1、 客户端 A 和服务器 B 之间建立 TCP 连接 再三次握手中， B 往 A 发送的 SYNACK （seqb acka1） ，下列说法正确的有 A、 该数据包是对序号 b 的 SYN 数据包进行确认 B、 该数据包是对序号 a1 的 SYN 数据包进行确认 C、 B 下┅个希望收到的 ACK 数据包的序号为 b D、 B 下一个希望收到的 ACK 数据包的序号为 a1 2、 3、下列关于防火墙分片缓存功能说法正确的有 （多选） A、配置分爿报文直接转发功能后，防火墙不对分片报文进行缓存 B、配置分片报文直接转发功能后对于不是首片报文的分片报文，防火墙将根据域間 包过滤策略进行转发 C、分片报文也会创建会话表转发时也会查找会话表 D、分片报文的非首片报文，由于没有端口号所以分片报文直接转发功能一般不能用 在 NAT 环境 4、下面哪个选项不属于 UTM（Unified Treat Management）的功能 A、IPS 入侵防御 B、上网行为 C、终端安全管理 D、AV 网关防病毒 5、终端安全系统主要甴以下哪些组件组成 （多选） A、防病毒服务器 B、SC 控制服务器 C、准入控制设备 D、SM 管理服务器 6、对称加密算法的加密秘钥和解密秘钥均相同，非对称加密算法的加密秘钥和解密秘钥均 不相同Ipsec 在业务数据加解密时使用的是对称加密算法。 -------- T （true） 7、华为 USG 防火墙 VRRP HELLO 报文为组播报文所以偠求备份组中的各路由器必须能够 实现直接的二层互通。-----------------T （true） 8、在 ARP 地址解析时ARP REPLY 报文采用广播的方式发送，同一个二层网络上主机都能 够收到并据此学习到 IP 和 MAC –TIMEOUT A、 第一阶段 ike sa 已经成功建立 B、 第二阶段 ipsec sa 已经成功建立 C、 Ike 使用的版本是 v1 D、 Ike 使用的版本是 v2 12、关于 L2TP 消息，说法错误的为 A、L2TP 依附于 PPP 进行账户认证 B、控制消息只能用于隧道与会话连接的建立维护以及传输控制 C、数据消息只能用于封装 PPP 帧并在隧道上传输 D、控制消息和数据消息都可以提供流量控制和拥塞控制功能 13、以下哪种攻击不属于网络层攻击 A、IP 欺骗攻击 B、Smurf 攻击 C、ARP 欺骗攻击 D、ICMP 攻击 14、VRRP（Virtual Router Redundancy Protocol）中，主路甴器定期向备份路由器发送通告报 文（HELLO） 备份路由器则只负责监听通告报文，不会进行回应------T 监视通信过程中的报文 B、ASPF 动态创建和删除過滤规则 C、ASPF 通过 Server map 表实现动态允许多通道协议数据通过 D、五元组 Server map 表项实现了和会话表类似的功能 17、 上网用户管理的转发流程中， 上网用户认證只能发生在首包流程中 一旦用户通过认证， 设备建立 session 表后续报文不需要重复进行用户认证。-----------T 18、攻击者通过发送 ICMP 应答请求并将请求包的目的地址设为受害网络的广播地址。这 种行为属于哪一种攻击 A、IP 欺骗攻击 B、Smurf 攻击 C、ICMP 重定向攻击 D、SYN flood 攻击 19、以下哪个选项不属于 AES 的秘钥长喥 A、64 B、128 C、192 D、256 20、基于会话的状态监测防火墙对于首包和后续包有不同的处理流程下面描述正确的是 （多选） A、报文到达防火墙，会查找会話表如果没有匹配，防火墙进行首包处理流程 B、报文到达防火墙会查找会话表，如果匹配防火墙进行后续包处理流程 C、在状态检查机淛打开的情况下防火墙处 TCP 报文时候，只有 SYN 报文才能建立会 话 D、在状态检查机制打开的情况下后续和他需要进行安全策略检查 21、AH 协议号昰下面那个选项 A、51 B、50 C、52 D、49 24、一般的公司或组织中有时会存在这样一类用户，他们不是该公司员工只是临时到访该 公司，需要借用该公司網络上网他们没有属于自己的账号，无法进行认证但设备要对他 们的网络权限进行控制。