HCNA安全题库H12711Word格式文档下载.docx

1、 C、终端安全管理 D、AV网关防病毒5、终端安全系统主要由以下哪些组件组成： A、防病毒服务器 B、SC控制服务器 C、准入控制设备 D、SM管理服务器6、对称加密算法的加密秘钥和解密秘钥均相同，非对称加密算法的加密秘钥和解密秘钥均不相同。Ipsec在业务数据加解密时使用的是对称加密算法。 - T （true）7、华为USG防火墙VRRP HELLO报文为组播报文，所以要求备份组中的各路由器必须能够实现直接的二层互通。-T （true）8、在ARP地址解析时，ARP REPLY报文采用广播的方式发送，同一个二层网络上主机都能够收到，并据此学习到IP和MAC地址对应关系。-F （FALSE）9

2、、USG状态检测防火墙查看Session信息如下：display firewall session table verbose Current total sessions:1 Icmp VPN:public- public Zone:trust- untrust Slot:8 CPU : 0 TTL: 00:00:20 Left:19 Interface: GigabiEthernet6/0/0 Nexthop:107.255.255.10 packets : 8040 107.229.15.100:1280 - 107.228.10.100:2048根据上面的信息下面说法正确的是：A、 T

3、rust区域中主机107.229.15.100正在访问或者曾经访问Untrust 107.228.10.100B、 该报文时VPN报文C、 后续到达防火墙的报文，需要匹配会话表和防火墙安全策略D、 正向流量的出接口是GigabitEthernet6/0/010、CA（Certificate Authority）证书用于SSL通信连接建立时，验证虚拟网关用户的身份，保存于设备侧，由CA机构颁发。- T 11、通过display ike sa看到的结果如下，说法正确的是？ Current ike sa number 1 -Connection-id peer vpn flag phase doi

4、0x1f1 2.2.2.1 0 RDIST v1: 1 IPSEC 0x6043dc4 Flag meaning RDREADY STSTAYALIVE RL REPLACED FD FADING TO TIMEOUTA、 第一阶段ike sa 已经成功建立B、 第二阶段ipsec sa已经成功建立C、 Ike 使用的版本是v1D、 Ike使用的版本是v212、关于L2TP消息，说法错误的为： A、L2TP依附于PPP进行账户认证 B、控制消息只能用于隧道与会话连接的建立，维护以及传输控制 C、数据消息只能用于封装PPP帧并在隧道上传输 D、控制消息和数据消息都可以提供流量控制和拥塞控制功能1

5、3、以下哪种攻击不属于网络层攻击？ A、IP欺骗攻击 B、Smurf攻击 C、ARP欺骗攻击 D、ICMP攻击14、VRRP（Virtual Router Redundancy Protocol）中，主路由器定期向备份路由器发送通告报文（HELLO），备份路由器则只负责监听通告报文，不会进行回应。-T 15、使用NAT技术，只可以对数据报文中的网络层信息（IP地址）进行转换。-F16、ASPF（Application Specific Packet Filter）是一种基于应用层的包过滤，它检查应用层协议信息并且监控连接的应用层协议状态。ASPF通过Server Map表实现了特殊的安全机制关

6、于ASPF和Server map表说法正确的是？ A、ASPF监视通信过程中的报文 B、ASPF动态创建和删除过滤规则 C、ASPF通过Server map表实现动态允许多通道协议数据通过 D、五元组Server map表项实现了和会话表类似的功能17、上网用户管理的转发流程中，上网用户认证只能发生在首包流程中，一旦用户通过认证，设备建立session表，后续报文不需要重复进行用户认证。-T18、攻击者通过发送ICMP应答请求，并将请求包的目的地址设为受害网络的广播地址。这种行为属于哪一种攻击？ C、ICMP重定向攻击 D、SYN flood攻击19、以下哪个选项不属于AES的秘钥长度？ A、

