2025年PT2安全認證SSTP含ACAFSIPEDRAtrust題庫【深信服PT2題庫】1.[AC]關于SSL的釘釘認證,下面說法錯誤的是A.當用戶同時屬于角色映射的角色和組映射關聯的角色時,兩者角色都生效B.使用釘釘認證,必須導入受信的SSL證書,且放通與釘釘通訊的域名及端口https://oapi.dingC.如果需要配置釘釘微應用直接跳轉到內網某個網頁,則填寫格式為:地址/por/dingtalkminiconnect.htmlhttps://VPND.設置完組映射后,當用戶屬于多個釘釘部時,組映射關聯的資源將同時生效,策略將以較小的釘釘部]ID對應的映射為準正確答案:C解析：暫無解析2.[AC]深信服上網行為管理支持OAuth認證,下列選項中說法錯誤的是A.獲取OA組織結構需要在深信服AC本地配置一個起始組B.深信服上網行為管理OAuth認證支持獲取到企業OA,例如企業微信的組織結構C.AC會定時(1h)對開啟自動獲取用戶所屬組功能的OA服務器進行組織結構同步D.不在企業微信組織結構的用戶,認證時,點擊申請加入組織結構,管理員審批后,可以完成認證正確答案:D解析：深信服上網行為管理支持OAuth認證，并且可以實現與企業微信等OA系統的組織結構同步。對于不在企業微信組織結構的用戶，在認證時，應由管理員直接創建用戶并分配到相應的組織結構中，而不是由用戶點擊申請加入組織結構。因此，選項C的說法是錯誤的。其他選項A、B、D均描述了深信服上網行為管理OAuth認證的相關功能，且表述正確。3.[AC]以下關于靜態路由的優先級說法正確的是?A.直連路由>動態路由>靜態路由B.靜態路由>動態路由>默認負載策略C.優先負載策略>靜態路由>默認路由D.直連路由>默認路由>默認負載策略正確答案:B解析：在路由選擇中，各種路由的優先級是有明確順序的。直連路由，即直接連接的網絡，通常具有最高的優先級，因為其可靠性和效率最高。但在題目所給的選項中，并未直接涉及直連路由與靜態、動態路由的直接對比，而是聚焦于靜態路由、動態路由以及默認負載策略之間的關系。根據路由選擇的原則，靜態路由是管理員手動配置的，因此其優先級通常高于動態路由，動態路由是通過路由協議自動學習和更新的。而默認負載策略或默認路由，通常是在沒有其他更具體或更高優先級的路由匹配時才使用的。所以，正確的優先級順序是靜態路由高于動態路由，動態路由高于默認負載策略，即選項B所描述的“靜態路由>動態路由>默認負載策略”。4.[AC]深信服上網行為管理支持OAuth認證,內置的OAuth認證,不支付列通項中基體的認證方式A.FacebookB.TwitterC.LineD.WhatsApp正確答案:D解析：根據題目可知，深信服上網行為管理支持OAuth認證，但不支持列出的通項中的認證方式。在選項中，Facebook、Twitter、WhatsApp都支持OAuth認證，而Line不支持OAuth認證。5.[AF]客戶發現AF的業務資產管理功能標記某業務高風險,以下哪種情況是可能的原因?A.資產離線超過30天但小于60天B.業務對應的服務端口為anyC.業務無訪問流量,且主動掃描發現已經離線D.資產RDP端口開放并且在使用正確答案:B解析：在業務資產管理功能中，標記某業務為高風險通常基于對該業務安全狀況的評估。選項B“業務對應的服務端口為any”意味著該業務的服務端口未特定，可能是開放的，這增加了業務被攻擊或濫用的風險，因此被標記為高風險是合理的。而其他選項，如資產離線超過一定時間（A選項）、業務無訪問流量且已離線（C選項，且與搜索結果描述不完全一致，搜索結果并未指出這是高風險的原因）、資產RDP端口開放并在使用（D選項，通常表示資產在正常使用，不一定代表高風險），這些情況通常不會直接導致業務被標記為高風險。6.[SIP]關于金融行業平臺STP對接人行服務器,說法錯誤的是如需協助實驗或者實驗題庫請添加微信：hwtk666A.支持對數據進行脫敏上報,并且可自定義配置要脫敏的字段。B.通過對接kafka或者的上報方式將下級機”的數據通過自動上報策略定時上報到上級機構。C.第三方日志可通過SIEM模塊在SIP經過關聯分析,生成安全事件后,再上傳到人行kafka服務器。D.支持到人行總行的kafka服務器獲取威脅情報,并加入到本地威脅情報庫中。正確答案:C解析：在金融行業平臺STP對接人行服務器的過程中，關于日志和安全事件的處理有嚴格的規定。第三方日志可以通過SIEM模塊在SIP中進行關聯分析，生成安全事件。但生成的安全事件應當上傳到本地威脅情報庫，以便進行進一步的分析和處理，而不是直接上傳到人行kafka服務器。因此，選項C的描述是錯誤的。7.[AF]某企業購買AF,需要對業務進行存在弱口令和口令爆破行為進行安全檢測,以下說法錯誤的是A.可以針對WEB高頻,中低頻、分布式的爆破行為防護B.支持針對WEB站點頁面登錄入口進行自定義的口令防護規則C.在開啟口令防護功能時,建議害戶將企業名稱信息相關的弱口令加入弱口令規則檢測中,從而提高發現存在的弱口令D.當檢測出弱口令后,AF可以針對該規則進行聯動封鎖正確答案:D解析：對于AF（可能是指某種安全設備或軟件）在針對業務進行存在弱口令和口令爆破行為的安全檢測時，我們需要仔細分析每個選項描述的功能或建議。8.[AF]某客戶業務中,遭受大量超長URL進行訪問,導致服務器無法處理過程該請求,嚴重影響業務的可持續性,部署AF后如何進行防護?A.限制該URL訪問,不會影響業務B.自定義WEB應用防護規則,對訪問該URL進行安全防護C.自定義漏洞攻擊防護規則,對訪問該URL進行安全防護D.開啟URL溢出檢測,對URL最大長度進行限制正確答案:D解析：這道題考察的是對應用防火墻（AF）功能的理解。面對大量超長URL訪問導致服務器無法處理的問題，關鍵在于識別并限制這類異常請求。選項A忽略了業務可能依賴該URL，不可行；選項B和C雖然提到了自定義防護規則，但并未直接針對URL長度這一核心問題；選項D則直接提出了開啟URL溢出檢測，并對URL最大長度進行限制，這正是解決該問題的有效方法。9.[AF]客戶網絡進行安全改造,想購買我們AF替換他們的傳統防火墻,客戶想了解我們AF殺毒功能可以針對通過哪些途徑傳播的病毒文件進行查殺,下面說法不正確的是?A.可以針對通過SMTP、POP3和IAMP郵件協議傳輸的病毒文件進行查殺B.可以針H對HTPHTTPS協議傳輸的病毒文件進行查殺,針對HPS協議需要開啟解密功能C.可以針對通過SMB網絡共享協議傳輸的病毒文件進行查殺D.可以針對通過FTP和SFTP協議傳輸的病毒文件進行直殺正確答案:D解析：AF的殺毒功能可以針對多種協議傳輸的病毒文件進行查殺。具體來說，它可以針對通過SMTP、POP3和IMAP郵件協議，以及HTTP/HTTPS協議傳輸的病毒文件進行查殺，對于HTTPS協議需要開啟解密功能。同時，AF也能針對通過SMB網絡共享協議傳輸的病毒文件進行查殺。然而，AF并不能直接查殺通過FTP和SFTP協議傳輸的病毒文件，因此選項D的說法是不正確的。10.[AF]關于惡意域名重定向說法不正確的是A.AF7.1及以上版本開始支持B.該功能主要針對場景是內網存在DNS代理的環境,AF無法直接看到DNS請求的源IPC.目前SIP也支持惡意域名重定向D.惡意域名重定向功能產生的日志在內置數據中心進行查詢正確答案:C解析：惡意域名重定向功能在AF7.1及以上版本開始支持，這一功能主要針對的場景是內網存在DNS代理的環境，此時AF無法直接看到DNS請求的源IP。此外，惡意域名重定向功能產生的日志可以在內置數據中心進行查詢。然而，目前SIP并不支持惡意域名重定向功能。11.[AF]AF部署在服務器區域,為了防護業務的安全性,開啟了WEB應用防護功能,以下針對WEB應用防護的口令防護,說法錯誤的是?A.WeB口令防護可以針對HTTPS站點進行檢測,前提需要導入站點的證書(公私鑰)才能夠解密B.WEB登錄弱口令檢測可以根據用戶場景自定義弱口令C.