网络安全设备配置练习题1

一. 单选题（共272题，136）

1. (单选题, 5分)如图所示,客户端A和服务器B之间建立TCP连接,图中两处“?”报文序号应该是下列哪项?

• A. a+1:a
• B. a:a+1
• C. b+1:b
• D. a+1:a+1

正确答案: D:a+1:a+1;

2. (单选题, 5分)如图所示为配置 NAT Server 后生成的两条 Server Map 表项,关于该图所呈现的信息,以下哪项描述是错误的?[单选题]*Type: Nat Server. ANY→1.1.1.1[192.168.1.1]Type: Nat Server Reverse. 192.168.1.1[1.1.1.1] →ANY

• A. 第二条 Server Map 作用是当 192.168.1.1 去访问任何地址的时候经过防火墙后源地址会转换成 1.1.1.1
• B. 第一条 Server Map 作用是任何地址去访问 192.168.1.1 时,经过防火墙后目的 IP 都转换成1.1.1.1。
• C. 带有 Reverse 标识的 Server Map 可以使用命令将其册除。
• D. 这两条 Server Map 表项是静态的,即配置好 NAT Server 后,两条 Server Map 会自动生成且永久存在。

:正确答案: B:第一条 Server Map 作用是任何地址去访问 192.168.1.1 时,经过防火墙后目的 IP 都转换成1.1.1.1。;

3. (单选题, 5分)

• A. rule name c. source-zone untrust. destination-zone trust. destination-address 202.106.1.132,action permit
• B. rule name D, source- zone untrust. destination- zone trust. destination-address10.l0.1.1 32,action permit
• C. rule name B, source- zone untrust, destination- zone trust, source-address10.10.1.1 32, actionpermit
• D. rule name B, source- zone untrust, destination- zone trust, source-address202.106.l.1 32, actionpermit

:正确答案: B:rule name D, source- zone untrust. destination- zone trust. destination-address10.l0.1.1 32,action permit;

4. (单选题, 5分)【单选题】如图所示,使用 C1ient- Initiated VPN 方式建立 L2 TP VPN 时,下列哪项是 PPP 报文的终点?

• A. 接入用户
• B. LNS
• C. LAC
• D. 服务器

:正确答案: B:LNS;

5. (单选题, 5分)【单选题】如图所示, FW_A 与 FW_B 之间建立 GRE VPN, PC_A 与 PC_B 通过 GRE VPN 访问, 请 问对数据报文封装时, 目的地址应封装为下列哪项?

• A. 2.2.2.2
• B. 1.1.1.1
• C. 10.1.1.2
• D. .192.168.2.1

:正确答案: A:2.2.2.2;

6. (单选题, 5分)【单选题】如图所示,在传输模式中,AH Header 头部应该插入以下哪一顶位置?

• A. 1
• B. 2
• C. 3
• D. 4

:正确答案: B:2;

7. (单选题, 5分)【单选题】向全网发送一个 ABP 广播,请求主机 C 的里 MAC 地址。如图所示。主机 A 访问主机 C 时检查 ARP 表项中不存在目的地址的 MAC 地址表项,主机 A 通过以下哪种方式找到目的 MAC 地址?

• A. 向全网发送一个 ABP 广播,请求主机 C 的里 MAC 地址。
• B. 向子网发送一个 ARP 广播,请求网关的 MAC 地址。
• C. 查找主机 C 的路由表。
• D. 向子网发送一个 ARP 广播。请求主机 C 的 MAC 地址。

:正确答案: B:向子网发送一个 ARP 广播,请求网关的 MAC 地址。;

8. (单选题, 5分)【单选题】如图所示,PC1 和 PC2 之间已经建立了 TCP 连接,PC1 发出对此连接的 FIN 请求,PC2 回应了 ACK,以下哪一项的描述是正确的?

• A. PC1 到 PC2 的 TCP 连接已经完全关闭。
• B. PC1 到 PC2 的 TCP 连接处于半关闭状态,PC1 仍然能向 PC2 发送数据。
• C. PC1 到 PC2 的 TCP 连接处于半关闭状态,不能再通过此连接发送数据
• D. PC1 到 PC2 的 TCP 连接处于半关闭状态,PC2 仍然能向 PC1 发送数据。

:正确答案: D:PC1 到 PC2 的 TCP 连接处于半关闭状态,PC2 仍然能向 PC1 发送数据。;

9. (单选题, 5分)【单选题】如图所示,以下哪一项是图示 IPSec VPN 的封装模式?

• A. 错误的模式
• B. 通用模式
• C. 传输模式
• D. 隧道模式

:正确答案: D:隧道模式;

10. (单选题, 5分)【单选题】如图所示,使用抓包软件在某终端设备上抓取了部分报文,关于该报文信息,以下哪一项是正确的?

• A. 该终端向192.168.1.1发起了TCP连接终止请求。
• B. 该终端使用Telnet登录其他设备。
• C. 该终端向192.168.1.1发起了TCP连接建立请求。
• D. 该终端使用Http登录其他设备。

:正确答案: C:该终端向192.168.1.1发起了TCP连接建立请求。;

11. (单选题, 5分)【单选题】如图所示,在传输模式下AH协议认证范围的区间是哪一段?

• A. 1
• B. 2
• C. 3
• D. 4

:正确答案: C:3;

12. (单选题, 5分)【单选题】证据鉴定需要解决证据的完整性验证和确定其是否符合可采用标准,关于证概鉴定的标准,以下哪项描述是正确的?

• A. 关联性标准是指电了证据如果在一定程度上能够对案件事实产生实质性影响,法庭应当裁定其具有关联性。
• B. 客观性标准是指电子证据的获取、存储、提交等环节约应合法,对国家利益、社会公益和个人隐私等基本权利不构成严里侵犯。
• C. 合法性标准是保证电子证据从最初的获取收集,到作为诉讼证据提交使用的过程中,其内容没有任何 变化。
• D. 公平性标准是指由法定主体以合法手段取得的证据材料,才具有证据能力。

:正确答案: A:关联性标准是指电了证据如果在一定程度上能够对案件事实产生实质性影响,法庭应当裁定其具有关联性。;

13. (单选题, 5分)【单选题】数据分析技术是在已经获取的数据流或者信息流中寻找、匹配关键词或关键短语,分析时间的关联性。下列哪项不属于证据分析技术?

• A. 密码破译,数据解密技术
• B. 文件数字摘要分析技术
• C. 发掘不同证据间的联系的技术
• D. 垃圾邮件追踪技术

:正确答案: D:垃圾邮件追踪技术;

14. (单选题, 5分)【单选题】DDoS攻击属于下列哪种攻击类型?

• A. 窥探扫描攻击
• B. 畸形报文攻击
• C. 特殊报文攻击
• D. 流量型攻击

:正确答案: D:流量型攻击;

15. (单选题, 5分)【单选题】关于SSL VPN技术,以下哪个选项说法是错误的?

• A. SSL VPN技术可以完美适用于NAT穿越场景
• B. SSL VPN技术的加密只对应用层生效
• C. SSL VPN需要拨号客户端
• D. SSL VPN技术扩展了企业的网络范围

:正确答案: C:SSL VPN需要拨号客户端;

16. (单选题, 5分)【单选题】在USG系列防火墙上配置NAT Server时,会产生server-map表,以下哪项不属于该表现中的内容?

• A. 目的IP
• B. 目的端口号
• C. 协议号
• D. 源IP

:正确答案: D:源IP;

17. (单选题, 5分)【单选题】以下哪个攻击不属于特殊报文攻击?

• A. ICMP重定向报文攻击
• B. ICMP不可达报文攻击
• C. IP地址扫描攻击
• D. 超大ICMP报文攻击

:正确答案: C:IP地址扫描攻击;

18. (单选题, 5分)【单选题】当防火墙硬盘在位的时候,下列哪项对于防火墙日志的描述是正确的?

• A. 管理员可以公告内容日志查看网络威胁的检测和防御记录
• B. 管理员可以通过威胁日志了解用户的安全风险行为以及被告警或阻断的原因
• C. 管理员通过用户活动日志获知用户的行为、摸索的关键字以及审计策略配置的生效情况等信息
• D. 管理员可以通过策略命中日志获知流量命中的安全策略,在发生问题时用于故障定位

:正确答案: D:管理员可以通过策略命中日志获知流量命中的安全策略,在发生问题时用于故障定位;

19. (单选题, 5分)【单选题】关于SSL VPN的描述,以下哪项是正确的?

• A. 可以在无客户端的情况下使用
• B. 可以对IP层进行加密
• C. 存在NAT穿越问题
• D. 无需身份验证

:正确答案: A:可以在无客户端的情况下使用;

20. (单选题, 5分)【单选题】某些应用如Oracle数据库应用,因长时间无数据流传输,使防火墙会话连接中断,从而导致业务中断,以下哪项是最优解决方案?

• A. 配置某业务长连接
• B. 开启ASPF功能
• C. 优化安全策略
• D. 开启分片缓存

:正确答案: A:配置某业务长连接;

21. (单选题, 5分)【单选题】“对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统”,是为了实现信息安全中的哪个特性?

• A. 保密性
• B. 可控性
• C. 不可否认性
• D. 完整性

:正确答案: B:可控性;

22. (单选题, 5分)【单选题】关于Client-Initialized的L2TP VPN,下列哪项说法是错误的?

• A. 远程用户接入internet后,可通过客户端软件直接向远端的LNS发起L2TP隧道连接请求
• B. LNS设备接收到用户L2TP连接请求,可以根据用户名、密码对用户进行验证
• C. LNS为远端用户分配私有IP地址
• D. 远端用户不需要安装VPN客户软件

:正确答案: D:远端用户不需要安装VPN客户软件;

23. (单选题, 5分)【单选题】关于漏洞扫描的描述,以下哪项是错误的?

• A. 漏洞扫描是一种基于网络远程监测目标网络或主机安全性能脆弱性的技术,可以被用来进行模拟攻击实验和安全审计。
• B. 漏洞扫描用来探测目标主机系统是否存在漏洞,一般是对目标主机进行特定漏洞的扫描
• C. 漏洞扫描就是一种被动的防范措施,可以有效避免黑客攻击行为
• D. 可以根据ping扫描和端口扫描的结果进行漏洞扫描

:正确答案: C:漏洞扫描就是一种被动的防范措施,可以有效避免黑客攻击行为;

24. (单选题, 5分)【单选题】下列有关调查取证描述正确的是哪项?

• A. 调查过程中不一定需要证据
• B. 通过窃听方式获取的证据也是有效的
• C. 在所有调查取证的过程中,最好都有执法机构参与
• D. 文档证据在计算机犯罪中是必需的

:正确答案: C:在所有调查取证的过程中,最好都有执法机构参与;

25. (单选题, 5分)【单选题】关于上网用户管理的说法,以下哪项是错误的?

• A. 每个用户组可以包括多个用户和用户组
• B. 每个用户组可以属于多个父用户组
• C. 系统默认有一个default用户组,该用户组同时也是系统默认认证域
• D. 每个用户至少属于一个用户组,也可以属于多个用户组

:正确答案: B:每个用户组可以属于多个父用户组;

26. (单选题, 5分)【单选题】下列哪一项不属于P2DR模型中Detection环节使用到的方法?

• A. 实时监控
• B. 检测
• C. 报警
• D. 关闭服务

:正确答案: D:关闭服务;

27. (单选题, 5分)【单选题】以下哪项不属于LINUX操作系统?

• A. CentOS
• B. RedHat
• C. Ubuntu
• D. MAC OS

:正确答案: D:MAC OS;

28. (单选题, 5分)【单选题】在某些场景下,既要对源IP地址进行转换,又要对目的IP地址进行转换,该场景使用以下哪项技术?

• A. 双向NAT
• B. 源NAT
• C. NAT-Server
• D. NAT ALG

:正确答案: A:双向NAT;

29. (单选题, 5分)【单选题】在USG系列防火墙上,配置了web重定向功能后,无法弹出认证页面,以下哪项不属于故障原因?

• A. 未配置认证策略或认证策略配置错误
• B. 未开启web认证功能
• C. 浏览器SSL版本与防火墙认证页面SSL版本不匹配
• D. 认证页面服务的端口号设为8887

:正确答案: D:认证页面服务的端口号设为8887;

30. (单选题, 5分)【单选题】下列选项中对信息安全管理体系(ISMS)四个阶段的顺序描述正确的是哪项?

