HCIP-Security理论考试题库（答案）

（新版）HCIP-Security理论考试题库及答案

一、单选题

1.某企业为了让某企业为了让EMAILxERP等应用在正常工作时间内不受到影响,

希望此流可获得的最小带宽不少于60mbpso

A、time^rangework_time

Period-range09:00:00tol8:00:OOworking-day

Traffic-policyprofiIe_emaiI

Bandwidthguaranteed-bandwidthwholeboth60000

Rulenamepolicy_emaiI

Source-zonetrust

Destination-zoneuntrust

ApplicationappBT

ApplicationappYouKu

Time^rangeworktime

ActionqosprofiIeprofile_emaiI

B、time-rangework_time

Period-rangeOO:00:00to09:00:OOworking-day

Traffic-policyprofiIe_emaiI

Bandwidthguaranteed-bandwidthwholeboth60000

Destinatior）-zoneuntrust

ApplicationappLotusNotes

ApplicationappOWA

Time〜rangework_time

ActionqosprofileprofiIeemaiT

C>time〜rangework_time

Period-range09:00:00to18:00:OOworking-day

Traffic-policyprofileemail

Bandwidthguaranteed-bandwidthwholeboth60000

Rulenamepolicy_emaiI

Source-zonetrust

Destinatior)-zoneuntrust

ApplicationappLotusNotes

ApplicationappOWA

Time"rangework_time

ActionqosprofileprofiIeemaiI

D、time〜rangework_time

Period-range09:00:00to18:00:OOworking-day

Traffic-policyprofile_emaiI

Bandwidthmaximum-bandwidthwholeboth60000

Destinatior)-zoneuntrust

ApplicationappLotusNotes

ApplicationappOWA

Timerangework_time

Actionqosprofileprofile_emaiI

答案：c

2.实现实现USG6000防火墙的双机热备功能，不需要以下哪种协议？0

A、HRP

B、VRRP

C,VGMP

D、IGMP

答案：D

3.如果使用SSLVPN提供文件共享功能，共享目录下的所有文件对终端用户都是

可见的。对于文件共享路径的配置，下列哪项描述是正确的？（）

AxSMB类型资源的格式为〃IP地址（主机名）/共享文件夹。SMB类型资源路径可以

是多级共享文件来目录

B、NFS类型资源的格式为〃IP地址（主机名）/dirl/dir2/共享文件夹。NFS类型

资源路径只能有一级共享文件

夹目录

C、Windows系统下文件共享资源选择SMB

DvLinux系统下文件共享资源选择SMB

答案：C

4.关于防火墙带宽策略，下列哪项说法是错误的？（）

A、对于最大带宽和连接数限制，子策略不能大于父策略

B、在同一组父子策略中，不能引用同一个带宽通道

C、如果带宽管理与源NAT功能同时使用，配置宽策略的源地址/地区匹配条件时

应指定转换前的地址

D、如果带宽管理与源NAT功能同时使用，配置带宽策略的源地址/地区匹配条件

时应指定转换后的地址

答案:D

5.下列哪条命令在华为USG6000系列防火墙中表示不限流？0

A、no-qos

B、no-car

C、no-profiIe

D、no-limit

答案：A

6.网络扩展功能建立SSLVPN隧道的方式有两种可靠传输模式和快速传输模式。

下列对于这两种方式描述错误的是哪项？0

A.可靠传输模式中，SSLVPN采用SSL协议封装报文，并以TCP协议作为传输协议

B、快速传输模式中，SSLVPN采用QUIC(QuickllDPInternetConnections)协议封装报

文，并以UDP协议作为传输协议

C、可靠传输模式中，远端用户在传输数据前需要与虚拟网关建立SSLVPN隧道

D、快速传输模式中，远端用户在传输数据前不需要与虚拟网关建立SSLVPN隧道

答案：D

7.关于防火墙开启虚拟化功能的配置命令，以下哪个选项是正确的？0

A、vsysenable

B、vsysnameenable

C、vsys

D、vsys-viewenable

答案：A

8.某用户希望限制/24网段的最大带宽为500M,并且限制网段内的所

有IP地址一直保持1M的带宽。以下哪些配置可以完成此需求？()(D)

A、配置每IP限流，设置/24网段的主机最大带宽为500M

B、配置整体限流，限制/24网段的最大带宽为500M

C、配置整体限流，限制/24网段的最大带宽为500M

D、配置每IP限流，限制/24网段所有IP地址的保证带宽为1M答案：

B

9.每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束，即符合该带

宽策略匹配条件的流量，独享最大带宽资源。以下哪个选项属于这种带宽通道

的引用方式？(

A.带宽复用

B、动态均分

C、策略共享

D、策略独占答案：D

10.下列对于网络扩展的工作过程描述错误的时哪项？()

A、触发网络扩展功能后，首先需要远程用户与虚拟网关之间会建立一条SSLVPN

隧道

B、远程用户本地PC会自动生成一个虚拟网卡，虚拟网关从地址池中随机选择一

个IP地址，分配给远程用户

的虚拟网卡

C、远程用户虚拟网卡获得私网IP地址后，需要手动配置到达内网服务器的路由，

才能正常访问内网资源

D、远程用户向企业内网的SERVER发送业务请求报文，该报文通过SSLVPN隧道到

达虚拟网关

答案：C

11.关于服务器负载均衡技术，在防火墙上执行的命令和得到的输出如下：

以下说法正确的是？()

A、该负均衡策略启用了服务健康检查功能，采用的检测报文是TCP报文

B、该负载均衡策略采用的是加权轮询算法

C、该负载均衡策采用的是加权最小连接算法

D、该负载均衡策的真实服务器均属于强制不可用状态

答案：B

12.下列哪些命令不属于IPSec故障排错时常用的命令？()

