精品文檔-下載后可編輯華為HCIPH12-722安全試卷三華為HCIPH12-722安全試卷三

1.【單選題】1分|在云網一體化場景下，VNGFW通過以下哪一項中的北向接口對接AC控制器

AGrpc

BSFIP

CNETCONF

DOpenFlow

2.【多選題】1分|未授權訪問會對信息安全的哪些方面帶來風險?(多選)

A機密性

B完整性

C可用性

D可恢復性

3.【多選題】1分|在云時代的安全防護體系中，需要在事前、事中、事后三個階段都進行改革，并且形成閉環的持續改進和發展。其中在“事中"應該做到下列哪些關鍵點?(多選)

A漏洞情報

B縱深防御

C攻防態勢

D反擊黑客

4.【多選題】1分|華為NIP6000產品從多個層面提供了電信級的高可靠性機制保證設備的穩定運行以下哪些選項屬于組網可靠性(多選)

A雙機熱備

B電源1+1冗余備份

C硬件Bypass

DLink-group

5.【多選題】1分|下列哪些選項屬于IPS檢測失效的常見原因?(多選)

AIPS策略未提交編譯

BIPS策略域間關聯錯誤的PolicyID

C沒有開啟IPS功能

DIPS中Bypass功能關閉

6.【多選題】1分|開啟攻擊防范功能的配置命令如下:下列哪些選項對于攻擊防范配置的描述是正確的?(多選)

[FW]anti-ddossyn-floodsource-detect

[FW]antiddosudp-flooddynamic-fingerprint-learn

[FW]antiddosudp-frag-flooddynamic-fingerprint-learn

[FW]anti-ddoshttp-flooddefendalert-rate2000

[FW]anti-ddoshttp-floodsource-detectmodebasic

A防火墻開啟了SYNFlood源探測防御功能。

B防火墻使用首包丟棄防御UDPFIood攻擊。

CHTTPFlood攻擊防御使用增強模式進行防御

DHTTPFlood防御啟動的閾值是2000。

7.【多選題】1分|關于關鍵字的描述，以下哪些是正確的?(多選)

A關鍵字是內容過濾時設備需要識別的內容。

B關鍵字包括預定義關鍵字和自定義關鍵字。

C文本能匹配的關鍵字最短長度為2個字節。

D自定義關鍵字只能用文本方式進行定義。

8.【多選題】1分|在華為防火墻上配置了如下命令:

[USG]firewalldefendip-fragmente

nable

則下列哪些情況會被記錄為攻擊行為?(多選)

ADF位為1，而MF位也為1或FragmentOffset不為0

BDF位為0,MF位為1或FragmentOffset不為0

CDF位為0,而FragmentOffset+Length65535

DDF位為1,而FragmentOffset+Length65535。

9.【多選題】1分|下列哪些選項屬于華為USG6000產品反病毒特征庫的升級方式?(多選)

A本地升級

B手動升級

C在線升級

D自動升級

10.【多選題】1分|華為USG6000產品的內容過濾技術可以對哪些內容進行過濾?(多選)

A上傳文件內容中包含的關鍵字

B下載文件中包含的關鍵字

C文件類型

D文件上傳的方向

11.【多選題】1分|對于URPF技術的描述，下列哪些選項是正確的?(多選)

A主要功能是防止基于源地址欺騙的網絡攻擊行為。

B嚴格模式下不檢查接口是否匹配，只要存在針對源地址的路由，報文就可以通過。

C松散模式下不僅要求在轉發表中存在相應表項，還要求接口一定匹配才能通過URPF檢查

D在不能保證路由對稱的環境下使用URPF的loose模式。

12.【多選題】1分|基于代理的反病毒網關，以下哪些描述是正確的?(多選)

A檢測率相比流掃描方式較高

B系統開銷將會比較小

C通過網關自身的協議棧將文件全部緩存下來

D可以進行更多如解壓，脫殼等高級操作

13.【多選題】1分|以下哪些選項屬于TCP/IP協議棧的網絡層攻擊?(多選)

A地址掃描

B緩沖區溢出

C端口掃描

DIP欺騙

14.【多選題】1分|下列哪些選項對于管理中心ATIC的配置描述是正確的?(多選)