7、64 B、128 C、192 D、25620、基于会话的状态监测防火墙对于首包和后续包有不同的处理流程，下面描述正确的是： A、报文到达防火墙，会查找会话表，如果没有匹配，防火墙进行首包处理流程 B、报文到达防火墙，会查找会话表，如果匹配防火墙进行后续包处理流程 C、在状态检查机制打开的情况下，防火墙处TCP报文时候，只有SYN报文才能建立会话 D、在状态检查机制打开的情况下，后续和他需要进行安全策略检查21、AH协议号是下面那个选项？ A、51 B、50 C、52 D、4922、AAA包含以下哪几项： A、Authentication认证 B、Authentication授权 C、Accou

8、nting计费 D、Audit审计23、安全联盟由三元组唯一标识，以下哪一项不属于安全联盟的三元组？ A、安全协议号 B、源IP地址 C、目的IP地址 D、安全参数索引24、一般的公司或组织中有时会存在这样一类用户，他们不是该公司员工，只是临时到访该公司，需要借用该公司网络上网，他们没有属于自己的账号，无法进行认证，但设备要对他们的网络权限进行控制。对于这类用户，支持自动为其创建对应的临时用户，并使用IP地址作为该用户的用户名。管理员在规划用户管理时，一般将这类用户认证划分为： A、免认证 B、单点认证 C、密码认证 D、临时认证25、HRP会话快速备份时将主用设备相应的状态信息表项快速备份到

9、备用设备，使返回报文在备用设备上能够查找到相应的状态信息表项，从而保证内外部用户的业务不中断。-T26、配置源NAT策略时，目的区域的配置可以用配置流量出接口信息来取代。27、防火墙IPS协议识别功能对基于非标准端口的服务进行识别，解决了使用非标准端口的应用服务报文的漏报和误报问题。 -T28、防火墙配置防病毒功能选择过滤协议包括以下哪几项： A、文件传输协议 B、邮件协议 C、安全协议 D、共享协议29、终端安全系统支持蓝牙、SD卡等计算机外设的监控功能，并支持配置禁止外部设备。T30、在USG产品的web配置界面中，在配置虚拟IP地址池时，虚拟IP地址范围内的IP地址可以为虚拟网关或接口的

10、IP地址，也可以为内网存在的IP地址。 F32、防火墙双机热备配置中，HRP必须配置包括： A、启用HRP备份功能hrp enable B、启用会话快速备份hrp mirror session enable C、指定心跳口hrp interface interface-type interface-number D、抢占延迟时间hrp preempt delay interval33、如何查看安全策略的匹配次数： A、display firewall session table B、display security policy all C、display security policy co

11、unt D、count security policy hit34、ESP报文在哪种封装模式下，可以实现对原IP头数据的机密性： A、传输模式 B、隧道模式 C、传输模式+隧道模式 D、加密模式35、在IP Sec VPN配置中如果使用pre-shared方式验证，可以选择是否为对端配置秘钥，两边的秘钥必须一致- F36、关于终端安全系统的部署方式描述错误的是： A、集中部署方式的主要特点是可以根据管理终端数目的多少，选择SM、SC、数据库等组件来安装在同一台服务器上 B、终端相对集中在几个区域，而且区域之间的带宽比较小，建议采用分布式组网 C、终端规模相当大时，可以考虑使用集中式部署组网，避

12、免大量撞断访问终端服务器，占用大量的网络带宽 D、分布式部署时，终端安全安全代理选择就近的控制服务器SC，获得身份认证和准入控制等各项业务37、终端安全体系的五大要素不包括以下哪一项： A、身份认证 B、业务隔离 C、安全认证 D、业务授权38、某企业在部署网络边界防火墙时，配置了NAT Server 源NAT，OSPF路由和相关安全策略，数据到达该防火墙时，防火墙的处理顺序为： A、OSPF路由-安全策略-源NAT-NAT Server B、安全策略-NAT Server-OSPF路由器 C、源NAT-OSPF路由- 安全策略-NAT server D、NAT Server -源NAT39、以下哪个问题可以利用IP sec-IKE野蛮模式进行解决： A、隧道两端协商慢的问题 B、协商过程中的安全性问题 C、NAT穿越问题 D