华为安全 HCIP 723题库+知识点

知识点:

综合:
51. Agile Controller-Campus 系统架构属于 C/S 架构。
A.正确
B.错误
答案:B
30. Agile Controller-Campus 系统架构属于 B/S 架构。
A.正确
B.错误
答案:A
102. Agile Controller-Campus 提供 802.1x、 Portal、MAC 认证和 SACG 等准入控制技术,适用于各种网络场景
A.正确
B.错误

答案:A

13.关于检查账号安全的策略,下列哪些描述是正确的?(可以检查弱密码、密码长度、加入特定的组)
A.可以检查是否存在弱密码。
B.可以检查账号是否加入了特定的组
C.不能自动修复。
D.不能检查密码长度是否符合要求。
答案:AB
17. 服务器认证协议不包括以下哪一项
A.Radius
B.LDAP 协议
C.HWTACACS
D.HTTP 协议
答案:D
21. 使用 802.1X 认证方案一般要求终端安装特定的客户端软件。对于客户端软件的大规模部署,可采取的方案有哪些?
A.启用 Guest VLAN ,让用户在 Guest VLAN 能获取安装包
B.在交换机上配置 Free-rule 和 web 推送功能,向用户推送安装包。
C.通过 C 盘相互拷贝安装包。
D.由管理员为每个用户安装。
答案:AB
24. 在 WPA2 中,因为采用了安全性更高的加密技术 -TKIP/MIC,所以 WPA2 的安全性优于 WPA。
A.正确
B.错误
答案:B
28. 关于身份认证的方式和认证类型,以下哪个描述是正确的?
A.用户通过 web 方式可以支持本地认证和数字证书认证两种认证类型。
B.用户通过 web Agent 方式可以支持数字证书认证和系统认证两种认证类型。
C.用户通过 webAgent 方式可以支持本地认证、数字证书认证和系统认证三种认证类型。
D.用户通过 web Agent 方式可以支持数字证书认证和本地认证两种认证类型。
答案:C
31. 在 Agile Controller-Campus 准入控制技术框架中,关于 RADIUS 的描述,下列哪个选项是正确的?
A.RAD1US 用于在客户端和 802.1X 交换机之间传递用户名、密码等信息
B. RADIUS 用于在 802.1X 交换机与 AAA 服务器 之间传递用户名、密码等信息
C.RADIUS 用于 Portal 服务器向用户推送 Web 页面。
D.RADIUS 用于服务器向 SACG 设备下发安全策略。
答案:B
34. 在交换机上查看 Agile Controller-Campus 服务器下发的策略,如下所示:
display acl all
Total nonempty ACL number is 3
Advanced ACL Auto PGM_OPEN_POLICY_399 ,0 rule
Acl's step is 5
Ucl-group ACL Auto_PGM_U2 9996, 1 rule
Acl's step is 5
Rule 1 permit ip source ucl-group name Common_user destination ucl-group
Name Mail_Server(match-counter 0)
Ucl-group ACL Auto_PGM_U1 9997,2 rules
Acl's step is 5
Rule 1 permit ip source ucl-group name VIP destination ucl-group name
Mail_Server(match-counter 0)
Rule 2 permit ip source ucl-group name VIP destination ucl-group name
Internet_WWW(match-counter 0)
Ucl-group ACL Auto_PGM 9998, 1 rule
Acl's step is 5
Rule 1 deny ip source ucl-group 0(match-counter 0)
Lid-group ACL Auto_PGM_PREFER_POLICY 9999,0 rule
Acl's step is 5
对于该策略,以下哪些选项的描述是正确的?
A. Commonuser 的用户可以访问 Internet www 的资源。
B. VIP 的用户可以访问 Internet-www 的资源。
C. VIP 可以访问 Mail-Server 的资源。
D. Commonuser 的用户可以访问 Mail Server 资源。
答案:BCD
80. 在交换机上查看 Agil Controller-Campus 服务器下发的策略,如下所示∶
display acl all
Total nonempty ACL number is 3
Advanced ACL Auto_PGM_OPEN_POLICY 3999,0 rule
Acl's step is 5
Ucl-group ACL Auto_PGM_U2 9996, 1 rule
Acl's step is 5
Rule1 permit ip source uc1-group name Common_user destination ucl-group name
Mail_Server(match-countor 0)
Ucl-group ACL Auto_PGM_U1 9997, 2 rules
Acl’s step is 5
Rule 1 permit ip source ucl-group name VIP destination ucl-group name Mail_Server(matchcountor 0)
Rule 2 permit ip source ucl-group name VIP destination uc1-group nam Internet_WWW(matchcounter 0) Ucl-group ACL Auto_PGN_UO 9998,1 rule
Ac1's step is 5
Rule 1 deny ip source ucl-group 0(match-counter 0)
Ucl-group ACL Auto_PGM_PREFER_POLICY 9999,0 rule
Acl's step is 5
对于该策略,以下哪些项的描述是正确的
A.VIP 可以访问 Mail_Server 和 Internet_WWW 的资源
B.Common user 的用户可以访问 Mail Server 的资源
C.VIP 的用户可以访问所有资源
D.Common_user 的用户可以访问 Internet_WWW 的资源
答案:AB
56. 在终端上使用 Portal 认证接入网络,但不能够跳转到认证页面,可能的原因不包括以下哪一项
A.DNS 服务器未配置到认证前域,导致终端认证通过前无法访问 DNS 服务器,进而无法解析域名
B.页面定制时,使用的是预置的模板
C.Agile Controller-Campus 上配置的 Portal 认证参数和接入控制设备不一致
D.终端与 Portal 服务器之间的网络连接不正常
答案:B
145. 在终端上使用 Portal 认证接入网络,但不能够跳转到认证页面,可能的原因不包括下列哪个选项?
A.Agile Controlle-Campus 上配置的 Portal 认证参数和接入控制设备不一致。
B.接入设备 Portal 模板配置的认证端口号为 50100,Agile Conrolle-campus 上为默认。
C.SC 没有启动。
D.页面定制时,使用的是预置的模板。
答案:D
59. 关于 AC-Campus 授权 ACL、VLAN,以下哪—项的描述是正确的
A.授权的 ACL 无需在设备上提前创建
B.授权的 ACL 需已经在设备上创建完毕
C.授权的 VLAN 无需提前在设备上创建完毕
D.只能给无线用户授权 VLAN
答案:B
77. 关于 AC-Campus 授权 ACL、VLAN,以下哪些项的描述是正确的
A.授权的 ACL 无需在设备上提前创建
B.授权的 ACL 需已经在设备上创建完毕
C.授权的 VLAN 无需在设督上已经存在
D.授权的 VLAN 需提前在设备上创建完毕
答案:BD
60. 以下哪一项不能作为 802.1x 的准入控制设备
A.防火墙
B.交换机
C.路由器
D.NLAN AC
答案:C
65. 在进行终端准入控制时,可以使用到的认证技术不包括以下哪一项
A.802.1x 认证
B.Portal 认证
C.MAC 认证
D.Radius 认证 答案:C(应该选D。)
182. 在进行终端准入控制时,可以使用到的认证技术不包括下列哪个选项?
A.802.1X 认证
B.SACG 认证
C.旁路认证
D.Portal 认证
答案:C
224. 在终端主机检查类策略中,可以通过策略检查注册表的重要子键与键值是否符合要求来控制终端主机的接入,下列哪些选项的检查结果会被记录为违规?
A.注册表不包含该策路强制要求的“子键与键值”
B.注册表包含了该策略强制要求的“子键与键值”
C. 注册表包含该策略禁止存在的“子键与键值"
D.注册表不包含该策略禁止存在的“子键与键值"
答案:AC
81. 在某些场景中可采用匿名账号进行认证,以下哪些项对于匿名账号的描述是错误
A.默认不能审计匿名账号,不强制用户下线
B.管理员不可以删除匿名账号"~anonymous"
C.使用匿名账号进行认证是基于信任对方的前提下,认证机构不需要对方提供身份信息而向对方提供服务
D.Agile Controller-Campus 上需要手工创建"~anonymous'账号
答案:BCD(答案错误,应为:AD)
256. 在某些场景中可采用匿名账号进行认证,下面选项对匿名账号描述正确的有哪些?
A.使用匿名账号进行认证是基于信任对方的前提下,认证机构不需要对方提供身份信息而向对方提供服务。
B.Agile Controller-Campus 上需要手工创建"~anonymous"帐号
C.默认不能对匿名账号进行账号的准入控制、策略补丁模板的调用知软件分发等操作
D.管理员不可以删除匿名账号'~anonymous"
答案:AD
84. AgileControllor-Campus 上的 Portal 认证已配置完成,且正确无误。在准入控制的交换机上配置如下命令:
[S5720]authentication free-rule 1 destination ip 10.1.31.78 mask 255.255.255.255
根据该配置,以下哪些项的描述是正确的
A.已经配置完成后,需管理员手工配置 ACL 放行用户访间认证服务器的数据流
B.配置完成后.用户可访问 10.1.31.78 的主机
C.该配置放行用户在认证前需要访问的网络资源
D.只有在认证通过后,终端才能访问 10.1.31.78 的主机
答案:BC

258. Agile Controller-Campus 上的 Portal 认证已配置完成,且正确无误。在准入控制的交换机上配置如下命令:

[S5720]authentication free-rule 1 destination ip 10.1.31.78 mask 255.255.255.255 则下列哪些选项的说法是正确的?
A.已经配置完成后,交换机会自动放行访问安全控制器的数据流,无需管理员手工配置
B.该配置放行用户在认证前需要访问的网络资源。
C. 配置完成后,需管理员仍需要手工配置放行网段。
D.只有在认证通过后,终端才能访问 10,1.31.78 的主机。
答案:AB
85. 以下哪些项中的认证协议支持对用户进行用户组授权
A.WEP
B.Portal 认证
C.WPA/WPA2-EAP
D.MAC 认证
答案:BD
134. 传统网络单一策略难以应对当前用户多样化、位置多样化、终端多样化、应用多样化、体验无保障等复杂形势.
A.正确
B.错误
答案:A
  138. 身份认证通过识别接入设备或用户的身份以决定是否允许其接入。
A.正确
B.错误
答案:A  
140. Agile Controller-Campus 所有组件都支持 Windows 系统和 Linux 系统。
A.正确
B.错误
答案:A
144. 在 Portal 认证中,交换机上必须配置以下哪些参数?
A.Portal 服务器 IP
B.Portal 页面 URL
C.shared-key
D.Portal 协议版本
答案:ABC
156. 在终端安全管理中,采用黑白名单的模式检查终端主机软件安装情况,以下哪些情况属于合规行为?
A.终端主机未安装自名单中的软件,也未安装黑名单中的软件。
B.终端主机安装白名单中的所有软件,未安装黑名单中的软件。
C.终端主机安装白名单中的部分软件,未安装黑名单中的软件。
D.终端主机安装白名单中的所有软件,也安装了部分黑名单中的软件。
答案:B
159. 企业终端安全可以通过下列哪些方法进行安全防护?
A.准入控制
B.加密接入
C.业务隔离
D.审计计费
答案:A
185. Portal 页面推送规则有优先级,优先级高的规则优先与用户的认证信息匹配。如果配置的规则都不匹配,则采用默认的规则。
A.正确
B.错误
答案:A
186. 下列哪些设备适合采用 MAC 认证接入网络?
A.用于办公的 Windows 系统主机
B.用于测试的 Linux 系统主机
C.移动客户端,如智能手机等
D.网络打印机

答案:D

199. AC-Campus 使用以下哪一种 LDAP 报文类型向 AD/LDAP 服务器查询用户信息?
A.BindQuery
B.BindRequest
C.InforRequest
D.MapInfo
答案:C
204. 当 AP 使用安全策略:WPA/WPA2-PSK 时,可使用以下哪种链路认证方式?
A.CCMP
B.TKIP
C.PSK
D.Open
答案:C
211. 以下哪些 Portal 报文由 Portal 服务器发送给认证设备?
A.ACK_LOGOUT
B.ACK_AUTH
C.REQ LOGOUT
D.REQ AUTH
答案:BD
218. 默认情况下,当 AC-Campus上不存在认证账号时,默认的认证规则将会采取以下哪种动作?
A.继续处理
B.启用逃生策略
C.不发送应答报文
D.拒绝接入
答案:B(应该选D)
228. 安全意识薄弱是导致大多数信息安全事件发生的重要原因。加强安全意识防范,配以完善的制度流程以及技术体系,才能保障企业网络及业务持续可靠地运行。
A.正确
B.错误
答案:A
229. AC-Campus 的网络平面包括管理平面、业务平面。
A.正确
B.错误
答案:A
238. 访客指特定地点需要临时接入网络的用户。
A.正确
B.错误 答案:A
263. 某企业在部署防病毒软件后,发现病毒感染还是大面积发生。存在该问题的原因除了产品自身技术的局限性,个人终端安全防护薄弱,也是重要因素
A.正确
B.错误
答案:A
265. 用户接入安全解决方案是一种“端到端”的安全架构。用户接入安全构架包括三个关键组件:终端设备、网络准入设备和准入服务器。
A.正确
B.错误
答案:A
272. 用户通过网络接入设备接入网络,由第三方 RADIUS 服务器对用户进行认证和授权。关于该认证流程,以下哪个选项的描述是错误的
A.在 RADIUS 服务器上配置 RADIUS 认证和计费。
B.将 Agile Controller--Campus 配置为本地数据源认证,接收设备发送的报文,并进行认证。
C.在设备配置 RADIUS 认证和计费。
D.在 Agile Controller-Campus 上配置 RADIUS 的认证和授权
答案:B
273. 关于软件管理中设置的文件来源,以下哪个描述是正确的? (文件来源UNC)
A.文件来源为内部数据源时,在分发软件时,业务管理器只会把待分发软件数据源的路径发送给 Any Office
B.文件来源为外部数据源时,Any Office 将会获取待分发的软件。
C.外部数据源不能够分发 FTP 粪型的文件服务器的文件。
D.Microsoft Windows 文件共享服务器以 UNC(Universal Naming Conversion)路径(以"l"开头)方式提供待分发软件的路径。
答案:D
277. 在 Agile Controller-Campus 准入控制场景中,关于 RADIUS 服务器/客户端的角色描述,以下哪个是正确的?
A.Agile Controller-.Camps 集成了 RADIUS 服务器和客户端的所有功能.
B.Agile Controller--Campus 作为 RADIUS 服务器端,用户终端作为 RADIUS 客户端。
C.认证设备(如 8021X 交换机)作为 RADUS 服务器端,用户终端作为 RADUS 客户端。
D.Agile Controller-Campus 作为 RADIUS 服务器端,认证设备(如 802.1X 交换机)作为 RADIUS 客户端
答案:D
283. Agile Controller-Campus 系统可以管理终端上安装的软件,定义软件黑名单,通过与准入控制设备联动,协助终端安装必须的软件和卸载不允许安装的软件,关于黑白名单的定义,以下哪个说法是正确的?
A.检查禁止安装的软件和允许安装的软件
B.检查禁止安装的软件
C.检查禁止安装的软件和必须安装的软件
D.检查必须安装的软件
答案:C

1、第一章:概述:

