法是?（）[单选题]*A.访问控制B.数字签名(正确答案)C.数字水印D.发电子邮件确认13.关于IPSECVPN以下说法错误的是?（）[单选题]*A.对于IPv4，IPsec是可选的，对于IPv6，IPsec是强制实施的B.IPsec提供对IP及其上层协议的保护C.IPsec是一个单独的协议(正确答案)D.IPsec安全协议给出了封装安全载荷和鉴别头两种通信保护机制14.下列关于IPSECVPN中AH服务与ESP服务的说法错误的是?（）[单选题]*A.ESP主要可以提供完整性，数据保密，数据源认证等服务B.AH可以提供数据完整性，数据源认证，抗重放攻击服务C.采用ESP服务保护的VPN隧道机密性较高所以IPSECVPN中通常使用ESPD.采用AH服务保护的VPN隧道有较强的完整性保护，可以保护整个IP头部以及负载的完整性(正确答案)15.下列关于IPSECVPN建立第二阶段说法正确的是?（）[单选题]*A.出站策略为对端子网ip，入站策略为本端子网ipB.出站策略为本端子网ip，入站策略为对端子网ip(正确答案)C.只需要配置出站策略，入站策略无需配置D.只需要配置入站策略，出站策略无需配置16.关于SANGFORDLAN设备，下面哪种情况是完全免费的?（）[单选题]*A.SANGFORDLAN设备与SANGFORDLAN设备之间对接(正确答案)B.SANGFORDLAN设备与华为的VPN设备对接C.SANGFORDLAN设备与深信服PDLAN互联D.SANGFORDLAN设备以网关多线路模式部署17.某用户总部VPN网关部署，出口有双线路，公网地址分别为:5和6，用户希望VPN连接时，两条线路能自动选路，那么总部VPN基本配置中，WEBAGENT该如何填写?（）[单选题]*A.5#6:4009(正确答案)B.6:4009C.5:4009D.5;6:400918.某用户总部和分支均通过ADSL拔号上网，用户要分支和总部建立SNAGFORVPN连接以实现两端内网互访，以下说法正确的是?（）[单选题]*A.SANGFORVPN无法实现客户的需求，需要改为标准IPSECVPN实现B.SANGFORVPN可以实现客户的需求，分支出口直接做TCP4009的端口映射即可C.SANGFORVPN可以实现客户的需求，通过WEBAGENT动态寻址实现(正确答案)D.拨号环境，公网地址不固定，分支无法找到对端的正确IP，无法实现，需要客户申请固定IP19.SANGFORVPN协议默认端口是?（）[单选题]*A.TCP4009和UDP4009(正确答案)B.TCP4430和UDP4430C.TCP4500和UDP4500D.TCP4007和UDP400720.SANGFORVPN支持远程出差员工连接总部VPN吗?（）[单选题]*A.支持，但是需要总部是固定公网IPB.支持，而且不需要总部是固定公网IP(正确答案)C.支持，不需要下载客户端软件D.不支持21.IPSEC的数据加密协议是（）。[单选题]*A.AHB.DOIC.IKED.ESP(正确答案)22.下列选项中关于AC设备在应用特征识别技术中，深度行为检测之所以和传统行为检测不同，是因为增加了对什么的检测?（）[单选题]*A.链路层头部B.IP头部C.传输层协议头部D.数据内容(正确答案)23.客户购买了一台AC设备，想用来做上网审计和行为管控，同时又不希望对网络造成太多改动，以下哪种部署模式可以满足用户的需求?（）[单选题]*A.路由模式B.单臂模式C.网桥模式(正确答案)D.旁路模式24.关于AC的旁路模式，下列说法错误的是?（）[单选题]*A.旁路模式下，可以对用户的上网行为做审计B.旁路模式下，至少需要配置两个接口，一个为管理口一个为镜像口C.旁路模式下，需要将客户交换机配置数据镜像接口，将要监控的流量镜像给设备D.旁路模式下，设备可以针对TCP和UDP应用做阻断控制(正确答案)25.关于网桥模式设备无法上网，下面排查措施不合理的是?（）[单选题]*A.网线是否接反B.网关是否指向靠近出口方向的设备C.检查设备策略，开启直通测试是否有拦截(正确答案)D.