深信服PT1-AF认证题库

深信服PT1-AFQ1[AF]T一代防火墙与其他品类防火墙对比，优势功能说法错误的是（）A.对比UTM,可以提供更强的性能B.对比包过滤防火墙，提供应用层的防护能力C.对比IDS,提供处置拦截的能力D.对比WAF,提供双向代理的能力ANSWER：DQ2[AF]防火墙按技术划分，主要可以分为（）等三大类型？（）A.包过滤、入侵检测、数据加密B.包过滤、入侵检测、应用代理C.包过滤、状态检测、入侵检測D.包过滤、状态检测、应用代理ANSWER：DQ3[AF]对新建的应用连接，预先设置安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成规则表。対该连接的后续数据包，只要符合规则表就可以通过。这种防火墙技术称为？（）A.包过滤技术B.状态检测技术C.代理服务技术D.入侵检测技术ANSWER：BQ4[AF]关于深信服下一代防火墙的核心价值说法，不包含（）A.提供健康的上网管理B.提供安全全面可视的能力C.提供业务安全全面防护的能力D.提供未知威胁抵御的能力ANSWER：AQ5[AF]防火墙按结构划分，下列不属于此类的是A.单一主机防火墙B.路由集成防火墙C.分布式防火墙D.机柜式防火墙ANSWER：DQ6[AF]在防火墙的高可用性技术中，下列哪些是非常少见的（）A.集群B.主备C.多机D.冷备ANSWER：AQ7[AF]用户采购防火墙部署在数据中心出口，下联数据中心汇聚交换机，业务主机同一网段都接入此交换机。下列防护防火墙不具备的是（）A.互联网区域到数据中心业务主机的访问数据B.数据中心内部各业务主机之间的互访数据C.办公区域到数据中心业务主机的访问数据D.数据中心业务主机到互联网的访问数据ANSWER：BQ8[AF]从目前主流的传统防火墙来看，下列哪项不能做为应用控制策略（ACL）的可控制项（）A.IPB.端口C.路由D.区域ANSWER：CQ9[AF]T列关于目前主流厂商包过滤防火墙的说法，不准确的是（）A.主要工作在网络层和传输层B.可以支持路由转发功能C.支持自动学习后生成拦截动作D.一般有处理速度快，价格便宜的优点ANSWER：CQ10[AF]T列关于入侵检测系统的说法，不准确的是（）A.常见于串接部署，对流经设备的流量进行分析B.需要更新设备上的相应规则库C.一般不支持拦截所检测到的风险行为D.工作范围可涵盖L2-L7层ANSWER：AQ11[AF]关于防病毒网关和传统防火墙的对比说明，下列说法不准确的是（）A.防病毒网关更关注于病毒的过滤，可阻断病毒文件的传播B.防病毒网关在ISO七层模式中的工作范围要大于传统防火墙C.防病毒网关一般也具备应用控制功能模块D.防病毒网关开启杀毒功能后，在处理速度上，较传统防火墙要快ANSWER：DQ12[AF]WEB应用防火墙，主要是针对WEB站点进行深入防护，下列哪项功能不是当前主流WEB防火墙的重点防护方向（）A.针对weblogic的漏洞有相应防护能力B.针对webshell上传有相应的防护能力C.针对挖矿病毒有相应的防护能力D.针对CC攻击有相应的防护能力ANSWER：CQ13[AF]关于NGFW（下一代防火墙）和UTM（统一威胁管理）的差异说明，说法不准确的是（）A.UTMI作在L2-L4层，NGFW工作在L2-L7层B.UTM对经过的数据包是串行解析处理，NGFW是并行解析处理C.UTM-般不带WAF功能，NGFW一般带有WAF功能D.相较UTM,NGFW的处理性能要更强ANSWER：AQ14[AF]基于当前的外部威胁环境，下列哪项不是传统安全建设的弊端（）A.成本比较高，要采购很多各类的安全产品B.防护全面性不够，无法防护到终端侧的安全C.运维比较难，各个产品及厂商的日志独立，无法综合分析D.数据处理效率比较低，数据交互要经过多套安全产品的串行处理ANSWER：BQ15[AF]T列哪项不是深信服下一代防火墙的核心价值点（）A.可以提供全面的风险可视化，简化运维，快速定位风险B.提供企业业务全生命周期链的防护，包括从事前、事中、事后的整体防护C.提供企业内网全面的防护能力，网、端、东西向流量全方位防护D.提供应对未知威胁的防护能力，应对不断变化的外部威胁ANSWER：CQ16[AF]深信防火墙实现从“事前"、“事中”、"事后"的整体防护，其中下列哪些功能不属于事中的防护A.业务资产识别管理B.Dos/Ddos攻击防护C.漏洞攻击防护D.WAF攻击防护ANSWER：AQ17[AF]为构建云端、网端、终端全方位立体化的安全防护体系，深信服下一代防火墙可与其他产品进行联动，形成整体的防护，下列不属于该体系中的行为是（）A.联动云图，实现安威胁情报快速更新补充B.联动云图，实现未知威胁精准分析判断C.联动SSL,实现终端接入安全可控D.联动EDR,实现终端安全快速处置闭环ANSWER：CQ18[AF]单进单岀网桥的环境下，为什么AF推荐使用虚拟网线接口部署？