华为认证资深网络工程师-构建安全网络架构HCNP-Security-CISN模拟考试
& ~( M. Y) K" M4 z. \+ k# s7 O6 k/ q2 Z' `* j7 a" a7 A
1. HWTACACS仅仅只能对密码部分进行加密而Radius协议除Radius报文头以外,同时对报文主体全部进行加密。( )6 T4 k e- f* g0 Z
True False
$ O1 ^9 J' o4 |& s; H% [* ?/ s. ?
9 K7 c8 C$ |# _0 p2. 负载均衡实现了将访问不同IP地址的用户流量分配到同一服务器上的功能。( )
$ e5 |1 @/ [* K* j& ZTrue False
" V' Z2 X/ s' g* M % T9 \7 e) v( ]& ^
3. 以下哪个不是IP-link的探测时发送的报文? ( )/ s( C/ W; L" y6 U8 T( K" Q3 F
(Select 2 Answers)
- O; }' \$ r1 W; }- X Z- WA. ARP报文
' C4 f/ Y9 _ `3 ~8 QB. IGMP报文
5 h% q' Z: o$ ^9 c9 ^7 |C. ICMP报文* m% M9 [* c+ o& x
D. Hello报文5 ^4 E2 Y( K% H$ u0 F
4 d. Z7 N6 y( e0 t4. USGA与USGB配置了静态BFD会话,下列关于BFD会话建立和拆除的过程,说法正确的是?( )
0 n$ ?0 ?# c, ^# _! f(Select 2 Answers), ^0 ~& q# H8 u% ~' P
A. USG A和USG B各自启动BFD状态机,初始状态为Down,发送状态为Down的BFD报文,Your Discriminator的值是0。
# k! p! H/ P! T' k/ J$ o$ y, tB. USG B本地BFD状态为Init后,如果接下来继续接收到状态为Down的报文,重新进行处理更新自己的本地状态。
( g# e! f! q4 b( F! R8 T8 rC. USG B收到状态为Init的BFD报文后,本地状态切换至Up。
; J- N8 D1 o" y& ~D. USG A和USG B发生“DOWN => INIT”的状态迁移后,会启动一个超时定时器。如果定时器超时仍未收到状态为Init或Up的BFD报文,则本地状态自动切换回Down。: T4 ~3 q8 I8 m& ]# G! n
6 V8 H* K" C# J. g) C! ~5.USG系列防火墙双机热备不包括以下那些协议:( )8 |0 c8 A; P7 v" K
A. HRP/ r7 u5 n" E5 _# ?( E
B.VRRP* M3 _* ]4 K. r; @" _# J
C. VGMP$ R% J, k1 U4 P4 E$ M: o# T( V4 s. n$ K
D. IGMP8 e' n6 k) z5 F% l+ k; J
1 p/ D$ s8 b0 R) d h X) ^
6. 在配置USG双机热备时,(假设备份组号是1)虚拟地址的配置命令,正确的是哪项?( )/ Q4 O- l9 M" x+ h, o( D; s, p- c
A. vrrp vrid 1 virtual-ip ip address master! J5 r& r2 ~6 F
B. vrrp virtual-ip ip address vrid 1 master, | O. _" n7 W* D. A$ A' ^3 r
C. vrrp virtual-ip ip address master vrid 16 C8 l" x4 U) R
D. vrrp master virtual-ip ip address vrid 1
/ t( M, T) U" N% B. q1 [" p V
: i0 K& L9 N6 T$ k' G: H6 P$ f7. 下列关于VRRP和VGMP的协议报文,说法正确的是什么? ( )
; T* {" ~. e" K: r) {(Select 2 Answers)
6 ], f9 E/ T1 |0 d. x3 yA. VGMP管理组与VRRP备份组之间使用VGMP Hello报文通信 R% D4 D8 ^* e5 f- {9 Q, H
B. VGMP管理组之间通过VGMP Hello报文通信
