PAGEPAGE1華為認證安全方向HCIP-SecurityH12-725V4.0更新題庫匯總（含答案）一、單選題1.以下關于滲透測試中黑盒測試的描述，錯誤的是哪一項？A、測試覆蓋率較低。一般只能覆蓋到代碼的30%B、可以提高代碼的質量，發現代碼中隱藏的問題C、更貼近用戶的實際使用場景D、測試過程較為簡單，不需要了解程序內部的代碼結構及特性答案：B解析：本題考察對黑盒測試的理解。黑盒測試是一種測試方法，它不需要了解程序內部的代碼結構及特性，只關注程序的輸入和輸出，從用戶的角度出發，模擬用戶的操作，測試程序的功能是否符合需求。因此，選項A、C、D都是黑盒測試的特點。而選項B是錯誤的，因為黑盒測試并不能提高代碼的質量，它只能發現代碼中隱藏的問題，但并不能解決這些問題。因此，答案是B。2.以下哪一項不屬于畸形報文攻擊？A、WinNuke攻擊B、PingofDeath攻擊C、超大ICMP報文攻擊D、IP欺騙攻擊答案：D解析：本題考察的是畸形報文攻擊的相關知識。畸形報文攻擊是指攻擊者通過構造特定的畸形報文，利用系統漏洞或者網絡協議的缺陷，使目標系統崩潰或者無法正常工作，從而達到攻擊的目的。A.WinNuke攻擊：是一種針對Windows系統的攻擊方式，攻擊者通過向目標系統發送特定的TCP包，使其崩潰或者死機。B.PingofDeath攻擊：是一種利用ICMP協議的攻擊方式，攻擊者通過發送超大的ICMP包，使目標系統崩潰或者死機。C.超大ICMP報文攻擊：是一種利用ICMP協議的攻擊方式，攻擊者通過發送大量的ICMP包，使目標系統的網絡帶寬被占滿，從而導致網絡擁塞或者崩潰。D.IP欺騙攻擊：不屬于畸形報文攻擊，它是一種利用網絡協議的漏洞或者缺陷，偽造IP地址，欺騙目標系統的攻擊方式。綜上所述，答案為D。3.以下關于華為入侵防御特性配置流程的排序，正確的是哪一項？A、配置入侵防卸文件-＞升級特征庫-＞配置簽名-＞驗證與檢查B、升級特征庫-＞配置入侵防御文件-＞配署簽名-＞驗證與檢查C、配置簽名-＞升級特征庫-＞配置入侵防御文件-＞驗證與檢查D、升級特征庫-＞配置簽名-＞配置入侵防御文件-＞驗證與檢查答案：D解析：本題考察的是華為入侵防御特性配置流程的正確排序。根據選項，我們可以將每個步驟的含義簡單概括如下：A.配置入侵防卸文件：配置入侵防御的卸載文件升級特征庫：升級入侵防御特征庫配置簽名：配置入侵防御的簽名驗證與檢查：驗證和檢查入侵防御的配置是否正確B.升級特征庫：升級入侵防御特征庫配置入侵防御文件：配置入侵防御的文件配署簽名：部署入侵防御的簽名驗證與檢查：驗證和檢查入侵防御的配置是否正確C.配置簽名：配置入侵防御的簽名升級特征庫：升級入侵防御特征庫配置入侵防御文件：配置入侵防御的文件驗證與檢查：驗證和檢查入侵防御的配置是否正確D.升級特征庫：升級入侵防御特征庫配置簽名：配置入侵防御的簽名配置入侵防御文件：配置入侵防御的文件驗證與檢查：驗證和檢查入侵防御的配置是否正確根據華為官方文檔，正確的配置流程應該是先升級特征庫，再配置簽名，最后配置入侵防御文件，最后進行驗證和檢查。因此，正確答案為D。4.以下哪一項不是URL的匹配方式？A、精確匹配B、模糊匹配C、前綴匹配D、后綴匹配答案：B解析：本題考察的是URL的匹配方式。URL匹配方式主要有精確匹配、前綴匹配和后綴匹配三種。其中，精確匹配是指URL完全匹配，前綴匹配是指URL以某個字符串開頭匹配，后綴匹配是指URL以某個字符串結尾匹配。而模糊匹配并不是URL的匹配方式，因此選項B是本題的正確答案。5.以下關于Eth-Trunk特點的描述，錯誤的是哪項？A、Eth-Trunk可以是二層接口，也可以是三層接口B、Eth-Trunk是一個邏輯接口C、Eth-Trunk成員鏈路最少為2個D、Eth-Trunk活動鏈路最少為1個答案：C解析：本題考察對于Eth-Trunk的特點的理解。根據題目描述，選項A正確，因為Eth-Trunk可以是二層接口，也可以是三層接口；選項B正確，因為Eth-Trunk是一個邏輯接口，它可以將多個物理接口捆綁成一個邏輯接口，提高鏈路帶寬和可靠性；選項D正確，因為Eth-Trunk活動鏈路最少為1個，即至少有一個物理接口處于工作狀態。因此，選項C是錯誤的，因為Eth-Trunk成員鏈路最少為2個，即至少需要兩個物理接口才能組成一個Eth-Trunk。因此，本題答案為C。6.針對SIPFlood攻擊，華為防火堰能采取以下哪一項的防范技術？A、源探測B、指紋防范C、首包丟棄D、限流答案：A解析：SIPFlood攻擊是一種利用SessionInitiationProtocol（SIP）協議的洪水攻擊，攻擊者發送大量的SIP請求，使得服務器無法處理正常的請求。為了防范這種攻擊，華為防火墻可以采取以下幾種技術：A.源探測：源探測技術可以檢測到SIPFlood攻擊的源IP地址，并將其列入黑名單，從而防止攻擊者繼續發起攻擊。B.指紋防范：指紋防范技術可以識別SIPFlood攻擊的特征，例如攻擊者使用的SIP消息類型、SIP消息的大小等，從而防止攻擊者繼續發起攻擊。C.首包丟棄：首包丟棄技術可以丟棄SIPFlood攻擊的第一個請求包，從而防止攻擊者繼續發起攻擊。D.限流：限流技術可以限制SIPFlood攻擊的流量，從而防止服務器被過多的請求包淹沒。綜上所述，針對SIPFlood攻擊，華為防火墻可以采取多種防范技術，其中源探測技術是一種有效的防范手段。7.以下哪一項是入侵防御特征庫中包含的簽名？A、例外簽名B、自定義簽名C、預定義簽名D、簽名過濾器答案：C解析：8.某企業的業務形態復雜，橫塊之間使用多種協議進行通信，為確保通信數據安全，防止第三方竊取關健數據信息，應該盡量避免使用以下哪一通信協議？A、SSHB、SFTPC、HTTPSD、HTTP答案：D解析：本題考察的是通信協議的安全性。SSH、SFTP和HTTPS都是安全的通信協議，可以保證通信數據的安全性。而HTTP協議是明文傳輸的，數據容易被第三方竊取，因此不安全。因此，為確保通信數據安全，防止第三方竊取關鍵數據信息，應該盡量避免使用HTTP協議，故選D。9.如圖所示，以下關于基于透明模式雙機熱備描述，錯誤的是哪項？A、由于防火墻的業務接口工作在二層，因此不能運行與IP地址相關的業務B、在此組網中，防火墻透明接入到原有交換機網絡，不改變網絡拓撲C、推薦該組網以負載分擔方式工作，分擔用戶流量D、默認情況下，不會根據VGMP組狀態調整任何VLAN的狀態答案：C解析：本題考察基于透明模式雙機熱備的相關知識點。A選項描述的是基于透明模式雙機熱備的限制，因為防火墻的業務接口工作在二層，所以不能運行與IP地址相關的業務，這是正確的。B選項描述的是基于透明模式雙機熱備的特點，防火墻透明接入到原有交換機網絡，不改變網絡拓撲，這是正確的。C選項描述的是基于透明模式雙機熱備的推薦工作方式，即以負載分擔方式工作，分擔用戶流量，這是錯誤的。基于透明模式雙機熱備的推薦工作方式是以主備方式工作，即主設備負責處理所有的流量，備設備處于備份狀態，不處理流量。D選項描述的是基于透明模式雙機熱備的默認行為，即不會根據VGMP組狀態調整任何VLAN的狀態，這是正確的。綜上所述，本題的答案是C。10.RADIUS協議支持認證、授權和計費功能，RADIUS服務器是通過以下哪一報文下發授權的？A、Access-RequestB、Access-AcceptC、Accounting-ResponseD、Accounting-Request答案：B解析：本題考查RADIUS協議的認證、授權和計費功能。RADIUS協議是一種用于網絡訪問控制的協議，支持認證、授權和計費功能。在RADIUS協議中，當客戶端請求訪問網絡資源時，會向RADIUS服務器發送Access-Request報文，RADIUS服務器會對該請求進行認證和授權，并向客戶端發送Access-Accept或Access-Reject報文。因此，選項A和D都不是下發授權的報文。Accounting-Request報文是用于計費的報文，而不是下發授權的報文。