2024年资格考试-深信服安全工程师认证(SCSA)考试近5年真题集锦（频考类试题）带答案

（图片大小可自由调整）2024年资格考试-深信服安全工程师认证(SCSA)考试近5年真题集锦（频考类试题）带答案第I卷一.参考题库(共100题)1.下面（）命令可以释放DHCP地址A、ipconfig／releaseB、ipconfig／renewC、ipconfig／registerdnsD、ipconfig／all2.在NAT环境下通过什么技术可以解决多VPN连接的问题（）A、NATPB、GREC、TRUNKD、NAT-T3.NGAF的URL过滤功能是通过检查HTTP头部哪个字段实现的（）A、HOSTB、COOKIEC、REFERERD、USER-AGENT4.下列说法不正确的是（）A、在大量数据进行加密的时候一般会采用非对称加密进行加密数据传输B、RSA、ECC、DH、DSA是常见的非对称加密技术C、DES、AES、Blowfish、IDEA等是常见的对称加密的算法D、非对称加密相对于对称加密而言，安全性更高5.以下哪类网络攻击不属于DOS攻击（）A、SYNFlood攻击B、IPSpoofing攻击C、TearDrop攻击D、ICMPFlood攻击6.客户内网搭建了一台报名网站服务器，使用的服务端口为80端口。客户互联网出口IP为2，规划外网用户使用8084端口作为报名网站服务器的访问端口。请问以下说法错误的是？（）A、做端口映射可以实现源any目的IP：2目的端口80B、做一对一转换可以实现源any目的IP：2目的IP为网站服务器端口为anyC、做一对一转换可以实现但必须要将报名网站服务端口改为8084D、通过NAT可以实现，可以使用端口复用技术7.在客户处实施AC单网桥上架，AC内网口接内网三层交换机，AC外网口接外网防火墙，现上架后发现内网上网正常，但是内网PC登陆不了AC控制台，以下排查不合理的是（）A、PC直连AC的DMZ口尝试登陆控制台B、外网防火墙对AC做了过滤策略禁止AC上网C、AC部署在trunk环境中，但是在AC上没有启用vlan配置D、AC可能没有配置到内网的回包路由，检查路由配置8.下列有关NGAF接口与区域的说法中，错误的是（）A、NGAF的一个路由口下可以添加多个子接口，且路由接口的IP地址不能与子接口的IP地址在同网段B、NGAF的一个区域可以包含多个接口，一个接口也可以属于多个区域C、NGAF的虚拟网线区域只能包含虚拟网线接口，不能包含透明接口和三层接口D、单进单出透明部署情况下，可以通过配置VLAN接口IP来对设备进行管理9.以下关于DOS攻击的描述正确的是（）A、DNS洪水攻击手段是DOS攻击的一种B、以窃取目标系统上的机密信息为目的C、导致目前系统无法处理正常用户的请求D、如果目标系统没有漏洞，远程攻击就不可能成功.1/17的广播地址是（）A、55B、55C、55D、5511.下列哪个是NGAF的僵尸网络防护中只检测不拦截的功能（）A、异常流量B、移动安全C、恶意链接D、木马远控12.对企业网络最大的威胁是（）A、黑客攻击B、外国政府C、竞争对手D、内部员工的恶意攻击13.关于SSL/TLS协议通道的特性描述中，不正确的是（）A、机密性B、可靠性C、完整性D、快速性14.ESP使用下面哪个协议号（）A、50B、51C、52D、5315.上门测试前，需要检查设备当前规则库是否最新，如果应用识别规则库不是最新，则可能会导致某些应用无法正确识别，下列选项中，不受应用识别规则影响的是（）A、封堵迅雷等P2P下载软件B、流控迅雷等下载软件C、端口映射D、封堵QQ等即时通信软件16.DHCPoffer数据包属于以下哪种类型的数据包？（）A、多播B、广播C、组播D、单播17.以下哪项不是静态路由的优点（）A、管理简单B、自动更新路由C、提高网络安全性D、节省带宽18.设备单网桥部署在网络出口路由器和核心交换机之间，现在发现设备中的规则库无法更新，下列排查方法错误的是（）A、可能是设备的规则库序列号已经过期，需要检查“系统管理—系统配置—系统更新—规则库升级”中的规则服务有效期是否有效B、可能是前置防火墙或路由器上对AC的地址多了限制，需要去前置设备上检查策略配置，并放通AC访问公网的权限C、可能是设备无法上网，可以在AC的“系统管理—防火墙—NAT代理上网”中检查有没有配置NAT代理上网D、可能是设备无法上网，可以在“系统管理—系统诊断—命令控制台”上ping公网地址测试设备是否可以上网19.DOS攻击不包括一下哪种（）A、ARP欺骗B、Smurf攻击C、DNSfloodingD、UDPflooding20.