1、 WORD格式 可編輯主流路由器交換機(jī)設(shè)備調(diào)測(cè)1、提供可靠數(shù)據(jù)傳輸、流控的是OSI的第幾層（ ）A、表示層 B、網(wǎng)絡(luò)層 C、傳輸層 D、會(huì)話層 E、鏈路層 ANSWER：C3、物理層實(shí)現(xiàn)的主要功能在于提出了物理層的（ ）A、比特流傳輸中的差錯(cuò)控制方法 B、機(jī)械特性 C、電器特性 D、功能特性 ANSWER：B、C、D4、ISO提出OSI的關(guān)鍵是（ ）A、系統(tǒng)互聯(lián) B、提高網(wǎng)絡(luò)速度 C、為計(jì)算機(jī)制定標(biāo)準(zhǔn) D、經(jīng)濟(jì)利益 ANSWER：A5、以下屬于傳輸層協(xié)議的是（ ）A、TCP B、X.25 C、OSPF D、UDP E、SPX ANSWER：A、D、E6、當(dāng)一臺(tái)主機(jī)從一個(gè)網(wǎng)絡(luò)移到另一個(gè)網(wǎng)絡(luò)時(shí)，以

2、下說法正確的是（ ）A、必須改變它的IP地址和MAC地址 B、必須改變它的IP地址，但不需改動(dòng)MAC地址C、必須改變它的MAC地址，但不需改動(dòng)IP地址 D、MAC地址、IP地址都不需改動(dòng) ANSWER：B7、標(biāo)準(zhǔn)以太網(wǎng)使用（ ）標(biāo)準(zhǔn)線纜A、10 BASE-T B、100 BASE-T C、10 BASE-5 D、10 BASE-2 ANSWER：A8、網(wǎng)段地址的網(wǎng)絡(luò)，若不做子網(wǎng)劃分，能支持（ ）臺(tái)主機(jī) A、254 B、1024 C、65,533 D、16,777,206 ANSWER：C9、IP協(xié)議對(duì)應(yīng)于OSI 7層模型中的第（ ）層。A、5 B、3 C、2 D、1 ANS

3、WER：B9、保留給自環(huán)測(cè)試的IP地址是（ ）。A、 B、 C、 D、10、B類地址的缺省掩碼是（ ）。A、 B、 C、. D、 ANSWER：C11、以下內(nèi)容哪些是路由信息中所不包含的（ ）。A、目標(biāo)網(wǎng)絡(luò) B、源地址 C、路由權(quán)值 D、下一跳 ANSWER：B12、BGP是在（ ）之間傳播路由的協(xié)議。A、主機(jī) B、子網(wǎng) C、區(qū)域（area） D、自治系統(tǒng)（AS） ANSWER：D13、二進(jìn)制11001011的十進(jìn)制值是（ ）A、203

4、 B、171 C、207 D、193 ANSWER：A14、以下屬于數(shù)據(jù)鏈路層的設(shè)備是（ ）A、中繼器 B、以太網(wǎng)交換機(jī) C、網(wǎng)橋 D、網(wǎng)關(guān) ANSWER：B、C15、華為路由器封裝幀中繼支持（ ）格式A、IETF B、ANSI C、Q933附錄A D、CISCO-COMPATIBLEANSWER：A、D16、C類地址最大可能子網(wǎng)位數(shù)是（ ）A、6 B、8 C、12 D、14 ANSWER：A17、在運(yùn)行Windows 98的計(jì)算機(jī)中配置網(wǎng)關(guān)，類似于在路由器中配置（ ）A、直接路由 B、默認(rèn)路由 C、動(dòng)態(tài)路由 D、間接路由 ANSWER：B18、DNS的作用是（ ）A、為客戶機(jī)分配IP地址 B

5、、訪問HTTP的應(yīng)用程序 C、將計(jì)算機(jī)名翻譯為IP地址D、將MAC地址翻譯為IP地ANSWER：C19、交換機(jī)如何知道將幀轉(zhuǎn)發(fā)到哪個(gè)端口（ ）A、用MAC地址表B、用ARP地址表C、讀取源ARP地址D、讀取源MAC地址20、對(duì)路由理解正確的是（ ）A、路由是路由器B、路由是信息在網(wǎng)絡(luò)路徑的交叉點(diǎn)C、路由是用以配置報(bào)文的目的地址D、路由就是指導(dǎo)報(bào)文發(fā)送的路徑信息21、（ ）為三次握手協(xié)議，其特點(diǎn)是，只在網(wǎng)絡(luò)上傳輸用戶名，而并不傳輸用戶口令，因此它的安全性較高A、PAPB、IPCPC、CHAPD、RADIUSANSWER：C22、下面有關(guān)NAT敘述正確的是（ ）A、NAT是英文“地址轉(zhuǎn)換”的縮寫，