A、displayipsecstatisties

B、displayIpsecsession

C、display!kesa

D、displayIpsecsa

答案：B

13.下列关于IPSec说法错误的是哪项？()

A.传输模式下，ESP不对IP数据包头进行验证

B、AH只能验证数据报文不能对其进行加密

C、ESP可以支持NAT穿越

D、AH协议使用3DES算法进行数据验证

答案：D

14.下列协议报文默认情况下不可以在IPSec隧道中传播的是哪一项？()

TCP

B、UDP

C、ICMP

D、IGMP

答案：D

15.关于服务器负载均衡，可以依靠下列哪一种技术实现感知服务器状态的变

化，

保证用户请求不会被发送到故障服务器上？()

A、VGMPHelIo报文

B、VRRP报文

C>DPD

D、服务健康检查

答案：D

16.关于虚拟系统的描述，哪个是错误的？()

A、NGFW土存在根系统和虚拟系统两种类型的虚拟系统

B、NGFW土缺省存在的一个特殊的虚拟系统叫做根系统

C、在NGFW上划分出来的、独立运行的逻辑设备叫做虚拟系统

D、若虚拟系统功能未启用，根系统就不存在

答案：D

17.虚拟系统和VPN实例关系，以下哪个选项的描述是错误的？()

A.创建虚拟系统时，会自动生成相同名字的VPN实例

B、拟系统底层转发依赖于自动生成的VPN实例，上层配置业务时无需与vpn实例

挂钩

C、自动生成的VPN实例和手工配置的vpn实例一样，都需要在接口下绑定vpn实

例

D、管理员也可使用ipvpn-instance命令手动创建VPN实例，用于路由隔离答案：

C

18.某企业组网如图所示，其中USG_A与USG_B上配置了双机热备，USG_A为主设

备。管理员想在防火墙上配置SSLVPN使分支机构员工可以通过SSLVPN访问总部。

该SSLVPN的虚拟网关地址应该为什么？()

A>202,38.10.2/24

B、/24

C、/24

D、/24

答案：c

19.在IPSecVPN中，以下哪个报文信息不存在？()

A.AH报文头

B、AH报文尾

C、ESP报文头

D、ESP报文尾

答案：B

20.某大型企业有三个部门，市场部，研发部和销售部，每个业务部门都有自己

的内部资源，公司希望每个部门出差员工使用SSLVPN访问内网资源时，能够根据

需求为不同部门的员工分配不同的资源访问权限，并相互隔离，该如何解决此问

题？

A、为不同部门的员工分配不同角色

B、通过防火墙单臂组网解决

C、通过防火墙双臂组网解决

D、防火墙上创建多个虚拟网关，每个业务部门独立使用自己的虚拟网关对外提

供SSLVPN接入服务

答案：D

21.如果防火墙工作在二层，与内网之间直连或通过二层交换机相连，以下哪个

选项不可以作为策略路由的匹配条件？()

A、IP地址

B、MAC地址

C、入接口

答案：B

D,DSCP优先级

22.使用策略路由修改下一跳地址后，流量没有按照策略路由转发，以下哪个选

项的说法是错误的？（）

A、策略路由有没有提交生效

B、接口的IP地址没有配置正确

C、匹配的源安全区域不正确

D、没有放行域间流量

答案：C

23.用户在使用网络扩展功能时不能访问内网资源，下列哪些选项不是该故障的

可能原因？（）

A.用户PC的虚拟网卡上有没有获取到虚拟IP地址

B、防火墙与内网服务器间路由不可达

C、用户连接超时

D、虚拟IP地址与FW的接口地址、内网服务器地址、DHCP地址池地址冲突

答案：C

24.华为LogCenter产品采用分布式部署组网时，日志采集器和分析器安装在不

同的物理服务器上，一台分析器最多可管理多少台采集器？0

A、13

B,14

C、15

D、16

答案：C

25.在L2TPoverIPSec应用场景中，华为USG6000产品会对原始数据报文先使用

IPSec进行封装,再用L2TP封装该数据报文。（）

A.对

B、错

答案：B

26.如下图所示为L2TPoverlPSec应用场景，下列关于IPSec保护数据流的配置

正确的是哪项？（）

LNS

NetworkA

/24

LAC客户端

A、[LNS]acInumber2001[LNS-acI-basic-2001]ruIepermitudpsourcel0.

0.0.255

B、[LNS]acInumber3001[LNS-acI-adv-2001]ruIepermitsourcel0.0.0.

255destinationlO.10.

2.055

C、[LNS]acInumber3001

[LNS-acI-adv-2001]ruIepermittcpsource-portl701

D>[LNS]acInumber3001[LNS-acI-adv-2001]ruIepermitudpsource-porteql701答案：D

27.服务器负载均衡技术利用Server-map表和会话表实现虚拟服务器和实服务器

的映射，请问生成的是什么类型的$erver-map表？()

A、NATNO-PAT

B、转发QQ/MSN、TFTP等STUN类型协议

C\静态Server-map表

D、动态Server-map表

答案：C

28.关于防火墙接口绑定VPN实例的配置，以下哪个选项是正确的？

A、ipbindingvpn-instancevpn-id

B>ipbindingvpn-instancevpn-instance-name

C、ipbindingvpn-id

D、ipbindingvpn-idvpn-instance-name

答案：B

29.智能选路的功能主要分为两部分，以下哪个选项的说法是正确的？()

