PAGEPAGE12023年華為HCIE-Security安全H12-731復習備考總題庫-上（單選題匯總）一、單選題1.XML文檔包中可以使用system標識符定義的“實體”,那么這些XML文檔會在DOCTYPE頭部標簽中呈現。A、正確B、錯誤答案：A2.按照國家網絡安全法規定，私有云需要遵守信息安全等級保護基本要求，但不一定需要遵守云計算擴展要求。A、正確B、錯誤答案：A3.以下關于園區安全聯動的描述，錯誤的是哪一項？A、能夠智能檢測威脅。B、控制器能夠實時阻斷威脅。C、能夠對全網的數據進行采集。D、安全設備會將流量日志上報給CIS進行分析。答案：B4.以下哪項不屬于網絡攻擊的變化趨勢?A、攻擊手段復雜化B、攻擊目的多樣化C、攻擊方式物理化D、攻擊方式變小化答案：D5.當服務器之間的性能差異較大，可以采用以下哪種算法進行負載均衡？A、簡單輪詢算法B、加權輪詢C、最小連接算法D、源IPhash算法答案：B6.以白名單或黑名單的形式驗證用戶提供的數據、以及構建SQL語句,使用戶提供的數據不能影響語句的邏輯,從而防御SQL注入攻擊A、正確B、錯誤答案：B7.以下哪個選項不會造成失效的身份驗證威脅？A、URL中攜帶SessionIDB、利用SQL注入繞過密碼登錄C、Web服務器使用默認的80端口提供服務D、用戶密碼沒有加密存儲答案：C8.關于防火墻帶寬策略，下列哪項說法是錯誤的，A、對于最大帶寬和連接數限制，子策略不能大于父策略。B、在同一組父子策略中，不能引用同一個帶寬通道。C、如果帶寬管理與源NAT功能同時使用，配置帶寬策略的源地址/地區匹配條件時應指定轉換前的地址。D、如果帶寬管理與源NAT功能同時使用，配置帶寬策略的源地址，/地區匹配條件時應指定轉換后的地址。答案：D9.以下關于防火墻雙機熱備說法錯誤的是哪一頂?A、可以備份安全策略B、可以同步會話表信息C、可以備份NAT策略D、可以備份路由信息答案：D10.在ISMS建立過程中,需要實施風險評估,下列哪一項不屬于風險評估的內A、清洗中心負責清洗流量。B、清洗中心負責將清洗后的正常流量回注C、檢測中心負責對流量進行檢測D、檢測中心負責下發引流策略答案：D11.以下哪項不是數據備份的方式？A、LAN備份B、Client-Less備份C、Server-Less備份D、LAN-Free備份答案：B12.以下關于服務識別的描述,錯誤的是哪一項?A、攻擊者可根據服務版本檢索到相關的漏洞,并加以利用。B、服務識別是一種識別服務器上提供的服務類型的偵查技術。C、SSH協議會主動告知訪問者自己版本信息。D、所有服務的識別均可通過端口掃描技術實現。答案：D13.以下關于P2DR模型的描述,錯誤的是哪一項?A、策略:是模型的核心,所有的防護、檢測和響應都是依據安全策格實施的,B、檢測：當攻擊者穿透防護系統之后,檢測功能開始發揮作用,與防護系統形成互補。C、防護：根據系統可能出現的安全問題而采取的預防措施，這些措施通過傳統的靜態安全技術實現。D、響應：系統—旦檢測到入侵,響應系統就開始工作,進行事件處理。答案：C14.若CIS系統顯示流探針狀態下線，則表明此時流探針無法接收網絡流量。A、正確B、錯誤答案：A15.態勢感知是防御APT攻擊的重要手段，CIS與其他設備聯動能夠檢測出任意單點攻擊。A、正確B、錯誤答案：B16.APT攻擊依賴0day、AET高級規避攻擊等多種技術手段,基于特征檢測方法無法識別。A、正確B、錯誤答案：A17.對于到USG防火墻自身的ping報文的控制,接口的訪問控制管理功能比安全策略更優先。A、正確B、錯誤答案：A18.Nmap可以檢測目標主機是在線，端口開放情況、偵測運行的服務類型及版本信息、偵測操作系統與設備類型等信息。A、正確B、錯誤答案：A19.在防火墻虛擬系統向根系統下的eLog輸出日志的場景中，以下關于輸出方式的描述，正確的哪項?A、PortRange日志不能輸出到虛擬系統對應的eLog,只能輸出到根系統對接的eLog。B、可以手動配置將會話日志輸出到根系統對接的eLog。C、不可以通過手動配置將丟包日志輸出到根系統對接的eLog。D、不可以手動配置將業務日志輸出到根系統對接的eLog。答案：A20.某項研究表明，根據出生日期、性別和郵編三個屬性可以識別87%的國人。這種風險屬于下列哪一項風險？A、直接識別個別風險B、推理攻擊風險C、隱私風險D、鏈路攻擊風險答案：D21.以下關于雙機場景下L2TPoverIPSec的實現中，描述錯誤的是哪一項？A、建立L2TP隧道后，用戶不可正常訪問internet。B、客戶端設置的參數要與防火墻上設置的參數相匹配。C、客戶端應對雙機虛擬地址發起撥號連接。D、在這種場景下的防火墻會給客戶端分配IP地址。答案：A22.當有少量數據(例如口令、證書、電話號等)需要加解密時,用戶可以通過專屬加密(HSM)服務使用在線工具加解密數據。A、正確B、錯誤答案：B23.在安全領域,他們所面臨的威脅是無窮無盡的,為了保證自身網絡的絕對安全,需要對所有網絡安全項目進行最大的成本投入,其余網絡建設只需完成基本功能搭建即可。A、正確B、錯誤答案：B24.下關于IPv6ACL的描述，錯誤的是哪一項?A、NGFW支持多種匹配條件,例如，按照IPv6源地址、IPv6目的地址、承載的協議類型等條件對IPv6流量進行過濾。B、對符合匹配條件的流量執行的操作，有permit和deny兩種。C、IPv6ACL是IPv6流量匹配工具，可以將符合匹配條件的IPv6流量與其他IPv6流量區分開來。D、ACL配置完畢之后，即可生效。答案：D25.操作系統日志不同于其他日志,無法通過網絡協議發送給日志收集設備,這時候可以為用戶提供一個通用日志收集器(Sensor)對用戶日志進行收集A、正確B、錯誤答案：A26.NIP的業務接口都正作在二層，能夠不改變客戶現有的網絡拓撲結構。它可以直接透明接入客戶網絡,且配置了缺省的威脅防護策略,接入網絡后即可啟動防護A、正確B、錯誤答案：A27.以下關于云服務基本概念的描述,錯誤的是哪一項?A、VPC般包括計算、存儲和網絡資源B、每個VPC為—個安全域,對應于一個部門C、VDC是一個組織可使用資源的集合D、一個VPC只能屬于一個VDC答案：A28.華為云網絡攻擊防護采用安全組、網絡ACL的方式防護內網。A、正確B、錯誤答案：A29.WinNuke攻擊屬于下列哪一種攻擊?A、特殊報文攻擊B、流量型政擊C、掃描窺探攻擊D、畸形報文攻擊答案：D30.以下關于ECA加密流量檢測技術原理的描述,錯誤的是哪一項?A、通過前端ECA探針提取加密流量的明文數據,包括TLS握手信息、TCP統計信息、DNS/HTTP相關信息,并將它們統一上報給CIS系統。B、安全研究人員通過獲取的黑白樣本集,結合開源情報、域名、IP、SSL等信息,提取加密流量的特征信息。C、基于分析取證的特征向量,采用機器學習的方法,利用樣本數據進行訓練,從而生成分類器模型。D、ECA加密流量檢測最核心的技術是生成ECA檢測分類模型。答案：D31.SNMPTrap就是被管理設備主動發送消息給NMS的一種機制。A、正確B、錯誤答案：A32.華為云DDoS高防P服務不僅支持防護TCP、UDP、DNS、HTTP和HTTPS全協議棧業務,還可以防護網站、游戲、音視頻和移動終端業務等。A、正確B、錯誤答案：A33.下列協議報文默認情況下不可以在IPsec隧道中傳播的是哪一項？A、TCPB、UDPC、ICMPD、IGMP.答案：D34.下列哪一項不屬于活動目錄的邏輯結構組成成分?A、組織單元B、安全域C、網域樹D、對象答案：B35.兩臺防火墻組成VRRP方式的負載分擔雙機熱備,則在每臺防火墻上只有一個VGMP組。A、正確B、錯誤答案：A36.在USG系列防火墻中,可以使用功能為非知名端口提供知名應用服務。A、端口映射B、MAC與IP地址綁定C、包過濾D、長連接答案：A37.華為云多個服務采用與密鑰管理服務(DEW)集成的設計,方便客戶管理密鑰,目前DEW只支持對象存儲,云硬盤和云數據庫服務的密鑰管理。A、正確B、錯誤答案：B38.以下單包攻擊中不屬于畸形報文攻擊的是哪一項？A、CC攻擊B、FraggleC、Smurf攻擊D、Teardrop攻擊答案：A39.用戶管理可以實現不同賬號,不同角色,訪問不同的資源。A、正確B、錯誤答案：A40.當CIS系統由于數據量超過規劃能力,導致處理能力達到規格100%后,則會造成數據失。A、正確B、錯誤答案：A41.下列哪項設備一般不會部署在網絡邊界處?A、防火墻B、Anti-DDoSC、ASGD、CIS答案：D42.當總部與分支機構之間有視頻會議等組播業務時,總部與分支的互聯可以使用IPsecoverGRE技術。A、正確B、錯誤答案：A43.日志管理的作用不包括下列哪項？A、日志存儲B、運維故障分析C、攻擊溯源D、審計用戶行為答案：D44.日志一經記錄，就不會因為系統的正常使用而被修改。A、正確B、錯誤答案：A45.Antiddos1600型號的設備可以同時執行檢測和清洗工作。A、正確B、錯誤答案：A46.下列哪條命在華為US6000序列防火墻中表示不限流A、no-qosB、no-carC、no-profileD、no-limit答案：A47.在CloudFabric場景中,華為防火墻采用Borderleaf旁掛防火墻實現安全VAS服務情況下,后續無法進行擴容A、正確B、錯誤答案：B48.如果攻擊者使用虛假源地址發動TCPF1ood政擊,則使用以下哪種防御手段最有效?A、源驗證B、會話檢查C、載荷檢查D、指紋學習答案：A49.網絡中的安全審計,其目的是重現不法者的操作過程,提供認定其不法行為的證據,也可以用來分析目前安全防御系統中的漏洞A、正確B、錯誤答案：A50.以下哪項不屬于網絡層安全威脅?A、釣魚攻擊B、IP地址掃描C、IPSpoofingD、DDos攻擊答案：A51.甲乙通信雙方進行數據通信,若采用非對稱加密算法進行加密,甲發送數據給乙時,以下哪個密鑰將被用于進行數據加密?A、甲的公鑰B、甲的私鑰C、乙的公鑰D、乙的私鑰答案：C52.將防火墻的健康檢查功能配合ISP選路使用時,當健康檢查的結果顯示為鏈路故障,則該鏈路對應的接口會被置為shutdown狀態。A、正確B、錯誤答案：B53.金融數據中心解決方案中,防火墻主要部署在兩個位置:內網接入區、互聯網出口。A、正確B、錯誤答案：B54.木馬由于感染典他的文件，世破壞計算機系統，同時進行自我復制，所以木馬具有傳統計算機病毒的特征。A、正確B、錯誤答案：B55.下列哪一項能夠較好防御APT攻擊？（單選)A、關閉重要業務系統B、及時更新IPS病毒庫C、部署CIS、沙箱等設備D、及時更新防火墻病毒庫答案：C56.如下圖所示總部網絡雙機部署，分別網絡配置實現L2TPoverIPSec接入總部網絡，以下關于IPSec感興趣流配置的描述，正確的一項是

