1、客戶端A和服務器B之間建立TCP連接，再三次握手中，B往A發送的SYN+ACK

(seq=b,ack=a+l),下列說法對的的有:

A、該數據包是對序號b的SYN數據包進行確認

B、該數據包是對序號a+1的SYN數據包進行確認

C、B下一個希望收到的ACK數據包的序號為b

D、B下一個希望收到的ACK數據包的序號為a+1

2、rulepermitipsource51表達的地址范圍是:

A、-55

B、2-3

C、1-4

D、2-4

3、下列關于防火墻分片緩存功能，說法對的的有：(多選)

A、配置分片報文直接轉發功能后，防火墻不對分片報文進行緩存

B、配置分片報文直接轉發功能后，對于不是首片報文的分片報文，防火墻將根據

域間包過濾策略進行轉發

C、分片報文也會創建會話表，轉發時也會查找會話表

D、分片報文的非首片報文，由于沒有端標語，所以分片報文直接轉發功能一般不

能用在NAT環境

4、下面哪個選項不屬于UTM(UnifiedTreatManagement)的功能？

A、IPS入侵防御

B、上網行為

C、終端安全管理

D、AV網關防病毒

5、終端安全系統重要由以下哪些組件組成：(多選)

A、防病毒服務器

B、SC控制服務器

C、準入控制設備

D、SM管理服務轉

6、對稱加密算法的加密秘鑰和解密秘鑰均相同，非對稱加密算法的加密秘鑰和解密秘鑰均

不相同。Ipsec在業務數據加解密時使用的是對稱加密算法。-----T(true)

7、華為USG防火墻VRRPHELLO報文為組播報文，所以規定備份組中的各路由器必須可以

實現直接的二層互通。----------T(true)

8、在ARP地址解析時，ARPREPLY報文采用廣播的方式發送，同?個二層網絡上主機都可

以收到，并據此學習到IP和MAC地址相應關系。........F(FALSE)

9、USG狀態檢測防火墻查看Session信息如下：

<USG>displayfirewallsessiontableverbose

Currenttotalsessions:!

IcmpVPN:public->public

Zone:trust->untrustSlot:8CPU:0TTL:00:00:20Left:00:00:19

Interface:GigabiEthernet即QNexthop:0

<-packets:134bytes:8040->packets:134bytes:804000:1280->

00:2048

根據上面的信息下面說法對的的是：(多選)

A、Trust區域中主機00正在訪問或者曾經訪問Untrust00

B、該報文時VPN報文

C、后續到達防火墻的報文，需要匹配會話表和防火墻安全策略

D、正向流量的出接II是GigabitEthernet^O/3

10>CA(CertificateAuthority)證書用于SSL通信連接建立時,驗證虛擬網關用戶的身份,

保存于設備側，由CA機構頒發。-----------T

11、通過displayikesa看到的結果如下，說法對的的是?(多選)