（）A.虚拟网线接口是普通的交换接口B.虚拟网线接口不需要配置IP地址C.虚拟网线接口不支持路由转发D.虚拟网线接口转发数据帧时，无需检查MAC表，直接从虚拟网线配对的接口转发ANSWER：DQ19[AF]客户处新采购一台AF放在出口，且内网对外发布的服务器，希望服务器可以直接配置公网地址，下述哪种部署模式最合适？（）A.路由模式B.透明模式C.虚拟网线模式D.混合模式ANSWER：DQ20[AF]下列功能中，AF旁路部署时不支持的是？A.僵尸网络B.DNS代理C.WEB应用防护D.实时漏洞分析ANSWER：BQ21[AF]T列有关AF接口与区域的说法中，错误的是？A.AF的一个路由口下可以添加多个子接口，且路由接口的IP地址不能与子接口的IP地址在同网段B.AF的一个区域可以包含多个接口，一个接口也可以属于多个区域C.AF的虚拟网线区域只能包含虚拟网线接口，不能包含透明接口和三层接口D.单进单出透明部署情况下，可以通过配置VLAN接口IP来对设备进行管理ANSWER：BQ22[AF]关于AF旁路部署的说法错误的是？（）A.不需要单独配置管理接口B.需要开启旁路reset功能，才能实现阻断C.防护策略对FTP服务器有效D.设备宕机也不会对现有业务造成影响ANSWER：AQ23[AF]关于AF链路故障检测，下列说法正确的是？A.链路故障检测最多可配置两组IP,每组可配置8个IPB.任何一组内的某个IP检测不通即判定链路故障C.任何一组内的所有IP检测不通才判定链路故障D.多组内的所有IP检测不通时才判定链路故障ANSWER：CQ24[AF]AF的多线路负载不支持以下哪种方式？（）A.轮询B.优先使用前面线路C.加权最小流量D.随机HASHANSWER：DQ25[AF]客户购买AF主要用于做上网NAT,同时作为内网DHCP服务器，请问什么部署模式可以满足客户需求？（）A.路由模式B.透明模式C.旁路模式D.虚拟网线模式ANSWER：AQ26[AF]目前AF的接口，根据工作的层面，可以划分的区域有（）A.三层区域B.镜像区域C.二层区域D.虚拟网线区域ANSWER：BQ27[AF]T列哪项操作是目前AF的MANAGE口可进行的操作（）A.改为透明模式的接口，支持透明部署B.禁用该接口，需要的时候再启用C.添加客户的IP地址，做为管理地址D.删除该接口，不再使用ANSWER：CQ28[AF]关于AF物理接口配置路由模式情况下，相关功能配置，说法错误的是（）A.不能在界面直接调整接口的MTUB.配置的下一跳网关不会生成8个。的缺省路由C.勾选的WAN属性，会影响到流控、流审功能的使用D.设置的线路带宽，与流控功能没有关系ANSWER：AQ29[AF]关于AF路由接口配置静态地址和配置adsl的差异，说法正确的是（）A.都能修改接口MTUB.都能修改接口的MAC地址C.都能自动生成默认路由D.都能可选做为WAN属性接口ANSWER：CQ30[AF]关于镜像接口的说明，说法错误的是（）A.不能配置IP地址B.只能划分到二层区域C.允许同时多个镜像口存在D.可以划分到对应VLANANSWER：DQ31[AF]路由属性的接口，都有链接故障检测的功能，关于链路检测功能的说法，错误的是（）A.链路检测结果支持做为双机切换的条件B.链路检测结果支持做为接口是否启用的生效条件C.链路检测结果支持做为静态路由是否生效的条件D.链路检测结果支持做为策略路由选路的条件ANSWER：BQ32[AF]端口聚合可以提高逻辑笹路带宽，同时实现链路冗余，下列关于AF端口聚合的说法，错误的是（）A.端口聚合目前最多支持4个B.端口聚合目前不支持旁路镜像口C.端口聚合目前不支持虚拟网线口D.端口聚合支持静态和LACP两种ANSWER：CQ33[AFjvlan接口是一种逻辑接口，下列关于vlan接口的说法，错误的是（）A.vlan接口属于路由属性接口，可配置IP地址B.vlan接口可以支持链路探测功能C.vlan接口只能划分到三层区域D.vlan接口支持adsl拨号ANSWER：DQ34[AF]AF通过区域，定义并归类接口，在各类安全策略中引用区分不同区域的安全等级以及安全方向，下列关于区域的说法，错误的是（）A.一个物理接口可以划分到多个同安全级别的区域内B.区域根据接口转发类型分为二层、三层、虚拟网线三类C.可以把三个路由属性的接口划入到同一个三层区域中D.可以通过区域关闭该区域内接口对外提供的控制台登录权限ANSWER：AQ35[AF]客户采购了一台AF部署在互联网出口，需要进行安全防护同时，还需要替换出口路由器，充当出口网关设备。在此部署下，AF下列哪个操作是非必须的（）A.内网用终端配置私网IP需要上网，需要在AF上配置SNATB.内网服务器配置私网地址对外发布业务，需要在AF上配置DNATC.