« 返回题库列表H12-721历年真题解析|华为HCIP-Security安全认证考试重点与题库汇总
问题 #1
用户在使用网络扩展功能时不能访问内网资源, 下列哪些选项不是该故障的可能原因
A. 用户 PC 的虚拟网卡上有没有获取到虚拟 IP 地址
B. 防火墙与内网服务器间路由不可达。
C. 用户连接超时
D. 虚拟 IP 地址与 FW 的接口地址、 内网服务器地址、 DHCP 地址池地址冲突。
问题 #2
在双机热备组网中, 配置HRP心跳接口时, 如果指定了对端心跳接口地址,那么防火墙之间发送的 VGMP Hello 报文是下列哪种类型的报文?
A. 单播报文
B. 广播报文
C. 组播报文
D. UDP 报文
问题 #3
如图所示为防火墙双机热备组网环境,在该组网环境中,以下哪条命令可以保证设备自动调整VGMP 管理组优先级,并自动进行主备切换?
A. hrp ospf-cost adjust-enable
B. hrp preempt delay 60
C. hrp interface GigabitEthernet 0/0/2
D. hrp auto-sync config
问题 #4
下列对于网络扩展的工作过程描述错误的是哪项?
A. 触发网络扩展功能后,首先需要远程用户与虚拟网关之间会建立一条SSL VPN 道。
B. 远程用户本地PC 会自动生成一个虚拟网卡,虚拟网关从地址池中随机选择地址,分配给远程用户的虚拟网卡
C. 远程用户虚拟网卡获得私网IP地址后,需要手动配置到达内网服务器的路由,才能正常访问内网资源
D. 远程用户向企业内网的Server 发送业务请求报文,该报文涌过SSL VPN道到达虚拟网关
问题 #5
双机热备中,多少个周期没有收到对端发送的HRP HELLO 报文时,Slave端会认为对端出现故障?
问题 #6
某企业组网如图所示,其中USG_A 与USG_B 上配置了双机热备,USG_A为主设备。管理员想要在防火墙上配置SSL VPN 使分支机构员工可以通过SSL VPN 访问总部。该SSL VPN 的虛拟网关地址应该为什么?
A. 202.38.10.2/24
B. 202.38.10.3/24
C. 202.38:10.1/24
D. 10.100.10.2/24
问题 #7
华为UMA 产品可采用逻辑串联的方式部署,关于这种部署方式的逻辑模式,下列哪种说法是正确的?
A. 逻辑模式:人->从账号授权->主账号->目标系统
B. 逻辑模式;人->主账号->授权->从账号->目标系统
C. 逻辑模式:授权->从账号->人->主账号->目标系统
D. 逻辑模式:目标系统->从账号>授权->主账号->人
问题 #8
流量最终从岀接口发送时,受岀接口带宽的限制。如果流量大于岀接口带宽,将根据下列哪项对流量进行队列调度,保证高优先级的报文被优先发送?
A. 重标记_DSCP优先级
B. 转发优先级
C. 带宽策略匹配顺序
D. QoS
问题 #9
关于服务器负载均衡,可以依靠下列哪一种技术实现感知服务器状态的变化,保证用户请求不会被发送到故障服务器上?
A. VGMP Hello 报文
B. VRRP 报文
C. DPD
D. 服务健康检查
问题 #10
实现USG6000 防火墙的双机热备功能,不需要以下哪种协议?
A. VRP
B. HRP
C. VGMP
D. IGMP
问题 #11
会话保持可以基于哪种算法实现?
A. 最小连接算法
B. 源IP hash 算法
C. 简单轮询算法
D. 加权轮询算法
问题 #12
下列关于IPsec 说法错误的是哪项?
A. 传输模式下,ESP 不对IP 数据包头进行验证
B. AH 只能验证数据报文不能对其进行加蜜
C. ESP 可以支持NAT 穿越
D. AH 协议使用3DES算法进行数据验证
问题 #13
如果使用SSL VPN 提供文件共享功能,共享目录下的所有文件对终端用户都是可见的。对于文件共享路径的配置,下列哪项描述是正确的?
A. ∥
SMB 类型资源的格式为: IP 地址(主机名)共享文件夹. SMB 类型资源路径可以是多级共享文件夹目
B. NFS 类型资源的格式为://IP 地址(主机名dir1/dir2/共享文件夹.NFS 类型资源路径只能有一级共享文件夹目录
C. Linux 系统下文件共享资源选择SMB
D. Windows 系统下文件共享资源选择SMB。
问题 #14
关于虚拟系统的描述,哪个是错误的?