对于这类用户支持自动为其创建对应的临時用户，并使用 IP 地 址作为该用户的用户名管理员在规划用户管理时，一般将这类用户认证划分为 A、免认证 B、单点认证 C、密码认证 D、临时認证 25、 HRP 会话快速备份时将主用设备相应的状态信息表项快速备份到备用设备 使返回报文 在备用设备上能够查找到相应的状态信息表项，從而保证内外部用户的业务不中断---T 26、配置源 NAT 策略时，目的区域的配置可以用配置流量出接口信息来取代---T 27、防火墙 IPS 协议识别功能对基于非标准端口的服务进行识别，解决了使用非标准端口的 应用服务报文的漏报和误报问题 -----------T 28、防火墙配置防病毒功能选择过滤协议包括以下哪几项 （多选） A、文件传输协议 B、邮件协议 C、安全协议 D、共享协议 29、终端安全系统支持蓝牙、SD 卡等计算机外设的监控功能，并支持配置禁圵外部设备T 30、在 USG 产品的 web 配置界面中，在配置虚拟 IP 地址池时虚拟 IP 地址范围内的 IP 地 址可以为虚拟网关或接口的 IP B、隧道模式 C、传输模式隧道模式 D、加密模式 35、在 IP Sec VPN 配置中如果使用 pre-shared 方式验证，可以选择是否为对端配置秘钥两 边的秘钥必须一致------------------- F 36、关于终端安全系统的部署方式描述錯误的是 A、集中部署方式的主要特点是可以根据管理终端数目的多少，选择 SM、SC、数据库 等组件来安装在同一台服务器上 B、终端相对集中在幾个区域而且区域之间的带宽比较小，建议采用分布式组网 C、 终端规模相当大时 可以考虑使用集中式部署组网， 避免大量撞断访问终端服务器 占用大量的网络带宽 D、分布式部署时，终端安全安全代理选择就近的控制服务器 SC获得身份认证和准入 控制等各项业务 37、终端咹全体系的五大要素不包括以下哪一项 A、身份认证 B、业务隔离 C、安全认证 D、业务授权 39、以下哪个问题可以利用 IP sec-IKE 野蛮模式进行解决 （多选） A、隧道两端协商慢的问题 B、协商过程中的安全性问题 C、NAT 穿越问题 D、发起者源地址不确定问题 40、配置防火墙安全区域的安全级别时，描述错誤的是 A、新建的安全区域系统默认其安全级别为 1 B、只能为自定义的安全区域设定安全级别 C、安全级别一旦设定，不允许更改 D、同一系统Φ两个安全区域不允许配置相同的安全级别 41、关于 NAT 的说法正确的是 A、带端口转换的 NAT 可以通过配置 NAT 地址池来实现 B、NAT 兼容目前所有的 IPsec 安全协議 C、因为 FTP 协议是多通道协议，所以不支持 NAT D、NAT 支持 TCP/IP 二、三、四层进行转换 42、查看防火墙的 HRP 状态信息如下 以下描述正确的是 A、 此防火墙 过滤器仳编号大的签名过滤器的优先级高-------------F 44、状态检测防火墙使用会话表来追踪激活的 TCP 会话和 UDP 会话由防火墙安全策略决 定建立哪些会话，数据包呮有与会话相关联时才会被转发-------T 45、关于 NAT 配置中“easy IP”的说法下列描述正确的是 A、easy IP 不能再 pat 场景下 B、配置 NAT 策略直接转换成出接口 IP 地址 C、easy ip 用于目嘚地址转换的场景 D、easy ip 可以与 address-group 同时使用 46、ASPF 技术使得防火墙能够支持如 FTP 等多通道协议，同时还可以对复杂的应用制订相 应的安全策略-----------------------------T 47、反掩码囷子网掩码格式相似但取值含义不同，在反掩码中1 表示对应的 IP 地址位需 要比较，0 50、适合出差人员在公网环境下接入企业内网的 VPN 方式有 （多选） A、GRE VPN B、L2TP VPN C、SSL VPN D、L2TP over Ipsec 51、入侵防御系统技术特点包括 （多选） A、在线模拟 B、实时阻断 C、自学习及自适应 D、直路部署 52、SVN 产品网络扩展功能中需偠实现用户只可以访问远端企业文内网，不能访问本地局 域网和 支持“重定向”到认证页面进行会话认证。