一、单选题
1.下列哪项不是深信服下一代防火墙的核心价值点
A.可以提供全面的风险可视化,简化运维,快速定位风险
B.提供企业业务全生命周期链的防护,包括从事前事中事后的整体防护
C.提供企业内网全面的防护能力,网端东西向流量全方位防护
D.握供应对未知威助的防护能力,应对不断变化的外部威胁
答案:C
2.云端易部署功能中,关于分支快速接入的方式,以下说法错误的是
A.采用插入 4G 卡的方式,快速完成分支设备的云端易部署
B.采用 WIFI接入/PC接入配置的方式,快速完成分支设备的云端易部署
C.设备接入 DHCP 线路网络中,SDW-R设备可自动获取到IP,快速完成分支设备的云端易部署
D.采用插入U盘的方式,快速完成分支设备的云端易部署
答案:D
3.SDW-R 设备中,不包含以下哪种功能?
A.SANGFORVPN/标准IPSOcVPN 功能
B.基础的静态路由功能
C.支持提供 WIFI功能
D.支持使用防勒索邮件安全等安全防护的功能
答案:D
4.防火墙按结构划分,下列不属于此类的是
A.单一主机防火境
B.路由集成防火墙
C.分布式防火墙
D.机柜式防火墙
答案:D
5.客户采购了一台 AF 部署在互联网出口,需要进行安全防护同时,还需要替换出口路由器,充当出口网关设备。在此部下,AF下列哪个操作是非必须的
A.内网用终端配置私网IP 需要上网,需要在AF上配置 SNAT
B.内网服务器配置私网地址对外发布业务,需要在AF上配置 DNAT
C.内网终端和服务器的同关都在同一个核心交换机上,要实现互访,需要在 AF上配置回包路由
D.需要调整应用控制策略,默认AF是拦截所有数据通信
答案:C
6.风和日丽的中午,工程师陈工与客户了解到当前分支的深信服AC 设备存在某些漏洞,此漏洞在最新的版本已经修复,那么此时陈工如何快速将所有分支完成升级?
A.使用总部端 BBC 设备采用分支批量升级功能
B.使用总部端 BBC 设备采用策略模板统一下发功能
C.到每个分支现场将逐个设备进行升级
D.使用总部 AC 下发升级包给分支进行升级
答案:A
7.邮件易部署功能说法错误的是?
A.邮件易部署支持预配置 LAN、WAN 接口的网络配置
B.邮件易部署支持预配置加入 SANGFORVPN拓扑,分支设备完成邮件易部署时可自动加入 SANGFORVPN 拓扑
C.邮件易部署支持预配置关联策略模板,分支设备完成邮件易部署可自动关联策略模板
D.邮件易部署支持预配置加入标准 IPSECVPN拓扑,分支设备完成邮件易部署时可自动加入标准IPSECVPW 拓扑
答案:D
8.AF僵尸网络防护功能说法正确的是?
A.恶意域名重定向功能要求AF 设备路由部署
B.僵尸网络默认启用恶意域名重定向
C.恶意域名重定向功能要求AF设备能够上网
D.恶意域名重定向的原理是恶意域名解析的 IP 地址将会被 AF 重定向成蜜罐 IP地址。通过监听对密罐地址的访问,即可定位内网感染僵尸网络病毒的真实主机IP
答案:D
9.AF 的多线路负载不支持以下哪种方式?
A.轮询
8.优先使用前面线路
6.加权最小流量
D.随机HASH
答案:D
10.关于 BBC 的分支接入,以下说明错误的是?
A.BBC需要完成设备授权激活,分支设备才可接入到BBC
B.BBC授权过期之后,BBC无法创建分支账号,分支无法接入到BBC
C.分支的接入数不能超过BBC上授权的设备数
D.BBC授权过期之后,在 30天内任然可以创建分支账号提供给分支做接入
答案:D
11.以下关于 AF 接口的说法正确的是
A.如果接口设置为路由接口,并且是 ADSL拨号,需要选上添加默认路由选项并且该选项默认勾选
B.eth0为固定的管理口,接口IP 为 10.251.251.251/24且无法删除,无法修改,无法新增
C.聚合接口主备模式中,会取优先级最高的接口为主接口,其余为备接口.