谓安全域划分及边界整合涉及两方面,即安全域划分和边界整合,其中安全域划分是指为了更好保障内网安全,基于内网业务类型和安全需求,把内网划分成若干个颗 粒度合适的逻辑区域。而边界整合是指为了降低企业内网与外部网络或Internet互联可能带来的安全风险,对企业内网所有的互联接口进行整合,实现统一防护、统一监控的目的。
安全域主要由用户域、网络域、服务域、业务域等4大安全区域组成。
用户域安全一般由各类终端用户组成,由于终端所具有的数量大、分布广、流动强等特点,导致其是4大安全区域中最重要控制的区域,也是本教材讲解的重要,即终端安全。(用户最重要
网络域安全,是业务流量承载的平台,一般情况下通过采用MPLS VPN技术把业务根据企业的要求进行逻辑划分,以实现网络承载的安全。(网络流量承载
服务域安全,是为企业内网提供安全服务的区域,此区域一般由防病毒服务器、补丁管理服务器、终端安全服务器等提供安全服务的系统组成。(服务域内网
业务域安全,即企业业务服务器的安全,是各类企业最关注的安全防护区域,其承载着企业重要的、核心的信息资产。(业务核心资产
​​​​​​101. 以下关于 Agile Controller-Campus 中安全域的描述,正确的哪些项
A. 业务域是各类企业最关注的安全防护区域,其承裁着企业重要的、核心的信息资产
B. 网络域是业务流量承裁的平台,依据企业的需求采用安全技术把业务进行逻辑划分,以实现网络承裁的安全
C. 网络域一股由各类终端用户组成,该区域终端具有数量大、分布广、流动强等特点
D. 业务域是为企业内网提供安全服务的区域,此区域一般由防病毒服务器、补丁管理服务器、终端安全服务器等提供安全服务的系统组成
答案: AB
9. 安全域划分是指为了更好保障内网安全,基于内网业务类型和安全需求,把内网划分成若干个颗粒度合适的逻辑区域。下列哪个选项不属于 Agile ControllerCampus 中的安全域?
A. 用户域
B. 网络域
C. 业务域
D. 攻击域
答案: D
23. 关于 Agile Controller-Campus 安全的描述,下列哪些选项是正确的?
A. 用户域一般由各类终端用户组成 , 该区域终端具有数量大、分布广、流动强等特点。
B. 业务域是业务流量承载的平台 , 依据企业的需求采用安全技术把业务进行逻辑划分 , 以实现网络承载的安全。
C. 网络域是各类企业最关注的安全防护区域 , 其承载著企业重要的、核心的信息资产。
D. 服务域是为企业内网提供安全服务的区域 , 此区域一般由防病毒服务器、补丁管理服务器、终端安全服务器等提供安全服务的系统组成。
答案: AD
30. 关于补丁管理和 Windows 补丁检查策略,以下哪个描述是错误的?
A. 补丁管理与 Windows 补丁检查策略均能检查终端主机是否已经安装指定的 Windows 作系统补丁。
B. Windows 补丁检查策略重在检查终端主机是否安装 Windows 操作系统的补丁。
C. 当终端主机未安装指定的 Windows 作系统补丁时 , 根据 Windows 补丁检查策略禁止终端主机接入受控网络。
D. 补丁管理重在检查终端主机是否安装指定的补丁 , 对终端主机进行接入控制
答案: D
多层次防御体系,主要体现网络层面和系统层面。网络层面主要通过软件 SACG、 802.1x交换机、硬件 SACG等3个层面相互配合,在网络上对终端的接入和业务资源访问进行控制。而系统层面涉及领域比较多,比如对文档资源的访问,可通过封外设端口、控制存储介质、加密文档等措施相结合,对文档的获取进行综合控制,其它像非法外联、病毒防范等也是类似通过综合的控制措施来解决单一措施可能存在的安全风险。这样,通过层层防御最终从根源上降低企业终端可能带来的各类安全风险。
227. 多层次防御体系,主要体现在网络层面和系统层面,以下哪些项是用于系统层面的安全防御?
A. 硬件 SACG
B. 软件 SACG
C. 加密文档
D. 终端病毒防范
答案: AB
136. 多层次防御体系,主要体现在网络层面和系统层面,下列哪些选项是用于网络层面的安全防御?
A. 软件 SACG
B. 硬件 SACG
C.802.1X 交换机
D. 认证服务器
答案: ABC
PPT-PDCA模型:PPT组织、流程、技术 ,PDCA:计划、实施、监控、改进。
78. 在终端安全全方位防御体系中,使用 PPT-PDCA 模型可以有效实现终端安全防御,下列哪个选项不属于 PPT 模型?
A. 技术
B. 流程
C. 组织
D. 计划
答案: D
04. 在终端安全全方位防御体系中,使用 PPT-PDCA 模型可以有效实现终端安全防御,以下哪一项属于 PPT 模型
A. 计划
B. 实施
C. 检查
D. 组织
答案: D
终端安全立体防御体系:准入控制、桌面管理、安全管理。
67. 终端安全立体防御理念形成体系化产品与解决方案,以下哪一项不属于终端安全立体防御体系
A. 安全管理
B. 桌面管理
C. 加密接入
D. 准入控制
答案: C
终端安全的典型应用场景包括:桌面管理、非法外联、计算机外设管理
128. 终端安全的典型应用场景包括:桌面管理、非法外联和计算机外设管理。
A. 正确
B. 错误
答案: A
终端安全接入技术主要包括以下几个方面:身份认证、接入控制、安全认证、业务审计与授权
66. 终端安全接入技术不包括以下哪一项
A. 业务审计与授权
B. 准入控制
C. 身份认证
D. 加密接入
答案:A(感觉应该选D)
80. 终端安全接入技术不包括下列哪个选项?
A. 准入控制
B. 安全认证
C. 身份认证
D. 系统管理
答案: D
163. 用户接入认证技术不包括下列哪个选项?
A. 身份认证
B. 隔离修复
C. 安全检查
D. 准入控制
答案: B
移动办公带来的挑战:企业移动化平台如何快速上线、用户如何安全快捷接入企业WIFI、终端类型复杂,如何统一管理。
150. 下列哪个选项不属于移动办公带来的挑战?
A.移动办公平台安全可靠的快速上线。
B.用户安全快捷的接入网络。
C.终端的统一管理,精细化控制。
D.网终网关的部署
答案:D

2、Agile Controller-Campus(敏捷控制器)部署:

Agile Controller-Campus系统是智慧的园区大脑,在SDN集中化控制思想的指导下,动态调配整个园区的网络与安全资源,让网络更敏捷地为业务服务。提供如下主要功能:

(1)、 统一的策略引擎,在整个组织内实施统一访问策略,实现基于用户身份、接入时间、接入地点、终端类型、终端来源、接入方式(简称 5W1H )的认证与授权。
who:谁接入了网络(员工、访客)
How:如何接入(有线、无线、VPN)
Where:从什么地方接入(公司、家里)
When:什么时间接入(上班时间、下班时间)
Whose:谁的设备(公司标配、BYOD设备)
What:什么设备接入(PC、IOS、Android)
(2)、Agile Controller-Campus 作为园区网络控制器,包括 MCSMSC 三大组件
(3)、 Agile Controller-Campus 的总体架构如图所示,包括服务器层、网络设备层和用户接入
(4)、Agile Controller-Campus 系统包括四部分:管理中心( Management Center ,简称 MC )、业
务管理器( Service Manager ,简称 SM )、业务控制器( Service Controller ,简称 SC)以及客户端,网络接入设备( Network Access Device ,简称 NAD)作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行。
50. Agile Controller-Campus 产品架构包括三个层次,下列哪个选项不属于产品架构层次?
A.服务器层
B.网络设备层
C.准入控制层
D.用户接入
答案:C
管理中心(MC) 分级部署时使用,作为 Agile Controller-Campus系统的管理中心,负责制定总体的安全策略。
业务管理器(SM):业务管理器承担业务管理的角色,系统管理员通过WEB管理界面,可以完成用户管理、 准入控制和业务随行策略配置、安全协防业务配置等管理工作。 作为 Agile Controller-Campus系统的管理器,业务管理器将管理其下的各个业务控制器,向已经连接的业务控制器发送实时指令,完成各种业务。
业务控制器(SC): 业务控制器集成标准的 RADIUS服务器、 Portal服务器等,负责与网络接入设备联动实现基于用户的网络访问控制策略
网络接入设备(NAD): Agile Controller-Campus系统与网络接入控制设备配合,可以为企业网络提供网络接入控制功能和访客管理功能。本系统支持多种类型的网络接入控制设备,包括 WLAN
AC/AP 设备、华为的 Portal 交换机、通用的标准 802.1X交换机,以及华为的网络接入控制网关(简称 SACG )。
Agile Controller-Campus 系统支持灵活的组网方式:集中式部署、分布式部署、分级式部署
集中式组网就是把Agile Controller-Campus的服务器组件,部署在一个相对集中的位置, 通常是企业的数据中心。集中式组网,适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。对于小型多分支机构的网络,如果分支机构的规模比较小,也可以使用集中式组网方案
无论是本地终端用户还是通过 VPN(Virtual Private Network)网关接入总部的远程终端用户,均需要到总部业务控制器完成身份认证,下载最新的策略及运行参数,获取软件分发任务中需要下载的软件。通过认证后根据终端用户所属的角色分配认证后域的访问权限,访问认证后域中的网络资源。
分布式组网方式的主要特点是将业务管理器和数据库服务器部署在总部,而业务控制器部署在分支机构。
分布式部署推荐用于以下两个场景:
(1)企业网络比较分散,存在多个分支机构,分支机构用户规模较大,是典型的园区网场景。如银行的市级分行。
(2)分支机构到总部之间的网络质量难以保障,总部和分支机构之间的网络可能中断,使得分支机构的终端无法连接总部数据中心场景。
分级组网环境中,分支机构需要部署一套完整的 Agile Controller-Campus系统。而总部需要部署上级管理中心, Agile Controller-Campus用于提供总部的接入控制功能,而管理中心提供分级License管理、分级补丁管理和分级策略管理功能。
场景:该组网方式适用于终端用户分布在若干个地区办公,分支机构与总部之间的终端安全管理业务相对独立(相对于分布式组网而言),并且总部对分支机构终端安全管理业务提供监督,而不是直接做业务管理的场合。例如运营商集团公司和省公司,省公司自己管理 IT 设施,集团公司主要负责制定 IT 策略,以及监督 IT策略实施的情况,集团公司并不负责具体运维省公司的IT网络。分级式组网方式的主要特点是将管理中心部署在总部,而业务管理器部署在分支机构
78. 业务随行根据用户接入的 5W1H 条件确定访问权限和 QoS 策略,对于 5W1H 以下哪些项的描述是正确的
A.What, 确定接入设备 (PC iOS )
B.Whose, 确定接入设备的归属(公司标配、 BYOD 等)
C.How, 确定接入方式(有线、无线等)
D.Who, 确定接入者的身份(员工、访客等)
答案: ABCD
141. 业务随行根据用户接入的 5W1H 条件确定访问权限和 QoS 策略,对于 5W1H,下列哪些描述是正确的?
A.Who,确定接入设备的归属(公司标配、 BYOD 等)
B.Whose,确定接入者的身份(员工、访客等):
C.How, 确定接入方式(有线、无线等)。
D.What, 确定接入设备 (PC IOS )
答案: CD
169. Agile Controller-campus 系统包括四部分管理中心( MC )、业务管理器( SM)、业务控制器(SC )以及客户端,网络接入设备( NAD)作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行。
A. 正确
B. 错误
答案: A
160. 以下哪个选项是 Agile Controller-Campus 中 SC 组件的主要功能?
A.作为 Agile Controller-Campus 的管理中心,负责制定总本策略
B.作为 Agile Controller-Campus 的管理界面,对系统进行配置和监控。
C.集成有标准的 RADIUS 服务器、Portal 服务器等,负责与网络接入设备联动实现基于用户的网络访问控制策略
D.作为 Agile Controller-Campus 的安全协防服务器,负麦对 iRadar 上报的安全事件进行分析计算
答案:C
205. 关于 Agile Controller-Campus 组件及其作用的描述,以下哪一项是正确的?
A.SC 集成有标准的 RADIUS 服务器、Portal 服务器等,负责与网络接入设备联动实现基于用户的网络访问控制策略。
B.SC 为企业提供网络接入控制功能和访客管理功能。
C.MC 承担业务管理的角色,发送实施指令,完成各种业务配置。
D.SM 在分级管理部署时使用,负责制定准入控制的总体策路,并将这些策略下发给下级节点同时对下级节点实施情况进行监控
答案:A
8、 集中式组网中,数据库、 SM 服务器、 SC 服务器、 AE 服务器都集中安装在企业总部,这种组网方式适用于用户地域分布集中,用户数较少的企业。
A. 正确
B. 错误
答案: B(答案错误,A)
40. 集中式组网中,数据库、 SM 服务器、 SC 服务器、 AE 服务器都集中安装在企业总部,这种组网方式运用于用户地域分布广泛,用户数较多的企业。
A. 正确
B. 错误
答案: B
22. 对于认证服务器采用分布式部署的场景,以下哪些描述是正确的?
A. 企业网络比较分散 , 存在多个分支机构 , 分支机构用户规模较大的场景。
B. 分支机构用户小于 2000  , 总部与分支机构网络相对稳定的场景。
C. 分支机构与总部之间的终游安全管理业务相对独立 , 并且总部对分支机构终谱安全管理业务提供监督和建议的场景。
D. 分支机构到总部之间的网络质量难以保障 , 总部和分支机构之间的网络可能中断 , 使得分支机构的终端无法连接总部数据中心场景。
答案: AD
100. AC-Campus 的部署方案包括以下哪些选项
A. 双活式部署
B. 分布式部署
C. 分级式部署
D. 集中式部暑
答案: BCD
171. 关于 Agile Controller-Campus 集中式部署和分布式部署的应用场景,下列哪些选项的描述是正确的?
A. 如果大部分终端用户集中在一个地区办公,少数终端用户在分支机构功公,推荐集中式部署。
B. 如果大部分终端用户集中在一个地区办公,少数终端用户在分支机构办公,推荐分布式部署。
C. 如果终端用户分散在不同的地域办公,则推荐采用分布式部署方案。
D. 如果终端用户分散在不同的地域办公,则推荐采用集中式部暑方案。
答案: AC
284. Agile Controller-Campus 不支持哪种部署模式?
A. 集中式部署
B. 分布式部署
C. 分级式部署
D. 双机部署
答案: D
297. 某企业存在大量移动办公的员工,需要部署移动办公系统对员工进行管理,该企业员工超过 2000,并且员工工作区域分布在全国各地,为了方便管理,采用哪种部署方式?
A. 集中式部署
B. 分布式部署
C. 分级式部署
D. 集中式部署和分布式署都可以
答案: B

3、Agile Controller-Campus系统安装:

预安装:华为公司发货的服务器已经进行预安装,包括操作系统、数据库和Agile Controller-Campus系统。
预安装流程:开始>修改Windows操作系统参数>修改SQL Server 参数>初始化>初始化 Agile Controllor-Campus>(可选)配置数据库镜像>结束。
Windows 平台只支持单机部署。 使用SWMaster 帐号登录操作系统,缺省密码为 Changeme123
SUSE平台支持单机部署和双机部署。 使用 root 帐号登录操作系统,缺省密码为 Changeme123
68. 预安装 AgileControllor-Campus 不需要完成以下哪一步骤
A. 初始化 Aglle Controller-Campus
B. 导入 License
C. 修改数据库参数
D. 修改操作系统参数
答案: B
270. Agile Controller-Campus 可以安装在 Windows SUSE 系统上
A. 正确
B. 错误
答案: A
华为安全 HCIP 723题库+知识点_第1张图片

278. 安装 Agile Controller-Campus 之前不需要完成下列哪个步骤?
A. 安装操作系统
B. 安装数据库
C. 安装防病软件
D. 导入 license
答案: D

Agile Controller-Campus高可靠性部署:

华为安全 HCIP 723题库+知识点_第2张图片
如果选用 Windows Server 系统 +SQLServer数据库,数据库服务器需要三台(主、备、见证), MCSM 不支持双机备份
安装后检查:
SM组件是否正常 在浏览器打开 https://SM 服务器 IP:8443 ,输入帐号 admin和缺省密码 Changeme123 ,如果登录成功说明 SM 组件正常。
SC组件是否正常: 登录 SM 后选择“资源 > 用户 > 用户管理”,新建一个普通帐号。 在浏览器打开 https://SC 服务器 IP:8447/newauth,使用上一步创建的帐号,如果能成功登录说明 SC 组件正常。
管理员可手动启动组件
Windows 环境下启动业务管理器( SM )或业务控制器( SC): 使用 administrator SWMaster(安全加固后)帐号登录操作系统。缺省密码 Changeme123。
选择下列任意一种方式启动业务管理器( SM)或业务控制器(SC
(1)在桌面双击“ Start Server” 快捷方式。
(2)选择“开始 > 所有程序 > Huawei > Agile Controller > Start Server”
(3)选择“开始 > 所有程序 > Huawei > Agile Controller > Server Startup Config”,手动启动所需的组件。
启动管理中心(MC
使用 administrator SWMaster(安全加固后)帐号登录操作系统。缺省密码 Changeme123
选择下列任意一种方式启动管理中心( MC
(1)在桌面双击“ Start Server” 快捷方式。
(2)选择“开始 > 所有程序 > Huawei > MCServer > Start Server”
  37. Windows 平台上部署 Agile Controlle-Campus ,采用 SQL Server 数据库。关于 Agile Controller-Campus HA 功能,以下哪些描述是正确的?
A. 部署管理中心 MC 时,支持 HA, 提供基于 Keepalived 技术的 HA 主备倒换。
B. 部署业务管理器 SM 时,支持 HA, 提供基于 Keepalived 技术的 HA 主备倒换。
C. 部署业务控制 SC ,支持 HA, 提供资源池模式的备份方案,需要部署 N+1 SC
D. 部署数据库 DB ,支持 HA, 采用 SQL Server 数据库镜像技术,需要部署主 DB+ 镜像 DB+ 见证 DB
答案: CD
240. 在 Agile Controlle-Campus 部署时采用 Windows+SQL Server 平台高可靠方案,不支持部署以下哪个组件?
A.部署 DB
B. 部署镜像 DB
C. 部署见证 DB
D. 部暑 MC SM 双机备份
答案: D
249. 根据不同的可靠性需求,集中式组网可以提供不同的可靠性组网方案,关于这些方案,下列哪些描述是正确的?
A. 基础组网包括部署 SM 一个服务器,一个 SC 服务器,一个 DB AE 服务器。
B.AE 可靠性组网除了部署基础组网组件外,还需要多部署一台备 SC 服务器
C.SC 可靠性组网除了部署基础组网组件外,还需要多部署一台备 SM 服务器。
D.DB 可靠性组网除了部署基础组网组件外,还需要多部署一台备 DB
答案: AD
221. Agile Controller 安装成功后,如何检查 SM SC 组件是否正常启动?
A. 在浏览器打开 https://SM 服务器 IP:8443, 输入账号 admin 和缺省密码 Changeme123, 登录成功的说明 SM 组件正常
B. 登录 SC 后选择、资源 > 用户 > 用户管理,新建一个普通帐号。在浏览器打 https:/SM 服务器 IP:8447/newauth, 使用上一步创建的帐号如果能成功登录说明 SM 组件正常
C. 在浏览器打开 https:/SC 服务器 IP:8443, 输入账号 admin 和缺当密码 Changeme123, 如果登录成功说明 SC 组件正常
D. 登录 SM 后选择、资源 > 用户 > 用户管理,新建一个普通账号。在浏器打开 https:/SC 服务器 IP:8447/newauth, 使用上一步创建的帐号如果能成功登录说明 SC 组件正常
答案: AD
151. Windows 环境下, Agile Controller-Campus 安装成功后,如何手动启动管理中心( MC )?
A. 在桌面双击 "Start Server' 快捷方式启动。
B. 选择 " 开始 > 所有程序 >Huawei>MCServer>Start Server'"
C. 选择 " 开始 所有程序 -Huawei>Agile Controller>Server Startup Config", 手动启动所需的阻件。
D. 选择 开始 > 所有程序 >Huawei>MCServer~Server Startup Config”, 手动启动所需的组件
答案: AB
305. Windows 环境下, Agile Controller-Campus 安装成功后,以下哪一项可以手动启动业务管理器(SM ) 或业务控制器 (SC)
A. 选择开始 ~ 所有程序 ~Huawei>Agile Controller>MCServer>Start Server'"
B. 选择 " 开始 > 所有程序 >huawei>Agile Controller>Server Startup Config", 手动启动所需的组件。
C. 选择 " 开始 > 所有程序 >Huawei>MCServer>Start Server”
D. 选择 开始 > 所有程序 >Huawei~MCServer>Server Startup Config", 手动启动所需的组件
答案: B
(未找到相关知识点)
45. 如何查看 MC 服务是否已启动?(选有两个项的)
A.在任务管理器中查看 MCServer 服务是否启动。
B.在任务管理器中查看 MCServerDaemon 服务是否启动
C.在任务管理器中查看 MCServer 和 MCServerDaemon 是否启动
D.在服务器选择“开始>所有程序> Huawei > Agile Controller> Server Controller,检查 MC 状态是否为“运行"
答案:C
243. AC-Campus 用户账号、授权相关配置在 SC 的 WEB 界面完成
A.正确
B.错误
答案:A
189. 关于在 Windows 系统和 Linux 系统中卸载 Agile Controller-Campus,下列哪个描述是正确的?
A.使用普通账号在 Agile Controller/Uninstall 目录下执行 sh uninstall..Sh 启动卸我程序。
B.使用 root 账号在 Agile Controller 目录下执行 sh uninstall.sh 启动御裁程序
C.在 Windows 平台中,选择“开始>所有程序 Huawei>Agile Controller>Server Startup config
D.在 Windows 平台中,选择"开始>所有程序>Huawei>Agile Controller>Uninstall"

