华为认证HCIA-Security安全H12-711考试题库及答案

华为认证HCIA-Security安全H12-711

考试题库及答案

单选题

i.下列哪项不属于防火墙的日志格式？

A、二进制格式

B、netflow格式

C、ASCH编码格式

D、Syslog格式

参考答案：C

2.关于数据包在iptables传输过程中的描述，以下哪个选项是错误

的？

A、当一个数据包进入网卡时,它首先去匹配PREROUTING链

B、如果数据包的目的地址是本机,则系统会将该数据包发往INPUT链。

C、如果数据包的目的地址不是本机,系统把数据包发往OUTPUT链

D、如果数据包的目的地址不是本机,系统把数据包发往FORWARD链。

参考答案：C

3.缺省情况下，以下哪种服务是加密传输的？

A、ssh

B、ftp

C、telnet

D、http

参考答案：A

4.相较于传统五元组信息，以下哪一项元素是下一代防火墙新增元素?

A、目的地址

B、源端口

C、应用

D、协议号

参考答案：C

5.关于GRE封装与解封装，以下哪项描述是错误的？

A、封装过程,原始数据包通过查找路由把数据包传递到Tunnel接口

后触发GRE封装

B、封装过程,经过GRE模块封装后,此数据包将进入IP模块进行下一

步处理

C、解封装过程，目的端收到GRE报文后,通过查找路由把数据包传递

到Tunnel接口后出发GRE解封装

D、解封装过程,经过GRE模块解封装后,此数据包将进入IP模块进行

下一步处理

参考答案：C

6.以下关于L2TP的描述,错误的是哪一项？

A、L2Tp要应用在远程公场景中为出差员工远程访问企业内网资源提

供接入服务。

B、无论出差员工是通过传统拔号方式接入Internet,还是通过以太

网方式接入Internet,L2TPVPN都可以向其提供远程接入服务。

C、PPP报文可以在在Internet直接传输-

D、L2Tp是一种用于承线PPP报文的隧道技术，

参考答案：C

7.针对IP欺骗攻击(IPSpoofing)的描述，以下哪项是错误？

A、IP欺骗攻击是利用了主机之间正常的基于IP地址的信任关系来

发动的

B、IP欺骗攻击成功后,攻击者可使用伪造的任意IP地址模仿合法主

机访问关键信息

C、攻击者需要把源IP地址伪装成被信任主机,并发送带有SYN标注

的数据段请求连接

D、基于IP地址的信任关系的主机之间无需输入口令验证就可以直接

登录

参考答案：C

9.SSLVPN不能加密下列哪项协议？

A、HTTP

B、UDP

C、IP

D、PPP

参考答案：D

10.问卷调查的设计原则不包括下列哪项？

A、完整性

B、公开性

C、具体性

D、一致性

参考答案：B

11.在Linux系统中，查询IP地址信息的命令是以下哪一项

A、displayip

B、ifconfig

C、ipconfig

D、displayipinterfacebrief

参考答案：B

12.关于操作系统的描述，以下哪项是错误的？

A、操作系统是用户和计算机之间的接口

B、操作系统负责管理计算机系统的全部硬件资源和控制软件的执行。

C、操作系统与用户对话的界面都是图形界面

D、操作系统本身也是软件

参考答案：C

13.关于SSLVPN技术，以下哪个选项说法是错误的？

A、SSLVPN技术可以完美适用于NAT穿越场景

B、SSLVPN技术的加密只对应用层生效

C、SSLVPN需要拨号客户端

D、SSLVPN技术扩展了企业的网络范围

参考答案：C

14.VGMP组出现以下哪种情况时，不会主动向对端发送VGMP报文.

A、双机热备份功能启用

B、手工切换防火墙主备状态

C、防火墙业务接口故障

D、会话表表项变化

参考答案：D

15.下列关于双机热备的描述中错误的是？

A、无论是二层还是三层接口，无论是业务接口还是心跳接口，都需要

加入安全区域

B、缺省情况下抢占延迟是60s

C、缺省情况下主动抢占功能是开启的

D、双机热备功能需要license支持

参考答案：D

17.在TCP.IP协议栈中，下列哪项协议工作在应用层？（

A、IGMP

B、ICMP

C、RIP

D、ARP

参考答案：C

18.在TCP.IP协议栈中，下列哪项协议工作在应用层？

A、ICMP

B、IGMP

C、RIP

D、ARP

参考答案：C

20.如使用Client-Initiated方式建立L2TPVPN时，下列哪项是报文

用的”八占、、2•

A、LNS

B、接入用户

C、服务器

D、LAC

参考答案：A

21.针对入侵检测系统的描述，以下哪项是错误的?.

