华为认证HCIE安全-H12-731考试题及答案

华为认证HCIE安全-H12-731必备考试题及答案单选题1.以下哪个功能不属于WAF的防护功能？A、网页防篡改B、DDoS防护C、反病毒D、CC防护参考答案：C2.在防火墙虛拟系统向根系统下的eLog输出日志的场景中，以下关于输出方式的描述，正确的哪项？A、不可以通过手动配置将丢包日志输出到根系统对接的eLog。B、可以手动配置将会话日志输出到根系统对接的eLog。C、不可以手动配置将业务日志输出到根系统对接的eLog。D、PortRange日志不能输出到虚拟系统对应的eLog,只能输出到根系统对接的eLog。参考答案：B3.关于Radius的认证流程，有以下几个步骤：1，网络设备中的Radius客户端接收用户名和密码，并向Radius服务器发送认证请求；2，用户登录USG等网络设备时，会将用户名和密码发送给Radius客户端；3，Radius服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给Radius客户端；以下哪个选项的顺序是正确的？A、1-2-3B、2-1-3C、3-2-1D、2-3-1参考答案：B4.下列哪项不是华为主动安全方案的特点A、被动关联B、关联分析C、自适应安全架构D、持续监控所有数据参考答案：A5.如果攻击者使用虚假源地址发动TCPF1ood政击,则使用以下哪种防御手段最有效?A、源验证B、会话检查C、载荷检查D、指纹学习参考答案：A6.以下关于VPC内不同子网互访情况的描述,错误的是哪一项?A、属于不同安全组的虚拟机之间无法通信B、同一VPC内所有虚拟机默认都处于default安全组C、可以在default组添加新规则,允许其他安全组中的虚拟机访问default安全组D、默认情况下不同子网之间不可以通信参考答案：D7.以下可以作为华为IPS设备判断入侵行为依据的是哪项？A、会话表B、签名C、路由表D、IP地址参考答案：B8.关于风险评估的描述,以下哪个选项是错误的?A、风险评估需要监控体系运行。B、风险评估需要做资产收集及风险评估方法培训。C、风险评估需要评估风险并对风险等级进行划分。D、风险评估需要识别威胁、脆弱性、并对安全漏洞进行扫描。参考答案：A9.以下哪项不属于信息安全标准？A、ISO27001B、ITSECC、网络安全法D、信息安全等级保护参考答案：C10.下列哪项不能用于云数据中心东西向流量防护？A、安全策略B、虚拟系统C、安全组D、SNAT参考答案：D11.在考虑Web服务器安全防护时,以下选项哪些不是考虑的重点?A、是使用IIS还是Apache搭建Web服务器B、数据库信息是否加密存储C、Web服务器权限设置是否合理D、是否开启FTP服务参考答案：A12.下列关于租户云上安全操作全程可管控的描述,错误的是哪一项?A、预先定义风险高危操作行为,对于高危行为进行权限控制,限制低权限人员执行高危操作B、记录操作人员的字符（Telnet、SSH）、图形化操作（RDP、VNC）,操作过程可国放,实现事后追溯和举证C、预定义安全策略检测所有用户的数据,确保所有云端用户数据的安全性。D、通过严格的策略限制可以访回业务资源环境的人员,杜绝越权访问参考答案：C13.以下关于云服务基本概念的描述,错误的是哪一项?A、VPC般包括计算、存储和网络资源B、每个VPC为—个安全域,对应于一个部门C、VDC是一个组织可使用资源的集合D、一个VPC只能属于一个VDC参考答案：A14.在TCP/IP协议栈中,下列哪项协议工作在应用层?A、ICMPB、IGMPC、RIPD、ARP参考答案：C15.以下哪项行为不具备信息安全风险？A、连接公共WIFIB、误操关闭不必要的主机端口C、误操作D、重要文件不加密参考答案：B16.以下哪些选项属于针对IPv6协议中NDP协议的攻击手段?A、仿目路由器响应RA报文。B、DAD/NUD欺骗C、伪造NS/NA报文引流到攻击者或者造成流量黑洞。D、伪造,篡改路由前缀信息。参考答案：D17.以下关于创建陷阱账户的描述,说法正确的是哪一项?A、创建一个名为Administrator的本地帐户,并将它的权限设置成最低,加上一个超过10位的强密码。B、创建一个名为Administrator的本地帐户，并将它的权限设置成最低，加上一个低于6位的弱密码。C、创建一个名为Administrator的本地帐户，并将它的权限设置成最高，加上一个超过10位的强密码。D、创建一个名为Administrator的本地帐户，并将它的权限设置成最高,加上一个低于6位的弱密码。参考答案：A18.下列哪一项不属于单点登录的实现方式?A、AgileController单点登录B、RADIUS单点登录C、AD单点登录D、SNMP单点登录参考答案：D19.“有权要求数据控制者修改、补充不准确/不完整的个人数据”是属于数据主体的哪一项权限？A、访问权B、删除权C、更证权D、知情权参考答案：C20.关于态势感知工作流程的描述，以下哪一项说法是错误的？A、态势感知技术在数据采集阶段，不仅可以收集各设备和主机的日志收集威胁信息，也可以通过采集流量检测威胁。B、态势感知技术不一定能检测出APT攻击中的某些单点攻击C、态势感知产品CIS支持自动到云端信誉中心查询，其本地不需要加载信誉库，从而节省存储资源。D、态势感知技术能够展示出威胁攻击路径，从而上报管理员阻断攻击。参考答案：B21.1.锁定目标，2.内网转发，3.内网渗透，4.痕迹清除，5.信息收集，6.漏洞探测，7.漏洞利用，8.撰写测试报告，以下对于渗透测试流程理解正确的是哪一项？A、1-5-6-7-2-3-4-8B、1-5-6-7-4-2-3-8C、1-5-2-3-4-6-7-8D、1-5-6-7-3-2-4-8参考答案：A22.以下选项对“后门”类的恶意代码描述正确的是哪一项？A、通过加密文件，敲诈用户缴纳赎金B、消耗系统资源，挖取比特币C、消耗系统资源，骗取流量D、具有感染设备全部操作权限的恶意代码参考答案：D23.下列哪项标准或条例对隐私保护做了规范要求？A、信息安全等级保护B、ITSECC、GDPRD、ISO27000参考答案：C24.以下关于网络诱捕技术的描述，错误的是哪一项A、网络诱捕能够干扰攻击的信息收集过程，暴露攻击者的意图B、网络诱捕技术在识别到攻击事件后，能够直接将攻击源快速隔离，在攻击造成破坏前阻断威胁，保护真实系统C、网络诱捕系统利用网络混淆技术，通过展现虚假资源，欺骗网络探测行为，从而发现攻击者D、网络诱捕的优势在于能够提前防御威胁、客户损失小参考答案：B25.下关于IPv6ACL的描述，错误的是哪一项?A、NGFW支持多种匹配条件,例如，按照IPv6源地址、IPv6目的地址、承载的协议类型等条件对IPv6流量进行过滤。B、对符合匹配条件的流量执行的操作，有permit和deny两种。C、IPv6ACL是IPv6流量匹配工具，可以将符合匹配条件的IPv6流量与其他IPv6流量区分开来。D、ACL配置完毕之后，即可生效。参考答案：D26.在安全团队能力建设中,一般分为管理岗和技术岗,以下不属于技术岗位关键职责的是哪一项?A、负责组织开展信息系统安全等级保护工作B、负责安全漏洞检测和防护C、负责制定企业级的信息安全技术规划和技术架构D、负责组织信息安全突发事件的应急处置参考答案：D27.当需要使用AH和ESP进行报文封装时,IKE协商完成后,会建立几个SA？A、1B、2C、3D、4参考答案：C28.下列哪种状态表示已经成功建立？A、DownB、InitC、UpD、Admin参考答案：C29.以下哪项攻击可以通过单点设备检测出来？A、口令暴力破解B、加密恶意流量C、用户权限提升D、删除进程参考答案：A30.为实现云端操作可审计，需要实施以下哪一种措施。A、限制高危命令的授权，防止高危操作发生。B、严格控制账号权限，防止越权操作出现。C、通过技术手段记录操作人员的所有操作记录，不管是图形化操作还是字符类型操作（ssh、telnet）。D、部署专业的访问控制设备，限制可操作人员的IP。