华为认证安全方向HCIP-Security H12-725 V4.0更新题库汇总（含答案）

PAGEPAGE1华为认证安全方向HCIP-SecurityH12-725V4.0更新题库汇总（含答案）一、单选题1.以下关于渗透测试中黑盒测试的描述，错误的是哪一项？A、测试覆盖率较低。一般只能覆盖到代码的30%B、可以提高代码的质量，发现代码中隐藏的问题C、更贴近用户的实际使用场景D、测试过程较为简单，不需要了解程序内部的代码结构及特性答案：B解析：本题考察对黑盒测试的理解。黑盒测试是一种测试方法，它不需要了解程序内部的代码结构及特性，只关注程序的输入和输出，从用户的角度出发，模拟用户的操作，测试程序的功能是否符合需求。因此，选项A、C、D都是黑盒测试的特点。而选项B是错误的，因为黑盒测试并不能提高代码的质量，它只能发现代码中隐藏的问题，但并不能解决这些问题。因此，答案是B。2.以下哪一项不属于畸形报文攻击？A、WinNuke攻击B、PingofDeath攻击C、超大ICMP报文攻击D、IP欺骗攻击答案：D解析：本题考察的是畸形报文攻击的相关知识。畸形报文攻击是指攻击者通过构造特定的畸形报文，利用系统漏洞或者网络协议的缺陷，使目标系统崩溃或者无法正常工作，从而达到攻击的目的。A.WinNuke攻击：是一种针对Windows系统的攻击方式，攻击者通过向目标系统发送特定的TCP包，使其崩溃或者死机。B.PingofDeath攻击：是一种利用ICMP协议的攻击方式，攻击者通过发送超大的ICMP包，使目标系统崩溃或者死机。C.超大ICMP报文攻击：是一种利用ICMP协议的攻击方式，攻击者通过发送大量的ICMP包，使目标系统的网络带宽被占满，从而导致网络拥塞或者崩溃。D.IP欺骗攻击：不属于畸形报文攻击，它是一种利用网络协议的漏洞或者缺陷，伪造IP地址，欺骗目标系统的攻击方式。综上所述，答案为D。3.以下关于华为入侵防御特性配置流程的排序，正确的是哪一项？A、配置入侵防卸文件-＞升级特征库-＞配置签名-＞验证与检查B、升级特征库-＞配置入侵防御文件-＞配署签名-＞验证与检查C、配置签名-＞升级特征库-＞配置入侵防御文件-＞验证与检查D、升级特征库-＞配置签名-＞配置入侵防御文件-＞验证与检查答案：D解析：本题考察的是华为入侵防御特性配置流程的正确排序。根据选项，我们可以将每个步骤的含义简单概括如下：A.配置入侵防卸文件：配置入侵防御的卸载文件升级特征库：升级入侵防御特征库配置签名：配置入侵防御的签名验证与检查：验证和检查入侵防御的配置是否正确B.升级特征库：升级入侵防御特征库配置入侵防御文件：配置入侵防御的文件配署签名：部署入侵防御的签名验证与检查：验证和检查入侵防御的配置是否正确C.配置签名：配置入侵防御的签名升级特征库：升级入侵防御特征库配置入侵防御文件：配置入侵防御的文件验证与检查：验证和检查入侵防御的配置是否正确D.升级特征库：升级入侵防御特征库配置签名：配置入侵防御的签名配置入侵防御文件：配置入侵防御的文件验证与检查：验证和检查入侵防御的配置是否正确根据华为官方文档，正确的配置流程应该是先升级特征库，再配置签名，最后配置入侵防御文件，最后进行验证和检查。因此，正确答案为D。4.以下哪一项不是URL的匹配方式？A、精确匹配B、模糊匹配C、前缀匹配D、后缀匹配答案：B解析：本题考察的是URL的匹配方式。URL匹配方式主要有精确匹配、前缀匹配和后缀匹配三种。其中，精确匹配是指URL完全匹配，前缀匹配是指URL以某个字符串开头匹配，后缀匹配是指URL以某个字符串结尾匹配。而模糊匹配并不是URL的匹配方式，因此选项B是本题的正确答案。5.以下关于Eth-Trunk特点的描述，错误的是哪项？A、Eth-Trunk可以是二层接口，也可以是三层接口B、Eth-Trunk是一个逻辑接口C、Eth-Trunk成员链路最少为2个D、Eth-Trunk活动链路最少为1个答案：C解析：本题考察对于Eth-Trunk的特点的理解。根据题目描述，选项A正确，因为Eth-Trunk可以是二层接口，也可以是三层接口；选项B正确，因为Eth-Trunk是一个逻辑接口，它可以将多个物理接口捆绑成一个逻辑接口，提高链路带宽和可靠性；选项D正确，因为Eth-Trunk活动链路最少为1个，即至少有一个物理接口处于工作状态。因此，选项C是错误的，因为Eth-Trunk成员链路最少为2个，即至少需要两个物理接口才能组成一个Eth-Trunk。因此，本题答案为C。6.针对SIPFlood攻击，华为防火堰能采取以下哪一项的防范技术？A、源探测B、指纹防范C、首包丢弃D、限流答案：A解析：SIPFlood攻击是一种利用SessionInitiationProtocol（SIP）协议的洪水攻击，攻击者发送大量的SIP请求，使得服务器无法处理正常的请求。为了防范这种攻击，华为防火墙可以采取以下几种技术：A.源探测：源探测技术可以检测到SIPFlood攻击的源IP地址，并将其列入黑名单，从而防止攻击者继续发起攻击。B.指纹防范：指纹防范技术可以识别SIPFlood攻击的特征，例如攻击者使用的SIP消息类型、SIP消息的大小等，从而防止攻击者继续发起攻击。C.首包丢弃：首包丢弃技术可以丢弃SIPFlood攻击的第一个请求包，从而防止攻击者继续发起攻击。D.限流：限流技术可以限制SIPFlood攻击的流量，从而防止服务器被过多的请求包淹没。综上所述，针对SIPFlood攻击，华为防火墙可以采取多种防范技术，其中源探测技术是一种有效的防范手段。7.以下哪一项是入侵防御特征库中包含的签名？A、例外签名B、自定义签名C、预定义签名D、签名过滤器答案：C解析：8.某企业的业务形态复杂，横块之间使用多种协议进行通信，为确保通信数据安全，防止第三方窃取关健数据信息，应该尽量避免使用以下哪一通信协议？A、SSHB、SFTPC、HTTPSD、HTTP答案：D解析：本题考察的是通信协议的安全性。SSH、SFTP和HTTPS都是安全的通信协议，可以保证通信数据的安全性。而HTTP协议是明文传输的，数据容易被第三方窃取，因此不安全。因此，为确保通信数据安全，防止第三方窃取关键数据信息，应该尽量避免使用HTTP协议，故选D。9.如图所示，以下关于基于透明模式双机热备描述，错误的是哪项？A、由于防火墙的业务接口工作在二层，因此不能运行与IP地址相关的业务B、在此组网中，防火墙透明接入到原有交换机网络，不改变网络拓扑C、推荐该组网以负载分担方式工作，分担用户流量D、默认情况下，不会根据VGMP组状态调整任何VLAN的状态答案：C解析：本题考察基于透明模式双机热备的相关知识点。A选项描述的是基于透明模式双机热备的限制，因为防火墙的业务接口工作在二层，所以不能运行与IP地址相关的业务，这是正确的。B选项描述的是基于透明模式双机热备的特点，防火墙透明接入到原有交换机网络，不改变网络拓扑，这是正确的。C选项描述的是基于透明模式双机热备的推荐工作方式，即以负载分担方式工作，分担用户流量，这是错误的。基于透明模式双机热备的推荐工作方式是以主备方式工作，即主设备负责处理所有的流量，备设备处于备份状态，不处理流量。D选项描述的是基于透明模式双机热备的默认行为，即不会根据VGMP组状态调整任何VLAN的状态，这是正确的。综上所述，本题的答案是C。10.RADIUS协议支持认证、授权和计费功能，RADIUS服务器是通过以下哪一报文下发授权的？A、Access-RequestB、Access-AcceptC、Accounting-ResponseD、Accounting-Request答案：B解析：本题考查RADIUS协议的认证、授权和计费功能。RADIUS协议是一种用于网络访问控制的协议，支持认证、授权和计费功能。在RADIUS协议中，当客户端请求访问网络资源时，会向RADIUS服务器发送Access-Request报文，RADIUS服务器会对该请求进行认证和授权，并向客户端发送Access-Accept或Access-Reject报文。因此，选项A和D都不是下发授权的报文。