【深信服】PT1-AF认证考试复习题库（含答案）

PAGEPAGE1【深信服】PT1-AF认证考试复习题库（含答案）一、单选题1.下列哪项不是深信服下一代防火墙的核心价值点A、可以提供全面的风险可视化，简化运维，快速定位风险B、提供企业业务全生命周期链的防护，包括从事前、事中、事后的整体防护C、提供企业内网全面的防护能力，网、端、东西向流量全方位防护D、提供应对未知威助的防护能力，应对不断变化的外部威胁答案：C2.云端易部署功能中，关于分支快速接入的方式，以下说法错误的是A、采用插入4G卡的方式，快速完成分支设备的云端易部署B、采用WIFI接入/PC接入配置的方式，快速完成分支设备的云端易部署C、设备接入DHCP线路网络中，SDW-R设备可自动获取到IP，快速完成分支设备的云端易部署D、采用插入U盘的方式，快速完成分支设备的云端易部署答案：D3.SDW-R设备中，不包含以下哪种功能?A、SANGFORVPN/标准IPSecVPN功能B、基础的静态路由功能C、支持提供WIFI功能D、支持使用防勒索、邮件安全等安全防护的功能答案：D4.防火墙按结构划分，下列不属于此类的是A、单一主机防火墙B、路由集成防火墙C、分布式防火墙D、机柜式防火墙答案：D5.]客户采购了一台AF部署在互联网出口，需要进行安全防护同时，还需要替换出口路由器，充当出口网关设备。在此部下，AF下列哪个操作是非必须的A、内网用终端配置私网IP需要上网，需要在AF上配置SNATB、内网服务器配置私网地址对外发布业务，需要在AF上配置DNATC、内网终端和服务器的网关都在同一个核心交换机上，要实现互访，需要在AF上配置回包路由D、需要调整应用控制策略，默认AF是拦截所有数据通信答案：C6.]风和日丽的中午，工程师陈工与客户了解到当前分支的深信服AC设备存在某些漏洞，此漏洞在最新的版本已经修复，那么此时陈工如何快速将所有分支完成升级?A、使用总部端BBC设备采用分支批量升级功能B、使用总部端BBC设备采用策略模板统一下发功能C、到每个分支现场将逐个设备进行升级D、使用总部AC下发升级包给分支进行升级答案：A7.邮件易部署功能说法错误的是?A、邮件易部署支持预配置LAN、WAN接口的网络配置B、邮件易部署支持预配置加入SANGFORVPN拓扑，分支设备完成邮件易部署时可自动加入SANGFORVPN拓扑C、邮件易部署支持预配置关联策略模板，分支设备完成邮件易部署可自动关联策略模板D、邮件易部署支持预配置加入标准IPSECVPN拓扑，分支设备完成邮件易部署时可自动加入标准IPSECVPN拓扑答案：D8.AF僵尸网络防护功能说法正确的是?A、恶意域名重定向功能要求AF设备路由部署B、僵尸网络默认启用恶意域名重定向C、恶意域名重定向功能要求AF设备能够上网D、恶意域名重定向的原理是恶意域名解析的IP地址将会被AF重定向成蜜罐IP地址。通过监听对蜜罐地址的访问，即可定位内网感染僵尸网络病毒的真实主机IP答案：D9.AF的多线路负载不支持以下哪种方式?A、轮询B、优先使用前面线路C、加权最小流量D、随机HASH答案：D10.关于BBC的分支接入，以下说明错误的是?A、BBC需要完成设备授权激活，分支设备才可接入到BBCB、BBC授权过期之后，BBC无法创建分支账号，分支无法接入到BBCC、分支的接入数不能超过BBC上授权的设备数D、BBC授权过期之后，在30天内任然可以创建分支账号提供给分支做接入答案：D11.以下关于AF接口的说法正确的是A、如果接口设置为路由接口，并且是ADSL拨号，需要选上添加默认路由选项，并且该选项默认勾选B、eth0为固定的管理口，接口IP为51/24且无法删除,无法修改,无法新增C、聚合接口主备模式中，会取优先级最高的接口为主接口，其余为备接口D、一个路由接口下可添加多个子接口，且路由接口的IP地址可以与子接口的IP地址在同网段答案：A12.关于BBC的分支接入所使用的是BBC的哪个端口号A、TCP5000B、TCP5001C、UDP5001D、TCP4009答案：A13.客户采购了一台AF部署在互联网出口，在不改变用户网络结构的需求下，决定采用透明部署。在此部署下，AF下列哪个

