深信服测试题防火墙复习测试卷附答案_第1页
深信服测试题防火墙复习测试卷附答案_第2页
深信服测试题防火墙复习测试卷附答案_第3页
深信服测试题防火墙复习测试卷附答案_第4页
深信服测试题防火墙复习测试卷附答案_第5页
已阅读5页,还剩7页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第页深信服测试题整理防火墙复习测试卷附答案1.[AF]关于地域访问控制与应用控制功能说法正确的是?A、先匹配地域访问控制,再匹配应用控制B、先匹配应用控制,再匹配地域访问控制C、地域访问控制与应用控制策略是同时匹配D、先匹配的地址访问控制的拒绝之后,还是会匹配应用控制策略【正确答案】:A2.[AF]单进单出网桥的环境下,为什么AF推荐使用虚拟网线接口部署?A、虚拟网线接口是普通的交换接口B、虚拟网线接口不需要配置IP地址C、虚拟网线接口不支持路由转发D、虚拟网线接口转发数据帧时,无需检查MAC表,直接从虚拟网线配对的接口转发【正确答案】:D3.[AF]下列关于入侵检测系统的说法,不准确的是?A、常见于串接部署,对流经设备的流量进行分析B、需要更新设备上的相应规则库C、一般不支持拦截所检测到的风险行为D、工作范围可涵盖L2-L7层【正确答案】:A4.[AF]以下关于AF接口的说法正确的是A、如果接口设置为路由接口,并且是ADSL拨号,需要选上添加默认路由选项,并且该选项默认勾选B、eth0为固定的管理口,接口IP为10.251.251.251/24且无法删除,无法修改,无法新增C、聚合接口主备模式中,会取优先级最高的接口为主接口,其余为备接口D、一个路由接口下可添加多个子接口,且路由接口的IP地址可以与子接口的IP地址在同网段【正确答案】:A5.【连锁分支组网】SDW-R的策略路由模块不支持哪种故障探测方式?A、ping检测B、DNS检测C、ARP检测D、网口UP/DOWN检测【正确答案】:C6.关于防病毒网关和传统防火墙的对比说明,下列说法不准确的是A、防病毒网关更关注于病毒的过滤,可阻断病毒文件的传播B、防病毒网关在1SO七层模式中的工作范围要大于传统防火墙C、防病毒网关一般也具备应用控制功能模块D、防病毒网关开启杀毒功能后,在处理速度上,较传统防火墙要快【正确答案】:D7.[AF]以下关于蜜罐技术的说法错误的是?A、蜜罐技术的实现原理是:内网僵尸主机向内网DNS发起恶意域名解析->内网DNS经过AF向公网发起DNS解析->AF获取到恶意域名解析流量->AF主动将蜜罐地址作为解析地址回复给内网DNS->内网DNS转发给主机->僵尸主机访问蜜罐地址->AF识别到真实的僵尸主机地址并作拦截处理B、旁路镜像模式不支持蜜罐功能C、蜜罐IP地址的设置,此IP地址必须是真实存在的,且不能于内网网段冲突,访问此IP的数据需要经过AFD、蜜罐技术是应用于内网存在DNS服务器的场景下,用于定位内网真实僵尸主机的IP地址【正确答案】:C8.[AF]POC测试项目中,以下关于xhack工具靶机的安装,理解正确的是?A、使用xhack的【安全数据流检测】中的“数据流检测"功能模块时,靶机的安装要求客户端和服务端都要安装xhack,且DNAT场景中,AF需要做端口映射B、使用xhack的【安全数据流检测】中的“PcapPkt检测"功能模块时,靶机的安装要求客户端和服务端都要安装xhack,且DNAT场景中,AF需要做全端口映射C、使用xhack的【安全数据流检测】中的“威胁情报检测”功能模块时,靶机的安装要求客户端和服务端都要安装xhack,且C.DNAT场景中,AF对于靶机的DNAT映射只能映射为80端口D、使用xhack的【实况靶场】中的"web实况攻击"功能模块时,靶机的安装要求客户端和服务端都要安装xhack,且DNAT场景中,AF对于靶机的DNAT映射只能映射为80端口【正确答案】:A9.