首页 > 题库 > H12-721

H12-721模拟考试题及答案解析｜华为HCIP-Security安全认证练习题合集

问题 #1

用户使用SSL访问内网的网络资源，管理员为用户开启了文件共享和Web代理的业务，并且在防火墙上放行了业务的流量，但是用户在PC上输入虚拟网关的地址后，在网页中看不到文件共享和Web代理的列表，以下哪一选项是该故障产生的可能原因?

A. 用户PC的虚拟网卡上有没有获取到虚拟IP地址。

B. 管理员没有为用户配置文件共享和Web代理的授权。

C. 防火墙与客户端之间路由不可达。

D. 虚拟网关对外NAT的端口错误。

正确答案：B

问题 #2

在IKEv1协商中，关于野蛮模式与主模式的区别，以下哪项说法是错误的?

A. 主模式在预共享密钥方式下不支持NAT穿越，而野蛮模式支持。

B. 主模式协商消息为3个，野蛮模式为6个。

C. 野蛮模式的安全性比主模式差。

D. 主模式加密了身份信息的交换信息，而野蛮模式没有加密身份信息。

正确答案：B

问题 #3

用户在使用网络扩展功能时不能访问内网资源，以下哪一选项不是该故障发生的可能原因?

A. 用户登录失败。

B. 虚拟IP地址与FW的接口地址、内网服务器地址、DHCP地址池地址冲突。

C. 防火墙与内网服务器间路由不可达。

D. 用户PC的虚拟网卡上有没有获取到虚拟IP地址。

正确答案：A

问题 #4

关于以下 display ipsec sa输出信息的描述，错误的是哪一项?

A. IPsec的封装方式是隧道模式

B. IPsec安全策略的创建方式是通过ISAKMP方式

C. 从本端发出去的封装后的 IPsec报文，目的地址是10.1.1.2

D. IPsec感兴趣流是通过ACL方式进行定义的

正确答案：D

问题 #5

关于IKE动态协商方式中策略模板的特点，以下哪一选项的描述是错误的?

A. 采用策略模板可以简化多条 IPSec隧道建立时的配置工作量。

B. 本端配置了策略模板时不能发起协商，只能作为协商响应方接受对端的协商请求，一般在总部配置策略模板方式。

C. 当通信对端的IP地址不固定或预先未知的情况下不可以使用策略模板。

D. 策略模板视图中定义需要协商的各参数未定义的可选参数由发起方来决定，而响应方会接受发起方的建议。

正确答案：C

问题 #6

关于 GRE over IPsec的说法，以下哪一项的描述是错误的?

A. IPSec需要保护的数据流为从GRE起点到GRE终点的数据流

B. GRE封装过程中增加的IP头即源地址为IPSeC隧道的源端地址，目的地址为 IPSec隧道的目的端地址

C. 当网关 GRE之间采用 over IPSec连接时，先进行GRE封装，在进行 IPSec封装

D. IPSec封装过程中增加的IP头即源地址为IPSec网关应用安全策略的接口地址，目的地址即 IPSec对等体中应用IPSec安全策略的接口地址

正确答案：B

问题 #7

下列哪一项的命令不属于 IPSec故障排错时常用的命令?

A. display ipsec sa

B. display ipsec statistics

C. display ipsec peer

D. display ike sa

正确答案：C

问题 #8

网络扩展功能建立 SSL VPN隧道的方式有两种可靠传输模式和快速传输模式。下列对于这两种方式的描述正确的是哪一项?

A. 可靠传输模式中， SSL VPN采用SSL协议封装报文，并以UDP协议作为传输协议

B. 可靠传输模式中，远端用户在传输数据前不需要与虚拟网关建立 SSL VPN隧道。

C. 快速传输模式中， SSL VPN采用QUIC（Quick UDP Internet Connections）协议封装报文，并以TCP协议作为传输协议。

D. 快速传输模式中，远端用户在传输数据前需要与虚拟网关建立 SSL VPN隧道。

正确答案：D

问题 #9

关于以下USG防火墙引流表输出信息的描述，错误的是哪一项?

A. 从虚拟系统 vsysa发往根系统的源地址为10.1.1.1的报文，反向命中引流表

B. 命中引流表的情况下，只会在根系统创建会话

C. 从根系统发往虚拟系统 vsysa的目的地址为10.1.1.1的报文，正向命中引流表

D. 引流表可以分为正向命中和反向命中两种

正确答案：B

问题 #10

防火墙创建虚拟系统时，默认会生成几个安全区域?