答案:D

第三章 用户管理技术 p105-139

AD服务器、LDAP服务器。

认证方式:普通账号认证、使用AD/LDAP服务器、移动证书账号认证、使用第三方RADIUS服务器账号认证、匿名账号认证。

用户管理:账号黑名单管理、终端IP地址范围管理、用户在线时长管理。

同步外部用户:将系统之外第三方的用户,通过支持的途径,添加到本系统的组织单元中,受本系统管控。

同步方式:
OU 同步: OU是第三方服务器中的组织架构,即按第三方的组织架构,同步到本系统的组织结构中。
按组同步:组是第三方服务器中的类别,类别下有不同的 OU,通过选择不同的类别和 OU 来同步到本系统的组织结构中。
LDAP 按组同步: LDAP 服务器中 OU/组以企业组织结构树状存储,或未按企业组织结构存储但可以通过属性确定父子关系。
平面架构同步或定制模式: AD/LDAP中数据存储结构不满足以上要求,扁平存放,但可以通过某些属性和计算公式确定关系。
按过滤条件同步:以属性和值的关系作为条件,来同步第三方服务器中的数据。

89. 用户管理可以使用以下哪些账号进行认证
A.移动证书账号
B.帐号
C.普通账号
D.匿名帐号
答案:ACD
260. 下列选项中哪些账号属于第三方服务器账号?
A.AD 帐号
B.移动证书账号
C.匿名帐号
D.访客帐号
答案:AB
由管理员创建的访客帐号,或者由访客自注册的帐号均属本地访客帐号。
27. 在 Agile Controller-Campus 上账号分为两类:一类是本地账号,一类是外部账号。下列哪项不属于本地账号?
A.普通账号
B.访客账号
C.匿名账号
D.移动证书账号
答案:D
206. Agile Controller-Campus 不支持以下哪种账号类型?
A.固定账号
B.外部账号
C.社交媒体账号(访客账号)
D.本地账号
答案:B(选A吧)
168. 某公司访客接待大厅中,临时接入的终端用户数量较多,管理员希望用户无需提供任何账号和密码即可访问 Internet。可使用以下哪种认证方式进行接入?
A. 本地账号认证
B. 匿名认证
C.AD 账号认证
D.MAC 认证
答案: B
15. AD/LDAP 账号可以同步到 Agile Controller-Campus 上,也可以不同步到 Agile Controller-Campus。同步到 Agile Controller-Campus 上只能按用户组授权,不同步到 Agile Controller-Campus 上则可以基于账号精细化授权。
A.正确
B.错误
答案:B
122. 在对访客账号进行管理时,需要创建访客账号策略并设置账号创建方式,对于账号创建方式,下列哪项描述是错误的。
A. 单独添加账号时,可以选择单个创建。
B. 如果用户数量比较多时,可以选择批量创建
C. 如果用户数量比较多时,可以选择数据库同步。
D. 为了方便管理,提升用户体验,可以使用自注册。
答案: C
161. Agile Controller-Campus 上导入 AD 服务器的用户信息,以实现用户的接入认证,如果用户在 Agile Contoller-Campus 上没有查找到用户的信息,下一步会执行以下哪个动作
A. 直接返回认证失败信息
B. 将用户信息丢弃
C. 将用户的信息发送给 AD 服务器进行检验
D. 再次同步数据库。
答案: C
AD/LDAP 账号可以 同步到 Agile ControllerCampus,也可以不同步,两种场景。
对于同步帐号的场景
帐号已同步到AC-Campus
用户输入帐号密码认证。 AC-Campus 验证帐号如果帐号存在则发往 AD/LDAP 验证密码 密码验证通过后返回 AC-Campus ,根据配置的授权规则对用户授权。
帐号未同步到AC-Campus 且启用快速同步功能
如果 AC-Campus 验证帐号不存在,则继续发往 AD/LDAP 验证。(先不是对的)
如果帐号在 AD/LDAP 服务器存在,将该帐号增量同步到 AC-Campus。同步成功后 AC-Campus 将帐号发往 AD/LDAP服务器校验密码,校验成功后认证通过。
帐号未同步到 AC-Campus 但未启用快速同步功能,则认证失败。
对于不同步账号的场景
用户输入账号密码后由AC-Campus 转发到 AD/LDAP服务器验证帐号密码,如果验证通过则返回 AC-Campus ,根据映射的目标用户组授权。
267. 在企业部署了 Agile Controller-Campus 时, AD/LDAP 账号必须同步到 Agile Controller Campus 上进行准入控制
A. 正确
B. 错误
答案: B
87. 关于使用 LDAP 账号进行认证的流程,以下哪些项的描述是错误
A. 帐号已同步到 Agile Controller-Campus,认证设备则将账号发往 AD/LDAP 验证。如果账号在 AD/LDAP 服务器存在,接入设备将账号对应的密码发往 AD/ L DAP 服务器进行校验,校验成功后
认证通过
B. 帐号已同步到 Agile Controller--Campus, 则在 Agile Controller-Campus 上验证帐号。如果账号存在,则将账号对应的密码发往AD/L DAP服务器进行棱验。密码验证通过后返回 Agile Controller-
Campus, 根据配置的授权规则对用户授权
C. 如果 Agile Controller-Campus 验证帐号存在,则在 Agile Controller-Campus 上验证账号,如果账号不存在则将账号发往 AD/LDAP验证密码。密码验证通过后,返回 Agile ControllerCampus,根据配置的授权规则对用户授权
D. 如果 Agile Controller-Campus 验证账号不存在,则继续将账号发往AD/LDAP 验证。如果账号在 AD/LDAP 服务器存在,将该账号增量同步到 Agile Controller-Campus, 同步成功后, Agile
Controller-Campus 将帐号对应的密码发往AD/ L DAP服务器进行校验,校验成功后认证通过。
答案: AC
165. 关于使用 LADP 账号进行认证的流程,下列那些描述是正确的?
A. 帐号已同步到 Agile Controller-Campus,则在 Agile Controller--Campus 上验证账号,如果账号存在,则将账号对应的密码发往 AD/ L DAP 服务器进行验,密码验证通过后返回 Agile Controller-Campus, 根据配置的授权规则对用户授权
B. 帐号已同步到 Agile Controller-Campus,Agile Controller-Campus 则将帐号继续发往 AD/ L DAP 验证。如果帐号在 AD/LDAP 服务器存在, Agile Controller-Campus 将账号对应的密码发往 AD/ L DAP 服务器中进行校验,校验成功后认证通过 .
C. 如果 Agile Controller--Campus 验证帐号不存在,则继续将账号发往 AD/LDAP 验证,如果帐号在 AD/ L DAP服务器存在,将该帐号增量同步到 Agile ControllerCampus, 同步成功后,Agile Controller-Campus 将帐号对应的密码发往 AD/ L DAP 服务器进行校验,校验成功后认证通过 .
D. 如果 Agile Controller-Campus 验证帐号存在,则在 Agile Controller-Campus 上验证账号,如果帐号不存在则将账号发往 AD/ L DAP 验证密码。密码验证通过后返回 Agile Controller-Campus,根据配置的授权规则对用户授权 .
答案: AC
3. 客户网络已经存在 AD/LDAP 服务器的情况下, AC-Canpus 可以从 AD 服务器同步组织结构和账号信息,无需手动重新在 AC-Campus 上创建用户、组织结构。
A. 正确
B. 错误
答案: A
275. 用户管理中用户组和账号关系在 Agile Controller-Campus 上以树状存储,一个号只属于一个用户组,与企业组织结构一致。如果 AD/LDAP 服务器存储的OU Organization )结构与企业组织结构一致,用户存放在所属 OU 下。则 Agile Controller-Campus 在同步 AD/LDAP 服务器账号时,可采用哪种同步方式?
A. “OU" 同步
B.AO 同步, “OU” 猫述组织架构
C.AO 同步, 描述组织架构
D.LDAP " 同步
答案: A
14. 如果在 Agile Controller-Campus 上启用了自动账号锁定的功能,并且绑定账号 IP/MAC 地址,如果在限定时间内,终端用户认证时输入密码错误的次数超过
限定次数,则下列哪些描述是正确的?(多选)
A. 当账号被锁定时 , 只限制账号不能在绑定的终端设备上认证 , 在其他终端设备上可以正常认证
B. 该账号在所有终端设备上都被锁定 , 无法认证
C. 如果想要解除账号锁定 , 只能由管理员从列装中删除帐号
D. 超过锁定时间 , 自动解除账号锁定
答案: AD
用户组外,角色是帐号管理的一个维度。一个帐号只能属于一个用户组,但一个帐号可以属于多个角色,实现帐号与角色之间一对多的关系。角色支持管理员手工创建或AD/LDAP同步时自动创建。角色可应用于认证授权和安全策略分配。
账号黑名单管理:帐号黑名单指被自动或手动锁定帐号的列表。终端用户使用被锁定的帐号认证将认证失败。管理员可以同时配置自动和手动锁定帐号
236. 一个账号可以属于多个角色,即一个用户可能担任多个职务。
A. 正确
B. 错误
答案: A
2. 以下关于访客授权相关的描述中,正确的是哪些项
A. 无法指定访客账号所属的用户组
B. 可使用角色、用户组作为授权匹配条件
C. 无法指定访客账号所属的角色信息
D. 可在创建访客账号时手动指定用户组、角色信息
答案: BD
帐号黑名单指被自动或手动锁定帐号的列表。终端用户使用被锁定的帐号认证将认证失败。管理员可以同时配置自动和手动锁定帐号
对于自动锁定账号,在限定时间内,终端用户认证时输入密码错误的次数超过限定次数,则帐号被自动锁定。
对于手工锁定账号,管理员需要手动将帐号添加到锁定帐号列表中。手动锁定的帐号在所有终端设备都不能认证。从列表中删除帐号,则解除锁定该帐号。
139. 对于账号黑名单的描述,下列哪个选项是错误的?
A. 自动锁定帐号和手动锁定帐号功能不能同时开启。
B. 对于自动锁定账号,在限定时间内,终端用户认证时输入密码错误的次数超过限定次数,则帐号被自动锁定。
C. 对于手动锁定账号,管理员需要手动将帐号添加到锁定帐号列表中。
D. 手动锁定的帐号从列表中删除,则该帐号的锁定被解除。
答案: A
237. 一个账号只能属于一个用户组,即一个用户只能属于一个部门。
A. 正确
B. 错误
答案: A
组内隔离和组间隔离可以同时使用。
19. 关于基于用户组的用户隔离 , 以下哪些项的描述是正确的 ?
A支持 组内用户隔离
B. 支持组间用户隔离
C. 不支持组内隔离和组间隔离同时使用
D.支持组间隔离组内隔离
答案:BD(应该为ABD)
92. Agile Controller-Campus , 一个用户可以属于多个用户组,一个用户组可以属于多个父用户组。
A. 正确
B. 错误
答案: B
终端 IP地址范围与用户组、帐号的优先级关系:在分配时,除公告业务外,当同时为用户组、帐号、终端IP地址范围分配同一业务时,优先级最高者所分配到的业务将会生效。用户组、帐号和终端 IP 地址范围的优先级关系为:帐号 > 终端IP地址范围 > 用户组
131. 将各项业务按用户组、帐号、终端 IP 地址范围进行分配时,如果为用户组、帐号、终端 IP 地址范围分配同一业务(除公告业务外),则优先级最高者所分配到的业务将会生效。关于优先级的顺序以下哪项是正确的?
A. 帐号 > 用户组>终端 IP 地址范围
B. 终端 IP 地址范围>帐号 > 用户组
C. 帐号>终端 P 地址范围>用户组
D. 用户组 > 终端 IP 地址范围 > 帐号
答案: C

第四章 802.1X认证技术与MAC认证技术  p140-220

用户接入安全解决方案的设计思路是用户在接入企业标准网络之前,第一步接受身份验证,认证通过后进行第二步强制安全认证检查(包括安全状态和系统配置检查),符合企业安全策略通过准入控制技术授权访问相应的网络资源。