A、aclnumber3000

Rule10permitudpsource-porteq1701B、aclnumber3000

Rule10permitudpdestination-porteq1701C、aclnumber3000

Rule10permittcpsource-porteq1701D、aclnumber3000

Rule10permittcpdestination-porteq1701答案：B57.IPS支持的管理員登錄方式不包括以下哪一項？A、HTTPB、SSHC、TelnetD、Console答案：A58.肉雞,也稱傀儡機,通常是指可以被黑客遠程控制的機器,常被用于DDoS攻擊。A、正確B、錯誤答案：A59.華為WAF5000產品使用以下哪種技術來應對盜鏈、跨站請求偽造等特殊Web攻擊？A、簽名匹配技術B、行為狀態鏈檢測技術C、非法鏈接過濾技術D、異常狀態跟蹤技術答案：B60.IPV6在全球單播地址范圍為2000：：/3A、正確B、錯誤答案：A61.APT攻擊可以利用基于特征的檢測方法進行識別。A、正確B、錯誤答案：B62.攻擊誘導的就是通過技術手段在攻擊者進入網絡后主動引誘攻擊者進入到泥沼中不能自拔,在有限的仿真環境下提升命中率。A、正確B、錯誤答案：A63.下列哪一項不屬于APT攻擊的特點？A、難以檢測B、主要針對個人用戶C、隱蔽性高D、持續性攻擊答案：B64.NTP是標準的基于UDP協議傳輸的網絡時間同步協議。由于UDP協議的無連接性,方便偽造源地址,可以使用NTPFlood攻擊。A、正確B、錯誤答案：A65.下列哪個選項不屬于被動獲取信息的手段?A、端口掃描B、端口鏡像C、收集日志D、抓包答案：D66.AntiDDoS1600型號的設備可以同時執行檢測和清洗工作。A、正確B、錯誤答案：B67.下列哪一項不是eLog具備的主要功能(單選)A、態勢感知B、運維故障分析C、日志存儲D、攻擊溯源答案：A68.為防止審計日志中的隱私數據在控制臺上以明文形式顯示,華為云數據庫安全服務提供內置或自定義隱私數據保護規則A、正確B、錯誤答案：A69.端口掃描技術是對主機狀態的詳細信息進行探測的技術,從而確定對端主機上開啟了何種服務,為入侵尋找入口。A、正確B、錯誤答案：A70.以下哪個選項不能體現APT攻擊的高級特性?A、APT攻擊遵循網絡攻擊鏈的過程。B、APT攻擊中會使用零日漏洞。C、APT攻擊一般較為隱蔽,通過加密通道等方式隱藏攻擊。D、發動APT攻擊一般需具備大型組織的力量。答案：A71.如果用戶通過防火墻使用單點登錄方式查詢AD服務器的安全日志,則當用戶注銷后防火墻可以立即使該用戶下線。A、正確B、錯誤答案：B72.以下哪一項不屬于在Linux賬戶安全設置中需要做的操作？A、設置“登錄連續認證失敗鎖定“B、設置系統口令策略C、設置口令過期時間D、設置系統鎖屏時間答案：D73.以下哪項行為不具備信息安全風險？A、連接公共WIFIB、誤操關閉不必要的主機端口C、誤操作D、重要文件不加密答案：B74.某虛擬數據中心VDC下創建了VPCA和VPCB在VPCA申請了主機(00/24),在VPCB申請了主機B(00/24),現在配置VPC互訪之后，創建虛擬防火墻安全策略如下：