9 @# X+ y5 |3 \* xC. VGMP管理组之间通过VRRP报文通信
0 c3 |* H3 U% L* K! [# }! sD. VGMP管理组与VRRP备份组之间使用VGMP报文通信 w1 r. `0 ^) y& M6 [+ _* }
; A( l4 c( u# l
8.在一个Eth-Trunk接口中,通过在各成员链路上配置不同的权重,可以实现流量负载分担。( )( E! D/ W) q" C4 x0 D3 k) D
True False5 I3 w8 ?( g3 a7 T
: K* c" M0 z9 _9. 虚拟防火墙技术特点不包括以下哪项?( )
, \+ V2 [: d6 Z0 L6 h& m- |6 g, zA. 提供路由多实例、安全多实例、配置多实例、NAT多实例、VPN多实例,应用灵活,可满足多种组网需要。5 x* Y: g2 X7 h2 p, r2 a3 N; L+ J
B. 每个虚拟防火墙均可以独立支持TRUST、UNTRUST、DMZ等 4个安全区域,接口灵活划分和分配。* q) H4 b- e; u: ]0 c+ U' J
C. 从技术上保证了每一个虚系统和一个独立防火墙从实现上是一样的,而且非常安全,各个虚系统之间可以直接实现访问。% P9 B8 C) H' k @8 v% j7 v
D. 每个虚系统提供独立的管理员权限。
( n& b& n) Y$ i( I, N; q 9 e9 t7 [# m6 U9 _- b* g
10. 以下不提供加密功能的VPN协议有哪些? ( )5 V1 c# p) f K9 B' U
(Select 3 Answers)% d' s* K/ D/ u
A. ESP
& }; ~# l! r1 ]9 gB. AH5 P! R6 X9 s) O* A3 B
C. L2TP
* ~! P. `, c6 i) qD. GRE
) C) n+ I" v X3 | ?/ ? s2 F . E( Q2 T) o, ]2 u, c; q" p
11. 在IPSec VPN中,以下哪个报文信息不存在?( )
6 S" h7 D' l' _3 J0 n# Q/ d) BA. AH报文头# i6 V2 f# x$ {6 b: [4 o1 ?
B. AH报文尾
( Z, p" C7 ]/ e/ ]$ i! T. xC. ESP报文头
5 ]5 g" w t' \, @D. ESP报文尾
7 r6 S7 _: G* K0 s
3 K& i/ x5 R6 c$ b" w4 q3 A3 |" `$ Q12. IPSec VPN做NAT穿越的情况下,必须使用IKE的野蛮模式。( ): o1 v3 z) L) s8 H% W! W- y3 i, [: i
True False
! y3 O# O0 k! M$ P
; h9 u) A8 X- Z" C2 y; w$ j13.下列关于IPSec和IKE的说法正确的是:( )
- K. k) h: E$ K* ~(Select 3 Answers)& |2 e4 P. K- _2 J6 w( ]' Y
A. IPSec有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE 自动协商(isakmp)方式。' R( ~4 J" H5 T0 c; E
B. IKE 野蛮模式可以选择根据协商发起端的IP 地址或者ID,来查找对应的身份验证字并最终完成协商。
. X0 r) e) G% V, WC. NAT 穿越功能删去了IKE协商过程中对UDP 端口号的验证过程,同时实现了对VPN 隧道中NAT 网关设备的发现功能,即如果发现NAT 网关设备,则将在之后的IPSec 数据传输中使用UDP 封装。! _! H$ O$ O3 ^: z
D. IKE 的安全机制包括DH Diffie-Hellman 交换及密钥分发,完善的前向安全性(Perfect Forward Secrecy PFS)以及SHA1等加密算法。4 l2 ^: m* J7 {. A
- T, J7 U/ a1 r7 a0 T% e+ _14. 如果建立IPSec VPN隧道双方,一方的IP地址不固定,则以下哪些配置方法不能适用在IP地址不固定的网关? ( )
, p+ \0 M3 Y/ G3 ?! V, `* ^ m9 L- LA. 策略模板. E* Q9 w/ d+ T8 d
B. 策略, ]; V3 c5 g& K3 p& n/ Y- p/ S