當客戶業務中存在WEB登錄弱口令,AF會進行攔截D.內置TOP1000弱口令字典正確答案:C解析：這道題考察的是對WEB應用防護功能的理解。AF作為應用防火墻，在開啟WEB應用防護功能后，確實可以對HTTPS站點進行檢測，但需要導入站點證書來解密，所以A選項正確。同時，WEB登錄弱口令檢測功能允許用戶根據具體場景自定義弱口令規則，因此B選項也是正確的。至于D選項，提到內置TOP1000弱口令字典，這是常見的安全實踐，用于增強口令強度檢測，所以D選項同樣正確。而C選項的說法存在問題，因為AF在檢測到WEB登錄弱口令時，通常不會直接進行攔截，而是記錄并報警，由管理員來處理，所以C選項是錯誤的。12.[AF]在HW場景中,客戶在使用AF主動誘捕功能時,下面說法正確的是?A.主動誘捕功能對部署模式沒有限制,都可以正常使用B.為達到更好的偽裝效果,偽裝服務可以配置成真實服務器的IP和端口C.云端和本地偽裝服務都可以記錄社交指紋,進行溯源D.為達到更好的偽裝效果,需要開通云蜜罐功能,并使用云端的偽裝服務正確答案:D解析：在HW場景中的AF主動誘捕功能，關鍵在于理解其工作原理和部署要求。對于選項A，主動誘捕功能可能對部署模式有特定要求，不是所有模式都適用，因此A錯誤。對于選項B，雖然偽裝服務可以配置，但通常不會配置成真實服務器的IP和端口，因為這可能暴露真實環境，所以B錯誤。對于選項C，通常云端偽裝服務可以記錄社交指紋進行溯源，但本地偽裝服務可能不具備這樣的能力，因此C錯誤。對于選項D，為了達到更好的偽裝效果，確實可能需要開通云蜜罐功能，并使用云端的偽裝服務，這樣可以提供更高級別的偽裝和溯源能力，因此D是正確的。13.某企業站點通過referer的形式訪問該站點,開啟CC攻擊后,導致較多正常用戶無法訪問,針對該問題如何進行解決?A.由于該站點通過referer的形式訪問,所以不能開啟referer防護CC攻擊,而是選擇特定URL或者源IP防護CC攻擊B.自定義CC防護規則,調大referer字段檢測閥值C.調大源IP防護CC攻擊的觸發閥值和檢測時間D.調大referer防護CC攻擊的觸發閥值和檢測時間正確答案:B解析：在解決通過referer形式訪問站點引發的CC攻擊問題時，關鍵在于調整防護策略以適應這種特定的訪問方式。自定義CC防護規則可以針對實際情況進行精細設置，而調大referer字段檢測閾值能夠減少因正常referer訪問而誤觸發防護機制的情況，從而有效緩解CC攻擊對正常用戶訪問的影響。14.[AF]客戶在使用URL過濾過程中,想了解關于AF在HTTP和HTTPS識別和過濾的實現方式,下面說法正確的是?A.HTTP網站和HTTPS網站的過濾都是在三次握手過程中,AF模擬服務器對客戶端發送RST包來進行拒絕的B.HTTP網站識別是通過獲取在get請求數據包中的host字段,HTTPS網站識別是通過獲取Clienthello報文中的Server_Name字段C.HTTP網站和HTTPS網站被AF拒絕后都會重定向到AF的拒絕頁面D.HTTP網站和HTTPS網站的文件下載都可以直接進行過濾正確答案:B解析：HTTP網站識別，終端設備通過DNS域名后，跟網站服務器三次握手完成，發給get請求，在get請求數據包中的host字段，就是訪問網站的具體URL，AF通過抓取這個字段來識別終端用戶是訪問的哪個網站。如果AF對該url做過濾,終端設備在發出get請求后（即完成HTTP識別），設備會偽裝成網站服務器向終端設備發一個狀態碼302的數據包，源ip是網站服務器的ip地址（實際是AF設備發送的，設備標識ip.id是0x7051），數據包中的內容是告知終端設備訪問網站服務器的拒絕界面。HTTPS網站識別，終端設備通過DNS域名后，跟網站服務器三次握手完成，終端開始發Clienthello報文(SSL握手的第一階段)，在此報文中的server_name字段包含所訪問的域名，AF提取Server_Name字段來識別https的網站。對HTTPS網站過濾，終端設備在發送Clienthello報文后，我們識別到該網站，然后同http封堵一樣，偽裝網站服務器給終端設備發送RST包（ip.id也是0x7051），斷開終端設備與網站服務器之間的連接，從而控制HTTPS網站的訪問。與HTTP過濾的區別HTTPS整個過程都是加密的，在沒有做SSL中間人劫持的時候是無法劫持和偽造具體數據包的，從而無法實現重定向到拒絕界面15.【AF】用戶希望通過AF看到內網可視化的業務拓撲圈,看清業務訪問邏輯,需要怎么操作?A.開啟流量審計日志功能B.開啟流量管理功能C.開啟業務資產管理功能D.開啟應用控制策略的日志功能正確答案:C解析：這道題考察的是對網絡管理功能的理解。用戶希望通過AF（一種網絡管理工具）看到內網可視化的業務拓撲圈，并看清業務訪問邏輯。這要求AF能夠提供業務層面的可視化展示。-A選項“開啟流量審計日志功能”主要是記錄流量數據，用于審計，并不直接提供業務拓撲的可視化。-B選項“開啟流量管理功能”雖然涉及流量，但更多關注于流量的控制和優化，并不專注于業務拓撲的可視化。-C選項“開啟業務資產管理功能”直接關聯到業務層面的管理，包括業務拓撲的可視化，符合用戶需求。-D選項“開啟應用控制策略的日志功能”主要關注應用控制策略的日志記錄，與業務拓撲可視化不直接相關。因此，正確答案是C，開啟業務資產管理功能，以滿足用戶通過AF看到內網可視化的業務拓撲圈，看清業務訪問邏輯的需求。16.【AF】關于AF的應用隱藏功能,以下說法正確的是?A.FTP和HTTP應用隱藏功能再策略模版里默認關閉,需要手動開啟B.HTTP頭部字段隱藏默認關閉,需要單獨手動開啟C.4xx/5xx頁面被替換后,訪問頁面將不會返問“Sorry,PageNotFoundD.應用隱藏功能可以記錄頁面替換和字段隱藏正確答案:B解析：這道題考察的是深信服安全設備的相關配置，關于AF的應用隱藏功能，正確是B。HTTP頭部字段隱藏默認關閉，需要單獨手動開啟。具體來說，AF設備提供了應用隱藏功能，該功能可以保護企業的敏感信息，避免被泄露。其中，HTTP頭部字段隱藏是該功能的一部分，默認情況下是關閉的，需要手動開啟。因此，B選項是正確的。其他選項都是錯誤的，比如A選項說FTP和HTTP應用隱藏功能在策略模版里默認關閉，需要手動開啟，這是不正確的。C選項說4xx/5xx頁面被替換后，訪問頁面將不會返問“Sorry,PageNotFound”，這也是不正確的。D選項說應用隱藏功能可以記錄頁面替換和字段隱藏，這也是不正確的。17.選項中,認證方式和認證類型對應關系錯誤的是A.第二方平臺通過radius協議接口將認證信息發送給深信服AC屬于單點登求B.深信服AC的企業微信認證屬于OAuth認證C.短信認證屬于密碼認證D.結合MicrosoftAuthenticator完成認證,屬于密碼認證正確答案:D解析：在認證方式和認證類型的對應關系中，我們需要準確理解每種認證方式的定義和特性。A選項描述的是第二方平臺通過radius協議接口將認證信息發送給深信服AC，這符合單點登錄的定義，即通過一個統一的認證過程來訪問多個應用系統的認證機制。B選項中的企業微信認證屬于OAuth認證，這是正確的，因為OAuth是一種開放標準，允許用戶提供一個安全的訪問令牌，而不是用戶名和密碼來訪問他們存儲在特定服務提供商上的信息。C選項中的短信認證屬于密碼認證，這也是正確的，因為短信認證通常是通過發送一個一次性的密碼到用戶的手機上來進行驗證。D選項中的結合MicrosoftAuthenticator完成認證，實際上屬于雙因素認證或多因素認證，而不是密碼認證，因為它通常結合了用戶知道的（如密碼）和用戶擁有的（如手機）兩種因素進行認證。因此，D選項的對應關系是錯誤的，是正確答案。18.通過對稱密碼算法進行安全消息傳輸的前提條件是A.使用非公開的加密算法B.安全地傳輸對稱密鑰C.使用非對稱加密的私鑰加密對稱秘鑰D.