A、入侵检测系统可以通过网络和计算机动态地搜集大量关键信息资

料.并能及时分析和判断整个系统环境的目前状态

B、入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻态

的痕迹等，可以实施阻断操作

C、入侵检测系统包括用于入侵检测的所有软硬件系统

D、入浸检测系统可与防火墙、交换机进行联动，成为防火墙的得力“助

手”，更好，更精确的控制域间的流量访问

参考答案：B

22.以下哪一项不属于二层VPN技术？

A、PPTP

B、IPsec

C、L2TP

D、L2F

参考答案：B

23.以下列哪一项不属于对称加密算法？

A、IDEA

B、RSA

C、AES

D、3DES

参考答案：B

24.以下哪种安全威胁属于应用安全威胁？

A、中间人攻击

B、用户身份未经验证

C、病毒、木马

D、网络入侵

参考答案：C

25.向全网发送一个ABP广播，请求主机C.的里MAC.地址。如图所示。

主机A.访问主机C.时检查ARP表项中不存在目的地址的MAC地址表

项,主机A.通过以下哪种方式找到目的MA

C.地址？

A、向全网发送一个ABP广播，请求主机C.的里MAC.地址。

B、向子网发送一个ARP广播，请求网关的MAC.地址。

C、查找主机C.的路由表。

D、向子网发送一个ARP广播，请求主机C.的MAC.地址。

参考答案：B

26.某公司员工通过防火墙访问公司内部的Web服务器，使用浏览器

可以打开网站的网页，但是使用Ping命令测试到We

B,服务器的可达性,显示不可达。则可能的原因是什么？

A、防火墙上部署的安全策略放行了TCP协议,但是没有放行ICMP协

议

B、web服务器宕机

C、防火墙上部署的安全策略放行了HTTP协议,但是没有放行ICMP协

议

D、防火墙连接服务器的接口没有加入安全区域

参考答案：C

27.以下哪项不属于非对称加密算法？

A、DH

B、MD5

C、DSA

D、RSA

参考答案：B

28.以下哪项不属于USG防火墙中的用户认证方式？

A、免认证

B、密码认证

C、单点登录

D、指纹认证

参考答案：D

29.在VRRP中，如果虚拟组设备收到终端设备发送的ARP请求报文。

那么以下哪种处理方式是正确的？

A、由Master设备响应。

B、Master和Backup者B会响应。

C、由Backup设备响应。

D、Master和Backup都不会响应。因为收到的是AP请求报文的目的

IP地址是虚拟IP地址。

参考答案：A

30.当防火墙硬盘在位的时候，下列哪项对于防火墙日志的描述是正

确的？

A、管理员可以公告内容日志查看网络威胁的检测和防御记录

B、管理员可以通过威胁日志了解用户的安全风险行为以及被告警或

阻断的原因

C、管理员通过用户活动日志获知用户的行为、摸索的关键字以及审

计策略配置的生效情况等信息

D、管理员可以通过策略命中日志获知流量命中的安全策略,在发生问

题时用于故障定位

参考答案：D

31.IPSeC.VPN使用传输模式封装报文时,下列哪项不在ESP安全协议

的认证范围？

A、ESPHeader

B、IPHeader

C、ESPTail

D、ICPHeader

参考答案：B

32.防火墙GE1.0.1和GE1.0,2口都属于DMZ区域，如果要实现

GE1.0.1所连接的区域能够访问GE1.0.2所连接的区域，以下哪项是

正确的？

A、需要配置Local到DMZ的安全策略

B、无需做任何配置

C、需要配置域间安全策略

D、需要配置DMZ至Ulocal的安全策略

参考答案：B

33.关于防火墙安全策略的说法，以下选项错误的是？

A、如果该安全策略时-permit,则被丢弃的报文不会累加“命中次数”

B、配置安全策略名称时，不可以重复使用同一个名称

C、调整安全策略的顺序,不需要保存配置文件,立即生效

D、华为USG系列防火墙的安全策略条目数都不能超过128条

参考答案：D

34.以下关于补丁的描述哪项是错误的？

A、补丁是软件的原作者针对发现的漏洞制作的小程序

B、不打补丁也不影响系统的运行,所以,打补丁与否是无关紧要的。

C、补丁程序一般会不断更新。

D、计算机用户应及时下载并安装最新补丁以保护自己的系统

参考答案：B

35.入侵检测的内容涵盖授权的和非授权的各种入侵行为，以下哪项

行为不属于入侵检测范围？

A、冒充其他用户

B、管理员误删配置

C、种植蠕虫木马

D、泄露数据信息

参考答案：B

36.某小型企业只有一个公网地址，管理员通过使用NAT接入

Internet,以下哪一项NAT方式最适合该公司需求？

A、Easyip

B、静态NAT

C、目的NAT

D、动态NAT

参考答案：A

37.TCP.IP协议栈数据包封装包括：以下哪项对封装顺序的描述是

1.DatA.2.TCP.UDP3.MAC.4.IP

A、1234

B、1243

C、1342

D、1423

参考答案：B

38.以下哪项在数字签名技术中用于对数字指纹进行加密？

A、发送方公钥

B、发送方私钥

C、接收方公钥

D、接收方私钥

参考答案：B

39.管理员希望清除当前会话表，以下哪个命令是正确的？

A、clearfirewallsessiontable

B、resetfirewallsessiontable

C、displayfirewallsessiontable

D、displaysessiontable

参考答案：B

40.对于会话首包在防火墙域间转发的流程，有以下几个步骤:

1、查找路由表

2、查找域间包过滤规则

3、查找会话表

4、查找黑名单下列哪项顺序是正确的？

A、1->3->2->4

B、3->2->1->4

C、3->4->1->2

D、4->3->l->2

参考答案：C

41.在USG系列防火墙上配置NATServer时，会产生server-map表，

以下哪项不属于该表现中的内容？

A、目的IP

B、目的端口号

C、协议号

D、源IP

参考答案：D

42.ACL的类型不包括以下哪一项？

A、七层ACL

B、高级ACL

C、基本ACL

D、二层ACL

参考答案：A

43.以下关于VGMP协议描述错误的是哪项？需要更多新题库

V:276137877

A、VGMP将同一台防火墙上的多个VRRP备份组都加入到一个管理组,

由管理组统一管理所有VRRP备份组

B、VGMP通过统一控制各VRRP备份组状态的切换,来保证管理组内的

所有VRRP备份组状态都是一致

C、状态为Active的VGMP组设备会定期向对端发送hello报

文,stdandby端只负责监听hello报文,不会进行回应

D、在缺省情况下当standby端三个hello报文周期没有收到对端发

送的hello报文,会认为对端出现故障,从而将自己切换到Active状

o

参考答案：C

44.人工审计是对工具评估的一种补充，它不需要在被评估的目标系

统上安装任何软件,对目标系统的运行和状态没有任何影响。人工审

计的内容不包括下列哪个选项？

A、对主机操作系统的人工检测

B、对数据库的人工检查

C、对网络设备的人工检查

D、对管理员操作设备流程的人工检查

参考答案：D

45.以下哪项是事件响应管理的正确顺序？

1检测

2报告

3缓解

4总结经验

5修复

6恢复

7响应

A、1-3-2-7-5-6-4

B、1-3-2-7-6-5-4

C、1-2-3-7-6-5-4

D、1-7-3-2-6-5-4

参考答案：D

46.企业影响分析(BIA)不包括以下哪项？

A、业务优先级

B、事故处理优先级

C、影响评估

D、风险识别

参考答案：B

47.下列哪个选项不属于windows操作系统的日志类型?

A、业务日志

B、应用程序日志

C、安全日志

D、系统日志

参考答案：A

48.部署IPSeC.VPN隧道模式时,采用AH协议进行报文封装。在新IP

报文头部字段中，以下哪个参数无需进行数据完整性校验？

A、源IP地址

B、目的IP地址

C、TTL

D、Idetification

参考答案：C

49.关于VGMP管理的抢占功能的描述，以下哪项是错误的？

A、缺省情况下,VGMP管理组的抢占功能为启用状态

B、缺省情况下,VGMP管理组的抢占延迟时间为40s

C、抢占是指当原来出现故障的主设备故障恢复时一，其优先级会恢复，

此时可以重新将自己的状态抢占为主

D、当VRRP备份组加入到VGMP管理组后,VRRP备份组上原来的抢占

功能失效

参考答案：B

50.漏洞也叫脆弱性，是指计算机系统在硬件、软件、协议的具体事

项或系统安全策略上存在缺陷和不足。以下关于漏洞的特性描述，错

误的是那项？

A、漏洞是种安全隐患，会使计算机遭受黑客攻击。

B、漏洞可以被远程利用。

C、漏洞无法进行修补

D、漏洞是事先未知、事后发现的。

参考答案：C

51.在USG系列防火墙中，可以通过以下哪个命令查询NAT转换结果？

A、displaynattranslation

B、displayfirewallsessiontable

C、displaycurrentnat

D、displayfirewalInattranslation

参考答案：B

52.在华为USG系列设备上,管理员希望擦除配置文件,下列哪项命令

是正确的？

A、clearsaved-configuration

B、resetsaved-configuration

C、resetcurrent-configuration

D、resetrunning-configuration

参考答案：B

53.以下哪个攻击不属于特殊报文攻击？

A、ICMP重定向报文攻击

B、ICMP不可达报文攻击

C、IP地址扫描攻击

D、超大ICMP报文攻击

参考答案：C

54.使用AH+ESP协议对IP报文进行封装，需要建立几个IPSeC.SA?