6、又稱地址翻譯B、NAT用來實(shí)現(xiàn)私有地址與公用網(wǎng)絡(luò)地址之間的轉(zhuǎn)換C、當(dāng)內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)的時(shí)候，一定不需要NATD、地址轉(zhuǎn)換的提出為解決IP地址緊張的問題提供了一個(gè)有效途徑ANSWER：A、B、D23、在Quidway路由器上，應(yīng)該使用什么命令來觀察網(wǎng)絡(luò)的路由表？A、DISPLAY ip pathB、DISPLAY ip routeC、DISPLAY interfaceD、DISPLAY running-configE、DISPLAY ip ripANSWER：B24、ISDN PRI接口可以提供多少B信道（歐洲標(biāo)準(zhǔn)）？A、2B、23C、30D、3225、以下的應(yīng)用程序中，基于TCP協(xié)議

7、的有A、PINGB、TFTPC、TELNETD、FTPE、OSPFF、SNMPG、WWWANSWER：C、D、G26、一個(gè)包含有華為等多廠商設(shè)備的交換網(wǎng)絡(luò)，其VLAN中Trunk的標(biāo)記一般應(yīng)選A、IEEE 802.1qB、ISLC、VLTD、以上都可以27、第一次對(duì)路由器進(jìn)行配置時(shí)，采用哪種配置方式：A、通過CONSOLE口配置B、通過撥號(hào)遠(yuǎn)程配置C、通過TELNET方式配置D、通過啞終端配置E、通過FTP方式傳送配置文件28、27代表的是（ ）地址A、主機(jī)B、網(wǎng)絡(luò)C、組播D、廣播E、以上說法都不完全正確ANSWER：A29、HTTP協(xié)議工作于TCP/IP協(xié)議棧的哪一層？

8、A、物理層B、數(shù)據(jù)鏈路層C、網(wǎng)絡(luò)層D、傳輸層E、應(yīng)用層ANSWER：E30、ARP是一個(gè)使用廣播的地址解析協(xié)議，并且使用了ARP高速緩存，原因是使用廣播會(huì)耗費(fèi)大量帶寬T、TrueF、FalseANSWER：T問題：1、路由器的主要作用表現(xiàn)在？答：數(shù)據(jù)轉(zhuǎn)發(fā)、路由（尋徑）、備份、流量流控、速率適配、隔離網(wǎng)絡(luò)、異種網(wǎng)絡(luò)互連2、什么是NAT，敘述其作用。答：NAT是英文“網(wǎng)絡(luò)地址轉(zhuǎn)換”的縮寫。地址轉(zhuǎn)換又稱地址翻譯，用來實(shí)現(xiàn)私有地址與公用網(wǎng)絡(luò)地址之間的轉(zhuǎn)換，當(dāng)內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)的時(shí)候，可以使用NAT，地址轉(zhuǎn)換的提出為解決IP地址緊張的問題提供了一個(gè)有效途徑，并可以保護(hù)內(nèi)網(wǎng)的主機(jī)。3、敘述ARP的

9、工作流程為：答：1主機(jī)A在網(wǎng)絡(luò)中廣播ARP請(qǐng)求報(bào)文2主機(jī)B接收到請(qǐng)求報(bào)文后將自己的IP地址到MAC地址的映射發(fā)送給主機(jī)A3主機(jī)B接收到請(qǐng)求報(bào)文后將主機(jī)A的IP地址和MAC地址映射存儲(chǔ)到自己的cache中4主機(jī)A緩存主機(jī)B的IP地址到MAC地址的映射4 簡(jiǎn)述路由信息中包含的 目的地址、網(wǎng)絡(luò)掩碼、接口、下一跳地址的含義。答：目的地址：用來標(biāo)識(shí)IP包的目的地址或目的網(wǎng)絡(luò)網(wǎng)絡(luò)掩碼：與目的地址一起來標(biāo)識(shí)目的主機(jī)或路由器所在的網(wǎng)段的地址。將目的地址和網(wǎng)絡(luò)掩碼“邏輯與”后可得到目的主機(jī)或路由器所在網(wǎng)段的地址輸出接口：說明IP包將從該路由器哪個(gè)接口轉(zhuǎn)發(fā)下一跳IP地址：說明IP包所經(jīng)由的下一個(gè)路由器接口地址客戶

10、網(wǎng)絡(luò)規(guī)劃組建1、在以太網(wǎng)中（ ）可以將網(wǎng)絡(luò)分成多個(gè)沖突域，但不能將網(wǎng)絡(luò)分成多個(gè)廣播域A、網(wǎng)橋B、交換機(jī)C、路由器D、集線器ANSWER：A,B2、以太網(wǎng)交換機(jī)組網(wǎng)中有環(huán)路出現(xiàn)也能正常工作，則是由于運(yùn)行了（ ）協(xié)議A、801.zB、802.3C、TrunkD、Spanning TreeANSWER：D3、局域網(wǎng)常用設(shè)備有：A、線纜（Cable）,如光纖、雙絞線、同軸電纜等B、集線器（Hub）C、Modem/CSU/DSUD、路由器4、Modem是LAN的常用設(shè)備T、TrueF、FalseANSWER：F5、下列關(guān)于以太網(wǎng)的說法哪些是不正確的？A、千兆以太網(wǎng)具有自動(dòng)協(xié)商功能，可以和百兆以太網(wǎng)自動(dòng)適