准入控制是指出于网络安全考虑对尝试接入网络的用户进行认证和授权,确保只有身份合法并且符合条件的用户才允许接入网络。准入控制组件通过与网络接入控制设备联动,控制企业内部和外部终端对网络的访问,实施统一的接入控制策略,同时提供灵活的认证策略和授权策略管理功能。
园区网中,员工可以采用 802.1XPortalMAC地址或 SACG方式接入。根据不同的需求使用不同的方式接入,达到对用户准入控制的目的。
103. 园区网中,员工可以采用 802.1x Portal MAC 地址或 Radius 接入。根据不同的需求使用不同的方式接入,达到对用户准入控制的目的
A. 正确
B. 错误
答案: B
16. 园区网中,员工可以采用 802.1、Portal、MAC 地址或 SACG 方式接入。根据不同的需求使用不同的方式接入,达到对用户准入控制的目的。
A. 正确
B. 错误
答案: A
802.1X认证又称为EAPOE认证。802.1X系统为C/S架构,包括三个实体:终端、接入控制设备(RADIUS客户端)、RADIUS服务器。
终端是位于局域网段一端的一个实体,由该链路另一端的接入控制设备 (RADIUS客户端)对其进行认证。终端必须支持局域网上的可扩展认证协议 EAPOL(Extensible Authentication Protocol over LAN),用户可以在终端通过 AnyOffice或者自带802.1X客户端发起认证。
接入控制设备是位于局域网段一端的另一个实体,对所连接的终端进行认证。接入控制设备通常为支持 802.1X 协议的设备,为终端提供接入局域网的接口。
RADIUS 服务器是为接入控制设备提供认证服务的实体。 RADIUS服务器用于对用户进行认证、授权和计费
定义:802.1X 协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指,在局域网接入设备的端口这一级,对所接入的用户设备通过认证来控制对网络资源的访问。
802.1X认证框架 802.1X 是一种链路层认证框架,包括客户端、准入设备和认证服务器三部分。
802.1X应用链路: 802.1X 可承载链路层协议包括有线以太网( 802.3 )、无线 WLAN网络 ( 802.11 )或者其他链路层协议如 PPP 网络等。
802.1X认证类型: 802.1X 认证使用 EAP作为认证协议,用来传输认证信息。目前常用认证类型有 EAP-MD5 EAP-TLS EAP-TTLS EAP-PEAP EAP-LEAP EAP-SIM 、EAP-AKA等。
EAP(Extensible Authentication Protocol)为可扩展身份验证协议,是一系列验证方式的集合,设计理念是满足任何链路层的身份验证需求,支持多种链路层认证方式。EAP协议是IEEE 802.1x认证机制的核心,它将实现细节交由附属的EAP Method协议完成,如何选取EAP method由认证系统特征决定。
802.1X支持两种认证方式:EAP终结认证、EAP 透传认证。
802.1X支持以下端口控制方式:自动识别模式、强制授权模式、强制非授权模式。
88. AC-Campus 的认证规则中,支持以下哪些选项中的认证协议
A.PAP(Password Authentication Protocol,密码验证协议)
B.EAP-TTLS
C.CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)
D.EAP-TTLS-PAP
答案:ABCD
96. "SACG 查询 right-manager 信息如下,根据查询的信息,以下哪些项的描述是正确的?
[USG]display right-manager server-group
17:35:21 2017/7/14
Servergroupstate: Enable
Servernumber: 1
Server ip address Port State Master
( 1.1.1.2 3288 active Y
( 2.1.1.1 3288 active N
A.SACG 与控制器联动成功。
B.SACG 与 IP 地址为 2.1.1.1 的服务器联动成功
C.主控制器 IP 地址是 1.1.1.2
D.主控制器 IP 地址是 2.1,1.1。
答案:ABC
301. SACG 查询 right-manager 信息如下,说法正确的是哪些选项?
[USG]display right-manager server-group
17:35:21 2017/7/14
Server group state:Enable
Server number:1
Server ip address Port State Master
( 1.1.1.2 3288 active Y
( 2.1.1.1 3288 active N
A.SACG 与 IP 地址为 2.1.1.1 的服务器联动不成功
B.SACG 与控制器联动成功
C.主控制器 IP 地址是 1.1.1.2
D.主控制器 P 地址是 2.1.1.1
答案:BC
802.1X 支持两种认证模式:基于端口的认证模式和基于 MAC 的认证模式
基于端口模式:当采用基于端口方式时,只要该端口下的第一个用户认证成功后其他接入用户无须认证就可使用网络资源。但是当第一个用户下线后,其他用户也会被拒绝使用网络。(端口。下线重新认证。)
基于MAC 模式:当采用基于 MAC地址方式时,该端口下的所有接入用户均需要单独认证。(MAC单独认证)
98. 关于 802. 1x 认证的描述中,以下哪些选项是正确的:
A.基于 MAC 地址的认证模式下,端口下某个用户离线会导致该端口下剩余用户都需重新执行认证
B.基于端口的认证模式下,该端口下的每个用户都需完成认证之后才可访问网络
C.基于 MAC 地址的认证模式下,端口下某个用户离线不会对其他该端口下用户产生影响
D.基于端口的认证模式下,只有存在一个认证成功的用户,该端口下的其他用户部可以直接访问网络
答案:CD
152. 以下是 802.1X 接入控制交换机配置:
[S5720]dot1x authentication-method eap
[S5720-GigabitEthernet0/0/1]port link-type access
[S5720- GigabitEthernet0/0/1]port default vlan 11
[S5720-GigabitEthernet0/01]authentication dot1x
假设 GE0/0/1 通过 HUB 下连用户 1 和用户 2 ,下列哪个选项的说法是正确的?
A. 当用户 1 通过认证后,用户 2 不需要认证就可以访问网络资源。
B. 用户 1 和用户 2 必须都单独通过认证后,才能访问网络资源。
C.'GE0/0/1 不需要使能 dot1X
D 、用户 1 和用户 2 都不能通过认证,访问网路资源
答案: B(答案应为A)
MAC认证:以终端的MAC地址作为身份凭据到系统进行认证。当终端接入网络时,网络准入设备提取终端MAC地址,并将该MAC地址作为用户名和密码进行认证。
MAC 旁路认证适用于 802.1X 认证环境中,无法安装 802.1X认证客户端的终端(又称为哑终端,例如 IP 电话、网络打印机、摄像头),以MAC地址作为用户和密码自动接入网络的场景。旁路认证适用于接入认证网络的设备比较复杂的情况,如果接入的设备既有可以支持802.1X认证的设备,又有不支持802.1X认证的设备(如打印机,IP电话等),这时需要使用MAC旁路认证——即接入认证的设备先进行801.X认证,如果设备对于802.1X认证无响应,再采用MAC认证的方式认证设备的合法性。 MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。
根据接入设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC认证使用的用户名格式分为三种类型:MAC地址格式固定用户名格式:这种情况下接口上的所有MAC认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,这适用于客户端比较可信的网络环境。DHCP 选项格式:设备将获取到的用户 DHCP选项字段以及一个固定的密码代替用户的 MAC 地址作为身份信息进行认证。该方式需保证设备支持通过DHCP报文触发 MAC 认证。
255. 根据接入设备最终用于验证用户身份的用户名格式和内容的不同,可以将 MAC 认证使用的用户名格式分为三种类型,不包括下列哪种格式?
A.MAC 地址格式
B.固定用户名形式
C.DHCP 选项格式
D.ARP 选项格式
答案:D
18. 根据接入设备最终用于验证用户身份的用户名格式和内容的不同,可以将 MAC 认证使用的用户名格式分为三种类型,不包括以下哪种格式
A.MAC 地址格式
B.DHCP 选项格式
C.固定用户名形式
D.IP 地址格式
答案:D
253. 关于 MAC 认证的原理,以下哪个描述是错误的?
A.MAC 认证需要 Portal 服务器配合。
B.MAC 认证是通过是 802.1X 协议实现的。
C.MAC 认证要求事先获取终端的 MAC 地址存储于 AAA 服务器。
D.NAS 设备配置 MAC 认证后,会自动将终端的 MAC 地址作为用户名和密码。
答案:A
63. 关于 MAC 认证的原理,以下哪一项的描述是错误的
A.MAC 认证是通过是 802.1x 协议实现的
B.MAC 认证要求事先获取终端的 MAC 地址存储于 AAA 服务器
C.MAC 认证适用于网络打印机接入内网的场最
D.NAS 设备配置 MAC 认证后,会自动将终端的 MAC 地址作为用户名和密码
答案:A
69. 关于 802.1X 认证的触发机制,以下哪些项的描述是错误的
A.802.1x 认证只能由客户端主动发起
B.802.1X 认证只能由认证设备(如 802.1x 交换机)发起
C.认证设备可以通过组播或单播方式触发认证
D.802.1X 客户端可以通过组播或广播方式触发认证
答案:AB
49. 关于 802.1X 认证的触发机制,以下哪项描述是正确的?
A. 802.1X 认证只能由客户端主动发起。
B. 802.1X 认证只能由认证设备(如 802.1X 交换机)发起。
C.802.1X 客户端可以通过组播或广播方式触发认证。
D.认证设备可以通过组播或单播方式触发认证。
答案:CD
130. MAC 认证是指在 802.1X 认证环境中,终端接入网络后未回应来自接入控制设备的 802.1X 认证请求时,接入控制设备自动获取终端的 MAC 地址,作为接入网络的凭证发到 RADIUS 服务器进行检验。
A.正确
B.错误
答案:B
6、 MAC 认证是指终端连接网络后接入控制设备自动获取终端的 MAC 地址,作为接入网络的凭证发到 RADUS 服务器进行校验。
A.正确
B.错误
答案:A
166. MAC 旁路认证是指终端连接网络后接入控制设备自动获取终端的 MAC 地址,作为接入网络的凭证发到 RADUS 服务器进行校验。
A.正确
B.错误
答案:B
2、以下哪些项对 802.1x 接入流程的描述是正确的?
A.EAP 终结认证方式下,终端与 802.1x 交换机进行 EAP 报文交互, 802.1 交换机与服务器使用 Radius 报文交互信息。
B. EAP 透传认证方式下 , 终端、交换机与服务器全程使用 Radius 报文交互信息。
C.使用 405 算法对信息进行校验。
D.802.1x 认证不需要进行安全策略检查。
答案:AC
47. 在接入控制设备上使用 test-aaa 的命令测试和 Radius 服务器的连通性时,运行结果显示成功,但是用户不能正常接入,可能的原因不包括下列哪个选项?
A.接入层交换机没有启动 EAP 适传功能。
B.无线 802.1x 的场景下,接入控制设备设有配置安全模板。
C.AD 认证场景中业务控制器没有加入 AD 域。
D.用户账号或密码配置不正确。
答案:D
148. 在接入控制设备上使用test-aaa 命令测试与 Radius 服务器的连通性时,运行结果显示超时,可能是账号或者密码配置不正确导致。
A.正确
B.错误
答案:B
认证控制点是对用户进行认证控制的设备,认证控制点既可以是网络中部署的(接入层或汇聚层)交换机也可以是防火墙,这些设备和 AC 联动实现对用户的准入控制。
33. 某网络采用 802.1x 对接入用户进行认证,准入控制设备部署在汇聚层,部署完成后,在准入控制设备上使用 test-aaa 命令测试成功,但是用户无法接入网络该故障可能是由以下哪些原因导致的?(多选)
A.汇聚层设备未配置 RADIUS 认证模板
B. Agile Controller-campus 上未添加交换机为 NAS 设备
C.接入设备上的 端口未开启 802.1x
D.接入设备和汇聚设备间使用二层链路, 未开启 802.1x 透传功能
答案:CD
802.1X 认证使用场景:
1、有线接入层:安全性能最高、设备多、管理复杂
2、有线汇聚层:安全性能中高、设备少、方便管理
3、无线接入:安全性能高、设备少、方便管理
124. 在部署有线的 802.1X 认证时,如果将准入控制设备部署在 汇聚层 ,这种部署方式具备安全性能高、管理设备多、管理复杂的特点
A.正确
B.错误
答案:B
4、在部署有线的 802.1 认证时,如果将准入控制设备部署在 接入层 ,这种部署方式具备安全性能高、管理设备多、管理复杂的特点
A.正确
B.错误
答案:A
华为安全 HCIP 723题库+知识点_第3张图片

25. 802.1X 认证中,如果认证点在汇聚层交换机,那么除了 RADIUS AAA 802.1X 等常规配置外,还需要哪些特殊配置?
A. 汇聚层和接入层交换机部需要开启 802.1X 功能。
B. 接入层交换机需要配置 802.1x 报文透传。
C. 汇聚层交换机需要配置 802.1X 报文透传。
D. 不需要特殊配置。
答案: B
手机题:802.1X 认证中,如果认证点在汇聚层交换机,那么除了 RADIUS、AAA、802.1X 等常规配置外,不需要配置以下哪一项?(A)
A. 接入层交换机开启 802.1X 功能
B.接入层交换机配置 802.1x 报文透传。
C. 汇聚层交换机配置AAA参数
D. 汇聚层交换机配置RADIUS对接参数。
1、 EAP 终结模式下,交换机 会提取用户的认证信息,然后通过标准的 RADIUS 协议发送到 RADIUS 服务器。
A. 正确
B. 错误
答案: B
95. 下列哪些选项对 802.1X 接入流程的描述是正确的?
A. 整个认证过程终端通过 EAP 报文与服务器交互信息。
B. 端与 802.1X 交换机进行 EAP 报文交互,802.1X 交换机与服务器使用 Radius 报文交互信息
C.802.1x 认证不需要进行安全策略检查。
D. 使用 MD5 算法对信息进行校验
答案: BD
207. 在 EAP 终结方式下,接入设备向 RADIUS 服务器发送的 Access- Request 中会携带以下哪些 atturibute ?
A.CHAP-Challenge
B.CHAP-Password
C.Message-Authenticator
D.EAP-Message
答案:CD
306. 认证终端通过以下哪一种 EAP 报文向接入认证设备发送认证的账号
A.EAP-Request/Identity
B.EAP-Request/Challenge
C.EAP-Response/Challenge
D.EAP-Response/Identity
答案:D
13. 在 EAP 终结方式下,接入设备向 RADIUS 服务器发送的 Access-Request 中将会携带以下哪一种 attribute?
A.Filter-ID
B.CHAP-Challenge
C. EAP-Message
D.User-Password
答案:D(选C,答案错误)
315. Agile Controller-Campus 准入控制技术框架中,关于 RADIUS 的描述,以下哪一项是正确的?
A.EAP 用于在 客户端和 802.1x 交换机之间 传递用户名、密码等信息
B.EAP 用于在 802,1x 交换机与 AAA 服务器之间传递用户名、密码等信息
C.RADIUS 用于服务器向 SACG 设备下发安全策略
D.RADIUS 用于 Portal 服务器向用户推送 Web 页面
答案:A
  307. 针对 IP 电话、打印机等哑终端,推荐使用以下哪一项的认证方式
A.Portal 认证
B.MAC 认证
C.本地认证
D.MAC 旁路认证
答案:B
209. 以下哪些项中的报文可以触发 MAC 地址认证?
A. DLDP
B.ARP
C.ND
D.GVRP
答案:ABCD 
62. 以下哪—项中的报文类型无法触发 MAC 地址认证
A.ICMP
B.GVRP
C.DHCP
D.ARP
答案:A
 
223. 下列选项中,哪种报文不能够触发 MAC 认证?
A.ARP 报文
B.DHCP 报文
C.DHCPv6 报文
D.ICMP 报文
答案:D
54. 关于 MAC 认证和 MAC 旁路认证,下列哪些描述是正确的?
A. 两者最大的区别是 MAC 旁路认证属于 802.1X 认证,MAC 认证不属于 802.1X 认证。
B. 如果一个网口既可能连接终端 (打印机、IP 电话) ,又可能连接便携机 , 请使用 MAC 旁路认证 , 优先尝试 802.1x 认证 , 认证失败再尝试 MAC 认证
C. 如果一个网口只会连接哑终端 ( 打印机、 IP 电话 ) , 请使用 MAC 认证 , 以便缩短认证时间
D. MAC 认证比 MAC 旁路认证多一个 802.1x 认证环节 , 故时间要比 MAC 旁路认证时间长。
答案: ABC
83. 关于 MAC 认证和 MAC 旁路认证 . 以下哪些项的描述是正确的
A. 如果一个网口既可能连接哑终端(打印机、 IP 电话),又可能连接便携机,请使用 MAC 旁路认证,优先尝试 802.1x 认证,认证失败再尝试 MAc 认证
B.MAC 认证比 MAC 旁路认证多一个 802.1x 认证环节,故时间要比 MAC 旁路认证时间长
C. 如果一个网口只会连接哑终以端(打印机、 IP 电话),请使用 MAC 旁路认证,以便缩短认证时间
D. 两者最大的区别是 MAC 旁路认证属于 802.1X 认证 . MAC 认证不属于 802.1X 认证
答案: AD
132. 下列哪些选项对于 MAC 认证和 MAC 旁路认证的描述是正确的?
A.MAC 认证是一种基于接口和 MAC 地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件
B.MAC 旁路认证先对接入认证的设备进行 802.1X 认证,如果设备对于 802.1X 认证无响应,再采用 MAC 认证的方式认证设备的合法性。
C.MAC 认证过程中,需要用户手动输入用户名或者密码
D.MAC 旁路认证过程中并不以 MAC 地址作为用户名和密码自动接入网络。
答案: AB
246. 下列配置是在 A B 两台准入控制设备上配置认证命令,对于下列配置命令的分析,哪些是正确的?
[A]dot1x enable
[A]interface GigabitEthernet 1/0/1
[A-Gigatithemet/0/1]dot1x enable
[A-Gigatithemet/0/1]dot1x mac-bypass
[A]mac-authen
[B]Ggabitethemet 1/0/1
[B-GigabitEthernet 1/0/1]mac-authen
A.A 设备上配置的是 MAC 旁路认证
B.B 设备上配置的是 MAC 旁路认证。
C.A 设备上的 GE1/0/1 口既可以接入 PC 又可以接入哑终端设备
D.B 设备上的 GE1/0/1 口既可以接入 PC 又可以接入哑终端设备。
答案: AC

通过ACL定义认证后允许访问的资源 P180

11. 为限制用户认证之后的网络访问权限,应在 AC-Campus 的认证授权中配置以下哪一项中的授权结果?