内网终端和服务器的网关都在同一个核心交换机上，要实现互访，需要在AF上配置回包路由D.需要调整应用控制策略，默认AF是拦截所有数据通信ANSWER：CQ36[AF]客户采购了一台AF部署在互联网出口，在不改变用户网络结构的需求下，决定采用透明部署。在此部署下，AF下列哪个操作是非必须的（）A.AF自身需要上网，所以需要配置缺省路由B.需要调整应用控制策略，默认AF是拦截所有数据通信C.内网服务器配置私网地址对外发布业务，需要在AF上配置DNATD.AF如需被不同网段的终端管理，需要配置回包路由ANSWER：CQ37[AF]目前AF可以支持的动态路由协议中，不包括下列哪项（）A.OSPFB.RIPC.BGPD.EIGRPANSWER：DQ38[AF]在个别场景中，会要求AF旁路部署，在旁路部署下，下列说法错误的是（）A.旁路部署的优势是无论是上线还是设备故障，均不会影响到用户现有网络B.旁路部署可以实现当前设备所有安全功能的防护C.旁路部署不支持对UDP协议的拦截操作D.旁路部署一般需要有一个单独管理口来进行设备的管理ANSWER：BQ39[AF]当前AF的策略路由功能中，二列需求暂时不能实现的是（）A.出口有电信和联通两个出口，希望内网用户访问电信的数据走电信出口，访问联通的数据走联通出口B.出口两条互联网线路，希望两条线路正常时分别承载数据，故障时能实现互为备份C.出口两条互联网线路，内网两个部门，每个部门不同IP段，希望实现不同部门上网时，走不出的互联网出口D.出口两条互联网线路，对外发布了门户网站，希望实现访问网站域名时，电信用户自动跳转电信线路，联通用户自动跳转联通线路ANSWER：DQ40[AF]在.策略路由的使用过程中，有一些注意事项需要关注，但不包括下列哪项？（）A.AF的静态路由优先级要高于策略路由优先级B.多线路负载的策略路由，要求选择的接口开启链路故障检测C.配置策略路由后，必须要配置静态缺省路由，否则内网无法上网D.当有多条策略路由时，遵循从上往下匹配的原则，匹配到后不继续往下匹配ANSWER：CQ41[AF]T列哪个不是僵尸网络的危害？（）A.高级持续威胁B.本地渗透扩散C.敏感信息窃取D.加密主机文件ANSWER：DQ42[AF]局域网中如果某台计算机受到了ARP欺骗，那么它发出去的数据包中，（）地址是错误的?A.源IP地址B.目的IP地址C.源MAC地址D.目的MAC地址ANSWER：DQ43[AF]当用户通过域名访问某一个合法网站时，打开的却是一个不健康的网站，发生该现象的原因可能是？（）A.ARP欺骗B.DHCP欺骗C.TCPSYN攻击D.DNS缓存中毒ANSWER：DQ44[AF]Windows操作系统设置账户锁定策略可以防止？（）A.木马B.暴力破解攻击C.IP欺骗D.缓冲区溢出攻击ANSWER：BQ45[AF]针对AF的僵尸网络防护出现误判后，以下排除方式不恰当的是？（）A.单个终端出现僵尸网络误判问题，可在僵尸网络功能模块的高级配置中排除指定IP,保证单机访问正常B.针对外网某个域名连接访问出现误判，确保域名可信的情况下，在【僵尸网络】-【高级配置】中勾选【启用全局域名或IP排除】，填写上受信域名保存即可C.针对出现问题的终端，在日志中心查找对应僵尸网络日志，使用“添加例外”进行排除D.在设备配置页面的【系统】-【全局放行与封堵】-【放行名单】添加需要排除的URLANSWER：DQ46[AF]T列哪个不是AF的僵尸网络防护支持的功能？（）A.木马远控B.恶意域名重定向（蜜罐）C.邮件杀毒D.异常流量检测ANSWER：CQ47[AF]关于"计算机病毒"说法正确的是？（）A.计算机病毒是指被损坏的程序B.计算机病毒是指特制的具有破坏性的程序C.染过计算机病毒的计算机具有对该病毒的免疫性D.任何的计算机病毒都会感染其他的设备ANSWER：BQ48[AF]关于AF网关杀毒描述错误的是？（）A.解压技术B.文件识别技术C.单向流量检测D.加密协议解密杀毒ANSWER：CQ49[AF]下列哪个不是网关防病毒的扫描方式?（）A.字符扫描B.代理扫描C.流扫描D.文件扫描ANSWER：AQ50[AF]AF僵尸网络防护功能说法正确的是？（）A.恶意域名重定向功能要求AF设备路由部署B.僵尸网络默认启用恶意域名重定向C.恶意域名重定向功能要求AF设备能够上网D.恶意域名重定向的原理是恶意域名解析的IP地址将会被AF重定向成蜜確IP地址。通过监听对蜜罐地址的访问，即可定位内网感染僵尸网络病毒的真实主机IPANSWER：DQ51[AF]以下关于计算机病毒与蠕虫的特点比较的叙述中，正确的是？（）A.在存在形式上，蠕虫是寄生存在的B.在传染机制中，蠕虫是通过主要程序运行的C.在自我复制形式上，病毒一股是进行自我拷贝，而蠕虫一般是插入到其他程序中D.在触发机制中，蠕虫的触发是蠕虫本身ANSWER：DQ52[AF]发现一台被具有强烈传播性的病毒感染的终端后，首先应该？