1.防火墙上配置了nat server global 202.106.1.1 inside 10.10.1.1,现在需要通过接口包过滤技术允许公网用户对该服务器的WWW 访问,正确的是:( )(0.65分)
- A.rule permit TCP source 202.106.1.1 0 source-port 80
- B.rule permit TCP source 10.10.1.1 0 source-port 80
- C.rule permit TCP destination 202.106.1.1 0 destination-port 80
- D.rule permit TCP destination 10.10.1.1 0 destination-port 80
- 标准答案:D
2.在TCP 三次握手中,对于报文SYN(seq=b,ack=a+1),下列说法正确的有?( )(0.65分)
- A.对序号为b 的数据包进行确认
- B.对序号为a+1 的数据包进行确认
- C.下一个希望收到的数据包的序号为b
- D.下一个希望收到的数据包的序号为a+1
- 标准答案:D
3.下列关于USG防火墙的域间包过滤策略Policy,说法正确的是?( )(0.65分)
- A.域间包过滤Policy 按照排列顺序匹配,排列在前的优先匹配
- B.域间包过滤Policy 按照ID 号码大小匹配,号码小的优先匹配
- C.域间包过滤Policy 按照ID 号码大小匹配,号码大的优先匹配
- D.域间包过滤策略按照序号大小自动排列,当改变排列顺序,号码也跟着改变
- 标准答案:A
4.对于防火墙访问控制流程:1、查找路由表2、查找域间包过滤规则3、查找会话表4、查找黑名单,正确的顺序为? ( )(0.65分)
- A.1-3-2-4
- B.3-2-1-4
- C.3-4-1-2
- D.4-3-1-2
- 标准答案:D
5.address-group { number | name } no-pat 中no-pat 参数的含义是?( )(0.65分)
- A.不做地址转换
- B.进行端口复用
- C.不转换源端口
- D.不转换目的端口
- 标准答案:C
6.如下访问控制列表的含义是:( )[USG(或Eudemon)] acl number 3100[USG(或Eudemon)-acl-3100] rule deny icmp source 10.1.10.10 0.0.255.255 destination any icmp-type host-unreachable(0.65分)
- A.规则序列号是3100,禁止到10.1.10.10 主机的所有主机不可达报文
- B.规则序列号是3100,禁止到10.1.0.0/16 网段的所有主机不可达报文
- C.规则序列号是3100,禁止从10.1.0.0/16 网段来的所有主机不可达报文
- D.规则序列号是3100,禁止从10.1.10.10 主机来的所有主机不可达报文
- 标准答案:C
7.通过display ike proposal 命令看到的结果如下,以下说法正确的是?( )priority authentication authentication encryption Diffie-Hellman duration method algorithm algorithm group (seconds) default PRE_SHARED SHA DES_CBC MODP_768 86400(0.65分)
- A.认证算法是SHA
- B.加密算法是3DES
- C.DH group 使用的是group2
- D.使用是野蛮模式
- 标准答案:A
8.以下哪个技术是最优地解决某些应用业务中断问题(如某Oracle 数据库应用因超期无数据流导致连接中断)?( )(0.65分)
- A.配置某业务长连接
- B.配置默认会话老化时间
- C.优化包过滤规则
- D.开启分片缓存
- 标准答案:A
9.以下哪个属于IKE 交换阶段第二阶段模式?( )(0.65分)
- A.主模式
- B.野蛮模式
- C.快速模式
- D.被动模式
- 标准答案:C
10.USG2000(Eudemon 200E)系列防火墙默认的ACL 匹配类型为( )(0.65分)
- A.auto
- B.config
- C.predefine