Security-policy

Source-zoneany

Destination-zoneany

Source-address0032

Destination-adress00.32

Actionpermit

以下書法正確的是哪項？A、僅允許A訪問BB、A和B能夠互訪C、僅允許B訪問AD、A和B不能訪問答案：C75.下列哪項是造成該故障的可能原因？A、網關和內網服務器間路由不可達。B、用戶沒有被分配到Web代理的資源。C、安全策略沒有放行外網到內網服務器的流量D、SSLVPN單臂部署旁掛在防火墻上，需要使用NAT將SSLVPN網關私網地址映射為公網地址，地址映射錯誤。答案：B76.以下哪一項支持多種盜鏈錯識別算法，能有效解決單一來源盜鏈、分布式盜鏈和網站數據惡意是竊取等信息盜取行為，從而確保網站的資源只能通過本站才能訪問？A、Firewal1B、IPSC、Anti-DDosD、WAF答案：D77.下列對AntiDDoS系統中的檢測中心和清洗中心的描述,錯誤的是哪一項?A、清洗中心負責清洗流量。B、清洗中心負責將清洗后的正常流量回注C、檢測中心負責對流量進行檢測D、檢測中心負責下發引流策略答案：D78.若IPS想要訪問在線病毒庫,則下列關于IPS設備的安全策略的配置錯誤的是哪一項A、若升級方式配置為HTTPS,則需要放行HTTPS協議B、目的地址為升級中心的地址C、目的安全區域為升級中心所在的安全區域D、源安全區域為IPS所在的trust區域答案：D79.IPV6組播地址范圍為FE80：：/10。A、正確B、錯誤答案：B80.金融數據中心解決方案中,防火墻主要部署在兩個位置:內網接入區、互聯網出口A、正確B、錯誤答案：B81.當用戶通過防火墻認證訪問內網資源時，根據需求還可以選擇防火墻是否對用戶進行二次認證。A、正確B、錯誤答案：A82.HisecInsight在和終端聯動中,主要是和合作關系有關系的第三方廠商的EDR聯動A、正確B、錯誤答案：A83.關于GREOverIPSec的說法，下列哪項說法是錯誤的？A、IPSec封裝過程中增加的IP頭即源地址為IPSec網關應用IPSec安全策略的接口地址，目的地址即IPSec對等體中應用IPSec安全策略的接口地址。B、IPSec需要保護的數據流為從GRE起點到GRE終點的數據流。C、GRE封裝過程中增加的IP頭即源地址為GRE隧道的源端地址，目的地址為GRE隧道的目的端地址。D、當網關之間采用GREoverIPSec連接時，先進行IPSec封裝，再進行GRE封裝。答案：D84.遠程攻擊者可以利用以下哪一選項的漏洞構造惡意網站,進行釣魚,當用戶訪問惡意網站后,可實現對用戶機器的控制?A、MS14-064漏洞B、SMB漏洞C、臟牛漏洞D、CVE-2016-0099漏洞答案：A85.文件壓縮后防火墻不能檢測該病毒。A、正確B、錯誤答案：B86.在WAF縱治深防御體系中,以下哪種安全檢查用于防御CC攻擊?A、訪問行為安全檢查B、內容安全檢查C、敏感信息安全檢查D、網絡安全檢查答案：A87.以下關于網絡誘捕方案原理的描述，錯誤的是哪一項？A、攻擊者在目標設備上安裝程序的行為也能夠被誘捕器捕獲。B、誘捕器通過偽裝真實業務和漏洞誤導攻擊者，使攻擊者攻擊誘捕器。C、能夠制造各種陷阱誤導攻擊者，造成攻擊者對網絡架構、攻擊目標、漏洞分析的錯誤認知。D、網絡誘捕技術能夠針對攻擊者攻擊過程全程誘捕，給攻擊者已攻擊到目標的假象，但實際上是在確認攻擊意圖并準備實施阻斷。答案：A88.WAF設備不能部署針對Web網站的DDOS攻擊防護。A、正確B、錯誤答案：B89.以下關于創建陷阱賬戶的描述,說法正確的是哪一項?A、創建一個名為Administrator的本地帳戶,并將它的權限設置成最低,加上一個超過10位的強密碼。B、創建一個名為Administrator的本地帳戶，并將它的權限設置成最低，加上一個低于6位的弱密碼。C、創建一個名為Administrator的本地帳戶，并將它的權限設置成最高，加上一個超過10位的強密碼。D、創建一個名為Administrator的本地帳戶，并將它的權限設置成最高,加上一個低于6位的弱密碼。答案：A90.繞過系統安全性控制而具有操作權限的是以下哪種病毒？A、惡作劇病毒B、勒索病毒C、蠕蟲D、后門病毒答案：D91.以下哪個功能不屬于WAF的防護功能？A、網頁防篡改B、DDoS防護C、反病毒D、CC防護答案：C92.以下關于華為云租戶業務防護方案的描述，錯誤的是哪一項？A、企業主機安全服務是一個用于保障主機整體安全的安全服務B、漏洞掃描服務只有web網站掃描和主機掃描兩種掃描能力C、通過內置豐富的ACL來應對各種Web安全風險D、容器安全服務提供了鏡像漏洞管理、容器安全策略管理和容器逃逸檢測功能答案：C93.在內網防護中，我們可以通過配置網絡ACL和安全組策略，保障VPC內的彈性云服務器安全使用。以下對于網絡ACL的描述，錯誤的是哪一項？A、網絡ACL主要針對子網進行防護。B、當網絡ACL中多個規則沖突時，優先級高的優先。C、網絡ACL支持允許和拒絕策略。D、網絡ACL只能基于三元組信息對流量進行過濾。答案：D94.以下關于IPv6無狀態自動配置地址的描述,錯誤的是哪一項?A、主機接入網絡后可以主動發送RS報文。B、IPv6支持無狀態地址自動配置,需要結合使用諸如DHCP之類的輔助協議。C、路由器發現功能是IPv6地址自動配置功能的基礎,主要通過RA報文和RS報文來實現的。D、每臺路由器為了讓二層網絡上的主機和其他路由器知道自己的存在,定期以組播方式發送攜帶網絡配置參數的RA報文。答案：B95.蜜罐是一種在互聯網上運行的計算機系統,是專門為吸引并誘騙那些試圖非法間入他人計算機系統的人而設計的。以下關于蜜罐的描述中,不正確的是哪一項?A、蜜罐系統是個包含漏洞的誘騙系統。B、蜜罐可以查找和發現新型攻擊。C、蜜罐可以與防火墻協作使用。D、富罐技術是一種被動防御技術。答案：D解析：蜜罐技術是一種主動防御技術96.當交換機開啟ECA功能后,對轉發性能影響不明顯。A、正確B、錯誤答案：B97.關于Radius的認證流程，有以下幾個步驟：

