发布时间 : 星期一 文章HCNA 安全题库 H12-711更新完毕开始阅读7d0de4b085254b35eefdc8d376eeaeaad1f31635
A、防护模式 B、告警模式 C、路由模式 D、透明模式
196、基于GRE封装与解封装描述错误的是: A、封装过程:原始数据包通过查找路由把数据包传递到Tunnel接口后触发GRE封装 B、封装过程:经过GRE模块封装后,此数据包将进入IP模块进行下一步处理 C、解封装过程:目的端收到GRE报文后,通过查找路由把数据包传递到Tunnel接口后触发GRE解封装 D、解封装过程:进过GRE模块解封装后,此数据包将进入IP模块进行下一步处理 197、管理员将内部网络划为trust区域,将Internet划为untrust区域,对于Inbound方向的源NAT,以下说法正确的是:(多选) A、主要应用在内部主机不需要知道某条公网路由的情况 B、是将外网用户请求报文的源地址,转换为内网地址 C、是将内网用户地址转换为internet地址 D、为了让内部私网地址用户能访问Internet 198、以下关于入侵防御系统(IPS)描述错误的是: A、IPS使得IDS和防火墙走向统一 B、IPS在网络中不能采用旁路部署方式 C、IPS在网络中直路部署方式是串接在网络边界,在线部署 D、IPS一旦检测出入侵行为可以实现即时阻断操作
199、在USG系列防火墙中,数据包到达防火墙,最先被匹配以下哪一项: A、包过滤 B、攻击防范 C、黑名单 D、会话表
200、下列关于不同类型防火墙的说法中错误的是: A、包过滤防火墙对于通过防火墙的每个数据包,都要进行ACL匹配检查 B、状态检测防火墙只对没有命中会话的首包进行安全策略检查 C、状态检测防火墙需要配置报文的“去”和“回”两个方向的安全策略 D、代理防火墙代理内部网络和外部网络用户之间的业务
201、在USG防火墙中,由于UDP是基于无连接的通信,所以UDP格式的报文通过防火墙不创建会话表。----------------------------------------------------F 202、包过滤防火墙对哪一层的数据报文进行检查? A、应用层 B、传输层 C、网络层 D、链路层
203、如果IKE协商模式为主模式,则只能配置ID类型为IP地址形式,如果协商模式为野蛮模式,则只能配置ID类型为名称形式。-------------------------------------------------F 204、身份认证技术是采用以下哪些方式对用户身份合法性进行识别:(多选) A、用户名密码 B、USG KEY C、密码算法
D、hash算法
205、防火墙进行Ant-birus和IPS的配置前需要完成下列操作:(多选) A、需要申请并激活license B、指定使用的病毒库、签名库 C、确认防火墙模式为UTM模式,启用UTM D、关闭防火墙链路状态检测机制
206、SVN产品虚拟网关,只能使用域名访问的是以下哪种虚拟网关类型: A、独占型 B、共享型 C、固定型 D、手动型
207、在传输模式IPsec应用情况中,以下哪个区域数据报文可受到加密安全保护: A、网络层及上层数据报文 B、原IP报文头 C、新IP报文头 D、传输层及上层数据报文
208、管理员可以通过以下几种方式升级USG防火墙软件版本:(多选) A、FTP B、TFTP C、HTTP D、SSH
209、为了使出差移动用户能访问企业内部文件服务器,可以采用以下哪个最优SSL VPN功能来实现: A、Web代理 B、文件共享 C、端口转发 D、网络扩展
210、在USG系列防火墙系统视图下,执行完命令reset saved-configuration后设备配置就会恢复到缺省配置,无需进行其他操作即可生效。----------------------------------F
211、关于防火墙域间转发安全策略的控制动作permit和deny,描述正确的是:(多选) A、permit指域间包过滤检查通过 B、deny指丢弃匹配该安全策略的报文 C、及时数据包匹配安全策略的permit动作,也不一定会被防火墙转发 D、报文不管是匹配安全策略的permit动作,还是deny动作,都会转到UTM模块处理 212、针对缓冲区溢出攻击的描述正确的是:(多选) A、缓冲区溢出攻击是利用软件系统对内存操作的缺陷,以高操作权限运行攻击代码 B、缓冲区溢出攻击是攻击软件系统的行为中最常见的一种方法 C、缓冲区溢出攻击是攻击软件系统的行为中最常见的一种方法 D、缓冲区溢出攻击属于应用层攻击行为 213、网关防病毒主要实现方式包括:(多选) A、代理扫描方式 B、流扫描方式 C、包查杀方式 D、文件查杀方式