A、2

B、1

C、4

D、3

参考答案：A

55.关于Client-Initialized的L2TPVPN,下列哪项说法是错误的？

A、远程用户接入internet后，可通过客户端软件直接向远端的LNS

发起L2TP隧道连接请求

B、LNS设备接收到用户L2TP连接请求，可以根据用户名、密码对用

户进行验证

C、LNS为远端用户分配私有IP地址

D、远端用户不需要安装VPN客户软件

参考答案：D

56.证据保全直接关系到证据的法律效力，以下哪一项不属于证据保

全技术？

A、数字证书技术

B、加密技术

C、数据挖掘技术

D、数字签名技术

参考答案：C

57.以下哪项不属于防火墙双机热备需要具备的条件？

A、防火墙硬件型号一致

B、防火墙软件版本一致

C、使用的接口类型及编号一致

D、防火墙接口IP地址一致

参考答案：D

58.配置用户单点登录时•，采用接收PC消息模式，其认证过程有以下

步骤：

1访问者PC执行登录脚本，将用户登录信息发给AD监控器

2防火墙从登录信息中提取用户和IP的对应关系添加到在线用

户表

3AD监控器连接到AD服务器查询登录用户信息，并将查询到的用

户信息转发到防火墙

4访问者登录AD域,AD服务器向用户返回登录成功消息并下发

登录脚本以下哪项的排序是正确的？

A、1-2-3-4

B、4-1-3-2

C、3-2-1-4

D、1-4-3-2

参考答案：B

59.在USG系列防火墙中，可以使用功能为非知名端口提供知名应用

服务。

A、端口映射

B、MAC与IP地址绑定

C、包过滤

D、长连接

参考答案：A

60.银行A.是一家农村商业银行，主要向本省辖内衣民、农村工商户

等用户提供金融服务。现银行A.的网络需要做等保测评，以下哪一项

等保等级适用于银行A?

A、等保三级

B、等保一级

C、等保四级及以上

D、等保二级

参考答案：C

61.SMTP协议的端口号是多少？

A、25http80,https443,telnet23,ssh22pop3110dns53,ftp21

B、30

C、109

D、32

参考答案：A

62.DHCP绑定表中不包含以下哪一项信息？

A、端口号

B、VLANID

C、MA

C.地址

D、IP地址

参考答案：A

63.在某些场景下，既要对源IP地址进行转换,又要对目的IP地址进

行转换,该场景使用以下哪项技术？

A、双向NAT

B、源NAT

C、NAT-Server

D、NATALG

参考答案：A

64.安全评估方法的步骤不包括下列哪项？

A、人工审计

B、渗透测试

C、问卷调查

D、数据分析

参考答案：D

65.以下哪项不属于数字证书的内容？

A、公钥

B、私钥

C、有效期

D、颁发者

参考答案：B

66.关于PKI工作过程的排序，以下哪项是正确的？

A、1-2-6-5-7-4-3-8

B、1-2-7-6-5-4-3-8

C、6-5-4-1-2-7-3-8

D、6-5-4-3-1-2-7-8

参考答案：B

67,下列哪项不属于对称加密算法中的分组加密算法？

A、RC5

B、RC4

C、RC6

D、RC2

参考答案：B

68.关于DNS的特点，以下哪一项的描述是错误的？

A、DNS的作用是把难记忆的IP地址转换为容易记忆的字符形式。

B、DNS使用TCP协议，端口号是53。DNSTCP53,UDP53

C、DNS域名劫持通过伪造域名解析服务器等手段，将目标域名解析到

错误的IP地址，导致用户访问错误的网站。

D、DNS按分层管理，最高级别为根域，其次为顶级域名，CN是顶级

域名，表示中国。

参考答案：A

69.以下哪项是USG系列防火墙初次登录的用户名.密码?

A、用户名admin密码Adminl23

B、用户名admin密码adminl23

C、用户名admin密码admin

D、用户名admin密码Adminl23

参考答案：A

70.关于NAT技术，以下哪项描述是错误的？

A、在华为防火墙中，源NAT技术是指对发起连接的IP报文头中的源

地址进行转换。

B、在华为防火墙中，EasyIP直接使用接口的公网地址作为转换后的

地址，不需要配置NAT地址池。

C、在华为防火墙中,NATNo-PAT技术需要通过配置NAT地址池来实现。

D、在华为防火墙中，带端口转换的NAT技术只有NAPT.

参考答案：D

71.以下关于双机热备中自动备份模式的描述，错误的是哪一项？

A、在一台FW上每执行一条可以备份的命令时，此配置命令就会被立

即同步备份到另一台FW上。

B、需要管理员手工开启。

C、主用设备会周期性地将可以备份的状态信息备份到备用设备上。

D、能够自动实时备份配置命令和周期性地备份状态信息，适用于各

种双机热备组网。

参考答案：B

72.监视器对应下列哪项安全措施？

A、入侵检测系统

B、加密VPN

C、门禁系统

D、防火墙

参考答案：A

73.数据分析技术是在已经获取的数据流或者信息流中寻找、匹配关

键词或关键短语,分析时间的关联性。下列哪项不属于证据分析技术?

A、密码破译,数据解密技术

B、文件数字摘要分析技术

C、发掘不同证据间的联系的技术

D、垃圾邮件追踪技术

参考答案：D

74.下列选项中对信息安全管理体系(ISMS)四个阶段的顺序描述正确

的是哪项？

A、Plan->Check->Do->Action

B、Check->Plan->Do->Action

C、Plan->Do->Check->Action

D、Plan->Check->Action->Do

参考答案：C

75.查看防火墙的HRP状态信息如

下:HRPS[USG_B]displayhrpstateBbs.hhOlO.ThefirewalFsconfigs

tateis:StandbyCurrentstateofvirtualroutersconfigureD.asstan

dby:GigabitEthernetl.0.OvriD.1:standbyGigabitEthernetl.0.IV

riD.2:standby根据上述信息，以下哪项描述是正确的：

A、此防火墙VGMP组状态为Active

B、此防火墙G1.0.0和G1.0.1接口的VRRP组状态为standby

C、此防火墙的HRP心跳线接口为G1.0.0和G1.0.1

D、此防火墙一定是处于抢占状态

参考答案：B

76.如果发生境外不法分子利用互联网窃取我国国家机密的事件，则

国家会启动哪种预警？

A、橙色预警

B、黄色预警

C、蓝色预警

D、红色预警

参考答案：A

77.下列哪项不是单机反病毒技术？

A、安装杀毒软件

B、网络防火墙上配置反病毒技术

C、使用病毒检测工具

D、为系统打补丁

参考答案：B

78.下列哪项不属于计算机犯罪的主要形式?

