2023年HCNA安全试题题库

1、客户端A和服务器B之间建立TCP连接，再三次握手中，B往A发送的SYN+ACK

(seq=b,ack=a+l),下列说法对的的有:

A、该数据包是对序号b的SYN数据包进行确认

B、该数据包是对序号a+1的SYN数据包进行确认

C、B下一个希望收到的ACK数据包的序号为b

D、B下一个希望收到的ACK数据包的序号为a+1

2、rulepermitipsource51表达的地址范围是:

A、-55

B、2-3

C、1-4

D、2-4

3、下列关于防火墙分片缓存功能，说法对的的有：(多选)

A、配置分片报文直接转发功能后，防火墙不对分片报文进行缓存

B、配置分片报文直接转发功能后，对于不是首片报文的分片报文，防火墙将根据

域间包过滤策略进行转发

C、分片报文也会创建会话表，转发时也会查找会话表

D、分片报文的非首片报文，由于没有端标语，所以分片报文直接转发功能一般不

能用在NAT环境

4、下面哪个选项不属于UTM(UnifiedTreatManagement)的功能？

A、IPS入侵防御

B、上网行为

C、终端安全管理

D、AV网关防病毒

5、终端安全系统重要由以下哪些组件组成：(多选)

A、防病毒服务器

B、SC控制服务器

C、准入控制设备

D、SM管理服务转

6、对称加密算法的加密秘钥和解密秘钥均相同，非对称加密算法的加密秘钥和解密秘钥均

不相同。Ipsec在业务数据加解密时使用的是对称加密算法。-----T(true)

7、华为USG防火墙VRRPHELLO报文为组播报文，所以规定备份组中的各路由器必须可以

实现直接的二层互通。----------T(true)

8、在ARP地址解析时，ARPREPLY报文采用广播的方式发送，同•个二层网络上主机都可

以收到，并据此学习到IP和MAC地址相应关系。........F(FALSE)

9、USG状态检测防火墙查看Session信息如下：

<USG>displayfirewallsessiontableverbose

Currenttotalsessions:!

IcmpVPN:public->public

Zone:trust->untrustSlot:8CPU:0TTL:00:00:20Left:00:00:19

Interface:GigabiEthernet即QNexthop:0

<-packets:134bytes:8040->packets:134bytes:804000:1280->

00:2048

根据上面的信息下面说法对的的是：(多选)

A、Trust区域中主机00正在访问或者曾经访问Untrust00

B、该报文时VPN报文

C、后续到达防火墙的报文，需要匹配会话表和防火墙安全策略

D、正向流量的出接II是GigabitEthernet^O/3

10>CA(CertificateAuthority)证书用于SSL通信连接建立时,验证虚拟网关用户的身份,

保存于设备侧，由CA机构颁发。-----------T

11、通过displayikesa看到的结果如下，说法对的的是?(多选)

