1. HWTACACS仅仅只能对密码部分进行加密而Radius协议除Radius报文头以外,同时对报文主体全部进行加密。( )
True False
2. 负载均衡实现了将访问不同IP地址的用户流量分配到同一服务器上的功能。( )
True False
3. 以下哪个不是IP-link的探测时发送的报文? ( )
(Select 2 Answers)
A. ARP报文
B. IGMP报文
C. ICMP报文
D. Hello报文
4. USGA与USGB配置了静态BFD会话,下列关于BFD会话建立和拆除的过程,说法正确的是?( )
(Select 2 Answers)
A. USG A和USG B各自启动BFD状态机,初始状态为Down,发送状态为Down的BFD报文,Your Discriminator的值是0。
B. USG B本地BFD状态为Init后,如果接下来继续接收到状态为Down的报文,重新进行处理更新自己的本地状态。
C. USG B收到状态为Init的BFD报文后,本地状态切换至Up。
D. USG A和USG B发生“DOWN => INIT”的状态迁移后,会启动一个超时定时器。如果定时器超时仍未收到状态为Init或Up的BFD报文,则本地状态自动切换回Down。
5.USG系列防火墙双机热备不包括以下那些协议:( )
A. HRP
B.VRRP
C. VGMP
D. IGMP
6. 在配置USG双机热备时,(假设备份组号是1)虚拟地址的配置命令,正确的是哪项?( )
A. vrrp vrid 1 virtual-ip ip address master
B. vrrp virtual-ip ip address vrid 1 master
C. vrrp virtual-ip ip address master vrid 1
D. vrrp master virtual-ip ip address vrid 1
7. 下列关于VRRP和VGMP的协议报文,说法正确的是什么? ( )
(Select 2 Answers)
A. VGMP管理组与VRRP备份组之间使用VGMP Hello报文通信
B. VGMP管理组之间通过VGMP Hello报文通信
C. VGMP管理组之间通过VRRP报文通信
D. VGMP管理组与VRRP备份组之间使用VGMP报文通信
8.在一个Eth-Trunk接口中,通过在各成员链路上配置不同的权重,可以实现流量负载分担。( )
True False
9. 虚拟防火墙技术特点不包括以下哪项?( )
A. 提供路由多实例、安全多实例、配置多实例、NAT多实例、VPN多实例,应用灵活,可满足多种组网需要。
B. 每个虚拟防火墙均可以独立支持TRUST、UNTRUST、DMZ等 4个安全区域,接口灵活划分和分配。
C. 从技术上保证了每一个虚系统和一个独立防火墙从实现上是一样的,而且非常安全,各个虚系统之间可以直接实现访问。
D. 每个虚系统提供独立的管理员权限。
10. 以下不提供加密功能的VPN协议有哪些? ( )
(Select 3 Answers)
A. ESP
B. AH
C. L2TP
D. GRE
11. 在IPSec VPN中,以下哪个报文信息不存在?( )
A. AH报文头
B. AH报文尾
C. ESP报文头
D. ESP报文尾
12. IPSec VPN做NAT穿越的情况下,必须使用IKE的野蛮模式。( )
True False
13.下列关于IPSec和IKE的说法正确的是:( )
(Select 3 Answers)
A. IPSec有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE 自动协商(isakmp)方式。
B. IKE 野蛮模式可以选择根据协商发起端的IP 地址或者ID,来查找对应的身份验证字并最终完成协商。
C. NAT 穿越功能删去了IKE协商过程中对UDP 端口号的验证过程,同时实现了对VPN 隧道中NAT 网关设备的发现功能,即如果发现NAT 网关设备,则将在之后的IPSec 数据传输中使用UDP 封装。
D. IKE 的安全机制包括DH Diffie-Hellman 交换及密钥分发,完善的前向安全性(Perfect Forward Secrecy PFS)以及SHA1等加密算法。
14. 如果建立IPSec VPN隧道双方,一方的IP地址不固定,则以下哪些配置方法不能适用在IP地址不固定的网关? ( )
A. 策略模板
B. 策略
C. 野蛮模式下的Name认证
D. 野蛮模式下的pre-share key认证
15. 网络攻击的分类有流量型攻击、扫描窥探攻击、畸形报文攻击和特殊报文攻击。 ( )
True False
16. IP-MAC地址绑定配置如下:
[USG] firewall mac-binding 202.169.168.1 00e0-fc00-0100
当数据包通过华为防火墙设备时候,不考虑其他的策略情况(如包过滤,攻击防范),下列数据能通过防火墙的有? ( )
(Select 2 Answers)
A. 数据包源IP:202.169.168.1
数据包源MAC:FFFF-FFFF-FFFF
B. 数据包源IP:202.169.168.2
数据包源MAC:00e0-fc00-0100
C. 数据包源IP:202.1.1.1
数据包源MAC:00e0-fc11-1111
D. 数据包源IP:202.169.168.1
数据包源MAC:00e0-fc00-0100
17. CC攻击是哪种攻击方式?( )
A. 拒绝服务型攻击
B. 扫描窥探攻击
C. 畸形报文攻击
D. 基于系统漏洞的攻击
18. DHCP Snooping功能需要维护绑定表,其绑定表的内容包括哪些?( )
A. MAC
B. Vlan
C. 接口
D. DHCP Server的IP
19. 在DDos攻击防范中,如果通过服务学习功能,发现正常流量中根本没有某种服务或某种服务流量很小,则可以在Anti-DDos设备上分别采用阻断或限流方法来防御攻击。 ( )
True False
20. HTTPS Flood源认证防御原理是,Anti-DDos设备代替SSL服务器与客户端完成TCP三次握手。如能完成TCP三次握手,表示HTTPS Flood源认证检查成功。( )
True False
【参考答案】
1.F 2.F 3.BD 4.CD 5.D 6.A 7.BD 8.T 9.C 10.BCD 11.B 12.F 13.ABC 14.A 15.T 16.CD 17.A 18.ABC 19.T 20.F
