华为认证 HCIA-Security 安全 H12-711考试题库（共800多题）

华为认证HCIA・Security安全H12・711考试题库一、单选题

1.下列哪项不属于防火墙的日志格式？

A、二进制格式

B、netflow格式

C、ASCII编码格式

D、Syslog格式

答案：C

2.关于数据包在iptables传输过程中的描述，以下哪个选项是错误的？

A、当一个数据包进入网卡时,它首先去匹配PREROUTING链

B、如果数据包的目的地址是本机，则系统会将该数据包发往INPUT链。

C、如果数据包的目的地址不是本机，系统把数据包发往OUTPUT链

D、如果数据包的目的地址不是本机，系统把数据包发往FORWARD链。答

案：C

3.缺省情况下，以下哪种服务是加密传输的？

A、ssh

B、ftp

C、telnet

D、http

答案：A

4.相较于传统五元组信息，以下哪一项元素是下一代防火墙新增元素？

A、目的地址

源端口

C、应用

D、协议号

答案：C

5.关于GRE封装与解封装，以下哪项描述是错误的？

A、封装过程,原始数据包通过查找路由把数据包传递到Tunnel接口后触发GRE

封装

B、封装过程，经过GRE模块封装后，此数据包将进入IP模块进行下一步处理

C、解封装过程，目的端收到GRE报文后，通过查找路由把数据包传递到Tunnel

接口后出发GRE解封装

D、解封装过程，经过GRE模块解封装后，此数据包将进入IP模块进行下一步处

理答案：C

6.以下关于L2Tp的描述，错误的是哪一项？

A、L2Tp要应用在远程公场景中为出差员工远程访问企业内网资源提供接入服

务。

B、无论出差员工是通过传统拔号方式接入Internet,还是通过以太网方式接入

Internet,L2TPVPN都可以向其提供远程接入服务。

CxPPP报文可以在在Internet直接传输-

D、L2Tp是一种用于承线PPP报文的隧道技术，

答案：C

7.针对IP欺骗攻击(IPSpoofing)的描述，以下哪项是错误？

A、IP欺骗攻击是利用了主机之间正常的基于IP地址的信任关系来发动的

B、IP欺骗攻击成功后，攻击者可使用伪造的任意IP地址模仿合法主机访问关键

信息

C、攻击者需要把源IP地址伪装成被信任主机，并发送带有SYN标注的数据段请

求连接

D、基于IP地址的信任关系的主机之间无需输入口令验证就可以直接登录

答案：C

8.如图所示，在传输模式下AH协议认证范围的区间是哪一段？

Data

IPAHTCP

HeaderHeaderHeader

B、2

C、3

D、4

答案：D

9.SSLVPN不能加密下列哪项协议?

A、HTTP

B、UDP

C、IP

D、PPP

答案：D

10.问卷调查的设计原则不包括下列哪项？

A、完整性

B、公开性

C、具体性

D、一致性

答案：B

11.在Linux系统中，查询IP地址信息的命令是以下哪一项

A、displayip

B、ifconfig

C、ipconfig

D、displayipinterfacebrief

答案：B

12.关于操作系统的描述，以下哪项是错误的？

A、操作系统是用户和计算机之间的接口

B、操作系统负责管理计算机系统的全部硬件资源和控制软件的执行。

C、操作系统与用户对话的界面都是图形界面

D、操作系统本身也是软件

答案：c

13.关于SSLVPN技术，以下哪个选项说法是错误的？

A、SSLVPN技术可以完美适用于NAT穿越场景

B、SSLVPN技术的加密只对应用层生效

C、SSLVPN需要拨号客户端

D、SSLVPN技术扩展了企业的网络范围

答案：C

14.VGMP组出现以下哪种情况时,不会主动向对端发送VGMP报文.

A、双机热备份功能启用

B、手工切换防火墙主备状态

C、防火墙业务接口故障

D、会话表表项变化

答案：D

15.下列关于双机热备的描述中错误的是？

A、无论是二层还是三层接口，无论是业务接口还是心跳接口，都需要加入安全

区域

B、缺省情况下抢占延迟是60s

C、缺省情况下主动抢占功能是开启的

D、双机热备功能需要Iicense支持

答案：D

16.如图所示，使用Client-lnitiateD.VPN方式建立L2TPVPN时，下列哪项是PPP

报文的终点？

L2TPVPNfilifi

将薪办公用户

A、接入用户

B、LNS

C、LAC

D、服务器

答案：B

17.在TCP.IP协议栈中，下列哪项协议工作在应用层？（

A、IGMP

B、ICMP

C、RIP

D、ARP

答案：C

18.在TCP.IP协议栈中，下列哪项协议工作在应用层？

4、ICMP

B、IGMP

C^RIP

D、ARP

答案：C

19.如图所示，在传输模式中，AHHeader头部应该插入以下哪一顶位置?

A.1

B、2

C、3

D、4

答案：B

20.如使用Client-lnitiated方式建立L2TPVPN时，下列哪项是报文的终点？

A、LNS

B、接入用户

C、服务器

D、LAG

答案：A

21.针对入侵检测系统的描述，以下哪项是错误的?.

A、入侵检测系统可以通过网络和计算机动态地搜集大量关键信息资料.并能及

时

分析和判断整个系统环境的R前状态

B、入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻态的痕迹等,

可以实施阻断操作

C、入侵检测系统包括用于入侵检测的所有软硬件系统

D、入浸检测系统可与防火墙、交换机进行联动，成为防火墙的得力“助手”，

更

好，更精确的控制域间的流量访问

答案：B

22.以下哪一项不属于二层VPN技术？

4、PPTP

B、IPsec

C、L2TP

D、L2F

答案：B

23.以下列哪一项不属于对称加密算法？

A、IDEA

B、RSA

C、AES

D、3DES

答案：B

24.以下哪种安全威胁属于应用安全威胁?

A、中间人攻击

B、用户身份未经验证

C、病毒、木马

D、网络入侵

答案：C

25.向全网发送一个ABP广播，请求主机C,的里MAC.地址。如图所示。主机A.

访问主机C.时检查ARP表项中不存在目的地址的MAC地址表项，主机A.通过

以下哪

种方式找至IJ目的MAC.地址?

