HCNA 安全题库 H12 711.docx
《HCNA 安全题库 H12 711.docx》由会员分享,可在线阅读,更多相关《HCNA 安全题库 H12 711.docx(82页珍藏版)》请在冰点文库上搜索。
HCNA安全题库H12711
1、客户端A和服务器B之间建立TCP连接,再三次握手中,B往A发送的SYN+ACK(seq=b,ack=a+1),下列说法正确的有:
A、该数据包是对序号b的SYN数据包进行确认
B、该数据包是对序号a+1的SYN数据包进行确认
C、B下一个希望收到的ACK数据包的序号为b
D、B下一个希望收到的ACK数据包的序号为a+1
2、rulepermitipsource192.168.11.350.0.0.31表示的地址范围是:
A、192.168.11.0-192.168.11.255
B、192.168.11.32-192.168.11.63
C、192.168.11.31-192.168.11.64
D、192.168.11.32-192.168.11.64
3、下列关于防火墙分片缓存功能,说法正确的有:
(多选)
A、配置分片报文直接转发功能后,防火墙不对分片报文进行缓存
B、配置分片报文直接转发功能后,对于不是首片报文的分片报文,防火墙将根据域间包过滤策略进行转发
C、分片报文也会创建会话表,转发时也会查找会话表
D、分片报文的非首片报文,由于没有端口号,所以分片报文直接转发功能一般不能用在NAT环境
4、下面哪个选项不属于UTM(UnifiedTreatManagement)的功能?
A、IPS入侵防御
B、上网行为
C、终端安全管理
D、AV网关防病毒
5、终端安全系统主要由以下哪些组件组成:
(多选)
A、防病毒服务器
B、SC控制服务器
C、准入控制设备
D、SM管理服务器
6、对称加密算法的加密秘钥和解密秘钥均相同,非对称加密算法的加密秘钥和解密秘钥均不相同。
Ipsec在业务数据加解密时使用的是对称加密算法。
--------T(true)
7、华为USG防火墙VRRPHELLO报文为组播报文,所以要求备份组中的各路由器必须能够实现直接的二层互通。
-----------------T(true)
8、在ARP地址解析时,ARPREPLY报文采用广播的方式发送,同一个二层网络上主机都能够收到,并据此学习到IP和MAC地址对应关系。
--------------F(FALSE)
9、USG状态检测防火墙查看Session信息如下:
displayfirewallsessiontableverbose
Currenttotalsessions:
1
IcmpVPN:
public-->public
Zone:
trust-->untrustSlot:
8CPU:
0TTL:
00:
00:
20Left:
00:
00:
19
Interface:
GigabiEthernet6/0/0Nexthop:
107.255.255.10
<--packets:
134bytes:
8040-->packets:
134bytes:
8040107.229.15.100:
1280-->
107.228.10.100:
2048
根据上面的信息下面说法正确的是:
(多选)
Untrust107.228.10.100正在访问或者曾经访问107.229.15.100区域中主机Trust、A.
B、该报文时VPN报文
C、后续到达防火墙的报文,需要匹配会话表和防火墙安全策略
D、正向流量的出接口是GigabitEthernet6/0/0
10、CA(CertificateAuthority)证书用于SSL通信连接建立时,验证虚拟网关用户的身份,保存于设备侧,由CA机构颁发。
-----------------T
11、通过displayikesa看到的结果如下,说法正确的是?
(多选)
Currentikesanumber1
-------------------------------------------------------------------------------------
Connection-idpeervpnflagphasedoi
-------------------------------------------------------------------------------------
0x1f1
2.2.2.10RDISTv1:
1IPSEC0x6043dc4
Flagmeaning
RD—READYST—STAYALIVERL–REPLACEDFD–FADINGTO–TIMEOUT
A、第一阶段ikesa已经成功建立
B、第二阶段ipsecsa已经成功建立
C、Ike使用的版本是v1
D、Ike使用的版本是v2
12、关于L2TP消息,说法错误的为:
A、L2TP依附于PPP进行账户认证
B、控制消息只能用于隧道与会话连接的建立,维护以及传输控制
C、数据消息只能用于封装PPP帧并在隧道上传输
D、控制消息和数据消息都可以提供流量控制和拥塞控制功能
13、以下哪种攻击不属于网络层攻击?
