最近在整理H3CNE-Security GB0-510的题库,发现这个"题主"小程序真的是太牛了,不但可以刷题,还可以根据知识点统计正确率。最牛的是,有任何问题可以直接AI答疑,需要的同学可以去搜一下"题主"小程序。
关于H3C防火墙的Web管理方式,下列说法正确的是
A、Web默认HTTPS登录
B、Web登录方式的端口可以修改成其他端口
C、Web默认HTTP登录错误
D、支持通过ACL限制能够登录Web的源IP地址
答案:ABD
解析:H3C防火墙Web管理默认使用HTTPS(443端口)登录(A正确,C错误)。Web登录端口可以修改(B正确)。支持通过ACL限制登录源IP地址,增强安全性(D正确)。
知识点:H3C防火墙,Web管理,HTTPS,端口修改,ACL
关于H3C防火墙的命令视图,以下说法正确的是
A、在接口视图下可以通过portlink-mode命令切换三层模式
B、配置路由应在系统视图下
C、用户登录设备后,直接进入用户视图
D、在用户视图下输入system-view命令进入系统视图
答案:ABCD
解析:在接口视图下使用`port link-mode`命令可以切换接口的二三层模式(A正确)。配置路由(如静态路由)需要在系统视图下,B选项表述不完整,但通常认为正确。用户登录后首先进入用户视图(C正确)。从用户视图输入`system-view`命令进入系统视图(D正确)。
知识点:H3C防火墙,命令行视图,接口视图,系统视图,用户视图
IKE野蛮模式下,IKE协商发起者发送第一个消息中包含
A、Diffie-Hellman公共值
B、散列算法
C、验证方法
D、加密算法
答案:ABCD
解析:IKE野蛮模式第一条消息中,发起者会携带自己支持的加密算法(D)、散列算法(B)、验证方法(C)、DH公共值(A)以及身份信息等内容。所有选项均正确。
知识点:IKE,野蛮模式,密钥协商,DH交换,加密算法
以下关于主动攻击和被动攻击说法正确的是
A、被动攻击的攻击者在数据传输过程中进行侦听以获取机密信息,而数据的拥有者无法得知攻击者的活动
B、主动攻击指对数据进行假冒或篡改,以达到对业务资源进行非授权访问或破坏性攻击的目的
C、对于被动攻击可采用加密技术来保护信息的机密性,例如采用HTTPS、SFTP等应用层协议传输数据
D、对于主动攻击可采取数据源验证、完整性验证、防拒绝攻击技术等手段
答案:ABCD
解析:被动攻击主要是窃听(A正确),主动攻击包括篡改、假冒等(B正确)。加密技术可防范被动攻击(C正确)。数据源验证、完整性校验等可防范主动攻击(D正确)。所有选项均正确。
知识点:网络安全,主动攻击,被动攻击,加密,数据完整性
包过滤ACL进行如下配置:
Acl basic 2000 match-order config
rule permit source 1 .1 .1 .0 0 .0 .0 .255
rule deny source 1 .1 .1 .10
A、源地址1.1.1.20 目的地址3.3.3.20的报文被丢弃
B、源地址1.1.1.1 目的地址3.3.3.3的报文被丢弃
C、源地址1.1.1.20 目的地址3.3.3.3的报文允许通过
D、源地址1.1.1.1 目的地址3.3.3.3的报文允许通过
答案:CD
解析:ACL匹配顺序为配置顺序(match-order config)。第一条规则允许1.1.1 .0 /24网段,第二条规则拒绝1.1.1.10 。对于源地址1.1.1.20 :匹配第一条规则(允许),通过(A错误,C正确)。对于源地址1.1.1.1 :匹配第一条规则(允许),通过(B错误,D正确)。对于源地址1.1.1.10:匹配第一条规则(允许),然后继续匹配第二条规则(拒绝),最终被拒绝。
知识点:ACL,包过滤,匹配顺序,配置顺序,基本ACL
SSL协议的通讯实体在层次划分上分为以下哪几个层次
A、应用层
B、会话层
C、握手层
D、记录层
答案:CD
解析:SSL协议在层次上主要分为两层:底层是记录层(Record Layer),上层是握手层(Handshake Layer),握手层包含握手协议、告警协议和密钥改变协议。应用层(A)和会话层(B)是OSI模型中的层次,不是SSL协议的内部层次划分。
知识点:SSL,记录层,握手层,协议栈
在企业的内部信息平台中,存在的信息泄露的途径包括
A、可移动存储介质
B、打印机
C、内部网络共享
D、公司对外的FTP服务器
答案:ABCD
解析:企业内部信息泄露的途径多种多样,包括可移动存储介质(U盘等,A)、打印输出(B)、内部网络共享(C)以及对外提供的FTP服务器(D)。所有选项均为可能的信息泄露途径。
知识点:信息安全,信息泄露,数据防泄露,DLP
一个完整的SSL VPN全握手过程包括
A、协商SSL协议版本
B、协商加密套件
C、协商密钥参数
D、通信双方的身份验证
E、建立SSL连接
答案:ABCDE
解析:完整的SSL/TLS握手过程包括:协商协议版本(A)、协商加密套件(B)、交换密钥参数并生成主密钥(C)、验证对端身份(D)、最终建立安全的SSL连接(E)。所有选项均为握手过程的组成部分。
知识点:SSL VPN,SSL握手,协议版本,加密套件,密钥交换,身份验证
下面哪些不属于三层VPN技术
A、PPTP
B、MPLS VPN
C、L2TP
D、GRE
答案:AC
解析:三层VPN技术工作在网络层(IP层),典型代表包括GRE(D,属于三层隧道)和IPsec等。PPTP(A)和L2TP(C)属于二层隧道协议。MPLS VPN(B)虽然工作在三层以下(介于二层和三层之间),但通常提供三层VPN服务。
知识点:VPN,三层VPN,二层VPN,PPTP,L2TP,MPLS VPN,GRE
H3C防火墙中,以下哪些接口必须加入到区域中才能转发数据
A、Virtual-Template
B、物理接口
C、Loopback
D、Dialer
E、Vlan-interface
F、Tunnel
答案:ABDEF
解析:在H3C防火墙中,用于转发业务流量的接口通常需要加入安全区域才能处理数据。物理接口(B)、Virtual-Template(虚拟模板,A)、Dialer(拨号,D)、VLAN接口(E)、Tunnel(隧道,F)等逻辑接口也需要加入区域才能转发数据。Loopback接口(C)通常用于设备自身管理,可以不加入业务区域。
知识点:H3C防火墙,安全区域,接口,物理接口,逻辑接口
在以下L2TP组网中,假设LAC与LNS都已在公网上,如果隧道建立失败,那么可能的原因有
A、LNS端没有设置可以接收该隧道对端的L2TP组。
B、LNS端设置的用户名与密码有误。
C、隧道验证不通过。
D、在LAC端,LNS地址设置不正确。
答案:ABCD
解析:L2TP隧道建立失败的可能原因包括:LNS端未正确配置L2TP组或允许的对端(A)、PPP认证信息错误(B)、隧道验证失败(如果启用了隧道验证,C)、LAC端指定的LNS地址错误(D)。所有选项均为可能原因。
知识点:L2TP,隧道建立,故障排查,LAC,LNS,隧道验证
H3C可提供的VPN解决方案包括哪些?