A. NGFW 上存在根系统和虚拟系统两种类型的虛拟系统。
B. NGEW 上缺省存在的一个特殊的虛拟系统叫做根系统。
C. 在NGFW 上划分出来的、独立运行的逻辑设备叫做虚拟系统。
D. 若虚拟系统功能未启用,根系统就不存在
问题 #15
以下哪种设备可以在虛拟的环境内对网络中传输的未知恶意文件进行检测?
A. LogCenter
B. eSight
C. Firehunter
D. WAF
问题 #16
关于服务器负载均衡技术,在防火墙上执行的命令和得到的输出如下:
[图片]
以下说法正确的是
A. 该负载均衡策略启用了服务健康检查功能,采用的检测报文是TCP 报文。
B. 该负载均衡策略来用的是加权最小连接算法
C. 该负载均衡策略采用的是加权轮询算法。
D. 该负载均衡策略的真实服务器均属于强制不可用状态。
问题 #17
当BFD 会话状态处于"init"时,以下哪个说法是正确的?
A. 会话处于管理性Down 状态
B. 会话刚刚创建
C. 本端希望使会话进入Up 状态
D. 会话已经建立成功
问题 #18
下列哪项是造成该故障的可能原因?
A. 网关和内网服务器间路由不可达
B. 用户没有被分配到Web 代理的资源
C. 安全策略没有放行外网到内网服务器的流量
D. SSL VPN 单臂部署旁挂在防火墙上,需要使用NAT 将SSL VPN 网关私网地址映射为公网地址,她址映射错误
问题 #19
对于虚服务技术,以下哪些说法是正确的?
A. 对于多个真实服务器,真实服务器需处在同一网段和同一安全区域中
B. 对于多个真实服务器,真实服务器可不在同网段中,但必须在同一安全区域中
C. 对于多个真实服务器,真实服务器可不在同一安全区域中,但必须在同一网段中
D. 对于多个真实服务器,真实服务器所在的网段及安全区域不会影响负载均衡功能
问题 #20
创建虚拟系统时,会自动生成相同名字的VPN 实例。且系统会自动为其创建个逻辑接口,逻辑接口編号从哪几个数值开始?
问题 #21
下列哪些命令不属于IPSec 故障排错时常用的命令?
A. display ipsec statistics
B. display psec session
C. display ike sa
D. display ipsec sa
问题 #22
关于SSL VPN 虚拟网关采用的认证方式,以下哪项描述是错误的?
A. 本地认证是指SSLVPN 用户的用户名和密码保存在防火墙本地,在防火墙上完成用启训
B. 服务器认证是指SSL VPN 用户的用户名和密码保存在远端服务器上,需要在服务器上完成用户认证。
C. 证书匿名认证是指防火墙只通过验证客户端证书和密码的有效性来验证用户的身份。
D. 证书挑战认证是指将验证客户端证书与本地认证或服务器认证结合起来。
问题 #23
关于带宽限制的说法,哪个是错误的?
A. 公网接口是特指华为US600 产品连接Internet 的接口
B. 入方向(abound)流量是指从公网接囗流向私网接囗的流量。受入方向带宽的限制。
C. 出方向(outbound)流量是指从私网接口流向公网接口的流量。受出方向带宽的限制。
D. 虛拟系统的全部流量=入方向流量+出方向流量+私网接口到私网接囗的流量+公网接囗到公网接囗的流量
问题 #24
下列有关接口带宽的说法,以下哪些选项是正确的?
A. 在流量出接口时,接囗带宽用于标记流量的优先级,作为后续队列调度的依据
B. 流量入接囗时丢弃超过了预先定义的接囗带宽的流量
C. 受入接口带宽的限制,如果流量大于入接口带宽,将根据带宽通道中设置的重标记DSCP 优先级对流量进行队列调度,保证高优先级的报文被优先发送。
D. 受入接口带宽的限制,如果流量大于入接口带宽,将根据带宽通道中设置的转发优先级对流量进行队列调度,保证高优先级的报文被优先发送。
问题 #25
防火墙输出的威胁日志、内容日志、策略命中日志、邮件过滤日志、URL过滤日志以及审计日志等全部属于下列哪种日志类别?
A. 会话日志
B. 丢包日志
C. 业务日志
D. 系统日志
问题 #26
双机热备中,备份通道必须是接口板上的主接口,不支持哪种类型?