参考答案：C31.绕过系统安全性控制而具有操作权限的是以下哪种病毒？A、恶作剧病毒B、勒索病毒C、蠕虫D、后门病毒参考答案：D32.lPS支持的官理员登录方式不包括以下哪一项A、TelnetB、SSHC、HTTPD、Console参考答案：A33.以下哪个选项不能体现APT攻击的高级特性?A、APT攻击遵循网络攻击链的过程B、APT攻击中会使用零日漏洞。C、APT攻击一般较为隐蔽,通过加密通道等方式隐藏攻击。D、发动APT攻击一般需具备大型组织的力量。参考答案：A34.以下关于普通用户造成的安全风险描述,错误的是哪一项?A、误操作导致运维数据库被删除、破坏。B、假冒用户身份查询、获取数据导致数据泄露。C、用户通过复制屏幕内容、截屏、或通过其他非法手段拷贝、下载数据库。D、在未经授权的情况下访问与本职工作无关的的业务系统。参考答案：A35.以下哪一项不属于防火墙的业务日志？A、威胁日志B、审计日志C、丢包日志D、策略命中日志参考答案：C36.作为网络管理员，如果想通过查看WAF上的日志了解Web攻击的安全事件，需要查看以下哪些日志？A、操作日志B、应用防护日志C、防篡改日志D、系统日志参考答案：B37.以下关于安全管理关系的描述，不正确的是哪一项？A、安全与质量包涵B、安全与生产统一C、安全与危险并存D、安全与管理兼顾参考答案：D38.以下关于URL过滤和DNS过滤的描述,错误的是哪一项?A、DNS过滤对设备性能影响更大。B、DNS过滤是在域名解析阶段进行控制。C、URL过滤是在发起HTTP/HTTPS的URL请求阶段进行控制。D、DNS过滤能够对该域名对应的所有服务进行控制。参考答案：A39.如果能够成功访问.huawei.的网站资源，不会涉及到以下那个协议A、TCPB、TelnetC、HTTPD、DNS参考答案：B40.以下对于安全目标职责分离原因的描述，正确的是哪一项？A、帮助公司员工做他们擅长的工作。B、为了避免人员合谋损害公司利益。C、避免安全人员个人的更改波及到其他人。D、可以帮助提升员工的工作效率。参考答案：C41.对于DDoS攻击产生的影响描述不正确的是哪一项?A、造成网络病毒泛滥B、使防火墙设备成为网络瓶颈C、造成服务器不能正常提供服务D、造成网络拥塞参考答案：A42.以下关于ECA检测方案的指述，错误的是哪一项？A、探针主要负责明文流量的特征提取B、ECA探针提取网络流量中的特征数据，包括TLS握手信息、TCP统计信息、DNS/HTTP相关信息，統一上报给CIS系统C、ECA检测方案分为ECA探针和ECA分析系统D、分析系统会结合检测模型检测发现恶意流量参考答案：A43.以下哪个选项不会造成失效的身份验证威胁?A、利用SQL注入绕过密码登录B、Web服务器使用默认的80端口提供服务C、URL中携带SesionIDD、用户密码没有加密存储。参考答案：B44.华为HiSec方案不可以实现下列哪项功能？A、解密被加密的流量B、安全协防C、检测加密流量D、安全服务化参考答案：A45.以下关于IPv6无状态自动配置地址的描述,错误的是哪一项?A、主机接入网络后可以主动发送RS报文。B、IPv6支持无状态地址自动配置,需要结合使用诸如DHCP之类的辅助协议。C、路由器发现功能是IPv6地址自动配置功能的基础,主要通过RA报文和RS报文来实现的。D、每台路由器为了让二层网络上的主机和其他路由器知道自己的存在,定期以组播方式发送携带网络配置参数的RA报文。参考答案：B46.下列哪条命在华为US6000序列防火墙中表示不限流A、no-qosB、no-carC、no-profileD、no-limit参考答案：A47.在Linux系统中，命令“passwd-u<用户名>”的作用是什么？A、删除新用户B、创建新用户C、解锁需要恢复的账号D、锁定不必要的账号参考答案：C48.以下哪个选项是用于渗透测试获取信息的手段？A、连接开放的端口，登录服务器B、利用漏洞对主机植入后门C、为普通用户提取超级管理员权限D、使用工具扫描服务器开放的端口参考答案：D49.以下哪项不属于防火墙检测病毒的方式?A、启发式检测技术B、恶意域名检测技术C、文件信誉技术D、首包检测技术参考答案：B50.以下哪个选项是针对社会工程学的有效应对手段?A、防止信息的泄露以及控制信息的发布。B、员工在公开场合谈论公司机密信息。C、做好资产管理即可,人员管理跟网络安全无关。D、禁止向公网发布任何企业信息。参考答案：A51.以下哪种安全威胁属于应用安全威胁?A、中间人攻击B、用户身份未经验证C、病毒、木马D、网络入侵参考答案：C52.1.确定目标，2.内网转发，3.内网渗透，4.痕迹清除，5.信息收集，6.漏洞探测，7.漏洞利用，8.撰写测试报告，以下对于渗透流程理解正确的是哪一项？A、1-5-6-7-3-2-4-8B、1-5-6-7-4-2-3-8C、1-5-6-7-2-3-4-8D、1-5-2-3-4-6-7-8参考答案：C53.以下关于邮件信息收集手段的描述，不正确的是：A、搜索引擎查询B、社工库泄露信息查询C、邮件用户名字典破解D、DDOS攻击邮件服务器参考答案：D54.下列哪一项不是eLog具备的主要功能A、态势感知B、运维故障分析C、日志存储D、攻击溯源参考答案：A55.AntiDDoS设备中开启流量统计功能的命令是下列哪一项？A、[Antiddos-gigabitethernet1/0/0]anti-ddosflow-checkenableB、[Antiddos-gigabitethernet1/0/0]anti-ddosflow-detectenableC、[antiddos-gigabitethernet1/0/0]anti-ddosflow-statisticenableD、Lantiddos-gigabitethernet1/0/0]anti-ddosflowenable参考答案：C56.在ISMS建立过程中,需要实施风险评估,下列哪一项不属于风险评估的内容？A、资金评估B、资产评估C、威胁评估D、脆弱性评估参考答案：A57.访问控制的类型不包括下列哪一项?A、物理性访问控制B、外部访问控制C、行政管理性访问控制D、技术性访问控制参考答案：B58.以下关于传统运维特征的描述中,正确的是哪一项?A、访问操作没有严格限制B、风险可识别C、操作可管控D、使用严格的安全策略进行身份控制参考答案：A59.以下关于黑洞路由的描述，错误的是哪一项？A、配置目的NAT，为了防止路由环路，需要配置到转换目的IP地址的黑洞路由。B、黑洞路由配置会消耗设备CPU处理资源。C、当NAT地址池地址与公网接口地址不在同一网段时，必须配置黑洞路由。D、黑洞路由的配置命令行：iproute-static[ip-address]NULL0。参考答案：B60.假设有一组原始数据为：“0.50”，通过随机调换数据的位置对该数据进行脱敏，脱敏后的数据为：“0.40”此种数据脱敏方法采用的算法是下列哪一项？A、截断B、哈希C、加噪D、置换参考答案：D61.下列哪一项不是带宽管理的目的？A、限制带宽B、保证连接数C、限制连接数D、保证带宽参考答案：B62.下列哪一项不属于AntiDDoS常规的引流回注方式？A、策略路由引流+策略路由回注B、策略路由引流+GRE回注C、BGP引流+策略路由回注D、BGP引流+GRE回注参考答案：B63.以下哪个NAT技术属于目的NAT技术?A、Easy-ipB、NATNo-PATC、NAPTD、NATServer参考答案：D64.以下不属于cvss评估的基础度量指标的是那个选项？A、可用性影响B、漏洞严重等级C、范围D、攻击向量参考答案：B65.交换机的诱捕配置如下:DeceptionDeceptionenableDeceptiondetect-networkid1Deceptiondetect-networkid1Deceptiondecoydestination00以下关于该配置的描述,正确的是哪一项?A、deceptionenable应在接口下做配置B、deceptiondecoydestination用来配置诱捕探针的IP地址C、deception用来开启设备的诱捕功能D、deceptiondetect-networkid用来配置诱捕的检测网段参考答案：D66.