GB0-510H3CNE-SecurityH3C认证网络安全工程师考试题库及答案

GB0-510H3CNE-SecurityH3C认证网络安全工程师考试题库及答案单选题1.在下列哪种密码应用中,我们是使用公钥加密、私钥解密？A、非对称密码B、对称密码C、数字签名D、H交换参考答案：A2.在防火墙上使用命令配置地址池。A、natippoolB、nataddress-groupC、natpoolD、natnetpool参考答案：B3.在防火墙上使用命令displaynatall有如下信息：基于以上信息可以得出结论是：A、接口的动态NAT没有配置ACL限制B、NAT地址池1中有4个地址C、NAT地址池中有2个地址D、当前设备上有1个地址池参考答案：C4.在防火墙上配置了动态NAT使用命令displaynatsessionverbose有如下信息。从设备输出可确定的是：A、设备上配置的是NO-PAT方式的动态NATB、动态NAT的配置下发在G1/0/0口上C、可以ping通D、地址池中只有1个地址参考答案：A5.在防火墙上配置动态NAT使用命令displaynatsessionverbose有如下信息。从设备输出可确定的是：A、设备上配置的是NO-PAT方式的动态NATB、动态NAT的配置下发在G1/0/0口上C、可以ping通D、地址池中只有1个地址参考答案：A6.在防火前上使用命令displaynatall有如下信息：基于以上信息可以得出结论是：A、接口的动态NAT没有配置ACL限制B、NAT地址池1中有4个地址C、NAT地址池中有2个地址D、当前设备上有1个地址池参考答案：C7.在UDP端口扫描中，对主机端口是否开放的判断依据是A、根据被扫描主机开放端口放回的信息判断B、根据被扫描主机关闭端口返回的信息判断C、既不根据A也不根据BD、综合考虑A和B的情况进行判断参考答案：A8.在TCP连接的三次握手过程中,第一步是由发起端发送A、SYN包B、SCK包C、UDP包D、NULL包参考答案：A9.在SSL协议体系中,服务器端使用（）端口接收并处理建立SSL链接的请求报文A、443B、441C、500D、520参考答案：A10.在L2TP组网中,LNS侧对用户的验证方式有三种,代理验证、强制验证和LCP重协商。其中优先级最高的是A、代理验证B、强制СНАР验证C、LCP重协商D、都相同参考答案：C11.在L2TP报文协商过程中,进行IP地址分配工作是在以下哪个阶段？A、Establish（链路建立）阶段B、LCP协商阶段C、HAP或PAP验证阶段D、网络协商（NCP）阶段参考答案：D12.在IKE协商模式中，哪种模式适合用于分支机构采用ADSL拨号与总部建立IPSec连接A、野蛮模式B、主模式C、传输模式D、隧道模式参考答案：A13.在IKE协商模式中，哪种模式适合用于分支机构采用ADSL拨号与总部IPSec连接第110页，共156页A、野蛮模式B、主模式C、传输模式D、隧道模式参考答案：A14.在H3C防火墙上配置入侵防御，单击<提交>按钮，激活入侵防御配置文件的配置内容时此功能会暂时中断DP业务的处理A、错误B、正确参考答案：B15.用户认证时，防火墙將按照先启顺序选择认证域。正确顺序为A、用户名中指定的ISP域--＞系统缺省的ISP域--＞接入模块指定的认证域B、接入模块指定的认证域--＞用户名中指定ISP域--＞系統缺省的ISP域C、接入模块指定的认证域＞系统缺省的ISP域--＞用户名中指定的ISP域D、用户名中指定的ISP域--＞-接入模块指定的认证域--＞系統缺省的ISP域参考答案：B16.用户认证时，防火墙将按照先后顺序选择认证域正确顺序为______。A、接入模块指定的认证域-->系统缺省的ISP域-->用户名中指定的ISP域B、用户名中指定的ISP域-->接入模块指定的认证域-->系统缺省的ISP域C、接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域D、用户名中指定的ISP域-->系统缺省的ISP域-->接入模块指定的认证域参考答案：C17.以下属于块加密算法的是:A、SHA-1B、MD5C、DESD、RC4参考答案：C18.以下那条命令可以查看H3C防火墙快速转发的会话统计功能？A、resetsessiontableipv4B、sessionstatisticsenableC、displaysessiontableipv4verboseD、isplaysessiontableipv4参考答案：C19.以下哪些配置可以实现telnet用户的AAA认证A、[Device-line-console0]authentication-modeschemeB、[Device-line-vty0-63]authentication-modeschemeC、[Device-line-vty0-63]authentication-modenoneD、[Device-line-vty0-63]authentication-modelocal参考答案：B20.以下哪些配置可以实现portal用户的本地认证？A、[Device-line-console0]authentication-modeschemeB、[Device-line-vty0-63]authentication-modeschemeC、[Device-line-vty0-63]authentication-modenoneD、[Device-line-vty0-63]authentication-modelocal参考答案：D21.以下哪些配置可以实现login用户的AAA认证A、[Device-line-console0]authentication-modeschemeB、[Device-line-vty0-63]authentication-modeschemeC、[Device-line-vty0-63]authentication-modenoneD、[Device-line-vty0-63]authentication-modelocal参考答案：B22.以下哪些防火墙不支持SSLVPN功能？A、F1000-SB、U200-AC、V100-SD、v100-E参考答案：C23.以下哪条命令可以查看H3C防火墙快速转发的会话统计功能？A、displaysessiontableipv4verboseB、displaysessiontableipv4C、sessionstatisticsenableD、resetsessiontableipv4参考答案：C24.以下哪个场景不存在VPN的需求？A、大型企业园区互联B、出差员工移动办公C、超市/门店/卖场的联网D、加油站/收费站的联网参考答案：A25.以下哪个病毒可以破坏计算机硬件？A、CIH病毒B、宏病毒C、冲击波病毒D、熊猫烧香病毒参考答案：A26.以下关于动态NAT说法正确的是？A、动态NAT必须要指定地址池地址B、PAT模式中一个公网地址可以同时提供给多个私网地址使用C、动态NAT的配置中，必须要配置ACL来指定可以进行NAT转换的地址D、所有模式的动态NAT都支持复用公网地址参考答案：B27.以下关于动态NAT的说法正确的是A、动态NAT必须要指定地址池地址B、PAT模式中一个公网地址可以同时提供给多个私网地址使用C、动态NAT的配置中，必须要配置ACL来指定可以进行NAT转换的地址D、所有模式的动态NAT都支持复用公网地址参考答案：B28.以下关于RADIUS认证说法错误的是A、TLV结构，利于扩展B、常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中C、RADIUS认证是是一种分布式的、客户端/服务器结构的信息交互协议D、RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式E、基于UDP传输，端口号1812、1813均可作为认证/授权、计费端口（应为：分别作为）参考答案：E29.