SWA

(VIA£机Btf|C

/24IF10.1.1i/24IP-10.333/24

MACXXX-01・02・03«04・AAMACOCMH-02-03-04*B8MAC.00-01-02-03-04-tc

4、向全网发送一个ABP广播，请求主机C.的里MAC.地址。

B、向子网发送一个ARP广播，请求网关的MAC.地址。

C、查找主机C.的路由表。

D、向子网发送一个ARP广播，请求主机C.的MAC.地址。

答案；B

26.某公司员工通过防火墙访问公司内部的Web服务器，使用浏览器可以打开

网站的网页，但是使用Ping命令测试到WeB.服务器的可达性,显示不可达。则

可能的原因是什么？

4、防火墙上部署的安全策略放行了TCP协议,但是没有放行ICMP协议

B、web服务器宕机

C、防火墙上部署的安全策略放行了HTTP协议,但是没有放行1CMP协议

D、防火墙连接服务器的接口没有加入安全区域

答案：C

27,以下哪项不属于非对称加密算法？

A、DH

B、MD5

C、DSA

D、RSA

答案：B

28,以下哪项不属于USG防火墙中的用户认证方式？

A.免认证

B、密码认证

C、单点登录

D、指纹认证

答案：D

29,在VRRP中，如果虚拟组设备收到终端设备发送的ARP请求报文。那么以

下哪

种处理方式是正确的？

A.由Master设备响应。

B、Master和Backup都会响应。

C、由Backup设备响应。

D、Master和Backup都不会响应。因为收到的是AP请求报文的目的IP地址是

答案：A

虚拟IP地址。

30.当防火墙硬盘在位的时候，下列哪项对于防火墙日志的描述是正确的？

A、管理员可以公告内容日志查看网络威胁的检测和防御记录

B、管理员可以通过威胁日志了解用户的安全风险行为以及被告警或阻断的原因

C、管理员通过用户活动日志获知用户的行为、摸索的关键字以及审计策略配置

的生效情况等信息

D、管理员可以通过策略命中日志获知流量命中的安全策略，在发生问题时用于

故障定位

答案：D

31.IPSeC.VPN使用传输模式封装报文时，下列哪项不在ESP安全协议的认证范

围？

A、ESPHcader

B、IPHeader

C、ESPTail

D、iCPHeader

答案：B

32.防火墙GELO.1和GE1.0.2口都属于DMZ区域，如果要实现GEL。.1所连接

的

区域能够访问GE1O2所连接的区域，以下哪项是正确的？

4需要配置Local到DMZ的安全策略

答案：B

B、无需做任何配置

C、需要配置域间安全策略

D、需要配置DMZ到local的安全策略

答案：B

33.关于防火墙安全策略的说法，以下选项错误的是？

A、如果该安全策略时permit,则被丢弃的报文不会累加“命中次数”

B、配置安全策略名称时，不可以重复使用同一个名称

C、调整安全策略的顺序，不需要保存配置文件，立即生效

D、华为USG系列防火墙的安全策略条目数都不能超过128条

答案：D

34.以下关于补丁的描述哪项是错误的？

A、补丁是软件的原作者针对发现的漏洞制作的小程序

B、不打补丁也不影响系统的运行，所以，打补丁与否是无关紧要的。

C、补丁程序一般会不断更新。

D、计算机用户应及时下载并安装最新补丁以保护自己的系统

答案：B

35.入侵检测的内容涵盖授权的和非授权的各种入侵行为，以下哪项行为不属于

入侵检测范围？

A、冒充其他用户

B、管理员误删配置

C、种植蠕虫木马

D、泄露数据信息

答案：B

36.某小型企业只有一个公网地址，管理员通过使用NAT接入Internet,以下哪

一项NAT方式最适合该公司需求？

A、Easyip

B、静态NAT

C、目的NAT

D、动态NAT

答案：A

37.TCP.IP协议栈数据包封装包括：以下哪项对封装顺序的描述是1.DatA.2.

TCP.