以下关于日志license授权的描述，正确的是哪项?A、沙箱检测日志包含本地沙箱和云沙箱检测日志，云沙箱检测日志需要License授权。B、审计日志的产生和1icense授权无关C、入侵防御日志的产生和1icense授权无关D、反病毒日志的产生和1icense授权无关参考答案：A67.在公开的数据中，等价类内敏感属性值如果相同，则有敏感属性披露的风险，以下哪项技术用于消除此种风险？A、态势感知技术B、L-多样性技术C、K-匿名技术D、数据屏蔽技术参考答案：B68.在华为用户管理解决方案中，使用AD单点登录时，防火墙不支持以下哪种方式获取用户认证通过的消息?A、防火墙监控AD认证报文。B、AD单点登录服务程序自动上报消息给防火墙C、安装单点登录服务程序接收PC的消息D、安装单点登录服务程序查询AD服务器安全日志参考答案：B69.关于以下某接口IPV6安全邻居发现功能信息的描述,错误的是哪一项A、该接口可以接受的密钥长度的最小值为512B、该接口可以接受的密钥长度的最大值为2048C、CGA地址的安全级别为1D、该接口未使能严格安全模式参考答案：D70.在华为用户管理解决方案中,以下关于用户组织架构的描述中,正确的是哪一项?A、认证域是用户组织架构的容器。华为防火墙缺省存在default认证域,所以用户不可以自定义创建认证域B、用户组织架构是基于用户进行权限管控的基础C、管理员可以根据企业的组织结构来创建部门和用户,这里的“部门”对应组织架构中的“安全组”D、当需要基于部门以外的维度对用户进行管理,可以创建跨部门的用户组。参考答案：B71.当服务器之间的性能差异较大，可以采用以下哪种算法进行负载均衡？A、简单轮询算法B、加权轮询C、最小连接算法D、源IPhash算法参考答案：B72.以下哪一项不属于IPs设备签名过滤器的动作?A、采用签名的缺省动作B、告警C、阻断D、放行参考答案：D73.在活动目录（AD）架构中,以下哪项是网络接入服务器的功能?A、防火墙B、计费服务器C、认证服务器D、客户端参考答案：A74.关于VRRP报文，以下说法正确的是A、VRRP使用TCP报文B、VRRP使用UDP报文C、VRRP报文的目的地址是8D、VRRP报文是单播报文参考答案：C75.以下哪些选项认证方法是通过密码进行身份认证的?A、你是什么B、你知道什么C、你拥有什么D、你做什么参考答案：B76.以下对云数据中心中安全设备功能的描述,错误的是哪一项?A、Anti-DDoS可以为威胁DCN的DDoS攻击提供检测及流量清洗服务B、NGFW提供安全隔离、非法访问防护和访问权限管理等C、WAF可以对静态页面防篡改、阻断SQL注入，XSS攻击D、CIS可以提供全统一的网络运维、管理及审计能力参考答案：D77.载荷检查是针对以下哪种DDoS攻击的防御手段?A、DNS反射FloodB、HTTPGetFloodC、DNSRequestFloodD、HTTP慢速攻击参考答案：D78.如果建立IPSecVPN隧道的其中一方的IP地址不固定,则以下哪些配置方法不能适用在该场景？A、策略模板B、配置IKE时要求指定对端地址C、野蛮模式下的Name认证D、野蛮模式下的pre-sharekey认证参考答案：B79.WAF不能够阻断以下哪一项攻击行为？A、跨站脚本B、PingofDeathC、CC攻击D、SQL注入参考答案：B80.网络扫描属于下列网络攻击链中的哪项步骤？A、信息收集B、漏洞利用C、载荷投递D、目标打击参考答案：A81.关于L2TPoverIPSec的报文封装顺序，以下哪项是正确的？A、从先封装到后封装的顺序是PPP>UDP->L2TP->IPSecB、从先封装到后封装的顺序是PPP>L2TP->UDP-IPSecC、从先封装到后封装的顺序是IPSec>L2TP->UDP-PPPDD、从先封装到后封装的顺序是IPSec>PPP->L2TP->UDP参考答案：B82.下列哪一个国家不在GDPR约束范围内?A、法国B、德国C、意大利D、瑞士参考答案：D83.以下关于网络诱捕方案关键技术的描述,错误的是哪一项?A、网络诱捕混淆可以通过向攻击者展现大量虚假资源,使攻击者无法获得真实资源和漏洞信息。B、诱捕探针可以内置在交换机中,更靠近受保护网络,同时可在网络中广泛部署。C、诱捕器支持对HTTP、SMB、RDP、SSH应用的仿真交互D、仿真交互技术使用真实资源实现攻击交互,准确识别攻击意图,使攻击者暴露。参考答案：A84.华为云能够为租户提供的安全服务不包括下列哪一项？A、代码审计B、DDoS防护C、漏洞扫描D、数据加密参考答案：A85.在现网中，通常情况下AntiDDoS部署在下列哪一个位置最合适?A、部署在网络内部需要保护的服务器前端B、部署在网络总出口处防火墙后端C、部署在网络总出口处和防火墙联动D、部署在网络总出口处防火墙前端参考答案：C86.防火墙使用下列哪个功能与沙箱联动防范病毒A、黑名单B、入侵检测与防御C、APT防御D、反病毒参考答案：C87.虚拟系统和VPN实例关系，以下哪个选项的描述是错误的？A、创建虚拟系统时，会自动生成相同名字的VPN实例。B、虚拟系统底层转发依赖于自动生成的VPN实例，上层配置业务时无需与vpn实例挂钩C、自动生成的VPN实例和手工配置的VPN实例一样，都需要在接口下绑定vpn实例。D、管理员也可使用ipvpn-instance命令手动创建VPN实例，用于路由隔离。参考答案：C88.在ISMS建立过程中，需要实施风险评估，下列哪一项不属于风险评估的内容？A、资产评估B、资金评估C、威胁评估D、脆弱性评估参考答案：B89.下列哪一项不属于存储区域网络SAN的优点？A、扩展能力强B、数据集中C、存储传输性能高D、即插即用参考答案：D90.下列关于CIS系统高级版组网方式的描述,错误的是哪一项?A、CIS系统高级版包含6种主机类型B、CIS系统高级版双平面组网方式包含管理平面与数据平面,适合流量稳定,网络带宽充足的场景C、流探针是CIS系统流量的入口设备,通常部署在内网到因特网出口处,或内网不同区域间通信的出口位置D、CIS高级版有单平面组网及双平面组网两种方式参考答案：B91.若IPS想要访问在线病毒库，则下列关于IPS设备的安全策略的配置错误的是哪一项？A、若升级方式配置为HTTPS,需要放行HTTPS协议B、源安全区域为IPS所在的trust区域。C、目的安全区域为升级中心所在的安全区域。D、目的地址为升级中心的地址。参考答案：B92.下列哪一个选项不是部署在校园网出口处的防火墙的主要功能?A、入侵防御B、准入控制C、防DDoS攻击D、网络地址转换参考答案：A93.在USG系列防火墙中,可以使用功能为非知名端口提供知名应用服务。A、端口映射B、MAC与IP地址绑定C、包过滤D、长连接参考答案：A94.以下哪种行为不需要强制遵守GDPR?A、公司位于法国境内，只针对中国客户提供服务B、公司位于美国境内，只针对法国客户提供服务C、公司位于中国境内，只针对法国客户提供服务D、公司位于美国境内，只针对中国客户提供业务参考答案：C95.以下哪项不属于网络攻击的变化趋势?A、攻击手段复杂化B、攻击目的多样化C、攻击方式物理化D、攻击方式变小化参考答案：D96.以下哪项不是数据备份的方式？A、LAN备份B、Client-Less备份C、Server-Less备份D、LAN-Free备份参考答案：B97.如果防火墙工作在二层，与内网之间直连或通过二层交换机相连，以下哪个选项不可以作为策略路由的匹配条件？A、IP地址B、MAC地址C、入接口D、DSCP优级参考答案：B98.以下关于FW审计行为的描述，正确的是哪一项？A、缺省情况下，外发文件内容审计功能是默认开启的。B、缺省情况下，FW会对HTTP行为进行审计。C、缺省情况下，HTTP状态码审计模式为缺省模式，只对常见的HTTP状态码进行审计。