D.一个路由接口下可添加多个子接口,且路由接口的 IP 地址可以与子接口的 IP地址在同网段
答案:A
12.关于 BBC 的分支接入所使用的是BBC的哪个端口号
A.TCP5000
B.TCP5001
C. UDP5001
D.TCP4009
答案:A
13.客户采购了一台 AF 部署在互联网出口,在不改变用户网络结构的需求下,决定采用透明部署。在此部署下,AF下列哪个操作是非必须的
A.AF自身需要上网,所以需要配置缺省路由
B.需要调整应用控制策略,默认AF是拦获所有数据通信
C.内网服务器配置私网地址对外发布业务,需要在AF上配DNAT
D.AF如需被不同网段的终端管理,需要配置回包路由
答案: C
14.下列哪项操作是目前 AF 的 MANAGE 口可进行的操作
A.改为透明模式的接口,支持透明部署
B.禁用该接口,需要的时候再启用
C.添加客户的 IP 地址址,做为管理地址
D.删除该接口不再使用
答案:C
- P0C测试项目中,以下关于 xhack 工具的应用,理解错误的是
A.在交付项目中,对于新上架部署的 AF 产品,想快速验证配置的安全策略是否正确,可使用 xhack 进行快速验证
B.在 POC 测试项目中,客户想测试一些POC功能用例,可使用 xhack 工具给客户微 POC 测试用例演示
C.在 P0C 的 PK 测试项目中,想通过打批量 ocap 包优势样本的方式,和友商 KK我们某方面功能的拦截检出率,可使用 xhack 工具进行自定义批量 pcap 包优势样本的导入,并支持批量回放pcap 包优势样本
D.在日常的设备运維中,客户想了解当前网络环境中部署的 AF 对内网业务的安全防护状态是否良好,可使用 xhack 工具过客户网络环境中部署的 AF,向客户内网的业务进行模拟攻击,利用 xhack 工具自动生成对应的安全报告,并下载报给客户做安全分析汇报
答案:D
16.邮件易部署功能的基础排障思路中,以下说法错误的是?
A.检查 BBC的访问地址,需要保证该地址为互联网映射后的地址,保证分支可通过该地址访问到 BBC
B.通过易部署链接无法访问设备时,检查连接易部署的P0的IP地址配百是否与设备的 LAN 口默认地址同一个网段
C.当分支管理员未接收到邮件时,检查下发邮件的邮箱地址是否时该管理员的邮箱地址
D.但邮件易部署接入 BBC 失败时,需要检查 BBC与云图之间的对接是否正常
答案:D
17.下列有关 AF 接口与区域的说法中,错误的是?
A.AF 的一个路由口下可以添加多个子接口,且路由接口的 IP 地址不能与子接口的 IP 地址在同网段
B.AF 的一个区域可以包含多个接口,一个接口也可以属于多个区域
C.AF 的虚拟网线区域只能包含虚拟网线接口,不能包含透明接口和三层接口
D.单进单出透明部署情况下,可以通过配置 WLAN 接口 IP 来对设备进行管理
答案:B
18.IPSEC 是一套协议集,它不包括下列哪个协议?
A.AH
B. ESP
C.SSL
D. IKE
答案:C
19.防火墙按技术划分,主要可以分为三大类型?
A.包过滤、入侵检测、数据加密
B.包过滤、入侵检测、应用代理
C.包过滤、状态检测、入侵检测
D.包过滤、状态检测、应用代理
答案:D
20.以下不是业务发布区域的服务器面临的威胁?
A.业务内容被算改,植入非法文字图片或链接,影响公司形象
B.发布应用上保存用于日常在线服务相关的敏感业务数据,容易被黑客现觎导致数据泄露风险。
C.用户通过互联网下载包含木马后门的文件,并横向扩散感染其他终端,
D.业务存在漏洞恶意链接,被监管单位检测通报
答案:C
21.B8C部署形式与部署模式说法错误的是?
A.可提供硬件物理设备 BBC
B.可提供虚拟镜像部署在云端
C.使用单臂的部署模式完成设备的部署
D.使用路由模式部警,作为内网的网关
答案:D
22.关于防病毒网关和传统防火墙的对比说明,下列说法不准确的是
A.防病毒网关更关注于病毒的过滤可阻断病毒文件的传播
B.防病毒网关在OSI七层模式中的工作范国要大于传统防火墙
C.防病毒网关一般也具备应用控制功能模块
D.防病毒网关开启杀毒功能后,在处理速度上,较传统防火请要快
答案:D
23.关于深信服下一代防火墙的核心价值说法,不包含
A.提供健康的上网管理
B.提供安全全面可祝的能力
C.提供业务安全全面防护的能力
D.提供未知威胁抵御的能力
答案:A
24.BBC的 AutoVPN 的作用是什么?