Accounting-Request报文是用于计费的报文，而不是下发授权的报文。因此，正确答案是B，即RADIUS服务器是通过Access-Accept报文下发授权的。11.如图所示，FW_A与FW_B建立IPSec隧道，在FW_A上执行命今displayikesa，得到信息如下:(FWA＞displayikesaCurrentikesanumber:0以下哪一项不是IPSec隧道建立失败的可能原因?A、到IKE对等体的路由不可达B、两端ACL没有交集C、本端的“对端网关”和对端的“本地地址”不匹配D、加密算法不一致答案：B解析：根据题目描述，FW_A与FW_B建立IPSec隧道，在FW_A上执行命今displayikesa，得到信息如下，但是没有提供IPSec隧道建立失败的具体原因。因此，需要根据选项分析，哪一项不是IPSec隧道建立失败的可能原因。A.到IKE对等体的路由不可达：如果IKE对等体的路由不可达，那么IPSec隧道无法建立，因此这是IPSec隧道建立失败的可能原因之一。B.两端ACL没有交集：如果两端ACL没有交集，那么IPSec隧道无法建立，因此这是IPSec隧道建立失败的可能原因之一。C.本端的“对端网关”和对端的“本地地址”不匹配：如果本端的“对端网关”和对端的“本地地址”不匹配，那么IPSec隧道无法建立，因此这是IPSec隧道建立失败的可能原因之一。D.加密算法不一致：如果加密算法不一致，那么IPSec隧道无法建立，因此这是IPSec隧道建立失败的可能原因之一。综上所述，根据选项分析，不是IPSec隧道建立失败的可能原因是B选项，即两端ACL没有交集。因此，B选项是本题的答案。12.带宽通道定义了具体的带宽资源，是进行带宽管理的基础。以下哪一项是带宽通道中可以定义的资源？A、带宽策略B、每日流量配额C、出口带宽限制D、策略独占答案：D解析：本题考察的是带宽通道中可以定义的资源。带宽通道是进行带宽管理的基础，它定义了具体的带宽资源。在带宽通道中，可以定义多种资源，包括带宽策略、每日流量配额、出口带宽限制和策略独占等。根据题目要求，需要选择其中可以定义的资源，因此选项A、B、C和D都是可能的答案。但是，根据华为安全最新H12-725考试的相关知识点，策略独占是一种可以在带宽通道中定义的资源，因此正确答案是D。13.如图所示为HTTPFlood的防御原理，请问图中显示的是哪一种源探测技术？A、302重定向模式B、基本模式C、URI监测D、增强模式答案：D解析：这道题目考察的是HTTPFlood攻击的防御原理中的源探测技术。根据图中所示，可以看到防御原理采用了增强模式来进行源探测技术的防御。增强模式是一种源探测技术，它可以通过对HTTP请求进行分析，识别出恶意请求的源IP地址，并将其加入到黑名单中，从而防止攻击者继续发起攻击。增强模式的优点是可以有效地防御各种类型的HTTPFlood攻击，包括GETFlood、POSTFlood、Slowloris等攻击。相比之下，其他选项都不是源探测技术。302重定向模式是一种重定向技术，可以将恶意请求重定向到其他页面，从而减轻服务器的负载。基本模式和URI监测都是基于规则的防御技术，可以通过设置规则来防御HTTPFlood攻击。但是，这些技术都比较容易被攻击者绕过，因此不如增强模式有效。因此，本题的正确答案是D，即增强模式。14.IPSec使用证书认证时，需要验证对端证书的合法性，以下哪项不是验证证书合法性需要考虑的因素？A、证书是否由同一方式申请B、证书是否位于有效期C、证书是否位于CRL存储库中D、证书是否由同一CA颁发答案：D解析：IPSec使用证书认证时，需要验证对端证书的合法性，以确保通信的安全性。在验证证书合法性时，需要考虑以下因素：A.证书是否由同一方式申请：验证证书是否是由合法的申请者申请的，以确保证书的真实性和可信度。B.证书是否位于有效期：验证证书是否在有效期内，以确保证书的有效性和可信度。C.证书是否位于CRL存储库中：验证证书是否被吊销，以确保证书的可信度和安全性。D.证书是否由同一CA颁发：这个选项不是验证证书合法性需要考虑的因素，因为证书是否由同一CA颁发并不影响证书的真实性和可信度。因此，答案为D。15.以下哪一项是防火墙虚拟系统正确的用户名格式？A、虚拟系统名管理员名B、管理员名虚拟系统名C、管理员名虚拟系统名D、虚拟系统名管理员名答案：B解析：本题考察防火墙虚拟系统的用户名格式。防火墙虚拟系统的用户名格式为“管理员名虚拟系统名”，其中“”表示分隔符，用于区分管理员名和虚拟系统名。因此，正确答案为B。选项A中虚拟系统名和管理员名的顺序颠倒；选项C中缺少分隔符；选项D中虚拟系统名和管理员名的顺序颠倒。因此，这些选项都不是防火墙虚拟系统正确的用户名格式。16.以下哪一项资源属于给虚拟系统分配的定额资源？A、策略数B、VLANC、接口D、安全区域答案：D解析：本题考察的是虚拟系统中的定额资源。虚拟系统是华为防火墙中的一种虚拟化技术，可以将一个物理防火墙划分为多个逻辑防火墙，每个虚拟系统都有自己的配置和管理。定额资源是指在虚拟系统中为每个虚拟系统分配的资源数量，包括接口、安全区域、策略数等。根据题目所述，属于给虚拟系统分配的定额资源的选项是D，即安全区域。因此，本题的答案是D。选项A、B、C都是虚拟系统中的资源，但不属于定额资源。17.在Linux主机上查看是否存在异常的任务计划（非用户自行设定），可使用以下哪一个命令？A、crontab-umysqlB、crontab-eC、crontab-rD、crontab-l答案：D解析：本题考查Linux主机上查看是否存在异常的任务计划的命令。选项A的命令是查看mysql用户的任务计划，不符合题意；选项B的命令是编辑当前用户的任务计划，也不符合题意；选项C的命令是删除当前用户的任务计划，更不符合题意。因此，正确答案为D，即使用“crontab-l”命令可以列出当前用户的任务计划，从而查看是否存在异常的任务计划。18.以下哪一项不是策略路由的匹配条件?A、源安全区域B、源IP地址C、源端口号D、DSCP优先级答案：C解析：策略路由是一种基于特定条件的路由选择方式，可以根据不同的匹配条件来选择不同的路由策略。在给出的选项中，源安全区域、源IP地址和DSCP优先级都可以作为策略路由的匹配条件，而源端口号不是策略路由的匹配条件。因此，选项C是本题的正确答案。19.Portal认证场景中，当采用iMasterNCE-Campus作为Portal服务器，华为无线控制器为接入设备时，无线控制器处理Portal协议报文的端口号默认为以下哪一个？A、50200B、1813C、2000D、1812答案：C解析：在Portal认证场景中，当采用iMasterNCE-Campus作为Portal服务器，华为无线控制器为接入设备时，无线控制器处理Portal协议报文的端口号默认为2000。解析：在华为无线控制器和iMasterNCE-Campus之间进行Portal认证时，无线控制器作为接入设备，需要向Portal服务器发送认证请求。此时，无线控制器会使用默认的端口号2000来处理Portal协议报文。因此，答案为C。20.以下哪项参数不是全局选路策略分类的条件？A、端口号B、带宽C、权重D、质量答案：A解析：本题考查的是全局选路策略分类的条件。全局选路策略是指在网络中，根据一定的条件和算法，选择最优的路径进行数据传输。而全局选路策略分类的条件包括带宽、权重、质量等，而不包括端口号。因此，本题的正确答案是A。选项解析：A.端口号：端口号是指在网络通信中，用于标识不同应用程序或服务的数字标识符。但是，它并不是全局选路策略分类的条件。B.带宽：带宽是指网络传输数据的速率，是全局选路策略分类的条件之一。C.权重：权重是指在多条路径中，为每条路径分配的优先级，是全局选路策略分类的条件之一。D.质量：质量是指网络传输数据的可靠性和稳定性，是全局选路策略分类的条件之一。21.以下关于HTTPFlood防御的描述，错误的是哪项？