A、当企业从不同ISP处获得多条带宽不等的链路时，为了充分利用各链路的带

宽，可以根据链路带宽负载分担进行智能选路

B、为了使用户获得最佳的访问体验，可以根据各链路的实时传输质量动态调整

流量的分配情况

C、可以有限使用某些链路传输流量，并利用其他链路作为备份链路或负载分担

链路，提高业务的可靠性

D、智能选路可以根据不同的需求实现基于全局选路策略的选路，也可以对服务可

用性、链路可用性或链路时延进行探测

答案：D

30.在根据链路优先级主备备份的选路方式中，如果没有开启过戴保护，当主链

路的链路出现拥塞时，会发生什么情况？（

A、自动启用备用链路分担流量

B、根据默认的过载保护值将流量分担到备用链路。

C、不启用备用链路，主链路继续转发流量

D、主备链路根据链路的优先级比值分担流量

答案：C

31.关于带宽限制的说法，哪个是错误的？（）

4、公网接口是特指华为USG6000产品连接Internet的接口

B、入方向（inbound）流量是指从公网接口流向私网接口的流量。受入方向带宽的

限制。

C、出方向（outbound）流量是指从私网接口流向公网接口的流量。受出方向带宽

的限制

D、虚拟系统的全部流量二入方向流量+出方向流量+私网接口到私网接口的流量

+公网接口到公网接口的流量

答案：A

32.配置完成防火墙双机热备后，在Web配置界面下，选择“系统”-“高可靠性”

-“双机热备”，单击“检查HRP配置一致性配置一致性”对应的“检查”按钮。

弹出提示窗口“一致性检查结果:发送失败"，以下哪一项配置可以解决该问题

（假设心跳接口已被加入DMZ区域）

A\security-policy

RulenametrustlocaI

Source-zonetrustIocaI

Bestination-zonetrustIocaI

Actionpermit

B、security-policy

Ruienametrust_dmz

Source-zonetrustdmz

Destinatior)-zonetrustdmz

Actionpermit

C、security-policy

Rulenameuntrust__dmz

Source-zoneuntrustdmz

Destinatior)-zoneuntrustdmz

Actionpermit

D、security-policy

RuienameIocaI_dmz

Source-zoneIocaIdmz

Destination-zoneIocaIdmz

Actionpermit

答案：D

33.SSLVPN采用B/S架构设计，远程用户终端上无需安装额外的客户端软件，直接

使用Web浏览器就可以安全、快捷的访问企业内网资源。()

对

B、错

答案：A

34.将整体最大带宽除以在线将整体最大带宽除以在线IP数量得到的值作为每I

P最大带宽。以下哪个选项属于这种带宽的分配方式？

A.带宽复用

B、动态均分

C、策略共享

D、策略独占

答案：B

35.如图所示为双机热备组网环境，共中备份组1和2加入VGMP管理组，USG_A为

主用设备，USG_B为备用设备。若USGA发生了故障，如断电等，USG_B状态会从

Slave切换为Master。造成该现象的原因是什么？()

A.两台防火造为负载分担方式，在同一备份组下配置为master,也配置了slave

B、USG_A故障恢后，其VRR备份组优先级没有及时恢复

C、在USGA从故障恢复后，心跳线发生故障

D、没有配置hrptrack

答案：C

36.在配置服务器负载均衡时，以下哪个选项不是必需的？()

A、服务器健康检查

B、负载均衡算法

C、虚拟服务器地址

D、实服务器地址

答案：A

37.一台防火墙设备可以创建多个虚拟网关，每个虚拟网关之间相互独立，互不

影响。管理员可以在虚拟网关下配置各自的用户资源和策略，进行单独管理。()

A.对

B、错

答案：A

38.关于虚拟系统中公网接口和私网接口的说法，以下哪个选项是错误的？()

A＞公网接口是指接口卜配置了setpubIic-interface命令的接口

B、私网接口是指未配置setpubIic-interface的接口

C、私网接口是指使用私有IP地址的接口

D、只有配置了公共接口，资源类中的带宽资源配置才会生效

答案：C

39.BFD默认报文发送间隔为多长？默认报文发送间隔为多长？()

A、300ms

B、1000ms

C、3s

D、500ms

答案：B

40.关于L2TPoverlPSec的报文封装顺序以下哪项是正确的？（）

A、从先封装到后封装的顺序是PPP>UDP>L2Tp>IPSec

B、从先封装到后封装的顺序是PPP>L2TP>UDP>IPSec

C、从先封装到后封装的顺序是IPSec>L2TP>UDP>PPP

D、从先封装到后封装的顺序是TPSec>PPP>L2TP>UDP

答案：B

41.在整机发生故障时，防火墙进行主备切换的时间为多长？（）

A.毫秒级

B、秒级

C、5个心跳报文的发送间隔

D、3个心跳报文的发送间隔

答案：C

42.用户使用SSL提供的业务访问内网的网络资源，管理员为用户开启了文件共

享和Web代理的业务，并且在防火墙上放行了业务的流量，但是用户在PC上输入

虚拟网关的地址后，在网页中看不到文件共享和Web代理的列表，下列哪些选项

是该故障的可能原因？（）

A、防火墙与客户端之间路由不可达

B、虚拟网关对外NAT的端口错误

C、用户PC的虚拟网卡上有没有获取到虚拟IP地址

D、管理员没有为用户配置文件共享和web代理的授权

答案：D

43.在双机热备与IP-Link联动的组网环境下（如下图所示），在主用防火墙的配

置中，以下哪项是实现IPTink与双机热备联动的关键配置？

A>hrpmirrorip-linkl

B、hrptrackip-linkl

C、hrptrackip-linklenabIe

D>ip-linkcheckenable

答案：B

44.下列有关接口带宽的说法，以下哪些选项是正确的？()

A、流量入接口时，丢弃超过了预先定义的接口带宽的流量

B、流量出接口时，接口带宽用于标记流量的优先级，作为后续队列调度的依据

C、受入接口带宽的限制，如果流量大于入接口带宽，将根据带宽通道中设置的

重标记DSCP优先级对流量

进行队列调度，保证高优先级的报文被优先发送

D、受入接口带宽的限制，如果流量大于入接口带宽，将根据带宽通道中设置的

转发优先级对流量进行队列

调度，保证高优先级的报文被优先发送

答案：D

45.如果建立IPSecVPN隧道的其中一方的IP地址不固定，则以下哪些配置方法

不能适用在该场景？()

