2016AF渠道初級認證考卷_卷一【以AF6.6版本為準】考試說明：2016AF渠道初級認證考卷_卷一【以AF6.6版本為準】以下關于人「雙向地址轉換配置的說法中，錯誤的是凡雙向地址轉換主要用來實現內網用戶通過公網地址訪問內網服務器的需求。內網有郵件服務器，若配置了對郵件服務器的雙向地址轉換，則不能在AF上同時開啟網關殺毒一條雙向地址轉換規則中，同時包含了源地址轉換和目的地址轉換，匹配規則的數據包將會被同時轉換源IP地址和目的甲地址。口.雙向地址轉換只支持以外網IP的形式訪問內網服務器，不支持域名訪問。CCCCABCD2以下功能中哪一個在AF旁路部署模式下不生效服務器數據防泄密功能WEB應用防護IPS病毒防御策略

從客戶那里將一臺4.7版本的NGAF測試設備拿回來，在不知道控制臺密碼的情況下，有哪些方法能解決登錄設備問題，請列出最全的選項：①用升級客戶端加載升級包，恢復所有配置到出廠狀態②使用U盤恢復密碼方式，恢復控制臺密碼到出廠狀態③使用交叉線恢復默認配置的方法，恢復所有配置到出廠狀態①②③B.②C.①②②③「△「日廠^口以下說法正確的是：http應用隱藏不支持替換出錯頁面http應用隱藏只支持替換2xx、3xx頁面http應用隱藏只支持Server跟x-powered-by字段FTP應用隱藏只支持軟件名稱跟版本CCCCABCD

AF設備中關于源IP聯動封鎖，錯誤的是：聯動封鎖支持IPS/WEB應用防護/DDOS聯動封鎖的日志需要在數據中心的應用控制策略中查詢聯動封鎖針對的是該源IP通過防火墻的任何通信被聯動封鎖的主機可訪問AF控制臺，但是不能訪問數據中心CCCCABCD下面關于trunk鏈路的說法中，錯誤的是可以在一條物理線路上承載多個vlan信息trunk鏈路常用的協議有802.1q和ISL兩種802.1q協議最大支持4096個vlan—個接口一旦設置為trunk口，則與其相連的接口也必須設置為trunk口CCCCABCDAF中，以下哪個功能可實現對"網頁木馬""CSRF攻擊"及"網站掃描"的控制WEB過濾應用控制病毒防御WEB應用防護下列有關AF的描述中，錯誤的是Syslog月服務器只能同步系統日志，不會同步數據中心記錄的日志。如果不勾選"啟用內置數據中心"，則內置數據中心不會記錄IPS的防護日志。AF系統更新中的每一個庫文件都是通過單獨的序列號來進行升級維護的。AF的自動備份可保存超過一周的配置文件。CCCCABCD哪種接口可以加入到二層區域：路由口B.虛擬網線口C.VLAN接口鏡像口c^bcccd測試AF時，DOS/DDOS防護-外網防護-基于數據包攻擊時，以下哪一項不建議開啟未知協議類型防護IP數據塊分片傳輸防護Smurf攻擊防護超大ICMP數據攻擊防護

客戶購買AF希望做4對網橋那么對于AF設備的要求至少要有幾個網口？TOC\o"1-5"\h\z891011「△「日廠^口某客戶網絡拓撲如下圖所示，客戶部署7AF設備于網絡的出口處，客戶對外發布7DMZ區域的公司網站服務器，將外網IP的80端口映射給服務器的8080端口，在配置WEB應用防護的時候，下列哪項配置是正確的源區域為外網區，目的區域為DMZ區，且必須修改WEB應用的端口為8080源區域為外網區，目的區域為DMZ區，可以不用修改WEB應用的端口源區域為DMZ區，目的區域為外網區，且必須修改WEB應用的端口為8080源區域為DMZ區，目的區域為外網區，可以不用修改WEB應用的端口CCCCABCD以下屬于AF服務器保護控制功能的是

APT檢測B.應用隱藏C.防dos攻擊病毒防御策略C^BCCCD目前AF的兩個防篡改版本的差異不包含哪個？凡防篡改1.0是事后機制，即網站已經被篡改但是可以防止用戶訪問到篡改頁面防?改2.0是事中機制，即在黑客篡改過程中攔截。防篡改2.0需要在客戶端安裝軟件，防篡改1.0不需要口.防篡改2.0可以對網站后臺登陸頁面進行增強認證，1.0也可以做到CCCCABCD關于安全防護的防護闡述下列哪一個是不正確的？AIPS規則對于客戶端的漏洞和服務端漏洞有共同規則服務器和辦公pc都有可能成為僵尸主機web應用防護只針對http協議有效對其他協議無效實時漏洞分析主要是針對服務器側的漏洞發現功能