D、新建或修改审计配置文件后，配置内容会立即生效。参考答案：C99.以下关于脆弱点识别和评估的描述,不正确的是哪一项?A、在技术脆弱点中,针对应用系统的脆弱点和管理脆弱点识别从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。B、脆弱点分为两种类型,技术脆弱点和管理脆弱点,管理脆弱点识别对象仅针对组织管理部分。C、对某个资产,其技术脆弱点的严重程度受到组织的管理脆弱点的影响,因此,资产的脆弱点赋值还应参考技术管理和组织管理脆弱点的严重程度。D、脆弱点识别也称弱点识别,弱点是资产本身存在的,如果没有相应的威胁发生,单纯的弱点本身不会对资产造成损害。参考答案：B100.为保证用户本地数据中心和云上VPC之间的传输安全,华为云采用了以下那种技术?A、IPSecVPNB、GREVPNC、SSLVPND、MPLSVPN参考答案：A101.下列对AntiDDoS系统中的检测中心和清洗中心的描述,错误的是哪一项?A、清洗中心负责清洗流量B、清洗中心负责将清洗后的正常流量回注C、检测中心负责对流量进行检测D、检测中心负责下发引流策略参考答案：D102.服务器负载均衡技术利用Server-map表和会话表实现虚拟服务器和实服务器的映射,请问生成的是什么类型的server-map表?A、NATNO-PATB、转发QQ/MSN、TFP等STUN类型协议C、静态Server-map表D、动态Server-map表参考答案：C103.当发生网络安全事件后,对入侵行为、病毒或木马进行排查,对主机进行修补加固。上述动作属于网络安全应急响应哪个阶段中的工作内容?A、恢复阶段B、检测阶段C、根除阶段D、抑制阶段参考答案：D104.如果在入侵防御配置文件中，同时使用了签名，签名过滤器以及例外签名，当有流量匹配到该配置文件时，以下关于匹配的顺序，正确的是哪个选项？A、例外签名＞签名＞签名过滤器B、签名＞签名过滤器＞例外签名C、签名过滤器＞签名＞例外签名D、例外签名＞签名过滤器＞签名参考答案：D105.以下哪一项支持多种盗链错识别算法，能有效解决单一来源盗链、分布式盗链和网站数据恶意是窃取等信息盗取行为，从而确保网站的资源只能通过本站才能访问？A、FirewallB、IPSC、Anti-DDosD、WAF参考答案：D106.防火墙检测到病毒后,下列哪种情况会放行病毒?A、命中应用例外B、不是防火墙支持的协议C、源IP命中白名单D、命中病毒例外参考答案：C107.下列有关VGMP组的描述中正确的是?A、VGMP组中VRRP的优先级会随着VGMP变化而变化B、VGMP是用来控制VRRP组状态的协议C、USG6000的默认优先级是65000D、USG9000的默认优先极是45000参考答案：B108.关于虚拟系统中公网接口和私网接口的说法,以下哪个选项是错误的?A、公网接口是指接口下配置了setpublic-interface命令的接口B、私网接口是未配置setpublic-interface命令的接口C、私网接口是指使用私有IP地址的接口D、只有配置了公共接口,资源类中的带宽资源配置才会生效参考答案：C109.以下关于运维安全的描述,错误的是哪个选项?A、通过安全策略管理系统对安全策略进行统一管理。B、堡垒机对运维人员的运维操作进行全面记录,并且可以按照安全策略,检验和审查运维人员操作,发现违法行为。C、划分特定的运维管理区域,通过专门的运维系统对安全设备进行统一运维,并且对运维人员的操作日志进行相应审计。D、对异地远程运维场景,外网运维人员通过L2TPVPN隧道安全接入内网,登录堡垒机系统进行统一运维操作。参考答案：D110.以下关于华为云租户业务防护方案的描述，错误的是哪一项？A、企业主机安全服务是一个用于保障主机整体安全的安全服务B、漏洞扫描服务只有web网站扫描和主机扫描两种扫描能力C、通过内置丰富的ACL来应对各种Web安全风险D、容器安全服务提供了镜像漏洞管理、容器安全策略管理和容器逃逸检测功能参考答案：C111.USG6000防火墙上为三台FTP服务器配置了负载均衡功能，三台实服务器的地址和权重值分别为/24（weight16），/24（weight32），/24,（weight16），虚服务器地址为23/24。一台主机地址为/24的PC对该FTP服务器发起访问。在防火墙上运行displayfirewallsessiontable命令，下列哪一种情况说明成功实现了负载均衡功能？A、displayfrewallsessiontableCurrenttotalsessions：1FtpVPN：public->public:3327-:21B、displayfirewallsessiontableCurrenttotalsessions：3FtpVPN:public->public:3327->23:21[:21]FtpVPN:public->pubic:3327->23:21[:21]FtpVPN:public->public:3327->23:21[:21]C、displayfirewallsessiontableCurrenttotalsessions：1FtpVPN：public->public202.15226.3:327->:23：21D、displayfirewallsessiontableCurrenttotalsessions：3FtpVPN：public->public:3327->:21FtpVPN:public->public:3327->:21FtpVPN：public->public:3327->:21参考答案：B112.在IKEV1协商中,关于野蛮模式与主模式的区别,以下哪项说法是错误的?A、主模式在预共享密钥方式下不支持NAT穿越,而野蛮模式支持B、主模式协商消息为6个,野蛮模式为3个。C、在NAT穿越场景下,对等体ID不能使用IP地址D、主模式加密了身份信息的交换信息,而野蛮模式没有加密身份信息参考答案：C113.以下关于华为HiSecCloudFabric解决方案的描述，错误的是哪一项？A、设备层为上层提供安全分析的数据源，并接受上层的统一管理B、分析层衔接协同层和设备层，直接管理云平台C、协同层提供安全业务的展现功能D、控制层和分析层承担安全分析以及安全、网络策略下发功能参考答案：B114.以下哪项不属于病毒免杀方式？A、修改内存特征码B、修改文件特征码C、修改系统文件D、寄生在宏文件里参考答案：D115.通过构建特殊的输入作为参数传入Web应用程序，通过破坏数据库语的原始逻辑，进而执行攻击者所希望的操作，上述语句描述的是以下哪项攻击？A、注入B、XSSC、未验证的重定向D、会话劫持参考答案：A116.有关实现业务安全韧性的方法,以下错误的是哪一项?A、通过部署防火墙等安全设备就能实现被动防御B、根据ISO/IEC15408/CC规划业务安全C、通过部署以威肋为中心的安全体系,实现被动安全D、通过态势感知等技术实现主动安全参考答案：C117.下列哪一项不属于活动目录的逻辑结构组成成分?A、组织单元B、安全域C、网域树D、对象参考答案：B118.以下哪一项不是WAF具有的功能?A、NATB、HITPS防护C、防篡改D、自学习参考答案：A119.远程攻击者可以利用以下哪一选项的漏洞构造恶意网站,进行钓鱼,当用户访问恶意网站后,可实现对用户机器的控制?A、MS14-064漏洞B、SMB漏洞C、脏牛漏洞D、CVE-2016-0099漏洞参考答案：A120.以下关于入侵防御特征库升级方式的描述,错误的是哪项?A、在线升级方式包括定时升级和立即升级两种方式。B、本地升级方式包括定时升级和立即升级两种方式。C、可以通过在线升级方式升级特征库。D、可以通过本地升级方式升级特征库。参考答案：B121.以下关于风险评估准备阶段主要工作顺序的排序，正确的是哪一项？