A.策略模板

B、配置IKE时要求指定对端地址

C、野蛮模式下的Name认证

D、野蛮模式卜的pre-share-key认证

答案：B

46.下列哪一项不是带宽管理的目的？()

A、限制带宽

B、保证连接数

C、限制连接数

D、保证带宽

答案：B

47.在IKE第一"阶段的主模式协商过程中，以下哪一项是Messages和Messaged

的作用？()

A.运行DH算法

B、协商提议集

C、相互做身份认证

D、协商IPSecSA

答案：C

48.下列选项中对于SSLVPN会话恢复描述错误的是？()

A、采用会话恢复的方式用于减少SSL握手过程中造成的巨大开销

B、会话恢复只有在客户端和服务器端建立过会话后，再次重启会话才生效

C、会话恢复简化了整个SSL的握手阶段，能够快速进行数据传输

D、会话超时后，客户端和服务器端需要重新认证

答案：D

49.关于SSLVPN虚拟网关采用的认证方式，以下哪项描述是错误的？()

A、本地认证是指SSLVPN用户的用户名和密码保存在防火墙本地，在防火墙上完

成用户认证

B、服务器认证是指SSLVPN用户的用户名和密码保存在远端务器上，需要在服务

器上完成用户认证

C、证书匿名认证是指防火墙只通过验证客户端证书和密码的有效性来验证用户

的身份

D、证书挑战认证是指将验证客户端证书与本地认证或服务器认证结合起来答

案：C

50.在防火墙上创建了新的虚拟系统后，虚拟系统上不具备任何安全区域，需要

管理员自行规划配置。()

A.对

B、错

答案：B

51.关于Radius的认证流程，有以下几个步骤

1网络设备中的Radius客户端接收用户名和密码，并向Radius服务器发送认证请

求。

2用户登录USG等网络设备时，会将用户名和密码发送给Radius客户端。

3Radius服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给

Radius客户端。

以下哪个选项的顺序是正确的？0

A、1-2-3

B、2-1-3

C、3-2-1

D、2-3-1

答案：B

52.以下哪些选项不可以作为策略路由的匹配条件？()

A.源安全区域

B,入接口

C、DSCP优先级

D、下一跳地址

答案：D

53.华为UMA产品可采用逻辑串联的方式部署，关于这种部署方式的逻辑模式，

下列哪种说法是正确的？()

A.逻辑模式：人T从账号T授权T主账号T目标系统

B、逻辑模式：人T主账号T授权T从账号T目标系统

C、逻辑模式：授权T从账号T人T主账号T目标系统

D、逻辑模式：目标系统T从账号T授权T主账号T人

答案：B

54.使用Web页面登录SSLVPN网关，间隔一段时间后会自动退出可能的原因是V

PN网关的会话超时。()

A.对

B、错

答案：A

55.防火墙输出的威胁日志、内容日志、策略命中日志、邮件过滤日志、URL过滤

日志以及审计日志等全部属于下列哪种日志类别？()

A、会话日志

B、丢包日志

C、业务日志

D、系统日志

答案：C

56.如图所示为防火墙双机热备组网环境，在该组网环境中，以下哪条命令可以

保证设备自动调整如图所示为防火墙双机热备组网环境，在该组网环境中，以下

哪条命令可以保证设备自动调整VGMP管理组优先级，并自动进行主备切换？()

USGA

USGB

A、hrposfp-costadjust-enable

B、hrppreemptdeIay60

C\hrpinterfaceGigabitEthernetO/O/2

D、hrpauto-syncconfig

答案：A

57.在IKEvl协商中，关于野蛮模式与主模式的区别，以下哪项说法是错误的？

A、主模式在预共享密钥方式下不支持NAT穿越，而野蛮模式支持

B、主模式协商消息为6个，野蛮模式为3个

C、在NAT穿越场景下，对等体ID不能使用IP地址

D、主模式加密了身份信息的交换信息，而野蛮模式没有加密身份信息

答案：C

58.某公司网络管理员为保证较大业务流量的正常转发，利用两台防火墙实现双

机热备。如图所示，当配置完成后，发现当防火墙A发生故障时，故障前正在传

输的数据流发生了严重的丢包，但是故障后新传输的数据流可以正常工作。

造成现象可能的原因有哪些？（

/、在防火墙上配置的HRP抢占时间小于0SPF的收时间

B、没有配置根据HRP状态调整0SPF的COST值功能

C、在USG_B上没有配置会话快速备份功能,在来回路径不一的情况下无法正常转

发报文

D、未在防火墙上下行接口上启用HRPtrack

答案：C

59.华为WAF5000产品使用以下哪种技术来应对盗链、跨站请求伪造等特殊Web攻

击？()

/、签名匹配技术

B、行为状态链检测技术

C、非法链接过滤技术

D、异常状态跟踪技术

答案：B

60.当BFD会话状态处于Init时，以下哪个说法是正确的？()

A.会话刚刚创建

B、本端希望使会话进入Up状态

C、会话已经建立成功

D、会话处于管理性Down状态

答案：B

61.下列哪项是造成该故障的可能原因？()