以下关于DoS攻击的描述,正确的是？A、攻击者通过后门程序来入受攻击的系统B、攻击者以窃取目标系统上的机密信息为目的C、攻击行为会导致目标系统无法处理正常用户的请求D、如果目标系统没有漏洞,远程攻击就不可能成功参考答案：C30.以下不属于传输层安全风险的是？A、端口扫描B、UDP拒绝攻击C、TCP欺骗D、地址扫描参考答案：D31.以下不属于传输层安全风险的是？A、TCP欺骗B、UDP拒绝攻击C、端口扫描D、地址扫描参考答案：D32.一般来说,以下哪些功能不是由防火墙来实现的.A、隔离可信任网络和不可信网络B、防止病毒和木马程序入侵C、隔离内网和外网D、监控网络中会话状态参考答案：B33.下述哪个是H3C专有的VPN技术A、IPSecVPNB、GREVPNC、动态VPND、MPLSVPN参考答案：C34.下述攻击手段中，不属于DOS攻击的是A、FraggleB、Land攻击C、跨站攻击D、Smurf攻击参考答案：A35.下面有关L2TP配置说法正确的有;A、可以配置完整的用户名或者特定的域名作为触发L2TP发起连接的条件B、当使用ippool命令给对端分配地址时,应确保ippool地址池里的地址和虚模板接口地址在同一网段内C、当L2TPgroup组号为0,且不指定通道对端名remote-name时,发起L2TP连接时,忽略对端用户名D、L2TP默认配置情况下启用了隧道验证,且验证密码为空参考答案：C36.下面哪种VPN技术可以保证数据在网络上传递的私密性？A、GREB、L2TPC、IPsecD、PPTP参考答案：C37.下面哪一项不是IKE的特点A、定时更新IPSecSAB、允许端到端动态验证C、定时更新IPsec共享密钥D、允许IPsec提供抗重播服务参考答案：C38.下面哪一个协议工作在TCP/IP协议栈的传输层以下？A、SKIPB、SSLC、HTTPSD、SSH参考答案：A39.下面哪项不是L2TP的优点A、节约拨号费用B、接入方式灵活C、能对传输层的数据进行加密D、提供多种访问控制方式参考答案：C40.下面哪项不是L2TP的优点？A、能对传输的数据进行加密B、节约拨号费用C、接入方式灵活D、提供多种访问控制方式参考答案：B41.下面哪个不是VPN技术中用到的加密算法A、DESB、3DESC、AESD、RIP/RIP2参考答案：D42.下面关于GRE协议的描述正确的是？A、GRE提供了将一种协议的报文封装在另外一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的隧道成为tunnelB、GER是二层协议C、GRE协议实际上是一种承载协议D、GRE是对某些网络协议（如：IP、IPX等）的数据报文进行封装，使这项被封装的数据报文能够在另外一种网络协议（如：IP）中传输参考答案：D43.下列算法中,既可以用于加密,也可以用于签名的是A、ESB、DESC、RSAD、SA参考答案：C44.下列那一项没有涉及到密码技术A、SSHB、SSLC、GRED、IPSec/IKE参考答案：C45.下列哪一种防火墙运行时速度最慢，并且运行在OSI模型中的最高层A、包过滤防火墙B、状态防火墙C、应用代理防火墙D、SMB防火墙参考答案：C46.下列哪些交换模式是在IKE协商的第二阶段存在的？A、主模式B、野蛮模式C、快速模式D、普通模式参考答案：C47.下列关于应用审计配置说法错误的是A、URL审计分为预定义URL和自定义URL两部分B、旁路部署时做全部应用的升级，镜像流量不需做处理动作C、日志级别默认为“不记录”仍然可以在日志查询里查到相关日志信息D、在“审计行为内容”里可以配置某个APP做的相应动作参考答案：C48.下列关于流与会话的说法那个是正确的？A、防火墙对组播或者广播报文同样建立会话B、会话是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识C、流是一个双向的概念，一个流通常关联两个方向的的会话D、对于FTP协议，数据通道会话老化之前控制通道会话不能老化参考答案：D49.下列关于流与会话的说法哪个是正确的？A、会话是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识B、流是个双向的概念，一个流通常关联两个方向的会话C、对于FTP协议，数据通道会话老化之前控制通道会话不能老化D、防火墙对组播或者广播报文同样建立会话参考答案：C50.下列关于加密和解密的说法,正确的是A、将密文解码为明文的过程称之为解密,它是加密的相反过程B、加密和解密是互逆的两个过程,因此加解密的密钥需要相同C、一般来讲,加密比解密要消耗更多的设备性能D、密码算法的安全性不仅和密钥相关,也和加解密算法相关,因此算法不能公开参考答案：A51.下列关于对于NGFW防火墙的功能描述不正确的是A、防火墙能够防网页被篡改B、防火墙能够限制网络访问C、防火墙能够产生审计日志D、防火墙能够执行安全策略参考答案：A52.下列关于对于NGFW防火墙的功能描述，不正确的是A、防火墙能够防网页被篡改B、防火墙能够限制网络访问C、防火墙能够产生审计日志D、防火墙能够执行安全策略参考答案：A53.下列关于对防火墙的功能描述,不正确的是A、防火墙能够执行安全策略B、防火墙能够产生审计日志C、防火墙能够限制组织安全状况的暴露D、防火墙能够防病毒参考答案：D54.下列关于L2TP的说法正确的有:A、用户的远程系统可以通过一个远程接入方式接入到运营商的LAC中,由LAC对LNS发起L2tp隧道并建立会话B、当用户的远程系统使用VPDN客户端软件对LNS发起L2tp隧道并建立会话时,隧道直接建立在客户端和LNS之间,此时L2tp系统不存在LACC、L2tp隧道存在于一对LAC与LNS之间。一个隧道内包括一个控制连接（ControlConnection）一个隧道内只支持一个会话D、L2tp是面向连接的,可以为其传送的信息提供一定的可靠性。LAC维护远程系统对其发起的呼叫状态和信息。一对LAC和LNS也同时维护在两者之间的相应信息和状态参考答案：D55.下列关于L2TP的说法正确的是A、在LAC上会根据接入用户的PPP验证信息进行验证,以确定是否是L2TP的用户以及用户属于哪一个L2tp组，随后LAC会向相应的LNS发起建立隧道的请求B、用户和LAC之间会进行协商以获取IP地址C、隧道建立后,LAC与用户相连接口的IPCP会变为UP状态D、CHAP验证只用在用户端和LNS端进行参考答案：A56.下列关于L2TP的说法正确的是A、用户和LAC之间会进行协商以获取IP地址B、在LAC上会根接入用户的PPP验证信息进行验证,以确定是否是L2tp的用户以及用户属于哪个L2TP组，随后LAC会向相应的LNS发起建立隧道的请求。C、随道建立后,LAC与用户相连接的PCP会变为UP状态D、CHAP验证只能在用户端和LNS端进行参考答案：B57.下列关于H3C入侵防御系统描述错误的有？A、对经过设备的流量都可以进行检测，不仅可以防止来自企业外部的攻击，还可以防止发自企业内部的攻击。B、实时检测流经设备的网络流量，并对入侵活动和攻击性网络流量进行实时拦截。C、可以检测报文网络层的内容，以及对网络数据流进行协议分析和重组，并根据检测结果来对报文做出相应的处理。D、可以对多种攻击类型提供防护措施，例如蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI（CommonGatewayInterface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等。参考答案：D58.下列关于GRE穿越NAT的说法正确的是A、对于基于端口或协议的NAT.即NAPT来说,标准GRE协议报文可以正常穿越,且可以区分相同源地址发起的不同GRE隧道。B、普通的源（目的地址作转化的NAT,标准GRE封装协议报文不可以正常穿越。C、对于基于端口或协议的NAT，即NAPT来说NGRE可以通过Key选项来区分相同源地址发起的不同GRE隧道。