A. Ethernet
B. GigabitEthernet
C. E1
D. Vlan-if
问题 #27
下列选项中对于SSL VPN 会话恢复描述错误的是?
A. 采用会话恢复的方式用于减少SSL 握手过程中造成的巨大开销。
B. 会话恢复只有在客户端和服务器端建立过会话后,再次重启回话才生效。
C. 会话恢复简化了整个SSL 的握手阶段,能够快速进行数据传输
D. 话超时后,客户端和服务器端需要重新认证。
问题 #28
关于IKE DPD说法, 以不哪项是错误的?
A. 用于 IKE 邻居状态的检测
B. IKE Peer之间定 时发送DPD 报文
C. DPD 的周期型检测模式:如果当前距离最后一次收到对端的 IPSec 报文的时长已超过 DPD 空闲时间, 则本端主动向对端发送 DPD 请求报文。
D. DPD 的按需型检测模式只在要发送加密报文前并且距离最后一次收到对端的 IPSec 报文的时长已超过 DPD 空闲时间时发送查询。
问题 #29
每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束, 即符合该带宽策略匹配条件的流量, 独享最大带宽资源。 以下哪个选项属于这种带宽通道的引用方式。
A. 带宽复用
B. 动态均分
C. 策略共享
D. 策略独占
问题 #30
某大型企业有三个部门, 市场部, 研发部和销售部, 每个业务部门都有自己的内部资源, 公司希望每个部门出差员工使用 SSL VPN 访间内网资源时, 能够根据需求为不同部门的员工分配不同的资源访问权限, 并相互隔离, 该如何解决此问题?
A. 为不同部门的员工分配不同角色
B. 通过防火墙单臂组网解决
C. 通过防火墙双臂组网解决
D. 防火墙上创建多个虚拟网关, 每个业务部门独立使用自己的虚拟网关对外提供 SSL VPN 接入服务。
问题 #31
某公司网络管理员为保证较大业务流量的正常转发, 利用两台防火墙实现双机热备。 如图所示, 当配置完成后, 发现当防火墙 A 发生故障时, 故障前正在传输的数据流发生了严重的丢包, 但是故障后新传输的数据流可以正常工作。 造成该现象可能的原因有哪些?
A. 在防火墙上配置的 HRP 抢占时间小于 OSPF 的收敛时间
B. 没有配置根据 HRP 状态调整 OSPF 的 COST 值功能
C. 在USG 上没有配置会话快速备份功能, 在来回路径不一致的情况下无法正常转发报文
D. 未在防火墙上下行接口上启用 HRP track
问题 #32
用户在使用端口转发功能时, 不能访问内网资源, 下列哪项不是造成该故障的可能原因?
A. 端囗转发功能没有启用。
B. 用户连接是否超时
C. 安全策略没有放行流量。
D. 用户 PC 的虚拟网卡上有没有获取到虚拟地址
问题 #33
在根据链路优先级主备备佾的选路方式中, 如果没有开启过载保护, 当主链路的链路出现拥塞时, 会发生什么情况?
A. 自动启用备用链路分担流量。
B. 根据默认的过载保护阈值将流量分担到备用链路。
C. 不启用备用链路, 主链路继续转发流量。
D. 主备链路根据链路的优先级比值分担流量。
问题 #34
关于防火墙接口绑定 VPN 实例的配置, 以下哪个选项是正确的?
A. ip binding vpn-instance vpn-id
B. ip binding wpn-instance vpn-instance-name
C. ip binding vpn-id
D. ip binding vpn-id vpn-instance-name
问题 #35
IPsec VPN 使用以下哪种加密方式对通信数据流进行加密?
A. 私钥加密
B. 公钥加密
C. 对称密钥加密
D. 预共享密钥加密
问题 #36
关于IKEv1 主模式和野蛮模式下列哪二项说法是正确的
A. 野蛮模式下第一阶段的所有协商包都加密
B. 主模式下第一阶段的所有协商包都加蜜
C. 野蛮模式用到 DH 算法
D. 不论协商成功与否, 都将进入到快速模式
问题 #37
配置完成防火墙双机热备后,在 web配置界面下,选择"系统>高可靠性>双机热备",单击"检查HRP配置一致性"对应的"检查"按钮。弹出如图窗口,以下哪一项配置可以解决该问题(假设心跳接口已被加入DMZ区域)?
