PAGEPAGE1華為認證安全方向HCIP-SecurityH12-725V4.0更新題庫匯總（含答案）一、單選題1.以下關(guān)于滲透測試中黑盒測試的描述，錯誤的是哪一項？A、測試覆蓋率較低。一般只能覆蓋到代碼的30%B、可以提高代碼的質(zhì)量，發(fā)現(xiàn)代碼中隱藏的問題C、更貼近用戶的實際使用場景D、測試過程較為簡單，不需要了解程序內(nèi)部的代碼結(jié)構(gòu)及特性答案：B解析：本題考察對黑盒測試的理解。黑盒測試是一種測試方法，它不需要了解程序內(nèi)部的代碼結(jié)構(gòu)及特性，只關(guān)注程序的輸入和輸出，從用戶的角度出發(fā)，模擬用戶的操作，測試程序的功能是否符合需求。因此，選項A、C、D都是黑盒測試的特點。而選項B是錯誤的，因為黑盒測試并不能提高代碼的質(zhì)量，它只能發(fā)現(xiàn)代碼中隱藏的問題，但并不能解決這些問題。因此，答案是B。2.以下哪一項不屬于畸形報文攻擊？A、WinNuke攻擊B、PingofDeath攻擊C、超大ICMP報文攻擊D、IP欺騙攻擊答案：D解析：本題考察的是畸形報文攻擊的相關(guān)知識?；螆笪墓羰侵腹粽咄ㄟ^構(gòu)造特定的畸形報文，利用系統(tǒng)漏洞或者網(wǎng)絡(luò)協(xié)議的缺陷，使目標系統(tǒng)崩潰或者無法正常工作，從而達到攻擊的目的。A.WinNuke攻擊：是一種針對Windows系統(tǒng)的攻擊方式，攻擊者通過向目標系統(tǒng)發(fā)送特定的TCP包，使其崩潰或者死機。B.PingofDeath攻擊：是一種利用ICMP協(xié)議的攻擊方式，攻擊者通過發(fā)送超大的ICMP包，使目標系統(tǒng)崩潰或者死機。C.超大ICMP報文攻擊：是一種利用ICMP協(xié)議的攻擊方式，攻擊者通過發(fā)送大量的ICMP包，使目標系統(tǒng)的網(wǎng)絡(luò)帶寬被占滿，從而導(dǎo)致網(wǎng)絡(luò)擁塞或者崩潰。D.IP欺騙攻擊：不屬于畸形報文攻擊，它是一種利用網(wǎng)絡(luò)協(xié)議的漏洞或者缺陷，偽造IP地址，欺騙目標系統(tǒng)的攻擊方式。綜上所述，答案為D。3.以下關(guān)于華為入侵防御特性配置流程的排序，正確的是哪一項？A、配置入侵防卸文件-＞升級特征庫-＞配置簽名-＞驗證與檢查B、升級特征庫-＞配置入侵防御文件-＞配署簽名-＞驗證與檢查C、配置簽名-＞升級特征庫-＞配置入侵防御文件-＞驗證與檢查D、升級特征庫-＞配置簽名-＞配置入侵防御文件-＞驗證與檢查答案：D解析：本題考察的是華為入侵防御特性配置流程的正確排序。根據(jù)選項，我們可以將每個步驟的含義簡單概括如下：A.配置入侵防卸文件：配置入侵防御的卸載文件升級特征庫：升級入侵防御特征庫配置簽名：配置入侵防御的簽名驗證與檢查：驗證和檢查入侵防御的配置是否正確B.升級特征庫：升級入侵防御特征庫配置入侵防御文件：配置入侵防御的文件配署簽名：部署入侵防御的簽名驗證與檢查：驗證和檢查入侵防御的配置是否正確C.配置簽名：配置入侵防御的簽名升級特征庫：升級入侵防御特征庫配置入侵防御文件：配置入侵防御的文件驗證與檢查：驗證和檢查入侵防御的配置是否正確D.升級特征庫：升級入侵防御特征庫配置簽名：配置入侵防御的簽名配置入侵防御文件：配置入侵防御的文件驗證與檢查：驗證和檢查入侵防御的配置是否正確根據(jù)華為官方文檔，正確的配置流程應(yīng)該是先升級特征庫，再配置簽名，最后配置入侵防御文件，最后進行驗證和檢查。因此，正確答案為D。4.以下哪一項不是URL的匹配方式？A、精確匹配B、模糊匹配C、前綴匹配D、后綴匹配答案：B解析：本題考察的是URL的匹配方式。URL匹配方式主要有精確匹配、前綴匹配和后綴匹配三種。其中，精確匹配是指URL完全匹配，前綴匹配是指URL以某個字符串開頭匹配，后綴匹配是指URL以某個字符串結(jié)尾匹配。而模糊匹配并不是URL的匹配方式，因此選項B是本題的正確答案。5.以下關(guān)于Eth-Trunk特點的描述，錯誤的是哪項？