A.ACL
B.VLAN
C.重定向 URL
D.DSCP
答案:A

第五章 SACG 认证技术 p221-265

SACG(Secure Access Control Gateway):适用于大中型园区、网络环境复杂,对网络安全要求适中的场景。防火墙部署在网络数据中心出口或者网络出口位置,认证点少,部署简单。同事提供客户端认证和无客户端认证,方便管理维护。支持逃生通道,保证在业务控制器故障时不影响业务使用。

TSM(Terminal Security Management):终端安全管理B/S架构。

区域概念:

认证前域是指终端主机在通过身份认证之前能够访问的区域,如DNS服务器、 外部认证源、业务控制器(SC)、业务管理器(SM

隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域,如补丁服务器、病毒库服务器
认证后域是指终端用户通过了身份认证和安全认证后能够访问的区域,如ERP系统、财务系统、数据库系统。
身份认证前,终端用户只能访问认证前域的网络资源。身份认证通过但安全检查未通过,终端用户可以访问认证前域和隔离域的网络资源
身份认证和安全检查均通过,终端用户可以访问认证前域和认证后域的网络资源。
如果终端用户使用 Web 客户端认证,则只进行身份认证,不进行安全检查。
SACG 部署方式
直路部署:指将防火墙串接在网络中,采用直路模式部署,可以同时使用 SACG和其他安全功能。同时使用防火墙的安全防护和SACG接入控制功能;不支持逃生通道,SC故障时业务中断,可靠性低。
旁挂部署:指将防火墙挂接在原有网络中的核心交换机或路由器上,实现SACG联动功能的组网模式。旁挂模式可以在不影响用户原有组网,不需割接的前提下完成部署。不改变当前网络,但需要额外的防火墙作为认证控制设备; 支持逃生通道,SC故障时保证业务不中断,可靠性高。
旁挂模式SACG联动只有终端用户发起的流量才会经过防火墙,而服务器返回终端用户的流量无需经过防火墙。对于防火墙来说属于流量来回路径不一致场景,此时需要关闭会话状态检测功能
SACG 分类
硬件SACG :防火墙作为硬件 SACG,对用户接入网络进行身份认证和安全检查。
软件SACG :软件安全接入控制网关。要使用软件 SACG实施终端主机的接入控制功能,终端用户必须通过 AnyOffice接入网络,不支持通过其他客户端接入网络。
软件 SACG 即软件安全接入控制网关,是为了解决硬件 SACG成本高而提出来的,通过软件模拟硬件SACG控制终端主机接入网络的功能,安装、配置和维护简单。适应大、中、小三种网络,终端主机相对集中或者集中分散若干个不同地区的场合,内部员工、临时雇员、访客、合作伙伴和远程用户VPN接入等权限不同的场合,以及操作和维护工作投入有限的场合。终端用户必须通过AnyOffice接入网络,不支持通过其他客户端接入网络。要使用软件 SACG 控制终端主机接入受控网络,必须先启用软件 SACG
97. 关于硬件 SACG 认证的部署场景,以下哪些项的描述是错误的
A.SACG 一般来用双机直挂方式部署,安全性比单机旁挂更高
B.SACG 认证一般用于稳定的网络进行无线准入控制的场复中
C.SACG 认证一般用于稳定的网络进行有线准入控制的场景中
D.SACG 本质上是通过 802.1x 技术对接入用户进行控制
答案: ABD
33. 关于硬件 SACG 认证的部署场景,以下哪些描述是正确的?
A.SACG 认证一般用于稳定的网络进行有线准入控制的场最中。
B.SACG 认证一股用于新建网络进行无线准入控制的场晨中
C.SACG 一般采用旁挂方式部署,不改变原有网络拓扑结构。
D.SACG 本质上是通过 802.1X 技术对接入用户进行控制。
答案: AC
175. Agile Controller-Campus 解决方案中,通常采用哪种设备作为硬件 SACG
A. 路由器
B. 交换机
C. 防火墙
D.IPS
答案: C
192. 关于软件 SACG 和硬件 SACG 的描述,以下哪个是正确的?
A. 硬件 SACG 使用 AnyOffice 进行准入控制
B.软件 SACG 使用 AnyOffice 进行准入控制
C. 硬件 SACG 比钦件 SACG 节省成本
D. 硬件 SACG 的安全性更高
答案: B
104. 在 SACG 联动方案中,用户需自行在防火墙上创建用户认证通过之后的对应安全策略
A.正确
B.错误
答案:B

62. 旁挂模式 SACG 联动的场景中。只有终端用户发起的流量才会经过防火墙,而服务器返回终端用户的流量无需经过防火墙,对于防火墙来说属于流量来回路径不一致场景,此时需要关闭会话状态检测功能

A. 正确
B. 错误
答案: A
213. SACG 联动方案中 , 安全访问限制的业务服务器应部署在以下哪一项中的域 ?
A. 认证域
B. 用户域
C. 隔离域
D. 认证后域
答案: D
93. SACG 联动方案中,当终端用户使用 Portal 认证进行网络接入认证时,在未进行认证时,该用户可以访问以下哪一项中的域
A. 认证后域
B. 隔离域
C. 用户域
D. 认证前域
答案: D
70. SACG 联动方案中,以下哪些服务器应归属于认证前域
A.DHCP 服务器
B. 第三方 Portal 服务器
C. 补丁服务器
D.DNS 服务器
答案: ABD
9. SACG 联动方案中,以下哪些服务器应归属于隔离域
A. 病毒库更新服务器
B. 补丁服务器
C. 业务系统服务器
D. 第三方 Portal 服务器
答案: AB
08. 关于认证后域作用,以下哪一项的描述是正确的
A. 无论是否通过认证,终端用户部可以访问认证后域
B. 认证后域是指路端用户通过了身份认证和安全认证后能够访问的区域,如 ERP 系统、财务系统、数据库系统所在的区域
C. 认证后域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域,如补丁服务器、病毒库服务器所在的区域
D. 认证后域是指终端主机在通过身份认证之前能够访问的区域,如 DNS 服务器、外部认证源、业务控制器 (SC) 、业务管理器 (SM) 所在的区域
答案: B
1. 下列哪个选项对隔离域作用描述是正确的?
A. 隔离域是指终端主机在通过身份认证之前能够访问的区域,如 DNS 服务器、外部认证源、业务控制器 (SC)- 业务管理器 (SM) 所在的区域
B. 隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域,如补丁服务器、病违库服务器所在的区域。
C. 隔离域是指终端用户通过了身份认证和安全认证后能够访问的区域,如 ERP 系统、财务系统、数据库系统所在的区域。
D. 无论是否通过身份认证,终端用户都可以访问隔离域
答案: B
191. 关于 SACG 设备接入网络的方式,下列哪些选项的描述是正确的?
A.SACG 设备要求与终端二层互通
B.SACG 通常旁挂在核心交换机设备上,采用策略路由方式引
C.SACG 支持旁挂在非华为的设备上
D.SACG 设备要求与 Agile Controller-Campus 二层互通。
答案: BC
187. 对于硬件 SACG 接入控制,如果终端没有通过认证就可以访问认证后域资源,此现象可能是以下哪些原因导致的?
A.认证数据流经过了 SACG 过滤.
B.TSM 系统中未添动加硬件 SACG 设备:
C.SACG 开启默认域间包过滤.
D.误配置了特权 IP
答案:CD(包+特权)
300. 某企业网络管理人员部署 Agile Controller-campus SACG 之后,身份认证成功但是不能访问认证后域,此现象可能是以下哪些原因导致的?
A. 出现严重违规,就会禁止访问认证后域
B. 认证后域的访问控制列表设有下发到 SACG
C.ACL 规则下发数量多,需要大重时间匹配,造成访问业务中断
D.Agile Controller-Campus 上配置了错误的认证后域资源
答案: ABD
5、 某企业网络管理人员部署 Agile Controller-Campus SACG 之后,身份认证成功但是不能访问认证后域,此现象可能是以下哪些原因导致的?
A.出现严重违规,就会禁止访问认证后域。
B. Agile Controller-Campus 上配置了错误的认证后域资源。
C. ACL 规则下发数量多 , 需要大量时间匹配 , 造成访问业务中断。
D.用户流量不经过 SACG
答案: ABD
79. 在使用硬件 SACG 进行认证时,在 SACG 上配置完成后,可以看到 SACG Agile Controller-Campus 联动成功,但用户认证失败,此现象可能是以下哪些原因导致的?
A. 用户流量没有经过 SACG
B.SACG 上没有放行用户流量。
C.SACG 上没有关闭状态检测。
D.Agile controller-Campus 上与 SACG 联动的密钥配置错误
答案:ABC
35. 某企业采用硬件 SACG 接入方式进行准入控制,配置命令如下,其中 Key: Admin@123
[USG]right-manager server-group
[USG-rightm]local ip 10.1.10.2
[USG-rightm]server ip 10.1.31.78 shared-key Admin@123
[USG2100-rightm]right-manager server-group enable
假设其他配置均正确,仅根据以上配置,下列选项哪个说法是正确的 ?
A. 完成配置后 , SACG 可以和 Agile Controller-Campus 联动成功。
B. 完成配置后 , SACG 不能与 Agile Controller-Campus 联动成功
C. 能下发认证前域 ACL
D. 联动不能成功但是终端可以访问认证前域服务器
答案: B
264. 采用硬件 SACG 接入控制,在硬件 SACG 上查看会话表结果如下 下列说法哪些是正确的?
dislay firewall session table verbose:
tcp VPN:public-public
Zone:untrust-trust TTL:00:10:00 Left 00:05:27
Interface:GigabitEthernet0/0/1 NextHop:192.168.200.11 MAC: 00-0c-29-d4-47-d2
<-packets:316 bytes:9516 ->packets:33 bytes:17277
( 192.168.0.119:1574->192.168.200.11:15080
Tcp VPN:public-public
Zone:untrust-trust TTL:00:10:00 Left 00:02:20.
Interface: GigabitEthernet0/0/1 NextHop:192.168.100.1 MAC 00-0c-29-a4-37-c2
<-packets:31bytes:9516 ->packets:336 bytes:17277
192 .168.0.119:1671->192.168.100.1:8443
A.192.168.100.1 一定是 Aglie Controllers-Campus 的管理器 IP 地址
B.如果 192.168.200.11 是认证后域的服务器,那么 IP 地址为 192.168.0.119 的终端在没有通过认证的情况下,也有可能访问该服务器
C.192.168.100.1 一定是 Aglie Controllers-Campus 的控制器 IP 地址
D.如果在 6 分钟之内该会话 192.168.0.119:1574->192.168.200.11:15080 没有被刷新,IP 地址为 192.168.0.119 设备如果想要与地址为 192.168,200,11 设备通信,必须重新建立会话
答案:ABD
241. 关于 SACG 设备与 TSM 系统联动使用的 ACL 的描述,下列哪个说法是正确的?
A. 缺省 ACL 规则阻号可以任意指定。
B. 缺省 ACL 规则组号只能是 3990
C. 由于 SACG 需要使用 ACL3099-3999,TSM 系统下发的规则,所以在配置 TSM 联动之前,需要首先保证这些 ACL 不被其他功能引用
D. 原组号为 3099-3999 ACL 即使被占用,也能成功启用 TSM 联动。
答案: C
146. 下列哪个选项关于 SACG 上线流程的描述是错误的?
A. 终端和 Agile Controller-Campus 服务器通信采用 SSL 加密
B. 认证失败,终端用户只能访问认证前域的资源
C.安全检查通过,Agile Controller-Campus 服务器通知 SACG 将终端用户的 IP 地址切换至隔离域
D.Agile Controller-Campus 服务器给 SACG 的消息中携带域参数
答案: C
94. 以下哪一项关于 SACG 上线流程的描述是错误的
A. 安全检查通过, Agile Controller--Campus 服务器通知 SACG 将端用户的 IP 地址切换至隔离域
B.Agile Controller--Campus 服务器給 SACG 的消息中携带域参数
C. 身份认证通过但安全检查未通过,终端用户只能访问认证前域的资源
D. 终端和 Agile Controller--Campus 服务器通信采用 SSL 加密
答案: A
266. SACG 双机直挂认证的场景中,只有终端用户发起的流量才会经过防火墙,而服务器返回终端用户的流量无需经过防火墙。对于防火墙来说属于流量来回路径不一致场景,此时需要关闭会话状态检测功能
A. 正确
B. 错误
答案: B
157. 终端主机接入控制功能不生效,以下是在 SACG 上的查看信息:
display right-manager role-id rule
Advanced ACL 3099 5 rules not bingding with -instance
Ad's step is 1
Rule 1000 permit ip(1280 times matched
Rule 1001 permit ip destination 172.18.11.221 0(581 times matched
Rule 1002 permit ip destination 172.18.11.223 0(77 times matched
Rule 1003 permit ip destination 172.19.0.0 0.0.255.255(355 times matched
Rule 1004 deny ip(507759 times matched
以下哪个说法是正确的?
A.172.18.11.221 是隔离域域的服务器
B. 开启了逃生通道
C.172.18.11.223 是后域服务器
D. 终端主机流量被默认的 ACL 阻断了。
答案: B

第六章  Portal 认证技术 p266-325

Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。

认证方式:二层认证、三层认证。

二层认证:客户端与接入设备直连(或之间只有二层设备存在),设备能够学习到用户的 MAC 地址并可以利用 IP MAC 地址来识别用户,此时可配置 Portal认证为二层认证方式。
三层认证:当设备部署在汇聚层或核心层时,在认证客户端和设备之间存在三层转发设备,此时设备不一定能获取到认证客户端的 MAC 地址,所以将以 IP地址唯一标识用户,此时需要将 Portal 认证配置为三层认证方式。

208. 不同组网方式下,可采用的认证方式不同,以下哪项是华为设备支持的 Portal认证方式:

A. 五元组认证
B. 三层认证
C. 二层认证
D. 三元组认证
答案: BC
18.Portal 的二层认证方式是指客户端与接入设备直连 ( 或之间只有二层设备存在 ) ,设备能够学习到用户的 MAC 地并可以利用 IP MAC 地址来识别用户。
A. 正确
B. 错误
答案: A
38. 在认证客户端和准入控制设备之间存在三层转发设备,比如如果采用 Portal 认证的三层认证方式,设备也能获取到认证客户端的 MAC 地址,所以可以同时以 IP 地址和 MAC 地址作为标识用户的信息。
A. 正确
B. 错误
答案: B
7、 在认证客户端和准入控制设备之间存在三层转发设备,此时应采用 Portal 认证的三层认证方式,将用户的 IP地址作为标识用户的信息。
A. 正确
B. 错误
答案: A
06. Portal 认证的三层认证方式是指当设备部署在汇聚层或核心层时,在认证客户端和设备之间存在三层转发设备,此时设备不一定能获取到认证客户端的 MAC地址,所以将以 IP 地址唯一标识用户此时需要将Portal 认证配置为三层认证方式
A. 正确
B. 错误
答案: A
用户在Portal认证页面输入用户名和密码,向Portal服务器发起认证请求。Portal服务器与接入设备之间进行CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)认证交互。
317.用户在 Portal 认证页面输入的账号、密码,Portal 服务器会直接与 RADIUS 服务器进行通信,验证该账号是否可以认证通过
A.正确
B.错误
答案:B
HTTP报文经过接入设备时,对于访问Portal服务器或设定的免认证网络资源的 HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其URL地址重定向到Portal认证页面。
120. 采用本地访客账号认证时,通常使用 Portal 认证的方式向访客推送认证页面。用户认证前,当准入控制设备收到用户发送的 HTTP 请求的资源不是 Portal 服务器认证 URL 时,准入控制设备如何处理?
A. 丢弃报文
B.URL 地址重定向到 Portal 认证页面
C. 直接放行
D.: 发送认证信息到认证服务器
答案: B
198. 采用本地访客账号认证时,通常使用 Portal 认证的方式向访客推送认证页面。用户认证前,当准入控制设备收到用户发送的 HTTP 请求的资源不是 Portal 服务器认证 URL 时,准入控制设备将采用以下哪一项操作?
A. 发送认证信息到认证服务器
B. 获取 AC 地址作为用户账号进行认证
C. 丢弃报文
D.URL 地址重定向到 Portal 认证页
答案: D
295. 实现 Portal 认证,接入认证设备需执行 TCP 握手,与认证客户端进行 TCP 三次握手,之后进行 HTTP 重定向推送 Portal 认证页面(三次错误
A. 正确
B. 错误
答案: B
Portal认证系统组成: 
客户端:安装有运行 HTTP 协议的浏览器的主机。
接入设备:交换机、路由器等接入设备的统称,主要有三方面的作用:
在认证之前,将认证网段内用户的所有 HTTP请求都重定向到 Portal服务器
在认证过程中,与 Portal 服务器、 RADIUS服务器交互,完成对用户身份认证、授权与计费的功能。
在认证通过后,允许用户访问被管理员授权的互联网资源。
Portal 服务器:接收客户端认证请求的服务器系统,提供免费门户服务和认证界面,与接入设备交互客户端的认证信息。 AC-Campus的业务控制器集成了Portal 服务器的功能。
RADIUS 服务器:与接入设备进行交互,完成对用户的认证、授权与计费。AC-Campus 的业务控制器集成了 RADIUS服务器的功能。
Auth 服务器:当终端用户通过 Web Agent 或者 AnyOffice 发起 Portal认证时,会先连接到 Auth 服务器进行认证,认证通过后, Auth 服务器再向 Portal服务器发起 Portal 认证请求。如果终端用户通过 Web 浏览器发起 Portal认证,则不涉及Auth 服务器。
125. 下列哪个选项对于 Portal 认证系统中各角色的作用描述是正确的?
A.客户端就是 Any Office 钦件。
B. Portal 服务器的作用是接收客户端认证请求,提供免费门户服务和认证界面,与接入设备交互客户端的认证信息。
C.RADIUS 服务器的作用是将认证网段内用户的所有 HTTP 请求都重定向到 Portal 服务器。
D.准入控制设备的作用是完成对用户的认证、授权与计费。
答案:B
5、以下哪一项对于 Portal 认证系统中各角色作用的描述是正确的?
A.准入控制设备的作用是完成对用户的认证、授权与计费。
B.Portal 服务器将用户输入的用户名和密码封装成认证请求报文发往 Radius 设备。
C.接入设备的作用是将认证网段内用户的所有 HTTP 请求都重定向到 Portal 服务器。
D. Portal 服务器的作用是接收客户端认证请求,提供免费门户服务和认证界面,与 Radius 服务器交互客户端的认证信息.