A、IPSec VPN解决方案
B、DVPN解决方案
C、SSL VPN解决方案
D、思科VPN
答案:ABC
解析:H3C提供的VPN解决方案包括IPsec VPN(A)、DVPN(动态VPN,B)、SSL VPN(C)等。思科VPN(D)是思科公司的产品,不属于H3C的解决方案。
知识点:H3C,VPN解决方案,IPsec VPN,DVPN,SSL VPN
关于ACL包过滤的应用,下列哪些说法是正确的
A、只有将ACL应用在接口上才能实现包过滤的功能
B、防火墙ACL包过滤在接口上应用的方向只能是outbound方向
C、防火墙ACL包过滤在接口上应用的方向只能是inbound方向
D、防火墙产品默认关闭了包过滤规则
答案:AD
解析:ACL包过滤需要应用到接口上才能生效(A正确)。包过滤可以在inbound或outbound方向应用(B、C错误)。防火墙产品通常默认关闭包过滤规则,需要用户显式配置(D正确)。
知识点:ACL,包过滤,接口应用,方向,默认规则
NAT转换技术包括
A、基于NAT方式,即地址一对一的转换
B、NAPT方式,即通过转换端口实现地址复用
C、EasyIP方式,即直接使用公网接口做NAT
D、NAT Server,即映射内部服务器
答案:ABCD
解析:NAT技术包括多种实现方式:静态NAT(一对一转换,A)、NAPT(端口复用,B)、Easy IP(借用接口IP,C)、NAT Server(端口映射,D)。所有选项均为NAT转换技术。
知识点:NAT,静态NAT,NAPT,Easy IP,NAT Server
SecPath SSL VPN系列网关是H3C公司开发的新一代专业安全产品,具有丰富的功能如
A、完善的防火墙功能,支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能
B、强大的路由能力
C、提供多种智能分析和管理手段
D、支持丰富的QoS特性
答案:ACD
解析:SecPath SSL VPN网关作为专业安全接入设备,其丰富功能主要体现在安全防护(A)、智能管理(C)和流量控制(QoS,D)方面。强大的路由能力(B)通常是路由器的核心特性,并非SSL VPN网关的主要功能亮点。
知识点:H3C SSL VPN,网关,防火墙功能,智能分析,QoS
关于以下命令说法正确的是
Device-isp-test|authentication default radius scheme rd local
A、Radius方案的名称称为rd local
B、Local为备选认证方法
C、配置的isp域的名字是test
D、缺省认证方法是radius-scheme rd local
答案:BC
解析:命令`authentication default radius scheme rd local`的含义是:默认认证方法使用名为`rd`的RADIUS方案,如果RADIUS不可用,则使用本地认证(local)作为备选。因此,RADIUS方案名称是`rd`(A错误),local是备选方法(B正确)。ISP域名为`test`(C正确)。"缺省认证方法"指的是主认证方法是 RADIUS 方案 rd,备选是 local,但整个说法"radius-scheme rd local" 并不是一个单一方案名称,而是命令中的配置。(D描述正确)。
知识点:H3C防火墙,ISP域,RADIUS,本地认证,认证方法
SSL VPN同IPSec相比的优势是
A、采用B/S架构,不需要进行客户端的安装和维护
B、可以进一步控制VPN内数据的访问,进行细粒度访问控制
C、可以定制登录界面,实现个性化配置
D、实现数据加密
答案:ABC
解析:SSL VPN相比IPsec的优势包括:基于浏览器,免客户端安装维护(A正确);支持基于应用资源的细粒度访问控制(B正确);支持个性化登录界面定制(C正确)。数据加密(D)是两者都具备的功能,不属于SSL VPN的独特优势。
知识点:SSL VPN,IPsec VPN,B/S架构,细粒度访问控制,界面定制
下列关于防火墙性能衡量指标的说法错误的是
A、时延越高,防火墙处理速度越快
B、吞吐量需要对不同大小的数据包、不同方向的流量等进行测试,最终取平均值
C、并发连接数越小,一段时间内能够允许同时上网的用户就越多
D、新建连接数越小,抗攻击的能力也越强
答案:ACD
解析:时延越高,处理速度越慢(A错误)。吞吐量测试确实需要针对不同包长和方向进行(B正确)。并发连接数越小,允许同时上网的用户越少(C错误)。新建连接数越小,抗攻击能力不一定越强,通常新建连接数越大,设备处理能力越强(D错误)。题目要求选错误的,因此A、C、D错误。
知识点:防火墙,性能指标,时延,吞吐量,并发连接数,新建连接数
以下属于动态NAT的是
A、NAT Server
B、PAT方式的NAT
C、Easy IP
D、NO-PAT方式的NAT
答案:BCD
解析:动态NAT是指地址转换关系不是固定的,包括动态地址池方式的NO-PAT(D)、PAT(B)和Easy IP(C)。NAT Server(A)属于静态映射(目的NAT),不是动态NAT。
知识点:NAT,动态NAT,PAT,Easy IP,NO-PAT
关于防火墙系统中缺省域描述正确的是
A、系统缺省存在的system域可以被删除
B、系统缺省存在的system域只能被修改,不能被删除
C、一个ISP域被配置为缺省的isp域后,将不能够被删除,必须首先使用undo domain default enable将其修改为非缺省isp域,然后才可以被删除。
D、一个isp域被配置为缺省的isp域后,可以直接通过undo domain name的方式进行删除
答案:BC
