首页 > 题库 > H12-721

2026 H12-721安全认证题库免费下载｜HCIP-Security考试试题与答案解析合集

问题 #1

在IKE v1第一阶段的主模式协商过程中，以下哪一项是Message5和Message6的作用?

A. 运行DH算法

B. 协商提议集

C. 相互做身份认证

D. 协商IPSec SA

正确答案：C

问题 #2

华为UMA产品可采用逻辑串联的方式部署，关于这种部署方式，下列哪种说法是错误的?

A. 逻辑模式:人->从账号->授权->主账号->目标系统。

B. 主账号为JMA账号，与运维人员一一对应。

C. 从账号为目标系统账号，无需与人员一一对应，普通运维人员可以不感知。

D. 用户Web登录UMA，不需要在终端安装客户端，不改变原有操作习惯。

正确答案：A

问题 #3

在华为USG6000防火墙上导入dSP地址文件后，指定出接口与某个运营商名称关联，则防火墙会批量生成到此运营商网络的ISP路由，以下哪些选项对这种路由的描述是正确的?

A. 源地址是ISP地址文件中的IP地址。

B. 下一跳是运营商网络的设备的地址。

C. 在路由表中显示的协议类型为UNR（user network route）

D. 路由优先级为60。

正确答案：C

问题 #4

如下图所示为L2TP over IPSec应用场景，下列关于IPSec保护数据流的配置正确的是哪项?

A. [LNS]-acl number 2001

[LNS]-acl-basic-2001]rule permit udp source10. 1.0 0.0.0.255

B. [LNS]acl number 3001

[LNS-acl-adv-3001] rule permit source10. 1.00.0.255 destination 10.10.2.0 0.0.0.255

C. [LNS]acl number 3001

D. [LNS] acl number 3001

正确答案：D

问题 #5

在双机热备环境下，如果存在数据包来回路径不一致的现象，以下哪种情况不会导致丢包?

A. 没有启用会话快速同步功能

B. 心跳线带宽不足

C. 关闭了状态监测功能

D. 指定错误的心逃线端口

正确答案：C

问题 #6

以下哪些选项不可以作为策略路由的匹配条件?

A. 源安全区域

B. 入接口

C. DSCP优先级

D. 下一跳地址

正确答案：D

问题 #7

虚拟系统和VPN实例关系，以下哪个选项的描述是错误的?

A. 创建虚拟系统时，会自动生成相同名字的VPN实例。

B. 拟系统底层转发依赖于自动生成的VPN实例，上层配置业务时无需与vpn实例挂钩。

C. 自动生成的VPN实例和手工配置的vpn实例一样，都需要在接口下绑定vpn实例。

D. 管理员也可使用ip vpn-instance命令手动创建VPN实例，用于路由隔离。

正确答案：C

问题 #8

华为LogCenter产品采用分布式部署组网时，日志采集器和分析器安装在不同的物理服务器上，一台分析器最多可管理多少台采集器?

A. 13

B. 14

C. 15

D. 16

正确答案：C

问题 #9

华为WAF5000产品使用以下哪种技术来应对盗链、跨站请求伪造等特殊Web攻击?

A. 签名匹配技术

B. 行为状态链检测技术

C. 非法链接过滤技术

D. 异常状态跟踪技术

正确答案：B

问题 #10

智能选路的功能主要分为两部分，以下哪个选项的说法是正确的?

A. 当企业从不同ISP处获得多条带宽不等的链路时，为了充分利用各链路的带宽，可以根据链路带宽负载分担进行智能选路。

B. 为了使用户获得最佳的访问体验，可以根据各链路的实时传输质量动态调整流量的分配情况。

C. 可以优先使用某些链路传输流量，并利用其他链路作为备份链路或负载分担链路，提高业务的可靠性。

D. 智能选路可以根据不同的需求实现基于全局选路策略的选路，也可以对服务可用性、链路可用性或链路时延进行探测。

正确答案：D

问题 #11

关于GRE Over IPSec的说法，下列哪项说法是错误的?