11、配速率B、快速以太網(wǎng)可以提供全雙工通信，總帶寬達(dá)到200兆C、千兆以太網(wǎng)只能提供全雙工通信，并且不允許中繼器互連千兆以太網(wǎng)D、千兆以太網(wǎng)采用5類雙絞線互連長(zhǎng)度不能超過100米ANSWER：A6、對(duì)于一個(gè)主接口，可以為它提供多個(gè)備份接口，當(dāng)主接口出現(xiàn)故障時(shí)，多個(gè)備份接口可以同時(shí)接替主接口進(jìn)行通訊T、TrueF、FalseANSWER：F7、下列所述的網(wǎng)絡(luò)設(shè)備具有連接不同子網(wǎng)功能的是：A、網(wǎng)橋B、二層交換機(jī)C、集線器D、路由器E、中繼器ANSWER：D8、可以分割廣播域的設(shè)備有 dA、網(wǎng)橋B、中繼器C、具有VLAN功能的以太網(wǎng)交換機(jī)D、路由器ANSWER：C 9、在配置幀中繼子接口時(shí)，可選的子接口

12、類型有哪些？A、Point-to-PointB、NBMAC、Point-to-multipointD、BroadcastANSWER：AC10、某公司申請(qǐng)一個(gè)C類IP地址，需要分配給8個(gè)子公司，最大的一個(gè)子公司有14臺(tái)計(jì)算機(jī)，每個(gè)子公司在一個(gè)網(wǎng)段中，則子網(wǎng)掩碼應(yīng)設(shè)為A、B、28C、40D、24ANSWER：C11、各種網(wǎng)絡(luò)主機(jī)設(shè)備需要使用具體的線纜連接，下列網(wǎng)絡(luò)設(shè)備間的連接哪些是正確的？A、主機(jī)-主機(jī)，直連B、主機(jī)-交換機(jī)，交叉C、主機(jī)-路由器，直連D、路由器-路由器，直連E、交換機(jī)-路由器

13、，直連12、可以用來對(duì)以太網(wǎng)進(jìn)行分段的設(shè)備有（ ）A、網(wǎng)橋B、交換機(jī) 三層C、路由器D、集線器ANSWER：A、B、C13、當(dāng)今世界上最流行的TCP/IP協(xié)議的層次并不是按OSI參考模型來劃分的，相對(duì)應(yīng)于OSI的七層網(wǎng)絡(luò)模型，沒有定義（ ）A、鏈路層和網(wǎng)絡(luò)層 B、網(wǎng)絡(luò)層和傳輸層 C、傳輸層和會(huì)話層 D、會(huì)話層和表示層 ANSWER：D問答題1， 為企業(yè)網(wǎng)絡(luò)規(guī)劃安全產(chǎn)品的時(shí)候，選擇防火墻產(chǎn)品和型號(hào)依據(jù)哪些因素進(jìn)行選擇？2、簡(jiǎn)述防火墻與路由器的區(qū)別？主流防火墻設(shè)備調(diào)測(cè)病毒傳播與攻擊的查殺防范一、JUNIPER試題（多選提示）1、以下哪個(gè)CLI命令可以進(jìn)入策略配置的子模式，從而可以對(duì)訪問源、目的或者

14、服務(wù)區(qū)域的配置？A. set policy id xB. set multiple id xC. set policy id x multipleD. set policy from trust to untrust ; any any permit2、以下哪個(gè)選項(xiàng)允許查看地址轉(zhuǎn)換的情況？A. LoggingB. CountersC. ScheduleD. Authentication3、作為一條訪問策略必須包含以下哪三個(gè)選項(xiàng)？(多選)A. Service（服務(wù)）B. Authentication（認(rèn)證）C. Source address（源地址）D.

15、 Firewall settings（防火墻設(shè)置）E. Action (permit, deny, tunnel)動(dòng)作（允許，拒絕，隧道）4、當(dāng)你通過WEB UI進(jìn)入地址本進(jìn)行地址刪除時(shí)，發(fā)現(xiàn)無法進(jìn)行刪除，請(qǐng)問這是什么情況引起此問題？ (D)A. 地址條目只能通過命名行方式刪除，所以需要進(jìn)入命令行刪除B. 地址本中地址配置錯(cuò)誤，需更改地址條目后再刪除C. 不能在此窗口下刪除，需要在管理界面下刪除D. 此地址條目已被策略引用. 你需要在策略中去除引用然后再刪除5、地址本是通過什么來識(shí)別主機(jī)或者網(wǎng)絡(luò)在設(shè)備中的位置的？A.安全區(qū)域B. 存在的訪問策略C. 防火墻上的接口D. ARP地址列表E. 可達(dá)

16、網(wǎng)絡(luò)(通過路由表)6、當(dāng)你要在netscreen防火墻中加一段地址項(xiàng)，下面哪個(gè)掩碼可能被用到?A. 55B. C. 24D. 557、當(dāng)定義一服務(wù)時(shí)，以下哪個(gè)是可用的選項(xiàng)?A. 源IP, 目的IP和協(xié)議B. 源端口, 目的端口和協(xié)議C. 源端口范圍, 目的端口范圍和協(xié)議D. 源IP, 源端口, 目的IP , 目的端口范圍和協(xié)議8、在Juniper 防火墻設(shè)備上，使用“Permitted IP”這選項(xiàng)的目的是什么？A. 定義連到設(shè)備上的那段地址可以訪問此設(shè)備B. 定義可對(duì)此設(shè)備進(jìn)行操作管理的地址地表C. 是被

