GB0-510 H3CNE-Security H3C认证网络安全工程师考试题库（含答案）

D、按照IP地址划分D、H交换接第110页，共156页H3C防火墙配置成二层模式时数据依靠()进行转发。B、ESP协议报文用IP报文协议号51表示A、URL审计分为预定义URL和自定义URL两部分答案：A27.钱荷解析：家庭上网环境、动态IP地址，一律easyip技术34.默认情况下LAC和LNS之间通道的Hello报文发送时间间隔为A、TCP报文的3次握手B、UDP报文的3次握手C、TCP报文的4次握手D、UDP报文的4次握手C、动态NAT的配置中，必须要配置ACL来指定可A、RC4内网主机A地址为,地址池地址为-,某一时刻主机A访问外网，分配的地址池地址为,此时改变主机地址为,其他条件不变，再次访问外网，则分配的地址池地址是?防火墙缺省存在local、trust、DMZ、Management、untrust,并上述缺省安全如果在IP网络中使用GRE协议在承载IPX协议，则报文的封装过程为的不同GRE隧道。B、普通的源(目的地址作转化的NAT,标准GRE封装协议报文不可以正常穿越。源地址发起的不同GRE隧道。来区分相同源地址发起的不同GRE隧道工程师小L在调试SecPathU200-S设备时，把缺省的G0/0接口当成内网口G0/1次执行回滚到上一版本的操作后，特征库替换成V1版本，再执行回滚上一版本此功能对DPI业务造成影响，只需要在完成部署DPI各个模块的配置文件后统一C、设备虚拟化之后，可以做到License统管理，这种情况下，在其中一个成员D、当需要的IPS特征在设备当前IPS特征库中不存在时，可通过编辑Snort格PS特征文件内容会自动覆盖，包括系统中所有的自定义IPS特征。错误解析：EasyIP模式的NAT可以看作地址池只有一个地址(也就是出接口地址)内网一台服务器需要使用NAT地址对公网提供服务，公网主机5会对服务器发起访问。出口防火墙已经完成了接口IP和地址#Actionpasssource-zoneuntrustdestination-zonetrustsource-ipglobalActionpasssource-zonetrDestination-zoneuntrustsource-ipclienSource-zonetrustdestination-zoneuntrustsource-ipclienActionpasssource-zoneuntrustdestination-zonetrustsource-ipclient72.以下那条命令可以查看H3C防火墙快速转发的会话统计功能?73.GRE协议的协议号是：A、50A、代理验证D、都相同B、地址池C静态路由DACLB、负戴均衡调度功能和会话保持功能不能同时启动82.CHAP是三次握手的验证协议，其中第1次握手是完成()下列哪一种防火墙运行时速度最慢，并且运行在0SA、包过滤防火墙B、状态防火墙下列关于各层协议数据单元说法正确的是?关于H3C防火墙的License,下列说法正确的是?D、临时license授权的特性可以使用一段时间(比如1-3个月),并且可以迁移C、NAT地址池中有2个地址96.IKE主模式报文交互()次?如何防范Land攻击?A、检查TCP报文，如果报文的目的端口号为139,且TCP的紧急指针标志被置,则根据用户配置D、检查UDP报文，如果报文的目的端口号为139,且UDP的紧急标志被置位，选项A描述的是针对某种特定TCP报文的处理，但Land攻击通常与TCP的紧急指针标志无关，因此A不是正确答案。选项B涉及ICMP应答请求报文的处nd攻击主要利用的是IP报文的特性，与UDP的C、NAT地址池中有2个地址A、ESA、10B、[Device-line-vty0-63]autC、[Device-line-vty0-63]authentD、[Device-line-vty0-63]a如DHCP服务，并非NAT的必需配置。