解析:系统缺省存在的ISP域(如system、management等)通常只能修改,不能删除(A错误,B正确)。当某个ISP域被设置为缺省域后,不能直接删除,需要先解除其缺省域身份(C正确,D错误)。
知识点:H3C防火墙,ISP域,缺省域,system域,域删除
如何防范Smurf攻击
A、检查ICMP请求报文的目的地址是否为子网地址,是则丢弃
B、检查ICMP请求报文的源地址是否为子网地址,是则丢弃
C、检查ICMP请求报文的目的地址是否为广播地址,是则丢弃
D、检查ICMP请求报文的源地址是否为广播地址,是则丢弃
答案:AC
解析:Smurf攻击是一种DDoS攻击,攻击者发送源地址为受害者的ICMP请求报文到子网广播地址,导致大量响应淹没受害者。防范措施包括:丢弃目的地址为子网地址(A)或广播地址(C)的ICMP请求报文。源地址检查(B、D)不是防范Smurf的有效方法。
知识点:DoS攻击,Smurf攻击,ICMP,广播地址,攻击防范
由于新的漏洞、新的攻击工具、攻击方式的不断出现IPS只能对网络、系统和业务的有效防御,下面关于IPS的特征
A、H3C IPS升级特征库后需要重启设备才能生效
B、H3C IPS特征库升级有手动升级和自动升级两种
C、H3C IPS只支持手动升级特征库
D、用户可以H3C网站上自助进行License激活申请
答案:BD
解析:H3C IPS特征库升级支持手动和自动两种方式(B正确,C错误)。升级特征库后通常不需要重启设备即可生效(A错误)。用户可以在H3C官网自助申请和激活License(D正确)。
知识点:H3C IPS,特征库升级,手动升级,自动升级,License
以下哪些类型的成员可以加入到安全域中
A、IP子网
B、三层接口
C、VLAN
D、二层接口
答案:BD
解析:在防火墙安全域配置中,安全域的成员可以是设备的物理接口或逻辑接口(包括二层接口和三层接口),因此B和D正确。IP子网(A)和VLAN(C)本身不是接口,不能直接作为安全域成员,但VLAN可以通过VLAN接口加入安全域。
知识点:防火墙,安全区域,安全域成员,二层接口,三层接口
关于H3C防火墙URL过滤功能,下列说法正确的有
A、URL是互联网上标准资源的地址
B、URL格式为:"protocol://host[:port/path/[:parameters][?query]][#fragment]",其中[:parameters][?query] #fragment称为URL
C、URL过滤功能是指对用户访问的URL进行控制,即允许或禁止用户访问Web资源,达到规范用户上网行为的目的
D、URL过滤规则支持文本匹配和正则表达式匹配两种方式,文本匹配仅能使用指定的字符串对主机进行精确匹配。正则表达式匹配可以使用正则表达式对主机名和URL字段进行模糊匹配
答案:AC
解析:A正确,URL是统一资源定位符。B错误,URL的完整格式描述不准确,且"称为URL"表述有误。C正确,URL过滤功能用于控制用户对Web资源的访问。D错误,文本匹配可以是对URL字段的部分匹配,不一定只能是主机精确匹配,且正则表达式匹配的描述可能存在不准确之处。
知识点:H3C防火墙,URL过滤,URL格式,文本匹配,正则表达式
SSL VPN的配置一般包含哪些部分
A、服务资源组授权
B、配置SSL VPN网关
C、配置SSL VPN策略组
D、配置SSL VPN访问实例
答案:ABCD
解析:SSL VPN的配置通常包括:配置SSL VPN网关(B)、配置SSL VPN策略组(C)、配置SSL VPN访问实例(D)以及服务资源组授权(A)。所有选项均为SSL VPN配置的组成部分。
知识点:SSL VPN,配置,网关,策略组,访问实例,资源授权
以下哪个可以利用IPSec-IKE野蛮模式进行解决
A、NAT穿越
B、隧道两端协商慢的问题
C、发起者源地址不确定
D、协商过程中的安全性
答案:ABC
解析:IKE野蛮模式相比主模式,报文交换少,协商速度快,可用于解决隧道两端协商慢的问题(B)。野蛮模式可以在发起者源地址不确定(如动态IP)的情况下,通过ID信息(如主机名)查找预共享密钥(C)。NAT穿越(A)也可以与野蛮模式配合使用。D选项,野蛮模式本身不提高安全性,反而可能降低安全性(因为身份信息不加密)。
知识点:IKE,野蛮模式,NAT穿越,动态IP,协商速度
关于H3C防火墙的设备登录方式,下列说法正确的是
A、缺省情况下,设备的Telnet服务器功能处于关闭状态
B、设备支持两种Web登录方式:HTTP登录方式和HTTPS登录方式
C、缺省情况下,设备的SSH Server功能处于关闭状态
D、缺省情况下,设备管理接口的IP地址为192.168.1 .1 /24
答案:ABC
解析:H3C防火墙缺省情况下,Telnet和SSH服务通常是关闭的(A、C正确)。设备支持HTTP和HTTPS两种Web登录方式(B正确)。缺省管理接口IP地址通常是192.168.0 .1 /24 ,而非192.168.1 .1 /24(D错误)。
知识点:H3C防火墙,登录方式,Telnet,SSH,Web管理,管理IP
AAA可以通过多种协议来实现,远端认证可通过以下哪些协议实现
A、RADIUS协议
B、HWTACACS协议
C、LDAP协议
D、AH协议
答案:ABC
解析:远端AAA认证可以通过多种协议实现,包括RADIUS(A)、HWTACACS(B)和LDAP(C)等。AH协议(D)是IPsec的认证头协议,用于数据源认证和完整性校验,不是AAA协议。
知识点:AAA,远端认证,RADIUS,HWTACACS,LDAP
TCP/IP协议定义了一个对等的开放性网络,针对该网络可能的攻击和破坏包括