A.通过与预定义的策略,自动创建 SSLVPN 连接
B.通过与预定义的策略,自动创建标准IPSECVPN 连接
C.通过与预定义的策略,自动创建 SangforVPN 连接
D.通过预定义的策略,启用 VPN模块
答案:C
25.下列关于入侵检测系统的说法,不准确的是IDS 多点,旁路,IPS串联
A.常见于串接部警,对流经设备的流量进行分析
B.需要更新设备上的相应规则库
C.一般不支持拦截所检测到的风险行为
D.工作范围可涵盖 L2-L7 层
答案:A
26.以下关于 AF 双机说法不正确的是
A.双机不能用 eth0 口作为业务口
B.双机在接口不足的情况下,可以用 eth0 做心跳口
C.备机没有加入网络监听的网口,对外发包同样会被抑制
D.透明模式双机 AF 不支持 STP 可能会存在广播风暴问题
答案:C
27.部署在互联网出口的 AF 无法针对以下哪种方向的流量进行安全防护
A.互联网区域访问内网服务区的流量。
B.内网办公区访问内网服务器区的流量
C.内网办公区访问互联网区域的流量
D.内网服务器区访问互联网区域的流量
答案:B
28.客户内网部警了一台 AF 设备做标准IPSECVPN 对接,现需要在出口防火墙上放通相应协议和端口以下需要放通的协议和端口号中,正确的是
A.IP协议号:50,51,端口:TCP1723,UDP1701A
B.IP协议号:47,50,端口:TCP1723,UOP1701B
C.IP协议号:50,51,端口:UDP4500,UDP500
D.IP协议号:50,51,端口:TCP4009,UDP4009
答案:C
29.以下关于 AF 双机配置说法正确的是
A. AF 建立双机后,使用 PC 直连备机 MANAGE 口无法登录 WEB 控制台
B. AF 仅能配置一个 HAIP 地址
C. 无法登陆备机状态设备的 WEB 控制台
D. AF 双机部署,只要启用配置同步,则所有非 HA的接口 IP 都会同步
答案:D
30.BBC的 ath0 口缺省IP 地址是多少
A.10.250.0.7/24
B.10.251.251.251/24
C.10.252.252.252/24
D.10.254.254.254/24
答案:A
31.关于 BBC 的告警设置,以下说法错误的是?
A.针对产品线的相关告警设置需要导入对应产品线的策略模板才可进行设置
B.针对 CPU内存等通用的告警设置不需要导入产品的策略模板也可进行设置
C.分支设备的告警处置完成之后,BB0上会自动显示告警已处理
D.BBC的告警设置无法针对各自产品线的告警内容进行设置,只能在分支端进行告警设置
答案:D
- 在个别场景中,会要求AF旁路部署,在旁路部署下,下列说法错误的是
A.AF旁路部署的优势是无论是上线还是设备故障,均不会影响到用户现有网络
B.旁路部署可以实现当前设备所有安全功能的防护
C.旁路部署不支持对 UDP 协议的拦截操作
D.旁路部署一般需要有一个单独管理口来进行设备的管理
答案:B
33.关于 BBC的 AutoVPW 的配置思路中,下列说法错误的是?
A在总部 BBC 端上新建 VP 拓扑,并关联总部端设备与分支端设备
B.不需要在总部端配置 VPN 账号,分支端配置连接管理。此配置会由 BBC 进行自动生成
C.新建 VPW 拓扑之前,需要保证分支端到总部端的 VPN 服务端口是路由可达的
D.BBC上 AutoVPN 的功能只能进行手动下发 VPN 配置,无法实现自动下发 VPN配查
答案:D
34.为构建云端网端终端全方位立体化的安全防护体系,深信服下一代防火墙可与其他产品进行联动,形成整体的防护,下列不属于该体系中的行为是
A.联动云图,实现安成助情报快速更新补充
B.联动云图,实现未知威助精准分析判断
C.联动 SSL,实现终端接入安全可控
D.联动 EDR,实现终端安全快速处置闭环
答案:C
35.客户购买 AF 主要用于做上网 NAT,同时作为内网DHCP服务器,请问什么部署模式可以满足客户需求?