A、网关和内网服务器间路由不可达

B、用户没有被分配到Web代理的资源

C、安全策略没有放行外网到内网服务器的流量

D、SSLVPN单臂部署旁挂在防火墙上，需要使用NAT将SSLVPN网关私网地址映

射为公网地址，地址映射错误

答案：B

62.用户在使用端口转发功能时，不能访问内网资源，下列哪项不是造成该故障

的可能原因？

A、端口转发功能没有启用

B、用户连接是否超时

C、安全策略没有放行流量

D、用户PC的虚拟网卡上有没有获取到虚拟IP地址

答案：D

63.开启智能选路会话保持功能后，当某个智能选路接口DOWN,该接口的所有流

量都将在其他智能选路接口上进行转发，当该接口重新UP以后，将出现什么问

题？

A、该接口不能转发流量

B、该接口流量提升非常缓慢

C、该接口不能参与智能选路

D、该接口物理状态为UP,协议状态为error-down需要手工加入智能选路答案：B

64.配置1P-LINK组发送检测报文的时间时,interval取值越大，越能减小设备

CPU的负担，但链路检测的灵敏度降低。（）

A.对

B、错

答案：A

65.关于GREOverlPSec的说法，下列哪项说法是错误的？（）

A、IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的

接口地址，目的地址即IP$ec对等体中应用IPSec安全策略的接口地址

B、IPSec需要保护的数据流为从GRE起点到GRE终点的数据流

C、GRE封装过程中增加的IP头即源地址为GRE隧道的源端地址，目的地址为G

RE隧道的目的端地址

D、当网关之间采用GREoverIPSec连接时，先进行IP$ec封装,再进行GRE封装答

案：D

66.IPSecVPN使用以下哪种加密方式对通信数据流进行加密？使用以下哪种加

密方式对通信数据流进行加密？

4、公钥加密

B、私钥加密

C、对称密钥加密

D、预共享密钥加密

答案：C

67.创建虚拟系统时，会自动生成相同名字的VPN实例。且系统会自动为其创建一

个逻辑接口，逻辑接口编号从哪一个数值开始？()

A、0

B、1

C、2

D、3

答案：B

68.IPSecVPN使用数字证书进行身份验证时，以下哪项是不需要用来检验数字证

书是否合法的？()

A、证书签名

B、CRL证书序列号

C、证书公钥

D、证书有效期

答案：C

69.以下哪个选项不属于智能选路的方式？()

A、基于全局选路策略选路

B、基于策略路由选路

C、基于ISP选路

D、基于链路质量选路

答案：D

70.关于关于IKEDPD说法，以下哪项是错误的？()

A.用于IKE邻居状态的检测

B、IKEPeer之间定时发送DPD报文

C、DPD的周期型检测模式:如果当前距离最后一次收到对端的IPSec报文的时长

已超过DPD空闲时间，则本端主动向对端发送DPD请求报文

D、DPD的按需型检测模式只在要发送加密报文前并且距离最后一次收到对端的I

PSec报的时长已超过DPD空闲时间时发送查询

答案：D

71.关于VRRP报文，以下说法正确的是？()

A、VRRP使用TCP报文

B、VRRP使用UDP报文

C、VRRP报文的目的地址是8

D、VRRP报文是单播报文

答案：C

72.在USG的系统视图下，需要删除hdal：/目录下的sslconfig.cfg文件，以下哪

条命令能完成该操作？（

A>cdhdal:/removessIconfg.cfg

B、cdhdal:/deletesslconfg.cfg

C、cdhdal:/rmdirsslconfg.cfg

D>cdhdal:/mkdirsslconfg.cfg

答案：B

73.华为UMA产品允许特定IP、特定账号的运维人员通过UMA平台去管理IT设

备，这属于下列哪一步骤？()

A.事前控制

B、事中监控

C、事后审计

D、维护准备

答案：A

74.如果采用了策略模板和子策略方式配置IPSec策略，防火墙会先应用策略模

板再应用子策略。()

A.对

B、错

答案：B

75.当需要同时使用AH和ESP进行报文封装时，IKE协商完成后，会建立几个S

A?0

A、1

B、2

3

D、4

答案：D

76.对WebLink的描述，以下哪项是正确的？()

A、WebLink功能适用于任何操作系统和浏览器

B、WebLink不会进行加密和适配，只“转发”远程用户的Web源请求

C、WebLink需要加密和适配的环节，因此业务处理效率较慢

D、WebLink需要加密和适配的环节，因此安全性更高

答案：B

77.某企业在网络中部署了华为USG6000系列防火墙，要实现用户通过Telnet/S

SH登录防火墙，而且该用户输入的每一条命令都要通过服务器授权才能执行。以

下哪种认证方式可以满足需求？()

A、Radius

B、LDAP

C>HWTACACS

D、AD

答案：c

78.双机热备中，备份通道必须是接口板上的主接口，不支持哪种类型？()

A、Ethernet

B、GigabitEthemet

C、El

D>Vlan-if

79.关于IKEvl主模式和野蛮模式下列哪一项说法是正确的？

A、野蛮模式下第一阶段的所有协商包都加密

B、主模式下第一阶段的所有协商包都加密

C、野蛮模式用到DH算法

D、无论协商成功与否，都将进入到快速模式

答案：C

80,流量最终从出接口发送时，受出接口带宽的限制。如果流量大于出接口带宽,

将根据下列哪项对流量进行队列调度，保证高优先级的报文被优先发送？（）

A.重标记DSCP优先级

B、转发优先级

C、带宽

D、策略匹配顺序

答案：B

A、对于多个真实服务器，真实服务器需处在同一网段和同一安全区域中

B、对于多个真实服务器，真实服务器可不在同网段中，但必须在同安全区域中

C、对于多个真实服务器，真实服务器可不在同一安全区域中，但必须在同一网

81.对于虚服务技术，以下哪些说法是正确的？（）

D、对于多个真实服务器，真实服务器所在的网段及安全区域不会影响负载均衡

段中

答案：C

功能

答案：A

82.管理员在华为USG6000产品上开起了虚拟系统功能并创建了唯一的一个虚拟

系统vaysa,若属于vsysa的用户想要访问根系统的某个服务器，则在虚拟系统

的出接口是哪个接口？0

A、Vlan-ifO

B、Virtual-ifO

C、Vlan-ifl

D、Virtual-if1

答案：B

83.管理员给虚拟系统管理员给虚拟系统vsysa分配接口G1/0/0时，发现分配失

败，不可能的原因是？0

A.G1/0/0□已经被分配给其他虚拟系统

B、该接口是个二层口，无法直接分配给虚拟系统

C、该接口已被加入其他虚拟系统的安全区域中

D、接口未处于UP状态

答案：D

84.在双机热备环境下，如果存在数据包来回路径不一致的现象，以下哪种情况

不会导致丢包？()

