首页 > 题库 > H12-721

2026 H12-721华为HCIP-Security安全认证核心知识解析

问题 #1

关于SSL VPN的特点，以下哪项的描述是错误的?

A. SSL用私钥加密通过SSL连接传输的数据来工作。

B. 相对于传统的IPSec VPN,SSL能让企业实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本

C. SSL是专门设计来保护HTTP通讯协议。

D. SSL VPN使用SSL协议和代理为终端用户提供HTTP、窨户机/服务器和共享的文件资源的访间认证和访问安全SSL VPN传递用户层的认证。

正确答案：A

问题 #2

以下关于USG防火墙带宽策略的描述，错误的是哪项?

A. 带宽策略可以同时配置源安全区域和入接口作为匹配条件

B. 带宽策略可以同时配置源地区和用户作为匹配条件

C. 带宽策略可以同时配置服务和时间段作为匹配亲件

D. 带宽策略可以同时配置应用和目的地址作为匹配条件

正确答案：A

问题 #3

以下关于防火墙带宽策略的描述，正确的是哪一项?

A. 如果带宽管理与源NAT功能同时使用，配置带宽策略的源地址/地区匹配亲件时应指定转换后的地址。

B. 如果带宽管理与源MAT功能同时使用，配置带宽策略的源地址/地区匹配条件时应指定转换前的地址。

C. 对于最大带宽和连接数限制，子策略可以大于父策略。

D. 在同一组父子策略中，可以引用同一个带宽通道。

正确答案：B

问题 #4

带宽策略支持嵌套关系，目前支持配置几级带宽策略?

A. 四

B. 一

C. 三

D. 二

正确答案：C

问题 #5

以下关于防火墙会话日志配置的描述，错误的是哪一项?

A. 防火墙会发送新建会话日志

B. 防火墙的会话日志会通过轮询的方式逐条依次发给两台日志主机

C. 防火墙发送会话日志的源IP地址为172.16.0.1

D. 会话日志的格式为二进制形式

正确答案：B

问题 #6

以下哪一选项不属于智能选路的方式?

A. 基于链路类型选路

B. 链路质量负载分担

C. 链路带宽负载分担

D. 链路权重负载分担

正确答案：A

问题 #7

配置ISP选路功能前，管理员需要把每个ISP网络内的IP地址分别写入不同的ISP地址文件，以下哪一选项是ISP地址文件的格式?

A. .csv

B. .doc

C. .pdf

D. .odf

正确答案：A

问题 #8

以下关于服务器负载均衡输出信息的描述，错误的是哪一项?

A. 服务器组的名称为grp1

B. 虚拟服务器支持的协议类型为UDP

C. 虚拟服务器对外体现的IP地址为192.168.20.10

D. 服务器组中有3台实服务器

正确答案：D

问题 #9

关于防火墙双机热备同步数据的特点，以下哪一选项的描述是错误的?

A. 配置批量备份需要消耗较多的资源，缺省情况下是关闭的

B. 批量备份是指在两台设备第一次协商完成后，批量备份所有信息

C. 会话备份的设备区分主备，只有主设备可以将自己的会话同步到对方

D. 实时备份是指在设备运行过程中，新建或者刷新的数据实时备份

正确答案：A

问题 #10

以下关于Link-Group的描述，错误的是哪一项?

A. Eth-Trunk口可以加入Link-Group

B. Link-Group组中的接口必须是同一种类型的接口

C. Link-Group可以避免双机热备主备切换后，上下行链路不一致的问题

D. Link-Group功能将多个接口的状态相互绑定，组成一个逻辑组

正确答案：B

问题 #11

SSL VPN为了更精细地控制移动办公用户的资源访问权限，将内网资源划分为多种类型，以下哪一项不属于SSL VPN划分的内网资源类型?

A. 端口资源

B. 视频资源

C. 文件资源

D. Web资源

正确答案：B

问题 #12

USG防火墙上创建了虚拟系统vsys1，以下虚拟系统管理员的用户格式，正确的是哪一项?

A. adminuser#vsysl

B. adminuser@vsysl

C. adminuser@@vsysl

D. adminuser

正确答案：C

问题 #13

为了实现每个虚拟系统的业务都能够做到正确转发、独立管理和相互隔离，以下哪一选项是华为防火墙不能实现的虚拟化?