• A. Plan->Check->Do->Action
• B. Check->Plan->Do->Action
• C. Plan->Do->Check->Action
• D. Plan->Check->Action->Do

:正确答案: C:Plan->Do->Check->Action;

31. (单选题, 5分)【单选题】在信息安全体系建设管理周期中,下列哪一项的行为是“check”环节中需要实施的?

• A. 安全管理体系设计
• B. 安全管理体系实施
• C. 风险评估
• D. 安全管理体系运行监控

:正确答案: D:安全管理体系运行监控;

32. (单选题, 5分)【单选题】查看防火墙的HRP状态信息如下:HRP S[USG_ B] display hrp stateBbs.hh010.comThe firewall's config state is: StandbyCurrent state of virtual routers configured as standby:GigabitEthernet1/0/0 vrid 1 : standbyGigabitEthernet1/0/1Vrid 2 : standby根据上述信息,以下哪项描述是正确的:

• A. 此防火墙VGMP组状态为Active
• B. 此防火墙G1/0/0和G1/0/1接口的VRRP组状态为standby
• C. 此防火墙的HRP心跳线接口为G1/0/0和G1/0/1
• D. 此防火墙一定是处于抢占状态

:正确答案: B:此防火墙G1/0/0和G1/0/1接口的VRRP组状态为standby;

33. (单选题, 5分)【单选题】按照保护对象对防火墙进行划分,windows防火墙属于——?

• A. 软件防火墙
• B. 硬件防火墙
• C. 单机防火墙
• D. 网络防火墙

:正确答案: C:单机防火墙;

34. (单选题, 5分)【单选题】以下哪项不属于对称加密算法?

• A. DES
• B. 3DES
• C. AES
• D. RSA

:正确答案: D:RSA;

35. (单选题, 5分)【单选题】关于根CA证书,以下哪个描述是错误的?

• A. 颁发者是CA
• B. 证书主体名是CA
• C. 公钥信息是CA的公钥
• D. 签名是CA公钥加密产生的

:正确答案: D:签名是CA公钥加密产生的;

36. (单选题, 5分)【单选题】以下哪项配置能实现NAT ALG功能?

• A. nat alg protocol
• B. alg protocol
• C. nat protocol
• D. detect protocol

:正确答案: D:detect protocol;

37. (单选题, 5分)【单选题】关于防火墙网关针对HTTP协议的防病毒响应方式,以下哪项说法是错误的?

• A. 当网关设备阻断HTTP连接后,向客户端推送web页面并产生日志
• B. 响应方式包括宣告和阻断
• C. 告警方式设备只产生日志,不对HTTP协议传输的文件进行处理就发送出去
• D. 阻断是指设备断开与HTTP服务器的连接并阻断文件传输

:正确答案: B:响应方式包括宣告和阻断;

38. (单选题, 5分)【单选题】以下哪项不属于USG防火墙中的用户认证方式?

• A. 免认证
• B. 密码认证
• C. 单点登录
• D. 指纹认证

:正确答案: D:指纹认证;

39. (单选题, 5分)【单选题】防火墙GE1/0/1和GE1/0/2口都属于DMZ区域,如果要实现GE1/0/1所连接的区域能够访问GE1/0/2所连接的区域,以下哪项是正确的?

• A. 需要配置Local到DMZ的安全策略
• B. 无需做任何配置
• C. 需要配置域间安全策略
• D. 需要配置DMZ到local的安全策略

:正确答案: B:无需做任何配置;

40. (单选题, 5分)【单选题】管理员希望清楚当前会话表。以下哪个命令是正确的?

• A. clear firewall session table
• B. reset firewall session table
• C. display firewall session table
• D. display session table

:正确答案: B:reset firewall session table;

41. (单选题, 5分)【单选题】用iptables写一条规则不允许172.16.0.0/16的网段访问本设备,以下哪项规则写法是正确的?需要更多新题库V:276137877

• A. iptables -t fiter -A INPUT -s 172.16.0.0/16 -p all -j DROP
• B. iptables -t fiter -P INPUT -s 172.16.0.0/16 -p all -j DROP
• C. iptables -t fiter -P INPUT -s 172.16.0.0/16 -p all -j-ACCEPT
• D. iptables -t fiter -P INPUT -d 172.16.0.0/16 -p all -j-ACCEPT

:正确答案: A:iptables -t fiter -A INPUT -s 172.16.0.0/16 -p all -j DROP;

42. (单选题, 5分)【单选题】关于HRP主备配置一致性检查内容不包括下列哪个选项?

• A. NAT策略
• B. 是否配置了相同序号的心跳接口
• C. 静态路由的下一跳和出接口
• D. 认证策略

:正确答案: C:静态路由的下一跳和出接口;

43. (单选题, 5分)【单选题】在USG系列防火墙中,可以使用 功能为非知名端口提供知名应用服务。

• A. 端口映射
• B. MAC与IP地址绑定
• C. 包过滤
• D. 长连接

:正确答案: A:端口映射;

44. (单选题, 5分)【单选题】问卷调查的设计原则不包括下列哪项?

• A. 完整性
• B. 公开性
• C. 具体性
• D. 一致性

:正确答案: B:公开性;

45. (单选题, 5分)【单选题】当在公共场所连接Wi-Fi时,下列哪一种行为相对更加安全?

• A. 连接未进行加密的Wi-Fi热点
• B. 连接由运营商提供的付费Wi-Fi热点且仅进行网络浏览
• C. 连接未加密的免费Wi-Fi进行在线购物
• D. 连接加密的免费Wi-Fi进行在线转账操作

:正确答案: B:连接由运营商提供的付费Wi-Fi热点且仅进行网络浏览;

46. (单选题, 5分)【单选题】以下哪个选项是GRE的协议号?

• A. 46
• B. 47
• C. 89
• D. 50

:正确答案: B:47;

47. (单选题, 5分)【单选题】以下关于VGMP协议描述错误的是哪项?需要更多新题库V:276137877

• A. VGMP将同一台防火墙上的多个VRRP备份组都加入到一个管理组,由管理组统一管理所有VRRP备份组
• B. VGMP通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致
• C. 状态为Active的VGMP组设备会定期向对端发送hello报文,stdandby端只负责监听hello报文,不会进行回应
• D. 在缺省情况下当standby端三个hello报文周期没有收到对端发送的hello报文,会认为对端出现故障,从而将自己切换到Active状态。

:正确答案: C:状态为Active的VGMP组设备会定期向对端发送hello报文,stdandby端只负责监听hello报文,不会进行回应;

48. (单选题, 5分)【单选题】甲乙通信双方进行数据通信,若采用非对称加密算法进行加密,甲发送数据给乙时,以下哪个密钥将被用于进行数据加密?

• A. 甲的公钥
• B. 甲的私钥
• C. 乙的公钥
• D. 乙的私钥

:正确答案: C:乙的公钥;

49. (单选题, 5分)【单选题】关于GRE封装与解封装,以下哪项描述是错误的?

• A. 封装过程,原始数据包通过查找路由把数据包传递到Tunnel接口后出发GRE封装
• B. 封装过程,经过GRE模块封装后,此数据包将进入IP模块进行下一步处理
• C. 解封装过程,目的端收到GRE报文后,通过查找路由把数据包传递到Tunnel接口后出发GRE解封装
• D. 解封装过程,经过GRE模块解封装后,此数据包将进入IP模块进行下一步处理

:正确答案: C:解封装过程,目的端收到GRE报文后,通过查找路由把数据包传递到Tunnel接口后出发GRE解封装;

50. (单选题, 5分)【单选题】下列哪项不属于网络安全事件中划分的等级?

• A. 重大网络安全事件
• B. 特殊网络安全事件
• C. 一般网络安全事件
• D. 较大网络安全事件

:正确答案: B:特殊网络安全事件;

51. (单选题, 5分)【单选题】在华为SDSec解决方案中,防火墙属于哪一层的设备?

• A. 分析层
• B. 控制层
• C. 执行层
• D. 监控层

:正确答案: C:执行层;

52. (单选题, 5分)【单选题】在防火墙上部署双机热备时,为实现VRRP备份组整体状态切换,需要使用以下哪个协议?

• A. VRRP
• B. VGMP
• C. HRP
• D. OSPF

:正确答案: B:VGMP;

53. (单选题, 5分)【单选题】攻击者通过发送ICMP应答请求,并将请求包的目的地址设为受害网络的广播地址。这种行为属于哪一种攻击?

• A. IP欺骗攻击
• B. Smurf攻击
• C. ICMP重定向攻击
• D. SYN flood攻击

:正确答案: B:Smurf攻击;

54. (单选题, 5分)【单选题】关于PKI工作过程的排序,以下哪项是正确的?

• A. 1-2-6-5-7-4-3-8
• B. 1-2-7-6-5-4-3-8
• C. 6-5-4-1-2-7-3-8
• D. 6-5-4-3-1-2-7-8

:正确答案: B:1-2-7-6-5-4-3-8;

55. (单选题, 5分)【单选题】以下哪项不属于数字证书的内容?

• A. 公钥
• B. 私钥
• C. 有效期
• D. 颁发者

:正确答案: B:私钥;

56. (单选题, 5分)【单选题】以下哪项不属于杀毒软件的关键技术?

• A. 脱壳技术
• B. 自我保护
• C. 格式化磁盘
• D. 实时升级病毒库

:正确答案: C:格式化磁盘;

57. (单选题, 5分)【单选题】下列哪项不属于计算机犯罪的主要形式?

• A. 向目标主机植入木马
• B. 向目标主机进行黑客攻击
• C. 使用计算机进行个人问卷调查
• D. 未经允许,利用扫描工具收集网络信息

:正确答案: C:使用计算机进行个人问卷调查;

58. (单选题, 5分)【单选题】部署IPSec VPN隧道模式时,采用AH协议进行报文封装。在新IP报文头部字段中,以下哪个参数无需进行数据完整性校验?

• A. 源IP地址
• B. 目的IP地址
• C. TTL
• D. Idetification

:正确答案: C:TTL;

59. (单选题, 5分)【单选题】在配置GRE Tunnel接口时,Destination地址一般是指以下哪项参数?

• A. 本端Tunnel接口IP地址
• B. 本端外网出口IP地址
• C. 对端外网出口IP地址
• D. 对端Tunnel接口IP地址

:正确答案: C:对端外网出口IP地址;

60. (单选题, 5分)【单选题】关于断开TCP连接四次握手的描述,以下哪项是错误的?

• A. 主动关闭方发送第一个FIN执行主动关闭,而另一方收到这个FIN执行被关闭
• B. 当被动关闭收到第一个FIN,它将发回一个ACK,并随机产生确认序号。
• C. 被动关闭方需要向应用程序传送一个文件结束符,应用程序就关闭它的连接,并导致发送一个FIN
• D. 在被动关闭方发送FIN后,主动关闭方必须发回一个确认,并将确认序号设置为收到序号加1

:正确答案: B:当被动关闭收到第一个FIN,它将发回一个ACK,并随机产生确认序号。;

61. (单选题, 5分)【单选题】以下哪项不属于非对称加密算法?

• A. DH
• B. MD5
• C. DSA
• D. RSA

:正确答案: B:MD5;

62. (单选题, 5分)【单选题】关于防火墙安全策略的说法,以下选项错误的是?

• A. 如果该安全策略时permit,则被丢弃的报文不会累加“命中次数”
• B. 配置安全策略名称时,不可以重复使用同一个名称
• C. 调整安全策略的顺序,不需要保存配置文件,立即生效
• D. 华为USG系列防火墙的安全策略条目数都不能超过128条

:正确答案: D:华为USG系列防火墙的安全策略条目数都不能超过128条;

63. (单选题, 5分)【单选题】以下哪项是USG系列防火墙初次登录的用户名/密码?

• A. 用户名 admin
  密码 Admin@123
• B. 用户名 admin
  密码 admin@123
• C. 用户名 admin
  密码 admin
• D. 用户名 admin
  密码 Admin123

:正确答案: A:用户名 admin密码 Admin@123;

64. (单选题, 5分)【单选题】服务器在使用过程中,存在着各种各样的安全威胁。以下哪个选项不属于服务器安全威胁?

