华为认证 HCIA-Security 安全 H12-711考试题库（共800多题）

华为认证HCIA-Security安全H12・711考试题库一、单选题下列哪项不属于防火墙的日志格式？A、 二进制格式B、 netfIow格式C、 ASCII编码格式D、 Syslog格式答案：C关于数据包在iptables传输过程中的描述，以下哪个选项是错误的?A、 当一个数据包进入网卡时,它首先去匹配PREROUTING链B、 如果数据包的目的地址是本机，则系统会将该数据包发往INPUT链。C、 如果数据包的目的地址不是本机，系统把数据包发往OUTPUT链D、 如果数据包的目的地址不是本机，系统把数据包发往FORWARD链。答案：C缺省情况下，以下哪种服务是加密传输的？A、 sshB、 ftpC、 teInetD、 http答案：A相较于传统五元组信息，以下哪一项元素是下一代防火墙新增元素?A、 目的地址B、 源端口C、 应用D、 协议号答案：C关于GRE封装与解封装，以下哪项描述是错误的？A、 封装过程,原始数据包通过查找路由把数据包传递到Tunnel接口后触发GRE封装B、 封装过程，经过GRE模块封装后，此数据包将进入IP模块进行下一步处理C、 解封装过程，目的端收到GRE报文后，通过查找路由把数据包传递到Tunnel接口后出发GRE解封装D、 解封装过程，经过GRE模块解封装后，此数据包将进入IP模块进行下一步处理答案：C以下关于L2TP的描述，错误的是哪一项？A、 L2TP要应用在远程公场景中为出差员工远程访问企业内网资源提供接入服务。B、 无论出差员工是通过传统拔号方式接入Internet,还是通过以太网方式接入Internet,L2TPVPN都可以向其提供远程接入服务。CxPPP报文可以在在Internet直接传输-D、L2TP是一种用于承线PPP报文的隧道技术，答案：C针对IP欺骗攻击(IPSpoofing)的描述，以下哪项是错误？A、IP欺骗攻击是利用了主机之间正常的基于IP地址的信任关系来发动的B、IP欺骗攻击成功后，攻击者可使用伪造的任意IP地址模仿合法主机访问关键信息C、攻击者需要把源IP地址伪装成被信任主机，并发送带有SYN标注的数据段请求连接D、基于IP地址的信任关系的主机之间无需输入口令验证就可以直接登录答案：C8.如图所示，在传输模式下AH协议认证范围的区间是哪一段？DataIPAH TCPHeaderHeader HeaderA、1B、2C、3D、4答案：D9.SSLVPN不能加密下列哪项协议?A、HTTPB、UDPC、IPD、PPP答案：D问卷调查的设计原则不包括下列哪项？A、 完整性B、 公开性C、 具体性D、 一致性答案：B在Linux系统中，查询IP地址信息的命令是以下哪一项A、 displayipB、 ifconfigC、 ipconfigD、 dispIayipinterfacebrief答案：B关于操作系统的描述，以下哪项是错误的？A、 操作系统是用户和计算机之间的接口B、 操作系统负责管理计算机系统的全部硬件资源和控制软件的执行。C、 操作系统与用户对话的界面都是图形界面D、 操作系统本身也是软件答案：C关于SSLVPN技术，以下哪个选项说法是错误的？A、SSLVPN技术可以完美适用于NAT穿越场景B、SSLVPN技术的加密只对应用层生效

C、SSLVPN需要拨号客户端D、SSLVPN技术扩展了企业的网络范围答案：CVGMP组出现以下哪种情况时,不会主动向对端发送VGMP报文.A、 双机热备份功能启用B、 手工切换防火墙主备状态C、 防火墙业务接口故障D、 会话表表项变化答案：D下列关于双机热备的描述中错误的是？A、 无论是二层还是三层接口，无论是业务接口还是心跳接口，都需要加入安全区域B、 缺省情况下抢占延迟是60sC、 缺省情况下主动抢占功能是开启的D、 双机热备功能需要Iicense支持答案：D如图所示，使用C1ient-lnitiateD.VPN方式建立L2TPVPN时,下列哪项是PPP报文的终点？将动办公用户L2TPVPNfilifi将动办公用户L2TPVPNfilifiA、接入用户B、LNSC、 LACD、 服务器答案：B在TCP.IP协议栈中，下列哪项协议工作在应用层？（A、 IGMPB、 ICMPC、 RIPD、 ARP答案：C在TCP.IP协议栈中，下列哪项协议工作在应用层？A、 ICMPB、 IGMPC、 RIPD、 ARP答案：C如图所示，在传输模式中,AHHeader头部应该插入以下哪一顶位置?A、1TOC\o"1-5"\h\zB、 2C、 3D、 4答案：B如使用Client-lnitiated方式建立L2TPVPN时,下列哪项是报文的终点？A、 LNSB、 接入用户C、 服务器D、 LAG答案：A针对入侵检测系统的描述，以下哪项是错误的?.A、 入侵检测系统可以通过网络和计算机动态地搜集大量关键信息资料.并能及时分析和判断整个系统环境的目前状态B、 入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻态的痕迹等，可以实施阻断操作C、 入侵检测系统包括用于入侵检测的所有软硬件系统D、 入浸检测系统可与防火墙、交换机进行联动，成为防火墙的得力“助手”，更好，更精确的控制域间的流量访问答案：B以下哪一项不属于二层VPN技术？A、 PPTPB、 IPsecC、 L2TPD、L2F答案：B以下列哪一项不属于对称加密算法?A、 IDEAB、 RSAC、 AESD、 3DES答案：B以下哪种安全威胁属于应用安全威胁？A、 中间人攻击B、 用户身份未经验证C、 病毒、木马D、 网络入侵答案：C向全网发送一个ABP广播，请求主机C,的里MAC.地址。如图所示。主机A.访问主机C.时检查ARP表项中不存在目的地址的MAC地址表项，主机A.通过以下哪

种方式找到目的MAC.地址?A、 向全网发送一个ABP广播，请求主机C.的里MAC.地址。B、 向子网发送一个ARP广播，请求网关的MAC.地址。C、 查找主机C.的路由表。D、 向子网发送一个ARP广播，请求主机C.的MAC.地址。答案：B某公司员工通过防火墙访问公司内部的Web服务器，使用浏览器可以打开网站的网页，但是使用Ping命令测试到WeB.服务器的可达性,显示不可达。则可能的原因是什么？A、 防火墙上部署的安全策略放行了TCP协议,但是没有放行ICMP协议B、 web服务器宕机C、防火墙上部署的安全策略放行了HTTP协议,但是没有放行ICMP协议答案：答案：B答案：答案：B答案：答案：AD、防火墙连接服务器的接口没有加入安全区域答案：C以下哪项不属于非对称加密算法？TOC\o"1-5"\h\zA、 DHB、 MD5C、 DSAD、 RSA答案：B以下哪项不属于USG防火墙中的用户认证方式？A、 免认证B、 密码认证C、 单点登录D、 指纹认证答案：D在VRRP中，如果虚拟组设备收到终端设备发送的ARP请求报文。那么以下哪种处理方式是正确的？A、 由Master设备响应。B、 Master和Backup都会响应。C、 由Backup设备响应。D、 Master和Backup都不会响应。因为收到的是AP请求报文的目的IP地址是虚拟IP地址。当防火墙硬盘在位的时候，下列哪项对于防火墙日志的描述是正确的？A、 管理员可以公告内容日志查看网络威胁的检测和防御记录B、 管理员可以通过威胁日志了解用户的安全风险行为以及被告警或阻断的原因C、 管理员通过用户活动日志获知用户的行为、摸索的关键字以及审计策略配置的生效情况等信息D、 管理员可以通过策略命中日志获知流量命中的安全策略，在发生问题时用于故障定位答案：DIPSeC.VPN使用传输模式封装报文时,下列哪项不在ESP安全协议的认证范围？