A. 接口虚拟化

B. 资源虚拟化

C. 配置虚拟化

D. 安全功能虚拟化

正确答案：A

问题 #14

管理员在华为USG6000产品上开启了虚拟系统功能并创建了唯一的一个虚拟系统vsys1，若属于vsysl的用户想要访问根系统的某个服务器，在虚拟系统vsys1的路由表中，出接口是哪个接口?

A. vlan-if 0

B. virtual-if 0

C. vlan-if 1

D. virtual-if 1

正确答案：B

问题 #15

以下哪种设备主要用于还原交换机或者传统安全设备镜像的网络流量，实现对未知恶意文件的检测?

A. eSight

B. WAF

C. LogCenter

D. FireHunter

正确答案：D

问题 #16

智能选路的功能主要分为选路与探测，以下哪一选项的描述是错误的?

A. 智能选路的探测功能只可以对服务可用性和链路时延进行探测，并根据探测结果调整业务流量的分配，为网络服务质量提供必要保障。

B. 可以优先使用某些链路传输流量，并利用其他链路作为备份链路或负载分担链路，提高业务的可靠性。

C. 为了使用户获得最佳的访问体验，可以根据各链路的实时传输质量动态调整流量的分配情况。

D. 当企业从不同ISP处获得多条带宽不等的链路时，为了充分利用各链路的带宽，可以根据链路带宽负载分担进行智能选路。

正确答案：A

问题 #17

防火墙健康检查功能无法发送以下哪一项协议的探测报文?

A. UDP

B. DNS

C. ICMP

D. HTTP

正确答案：A

问题 #18

以下关于防火墙健康检查配置的描述、错误的是哪一项?

A. 防火墙上配置了两条链路的健康检查功能

B. 健康检查使用的协议是ICMP

C. 只需完成isp1_health和isp2_health的配置，健康检查就立即生效

D. 健康检查isp1_health需要在接口G1/0/4上应用

正确答案：C

问题 #19

防火墙VGMP组监控的一个物理接口发生故障时，本端VGMP组的优先级会降低以下哪一项的数值?

A. 4

B. 1

C. 2

D. 3

正确答案：C

问题 #20

防火墙启用自动备份功能后，主用设备会周期性地将可以备份的状态信息备份到备用设备上。以下哪一选项属于防火墙自动备份的信息?

A. Server-map表项

B. TCP/UDP的会话表

C. 管理员登录防火墙时产生的会话

D. 只为UDP首包创建，而不被后续包匹配的会话

正确答案：A

问题 #21

以下哪一项不属于SSL VPN端口转发功能的特点?

A. 实现文件级的访问权限控制

B. 对用户进行统一的授权和认证

C. 所有数据流都经过加密认证

D. 只需标准浏览器，不用安装客户端

正确答案：A

问题 #22

关于对称加密算法的特点，以下哪一选项的描述是错误的?

A. 对称加密算法密钥的数目难于管理

B. 对称加密算法要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥

C. 对称加密算法可实现防止假冒和抵赖

D. 对称加密算法一般不能提供信息完整性的鉴别

正确答案：C

问题 #23

关于IPSec的特点，以下哪一选项的描述是错误的?

A. IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。

B. IPSec是保障在Internet上基于Web的通信的安全而提供的协议。

C. IPSec提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。

D. IPSec为IPv4/IPv6网络提供能共同操作使用的、高品质的、基于加密的安全机制。

正确答案：B

问题 #24

管理员给虚拟系统vsysa分配接口G1/0/0时，发现分配失败，以下哪一项一定不是分配失败的原因?

A. G1/0/0口已经被分配给其他虚拟系统。

B. 接口处于Down状态。

C. 该接口是个二层口，无法直接分配给虚拟系统。

D. 该接口已被加入其他虚拟系统的安全区域中。

正确答案：B

问题 #25

关于虚拟系统的特点，以下哪一选项的描述是错误的?

A. 创建虚拟系统会自动生成Virtual-if接口

B. 创建虚拟系统并分配接口，该接口会自动绑定vpn-instance

C. 虚拟系统中的Virtual-if接口会自动加入安全区域中

D. 创建虚拟系统会自动生成同名的vpn-instance

正确答案：C

问题 #26

以下哪一项支持多种盗链识别算法，能有效解决单一来源盗链、分布式盗链和网站数据恶意窃取等信息盗取行为，从而确保网站的资源只能通过本站才能访问?

