别无其他,只有乾颐堂军哥一个字一个字码出来的答案和解析,大家上眼
相信它对同学们通过华为HCNA安全考试大有裨益。
您上眼(另 乾颐堂军哥华为ICT大赛辅导课进行中,参见连接
51CTO学院视频
完整版请致乾颐堂官方获得
客户端 A 和服务器之间建立 tcp 连接,在三次握手中,B 往 A 发送 SYN+ACK(seq=b,
ack=a+1),下列说法正确的有:
A.该数据包是对序号 b 的 SYN 数据包进行确认 B. 该数据包是对序号 a+1 1. 客户端 A 和服务器之间建立 tcp 连接,在三次握手中,B 往 A 发送 SYN+ACK(seq=b,
ack=a+1),下列说法正确的有:
A.该数据包是对序号 b 的 SYN 数据包进行确认 B. 该数据包是对序号 a+1 的 SYN 数据包进行确认 C. B 下一个希望收到的 ACK 数据包的序号为 b D.B 下一个希望收到的 ACK 数据包的序号为 a+1
答案:D
rule permit ip source 192.168.11.35 0.0.0.31 表示的地址范围是:
A.192.168.11.0-192.168.11.255
B. 192.168.11.32-192.168.11.63
C.192.168.11.31-192.168.11.64
D.192.168.11.32-192.168.11.64
答案;B
通配符掩码知识点,.32的网段,.63的广播地址。
关于防火墙分片缓存功能,下列说法正确的有:(多选)
A.配置分片报文转发功能后,防火墙不对分片报文进行缓存
B. 配置分片报文转发功能后,对于不是首片报文的分片报文,防火墙
讲根据域间包过滤策略进行转发
C. 分片报文也会创建会还表,转发时也会查找回话表
D.分片报文的非首片报文,由于没有端口号,所以分片报文直接转发功能不能用在 nat 环境
答案:AD
UTM(Unified Threat Management)统一威胁管理,融合了IPS***防御系统、AV网关防病毒、上网行为管理、防DDOS***等特性
下面哪个选项不属于 UTM(Unified Threat Management)
A. IPS ***防御
B. 上网行为管理 C. 终端安全管理 D. AV 网关防病毒
答案:C
UTM(Unified Threat Management)统一威胁管理,融合了IPS***防御系统、AV网关防病毒、上网行为管理、防DDOS***等特性
终端安全系统主要由以下哪些组件组成:(多选)
A.防病毒服务器
B. SC 控制服务器 C. 准入控制器 D.SM 管理服务器
答案:BCD
终端安全系统组成:
1)SM管理服务器;
2)SC控制服务器;
3)准入控制:硬件SACG、802.1X交换机、软件SACG;
并没有防病毒服务器
对称加密算法的加密密钥和解密密钥均相同,非对称的加密密钥和解密密钥均 不相同。Ipsec 在业务数据加解密时使用的是对称加密算法。
A. TURE B. FALSE
答案:T
业务处理采用对称加密算法,比如DES、3DES;秘钥加密采用RSA等非对称加密算法
组播组224.0.0.18
在 ARP 地址解析时,ARP-REPLY 报文采用广播方式发送,同一个二层网络上的 主机都能够收到,并据此学习到 ip 和 mac 地址对应关系。
A.TURE B. FALSE
答案:B
Arp reply采用单播方式发送
USG 状态检测防火墙查看 Session 信息如下:
Current total session :1
Icmp ×××:public -->public
Zone:trust -->untrust Sloat:8 CPU:0 TTL :00:00:20 Left:00:00:19 interface:GigabitEthernet6/0/0 Nexthop :107.255.255.10
< --packets:134bytes :8040-- >packets:134 bytes:8040 107.229.15.100: 1280-- >
107.228.10.100:2048
根据上面信息下面说法正确的是:(多选)
A.Trust 区域中主机 107.229.15.100 正在访问或是曾经访问 Untrust
107.228.10.100
B. 该报文是 ××× 报文
C. 后续到达防火墙的报文,需要匹配回话表和防护墙安全策略 D.正向流量的出接口是 GigabitEthernet6/0/0
答案:AD
斜体字说明了AD正确。
B,该报文为ICMP,而不是×××,所以错误
CA(Certificate Authority)证书是用于 SSL 通信连接建立时,验证蓄力网关用户的 身份,保存于设备侧,由 CA 机构颁发。
A. TRUE B. FALSE
答案:T
0x1f1
2.2.2.1 0 RD | ST v1:1 IPSEC 0x6043dc4
Flag meaning
RD-READY ST—STAYALIVE RL—REPLACED FD—FADING TO—TIMEOUT A. 第一阶段 ike sa 已经成功建立
B. 第二阶段 ipsec sa 已经成功建立
C. Ike 使用的是版本 v1
D. Ike 使用的是版本 v2
答案:AC
RD,代表sa已经建立,A正确
从v1看出来是IKE 版本1,C正确
答案:D
13.以下哪种***不属于网络层***?
A.IP 欺骗*** B. Smurf *** C. ARP 欺骗 D.ICMP ***
答案:C
14.VRRP(virtual router redundancy protocol)中,主路由器定期向备份路由器发送通告 报文(hello),备份路由器则只负责监听通告报文,不会进行回应。
A,TRUE
C. FALSE
答案:T
15.使用 NAT 技术,只可以对数据报文中的网络层信息(ip 地址)进行转换。
A,TRUE
D. FALSE
答案:F
16.ASPF(Application Specific Packet Filter)是一种基于应用层的包过滤,他检查应用层 协议信息并且监控连接的应用层协议状态。ASPF 通过 Server Map 表实现了特殊的安全 机制。
A.ASPF 监视通信过程中的报文
B. ASPF 动态创建和删除过滤规则
C.ASPF 通过 Server map 表实现动态允许多通道协议数据通过 D. 五元组 Server-map 表项实现了和会话表类似的功能 答案:ABC
17.上网用户管理的转发流程中,上网用户认证只发生在首包流程中,一旦用户通过 认证,设备建立 Session 表,后续报文不需要重复进行用户认证。
A,TRUE
E. FALSE
答案:T
18.***者通过发生 ICMP 应答请求,并将请求包的目的地址设为受害网络的广播地 址。这种行为属于哪一种***?