A、 ESPHeaderB、 IPHeaderC、 ESPTaiID、 ICPHeader答案：B防火墙GE1.0.1和GE1.0.2口都属于DMZ区域，如果要实现GE1.0.1所连接的区域能够访问GE1.0.2所连接的区域，以下哪项是正确的？A、 需要配置Local到DMZ的安全策略B、 无需做任何配置C、 需要配置域间安全策略D、 需要配置DMZ到local的安全策略关于防火墙安全策略的说法，以下选项错误的是？A、 如果该安全策略时permit,则被丢弃的报文不会累加“命中次数”B、 配置安全策略名称时，不可以重复使用同一个名称C、 调整安全策略的顺序，不需要保存配置文件，立即生效D、 华为USG系列防火墙的安全策略条目数都不能超过128条答案：D以下关于补丁的描述哪项是错误的？A、 补丁是软件的原作者针对发现的漏洞制作的小程序B、 不打补丁也不影响系统的运行，所以，打补丁与否是无关紧要的。C、 补丁程序一般会不断更新。D、 计算机用户应及时下載并安装最新补丁以保护自己的系统答案：B入侵检测的内容涵盖授权的和非授权的各种入侵行为，以下哪项行为不属于入侵检测范围？A、 冒充其他用户B、 管理员误删配置C、 种植蠕虫木马D、 泄露数据信息答案：B某小型企业只有一个公网地址，管理员通过使用NAT接入Internet,以下哪—项NAT方式最适合该公司需求？A、EasyipB、 静态NATC、 目的NATD、 动态NAT答案：ATCP.IP协议栈数据包封装包括:以下哪项对封装顺序的描述是1.DatA.2.TCP.UDP3.MAC.4.IPTOC\o"1-5"\h\zA、 1234B、 1243C、 1342D、 1423答案：B以下哪项在数字签名技术中用于对数字指纹进行加密？A、 发送方公钥B、 发送方私钥C、 接收方公钥D、 接收方私钥答案：B管理员希望清除当前会话表，以下哪个命令是正确的？A、 cIearfirewaIIsessiontabIeB、 resetfirewaIIsessiontabIeC、 dispIayfirewaIIsessiontabIeD、dispIaysessiontabIe答案：答案：A答案：答案：A答案：B93,对于会话首包在防火墙域间转发的流程，有以下几个步骤：1、查找路由表2、查找域间包过滤规则3、查找会话表4、查找黑名单下列哪项顺序是正确的？A、 1->3->2->4B、 3->2->1->4C、 3->4->1->2D、 4->3->1->2答案：C在USG系列防火墙上配置NATServer时,会产生server-map表，以下哪项不属于该表现中的内容？A、 目的IPB、 目的端口号C、 协议号D、 源IP答案：DACL的类型不包括以下哪一项？A、 七层ACLB、 咼级ACLC、 基本ACLD、 二层ACL以下关于VGMP协议描述错误的是哪项?需要更多新题库V:276137877A、 VGMP将同一台防火墙上的多个VRRP备份组都加入到一个管理组，由管理组统一管理所有VRRP备份组B、 VGMP通过统一控制各VRRP备份组状态的切换，来保证管理组内的所有VRRP备份组状态都是一致C、 状态为Active的VGMP组设备会定期向对端发送heII。报文,stdandby端只负责监听heII。报文,不会进行回应D、 在缺省情况下当standby端三个heII。报文周期没有收到对端发送的hello报文,会认为对端出现故障，从而将自己切换到Active状态。答案：C人工审计是对工具评估的一种补充，它不需要在被评估的目标系统上安装任何软件，对目标系统的运行和状态没有任何影响。人工审计的内容不包括下列哪个选项？A、 对主机操作系统的人工检测B、 对数据库的人工检查C、 对网络设备的人工检查D、 对管理员操作设备流程的人工检查答案：D以下哪项是事件响应管理的正确顺序？1检测2报告3缓解答案：答案：A答案：答案：A4总结经验5修复6恢复7响应A、 1-3-2-7-5-6-4B、 1-3-2-7-6-5-4C、 1-2-3-7-6-5-4D、 1-7-3-2-6-5-4答案：D企业影响分析(BIA)不包括以下哪项？A、 业务优先级B、 事故处理优先级C、 影响评估D、 风险识别答案：B下列哪个选项不属于windows操作系统的日志类型?A、 业务日志B、 应用程序日志C、 安全日志D、 系统日志部署IPSeC.VPN隧道模式时，采用AH协议进行报文封装。在新IP报文头部字段中，以下哪个参数无需进行数据完整性校验？A、 源IP地址B、 目的IP地址C、 TTLD、 Idetification答案：C关于VGMP管理的抢占功能的描述,以下哪项是错误的？A、 缺省情况下,VGMP管理组的抢占功能为启用状态B、 缺省情况下,VGMP管理组的抢占延迟时间为40sC、 抢占是指当原来出现故障的主设备故障恢复时，其优先级会恢复，此时可以重新将自己的状态抢占为主D、 当VRRP备份组加入到VGMP管理组后,VRRP备份组上原来的抢占功能失效答案：B漏洞也叫脆弱性，是指计算机系统在硬件、软件、协议的具体事项或系统安全策略上存在缺陷和不足。以下关于漏洞的特性描述，错误的是那项？A、 漏洞是种安全隐患,会使计算机遭受黑客攻击。B、 漏洞可以被远程利用。C、 漏洞无法进行修补D、 漏洞是事先未知、事后发现的。答案：C在USG系列防火墙中，可以通过以下哪个命令查询NAT转换结果？A、 dispIaynattransIationB、 dispIayfirewaIIsessiontabIeC、 dispIaycurrentnatD、 dispIayfirewaIInattransIation答案：B在华为USG系列设备上，管理员希望擦除配置文件，下列哪项命令是正确的?A、 cIearsaved-configurationB、 resetsaved-configurationC、 resetcurrent-configurationD、 resetrunning-configuration答案：B以下哪个攻击不属于特殊报文攻击？A、ICMP重定向报文攻击BxICMP不可达报文攻击C、 IP地址扫描攻击D、 超大ICMP报文攻击答案：C使用AH+ESP协议对IP报文进行封装，需要建立几个IPSeC.SA?TOC\o"1-5"\h\zA、 2B、 1C、 4D、3答案：A关于CIient-lnitialized的L2TPVPN,下列哪项说法是错误的？A、远程用户接入internet后，可通过客户端软件直接向远端的LNS发起L2TP隧道连接请求BxLNS设备接收到用户L2TP连接请求，可以根据用户名、密码对用户进行验证C、 LNS为远端用户分配私有IP地址D、 远端用户不需要安装VPN客户软件答案：D证据保全直接关系到证据的法律效力，以下哪一项不属于证据保全技术？A、 数字证书技术B、 加密技术C、 数据挖掘技术D、 数字签名技术答案：C以下哪项不属于防火墙双机热备需要具备的条件？A、 防火墙硬件型号一致B、 防火墙软件版本一致C、 使用的接口类型及编号一致D、 防火墙接口IP地址一致答案：D配置用户单点登录时，采用接收PC消息模式，其认证过程有以下步骤：1访问者PC执行登录脚本，将用户登录信息发给AD监控器2防火墙从登录信息中提取用户和IP的对应关系添加到在线用户表3AD监控器连接到AD服务器查询登录用户信息，并将查询到的用户信息转发到防火墙4访问者登录AD域,AD服务器向用户返回登录成功消息并下发登录脚本以下哪项的排序是正确的？A、 1-2-3-4B、 4-1-3-2C、 3-2-1-4D、 1-4-3-2答案：B在USG系列防火墙中，可以使用功能为非知名端口提供知名应用服务。A、 端口映射B、 MAC与IP地址绑定C、 包过滤D、 长连接答案：A银行A.