• A. 自然灾害
• B. DDos攻击
• C. 黑客攻击
• D. 恶意程序

:正确答案: A:自然灾害;

65. (单选题, 5分)【单选题】安全评估方法中问卷调查针对的被调查对象不包括以下哪个选项?

• A. 网络系统管理员
• B. 安全管理员
• C. HR
• D. 技术负责人

:正确答案: C:HR;

66. (单选题, 5分)【单选题】关于NAT地址转換,以下哪项说法是铕误的?

• A. 源NAT技术中配置NAT地址池,可以在地址池中只配置一个IP地址
• B. 地址转换可以按照用户的需要,在局域网内向外提供FTP、WWW、Telnet等服务
• C. 有些应用层协议在数据中携带IP地址信息,对它们作NAT时还要修改上层数据中的IP地址信息
• D. 对于某些非TCP、UDP的协议(比如ICMP、PPTP),无法做NAT转换

:正确答案: D:对于某些非TCP、UDP的协议(比如ICMP、PPTP),无法做NAT转换;

67. (单选题, 5分)【单选题】通过display ike sa 看到的结果如下,以下哪项说法是错误的?

• A. IKE SA 已经建立
• B. IPSec SA已经建立
• C. 邻居地址是2.2.2.1
• D. IKE采用的是V1版本

:正确答案: B:IPSec SA已经建立;

68. (单选题, 5分)【单选题】关于windows和linux的对比,以下哪个说法是错误的?

• A. linux新手入门较困难,需要一些学习和指导
• B. windows下可以兼容绝大部分的软件,玩大部分的游戏
• C. linux是开放的源代码,你想怎么做就怎么做
• D. windows是开放源代码,你想怎么做就怎么做

:正确答案: D:windows是开放源代码,你想怎么做就怎么做;

69. (单选题, 5分)【单选题】电子证据保全直接关系到证据法律效力,符合法律手续的保全,其真实性和可靠性才有保障,下列哪项不属于证据保全技术?

• A. 加密技术
• B. 数字证书技术
• C. 数字签名技术
• D. 报文标记追踪技术

:正确答案: D:报文标记追踪技术;

70. (单选题, 5分)【单选题】VGMP组出现以下哪种情况时,不会主动向对端发送VGMP报文/

• A. 双机热备份功能启用
• B. 手工切换防火墙主备状态
• C. 防火墙业务接口故障
• D. 会话表表项变化

:正确答案: D:会话表表项变化;

71. (单选题, 5分)【单选题】关于安全策略配置命令,以下哪项是正确的?

• A. 禁止从trust区域访问untrust区域且目的地址为10.1.10.10主机的ICMP报文
• B. 禁止从trust区域访问untrust区域且目的地址为10.1.0.0/16网段的所有主机ICMP报文
• C. 禁止从trust区域访问untrust区域且源地址为10.1.0.0/16网段来的所有主机ICMP报文
• D. 禁止从trust区域访问untrust区域且源地址为10.2.10.10主机来的所有主机ICMP报文

:正确答案: C:禁止从trust区域访问untrust区域且源地址为10.1.0.0/16网段来的所有主机ICMP报文;

72. (单选题, 5分)【单选题】关于防火墻安全策略,以下唧项是正确的?

• A. 缺省情况,安全策略能够对单播报文和广播报文进行控制.
• B. 缺省情况,安全策略能够对组播进行控制
• C. 缺省情况,安全策略仅对单播报文进行控制.
• D. 缺省情况,安全策略能够对单播报文、广播报文和组播报文进行控制

:正确答案: C:缺省情况,安全策略仅对单播报文进行控制.;

73. (单选题, 5分)【单选题】关于防火墙的描述,以下哪项是正确的

• A. 防火墙不能透明接入网络.
• B. 防火墙添加到在网络中,必然会改变网络的拓扑.
• C. 为了避免单点故障,防火墙只支持旁挂部署
• D. 根据使用场景的不同,防火墙可以部署为透明模式,也可以部署为三居镆式.

:正确答案: D:根据使用场景的不同,防火墙可以部署为透明模式,也可以部署为三居镆式.;

74. (单选题, 5分)【单选题】在华为USG系列设备上,管理员希望擦除配置文件,下列哪项命令是正确的?

• A. clear saved-configuration
• B. reset saved-configuration
• C. reset current-configuration
• D. reset running-configuration

:正确答案: B:reset saved-configuration;

75. (单选题, 5分)【单选题】在数字签名过程中,主要是对以下哪项进行了HASH算法从而验证数据传输的完整性?

• A. 用户数据
• B. 对称密钥
• C. 接收方公钥
• D. 接收方私钥

:正确答案: A:用户数据;

76. (单选题, 5分)【单选题】以下哪项流量匹配了认证策略会触发认证?

• A. 访问设备或设备发起的流量
• B. DHCP、BGP、OSPF、LDP报文
• C. 访问者访问HTTP业务的流量
• D. 第一条HTTP业务数据流对应的DNS报文

:正确答案: C:访问者访问HTTP业务的流量;

77. (单选题, 5分)【单选题】关于IKE SA,以下哪项描述是错误的?

• A. IKE SA是双向的
• B. IKE是基于UDP的应用层协议
• C. IKE SA是为IPSec SA服务的
• D. 用户数据报文采用的加密算法由IKE SA决定

:正确答案: D:用户数据报文采用的加密算法由IKE SA决定;

78. (单选题, 5分)【单选题】关于VPN,以下哪项说法是错误的?

• A. 虚拟专用网络相较于专线成本更低
• B. VPN技术必然涉及加密技术
• C. VPN技术是一种在实际物理线路上复用出逻辑通道的技术
• D. VPN技术的产生使得出差员工可以远程访问企业内部服务器

:正确答案: B:VPN技术必然涉及加密技术;

79. (单选题, 5分)【单选题】通常我们会把服务器分为通用服务器和功能服务器两大类,以下哪个选项符合这种分类标准?

• A. 按应用层次划分
• B. 按用途划分
• C. 按外形划分
• D. 按体系构架划分

:正确答案: B:按用途划分;

80. (单选题, 5分)【单选题】关于HRP主备配置一致性检查内容不包括下列那个选项?

• A. NAT策略
• B. 是否配置了相同序号的心跳接口
• C. 静态路由的下一跳和出接口
• D. 认证策略

:正确答案: C:静态路由的下一跳和出接口;

81. (单选题, 5分)【单选题】关于NAT配置的说法,以下哪项是错误的?

• A. 在透明模式下配置源NAT,防火墙不支持easy-ip方式
• B. 地址池中的IP地址可以与NAT server的公网IP地址重叠
• C. 网络中有VoIP业务时,不需要配置NAT ALG
• D. 防火墙不支持对ESP和AH报文进行NAPT转换

:正确答案: B:地址池中的IP地址可以与NAT server的公网IP地址重叠;

82. (单选题, 5分)【单选题】网络攻击事件发生后,根据预案设置隔离区域、汇总数据以及估计损失,上述动作属于网络安全应急响应中哪个阶段中的工作内容?

• A. 准备阶段
• B. 检测阶段
• C. 抑制阶段
• D. 恢复阶段

:正确答案: C:抑制阶段;

83. (单选题, 5分)【单选题】以下哪种攻击不属于网络攻击?

• A. IP欺骗攻击
• B. Smurf攻击
• C. MAC地址欺骗攻击
• D. ICMP攻击

:正确答案: C:MAC地址欺骗攻击;

84. (单选题, 5分)【单选题】关于VGMP管理的抢占功能的描述,以下哪项是错误的?

• A. 缺省情况下,VGMP管理组的抢占功能为启用状态
• B. 缺省情况下,VGMP管理组的抢占延迟时间为40s
• C. 抢占是指当原来出现故障的主设备故障恢复时,其优先级会恢复,此时可以重新将自己的状态抢占为主
• D. 当VRRP备份组加入到VGMP管理组后,VRRP备份组上原来的抢占功能失效

:正确答案: B:缺省情况下,VGMP管理组的抢占延迟时间为40s;

85. (单选题, 5分)【单选题】在IPSec VPN传输模式中,数据报文被加密的区域是哪部分?

• A. 网络层及上层数据报文
• B. 原IP报文头
• C. 新IP报文头
• D. 传输层及上层数据报文

:正确答案: D:传输层及上层数据报文;

86. (单选题, 5分)【单选题】关于windows日志,以下哪项描述是错误的?

• A. 系统日志用于记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据
• B. windows server 2008的系统日志存放在Application.evtx中
• C. 应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件
• D. windows server 2008 的安全日志存放在security.evtx中

:正确答案: B:windows server 2008的系统日志存放在Application.evtx中;

87. (单选题, 5分)【单选题】针对IP欺骗攻击(IP Spoofing)的描述,以下哪项是错误?

• A. IP欺骗攻击是利用了主机之间正常的基于IP地址的信任关系来发动的
• B. IP欺骗攻击成功后,攻击者可使用伪造的任意IP地址模仿合法主机访问关键信息
• C. 攻击者需要把源IP地址伪装成被信任主机,并发送带有SYN标注的数据段请求连接
• D. 基于IP地址的信任关系的主机之间无需输入口令验证就可以直接登录

:正确答案: C:攻击者需要把源IP地址伪装成被信任主机,并发送带有SYN标注的数据段请求连接;

88. (单选题, 5分)【单选题】在USG系列防火墙中,可以通过以下哪个命令查询NAT转换结果?

• A. display nat translation
• B. display firewall session table
• C. display current nat
• D. display firewall nat translation

:正确答案: B:display firewall session table;

89. (单选题, 5分)【单选题】电子证据保全直接关系到证据法律效力,符合法律手续的保全,其真实性和可靠性才有保障。下列哪项不属于证据保全技术?

• A. 加密技术
• B. 数字证书技术
• C. 数字签名技术
• D. 报文标记追踪技术

:正确答案: D:报文标记追踪技术;

90. (单选题, 5分)【单选题】关于IPSec SA,以下哪项说法是正确的?

• A. IPSec SA是单向的
• B. IPSec SA是双向的
• C. 用于生成加密密钥
• D. 用于生成机密算法

:正确答案: A:IPSec SA是单向的;

91. (单选题, 5分)【单选题】安全评估方法的步骤不包括下列哪项?

• A. 人工审计
• B. 渗透测试
• C. 问卷调查
• D. 数据分析

:正确答案: D:数据分析;

92. (单选题, 5分)【单选题】在等保2.0中,哪一项规定了“应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾防护机制的升级和更新”?

• A. 恶意代码防范
• B. 通信传输
• C. 集中管控
• D. 边界防护

:正确答案: A:恶意代码防范;

93. (单选题, 5分)【单选题】以下哪个选项不属于五元组范围?

• A. 源IP
• B. 源MAC
• C. 目的IP
• D. 目的端口

:正确答案: B:源MAC;

94. (单选题, 5分)【单选题】在状态检测防火墙中,开启状态检测机制时,三次握手的第二个报文(SYN+ACK)到达防火墙的时候,如果防火墙上还没有对应的会话表,以下哪项描述是正确的?

• A. 防火墙不会创建会话表,但是允许报文通过
• B. 如果防火墙安全策略允许报文通过,则创建会话表
• C. 报文一定不能通过防火墙
• D. 报文一定能通过防火墙,并建立会话

:正确答案: C:报文一定不能通过防火墙;

95. (单选题, 5分)【单选题】在USG系统防火墙中,可以使用————功能为非知名端口提供知名应用服务。

• A. 端口映射
• B. MAC与IP地址绑定
• C. 包过滤
• D. 长连接

:正确答案: A:端口映射;

96. (单选题, 5分)【单选题】关于查看安全策略匹配次数的命令,以下哪项是正确的?

• A. display firewall sesstion table
• B. display security-policy all
• C. display security-policy count
• D. count security-policy hit

:正确答案: B:display security-policy all;

97. (单选题, 5分)【单选题】以下哪个选项属于二层VPN技术?

• A. SSL VPN
• B. L2TP VPN
• C. GRE VPN
• D. IPSec VPN

:正确答案: B:L2TP VPN;

98. (单选题, 5分)【单选题】关于VGMP的组管理的描述,以下哪项是错误的?