UDP3.MAC.4.IP

A、1234

B、1243

C、1342

D、1423

答案：B

38.以下哪项在数字签名技术中用于对数字指纹进行加密？

A、发送方公钥

B、发送方私钥

C、接收方公钥

D、接收方私钥

答案：B

39.管理员希望清除当前会话表，以下哪个命令是正确的？

A、clearfirewalIsessiontable

B、resetfirewalIsessiontable

C、displayfirewalIsessiontable

D^displaysessiontablc

答案：B

40.93,对于会话首包在防火墙域间转发的流程，有以下几个步骤：1、查找路由

表2、查找域间包过滤规则3、查找会话表4、查找黑名单下列哪项顺序是正确

的？

A.1->3->2->4

B、3->2->1->4

C、3->4->1->2

D、4->3->1->2

答案：C

41.在USG系列防火墙上配置NATServerB't,会产生server-m叩表，以下哪项不

属

于该表现中的内容？

A、目的IP

B、目的端口号

C、协议号

D^源IP

答案：D

42.ACL的类型不包括以下哪一项？

A、七层ACL

B、局级ACL

答案：A

C、基本ACL

D、二层ACL

答案：A

43.以下关于VGMP协议描述错误的是哪项？需要更多新题库V:276137877

4、VGMP将同一台防火墙上的多个VRRP备份组都加入到一个管理组，由管理

组统一管理所有VRRP备份组

B、VGMP通过统一控制各VRRP备份组状态的切换，来保证管理组内的所有

VRRP备份组状态都是一致

C、状态为Active的VGMP组设备会定期向对端发送he11。报文,stdandby端只

负责监听heII。报文,不会进行回应

D、在缺省情况下当standby端三个heII。报文周期没有收到对端发送的hello报

文，会认为对端出现故障，从而将自己切换到Active状态。

答案：C

44.人工审计是对工具评估的一种补充，它不需要在被评估的目标系统上安装

任何软件，对目标系统的运行和状态没有任何影响。人工审计的内容不包括下

列哪个选项？

A、对主机操作系统的人工检测

B、对数据库的人工检查

C、对网络设备的人工检查

D、对管理员操作设备流程的人工检查

答案：D

45.以下哪项是事件响应管理的正确顺序？

1检测

2报告

3缓解

4总结经验5修复

6恢复

7响应

A、1-3-2-7-5-6-4

1-3-2-7-6-5-4

C、1-2-3-7-6-5-4

D、1-7-3-2-6-5-4

答案：D

46.企业影响分析(BIA)不包括以下哪项？

4业务优先级

B、事故处理优先级

C、影响评估

D、风险识别

答案：B

47.下列哪个选项不属于windows操作系统的日志类型？

A、业务日志

B、应用程序日志

C、安全日志

D、系统日志

答案：A

48.部署IPSeC.VPN隧道模式时，采用AH协议进行报文封装。在新1P报文头

部字段中，以下哪个参数无需进行数据完整性校验？

A、源IP地址

B、目的IP地址

C、TTL

D、Idetification

答案：C

49.关于VGMP管理的抢占功能的描述，以下哪项是错误的？

A、缺省情况下,VGMP管理组的抢占功能为启用状态

B、缺省情况下,VGMP管理组的抢占延迟时间为40s

C、抢占是指当原来出现故障的主设备故障恢复时，其优先级会恢复，此时可以

重新将自己的状态抢占为主

D、当VRRP备份组加入到VGMP管理组后,VRRP备份组上原来的抢占功能失

效答案：B

50.漏洞也叫脆弱性，是指计算机系统在硬件、软件、协议的具体事项或系统

安全策略上存在缺陷和不足。以下关于漏洞的特性描述，错误的是那项？

A、漏洞是种安全隐患,会使计算机遭受黑客攻击。

B、漏洞可以被远程利用。

C、漏洞无法进行修补

D、漏洞是事先未知、事后发现的。

答案：c

51.在USG系列防火墙中，可以通过以下哪个命令查询NAT转换结果？

A、displaynattransiation

B、displayfircwalIsessiontabTc

C、displaycurrentnat

D、displayfirewalInattransIation

答案：B

52.在华为USG系列设备上，管理员希望擦除配置文件，下列哪项命令是正确

的？

A、clearsaved-configuration

resetsaved-configuration

C、resetcurrent-configuration

D、resetrunning-configuration

答案：B

53.以下哪个攻击不属于特殊报文攻击？

A、ICMP重定向报文攻击

BxICMP不可达报文攻击

C、IP地址扫描攻击

D、超大ICMP报文攻击

答案：C

54.使用AH+ESP协议对IP报文进行封装，需要建立几个IPSeC.SA?

A、2

B、1

C、4

D、3

答案：A

55.关于CIient-lnitialized的L2TPVPN,下列哪项说法是错误的？

A、远程用户接入internet后，可通过客户端软件直接向远端的LNS发起L2Tp

隧道连接请求

BxLNS设备接收到用户L2Tp连接请求，可以根据用户名、密码对用户进行验证

C、LNS为远端用户分配私有IP地址

D、远端用户不需要安装VPN客户软件

答案：D

56.证据保全直接关系到证据的法律效力，以下哪一项不属于证据保全技术？

A、数字证书技术

B、加密技术

C、数据挖掘技术

D、数字签名技术

答案：C

57.以下哪项不属于防火墙双机热备需要具备的条件？

A、防火墙硬件型号一致

B、防火墙软件版本一致

C、使用的接口类型及编号一致

D、防火墙接口IP地址一致

答案：D

58,配置用户单点登录时，采用接收PC消息模式，其认证过程有以下步骤：

1访问者PC执行登录脚本，将用户登录信息发给AD监控器

2防火墙从登录信息中提取用户和IP的对应关系添加到在线用户表

3AD监控器连接到AD服务器查询登录用户信息，并将查询到的用户信息转发到

防火墙

4访问者登录AD域,AD服务器向用户返回登录成功消息并下发登录脚本以下哪

项的排序是正确的？

A.1-2-3-4

B、4-1-3-2

C、3-2-1-4

D、1-4-3-2

答案：B

59.在USG系列防火墙中，可以使用功能为非知名端口提供知名应用服务。

A、端口映射

B、MAC与IP地址绑定

C、包过滤

D、长连接

答案：A

60.银行A.是一家农村商业银行，主要向本省辖内衣民、农村工商户等用户提

供金融服务。现银行A.的网络需要做等保测评，以下哪一项等保等级适用于银

行A?

4、等保三级

B、等保一级

等保四级及以上

D、等保二级

答案：C

61.SMTP协议的端口号是多少？

A、25http80,https443,telnet23,ssh22pop3110dns53,ftp21

B、30

Cs109

D、32

答案：A

62.DHCP绑定表中不包含以下哪一项信息？

A、端口号

B、VLANID

C^MAC.地址

D、IP地址

答案：A

63.在某些场景下，既要对源IP地址进行转换，又要对目的IP地址进行转换,

该场

景使用以下哪项技术？

双向NAT

B、源NAT

C>NAT-Server

D、NATALG

答案；A

64.安全评估方法的步骤不包括下列哪项？

A、人工审计

B、渗透测试

C、问卷调查

D、数据分析

答案：D

65.以下哪项不属于数字证书的内容？

A、公钥

B、私钥

C、有效期

D、颁发者

答案：B

66.关于PKI工作过程的排序，以下哪项是正确的？

A.1-2-6-5-743・8

B、1-2-7-6-5-4-3-8

C、6-5-4-1-2-7-3-8

D、6-5-4-3-1-2-7-8

答案：B

67.下列哪项不属于对称加密算法中的分组加密算法?

A、RC5

B、RC4

C、RC6

RC2答案：B

68.关于DNS的特点，以下哪一项的描述是错误的？

A、DNS的作用是把难记忆的IP地址转换为容易记忆的字符形式。

B、DNS使用TCP协议，端口号是53oDNSTCP53,UDP53

CxDNS域名劫持通过伪造域名解析服务器等手段，将目标域名解析到错误的IP

地址，导致用户访问错误的网站。

DxDNS按分层管理，最高级别为根域，其次为顶级域名，CN是顶级域名，表

示中国。

答案：A

69.以下哪项是USG系列防火墙初次登录的用户名.密码？

用户名admin

密码Admin123

B、用户名admin

密码admin123

C^用户名admin

密码admin

D、用户名admin

密码Admin123

答案：A

70.关于NAT技术，以下哪项描述是错误的？

A、在华为防火墙中，源NAT技术是指对发起连接的IP报文头中的源地址进行

转换。

B、在华为防火墙也EasyIP直接使用接口的公网地址作为转换后的地址,不需要

配置NAT地址池。

C、在华为防火墙中，NATNo-PAT技术需要通过配置NAT地址池来实现。

D、在华为防火墙中，带端口转换的NAT技术只有NAPT.