Currentikesanumber1

Connection-idpeervpnflagphasedoi

Oxlfl

ORDISTvl:1IPSEC0x6043dc4

Flagmeaning

RD—READYST—STAYALIVERL-REPLACEDFD-FADINGTO-TIMEOUT

A、第一階段ikesa已經成功建立

B、第二階段ipsecsa已經成功建立

C、Ike使川的版本是vl

D、Ike使用的版本是v2

12、關于L2Tp消息，說法錯誤的為：

A、L2Tp依附于P叩進行賬戶認證

B、控制消息只能用于隧道與會話連接的建立，維護以及傳輸控制

C、數據消息只能用于封裝PPP幀并在隧道上傳輸

D、控制消息和數據消息都可以提供流量控制和刷塞控制功能

13、以下哪種襲擊不屬于網絡層襲擊？

A、IP欺騙襲擊

B、Smurf襲擊

C、ARP欺騙襲擊

D、ICMP襲擊

14.VRRP(VirtualRouterRedundancyProtocol)中，主路由器定期向備份路由器發送通告

報文(HELLO),備份路由器則只負責監聽通告報文，不會進行回應。一一T

15、使用NAT技術，只可以對數據報文中的網絡層信息(IP地址)進行轉換。…F

16>ASPF(ApplicationSpecificPacketFilter)是一種基于應用層的包過濾，它檢查應用層協

議信息并且監控連接的應用層協議狀態。ASPF通過ServerMap表實現了特殊的安全機制關

fASPF和Servermap表說法對的的是？

A、ASPF監視通信過程中的報文

B、ASPF動態創建和刪除過濾規則

C、ASPF通過Servermap表實現動態允許多通道協議數據通過

D、五元組Servermap表項實現了和會話表類似的功能

17、上網用戶管理的轉發流程中，上網用戶認證只能發生在首包流程中，一旦用戶通過認

證，設備建立session表，后續報文不需要反復進行用戶認證。------T

18、襲擊者通過發送ICMP應答請求，并將請求包的目的地址設為受害網絡的廣播地址。

這種行為屬于哪一種襲擊？

A、IP欺騙襲擊

B、Smurf襲擊

C、ICMP重定向襲擊

D、SYNflood襲擊

19、以下哪個選項不屬于AES的秘鑰長度？

A、64

B、128

C、192

D、256

20、基于會話的狀態監測防火墻對于首包和后續包有不同的解決流程，下面描述對的的

是：（多選）

A、報文到達防火墻，會查找會話表，假如沒有匹配，防火墻進行首包解決流程

B、報文到達防火墻，會查找會話表，假如匹配防火墻進行后續包解決流程

C、在狀態檢查機制打開的情況下，防火墻處TCP報文時候，只有SYN報文才干建

立會話

D、在狀態檢查機制打開的情況下，后續和他需要進行安全策略檢查

21、AH協議號是下面那個選項？

A、51

B、SO

C、52

D、49

22、AAA包含以下哪幾項：（多選）

A、Authentication認證

B、Authentication授權

C、Accounting計費

D、Audit審計

23、安全聯盟由三元組唯一標記，以下哪一項不屬于安全聯盟的三元組？

A、安全協議號

B、源IP地址

C、目的IP地址

D、安全參數索引

24、一般的公司或組織中有時會存在這樣一類用戶，他們不是該公司員工，只是臨時到訪

該公司，需要借用該公司網絡上網，他們沒有屬于自己的賬號，無法進行認證，但設備要

對他們的網絡權限進行控制。對于這類用戶，支持自動為其創建相應的臨M用戶，井使用

IP地址作為該用戶的用戶名。管理員在規劃用戶管理時，一般將這類用戶認證劃分為：

A、免認證

B、單點認證

C、密碼認證

D、臨時認證

25、HRP會話快速備份時將主用設備相應的狀態信息表項快速備份到備用設備，使返網報

文在備用設備上可以查找到相應的狀態信息表項，從而保證內外部用戶的業務不中斷?！璗

26、配置源NAT策略時，目的區域的配置可以用配置流量出接口信息來取代。--T

27、防火墻IPS協議辨認功能對基于非標準端口的服務進行辨認，解決了使用非標準端口

的應用服務報文的漏報和誤報問題。-.....T

28、防火墻配置防病毒功能選擇過濾協議涉及以下哪幾項：（多選）

A、文獻傳輸協議

B、郵件協議

C、安全協議

D、共享協議

29、終端安全系統支持藍牙、SD卡等計算機外設的監控功能，并支持配置嚴禁外部設備。

T

30、在USG產品的web配置界面中，在配置虛擬IP地址池時，虛擬IP地址范圍內的IP地

址可認為虛擬網關或接口的IP地址，也可認為內網存在的IP地址。F

32、防火墻雙機熱備配置中，HRP必須配置涉及：（多選）

A、啟用HRP備份功能hrpenable

B、啟用會話快速備份hrpmirrorsessionenable

C、指定心跳口hrpinterfaceinterface-typeinterface-number

D、搶占延遲時間hrppreempt[delayinterval]