[AF]AF僵尸网络防护功能说法正确的是?A、恶意域名重定向功能要求AF设备路由部署B、僵尸网络默认启用恶意域名重定向C、恶意域名重定向功能要求AF设备能够上网D、恶意域名重定向的原理是恶意域名解析的IP地址将会被AF重定向成蜜罐IP地址。通过监听对蜜罐地址的访问,即可定位内网感染僵尸网络病毒的真实主机IP【正确答案】:D10.【统一集中管理】关于BBC的分支批量升级功能使用,以下说法正确的是?A、支持给分支下发ssu类型的升级包B、支持给分支下发KB包/SP包进行升级C、BBC无法制定分支升级计划,只能进行实时下发升级包给分支D、BBC授权过期的话,仍然可以使用批量下发升级包的功能【正确答案】:A11.【基础VPN组网场景】在标准IPSecVPN/SANFORVPN组网场景中,以下需求描述错误的是?A、通过VPN技术打通总部与分支的内网,实现总部分支“大内网”的需求B、.需保障数据在传输过程中的数据安全性(保密性、完整性、数据来源的身份验证等)的要求C、满足兼容第三方做VPN对接的需求D、标准IPSecVPN可提供终端接入账号,实现移动端接入VPN访问总部业务的要求【正确答案】:D12.【连锁分支组网】连锁分支组网场景中需求与功能匹配关系错误的是?A、通过总部与分支之间的VPN连接实现分支访问总部的内网互访B、连锁/小型分支通过使用SDW-R来减少分支IT成本的投入C、通过总部BBC统一集中管理运维分支设备,提升总部人员的IT运维效率D、总部运维人员通过互联网线路映射80/443等端口直接运维分支设备,此方式提升总部运维人员的效率【正确答案】:D13.防火墙按技术划分,主要可以分为()等三大类型?A、包过滤、入侵检测、数据加密B、包过滤、入侵检测、应用代理C、包过滤、状态检测、入侵检测D、包过滤、状态检测、应用代理【正确答案】:D14.[AF]POC测试项目中,以下关于xhack工具的应用,理解错误的是?A、在交付项目中,对于新上架部署的AF产品,想快速验证配置的安全策略是否正确,可使用xhack进行快速验证B、在POC测试项目中,客户想测试一些POC功能用例,可使用xhack工具给客户做POC测试用例演示C、在POC的PK测试项目中,想通过打批量pcap包优势样本的方式,和友商PK我们某方面功能的拦截检出率,可使用xhack工具进行自定义批量pcap包优势样本的导入,并支持批量回放pcap包优势样本D、在日常的设备运维中,客户想了解当前网络环境中部署的AF对内网业务的安全防护状态是否良好,可使用xback工具过客户网络环境中部署的AF,向客户内网的业务进行模拟攻击,利用xhack工具自动生成对应的安全报告,并下载报告给客户做安全分析汇报【正确答案】:D15.【统一集中管理】关于BBC的分支序列号批量更新功能,以下说法错误的是?A、设备接入BBC之后,会自动上报序列号信息到BBCBBC不支持分支序列号批量导出或者导入功能C、BBC导出的分支设备序列号表格中不包含具体的功能序列号D、BBC导入序列号信息之后,可对分支设备进行批量更新【正确答案】:B16.WEB应用防火墙,主要是针对WEB站点进行深入防护,下列哪项功能不是当前主流WEB防火墙的重点防护方向?A、针对weblogic的漏洞有相应防护能力B、针对webshell上传有相应的防护能力C、针对挖矿病毒有相应的防护能力D、针对CC攻击有相应的防护能力【正确答案】:C17.【SIP】安全感知平台的产品形态更像是以下哪种产品。A、心视频监捽系统B、陷门C、栅栏D、报警器【正确答案】:A18.