答案：D

71.以下关于双机热备中自动备份模式的描述，错误的是哪一项？

A、在一台FW上每执行一条可以备份的命令时，此配置命令就会被立即同步备

份到另一台FW上。

B、需要管理员手工开启。

C、主用设备会周期性地将可以备份的状态信息备份到备用设备上。

D、能够自动实时备份配置命令和周期性地备份状态信息，适用于各种双机热备

组网。

答案：B

72.监视器对应下列哪项安全措施？

A、入侵检测系统

B、加密VPN

C、门禁系统

D、防火墙

答案：A

73.数据分析技术是在已经获取的数据流或者信息流中寻找、匹配关键词或关

键短语,分析时间的关联性。下列哪项不属于证据分析技术？

A、密码破译,数据解密技术

B、文件数字摘要分析技术

C、发掘不同证据间的联系的技术

D、垃圾邮件追踪技术

答案：D

74.下列选项中对信息安全管理体系(ISMS)四个阶段的顺序描述正确的是哪项？

A^PIan->Check->Do->Action

B、Check->PIan->Do->Action

C^PIan->Do->Check->Action

D、PIan->Check->Actior)->Do

答案：C

75.查看防火墙的HRP状态信息如下：HRPS[USG_B]displayhrpstateBbs.hhOlO.T

hefirewalI'sconfigstateis:StandbyCurrentstateofvirtualroutersconfigureD.asstandby:G

igabitEthernetl.0.OvriD.1:standbyGigabitEthernetl.0.IVriD.2:standby根据上述信

息，以下哪项描述是正确的：

A、此防火墙VGMP组状态为Active

B、此防火墙G1.0.0和G1.0.1接口的VRRP组状态为standby

C、此防火墙的HRP心跳线接口为G1.0.0和G1.0.1

D、此防火墙一定是处于抢占状态

答案：B

76.如果发生境外不法分子利用互联网窃取我国国家机密的事件,则国家会启动

哪种预警？

A、橙色预警

B、黄色预警

C、蓝色预警

D、红色预警

答案：A

77.下列哪项不是单机反病毒技术？

A、安装杀毒软件

B、网络防火墙上配置反病毒技术

C、使用病毒检测工具

D、为系统打补丁

答案：B

78.下列哪项不属于计算机犯罪的主要形式？

A、向目标主机植入木马

B、向目标主机进行黑客攻击

C、使用计算机进行个人问卷调查

D、未经允许,利用扫描工具收集网络信息

答案：C

79.下列哪个不是配置双机热备所应该具备的系统要求?

A、FW软件版本必须相同

B、FW型号必须相同

C、FW硬盘配置必须相同

D、FW单板类型必须相同

答案；C

80.用iptables写一条规则不允许172.16.0.0.16的网段访问本设备，以下哪项

规则写法是正确的？需要更多新题库V:276137877

A、iptables-tfiter-A.INPUT-S172.16.0.0.16-pal1-jDROP

B、iptables-tfiter-PINPUT-s172.16.0.0.16-pal1-jDROP

C^iptables-tfiter-PINPUT-s172.16.0.0.16-pall-j-ACCEPT

D、iptables-tfiler-PINPUT-D.172.16.0.0.16-pal1-j-ACCEFT答案：A

81.以下关于iptables表功能的描述，错误的是哪一项？

A、NAT表:地址转换的功能。

B、Raw表:决定数据包是否被状态跟踪机制处理。

C、Mangle表:修改安全策略

D、Filter表:数据包中允许或者不允许的策略。

答案：C

82.L2Tp协议是在以下哪一阶段进行IP地址分配？

4链路建立阶段

B、LCP协商阶段

CxCHAP阶段

D、NCP协商阶段

答案：D

83.以下哪项不属于对称加密算法？

A、DES

B、3DES

C、AES

D、RSA

答案：D

84.以下关于证书申请的描述，错误的是哪一项？

A、当证书过期、密钥泄漏时，PKI实体必须更换证书，可以通过重新申请来达

到更新的目的，也可以使用SCEP或CMPv2协议自动进行更新。

B、通常情况下PKI实体会生成一对公私钥，公钥和自己的身份信息被发送给

CA.用来生成本地证书。

C、PKI实体支持通过SCEP协议向CA.发送证书注册请求消息来申请本地证书。

DvPKI只能通过在线方式申请本地证书，安全系数高。

答案：D

85.数字签名技术通过对以下哪项数据进行了加密从而获得数字签名？

用户数据

B、接收方公钥

C、发送方公钥

D、数字指纹

答案：D

86.在信息保障阶段,需要从下列哪些角度入手考虑信息的安全问题?

A、管理

B、安全体系

C、业务

D、技术

答案：B

87.关于L2TPVPN的说法，以下哪项是错误的？

A、适用于出差员工拨号访问内网

B、不会对数据进行加密操作

C、可以与IPseC.VPN结合使用

D、属于三层VPN技术

答案：D

88.入侵防御系统针对攻击识别是基于以下哪一项进行也配的？

A、端口号

B、协议

C、IP地址

D、特征库

答案：D

89.下列哪个不是防火墙缺省的安全区域

A、untrustzone

B、trustzone

C、dmzzone

D、ispzone

答案：D

90.公司网络管理员在配置双机热备时，配置VRRP备份组1的状态为Active,并

配置虚拟IP地址为.24,则空白处需要键入的命令是

A、rulenamec

Source-zoncuntrust

Destination-zonetrust

Destination-address202.106.1.132

Actionpermit

B、rulenamed

Sourcc-zoncuntrust

Destination-zonetrust

Destination-address10.10.1.132

Actionpermit

C、security-policy

Rulenamea

Source-zoneuntrust

Source-address202.106.1.132

Actionpermit

D、rulenameb

Source-zoneuntrust

Destination-zonetrust

Source-addresslO.10.1.132

Actionpermit

答案；A

91.关于SSLVPN的描述，以下哪项是正确的？

A、可以在无客户端的情况下使用

B、可以对IP层进行加密

C、存在NAT穿越问题

D、无需身份验证

答案：A

92.通常我们会把服务器分为通用服务器和功能服务器两大类，以下哪个选项符

合这种分类标准？

4、按应用层次划分

B、按用途划分

C、按外形划分

D、按体系构架划分

答案：B

93.入侵防御设备能够有效防御以下哪一项的攻击？

4、传输层

B、应用层

C、网络层

D、物理层

答案：B

94.下列哪项是网络地址端口转换(NAPT)与仅转换网络地址(No-PAT)的区别？

4经过No-PAT转换后，对于外网用户，所有报文都来自同一个IP地址

B、No-PATR支持传输层的协议端口转换

C、NAPTR支持网络层的协议地址转换

D、No-PAT支持网络层的协议地址转换

答案：D

95.如图所示，使用抓包软件在某终端设备上抓取了部分报文，关于该报文信息，

以下哪一项是正确的？

一KPinfs>http[SYN]$eq«0win-819.