A、向目标主机植入木马

B、向目标主机进行黑客攻击

C、使用计算机进行个人问卷调查

D、未经允许,利用扫描工具收集网络信息

参考答案：C

79.下列哪个不是配置双机热备所应该具备的系统要求？

A、FW软件版本必须相同

B、FW型号必须相同

C、FW硬盘配置必须相同

D、FW单板类型必须相同

参考答案：C

80.用iptables写一条规则不允许.16的网段访问本设备，以下哪项

规则写法是正确的？

A、iptables-tfiter-A.INPUT-s.16-pall-JDROP

B、iptables-tfiter-PINPUT-s.16-pall-jDROP

C、iptables-tfiter-PINPUT-s.16-pall-j-ACCEPT

D、iptables-tfiter-PINPUT-D..16-pall-j-ACCEPT

参考答案：A

81.以下关于iptables表功能的描述，错误的是哪一项？

A、NAT表:地址转换的功能。

B、Raw表:决定数据包是否被状态跟踪机制处理。

C、Mangle表:修改安全策略

D、Filter表:数据包中允许或者不允许的策略。

参考答案：C

82.L2TP协议是在以下哪一阶段进行IP地址分配？

A、链路建立阶段

B、LCP协商阶段

C、CHAP阶段

D、NCP协商阶段

参考答案：D

83.以下哪项不属于对称加密算法？

A、DES

B、3DES

C、AES

D、RSA

参考答案：D

84.以下关于证书申请的描述，错误的是哪一项？

A、当证书过期、密钥泄漏时，PKI实体必须更换证书，可以通过重新

申请来达到更新的目的，也可以使用SCEP或CMPv2协议自动进行更

新。

B、通常情况下PKI实体会生成一对公私钥，公钥和自己的身份信息

被发送给C

A.用来生成本地证书。

C、PKI实体支持通过SCEP协议向C

A.发送证书注册请求消息来申请本地证书。

D、PKI只能通过在线方式申请本地证书，安全系数高。

参考答案：D

85.数字签名技术通过对以下哪项数据进行了加密从而获得数字签名？

A、用户数据

B、接收方公钥

C、发送方公钥

D、数字指纹

参考答案：D

86.在信息保障阶段,需要从下列哪些角度入手考虑信息的安全问题？

A、管理

B、安全体系

C、业务

D、技术

参考答案：B

87.关于L2TPVPN的说法，以下哪项是错误的？

A、适用于出差员工拨号访问内网

B、不会对数据进行加密操作

C、可以与IPseC.VPN结合使用

D、属于三层VPN技术

参考答案：D

88.入侵防御系统针对攻击识别是基于以下哪一项进行也配的？

A、端口号

B、协议

C、IP地址

D、特征库

参考答案：D

89.下列哪个不是防火墙缺省的安全区域

A、untrustzone

B、trustzone

C、dmzzone

D、ispzone

参考答案：D

90.公司网络管理员在配置双机热备时,配置VRRP备份组1的状态为

Active,并配置虚拟IP地址为.24,则空白处需要键入的命令是

A、rulenamecSource-zoneuntrustDestination-

zonetrustDestination-address32Actionpermit

B、rulenamedSource-zoneuntrustDestination-

zonetrustDestination-address32Actionpermit

C、security-policyRulenameaSource-zoneuntrustSource-

address32Actionpermit

D、rulenamebSource-zoneuntrustDestination-zonetrustSource-

address32Actionpermit

参考答案：A

91.关于SSLVPN的描述，以下哪项是正确的？

A、可以在无客户端的情况下使用

B、可以对IP层进行加密

C、存在NAT穿越问题

D、无需身份验证

参考答案：A

92.通常我们会把服务器分为通用服务器和功能服务器两大类，以下

哪个选项符合这种分类标准？

A、按应用层次划分

B、按用途划分

C、按外形划分

D、按体系构架划分

参考答案：B

93.入侵防御设备能够有效防御以下哪一项的攻击？

A、传输层

B、应用层

C、网络层

D、物理层

参考答案：B

94.下列哪项是网络地址端口转换(NAPT)与仅转换网络地址(No-PAT)

的区别？

A、经过No-PAT转换后，对于外网用户，所有报文都来自同一个IP地

址

B、No-PAT只支持传输层的协议端口转换

C、NAPT只支持网络层的协议地址转换

D、No-PAT支持网络层的协议地址转换

参考答案：D

97.在等保2.0中，哪一项规定了“应在关键网络节点处对垃圾邮件

进行检测和防护，并维护垃圾防护机制的升级和更新”？

A、恶意代码防范

B、通信传输

C、集中管控

D、边界防护

参考答案：A

99.以下哪种密码属于高强度密码？

A、1001

B、tLzXsqc735!

C、adminl23

D、hellOworld

参考答案：B

100.关于Telnet服务的特点，以下哪一项的描述是错误的？

A、Telnet可用于远程登录主机,可通过暴力破解获取到Telnet帐号

密码。

B、默认情况下华为防火墙禁止远程用户使用Telnet登录。

C、通过Telnet服务用户可在本地计算机上连接远程主机。

D、Telnet是一种远程登录服务协议，使用UDP协议的23端口号

参考答案：D

101.下列哪一项不属于P2DR模型中Detection环节使用到的方法？

A、实时监控

B、检测

C、报警

D、关闭服务

参考答案：D

102.防火墙检测到病毒后，下列哪种情况会放行病毒？

A、命中应用例外

B、不是防火墙支持的协议

C、源IP命中白名单

D、命中病毒例外

参考答案：C

103.关于防火墙的描述，以下哪项是正确的

A、防火墙不能透明接入网络.

B、防火墙添加到在网络中，必然会改变网络的拓扑.

C、为了避免单点故障，防火墙只支持旁挂部署

D、根据使用场景的不同，防火墙可以部署为透明模式,也可以部署为

三层模式.

参考答案：D

104.最常见的等保三级标准,一共包含3个方面内容,分别为:物理安

全、数据安全和网络安全。

A、正确

B、错误

参考答案：B

105.下列哪个不是防火墙缺省的安全区域？（单选）

A、UntrustZone

B、DMZZone

C、TrustZone

D、ISPZone

参考答案：D

106.下列不属于常见的数字证书的应用场景的是？

A、FTP

B、HTTPS

C、IPSE

C.VPN

D、SSLVPN

参考答案：A

107.关于安全策略配置命令，以下哪项是正确的？

A、禁止从trust区域访问untrust区域且目的地址为0主机的ICMP

报文

B、禁止从trust区域访问untrust区域且目的地址为.16网段的所

有主机ICMP报文

C、禁止从trust区域访问untrust区域且源地址为.16网段来的所

有主机ICMP报文

D、禁止从trust区域访问untrust区域且源地址为0主机来的所有

主机ICMP报文

参考答案：C

108.以下哪个选项不是IPSe

C.SA的标识？

A、SPI

B、目的地址

C、源地址

D、安全协议

参考答案：C

109.下列关于心跳接口的描述中错误的是？

A、MGMT接口(GigabitEthernetO.0.0)不能作为心跳接口

B、心跳接口的连线方式可以是直连,也可以通过交换机或路由器连接

C、建议至少配置2个心跳接口。一个心跳接口作为主用，另一个心跳

接口作为备份

D、按口MTU值大于1500的接口不能作为心跳接口

参考答案：D

110.关于上网用户组管理的说法，以下哪项是错误的？

A、每个用户组可以包括多个用户和用户组。

B、每个用户组可以属于多个父用户组。

C、系统默认有一个default用户组，该用户组同时也是系统默认认

证域.

