深信服-aTrust认证题库

单选题1.【atrust】下列关于UEM沙箱办公接入场景说法正确的是A、工作空间进程和个人空间进程可访问的目标地址范围默认相互隔离，即工作空间进程只能通过零信任网关访问该空间和用户关联的隧道应用，其他请求会被拦截B、工作空间进程和个人空间进程可访问的目标地址范围默认相互隔离，WEB应用也受影响，只能在个人空间或者工作空间进行访问。C、程序运行限制功能是说当开启程序运行限制功能后，则将禁止所有程序运行(该限制对Windows的常用自带程序无效)，此时需要在程序运行限制的功能配置界面手动添加允许运行的程序后，对应程序才可以在该工作空间中运行以D、程序仓库是为工作空间的“程序运行限制”这一功能服务的在工作空间开启程序运行限制后，默认禁止任何进程运行(该限制对Windows的常用自带程序无效)，此时需要在程序运行限制的功能配置界面手动添加允许运行的程序后，对应程序才可以在该工作空间中运行答案：B2.【atrust】零信任aTrust替换SSLVPN场景中，导入出现报错信息："code"：10000000，"message"："pleaseapecifyresourceNodeArea"，可能是因为什么原因?A、上传的SSLVPN配置文件有错误B、零信任aTrust版本不兼容C、零信任aTrust的代理网关区域节点被更改了，但导入时默认选择了默认区域节点，需要使用参数指定区域节点D、可能是因为SSLVPN设备低于7.5版本，同时零信任aTrust设备在导入是输入参数错误，导致的。解决办法就是升级SSLVPN和升级零信任aTrust设备再重新导入。答案：C3.【atrust】关于可信应用，下列说法错误的是?A、只支持隧道应用B、无需开启，只要使用隧道应用，就会进行采集进程C、自定义可信进程时，配置进程名不支持通配符*D、设置可进程的hash值，可以用系统自带命令行工具计算：答案：C4.【atrust】选项中关于本地用户认证说法错误的是()A、atrust设备提供本地用户管理目录，实现客户端使用本地用户目录中的账号登录atrustB、本地用户认证对接后支持进行短信、Radius令牌、TOTP令牌等二次认证方式组合认证C、本地用户认证可使用对应的豁免规则进行免二次认证，提升客户的接入atrust的体验D、本地用户认证无法使用账号首次登录、闲置账号登录、账号弱密码登录等增强认证规则答案：D5.【atrust】客户黄工拿到我们aTrust设备后，自己动手上架，发现aTrust设备和深信服其他产品有一些变化，下列变化说法错误的是?A、aTrust的默认账号密码为admin/SangforSDP1220B、aTrust控制台使用的协议为https协议，端口默认为4433端口C、aTrust设备控制中心的ETH0口默认IP为54/24，代理网关的ETH0口默认IP为54/24D、aTrust设备单臂部署配置网口时，网口类型选择LAN口需要在路由处配置默认路由答案：C6.aTrust】下列关于零信任SPA的简单数据流，下列说法错误的是?A、安装客户端后，输入客户端接入地址，会被客户端的地址引流，并解析为/16中的某一个B、用户客户端发出UDP敲门包后，如果敲门成功，控制中心会关闭防火墙C、如果敲门失败了，用户会看到请求访问链接被拒绝D、若多个用户出口共用一个出口IP地址，那么敲门成功后，所有的用户都能扫描到aTrust端口答案：B7.【atrust】关于零信任aTrust对接企业微信和钉钉，下列说法正确的是?A、aTrust对接企业微信，并发布H5微应用客户必须要提供域名，否则不支持B、aTrust对接钉钉，并发布H5微应用客户必须要要提供域名，否则不支持C、企业微信使用H5微应用访问时，需提供域名，域名要指向代理网关公网地址，保证流量能正常引流到aTrust设备代理访问D、aTrust对接钉钉实现miniconnect场景，必须提供域名和证书，否则不支持。miniconnect场景在新的钉钉版本依旧能使用正常答案：C8.【atrust】内外网统一访问的改造，下列说法不正确的是?A、控制中心用户接入地址，建议使用域名。域名可配合AD实现内网流量解析为内网IP，外网流量访问解析为公网IP，实现用户在内外网切换的过程中达到无感知接入，提高用户体验B、用户内外网统一访问改造的过程中，为了更好的推进零信任aTrust，可在上线之初就将客户原有的SSLVPN下线，强制要求用户使用零信任aTrust接入。C、零信任aTrust配合桌面云VDI，可实现单点登录的效果即用户登录aTrust的同时，即可拉起桌面云的访问D、内外网统一接入场景中，若客户进行了统一身份认证改造，没有部署零信任aTrust时就已经实现了应用的单点登录，那么上线了零信任aTrust也能实现单点登录。答案：B9.【atrust】零信任aTrust内外网统一办公接入场景中，针对PPT中介绍的内容，内网办公人员，外网办公人员和研发办公人员，我们给出的解决方案是怎样的呢，下列说法正确的是?A、针对内网办公人员，我们的解决方案是，将内网接入的wifi和有线网络，配置网络策略，只允许用户接入后访问零信任aTrust和互联网。B、针对外网办公人员，我们的解决方案是，所有外网办公人员都只能通过公网或者直接内网的方式接入零信任aTrust，再接入内网进行办公C、针对研发人员我们给出的解决方案是，研发人员在公司办公接入内网后，只允许访问零信任aTrust和互联网，用户需接入零信任aTrust后，再接入桌面云访问内网业务D、针对研发人员，进一步的安全接入方案为，研发用户公司内网办公，接入零信任aTrust后，访问桌面云VDI，进入桌面云虚拟机后，需再拨入零信任aTrust才可访问内网资源答案：B10.【atrust】以下哪些功能需要安装客户端才能使用A、权限采集B、WEB应用中的私有DNSC、检测访问WEB应用的浏览器类型D、WEB应用水印答案：B11.【atrust】关于Workspace办公接入场景的方案，哪个场景不是该方案主推的体现?A、零信任SDP的安全接入场景B、SPA服务隐身场景C、UEM沙箱的数据安全加密场景D、桌面云VDI的数据不落地场景答案：B12.【atrust】下列关于SPA功能，说法错误的是?A、2.2.2版本之后SPA功能，客户端与安全码做了分离；用户敲门需使用SPA安全码，安全码的分发需要使用短信进行分发。B、用户未安装客户端或未获取到SPA安全码访问零信任设备，客户端输入用户接入地址，登录失败，被SPA拦截，拦截页面会显示无访问此网站，响应时间超时的错误状态码。C、自2.2.2版本之后，SPA支持使用域名或IP接入，即用户可使用域名或IP地址访问零信任设备，实现SPA敲门校验D、开启SPA功能后，使用端口扫描工具，可以扫描到零信任设备的相关业务端口答案：D13.【atrust】零信任aTrust替换SSLVPN场景下列说法正确的是A、支持将SSLVPN设备的所有配置导入到零信任aTrust设备B、只允许将SSLVPN的用户、用户组导入零信任aTrust设备C、允许将SSLVPN的用户、用户组、角色、应用和应用组之间的关联关系导入至零信任aTrust设备D、SSLVPN设备导入零信任aTrust设备，不受版本的限制答案：C14.【atrust】下列关于UEM沙箱办公接入场景说法正确的是A、开启工作空间后，需安装UEM组件，并设定安装磁盘，重启电脑生效B、工作空间的审计功能，需配合外置数据中心一起使用，需保证两个设备之间的网络通信正常C、工作空间支持多沙箱，每个用户最多支持8个沙箱空间D、工作空间启用后，用户访问隧道应用必须安装工作空间组件才可访问答案：C15.【atrust】aTrust的发布WEB模式资源，以下说法错误的是?A、支持B/S和C/S架构的应用发布B、支持私有DNS解析，支持依赖站点配置C、支持应用的单点登录D、支持web水印答案：A16.