33、如何查看安全策略的匹配次數：

A、displayfirewallsessiontable

B、displaysecuritypolicyall

C、displaysecuritypolicycount

D、countsecuritypolicyhit

34、ESP報文在哪種封裝模式下，可以實現對原IP頭數據的機密性：

A、傳輸模式

B、隧道模式

C、傳輸模式+隧道模式

D、加密模式

35、在IPSecVPN配置中假如使用pre-shared方式驗證,可以選擇是否為對端配置秘鑰，

兩邊的秘鑰必須一致F

36、關于終端安全系統的部署方式描述錯誤的是：

A、集中部署方式的重要特點是可以根據管理終端數目的多少，選擇SM、SC、數

據庫等組件來安裝在同一臺服務器上

B、終端相對集中在幾個區域，并且區域之間的帶寬比較小，建議采用分布式組網

C、終端規模相稱大時，可以考慮使用集中式部署組網，避免大量撞斷訪問終端服

務器，占用大量的網絡帶寬

D、分布式部署時，終端安全安全代理選擇就近的控制服務器SC,獲得身份認證和

準入控制等各項業務

37、終端安全體系的五大要素不涉及以下哪一項：

A、身份認證

B、業務隔離

C、安全認證

D、業務授權

38、某公司在部署網絡邊界防火墻時，配置了NATServer源NAT,OSPF路由和相關安全策

略，數據到達該防火墻時，防火墻的解決順序為：

A、OSPF路由一>安全策略-->源NAT->NATServer

B、安全策略-。源NAT->NATServer-->OSPF路由器

C、源NAT->OSPF路由一》安全策略一〉NATserver

D、NATServer->OSPF路由安全策略一〉源NAT

39、以下哪個問題可以運用IPsec-IKE野蠻模式進行解決：（多選）

A、隧道兩端協商慢的問題

B、協商過程中的安全性問題

C、NAT穿越問題

D、發起者源地址不擬定問題

40、配置防火墻安全區域的安全級別時，描述錯誤的是：

A、新建的安全區域，系統默認其安全級別為1

B、只能為自定義的安全區域設定安全級別

C、安全級別一旦設定，不允許更改

D、同一系統中，兩個安全區域不允許配置相同的安全級別

41、關于NAT的說法對的的是：

A、帶端II轉換的NAT可以通過配置NAT地址池來實現

B、NAT兼容目前所有的IPsec安全協議

C、由于FTP協議是多通道協議，所以不支持NAT

D、NAT支持TCP/IP二、三、四層進行轉換

42、查看防火墻的HRP狀態信息如下：

HRP_S[USG_B]displayhrpstate

Thefirewall'sconfigstateis:Standby

Currentstateofvirtualroutersconfiguredasstandby

GigabitEthernetl/3/0vridl:standby

GigabitEthernetW/1vrid2:standby

以下描述對的的是：

A、此防火墻VGMP組狀態為Active

B、此防火墻G1A0和GW/1接口的VRRP組狀態為standby

C、此防火墻的HRP心跳線接口為GMW和GMV1

D、此防火墻一定是出于搶占狀態

43、防火墻IPS策略的署名過濾器之間存在優先關系，在同一條IPS策略中，編號小的署名

過濾器比編號大的著名過濾器的優先級高........F

44、狀態檢測防火墻使用會話表來追蹤激活的TCP會話和UDP會話，由防火墻安全策略決

定建立哪些會話，數據包只有與會話相關聯時才會被轉發一…-T

45、關于NAT配置中“easyIP”的說法,下列描述對的的是:

A、easyIP不能再pat場景下

B、配置NAT策略直接轉換成出接口IP地址

C、easyip用于目的地址轉換的場景

D^easyip可以與address-group同時使用

46、ASPF技術使得防火墻可以支持如FTP等多通道協議，同時還可以對■復:雜的應用制訂相

應的安全策略------------------T

47、反掩碼和子網掩碼格式相似，但取值含義不同，在反掩碼中，1表達相應的IP地址位

需要比較，。表達相應的IP地址位忽略比較-------------------F

48、下面關于SSL握手協議各階段中的內容描述哪個是錯誤的？

A、客戶端發送client_Hello消息，服務器端回應Server_Hello消息

B、服務器端發送ServejHell。便等待客戶端發送的消息

C、服務器端收到服務器發送的一系列消息并消化后，發送ClientKeyExchange等消

息給服務器

D、客戶端和服務器各自發送ChangeCipherSpec和finished消息給對方

49、在USG系列防火墻Trust區域視圖下配置addinterfaceGigabitEthernetO/0/l后,

GigabitEthernetO/D/l不在屬于Local區域。..............F

50、適合出差人員在公網環境下接入公司內網的VPN方式有：（多選）

A、GREVPN

B、L2TPVPN

C、SSLVPN

D、L2TPoverIpsec

51、入侵防御系統技術特點涉及：（多選）

A、在線模擬

B、實時阻斷

C、自學習及自適應

D、直路部署

52、SVN產品網絡擴展功能中，需要實現用戶只可以訪問遠端公司文內網，不能訪問本地

局域網和Internet,需要使用的客戶端路由方式為:

A、全路由模式(FullTunnel)

B、分離模式(SplitTunnel)

C、路由模式(RouteTunnel)

D、手動模式(ManualTunnel)

53、Web重定向密碼認證功能，只有用戶進行目的端口是80的HTTP業務訪問時，系統才

支持“重定向”到認證頁面，進行會話認證。-----------------F

54、針對MAC地址欺騙襲擊的描述錯誤的是：

A、MAC地址欺騙襲擊重要運用了互換機Mac地址學習機制

B、襲擊者可以通過偽造的源Mac地址數據幀發送給互換機來實行MAC地址欺騙

襲擊

C、MAC地址欺騙襲擊會導致互換機學習到錯誤的MAC地址與IP地址的映射關系

D、MAC地址欺騙襲擊會導致互換機要發送到有的目的地址的數據被發送給了襲擊

者

55＞在GRE配置環境下，Tunnel接口模式下,Destination地址一般是指:

A、本Tunnel接口IP地址

B、本端外網出口IP地址

C、對端外網接口IP地址

D、對Tunnel接口IP地址

56、SSLVPN可以通過如下哪些方式對用戶進行訪問權限控制：(多選)

A、IP

B、MAC

C、PORT

D、URL

57、在USG系列防火墻中，使用非知名端口提供知名應用服務器時，可采用以下哪種技

術:

A、端口映射

B、MAC與IP地址綁定

C、包過濾

D、長連接

58、以下哪個選項不屬于AH可以實現的特性？

A、抗防重放

B、數據源認證

C、機密性

D、數據完整性檢查

59、比較典型的遠端認證方式有：(多選)

A、RADIUS

B、Local

C、HWTACACS

D、LLDP

60、以下哪個選項不屬于內網安全威脅？

A、存儲介質濫用

B、信息資產泄密

C、未授權訪問

D、間諜軟件

61、IKE協議可認為Ipsec提供自動協商互換秘鑰、建立安全聯盟的服務器，以簡化Ipsec

的使用和管理...........................T

62、防火墻網關防病毒響應方式涉及告警和阻斷，其中告警方式設備只產生日記，不對

HTTP協議傳輸的文獻進行解決就發送出去，阻斷方式設備斷開與HTTP服務器的連接并阻

斷文獻，向客戶推送WEB頁面并產生日記------------------T

63、HRP(HuaweiRedundancyProtocol)協議，用來將主防火墻關鍵配置和連接狀態等數

據向備防火堵上同步，以下哪個選項不屬于同步的范圍?