（）A.拔掉被感染终端的网线B.判断病毒性质、采用的端口C.在网上搜寻解决方法D.联系网络安全技术人员处理ANSWER：AQ53[AF]以下哪类网络攻击不属于DOS攻击？（）A.SYNFlood攻击B.ICMPFlood攻击C.IPSpoofing攻击D.TearDrop攻击ANSWER：CQ54[AF]T列关于SYNCookie说法错误的是？（）A.SYNCookie经常用来防御DOS攻击中的SYNFlooding攻击B.SYNCookie经常结合代理服务器一起工作C.SYNCookie可以防御DOS中釣重放攻击D.SYNcookie建立连接的过程是无状态的三次ANSWER：CQ55[AF]以下关于IDS和IPS说法正确的是？（）A.IDS适用于加密和交换环境，IPS不适用B.IDS和IPS都只能识别和记录攻击行为，并不能阻止攻击行为C.IDS和IPS都是主动检测方式D.IDS部署在网络中是并联部署，而IPS部署可以是串联和并联方式部署ANSWER：DQ56[AF]SQL注入是一种常见且危害很大的攻击方式，以下的攻击属于SQL注入的是？（）A./news.php7idE’orT='1B./news.php?id=1&netuseradminadmin/addC./news.php?id=1%3cscript%3econfirm（%27hello%2cworld!%27）%3c%2fscript%3eD./news.php?id=1=1ANSWER：AQ57[AF]某合作伙伴技术工程师小张拿到了一台AF测试设备准备去客户处测试WAF功能，配置业务防护策略时，没有看到WEB应用防护功能，请问可能的原因是？（）A.设备没有开通激活基础级功能模块B.设备没有开通激活增强级功能模块C.设备没有开通激活网关杀毒功能模块D.设备没有开通激活云端订阅功能模块ANSWER：BQ[AF]测试AF的DoS/DDoS防护的功能时候，下列哪一项不建议开启？（）A.未知协议防护类型B.IP数据分块传输防护C.SMURF攻击防护D.LAND攻击防护ANSWER：BQ58[AF]以下关于DoS攻击功能的说法，错误的是？A.DoS攻击也即拒绝服务攻击，攻击后可以使计算机或者网络无法提供正常的服务B.DoS攻击只能基于TCP和ICMP协议来攻击C.SYN泛洪是常见的DoS攻击手段，主要是利用TCP协议栈在两台主机间初始化连接握手的过程进行攻击D.匹配到SYN洪水攻击后，会自动封锁攻击IPANSWER：DQ59[AF]T列有关AF的WEB应用防护模板，能够实现的功能中，不包括以下哪项？（）A.隐藏FTP服务器的版本信息B.防止Web服务器遭遇XSS攻古C.替换FTP服务器的出错页面D.防止Web服务器遭受口令暴力破解ANSWER：CQ60[AF]拒绝服务攻击破坏了下列哪项内容？（）A.服务的可用性B.信息的完整性C.信息的保密性D.信息的抗抵赖性ANSWER：AQ61[AF]通过TCP序号猜测，攻击者可以实施下列哪一种攻击？（）A.端口扫描攻击B.ARP欺骗攻击C.网络监听攻击D.会话劫持攻击ANSWER：DQ62[AF]驻留在多个网络设备上的程序在短时间内同时产生大量的请求消息冲击某Web服务器，导致该服务器不堪重负，无法正常响应其他合法用户的请求，这属于？（）A.DOS攻击B.DDOS攻击C.MAC攻击D.中间人攻击ANSWER：BQ63关于AF8017版本的杀毒功能不支持哪个协议（）A.HTTPB.FTPC.POP3D.ALGANSWER：DQ64[SSL]L3VPN资源不支持基于下列哪种协议的应用?()A：ICMPB：SMTPC：POPD：PPPOEANSWER：DQ65[AF]以下哪组HTTP请求方法默认都会被防火墙web应用防护拦截?APUT和MOVEB.GET和OPTIONC.POST和PUTD.HEAD和COPYANSWER：AQ66[AF]POC测试项目中，以下关于xhackI具的相关应用，理解错误的是()A.xhack应用场景中，xhack所有功能模块的使用，都不受AF部署模式的影响B.xhack应用场景中，关于靶机的部署，xhack还不能对接客户自2提供的靶机，只能对接我们对应搭配的靶机C.xhack应用场景中，关于xhack客户端和靶机连通性的校验，如果串接在中间的AF设备配置的是DNAT场景，AF需要针对靶机做端口映射，否则靶机的连通性校验不能成功D.xhack应用场景中，hack通过数据流检测进行的样本流回放，和通过“PcapPkt检测")进行的样本包回放，都支持自动修改样本自带的IP地址为测试环境的真实IP地址，使得在AF.上产生的攻击拦截日志中，看到的IP地址就是真实攻击测试环境的IP地址ANSWER：AQ67[AF]POC测试项目中，以下关于xhackI具的应用，理解错误的是A.