HCNA安全题库H12711Word格式文档下载.docx

1、B 、上网行为C、终端安全管理D 、 AV 网关防病毒5 、终端安全系统主要由以下哪些组件组成：A、 防病毒服务器B、 SC控制服务器C、 准入控制设备D 、 SM 管理服务器6、 对称加密算法的加密秘钥和解密秘钥均相同，非对称加密算法的加密秘钥和解密秘钥均不相同。 Ipsec 在业务数据加解密时使用的是对称加密算法。 T （true ）7、 华为 USG 防火墙 VRRP HELLO 报文为组播报文，所以要求备份组中的各路由器必须能够实现直接的二层互通。8、 在 ARP 地址解析时， ARP REPLY 报文采用广播的方式发送， 同一个二层网络上主机都能够收到，并据此学习到 IP 和 MAC

2、 地址对应关系。 F （ FALSE ）9、 USG 状态检测防火墙查看 Session 信息如下：display firewall session table verboseCurrent total sessions:1Icmp VPN:public- publicZone:trust- untrust Slot:8 CPU : 0 TTL: 00:00:20 Left:19Interface: GigabiEthernet6/0/0 Nexthop:107.255.255.10-packets: 134 bytes : 8040 - packets : 8040107.229.15.10

3、0:1280 -107.228.10.100:2048根据上面的信息下面说法正确的是：A 、 Trust 区 域 中 主 机 107.229.15.100 正 在 访 问 或 者 曾 经 访 问 Untrust 107.228.10.100B 、 该报文时 VPN 报文C、 后续到达防火墙的报文，需要匹配会话表和防火墙安全策略D、 正向流量的出接口是 GigabitEthernet6/0/010、CA （ Certificate Authority ）证书用于 SSL 通信连接建立时，验证虚拟网关用户的身份，保存于设备侧，由 CA 机构颁发。 T11、通过 display ike sa 看到的

4、结果如下，说法正确的是？（多选）Current ike sa number 1Connection-id peer vpn flag phase doi0x1f12.2.2.1 0 RDIST v1: 1 IPSEC 0x6043dc4Flag meaningRD READY ST STAYALIVE RL - REPLACED FD - FADING TO - TIMEOUTA、 第一阶段ike sa 已经成功建立B、 第二阶段 ipsec sa 已经成功建立C、 Ike 使用的版本是 v1D 、 Ike 使用的版本是 v212、关于 L2TP 消息，说法错误的为：A、 L2TP 依附于 P

5、PP 进行账户认证B 、控制消息只能用于隧道与会话连接的建立，维护以及传输控制C、数据消息只能用于封装 PPP帧并在隧道上传输D 、控制消息和数据消息都可以提供流量控制和拥塞控制功能13、以下哪种攻击不属于网络层攻击？A、 IP 欺骗攻击B 、 Smurf 攻击C、 ARP 欺骗攻击D 、 ICMP 攻击14、 VRRP （ Virtual Router Redundancy Protocol ）中，主路由器定期向备份路由器发送通告报文（ HELLO ），备份路由器则只负责监听通告报文，不会进行回应。15、使用 NAT 技术，只可以对数据报文中的网络层信息（ IP 地址）进行转换。 - F16

6、、 ASPF （Application Specific Packet Filter ）是一种基于应用层的包过滤，它检查应 用层协议信息并且监控连接的应用层协议状态。 ASPF 通过 Server Map 表实现了特殊的安 全机制关于 ASPF 和 Server map 表说法正确的是？A、 ASPF 监视通信过程中的报文B 、 ASPF 动态创建和删除过滤规则C、 ASPF 通过 Server map 表实现动态允许多通道协议数据通过D 、五元组 Server map 表项实现了和会话表类似的功能17、上网用户管理的转发流程中，上网用户认证只能发生在首包流程中，一旦用户通过认证，设备建立 s

7、ession 表，后续报文不需要重复进行用户认证。 -T18、攻击者通过发送 ICMP 应答请求，并将请求包的目的地址设为受害网络的广播地址。 这种行为属于哪一种攻击？A、IP 欺骗攻击B、 Smurf 攻击C、 ICMP 重定向攻击D 、 SYN flood 攻击19、以下哪个选项不属于 AES 的秘钥长度？A、64B、 128C、 192D 、 25620、基于会话的状态监测防火墙对于首包和后续包有不同的处理流程，下面描述正确的是：A、 报文到达防火墙，会查找会话表，如果没有匹配，防火墙进行首包处理流程B、 报文到达防火墙，会查找会话表，如果匹配防火墙进行后续包处理流程C、 在状态检查机制