因此，正確答案是B，即RADIUS服務器是通過Access-Accept報文下發授權的。11.如圖所示，FW_A與FW_B建立IPSec隧道，在FW_A上執行命今displayikesa，得到信息如下:(FWA＞displayikesaCurrentikesanumber:0以下哪一項不是IPSec隧道建立失敗的可能原因?A、到IKE對等體的路由不可達B、兩端ACL沒有交集C、本端的“對端網關”和對端的“本地地址”不匹配D、加密算法不一致答案：B解析：根據題目描述，FW_A與FW_B建立IPSec隧道，在FW_A上執行命今displayikesa，得到信息如下，但是沒有提供IPSec隧道建立失敗的具體原因。因此，需要根據選項分析，哪一項不是IPSec隧道建立失敗的可能原因。A.到IKE對等體的路由不可達：如果IKE對等體的路由不可達，那么IPSec隧道無法建立，因此這是IPSec隧道建立失敗的可能原因之一。B.兩端ACL沒有交集：如果兩端ACL沒有交集，那么IPSec隧道無法建立，因此這是IPSec隧道建立失敗的可能原因之一。C.本端的“對端網關”和對端的“本地地址”不匹配：如果本端的“對端網關”和對端的“本地地址”不匹配，那么IPSec隧道無法建立，因此這是IPSec隧道建立失敗的可能原因之一。D.加密算法不一致：如果加密算法不一致，那么IPSec隧道無法建立，因此這是IPSec隧道建立失敗的可能原因之一。綜上所述，根據選項分析，不是IPSec隧道建立失敗的可能原因是B選項，即兩端ACL沒有交集。因此，B選項是本題的答案。12.帶寬通道定義了具體的帶寬資源，是進行帶寬管理的基礎。以下哪一項是帶寬通道中可以定義的資源？A、帶寬策略B、每日流量配額C、出口帶寬限制D、策略獨占答案：D解析：本題考察的是帶寬通道中可以定義的資源。帶寬通道是進行帶寬管理的基礎，它定義了具體的帶寬資源。在帶寬通道中，可以定義多種資源，包括帶寬策略、每日流量配額、出口帶寬限制和策略獨占等。根據題目要求，需要選擇其中可以定義的資源，因此選項A、B、C和D都是可能的答案。但是，根據華為安全最新H12-725考試的相關知識點，策略獨占是一種可以在帶寬通道中定義的資源，因此正確答案是D。13.如圖所示為HTTPFlood的防御原理，請問圖中顯示的是哪一種源探測技術？A、302重定向模式B、基本模式C、URI監測D、增強模式答案：D解析：這道題目考察的是HTTPFlood攻擊的防御原理中的源探測技術。根據圖中所示，可以看到防御原理采用了增強模式來進行源探測技術的防御。增強模式是一種源探測技術，它可以通過對HTTP請求進行分析，識別出惡意請求的源IP地址，并將其加入到黑名單中，從而防止攻擊者繼續發起攻擊。增強模式的優點是可以有效地防御各種類型的HTTPFlood攻擊，包括GETFlood、POSTFlood、Slowloris等攻擊。相比之下，其他選項都不是源探測技術。302重定向模式是一種重定向技術，可以將惡意請求重定向到其他頁面，從而減輕服務器的負載。基本模式和URI監測都是基于規則的防御技術，可以通過設置規則來防御HTTPFlood攻擊。但是，這些技術都比較容易被攻擊者繞過，因此不如增強模式有效。因此，本題的正確答案是D，即增強模式。14.IPSec使用證書認證時，需要驗證對端證書的合法性，以下哪項不是驗證證書合法性需要考慮的因素？A、證書是否由同一方式申請B、證書是否位于有效期C、證書是否位于CRL存儲庫中D、證書是否由同一CA頒發答案：D解析：IPSec使用證書認證時，需要驗證對端證書的合法性，以確保通信的安全性。在驗證證書合法性時，需要考慮以下因素：A.證書是否由同一方式申請：驗證證書是否是由合法的申請者申請的，以確保證書的真實性和可信度。B.證書是否位于有效期：驗證證書是否在有效期內，以確保證書的有效性和可信度。C.證書是否位于CRL存儲庫中：驗證證書是否被吊銷，以確保證書的可信度和安全性。D.證書是否由同一CA頒發：這個選項不是驗證證書合法性需要考慮的因素，因為證書是否由同一CA頒發并不影響證書的真實性和可信度。因此，答案為D。15.以下哪一項是防火墻虛擬系統正確的用戶名格式？A、虛擬系統名管理員名B、管理員名虛擬系統名C、管理員名虛擬系統名D、虛擬系統名管理員名答案：B解析：本題考察防火墻虛擬系統的用戶名格式。防火墻虛擬系統的用戶名格式為“管理員名虛擬系統名”，其中“”表示分隔符，用于區分管理員名和虛擬系統名。因此，正確答案為B。選項A中虛擬系統名和管理員名的順序顛倒；選項C中缺少分隔符；選項D中虛擬系統名和管理員名的順序顛倒。因此，這些選項都不是防火墻虛擬系統正確的用戶名格式。16.以下哪一項資源屬于給虛擬系統分配的定額資源？A、策略數B、VLANC、接口D、安全區域答案：D解析：本題考察的是虛擬系統中的定額資源。虛擬系統是華為防火墻中的一種虛擬化技術，可以將一個物理防火墻劃分為多個邏輯防火墻，每個虛擬系統都有自己的配置和管理。定額資源是指在虛擬系統中為每個虛擬系統分配的資源數量，包括接口、安全區域、策略數等。根據題目所述，屬于給虛擬系統分配的定額資源的選項是D，即安全區域。因此，本題的答案是D。選項A、B、C都是虛擬系統中的資源，但不屬于定額資源。17.在Linux主機上查看是否存在異常的任務計劃（非用戶自行設定），可使用以下哪一個命令？A、crontab-umysqlB、crontab-eC、crontab-rD、crontab-l答案：D解析：本題考查Linux主機上查看是否存在異常的任務計劃的命令。選項A的命令是查看mysql用戶的任務計劃，不符合題意；選項B的命令是編輯當前用戶的任務計劃，也不符合題意；選項C的命令是刪除當前用戶的任務計劃，更不符合題意。因此，正確答案為D，即使用“crontab-l”命令可以列出當前用戶的任務計劃，從而查看是否存在異常的任務計劃。18.以下哪一項不是策略路由的匹配條件?A、源安全區域B、源IP地址C、源端口號D、DSCP優先級答案：C解析：策略路由是一種基于特定條件的路由選擇方式，可以根據不同的匹配條件來選擇不同的路由策略。在給出的選項中，源安全區域、源IP地址和DSCP優先級都可以作為策略路由的匹配條件，而源端口號不是策略路由的匹配條件。因此，選項C是本題的正確答案。19.Portal認證場景中，當采用iMasterNCE-Campus作為Portal服務器，華為無線控制器為接入設備時，無線控制器處理Portal協議報文的端口號默認為以下哪一個？A、50200B、1813C、2000D、1812答案：C解析：在Portal認證場景中，當采用iMasterNCE-Campus作為Portal服務器，華為無線控制器為接入設備時，無線控制器處理Portal協議報文的端口號默認為2000。解析：在華為無線控制器和iMasterNCE-Campus之間進行Portal認證時，無線控制器作為接入設備，需要向Portal服務器發送認證請求。此時，無線控制器會使用默認的端口號2000來處理Portal協議報文。因此，答案為C。20.以下哪項參數不是全局選路策略分類的條件？A、端口號B、帶寬C、權重D、質量答案：A解析：本題考查的是全局選路策略分類的條件。全局選路策略是指在網絡中，根據一定的條件和算法，選擇最優的路徑進行數據傳輸。而全局選路策略分類的條件包括帶寬、權重、質量等，而不包括端口號。因此，本題的正確答案是A。選項解析：A.端口號：端口號是指在網絡通信中，用于標識不同應用程序或服務的數字標識符。但是，它并不是全局選路策略分類的條件。B.帶寬：帶寬是指網絡傳輸數據的速率，是全局選路策略分類的條件之一。C.權重：權重是指在多條路徑中，為每條路徑分配的優先級，是全局選路策略分類的條件之一。D.質量：質量是指網絡傳輸數據的可靠性和穩定性，是全局選路策略分類的條件之一。21.以下關于HTTPFlood防御的描述，錯誤的是哪項？