A在管理中心上需要配置引流任務,在發現攻擊行為時,向清洗中心下發。

B需要在管理中心上配置防護對象，引導異常的訪問流量。

C管理中心上需要配置端口鏡像,進行異常流量的監測。

D管理中心上需要配置回注策略,引導清洗后的流量。

15.【單選題】1分|將IPS設備串行部署在網絡中時，IPS連接上下行設備的接口下應配置以下哪一項命令

Adetect-modespan

Bdetect-modebridge

Cdetect-modetap

Ddetect-modeinline

16.【單選題】1分|若想實現限制內網用戶登錄某個賬號，則應配置以下哪一項應用行為控制

AFTP行為

BHTTP行為

CNETCONF行為

DIM行為

17.【單選題】1分|以下關于郵件內容過濾運行機制的描述，錯誤的是哪一項

AFW首先需要根據匹配條件識別出要進行郵件過濾的流量

B檢測到POP3或IMAP消息時，如果判定為非法郵件，FW的響應動作可以是發送告警信息或阻斷郵件

C郵件內容過濾僅在出方向檢測

DFW篩選出郵件流量后，再檢查郵箱地址和附件大小，識別出非法郵件

18.【單選題】1分|為防止內網用戶對外部服務器實施S1owHTTPPost攻擊，部署以下哪種形式的HTTP行為控制技術最為合適

A限制用戶進行代理上網

B限制用戶上傳大文件

C限制用戶瀏覽網頁，對用戶的HTTPGet請求進行檢查

D限制用戶的Post操作的內容大小，對用戶的HTTPPost報文中的Content-Length字段進行檢查

19.【單選題】1分|在Post報文中聲明一個很大C的ontent-Length值,但是每次發送的報文Body長度很小，服務器會認為攻擊者還有后續的報文發送。攻擊者每一段時間發送一個Body長度很小的報文即可實現讓服務器一直保持連接的目的。

以上描述是哪種WEB攻擊的原理?

AHTTPFlood

BCCS1owHeader

CXSS反射型攻擊

DCCSlowPost

20.【單選題】1分|IPS是一種智能化的入侵檢測和防御產品，它不但能檢測入侵的發生，而且能通過一定的響應方式，實時地中止入侵行為的發生和發展，實時地保護信息系統不受實質性的攻擊。以下關于IPS的描述，錯誤的哪一項?

A可實現全方位防護。

B可以檢測木馬、蠕蟲攻擊，但是無法檢測出緩沖區溢出攻擊。

C設備采用直路方式部署在網絡中，能夠在檢測到入侵時，實時對入侵活動和攻擊性網絡流量進行攔截，將對網絡的入侵降到最低。

DIPS是在發現入侵行為時能實時阻斷的入侵檢測系統。

21.【單選題】1分|下關于入侵防御系統的描述，錯誤的是哪一項?

A入侵防御系統是一種在發現入侵行為時能實時阻斷的入侵檢測系統。

BIPS使得IDS和防火墻走向統一

C通過旁路方式部署，需要在交換機上做端口鏡像。

D通過直路方式串接在網絡邊界上，無法在線部署和阻斷。

22.【單選題】1分|入侵檢測系統是用于入侵檢測的所有軟硬件系統，以下關于入侵檢測系統特點的描述,錯誤的是哪一項?

A不占用被保護的設備上的資源。

B操作系統關聯性。

C監測速度快。

D攻擊者不易轉移證據。

23.【單選題】1分|簽名"A0001"的動作為告警,包含該簽名的簽名過濾器動作為阻斷，同時存在一個包含該簽名的例外簽名，該例外簽名的動作為放行，則最終匹配中該簽名之后的執行動作為以下哪一項

A放行

B無法判斷

C告警

D阻斷

24.【單選題】1分|以下關于反病毒特征庫在線升級的描述，錯誤的是哪一項?

A服務器端口，默認為443

B升級時需要訪問服務器地址，可以是IP地址或域名形式。

C在線升級時可以根據設定的時間自動下載并更新本地的反病毒特征庫。

D使用在線升級方式時，如果可以直接訪問升級中心，只需要在FW.上配置放行HTP協議和安全策略。

25.【單選題】1分|以下關于Anti-DDos系統的描述，錯誤的是哪一項?

