华为HCIPH12-721安全试卷三

精品文档-下载后可编辑华为HCIPH12-721安全试卷三华为HCIPH12-721安全试卷三

1.【单选题】1分|关于VRRP报文，以下说法正确的是

AVRRP使用TCP报文

BVRRP使用UDP报文

CVRRP报文的目的地址是8

DVRRP报文是单播报文

2.【多选题】1分|两台FW之间通过IPSec互联，在FW-A中执行displayikesa,结果显示如下，下列说法正确的是哪些?

AFW-A是IKE安全通道协商的发起者

BFW-B是IKE安全通道的发起者

C防火墙之间的SA已经成功建立

D防火墙之间的SA尚未建成功

3.【多选题】1分|下图为USG双机热备典型应用场景，其中USGA为主用设备,USGB为备用设备,VRRP备份组及心跳口均已完成配置，其中防火墙A的GE2/0/0与GE2/0/1加入了link-group1以下说法正确的是?

A当防火墙A的GE2/0/1出现物理路障时,USG_A上GE2/0/0的链路状态为down,物理接口指示灯常亮。

B故障恢复后，当防火墙检测到GE2/0/0和GE2/0/1两个接口状态均为UP时,USGA状态切换成master。

C当GE2/0/1接口状态故障恢复后,USG_A作为USG_B的备用设备进行工作。

D如果将GE2/0/2也加入了link-group1,当防火墙A的GE2/0/1出现物理线路故障，主备设备信息的备份将会被中断。

4.【多选题】1分|如下图所示为L2TP-ove.r-lPSsec应用场景，客户端使用pre-shared-key方式进行IPSec认证，在LNS端应该如何配置IPSec安全策略?

A采用IKEv1模式进行协商

B采用IKEv2模式进行协商

C配置IPSec安全策略

D配置IPSec策略模板

5.【多选题】1分|某企业分支和总部之间希望能够传输组播报文，如图所示，FW_B为分支机构网关，并使用该FW_B与总部建立IPSecVPN(采用预共享密钥认证)在FW_B.上需要配置如下哪些部分?(多选)

A配置路由，将需要经过GREoverIPSec隧道传输的流量下一跳设置为/24

B在GRETunpel接口.上应用IPSec安全框架

C配置securtypolciy,引用规则为permit:/24-Internet的数据流

D配置路由，将需要经过GREoverIPSec隧道传输的流里下一跳设置为tunnel接接口地址

6.【多选题】1分|以下哪些场景可以实现带宽复用

A多条流量匹配到了同一个带宽策略，多条流量之间可以实现带宽复用

B多个带宽策略以策略共享的方式引用带宽通道，则匹配了带宽策略的多条流量之间可以实现带宽复用

C匹配了父子策略中的多个子策略V的多条流量之间可以实现带宽复用。

D多个带宽策略以策略独享的方式引用带宽通道，则也配了带贾策略的多条流量之间可以实现带宽复用。

7.【多选题】1分|关于虚拟接口的说法,哪些是正确的?(多选)

A虚拟接口有可能会因为未配置IP地址而导致协议层DOWN

B虚拟接口必须加入安全区域才可以工作。

C虚拟接口可以不配置IP地址。

D虚拟接口是一个逻辑接口，需要为其配置IP地址

8.【多选题】1分|如图所示为BFDforOSPF的组网场景:

1，FWA,FWB和FWC三台设备之间运行OSPF，互为邻居。

2.邻居状态到达FULL状态，并配置BFD与OSPF联动，BFD完成建立BFD会话。

以下哪些说法是正确的?(多选)

A当链路a出现故障，BFD首先感知，FWA和FWB会马，上收敛

BBFD能够提供秒级别的故障检测机制

CBFD发现邻居Down事件后，设备之间重新进行路由计算，新的路由为链路b

D当链路a故障时，OSPF自动收敛并通知BFD

9.【多选题】1分|如图所示，BFD绑态路由，管理员在防火墙A.上做了如下配置:

[USG6000A]bfd

[USG6000A-bfd]quit

[USG6000_A]bfdaabindpeer-ip

[USG6000_A-bfd-session-aa]discriminat

orlocal10

[USG6000_A-bfd-session-aa]discriminat

orremote20

[USG6000_A-bfd-session-aa]commit

[USG6000_A-bfd-session-aa]quit

对于该配置,以下哪些说法是正确的?(多选)