A.路由模式
B.透明模式
C.旁路模式
D.虚拟网线模式
答案:A
36.以下关于本地子网的说法,正确的是:
A.本地子网只有在单跨模式下才需要添加
B.本地子网只有在网关模式下才需要添加
C.本地子网在单臂和网关模式下都需要添加
D.本地子网的添加与部署模式没有关系,只有总部和分支设备内网非LAN 口直连网段需要与对端通信才需要添加
答案:D
37.AF通过区域,定义井归类接口,在各类安全策略中引用区分不同区域的安全等级以及安全方向,下列关于区域的说法错误的是
A.一个物理接口可以划分到多个同安全级别的区域内
B.区域根据接口转发类型分为二层.三层.虚拟网线三类
C.可以把三个路由属性的接口划入到同一个三层区城中
D.可以通过区域关闭该区域内接口对外提供的控制合登录权限
答案:A
38.从目前主流的传统防火墙来看,下列哪项不能做为应用控制策略(ACL)的可控项
A.IP
B.端口
C.路由
D.区域
答案:C
39.统一集中管理场景中,以下说法错误的是?
A.通过总部端统一集中管理平台BBC 实现分支的统一管理
B.通过总部端统一集中管理平台BBC 实现所有分支的运行状态查看
C.通过总部端统一集中管理平台BBC 实现策略的自动化配置,将策略统一下发到分支
D.统一集中管理平台 BBC 将安全事件进行收集并分析,并进行安全统一运营
答案:D
40.在防火境的高可用性技术中,下列哪些是非常少见的
A.集群
B.主备
C.多机
D.冷备
答案:A
41.SANGFORVPN 组网,如果两个分支之间需要实现互相访问,可以用如下个技术解决分支之间互访的问题
A.隧道内NAT 技术
B.隧道间路由技术
C.VPN 内网权限技术
D.在两个分支之间配置静态路由实现
答案:B
42.AF安全运营中心设置,不能实现以下哪个功能
A.设置显示的风险级别,可以只显示风险级别为高的事件,其他事件一律不显示
B.设置显示的IP范国,非指定的IP范国不显示在运营中心
C.设置检测的风险项目,不希望关注的项目可以取消检测
D.设置处置记录,对已处理的记录可以进行删除
答案:A
43.深信防火墙实现从“事前”“事中”“事后”的整体防护,其中下列哪些功能不属于事中的防护
A.业务资产识别管理
B.Dos/Ddos 攻击防护
C.漏洞攻击防护
D.WAF 攻击防护
答案:A
44.WEB 应用防火墙,主要是针对 WEB站点进行深入防护,下列哪项功能不是当
前主流 WEB 防火境的重点
A.针对 weblogic 的漏洞有相应防护能力
B.针对 webshell上传有相应的防护能力
C.针对挖矿病毒有相应的防护能力
D.针对CC攻击有相应的防护能力
答案:C
45.SOW-R的4G冷备功能说法正确的是?
A.4G 冷备功能不会对线路进行探测
B.4G 冷备功能需要提前在 SDW-R 进行全接口的 SNAT 规则的设置
C.4G 冷备功能不需要关注 4G 接口是否启用,直接在 SDW-R设备端启用 4G 冷备功能即可
D.当有线线路故障时,4G卡插入 SDMR 设备之前不需要关注设备是否有插入天线。
答案:B
46.路由属性的接口,都有链接故障检测的功能,关于链路检测功能的说法,错误的是
A.链路检测结果支持做为双机切换的条件
B.链路检测结果支持做为接口是否启用的生效条件
C.链路检测结果支持做为静态路由是否生效的条件
D.链路检测结果支持做为策略路由选路的条件
答案:B
47.部署在数据中心出口的 AF 无法针对以下哪种方向的流量进行安全防护
A.互联网区域访问内网服务区的流量。
B.内网办公区访问内网服务器区的流量
C.内网办公区访问互联网区域的流量
D.内网服务器区访问互联网区域的流量
答案:C
48.客户购买了一台AF设备,现需要对接第三方设备实现总部与分支之间的内网
互通,以下那种 VPN 对接是可以正常对接起来的?
A.标准IPSecVPN
B.SANGFORYPN
C. SSLVPN
D.以上选项均不正确
答案:A
49.SDW-R的VRRP 高可用功能说明中,以下说法错误的是?