A、对硬件的破坏
B、对软件的破坏
C、对网络层、应用层协议的破坏
D、对物理传输线路的破坏
答案:ABCD
解析:针对TCP/IP网络的攻击和破坏可以发生在多个层面,包括物理层(硬件和线路,A、D)、软件层(B)以及协议层(C)。所有选项均为可能的攻击和破坏形式。
知识点:TCP/IP,网络安全,硬件攻击,软件攻击,协议攻击
当出现大量VPN需求时,可以引导哪些产品
A、SecPath系列防火墙
B、SecPath系列VPN
C、H3C IPS
D、SR系列路由器
答案:ABC
解析:H3C SecPath系列防火墙和VPN设备(A、B)本身就是用于VPN接入的产品。H3C IPS(C)通常用于入侵防御,也可与VPN设备配合使用。SR系列路由器(D)主要用于路由转发,不是专门针对大量VPN需求的引导产品。
知识点:H3C,VPN产品,SecPath防火墙,SecPath VPN,IPS
下列网络应用程序中,可能会造成带宽大量占用的应用包括
A、迅雷
B、PPLive
C、BitTorrent
D、MSN
答案:ABC
解析:迅雷(A)、PPLive(B)、BitTorrent(C)均为P2P应用,会大量占用网络带宽。MSN(D)是即时通讯软件,通常不会大量占用带宽。
知识点:带宽占用,P2P应用,迅雷,PPLive,BitTorrent
IKE的配置任务包括
A、配置IKE提议
B、配置IKE Profile
C、配置IKE Keychain
D、配置本端和对端身份信息
答案:ABCD
解析:IKE的配置任务通常包括:配置IKE提议(定义加密、哈希、DH组等,A)、配置IKE Profile(关联提议和身份信息,B)、配置IKE Keychain(配置预共享密钥,C)、配置本端和对端身份信息(D)。所有选项均为IKE配置任务。
知识点:IKE,配置任务,IKE提议,IKE Profile,IKE Keychain,身份信息
假如Alice和Bob使用DH算法来进行密钥协商,Mallory作为中间人来窃听他们之间的通信,则以下说法中正确的是
A、中间人Mallory是通过侦听Alice和Bob协商的共享密钥来实现攻击目的的
B、DH算法天生就容易遭受中间人攻击
C、中间人Mallory在发起中间人攻击时,需要分别和Alice及Bob协商出不同的共享密钥
D、DH算法的安全性是基于"素因子分解难题"的
答案:BC
解析:DH算法本身不提供身份认证,因此容易遭受中间人攻击(B正确)。中间人攻击时,Mallory需要分别与Alice和Bob建立两个不同的DH会话,各自协商出不同的共享密钥(C正确)。A错误,Mallory是通过拦截并篡改DH交换的参数来实现攻击,而不是直接侦听。D错误,DH算法的安全性基于离散对数难题,而非素因子分解(RSA的基础)。
知识点:DH算法,密钥交换,中间人攻击,离散对数
下列对H3C防火墙设备对报文进行数据过滤处理的整体流程描述正确的有
A、如果报文未与任何数据过滤规则匹配成功,则设备直接允许报文通过
B、如果报文匹配了某个安全策略,且此策略的动作是允许并引用了数据过滤配置文件,则对报文进行数据过滤处理
C、如果报文只与一条规则匹配成功,则执行此规则中指定的动作
D、如果报文同时与多条规则匹配成功,则执行这些规则中优先级最高的动作,动作优先级从高到低的顺序为:丢弃>允许,但是对于生成日志动作只要匹配成功的规则中已配置就会执行
答案:ABCD
解析:数据过滤处理流程:未匹配到规则时默认允许(A正确);匹配安全策略并引用数据过滤后才进行处理(B正确);单条规则匹配时执行该规则动作(C正确);多条规则匹配时执行优先级最高的动作,但日志动作不受优先级影响(D正确)。
知识点:H3C防火墙,数据过滤,安全策略,匹配规则,动作优先级
用户AAA计费方式包括
A、按流量计费
B、本地计费
C、远端计费
D、不计费
答案:BCD
解析:AAA计费方式包括本地计费(B)、远端计费(通过RADIUS等服务器,C)以及不计费(D)。按流量计费(A)是一种计费策略,但并非AAA计费的基本方式。
知识点:AAA,计费方式,本地计费,远端计费,不计费
从管理和控制上来区分,主流的带宽管理技术包括
A、基于段的带宽管理技术
B、基于IP地址的带宽管理技术
C、基于应用协议的带宽管理技术
D、基于MAC地址的带宽管理技术
答案:ABC
解析:主流的带宽管理技术包括基于段(接口或链路,A)、基于IP地址(B)和基于应用协议(C)的管理方式。基于MAC地址(D)的带宽管理不是主流技术。
知识点:带宽管理,QoS,段,IP地址,应用协议
关于H3C防火墙的安全域,以下说法正确的有
A、防火墙无安全区域优先级的概念
B、不同安全区域优先级一定不一样
C、防火墙自身所有接口都属于local区域
D、防火墙有五个安全区域,management、local、trust、untrust、DMZ
答案:CD
解析:H3C防火墙有安全区域优先级的概念(A错误)。不同安全区域的优先级可以相同(如management和local默认优先级都是100,B错误)。
知识点:H3C防火墙,安全区域,优先级,local区域,默认区域
以下关于用户授权说法正确的是
A、只要用户通过授权,那么用户可以访问内部所授权的资源
B、对不同用户赋予不同的权限,限制用户可以使用的服务
C、授权是指用户认证通过后可以访问的资源,主要表现为下发用户权限、访问目录、用户级别等
D、管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限
答案:ABCD
解析:授权(Authorization)是指用户认证通过后,根据其身份赋予相应的访问权限(A、C正确)。授权可以实现不同用户的差异化权限管理(B、D正确)。所有选项均正确。