以下哪种路由协议属于距离矢量路由选择协议？（）A、RIPB、ospfC、IS-ISD、DPS21.关于端口映射中的“发布服务器”功能说法错误的是（）A、勾选此功能后，内网用户可以直接通过公网IP来访问服务器B、勾选此功能后，内网用户无法直接通过服务器的内网IP来访问服务器了C、如果服务器对访问者的IP做了连接数限制，则不建议开启此功能D、勾选此功能后，外网访问服务器的时候，源IP会转换成ACLAN口或者DMZ口的接口IP22.AF单臂路由部署环境下，下面说法正确的是（）A、子接口不需要有对应的物理接口B、子接口不能实现ADSL拨号C、应用控制策略不能控制两个子接口所属网段的相互访问D、使用子接口来实现不同vlan间的通信23.请问以下LINUX命令中哪个是正确的重启网络服务的命令？（）A、restartnetworkserversB、resetnetworkprocessC、servicenetworkrestartD、networkservicereset24.NGAF透明部署下配置路由的作用说法不正确的是（）A、因为内网用户要上网，需要配置路由进行转发B、用于设备和内网用户进行通信C、用于设备和互联网服务器通信，进行规则库的更新D、不配置路由，数据无法转发25.计算机网络安全是指（）A、网络中设备部署环境的安全B、网络使用者的安全C、网络中的信息安全D、网络的财产安全26.关于AC旁路模式，下面描述哪项不正确（）A、旁路模式主要用于实现审计功能，完全不需要改变用户的网络环境B、不支持流量控制功能C、对基于TCP协议的应用无法控制D、不支持NAT、VPN、DHCP等功能27.关于协议和端口说法正确的是（）A、DNS一般是TCP协议53端口B、HTTP协议一般是UDP80端口C、SNMP协议一般是UDP161162端口D、UDP端口可以通过telnet去测试端口是否开放28.关于用户注销，以下说法不正确的是（）A、可以手动强制注销不需要认证的用户B、DKEY用户无法被手动强制注销C、密码认证的用户可以被手动强制注销D、可以通过务流量自动注销所有用户29.当需要控制的URL地址不在内置URL库时，需要自定义URL，下面关于自定义URL方式，不正确的是（）A、B、www.si*.comC、D、*.sina，com30.个分支机构内网网段都是/24，关于建立sangforVPN的说法中正确的是（）A、这两个任职机构都可以与总部建立sangforVPN，但是总部至少为一个分支配置隧道间路由B、这两个分支机构都可以与总部建立sangforVPN，但是总部至少为一个分支配置隧道内NATC、这两个分支机构之间也可以简历sangforVPN实现内网互联互通D、这两个分支机构之间不能建立sangforVPN，也不能以分支角色同时接入总部31.以下哪项应用不能添加成TCP应用类型（）A、远程桌面（Terminalservice）B、数据库查询（MYSQL、ORACLE）C、域名解析（DNS）D、邮件收发（SMTP、POP3）32.安全审计在安全保障四阶段中，属于（）阶段。A、保护B、恢复C、响应D、检查33.在传输距离相同的条件下，目前哪种介质所支持的信息传输速率最大（）A、同轴电缆B、光纤C、双绞线D、电话线34.关于wireshark说法正确的是（）A、可以通过显示过滤器http==&port；"来过滤访问腾讯主页的数据B、可以通过显示过滤器ip.addr==来过滤IP的双向数据包C、可以通过捕获过滤器ip.addr==来抓取此IP的双向数据包D、可以通过捕获过滤器port21来抓取访问ftp全过程的数据包35.关于加密算法的说法中，错误的是（）A、对称加密算法常见的有DES、AES、RC4B、非对称加密算法常见有RSA、ECC、Diffie-HellmanC、常用对称加密算法来传递非对称加密算法的公钥D、加密算法分对称加密算法和非对称加密算法36.客户做了密码认证后，弹不出密码认证框，下面排查不合理的是（）A、检查“认证前”权限是否拒绝了http应用和dns应用B、检查是否启用“未通过认证的用户允许访问dns服务”C、检查到内网是否路由可达D、检查设备网桥IP是否能正常上网37.常用的DNS测试命令是（）A、NetB、nslookupC、cmdD、arp38.下面哪些方式是属于三层VPN的（）A、L2TPB、IPSECC、PPTPD、MPLS39.