A、如果攻擊過程中使用的免費代理支持重定向功能，會導致基本模式的防御失效B、源認證防御方式是防御HTTPFlood最常用的手段，這種防御方式適用于客戶端為瀏覽器的HTTP服務器場景C、基于增強模式的防御可以通過讓用戶輸入驗證碼，由此判斷TTP訪問是否由真實的用戶發起D、基于基本模式的防御無法有效阻止來自非瀏覽器客戶端的訪問答案：D解析：本題考察的是HTTPFlood防御的相關知識點。以下是各選項的解析：A.如果攻擊過程中使用的免費代理支持重定向功能，會導致基本模式的防御失效。這是正確的描述，因為基本模式的防御是通過限制每個IP地址的最大連接數來實現的，而使用免費代理可以繞過這種限制。B.源認證防御方式是防御HTTPFlood最常用的手段，這種防御方式適用于客戶端為瀏覽器的HTTP服務器場景。這是錯誤的描述，因為源認證防御方式并不是防御HTTPFlood最常用的手段，而且它只適用于一些特定的HTTP服務器場景。C.基于增強模式的防御可以通過讓用戶輸入驗證碼，由此判斷HTTP訪問是否由真實的用戶發起。這是正確的描述，因為增強模式的防御是通過讓用戶輸入驗證碼或者進行其他人機驗證來判斷HTTP訪問是否由真實的用戶發起的。D.基于基本模式的防御無法有效阻止來自非瀏覽器客戶端的訪問。這是錯誤的描述，因為基本模式的防御可以通過限制每個IP地址的最大連接數來防止來自非瀏覽器客戶端的訪問。綜上所述，本題的錯誤選項是D。22.在滲透測試過程中，以下哪一項工具常被用于端口掃描?A、AircrackB、TracertC、NmapD、Wireshark答案：C解析：在滲透測試過程中，端口掃描是一項非常重要的任務，因為它可以幫助測試人員發現目標系統上開放的端口和服務，從而確定攻擊面和攻擊方式。在這個過程中，常用的工具是Nmap。Aircrack是一個用于破解無線網絡密碼的工具，Tracert是一個用于跟蹤網絡數據包路徑的工具，Wireshark是一個用于網絡協議分析的工具，它們都不是專門用于端口掃描的工具。因此，正確答案是C，即Nmap。23.以下哪個不是文件類型識別結果的異常情況A、文件擴展名不匹配B、文件類型無法識別C、文件損壞D、文件被壓縮答案：D解析：文件類型識別結果有三種異常情況:.文件擴展名不匹配:文件類型與文件擴展名不致。●文件類型無法識別:無法識別出文件類型，且沒有文件擴展名。●文件損壞:由于文件被破壞而無法進行文件類型識別。24.以下關于虛擬系統分流的描述，錯誤的是哪一項？A、接口工作在二層時，采用基于VLAN的分流方式B、接口工作在三層時，采用基于接口的分流方式C、通過分流能將進入設備的報文送入正確的虛擬系統處理D、采用基于接口的分流方式時，管理口可以分配給指定的虛擬系統答案：D解析：本題考察虛擬系統分流的相關知識。虛擬系統分流是指將進入設備的報文送入正確的虛擬系統處理，以實現虛擬系統之間的隔離。根據題目描述，接口工作在二層時采用基于VLAN的分流方式，接口工作在三層時采用基于接口的分流方式，這兩個描述都是正確的。而選項D中提到管理口可以分配給指定的虛擬系統，這是錯誤的描述，因為管理口不能分配給虛擬系統。因此，本題的答案是D。25.惡意URL是指包含惡意信息的URL，以下哪一項不是惡意URL的來源？A、沙箱反饋的惡意URLB、入侵防御功能反饋的惡意URLC、本地信譽中包含的URLD、反病毒功能反饋的惡意URL答案：B解析：本題考察惡意URL的來源。惡意URL是指包含惡意信息的URL，可能會導致計算機系統受到攻擊或感染病毒等。選項A、D都是反饋惡意URL的來源，沙箱和反病毒功能都可以檢測到惡意URL。選項C中提到的本地信譽是指根據URL的歷史行為和特征，對其進行評估和分類，從而判斷其是否為惡意URL。因此，選項C也是惡意URL的來源。選項B中提到的入侵防御功能反饋的惡意URL并不是惡意URL的來源，而是入侵防御功能檢測到惡意URL后，將其反饋給用戶的一種方式。因此，選項B是本題的正確答案。26.在虛擬系統中，引流表記錄的是以下哪一種歸屬關系?A、MAC地址與虛擬系統B、IP地址與虛擬系統C、IP地址與安全策略D、安全策略與虛擬系統答案：B解析：27.如圖所示是防火墻負載分擔組網，上下行設備為交換機。以下關于該場景中防火墻VGMP組狀態的描述，正確的是哪一項？A、防火墻A：Active，防火墻B：StandbyB、防火墻A：Master，防火墻B：BackupC、防火墻A：Master，防火墻B：MasterD、防火墻A：Active，防火墻B：Active答案：D解析：根據圖中的VGMP組狀態，可以看到防火墻A和防火墻B的狀態都是Active，說明兩臺防火墻都在工作狀態，共同承擔防火墻的負載，實現負載均衡。因此，選項D是正確的描述。選項A和B中都有一臺防火墻處于備份狀態，不符合實際情況。選項C中兩臺防火墻都是Master狀態，也不符合實際情況。因此，答案為D。28.對于正常的TCP報文，標志位可能出現以下哪一種情況？A、RST和FIN同時為1B、FIN和URG同時為1C、SYN和ACK同時為1D、SYN和RST同時為1答案：C解析：TCP報文頭部有6個標志位，分別是URG、ACK、PSH、RST、SYN、FIN。這些標志位用于控制TCP連接的建立、維護和關閉。正常的TCP連接建立過程中，客戶端發送SYN標志位，服務器端回復ACK和SYN標志位，客戶端再回復ACK標志位，這樣連接就建立成功了。因此，對于正常的TCP報文，標志位可能出現以下哪一種情況？A.RST和FIN同時為1：這種情況表示TCP連接被強制關閉，即客戶端或服務器端發送了RST標志位，表示強制關閉連接，同時發送FIN標志位，表示關閉連接。B.FIN和URG同時為1：這種情況表示TCP連接被關閉，同時還有緊急數據需要傳輸，即發送FIN標志位表示關閉連接，同時發送URG標志位表示有緊急數據需要傳輸。C.SYN和ACK同時為1：這種情況表示TCP連接建立成功，即客戶端發送SYN標志位，服務器端回復ACK和SYN標志位，客戶端再回復ACK標志位，連接建立成功。D.SYN和RST同時為1：這種情況表示TCP連接建立失敗，即客戶端發送SYN標志位，服務器端回復RST標志位，連接建立失敗。因此，對于正常的TCP報文，標志位可能出現的情況是C，即SYN和ACK同時為1。29.使用iMasterNCE-Campus作為Portal服務器時，為了能夠讓iMasterNCE-Campus根據用戶的IP地址匹配對應的Portal頁面。在接入設備配置URL模板時，需要配置以下哪種URLparameter？A、ssidB、device-macC、user-macD、user-ipaddress答案：D解析：本題考察的是使用iMasterNCE-Campus作為Portal服務器時，為了能夠讓iMasterNCE-Campus根據用戶的IP地址匹配對應的Portal頁面，需要在接入設備配置URL模板時配置哪種URLparameter。首先，我們需要了解一下什么是Portal服務器。Portal服務器是一種網絡認證方式，它通過重定向用戶的請求到一個認證頁面，要求用戶輸入用戶名和密碼或者其他認證信息，以驗證用戶的身份。在認證通過之后，用戶才能夠訪問網絡資源。在使用iMasterNCE-Campus作為Portal服務器時，我們需要配置接入設備的URL模板，以便讓iMasterNCE-Campus根據用戶的IP地址匹配對應的Portal頁面。根據題目描述，我們需要選擇哪種URLparameter來配置URL模板。選項A：ssid，是指無線網絡的名稱，與用戶的IP地址無關，因此不是正確答案。選項B：device-mac，是指接入設備的MAC地址，與用戶的IP地址無關，因此不是正確答案。選項C：user-mac，是指用戶的MAC地址，與用戶的IP地址無關，因此不是正確答案。選項D：user-ipaddress，是指用戶的IP地址，正是我們需要根據它來匹配對應的Portal頁面的關鍵信息，因此是正確答案。綜上所述，本題的正確答案是D。30.