知识点:AAA,授权,权限管理,访问控制
以下哪些配置授权给用户PPP的登陆权限
A、[device-luser-manage-test]service-type ppp
B、[device-luser-network-test]service-type ppp
C、[device]local-user test class manage
D、[device]local-user test class network
答案:BD
解析:PPP接入属于网络接入服务,必须使用network类用户。因此,需要先创建network类用户(D),然后在用户视图下配置service-type ppp(B)来授权PPP服务。A和C涉及manage类用户,用于设备管理而非PPP接入。
知识点:PPP,本地用户,network类,service-type
H3C SecPath防火墙中,下面哪些攻击必须和动态黑名单组合使用
A、WinNuke攻击
B、Land攻击
C、地址扫描攻击
D、Smurf攻击
E、端口扫描攻击
答案:CE
解析:地址扫描攻击(C)和端口扫描攻击(E)通常需要动态黑名单功能,自动将扫描源加入黑名单以进行防范。WinNuke(A)、Land(B)、Smurf(D)等攻击可以通过其他攻击防范技术直接处理,不一定必须与动态黑名单组合使用。
知识点:H3C防火墙,攻击防范,动态黑名单,地址扫描,端口扫描
下列关于SSL VPN的Web接入方式的说法正确的是
A、通过对返回Web页面中的URL进行改写来实现远程用户可以在公网访问到私网中的URL
B、是一种基于C/S架构的访问模式
C、对各个种类的网络应用都能有很好的支持
D、不需要额外的VPN客户端,只需使用Web浏览器即可访问VPN资源
答案:ABD
解析:Web接入方式通过URL改写技术,将内网URL映射为公网可访问的地址(A正确)。Web接入基于B/S架构(B正确),无需安装客户端(D正确)。但Web接入主要适用于Web应用,对其他应用支持有限(C错误)。
知识点:SSL VPN,Web接入,URL改写,B/S架构,免客户端
安全联盟(Security Association)通过以下哪些元素来唯一标识
A、IP目的地址
B、安全协议号
C、IP源地址
D、安全参数索引(SPI)
答案:ABD
解析:IPsec安全联盟(SA)由三元组唯一标识:安全参数索引(SPI,D)、IP目的地址(A)和安全协议号(AH或ESP,B)。源IP地址(C)不参与SA的标识。
知识点:IPsec,安全联盟,SA,SPI,目的地址,协议号
以下关于easyIP方式NAT配置不生效排查方法,正确的是
A、检查地址池是否正确
B、检查路由是否正常
C、检查NAT配置的接口是否下发正确
D、检查安全策略是否放通
答案:BCD
解析:Easy IP方式直接使用接口IP地址作为转换后的公网地址,不需要配置地址池,因此A选项"检查地址池"不是排查要点。B、C、D均为NAT配置不生效时的常见排查方向。
知识点:NAT,Easy IP,故障排查,路由,安全策略
下列关于H3C防火墙会话加速功能说法正确的是
A、启用会话加速功能时,双向代理方式的TCPProxy功能对受保护IP表项相关信息的统计不准确
B、启用会话加速功能时,会话的半连接数统计不准确,无法根据半连接数阈值进行SYN Flood攻击检测
C、启用会话加速功能时,可以对非首包进行报文异常检测
D、会话加速和双机热备功能同时启用时,会话加速功能无效,并且会导致设备处理性能的下降
答案:AB
解析:会话加速功能通过优化转发流程提升性能,但可能会牺牲一些统计信息的准确性(A正确)和攻击检测能力(如半连接数统计,B正确)。会话加速通常只对首包进行复杂检测,非首包直接快速转发,C错误。会话加速与双机热备可以协同工作,D说法过于绝对。
知识点:H3C防火墙,会话加速,TCP Proxy,SYN Flood,双机热备
L2TP建立隧道时使用的消息有
A、SCCRP
B、SCCRQ
C、ICRQ
D、ICRP
答案:AB
解析:L2TP协议中,建立隧道(控制连接)使用SCCRQ(隧道建立请求,B)、SCCRP(隧道建立回应,A)、SCCCN(连接确认)等消息。ICRQ(C)和ICRP(D)是用于在隧道内建立会话(呼叫)的消息。
知识点:L2TP,隧道建立,SCCRQ,SCCRP,控制连接
ACL(访问控制列表)的类型包括哪些
A、基本ACL
B、高级ACL
C、二层ACL
D、基于时间段的包过滤
答案:ABC
解析:常见的ACL类型包括基本ACL(基于源IP)、高级ACL(基于五元组)、二层ACL(基于MAC地址)。基于时间段的包过滤(D)是ACL的一种应用特性,而非独立的ACL类型。
知识点:ACL,访问控制列表,基本ACL,高级ACL,二层ACL
防火墙主要工作在网络的3-4层,其访问控制规则可以基于报文的五元组进行定义。下列元素中,哪些是五元组的组成部分
A、源端口
B、目的端口
C、源地址
D、协议
E、目的地址
F、载荷
答案:ABCDE
解析:网络通信中的五元组通常指源IP地址(C)、源端口(A)、目的IP地址(E)、目的端口(B)和传输层协议(如TCP或UDP,D)。载荷(F)是传输的数据内容,不属于五元组。
知识点:五元组,源IP,目的IP,源端口,目的端口,协议
以下关于防火墙用户说法正确的是
A、接入类用户主要是portal、sslvpn、ppp等
B、可以通过用户组来实现用户的统一管理
C、防火墙用户分为管理类和接入类用户
D、管理类用户主要有ftp、ssh、telnet、http
答案:ABCD