19WLI1U.1U.1.2__TJihttp>nfs[SYN,ACK]seq»0Ad

-LU2.1U.L1-「Tnnfs>http[ACK]seq«lAck«lw

A、该终端向192.168.1.1发起了TCP连接终止请求。

B、该终端使用Telnet登录其他设备。

C、该终端向192.168.1.1发起了TCP连接建立请求。

D、该终端使用Http登录其他设备。

答案：C

96,如图所示,客户端A和服务器B之间建立TCP连接，图中两处“？”报文序号应

该是下列哪项？

>------------------------------------------O---------------------

A、a+l:a

B、a:a+l

C、b+l:b

D^a+1:a+1

答案：D

97.在等保2.0中，哪一项规定了“应在关键网络节点处对垃圾邮件进行检测和防

护，并维护垃圾防护机制的升级和更新”？

A、恶意代码防范

B、通信传输

C、集中管控

D、边界防护

答案：A

98.如图所示,FW_A.与FW_B.之间建立GREVPN,PC_A.与PC_B.通过GREVPN访问，请问对数据

报文封装时，目的地址应封装为下列哪项？

C、10.1.1.2

D、192,168.2.1

答案：A

99.以下哪种密码属于高强度密码?

4、1001

B、tLzXsqc735!

C、admin123

D、hellOworld

答案：B

100.关于Telnel服务的特点，以下哪一项的描述是错误的？

A、Telnet可用于远程登录主机，可通过暴力破解获取到Telnet帐号密码。

B、默认情况下华为防火墙禁止远程用户使用Telnet登录。

C、通过Telnet服务用户可在本地计算机上连接远程主机。

DxTelnet是一种远程登录服务协议，使用UDP协议的23端口号

答案：D

101.下列哪一项不属于P2DR模型中Detection环节使用到的方法？

A、实时监控

B、检测

C、报警

D、关闭服务

答案：D

102.防火墙检测到病毒后，下列哪种情况会放行病毒？

4、命中应用例外

B、不是防火墙支持的协议

C、源IP命中白名单

D、命中病毒例外

答案：C

103.关于防火墙的描述，以下哪项是正确的

A、防火墙不能透明接入网络.

B、防火墙添加到在网络中，必然会改变网络的拓扑.

C、为了避免单点故障，防火墙只支持旁挂部署

D、根据使用场景的不同，防火墙可以部署为透明模式，也可以部署为三层模

式.

答案：D

104.最常见的等保三级标准，一共包含3个方面内容,分别为:物理安全、数据

安全和网络安全。

4、正确

B、错误

答案：B

105.下列哪个不是防火墙缺省的安全区域？（单选）

A、UntrustZone

B、DMZZone

C、TrustZone

D、ISPZone

答案：D

106.下列不属于常见的数字证书的应用场景的是？

A、FTP

HTTPS

C、IPSEC.VPN

D、SSLVPN

答案：A

107.关于安全策略配置命令，以下哪项是正确的？

4、禁止从trust区域访问untrust区域且目的地址为10.1.10.10主机的ICMP报文

B、禁止从trust区域访问umrust区域且目的地址为10.1.0.0.16网段的所有主机

ICMP报文

C、禁止从trust区域访问untrust区域且源地址为10.1.0.0.16网段来的所有主机

ICMP报文

D、禁止从trust区域访问untrust区域且源地址为10.2.10.10主机来的所有主机

ICMP报文

答案：C

108.以下哪个选项不是IPSeC.SA的标识？

A、SPI

B、目的地址

C、源地址

D、安全协议

答案：C

109.下列关于心跳接口的描述中错误的是？

A、MGMT接口(GigabitEthernetO.0.0)不能作为心跳接口

B、心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接

C、建议至少配置2个心跳接口。一个心跳接口作为主用，另一个心跳接口作为

备

D、按口MTU值大于1500的接口不能作为心跳接口

答案：D

110.关于上网用户组管理的说法，以下哪项是错误的？

A、每个用户组可以包括多个用户和用户组。

B、每个用户组可以属于多个父用户组。

C、系统默认有一个default用户组，该用户组同时也是系统默认认证域.

D、每个用户至少属于一个用户组，也可以属于多个用户组.

答案：B

111.公司管理员使用命令Ping命令测试网络的连通性，如果他需要指定ehco-re

quest报文的源地址，则他需要附加的参数是？

4、-i

-a

C、-c

D、-f

答案：B

112.以下哪一项不是VPN中的加密算法？

4、3DES

B、DES

C^AES

D、RIP路由协议，不属于加密算法。

答案：D

113.关于NAT地址转换，以下哪项说法是错误的？

A、源NAT技术中配置NAT地址池，可以在地址池中只配置一个IP地址

B、地址转换可以按照用户的需要,在局域网内向外提供FTP、.Telnet等服务

C、有些应用层协议在数据中携带IP地址信息，对它们作NAT时还要修改上层

数据中的IP地址信息

D、对于某些TCP、UDP的协议（如ICMP、PPTP）,无法做NAT转换

答案：D

114.以下哪个选项是GRE的协议号？

46

B、47

C、89

D、50

答案：B

115.以下关于华为防火墙安全区域的描述，正确的是哪一项？

A、防火墙的不同安全区域的优先级相同。

B、防火墙的不同接口可以在同一个区域。

C、防火墙自带的区域可以删除。

D、防火墙同一个接口可以归属不同区域。

答案：B

116.关于NAT地址池的配置命令如下：

nataddress-grouplsection0202.202.168.10202.202.168.20

Modeno-pat其中，no-pat参数的含义是：

A、不做地址转换

B、进行端口复用

C、不转换源端口

D、转换目的端口

答案：C

117.在处理非首包数据流时，以下哪一类防火墙处理效率最高？

A、代理防火墙

B、包过滤防火墙

C、状态监测防火墙

D、软件防火墙

答案：C

118.IP报文头中的协议(protocol)字段标识了其上层所使用的协议，以下哪个字

段值表示上层协议为UDP协议？

A、6

B、17

C、11

D、18

答案：B

119.通过displayikesA.看到的结果如下，以下哪项说法是错误的？

A、IKESA.已经建立

B、IPSeC.SA已经建立

C、邻居地址是2.2.2.1

DvIKE采用的是VI版本

答案：B

120.IPSeC,可以通过以下哪一项协议来完成加密和认证过程的密钥自动分发？

A、AH

BsIKE（因特网密钥交换协议）

C、ESP

D、SPI

答案：B

121.攻击者发送源地址和目的地址相同，或者源地址为环回地址的sw报文给

目标主机（源端口和目的端口相同），导致被攻击者向其自己的地址发送

SYN-ACK）肖息。这种行为属于哪一种攻击？

4、SYNflood攻击

BxTCP欺骗攻击

C、smurf攻击

D、Land攻击

答案：D

122.以下对防火墙日志的描述，错误的是哪一项?