17、用在策略中允許哪個(gè)用戶流量可以進(jìn)入設(shè)備的D. 它是為獲得管理權(quán)限，提供給外部某設(shè)備的連接地址E. 這是為了定義一些設(shè)備的，這些設(shè)備的流量可以不被驗(yàn)證就能通過設(shè)備9、當(dāng)用Web UI界面管理并進(jìn)行升級(jí)操作時(shí)Juniper 防火墻設(shè)備的操作系統(tǒng)時(shí)，操作系統(tǒng)是被加載到以下哪個(gè)硬件中？ A. TFTP 服務(wù)器B. PC 本地內(nèi)部FLASH中C. PCMCIA 卡D. Compact Flash卡10、關(guān)于管理者權(quán)限的問題，以下哪一項(xiàng)闡述是正確的？ A. 任何管理賬號(hào)都可以根據(jù)需要更改權(quán)限B. 管理賬號(hào)的權(quán)限只能由根管理賬戶來創(chuàng)建和修改C. 管理賬號(hào)的權(quán)限只能由根管理賬戶和有權(quán)限的管理賬號(hào)來創(chuàng)建和修改D

18、. 管理賬號(hào)的權(quán)限只能由根管理賬戶來創(chuàng)建，并且由根管理賬戶和有權(quán)限的管理賬號(hào)來修改11、命令“save config from tftp 50 abcd.cfg merge”中，merge參數(shù)的具體功能是什么？A. TFTP服務(wù)器中的配置問題將替代RAM中的配置B. TFTP服務(wù)器中的配置問題將替代在FLASH中的啟動(dòng)配置C. merge 參數(shù)對(duì)TFTP文件來說是無效的; 它只對(duì)保存在Compact Flash中的配置問題才生效D. TFTP 服務(wù)器中的配置將與RAM 中的配置文件合并，并將合并的結(jié)果保存到 Flash中E. TFTP 服務(wù)器中的配置將與RAM 中的配置文件合并，

19、但是啟動(dòng)配置文件將保持不變12、啟動(dòng)設(shè)備時(shí)，SreenOS默認(rèn)被加載到以下哪個(gè)硬件中？A. ROMB. NVRAMC. TFTP serverD. Internal FlashE. PCMCIA Card13、在TRUST區(qū)域，以下那種模式是接口的默認(rèn)模式？ A. NATB. 路由模式C. 二層模式D. 三層模式E. 透明模式14、虛擬路由器是什么？ A. 防火墻被配置成路由模式B. Juniper防火墻與第三方路由器之間的連接C. 一個(gè)防火墻硬件設(shè)備的邏輯上的分離，并使之具有多個(gè)獨(dú)立的路由表D. 把兩臺(tái)防火墻通過一個(gè)物理連接使之具有一個(gè)路由器的性能15、以下哪3個(gè)命令可以用來確認(rèn)路由是否被正

20、確配置？（多選）A. pingB. get routeC. trace-routeD. get arpE. get interface16、如果內(nèi)部接口被配置成NAT模式，那么當(dāng)流量從Trust區(qū)域流到Untrust區(qū)域中，以下哪兩項(xiàng)將被修改?（多選） A. 源 IPB. 源端口C. 目的 IPD. 目的端口17、隧道的綁定是在VPN配置過程的哪個(gè)部分完成的？A. Phase 1B. Phase 2C. Route CreationD. Reply protectionE. Tunnel Interface Creation18、以下哪一下不是IKE第一階段網(wǎng)關(guān)配置的部分？A. 安全區(qū)域B.

21、安全協(xié)議C. Peer id（對(duì)等層的id）D. 出去的端口19、設(shè)備的事件告警顯示拒絕從不知的對(duì)等層發(fā)過來的初始階段1的數(shù)據(jù)包，請(qǐng)問以下哪一個(gè)選項(xiàng)不可能出現(xiàn)此錯(cuò)誤？ A. 本地 ID 錯(cuò)誤配置B. 網(wǎng)關(guān)地址錯(cuò)誤配置C. 出口地址錯(cuò)誤配置D. 安全協(xié)議錯(cuò)誤配置20、默認(rèn)情況下，當(dāng)有攻擊嘗試把系統(tǒng)攻塌的情況下，將出現(xiàn)哪種攻擊特征組安全的報(bào)告？A. HighB. CriticalC. MediumD. Emergency21、深度檢測(cè)的分析和操作功能屬于OSI模型的哪一層？A. 2B. 3C. 4D. 722、排序以下病毒配置選項(xiàng)，使之成為正確的配置順序：1）把AV加到策略中2）打開掃描管理3）設(shè)

22、置Web郵件選項(xiàng)4）設(shè)置全球配置A. 1,2,3,4B. 2,3,4,1C. 2,4,3,1D. 4,2,3,1E. 4,3,2,123、在防火墻上設(shè)備的反病毒掃描功能是如何被使能的？A. 反病毒掃描是通過策略被應(yīng)用的B. 反病毒掃描是被應(yīng)用到端口上的C. 反病毒掃描是個(gè)獨(dú)立的產(chǎn)品，并通過手動(dòng)開啟D. 反病毒掃描是通過類似區(qū)域性的過濾或惡意URLs被開啟的24、以下哪3個(gè)screening選項(xiàng)只在物理接口上被檢測(cè)到？A. Limit Session（限制會(huì)話）B. Deny Syn Attack（拒絕服務(wù)攻擊）C. Deny UDP Flood（拒絕UDP淹沒攻擊）D. Deny Syn Fr