在交付项目中，对于新上架部署的AF产品，想快速验证配置的安全策略是否正确，可使用xhack进行快速验证B.在POC测试项目中，客户想测试一-些POC功能用例，可使用xhack工具给客户做POC测试用例演示C.在POC的PK测试项目中，想通过打批量pcap包优势样本的方式，和友商PK我们某方面功能的拦截检出率，可使用xhackI具进行自定义批量pcap包优势样本的导入，并支持批量回放pcap包优势样本D.在日常的设备运维中，客户想了解当前网络环境中部署的AF对内网业务的安全防护状态是否良好，可使用xhack工具，过客户网络环境中部署的AF，向客户内网的业务进行模拟攻击，利用xhack工具自动生成对应的安全报告，并下载报告给客户做安全分析汇报ANSWER：DQ68[AF]关于地域访问控制与应用控制功能说法正确的是A.先匹配地域访问控制，再匹配应用控制B.先匹配应用控制，再匹配地域访问控制C.地域访问控制与应用控制策略是同时匹配D.先匹配的地址访问控制的拒绝之后，还是会匹配应用控制策略ANSWER：AQ69[AF]POC测试项目中，以下关于xhack工具靶机的安装，理解正确的是A.使用xhack的[安全数据流检测]中的"数据流检测"功能模块时,靶机的安装要求客户端和服务端都要安装xhack,且DNAT场景中，AF需要做端口映射B.使用xhack的[安全数据流检测]中的“PcapPkt检测"功能模块时，靶机的安装要求客户端和服务端都要安装xhack,且DNAT场景中，AF需要做全端口映射C.使用xhack的[安全数据流检测]中的“威胁情报检测"功能模块时，靶机的安装要求客户端和服务端都要安装xhack，且DNAT场景中，AF对于靶机的DNAT映射只能映射为80端口D.使用xhack的[实况靶场]中的"web实况攻击“功能模块时，靶机的安装要求客户端和服务端都要安装xhack,且DNAT场景中，AF对于靶机的DNAT映射只能映射为80端口ANSWER：AQ70[AF部署在互联网出口的AF无法针对以下哪种方向的流量进行安全防护?A.互联网区域访问内网服务区的流量。B.内网办公区访问内网服务器区的流量。C.内网办公区访问互联网区域的流量。D.内网服务器区访问互联网区域的流量。ANSWER：BQ71[AF]对于漏洞攻击防护拦截业务，使用下列哪种方法放通业务(不能影响到策略正常运行)是正确的:A.直接绕开设备B.删除漏洞攻击防护策略C.将源目的ip加入全局排除D.将拦截业务的规则id动作改成允许ANSWER：DQ72[AF]以下不是业务发布区域的服务器面临的威胁?A.业务内容被算改,植入非法文字、图片或链接，影响公司形象。B.发布应用上保存用于日常在线服务相关的敏感业务数据，容易被黑客觊觎导致数据泄露风险。C.用户通过互联网下载包含木马、后[]的文件，并横向扩散感染其他终端。D.业务存在漏洞、恶意链接，被监管单位检测通报。ANSWER：CQ73[AF]部署在数据中心出口的AF无法针对以下哪种方向的流量进行安全防护?A.互联网区域访问数据中心区域的流量。B.内网办公区访问数据中心区域的流量。C.内网办公区访问互联网区域的流量。D.数据中心区访问互联网区域的流量。ANSWER：CQ74[AF]安全运营中心可对当前设备的一些安全风险进行统-汇总后展示，而下列哪项事件不会被展示到安全运营中心A.设备开了直通功能.B.规则库序列号过期C.IP地址加入了白名单D.发现了失陷主机ANSWER：CQ75[AF]以下关于蜜罐技术的说法错误的是A.蜜罐技术的实现原理是:内网僵尸主机向内网DNS发起恶意域名解析->内网DNS经过AF向公网发起DNS解析->AF获取到恶意域名解析流量->AF主动将蜜罐地址作为解析地址回复给内网DNS->内网DNS转发给主机~>僵尸主机访问蜜罐地址->AF识别到真实的僵尸主机地址并作拦截处理B.旁路镜像模式不支持蜜罐功能C.蜜罐IP地址的设置，此IP地址必须是真实存在的，且不能于内网网段冲突，访问此IP的数据需要经过AFD.蜜罐技术是应用于内网存在DNS服务器的场景下，用于定位内网真实僵尸主机的IP地址ANSWER：CQ76[AF]以下关于AF双机说法不正确的是A.双机不能用eth0口作为业务口B.双机在接口不足的情况下，可以用eth0做心跳口C.备机没有加入网络监听的网口，对外发包同样会被抑制D.透明模式双机AF不支持STP,可能会存在广播风暴问题ANSWER：CQ77[AF]根据双机配置同步原理，以下说法正确的是A.初次双机的配置同步是增量同步B.双机组建完成之后修改设备配置，自动同步配置是增量同步C.双机组建完成之后修改设备配置，手动同步配置是批量同步D.手动同步功能不会立即同步ANSWER：B,CQ78[AF]以下关于AF双机配置说法正确的是A.AF建立双机后，使用PC直连备机MANAGE口无法登录WEB控制台B.AF仅能配置一个HAIP地址C.