操作是非必须的A、AF自身需要上网，所以需要配置缺省路由B、需要调整应用控制策略，默认AF是拦截所有数据通信C、内网服务器配置私网地址对外发布业务，需要在AF上配置DNATD、AF如需被不同网段的终端管理，需要配置回包路由答案：C14.下列哪项操作是目前AF的MANAGE口可进行的操作A、改为透明模式的接口，支持透明部署B、禁用该接口，需要的时候再启用C、添加客户的IP地址址，做为管理地址D、删除该接口，不再使用答案：C15.]POC测试项目中，以下关于xhack工具的应用，理解错误的是A、在交付项目中，对于新上架部署的AF产品，想快速验证配置的安全策略是否正确，可使用xhack进行快速验证B、在POC测试项目中，客户想测试一些POC功能用例，可使用xhack工具给客户做POC测试用例演示C、在POC的PK测试项目中，想通过打批量ocap包优势样本的方式，和友商PK我们某方面功能的拦截检出率，可使用xhack工具进行自定义批量pcap包优势样本的导入，并支持批量回放pcap包优势样本D、在日常的设备运维中，客户想了解当前网络环境中部署的AF对内网业务的安全防护状态是否良好，可使用xhack工具过客户网络环境中部署的AF，向客户内网的业务进行模拟攻击，利用xhack工具自动生成对应的安全报告，并下载报给客户做安全分析汇报答案：D16.邮件易部署功能的基础排障思路中，以下说法错误的是?A、检查BBC的访问地址，需要保证该地址为互联网映射后的地址，保证分支可通过该地址访问到BBCB、通过易部署链接无法访问设备时，检查连接易部署的PC的IP地址配置是否与设备的LAN口默认地址同一个网段C、当分支管理员未接收到邮件时，检查下发邮件的邮箱地址是否时该管理员的邮箱地址D、但邮件易部署接入BBC失败时，需要检查BBC与云图之间的对接是否正常答案：D17.下列有关AF接口与区域的说法中，错误的是?A、AF的一个路由口下可以添加多个子接口，且路由接口的IP地址不能与子接口的IP地址在同网段B、AF的一个区域可以包含多个接口，一个接口也可以属于多个区域C、AF的虚拟网线区域只能包含虚拟网线接口，不能包含透明接口和三层接口D、单进单出透明部署情况下，可以通过配置VLAN接口IP来对设备进行管理答案：B18.IPSEC是一套协议集，它不包括下列哪个协议?A、AHB、ESPC、SSLD、IKE答案：C19.防火墙按技术划分，主要可以分为)等三大类型?A、包过滤、入侵检测、数据加密B、包过滤、入侵检测、应用代理C、包过滤、状态检测、入侵检测D、包过滤、状态检测、应用代理答案：D20.以下不是业务发布区域的服务器面临的威胁?、A、业务内容被算改，植入非法文字、图片或链接，影响公司形象B、发布应用上保存用于日常在线服务相关的敏感业务数据，容易被黑客觊觎导致数据泄露风险。C、用户通过互联网下载包含木马、后门的文件，并横向扩散感染其他终端.D、业务存在漏洞、恶意链接，被监管单位检测通报答案：C21.BBC部署形式与部署模式说法错误的是?A、可提供硬件物理设备BBCB、可提供虚拟镜像部署在云端C、使用单臂的部署模式完成设备的部署D、使用路由模式部署，作为内网的网关答案：D22.关于防病毒网关和传统防火墙的对比说明，下列说法不准确的是A、防病毒网关更关注于病毒的过滤可阻断病毒文件的传播B、防病毒网关在ISO七层模式中的工作范围要大于传统防火墙C、防病毒网关一般也具备应用控制功能模块D、防病毒网关开启杀毒功能后，在处理速度上，较传统防火墙要快答案：D23.