A、IP欺骗攻击
B、Smurf攻击
C、ARP欺骗攻击
D、ICMP攻击
14、VRRP(VirtualRouterRedundancyProtocol)中,主路由器定期向备份路由器发送通告报文(HELLO),备份路由器则只负责监听通告报文,不会进行回应。
------T
15、使用NAT技术,只可以对数据报文中的网络层信息(IP地址)进行转换。
---F
16、ASPF(ApplicationSpecificPacketFilter)是一种基于应用层的包过滤,它检查应用层协议信息并且监控连接的应用层协议状态。
ASPF通过ServerMap表实现了特殊的安全机制关于ASPF和Servermap表说法正确的是?
A、ASPF监视通信过程中的报文
B、ASPF动态创建和删除过滤规则
C、ASPF通过Servermap表实现动态允许多通道协议数据通过
D、五元组Servermap表项实现了和会话表类似的功能
17、上网用户管理的转发流程中,上网用户认证只能发生在首包流程中,一旦用户通过认证,设备建立session表,后续报文不需要重复进行用户认证。
-----------T
18、攻击者通过发送ICMP应答请求,并将请求包的目的地址设为受害网络的广播地址。
这种行为属于哪一种攻击?
A、IP欺骗攻击
攻击Smurf、B
C、ICMP重定向攻击
D、SYNflood攻击
19、以下哪个选项不属于AES的秘钥长度?
A、64
B、128
C、192
D、256
20、基于会话的状态监测防火墙对于首包和后续包有不同的处理流程,下面描述正确的是:
(多选)
A、报文到达防火墙,会查找会话表,如果没有匹配,防火墙进行首包处理流程
B、报文到达防火墙,会查找会话表,如果匹配防火墙进行后续包处理流程
C、在状态检查机制打开的情况下,防火墙处TCP报文时候,只有SYN报文才能建立会话
D、在状态检查机制打开的情况下,后续和他需要进行安全策略检查
21、AH协议号是下面那个选项?
A、51
B、50
C、52
D、49
22、AAA包含以下哪几项:
(多选)
A、Authentication认证
B、Authentication授权
C、Accounting计费
D、Audit审计
23、安全联盟由三元组唯一标识,以下哪一项不属于安全联盟的三元组?
A、安全协议号
B、源IP地址
C、目的IP地址
D、安全参数索引
24、一般的公司或组织中有时会存在这样一类用户,他们不是该公司员工,只是临时到访该公司,需要借用该公司网络上网,他们没有属于自己的账号,无法进行认证,但设备要对他们的网络权限进行控制。
对于这类用户,支持自动为其创建对应的临时用户,并使用IP地址作为该用户的用户名。
管理员在规划用户管理时,一般将这类用户认证划分为:
A、免认证
B、单点认证
C、密码认证
D、临时认证
25、HRP会话快速备份时将主用设备相应的状态信息表项快速备份到备用设备,使返回报文在备用设备上能够查找到相应的状态信息表项,从而保证内外部用户的业务不中断。
---T
26、配置源NAT策略时,目的区域的配置可以用配置流量出接口信息来取代。
---T
27、防火墙IPS协议识别功能对基于非标准端口的服务进行识别,解决了使用非标准端口的应用服务报文的漏报和误报问题。
-----------T
28、防火墙配置防病毒功能选择过滤协议包括以下哪几项:
(多选)
、文件传输协议A
B、邮件协议
C、安全协议
D、共享协议
29、终端安全系统支持蓝牙、SD卡等计算机外设的监控功能,并支持配置禁止外部设备。
T
30、在USG产品的web配置界面中,在配置虚拟IP地址池时,虚拟IP地址范围内的IP地址可以为虚拟网关或接口的IP地址,也可以为内网存在的IP地址。
F
32、防火墙双机热备配置中,HRP必须配置包括:
(多选)
A、启用HRP备份功能hrpenable
B、启用会话快速备份hrpmirrorsessionenable
C、指定心跳口hrpinterfaceinterface-typeinterface-number
D、抢占延迟时间hrppreempt[delayinterval]
33、如何查看安全策略的匹配次数:
A、displayfirewallsessiontable
B、displaysecuritypolicyall
