华为HCIA安全H12-711-V4.0练习试题附答案

第页华为HCIA安全H12-711_V4.0练习试题附答案1.如图所示，以下哪一项是图示IPSecVPN的封装模式？A、错误的模式B、通用模式C、传输模式D、隧道模式【正确答案】：D2.以下哪一项技术可以实现隐藏私网内部网络同时还能防止外部针对内部服务器的攻击?A、IP欺骗B、NATC、VRRPD、地址过滤【正确答案】：B3.下列有关VGMP组的描述中正确的是?A、VGMP是用来控制VRRP组状态的协议B、USG9000的默认优先级是45000C、VGMP组中VRRP的优先级会随着VGMP变化而变化D、USG6000的默认优先级是65000【正确答案】：A4.如果VRRP的虚拟组ID为2，则虚拟路由器的MAC是以下哪一项？A、00-01-5E-00-01-02B、00-10-5E-00-01-02C、00-00-5E-00-00-02D、00-00-5E-00-01-02【正确答案】：D5.IPSec可以通过以下哪一项协议来完成加密和认证过程的密钥自动分发?AHB、IKEC、ESPD、SPI【正确答案】：B6.SMTP协议的端口号是多少?A、25B、30C、109D、32【正确答案】：A7.以下哪一项不属于ISO27000信息安全管理体系家族的认证认可及审核指南部分?A、ISO/IEC27006B、ISO27799C、ISO/IEC27008D、ISO/IEC27007【正确答案】：A8.以下关于对称加密技术的描述中,错误的是哪项?A、系统开销小。B、扩展性好。C、效率高,算法简单。D、适合加密大量数据。【正确答案】：B9.以下哪一项不属于企业面临的外部安全威胁？(C)A、网络扫描B、DDos攻击C、终端漏洞D、钓鱼邮件【正确答案】：C10.AH协议的协议号是多少？A、50B、51C、55D、52【正确答案】：B11.以下关于状态检测防火墙处理数据包流程的描述，错误的是哪一项？A、状态检测机制开启时，首包和后续报文都需要进行安全策略检查B、状态检测机制开启时，TCP报文中只有SYN报文才能建立会话C、报文达到防火墙时查找会话表，若未匹配成功，防火墙会进行首包处理流程D、报文达到防火墙时查找会话表，若匹配成功，防火墙会进行后续报文处理流程【正确答案】：A12.以下关于单点登录的描述，正确的是哪一项？A、访问者通过Porta1认证页面将标识其身份的用户名和密码发送给防火墙，防火墙上没有存储密码，防火墙将用户名和密码发送至第三方认证服务器，验证过程在认证服务器上进行B、访问者通过Portal认证页面获取短信验证码，然后输入短信验证码即通过认证C、访问者将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第三方认证服务器将访问者的身份信息发送给防火墙。防火墙只记录访问者的身份信息不参与认证过程D、访问者通过Porta1认证页面将标识其身份的用户名和密码发送给防火墙，防火墙上存储了密码，验证过程在防火墙上进行【正确答案】：C13.当IKEv1协商阶段1采用野蛮模式时，只用到三条信息。以下哪一项是消息③的作用？A、响应方认证发起方B、交换Diffie-He11man公共值、必需的辅助信息以及身份信息C、协商IKE安全提议D、响应方发送身份信息供发起方认证【正确答案】：D14.监视器对应下列哪项安全措施?A、入侵检测系统B、加密VPNC、门禁系统D、防火墙【正确答案】：A15.如图所示，管理员在设备B上测试/24网段到/24网段的网络质量，并且需要设备长时间发送大数据包来测试网络联通性和稳定可以满足其要求那么以下哪一项命令？A、tracert-a-c500-w9600B、tracert-a-f500-q9600C、ping-a-c500-s9600D、ping-s-h500-f9600【正确答案】：C16.以下哪个NAT技术属于目的NAT技术?A、Easy-ipB、NATNo-PATC、NAPTD、NATServer【正确答案】：D17.以下哪项不属于防火墙双机热备需要具备的条件?A、防火墙硬件型号一致B、防火墙软件版本一致C、使用的接口类型及编号一致D、防火墙接口IP地址一致【正确答案】：D18.ACL的类型不包括以下哪一项?A、七层ACLB、高级ACLC、基本ACLD、二层ACL【正确答案】：A19.当接入用户使用Client-InitiatedVPN方式与LNS建立隧道时,一条隧道可以承载多少PPP接?A、3B、1C、2D、4【正确答案】：B20.以下关于防火墙双机热备中心跳交互报文的描述，错误的是哪一项？A、心跳链路探测报文用于两台防火墙同步配置命令和状态B、配置一致性检查报文用于检测两台防火墙的关键配置是否一致C、两台防火墙通过定期互相发送心跳报文检测对端设备是否存活D、VGMP报文用于确定对端设备状态来判断是否需要进行切换【正确答案】：A21.以下哪—项不属于二层VPN技术?A、PPTPB、IPsecC、L2TPD、L2F【正确答案】：B22.以下关于心跳接口配置的描述，正确的是哪一项？A、两台防火墙心跳接口不需要加入同一个安全区域B、MGMT接口不能作为心跳接口C、接口的MTU可以小于1500字节D、两台FW心跳接口的类型可以不相同【正确答案】：B23.以下关于防火墙双机热备的描述，错误的是哪一项？A、双机热备组网中，心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道B、两台FW的硬件和软件不一样也可以配置双机热备C、当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断D、心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接【正确答案】：B24.DES加密技术使用的密钥是位,而3DES加密技术使用的密钥是位。A、56168B、64168C、64128D、56128【正确答案】：D25.缺省情况下，防火墙安全策略仅对以下哪一项的报文进行控制？A、组播B、单播C、广播D、任播【正确答案】：B26.以下关于ARP的功能的描述，错误的是第一项？A、维护IP地址与AC地址的映射关系的缓存B、给终端用户分配IP地址C、可以通过IP地址来获取MAC地址D、实现网段内重复IP地址的检测【正确答案】：B27.以下关于状态检测防火墙的描述，正确的是哪一项?A、状态检测防火墙只需要对第一个数据包进行访问规则的匹配B、状态检测防火墙检查报文时，不检查同一连接的前后报文的相关性C、状态检测防火墙需要对每个进入防火墙的数据包进行访问规则匹配D、状态检测防火墙无法对UDP报文进行状态表匹配【正确答案】：A28.缺省情况下，防火墙安全策略仅对以下哪一项的报文进行控制？A、单播B、广播C、任播D、组播【正确答案】：A29.以下哪个选项不是IPSecSA的标识?A、SPIB、目的地址C、源地址D、安全协议【正确答案】：C30.以下关于L2TP的描述，错误的是哪一项？A、无论出差员工是通过传统拨号方式接入Internet，还是通过以太网方式接入Internet，L2TPVPN都可以向其提供远程接入服务B、PPP报文可以在在Internet直接传输C、L2TPVPN主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务D、L2TPVPN是一种用于承载PPP报文的隧道技术【正确答案】：A31.以下哪一项不属于数字信封的特点？A、保证对称密钥的安全性B、解决了对称密钥加密速度慢的问题C、解决了对称密钥的发布的问题D、提高了安全性、扩展性和效率【正确答案】：B32.以下关于状态检测防火墙的描述，正确的是哪一项？