C. 野蛮模式下的Name认证
3 k/ q% z% H; O9 u! uD. 野蛮模式下的pre-share key认证
. D, J+ x6 E1 a. S ~ / l3 O; o q9 q1 |) F" w
15. 网络攻击的分类有流量型攻击、扫描窥探攻击、畸形报文攻击和特殊报文攻击。 ( ); w5 O& e& W$ X$ `2 f! y( `
True False) m* @1 S0 A1 I. w: \4 X# m4 F
) K! b! J! i) N; T16. IP-MAC地址绑定配置如下:
/ W9 ?1 `+ V9 g6 J( M[USG] firewall mac-binding 202.169.168.1 00e0-fc00-01006 e/ Q$ P ]6 x- m1 w
当数据包通过华为防火墙设备时候,不考虑其他的策略情况(如包过滤,攻击防范),下列数据能通过防火墙的有? ( )
3 U9 U7 g* {& E(Select 2 Answers); ]$ `: ^3 Y1 T8 h: C% U
A. 数据包源IP:202.169.168.15 j; S( E3 G3 S( I6 H) j6 P
数据包源MAC:FFFF-FFFF-FFFF! T3 j, P6 z6 Q
B. 数据包源IP:202.169.168.26 Y# x% L. y6 f3 m! e
数据包源MAC:00e0-fc00-0100
4 U2 j# [' V" z0 w4 P3 w8 I# F" q0 yC. 数据包源IP:202.1.1.1
# Q6 ~) h- ^3 \! `- [数据包源MAC:00e0-fc11-1111
0 O0 h: [0 R+ TD. 数据包源IP:202.169.168.19 Z0 `$ [$ t$ J+ @
数据包源MAC:00e0-fc00-01009 e2 k8 @% T/ k; w
, | b9 _4 n/ j0 a. B. Z' `17. CC攻击是哪种攻击方式?( )
! z' l z, m% ^+ y2 y% @( {' XA. 拒绝服务型攻击
# R) Z: t+ }9 _' \5 xB. 扫描窥探攻击
- K. n8 T6 O. ~2 c1 f pC. 畸形报文攻击
9 X- h( p5 b0 O0 N# ` L, cD. 基于系统漏洞的攻击, b. d% E& S5 U' s0 P
( C7 ~' J! _7 F! a; Q2 ^2 ]5 Q) Y Q18. DHCP Snooping功能需要维护绑定表,其绑定表的内容包括哪些?( )
n3 M b% g% Y" D" D8 iA. MAC
0 X& \6 p0 t, i- EB. Vlan/ \2 C' V9 G- M2 t/ Z# |! N
C. 接口
/ H7 U+ t# Z6 y7 m; r' OD. DHCP Server的IP
! G5 [9 ?$ e. r; Y) l: E% U$ V
+ o( [! f1 M0 J7 q$ y8 S1 v1 a* |19. 在DDos攻击防范中,如果通过服务学习功能,发现正常流量中根本没有某种服务或某种服务流量很小,则可以在Anti-DDos设备上分别采用阻断或限流方法来防御攻击。 ( )* X( [( F5 O! T% Z/ a
True False
( V0 `! |4 b8 A) }4 H
0 w( b2 C* u( [2 Y( V) f( A$ a20. HTTPS Flood源认证防御原理是,Anti-DDos设备代替SSL服务器与客户端完成TCP三次握手。如能完成TCP三次握手,表示HTTPS Flood源认证检查成功。( )
/ W5 @6 c/ U' K3 c% q0 @( N True False ( V! Y/ E, O k6 O* T- `
. n6 g5 Z. F- A$ ^" w" o8 Z3 j) `% ?
答案:
7 {, P6 Q8 }/ ~' n- g, F1.F 2.F 3.BD 4.CD 5.D 6.A 7.BD 8.T 9.C 10.BCD 11.B 12.F 13.ABC 14.A 15.T 16.CD 17.A 18.ABC 19.T 20.F 5 x# c; f. i7 m! k6 k' J8 c+ x
| 
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