C、displaysecuritypolicycount
D、countsecuritypolicyhit
34、ESP报文在哪种封装模式下,可以实现对原IP头数据的机密性:
A、传输模式
B、隧道模式
C、传输模式+隧道模式
D、加密模式
35、在IPSecVPN配置中如果使用pre-shared方式验证,可以选择是否为对端配置秘钥,两边的秘钥必须一致-------------------F
36、关于终端安全系统的部署方式描述错误的是:
A、集中部署方式的主要特点是可以根据管理终端数目的多少,选择SM、SC、数据库等组件来安装在同一台服务器上
B、终端相对集中在几个区域,而且区域之间的带宽比较小,建议采用分布式组网
C、终端规模相当大时,可以考虑使用集中式部署组网,避免大量撞断访问终端服务器,占用大量的网络带宽
D、分布式部署时,终端安全安全代理选择就近的控制服务器SC,获得身份认证和准入控制等各项业务
37、终端安全体系的五大要素不包括以下哪一项:
A、身份认证
B、业务隔离
C、安全认证
D、业务授权
38、某企业在部署网络边界防火墙时,配置了NATServer源NAT,OSPF路由和相关安全策略,数据到达该防火墙时,防火墙的处理顺序为:
A、OSPF路由-->安全策略-->源NAT-->NATServer
B、安全策略-->源NAT-->NATServer-->OSPF路由器
C、源NAT-->OSPF路由-->安全策略-->NATserver
D、NATServer-->OSPF路由-->安全策略-->源NAT
39、以下哪个问题可以利用IPsec-IKE野蛮模式进行解决:
(多选)
、隧道两端协商慢的问题A
B、协商过程中的安全性问题
C、NAT穿越问题
D、发起者源地址不确定问题
40、配置防火墙安全区域的安全级别时,描述错误的是:
A、新建的安全区域,系统默认其安全级别为1
B、只能为自定义的安全区域设定安全级别
C、安全级别一旦设定,不允许更改
D、同一系统中,两个安全区域不允许配置相同的安全级别
41、关于NAT的说法正确的是:
A、带端口转换的NAT可以通过配置NAT地址池来实现
B、NAT兼容目前所有的IPsec安全协议
C、因为FTP协议是多通道协议,所以不支持NAT
D、NAT支持TCP/IP二、三、四层进行转换
42、查看防火墙的HRP状态信息如下:
HRP_S[USG_B]displayhrpstate
Thefirewall'sconfigstateis:
Standby
Currentstateofvirtualroutersconfiguredasstandby
GigabitEthernet1/0/0vrid1:
standby
GigabitEthernet1/0/1vrid2:
standby
以下描述正确的是:
A、此防火墙VGMP组状态为Active
B、此防火墙G1/0/0和G1/0/1接口的VRRP组状态为standby
C、此防火墙的HRP心跳线接口为G1/0/0和G1/0/1
D、此防火墙一定是出于抢占状态
43、防火墙IPS策略的签名过滤器之间存在优先关系,在同一条IPS策略中,编号小的签名过滤器比编号大的签名过滤器的优先级高-------------F
44、状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话,由防火墙安全策略决定建立哪些会话,数据包只有与会话相关联时才会被转发-------T
45、关于NAT配置中“easyIP”的说法,下列描述正确的是:
A、easyIP不能再pat场景下
B、配置NAT策略直接转换成出接口IP地址
C、easyip用于目的地址转换的场景
D、easyip可以与address-group同时使用
46、ASPF技术使得防火墙能够支持如FTP等多通道协议,同时还可以对复杂的应用制订相应的安全策略-----------------------------T
47、反掩码和子网掩码格式相似,但取值含义不同,在反掩码中,1表示对应的IP地址位需要比较,0表示对应的IP地址位忽略比较-------------------------------F
48、下面关于SSL握手协议各阶段中的内容描述哪个是错误的?