-D项(地址转换):地址转换是NAT的核文D、两者互不影响A、用户名中指定的ISP域-->系统缺省的ISP域-->接入模块指定的认证域B、接入模块指定的认证域-->用户名中指定ISP域-->系统缺省的ISP域C、接入模块指定的认证域--->系统缺省的ISP域-->用户名中指定的ISP域D、用户名中指定的ISP域-->-接入模块指定的认证域-->系統缺省的ISP域B、都是用来进行加密的算法在UDP端口扫描中，对主机端口是否开放的判A、根据被扫描主机开放端口放回的信息判断116.编号3001的ACL对应的类型是A、二层ACL层ACL本ACLC、Security(安全)和safety(可靠)120.IKE野蛮模式报文交互()次?话.1为()地址?A、D类B、A类D、C类解析：这道题考察的是网络设备接口配置的基础知识。在SecPathU200-S设备中，接口的配置决定了网络流量的走向和安全策略的应用。通常，G0/0接口被预设为内网口，而G0/1接口被预设为外网口(Untrust区域)。工程师小L将这两个接口的配置颠倒，意味着原本应该处理内网到外网流量的安全策略现在被错误地应用到了相反的方向。由于安全策略通常是根据接口的角色(内网或外网)来定义的，因此这种配置错误会导致内网用户无法正常访问外网。所以，答案是B,即内网用户不能正常访问外网。SSL协议向()提供端到端的、有连接的加密传输服务A、传输层B、应用层C、网络层D、数据链路层131.在TCP连接的三次握手过程中，第一步是由发起端发送132.下列关于L2TP的说法正确的有：olConnection)一个隧道内只支持一个会话以下哪些配置可以实现portal用户的本地认证?D、[Device-line-vty0-63]au的所有接口只能处于同一种IPSec连接B、负戴均衡调度功能和会话保持功能不能同时启动C、可以提供基于ICMP,TCP,HTTP,VFA、TCP报文的3次握手B、UDP报文的3次握手C、TCP报文的4次握手D、UDP报文的4次握手C、防水墙的默认登录IP地址是192.168.0142.下述哪个是H3C专有的VPN技术C、端口扫描D、地址扫描A、[Device-line-console0]authentication-modescB、[Device-line-vty0-63]autC、[Device-line-vty0-63]authentD、[Device-line-vty0-63]a的问题，上述说法是()称之为()答案：C答案：D151.在防火墙上配置动态NAT使用命令displaynatsessionverbose有如下信息。C、可以ping通D、地址池中只有1个地址A、可以配置完整的用户名或者特定的域名作为触发L2TP发起连接的条件A、会话是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识B、流是个双向的概念，一个流通常关联两个方向的会话D、防火墙对组播或者广播报文同样建立会话_A、接入模块指定的认证域-->系统缺省的ISP域-->用户名中指定的ISP域B、用户名中指定的ISP域-->接入模块指定的认证域-->系统缺省的ISP域C、接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域D、用户名中指定的ISP域-->系统缺省的ISP域-->接入模块指定的认证域谍软件、广告软件、CGI(CommonGatewayInterface)攻击、跨站脚本攻击、注入160.L2TP数据报文以()报文的形式发送，注册得端口号为()A、TLV结构，利于扩展E、基于UDP传输，端口号1812、1813均可作为认证/授权、计费端口(应为：分别作为)解析：(1812指定为认证授权，1813指定为计费，不能变)Inboundinterface:GigabiVPNinstance/VLANID/InlineStardtime,2018-0-0916:0850πL:56s从设