Currentikesanumber1

Connection-idpeervpnflagphasedoi

Oxlfl

ORDISTvl:1IPSEC0x6043dc4

Flagmeaning

RD—READYST—STAYALIVERL-REPLACEDFD-FADINGTO-TIMEOUT

A、第一阶段ikesa已经成功建立

B、第二阶段ipsecsa已经成功建立

C、Ike使川的版本是vl

D、Ike使用的版本是v2

12、关于L2Tp消息，说法错误的为：

A、L2Tp依附于P叩进行账户认证

B、控制消息只能用于隧道与会话连接的建立，维护以及传输控制

C、数据消息只能用于封装PPP帧并在隧道上传输

D、控制消息和数据消息都可以提供流量控制和刷塞控制功能

13、以下哪种袭击不属于网络层袭击？

A、IP欺骗袭击

B、Smurf袭击

C、ARP欺骗袭击

D、ICMP袭击

14.VRRP(VirtualRouterRedundancyProtocol)中，主路由器定期向备份路由器发送通告

报文(HELLO),备份路由器则只负责监听通告报文，不会进行回应。一一T

15、使用NAT技术，只可以对数据报文中的网络层信息(IP地址)进行转换。…F

16>ASPF(ApplicationSpecificPacketFilter)是一种基于应用层的包过滤，它检查应用层协

议信息并且监控连接的应用层协议状态。ASPF通过ServerMap表实现了特殊的安全机制关

fASPF和Servermap表说法对的的是？

A、ASPF监视通信过程中的报文

B、ASPF动态创建和删除过滤规则

C、ASPF通过Servermap表实现动态允许多通道协议数据通过

D、五元组Servermap表项实现了和会话表类似的功能

17、上网用户管理的转发流程中，上网用户认证只能发生在首包流程中，一旦用户通过认

证，设备建立session表，后续报文不需要反复进行用户认证。------T

18、袭击者通过发送ICMP应答请求，并将请求包的目的地址设为受害网络的广播地址。

这种行为属于哪一种袭击？

A、IP欺骗袭击

B、Smurf袭击

C、ICMP重定向袭击

D、SYNflood袭击

19、以下哪个选项不属于AES的秘钥长度？

A、64

B、128

C、192

D、256

20、基于会话的状态监测防火墙对于首包和后续包有不同的解决流程，下面描述对的的

是：（多选）

A、报文到达防火墙，会查找会话表，假如没有匹配，防火墙进行首包解决流程

B、报文到达防火墙，会查找会话表，假如匹配防火墙进行后续包解决流程

C、在状态检查机制打开的情况下，防火墙处TCP报文时候，只有SYN报文才干建

立会话

D、在状态检查机制打开的情况下，后续和他需要进行安全策略检查

21、AH协议号是下面那个选项？

A、51

B、SO

C、52

D、49

22、AAA包含以下哪几项：（多选）

A、Authentication认证

B、Authentication授权

C、Accounting计费

D、Audit审计

23、安全联盟由三元组唯一标记，以下哪一项不属于安全联盟的三元组？

A、安全协议号

B、源IP地址

C、目的IP地址

D、安全参数索引

24、一般的公司或组织中有时会存在这样一类用户，他们不是该公司员工，只是临时到访

该公司，需要借用该公司网络上网，他们没有属于自己的账号，无法进行认证，但设备要

对他们的网络权限进行控制。对于这类用户，支持自动为其创建相应的临M用户，井使用

IP地址作为该用户的用户名。管理员在规划用户管理时，一般将这类用户认证划分为：

A、免认证

B、单点认证

C、密码认证

D、临时认证

25、HRP会话快速备份时将主用设备相应的状态信息表项快速备份到备用设备，使返网报

文在备用设备上可以查找到相应的状态信息表项，从而保证内外部用户的业务不中断。…T

26、配置源NAT策略时，目的区域的配置可以用配置流量出接口信息来取代。--T

27、防火墙IPS协议辨认功能对基于非标准端口的服务进行辨认，解决了使用非标准端口

的应用服务报文的漏报和误报问题。-.....T

28、防火墙配置防病毒功能选择过滤协议涉及以下哪几项：（多选）

A、文献传输协议

B、邮件协议

C、安全协议

D、共享协议

29、终端安全系统支持蓝牙、SD卡等计算机外设的监控功能，并支持配置严禁外部设备。

T

30、在USG产品的web配置界面中，在配置虚拟IP地址池时，虚拟IP地址范围内的IP地

址可认为虚拟网关或接口的IP地址，也可认为内网存在的IP地址。F

32、防火墙双机热备配置中，HRP必须配置涉及：（多选）

A、启用HRP备份功能hrpenable

B、启用会话快速备份hrpmirrorsessionenable

C、指定心跳口hrpinterfaceinterface-typeinterface-number

D、抢占延迟时间hrppreempt[delayinterval]