若攻擊者偽造大量用戶對業務服務器發起DDoS攻擊，則以下哪一項為虛假源攻擊的有效措施？A、源認證技術B、CDN緩存C、負載均衡技術D、智能DNS調度答案：A解析：本題考察的是虛假源攻擊的有效措施。虛假源攻擊是指攻擊者偽造大量用戶對業務服務器發起DDoS攻擊，使得服務器無法正常工作。針對這種攻擊，可以采取源認證技術進行防御。源認證技術是指通過對數據包的源IP地址進行驗證，來判斷數據包是否來自合法的源地址。在網絡中，每個IP地址都是唯一的，攻擊者無法偽造合法的IP地址。因此，源認證技術可以有效地防止虛假源攻擊。CDN緩存、負載均衡技術和智能DNS調度等技術可以提高服務器的性能和可用性，但并不能有效地防止虛假源攻擊。綜上所述，本題的正確答案為A，即源認證技術。31.以下關于防火墻虛擬系統中出方向流量的描述，正確的是哪一項A、從私網接口流向公網接口的流量，受入方向帶寬的限制B、從公網接口流向私網接口的流量，受入方向帶寬的限制C、從私網接口流向公網接口的流量、受出方向帶寬的限制D、從公網接口流向私網接口的流量，受出方向帶寬的限制答案：C解析：流量計算公網接口主要用于統計虛擬防火墻的流量。公網接口指接口下配置了setpublic-interface命令的接口。私網接口則是指未配置setpublic-interface的接口。?虛擬防火墻A有兩個公網接口和兩個私網接口。虛擬防火墻A入方向流量、出方向流量和整體流量如下：?入方向（inbound）流量：從公網接口流向私網接口的流量。受入方向帶寬的限制。?出方向（outbound）流量：從私網接口流向公網接口的流量。受出方向帶寬的限制。?整體（entire）流量：虛擬防火墻的全部流量=入方向流量+出方向流量+私網接口到私網接口的流量+公網接口到公網接口的流量。整體流量受整體帶寬的限制。?在跨虛擬防火墻轉發的場景中，Virtual-if（虛擬接口）接口默認為公網接口。32.如下圖所示是管理員在網絡接入設備上執行了Protal認證的相關配置，則該管理員在Protall認證中使用的認證協議是以下哪項？A、CHAPB、HTTP/HTTPSC、PortalD、PAP答案：C解析：根據題目中給出的配置圖，可以看到管理員在網絡接入設備上進行了Portal認證的相關配置，其中包括了認證方式為Portal、認證服務器地址為、認證端口為8080等信息。因此，該管理員在Portal認證中使用的認證協議是C選項中的Portal。選項A中的CHAP和D中的PAP是一種基于PPP協議的認證方式，而選項B中的HTTP/HTTPS是一種基于Web的認證方式，與題目中給出的Portal認證方式不同。因此，正確答案為C。33.華為準入控制方案中，接入設備接收到RADTUS服務器的CoA-Roquest報文或者DM-Requst報文后，根據報文中的哪一個RADIUS屬性來識別用戶？A、called-Station-ldB、Filter-ldC、NAS-IP-AddressD、calling-Station-ld答案：C解析：在華為準入控制方案中，接入設備接收到RADTUS服務器的CoA-Roquest報文或者DM-Requst報文后，需要根據報文中的RADIUS屬性來識別用戶。在這些屬性中，NAS-IP-Address屬性被用來識別用戶。因此，選項C是正確答案。其他選項的解釋如下：A.called-Station-ld：這個屬性用于標識被叫方的MAC地址或AP的BSSID。B.Filter-ld：這個屬性用于標識過濾器的ID。D.calling-Station-ld：這個屬性用于標識主叫方的MAC地址。因此，這些選項都不是用來識別用戶的屬性。34.在iMasterNCE-Campus配置Portal頁面推送策略時，不支持使用以下哪一項作為匹配條件？A、用戶IP地址B、操作系統版本號C、SSIDD、瀏覽器類型答案：B解析：在iMasterNCE-Campus配置Portal頁面推送策略時，可以使用多種條件來匹配用戶，以便向其推送相應的Portal頁面。然而，題目要求我們找出不支持作為匹配條件的選項，因此我們需要逐個分析每個選項。A.用戶IP地址：在iMasterNCE-Campus中，可以使用用戶IP地址作為匹配條件，以便向特定的用戶推送Portal頁面。這是一種常見的匹配條件，因為IP地址可以唯一標識一個用戶。B.操作系統版本號：根據題目要求，不支持使用操作系統版本號作為匹配條件。這意味著無法根據用戶的操作系統版本號來推送相應的Portal頁面。C.SSID：在iMasterNCE-Campus中，可以使用SSID作為匹配條件，以便向連接到特定SSID的用戶推送Portal頁面。這是一種常見的匹配條件，因為SSID可以唯一標識一個無線網絡。D.瀏覽器類型：在iMasterNCE-Campus中，可以使用瀏覽器類型作為匹配條件，以便向使用特定瀏覽器的用戶推送Portal頁面。這是一種常見的匹配條件，因為不同的瀏覽器可能會對Portal頁面的顯示效果產生影響。因此，根據題目要求，選項B操作系統版本號不支持作為匹配條件，是正確答案。35.通過華為iMasterNCE-Campus控制器實現準入控制功能，以下哪項不屬于認證授權所需要配置的內容？A、認證結果B、授權結果C、認證規則D、授權規則答案：C解析：本題考察的是通過華為iMasterNCE-Campus控制器實現準入控制功能所需要配置的內容。準入控制是指對接入網絡的用戶進行身份認證和授權，以保證網絡的安全性和可靠性。在配置認證授權時，需要配置認證結果、授權結果、認證規則和授權規則。其中，認證結果和授權結果是指認證和授權的結果，認證規則和授權規則是指認證和授權的規則。因此，選項C不屬于認證授權所需要配置的內容，是本題的正確答案。36.IPS的簽名過濾器是滿足指定過濾條件的簽名集合。簽名過濾器的過濾條件不包括以下哪一項？A、威脅類別B、簽名IDC、操作系統D、協議答案：B解析：本題考察的是IPS（入侵防御系統）的簽名過濾器的過濾條件。IPS是一種網絡安全設備，用于檢測和防御網絡中的入侵行為。簽名過濾器是指滿足指定過濾條件的簽名集合，用于過濾網絡流量中的惡意流量。本題要求選擇不包括在簽名過濾器的過濾條件中的選項。選項A威脅類別是一種常見的過濾條件，用于指定要過濾的威脅類型，例如惡意軟件、漏洞利用等。選項B簽名ID是一個具體的簽名標識符，用于唯一標識一個特定的威脅或漏洞。本題要求選擇不包括在簽名過濾器的過濾條件中的選項，因此排除選項B。選項C操作系統是另一種常見的過濾條件，用于指定要過濾的操作系統類型，例如Windows、Linux等。選項D協議是指網絡通信中使用的協議類型，例如TCP、UDP等。協議也是簽名過濾器的常見過濾條件之一。綜上所述，本題的答案是B，即簽名過濾器的過濾條件不包括簽名ID。37.以下關于HWTACACS協議特征的描述，錯誤的是哪一項?A、使用共享密鑰加密方式，但是僅對認證報文中的密碼字段進行加密B、支持對設備上的配置命令進行授權使用，多用于設備認證C、基于TCP傳輸層協議，網絡傳輸可靠性較高D、認證、授權和計費功能分離，所以認證、授權和計費服務可以分別部署在不同的服務器上答案：A解析：本題考查對HWTACACS協議特征的理解。根據題目描述，選項A中提到HWTACACS協議使用共享密鑰加密方式，但是僅對認證報文中的密碼字段進行加密，這是錯誤的描述。實際上，HWTACACS協議使用共享密鑰加密方式對整個報文進行加密，而不僅僅是密碼字段。因此，選項A是錯誤的描述，是本題的答案。選項B中提到HWTACACS協議支持對設備上的配置命令進行授權使用，多用于設備認證，這是正確的描述。選項C中提到HWTACACS協議基于TCP傳輸層協議，網絡傳輸可靠性較高，這也是正確的描述。選項D中提到HWTACACS協議認證、授權和計費功能分離，所以認證、授權和計費服務可以分別部署在不同的服務器上，這也是正確的描述。因此，選項B、C、D都是正確的描述，不是本題的答案。38.以下哪一項不屬于Anti-DDoS管理中心的功能？