答案:D

296. 列哪个选项关于 Portal 认证流程的描述是正确的?
A.Portal 认证流程只用在 Web 认证中
B.服务器针对一个终端的 Portal 认证只会给一个 Portal 设备发送认证消息
C.交换机收到 Portal 上线消息,会给 Radius 服务器发送 Radius 认证请求
D.Portal认证消息中不会携带安全检查的结果
答案:C
232. 以下哪一项关于 Portal 认证流程的描述是正确的?
A.Portal 认证流程只用在 Web 认证中
B.Portal 服务器将用户输入的用户名和密码封装成认证请求报文发往接入设备
C. 服务针对一个终端的 Portal 认证只会给一个 Portal 设备发送认证消息
D.Portal 认证消息中不会携带安全检查的结果
答案: B
312. 某网络采用 Portal 认证,用户在接入时发现推送的 Web 页面中没有输入用户名/密码的地方。此故障可能是以下哪一项的原因导致的
A.准入控制设备配置了错误的 Portal 地址
B.Aigile Controller-Campus 上没有对应的用户
C.Agile Controller-Campus 配置的准送页面错误
D.Porta 服务器上的推送页面错误

答案:C(应该选D)

135. 某网络采用 Portal 认证,用户在接入时发现推送的 Web 页面中没有输入用户名/密码的地方。此故障可能是以下哪个原因导致的?
A.Agile Controller-Campus 上没有对应的用户。
B.交换机 AAA 配置错误。
C.交换机没有开启 Portal 使能。
D .Portal 服务器上的推送页面错误
答案:D
Portal服务器向接入设备发送认证应答确认(AFF_ACK_AUTH)P274
314. Portal 服务器通过以下哪一种报文向认证设备确认己收到认证成功?
A.REQ INFO
B.REQ AUTH
C.ACK LOGOUT
D.AFF ACK AUTH
答案: D
212. Portal 认证过程中 , 使用以下哪一 种报文类型向 Portal 服务器告知用户账号认证成功 ?
A.Access-Request
B.ACK INFO
C.ACKAUTH
D.Access-Accept
答案: C
(手机题库)以下哪些选项中的Portal报文由Portal服务器发送给认证设备(多选)
A.REQ LOGOUT
B.REQ AUTH
C.ACK LOGOUT
D.ACK AUTH
答案:AD
292. Portal 认证过程中,使用以下哪 种报文类型向 RADIUS 服务器进行认证 ?
A.Access-Request
B.REQ_AUTH
C.REQ_Challenge
D.REQ_INFO
答案: A
233. Portal 服务器使用 Portal REQ-INFO 报文向认证设备推送用户的账号名、 Challenge 值,之后认证设备向 RADIUS 服务器发起账号认证流程。
A. 正确
B.错误
答案:B
173. Portal 认证时,通过 Web 浏览器输入帐号密码认证后,提示 正在认证 …”,状态持续很长时间,然后才显示认证成功。造成这种现象可能是以下哪个原因导致的?
A. 多台 Agile Controller 服务器同时将同一个终端 IP 地址加入了 Portal“接入终端 IP 地址列表 其中的某些 Agile Controller 服务器和终端不能正常通信。
B.Portal 模板配置了错误的密码。
C.Agile Controller-campus 上授权规则太多,需要大量时间查找 .
D. 终端设备的带宽不足,导致延时比较大。
答案: A

 

 282. 在园区中,用户由于办公需求,频繁进入、离开无线信号覆盖区域,如果需要保障用户的上网体验,用户通过一次认证后,当再次接入网络时,不需要重复认证,则建议采用以下那种认证方式?

A.MAC 认证
B.802.1x 认证
C.Portal 认证
D.MAC 优先的 Portal 认证
答案:D
4. 在园区中,用户由于办公需求,频繁进入、离开无线信号覆盖区域,如果需要保障用户的上网体验,用户通过一次认证后,当再次接入网络时,不需要重复认证,则建议采用以下哪一项的认证方式
A.MAC 旁路认证
B.MAC 优先的 Portal 认证
C.MAC 认证
D.Portal 认证
答案:B
2. 下列哪个选项属于 MAC 优先的 Portal 认证应用场景?
A.用户使用 Portal 页面进行认证
B.用户关注微信进行认证
C.用户使用 NAC 客户端进行认证。
D.用户使用 Portal 首次认证时,RADIUS 服务器缓存终端使用的 MAC 地址,如果终端在缓存的有效期内掉线后重新上线,RADIUS 服务器直接在缓存中查找终端的 MAC 地址进行认证。
答案:D
234. 在 M AC 优先的 Portal 认证模式下,当用户再次接入网络时,以下哪些项的描述是正确的?
A. 接入认证设备将会优先进行 MAC 认证,若 MAC 认证失败则再次进行 Portal  认证
B. 接入认证设备将会优先进行 MAC 认证,若 MAC 认证失败则直接判定该用户认证失败
C. 接入设备会优先进行 MAC 认证
D.RADIUS 服务器上该 MAC 账户依旧存在时, MAC 认证将会成功
答案: CD
AC-Campus作为RADIUS服务器时认证和计费端口固定为18121813.
310. Agile Controller-Campus 作为 RADIUS 服务器进行认证时,在准入控制设备上需要配置计费的端口号是以下哪一项
A.8080
B.1812
C.8443
D.1813
答案: D
149. Agile Controller-Campus 作为 RADIUS 服务器进行认证时,在准入控制设备上需要配置认证的端口是多少?
A.1812
B.1813
C.8443
D.8080
答案: A
AC-Campus 的授权规则中,授权条件:SSID、账号、MAC。
不可以作为授权条件的:用户密码、用户组、认证方式、接入方式。
194. 在 AC-Campus 的授权规则中,以下哪些选项不可以作为授权条件?
A.账号
B.用户密码
C.SSID
D.认证方式
答案:BD
215. 在 AC-Campus 的授权规则中,授权条件不包括以下哪一项?
A.、SSID
B.用户组
C.账号
D.MAC
答案:B
216. 在 AC-Campus 的授权规则中,以下哪些选项可以作为授权规则的匹配条件?
A.SSID
B.接入设备组
C.账号
D.用户组
答案:AC
289. AC-Campus 的授权规则中不支持以下哪一项业务类型?
A.用户业务
B.接入业务
C.设备管理业务
D.MAC 旁路认证业务
答案:C
177. 下列哪个选项对于 Portal 网关接入流程的说法是正确的?
A.Portal 网关发起 Radius Challenge 请求报文,包含用户名、密码信息
B. 服务器给接入网关下发的 ACL 是通过 Portal 协议报文携带的
C. 在进行身份认证的同时下发策略
D.Portal服务器需要把安全检查结果传递给接入网关设备
答案: D
250. 关于 Portal 认证架构中各角色的作用,下列哪些选项的描述是正确的?
A.AAA 服务器保存用户名密码等信息,用于对接入用户的认证。
B.Web 服务器保存用户名密码等信息,用于对接入用户的认证
C.AAA 服务器用于向用户推送 Portal 认证页面。
D.Web 服务器用于向用户推送 Portal 认证页面。
答案: AC
210. 用户接入 Portal 认证架构包括四个关键组件,终端设备、 网络准入设备、认证服务器和 Portal 服务器 .
A. 正确
B. 错误
答案: A

第七章  访客管理技术  p326-371

访客管理流程页面定制、账号申请(注册、审批、分发)、用户认证、审计及注销
254. 访客管理流程包括页面定制、账号申请、用户认证、审计及注销,其中当用户申请账号成功后,需要将账号分发给用户,则账号的分发属于哪个阶段?
A. 页面定制阶殷
B.账号申请阶段
C. 用户认证阶段
D. 审计及注销阶段
答案: B
可根据时间、地点、终端类型对访客推送个性化页面。
43. 访客管理可以根据访客账号、时间、地点、终端类型、接入方式等对访客进行授权,也可根据时间、地点、终端类型对访客推送个性化页面。
A.正确
B.错误
答案:A
创建访客策略
帐号创建方式包括:单个创建、批量创建和自注册。
帐号名生成策略包括:帐号、手机号、邮箱、Passcode等。
44. 下列哪些选项对于访客管理的描述是正确的?
A.访客注册账号可以配置免审批
B.访客登陆只能配置成 Web 网页的方式
C.访客认证页面不能进行匿名账号认证
D.访客账号审批信息可以通过短信通知访客
答案:AD
75. 以下哪些项对于访客管理的描述是正确的
A.访客认证页面不能进行匿名账号认证
B.访客账号审批信息可以通过短信通知访客
C.访客登陆可以通过 Web 和 WebAgent 方式认证
D.访客注册账号可以配置免审批
答案:BCD
55. 访客管理是 Agile Controller-Campus 的重要功能,关于访客管理,以下哪些说法是正确的?
A.访客可以使用手机号快速注册账号
B.管理员能够为每一个访客分配不同的权限
C.接待员工不可以创建访客账号
D.访客账号出现违规,管理员不能进行追溯
答案:AB
61. 使用 Agile Controller-Campus 进行访客管理,用户可以通过多种方式获取申请的账号,但不包括以下哪种方式
A.短信
B.微信公众号
C.E-mail
D.Web 打印
答案:B
153. 使用 Agile Controller-Campus 进行访客管理,用户可以通过多种方式获取申请的账号,但不包括下列哪种方式?
A.短信
B.E-mail
C.Web 打印
D.语音信箱
答案:D
170. 访客可以通过自己注册的账号接入网络,以下哪项不是账号的审批方式
A. 免审批
B. 管理员审批
C. 接待人审批
D.访客自审批
答案: D
176. 当访客需要通过账号接入网络时,可以通过下列哪些方式接入?
A. 创建新账号
B. 使用已有的社交媒体账号
C. 免认证,无需账号
D. 扫描公共二维码
答案: ABCD
155. 为方便访客使用,可以为不同访客推送不同的认证和注册页面。在配置推送页面策略时需要限定不同的匹配条件,则下列哪些选项可以作为限定的匹配条件?
A.终端的 IP 地址
B.接入设备的位置信息
C. 访客账号的优先级
D. 接入网络的 SSID
答案: AB

第八章  敏捷网络技术 p372-399 业务随行

传统准入控制接入方式:园区网中,员工区域采用 802.1XPortal或者 SACG方式接入,访客区域采用 Portal 方式接入,哑终端采用 MAC 认证方式接入。
接入方式从技术上可以分为: 802.1X 接入, Portal 接入, SACG 接入以及 MAC接入等;从物理连接上可分为:有线接入,无线接入和 VPN 接入
传统访问权限控制策略通过 ACL 或者 VLAN 实现,无法与 IP 地址解耦,在IP地址变化时维护工作量大。敏捷网络能够实现策业务行因为引入了安全组的概念,可实现与 IP 地址的解耦。
交换机、防火墙匹配逻辑上的一个虚拟组(安全组),再根据安全组去匹配业务策略。业务随行让业务策略与 IP 地址解耦,这意味着管理员无需关注网络拓扑和 VLAN、主机IP地址分配规则。不管用户和终端设备从园区的哪里接入,都可以保证权限、体验得到一致保证。
14. 传统访问权限控制策略通过 ACL 或者 VLAN 实现 , 无法与 IP 地址解耦 , IP 地址变化时维护工作量大。而敏捷网络因为引入了安全组的概念 , 可实现与 IP 地址的解耦
A. 正确
B. 错误
答案: A
193. 以下哪些项中的安全组是特殊安全组?
A. unknown  安全组
B.动态安全组
C. 逃生安全组
D.静态安全组
答案: BD
90. 当园区中的外来访客使用访客账号接入园区网络时, AC-Campus 可以对该访客账号授权以下哪些信息
A.安全组
B. 访客账号有效期限
C. VLAN
D.ACL
答案: ACD
传统园区网是基于IP为核心的网络,在部署的时候会提前规划IP地址和VLAN等信息,并且根据业务情况提前规划好业务部署方案,由于策略配置分布于不同的设备上,因地域的不同,设备配置也不一样。如果存在移动办公的用户,对移动办公的用户部署接入认证存在以下问题:访问控制策略部署工作量大、访问权限难控制、用户体验不一致
179. 传统园区网是基于 IP 为核心的网络,如果存在移动办公用户,则下列哪个选项不是移动办公用户部署接入认证时所面临的问题?
A.用户分布范围大,准入控制要求高。
B. 访问控制策略部署工作量大。
C. 访问权限难控制。
D. 用户体验不一致
答案: A
86. 传统园区网是基于 IP 为核心的网络,如果存在移动办公用户,则以下哪一项不是移动办公用户部署接入认证时所面临的问题
A. 用户体验不一致
B. 访问权限难控制
C.分支机构多,用户数量大
D. 访问控制策路部暑工作量大
答案: C
业务随 行准入控制逻辑架构业务管理平面(管理员、认证服务器、策略服务器)、网络设备平面(认证点、策略执行点)、用户平面(用户终端、静态资源)。     
业务随性部署:1、定义安全组2、定义并部署组策略3、系统自动运行。
39. 对于业务随行逻辑架构的描述,以下哪个选项是正确的?
A. 业务管理平面关注的点包括管理员、认证服务器和策略服务器
B. 网络设备平面关注的点包括用户络端知静态资源。
C. 用户平面关注的点包括认证点和策略执行点。
D. 业务随行逻辑架构包括管理子系统、认证授权子系统和业务策略子系统。
答案: A
2. 业务随行部署主要包括哪三个步骤?
A.定义安全组
B.定义并部署组策略
C.系统自动运行
D. 系统上报安全组
E. 定义用户组
答案: ABC
交换机、防火墙匹配逻辑上的一个虚拟组(安全组),再根据安全组去匹配业务策略。业务随行让业务策略与 IP 地址解耦,这意味着管理员无需关注网络拓扑和 VLAN、主机IP地址分配规则。不管用户和终端设备从园区的哪里接入,都可以保证权限、体验得到一致保证
园区接入随行主要实现如下需求:(1)、用户无论在园区何处、通过何种方式接入,认证通过后访问权限不变。普通用户和VIP用户都允许访问邮件服务器;VIP用户还允许访问Internet,但工作无关应用禁止访问。(2)用户无论在园区何处、通过何种方式接入,认证通过后的接入带宽不变,在出口防火墙给予VIP用户访问邮件服务器 最小带宽保障,同时提供 高转发优先级
162. VIP 体验保障,主要从哪两个方面来保障 VIP 用户的体验?
A.带宽
B.转发优先级
C. 权限
D. 策略
答案: AB
96. 业务随行是指用户采用任意终端、随时随地接入网络,权限和体验不受接入终端和时间地点的影响。
A.TRUE
B.FALSE
答案: A
6. 下列哪个选项不是业务随行支持的场景
A. 内网用户访问数据中心。
B. 出差用户访问内网资源时 , 出差用户通过 VPN 接入内网。
C. 团队协作办公。
D. 实现设备之间相互通信
答案: D
197. 业务随行可以保障以下哪些方面接入网络的体验一致?
A.不同终端类型
B. 同一用户不同账号
C.不同地点
D.不同时间
答案: ACD
257. 业务随行是一种持殊的注入控制方式,根据用户的接入地点、接入时间、接入方式和使用终端授予指定权限,只要用户的接入条件不变,接入网络后的权限和网络体验一致。
A. 正确
B. 错误
答案: A
​​​​​​108. 业务随行是一种特殊的准入控制方式,推出动态安全组和静态安全组功能,用户接入时根据授权动态安全组。网络资源通过 IP、协议和端口绑定到静态安全组
A. 正确
B. 错误
答案: A
91. 在业务随行方案中,用户的策略执行点与认证点一定为同一台设备
A. 正确
B. 错误
答案: B
76. 业务随行是一种特殊的准入控制方式,根据用户的接入地点、接入时间、接入方式和使用终端授予指定权限,其中从物理连接上可将接入方式划分为 3 类, 不包括下列哪种接入方式?
A. 有线接入
B. 无线接入
C.VPN 接入
D.802.1x 接入
答案: D
281. 如果部署业务随行,在策略随行逻辑架构中,以下哪个选项是管理员需要关注的?
A. 策路是不是自动部署
B. 选择合适的策略控制点和用户认证点
C. 策路部署是不是针对单个用户
D. 策略部署是不是针对单个部门
答案: B
288. 在业务随行方案中,策略执行点使用以下哪一项中的信息作为策略执行依据
A.VNI
B.VLAN
C.安全组
D. ACL
答案: C
126. 敏捷网络中,用户在身份认证前,有可能需要访问 DNS、DHCP、Portal 等服务器。当用户访问服务器的流量经过防火墙时,防火墙会向 Agile controller- campus 服务器查询该流量对应的敏捷安全组信息。由于此时该用户尚未通过认证,Agile controller-campus 服务器会告知防火墙该用户属于未知敏捷安全组 (unknown),这样会导致在防火墙刷新用户身份前,该用户的流量均将匹配“未知敏捷安全组”的相关策略。导致用户认证通过后无法立即获得正确的权限,如何解决该问题?
A.在 FW 上关闭状态检测
B.在 FW 上配置 TSM
C.设置安全前域。当未经过认证的用户访问安全前域中的服务器时,FW 直接转发该流量。
D.在 FW 上放行访问服务器的流量。
答案:C
57. 在业务随行解决方案中通过 VXLAN 报文头部携带源用户组信息到其他设备时,使用以下哪—项中的 VXLAN 字段
A.Group ID
B. Souree UCL
C. VNI
D. Source ID
答案:C
58. 当部署业务随行时.以下哪一项不是目的安全组确定资源的方式
A.静态绑定 MAC 地址
B.静态绑定 IP 地址
C.静态绑定端口
D.静态绑定协议
答案:A
222. 下列哪个系列的设备不支持业务随行的功能?
A.S5720HI 系列交换机。
B.AR 系列路由器
C.USG6000 系列防火墙
D.SVN5600 系列
答案: B
261. Agile Controller业务随行功能可以根据业务将流量引导到安全中心处理,提高物理设备利用率(利用率错)
A.正确
B.错误
答案:B
配置思路:1、配置网络互通。2、在核心交换机配置 802.1X Portal 认证,并配置与 AC-Campus 服务器 XMPP对接参数,实现 AC-Campus 通过XMPP协议向核心交换机部署业务随行策略。3、在防火墙配置与 AC-Campus服务器XMPP 对接参数,实现 AC-Campus通过XMPP协议向防火墙部署业务随行策略。4、在 AC-Campus 添加核心交换机和防火墙;配置安全组,用户根据 5W1H动态授权,业务资源静态绑定到安全组;设置访问控制权限和 QoS 策略,全网部署。
268. 为实现业务随行,在 AC-Campus 中纳管设备时需配置 XMPP 参数
A. 正确
B. 错误
答案: A
183. XMPP 协议中有服务器、网关、客户端三种角色。对应到业务随行方案中,AgileController-Campus 作为服务器,华为 USG6000 系列防火墙作为网关,敏捷交换机作为客户端。
A.正确
B.错误
答案:B
299. 在交换机上使用命令查看业务随行部署状态,命令如下
display group-policy status
Controller IP address 10.1.31.78 Controller port 5222
Backup controller IP address -
Backup controller port -
Source IP address 10.1.10.34
State working
Connected controller master
Device protocol version 2
Controller protocol version 2
对于如上命令,下列哪项描述是正确的?
A. 控制服务器地址是 10.1.10.34
B. 认证设备地址是 10.1.31.78
C. 状态为"working"表明交换机和 Controller 联动成功
D. 当前的 Controller 服务器为 backup
答案: C