• A. VRRP备份组的主/备状态变化都需要通知其所属的VGMP管理组
• B. 两台防火墙心跳口的接口类型和编号可以不同,只要能够保证二层互通即可
• C. 主备防火墙的VGMP之间定时发动hello报文
• D. 主备设备通过心跳线交互报文了解对方状态,并且备份相关命令和状态信息。

:正确答案: B:两台防火墙心跳口的接口类型和编号可以不同,只要能够保证二层互通即可;

99. (单选题, 5分)【单选题】以下哪种攻击不属于畸形报文攻击?

• A. Teardrop攻击
• B. Smurf攻击
• C. TCP分片攻击
• D. ICMP不可达报文攻击

:正确答案: D:ICMP不可达报文攻击;

100. (单选题, 5分)【单选题】关于NAT地址转换,以下哪项说法是错误的?

• A. 源NAT技术中配置NAT地址池,可以在地址池中只配置一个IP地址
• B. 地址转换可以按照用户的需要,在局域网内向外提供FTP、WWW、Telnet等服务
• C. 有些应用层协议在数据中携带IP地址信息,对它们作NAT时还要修改上层数据中的IP地址信息
• D. 对于某些TCP、UDP的协议(如ICMP 、PPTP),无法做NAT转换

:正确答案: D:对于某些TCP、UDP的协议(如ICMP 、PPTP),无法做NAT转换;

101. (单选题, 5分)【单选题】在USG系统防火墙上配置NAT Server时,会产生server-map表,以下哪项不属于该表现中的内容?

• A. 目的IP
• B. 目的端口号
• C. 协议号
• D. 源IP

:正确答案: D:源IP;

102. (单选题, 5分)【单选题】以下哪个选项不属于散列算法?

• A. MD5
• B. SHA1
• C. SM1
• D. SHA2

:正确答案: C:SM1;

103. (单选题, 5分)【单选题】以下哪个选项不是USG6000系列设备支持的证书保存文件格式?

• A. PKCS#12
• B. DER
• C. PEM
• D. PKCS#

:正确答案: D:PKCS#;

104. (单选题, 5分)【单选题】以下哪项在数字签名技术中用于对数字指纹进行加密?

• A. 发送方公钥
• B. 发送方私钥
• C. 接收方公钥
• D. 接收方私钥

:正确答案: B:发送方私钥;

105. (单选题, 5分)【单选题】入侵检测的内容涵盖授权的和非授权的各种入侵行为,以下哪项行为不属于入侵检测范围?

• A. 冒充其他用户
• B. 管理员误删配置
• C. 种植蠕虫木马
• D. 泄露数据信息

:正确答案: B:管理员误删配置;

106. (单选题, 5分)【单选题】针对ARP欺骗攻击的描述,以下哪项是错误的

• A. ARP实现机制只考虑正常业务交互,对非正常业务交互或恶意行为不做任何验证
• B. ARP欺骗攻击只能通过ARP应答来实现,无法通过ARP请求实现
• C. 当某主机发送正常ARP请求时,攻击者会抢先应答,导致主机建立一个错误的IP和MAC映射关系
• D. ARP静态绑定是解决ARP欺骗攻击的一种方案,主要应用在网络规模不大的场景

:正确答案: B:ARP欺骗攻击只能通过ARP应答来实现,无法通过ARP请求实现;

107. (单选题, 5分)【单选题】以下哪个选项是L2TP报文使用的端口号?

• A. 17
• B. 500
• C. 1701
• D. 4500

:正确答案: C:1701;

108. (单选题, 5分)【单选题】关于防火墙安全策略,以下哪项是正确的?

• A. 缺省情况,安全策略能够对单播报文和广播报文进行控制
• B. 缺省情况,安全策略能够对组播进行控制
• C. 缺省情况,安全策略仅对单播报文进行控制
• D. 缺省情况,安全策略能够对单播报文、广播报文和组播报文进行控制

:正确答案: C:缺省情况,安全策略仅对单播报文进行控制;

109. (单选题, 5分)【单选题】双机热备的缺省备份方式是以下哪种?

• A. 自动备份
• B. 手工批量备份
• C. 会话快速备份
• D. 设备重启后主备FW的配置

:正确答案: A:自动备份;

110. (单选题, 5分)【单选题】针对发生的重大网络安全事件,所对应的预警是哪个等级?

• A. 红色预警
• B. 橙色预警
• C. 黄色预警
• D. 蓝色预警

:正确答案: B:橙色预警;

111. (单选题, 5分)【单选题】关于电子证据来源,以下哪项描述是错误的?

• A. 传真资料,手机录音属于与通信技术有关的电子证据。
• B. 电影,电视剧属于与网络技术有关的电子证据.
• C. 数据库操作记录,操作系统日志属于与计算机有关的电子证据•
• D. 操作系统曰志,e-mail,聊天记录都可以作为电子证据的来源

:正确答案: B:电影,电视剧属于与网络技术有关的电子证据.;

112. (单选题, 5分)【单选题】关于上网用户和VPN接入用户认证的描述,以下哪项是错误的?

• A. 上网用户和VPN接入用户共享数据,用户的属性检查(用户状态、账号过期时间等)同样对
  VPN接入生效
• B. 上网用户采用本地认证或服务器认证过程基本一致,都是通过认证域对用户进行认证,用户触发方式也相同
• C. VPN用户接入网络后,可以访问企业总部的网络资源,防火墙可以基于用户名控制可访问的网络资源
• D. VPN接入用户通过认证后将同时在用户在线列表上线

:正确答案: B:上网用户采用本地认证或服务器认证过程基本一致,都是通过认证域对用户进行认证,用户触发方式也相同;

113. (单选题, 5分)【单选题】以下关于补丁的描述哪项是错误的?

• A. 补丁是软件的原作者针对发现的漏洞制作的小程序
• B. 不打补丁也不影响系统的运行,所以,打补丁与否是无关紧要的。
• C. 补丁程序一般会不断更新。
• D. 计算机用户应及时下载并安装最新补丁以保护自己的系统

:正确答案: B:不打补丁也不影响系统的运行,所以,打补丁与否是无关紧要的。;

114. (单选题, 5分)【单选题】关于入侵防御系统(IPS)的描述,以下哪项是错误的?

• A. IDS设备需要与防火墙联动才能阻断入侵
• B. IPS设备在网络中不能采取旁路部署方式
• C. IPS设备可以串接在网络边界,在线部署
• D. IPS设备一旦检测出入侵行为可以实现实时阻断

:正确答案: B:IPS设备在网络中不能采取旁路部署方式;

115. (单选题, 5分)【单选题】下列哪个选项不属于windows操作系统的日志类型?

• A. 业务日志
• B. 应用程序日志
• C. 安全日志
• D. 系统日志

:正确答案: A:业务日志;

116. (单选题, 5分)【单选题】配置用户单点登录时,采用接收PC消息模式,其认证过程有以下步骤:
1访问者PC执行登录脚本,将用户登录信息发给AD监控器
2防火墙从登录信息中提取用户和IP的对应关系添加到在线用户表
3AD监控器连接到AD服务器查询登录用户信息,并将查询到的用户信息转发到防火墙
4访问者登录AD域,AD服务器向用户返回登录成功消息并下发登录脚本以下哪项的排序是正确的?

• A. 1-2-3-4
• B. 4-1-3-2
• C. 3-2-1-4
• D. 1-4-3-2

:正确答案: B:4-1-3-2;

117. (单选题, 5分)【单选题】管理员希望创建web配置管理员,设备web访问端口号20000,且管理员为管理员级别,以下哪项命令事正确的?

• A. Stepl:
  Web-manager secunity enable port 20000
  Step2:AAA View
  NJ
  [USG] aaabbs.hh010.com
  [USG-aaa]manager-user client001
  [USG-aaa-manager-user dient001 ]senvicetype web
  [USG-aa-manager-user-dientD01]level 15
  [USG-aaa-manager-user-cient001 lpassword cipher Admin@123
• B. Stepl:
  Web-manager enable port 20000
  Step2:AAA View
  NJ
  [USG]
  Aaa
  Bbs.hh010.com
  [USG-aaa manager-user client001
  [USG-aaa-manager-user-dient001]service-type web
  [USG-aaa-manager-user-dient001]password cipher Admin@123
• C. Stepl:
  Web-manager security enable port 20000
  Step2:AA View
  [USG] 8aa
  Bbs.hh010.com
  [USG-aaa]manager-user client001
  [USG-aa-manager-user-dlient001]service-type web
  [USG-aaa-manager-user-client001]password cipher
• D. Step1:
  Web-manager security enable port 20000
  Step2:AAA View
  N
  [USG] 8aa
  Bbs.hh010.com
  [USG-aaa]manager-user client001
  I (USG-8aa-manager-user-client001 ]service-type web
  [USG-aaa-manager-user dient001]level 1
  [USG-aaa-manager-user-dient001 password cipher Admin@123

:正确答案: A:Stepl:Web-manager secunity enable port 20000Step2:AAA ViewNJ[USG] aaabbs.hh010.com[USG-aaa]manager-user client001[USG-aaa-manager-user dient001 ]senvicetype web[USG-aa-manager-user-dientD01]level 15[USG-aaa-manager-user-cient001 lpassword cipher Admin@123;

118. (单选题, 5分)【单选题】以下哪项是事件响应管理的正确顺序?
1检测
2报告
3缓解
4总结经验
5修复
6恢复
7响应

• A. 1-3-2-7-5-6-4
• B. 1-3-2-7-6-5-4
• C. 1-2-3-7-6-5-4
• D. 1-7-3-2-6-5-4

:正确答案: D:1-7-3-2-6-5-4;

119. (单选题, 5分)【单选题】关于L2TP VPN的说法,以下哪项是错误的?

• A. 适用于出差员工拨号访问内网
• B. 不会对数据进行加密操作
• C. 可以与IPsec VPN结合使用
• D. 属于三层VPN技术

:正确答案: D:属于三层VPN技术;

120. (单选题, 5分)【单选题】下列哪项是网络地址端口转换(NAPT)与仅转换网络地址(No-PAT)的区别?

• A. 经过No-PAT转换后,对于外网用户,所有报文都来自同一个IP地址
• B. No-PAT只支持传输层的协议端口转换
• C. NAPT只支持网络层的协议地址转换
• D. No-PAT支持网络层的协议地址转换

:正确答案: D:No-PAT支持网络层的协议地址转换;

121. (单选题, 5分)【单选题】下列哪项不是国家互联网应急中心的业务范围?

• A. 应急处理安全事件
• B. 预警通报安全事件
• C. 为政府部门、企事业单位提供安全评测服务
• D. 与其他机构合作,提供培训服务

:正确答案: D:与其他机构合作,提供培训服务;

122. (单选题, 5分)【单选题】数字签名技术通过对以下哪项数据进行了加密从而获得数字签名?

• A. 用户数据
• B. 接收方公钥
• C. 发送方公钥
• D. 数字指纹

:正确答案: D:数字指纹;

123. (单选题, 5分)【单选题】企业影响分析(BIA)不包括以下哪项?

• A. 业务优先级
• B. 事故处理优先级
• C. 影响评估
• D. 风险识别

:正确答案: B:事故处理优先级;

124. (单选题, 5分)【单选题】HRP(Huawei Redundancy Protocol)协议,用来将防火墙关键配置和连接状态等数据向备防火墙上同步,以下哪个选项不属于同步的范围?

• A. 安全策略
• B. NAT策略
• C. 黑名单
• D. IPS签名集

:正确答案: D:IPS签名集;

125. (单选题, 5分)【单选题】攻击者发送源地址和目的地址相同,或者源地址为环回地址的 SYN 报文给目标主机(源端口和目的端口相同,导致被攻击者向其自己的地址发进妇 SYN-AKY 消息这种行为黑哪种攻击?()

• A. Smurf 攻击
• B. SYN Flood 攻击
• C. TCP 欺骗攻击
• D. Land 攻击

:正确答案: D:Land 攻击;

126. (单选题, 5分)【单选题】管理员希望清除当前会话表。以下哪个命令是正确的了?

• A. display session table
• B. display firewall session table
• C. reset firewall session table
• D. clear firewall session table

:正确答案: C:reset firewall session table;

127. (单选题, 5分)【单选题】下列不属于常见的数字证书的应用场景的是?