设备上DNS是否填写正确，网桥IP是否可用26.关于端口映射排查思路，以下错误的是?（）[单选题]*A.检查AC到WEB服务器的访问是否正常B.检查AC设备的端口映射配置C.检查AC设备的代理上网配置(正确答案)D.检查内网PC到WEB务器的访问是否正常27.AC设备在什么模式部署下有虚拟IP重定向?（）[单选题]*A.路由模式部署B.网桥模式部署(正确答案)C.旁路模式部署D.所有模式都有28.关于“密码认证页面”无法正常弹出，下面排查不合理的是?（）[单选题]*A.网桥部署虚拟地址是否跟内网冲突，PC浏览器是否做了上网代理B.是否启用未通过认证的用户允许访问dns服务C.上网策略是否拒绝了拒绝http应用和dns应用D.检查设备URL识别库是否已过期(正确答案)29.跨三层环境下，为什么AC需要启用跨三层取MAC功能?（）[单选题]*A.经过三层设备后，源MAC地址改变了(正确答案)B.经过三层设备后，目标MAC地址改变了C.经过三层设备后，源MAC和源IP都改变了D.经过三层设备后，目标MAC和目标IP都改变了30.以下外部认证方式AC不支持的是?（）[单选题]*A.LDAP服务器B.RADIUS服务器C.POP3服务器(正确答案)D.微信认证31.用户使用行为管理AC设备做网站封堵，发现部分https的网站依旧可以访问，下面排查合理的是?（）

①URL库是否更新到最新版本

②该https网站是否在应用识别库或URL规则库中

③策略是否配置正确

④该用户是否在全局排除地址中[单选题]*A.①③B.②③④C.①③④D.①②③④(正确答案)32.下列关于AC封堵https和http网站的相同点说法正确的是?（）[单选题]*A.都是通过获取服务器的标识进行封堵HTTP和HTTPS网站(正确答案)B.都是获取三次握手后的GET请求包中的HOST字段来识别服务器C.针对封堵行为，都是先发送重定向包，再发送RSTD.针对封堵行为，HTTPS是先发重定向包，再发送RST;HTTP是直接发送RST结束TCP连接不发送重定向包33.下列关于防共享功能的说法正确的是?（）[单选题]*A.可以只封堵通过代理上网的终端,不封堵代理PC本身B.对公共账户无效C.可以选择封堵用户还是封堵IP(正确答案)D.对全局排除的地址有效34.以下关于终端管理的说法错误的是?（）[单选题]*A.Android平台支持识别具体终端型号B.IOS不区分具体的型号版本C.软件特征检测不支持WebQQ等，只支持客户端D.同种手机型号的手机不支持识别(正确答案)35.关于AC的流控管理系统，说法错误的是?（）[单选题]*A.AC的流量管理系统功能，能对重要的应用进行带宽保障B.AC的流量管理功能，能基于用户和应用做不同的流量策略C.AC的流量管理功能，能对某些应用做排除D.AC的流量管理系统在网桥和旁路模式部署下不可用(正确答案)36.下面关于流控管理的惩罚通道说法错误的是?（）[单选题]*A.惩罚通道要按应用来匹配，一个用户流量可以跑到多个惩罚通道B.惩罚通道只能是限制通道C.惩罚通道可以建立多个子通道D.流量管控系统中，没有匹配上惩罚通道的流量继续走原有的通道配置流程(正确答案)37.关于AC上网审计策略描述，错误的是?（）[单选题]*A.可以审计用户发贴内容B.可以审计用户上网产生的流量C.可以审计用户通过HTTP下载的文件内容(正确答案)D.可以审计用户上网时长38.下列关于AC设备SSL内容识别配置时，需要填写被识别的网站URL，那么下列说法正确的是?（）[单选题]*A.可以使用通配符，例如*.B.一行如果有多个域名，使用”;”隔开C.一行只能写一个域名(正确答案)D.一行如果有多个域名，只能使用空格隔开39.以下关于行为感知系统软件BA2.0说法错误的是?（）[单选题]*A.行为感知系统数据分析部分采用软件B.行为感知系统数据采集部分采用硬件C.软件要求支持WindowsServer2012及之后的服务器操作系统(正确答案)D.行为感知中文安装支持在简体中文和繁体中文操作系统上运行40.