使用安全的數據傳輸信道正確答案:B解析：在對稱密碼算法中，加密和解密使用的是相同的密鑰。因此，為了安全地傳輸消息，必須確保這個密鑰在傳輸過程中不被泄露給未經授權的接收者。A選項提到使用非公開的加密算法，這雖然可以增加安全性，但對稱密碼算法的安全性并不完全依賴于算法的公開性。B選項指出需要安全地傳輸對稱密鑰，這是使用對稱密碼算法進行安全消息傳輸的關鍵前提條件。如果密鑰在傳輸過程中被泄露，那么消息的安全性就無法保證。C選項提到使用非對稱加密的私鑰加密對稱密鑰，這實際上是一種混合加密策略，其中非對稱加密用于安全地傳輸對稱密鑰，而不是直接用于消息加密。這個選項描述了一個可行的方法，但并不是對稱密碼算法進行安全消息傳輸的直接前提條件。D選項提到使用安全的數據傳輸信道，這同樣是一個重要的安全措施，但它是一個更寬泛的概念，不僅適用于對稱密碼算法，也適用于其他加密技術。因此，正確答案是B，即需要安全地傳輸對稱密鑰，這是使用對稱密碼算法進行安全消息傳輸的前提條件。19.AF設備默認的路由優先級排列為A.VPN路由>策略路由>默認路由>靜態路由B.VPN路由>策略路由>靜態路由>默認路由C.VPN路由>靜態路由>策略路由>默認路由D.策略路由>靜態路由>VPN路由>默認路由正確答案:C解析：本題在考試題庫中的答案為AF8.0.51版本之前的標準在標準版本AF8.0.51版本之前，AF路由默認的優先級是：【SSLVPN路由】>【VPN路由】>【直連路由】>【靜態路由/動態路由】>【策略路由】>【默認路由】從標準版本AF8.0.51版本開始，AF路由默認的優先級是：【直連路由】>【策略路由】>【VPN路由】>【靜態路由/動態路由】>【默認路由】20.上網策的適用對象中的“源IP"勾選了IP組-54.同時給勾選了本地用戶zhangsan,下列說法錯誤的是A.用戶lisi使用11能匹配上這個策略B.用戶zhangsan使用11能的夠多四配上策略C.“本地用戶”和“源IP“需要同時匹配上才能成功匹配策略D.用戶zhangsan使用192168.2.100上網能夠匹配上這個策略正確答案:C解析：AC上網策略適用對象包括四種類型：用戶、位置、終端類型和目標區域對于這四種類型的對象，他們之間是“與”的關系但是！！！用戶類型下的本地用戶、域用戶、域安全組、域屬性、用戶屬性組、源IP。它們的關系是“或”關系，而非“與”關系。題目中源IP?與本地用戶?符合其中一個即可匹配上策略21.[EDR]以下對于最新版本XDR(國產化)與SIP聯動說法錯誤的是A.能從SIP平臺下發聯動封鎖B.能實現XDR安全日志上報C.能實現XDR資產上報至SIP平臺D.能從SIP平臺下發病毒查殺正確答案:A解析：在EDR（國產化）與SIP聯動的場景中，通常涉及到兩者之間的信息交互和功能協作。根據題目中的選項進行分析：22.[EDR]下列關于系統漏洞檢測與修復功能,說法正確的是A.系統漏洞檢測與修復功能可以檢測Linux系統所有漏洞B.系統漏洞檢測與修復功能只適用Windows系統,不適用其它系統C.系統漏洞檢測與修復功能可以檢測客戶業務系統漏洞D.系統漏洞檢測與修復功能可以檢測Android系統漏洞正確答案:B解析：答案A正確。在常見的系統漏洞檢測與修復功能中，Windows系統是較為常見的適用對象，但并非僅適用于Windows系統。而對于選項B，Linux系統的漏洞種類繁多且復雜，系統漏洞檢測與修復功能難以檢測到其所有漏洞。對于選項C，客戶業務系統通常具有獨特的架構和特性，一般的系統漏洞檢測與修復功能不一定能檢測到其漏洞。因此，選項A是正確的。23.[EDR]EDR有關PC端的授權,下列哪項組合是不正確的A.智防+智控B.智防+智響應C.智防D.智控+智響應正確答案:D解析：在EDR（EndpointDetectionandResponse，終端檢測與響應）系統中，關于PC端的授權組合，通常根據系統的設計和功能劃分來確定。智防（智能防護）通常指的是系統能夠自動識別和防御潛在的安全威脅；智控（智能控制）可能涉及對系統行為的智能管理和調控；智響應（智能響應）則是指系統在檢測到安全事件后能夠自動采取應對措施。24.[EDR]截至3.2.36版本,以下選項中對于微隔離說法錯誤的是A.開啟“流量上報”,可以查看業務系統流量訪問情況,但是只包括已放通流量B.微隔使用Windows防火墻WFP和linux防火墻iptables進行訪流量安多和上的C.微隔離是一種集中化的流量識別和管理技術D.完成微隔離的配置需要以下四個步驟:1.業務系統棟理2.定義對象.配置微福高策路4效果驗證正確答案:A解析：微隔離技術主要用于在數據中心或云環境中提供細粒度的安全控制。關于選項：A項錯誤，因為開啟“流量上報”功能通常可以查看業務系統的流量訪問情況，這包括已放通流量和未放通流量，而不僅僅是已放通流量。B項正確，微隔離確實使用Windows防火墻（WFP）和Linux防火墻（iptables）進行流量的安全管理和控制。C項正確，微隔離是一種集中化的流量識別和管理技術，它提供了對數據流在虛擬機或容器之間流動的精細控制。D項正確，完成微隔離的配置通常需要業務系統梳理、定義對象、配置微隔離策略以及效果驗證這四個步驟。因此，錯誤的選項是A。25.[EDR]Agent與EDR管理平臺通信不會使用到以下哪個端口A.8083B.8088C.54120D.443正確答案:B解析：在EDR（EndpointDetectionandResponse，終端檢測與響應）系統中，Agent與管理平臺之間的通信需要用到特定的端口。根據題目描述和搜索結果，端口8083、54120和443均可能被使用，而端口8088不會被使用。因此，選項B是正確答案。26.[EDR]以下關于EDR病毒庫更新正確的是A.Agent客戶端只能從EDR管理端更新病毒庫規則庫B.EDR管理端不需要配置DNS就可以實現自動更新病毒規則庫C.EDR管理端可以在指定時間內自動更新病毒規則庫D.EDR管理端可以通過離線導入病毒庫更新正確答案:D解析：在EDR（EndpointDetectionandResponse，終端檢測與響應）系統中，病毒庫的更新是一個關鍵環節。針對給出的選項進行分析，EDR管理端通常需要通過網絡連接到病毒庫服務器以獲取最新的病毒規則庫更新。然而，在某些特定情況下，如網絡環境受限或需要快速部署更新時，離線導入病毒庫成為一種有效的更新方式。選項C描述的“EDR管理端可以通過離線導入病毒庫更新”正是這種情況，它允許管理員在無法直接聯網的情況下，通過手動下載病毒庫文件并導入到EDR管理端，從而實現病毒庫的更新。其他選項如A、B、D均描述了病毒庫更新的可能途徑或條件，但根據題目要求和EDR系統的實際運作機制，C選項是最符合題意的正確答案。27.[EDR]某用戶辦公區出現了勒索病毒,針對勒索傳播使用的端口以下說法正確的是?A.135、137、138、139、445、3389B.135、136、138、139、445、3389C.135、136、137、139、445、3389D.136、137、138、139、445、3389正確答案:C解析：勒索病毒主要通過特定端口傳播，其中135端口用于RPC通信，可能被利用來遠程控制工作站；137和138端口在局域網中提供計算機名稱或IP地址查詢服務，可能被入侵者獲取主機信息；139端口允許通過網上鄰居訪問局域網中的共享文件或打印機，存在漏洞；445端口基于CIFS協議，用于文件和打印機共享，易被利用來傳播病毒；3389端口是遠程桌面的默認端口，易受暴力破解攻擊。關閉這些端口可以有效減少勒索病毒的傳播風險。28.[EDR]下面關于釋放EDR授權,說法不正確的是A.對于離線的終端,從MGR管理端移除離線的終端可以釋放授權B.從MGR管理端停止Agent不可以釋放授權C.終端離線時是占用授權的D.從客戶端卸載agent軟件時可以釋放授權正確答案:D解析：從客戶端卸載agent軟件時，并不能直接釋放EDR授權。