A、如果攻击过程中使用的免费代理支持重定向功能，会导致基本模式的防御失效B、源认证防御方式是防御HTTPFlood最常用的手段，这种防御方式适用于客户端为浏览器的HTTP服务器场景C、基于增强模式的防御可以通过让用户输入验证码，由此判断TTP访问是否由真实的用户发起D、基于基本模式的防御无法有效阻止来自非浏览器客户端的访问答案：D解析：本题考察的是HTTPFlood防御的相关知识点。以下是各选项的解析：A.如果攻击过程中使用的免费代理支持重定向功能，会导致基本模式的防御失效。这是正确的描述，因为基本模式的防御是通过限制每个IP地址的最大连接数来实现的，而使用免费代理可以绕过这种限制。B.源认证防御方式是防御HTTPFlood最常用的手段，这种防御方式适用于客户端为浏览器的HTTP服务器场景。这是错误的描述，因为源认证防御方式并不是防御HTTPFlood最常用的手段，而且它只适用于一些特定的HTTP服务器场景。C.基于增强模式的防御可以通过让用户输入验证码，由此判断HTTP访问是否由真实的用户发起。这是正确的描述，因为增强模式的防御是通过让用户输入验证码或者进行其他人机验证来判断HTTP访问是否由真实的用户发起的。D.基于基本模式的防御无法有效阻止来自非浏览器客户端的访问。这是错误的描述，因为基本模式的防御可以通过限制每个IP地址的最大连接数来防止来自非浏览器客户端的访问。综上所述，本题的错误选项是D。22.在渗透测试过程中，以下哪一项工具常被用于端口扫描?A、AircrackB、TracertC、NmapD、Wireshark答案：C解析：在渗透测试过程中，端口扫描是一项非常重要的任务，因为它可以帮助测试人员发现目标系统上开放的端口和服务，从而确定攻击面和攻击方式。在这个过程中，常用的工具是Nmap。Aircrack是一个用于破解无线网络密码的工具，Tracert是一个用于跟踪网络数据包路径的工具，Wireshark是一个用于网络协议分析的工具，它们都不是专门用于端口扫描的工具。因此，正确答案是C，即Nmap。23.以下哪个不是文件类型识别结果的异常情况A、文件扩展名不匹配B、文件类型无法识别C、文件损坏D、文件被压缩答案：D解析：文件类型识别结果有三种异常情况:.文件扩展名不匹配:文件类型与文件扩展名不致。●文件类型无法识别:无法识别出文件类型，且没有文件扩展名。●文件损坏:由于文件被破坏而无法进行文件类型识别。24.以下关于虚拟系统分流的描述，错误的是哪一项？A、接口工作在二层时，采用基于VLAN的分流方式B、接口工作在三层时，采用基于接口的分流方式C、通过分流能将进入设备的报文送入正确的虚拟系统处理D、采用基于接口的分流方式时，管理口可以分配给指定的虚拟系统答案：D解析：本题考察虚拟系统分流的相关知识。虚拟系统分流是指将进入设备的报文送入正确的虚拟系统处理，以实现虚拟系统之间的隔离。根据题目描述，接口工作在二层时采用基于VLAN的分流方式，接口工作在三层时采用基于接口的分流方式，这两个描述都是正确的。而选项D中提到管理口可以分配给指定的虚拟系统，这是错误的描述，因为管理口不能分配给虚拟系统。因此，本题的答案是D。25.恶意URL是指包含恶意信息的URL，以下哪一项不是恶意URL的来源？A、沙箱反馈的恶意URLB、入侵防御功能反馈的恶意URLC、本地信誉中包含的URLD、反病毒功能反馈的恶意URL答案：B解析：本题考察恶意URL的来源。恶意URL是指包含恶意信息的URL，可能会导致计算机系统受到攻击或感染病毒等。选项A、D都是反馈恶意URL的来源，沙箱和反病毒功能都可以检测到恶意URL。选项C中提到的本地信誉是指根据URL的历史行为和特征，对其进行评估和分类，从而判断其是否为恶意URL。因此，选项C也是恶意URL的来源。选项B中提到的入侵防御功能反馈的恶意URL并不是恶意URL的来源，而是入侵防御功能检测到恶意URL后，将其反馈给用户的一种方式。因此，选项B是本题的正确答案。26.在虚拟系统中，引流表记录的是以下哪一种归属关系?A、MAC地址与虚拟系统B、IP地址与虚拟系统C、IP地址与安全策略D、安全策略与虚拟系统答案：B解析：27.如图所示是防火墙负载分担组网，上下行设备为交换机。以下关于该场景中防火墙VGMP组状态的描述，正确的是哪一项？A、防火墙A：Active，防火墙B：StandbyB、防火墙A：Master，防火墙B：BackupC、防火墙A：Master，防火墙B：MasterD、防火墙A：Active，防火墙B：Active答案：D解析：根据图中的VGMP组状态，可以看到防火墙A和防火墙B的状态都是Active，说明两台防火墙都在工作状态，共同承担防火墙的负载，实现负载均衡。因此，选项D是正确的描述。选项A和B中都有一台防火墙处于备份状态，不符合实际情况。选项C中两台防火墙都是Master状态，也不符合实际情况。因此，答案为D。28.对于正常的TCP报文，标志位可能出现以下哪一种情况？A、RST和FIN同时为1B、FIN和URG同时为1C、SYN和ACK同时为1D、SYN和RST同时为1答案：C解析：TCP报文头部有6个标志位，分别是URG、ACK、PSH、RST、SYN、FIN。这些标志位用于控制TCP连接的建立、维护和关闭。正常的TCP连接建立过程中，客户端发送SYN标志位，服务器端回复ACK和SYN标志位，客户端再回复ACK标志位，这样连接就建立成功了。因此，对于正常的TCP报文，标志位可能出现以下哪一种情况？A.RST和FIN同时为1：这种情况表示TCP连接被强制关闭，即客户端或服务器端发送了RST标志位，表示强制关闭连接，同时发送FIN标志位，表示关闭连接。B.FIN和URG同时为1：这种情况表示TCP连接被关闭，同时还有紧急数据需要传输，即发送FIN标志位表示关闭连接，同时发送URG标志位表示有紧急数据需要传输。C.SYN和ACK同时为1：这种情况表示TCP连接建立成功，即客户端发送SYN标志位，服务器端回复ACK和SYN标志位，客户端再回复ACK标志位，连接建立成功。D.SYN和RST同时为1：这种情况表示TCP连接建立失败，即客户端发送SYN标志位，服务器端回复RST标志位，连接建立失败。因此，对于正常的TCP报文，标志位可能出现的情况是C，即SYN和ACK同时为1。29.使用iMasterNCE-Campus作为Portal服务器时，为了能够让iMasterNCE-Campus根据用户的IP地址匹配对应的Portal页面。在接入设备配置URL模板时，需要配置以下哪种URLparameter？A、ssidB、device-macC、user-macD、user-ipaddress答案：D解析：本题考察的是使用iMasterNCE-Campus作为Portal服务器时，为了能够让iMasterNCE-Campus根据用户的IP地址匹配对应的Portal页面，需要在接入设备配置URL模板时配置哪种URLparameter。首先，我们需要了解一下什么是Portal服务器。Portal服务器是一种网络认证方式，它通过重定向用户的请求到一个认证页面，要求用户输入用户名和密码或者其他认证信息，以验证用户的身份。在认证通过之后，用户才能够访问网络资源。在使用iMasterNCE-Campus作为Portal服务器时，我们需要配置接入设备的URL模板，以便让iMasterNCE-Campus根据用户的IP地址匹配对应的Portal页面。根据题目描述，我们需要选择哪种URLparameter来配置URL模板。选项A：ssid，是指无线网络的名称，与用户的IP地址无关，因此不是正确答案。选项B：device-mac，是指接入设备的MAC地址，与用户的IP地址无关，因此不是正确答案。选项C：user-mac，是指用户的MAC地址，与用户的IP地址无关，因此不是正确答案。选项D：user-ipaddress，是指用户的IP地址，正是我们需要根据它来匹配对应的Portal页面的关键信息，因此是正确答案。综上所述，本题的正确答案是D。30.