关于深信服下一代防火墙的核心价值说法，不包含A、提供健康的上网管理B、提供安全全面可视的能力C、提供业务安全全面防护的能力D、提供未知威胁抵御的能力答案：A24.BBC的AutoVPN的作用是什么?A、通过与预定义的策略，自动创建SSLVPN连接B、通过与预定义的策略，自动创建标准IPSECVPN连接C、通过与预定义的策略，自动创建SangforVPN连接D、通过预定义的策略，启用VPN模块答案：C25.下列关于入侵检测系统的说法，不准确的是A、常见于串接部署，对流经设备的流量进行分析B、需要更新设备上的相应规则库C、一般不支持拦截所检测到的风险行为D、工作范围可涵盖L2-L7层答案：A26.以下关于AF双机说法不正确的是A、双机不能用eth0口作为业务口B、双机在接口不足的情况下，可以用eth0做心跳口C、备机没有加入网络监听的网口，对外发包同样会被抑制D、透明模式双机AF不支持STP可能会存在广播风暴问题答案：C27.部署在互联网出口的AF无法针对以下哪种方向的流量进行安全防护A、互联网区域访问内网服务区的流量。B、内网办公区访问内网服务器区的流量C、内网办公区访问互联网区域的流量D、内网服务器区访问互联网区域的流量答案：B28.客户内网部署了一台AF设备做标准IPSECVPN对接，现需要在出口防火墙上放通相应协议和端口以下需要放通的协议和端口号中，正确的是()A、IP协议号:50，51，端口:TCP1723，UDP1701AB、IP协议号:47，50，端口:TCP1723，UDP1701BC、IP协议号:50，51，端口:UDP4500，UDP500D、IP协议号:50，51，端口:TCP4009，UDP4009答案：C29.以下关于AF双机配置说法正确的是A、AF建立双机后，使用PC直连备机MANAGE口无法登录WEB控制台B、AF仅能配置一个HAIP地址C、无法登陆备机状态设备的WEB控制台D、AF双机部署，只要启用配置同步，则所有非HA的接口IP都会同步答案：D30.BBC的eth0口缺省IP地址是多少A、/24B、51/24C、52/24D、54/24答案：A31.关于BBC的告警设置，以下说法错误的是?A、针对产品线的相关告警设置需要导入对应产品线的策略模板才可进行设置B、针对CPU、内存等通用的告警设置不需要导入产品的策略模板也可进行设置C、分支设备的告警处置完成之后，BBC上会自动显示告警已处理D、BBC的告警设置无法针对各自产品线的告警内容进行设置，只能在分支端进行告警设置答案：D32.在个别场景中，会要求AF旁路部署，在旁路部署下，下列说法错误的是A、旁路部署的优势是无论是上线还是设备故障，均不会影响到用户现有网络B、旁路部署可以实现当前设备所有安全功能的防护C、旁路部署不支持对UDP协议的拦截操作D、旁路部署一般需要有一个单独管理口来进行设备的管理答案：B33.关于BBC的AutoVPN的配置思路中，下列说法错误的是?A、在总部BBC端上新建VPN拓扑，并关联总部端设备与分支端设备B、不需要在总部端配置VPN账号，分支端配置连接管理。此配置会由BBC进行自动生成C、新建VPN拓扑之前，需要保证分支端到总部端的VPN服务端口是路由可达的D、BBC上AutoVPN的功能只能进行手动下发VPN配置，无法实现自动下发VPN配置答案：D34.为构建云端、网端、终端全方位立体化的安全防护体系，深信服下一代防火墙可与其他产品进行联动，形成整体的防护，下列不属于该体系中的行为是A、联动云图，实现安威助情报快速更新补充B、联动云图，实现未知威助精准分析判断8C、联动SSL，实现终端接入安全可控D、联动EDR，实现终端安全快速处置闭环答案：C35.下列有关AF接口与区域的说法中，错误的是?A、AF的一个路由口下可以添加多个子接口，且路由接口的IP地址不能与子接口的IP地址在同网段B、AF的一个区域可以包含多个接口，一个接口也可以属于多个区域C、AF的虚拟网线区域只能包含虚拟网线接口，不能包含透明接口和三层接口D、单进单出透明部署情况下，可以通过配置VLAN接口IP来对设备进行管理答案：B36.