1、确定风险评估目标2、获得支持3、组建团队4、确定风险评估对象和范围5、选择方法6、准备相关评估工具A、2-1-4-3-5-6B、1-4-2-3-5-6C、1-4-3-5-2-6D、1-4-3-2-5-6参考答案：C122.UMA支持的身份认证方式不包括下列哪一项？A、微信认证B、手机短信认证C、本地静态密码认证D、AD域认证参考答案：A123.以下关于iptables表功能的描述,错误的是哪一项?A、NAT表:地址转换的功能。B、Raw表:决定数据包是否被状态跟踪机制处理。C、Mangle表:修改安全策略D、Filter表:数据包中允许或者不允许的策略。参考答案：C124.以下哪种访问控制类型是依照组织的安全策略或其他规则而定义的？A、行政管理性访问控制B、逻辑/技术性访问控制C、纠正性访问控制D、物理性访问控制参考答案：A125.当接入用户使用Client-InitiatedVPN方式与LNS建立隧道时,一条隧道可以承载多少PPP接?A、3B、1C、2D、4参考答案：B126.关于广电网络方案中的出口选路策略,下列哪一项是不正确的?A、可以通过基于应用的策略路由将流量引导至适当的链路B、通过DNS透明代理分担内网用户上网的DNS请求,达到在多个ISP间分担流量的目的C、可以通过健康检查探测链路的可达性D、通过基于多出口的静态路由实现ISP选路参考答案：D127.在WAF纵治深防御体系中,以下哪种安全检查用于防御CC攻击?A、访问行为安全检查B、内容安全检查C、敏感信息安全检查D、网络安全检查参考答案：A128.以下关于网络诱捕方案业务流程的描述,错误的是哪一项?A、诱捕探针能够分析同一个源地址扫描不同目的IP或port的频率,然后虚拟一个MAC来回应攻击者。B、攻击者最终攻击的业务为故意构建的仿真业务,因此攻击者的所有行为都被监控,并会被上报CIS平台。C、当访问流量到达诱捕探针的时候,会通过探针与诱捕器之间的隧道,将访问流量发送到诱捕器。D、攻击者发起网络扫描攻击,目的是探测网络结构。参考答案：B129.下列哪一项不属于GDPR中定义的数据处理者的义务?A、第三方管理B、数据保护影响评估C、保证安全性D、记录数据处理活动参考答案：B130.以下关于HWTACACS协议和RADIUS协议的描述，错误的是哪一项？A、HWTACACS协议认证与授权是一起处理的B、HWTACACS协议使用TCPC、RADIUS协议不支持对配置命令进行授权D、RADIUS协议使用UDP参考答案：A131.如下图使用旁路方式部署AntiDDos系统时，采用BGP引流+UNR路由的方式。图中的P1~P5为设备的端口编号，如果没有在R2的策略将清洗的流量引导至P5，将会发生什么问题？A、待检测流量被清洗设备丢弃B、待检测流量到不了检测设备C、待检测设备清洗后会被再次发往清洗设备D、待检测流量不能被正常清洗参考答案：C132.华为UMA产品允许特定IP，特定帐号的运维人员通过UMA平台去管理IT设备,这属于下列哪一步骤?A、事前控制B、事中监控C、事后审计D、维护准备参考答案：A133.RADIUS协议采用以下哪种类型报文？A、IGMPB、UDPC、ICMPD、TCP参考答案：B134.华为WAF5000产品使用以下哪种技术来应对盗链、跨站请求伪造等特殊Web攻击？A、签名匹配技术B、行为状态链检测技术C、非法链接过滤技术D、异常状态跟踪技术参考答案：B135.对于DDoS攻击产生的影响描述不正确的是哪一项?A、使防火墙设备成为网络瓶颈B、造成网络拥塞C、造成服务器不能正常提供服务D、造成网络病毒泛滥参考答案：D136.有关实现业务安全韧性的方法，以下错误的是哪一项？A、通过态势感知等技术实现主动安全B、根据ISP/IEC15408/CC规划业务安全C、通过部署以威胁为中心的安全体系，实现被动安全D、通过部署防火墙等安全设备就能实现被动防御参考答案：D137.下列哪项不属于网络安全事件中划分的等级?A、重大网络安全事件B、特殊网络安全事件C、一般网络安全事件D、较大网络安全事件参考答案：B138.下列哪一项能够较好防御APT攻击？A、关闭重要业务系统B、及时更新IPS病毒库C、部署CIS、沙箱等设备D、及时更新防火墙病毒库参考答案：C139.对云端进行等保测评，以下哪一个步骤的完成标志着等保评测工作的结束A、等级评测B、建设整改C、系统备案D、系统定级参考答案：A140.以下关于防火墙文件过滤功能的配置内容的描述,错误的是哪一项?A、通过命令行配置安全策略引用缺省配置文件时,需要输入完整的配置文件配置名称,否则无法成功引用。B、使用命令displaycurrent-configuration,可以显示缺省配置文件自生成的配置信息。C、在命令行界面下,通过命令displaytypefile-blocknamedefault可以查看到缺省配置文件中的配置信息。D、管理员应该首先明确需要对哪些类型的文件进行过滤,然后选择设备能够支持的文件类型,最后在“自定义扩展名”中填写剩余的文件类型。参考答案：B141.以下关于防火墙的URL过滤功能配置描述中,错误的是哪一项?A、管理员可以利用预定义URL分类阻断对成人网站和非法网站的访问请求B、开启恶意URL和URL信誉检测功能的命令为。C、URL过滤缺省配置文件可以被修改D、当用户访问的URL命中URL过滤配置文件的过滤条件,且管理员配置的动作为阻断参考答案：C142.以下哪个攻击行为可以使用网络诱捕去应对？A、畸形报文攻击B、超大ICMP报文攻击C、DDoSD、TCP端口扫描参考答案：D143.IPSecVPN使用数字证书进行身份验证时，以下哪项是不需要用来检验数字证书是否合法的？A、证书签名B、CRL证书序列号C、证书公钥D、证书有效期参考答案：C144.某数据中心同一VPC网络下创建了子网A和子网B,两个子网分别申请了主机A和主机B,现将主A加入到安全组A且移出default安全组，以下哪项是正确的？A、A和B能够互访B、仅允许B访问AC、A和B不能互访D、仅允许A访B参考答案：B145.在“用户通过用户名和密码登录网页”中，以下关于“用户名”的作用，描述正确的是哪一项？A、计费B、身份识别C、身份认证D、授权参考答案：B146.管理员在华为USG6000产品上开启了虚拟系统功能并创建了唯一的一个虚拟系统vsysa，若属于vsysa的用户想要访问根系统的某个服务器，则在虚拟系统vsysa的路由表中，出接口是哪个接口？A、vlan-if0B、virtual-if0C、vlan-if1D、virtual-if1参考答案：B147.公司网络管理员在配置双机热备时,配置VRRP备份组1的状态为Active,并配置虚拟IP地址为/24,则空白处需要键入的命令是A、rulenamecSource-zoneuntrustDestination-zonetrustDestination-address32ActionpermitB、rulenamedSource-zoneuntrustDestination-zonetrustDestination-address32ActionpermitC、security-policyRulenameaSource-zoneuntrustSource-address32ActionpermitD、rulenamebSource-zoneuntrustDestination-zonetrustSource-address32Actionpermit参考答案：A148.某项研究表明，根据出生日期、性别和邮编三个属性可以识别87%的国人。这种风险属于下列哪一项风险？A、直接识别个别风险B、推理攻击风险C、隐私风险D、链路攻击风险参考答案：D149.SSLVPN不能加密下列哪项协议?A、HTTPB、UDPC、IPD、PPP参考答案：D150.以下关于与配置elog日志管理的描述,错误的是哪一项?A、FW上的时区和时间与elog采集器上的时区和时间必须保持一致,否则将会影响日志查看结果。B、如果FW同时输出会话老化日志、会话新建日志和定期会话日志,将会导致elog接收到的日志数量激增,消耗elog的存储空间。