【atrust】以下关于流量身份化的功能说明中，说法错误的是?A、基于『身份』做访问控制B、基于组织架构、岗位、用户等角度对用户进行应用授权C、ACL跟随用户，实现『业务随行』，不受区域位置限制，释放生产力D、流量身份化依赖IP，形成了对地理位置的限制答案：D17.【atrust】零信任aTrust替换SSLVPN场景中，对于将SSLVPNI设备的配置导入至零信任aTrust设备，说法错误的是?A、零信任aTrust2.2.2版本支持将SSLVPN7.5及以上的版本配配置导入B、若客户SSLVPN的版本低于7.5，为了能将配置导入零信任EaTrust设备，可将设备升级到高于7.5版本(需保证设备没有定制的前提)C、SSLVPN配置导入零信任aTrust设备，导入的配置范围是SSL设备的部署模式、路由等基础信息。D、若客户的SSLVPN设备用户是外部用户，那么首先就需要在aTrust设备完成外部用户的同步，再进入webconsole页面，使用vpn_import工具导入答案：C18.【atrust】aTrust部署完成后，需要对设备进行升级，下列说法错误的是A、2.1.17版本之后使用sftp协议连接设备，上传升级包，使用默认账号为quicksftp/SangforSDP1220B、2.1.17之前版本建议在后台升级，2.1.17及之后版本建议web升级C、连接设备后台需要使用ssh连接设备，输入升级命令D、2.1.17版本之后设备升级有快照的功能，升级后可以进入快照管理对设备进行回退答案：D19.【atrust】以下类型的外部服务器中的用户，不支持导入aTrust用户目录中的是?A、MSActiveDirectoryB、OpenLDAPC、使用私有用户接口开发的用户组织架构D、企业微信E、钉钉答案：C20.【atrust】关于外部用户导入，下列说法错误的是?A、平台支持对LDAP的用户信息进行立即同步，不支持定时自动同步。B、企业微信用户导入的时候，我们需要登录企业微信管理后台界面，获取CorpID和secret信息C、在LDAP/AD域用户目录配置页面，可对组织架构、角色和用户的新增、删除和编辑等操作D、配置LDAP/AD用户管理时，需要填写对应的服务器地址，管理员账号和密码，搜索路径等配置E、钉钉用户导入的时候，我们需要登录钉钉开发者后台页面，获取钉钉认证应用的AppKey和AppSecret信息答案：A21.【atrust】以下TOTP动态令牌认证方式中，说法错误的是()A、可以使用Google身份验证器或者freeOTP作为动态令牌进行认证B、需要在动态令牌APP中绑定对应的账号信息与账号密钥C、使用TOTP动态令牌认证时，控制中心SDPC时间与TOTP服务器时间不一致时，也不会影响用户登录D、可通过短信认证或者动态令牌认证解除与TOTP动态令牌认证答案：C22.【atrust】高校场景下，用户对接了统一身份认证平台，关于授权相关下列说法错误的是A、aTrust控制中心对接统一身份认证平台的，若认证服务器提供LDAP/AD域这类协议，不需要将LDAP/AD域服务器的用户信息同步到aTrust本地，也能对组织架构和用户做精细化授权。B、aTrust对接统一身份认证平台，客户没有提供用户同步接口，但客户想要对不同的组做授权。那么我们可以在aTrsut控制中心创建一个自定义本地用户目录，登录设置选择<根据认证时解析的组织架构和群组信息获取授权和策略>来实现C、用户没有同步用户的接口，若选择<根据认证时解析的组织架构和群组信息获取授权和策略>来授权，则需要在aTrust本地创建与认证服务器相同的组织架构信息，再对组织架构做授权，那么用户上线后就可以具备组织架构的资源访问权限。D、若客户有特殊的应用想要单独发布和单独授权给特定人员，那么可将该应用发布为web泛域名资源或隧道资源，并授权给用户。答案：A23.atrust】下列关于aTrust的功能说法错误的是A、SPA功能可以隐藏发布到互联网的内网业务系统，但是aTrust设备发布到互联网的端口服务没有办法隐藏B、权限基线功能分为三个阶段，采集阶段，试运行阶段和正式运行阶段C、可信应用可以实现访问该业务系统的时候只允许使用授信的程序访问，不授信的程序无法访问该业务系统D、aTrust可以周期性的检测终端环境是否满足要求，而不是只在登录时检测答案：A24.【aTrust】关于aTrust设备集群，下列说法错误的是?A、控制中心支持主从集群和主备集群B、综合网关只支持主从集群C、代理网关支持主从集群和主备集群D、控制中心、代理网关和综合网关都支持主从集群答案：A25.【atrust】下列关于UEM沙箱功能，说法错误的是?A、沙箱功能支持Win7、Win8、Win10和MacOS系统B、开启沙箱功能后，访问隧道应用只能在沙箱内访问C、开启沙箱功能后，访问Web应用无影响。D、开启沙箱功能后，PC安装UEM组件后必须要重启计算机才能正常使用答案：A26.【atrust】下列关于radius账号认证说法错误是()A、raidus认证支持的扩展属性有绑定的手机号码、组织架构以及显示名等B、raidus认证支持的字符集有UTF-8和GBKC、radius认证协议支持PAP和CHAPD、radius认证的用户默认支持导入到本地答案：D27.atrust】零信任aTrust高校无端接入场景下，说法错误的是?A、客户必须提前准备好泛域名和证书，若没有证书则无法改写B、需要客户提供泛域名，若客户使用的https访问则必须提供证书，若不提供则无法对访问的应用进行改写C、需要客户提供泛域名，若客户访问应用使用的是http协议，则可不需要提供证书也能实现应用的改写D、客户提供的泛域名必须能解析到代理网关对外的公网地址答案：A28.【atrust】关于atrust与云图短信网关对接时，以下说法错误的是()A、因云图短信网关无法解析模板内容里面的空格，故需要在模板内容里面将所有的空格删除B、需要激活云图中的短信云模块功能，获取到对应的密钥账号与密钥密码C、发送短信失败后，可以查看atrust控制台的用户日志，根据对应的错误日志信息进行排查D、在创建用户时无需配置手机号码，用户可在客户端自主绑定手机号码答案：D29.【atrust】零信任aTrust的应用与用户精细化管控，下面哪种授权方式是错误的?A、基于用户授权B、基于组织架构授权C、基于角色标签授权D、针对外部用户目录，无法基于角色标签授权答案：D30.【atrust】atrust与微软AD域对接实现用户认证，以下相关说法正确的是?A、atrust设备端不需要进行任何配置即可进行对接认证B、必须要将AD域用户同步到atrust设备才能用于用户认证C、同步用户信息包含用户组织结构、用户名、用户密码等信息D、用户登录时账户校验是在AD域上进行答案：D31.【aTrust】关于aTrust设备，组建集群时的要求，下列说法错误的是?A、设备组集群必须满足cpu/内存/网口数保持一致B、设备组集群必须满足设备版本，定制包和补丁包一致C、设备组集群，授权类型必须保持一致(基础授权不能和高级授权组集群)D、硬件和虚拟化可组集群，实现设备高可靠性和高冗余性答案：D32.【atrust】客户黄大湿想发布自己的门户网站，你跟黄大湿沟通后发现他们的门户是B/S架构的，黄大湿除了发布网站还希望不安装客户端就可以访问，下列说法错误的是?A、配置Web资源可以实现免客户端登录B、发布该应用需要有域名，且该域名的A记录要指向aTrust的代理网关/综合网关C、客户的80、443端口都没有备案，想使用4430端口访问门户，只需要把控制中心的4430端口映射出去即可。D、客户内网访问使用的是http协议访问门户网站，通过我们aTrust代理访问可以实现使用https协议访问答案：C33.【atrust】关于设备升级，下列说法错误的是?A、设备2.1.17版本及之后支持Web端上传升级包升级B、当前设备升级，可进入后台升级，后台升级需要开启21和20端口，使用ftp工具上传升级包C、截止标准版本aTrust2.2.4，暂不支持硬件设备降级设备版本D、虚拟化部署的设备，升级前建议在虚拟化平台创建快照，避免升级中出现异常，导致设备起不来影响业务。