A、客户端发送client_Hello消息,服务器端回应Server_Hello消息
B、服务器端发送Server_Hello便等待客户端发送的消息
C、服务器端收到服务器发送的一系列消息并消化后,发送ClientKeyExchange等消息给服务器
D、客户端和服务器各自发送ChangeCipherSpec和finished消息给对方
后,GigabitEthernet0/0/1interfaceadd区域视图下配置Trust系列防火墙USG、在49.
GigabitEthernet0/0/1不在属于Local区域。
----------------------F
50、适合出差人员在公网环境下接入企业内网的VPN方式有:
(多选)
A、GREVPN
B、L2TPVPN
C、SSLVPN
D、L2TPoverIpsec
51、入侵防御系统技术特点包括:
(多选)
A、在线模拟
B、实时阻断
C、自学习及自适应
D、直路部署
52、SVN产品网络扩展功能中,需要实现用户只可以访问远端企业文内网,不能访问本地局域网和Internet,需要使用的客户端路由方式为:
A、全路由模式(FullTunnel)
B、分离模式(SplitTunnel)
C、路由模式(RouteTunnel)
D、手动模式(ManualTunnel)
53、Web重定向密码认证功能,只有用户进行目的端口是80的HTTP业务访问时,系统才支持“重定向”到认证页面,进行会话认证。
---------------------------F
54、针对MAC地址欺骗攻击的描述错误的是:
A、MAC地址欺骗攻击主要利用了交换机Mac地址学习机制
B、攻击者可以通过伪造的源Mac地址数据帧发送给交换机来实施MAC地址欺骗攻击
C、MAC地址欺骗攻击会造成交换机学习到错误的MAC地址与IP地址的映射关系
D、MAC地址欺骗攻击会导致交换机要发送到正确目的地址的数据被发送给了攻击者
55、在GRE配置环境下,Tunnel接口模式下,Destination地址一般是指:
A、本Tunnel接口IP地址
B、本端外网出口IP地址
C、对端外网接口IP地址
D、对Tunnel接口IP地址
56、SSLVPN可以通过如下哪些方式对用户进行访问权限控制:
(多选)
A、IP
B、MAC
C、PORT
D、URL
57、在USG系列防火墙中,使用非知名端口提供知名应用服务器时,可采用以下哪种技术:
A、端口映射
B、MAC与IP地址绑定
C、包过滤
D、长连接
58、以下哪个选项不属于AH可以实现的特性?
A、抗防重放
B、数据源认证
C、机密性
、数据完整性检验D
59、比较典型的远端认证方式有:
(多选)
A、RADIUS
B、Local
C、HWTACACS
D、LLDP
60、以下哪个选项不属于内网安全威胁?
A、存储介质滥用
B、信息资产泄密
C、未授权访问
D、间谍软件
61、IKE协议能够为Ipsec提供自动协商交换秘钥、建立安全联盟的服务器,以简化Ipsec的使用和管理--------------------------------------------T
62、防火墙网关防病毒响应方式包括告警和阻断,其中告警方式设备只产生日志,不对HTTP协议传输的文件进行处理就发送出去,阻断方式设备断开与HTTP服务器的连接并阻断文件,向客户推送WEB页面并产生日志----------------------------T
63、HRP(HuaweiRedundancyProtocol)协议,用来将主防火墙关键配置和连接状态等数据向备防火墙上同步,以下哪个选项不属于同步的范围?