1，網絡設備中的Radius客戶端接收用戶名和密碼，并向Radius服務器發送認證請求；

2，用戶登錄USG等網絡設備時，會將用戶名和密碼發送給Radius客戶端；

3，Radius服務器接收到合法的請求后，完成認證，并把所需的用戶授權信息返回給Radius客戶端；以下哪個選項的順序是正確的？A、1-2-3B、2-1-3C、3-2-1D、2-3-1答案：B98.訪問者可以通過Portal認證頁面獲取短信驗證碼，然后輸入短信驗證碼即通過認證，以下哪項屬于該認證方式A、本地認證B、單點登陸C、短信認證D、服務器認證答案：C99.網絡攻擊是指個人或組織蓄意破壞其他個人組織的信具香統艤嚴行在澳掌精況下,攻擊者的目的是通過破壞受害者的網絡來年取某種利益。A、正確B、錯誤答案：A100.下列哪項不屬于網絡安全事件中劃分的等級?A、重大網絡安全事件B、特殊網絡安全事件C、一般網絡安全事件D、較大網絡安全事件答案：B101.在華為云數據安全責任共擔模型中,云平臺負責基礎設施的安全,用戶負責基礎上的業務系統和配置的安全。A、正確B、錯誤答案：B102.在華為用戶管理解決方案中,以下關于用戶組織架構的描述中,正確的是哪一項?A、認證域是用戶組織架構的容器。華為防火墻缺省存在default認證域,所以用戶不可以自定義創建認證域。B、用戶組織架構是基于用戶進行權限管控的基礎。C、管理員可以根據企業的組織結構來創建部門和用戶,這里的“部門”對應組織架構中的“安全組”。D、當需要基于部門以外的維度對用戶進行管理,可以創建跨部門的用戶組。答案：B103.關于防火墻支持的單點登錄,不包括下列哪一項?A、RADIUS單點登錄B、ISM單點登錄C、AD單點登錄D、HWTACACS單點登錄答案：D104.lPS支持的官理員登錄方式不包括以下哪一項A、TelnetB、SSHC、HTTPD、Console答案：A105.關于以下某接口IPV6安全鄰居發現功能信息的描述,錯誤的是哪一項A、該接口可以接受的密鑰長度的最小值為512B、該接口可以接受的密鑰長度的最大值為2048C、CGA地址的安全級別為1D、該接口未使能嚴格安全模式答案：D106.虛擬機安全不包括以下哪個選項?A、虛擬機安全B、虛擬機網絡間安全C、物理機安全D、虛擬機平臺安全答案：C107.管理員給虛擬系統vsysa分配接口G1/0/0時，發現分配失敗，不可能的原因是A、G1/0/0口已經被分配給其他虛擬系統。B、該接口是全二層口，無法直接分配給虛擬系統。C、該接口已被加入其他虛擬系統的安全區域中。D、接口未處于UP狀態。答案：D108.以下關于FW的應用行為控制功能的描述，正確的是哪一項？A、針對HTTP行為，應用行為控制功能可以對POST和GET操作進行控制。B、針對IM行為，可以設置黑白名單，黑白名單和缺省動作的優先級關系為，黑名單>白名單>缺省動作。C、在創建安全策略時，可以把應用行為控制配置文件同用戶、時間段等對象結合起來，達到對不同用戶、不同時間段的應用行為差異化管理的目的。D、針對IP行為，應用行文控制可以限制上傳/下載行為單獨進行控制。答案：C109.以下哪些選項認證方法是通過密碼進行身份認證的?A、你是什么B、你知道什么C、你擁有什么D、你做什么答案：B110.以下哪個選項是用于滲透測試獲取信息的手段？A、連接開放的端口，登錄服務器B、利用漏洞對主機植入后門C、為普通用戶提取超級管理員權限D、使用工具掃描服務器開放的端口答案：D111.IP-Link技術通過向指定的目的地址連續發送ICMP報文或者ARP請求報文，然后檢查是否可以收到響應的ICMPechoreply報文或ARP應答報文來判斷鏈路是否發生故障。A、正確B、錯誤答案：A112.當采用portal與MAC優先認證結合的認證方案時，需要確保用戶與接入設備之間為二層網絡，且接入設備與用戶所在區域相連的接口為二層物理接口或者二層Eth-trunk接口。A、正確B、錯誤答案：A113.以下關于病毒特征的描述，錯誤的是哪項?A、影響設備或程序的正常運行，刪除或加密文件等，具備破壞性。B、殺毒軟件通過加殼偽裝自己逃避查殺，具備偽裝性。C、隨著計算機病毒制作技術的不斷提高，病毒會出現變種，具備不可預見性。D、病毒本身很小，通常依附于正常程序之中或磁盤引導扇區中，具備傳染性。答案：B114.多因子認證主要應用于登錄保護和操作保護的場景。A、正確B、錯誤答案：B115.以下關于溯源審計的描述,正確的是哪一項?A、在安全策略中,動作配置為deny的流量會進行審計策略處理。B、只有審計管理員才能配置審計功能和查看審計日志。C、審計策略包括條件和動作兩部分,對于條件部分,匹配任意一項條件即可執行相應操作。D、在報文來回路徑不一致的組網環境中,審計日志記錄的內容是完整的。答案：B116.格式化電腦意味著文件已經被徹底刪除，無法進行修復。A、正確B、錯誤答案：B117.針對DNS授權服務器發起的DNSRequestFlood，如果采用TCP源驗證時，客戶端設備不支持使用TCP發送DNS請求，該如何驗證客戶端身份？A、使用載荷檢查B、使用DNS被動模式C、使用CNAMED、使用302重定向答案：B118.當接入用戶使用Client-InitiatedVPN方式與LNS建立隧道時,一條隧道可以承載多少PPP接?A、3B、1C、2D、4答案：B119.使用服務器認證時，訪問者訪問業務之前首先通過客戶端或Portal認證頁面登陸，然后防火墻會主動向服務器獲取用戶的登錄信息（包括訪問者使用的用戶名和IP地址）。A、正確B、錯誤答案：B120.以下哪一項不屬于在Linux系統安全設置中需要做的操作?A、啟動IPTABLESB、修改3389遠程桌面登錄端口C、設置訪問控制策略D、修改SSH監聽端口答案：B121.以下哪一項不屬于IPS設備預定義簽名的缺省動作?A、放行B、告警C、阻斷D、丟棄答案：D122.IPSecVPN使用數字證書進行身份驗證時，以下哪項是不需要用來檢驗數字證書是否合法的？A、證書簽名B、CRL證書序列號C、證書公鑰D、證書有效期答案：C123.常規路由器容易遭受重定向攻擊,應當在接口下配置ACL過濾相應報文,減少重定向攻擊的影響.vA、正確B、錯誤答案：B124.在IKEV1協商中,關于野蠻模式與主模式的區別,以下哪項說法是錯誤的?A、主模式在預共享密鑰方式下不支持NAT穿越,而野蠻模式支持B、主模式協商消息為6個,野蠻模式為3個。C、在NAT穿越場景下,對等體ID不能使用IP地址D、主模式加密了身份信息的交換信息,而野蠻模式沒有加密身份信息答案：C125.以下關于ECA檢測方案的指述，錯誤的是哪一項？A、探針主要負責明文流量的特征提取B、ECA探針提取網絡流量中的特征數據，包括TLS握手信息、TCP統計信息、DNS/HTTP相關信息，統一上報給CIS系統C、ECA檢測方案分為ECA探針和ECA分析系統D、分析系統會結合檢測模型檢測發現惡意流量答案：A126.當FW與日志服務器不在同一部署地時，目前僅支持FW通過IPSec隧道和GRE隧道發送會話日志給日志服務器。A、正確B、錯誤答案：A127.在華為SDSec解決方案中,防火墻屬于哪一層的設備?A、分析層B、控制層C、執行層D、監控層答案：C128.以下對云數據中心中安全設備功能的描述,錯誤的是哪一項?A、Anti-DDoS可以為威脅DCN的DDOS攻擊提供加測以及流量清洗服務。B、NGFW提供安全隔離、非法訪問防護和訪問權限管理等。C、WAF可以對靜態頁面防等改、阻斷SQL注入,XSS攻擊D、CIS可以提供全統一的網絡運維、管理及審計能力。答案：D129.下列哪一項不屬于配置ASG設備雙機熱備的優點？（單選)A、提高數據傳輸速度B、提高系統可靠性C、降低故障對業務的影響D、提高故障恢復速度答案：A130.傳統被動防御無法很好防范APT攻擊,原因之一是傳統防御方法無法關聯分析威脅。A、TUREB、FALSE答案：A131.以下行為會對信息系統造成實質性破壞的是哪一項?A、病毒傳播B、C&C流量檢測C、網絡探測D、社會工程學答案：A132.關于GRE封裝與解封裝,以下哪項描述是錯誤的?A、封裝過程,原始數據包通過查找路由把數據包傳遞到Tunnel接口后出發GRE封裝B、封裝過程,經過GRE模塊封裝后,此數據包將進入IP模塊進行下一步處理C、解封裝過程,目的端收到GRE報文后,通過查找路由把數據包傳遞到Tunnel接口后出發GRE解封裝D、解封裝過程,經過GRE模塊解封裝后,此數據包將進入IP模塊進行下一步處理答案：C133.策略路由的配置順序很重要，需要先配置匹配條件寬泛的策略，再配置匹配條件精確的策略。A、正確B、錯誤答案：A134.以下關于日志作用的描述，不正確的是哪項？A、運維故障分析B、日志存儲C、病毒阻斷D、攻擊溯源答案：C135.有關實現業務安全韌性的方法,以下錯誤的是哪一項?A、通過部署防火墻等安全設備就能實現被動防御。B、根據ISO/IEC15408/CC規劃業務安全C、通過部署以威肋為中心的安全體系,實現被動安全。D、通過態勢感知等技術實現主動安全:答案：C136.以下關于健康檢查描述，正確的是哪一項A、在指定鏈路健康檢查的出接口后，健康探測報文的出接口即可與回應報文的入接口保持一致。B、探測報文的出接口不需要固定。C、在配置健康檢查的協議和端口時，要確認對端口是否開放了相應的協議和端口。D、健康檢查報文無需配置安全策略放行。答案：C137.采用分布式拒絕服務攻擊體系結構的重要目的是隔離網絡聯系,保護攻擊著,使其不會在攻擊進行時受到監控系統的跟蹤。A、正確B、錯誤答案：A138.以下哪項攻擊可以通過單點設備檢測出來？A、口令暴力破解B、加密惡意流量C、用戶權限提升D、刪除進程答案：A139.以下對于安全目標職責分離原因的描述，正確的是哪一項？A、幫助公司員工做他們擅長的工作。B、為了避免人員合謀損害公司利益。C、避免安全人員個人的更改波及到其他人。D、可以幫助提升員工的工作效率。答案：C140.以下不屬于cvss評估的基礎度量指標的是那個選項。A、可用性影響B、漏洞嚴重等級C、范圍D、攻擊向量答案：B141.以下選項中哪一個不屬于網絡數據傳輸過程中可能受到的威脅？A、數據篡改B、惡意代碼C、數據竊聽D、身份偽造答案：B142.Nmap只可以用于掃描單個主機,但不可以適用于掃描大規模的計算機網絡,從中找出感興趣的主機和服務。A、正確B、錯誤答案：B143.以下關于與配置elog日志管理的描述,錯誤的是哪一項?A、FW上的時區和時間與elog采集器上的時區和時間必須保持一致,否則將會影響日志查看結果。B、如果FW同時輸出會話老化日志、會話新建日志和定期會話日志,將會導致elog接收到的日志數量激增,消耗elog的存儲空間。C、默認情況下,elog不解析會話新建日志,如需要在elog上解析并呈現會話新建日志,則需要在采集器上做相應配置。D、目前elog支持手動添加和自動發現兩種管理FW的方式,手動添加方式需要在FW上配置SNMP相關參數。答案：D144.以下關于云數據庫安全防護技術中的數據庫入侵檢測技術的描述,錯誤的是哪一項?A、基于統計的入侵檢測技術是通過設置閾值等方法,如果低于閾值則認為是發生了入侵行為B、基于數據挖掘的入侵檢測技術可以通過對采集的大量數據庫審計數據進行分析來發現一些特定入侵行為C、基于模式匹配的入侵檢測技術是一種誤用檢測方法D、基于專家系統的入侵檢測技術是以安全專家對入侵行為的經驗作為基礎建立的答案：A145.關于L2TPoverIPSec的報文封裝順序，以下哪項是正確的？A、從先封裝到后封裝的順序是PPP>UDP->L2TP->IPSecB、從先封裝到后封裝的順序是PPP>L2TP->UDP-IPSecC、從先封裝到后封裝的順序是IPSec>L2TP->UDP-PPPD.D、從先封裝到后封裝的順序是IPSec>PPP->L2TP->UDP答案：B146.掃描窺探攻擊都是使用ICMP報文進行探測的。A、正確B、錯誤答案：B147.華為HiSec方案不可以實現下列哪項功能？A、解密被加密的流量B、安全協防C、檢測加密流量D、安全服務化答案：A148.木馬主要用來作為遠程控制和竊取用戶隱私信息,它同時具有計算機病毒和特征。A、正確B、錯誤答案：A149.下列哪個信息不是雙機熱備中狀態信息備份所包含的備份內容?A、NAPI相關表項B、lPv4會話表C、IPSEC隧道D、路由表答案：D150.關于NAT地址池的配置命令如下:其中,no-pat參數的含義是:A、不做地址轉換B、進行端口復用C、不轉換源端口D、不轉換目的端口答案：C151.在HISec解決方邏輯架構中，CIS系統屬于哪一層架構？A、控制層B、執行層C、管理中心D、分析層答案：D152.SQL注入漏洞的產生是由于缺少對用戶輸入內容的合法性校驗?A、正確B、錯誤答案：A153.下列哪項設備用于數據庫審計？A、ASGB、UMAC、DASD、VSCAN答案：C154.用iptables寫一條規則不允許/16的網段訪問本設備,以下哪項規則寫法是正確的?A、iptables-tfiter-AINPUT-s/16-pall-jDROPB、iptables-tfiter-PINPUT-s/16-pall-jDROPC、iptables-tfiter-PINPUT-s/16-pall-j-ACCEPTD、iptables-tfiter-PINPUT-d/16-pall-j-ACCEPT答案：A155.SQL注入不會導致數據丟失、破壞或泄露給無授權方,缺乏可審計性或是拒絕服務。A、正確B、錯誤答案：B156.對于反射型XSS攻擊流程描述的排序,以下哪個選項是正確的?