D、每个用户至少属于一个用户组，也可以属于多个用户组.

参考答案：B

111.公司管理员使用命令ping命令测试网络的连通性，如果他需要

指定ehco-request报文的源地址，则他需要附加的参数是？

A、-i

B、-a

C、-c

D、-f

参考答案：B

112.以下哪一项不是VPN中的加密算法？

A、3DES

B、DES

C、AES

D、RIP路由协议，不属于加密算法。

参考答案：D

113.关于NAT地址转换，以下哪项说法是错误的？

A、源NAT技术中配置NAT地址池,可以在地址池中只配置一个IP地

址

B、地址转换可以按照用户的需要,在局域网内向外提供FTP、、Telnet

等服务

C、有些应用层协议在数据中携带IP地址信息,对它们作NAT时还要

修改上层数据中的IP地址信息

D、对于某些TCP、UDP的协议（如ICMP、PPTP）,无法做NAT转换

参考答案：D

114.以下哪个选项是GRE的协议号？

A、46

B、47

C、89

D、50

参考答案：B

115.以下关于华为防火墙安全区域的描述,正确的是哪一项？

A、防火墙的不同安全区域的优先级相同。

B、防火墙的不同接口可以在同一个区域。

C、防火墙自带的区域可以删除。

D、防火墙同一个接口可以归属不同区域。

参考答案：B

116.关于NAT地址池的配置命令如下：nataddress-

grouplsectionOOOModeno-pat其中，no-pat参数的含义是：

A、不做地址转换

B、进行端口复用

C、不转换源端口

D、转换目的端口

参考答案：C

117.在处理非首包数据流时，以下哪一类防火墙处理效率最高？

A、代理防火墙

B、包过滤防火墙

C、状态监测防火墙

D、软件防火墙

参考答案：C

118.IP报文头中的协议(protocol)字段标识了其上层所使用的协议,

以下哪个字段值表示上层协议为UDP协议？

A、6

B、17

C、11

D、18

参考答案：B

119.通过displayikesA.看到的结果如下,以下哪项说法是错误的？

A、IKESA,已经建立

B、IPSeC.SA已经建立

C、邻居地址是

D、IKE采用的是VI版本

参考答案：B

120.IPSeC.可以通过以下哪一项协议来完成加密和认证过程的密钥

自动分发？

A、AH

B、IKE（因特网密钥交换协议）

C、ESP

D、SPI

参考答案：B

121.攻击者发送源地址和目的地址相同，或者源地址为环回地址的sw

报文给目标主机（源端口和目的端口相同），导致被攻击者向其自己的

地址发送SYN-ACK消息。这种行为属于哪一种攻击？

A、SYNflood攻击

B、TCP欺骗攻击

C、smurf攻击

D、Land攻击

参考答案：D

122.以下对防火墙日志的描述，错误的是哪一项？

A、日志等级Emergency为最严重的等级

B、Alert日志等级表示设备重大的异常，需要立即采取措施

C、根据信息的严重等级或紧急程度，日志可以分为8个等级，信息越

严重，其日志等级值越大

D、Debug日志等级表示是设备正常运转的一般性信息,用户无需关注

参考答案：C

123.下列哪项不是国家互联网应急中心的业务范围？

A、应急处理安全事件

B、预警通报安全事件

C、为政府部门、企事业单位提供安全评测服务

D、与其他机构合作,提供培训服务

参考答案：D

124.下列关于心跳接口的描述中错误的是

A、建议至少配置2个心跳接口。一个心跳接口作为主用，另一个心跳

接口作为备份。

B、接口MTU值大于1500不能作为心跳接口

C、心跳接口的连线方式可以是直连,也可以通过交换机或路由器连接

D、MGMT接口(GigabitEtherneto.0.0)不能作为心跳接口

参考答案：B

125.中间人攻击属于数据安全威胁。

A、正确

B、错误

参考答案：A

126.以下哪项配置能实现NATALG功能？

A、natalgprotocol

B、algprotocol

C、natprotocol

D、detectprotocol

参考答案：D

127.以下关于单点登录主要实现方式的描述中，错误的是哪一项？

A、接受PC.消息模式

B、查询AD.服务器安全日志模式

C、查询syslog服务器模式

D、防火墙监控AD.认证报文

参考答案：C

128.在华为SDSec解决方案中，防火墙属于哪一层的设备？

A、分析层

B、控制层

C、执行层

D、监控层

参考答案：C

129.DES加密技术使用的密钥是多少位，而3DES加密技术使用的密

钥是多少位。

A、56168

B、64168

C、64128

D、56128

参考答案：D

130.在防火墙上部署双机热备时，为实现VRRP备份组整体状态切换,

需要使用以下哪个协议?

A、VRRP

B、VGMP

C、HRP

D、OSPF

参考答案：B

131.证据鉴定需要解决证据的完整性验证和确定其是否符合可采用

标准,关于证概鉴定的标准，以下哪项描述是正确的？

A、关联性标准是指电了证据如果在一定程度上能够对案件事实产生

实质性影响,法庭应当裁定其具有关联性。

B、客观性标准是指电子证据的获取、存储、提交等环节约应合法，对

国家利益、社会公益和个人隐私等基本权利不构成严里侵犯。

C、合法性标准是保证电子证据从最初的获取收集,到作为诉讼证据提

交使用的过程中，其内容没有任何变化。

D、公平性标准是指由法定主体以合法手段取得的证据材料,才具有证

据能力。

参考答案：A

132.防火墙对匹配到的认证数据流采取的处理方式,不包括以下哪个

选项？

A、Portal认证

B、免认证

C、微信认证

D、不认证

参考答案：C

133.IPv6支持在设备上配置路由器授权功能,通过数字证书验证对等

体身份，选用合法设备。

A、正确

B、错误

参考答案：B

134.针对发生的重大网络安全事件,所对应的预警是哪个等级？

A、红色预警

B、橙色预警

C、黄色预警

D、蓝色预警

参考答案：B

135.以下哪个选项不属于散列算法？

A、MD5

B、SHA1

C、SM1

D、SHA2

参考答案：C

137.二层交换机转发数据时一,根据以下哪种表项确定目标端口？

A、ARP表项

B、MA

C.地址表项

C、路由表项

D、访问控制列表

参考答案：B

138.IPSeC.VPN使用隧道模式封装报文时，下列哪项不在ESP安全协

议的加密范围？

A、ESPHeader

B、TCPHeader

C、RawIPHeader

D、ESPTail

参考答案：A

139.关于电子证据来源，以下哪项描述是错误的？

A、传真资料，手机录音属于与通信技术有关的电子证据。

B、电影，电视剧属于与网络技术有关的电子证据.