23、agment（拒絕服務(wù)幀）E. Deny Ping of Death Attack（拒絕死亡之ping攻擊）25、在Web界面上發(fā)現(xiàn)策略中綠色的允許策略變成了藍(lán)色，請(qǐng)問這是什么引起的?A. 策略沒有激活狀態(tài)B. 策略設(shè)置在支持MIP（靜態(tài)映射）狀態(tài)C. 策略配置了不定向的 NATD. 由于設(shè)置了病毒掃描后，通過克允許的流量E. 策略上所通過的流量超出了限制并且處在告警狀態(tài)26、在設(shè)備使用了基于端口的NAT后，默認(rèn)情況下設(shè)備將進(jìn)行哪一類型的NAT? A. 源-IP地址翻譯B. 目的-IP地址翻譯C. 源-IP和端口地址翻譯D. 目的-IP和端口地址翻譯27,有一臺(tái)主機(jī)從私有地址空間獲取了一個(gè)地址

24、，但是需要訪問具有公網(wǎng)地址的系統(tǒng)，以下哪種NAT可以用最少的配置來滿足需求？A. VIPB. MIPC. NAT-dstD. NAT-src28、設(shè)置VLAN1接口的目的是什么？A.為802.1Q VLANs提供基于策略的NATB. 可以提供一個(gè)接口，工作在 802.1q VLANs的透明模式C. 當(dāng)防火墻工作在路由模式時(shí)，提供一個(gè)可路由的IP地址D. 當(dāng)防火墻工作在透明模式時(shí)，提供設(shè)備遠(yuǎn)程管理地址29、如果需要在透明模式的情況下遠(yuǎn)程管理并操作設(shè)備，以下哪一項(xiàng)是必須進(jìn)行配置的？A. 在VLAN1上配置IP地址B. 只要將telnet的使能選項(xiàng)在 VLAN接口上開啟C. 必須為VLAN 配置個(gè)I

25、P地址D. V1-Trust 接口需要將管理的服務(wù)使能E. 公開的SNMP 團(tuán)組名必須被配置30、當(dāng)用NetScreen Remote客戶端配置安全協(xié)議時(shí)，配置一個(gè)新連接時(shí)，默認(rèn)情況下包含多少個(gè)階段2的協(xié)議？A. 1B. 2C. 3D. 4二、天融信試題（多選有提示）1、在實(shí)際網(wǎng)絡(luò)環(huán)境下，為了不改變用戶的網(wǎng)絡(luò)結(jié)構(gòu)和IP地址信息，則天融信安全網(wǎng)關(guān)最好應(yīng)用以下哪種情形_。 A 路由模式； B 透明模式； C 地址轉(zhuǎn)換方式； D 地址映射方式；2、在定義天融信安全網(wǎng)關(guān)的地址映射（MAP）策略時(shí)，其中"目的地址轉(zhuǎn)換為"是指_。 A 防火墻外接口IP地址 B 防火墻內(nèi)接口IP地址 C

26、 網(wǎng)絡(luò)內(nèi)部服務(wù)器IP地址 D可以不指定3、為了在串口模式下查看天融信安全網(wǎng)關(guān)中每個(gè)接口的工作狀態(tài)，則我們可以執(zhí)行如下命令_。 A system netstat B system informationC network interface D network interface show；4、天融信安全網(wǎng)關(guān)需要配置透明模式，所有接口必須要工作在_模式中。 A 交換 B 路由 C 混雜 D 其他5、配置天融信安全網(wǎng)關(guān)除默認(rèn)管理接口的管理權(quán)限外，如需添加新的管理權(quán)限首要步驟是_。 A 在對(duì)象選項(xiàng)中的區(qū)域?qū)ο笾薪⑿碌慕涌趨^(qū)域?qū)ο螅?B 在系統(tǒng)選項(xiàng)中的開發(fā)服務(wù)中建立新的開放服務(wù) C 在系統(tǒng)選項(xiàng)中的

27、D 在對(duì)象選項(xiàng)中地址對(duì)象中建立管理機(jī)對(duì)象6、在網(wǎng)絡(luò)安全網(wǎng)關(guān)VPN隧道配置界面下有兩種隧道配置方式，一種是靜態(tài)隧道（點(diǎn)到點(diǎn)）方式，另一種是_方式。 A 用戶隧道 B 虛擬用戶隧道（端到點(diǎn)） C 網(wǎng)關(guān)隧道 D 加密隧道7、對(duì)于SNMP對(duì)設(shè)備的監(jiān)視，主要是通過查詢代理_中相應(yīng)對(duì)象的值來完成。 A MIB庫 B MIS庫 C NIS庫 D NIB庫8、天融信安全網(wǎng)關(guān)的負(fù)載均衡組對(duì)象用于定義映射目標(biāo)主機(jī)組，即定義一個(gè)負(fù)載均衡服務(wù)器組，每一臺(tái)服務(wù)器主機(jī)可以定義負(fù)載權(quán)值，則當(dāng)負(fù)載均衡對(duì)象組中僅包含一個(gè)節(jié)點(diǎn)時(shí)，此映射對(duì)象用于_。(多選) A 地址映射 B 靜態(tài)地址轉(zhuǎn)換 C 端口映射 D 沒有實(shí)際意義9、在天融