A、性能管理B、策略管理C、告警管理D、流量檢測答案：D解析：本題考查的是Anti-DDoS管理中心的功能。Anti-DDoS管理中心是華為安全產品中的一種，主要用于防御DDoS攻擊。該管理中心具有多種功能，包括性能管理、策略管理、告警管理和流量檢測等。因此，本題要求考生選擇不屬于Anti-DDoS管理中心功能的選項。A.性能管理：Anti-DDoS管理中心可以對系統的性能進行管理，包括監控系統的運行狀態、優化系統的性能等。因此，選項A屬于Anti-DDoS管理中心的功能。B.策略管理：Anti-DDoS管理中心可以對防御策略進行管理，包括制定、修改、刪除策略等。因此，選項B屬于Anti-DDoS管理中心的功能。C.告警管理：Anti-DDoS管理中心可以對系統的告警進行管理，包括設置告警規則、接收告警信息、處理告警等。因此，選項C屬于Anti-DDoS管理中心的功能。D.流量檢測：流量檢測是一種對網絡流量進行監測和分析的技術，可以用于檢測DDoS攻擊。雖然Anti-DDoS管理中心可以對流量進行檢測，但是本題要求選擇不屬于Anti-DDoS管理中心功能的選項，因此選項D是正確答案。綜上所述，本題的正確答案是D。39.當使用LDAP服務器作為認證服務器時，若要進行用戶認證，則需要對LDAP服務器的數據進行以下哪一種操作A、查詢類B、刪除類C、寫入類D、更新類答案：A解析：當使用LDAP服務器作為認證服務器時，需要對LDAP服務器的數據進行查詢操作來進行用戶認證。LDAP（輕量級目錄訪問協議）是一種用于訪問分布式目錄服務的協議，它提供了一種標準化的方法來訪問和維護分布式目錄信息。在LDAP服務器中，用戶的認證信息通常存儲在目錄樹中的某個節點上，通過查詢操作可以獲取該節點上的認證信息，從而進行用戶認證。因此，選項A“查詢類”是正確的答案。選項B“刪除類”、“C寫入類”和D“更新類”都不是進行用戶認證所必需的操作。刪除、寫入和更新操作通常用于管理LDAP服務器中的數據，而不是進行用戶認證。40.以下關于防火墻虛擬系統中入方向流量的描述，正確的是哪一項？A、從公網接口流向私網接口的流量，受出方向帶寬的限制B、從公網接口流向私網接口的流量，受入方向帶寬的限制C、從私網接口流向公網接口的流量，受入方向帶寬的限制D、從私網接口流向公網接口的流量，受出方向帶寬的限制答案：B解析：本題考察防火墻虛擬系統中入方向流量的限制。防火墻虛擬系統是指在一臺物理防火墻設備上創建多個虛擬防火墻系統，每個虛擬系統相互獨立，可以獨立配置和管理。根據題目描述，流量是從公網接口流向私網接口，因此應該考慮入方向帶寬的限制。因此，正確答案為B。選項A和D描述的是出方向流量的限制，選項C描述的是私網接口流向公網接口的流量，與題目描述不符。因此，選項B是正確答案。41.每一個引用帶寬通道的帶寬策略都獨自受到該帶寬通道的約束，即符合該帶寬策略匹配條件的流量，獨享最大帶寬資源。以下哪一選項屬于這種帶寬通道的引用方式？A、寬帶共享B、帶寬復用C、寬帶獨占D、動態均分答案：C解析：本題考察的是帶寬通道的引用方式。根據題干中的描述，每一個引用帶寬通道的帶寬策略都獨自受到該帶寬通道的約束，即符合該帶寬策略匹配條件的流量，獨享最大帶寬資源。因此，只有寬帶獨占這種引用方式符合這種約束條件，所以答案為C。其他選項的引用方式都不符合該約束條件。寬帶共享是多個用戶共享同一帶寬資源；帶寬復用是將多個信號通過同一信道傳輸；動態均分是根據流量需求動態分配帶寬資源。42.LDAP協議是基于Client/Server結構提供目錄信息的綁定和查詢，所有的目錄信息存儲在LDAP服務器上。LDAP協議中目錄是按照樹型結構組織，目錄由條目組成，條目是具有區別名DN的屬性集合。以下哪一項是LDAP的域名屬性？A、DCB、CNC、OUD、DN答案：A解析：LDAP協議是一種用于訪問和維護分布式目錄服務的協議，它使用Client/Server結構提供目錄信息的綁定和查詢，所有的目錄信息存儲在LDAP服務器上。LDAP協議中目錄是按照樹型結構組織，目錄由條目組成，條目是具有區別名DN的屬性集合。在LDAP中，域名屬性是指用于表示域名的屬性。在LDAP中，域名屬性通常是DC（Domainponent）屬性。因此，選項A中的DC是LDAP的域名屬性，是用于表示域名的屬性。選項B中的CN（monName）是用于表示通用名稱的屬性，選項C中的OU（OrganizationalUnit）是用于表示組織單位的屬性，選項D中的DN（DistinguishedName）是用于表示區別名的屬性。因此，答案為A。43.以下關于IPS頂定義簽名的描述，錯誤的是哪一項?A、預定義簽名的內容不是固定的，可以創建、修改或刪除B、當預定義簽名的動作為阻斷時，阻斷命中簽名的報文，并記錄日志C、當預定義簽名的動作為放行時，對命中簽名的報文放行，不記錄日志D、當預定義簽名的動作為告警時，對命中簽名的報文放行，但記錄日志答案：A解析：預定義簽名的內容是固定的，不能創建、修改或刪除。每個預定義簽名都有缺省的動作，分為：放行：指對命中簽名的報文放行，不記錄日志。告警：指對命中簽名的報文放行，但記錄日志。阻斷：指丟棄命中簽名的報文，阻斷該報文所在的數據流，并記錄日志。44.以下關于清洗中心的描述，錯誤的是哪項？A、回注方式包括：策略路由回注、靜態路由回注、VPN回注和二層回注B、清洗設備支持豐富靈活的攻擊防范技術，但對于CC攻擊、ICMPFlood攻擊無法進行防御C、引流方式有兩種：靜態引流和動態引流D、清洗中心完成對異常流量的引流、清洗以及和清洗后流量的回注等功能答案：B解析：45.以下關于郵件內容過濾機制的描述，錯誤的是哪一項？A、郵件內容過濾僅在出方向檢測B、防火墻篩選出郵件流量后，再檢查郵箱地址和附件大小，識別出非法郵件C、檢測到POP3或IMAP消息時，如果判定為非法郵件，防火墻的響應動作可以是發送告警信息或阻斷郵件D、防火墻首先需要根據匹配條件識別出要進行郵件過濾的流量答案：A解析：本題考察郵件內容過濾機制的相關知識點。根據題目描述，選項A中提到郵件內容過濾僅在出方向檢測，這是錯誤的描述。實際上，郵件內容過濾應該在進出方向都要進行檢測，以確保郵件的安全性和合法性。因此，選項A是本題的正確答案。選項B、C、D中的描述都是正確的，防火墻在篩選出郵件流量后，會檢查郵箱地址和附件大小，識別出非法郵件，并且在檢測到非法郵件時，可以發送告警信息或阻斷郵件。防火墻在進行郵件過濾時，也需要根據匹配條件識別出要進行郵件過濾的流量。46.以下關于IPS簽名類型的描述中，哪一項簽名類型的動作優先級最高？A、例外簽名B、自定義簽名C、預定義簽名D、簽名過濾器答案：A解析：IPS（入侵防御系統）是一種網絡安全設備，用于檢測和阻止網絡攻擊。IPS簽名是用于檢測和識別網絡攻擊的規則集合。IPS簽名類型包括預定義簽名、自定義簽名、例外簽名和簽名過濾器。根據題目描述，要求確定哪一項簽名類型的動作優先級最高。動作優先級指的是當多個簽名匹配同一數據包時，哪一個簽名的動作會被執行。A.例外簽名：例外簽名是一種特殊的簽名類型，用于排除某些特定的流量或主機，以避免誤報或誤封。當例外簽名匹配時，IPS會跳過該簽名，不執行任何動作。因此，例外簽名的動作優先級最高。B.自定義簽名：自定義簽名是用戶自己創建的簽名，用于檢測特定的攻擊或漏洞。當自定義簽名匹配時，IPS會執行用戶定義的動作，如阻止、警告或記錄。自定義簽名的動作優先級取決于用戶定義的動作。C.預定義簽名：預定義簽名是由IPS廠商提供的簽名，用于檢測已知的攻擊或漏洞。當預定義簽名匹配時，IPS會執行預定義的動作，如阻止、警告或記錄。預定義簽名的動作優先級取決于IPS廠商定義的動作。D.簽名過濾器：簽名過濾器是一種特殊的簽名類型，用于過濾某些特定的流量或主機，以減少IPS的負載。當簽名過濾器匹配時，IPS會跳過該簽名，不執行任何動作。因此，簽名過濾器的動作優先級最低。綜上所述，答案為A，例外簽名的動作優先級最高。47.