A、没有启用会话快速同步功能

B、心跳线带宽不足

C、关闭了状态监测功能

答案：C

D、指定错误的心跳线端口

答案：A

85.华为开启会话保持后，流量进行首次智能选路选择某接口链路后，华为USG6

000防火墙会生成相应的会话保持表项，新流量如果命中了该会话保持表项，则根

据表项中记录的出接口转发流量，这样能保证该用户的流量始终使用同一接口链

路转发，会话保持表项中记录的参数不包括下列哪个选项？()

A、源地址

B、目的地址

C、出接口

D、下一跳地址

答案：D

86.当服务器之间的性能差异较大，可以采用以下哪种算法进行负载均衡？()

A.简单轮询算法

B、加权轮询算法

C、最小连接算法

D、源HASH算法

答案：B

87.下列哪种状态表示BFD会话已经成功建立？()

A、Down

B、Init

C、UP

D、AdminlJp

答案：C

88.根据双机热备组网图，关于双机热备抢占功能，以下哪个说法是错误的？（）

Master

USG.A

USG_B

A、VRRP备份组本身具有抢占功能。如图，当USG_A出现故障并恢复后，USG_A

会使用抢占功能重新变为master状态

B、VRRP管理组的抢占功能和VRRP备份组类似，当管理组中出现故障的备份组故

障恢复时，管理组的优先级也将恢复

C、缺省情况下，抢占功能关闭

D、当VRRP备份组加入到VGMP管理组后，备份组上原来的抢占功能将失效，抢

占行为发生与否必须由VGMP管理组统一决定

答案：C

89.在双机热备组网中，配置在双机热备组网中，配置HRP心跳接口，如果指定了

对端心跳接地址，那么防火墙之间发送的VGMPHelloO报文是下列哪种类型的报

文？

A.单播报文

B、广播报文

D、UDP报文

C、组播报文

答案：A

90.以下哪种设备可以在虚拟的环境内对网络中传输的未知恶意文件进行检

测？

0

A^eSight

B>LogCenter

C>FireHunter

D、WAF

答案：C

91.双机热备中，多少个周期没有收到对端发送的HRPHELLO报文时，Slave端会

认为对端出现故障？()

A>1个

B、2个

C、3个

D、5个

答案：C

92.会话保持可以基于哪种算法实现？()

A.最小连接算法

B、源IPHASH算法

C、简单轮询算法

D、加权轮询算法答案：B

93.在华为USG6000防火墙上导入ISP地址文件后，指定出接口与某个运营商名称关联，则防火墙

会批量生成到此运营商网络的地址文件后，指定出接口与某个运营商名称关联，则防火墙会批量

生成到此运营商网络的ISP路由，以下哪些选顶对这种路由的描述是正确的？路由，()

A、源地址是1SP地址文件中的1P地址

B、下一跳是运营商网络的设备的地址

C、在路由表中显示的协议类型为UNR

D、路由优先级为60

答案：C

多选题

1.对于SSLVPN所支持的业务，以下哪项描述是正确的？()

A、Web代理业务实现了无客户端的页面访问。远程用户与防火墙虚拟网关之间建立HTTP会话，

然后防火墙虚拟网关再与Webserver建立HTTPS会话

B、文件共享业务将不同的系统服务器的共享资源以网页的形式提供给用户访问

C、端口转发是通过在客户端上获取指定目的IP地址和端口的UDP报文，实现对内网指定资源的

访问

D、网络扩展业务远程客户端将自动安装虚拟网卡获取虚拟地址，就像在局域网一样能够使用各

种业务，可以随意访问任意内网资源

答案：BD

2.华为USG6000系列设备在双机热备部署下发生主备切换时，会执行哪些动作？

0

A、USGB发送免费ARP报文

B、U$G_B发送代理ARP报文

C、VRRP备份组虚拟地址不可用

D、相关交换机收到ARP报文后，刷新MAC地址表，将流量引导至USGB

答案：AD

3.两台两台FW之间通过IPSec互联，在FW_A中执行dispIayikesa,结果显不

如下，下列说法正确的是哪些？（多选）（）

[USGA]displayikesa

conn-idpeerflagphasedoi

1RD|ST1IPSEC

2RDST2IPSEC

IPSecTunnel

A、FWA是IKE安全通道协商的发起方

B、FWB是IKE安全通道协商的发起方

C、防火墙之间的SA己经成功建立

D、防火墙之间的SA尚未建立成功答案：AC

4.对于SVN单臂组网场景，以下哪项描述是正确的？

4、单臂组网模式中，SVN单臂挂接在防火墙、路由器或交换机上，内网和Intemet都通过这个网

口与$VN进行通信

B、为了使用户能够访问SVN设备，SVN的IP必须为公网的P地址

C、防火墙上需配置NATSERVER,将SVN的地址映射到防火墙某一公网P上

D、防火墙上需要映射SVN的端口号为445

答案：AC

5.Radius双因子认证是指防火墙Radius服务器配合，对SSLVPN用户进行身份认证。认证时，

除了验证用户名和静态用户进行身份认证。认证时，除了验证用户名和静态PIN码，还要求用户

输入动态验证码。根据自己的数据库检查用户名和PIN码是否正确。对于后续过程描述哪些选项

是正确的？0

A.如果用户名和PIN码不正确，Radius服务向防火墙发送认证失败的消息

B、如果用户名和PIN码正确，Radius服务器向防火墙发送认证成功的消息

C、如果用户名和PIN码正确，则Radius服务器向防火墙发送Challenge消息、，请求动态验证码

D、如果用户名和PIN码不正确，Radius服务器客户端发送“非法的用户名、错误的密码或用户被

锁定”的提示信息

答案：AC

6.如图所示，BFD绑定静态路由，管理员在防火墙A上做了如下配置：[USG6000

A]bfd[USG6000A-bfd]quit[USG6000^A]bfdasbindpeer-ipl.1.1.2[USG6000_A-bfd-session~aa]discrimi

natorloca110[USG6000_A-bfd-session-aa]discriminatorremotel0[USG6000A-bfd-sessi

on-aa]mit[USG6000_A-bfd-session-aa]quit对于该段配置，以下哪些说法是正确的？()