A. IPSec 封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址，目的地址即IPSec 对等体中应用IPSec安全策略的接口地址

B. IPSec 需要保护的数据流为从GRE起点到GRE终点的数据流

C. GRE封装过程中增加的IP头即源地址为GRE 隧道的源端地目的地址为GRE 隧道的目的端地址

D. 当网关之间采用GRE over IPSec连接时，先进行IPSec封装，再进行GRE封装。

正确答案：D

问题 #12

管理员给虚拟系统 vsysa分配接口G1/0/0时，发现分配失败，不可能的原因是?

A. G1/0/0口已经被分配给其他虚拟系统。

B. 该接口是个二层口，无法直接分配给虚拟系统。

C. 该接口已被加入其他虚拟系统的安全区域中。

D. 接口未处于UP状态。

正确答案：D

问题 #13

关于VRRP报文，以下说法正确的是?

A. VRRP 使用TCP报文

B. VRRP 使用UDP报文

C. VRRP 报文的目的地址是224.0.0.18

D. VRRP 报文是单播报文

正确答案：C

问题 #14

使用策略路由修改下一跳地址后流量的没有按照策略路由转发，以下哪个选项的说法是错误的?

A. 策略路由有没有提交生效

B. 接口的IP地址没有配置正确

C. 匹配的源安全区域不正确

D. 没有放行域间流量

正确答案：C

问题 #15

关于Radius的认证流程，有以下几个步骤: 1网络设备中的Radius 客户端接收用户名和密码，并向Radius服务器发送认证请求; 2用户登录 USG等网络设备时，会将用户名和密码发送给 Radius 客户端; 3Radius服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给Radius客户端; 以下哪个选项的顺序是正确的?

A. 1-2-3

B. 2-1-3

C. 3-2-1

D. 2-3-1

正确答案：B

问题 #16

关于L2TP over IPSec的报文封装顺序，以下哪项是正确的?

A. 从先封装到后封装的顺序是PPP->UDP->L2TP->IPSec

B. 从先封装到后封装的顺序是PPP->L2TP->UDP->IPSec

C. 从先封装到后封装的顺序是IPSec->L2TP->UDP->PPP

D. 从先封装到后封装的顺序是IPSec->PPP->L2TP->UDP

正确答案：B

问题 #17

关于防火墙带宽策略，下列哪项说法是错误的，

A. 对于最大带宽和连接数限制，子策略不能大于父策略。

B. 在同一组父子策略中，不能引用同一个带宽通道。

C. 如果带宽管理与源NAT功能同时使用，配置带宽策略的源地址/地区匹配条件时应指定转换前的地址。

D. 如果带宽管理与源NAT功能同时使用，配置带宽策略的源地址/地区匹配条件时应指定转换后的地址

正确答案：D

问题 #18

关于防火墙开启虚拟化功能的配置命令，以下哪个选项是正确的?

A. vsys enable

B. vsys name enable

C. vsys

D. vsys view enable

正确答案：A

问题 #19

某企业在网络中部署了华为USG6000系列防火墙，要实现用户通过Telnet/SSH登录防火墙，而且该用户输入的每一条命令都要通过服务器授权才能执行。以下哪种认证方式可以满足需求?

A. Radius

B. LDAP

C. HWTACACS

D. AD

正确答案：C

问题 #20

以下哪个选项不属于智能选路的方式?

A. 基于全局选路策略选路

B. 基于策略路由选路

C. 基于ISP选路

D. 基于链路质量选路

正确答案：D

问题 #21

当需要同时使用AH和ESP进行报文封装时，IKE协商完成后，会建立几个个SA?

A. 1

B. 2

C. 3

D. 4

正确答案：D

问题 #22

下列哪条命令在华为USG6000系列防火墙中表示不限流?

A. no-qos

B. no-car

C. no-profile

D. no-limit

正确答案：A

问题 #23

在IKEv1协商中，关于野蛮模式与主模式的区别，以下哪项说法是错误的?

A. 主模式在预共享密钥方式下不支持NAT穿越，而野蛮模式支持。

B. 主模式协商消息为6个，野蛮模式为3个。

C. 在NAT穿越场景下，对等体ID不能使用IP地址。

D. 主模式加密了身份信息的交换信息，而野蛮模式没有加密身份信息。

正确答案：C

问题 #24

华为UMA产品允许特定IP、特定帐号的运维人员通过UMA平台去管理IT设备，这属于下列哪一步骤?