A、安全策略

B、NAT策略

C、黑名單

D、IPS著名集

64、積極襲擊最大特點是對信息進行偵聽，以獲取機密信息，而對數據的擁有者或合法用

戶來說對此類活動無法得知----------------------F

65、以下哪個選項屬于非對稱加密算法？

A、RC4

B、3DES

C、AES

D、DH

66、如下安全策略的命令，代表的含義是：

#

Security-policy

Rulenamerulel

Source-zonetrust

Destination-zoneuntrust

Source-address55

Serviceicmp

Actiondeny

#

A、嚴禁從trust區域訪問untrust區域且目的地址為0主機的ICMP報文

B、嚴禁從trust區域訪問untrust區域且目的地址為/16網段的所有主機ICMP

報文

C、嚴禁從trust區域訪問untrust區域且源地址為/16網段的所有主機ICN1P報

文

D、嚴禁從trust區域訪問untrust區域且源地址為0主機來的所有主機ICMP

報文

67、防火墻配置了IPS策略后，需要把該策略應用到域內或域間后IPS功能才生效。一T

68、配置防火墻域間安全策略時，假如把192.168O0A4網段設立為匹配對象，則以下配

置對的的是：（多選）

A、rulenamepolicy1source-addressmask

B、rulenamepolicy1source-address

C、rulenamepolicy1source-addressmask55

D、rulenamepolicy1source-address55

69、非對稱算法比時稱算法加密強度更強，由于非對稱算法秘鑰長度更長……F

70、在USG防火墻用戶管理功能中Web重定向密碼認證功能，用戶不積極進行認證，進

行業務訪問，設備推送“重定向”到認證頁面........-...............T

71、包過濾防火墻的重要特點涉及：（多選）

A、隨著ACL復雜度和長度的增長，防火墻過濾性能呈指數卜.降趨勢

B、靜態的ACL規則難以使用動態的安全過渡規定

C、不檢查會話狀態也不分析數據，這很容易讓黑客蒙混過關

D、可以完全控制網絡信息的互換，控制會話過程，具有較高的安全性

72、在防火墻轉發流程中，會先進行安全配置文獻的比對，在進行安全策略的檢查----F

73、以下哪些SSLVPN業務功能會使用到控件：（多選）

A、Web改寫

B、文獻共享

C、端口轉發

D、網絡擴展

74、SSLVPN中文獻共享應用在使用過程需輸入用戶名、密碼和域信息，為了不想輸入用戶

名密碼，可以在文獻共享服務器上設立權限---------------T

75、AH可以提供以下哪些安全功能：（多選）

A、數據源驗證

B、數據機密性

C、數據完整性校驗

D、抗重放

76、下列關于終端安全功能區域說法錯誤的是：

A、認證前域是指客戶端通過身份認證前所能訪問的區域

B、認證后域是指客戶端通過安全認證后所能訪問的區域

C、隔離域是指客戶端通過身份認證后所必須訪問的區域

D、隔離域是指客戶端安全認證失敗時所需訪問的區域

77、安全接入控制網關（SecurityAccessControlGateway,簡稱SACG）的重要功能是控制

終端的網絡訪問權限，對不同的用戶和不同安全狀況的用戶開放不同的權限---------T

78、終端安全準入控制可以支持以下哪些：（多選）

A、硬件SACG（硬件安全接入控制網關）

B、802.1X

C、ARP控制

D、軟件5ACG（土機防火墻）

79、USG防火墻支持的NAT功能涉及：（多選）

A、可以指定同一地址池中某一部分地址進行端口轉換，另一部分地址不進行端口

轉換

B、基于H的地址轉換的NATServer

C、基于源地址轉換的NATServer

D、配置源NAT時，可直接使用出接口地址作為轉換后的地址

80、TCP/IP協議棧數據包封裝涉及以卜.部分，封裝順序對的的是：

1、DATA

2、TCP/UDP

3、MAC

4、IP

5、APP

A、l->5->4->2->3

B、l->4->2->3->5

C、l->5->2->4->3

D、l->5->2->3->4

81、網絡地址端口轉換(NAPT)與僅轉換網絡地址(NG-PAT)有什么區別：

A、通過NAPT轉換后，對于外網用戶，所有報文都來自同一個IP地址或某幾個IP

地址

B、No-PAT只支持傳輸層的協議端口轉換

C、NAPT只支持網絡層的協議地址轉換

D、No-PAT支持網絡層的協議地址轉換

82、管理員希望創建Web配置管理員，并設Https設備管理端標語為20230,且設立管理

員為管理員級別，下面命令對的的是：

A、Step1：web-managersecurityenableport20230

Step2：AAAView[USG]aaa

(USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]level15

[USG-aaa-manager-client001]passwordcipherAdmin@123

B、Step1：web-managersecurityenableport20230

Step2：AAAView[USGjaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]passwordcipherAdmin(g)123