C、默认情况下,elog不解析会话新建日志,如需要在elog上解析并呈现会话新建日志,则需要在采集器上做相应配置。D、目前elog支持手动添加和自动发现两种管理FW的方式,手动添加方式需要在FW上配置SNMP相关参数。参考答案：D151.为防范病毒,可以在云端网络边界部署以下哪种安全设备?A、数据库审计B、Anti-DDoSC、堡垒机D、沙箱参考答案：D152.已知该编辑注册表键HKEY_LoCal_MACHINESYSTEMCurrentControlSetservicesLanmanServerParameters,新建项AutoShareServer的值为多少A、100B、0C、10D、1参考答案：B153.日志管理的作用不包括下列哪项？A、日志存储B、运维故障分析C、攻击溯源D、审计用户行为参考答案：D154.以下关于病毒特征的描述，错误的是哪项?A、影响设备或程序的正常运行，删除或加密文件等，具备破坏性B、杀毒软件通过加壳伪装自己逃避查杀，具备伪装性C、随着计算机病毒制作技术的不断提高，病毒会出现变种，具备不可预见性D、病毒本身很小，通常依附于正常程序之中或磁盘引导扇区中，具备传染性参考答案：B155.以下关于IPv6安全特性的描述,错误的是哪一项?A、AH和ESP可作为IPv6的扩展头部,IPsec用于保障额外安全。B、IPv6的DNS等相关协议增加安全设计。C、IPv6的地址是128位,从而保证源地址可信。D、可通过加密方式生成IPv6地址,但是不支持隐私头部。参考答案：C156.华为UMA产品可采用逻辑串联的方式部署，关于这种部署方式，下列哪种说法是错误的？A、逻辑模式：人->从账号->授权->主账号->目标系统B、主账号为UMA账号，与运维人员一一对应C、从账号为目标系统账号，无需与人员一一对应，普通运维人员可以不感知D、用户Web登录UMA，不需要在终端安装客户端，不改变原有操作习惯参考答案：A157.以下哪一项不属于华为HiSecCloudFabric解决方系执行层的设备组件？A、SeanagerB、VSCANC、USGD、IPS参考答案：A158.以下关于防火墙的应用行为控制配置内容的描述中,错误的是哪一项?A、displayprofiletypeapp-controlnamedefault可以查看到缺省配置文件中的配置信息。B、FTP文件删除是指删除FTP服务器上的文件。C、创建或修改安全配置文件后,配置内容不会立即生效,需要执行engineconfigurationmit命令来激活配置。D、IM行为控制能够对QQ的聊天内容进行控制,包括文字、图片、文件等内容。参考答案：D159.以下关于双机场景下L2TPoverIPSec的实现中，描述错误的是哪一项？A、建立L2TP隧道后，用户不可正常访问internet。B、客户端设置的参数要与防火墙上设置的参数相匹配。C、客户端应对双机虚拟地址发起拨号连接。D、在这种场景下的防火墙会给客户端分配IP地址参考答案：A160.以下关于IPv6下NAT的描述，错误的是哪一项？A、IPv6NAT可以避免IP溯源困难而产生的安全隐患。B、IPv6NAT协议可以保证外部非授权用户无法直接对真实的IPv6地址建立连接。C、IPv6NAT技术支持一对多的地址翻译。D、IPv6NetworkPrefixTranslation协议可以隐藏内部IPv6地址。参考答案：A161.网络设备的AAA功能不包括下列哪一项？A、AccountingB、AuthorizationC、AuthenticationD、Accessing参考答案：D162.下列哪项是造成该故障的可能原因？A、网关和内网服务器间路由不可达。B、用户没有被分配到Web代理的资源。C、安全策略没有放行外网到内网服务器的流量D、SSLVPN单臂部署旁挂在防火墙上，需要使用NAT将SSLVPN网关私网地址映射为公网地址，地址映射错误。参考答案：B163.在防火墙虚拟系统向根系统下的eLog输出日志的场景中，以下关于输出方式的描述，正确的哪项?A、PortRange日志不能输出到虚拟系统对应的eLog,只能输出到根系统对接的eLogB、可以手动配置将会话日志输出到根系统对接的eLogC、不可以通过手动配置将丢包日志输出到根系统对接的eLog。D、不可以手动配置将业务日志输出到根系统对接的eLog。参考答案：A164.以下哪项不属于网络诱捕技术的典型部署场景？A、接入或汇聚旁挂防火墙诱捕B、核心旁挂防火墙诱捕C、交换机网关（靠接入侧）直路诱捕D、核心路由器上部署参考答案：D165.防火墙接入用户认证的触发认证方式,不包括以下的哪项?A、SSLVPNB、L2TPVPNC、MPLSVPND、IPSecVPN参考答案：C166.数据在其产生、传输、存储、销毁的生命周期中不存在下列哪项风险？A、数据生产风险B、数据传输风险C、数据存储风险D、数据使用风险参考答案：A167.以下哪项不是NAS存储方案的优点？A、即插即用B、存储性能高C、存储部署简单D、管理容易且成本低参考答案：B168.下列哪一项不是华为主动安全方案的特点?A、被动处置B、关联分析C、持续监控所有数据D、自适应安全架构参考答案：A169.在CIS系统工作流程中,数据采集后就会进入大数据处理阶段的描述,错误的是哪一项?A、数据预处理负责对采集器上报的归一化日志和流探针上报的流量元数据进行格式化处理。B、分布式存储负责对格式化后的数据进行存储。C、分希式索引负责对关键的式化数据建立索引。D、大数据处理完成直接可以进行威肋联动联动相关安全设备对数据进行威胁检测。参考答案：D170.以下哪项不属于网络层安全或胁?A、钓鱼攻击B、DDoS攻击C、IPSpoofingD、IP地址扫描参考答案：A171.在实现云端数据库储存安全时,以下选项中不需要涉及的是哪一项?A、文档加密B、密钥管理C、数据库加密D、数据上传加密参考答案：D172.以下哪一项不是单点登录的优点？A、账号可以分区授权B、一定程度上增加了安全性C、无需多个账号密码D、提高用户效率参考答案：A173.某企业在网络中部署了华为USG6000系列防火墙，要实现用户通过Telnet/SSH访问防火墙，而且该用户输入的每一条命令都要通过服务器授权才能执行。以下哪种认证方式可以满足需求？A、RadiusB、LDAPC、HWTACACSD、AD参考答案：C174.以下哪个选项不能体现APT攻击的高级特性?A、APT攻击遵循网络攻击链的过程。B、APT攻击中会使用零日漏洞C、APT攻击一般较为隐蔽,通过加密通道等方式隐藏攻击。D、发动APT攻击一般需具备大型组织的力量。参考答案：A175.以下关于信息安全管理的指导原则的描述,不正确的一项是?A、需要明确国家、企业和个人对信息安全的职责和可确认性。B、信息安全需要积极防御和综合防范。C、需要综合考虑社会因素对信息安全的制约。D、工程原则中降低复杂度的原则是需要实现访问的最大控制权。参考答案：D176.在防火墙上部署双机热备时,为实现VRRP备份组整体状态切换,需要使用以下哪个协议?A、VRRPB、VGMPC、HRPD、OSPF参考答案：B177.当接入用户使用Client-InitiatedVPN方式与LNS建立隧道时,一条隧道可以承载多少PPP连接?A、4B、1C、2D、3参考答案：B178.关于NAT地址池的配置命令如下:其中,no-pat参数的含义是:A、不做地址转换B、进行端口复用C、不转换源端口D、不转换目的端口参考答案：C179.以下属于应用层流量型攻击的是哪一项？A、TCPfloodB、HTTPfloodC、CSRFD、XSS参考答案：B180.以下关于信息安全管理体系ISMS的描述,不正确的一项是?A、ISMS和等级保护的共同之处有都可以加强对信息安全保障工作、对安全管理的要求有相同点、能够相互促进与补充。B、ISMS的规划设计包括建立阶段、事实和运行阶段、监视和评审阶段、保持和改进阶段。C、ISMS的实施过程包括规划和设计、建立、实施和运行、监视和评审4个阶段。D、信息安全管理体系实施就是指信息安全管理体系的建立。