客户购买AF主要用于做上网NAT，同时作为内网DHCP服务器，请问什么部署模式可以满足客户需求?A、路由模式B、透明模式C、旁路模式D、虚拟网线模式答案：A37.以下关于本地子网的说法，正确的是:A、本地子网只有在单臂模式下才需要添加B、本地子网只有在网关模式下才需要添加C、本地子网在单臂和网关模式下都需要添加D、本地子网的添加与部署模式没有关系，只有总部和分支设备内网非LAN口直连网段需要与对端通信才需要添加答案：D38.AF通过区域，定义并归类接口，在各类安全策略中引用区分不同区域的安全等级以及安全方向，下列关于区域的说法错误的是A、一个物理接口可以划分到多个同安全级别的区域内B、区域根据接口转发类型分为二层、三层、虚拟网线三类C、可以把三个路由属性的接口划入到同一个三层区域中D、可以通过区域关闭该区域内接口对外提供的控制台登录权限答案：A39.从目前主流的传统防火墙来看，下列哪项不能做为应用控制策略(ACL)的可控制项A、IPB、端口C、路由D、区域答案：C40.统一集中管理场景中，以下说法错误的是?A、通过总部端统一集中管理平台BBC实现分支的统一管理B、通过总部端统一集中管理平台BBC实现所有分支的运行状态查看C、通过总部端统一集中管理平台BBC实现策略的自动化配置，将策略统一下发到分支D、统一集中管理平台BBC将安全事件进行收集并分析，并进行安全统一运营答案：D41.在防火墙的高可用性技术中，下列哪些是非常少见的A、集群B、主备C、多机D、冷备答案：A42.SANGFORVPN组网，如果两个分支之间需要实现互相访问，可以用如下哪个技术解决分支之间互访的问题:A、隧道内NAT技术B、隧道间路由技术C、VPN内网权限技术D、在两个分支之间配置静态路由实现答案：B43.AF安全运营中心设置，不能实现以下哪个功能A、设置显示的风险级别，可以只显示风险级别为高的事件，其他事件一律不显示B、设置显示的IP范围，非指定的IP范围不显示在运营中心C、设置检测的风险项目，不希望关注的项目可以取消检测D、设置处置记录，对已处理的记录可以进行删除答案：A44.深信防火墙实现从“事前”、“事中”、“事后”的整体防护，其中下列哪些功能不属于事中的防护A、业务资产识别管理B、Dos/Ddos攻击防护C、漏洞攻击防护D、WAF攻击防护答案：A45.WEB应用防火墙，主要是针对WEB站点进行深入防护，下列哪项功能不是当前主流WEB防火墙的重点A、针对weblogic的漏洞有相应防护能力B、针对webshell上传有相应的防护能力C、针对挖矿病毒有相应的防护能力D、针对CC攻击有相应的防护能力答案：C46.SDW-R的4G冷备功能说法正确的是?A、4G冷备功能不会对线路进行探测B、4G冷备功能需要提前在SDW-R进行全接口的SNAT规则的设置C、4G冷备功能不需要关注4G接口是否启用，直接在SDW-R设备端启用4G冷备功能即可D、当有线线路故障时，4G卡插入SDWR设备之前不需要关注设备是否有插入天线。答案：B47.路由属性的接口，都有链接故障检测的功能，关于链路检测功能的说法，错误的是A、链路检测结果支持做为双机切换的条件B、链路检测结果支持做为接口是否启用的生效条件C、链路检测结果支持做为静态路由是否生效的条件D、链路检测结果支持做为策略路由选路的条件答案：B48.部署在数据中心出口的AF无法针对以下哪种方向的流量进行安全防护A、互联网区域访问内网服务区的流量。B、内网办公区访问内网服务器区的流量C、内网办公区访问互联网区域的流量D、内网服务器区访问互联网区域的流量答案：C49.