答案：B34.【atrust】关于安全基线下列说法错误的是?A、安全基线是用于检测终端环境是否满足访问应用时的条件规则B、安全基线可针对不同的操作系统，指定不同的安全策略C、某基线判定条件只配置Windows系统条件时，那么Mac系统和iOS/Android系统访问该基线的应用将直接被拒绝D、当存在安全基线A、安全基线B和安全基线C时，终端PC访问应用时必须同时满足安全基线A、B、C才能访问答案：C35.【atrust】零信任aTrust自适应场景中，若管理员开启了豁免规则(即免二次认证和一键上线)同时还开启了安全规则，下列说法错误的是?A、用户登录上线，环境满足了豁免规则和安全规的条件，那么用户登录需要进行1次认证B、用户登录上线，环境不满足豁免规则的条件，但满足安全规则的条件，那么用户登录需要进行3次认证C、用户登录上线，环境满足了一键上线的条件和口安全规则的条件；那么首次登录时需要进行2次认证，退出客户端后再次登录aTrust，则不可实现免密上线，这是因为免密上线规则优先与安全规则D、用户登录上线，终端环境不满足豁免规则和安：全规则，那么用户登录需要进行2次认证答案：A36.【aTrust】下列关于SPA的说法错误的是A、SPA即单包授权，通过对连接服务器的所有数据包进行认证授权，服务器认证通过之后，才会响应连接请求。以此实现企业业务的网络隐身，从网络上无法连接、无法扫描。B、启用UDP敲门，需同时将要隐藏的服务器端口在公网上做TCP和UDP协议的端口映射，否则将无法访问C、SPA目前支持第三代，即UDP+TCP敲门。其中UDP敲了可实现端口隐藏，TCP敲门是减缓DOS攻击D、用户使用UDP敲门成功后，同一环境下的用户安装一个·普通客户端也能正常接入答案：D37.aTrust】atrust支持安全基线，针对安全基线(应用防护策略和上线准入策略)下列说法错误的是?A、aTrust的安全策略触发后，对应的处置动作可以选择阻止访问、注销登入、锁定账号。B、aTrust的安全策略，只在用户上线前进行检查，上线后就算环境改变也不会被踢下线C、aTrust的应用防护策略，针对的是用户和应用之间的关系，适用用户访问适用应用，会触发该策略D、atrust的安全策略，可实现持续检查，上线前满足要求，但如果在生命周期内不满足要求，依旧会被踢下线。答案：B38.【atrust】一天，你到客户黄工处测试aTrust，测试过程中，你给黄工介绍了在Windows下的aTrust客户端使用，黄工问你支不支持手机端接入，下列你给客户介绍移动端aTrustAPP说法错误的是?A、移动端APP支持iOS和AndroidB、移动端APP支持无流量自动注销的功能，超时会自动注销移动端APP，下次访问需要重新登录C、手机如果安装了aTrustAPP，可以使用aTrustAPP扫码接入，使用手机的浏览器访问aTrust也可以实现快捷拉起aTrustAPP登录范根D、手机端APP支持SPA、上线准入策略、安全基线等功能，也支持二次认证答案：B39.实现个人微信公众号登录后，访问应用A、实现个人微信公众号登录后，访问应用B、新版钉钉场景下，取消了扫码登录appld和appsecret的概念，转而由应用的appkey和appsecret替代C、钉钉对接miniconnect后，无法主动注销D、企业微信，钉钉和飞书，都可将用户目录信息同步至aTrust本地，实现精细化授权答案：D40.atrust】下列关于认证功能说法错误的是A、二次认证的方式只能选择一种，即短信和令牌不能同时使用B、CAS票据认证可结合短信、TOTP等辅助认证实现二次认证C、短信辅认证只能配置一条，即配置了阿里云短信认证就不能配置腾讯云短信认证D、企业微信和钉钉认证策略只能配置一条，配置了钉钉认证就不能配置企业微信认证答案：D41.【atrust】选项中关于HTTP(S)短信认证使用场景中，说法错误的是()A、短信认证不支持用户登入进行短信认证作为主认证方式B、用户登录时可使用短信认证作为二次认证C、用户登录时，可以使用短信认证作为自适应认证的增强认证D、短信认证可作为应用防护策略和上线准入策略灰度处置的增强认证答案：A42.【atrust】以下功能，哪些不是属于免认证应用支持的功能A、私有DNS解析B、Web水印C、接入IP限制D、依赖站点答案：B43.【aTrust】关于aTrust本地集群模式，下列说法错误的是?A、控制中心和综合网关本地集群使用原理是LVSNAT模式B、代理网关本地集群使用原理是LVSDR模式C、控制中心组集群的组合模式有1主2从1工作节点，1主1从2工作节点，不支持1主3从模式D、代理网关proxy集群只支持集群主从模式，不支持双机主备模式答案：D44.【atrust】对于传统的安全接入方案中，以下说法错误的是?A、缩小暴露面效果欠佳，通过传统SSL方案发布如OA业务，OA业务虽然隐藏，但仍然对公网暴露SSL认证页面，网络任意位置都可发起认证请求，仍存在利用SSL认证页面的漏洞扫描、注入攻击等风险。B、缺少接入终端全周期安全检测手段，针对BYOD终端缺少轻量、灵活的安全检测手段。缺少业务访问全周期的检测能力，接入时候安全可信，不代表访问业务过程一直是安全可信的。C、访问权限固化，使用静态访问权限，认证通过后业务访问权限不会进行调整默认接入内网等于进入“安全地带”D、使用体验效果良好，同时提供极简的运维方式，传统SSL方案中客户端接入VPN时不需要安装客户端插件。答案：D45.【atrust】某客户需求：内网中有一个业务地址段/24，应用端口有443，80，4000-44330、一个门户页面https：//sangfor.atrust.，真实地址42、远程桌面连接0。下面说法错误的是A、为了配置方便可将业务地址段/24网段使用隧道模式统一发布B、门户页面https：/sangfor.atrust.可用web应用发布也可用隧道应用发布C、远程桌面连接0必须使用隧道模式发布D、有隧道模式发布的应用，必须安装客户端，且如果在公网上访问隧道应用必须将sdpc的441端口映射到公网答案：D46.【atrust】针对零信任aTrust系统升级的描述，下列说法错误的的是?A、设备2.1.17版本及之后支持Web端上传升级包升级B、平台是虚拟化部署，在升级前强烈建议打上服务器快照C、bin格式升级包用于WEB升级，ssu格式升级包用于后台升级D、硬件设备升级之后，可在web界面进行版本回滚答案：D47.【atrust】aTrust部署完成后，你发现控制台一直登陆不上，下列说法错误的是A、检查PC到设备的443端口是否能够通B、检查登陆的地址是不是使用的4433端口C、检查使用的账号密码是不是admin/SangforSDP1220D、检查设备的IP地址是否有配置错误答案：A48.【atrust】客户黄大湿有自己的LDAP服务器，想要统一使用LDAP服务器中的账号做认证，统一管理，下列需求说法错误的是?A、aTrust设备可以和LDAP服务器对接实现使用LDAP服务器中的账号登录aTrustB、对接LDAP服务器后如果需要精细化的授权，需要把用户或者用户组导入到本地，进行精细化授权C、LDAP认证对接后支持进行短信、Radius令牌、TOTP令牌等二次认证方式组合认证D、设备对接LDAP服务器后，再对接其他业务系统，用户登录aTrust后，访问其他业务系统可以无需配置，输入业务系统的账号密码，实现单点登录答案：D49.【atrust】关于隧道应用，下列说法错误的是A、隧道应用支持B/S和C/S的应用发布B、隧道模式发布隧道资源，支持通配符、域名和ip发布C、支持配置https/http协议的隧道，实现应用单点登录D、支持私有DNS解析、WEB水印和ip源限制答案：D50.【atrust】零信任aTrust对于用户策略中的的功能描述，下列说法错误的是?A、当我们在用户策略配置了DNS解析功能，客户端登录时，优先使用配置的DNS服务器进行域名解析，客户端未登录或离线时，本地计算机的DNS服务器配置将恢复原状。