實際上，終端離線時會占用授權；對于離線的終端，從MGR管理端移除可以釋放授權；從MGR管理端停止Agent也可以釋放授權。因此，B選項“從客戶端卸載agent軟件時可以釋放授權”是不正確的。29.[EDR]以下對于最新版本XDR(國產化)與SIP聯動說法錯誤的是A.能實現XDR資產上報至SIP平臺B.能從SIP平臺下發聯動封鎖C.能從SIP平臺下發病毒查殺D.能實現XDR安全日志上報正確答案:B解析：在EDR（國產化）與SIP聯動的場景中，通常涉及到兩者之間的信息交互和功能協作。根據題目中的選項進行分析：30.[EDR]授權過期后,下列說法正確的A.無法使用微隔離功能B.無法更新病毒庫C.無法進行病毒查殺D.無法使用漏洞檢測與修復功能正確答案:B解析：當EDR（EndpointDetectionandResponse，終端檢測與響應）授權過期后，其更新病毒庫的功能會受到影響，因為更新病毒庫通常需要有效的授權或訂閱服務。然而，即使授權過期，EDR仍然可能具備進行病毒查殺、使用微隔離功能以及漏洞檢測與修復的能力，因為這些功能可能不依賴于實時的病毒庫更新。所以，在EDR授權過期后，無法更新病毒庫，但其他功能如病毒查殺、微隔離和漏洞檢測與修復仍可能可用。31.[EDR]針對惡意域名事件,sip聯動EDR進程取證不成功,下面分析正確的是:A.檢查EDR是否啟用了域名審計功能,默認是開啟的B.SIP是否有將安裝客戶端的終端同步到資產C.判斷下訪問惡意域名是否只有DNS解析流量,沒有后續訪問惡意域名流量,如果只有DNS解折流量是取證不成功的。D.以上說法都正確正確答案:D解析：這道題考查對惡意域名事件中sip聯動EDR進程取證不成功的分析。在網絡安全領域，相關處理涉及多個方面。A選項提到EDR域名審計功能默認開啟情況；B選項關注SIP對終端同步到資產的操作；C選項指出僅DNS解析流量無后續訪問會導致取證不成功。綜合來看，以上三個選項的分析都正確，所以答案選D。32.[EDR]EDR客戶端Agent與下列哪個安全軟件不能兼容安裝A.金山毒霸B.QQ管家C.奇安信天擎D.百度殺毒正確答案:D解析：EDR客戶端Agent在與某些安全軟件安裝時存在兼容性問題，特別是與百度殺毒無法兼容安裝。這是由兩者之間的技術沖突或設計不兼容所導致的。因此，在部署EDR客戶端Agent時，應注意避免與百度殺毒同時安裝，以確保系統的穩定性和安全性。33.[EDR]以下選項中,那種操作系統XDR(非專用機)者戶喘不支持安裝A.銀河麒麟V4B.中科方德C.統信UOSV20D.銀河麒麟V10正確答案:B解析：根據操作系統與EDR（EndpointDetectionandResponse，終端檢測與響應）的兼容性，銀河麒麟V4、統信UOSV20、銀河麒麟V10均支持安裝EDR，而中科方德操作系統則不支持安裝EDR。因此，在XDR（非專用機）環境下，用戶無法在中科方德系統上安裝EDR。34.[EDR]“試用版授權”默認能夠使用多久?A.1個月B.2個月C.3個月D.4個月正確答案:C解析：“試用版授權”默認能夠使用的期限為3個月。在此期間內，用戶可以正常使用軟件及其功能，但賬套內數據只能保留3個月以下。超過此期限后，軟件將報錯并無法正常使用。35.[SIP]若發現病毒,在不影響客戶業務的情況下,請問以下哪項是正確的處理步驟A.發現病毒進程2、清除病毒進程5、清除惡意的定時計劃任務或啟動項6、清除惡意的定時計劃任務文件或啟動項文件B.發現病毒進程2、清除病毒進程3、定位病毒進程文件4、刪除病毒文件C.發現病毒進程2、清除病毒進程3、定位病毒進程文件4.刪除病毒文件5、清除惡意的定時計劃任務或啟動項6、清除惡意的定時計劃任務文件或啟動項文件D.設備斷網2、發現病毒進程3、清除病毒進程4、定位病毒進程文件5、刪除病毒文件6、清除惡意的定時計劃任務或啟動項7、清除惡意的定時計劃任務文件或啟動項文件8、設備重啟正確答案:C解析：這道題考察的是對病毒處理步驟的理解。在處理病毒時，首先要發現病毒進程，然后清除病毒進程，接著定位并刪除病毒文件。之后，還需要清除惡意的定時計劃任務或啟動項，以及相關的文件或啟動項文件，以確保病毒被徹底清除。選項C完整地描述了這一處理過程，因此是正確答案。36.[SIP]在使用第三方威脅情況也確認不的情況時,可以通過人工分析的方法分析主機是否存在異常行為,以下思路掃描錯誤的是A.有多臺主機訪問了一些相同的且與業務無關的域名B.查看描述后面拼接的域名是否很多個,且都是看起來隨機的、所有域名有相似性、疑似工具生成C.安全事件查看的訪問的次數較多,且查看安全日志(輔助查詢)可以看出訪問在時間上有一定的規律D.查看到的多個無規則域名,都可以在站長之家查到注冊信息正確答案:D解析：在分析主機是否存在異常行為時，通常會關注一些特定的指標和模式。37.[SIP]客戶覺得自己的網絡很安全了,但SIP上還是檢查出了較多的互聯網WEB攻擊,客戶認為SIP不可信,需要進行分析,以下選項中不合理的是?A.出口有深信服防火墻,并將日志接入到了SIP,顯示的攻擊都已經是被攔截的可看查看具體日志的動B.SIP沒有升級到最新版本,存在較多誤判C.出口的安全設備規很多攻擊防護不了D.查看探針是否進擇為高級模式正確答案:A解析：根據題意，客戶認為自己的網絡很安全，但SIP仍然檢測到了許多互聯網WEB攻擊，導致客戶對SIP的信任度降低。因此，我們需要分析問題的原因。選項A表示出口有深信服防火墻，并將日志接入到了SIP，顯示的攻擊都已經是被攔截的。這說明防火墻已經成功阻止了攻擊，但SIP仍然檢測到攻擊。這可能是因為防火墻配置不正確或存在其他安全問題。因此，選項A是合理的。選項B表示SIP沒有升級到最新版本，存在較多誤判。如果SIP存在版本過舊的問題，可能會導致誤判，因此選項B也是合理的。選項C表示出口的安全設備規很多攻擊防護不了。這意味著即使有防火墻等安全設備，仍有一些攻擊可以繞過防御措施并進入網絡，導致SIP檢測到攻擊。因此，選項C也是合理的。選項D表示查看探針是否進擇為高級模式。高級模式通常能夠檢測更多的攻擊和威脅，而基本模式可能只檢測一些基本的攻擊。如果探針沒有設置為高級模式，可能會漏掉一些攻擊的檢測，導致誤判。因此，選項D也是合理的。綜上所述，選項A是不合理的，因為防火墻已經成功阻止了攻擊，但SIP仍然檢測到攻擊。38.[SIP]客戶在SIP上檢測到很多暴力破解的行為,但無法確認是否存在,下一步最好的排查方法是()A.查看SIP上的安全事件B.抓源端口為445的包C.到主機上查看安全日志,查看登錄失敗日志D.到主機上查看系統日志,查看登錄失敗日志正確答案:C解析：當客戶在SIP（SessionInitiationProtocol，會話初始協議）上檢測到疑似暴力破解的行為時，為了確認這些行為是否真實存在，需要深入分析相關的日志信息。暴力破解攻擊通常涉及大量的登錄嘗試，其中大部分會失敗。這些失敗的登錄嘗試通常會被記錄在系統的安全日志或登錄失敗日志中。39.[SIP]SIP檢測到終端存在挖礦病毒,但是終端的cpu/內存占用率都很低的可能原因是A.終端無法上網,挖礦病毒無法連接礦池,執行挖礦病毒失敗B.終端是一臺虛擬機C.終端通過內網DNS代理服務器請求域名D.終端加入了域控正確答案:A解析：當SIP檢測到終端存在挖礦病毒，但觀察到終端的CPU和內存占用率都很低時，這通常意味著挖礦病毒并未成功執行其挖礦任務。挖礦病毒通常需要連接到礦池以進行挖礦活動，如果終端無法上網，病毒將無法連接到礦池，從而導致挖礦活動無法進行，進而表現為CPU和內存占用率較低。40.[SIP]不可以通過哪些方式查看到網站被掛的黑鏈A.通過SIP上的黑鏈安全事件查看網站被掛黑鏈情況B.通過搜索引擎site功能搜索黑鏈關鍵字查看網站被掛黑鏈情況C.通過查看網站源碼查看網站被掛黑鏈情況D.通過云盾查看網站被掛黑鏈情況正確答案:D解析：云盾是阿里云提供的一種安全服務，主要用于防護DDoS攻擊、Web應用攻擊等網絡安全威脅。雖然云盾提供了強大的安全防護功能，但它并不直接提供查看網站被掛黑鏈的功能。