• A. FTP
• B. HTTPS
• C. IPSEC VPN
• D. SSL VPN

:正确答案: A:FTP;

128. (单选题, 5分)【单选题】下列哪个信息不是双机热备中状态信息备份所包含的备份内容?(

• A. IPSEC 隧道
• B. NAPT 相关表项
• C. IPv4 会话表
• D. 路由表

:正确答案: D:路由表;

129. (单选题, 5分)【单选题】下列哪项不是单机反病毒技术?

• A. 网络防火墙上配置反病毒技术
• B. 使用病毒检测工具
• C. 为系统打补丁

:正确答案: A:网络防火墙上配置反病毒技术;

130. (单选题, 5分)【单选题】下列哪个协议不属于 ASPF 能够检测的协议类型?C

• A. PPTP
• B. FTP
• C. MSTP
• D. DNS

:正确答案: C:MSTP;

131. (单选题, 5分)【单选题】在 TCP/P 协议核中,下列哪项协议工作在应用层?(

• A. IGMP
• B. ICMP
• C. RIP
• D. ARP

:正确答案: C:RIP;

132. (单选题, 5分)【单选题】防火墙接入用户认证的触发认证方式,不包括以下的哪一项?

• A. MPLS VPN
• B. SSL VPN
• C. IPSec VPN
• D. L2TP VPN

:正确答案: A:MPLS VPN;

133. (单选题, 5分)【单选题】以下关于单点登录主要实现方式的描述中,错误的是哪一项?

• A. 接受 PC 消息模式
• B. 查询 AD 服务器安全日志模式
• C. 查询 syslog 服务器模式
• D. 防火墙监控 AD 认证报文

:正确答案: C:查询 syslog 服务器模式;

134. (单选题, 5分)【单选题】下列哪个不是防火墙缺省的安全区域

• A. untrust trust
• B. trust zone
• C. dmz zone
• D. isp zone)

:正确答案: D:isp zone);

135. (单选题, 5分)【单选题】下列关于心跳接口的描述中错误的是

• A. 建议至少配置 2 个心跳接口。-个心跳接口作为主用,另一个心跳接口作为备份。
• B. 接口 MTU 值大于 1500 不能作为心跳接口
• C. 心跳接口的连线方式可以是直连,也可以通过交换机或路由器连接
• D. MGMT 接口(Gigabi tEtherneto/0/0)不能作为心跳接口

:正确答案: B:接口 MTU 值大于 1500 不能作为心跳接口;

136. (单选题, 5分)【单选题】管理员通过 G1/0/0 接口(己将接口加入 Trust Zone)達接到防火墙,如果允許管理員通过 G1/0/0 登象防火堵迸行配置管理,則如何配置安全策略中放行的流量方向?(

• A. 放行 Trust Zone 到 Trust Zone 的流量
• B. 放行 Trust Zone 到 Untrust Zone 的流量
• C. 放行 Local Zone 到 Local Zone 的流量
• D. 放行 Trust Zone 到 Local Zone 的流量(I)

:正确答案: D:放行 Trust Zone 到 Local Zone 的流量(I);

137. (单选题, 5分)【单选题】下列哪一个协议不属于 ASPF 能够检测的协议类型

• A. MSTP
• B. FTP
• C. DNS
• D. PPTP

:正确答案: A:MSTP;

138. (单选题, 5分)【单选题】IPSec VPN 使用传输模式封装报文时,下列哪项不在 ESP 安全协议的认证范围?

• A. ESP Header
• B. IP Header
• C. ESP Iail
• D. ICP Header

:正确答案: B:IP Header;

139. (单选题, 5分)【单选题】下列哪项不属于防火墙的日志格式?

• A. 二进制格式
• B. netflow 格式
• C. ASCII 编码格式
• D. Syslog 格式

:正确答案: C:ASCII 编码格式;

140. (单选题, 5分)【单选题】下列哪项不属于对称加密算法中的分组加密算法?

• A. RC5
• B. RC4
• C. RC6
• D. RC2

:正确答案: B:RC4;

141. (单选题, 5分)【单选题】中间人攻击属于数据安全威胁。

• A. 正确
• B. 错误

:正确答案: A:正确;

142. (单选题, 5分)【单选题】以下关于iptables表功能的描述,错误的是哪一项?

• A. NAT表:地址转换的功能。
• B. Raw表:决定数据包是否被状态跟踪机制处理。
• C. Mangle表:修改安全策略
• D. Filter表:数据包中允许或者不允许的策略。

:正确答案: C:Mangle表:修改安全策略;

143. (单选题, 5分)【单选题】关于风险评估的描述,以下哪个选项是错误的?(单选)

• A. 风险评估需要监控体系运行。
• B. 风险评估需要做资产收集及风险评估方法培训。
• C. 风险评估需要评估风险并对风险等级进行划分。
• D. 风险评估需要识别威胁、脆弱性、并对安全漏洞进行扫描。

:正确答案: A:风险评估需要监控体系运行。;

144. (单选题, 5分)【单选题】TCP/IP协议栈数据包封装包括:以下哪项对封装顺序的描述是 1.Data 2.TCP/UDP3.MAC 4.IP

• A. 1234
• B. 1243
• C. 1342
• D. 1423

:正确答案: B:1243;

145. (单选题, 5分)【单选题】下列哪个不是防火墙缺省的安全区域?(单选)

• A. Untrust Zone
• B. DMZ Zone
• C. Trust Zone
• D. ISP Zone

:正确答案: D:ISP Zone;

146. (单选题, 5分)【单选题】下列哪项属于网络安全事件分类中的“信息破坏事件"?

• A. 软硬件故障
• B. 信息仿冒
• C. 网络扫描窃
• D. 听木马攻击

:正确答案: B:信息仿冒;

147. (单选题, 5分)【单选题】在信息保障阶段,需要从下列哪些角度入手考虑信息的安全问题?

• A. 管理
• B. 安全体系
• C. 业务
• D. 技术

:正确答案: B:安全体系;

148. (单选题, 5分)【单选题】攻击者发送源地址和目的地址相同,或者源地址为环回地址的sw报文给目标主机(源端口和目的端口相同),导致被攻击者向其自己的地址发送SYN-ACK消息。这种行为属于哪一种攻击?

• A. SYN flood攻击
• B. TCP欺骗攻击
• C. smurf 攻击
• D. Land攻击

:正确答案: D:Land攻击;

149. (单选题, 5分)【单选题】关于NAT技术,以下哪项描述是错误的?

• A. 在华为防火墙中,源NAT技术是指对发起连接的IP报文头中的源地址进行转换。
• B. 在华为防火墙中,Easy IP直接使用接口的公网地址作为转换后的地址,不需要配置NAT地址池。
• C. 在华为防火墙中,NAT No-PAT技术需要通过配置NAT地址池来实现。
• D. 在华为防火墙中,带端口转换的NAT技术只有NAPT.

:正确答案: D:在华为防火墙中,带端口转换的NAT技术只有NAPT.;

150. (单选题, 5分)【单选题】下列哪项SSLVPN功能能且仅能访问所有TCP资源?

• A. 网络扩展
• B. 端口转发
• C. web代理
• D. 文件共享

:正确答案: C:web代理;

151. (单选题, 5分)【单选题】以下关于数字签名中数字指纹的描述,错误的是哪一项?

• A. 接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。
• B. 它是发送方通过HASH算法对明文信息计算后得出的数据。
• C. 接收方会用发送方的公钥计算生成的数据指纹和收到的数字指纹进行对比。
• D. 数字指纹又称为信息摘要。

:正确答案: C:接收方会用发送方的公钥计算生成的数据指纹和收到的数字指纹进行对比。;

152. (单选题, 5分)【单选题】某公司员工通过防火墙访问公司内部的Web服务器,使用浏览器可以打开网站的网页,但是使用Ping命令测试到 Web 服务器的可达性,显示不可达。则可能的原因是什么?

• A. 防火墙上部署的安全策略放行了TCP协议,但是没有放行ICMP协议
• B. web服务器宕机
• C. 防火墙上部署的安全策略放行了HTTP协议,但是没有放行ICMP协议
• D. 防火墙连接服务器的接口没有加入安全区域

:正确答案: C:防火墙上部署的安全策略放行了HTTP协议,但是没有放行ICMP协议;

153. (单选题, 5分)【单选题】关于NAT技术,以下哪项描述是正确的?

• A. NAT网络的内网服务器无法被外网用户访问,所以如果部署了需要对外提供服务的服务器,一定要分配一个独立的公网地址给该服务器
• B. NAT降低网络监控难度
• C. NAT技术只能实现地址一对一的转换,无法实现地址复用
• D. NAT能够隐藏内网IP地址

:正确答案: D:NAT能够隐藏内网IP地址;

154. (单选题, 5分)【单选题】以下关于HWTACACS协议特性的描述,错误的是哪一项?

• A. 使用UDP协议
• B. 认证与授权分离
• C. 除了标准的HWTACACS报文头,对报文主体全部进行加密
• D. 适用于进行安全控制。

:正确答案: A:使用UDP协议;

155. (单选题, 5分)【单选题】公司管理员使用命令ping命令测试网络的连通性,如果他需要指定ehco-request报文的源地址,则他需要附加的参数是?

• A. -i
• B. -a
• C. -c
• D. –f

:正确答案: D:–f;

156. (单选题, 5分)【单选题】在Linux系统中,查询IP地址信息的命令是以下哪一项

• A. display ip
• B. ifconfig
• C. ipconfig
• D. display ip interface brief

:正确答案: B:ifconfig;

157. (单选题, 5分)【单选题】下列不属于数字证书的类型的是?

• A. 本地证书
• B. 终端证书
• C. 自签名证书
• D. 设备本地证书

:正确答案: D:设备本地证书;

158. (单选题, 5分)【单选题】如果发生境外不法分子利用互联网窃取我国国家机密的事件,则国家会启动哪种预警?

• A. 橙色预警
• B. 黄色预警
• C. 蓝色预警
• D. 红色预警

:正确答案: A:橙色预警;

159. (单选题, 5分)【单选题】信息安全防范包括管理和技术两方面措施,下列哪项措施不属于信息安全技术的防范方法?

• A. 对员工进行信息安全培训
• B. 对服务器进行漏洞扫描
• C. 对员工进行身份认证
• D. 防火墙上开启反病毒功能

:正确答案: C:对员工进行身份认证;

160. (单选题, 5分)【单选题】管理员通过G1/0/0接口(已将该接口加入Trustzone)连接到防火墙,如果允许管理员通过G1/0/o登录防火墙进行配置管理,则该如何配置安全策略中放行的流量方向?

• A. 放行Trust Zone到Untrust Zone的流量
• B. 放行Trust Zone到Local Zone的流量
• C. 放行Local Zone到Local Zone的流量
• D. 放行Trust Zone到Trust Zone的流量

:正确答案: B:放行Trust Zone到Local Zone的流量;

161. (单选题, 5分)【单选题】下列关于心跳接口的描述中错误的是?

• A. MGMT接口(GigabitEthernet0/0/0)不能作为心跳接口
• B. 心跳接口的连线方式可以是直连,也可以通过交换机或路由器连接
• C. 建议至少配置2个心跳接口。一个心跳接口作为主用,另一个心跳接口作为备份
• D. 按口MTU值大于1500的接口不能作为心跳接口

:正确答案: D:按口MTU值大于1500的接口不能作为心跳接口;

162. (单选题, 5分)【单选题】关于NAT No-PAT产生的Server Map表,以下哪项描述是正确的

• A. NAT No-PAT产生的Server Map的功能相当于安全策略,即匹配该Server Map表的报文可以直接通过防火墙,无需匹配安全策略。
• B. NAT No-PAT产生的Server Map默认有两条,有一个是反向的Server Map表,主要作用外网用户主动访问该私网用户时,无需另外配置NAT和安全策略即可进行地址转换进行访问。
• C. NAT No-PAT产生的Server Map是静态的,即配置好NAT No-PAT后,Server Map表会自动生成且永久存在。
• D. NAT No-PAT产生的Server Map默认有两条,有一个是正向的Server Map表,主要作用是保证特定私网地址访问公网时直接命中表项进行地址转换,提高效率。

:正确答案: C:NAT No-PAT产生的Server Map是静态的,即配置好NAT No-PAT后,Server Map表会自动生成且永久存在。;

163. (单选题, 5分)【单选题】防火墙对匹配到的认证数据流采取的处理方式,不包括以下哪个选项?