D、对于基于端口或协议的NAT,即NAPT来说,GRE可以通过SequenceNumber选项来区分相同源地址发起的不同GRE隧道参考答案：C59.下列关于GRE穿越NAT的说法正确的是A、对于基于端口或协议的NAT,即NAPT来说,标准GRE协议报文可以正常穿越,且可以区分相同源地址发起的不同GRE隧道。B、普通的源（目的地址作转化的NAT,标准GRE封装协议报文不可以正常穿越。C、对于基于端口或协议的NAT,即NAPT来说,NGRE可以通过Key选项来区分相同源地址发起的不同GRE隧道。D、对于基于端口或协议的NAT,即NAPT来说,GRE可以通过SequenceNumber选项来区分相同源地址发起的不同GRE隧道参考答案：C60.下列攻击手段中，不属于单包攻击的是（）A、UDPflood攻击B、WinNukeC、Land攻击D、Smurf攻击参考答案：A61.通过哪个工具可以简化IPSecVPN的配置？A、VPNManagerB、VMSC、SMSD、XLOG参考答案：A62.通过web/telnet/SSH登录设备，都需要在防火墙上放通从客户端到设备本地的安全策略。上述说法是_____的。A、错误B、正确参考答案：B63.若设备接口地址是通过DHCP或是PPPOE动态获取，则因该配置哪种NAT模式？A、natserverB、natstaticC、easyipD、nopat参考答案：C64.若设备的接口地址是通过dhcp或是pppoe动态获取.则应该配置哪种nat模式？A、nopatB、easyipC、natserverD、natstatic参考答案：B65.若接口同时配置IPsec和nat,则以下哪些描述是正确的？A、接口策略无法正常匹配B、由于nat在报文处理流程的优先级上高于IPsec，因此应当走IPsec的流量无法正常走IPsec隧道C、由于nat在报文处理流程的优先级上低于IPsec，因此应当走IPsec的流量可以正常走IPseC隧道D、两者互不影响参考答案：B66.如需要通过VPN隧道在协议A的网络上传输协议B的数据包，我们将协议B称为什么协议？A、封装协议B、隧道协议C、载荷协议D、承载协议参考答案：C67.如下图所示的网络中,RTB对RTA发起IPSec连接,有关NAT穿越描述正确的是A、IPSec隧道两端不启用TKE的情况下亦能实现NAT穿越B、通过将IPsec报文封装在UDP1701端协议报文中实现IPSec的NAT穿越C、RTA在主模式情况下不能实现NAT穿越D、NAT网关会修改UDP报文头,IPSec报文的IP头参考答案：C68.如下NAT命令及其作用对应关系正确的是？A、displaynatsession显示NAT会话B、displaynatentry显示地址条目C、displaynat显示所有NAT配置D、isplaynattable显示地址表参考答案：A69.如何防范Smurf攻击？A、检查ICMP请求报文的目的地址是否为子网地址，是则丢弃B、检查ICMP请求报文的源地址是否为子网地址，是则丢弃C、检查ICMP请求报文的目的地址是否为应播地址，是则丢弃D、检查ICMP请求报文的源地址是否为广播地址，是则丢弃参考答案：C70.如何防范Land攻击？A、检查TCP报文，如果报文的目的端口号为139，且TCP的紧急指针标志被置位，而且携带了紧急数据区，则根据用户配置选择对报文进行转发或拒绝接收，并将该攻击记录到日志B、检查ICMP应答请求报文的目的地址是否为子网广播地址或子网的网络地址，如果是，则根据用户配置选择对报文进行转发或拒绝接收，并将该攻击记录到日志C、检测每一个IP报文的源地址和目标地址，若两者相同，或源地址为环回地址，则根据用户配置选择对报文进行转发或拒绝接收，并将该攻击记录到日志D、检查UDP报文，如果报文的目的端口号为139，且UDP的紧急标志被置位，而且携带了紧急数据区，则根据用户配置选择对报文进行转发或拒绝接收，并将该攻击记录到日志参考答案：C71.如何防范Land攻击？A、检查TCP报文，如果报文的目的端口号为139，且TCP的紧急标志被置位，而且携带了紧急数据区，则根据用户配置选择对报文进行转发或拒绝接收，并将该攻击记示B、检查ICMP应答请求报文的目的地址是否为子网广播地址或子网的网络地址，如果是则根据用户配置选择对报文进行转发或拒绝接收，井将该攻击记录到日志C、检查UDP报文，如果报文的目的端口号为139，且UDP的紧急标志被置位，而且携带了紧急数据区，则根据用户配置选择对报文进行转发或拒绝接收，井将该攻击记；D、检测每一个IP报文的源地址和目标地址，若两者相同，或者源地址为环回地址，则根据用户配置选择对报文进行转发或拒绝接收，并将该攻击记录到日志参考答案：D72.如果在IP网络中使用GRE协议在承载IPX协议，则报文的封装过程为A、链路层协议->IPX>GRE>IPB、链路层协议->GRE>IPX>IPC、链路层协议->IP>GRE>IPXD、链路层协议->GRE>IP>IPX参考答案：C73.如果vpn网络需要运行动态路由协议并提供私网数据加密，通常采用什么技术手段实现？A、L2TP+IPSECB、IPSECC、L2TPD、GRE+IPSEC参考答案：D74.配置NAT时下面哪些是必须的？A、地址转换B、地址池C静态路由DACL参考答案：A75.配置NAT时下面哪些是必配的？A、静态路由B、aclC、地址池D、地址转换参考答案：D76.内网主机A地址为，地址池地址为-，某一时刻主机A访问外网，分配的地址池地址为，此时改变主机地址为，其他条件不变，再次访问外网，则分配的地址池地址是？A、B、C、D、参考答案：B77.内网一台服务器需要使用NAT地址对公网提供服务，公网主机5会对服务器发起访问。出口防火墙已经完成了接口IP和地址对象组的配置，将公网口加入了untrust域，私网口加入trust域。#Object-groupipaddressclient1networkhostaddress5#Object-groupipaddressglobal1networkhostaddress#Object-groupipaddressserver1networkhostaddress#为了实现公网主机可以正常访问服务器以下哪个安全策略规则配置是正确的？A、rule1nameclient_to_serverActionpasssource-zoneuntrustdestination-zonetrustsource-ipglobaldestiation-ipserverB、rule1nameclient_to_serverActionpasssource-zonetrustDestination-zoneuntrustsource-ipclientdestiation-ipserverC、rule1nameclient_to_serverActionpassSource-zonetrustdestination-zoneuntrustsource-ipclientdestiation-ipserverD、rule1nameclient_to_serverActionpasssource-zoneuntrustdestination-zonetrustsource-ipclientdestiation-ipserver参考答案：D78.内网侧有多个用户访问外网需求，某一时刻，主机A通过转换后的地址访问外网，nat设备收到外网侧的回程报文时，会如何进行处理？A、将报文广播给所有主机B、丢弃报文C、查找路由表，寻找吓一跳D、根据建立的no-pat表项将报文发送至主机A参考答案：D79.目前SSL协议支持的块加密算法有哪些？A、RC4B、3DESC、DESD、AES参考答案：A80.某一企业内部服务器发生迁移，则需要重新编址，对应的NAT也要重新配置。A、错误B、正确参考答案：B81.某工程师在H3C防火墙上进行DPI相关配置时，下列说法正确的有？A、在使用回滚特征库功能时，当前病毒特征库版本是V2.上一版本是V1。