相比之下，通過SIP平臺查看黑鏈安全事件、使用搜索引擎的site功能搜索黑鏈關鍵字以及直接查看網站源碼都是更為直接和有效的方法來檢測網站是否被掛黑鏈。41.[SIP]請問對于通報預警功能說法正確的是?A.無需填寫分支責任人以及郵箱也可以下發通報B.分支管理員可以選擇認領或者駁回下發的通報事件C.通報預警已經歸檔的事件支持重新下發D.分支管理員需要登錄總部平臺進行工單的閉環正確答案:B解析：通報預警需要填寫分支責任人以及郵箱，但是選項A錯誤地指出“無需填寫分支責任人以及郵箱也可以下發通報”。選項C的描述也不準確，通報預警事件已經歸檔的，不可以重新下發。在選擇正確時，需要注意的是B選項，分支管理員可以選擇認領或者駁回下發的通報事件，這與題目中的描述是相符的。因此，B選項是正確的。42.[SIP]請問在SIP生成僵尸網絡安全事件,EDR沒有查殺出病毒時,以下做法不正確的是?A.直接對主機斷網處理B.主機上使用SIP閉環溯源工具搜索報出的域名C.確認確認告警主機業務及用途,是否是dns服務器或者代理服務器D.在微步在線VirusTota檢測該域名正確答案:A解析：這道題考察的是對網絡安全事件響應的理解。在SIP生成僵尸網絡安全事件，且EDR未查殺出病毒時，正確的做法應該是先進行進一步的調查和分析，而不是直接采取斷網等極端措施。選項A“直接對主機斷網處理”忽略了問題的診斷和確認步驟，可能導致業務中斷或不必要的損失。選項B、C、D都是合理的調查和分析步驟，有助于更準確地定位問題并采取相應的解決措施。因此，不正確的做法是A。43.[SIP]客戶一臺主機在SIP上顯示一直在連接礦池IP,但是微步上查不到該IP地址為礦池,首先你應該怎樣分析A.和總部反饋該事件為誤判,修改特征庫B.直接使用EDR到客戶服務器進行查殺C.通過微步對IP地址進行域名反查,再查詢反查得到的域名D.對服務器進行進程分析正確答案:C解析：在面對客戶主機在SIP上顯示連接礦池IP，但微步無法確認該IP為礦池的情況時，首要步驟是通過微步對IP地址執行域名反查。這一操作的目的是獲取與該IP地址相關聯的域名信息，進而可以通過查詢這些域名來深入了解IP的實際用途和關聯情況，這是網絡安全分析中常用的方法，有助于準確判斷該IP是否真正與礦池有關。44.[SIP]在window平臺中,以下不是病毒常用駐扎的路徑?A.計劃任務B.開機啟動項C.桌面D.系統服務項正確答案:C解析：在Windows平臺中，病毒為了在系統啟動時自動運行或隱藏自身，通常會選擇特定的路徑進行駐扎。常見的病毒駐扎路徑包括計劃任務、系統服務項和開機啟動項。這些路徑允許病毒在系統啟動時自動激活或保持運行狀態。而桌面是用戶存放文件和快捷方式的區域，通常不是病毒選擇駐扎的路徑，因為桌面上的文件容易被用戶發現和刪除。45.[SIP]請問以下事件,不可以轉為通報事件的是?A.安全事件B.漏洞隱患C.攻擊威脅D.弱密碼正確答案:D解析：在信息安全領域，通報事件通常指的是需要向相關部門或組織進行報告和分享的事件，以便采取相應的安全措施。弱密碼、安全事件以及漏洞隱患均屬于可以轉為通報事件的情況，因為它們都涉及到安全漏洞或潛在威脅，需要引起關注和應對。而攻擊威脅本身是一個較為寬泛的概念，如果指的是轄區外的攻擊，則通常不屬于本地或特定組織可以直接管理和通報的范疇，因此不可以轉為通報事件。46.[SIP]使用以下哪個工具可以查看進程的內存空間A.D盾B.火絨劍C.everythingD.processhacker正確答案:D解析：在提供的選項中，ProcessHacker是一個能夠查看進程的內存空間的工具。它是一款開源的系統監視軟件，提供了比Windows任務管理器更詳細的信息，包括進程的內存使用情況、CPU使用情況等。而其他選項，如Everything主要是文件搜索工具，D盾和火絨劍則主要是安全防護和病毒查殺相關的軟件，并不具備直接查看進程內存空間的功能。因此，正確答案是C。47.[SIP]河馬查殺工具安裝的時候,應該注意以下哪些點A.需要將軟件放置到系統根目錄安裝及運行B.不要將本軟件放置到web目錄下及運行C.需將軟件放置到web目錄下及運行D.無注意事項正確答案:B解析：河馬查殺工具是一款專門針對webshell進行查殺的軟件。在安裝時，為了避免可能的安全風險，特別注意不要將軟件放置到web目錄下及運行。這是因為將查殺工具放置在web目錄下可能會使其本身成為潛在的攻擊目標，或者與web服務產生沖突，從而影響其正常功能或帶來安全隱患。因此，選項B“不要將本軟件放置到web目錄下及運行”是正確的安裝注意事項。48.[SIP]客戶環境存在DNS代理服務器,無法直接通過鏡像流量的方式識別到真實的失陷主機,針對此功能說法正確的是A.DNS服務器安裝nxlog后,只需要配置SIP的IP地址,不需要做他額外配置B.此功能對DNS服務器操作系統有要求,僅支持windowsserver2008、windowsserver2012做DNS服務器的場景C.SIP3.0.53針對此場景進行了專項優化,因此不依賴于SIME功能模塊,在SIP的資產中心上配置需要接入的DNS主機類型為DNS服務器即可D.需要在DNS服務器上安裝第三方工具nxlog,與DNS服務器的操作系統類型無關正確答案:B解析：針對題目中描述的場景，即客戶環境存在DNS代理服務器導致無法直接識別真實失陷主機的問題，我們需要考慮的是與DNS服務器操作系統相關的解決方案。選項B明確指出，此功能對DNS服務器操作系統有要求，并且具體提到了僅支持Windowsserver2008和Windowsserver2012作為DNS服務器的場景。這與題目中的特定環境和需求相匹配，因此B選項是正確的。其他選項要么與題目描述的場景不直接相關，要么缺乏必要的操作系統支持信息，因此不能作為正確答案。49.[SIP]客戶內網部署了DNS服務器,當前DNS服務器總出現在失陷主機列表里面.而且識別不到真實失陷主機,關于該問題一下說法錯誤的是A.windwos服務器上需要開啟dns日志審計,并記錄到文件B.SIP需要開啟STEM模塊功能C.SIP3.0.53及以上版本支持采集所有windows服務器的DNS解析日志,SIP可以通過收集DNS解析日志來獲取到真實失陷主機D.目前SIP收集DNS日志需要在windwos服務器上安裝nxlog插件正確答案:C解析：在客戶內網環境中，當DNS服務器頻繁出現在失陷主機列表中且無法識別真實失陷主機時，我們可以從以下幾個方面來分析和解決此問題：A選項（windwos服務器上需要開啟dns日志審計,并記錄到文件）：這是一種有效的安全措施，通過開啟DNS日志審計可以追蹤和記錄DNS查詢，有助于發現和分析潛在的安全威脅。B選項（SIP需要開啟STEM模塊功能）：SIP（安全信息與事件管理）系統通過開啟STEM模塊功能，可以更好地與DNS服務器進行集成，提升系統對安全事件的處理能力。D選項（目前SIP收集DNS日志需要在windwos服務器上安裝nxlog插件）：Nxlog是一個常見的日志收集和管理工具，通過在其上安裝插件，可以方便地實現SIP對DNS日志的收集和分析。關于C選項（SIP3.0.53及以上版本支持采集所有windows服務器的DNS解析日志,SIP可以通過收集DNS解析日志來獲取到真實失陷主機）：這個說法是錯誤的。SIP確實可以通過收集DNS解析日志來分析網絡活動，但僅僅依靠DNS解析日志并不足以確定失陷主機。因為正常的網絡活動也會產生DNS解析日志，而失陷主機的識別需要綜合考慮多種因素和安全事件。因此，錯誤的說法是C選項。在實際操作中，需要綜合運用多種安全工具和技術手段來準確識別和處理失陷主機。50.[SIP]金融客戶希望在向人行上報數據時,希望可以隱藏自己真實服務器的IP,目前以下方法暫不能實現的是:A.通過SIP級聯實現。先將數據收集到一臺SIP1,進行安全事件分析,并將安全事件數據上報給做為前置機的SIP2,再由SIP2最終將人行所需要數據進行上傳。