某客戶部署AF設備于網絡的出口處，出口有一條線路直連AF的eth2口，eth2口的有關配置如下圖所示，下列說法中正確的是D只有具備WAN屬性的接口才能用于直連外網線路。由于eth2口的下一跳網關指向，則設備上能夠產生一條8個0的默認路由，其下一跳指向。接口的線路帶寬應設置為外網線路的真實帶寬,流量管理會調用此處的線路帶寬進行流控策略。鏈路故障檢測用于實時的檢測接口的鏈路狀態其檢測方法包括DNS檢測和ping檢測。CCCCABCD下列有關AF設備VPN模塊下外網接口的說法中，錯誤的是AF設備做單線路VPN接入時，必須配置外網接口。AF設備做多線路VPN接入時，必須配置外網接口。AF設備與其他廠商的設備進行第三方對接時，必須配置外網接口。VPN的外網接口只能選擇具有WAN屬性的三層接口。CCCCABCD如圖，下列AF部署環境，哪種配置是正確的：

ETH1口配置為Trunk口即可ETH1口配置為trunk口，并設置與內網對應VLAN號的子接口ETH1口配置為Trunk口，并設置與內網對應VLAN號的VLAN接口ETH1口配置為路由口，并設置與內網對應VLAN號的VLAN接口CCCCABCD某用戶反饋在AF設備啟用DOS內網防護時就會出現斷網，日志記錄的DOS告警源MAC地址都是三層交換機的MAC地址，DOS/DDOS酉己置界面如下，下面選項中，哪一種方法可以有效地解決該問題將三層交換機下所有的內網地址都添加到1中將2中的部署環境選擇為：內部網絡到本機通過三層交換設備相連將三層交換機的地址加入到3中。。.修改4中的參數。CCCCABCD以下關于AF的IPS功能的描述，正確的是IPS的規則默認都是放行的。若新建IPS規則處勾選了"檢測攻擊后操作"動作為拒絕，但是對象定義中的該規則又是允許的，此時檢測到漏洞后是拒絕的。

客戶端漏洞與服務器漏洞是一樣的。若發現某條IPS誤判導致客戶的正常應用被阻斷，則可以在數據中心中查找到漏洞ID,然后在對象定義中單獨放行或者禁用該漏洞即可。CCCCABCD某客戶網絡環境和AF設備網口配置情況如下，客戶想對內網用戶訪問eth1口下方的服務器做應用控制策略，為了實現客戶需求，下列配置步驟正確的是（1）設置一個二層區域"外網"，包含eth2接口（2）設置一個二層區域"DMZ"，包含eth1接口（3）設置一個三層區域"vlan2"，包含vlan2接口（4）設置一個三層區域"內網"，包含eth3接口（5）對源區域為"內網"，目標區域為"外網"的數據進行應用控制。（6）對源區域為"內網"，目標區域為"vlan2"的數據進行應用控制（7）對源區域為"內網"，目標區域為"DMZ"的數據進行應用控制145634612457123457C^BCCCD

在一臺交換機上屬于不同VLAN的access口下的電腦，不能使用以下哪些方式進行相互通信使用一臺獨立路由器的兩個接口連接兩個VLAN，并進行合理配置在交換機上做一個涵蓋這兩個VLAN的trunk口，并使用一臺路由器的一個接口連接這個trunk口,并進行單臂路由配置若使用的是三層交換機，則為這兩個VLAN設置VLAN接口，并開啟路由轉發和其他必需配置這兩臺電腦的IP配置于同一IP子網即可直接通信CCCCABCD關于NGAF日志配置，下列說法正確的是：外置數據中心同步采用UDP有利于提高傳輸效率。SYSLOG可用于同步系統日志。SYSLOG配置時需要配置同步帳號密碼，用于傳輸日志前的身份驗證。SYSLOG采用UDP協議傳輸日志。CCCCABCD以下哪種配置弓I起的斷網問題開直通有效勾選外網防DOS模塊IP分片包檢測在trunk鏈路上使用一對虛擬網線口做網橋，未放通應用