计算机病毒工作步骤是以下哪种（）A、潜伏阶段-传染阶段-触发阶段-发作阶段B、传染阶段-潜伏阶段-触发阶段-发作阶段C、传染阶段-触发阶段-潜伏阶段-发作阶段D、潜伏阶段-触发阶段-传染阶段-发作阶段40.以下关于NGAF的IPS策略配置与安全防护对象规则的说法，正确的是（）A、IPS策略检测攻击后操作设置为拒绝，规则设置为"启用，检测后拦截"，则匹配到该规则的行为会被拦截B、IPS策略检测攻击后操作设置为拒绝，规则设置为"启用，检测后放行"，则匹配到该规则的行为不会被放通C、IPS策略检测攻击后操作设置为拒绝，规则设置为"启用，检测后放行"，则匹配到该规则的行为会被拦截D、IPS策略检测攻击后操作设置为允许，规则设置为"启用，检测后拦截"，则匹配到该规则的行为不会被放通41.用户身份识别主要通过（）完成的A、查询功能B、权限控制C、身份认证D、审计策略42.路由器收到的IP报文的TTL值为1时，路由器会如何处理（）A、丢弃该数据包B、将数据包分片C、将数据包重组D、转发该数据包43.设备IP地址为，现忘记了控制台登陆密码，请问怎么恢复（）（注意客户要求之意能恢复密码，配置不能丢失）A、通过console口恢复密码B、长安设备面板的reset键恢复密码C、先访问地址https：///php/rp.php创建标记文件，再交叉线直连设备任意两个非bypass电口恢复密码D、通过U盘接入设备USB接口恢复密码44.数据完整性指的是（）A、提供连接实体身份的鉴别B、防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致C、确保数据是由合法实体发出的D、保护网络中各系统之间交换机的数据，防止因数据被截获而造成泄密45.关于授权相关的说法中，正确的是（）A、sangforVPNPDLAN和SSLVPN用户数可以手动调整，保持授权总数不变B、第三方对接标准IPSECVPN对接不需要授权C、网关模式部署，可以任意使用多条外网线路，不需要WAN线路数授权D、SSLVPN授权用户数就是可以创建的最大用户数46.以下哪个不是邮件传输相关协议？（）A、SNMPB、SMTPC、POP3D、IMAP47.想要创建针对服务器和客户端的IPS策略，下列配置策略中源、目的正确的是（）A、防护服务器：源：全部IP目的：服务器IP防护客户端：源：全部IP目的：客户端IPB、防护服务器：源：服务器IP目的：全部IP防护客户端：源：全部IP目的：客户端IPC、防护服务器：源：全部IP目的：服务器IP防护客户端：源：客户端IP目的：全部IPD、防护服务器：源：服务器IP目的：全部IP防护客户端：源：客户端IP目的：全部IP48.AC网桥模式下面支持哪种功能？（）A、DHCPB、VPNC、流量控制D、NAT49.以下关于NGAF的实时漏洞分析说法错误的是（）A、实时漏洞分析需要通过多功能序列号开启B、实时漏洞分析不干预设备数据转发流程，不发reset包C、实时漏洞分析识别库下的规则无拒绝动作D、实时漏洞分析需要设备和服务器之间保持通信50.CIA三原则基本是安全业界的主流共识，下列哪一项不属于CIA原则（）A、机密性B、可用性C、扩展性D、完整性51.以下关于“公共用户”，描述正确的是（）A、“公共用户”支持本地用户认证和证书认证B、“公共用户”支持短信认证，令牌认证等辅助认证C、“公共用户”不支持硬件特征码认证D、“公共用户”不允许用户在线修改登录密码52.AC怎么识别https网站的URL（）A、Host内容B、Servername字段C、颁发给字段D、U-A字段53.AC上网审计策略，默认会审计经过设备上网的行为及外发的内容，审计用户上网行为在外企存在一定的法律风险，客户为了避免法律风险，希望之神级用户上网行为，不审计用户上网内容，请问下列说法正确的是（）A、此需求无法实现B、可以将内容用户的IP地址段添加到全局排除地址中C、不要给用户关联任何上网审计策略D、可以通过多功能序列号激活行为审计，关闭内容审计54.以下wireshark表达式中符合“显示目的端口为TCP880或源端口为udp8080的数据包”需求的是？（）A、tcp.dstporteq880orudp.dstport==8080B、tcp.dstporteq880orudp.srcport==8080C、dsttcp880orsrcudp8080D、tcp.dstporteq880andudp.srcport==808055.