A、状态检测防火墙无法对UDP报文进行状态表匹配B、状态检测防火墙需要对每个进入防火墙的数据包进行访问规则匹配C、状态检测防火墙只需要对第一个数据包进行访问规则的匹配D、状态检测防火墙检查报文时，不检查同一连接的前后报文的相关性【正确答案】：C33.如图所示为配置NATServer后生成的两条ServerMap表项,关于该图所呈现的信息,以下哪项描述是错误的?Type：NatSarvenANY→11Type：NatSemerReyerse[→ANYA、第二条ServerMap作用是当去访问任何地址的时候经过防火墙后源地址会转换成B、第一条ServerMap作用是任何地址去访问时,经过防火墙后目的IP都转换成。C、带有Reverse标识的ServerMap可以使用命令将其册除。D、这两条ServerMap表项是静态的,即配置好NATServer后,两条ServerMap会自动生成且永久存在。【正确答案】：B34.利用出接口的公网IP地址作为NAT转后的地址，同时转换地址和端口。符合上述描述的是以下哪一类NAT?A、三元组NATB、NATNo-PATC、EasyIPD、NAPT【正确答案】：C35.人下关于L2TPoverIPSe的特点，哪一项的描述是错误的?A、L2TPoverIPSec适用于分支网络通过LAC拨号接入VPN并进行安全访问的场景B、L2TPoverIPSec的报文先将用IPSec封装，再用L2TP传输C、L2TP用于拨号并获取总部内网的IP地址，但是L2TP本身不够安全，可以通过IPSec保障通信的安全性D、建立L2TPoverIPSec隧道只是将用户访问内网服务器的流量引入了隧道，不影响用户访问Internet【正确答案】：B36.以下关于HTTP协议作用的描述，正确的是哪一项？A、HTTP是用来访问在WWW服务器上的各种页面B、HTTP是为文件传输提供了途径，它允许数据从一台主机传送到另一台主机上C、HTTP是用于实现从主机域名到IP地址之间的转换D、HTTP是把已知的IP地址解析为MAC地址【正确答案】：A37.将防火墙安全区域根据优先级的大小排序，以下哪一项的排序是正确的？A、Trust>Local>DMZ>UntrustB、Trust>Local>Untrust>DMZC、Trust>DMZ>Local>UntrustD、Local>Trust>DMZ>Untrust【正确答案】：D38.入侵防御系统通过将流量匹配以下哪一项来识别入侵行为?A、特征库B、协议C、IP地址D、端口号【正确答案】：A39.如图所示，使用抓包软件在某终端设备上抓取了部分报文，关于该报文信息，以下哪一项说法正确的？A、该终端向发起了TCP连接终止请求。B、该终端使用Telnet登录其他设备。C、该终端向发起了TCP连接建立请求。D、该终端使用Http登录其他设备。【正确答案】：C40.如图所示，在传输模式中,AHHeader头部应该插入以下哪一顶位置?A、1B、2C、3D、4【正确答案】：B41.防火墙检测到SMTP协议中承载了病毒文件，那么以下哪一项不是防火墙可能采取的响应动作？A、阻断B、告警C、删除附件D、宣告【正确答案】：D42.以下哪一项不属于STelnet服务器与客户端协商过程的阶段?A、版本协商B、密钥交换C、用户认证D、端口号协商【正确答案】：D43.缺省情况下，以下哪一种服务提供加密传输?A、FIPB、SSHC、HTPD、Telnet【正确答案】：B44.在华为SDSec解决方案中,下列哪项属于分析层设备?A、CISB、AgileControllerC、switchD、Firehunter【正确答案】：D45.下关于IPSec封装模式的描述，错误的是哪一项?A、隧道模式会封装一个额外的IP头部，所以它比传输模式占用更多带宽B、封装模式有传输模式和隧道模式两种C、从机密性来讲，传输模式优于隧道模式D、传输模式下，与AH协议相比，ESP协议的完整性验证范围不包括IP头部，无法保证IP头部信息的安全性【正确答案】：C46.如果发生境外不法分子利用互联网窃取我国国家机密的事件,则国家会启动哪种预警?A、橙色预警B、黄色预警C、蓝色预警D、红色预警【正确答案】：A47.以下哪一项不是VPN中的加密算法?A、3DESB、DESC、AESD、RIP【正确答案】：D48.以下哪一项不属于NAT的优点？A、追溯数据包将更加困难，排除故障更具挑战性B、节约公网IP地址C、增加了灵活性，有效防止外部的网络攻击D、隐藏内部IP地址，提高安全性【正确答案】：A49.防火墙对匹配到的认证数据流采取的处理方式,不包括以下哪个选项?A、Portal认证B、免认证C、微信认证D、不认证【正确答案】：C50.受外部用户控制，通过窃取本机信息或者获取本机控制权来攻击网络安全的方式属于以下哪一种攻击行为？A、钓鱼攻击B、缓冲区溢出攻击C、拒绝服务攻击D、木马攻击【正确答案】：D51.关于L2TP樓道的呼叫建立流程排序,以下哪项描述是正确的顺序?1建立L2TP隧道2.建立PPP连接3.LNS对用户进行认证4.用户访问内网资源5.建立L2TP会话"A、1->2->3->5->4B、1->5->3->2->4C、2->1->5->3->4D、2->3->1->5->4【正确答案】：B52.关于Telnet服务的特点,以下哪一项的描述是错误的?A、TeInet可用于远程登录主机,可通过暴力破解获取到Telnet帐号密码。B、默认情况下华为防火墙禁止远程用户使用Telnet登录。C、通过Telnet服务用户可在本地计算机上连接远程主机。D、Telnet是一种远程登录服务协议,使用UP协议的23端口号【正确答案】：D53.在部署IPSecVPN时,以下哪项属于隧道模式的主要应用场景?A、主机与主机之间B、主机与安全网关之间C、安全网关之间D、主机和服务器之间【正确答案】：C54.华为防火墙的安全区域的划分基于以下哪—选项？A、按照IP地址划分B、按照接口划分【正确答案】：B55.以下关于华为防火墙安全区域的描述，正确的是哪一项?A、防火墙默认的区域可以删除B、防火培的不同安全区域的默认优先级相同C、防火墙的不同接口可以在同一个区域D、防火墙同一个接口可以归属不同区域【正确答案】：C56.将公网IP地址转换成私网IP地址，使公网用户可以利用公网地址访问内部Server。符合上述描述的是以下哪一类NAT?A、NATServerB、NAPTC、NATNo-PATD、EasyIP【正确答案】：A57.以下哪一项不是Web应用的十大安全隐患之一？A、安全配置错误B、终端物理故障C、中断访问控制D、加密故障【正确答案】：B58.PKI技术不能解决以下哪一项问题？A、通过网络传输时信息易被窃取和篡改，无法保证信息的安全性B、交易双方并不现场交易，无法确认双方的合法身份C、交易双方发生纠纷时没有凭证可依，无法提供仲裁D、流量过大导致网络带宽拥塞，服务器无法正常提供业务【正确答案】：D59.SSL不支持以下哪一项加密算法?A、RC4B、DESC、3DESD、AES【正确答案】：A60.IPSec采用以下哪一项验证算法比较ICV，从而进行数据包完整性和真实性验证？AESB、DESC、HMACD、MD5【正确答案】：C61.以下关于防火墙特点的描述，正确的是哪一项？A、防火墙都能准确地追溯到攻击者，即使攻击者是通过肉鸡攻击的B、防火墙能够解决全部内网网络攻击C、防火墙可以取代反病毒系统D、防火墙可以防止把外网未经授权的信息发送到内网【正确答案】：D62.如果病毒文件是应用例外，则按照应用例外的响应动作进行处理。以下哪一项不是应用例外的响应动作？A、告警B、宣告C、放行D、阻断【正确答案】：B63.某公司的一名员工接收到一封携带附件的可疑邮件时，以下哪一项的操作是正确的？