备输出可确定的是：A、设备上配置的是NO-PAT方式的动态NATD、地址池中只有1个地址A、适应各种网络条件下的安全接入B、无法忍受VPN客户端损坏和网关配置修改后不能访问C、细粒度访问控制D、以上全是A、支持TCP、UDP,不支持ICMP报文开启Portal认证的接口的IP地址D、本地PortalWeb服务器的HTTP服务侦听的TCP端口号为2331C、高级ACLD、基本ACL下列关于NAT穿越功能说法正确的是?A、避免了NAT网关对IPsec报文进行修改C、删去了IKE协商过程中对UDP端口号的验证过程D、实现了对VPN隧道中NAT网关设备的发现功能13.下面关于安全联盟(SA)的说法正确的是A、由SPI、IP目的地址以及安全协议标识符三元組唯一标识C、SA可通过手工配置和自动协商两种方式建立D、IKE不仅用于IPsec,它是一个通用的交换协议解析：D答案优点怪怪的，IKE可以独立运行这是真的N产品支持的认证方式包括：A、本地认证C、IPsecSA是双向的B、SSL报文不能通过NAT进行正常的传输，需要进行领外的配置念城城以A、3DESA、L2TP务器响应客户端的报文可以根据实际需要选择是否经过防火墙，因此SafeReset能够支持更灵活的组网方式。B、客户端收到SYN/ACK后.按照协议规定向服务器回应RST消息。防火墙中途截取这个消息后，提取消息中的序列号。并对该序列号进行Cookie校验。成功通过校验的连接被认为是可信的连接，防火墙会分配TCB资源记录此连接的描述信息，而不可信连接的后续报文会被防火墙丢弃。C、由于防火墙仅通过对客户端向服务器首次发起连接的报文进行认证，就能够完成对客户端到服务器的连接检验而服务器向客户端回应的报文即使不经过防火墙也不会影响正常的业务处理，因此SafeReset技术也称为单向代理技术。27.以下属于动态NAT的是B、PAT方式的NATA、LAC端设置的用户名或者密码有误A、基本ACLSee数据传输中使用UDP封装后发现PC能够重定向到认证页面但是无法联网，以下分析中正确的是?A、由于ACG设备需要与PC二层互联才能学习到PC的Mac地址，所以ACG与PCB、ACG支持夸三层学习Mac功能，可能是netconf参数配置错误C、PC能够重定向到认证页面，说明设备的路由器和Ipv4策略没问题A、创建虚拟Tunnel接口B、指定Tunnel接口的源端C、指定Tunnel接口的目的端D、设置Tunnel口的网络地址利用SsteReset技术可以防范SYNFood攻击.关于技术原理的描述，以下说法正过防火墙，因此SafeReset能够支持更灵活的组网方式。B、客户端收到SYN/ACK后.按照协议规定向服务器回应RST消息。防火墙中取这个消息后，提取消息8中的序列号。并对该序列号进行Cookie校验。成功完成对客户端到服务器的连接检验而服务器向客户端60.AAA认证主要包括了什么()D、缺省情况下，设备管理接口的IP地址为/2463.IPSec是在IETF制定的保证在IP网络上传送数据的安全保密性的三层安全A、PPPC、转发PPP帧F、关闭控制连接65.以下哪些配置授权给用户PPP的登陆权限?B、[device-luser-net等B、在地址重复时提供解决方案C、隐藏内部服务器的真实IP地址，提高安全性A、SSLVPN可以对传输的数据进行加密B、SSLVPNI支持对客户端身份的验证C、SSLVPN支持双因子认证B、内网网络共享应用的审计商(isakmp)方式VPN隧道中INAT网关设备发D、IKE的cookie机制在一定程度上保护系统不受DOS攻击C、激活License时，必须提供设备的DID文件C、LNSHpever之间存在防火墙设备阻断了httpp访问的设备存在86.在以下L2TP组网中，假设LAC与LNS都已在公网上.如果庭中名和URL字段进行模糊匹配[;parameters][?query][#fragment]”,其中“protocol”表示协议(如http、“path”表示路径，“parameters”表示参数(可选),“query”表示查询字符串(可选),“fragment”表示片段标识符(可选)。