A. 4

B. 3

C. 1

D. 2

正确答案：A

问题 #11

防火墙支持分配给虚拟系统的接口类型不包括以下哪一选项?

A. 三层以太网接口

B. 三层Eth -Trunk-接口

C. Tunne1接口

D. VLANIF接口

正确答案：D

问题 #12

以下协议报文默认情况下可以在IPSec隧道中传播的是哪一项?

A. PIM

B. ICMP

C. MSDP

D. IGMP

正确答案：B

问题 #13

某大型企业有三个部门，市场部，研发部和销售部，每个业务部门都有自己的内部资源，公司希望每个部门出差员工使用 SSL VPN访问内网资源时，能够根据需求为不同部门的员工分配不同的资源访问权限，并相互隔离，该如何解决此问题?

A. 防火墙虚拟化为多个虚拟系统，每个虚拟系统下的 SSL VPNSSL网关对应一个部门的 VPN接入网关

B. 防火墙上创建多个虚拟网关，每个业务部门独立使用自己的虚拟网关对外提供 SSL VPN接入服务。

C. 通过防火墙单臂组网解决。

D. 防火墙上创建多个物理网关，每个业务部门独立使用自己的物理网关对外提供 SSL VPN接入服务

正确答案：B

问题 #14

下列IKEv1协商第一阶段主模式协商过程的哪一项是 Message1和Message2的作用?

A. 协商对等体之间使用的IKE安全提议

B. 相互做身份认证

C. 用DH算法交换与密钥相关的信息，并生成密钥

D. 协商 IPSec SA

正确答案：A

问题 #15

关于L2TP over IPSec VPN的特点，以下哪一项的描述是错误的?

A. L2TP可以保证数据消息的可靠投递，若数据报文丢失，超时重传，支持对数据消息的流量控制和拥塞控制。

B. L2TP是一个数据链路层协议，其报文分为数据消息和控制消息两类。

C. L2TP2 over IPSec可以利用L2TP和 IPSec的优势，通过L2TP封装二层数据，通过IPsec为封装后的数据提供安全的通信。

D. L2TP协议自身不提供加密与可靠性验证的功能，可以和安全协议搭配使用，从而实现数据的加密传输。

正确答案：A

问题 #16

以下哪一项不属于策略路由的动作类型?

A. 丢弃报文

B. 不做策略路由，按照现有的路由表进行转发

C. 将报文转发到其他虚拟系统

D. 根据配置的多出口策略进行转发

正确答案：A

问题 #17

关于数字证书的特点，以下哪一项的描述是错误的?

A. 数字证书中含有密钥对所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。

B. 数字证书为实现双方安全通信提供了电子认证。

C. 数字证书采用私钥体制，即利用一对互相匹配的密钥进行加密和解密。

D. 数字证书必须具有唯一性和可靠性。

正确答案：C

问题 #18

如图所示为双机热备组网环境，其中备份组1和2加入VGMP管理组，USG_A为主用设备，USG_B为备用设备。若USGA发生了故障，如断电等，USG_B状态会从Slave切换为Master。当USG_A恢复后，状态重新切换为Master，流量中断一段时间才恢复。造成该现象的原因是什么?

A. USGA故障恢复后其VRRP备份组优先级没有及时恢复

B. 没有配置 hrp track

C. 两台防火墙为负载分担方式，在同一备份组下既配置为了master，也配置了 slave

D. 在USG上没有 hrp配置 mirror session enable

正确答案：D

问题 #19

以下哪一项不是智能选路链路质量探测的参数?

A. 时延抖动

B. 时延

C. 吞吐量

D. 丢包率

正确答案：C

问题 #20

开启智能选路会话保持功能后，当某个智能选路接口 down 后，该接口的所有流量都将在其他智能选路接口上进行转发，当该接口重新 UP 以后，将出现什么问题?

A. 该接口不能转发流量

B. 该接口流量提升非常缓慢

C. 该接口不能参与智能选路

D. 该接口物理状态为 UP，协议状态为 error-down，需要手工加入智能选路

正确答案：B

问题 #21

在配置服务器负载均衡时，以下哪一项是可选的配置?