A. WAF

B. IPS

C. Firewall

D. Anti-DDos

正确答案：A

问题 #27

以下关于防火墙配置的描述，错误的是哪一项?

A. ftpuser的权限级别为最高级

B. 防火墙上ftpuser的FTP目录为hda1:/

C. 防火墙开启了FTP服务器的功能

D. 管理员用户ftpuser也可以通过SSH登陆防火墙

正确答案：D

问题 #28

关于VGMP组管理中的抢占管理，以下哪一选项的描述是错误的?

A. 当VRRP备份组加入到VGMP管理组后，备份组上原来的抢占功能将失效，抢占行为发生与否必须由VGMP管理组统一决定。

B. VRRP备份组本身具有抢占功能。即当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主。

C. 当Slave端五个Hello报文周期没有收到对端发送的Hello报文时，会认为对端出现故障，从而将自己切换到Master状态。

D. VGMP管理组的抢占功能和VRRP备份组类似，当管理组中出现故障的备份组故障恢复时，管理组的优先级也将恢复。

正确答案：B

问题 #29

在根据链路优先级主备备份的选路方式中，如果开启过载保护，当主链路出现拥塞时，会发生以下哪一情况?

A. 主备链路根据链路的优先级比值分担流量。

B. 自动启用备用链路分担流量。

C. 不启用备用链路，主链路继续转发流量。

D. 根据默认的过载保护阈值将流量分担到备用链路。

正确答案：C

问题 #30

移动办公用户通过Web代理访问企业内部Web服务器，以下哪一项的描述是正确的?

A. 移动办公用户与虚拟网关建立HTTPS会话，虚拟网关与内部Web服务器也建立HTTPS会话

B. 移动办公用户与虚拟网关建立HTTPS会话，虚拟网关与内部Web服务器建立HTTP会话

C. 移动办公用户与虚拟网关建立HITP会话，虚拟网关与内部Web服务器也建立HTTP会话

D. 移动办公用户与虚拟网关建立HTTP会话，虚拟网关与内部web服务器建立HTTPS会话

正确答案：B

问题 #31

关于服务器负载均衡技术，在防火墙上执行的命令和得到的输出如下 [图片] 以下哪一选项的描述是正确的?

A. 该负载均衡策略启用了服务健康检查功能，采用的检测报文是ICMP报文。

B. 该负载均衡策略采用的是会话保持算法。

C. 该负载均衡策略采用的是加权最小连接算法。

D. 该负载均衡策略的真实服务器均属于强制不可用状态。

正确答案：A

问题 #32

以下哪一项不属于SSL VPN虚拟网关采用的认证方式?

A. 证书匿名认证

B. 本地认证

C. 客户端认证

D. 服务器认证

正确答案：C

问题 #33

关于Web link与Web改写的区别，以下哪一项的描述是错误的?

A. 由于Web Link少了加密和适配的环节，因此业务处理效率较之Web改写要高。

B. Web Link不会进行加密和适配，只做单纯"转发"远程用户的Web资源请求。

C. Web Link需要加密和适配的环节，因此安全性更高。

D. Web改写由于做了加密和适配，因此在安全性方面要比Web Link高。

正确答案：C

问题 #34

以下关于USG防火墙带宽管理配置的描述，错误的是哪一项?

A. 命中带宽策略policyl的上行流量是从untrust安全域到trust安全域

B. 带宽策略policyl针对上行流量和下行流量的速率限制大小不同

C. 带宽策略policyl以IP为维度针对10.1.32.0/24网段内的每IP进行了限流

D. 带宽策略policyl可以命中从trust安全域到untrust安全域的源地址为10.1.32.0/24网段的流量

正确答案：C

问题 #35

关于使用ACL作为IPsec感兴趣流的匹配规则，以下哪一项的描述是错误的?

A. 当IPSec隧道两端的ACL规则镜像配置时，任意一方发起协商都能保证SA成功建立。

B. 当IPSec隧道两端的ACL规则非镜像配置时，只有发起方的ACL规则定义的范围是响应方的子集时， SA才能成功建立。

C. IPSec道两端ACL规则定义的协议类型要一致。例如，一端使用IP协议，另一端也必须使用IP协议。

D. 同一个IPSec安全策略组中配置的ACL可以包含相同的rule规则

正确答案：D

问题 #36

关于虚拟系统和VRF的关系，以下哪一选项的描述是错误的?