在trunk鏈路上使用trunk口做網橋，未配置對應的vlan接口在trunk鏈路上使用trunk口做網橋，放通vlan范圍未包含實際環境網段CCCCABCDAF設備網關模式部署在網絡出口，需要代理內網用戶上網，請問需要在AF設備上添加一條略。凡目的地址轉換源地址轉換。雙向地址轉換DNSMappingc^bcccd下列關于AF的流量管理的說法正確的是AF的流量管理支持二級子通道AF的虛擬線路不需要多線路授權AF的流控能夠對應用、網站、文件類型控制AF的只能針對IP組限制不能針對認證用戶進行限制CCCCABCD

某客戶網絡拓撲如下圖所示，AF設備部署在網絡出口處，客戶希望對內網用戶上網的安全進行防護。以下哪項配置組合能夠實現客戶需求源區域：外網區目的區域：內網區IPS選項：保護服務器源區域：外網區目的區域：內網區IPS選項：保護客戶端源區域：內網區目的區域：外網區IPS選項：保護服務器源區域：內網區目的區域：外網區IPS選項：保護客戶端CCCCABCD下列有關AF能夠實現的功能中，不包括以下哪項凡隱藏FTP月艮務器的版本信息日.防止Web服務器遭遇XSS攻擊替換FTP月艮務器的出錯頁面口.防止Web月艮務器遭受口令暴力破解CCCCABCDAF設備忘記密碼下列恢復密碼操作正確的是：U盤恢復密碼操作不需要重啟就能完成U盤恢復必須把恢復文件放到U盤的第一個分區用于U盤恢復的U盤可以是FAT32或者NTFS格式AF所有版本都支持U盤恢復功能

以下關于AF設備接口的說法，正確的是透明接口的WAN屬性勾與不勾對功能實現沒有任何影響。要將AF透明部署到網絡中則要求AF兩個接口設置成透明口并且設置成不同的VLAN。虛擬網線接口不需要成對使用。虛擬網線的作用是通過其中一個虛擬網線接口進到設備的數據直接從另外一個虛擬網線接口轉發CCCCABCD下列關于雙向地址轉換和DNSMapping的說法中，正確的是DNS-Mapping與雙向地址轉換規則一樣，都可實現內網用戶通過公網地址訪問內網服務器的需求。DNS-Mapping當公網只有一個地址，而內網有多臺服務器同時需要提供公網地址訪問的時候，用或雙向地址轉換均可實現。DNS-Mapping同時配置了雙向地址轉換和DNS-Mapping時，一定是雙向地址轉換生效，DNS-MAPPING不生效。DNS-Mapping僅適用于內網用戶需要通過公網域名訪問內網服務器的環境，若是通過公網IP地址訪問，則只能通過雙向地址轉換實現。

下列關于AF設備策略路由與靜態路由的對比描述，正確的是靜態明細路由優先于策略路由，策略路由優先于缺省路由有多條外網線路情況下，不建策略路由，通過靜態路由也可能實現智能數據分流。多線路ADSL撥號情況下，必須手動添加靜態路由才能上網。單線路ADSL撥號情況下，必須手動添加策略路由才能上網。CCCCABCD對于AF現在的外置數據中心的使用和注意事項描述不正確的是：AF5.5及5.5以上的版本設備統一使用的是DC5.5程序DC5.5支持128臺設備同時接入DC5.5可以同時查詢所有設備的日志DC5.5支持報表導出功能cc CABCD目前對產品線產品AC和AF的功能有相似之處，請問下列哪個不是AC和AF都具備的功能AC和AF都具備DDOS防護功能AC和AF都具備用戶認證功能

AC和AF都具備流量管理功能AC和AF都具備外置數據中心功能CCCCABCDAF需要部署在TRUNK的鏈路中，同時希望用橋地址管理設備，那么下列哪項描述能夠達到客戶要求？配置虛擬網線模式即可配置透明模式接口為trunk屬性，按照客戶要求配置vlan接口地址管理設備配置透明模式接口為access屬性，按照客戶要求配置vlan接口地址管理設備下聯口配置透明接口設置trunk屬性，上聯口設置成路由口即可CCCCABCD以下功能描述中，AF設備可以實現的是審計WebBBS發帖的內容過濾HTTPS網頁實現只允許登錄論壇看帖子，不允許發帖子Kerberos認證方式的PROXY單點登錄