[AF]POC测试项目中,以下关于xhack工具的相关应用,理解错误的是()A、xhack应用场景中,xhack所有功能模块的使用,都不受AF部署模式的影响A.B、xhack应用场景中,关于靶机的部署,xhack还不能对接客户自己提供的靶机,只能对接我们对应搭配的靶机C、xhack应用场景中,关于xhack客户端和靶机连通性的校验,如果串接在中间的AF设备配置的是DNAT场景,AF需要针对靶机做端口映射,否则靶机的连通性校验不能成功D、xhack应用场景中,hack通过“数据流检测"进行的样本流回放,和通过“PcapPkt检测"进行的样本包回放,都支持自动修改样本自带的IP地址为测试环境的真实!P地址,使得在AF上产生的攻击拦截日志中,看到的!P地址就是真实攻击测试环境的IP地址【正确答案】:A19.【基础VPN组网场景】AF以下什么部署模式支持使用标准IPSecVPN/SANGFORVPN的功能?A、路由模式B、透明模式C、虚拟网线模式D、旁路模式【正确答案】:A20.【基础VPN组网场景】客户的总公司和分公司之间网络环境中各有一台AF设备部署在内网中,此时如果客户需要搭建一条标准IPSECVPN隧道实现总公司和分公司的数据能够保密的安全通信,建议使用下列哪种方式?A、ESP协议+传输模式B、ESP协议+隧道模式C、AH协议+传输模式D、AH协议+隧道模式【正确答案】:B21.【基础VPN组网场景】以下关于本地子网的说法,正确的是?A、本地子网只有在单臂模式下才需要添加B、本地子网只有在网关模式下才需要添加C、本地子网在单臂和网关模式下都需要添加D、本地子网的添加与部署模式没有关系,只有总部和分支设备内网非LAN口直连网段需要与对端通信才需要添加【正确答案】:D22.[AF]部署在互联网出口的AF无法针对以下哪种方向的流量进行安全防护?A、互联网区域访问内网服务区的流量B、内网办公区访问内网服务器区的流量C、内网办公区访问互联网区域的流量。D、内网服务器区访问互联网区域的流量。【正确答案】:B23.关于深信服下一代防火墙的核心价值说法,不包含A、提供健康的上网管理B、提供安全全面可视的能力C、提供业务安全全面防护的能力D、提供未知威胁抵御的能力【正确答案】:A24.防火墙按技术划分,主要可以分为()等三大类型?A、包过滤、入侵检测、数据加密B、包过滤、入侵检测、应用代理C、包过滤、状态检测、入侵检测D、包过滤、状态检测、应用代理)【正确答案】:D25.【连锁分支组网】云端易部署功能中,关于分支快速接入的方式,以下说法错误的是?A、采用插入4G卡的方式,快速完成分支设备的云端易部署B、采用WIFI接入/PC接入配置的方式,快速完成分支设备的云端易部署C、设备接入DHCP线路网络中,SDW-R设备可自动获取到IP,快速完成分支设备的云端易部署D、采用插入U盘的方式,快速完成分支设备的云端易部署【正确答案】:D26.【统一集中管理场景】关于BBC的分支接入,以下说明错误的是?A、BBC需要完成设备授权激活,分支设备才可接入到BBCBBC授权过期之后,BBC无法创建分支账号,分支无法接入到BBCC、分支的接入数不能超过BBC上授权的设备数D、BBC授权过期之后,在30天内任然可以创建分支账号提供给分支做接入【正确答案】:D27.[AF]以下不是业务发布区域的服务器面临的威胁?A、业务内容被篡改,植入非法文字、图片或链接,影响公司形象。B、发布应用上保存用于日常在线服务相关的敏感业务数据,容易被黑客觊觎导致数据泄露风险。C、用户通过互联网下载包含木马、后门的文件,并横向扩散感染其他终端。D、业务存在漏洞、恶意链接,被监管单位检测通报。【正确答案】:C28.