A、首先确定发件人和邮件信息是否可靠，并使用查杀病毒软件检查附件B、查看邮件发件人，如果来自于公司邮箱则可以打开并保存附件C、查看邮件内容，如果和工作内容相关则可以打开并保存附件D、邮件附件不会对信息安全造成危害，可以直接打开【正确答案】：A64.在防火墙安全策略中指定五元组匹配条件，可以实现安全区域间的访问控制。以下哪一项不属于五元组的信息？A、目的地址B、源地址C、端口号D、服务【正确答案】：D65.以下关于ASPF和Server-map表的描述，正确的是哪一项？A、所有Server-map表用五元组来标识一段会话B、ASPF通过动态的生成ACL来决定是否放行数据包C、ASPF检查网络层信息并监控网络层协议状态D、ASPF生成的Server-Map是动态的【正确答案】：D66.杀毒软件的修复仅需可以修复在查杀病毒的时候误删的一些系统文件,防止系统崩溃A、正确B、错误【正确答案】：A67.针对入侵检测系统的描述,以下哪项是错误的?.A、入侵检测系统可以通过网络和计算机动态地搜集大量关键信息资料.并能及时分析和判断整个系统环境的目前状态B、入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻态的痕迹等,可以实施阻断操作C、入侵检测系统包括用于入侵检测的所有软硬件系统D、入浸检测系统可与防火墙、交换机进行联动,成为防火墙的得力“助手”,更好,更精确的控制域间的流量访问【正确答案】：B68.以下关于常见散列算法的描述，错误的是哪一项?A、SHA-1比MD5算法的计算速度快，安全强度也更高B、散列算法可以把任意长度的输入变换成固定长度的输出C、SHA-2是SHA-1的加强版本，安全性能要远远高于SHA-1D、SI3算法是国产加密算法，用于密码应用中的数字签名和验证、消息认证码的生成与验证以及随机数的生成，可满足多种密码应用的安需求【正确答案】：A69.包过滤防火墙可以过滤的报文类型不包括以下哪一项?A、首片分片报文B、非分片报文C、伪造的ICMP差错报文D、后续分片报文【正确答案】：A70.以下哪一项适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景？A、NAPTB、

EasyIPC、NATNo-PATD、三元组NAT【正确答案】：C71.缺省情况下，防火墙安全策略仅对以下哪一项的报文进行控制？(C)A、任播B、组播C、单播D、广播【正确答案】：C72.以下哪一项不属于NAT的优点?A、追溯数据包将更加困难，排除故障更具挑战性B、节约公网IP地址C、隐藏内部IP地址，提高安全性D、增加了灵活性，有效防止外部的网络攻击【正确答案】：A73.在VRRP中，如果虚拟组设备收到终端设备发送的ARP请求报文。那么以下哪种处理方式是正确的?A、由Master设备响应。B、Master看Backup都会响应。C、由Backup设备响应。D、Master看和Backup都不会响应。因为收到的是AP请求报文的目的IP地址是虚拟IP地址。【正确答案】：A74.以下关于IPSecVPN中AH协议的描述，错误的是哪一项?A、支持数据源验证B、支持报文加密C、支持防报文重放D、支持数据完整性校验【正确答案】：B75.以下哪一项不是蠕虫病毒的常规传播途经？A、后门程序B、U盘C、电子邮件D、网络共享【正确答案】：A76.以下关于IPSec中密钥交换的描述，错误的是哪一项？A、带外共享密钥过程中，需要管理员手工配置静态的机密和验证密钥。B、带外共享密钥的安全性低，可扩展性也较差。C、因特网密钥交换IKE协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上，是基于TCP的应用层协议。D、IKE采用DH（Diffie-Hellman）算法在不安全的网络上安全地分发密钥。【正确答案】：C77.如图所示,客户端A和服务器B之间建立TCP连接,图中两处“?”报文序号应该是下列哪项?A、a+1:aB、a:a+1C、b+1:bD、a+1:a+1【正确答案】：D78.在隧道封装方式下。IPSec配置时不需要有到达目的私网网段的路由,因为数据会经过重新封装使用新的IP头部查找路由表。A、正确B、错误【正确答案】：B79.以下关于IPSecSA的描述，错误的是哪一项？A、建立IPSecSA有两种方式：手工方式和IKE方式B、手工方式建立IPSecSA安全性比IKE方式高C、使用IKE方式建立SA时，SPI随机生成D、使用IKE方式建立SA时，密钥通过DH算法生成且动态刷新【正确答案】：B80.防火墙检测到病毒后,下列哪种情况会放行病毒?A、命中应用例外B、不是防火墙支持的协议C、源IP命中白名单D、命中病毒例外【正确答案】：C81.防火墙检测到SMTP协议中承载了病毒文件，那么以下哪一项不是防火墙可能采取的响应动作?A、阻断B、宣告C、删除附件D、告警【正确答案】：A82.以下关于华为防火墙安全区域的描述，正确的是哪一项？A、防火墙的不同安全区域的默认优先级相同B、防火墙的不同接口可以在同一个区域C、防火墙同一个接口可以归属不同区域D、防火墙默认的区域可以删除【正确答案】：B83.当发生网络安全事件后,对入侵行为、病毒或木马进行排查,对主机进行修补加固。上述动作属于网络安全应急响应哪个阶段中的工作内容?A、恢复阶段B、检测阶段C、根除阶段D、抑制阶段【正确答案】：D84.安全区域是防火墙的一个重要概念，它是防火墙上一个或多个接口的组合。以下哪一项不属于防火墙缺省安全区域？A、HuaweiB、TrustC、DMZD、

Local【正确答案】：A85.如使用Client-lnitiated方式建立L2TPVPN时,下列哪项是报文的终点?A、LNSB、接入用户C、服务器D、LAC【正确答案】：A86.以下关于ASPF和Server-map表的描述，正确的是哪一项？(C)ASPF检查网络层信息并监控网络层协议状态B、ASPF通过动态的生成ACL来决定是否放行数据包C、ASPF生成的Server-Map是动态的D、所有Server-map表用五元组来标识一段会话【正确答案】：C87.关于防火墙支持的单点登录,不包括下列哪一项?A、RADIUS单点登录B、ISM单点登录C、AD单点登录D、HWTACACS单点登录【正确答案】：D88.以下关于反病毒特点的描述，错误的是哪一项?A、反病毒特性可以检测RAR类型的压缩文件B、对于反病毒的快速扫描模式，默认仅对PE文件进行检测C、反病毒特性不需要License支持D、防火墙提供的反病毒特性和用户主机上的防病毒软件在功能上是互补和协作的关系【正确答案】：C89.以下哪一项不属于二层VPN?A、L2FB、PPTPC、L2TPD、IPSec【正确答案】：D90.IP报文头中的协议(protocol)字段标识了其上层所使用的协议,以下哪个字段值表示上层协议为UDP协议?A、6B、17C、11D、18【正确答案】：B91.在DNS系统中，哪一种类型服务器可以作为授权服务器的代理，并缓解授权服务器的压力？A、顶级域名服务器B、缓存服务器C、根服务器D、递归服务器【正确答案】：A92.当外部网络中的用户访问内部服务器时，可以使用以下哪一类NAT避免在内部服务器上设置网关，简化配置?A、双向NATB、NATNo-PATC、NAPTD、目的NAT【正确答案】：C93.当IKEv1在第一阶段协商时，若采用主模式，包含三次双向交换，用到了六条ISAKMP信息。以下哪一项的消息用于密钥参数交换？A、消息③和④B、消息④和⑤C、消息①和②D、消息②和③【正确答案】：A94.二层交換机工作在OSI模型中的哪一层？A、网络层B、物理层C、数据链路层D、会话层【正确答案】：C95.