C、Step1：web-managersecurityenableport20230

Step2：AAAView[USGJaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]passwordcipher

D、Step1：web-managersecurityenableport20230

Step2：AAAView[USGJaaa

[USG-aaa]manager-user-client001

[USG-aaa-manager-client001]service-typeweb

[USG-aaa-manager-client001]level1

[USG-aaa-manager-client001]passwordcipherAdmin@123

83、下列TCP/IP協議棧中的協議，工作在應用層的有:

A、ARP

B、IGMP

C、TELNET

D、ICMP

84、ESP協議是下面那個選項？

A、51

B、50

C、52

D、49

8S、入侵檢測的內容涵蓋授權的和非授權的各種入侵行為，例如，違反安全策略行為、冒

充其他用戶、泄露系統資源、惡意行為、非法訪問，以及授權者濫用權力等。--T

86、USG系列防火墻自定義安全域的安全級別可設立以下哪些值：（多選）

A、150

B、100

C、80

D、40

87、進行源NAT配置時，再有no-pat配置參數的情況下，以下哪些說明是錯誤的：（多

選）

A、只進行源IP地址轉換

B、只進行目的IP地址轉換

C、同時進行源IP地址和端口轉換

D、進行目的IP地址和目的端口轉換

88、狀態檢查防火墻后續數據包（非首包）轉發重要依據以下哪一項：

A、Rout表

B、MAC地址表

C、Session表

D、FIB表

89、USG防火墻中用戶認證的分類有：（多選）

A、免認證

B、密碼認證

C、單點登錄

D、指紋認證

90、在防火墻域間安全策略中，以下哪一項的數據流不是Outbound方向：

A、從DMZ區域到Untrust區域的數據流

B、從Trust區域到DMZ區域的數據流

C、從Trust區域到Untrust區域的數據流

D、從Trust區域到Local區域的數據流

91、在當前網絡中依據部署了其他的身份認證系統，設備通過啟用單點登錄功能，減少用

戶反復輸入密碼。關于單點登錄舒適對的的是：（多選）

A、設備可以辨認出通過這些身份認證系統認證通過的用戶，用戶上網時，設備將

不推送認證頁面，避免再次規定輸入用戶名/密碼

B、AD域單點登錄只有一種部署模式

C、雖然不需要輸入用戶名密碼，但是認證服務器需要將密碼和設備進行交互，用

來保證認證通過

D、AD域單點登錄可采用鏡像登錄數據流的方式通過到防火墻

92、終端安全系統的共享目錄檢查安全策略涉及以下哪些方面內容：

A、共享文獻大小檢查，對于大文獻不允許共享

B、共享賬號名稱（用戶或者用戶組）檢查

C、違規共享權限檢查

D、提供自動修復功能，刪除違規共享

93、要實現NATALG功能，以下哪項配置是對的的：

A、natalgprotocl

B、algprotocl

C、natprotocl

D、detectprotocl

94、對于防火墻域間轉發的訪問控制流程：

1、查找路由表

2、查找域間包過濾規則

3、查找會話表

4、查找黑名單

對的的順序為：

As1-3-2-4

B、3-2-1-4

C、3-4-1-2

D、4-3-1-2

95、在IKEvl協商第一階段中，以下哪個IKE互換模式不能提供身份保護功能：

A、主模式

B、野蠻模式

C、快速模式

D、被動模式

96＞以下哪一項應用不需要端口轉發來實現？

A、telnet

B、FTP

C、windows遠程桌面

D、HTTP

97、下列關于網關防病毒檢查到病毒后的響應動作，涉及：（多選）

A、告警

B、阻斷

C、宣告

D、刪除附件

98、在USG系列防火墻中，以下哪種說法是對的的：

A、時延是指數據包的第一個比特進入防火墻到第一個比特輸出防火墻的時間間隔

指標，是用于測量防火墻解決數據的速度抱負的情況

B、最大并發連接數指每秒鐘可以通過防火墻建立起來的完整TCP/UDP連接

C、假如USG防火墻以太網接口采用二層模式，則只需在網絡中像網橋同樣接入即

可，無需修改本來的結構及配置

D、USG防火墻以太網接口采用三層模式時，沒有ACL包過濾、ASPF動態過濾、

NAT轉換功能

99、長連接可以對待特定的TCP、UDP數據流設立超長老化時間，保證會話信息長時間不

被老化----------------F

100＞在L2Tp的配置中，對于TunelName,說法對的的是：（多選）

A、用來指定本端的隧道名稱

B、用來指定對端的隧道名稱

C、必須和對端的TunnelName配置一致

D、假如不配置TunnelName,則隧道名稱為本地系統名稱

101.安全聯盟（SA）是由哪些元組組成進行唯一標記：（多選）

A、SPI

B、源IP地址

C、目的IP地址

D、安全協議號

102、SSLVPN業務功能涉及：（多選）

A、Web代理

B、網絡擴展

C、端口共享

D、文獻共享

103、地址轉換技術的優點涉及：（多選）

A、地址轉換可以使內部網絡用戶（私有IP地址）方便訪問Internet

B、地址轉換可以使內部局域網的許多主機共享一個IP地址上網

C、地址轉換能解決IP報頭加密的情況

