HCNA安全题库H12711Word格式文档下载.docx
《HCNA安全题库H12711Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《HCNA安全题库H12711Word格式文档下载.docx(77页珍藏版)》请在冰豆网上搜索。
B、上网行为
C、终端安全管理
D、AV网关防病毒
5、终端安全系统主要由以下哪些组件组成:
A、防病毒服务器
B、SC控制服务器
C、准入控制设备
D、SM管理服务器
6、对称加密算法的加密秘钥和解密秘钥均相同,非对称加密算法的加密秘钥和解密秘钥均
不相同。
Ipsec在业务数据加解密时使用的是对称加密算法。
T(true)
7、华为USG防火墙VRRPHELLO报文为组播报文,所以要求备份组中的各路由器必须
能够实现直接的二层互通。
8、在ARP地址解析时,ARPREPLY报文采用广播的方式发送,同一个二层网络上主机都
能够收到,并据此学习到IP和MAC地址对应关系。
F(FALSE)
9、USG状态检测防火墙查看Session信息如下:
<
USG>
displayfirewallsessiontableverbose
Currenttotalsessions:
1
IcmpVPN:
public-->
public
Zone:
trust-->
untrustSlot:
8CPU:
0TTL:
00:
00:
20Left:
19
Interface:
GigabiEthernet6/0/0Nexthop:
107.255.255.10
--packets:
134bytes:
8040-->
packets:
8040
107.229.15.100:
1280-->
107.228.10.100:
2048
根据上面的信息下面说法正确的是:
A、Trust区域中主机107.229.15.100正在访问或者曾经访问Untrust107.228.10.100
B、该报文时VPN报文
C、后续到达防火墙的报文,需要匹配会话表和防火墙安全策略
D、正向流量的出接口是GigabitEthernet6/0/0
10、CA(CertificateAuthority)证书用于SSL通信连接建立时,验证虚拟网关用户的身
份,保存于设备侧,由CA机构颁发。
T
11、通过displayikesa看到的结果如下,说法正确的是?
(多选)
Currentikesanumber1
Connection-idpeervpnflagphasedoi
0x1f1
2.2.2.10RDISTv1:
1IPSEC0x6043dc4
Flagmeaning
RD—READYST—STAYALIVERL-REPLACEDFD-FADINGTO-TIMEOUT
A、第一阶段ikesa已经成功建立
B、第二阶段ipsecsa已经成功建立
C、Ike使用的版本是v1
D、Ike使用的版本是v2
12、关于L2TP消息,说法错误的为:
A、L2TP依附于PPP进行账户认证
B、控制消息只能用于隧道与会话连接的建立,维护以及传输控制
C、数据消息只能用于封装PPP帧并在隧道上传输
D、控制消息和数据消息都可以提供流量控制和拥塞控制功能
13、以下哪种攻击不属于网络层攻击?
A、IP欺骗攻击
B、Smurf攻击
C、ARP欺骗攻击
D、ICMP攻击
14、VRRP(VirtualRouterRedundancyProtocol)中,主路由器定期向备份路由器发
送通告报文(HELLO),备份路由器则只负责监听通告报文,不会进行回应。
15、使用NAT技术,只可以对数据报文中的网络层信息(IP地址)进行转换。
---F
16、ASPF(ApplicationSpecificPacketFilter)是一种基于应用层的包过滤,它检查应用层协议信息并且监控连接的应用层协议状态。
ASPF通过ServerMap表实现了特殊的安全机制关于ASPF和Servermap表说法正确的是?
A、ASPF监视通信过程中的报文
B、ASPF动态创建和删除过滤规则
C、ASPF通过Servermap表实现动态允许多通道协议数据通过
D、五元组Servermap表项实现了和会话表类似的功能
17、上网用户管理的转发流程中,上网用户认证只能发生在首包流程中,一旦用户通过认
证,设备建立session表,后续报文不需要重复进行用户认证。
-T
18、攻击者通过发送ICMP应答请求,并将请求包的目的地址设为受害网络的广播地址。
这种行为属于哪一种攻击?
A、IP欺骗攻击
B、Smurf攻击
C、ICMP重定向攻击
D、SYNflood攻击
19、以下哪个选项不属于AES的秘钥长度?