公司网络管理员在配置双机热备时,配置VRRP备份组1的状态为Active,并配置虚拟IP地址为/24,则空白处需要键入的命令是A、rulenamecSource-zoneuntrustDestination-zonetrustDestination-address32ActionpermitB、rulenamedSource-zoneuntrustDestination-zonetrustDestination-address32ActionpermitC、security-policyRulenameaSource-zoneuntrustSource-address32ActionpermitD、rulenamebSource-zoneuntrustDestination-zonetrustSource-address32Actionpermit【正确答案】：A96.以下关于本地认证的描述，正确的是哪一项？A、访问者将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第三方认证服务器将访问者的身份信息发送给防火墙，防火墙只记录访问者的身份信息不参与认证过程B、者访问通过Portal认证页面获取短信验证码，然后输入短信验证码即通过认证C、访问者通过Portal认证页面将标识其身份的用户名和密码发送给防火墙，防火墙上存储了密码，验证过程在防火墙上进行D、访问者通过Porta1认证页面将标识其身份的用户名和密码发送给防火墙，防火墙上没有存储密码，防火墙将用户名和密码发送至第三方认证服务器，验证过程在认证服务器上进行【正确答案】：A97.关于包过滤防火墙和应用代理防火墙的区别,以下哪一项的描述是错误的?A、应用代理防火墙能加快内网用户访问常用网站速度。B、包过滤防火墙通常在传输层以下实现,应用代理防火墙通常在会话层以上实现。C、应用层代理防火墙能够提供用户认证。D、包过滤防火墙不具备数据转发能为,必须和路由器配合部署。【正确答案】：D98.以下关于L2TPoverIPSec的特点，哪一项的描述是错误的？A、L2TPoverIPSec的报文先将用IPSec封装，再用L2TP传输B、L2TPoverIPSec适用于分支网络通过LAC拨号接入VPN并进行安全访问的场景C、L2TP用于拨号并获取总部内网的IP地址，但是L2TP本身不够安全，可以通过IPSec保障通信的安全性【正确答案】：A99.包过滤防火墙会对以下哪一项的数据报文进行检查？A、网络层B、应用层C、物理层D、数据链路层【正确答案】：A100.以下关于PKI技术的描述，错误的是哪一项?A、通过PKI技术，可以保证数据的安全性，未授权的设备和用户无法查看该数据通过PKI技术，可以保证网络中传输的数据的私密性，数据不会被篡改和窥探B、通过PKI技术，可以保证网络中传输的数据的私密性，数据不会被篡改和窥探C、通过PKI技术，用户可以验证接入设备的合法性，从而可以保证用户接入到安全、合法的网络中D、通过PKI技术，可以防止恶意用户通过重复发送捕获到的数据包所进行的攻击【正确答案】：D1.在网络入侵事件发生后,根据预案获取入侵的身份,攻击源等信息,并阻断入侵行为,上述动作属于PDRR网络安全模型中的哪些环节?A、防护环节B、检测环节C、响应环节D、恢复环节【正确答案】：BC2.数字证书可以包含以下哪些信息？A、数字签名B、证书序列号C、密钥有效期D、公钥【正确答案】：ABCD3.管理员PC与USG防火墙管理口直连,使用web方式进行初始化操作,以下哪些说法是正确的?A、管理PC的浏览器访问http;//B、管理PC的IP地址手工设置为-54C、管理PC的浏览器访问D、将管理PC的网卡设置为自动获取IP地址【正确答案】：ABD4.关于等保2.0中等级保护系统定级的描述,以下哪些选项是正确的?A、第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,但不损害国家安全、社会秩序和公共利益。B、第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。C、第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。D、第三级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,同时会对国家安全造成损。【正确答案】：ABC5.以下哪些选项可以再windows防火墙的高级设置中进行操作?A、还原默认值B、更改通知规则C、设置连接安全规则D、设置出入站规则【正确答案】：CD6.使用大量的受控主机向被攻击目标发送大量的网络数据包，以占满被攻击目标的带宽，并消耗服务器和网络设备的网络数据处理能力，达到拒绝服务的目的。以下哪些选项属于常见的拒绝服务攻击？A、CC攻击B、UDPf1oodC、中间人攻击D、SYNF1ood【正确答案】：AD7.以下关于防火墙与路由器、交换机的区别的描述，哪些选项是正确的？A、交换机通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文B、路由器与交换机本质是转发，而防火墙的本质是控制C、路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地D、防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性【正确答案】：ABCD8.USG9500VGMP组的初始优先级和下列哪些因素有关A、接口带宽B、VRRP优先级C、接口板上的子卡个数D、业务板上的CPU个数【正确答案】：CD9.以下关于交换机工作原理的描述，正确的是哪些项?A、交换机不同的接口发送和接收数据是独立的B、MAC地址表中存放了MAC地址与交换机端口之间的映射关系，除非手工删除，否则会永久存在C、二层交换机依赖于MAC地址表转发数据D、二层交换机工作在数据链路层【正确答案】：ACD10.以下哪些项属于信息安全标准与规范？A、ITSECB、CCSAC、ISO27001D、TCSEC【正确答案】：ACD11.以下哪些属于杀毒软件的基本功能?A、防范病毒B、查找病毒C、清除病毒D、复制病毒【正确答案】：ABC12.关于windows防火墙高级设置的描述,以下哪些选项是错误的?A、设置入栈规则的时候,只能限制本地端口,无法限制远程端口B、设置入栈规则的时候,既能限制本地端口,又能限制远程端口C、设置出栈规则的时候,只能限制本地端口,无法限制远程端口D、设置出栈规则的时候,既能限制本地端口,又能限制远程端口【正确答案】：BD13.以下哪些项属于LDAP的特点？A、优化查询，读取数据较快B、支持数据的分布式数据存储C、对外提供一个统一的访问点D、目录方式组织数据【正确答案】：ABCD14.关于VRRP/VGMP/HRP的关系和作用,下列哪些说法是正确的?A、VRRP负责在主备倒换时发送免费ARP把流量引到新的主设备上B、VGMP负责监控设备的故障并控制设备的快速切换C、HRP负责在双机热备运行过程中的数据备份D、处于Active状态的VGMP组中可能包含处于Standby状态的VRRP组【正确答案】：ABC15.以下关于主备防火墙会话表的描述，正确的是哪些项？A、如果备份通道故障，主用防火墙的会话不能备份到备用防火墙。B、如果关闭了会话自动备份功能，两台防火墙的会话表必然不一致。C、在开启会话自动备份的情况下，到防火墙自身的会话不会备份。D、在开启会话自动备份的情况下，会话可以实时备份。【正确答案】：AC16.