以下關于SSLVPN的特點的描述，錯誤的是哪一項?A、SSLVPN支持的認證種類少，與原有身份認證系統較難集成B、SSLVPN能支持各種IP應用C、SSLVPN針對內網資源可以解析到應用層，并精細化地發布應用D、由于SSLVPN登錄方式借助了瀏覽器，所以實現了客戶端的自動安裝和配置，這樣用戶可以隨時隨地用設備快捷登錄，同時也緩解了網絡管理員維護客戶端等方面的壓力答案：A解析：本題考察對SSLVPN的特點的理解。根據題目描述，選項A中提到SSLVPN支持的認證種類少，與原有身份認證系統較難集成，這是錯誤的描述。實際上，SSLVPN支持多種認證方式，如用戶名密碼認證、數字證書認證、令牌認證等，且可以與原有身份認證系統集成，提高了安全性和便利性。因此，選項A是錯誤的描述，是本題的答案。選項B、C、D中提到的SSLVPN的特點都是正確的，如SSLVPN能支持各種IP應用、針對內網資源可以解析到應用層，并精細化地發布應用、由于SSLVPN登錄方式借助了瀏覽器，所以實現了客戶端的自動安裝和配置，這樣用戶可以隨時隨地用設備快捷登錄，同時也緩解了網絡管理員維護客戶端等方面的壓力。48.以下哪一項不屬于遠程用戶通過SSLVPN訪問內網資源的流程？A、用戶認證B、用戶登錄C、資源訪問D、訪問計費答案：D解析：本題考察的是遠程用戶通過SSLVPN訪問內網資源的流程。根據題目描述，我們可以知道，遠程用戶通過SSLVPN訪問內網資源的流程包括以下三個步驟：1.用戶認證：遠程用戶需要提供用戶名和密碼等認證信息，以驗證其身份是否合法。2.用戶登錄：認證通過后，遠程用戶需要登錄到SSLVPN系統，以建立與內網的安全通道。3.資源訪問：登錄成功后，遠程用戶可以通過SSLVPN系統訪問內網資源，包括文件、應用程序、數據庫等。因此，本題的正確答案為D，訪問計費不屬于遠程用戶通過SSLVPN訪問內網資源的流程。49.以下哪一項是健康檢查無法支持的探測協議？A、RADIUSB、CHCMPC、DNSD、UDP答案：D解析：本題考查健康檢查支持的探測協議。健康檢查是指對服務器或應用程序進行定期檢查，以確保它們正常運行并能夠提供服務。常用的健康檢查探測協議包括TCP、HTTP、HTTPS、ICMP等。而UDP協議是無連接的，不提供可靠的數據傳輸，因此健康檢查無法支持UDP協議作為探測協議。因此，本題的正確答案是D。選項A、B、C都是常用的探測協議，可以用于健康檢查。50.若想實現對用戶的論壇發帖、用戶登錄等行為進行控制，應配置以下哪一項HTTP行為控制？A、POST操作B、重定向C、文件上傳D、文件下載答案：A解析：本題考察的是HTTP行為控制，要實現對用戶的論壇發帖、用戶登錄等行為進行控制，應配置哪一項HTTP行為控制。選項A：POST操作。POST操作是HTTP協議中的一種請求方法，用于向服務器提交數據，常用于表單提交等場景。通過對POST操作進行控制，可以限制用戶的發帖行為，防止用戶惡意發帖。選項B：重定向。重定向是指當瀏覽器請求某個URL時，服務器返回一個重定向響應，告訴瀏覽器重新請求另一個URL。重定向并不能對用戶的發帖、登錄等行為進行控制。選項C：文件上傳。文件上傳是指將本地文件上傳到服務器，常用于上傳圖片、視頻等文件。文件上傳并不能對用戶的發帖、登錄等行為進行控制。選項D：文件下載。文件下載是指將服務器上的文件下載到本地，常用于下載軟件、音樂等文件。文件下載并不能對用戶的發帖、登錄等行為進行控制。綜上所述，本題正確答案為A，應配置POST操作進行HTTP行為控制。51.在iMasterNCE-Campus上配置認證規則時，不支持使用以下哪一種類型的認證方式作為匹配條件?A、設備管理認證B、無線用戶認證C、用戶接入認證D、MAC認證答案：B解析：52.以下哪一種DDoS攻擊類型可以被限流技術防范？A、DNSFloodB、HTTPFloodC、ICMPF1oodD、SYNFlood答案：C解析：53.開啟NAT穿越之后，當檢測到兩臺網關中間存在NAT設備，ESP報文將會被封裝在一個UDP頭部中，以下哪一項是資UDP頭部的源目端口號?A、源端口:4500，目的端口:4500B、源端口:4500，目的端口:500C、源端口:500，目的端口:500D、源端口:500，目的端口:4500答案：A解析：54.以下關于虛擬系統使用限制的描述，錯誤的是哪項？A、只要在根系統中進行系統軟件的升級B、如果接口已經配置了IP地址，在分配給虛擬時會被清除C、管理口不能分配給虛擬系統D、虛擬系統管理員能通過Console口登錄設備答案：D解析：本題考察對虛擬系統使用限制的理解。根據選項描述，A、B、C三項均為虛擬系統使用限制的正確描述，而D項描述錯誤。虛擬系統管理員不能通過Console口登錄設備，只能通過虛擬系統的管理口登錄設備。因此，本題的正確答案為D。55.以下哪一項不是Anti-DDos防御系統管理中心的職責？A、安全報表分析B、設備管理C、下發防御策略D、進行流量引流答案：D解析：管理中心即ATIC，負責檢測中心和清洗中心的統一管理，是Anti-DDoS解決方案的管理中樞。提供設備管理、策略管理、性能管理、告警管理、報表管理等功能。整個方案的中樞，通過管理中心將檢測分析中心和清洗中心連接起來形成完整的解決方案。管理中心分為管理服務器和數據采集器兩個部分，可以安裝在一臺服務器上，也可以安裝在不同服務器上。可以是虛擬化產品，部署在windows或者linux系統上，類似于esight網管中心。56.以下關于虛擬接口的描述，錯誤的是哪項？A、虛擬系統之間通過虛擬接口實現互訪B、虛擬接口的鏈路層和協議層始終是UPC、根系統的虛擬接口為Virtual-if1D、虛擬接口的格式為“Virtual-if+接口號”答案：C解析：本題考察對虛擬接口的理解。虛擬接口是指在一個物理接口上創建多個邏輯接口，以實現多個虛擬系統之間的通信。因此，選項A正確，虛擬系統之間通過虛擬接口實現互訪。虛擬接口的鏈路層和協議層始終是UP，這是因為虛擬接口是邏輯接口，不受物理接口的影響，因此選項B正確。虛擬接口的格式為“Virtual-if+接口號”，這是虛擬接口的命名規則，因此選項D正確。而根系統的虛擬接口命名為Virtual-if1是錯誤的，因此選項C是錯誤的。因此，本題的答案是C。57.用戶使用SSL訪問內網的網絡資源，管理員為用戶開啟了文件共享和web代理的業務，并且在防火墻上放行了業務的流量，但是用戶在PC上輸入虛擬網關的地址后，在網頁中看不到文件共享和Web代理的列表，以下哪一選項可能導致該故障產生？A、虛擬網關對外NAT的端口錯誤B、用戶PC的虛擬網卡上有沒有獲取到虛擬IP地址C、管理員沒有為用戶配置文件共享和Web代理的授權D、防火墻與客戶端之間路由不可達答案：C解析：本題考察用戶使用SSL訪問內網的網絡資源時，無法看到文件共享和Web代理的列表的可能原因。根據題干中的信息，管理員已經為用戶開啟了文件共享和Web代理的業務，并且在防火墻上放行了業務的流量，因此選項A和D可以排除。選項B可能導致用戶無法訪問內網資源，但不會導致無法看到文件共享和Web代理的列表。因此，正確答案為C，即管理員沒有為用戶配置文件共享和Web代理的授權，導致用戶無法看到相關列表。58.以下哪一項不是雙機熱備一致性檢查的內容？A、接口地址B、NAT配置C、帶寬策略D、安全策略答案：B解析：雙機熱備一致性檢查是指在雙機熱備系統中，主備設備之間進行的一種檢查機制，以確保主備設備之間的配置和狀態保持一致，從而保證系統的高可用性和穩定性。該機制通常包括以下內容：A.接口地址：主備設備的接口地址必須一致，否則可能會導致網絡故障或數據丟失。B.NAT配置：NAT配置通常不是雙機熱備一致性檢查的內容，因為NAT配置通常是針對特定的網絡環境和應用場景進行的，不同的主備設備可能需要不同的NAT配置。C.帶寬策略：主備設備的帶寬策略必須一致，否則可能會導致網絡擁塞或性能下降。D.安全策略：主備設備的安全策略必須一致，否則可能會導致安全漏洞或攻擊。