[AF]客户处新采购一台AF放在出口,需要代理内网用户上网且对外发布的服务器要直接配置公网地址,下述哪种部署模式最合适?A、旁路镜像模式B、透明模式C、虚拟网线模式D、混合模式【正确答案】:D29.【连锁分支组网】关于SDW-R的VLAN子接口功能,以下说法错误的时?A、SDW-R支持在LAN接口、DMZ接口使用VLAN子接口功能B、与SDW-R对接的交换机需要配置为trunk口C、SDW-R支持在WAN接囗使用VLAN子接口功能D、SDW-R的VLAN子接口实现的是类似单臂路由的功能【正确答案】:C30.下列关于目前主流厂商包过滤防火墙的说法,不准确的是A、主要工作在网络层和传输层B、可以支持路由转发功能C、支持自动学习后生成拦截动作D、般有处理速度快,价格便宜的优点【正确答案】:C31.【基础VPN组网场景】SANGFORVPN组网,如果两个分支之间存在网段冲突,可以用如下哪个技术解决网段冲突问题?A、隧道内NAT技术B、隧道间路由技术C、VPN内网权限技术D、无法解决,只能把分支改成不同的网段再进行sangforVPN组网【正确答案】:A32.深信防火墙实现从“事前”、“事中”、“事后”的整体防护,其中下列哪些功能不属于事中的防护?A、业务资产识别管理B、Dos/Ddos攻击防护C、漏洞攻击防护D、WAF攻击防护【正确答案】:A33.【基础VPN组网场景】IPSEC是一套协议集,它不包括下列哪个协议?AHB、ESPC、SSLD、IKE【正确答案】:C34.【统一集中管理场景】BBC的eth0口缺省IP地址是多少?A、10.250.0.7/24B、10.251.251.251/24C、10.252.252.252124D、10.254.254.254/24【正确答案】:A35.下一代防火墙与其他品类防火墙对比,优势功能说法错误的是?A、对比UTM,可以提供更强的性能B、对比包过滤防火墙,提供应用层的防护能力C、对比IDS,提供处置拦截的能力D、对比WAF,提供双向代理的能力【正确答案】:D36.下一代防火墙与其他品类防火墙对比,优势功能说法错误的是A、对比UTM,可以提供更强的性能B、对比包过滤防火墙,提供应用层的防护能力C、对比IDS,提供处置拦截的能力D、对比WAF,提供双向代理的能力【正确答案】:D37.基础VPN组网场景】客户内网部署了一台AF设备做标准IPSECVPN对接,现需要在出口防火墙上放通相应协议和端口以下需要放通的协议和端口号中,正确的是()AIP协议号:50,51,端:TCP1723,UDP1701BIP协议号:47,50,端口:TCP1723,UDP1701C、IP协议号:50,51,端口:UDP4500,UDP500D.IP协议号:50,51,端口:TCP4009,UDP4009【正确答案】:C38.为构建云端、网端、终端全方位立体化的安全防护体系,深信服下一代防火墙可与其他产品进行联动,形成整体的防下列不属于该体系中的行为是?A、联动云图,实现安威胁情报快速更新补充B、联动云图,实现未知威胁精准分析判断C、联动SSL,实现终端接入安全可控D、联动EDR,实现终端安全快速处置闭环【正确答案】:C39.[AF]AF安全运营中心设置,不能实现以下哪个功能?A、设置显示的风险级别,可以只显示风险级别为高的事件,其他事件一律不显示B、设置显示的IP范围,非指定的IP范围不显示在运营中心C、设置检测的风险项目,不希望关注的项目可以取消检测D、设置处置记录,对已处理的记录可以进行删除【正确答案】:A40.[AF]以下关于AF双机配置说法正确的是AF建立双机后,使用PC直连备机MANAGE口无法登录WEB控制台B、AF仅能配置一个HAIP地址C、无法登陆备机状态设备的WEB控制台D、AF双机部署,只要启用配置同步,则所有非HA的接口IP都会同步【正确答案】:D41.