B、在用户策略配置了终端着陆页，可以实现用户登入完直接跳转到指定的URL，适用于APP登入。C、在用户策略配置了账号超时注销，可以加强账号的安全性，但启用工作空间后PC端的超时注销会失效D、所有用户想使用一个策略进行维护管理的时候，我们可以直接修改默认策略即可答案：B51.【atrust】关于零信任网络架构与传统网络架构的以下说法中，错误的是?A、传统的网络安全结构把不同的网络划分为不同的区域，不同区域之间使用防火墙进行隔离，达到安全防护的效果B、零信任网络架构由管理平面、控制平面、数据平面组成，管理平面负责细粒度的控制策略管理。C、零信任网络架构的控制平面，主要处理设备和用户的身份认证与授权等内容D、零信任网络架构的中控制平面完成检查，确定该请求具备合法的授权，它就会动态配置数据平面，接收来自该客户端(且仅限该客户端)的访问流量。答案：B52.【atrust】小明只配置了一个web应用，其中前端访问地址为https：//atrust.cxsslvpn.xyz：4320，客户想要在公网环境能访问该应用，以下为必要的操作是?A、客户端接入地址端口未更改，需要将零信任sdpc的地址加443端口映射到公网B、将零信任proxy的地址加4430端口映射到公网C、将零信任sdpc的地址加4320端口映射到公网D、将零信任proxy的地址加4433端口映射到公网答案：A53.【atrust】关于aTrust的镜像部署，如下说法错误的是?A、atrust提供OVA格式镜像，支持导入HCI和VMware平台B、atrust提供qcow2格式镜像，支持导入阿里公有云，腾讯公有云和华为公有云C、atrust提供的镜像是包含操作系统的，所以在部署时，不需要客户提前部署好虚拟机，只需要提供好足够多的资源即可。D、atrust设备导入后需要配置地址，此时使用quickstart账号登录，配置永久网络信息。答案：D54.【atrust】零信任aTrust对于全局策略中的功能描述，下列说法错误的是?A、防中间人攻击功能一定需要安装客户端B、关于防爆破设置，用户在上线成功之前，单次认证的累计失败次数达到设定的阈值时执行相应的处置动作，单次认证成功后失败次数将自动清零C、防会话劫持攻击功能支持PC端的隧道应用和WEB应用D、接入限制-禁止浏览器接入，该功能在linux系统暂不生效答案：C55.【atrust】一天，你到客户黄工处测试aTrust，测试过程中，黄工想详细了解免认证应用功能，下列关于免认证应用说法错误的是?A、免认证应用是一个特殊的web应用，不能授权给某一用户，是全局的，即谁都能访问。B、免认证应用不建议发布非门户类应用，存在安全隐患C、免认证应用可由代理网关可直接代理访问，但需要进行身份鉴别D、发布免认证应用，需要和客户明确应用直接暴露在公网所带来的风险答案：C56.【atrust】一个风和日丽的一天，客户call你去上架设备，到达客户处，客户给你aTrust的硬件设备，以下区别aTrust设备类型错误的是?A、aTrust设备型号以C结尾的是控制中心设备B、aTrust设备型号以G结尾的是代理网关设备C、aTrust设备型号以M结尾的是综合网关设备D、aTrust-ONE结尾的设备型号是综合网关设备答案：D57.【atrust】下列关于安全加固场景的不属于终端安全配置的是?A、可信应用的防护策略只能添加到windows、macOS、linux系统中；不支持IOS和Android系统。B、EDR联动阻断C、UEMPC端沙箱D、SPA业务隐身答案：D58.【atrust】客户在测试过程中想要测试一个在线的B/S应用(域名https：/oa.sangfor.)，但客户要求，在测试的过程中不允许影响现网业务，针对该需求下列哪项是错误的?A、可以发布WEB资源，后端访问地址填写业务的真实服务器地址，前端地址填写oa.sangfor.。并要求客户将oa.sangfor.域名解析指向代理网关公网地址。B、可以发布WEB资源，后端访问地址填写业务的真实服务器地址，前端地址填写oa.sangfor.。配置WEB资源的私有DNS解析，实现测试不影响现网业务。C、可以建议客户发布隧道域名资源，并选择HTTP/HTTPS协议服务器地址填写oa.sangfor.，端口为443D、可以建议客户发布隧道域名资源，并选择TCP/UDP协议，协议选择TCP，服务器地址填写oa.sangfor.，端口为443答案：A59.【atrust】关于隧道应用，下列说法错误的是A、隧道应用支持B/S和C/S的应用发布B、隧道模式发布隧道资源，支持通配符、域名和ip发布C、隧道应用采用的是3层转4层技术，多个应用的连接会1：1还原tcp连接，去访问代理网关D、支持私有DNS解析、WEB水印和ip源限制答案：D60.【atrust】下列关于权限采集功能，说法不正确的是A、权限采集分为三个阶段，采集阶段、试运行阶段和正式运行阶段B、权限采集不支持隧道应用C、权限采集用户访问人数的人数变化更新是每小时更新D、权限采集到正式运行阶段可以导出权限采集报告答案：B61.【atrust】以下那几个不是aTrust系统自带的管理员角色?A、运维管理员B、审计管理员C、系统管理员D、安全管理员答案：A62.【atrust】aTrust在创建新的管理员账号时，对密码复杂度要求中，错误的是?A、需包含字母、数字、特殊字符B、密码长度至少8位C、密码可包含用户名D、密码不能属于常见弱密码答案：C63.【atrust】客户黄工考虑到需要保障业务连续性，需要我们设备实现高可用，你给黄大湿推荐设备集群部署，在部署本地集群时，下列操作错误的是?A、设备组建本地集群后，接入地址为SDPC的集群IP，需要把客户端接入地址改成集群IP的地址，若做了端口映射，则需修改成SDPC的集群IP映射后的地址B、SDPC和Proxy组建本地集群后，均会自动所有同步配置，无需手动操作C、SDPC组建本地集群后，Proxy加入SDPC需要填写SDPC的集群IP加入D、Proxy本地集群默认采用的DR模式，要求Proxy本地集群节点只能是在同一局域网，不能夸局域网之间的节点进行组建答案：B64.【atrust】关于aTrust与SSLVPN的功能对比，下列说法错误的是A、aTrust应用分为两种，分别是隧道应用和web应用。SSLVPN分为L3VPN/TCP/WEBVPN资源B、SSLVPN支持发布长链接，aTrust支持短连接和长链接的发布C、aTrust发布WEB资源时，可以不安装客户端。SSLVPN发布WEBVPN时可以不需要安装客户端D、aTrust支持发布Web资源免客户端的功能，而SSLVPN接入必须使用客户端答案：D65.【atrust】关于零信任自动备份配置的功能描述，下列说法错误的的是?A、代理玩网关加入控制中心后，代理网关可不脱离控制中心设备进行配置恢复B、自动备份配置默认保存7条备份记录，最多可配置10天备份记录。C、自动备份的频率是每天凌晨1-2点进行自动备份D、当我们开启了自动备份，且已达备份记录上限时，新增的自动备份会自动覆盖最早的备份记录以答案：A66.【atrust】下列关于安全加固场景关于4个闭环能力说法去不正确的是A、事前-安全加固：主要包括管理员安全配置检测用户安全配置检测，设备自身巡检不在安全加固范围内，属于日常运维。B、事中-持续运营：查看账号变更，异常登录，风险进程识别和攻击IP的巡检信息展示，根据展示的信息和处理建议对其进程持续的安全运营，保障设备安全检C、事后-攻击溯源：攻击溯源，FW，态势感知和安全运营平台等方式式进行联动，配合零信任跨设备查询日志的高级功能，进行检索筛选，获取关键数据进行分析。同时配合零信任可信应用采集功能，识别攻击进程/木马/攻击路径等D、事后-快速补丁更新：快速推出补丁、紧急补丁推送答案：A67.【atrust】黄工在一次WEB升级过程中界面进度条长时间没有变化，界面不出现跳转，你能告诉他可以进行以下那些操作嘛?A、升级卡顿，进行关机重启恢复。