A、Eth-Trunk可以是二層接口，也可以是三層接口B、Eth-Trunk是一個邏輯接口C、Eth-Trunk成員鏈路最少為2個D、Eth-Trunk活動鏈路最少為1個答案：C解析：本題考察對于Eth-Trunk的特點的理解。根據(jù)題目描述，選項A正確，因為Eth-Trunk可以是二層接口，也可以是三層接口；選項B正確，因為Eth-Trunk是一個邏輯接口，它可以將多個物理接口捆綁成一個邏輯接口，提高鏈路帶寬和可靠性；選項D正確，因為Eth-Trunk活動鏈路最少為1個，即至少有一個物理接口處于工作狀態(tài)。因此，選項C是錯誤的，因為Eth-Trunk成員鏈路最少為2個，即至少需要兩個物理接口才能組成一個Eth-Trunk。因此，本題答案為C。6.針對SIPFlood攻擊，華為防火堰能采取以下哪一項的防范技術(shù)？A、源探測B、指紋防范C、首包丟棄D、限流答案：A解析：SIPFlood攻擊是一種利用SessionInitiationProtocol（SIP）協(xié)議的洪水攻擊，攻擊者發(fā)送大量的SIP請求，使得服務(wù)器無法處理正常的請求。為了防范這種攻擊，華為防火墻可以采取以下幾種技術(shù)：A.源探測：源探測技術(shù)可以檢測到SIPFlood攻擊的源IP地址，并將其列入黑名單，從而防止攻擊者繼續(xù)發(fā)起攻擊。B.指紋防范：指紋防范技術(shù)可以識別SIPFlood攻擊的特征，例如攻擊者使用的SIP消息類型、SIP消息的大小等，從而防止攻擊者繼續(xù)發(fā)起攻擊。C.首包丟棄：首包丟棄技術(shù)可以丟棄SIPFlood攻擊的第一個請求包，從而防止攻擊者繼續(xù)發(fā)起攻擊。D.限流：限流技術(shù)可以限制SIPFlood攻擊的流量，從而防止服務(wù)器被過多的請求包淹沒。綜上所述，針對SIPFlood攻擊，華為防火墻可以采取多種防范技術(shù)，其中源探測技術(shù)是一種有效的防范手段。7.以下哪一項是入侵防御特征庫中包含的簽名？A、例外簽名B、自定義簽名C、預(yù)定義簽名D、簽名過濾器答案：C解析：8.某企業(yè)的業(yè)務(wù)形態(tài)復(fù)雜，橫塊之間使用多種協(xié)議進行通信，為確保通信數(shù)據(jù)安全，防止第三方竊取關(guān)健數(shù)據(jù)信息，應(yīng)該盡量避免使用以下哪一通信協(xié)議？A、SSHB、SFTPC、HTTPSD、HTTP答案：D解析：本題考察的是通信協(xié)議的安全性。SSH、SFTP和HTTPS都是安全的通信協(xié)議，可以保證通信數(shù)據(jù)的安全性。而HTTP協(xié)議是明文傳輸?shù)模瑪?shù)據(jù)容易被第三方竊取，因此不安全。因此，為確保通信數(shù)據(jù)安全，防止第三方竊取關(guān)鍵數(shù)據(jù)信息，應(yīng)該盡量避免使用HTTP協(xié)議，故選D。9.如圖所示，以下關(guān)于基于透明模式雙機熱備描述，錯誤的是哪項？A、由于防火墻的業(yè)務(wù)接口工作在二層，因此不能運行與IP地址相關(guān)的業(yè)務(wù)B、在此組網(wǎng)中，防火墻透明接入到原有交換機網(wǎng)絡(luò)，不改變網(wǎng)絡(luò)拓撲C、推薦該組網(wǎng)以負載分擔方式工作，分擔用戶流量D、默認情況下，不會根據(jù)VGMP組狀態(tài)調(diào)整任何VLAN的狀態(tài)答案：C解析：本題考察基于透明模式雙機熱備的相關(guān)知識點。A選項描述的是基于透明模式雙機熱備的限制，因為防火墻的業(yè)務(wù)接口工作在二層，所以不能運行與IP地址相關(guān)的業(yè)務(wù)，這是正確的。B選項描述的是基于透明模式雙機熱備的特點，防火墻透明接入到原有交換機網(wǎng)絡(luò)，不改變網(wǎng)絡(luò)拓撲，這是正確的。C選項描述的是基于透明模式雙機熱備的推薦工作方式，即以負載分擔方式工作，分擔用戶流量，這是錯誤的?；谕该髂Ｊ诫p機熱備的推薦工作方式是以主備方式工作，即主設(shè)備負責(zé)處理所有的流量，備設(shè)備處于備份狀態(tài)，不處理流量。