以下关于DNS协议的描述,正确的是哪些项?A、DNS域名解析系统存在根服务器、顶级域名服务器、递归服务器和缓存服务器这四种类型的服务器B、DNS协议端口号是53C、DNS协议传输层既可以使用TCP,也可以使用UDPD、如果DNS缓存服务器不存在要查询的域名解析缓存,会直接向顶级域名服务器进行查询【正确答案】：ABD17.ASPF(ApplicationspecificPacketFilter)是一种基于应用层的包过滤技术,并通过server-map表实现了特殊的安全机制。关于ASPF和server-map表的说法,下列哪些是正确的?ASPF监视通信过程中的报文B、ASPF可以动态创建server-mapC、ASPF通过server-map表实现动态允许多通道协议数据通过D、五元组server-map表项实现了和会话表类似的功能【正确答案】：ABC18.为获取犯罪证据,掌握入侵追踪的技术十分必要,下列哪些选项对于追踪技术的描述是正确的?A、数据包记录技术通过在被追踪的IP数据包中插入追踪数据,从而在经过的各个路由器上标记数据包B、链路测试技术通过测试路由器之间的网络链路来确定攻击源的信息C、数据包标记技术通过在路由器上记录数据包,然后使用数据钻取技术来提取攻击源的信息D、浅层邮件行为解析可以实现对发送IP地址、发送时间、发送频率、收件者数目、浅层电子邮件标头等信息的分析。【正确答案】：BD19.随着技术的发展,电子取证出现了一些新的技术,以下哪些项属于新型取证技术?A、云取证B、物联网取证C、边信道攻击取证D、日志取证【正确答案】：ABC20.关于事故前预防策略和事故后恢复策略的区别,以下哪些项的描述是正确的?A、恢复策略属于业务连续性计划的内容。B、预防策略侧重在事故发生前尽量减少事故发生的可能性。恢复策略侧重在事故发生后尽量减少对企业的影响和损失。C、灾前预防策略的作用不包括尽量减少事故发生带来的经济、声誉等损失。D、恢复策略用于提高业务高可用性。【正确答案】：AB21.以下哪些项是包过滤防火墙的缺点？A、静态的ACL规则难以适应动态的安全要求B、连接状态清单是动态管理的C、软件实现限制了处理速度，易于遭受拒绝服务攻击D、攻击者可以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址，就能很轻易地通过报文过滤器【正确答案】：AD22.以下关于PKI生命周期的描述，正确的是哪些项？A、PKI实体下载证书后，还需安装证书，即将证书导入到设备的内存中，否则证书不生效。B、如果用户业务中止，用户需要将自己的数字证书撤消。C、PKI的核心技术就围绕着本地证书的申请、领发、存储、下载、安装、验证、更新和撤销的整个生命周期进行展开。D、当证书过期时，PKI实体也不必更换证书，依然有效。【正确答案】：AB23.人下哪些协议属于应用层协议?A、DNSB、ARPC、HTTPD、Telnet【正确答案】：ACD24.华为防火墙支持对以下哪些协议传输的文件进行病毒检测?A、NFSB、FTPC、SMTPD、HTTP【正确答案】：ABCD25.以下哪些协议可以提供文件传输服务？A、SMTPB、FTPC、TelnetD、TFTP【正确答案】：ABD26.在信息安全体系建设管理周期中，以下哪些行为是“Plan”环节中需要实施的?A、口风险评估B、口体系运行与监控C、口项目启动和差异分析D、口体系设计E、口认证及持续改进【正确答案】：ACD27.某企业想要搭建一套服务器系统,要求能够实现如下功能:1、企业需要有自己的专属邮箱,邮件的收发需要经过企业的服务器:2、服务器上要提供文件传输和访问服务,对企业内不同部门的用户提供不同权限的账号:3、企业在访问企业内部网页时能够直接在浏览器输入域名访问。要满足以上需求,企业需要部署以下哪些服务器?A、时间同步服务器B、FTP服务器(I)C、DNS服务器D、邮件服务器【正确答案】：BCD28.企业网络中，用户需要进行身份认证的原因有哪些？A、防止用户泄密B、防止用户违法行为C、防止用户上班期间开启无关应用，影响网络带宽D、防止用户上班期间开展无关活动，影响工作效率【正确答案】：BCD29.以下关于IPSec中通过IKE建立SA的描述，正确的是哪些项？A、SPI取值随机生成。B、IKE方式适用于中大型网络。C、SA永久存在。D、密钥通过DH算法生成、动态刷新。【正确答案】：ABD30.以下对于IKEv2协商过程的描述，正确的是哪些项？A、IKEv2协商中一些控制信息的传递，通过通知交换完成B、IKEv2正常情况使用2次交换共4条消息就可以完成一对IPSecSA的建立C、IKEv2创建子SA交换的交互消息由初始交换协商的密钥进行保护D、IKEv2初始交换过程中的四条消息都是加密传输的【正确答案】：ABC31.安全检查服务需要检查以下哪些内容?A、用户行为B、文件C、流量D、应用【正确答案】：ABCD32.通过displayfirewal1sessiontableverbose命令输出的信息包含以下哪些项内容?A、协议名称B、NextHopC、会话IDD、TTL【正确答案】：ABCD33.以下关于GRE封装概念的描述，正确的是哪些项?A、运输协议是指被封装以后的报文在新网络中传输时所使用的网络协议B、乘客协议是指用户在传输数据时所使用的原始网络协议C、封装协议的作用就是用来“包装”乘客协议对应的报文使原始报文能够在新的网络中传输D、GRE能够承载的乘客协议包括IPv4、IPv6和MPLS协议等【正确答案】：ABCD34.如所示为一个NATserver的应用场景,在使用web配置方式进行该项配置时。下列哪些说法是正确的?9773ee992186f5518f1a81d457a2f2e6.pngA、配置域间安全策略时,需设置源安全区域为Untrust,目标安全区域为DMZB、配置NATServer时,内部地址为,外部地址为C、配置域间安全策略时,设置源安全区域为DMZ,目标安全区域为UntrustD、配置NATServer时,内部地址为,外部地址为【正确答案】：AB35.以下哪些项属于LDAP的特点？A、优化查询，读取数据较快B、对外提供一个统一的访问点C、支持数据的分布式数据存储D、目录方式组织数据【正确答案】：ABCD36.以下哪些属于地址转换技术的功能?A、地址转换可以使内部网络用户(私有IP地址)访问InternetB、地址转换可以使内部局域网的许多主机共享一个IP地址上网C、地址转换能够处理加密的IP报头D、地址转换可以屏蔽内部网络的用户,提高内部网络的安全性【正确答案】：ABD37.下列哪项属于网络安全应急响应中在根除阶段要采取的动作?A、查找病毐木马,非法授权,系统漏洞,并及时处理B、根据发生的安全事件修订安全策略,启用安全审计C、阻断正在发起攻击的行为,降低影响范围D、确认安全事件造成的损害程度,上报安全事件【正确答案】：AB38.以下关于PKI证书的描述，正确的是哪些项?A、PKI实体向CA申请本地证书时，如果有RA，则先由RA审核PKI实体的身份信息，审核通过后，RA将申请信息发送给CAB、PKI实体不支持通过SCEP向CA发送证书注册请求消息来申请本地证书C、PKI实体不支持离线向CA申请本地证书D、PKI实体支持通过CMPv2协议向CA发送证书注册请求消息来申请本地证书【正确答案】：AD39.IKE具有一套自保护机制，可以在不安全的网络上安全地认证身份，分发密钥，建立IPSecSA。这些自保护机制包括以下哪些项？A、身份认证B、身份保护C、DH密钥交换算法D、挑战认证【正确答案】：ABC40.关于路由器和防火墙的区别，以下哪些项的描述是正确的？A、路由器没有任何安全防御机制，防火墙具有包过滤检测等一系列安全防御策略。B、防火墙没有路由功能，不能作为终端设备的网关。C、路由器在查路由表转发报文时，只会查看报文的目的IP地址。D、防火墙在转发数据报文时，能够根据IP五元组对数据进行检测【正确答案】：CD41.