若攻击者伪造大量用户对业务服务器发起DDoS攻击，则以下哪一项为虚假源攻击的有效措施？A、源认证技术B、CDN缓存C、负载均衡技术D、智能DNS调度答案：A解析：本题考察的是虚假源攻击的有效措施。虚假源攻击是指攻击者伪造大量用户对业务服务器发起DDoS攻击，使得服务器无法正常工作。针对这种攻击，可以采取源认证技术进行防御。源认证技术是指通过对数据包的源IP地址进行验证，来判断数据包是否来自合法的源地址。在网络中，每个IP地址都是唯一的，攻击者无法伪造合法的IP地址。因此，源认证技术可以有效地防止虚假源攻击。CDN缓存、负载均衡技术和智能DNS调度等技术可以提高服务器的性能和可用性，但并不能有效地防止虚假源攻击。综上所述，本题的正确答案为A，即源认证技术。31.以下关于防火墙虚拟系统中出方向流量的描述，正确的是哪一项A、从私网接口流向公网接口的流量，受入方向带宽的限制B、从公网接口流向私网接口的流量，受入方向带宽的限制C、从私网接口流向公网接口的流量、受出方向带宽的限制D、从公网接口流向私网接口的流量，受出方向带宽的限制答案：C解析：流量计算公网接口主要用于统计虚拟防火墙的流量。公网接口指接口下配置了setpublic-interface命令的接口。私网接口则是指未配置setpublic-interface的接口。•虚拟防火墙A有两个公网接口和两个私网接口。虚拟防火墙A入方向流量、出方向流量和整体流量如下：•入方向（inbound）流量：从公网接口流向私网接口的流量。受入方向带宽的限制。•出方向（outbound）流量：从私网接口流向公网接口的流量。受出方向带宽的限制。•整体（entire）流量：虚拟防火墙的全部流量=入方向流量+出方向流量+私网接口到私网接口的流量+公网接口到公网接口的流量。整体流量受整体带宽的限制。•在跨虚拟防火墙转发的场景中，Virtual-if（虚拟接口）接口默认为公网接口。32.如下图所示是管理员在网络接入设备上执行了Protal认证的相关配置，则该管理员在Protall认证中使用的认证协议是以下哪项？A、CHAPB、HTTP/HTTPSC、PortalD、PAP答案：C解析：根据题目中给出的配置图，可以看到管理员在网络接入设备上进行了Portal认证的相关配置，其中包括了认证方式为Portal、认证服务器地址为、认证端口为8080等信息。因此，该管理员在Portal认证中使用的认证协议是C选项中的Portal。选项A中的CHAP和D中的PAP是一种基于PPP协议的认证方式，而选项B中的HTTP/HTTPS是一种基于Web的认证方式，与题目中给出的Portal认证方式不同。因此，正确答案为C。33.华为准入控制方案中，接入设备接收到RADTUS服务器的CoA-Roquest报文或者DM-Requst报文后，根据报文中的哪一个RADIUS属性来识别用户？A、called-Station-ldB、Filter-ldC、NAS-IP-AddressD、calling-Station-ld答案：C解析：在华为准入控制方案中，接入设备接收到RADTUS服务器的CoA-Roquest报文或者DM-Requst报文后，需要根据报文中的RADIUS属性来识别用户。在这些属性中，NAS-IP-Address属性被用来识别用户。因此，选项C是正确答案。其他选项的解释如下：A.called-Station-ld：这个属性用于标识被叫方的MAC地址或AP的BSSID。B.Filter-ld：这个属性用于标识过滤器的ID。D.calling-Station-ld：这个属性用于标识主叫方的MAC地址。因此，这些选项都不是用来识别用户的属性。34.在iMasterNCE-Campus配置Portal页面推送策略时，不支持使用以下哪一项作为匹配条件？A、用户IP地址B、操作系统版本号C、SSIDD、浏览器类型答案：B解析：在iMasterNCE-Campus配置Portal页面推送策略时，可以使用多种条件来匹配用户，以便向其推送相应的Portal页面。然而，题目要求我们找出不支持作为匹配条件的选项，因此我们需要逐个分析每个选项。A.用户IP地址：在iMasterNCE-Campus中，可以使用用户IP地址作为匹配条件，以便向特定的用户推送Portal页面。这是一种常见的匹配条件，因为IP地址可以唯一标识一个用户。B.操作系统版本号：根据题目要求，不支持使用操作系统版本号作为匹配条件。这意味着无法根据用户的操作系统版本号来推送相应的Portal页面。C.SSID：在iMasterNCE-Campus中，可以使用SSID作为匹配条件，以便向连接到特定SSID的用户推送Portal页面。这是一种常见的匹配条件，因为SSID可以唯一标识一个无线网络。D.浏览器类型：在iMasterNCE-Campus中，可以使用浏览器类型作为匹配条件，以便向使用特定浏览器的用户推送Portal页面。这是一种常见的匹配条件，因为不同的浏览器可能会对Portal页面的显示效果产生影响。因此，根据题目要求，选项B操作系统版本号不支持作为匹配条件，是正确答案。35.通过华为iMasterNCE-Campus控制器实现准入控制功能，以下哪项不属于认证授权所需要配置的内容？A、认证结果B、授权结果C、认证规则D、授权规则答案：C解析：本题考察的是通过华为iMasterNCE-Campus控制器实现准入控制功能所需要配置的内容。准入控制是指对接入网络的用户进行身份认证和授权，以保证网络的安全性和可靠性。在配置认证授权时，需要配置认证结果、授权结果、认证规则和授权规则。其中，认证结果和授权结果是指认证和授权的结果，认证规则和授权规则是指认证和授权的规则。因此，选项C不属于认证授权所需要配置的内容，是本题的正确答案。36.IPS的签名过滤器是满足指定过滤条件的签名集合。签名过滤器的过滤条件不包括以下哪一项？A、威胁类别B、签名IDC、操作系统D、协议答案：B解析：本题考察的是IPS（入侵防御系统）的签名过滤器的过滤条件。IPS是一种网络安全设备，用于检测和防御网络中的入侵行为。签名过滤器是指满足指定过滤条件的签名集合，用于过滤网络流量中的恶意流量。本题要求选择不包括在签名过滤器的过滤条件中的选项。选项A威胁类别是一种常见的过滤条件，用于指定要过滤的威胁类型，例如恶意软件、漏洞利用等。选项B签名ID是一个具体的签名标识符，用于唯一标识一个特定的威胁或漏洞。本题要求选择不包括在签名过滤器的过滤条件中的选项，因此排除选项B。选项C操作系统是另一种常见的过滤条件，用于指定要过滤的操作系统类型，例如Windows、Linux等。选项D协议是指网络通信中使用的协议类型，例如TCP、UDP等。协议也是签名过滤器的常见过滤条件之一。综上所述，本题的答案是B，即签名过滤器的过滤条件不包括签名ID。37.以下关于HWTACACS协议特征的描述，错误的是哪一项?A、使用共享密钥加密方式，但是仅对认证报文中的密码字段进行加密B、支持对设备上的配置命令进行授权使用，多用于设备认证C、基于TCP传输层协议，网络传输可靠性较高D、认证、授权和计费功能分离，所以认证、授权和计费服务可以分别部署在不同的服务器上答案：A解析：本题考查对HWTACACS协议特征的理解。根据题目描述，选项A中提到HWTACACS协议使用共享密钥加密方式，但是仅对认证报文中的密码字段进行加密，这是错误的描述。实际上，HWTACACS协议使用共享密钥加密方式对整个报文进行加密，而不仅仅是密码字段。因此，选项A是错误的描述，是本题的答案。选项B中提到HWTACACS协议支持对设备上的配置命令进行授权使用，多用于设备认证，这是正确的描述。选项C中提到HWTACACS协议基于TCP传输层协议，网络传输可靠性较高，这也是正确的描述。选项D中提到HWTACACS协议认证、授权和计费功能分离，所以认证、授权和计费服务可以分别部署在不同的服务器上，这也是正确的描述。因此，选项B、C、D都是正确的描述，不是本题的答案。38.以下哪一项不属于Anti-DDoS管理中心的功能？