A、安全策略
B、NAT策略
C、黑名单
D、IPS签名集
64、主动攻击最大特点是对信息进行侦听,以获取机密信息,而对数据的拥有者或合法用户来说对此类活动无法得知----------------------------------F
65、以下哪个选项属于非对称加密算法?
A、RC4
B、3DES
C、AES
D、DH
66、如下安全策略的命令,代表的含义是:
#
Security-policy
Rulenamerule1
Source-zonetrust
Destination-zoneuntrust
Source-address10.1.0.00.0.255.255
Serviceicmp
Actiondeny
#
A、禁止从trust区域访问untrust区域且目的地址为10.1.10.10主机的ICMP报文
B、禁止从trust区域访问untrust区域且目的地址为10.1.0.0/16网段的所有主机ICMP报文
C、禁止从trust区域访问untrust区域且源地址为10.1.0.0/16网段的所有主机ICMP报文
ICMP主机来的所有主机10.2.10.10区域且源地址为untrust区域访问trust禁止从、D.
报文
67、防火墙配置了IPS策略后,需要把该策略应用到域内或域间后IPS功能才生效。
---T
68、配置防火墙域间安全策略时,如果把192.168.0.0/24网段设置为匹配对象,则以下配置正确的是:
(多选)
A、rulenamepolicy1source-address192.168.0.0mask255.255.255.0
B、rulenamepolicy1source-address192.168.0.0255.255.255.0
C、rulenamepolicy1source-address192.168.0.0mask0.0.0.255
D、rulenamepolicy1source-address192.168.0.00.0.0.255
69、非对称算法比对称算法加密强度更强,因为非对称算法秘钥长度更长------F
70、在USG防火墙用户管理功能中Web重定向密码认证功能,用户不主动进行认证,进行业务访问,设备推送“重定向”到认证页面--------------------------------------T
71、包过滤防火墙的主要特点包括:
(多选)
A、随着ACL复杂度和长度的增加,防火墙过滤性能呈指数下降趋势
B、静态的ACL规则难以使用动态的安全过滤要求
C、不检查会话状态也不分析数据,这很容易让黑客蒙混过关
D、能够完全控制网络信息的交换,控制会话过程,具有较高的安全性
72、在防火墙转发流程中,会先进行安全配置文件的比对,在进行安全策略的检查------F
73、以下哪些SSLVPN业务功能会使用到控件:
(多选)
A、Web改写
B、文件共享
C、端口转发
D、网络扩展
74、SSLVPN中文件共享应用在使用过程需输入用户名、密码和域信息,为了不想输入用户名密码,可以在文件共享服务器上设置权限-------------------------T
75、AH可以提供以下哪些安全功能:
(多选)
A、数据源验证
B、数据机密性
C、数据完整性校验
D、抗重放
76、下列关于终端安全功能区域说法错误的是:
A、认证前域是指客户端通过身份认证前所能访问的区域
B、认证后域是指客户端通过安全认证后所能访问的区域
C、隔离域是指客户端通过身份认证后所必须访问的区域
D、隔离域是指客户端安全认证失败时所需访问的区域
77、安全接入控制网关(SecurityAccessControlGateway,简称SACG)的主要功能是控制终端的网络访问权限,对不同的用户和不同安全状况的用户开放不同的权限----------------T
78、终端安全准入控制可以支持以下哪些:
(多选)
A、硬件SACG(硬件安全接入控制网关)
B、802.1X
C、ARP控制
D、软件SACG(主机防火墙)
79、USG防火墙支持的NAT功能包括:
(多选)
A、可以指定同一地址池中某一部分地址进行端口转换,另一部分地址不进行端口转换
NATServer、基于目的地址转
升级会员 