A.网关模式 VRRP 下,HA 接口启用 0SPF 邻居主要是用于故障切换时保证来回路由完整性,避免业务中断
B.SDW-R 设备的 LAN 接口和 WAN接口均可启用 VRRP 组,通过不同的 VRRP 组来进行 VRRP 协商
C.启用 VRRP 的接口必须二层可达,可连接二层交换机透传 wrrp 报文,组播地址 224.0.0.18
D.两台SDN-R启用 VRRP 的LAN接口可以配置不同网段的IP,两台SDW-R启用 VRRP的 LA 区域的工作 IP 可以与是不同网段的 IP
答案:D
50.连锁分支组网场景中需求与功能匹配关系错误的是?
A.通过总部与分支之间的 WPN 连接实现分支访问总部的内网互访
B.连锁/小型分支通过使用 SDW-R来减少分支 IT成本的投入
C.通过总部 BBC 统一集中管理运维分支设备,提升总部人员的IT运维效率
D.总部运维人员通过互联网线路映射 80/443 等端口直接运维分支设备,此方式提升总部运维人员的效率
答案:D
51.单进单出网桥的环境下,为什么 AF 推荐使用虚拟网线接口部署?
A.虚拟网线接口是普通的交换接口
B.虚拟网线接口不需要配置 IP 地址
C.虚拟网线接口不支持路由转发
D.虚拟网线接口转发数据帧时,无需检查 MAC 表,直接从虚拟网线配对的接口转发
答案:D
52.统一集中管理场景中,关于BBC设备的功能使用,以下说法正确的是?
A.BBC 作为统一集中管理平台统一纳管深信服的 AF/AC 等安全设备
B.BBC作为 VPN 总部接入端,为分支提供VPN接入,保障总部与分支的连通性
C.BBC可以涌过命令行下发的方式进行分支统一管理
D.BBC作为总部或者分支网络出口路由设备,为总部或者分支提供路由转发的功偿
答案:A
53.以下关于 AF 双机配置说法正确的是
A.AF 建立双机后,使用 PC直连备机 MAMAGE 口无法登录 WEB 控制台
B.自动对焦仅能配置一个主机地址
C.无法登陆备机状态设备的 WEB 控制台
D.双机部署,只要启用配置同步,则所有非高可用的接口都会同步
答案:D
54.[连锁分支组网]以下连锁分支组网场景的特点中,说法错误的是?
A.分支机构分散而且数量众多,基本上覆盖全省区域或者全国区域
B.分支 IT建设成本高,需要多种安全设备和数通设备进行组网
C.分支无 IT 管理人员,针对设备的部署与运维难度巨大
D.分支到总部之间的业务访问通过专线访问,不需要考虑专线线路成本受连锁分支快速开/关店的影响
答案:D
55.AF的业务安全中心,把事件根据凤险进行分类,如果是检测到用户网站只有被扫描的日志记录,而无其他风险记录,此类事件会被归为哪类
A.已被入侵
B.曾被攻击
C.曾被收集信息
D.存在漏洞
答案:C
56.POC测试项目中,以下关于 xhack 工具靶机的安装,理解正确的是
- 使用 xhack 的[安全数据流检测]中的“数据流检测”功能模块时,靶机的安装要求客户端和服务端都要安装 xhack,且 DNAT 场景中,AF 需要做端口映射
- 使用 xhack 的[安全数据流检测]中的“PcapPkt 检测”功能模块时,靶机的安装要求客户端和服务端都要安装 xhack,且 DNAT 场景中,AF 需要做全端口映射
C.使用 xhack 的[安全数据流检测]中的“威胁情报检测”功能模块时,靶机的安装要求客户端和服务端都要安装 xhack,且 DNAT 场景中,AF 对于靶机的 DNAT映射只能映射为 80 端口
D.使用 xhack 的[实况靶场]中的“web 实况攻击”功能模块时,靶机的安装要求客户端和服务端都要安装 xhack,且 DNAT 场景中,AF 对于靶机的 DNAT 映射能映射为 80 端口
答案:A
57.关于 BBC 的分支接入,以下排障思路错误的是?
A.检查分支的接入地址与端口是否配置正确,是否属于总部映射出来的地址与端口
B.检查分支的接入账号信息与总部端BBC配置的账号信息是否一致
C.检查分支到总部 BBC 接入地址的连通性,确认分支可访问到 BBC的接入服务端口
D.检查分支端设备是否能接受到BBC下发的策略配置
答案:D
58,基于当前的外部威助环境,下列哪项不是传统安全建设的弊端
A.成本比较高,要采购很多各类的安全产品
B.防护全面性不够,无法防护到终端侧的安全
C.运维比较难,各个产品及厂商的日志独立,无法综合分析
D.数据处理效率比较低,数据交互要经过多套安全产品的串行处理
答案:B
59.关于传统的总部管理分支的场景特性中,以下说法错误的是?