33、如何查看安全策略的匹配次数：

A、displayfirewallsessiontable

B、displaysecuritypolicyall

C、displaysecuritypolicycount

D、countsecuritypolicyhit

34、ESP报文在哪种封装模式下，可以实现对原IP头数据的机密性：

A、传输模式

B、隧道模式

C、传输模式+隧道模式

D、加密模式

35、在IPSecVPN配置中假如使用pre-shared方式验证,可以选择是否为对端配置秘钥，

两边的秘钥必须一致F

36、关于终端安全系统的部署方式描述错误的是：

A、集中部署方式的重要特点是可以根据管理终端数目的多少，选择SM、SC、数

据库等组件来安装在同一台服务器上

B、终端相对集中在几个区域，并且区域之间的带宽比较小，建议采用分布式组网

C、终端规模相称大时，可以考虑使用集中式部署组网，避免大量撞断访问终端服

务器，占用大量的网络带宽

D、分布式部署时，终端安全安全代理选择就近的控制服务器SC,获得身份认证和

准入控制等各项业务

37、终端安全体系的五大要素不涉及以下哪一项：

A、身份认证

B、业务隔离

C、安全认证

D、业务授权

38、某公司在部署网络边界防火墙时，配置了NATServer源NAT,OSPF路由和相关安全策

略，数据到达该防火墙时，防火墙的解决顺序为：

A、OSPF路由一>安全策略-->源NAT->NATServer

B、安全策略-。源NAT->NATServer-->OSPF路由器

C、源NAT->OSPF路由一》安全策略一〉NATserver

D、NATServer->OSPF路由安全策略一〉源NAT

39、以下哪个问题可以运用IPsec-IKE野蛮模式进行解决：（多选）

A、隧道两端协商慢的问题

B、协商过程中的安全性问题

C、NAT穿越问题

D、发起者源地址不拟定问题

40、配置防火墙安全区域的安全级别时，描述错误的是：

A、新建的安全区域，系统默认其安全级别为1

B、只能为自定义的安全区域设定安全级别

C、安全级别一旦设定，不允许更改

D、同一系统中，两个安全区域不允许配置相同的安全级别

41、关于NAT的说法对的的是：

A、带端II转换的NAT可以通过配置NAT地址池来实现

B、NAT兼容目前所有的IPsec安全协议

C、由于FTP协议是多通道协议，所以不支持NAT

D、NAT支持TCP/IP二、三、四层进行转换

42、查看防火墙的HRP状态信息如下：

HRP_S[USG_B]displayhrpstate

Thefirewall'sconfigstateis:Standby

Currentstateofvirtualroutersconfiguredasstandby

GigabitEthernetl/3/0vridl:standby

GigabitEthernetW/1vrid2:standby

以下描述对的的是：

A、此防火墙VGMP组状态为Active

B、此防火墙G1A0和GW/1接口的VRRP组状态为standby

C、此防火墙的HRP心跳线接口为GMW和GMV1

D、此防火墙一定是出于抢占状态

43、防火墙IPS策略的署名过滤器之间存在优先关系，在同一条IPS策略中，编号小的署名

过滤器比编号大的著名过滤器的优先级高........F

44、状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话，由防火墙安全策略决

定建立哪些会话，数据包只有与会话相关联时才会被转发一…-T

45、关于NAT配置中“easyIP”的说法,下列描述对的的是:

A、easyIP不能再pat场景下

B、配置NAT策略直接转换成出接口IP地址

C、easyip用于目的地址转换的场景

D^easyip可以与address-group同时使用

46、ASPF技术使得防火墙可以支持如FTP等多通道协议，同时还可以对■复:杂的应用制订相

应的安全策略------------------T

47、反掩码和子网掩码格式相似，但取值含义不同，在反掩码中，1表达相应的IP地址位

需要比较，。表达相应的IP地址位忽略比较-------------------F

48、下面关于SSL握手协议各阶段中的内容描述哪个是错误的？

A、客户端发送client_Hello消息，服务器端回应Server_Hello消息

B、服务器端发送ServejHell。便等待客户端发送的消息

C、服务器端收到服务器发送的一系列消息并消化后，发送ClientKeyExchange等消

息给服务器

D、客户端和服务器各自发送ChangeCipherSpec和finished消息给对方

49、在USG系列防火墙Trust区域视图下配置addinterfaceGigabitEthernetO/0/l后,

GigabitEthernetO/D/l不在属于Local区域。..............F

50、适合出差人员在公网环境下接入公司内网的VPN方式有：（多选）

A、GREVPN

B、L2TPVPN

C、SSLVPN

D、L2TPoverIpsec

51、入侵防御系统技术特点涉及：（多选）

A、在线模拟

B、实时阻断

C、自学习及自适应

D、直路部署

52、SVN产品网络扩展功能中，需要实现用户只可以访问远端公司文内网，不能访问本地

局域网和Internet,需要使用的客户端路由方式为:

A、全路由模式(FullTunnel)

B、分离模式(SplitTunnel)

C、路由模式(RouteTunnel)

D、手动模式(ManualTunnel)

53、Web重定向密码认证功能，只有用户进行目的端口是80的HTTP业务访问时，系统才

支持“重定向”到认证页面，进行会话认证。-----------------F

54、针对MAC地址欺骗袭击的描述错误的是：

A、MAC地址欺骗袭击重要运用了互换机Mac地址学习机制

B、袭击者可以通过伪造的源Mac地址数据帧发送给互换机来实行MAC地址欺骗

袭击

C、MAC地址欺骗袭击会导致互换机学习到错误的MAC地址与IP地址的映射关系

D、MAC地址欺骗袭击会导致互换机要发送到有的目的地址的数据被发送给了袭击

者

55＞在GRE配置环境下，Tunnel接口模式下,Destination地址一般是指:

A、本Tunnel接口IP地址

B、本端外网出口IP地址

C、对端外网接口IP地址

D、对Tunnel接口IP地址

56、SSLVPN可以通过如下哪些方式对用户进行访问权限控制：(多选)

A、IP

B、MAC

C、PORT

D、URL

57、在USG系列防火墙中，使用非知名端口提供知名应用服务器时，可采用以下哪种技

术:

A、端口映射

B、MAC与IP地址绑定

C、包过滤

D、长连接

58、以下哪个选项不属于AH可以实现的特性？

A、抗防重放

B、数据源认证

C、机密性

D、数据完整性检查

59、比较典型的远端认证方式有：(多选)

A、RADIUS

B、Local

C、HWTACACS

D、LLDP

60、以下哪个选项不属于内网安全威胁？

A、存储介质滥用

B、信息资产泄密

C、未授权访问

D、间谍软件

61、IKE协议可认为Ipsec提供自动协商互换秘钥、建立安全联盟的服务器，以简化Ipsec

的使用和管理...........................T

62、防火墙网关防病毒响应方式涉及告警和阻断，其中告警方式设备只产生日记，不对

HTTP协议传输的文献进行解决就发送出去，阻断方式设备断开与HTTP服务器的连接并阻

断文献，向客户推送WEB页面并产生日记------------------T

63、HRP(HuaweiRedundancyProtocol)协议，用来将主防火墙关键配置和连接状态等数

据向备防火堵上同步，以下哪个选项不属于同步的范围?