无法登陆备机状态设备的WEB控制台D.AF双机部署，只要启用配置同步，则所有非HA的接口IP都会同步ANSWER：DQ79[AF]AF高可用性配置双机口，双机口IP为/24，下列配置正确的是A.勾选[允许PING]B.勾选静态IP地址填写/24C.静态IP地址填写/24D.静态IP地址填写/24-HAANSWER：A,DQ80[AF]目前AF的接口，根据工作的层面，不可以划分的区域有A.三层区域B.镜像区域.C.二层区域D.虚拟网线区域ANSWER：BQ81客户新采购AF设备部署在出口，内网服务器配置私网地址，想实现在内网通过公网地址访问内网服务器，以下哪种方式可以实现A.目的地址转换B.双向地址转换C.源地址转换D.以上均可实现ANSWER：BQ82以下哪些功能要求接口是WAN属性A.流控B.VPNC.网关杀毒D.静态路由.ANSWER：A,BQ83[AF]以下关于AF接口的说法正确的是A如果接口设置为路由接口，并且是ADSL拨号，需要选上添加默认路由选项，并且该选项默认勾选B.eth0为固定的管理口，接口IP为10.251.251.251/24且无法删除无法修改无法新增C.聚合接口主备模式中，会取优先级最高的接口为主接口，其余为备接口D.一个路由接口下可添渤哆个子接口，且路由接口的IP地址可以与子接口的IP地址在同网段ANSWER：AQ84[基础VPN组网场景]SANGFORVPN组网，如果两个分支之间需要实现互相访问,可以用如下哪个技术解决分支之间互访的问题:A.隧道内NAT技术B.隧道间路由技术C.VPN内网权限技术D.在两个分支之间配置静态路由实现ANSWER：BQ85[基础VPN组网场景]客户的总公司和分公司之间网络环境中各有一台AF设备部署在内网中，此时如果客户需要措建一条标准IPSECVPN隧道实现总公司和分公司的数据能够保密的安全通信，建议使用下列哪种方式?A.ESP协议+传输模式B.ESP协议+隧道模式C.AH协议+传输模式D..AH协议+隧道模式ANSWER：BQ86[基础VPN组网场泉]客户内网部署了-台AF设备做标准IPSECVPN对接，现需要在出口防火墙_上放通相应协议和端口，以下需要放通的协议和端口号中，正确的是(A.A.IP协议号:50，51,端口:TCP1723，UDP1701B.B.IP协议号:47,50，端口:TCP1723，UDP1701C.C.IP协议号:50，51，端口:UDP4500，UDP500D.D.IP协议号:50,51,端口:TCP4009，UDP4009ANSWER：CQ87[基础VPN组网场景]以下关于本地子网的说法，正确的是:A.本地子网只有在单臂模式下才需要添加B.本地子网只有在网关模式下才需要添加C.本地子网在单臂和网关模式下都需要添加D.本地子网的添加与部署模式没有关系，只有总部和分支设备内网非LAN口直连网段需要与对端通信才需要添加ANSWER：DQ88[基础VPN组网场景]客户购买了一台AF设备,现需要对接第三方设备实现总部与分支之间的内网互通，以下那种VPN对接是可以正常对接起来的?A标准IPSecVPNB.SANGFORVPNC.SSLVPND.以上选项均不正确ANSWER：AQ89[基础VPN组网场景]IPSEC是一套协议集，它不包括下列哪个协议?A.AHB.ESPC.SSLD.IKEANSWER：CQ90[基础VPN组网场景]SANGFORVPN组网,如果两个分支之间存在网段冲突，可以用如下哪个技术解决网段冲突问题:A隧道内NAT技术B.隧道间路由技术C.VPN内网权限技术D.无法解决，只能把分支改成不同的网段再进行sangforVPN组网ANSWER：AQ91[基础VPN组网场景]在标准IPSecVPN/SANFORVPN组网场景中，以下需求描述错误的是?A.通过VPN技术打通总部与分支的内网，实现总部分支"大内网"的需求B.需保障数据在传输过程中的数据安全性(保密性、完整性、数据来源的身份验证等)的要求C.满足兼容第三方做VPN对接的需求D.标准IPSecVPN可提供终端接入账号，实现移动端接入VPN访问总部业务的要求ANSWER：DQ92[基础VPN组网场景]AF以下什么部署模式支持使用标准IPSecVPN/SANGFORVPN的功能?A.路由模式B.透明模式C.虚拟网线模式D.旁路模式ANSWER：AQ93[统一集中管理场景]关于BBC的分支接入，以下排障思路错误的是?A.检查分支的接入地址与端口是否配置正确，是否属于总部端映射出来的地址与端口B.检查分支的接入账号信息与总部端BBC配置的账号信息是否一致C.检查分支到总部BBC接入地址的连通性，确认分支可访问到BBC的接入服务端口D.检查分支端设备是否能接受到BBC下发的策略配置ANSWER：DQ94[统-集中管理场景]关于BBC的策略模板下发的设备类型中，以下说法错误的是?A.支持给AF设备下发部分策略B.