B、在页面查看升级日志，查看是否有明显报错信息。C、在web端重新上传升级，再进行一次升级D、直接中断升级，重新登入控制台答案：B68.【atrust】黄工在一次项目测试过程中遇到了特殊情况，需要把设备恢复出厂设置，以下产生的影响中，说法错误是?A、会清空所有控制台配置(包括许可信息)B、会清空所有用户配置(免辅，免密，权限基线数据等)C、会下线当前设备上的所有用户D、不会清空设备上保存的所有日志答案：D69.【atrust】零信任aTrust内外网统一办公接入场景中，针对网络改造方面，下列说法不正确的是?A、客户要求零信任aTrust设备要区分内外网，那么可设置WAN口和lan口，WAN口对外，lan对内。若组集群，则wan口组集群要求集群IP地址与设备接口IP地址同网段，lan口组集群要求集群IP地址与设备的接口IP地址不同网段，以此来达到集群组建要求B、管理员在近server端(即近服务器端)下发安全策略，设定业务服务器只允许零信任aTrsut设备和必要的组件访问，其余的不允许访问，强控server的数据互联，提高安全性C、客户存在多个业务区域，区域间通过防火墙AF进行隔离。为了确保客户业务的安全性和敏感性，我们可在不同的网络区域内部署多套代理网关设备，防火墙只需放通代理网关的有限端口访问即可，提高客户业务的安全性D、客户的网络改造，优先使用旁路部署，可以在最小的影响范围内上线答案：A70.【atrust】关于Workspace办公接入场景核心需求，以下选项错误的是?A、安全可信B、极简运维C、良好体验D、追踪溯源答案：D71.【atrust】针对零信任aTrust接入场景描述，下列说法错误的是?A、远程办公接入场景是零信任aTrust的主打场景B、远程办公接入场景，可实现隐藏内网业务服务器对外暴露的端口，收缩暴露面C、远程办公接入场景下，同时也是需要客户将内网业务服务器的相关业务端口映射到公网D、远程办公接入场景下，只需要暴露零信任aTrust的相关端口即可答案：C72.【atrust】下列关于移动端应用封装接入说法不正确的是A、当aTrust网页版应用商店的认证模式为“无需认证”时，任何网络可达的终端均可访问aTrust应用商店，存在一定的泄露风险B、应用需要关联用户后，用户才能在网页版应用商店看到该应用，但即使网页版应用商店的认证方式为“无需认证”时，也需要将应用发布给至少一个用户(任意用户均可)，方可确保该应用出现在aTrust应用商店C、新增自动封装应用时，默认选择标准化封装，只有做了定制的情况下才选择定制化封并填写封装单号D、设备未在特性中心开启UEM特性时，UEM菜单也能在页面显示。答案：D73.【atrust】以下关于自适应访问控制的功能说明中，说法错误的是?A、通过自适应访问控制，平衡安全与体验，持续应对高级威胁，构建一个更安全、体验更好的新一代企业网B、自适应应用访问控制不仅是在登录时进行评估，而是持续、自适应地动态评估C、自适应应用访问控制结合终端环境、身份认证可信程度、用户行为形成数字化身份D、自适应访问控制，在提高接入安全性的同时，牺牲了接入体验性。在可信任的安全接入环境中也需要进行增强认证答案：D74.【aTrust】关于atrust对接认证，下列说法错误的是?A、对接CAS认证服务器时，需要在CAS认证服务器上，将atrust地址加白，加白的地址为https：//[aTrust客户端接入地址域名：端口]/passport/v1/auth/casB、对接钉钉认证时，扫码登录时需要填写回调域名，地址为Https：//sdpc.sangforts.ink：443/passport/v1/auth/dingdingQrcodeC、钉钉miniconnect场景，实现用户点击应用后拉起miniconnect认证建立隧道，并访问http：3，配置为：https：//SDP接入地址/portal/dingtalk.html#redirecturl=http%3A%2F%2F3D、aTrust对接任何第三方认证服务器时，都需要控制中心/综合网关获取账号密码，并传送给第三方认证服务器，以此来实现用户登录认证上线。答案：D75.【atrust】下列关于UEM沙箱办公接入场景说法正确的是A、关于工作空间准入策略功能，截至到2.2.4版本，只适用于windows平台、Mac平台；Linux系统暂时不支持。B、工作空间准入策略的处置方式有两种：禁用空间隔离效果，隐藏空间入口：a.此模式下工作空间的网络隔离失效，空间关联的应用将允许在个人空间访问；b.当用户关联的所有空间都禁用时，相当于用户未关联任何空间(个人空间网络隔离规则不会生效，终端将不会占用UEM标准版授权)保持空间隔离效果，隐藏空间入口：此模式下工作空间的网络隔离仍有效，空间关联的应用将无法访问C、程序安装名单的工作原理是：管理员把程序安装包上传到程序安装名单中后，用户在工作空间安装这个程序时，UEM会把其安装文件释放到个人空间中，这样就等同于在个人空间中安装程序，从而解决再特殊环境下程序安装问题D、在一些很严格的场景下，程序安装包的下载地址只能在工作空间才能访问，而且管理员设置了策略不允许用户把文件从工作空间导出到个人空间，此时就导致了用户只能在工作空间安装这个程序，但再无痕模式下不适用且强制安装可能会引发系统问题，此情况下应用程序安装名单解决人答案：A76.【atrust】aTrust单臂上架好了之后，需要互联网访问接入，此时你的操作哪项是不符合互联网接入要求的A、需要将控制中心的https接入端口(默认TCP443)端口映射到互联网，并在aTrust上设置接入地址B、发布Web资源，需要使用HTTPS标准端口访问Web资源，则需要代理网关的443端口映射到互联网C、发布隧道资源，需要使用ssh标准端口访问隧道资源，则需要代理网关的22端口映射到互联网D、发布隧道资源，需要使用RDP标准端口访问隧道资源，则需要代理网关的441端口映射到互联网答案：C77.【atrust】有一次到客户处，客户问最近比较火的零信任，你们公司有没有做，此时你给客户的答复说法正确的是?A、我们公司是有涉及零信任领域的，使用aTrust就可以将内网改造成零信任架构B、我们公司是有涉及零信任领域的，涉及到的产品有aTrust产品、IDtrust产品等C、零信任实际上是一个新型的网络架构，使用防火墙和IDtrust进行过改造就可以完成零信任的建设D、零信任的核心理念是从不信任，总是验证，目前这么理念想法比较超前，用户体验因为总是要验证，所以体验比较差。答案：B78.【atrust】下列关于aTrust免认证应用说法错误的是A、免认证应用需要域名才能使用B、免认证应用也需要鉴权，认证通过才可访问C、免认证应用一般不推荐使用，适用于发布认证服务器的登录入口地址D、免认证应用不支持发布C/S类资源答案：B79.【atrust】零信任aTrust对接飞书，以下说法错误的是?A、通过oauth2票据认证对接，可对接飞书，实现用户扫码登录PC端，访问内网应用。B、对接飞书后，可实现用户在手机端登录飞书app，访问H5应用，且不需要再次经过aTrust认证，即可单点访问应用C、对接飞书后，可使用用户在PC端登录飞书软件，访问H5应用，且不需要再次经过aTrust认证，即可单点登录访问D、对接飞书，要求客户必须提供aTrust控制中心的域名和证书，否则会对接失败答案：D80.【atrust】下列关于安全加固场景关于三防护说法不正确的是A、安全加固场景中账号安全是要从多因素认证+密码安全防护+防爆破+行为安全(基于终端、地点、时间)多个方面来进行防护B、终端安全是从基础终端安全(准入/桌管/杀毒)+进程安全+网络隔离+终端数据防泄露多个方面来进行防护。C、SDP设备安全是从端口安全(端口隐藏)+中间件/框架安全(越少、越简单就越安全，防漏洞)+认证接口安全(防绕过)+API接口参数安全(参数防渗透)+API暴露面安全(最小化白名单，防攻击)+API逻辑安全(防越权)+源码安全(SDL审计)多个方面来提升D、访问安全是从访问控制+权限控制+增强认证(基于访问、权限控制及处置)多方面进行安全加固答案：D81.