C、数据库操作记录，操作系统日志属于与计算机有关的电子证据？

D、操作系统日志,e-mail,聊天记录都可以作为电子证据的来源

参考答案：B

140.关于上网用户和VPN接入用户认证的描述，以下哪项是错误的？

A、上网用户和VPN接入用户共享数据，用户的属性检查（用户状态、

账号过期时间等）同样对VPN接入生效

B、上网用户采用本地认证或服务器认证过程基本一致,都是通过认证

域对用户进行认证,用户触发方式也相同

C、VPN用户接入网络后，可以访问企业总部的网络资源，防火墙可以

基于用户名控制可访问的网络资源

D、VPN接入用户通过认证后将同时在用户在线列表上线

参考答案：B

141.关于入侵防御系统（IPS）的描述，以下哪项是错误的？

A、IDS设备需要与防火墙联动才能阻断入侵（IDS入侵检测系统）

B、IPS设备在网络中不能采取旁路部署方式（IPS入侵防御系统）

C、IPS设备可以串接在网络边界，在线部署

D、IPS设备一旦检测出入侵行为可以实现实时阻断

参考答案：B

142.启用GRE的keepalive功能后，默认情况下设备会周期性的每隔

多少秒向对端发送一次keepalive报文？

A、20

B、10

C、5

D、3

参考答案：C

143.下列哪项SSLVPN功能能且只能访问所有的TCP资源？

A、网络扩展

B、文件共享

C、WE

B.代理

D、端口转发

参考答案：D

144.攻击者发送源地址和目的地址相同，或者源地址为环回地址的

SYN报文给目标主机（源端口和目的端口相同，导致被攻击者向其自己

的地址发进妇SYN-AKY消息这种行为是哪种攻击？（）

A、Smurf攻击

B、SYNFloo

D.攻击

C、TCP欺骗攻击

D、Lan

D.攻击

参考答案：D

145.管理员通过G1.0.0接口（已将该接口加入Trustzone）连接到防

火墙,如果允许管理员通过G1.0.o登录防火墙进行配置管理,则该如

何配置安全策略中放行的流量方向？

A、放行TrustZone到UntrustZone的流量

B、放行TrustZone到LocalZone的流量

C、放行LocalZone到LocalZone的流量

D、放行TrustZone到TrustZone的流量

参考答案：B

147.二层ACL.的编号范围是以下那一项？

A、3000^3999

B、2000^2999

C、10001999

D、4000〜4999

参考答案：D

148.以下关于数字签名中数字指纹的描述，错误的是哪一项？

A、接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。

B、它是发送方通过HASH算法对明文信息计算后得出的数据。

C、接收方会用发送方的公钥计算生成的数据指纹和收到的数字指纹

进行对比。

D、数字指纹又称为信息摘要。

参考答案：C

149.关于NATNo-PAT产生的ServerMap表，以下哪项描述是正确的

A、NATNo-PAT产生的ServerMap的功能相当于安全策略，即匹配该

ServerMap表的报文可以直接通过防火墙,无需匹配安全策略。

B、NATNo-PAT产生的ServerMap默认有两条，有一个是反向的

ServerMap表,主要作用外网用户主动访问该私网用户时,无需另外配

置NAT和安全策略即可进行地址转换进行访问。

C、NATNo-PAT产生的ServerMap是静态的，即配置好NATNo-PAT

后,ServerMap表会自动生成且永久存在。

D、NATNo-PAT产生的ServerMap默认有两条，有一个是正向的

ServerMap表,主要作用是保证特定私网地址访问公网时直接命中表

项进行地址转换,提高效率。

参考答案：C

150.以下哪个NAT技术属于目的NAT技术？

A、Easy-ip

B、NATNo-PAT

C、NAPT

D、NATServer

参考答案：D

151.以下哪一项措施能够防止IP欺骗攻击？

A、在边界防火墙上过滤特定端口

B、在边界防火墙上设置到特定IP的路由

C、在边界路由器上部署目标IP地址过滤

D、在边界防火墙上进行源IP地址过滤

参考答案：D

152.申请应急响应专项资金,采购应急响应软硬件设备属于网络完全

应急响应中哪个阶段中的工作内容？

A、准备阶段

B、抑制阶段

C、响应阶段

D、恢复阶段

参考答案：A

153.当在公共场所连接Wi-Fi时，下列哪一种行为相对更加安全？

A、连接未进行加密的Wi-Fi热点

B、连接由运营商提供的付费Wi-Fi热点且仅进行网络浏览

C、连接未加密的免费Wi-Fi进行在线购物

D、连接加密的免费Wi-Fi进行在线转账操作

参考答案：B

154.当发生网络安全事件后,对入侵行为、病毒或木马进行排查,对主

机进行修补加固。上述动作属于网络安全应急响应哪个阶段中的工作

内容？

A、恢复阶段

B、检测阶段

C、根除阶段

D、抑制阶段

参考答案：D

155.以下哪种攻击不属于网络攻击？

A、IP欺骗攻击

B、Smurf攻击

C、MAC地址欺骗攻击

D、ICMP攻击

参考答案：C

156.下列哪个信息不是双机热备中状态信息备份所包含的备份内容？

A、NAPI相关表项

B、IPv4会话表

C、IPSEC隧道

D、路由表

参考答案：D

157.下列哪项不属于网络安全事件中划分的等级？

A、重大网络安全事件

B、特殊网络安全事件

C、一般网络安全事件

D、较大网络安全事件

参考答案：B

158.下列哪项属于网络安全事件分类中的“信息破坏事件〃？

A、软硬件故障

B、信息仿冒

C、网络扫描窃

D、听木马攻击

参考答案：B

159.在信息安全体系建设管理周期中，下列哪一项的行为是“check”

环节中需要实施的？

A、安全管理体系设计

B、安全管理体系实施

C、风险评估

D、安全管理体系运行监控

参考答案：D

160.以下哪项流量匹配了认证策略会触发认证？

A、访问设备或设备发起的流量

B、DHCP、BGP、OSP

F、LDP报文

C、访问者访问HTTP业务的流量

D、第一条HTTP业务数据流对应的DNS报文

参考答案：C

161.防火墙接入用户认证的触发认证方式,不包括以下的哪一项？

A、MPLSVPN

B、SSLVPN

C、IPSe

C.VPN

D、L2TPVPN

参考答案：A

162.以下哪项不属于LINUX操作系统？

A、CentOSlinux

B、RedHatlinux

C、Ubuntulinux

D、MA

C.OSUnix

参考答案：D

163.在信息安全体系建设管理周期中，下列哪一项的行为是“Check”