B选项中对URL的描述是A和C。置信息)C、Dictionary:用于存储RADIUS客户端的信息(如NAS的共享密钥、IP地址等)D、Clients:用于存储RADIUS协议中的属性和属性值含义的信息议)C、转发PPP帧F、关闭控制连接A、支持TCP、UDP,不支持ICMP报文C、TCP接入只能访问WEB类资源teD、ACG产品不支持VRF功能，因此无法作为MCE设备和MPLS网络对接C、GRE提供了将一种协议的报文封装在另一种协议报文中的机制，是报文能够在异种网络中传输，异种报文传输的隧道称为tunnel解析：这道题考察的是对GRE协议的理解。GRE协议确实是对某些网络层协议的数据报文进行封装，以便在另一种网络协议中传输，A选项正确。GRE是三层协议，不是二层协议，所以B选项错误。GRE提供了报文封装机制，使报文能在异D选项错误。H3CSecPathU200-S支持的行为审计协议包括()105.根据由加密密钥得到解密密钥的算法复杂度差异，密码体制可以分为A、私钥密码体制B、公钥密码体制C、流密码D、分组密码D、AH协议包B、IKE自动协商方式cookie,如果计算结果与ACK序列号相符，就可以确认发起连接请求的是一个真A、三层模式的防火墙可以完成包过滤、NAT、ALG、ASPF、攻击防范等功能，且无需在防火墙上配置路由信息(需要)一次只能选择其中一种模式D、对于防火墙而言，可以同时支持二层模式和三层模式，即一部分接口工作在开验证A、直连模式组网网关可以对访问流量进行全面的B、直连模式组网网关可能成为网络的单点故障源C、旁路模式组网网关的处理能力会限制内网访问外网的性能录IP地址确实是,且默认的用户名和密码是admin/admin,故C、D、Encrypt接口以下属于公有地址范围的是?A、-172.31.25D、可以根据报文传输的方向(包括上传、下载和双向)来灵活控制对哪个方向的A、在传输模式下，AH协议验证IP报文的数据部分和IP报头中的不变部分B、在隧道模式下，AH协议验证全部的原始IP报文和封装后新IP头中的不变部分D、在隧道模式下，ESP协议对整个原始IP报文进行加密(可附加验证)B、防火墙ACL包过滤在接口上应用的方向只能是outbound方向C、防火墙ACL包过滤在接口上应用的方向只能是inbound方向B、会话的创建时间A、IPSB、AV了SYSFlood攻击C、默认情况下，系统将日志记录在本地数据库D、系统可以将日志发送给日志服务器，推荐使用userlog方式，效率更高。D、在隧道模式下，ESP协议对整个原始IP报文进C、一个ISP域被配置为缺省的Isp域后，将不能够被删除，必须首先使用命令undodomaindefauitenable将其修改为非缺省ISP域，然后才可以被刑除。D、一个Isp域被配置为缺省的ISP域后，可以直按通过命令undodomainnameA、开启交换机动态MAC学习功能C、配置静态MAC转发表D、配置端口的MAC学习条目限制A、WEB接入A、CLD、融合UTM的对象策略态路由B、移动用户接入总部网络C、作为域线路的备份线路D、局域网内建立加密通道170.基于ISP域的AAA实现有不进行AAA、本地AAA和远程AAA,以下说法错误的B、不进行AAA无需在防火墙上进行多余配置C、远程AAA配置本地用户D、不进行AAA需要在防火墙上配置AAA实现方法为none171.下列攻击中，属于Dos拒绝服务玫击的是：172.IPSec协议支持哪些封装模式A、隧道模式C、路由模式D、传输模式A、二层接口和VLANA、PUT构180.关于H3C防火墙的安全域，以下说法正确的有B、不同安全区域优先级一定不一样C、防火墙自身所有接口都属于local区域B、基于用启IP地址的带宽管理技术D、基于MAC地址的带宽管理技术A、RSAA、设备将报文同时与特征库中的病毒特征和MD、如果报文的应用层协议为防病毒功能所支持，则设备使用病毒特征库中的病关于H3C防火墙，下列说法正确的是A、防火墙的安全策略只能在Web页面下配置.B、文字。