【atrust】关于认证策略，下列说法错误的是?A、一个用户只能属于一个认证策略，新的认证策略管理用户会覆盖原来的认证策略B、增强认证中的“账号弱密码登录”针对的账号是外部用户账号C、移动端也可以使用自适应认证方式D、如果管理员在【认证策略-增强认证】中，开启了”账号首次登录“、“账号在该终端首次登录“和”账号在非常用地点登录的条件“，只会触发“账号首次登录”时，不会触发”账号在该终端首次登录“和”账号在非常用地点登录“答案：C82.【atrust】关于系统默认的本地用户管理目录功能实现和配置，下列说法错误的是?A、本地用户管理的用户名不支持自动忽略大小写B、本地用户管理可以实现用户的批量导入、导出；用户批量导出后，密码会加密成*号，不允许将其他aTrust平台导出的用户直接导入C、本地用户管理可以实现精细化授权，可通过组织架构，角色和用户针对性的进行应用授权D、系统有自带的本地用户目录，也可以创建自定义本地用户目录答案：A83.【atrust】客户黄工最近在测试我们公司的aTrust，他对于用户风险十分关注，刚好我们平台有用户上线风险通知这个功能，以下那些场景无法进行短信告警通知?A、账号首次登录场景B、账号在某终端首次登录场景C、异常时间段登录D、账号爆破锁定场景答案：C84.【atrust】以下提供深信服零信任aTrust访问隧道资源数据流程顺序，以下选项中的访问顺序正确的是?(1)双击打开aTrust客户端，输入接入地址；(2)登录aTrust客户端，进行身份认证；(3)控制中心验证用户身份的合法性；(4)认证成功后，发起隧道资源访问，aTrust客户端与代理网关建立隧道连接；(5)隧道连接建立成功，代理网关基于连接会话中token信息进行鉴权；(6)鉴权成功后，代理网关进行请求转发；(7)业务系统返回请求结果，代理网关返回给终端，完成访问A、1-2-3-4-5-6-7B、1-3-4-5-2-6-7C、1-4-3-2-5-6-7D、1-2-3-6-4-5-7答案：B85.【atrust】关于隧道资源和Web资源的异同点，下列说法错误的是?A、隧道资源默认使用的是TCP441端口，Web资源https协议使用的是TCP443端口B、隧道资源和Web资源发布后，都支持使用域名在用户不登录的情况，直接访问该业务系统C、访问隧道应用需要安装客户端，访问Web资源若使用私有DNS的功能也需要安装客户端D、Web资源支持URL级别的访问控制，而隧道资源不支持答案：B86.【atrust】客户黄工使用我们的Web应用，发现有一些站点打不开，以下排查思路中说法错误的是?A、检查互联网外部PC使用nslookup解析域名，是否能直接解析到web服务器内网地址B、检查代理网关和Web应用的真实IP地址是否联通，若代理网关不能访问则检查网络连通性C、检查代理网关是否能解析web资源的后端服务器域名地址，若不能解析，有可能是跟DNS服务器之间的网络存在故障。D、检查本地PC使用nslookup解析域名，是否能解析到代理网关公网地址答案：A87.【atrust】关于aTrust的授权申请，下列说法正确的是A、申请授权一定要设备连接互联网B、申请授权需要获取设备IDC、商用授权为设备发货自带，无法通过统一授权中心进行离线授权D、测试授权申请试用时常默认为一个月答案：B88.【atrust】客户黄工使用的是AD域对接aTrust，使用AD域中的账号登录，希望登录时可以实现以下需求：我们公司都是长沙人在用，非长沙的IP不能接入aTrust登录的账号不能是弱密码，若是弱密码则不允许他登录登录的时间需要是在早上7点到晚上12点才能登录，非这个时间段登录需要进行短信认证下列实现这些需求说法错误的是?A、需求1可以在上线准入策略中设置允许登录的城市为长沙市实现B、需求2可以在认证策略中的增强认证中勾选用户密码属于弱密码的条件C、需求3可以在认证策略中的增强认证中设置异常时间为晚上12点到早上7点，这个时间段登录的进行短信增强认证D、需求3可以在上线准入策略中设置允许登录时间为早上7点到12点，不在这个时间段的进行灰度处置，灰度处置的补救动作为进行短信认证答案：B89.【atrust】关于atrust与腾讯云做短信认证对接的重要参数要求中，说法错误的是()A、需要获取到腾讯云的模板CODEB、需要获取腾讯云的SDKAppIDC、需要获取腾讯云的SecretKeyD、需要获取腾讯云的Secretld答案：A90.【atrust】关于atrust与阿里云做短信认证对接的重要参数中，说法错误的是()A、需要获取到阿里云的SDKAppIDB、需要获取到阿里云的模板CODEC、需要获取到阿里云的AccessKeyIDD、需要获取到阿里云的AccessKeySecret答案：A91.【atrust】下列关于移动端应用封装接入说法不正确的是A、深信服零信任EMMSDK集成封装场景下，用户的认证方式支持CAS和OAUTH2认证B、当用户关联了任意移动应用中心中的自动封装应用、SDK生态应用、H5应用或普通应用时，其aTrustapp界面的应用中心将不会显示，取而代之的是工作台C、设备封装应用时，需要访问互联网的封装服务器(地址https：/ew.sangfor.：60330)，须放通相关网络权限D、做封装应用时，建议使用客户提供的企业签名证书，设备内置的iOS证书存在容易被封的风险，且只有90天试用期，过试用期后，应用界面会弹证书过期的告警答案：A92.【atrust】选项中关于本地用户说法错误的是()A、所属本地认证服务器的每个用户只能选择一种认证策略，新增的认证策略会覆盖历史的认证策略B、目前aTrust平台支持将特定版本的VPN用户批量导入到aTrust的本地用户C、本地用户无法使用精细化的应用授权，只能继承来自组织架构的应用或者继承来自群组的应用D、本地用户在使用短信认证作为二次认证时，需要填写上对应的手机号，用于接收短信验证码答案：C93.【atrust】客户黄工之前有使用我们的SSLVPN设备，现在了解了零信任后，想使用aTrust替换SSLVPN，你去实施的时候下列操作错误的是?A、客户设备是7.1版本的SSL设备，可以直接将配置文件导入aTrust设备中B、导入SSL的配置可以导入用户、用户组、资源、资源组、角色、认证策略C、导入SSL的配置需要在控制中心和代理网关分别导入D、使用全新的域名和端口或公网IP和端口接入aTrust是替换SSL最容易回退的方案答案：A94.【atrust】关于SNMP配置，下列说法错误的是?A、SNMP的出错日志保存在/hislog/log/snmp/snmp.logB、平台支撑的snmp协议类型有SNMPv1，SNMPv2，SNMPv3，SNMPTRAP；一共四种。C、控制中心和代理网关已做联动，SNMP的配置，需要在控制中心与代理网关同时配置D、目前aTrust设备的SNMPTrap只能传送一些系统级别的告警信息，包括告警和系统服务器重启等答案：C95.【atrust】零信任aTrust对于资源发布，下列说法错误的是?A、远程办公接入场景，控制中心主要是承担用户认证，鉴权和策略下发的功能B、代理网关主要是承担用户访问内网应用的流量C、用户上线零信任后，控制中心会下载临时路由和用户资源下发给用户终端D、无法发布泛域名资源答案：D96.【atrust】关于用户应用授权继承方式中，下列说法错误的是?A、可继承来自组织架构的应用B、可继承来自群组的应用C、可继承来自角色的应用D、针对外部用户目录，用户无法继承来自组织架构的应用答案：D97.【atrust】关于可信应用，下列说法错误的是?A、可信应用的防护策略只能添加到windows、macOS、linux系统中；不支持IOS和Android系统。B、可信应用的进程标签有以下四种：常见攻击工具、孤立进程、未签名进程、未知。C、孤立进程是指访问应用的人数≤10的进程。