D選項描述的是基于透明模式雙機熱備的默認行為，即不會根據(jù)VGMP組狀態(tài)調(diào)整任何VLAN的狀態(tài)，這是正確的。綜上所述，本題的答案是C。10.RADIUS協(xié)議支持認證、授權(quán)和計費功能，RADIUS服務(wù)器是通過以下哪一報文下發(fā)授權(quán)的？A、Access-RequestB、Access-AcceptC、Accounting-ResponseD、Accounting-Request答案：B解析：本題考查RADIUS協(xié)議的認證、授權(quán)和計費功能。RADIUS協(xié)議是一種用于網(wǎng)絡(luò)訪問控制的協(xié)議，支持認證、授權(quán)和計費功能。在RADIUS協(xié)議中，當客戶端請求訪問網(wǎng)絡(luò)資源時，會向RADIUS服務(wù)器發(fā)送Access-Request報文，RADIUS服務(wù)器會對該請求進行認證和授權(quán)，并向客戶端發(fā)送Access-Accept或Access-Reject報文。因此，選項A和D都不是下發(fā)授權(quán)的報文。Accounting-Request報文是用于計費的報文，而不是下發(fā)授權(quán)的報文。因此，正確答案是B，即RADIUS服務(wù)器是通過Access-Accept報文下發(fā)授權(quán)的。11.如圖所示，F(xiàn)W_A與FW_B建立IPSec隧道，在FW_A上執(zhí)行命今displayikesa，得到信息如下:(FWA＞displayikesaCurrentikesanumber:0以下哪一項不是IPSec隧道建立失敗的可能原因?A、到IKE對等體的路由不可達B、兩端ACL沒有交集C、本端的“對端網(wǎng)關(guān)”和對端的“本地地址”不匹配D、加密算法不一致答案：B解析：根據(jù)題目描述，F(xiàn)W_A與FW_B建立IPSec隧道，在FW_A上執(zhí)行命今displayikesa，得到信息如下，但是沒有提供IPSec隧道建立失敗的具體原因。因此，需要根據(jù)選項分析，哪一項不是IPSec隧道建立失敗的可能原因。A.到IKE對等體的路由不可達：如果IKE對等體的路由不可達，那么IPSec隧道無法建立，因此這是IPSec隧道建立失敗的可能原因之一。B.兩端ACL沒有交集：如果兩端ACL沒有交集，那么IPSec隧道無法建立，因此這是IPSec隧道建立失敗的可能原因之一。C.本端的“對端網(wǎng)關(guān)”和對端的“本地地址”不匹配：如果本端的“對端網(wǎng)關(guān)”和對端的“本地地址”不匹配，那么IPSec隧道無法建立，因此這是IPSec隧道建立失敗的可能原因之一。D.加密算法不一致：如果加密算法不一致，那么IPSec隧道無法建立，因此這是IPSec隧道建立失敗的可能原因之一。綜上所述，根據(jù)選項分析，不是IPSec隧道建立失敗的可能原因是B選項，即兩端ACL沒有交集。因此，B選項是本題的答案。12.帶寬通道定義了具體的帶寬資源，是進行帶寬管理的基礎(chǔ)。以下哪一項是帶寬通道中可以定義的資源？A、帶寬策略B、每日流量配額C、出口帶寬限制D、策略獨占答案：D解析：本題考察的是帶寬通道中可以定義的資源。帶寬通道是進行帶寬管理的基礎(chǔ)，它定義了具體的帶寬資源。在帶寬通道中，可以定義多種資源，包括帶寬策略、每日流量配額、出口帶寬限制和策略獨占等。根據(jù)題目要求，需要選擇其中可以定義的資源，因此選項A、B、C和D都是可能的答案。但是，根據(jù)華為安全最新H12-725考試的相關(guān)知識點，策略獨占是一種可以在帶寬通道中定義的資源，因此正確答案是D。13.如圖所示為HTTPFlood的防御原理，請問圖中顯示的是哪一種源探測技術(shù)？A、302重定向模式B、基本模式C、URI監(jiān)測D、增強模式答案：D解析：這道題目考察的是HTTPFlood攻擊的防御原理中的源探測技術(shù)。根據(jù)圖中所示，可以看到防御原理采用了增強模式來進行源探測技術(shù)的防御。增強模式是一種源探測技術(shù)，它可以通過對HTTP請求進行分析，識別出惡意請求的源IP地址，并將其加入到黑名單中，從而防止攻擊者繼續(xù)發(fā)起攻擊。