A、性能管理B、策略管理C、告警管理D、流量检测答案：D解析：本题考查的是Anti-DDoS管理中心的功能。Anti-DDoS管理中心是华为安全产品中的一种，主要用于防御DDoS攻击。该管理中心具有多种功能，包括性能管理、策略管理、告警管理和流量检测等。因此，本题要求考生选择不属于Anti-DDoS管理中心功能的选项。A.性能管理：Anti-DDoS管理中心可以对系统的性能进行管理，包括监控系统的运行状态、优化系统的性能等。因此，选项A属于Anti-DDoS管理中心的功能。B.策略管理：Anti-DDoS管理中心可以对防御策略进行管理，包括制定、修改、删除策略等。因此，选项B属于Anti-DDoS管理中心的功能。C.告警管理：Anti-DDoS管理中心可以对系统的告警进行管理，包括设置告警规则、接收告警信息、处理告警等。因此，选项C属于Anti-DDoS管理中心的功能。D.流量检测：流量检测是一种对网络流量进行监测和分析的技术，可以用于检测DDoS攻击。虽然Anti-DDoS管理中心可以对流量进行检测，但是本题要求选择不属于Anti-DDoS管理中心功能的选项，因此选项D是正确答案。综上所述，本题的正确答案是D。39.当使用LDAP服务器作为认证服务器时，若要进行用户认证，则需要对LDAP服务器的数据进行以下哪一种操作A、查询类B、删除类C、写入类D、更新类答案：A解析：当使用LDAP服务器作为认证服务器时，需要对LDAP服务器的数据进行查询操作来进行用户认证。LDAP（轻量级目录访问协议）是一种用于访问分布式目录服务的协议，它提供了一种标准化的方法来访问和维护分布式目录信息。在LDAP服务器中，用户的认证信息通常存储在目录树中的某个节点上，通过查询操作可以获取该节点上的认证信息，从而进行用户认证。因此，选项A“查询类”是正确的答案。选项B“删除类”、“C写入类”和D“更新类”都不是进行用户认证所必需的操作。删除、写入和更新操作通常用于管理LDAP服务器中的数据，而不是进行用户认证。40.以下关于防火墙虚拟系统中入方向流量的描述，正确的是哪一项？A、从公网接口流向私网接口的流量，受出方向带宽的限制B、从公网接口流向私网接口的流量，受入方向带宽的限制C、从私网接口流向公网接口的流量，受入方向带宽的限制D、从私网接口流向公网接口的流量，受出方向带宽的限制答案：B解析：本题考察防火墙虚拟系统中入方向流量的限制。防火墙虚拟系统是指在一台物理防火墙设备上创建多个虚拟防火墙系统，每个虚拟系统相互独立，可以独立配置和管理。根据题目描述，流量是从公网接口流向私网接口，因此应该考虑入方向带宽的限制。因此，正确答案为B。选项A和D描述的是出方向流量的限制，选项C描述的是私网接口流向公网接口的流量，与题目描述不符。因此，选项B是正确答案。41.每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束，即符合该带宽策略匹配条件的流量，独享最大带宽资源。以下哪一选项属于这种带宽通道的引用方式？A、宽带共享B、带宽复用C、宽带独占D、动态均分答案：C解析：本题考察的是带宽通道的引用方式。根据题干中的描述，每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束，即符合该带宽策略匹配条件的流量，独享最大带宽资源。因此，只有宽带独占这种引用方式符合这种约束条件，所以答案为C。其他选项的引用方式都不符合该约束条件。宽带共享是多个用户共享同一带宽资源；带宽复用是将多个信号通过同一信道传输；动态均分是根据流量需求动态分配带宽资源。42.LDAP协议是基于Client/Server结构提供目录信息的绑定和查询，所有的目录信息存储在LDAP服务器上。LDAP协议中目录是按照树型结构组织，目录由条目组成，条目是具有区别名DN的属性集合。以下哪一项是LDAP的域名属性？A、DCB、CNC、OUD、DN答案：A解析：LDAP协议是一种用于访问和维护分布式目录服务的协议，它使用Client/Server结构提供目录信息的绑定和查询，所有的目录信息存储在LDAP服务器上。LDAP协议中目录是按照树型结构组织，目录由条目组成，条目是具有区别名DN的属性集合。在LDAP中，域名属性是指用于表示域名的属性。在LDAP中，域名属性通常是DC（Domainponent）属性。因此，选项A中的DC是LDAP的域名属性，是用于表示域名的属性。选项B中的CN（monName）是用于表示通用名称的属性，选项C中的OU（OrganizationalUnit）是用于表示组织单位的属性，选项D中的DN（DistinguishedName）是用于表示区别名的属性。因此，答案为A。43.以下关于IPS顶定义签名的描述，错误的是哪一项?A、预定义签名的内容不是固定的，可以创建、修改或删除B、当预定义签名的动作为阻断时，阻断命中签名的报文，并记录日志C、当预定义签名的动作为放行时，对命中签名的报文放行，不记录日志D、当预定义签名的动作为告警时，对命中签名的报文放行，但记录日志答案：A解析：预定义签名的内容是固定的，不能创建、修改或删除。每个预定义签名都有缺省的动作，分为：放行：指对命中签名的报文放行，不记录日志。告警：指对命中签名的报文放行，但记录日志。阻断：指丢弃命中签名的报文，阻断该报文所在的数据流，并记录日志。44.以下关于清洗中心的描述，错误的是哪项？A、回注方式包括：策略路由回注、静态路由回注、VPN回注和二层回注B、清洗设备支持丰富灵活的攻击防范技术，但对于CC攻击、ICMPFlood攻击无法进行防御C、引流方式有两种：静态引流和动态引流D、清洗中心完成对异常流量的引流、清洗以及和清洗后流量的回注等功能答案：B解析：45.以下关于邮件内容过滤机制的描述，错误的是哪一项？A、邮件内容过滤仅在出方向检测B、防火墙筛选出邮件流量后，再检查邮箱地址和附件大小，识别出非法邮件C、检测到POP3或IMAP消息时，如果判定为非法邮件，防火墙的响应动作可以是发送告警信息或阻断邮件D、防火墙首先需要根据匹配条件识别出要进行邮件过滤的流量答案：A解析：本题考察邮件内容过滤机制的相关知识点。根据题目描述，选项A中提到邮件内容过滤仅在出方向检测，这是错误的描述。实际上，邮件内容过滤应该在进出方向都要进行检测，以确保邮件的安全性和合法性。因此，选项A是本题的正确答案。选项B、C、D中的描述都是正确的，防火墙在筛选出邮件流量后，会检查邮箱地址和附件大小，识别出非法邮件，并且在检测到非法邮件时，可以发送告警信息或阻断邮件。防火墙在进行邮件过滤时，也需要根据匹配条件识别出要进行邮件过滤的流量。46.以下关于IPS签名类型的描述中，哪一项签名类型的动作优先级最高？A、例外签名B、自定义签名C、预定义签名D、签名过滤器答案：A解析：IPS（入侵防御系统）是一种网络安全设备，用于检测和阻止网络攻击。IPS签名是用于检测和识别网络攻击的规则集合。IPS签名类型包括预定义签名、自定义签名、例外签名和签名过滤器。根据题目描述，要求确定哪一项签名类型的动作优先级最高。动作优先级指的是当多个签名匹配同一数据包时，哪一个签名的动作会被执行。A.例外签名：例外签名是一种特殊的签名类型，用于排除某些特定的流量或主机，以避免误报或误封。当例外签名匹配时，IPS会跳过该签名，不执行任何动作。因此，例外签名的动作优先级最高。B.自定义签名：自定义签名是用户自己创建的签名，用于检测特定的攻击或漏洞。当自定义签名匹配时，IPS会执行用户定义的动作，如阻止、警告或记录。自定义签名的动作优先级取决于用户定义的动作。C.预定义签名：预定义签名是由IPS厂商提供的签名，用于检测已知的攻击或漏洞。当预定义签名匹配时，IPS会执行预定义的动作，如阻止、警告或记录。预定义签名的动作优先级取决于IPS厂商定义的动作。D.签名过滤器：签名过滤器是一种特殊的签名类型，用于过滤某些特定的流量或主机，以减少IPS的负载。当签名过滤器匹配时，IPS会跳过该签名，不执行任何动作。因此，签名过滤器的动作优先级最低。综上所述，答案为A，例外签名的动作优先级最高。