- D.custom
- 标准答案:B
11.配置防火墙包过滤ACL 规则时,如果我们想把192.168.0.0/24 网段设置为ACL 规则的匹配对象,匹配操作为拒绝,则以下配置正确的是( )。(0.65分)
- A.rule 0 deny source 192.168.0.0 255.255.255.0
- B.rule 2 deny source 192.168.0.0 0.0.0.255
- C.rule 3 deny source 192.168.0.0 24
- D.rule 4 deny source 192.168.0.0 0.0.255.255
- 标准答案:B
12.通过display ike sa 看到的结果如下,说法正确的是?( )current ike sa number: 1connection-id peer vpn flag phase doi 0x1f1 2.2.2.1 0 RD|ST v1:1 IPSEC 0x60436dc4 flag meaningRD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT(0.65分)
- A.第一阶段ike sa 已经成功建立
- B.第二阶段ipsec sa 已经成功建立
- C.ipsec 使用的是版本V1
- D.ike 使用的是版本V2
- 标准答案:A
13.以下哪个IKE 交换模式不能提供身份保护功能?( )(0.65分)
- A.主模式
- B.野蛮模式
- C.快速模式
- D.被动模式
- 标准答案:B
14.以下哪个IPSec 安全协议提供加密功能?( )(0.65分)
15.对于防火墙安全区域,说法正确的是?( )(0.65分)
- A.防火墙的不同安全区域,优先级可以相同
- B.防火墙的同一个接口可以分属不同的安全区域
- C.防火墙的不同接口可以属于同一安全区域
- D.防火墙的自带安全区域可以被删除
- 标准答案:C
16.在隧道模式和ESP 安全协议下,以下哪个区域信息是明文转输?( )(0.65分)
- A.新IP 报文头
- B.原IP 报文头
- C.传输层报文头
- D.应用层报文头
- 标准答案:A
17.在传输模式IPSec 应用情况中,以下哪个区域数据报文可受到加密安全保护?( )(0.65分)
- A.网络层及上层数据报文
- B.原IP 报文头
- C.新IP 报文头
- D.传输层及上层数据报文
- 标准答案:D
18.以下哪个配置命令参数是不符合实际应用场景或技术实现方式?( )(0.65分)
- A.ah authentication-algorithm md5
- B.ah encryption-algorithm des
- C.esp authentication-algorithm md5
- D.esp encryption-algorithm des
- 标准答案:B
19.在配置ACL 时需要使用到反掩码,请选出下列关于反掩码说法正确的选项。( )(0.65分)
- A.反掩码中取0 的位,表示网段中对应位需要进行匹配比较
- B.反掩码中取1 的位,表示网段中对应位需要进行匹配比较
- C.反掩码不能全取值为0
- D.反掩码不能全取值为1
- 标准答案:A
20.状态检测防火墙后续数据包(非首包)转发主要依据以下哪一项?( )(0.65分)
- A.route 表
- B.MAC 地址表
- C.session 表
- D.FIB 表
- 标准答案:C
21.为了使出差移动用户能访问企业内部文件服务器,可以采用以下哪个最优SSL VPN 功能来实现?( )(0.65分)
- A.Web 代理
- B.文件共享
- C.端口转发
- D.网络扩展
- 标准答案:B
22.在为ACL 配置时间段的时候,可以指定绑定的时间段的名称,而在同一个时间段名字下,可以配置多个时间段,这些时间段是( )关系。(0.65分)
- A.“或”
- B.“与”
- C.“异或”
- D.“同或”
- 标准答案:B
23.有关VLAN tag 的处理,下列描述错误的是?( )(0.65分)
- A.当Trunk 端口收到帧时,如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含802.1Qtag header,则不改变。