增強模式的優(yōu)點是可以有效地防御各種類型的HTTPFlood攻擊，包括GETFlood、POSTFlood、Slowloris等攻擊。相比之下，其他選項都不是源探測技術(shù)。302重定向模式是一種重定向技術(shù)，可以將惡意請求重定向到其他頁面，從而減輕服務(wù)器的負載?；灸Ｊ胶蚒RI監(jiān)測都是基于規(guī)則的防御技術(shù)，可以通過設(shè)置規(guī)則來防御HTTPFlood攻擊。但是，這些技術(shù)都比較容易被攻擊者繞過，因此不如增強模式有效。因此，本題的正確答案是D，即增強模式。14.IPSec使用證書認證時，需要驗證對端證書的合法性，以下哪項不是驗證證書合法性需要考慮的因素？A、證書是否由同一方式申請B、證書是否位于有效期C、證書是否位于CRL存儲庫中D、證書是否由同一CA頒發(fā)答案：D解析：IPSec使用證書認證時，需要驗證對端證書的合法性，以確保通信的安全性。在驗證證書合法性時，需要考慮以下因素：A.證書是否由同一方式申請：驗證證書是否是由合法的申請者申請的，以確保證書的真實性和可信度。B.證書是否位于有效期：驗證證書是否在有效期內(nèi)，以確保證書的有效性和可信度。C.證書是否位于CRL存儲庫中：驗證證書是否被吊銷，以確保證書的可信度和安全性。D.證書是否由同一CA頒發(fā)：這個選項不是驗證證書合法性需要考慮的因素，因為證書是否由同一CA頒發(fā)并不影響證書的真實性和可信度。因此，答案為D。15.以下哪一項是防火墻虛擬系統(tǒng)正確的用戶名格式？A、虛擬系統(tǒng)名管理員名B、管理員名虛擬系統(tǒng)名C、管理員名虛擬系統(tǒng)名D、虛擬系統(tǒng)名管理員名答案：B解析：本題考察防火墻虛擬系統(tǒng)的用戶名格式。防火墻虛擬系統(tǒng)的用戶名格式為“管理員名虛擬系統(tǒng)名”，其中“”表示分隔符，用于區(qū)分管理員名和虛擬系統(tǒng)名。因此，正確答案為B。選項A中虛擬系統(tǒng)名和管理員名的順序顛倒；選項C中缺少分隔符；選項D中虛擬系統(tǒng)名和管理員名的順序顛倒。因此，這些選項都不是防火墻虛擬系統(tǒng)正確的用戶名格式。16.以下哪一項資源屬于給虛擬系統(tǒng)分配的定額資源？A、策略數(shù)B、VLANC、接口D、安全區(qū)域答案：D解析：本題考察的是虛擬系統(tǒng)中的定額資源。虛擬系統(tǒng)是華為防火墻中的一種虛擬化技術(shù)，可以將一個物理防火墻劃分為多個邏輯防火墻，每個虛擬系統(tǒng)都有自己的配置和管理。定額資源是指在虛擬系統(tǒng)中為每個虛擬系統(tǒng)分配的資源數(shù)量，包括接口、安全區(qū)域、策略數(shù)等。根據(jù)題目所述，屬于給虛擬系統(tǒng)分配的定額資源的選項是D，即安全區(qū)域。因此，本題的答案是D。選項A、B、C都是虛擬系統(tǒng)中的資源，但不屬于定額資源。17.在Linux主機上查看是否存在異常的任務(wù)計劃（非用戶自行設(shè)定），可使用以下哪一個命令？A、crontab-umysqlB、crontab-eC、crontab-rD、crontab-l答案：D解析：本題考查Linux主機上查看是否存在異常的任務(wù)計劃的命令。選項A的命令是查看mysql用戶的任務(wù)計劃，不符合題意；選項B的命令是編輯當前用戶的任務(wù)計劃，也不符合題意；選項C的命令是刪除當前用戶的任務(wù)計劃，更不符合題意。因此，正確答案為D，即使用“crontab-l”命令可以列出當前用戶的任務(wù)計劃，從而查看是否存在異常的任務(wù)計劃。18.以下哪一項不是策略路由的匹配條件?A、源安全區(qū)域B、源IP地址C、源端口號D、DSCP優(yōu)先級答案：C解析：策略路由是一種基于特定條件的路由選擇方式，可以根據(jù)不同的匹配條件來選擇不同的路由策略。在給出的選項中，源安全區(qū)域、源IP地址和DSCP優(yōu)先級都可以作為策略路由的匹配條件，而源端口號不是策略路由的匹配條件。