A. security-policy rule name trust_local source-zone trust local destination-zone trust local action permit.
B. security-policy rule name trust dmz source-zone trust dmz destination-zone trust dmz action permit
C. security-policy rule name untrust dmz source-zone untrust dmz destination-zone untrust dmz action permit
D. security-policy rule name local_dmz source-zone local dmz destination-zone local dmz action permit
问题 #38
在双机热备与 IP-Link 联动的组网环境下(如下图所示) , 在主用防火墙的配置中, 以下哪项是实现IP-Link 与双机热备联动的关但配置?
A. hrp mirror IP-Link 1
B. hrp track IP-Link 1
C. hrp track IP-Link 1 enable
D. IP-Link check enable
问题 #39
在USG的系统视图,需要删除 hda1: /目录下的sslcontig cfg 文件, 以下哪条命令能完成该操作?
A. cd:hda1:/remove sslconfig.cfg
B. cd:hda1:/-delete sslconfig.cfg
C. cd:hda1:/rmdir sslconfig.cfg
D. cd:hda1:/mkdir ssiconfig.cfg
问题 #40
将整体最大带宽除以在线数量, 得到的值作为每|P 最大带宽。 以下哪个选项属于这种带宽的分配方式?
A. 带宽复用
B. 动态均分
C. 策略共享
D. 策略独占
问题 #41
如果防火墙工作在二层,与内网之间直连或通过二层交换机相连,以下哪个选项不可以作为策略路由的匹配条件?
A. IP地址
B. MAC 地址
C. 入接口
D. DSCP 优先级
问题 #42
在IPSec VPN中,以下哪个报文信息不存在?
A. AH报文头
B. AH报文尾
C. ESP报文头
D. ESP报文尾
问题 #43
IPSec VPN 使用数字证书进行身份验证时, 以下哪项是不需要用来检验数字证书是否合法的?
A. 证书签名
B. CRL 证书序列号
C. 证书公钥
D. 证书有效期
问题 #44
以上信息表示 USG 强制真实服务器为不健康状态, 而且真实服务器4.4.4目前是不健康状态.
问题 #45
下列哪种状态表示 BFD 会话已经成功建立?
A. Down
B. Init
C. Up
D. Admin Up
问题 #46
USG6000 防火墙上为三台FTP服务器配置了负载均衡功能,三台实服务器的地和权重值分别为10.1.1.3/24(weight.16),10.1.1.4/24(weight32),10.1.1.5/240(weight 16),虚服务器地址为202.152.26.123/24。一台主机地址为202.152.26.3/24的PC对该FTP服务器发起访问。在防火墙上运行display firewall session table命令,下列哪种情况说明成功实现了负载均衡功能?
A. display firewall session table Current total-sessions:1:ftp:VPN:public ->public152.26.3:3327-->10.1.1.4:21
B. display firewall session table Current total sessions:3 ftp VPN:public-> public152.26.3:3327->202.152.26-123:21[10.1.1.3:21]ftp VPN:public->public 202.152.26.3:3327- >202.152.26.123:21[10.1.1.4:21]ftp VPN:public->public152.26.3:3327->202.152.26.123:21 [10.1.1.5:21]
C. display firewall session table Current total sessions:1 ftp VPN:public ->public 202.152.26 3:3327->202.152.26.123:21
D. display firewall session table Current total sessions:3 ftp VPN: public->public 202.152,26.3:3327--210.1.1.3:21 ftp VPN: public--> public 202.152.26.3:3327-->10.1.1.4:21ftp VPN:public->public152.26.3:3327->10.1.1.5:21
问题 #47
当服务器之间的性能差是较大, 可以采用以下哪种算法进行负载均衡?
A. 简单轮询算法
B. 加权轮询算法
C. 最小连接算法
D. 源IP hash算法
问题 #48
网络扩展功能建立SSL VPN隧道的方式有两种可靠传输模式和快速传输模式。下列对于这两种方式描述错误的是哪项?
A. 可靠传输模式中,SSL VPN采用SSL协议封装报文,并以TCP协议作为传输协议。
B. 快速传输模式中,SSL VPN采用QUIC(Quick UDP Internet Connections)协议封装报文,并以UDP协议作为传输协议。
C. 可靠传输模式中,远端用户在传输数据前需要与虚拟网关建立SSL VPN隧道。
D. 快速传输模式中,远端用户在传输数据前不需要与虚拟网关建立SSL VPN隧道。
闽公网安备 35012102500533号
|
闽ICP备18010967号-7