客户购买了一台AF设备，现需要对接第三方设备实现总部与分支之间的内网互通，以下那种VPN对接是可以正常对接起来的?A、标准IPSecVPNB、SANGFORVPNC、SSLVPND、以上选项均不正确答案：A50.SDW-R的VRRP高可用功能说明中，以下说法错误的是?A、网关模式VRRP下，HA接口启用OSPF邻居主要是用于故障切换时保证来回路由完整性，避免业务中断B、SDW-R设备的LAN接口和WAN接口均可启用VRRP组，通过不同的VRRP组来进行VRRP协商C、启用VRRP的接口必须二层可达，可连接二层交换机透传vrrp报文，组播地址8D、两台SDW-R启用VRRP的LAN接口可以配置不同网段的IP，两台SDW-R启用VRRP的LAN区域的工作IP可以与是不同网段的IP答案：D51.连锁分支组网场景中需求与功能匹配关系错误的是?A、通过总部与分支之间的VPN连接实现分支访问总部的内网互访B、连锁/小型分支通过使用SDW-R来减少分支IT成本的投入C、通过总部BBC统一集中管理运维分支设备，提升总部人员的IT运维效率D、总部运维人员通过互联网线路映射80/443等端口直接运维分支设备，此方式提升总部运维人员的效率答案：D52.单进单出网桥的环境下，为什么AF推荐使用虚拟网线接口部署?A、虚拟网线接口是普通的交换接口B、虚拟网线接口不需要配置IP地址C、虚拟网线接口不支持路由转发D、虚拟网线接口转发数据帧时，无需检查MAC表，直接从虚拟网线配对的接口转发答案：D53.统一集中管理场景中，关于BBC设备的功能使用，以下说法正确的是?A、BBC作为统一集中管理平台统一纳管深信服的AF/AC等安全设备B、BBC作为VPN总部接入端，为分支提供VPN接入，保障总部与分支的连通性C、BBC可以通过命令行下发的方式进行分支统一管理D、BBC作为总部或者分支网络出口路由设备，为总部或者分支提供路由转发的功能答案：A54.以下关于AF双机配置说法正确的是A、AF建立双机后，使用PC直连备机MANAGE口无法登录WEB控制台B、自动对焦仅能配置一个主机地址C、无法登陆备机状态设备的WEB控制台D、双机部署，只要启用配置同步，则所有非高可用的接口都会同步答案：D55.[连锁分支组网]以下连锁分支组网场景的特点中，说法错误的是?A、分支机构分散而且数量众多，基本上覆盖全省区域或者全国区域B、分支IT建设成本高，需要多种安全设备和数通设备进行组网C、分支无IT管理人员，针对设备的部署与运维难度巨大D、分支到总部之间的业务访问通过专线访问，不需要考虑专线线路成本受连锁分支快速开/关店的影响答案：D56.AF的业务安全中心，把事件根据风险进行分类，如果是检测到用户网站只有被扫描的日志记录，而无其他风险记录，此类事件会被归为哪类A、已被入侵B、曾被攻击C、曾被收集信息D、存在漏洞答案：C57.POC测试项目中，以下关于xhack工具靶机的安装，理解正确的是A、使用xhack的[安全数据流检测]中的“数据流检测”功能模块时，靶机的安装要求客户端和服务端都要安装xhack，且DNAT场景中，AF需要做端口映射B、使用xhack的[安全数据流检测]中的“PcapPkt检测”功能模块时，靶机的安装要求客户端和服务端都要安装xhack，且DNAT场景中，AF需要做全端口映射C、使用xhack的[安全数据流检测]中的“威助情报检测”功能模块时，靶机的安装要求客户端和服务端都要安装xhack，且DNAT场景中，AF对于靶机的DNAT映射只能映射为80端口D、使用xhack的[实况靶场]中的“web实况攻击”功能模块时，靶机的安装要求客户端和服务端都要安装xhack，且DNAT场景中，AF对于靶机的DNAT映射只能映射为80端口答案：A58.关于BBC的分支接入，以下排障思路错误的是?A、检查分支的接入地址与端口是否配置正确，是否属于总部端映射出来的地址与端口B、检查分支的接入账号信息与总部端BBC配置的账号信息是否一致C、检查分支到总部BBC接入地址的连通性，确认分支可访问到BBC的接入服务端口D、检查分支端设备是否能接受到BBC下发的策略配置答案：D59.基于当前的外部威助环境，下列哪项不是传统安全建设的弊端A、成本比较高，要采购很多各类的安全产品B、防护全面性不够，无法防护到终端侧的安全C、运维比较难，各个产品及厂商的日志独立，无法综合分析D、数据处理效率比较低，数据交互要经过多套安全产品的串行处理答案：B60.