1.用戶請求訪問web服務器資源

2.攻擊者將偽造的URL發送給用戶

3.JavaScript在用戶瀏覽器中被執行

4.用戶的瀏覽器向攻擊者反饋會話令牌

5.攻擊者劫持用戶會話

6.用戶訪問攻擊者偽造的URL

7.服務器對于攻擊者偽造的URL中JavaScript進行響應A、1-2-7-6-3-4-5B、1-2-6-7-5-3-4C、1-2-7-6-4-3-5D、1-2-6-7-3-4-5答案：D157.訪問控制中，主體通過訪問客體來獲得信息或數據。這里所說的“主體”只能是用戶。A、正確B、錯誤答案：B158.在配置服務器負載均衡時，以下哪個選項不是必需的？A、服務健康檢查B、負載均衡算法C、虛擬服務器地址D、實服務器地址答案：A159.將整體最大帶寬除以在線IP數目，得到的值作為每IP最大帶寬。以下哪個選項屬于這種帶寬的分配方式？A、帶寬復用B、動態均分C、策略共享D、策略獨占答案：B160.關于廣電網絡方案中的出口選路策略,下列哪一項是不正確的?A、可以通過基于應用的策略路由將流量引導至適當的鏈路B、通過DNS透明代理分擔內網用戶上網的DNS請求,達到在多個ISP間分擔流量的目的C、可以通過健康檢查探測鏈路的可達性D、通過基于多出口的靜態路由實現ISP選路答案：D161.以下關于防火墻雙機熱備說法錯誤的是哪一項？（單選)A、可以備份路由信息B、可以備份NAT策略C、可以備份安全策略D、可以同步會話表信息答案：A162.AntiDos設備的防范閾值設置過低,有可能影響設備性能或者造成正常流量被丟棄A、正確B、錯誤答案：A163.針對DDoS中的慢速攻擊防范，具備智能化和擬人化功能的Anti-DDoS方案對此類攻擊防御效果更好。A、正確B、錯誤答案：A164.通過使用SYNFlod攻擊,惡意攻擊者可以嘗試在目標設備或服務中創建拒絕服務,其流量大大低于其他DDoS攻擊A、正確B、錯誤答案：A165.在防火墻上部署雙機熱備時,為實現VRRP備份組整體狀態切換,需要使用以下哪個協議?A、VRRPB、VGMPC、HRPD、OSPF答案：B166.下列關于CIS系統高級版組網方式的描述,錯誤的是哪一項?A、CIS系統高級版包含6種主機類型B、CIS系統高級版雙平面組網方式包含管理平面與數據平面,適合流量穩定,網絡帶寬充足的場景C、流探針是CIS系統流量的入口設備,通常部署在內網到因特網出口處,或內網不同區域間通信的出口位置D、CIS高級版有單平面組網及雙平面組網兩種方式答案：B解析：適合流量特別不穩定,網絡帶寬不夠充足的場景。167.華為云網絡安全防護采用安全組進行內外網邊界防護。A、正確B、錯誤答案：B168.以下關于信息安全管理的指導原則的描述,不正確的一項是?A、需要明確國家、企業和個人對信息安全的職責和可確認性。B、信息安全需要積極防御和綜合防范。C、需要綜合考慮社會因素對信息安全的制約。D、工程原則中降低復雜度的原則是需要實現訪問的最大控制權。答案：D169.以下關于網絡掃描防御技術的描述，錯誤的是哪一項？A、防火墻和交換機設備可以在作為誘捕探針。B、誘捕系統可針對每個攻擊者生成可溯源的唯一指紋，能夠記錄黑客IP、操作系統、瀏覽器類型、攻擊武器類型等信息。C、在誘捕器和誘捕探針部署在同一臺防火墻上的組網模式下，誘捕不需要CIS和Seanager，可以直接通過FW完成威脅閉環聯動。D、誘捕探針具備業務仿真功能。答案：D170.DDoS的表現形式主要有兩種,一種為流量攻擊,另一種為資源耗盡攻擊。A、正確B、錯誤答案：A171.IDS通常旁掛在交換機上用于檢測入侵,同時可避免單點故障影響網絡正常運行。A、正確B、錯誤答案：A172.在防火墻上開啟智能選路功能后,為防止鏈路過載的情況下,同一用戶的新建流量選擇其他鏈路轉發出去,需開啟源進源出功能。A、正確B、錯誤答案：B173.以下關于端口掃描的描述,錯誤的是哪一項?A、TCP端口掃描利用的是三次握手特性。B、當掃描者發出SYN報文,如果對端沒有回復,則表示對端端口是關閉的。C、端口掃描是為了確定對端主機上開啟了何種服務,從而為入侵尋找入口。D、對于UDP端口掃描,則是通過向對端特定端口發送UDP數據報文,觀察是否回復ICMP端口不可達報文來判斷端口是否打開。答案：B174.對于DDoS攻擊產生的影響描述不正確的是哪一項?A、使防火墻設備成為網絡瓶頸B、造成網絡擁塞C、造成服務器不能正常提供服務D、造成網絡病毒泛濫答案：D175.國家等級保護制度(GB)在進行等級測評過程中，測評依據是ISO27001中的安全管理測評要求。A、正確B、錯誤答案：B176.下列哪一項不屬于常見個人數據范疇？A、生日B、政治觀點C、姓名D、職業答案：B177.CIS網絡安全智能系統實現對APT高級威脅檢測，其核心思想是以持續檢測應對持續攻擊。A、正確B、錯誤答案：A178.使用被動模式建立FTP連接時,控制通道使用端口20,數據通道使用端口21。A、正確B、錯誤答案：B179.在“用戶通過用戶名和密碼登錄網頁”中，以下關于“用戶名”的作用，描述正確的是哪一項？A、計費B、身份識別C、身份認證D、授權答案：B180.配置防火墻服務器負載均衡功能后，在配置域間安全策略的匹配條件時，源和目的IP地址需為實服務器的IP地址？A、正確B、錯誤答案：B181.如果能夠成功訪問.huawei.的網站資源，不會涉及到以下那個協議A、TCPB、TelnetC、HTTPD、DNS答案：B182.數據在其產生、傳輸、存儲、銷毀的生命周期中不存在下列哪項風險？A、數據生產風險B、數據傳輸風險C、數據存儲風險D、數據使用風險答案：A183.黑客控制的僵尸網絡用于傳播病毒，不能發動DDoS攻擊。A、正確B、錯誤答案：B184.下列哪項在華為數據中心安全解決方案中承擔南向下發安全策略的任務？A、ManageOneB、SeanagerC、Aglie-controllerDCND、Fusionsphere答案：B185.某企業在網絡中部署了華為USG6000系列防火墻，要實現用戶通過Telnet/SSH訪問防火墻，而且該用戶輸入的每一條命令都要通過服務器授權才能執行。以下哪種認證方式可以滿足需求？A、RadiusB、LDAPC、HWTACACSD、AD答案：C186.防火墻系統管理員可以配置審計功能和查看審計日志。A、正確B、錯誤答案：B187.保持瀏覽器更新、注意彈出窗口和不要點擊來自未知來源的電子郵件鏈接,可以防止網絡釣魚攻擊。A、正確B、錯誤答案：A188.AgileController-DCN屬于分析層設備，能夠協助管理員分析并阻斷威脅。A、正確B、錯誤答案：B189.以下關于郵件過濾的描述，錯誤的是哪一項？A、開啟匿名郵件檢查，能夠防止違法信息通過后名郵件方式在整個網絡內部傳播。B、開啟郵件附件控制，對附件的大小和個數進行控制，防止大量信息通過附件泄露出去。C、開啟郵箱地址檢查，只允許指定郵箱地址發送或接收電子郵件，從發送和接收權限上進行控制，防止內部用戶泄露重要信息。D、開啟垃圾郵件防范，能夠防止外網的SMTP服務器收到大量垃圾郵件。答案：D190.以下關于IPS處理流量的過程，正確的順序是哪項？A、數據重組→特征匹配→應用識別→相應處理B、數據重組→應用識別→特征匹配→相應處理C、相應處理→數據重組→特征匹配→應用識別D、相應處理→特征匹配→應用識別→數據重組答案：B191.在安全團隊能力建設中,一般分為管理崗和技術崗,以下不屬于技術崗位關鍵職責的是哪一項?A、負責組織開展信息系統安全等級保護工作。B、負責安全漏洞檢測和防護。C、負責制定企業級的信息安全技術規劃和技術架構。D、負責組織信息安全突發事件的應急處置。答案：D192.僵尸網絡是包含機器、人和網絡的組合網,每個受感染的設備都可以稱為僵尸網絡。A、正確B、錯誤答案：A193.按照常見的漏洞分類方式，XSS應屬于以下哪一種類型的漏洞？A、主機漏洞B、數據庫漏洞C、Web漏洞D、中間件漏洞答案：C194.如果文件的屬性與規則的匹配條件全部匹配，則此文件成功匹配文件過濾配置文件的規則。如果其中有一個條件不匹配，則繼續匹配下一條。以此類推，如果所有規則都不匹配，則FW會丟棄該文件。A、正確B、錯誤答案：B195.IPv6全球單播地址范圍為2000::/3。A、正確B、錯誤答案：A196.以下選項中不屬于精簡網絡攻擊鏈中四個攻擊過程的是哪一項？A、目標偵察B、橫向攻擊C、環境檢測D、邊界突破E、目標打擊答案：C197.下列哪一個選項不是部署在校園網出口處的防火墻的主要功能?A、入侵防御B、準入控制C、防DDoS攻擊D、網絡地址轉換答案：A198.根據信息安全管體系進行風險評估工作時,可以采用問卷訪談、現場調研、問卷查閱、手工檢查、工具檢查等手段進行風險評估A、正確B、錯誤答案：A199.