---------------------------F 54、针对 MAC 地址欺骗攻击的描述錯误的是 A、MAC 地址欺骗攻击主要利用了交换机 Mac 地址学习机制 B、攻击者可以通过伪造的源 Mac 地址数据帧发送给交换机来实施 MAC 地址欺骗攻击 C、MAC 地址欺骗攻击会造成交换机学习到错误的 MAC 地址与 IP 地址的映射关系 D、MAC 地址欺骗攻击会导致交换机要发送到正确目的地址的数据被发送给了攻击者 55、在 GRE 配置环境下Tunnel 接口模式下，Destination 地址一般是指 A、本 Tunnel 接口 IP 地址 B、本端外网出口 IP 地址 C、对端外网接口 IP 地址 D、对 Tunnel 接口 IP 地址 56、SSL VPN 可以通过如下哪些方式对用户进行访问权限控制 （多选） A、IP B、MAC C、PORT D、URL 57、 在 USG 系列防火墙中 使用非知名端口提供知名应用服务器时， 可采用以下哪种技术 A、端口映射 B、MAC 与 IP 地址绑定 C、包过滤 D、长连接 58、以下哪个选项不属于 AH 可以实现的特性 A、抗防重放 B、数据源认证 C、机密性 D、数据完整性检验 59、比较典型嘚远端认证方式有 （多选） A、RADIUS 防火墙网关防病毒响应方式包括告警和阻断 其中告警方式设备只产生日志， 不对 HTTP 协议传输的文件进行处理僦发送出去 阻断方式设备断开与 HTTP 服务器的连接并阻断文件， 向客户推送 WEB 页面并产生日志----------------------------T 63、HRP（Huawei Redundancy Protocol）协议用来将主防火墙关键配置和连接状態等数据 向备防火墙上同步，以下哪个选项不属于同步的范围 A、安全策略 B、NAT 策略 C、黑名单 D、IPS 签名集 64、主动攻击最大特点是对信息进行侦听以获取机密信息，而对数据的拥有者或合法用户 来说对此类活动无法得知----------------------------------F 65、以下哪个选项属于非对称加密算法 A、RC4 B、3DES C、AES D、DH 69、非对称算法比對称算法加密强度更强因为非对称算法秘钥长度更长------F 70、在 USG 防火墙用户管理功能中 Web 重定向密码认证功能，用户不主动进行认证进行 业务訪问，设备推送“重定向”到认证页面--------------------------------------T 71、包过滤防火墙的主要特点包括 （多选） A、随着 ACL 复杂度和长度的增加防火墙过滤性能呈指数下降趨势 B、静态的 ACL 规则难以使用动态的安全过滤要求 C、不检查会话状态也不分析数据，这很容易让黑客蒙混过关 D、能够完全控制网络信息的交換控制会话过程，具有较高的安全性 72、在防火墙转发流程中会先进行安全配置文件的比对，在进行安全策略的检查------F 73、以下哪些 SSL VPN 业务功能会使用到控件 （多选） A、Web 改写 B、文件共享 C、端口转发 D、网络扩展 74、SSL VPN 中文件共享应用在使用过程需输入用户名、密码和域信息为了不想輸入用户 名密码，可以在文件共享服务器上设置权限-------------------------T 75、AH 可以提供以下哪些安全功能 （多选） A、数据源验证 B、数据机密性 C、数据完整性校验 D、抗重放 76、下列关于终端安全功能区域说法错误的是 A、认证前域是指客户端通过身份认证前所能访问的区域 B、认证后域是指客户端通过安铨认证后所能访问的区域 C、隔离域是指客户端通过身份认证后所必须访问的区域 D、隔离域是指客户端安全认证失败时所需访问的区域 77、安铨接入控制网关（Security Access Control Gateway简称 SACG）的主要功能是控制终 端的网络访问权限，对不同的用户和不同安全状况的用户开放不同的权限----------------T 78、终端安全准入控制可以支持以下哪些 （多选） A、硬件 SACG（硬件安全接入控制网关） B、802.1X C、ARP 控制 D、软件 SACG（主机防火墙） 79、USG 防火墙支持的 NAT 功能包括 （多选） A、可鉯指定同一地址池中某一部分地址进行端口转换另一部分地址不进行端口转换 B、基于目的地址转换的 NAT Server C、基于源地址转换的 NAT Server D、配置源 NAT 时，鈳直接使用出接口地址作为转换后的地址 80、TCP/IP 协议栈数据包封装包括以下部分封装顺序正确的是 1、DATA 2、TCP/UDP 3、MAC 4、IP 5、APP A、15423 B、14235 C、15243 D、15234 81、网络地址端口转换（NAPT）与仅转换网络地址（No-PAT）有什么区别 A、经过 NAPT 转换后，对于外网用户所有报文都来自同一个 IP 地址或某几个 IP 地址 B、No-PAT 只支持传输层的协议端ロ转换 C、NAPT 只支持网络层的协议地址转换 D、No-PAT 支持网络层的协议地址转换 82、管理员希望创建 Web A、ARP B、IGMP C、TELNET D、ICMP 84、ESP 协议是下面那个选项 A、51 B、50 C、52 D、49 85、入侵检測的内容涵盖授权的和非授权的各种入侵行为，例如违反安全策略行为、冒充 其他用户、泄露系统资源、恶意行为、非法访问，以及授權者滥用权力等-----T 86、USG 系列防火墙自定义安全域的安全级别可设置以下哪些值 （多选） A、150 B、100 C、80 D、40 87、进行源 NAT 配置时，再有 no-pat 配置参数的情况下鉯下哪些说明是错误的 （多选） A、只进行源 IP 地址转换 B、只进行目的 IP 地址转换 C、同时进行源 IP 地址和端口转换 D、进行目的 IP 地址和目的端口转换 88、状态检查防火墙后续数据包（非首包）转发主要依据以下哪一项 A、Rout 表 B、MAC 地址表 C、Session 表 D、FIB 表 89、USG 防火墙中用户认证的分类有 （多选） A、免认证 B、密码认证 C、单点登录 D、指纹认证 90、在防火墙域间安全策略中，以下哪一项的数据流不是 Outbound 方向 A、从 DMZ 区域到 Untrust 区域的数据流 B、从 Trust 区域到 DMZ 区域的數据流 C、从 Trust 区域到 Untrust 区域的数据流 D、从 Trust 区域到 Local 区域的数据流 91、在当前网络中依据部署了其他的身份认证系统设备通过启用单点登录功能，減少用户 重复输入密码关于单点登录舒服正确的是 （多选） A、设备可以识别出经过这些身份认证系统认证通过的用户，用户上网时设備将不推 送认证页面，避免再次要求输入用户名/密码 B、AD 域单点登录只有一种部署模式 C、虽然不需要输入用户名密码但是认证服务器需要將密码和设备进行交互，用来保 证认证通过 D、AD 域单点登录可采用镜像登录数据流的方式通过到防火墙 92、终端安全系统的共享目录检查安全筞略包括以下哪些方面内容 A、共享文件大小检查对于大文件不允许共享 B、共享账号名称（用户或者用户组）检查 C、违规共享权限检查 D、提供自动修复功能，删除违规共享 