28、信安全網(wǎng)關(guān)的日志管理功能中對(duì)日志記錄信息進(jìn)行了深層次的擴(kuò)充，則其日志記錄表現(xiàn)形式如下：_。（多選） A 不記錄日志 B 日志會(huì)話（或連接日志） C 日志命令 D 日志訪問 E 日志內(nèi)容 F 日志管理10、在管理天融信安全網(wǎng)關(guān)時(shí)，發(fā)現(xiàn)在管理計(jì)算機(jī)上可以通過管理器連接防火墻，但是無法通過TELNET連接防火墻的管理接口，則下列說法不正確的是_。(多選) A 天融信安全網(wǎng)關(guān)與管理計(jì)算機(jī)之間的網(wǎng)絡(luò)沒有正常連通 B 無法通過管理計(jì)算機(jī)PING通天融信安全網(wǎng)關(guān)的管理接口； C 在天融信安全網(wǎng)關(guān)沒有設(shè)置允許通過TELNET登錄的權(quán)限； D 天融信安全網(wǎng)關(guān)與管理計(jì)算機(jī)之間串口電纜連接不正確； E 天融信安全網(wǎng)

29、關(guān)沒有加電啟動(dòng)；三、山石題庫一、選擇題（2分×20） 1. 能提供訪問控制功能的設(shè)備或系統(tǒng)有_。A. 加密機(jī) B. 防火墻 C. 物理隔離卡 D. CA認(rèn)證系統(tǒng) E. 入侵檢測(cè)系統(tǒng)2. 在實(shí)際網(wǎng)絡(luò)環(huán)境下，為了不改變用戶的網(wǎng)絡(luò)結(jié)構(gòu)和IP地址信息，則防火墻最好應(yīng)用以下哪種情形_。A 路由模式；B 透明模式；C 地址轉(zhuǎn)換方式；D 地址映射方式；3. 在NAT方式網(wǎng)絡(luò)環(huán)境中，配置dnat實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)服務(wù)器的訪問,策略的目的地址應(yīng)該選擇：( )A 服務(wù)器真實(shí)IP地址 B 服務(wù)器dnat對(duì)應(yīng)虛擬IP地址C 不需要指定目的地址D 外網(wǎng)接口IP地址4. 對(duì)于防火墻的第一匹配原則，若某個(gè)數(shù)據(jù)包已經(jīng)匹配該

30、類規(guī)則中的第一條，則_同類規(guī)則。A 繼續(xù)匹配B 不繼續(xù)匹配C 跳過D 繞過5. 以下關(guān)于防火墻功能描述不正確的是_。A 防火墻系統(tǒng)能夠提供地址轉(zhuǎn)換功能；B 防火墻能夠提供流量控制功能；C 防火墻能夠提供路由功能；D 由于路由器具有ACL功能，因此可以用路由器的ACL功能替代防火墻的過濾功能；6. TCP 三次握手協(xié)議的第一步是發(fā)送一個(gè): A SYN包 B ACK 包C UDP 包 D null 包7.在配置防火墻的帶寬策略時(shí)，其帶寬流量的單位是_。AbitB KbC MbD GbE Tb8.Hillstone防火墻默認(rèn)管理接口是 ,管理地址是： A eth0 54B et

31、h0/0 C. MGMT D. eth0/0 549. 對(duì)于防火墻來說，管理主機(jī)和網(wǎng)絡(luò)連接都十分正常，而且也能夠PING通防火墻相應(yīng)接口，但總是無法通過webui管理防火墻，則最可能的原因是_。A 防火墻沒有啟動(dòng)；B 防火墻相應(yīng)接口沒有設(shè)置管理權(quán)限；C 防火墻沒有連接在交換機(jī)上；D 防火墻與管理機(jī)之間的網(wǎng)絡(luò)連接不對(duì)；10在配置防火墻的日志服務(wù)器時(shí)，在日志服務(wù)器配置的設(shè)備名稱是_。A 防火墻的管理IP地址；B 日志服務(wù)器的IP地址；C 日志審計(jì)管理器的IP地址；D 以上都不對(duì)；11.在防火墻認(rèn)證AAA服務(wù)器配置Radius認(rèn)證服務(wù)

32、器相關(guān)參數(shù)時(shí)，則Radius認(rèn)證服務(wù)器使用的默認(rèn)認(rèn)證端口是_。A 1433B 1434C 1812D 181312、Hillstone防火墻StoneOS操作系統(tǒng)是什么樣的操作系統(tǒng)？ ( )A. 32位實(shí)時(shí)并行處理操作系統(tǒng)B. 64位實(shí)時(shí)并行處理操作系統(tǒng) C. Linux D. FreeBSD 13、關(guān)于從LAN到WAN的SNAT的描述，以下那個(gè)說法是錯(cuò)誤的？（ ）A 允許多個(gè)PC共享一個(gè)公網(wǎng)IP上網(wǎng)B 修改通過防火墻數(shù)據(jù)包的目的地址C 對(duì)外網(wǎng)隱藏真實(shí)IP地址D 修改通過防火墻數(shù)據(jù)包的源地址14、Hillstone防火墻采用什么樣的硬件架構(gòu)？ ( )A NP B X86 C 多核處理器 D A