以下哪項不屬于防火墻檢測病毒的方式?A、啟發式檢測技術B、惡意域名檢測技術C、文件信譽技術D、首包檢測技術答案：B200.廣告軟件不算惡意代碼的一種，因為它沒有給用戶帶來實質性的傷害。A、正確B、錯誤答案：B201.滲透測試中，漏洞利用后，往往最容易獲取的權限就是一個webshell。但是由于權限較低，無法執行一些特定命令進行進一步滲透，這時候就需要本地提權。A、正確B、錯誤答案：A202.若IPS想要訪問在線病毒庫，則下列關于IPS設備的安全策略的配置錯誤的是哪一項？A、若升級方式配置為HTTPS,需要放行HTTPS協議。B、源安全區域為IPS所在的trust區域。C、目的安全區域為升級中心所在的安全區域。D、目的地址為升級中心的地址。答案：B203.華為HiSecInsight的ECA檢測能力可以輔助HiSecInsight系統綜合判定,檢測失陷主機。A、正確B、錯誤答案：B204.簽名過濾器的動作優先級高于簽名缺省動作，當簽名過濾器動作不采用缺省動作時以簽名過濾器中的動作為準。A、正確B、錯誤答案：A205.缺省情況下,防火墻會對經過自身的數據流進行認證。A、正確B、錯誤答案：B206.通過黑名單驗證,特定的已知惡意字符將從用戶輸入中刪除或替換。A、正確B、錯誤答案：B207.數字簽名技術可以保證數據來源的可信度，驗證數據在傳輸過程中是否被篡改。A、正確B、錯誤答案：A208.RADIUS單點登錄場景中,RADIUS服務器有一個用戶user1bj,防火墻上沒有對應的名為j的認證域,則該用戶單點登錄成功后會在防火墻的default認證域上線。A、正確B、錯誤答案：A209.表面上,病毒、漏洞、木馬等威脅是造成信息安全事件的原因,但究其根本,信息安全事件與人和信息系統本身也有很大關聯。A、正確B、錯誤答案：A210.沙箱與防火墻聯動反病毒,沙箱檢測病毒文件后將以下哪項信息反饋到防火墻?A、應用B、源IPC、文件MD5D、URL答案：C211.以下關于傳統運維特征的描述中,正確的是哪一項?A、訪問操作沒有嚴格限制B、風險可識別C、操作可管控D、使用嚴格的安全策略進行身份控制答案：A212.想要實現安全策略中“反病毒功能”,必須要進行License激活。A、正確B、錯誤答案：A213.部署在不同物理資源池的同——VPC網絡的兩個子網默認不能互訪。A、正確B、錯誤答案：A214.流量型攻擊從攻擊層面可以分為網絡層攻擊和應用層攻擊。A、正確B、錯誤答案：A215.以下關于網絡誘捕技術的描述，錯誤的是哪一項？A、網絡誘捕能夠干擾攻擊的信息收集過程，暴露攻擊者的意圖。B、網絡誘捕技術在識別到攻擊事件后，能夠直接將攻擊源快速隔離，在攻擊造成破壞前阻斷威脅，保護真實系統。C、網絡誘捕系統利用網絡混淆技術，通過展現虛假資源，欺騙網絡探測行為，從而發現攻擊者。D、網絡誘捕的優勢在于能夠提前防御威脅、客戶損失小。答案：B216.管理員希望清楚當前會話表。以下哪個命令是正確的?A、clearfirewallsessiontableB、resetfirewallsessiontableC、displayfirewallsessiontableD、displaysessiontable答案：B217.下列哪種狀態表示已經成功建立？A、DownB、InitC、UpD、Admin答案：C218.以下關于入侵防御特征庫升級方式的描述,錯誤的是哪項?A、在線升級方式包括定時升級和立即升級兩種方式。B、本地升級方式包括定時升級和立即升級兩種方式。C、可以通過在線升級方式升級特征庫。D、可以通過本地升級方式升級特征庫。答案：B219.下列哪項不屬于HCIE-Security課程中的內容？A、信息安全等級保護B、代碼審計C、Web安全D、病毒防范答案：B220.以下信息不能通過namp工具掃描出來的是哪幾項？A、端口B、系統漏洞C、操作系統服務D、服務答案：B221.態勢感知技術基于綜合分析網絡異常流量，而不進行單點檢測。A、正確B、錯誤答案：A222.分布式蜜罐技術將欺騙散布在網絡的正常系統和資源中,利用閑置的服務端口來充當欺騙,從而增大了入侵者遭遇欺騙的可能性。A、正確B、錯誤答案：A223.以下哪項不屬于網絡層安全或脅?A、釣魚攻擊B、DDoS攻擊C、IPSpoofingD、IP地址掃描答案：A224.在華為USG6000防火墻上導入ISP地址文件后，指定出接口與某個運營商名稱關聯，則防火墻會批量生成到此運營商網絡的ISP路由，以下哪些選項對這種路由的描述是正確的？A、源地址是ISP地址文件中的IP地址。B、下一跳是運營商網絡的設備的地址。C、在路由表中顯示的協議類型為UNR（usernetworkroute）。D、路由優先級為60答案：C225.在CIS系統工作流程中,數據采集后就會進入大數據處理階段的描述,錯誤的是哪一項?A、數據預處理負責對采集器上報的歸一化日志和流探針上報的流量元數據進行格式化處理。B、分布式存儲負責對格式化后的數據進行存儲。C、分希式索引負責對關鍵的式化數據建立索引。D、大數據處理完成直接可以進行威肋聯動聯動相關安全設備對數據進行威脅檢測。答案：D226.以下關于等保2.0基本要求的描述，不正確的是哪一項？A、安全計算環境的內容包括身份鑒別、訪問控制，入侵防范、惡意代碼防范、可信驗證、數據完整性、數據備份恢復。B、安全區域邊界內容包括邊界防護、訪問控制、可信驗證。C、安全運維管理內容包括環境管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理，備份與恢復管理、安全事件處理。D、安全管理機構的主要內容包括人員錄用、人員高崗、安全意識教育和培訓、外部人員訪問管理。答案：D227.以下對云數據中心中安全設備功能的描述,錯誤的是哪一項?A、Anti-DDoS可以為威脅DCN的DDoS攻擊提供檢測及流量清洗服務B、NGFW提供安全隔離、非法訪問防護和訪問權限管理等C、WAF可以對靜態頁面防篡改、阻斷S0L注入,XSS攻擊D、CIS可以提供全統一的網絡運維、管理及審計能力答案：D228.HiSecInsight可以根據IPs簽名庫檢測,同時可以對命令注入攻擊進行檢測,檢測請求體中攜帶系統命令(ping,echo,netstat等)A、正確B、錯誤答案：A229.RADIUS協議采用以下哪種類型報文？A、IGMPB、UDPC、ICMPD、TCP答案：B230.以下哪項不屬于信息安全標準？A、ISO27001B、ITSECC、網絡安全法D、信息安全等級保護答案：C231.文件過濾是一種根據文件內容對文件進行過濾的安全機制。A、正確B、錯誤答案：B232.服務器負載均衡技術利用Server-map表和會話表實現虛擬服務器和實服務器的映射,請問生成的是什么類型的server-map表?A、NATNO-PATB、轉發QQ/MSN、TFP等STUN類型協議C、靜態Server-map表D、動態Server-map表答案：C233.數據脫敏按照架構可分為兩大類,靜態教據屏蔽和動態數據屏蔽,動態數據屏弊主要應用在非生產環境(例如測試環境、開發環境)、非實時的數據屏弊場景中。A、正確B、錯誤答案：B234.沙箱和防火墻聯動防范病毒，當未知病毒文件第一次被沙箱檢測時，防火墻不能及時阻斷該文件的傳輸。A、正確B、錯誤答案：B235.以下關于黑洞路由的描述，錯誤的是哪一項？A、配置目的NAT，為了防止路由環路，需要配置到轉換目的IP地址的黑洞路由。B、黑洞路由配置會消耗設備CPU處理資源。C、當NAT地址池地址與公網接口地址不在同一網段時，必須配置黑洞路由。D、黑洞路由的配置命令行：iproute-static[ip-address]NULL0。答案：B236.對云端進行等保測評，以下哪一個步驟的完成標志著等保評測工作的結束。A、等級評測B、建設整改C、系統備案D、系統定級答案：A237.在云數據中心網絡中，Anti-DDoS設備部署在下列哪個區域？A、安全計算區B、安全存儲區C、邊界網絡區D、安全運維區答案：C238.以下哪一項不屬于RADIUS協議的特點?A、只是對認證報文中的密碼字段進行加密B、認證與授權一起處理C、適于進行安全控制D、認證和計費默認端口號是1812和1813,或者1645和1646答案：C239.以下關于URL過濾和DNS過濾的描述,錯誤的是哪一項?A、DNS過濾對設備性能影響更大。B、DNS過濾是在域名解析階段進行控制。C、URL過濾是在發起HTTP/HTTPS的URL請求階段進行控制。D、DNS過濾能夠對該域名對應的所有服務進行控制。答案：A240.如下圖使用旁路方式部署AntiDDos系統時，采用BGP引流+UNR路由的方式。圖中的P1~P5為設備的端口編號，如果沒有在R2的策略將清洗的流量引導至P5，將會發生什么問題？