A＞命令bfdasbindpeer-ipl.1.1.2用来仓ij建检测链路状态的BFD会绑定策略

B、该命令中[USG6000]bfd配置错误，应改为[US6000_A]bfdenable以便启用BF

D功能

C、[USG6000_A-bfd-session-aa]mit为可选项配置，如不配置系统将缺省提交配置并生成BFD会话日

志信息，但不建立会话表

D、防火墙上还需要将BFD会话与静态路由绑定的命令：[USG6000_A]iproute-st

aticO.0.0.00trackbfd-sessionaa

答案：AD

7.在配置IPSecVPN证书认证方式时，如果选择“RSA签名”方式认证，需要完

成下列哪些步骤的配置？()

A、上传CA证书

B、上传本地证书

C、上传对端设备证书

D、创建本端设备公私密钥对

答案:ABC

8.关于IKE的描述，以下哪项是正确的？()

AxIKE是UDP承载的一个协议,是IPSec的信令协议

B、IKE为IPSec协商安全联盟，并把建立的参数和安全联盟交给IPSec

C、IPSec使用IKE协商的SA对报文进行加密或验证处理

D、IPSec必须使用IKE进行密钥交换

答案：ABC

9.当IPSecVPN隧道建立失败时，管理员通过查看设备SA建立情况，发现设备之间IKESA没有建立

起来，以下哪些原因可能导致该故障？()

A.至打KE对等体的路由不可达

B、两端身份认证方法及算法不一致

C、两端IPSecproposa1配置不一致

D、本端的“对端网关”和对端的“本地地址”不匹配

答案：ABCD

10.华为USG6000产品资源分配支持以下哪些资源分配方式？()

A＞定额分配

B、自动分配

C、手工分配

D、不定额配

答案：AC

11.以下哪些场景可以实现带宽复用？()

A、多条流量匹配到了同一个带宽策略，多条流量之间可以实现带宽复用

B、多个带宽策略以策略共享的方式引用带宽通道，则匹配了带宽策略的多条流量之间可以实现

带宽复用

C、匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用

D、多个带宽策略以策略独享的方式引用带宽通道，则匹配了带宽策略的多条流量之间可以实现

答案：ABC

带宽复用

答案：ABC

12.某企业已经部署了某企业已经部署了eSight平台，此平台可管理以下哪些设备？()

A.门禁

B、存储设备

C、交换机

D、防火墙

答案：BCD

13.关于L2TPoverlPSecVPN,下列哪种说法是正确的？()

A>IP$ec报文触发L2Tp隧道

B、L2TP报文触发IPSecSA

C、L2TP隧道先建立

D、IPSec隧道先建立

答案：BD

14.如图所示为如图所示为BFDforOSPF的组网场景：FW_A、三台设备之间运行0SPF,互

为邻居。邻居状态到达FULL状态，并配置BFD与0SPF联动,BFD完成建立BFD会话。以下哪些说法

是正确的？()

A>当链路a出现故障，BFD首先感知，FW_A和FW_B会马上收敛

B、BFD能够提供秒级别的故障检测机制

C、BFD发现邻居Down事件后，设备之间重新进行路由计算，新的路由为链路b

D、当链路a发生故障时，OSPF自动收敛并通知BFD

答案：AC

15.以下哪些是带宽管理的限制元素？()

A.连接数

B、带宽

C、P2P协议数据流限制

D、IM协议数据流限制

答案:AB

16.在服务器负载均衡中，可以使用下列哪些报文进行健康检查？()

A、ICMP报文

B、UDP报文

CxTCP报文

DvDNS报文

答案：ACD

17.关于下面智能选路中的配置命令，下哪些选项的描述是正确的？()

#

MuIti-interface

Modepriority-of-link-quality

Priority-of-link-qualityparameterdelayjitterloss

Priority-of-link-qualityprotocoltcp-simpIe

AddinterfaceGigabitEthernetl/0/1

AddinterfaceGigabitEthernet1/0/2

A、使用的是基于带宽的负载分担方式

B、链路质量探测的参数有时延，抖动和丢包率

C、使用的TCP协议进行探测

D、选择了3条链路进行负载分担

答案：BC

18.某企业有研发（某企业有研发（）市场（marketing）财务（finance）三个部门。企业使用防火

墙的本地认证对各部门的员工进行用户认证，认证域为defauIt。通过认证的用户能够获得接入企

业内部网络的权限。现在企业希望员工出差时也能使用。通过认证的用户能够获得接入企业内部

网络的权限。现在企业希望员工出差时也能使用WebmaiI系统收发邮件，使用ERP系统办公。如

果使用SSLVPN接入网络，

该如何部署？

/、由于WebmaiI系统和ERP系统都可以使用WEB界面访问，因此为了实现出差员工访问企业内

部服务器的需求，需要配置SSLVPN的Web代理功能

B、可以根据部门属性将用户划分为不同的用户组，并为用户组授权不同的SSLVPN业务

C、防火墙上只需要放行外部用户访问SSLVPN虚拟网关的流量就可以实现出差员工使用Webmail

和ERP系统

D、如果出差员工使用WebmaiI发送文件，则需要开启文件共享功能才能实现答案：AB

19.以下哪些属于定额分配的内容？（）

SSLVPN虚拟网关

B、安全区域

C、接口

D、VLAN

答案：AB

20.下列哪些日志在防火墙中属于业务日志？（）

A、会话日志

B、病毒防御日志

C、系统日志

D、策略命中日志

答案:BD

21.IKEvl协商第一阶段主模式协商过程中包含下列哪些信息？()