环节中需要实施的？

A、安全管理体系设计

B、安全管理体系实施

C、风险评估

D、安全管理体系运行监控

参考答案：D

164.受外部用户控制通过窃取本机信息或者控制权来攻击网络安全

的方式是以下哪种攻击行为？

A、木马攻击

B、拒绝服务攻击

C、钓鱼攻击

D、缓冲区溢出攻击

参考答案：A

165.DES加密技术使用的密钥是位,而3DES加密技术使用的密钥是位。

A、56168

B、64168

C、64128

D、56128

参考答案：D

166.在USG系统防火墙上配置NATServer时，会产生server-map表，

以下哪项不属于该表现中的内容？

A、目的IP

B、目的端口号

C、协议号

D、源IP

参考答案：D

167.关于VGMP的组管理的描述，以下哪项是错误的？

A、VRRP备份组的主.备状态变化都需要通知其所属的VGMP管理组

B、两台防火墙心跳口的接口类型和编号可以不同，只要能够保证二层

互通即可

C、主备防火墙的VGMP之间定时发动hello报文

D、主备设备通过心跳线交互报文了解对方状态,并且备份相关命令和

状态信息。

参考答案：B

168.AH协议的协议号是多少？

A、50

B、51

C、55

D、52

参考答案：B

169.在密码学应用中，哪一项技术是使用公钥加密,私钥解密？

A、对称密钥

B、非对称密钥

C、数字签名

D、DH

参考答案：B

170.针对ARP欺骗攻击的描述，以下哪项是错误的

A、ARP实现机制只考虑正常业务交互,对非正常业务交互或恶意行为

不做任何验证

B、ARP欺骗攻击只能通过ARP应答来实现,无法通过ARP请求实现

C、当某主机发送正常ARP请求时,攻击者会抢先应答,导致主机建立

一个错误的IP和MAC映射关系

D、ARP静态绑定是解决ARP欺骗攻击的一种方案,主要应用在网络规

模不大的场景

参考答案：B

171.下列哪项SSLVPN功能能且仅能访问所有TCP资源？

A、网络扩展

B、端口转发

C、web代理

D、文件共享

参考答案：B

172.电子证据保全直接关系到证据法律效力，符合法律手续的保全,

其真实性和可靠性才有保障。下列哪项不属于证据保全技术？

A、加密技术

B、数字证书技术

C、数字签名技术

D、报文标记追踪技术

参考答案：D

173.以下哪个选项属于二层VPN技术?

A、SSLVPN

B、L2TPVPN

C、GREVPN

D、IPSe

C.VPN

参考答案：B

174.利用程序漏洞，构造特殊的SQL语句并提交以获取敏感信息的攻

击方式是以下哪种攻击方式？

A、SQL注入攻击

B、蠕虫攻击

C、钓鱼攻击

D、缓冲区溢出攻击

参考答案：A

175.以下哪项不属于杀毒软件的关键技术？

A、脱壳技术

B、自我保护

C、格式化磁盘

D、实时升级病毒库

参考答案：C

176.以下哪一项不属于二层VPN?

A、L2F

B、PPTP

C、L2TP

D、IPSeC.

参考答案：D

177.下列选项中，哪一个不是私网P地址？

A、54.16

B、.24

C、54.24

D、0.8

参考答案：B

178.下列哪个选项不属于被动获取信息的手段？

A、端口扫描

B、端口镜像

C、收集日志

D、抓包

参考答案：D

179.在IPSeC.VPN传输模式中，数据报文被加密的区域是哪部分?

A、网络层及上层数据报文

B、原IP报文头

C、新IP报文头

D、传输层及上层数据报文

参考答案：D

180.以下关于对称加密技术的描述中，错误的是哪项？

A、系统开销小。

B、扩展性好。

C、效率高，算法简单。

D、适合加密大量数据。

参考答案：B

181.服务器在使用过程中，存在着各种各样的安全威胁。以下哪个选

项不属于服务器安全威胁？

A、自然灾害

B、DDos攻击

C、黑客攻击

D、恶意程序

参考答案：A

182.在数字签名过程中，主要是对以下哪项进行了HASH算法从而验

证数据传输的完整性？

A、用户数据

B、对称密钥

C、接收方公钥

D、接收方私钥

参考答案：A

183.在部署IPSeC.VPN时-，以下哪项属于隧道模式的主要应用场景？

A、主机与主机之间

B、主机与安全网关之间

C、安全网关之间

D、主机和服务器之间

参考答案：C

184.关于HRP主备配置一致性检查内容不包括下列哪个选项？

A、NAT策略

B、是否配置了相同序号的心跳接口

C、静态路由的下一跳和出接口

D、认证策略

参考答案：C

185.在某些场景下，既要对源IP地址进行转换，又要对目的IP地址

进行转换，该场景使用以下哪项技术？

A、双向NAT

B、源NAT

C、NAT-Server

D、NATALG

参考答案：A

186.管理员希望清除当前会话表。以下哪个命令是正确的了？

A、displaysessiontable

B、displayfirewallsessiontable

C、resetfirewallsessiontable

D、clearfirewallsessiontable

参考答案：C

187.以下哪种攻击不属于网络层攻击？

A、IP欺骗攻击

B、Smurf攻击

C、MA

C.地址欺骗攻击

D、ICMP攻击

参考答案：C

188.SSL不支持以下哪一项加密算法？

A、RC4

B、DES

C、3DES

D、AES

参考答案：A

189.下列哪项VPN不能用于site-to-Site场景？

A、SSLVPN

B、L2TPVPN

C、IPSe

C.VPN

D、GREVPN

参考答案：A

190.关于防火墙的特点，以下哪一项的描述是正确的？

A、防火墙都能准确地检测出攻击来自哪一台计算机

B、防火墙能够很好她解决内网网络攻击的问题

C、防火墙可以防止把外网未经授权的信息发送到内网

D、防火墙可以取代反病毒系统

参考答案：C

191.在域间包过滤中，以下哪一项届于InbouD.方向？

A、Untrust>Trust

B、Local>Trust

C、DMZ>Untrust

D、Local>DNZ

参考答案：A

192.以下哪一种工具可以用于渗透weB.应用程序？

A、Nmap

B、Sparta

C、BurpSuite

D、Superscan

参考答案：C

193.管理员通过Gl.0.0接口（己将接口加入TrustZone）逵接到防火

墙,如果允言午管理景通过G

1.0.0登象防火堵迸行配置管理,即如何配置安全策略中放行的流量

方向？（

A、放行TrustZone到TrustZone的流量

B、放行TrustZone到UntrustZone的流量

C、放行LocalZone到LocalZone的流量

D>放行TrustZone到LocalZone的流量(I)

参考答案：D

194.在USG系统防火墙中，可以使用------功能为非知名端口提供

知名应用服务。

A、端口映射

B、MAC与IP地址绑定

C、包过滤

D、长连接

参考答案：A

195.关于IKESA,以下哪项描述是错误的？

A、IKESA是双向的

B、IKE是基于UDP的应用层协议

C、IKESA是为IPSeC.SA服务的

D、用户数据报文采用的加密算法由IKESA决定

参考答案：D

196.双机热备的缺省备份方式是以下哪种？

A、自动备份

B、手工批量备份

C、会话快速备份

D、设备重启后主备FW的配置

参考答案：A

197.关于TCP.IP协议栈的特点，以下哪一项的描述是错误的？

A、设备接受数据时.，会依照TCP.IP模型拆除协议报头，分析载荷信

息，这一动作称为解封装。

B、网络的通信过程是在协议栈的对等层次进行通信的，如网络层和

网络层通信，数据链路层和数据链路层通信。

C、在设备封装数据时，TCP.IP协议找在每一层上对数据都设置了校

验机制。

D、设备发送数据时，会将数据依照ICP.IP模型添加上特定的协议报

头信息，这一动作称为封装。

参考答案：C

198.关于查看安全策略匹配次数的命令，以下哪项是正确的？

A、displayfirewallsesstiontable

B、displaysecurity-policyall

C、displaysecurity-policycount

D、countsecurity-policyhit

参考答案：B

199.下列哪项不是单机反病毒技术？

A、网络防火墙上配置反病毒技术

B、使用病毒检测工具

C、为系统打补丁

参考答案：A

201.以下关于在双机热备中心跳线传递信息的描述，错误的是哪一项?