第一次执行回滚到上一版本的操作后，特征库替换成V1版本，再执行回滚上一版本的操作则特征库重新变为V2版本。B、在单击<提交>按钮，激活入侵防御配置文件的配置内容时，为避免重复配置此功能对DPI业务造成影响，只需要在完成部署DPI各个模块的配置文件后统一配置此功能。C、设备虚拟化之后，可以做到License统管理，这种情况下，在其中一个成员设备上安装License徽活文件即可。D、当需要的IPS特征在设备当前IPS特征库中不存在时，可通过编辑Snort格式的IPS特征文件，并将其导入设备中来生成所需的IPS特征库，这些导入的IPS特征文件内容会自动覆盖，包括系统中所有的自定义IPS特征。错误参考答案：B82.默认情况下LAC和LNS之间通道的Hello报文发送时间间隔为A、10B、5C、30D、60参考答案：D83.关于网络地址转换，下面说法正确的是？A、若接口上配置了nat策略，则默认所有从该接口发出的流量都会进行地址转换B、nat策略需要在全局模式下启用C、地址池的起始地址不能相同D、acl为必配项，用于筛选接口下需要进行nat的流量参考答案：A84.关于会话老化时间，以下说法错误的是？A、当会话数目过多时，建议将协议状态和应用层老化时间设置短点B、配置各协议状态的会话老化时间，只对新建立的会话有效C、如果某些业务确实需要较长的时间，可以考虑配置长连接解决D、应用层协议的会话老化时间，只对已经建立并处于READY/ESTABLISHED状态的会话有效参考答案：A85.关于防火墙设备的ISP域的描述,正确的是A、防火墙系统缺省存在域的名称为systemB、防火墙系统最多配置10个ISP域C、防火墙系统缺省存在域的名称为administratorD、防火墙系统最多配置16个ISP域参考答案：A86.关于包过滤技术的描述,下列说法错误的是:A、H3CUTM产品默认开启了包过滤功能B、用户并不知道报文是否被过滤,也就是说包过滤对用户端是透明的C、包过滤技术主要是根据报文中的IP头信息来进行过滤D、包过滤技术可以根据报文中的应用层信息进行过滤参考答案：D87.关于SecPath防火墙,下列说法正确的是（）A、防火墙只能通过命令行方式升级版本B、防火墙通过WEB登录的默认用户名/密码是h3c/h3cC、防水墙的默认登录IP地址是D、防火墙的域间策略只能再Web页面下配参考答案：C88.关于H3C防火墙的License,下列说法正确的是？A、攻击防范功能需要取得License授权后才能使用B、License不需要在H3C官网注册C、临时License授权的特性可以使用一段时间（比如1~3个月），并且可以迁移D、可以使用licenseactivation-fileinstall命令用来安装激活文件参考答案：D89.关于H3C防火墙的License，下列说法正确的是？A、License不需要再H3C官网注册B、可以使用licenseactivation-fileinstall命令用来安装激活文件C、攻击防范功能需要取得license授权后才能使用D、临时license授权的特性可以使用一段时间（比如1-3个月），并且可以迁移参考答案：B90.工作数字签名算法和哈希函数的关系是A、都是用来签名的算法B、都是用来进行加密的算法C、哈希函数济生消息摘要,而数字签名算法对消息摘要进行加密D、数字签名对消息进行签名,然后由哈希函数产生摘参考答案：C91.工程师小L在调试SecPathU200-S设备时,把缺省的GO/0接口当成内网口G0/1接口配置成了Untrust区域当成外网口,此时内网用户是否可以正常访问外网？A、能B、不能参考答案：A92.工程师小L在调试SecPathU200-S设备时,把缺省的GO/0接口当成内网口，G0/1接口配置成了Untrust区域当成外网口,此时内网用户是否可以正常访问外网？A、能B、不能参考答案：B93.工程师小L在调试SecPathF1020设备是，把缺省的G1/0/0当成内网口Trust，G1/0/0接口配置成untrust区域当成外网口，此时内网用户是否可以正常上网A、不能B、能参考答案：A94.防火墙上所有接口都默认属于Local域。A、错误B、正确参考答案：B95.防火墙缺省存在local、trust、DMZ、Management、untrust，并上述缺省安全域不能被删除，以上说法是A、错误B、正确参考答案：B96.防火墙具有隐私内网网络结构，防止外部攻击源对内部服务器的攻击行为，称之为（）A、攻击防范B、包过滤C、NATD、地址过滤参考答案：C97.防火墙具有隐藏私网内部网络结构,防止外部攻击源对内部服务器的攻击行为的技术,称之为（）A、地址过滤;B、NATC、反转D、IP欺骗参考答案：B98.防火墙的接口既可以工作在三层模式也可以工作在二层模式，但是同一台防火墙的所有接口只能处于同一种模式。以上说法是_____的。A、错误B、正确参考答案：A99.防火墙的DMZ区的主要用途是（）A、解决公共设备如服务器防止B、解决军事侵犯C、解决防火墙区域划分不够参考答案：A100.防火墙不能实现哪些功能？A、不能实现web防篡改B、不能实现web防篡改参考答案：A101.防范SYINFlood攻击的常见手段是连接限制技术和连接代理技术,其中连接代理技术是指对TCP连接速率进行检测,通过设置检查阈值来发现并阻断攻击流量,上述说法是A、错误B、正确参考答案：A102.防范SYINFlood攻击的常见手段是连接限制技术和连接代理技术,其中连接代理技术是指对TCP连接速率进行检测,通过设置检查阈值来发见并阻断攻击流量，上述说法是_______的。A、错误B、正确参考答案：A103.防范ARP欺骗的最好方法就是将IP和MAC静态绑定,把主机和网关都做IP和MAC绑定。上述说法是的。A、错误B、正确参考答案：B104.动态NAT中easyip模式下外网口的接口地址同一时间只能给一个内网ip使用。A、错误B、正确参考答案：A105.常见的安全域划分方式有:A、按照接口划分B、按照业务划分C、按照规则划分D、按照IP地址划分参考答案：A106.查看SecPath防火墙会话的命令是（）A、displayfirewallsessiontableB、displayfirewallsessionC、displaysessiontableD、isplayaspfsession参考答案：C107.标准GRE头中必选字段包括有A、ProtocolTypeB、checksumC、KeyFieldD、SequenceNumber参考答案：A108.编号3001的ACL对应的类型是A、二层ACLB、七层ACLC、基本ACLD、高级ACL参考答案：D109.安全概念在所属的各个领域有着不同的含义,那么网络安全应属于A、经济安全领域B、信息安全领域C、生成安全领域D、国家安全领域参考答案：B110.安全的含义包括A、Security（安全）B、Safety（可靠）C、Security（安全）和safety（可靠）D、risk（风险）参考答案：C111.安全策略加速功能失效，规则匹配的过程和建立连接的时间会变长，同时也会占用系统大量的CPU资源。A、错误B、正确参考答案：B112.VPN隧道中数据包的封装格式为？A、承载协议→隧道协议→载荷协议→载荷数据B、承载协议→载荷协议→封装协议→载荷数据C、承载协议→封装协议→载荷协议→载荷数据D、承载协议→载荷协议→隧道协议→载荷数据参考答案：C113.SSL协议支持的流加密算法包括A、3DESB、DESC、AESD、RC4参考答案：D114.SSL协议向（）提供端到端的、有连接的加密传输服务A、传输层B、应用层C、网络层D、数据链路层参考答案：B115.SSLVPN主要可以解决:A、适应各种网络条件下的安全接入B、无法忍受VPN客户端损坏和网关配置修改后不能访问C、细粒度访问控制D、以上全是参考答案：D116.SSLVPN支持哪些接入方式？A、WebB、TCPC、IPD、以上都是参考答案：D117.SSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。