A、待檢測流量被清洗設備丟棄B、待檢測流量到不了檢測設備C、待檢測設備清洗后會被再次發往清洗設備D、待檢測流量不能被正常清洗答案：C241.信息安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地是A、正確B、錯誤答案：B242.以下屬于應用層流量型攻擊的是哪一項？A、TCPfloodB、HTTPfloodC、CSRFD、XSS答案：B243.以下哪一項不屬于CIS自身能夠檢測出的惡意代碼類型?A、C&C攻擊的檢測B、SYNFlood攻擊的檢測C、蠕蟲攻擊的檢測D、DGA攻擊的檢測答案：B244.作為網絡管理員，如果想通過查看WAF上的日志了解Web攻擊的安全事件，需要查看以下哪些日志？A、操作日志B、應用防護日志C、防篡改日志D、系統日志答案：B245.以下關于帶寬管理的描述,不正確的是哪一項?A、開啟帶寬管理功能會占用設備的CPU資源。B、如果帶寬管理與源NAT功能同時使用,則配置帶寬策略的源地址匹配條件時應指定轉換前的地址。C、如果帶寬管理與NATServer功能同時使用,則配置帶寬管理策略的目的地址時應指定的是轉換前的地址。D、保證帶寬和轉發優先級功能只能對流經防火墻的流量產生作用。答案：C246.在WAF縱深防御體系中，以下哪個選項屬于內容安全檢查的范疇？A、網絡爬蟲檢查B、安全基線的設置C、敏感言論的提交D、SQL注入攻擊答案：C247.華為LogCenter產品采用分布式部署組網時，日志采集器和分析器安裝在不同的物理服務器上，一臺分析器最多可管理多少臺采集器？A、13B、14C、15D、16答案：C248.1.確定目標，2.內網轉發，3.內網滲透，4.痕跡清除，5.信息收集，6.漏洞探測，7.漏洞利用，8.撰寫測試報告，以下對于滲透流程理解正確的是哪一項？A、1-5-6-7-3-2-4-8B、1-5-6-7-4-2-3-8C、1-5-6-7-2-3-4-8D、1-5-2-3-4-6-7-8答案：C249.有關實現業務安全韌性的方法，以下錯誤的是哪一項？A、通過態勢感知等技術實現主動安全。B、根據ISP/IEC15408/CC規劃業務安全。C、通過部署以威脅為中心的安全體系，實現被動安全。D、通過部署防火墻等安全設備就能實現被動防御。答案：D250.DNS透明代理對每一個DNS請求都會做一次檢查？A、正確B、錯誤答案：B251.中間人攻擊屬于數據安全威脅。A、正確B、錯誤答案：A252.下列哪項標準或條例對隱私保護做了規范要求？A、信息安全等級保護B、ITSECC、GDPRD、ISO27000答案：C253.防火墻使用下列哪個攻能與沙箱聯動防范病毒A、黑名單B、入侵檢測與防御C、APT防御D、反病毒答案：C254.華為云能夠為租戶提供的安全服務不包括下列哪一項?A、DDos防護B、漏洞掃描C、代碼審計D、數據加密答案：C255.以下關于安全防護的描述，正確的是哪一項？A、當FW部署在NAT設備后面時，可能會出現大量同一源IP地址訪問不同端口的。流量，此種場景下不能開啟端口掃描攻擊防范功能。B、當FW工作在透明模式時，可以開啟IP欺騙攻擊防范功能。C、以太網接口接收的報文，不可以綁定其源IP地址與MAC地址的對應關系。D、ASPF功能不會影響設備性能。答案：A256.在IPSecVPN中，以下哪個報文信息不存在？A、AH報文頭B、AH報文尾C、ESP報文頭D、ESP報文尾答案：B257.沙箱無法跟下列哪個設備聯動反病毒?A、交換機B、CISC、防火墻D、路由器答案：D258.針對SYNFlood的TCP代理功能只能應用在報文來回路徑一致的場景中，如果來回路徑不一致，TCP源認證防御SYNFlood攻擊的情況也是如此？A、正確B、錯誤答案：B259.在CIS系統工作流程中，數據采集后就會進入大數據處理階段，下列對大數據處理階段的描述，錯誤的是哪一項？A、數據預處理負責對采集器上報的歸一化日志和流探針上報的流量元數據進行格式化處理。B、分布式索引負責對關鍵的格式化數據建立索引。C、大數據處理完成直接可以進行威脅聯動，聯動相關安全設備對數據進行威脅檢測。D、分布式存儲負責對格式化后的數據進行存儲。答案：C260.網絡擴展功能建立SSLVPN隧道的方式有兩種可靠傳輸模式和快速傳輸模式。下列對于這兩種方式描述錯誤的是哪項？A、可靠傳輸模式中，SSLVPN采用SSL協議封裝報文，并以TCP協議作為傳輸協議。B、快速傳輸模式中，SSLVPN采用QUIC（QuickUDPInternetConnections）協議封裝報文，并以UDP協議作為傳輸協議C、可靠傳輸模式中，遠端用戶在傳輸數據前需要與虛擬網關建立SSLVPN隧道。D、快速傳輸模式中，遠端用戶在傳輸數據前不需要與虛擬網關建立SSLVPN隧道。答案：D261.可以通過在IPV6換口下配置ND報文的時間戳參數來防范ND報文重放攻擊。A、正確B、錯誤答案：A262.在活動目錄(AD)架構中,以下哪項是網絡接入服務器的功能?A、防火墻B、計費服務器C、認證服務器D、客戶端答案：A263.目前DDoS主要攻擊趨勢是控制大量的P℃主機來對特定目標發動攻擊。A、正確B、錯誤答案：A264.在L2TPoverIPSec應用場景中，華為USG6000產品會對原始數據報文先使用IPsec進行封裝，再用L2TP封裝該數據報文。A、正確B、錯誤答案：B265.日志格式具有多樣性，目前國際上尚未制定出統一的日志格式標準，不同的廠商根據自身的需求制定相應的日志格式？A、正確B、錯誤答案：A266.對數據進行匿名化和假名化處理,降低了數據隱私泄露風險的同時,也將會降低數據的可用性。A、正確B、錯誤答案：A267.以下關于華為云安全構架的網絡層防護規劃的描述，不正確的是哪項?A、云端網絡邊界通過DDoS防御保護業務可用性。B、租戶間可以通過安全組網絡隔離。C、云端網絡邊界防護DDoS只能通過部署Anti-DDoS設備來實現。D、華為云與客戶網絡之間通過防火墻實現安全隔離。答案：C268.構造錯誤的查詢語句,從數據庫中的錯誤提示中獲取關鍵信息,是SQL注入常角手段。A、正確B、錯誤答案：A269.日志在運維故障中的作用是指運維人員采用網絡追蹤源技術,調取并分析時間發生前后一段時間的日志。可以發現攻擊者的一系列行為及攻擊手段A、正確B、錯誤答案：B270.IT管理員和開發人員不希望未經授權的人員訪問網絡資源，可以通過準入控制實現網絡訪問控制。A、正確B、錯誤答案：A271.單點登錄提供的服務是，用戶訪問每種服務都要進行注冊登錄，并且需要依次單獨退出？A、正確B、錯誤答案：B272.IPv6可以使用AH或ESP擴展報頭保障報文的安全。A、正確B、錯誤答案：A273.在廣電方案中,防火墻部署在網絡出口處的主要功能不包括下列哪一項?A、準入控制B、NATC、安全管理D、多出口智能選路答案：A274.會話認證是指訪問者不主動進行身份認證,先進行HTTP業務訪問,在訪問過程中自動觸發認證。認證通過后,再進行業務訪問。A、正確B、錯誤答案：A275.態勢感知技術基于大數據綜合分析網絡異常流量,而不是進行單點檢測A、正確B、錯誤答案：A276.如果是首次在網絡中部署WAF設備,對于WAF配置流程的排序,正確的選項是哪一個?