214、在状态检测防火墙中,开启状态检测机制时,三次握手的第二个报文(SYN+ACK)到达防火墙的时候,如果防火墙上还没有对应的会话表,下面说法正确的是: A、如果防火墙安全策略容许报文通过,报文可以通过防火墙 B、如果防火墙安全策略容许报文通过,则创建会话表 C、报文一定不能通过防火墙 D、报文一定通过防火墙,并建立会话表
215、LNS在收到报文后,将会检查TCP目的端口是否为1701,如果是,则交给L2TP处理模块进行后续处理,如果不是,则按正常IP报文进行处理。-----------------F 216、在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效或无用。这是对()的攻击。 A、可用性 B、保密性 C、完整性 D、真实性
217、USG系列防火墙的Servermap表中三要素,不包括以下哪一项: A、目的IP B、目的端口号 C、协议号 D、源IP
218、USG产品端口转发是基于端口控制的访问内网资源的方式,适用哪种应用服务: A、TCP B、UDP C、TCP或UDP D、SPX
219、对称加密性算法和非对称加密算法对密钥的分发方式比较类似,都是通过把密钥发送给接收方进行信息的解密,发送方法可采用E-mail等方式。------------------F 220、数字证书不包括以下哪个部分: A、证书持有者名称 B、证书有效期 C、证书公钥 D、证书私钥
221、Web代理有哪些实现方式:(多选) A、Web-link B、Web改写 C、Web转发 D、Web透传
222、管理员通过Web进行USG设备初始化操作,以下说法正确的是:(多选) A、管理PC的浏览器访问http://192.168.0.1 B、管理PC的IP地址设置为192.168.0.2-192.168.0.254 C、管理PC的浏览器范围https://192.168.1.1 D、管理PC的IP地址设置为192.168.1.2-192.168.1.254.
223、USG系列防火墙的多个接口可以属于同一个安全区域。---------T
224、使用No-pat方式进行NAT转换,当所有外部IP地址均被使用后(使用NAT技术访问互联网应用场景),后续的内网用户如需上网将会发生什么情况:
A、挤掉前一个用户,强制进行NAT转换上网 B、后续的内网用户将不能上网 C、自动把NAT切换成PAT后上网 D、将报文同步到其他NAT转换设备进行NAT转换
225、IPsec使用模板方式也可以指定remote-address为地址段。---------T 226、以下哪种类型三层VPN在安全方面更有保证: A、GRE B、L2TP C、IP sec D、SSL
227、在同一种加密算法条件下,密钥长度越长需破解的成本也就越高。--------T 229、以下哪个技术可以实现某一密钥被破解后,不会影响其他密钥的安全性: A、数字证书认证 B、完善的前向安全性 C、身份验证 D、身份保护
230、针对IP欺骗攻击(IP Spoofing)描述正确的是:(选择3个答案) A、IP欺骗是利用了主机之间正常的基于IP地址的信任关系来发动 B、IP欺骗攻击成功后,攻击者可以使用伪造的任意IP地址模仿合法主机访问关键信息 C、攻击者需要把源地址伪装成被信任主机,并发送带有SYN标志的数据段请求连接 D、基于IP地址的信任关系的主机之一无需输入口令验证就可以直接登录 231、NAT技术可以通过对数据加密来实现数据安全传输。-------------------------F
232、在华为USG系列设备上,管理员希望擦除配置文件,希望下次启动采用缺省配置参数进行初始化,下面命令正确的是: A、clear saved-configuration B、reset saved-configuration C、reset current-configuration D、rest running-configuration
233、如果再FTP的场景下使用USG产品端口转发功能,内网服务器的映射端口号是: A、20 B、21 C、22 D、23
234、IPsec中如果想对新IP报文头做验证,需要使用哪种IPsec安全协议: A、AH B、ESP C、MD5 D、SHAT
235、如果一个企业新建一个网络,使用典型的网络设备(防火墙,交换机,路由器等),且管理员需要重新规划IP地址,为了支持更多的安全特性,推荐防火墙以太网接口工作在三层模式。------------------------------------------------T
236、以下哪类防火墙处理非首包的数据流转发效率最高: A、包过滤防火墙 B、代理防火墙