要使用SSLVPN,需安装哪个软件？A、客户端软件B、浏览器C、防火墙D、防病毒参考答案：B118.SMTP协议使用的端口号是A、21B、25C、110D、22参考答案：B119.OSI七层模型中，给每一个对等层数据起一个统一的名字为：协议数据单元。下列关于各层协议数据单元说法正确的是？A、数据链路层数据称为帧B、传输层数据称为数据包C、网络层数据称为段D、表示层数据称为SPDU参考答案：A120.NGFW防火墙从域间策发展到安全策略，关于这两种访问控制策略说法正确的是？A、配置安全策略前，必须先将对象策略转换为安全策略B、安全策略功能与包过滤功能不能同时配置C、安全策略可以基于用户对报文进行控制，使网络管理更加灵活和可视D、当安全策略与包过滤策略同时配置时，报文与安全策略匹配成功后，不再进行包过滤处理参考答案：C121.nat设备接口入方向下，对于报文处理流程，以下哪些描述是正确的？A、nat在安全策路之前，即先匹配nat，再匹配安全策略B、随机匹配nat和安全策略C、根据nat策略和安全策略的优先级来处理D、安全策路在nat之前，即先匹配安全策略，再匹配nat参考答案：A122.NAT的NATstatic方式可以实现公网地址的复用，有效解决ipv4地址短缺的问题，上述说法是（）A、错误B、正确参考答案：A123.NATPAT功能涉及到哪些层？A、网络层和传输层B、网络层和传输层参考答案：A124.L2TP协议操作的正确顺序为以下哪项？A、建立控制连接→转发PPP帧→建立会话→Keepalive→关闭隧道→关闭会话B、建立控制连接→建立会话→转发PPP帧→Keepalive→关闭隧道→关闭会话C、建立控制连接→转发PPP帧→-建立会话→Keepalive→关闭会话→关闭隧道D、建立控制连接→建立会话→转发PPP帧→Keepalive→关闭会话→关闭隧道参考答案：D125.L2TP数据报文以报文的形式发送,注册的端口号为A、UDP,1700B、TCР,1700C、TCP,1701D、UDP,1701参考答案：D126.L2TP数据报文以（）报文的形式发送，注册得端口号为（）A、UDP1701B、TCP1701C、UDP1700D、TCP1700参考答案：A127.L2TP会话的建立是通过（）完成的A、TCP报文的3次握手B、UDP报文的3次握手C、TCP报文的4次握手D、UDP报文的4次握手参考答案：B128.IPSec的加密和认证过程中所使用的密钥可以由（）协议来自动生成和分发A、ESPB、IKEC、SPID、AH参考答案：B129.IPsecIKE野蛮模式主要解决因发起者源地址不确定而无法选择预共享密钥。A、错误B、正确参考答案：B130.IPS（入侵防御系统）是一种基（）的产品,它对攻击识别是基于（）匹配的A、应用层,特征库B、网络层,协议C、应用层,协议D、网络层,特征库参考答案：A131.IKE主模式报文交互（）次？A、3B、4C、5D、6参考答案：D132.IKE野蛮模式报文交互（）次？A、3B、4C、5D、6参考答案：A133.IKE协商过程中，野蛮模式需要交互（）个消息报文A、3B、4C、6D、7参考答案：A134.H3C负载均衡交换机提供了全面的健康检测算法,负载均衡调度算法以及会话保持功能,可以根据应用场景进行灵活的选择,从而达到最优的负载均衡效果,下面关于H3C负载均衡交换机描述不正确的是:A、可以提供基于源地址/端口,HITTP头信息,SSLID,HTTPCookie信息的会话保持B、负戴均衡调度功能和会话保持功能不能同时启动C、可以提供基于ICMP,TCP,HTTP,VFTP,QSSL92DNS等健康检测算法;D、可以提供基于轮询,最小连接,最小响应时间,加权方式,源/目的地址Hash等负载均衡调度算法。参考答案：B135.H3C防火墙配置成二层模式时数据依靠（）进行转发。A、HASH表B、路由表C、MAC地址表D、FIB表参考答案：C136.H3C防火墙防病毒功能需要安装License文件。License到期后无法升级特征库，防病毒功能不能正常使用？A、正常B、错误参考答案：B137.H3C防火墙防病毒功能需要安装License文件。License到期后无法升级特征库，防病毒功能不能正常工作。A、错误B、正确参考答案：A138.GRE协议栈如图所示，以下说法正确的是？A、协议B是封装协议B、协议B是承载协议C、协议A是封装协议D、协议A是承载协议参考答案：D139.GRE协议的协议号是：A、50B、51C、47D、48参考答案：C140.ESP报文格式如下图所示,关于ESP描述正确的有A、SPI字段可以唯标识这个数据包的IPSecSAB、ESP协议报文用IP报文协议号51表示C、根据特定加密算法的要求,可以在Padding字段增加填充位D、验证字段（AuthenticationData）对于ESP来说是必选字段参考答案：A141.DES是最著名的对称密码算法,其属于分组密码,明文分组的位数为A、64B、56C、128D、256参考答案：A142.CHAP是三次握手的验证协议，其中第1次握手是完成（）A、验证方将一段随机报文和用户名传递到被验证方B、被验证方直接将用户名和令传递给验证方C、被验证方生成段随机报文，用自己的令对这段随机报文进行加密，然后与自己的用户名一起传递给被验证方D、验证方将用户名和密码传递到被验证方参考答案：A143.AH和ESP的协议号分别是:A、51,50B、50,51C、17,47D、47,17参考答案：A144.ACG以下错误的是？A、默认动作未不记录,还能往日志中查询到。B、默认动作未不记录,还能往日志中查询到。参考答案：A145.AAA授权包括以下哪些？A、本地授权B、远程授权C、不授权参考答案：A146.AAA认证不包括？A、计费B、接入C、授权D、认证参考答案：B.1为（）地址？A、D类B、A类C、B类D、C类参考答案：C多选题1.证书注册中心在收到用户的证书注册请求后,需要对注册用户进行验证,其验证的主要信息有A、确认注册用户有中请证书的权利B、确认注册用白拥有和证书请求相对应的私钥C、确认证书用户的身份信息正确D、确认注册用户是否曾注册过证书参考答案：BC2.在以下L2TP组网中，假设LAC与LNS都已在公网上.如果庭道建立失败，那么可能的原因有A、LNS端没有设置可以接收该感道对端的L2TP组。B、LNS端设置的用户名与密码有误。C、隧道验证不通过。D、在LAC端。LNS地址设置不正确。参考答案：ABCD3.在设备上开启debug信息时，以下哪些说法是正确的？A、有vpn-instance的需要在ACL里加vpn-instanceB、debug完成后需要关闭debug开关C、防止不必要的debug信息开启D、尽量写明精确的ACL，精确到源目地址和协议参考答案：ABCD4.在企业的内部信息平台中,存在的信息泄露的途径包括:A、可移动存储介质B、打印机C、内部网络共享D、公司对外的FTP服务器参考答案：ABCD5.在配置本地认证方式的L2TPVPN时，需要在LNS侧做什么配置？A、[LNS-huser-vpnuser]12tpenableB、[LNS-luser-vpmuser]service-type12tpC、[LNS]l2tp-group2modelns[LNS-12tp2]tunnelnameLNS[LNS-12tp2]allowI2tpvirtual-templateVT1D、[LNS]domainsystem[LNS-isp-system]authenticationppplocal参考答案：ACD6.在检测到针对服务嚣的SYNFlood攻击行为后，防火墙应该可以支持选择多种应对攻击的防范措施，主要包括连接限制技术和连接代理技术，其中属于连接限制技术的是A、单位时间内客户端发起的新建连接请求数超过指定阈值，则认为服务器遭受了SYSFlood攻击B、通过对正常TCP新建连接的协商报文进行处理，修改报文的序列号并使其携带认证信息，再通过验证客户端回应的协商报文中携带的信息进行报文有效性确认。