D、可信应用的黑客工具进程不能在web页面手动自定义添加。答案：D98.【atrust】下列关于CAS票据认证，说法不正确的是?A、需要把代理网关的地址注册到CAS的白名单中，不然会提示应用未注册B、若同时配置了CAS票据认证和Oauth2认证，用户打开aTrust页面会重定向到CAS认证服务器上C、配置CAS票据认证，接受字段只支持XML和Json的格式，不支持字符串的格式D、CAS对接后，访问aTrust的客户端接入地址，不用额外配置，会自动重定向到CAS系统到登录页面认证答案：D99.【atrust】高校场景下，不能实现的场景有?A、通过零信任aTrust代理全校师生访问知网，图书馆等资源，访问这些资源时地址将会被改写。B、可实现师生代理访问内网教务系统，并对接统一身份认证平台CAS，实现访问教务系统内的应用单点登录。C、可通过零信任aTrsut实现内外网用户统一访问，不论用户是在校内还是在校外，不需要经过aTrust接入认证，也能访问相关资源D、客户有访问内网的敏感业务需求，如内网设备运维，财务系统等，可将代理网关的441端口映射至公网，实现用户在家办公运维校内设备。答案：C100.【atrust】以下TOTP动态令牌认证适用场景中，说法错误的是()A、使用TOTP动态令牌认证做辅助认证B、使用TOTP动态令牌认证做主认证C、在认证策略中做增强认证和可信终端验证D、在上线准入策略和应用防护策略中做补救动作认证答案：B101.【atrust】关于atrust做短信认证的说法中，错误的是()A、阿里云/腾讯云在申请短信签名和短信模版需要通过官方审核，建议提前联系客户申请好B、可以使用阿里云、腾讯云验证码认证作为二次认证C、建议在atrust设备的“系统配置-日期与时间”中，启用自动与时间服务器同步功能，避免系统时间与正常时间不一致而导致认证失败D、atrust只能与阿里云腾讯云对接做短信认证答案：D102.【aTrust】关于钉钉认证，以下场景无法实现的是?A、钉钉扫码认证登录atrustB、钉钉APPH5微应用单点登录(适用于web应用/隧道应用)C、钉钉APP扫码登录PC端aTrust和访问内网业务(WEB应用)D、钉钉APP拉起MiniConnectAPP单点登录(适用于隧道应用答案：B103.【atrust】一天，产品经理彭工拉着你沟通需求，然后打开文档发现客户需求有以下四点，下面需求我们不能实现的是?A、客户有自己的统一认证平台，使用的是Oauth2.0协议，使用的是授权码的模式，aTrust和统一认证对接实现接入aTrust后访问其他业务系统可以单点登录B、客户希望使用下属A分公司使用谷歌动态令牌认证，下属B公司使用腾讯云的短信认证，希望aTrust支持针对不同用户组设置不同认证策略C、客户的统一认证平台有LDAP接口，希望实现统一认证的用户可以导入到aTrust设备中，且aTrust的用户组织架构发生变化时，会同步到统一身份认证平台。D、客户希望统一认证平台未导入到aTrust设备中的用户也能登录aTrust。答案：C104.【atrust】下列关于动态令牌认证说法，错误的是()A、raduis动态令牌认证只能作为二次认证，不支持作为主认证B、动态口令是根据专门的算法生成一个不可预测的随机数字组合，一个密码使用一次有效C、radius令牌认证不支持在增强认证使用D、radius认证服务器地址配置是基于主备认证服务器的概念，第一个地址认证请求超时后，会到第二个地址去请求，如果认证服务器响应后，将会到该认证服务器认证，不会再去下个认证服务器地址请求答案：C单选题1.【atrust】零信任aTrust对于资源发布，下列说法错误的是?A、远程办公接入场景，控制中心主要是承担用户认证，鉴权和策略下发的功能B、代理网关主要是承担用户访问内网应用的流量C、用户上线零信任后，控制中心会下载临时路由和用户资源下发给用户终端D、无法发布泛域名资源答案：D2.【atrust】客户黄工是企业微信的忠实用户，一天销售给黄工推荐了aTrust设备给他做远程办公配合企!们aTrust有一些疑问，下列疑问和回答说法错误的是?A、Q:我想在登录你们aTrust设备的时候，直接通过企业微信扫码就可以登录，你们可以搞不?B、Q:我想把我内网的应用通过你们aTrust设备收缩到内网，你们可以做到加密吗?C、Q:用企业微信访问内网业务系统支持手机和电脑版本的企业微信吗?A:可以的，PC和手机的企业微信都可以使用D、Q:我要做企业微信对接，并通过企业微信访问内网应用的话，需要我准备什么1咱们设备需要能够上网和企业微信通信2咱们设备必须需要有域名，且将A记录指向Proxy3获取企业微信的后台权限，需要在上面创建应用并获取相关参数答案：D3.aTrust部署完成后，需要对设备进行升级，下列说法错误的是A、2.1.17版本之后使用sftp协议连接设备，上传升级包，使用默认账号为quicksftp/SangforSDP1220B、2.1.17之前版本建议在后台升级，2.1.17及之后版本建议web升级C、连接设备后台需要使用ssh连接设备，输入升级命令D、2.1.17版本之后设备升级有快照的功能，升级后可以进入快照管理对设备进行回退答案：D4.【atrust】某客户需求:内网中有一个业务地址段/24，应用端口有443,80,4000-44330、一个门户页面https:lsangfor.atrust.，真实地址42、远程桌面连接0。下面说法错误的是A、为了配置方便可将业务地址段/24网段使用隧道模式统—发布B、门户页面https:/lsangfor.atrust.可用web应用发布也可用隧道应用发布C、远程桌面连接0必须使用隧道模式发布，也可发布隧道域名资源，并在控制中心的网络管理上写入hostt析，供代理网关解析。D、．有隧道模式发布的应用，必须安装客户端，且如果在公网上访问隧道应用必须将sdpc的441端口映射到公网答案：D5.【atrust】下列关于aTrust的功能说法错误的是A、SPA功能可以隐藏发布到互联网的内网业务系统，但是aTrust设备发布到互联网的端口服务没有办法隐藏B、权限基线功能分为三个阶段，采集阶段，试运行阶段和正式运行阶段C、可信应用可以实现访问该业务系统的时候只允许使用授信的程序访问，不授信的程序无法访问该业务系统D、aTrust可以周期性的检测终端环境是否满足要求，而不是只在登录时检测答案：A6.【atrust】下列关于UEM沙箱办公接入场景说法正确的是A、关于工作空间准入策略功能，截至到2.2.4版本，只适用于windows平台、Mac平台;Linux系统暂时不支持。B、作空间准入策略的处置方式有两种:禁用空间隔离效果，隐藏空间入口:此模式下工作空间的网络隔离失效，空间关联的应用将允许在个人空间访问;.当用户关联的所有空间都禁用时，相当于用户未关联任何空间(个人空间网络隔离规则不会生效，终端将不会占用UEM标准版授权)保持空间隔离效果，隐藏空间入口:此模式下工作空间的网络隔离仍有效，空间关联的应用将无法访问C、程序安装名单的工作原理是:管理员把程序安装包上传到程序安装名单中后，用户在工作空间安装这个程序时，UEM会把其安装文件释放到个人空间中，这样就等同于在个人空间中安装程序，从而解决再特殊环境下程序安装问题D、在一些很严格的场景下，程序安装包的下载地址只能在工作空间才能访问，而且管理员设置了策略不允许用户把文件从工作空间导出到个人空间，此时就导致了用户只能在工作空间安装这个程序，但再无痕模式下不适用且强制安装可能会引发系统问题，此情况下应用程序安装名单解决答案：A7.【atrust】下列关于安全加固场景的不属于终端安全配置的是?A、可信应用的防护策略只能添加到windows、macOS、linux系统中;不支持IOS和Android系统。B、EDR联动阻断C、UEMPC端沙箱D、SPA业务隐身答案：D8.【aTrust】关于atrust对接认证，下列说法错误的是?A、对接CAS认证服务器时，需要在CAS认证服务器上，将atrust地址加白，加白的地址为https:l/[aTrust客户端接入地址域名.