A命令"bfdaabindpeer-ip2"用来创建检测链路状态的BFD会话绑定策略

B该命令中[USG6000A]bfd配置错误，应改为[USG600A]bfdenable以便启用BFD能

C[USG6000A-bfd-session-aa]commit为可选项配置，如不配置系统将缺省提交配置并生成BFD会话日志信息，但不建立会话表

D防火墙上还需要将BFD会话与静态路由绑定命令:[USG6000A]iproute-static0trackbfd--sessionaa

10.【多选题】1分|保证流量传输不受服务器或链路故障的影响，管理员配置了链路的健康检查，但配置完成后发健健康检查的状态仍为Down.可能的原因有哪些?(多选)

A对端设备未开放了相应的协议和端口

B安全策略没有放行流量

C进行健康检查的链路出现故障

D健康查没有在接口调用

11.【多选题】1分|华为USG6000产品资源分配支持以下哪些资源分配方式

A定额分配

B自动分配

C手工分配

D不定额分配

12.【多选题】1分|关于下面智能选路中的配置命令，以下哪些选项的描述是正确的?(多选)

#

multi-interface

modepriority-of-link-quality

priorit-of-link-qualityparameterdelayji

tterloss.

priority-of-link-qualityprotocoltcp-simpl

e

addinterfaceGigabitEthernet1/0/1

addinterfaceGigabitEthernet1/0/2

A使用的是基于带宽的负载分担方式

B链路质量探测的参数有时延、抖动和丢包率

C使用的TCP协议进行探测

D选择了3条链路进行负载分担

13.【多选题】1分|某企业已经部署了esight平台，此平台可管理以下哪些设备?(多选)

A门禁

B存储设备

C交换机

D防火墙

14.【多选题】1分|KEv1协商第一阶段主模式协商过程中包含以下信息?(多选)

AIKE提议集

BIPSec提议集

CDH密钥交换公共信息

D双方身份信息

15.【多选题】1分|如下图所示，防火墙GE0/0/0接口与PC主机通过网线直连。以下哪些命令可以共同完成对系统配置文件vrpgcfg.cfg备份操作?(多选)

A

B

C

D

16.【多选题】1分|在总部-分支结构IPsecVPN网络的组网中，进行总部配置时，当总部采用IPSec策略模板时，下列哪些配置为必配项目?(多选)

Aipsecpolicy-templatetemplate-namesec-number

Bproposalproposal-name

Cpolicyenable

Dipsecpolicypolicy-namesec-numberisakmptemplatetemplate-name

17.【多选题】1分|在服务器负载均均衡中，可以用下列哪些报文进行健康检查?(多选)

AICMP报文

BUDP报

CTCP报文

DDNS报文

18.【多选题】1分|完成智能选路的配置后，发现流量并没有按照配置的方式进行转发，这时管理员可以采取的措施有哪些?(多选)

A重新配置智能选路策略

B等待会话表老化

C通过命令行resetfrewallsessiontable手动清除会话表信息

D提交配置，使其生效

19.【多选题】1分|以下不提供加密功能的VPN封装协议有哪些?(多选)

AESP

BAH

CL2TP

DGRE

20.【多选题】1分|关于L2TPoverIPSecVPN，下列哪种说法是正确的?(多选)

AIPSec报文触发L2TP隧道

BL2TP报文触发IPSecSA

CL2TP隧道先建立

DIPSec隧道先建立

21.【多选题】1分|为USG6000系列设备在部署双机热备时，默认情况下，防火墙不会备份以下哪些状态信息?(多选)

AIPSec隧道和序号

B到防火墙自身的会话

CPAT方式下的端口映射表

D未完成三次握手的TCP半连接会话

22.【多选题】1分|以下哪些是带宽管理的限制元素?(多选)

A连接数

B带宽

CP2P协议数据流限制

D1M协议数据流限制

23.【多选题】1分|负载均衡实现了将访问同一个IP地址的用户流量分配到不同服务器上的功能，其采用的主要技术有哪些?(多选)

A虛服务技术

B服务器健康性检测

C双机热备技术

D负载均衡算法

24.【多选题】1分|某企业部署了LogCenter日志事件管理系统可用于满足以下哪些需求?(多选)

ANAT溯源

B报表分析

C智能配置

D无线宽带集群设备

25.【多选题】1分|在设备上配置了Link-group后，输入displaylifk-group1命令显示了如下信息:由此可以得出什么结论?(多选)

displaylink-group

linkgroup1,total2,fault

GigabitEtherneto/0/1:invalid

GigabitEthernet0/0/2:fault

AGigabitEthernet0/0/2接口发生了故障

BGigabitEthernet0/0/1接口发生了故障

CGigabitEthernet0/0/2因为组内其他接口故障而被强制转换为fault状态

DGigabitEthernet0/0/1因为组内其他接口故障而被强制转换为fault状态

26.【多选题】1分|关于服务器负载均衡技术，以下哪些选项是正确?