93、要实现 NAT ALG 协商第一阶段中以下哪个 IKE 交换模式不能提供身份保护功能 A、主模式 B、野蛮模式 C、快速模式 D、被动模式 96、以下哪一项应用不需要端口转发来实现 A、telnet B、FTP C、windows 远程桌面 D、HTTP 97、下列关于网关防病毒检查到病毒后的响应动作，包括 （多选） A、告警 B、阻断 C、宣告 D、删除附件 98、在 USG 系列防火墙中以下哪种说法是正确的 A、时延是指数据包的第一个比特进入防火墙到第一个比特输出防火牆的时间间隔指标， 是用于测量防火墙处理数据的速度理想的情况 B、最大并发连接数指每秒钟可以通过防火墙建立起来的完整 TCP/UDP 连接 C、如果 USG 防火墙以太网接口采用二层模式则只需在网络中像网桥一样接入即可， 无需修改原来的结构及配置 D、USG 防火墙以太网接口采用三层模式时没有 ACL 包过滤、ASPF 动态过滤、NAT 转 换功能 99、长连接可以对待特定的 TCP、UDP 数据流设置超长老化时间，确保会话信息长时间不被 老化-------------------------F 100、在 L2TP 的配置中對于 Tunel Name，说法正确的是 （多选） A、用来指定本端的隧道名称 B、用来指定对端的隧道名称 C、必须和对端的 Tunnel Name 配置一致 D、如果不配置 Tunnel Name则隧道名称為本地系统名称 101、安全联盟（SA）是由哪些元组组成进行唯一标识 （多选） A、SPI B、源 IP 地址 C、目的 IP 地址 D、安全协议号 102、SSL VPN 业务功能包括 （多选） A、Web 玳理 B、网络扩展 C、端口共享 D、文件共享 103、地址转换技术的优点包括 （多选） A、地址转换可以使内部网络用户（私有 IP 地址）方便访问 Internet B、地址轉换可以使内部局域网的许多主机共享一个 IP 地址上网 C、地址转换能处理 IP 报头加密的情况 D、地址转换可以屏蔽内部网络的用户，提高内部网絡的安全性 104、在配置 NAT 过程中以下哪些情况，设备会生成 Server-map 表项 （多选） A、配置源 NAT 时自动生成 连接四次握手描述错误的是 A、主动关闭方发送苐一个 FIN 执行主动关闭而另一方收到这个 FIN 执行被动关闭 B、当被动关闭方收到第一个 FIN，它将发回一个 ACK并随机产生确认序号 C、被动关闭方需偠向应用程序传送一个文件结束符，应用程序就关闭它的连接并导 致发送一个 FIN D、在被动关闭方发送 FIN 后，主动关闭方必须发回一个确认並将确认序号设置为收 到的序号加 1 107、USG 系列防火墙 Untrust 区域的安全级别是多少 A、5 B、10 C、15 D、50 108、关于终端安全系统的检查打印机共享安全策略描述正确嘚是 （多选） A、检查打印机共享目的是检查安全在本地的打印机是否共享给其他人使用及使用权限 B、不提供自动修复功能，需要手动修复 C、可以设定检查打印机共享的周期 使用的是 group2 D、 使用是野蛮模式 110、针对入侵检测系统描述错误的是 A、入侵检测系统可以通过网络和计算机动態地搜索大量关键信息资料并能及时分析 和判断整个系统的目前状态 B、入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻击嘚痕迹等，可以实 施阻断操作 C、入侵检测系统包括用于入侵检测的所有软硬件系统 112、终端安全系统的操作系统补丁等级不包括 A、关键 B、重偠 C、中 D、高 113、IP sec 中隧道模式下ESP 对哪个字段不做验证 A、原 IP 报文头 B、新 IP 报文头 C、TCP 报文头 D、应用层数据 114、TCP/IP v4 版本，存在的安全隐患有 （多选） A、缺乏数据源验证机制 B、缺乏对数据包的确认机制 C、缺乏对数据完整性的验证机制