A. 虚拟系统之间资源、配置及业务的隔离依赖于VSYS ID来实现

B. 在设备上手动创建VPN实例，此类VPN实例与虚拟系统有关，主要用来做路由隔离

C. 防火墙上创建虚拟系统时会自动生成一个与虚拟系统同名的VPN实例，与该虚拟系统绑定，不能单独删除

D. 在华为防火墙上缩小了VPN实例的应用范畴，实现各个虚拟系统之间路由隔离的底层转发业务依然依赖于VPN实例的RD值来实现

正确答案：C

问题 #37

如果使用SSL VPN提供文件共享功能，共享目录下的所有文件对终端用户都是可见的。对于文件共享路径的配置，下列哪一项的描述是正确的?

A. SMB类型资源的格式为://IP地址（主机名）/共享文件夹。SMB类型资源路径只能有一级共享文件夹目录，不区分大小写。

B. NFS类型资源的格式为://IP地址（主机名） /dir1/dir2/共享文件夹。NFS类型资源路径只能有一级共享文件夹目录。

C. Windows系统下文件共享资源选择NFS。

D. Linux系统下文件共享资源选择SMB。

正确答案：A

问题 #38

USG防火墙的带宽策略支持父子策略的级数是以下哪一项?

A. 5

B. 4

C. 3

D. 2

正确答案：B

问题 #39

关于命令authentication-mode radius local的描述，正确的是哪一项?

A. RADIUS服务器连接失败时，会转入本地认证模式

B. 连接RADIUS服务器进行认证时使用TCP协议

C. RADIUS服务器不存在用户信息认证失败时，会转入本地认证模式

D. 该认证模式会先进行本地认证，再进行RADIUS服务器认证

正确答案：A

问题 #40

华为UMA统一运维审计产品通过集中管理、监控与审计企业所有运维人员的操作行为，可以有效降低网络设备、服务器、数据库、业务系统等资源的内部运维风险。以下关于华为UMA产品的描述，错误的是哪一项?

A. 自动代填后端业务系统账号，每个运维人员可以管理多个账号，避免多账号借用带来的风险

B. 实现对命令行字符、图形操作、文件传输、数据库、KVM等运维操作过程的文本记录和视频记录

C. 支持细粒度查询，避免恶意运维操作，实现责任定位

D. 提供业务系统定期修改、加密发送、备份下载等功能，减少密码维护工作量

正确答案：A

问题 #41

某公司网络管理员为保证较大业务流量的正常转发，利用两台防火墙实现双机热备。如图所示，当配置完成后，发现当防火墙A发生故障时，故障前正在传输的数据流发生了严重的丢包，但是故障后新传输的数据流可以正常工作。造成该现象原因可能有哪些?

A. 未在防火墙上下行接口上启用HRP track

B. 在防火墙上配置的HRP抢占时间大于OSPF的收敛时间

C. 在USG上没有配置hrp mirror session enable

D. 在USG上没有配置hrp standby config enable

正确答案：B

问题 #42

关于IPSec VPN的特点，以下哪一项的描述是错误的?

A. IPsec VPN仅保护从客户到公司网络边缘连接的安全

B. IPsec VPN只需要在客户和网络资源边缘处建立通道，

C. IPsec VPN通过在两站点间创建隧道提供直接（非代理方式）接入，实现对整个网络的透明访问，

D. IPsec VPN能让企业实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低

正确答案：A

问题 #43

在USG的系统视图下，需要删除hda1:/目录下的sslconfig. cfg文件，以下哪条命令能完成该需求?

A. cd:hda1:/ remove sslconfig. cfg

B. cd:hda1:/ mkdir ssl config. cfg

C. cd:hda1:/ delete sslconfig. cfg

D. cd:hda1:/ rmdir ssl config. Cfg

正确答案：C

问题 #44

FW通过向服务器定期发送探测报文来及时了解服务器的状态，根据服务类型的不同，使用不同协议类型的探测报文。以下哪一选项是防火墙不支持的探测报文？

A. TCP

B. UDP

C. RADIUS

D. ICMP

正确答案：B

查看更多题库 »