HCNA-安全题库-H12-711

1、客户端A和服务器B之间建立TCP连接，再三次握手中，B往A发送的SYN+ACK（seq=b，ack=a+1），下列说法正确的有：A、该数据包是对序号b的SYN数据包进行确认B、该数据包是对序号a+1的SYN数据包进行确认C、B下一个希望收到的ACK数据包的序号为bD、B下一个希望收到的ACK数据包的序号为a+12、rulepermitipsource192.168.11.350.0.0.31表示的地址范围是：A、192.168.11.0-192.168.11.255B、192.168.11.32-192.168.11.63C、192.168.11.31-192.168.11.64D、192.168.11.32-192.168.11.643、下列关于防火墙分片缓存功能，说法正确的有：（多选）A、配置分片报文直接转发功能后，防火墙不对分片报文进行缓存B、配置分片报文直接转发功能后，对于不是首片报文的分片报文，防火墙将根据域间包过滤策略进行转发C、分片报文也会创建会话表，转发时也会查找会话表D、分片报文的非首片报文，由于没有端口号，所以分片报文直接转发功能一般不能用在NAT环境4、下面哪个选项不属于UTM（UnifiedTreatManagement）的功能？A、IPS入侵防御B、上网行为C、终端安全管理D、AV网关防病毒5、终端安全系统主要由以下哪些组件组成：（多选）A、防病毒服务器B、SC控制服务器C、准入控制设备D、SM管理服务器6、对称加密算法的加密秘钥和解密秘钥均相同，非对称加密算法的加密秘钥和解密秘钥均不相同。Ipsec在业务数据加解密时使用的是对称加密算法。--------T（true）7、华为USG防火墙VRRPHELLO报文为组播报文，所以要求备份组中的各路由器必须能够实现直接的二层互通。-----------------T（true）8、在ARP地址解析时，ARPREPLY报文采用广播的方式发送，同一个二层网络上主机都能够收到，并据此学习到IP和MAC地址对应关系。--------------F（FALSE）9、USG状态检测防火墙查看Session信息如下：USGdisplayfirewallsessiontableverboseCurrenttotalsessions:1IcmpVPN:public--publicZone:trust--untrustSlot:8CPU:0TTL:00:00:20Left:00:00:19Interface:GigabiEthernet6/0/0Nexthop:107.255.255.10--packets:134bytes:8040--packets:134bytes:8040107.229.15.100:1280--107.228.10.100:2048根据上面的信息下面说法正确的是：（多选）A、Trust区域中主机107.229.15.100正在访问或者曾经访问Untrust107.228.10.100B、该报文时VPN报文C、后续到达防火墙的报文，需要匹配会话表和防火墙安全策略D、正向流量的出接口是GigabitEthernet6/0/010、CA（CertificateAuthority）证书用于SSL通信连接建立时，验证虚拟网关用户的身份，保存于设备侧，由CA机构颁发。-----------------T11、通过displayikesa看到的结果如下，说法正确的是？（多选）Currentikesanumber1-------------------------------------------------------------------------------------Connection-idpeervpnflagphasedoi-------------------------------------------------------------------------------------0x1f12.2.2.10RDISTv1:1IPSEC0x6043dc4FlagmeaningRD—READYST—STAYALIVERL–REPLACEDFD–FADINGTO–TIMEOUTA、第一阶段ikesa已经成功建立B、第二阶段ipsecsa已经成功建立C、Ike使用的版本是v1D、Ike使用的版本是v212、关于L2TP消息，说法错误的为：A、L2TP依附于PPP进行账户认证B、控制消息只能用于隧道与会话连接的建立，维护以及传输控制C、数据消息只能用于封装PPP帧并在隧道上传输D、控制消息和数据消息都可以提供流量控制和拥塞控制功能13、以下哪种攻击不属于网络层攻击？A、IP欺骗攻击B、Smurf攻击C、ARP欺骗攻击D、ICMP攻击14、VRRP（VirtualRouterRedundancyProtocol）中，主路由器定期向备份路由器发送通告报文（HELLO），备份路由器则只负责监听通告报文，不会进行回应。------T15、使用NAT技术，只可以对数据报文中的网络层信息（IP地址）进行转换。---F16、ASPF（ApplicationSpecificPacketFilter）是一种基于应用层的包过滤，它检查应用层协议信息并且监控连接的应用层协议状态。ASPF通过ServerMap表实现了特殊的安全机制关于ASPF和Servermap表说法正确的是？A、ASPF监视通信过程中的报文B、ASPF动态创建和删除过滤规则C、ASPF通过Servermap表实现动态允许多通道协议数据通过D、五元组Servermap表项实现了和会话表类似的功能17、上网用户管理的转发流程中，上网用户认证只能发生在首包流程中，一旦用户通过认证，设备建立session表，后续报文不需要重复进行用户认证。-----------T18、攻击者通过发送ICMP应答请求，并将请求包的目的地址设为受害网络的广播地址。