A. 事前控制

B. 事中监控

C. 事后审计

D. 维护准备

正确答案：A

问题 #25

服务器负载均衡技术利用Server-map 表和会话表实现虚拟服务器和实服务器的映射，请问生成的是什么类型的 server-map表?

A. NAT NO-PAT

B. 转发 QQ/MSNTFTP等STUN类型协议

C. 静态server-map表

D. 动态server-map表

正确答案：C

问题 #26

关于虚拟系统中公网接口和私网接口的说法，以下哪个选项是错误的?

A. 公网接口是指接口下配置了set public-interface命令的接口。

B. 私网接口是未配置set public-interface命令的接口。

C. 私网接口是指使用私有IP地址的接口。

D. 只有配置了公共接口，资源类中的带宽资源配置才会生效。

正确答案：C

问题 #27

如果建立IPSec VPN隧道的其中一方的IP地址不固定，则以下哪些配置方法不能适用在该场景?

A. 策略模板

B. 配置IKE时要求指定对端地址

C. 野蛮模式下的Name 认证

D. 野蛮模式下的pre-share key 认证

正确答案：B

问题 #28

以下关于 HWTACACS协议和RADIUS协议的描述，错误的是哪一项?

A. RADIUS协议不支持对配置命令进行授权

B. HWTACACS协议使用TCP作为传输层

C. RADIUS协议使用UDP作为传输协议

D. HWTACACS协议认证与授权是一起处理的

正确答案：D

问题 #29

当配置的策略路由修改下一跳不生效时，以下哪个选项的说法是错误的?

A. 没有放行域间流量

B. 策略路由有没有提交生效

C. 接口的IP地址没有配置正确

D. 匹配的源安全区域不正确

正确答案：B

问题 #30

全局选路是指到达目的网络有多条等价路由时华为USG6000防火墙可以根据管理员设置的链路带宽、权重、优先级或者自动探测到的链路质。

A. 基于链路质量选路

B. 基于策略路由选路

C. 基于全局选路策略选路

D. 基于ISP选路

正确答案：C

问题 #31

IPsec整个协议框架包含多种协议，以下哪一项协议不属于IPsec协议框架

A. ESP

B. IKE

C. TLS

D. AH

正确答案：C

问题 #32

如果要在公司总部和分支之间传输视频会议等组播业务，可以使用以下哪一项的封装模式

A. GRE over IPsec

B. IPsec

C. L2TP over IPsec

D. IPsec over GRE

正确答案：A

问题 #33

使用IKEv2额外创 IPsec建一对 SA需要交换的消息条数是以下哪一项

A. 2

B. 3

C. 4

D. 6

正确答案：A

问题 #34

以下关于AH协议和ESP协议的描述，错误的是哪一项?

A. AH协议支持数据完整性校验

B. AH协议支持NAT穿越

C. ESP协议支持数据完整性校验

D. ESP协议支持NAT穿越

正确答案：B

问题 #35

移动办公用户通过Web代理访问企业内部Web服务器，移动办公用户处于 untrust安全域，企业内部Web服务器 trust处于安全域，以下关于防火墙上需放通的流量的描述，正确的是哪一项?

A. 只需放通local到 trust的相应流量即可

B. 只需放通untrust到trust到的相应流量即可

C. 只需放通 untrust到1ocal的相应流量即可

D. 需要放通 untrust到1ocal，以及1ocal到 trust的相应流量

正确答案：D

问题 #36

以下关于防火墙带宽管理父子策略配置带宽通道时的限制的描述，错误的是哪一项?

A. 同一组父子策略中，不能引用同一个带宽通道

B. 子策略的连接数限制不能小于父策略

C. 同一组父子策略中，限流方式只能同时为"分别设置上下行带宽"或者"设置总带宽"，二者不能同时存在

D. 子策略的最大带宽不能大于父策略

正确答案：B

问题 #37

以下哪一项不属于防火墙的业务日志?