33、SIC15、在NAT方式網(wǎng)絡(luò)環(huán)境中，如果提供公網(wǎng)對(duì)內(nèi)網(wǎng)獨(dú)立的MAIL服務(wù)器和FTP服務(wù)器的訪問,當(dāng)只有一個(gè)公網(wǎng)地址時(shí)，應(yīng)該選擇哪種NAT映射？（ ）A 基于端口的dnat B 動(dòng)態(tài)端口snat C 基于IP的dnat D 靜態(tài)snat 16、缺省情況下通過https做系統(tǒng)管理使用的端口是：( )A 4433 B 8080 C 23 D 443 E17、關(guān)于彈性QOS帶寬管理的說法正確的是 ( )A 引入彈性QOS帶寬管理的目的是限制每IP最大帶寬，杜絕浪費(fèi)。B 引入彈性QOS帶寬管理的目的是為重要服務(wù)預(yù)留帶寬資源。 C 引入彈性QOS帶寬管理的目的是為非重要服務(wù)限制帶寬資源。 D 引入彈性QO

34、S帶寬管理的目的是充分的利用帶寬資源，杜絕浪費(fèi)。18、Hillstone SG-6000-NAV20防火墻物理接口有幾個(gè) ？ A2個(gè) B.3個(gè) C.4個(gè) D.5個(gè)19、（多選題）、Hillstone ARP客戶端安裝到PC后能夠提供： ( )A 保證該P(yáng)C不再往外發(fā)送ARP攻擊B 如果該P(yáng)C中了ARP病毒，不能保證該P(yáng)C不再往外發(fā)送ARP攻擊 C 該P(yáng)C和Hillstone網(wǎng)關(guān)之間不會(huì)再受到ARP欺騙D 安裝了ARP客戶端的PC之間無法防護(hù)ARP欺騙20、（多選題）、StoneOS支持以下哪種P2P協(xié)議的檢測(cè)和阻攔 ( )A PPlive B 迅雷 C BT D eMule二、簡(jiǎn)答題（30分&

35、#215;2）1、用戶需求：在互聯(lián)網(wǎng)出口部署一臺(tái)防火墻，用戶只有一個(gè)公網(wǎng)地址30/24,網(wǎng)關(guān)。內(nèi)網(wǎng)PC網(wǎng)關(guān)為54需實(shí)現(xiàn)內(nèi)網(wǎng)用戶/24訪問互聯(lián)網(wǎng)，但禁止P2P協(xié)議下載，并且實(shí)現(xiàn)互聯(lián)網(wǎng)用戶對(duì)內(nèi)網(wǎng)服務(wù)器的訪問。請(qǐng)選擇防火墻使用模式，并簡(jiǎn)述實(shí)現(xiàn)以上功能的相關(guān)配置。拓?fù)鋱D如下：2、用戶需求：互聯(lián)網(wǎng)出口原使用一臺(tái)路由器，內(nèi)網(wǎng)地址為54，外網(wǎng)地址30/24,缺省路由為，內(nèi)網(wǎng)用戶通過路由器實(shí)現(xiàn)上網(wǎng)。現(xiàn)采購一臺(tái)防火墻，不改變?cè)酚?/p>

36、器配置，防火墻做訪問控制設(shè)備，實(shí)現(xiàn)內(nèi)網(wǎng)用戶只能訪問網(wǎng)頁、郵件。請(qǐng)選擇防火墻使用模式，并簡(jiǎn)述實(shí)現(xiàn)以上功能的相關(guān)配置。拓?fù)鋱D如下：?jiǎn)柎痤}1、當(dāng)發(fā)現(xiàn)從內(nèi)網(wǎng)主機(jī)A到外網(wǎng)的主機(jī)B的訪問不通時(shí)，在防火墻上可以使用哪些操作來檢查原因？檢查步驟如何？2、一老用戶采用了Juniper SSG140防火墻，在使用了1年后突然報(bào)有閃斷現(xiàn)象，用戶業(yè)務(wù)時(shí)常會(huì)出現(xiàn)斷網(wǎng)，并且設(shè)備CPU會(huì)高達(dá)80%以上，但一段時(shí)間后即刻恢復(fù)。現(xiàn)在公司安排你去現(xiàn)場(chǎng)處理，請(qǐng)陳述你到現(xiàn)場(chǎng)后的處理步驟和思路。網(wǎng)絡(luò)攻擊手段及防護(hù)原理。（簡(jiǎn)述題）一、TCP SYN拒絕服務(wù)攻擊一般情況下，一個(gè)TCP連接的建立需要經(jīng)過三次握手的過程，即：1、建立發(fā)起者向目