是一家农村商业银行，主要向本省辖内衣民、农村工商户等用户提供金融服务。现银行A.的网络需要做等保测评，以下哪一项等保等级适用于银行A?A、 等保三级B、 等保一级等保四级及以上D、等保二级答案：CSMTP协议的端口号是多少？A、 25http80,https443,teInet23,ssh22pop3110dns53,ftp21TOC\o"1-5"\h\zB、 30C、 109D、 32答案：ADHCP绑定表中不包含以下哪一项信息？A、 端口号B、 VLANIDC、 MAC.地址D、 IP地址答案：A在某些场景下，既要对源IP地址进行转换，又要对目的IP地址进行转换，该场景使用以下哪项技术？A、 双向NATB、 源NATC、 NAT-ServerD、 NATALG答案：A安全评估方法的步骤不包括下列哪项？A、 人工审计B、 渗透测试C、 问卷调查D、 数据分析答案：D以下哪项不属于数字证书的内容？A、 公钥B、 私钥C、 有效期D、 颁发者答案：B关于PKI工作过程的排序,以下哪项是正确的？A、 1-2-6-5-7-4-3-8B、 1-2-7-6-5-4-3-8C、 6-5-4-1-2-7-3-8D、 6-5-4-3-1-2-7-8答案：B下列哪项不属于对称加密算法中的分组加密算法?TOC\o"1-5"\h\zA、 RC5B、 RC4C、 RC6RC2答案：B关于DNS的特点，以下哪一项的描述是错误的？A、 DNS的作用是把难记忆的IP地址转换为容易记忆的字符形式。B、 DNS使用TCP协议，端口号是53。DNSTCP53,UDP53CxDNS域名劫持通过伪造域名解析服务器等手段，将目标域名解析到错误的IP地址，导致用户访问错误的网站。DxDNS按分层管理，最高级别为根域，其次为顶级域名，CN是顶级域名，表示中国。答案：A以下哪项是USG系列防火墙初次登录的用户名.密码？A、 用户名admin密码Admin123B、 用户名admin密码admin123C、 用户名admin密码adminD、 用户名admin密码Admin123答案：A关于NAT技术，以下哪项描述是错误的？A、在华为防火墙中，源NAT技术是指对发起连接的IP报文头中的源地址进行转换。B、 在华为防火墙中,EasyIP直接使用接口的公网地址作为转换后的地址,不需要配置NAT地址池。C、 在华为防火墙中，NATNo-PAT技术需要通过配置NAT地址池来实现。D、 在华为防火墙中，带端口转换的NAT技术只有NAPT.答案：D以下关于双机热备中自动备份模式的描述，错误的是哪一项？A、 在一台FW上每执行一条可以备份的命令时，此配置命令就会被立即同步备份到另一台FW上。B、 需要管理员手工开启。C、 主用设备会周期性地将可以备份的状态信息备份到备用设备上。D、 能够自动实时备份配置命令和周期性地备份状态信息，适用于各种双机热备组网。答案：B监视器对应下列哪项安全措施？A、 入侵检测系统B、 加密VPNC、 门禁系统D、 防火墙答案：A数据分析技术是在已经获取的数据流或者信息流中寻找、匹配关键词或关键短语,分析时间的关联性。下列哪项不属于证据分析技术？A、密码破译,数据解密技术B、 文件数字摘要分析技术C、 发掘不同证据间的联系的技术D、 垃圾邮件追踪技术答案：D下列选项中对信息安全管理体系(ISMS)四个阶段的顺序描述正确的是哪项？A、 PIan->Check->Do->ActionB、 Check->PIan->Do->ActionC、 PIan->Do->Check->ActionD、 PIan->Check->Actior)->Do答案：C查看防火墙的HRP状态信息如下:HRPS[USG_B]displayhrpstateBbs.hhO10.ThefirewaII'sconfigstateis:StandbyCurrentstateofvirtuaIroutersconfigureD.asstandby:GigabitEthernetl.0.OvriD.1:standbyGigabitEthernetl.0.1VriD.2:standby根据上述信息，以下哪项描述是正确的：A、 此防火墙VGMP组状态为ActiveB、 此防火墙G1.0.0和G1.0.1接口的VRRP组状态为standbyC、 此防火墙的HRP心跳线接口为G1.0.0和G1.0.1D、 此防火墙一定是处于抢占状态答案：B如果发生境外不法分子利用互联网窃取我国国家机密的事件,则国家会启动哪种预警？A、橙色预警B、 黄色预警C、 蓝色预警D、 红色预警答案：A下列哪项不是单机反病毒技术？A、 安装杀毒软件B、 网络防火墙上配置反病毒技术C、 使用病毒检测工具D、 为系统打补丁答案：B下列哪项不属于计算机犯罪的主要形式？A、 向目标主机植入木马B、 向目标主机进行黑客攻击C、 使用计算机进行个人问卷调查D、 未经允许,利用扫描工具收集网络信息答案：C下列哪个不是配置双机热备所应该具备的系统要求?A、 FW软件版本必须相同B、 FW型号必须相同C、 FW硬盘配置必须相同D、 FW单板类型必须相同答案：C80.用iptables写一条规则不允许172.16.0.0.16的网段访问本设备，以下哪项规则写法是正确的？需要更多新题库V:276137877A、 iptables-tfiter-A.INPUT-s172.16.0.0.16-pall-jDROPB、 iptabIes-tfiter-PINPUT-s172.16.0.0.16-pall-jDROPC、 iptabIes-tfiter-PINPUT-s172.16.0.0.16-pall-j-ACCEPTD、 iptabIes-tfiter-PINPUT-D.172.16.0.0.16-pall-j-ACCEPT答案：A以下关于iptables表功能的描述，错误的是哪一项？A、 NAT表:地址转换的功能。B、 Raw表:决定数据包是否被状态跟踪机制处理。C、 Mangle表:修改安全策略D、 Filter表:数据包中允许或者不允许的策略。答案：CL2TP协议是在以下哪一阶段进行IP地址分配？A、 链路建立阶段B、 LCP协商阶段CxCHAP阶段D、NCP协商阶段答案：D以下哪项不属于对称加密算法？A、DESB、3DESC、AESD、RSA答案：D以下关于证书申请的描述，错误的是哪一项？A、 当证书过期、密钥泄漏时，PKI实体必须更换证书，可以通过重新申请来达到更新的目的，也可以使用SCEP或CMPv2协议自动进行更新。B、 通常情况下PKI实体会生成一对公私钥，公钥和自己的身份信息被发送给CA.用来生成本地证书。C、 PKI实体支持通过SCEP协议向CA.发送证书注册请求消息来申请本地证书。DvPKI只能通过在线方式申请本地证书，安全系数高。答案：D数字签名技术通过对以下哪项数据进行了加密从而获得数字签名？A、 用户数据B、 接收方公钥C、 发送方公钥D、 数字指纹答案：D在信息保障阶段,需要从下列哪些角度入手考虑信息的安全问题？A、 管理B、 安全体系C、 业务D、技术答案：B关于L2TPVPN的说法，以下哪项是错误的？A、 适用于出差员工拨号访问内网B、 不会对数据进行加密操作C、 可以与IPseC.VPN结合使用D、 属于三层VPN技术答案：D入侵防御系统针对攻击识别是基于以下哪一项进行也配的?A、 端口号B、 协议C、 IP地址D、 特征库答案：D下列哪个不是防火墙缺省的安全区域A、 untrustzoneB、 trustzoneC、 dmzzoneD、 ispzone答案：D90.