C、客户端发起的TCP半开连接请求超过指定阈值，则以为服务器遭受了SYSFlood攻击D、通过在新建连接的协商报文中携带认证信息，在通过验证客户端回应的协商报文中携带的信息来进行信息分析。参考答案：AC7.在检测到针对服务嚣的SYNFlood攻击行为后，防火墙应该可以支持选择多种应对攻击的防范措施，主要包括连接限制技术和连接代理技术，其中属于连接限制技术的是A、单位时间内客户端发起的新建连接请求数超过指定闽值，则认为服务器遭受了SYSFIood攻击B、通过对正常TCP新建连接的协商报文进行处理，修改报文的序列号并使其携带认证信息，再通过验证客C、客户端回应的协商报文中携带的信息进行报文有效性确认。客户端发起的TCP半开连接请求超过指定闯值，则以为服务器遭受了SYSFIood攻击D、通过在新建连接的协商报文中携带认证信息，在通过验证客户端回应的协商报文中携带的信息来进行信息分析。参考答案：AC8.在SSLVPN技术中,下列哪些算法可以保证数据传输的完整性？A、DESB、MD5C、SHA-1D、3DES参考答案：BC9.在H3CACG上配置用户策略时，新建用户并将PC的Mac地址绑定，完成配置后发现PC能够重定向到认证页面但是无法联网，以下分析中正确的是？A、由于ACG设备需要与PC二层互联才能学习到PC的Mac地址，所以ACG与PC中间可能有三层设备B、ACG支持夸三层学习Mac功能，可能是netconf参数配置错误C、PC能够重定向到认证页面，说明设备的路由器和Ipv4策略没问题D、由于绑定的Mac地址必须与PC的Mac地址一致，所以可能是因为ACG上Mac地址配置错误参考答案：BD10.在H3CACG上配置日志服务器后，发现管理平台上无法接收到任何日志，以下分析正确的有A、管理平台日志接收端目可能被操作系统其他软件占用。B、出于日志显考虑，系统在设计时，启用日志服务器功能后,还需要配置日志过滤，选择日志级别，否则低级别的日志不会发送C、可以在管理平台上使用Wireshark抓包工具，确认日志是否已经发送过来D、ACG默认使用30514端发送日志，可能中间存在防火墙，未放通端口。参考答案：ABCD11.在H3CACG上配置日志服务器后，发现管理平台上无法接收到任何日志，以下分析正确的有A、管理平台日志接收端目可能被操作系统其他软件占用。B、出于日志显考虑，系统在设计时，启用日志服务器功能后,还需要配置日志过滤，选择日志级别，否则低级别的日志不会发送C、可以在管理平台上使用Wireshark抓包工具，确认日志是否已经发送过来。D、ACG默认使用30514端发送日志，可能中间存在防火墙，未放通端口。参考答案：AC12.与L2TPVPN相比，SSLVPN具有哪些优点？A、不需要额外的拨号上网费用B、可以提供对数据的加密，保证数据传输的安全性C、拥有基于应用资源的访问控制策略D、可以提供高细粒度的访问控制参考答案：ABCD13.与L2TPVPN相比，SSLVPN具有哪些优点？A、不需要额外的拨号上网费用B、可以提供对数据的加密，保证数据传输的安全性C、可以提供高细粒度的访问控制D、拥有基于应用资源的访问控制策略参考答案：ABCD14.与IPSecVPN相比，SSLVPN具有哪些优点？A、SSLVPN客户端免安装、免维户，易于使用B、SSLVPN可以根据远端主机的安全状态实现动态授权C、SSLVPN有很好的网络连通性D、SSLVPN可以拥有高粒度的访问控制参考答案：AD15.有关GRE的特点描述正确有。A、GRE不提供数据加密、身份验证等安全功能。B、GRE协议不支持封装组播报文。C、GRE隧道支持动态路由协议。D、GREVPN要求在隧道两端上静态配置隧道接口，不利于大规模部署。参考答案：ACD16.由于新的漏洞、新的攻击工具、攻击方式的不断出现,IPS只有不断的更新特征库才能对网络、系统和业务的有效防御,下面关于IPS的特征：A、H3CPS升级持征库后需要重启设备才能是生效B、H3CIPS特征库升级有手动升级和自动升级两种C、H3CIPS只支持手动升级特征库D、用户可以H3C网站上自助进行License激活申请参考答案：BD17.用户AAA授权方式包括什么？A、管理员授权B、远端授权C、本地授权D、不授权参考答案：BCD18.用户AAA认证方式包括？A、远端认证B、不认证C、授权认证D、本地认证参考答案：ABD19.硬件防火墙都基于专用的硬件平台，下列关于防火墙硬件平台的说法正确的是？A、NP是专门为网络设备处理网络流量而设计的处理器，以解决x86架构性能不足和ASIC架构不够灵活的B、多核架构采用多核处理器，在同一个芯片上集成了多个独立物理核心，每个核心都具有独立的逻辑结构C、X86平台使用的是共享总线的一种架构，参与的网卡数量越多，获得的速率就越低，实际上不能应用在干兆防火墙上D、ASIC架构的芯片功能比较单一，ASIC灵活性和打展性也比较差，不能完成邮件过滤、病毒防护等比较复杂的功能参考答案：ABCD20.以下属于网络安全威胁的有A、IP地址欺骗B、DoS/DDOS攻击C、扫描攻击D、畸形报文攻击参考答案：ABCD21.以下属于私有地址范围的是？A、-55B、-55C、-55D、-55参考答案：AC22.以下属于块加密算法的是:A、RSAB、RCC、DESD、AES参考答案：CD23.以下属于公有地址范围的是？A、-55B、-55C、-55D、-55参考答案：BD24.以下属于动态NAT的是A、NATServerB、PAT方式的NATC、EasyIPD、NO-PAT方式的NAT参考答案：BCD25.以下属于NAT技术的优点的是A、在网络发生变化时避免重新编址B、在地址重复时提供解决方案C、隐藏内部服务器的真实IP地址，提高安全性D、增加连接英特网的灵活性E、节省合法的注册地址参考答案：ABCDE26.以下属于LDAP用户属性的是_____。A、用户名称格式（user-name-format）B、用户DN查询额度起始节点（search-base-dn）C、用户DN查询的格式（search-format）D、用户名称属性（user-name-attribute）参考答案：ABD27.以下属于LDAP用户属性的是？A、用户DN查询的起始节点（search-base-dn）B、用户DN查询的格式（search-format）C、用户名称属性（user-name-attribute）D、用户名称格式（user-name-format）参考答案：ACD28.以下哪些情况会主动将快速转发表项置为无效？A、转发表项的删除B、接口地址的ARP发生变化C、转发表项的更新D、接口的物理down参考答案：ABD29.以下哪些配置授权给用户SSLVPN的登陆权限？A、[device-luser-manage-test]service-typesslvpnB、[device-luser-network-test]service-typesslvpnC、[device]local-usertestclassmansgeD、[device]local-usertestclassnetwork参考答案：BD30.以下哪些配置授权给用户PPP的登陆权限？A、[device-luser-manage-test]service-typepppB、[device-luser-network-test]service-typepppC、[device]local-usertestclassmansgeD、[device]local-usertestclassnetwork参考答案：AC31.以下哪些配置可以实现SSH用的管理员权限？A、[Device-luser-network-test]service-typesshB、[Device]local-usertestclassnetworkC、[Device-luser-manage-test]service-typesshD、[Device]local-usertestclassmanage参考答案：CD32.以下哪些配置可以实现Portal用户的登录权限？