A.分支数量众多,涉及到所有分支策略调整升级变更是难度大。
B.分支的部分运维蠕口需要映射到互联网,总部通过互联网方式运维分支
C.总部管理分支设备,十分便捷,通过互联网访问即可访问到分支端设备
D.总部通过互联网访问的方式,运维分支设备,分支设备存在安全风险的问题
答案:C
60.对新建的应用连接,预先设置安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成规则表。对该连接的后数据包,只要符合规则表就可以通过。这种防火墙技术称为?
A.包过滤技术
B.状态检测技术
C.代理服务技术
D.入侵检测技术
答案:B
61.AF 以下什么部署模式支持使用标准IPSecVPH/SANGFORVPN 的功能?
A.路由模式
B.透明模式
C.虚拟网线模式
D.旁路模式
答案:A
62.下列功能中,AF 旁路部署时不支持的是?
A.僵尸网络
B.DNS 代理
C.WEB 应用防护
D.实时漏洞分析
答案:B
63.连锁分支组网场景中关于分支快速部署上线的方式,以下说法错误的是?
A.SDT-R 通过云端注册开局的方式上线
B.SOT-R 通过邮件注册的方式上线
C.SDT-R涵过U盘易部害的方式上线
D.AF 通过邮件注册的方式上线
答案:C
64.云端易部署功能所使用到的深信服产品,以下错误的是?
A. SOWR
B.BBC
C.云图
D.云镜
答案:D
65.客户处新采购一台AF 放在出口,需要代理内网用户上网且对外发布的服务器要直接配置公网地址,下述哪种部署模式最合适
A.旁路镜像模式
B.透明模式
C.虚拟网线模式
D.混合模式
答案:D
66.下列关于目前主流厂商包过滤防火墙的说法,不准确的是
A.主要工作在网络层和传输层
B.可以支持路由转发功能
C.支持自动学习后生成拦截动作
D.一般有处理速度快,价格便宜的优点
答案:C
67.目前 AF 的接口,根据工作的层面,不可以划分的区域有
A.三层区域
B镜像区域
C.二层区域
D.虚拟网线区域
答案:B
68.关于 AF 链路故障检测,下列说法正确的是?
A.链路故障检测最多可配置两组 IP,每组可配置8个IP
B.任何一组内的某个IP 检测不通即判定链路故障
C.任何一组内的所有 IP 检测不通才判定链路故障
D.多组内的所有 IP 检测不通时才判定链路故障
答案:C
69.关于 BBC 的分支序列号批量更新功能,以下说法错误的是?
A.设备接入 BBC 之后,会自动上报序列号信息到BBC
B.BBC不支持分支序列号批量导出或者导入功能
C.BBC导出的分支设备序列号表格中不包含具体的功能序列号
D.BBC导入序列号信息之后,可对分支设备进行批量更新
答案:B
70.关于地域访问控制与应用控制功能说法正确的是
A.先匹配地域访问控制,再匹配应用控制
B.先区配应用控制,再匹配地域访问控制
C.地域访问控制与应用控制策略是同时匹配
D.先匹配的地址访问控制的拒绝之后,还是会匹配应用控制策略
答案:A
71.对于漏洞攻击防护拦截业务,使用下列哪种方法放通业务(不能影响到策略正常运行)是正确的:
A.直接绕开设备
B.删除漏洞攻击防护策略
C.将源目的 ip 加入全局排除
D.将拦截业务的规则 id 动作改成允许
答案:D
72.关于 AF 旁路部署的说法错误的是?