A、64
B、128
C、192
D、256
20、基于会话的状态监测防火墙对于首包和后续包有不同的处理流程,下面描述正确的是:
A、报文到达防火墙,会查找会话表,如果没有匹配,防火墙进行首包处理流程
B、报文到达防火墙,会查找会话表,如果匹配防火墙进行后续包处理流程
C、在状态检查机制打开的情况下,防火墙处TCP报文时候,只有SYN报文才能建立会话
D、在状态检查机制打开的情况下,后续和他需要进行安全策略检查
21、AH协议号是下面那个选项?
A、51
B、50
C、52
D、49
22、AAA包含以下哪几项:
A、Authentication认证
B、Authentication授权
C、Accounting计费
D、Audit审计
23、安全联盟由三元组唯一标识,以下哪一项不属于安全联盟的三元组?
A、安全协议号
B、源IP地址
C、目的IP地址
D、安全参数索引
24、一般的公司或组织中有时会存在这样一类用户,他们不是该公司员工,只是临时到访
该公司,需要借用该公司网络上网,他们没有属于自己的账号,无法进行认证,但设备要对他们的网络权限进行控制。
对于这类用户,支持自动为其创建对应的临时用户,并使用IP
地址作为该用户的用户名。
管理员在规划用户管理时,一般将这类用户认证划分为:
A、免认证
B、单点认证
C、密码认证
D、临时认证
25、HRP会话快速备份时将主用设备相应的状态信息表项快速备份到备用设备,使返回报文在备用设备上能够查找到相应的状态信息表项,从而保证内外部用户的业务不中断。
---T
26、配置源NAT策略时,目的区域的配置可以用配置流量出接口信息来取代。
27、防火墙IPS协议识别功能对基于非标准端口的服务进行识别,解决了使用非标准端口
的应用服务报文的漏报和误报问题。
28、防火墙配置防病毒功能选择过滤协议包括以下哪几项:
A、文件传输协议
B、邮件协议
C、安全协议D、共享协议
29、终端安全系统支持蓝牙、SD卡等计算机外设的监控功能,并支持配置禁止外部设备。
T
30、在USG产品的web配置界面中,在配置虚拟IP地址池时,虚拟IP地址范围内的IP地址可以为虚拟网关或接口的IP地址,也可以为内网存在的IP地址。
F
32、防火墙双机热备配置中,HRP必须配置包括:
A、启用HRP备份功能hrpenable
B、启用会话快速备份hrpmirrorsessionenable
C、指定心跳口hrpinterfaceinterface-typeinterface-number
D、抢占延迟时间hrppreempt[delayinterval]
33、如何查看安全策略的匹配次数:
A、displayfirewallsessiontableB、displaysecuritypolicyall
C、displaysecuritypolicycountD、countsecuritypolicyhit
34、ESP报文在哪种封装模式下,可以实现对原IP头数据的机密性:
A、传输模式
B、隧道模式
C、传输模式+隧道模式D、加密模式
35、在IPSecVPN配置中如果使用pre-shared方式验证,可以选择是否为对端配置秘钥,
两边的秘钥必须一致F
36、关于终端安全系统的部署方式描述错误的是:
A、集中部署方式的主要特点是可以根据管理终端数目的多少,选择SM、SC、数据库等组件来安装在同一台服务器上
B、终端相对集中在几个区域,而且区域之间的带宽比较小,建议采用分布式组网
C、终端规模相当大时,可以考虑使用集中式部署组网,避免大量撞断访问终端服务器,占用大量的网络带宽
D、分布式部署时,终端安全安全代理选择就近的控制服务器SC,获得身份认证和准入控制等各项业务
37、终端安全体系的五大要素不包括以下哪一项:
A、身份认证
B、业务隔离
C、安全认证
D、业务授权
38、某企业在部署网络边界防火墙时,配置了NATServer源NAT,OSPF路由和相关安全策略,数据到达该防火墙时,防火墙的处理顺序为:
A、OSPF路由-->
安全策略-->
源NAT-->
NATServer
B、安全策略-->
源NAT-->
NATServer-->
OSPF路由器
C、源NAT-->
OSPF路由-->
安全策略-->
NATserver
D、NATServer-->
OSPF路由-->
安全策略-->
源NAT
39、以下哪个问题可以利用IPsec-IKE野蛮模式进行解决:
A、隧道两端协商慢的问题
B、协商过程中的安全性问题
C、NAT穿越问
升级会员 