参考答案：D181.以下关于IPS处理流量的过程，正确的顺序是哪项？A、数据重组→特征匹配→应用识别→相应处理B、数据重组→应用识别→特征匹配→相应处理C、相应处理→数据重组→特征匹配→应用识别D、相应处理→特征匹配→应用识别→数据重组参考答案：B182.如下图所示总部网络双机部署，分别网络配置实现L2TPoverIPSec接入总部网络，以下关于IPSec感兴趣流配置的描述，正确的一项是A、aclnumber3000Rule10permitudpsource-porteq1701B、aclnumber3000Rule10permitudpdestination-porteq1701C、aclnumber3000Rule10permittcpsource-porteq1701D、aclnumber3000Rule10permittcpdestination-porteq1701参考答案：B183.下列关于双机热备的描述中错误的是?A、无论是二层还是三层接口,无论是业务接口还是心跳接口,都需要加入安全区域B、缺省情况下抢占延迟是60sC、缺省情况下主动抢占功能是开启的D、双机热备功能需要license支持参考答案：D184.以下哪种不是数据中心部署防火墙的作用？A、防护VDC南北向流量B、隔离VPC内不同主机的流量C、隔离VDC内不同VPC的流量D、隔离不同VDC的流量参考答案：B185.在广电方案中,防火墙部署在网络出口处的主要功能不包括下列哪一项?A、准入控制B、NATC、安全管理D、多出口智能选路参考答案：A186.下列哪项不属于HCIE-Security课程中的内容？A、信息安全等级保护B、代码审计C、Web安全D、病毒防范参考答案：B187.沙箱无法跟下列哪个设备联动反病毒?A、交换机B、CISC、防火墙D、路由器参考答案：D188.关于GREOverIPSec的说法，下列哪项说法是错误的？A、IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址，目的地址即IPSec对等体中应用IPSec安全策略的接口地址。B、IPSec需要保护的数据流为从GRE起点到GRE终点的数据流。C、GRE封装过程中增加的IP头即源地址为GRE隧道的源端地址，目的地址为GRE隧道的目的端地址。D、当网关之间采用GREoverIPSec连接时，先进行IPSec封装，再进行GRE封装。参考答案：D189.以下关于CC防护的描述，不正确的是哪项？A、当开启CC防护后，如果WAF设备发现攻击行为，访问流量会被直接丢弃B、CC防护是通过用户设置的阈值来判定是否存在攻击行为C、WAF设备在发现攻击行为后，会提供攻击者的IP地址D、攻击者的IP地址会被WAF设备加入黑名单参考答案：A190.下列哪一项不属于常见个人数据范畴？A、生日B、政治观点C、姓名D、职业参考答案：B191.用iptables写一条规则不允许/16的网段访问本设备,以下哪项规则写法是正确的?A、iptables-tfiter-AINPUT-s/16-pall-jDROPB、iptables-tfiter-PINPUT-s/16-pall-jDROPC、iptables-tfiter-PINPUT-s/16-pall-j-ACCEPTD、iptables-tfiter-PINPUT-d/16-pall-j-ACCEPT参考答案：A192.使用策略路由修改下一跳地址后，流量的没有按照策略路由转发，以下哪个选项的说法是错误的？A、策略路由有没有提交生效B、接口的IP地址没有配置正确C、匹配的源安全区域不正确D、没有放行域间流量参考答案：C193.以下哪项不属于当前病毒传播途径？A、电话交流B、网页感染C、U盘D、邮件参考答案：A194.以下关于华为云安全构架的网络层防护规划的描述，不正确的是哪项?A、云端网络边界通过DDoS防御保护业务可用性。B、租户间可以通过安全组网络隔离。C、云端网络边界防护DDoS只能通过部署Anti-DDoS设备来实现。D、华为云与客户网络之间通过防火墙实现安全隔离。参考答案：C195.下列关于数据库审计系统（DAS）的描述，错误的是哪一项？A、管理中心负责提供管理和据分析界面，方便用户进行审计引擎管理和系统日志分析B、审计引擎负责接收审计策略，对网络访问依据审计策略进行审计和响应，并将审计日志上报到管理中心C、DAS包括管理中心、审计引擎和授权中心三部分D、授权中心负责对管理中心、审计引撃进行授权，保证其永久正常使用参考答案：D196.同一VPC内创建了两个子网，两个子网又分别创建了两个云主机A和云主机B，云主机在default安全组，云主机B在default安全组和安全组，下列哪项说法正确？A、云主机A和云主机B能够互访B、云主机A和云主机B彼此不能互访C、云主机A可以访问云主机B，云主机B不能访问云主机AD、云主机B可以访问云主机A，云主机A不能访问云主机B参考答案：A197.关于GRE封装与解封装,以下哪项描述是错误的?A、封装过程,原始数据包通过查找路由把数据包传递到Tunnel接口后出发GRE封装B、封装过程,经过GRE模块封装后,此数据包将进入IP模块进行下一步处理C、解封装过程,目的端收到GRE报文后,通过查找路由把数据包传递到Tunnel接口后出发GRE解封装D、解封装过程,经过GRE模块解封装后,此数据包将进入IP模块进行下一步处理参考答案：C198.以下关于入侵防御的描述，正确的是哪一项？A、预定义签名的缺省动作包括放行，告警和阻断。B、当安全策略中引用了入侵防御配置文件时，安全策略的方向和攻击流量的方向必须是一致的C、自定义签名优先级高于预定义签名优先级。D、入侵防御智能检测入侵行为，不能阻断。参考答案：A199.以下关于服务识别的描述,错误的是哪一项?A、攻击者可根据服务版本检索到相关的漏洞,并加以利用。B、服务识别是一种识别服务器上提供的服务类型的侦查技术C、SSH协议会主动告知访问者自己版本信息。D、所有服务的识别均可通过端口扫描技术实现。参考答案：D200.下列哪一项不属于IPv6协议中AH报头的作用？A、数据加密B、身份验证C、防重放攻击D、完整性校验参考答案：A201.以下哪种类型的日志不能使用Netflow日志格式？A、URL会话日志B、IPv4会话日志C、半连接会话日志D、IPv6NAT64会话日志参考答案：A202.以下关于华为UMA统一运维审计的描述,错误的是哪一项?A、在非永久授权情况下,运维管理员授权到期后如果有授权定制则不会被删除授权。B、支持定期自动修改服务器、网络设备等目标设备密码的功能。C、支持SSH、FIIP、RDP等各类协议。D、在日志管理中,日志一旦被删除,将无法还原。参考答案：A203.以下关于华为数据库审计系统部署方式的描述，错误的是哪一项？A、分布式高可靠性部署是由分布式部署方式结合HA高可靠性。B、一体化高可靠性部署是由一体化单机部署方式结合HA高可靠性。C、分布式部署中管理中心、授权中心部署在同一个VM上，审计引擎部署于另一个VM上。D、一体机单机部署方式中管理中心、审计引擎、授权中心三个组件部署于同一个VM上。参考答案：A204.如果想针对源IP地址进行智能选路可以使用以下哪种智能选路的方式?A、全局选路策略B、策略路由选路C、ISP选路D、健康检查参考答案：B205.下列哪一项不属于配置ASG设备双机热备的优点？A、提高数据传输速度B、提高系统可靠性C、降低故障对业务的影响D、提高故障恢复速度参考答案：A206.下列哪项设备一般不会部署在网络边界处?A、防火墙B、Anti-DDoSC、ASGD、CIS参考答案：D207.以下信息不能通过namp工具扫描出来的是哪几项？A、端口B、系统漏洞C、操作系统服务D、服务参考答案：B208.以下对于IPs的描述,错误的是哪一项?A、IPS可以抵御单包攻击B、IPS可以抵御APT攻击C、IPS可以和防火墙联动D、IPS可以进行内容安全过滤参考答案：B209.