因此，選項C是本題的正確答案。19.Portal認證場景中，當采用iMasterNCE-Campus作為Portal服務(wù)器，華為無線控制器為接入設(shè)備時，無線控制器處理Portal協(xié)議報文的端口號默認為以下哪一個？A、50200B、1813C、2000D、1812答案：C解析：在Portal認證場景中，當采用iMasterNCE-Campus作為Portal服務(wù)器，華為無線控制器為接入設(shè)備時，無線控制器處理Portal協(xié)議報文的端口號默認為2000。解析：在華為無線控制器和iMasterNCE-Campus之間進行Portal認證時，無線控制器作為接入設(shè)備，需要向Portal服務(wù)器發(fā)送認證請求。此時，無線控制器會使用默認的端口號2000來處理Portal協(xié)議報文。因此，答案為C。20.以下哪項參數(shù)不是全局選路策略分類的條件？A、端口號B、帶寬C、權(quán)重D、質(zhì)量答案：A解析：本題考查的是全局選路策略分類的條件。全局選路策略是指在網(wǎng)絡(luò)中，根據(jù)一定的條件和算法，選擇最優(yōu)的路徑進行數(shù)據(jù)傳輸。而全局選路策略分類的條件包括帶寬、權(quán)重、質(zhì)量等，而不包括端口號。因此，本題的正確答案是A。選項解析：A.端口號：端口號是指在網(wǎng)絡(luò)通信中，用于標識不同應(yīng)用程序或服務(wù)的數(shù)字標識符。但是，它并不是全局選路策略分類的條件。B.帶寬：帶寬是指網(wǎng)絡(luò)傳輸數(shù)據(jù)的速率，是全局選路策略分類的條件之一。C.權(quán)重：權(quán)重是指在多條路徑中，為每條路徑分配的優(yōu)先級，是全局選路策略分類的條件之一。D.質(zhì)量：質(zhì)量是指網(wǎng)絡(luò)傳輸數(shù)據(jù)的可靠性和穩(wěn)定性，是全局選路策略分類的條件之一。21.以下關(guān)于HTTPFlood防御的描述，錯誤的是哪項？A、如果攻擊過程中使用的免費代理支持重定向功能，會導(dǎo)致基本模式的防御失效B、源認證防御方式是防御HTTPFlood最常用的手段，這種防御方式適用于客戶端為瀏覽器的HTTP服務(wù)器場景C、基于增強模式的防御可以通過讓用戶輸入驗證碼，由此判斷TTP訪問是否由真實的用戶發(fā)起D、基于基本模式的防御無法有效阻止來自非瀏覽器客戶端的訪問答案：D解析：本題考察的是HTTPFlood防御的相關(guān)知識點。以下是各選項的解析：A.如果攻擊過程中使用的免費代理支持重定向功能，會導(dǎo)致基本模式的防御失效。這是正確的描述，因為基本模式的防御是通過限制每個IP地址的最大連接數(shù)來實現(xiàn)的，而使用免費代理可以繞過這種限制。B.源認證防御方式是防御HTTPFlood最常用的手段，這種防御方式適用于客戶端為瀏覽器的HTTP服務(wù)器場景。這是錯誤的描述，因為源認證防御方式并不是防御HTTPFlood最常用的手段，而且它只適用于一些特定的HTTP服務(wù)器場景。C.基于增強模式的防御可以通過讓用戶輸入驗證碼，由此判斷HTTP訪問是否由真實的用戶發(fā)起。這是正確的描述，因為增強模式的防御是通過讓用戶輸入驗證碼或者進行其他人機驗證來判斷HTTP訪問是否由真實的用戶發(fā)起的。D.基于基本模式的防御無法有效阻止來自非瀏覽器客戶端的訪問。這是錯誤的描述，因為基本模式的防御可以通過限制每個IP地址的最大連接數(shù)來防止來自非瀏覽器客戶端的訪問。綜上所述，本題的錯誤選項是D。22.在滲透測試過程中，以下哪一項工具常被用于端口掃描?A、AircrackB、TracertC、NmapD、Wireshark答案：C解析：在滲透測試過程中，端口掃描是一項非常重要的任務(wù)，因為它可以幫助測試人員發(fā)現(xiàn)目標系統(tǒng)上開放的端口和服務(wù)，從而確定攻擊面和攻擊方式。在這個過程中，常用的工具是Nmap。