因此，選項B“NAT配置”不是雙機熱備一致性檢查的內容。59.以下關于內容過濾中關鍵字的描述，錯誤的是哪一項?A、關鍵字包括預定義關鍵字和自定義關鍵字B、文本和正則表達式能匹配的關鍵字最短長度為3個字節C、預定義關鍵字是管理員手工定義且可以識別的關鍵字D、正則表達式方式匹配比文本方式更加靈活和高效，但配置需要遵循正則表達式規則答案：C解析：本題考察的是關于內容過濾中關鍵字的描述，需要判斷哪一項是錯誤的。A選項描述的是關鍵字包括預定義關鍵字和自定義關鍵字，這是正確的。B選項描述的是文本和正則表達式能匹配的關鍵字最短長度為3個字節，這也是正確的。C選項描述的是預定義關鍵字是管理員手工定義且可以識別的關鍵字，這是錯誤的。預定義關鍵字是系統預先定義好的一些關鍵字，管理員無法手工定義。D選項描述的是正則表達式方式匹配比文本方式更加靈活和高效，但配置需要遵循正則表達式規則，這也是正確的。因此，本題的答案是C，描述錯誤的是預定義關鍵字是管理員手工定義且可以識別的關鍵字。60.以下關于策略路由匹配規則的描述，錯誤的是哪一項？A、當配置多條策略路由規則時，策略路由列表默認是按昭配置順序排列按照配置順予排列B、一個匹配條件中如果可以配置多個值，多個值之間是"或"的關系，報文的屬性只要匹配任意一個值，就認為報文的屬性匹配了這個條件C、每條策略路由中只包含一個匹配條件D、系統默認存在一條缺省策略路由default，缺省策略路由位于策略列表的最底部，優先級最低，所有匹配條件均為any，動作為不做策略路由答案：C解析：本題考察的是策略路由匹配規則的相關知識點。根據題目描述，選項A、B、D都是正確的描述，而選項C是錯誤的描述。因為實際上每條策略路由中可以包含多個匹配條件，只有當所有匹配條件都匹配成功時，才會執行該策略路由的動作。因此，選項C是錯誤的描述，是本題的答案。61.以下關于文件過濾處理流程的描述，正確的是哪一項？A、如果文件的所有參數都能夠匹配所有文件過濾規則，那么模塊將執行此文件過濾規則的動作B、文件過濾模塊會將之前模塊識別出的文件的應用類型、文件類型和傳輸方向與管理員配置的文件過濾規則查詢表進行從上到下的匹配C、執行的動作有告警和阻斷兩種D、如果文件類型是壓縮文件，那么在進行文件過濾檢測后，文件將會被送到文件解壓模塊進行解壓縮，解壓出原始文件。若解壓失敗，文件不會再進行文件過濾答案：D解析：文件解壓：如果文件類型是壓縮文件，那么在進行文件過濾檢測后，文件將會被送到文件解壓模塊進行解壓縮，解壓出原始文件。?解壓成功：解壓后的文件將會再被送到文件類型識別模塊進行文件類型識別和文件類型異常檢測，然后識別出文件類型的解壓文件還會再次進行文件過濾。?解壓失敗：文件都不會再進行文件過濾。62.以下關于web代理中WebLink的描述，錯誤的是哪一項？A、存在頁面兼容性問題，可能會出現圖片錯位情況B、對URL不會進行改寫，會暴露內網服務器的真實地址C、存在一定的安全風險D、依賴IE控件，在非IE環境中無法正常使用答案：A解析：63.以下哪一項為Tracert報文攻擊的防范方法？A、丟棄帶有時間踐的IP報文B、對于檢測到的超時ICMP報文或UDP報文，或者目的端口不可達的報文，給予丟棄處理C、用戶可以根據實際網絡需要配置允許通過的ICP報文的最大長度，當實際IP報文的長度超過該值時，將丟棄該文D、對ICMP不可達報文進行丟棄，并記錄攻擊日志答案：B解析：64.以下關于保證帶寬和最大帶寬的描述，錯誤的是哪一項？A、可以基于每IP/用戶設置保證帶寬和最大帶寬B、如果流量大于最大帶寬，則直接丟棄超出最大帶寬的流量C、如果流量小于保證帶寬，這部分流量在出接口與其它帶寬通道中同類型的流量自由競爭帶寬資源D、針對IP或用戶的保證帶寬和最大帶寬設置可實現更加細化的帶寬限制答案：C解析：本題考察的是關于保證帶寬和最大帶寬的描述，需要判斷哪一項是錯誤的。根據選項內容逐一分析：A.可以基于每IP/用戶設置保證帶寬和最大帶寬：這個選項是正確的，可以根據每個IP或用戶的需求設置不同的保證帶寬和最大帶寬。B.如果流量大于最大帶寬，則直接丟棄超出最大帶寬的流量：這個選項是正確的，如果流量超出了最大帶寬的限制，那么超出部分的流量會被直接丟棄。C.如果流量小于保證帶寬，這部分流量在出接口與其它帶寬通道中同類型的流量自由競爭帶寬資源：這個選項是錯誤的，如果流量小于保證帶寬，那么保證帶寬的部分會被優先保障，而不是與其它帶寬通道中的同類型流量自由競爭帶寬資源。D.針對IP或用戶的保證帶寬和最大帶寬設置可實現更加細化的帶寬限制：這個選項是正確的，可以根據IP或用戶的需求設置更加細化的保證帶寬和最大帶寬限制。綜上所述，選項C是錯誤的，是本題的答案。65.如圖所示，防火墻主備備份組網，通過在防火墻A上查看HRP狀態，得到信息如下：以下哪一項不是可能的原因？A、心跳線沒有加入安全區域B、對端沒有開啟雙機熱備功能C、對端沒有指定心跳口D、防火墻B上的業務接口皆故障答案：D解析：根據圖中顯示的HRP狀態，可以看到防火墻A和B之間的心跳狀態為“異常”，這意味著主備備份組網中存在問題。根據選項進行分析：A.心跳線沒有加入安全區域：這可能導致心跳信號被防火墻規則阻止，但不會導致心跳狀態異常。B.對端沒有開啟雙機熱備功能：如果對端沒有開啟雙機熱備功能，那么主備備份組網將無法正常工作，但這不會導致心跳狀態異常。C.對端沒有指定心跳口：如果對端沒有指定心跳口，那么心跳信號將無法正常傳輸，但這不會導致心跳狀態異常。D.防火墻B上的業務接口皆故障：這是可能導致心跳狀態異常的原因之一，因為如果防火墻B上的業務接口全部故障，那么心跳信號將無法正常傳輸，從而導致心跳狀態異常。因此，選項D是不可能的原因，其他選項都有可能導致心跳狀態異常。66.在NAT穿越場景中，如果檢測到NAT設備后，ISAKMP消息的目的端口號將變為以下哪一項?A、4500B、51C、50D、500答案：A解析：在NAT穿越場景中，當檢測到NAT設備時，ISAKMP消息的目的端口號將變為4500。這是因為在NAT環境中，IP地址和端口號都會被修改，因此需要使用NAT穿越技術來確保VPN連接的安全性和可靠性。ISAKMP是VPN協議中用于建立安全通道的協議，它使用UDP協議進行通信，通常使用500端口。但是，在NAT環境中，500端口可能被NAT設備占用，因此需要使用4500端口來避免沖突。因此，當檢測到NAT設備時，ISAKMP消息的目的端口號將變為4500。選項A是正確答案。67.以下關于GRE_overIPSec的描述，錯誤的是哪一項?A、IPSec封裝過程中增加的IP頭即源地址為IPSec網關應用IPSec安全策略的接口地址，目的地址即IPSec對等體中應用IPSc安全策略的接地址B、當網關之間采用GREoverIPSec連接時，先進行GRE封裝，在進行IPSec封裝C、GRE封裝過程中增加的IP頭即源地址為IPSec隧道的源端地址，目的地址為IPSec隧道的目的端地址D、IPSec需要保護的數據流為從GRE起點到GRE終點的數據流答案：C解析：本題考察對GREoverIPSec的理解。GREoverIPSec是一種在IPSec隧道中使用GRE協議的方式，可以提供更好的靈活性和可擴展性。下面是各選項的解析：A.正確。IPSec封裝過程中增加的IP頭即源地址為IPSec網關應用IPSec安全策略的接口地址，目的地址即IPSec對等體中應用IPSc安全策略的接地址。B.正確。當網關之間采用GREoverIPSec連接時，先進行GRE封裝，在進行IPSec封裝。C.錯誤。GRE封裝過程中增加的IP頭即源地址為IPSec隧道的源端地址，目的地址為IPSec隧道的目的端地址，而不是IPSec對等體中應用IPSc安全策略的接地址。D.正確。IPSec需要保護的數據流為從GRE起點到GRE終點的數據流。因此，本題的正確答案為C。68.在Linux主機上，可通過查看以下哪一個文件來統計當前系統中的所有用戶名稱及登陸方式？