A、日志等级Emergency为最严重的等级

B、Alert0志等级表示设备重大的异常，需要立即采取措施

C、根据信息的严重等级或紧急程度，日志可以分为8个等级，信息越严重，其

日志等级值越大

DxDebug日志等级表示是设备正常运转的一般性信息,用户无需关注

答案：C

123.下列哪项不是国家互联网应急中心的业务范围？

A、应急处理安全事件

B、预警通报安全事件

C、为政府部门、企事业单位提供安全评测服务

D、与其他机构合作，提供培训服务

答案：D

124.下列关于心跳接口的描述中错误的是

A、建议至少配置2个心跳接口。一个心跳接口作为主用，另一个心跳接口作为

备份。

B、接口MTU值大于1500不能作为心跳接口

C、心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接

D、MGMT接口(GigabitEtherneto.0.0)不能作为心跳接口

答案：B

125.中间人攻击属于数据安全威胁。

正确

B、错误

答案：A

126.以下哪项配置能实现NATALG功能？

A>natalgprotocol

B、aIgprotocol

C、natprotocol

D、detectprotocol

答案：D

127.以下关于单点登录主要实现方式的描述中，错误的是哪一项？

4、接受PC.消息模式

B、查询AD.服务器安全日志模式

C、查询syslog服务器模式

D、防火墙监控AD.认证报文

答案：C

128.在华为SDSec解决方案中，防火墙属于哪一层的设备？

A、分析层

B、控制层

C、执行层

D、监控层

答案：C

129.DES加密技术使用的密钥是多少位，而3DES加密技术使用的密钥是多少

位。

A、56168

B、64168

C、64128

D、56128

答案：D

130.在防火墙上部署双机热备时，为实现VRRP备份组整体状态切换，需要使用

以

下哪个协议？

A、VRRP

B、VGMP

C、HRP

D、OSPF

答案：B

131.证据鉴定需要解决证据的完整性验证和确定其是否符合可采用标准，关于

证概鉴定的标准，以下哪项描述是正确的？

A、关联性标准是指电了证据如果在一定程度上能够对案件事实产生实质性影

响，法庭应当裁定其具有关联性。

B、客观性标准是指电子证据的获取、存储、提交等环节约应合法，对国家利

益、社会公益和个人隐私等基本权利不构成严里侵犯。

C、合法性标准是保证电子证据从最初的获取收集，到作为诉讼证据提交使用的

过程中，其内容没有任何变化。

D、公平性标准是指由法定主体以合法手段取得的证据材料，才具有证据能力。

答案：A

132,防火墙对匹配到的认证数据流采取的处理方式，不包括以下哪个选项？

A、Portal认证

免认证

C、微信认证

D、不认证

答案：C

133.IPv6支持在设备上配置路由器授权功能，通过数字证书验证对等体身份,

选用合法设备。

A正确

B、错误

答案：B

134.针对发生的重大网络安全事件,所对应的预警是哪个等级？

A、红色预警

B、橙色预警

C、黄色预警

D、蓝色预警

答案：B

135.以下哪个选项不属于散列算法？

A、MD5

B、SHA1

C、SM1

D^SHA2

答案：c

136.如图所示，PCI和PC2之间已经建立了TCP连接，PC1发出对此连接的FIN

请求，PC2回应YACK,以下哪一项的描述是正确的？

A、PC1到PC2的TCP连接已经完全关闭。

B、PC1到PC2的TCP连接处于半关闭状态,PC1仍然能向PC2发送数据。

C、PC1到PC2的TCP连接处于半关闭状态，不能再通过此连接发送数据

D、PC1到PC2的TCP连接处于半关闭状态,PC2仍然能向PC1发送数据。

答案：D

137.二层交换机转发数据时,根据以下哪种表项确定目标端口？

A^ARP表项

B、MAC.地址表项

C、路由表项

D、访问控制列表

答案：B

138.IPSeC.VPN使用隧道模式封装报文时，下列哪项不在ESP安全协议的加密

范

围？

A、ESPHeader

B、TCPHeader

C\RawlPHeader

D、ESPTail

答案：A

139.关于电子证据来源，以下哪项描述是错误的？

A、传真资料，手机录音属于与通信技术有关的电子证据。

B、电影,电视剧属于与网络技术有关的电子证据.

C、数据库操作记录，操作系统日志属于与计算机有关的电子证据・

D、操作系统日志,e-mail,聊天记录都可以作为电子证据的来源

答案：B

140.关于上网用户和VPN接入用户认证的描述，以下哪项是错误的？

4、上网用户和VPN接入用户共享数据，用户的属性检查（用户状态、账号过

期时间等）同样对VPN接入生效

B、上网用户采用本地认证或服务器认证过程基本一致，都是通过认证域对用户

进行认证，用户触发方式也相同

C、VPN用户接入网络后，可以访问企业总部的网络资源，防火墙可以基于用户

名

控制可访问的网络资源

D、VPN接入用户通过认证后将同时在用户在线列表上线

答案：B

141.关于入侵防御系统（IPS）的描述，以下哪项是错误的？

AxIDS设备需要与防火墙联动才能阻断入侵（IDS入侵检测系统）

B、IPS设备在网络中不能采取旁路部署方式（IPS入侵防御系统）

C、IPS设备可以串接在网络边界，在线部署

D、IPS设备一旦检测出入侵行为可以实现实时阻断

答案：B

142.启用GRE的keepalive功能后，默认情况下设备会周期性的每隔多少秒向

对端发送一次keepalive报文？

4、20

B、10

C、5

D、3

答案：C

143.下列哪项SSLVPN功能能且只能访问所有的TCP资源？

4、网络扩展

B、文件共享

C、WEB.代理

D、端口转发

答案：D

144.攻击者发送源地址和目的地址相同，或者源地址为环回地址的SYN报文给

R标主机（源端口和目的端口相同，导致被攻击者向其自己的地址发进妇

SYN-AKY消息这种行为是哪种攻击？（）

A、Smurf攻击

B、SYNFIooD.攻击

C、TCP欺骗攻击

D、LanD.攻击

答案：D

145.管理员通过Gl.0.0接口（已将该接口加入Trustzone）连接到防火墙，如果允

许管理员通过G1.0.O登录防火墙进行配置管理，则该如何配置安全策略中放行

的流量方向？

A、放行TrustZone至UUntrustZone的流量

B、放行TrusiZone到LocalZone的流量

C、放行LocaIZone至ljLocaIZone的流量

D、放行TrustZone至ljTrustZone的流量

答案：B

146.如图所示为配置NATServer后生成的两条ServerM叩表项，关于该图所呈现

的信息，以下哪项描述是错误的？

*Type:NatServer.