A、安全策略

B、NAT策略

C、黑名单

D、IPS著名集

64、积极袭击最大特点是对信息进行侦听，以获取机密信息，而对数据的拥有者或合法用

户来说对此类活动无法得知----------------------F

65、以下哪个选项属于非对称加密算法？

A、RC4

B、3DES

C、AES

D、DH

66、如下安全策略的命令，代表的含义是：

#

Security-policy

Rulenamerulel

Source-zonetrust

Destination-zoneuntrust

Source-address55

Serviceicmp

Actiondeny

#

A、严禁从trust区域访问untrust区域且目的地址为0主机的ICMP报文

B、严禁从trust区域访问untrust区域且目的地址为/16网段的所有主机ICMP

报文

C、严禁从trust区域访问untrust区域且源地址为/16网段的所有主机ICN1P报

文

D、严禁从trust区域访问untrust区域且源地址为0主机来的所有主机ICMP

报文

67、防火墙配置了IPS策略后，需要把该策略应用到域内或域间后IPS功能才生效。一T

68、配置防火墙域间安全策略时，假如把192.168O0A4网段设立为匹配对象，则以下配

置对的的是：（多选）

A、rulenamepolicy1source-addressmask

B、rulenamepolicy1source-address

C、rulenamepolicy1source-addressmask55

D、rulenamepolicy1source-address55

69、非对称算法比时称算法加密强度更强，由于非对称算法秘钥长度更长……F

70、在USG防火墙用户管理功能中Web重定向密码认证功能，用户不积极进行认证，进

行业务访问，设备推送“重定向”到认证页面........-...............T

71、包过滤防火墙的重要特点涉及：（多选）

A、随着ACL复杂度和长度的增长，防火墙过滤性能呈指数卜.降趋势

B、静态的ACL规则难以使用动态的安全过渡规定

C、不检查会话状态也不分析数据，这很容易让黑客蒙混过关

D、可以完全控制网络信息的互换，控制会话过程，具有较高的安全性

72、在防火墙转发流程中，会先进行安全配置文献的比对，在进行安全策略的检查----F

73、以下哪些SSLVPN业务功能会使用到控件：（多选）

A、Web改写

B、文献共享

C、端口转发

D、网络扩展

74、SSLVPN中文献共享应用在使用过程需输入用户名、密码和域信息，为了不想输入用户

名密码，可以在文献共享服务器上设立权限---------------T

75、AH可以提供以下哪些安全功能：（多选）

A、数据源验证

B、数据机密性

C、数据完整性校验

D、抗重放

76、下列关于终端安全功能区域说法错误的是：

A、认证前域是指客户端通过身份认证前所能访问的区域

B、认证后域是指客户端通过安全认证后所能访问的区域

C、隔离域是指客户端通过身份认证后所必须访问的区域

D、隔离域是指客户端安全认证失败时所需访问的区域

77、安全接入控制网关（SecurityAccessControlGateway,简称SACG）的重要功能是控制

终端的网络访问权限，对不同的用户和不同安全状况的用户开放不同的权限---------T

78、终端安全准入控制可以支持以下哪些：（多选）

A、硬件SACG（硬件安全接入控制网关）

B、802.1X

C、ARP控制

D、软件5ACG（土机防火墙）

79、USG防火墙支持的NAT功能涉及：（多选）

A、可以指定同一地址池中某一部分地址进行端口转换，另一部分地址不进行端口

转换

B、基于H的地址转换的NATServer

C、基于源地址转换的NATServer

D、配置源NAT时，可直接使用出接口地址作为转换后的地址

80、TCP/IP协议栈数据包封装涉及以卜.部分，封装顺序对的的是：

1、DATA

2、TCP/UDP

3、MAC

4、IP

5、APP

A、l->5->4->2->3

B、l->4->2->3->5

C、l->5->2->4->3

D、l->5->2->3->4

81、网络地址端口转换(NAPT)与仅转换网络地址(NG-PAT)有什么区别：

A、通过NAPT转换后，对于外网用户，所有报文都来自同一个IP地址或某几个IP

地址

B、No-PAT只支持传输层的协议端口转换

C、NAPT只支持网络层的协议地址转换

D、No-PAT支持网络层的协议地址转换

82、管理员希望创建Web配置管理员，并设Https设备管理端标语为20230,且设立管理

员为管理员级别，下面命令对的的是：

A、Step1：web-managersecurityenableport20230

Step2：AAAView[USG]aaa

(USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]level15

[USG-aaa-manager-client001]passwordcipherAdmin@123

B、Step1：web-managersecurityenableport20230

Step2：AAAView[USGjaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]passwordcipherAdmin(g)123