- B.当Trunk 端口发送帧时,当该帧的VLAN ID 与端口的PVID 不同时,直接丢弃;当该帧的VLAN ID 与端口的PVID 相同时,则透传。
- C.当Access 端口收到帧时,如果该帧不包含802.1Q tag header,将打上端口的PVID;如果该帧包含 802.1Q tag header,交换机不作处理,直接丢弃。
- D.当Access 端口发送帧时,剥离802.1Q tag header,发出的帧为普通以太网帧。
- 标准答案:B
24.USG防火墙DMZ 区域的优先级是多少?( )(0.65分)
25.GRE 是通过以下哪个技术实现受保护数据流的,即把选定的数据包封装成GRE 报文? ( )(0.65分)
- A.ACL
- B.静态路由
- C.路由策略
- D.用户帐号
- 标准答案:B
26.以下哪个IKE 交换模式可以采用IP 地址方式或Name 方式标识对等体?( )(0.65分)
- A.主模式
- B.野蛮模式
- C.快速模式
- D.被动模式
- 标准答案:A
27.在防火墙中,detect ftp 命令配置在哪个模式下?( )(0.65分)
- A.系统模式
- B.接口模式
- C.域模式
- D.域间模式
- 标准答案:D
28.华为设备执行acl 3000 match-order auto 配置后,数据流将按什么方式匹配该ACL?( )(0.65分)
- A.按照自动排序匹配。即按照“深度优先”原则进行匹配
- B.按照配置顺序匹配。即按照用户配置ACL 规则的先后顺序进行匹配。
- C.先按自动排序匹配,再按照配置顺序匹配。
- D.防火墙中没有该配置方式
- 标准答案:A
29.华为设备.ACL 2009 属于( )(0.65分)
- A.标准访问控制列表
- B.扩展访问控制列表
- C.基于MAC 地址访问控制列表
- D.基于时间段访问控制列表
- 标准答案:A
30.在IPSEC VPN 中,隧道模式主要应用在以下哪个场景中?( )(0.65分)
- A.主机与主机之间
- B.主机与安全网关之间
- C.安全网关之间
- D.隧道模式与传输模式之间
- 标准答案:C
31.以下哪个类型VPN 适应于出差人员?( )(0.65分)
- A.Access VPN
- B.Intranet VPN
- C.Internet VPN
- D.Extranet VPN
- 标准答案:A
32.在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用。这是对( )的攻击?(0.65分)
- A.可用性
- B.保密性
- C.完整性
- D.真实性
- 标准答案:A
33.以下哪种类型三层VPN 在安全方面更有保证?( )(0.65分)
- A.GRE
- B.PPTP
- C.IPSec
- D.L2F
- 标准答案:C
34.数字证书不包括以下哪个部分?( )(0.65分)
- A.证书持有者名称
- B.证书有效期
- C.证书公钥
- D.证书私钥
- 标准答案:D
35.查看l2tp 在线用户信息的命令是?( )(0.65分)
- A.display l2tp session
- B.display l2tp tunnel
- C.display access-user
- D.display right-manager online-users
- 标准答案:C
36.在防火墙域间包过滤中,以下哪个不是出方向(Outbound)?( )(0.65分)
- A.从DMZ 区域到Untrust 区域的数据流
- B.从Trust 区域到DMZ 区域的数据流
- C.从Trust 区域到Untrust 区域的数据流
- D.从Trust 区域到Local 区域的数据流
- 标准答案:D
37.下面关于标准ACL 描述错误的是:( )(0.65分)
- A.标准访问控制列表,又称为基本访问控制列表
- B.标准访问控制列表中包括规则编号,执行动作和源IP 地址
- C.标准访问控制列表通常应用在仅需要对数据包源地址进行限定的场景
- D.标准访问控制列表可以对协议类型进行控制
- 标准答案:D