A管理中心主要完成對攻擊事件的處理、控制清洗中心的引流策略和清洗策略，并對各種攻擊事件和攻擊流量分類查看，產生報表。

B檢測中心主要負責網絡流量的檢測分析。

C清洗中心的主要作用是對鏡像或者分光過來的流量進行DDos攻擊流量的檢測和分析，將分析數據提供給管理中心進行判斷。

DAnti-DDoS防御系統采用B/S架構，部署簡單方便，不需安裝客戶端軟件即可完成業務的管理和監控,適合客戶多地域分散部署多臺檢測和清洗設備，而通過一臺設備集中管理。

26.【單選題】1分|以下關于大數據智能安全分析平臺的描述，錯誤的是哪一項

A數據采集包括日志采集和原始流量采集，其中流探針負責日志采集。

B數據處理過程中，關聯分析主要通過挖掘事件之間的關聯和時序關系，從而發現有效的攻擊。

C流量基線異常檢測將自學習和用戶自定義的流量基線加載到內存中，并對流量數據進行在線統計和分析，一旦網絡行為與流量基線存在偏差，即輸出異常事件。

D威脅判定根據多個異常進行關聯、評估和判定產生高級威脅,為威脅監控和攻擊鏈路可視化提供數據。

27.【單選題】1分|在數據中心解決方案中，為實現南北向邊界安全、SMAT.IPseCVPN和IPS等功能，可部署以下哪一種VAS服務

AvLB

BvNIP

CvWAF

DVNGFW

28.【單選題】1分|以下關于郵件過濾使用限制的描述，錯誤的是哪一項?

AFW作為旁路檢測設備時，支持郵A件過濾特性。

BIP地址檢查可以防止垃圾郵件在內網泛濫。

C在雙機熱備的負載分擔場景下，需要保證報文來回路徑一致，否則Fw無法進行郵件過濾檢測。

D郵件過濾功能不受License控制。

29.【單選題】1分|以下關于華為USG6000產品郵件內容過濾配置的描述，錯誤的是哪一項?

A只有在安全策略為允許的條件下調用了郵件過濾配置文件，郵件過濾才會生效。

B檢測到IMAP消息時，如果判定為非法郵件，防火墻的響應動作僅支持發送告警信息，不會阻斷郵件。

C檢測到POP3消息時，如果判定為非法郵件，防火墻的響應動作僅支持發送告警信息，不會阻斷郵件。

D附件大小的限制是針對單個附件的限制，而不是對所有附件總體大小的限制。

30.【單選題】1分|以下哪一項不屬于基于IP地址的郵件過濾技術?

A郵件地址檢查

B本地黑名單

CRBL遠程查詢

D本地白名單

31.【單選題】1分|HTTP行為控制技術不支持以下哪一項執行動作?

A告警

B禁止

C允許

D重定向

32.【單選題】1分|在Post報文中聲明一個很大c的ontent-Length值，但是每次發送的報文Body長度很小，服務器會認為攻擊者還有后續的報文發送。攻擊者每隔一段時間發送一個Body長度很小的報文即可實現讓服務器一直保持連接的目的。

以上描述是哪種WEB攻擊的原理?

AXSS反射型攻擊

BCCSlowPost

CCCSlowHeader

DHTTPFlood

33.【單選題】1分|簽名的預定義動作不包含以下哪一選項?

A阻斷

B告警

C放行

D重定向

34.【單選題】1分|以下關于入侵防御中簽名過濾器的描述，錯誤的是哪一項?

A設備升級特征庫后會存在大量簽名，這些簽名會自動分類，但是有些簽名所包含的特征本網絡中不存在，需過濾出去，故設置了簽名過濾器進行管理。

B簽名過濾器是滿足指定過濾條件的集合。

C簽名過濾器的過濾條件包括:簽名的類別、對象、協議、嚴重性、操作系統等。

D簽名過濾器的動作優先級高于簽名缺省動作，當簽名過濾器的動作不采用簽名缺省動作時，以簽名過濾器設置的動作為準。

35.【單選題】1分|以下防火墻病毒處理流程中優先級最高的流程是哪一項?

A白名單

B病毒例外

C應用例外

D病毒檢測

36.【單選題】1分|華為防火墻的文件信譽老化時間默認為多少天?

A30

B15

C60

D90

37.【單選題】1分|以下關于DNSRequestF1ood攻擊的描述，正確的是哪一項?

A針對緩存服務器的DNSRequestF1ood攻擊可以采用重定向方式驗證源的合法性。

B對于授權服務器的DNSRequestF1ood攻擊，可以通過觸發客戶端以TCP報文發送DNS請求，用以驗證源IP的合法性

C重定向