端口]/passport/v1/auth/casB、对接钉钉认证时，扫码登录时需要填写回调域名，地址为Https://sdpc.sangforts.ink:443/passport/v1/auth/dingdingQrcodeC、钉钉miniconnect场景，实现用户点击应用后拉起miniconnect认证建立隧道，并访问htp:3,配置为:Https:/lSDP接入地址/portal/dingtalk.html#redirecturl=http%3A%2F%2F3D、aTrust对接任何第三方认证服务器时，都需要控制中心!综合网关获取账号密码，并传送给第三方认证服务器，以此来实现用户登录认证上线。答案：D9.3【atrust】以下哪些功能需要安装客户端才能使用A、权限采集B、WEB应用中的私有DNSC、检测访问WEB应用的浏览器类型D、WEB应用水印答案：B10.【atrust】零信任aTrust对接飞书，以下说法错误的是?A、通过oauth2票据认证对接，可对接飞书，实现用户扫码登录PC端，访问内网应用。B、对接飞书后，可实现用户在手机端登录飞书app，访问H5应用，且不需要再次经过aTrust认证，即可单点访问应用C、对接飞书后，可使用用户在PC端登录飞书软件，访问H5应用，且不需要再次经过aTrust认证，即可单点登录访问D、对接飞书，要求客户必须提供aTrust控制中心的域名和证书，否则会对接失败答案：D11.【atrust】关于aTrust的授权申请，下列说法正确的是A、申请授权—定要设备连接互联网B、申请授权需要获取设备IDC、商用授权为设备发货自带，无法通过统—授权中心进行离线授权D、测试授权申请试用时常默认为一个月答案：B12.【atrust】aTrust单臂上架好了之后，需要互联网访问接入，此时你的操作哪项是不符合互联网接入要求的A、需要将控制中心的https接入端口（默认TCP443)端口映射到互联网，并在aTrust上设置接入地址B、发布Web资源，需要使用HTTPS标准端口访问Web资源，则需要代理网关的443端口映射到互联网C、发布隧道资源，需要使用ssh标准端口访问隧道资源，则需要代理网关的22端口映射到互联网D﹒发布隧道资源，需要使用RDP标准端口访问隧道资源，则需要代理网关的441端口映射到互联网答案：C13.【atrust】关于Workspace办公接入场景核心需求，以下选项错误的是?A、安全可信B、极简运维C、良好体验D、追踪溯源答案：D14.【atrust】下列关于UEM沙箱办公接入场景说法正确的是A、工作空间进程和个人空间进程可访问的目标地址范围默认相互隔离，即工作空间进程只能通过零信任网关访问该空间和用户关联的隧道应用，其他请求会被拦截B、工作空间进程和个人空间进程可访问的目标地址范围默认相互隔离，WEB应用也受影响，只能在个人空间或者工作空间进行访问。C、程序运行限制功能是说当开启程序运行限制功能后，则将禁止所有程序运行(该限制对Windows的常用自带程序无效)，此时需要在程序运行限制的功能配置界面手动添加允许运行的程序后，对应程序才可以在该工作空间中运行D、程序仓库是为工作空间的“程序运行限制”这一功能服务的，在工作空间开启程序运行限制后，默认禁止任何进程运行(该限制对Windows的常用自带程序无效)，此时需要在程序运行限制的功能配置界面手动添加允许运行的程序后，对应程序才可以在该工作空间中运行答案：B15.atrust关于atrust在各过程提供的安全保障中，说法错误的?A、业务发布过程中可采用SPA单包授权机制，所有终端先发起认证请求，再进行受信校验，通过认证后才能连接业务B、认证接入过程可采用动态自适应认证、终端动态环境检测、终端进程可信等方式检测终端认证接入的安全性C、权限控制过程，采用动态权限控制。基于身份、环境、行为变化，动态收缩权限不同敏感度业务采取不同级别访问控制D、行为管理过程通过集成第三方安全能力，多源信任评估访问行为安全审计、分析异常行为，动态处置、灰度处置。答案：A16.【atrust】零信任aTrust替换SSLVPN场景中，导入出现报错信息:"code":10000000,"message""pleaseapecifyresourceNodeArea",可能是因为什么原因?A、上传的SSLVPN配置文件有错误B、零信任aTrust版本不兼容C、零信任aTrust的代理网关区域节点被更改了，但导入时默认选择了默认区域节点，需要使用参数指定区域节点D、可能是因为SSLVPN设备低于7.5版本，同时零信任aTrust设备在导入是输入参数错误，导致的。解决办法就是升级SSLVPN和升级零信任aTrust设备再重新导入。答案：C17.【aTrust】下列关于零信任SPA的简单数据流，下列说法错误的是?A、安装客户端后，输入客户端接入地址，会被客户端的地址引流，并解析为/16中的某一个B、用户客户端发出UDP敲门包后，如果敲门成功，控制中心会关闭防火墙C、如果敲门失败了，用户会看到请求访问链接被拒绝D、若多个用户出口共用一个出口IP地址，那么敲门成功后，所有的用户都能扫描到aTrust端口答案：B18.【atrust】下列关于零信任的核心思想，说法错误的是A、网络中的位置不足以决定网络的可信程度B、所有的设备、用户和网络流量都应当经过认证和授权C、安全策略必须是动态的，并基于尽可能多的数据源计算而来D、应用之间必须建立区域，以对抗不同的威胁答案：D19.【atrust】下列关于移动端应用封装接入说法不正确的是A、深信服零信任EMMSDK集成封装场景下，用户的认证方式支持CAS和OAUTH2认证B、当用户关联了任意移动应用中心中的自动封装应用、SDK生态应用、H5应用或普通应用时，其aTrustapp界面的应用中心将不会显示，取而代之的是工作台C、设备封装应用时，需要访问互联网的封装服务器(地址https:lew.sangfor.:60330)，须放通相关网络权限D、做封装应用时，建议使用客户提供的企业签名证书，设备内置的iOS证书存在容易被封的风险，且只有90天试用期，试用期后，应用界面会弹证书过期的告警答案：A20.【aTrust】下列关于SPA的说法错误的是A、SPA即单包授权，通过对连接服务器的所有数据包进行认证授权，服务器认证通过之后，才会响应连接请求。以此实企业业务的网络隐身，从网络上无法连接、无法扫描。B、启用UDP敲门，需同时将要隐藏的服务器端口在公网上做TCP和UDP协议的端口映射，否则将无法访问C、SPA目前支持第三代，即UDP+TCP敲门。其中UDP敲门可实现端口隐藏，TCP敲门是减缓DOS攻击D、用户使用UDP敲门成功后，同一环境下的用户安装一个普通客户端也能正常接入答案：D21.【atrust】关于认证策略，下列说法错误的是?A、一个用户只能属于一个认证策略，新的认证策略管理用户会覆盖原来的认证策略B、增强认证中的“账号弱密码登录”针对的账号是外部用户账号C、移动端也可以使用自适应认证方式D、如果管理员在【认证策略-增强认证】中，开启了"账号首次登录"、“账号在该终端首次登录"和"账号在非常用地点登录的条件“，只会触发“账号首次登录"时，不会触发”账号在该终端首次登录“和"账号在非常用地点登录”答案：C22.【atrust】高校场景下，不能实现的场景有?A、通过零信任aTrust代理全校师生访问知网，图书馆等资源，访问这些资源时地址将会被改写。B、可实现师生代理访问内网教务系统，并对接统—身份认证平台CAS，实现访问教务系统内的应用单点登录。C、可通过零信任aTrsut实现内外网用户统—访问，不论用户是在校内还是在校外，不需要经过aTust接入认证，也能访问相关资源D、客户有访问内网的敏感业务需求，如内网设备运维，财务系统等，可将代理网关的441端口映射至公网，实现用户在家办公运维校内设备。答案：C23.【atrust】以下关于自适应访问控制的功能说明