38.USG防火墙nat 配置如下nat address-group 1 10.1.1.5 10.1.1.10nat server 1 protocol tcp global 1.1.1.1 ftp inside 10.1.1.2 ftpnat-policy interzone dmz untrust inboundpolicy 0action source-natpolicy destination 1.1.1.1 0address-group 1#以下说法那个是正确的( )(0.65分)
- A.NAT outbound 配置,内网用户访问外网转化为地址池1 中的地址10.1.1.5 10.1.1.10
- B.untrust 主机访问nat server 1.1.1.1,目的地址转化为10.1.1.2,原地址不变
- C.域内nat 内置,DMZ 主机访问nat server 1.1.1.1,目的地址转化为10.1.1.2,源地址转化成地址池1 的地址
- D.NAT inbound 配置,untrust 主机访问nat server 1.1.1.1,目的地址转化为10.1.1.2,源地址转化成地址池1 的地址
- 标准答案:B
39.以下哪种方式L2TP VPN,隧道是建立在Client 端与LNS 端之间?( )(0.65分)
- A.Client-Initialized 方式L2TP
- B.NAS-Initialized 方式L2TP
- C.自主方式L2TP
- D.VPDN
- 标准答案:A
40.PPPoE 主要用于哪个场景?( )(0.65分)
- A.为以太网用户提供远程接入访问
- B.为拨号用户提供访问远程以太网的服务
- C.使访问Internet 用户的数据报文被加密
- D.为了用户能更快的访问Internet
- 标准答案:A
41.在配置l2tp 时,对于命令allow l2tp virtual-template,说法正确的是?( )(0.65分)
- A.用来指定LNS 发起呼叫的触发条件
- B.用来指定LAC 发起呼叫的触发条件
- C.用来指定LAC 接受呼叫所使用的Virtual-Template
- D.用来指定LNS 接受呼叫所使用的Virtual-Template
- 标准答案:D
42.以下属于状态检测防火墙的主要特点的是哪一项?( )(0.65分)
- A.处理速度慢
- B.后续包处理性能优异
- C.只能检测网络层
- D.针对每一包进行包过滤检测
- 标准答案:B
43.在以下哪类场景中,移动用户不需要安装额外功能(L2TP)的VPDN 软件?( )(0.65分)
- A.基于用户发起的L2TP VPN
- B.基于NAS 发起的L2TP VPN
- C.基于LNS 发起的L2TP VPN
- D.其他所有选项都是
- 标准答案:B
44.关于状态检测型防火墙和包过滤型防火墙描述正确的是:( )(0.65分)
- A.包过滤防火墙不需要对每个进入防火墙的数据包进行规则匹配
- B.因为UDP 协议为面向无连接的协议,因此状态检测型防火墙无法对UDP 报文进行状态表的匹配
- C.状态检测型防火墙对报文进行检查时,同一连接的前后报文不具有相关性
- D.状态检测型防火墙只需要对该连接的第一个数据包进行访问规则的匹配,该连接的后续报文直接在状态表中进行匹配(以TCP 应用为例)
- 标准答案:D
45.以下哪个属于多通道协议?( )(0.65分)
- A.FTP
- B.Telnet
- C.HTTP
- D.SMTP
- 标准答案:A
46.使用一对一或者多对多方式的NAT 转换(非PAT),当所有外部IP 地址均被使用(使用NAT 技术访问互联网应用场景),后续的内网用户如需上网将会发生什么情况?( )(0.65分)
- A.挤掉前一个用户,强制进行NAT 转换上网
- B.后续的内网用户将不能上网
- C.自动把NAT 切换成PAT 后上网
- D.将报文同步到其他NAT 转换设备进行NAT 转换
- 标准答案:B
47.在GRE 配置环境下,Tunnel接口模式下,destination 地址一般是指?( )(0.65分)
- A.本端Tunnel 接口IP 地址
- B.本端外网出口IP 地址
- C.对端外网入口IP 地址
- D.对端Tunnel 接口IP 地址
- 标准答案:C
48.在AH安全协议隧道模式中,以下哪个新IP报文头字段无需进行数据完整性校验?( )(0.65分)
- A.TTL
- B.源IP地址
- C.目的IP地址
- D.源IP地址+目的IP地址