解析:防火墙用户通常分为管理类用户(用于设备管理,如D)和接入类用户(用于网络接入,如Portal、SSL VPN、PPP等)。可以通过用户组实现统一管理(B正确)。C正确概括了用户分类。
知识点:防火墙,用户管理,管理类用户,接入类用户,用户组
下列关于证书机构的说法中,正确的是
A、证书注册中心(RA)负责证书的生成工作
B、数字证书的生成和维护过程中一般需要证书授权中心和证书注册中心两个机构
C、证书授权中心(CA)负责证书的生成工作
D、证书授权中心按照层次结构进行
答案:BCD
解析:证书授权中心(CA)负责证书的生成、颁发和管理(C正确),证书注册中心(RA)负责接收用户申请、审核身份等,协助CA工作(A错误,B正确)。CA按照层次结构(根CA、二级CA等)进行工作(D正确)。
知识点:PKI,CA,RA,证书机构,证书链
关于SSL VPN的三种接入方式,下列说法正确的是
A、WEB方式实现的真正的"免客户端",主要适合于访问WEB站点
B、TCP接入比较适合使用固定IP地址和端口的TCP应用
C、IP接入可以支持任何基于IP协议的网络应用
D、Telnet服务器既可以通过TCP接入又可以通过IP接入
答案:ABCD
解析:SSL VPN的三种接入方式:Web接入(免客户端,适合Web应用,A正确)、TCP接入(端口转发,适合固定IP端口的TCP应用,B正确)、IP接入(网络扩展,安装虚拟网卡,支持所有IP协议,C正确)。Telnet作为基于TCP的应用,既可通过TCP接入(端口转发)也可通过IP接入(虚拟网卡)实现访问(D正确)。
知识点:SSL VPN,接入方式,Web接入,TCP接入,IP接入
某客户在H3C防火墙上配置了URL过滤功能,没有实现过滤可能原因
A、过滤规则URL填写错误
B、License到期
C、没有在安全策略中添加
D、配置没有激活
答案:ACD
解析:URL过滤不生效的常见原因包括:规则配置错误(A)、未在安全策略中引用(C)、配置后未提交/激活(D)。URL过滤功能通常不需要License(B错误),除非是特定高级特性。
知识点:H3C防火墙,URL过滤,故障排查,安全策略,激活
下列哪些功能可以由H3C防火墙实现
A、产生审计日志
B、执行安全策略
C、隔离可信任网络和不可信任网络
D、监控网络中的会话状态
答案:ABCD
解析:H3C防火墙可以实现多种功能,包括生成审计日志(A)、执行安全策略进行访问控制(B)、隔离不同信任级别的网络(C)、监控会话状态(D)。所有选项均为防火墙的基本功能。
知识点:H3C防火墙,审计日志,安全策略,网络隔离,会话监控
关于H3C防火墙的特征库功能说法正确的有
A、不支持特征库回滚
B、升级特征库需要License授权
C、支持自定义特征
D、不支持自动更新特征库
答案:BC
解析:H3C防火墙通常支持特征库回滚(A错误)。升级特征库(尤其是IPS、AV等)通常需要购买相应的License授权(B正确)。许多H3C防火墙支持用户自定义特征(C正确)。支持自动在线更新特征库(D错误)。
知识点:H3C防火墙,特征库,License,自定义特征,自动更新
下面哪个用户可能存在VPN应用需求
A、某大型网吧,提供高达千兆的Internet接入以及多达台的主机,需要对上网用户进行有效的计费,对用户上网行为进行有效的管理
B、大型制造企业,内部建设覆盖整个厂区的局域网,有统一的internet出口,企业内部已经启动ERP,系统,应用完善,每天有大量的销售人员出差
C、大型连锁机构,某品牌汽车4S店,总部设在上海,在全国省会级以上城市都有连锁店面,每天销售数据和财务信息需要向总部汇总
D、某省级政府机构,在全省县级及以上分布有专属分支机构,已经通过,线相互连接,正在考虑一种经济有效的方式实现专线线路备份
答案:BCD
解析:VPN典型应用场景包括:远程员工接入企业内部网络(B)、分支机构和总部之间的安全连接(C)、作为专线备份链路(D)。A选项描述的是网吧场景,主要需求是计费和上网行为管理,通常使用计费网关或行为管理设备,而非VPN。
知识点:VPN,应用场景,远程接入,分支互联,链路备份
H3C NGFW的特征库包括以下哪些
A、URL分类特征库
B、ARP特征库
C、防病毒特征库
D、IPS特征库
答案:ABCD
解析:H3C NGFW(下一代防火墙)通常集成多种安全功能,需要相应的特征库支持,包括URL分类(A)、防病毒(AV,C)、入侵防御(IPS,D)。ARP特征库(B)可能用于防范ARP攻击,也是部分NGFW支持的特征库类型。所有选项均正确。
知识点:H3C NGFW,特征库,URL分类,防病毒,IPS,ARP
IIS(Internet Security Systems)公司提出的PDR安全模型包括哪三个方面
A、响应
B、设计
C、保护
D、检测
答案:ACD
解析:PDR安全模型是互联网安全系统公司(IIS)提出的经典安全模型,包括保护(Protection)、检测(Detection)、响应(Response)三个核心部分。
知识点:PDR模型,网络安全,保护,检测,响应
证书注册中心在收到用户的证书注册请求后,需要对注册用户进行验证,其验证的主要信息有
A、确认注册用户有申请证书的权利
B、确认注册用户拥有和证书请求相对应的私钥
C、确认证书用户的身份信息正确
D、确认注册用户是否曾注册过证书
答案:BC
解析:RA(证书注册中心)的主要职责是验证申请者的身份信息(C)以及验证申请者确实拥有与证书公钥对应的私钥(通过挑战应答等方式,B)。A和D通常不是RA验证的核心内容。
知识点:PKI,RA,证书注册,身份验证,私钥持有证明
H3C防火墙安全策略的发展主要经历哪三个阶段
A、基于三元组的域间策略
B、基于ACL的域间策略阶段
C、NGFW的一体化安全策略