支持给AC设备下发部分策略C.支持给SDW-R设备下发部分策略D.支持给SIP设备下发部分策略ANSWER：DQ95[统一集中管理场景]统一集中管理场景中，以下说法错误的是?A.通过总部端统一集中管理平台BBC实现分支的统一管理B.通过总部端统一集中管理平台BBC实现所有分支的运行状态查看C.通过总部端统一集中管理平台BBC实现策略的自动化配置，将策略统一下发到分支D.统一集中管理平台BBC将安全事件进行收集并分析,并进行安全统一运营ANSWER：DQ96[统一集中管理]以下哪一项功能是通过BBC无法实现的A.通过BBC单点登录到受控分支B.通过BBC给AC设备下发上网权限策略C.通过BBC统一查看受控端设备的告警信息D.通过BBC导出分支设备的安全事件记录ANSWER：DQ97[统一集中管理场景]关于传统的总部管理分支的场景特性中，以下说法错误的是?A.分支数量众多，涉及到所有分支策略调整、升级变更是难度大。B.分支的部分运维端口需要映射到互联网,总部通过互联网方式运维分支C.总部管理分支设备，十分便捷，通过互联网访问即可访问到分支端设备D.总部通过互联网访问的方式，运维分支设备，分支设备存在安全风险的问题。ANSWER：CQ98[统一集中管理]关于BBC的分支批量升级功能使用，以下说法正确的是?A.支持给分支下发ssu类型的升级包B.支持给分支下发KB包/SP包进行升级C.BBC无法制定分支升级计划，只能进行实时下发升级包给分支D.BBC授权过期的话，仍然可以使用批量下发升级包的功能ANSWER：AQ99[统一集中管理场景]关于BBC设备的授权方式以下说法错误的是?A.支持使用在线授权方式B.支持使用本地Key授权方式C.通过云图完成线上授权D.在线授权方式需要可正常访问https://Mls.ANSWER：CQ100[统一集中管理场景]关于BBC的分支接入所使用的是BBC的哪个端口号A.TCP5000B.TCP5001C.UDP5001D.TCP4009ANSWER：AQ101[统一集中管理]关于BBC的策略模板下发功能使用，以下说明错误的是?A.BBC针对不同版本的分支设备,可以使用同一策略模板进行配置下发B.BBC针对相同版本的分支设备,可以使用同一策略模板进行配置下发C.BBC策略模板的配置分为自动下发和手动下发两种方式D.BBC策略模板的配置信息修改，需要BBC授权时间有效期内ANSWER：AQ102[统-集中管理]关于BBC的分支序列号批量更新功能，以下说法错误的是?A.设备接入BBC之后，会自动上报序列号信息到BBCB.BBC不支持分支序列号批量导出或者导入功能C.BBC导出的分支设备序列号表格中不包含具体的功能序列号D.BBC导入序列号信息之后，可对分支设备进行批量更新ANSWER：BQ103[统一集中管理场景]BBC的eth0口缺省IP地址是多少A/24B.51/24C.52/24D.54/24ANSWER：AQ104[统一集中管理]关于BBC的告警设置的通知方式，以下通知方式正确的是?A.支持使用邮件的方式进行告警通知B.支持使用手机短信的方式进行告警通知C.支持结合企业微信公众号的方式进行告警通知D.支持结合钉钉的方式进行告警通知ANSWER：AQ105[统一集中管理场景]关于BBC的分支接入，关于接入BBC的分支设备中，以下说法错误的是?A.支持AF设备接入B.支持AC设备接入C.支持AD设备接入D.支持SDW-R设备接入ANSWER：CQ106[统一集中管理场景]BBC部署形式与部署模式说法错误的是?A.可提供硬件物理设备BBCB.可提供虛拟镜像部署在云端C.使用单臂的部署模式完成设备的部署D.使用路由模式部署，作为内网的网关ANSWER：DQ107[统一集中管理场景]关于BBC的分支接入，以下说明错误的是?A.BBC需要完成设备授权激活，分支设备才可接入到BBCB.BBC授权过期之后，BBC无法创建分支账号，分支无法接入到BBCC.分支的接入数不能超过BBC上授权的设备数D.BBC授权过期之后，在30天内任然可以创建分支账号提供给分支做接入ANSWER：DQ108[统一集中管理]关于BBC的分支批量升级功能，以下说法正确的是?A.支持给AC/AF/WOC设备下发升级包升级B.支持给AD设备下发升级版升级C.支持给SIP设备下发升级包升级D.支持给EDR设备下发升级包升级ANSWER：AQ109[统一集中管理场景]统一集中管理场景中，关于BBC设备的功能使用，以下说法正确的是?A.BBC作为统一集中管理平台统一纳管深信服的AF/AC等安全设备B.BBC作为VPN总部接入端，为分支提供VPN接入，保障总部与分支的连通性C.BBC可以通过命令行下发的方式进行分支统一管理D.BBC作为总部或者分支网络出口路由设备，为总部或者分支提供路由转发的功能ANSWER：AQ110[统-集中管理]关于BBC的策略模板,关于文件类型以下说法错误的是?A.