关于sangforSSLVPN中角色的作用说法正确的是（）A、将资源与用户关联起来B、将资源与资源组关联起来C、将资源与访问权限关联起来D、将用户和用户组关联起来56.NGAF单臂路由部署环境下，下面说法正确的是（）A、使用子接口来实现不同VLAN间的通信B、子接口不需要有对应的物理接口C、子接口不能实现ADSL拨号D、应用控制策略不能控制两个子接口所属网段的相互访问57.SSLVPN工作在TCP/IP协议的哪一层（）A、网络层B、传输层C、应用层D、网络接口层58.HTTP数据包中的（）字段可以显示用户要访问的服务器域名A、Host字段B、Server字段C、User-Agent字段D、Referer字段59.TCP协议采用哪种流量控制机制？（）A、包过滤B、GO-BANK-NC、超时重传D、滑动窗口60.单进单出网桥环境下，为什么NGAF推荐使用虚拟网线接口部署（）A、虚拟网线接口不支持路由转发B、虚拟网线接口不需要配置IP地址C、虚拟网线接口是普通的交换接口D、虚拟网线接口转发数据帧时，无需检查MAC表，直接从虚拟网线配对的接口转发61.在windows95/98的dos窗口下，能用以下命令察看主机的路由表（）A、NETSTATB、ARP-AC、TRACEROUTED、ROUTEPRINT62.客户某台主机上互联网的同时要能上内网，互联网网卡地址为/24网关内网网卡地址为/24网关客户想要通过此主机访问IP为7的网站服务器，下列主机路由添加正确的是？（）A、route-aaddnetmaskB、route-padd7mask55C、route-padd7mask55nexthopD、route-aadd75563.了避免冒名发送数据或发送后不承认的情况出现，可以采用的办法是（）A、数字水印B、数字签名C、访问控制D、发电子邮件确认64.数据传输过程中数据包封装TCP包头发生在哪一层（）A、传输层B、会话层C、网络层D、数据传输层65.L3VPN资源不支持基于下列哪种协议的应用（）A、POPB、SMTPC、ICMPD、PPPOE66.NGAF的多线路负载不支持以下哪种方式（）A、轮询B、优先使用前面线路C、加权最小流量D、随机HASH67.网络通信面临的四种威胁中，不属于主动攻击的是（）A、监听B、中断C、篡改D、伪造68.下列哪个协议可提供“ping”和“traceroute”这样的故障诊断功能？（）A、ICMPB、IGMPC、ARPD、RARP69.关于跨三层MAC识别，下列说法错误的是（）A、AC的跨三层识别功能是通过SNMP协议来获取的B、所有厂家的网络设备的ARP表对应的OID都是一样的C、SNMP协议是UDP协议，不能通过telnet来测试D、跨三层交换机转发后，电脑的数据包到AC的时候，源MAC是三层交换机的70.下列有关NGAF接口和区域的说法中，错误的是（）A、NGAF的一个路由口下可以添加多个子接口，且路由接口的IP地址不能与子接口的IP地址在同网段B、NGAF的虚拟网线区域只能包含虚拟网线接口，不能包含透明接口和三层接口C、单进单出透明部署情况下，可以通过配置VLAN接口IP来对设备进行管理D、NGAF的一个区域可以包含多个接口，一个接口也可以属于多个区域71.RARP的作用是（）A、将自己的IP地址转换为MAC地址B、将对方的IP地址转换为MAC地址C、将对方的MAC地址转换为IP地址D、知道自己的MAC地址，通过RARP协议得到自己的IP地址72.客户要求用户support上班时间拒绝P2P和迅雷等多线程下载、玩游戏、炒股、QQ和拒绝访问不良网站，下班时间全放通，在AC/SG设备上进行配置时，属于何种配置（）A、上网审计策略B、准入策略C、上网权限策略D、用户限额策略73.使用traceroute命令测试网络时可以（）A、检验链路协议是否运行正常B、检测应用程序是否正常C、显示到达目标路径上经过的各路由器D、检查业务端口是否开放74.主机中地址配置如下， 在本地HOST文件中，对应地址为内网DNS中A记录为互联网上解析为请问，该主机访问时会被解析成为哪个IP地址？（）A、B、C、D、无法解析75.小李在使用NMAP对目标网络进行扫描时发现，某一个主机开放了25和110端口，此主机最有可能是（）A、文件服务器B、WEB服务器C、DNS服务器D、邮件服务器76.交换机中trunk的作用是（）A、解决同一链路传输多个vlan数据问题B、解决vlan识别问题C、解决广播隔离问题D、解决交换机互联问题77.传输层可以通过（）来标识不同的应用、服务。