D、地址轉換可以屏蔽內部網絡的用戶，提高內部網絡的安全性

104、在配置NAT過程中，以下哪些情況，設備會生成Server-map表項：（多選）

A、配置源NAT時自動生成server-map表項

B、配置NATserver成功后，設備會自動生成靜態server-map表項

C、配置easy-ip時會生成server-map

D、配置NATNo-pat后，設備會為所配置的多通道協議數據流建立server-表項

105、卜.面哪個選項不屬于終端安全系統區域？

A、認證前域

B、認證后域

C、安全域

D、隔離域

106.關于斷開TCP連接四次握手描述錯誤的是：

A、積極關閉方發送第一個FIN執行積極關閉，而另一方收到這個FIN執行被動關

閉

B、當被動關閉方收到第一個FIN,它將發回一個ACK,并隨機產生確認序號

C、被動關閉方需要向應用程序傳送一個文獻結束符，應用程序就關閉它的連接，

并導致發送?個FIN

D、在被動關閉方發送FIN后，積極關閉方必須發回一個確認，并將確認序號設立

為收到的序號加1

107>USG系列防火墻Untrust區域的安全級別是多少：

A、5

B、10

C、15

D、50

108、關于終端安全系統的檢查打印機共享安全策略描述對的的是：（多選）

A、檢查打印機共享目的是檢直安全在本地的打印機是否共享給其別人使用及使用

權限

B、不提供自動修復功能，需要手動修復

C、可以設定檢查打印機共享的周期

D、檢查的內容涉及是否啟動打印機共享、打印權限共享給哪些賬號、打印機共享

的權限

109、通過displayikeproposal命令看到的結果如下，以下說法對的的是？（多選）

PriorityauthenticationauthenticationencryptionDiffie-Hellmanduration

Methodalgorithmalgorithmgroup

（seconds）

DefaultPRESHAREDSHADESCBCMODP768

86400

A、認證算法是SHA

B、加密算法是DES

C、DHgroup使用的是group2

D、使用是野蠻模式

110、針對入侵檢測系統描述錯誤的是：

A、入侵檢測系統可以通過網絡和計算機動態地搜索大量關鍵信息資料，并能及時

分析和判斷整個系統的FI前狀態

B、入侵檢測系統一旦發現有違反安全策略的行為或系統存在被襲擊的痕跡等，可

以實行阻斷操作

C、入侵檢測系統涉及用于入侵檢測的所有軟硬件系統

D、入侵檢測系統可與防火墻、互換機進行聯動，成為防火墻的得力“助手”，更

好、更精確的控制外域間地訪問

111、如圖所示，防火墻上配置了natserverglobalinside10.10.1.1,以下針對域

間規則，配置對的的是：

A、security-policy

rulenamea

source-zoneuntrust

destination-zonetrust

source-address32

actionpermit

B、rulenameb

source-zoneuntrust

destination-zonetrust

source-address32

actionpermit

C、rulenamec

source-zoneuntrust

destination-zonetrust

destination-address32

actionpermit

D、rulenamed

source-zoneuntrust

destination-zonetrust

destination-address32

actionpermit

112、終端安全系統的操作系統補丁等級不涉及：

A、關鍵

B、重要

C、中

D、局

113、IPsec中隧道模式下，ESP對哪個字段不做驗證:

A、原IP報文頭

B、新IP報文頭

C、TCP報文頭

D、應用層數據

114、TCP/IPv4版本，存在的安全隱患有：（多選）

A、缺少數據源驗證機制

B、缺少對數據包的確認機制

C、缺少對數據完整性的驗證機制

D、缺少機密性保獐機制

115、查詢NAT轉換結果的命令是：

A、displaynattranslation

B、displayfirewallsessiontable

C、displaycurrentnat

D、displayFirewallsnattranslation

116、OSI模型中哪一層可以解決數據格式和數據加密？

A、應用層

B、表達層

CN會話層

D、傳輸層

117、USG產品共享型虛擬網關，可以通過IP,域名兩種方式訪問------F

118、在華為防火墻用戶管理中，提成哪幾種用戶管理（多選）

A、上網用戶管理

B、接入用戶管理

C、管理員用戶管理

D、設備用戶管理

119、SSL與IPS安全協議同樣，提供加密和身份驗證。但是SSL協議只對通信雙方傳輸的

應用數據進行加密，而不是對從一個主機到另一個主機的所有數據進行加密（如TCP/P和

應用層協議）------------------T

120、上網用戶單點登錄功能，用戶直接向AD服務器認證，設備不干涉用戶認證工程，AD

監控服務器需要部署在USG設備中，監控AD服務器的認證信息。F

121.SVN產品網絡擴展功能中，需要實現用戶既可以訪問遠端公司內網和本地局域網，又

能訪問Internet,需要使用的客戶端路由方式為：

A、全路由模式(FullTunnel)