C、Step1：web-managersecurityenableport20230

Step2：AAAView[USGJaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]passwordcipher

D、Step1：web-managersecurityenableport20230

Step2：AAAView[USGJaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]level1

[USG-aaa-manager-client001]passwordcipherAdmin@123

83、下列TCP/IP协议栈中的协议，工作在应用层的有:

A、ARP

B、IGMP

C、TELNET

D、ICMP

84、ESP协议是下面那个选项？

A、51

B、50

C、52

D、49

8S、入侵检测的内容涵盖授权的和非授权的各种入侵行为，例如，违反安全策略行为、冒

充其他用户、泄露系统资源、恶意行为、非法访问，以及授权者滥用权力等。--T

86、USG系列防火墙自定义安全域的安全级别可设立以下哪些值：（多选）

A、150

B、100

C、80

D、40

87、进行源NAT配置时，再有no-pat配置参数的情况下，以下哪些说明是错误的：（多

选）

A、只进行源IP地址转换

B、只进行目的IP地址转换

C、同时进行源IP地址和端口转换

D、进行目的IP地址和目的端口转换

88、状态检查防火墙后续数据包（非首包）转发重要依据以下哪一项：

A、Rout表

B、MAC地址表

C、Session表

D、FIB表

89、USG防火墙中用户认证的分类有：（多选）

A、免认证

B、密码认证

C、单点登录

D、指纹认证

90、在防火墙域间安全策略中，以下哪一项的数据流不是Outbound方向：

A、从DMZ区域到Untrust区域的数据流

B、从Trust区域到DMZ区域的数据流

C、从Trust区域到Untrust区域的数据流

D、从Trust区域到Local区域的数据流

91、在当前网络中依据部署了其他的身份认证系统，设备通过启用单点登录功能，减少用

户反复输入密码。关于单点登录舒适对的的是：（多选）

A、设备可以辨认出通过这些身份认证系统认证通过的用户，用户上网时，设备将

不推送认证页面，避免再次规定输入用户名/密码

B、AD域单点登录只有一种部署模式

C、虽然不需要输入用户名密码，但是认证服务器需要将密码和设备进行交互，用

来保证认证通过

D、AD域单点登录可采用镜像登录数据流的方式通过到防火墙

92、终端安全系统的共享目录检查安全策略涉及以下哪些方面内容：

A、共享文献大小检查，对于大文献不允许共享

B、共享账号名称（用户或者用户组）检查

C、违规共享权限检查

D、提供自动修复功能，删除违规共享

93、要实现NATALG功能，以下哪项配置是对的的：

A、natalgprotocl

B、algprotocl

C、natprotocl

D、detectprotocl

94、对于防火墙域间转发的访问控制流程：

1、查找路由表

2、查找域间包过滤规则

3、查找会话表

4、查找黑名单

对的的顺序为：

As1-3-2-4

B、3-2-1-4

C、3-4-1-2

D、4-3-1-2

95、在IKEvl协商第一阶段中，以下哪个IKE互换模式不能提供身份保护功能：

A、主模式

B、野蛮模式

C、快速模式

D、被动模式

96＞以下哪一项应用不需要端口转发来实现？

A、telnet

B、FTP

C、windows远程桌面

D、HTTP

97、下列关于网关防病毒检查到病毒后的响应动作，涉及：（多选）

A、告警

B、阻断

C、宣告

D、删除附件

98、在USG系列防火墙中，以下哪种说法是对的的：

A、时延是指数据包的第一个比特进入防火墙到第一个比特输出防火墙的时间间隔

指标，是用于测量防火墙解决数据的速度抱负的情况

B、最大并发连接数指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接

C、假如USG防火墙以太网接口采用二层模式，则只需在网络中像网桥同样接入即

可，无需修改本来的结构及配置

D、USG防火墙以太网接口采用三层模式时，没有ACL包过滤、ASPF动态过滤、

NAT转换功能

99、长连接可以对待特定的TCP、UDP数据流设立超长老化时间，保证会话信息长时间不

被老化----------------F

100＞在L2Tp的配置中，对于TunelName,说法对的的是：（多选）

A、用来指定本端的隧道名称

B、用来指定对端的隧道名称

C、必须和对端的TunnelName配置一致

D、假如不配置TunnelName,则隧道名称为本地系统名称

101.安全联盟（SA）是由哪些元组组成进行唯一标记：（多选）

A、SPI

B、源IP地址

C、目的IP地址

D、安全协议号

102、SSLVPN业务功能涉及：（多选）

A、Web代理

B、网络扩展

C、端口共享

D、文献共享

103、地址转换技术的优点涉及：（多选）

A、地址转换可以使内部网络用户（私有IP地址）方便访问Internet

B、地址转换可以使内部局域网的许多主机共享一个IP地址上网

C、地址转换能解决IP报头加密的情况