下列关于深信服下一代防火墙NGAF透明接口的特点说法正确的是?（）[单选题]*A.透明接口支持路由转发B.透明接口是虚拟出来的接口，不是物理接口C.透明接口根据MAC地址表转发数据(正确答案)D.透明接口透明接口没有内外方向之分41.某用户内网有服务器群，服务器均配置公网IP地址，提供所有用户直接通过公网IP地址接入访问。内网用户使用私有地址，通过NAT转换上网。希望将NGAF设备部署在公网出口的位置，保护服务器群和内网上网数据的安全。请问以下哪种部署模式最适合用户网络?（）[单选题]*A.透明模式部署B.旁路模式部署C.混合模式部署(正确答案)D.路由模式部署42.配置NGAF聚合接口时，下列哪种接口类型不支持聚合?（）[单选题]*A.路由B.镜像(正确答案)C.虚拟网线D.透明43.43关于深信服NGAF透明接口和虚拟网线接口的区别说法错误的是?（）[单选题]*A.虚拟网线接口的转发性能高于透明接口B.透明接口支持路由转发，虚拟网线接口不支持(正确答案)C.透明接口和虚拟网线接口都是通过MAC表来转发数据D.透明接口和虚拟网线接口都属于交换接口44.以下哪项是AF僵尸网络防护误判排除的合理方式?（）[单选题]*A.发现某个终端流量被AF僵尸网络规则误判，可以在全局地址排除功能模块下添加该终端IP，那么此IP将不受僵尸网络策略的拦截(正确答案)B.发现某个规则引起的误判拦截所有内网终端流量，可以在【安全防护对象】-【僵尸网络规则库】找到指定规则禁用后，所有僵尸网络策略都不会对此规则做任何拦截动作C.发现某个终端的流量被AF僵尸网络规则误判，可以在僵尸网络功能模块下排除指定IP，那么此IP将不受僵尸网络策略的拦截D.发现某个终端流量被AF僵尸网络规则误判，可以直接在内置数据中心中，查询僵尸网络日志后使用“添加例外”排除45.下列关于僵尸网络说法错误的是?（）[单选题]*A.僵尸网络是控制者出于恶意目的，传播僵尸程序控制大量主机，并通过一对一的命令与控制信道所组成的网络(正确答案)B.僵尸网络可以用来做DDOS攻击C.僵尸网络可以用来进行路由表投毒D.僵尸网络的检测原理一般可分为:行为特征检测、bot行为仿真与监控和流量数据特征匹配46.开启NGAF直通模块后，以下哪个功能还生效?（）[单选题]*A.内容安全中的应用控制策略B.入侵防御IPS策略C.地址转换(正确答案)D.流量控制47.某客户希望通过NGAF实现防护SSH和RDP的暴力破解，请问此功能在哪个模块中配置?（）[单选题]*A.僵尸网络B.实时漏洞分析C.WEB应用防护D.IPS(正确答案)48.以下关于NGAF的IPS策略配置与安全防护对象规则的说法，正确的是?（）[单选题]*A.IPS策略检测攻击后操作设置为拒绝，规则设置为"启用，检测后拦截"，则匹配到该规则的行为会被拦截(正确答案)B.IPS策略检测攻击后操作设置为拒绝，规则设置为"启用，检测后放行"，则匹配到该规则的行为不会被放通C.IPS策略检测攻击后操作设置为拒绝，规则设置为"启用，检测后放行"，则匹配到该规则的行为会被拦截D.IPS策略检测攻击后操作设置为允许，规则设置为"启用，检测后拦截"，则匹配到该规则的行为不会被放通49.DOS攻击不包括以下哪一种?（）[单选题]*A.ARP攻击(正确答案)B.Smurf攻击C.DNSFloodingD.UDPFlooding50.对于IDS和IPS的区别以下说法正确的是?（）[单选题]*A.IDS一般采用特征识别的方法，丢弃实时攻击的数据;IPS不但可以丢弃实时的攻击数据，也能记录攻击行为，以备审计B.IDS一般以串联的方式部署，IPS一般以旁路的方式部署C.IDS只能检测不能阻断，IPS既可以检测也可以阻断(正确答案)D.IDS阻断攻击的能力比IPS强51.下列关于NGAF实时漏洞分析技术说法错误的是?（）[单选题]*A.实时漏洞扫描依赖应用识别结果，需要此功能正常运行建议先开通应用识别库序列号B.实时漏洞分析功能不支持集中管理C.实时漏洞分析功能不支持UDP协议分析D.实时漏洞分析功能仅支持标准端口的服务(正确答案)52.SSL