• A. Portal认证
• B. 免认证
• C. 微信认证
• D. 不认证

:正确答案: C:微信认证;

164. (单选题, 5分)【单选题】监视器对应下列哪项安全措施?

• A. 入侵检测系统
• B. 加密VPN
• C. 门禁系统
• D. 防火墙

:正确答案: A:入侵检测系统;

165. (单选题, 5分)【单选题】使用AH+ESP协议对P报文进行封装,需要建立几个IPSec SA?

• A. 2
• B. 1
• C. 4
• D. 3

:正确答案: A:2;

166. (单选题, 5分)【单选题】DES加密技术使用的密钥是位,而3DES加密技术使用的密钥是位。

• A. 56168
• B. 64168
• C. 64128
• D. 56128

:正确答案: D:56128;

167. (单选题, 5分)【单选题】当接入用户使用Client-Initiated VPN方式与LNS建立隧道时,一条隧道可以承载多少PPP接?

• A. 3
• B. 1
• C. 2
• D. 4

:正确答案: B:1;

168. (单选题, 5分)【单选题】关于防火墙支持的单点登录,不包括下列哪一项?

• A. RADIUS单点登录
• B. ISM单点登录
• C. AD单点登录
• D. HWTACACS单点登录

:正确答案: D:HWTACACS单点登录;

169. (单选题, 5分)【单选题】下列哪个信息不是双机热备中状态信息备份所包含的备份内容?

• A. NAPI相关表项
• B. lPv4会话表
• C. IPSEC隧道
• D. 路由表

:正确答案: D:路由表;

170. (单选题, 5分)【单选题】下列选项中,哪一个不是私网P地址?

• A. 192.168.254.254/16
• B. 172.32.1.1/24
• C. 10.32.254.254/24
• D. 10.10.10.10/8

:正确答案: B:172.32.1.1/24;

171. (单选题, 5分)【单选题】下列哪个选项不属于通信类电子证据?

• A. 电话录音
• B. 聊天记录
• C. 电子邮件
• D. 系统日志

:正确答案: A:电话录音;

172. (单选题, 5分)【单选题】SSL VPN不能加密下列哪项协议?

• A. HTTP
• B. UDP
• C. IP
• D. PPP

:正确答案: D:PPP;

173. (单选题, 5分)【单选题】防火墙接入用户认证的触发认证方式,不包括以下的哪项?

• A. SSL VPN
• B. L2TP VPN
• C. MPLS VPN
• D. IPSec VPN

:正确答案: C:MPLS VPN;

174. (单选题, 5分)【单选题】公司网络管理员在配置双机热备时,配置VRRP备份组1的状态为Active,并配置虚拟IP地址为10.1.1.1/24,则空白处需要键入的命令是

• A. rule name c
  Source-zone untrust
  Destination-zone trust
  Destination-address 202.106.1.132
  Action permit
• B. rule name d
  Source-zone untrust
  Destination-zone trust
  Destination-address 10.10.1.132
  Action permit
• C. security-policy
  Rule name a
  Source-zone untrust
  Source-address 202.106.1.132
  Action permit
• D. rule name b
  Source-zone untrust
  Destination-zone trust
  Source-address 10.10.1.1 32
  Action permit

:正确答案: A:rule name cSource-zone untrustDestination-zone trustDestination-address 202.106.1.132Action permit;

175. (单选题, 5分)【单选题】防火墙检测到病毒后,下列哪种情况会放行病毒?

• A. 命中应用例外
• B. 不是防火墙支持的协议
• C. 源IP命中白名单
• D. 命中病毒例外

:正确答案: C:源IP命中白名单;

176. (单选题, 5分)【单选题】下列关于双机热备的描述中错误的是?

• A. 无论是二层还是三层接口,无论是业务接口还是心跳接口,都需要加入安全区域
• B. 缺省情况下抢占延迟是60s
• C. 缺省情况下主动抢占功能是开启的
• D. 双机热备功能需要license支持

:正确答案: D:双机热备功能需要license支持;

177. (单选题, 5分)【单选题】以下关于对称加密技术的描述中,错误的是哪项?

• A. 系统开销小。
• B. 扩展性好。
• C. 效率高,算法简单。
• D. 适合加密大量数据。

:正确答案: B:扩展性好。;

178. (单选题, 5分)【单选题】如使用Client-lnitiated方式建立L2TP VPN时,下列哪项是报文的终点?

• A. LNS
• B. 接入用户
• C. 服务器
• D. LAC

:正确答案: A:LNS;

179. (单选题, 5分)【单选题】以下哪种安全威胁属于应用安全威胁?

• A. 中间人攻击
• B. 用户身份未经验证
• C. 病毒、木马
• D. 网络入侵

:正确答案: C:病毒、木马;

180. (单选题, 5分)【单选题】下列有关VGMP组的描述中正确的是?

• A. VGMP组中VRRP的优先级会随着VGMP变化而变化
• B. VGMP是用来控制VRRP组状态的协议
• C. USG6000的默认优先级是65000
• D. USG9000的默认优先极是45000

:正确答案: B:VGMP是用来控制VRRP组状态的协议;

181. (单选题, 5分)【单选题】下列哪个选项不属于被动获取信息的手段?

• A. 端口扫描
• B. 端口镜像
• C. 收集日志
• D. 抓包

:正确答案: D:抓包;

182. (单选题, 5分)【单选题】以下哪个NAT技术属于目的NAT技术?

• A. Easy-ip
• B. NAT No-PAT
• C. NAPT
• D. NAT Server

:正确答案: D:NAT Server;

183. (单选题, 5分)【单选题】当发生网络安全事件后,对入侵行为、病毒或木马进行排查,对主机进行修补加固。上述动作属于网络安全应急响应哪个阶段中的工作内容?

• A. 恢复阶段
• B. 检测阶段
• C. 根除阶段
• D. 抑制阶段

:正确答案: D:抑制阶段;

184. (单选题, 5分)【单选题】在TCP/IP协议栈中,下列哪项协议工作在应用层?

• A. ICMP
• B. IGMP
• C. RIP
• D. ARP

:正确答案: C:RIP;

185. (单选题, 5分)【单选题】USG防火墙NAT配置如下:

• A. FTP Server回应Client A时转化为地址地1中的地址1.1.1.5
• B. 源NAT配置,只能针对内网用户(10.1.1.0/24)访问外网进行转换
• C. 当把FTP Server主机的IP地址改为1.11.3. Client A主机仍然能够访问FTP Server
• D. Client A访问FTP Server 1.1.1.1,目的地址转化为10.1.1.2,源地址不变

:正确答案: C:当把FTP Server主机的IP地址改为1.11.3. Client A主机仍然能够访问FTP Server;

186. (单选题, 5分)【单选题】以下哪—项不属于二层VPN技术?

• A. PPTP
• B. IPsec
• C. L2TP
• D. L2F

:正确答案: B:IPsec;

187. (单选题, 5分)【单选题】证据保全直接关系到证据的法律效力,以下哪一项不属于证据保全技术?

• A. 数字证书技术
• B. 加密技术
• C. 数据挖掘技术
• D. 数字签名技术

:正确答案: C:数据挖掘技术;

188. (单选题, 5分)【单选题】针对入侵检测系统的描述,以下哪项是错误的?.

• A. 入侵检测系统可以通过网络和计算机动态地搜集大量关键信息资料.并能及时分析和判断整个系统 环境的目前状态
• B. 入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻态的痕迹等,可以实施阻断操作
• C. 入侵检测系统包括用于入侵检测的所有软硬件系统
• D. 入浸检测系统可与防火墙、交换机进行联动,成为防火墙的得力“助手”,更好,更精确的控制域间的流量访问

:正确答案: B:入侵检测系统一旦发现有违反安全策略的行为或系统存在被攻态的痕迹等,可以实施阻断操作;

189. (单选题, 5分)【单选题】关于数据包在iptables传输过程中的描述,以下哪个选项是错误的?

• A. 当一个数据包进入网卡时,它首先去匹配PREROUTING链
• B. 如果数据包的目的地址是本机,则系统会将该数据包发往INPUT链。
• C. 如果数据包的目的地址不是本机,系统把数据包发往OUTPUT链
• D. 如果数据包的目的地址不是本机,系统把数据包发往FORWARD链。

:正确答案: C:如果数据包的目的地址不是本机,系统把数据包发往OUTPUT链;

190. (单选题, 5分)【单选题】关于操作系统的描述,以下哪项是错误的?

• A. 操作系统是用户和计算机之间的接口
• B. 操作系统负责管理计算机系统的全部硬件资源和控制软件的执行。
• C. 操作系统与用户对话的界面都是图形界面
• D. 操作系统本身也是软件

:正确答案: C:操作系统与用户对话的界面都是图形界面;

191. (单选题, 5分)【单选题】以下哪项不属于防火墙双机热备需要具备的条件?

• A. 防火墙硬件型号一致
• B. 防火墙软件版本一致
• C. 使用的接口类型及编号一致
• D. 防火墙接口IP地址一致

:正确答案: D:防火墙接口IP地址一致;

192. (单选题, 5分)【单选题】人工审计是对工具评估的一种补充,它不需要在被评估的目标系统上安装任何软件,对目标系统的运行和状态没有任何影响。人工审计的内容不包括下列哪个选项?

• A. 对主机操作系统的人工检测
• B. 对数据库的人工检查
• C. 对网络设备的人工检查
• D. 对管理员操作设备流程的人工检查

:正确答案: D:对管理员操作设备流程的人工检查;

193. (单选题, 5分)【单选题】关于L2TP樓道的呼叫建立流程排序,以下哪项描述是正确的顺序?1 建立 L2TP 隧道 2.建立 PPP 连接3.LNS 对用户进行认证 4.用户访问内网资源 5.建立 L2TP 会话"

• A. 1->2->3->5->4
• B. 1->5->3->2->4
• C. 2->1->5->3->4
• D. 2->3->1->5->4

:正确答案: B:1->5->3->2->4;

194. (单选题, 5分)【单选题】IP报文头中的协议(protocol)字段标识了其上层所使用的协议,以下哪个字段值表示上层协议为UDP协议?

• A. 6
• B. 17
• C. 11
• D. 18

:正确答案: B:17;

195. (单选题, 5分)【单选题】以下哪个选项不是IPSec SA的标识?

• A. SPI
• B. 目的地址
• C. 源地址
• D. 安全协议

:正确答案: C:源地址;

196. (单选题, 5分)【单选题】申请应急响应专项资金,采购应急响应软硬件设备属于网络完全应急响应中哪个阶段中的工作内容?

• A. 准备阶段
• B. 抑制阶段
• C. 响应阶段
• D. 恢复阶段

:正确答案: A:准备阶段;

197. (单选题, 5分)【单选题】关于漏洞的扫描,以下哪项是错误的?

• A. 漏洞是事先未知、事后发现的。
• B. 漏洞一般是可以修补的
• C. 漏洞是安全隐患,会使计算机遭受黑客攻击
• D. 漏洞是可以避免的

:正确答案: D:漏洞是可以避免的;

198. (单选题, 5分)【单选题】在华为SDSec解决方案中,下列哪项属于分析层设备?

• A. CIS
• B. Agile Controller
• C. switch
• D. Firehunter

:正确答案: D:Firehunter;

199. (单选题, 5分)【单选题】在部署IPSec VPN时,以下哪项属于隧道模式的主要应用场景?

• A. 主机与主机之间
• B. 主机与安全网关之间
• C. 安全网关之间
• D. 主机和服务器之间

:正确答案: C:安全网关之间;

200. (单选题, 5分)【单选题】关于风险评估的描述,以下哪个选项是错误的?(

• A. 风险评估需要做资产收集及风险评估方法培训
• B. 风险评估需要识别威胁、脆弱性、并对安全漏洞进行扫描。
• C. 风险评估需要评估风险并对风险等级进行划分
• D. 风险评估需要监控体系运行。

:正确答案: D:风险评估需要监控体系运行。;

201. (单选题, 5分)【判断题】GRE隧道两端的隧道地址可以配置为不同网段的地址

• A. 正确
• B. 错误

:正确答案: A:正确;

202. (单选题, 5分)【单选题】下列哪项 SSL VPN 功能能且只能访问所有的 TCP 资源?

• A. 网络扩展
• B. 文件共享
• C. WEB 代理
• D. 端口转发

:正确答案: C:WEB 代理;

203. (单选题, 5分)【单选题】下列哪项不是单机反病毒技术?