AF設備做4口雙網橋流控，需要AF設備有幾個網口，幾個線路授權4網口，1線路5網口，1線路4網口，2線路5網口，2線路CCCCABCD下列有關AF應用控制策略的說法中，錯誤的是AF默認存在一條拒絕所有的應用控制策略，可以通過手動編輯這條默認策略放通所有的服務和應用。AF的應用控制策略是從上往下依次進行匹配的，直到匹配到某條策略為止就不再進行匹配了。基于應用的控制策略需要先放通一定數量的數據包，識別出應用類型之后，才能夠進行應用控制。基于服務的應用控制策略是通過匹配數據包的五元組來進行應用控制的不需要事先放通一定數量的數據包來識別應用。cc CABCD下列有關AF的Web應用防護功能的說法，錯誤的是

一般SQL注入的攻擊是針對ASP、JSP、PHP等動態頁面的。AF可防御HTTPPOST提交弱口令，如長度小于8位的純數字。對某個特定URL在URL防護設置中動作設置為允許，則對這個url的XSS攻擊和SQL注入也都被允許。WEB應用防護功能主要是針對Web月服務器和FTP服務器進行防護。CCCCABCD目前黑客常見攻擊網站的方式簡述如下：（1）使用明小子Domain工具對網站進行漏洞掃描，掃描到有漏洞后，根據網站數據庫類型使用明小子工具掃描數據庫內容，獲得網站管理員賬號密碼；（2）對網站目錄結構進行掃描，獲取了整個網站的目錄結構后，找到了后臺管理頁面，然后使用獲得的管理員登陸并控制網站；（3）上傳木馬或后臺程序到網頁目錄中，等待后門程序被網站管理員目錄瀏覽動作出發運行，獲取服務器操作系統的控制權限.對于這三步典型動作，AF分別可以開啟什么功能進行防御（1）SQL注入防護，（2）XSS攻擊防護，（3）CSRF攻擊防護（1）OS命令注入防護，（2）URL防護，（3）CSRF攻擊防護（1）SQL注入防護，（2）URL防護，（3）文件上傳過濾（1）OS命令注入防護，（2）XSS攻擊防護，（3）文件上傳過濾CCCCABCDDOS攻擊也即拒絕服務攻擊，攻擊后可以使計算機或者網絡無法提供正常的服務。DOS攻擊只能基于TCP和ICMP協議來攻擊。SYN泛洪是常見的DOS攻擊手段，主要是利用TCP協議棧在兩臺主機間初始化連接握手的過程進行攻擊。口.普通的防火墻一般都具有DOS攻擊防護功能。CCCCABCD下列有關AF接口與區域的說法中，錯誤的是AF的一個路由口下可以添加多個子接口，且路由接口的IP地址不能與子接口的IP地址在同網段。AF的一個區域可以包含多個接口，一個接口也可以屬于多個區域。AF的虛擬網線區域只能包含虛擬網線接口，不能包含透明接口和三層接口。單進單出透明部署情況下，可以通過配置VLAN接口IP來對設備進行管理。CCCCABCD下列有關AF管理口的說法中，正確的是AF默認使用eth0口作為管理口，該管理口的接口類型只能為路由口。上架AF設備時，若需要把管理口當虛擬網線接口使用，則修改管理口的類型為虛擬網線接口即可。AF管理口的默認IP是51，可以刪除該默認IP地址。

AF管理口的默認IP是52,可以在該IP地址上增加其他IP地址作為管理口的IP地址。CCCCABCD以下關于DOS/DDOS外網防護策略的說法中，錯誤的是DOS/DDOS外網防護策略主要用于保護服務器不受來自外部區域的攻擊。設置DOS/DDOS外網防護時，數據包按照從上往下的順序匹配，當匹配到任何一個攻擊行為后，便會直接將數據包丟棄，不會再往下匹配。當AF設備開啟直通時，DOS/DDOS外網防護策略將無效，所有數據包都會直接放行。在配置DOS/DDOS攻擊防護時，目標IP建議只填寫服務器所在的IP組，不要填寫所有IP。CCCCABCD某客戶希望通過我們設備實現ssh和rdp的暴力破解，請問此功能在哪個模塊中配置？僵尸網絡實時漏洞分析web應用防護ips

下列有關AF透明口與虛擬網線接口的說法中，錯誤的是透明口與虛擬網線接口都屬于二層接口，不具備基本的路由轉發功能。透明口在進行數據轉發時是根據其MAC地址表進行轉發的。虛擬網線在進行數據轉發時直接從虛擬網線配對的接口進行數據轉發，不需要檢查MAC表。如果要設置兩對虛擬網線，那么必須開通雙線路授權；而設置兩