A.IP 欺骗*** B.Smurf *** C.ICMP 重定向*** D,SYN flood ***
SMURF***:***者向网络广播地址发送ICMP包,并将回复地址设置成受害网络的广播地址,通过使用ICMP应答请求数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对次ICMP应答请求作出答复,导致网络阻塞
19.以下哪个选项不属于 AES 的密钥长度?
A.64
B.128
C.192
D.256
答案:A
AES,即高级加密标准Advanced Encryption Standard,它用于替换DES标准,密钥长度128、192或者256比特
20.基于会话的状态检测防火墙对于首包和后续包有不同的处理流程,下面描述正确 的是:(多选)
A.报文到达防火墙,会查找会话表,如果没有匹配,防火墙进行首包处理流程
B.报文到达防火墙,会查找会话表,如果匹配,防火墙进行后续包处理流程
C.在状态检查机制打开的情况下,防火墙处理 TCP 报文时,只有 SYN 报文再能建 立会话
D. 在状态检查机制打开的情况下,后续和其他需要进行安全策略检查
答案:ABC
21.AH 协议号是下面哪个选项?
A.51
B.50
C.52
D.49
答案:A
AH协议字段将是51;ESP使用的协议号是50
22.AAA 包含以下哪几项:(多选)
A.Authentication 认证 B. Authorization 授权 C. Accounting 计费 D.Audit 审计
答案:ABC
基础内容,没有D项
23.安全联盟由三元组唯一标识,以下哪一项不属于安全联盟的三元组?
A.安全协议号 B.源 IP 地址 C.目的 IP 地址 D.安全参数索引 答案:B
这个三元组包括安全参数索引(SPI, Security Parameter Index)、目的IP地址、安全协议号(AH 或ESP)。SPI 是为唯一标识SA而生成的一个32 比特的数值,它在IPSec头中传输
24.一般的公司或是组织中有时会存在这样一类用户,他们不是该公司员工,只是临 时到访改公司,需要借用该公司网络上网,他们没有属于自己的账号,无法进行认证, 但设备要对他们网络权限进行控制。用户管理对于这类用户,支持自动为其创建对应的 临时用户,并使其 IP 地址作为该用户的用户名。管理员在规划用户管理时候,一般将 这类用户划分为:
A.免认证
B.单点认证 C.密码认证 D.临时认证
答案: D
25.HRP 会话快速备份是将主用设备相应状态信息表项快速备份到备用设备,使返回 报文在备用设备上能够查到相应的状态信息表项,从而保护内外部用户的业务不中断。
A.TURE B.FALSE
答案:T
在双机热备组网中,当主防火墙出现故障时,所有流量都将切换到备防火墙。因为USG防火墙是状态防火墙,如果备防火墙上没有原来主防火墙上的会话表等连接状态数据,则切换到备防火墙的流量将无法通过防火墙,造成现有的连接中断,此时用户必须重新发起连接。
HRP模块提供了基础的数据备份机制和传输功能。各个应用模块收集本模块需要备份的数据,提交给HRP模块,HRP模块负责将数据发送到对端防火墙的对应模块,应用模块需要再将HRP模块提交上来的数据进行解析,并加入到防火墙的动态运行数据池中。
备份内容:要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NO-PAT表项、ARP表项等。
26.配置源 NAT 策略时,目的区域的配置可以用配置流量出接口信息来取代。
A.TRUE B.FALSE
答案:T
即Esay IP,出接口地址方式:内网主机直接借用公网接口的IP地址访问Internet,特别适用于公网接口IP地址是动态获取的情况
27.防火墙 IPS 协议识别功能对于基于非标准端口的服务进行识别,解决了使用非标准 端口的应用服务报文的漏报和误报问题。
A.TURE B.FALSE
答案:T
IPS可以自学习与自适应:
IPS能够通过自学习与自适应将系统的漏报与误报降低到最低,减少对业务的影响;
自定义规则:
IPS能够自定义***防御规则,最大限度的对最新的威胁作出反应;
业务感知(SA:Service Awareness):
让IPS能够检测到基于应用层的异常与***;
28.防火墙配置防病毒功能选择过滤协议包括以下哪几项。(多选) A.文件传输协议
B.邮件协议 C.安全协议 D.共享协议 答案:ABD
可以针对文件传输协议、邮件协议、共享协议。安全协议不需要干预
29.终端安全系统支持蓝牙,SD 卡等计算机外设的监控功能,并支持配置外部设备。
A.TRUE B.FALSE
答案:T
终端安全系统的威胁之一就是有意泄密:外设拷贝、聊天、文件传输、资产外出
所以对外设的监控是必须的功能
30.在 USG 产品的 WEB 配置界面中,在配置虚拟 IP 地址池范围内的 IP 地址可以为虚拟 网关或接口 IP 地址,也可以为内网存在的 IP 地址。
A.TRUE B.FALSE
答案:T
题目表达的并不是很清晰,此处的虚拟IP用于什么技术。如果理解为VRRP的地址,那么可以是虚拟IP或者真实IP。答案正确
转载于:https://blog.51cto.com/enderjoe/2093696