发布时间 : 2024/5/15 9:24:10 星期三 文章HCNA 安全题库 H12-711更新完毕开始阅读7d0de4b085254b35eefdc8d376eeaeaad1f31635

353、包过滤防火墙在应用层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包。--------------------------------------F

354、代理防火墙作用于TCP/IP协议栈的传输层，实质是代理防火墙代理处理内部网络和外部网络用户之间的业务。-------------------F

355、add-group { number 1 name } no-pat 中no-pat 参数的含义是:

A、不做地址转换 B、进行端口复用 C、不转换源端口 D、不转换目的端口

356、信息加密的四个关键要素：明文、密文、加密算法和密钥，为了确保信息的保密性，需对加密算法进行保密。------------------------------F 357、IP Sec中以下哪个算法不属于加密算法:

A、DES B、SHA1 C、3DES D、AES

358、USG产品文件共享技术就是将文件共享协议转换成基于SSL超文本传输协议(Https)，针对终端用户感觉文件服务器就是基于Web应用。----------------------------T

359、USG系列防火墙默认的安全区域不能删除，但可以修改其安全级别。---------------------------------F

360、下面描述是SSL握手协议各阶段中的内容有哪些?（选择3个答案）

A、客户端发送client_Hello消息，服务器端回应Server Hello消息 B、服务器端发送Server Hello便等待客户端发送的消息

C、客户端收到服务器发送的一系列消息并消化后，发送Client Key Exchange等消息给服务器

D、客户端和服务器各自发送ChangeCipherSpec和finished消息给对方 361、Policy Center准入控制可支持以下哪些:（选择3个答案）

A、硬件SACG(硬件安全接入控制网关) B、802.1X C、ARP控制

D、软件SACG(主机防火墙) 362、USG产品配置时，VPNDB中的用户信息可以单个创建，也可以通过导入文件批里创建。------------------------------------T

363、SSL VPN支特文件共享类型分为SMB和NFS两种，SMB对应windows主机，NFS对应Linux主机。--------------------------------T

364、基于Outbound方向NAT配置，在有no-pat配置参数的情况下，以下哪些说明是错误的:（选择3个答案）

A、只进行源IP地址转换 B、只进行目的IP地址转换 C、进行源IP地址和源端口转换

D、进行目的IP地址和目的端口转换

365、Poliry Center系统支持以下哪些用户认证方式:（选择3个答案）

A、IP地址认证 B、MAC地址认证

C、普通账号/口令认证 D、LDAP认证

366、下列关于不同类型的防火墙的说法中正确的有:（选择3个答案}

A、包过滤防火墙对于通过防火墙的每个数据包，都要进行ACL匹配检查 B、状态检测防火墙只对没有命中会话的首包进行安全策略检查

C、状态检测防火墙需要配置报文的“去”和“回”两个方向的安全策略 D、代理防火墙代理内部网络和外部网络用户之间的业务 367、管理员搭建了如下组网:

LAN_A----一（G0/0)USG_A(G0/1)----一(G0/0)USG_B(G0/1)-------LAN_B

USG_A划分了防火墙安全区域，连接LAN_A的区域Trust,连接USG_B的区域是Untrust根据上面的描述，以下说法正确的是:

A、USG_B G0/0必须加入Untrust区域 B、USG_B G0/0必须加Trust区域 C、USG_B G0/1必须加Trust区域 D、USG_B G0/0可以加入任意区域

368、在IKE协商第一阶段中，以下哪个IKE交换模式不能提供身份保护功能:

A、主模式 B、野蛮模式 C、快速模式 D、被动模式

369、USG防火墙高级ACL的匹配，可以通过源IP地址、目的IP地址、源MAC地址、目的MAC地址、协议等维度来进行流里匹配。------------------F

370、下列关于NAT地址转换的说法中哪些是正确的:（选择3个答案）

A、地址转换技术可以有效隐藏局域网内的主机，是一种有效的网络安全保护技术 B、地址转换可以按照用户的需要，在局域网内向外提供FTP、WWW、Telnet等服务 C、有些应用层协议在数据中携带IP地址信息，对它们作NAT时还要修改上层数据中的IP地址信息

D、对于某些非TCP、UDP的协议（如ICMP、PPTP)，无法做NAT转换

371、在USG系列防火墙区域间使用detect命令，若应用协议为非标准端口，以下哪个技术可解决由非标准端口所带来的问题:

A、端口识别

B、MAC与IP地址绑定 C、包过滤 D、长连接

372、以下哪类加密算法，加密和解密的密钥是相同的:

A、DES

B、RSA（1024） C、MD5 D、SHA-1

373、USG产品网络扩展功能中，需要实现用户即可以访问远端企业内网和本地局域网，又能访问Internet需要使用的客户端路由方式为:

A、全路由模式(Full Tunnel) B、分离模式（Split Tunnel ） C、路由模式(route Tunnel)

D、手动模式(Manual Tunnel)

374、Policy Center系统可以实现组织管理和区域管理两个维度的管理功能。-----------------------------------------T

375、下列关于ASPF和Server map的说法正确的是:〔选择2个答案）

A、ASPF检查应用层协议信息并且监控连接的应用层协议状态 B、ASPF通过动态的生成ACL来决定数据包是否通过防火墙 C、配置NAT Server生成的是静态Server-map D、Server-map表用五元组来表示一条会话

396、 USG产品可以通过如下哪些方式对用户进行访问权限控制:

A、IP B、MAC C、PORT D、URL

377、USG产品业务功能包括:（选择3个答案）

A、Web代理 B、网络扩展 C、端口共享 D、文件共享

378、Policy Center系统的共享目录检查安全策略包括以下哪些方面内容:（选择3个答案）

A、共享文件大小检查，对于大文件不允许共享 B、共享账号名称(用户或者用户组)检查 C、违规共享权限检查

D、提供自动修复功能，删除违规共享

379、如果防火墙的两个接口连接同一个区域，两个接口数据包流动也必须经过域间包过虑处理。-----------------------------------F

380、VLAN的Tag信息包含在哪个报文段中:

A、以太网帧头中 B、IP报文头中 C、TCP报文头中 D、UDP报文头中

381、以下哪些技术可以实现拒绝非法主机或非法数据报文通过:（选择3个答案）

A、MAC与lP地址绑定 B、ACL C、黑名单 D、静态路由 382、IPSec安全协议AH和ESP的区别在于AH能实现数据加密，ESP支持的数据验证范围更广。--------------------------------------F

383、在当前网络中已经部署了其他的身份认证系统，设备通过启用单点登录功能，减少用户重复输入密码。关于单点登录说法正确的是:（选择2个答案）

A、设备可以识别出经过这些身份认证系统认证通过的用户，用户上网时，设备将不推送认证页面，避免再次要求输入用户名/密码

B、设备仅支持AD域单点登录

C、虽然不需要输入用户密码，但是认证服务器需要将用户密码和设备进行交互，用来保证认证通过

D、设备支持LDAP，AD域单点登录 384、以下哪个IKE交换模式可以采用IP地址方式或Name方式标识对等体（选择:2个答案）

A、主模式 B、野蛮模式 C、快速模式 D、被动模式

385、IP地址扫描玫击的攻击者运用ICMP报文探测目标地址，获取目标网络的拓扑结构和存活的系统，实施下一步攻击做准备。--------------------------------T

386、在USG系列防火墙系统视图下，执行完命令reset saved-configuration后设备配置就会恢复到缺省配置，无需进行其他操作即可生效。---------------------------------------------F 387、Policy Center系统主要由以下哪些组件组成:(选择3个答案)

A、防病毒服务器 B、SC控制服务器 C、准入控制设备 D、SM管理服务器

388、在防火墙间安全策略中，inbound是指数据包从低优先级区域访问高优先级区域。在防火墙域内安全策略中，没有inbound和outbound方向，只需要直接定义Source和Destination即可。--------------------------T

389、对于防火墙默认安全区域Trust和Untrust的说法正确的有:（选择2个答案）

A、Trust区域访问Untrust区域方向为outbound方向 B、Trust区域访问Untrust区域方向为inbound方向 C、Trust的安全级别是85 D、Untrust的安全级别是50

390、IPSec的必需配置步骤包括: （选择3个答案）

A、配置IKE的加密算任便用DES B、定义保护数据流和域间规则 C、将IPSec安全策略应用到接口 D、配置IKE Peer

391、USG系列防火墙5元组包括以下哪些选项:（选择3个答案）

A、源IP地址 B、目的IP地址 C、协议号

D、源MAC地址

392、防火墙进行AV和IPS的配置前需要完成下列操作:〔选择3个答案）

A、需要申请并激活UTM特性的license并升级特征库 B、指定使用的病毒库、IPS签名库、URL热点库和知识库 C、确认防火墙模式为UTM模式，启用UTM D、关闭防火墙链路状态检查机制

393、在USG产品配置中，如果绑定Web网管和IP地址时设置的端口号为443以外的瑞口号，那么在下次登录Web网管输入IP地址时，请在IP地址后面加上\端口号“，如”

https://x.x.x.x：port“，否则将不能登录Web网管。------------------------------------------------------T