B.客戶自己搭建kafka服務器,SIP將數據上傳到客戶的kafka服務器,再由kafka服務器上傳數據。C.通過AD對人行的IP地址進行負載,SIP通過負載后的地址上傳數據,AD將源IP進行SNAT后,負載到人行的kafka服務器,實現真實IP的隱藏。D.在SIP金融對接設置中首先配置“上報IP池”.然后開啟"隱藏上報IP"功能,開啟后,SIP會自動在上報IP池中隨機選擇P進行上報,并且可以通過多個IP多線程上報,增加上報效率。正確答案:D解析：本題主要考察了在向人行上報數據時，隱藏真實服務器IP的方法。主要思路：需要分析每個選項所描述的方法是否能夠實現隱藏真實服務器IP的目的。選項分析：-A選項：通過SIP級聯，將數據先收集到SIP1，再由SIP2上報給人行，可以隱藏SIP1的真實IP。-B選項：客戶自己搭建kafka服務器，SIP將數據上傳到kafka服務器，再由kafka服務器上傳數據，可以隱藏SIP的真實IP。-C選項：通過AD對人行的IP地址進行負載，SIP通過負載后的地址上傳數據，AD將源IP進行SNAT后負載到人行的kafka服務器，可以隱藏SIP的真實IP。-D選項：在SIP金融對接設置中開啟“隱藏上報IP”功能，SIP會自動在上報IP池中隨機選擇IP進行上報，雖然可以隱藏SIP的真實IP，但并沒有提到是否可以隱藏服務器的真實IP。綜上所述，D選項暫不能實現隱藏真實服務器IP的目的。因此，答案為D。51.[SIP]安全設備發現linux系統中病毒了,懷疑病毒被添加至計劃任務中,請問此時以下哪些命令是可進行查看計劃任務A.find.-name"init"、crontab-|B.netstat-antp、ps-aux|initC.crontab-r、ls-al/etc/cron.dD.crontab-|、Is-al/etc/crond正確答案:D解析：在Linux系統中，要查看是否被添加了惡意計劃任務，可以通過特定命令來檢查。其中，“crontab-l”命令用于列出當前用戶的計劃任務，這可以幫助檢查用戶級別的計劃任務是否被篡改或添加了惡意內容。而“ls-al/etc/cron.d”命令則用于列出所有系統計劃任務，這個目錄通常包含系統級別的定時任務，檢查這里的文件可以發現是否有異常的計劃任務被添加。因此，選項D中的命令組合是正確的，能夠用于查看系統中是否存在被病毒添加的計劃任務。52.[SIP]當我們嘗試kill惡意程序時,往往會遇到被kill程序自動啟動的問題,請問是什么原因導致的呢A.沒有清除執行惡意程序的計劃任務B.沒有中斷設備網絡,導致一直回連C.沒有重啟設備D.沒有清除執行惡意程序的啟動項正確答案:A解析：這道題考察的是對惡意程序行為的理解。惡意程序通常會通過各種方式確保自身能在被終止后重新啟動，以保持對系統的控制。選項A提到的“計劃任務”是惡意程序常用的一種手段，通過在系統的計劃任務列表中設置任務，惡意程序可以在特定條件下自動啟動。因此，如果沒有清除這些計劃任務，即使嘗試kill惡意程序，它也可能會自動重新啟動。其他選項雖然也是處理惡意程序時需要考慮的因素，但并不是導致kill后程序自動啟動的直接原因。53.[SIP]檢測到一臺主機存在掃描行為,以下哪個選項無法進行判斷是否為異常行為A.主機掃描的目的地址是否為離散分布B.SIP上查看發起掃描的進程是否為異常進程C.主機掃催的時間是否為離散分布D.系統是否存在需要進行掃描操作的業務正確答案:B解析：在SIP環境中，判斷主機掃描行為是否異常可通過分析掃描目的地址的分布、掃描時間的分布以及系統是否有掃描需求。而查看發起掃描的進程是否異常并不能直接判斷掃描行為的異常性，因為正常的系統管理和安全評估也可能會有掃描活動，其進程不一定表示異常。54.[SIP]關于SIP3.0.53新增的DNS服務器場景SIP定位風險主機的功能說法錯誤的是A.STA無需采集到DNS解析日志B.SIP必須采集列DNS解析日志C.在SIP的SIEM模塊配置采集器的時候需要選擇類型為windowslogD.客戶用的深信服AD做DNS解析,這種場景下SIP無法使用該功能定位風險主機正確答案:C解析：對于SIP3.0.53新增的DNS服務器場景SIP定位風險主機的功能，我們逐一分析選項內容：55.[SIP]請問對于SIP閉環溯源工具,以下說法正確的是?A.閉環工具搜索定位出的進程直接殺掉即可B.SIP上報出的惡意域名,可以聯動閉環溯源工具自動檢索出C.閉環溯源工具可以在windows和linux下運行D.閉環潮源工具支持內存掃描、啟動項檢測、網絡連接檢測等功能正確答案:D解析：SIP閉環溯源工具是一種用于網絡安全領域的工具，用于分析和應對安全事件。根據題目中的選項，我們可以逐一分析：A選項提到“閉環工具搜索定位出的進程直接殺掉即可”。這是不準確的，因為SIP閉環溯源工具搜索定位出的進程可能是惡意進程，但直接殺掉可能不是最佳的處理方式，因為可能需要進一步的分析或取證。B選項說“SIP上報出的惡意域名，可以聯動閉環溯源工具自動檢索出”。雖然SIP（安全事件信息平臺）和閉環溯源工具可以配合使用，但并不意味著SIP上報的惡意域名可以直接被閉環溯源工具檢索。這可能需要一些額外的配置或步驟。C選項提到“閉環溯源工具可以在windows和linux下運行”。這個陳述的正確性取決于具體的閉環溯源工具，因為不同的工具可能有不同的運行環境和要求。題目沒有提供足夠的信息來確定這一點。D選項說“閉環潮源工具支持內存掃描、啟動項檢測、網絡連接檢測等功能”。這個陳述是正確的，因為閉環溯源工具通常用于深入分析系統，包括內存掃描、啟動項檢測、網絡連接檢測等功能，以幫助識別惡意活動或漏洞。因此，根據以上分析，D選項是正確的。56.以下關于AF殺毒能力的分析,對病毒識別效果最差的是A.通過文件格式識別病毒文件B.通過文件后綴識別病毒文件C.通過文件md5云查識別病毒文件D.通過Save殺毒引擎識別病毒文件正確答案:B解析：在病毒識別效果方面，文件后綴識別是最差的選擇。因為文件后綴名并不能完全代表文件中的內容，特別是病毒文件可能會利用一些手段偽裝自身，改變其原始格式。而文件格式、文件md5云查和Save殺毒引擎都是基于文件內容進行病毒識別的，因此識別效果要優于文件后綴識別。57.[AF]下面哪個場景無法和8023版本IPSECVPN對接成功A.使用IKEv2配置和華三設備進行對接,華三設備是動態IPB.使用IKEv1野蠻模式和阿里云進行對接,AF出口是靜態IPC.使用IKEv2配置和微軟云進行對接,AF出口是動態ipD.使用IKEv2配置,階段二安全提議配置了15條,和Junliper設備進行對接正確答案:C解析：在IPSecVPN的對接場景中，使用IKEv2配置和微軟云進行對接時，如果AF出口是動態IP，可能會導致對接失敗。因為動態IP可能會導致IP地址的變動，而IKEv2協議需要穩定的IP地址來進行協商和建立VPN連接。其他選項中的場景都是可以與8023版本IPSECVPN成功對接的。因此，為C。58.[AF]在不考慮自定義規則前提下,下面哪個場景是8023版本web應用防護不支持的A.黑客通過PHP代碼注入攻擊對內網服務器進行攻擊B.內網web服務器使用8080的非標準HTTP端口C.用戶發現webshell上傳防護有誤判的日志,需要將誤判的信息加入自名單D.在不開啟文件上傳過濾的情況下,可以對cshtml類型的文件進行檢測防護正確答案:D解析：8023版本web應用防護主要關注的是對web應用的安全防護，包括常見的注入攻擊、跨站腳本攻擊等。A選項描述的是黑客通過PHP代碼注入攻擊對內網服務器進行攻擊，這是web應用防護通常會關注并嘗試阻止的攻擊類型，所以8023版本web應用防護應該支持對這種攻擊的檢測和防護。B選項提到的是內網web服務器使用8080的非標準HTTP端口。一般來說，web應用防護更多關注的是應用層面的安全問題，而不是網絡層面的配置，比如端口號。