A. 威胁日志

B. 策略命中日志

C. 丢包日志

D. 审计日志

正确答案：C

问题 #38

开启会话保持后，流量进行首次智能选路选择某接口链路后，华为USG6000防火墙会生成相应的会话保持表项，新流量如果命中了该会话保持表项，则根据表项中记录的出接口转发流量，这样能保证该用户的流量始终使用同一接口链路转发，会话保持表项中记录的参数不包括下列哪个选项?

A. 源地址

B. 目的地址

C. 出接口

D. 入接口

正确答案：D

问题 #39

防火墙到 Internet有3条出接口链路ISP1、ISP2、ISP3，带宽分别为200M，100M，100M。防火墙上启用根据链路带宽负载分担的智能选路功能，3条链路的过载保护阈值分别设置为80%、90%、90%。防火墙到Internet的流量大小为340M，则最终3条链路的流量为以下哪一项?

A. ISP1 200M, ISP2 100M, ISP3 40M

B. ISP1 170M, IPS2 85M, ISP3 85M

C. ISP1 160M, ISP2 90M, ISP3 90M

D. ISP1 200M, ISP2 70M, ISP3 70M

正确答案：B

问题 #40

在华为USG6000防火墙上导入ISP地址文件后，指定出接口与某个运营商名称关联，则防火墙会批量生成到此运营商网络的ISP路由，以下哪些选项对这种路由的描述是正确的?

A. 路由优先级为70

B. 源地址是ISP地址文件中的IP地址

C. 下一跳是ISP地址文件中的IP地址

D. 在路由表中显示的协议类型为 Static

正确答案：A

问题 #41

以下哪一选项不能作为查找 Server-map表的参数条件?

A. 源IP

B. 目的IP

C. 协议类型

D. 目的端口号

正确答案：C

问题 #42

以下关于防火墙输出的描述，错误的是哪一项?

A. 虚拟服务器的协议类型为TCP

B. Server-map表的类型为SLB

C. 防火墙对访问虚拟服务器的设备IP地址进行了限制

D. 虚拟服务器的IP地址是1.1.1.10

正确答案：C

问题 #43

以下哪种BFD的状态表示已经能够与对端系统通信，同时本端希望会话进入Up状态?

A. Up

B. Init

C. Down

D. AdminUp

正确答案：B

问题 #44

防火墙双机热备中，以下哪一项的报文不是通过心跳线发送的?

A. VRRP报文

B. 配置一致性检查报文

C. VGMP报文

D. 配置和表项备份报文

正确答案：A

问题 #45

以下关于防火墙VGMP组优先级的描述，错误的是哪一项?

A. 高端防火墙增加一个业务处理CPU,VGMP组优先级增加2

B. 高端防火墙增加一个业务板，VGMP组优先级增加1000

C. VGMP组的初始优先级为45000

D. 高端防火墙增加一个接口板卡，VGMP组优先级增加1000

正确答案：A

问题 #46

根据双机热备组网图，关于双机热备抢占功能，以下哪个说法是错误的?

A. VRRP备份组本身不具有抢占功能。如图，当USGA出现故障并恢复后，USGA会使用抢占功能重新变为master 状态。

B. VGMP管理组的抢占功能和VRRP备份组类似，当管理组中出现故障的备份组故障恢复时，管理组的优先级也将恢复。

C. 缺省情况下，抢占功能开启

D. 当VRRP备份组加入到、VGMP管理组后，备份组上原来的抢占功能将失效，抢占行为发生与否必须由 VGMP管理组统一决定。

正确答案：A

问题 #47

如图所示为防火墙双机热备组网环境，在该组网环境中，当主、备设备配置不同步，以下哪条命令是用于手工同步命令配置?

A. hrp auto-sync

B. hrp mirror session enable

C. hrp sync connection-status

D. hrp sync config

正确答案：D

问题 #48

SSL VPN的网络扩展业务可以实现对内网所有复杂应用的全网访问，以下哪一项不属于网络扩展业务的访问方式?

A. 全路由模式

B. 手动模式

C. 分离模式

D. 聚合模式

正确答案：D

查看更多题库 »