A、[Device-luser-manage-test]service-typeportalB、[Device-luser-network-test]service-typeportalC、[Device]local-usertestclassmanageD、[Device]local-usertestclassnetwork参考答案：BD33.以下哪些类型的成员可以加入到安全域中？A、IP子网B、三层接口C、VLAND、二层接口参考答案：BD34.以下哪个可以利用IPseC-IKE野蛮模式进行解决？A、NAT穿越B、隧道两端协商慢的C、发起者源地址不确定D、协商过程中的安全性参考答案：ABC35.以下技术是设计用于解决IPV4地址短缺的是A、CIDRB、MPLSC、VLSMD、NAT参考答案：ACD36.以下关于主动攻击和被动攻击说法正确的是？A、被动攻击的攻击者在数据传输过程中进行侦听以获取机密信息，而数据的拥有者无法得知攻击者的活动B、主动攻击指对数据进行假冒或篡改，以达到对业务资源进行非授权访问或破坏性攻击的目的C、对于被动攻击可采用加密技术来保护信息的机密性，例如采用HTTPS、SFTP等应用层协议传输数据D、对于主动攻击可采取数据源验证、完整性验证、防拒绝攻击技术等手段参考答案：ABCD37.以下关于用户授权说法正确的是A、只要用户通过授权，那么用户可以访问内部所授权的资源B、对不同用户赋予不同的权限，限制用户可以使用的服务C、授权是指用户认证通过后可以访问的资源，主要表现为下发用户权限、访问目录、用户级别等D、管理员授权办公用户才能对服务器中的文件进行访问和打印操作，而其它临时访客不具备此权限参考答案：ABCD38.以下关于防火墙用户说法正确的是？A、接入类用户主要是portal、sslvpn、ppp等B、可以通过用户组来实现用户的统一管理C、防火墙用户分为管理类和接入类用户D、管理类用户主要有ftp、ssh、telnet、http参考答案：BCD39.以下关于防火墙双机热备的说法正确的是？A、负载分担模式下，两台设备均为主设备，都处理业务流量B、根据组网情况，双机热备有两种工作模式：主备模式和负载分担模式C、双机热备的实现机制是会话同步D、防火墙双机热备流量切换只有两种方式：一是通过VRRP实现流量切换，二是通过动态路由实现流量切换参考答案：ABC40.以下关于防火墙Keepalive类型的IKEKeepalive功能说法正确的是：A、只有收到对端的ack回应报文才能确认对端在线B、收到对端发送的hello报文，也可以确认对端在线C、收到对端的hello报文，会刷新本端的hello报文发送计数器D、只有ack报文才能刷新Keepalive计时器参考答案：BC41.以下关于RADIUS认证说法正确的是A、RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式B、常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中C、RADIUS认证是一种分布式的、客户端/服务器结构的信息交互协议D、基于TCP传输，端口号1812、1813分别作为认证/授权、计费端口参考答案：ABC42.以下关于RADIUS认证说法正确的是？A、RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也被应用于多种接入方式B、常应用在即要求较高安全性、又允许远程用户访问的各种网络环境中C、RADIUS认证是一种分布式的客户端/服务器结构的信息交互协议D、基于TCP传输，端口号1812、1813分别作为认证/授权、计费端口参考答案：ABC43.以下关于NGFW防火墙对SYSFlood攻击的防范，正确的是？A、连接限制技术包括SYNCookie和SateReset两种方法B、连接代理技术包括TCP半开连接数限制和TCP新建连接速率限制两种方法C、TCP半开连接数限制和TCP新建连接速率限制都是基于统计意义上的方法D、SYNCookie技术的实现机制是防火墙在客户端与服务器之间做连接代理参考答案：CD44.以下关于L2TP的描述正确的是:A、L2TP隧道传输PPPoE报文B、与PPP协议配合,L2TP协议支持隧道认证和报文计费功能C、与PPP协议配合,L2TP协议支持IP地址动态分配D、L2TP协议不支持报文加密参考答案：BCD45.以下关于IKE协商的说法正确的有？A、IKE野蛮模式使用三条消息来提供完整性保护B、IKE协商分为两个阶段，阶段一的交换模式为快速模式，阶段二的交换模式为主模式和野蛮模式C、新组模式用于协商新的DH交换组，信息交换用于通告SA的状态和消息D、IKE主模式总共有三个步骤，六条消息参考答案：ACD46.以下关于IKE的说法正确的有A、具有完善的向前安全性B、可以穿越NATC、使用UDP51端口D、使用diffie-Hellma交换参考答案：ABD47.以下关于HWTACACS协议与RADIUS协议说法正确的是（）A、HWTACACS和RADIUS都支持对设备的配置命令进行授权使用B、RADIUS只对认证报文中的密码字段进行加密C、HWTACACS对报文主体全部进行加密D、HWTACACS采用TCP传输,RADIUSR用UDP参考答案：BCD48.以下关于HWTACACS认证说法正确的是A、采用UDP传输，网络传输效率更高。B、该协议与PADIUS协议类似，采用客户端/鼓舞模式实现NAS与HWTACACS服务器之间的通信。C、主要用户PPP和VPDN接入用户及终端用户的认证、授权和计费。D、HWTACACS（HWTerminalAccessControllerAccessControlSvstem,HW终端访问控制器控制系统协议）参考答案：CD49.以下关于HWTACACS认证说法正确的是A、采用UDP传输，网络传输效率更高。B、该协议与PADIUS协议类似，采用客户端/鼓舞（服务器）模式实现NAS与HWTACACS服务器之间的通信。C、主要用户PPP和VPDN接入用户及终端用户的认证、授权和计费。D、HWTACACS（HWTerminalAccessControllerAccessControlSystem,HW终端访问控制器控制系统协议）参考答案：BCD50.以下关于H3CACG说法正确的有A、CG产品支持旁路部署，部署时需要在“系统管理-部署方式”处将接收流量的接口打钩,并在交换机上将流量镜像到该接口B、ACG产品支持微信认证、短信认证等功能C、ACG的DFI主要用来识别应用的静态报文特征，DPI主要用来识别应用的动态流量特征D、ACG产品不支持VRF功能，因此无法作为MCE设备和MPLS网络对接参考答案：AB51.以下关于GRE协议描述正确的是____？A、GRE是对某些网络层协议（如：IP、IPX等）的数据报文进行封装，使这些被封装的数据报文能够在另一种网络协议（如：IP）中传输B、GRE协议是二层协议C、GRE提供了将一种协议的报文封装在另一种协议报文中的机制，是报文能够在异种网络中传输，异种报文传输的隧道称为tunnelD、GRE协议实际上是一种承载协议参考答案：AC52.以下关于easyIP方式NAT配置不生效排查方法，正确的是A、检查地址池是否正确B、检查路由是否正常C、检查NAT配置的接口是否下发正确D、检查安全策略是否放通参考答案：ABCD53.一个完整的SSLVPN全握手过程包括:A、协商SSL协议版B、协商加密套C、协商密钥参数D、通信双方的身份E、建立SSL连接参考答案：ABCDE54.信息对抗主要的研究方向包括:A、黑客攻击防范B、入侵检测C、系统安全性分析与评估D、信息隐藏算法与匿名技术参考答案：ABC55.信息安全的目标是实现:A、机密性B、完整性C、可用性D、可控性E、可审计性参考答案：ABCDE56.信息安全策略是特定应用环境中,为确保一定级别的安全保护所必须遵守的规则。而安全策略建立模型主要包括A、先进的技术B、相关法律法规C、管理审计制度D、先例与经验参考答案：ABC57.