A. 服务健康检查

B. 负载均衡算法

C. 虚拟服务器地址

D. 实服务器地址

正确答案：A

问题 #22

缺省情况下， VGMP Hello报文发送周期为多少秒?

A. 1

B. 3

C. 5

D. 2

正确答案：A

问题 #23

公司A和公司B在同一栋办公大楼，公司A和公司的网络出口都由该幢大楼的服务提供商进行统一管理，公司A和公司B都希望保证公司业务独立，并且方便自己公司的出差人员使用 SSL VPN接入公司网络，以下哪一项的方案可以解决该问题?

A. 防火墙虚拟化为多个虚拟系统，每个虚拟系统下的 SSL VPNSSL网关对应一个公司的 VPN接入网关。

B. 通过防火墙负载分担组网解决。

C. 防火墙上创建多个虚拟网关，每个业务部门独立使用自己的虚拟网关对外提供 SSL VPN接入服务。

D. 通过防火墙主备组网解决。

正确答案：A

问题 #24

以下关于虚拟系统的描述，错误的是哪一项?

A. 在NGFW上划分出来的，独立运行的逻辑设备叫做虚拟系统。

B. NGFW上存在根系统和虚拟系统两种类型的虚拟系统。

C. 防火墙上创建虚拟系统时会自动生成一个与虚拟系统同名的VPN实例，并与该虚拟系统绑定，不能单独删除，但是实例与 VSYS ID可以不一致。

D. NGFW上缺省存在的一个特殊的虚拟系统叫做根系统。

正确答案：C

问题 #25

在 SSL VPN中，防火墙基于以下哪项的维度进行访问授权和接入控制?

A. 用户

B. MAC地址

C. IP地址

D. 角色

正确答案：D

问题 #26

以下关于接口带宽的描述，正确的是哪一项?

A. 配置接口带宽，可以限制防火墙的接口在入方向和出方向上能够使用的带宽资源。

B. 在流量出接口时，接口带宽用于标记流量的优先级，作为后续队列调度的依据

C. 受入接口带宽的限制，如果流量大于入接口带宽，将根据带宽通道中设置的重标记DSCP优先级对流量进行队列调度，保证高优先级的报文被优先发送。

D. 流量入接口时，丢弃超过了预先定义的接口带宽的流量。

正确答案：A

问题 #27

以下哪一项参数不是在USG防火墙带宽通道中进行配置的?

A. 每IP最大带宽

B. 整体最大带宽

C. 整体最大并发连接数限制

D. 源目安全区域

正确答案：D

问题 #28

会话保持就是指在负载均衡器上的一种机制，可以识别客户与服务器之间交互过程的关联性。当创建四层协议监听器时，分配策略类型选择以下哪种算法，可配置会话保持时间?

A. 最小连接算法

B. 加权轮询算法

C. 源 IP Hash算法

D. 简单轮询算法

正确答案：B

问题 #29

防火墙输出的告警、用户登录或注销、设备运行和黑名单产生的日志等，这些日志属于以下哪种日志类别?

A. 丢包日志

B. 业务日志

C. 会话日志

D. 系统日志

正确答案：D

问题 #30

以下哪一项可以为华为防火墙等设备提供丰富的报表功能，从而方便用户了解设备的实时和历史安全信息以及网络攻击状况?

A. eLog

B. Agile Controller

C. UMA

D. ATIC

正确答案：A

问题 #31

华为WAF系列web应用防火墙提供高效的web应用安全边界检查功能，那么华为WAF产品通过以下哪一选项防护SQL注入攻击?

A. 通过检查应用流量，检测并阻止危险的系统或软件平台命令被插入到URL, header和form中

B. 通过检查应用流量，拒绝伪造身份登录的会话访问

C. 通过检查应用流量，侦测是否有危险的数据库命令或查询语句被插入到URL, header和form中

D. 通过检查应用流量，阻止各种恶意的脚本插入到URL, header和form中

正确答案：C

问题 #32

防火墙可以根据用户制定的策略进行路由选择，从更多的维度来决定报文如何转发，增加了在报文转发控制上的灵活度。以下哪一选项不是防火墙对符合匹配条件的流量采取的动作?

A. 按照现有的路由表进行转发报文

B. 把报文发送到指定的下一跳设备

C. 从指定出接口发送报文

D. 把报文丢弃

正确答案：D

问题 #33

以下哪---选项不可以作为策略路由的匹配条件?