从目前主流的传统防火墙来看,下列哪项不能做为应用控制策略(ACL)的可控制项?A、IPB、端口C、路由D、区域【正确答案】:C42.[AF]AF通过区域,定义并归类接口,在各类安全策略中引用区分不同区域的安全等级以及安全方向,下列关于区域的说法错误的是?A、一个物理接口可以划分到多个同安全级别的区域内B、区域根据接口转发类型分为二层、三层、虚拟网线三类C、可以把三个路由属性的接口划入到同一个三层区域中D、可以通过区域关闭该区域内接口对外提供的控制台登录权限【正确答案】:A43.【统一集中管理】关于BBC的告警设置,以下说法错误的是?A、针对产品线的相关告警设置需要导入对应产品线的策略模板才可进行设置B、针对CPU、内存等通用的告警设置不需要导入产品的策略模板也可进行设置C、分支设备的告警处置完成之后,BBC上会自动显示告已处理D、BBC的告警设置无法针对各自产品线的告警内容进行设置,只能在分支端进行告设置【正确答案】:D44.[AF]单进单出网桥的环境下,为什么AF推荐使用虚拟网线接口部署?A、虚拟网线接口是普通的交换接口B、虚拟网线接口不需要配置IP地址C、虚拟网线接口不支持路由转发D、虚拟网线接口转发数据帧时,无需检查MAC表,直接从虚拟网线配对的接口转发【正确答案】:D45.【SIP】通过安全感知平台的核心能力我们知道,在检测的第-步我们需要什么能力?A、脆弱性识别B、全网资产梳理C、整体安全态势感知D、高级威胁检测【正确答案】:B46.【连锁分支组网】邮件易部署功能中BBC与邮件服务器对接时所使用的是什么协议?A、SMTPB、SNMPC、POP3D、IMAP【正确答案】:A47.[AF]客户购买AF主要用于做上网NAT,同时作为内网DHCP服务器,请问什么部署模式可以满足客户需求?A、路由模式B、透明模式C、旁路模式D、虚拟网线模式【正确答案】:A48.下列关于目前主流厂商包过滤防火墙的说法,不准确的是?A、主要工作在网络层和传输层B、可以支持路由转发功能C、支持自动学习后生成拦截动作D、般有处理速度快,价格便宜的优点【正确答案】:C49.【SIP】以下不是SAVE的优势的是?A、能够查杀病毒变种B、要求实时升级规则库C、使用机器学习识别恶意文件特征D、占用内存小【正确答案】:B50.【连锁分支组网】云端易部署功能中,以下基础原理介绍错误的是?A、需要将SDW-R设备的设备清单信息导入到BBC中,BBC将设备清单的SN码结合BBC接入账号,指定SDW-R使用t特定账号接入B、分支SDW-R成功完成云端易部署之后,BBC会将预配置的策略自动下发到设备端C、分支设备可采用多种快速易部署的方式,快速完成设备的部署上线。D、BBC与云镜进行一对一的账号绑定,分支通过云镜的认证后获取到BBC的接入地址,从而接入到对应的BBC中。【正确答案】:D51.[AF]AF的安全运营中心功能,自动/手动评估后,重点需要关注哪个模块的结论并处置?A、风险评估B、动态保护C、监测与分析D、待办事件E、通过总部端统一集中管理平台BBC实现所有分支的运行状态查看F、通过总部端统一集中管理平台BBC实现策略的自动化配置,将策略统-下发到分支G、统一集中管理平台BBC将安全事件进行收集并分析,并进行安全统一运营【正确答案】:D52.【SIP】在SIP的架构中以下哪个功能可以进行问题闭环?A、资产管理B、事件告警C、联动响应D、追踪溯源【正确答案】:C53.[AF]AF的业务安全中心,把事件根据风险进行分类,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论