想象下，你是某个公司的老板，手头上有一台H3C防火墙,为了让员工“全身心”投入工作，这台防火墙可以怎么帮助你？A、微信只能发文字和语音，没法“斗图”B、看看哪些人经常逛招聘网站C、上班期间，一打开视频网站，浏览器就弹出自己的头像D、打游戏高Ping，但视频会议流畅的很参考答案：ABD58.下述哪些是典型的VPN部署模式？A、分支机构与总部连接B、移动用户接入总部网络C、作为域线路的备份线路D、局域网內建立加密通道参考答案：ABCD59.下述哪些攻击手段是防火墙无法防御的？A、SmurtB、跨站脚本攻击C、畸形报文攻击D、后门木马E、WinNuke攻击参考答案：BD60.下面说法正确的是？A、ftp数据连接和控制连接端口号不同，传统nat会导致ftp功能异常B、nat只转换IP地址和端口号，不解析应用层数据C、natalg可以解析应用层报文D、alg可以根据端口号识别协议类型并且解析应用层数据，进行完整的nat转换参考答案：ABCD61.下面那个用户可能存在VPN应用需求？A、某大型网吧,提供高达千北的Intermet接入以及多达台的主机,需要对上网用户进行有效的计费,对用户上网行为进行有效的管理;B、大型制造企业,内部建设覆盖整个厂区的局域网,有统一的intemet出口,企业内部已经启动ERP,系统,应用完善,每天有大量的销售人员出差C、大型连锁机构,某品牌汽车4S店,总部设在上海,在全国省会额以上城市都有连锁店面,每天销售数据和财务信息需要向总部汇总;D、某省级政府机构,在全省县级以及县级以上分布有专属分支机构,已经通过,线相互连接,正在考虑一种经济有效的方式实现专线线路备份。参考答案：BCD62.下面哪些是H3CSecPath系列VPN产品的功能特点？A、支持和RSA公司动态口令卡的集成,保证口令安全B、支持IPSecVPN的NAT穿越,可以灵活组网C、支持DVPN（动态VPN）技术,降低配置难度D、VPNmananger实现VPN业务集中管理参考答案：BCD63.下面哪个说法是正确的A、H在传输模式中呆护整个原始IP包，在隧道模式中保护整个新IP包B、AH在传输模式中保护整个原始IP包，在隧道模式中保护IP包的上层协议C、ESP在传输模式中保护IP包的上层协议，在隧道模式中保护整个IP包D、ESP在传输模式中验证IP头后的数据包，在隧道模式中保护整个IP包参考答案：AC64.下面列举那些不属于AAA认证A、授权（authorzation）B、控制（ACL）C、认证（authentication）D、接入（Access）参考答案：BD65.下面列举的哪些不属于AAA认证A、授权（authorzation）B、控制（ACL）C、认证（authentication）D、接入（Access）参考答案：BD66.下面关于加密的实现从层次说法正确的是？A、SSL是传输层加密B、邮件加密、SSH、文件加密是应用层加密C、在链路两端直接加入加密盒是数据链路层加密D、IPsec是网络层加密参考答案：ABCD67.下面关于加密的实现层次说法正确的是A、IPsec是网络层加密B、在链路两端直接加入加密盒是数据链路层加密C、邮件加密、SSH.文件加密是应用层加密D、SSL是传输层加密参考答案：ABCD68.下面关于安全联盟（SA）的说法正确的是A、由SPI、IP目的地址以及安全协议标识符三元組唯一标识B、IPsecSA是双向的C、SA可通过手工配置和自动协商两种方式建立D、IKE不仅用于IPsec，它是一个通用的交换协议参考答案：ACD69.下面关于安全联盟（SA）的说法正确的是A、IKE不仅用于IPsec，它是一个通用的交换协议B、由SPI、IP目的地址以及安全协议标识符三元组唯一标识C、IPsecSA是双向的D、SA可通过手工配置和自动协商两种方式建立参考答案：ABD70.下面关于L2TP的描述正确的是:A、L2TP隧道传输PPPOE报文B、与PPP协议配合,L2TP协议支持隧道认证和报文计费功能C、与PPP协议配合,L2TP协议支持IP地址动态分配D、L2TP协议不支持报文加密参考答案：BCD71.下面关于H3cACG的说话正确的有A、CG产品支持微信认证，短信认证等功能B、ACG产品支持旁路部署，在系统管理部署方式处将接收流量的接口打钩，并将流量镜像到该接口C、ACG产品不支持VRG功能，因此无法可作为MCE设备和MPLS网络对接D、ACG的DFI主要用来是被应用的静态报文特征，DPI主要用来识别应用的动态流量特征参考答案：AB72.下面关于GRE说法正确的是A、GRE用来封装IP协议报文时,GRE载荷协议类型号为0x0800,B、GRE是一种在任意协议上承载任意-种其他协议的封装协议。C、GRE报文对应IP协议号为50。D、GRE协议不仅提供了隧道封装的方法,还提供了数据加密功能参考答案：AB73.下列选项中,属于深度安全防卸技术的是（）A、状态监测B、应用识别C、内容识别D、威胁识别参考答案：BCD74.下列网络应用程序中,可能会造成带宽大量占用的应用包括A、迅雷B、PPliveC、BitTorrentD、MSN参考答案：ABC75.下列说法中，属于对称密码体制的特点是（）A、必须保证密钥的绝对安全性B、密钥量级为参与者的数目C、适合大数据量的加解密，加解密速度快D、加解密密钥相同或可以互相推导参考答案：ACD76.下列哪些协议属于二层隧道协议A、L2TPB、GREC、IPSecD、PPTP参考答案：AD77.下列哪些属于SSL记录层的功能？A、提高数据的传输效率，对数据进行压缩B、保护传输数据的私密性，对数据进行加密和解密C、验证传输数据的完整性，计算报文的摘要D、保证数据传输的有序性和可靠性参考答案：ABCD78.下列哪些是防火墙所具备的基本功能？A、攻击防范B、NATC、路由交换D、双机热备参考答案：ABCD79.下列哪些攻击手段是H3C防火墙可以防御的？A、跨站脚本攻击B、Smurf攻击C、WinNuke攻击D、后门攻击参考答案：ABC80.下列哪些功能可以有H3C防火墙实现？A、产生审计日志B、执行安全策略C、隔离可信任网络和不可信任网络D、监控网络中的会话状态参考答案：ABCD81.下列关于证书机构的说法中,正确的是A、证书注册中心（RA）负责证书的生成工作B、数字证书的生成和维护过程中一般需要证书授权中心和证书注册中心两个机构C、证书授权中心（CA）负责证书的生成工作D、证书授权中心按照层次结构进行参考答案：BCD82.下列关于入侵防御处理的整体流程说法正确的有A、如果报文同时与多个入侵防御特征匹配成功，则根据这些动作中优先级最高的动作进行处理。但是，对于黑名单、日志和捕获三个动作只要匹配成功的特征中存在就会执行。B、如果报文与IP黑名单匹配成功，则直接丢弃该报文。C、如果报文未与任何入侵防御特征匹配成功，则设备直接允许报文通过。D、如果报文匹配了某条安全策略，且此策略的动作是允许并引用了入侵防御配置文件，则设备将对报文进行深度内容检测:首先，识别报文的协议，然后根据协议分析方案进行更精细的分析，并深入提取报文特征。E、入侵防御处理动作优先级从高到低的顺序为:重置>黑名单>丢奔>允许。参考答案：ABCD83.下列关于衡量防火墙的性能指标说法正确的有A、并发连接数是指每秒钟防火墙能够处理的新建连接的数量B、时延是数据包进入防火墙到从防火墙输出的时间间隔C、新建连接数是指每秒钟防火墙能够同时处理的连接总数D、吞吐量需要对不同大小的数据包。不同方向的流量等进行测试参考答案：BD84.下列关于SSLVPN的说法正确的是？A、SSLVPN可以对用户的访问权限进行比较细致的管理B、SSL报文不能通过NAT进行正常的传输，需要进行领外的配置C、SSLVPN的使用可以减轻客户端的维护工作D、SSL使用TCP的443端口进行通信参考答案：ACD85.下列关于SSLVPN的说法正确的是？A、SSLVPN的使用可以减轻客户端的维护工作B、SSL报文不能通过NAT进行正常的传输，需要进行额外的配置C、SSL使用TCP的443端口进行通信D、SSLVPN可以对用户的访问权限进行比较细致的管理参考答案：ACD86.下列