- 标准答案:A
49.用户小王使用vpn client从外网拨入l2tp vpn后正常获取地址,发现能访问内网所有资源,但是却无法打开internet上的网页,可能原因为?( )(0.65分)
- A.l2tp vpn 设备软件版本有误
- B.vpn client 软件版本有误
- C.防火墙l2tp 配置错误
- D.拨入l2tp vpn 后,本地计算机缺省路由都指向了拨号获取的地址
- 标准答案:D
50.在安全评估过程中,采取( )手段,可以模拟黑客入侵过程,检测系统安全脆弱。(0.65分)
- A.问卷调查
- B.人员访谈
- C.渗透性测试
- D.手工检查
- 标准答案:C
51.PDR模型是第一个从时间关系描述一个信息系统是否安全的模型,PDR模型中的P代表____、D代表____、R代表____。( )(0.65分)
- A.保护 检测 响应
- B.策略 检测 响应
- C.策略 检测 恢复
- D.保护 检测 恢复
- 标准答案:A
52.关于信息安全的说法错误的是( )。(0.65分)
- A.包括技术和管理两个主要方面
- B.策略是信息安全的基础
- C.采取充分措施,可以实现绝对安全
- D.保密性、完整性和可用性是信息安全的目标
- 标准答案:C
53.信息安全中的木桶原理是指( )。(0.65分)
- A.整体安全水平由安全级别最低的部分所决定
- B.整体安全水平由安全级别最高的部分所决定
- C.整体安全水平由各组成部分的安全级别平均值所决定
- D.以上都不对
- 标准答案:A
54.PKI中进行数字证书管理的核心组成模块是( )。(0.65分)
- A.注册中心RA
- B.证书中心CA
- C.目录服务器
- D.证书作废列表
- 标准答案:B
55.PKI的主要理论基础是( )。(0.65分)
- A.对称密码算法
- B.公钥密码算法
- C.量子密码
- D.摘要算法
- 标准答案:B
56.( )是最常用的公钥密码算法。(0.65分)
- A.RSA
- B.DSA
- C.椭圆曲线
- D.量子密码
- 标准答案:A
57.部署VPN产品,不能实现对( )属性的需求。(0.65分)
- A.完整性
- B.真实性
- C.可用性
- D.保密性
- 标准答案:C
58.信息安全PDR模型中,如果满足( ),说明系统是安全的。(0.65分)
- A.Pt>Dt+Rt
- B.Dt>Pt+Rt
- C.Dt< font>
- D.Pt< font>
- 标准答案:A
59.对保护数据来说,功能完善、使用灵活的( )必不可少。(0.65分)
- A.系统软件
- B.备份软件
- C.数据库软件
- D.网络软件
- 标准答案:B
60.避免对系统非法访问的主要方法是( )。(0.65分)
- A.加强管理
- B.身份认证
- C.访问控制
- D.访问分配权限
- 标准答案:C
61.基于加密技术的访问控制是防止( )的主要防护手段。(0.65分)
- A.数据传输泄密
- B.数据传输丢失
- C.数据交换失败
- D.数据备份失败
- 标准答案:A
62.( )是PKI体系中最基本的元素,PKI系统所有的安全操作都是通过该机制采实现的。(0.65分)
- A.SSL
- B.IARA
- C.RA
- D.数字证书
- 标准答案:D
63.在一个企业网中,防火墙应该是( )的一部分,构建防火墙时首先要考虑其保护的范围。(0.65分)
- A.安全技术
- B.安全设置
- C.局部安全策略
- D.全局安全策略
- 标准答案:D
64.系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速( ).(0.65分)
- A.恢复整个系统
- B.恢复所有数据
- C.恢复全部程序
- D.恢复网络设置
- 标准答案:A
65.( )是一种架构在公用通信基础设施上的专用数据通信网络,利用IPSec等网络层安全协议和建立在PKI的加密与签名技术来获得私有性。(0.65分)
- A.SET
- B.DDN
- C.VPN
- D.PKIX
- 标准答案:C
66.在IP互联网层提供安全的一组协议是( ).(0.65分)
- A.TLS
- B.SSH
- C.PGP
- D.IPSec
- 标准答案:D
67.关于入侵检测技术,下列描述错误的是( )(0.65分)