A、两台防火墙通过定期互相发送心跳报文检测对端设备是否存活。

B、心跳链路探测报文用于两台防火墙同步配置命令和状态。

C、配置一致性检查报文用于检测两台防火墙的关键配置是否一致。

D、VGMP报文用于确定对端设备状态来判断是否需要进行切换。

参考答案：B

202.当接入用户使用Client-InitiateD.VPN方式与LNS建立隧道时，

一条隧道可以承载多少PPP接？

A、3

B、1

C、2

D、4

参考答案：B

203.HRP(HuaweiRedundancyProtocol)协议，用来将防火墙关键配置

和连接状态等数据向备防火墙上同步，以下哪个选项不属于同步的范

围？

A、安全策略

B、NAT策略

C、黑名单

D、IPS签名集

参考答案：D

204.关于防火墙安全策略，以下哪项是正确的?

A、缺省情况,安全策略能够对单播报文和广播报文进行控制

B、缺省情况,安全策略能够对组播进行控制

C、缺省情况,安全策略仅对单播报文进行控制

D、缺省情况,安全策略能够对单播报文、广播报文和组播报文进行控

制

参考答案：C

205.关于漏洞扫描的描述，以下哪项是错误的？

A、漏洞扫描是一种基于网络远程监测目标网络或主机安全性能脆弱

性的技术,可以被用来进行模拟攻击实验和安全审计。

B、漏洞扫描用来探测目标主机系统是否存在漏洞,一般是对目标主机

进行特定漏洞的扫描

C、漏洞扫描就是一种被动的防范措施,可以有效避免黑客攻击行为

D、可以根据ping扫描和端口扫描的结果进行漏洞扫描

参考答案：C

206.在USG系列防火墙上，配置了web重定向功能后，无法弹出认证

页面，以下哪项不属于故障原因？

A、未配置认证策略或认证策略配置错误

B、未开启web认证功能

C、浏览器SSL版本与防火墙认证页面SSL版本不匹配

D、认证页面服务的端口号设为8887

参考答案：D

207.以下哪一项不是公钥技术可以实现的功能？

A、数据完整性

B、公钥自身的安全性

C、身份验证

D、数据的私密性

参考答案：B

208.关于NAT配置的说法，以下哪项是错误的？

A、在透明模式下配置源NAT,防火墙不支持easy-ip方式

B、地址池中的IP地址可以与NATserver的公网IP地址重叠

C、网络中有VoIP业务时，不需要配置NATALG

D、防火墙不支持对ESP和AH报文进行NAPT转换

参考答案：B

209.关于上网用户管理的说法，以下哪项是错误的？

A、每个用户组可以包括多个用户和用户组

B、每个用户组可以属于多个父用户组

C、系统默认有一个default用户组,该用户组同时也是系统默认认证

域

D、每个用户至少属于一个用户组，也可以属于多个用户组

参考答案：B

210.关于防火墙网关针对HTTP协议的防病毒响应方式，以下哪项说

法是错误的？

A、当网关设备阻断HTTP连接后，向客户端推送web页面并产生日志

B、响应方式包括宣告和阻断

C、告警方式设备只产生日志,不对HTTP协议传输的文件进行处理就

发送出去

D、阻断是指设备断开与HTTP服务器的连接并阻断文件传输

参考答案：B

211.以下哪一项技术可以实现隐藏私网内部网络同时还能防止外部

针对内部服务器的攻击？

A、IP欺骗

B、NAT

C、VRRP

D、地址过滤

参考答案：B

212.以下关于IPSe

C.中ESP协议的描述,错误的是哪一项？

A、ESP将数据中的有效载荷进行加密后再封装到数据包中，以保证数

据的机密性。

B、ESP只能提供加密功能,不支持认证。

C、ESP的协议号是50。AH协议号51

D、ESP支持校验数据的完整性。

参考答案：B

213.下列哪一个协议不属于ASPF能够检测的协议类型

A、MSTP.SMTP

B、FTP

C、DNS

D、PPTP

参考答案：A

214.关于断开TCP连接四次握手的描述，以下哪项是错误的？

A、主动关闭方发送第一个FIN执行主动关闭,而另一方收到这个FIN

执行被关闭

B、当被动关闭收到第一个FIN,它将发回一个ACK,并随机产生确认序

号。

C、被动关闭方需要向应用程序传送一个文件结束符,应用程序就关闭

它的连接,并导致发送一个FIN

D、在被动关闭方发送FIN后,主动关闭方必须发回一个确认,并将确

认序号设置为收到序号加1

参考答案：B

215.下列哪一项是P2DR模型中的核心部分？

A、Policy策略

B、Protection防护

C、Detection检测

D、Response响应

参考答案：A

217.下列哪个协议不属于ASPF能够检测的协议类型?C

A、PPTP

B、FTP

C、SMTP

D、DNS

参考答案：C

218.关于根CA证书，以下哪个描述是错误的？

A、颁发者是CA

B、证书主体名是CA

C、公钥信息是CA的公钥

D、签名是CA公钥加密产生的

参考答案：D

219.关于漏洞的扫描，以下哪项是错误的？

A、漏洞是事先未知、事后发现的。

B、漏洞一般是可以修补的

C、漏洞是安全隐患,会使计算机遭受黑客攻击

D、漏洞是可以避免的

参考答案：D

220.关于NAT地址转换，以下哪项说法是错误的？

A、源NAT技术中配置NAT地址池,可以在地址池中只配置一个IP地

址

B、地址转换可以按照用户的需要,在局域网内向外提供FTP、、Telnet

等服务

C、有些应用层协议在数据中携带IP地址信息,对它们作NAT时还要

修改上层数据中的IP地址信息

D、对于某些非TCP、UDP的协议（比如ICMP、PPTP）,无法做NAT转换

参考答案：D

221.以下哪个选项不属于五元组范围？

A、源IP

B、源MAC

C、目的IP

D、目的端口

参考答案：B

222.以下关于防火墙日志的描述，错误的是哪一项？

A、管理员可以通过策略命中日志获知流量命中的安全策略，在发生

问题时用于故障定位。

B、管理员可以通过用户活动日志获知用户的行为、搜索的关键字以

及审计策略配置的生效情况等信息。

C、在日志等级中，Emergency为最严重的等级。

D、根据信息的严重等级或紧急程度，日志可以分为8个等级，信息

越严重，其日志等级值越大。

参考答案：D

223.关于windows和linux的对比，以下哪个说法是错误的？

A、linux新手入门较困难，需要一些学习和指导

B、windows下可以兼容绝大部分的软件，玩大部分的游戏

C、linux