37、標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCP SYN報(bào)文；2、目標(biāo)計(jì)算機(jī)收到這個(gè)SYN報(bào)文后，在內(nèi)存中創(chuàng)建TCP連接控制塊（TCB），然后向發(fā)起者回送一個(gè)TCP ACK報(bào)文，等待發(fā)起者的回應(yīng)；3、發(fā)起者收到TCP ACK報(bào)文后，再回應(yīng)一個(gè)ACK報(bào)文，這樣TCP連接就建立起來了。利用這個(gè)過程，一些惡意的攻擊者可以進(jìn)行所謂的TCP SYN拒絕服務(wù)攻擊：1、攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCP SYN報(bào)文；2、目標(biāo)計(jì)算機(jī)收到這個(gè)報(bào)文后，建立TCP連接控制結(jié)構(gòu)（TCB），并回應(yīng)一個(gè)ACK，等待發(fā)起者的回應(yīng)；3、而發(fā)起者則不向目標(biāo)計(jì)算機(jī)回應(yīng)ACK報(bào)文，這樣導(dǎo)致目標(biāo)計(jì)算機(jī)一致處于等待狀態(tài)。可以看出，目標(biāo)計(jì)算機(jī)如果接收到大量的TCP

38、 SYN報(bào)文，而沒有收到發(fā)起者的第三次ACK回應(yīng)，會(huì)一直等待，處于這樣尷尬狀態(tài)的半連接如果很多，則會(huì)把目標(biāo)計(jì)算機(jī)的資源（TCB控制結(jié)構(gòu)，TCB，一般情況下是有限的）耗盡，而不能響應(yīng)正常的TCP連接請(qǐng)求。二、ICMP洪水正常情況下，為了對(duì)網(wǎng)絡(luò)進(jìn)行診斷，一些診斷程序，比如PING等，會(huì)發(fā)出ICMP響應(yīng)請(qǐng)求報(bào)文（ICMP ECHO），接收計(jì)算機(jī)接收到ICMP ECHO后，會(huì)回應(yīng)一個(gè)ICMP ECHO Reply報(bào)文。而這個(gè)過程是需要CPU處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時(shí)候。這樣如果攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送大量的ICMP ECHO報(bào)文（產(chǎn)生ICMP洪水），則目標(biāo)計(jì)算機(jī)會(huì)忙于處理

39、這些ECHO報(bào)文，而無法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，這也是一種拒絕服務(wù)攻擊（DOS）。三、UDP洪水原理與ICMP洪水類似，攻擊者通過發(fā)送大量的UDP報(bào)文給目標(biāo)計(jì)算機(jī)，導(dǎo)致目標(biāo)計(jì)算機(jī)忙于處理這些UDP報(bào)文而無法繼續(xù)處理正常的報(bào)文。四、死亡之PINGTCP/IP規(guī)范要求IP報(bào)文的長(zhǎng)度在一定范圍內(nèi)（比如，064K），但有的攻擊計(jì)算機(jī)可能向目標(biāo)計(jì)算機(jī)發(fā)出大于64K長(zhǎng)度的PING報(bào)文，導(dǎo)致目標(biāo)計(jì)算機(jī)IP協(xié)議棧崩潰。五、IP地址欺騙一般情況下，路由器在轉(zhuǎn)發(fā)報(bào)文的時(shí)候，只根據(jù)報(bào)文的目的地址查路由表，而不管報(bào)文的源地址是什么，因此，這樣就 可能面臨一種危險(xiǎn)：如果一個(gè)攻擊者向一臺(tái)目標(biāo)計(jì)算機(jī)發(fā)出一個(gè)報(bào)文，而把報(bào)

40、文的源地址填寫為第三方的一個(gè)IP地址，這樣這個(gè)報(bào)文在到達(dá)目標(biāo)計(jì)算機(jī)后，目標(biāo)計(jì)算機(jī)便可能向毫無知覺的第三方計(jì)算機(jī)回應(yīng)。這便是所謂的IP地址欺騙攻擊。LAN的主要攻擊手段（簡(jiǎn)單，答案只供參考）1、針對(duì)MAC地址表的攻擊MAC地址表一般存在于以太網(wǎng)交換機(jī)上，以太網(wǎng)通過分析接收到的數(shù)據(jù)幀的目的MAC地址，來查本地的MAC地址表，然后作出合適的轉(zhuǎn)發(fā)決定。這些MAC地址表一般是通過學(xué)習(xí)獲取的，交換機(jī)在接收到一個(gè)數(shù)據(jù)幀后，有一個(gè)學(xué)習(xí)的過程，該過程是這樣的：a) 提取數(shù)據(jù)幀的源MAC地址和接收到該數(shù)據(jù)幀的端口號(hào)；b) 查MAC地址表，看該MAC地址是否存在，以及對(duì)應(yīng)的端口是否符合；c) 如果該MAC地址在本地MAC地址表中不存在，則創(chuàng)建一個(gè)MAC地址表項(xiàng)；d) 如果存在，但對(duì)應(yīng)的出端口跟接收到該數(shù)據(jù)幀的端口不符，則更新該表；e) 如果存在，且端口符合，則進(jìn)行下一步處理。分析這個(gè)過程可以看出，如果一個(gè)攻擊者向一臺(tái)交換機(jī)發(fā)送大量源MAC地址不同的數(shù)據(jù)幀，則該交換機(jī)就可能把自己本地的MAC