第九章  终端安全管理 p400-459

业务管理器下载补丁的方式有两种
分级式部署时,可通过管理中心下载补丁或者直接通过微软的补丁服务器下载补丁。
非分级式部署时,直接通过微软的补丁服务器下载补丁
26. 业务管理器下载补丁的方式有两种,当采用分级式部署时,可直接通过微软补丁服务器下载补丁;当采用非分级式部署时,可通过管理中心下载补丁或者直接通过微软的补丁服务器下载补丁。
A. 正确
B. 错误
答案: B
公告支持三种分配方式:分配给用户组、分配给账号、分配给终端 IP 地址范围。
121. 管理员通过公告的形式向用户发布通知,例如最新的软件和补丁安装通知等,关于公告下列哪个选项的说法是错误的?
A. 可以按部门下发公告。
B. 终端必须安装了代理客户端才可以接收公告。
C. 如果系统下发公告,代理客户端不在线,则以后上线后也不会收到该公告信息 (还会收到)
D. 可以按账号下发公告。
答案: C
242. 在配置完公告后, Agile Controller-Campus 系统不能把该公告分配给以下哪个对象?
A. 分配给用户
B. 分配给账号
C. 分配给终端 IP 地址范围
D. 分配给场所
答案: D
137. 场所是指终端用户使用 AC-Campus 接入受控网络办公时的终端环境。下列哪个选项关于场所的说明是正确的?
A.不同的场所可以有不同的安全策略
B. 场所和安全性没有什么关系。
C. 在公司内只能有一种场所。
D. 场所和位置没有什么关系。
答案: A
190. 在终端主机接入控制管理比较严格的企业,管理员希望绑定终端主机和帐号从而避免终端用户随意从非授权的终端主机接入受控网络。对于绑定终端主机和账号的描述,下列哪项是正确的?
A.在 AnyOffice 第一次使用某帐号登录时,终端主机,自动绑定当前帐号,但自动绑定过程需要管理员审批
B.其他帐号要在已绑定的终端主机上进行认证时,不需要找第一次绑定的资产麦任人为自己授权
C.绑定终端主机和帐号只适用于终端用户通过 AnyOffice 进行认证的场最,不适用通过 web Agent 插件和 Web 客户端进行认证的场景
D.帐号绑定终端主机的数量只有一台,不能由管理员自行配置
答案:C
策略模板是若干策略的集合。增加策略模板以便管理员将策略模板下发至业务管理器,供业务管理器的管理员用来检查终端主机的安全性和审计终端用户的行为。指派策略模板,以便管理中心的管理员向业务管理器提供策略模板,供业务管理器的管理员使用。支持四种分配形式: 分配给用户组
分配给账号、分配给角色分配给终端 IP地址范围。
52. 策略模板是若干策略的集合,为了审计不同终端主机的安全状况和终端用户的行为,管理员需要定制不同的策略模板用于保护和管理终端主机。关于策略模板,下列哪些选项描述是正确的?
A. 配置策略模板时 , 可以继承父模板 , 并且修改父模板策略。
B.只能使用策略模板中策略, 管理员不能够自定义策略。
C.可以分配策略模板给某个网段。
D.如果不同的策略模板分别应用到部门、账号,则优先级最高者所分配到的策略模板将会生效,部门、账号的优先级关系为:账号>部门。
答案: CD
158. 在配置防病毒软件策略时,如果设置“未安装或未运行要求的防病毒软件违规等级为“一般”,并勾选“出现严重违规则禁止接入网络”选项当用户使用 Anyoffice 认证,认证通过,但是安全检查的结果发现防病毒软件并未开启时,用户能否接入网络?
A.可以接入网路,也能访问网路资源
B.不可以接入网络。
C.可以接入网络,但需要修复后才能访问网络资源。
D.可以接入网络,但需要重新认证才能访问网络资源。
答案:C
252. 下列哪个送项对于安全策略描述是正确的?
A.检查类策略主要用于检查终端的一些静态设置,例如屏保是否设置、防病毒软件是否安装、是否有非法的外联等
B.监控类策略主要用于实时监则系统发生的事件,例如是否安装了防病毒软件、是否使用 PPPOE 拨号接入网路等一旦监测到事件发生,可以采取一些控制。
C.安全检查策略只包括终端主机检查类策略和终端用户行为检查类型策略两类。
D.终端主机安全管理主要由检查类策略实现,终端用户行为管理主要由监控类策略实现。(原话)
答案:AB(应该选D)
172. 安全认证主要通过安全策略实现对接入用户的安全检查,终端主机安全管理主要有检查类策略实现,终端用户行为管理主要由监控类策略实现,如果用户需要根据自己意愿制定策略则可以使用自定义策略.
A.正确
B.错误
答案:A
231. 接入控制设备是企业安全策略的实施者,负责按照客户网络制定的安全策略,实施相应的准入控制(允许、拒绝、隔离或限制)
A.正确
B.错误
答案:A
39. 准入控制服务器是企业安全策略的实施者,负责按照客户网络制定的安全策略实施相应的准入控制(允许、拒绝、隔离或限制)
A.正确
B.错误
答案:A(选B)
解析:注意看题,有相似题:此题是准入控制服务器
251. 对于用户接入安全的基础原理,下列哪个描述是错误的
A.终端设备接入网络时,首先通过接入设备进行用户身份认证,接入设备和认证服务器配合,完成对用户的身份认证
B.终端设备和安全策略服务器直接交互,终端上报自己的状态信息,包括病毒库版本、操作系统版本、终端上安装的补丁版本等信息。
C.安全策略服务器检查终端的状态信息,对于不符合企业安全标准的终端设备,安全策略服务器重新下发授权信息给接入设备
D.终端设备根据状态检查结果,自己选择所要访问资源
答案:D
309. 关于用户接入安全的基础原理,以下哪一项的描述是正确的:
A. 终端设备向接入控制设备上报自己的状态信息,包括病毒库版本、操作系统版本、终端上安装的补丁版本等信息
B. 终端设备根据状态检查结果,自己选择所要访问资源
C.终端设备接入网络时,首先通过接入设备进行用户身份认证。接入设备和认证服务器配合,完成对用户的身份认证(先进行身份认证)
D. 接入控制设备检查终端的状态信息,对于不符合企业安全标准的终端设备,接入控制设备重新下发授权信息给接入设备
答案: C
检查屏保设置项目包括:自动修复、屏保设置密码保护、离线运行、检查终端是否启用屏保功能。
73. 关于检查屏保设置的策略,以下哪些项的描述是正确的
A. 屏保设置支持自动修复
B. 仅支持 Windows 操作系统
C. 可以检查终端是否启用了屏保
D. 可以检查是否启用了屏保密码
答案: ACD
285. 关于检查屏保设置的策略,下列哪些描述是正确的?
A. 可以检查终端是否启用了屏保
B. 可以检查是否启用了屏保密码
C. 仅支持 Windows 操作系统
D 、屏保设置不能自动修复
答案: AB
桌面管理组件:补丁管理、资产管理、软件分发、公告管理。

第十章 BYOD移动办公系统 p460-508

BYOD(bring your own device)

部署集中式组网:安装 AE 服务器时,需同时配置主、备 SC 服务器的 IP 地址。 AE 服务器优先使用主 SC服务器。若主 SC 服务器发生故障后, AE 服务器将使用备 SC 服务器。 SC服务器恢复后,AE服务器将切换回主SC 服务器处理业务
79. 如果在部署 BYOD 系统时,采用单机方式安装 SM、双机方式安装 SC。单机硬件方式部署
AE,则以下哪些项的描述是正确的
A.主 SC 服务器恢复后,AE 服务器不会切换回主 SC 服务器处理业务
B.若主 SC 服务器发生故障后,AE 服务器将使用备 SC 服务器
C.AE 服务器优先使用备 SC 服务器
D.安装 AE 服务器时,需同时配置主、备 SC 服务器的 P 地址
答案:BD
274. 如果在部署 BYOD 系统时,采用单机方式安装 SM、双机方式安装 SC、单机硬件方式部署 AE,则下列哪些描述是正确的?
A.AE 服务器优先使用备 SC 服务器
B.安装 AE 服务器时,需同时配置主、备 SC 服务器的 IP 地址
C.若主 SC 服务器发生故造后,AE 服务器将使用备 SC 服务器
D.主 SC 服务器恢复后,AE 服务器不会切换回主 SC 服务器处理业务
答案:BC
BYOD 解决方案提供安全接入内网、移动设备管理、移动应用管理、安全邮件、安全 Web、定制终端功能
110. BYOD 解决方案提供安全接入内网、移动设备管理、移动应用管理、安全邮件、安全 Web 和定制终端等功能
A. 正确
B. 错误
答案: A
BYOD解决方案提供的产品和系统覆盖终端、网络、安全、应用和管理多个领域 ,包括:系列化 BYOD 设备、无线网络系统、网络接入安全、 VPN网关、终端安全客户端软件、认证系统、移动设备管理( MDM )、移动 eSpace UC等,可以为各种类型的企业客户打造端到端的移动办公解决方案。
116. BYOD 解决方案提供的产品和系统覆盖终端、网络、安全、应用和管理等多个领域,包括:系列化 BYOD 设备、无线网络系统、网络接入安全、VPN 网关、终端安全用户端软件、认证系统、移动设备管理(MDM)、移动eSpace UC 等。
A.正确
B.错误
答案:B(应该选 A)
移动办公场景:移动智能手机、平板电脑用户通过 Anyoffice 客户端与 AE 建立 SSL 加密隧道,认证和合规性检查通过后,访问企业业务。
107. 移动智能手机、平板电脑用户通过 Anyoffice 客户端与 AE 建立 IPSec 加密隧道,认证和合规性检查通过后,访问企业业务。
A. 正确
B. 错误
答案: B
127. 移动智能手机、平板电脑用户通过 AnyOffice 客户端与 AC 建立 IPSec 加密隧道,认证和合规性检查通过后,访问企业务
A. 正确
B. 错误
答案: B
华为安全 HCIP 723题库+知识点_第4张图片

117. 对于终端 Wi-Fi 推送的顺序,以下哪项是正确的?
1 ,AnyOffice 移动办公系统推送 Wi-Fi 配置。
2 ,AnyOffice 移动办公系自动申请证书。
3 ,管理员配置企业 Wi-Fi 推送
4 ,终端自动接入企业 Wi-Fi
A.1-2-3-4
B. 4-2-3-1
C.3-2-1-4
D.2-3-1-4
答案: C
华为安全 HCIP 723题库+知识点_第5张图片

226. 关于 Anyoffice 解决方案内容,以下哪些项的描述是正确的?
A. 在移动终端上提供企业移动化应用统一安全入口。
B. 应用快速集成,可以扩展
C. 隧道专用,病毒无法侵入。
D. 可以快速与企业应用云平台集成,对接。
答案: ABCD
基于生命周期的移动设备管理 支持各主流移动终端的各项通用 EMM Enterprise Mobile Management)功能,包括应用管理、资产管理、安全管控、数据管理和设备管理等。同时,从移
动终端的获取、部署、运行及回收四个生命周期环节提供了完善的策略和手段,确保每个环节都能顺畅、安全地实施和开展。
180. 移动终端生命周期不包括下列哪个选项?
A. 获取
B. 部署
C. 运行
D.卸载
答案: D
87. 移动终端生命周期管理不包括以下哪一项功能
A.账号管理
B. 应用管理
C. 资产管理
D. 数据管理
答案: D(选A,答案错误)
129. WEB 客户端和操作系统自带的标准 802.1X 客户端只有身份认证的功能,不支持执行检查类策略和监控类策略。 AnyOffice 客户端支持所有检查类策略和监控类策略。
A. 正确
B. 错误
答案: A
109. web 客户端和操作系统自带的标准 802.1x 客户端只有身份认证的功能,不支持执行检查类策略和监控类策略。 Web Agent 支持所有检查类策略和监控策略
A. 正确
B. 错误
答案: A
如果终端操作系统版本是 Windows XP SP3 以上版本(含 Windows XP SP3 ),AnyOffice 和操作系统自带 802.1X 客户端可以同时使用,当终端使用 AnyOffice进行802.1X认证时, AnyOffice会禁用操作系统自带的802.1X 客户端,当终端不使用 AnyOffice 进行 802.1X认证时, AnyOffice 会启用操作系统自带的 802.1X 客户端。
188. 如果使用普通账号进行认证,下列哪个选项的描述是错误的?
A. 用户可以使用 AnyOffice 进行认证 .
B.用户不可以使用 web 方式进行认证。
C. 用户可以使用 web Agent 进行认证。
D.用户可以通过自带的 802.1x 客户端进行认证。
答案: D(应该选B)
资产管理相关概念:自动注册、手动注册。
自动注册资产是指由业务管理器自动为终端主机分配一个唯一的资产编号。启用资产自动注册模式。资产注册过程无需终端用户参与,认证通过后大约 1 个小时内 AnyOffice 将自动注册资产。
手动注册资产,是指由管理员通过手工方式在业务管理器创建一条资产记录,并将资产编号分配给终端用户,终端用户在 AnyOffice输入资产编号完成资产注册过程
53. 关于资产管理,以下哪个描述是错误的 ( )
A. 资产管理可以通过自动注册资产,也可以通过手动注册资产。
B. 启用资产自动注册模式,资产注册过程无需终端用户参与。
C. 自动注册资产适用于由业务管理器自动维护资产编号的场合。
D.手动注册资产是指由管理员通过手工方式在业务管理器上创建一条资产记录,并将资产编号在 AnyOffice 中输入,完成资产注册过程。
答案: D
143. 用户认证成功后,在 Agile Controller-Campus 上可以对用户执行下列哪些动作?
A.对使用 AnyOffice 接入的用户进行远程协助.
B.强制用户下线。
C.审计用户的上下线记录。
D.对移动证书帐号进行停用/禁用分配角色的作
答案:ABCD
74. 用户认证成功后,在 Agile Controller-Campus 上可以对用户执行以下哪些动作
A.查看用户的下线时长
B.审计用户的上下线记录
C.强制用户下线
D.对移动证书帐号进行停用/禁用、分配角色的操作
答案:BCD
167. 当管理员为访客分配的账号接入网络后,管理员可以对访客执行的审计动作不包括下列哪个选项?
A.访客上下线记录
B.强制用户下线
C.账号停用/重置密码
D.向用户发送警告信息
答案:D
越狱了的移动终端、安装了不合规应用的移动终端、锁屏密码不合规的终端等接入到企业网络进行办公对企业来说都是不安全的,AnyOffice移动办公解决系统可以对这些不合规的终端配置一定的规则禁止他们接入到企业网络进行移动办公。越狱管理:支持越狱设备监测,可根据策略对越狱设备采取多种行为,如禁止客户端登录、禁止接入企业Wi-Fi等。
154. 越狱了的移动终端、安装了不合规应用的移动终端或锁屏密码不合规的终端等接入到企业网络进行办公对企业来说都是不安全的 AnyOffice 移动办公系统如何解决该问题?
A. 直接丢弃不符合规定的设留发送的数据
B. 对不符合规定的设备进行认证
C. 对不合规定的终端进行检查,禁止不安全设备接入到网络
D. 发送告警信息,通知管理员处理
答案: C
MDM数据库 主要用于存储设备注册信息、配置数据等信息。网络中只能有一个数据库。
在与移动应用对接方面,提供安全 SDK 给移动应用集成,安全 SDK提供了网络访问加密接口;提供了本地文件 / 数据加解密接口;跨平台能力,支持主流OS平台。
247. Anyoffice 移动办公系统的 MDM 技术架构大致分为 3 个部分:安全 SDK Android MDM iOS MDM ,下列哪项对这 3 部分的描述是错误的?
A. 安全 SDK 给整个 Any Office 移动办公系统提供了基础的本地数据加密、网络传新数据加密、 L4VPN 的能力。
B.安全 SDK 还可以集成第三方应用,集成后获取相应安全能力
C.Android MDM 可以实现的功能包括远程消息推送,远程管控指定、终端配置下发和策路管控等。
D.iOS 系统有自己的 MDM 协议,涉及到远程推送、远程管控指令、终端配置下发和策略管控。 Any Office 移动办公系统在实现了 iOS MDM 协议基础上,添加了自身一些 MDM 特性
答案: B
安全邮件:通过邮件客户端,可以对接 Notes Exchange邮件系统支持IMAP4/SMTP/EAS等标准协议收发邮件,并支持邮件实时推送;还支持:支持邮件传输自动加密,传输加密方式支持全系列的 SSL/TLS协议。支持邮箱策略控制,邮件附件的访问、转发策略控制,邮箱界面的自动超时
锁定。日历、联系人同步及邮件推送。附件文档的在线浏览。支持约会 / 会议的查询,提醒,添加,删除、修改以及同步功能。
271. 安全邮件是 AnyOffice 解决方案针对企业办公 OA 提供的杀手级应用,它提供强大的邮件业务能力和丰富的邮件策略对于安全邮件,下列哪些描述是正确 的?
A. 通过邮件客户端,可以对接 Notes Exchange 邮件系统
B. 支持件传输自动加密,传输加密方式支持全系列的 IPSec/TLS 协议
C. 不支持附件文档在线浏览
D. 支持 IMAP4/SMTP/EAS 等标准协议收发邮件,并支持邮件实时推送
答案: AD