• A. 安装杀毒软件
• B. 网络防火墙上配置反病毒技术
• C. 使用病毒检测工具
• D. 为系统打补丁

:正确答案: B:网络防火墙上配置反病毒技术;

204. (单选题, 5分)【单选题】IPSec VPN 使用隧道模式封装报文时,下列哪项不在 ESP 安全协议的加密范围?

• A. ESP Header
• B. TCP Header
• C. Raw IP Header
• D. ESP Tail

:正确答案: A:ESP Header;

205. (单选题, 5分)【单选题】关于上网用户组管理的说法,以下哪项是错误的?

• A. 每个用户组可以包括多个用户和用户组。
• B. 每个用户组可以属于多个父用户组。
• C. 系统默认有一个 default 用户组,该用户组同时也是系统默认认证域.
• D. 每个用户至少属于一个用户组,也可以属于多个用户组.

:正确答案: B:每个用户组可以属于多个父用户组。;

206. (单选题, 5分)【单选题】在某些场景下,既要对源 IP 地址进行转换,又要对目的 IP 地址进行转换,该场景使用 以下哪项技术?

• A. 双向 NAT
• B. 源 NAT
• C. NAT-Server
• D. NAT ALG

:正确答案: A:双向 NAT;

207. (单选题, 5分)【单选题】在信息安全体系建设管理周期中,下列哪一项的行为是"Check"环节中需要实施的?

• A. 安全管理体系设计
• B. 安全管理体系实施
• C. 风险评估
• D. 安全管理体系运行监控

:正确答案: D:安全管理体系运行监控;

208. (单选题, 5分)【单选题】93. 对于会话首包在防火墙域间转发的流程,有以下几个步骤: 1、查找路由表 2、查找域间包过滤规则 3、查找会话表 4、查找黑名单 下列哪项顺序是正确的?

• A. 1->3->2->4
• B. 3->2->1->4
• C. 3->4->1->2
• D. 4->3->1->2

:正确答案: C:3->4->1->2;

209. (单选题, 5分)【单选题】关于 NAT 地址池的配置命令如下: nat address-group 1 section 0 202.202.168.10 202.202.168.20 mode no-pat 其中,no-pat 参数的含义是:

• A. 不做地址转换
• B. 进行端口复用
• C. 不转换源端口
• D. 转换目的端口

:正确答案: C:不转换源端口;

210. (单选题, 5分)【单选题】以下哪种攻击不属于网络层攻击?

• A. IP 欺骗攻击
• B. Smurf 攻击
• C. MAC 地址欺骗攻击
• D. ICMP 攻击

:正确答案: C:MAC 地址欺骗攻击;

211. (单选题, 5分)【单选题】下列哪一项是 P2DR 模型中的核心部分?

• A. Policy 策略
• B. Protection 防护
• C. Detection 检测
• D. Response 响应

:正确答案: A:Policy 策略;

212. (单选题, 5分)【单选题】关于 IPSec SA,以下哪项说法是正确的?

• A. IPSec SA 是单向的
• B. IPSec SA 是双向的
• C. 用于生成加密密钥
• D. 用于生成加密算法

:正确答案: A:IPSec SA 是单向的;

213. (单选题, 5分)【单选题】关于漏洞的描述,以下哪项是错误的?

• A. 漏洞是事先未知、事后发现的。
• B. 漏洞一般是可以修补的。
• C. 漏洞是安全隐患,会使计算机遭受黑客攻击。
• D. 漏洞是可以避免的。

:正确答案: D:漏洞是可以避免的。;

214. (单选题, 5分)【单选题】下列哪个不是配置双机热备所应该具备的系统要求?

• A. FW 软件版本必须相同
• B. FW 型号必须相同
• C. FW 硬盘配置必须相同
• D. FW 单板类型必须相同

:正确答案: C:FW 硬盘配置必须相同;

215. (单选题, 5分)【单选题】DES 加密技术使用的密钥是多少位,而 3DES 加密技术使用的密钥是多少位。

• A. 56 168
• B. 64 168
• C. 64 128
• D. 56 128

:正确答案: D:56 128;

216. (单选题, 5分)【单选题】以下哪一种工具可以用于渗透 web 应用程序?

• A. Nmap
• B. Sparta
• C. Burp Suite
• D. Superscan

:正确答案: C:Burp Suite;

无

217. (单选题, 5分)【单选题】以下哪一项不是公钥技术可以实现的功能?

• A. 数据完整性
• B. 公钥自身的安全性
• C. 身份验证
• D. 数据的私密性

:正确答案: B:公钥自身的安全性;

218. (单选题, 5分)【单选题】以下哪一项不属于二层 VPN?

• A. L2F
• B. PPTP
• C. L2TP
• D. IPSec

:正确答案: D:IPSec;

219. (单选题, 5分)【单选题】设备初次上电使用时需要通过以下哪一种方式进行登录?

• A. Console
• B. SSH
• C. Telnet
• D. FTP

:正确答案: A:Console;

220. (单选题, 5分)【单选题】以下哪一项技术可以实现隐藏私网内部网络同时还能防止外部针对内部服务器的攻击?

• A. IP 欺骗
• B. NAT
• C. VRRP
• D. 地址过滤

:正确答案: B:NAT;

221. (单选题, 5分)【单选题】SSL 不支持以下哪一项加密算法?

• A. RC4
• B. DES
• C. 3DES
• D. AES

:正确答案: A:RC4;

222. (单选题, 5分)【单选题】 IPSec 可以通过以下哪一项协议来完成加密和认证过程的密钥自动分发?

• A. AH
• B. IKE
• C. ESP
• D. SPI

:正确答案: B:IKE;

223. (单选题, 5分)【单选题】在 VRRP 中,如果虚拟组设备收到终端设备发送的 ARP 请求报文。那么以下哪种处理方 式是正确的?

• A. 由 Master 设备响应。
• B. Master 看 Backup 都会响应。
• C. 由 Backup 设备响应。
• D. Master 看和 Backup 都不会响应。因为收到的是 AP 请求报文的目的 IP 地址是虚拟 IP 地 址。

:正确答案: A:由 Master 设备响应。;

224. (单选题, 5分)【单选题】相较于传统五元组信息,以下哪一项元素是下一代防火墙新增元素?

• A. 目的地址
• B. 源端口
• C. 应用
• D. 协议号

:正确答案: C:应用;

225. (单选题, 5分)【单选题】SMTP 协议的端口号是多少?

• A. 25
• B. 30
• C. 109
• D. 32

:正确答案: A:25;

226. (单选题, 5分)【单选题】入侵检测系统在发现系统存在被攻击的痕迹时。会等待缓冲时间再启动有关安全机制进行应对。

• A. 正确
• B. 错误

:正确答案: B:错误;

227. (单选题, 5分)【单选题】ACL 的类型不包括以下哪一项?

• A. 七层 ACL
• B. 高级 ACL
• C. 基本 ACL
• D. 二层 ACL

:正确答案: A:七层 ACL;

228. (单选题, 5分)【单选题】以下哪一项操作无法提高系统的防病毒能力?

• A. 用户不轻易打开来历不明文件。
• B. 对硬盘进行整理,释放空间。
• C. 定期升级杀毒软件。
• D. 定期打安全补丁

:正确答案: B:对硬盘进行整理,释放空间。;

229. (单选题, 5分)【单选题】数据库管理功能包括系统配置与管理、数据存取与更新管理、数据完整性管理和数据安全性管理。

• A. 正确
• B. 错误

:正确答案: A:正确;

230. (单选题, 5分)【单选题】以下关于华为防火墙安全区域的描述,正确的是哪一项?

• A. 防火墙的不同安全区域的优先级相同。
• B. 防火墙的不同接口可以在同一个区域。
• C. 防火墙自带的区域可以删除。
• D. 防火墙同一个接口可以归属不同区域。

:正确答案: B:防火墙的不同接口可以在同一个区域。;

231. (单选题, 5分)【单选题】关于包过滤防火墙和应用代理防火墙的区别,以下哪一项的描述是错误的?

• A. 应用代理防火墙能加快内网用户访问常用网站速度。
• B. 包过滤防火墙通常在传输层以下实现,应用代理防火墙通常在会话层以上实现。
• C. 应用层代理防火墙能够提供用户认证。
• D. 包过滤防火墙不具备数据转发能为,必须和路由器配合部署。

:正确答案: D:包过滤防火墙不具备数据转发能为,必须和路由器配合部署。;

232. (单选题, 5分)【判断题】某企业总部和分部之间传输数据被黑客窃取并篡改,此安全风险属于信息访问安全。

• A. 正确
• B. 错误

:正确答案: B:错误;

233. (单选题, 5分)【单选题】在 SNMPvI 的管理信息结构定义的应用数据类型中,时钟(Time Ticks)类型的单位是以下 哪一项?

• A. 0.1 秒
• B. 0.01 秒
• C. 1 秒
• D. 1 毫秒

:正确答案: B:0.01 秒;

234. (单选题, 5分)【单选题】关于 Telnet 服务的特点,以下哪一项的描述是错误的?

• A. TeInet 可用于远程登录主机,可通过暴力破解获取到 Telnet 帐号密码。
• B. 默认情况下华为防火墙禁止远程用户使用 Telnet 登录。
• C. 通过 Telnet 服务用户可在本地计算机上连接远程主机。
• D. Telnet 是一种远程登录服务协议,使用 UP 协议的 23 端口号

:正确答案: D:Telnet 是一种远程登录服务协议,使用 UP 协议的 23 端口号;

235. (单选题, 5分)【单选题】受外部用户控制通过窃取本机信息或者控制权来攻击网络安全的方式是以下哪种攻击 行为?

• A. 木马攻击
• B. 拒绝服务攻击
• C. 钓鱼攻击
• D. 缓冲区溢出攻击

:正确答案: A:木马攻击;

236. (单选题, 5分)【单选题】二层交换机转发数据时,根据以下哪种表项确定目标端口?

• A. ARP 表项
• B. MAC 地址表项
• C. 路由表项
• D. 访问控制列表

:正确答案: B:MAC 地址表项;

237. (单选题, 5分)【单选题】以下哪种密码属于高强度密码?

• A. 1001
• B. tLzXsqc735!
• C. admin123
• D. he110world

:正确答案: B:tLzXsqc735!;

238. (单选题, 5分)【单选题】以下哪一项不是 VPN 中的加密算法?

• A. 3DES
• B. DES
• C. AES
• D. RIP

:正确答案: D:RIP;

239. (单选题, 5分)【单选题】以下哪一项是网络中存在的潜在威胁?

• A. 扫描
• B. 欺骗
• C. SQL 注入
• D. 拒绝服务攻击

:正确答案: A:扫描;

240. (单选题, 5分)【单选题】关于防火墙的特点,以下哪一项的描述是正确的?

• A. 防火墙都能准确地检测出攻击来自哪一台计算机
• B. 防火墙能够很好她解决内网网络攻击的问题
• C. 防火墙可以防止把外网未经授权的信息发送到内网
• D. 防火墙可以取代反病毒系统

:正确答案: C:防火墙可以防止把外网未经授权的信息发送到内网;

241. (单选题, 5分)【单选题】DHCP 绑定表中不包含以下哪一项信息?

• A. 端口号
• B. VLAN ID
• C. MAC 地址
• D. IP 地址

:正确答案: A:端口号;

242. (单选题, 5分)【单选题】在域间包过滤中,以下哪一项届于 Inboud 方向?

• A. Untrust>Trust
• B. Local>Trust
• C. DME>Untrust
• D. Local>DNZ

:正确答案: A:Untrust>Trust;

243. (单选题, 5分)【单选题】漏洞也叫脆弱性,是指计算机系统在硬件、软件、协议的具体事项或系统安全策略上存 在缺陷和不足。以下关于漏洞的特性描述,错误的是那项?

• A. 漏洞是种安全隐患,会使计算机遭受黑客攻击。
• B. 漏洞可以被远程利用。
• C. 漏洞无法进行修补
• D. 漏洞是事先未知、事后发现的。

:正确答案: C:漏洞无法进行修补;

244. (单选题, 5分)【单选题】入侵防御系统针对攻击识别是基于以下哪一项进行也配的?