公司网络管理员在配置双机热备时，配置VRRP备份组1的状态为Active,并配置虚拟IP地址为.24,则空白处需要键入的命令是A、 ruIenamecSource-zoneuntrustDestination-zonetrustDestination-address202.106.1.132ActionpermitB、 ruIenamedSource-zoneuntrustDestination-zonetrustDestination-address10.10.1.132ActionpermitC、 security-poIicyRuIenameaSource-zoneuntrustSource-address202.106.1.132ActionpermitD、 ruIenamebSource-zoneuntrustDestination-zonetrustSource-addressl0.10.1.132Actionpermit答案：A91.关于SSLVPN的描述，以下哪项是正确的？A、 可以在无客户端的情况下使用B、 可以对IP层进行加密C、 存在NAT穿越问题D、 无需身份验证答案：A通常我们会把服务器分为通用服务器和功能服务器两大类，以下哪个选项符合这种分类标准？A、 按应用层次划分B、 按用途划分C、 按外形划分D、 按体系构架划分答案：B入侵防御设备能够有效防御以下哪一项的攻击？A、 传输层B、 应用层C、 网络层D、 物理层答案：B下列哪项是网络地址端口转换(NAPT)与仅转换网络地址(No-PAT)的区别？A、 经过No-PAT转换后，对于外网用户，所有报文都来自同一个IP地址B、 No-PATR支持传输层的协议端口转换C、 NAPTR支持网络层的协议地址转换D、No-PAT支持网络层的协议地址转换答案：D95.如图所示，使用抓包软件在某终端设备上抓取了部分报文，关于该报文信息,以下哪一项是正确的？—KPinfs>http[SYN]$eq«0win-819.19WLI1U.1U.1.2TCPIihttp>nfs[SYN,ack]seq»0Ad丄】U2.1U.L1TCPnnfs>http[ack]seq«lAck«lwA、 该终端向192.168.1.1发起了TCP连接终止请求。B、 该终端使用Telnet登录其他设备。C、 该终端向192.168.1.1发起了TCP连接建立请求。D、 该终端使用Http登录其他设备。答案：C如图所示,客户端A和服务器B之间建立TCP连接，图中两处“?”报文序号应该是下列哪项?A、 a+1:aB、 a:a+1C、 b+1:bD、 a+1:a+1答案：D在等保2.0中，哪一项规定了“应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾防护机制的升级和更新”？A、恶意代码防范

B、 通信传输C、 集中管控D、 边界防护答案：A如图所示,FW_A.与FW_B.之间建立GREVPN,PC_A.与PC_B.通过GREVPN访问,请问对数据报文封装时，目的地址应封装为下列哪项？i^RIP2222FunmlIP10112222(X24A、 2.2.2.2AWCZfl&ahtitZZ[19216820^419216^.2■.'-■•►22221111B、 1.1.1.1C、 10.1.1.2D、 192.168.2.1答案：A99.以下哪种密码属于高强度密码?A、 1001B、 tLzXsqc735!C、 admin123D、 he110worId答案：B关于Telnet服务的特点，以下哪一项的描述是错误的？A、 Telnet可用于远程登录主机，可通过暴力破解获取到Telnet帐号密码。B、 默认情况下华为防火墙禁止远程用户使用Telnet登录。C、 通过Telnet服务用户可在本地计算机上连接远程主机。DxTelnet是一种远程登录服务协议，使用UDP协议的23端口号答案：D下列哪一项不属于P2DR模型中Detection环节使用到的方法？A、 实时监控B、 检测C、 报警D、 关闭服务答案：D防火墙检测到病毒后，下列哪种情况会放行病毒？A、 命中应用例外B、 不是防火墙支持的协议C、 源IP命中白名单D、 命中病毒例外答案：C关于防火墙的描述，以下哪项是正确的A、 防火墙不能透明接入网络.B、 防火墙添加到在网络中，必然会改变网络的拓扑.C、 为了避免单点故障，防火墙只支持旁挂部署D、 根据使用场景的不同，防火墙可以部署为透明模式，也可以部署为三层模式.答案：D最常见的等保三级标准，一共包含3个方面内容,分别为:物理安全、数据安全和网络安全。A、 正确B、 错误答案：B下列哪个不是防火墙缺省的安全区域？（单选）A、 UntrustZoneB、 DMZZoneC、 TrustZoneD、 ISPZone答案：D下列不属于常见的数字证书的应用场景的是？A、 FTPB、 HTTPSC、 IPSEC.VPND、 SSLVPN答案：A关于安全策略配置命令,以下哪项是正确的？A、 禁止从trust区域访问untrust区域且目的地址为10.1.10.10主机的ICMP报文B、 禁止从trust区域访问untrust区域且目的地址为10.1.0.0.16网段的所有主机ICMP报文C、 禁止从trust区域访问untrust区域且源地址为10.1.0.0.16网段来的所有主机ICMP报文D、 禁止从trust区域访问untrust区域且源地址为10.2.10.10主机来的所有主机ICMP报文答案：C以下哪个选项不是IPSeC.SA的标识？A、 SPIB、 目的地址C、 源地址D、 安全协议答案：C下列关于心跳接口的描述中错误的是？A、 MGMT接口(GigabitEthernetO.0.0)不能作为心跳接口B、 心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接C、 建议至少配置2个心跳接口。一个心跳接口作为主用，另一个心跳接口作为备D、按口MTU值大于1500的接口不能作为心跳接口答案：D关于上网用户组管理的说法，以下哪项是错误的？A、 每个用户组可以包括多个用户和用户组。B、 每个用户组可以属于多个父用户组。C、 系统默认有一个default用户组，该用户组同时也是系统默认认证域.D、 每个用户至少属于一个用户组，也可以属于多个用户组.答案：B公司管理员使用命令Ping命令测试网络的连通性，如果他需要指定ehco-request报文的源地址，则他需要附加的参数是？TOC\o"1-5"\h\zA、 -iB、 -aC、 -cD、 -f答案：B以下哪一项不是VPN中的加密算法？A、 3DESB、 DESC、 AESD、 RIP路由协议，不属于加密算法。答案：D113.关于NAT地址转换，以下哪项说法是错误的?A、 源NAT技术中配置NAT地址池，可以在地址池中只配置一个IP地址B、 地址转换可以按照用户的需要,在局域网内向外提供FTP、.Telnet等服务C、 有些应用层协议在数据中携带IP地址信息，对它们作NAT时还要修改上层数据中的IP地址信息D、 对于某些TCP、UDP的协议（如ICMP、PPTP）,无法做NAT转换答案：D以下哪个选项是GRE的协议号？TOC\o"1-5"\h\zA、 46B、 47C、 89D、 50答案：B以下关于华为防火墙安全区域的描述，正确的是哪一项？A、 防火墙的不同安全区域的优先级相同。B、 防火墙的不同接口可以在同一个区域。C、 防火墙自带的区域可以删除。D、 防火墙同一个接口可以归属不同区域。答案：B关于NAT地址池的配置命令如下：nataddress-grouplsection0202.202.168.10202.202.168.20Modeno-pat其中，no-pat参数的含义是：A、不做地址转换B、 进行端口复用C、 不转换源端口D、 转换目的端口答案：C在处理非首包数据流时，以下哪一类防火墙处理效率最高？