华为HCIPH12-721安全试卷五

精品文档-下载后可编辑华为HCIPH12-721安全试卷五华为HCIPH12-721安全试卷五

1.【多选题】1分|某企业有研发(research)，市场(marketing)、财务(finance)三个部门。企业使用防火墙的本地认证对各部门的员工进行用户认证，认证域，为default。通过认证的用户能够获得接入企业内部网络的权限。现在企业希望员工出差时也能使用Webmail系统收发邮件，使用ERP系统办公。如果使用SSLVPN接入网络，该如何部署?(多选)

A由于Webmail系统和ERP系统都可以使用Web界面访问，因此为了实现出差员工访问企业内部服务器的需求，需要配置SSLVPN的Web代理功能。

B可以根据部门属性将用户划分为不同的用户组，并为用户组授权不同的SSLVPN业务。

C防火墙上只需要放行外部用户访问SSLVPN虚拟网关的流量就可以实现出差员工使用Webmail和ERP系统。

D如果出差员工使用Webmail发送文件，则需要开启文件共享功能才能实现。

2.【多选题】1分|华为SVN产品可应用于以下哪些场景?(多选)

A终端到网络场景:SSLVPN

B终端到网络场景:L2TPoerIPSc

C网络到网络场景:IPSecVPN

D终端到网络场景:GREoverIPSec

3.【多选题】1分|华为USG6000系列设备在双机热备部署下发生主备切换时，会执行哪些动作

AUSG-B发送免费ARP报文

BUSG-B发送代理ARP报文

CVRRP备份组虚拟地址不可用

D相关交换机收到ARP报文后，刷新MAC地址表，将流量引导至USG_B

4.【多选题】1分|下列关于IKE的说法正确的是什么?(多选)

AIPSec有两种协商方式建立安全联盟，一种是手工方式(manuaI)，一种是IKE自动协商(isakmp)方式。

BIKEV1野蛮模式可以选择根据协商发起端的IP地址或者Name,来查找对应的身份验证字并最终完成协商

CNAT穿越功能删去了IKE协商过程中UDP端0号的验证过程，同时实现了对VPN隧道中NAT网关设备的发现功能，即如果发现NAT网关设备，则将在之后的IPSec数据传输中使用UDP封装。

DIKE的安全机制包括DHDiffe-Hellman交换及密钥分发，完善的前向安全性(PerfectFonwardSecrecyPFS)以及SHA1等加密算法。

5.【多选题】1分|智能选路的功能主要分为两部分，以下哪个选项的说法是正确的?

A当企业从不同ISP处获得多条带宽不等的链路时，为了充分利用各链路的带宽，可以根据链路带宽负载分担进行智能选路。

B为了使用户获得最佳的访问体验，可以根据各链路的实时传输质量动态调整流量的分配情况。

C可以优先使用某些链路传输流量，并利用其他链路作为备份链路或负载分担链路，提高业务的可靠性。

D智能选路可以根据不同的需求实现基于全局选路策略的选路,也可以对服务可用性、链路可用性或链路时延进行探测。

6.【多选题】1分|关于服务器负载均衡有以下配置:以下哪些说法是正确的?(多选)

A负载均衡算法为简单轮询算法。

B该配置是完整的负载均衡配置

C根据weight值判断数据流流向哪一台服务器，weight值越小对应真实服务器处理能力越弱。

D负载均衡算法为加权会话保持。

7.【多选题】1分|RADIUS双因子认证是指防火墙和RADIUS服务器配合，对SSLVPN用户进行身份认证。认证时，除了验证用户名和静态PIN码，还要求用户输入动态验证码。RADIUS服务器在收到防火墙发来的用户和PIN码后，根据自己的数.据库检查用户名和PIN码是否正确.对于后续过程描述哪些选项是正确的?(多选)

A如果用户名和PIN码不正确，RADIUS服务器向防火墙发送认证失败的消息。

B如果用户名和PIN码正确，RADIUS服务器向防火墙发送认证成功的消息。

C如果用户名和PIN码正确，则RADIUS服务器向防火墙发送Challenge消息，请求动态验证码

D如果用户名和PIN码不正确，RADIUS服务器客户端发送“非法的用户名、错误的密码或用户被锁定”的提示信息。

8.【多选题】1分|华为FireHunter6000沙箱在虚拟的环境内对网络中传输的文件进行检测，可检测以下哪些文件类型?(多选)

A员工的游戏账号

BMPA文件

Cword文件或PDF文档JavaApplet等

Dweb网页内容，如JavaScit、FIash、JavaApplet等

9.【多选题】1分|在配置IPSecVPN证书认证方式时，如果选择“RSA签名”方式认证，需要完成下列哪些步骤的配置?(多选)

A上传CA证书

B上传本地证书

C上传对端设备证书

D创建本端设备公私密钥对

10.【多选题】1分|用户使用SSLVPN访问内网资源，采用服务器认证的方式对用户进行认证，为了区分不同地区的公司用户，为不同地区的用户建立了不同的用户域，某用户在使用SSLVPN进行认证时，认证提示密码错误。下列哪些选项是该故障的可能原因?(多选)