Aircrack是一個用于破解無線網(wǎng)絡(luò)密碼的工具，Tracert是一個用于跟蹤網(wǎng)絡(luò)數(shù)據(jù)包路徑的工具，Wireshark是一個用于網(wǎng)絡(luò)協(xié)議分析的工具，它們都不是專門用于端口掃描的工具。因此，正確答案是C，即Nmap。23.以下哪個不是文件類型識別結(jié)果的異常情況A、文件擴展名不匹配B、文件類型無法識別C、文件損壞D、文件被壓縮答案：D解析：文件類型識別結(jié)果有三種異常情況:.文件擴展名不匹配:文件類型與文件擴展名不致?！裎募愋蜔o法識別:無法識別出文件類型，且沒有文件擴展名?！裎募p壞:由于文件被破壞而無法進行文件類型識別。24.以下關(guān)于虛擬系統(tǒng)分流的描述，錯誤的是哪一項？A、接口工作在二層時，采用基于VLAN的分流方式B、接口工作在三層時，采用基于接口的分流方式C、通過分流能將進入設(shè)備的報文送入正確的虛擬系統(tǒng)處理D、采用基于接口的分流方式時，管理口可以分配給指定的虛擬系統(tǒng)答案：D解析：本題考察虛擬系統(tǒng)分流的相關(guān)知識。虛擬系統(tǒng)分流是指將進入設(shè)備的報文送入正確的虛擬系統(tǒng)處理，以實現(xiàn)虛擬系統(tǒng)之間的隔離。根據(jù)題目描述，接口工作在二層時采用基于VLAN的分流方式，接口工作在三層時采用基于接口的分流方式，這兩個描述都是正確的。而選項D中提到管理口可以分配給指定的虛擬系統(tǒng)，這是錯誤的描述，因為管理口不能分配給虛擬系統(tǒng)。因此，本題的答案是D。25.惡意URL是指包含惡意信息的URL，以下哪一項不是惡意URL的來源？A、沙箱反饋的惡意URLB、入侵防御功能反饋的惡意URLC、本地信譽中包含的URLD、反病毒功能反饋的惡意URL答案：B解析：本題考察惡意URL的來源。惡意URL是指包含惡意信息的URL，可能會導(dǎo)致計算機系統(tǒng)受到攻擊或感染病毒等。選項A、D都是反饋惡意URL的來源，沙箱和反病毒功能都可以檢測到惡意URL。選項C中提到的本地信譽是指根據(jù)URL的歷史行為和特征，對其進行評估和分類，從而判斷其是否為惡意URL。因此，選項C也是惡意URL的來源。選項B中提到的入侵防御功能反饋的惡意URL并不是惡意URL的來源，而是入侵防御功能檢測到惡意URL后，將其反饋給用戶的一種方式。因此，選項B是本題的正確答案。26.在虛擬系統(tǒng)中，引流表記錄的是以下哪一種歸屬關(guān)系?A、MAC地址與虛擬系統(tǒng)B、IP地址與虛擬系統(tǒng)C、IP地址與安全策略D、安全策略與虛擬系統(tǒng)答案：B解析：27.如圖所示是防火墻負載分擔組網(wǎng)，上下行設(shè)備為交換機。以下關(guān)于該場景中防火墻VGMP組狀態(tài)的描述，正確的是哪一項？A、防火墻A：Active，防火墻B：StandbyB、防火墻A：Master，防火墻B：BackupC、防火墻A：Master，防火墻B：MasterD、防火墻A：Active，防火墻B：Active答案：D解析：根據(jù)圖中的VGMP組狀態(tài)，可以看到防火墻A和防火墻B的狀態(tài)都是Active，說明兩臺防火墻都在工作狀態(tài)，共同承擔防火墻的負載，實現(xiàn)負載均衡。因此，選項D是正確的描述。選項A和B中都有一臺防火墻處于備份狀態(tài)，不符合實際情況。選項C中兩臺防火墻都是Master狀態(tài)，也不符合實際情況。因此，答案為D。28.對于正常的TCP報文，標志位可能出現(xiàn)以下哪一種情況？A、RST和FIN同時為1B、FIN和URG同時為1C、SYN和ACK同時為1D、SYN和RST同時為1答案：C解析：TCP報文頭部有6個標志位，分別是URG、ACK、PSH、RST、SYN、FIN。這些標志位用于控制TCP連接的建立、維護和關(guān)閉。正常的TCP連接建立過程中，客戶端發(fā)送SYN標志位，服務(wù)器端回復(fù)ACK和SYN標志位，客戶端再回復(fù)ACK標志位，這樣連接就建立成功了。因此，對于正常的TCP報文，標志位可能出現(xiàn)以下哪一種情況？