A、 代理防火墙B、 包过滤防火墙C、 状态监测防火墙D、 软件防火墙答案：CIP报文头中的协议(protocol)字段标识了其上层所使用的协议，以下哪个字段值表示上层协议为UDP协议？TOC\o"1-5"\h\zA、 6B、 17C、 11D、 18答案：B通过displayikesA.看到的结果如下，以下哪项说法是错误的？A、 IKESA.已经建立B、 IPSeC.SA已经建立C、 邻居地址是2.2.2.1DvIKE采用的是V1版本答案：BIPSeC,可以通过以下哪一项协议来完成加密和认证过程的密钥自动分发？A、 AHB、 IKE（因特网密钥交换协议）C、 ESPD、 SPI答案：B攻击者发送源地址和目的地址相同，或者源地址为环回地址的sw报文给目标主机（源端口和目的端口相同），导致被攻击者向其自己的地址发送SYN-ACK｝肖息。这种行为属于哪一种攻击？A、SYNflood攻击BxTCP欺骗攻击C、 smurf攻击D、 Land攻击答案：D以下对防火墙日志的描述，错误的是哪一项？A、 日志等级Emergency为最严重的等级B、 Alert0志等级表示设备重大的异常，需要立即采取措施C、 根据信息的严重等级或紧急程度，日志可以分为8个等级，信息越严重，其日志等级值越大DxDebug日志等级表示是设备正常运转的一般性信息,用户无需关注答案：C下列哪项不是国家互联网应急中心的业务范围？A、 应急处理安全事件B、 预警通报安全事件C、 为政府部门、企事业单位提供安全评测服务D、 与其他机构合作,提供培训服务答案：D下列关于心跳接口的描述中错误的是A、 建议至少配置2个心跳接口。-个心跳接口作为主用，另一个心跳接口作为备份。B、 接口MTU值大于1500不能作为心跳接口C、 心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接D、 MGMT接口(GigabitEtherneto.0.0)不能作为心跳接口答案：B中间人攻击属于数据安全威胁。A、 正确B、 错误答案：A以下哪项配置能实现NATALG功能？A、 nataIgprotocoIB、 aIgprotocoIC、 natprotocoID、 detectprotocoI答案：D以下关于单点登录主要实现方式的描述中，错误的是哪一项？A、 接受PC.消息模式B、 查询AD.服务器安全日志模式C、 查询syslog服务器模式D、 防火墙监控AD.认证报文答案：C在华为SDSec解决方案中，防火墙属于哪一层的设备？A、 分析层B、 控制层C、 执行层D、 监控层答案：CDES加密技术使用的密钥是多少位，而3DES加密技术使用的密钥是多少位。A、56168B、 64168C、 64128D、 56128答案：D在防火墙上部署双机热备时,为实现VRRP备份组整体状态切换，需要使用以下哪个协议？A、VRRPB、 VGMPC、 HRPD、 OSPF答案：B131.证据鉴定需要解决证据的完整性验证和确定其是否符合可采用标准，关于证概鉴定的标准，以下哪项描述是正确的？A、 关联性标准是指电了证据如果在一定程度上能够对案件事实产生实质性影响,法庭应当裁定其具有关联性。B、 客观性标准是指电子证据的获取、存储、提交等环节约应合法，对国家利益、社会公益和个人隐私等基本权利不构成严里侵犯。C、 合法性标准是保证电子证据从最初的获取收集，到作为诉讼证据提交使用的过程中，其内容没有任何变化。D、 公平性标准是指由法定主体以合法手段取得的证据材料，才具有证据能力。答案：A防火墙对匹配到的认证数据流采取的处理方式，不包括以下哪个选项？A、 Portal认证B、 免认证C、 微信认证D、 不认证答案：CIPv6支持在设备上配置路由器授权功能，通过数字证书验证对等体身份，选用合法设备。A、正确B、错误答案：B针对发生的重大网络安全事件,所对应的预警是哪个等级?A、 红色预警B、 橙色预警C、 黄色预警D、 蓝色预警答案：B以下哪个选项不属于散列算法？A、 MD5B、 SHA1C、SM1D、 SHA2答案：C136.如图所示，PC1和PC2之间已经建立了TCP连接，PC1发出对此连接的FIN请求，PC2回应YACK,以下哪一项的描述是正确的?A、 PC1到PC2的TCP连接已经完全关闭。B、 PC1到PC2的TCP连接处于半关闭状态,PC1仍然能向PC2发送数据。C、 PC1到PC2的TCP连接处于半关闭状态，不能再通过此连接发送数据D、 PC1到PC2的TCP连接处于半关闭状态,PC2仍然能向PC1发送数据。答案：D二层交换机转发数据时,根据以下哪种表项确定目标端口？A、 ARP表项B、 MAC.地址表项C、 路由表项D、 访问控制列表答案：BIPSeC.VPN使用隧道模式封装报文时，下列哪项不在ESP安全协议的加密范围？A、 ESPHeaderB、 TCPHeaderC\RawlPHeaderD、ESPTaiI答案：A关于电子证据来源，以下哪项描述是错误的？A、 传真资料，手机录音属于与通信技术有关的电子证据。B、 电影,电视剧属于与网络技术有关的电子证据.C、 数据库操作记录，操作系统日志属于与计算机有关的电子证据•D、 操作系统曰志,e-mail,聊天记录都可以作为电子证据的来源答案：B关于上网用户和VPN接入用户认证的描述，以下哪项是错误的？A、 上网用户和VPN接入用户共享数据，用户的属性检查（用户状态、账号过期时间等）同样对VPN接入生效B、 上网用户采用本地认证或服务器认证过程基本一致，都是通过认证域对用户进行认证，用户触发方式也相同C、 VPN用户接入网络后，可以访问企业总部的网络资源，防火墙可以基于用户名控制可访问的网络资源D、 VPN接入用户通过认证后将同时在用户在线列表上线答案：B关于入侵防御系统（IPS）的描述，以下哪项是错误的？AxIDS设备需要与防火墙联动才能阻断入侵（IDS入侵检测系统）B、 IPS设备在网络中不能采取旁路部署方式（IPS入侵防御系统）C、 IPS设备可以串接在网络边界，在线部署D、 IPS设备一旦检测出入侵行为可以实现实时阻断答案：B启用GRE的keepalive功能后，默认情况下设备会周期性的每隔多少秒向对端发送一次keepalive报文？TOC\o"1-5"\h\zA、 20B、 10C、 5D、 3答案：C下列哪项SSLVPN功能能且只能访问所有的TCP资源？A、 网络扩展B、 文件共享C、 WEB.代理D、 端口转发答案：D攻击者发送源地址和目的地址相同，或者源地址为环回地址的SYN报文给目标主机（源端口和目的端口相同，导致被攻击者向其自己的地址发进妇SYN-AKY消息这种行为是哪种攻击？（）A、 Smurf攻击B、 SYNFIooD.攻击C、 TCP欺骗攻击D、 LanD.攻击答案：D管理员通过G1.0.0接口（已将该接口加入Trustzone）连接到防火墙，如果允许管理员通过G1.0.O登录防火墙进行配置管理，则该如何配置安全策略中放行的流量方向？A、 放行TrustZone到UntrustZone的流量B、 放行TrustZone到LocalZone的流量C、 放行LocaIZone到LocaIZone的流量D、 放行TrustZone到TrustZone的流量答案：B如图所示为配置NATServer后生成的两条ServerMap表项，关于该图所呈现的信息，以下哪项描述是错误的？*Type:NatServer.ANYT1.1.1.1[192.168.1.1]Type:NatServerReverse.192.168.1.1[1.1.1.1]tANYType:NatServer:ANY->[]Type:NatServerReverse[]—A、 第二条ServerMap作用是当192.168.1.1去访问任何地址的时候经过防火墙后源地址会转换成1-1.1-1B、 第一条ServerMap作用是任何地址去访问192.168.1.1时，经过防火墙后目的IP都转换成。