以下关于路由表特点的描述，正确的是哪些项？A、当报文匹配到路由表中多个条目时会根据最长掩码匹配原则转发B、当报文匹配到路由表中多个条目时会根据具备最大度量值的路由条目转发C、全局路由表中去往相同目的网段最多只有一个下一跳D、全局路由表中去往相同目的网段可能存在多个下一跳【正确答案】：AD42.以下关于操作系统的描述，正确的是哪些项？A、操作系统是用户和计算机之间的接口。B、操作系统可以改善人机界面。C、操作系统负责管理计算机系统的全部硬件资源和控制软件的执行。D、操作系统本身也是软件。【正确答案】：ABCD43.数据传输过程中加密技术对数据起到保障作用包括下列哪些选项?A、机密性B、可控性C、完整性D、源校验【正确答案】：ACD44.以下哪些信息系统属于第一级保护的信息系统？A、地级事业单位B、小型私营企业C、国家重要部门D、个体企业【正确答案】：BD45.以下关于SSLVPN业务的描述，正确的是哪些项？A、移动办公用户访问内网文件服务器时使用文件共享业务B、移动办公用户访问内网文件服务器时使用文件共享业务C、移动办公用户访问内网IP资源时使用网络扩展业务D、移动办公用户访问内网UDP资源时使用端口转发业务【正确答案】：ABC46.关于防火墙域间转发安全策略的控制动作permit和deny,以下哪些选项是正确的?A、防火墙缺省安全策略的动作为denyB、报文匹配了域间安全策略deny动作后立即丢弃报文,不会继续往下执行其他域间安全策略C、即使数据包匹配安全策略的permit动作,也不一定会被防火墙转发D、报文不管是匹配安全策略的permit动作,还是deny动作,都会转到UTM模块处理【正确答案】：ABC47.源探测技术可以防御以下哪些攻击类型？A、SYNFloodB、HTTPFloodC、SIPFloodD、HTTPSFlood【正确答案】：ABCD48.防火墙Trust域中的客户机可以登录Untrust域中的FTP服务器,但无法下载文件,以下哪些方法可以解决该问题?A、在Trust和Untrust之间放行21端口号B、FTP工作方式为port模式时,修改从Trust到Untrust区域的安全策略动作为允许C、启用detectftpD、FTP工作方式为Passive模式时,修改从Trust到Untrust区域的安全策略动作为允许【正确答案】：CD49.计算机病毒可以分为以下哪些类型?A、文件病毒B、蠕虫C、木马D、后门程序【正确答案】：ABCD50.以下哪些协议能够保证数据传输的机密性?A、TelnetB、SSHC、FTPD、HTTPS【正确答案】：BD51.以下关于主备防火墙会话表的描述，正确的是哪些项?A、如果关闭了会话快速备份功能，两台防火墙的会话表不能实时同步B、如果备份通道故障，主用防火墙的会话能备份到备用防火墙C、会话通过业务接口备份D、如果备份通道故障，主用防火墙的会话不能备份到备用防火墙【正确答案】：AD52.使用大量的受控制主机向被攻击目标发送大量的网络数据包，以占满被攻击目标的带宽，并消耗服务器和网络设备的网络数据处理能力，达到拒绝服务的目的，以下哪些选项属于常见的拒绝服务攻击？（BC）A、中间人攻击B、UDPfloodC、SYNfloodD、CC攻击【正确答案】：BC53.以下哪些项属于信息安全标准与规范?A、ITSECB、CCSAC、ISO27001D、TCSEC【正确答案】：ABCD54.以下关于PKI体系中申请本地证书的描述，正确的是哪些项？A、本地证书是由CA进行数字签名并颁发的B、PKI实体信息就是PKI实体的身份信息，CA根据PKI实体提供的身份信息来唯一标识证书申请者C、PKI实体不一定要将包含PKI实体信息的证书注册请求消息发送给CAD、当证书过期时，PKI证书需要更新，此时可以重新申请证书【正确答案】：ABCD55.以下关于华为防火墙入侵防御工作原理和功能的描述，正确的是哪些项?A、口解析数据协议并且将特征进行匹配识别，根据结果和定制的动作做进一步的数据处理B、旁挂部署在网络出口，可以在不影响网络拓扑的前提下对网络进行实时的保护C、特征库需要经常地更新，才能识别最新的攻击、病毒和P2P滥用流量D、入侵防御的动作有放行、告警、阻断【正确答案】：ABCD56.以下关于RADIUS的描述，正确的是哪些项?A、支持对配置命令进行授权B、只是对认证报文中的密码字段进行加密C、适于进行计费D、使用TCP协议【正确答案】：BC57.下列有关事故前预防策略和事故后恢复策略的区别,说法正确的是?A、预防策略侧重在故事发生前尽量减少事故发生的可能性。恢复策略侧重在事故发生后尽量减少对企业的影响和损失B、灾前预防策略的作用不包括尽量减少事故发生带来的经济、声誉等损失C、恢复策略用于提高业务高可用性D、恢复策略属于业务连续性计划的内容【正确答案】：AD58.以下关于华为防火墙对SYNFlood攻击防御技术的描述，正确的是哪些项？A、通过配置域间安全策略可以防范SYNFlood攻击B、限制TCP新建连接速率可以防范SYNFlood攻击C、限制TCP半开连接数可以防范SYNFlood攻击D、通过SYNCookie技术可以防范SYNFlood攻击【正确答案】：BCD59.安全态势中可以对数据做以下哪些操作处理？A、数据清洗B、数据添加标签C、数据分类D、数据关联补齐【正确答案】：BD60.以下关于HWTACACS的描述，错误的是哪些项？A、支持对配置命令进行授权B、使用UDP协议C、适于进行安全控制D、认证与授权一起处理【正确答案】：BD61.以下关于802.1x认证的描述，正确的是哪些项?A、基于端口的认证模式下，只有存在一个认证成功的用户，该端口下的其他用户都可以直接访问网络B、基于MAC地址的认证模式下，端口下某个用户离线会导致该端口下剩余用户都需重新执行认证C、基于MAC地址的认证模式下，端口下某个用户离线不会对其他该端口下用户产生影响D、基于端口的认证模式下，该端口下的每个用户都需完成认证之后才可访问网络【正确答案】：AC62.数字证书的类型包括以下哪些项？A、自签名证书B、CA证书C、本地证书D、RA证书【正确答案】：ABC63.关于windows日志事件类型的描述,一下哪些选项是正确的?A、警告事件是指应用程序、驱动程序或服务的成功操作的事件。B、错误事件通常指功能和数据的丢失。例如一个服务不能作为系统引导被加载,则会产生一个错误事件。C、当磁盘空间不足时,会被记录为一次“信息事件”D、失败审核事件是指失败的审核安全登录尝试,例如用户视图访问网络驱动器时失败,则会被记录为失败审核事件。【正确答案】：BD64.以下关于IPSec中缺省配置的指述,正确的是哪些项?A、发送NATKeepalive报文时间间隔为20秒。B、SA触发方式是流量触发C、默认使NAT穿越功能D、默认未使能全局IPSec抗重放功能【正确答案】：BC65.HRP可以对以下哪些内容进行备份？ARP表项B、黑名单C、Server-map表项D、TCP会话表【正确答案】：ABCD66.LDAP中唯一标识名DN包含了哪些属性?A、CNB、DITC、DoDC【正确答案】：ACD67.以下哪些信息系统属于第一级保护的信息系统？A、小型私营企业B、国家重要部门C、地级事业单位D、个体企业【正确答案】：AD68.按外形对服务器进行分类，可以分为以下哪些类型？A、刀片服务器B、塔式服务器C、机架式服务器D、x86服务器【正确答案】：ABC69.以下哪些选项的VPN技术支持对数据报文进行加密？A、SSLVPNB、GREVPNC、IPSecVPND、L2TPVPN【正确答案】：AC70.安全策略中可以定义以下哪些安全配置文件?A、反病毒B、邮件过滤C、URL过滤D、文件过滤【正确答案】：ABCD71.