访问者可以通过Portal认证页面获取短信验证码，然后输入短信验证码即通过认证，以下哪项属于该认证方式A、本地认证B、单点登陆C、短信认证D、服务器认证参考答案：C210.关于防火墙带宽策略，下列哪项说法是错误的A、对于最大带宽和连接数限制，子策略不能大于父策略B、在同一组父子策略中，不能引用同一个带宽通道C、如果带宽管理与源NAT功能同时使用，配置带宽策略的源地址/地区匹配条件时应指定转换前的地址D、如果带宽管理与源NAT功能同时使用，配置带宽策略的源地址，/地区匹配条件时应指定转换后的地址参考答案：D211.如图所示，总部网络防火墙双机部署，分部网络配置实现GREoverIPSec接入总部网络，以下关于双机情况下GREoverIPSecVPN的描述中，正确的是哪一项？A、总部防火墙上配置GRE隧道接口的源地址使用主防火墙物理接口的地址。B、GREoverIPSec中的IPSec感兴趣流针对数据流量的真实业务源目地址写ACL。C、分部网络防火墙指定的IKE邻居地址应为。D、总部网络防火墙指定的IKE邻居地址应为。参考答案：C212.有关华为实现业务安全韧性的方法,以下哪一项是错误的?A、采用AI技术弥补威胁防御的滞后性。B、通过关联分析与协同联防方式实现主动安全。C、摒弃传统被动的网络威胁防御方式,以业务为中心实现安全韧性。D、通过部署主动安全与被动防御,防范网络攻击链各个阶段的攻击。参考答案：C213.以下哪项威胁不能被沙箱虚拟执行环境检测？A、PE文件病毒B、PDE文件病毒C、Web文件病毒D、C&C攻击参考答案：D214.以下关于园区安全联动的描述，错误的是哪一项？A、能够智能检测威胁。B、控制器能够实时阻断威胁。C、能够对全网的数据进行采集。D、安全设备会将流量日志上报给CIS进行分析。参考答案：B215.图一表格为原始数据表格，图二为进行K-匿名化技术处理后的数据，该项处理的K值为多少？A、3B、1C、2D、4参考答案：D216.在配置自定义签名时，可以配置的动作不包括以下哪项？A、放行B、阻断C、缺省D、告警参考答案：C217.甲乙通信双方进行数据通信,若采用非对称加密算法进行加密,甲发送数据给乙时,以下哪个密钥将被用于进行数据加密?A、甲的公钥B、甲的私钥C、乙的公钥D、乙的私钥参考答案：C218.所示,USG防火墙NAT配置如下:A、FTPServer回应ClientA时转化为地址地1中的地址B、源NAT配置,只能针对内网用户（/24）访问外网进行转换C、当把FTPServer主机的IP地址改为1.11.3.ClientA主机仍然能够访问FTPServerD、ClientA访问FTPServer,目的地址转化为,源地址不变参考答案：C219.针对Web安全风险,在云端网络边界部署以下哪种安全设备防护效果最好?A、WAFB、漏扫C、IPSD、IDS参考答案：C220.以下关于eLog在线日志和转储日志的描述，正确的是哪一项？A、在线日志免去了解压缩的过程，所以速度最快。B、转储日志通常为未压缩的文件数据库。C、在线日志占用空间较小，而转储日志占用空间较大。D、在线日志通常为压缩的文件数据库。参考答案：A221.管理员希望清楚当前会话表。以下哪个命令是正确的?A、clearfirewallsessiontableB、resetfirewallsessiontableC、displayfirewallsessiontableD、displaysessiontable参考答案：B222.下列哪个选项不属于通信类电子证据?A、电话录音B、聊天记录C、电子邮件D、系统日志参考答案：A223.以下基于邮件内容的过滤中，错误的是哪一项？A、邮件附件控制B、邮箱地址检查C、匿名邮件检测D、垃圾邮件防范参考答案：D224.以下哪个选项不属于智能选路的方式？A、基于全局选路策略选路B、基于策略路由选路C、基于ISP选路D、基于链路质量选路参考答案：D225.以下哪一项不属于ATIC中的防御策略可以匹配的动作?A、阻断B、限流C、防御D、告警参考答案：D226.沙箱与防火墙联动反病毒,沙箱检测病毒文件后将以下哪项信息反馈到防火墙?A、应用B、源IPC、文件MD5D、URL参考答案：C227.如所示,防火墙上配置了natserverglobalinside,以下针对域间规则,配置正确的是:A、rulenamecsource-zoneuntrustdestination-zonetrustdestination-address32B、rulenamedsource-zoneuntrustdestination-zonetrustdestination-address32actionpermitC、rulenamebsource-zoneuntrustdestination-zonetrustD、rulenamebsource-zoneuntrustdestination-zonetrustsource-address32actionpermit参考答案：B228.关于防火墙开启虚拟化功能的配置命令，以下哪个选项是正确的？A、vsysenableB、vsysnameenableC、vsysD、vsys-viewenable参考答案：A229.以下关于VGMP协议描述错误的是哪项?A、VGMP将同一台防火墙上的多个VRRP备份组都加入到一个管理组,由管理组统一管理所有VRRP备份组B、VGMP通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致C、状态为Active的VGMP组设备会定期向对端发送hello报文,stdandby端只负责监听hello报文,不会进行回应D、在缺省情况下当standby端三个hello报文周期没有收到对端发送的hello报文,会认为对端出现故障,从而将自己切换到Active状态。参考答案：C230.以下哪一项不属于IPS设备预定义签名的缺省动作？A、放行B、告警C、阻断D、丢弃参考答案：D231.以下关于邮件过滤的描述，错误的是哪一项？A、开启匿名邮件检查，能够防止违法信息通过后名邮件方式在整个网络内部传播。B、开启邮件附件控制，对附件的大小和个数进行控制，防止大量信息通过附件泄露出去。C、开启邮箱地址检查，只允许指定邮箱地址发送或接收电子邮件，从发送和接收权限上进行控制，防止内部用户泄露重要信息。D、开启垃圾邮件防范，能够防止外网的SMTP服务器收到大量垃圾邮件。参考答案：D232.以下关于安全防护的描述，正确的是哪一项？A、当FW部署在NAT设备后面时，可能会出现大量同一源IP地址访问不同端口的。流量，此种场景下不能开启端口扫描攻击防范功能。B、当FW工作在透明模式时，可以开启IP欺骗攻击防范功能。C、以太网接口接收的报文，不可以绑定其源IP地址与MAC地址的对应关系D、ASPF功能不会影响设备性能。参考答案：A233.以下关于APT的攻击特点的描述,错误的是哪一项?A、常使用0-day漏洞进行攻击B、攻击目标明确C、外联通道通常加密，不易检测D、遵守网络攻击链流程参考答案：D234.以下选项中哪一个不属于网络数据传输过程中可能受到的威胁？A、数据篡改B、恶意代码C、数据窃听D、身份伪造参考答案：B235.实现华为云端业务系统全生命周期安全时,以下哪个阶段不在实现范围之内?A、业务系统安全维护B、业务系统上线时C、业务系统升级优化D、业务系统上线前参考答案：C236.华为网络安全智能系统CIS不能与以下哪项设备联动阻断病毒?A、AgileController-CampusB、AgileController-DCNC、SeanagerD、防火墙参考答案：B237.下列哪个选项不属于被动获取信息的手段?A、端口扫描B、端口镜像C、收集日志D、抓包参考答案：D238.在配置服务器负载均衡时，以下哪个选项不是必需的？A、服务健康检查B、负载均衡算法C、虚拟服务器地址D、实服务器地址参考答案：A239.以下关于IPV6无状态地址DAD检查的描述,错误的是哪一项?A、当接口配置为IPV6地址时,DAD用来在本地