• A. 端口号
• B. 协议
• C. IP 地址
• D. 特征库

:正确答案: D:特征库;

245. (单选题, 5分)【单选题】二层 ACL.的编号范围是以下那一项?

• A. 3000~3999
• B. 2000~2999
• C. 1000~1999
• D. 4000~4999

:正确答案: D:4000~4999;

246. (单选题, 5分)【单选题】在密码学应用中,哪一项技术是使用公钥加密,私钥解密?

• A. 对称密钥
• B. 非对称密钥
• C. 数字签名
• D. DH

:正确答案: B:非对称密钥;

247. (单选题, 5分)【单选题】L2TP 协议是在以下哪一阶段进行 IP 地址分配?

• A. 链路建立阶段
• B. LCP 协商阶段
• C. CHAP 阶段
• D. NCP 协商阶段

:正确答案: D:NCP 协商阶段;

248. (单选题, 5分)【单选题】以下关于 L2TP 的描述,错误的是哪一项?

• A. L2TP 要应用在远程公场景中为出差员工远程访问企业内网资源提供接入服务。
• B. 无论出差员工是通过传统拔号方式接入 Internet,还是通过以太网方式接入 Internet,L2TP VPN 都可以向其提供远程接入服务。
• C. PPP 报文可以在在 Internet 直接传输-
• D. L2TP 是一种用于承线 PPP 报文的隧道技术,

:正确答案: C:PPP 报文可以在在 Internet 直接传输-;

249. (单选题, 5分)【单选题】以下列哪一项不属于对称加密算法?

• A. IDEA
• B. RSA
• C. AES
• D. 3DES

:正确答案: B:RSA;

250. (单选题, 5分)【单选题】以下关于 IPSec 中 ESP 协议的描述,错误的是哪一项?

• A. ESP 将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性。
• B. ESP 只能提供加密功能,不支持认证。
• C. OESP 的协议号是 50。
• D. ESP 支持校验数据的完整性。

:正确答案: B:ESP 只能提供加密功能,不支持认证。;

251. (单选题, 5分)【单选题】以下关于 IPSec VPN 中 AH 协议的描述,错误的是哪一项?

• A. 支持报文的加密
• B. 支持数据源验证
• C. 支持数据完整性校验
• D. 支持防报文重放

:正确答案: A:支持报文的加密;

252. (单选题, 5分)【单选题】安全评估方法的步骤不包括以下哪一项?

• A. 问卷调查
• B. 渗透测试
• C. 人工审计
• D. 数据分析

:正确答案: D:数据分析;

253. (单选题, 5分)【单选题】关于 DNS 的特点,以下哪一项的描述是错误的?

• A. DNS 的作用是把难记忆的 IP 地址转换为容易记忆的字符形式。
• B. DNS 使用 TCP 协议,端口号是 53。
• C. DNS 域名劫持通过伪造域名解析服务器等手段,将目标域名解析到错误的 IP 地址,导 致用户访问错误的网站。
• D. DNS 按分层管理,最高级别为根域,其次为顶级域名,CN 是顶级域名,表示中国。

:正确答案: A:DNS 的作用是把难记忆的 IP 地址转换为容易记忆的字符形式。;

254. (单选题, 5分)【单选题】银行 A 是一家农村商业银行,主要向本省辖内衣民、农村工商户等用户提供金融服务。 现银行 A 的网络需要做等保测评,以下哪一项等保等级适用于银行 A?

• A. 等保三级
• B. 等保一级
• C. 等保四级及以上
• D. 等保二级

:正确答案: C:等保四级及以上;

255. (单选题, 5分)【单选题】以下哪一项措施能够防止 IP 欺骗攻击?

• A. 在边界防火墙上过滤特定端口
• B. 在边界防火墙上设置到特定 IP 的路由
• C. 在边界路由器上部署目标 IP 地址过滤
• D. 在边界防火墙上进行源 IP 地址过滤

:正确答案: D:在边界防火墙上进行源 IP 地址过滤;

256. (单选题, 5分)【单选题】某基本 ACL 规则配置如下,rule permit source 1.1.1.0 0.0.0.255 则以下的描述,正确是 哪一项?

• A. 源地址 1.1.255.255 目的地址 2.2.2.2 的报文允许通过。
• B. 源地址 1.1.1.255 目的地址 2.2.2.2 的报文允许通过。
• C. 源地址 1.1.1.10 目的地址 2.2.2.2 的报文被丢弃。
• D. 源地址 1.1.1.1 目的地址 2.2.2.2 的报文被丢弃。

:正确答案: B:源地址 1.1.1.255 目的地址 2.2.2.2 的报文允许通过。;

257. (单选题, 5分)【单选题】某小型企业只有一个公网地址,管理员通过使用 NAT 接入 Internet,以下哪一项 NAI 方式最适合该公司需求?

• A. Easy ip
• B. 静态 NAT
• C. 目的 NAT
• D. 动态 NAT

:正确答案: A:Easy ip;

258. (单选题, 5分)【单选题】以下关于双机热备中自动备份模式的描述,错误的是哪一项?

• A. 在一台 FW 上每执行一条可以备份的命令时,此配置命令就会被立即同步备份到另一台 FW 上。
• B. 需要管理员手工开启。
• C. 主用设备会周期性地将可以备份的状态信息备份到备用设备上。
• D. 能够自动实时备份配置命令和周期性地备份状态信息,适用于各种双机热备组网。

:正确答案: B:需要管理员手工开启。;

259. (单选题, 5分)【单选题】入侵防御设备能够有效防御以下哪一项的攻击?

• A. 传输层
• B. 应用层
• C. 网络层
• D. 物理层

:正确答案: B:应用层;

260. (单选题, 5分)【单选题】在隧道模式中 AH 协议的认证范围区间是哪一项?

• A. 3
• B. 4
• C. 2
• D. 1

:正确答案: B:4;

261. (单选题, 5分)【单选题】以下关于常见散列算法的描述,错误的是哪一项?

• A. 散列算法可以把任意长度的输入变换成固定长度的输出。
• B. SHA-1 比 MD5 算法的计算速度快,安全强度也更高。
• C. SM3 算法是国产加密算法,用于密码应用中的数字签名和验证、消息认证码的生成与 验证以及随机数的生成,可满足多种密码应用的安全需求。
• D. SHA-2 是 SHA-1 的加强版本,安全性能要远远高于 SHA-1

:正确答案: C:SM3 算法是国产加密算法,用于密码应用中的数字签名和验证、消息认证码的生成与 验证以及随机数的生成,可满足多种密码应用的安全需求。;

262. (单选题, 5分)【单选题】启用 GRE 的 keepalive 功能后,默认情况下设备会周期性的每隔多少秒向对端发送一次 keepalive 报文?

• A. 20
• B. 10
• C. 5
• D. 3

:正确答案: C:5;

263. (单选题, 5分)【单选题】以下关于证书申请的描述,错误的是哪一项?

• A. 当证书过期、密钥泄漏时,PKI 实体必须更换证书,可以通过重新申请来达到更新的目 的,也可以使用 SCEP 或 CMPv2 协议自动进行更新。
• B. 通常情况下 PKI 实体会生成一对公私钥,公钥和自己的身份信息被发送给 CA 用来生成 本地证书。
• C. PKI 实体支持通过 SCEP 协议向 CA 发送证书注册请求消息来申请本地证书。
• D. PKI 只能通过在线方式申请本地证书,安全系数高。

:正确答案: D:PKI 只能通过在线方式申请本地证书,安全系数高。;

264. (单选题, 5分)【单选题】以下关于防火墙日志的描述,错误的是哪一项?

• A. 管理员可以通过策略命中日志获知流量命中的安全策略,在发生问题时用于故障定位。
• B. 管理员可以通过用户活动日志获知用户的行为、搜索的关键字以及审计策略配置的生效 情况等信息。
• C. 在日志等级中,Emergency 为最严重的等级。
• D. 根据信息的严重等级或紧急程度,日志可以分为 8 个等级,信息越严重,其日志等级值 越大。

:正确答案: D:根据信息的严重等级或紧急程度,日志可以分为 8 个等级,信息越严重,其日志等级值 越大。;

265. (单选题, 5分)【单选题】缺省情况下,以下哪种服务是加密传输的?

• A. ssh
• B. ftp
• C. telnet
• D. http

:正确答案: A:ssh;

266. (单选题, 5分)【单选题】利用程序漏洞,构造特殊的SQL语句并提交以获取敏感信息的攻击方式是以下哪种攻击 方式?

• A. SQL注入攻击
• B. 蠕虫攻击
• C. 钓鱼攻击
• D. 缓冲区溢出攻击

:正确答案: A:SQL注入攻击;

267. (单选题, 5分)【判断题】设备发送的大部分数据都包含IP五元组,比如ARP协议的请求报文和HTTP协议报文。

• A. 正确
• B. 错误

:正确答案: B:错误;

268. (单选题, 5分)【单选题】以下哪一项不属于系统安全?

• A. 系统中运行的服务安全
• B. 安全数据库
• C. 操作系統安全
• D. 数据库系统配置安全

:正确答案: B:安全数据库;

269. (单选题, 5分)【单选题】关于TCP/IP协议栈的特点,以下哪一项的描述是错误的?

• A. 设备接受数据时,会依照TCP/IP模型拆除协议报头,分析载荷信息,这一动作称为解封 装。
• B. 网络的通信过程是在协议栈的对等层次进行通信的,如网络层和网络层通信,数据链路 层和数据链路层通信。
• C. 在设备封装数据时,TCP/IP协议找在每一层上对数据都设置了校验机制。
• D. 设备发送数据时,会将数据依照ICP/IP模型添加上特定的协议报头信息,这一动作称为 封装。

:正确答案: C:在设备封装数据时,TCP/IP协议找在每一层上对数据都设置了校验机制。;

270. (单选题, 5分)【单选题】在处理非首包数据流时,以下哪一类防火墙处理效率最高?

• A. 代理防火墙
• B. 包过滤防火墙
• C. 状态监测防火墙
• D. 软件防火墙

:正确答案: C:状态监测防火墙;

271. (单选题, 5分)【单选题】以下关于在双机热备中心跳线传递信息的描述,错误的是哪一项?

• A. 两台防火墙通过定期互相发送心跳报文检测对端设备是否存活。
• B. 心跳链路探测报文用于两台防火墙同步配置命令和状态。
• C. 配置一致性检查报文用于检测两台防火墙的关键配置是否一致。
• D. VGMP报文用于确定对端设备状态来判断是否需要进行切换。

:正确答案: B:心跳链路探测报文用于两台防火墙同步配置命令和状态。;

272. (单选题, 5分)【单选题】AH协议的协议号是多少?

• A. 50
• B. 51
• C. 55
• D. 52

:正确答案: B:51;

二. 判断题（共126题，63）

273. (判断题, 5分)【判断题】最常见的等保三级标准,一共包含3个方面内容,分别为:物理安全、数据安全和网络安全。

• A. 对
• B. 错

正确答案: 错文章来源地址https://www.toymoban.com/news/detail-670841.html

274. (判断题, 5分)【单选题】IPv6支持在设备上配置路由器授权功能,通过数字证书验证对等体身份,选用合法设备。

• A. 对
• B. 错

正确答案: 错

275. (判断题, 5分)【判断题】“凯撒密码”主要是通过使用特定规格的棍子来对数据进行加密的。

• A. 对
• B. 错

正确答案: 错

276. (判断题, 5分)【判断题】在Client-Initiated VPN配置中,一般建议把地址池和总部网络地址规划为不同网段,否则需要在网关设备上开启代理转发功能。

• A. 对
• B. 错

正确答案: 错

277. (判断题, 5分)【判断题】防火墙除了支持内置Portal认证外,还支持自定义Portal认证,当采用自定义Portal认证时,不需要单独部署外部Portal服务器。

• A. 对
• B. 错

正确答案: 错

278. (判断题, 5分)【判断题】NAPT技术可以实现一个公网IP地址给多个私网主机使用。

• A. 对
• B. 错

正确答案: 对

279. (判断题, 5分)【判断题】配置安全策略时,一条安全策略可以引用地址集或配置多个目的IP地址。

• A. 对
• B. 错

正确答案: 对

280. (判断题, 5分)【判断题】“善于观察”和 “保持怀疑”可以帮助我们在网络世界中更好的辨别安全威胁