关子华为的路由器和文换机,以下哪些说法是正确的?A、路由器可以实现部分安全功能,部分路由器可以通过增加安全插板实现更多安全功能B、路由器的主要功能是转发数据,当企业有安全需求时,有时防火墙可能是个更合适的选择C、交换机具备部分安全功能,部分交换机可以通过增加安全插板实现更多安全功能D、交换机不具备安全功能【正确答案】：ABC72.关于AH和ESP安全协议,以下哪些选项的说法是正确的?AH可以提供加密和验证功能B、ESP可以提供加密和验证功能C、AH的协议号是51D、ESP的协议号是51【正确答案】：BC73.以下哪些算法属于非对称加密算法?AESB、IDEAC、DHD、RSA【正确答案】：CD74.病毒程序一般由以下哪些模块組成？A、破坏程序B、触发程序C、感染标记D、感染程序【正确答案】：AB75.下列哪些NAT技术可以实现一个公网地址为多个私网地址提供源地址转换(A、NAPTB、NATServerC、Easy-ipCT精路D、NATNo-PAT【正确答案】：AC76.以下关于防火墙双机热备中手工批量备份的描述，正确的是哪些项？（ABCD）A、每执行一次手工批量备份命令，主设备就会立即同步一次配置命令和状态信息到备用设备B、在双机热备组网中任意一台设备上执行hrpsyncconfig命令都会触发一次配置批量备份C、手工批量备份缺省为开启状态D、手工批量备份模式下，主用设备会周期性地将可以备份的状态信息备份到备用设备上。【正确答案】：ABCD77.在使用数字信封的过程中,下列哪些信息会被加密?A、对称密钥B、用户数据C、接收方私钥D、接收方公钥【正确答案】：AB78.针对缓冲区溢出攻击的描述,以下哪些选项是正确的?A、缓冲区溢出攻击利用软件系统对内存操作的缺陷,以高操作权限运行攻击代码.B、缓冲区溢出攻击与操作系统的漏洞和体系结构无关.C、缓冲区溢出攻击是攻击软件系统的行为中常见的方法之一D、缓冲区溢出攻击属于应用层攻击行为.【正确答案】：ACD79.关于GREVPN隧道配置的描述,以下哪些选项是正确的?A、两端设备的隧道接口号必须一致B、隧道地址必须保证网络层可达C、隧道接口必须配置IP地址D、隧道接口必须加入安全区域【正确答案】：ABCD80.缺省情况下，关于防火墙设备设置管理员密码的描述，正确的是哪些项？A、密码为字符串形式，长度范围是8～64B、密码中不能包含两个以上连续的相同字符C、密码需要包含特殊字符D、要求管理员首次登录后修改密码【正确答案】：CD81.交换机转发数据帧的处理包括以下哪些方式？A、丢弃B、单播C、组播D、广播【正确答案】：ABCD82.以下哪些攻击属于DDoS攻击类型？A、GREFloodB、HTTPFloodC、TCPFloodD、

ICMPFlood【正确答案】：ABCD83.防火墙在下列哪些场景下会产生Server-map表?A、防火墙产生了会话表就会产生Server-map表B、防火墙上部署了ASPF并转发多通道协议的流量C、防火墙上部署了安全策略并放行流量D、防火墙上部署了NATServer【正确答案】：BCD84.以下哪些选项属于恶意程序?A、特洛伊木马B、漏洞C、蠕虫D、病毒【正确答案】：ACD85.以下哪些方式可以实现AD单点登录?A、安装单点登录服务程序接收PC的消息B、安装单点登录服务程序接收服务器的消息C、安装单点登录服务程序查询AD服务器安全日志D、防火墙监控AD认证报文【正确答案】：ACD86.AAA认证包括以下哪些项?Audit(审计)B、Authentication(认证)C、Accounting(计费)D、Authorization(授权)【正确答案】：BCD87.下哪些协议报文默认情况下不可以在IPSec随道中传播?A、MSDPB、OPIMC、ICMPD、IGMP【正确答案】：ABD88.该交换机在E0/0/5接口处收到目的MAC地址为5489-981b-22ca的报文会丢弃。如图所示，该图为某交换机的MAC地址转发表顶,以下关于该表项的描述中，正确的是哪些项?A、该交换机在E0/0/5接口处收到目的MAC地址为5489-981b-22ca的报文会丢弃。B、该交换机在其他活跃接口处收到目的MAC地址为5489-7053-a24c的报文会泛洪C、该交换机在E0/0/10接口处收到目的MAC地址为5489-7053-a24c的报文会丢弃。D、该交换机在E0/0/5接口处收到目的MAC地址为5489-981b-22ca的报文会转发。【正确答案】：AB89.根据所支持同时操作的用户数目,操作系统可以分为单用户操作系统和多用户操作系统,以下哪些项不属于多用户操作系统?A、UNIXB、OS/2C、LinuxD、MSDOS【正确答案】：BD90.以下关于上网用户单点登录的描述，正确的是哪些项？A、用户可以接入NAS设备，NAS设备转发认证请求到RADIUS服务器进行认证B、

用户可以登录AD域，由AD服务器进行认证C、用户认证通过后防火墙可以获知用户和IP的对应关系，从而基于用户进行策略管理D、用户需要通过其他认证系统和防火墙的双重认证【正确答案】：ABC91.安全防范技术在不同技术层次和领域有着不同的方法。以下哪些设备可以用于网络层安全防范?A、漏洞扫描设备B、防火墙C、Anti-DDoS设备D、IPS/IDS设备【正确答案】：BCD92.华为防火墙对数据流量会基于哪些属性进行识别?A、时间段B、源安全区域C、用户D、源地址【正确答案】：ABCD93.针对缓冲区溢出攻击的描述,以下哪些选項是正确的?A、缓冲区溢出攻击利用软件系统对内存操作的缺陷,以高操作权限运行攻击代码B、缓冲区溢出攻击与操作系统的漏洞和体系结构无关C、缓冲区溢出攻击是攻击软件系统的行为中常见的方法之一D、缓冲区溢出攻击属于应用层攻击行为【正确答案】：ACD94.以下哪些服务类型可以通过AAA认证验证身份？A、SSHB、TelnetC、WebD、FTP【正确答案】：ABCD95.PEM格式是以ASCII码格式保存证书，常见的后缀有哪些顶?A、.CERB、.PKCS#12C、.DERD、.PEM【正确答案】：BCD96.以下关于IPSec中手工方式建立SA的描述，正确的是哪些项？A、安全性高。B、密钥管理成本很高。C、SA永久存在。D、SPI取值需要手工配置【正确答案】：BCD97.以下哪些协议属于传输层协议？A、

FTPB、DHCPC、TCPD、UDP【正确答案】：CD98.下列哪些选项属于ISO27001的认证领域?A、访问控制B、人员安全C、漏洞管理D、业务持续性管理【正确答案】：ABCD99.IKEv1在第一阶段协商时的主要任务包含以下哪些项?A、使用DH算法交换密钥协商信息B、对等体之间验证彼此身份C、建立用来保护传输数据的IPSecSAD、协商建立IKESA所使用的参数【正确答案】：ABD100.以下关于路由器工作原理的描述，正确的是哪些项？A、路由器工作在数据链路层B、路由器支持广播数据包C、路由器转发数据包需要先解封装匹配路由条目，再重新封装D、路由器可以实现报文在不同网络之间转发【正确答案】：BCD1.两台防火墙正常运行且双机热备关系已建立的情况下，在一台FW上每执行一条支持备份的命令时，此配置命令就会立即备份到另一台FW上但是不是所有的配置命令都支持备份，如果配置命令支持备份，在FW上执行命令时，命令后面会有（