ANYT1.1.1.1[192.168.1.1!Type:NatServerReverse.192.168.1.1[1.1.1.1]T

ANY

Type:NatServer:ANY->L1.1.1[]

Type:NatServerReverse[]一

A、第二条ServerMap作用是当192.168.1.1去访问任何地址的时候经过防火墙

后源地址会转换成1-L1-1

B、第一条ServerMap作用是任何地址去访问192.168.1.1时，经过防火墙后目的

IP都转换成l.l.I.lo

C、带有Reverse标识的ServerMap可以使用命令将其册除。

D、这两条ServerM叩表项是静态的，即配置好NATServer后，两条ServerM叩会自动生成且永久

存在。

答案：B

147.二层ACL,的编号范围是以下那一项？

4、3000-3999

B、2000-2999

C、10007999

D、4000-4999

答案：D

148.以下关于数字签名中数字指纹的描述，错误的是哪一项？

A、接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。

B、它是发送方通过HASH算法对明文信息计算后得出的数据。

C、接收方会用发送方的公钥计算生成的数据指纹和收到的数字指纹进行对比。

D、数字指纹又称为信息摘要。

答案：C

149.824>?????

关于NATNo-PAT产生的ServerMap表，以下哪项描述是正确的

A、NATNo-PAT产生的ServerM叩的功能相当于安全策略，即匹配该ServerMap表的报文可以直接

通过防火墙，无需匹配安全策略。

B、NATNo-PAT产生的ServerMap默认有两条，有一是反向的ServerM叩表，主要作用外网用户主

动访问该私网用户时，无需另外配置NAT和安全策略即可进行地址转换进行访问。

C、NATNo-PAT产生的ServerM叩是静态的，即配置好NATNo-PAT后，ServerMap表会自动生成且

永久存在。

D、NATNo-PAT产生的ServerM叩默认有两条，有一是正向的ServerMap表，主要作用是保证特定

私网地址访问公网时直接命中表项进行地址转换，提高效率。答案：C

150.以下哪个NAT技术属于目的NAT技术？

A、Easy-ip

B、NATNo-PAT

C^NAPT

D^NATServer

答案：D

151.以下哪一项措施能够防止IP欺骗攻击？

A、在边界防火墙上过滤特定端口

B、在边界防火墙上设置到特定IP的路由

C、在边界路由器上部署目标IP地址过滤

D、在边界防火墙上进行源IP地址过滤

答案：D

152.申请应急响应专项资金，采购应急响应软硬件设备属于网络完全应急响应中哪个阶段中的

工作内容？

A、准备阶段

B、抑制阶段

C、响应阶段

D、恢复阶段

答案：A

153.当在公共场所连接Wi-Fi时,下列哪一种行为相对更加安全？

A、连接未进行加密的Wi-Fi热点

B、连接由运营商提供的付费Wi-Fi热点且仅进行网络浏览

C、连接未加密的免费Wi-Fi进行在线购物

D、连接加密的免费Wi-Fi进行在线转账操作

答案：B

154.当发生网络安全事件后，对入侵行为、病毒或木马进行排查，对主机进行修补

加固。上述动作属于网络安全应急响应哪个阶段中的工作内容？

A、恢复阶段

B、检测阶段

C、根除阶段

D、抑制阶段

答案：D

155.以下哪种攻击不属于网络攻击？

A、IP欺骗攻击

B、Smurf攻击

CxMAC地址欺骗攻击

D、ICMP攻击

答案：C

156.下列哪个信息不是双机热备中状态信息备份所包含的备份内容?

4、NAPI相关表项

B、IPv4会话表

C、IPSEC隧道

D、路由表

答案：D

157.下列哪项不属于网络安全事件中划分的等级？

A、重大网络安全事件

B、特殊网络安全事件

C、一般网络安全事件

D、较大网络安全事件

答案：B

158,下列哪项属于网络安全事件分类中的“信息破坏事件”？

A、软硬件故障

B、信息仿冒

C、网络扫描窃

D、听木马攻击

答案：B

159.在信息安全体系建设管理周期中，下列哪一项的行为是“check”环节中需要

实施的？

A、安全管理体系设计

B、安全管理体系实施

C、风险评估

D、安全管理体系运行监控

答案：D

160.以下哪项流量匹配了认证策略会触发认证？

A、访问设备或设备发起的流量

B、DHCP>BGP、OSPF、LDP报文

C、访问者访问HTTP业务的流量

D、第一条HTTP业务数据流对应的DNS报文

答案：C

161.防火墙接入用户认证的触发认证方式，不包括以下的哪一项？

A、MPLSVPN

B、SSLVPN

C、IPSeC.VPN

D、L2TPVPN

答案：A

162.以下哪项不属于LINUX操作系统？

A、CentOSIinux

B、RedHatlinux

C、Ubuntulinux

D、MAC.OSUnix

答案：D

163.在信息安全体系建设管理周期中，下列哪一项的行为是“Check“环节中需要

实施的?