A.RST和FIN同時為1：這種情況表示TCP連接被強制關(guān)閉，即客戶端或服務(wù)器端發(fā)送了RST標志位，表示強制關(guān)閉連接，同時發(fā)送FIN標志位，表示關(guān)閉連接。B.FIN和URG同時為1：這種情況表示TCP連接被關(guān)閉，同時還有緊急數(shù)據(jù)需要傳輸，即發(fā)送FIN標志位表示關(guān)閉連接，同時發(fā)送URG標志位表示有緊急數(shù)據(jù)需要傳輸。C.SYN和ACK同時為1：這種情況表示TCP連接建立成功，即客戶端發(fā)送SYN標志位，服務(wù)器端回復(fù)ACK和SYN標志位，客戶端再回復(fù)ACK標志位，連接建立成功。D.SYN和RST同時為1：這種情況表示TCP連接建立失敗，即客戶端發(fā)送SYN標志位，服務(wù)器端回復(fù)RST標志位，連接建立失敗。因此，對于正常的TCP報文，標志位可能出現(xiàn)的情況是C，即SYN和ACK同時為1。29.使用iMasterNCE-Campus作為Portal服務(wù)器時，為了能夠讓iMasterNCE-Campus根據(jù)用戶的IP地址匹配對應(yīng)的Portal頁面。在接入設(shè)備配置URL模板時，需要配置以下哪種URLparameter？A、ssidB、device-macC、user-macD、user-ipaddress答案：D解析：本題考察的是使用iMasterNCE-Campus作為Portal服務(wù)器時，為了能夠讓iMasterNCE-Campus根據(jù)用戶的IP地址匹配對應(yīng)的Portal頁面，需要在接入設(shè)備配置URL模板時配置哪種URLparameter。首先，我們需要了解一下什么是Portal服務(wù)器。Portal服務(wù)器是一種網(wǎng)絡(luò)認證方式，它通過重定向用戶的請求到一個認證頁面，要求用戶輸入用戶名和密碼或者其他認證信息，以驗證用戶的身份。在認證通過之后，用戶才能夠訪問網(wǎng)絡(luò)資源。在使用iMasterNCE-Campus作為Portal服務(wù)器時，我們需要配置接入設(shè)備的URL模板，以便讓iMasterNCE-Campus根據(jù)用戶的IP地址匹配對應(yīng)的Portal頁面。根據(jù)題目描述，我們需要選擇哪種URLparameter來配置URL模板。選項A：ssid，是指無線網(wǎng)絡(luò)的名稱，與用戶的IP地址無關(guān)，因此不是正確答案。選項B：device-mac，是指接入設(shè)備的MAC地址，與用戶的IP地址無關(guān)，因此不是正確答案。選項C：user-mac，是指用戶的MAC地址，與用戶的IP地址無關(guān)，因此不是正確答案。選項D：user-ipaddress，是指用戶的IP地址，正是我們需要根據(jù)它來匹配對應(yīng)的Portal頁面的關(guān)鍵信息，因此是正確答案。綜上所述，本題的正確答案是D。30.若攻擊者偽造大量用戶對業(yè)務(wù)服務(wù)器發(fā)起DDoS攻擊，則以下哪一項為虛假源攻擊的有效措施？A、源認證技術(shù)B、CDN緩存C、負載均衡技術(shù)D、智能DNS調(diào)度答案：A解析：本題考察的是虛假源攻擊的有效措施。虛假源攻擊是指攻擊者偽造大量用戶對業(yè)務(wù)服務(wù)器發(fā)起DDoS攻擊，使得服務(wù)器無法正常工作。針對這種攻擊，可以采取源認證技術(shù)進行防御。源認證技術(shù)是指通過對數(shù)據(jù)包的源IP地址進行驗證，來判斷數(shù)據(jù)包是否來自合法的源地址。在網(wǎng)絡(luò)中，每個IP地址都是唯一的，攻擊者無法偽造合法的IP地址。因此，源認證技術(shù)可以有效地防止虛假源攻擊。CDN緩存、負載均衡技術(shù)和智能DNS調(diào)度等技術(shù)可以提高服務(wù)器的性能和可用性，但并不能有效地防止虛假源攻擊。綜上所述，本題的正確答案為A，即源認證技術(shù)。31.