A用户输入了错误的用户名和密码。

B用户输入用户名时没有输入用户域。

C管理员配量了错误的用户域。

D用户名和密码不存在。

11.【多选题】1分|下列哪些选项可以作为带宽策略中规则的匹配条件?(多选)

A源安全区域/入接口

B套接字

CURL分类

DDSCP优先级

12.【多选题】1分|智能选路中的选路方式包括以下哪些选项?(多选)

A根据链路带宽负载分担

B根据链路权重负载分担

C根据链路优先级主备备份

D根据链路质量负载分担

13.【多选题】1分|当IPSecVPN隧道建立失败时管理员通过查看设备SA建立情况，发现设备之间IKESA没有建立起来,以下哪些原因可能导致该故障?(多选)

A到IKE对等体的路由不可达。

B两端身份认证方法及算法不一致。

C两端IPSecprposal配置不一致

D本端的“对端网关”和对端的“本地地址”不匹配。

14.【多选题】1分|关于虚拟系统分流的说法,哪些是正确的?(多选)

A用于确定报文与虚拟系统归属关系的过程称为分流

B将流量进行分类的过程叫做分流

C通过分流能将进入设备的报文送入正确的虚拟系统处理

D通过分流能够对报文进行分类处理。

15.【多选题】1分|用户使用SSL提供的业务访问内网的网络资源,管理员为用户开启了文件共享和web代理的业务，并且在防火墙上放行了业务的流量,但是用户在PC上输入虛拟网关的地址后在网页中看不到文件共享和Web代理的列表，下列哪些选项是该故障的可能原因?

A防火墙与客户端之间路由不可达。

B虚拟网关对外NAT的端口错误。

C用户PC的虚拟网卡上有没有获取到虚拟IP地址

D管理员没有为用户配置文件共享和web代理的授权。

16.【多选题】1分|Link-Group组内有三个物理接口，当其中任意一个接口出现故障时，以下哪些说法是正确的?(多选)

A组内任意接口出现故障，系统将组内其它接口状态设置为DownIB

B组内任意接口出现故障，组内其它接口状态不变换。

C当组内部分接口恢复正常后，整个组内的接口状态才重新被设置为Up。

D当组内所有接口恢复正常后，整个组内的接口状态才重新被设置为Up。

17.【多选题】1分|开启会话保持后，流量进行首次智能选路选择某接口链路后，华为USG6000防火墙会生成相应的会话保持表项，新流量如果命中了该会话保持表项，则根据表项中记录的出接口转发流量,这样能保证该用户的流量始终使用同-链路转发，会话保持表项中记录的参数包含下列哪个选项?

A源地址

B目的地址

C出接口

D下一跳地址

18.【多选题】1分|用户登录SSLVPN网关时，提示“非法的用户名、错误的密码”。下列哪些选项是该故障的可能原因?(多选)

A用户多次输错密码,账户被锁定。

B认证服务器配置错误

C用户名和密码输入错误。

D证书过虑字段配置错误。

19.【多选题】1分|在带宽管理整体流程中,流量首先匹配带宽策略，经过带宽策略的分流后,进入相应的带宽通道进行处理，以下哪些选项是带宽通道的处埋流程?(多选)

A丢弃超过了预先定义的最大带宽的流量

B丢弃超过了预先定义的接口带宽的流量

C限制业务的连数

D标记量的优先级,作为后续队列调度的依据

20.【多选题】1分|针对企业员工个人需求和企业策略遵从之间的矛盾，华为从以下哪些维度进行了考虑，从而提供了有效的平衡方案，致力于为客户提供端到端的移动安全管理和灵活的应用发布的能力?

A敏感数据安全

B网络传输安全

C移动终端安全

D应用安全

21.【多选题】1分|防火墙拥有3条出接口链路，分别属于不同的ISP,向各个ISP内的指定设备发送5个探测报文，其中ISP1链路没有丢包，ISP2链路丢了2个包，ISP3链路没有收到回应报文。防火墙根据链路质量负载分担，以下描述正确的是哪些项?

A流量超过ISP1链路过载保护调值后被直接丢弃

BISP1链路的质量最高

C当流量未达到ISP1链路过载保护调值时，流量都从ISP1链路转发

DISP3链路的质量最差

22.【多选题】1分|把为下一然防火墙部署在校园网出口，可以利用以下哪些负载分担方式将业务流量合理分担到各个运营商的链路上，从而提高连接带宽利用率和业务访问质量?

ADNS透明代理

B根据链路优先级主备备份

C根据链路权重负载分担

D根据链路带宽负载分担

23.【多选题】1分|服务器负载均衡的配置如下:[USG]slb

[USG-s1b]group0test

[USG-slb-group-test]metricweight-srcha

sh

[USG-slb-group-test]rserver1rip10.1.1.3

weight32

[USG-slb-group-test]rserver2rip10.1.1.14

weight16

[USG-slb-group-test]rserver3rip10.11.5

weight32

[USG-s1b]vserver0test

[USG-s1b-vserver-0]protocolany

[USG-slb-vserver-1]grouptest

以下哪些选项的描述是正确的?