C、 带有Reverse标识的ServerMap可以使用命令将其册除。D、 这两条ServerMap表项是静态的，即配置好NATServer后，两条ServerMap会自动生成且永久存在。答案：B二层ACL,的编号范围是以下那一项？A、 3000~3999B、 2000~2999C、 1000^1999D、 4000~4999答案：D以下关于数字签名中数字指纹的描述，错误的是哪一项？A、 接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。B、 它是发送方通过HASH算法对明文信息计算后得出的数据。C、 接收方会用发送方的公钥计算生成的数据指纹和收到的数字指纹进行对比。D、 数字指纹又称为信息摘要。答案：C149.824、?????关于NATNo-PAT产生的ServerMap表，以下哪项描述是正确的A、NATNo-PAT产生的ServerMap的功能相当于安全策略，即匹配该ServerMap表的报文可以直接通过防火墙，无需匹配安全策略。B、 NATNo-PAT产生的ServerMap默认有两条，有—是反向的ServerMap表，主要作用外网用户主动访问该私网用户时,无需另外配置NAT和安全策略即可进行地址转换进行访问。C、 NATNo-PAT产生的ServerMap是静态的，即配置好NATNo-PAT后,ServerMap表会自动生成且永久存在。D、 NATNo-PAT产生的ServerMap默认有两条，有—是正向的ServerMap表，主要作用是保证特定私网地址访问公网时直接命中表项进行地址转换，提高效率。答案：C以下哪个NAT技术属于目的NAT技术？A、 Easy-ipB、 NATNo-PATC、 NAPTD、 NATServer答案：D以下哪一项措施能够防止IP欺骗攻击？A、 在边界防火墙上过滤特定端口B、 在边界防火墙上设置到特定IP的路由C、 在边界路由器上部署目标IP地址过滤D、 在边界防火墙上进行源IP地址过滤答案：D申请应急响应专项资金，采购应急响应软硬件设备属于网络完全应急响应中哪个阶段中的工作内容?A、 准备阶段B、 抑制阶段C、 响应阶段D、 恢复阶段答案：A当在公共场所连接Wi-Fi时,下列哪一种行为相对更加安全？A、 连接未进行加密的Wi-Fi热点B、 连接由运营商提供的付费Wi-Fi热点且仅进行网络浏览C、 连接未加密的免费Wi-Fi进行在线购物D、 连接加密的免费Wi-Fi进行在线转账操作答案：B当发生网络安全事件后，对入侵行为、病毒或木马进行排查，对主机进行修补加固。上述动作属于网络安全应急响应哪个阶段中的工作内容？A、 恢复阶段B、 检测阶段C、 根除阶段D、 抑制阶段答案：D以下哪种攻击不属于网络攻击？A、 IP欺骗攻击B、 Smurf攻击CxMAC地址欺骗攻击D、ICMP攻击答案：C下列哪个信息不是双机热备中状态信息备份所包含的备份内容？A、 NAPI相关表项B、 IPv4会话表C、 IPSEC隧道D、 路由表答案：D下列哪项不属于网络安全事件中划分的等级？A、 重大网络安全事件B、 特殊网络安全事件C、 一般网络安全事件D、 较大网络安全事件答案：B下列哪项属于网络安全事件分类中的“信息破坏事件”？A、 软硬件故障B、 信息仿冒C、 网络扫描窃D、 听木马攻击答案：B在信息安全体系建设管理周期中，下列哪一项的行为是“check”环节中需要实施的？A、 安全管理体系设计B、 安全管理体系实施C、 风险评估D、 安全管理体系运行监控答案：D以下哪项流量匹配了认证策略会触发认证？A、 访问设备或设备发起的流量B、 DHCP、BGP、OSPF、LDP报文C、 访问者访问HTTP业务的流量D、 第一条HTTP业务数据流对应的DNS报文答案：C防火墙接入用户认证的触发认证方式，不包括以下的哪一项?A、 MPLSVPNB、 SSLVPNC、 IPSeC.VPND、 L2TPVPN答案：A以下哪项不属于LINUX操作系统？A、 CentOSIinuxB、 RedHatIinuxC、 UbuntuIinuxD、MAC.OSUnix答案：D在信息安全体系建设管理周期中，下列哪一项的行为是"Check"环节中需要实施的？A、 安全管理体系设计B、 安全管理体系实施C、 风险评估D、 安全管理体系运行监控答案：D受外部用户控制通过窃取本机信息或者控制权来攻击网络安全的方式是以下哪种攻击行为？A、 木马攻击B、 拒绝服务攻击C、 钓鱼攻击D、 缓冲区溢出攻击答案：ADES加密技术使用的密钥是位，而3DES加密技术使用的密钥是位。TOC\o"1-5"\h\zA、 56168B、 64168C、 64128D、 56128答案：D在USG系统防火墙上配置NATServer时,会产生server-map表，以下哪项不属于该表现中的内容？A、 目的IPB、 目的端口号C、 协议号D、 源IP答案：D关于VGMP的组管理的描述，以下哪项是错误的？A、 VRRP备份组的主•备状态变化都需要通知其所属的VGMP管理组B、 两台防火墙心跳口的接口类型和编号可以不同,只要能够保证二层互通即可C、 主备防火墙的VGMP之间定时发动hell。报文D、 主备设备通过心跳线交互报文了解对方状态，并且备份相关命令和状态信息。答案：BAH协议的协议号是多少？TOC\o"1-5"\h\zA、 50B、 51C、 55D、 52答案：B在密码学应用中，哪一项技术是使用公钥加密，私钥解密？A、 对称密钥B、 非对称密钥C、 数字签名D、 DH答案：B针对ARP欺骗攻击的描述，以下哪项是错误的AxARP实现机制只考虑正常业务交互,对非正常业务交互或恶意行为不做任何验证B、 ARP欺骗攻击只能通过ARP应答来实现，无法通过ARP请求实现C、 当某主机发送正常ARP请求时，攻击者会抢先应答，导致主机建立一个错误的IP和MAC映射关系DxARP静态绑定是解决ARP欺骗攻击的一种方案，主要应用在网络规模不大的场景答案：BT列哪项SSLVPN功能能且仅能访问所有TCP资源？A、 网络扩展B、 端口转发C、 web代理D、 文件共享答案：B电子证据保全直接关系到证据法律效力,符合法律手续的保全，其真实性和可靠性才有保障。下列哪项不属于证据保全技术？A、 加密技术B、 数字证书技术答案：答案：C答案：答案：CC、 数字签名技术D、 报文标记追踪技术答案：D以下哪个选项属于二层VPN技术？A、 SSLVPNB、 L2TPVPNC、 GREVPND、 IPSeC.VPN答案：B利用程序漏洞，构造特殊的SQL语句并提交以获取敏感信息的攻击方式是以下哪种攻击方式？A、 SQL注入攻击B、 蠕虫攻击C、 钓鱼攻击D、 缓冲区溢出攻击答案：A以下哪项不属于杀毒软件的关键技术？A、 脱壳技术B、 自我保护C、 格式化磁盘D、 实时升级病毒库以下哪一项不属于二层VPN?A、 L2FB、 PPTPC、 L2TPD、 IPSeC.答案：D下列选项中，哪一个不是私网P地址？A、 192.168.254.254.16B、 172.32.1.1.24C、 10.32.254.254.24D、 10.10.10.10.8答案：B下列哪个选项不属于被动获取信息的手段？A、 端口扫描B、 端口镜像C、 收集日志D、 抓包答案：D在IPSeC.VPN传输模式中，数据报文被加密的区域是哪部分?A、 网络层及上层数据报文B、 原IP报文头C、 新IP报文头答案：答案：A答案：答案：AD、传输层及上层数据报文答案：D180.以下关于对称加密技术的描述中，错误的是哪项？A、 系统开销小。B、 扩展性好。C、 效率高，算法简单。D、 适合加密大量数据。答案：B181.服务器在使用过程中，存在着各种各样的安全威胁。