47.以下关于SSLVPN的特点的描述，错误的是哪一项?A、SSLVPN支持的认证种类少，与原有身份认证系统较难集成B、SSLVPN能支持各种IP应用C、SSLVPN针对内网资源可以解析到应用层，并精细化地发布应用D、由于SSLVPN登录方式借助了浏览器，所以实现了客户端的自动安装和配置，这样用户可以随时随地用设备快捷登录，同时也缓解了网络管理员维护客户端等方面的压力答案：A解析：本题考察对SSLVPN的特点的理解。根据题目描述，选项A中提到SSLVPN支持的认证种类少，与原有身份认证系统较难集成，这是错误的描述。实际上，SSLVPN支持多种认证方式，如用户名密码认证、数字证书认证、令牌认证等，且可以与原有身份认证系统集成，提高了安全性和便利性。因此，选项A是错误的描述，是本题的答案。选项B、C、D中提到的SSLVPN的特点都是正确的，如SSLVPN能支持各种IP应用、针对内网资源可以解析到应用层，并精细化地发布应用、由于SSLVPN登录方式借助了浏览器，所以实现了客户端的自动安装和配置，这样用户可以随时随地用设备快捷登录，同时也缓解了网络管理员维护客户端等方面的压力。48.以下哪一项不属于远程用户通过SSLVPN访问内网资源的流程？A、用户认证B、用户登录C、资源访问D、访问计费答案：D解析：本题考察的是远程用户通过SSLVPN访问内网资源的流程。根据题目描述，我们可以知道，远程用户通过SSLVPN访问内网资源的流程包括以下三个步骤：1.用户认证：远程用户需要提供用户名和密码等认证信息，以验证其身份是否合法。2.用户登录：认证通过后，远程用户需要登录到SSLVPN系统，以建立与内网的安全通道。3.资源访问：登录成功后，远程用户可以通过SSLVPN系统访问内网资源，包括文件、应用程序、数据库等。因此，本题的正确答案为D，访问计费不属于远程用户通过SSLVPN访问内网资源的流程。49.以下哪一项是健康检查无法支持的探测协议？A、RADIUSB、CHCMPC、DNSD、UDP答案：D解析：本题考查健康检查支持的探测协议。健康检查是指对服务器或应用程序进行定期检查，以确保它们正常运行并能够提供服务。常用的健康检查探测协议包括TCP、HTTP、HTTPS、ICMP等。而UDP协议是无连接的，不提供可靠的数据传输，因此健康检查无法支持UDP协议作为探测协议。因此，本题的正确答案是D。选项A、B、C都是常用的探测协议，可以用于健康检查。50.若想实现对用户的论坛发帖、用户登录等行为进行控制，应配置以下哪一项HTTP行为控制？A、POST操作B、重定向C、文件上传D、文件下载答案：A解析：本题考察的是HTTP行为控制，要实现对用户的论坛发帖、用户登录等行为进行控制，应配置哪一项HTTP行为控制。选项A：POST操作。POST操作是HTTP协议中的一种请求方法，用于向服务器提交数据，常用于表单提交等场景。通过对POST操作进行控制，可以限制用户的发帖行为，防止用户恶意发帖。选项B：重定向。重定向是指当浏览器请求某个URL时，服务器返回一个重定向响应，告诉浏览器重新请求另一个URL。重定向并不能对用户的发帖、登录等行为进行控制。选项C：文件上传。文件上传是指将本地文件上传到服务器，常用于上传图片、视频等文件。文件上传并不能对用户的发帖、登录等行为进行控制。选项D：文件下载。文件下载是指将服务器上的文件下载到本地，常用于下载软件、音乐等文件。文件下载并不能对用户的发帖、登录等行为进行控制。综上所述，本题正确答案为A，应配置POST操作进行HTTP行为控制。51.在iMasterNCE-Campus上配置认证规则时，不支持使用以下哪一种类型的认证方式作为匹配条件?A、设备管理认证B、无线用户认证C、用户接入认证D、MAC认证答案：B解析：52.以下哪一种DDoS攻击类型可以被限流技术防范？A、DNSFloodB、HTTPFloodC、ICMPF1oodD、SYNFlood答案：C解析：53.开启NAT穿越之后，当检测到两台网关中间存在NAT设备，ESP报文将会被封装在一个UDP头部中，以下哪一项是资UDP头部的源目端口号?A、源端口:4500，目的端口:4500B、源端口:4500，目的端口:500C、源端口:500，目的端口:500D、源端口:500，目的端口:4500答案：A解析：54.以下关于虚拟系统使用限制的描述，错误的是哪项？A、只要在根系统中进行系统软件的升级B、如果接口已经配置了IP地址，在分配给虚拟时会被清除C、管理口不能分配给虚拟系统D、虚拟系统管理员能通过Console口登录设备答案：D解析：本题考察对虚拟系统使用限制的理解。根据选项描述，A、B、C三项均为虚拟系统使用限制的正确描述，而D项描述错误。虚拟系统管理员不能通过Console口登录设备，只能通过虚拟系统的管理口登录设备。因此，本题的正确答案为D。55.以下哪一项不是Anti-DDos防御系统管理中心的职责？A、安全报表分析B、设备管理C、下发防御策略D、进行流量引流答案：D解析：管理中心即ATIC，负责检测中心和清洗中心的统一管理，是Anti-DDoS解决方案的管理中枢。提供设备管理、策略管理、性能管理、告警管理、报表管理等功能。整个方案的中枢，通过管理中心将检测分析中心和清洗中心连接起来形成完整的解决方案。管理中心分为管理服务器和数据采集器两个部分，可以安装在一台服务器上，也可以安装在不同服务器上。可以是虚拟化产品，部署在windows或者linux系统上，类似于esight网管中心。56.以下关于虚拟接口的描述，错误的是哪项？A、虚拟系统之间通过虚拟接口实现互访B、虚拟接口的链路层和协议层始终是UPC、根系统的虚拟接口为Virtual-if1D、虚拟接口的格式为“Virtual-if+接口号”答案：C解析：本题考察对虚拟接口的理解。虚拟接口是指在一个物理接口上创建多个逻辑接口，以实现多个虚拟系统之间的通信。因此，选项A正确，虚拟系统之间通过虚拟接口实现互访。虚拟接口的链路层和协议层始终是UP，这是因为虚拟接口是逻辑接口，不受物理接口的影响，因此选项B正确。虚拟接口的格式为“Virtual-if+接口号”，这是虚拟接口的命名规则，因此选项D正确。而根系统的虚拟接口命名为Virtual-if1是错误的，因此选项C是错误的。因此，本题的答案是C。57.用户使用SSL访问内网的网络资源，管理员为用户开启了文件共享和web代理的业务，并且在防火墙上放行了业务的流量，但是用户在PC上输入虚拟网关的地址后，在网页中看不到文件共享和Web代理的列表，以下哪一选项可能导致该故障产生？A、虚拟网关对外NAT的端口错误B、用户PC的虚拟网卡上有没有获取到虚拟IP地址C、管理员没有为用户配置文件共享和Web代理的授权D、防火墙与客户端之间路由不可达答案：C解析：本题考察用户使用SSL访问内网的网络资源时，无法看到文件共享和Web代理的列表的可能原因。根据题干中的信息，管理员已经为用户开启了文件共享和Web代理的业务，并且在防火墙上放行了业务的流量，因此选项A和D可以排除。选项B可能导致用户无法访问内网资源，但不会导致无法看到文件共享和Web代理的列表。因此，正确答案为C，即管理员没有为用户配置文件共享和Web代理的授权，导致用户无法看到相关列表。58.以下哪一项不是双机热备一致性检查的内容？A、接口地址B、NAT配置C、带宽策略D、安全策略答案：B解析：双机热备一致性检查是指在双机热备系统中，主备设备之间进行的一种检查机制，以确保主备设备之间的配置和状态保持一致，从而保证系统的高可用性和稳定性。该机制通常包括以下内容：A.接口地址：主备设备的接口地址必须一致，否则可能会导致网络故障或数据丢失。B.NAT配置：NAT配置通常不是双机热备一致性检查的内容，因为NAT配置通常是针对特定的网络环境和应用场景进行的，不同的主备设备可能需要不同的NAT配置。C.带宽策略：主备设备的带宽策略必须一致，否则可能会导致网络拥塞或性能下降。D.安全策略：主备设备的安全策略必须一致，否则可能会导致安全漏洞或攻击。