因此，這個選項描述的場景通常不會被8023版本web應用防護所不支持。C選項涉及到用戶發現webshell上傳防護有誤判的日志，需要將誤判的信息加入白名單。這是web應用防護的一個常見功能，即允許用戶根據實際需求調整防護策略，因此這個場景應該是被8023版本web應用防護所支持的。D選項提到的是在不開啟文件上傳過濾的情況下，可以對cshtml類型的文件進行檢測防護。根據題目描述，這個功能似乎依賴于文件上傳過濾的開啟，如果不上傳過濾，則不能進行對cshtml文件的檢測防護。這意味著8023版本web應用防護可能不支持在不依賴其他功能或設置的情況下，直接對特定類型的文件進行檢測防護。綜上所述，根據題目描述和各個選項的具體情況，答案應該是D選項。即在不開啟文件上傳過濾的情況下，8023版本web應用防護不支持對cshtml類型的文件進行檢測防護。59.[AF]關于8023版本下面說法正確的是A.客戶表示需要保證業務的穩定性,建議客戶使用webshell上傳防護時選擇高檢出B.在勾選BAES64解碼局,可以對變形的BASE64編碼進行檢測,不會被繞過C.客戶內網有20個非標準的HTTP端口,可以全部添加到漏洞攻擊防護中HTTP端口D.請求方向chunk異常檢測和響應方向chunk異常檢測可以增強HTTP異常檢測功能,所以默認都是開啟的正確答案:C解析：對于題目中的選項，我們逐一進行分析：A.客戶表示需要保證業務的穩定性,建議客戶使用webshell上傳防護時選擇高檢出。這個說法是正確的。當客戶需要確保業務穩定性時，選擇高檢出的webshell上傳防護可以更好地保護系統免受惡意代碼的攻擊，從而保證業務的正常運行。B.在勾選BAES64解碼局,可以對變形的BASE64編碼進行檢測,不會被繞過。這個說法需要視具體情況而定。雖然BAES64解碼可以檢測到變形的BASE64編碼，但并不能完全保證不會被繞過，因為攻擊者可能會采用其他方式繞過檢測。C.客戶內網有20個非標準的HTTP端口,可以全部添加到漏洞攻擊防護中HTTP端口。這個說法是正確的。如果客戶內網有非標準的HTTP端口，為了防止潛在的漏洞攻擊，確實可以將其全部添加到漏洞攻擊防護中的HTTP端口。D.請求方向chunk異常檢測和響應方向chunk異常檢測可以增強HTTP異常檢測功能,所以默認都是開啟的。這個說法部分正確。確實，請求方向和響應方向的chunk異常檢測可以增強HTTP異常檢測功能，但并不意味著它們默認都是開啟的。這取決于系統的默認配置策略和安全策略的需要。因此，選項C是正確的答案。其他選項在不同的情境下可能具有不同的解讀和應用，但在本題目的上下文中，只有C是正確的。60.[AF]下面場景關于8023SSLVPN功能哪個說法是正確的A.客戶表示內網仍有部分終端使用的SSL3.0協議登錄sslvpn,你要告知客戶SSL3.0協議存在漏洞,已經不支持B.在ss1vpn登錄界面出現了圖形校驗碼,這是由于開啟了防HOST頭部攻擊C.客戶設備從6.0.7升級到8.0.23后,你告知客戶sslvpn終端用戶登錄時EC會自動更新控件,然后就能正常登錄sslvpn,無須做其他操作D.客戶詢問sslvpn用戶關聯了資源,但是需要禁止訪問/b.html是否可以支持,你告知客戶是支持的正確答案:D解析：這道題考察的是對8023SSLVPN功能的理解。首先，我們知道SSLVPN是一種遠程訪問技術，它允許用戶通過安全的SSL協議遠程訪問公司內部網絡資源。A選項提到SSL3.0協議存在漏洞且不再支持。雖然SSL3.0確實存在安全漏洞，但題目并未提供足夠信息來判斷8023SSLVPN是否支持或不支持SSL3.0，因此A選項無法確定其正確性。B選項提到圖形校驗碼是由于開啟了防HOST頭部攻擊。實際上，圖形校驗碼通常用于防止暴力破解等攻擊，與防HOST頭部攻擊無直接關聯，所以B選項錯誤。C選項提到設備升級后，SSLVPN終端用戶登錄時EC會自動更新控件。雖然升級可能導致控件更新，但題目并未明確說明這一點，且“無須做其他操作”可能過于絕對，因此C選項無法確定其正確性。D選項提到用戶關聯了資源，但需要禁止訪問/b.html的情況。在SSLVPN中，通常可以對用戶訪問的資源進行細粒度的控制，包括允許或禁止訪問特定的URL。因此，D選項描述的功能是合理的，且符合SSLVPN的一般特性。綜上所述，D選項是正確的。61.[AC]客戶自己平時比較關心設備的運行情況,下列選項中說法錯誤的是()A.對接SNMP服務器,獲取設備CPU、內存等使用狀態B.查看日志中心系統日志,記錄設備運行狀態日志C.設備升級到12.0.41版本,可以在web控制臺進行設備健康檢查D.聯系深信服工程師,用升級客戶端及巡檢腳本進行設備健康狀態檢查正確答案:B解析：對于關心設備運行情況的客戶來說，主動管理和檢查設備狀態是至關重要的。選項A對接SNMP服務器可以獲取設備的CPU、內存等使用狀態，這是一種主動監控設備健康的方式。選項C設備升級到特定版本后，在web控制臺進行設備健康檢查，同樣是對設備狀態的主動管理。選項D聯系工程師使用升級客戶端及巡檢腳本進行設備健康狀態檢查，也是主動檢查設備狀態的方法。而選項B查看日志中心系統日志，記錄設備運行狀態日志，只是被動地記錄設備已經發生的狀態，并不涉及對設備健康狀態的主動檢查或管理，因此與其他選項相比，它不符合主動管理和檢查設備狀態的要求，所以選項B是錯誤的。62.[AC]關于AC自身安全性提升,下列選項中說法錯誤的是()A.定期安排軟件版本升級,使用新版本B.日常關閉遠程維護C.盡量旁路模式部署AC設備,不串接到網絡,安全隱患少D.定期用第三方漏掃平臺對設備進行漏洞掃描正確答案:C解析：關于AC（可能是指網絡中的接入控制器或類似設備）自身安全性提升的問題，我們首先要理解每個選項的含義和其對安全性的潛在影響。A選項提到定期安排軟件版本升級。使用新版本通常是增強安全性的好方法，因為新版本通常會包含安全補丁和漏洞修復。B選項建議日常關閉遠程維護。這是一個合理的建議，因為遠程維護功能可能被惡意用戶利用，如果未經適當保護就開放此功能，可能會增加安全風險。C選項提出盡量旁路模式部署AC設備，不串接到網絡。這個建議實際上可能是錯誤的，因為旁路模式意味著AC設備不直接參與數據流，這可能使設備難以執行其安全檢查和控制功能。而且，不串接到網絡意味著設備可能無法監控或控制網絡流量，從而降低了安全性。D選項建議定期用第三方漏掃平臺對設備進行漏洞掃描。這是一個非常有效的做法，因為漏洞掃描可以幫助發現設備上的潛在安全漏洞，并允許管理員及時修補它們。綜上所述，C選項的建議是錯誤的，因為它可能會降低AC設備在網絡中的安全性和有效性。因此，正確答案是C。63.[AC]關于用戶自助授權,下列選項中說法正確的是()A.12.0.41版本設備加電后,默認未授權,需要引導客戶自助授權B.12.0.41版本設備,測試設備開授權由技服工程師在深信服授權中心發起申請C.深信服授權中心賬號由區域技服工程師創建,維護所有客戶信息,更加規范D.設備未聯網前,是無法完成授權激活的正確答案:A解析：這道題考察的是對用戶自助授權流程的理解。在特定版本（如12.0.41）的設備中，設備加電后的默認狀態是未授權，這要求引導客戶進行自助授權，以確保設備能正常使用。這是出于安全和合規性的考慮。A選項正確描述了這一流程，即設備在未授權狀態下需要用戶自助完成授權。B選項提到的測試設備開授權流程，并非自助授權的一部分，而是由技服工程師在授權中心發起，與題目要求的自助授權不符。C選項雖然涉及授權中心賬號的管理，但這并非自助授權的直接步驟，而是后臺管理流程。D選項提到設備未聯網無法完成授權激活，這雖然是事實，但并不是自助授權流程的描述，因此也不是本題的正確答案。綜上所述，A選項正確描述了用戶自助授權的流程。64.[AC]關于深信服授權中心,下列選項中說法錯誤的是()A.授權中心的域名是https://license.sangB.授權中心登錄賬號可以和云盾賬號復用C.