8、打开的情况下，防火墙处 TCP报文时候，只有SYN报文才能建立 会话D、 在状态检查机制打开的情况下，后续和他需要进行安全策略检查21、 AH 协议号是下面那个选项？A、 51B 、 50C、 52D 、 4922、 AAA 包含以下哪几项：A、 Authentication 认证B 、 Authentication 授权C 、 Accounting 计费D 、 Audit 审计23、安全联盟由三元组唯一标识，以下哪一项不属于安全联盟的三元组？A、安全协议号B 、源 IP 地址C、目的IP地址D 、安全参数索引24、一般的公司或组织中有时会存在这样一类用户，他们不是该公司员工，只是临时到访该公

9、司，需要借用该公司网络上网， 他们没有属于自己的账号，无法进行认证，但设备要对 他们的网络权限进行控制。对于这类用户，支持自动为其创建对应的临时用户，并使用 IP地址作为该用户的用户名。管理员在规划用户管理时，一般将这类用户认证划分为：A、免认证B 、单点认证C、密码认证D 、临时认证25、 HRP 会话快速备份时将主用设备相应的状态信息表项快速备份到备用设备，使返回报 文在备用设备上能够查找到相应的状态信息表项， 从而保证内外部用户的业务不中断。 -T26、配置源 NAT 策略时，目的区域的配置可以用配置流量出接口信息来取代。27、防火墙 IPS 协议识别功能对基于非标准端口的服务进行识别，

10、解决了使用非标准端口的应用服务报文的漏报和误报问题。28、防火墙配置防病毒功能选择过滤协议包括以下哪几项：A、 文件传输协议B、 邮件协议C、 安全协议 D 、共享协议29、终端安全系统支持蓝牙、 SD 卡等计算机外设的监控功能，并支持配置禁止外部设备。T30、在 USG 产品的 web 配置界面中，在配置虚拟 IP 地址池时，虚拟 IP 地址范围内的 IP 地址可以为虚拟网关或接口的 IP 地址，也可以为内网存在的 IP 地址。 F32、防火墙双机热备配置中， HRP 必须配置包括：A、启用HRP备份功能hrp enableB 、启用会话快速备份 hrp mirror session ena

11、bleC、指定心跳口 hrp in terface in terface-type in terface-nu mberD 、抢占延迟时间 hrp preempt delay interval33、如何查看安全策略的匹配次数：A、 display firewall session table B 、 display security policy allC、 display security policy count D 、 count security policy hit34、 ESP 报文在哪种封装模式下，可以实现对原 IP 头数据的机密性：A、传输模式B 、隧道模式C、传输模式+隧道模

12、式 D 、加密模式35、在 IP Sec VPN 配置中如果使用 pre-shared 方式验证， 可以选择是否为对端配置秘钥，两边的秘钥必须一致 F36、关于终端安全系统的部署方式描述错误的是：A、 集中部署方式的主要特点是可以根据管理终端数目的多少，选择 SM、SC、数据库 等组件来安装在同一台服务器上B、 终端相对集中在几个区域，而且区域之间的带宽比较小，建议采用分布式组网C、 终端规模相当大时，可以考虑使用集中式部署组网， 避免大量撞断访问终端服务器， 占用大量的网络带宽D、 分布式部署时，终端安全安全代理选择就近的控制服务器 SC,获得身份认证和准 入控制等各项业务37、终端安全体系

13、的五大要素不包括以下哪一项：A、身份认证B 、业务隔离C、安全认证D 、业务授权38、某企业在部署网络边界防火墙时，配置了 NAT Server 源 NAT， OSPF 路由和相关安 全策略，数据到达该防火墙时，防火墙的处理顺序为：A、 OSPF 路由-安全策略 -源 NAT-NAT ServerB 、安全策略 - 源 NAT-NAT Server-OSPF 路由器C、源 NAT-OSPF 路由- 安全策略-NAT serverD 、 NAT Server -OSPF 路由 - 安全策略 - 源 NAT39、以下哪个问题可以利用 IP sec-IKE 野蛮模式进行解决：A、 隧道两端协商慢的问题B、 协商过程中的安全性问题C、 NAT 穿越问