1)查看日志,了解網絡中的安全事件。

2)增加保護站點。

3)自定義規則組。

4)上線后策略調整。A、(3)-(2)-(1)-(4)B、(1)-(3)-(2)-(4)C、(1)-(2)-(3)-(4)D、(3)-(1)-(2)-(4)答案：C277.以下哪種行為不需要強制遵守GDPR?A、公司位于法國境內，只針對中國客戶提供服務。B、公司位于美國境內，只針對法國客戶提供服務。C、公司位于中國境內，只針對法國客戶提供服務。D、公司位于美國境內，只針對中國客戶提供業務。答案：C278.單點登錄中防火墻是用戶認證點。A、正確B、錯誤答案：B279.以下哪些選項不可以作為策略路由的匹配條件？A、源安全區域B、入接口C、DSCP優先級D、下一跳地址答案：D280.歐洲TCSEC準則分為功能和評估兩個模塊,主要應用在軍隊、政府和商業領域A、正確B、錯誤答案：B281.以下關于安全設計方案的描述,錯誤的一項?A、通過安全域的劃分,將信息資源劃分為計算環境,區域邊界，通信網絡個方面進行安全防護設計，體現層層描述，逐級深入的安全防護理念。B、參考等級保護進行安全防護體系建設，根據國家《網絡安全等級保護基本要求》進行安全防護措施設計和對照檢查。C、在金融網絡中，網絡管理系統和業務可以劃分到同一個安全區域，實現相同的安全保護。D、堅持管理與技術并重，從人員，管理，安全技術手段等多方面著手，建立綜合防范機制，實現整體安全。答案：C282.以下哪一項不是單點登錄的優點？A、賬號可以分區授權B、一定程度上增加了安全性C、無需多個賬號密碼D、提高用戶效率答案：A283.如所示,防火墻上配置了natserverglobalinside,以下針對域間規則,配置正確的是:A、rulenamecB、rulenamedC、security-policyD、rulenameb答案：B284.當使用單機部署堡壘機無法滿足超高并發的訪問時,可以采用堡壘機分布式集群部署方案,將服務分發到各節點,提高吞吐量。A、正確B、錯誤答案：A285.數據中心網絡的防火墻安全策略較多,管理員開啟了策略備份加速功能,此時修改安全策略的源地址匹配條件,可以立即生效。A、正確B、錯誤答案：B286.以下哪種安全威脅屬于應用安全威脅?A、中間人攻擊B、用戶身份未經驗證C、病毒、木馬D、網絡入侵答案：C287.以下關于運維安全的描述,錯誤的是哪個選項?A、通過安全策略管理系統對安全策略進行統一管理。B、堡壘機對運維人員的運維操作進行全面記錄,并且可以按照安全策略,檢驗和審查運維人員操作,發現違法行為。C、劃分特定的運維管理區域,通過專門的運維系統對安全設備進行統一運維,并且對運維人員的操作日志進行相應審計。D、對異地遠程運維場景,外網運維人員通過L2TPVPN隧道安全接入內網,登錄堡壘機系統進行統一運維操作。答案：D288.以下關于信息安全管理體系ISMS的描述,不正確的一項是?A、ISMS和等級保護的共同之處有都可以加強對信息安全保障工作、對安全管理的要求有相同點、能夠相互促進與補充。B、ISMS的規劃設計包括建立階段、事實和運行階段、監視和評審階段、保持和改進階段。C、ISMS的實施過程包括規劃和設計、建立、實施和運行、監視和評審4個階段。D、信息安全管理體系實施就是指信息安全管理體系的建立。答案：D289.虛擬系統和VPN實例關系，以下哪個選項的描述是錯誤的？A、創建虛擬系統時，會自動生成相同名字的VPN實例。B、虛擬系統底層轉發依賴于自動生成的VPN實例，上層配置業務時無需與vpn實例掛鉤。C、自動生成的VPN實例和手工配置的VPN實例一樣，都需要在接口下綁定vpn實例。D、管理員也可使用ipvpn-instance命令手動創建VPN實例，用于路由隔離。答案：C290.APT攻擊可以利用基于特性的檢測方法進行識別A、正確B、錯誤答案：B291.有關華為實現業務安全韌性的方法,以下哪一項是錯誤的?A、采用AI技術彌補威脅防御的滯后性。B、通過關聯分析與協同聯防方式實現主動安全。C、摒棄傳統被動的網絡威脅防御方式,以業務為中心實現安全韌性。D、通過部署主動安全與被動防御,防范網絡攻擊鏈各個階段的攻擊。答案：C292.以下選項中哪一項不是網絡掃描的主要目的？A、服務識別B、主機發現C、數據解密D、端口掃描答案：C293.華為UMA產品可采用邏輯串聯的方式部署，關于這種部署方式，下列哪種說法是錯誤的？A、邏輯模式：人->從賬號->授權->主賬號->目標系統。B、主賬號為UMA賬號，與運維人員一一對應。C、從賬號為目標系統賬號，無需與人員一一對應，普通運維人員可以不感知。D、用戶Web登錄UMA，不需要在終端安裝客戶端，不改變原有操作習慣。答案：A294.在廣電方案中，防火墻部署在網絡出口處的主要功能不包括下列哪一項？A、NATB、準入控制C、安全管理D、多出口智能選路答案：B295.華為入侵防御設備的IPS功能不受License的控制。A、正確B、錯誤答案：B296.以下哪個選項是針對社會工程學的有效應對手段?A、防止信息的泄露以及控制信息的發布。B、員工在公開場合談論公司機密信息。C、做好資產管理即可,人員管理跟網絡安全無關。D、禁止向公網發布任何企業信息。答案：A297.以下關于iptables表功能的描述,錯誤的是哪一項?A、NAT表:地址轉換的功能。B、Raw表:決定數據包是否被狀態跟蹤機制處理。C、Mangle表:修改安全策略D、Filter表:數據包中允許或者不允許的策略。答案：C