B、分離模式(SplitTunnel)

C、路由模式(routeTunnel)

D、手動模式(ManualTunnel)

122、USG防火墻高級ACL可以通過多個維度進行流量匹配，以下哪個選項不屬于高級ACL

的匹配范圍：

A、源IP

B、目的IP

C、源MAC

D、目的端U

123、在GRE配置環境下，以下哪些說法是對的的：(多選)

A、為使隧道兩端正常轉發數據報文，兩端設備均配置通過Tunnel接II的路由

B、如兩端同事啟用關鍵字驗證配置，則關鍵字需一致

C、本端設備發送數據報文M，通過辨認IP報頭的協議字段值為GRE來決定是否把

數據包遞交給GRE協議模塊進行解決

D、對端設備收到數據報文時，通過辨認IP報頭的協議字段值為GRE來決定是否把

數據包遞交給GRE協議模塊進行解決

124、USG系統防火墻IP-Ink功能重要應用在以下哪些場景：

A、鏈路聚合

B、靜態路由

C、雙機熱備

D、長連接

125、HRPA[USG]displayvrrpinterfaceGigabitEthernetW/l

GigabitEthernel/D/lIVirtualRouter1

VRRPGroup：Active

State：Active

VirtuallP：

VirtualMAC：0000-5e00-0101

PrimaryIP：20238.10.2

PrimaryRun：100

PrimarConfig：100

MasterPriority：100

Preempt：YESDelayTime：10

防火墻上執行命令并顯示以上信息，下述描述對的的是：(多選)

A、此防火墻的VGMP組狀態為Active

B、此防火墻GW/1接I」的虛擬IP地址為

C、此防火墻VRID為1的VRRP備份組的優先級為100

D、當主用設備發生故障時將不會切換

126、防火增雙機熱備配置中啟用允許配置備用設備功能hrpstandbyconfigenable后,所有

可以備份的信息都可以直接在備用設備.卜.進行配置，且備用設備上的配置可以同步到上用

設備。---------T

127、SSL是一個安全協議，為基于TCP的應用層協議提供安全連接，SSL介于TCP/IP協議

棧第四層和第五層之間。SSL可認為HTTP(HypertextTransferProtocol)協議提供安全連接

-T

128.以下屬于加密算法的是：

A、DES

B、3DES

C、SHA-1

D、MD5

129、在IPSECVPN中，隧道模式重要應用在以下哪個場景中:

A、主機與主機之間

B、主機與安全網關之間

C、安全網關之間

D、隧道模式與傳輸模式之間

130、下列關于NAT地址轉換的說法中哪個是錯誤的？

A、地址轉換技術可以有效隱藏局域網內的主機，是一種有效的網絡安全保護技術

B、地址轉換可以按照用戶的需要，在局域網內向提供FTP、WWW、Telnet等服務

C、有些應用層協議在數據中攜帶IP地址信息，對它們作NAT時還要修改上層數據

中的IP地址信息

D、對于某些非TCP、UDP的協議（如ICMP、PPP）,無法做NAT轉換

131、關于USG系列安全防火墻的默認安全區域，下列說法對的的是：

A、默認安全區域可以刪除

B、默認安全區域可以修改安全級別

C、默認安全區域不能刪除，但是可以修改安全級別

D、默認安全區域有4個

132、防火墻所有類型的訪問控制列表都支持對數據包的IP五元組進行訪問控制-----F

133、終端安全系統的操作系統補丁違規等級涉及：（多選）

A、低

B、重要

C、嚴重

D、一般

134、在防火墻做雙機熱備組網時，為實現備份組整體狀態切換，需要使用以下哪個協議技

術：

A、VRRP

B、VGMP

C、HRP

D、OSPF

135.下列哪些地址可以用于USG產品的web管理地址（多選）

A、接口地址

B、子接口地址

C、接口的從IP地址

D、AUX接口地址

136、ACL2999s屬于（）：

A、基本訪問控制列表

B、高級訪問控制列表

C、基于MAC地址訪問控制列表

D、基于時間段訪問控制列表

137、下面關于TCP/IP協議棧數據包解封裝描述對的的是：（多選）

A、數據報文先傳送至數據鏈路層，通過解析后數據鏈路層信息被剝離，并根據解

析信息知道網絡層信息，比如為IP

B、傳輸層（TCP）接受數據報文后，通過解析后傳輸層信息被剝離，并根據解析信

息知道上層解決協議，比如UDP

C、網絡層接受數據報文后，通過解析后網絡層信息被剝離，并根據接卸信息知道

上層解決協議，比如HTTP

D、應用層接受到數據報文后，通過解析后應用層信息被剝離，最終展示的用戶數

據與發送方主機發送的數據完全相同

138.關于上網用戶組管理說法錯誤的是：

A、每個用戶組可以涉及多個用戶和用戶組

B、每個用戶組可以屬于多個父用戶組

C、系統默認有一個default用戶組，該用戶組同時也是系統默認認證域

D、每個用戶組至少屬于一個用戶組，也可以屬于多個用戶組

139、IPsec安全聯盟（SA）是雙向的，通過安全聯盟可實現對兩個方向的數據流進行安全

保護.............................F

140、以下對于AH和ESP的說法偌誤的是：

A、AH可以聽數據完整性校驗和加密

B、隧道模式下，AH對新的IP頭也要驗證，所以AH無法應用在IpsecVPN中間有

nat轉換的情況

C、AH可以提供ESP除了數據加密外的所有功能

D、隧道模式下，ESP報文不對新IP頭做驗證

141、對于防火堵域間安全策略，下列說法對的的是：（多選）

A、ruledisable命令表達禁用這條rule

B、缺省情況下，越先創建的rule優先級越高，越先匹配

C、通過rulemove命令將rule調整位置后，ruleid將做相應的改變

D、一旦匹配到一條rule,就直接按照該rule的定義解決報文，不在繼續往下匹配

142、關于狀態檢測型防火墻，下列描述對的的是：

A、狀態檢測防火墻需要對每個進入防火墻的數據包進行規則匹配

B、由于UDP協議為面向無連接的協議，協議為面向無連接的協議，因此狀態檢測

型防火墻無法對UDP報文進行狀態表的匹配

C、狀態檢測型防火墻對報文進行檢查時，同一連接的前后報文不具有相關性

D、狀態檢測型防火墻只需要對該連接的第一個數據包進行訪問規則的匹配，該連

接的后續報文直接在狀態表中進行匹配

143、USG6000系列防火墻IPsecweb配置不支持以下哪個應用場景：（多選）

A、網關到網關

B、中心網關

C、分支網關

D、主機到主機

144、FTP協議也許用到的端標語有：（多選）

A、20

B、21

C、23

D、80

145、SSL協議包含以下哪幾個協議：（多選）

A、握手協議

B、記錄協議

C、警告協議

D、發現協議

146、命令allowI2tpvirtual-templatevirtual-template-nnber[remoteremote-name]?當12tp

grup為1時，必須制定remote-name參數................F

147、下面關于Client-initialized的L2TPVPN,說法錯誤的是：

A、遠程用戶接入internet后，可通過客戶端軟件直接向遠端的LNS發起L2Tp隧道

連接請求

B、LNS設備接受到用戶L2Tp連接請求，可以根據用戶名、密碼對用戶進行驗證

C、LNS為遠端用戶分派私有IP地址

D、遠端用戶不需要安裝VPN客戶端軟件

148、某些應用如Oracle數據庫應用，因長時間無數據流傳輸，使防火墻會話連接中斷，

從而導致業務中斷，以下哪個技術可以最優地解決這個問題：

A、配置某業務長連接

B、配置默認會話老化時間

C、優化包過濾規則

D、啟動分片緩存

149、卜.面針對VGMP的組管理描述錯誤的是：

A、各備份組的主/備狀態變化都需要告知其所屬的VGMP管理組

B、兩臺防火墻心跳口的接口類型和編號可以不同，只要可以保證二層互通即可

C、主備防火墻的VGMP之間定期發送Hello報文

D、主備設備通過心跳線交互報文了解對方狀態，并且備份相關命令和狀態信息

150.公司內部用戶上網場景如圖所示，用戶上線流程有：

1、認證通過，USG允許建立連接

2、用戶訪問Internet輸入

3、USG推送認證界面，User=?Password=?

4、用戶成功訪問，設備穿件session

5、用戶輸入User=***Password=***

以下對的的流程排序應當：

A、2-5-3-1-4

B、2-3-5-1->1

C、2-1-3-5-4

D、2-3-1-5-4

151、以下哪個用戶系統可直接在USG產品系統.上進行用戶賬戶或密碼等信息的修改：

A、VPNDB用戶

B、LDAP用戶

C、Radius用戶

D、所有用戶系統

152、關于VGMP協議描述錯誤的是：

A、VGMP將同一臺防火墻上的多個VRRP備份組都加入到一個管理組，由管理組統

一管理所有VRRP備份組

B、VGMP通過統一控制各VRRP備份組狀態的切換，來保證管理組內的所有VRRP

備份組狀態都是一致

C、狀態為Active的VGMP組設備會定期向對端發送HELLO報文，Stdandby端只負

責監聽HELLO報文，不會進行回應

D、在缺省情況下當Standby端三個HELLO報文周期沒有收到對端發送的HELLO報

文時，會認為對端出現故隙，從而將自己切換到Active狀態

153、終端安全系統可以實現組織管理和區域管理兩個維度的管理功能。-