A、/etc/passwdB、/etc/profileC、/etc/shadowD、/etc/rc.local答案：A解析：本題考查Linux系統中查看所有用戶名稱及登陸方式的方法。正確答案為A，即通過查看/etc/passwd文件來統計當前系統中的所有用戶名稱及登陸方式。/etc/passwd文件是Linux系統中存儲用戶賬戶信息的文件，其中包含了系統中所有用戶的賬戶信息，包括用戶名、用戶ID、用戶組ID、用戶家目錄、默認shell等信息。通過查看該文件，可以獲取系統中所有用戶的賬戶信息，從而統計出所有用戶名稱及登陸方式。選項B、C、D均不是正確答案。/etc/profile文件是系統全局的shell配置文件，不包含用戶賬戶信息；/etc/shadow文件是存儲用戶密碼信息的文件，不包含用戶名稱及登陸方式信息；/etc/rc.local文件是系統啟動時執行的腳本文件，也不包含用戶賬戶信息。因此，本題正確答案為A。69.對于新建網絡、用戶集中、信息安全要求嚴格的場合，一般采用哪一種認證方式?A、Portal認證B、802.1x認證C、MAC優先的Porta1認證D、MAC認證答案：B解析：本題考察的是在新建網絡、用戶集中、信息安全要求嚴格的場合下，采用哪種認證方式。A.Portal認證：Portal認證是一種基于Web的認證方式，用戶需要在Web頁面上輸入用戶名和密碼才能訪問網絡。但是，Portal認證的安全性較低，易受到中間人攻擊。B.802.1x認證：802.1x認證是一種基于端口的網絡訪問控制技術，可以對接入網絡的用戶進行身份認證和授權。該認證方式安全性較高，能夠有效防止未經授權的用戶接入網絡。C.MAC優先的Portal認證：MAC優先的Portal認證是一種基于MAC地址的認證方式，用戶需要在Web頁面上輸入MAC地址和密碼才能訪問網絡。但是，MAC地址易被偽造，安全性較低。D.MAC認證：MAC認證是一種基于MAC地址的認證方式，用戶需要在設備上設置MAC地址才能訪問網絡。但是，MAC地址易被偽造，安全性較低。綜上所述，對于新建網絡、用戶集中、信息安全要求嚴格的場合，一般采用802.1x認證方式，因為該認證方式安全性較高，能夠有效防止未經授權的用戶接入網絡。因此，本題的答案為B。70.以下關于配額控制策略的描述，錯誤的是哪一頂？A、配額控制策略只能限制用戶上網流量的額度B、配額控制策略由檢測和控制兩部分組成C、配額控制策略可以限制最大帶寬D、配額控制策略可以實時檢測上網流量答案：A解析：本題考查配額控制策略的相關知識點。配額控制策略是一種網絡管理策略，可以限制用戶的網絡資源使用量，包括流量、帶寬等。選項A描述錯誤，因為配額控制策略不僅可以限制用戶上網流量的額度，還可以限制其他網絡資源的使用量。因此，選項A是本題的正確答案。選項B、C、D描述正確，配額控制策略由檢測和控制兩部分組成，可以限制最大帶寬，可以實時檢測上網流量。71.若管理員需要將某些簽名動作設置為與簽名過濾器不同的動作時，可以配置例外簽名。以下哪一項不是例外簽名的動作?A、放行B、阻斷且隔高源IPC、告警且超出閥值后阻斷D、阻斷且隔離目的IP答案：C解析：本題考察的是管理員在配置例外簽名時可以設置的動作。例外簽名是指與簽名過濾器不同的動作，可以用于特定的網絡環境或者特定的應用場景。根據題目描述，需要選擇不是例外簽名的動作，因此正確答案為C。A.放行：放行是一種例外簽名的動作，可以用于特定的網絡環境或者特定的應用場景，允許某些特定的流量通過。B.阻斷且隔高源IP：阻斷且隔離高源IP是一種例外簽名的動作，可以用于特定的網絡環境或者特定的應用場景，阻止來自高風險源IP的流量，并將其隔離在網絡的邊緣。C.告警且超出閥值后阻斷：這是一種常規的簽名過濾器動作，不是例外簽名的動作。D.阻斷且隔離目的IP：阻斷且隔離目的IP是一種例外簽名的動作，可以用于特定的網絡環境或者特定的應用場景，阻止流向特定目的IP的流量，并將其隔離在網絡的邊緣。因此，選項C是不是例外簽名的動作，是本題的正確答案。72.使用iNasterNCE-Campus作為Portal服務器，在華為無線控制器上部署Portal認證，下哪一項配置不是必須的？A、URL模板B、認證模板C、Portal認證模板D、MAC認證模板答案：D解析：本題考察的是在使用iNasterNCE-Campus作為Portal服務器，在華為無線控制器上部署Portal認證時，哪一項配置不是必須的。A.URL模板：URL模板是指用戶在連接無線網絡時，會被重定向到Portal認證頁面的URL地址。因此，URL模板是必須配置的，否則用戶無法進行認證。B.認證模板：認證模板是指Portal認證頁面的樣式和內容。認證模板也是必須配置的，否則用戶無法進行認證。C.Portal認證模板：Portal認證模板是指無線控制器與Portal服務器之間的認證協議。Portal認證模板也是必須配置的，否則無法進行認證。D.MAC認證模板：MAC認證模板是指使用MAC地址進行認證的模板。在使用iNasterNCE-Campus作為Portal服務器時，不一定需要使用MAC地址進行認證，因此MAC認證模板不是必須的配置項。綜上所述，答案為D。73.以下關于URL分類的描述，錯誤的是哪一項?A、自定義URL分類需要管理員手工配置B、預定義URL分類是出廠預置的，無需管理員手動加載C、預定義URL分類不能創建、刪除和重命名D、預定義URL分類優先級高于自定義URL分類答案：D解析：自定義URL分類優先級高于預定義URL分類。74.IPSec整個協議框架包含多種協議，以下哪一項協議不屬于IPSec協議框架？A、ESPB、AHC、IKED、TLS答案：D解析：75.如圖所示，企業A與企業B需要安全通信，防火墻A和防火墻B之間建立IPSec隧道，則以下哪一項的安全協議和封裝模式可以滿足該場景需求？A、AH；隧道模式B、ESP；隧道模式C、ESP；傳輸模式D、AH+ESP；傳輸模式答案：B解析：根據題目中的需求，企業A和企業B需要安全通信，防火墻A和防火墻B之間建立IPSec隧道。因此，需要使用IPSec協議來保證通信的安全性。在IPSec中，有兩種常用的安全協議：AH和ESP。AH協議提供數據完整性和源認證，但不提供數據加密。ESP協議提供數據加密、數據完整性和源認證。因此，選項A中的AH協議不能滿足數據加密的需求，不符合題目要求。選項C中的ESP協議可以提供數據加密，但是傳輸模式只對數據部分進行加密，而不對IP頭進行加密，容易被攻擊者截獲IP頭信息。因此，選項C也不符合題目要求。選項D中的AH+ESP協議可以提供數據完整性、數據加密和源認證，但是傳輸模式同樣存在IP頭信息泄露的問題。因此，選項D也不符合題目要求。選項B中的ESP協議和隧道模式可以同時提供數據加密、數據完整性和源認證，同時對整個IP包進行加密，保證了通信的安全性，符合題目要求。因此，選項B是正確答案。76.以下關于webLink與Web改寫區別的描述，錯誤的是哪一項?A、WebLink不會進行加密和適配，只做單純“轉發”遠程用戶的Web資源請求B、由于WebLink少了加密和適配的環節，因此業務處理效率較之Web改寫要高C、WebLink比Web改寫依賴IE控件，在非IE環境中無法正常使用D、WebLink需要加密和適配的環節，因此安全性更高答案：D解析：本題考察對WebLink與Web改寫的理解以及它們之間的區別。A選項描述的是WebLink的特點，即它只是簡單地轉發遠程用戶的Web資源請求，不會進行加密和適配。這是正確的。B選項描述的是WebLink與Web改寫的區別，即WebLink少了加密和適配的環節，因此業務處理效率較之Web改寫要高。這也是正確的。C選項描述的是WebLink的缺點，即它比Web改寫更依賴IE控件，在非IE環境中無法正常使用。這是正確的。D選項描述的是WebLink需要加密和適配的環節，因此安全性更高。這是錯誤的。實際上，由于WebLink不進行加密和適配，因此它的安全性相對較低，容易受到網絡攻擊。因此，本題的答案是D。77.以下關于健康檢