以下哪个选项不属于服务器安全威胁？A、 自然灾害B、 DDos攻击C、 黑客攻击D、 恶意程序答案：A182.在数字签名过程中，主要是对以下哪项进行了HASH算法从而验证数据传输的完整性？A、 用户数据B、 对称密钥C、 接收方公钥D、 接收方私钥在部署IPSeC.VPN时，以下哪项属于隧道模式的主要应用场景？A、 主机与主机之间B、 主机与安全网关之间C、 安全网关之间D、 主机和服务器之间答案：C关于HRP主备配置一致性检查内容不包括下列哪个选项？A、 NAT策略B、 是否配置了相同序号的心跳接口C、 静态路由的下一跳和出接口D、 认证策略答案：C在某些场景下，既要对源IP地址进行转换，又要对目的IP地址进行转换,该场景使用以下哪项技术？A、 双向NATB、 源NATC、 NAT-ServerD、 NATALG答案：A管理员希望清除当前会话表。以下哪个命令是正确的了？A、dispIaysessiontabIeB、dispIayfirewaIIsessiontabIeC、 resetfirewaIIsessiontabIeD、 cIearfirewaIIsessiontabIe答案：C以下哪种攻击不属于网络层攻击？A、 IP欺骗攻击B、 Smurf攻击C、 MAC.地址欺骗攻击D、 ICMP攻击答案：CSSL不支持以下哪一项加密算法？TOC\o"1-5"\h\zA、 RC4B、 DESC、 3DESD、 AES答案：A下列哪项VPN不能用于site-to-Site场景？A、 SSLVPNB、 L2TPVPNC、 IPSeC.VPND、 GREVPN答案：A关于防火墙的特点，以下哪一项的描述是正确的?A、 防火墙都能准确地检测出攻击来自哪一台计算机B、 防火墙能够很好她解决内网网络攻击的问题C、 防火墙可以防止把外网未经授权的信息发送到内网D、 防火墙可以取代反病毒系统答案：C在域间包过滤中，以下哪一项届于InbouD.方向？A、 Untrust>TrustB、 Local>TrustC、 DMZ>UntrustD、 Local>DNZ答案：A以下哪一种工具可以用于渗透weB,应用程序？A、 NmapB、 SpartaC、 BurpSuiteD、 Superscan答案：C管理员通过G1.0.0接口（己将接口加入TrustZone）達接到防火墙，如果允許管理員通过G1.0.0登象防火堵逬行配置管理，則如何配置安全策略中放行的流量方向？（A、放行TrustZone到TrustZone的流量B、放行TrustZone到UntrustZone的流量C、放行LocalZone到LocaIZone的流量D、放行TrustZone到LocaIZone的流量(I)答案：D在USG系统防火墙中，可以使用 功能为非知名端口提供知名应用服务。A、 端口映射B、 MAC与IP地址绑定C、 包过滤D、 长连接答案：A关于IKESA,以下哪项描述是错误的？A、IKESA是双向的BxIKE是基于UDP的应用层协议C、 IKESA是为IPSeC.SA服务的D、 用户数据报文采用的加密算法由IKESA决定答案：D双机热备的缺省备份方式是以下哪种？A、 自动备份B、 手工批量备份C、 会话快速备份D、 设备重启后主备FW的配置答案：A答案：答案：A答案：答案：A关于TCP.IP协议栈的特点，以下哪一项的描述是错误的？A、 设备接受数据时，会依照TCP.IP模型拆除协议报头，分析載荷信息，这一动作称为解封装。B、 网络的通信过程是在协议栈的对等层次进行通信的，如网络层和网络层通信，数据链路层和数据链路层通信。C、 在设备封装数据时，TCP.IP协议找在每一层上对数据都设置了校验机制。D、 设备发送数据时，会将数据依照ICP.IP模型添加上特定的协议报头信息，这一动作称为封装。答案：C关于查看安全策略匹配次数的命令，以下哪项是正确的？A、 dispIayfirewaIIsesstiontabIeB、 dispIaysecurity-poIicyaIIC、 dispIaysecurity-poIicycountD、 countsecurity-poIicyhit答案：B下列哪项不是单机反病毒技术？A、 网络防火墙上配置反病毒技术B、 使用病毒检测工具C、 为系统打补丁200.如图所示，以下哪一项是图示IPSeC.VPN的封装模式？NewIPAHRawIPTCPHeaderHeaderHeaderHeaderA、 错误的模式B、 通用模式C、 传输模式D、 隧道模式答案：D以下关于在双机热备中心跳线传递信息的描述，错误的是哪一项？A、 两台防火墙通过定期互相发送心跳报文检测对端设备是否存活。B、 心跳链路探测报文用于两台防火墙同步配置命令和状态。C、 配置一致性检查报文用于检测两台防火墙的关键配置是否一致。D、 VGMP报文用于确定对端设备状态来判断是否需要进行切换。答案：B当接入用户使用Client-lnitiateD.VPN方式与LNS建立隧道时，一条隧道可以承載多少PPP接？TOC\o"1-5"\h\zA、 3B、 1C、 2D、 4答案：BHRP(HuaweiRedundancyprotocol)协议，用来将防火墙关键配置和连接状态等数据向备防火墙上同步,以下哪个选项不属于同步的范围？A、 安全策略B、 NAT策略C、 黑名单D、 IPS签名集答案：D关于防火墙安全策略，以下哪项是正确的？A、 缺省情况，安全策略能够对单播报文和广播报文进行控制B、 缺省情况，安全策略能够对组播进行控制C、 缺省情况，安全策略仅对单播报文进行控制D、 缺省情况,安全策略能够对单播报文、广播报文和组播报文进行控制答案：C关于漏洞扫描的描述，以下哪项是错误的？A、 漏洞扫描是一种基于网络远程监测目标网络或主机安全性能脆弱性的技术，可以被用来进行模拟攻击实验和安全审计。B、 漏洞扫描用来探测目标主机系统是否存在漏洞，一般是对目标主机进行特定漏洞的扫描C、 漏洞扫描就是一种被动的防范措施，可以有效避免黑客攻击行为D、 可以根据ping扫描和端口扫描的结果进行漏洞扫描答案：CC、 系统默认有一个default用户组，该用户组同时也是系统默认认证域D、 每个用户至少属于一个用户组，也可以属于多个用户组答案：B210.824、?关于防火墙网关针对HTTP协议的防病毒响应方式，以下哪项说法是错误的？A、 当网关设备阻断HTTP连接后，向客户端推送web页面并产生日志B、 响应方式包括宣告和阻断C、 告警方式设备只产生日志，不对HTTP协议传输的文件进行处理就发送出去D、 阻断是指设备断开与HTTP服务器的连接并阻断文件传输答案：B以下哪一项技术可以实现隐藏私网内部网络同时还能防止外部针对内部服务器的攻击？A、 IP欺骗B、 NATC、 VRRPD、 地址过滤答案：B以下关于IPSeC.中ESP协议的描述，错误的是哪一项？A、 ESP将数据中的有效載荷进行加密后再封装到数据包中，以保证数据的机密性。B、 ESPR能提供加密功能,不支持认证。C、 ESP的协议号是50。AH协议号51D、ESP支持校验数据的完整性。答案：B下列哪一个协议不属于ASPF能够检测的协议类型A、 MSTP.SMTPB、 FTPC、 DNSD、 PPTP答案：A关于断开TCP连接四次握手的描述，以下哪项是错误的？A、 主动关闭方发送第一个FIN执行主动关闭，而另一方收到这个FIN执行被关闭B、 当被动关闭收到第一个FIN,它将发回一个ACK,并随机产生确认序号。C、 被动关闭方需要向应用程序传送一个文件结束符，应用程序就关闭它的连接，并导致发送一个FIND、 在被动关闭方发送FIN后，主动关闭方必须发回一个确认，并将确认序号设置为收到序号加1答案：B下列哪一项是P2DR模型中的核心部分？A、 Policy策略B、 Protection防护C、 Detection检测D、 Response响应答案：A216.