D、融合UTM的对象策略
答案:BCD
解析:H3C防火墙安全策略的发展通常经历三个阶段:基于ACL的域间策略(B)、融合UTM功能的基于对象的策略(D),以及NGFW一体化安全策略(C)。基于三元组的域间策略(A)并非独立发展阶段。
知识点:H3C防火墙,安全策略,域间策略,对象策略,NGFW
以下哪些配置可以实现SSH用的管理员权限
A、[Device-luser-network-test] service type ssh
B、[Device] local-user test class network
C、[Device-luser-manage-test] service type ssh
D、[Device] local-user test class manage
答案:CD
解析:SSH用于设备管理,属于管理类用户。因此需要创建管理类用户(class manage,D),并在该用户视图下配置service-type ssh(C)。network类用户(B)通常用于网络接入服务(如PPP、Portal等),而非设备管理。
知识点:SSH,管理员权限,本地用户,管理类用户,service-type
SSL握手层包括哪些协议
A、告警协议
B、握手协议
C、密钥改变协议
D、会话保持协议
答案:ABC
解析:SSL协议栈中,握手层包含多个子协议,主要包括握手协议(Handshake Protocol,B)、密钥改变协议(Change Cipher Spec Protocol,C)和告警协议(Alert Protocol,A)。会话保持协议(D)不是SSL握手层的标准组成部分。
知识点:SSL,握手层,握手协议,告警协议,密钥改变协议
防火墙排错过程中,哪些命令可以查看报文是否到达防火墙
A、Packet capture
B、display session table ipv4
C、Debug security-policy
D、debug ip packet acl
答案:ACD
解析:查看报文是否到达防火墙可以使用抓包(A)、开启IP报文调试(D)、开启安全策略调试(C)等方法。display session table(B)用于查看已建立的会话,无法直接判断报文是否到达设备。
知识点:防火墙,排错,抓包,debug,会话表
下列关于H3C防火墙文件过滤功能说法错误的有
A、文件类型组可以用来对扩展名进行统一组织和管理。一个文件类型组中可以包含多个扩展名,且它们之间是"与"的关系。
B、文件过滤是一种根据文件扩展名信息对经设备传输的文件进行过滤的安全防护机制,使用该功能必须安装License。
C、文件过滤规则的动作只包括允许和丢弃。
D、可以根据报文传输的方向(包括上传、下载和双向)来灵活控制对哪个方向的报文进行文件过滤。
答案:ABC
解析:文件类型组中多个扩展名之间通常是"或"的关系(匹配任意一个即命中),A说法错误,因此A错误。文件过滤功能可能不需要License(取决于产品型号和版本),B说法过于绝对,可能错误。文件过滤规则的动作通常包括允许、丢弃等,可能还包括告警,C说法"只包括"可能不准确,除了允许和丢弃外,还可能包括告警、阻断并记录日志、重置连接等其他动作。
知识点:H3C防火墙,文件过滤,文件类型组,License,动作
AVG带宽管理通道匹配规则正确的是
A、在透明模式下部署QoS时,需要将线路绑定在物理接口上,绑定在桥接口上无法生效。
B、当父节点带宽充足,而需要保障的通道带宽未达到时,其他通道可以借用此部分空余带宽,即低优先级抢到上限后,中优先级才能抢。
C、当存在N个相同优先级抢占时,按照均分处理,每个通道平分1/N的带宽。
D、QoS按照树形结构匹配,只要某节点存在叶子节点的情况,就会继续向下进行查找,一旦出现不匹配的情况,此处将会匹配父节点的默认通道进行QoS。
E、所有子节点的带宽之和必须小于父节点的带宽。
答案:ACDE
解析:QoS带宽管理中,透明模式下QoS需绑定物理接口(A正确)。相同优先级抢占时均分带宽(C正确)。树形匹配规则如D所述。子节点带宽和不能超过父节点(E正确)。B选项描述不准确,优先级抢占规则复杂,不一定按此顺序。
知识点:带宽管理,QoS,通道匹配,优先级,树形结构
H3C IPS功能可以对业务流量进行以下哪些缺省动作
A、黑名单
B、丢弃
C、允许
D、抓包
E、生成日志
F、重置
答案:ABCDEF
解析:H3C IPS(入侵防御系统)对检测到的恶意流量可以采取多种动作,包括:黑名单(添加攻击者到黑名单,A)、丢弃(B)、允许(C,如告警后放行)、抓包(D)、生成日志(E)、重置(发送RST断开连接,F)等。所有选项均为可能的缺省动作。
知识点:H3C IPS,动作,黑名单,丢弃,允许,抓包,日志,重置
下列哪些协议属于二层隧道协议
A、L2TP
B、GRE
C、IPSec
D、PPTP
答案:AD
解析:二层隧道协议是指在数据链路层(L2)进行隧道封装的协议,典型代表包括L2TP(A)和PPTP(D)。GRE(B)和IPSec(C)属于三层隧道协议。
知识点:隧道协议,二层隧道,L2TP,PPTP,GRE,IPSec
对证书授权中心的说法中,正确的是
A、CA按照证书链的层级机构进行工作
B、证书授权中心简称CA
C、CA位于注册用户和RA之间
D、CA的最终权威中心成为根CA
答案:ABD
解析:CA(证书授权中心)按照证书链的层级结构工作(A正确),简称CA(B正确),根CA是最终权威中心(D正确)。RA(注册中心)位于用户和CA之间,协助CA完成注册工作,因此C说反了。
知识点:PKI,CA,证书授权中心,RA,根CA
H3C SecPath防火墙Web网站过滤具有哪些功能
A、网站地址过滤