A、安全管理体系设计

B、安全管理体系实施

C、风险评估

D、安全管理体系运行监控

答案：D

164.受外部用户控制通过窃取本机信息或者控制权来攻击网络安全的方式是以

下哪种攻击行为？

4、木马攻击

B、拒绝服务攻击

C、钓鱼攻击

D、缓冲区溢出攻击

答案：A

165.DES加密技术使用的密钥是位，而3DES加密技术使用的密钥是位。

4、56168

B、64168

C、64128

D、56128

答案：D

166.在USG系统防火墙上配置NATServerD'j,会产生server-map表，以下哪项不属于该表现中的

内容？

4、目的IP

B、目的端口号

C、协议号

D、源IP

答案：D

167.关于VGMP的组管理的描述，以下哪项是错误的？

A、VRRP备份组的主•备状态变化都需要通知其所属的VGMP管理组

B、两台防火墙心跳口的接口类型和编号可以不同，只要能够保证二层互通即可

C、主备防火墙的VGMP之间定时发动hell。报文

D、主备设备通过心跳线交互报文了解对方状态，并且备份相关命令和状态信息。答案：B

168.AH协议的协议号是多少？

A、50

B、51

C、55

D、52

答案：B

169.在密码学应用中，哪一项技术是使用公钥加密，私钥解密？

4对称密钥

B、非对称密钥

C、数字签名

D、DH

答案：B

170.针对ARP欺骗攻击的描述，以下哪项是错误的

AxARP实现机制只考虑正常业务交互,对非正常业务交互或恶意行为不做任何验证

B、ARP欺骗攻击只能通过ARP应答来实现，无法通过ARP请求实现

C、当某主机发送正常ARP请求时，攻击者会抢先应答，导致主机建立一个错误的

IP和MAC映射关系

DxARP静态绑定是解决ARP欺骗攻击的一种方案，主要应用在网络规模不大的场

景

答案：B

171.T列哪项SSLVPN功能能且仅能访问所有TCP资源？

4、网络扩展

B、端口转发

C、web代理

D、文件共享

答案：B

172.电子证据保全直接关系到证据法律效力，符合法律手续的保全，其真实性和

可靠性才有保障。下列哪项不属于证据保全技术？

4、加密技术

B、数字证书技术

C、数字签名技术

D、报文标记追踪技术

答案：D

173.以下哪个选项属于二层VPN技术？

A、SSLVPN

B、L2TPVPN

C、GREVPN

D、IPSeC.VPN

答案：B

174.利用程序漏洞，构造特殊的SQL语句并提交以获取敏感信息的攻击方式是以

下哪种攻击方式？

A、SQL注入攻击

B、蠕虫攻击

C、钓鱼攻击

D、缓冲区溢出攻击

答案：A

175.以下哪项不属于杀毒软件的关键技术？

A、脱壳技术

B、自我保护

C、格式化磁盘

D、实时升级病毒库

答案：C

176.以下哪一项不属于二层VPN?

A、L2F

B、PPTP

C、L2TP

D、IPSeC.

答案：D

177.下列选项中，哪一个不是私网P地址？

A、192.168.254.254.16

172.32.1.1.24

C、10.32.254.254.24

D、10.10.10.10.8

答案：B

178.下列哪个选项不属于被动获取信息的手段？

4、端口扫描

B、端口镜像

C、收集日志

D、抓包

答案：D

179.在IPSeC.VPN传输模式中，数据报文被加密的区域是哪部分?

A、网络层及上层数据报文

B、原IP报文头

C、新IP报文头

D、传输层及上层数据报文

答案：D

180.以下关于对称加密技术的描述中，错误的是哪项？

4系统开销小。

B、扩展性好。

C、效率高，算法简单。

D、适合加密大量数据。

答案：B

181.服务器在使用过程中，存在着各种各样的安全威胁。以下哪个选项不属于服

务器安全威胁？

4、自然灾害

B、DDos攻击

C、黑客攻击

D、恶意程序

答案：A

182.在数字签名过程中，主要是对以下哪项进行了HASH算法从而验证数据传输

的完整性？

4、用户数据

B、对称密钥

C、接收方公钥

答案：A

D、接收方私钥

答案：A

183.在部署IPSeC.VPN时，以下哪项属于隧道模式的主要应用场景？

A、主机与主机之间

B、主机与安全网关之间

C、安全网关之间

D、主机和服务器之间

答案：C

184.关于HRP主备配置一致性检查内容不包括下列哪个选项？

4、NAT策略

B、是否配置了相同序号的心跳接口

C、静态路由的下一跳和出接口

D、认证策略

答案：C

185.在某些场景下，既要对源IP地址进行转换，又要对目的IP地址进行转换,

该场景使用以下哪项技术？

A、双向NAT

B、源NAT

C、NAT-Server

D、NATALG

答案：A

186.管理员希望清除当前会话表。以下哪个命令是正确的了？

A、displaysessiontable

B、displayfirewalIsessiontable

C、resetfirewalIsessiontable

D、clearfirewalIsessiontable

答案：C

187.以下哪种攻击不属于网络层攻击？

A、IP欺骗攻击

B、Smurf攻击

C、MAC.地址欺骗攻击

D、ICMP攻击

答案：C

188.SSL不支持以下哪一项加密算法？

4、RC4

B、DES

C、3DES

D、AES

答案：A

189.下列哪项VPN不能用于site-to-Site场景？

A、SSLVPN

B、L2TPVPN

C、IPSeC.VPN

D、GREVPN

答案：A

190.关于防火墙的特点，以下哪一项的描述是正确的？

A、防火墙都能准确地检测出攻击来自哪一台计算机

B、防火墙能够很好她解决内网网络攻击的问题

C、防火墙可以防止把外网未经授权的信息发送到内网

D、防火墙可以取代反病毒系统

答案：C

191.在域间包过滤中，以下哪一项届于InbouD.方向？

A、Untrust>Trust

Local>Trust

C^DMZ>Untrust

D、Local>DNZ

答案：A

192.以下哪一种工具可以用于渗透weB,应用程序？

A、Nmap

B、Sparta

C>BurpSuite

D、Superscan

答案：C

193.管理员通过Gl.0.0接口（己将接口加入TrustZone）邃接到防火墙，如果允言午管理员通过

G1.0.0登象防火堵进行配置管理，即如何配置安全策略中放行的流量方向？（

A、放行TrustZone到TrustZone的流量

B、放行TrustZone到UntrustZone的流量

C、放行LocalZone至ljLocaIZone的流量

D^放行TrustZone至ULocaIZone的流量(I)

答案：D

194.在USG系统防火墙中，可以使用一一功能为非知名端口提供知名应用服

务。

A、端口映射

B、MAC与IP地址绑定

C、包过滤

D、长连接

答案：A

195.关于IKESA,以下哪项描述是错误的？

4、IKESA是双向的

BxIKE是基于UDP的应用层协议

C、IKESA是为IPSeC.SA服务的

D、用户数据报文采用的加密算法由IKESA决定

答案：D

196.双机热备的缺省备份方式是以下哪种？

4自动备份

B、手工批量备份

C、会话快速备份

D、设备重启后主备FW的配置答案；A

197.关于TCP.IP协议栈的特点，以下哪一项的描述是错误的？

A、设备接受数据时，会依照TCP.IP模型拆除协议报头，分析载荷信息，这一动作称为解封

装。

B、网络的通信过程是在协议栈的对等层次进行通信的，如网络层和网络层通信，数据链路层

和数据链路层通信。

C、在设备封装数据时，TCP.IP协议找在每一层上对数据都设置了校验机制。

D、设备发送数据时，会将数据依照ICP.IP模型添加上特定的协议报头信息，这一动作称为封

装。

答案：C

198.关于查看安全策略匹配次数的命令，以下哪项是正确的？

A、displayfirewalIsesstiontablc

B、displaysecurity-policyalI

C、displaysecurity-policycount

D、countsecurity-policyhit

答案：B

199.下列哪项不是单机反病毒技术？

A、网络防火墙上配置反病毒技术

答案：A

B、使用病毒检测工具

C、为系统打补丁

答案：A

200.如图所示，以下哪一项是图示IPSeC.VPN的封装模式?

NewIPAHRawIPTCP

HeaderHeaderHeaderHeader

A、错误的模式

B、通用模式

C、传输模式

D、隧道模式