基础镜像文件类型属于.bbc类型的文件B.镜像升级文件类型属于.ssu类型的文件C.基础镜像文件类型属于.pkg类型的文件D.镜像升级文件用于升级基础镜像文件，可将基础镜像文件升级到相应的版本ANSWER：CQ111[统一集中管理]风和日丽的中午，工程师陈工与客户了解到当前分支的深信服AC设备存在某些漏洞，此漏洞在最新的版本已经修复，那么此时陈工如何快速将所有分支完成升级?A.使用总部端BBC设备采用分支批量升级功能B.本人使用总部端BBC设备采用策略模板统一下发功能C.到每个分支现场将逐个设备进行升级D.使用总部AC下发升级包给分支进行升级ANSWER：AQ112[统一集中管理]关于BBC的告警设置，以下说法错误的是?A.针对产品线的相关告警设置需要导入对应产品线的策略模板才可进行设置B.针对CPU、内存等通用的告警设置不需要导入产品的策略模板也可进行设置C.分支设备的告警处置完成之后，BBC上会自动显示告警已处理D.BBC的告警设置无法针对各自产品线的告警内容进行设置，只能在分支端进行告警设置ANSWER：DQ113[连锁分支组网]云端易部署功能中，以下基础原理绍错误的是?A.需要将SDW-R设备的设备清单信息导入到BBC中，BBC将设备清单的SN码结合BBC接入账号,指定SDW-R使用特定账号接入B.分支SDW-R成功完成云端易部署之后，BBC会将预配置的策略自动下发到设备端C.分支设备可采用多种快速易部署的方式，快速完成设备的部署上线。D.BBC与云镜进行一对一的账号绑定，分支通过云镜的认证后获取到BBC的接入地址，从而接入到对应的BBC中。ANSWER：DQ114[连锁分支组网]以下连锁分支组网场系的特点中，说法错误的是?A.分支机构分散而且数量众多,基本上要盖全省区域或者全国区域B.分支T建设成本高，需要多种安全设备和数通设备进行组网C.分支无T管理人员,针对设备的部署与运维难度巨大D.分支到总部之间的业务访问通过专线访问，不需要考虑专线路成本受连锁分支快速开/关店的影响ANSWER：DQ115[连锁分支组网]SDW-R的VRRP高可用功能说明中，以下说法错误的是?A.网关模式VRRP下，HA接口启用OSPF邻居主要是用于故障切换时保证来回路由完整性,避免业务中断B.SDW-R设备的LAN接口和WAN接口均可启用VRRP组,通过不同的VRRP组来进行VRRP协商C.启用VRRP的接口必须二层可达。可连接二层交换机透传vrrp报文,组播地址8D.两台SDW-R.启用VRRP的LAN接口可以置不同网段的IP.两台SDW-R启用VRRP的LAN区域的工作IP可以与是不同网段的IPANSWER：DQ116[连锁分支组网]针对BBC中AutoVPN功能中的VPN拓扑上报功能，下列说法错误的是:A.支持已有的VPN连接拓扑上报给BBCD.针对VPN老客户新上BBC的场景，受控端在第一次接入BBC时，会上报已有的VPN连接置C.BBC会根据上报的VPN连接,自动识别VPN拓扑D.分支满设备接入BBC之后，如果没有配置VPN的话，也会在BBC中自动生成V/PN拓扑ANSWER：DQ117[连锁分支组网]BBC的AutoVPN的作用是什么?A.通过与预定义的策略，自动创建SSLVPN连接B.通过与预定义的策略，自动创建标准IPSECVPN连接C.通过与预定义的策略，自动创建SangforVPN连接D.通过预定义的策略，启用VPN模块ANSWER：CQ118[连锁分支组网]连锁分支组网场景中需求与功能匹配关系错误的是?A.通过总部与分支之间的VPN连接实现分支访问总部的内网互访B.连锁小型分支通过使用SDW-R来减少分支IT成本的投入C.通过总部BBC统一集中管理运维分支设备,提升总部人员的T运维效率D.总部运维人员通过互联网线路映射80/443等端口直接运维分支设备，此方式提升总部运维人员的效率ANSWER：DQ119[连锁分支组网]关于SDW-R设备的部署模式中,以吓说法错误的是?A.SDW-R支持使用网关模式部署B.SDW-R支持使用单臂模式部署C.当网络有多条WAN线路时，SDW-R也支持使用网关多线路或者单臂多线路模式部署D.SDVW-R支持透明、虚拟网线的模式部署ANSWER：DQ120[连锁分支组网]云端易部署功能所使用到的深信服产品，以下错误的是?A.SDW-RB.BBCC.云图D.云镜ANSWER：DQ121[连锁分支组网]关于BBC的AutoVPN的配置思路中，下列说法错误的是?A.在总部BBC端上新建VPN拓扑，并关联总部端设备与分支端设备B.不需要在总部端配置VPN账号，分支端配置连接管理。此配置会由BBC进行自动生成C.新建VPN拓扑之前，需要保证分支端到总部端的VPN服务端C是路由可达的D.BBC.上AutoVPN的功能只能进行手动下发VPN配置，无法实现自动下发VPN