- A.入侵检测系统不对系统或网络造成任何影响
- B.审计数据或系统日志信息是入侵检测系统的一项主要信息来源
- C.入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵
- D.基于网络的入侵检测系统无法检查加密的数据流
- 标准答案:A
68.许多与PKI相关的协议标准(如PKIX、S/MIME、SSL、TLS、IPSec)等都是在( )基础上发展起来的。(0.65分)
- A.X.500
- B.X.509
- C.X.519
- D.X.505
- 标准答案:B
69.链路加密技术是在OSI协议层次的第二层,数据链路层对数据进行加密保护,其处理的对象是( )。(0.65分)
- A.比特流
- B.IP数据包
- C.数据帧
- D.应用数据
- 标准答案:C
70.应用( )软件不能在Windows环境下搭建Web服务器。(0.65分)
- A.IIS
- B.Serv-U
- C.WebSphere
- D.WebLogic
- 标准答案:B
71.网络安全包含了网络信息的可用性、保密性、完整性和真实性。防范Dos攻击是提高可用性_的措施,数字签名是保证( )的措施。(0.65分)
- A.可用性
- B.保密性
- C.完整性
- D.真实性
- 标准答案:D
72.在构建信息安全管理体系中,应建立起一套动态闭环的管理流程,这套流程指的是( ).(0.65分)
- A.评估-响应-防护-评估
- B.检测-分析-防护-检测
- C.评估-防护-响应-评估
- D.检测-评估-防护-检测
- 标准答案:A
73.某商业银行在A地新增一家机构,根据《计算机信息安全保护等级划分准则》,其新成立机构的信息安全保护等级属于( )(0.65分)
- A.用户自主保护级
- B.系统审计保护级
- C.结构化保护级
- D.安全标记保护级
- 标准答案:D
74.一个密码系统,通常简称为密码体制。可由五元组(M,C,K,E,D)构成密码体制模型,以下有关叙述中,( )是不正确的。(0.65分)
- A.M代表明文空间;C代表密文空间;K代表密钥空间;E代表加密算法;D代表解密算法
- B.密钥空间是全体密钥的集合,每一个密钥K均由加密密钥Ke和解密密钥Kd组成,即有K=<Ke,Kd>
- C.加密算法是由一簇由M到C的加密变换,即有C=(M,Kd)
- D.解密算法是有一簇由C到M的加密变换,即有M=(C,Kd)
- 标准答案:C
75.以下描述正确的是 ( )(0.65分)
- A.LTE基于HARQ功能实现快速重传
- B.LTE MAC层将控制UE的移动性测量触发条件
- C.上行调度命令中将携带HARQ进程号
- D.MAC层的初始配置是由高层NAS消息配置的
- 标准答案:A
76.写出防御DoS Smurf的命令?(3.26分)
77.请写出配置802.1X的命令?(3.26分)
78.为了提高网络安全请画图解释802.1X端口认证?(3.26分)
79.华为路由器实现IPSEC配置:a)R1----R2---R3 拓扑b)IP地址自己规划(3.26分)
80.简述常见的黑客攻击过程。(3.26分)
81.画图说明PGP的工作原理。(3.26分)
82.下图是一台计算机访问一个Web网站时的数据包序列。分析图中数据简要回答以下问题:
A.客户机的IP地址是: , 它属于( )地址。B.Web服务器的IP地址是: ,它属于( ) 地址。C.客户机访问服务器使用的传输层协议是: ,应用层协议是: ,应用层协议的版本号是: 。D.客户机向服务器请求建立TCP连接的数据包的号数是: 。E.客户机向服务器发送用户名和口令进行请求登录的数据包的号数是: 。F.此次访问中,客户机使用的端口名称是: ,服务器使用的端口名称是: 。G.服务器对客户机的响应报文中,代码200的含义是: 。H.在TCP的6比特的控制字段中:[SYN]的含义是: [SYN, ACK]的含义是:[ACK]的含义是: [FIN, ACK]的含义是:I. 服务器根据请求向客户机发送网页的第一个数据帧的号数是 。(3.26分)
83.用CISCO 的路由器实现GRE OVER IPSEC:a)IP地址自己规划b)拓扑:R1----R2------R3c)R1和R3模拟VPN设备,R2模拟INTERNET配置要点?
(3.26分)