这种行为属于哪一种攻击？A、IP欺骗攻击B、Smurf攻击C、ICMP重定向攻击D、SYNflood攻击19、以下哪个选项不属于AES的秘钥长度？A、64B、128C、192D、25620、基于会话的状态监测防火墙对于首包和后续包有不同的处理流程，下面描述正确的是：（多选）A、报文到达防火墙，会查找会话表，如果没有匹配，防火墙进行首包处理流程B、报文到达防火墙，会查找会话表，如果匹配防火墙进行后续包处理流程C、在状态检查机制打开的情况下，防火墙处TCP报文时候，只有SYN报文才能建立会话D、在状态检查机制打开的情况下，后续和他需要进行安全策略检查21、AH协议号是下面那个选项？A、51B、50C、52D、4922、AAA包含以下哪几项：（多选）A、Authentication认证B、Authentication授权C、Accounting计费D、Audit审计23、安全联盟由三元组唯一标识，以下哪一项不属于安全联盟的三元组？A、安全协议号B、源IP地址C、目的IP地址D、安全参数索引24、一般的公司或组织中有时会存在这样一类用户，他们不是该公司员工，只是临时到访该公司，需要借用该公司网络上网，他们没有属于自己的账号，无法进行认证，但设备要对他们的网络权限进行控制。对于这类用户，支持自动为其创建对应的临时用户，并使用IP地址作为该用户的用户名。管理员在规划用户管理时，一般将这类用户认证划分为：A、免认证B、单点认证C、密码认证D、临时认证25、HRP会话快速备份时将主用设备相应的状态信息表项快速备份到备用设备，使返回报文在备用设备上能够查找到相应的状态信息表项，从而保证内外部用户的业务不中断。---T26、配置源NAT策略时，目的区域的配置可以用配置流量出接口信息来取代。---T27、防火墙IPS协议识别功能对基于非标准端口的服务进行识别，解决了使用非标准端口的应用服务报文的漏报和误报问题。-----------T28、防火墙配置防病毒功能选择过滤协议包括以下哪几项：（多选）A、文件传输协议B、邮件协议C、安全协议D、共享协议29、终端安全系统支持蓝牙、SD卡等计算机外设的监控功能，并支持配置禁止外部设备。T30、在USG产品的web配置界面中，在配置虚拟IP地址池时，虚拟IP地址范围内的IP地址可以为虚拟网关或接口的IP地址，也可以为内网存在的IP地址。F32、防火墙双机热备配置中，HRP必须配置包括：（多选）A、启用HRP备份功能hrpenableB、启用会话快速备份hrpmirrorsessionenableC、指定心跳口hrpinterfaceinterface-typeinterface-numberD、抢占延迟时间hrppreempt[delayinterval]33、如何查看安全策略的匹配次数：A、displayfirewallsessiontableB、displaysecuritypolicyallC、displaysecuritypolicycountD、countsecuritypolicyhit34、ESP报文在哪种封装模式下，可以实现对原IP头数据的机密性：A、传输模式B、隧道模式C、传输模式+隧道模式D、加密模式35、在IPSecVPN配置中如果使用pre-shared方式验证，可以选择是否为对端配置秘钥，两边的秘钥必须一致-------------------F36、关于终端安全系统的部署方式描述错误的是：A、集中部署方式的主要特点是可以根据管理终端数目的多少，选择SM、SC、数据库等组件来安装在同一台服务器上B、终端相对集中在几个区域，而且区域之间的带宽比较小，建议采用分布式组网C、终端规模相当大时，可以考虑使用集中式部署组网，避免大量撞断访问终端服务器，占用大量的网络带宽D、分布式部署时，终端安全安全代理选择就近的控制服务器SC，获得身份认证和准入控制等各项业务37、终端安全体系的五大要素不包括以下哪一项：A、身份认证B、业务隔离C、安全认证D、业务授权38、某企业在部署网络边界防火墙时，配置了NATServer源NAT，OSPF路由和相关安全策略，数据到达该防火墙时，防火墙的处理顺序为：A、OSPF路由--安全策略--源NAT--NATServerB、安全策略--源NAT--NATServer--OSPF路由器C、源NAT--OSPF路由--安全策略--NATserverD、NATServer--OSPF路由--安全策略--源NAT39、以下哪个问题可以利用IPsec-IKE野蛮模式进行解决：（多选）A、隧道两端协商慢的问题B、协商过程中的安全性问题C、NAT穿越问题D、发起者源地址不确定问题40、配置防火墙安全区域的安全级别时，描述错误的是：A、新建的安全区域，系统默认其安全级别为1B、只能为自定义的安全区域设定安全级别C、安全级别一旦设定，不允许更改D、同一系统中，两个安全区域不允许配置相同的安全级别41、关于NAT的说法正确的是：A、带端口转换的NAT可以通过配置NAT地址池来实现B、NAT兼容目前所有的IPsec安全协议C、因为FTP协议是多通道协议，所以不支持NATD、NAT支持TCP/IP二、三、四层进行转换42、查看防火墙的HRP状态信息如下:HRP_S[USG_B]displayhrpstateThefirewall’sconfigstateis:StandbyCurrentstateofvirtualroutersconfiguredasstandbyGigabitEthernet1/0/0vrid1:standbyGigabitEthernet1/0/1vrid2:standby以下描述正确的是：A、此防火墙VGMP组状态为ActiveB、此防火墙G1/0/0和G1/0/1接口的VRRP组状态为standbyC、此防火墙的HRP心跳线接口为G1/0/0和G1/0/1D、此防火墙一定是出于抢占状态43、防火墙IPS策略的签名过滤器之间存在优先关系，在同一条I