A、IKE提议集

B、IPSec提议集

C、DH密钥交换公共信息

D、双方身份信息

答案：ACD

22.关于虚拟系统管理员的说法，哪些是正确的？

A、启用虚拟系统功能后，设备上已有的管理员将成为根系统的管理员

B、创建虚拟系统后，根系统管理员可以为虚拟系统创建一个或多个管理员

C、虚拟系统管理员可以进入根系统的配置界面，配置和查看业务

D、虚拟系统管理员用户名格式统一为“管理员名@虚拟系统名”

答案：AB

23.关于服务器负载均衡有以下配置：|

[USG]slb[USG-sIb]groupOtest

[USG-sIb-group-test]metrieweight-srehash

[USG-sIb-group-test]rserverlriplO.1.1.3weight32

[USG-sIb-group-test]rserverlriplO.1.1.4weightl6

[USG-sIb-group-test]rserverlriplO.1.1.5weight32

[USG-sIb]vserverltest

[USG-sIb-vserver-1]protocolany

[USG-sIb-vserver-11grouptest

以下哪些说法是正确的？

A、负载均衡算法为简单轮询算法

B、该配置是完整的负载均衡配置

C、根据weight值判断数据流流向哪一台服务器，weight值越小，对应真实服

务器处理能力越弱

D、负载均衡算法为加权会话保持

答案：CD

24.如图所示，远程用户使用Web代理访问内网资源，则下列选项对于Web代理分析错误的是哪

项？

/、图中Web代理使用的是WebLink方式实现的

B、如果要实现Web代理的功能，远程用户首先要与FW虚拟网关之间建立HTTPS会话

C、远程用户与FW虚拟网关建立HTTP的会话后，再与Webserver建立HTTPS会

D、WebLink的实现方式具有加密功能，因此可以保证远程用户安全访问内网资

源

答案：BCD

25.针对企业员工个人需求和企业策略遵从之间的矛盾，华为AnyOffice提供了

有效的平衡方案。移动安全和管理本质上要解决的问题是？

A■»数据不泄密(Privacy)

B、完整性(Integrity)

C、身份和设备可识别(Identity)

D、设备可管理(pliance)

答案：ACD

26.负载均衡实现了将访问同一个IP地址的用户流量分配到不同服务器上的功

能，其采用的主要技术有哪些？0

A.虚服务技术

B、服务器健康性检测

C、双机热备技术

D、负载均衡算法

答案:ABD

27.FW支持的探测报文协议类型包括？()

A、TCP

B、UDP

C>ICMP

D、DNS

答案:ACD

28.FW支持的负载均衡算法有？()

A.简单轮询算法

B、加权轮询算法

C、最小连接算法

D、源哈希算法

答案：ABC

29.关于Radius协议，以下哪些说法是正确的？

A、使用UDP协议传输Radius报文

B、认证和授权端口号可以是1812

C、使用Radius协议传输用户账号和密码时要对账号进行加密处理

D、认证和授权端口号可以是1645

答案：ABD

30.在华为在华为USG6000产品上有如下一段带宽策略配置命令：

[USG]traffic-policy

[USG-policy-traffic]profileclassl

[USG-policy-traffic-profile-classl]bandwidthmaximum-bandwidthwholebothlOOO

[USG-policy-traffic-profile-classl]bandwidthconnection-limitwholeboth

20

[USG-policy-traffic-profile-classl]quit

[USG-policy-traffic-rule-policyl]source-zoneuntrust

[USG-policy-traffic-rule-policylldestination-zonedmz

[USG-policy-traffic-rule-policyl]destination'addresslO.10.10.0mask255.

255.255.0

[USG-policy-traffic-rule-policyl]actionqosprofiledassl

[USG-policy-traffic-rule-policyl]quit

[USG-policy-traffic]rulenamepolicy2

[USG-policy-traffic-rule-policy2]source-zonenedmz

[USG-policy-traffic-rule-policy2]destination-zoneuntrust

[USG-policy-traffic-rule-policy2]destination^addresslO.10.10.5mask255.

255.255.255

[USG-policy-traffic-rule-policy2]actionno-qos

以下哪些说法是正确的？以下哪些说法是正确的？

A、访问目的地址为的主机时将会被限制连接数

B、访问目的地址为的主机时将不受带宽策略限制

C、访问目的网段/24时，将受到最大连接数为20的流量限制

D、访问目的网段/24时，将不会受到最大连接数为20的流量限制

答案：BC

31.华为SVN产品可应用于以下哪些场景？()

A＞终端到网络场景:SSLVPN

B、终端到网络场果:L2TPoverIPSec

[USG-poTicy-trafficlrulenamepolicyl

C＞终端到网络场景：IPSecVPN

D、终端到网络场景:GREoverIPSec

答案：ABC

32.在带宽管理整体流程中，流量首先匹配带宽策略，经过带宽策略的分流后，进入相应的带宽

通道进行处理。以下哪些选项是带宽通道的处理流程？()

A、丢弃超过了预先定义的最大带宽的流量

B、丢弃超过了预先定义的接口带宽的流量

C、限制业务的连接数

D、标记流量的优先级，作为后续队列调度的依据

答案：ACD

33.全局选路策略中的负载分担方式有哪几种？()

A、根