A.不需要单独配置管理接口
B.需要开启旁路reset功能,才能实现阻断
C.防护策略对 FTP 服务器有效
D.设备宿机也不会对现有业务造成影响
答案:A
73.vlan 接口是一种逻辑接口,下列关于 vlan 接口的说法,错误的是
A.vlan 接口属于路由属性接口,可配置 IP 地址
B.vlan 接口可以支持链路探测功能
C.vlan 接口只能划分到三层区域
D.vlan 接口支持 adsl 拨号
答案:D
74.关于 NGFW(下一代防火墙)和 UTH(统一威助管理)的差异说明,说法不准确的定
A.UTM 工作在 L2-L4 层,WGFW 工作在 L2-L7 层
B.UTW 对经过的数据包是串行解析处理,NGFW 是并行解析处理
C.UTW 一般不带 TAF功能,NGFW 一般带有 WAF 功能
D.相较 UTM,NGFW 的处理性能要更强
答案:A
75.P0C测试项目中,以下关于 xhack 工具的相关应用,理解错误的是
A.xhack 应用场景中,xhack 所有功能模块的使用,都不受 AF 部署模式的影响
B.xhack 应用场景中,关于靶机的部雪,xhack 还不能对接客户自己提供的靶机,只能对接我们对应搭配的靶机
C.xhack 应用场景中,关于xhack 客户端和靶机连通性的校验,如果审接在中间的 AF 设备配置的是 DNAT 场录,AF 需要针对靶机做端口映射,否则靶机的连通性校验不能成功
D.xhack 应用场景中,hack通过”数据流检测"进行的样本流回放,和通过”PcapPkt检渊”进行的样本包回放,都支持自动修改样本自带的IP地址为测试环境的真实IP地址,使得在 AF 上产生的攻击拦日志中,看到的IP地址就是真实攻击測试环境的 IP 地址
答案:A
76..AF的安全运营中心功能,自动/手动评估后,重点需要关注个模块的结论并处置
A.风险评估
B.动态保护
C.监测与分析
D.待办事件
E.通过总部端统一集中管理平台 B80 实现所有分支的运行状态查看
F.通过总部端统一集中管理平台 880 实现策略的自动化配置,将略统一下发到分支
G.统一集中管理平台 BEC将安全事件进行收集并分析,并进行安全统一运营
答案:D
77.关于 BBC 的分支接入,关于接入 BBC 的分支设备中,以下说法错误的是?
A.支持 AF 设备接入
B.支持 AC 设备接入
C.支持 AD 设备接入
D.支持 SOW-R 设备接入
答案:C
78.关于 AF 物理接口配置路由模式情况下,相关功能配置,说法错误的是
A.不能在界面直接调整接口的 MTU
B.配置的下一跳网关不会生成8个0的缺省路由
C.勾选的 WAN 属性,会影响到流控流审功能的使用
D.设置的线路带宽,与流控功能没有关系
答案:A
79.VPN组网场景]在标准 IPSCCVPH/SAMFORVPH 组网场景中,以下需求描述错误是?
A.通过 VPW 技术打通总部与分支的内网,实现总部分支“大内网”的需求
B.需保障数据在传输过程中的数据安全性(保密性完整性数据来源的身份验证等)的要求
C.满足兼容第一方做 VPW 对接的需求
D.标准 IPSecVPN可提供终端接入账号,实现移动接入 VPN访问总部业务的要裘
答案:D
80.以下哪组 HTTP 请求方法默认都会被防火墙 web 应用防护拦截?
A. PUT 和 MOVE
B.GET 和 OPTION
C.POST 和 PUT
D.HEAD 和 COPY
答案:A
81.SDW-R 的策路路由模块不支持哪种故障探测方式
A.ping 检测
B.DNS检测
C.ARP 检测
D.网口 UP/DOMN 检测
答案:C
82.关于 SOW-R的VLAN 子接口功能,以下说法错误的时?
A.SDW-R 支持在 LAN 接口、DMZ 接口使用WLAN子接口功能
B.与 SDW-R 对接的交换机需要配置为 trunk 口
C.SDW-R 支持在 WAN接口使用 VLAN 子接口功能
D.SDW-R 的WLAN 子接口实现的是类似单臂路由的功能
答案:C
83.关于 AF 网关杀毒描述错误的是?