A、IP头部标志字段B、端口号C、IP地址D、TCP序号78.上门测试前，需要检查设备当前规则库是否最新，如果应用识别规则库不是最新，则可能会导致某些应用无法正确识别。下列选项中，不受应用识别规则影响的是（）A、封堵QQ等即时通信软件B、封堵迅雷等P2P下载软件C、流控迅雷等下载软件D、端口映射79.从一个客户那边拿回来的设备，不知道客户之前配置的设备IP地址，如下尝试错误的是（）A、恢复设备默认配置，用默认IP登陆B、通过设备LAN口保留地址52/28登陆设备C、通过客户了解之前设备接口配置的地址D、PC连接设备网口，用升级客户端探索设备地址80.在OSI7层模型中，网络层的功能有（）A、确保数据的传送正确无误B、确定数据包如何转发与路由C、在信道上传送比特流D、纠错与流控81.中间人攻击的主要原因是（）A、缺少身份认证B、密钥泄漏C、渗入攻击D、越权访问82.请问以下关于旁路模式的说法错误的是（）A、旁路模式需要客户交换机配置镜像接口，将需要监控的流量镜像过来B、旁路模式可以对用户的上网行为进行审计C、旁路模式下对用户的应用进行拦截，如果该应用使用TCP协议可以通过发送RST包进行拦截，如果使用UDP协议，则无法进行拦截，原因是UDP协议是无连接的D、管理口和镜像口可以使用同一个物理接口83.OSI七层参考模型中自上而下对应TCP/IP模型应用层的是哪些层？（）A、应用层、会话层、表示层B、应用层、表示层、会话层C、应用层、会话层D、应用层、表示层84.NGAF的应用控制策略说法不正确的是（）A、应用控制策略能基于服务又能基于应用匹配B、应用控制策略是根据序列号进行从上向下匹配的C、对单个URL过滤最好的方案是通过应用控制策略解决D、基于服务的控制策略，通过匹配数据包的五元组来进行过滤动作，五元组包括：源地址、目的地址、源端口、目的端口、协议号85.Windows2000（2003）Server远程桌面的服务端口默认是（）A、389B、3389C、500D、450086.下列哪个不是网关防病毒的扫描方式（）A、字符扫描B、代理扫描C、流扫描D、文件扫描87.小李在使用Nmap对目标网络进行扫描时发现，某一个主机开放了25和110端口，此主机最有可能是什么（）A、文件服务器B、邮件服务器C、WEB服务器D、DNS服务器88.关于SANGFORSSLVPN中TCP资源，说法正确的是（）A、支持windows系统32位/64应用程序B、用户端系统会自动添加指向资源的路由C、用户登录后可以ping通服务器地址D、支持BS、CS架构的32位基于TCP协议的应用89.为了对企业网络进行控制，提高企业员工的工作效率，应该对工作无关的流量进行（）A、限制或流控B、NATC、审计D、策略路由90.IPS说法正确的是（）A、IPS可以配置开启联动封锁B、IPS防护配置保护服务器和保护客户端规则库是一样的C、IPS中口令暴力破解攻击阈值可以随意设置D、IPS可以防护SQL注入攻击91.关于不需要认证，以下说法错误的是（）A、可以从数据包中获取到用户的IP地址B、三层环境下可以直接从数据包中获取到用户的MAC地址C、可以从数据包中获取到用户所属的VLANIDD、设备通过NETBIOS协议可以获取到用户的计算机名92.下列有关NGAF透明口与虚拟网线接口的说法中，错误的是（）A、透明口与虚拟网线接口都属于二层接口，不具备基本的路由转发功能B、透明口在进行数据转发时是根据其MAC地址表进行转发的C、虚拟网线在进行数据转发时直接从虚拟网线配对的接口进行数据转发，不需要检查MAC表D、如果要设置两对虚拟网线，那么必须开通双线路授权，而设置两对透明口，就不需要开通双线路授权93.三层交换机的路由表项中不包含下列哪一项？（）A、源IPB、目的网段的掩码C、下一跳地址D、目的地址94.HTML指的是（）A、超文本传输协议B、超媒体文件C、超文本标记语言D、超文本文件传输协议95.DOS攻击不包括以下哪种（）A、ARP欺骗B、Smurf攻击C、DNSfloodingD、UDPflooding96.SANGFORVPN中本地子网描述正确的是（）A、用于指向内网网段的回包路由B、用于宣告本端非直连的内网网段路由给对端C、配置对端内网网段D、配置对端内网网段路由指向VPN隧道97.关于NGAF的实时漏洞分析相关功能，以下说法不正确的是（）A、实施实时漏洞分析功能可以通过集中管理平台进行统一配置下发B、实时漏洞分析仅支持TCP协议，不支持UDP协议分析C、FTP与HTTP支持任意端