A. 用户

B. 目的安全区域

C. DSP优先级

D. 入接口

正确答案：B

问题 #34

当企业从不同ISP处获得多条带宽不等的链路时，为了充分利用各链路的带宽，提高链路的利用率，可以选择以下哪选项的智能选路方式?

A. 链路带宽负载分担

B. 链路权重负载分担

C. 链路优先级负载分担

D. 链路质量负载分担

正确答案：A

问题 #35

以下关于虚拟服务技术的描述，正确的是哪一项?

A. 对于多个真实服务器，真实服务器需处在同一网段和同一安全区域中

B. 对于多个虛拟服务器，虛拟服务器需处在同一网段和同一安全区域中

C. 对于多个真实服务器，真实服务器可不在同一安全区域中，但必须在同一网段中

D. 对于多个虚拟服务器，虚拟服务器可不在同一网段中，但必须在同一安全区域中

正确答案：B

问题 #36

实现UsG6000防火墙的双机热备功能，不需要以下哪种协议?

A. VGMP

B. VRRP

C. ICMP

D. HRP

正确答案：C

问题 #37

如图所示，在双机热备与IP-Link联动的组网环境下，以下哪一项是启用IP-Link功能的配置?

A. hrp mirror IP-Link enable

B. IP-Link check enable

C. hrp check IP-Link enable

D. hrp track IP-Link enable

正确答案：B

问题 #38

以下哪一项不属于远程用户通过SSL VPN访问内网资源的总体流程?

A. 资源访问

B. 用户认证

C. 访问计费

D. 用户登录

正确答案：C

问题 #39

IPSec VPN的野蛮模式需要交换几个消息可以完成 IKE SA的建立?

A. 3

B. 5

C. 4

D. 6

正确答案：A

问题 #40

每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束，即符合该带宽策略匹配条件的流量，独享最大带宽资源。以下哪一选项属于这种带宽通道的引用方式?

A. 带宽复用

B. 宽带共享

C. 宽带独占

D. 动态均分

正确答案：C

问题 #41

以下哪一项不是带宽管理的目的?

A. 保证带宽

B. 限制连接数

C. 保证QoS质量

D. 限制带宽

正确答案：C

问题 #42

为了实现每个虚拟系统的业务都能够做到正确转发、独立管理和相互隔离，防火墙实现了多个方面的虛拟化，以下哪一项不属于防火墙实现的虚拟化?

A. 网络虚拟化

B. 资源虚拟化

C. 配置虚拟化

D. 安全功能虚拟化

正确答案：A

问题 #43

USG防火墙上创建一个虚拟系统vsys1，防火墙连接Internet的出口位于根系统， vsys1连接的局域网内一台PC向Internet上的web服务器发送访问请求，则在防火墙上创建的会话条数是以下哪一项?

A. 2

B. 4

C. 1

D. 3

正确答案：A

问题 #44

某企业在网络中部署了华为USG6000列防火墙，企业需要存储员工的电子邮件地址、联系人列表等不经常改变的数据。以下哪种认证方式可以满足需求?

A. HWTACACS

B. Radius

C. AD

D. LDAP

正确答案：D

问题 #45

关于VGMP报文的特点，以下哪一项的描述是正确的?

A. 不带 remote参数的命令表示将发送广播报文

B. 不带 remote-参数的命令表示将发送单播报文

C. 带 remote参数的命令表示报文将封装UP，并发送单播报文

D. 带 remote参数的命令表示报文将封装UP，并发送广播报文

正确答案：C

问题 #46

当BFD会话状态处于"Down"时，以下哪一选项的描述是正确的?

A. 会话刚刚创建。

B. 会话已经建立成功。

C. 会话处于管理性Down状态。

D. 已经能够与对端系统通信，本端希望会话进入UP状态

正确答案：C

问题 #47

以下关于VRRP报文的描述，正确的是哪一项?

A. VRRP报文的目的地址是224.0.0.1

B. VRRP使用TCP报文

C. VRRP报文是广播播报文

D. VRRP使用UDP报文

正确答案：D

问题 #48

ESP协议的IP协议号是以下哪一项的数值?

A. 51

B. 50

C. 52

D. 53

正确答案：B

查看更多题库 »