因此，选项B“NAT配置”不是双机热备一致性检查的内容。59.以下关于内容过滤中关键字的描述，错误的是哪一项?A、关键字包括预定义关键字和自定义关键字B、文本和正则表达式能匹配的关键字最短长度为3个字节C、预定义关键字是管理员手工定义且可以识别的关键字D、正则表达式方式匹配比文本方式更加灵活和高效，但配置需要遵循正则表达式规则答案：C解析：本题考察的是关于内容过滤中关键字的描述，需要判断哪一项是错误的。A选项描述的是关键字包括预定义关键字和自定义关键字，这是正确的。B选项描述的是文本和正则表达式能匹配的关键字最短长度为3个字节，这也是正确的。C选项描述的是预定义关键字是管理员手工定义且可以识别的关键字，这是错误的。预定义关键字是系统预先定义好的一些关键字，管理员无法手工定义。D选项描述的是正则表达式方式匹配比文本方式更加灵活和高效，但配置需要遵循正则表达式规则，这也是正确的。因此，本题的答案是C，描述错误的是预定义关键字是管理员手工定义且可以识别的关键字。60.以下关于策略路由匹配规则的描述，错误的是哪一项？A、当配置多条策略路由规则时，策略路由列表默认是按昭配置顺序排列按照配置顺予排列B、一个匹配条件中如果可以配置多个值，多个值之间是"或"的关系，报文的属性只要匹配任意一个值，就认为报文的属性匹配了这个条件C、每条策略路由中只包含一个匹配条件D、系统默认存在一条缺省策略路由default，缺省策略路由位于策略列表的最底部，优先级最低，所有匹配条件均为any，动作为不做策略路由答案：C解析：本题考察的是策略路由匹配规则的相关知识点。根据题目描述，选项A、B、D都是正确的描述，而选项C是错误的描述。因为实际上每条策略路由中可以包含多个匹配条件，只有当所有匹配条件都匹配成功时，才会执行该策略路由的动作。因此，选项C是错误的描述，是本题的答案。61.以下关于文件过滤处理流程的描述，正确的是哪一项？A、如果文件的所有参数都能够匹配所有文件过滤规则，那么模块将执行此文件过滤规则的动作B、文件过滤模块会将之前模块识别出的文件的应用类型、文件类型和传输方向与管理员配置的文件过滤规则查询表进行从上到下的匹配C、执行的动作有告警和阻断两种D、如果文件类型是压缩文件，那么在进行文件过滤检测后，文件将会被送到文件解压模块进行解压缩，解压出原始文件。若解压失败，文件不会再进行文件过滤答案：D解析：文件解压：如果文件类型是压缩文件，那么在进行文件过滤检测后，文件将会被送到文件解压模块进行解压缩，解压出原始文件。•解压成功：解压后的文件将会再被送到文件类型识别模块进行文件类型识别和文件类型异常检测，然后识别出文件类型的解压文件还会再次进行文件过滤。•解压失败：文件都不会再进行文件过滤。62.以下关于web代理中WebLink的描述，错误的是哪一项？A、存在页面兼容性问题，可能会出现图片错位情况B、对URL不会进行改写，会暴露内网服务器的真实地址C、存在一定的安全风险D、依赖IE控件，在非IE环境中无法正常使用答案：A解析：63.以下哪一项为Tracert报文攻击的防范方法？A、丢弃带有时间践的IP报文B、对于检测到的超时ICMP报文或UDP报文，或者目的端口不可达的报文，给予丢弃处理C、用户可以根据实际网络需要配置允许通过的ICP报文的最大长度，当实际IP报文的长度超过该值时，将丢弃该文D、对ICMP不可达报文进行丢弃，并记录攻击日志答案：B解析：64.以下关于保证带宽和最大带宽的描述，错误的是哪一项？A、可以基于每IP/用户设置保证带宽和最大带宽B、如果流量大于最大带宽，则直接丢弃超出最大带宽的流量C、如果流量小于保证带宽，这部分流量在出接口与其它带宽通道中同类型的流量自由竞争带宽资源D、针对IP或用户的保证带宽和最大带宽设置可实现更加细化的带宽限制答案：C解析：本题考察的是关于保证带宽和最大带宽的描述，需要判断哪一项是错误的。根据选项内容逐一分析：A.可以基于每IP/用户设置保证带宽和最大带宽：这个选项是正确的，可以根据每个IP或用户的需求设置不同的保证带宽和最大带宽。B.如果流量大于最大带宽，则直接丢弃超出最大带宽的流量：这个选项是正确的，如果流量超出了最大带宽的限制，那么超出部分的流量会被直接丢弃。C.如果流量小于保证带宽，这部分流量在出接口与其它带宽通道中同类型的流量自由竞争带宽资源：这个选项是错误的，如果流量小于保证带宽，那么保证带宽的部分会被优先保障，而不是与其它带宽通道中的同类型流量自由竞争带宽资源。D.针对IP或用户的保证带宽和最大带宽设置可实现更加细化的带宽限制：这个选项是正确的，可以根据IP或用户的需求设置更加细化的保证带宽和最大带宽限制。综上所述，选项C是错误的，是本题的答案。65.如图所示，防火墙主备备份组网，通过在防火墙A上查看HRP状态，得到信息如下：以下哪一项不是可能的原因？A、心跳线没有加入安全区域B、对端没有开启双机热备功能C、对端没有指定心跳口D、防火墙B上的业务接口皆故障答案：D解析：根据图中显示的HRP状态，可以看到防火墙A和B之间的心跳状态为“异常”，这意味着主备备份组网中存在问题。根据选项进行分析：A.心跳线没有加入安全区域：这可能导致心跳信号被防火墙规则阻止，但不会导致心跳状态异常。B.对端没有开启双机热备功能：如果对端没有开启双机热备功能，那么主备备份组网将无法正常工作，但这不会导致心跳状态异常。C.对端没有指定心跳口：如果对端没有指定心跳口，那么心跳信号将无法正常传输，但这不会导致心跳状态异常。D.防火墙B上的业务接口皆故障：这是可能导致心跳状态异常的原因之一，因为如果防火墙B上的业务接口全部故障，那么心跳信号将无法正常传输，从而导致心跳状态异常。因此，选项D是不可能的原因，其他选项都有可能导致心跳状态异常。66.在NAT穿越场景中，如果检测到NAT设备后，ISAKMP消息的目的端口号将变为以下哪一项?A、4500B、51C、50D、500答案：A解析：在NAT穿越场景中，当检测到NAT设备时，ISAKMP消息的目的端口号将变为4500。这是因为在NAT环境中，IP地址和端口号都会被修改，因此需要使用NAT穿越技术来确保VPN连接的安全性和可靠性。ISAKMP是VPN协议中用于建立安全通道的协议，它使用UDP协议进行通信，通常使用500端口。但是，在NAT环境中，500端口可能被NAT设备占用，因此需要使用4500端口来避免冲突。因此，当检测到NAT设备时，ISAKMP消息的目的端口号将变为4500。选项A是正确答案。67.以下关于GRE_overIPSec的描述，错误的是哪一项?A、IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址，目的地址即IPSec对等体中应用IPSc安全策略的接地址B、当网关之间采用GREoverIPSec连接时，先进行GRE封装，在进行IPSec封装C、GRE封装过程中增加的IP头即源地址为IPSec隧道的源端地址，目的地址为IPSec隧道的目的端地址D、IPSec需要保护的数据流为从GRE起点到GRE终点的数据流答案：C解析：本题考察对GREoverIPSec的理解。GREoverIPSec是一种在IPSec隧道中使用GRE协议的方式，可以提供更好的灵活性和可扩展性。下面是各选项的解析：A.正确。IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址，目的地址即IPSec对等体中应用IPSc安全策略的接地址。B.正确。当网关之间采用GREoverIPSec连接时，先进行GRE封装，在进行IPSec封装。C.错误。GRE封装过程中增加的IP头即源地址为IPSec隧道的源端地址，目的地址为IPSec隧道的目的端地址，而不是IPSec对等体中应用IPSc安全策略的接地址。D.正确。IPSec需要保护的数据流为从GRE起点到GRE终点的数据流。因此，本题的正确答案为C。68.在Linux主机上，可通过查看以下哪一个文件来统计当前系统中的所有用户名称及登陆方式？