A实服务器的IP地址可以和虚拟防火墙的IP地址相同。

B配置服务器负载均衡功能后，在配置域间安全策略时，需针对虚拟服务器的IP地址进行配置。在配置路由时，需针对实服务器的IP地址进行配置

C配置服务健康检查功能后，需要配置FW和实服务器所在安全域之间的安全策略，允许探测报文通过，否则将导致健康检查失败。

D配置服务健康检查功能后，需要配置FW和实服务器所在安全域之间的安全策略，允许探测报文通过，否则将导致健康检查失败。

27.【单选题】1分|使用策略路由修改下一跳地址后，流量的没有按照策略路由转发，以下哪个选项的说法是错误的?

A策略路由有没有提交生效

B接口的IP地址没有配置正确

C匹配的源安全区域不正确

D没有放行域间流量

28.【单选题】1分|关于Radius的认证流

程，有以下几个步骤:

1，网络设备中的Radius客户端接收用户名和密码，并向Radius服务器发送认证请求;

2，用户登录USG等网络设备时，会将用户名和密码发送给Radius客户端;

3，Radius服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给Radius客户端;以下哪个选项的顺序是正确的?

A1-2-3

B2-1-3

C3-2-1

D2-3-1

29.【单选题】1分|关于L2TPoverIPSec的报文封装顺序，以下哪项是正确的?

A从先封装到后封装的顺序是PPPUDP-L2TP-IPSec

B从先封装到后封装的顺序是PPPL2TP-UDP-IPSec

C从先封装到后封装的顺序是IPSecL2TP-UDP-PPPD

D从先封装到后封装的顺序是IPSecPPP-L2TP-UDP

30.【单选题】1分|关于防火墙带宽策略,下列哪项说法是错误的,

A对于最大带宽和连接数限制，子策略不能大于父策略。

B在同一组父子策略中，不能引用同一个带宽通道。

C如果带宽管理与源NAT功能同时使用，配置带宽策略的源地址/地区匹配条件时应指定转换前的地址。

D如果带宽管理与源NAT功能同时使用，配置带宽策略的源地址,/地区匹配条件时应指定转换后的地址。

31.【单选题】1分|关于防火墙开启虚拟化功能的配置命令，以下哪个选项是正确的?

AVsysenable

BVSySnameenable

Cvsys

Dvsys-viewenable

32.【单选题】1分|某企业在网络中部署了华为USG6000系列防火墙，要实现用户通过Telnet/SSH访问防火墙，而且该用户输入的每一条命令都要通过服务器授权才能执行。以下哪种认证方式可以满足需求?

ARadius

BLDAP

CHWTACACS

DAD

33.【单选题】1分|以下哪个选项不属于智能选路的方式?

A基于全局选路策略选路

B基于策略路由选路

C基于ISP选路

D基于链路质量选路

34.【单选题】1分|当需要使用AH和ESP进行报文封装时,IKE协商完成后,会建立几个SA?

A1

B2

C3

D4

35.【单选题】1分|下列哪条命在华为US6000序列防火墙中表示不限流

Ano-qos

Bno-car

Cno-profile

Dno-limit

36.【单选题】1分|在IKEV1协商中,关于野蛮模式与主模式的区别,以下哪项说法是错误的?

A主模式在预共享密钥方式下不支持NAT穿越,而野蛮模式支持

B主模式协商消息为6个野蛮模式为3个。

C在NAT穿越场景下，对等体ID不能使用IP地址

D主模式加密了身份信息的交换信息,而野蛮模式没有加密身份信息

37.【单选题】1分|华为UMA产品允许特定IP，特定帐号的运维人员通过UMA平台去管理IT设备,这属于下列哪一步骤?

A事前控制

B事中监控

C事后审计

D维护准备

38.【单选题】1分|服务器负载均衡技术利用Server-map表和会话表实现虚拟服务器和实服务器的映射,请问生成的是什么类型的server-map表?