B、URL参数
C、JAVA阻断
D、ActiveX阻断
答案:ABCD
解析:H3C防火墙的Web过滤功能通常包括基于URL的地址过滤(A)、对URL中携带参数的过滤(B),以及对Web页面中嵌入的Java Applet(C)和ActiveX控件(D)的阻断功能。所有选项均正确。
知识点:H3C防火墙,Web过滤,URL过滤,Java阻断,ActiveX阻断
防火墙能够防御的攻击包括
A、畸形报文攻击
B、DoS/DDoS
C、扫描窥探攻击smurt
D、病毒木马
答案:ABC
解析:防火墙主要工作在网络层和传输层,可以有效防御畸形报文攻击(A)、DoS/DDoS攻击(B)和扫描窥探类攻击(如Smurf,C)。病毒木马(D)通常需要防病毒模块(AV)或终端安全软件配合,传统防火墙难以单独防御。
知识点:防火墙,攻击防御,畸形报文,DoS/DDoS,扫描攻击
衡量VPN的性能,主要有以下哪些指标
A、最大并发连接数
B、加密性能
C、每秒新建连接数
D、最大并发隧道数
答案:ABCD
解析:VPN网关的性能指标通常包括:最大并发连接数(A)、加密吞吐量(加密性能,B)、每秒新建连接数(C)和最大并发隧道数(D)。所有选项均为重要指标。
知识点:VPN,性能指标,并发连接数,加密性能,新建连接数,并发隧道数
下列关于SSL VPN的TCP接入方式的说法正确的是
A、用户可以通过TCP接入方式访问任意基于TCP的服务
B、是一种基于C/S架构的访问模式
C、TCP接入方式也称为"网络扩展"方式(错误,是IP接入)
D、不需要在远程主机上安装客户端软件(错误,必须安装)
答案:AB
解析:TCP接入方式通过在客户端安装轻量级ActiveX或Java插件(C/S架构,B正确),在客户端和VPN网关之间建立TCP隧道,支持访问基于TCP的应用(A正确)。它需要下载安装客户端程序(D错误),TCP接入方式的别称是"端口转发",而非"网络扩展"(C错误)。
知识点:H3C SSL VPN,TCP接入,C/S架构,客户端,端口转发
关于数字证书的说法,正确的是
A、数字证书就是我们网络身份证,它提供了证明自己身份和识别对方身份的功能
B、数字证书是由CA来颁发的
C、数字证书将个人私钥和个人身份进行了绑定
D、数字证书一旦生成,将永久有效
答案:AB
解析:数字证书相当于网络身份证,用于身份认证(A正确)。证书由CA(证书授权中心)颁发(B正确)。数字证书绑定的是公钥与身份信息,而非私钥(C错误)。证书有有效期,过期后需要更新(D错误)。
知识点:数字证书,CA,身份认证,公钥,有效期
NAT的实现方式包括
A、Easy IP方式
B、NAT Server方式
C、PAT方式
D、No-pat方式
答案:ABCD
解析:NAT的常见实现方式包括:PAT(端口复用,C)、NO-PAT(仅转换IP,D)、Easy IP(借用接口IP,A)、NAT Server(端口映射,B)。所有选项均为NAT的实现方式。
知识点:NAT,PAT,NO-PAT,Easy IP,NAT Server
H3C防火墙特征库升级,支持以下几种方式
A、手动离线升级
B、特征库回滚
C、定期自动在线升级
D、立即自动在线升级
答案:ABCD
解析:H3C防火墙支持多种特征库升级方式,包括手动离线升级(上传文件,A)、定期自动在线升级(C)、立即自动在线升级(D),以及升级失败后回滚到上一个版本(B)。所有选项均正确。
知识点:H3C防火墙,特征库,升级,回滚,自动升级
经过IPSec封装后的报文格式如下图所示,参与验证算法生成验证字段的数据报文有哪些
A、AH头
B、新报文头
C、原始报文
D、共享秘钥
答案:CD
解析:在IPsec的AH或ESP(带验证)中,验证字段的计算通常覆盖整个IP报文中的不变部分(新报文头中的不变部分)以及原始报文。但验证字段的计算输入还包括双方共享的密钥,而新报文头中的可变部分(如TTL、Checksum)不参与验证。AH头本身是待验证的载荷,不参与自己的验证字段计算(A错误)。因此,参与生成验证字段的数据主要是原始报文(C)和共享密钥(D)。
知识点:IPsec,AH,ESP,验证字段,共享密钥
以下属于网络安全威胁的有
A、IP地址欺骗
B、DoS/DDoS攻击
C、扫描攻击
D、畸形报文攻击
答案:ABCD
解析:常见的网络安全威胁包括IP地址欺骗(伪造源IP,A)、拒绝服务攻击(B)、扫描窥探(C)以及畸形报文攻击(D)。所有选项均属于网络安全威胁。
知识点:网络安全威胁,IP欺骗,DoS/DDoS,扫描攻击,畸形报文
关于防火墙转发流程,以下错误的是
A、首先判断是否匹配当前会话表或关联表
B、首先判断是否匹配当前安全策略
C、若未匹配到安全策略,则丢弃报文
D、若未匹配到安全策略,则按默认策略进行处理
答案:BC
解析:防火墙报文处理通常先匹配会话表(快速转发,A正确,不选)。如果未命中会话,则进行安全策略匹配(B错误,它描述的是首先判断安全策略,因此B是错误的)。若未匹配到任何安全策略,则按照默认策略(通常是丢弃)处理(C错误,因为直接丢弃是默认策略的一种,但说法不严谨,D正确)。题目要求选错误的,因此B和C错误。
知识点:防火墙,报文转发,会话表,安全策略,默认策略
L2TP建立过程中PPP链路协商不成功,可能的导致原因包括
A、LAC端设置的用户名或者密码有误
B、LNS端没有设相应的用户
C、LNS端没有设置地址池
D、LAC和LNS端配置的密码验证类型不一致
答案:ABCD
解析:PPP协商失败的可能原因包括:认证信息错误(A)、对端用户不存在(B)、地址分配失败(C)、认证协议不一致(D)。所有选项均为可能原因。
知识点:L2TP,PPP,链路协商,认证失败,地址池