A.解压技术
B.文件识别技术
C.单向流量检测
D.加密协议解密杀毒
答案:C
84.以下关于蜜罐技术的说法错误的是
A.蜜罐技术的实现原理是:内网僵尸尸主机向内网 DNS 发起恶意域名解析>内网 DNS经过 AF 向公网发起 DNS 解析->A 到惡意域名解析流量->AF 主动将蜜罐地址作为解析地址回复给内网 DNS->内网 DNS转发给主机->僵尸主机访问蜜址->AF 识别到真实的僵户主机地址并作拦截处理
B.旁路镜像模式不支持密罐功能
C.蜜罐 IP 地址的设置,此IP地址必须是真实存在的,且不能于内网网段冲突,访问此 IP 的数据需要经过 AF
D.蜜罐技术是应用于内网存在 DNS 服务器的场录下,用于定位内网真实僵尸主机的 IP 地址
答案:C
85.客户新采购AF 设备部署在出口,内网服务器配置私网地址,想实现在内网适过公网地址访问内网服务器,以下哪种方式可以实现
A.目的地址转换
B.双向地址转换
C.源地址转换
D.以上均可实现
答案:B
86.客户的总公司和分公司之间网络环中各有一台 AF 设备部要在内网中,此时如果客户需要搭建一条标准 IPSECVPN 隧道实现总公司和分公司的数据能够保密的安全通信,建议使用下列哪种方式?
A.ESP 协设+传输模式
B.ESP 协议+隧道模式
C.AH 协设+传输模式
D.AH 协设+隧道模式
答案:B
87.关于镜像接口的说明,说法错误的是
A.不能配置IP地址
B.只能划分到二层区域
C.允许同时多个镜像口存在
D.可以划分到对应VLAN
答案:B
88.安全运营中心可对当前设备的一些安全风险进行统一汇总后展示,而下列哪项事件不会被展示到安全运营中心
A设备开了直通功能
89.下一代防火墙与其产品防火墙对比。优势功能说法错误的是()
A.对比UTM,可以提供更强的性能
B.对比包过滤防火墙,提供应用层的防护能力
C.对比IDS,提供处理拦截的能力
D.对比WAF,提供双向代理的能力
答案: D
90.用户采购防火墙部署在数据中心出口,下联数据中心汇聚交换机,业务主机同一网段都接入此交换机。下列防护防火墙不具备的是()
A.互联网区域到数据中心业务主机的访问数据据
B.数据中心内部各业务主机之间的互访数据
C.办公区域到数据中心业务主机的访问数据
D.数据中心业务主机到互联网的访问数据
答案:B
91.关于AF路由接口配置静态地址和配置ads的差异,说法正确的是()
A.都能修改接口MTU
B.都能修改接口的MAC迪址
C.都能自动生成默认路由
D.都能可选做为WAN属性接口
答案:C
92.端口聚合可以提高逻辑管路带宽,同时实现链路冗余,下列关于AF端口聚合的说法,错误的是()
A.端口聚合目前最多支持4个
B.墙口聚合目前不支持旁路镜像口
C.端口聚合目前不支持虚拟网线口
D.端口聚合支持静态和LACP两种
答案:C
93.目前AF可以支持的动态路由协这中,不包括下列()
A. OSPF
B.RIP
C.BGP
D,EIGRP
答案:D
94.当前AF的策略路由功能中,下列需求暂时不能实现的是()
A.出口有电信和联通两个出口,希望内网用户访问电信的数据走电信出口,访问联通的数据走联通出口
B.出口两条互联网线路,希望两条线路正常时分别承载教据,故障时能实现互为备份
C.出口两条互联网线路,内网两个部门,每个部门不同!P段,希望实现不同部门上网时,走不出的互联网出口
D,出口两条互联网线路,对外发布了门户网站,希望实现访同网站域名时,电信用户自动跳转电信线路,联通用户自动跳转联通线路
答案: D
95.在策略路由的使用过程中,有一些注意事项需应关注,但不包括下列哪项?()
A.AF的静态路由便先级要高于策略路由优先级
B.多续路负载的策略路由,要求选择的接口开启链路故检测
C.配置策略路由后,必须要配置静态缺省路由,否则内网无法上网
D.当有多条策略路由时,遵循从上往下匹配的原期,匹配到后不继续往下匹配
答案:C
96.下列那个不是僵尸网络的危害?()
A.高级持续威胁
B.本地渗透扩散
C.敏感信息窃取
D.加密主机文件
答案:D
97.局域网中如果计算机受到了ARP欺骗,那么它发出去的数据包中,()地址是错误的?
A.源IP地址
8.目的护地址
C.源MAC地址
D.目的MAC地址
答案:D
98.当用户通过域名访问某一个合法网站时,打开的却是一个不健康的网站,发生该现象的原因可能是?
A.ARP 欺骗
B.DHCP欺骗
C.TCPSYN攻击
D.DNS缓存中毒
答案: D
本人理论和实验考试已通过,想要实验题和视频的小伙伴请私聊我