D、地址转换可以屏蔽内部网络的用户，提高内部网络的安全性

104、在配置NAT过程中，以下哪些情况，设备会生成Server-map表项：（多选）

A、配置源NAT时自动生成server-map表项

B、配置NATserver成功后，设备会自动生成静态server-map表项

C、配置easy-ip时会生成server-map

D、配置NATNo-pat后，设备会为所配置的多通道协议数据流建立server-表项

105、卜.面哪个选项不属于终端安全系统区域？

A、认证前域

B、认证后域

C、安全域

D、隔离域

106.关于断开TCP连接四次握手描述错误的是：

A、积极关闭方发送第一个FIN执行积极关闭，而另一方收到这个FIN执行被动关

闭

B、当被动关闭方收到第一个FIN,它将发回一个ACK,并随机产生确认序号

C、被动关闭方需要向应用程序传送一个文献结束符，应用程序就关闭它的连接，

并导致发送〜个FIN

D、在被动关闭方发送FIN后，积极关闭方必须发回一个确认，并将确认序号设立

为收到的序号加1

107>USG系列防火墙Untrust区域的安全级别是多少：

A、5

B、10

C、15

D、50

108、关于终端安全系统的检查打印机共享安全策略描述对的的是：（多选）

A、检查打印机共享目的是检直安全在本地的打印机是否共享给其别人使用及使用

权限

B、不提供自动修复功能，需要手动修复

C、可以设定检查打印机共享的周期

D、检查的内容涉及是否启动打印机共享、打印权限共享给哪些账号、打印机共享

的权限

109、通过displayikeproposal命令看到的结果如下，以下说法对的的是？（多选）

PriorityauthenticationauthenticationencryptionDiffie-Hellmanduration

Methodalgorithmalgorithmgroup

（seconds）

DefaultPRESHAREDSHADESCBCMODP768

86400

A、认证算法是SHA

B、加密算法是DES

C、DHgroup使用的是group2

D、使用是野蛮模式

110、针对入侵检测系统描述错误的是：

A、入侵检测系统可以通过网络和计算机动态地搜索大量关键信息资料，并能及时

分析和判断整个系统的FI前状态

B、入侵检测系统一旦发现有违反安全策略的行为或系统存在被袭击的痕迹等，可

以实行阻断操作

C、入侵检测系统涉及用于入侵检测的所有软硬件系统

D、入侵检测系统可与防火墙、互换机进行联动，成为防火墙的得力“助手”，更

好、更精确的控制外域间地访问

111、如图所示，防火墙上配置了natserverglobalinside10.10.1.1,以下针对域

间规则，配置对的的是：

A、security-policy

rulenamea

source-zoneuntrust

destination-zonetrust

source-address32

actionpermit

B、rulenameb

source-zoneuntrust

destination-zonetrust

source-address32

actionpermit

C、rulenamec

source-zoneuntrust

destination-zonetrust

destination-address32

actionpermit

D、rulenamed

source-zoneuntrust

destination-zonetrust

destination-address32

actionpermit

112、终端安全系统的操作系统补丁等级不涉及：

A、关键

B、重要

C、中

D、局

113、IPsec中隧道模式下，ESP对哪个字段不做验证:

A、原IP报文头

B、新IP报文头

C、TCP报文头

D、应用层数据

114、TCP/IPv4版本，存在的安全隐患有：（多选）

A、缺少数据源验证机制

B、缺少对数据包的确认机制

C、缺少对数据完整性的验证机制

D、缺少机密性保獐机制

115、查询NAT转换结果的命令是：

A、displaynattranslation

B、displayfirewallsessiontable

C、displaycurrentnat

D、displayFirewallsnattranslation

116、OSI模型中哪一层可以解决数据格式和数据加密？

A、应用层

B、表达层

CN会话层

D、传输层

117、USG产品共享型虚拟网关，可以通过IP,域名两种方式访问------F

118、在华为防火墙用户管理中，提成哪几种用户管理（多选）

A、上网用户管理

B、接入用户管理

C、管理员用户管理

D、设备用户管理

119、SSL与IPS安全协议同样，提供加密和身份验证。但是SSL协议只对通信双方传输的

应用数据进行加密，而不是对从一个主机到另一个主机的所有数据进行加密（如TCP/P和

应用层协议）------------------T

120、上网用户单点登录功能，用户直接向AD服务器认证，设备不干涉用户认证工程，AD

监控服务器需要部署在USG设备中，监控AD服务器的认证信息。F

121.SVN产品网络扩展功能中，需要实现用户既可以访问远端公司内网和本地局域网，又

能访问Internet,需要使用的客户端路由方式为：

A、全路由模式(FullTunnel)