关于传统的总部管理分支的场景特性中，以下说法错误的是?\A、分支数量众多，涉及到所有分支策略调整、升级变更是难度大。B、分支的部分运维端口需要映射到互联网，总部通过互联网方式运维分支C、总部管理分支设备，十分便捷，通过互联网访问即可访问到分支端设备D、总部通过互联网访问的方式，运维分支设备，分支设备存在安全风险的问题答案：C61.关于防病毒网关和传统防火墙的对比说明，下列说法不准确的是A、防病毒网关更关注于病毒的过滤，可阻断病毒文件的传播B、防病毒网关在ISO七层模式中的工作范围要大于传统防火墙C、防病毒网关一般也具备应用控制功能模块D、防病毒网关开启杀毒功能后，在处理速度上，较传统防火墙要快答案：D62.对新建的应用连接，预先设置安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成规则表。对该连接的后续数据包，只要符合规则表就可以通过。这种防火墙技术称为?A、包过滤技术B、状态检测技术C、代理服务技术D、入侵检测技术答案：B63.AF以下什么部署模式支持使用标准IPSecVPN/SANGFORVPN的功能?A、路由模式B、透明模式C、虚拟网线模式D、旁路模式答案：A64.客户采购了一台AF部署在互联网出口，需要进行安全防护同时，还需要替换出口路由器，充当出口网关设备。在此部署下，AF下列哪个操作是非必须的A、内网用终端配置私网IP需要上网，需要在AF上配置SNATB、内网服务器配置私网地址对外发布业务，需要在AF上配置DNATC、内网终端和服务器的网关都在同一个核心交换机上，要实现互访，需要在AF上配置回包路由D、需要调整应用控制策略，默认AF是拦截所有数据通信答案：C65.下列功能中，AF旁路部署时不支持的是?A、僵尸网络B、DNS代理C、WEB应用防护D、实时漏洞分析答案：B66.连锁分支组网场景中关于分支快速部署上线的方式，以下说法错误的是?A、SDW-R通过云端注册开局的方式上线B、SDW-R通过邮件注册的方式上线C、SDW-R通过U盘易部署的方式上线D、AF通过邮件注册的方式上线答案：C67.云端易部署功能所使用到的深信服产品，以下错误的是?A、SDWRB、BBCC、云图D、云镜答案：D68.客户处新采购一台AF放在出口，需要代理内网用户上网且对外发布的服务器要直接配置公网地址，下述哪种部署模式最合适A、旁路镜像模式B、透明模式C、虚拟网线模式D、混合模式答案：D69.下列关于目前主流厂商包过滤防火墙的说法，不准确的是A、主要工作在网络层和传输层B、可以支持路由转发功能C、支持自动学习后生成拦截动作D、一般有处理速度快，价格便宜的优点答案：C70.目前AF的接口，根据工作的层面，不可以划分的区域有A、三层区域B、镜像区域C、二层区域D、虚拟网线区域答案：B71.关于AF链路故障检测，下列说法正确的是?A、链路故障检测最多可配置两组IP，每组可配置8个IPB、任何一组内的某个IP检测不通即判定链路故障C、任何一组内的所有IP检测不通才判定链路故障D、多组内的所有IP检测不通时才判定链路故障答案：C72.云端易部署功能中，关于分支快速接入的方式，以下说法错误的是?A、采用插入4G卡的方式，快速完成分支设备的云端易部署B、采用WIFI接入/PC接入配置的方式，快速完成分支设备的云端易部署C、设备接入DHCP线路网络中，SDW-R设备可自动获取到IP，快速完成分支设备的云端易部署D、采用插入U盘的方式，快速完成分支设备的云端易部署答案：D73.下列关于目前主流厂商包过滤防火墙的说法，不准确的是()?A、主要工作在网络层和传输层B、可以支持路由转发功能C、支持自动学习后生成拦截动作D、一般有处理速度快，价格便宜的优点答案：C74.