）的标识符。（英文，全大写）A、正确B、错误【正确答案】：B2.散列算法具有抗碰撞性，即任意输入不同的数据，其输出的Hash值不可能相同。A、正确B、错误【正确答案】：B3.欧洲TCSEC准则分为功能和评估两个模块,主要应用在军队、政府和商业领域A、正确B、错误【正确答案】：B4.网络安全态势感知是一种基于环境动态地、整体地洞悉安全风险的能力，它利用数据融合、数据挖掘、智能分析和可视化等技术，直观显示网络环境的实时安全状况，为网络安全保障提供技术支撑。A、正确B、错误【正确答案】：A5.多通道协议指的是通信过程中需占用两个或两个以上端口的协议。A、正确B、错误【正确答案】：A6.SSH通过在网络中建立安全隧道来实现SSH客户端与服务器之间的连接，SSH使用对称密钥加密数据。A、正确B、错误【正确答案】：B7.SSL是一个安全协议，可以为基于TCP的应用层协议提供安全连接。A、正确B、错误【正确答案】：A8.数字证书技术解决了数字签名技术中公钥拥有者无法判定的问题A、正确B、错误【正确答案】：A9.在PKI系统中，CA证书不可能是自签名证书。A、正确B、错误【正确答案】：B10.华为防火墙上可以配置多个安全区域，默认情况下高优先级安全区域可以访问低优先级的安全区域。A、正确B、错误【正确答案】：A11.数字签名安全系数很高，攻击者即使获取了发送方的公钥也无法窥探私密数据。A、正确B、错误【正确答案】：B12.防火墙的用户组名不允许重名，所在组织结构的全路径必须确保唯一性。A、正确B、错误【正确答案】：B13.Telnet是一种远程登录服务协议，使用UDP协议的23端口号。A、正确B、错误【正确答案】：B14.防火墙中安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。A、正确B、错误【正确答案】：A15.IPSecVPN技术采用ESP安全协议和传输模式封装数据报文时，ESP会对IP报文头部进行加密。A、正确B、错误【正确答案】：B16.自定义签名和预定义签名没有优先级，当流量同时命中自定义签名和预定义签名时，最终动作以最为严格的签名为准。A、正确B、错误【正确答案】：A17.入侵防御签名用来描述网络中攻击行为的特征，防火墙通过将数据流和入侵防御签名进行比较来检测和防范攻击。A、正确B、错误【正确答案】：A18.如果PKI系统中有多层级CA时，则会形成一个CA层次结构，最上层的CA是根CA，它拥有一个CA“自签名”的证书。A、正确B、错误【正确答案】：A19.对称密钥加密的优点是效率高，算法简单，系统开销小，适合加密大量数据。A、正确B、错误【正确答案】：A20.二层交换机对于单播数据有三种处理方式，转发，泛洪和丢弃。A、正确B、错误【正确答案】：B21.ICP建立连接时需要完成三次握手的过程，而结束会话时需要进行四次挥手。A、正确B、错误【正确答案】：A22.在IPSecVPN中，如果采用IKEv1主模式建立IKESA，则在消息5和消息6中验证对端身份。A、正确B、错误【正确答案】：A23.防火墙使用hrpstandbyconfigenable命令启用备用设备配置功能后,所有可以备份的信息都可以直接在备用设备上进行配置,且备用设备上的配置可以同步到主用设备A、正确B、错误【正确答案】：A24.反病毒系统通常是将疑似病毒文件的特征与病毒特征库进行对比，从而识别一个文件是否为病毒文件。（对）A、正确B、错误【正确答案】：B25.华为设备以PKCS#12格式保存证书，其中一定包含私钥信息。A、正确B、错误【正确答案】：B26.防火墙中安全策略的作用就是对通过防火墙的数据进行检验，符合安全策略的合法数据流才能通过防火墙。A、正确B、错误【正确答案】：B27.入侵检测系统在发现系统存在被攻击的痕迹时。会等待缓冲时间再启动有关安全机制进行应对。A、正确B、错误【正确答案】：B28.安全策略条件可分为多个字段,如源地址、目的地址、源端口、目的端口等,这些字段之间是“与”的关系,也就是说,只有报文中的信息和所有字段都匹配上,才算是命中了这条策略。A、正确B、错误【正确答案】：A29.防火墙支持自定义安全区域的创建，并且允许网络管理员在安全区域的基础上实施各种特殊的报文检测与安全功能。A、正确B、错误【正确答案】：A30.“善于观察”和“保持怀疑”可以帮助我们在网络世界中更好的辨别安全威胁A、正确B、错误【正确答案】：A31.在双机热备组网中如果防火墙连续五个心跳周期没有收到对端的心跳报文，就判断对端设备发生故障并触发主备切换A、正确B、错误【正确答案】：A32.FTP协议用来实现本端与远端主机之间的文件传输，主要用于版本升级、日志下载、文件传输和配置存储，它采用B/S结构.A、正确B、错误【正确答案】：B33.安全域间的数据流动具有方向性，包括入方向和出方向。（对）A、正确B、错误【正确答案】：A34.企业在建立自己的信息系统时,依据国际制定的权威标准来检查每一个操作,可以检测自己的信息系统是否安全A、正确B、错误【正确答案】：A35.预定义签名是入侵防御特征库中包含的签名，预定义签名的内容(除动作外)不是固定的，可以被创建、修改或删除，A、正确B、错误【正确答案】：B36.表面上,病毒、漏洞、木马等威胁是造成信息安全事件的原因,但究其根本,信息安全事件与人和信息系统本身也有很大关联。A、正确B、错误【正确答案】：A37.路由器是网络层设备，其主要功能是实现报文在不同网络之间的转发。A、正确B、错误【正确答案】：A38.三元组NAT支持外部设备通过转换后的地址和端口主动访问内部PC。防火墙即使没有配置相应的安全策略，也允许此类访问报文通过。A、正确B、错误【正确答案】：B39.防火墙上存在一条缺省的认证策略，所有匹配条件均为任意(any)，动作为不认证A、正确B、错误【正确答案】：B40.在防火墙中Local区域定义的是设备本身，其优先级默认是100，可手工进行更改。A、正确B、错误【正确答案】：B41.防火墙的安全组最多支持三层嵌套，即父安全组、安全组、子安全组。A、正确B、错误【正确答案】：A42.网络防病毒技术是在安全网关上进行反病毒策略部署。A、正确B、错误【正确答案】：A43.Server-map用于存放一种映射关系，这种映射关系可以是控制数据协商出来的数据连接关系，也可以是配置NAT中的地址映射关系，使得外部网络能透过防火墙主动访问内部网络。A、正确B、错误【正确答案】：A44.入侵防御是一种安全机制，通过分析网络流量，检测入侵行为（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统免受侵害。A、正确B、错误【正确答案】：A45.IPSecVPN采用的是非对称加密算法对传输的数据进行加密A、正确B、错误【正确答案】：B46.相较于对称加密算法，非对称加密算法的安全系数更高。A、正确B、错误【正确答案】：A47.华为USG防火墙VRRP通告报文为组播报文,所以要求备份组中的各防火墙必须能够实现直接的二层互通A、正确B、错误【正确答案】：A48.如果认为某个用户/IP地址不可信时，可以将该用户/IP地址加入黑名单，设备将丢弃来自或发往这些用户/IP地址的所有报文，从而达到保护网络安全的目的。A、正确B、错误【正确答案】：A49.相较于包过滤防火墙，代理防火墙能控制会话过程，安全性更高。A、正确B、错误【正确答案】：A50.防火墙企业双机热备后，当本端防火墙的VGMP组优先级大于对端防火墙的VGMP组优先级时，本端防火墙VGMP组状态切换为Active。（对）A、正确B、错误【正确答案】：A51.P建立连接时需要完成三次握手的过程，而结束会话时需要进行四次挥手A、正确B、错误【正确答案】：A52.自签名证书又称为根证书，是自己颁发给自己的证书，即证书中的颁发者和主体名相同。A、正确B、错误【正确答案】：A53.等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换和处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联网技术的系统等。A、正确B、错误【正确答案】：A54.SIP协议使