支持通過訂單ID批量添加一個客戶購買的設備信息D.支持通過網關ID批量添加一個客戶購買的設備信息正確答案:D解析：暫無解析65.[AC]關于在深信服接權中心的使用,下列選項中說法錯誤的是A.導入設備信息時,如果輸入的企業名稱和訂單不一致,會導入失敗B.設備想要在線激活,只需要設備本身能上網的情況,即可以完成在線授權C.設備在線激活的前提是能上網,新設備可以在接權前先配置網口IP,接入網絡中D.在線激活分為在線自動激活和在線主動激活兩種方式正確答案:B解析：這道題考察的是對深信服接權中心使用細節的理解。首先，我們知道在導入設備信息時，信息的準確性是關鍵，企業名稱和訂單必須一致，否則會導入失敗，所以A選項描述正確。接著，關于設備在線激活，雖然設備需要能上網，但并非只需要設備本身能上網就能完成在線授權，通常還需要滿足其他條件，比如正確的許可證信息等，因此B選項描述錯誤。C選項提到設備在線激活前可以配置網口IP，這是正確的，因為設備需要接入網絡才能進行在線激活。最后，D選項描述了在線激活的兩種方式，這是符合實際使用情況的。綜上所述，B選項是錯誤的。66.[AC]某天客戶想使用升級客戶端連接AC設備升級軟件版本,但是發現連接升級客戶端失敗,選項中不屬于可能出現連接升級客戶端端失敗原因的是()A.運行升級客戶端的PC和AC之間,51111端口不通B.當前AC版本是12.0.42或以上版本,設備默認沒有開啟51111端口C.設備的IP地址變更,進行同步D.管理員配置了限制登錄IP范圍,運行升級客戶端的PCIP不在允許登錄范圍內正確答案:D解析：管理員配置了限制登錄IP范圍，但并非問題的原因所在。因此，為D。這個問題來源于試題集《【23年10月最新】SSTP安全PT2題庫【深信服】（實時更新，必過！）》。在深信服安全設備中，限制登錄IP范圍通常是為了保障安全，限制未經授權的PC可以登錄設備。在此情況下，管理員已配置了IP范圍，所以運行升級客戶端的PCIP地址必須在此范圍內，否則會提示連接失敗。而其他選項如端口不通、設備默認沒有開啟端口、IP地址變更進行同步等，都是可能導致連接升級客戶端失敗的原因。67.[AC]最新版本AC,客戶反饋設備控制臺無法登錄,選項中的解決思路錯誤的是A.確認51111端口是否正常通信,51111端口通的情況可以嘗試連接升級客戶端,確認設備狀態B.發現升級客戶端無法連接成功,直接嘗試用shell工具進設備后臺,確認設備狀態C.設備有vga接口,嘗試接顯示器鍵盤,查看設備狀態D.沒有VGA接口的情況,考慮恢復設備出廠設置或重啟設備嘗試解決正確答案:B解析：這道題考察的是設備故障排查的常識。在排查設備控制臺無法登錄的問題時，通常需要先確認網絡通信端口狀態，嘗試通過其他客戶端連接，再考慮物理接入方式如VGA接口查看設備狀態，最后考慮恢復設備出廠設置或重啟設備。選項B中的“直接嘗試用shell工具進設備后臺”是不合適的，因為通常需要先確認網絡通信或物理接入方式無效后，再考慮其他恢復手段。正確的順序應該是先嘗試網絡通信，再考慮物理接入，最后考慮恢復或重啟設備。68.[AC]客戶反饋忘記設備控制臺密碼,選項中恢復密碼的方法鋪誤的是A.確認設備版本信息,12.0.42及以上版本,支持U盤恢復密碼B.可以使用交叉線恢復密碼的方法C.有配置文件,可以找到記錄密碼的配置文件,逆向解密密碼D.U盤恢復密碼要求U盤格式是NTFS的正確答案:D解析：對于客戶反饋忘記設備控制臺密碼的問題，我們需要評估提供的恢復密碼方法的有效性。A選項提到，如果設備版本是12.0.42或更高版本，支持使用U盤恢復密碼。這是一個合理的恢復方法，因為許多設備都支持通過U盤進行固件升級或恢復設置。B選項提到可以使用交叉線恢復密碼。雖然交叉線通常用于網絡連接，但在某些情況下，它也可能被用作一種恢復設備設置的手段。但是，這種方法的有效性取決于設備是否支持此功能。C選項提到，如果有配置文件，并且其中記錄了密碼，那么可以通過逆向解密來恢復密碼。這也是一種可能的方法，但前提是需要有正確的配置文件，并且解密過程可能受到法律和道德的限制。D選項提到U盤恢復密碼要求U盤格式是NTFS的。這個陳述是錯誤的，因為U盤恢復密碼的過程通常不依賴于U盤的文件系統格式。大多數設備都能夠識別FAT32和NTFS格式的U盤，而且恢復過程通常與U盤的文件系統無關。因此，根據上述分析，選項D是鋪誤的，所以正確答案是D。69.[AC]最新版本AC,關于SSL內容識別-中間人解密,客戶希望用設備生成自己的根證書,選項中說法A.自定義根證書,設備生成新根證書的密鑰長度支持配置到4096B.證書有效期可以設置為1000天C.客戶環境多種版本的終端PC在混合使用,建議加密算法使用ECDSA算法D.內網場景,無特殊要求,密鑰長度使用1024位正確答案:C解析：在中間人解密場景中，客戶環境存在多種版本的終端PC需要混合使用，因此建議使用ECDSA算法進行加密。其他選項如自定義根證書、證書有效期設置、密鑰長度使用等，對于此問題并不適用。因此，正確是C。70.[AC]客戶想升級設備到最新版本,下列選項中可能存在的風險項,說法正確的是()A.客戶設備是2010年購買的,默認支持升級到最新版本ACB.客戶配置了認證重定向,辦公環境有很多XP系統做辦公電腦,升級到12.0.42以上版本,會影響認證重定向功能C.最新版本AC版本的OPENSSL版本是0.9.7aD.客戶啟用了SSL內容識別-中間人解密功能,客戶端已經安裝了設備內置根證書,可以平滑升級,客戶端無感知正確答案:B解析：在考慮設備升級到最新版本時，需要綜合評估多個因素，包括設備的兼容性、功能的變動以及安全性能等。針對給出的選項進行逐一分析：71.[AC]下列選項中關于LDAP的說法錯誤的是A.AD認證服務器默認認證端口389B.啟用加密對接,加密方式是SSL,端口是389C.啟用加密對接,加密方式是TLS,端且是389D.啟用加密對接可選配置校驗證書正確答案:B解析：在LDAP（輕型目錄訪問協議）中，默認的認證端口是389，但選項B中描述的端口是389是不正確的，因為TLS協議通常使用的是443端口而不是389端口。因此，選項B是錯誤的選擇。其他選項如AD認證服務器的默認認證端口、啟用加密對接的加密方式、端且等描述均與LDAP標準相符。因此，為B。72.[AC]結合AD域做密碼認證,選項中說法錯誤的是()A.2020年后,微軟AD域默認都加密傳輸數據B.AD域配置啟用LDAPS域啟用簽名服務后,AC設備的LDAP認證服務器必須開啟加密C.LDAP認證服務器的校驗證書配置是可選配置D.LDAP認證服務器的校驗證書要是base64編碼的.cer格式證書正確答案:A解析：關于微軟AD域的數據傳輸，2020年后并非默認都加密傳輸數據，這一說法是錯誤的。當AD域配置啟用LDAPS（LDAPoverSSL/TLS）并啟用簽名服務后，AC設備的LDAP認證服務器為確保通信安全，必須開啟加密。LDAP認證服務器的校驗證書配置是可選的，但如果配置，證書應為base64編碼的.cer格式。73.[AC]關于Windows服務器系統版本和支持的加密方式,選項中說法正確的是()A.Windows2000-TLSB.Windows2003-TLSandssLC.Windows2008-TLSandssLD.Windows2008R2-TLSandSSL正確答案:D解析：這道題考察的是對Windows服務器系統版本及其支持的加密方式的理解。WindowsServer2008R2支持TLS和SSL兩種加密方式，這是為了確保數據傳輸的安全性。而Windows2000、Windows2003以及Windows2008雖然也支持加密方式，但具體支持的加密協議可能與選項描述不完全一致，或存在更新和支持的變更。因此，根據Windows服務器版本及其加密支持的知識，可以確定D選項“Windows2008R2-TLSandSSL”是正確的。74.下面關于全網行為管理,下列說法正確的是()A