A根据weight值判断数据流流向哪-台服务器，weight值越大，对应真实服务器处理能力越强

B负载均衡算法为加权会话保持

C负载均衡算法为简单轮询算法

D该配置是非完整的负载均衡配置

24.【多选题】1分|IKE具有一套自保护机制，可以在不安全的网络上安全地认证身份，分发密钥，建立IPsecSA。这些自保护机制包括以下哪些项?

A身份保护

B身份认证

CDH密钥交换算法

D挑战认证

25.【多选题】1分|以下对于IKEv2协商过程的描述，正确的是哪些项?

AIKEv2创建子SA交换的交互消息由初始交换协商的密钥进行保护

BIKEv2初始交换过程中的四条消息都是加密传输的

CIKEv2协商中一些控制信息的传递，通过通知交换完成

DIKEv2正常情况使用2次交换共4条消息就可以完成一对IPSec

26.【多选题】1分|在配置IPSecVPN证书认证方式时，如果选择“RSA数字信封”方式认证，需要完成下列哪些步骤的配置?

A上传双方管理员约定的密钥字符串

B上传本地证书

C上传对端设备证书

D上传CA证书

27.【多选题】1分|在华为USG6000产品上的带宽策略配置命令如下:

[USGtrafficpolicy

[USG-policy-traffic]profileclassl

[USGpolicy.trafficprofileclassl]bandwi

dthmaximum-bandwidthwholeboth10

00

[USG-polcy-traffic-profile-class1]bandwi

dthconnection-limitwholeboth10

[USGpolicy-trafficprofileclass]quit

[USG-policy-traffic]rulenamepolicy1

[UsGpolcy-trafficrulepolcyI]source-zo

neuntrust

[USGpolicy-trffic-rule-policyldestinati

on-zonedmz.

[USG-polcy-traffic-rule-policyI]destinati

on-address10.10.10.0mask255.255.255.

0

[USG-policy-traffirule-policyllactionqo

Sprofileclass1

[USGplcy-affic-rulepolicyI]quit

[USG-policy-traffic]rulenamepolicy2

[USG-polcy-traffic-rule-policy2]source-z

onedmz

[USG-policy-traffic-rule-policy2]destinati

on-zoneuntrust

[USG-polcy-traffic-rule-policy2]destinati

on-address10.10.10.5mask255.255.255.

255

[USGplcy-traffic-rule-policy2]actionn

no-aos则以下哪些描述是错误的?

A访问目的地址为10.10.10.5的主机时将不受带宽策略限制

B访问目的网段10.10.10.0/24时，将不会受到最大连接数为20的流量限制

C访问目的地址为10.10.10.5的主机时将会被限制连接数

D访问目的网段10.10.10.0/24时，将受到最大连接数为10的流量限制

28.【多选题】1分|以下哪些选项可以作为带宽策略规则的匹配条件?

A时间段

BURL分类

CDSCP优先级

D源安全区域/入接口

29.【多选题】1分|USG防火墙可以给虚拟系统分配哪些项的带宽资源?

A出方向带宽

B保证带宽

C整体带宽

D入方向带宽

30.【判断题】1分|双机热备组网图如下所示，图中PC1的网关地址应该为主用设备的接口IP地址，即10.100.10.2/24。

A对

B错

31.【判断题】1分|带宽管理功能仅支持对某个指定IP发起的连接数量进行限制。

A对

B错

32.【判断题】1分|在使用Radius服务器对用户进行认证时，在Radius服务器和防火墙上都需要配置对应的用户名密码

A对

B错

33.【判断题】1分|在IDC机房中可以用一台华为USG6000系列防火墙划分成若干个虚拟系统，然后由根防火墙管理员生成虚拟系统管理员分别实现对各虚拟系统的管理。

A对

B错

34.【判断题】1分|GREOverIPSec隧道可以实现IPX报文的传输。

A对

B错

35.【判断题】1分|全局选路是指到达目的网络有多条等价路由时，华为USG6000防火墙可以根据管理员设置的链路带宽、权重、优先级或者自探测到的链路质量动态地选择出接口，实现链路资源的合理利用和用户体验的提升

A对

B错

36.【判断题】1分|使用Web页面登录SSLVPN网关，间隔一段时间后自动退出，可能的原因是VPN网关的会话超时。

A对

B错

37.【判断题】1分|在IPSecVPN中使用数字证书进行身份认证，如若采用IKEV1主模式进行协商，证书的验证是在消息5和消息6中完成的:

A对

B错

38.【判断题】1分|带宽策略中的动作no-qos，表示不对流量进行限制。

A对

B错

39.【判断题】1分|选择图形化配置L2TPOverIPSec时，应选择IPSec点到点场景进行部署。

A对

B错

40.【判断题】1分|为了防止链路过载，造成链路拥塞，管理员可以接D设置过载保护阈值。当某条链路的带宽使用率达到阈值时，已建立会话的流量仍然从该链路转发，但后续新建立会话的流量不再通过此链路转发。

A对

B错

41.【判断题】1分|IPsec隧道可以使用GREoverIPSec传播组播报文。

A对

B错

42.【判断题】1分|某企业的USG防火墙启用了服务器健康性检