ANATNO-PAT

B转发/MSN、TFP等STUN类型协议

C静态Server-map表

D动态Server-map表

39.【单选题】1分|关于虚拟系统中公网接口和私网接口的说法，,以下哪个选项是错误的?

A公网接口是指接口下配置了setpublic-interface命令的接口

B私网接口是未配置setpublic-interface命令的接口。

C私网接口是指使用私有IP地址的接口。

D只有配置了公共接口，资源类中的带宽资源配置才会生效。

40.【单选题】1分|如果建立IPSecVPN隧道的其中一方的IP地址不固定,则以下哪些配置方法不能适用在该场景?

A策略模板

B配置IKE时要求指定对端地址

C野蛮模式下的Name认证

D野蛮模式下的pre-sharekey认证

41.【单选题】1分|关于服务器负载均衡技术，在防火墙上执行的命令和得到的输出如下:以下哪一选项的描述是正确的?

A该负载均衡策略采用的是加权最小连接算法。

B该负载均衡策略的真实服务器均属于强制不可用状态。

C该负载均衡策略采用的是会话保持算法。

D该负载均衡策略启用了服务健康检查功能，采用的检测报文是ICMP报文。

42.【单选题】1分|以下关于IP-Link输出信息的描述，错误的是哪一项?

A当有1条链路探测失败时，该IP-Link的状态就变为Down

BIP-Link的名称为test

C该IP-Link探测的链路条数为2条

D该IP-Link使用的探测协议为ICMP

43.【单选题】1分|

如图所示为L2TPoverIPSec应用场景，以下关于IPSec保护数据流的配置，正确的是哪一项?

A[LNS]aclnumber2022[LNS-ac1-basic-2022]rule5permitudpsource10.10.1.055

B[LNS]acnumber3005[LNS-acl-adv-3001]rulepermitsource10.10.1.0o.0.0.255destination0.0.0.255

C[LNS]aclnumber3005[LNS-ac1-adv-3001]rulepermitudpsource-port1705

D[LNS]aclnumber3005[LNS-acl-adv-3001]rulepermitudpsource-porteq1701

44.【单选题】1分|以下关于防火墙配置的描述，错误的是哪一项?

[USG]ftpserverenable

[USG]aaa

[USG-aaa]manager-userftpuser

[USG-aaa-manager-user-ftpuser]passw

ordcipherFtppass#

[USG-aaa-manager-user-ftpuser]level15

[USG-aaa-manager.user-ftpuser]service

-typeftp

[USG-aaa-manager-user-ftpuserlftp-dire

ctoryhda1:/

A防火墙上ftpuser的FTP目录为hdal:/

Bftpuser的权限级别为最高级

C防火墙开启了FTP服务器的功能

D管理员用户ftpuser也可以通过SSH登陆防火墙

45.【单选题】1分|以下哪一项支持多种盗链错识别算法，能有效解决单一来源盗链、分布式盗链和网站数据恶意是窃取等信息盗取行为，从而确保网站的资源只能通过本站才能访问?

AFirewal1

BIPS

CAnti-DDos

DWAF

46.【单选题】1分|当企业从不同ISP处获得多条带宽不等的链路时，为了充分利用各链路的带宽，提高链路的利用率，可以选择以下哪一选项的智能选路方式?

A链路优先级负载分担

B链路质量负载分担

C链路权重负载分担

D链路带宽负载分担

47.【单选题】1分|在配置服务器负载均衡时，以下哪一项是可选的配置?

A服务健康检查

B虛拟服务器地址

C负载均衡算法

D实服务器地址

48.【单选题】1分|以下哪种BFD的状态表示已经能够与对端系统通信，同时本端希望会话进入Up状态?

AInit

BDown

CUp

DAdminUp

49.【单选题】1分|关于防火墙双机热备同步数据的特点，以下哪一选项的描述是错误的?

A会话备份的设备区分主备,只有主设备可以将自己的会话同步到对方

B批量备份是指在两台设备第一次协商完成后，批量备份所有信息

C配置批量备份需要消耗较多的资源，缺省情况下是关闭的

D实时备份是指在设备运行过程中,新建或者刷新的数据实时备份

50.【单选题】1分|关于VGMP组管理中的抢占管理，以下哪一选项的描述是错误的?

AVRRP备份组本身具有抢占功能。即当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主。

B当VRRP备份组加入到VGP管理组后，奋份组上原来的抢占功能将失效，抢占行为发生与否必须由VGP管理组统一决定。

C当Slave端五个H