A、/etc/passwdB、/etc/profileC、/etc/shadowD、/etc/rc.local答案：A解析：本题考查Linux系统中查看所有用户名称及登陆方式的方法。正确答案为A，即通过查看/etc/passwd文件来统计当前系统中的所有用户名称及登陆方式。/etc/passwd文件是Linux系统中存储用户账户信息的文件，其中包含了系统中所有用户的账户信息，包括用户名、用户ID、用户组ID、用户家目录、默认shell等信息。通过查看该文件，可以获取系统中所有用户的账户信息，从而统计出所有用户名称及登陆方式。选项B、C、D均不是正确答案。/etc/profile文件是系统全局的shell配置文件，不包含用户账户信息；/etc/shadow文件是存储用户密码信息的文件，不包含用户名称及登陆方式信息；/etc/rc.local文件是系统启动时执行的脚本文件，也不包含用户账户信息。因此，本题正确答案为A。69.对于新建网络、用户集中、信息安全要求严格的场合，一般采用哪一种认证方式?A、Portal认证B、802.1x认证C、MAC优先的Porta1认证D、MAC认证答案：B解析：本题考察的是在新建网络、用户集中、信息安全要求严格的场合下，采用哪种认证方式。A.Portal认证：Portal认证是一种基于Web的认证方式，用户需要在Web页面上输入用户名和密码才能访问网络。但是，Portal认证的安全性较低，易受到中间人攻击。B.802.1x认证：802.1x认证是一种基于端口的网络访问控制技术，可以对接入网络的用户进行身份认证和授权。该认证方式安全性较高，能够有效防止未经授权的用户接入网络。C.MAC优先的Portal认证：MAC优先的Portal认证是一种基于MAC地址的认证方式，用户需要在Web页面上输入MAC地址和密码才能访问网络。但是，MAC地址易被伪造，安全性较低。D.MAC认证：MAC认证是一种基于MAC地址的认证方式，用户需要在设备上设置MAC地址才能访问网络。但是，MAC地址易被伪造，安全性较低。综上所述，对于新建网络、用户集中、信息安全要求严格的场合，一般采用802.1x认证方式，因为该认证方式安全性较高，能够有效防止未经授权的用户接入网络。因此，本题的答案为B。70.以下关于配额控制策略的描述，错误的是哪一顶？A、配额控制策略只能限制用户上网流量的额度B、配额控制策略由检测和控制两部分组成C、配额控制策略可以限制最大带宽D、配额控制策略可以实时检测上网流量答案：A解析：本题考查配额控制策略的相关知识点。配额控制策略是一种网络管理策略，可以限制用户的网络资源使用量，包括流量、带宽等。选项A描述错误，因为配额控制策略不仅可以限制用户上网流量的额度，还可以限制其他网络资源的使用量。因此，选项A是本题的正确答案。选项B、C、D描述正确，配额控制策略由检测和控制两部分组成，可以限制最大带宽，可以实时检测上网流量。71.若管理员需要将某些签名动作设置为与签名过滤器不同的动作时，可以配置例外签名。以下哪一项不是例外签名的动作?A、放行B、阻断且隔高源IPC、告警且超出阀值后阻断D、阻断且隔离目的IP答案：C解析：本题考察的是管理员在配置例外签名时可以设置的动作。例外签名是指与签名过滤器不同的动作，可以用于特定的网络环境或者特定的应用场景。根据题目描述，需要选择不是例外签名的动作，因此正确答案为C。A.放行：放行是一种例外签名的动作，可以用于特定的网络环境或者特定的应用场景，允许某些特定的流量通过。B.阻断且隔高源IP：阻断且隔离高源IP是一种例外签名的动作，可以用于特定的网络环境或者特定的应用场景，阻止来自高风险源IP的流量，并将其隔离在网络的边缘。C.告警且超出阀值后阻断：这是一种常规的签名过滤器动作，不是例外签名的动作。D.阻断且隔离目的IP：阻断且隔离目的IP是一种例外签名的动作，可以用于特定的网络环境或者特定的应用场景，阻止流向特定目的IP的流量，并将其隔离在网络的边缘。因此，选项C是不是例外签名的动作，是本题的正确答案。72.使用iNasterNCE-Campus作为Portal服务器，在华为无线控制器上部署Portal认证，下哪一項配置不是必须的？A、URL模板B、认证模板C、Portal认证模板D、MAC认证模板答案：D解析：本题考察的是在使用iNasterNCE-Campus作为Portal服务器，在华为无线控制器上部署Portal认证时，哪一项配置不是必须的。A.URL模板：URL模板是指用户在连接无线网络时，会被重定向到Portal认证页面的URL地址。因此，URL模板是必须配置的，否则用户无法进行认证。B.认证模板：认证模板是指Portal认证页面的样式和内容。认证模板也是必须配置的，否则用户无法进行认证。C.Portal认证模板：Portal认证模板是指无线控制器与Portal服务器之间的认证协议。Portal认证模板也是必须配置的，否则无法进行认证。D.MAC认证模板：MAC认证模板是指使用MAC地址进行认证的模板。在使用iNasterNCE-Campus作为Portal服务器时，不一定需要使用MAC地址进行认证，因此MAC认证模板不是必须的配置项。综上所述，答案为D。73.以下关于URL分类的描述，错误的是哪一项?A、自定义URL分类需要管理员手工配置B、预定义URL分类是出厂预置的，无需管理员手动加载C、预定义URL分类不能创建、删除和重命名D、预定义URL分类优先级高于自定义URL分类答案：D解析：自定义URL分类优先级高于预定义URL分类。74.IPSec整个协议框架包含多种协议，以下哪一项协议不属于IPSec协议框架？A、ESPB、AHC、IKED、TLS答案：D解析：75.如图所示，企业A与企业B需要安全通信，防火墙A和防火墙B之间建立IPSec隧道，则以下哪一项的安全协议和封装模式可以满足该场景需求？A、AH；隧道模式B、ESP；隧道模式C、ESP；传输模式D、AH+ESP；传输模式答案：B解析：根据题目中的需求，企业A和企业B需要安全通信，防火墙A和防火墙B之间建立IPSec隧道。因此，需要使用IPSec协议来保证通信的安全性。在IPSec中，有两种常用的安全协议：AH和ESP。AH协议提供数据完整性和源认证，但不提供数据加密。ESP协议提供数据加密、数据完整性和源认证。因此，选项A中的AH协议不能满足数据加密的需求，不符合题目要求。选项C中的ESP协议可以提供数据加密，但是传输模式只对数据部分进行加密，而不对IP头进行加密，容易被攻击者截获IP头信息。因此，选项C也不符合题目要求。选项D中的AH+ESP协议可以提供数据完整性、数据加密和源认证，但是传输模式同样存在IP头信息泄露的问题。因此，选项D也不符合题目要求。选项B中的ESP协议和隧道模式可以同时提供数据加密、数据完整性和源认证，同时对整个IP包进行加密，保证了通信的安全性，符合题目要求。因此，选项B是正确答案。76.以下关于webLink与Web改写区别的描述，错误的是哪一项?A、WebLink不会进行加密和适配，只做单纯“转发”远程用户的Web资源请求B、由于WebLink少了加密和适配的环节，因此业务处理效率较之Web改写要高C、WebLink比Web改写依赖IE控件，在非IE环境中无法正常使用D、WebLink需要加密和适配的环节，因此安全性更高答案：D解析：本题考察对WebLink与Web改写的理解以及它们之间的区别。A选项描述的是WebLink的特点，即它只是简单地转发远程用户的Web资源请求，不会进行加密和适配。这是正确的。B选项描述的是WebLink与Web改写的区别，即WebLink少了加密和适配的环节，因此业务处理效率较之Web改写要高。这也是正确的。C选项描述的是WebLink的缺点，即它比Web改写更依赖IE控件，在非IE环境中无法正常使用。这是正确的。D选项描述的是WebLink需要加密和适配的环节，因此安全性更高。这是错误的。实际上，由于WebLink不进行加密和适配，因此它的安全性相对较低，容易受到网络攻击。因此，本题的答案是D。77.以下关于健康检