管理员希望创建web配置管理员，设备web访问端口号20000,且管理员为管理员级别，以下哪项命令事正确的？A、 StepI:Web-managersecunityenabIeport20000Step2:AAA.ViewNJ[USG]aaa[USG-aaa]manager-usercIient001[USG-aaa-manager-userdient001]senvice-typeweb[USG-aa-manager-user-dientDOI]Ieve115[USG-aaa-manager-user-cientOOl]IpassworD.cipherAdmin123B、StepI:Web-managerenabIeport20000Step2:AAA.ViewNJ[USG]AaaBbs.hhO1O.[USG-aaA.manager-usercIientOOl[USG-aaa-manager-user-dientOOl]service-typeweb[USG-aaa-manager-user-dientOOl]passworD.cipherAdmin123以下哪个选项不属于五元组范围？A、 源IPB、 源MACC、 目的IPD、 目的端口答案：B以下关于防火墙日志的描述，错误的是哪一项？A、 管理员可以通过策略命中日志获知流量命中的安全策略，在发生问题时用于故障定位。B、 管理员可以通过用户活动日志获知用户的行为、搜索的关键字以及审计策略配置的生效情况等信息。C、 在日志等级中，Emergency为最严重的等级。D、 根据信息的严重等级或紧急程度，日志可以分为8个等级，信息越严重，其日志等级值越大。答案：D关于windows和Iinux的对比，以下哪个说法是错误的？A、 linux新手入门较困难,需要一些学习和指导B、 windowsT可以兼容绝大部分的软件，玩大部分的游戏C、 Iinux是开放的源代码,你想怎么做就怎么做D、 windows是开放源代码，你想怎么做就怎么做答案：D224.以下哪种攻击不属于畸形报文攻击?答案：D关于VPN,以下哪项说法是错误的？A、 虚拟专用网络相较于专线成本更低B、 VPN技术必然涉及加密技术C、 VPN技术是一种在实际物理线路上复用出逻辑通道的技术D、 VPN技术的产生使得出差员工可以远程访问企业内部服务器答案：BDDoS攻击属于下列哪种攻击类型？A、 窥探扫描攻击B、 畸形报文攻击C、 特殊报文攻击D、 流量型攻击答案：D以下关于IPSeC.VPN中AH协议的描述，错误的是哪一项？A、 支持报文的加密B、 支持数据源验证C、 支持数据完整性校验D、 支持防报文重放答案：A231.824、对应11题在隧道模式中AH协议的认证范围区间是哪一项？A、3B、4C、 2D、 1答案：B关于风险评估的描述，以下哪个选项是错误的？（单选）A、 风险评估需要监控体系运行。B、 风险评估需要做资产收集及风险评估方法培训。C、 风险评估需要评估风险并对风险等级进行划分。D、 风险评估需要识别威胁、脆弱性、并对安全漏洞进行扫描。答案：A下列哪个信息不是双机热备中状态信息备份所包含的备份内容？（A、 IPSEC.隧道B、 NAPT相关表项C、 IPv4会话表D、 路由表答案：D甲乙通信双方进行数据通信，若采用非对称加密算法进行加密，甲发送数据给乙时，以下哪个密钥将被用于进行数据加密？A、 甲的公钥B、 甲的私钥C、 乙的公钥D、 乙的私钥答案：C攻击者通过发送ICMP应答请求,并将请求包的目的地址设为受害网络的广播地址。这种行为属于哪一种攻击？A、 IP欺骗攻击B、 Smurf攻击C、 ICMP重定向攻击D、 SYNflood攻击答案：B在状态检测防火墙中，开启状态检测机制时，三次握手的第二个报文(SYN+ACK)到达防火墙的时候，如果防火墙上还没有对应的会话表,以下哪项描述是正确的？A、 防火墙不会创建会话表，但是允许报文通过B、 如果防火墙安全策略允许报文通过，则创建会话表C、 报文一定不能通过防火墙D、 报文一定能通过防火墙，并建立会话答案：C以下关于HWTACACS协议特性的描述，错误的是哪一项？A、 使用UDP协议B、 认证与授权分离C、 除了标准的HWTACACS报文头，对报文主体全部进行加密D、 适用于进行安全控制。答案：A关于NAT技术，以下哪项描述是正确的？A、 NAT网络的内网服务器无法被外网用户访问，所以如果部署了需要对外提供服务的服务器，一定要分配一个独立的公网地址给该服务器B、 NAT降低网络监控难度C、 NAT技术只能实现地址一对一的转换，无法实现地址复用D、 N答案：D在配置GRETunnel接口时,Destination地址一般是指以下哪项参数？A、 本端Tunnel接口IP地址B、 本端外网出口IP地址C、 对端外网出口IP地址D、 对端Tunnel接口IP地址答案：C以下哪一项操作无法提高系统的防病毒能力？A、 用户不轻易打开来历不明文件。B、 对硬盘进行整理，释放空间。C、 定期升级杀毒软件。D、 定期打安全补丁答案：B关于防火墻安全策略，以下唧项是正确的？A、 缺省情况,安全策略能够对单播报文和广播报文进行控制.B、 缺省情况，安全策略能够对组播进行控制C、 缺省情况,安全策略仅对单播报文进行控制.D、 缺省情况,安全策略能够对单播报文、广播报文和组播报文进行控制答案：C安全评估方法中问卷调查针对的被调查对象不包括以下哪个选项？A、 网络系统管理员B、 安全管理员C、 HRD、 技术负责人答案：C所示，防火墙上配置了natservergIoba1202.106.1.1inside10.10.1.1,以下针对域间规则，配置正确的是？A、ruIenamecSource-zoneuntrust.Destination-zonetrust.Destination-address202.106.1.132ActionpermitB、ruIenameD,source-zoneuntrust.destination-zonetrust.Destinatior)-address10.10.1.232ActionpermitC、 ruIenameB,Source-zoneuntrust,Destination-zonetrust,Source-addressl0.10.1.132,ActionpermitD、 ruIenameB,Source-zoneuntrust,Destination-zonetrust,Source-address202.106.1.132,Actionpermit答案：B关于包过滤防火墙和应用代理防火墙的区别，以下哪一项的描述是错误的？A、 应用代理防火墙能加快内网用户访问常用网站速度。B、 包过滤防火墙通常在传输层以下实现,应用代理防火墙通常在会话层以上实现。答案：答案：B答案：答案：BC、 应用层代理防火墙能够提供用户认证。D、 包过滤防火墙不具备数据转发能为，必须和路由器配合部署。答案：D关于风险评估的描述，以下哪个选项是错误的？（A、 风险评估需要做资产收集及风险评估方法培训B、 风险评估需要识别威胁、脆弱性、并对安全漏洞进行扫描。C、 风险评估需要评估风险并对风险等级进行划分D、 风险评估需要监控体系运行。答案：D网络攻击事件发生后，根据预案设置隔离区域、汇总数据以及估计损失，上述动作属于网络安全应急响应中哪个阶段中的工作内容？A、 准备阶段B、 检测阶段C、 抑制阶段D、 恢复阶段答案：C以下哪一项不属于系统安全？A、 系统中运行的服务安全B、 安全数据库C、 操作系統安全D、 数据库系统配置安全下列不属于数字证书的类型的是？A、 本地证书B、 终端证书C、 自签名证书D、 设备本地证书答案：D以下哪一项是网络中存在的潜在威