第十一章 WLAN安全 p509-574

WLAN的两种基本架构:FAT AP、AC+FITAP.
独立自治是 FAT AP 的特点,也是 FAT AP的缺点。AC+FITAP 架构适用于中大型使用场景,而 FAT AP 架构适用于小型使用场景。
298. 关于 WLAN ,以下哪个描述是正确的?
A.WLAN 就是采用 802.11 技术的 WiFi
B.WLAN 有两种基本架构:FAT AP AC+FITAP
C.AC+FAT AP 架构适用于中大型使用场景
D.AC+FITAP 又叫自治式网路架构。
答案: B

WLAN安全攻击:访问控制攻击、保密性攻击、可用性攻击、完整性攻击、认证攻击

访问控制攻击:驾驶攻击、非法AP、Ad Hoc管理、MAC地址欺骗、802.1X RADUIS破解。

保密性攻击:监听、WEP密码破解、Evil Twin AP、钓鱼AP、中间人攻击。

可用性攻击:昆士兰攻击、802.11信标泛洪、802.11关联/验证泛洪、802.11解决认证信息泛洪、802.1X EAP-Start泛洪、802.1X EAP消息长度攻击、伪造报文(Fake authentication、Deauthentication)。

完整性攻击802.11帧注入、802.11数据回放、802.1X EAP回放、802.1X RADIUS回放。

认证攻击:共享密钥猜测、PSK破解、应用程序登录窃取、域登录破解、VPN登录破解、802.1X 身份窃取。

72. 以下哪些项属于针对可用性WLAN 安全威胁

A.Fake authentication( 伪装客户端连接
B.802.1 X RADIUS 回放
C.发送伪造的 Deauthentication 报文 (解除认证)
D. 字典破解
答案: AC
142. 以下哪种网络安全威胁仅存在于 WLAN 网络中?
A. 暴力破解
B. 泛洪攻击
C.Dos 拒绝服务攻击
D.Weak IV 攻击
答案: D
290. 以下哪一项中的 WLAN 安全威胁属于访问控制政击
A. 监听
B.Fake AP
C.802.1x 身份窃取
D. 昆士兰攻击
答案: B
201. 以下哪一项中的 WLAN  安全威胁属于针对完整性的攻击?
A.WEP 密码破解
B.802.11 注入
C.Rogue AP
D.MITM
答案: B
WLAN 安全包含:边界防御安全、用户接入安全、业务安全。
边界防御安全:WIDS:是无线入侵检测系统、WIPS :是无线入侵防护系统
用户接入安全 链路认证,用户接入认证、数据加密
业务安全:用户隔离。
200. 以下哪些项属于 VLAN 用户接入安全技术?
A.链路认证
B.数据加密
C. 用户隔离
D.用户接入认证
答案: ABD
164. WLAN 无线接入场景中,以下哪些网络安全技术,是属于用户接入安全的?
A.AP 认证
B.链路认证
C.用户接入认证
D.数据加密
答案: BCD
94. WLAN 网络安全包括用户身份认证和数据加密两个方面
A. 正确
B. 错误
答案: A
36. 关于 WIPS/MIDS 的定义,以下哪个说法是正确的?
A. WIDS 是无线入侵防范系統
B. WIPS 是无线入侵检测系统
C. WIDS 是无线入侵反制系统
D. WIPS 是无线入侵防范系统
答案: D
291. 关于 WIPS/WIDS 的定义,以下哪一项的描述是正确的
A.WIDS 是无线入侵检测系统
B.WIDS 是无线入侵防范系统
C.WIDS 是无线入侵反制系统
D. WIPS 是无线入侵监控系统
答案: A
123. 在开启 WIDS 功能的 WLAN 网络中,关于非法设备的判定,以下哪些说法是正确的?
A.所有 Ad-hoc 设备会被直接判定为非法设备。
B. 不是本 AC 接入的 AP 为非法 AP
C. 不是 AC 接入的 STA 为非法 STA.
D.不是本 AC 接入的 STA,还需查看接入 AP 是否合法。
答案: AD
AP工作模式:正常模式、监测模式。
监控模式,只具备监控功能,不能用于普通的 WLAN业务,只能用于具有监控功能的 WLAN 业务,如 WIDS 、频谱分析和终端定位等。
48. 配置 WLAN 的设备检测可以实现对整个网络的监控,但需要先设置 AP 的工作模式,以下哪些选项属于 AP 的工作模式?
A.接入模式
B.正常模式
C.混合模式
D.监控模式
答案:BD
259. 在 WLAN 网络中,AP 处于监测模式时,AP 通过哪种报文来判断设备类型
A.DHCP
B.ARP
C.CAPWAP
D.802.1MAC
答案:D

Rogue设备监测识别:主要监测设备:Rogue AP、无线网桥Rogue ClientAd hoc 终端.

Rogue AP 反制功能:监测 AP 使用 Rogue AP MAC地址发送假广播解除认证帧或单播解除认证帧,抑制无线用户和非法 AP 建立链接。
86. AP 工作在监测模式时进行信道扫描,根据非法 AP 与客户端检测流程识别出 Rogue 设备,以下哪些项为主要监测设备
A.Rogue AP
B. 无线网桥
C.Rogue Client
D.Ad hoc 终端
答案: ABCD
269. 针对 Rogue AP ,可使用 WIPS 功能进行反制,监测 AP 使用Rogue AP MAC 地址发送假广播解除认证帧或单播解除认证帧,抑制无线用户和非法 AP 建立链接。
A. 正确
B. 错误
答案: A
AP认证AC支持的认证方法有 MAC认证、SN认证和不认证三种。
184. 为了增加 AP 的安全性,可以在 AC 上对将要上线的 AP 进行认证。目前华为 AC 支持的认证方法有哪些?
A.MAC 认证
B.密码认证
C.不认证
D.SN 认证
答案:ACD
203. 为了增加 AP 的安全性,可以在 AC 上对将要上线的 AP 进行认证。目前华为 AC 支持的认证方法有以下哪些项?
A.不认证
B.SN 认证
C.手动确认
D.MAC 认证
答案:ABD
也可以通过配置白名单来对AP上线请求进行特别的通过。可以配置白名单的场合有AP白名单、WDS白名单、MESH 白名单
71. 为了增加 AP 的安全性,可以在 AC 上对将要上线的 AP 进行认证,也可以通过白名单对 AP 上线请求进行特别通过。目前华为 AC 支持的免认证白名单功能包括以下哪些项
A.MESH 白名单
B.WDS
C.AP 白名单
D. 密码认证
答案: ABC
用户隔离:是指关联到同一个AP上的所有无线用户之间的二层报文相互不能转发,从而使无线用户之间不能直接进行通讯,使得用户流量集中至网关转发,便于对该用户进行计费等管理。
组间用户隔离 - 不同组的用户之间不能通信,相同组的内部用户可以通信。
组内用户隔离 - 相同组内部用户之间不可以通信。
组内隔离和组间隔离可以同时使用。
119. 关于在 WLAN 组网环境中采用用户隔离技术,以下哪个说法是错误的?
A. 组间用户隔离是指不同组的用户之间不能通信,相同组的内部用户可以通信。
B. 用户组内隔离是指相同组内部用户之间不可以通信。
C. 用户隔离功能是指关联到同一个 AP 上的所有无线用户之间的二层报文相互不能转发。
D. 组内隔离和阻间隔离不可以同时使用。
答案: D
174. 在一个 WLAN 网络中,组内隔离和组间隔离可以同时使用。
A. 正确
B. 错误
答案: A
MAC 认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,用户名和密码都是用户设备的 MAC 地址。设备在启动了MAC认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。 MAC认证实际上采用的是802.1X认证方法。MAC旁路认证解决了在同一个网络环境中,既有802.1X客户端认证,又有MAC认证的情况。
225. 关于在 WLAN 组网环境中采用 MAC 认证接入网络,以下哪个说法是错误的?
A.MAC 认证不需要用户安装任何客户端软件。
B.MAC 认证使用的用户名格式仅有 MAC 地址用户名格式
C.MAC 认证实际上采用的是 802.1X 认证方法
D.MAC 旁路认证解决了在同一个网络环境中,既有 802.1X 客户端认证,又有 MAC 认证的情况
答案: B
118. 下列哪个选项对 PKI 工作过程顺序描述是正确的?
1 )PKI 实体向 CA 请求 CA 证书。
2 )PKI 实体收到 CA 证书后,安装 CA 证书。
3 )CA 收到 PKI 实体的 CA 证书请求时,将自己的 CA 证书回复给 PKI 实体。
4 )PKI 实体向 CA 发送证书注册请求消息。
5 )PKI 实体间互相通信时,需各自获取并安装对端实体的本地证书。
6 )PKI 实体收到 CA 发送的证书信息。
7 )PKI 实体安装对端实体的本地证书后,验证对端实体的本地证书的有效性。证书有效时, PC 实体间使用证书公钥进行加密通信。
8 )CA 收到 PKI 实体的证书注册请求消息。
A.1-3-5-4-2-6-7-8
B.1-3-5-6-7-4-8-2
C.1-3-2-7-6-4-5-8
D.1-3-2-4-8-6-5-7
答案: D
2. 关于 PKI 工作过程顺序,以下哪一项是正确的?
1)PKI 实体向 CA 请求 CA 证书。
2)PKI 实体收到 CA 证书后,安装 CA 证书
3)CA 收到 PKI 实体的 CA 证书请求时,将自己的 CA 证书回复给 PKI 实体。
4)PKI 实体收到 CA 发送的证书信息
5)PKI 实体间互相通信时,需各自获取并安装对端实体的本地证书。
6)PKI 实体向 CA 发送证书注册请求消息。
7)PKI 实体安装对端实体的本地证书后,验证对端实体的本地证书的有效性。证书有效时, PKI 实体间使用证书公钥进行加密通信。
8)CA 收到 PKI 实体的证书注册请求消思。
A. 1-3-5-4-7-6-8-2
B. 1-3-2-7-4-6-5-8
C. 1-3-5-6-2-4-7-8
D. 1-3-2-6-8-4-5-7
答案: D

连线题:

1、请将以下服务器类型对应到 SACG 联动方案的域中:

认证后域 业务系统
认证前域 第三方Protal服务器
隔离域 病毒库更新服务器

2、请将以下 WLAN 安全威胁归类到对应的类别中:

访问控制攻击 Rogue (无赖)AP
完整性攻击 802.1X EAP回放
保密性攻击 WEP 密码破解
认证攻击 PSK 破解

3、请将以下 AC-Campus 的产品组件与其功能对应起来。

集成标准的RADIUS,Portal服务器,与网络接入设备联动实现基于用户的网络访问控制策略 业务控制器(SC)
分级部署时使用,作为AC-Campus系统的管理中心 管理中心(MC)
完成用户管理、准入控制和业务随行策略配置,安全协防业务配置等管理工作。 业务管理器(SM)

4、请将以下 Portal 页面的 URL 参数与其他功能对应起来

携带AP的MAC地址 ap-mac
携带终端的IP地址 user-ipaddress
携带设备的MAC地址 device-mac
携带AP的IP地址 ap-ip

5.请将以下 WLAN 安全威胁详细介绍对应到具体的名称

仿冒合法 AP STA 发起解除关联报文,导致用户断线。 Fake AP
利用 CSMA/CA 中的空闲信道检测(clear Channel Assessment. CCA)功能,伪造出无线电繁忙的状态,有效地阻止其他无线系统传输数据。 昆士兰攻击
释放大量 SSID 信标帧实现 DOS 攻击,同时可通过释放和现网同名的服务集做接入欺骗。 伪造报文
使用字典工具从捕获的密钥握手帧中恢复 WPA/WPA2 密钥。 PSK 破解
6、 请将以下报文拖拽到802.1X认证流程中的对应位置。    

华为安全 HCIP 723题库+知识点_第6张图片

EAP Requset/MDE5 challenge 3
RADIUS Access-challenge 2
EAPoL-Start 1
RADUIS Access-request 4

7、清将以下 Portal 认证流程拖到对应的位置

华为安全 HCIP 723题库+知识点_第7张图片

HTTP重定向 2
返回Portal页面 3
HTTP连接请求  1
基于Portal协议的Portal认证 4

8、请将以下EAP报文类型与其作用对应起来

认证开始请求 EAPoL-Start
携带用户账号名 EAP-Response/Identity
认证成功报文 EAP-Success
使用关键字进行单向散列计划之后,将输出值发送给接入设备 EAP-Response/MD5 Challenge

9、请将以下AC-Campus的部署模式与其特征对应起来。

存在多个分支机构,将业务管理器和数据库部署在总部,而将业务控制器部署在分支机构 分布式部署
所有的组件部署在一个位置,适用于网络相对集中,网络之间的带宽比较大的网络 集中式部署
分支机构也部署一套完整的AC-Campus,总部部署上级管理中心 分级式部署

填空题:

1、 AC-Campus 的访客账号策略中,当指定账号创建方式为"自注册"时,用户可使用账号名、手机号、邮箱号、( )作为账号唯一标识( 全英文,首字母大写)

答案:Passcode

2、 对于不支持安装认证软件,也不支持浏览器的无线终端,应通过 ( )认证接入网络。(全英文,标注术语拼写)
答案: MAC
3、 AC-Campus 使用 RADIUS 报文中类型号为 11 的属性:( ) ID(全英文,首字母大写)下发 ACL。
答案: Filter(过滤器)
4、当 AP 使用安全策略:WPA/TPA2-PSK 时,数据加密方式支持( ) 或者 CCMP。(全英文,标准术语拼写)
答案: TKIP
5、 Portal服务器发往接入认证设备的Portal报文源端口号为:()(阿拉伯数字)
答案:50100
6、 华为交换机除了支持标准的 Portal 协议完成 Portal 认证之外,还支持使用( )/HTTPS作为Portal 认证流程中的认证协议
答案: HTTP
7、在SACG联动方案中,一般使用()设备作为硬件SACG.
答案:Firewall
加密:
181. AP AC 建立 CAPWAP 道过程中, AP AC 协商建立 CAPWAP 隧道,这个过程中 CAPWAP 隧道采用 DTLS 来加密传输 UDP 报文。DTLS 支持的加密方式有哪些?
A.证书加密
B.AES 加密
C.PSK 加密
D. 明文加密
答案: AC
248. 关于 CAPWAP 加密,以下哪个说法是错误的?
A.CAPWAP 的数据隧道可以使用 DTLS 进行加密。
B.DTLS 支持两种认证方式:证书认证(出厂 AC AP 已带)和 PSK 密码认证
C.DTLS 加密可以保证 AC 下发的控制消息不被窃听。
D. 采用证书的方式来进行 DTLS 协商,证书只用来产生密钥,不对 AP 进行认证。

答案:A

220. 为保证 AC AP 之间的 CAPWAP 控制隧道安全 , 则可使用以下哪一项中的协议进行加密 ?
A.TLS1.2
B.DTLS
C.SSL1.0
D.SSH
答案:B

你可能感兴趣的:(安全)