关于BBC的分支序列号批量更新功能，以下说法错误的是?A、设备接入BBC之后，会自动上报序列号信息到BBCB、BBC不支持分支序列号批量导出或者导入功能C、BBC导出的分支设备序列号表格中不包含具体的功能序列号D、BBC导入序列号信息之后，可对分支设备进行批量更新答案：B75.关于地域访问控制与应用控制功能说法正确的是A、先匹配地域访问控制，再匹配应用控制B、先匹配应用控制，再匹配地域访问控制C、地域访问控制与应用控制策略是同时匹配D、先匹配的地址访问控制的拒绝之后，还是会匹配应用控制策略答案：A76.对于漏洞攻击防护拦截业务，使用下列哪种方法放通业务(不能影响到策略正常运行)是正确的:A、直接绕开设备B、删除漏洞攻击防护策略BC、将源目的ip加入全局排除D、将拦截业务的规则id动作改成允许答案：D77.关于AF旁路部署的说法错误的是?A、不需要单独配置管理接口B、需要开启旁路reset功能，才能实现阻断C、防护策略对FTP服务器有效D、设备宿机也不会对现有业务造成影响答案：A78.vlan接口是一种逻辑接口，下列关于vlan接口的说法，错误的是A、vlan接口属于路由属性接口，可配置IP地址B、vlan接口可以支持链路探测功能C、vlan接口只能划分到三层区域D、vlan接口支持adsl拨号答案：D79.单进单出网桥的环境下，为什么AF推荐使用虚拟网线接口部署A、虚拟网线接口是普通的交换接口B、虚拟网线接口不需要配置IP地址C、虚拟网线接口不支持路由转发D、虚拟网线接口转发数据帧时，无需检查MAC表，直接从虚拟网线配对的接口转发答案：D80.关于NGFW(下一代防火墙)和UTM(统一威助管理)的差异说明，说法不准确的是A、UTM工作在L2-L4层，NGFW工作在L2-L7层B、UTM对经过的数据包是串行解析处理，NGFW是并行解析处理C、UTM一般不带WAF功能，NGFW一般带有WAF功能D、相较UTM，NGFW的处理性能要更强答案：A81.POC测试项目中，以下关于xhack工具的相关应用，理解错误的是()A、xhack应用场景中，xhack所有功能模块的使用，都不受AF部署模式的影响B、xhack应用场景中，关于靶机的部署，xhack还不能对接客户自己提供的靶机，只能对接我们对应搭配的靶机C、xhack应用场景中，关于xhack客户端和靶机连通性的校验，如果审接在中间的AF设备配置的是DNAT场景，AF需要针对靶机做端口映射，否则靶机的连通性校验不能成功D、xhack应用场景中，hack通过"数据流检测”进行的样本流回放，和通过"PcapPkt检测”进行的样本包回放，都支持自动修改样本自带的IP地址为测试环境的真实IP地址，使得在AF上产生的攻击拦截日志中，看到的IP地址就是真实攻击测试环境的IP地址答案：A82.AF的安全运营中心功能，自动/手动评估后，重点需要关注哪个模块的结论并处置A、风险评估B、动态保护C、监测与分析D、待办事件E、通过总部端统一集中管理平台BBC实现所有分支的运行状态查看F、通过总部端统一集中管理平台BBC实现策略的自动化配置，将策略统一下发到分支G、统一集中管理平台BBC将安全事件进行收集并分析，并进行安全统一运营答案：D83.关于BBC的分支接入，关于接入BBC的分支设备中，以下说法错误的是?A、支持AF设备接入B、支持AC设备接入C、支持AD设备接入D、支持SDW-R设备接入答案：C84.关于AF物理接口配置路由模式情况下，相关功能配置，说法错误的是A、不能在界面直接调整接口的MTUB、配置的下一跳网关不会生成8个0的缺省路由C、勾选的WAN属性，会影影响到流控、流审功能的使用D、设置的线路带宽，与流控功能没有关系答案：A85.VPN组网场景]在标准IPSecVPN/SANFORVPN组网场景中，以下需求描述错误的是?A、通过VPN技术打通总部与分支的内网，实现总部分支“大内网”的需求B、需保障数据在传输过程中的数据安全性(保密性、完整性、数据来源的身份验证等)的要求C、满足