深信服AF产品原理进阶考试试题含答案

深信服AF产品原理进阶考试试题第页深信服AF产品原理进阶考试试题含答案您的姓名：[填空题]*_________________________________请输入您的手机号码：[填空题]*_________________________________请输入您的公司全称：[填空题]*_________________________________请输入您的邮箱：[填空题]*_________________________________1、两台新架构AF主备模式(非镜像模式)部署，AF1作为主控，AF2作为备控，防火墙ETH2接口均为路由模式配置真实IP，上游交换机SW1连接AF的接口为二层口，划入对应vlan，AF与外网通过ospf打通网络。以下说法错误的是:[单选题]*A防火墙配置接口联动，避免主备切换时，上下游设备感知不到，导致业务中断。B在高可用配置的高级设置中需要配置OSPF的COST值，以确保备机发送的OSPF路由条目的COST值大于主机发送的，使上下游设备会选择主机发送的路由条目作为有效路由。C新老架OSPF可联动BFD链路检测，加快OSPF收敛。D新架构主备机不支持同时进行LACP协商。(正确答案)2、以下关于AF新架构说法错误的是[单选题]*AAF新架构全功能支持IPv6环境，不需要单独开启IPv6，默认支持BAF新架构支持可自定义调整设备内部各路由的优先级。CAF新架构可推荐客户使用业务模型学习监督功能来解决误判问题(正确答案)DAF新架构采用SangforOS平台，基于DPDK自研了一套用户态协议栈架构，大幅减少了数据包处理过程中的CPU中断、完全避免了内存拷贝以及加锁操作。3、客户想了解AF8.0.85新增的云威胁情报网关能实现哪些作用，下面哪项不是云威胁情报网关能实现的作用?

选项选项内容[单选题]*A通过云威胁情报网关引流后，AF针对本地特征库无法判断的数据包，会提取数据包携带的目的IP和目的端口，上报至云端进行安全检测。B已有情报检测和拦截:AF将目的IP和目的端口在本地进行查询，对相应IP进行不同的处置动作。对于黑IP进行拦截和记录日志。疑黑IP默认记录日志，如果客户场景比较严格的话，通过云威胁情报里的严格模式可以拦截疑黑IP，但是可能会导致少量误报。白IP放行C上报数据分析，通过云端NDR引擎+人工研判，削减防火墙无效告警，安全事件告警准确率99%，并支持微信告警与一键处置(正确答案)D未知流量进行云查（灰IP）:AF将未知的IP和端口上报至安全云脑，利用安全云脑丰富的数据库和强大的分析能力，能够快速地判断IP和端口的属性，并且返回给AF，AF会存储这些数据至本地库中，下次针对已有情报可以第一时间进行检测拦截4、新架构中关于BFD链路探测功能下面说法不正确的是?。[单选题]*ABFD作为双向转发探测，需要探测双方都建立BFD的会话，才可以组成一个探测系统BBFD检测支持查询模式和异步模式CAF的BFD链路探测功能可以在OSPF、BGP和高可用性中进行使用D配置AF的BFD链路探测时本端的本地IP需要填写本地回环接口的地址(正确答案)5、防火墙不能拦截以下哪些漏洞[单选题]*A经过url编码的sql注入BPOST头部里面的User-Agent字段sql注入C登录个人账号可越权查看他人信息的信息泄露(正确答案)D经过base64编码的webshell上传6、用户测试AF，比较关注对外发布OA系统（web架构）的安全情况，当完成设备配置上架后，发现长时间没有看到waf日志，用户怀疑是配置的waf策略没生效。以下排查思路不正确的有（）[单选题]*A确认OA特性与waf策略的匹配是否正确，包括检查端口是否标准80端口，发布的OA系统业务是否是https协议网站B在AF上通过抓包或者开启排障的定向数据分析，看是否有攻击数据包经过防火墙C在客户内网选用一台办公电脑，对OA系统发起攻击测试以产生相关的日志。(正确答案)D针对测试PC的源IP访问OA的数据，在AF上的web防护模块开启get/post拦截的方法过滤，看是否可以正常拦截并记录攻击日志7、在某个重保活动中，客户侧使用了不少深信服的安全设备，期望联合各个产品的优势以在这次活动中获得高分，以下使用错误的是:[单选题]*A如果使用AF的云蜜罐功能，需要确保访问者能与AF上设置的云蜜罐IP正常通讯，同时为了达到最佳效果AF设备还需要能访问深信服云端地址。B在无人值守或者值守响应人力不足的情况下，可以通过SIP态势感知平台开启自动联动封锁能力，将识别到的风险进行自动下发至AF进行封锁处置CAF上不建议开启云威胁情报网关能力，因为云威胁情报网关会与本地的规则库只能二选一，识别没有本地规则库全面。(正确答案)D当配置了AF和EDR联动后，如果AF在网络层面检测某终端存在恶意外联的风险后，可以在AF上对EDR_MANAGE下发查杀指令，再由EDR_MANAGE对指定终端的EDR软件下发查杀指令，最后的查杀结果返回给AF统一展示和处置8、某客户将两台AF用在链路聚合的场景下，同时希望在AF上线后看到防护效果，如下说法错误的是:[单选题]*A该场景可以使用双机聚合的功能，支持AF虚拟线双主部署，暂不支持三层部署。B如果想快速验证当前配置的安全防护策略是否生效，可通过XHACK的攻击机、靶机来模拟测试，再根据防火墙上的日志来判断安全防护策略是否生效。C新架构防火墙AF暂不支持链路聚合的场景，需要对客户的网络进行改造。(正确答案)D需要配置网口监视以及网卡联动功能，当发生故障时可加速上下联设备的切换。9、防火墙路由部署，关于其基本功能应用控制的说法不正确的是（）[单选题]*A内置的默认拒绝策略会默认拒绝到防火墙本身的流量(正确答案)B应用控制策略的匹配顺序是自上而下进行的，匹配到一条就不会向下继续匹配了C新架构VPNtunnel口的流量默认会被应用控制内置默认拒绝策略匹配D如果把VPNtunnel口划到区域里，则需要在应用控制里面单独放行，否则会被内置默认拒绝策略匹配10、关于新架构的管理口和业务口，以下描述正确的是:

解析:带外管理的目的是将管理路由表和业务路由表划分开，带外管理已经实现源进源出，如果业务口想要实现源进源出，只需要勾选"逆向路由"按钮即可[单选题]*Aeth0默认被带外管理口引用，勾选"逆向路由"后即可开启源进源出Beth0默认被带外管理口引用，管理路由表和业务路由表已经划分开，因此带外管理口已实现源进源出(正确答案)C业务口想要实现源进源出，需要配置WAN属性，并配置一条策略路由D如果出现网口不够时，可以将eth0口复用为业务口。11、关于新老架构网络模块差异说法错误的有?[单选题]*A新架构使用升级客户端升级时，需要在管理口页面勾选系统维护权限，而不是在系统设置中开启。(正确答案)B新架构不需要开启IPv4/IPv6双协议栈，接口勾选启用IPv6协议即可使用IPv6C新架构可以分开配置IPv4的MTU和IPv6的MTUD新架构DHCP可分配IPv6地址12、如下图所示:两台AF主备镜像部署，AF1作为主控，AF2作为备控。上下游交换机SW1、SW2连接AF的接口为均为二层口，划入对应vlan，AF配置ospf与外网打通网络。以下说法错误的是:[单选题]*A在AF上配置OSPF时，如果只有一个邻居OSPF网络类型可以选择P2P，可以加速OSPF的收敛。B为了缩短主备切换时OSPF的收敛时间，可以开启OSPFGR功能。C新架构的“镜像模式”和老架构一样会所有的配置包括接口IP同步给备机，如果不需要同步某个接口的IP地址到，可以在该接口地址添加-HA来不同步该地址。(正确答案)D镜像模式下，备机状态不支持LACP协商。13、客户想了解AF8.0.85物联网安全模块有哪些作用，下列哪项不是物联网安全区模块的租用?[单选题]*A物联网安全模块提供资产识别功能，通过主动和被动方式，可帮助梳理客户资产，整合成资产列表。B通过工控协议审计功能，可以对工业控制场景下的设备产品的流量进行检视C提供资产入网审核功能，杜绝非法设备入网D通过工控协议审计功能，可以对工业控制场景下的设备进行全方面的安全防护(正确答案)14、关于AF老架构双机原理，下列说法错误的是?[单选题]*A主备部署时，优先级大的为主，在相同优先级时，会比较心跳口IP地址，IP大的为主(正确答案)B主备部署时，主设备是通过虚拟IP与对方通信C主备部署时，主设备是通过虚拟MAC与对方通信D如果想某接口的IP不同步到备控设备，可在接口配置的IP/掩码后面加“-HA”15、虚拟系统之间通过什么接口进行互访，下列说法正确的是哪项?[单选题]*A物理接口BVLAN接口C子接口D虚拟接口(正确答案)16、客户在配置虚拟系统时发现虚拟系统无法支持根系统所有的功能，有些功能模块在虚拟系统下无法配置，关于虚拟系统不支持的功能模块下面说法错误的是哪项?[单选题]*AWEB应用防护B漏洞攻击防护C应用控制策略(正确答案)D地域访问控制17、以下哪一项不会导致AF报错双机适配性不一致?[单选题]*A双机打包内容一致，但包的顺序不一致B双机开通的序列号不一致C双机心跳口IP配置不一致(正确答案)D虚拟路由组的监视口配置不一致18、AF的业务安全中心，把事件根据风险进行分类，如果是检测到用户网站有黑链，而无其他风险记录，此类事件会被归到哪类?[单选题]*A已被入侵(正确答案)B曾被攻击C曾被收集信息D存在漏洞19、某客户发现大量源IP访问官网站点，导致业务访问缓慢，抓包发现该请求体表单中插入sangfor字段，如何针对该字段的请求体进行防护?[单选题]*A针对来源IP防CCBReferer防CCC特定URL防CCD自定义CC防护规则，针对表单数据进行匹配关键字进行检测(正确答案)20、关于SSL解密说法正确的是?[单选题]*A服务器解密暂不支持证书链环境B开启服务器解密后ips,waf（waf的应用隐藏功能不支持）,pvs的https攻击能够被检测(正确答案)