C、防火境的默认登录IP地址是D、防火墙通过WEB登录的默认用户名/密码是：admin/adminE、防火墙只能通过命令行方式升级版本硬件防火墙都基于专用的硬件平台，下列关于防火墙硬件平台的说法正确的是?A、NP是专门为网络设备处理网络流量而设计的处理器，以解决x86架构性能不架构不够灵活的B、多核架构采用多核处理器，在同一个芯片上集成了多个独立物理核心，每个核心都具有独立的逻辑结构C、X86平台使用的是共享总线的一种架构，参与的网卡数量越多，获得的速率就越低，实际上不能应用在干兆防火墙上D、ASIC架构的芯片功能比较单一，ASIC灵活性和打展性也比较差，不能完成邮件过滤、病毒防护等比较复杂的功能VPN网络设计的安全性原则包括?[Device-isp-test]authenticationdefC、配置的isp域的名字是test式A、CIDRD、Notes服务t下列关于衡量防火墙的性能指标说法正确的有206.H3c防火墙缺省的安全域包括答案：ABCDE以下属于私有地址范围的是?A、-172.31.255209.下列哪些攻击手段是H3C防火墙可以防御的?A、[Device-luser-network-test]service-typC、[Device-luser-manage-test]D、网站域名A、DES218.3C防火墙缺省的安全域包括()D、配置SSLVPN访问实例答案：BDD、接口的物理down229.在检测到针对服务嚣的SYNFlood攻击行为后，防火墙应该可以支持选择多A、单位时间内客户端发起的新建连接请求数超过指定阈值，则认为服务器遭受了SYSFlood攻击B、通过对正常TCP新建连接的协商报文进行处理，修改报文的序列号并使C、客户端发起的TCP半开连接请求超过指定阈od攻击解析：如果问到连接代理技术的是?则选BD233.关于H3C防火墙的版本升级，下列说法正确的是?B、版本升级后无需重启设备如下图所示拓扑中作为LAC的PC可以拨通LNS,但是无法获取地址，下列分析正确的是?A、检查地址池配置是否正确D、检查是否在VT下使用”remoteaddresspool“来给对方分配地址A、SSLVPN的使用可以减轻客户端的维护工作B、SSL报文不能通过NAT进行正常的传输，需要进行额外的配置因为它基于Web浏览器，无需额外客户端软件。SSLVPN支持TCP为开启Portal认证的接口的IP地址A、ftp数据连接和控制连接端口号不同，传统nat会导致ftp功能异常B、nat只转换IP地址和端口号，不解析应用层数据C、natalg可以解析应用层报文D、alg可以根据端口号识别协议类型并且解析应用层数据，进行完整的nat转换248.L2TP建立隧道时使用的消息有249.当出现大量VPN需求时，可以引导那些产品?A、ip目的地址C、IP源地址D、用户可以H3C网站上自助进行License激活申请保及时应对新威胁。同时，用户可以在H3C网站上自助进行License激活申请，S不仅支持手动升级。A选项未提及是否需要重启设备，且与题目核心考查点关D、思科VPN适用于动态变化的网络环境，SSLVPN则通过SSL协议实现远程安全访问。这些都是H3C提供的VPN解决方案。而思科VPN是另一品牌的产品，不属于H3C提供B、防火墙自身所有接口都属于LocalC、不同安全域的优先级一定不一样下列关于SSLVPN的说法，的是：可以对传输的数据进行加密A、当报文命中会活表或关联表后，则直接查找二三层转发表项后转发263.H3cSecPath防火墙的默认域间访问控制策略是A、所有区域都可以访问local区域B、属于同一个安全域的各个接口之间的报文可以互访D、安全域间的报文默认丢弃，包括同域之间解析：这道题考察的是H3cSecPath防火墙的默认域间访问控制策略。在H3cSec