B、分离模式(SplitTunnel)

C、路由模式(routeTunnel)

D、手动模式(ManualTunnel)

122、USG防火墙高级ACL可以通过多个维度进行流量匹配，以下哪个选项不属于高级ACL

的匹配范围：

A、源IP

B、目的IP

C、源MAC

D、目的端U

123、在GRE配置环境下，以下哪些说法是对的的：(多选)

A、为使隧道两端正常转发数据报文，两端设备均配置通过Tunnel接II的路由

B、如两端同事启用关键字验证配置，则关键字需一致

C、本端设备发送数据报文M，通过辨认IP报头的协议字段值为GRE来决定是否把

数据包递交给GRE协议模块进行解决

D、对端设备收到数据报文时，通过辨认IP报头的协议字段值为GRE来决定是否把

数据包递交给GRE协议模块进行解决

124、USG系统防火墙IP-Ink功能重要应用在以下哪些场景：

A、链路聚合

B、静态路由

C、双机热备

D、长连接

125、HRPA[USG]displayvrrpinterfaceGigabitEthernetW/l

GigabitEthernel/D/lIVirtualRouter1

VRRPGroup：Active

State：Active

VirtuallP：

VirtualMAC：0000-5e00-0101

PrimaryIP：20238.10.2

PrimaryRun：100

PrimarConfig：100

MasterPriority：100

Preempt：YESDelayTime：10

防火墙上执行命令并显示以上信息，下述描述对的的是：(多选)

A、此防火墙的VGMP组状态为Active

B、此防火墙GW/1接I」的虚拟IP地址为

C、此防火墙VRID为1的VRRP备份组的优先级为100

D、当主用设备发生故障时将不会切换

126、防火增双机热备配置中启用允许配置备用设备功能hrpstandbyconfigenable后,所有

可以备份的信息都可以直接在备用设备.卜.进行配置，且备用设备上的配置可以同步到上用

设备。---------T

127、SSL是一个安全协议，为基于TCP的应用层协议提供安全连接，SSL介于TCP/IP协议

栈第四层和第五层之间。SSL可认为HTTP(HypertextTransferProtocol)协议提供安全连接

-T

128.以下属于加密算法的是：

A、DES

B、3DES

C、SHA-1

D、MD5

129、在IPSECVPN中，隧道模式重要应用在以下哪个场景中:

A、主机与主机之间

B、主机与安全网关之间

C、安全网关之间

D、隧道模式与传输模式之间

130、下列关于NAT地址转换的说法中哪个是错误的？

A、地址转换技术可以有效隐藏局域网内的主机，是一种有效的网络安全保护技术

B、地址转换可以按照用户的需要，在局域网内向提供FTP、WWW、Telnet等服务

C、有些应用层协议在数据中携带IP地址信息，对它们作NAT时还要修改上层数据

中的IP地址信息

D、对于某些非TCP、UDP的协议（如ICMP、PPP）,无法做NAT转换

131、关于USG系列安全防火墙的默认安全区域，下列说法对的的是：

A、默认安全区域可以删除

B、默认安全区域可以修改安全级别

C、默认安全区域不能删除，但是可以修改安全级别

D、默认安全区域有4个

132、防火墙所有类型的访问控制列表都支持对数据包的IP五元组进行访问控制-----F

133、终端安全系统的操作系统补丁违规等级涉及：（多选）

A、低

B、重要

C、严重

D、一般

134、在防火墙做双机热备组网时，为实现备份组整体状态切换，需要使用以下哪个协议技

术：

A、VRRP

B、VGMP

C、HRP

D、OSPF

135.下列哪些地址可以用于USG产品的web管理地址（多选）

A、接口地址

B、子接口地址

C、接口的从IP地址

D、AUX接口地址

136、ACL2999s属于（）：

A、基本访问控制列表

B、高级访问控制列表

C、基于MAC地址访问控制列表

D、基于时间段访问控制列表

137、下面关于TCP/IP协议栈数据包解封装描述对的的是：（多选）

A、数据报文先传送至数据链路层，通过解析后数据链路层信息被剥离，并根据解

析信息知道网络层信息，比如为IP

B、传输层（TCP）接受数据报文后，通过解析后传输层信息被剥离，并根据解析信

息知道上层解决协议，比如UDP

C、网络层接受数据报文后，通过解析后网络层信息被剥离，并根据接卸信息知道

上层解决协议，比如HTTP

D、应用层接受到数据报文后，通过解析后应用层信息被剥离，最终展示的用户数

据与发送方主机发送的数据完全相同

138.关于上网用户组管理说法错误的是：

A、每个用户组可以涉及多个用户和用户组

B、每个用户组可以属于多个父用户组

C、系统默认有一个default用户组，该用户组同时也是系统默认认证域

D、每个用户组至少属于一个用户组，也可以属于多个用户组

139、IPsec安全联盟（SA）是双向的，通过安全联盟可实现对两个方向的数据流进行安全

保护.............................F

140、以下对于AH和ESP的说法偌误的是：

A、AH可以听数据完整性校验和加密

B、隧道模式下，AH对新的IP头也要验证，所以AH无法应用在IpsecVPN中间有

nat转换的情况

C、AH可以提供ESP除了数据加密外的所有功能

D、隧道模式下，ESP报文不对新IP头做验证

141、对于防火堵域间安全策略，下列说法对的的是：（多选）

A、ruledisable命令表达禁用这条rule

B、缺省情况下，越先创建的rule优先级越高，越先匹配

C、通过rulemove命令将rule调整位置后，ruleid将做相应的改变

D、一旦匹配到一条rule,就直接按照该rule的定义解决报文，不在继续往下匹配

142、关于状态检测型防火墙，下列描述对的的是：

A、状态检测防火墙需要对每个进入防火墙的数据包进行规则匹配

B、由于UDP协议为面向无连接的协议，协议为面向无连接的协议，因此状态检测

型防火墙无法对UDP报文进行状态表的匹配

C、状态检测型防火墙对报文进行检查时，同一连接的前后报文不具有相关性

D、状态检测型防火墙只需要对该连接的第一个数据包进行访问规则的匹配，该连

接的后续报文直接在状态表中进行匹配

143、USG6000系列防火墙IPsecweb配置不支持以下哪个应用场景：（多选）

A、网关到网关

B、中心网关

C、分支网关

D、主机到主机

144、FTP协议也许用到的端标语有：（多选）

A、20

B、21

C、23

D、80

145、SSL协议包含以下哪几个协议：（多选）

A、握手协议

B、记录协议

C、警告协议

D、发现协议

146、命令allowI2tpvirtual-templatevirtual-template-nnber[remoteremote-name]»当12tp

grup为1时，必须制定remote-name参数................F

147、下面关于Client-initialized的L2TPVPN,说法错误的是：

A、远程用户接入internet后，可通过客户端软件直接向远端的LNS发起L2Tp隧道

连接请求

B、LNS设备接受到用户L2Tp连接请求，可以根据用户名、密码对用户进行验证

C、LNS为远端用户分派私有IP地址

D、远端用户不需要安装VPN客户端软件

148、某些应用如Oracle数据库应用，因长时间无数据流传输，使防火墙会话连接中断，

从而导致业务中断，以下哪个技术可以最优地解决这个问题：

A、配置某业务长连接

B、配置默认会话老化时间

C、优化包过滤规则

D、启动分片缓存

149、卜.面针对VGMP的组管理描述错误的是：

A、各备份组的主/备状态变化都需要告知其所属的VGMP管理组

B、两台防火墙心跳口的接口类型和编号可以不同，只要可以保证二层互通即可

C、主备防火墙的VGMP之间定期发送Hello报文

D、主备设备通过心跳线交互报文了解对方状态，并且备份相关命令和状态信息

150.公司内部用户上网场景如图所示，用户上线流程有：

1、认证通过，USG允许建立连接

2、用户访问Internet输入

3、USG推送认证界面，User=?Password=?

4、用户成功访问，设备穿件session

5、用户输入User=***Password=***

以下对的的流程排序应当：

A、2-5-3-1-4

B、2-3-5-1->1

C、2-1-3-5-4

D、2-3-1-5-4

151、以下哪个用户系统可直接在USG产品系统.上进行用户账户或密码等信息的修改：

A、VPNDB用户

B、LDAP用户

C、Radius用户

D、所有用户系统

152、关于VGMP协议描述错误的是：

A、VGMP将同一台防火墙上的多个VRRP备份组都加入到一个管理组，由管理组统

一管理所有VRRP备份组

B、VGMP通过统一控制各VRRP备份组状态的切换，来保证管理组内的所有VRRP

备份组状态都是一致

C、状态为Active的VGMP组设备会定期向对端发送HELLO报文，Stdandby端只负

责监听HELLO报文，不会进行回应

D、在缺省情况下当Standby端三个HELLO报文周期没有收到对端发送的HELLO报

文时，会认为对端出现故隙，从而将自己切换到Active状态

153、终端安全系统可以实现组织管理和区域管理两个维度的管理功能。-