以下關(guān)于防火墻虛擬系統(tǒng)中出方向流量的描述，正確的是哪一項A、從私網(wǎng)接口流向公網(wǎng)接口的流量，受入方向帶寬的限制B、從公網(wǎng)接口流向私網(wǎng)接口的流量，受入方向帶寬的限制C、從私網(wǎng)接口流向公網(wǎng)接口的流量、受出方向帶寬的限制D、從公網(wǎng)接口流向私網(wǎng)接口的流量，受出方向帶寬的限制答案：C解析：流量計算公網(wǎng)接口主要用于統(tǒng)計虛擬防火墻的流量。公網(wǎng)接口指接口下配置了setpublic-interface命令的接口。私網(wǎng)接口則是指未配置setpublic-interface的接口。?虛擬防火墻A有兩個公網(wǎng)接口和兩個私網(wǎng)接口。虛擬防火墻A入方向流量、出方向流量和整體流量如下：?入方向（inbound）流量：從公網(wǎng)接口流向私網(wǎng)接口的流量。受入方向帶寬的限制。?出方向（outbound）流量：從私網(wǎng)接口流向公網(wǎng)接口的流量。受出方向帶寬的限制。?整體（entire）流量：虛擬防火墻的全部流量=入方向流量+出方向流量+私網(wǎng)接口到私網(wǎng)接口的流量+公網(wǎng)接口到公網(wǎng)接口的流量。整體流量受整體帶寬的限制。?在跨虛擬防火墻轉(zhuǎn)發(fā)的場景中，Virtual-if（虛擬接口）接口默認為公網(wǎng)接口。32.如下圖所示是管理員在網(wǎng)絡(luò)接入設(shè)備上執(zhí)行了Protal認證的相關(guān)配置，則該管理員在Protall認證中使用的認證協(xié)議是以下哪項？A、CHAPB、HTTP/HTTPSC、PortalD、PAP答案：C解析：根據(jù)題目中給出的配置圖，可以看到管理員在網(wǎng)絡(luò)接入設(shè)備上進行了Portal認證的相關(guān)配置，其中包括了認證方式為Portal、認證服務(wù)器地址為、認證端口為8080等信息。因此，該管理員在Portal認證中使用的認證協(xié)議是C選項中的Portal。選項A中的CHAP和D中的PAP是一種基于PPP協(xié)議的認證方式，而選項B中的HTTP/HTTPS是一種基于Web的認證方式，與題目中給出的Portal認證方式不同。因此，正確答案為C。33.華為準入控制方案中，接入設(shè)備接收到RADTUS服務(wù)器的CoA-Roquest報文或者DM-Requst報文后，根據(jù)報文中的哪一個RADIUS屬性來識別用戶？A、called-Station-ldB、Filter-ldC、NAS-IP-AddressD、calling-Station-ld答案：C解析：在華為準入控制方案中，接入設(shè)備接收到RADTUS服務(wù)器的CoA-Roquest報文或者DM-Requst報文后，需要根據(jù)報文中的RADIUS屬性來識別用戶。在這些屬性中，NAS-IP-Address屬性被用來識別用戶。因此，選項C是正確答案。其他選項的解釋如下：A.called-Station-ld：這個屬性用于標識被叫方的MAC地址或AP的BSSID。B.Filter-ld：這個屬性用于標識過濾器的ID。D.calling-Station-ld：這個屬性用于標識主叫方的MAC地址。因此，這些選項都不是用來識別用戶的屬性。34.在iMasterNCE-Campus配置Portal頁面推送策略時，不支持使用以下哪一項作為匹配條件？A、用戶IP地址B、操作系統(tǒng)版本號C、SSIDD、瀏覽器類型答案：B解析：在iMasterNCE-Campus配置Portal頁面推送策略時，可以使用多種條件來匹配用戶，以便向其推送相應(yīng)的Portal頁面。然而，題目要求我們找出不支持作為匹配條件的選項，因此我們需要逐個分析每個選項。A.用戶IP地址：在iMasterNCE-Campus中，可以使用用戶IP地址作為匹配條件，以便向特定的用戶推送Portal頁面。這是一種常見的匹配條件，因為IP地址可以唯一標識一個用戶。B.操作系統(tǒng)版本號：根據(jù)題目要求，不支持使用操作系統(tǒng)版本號作為匹配條件。這意味著無法根據(jù)用戶的操作系統(tǒng)版本號來推送相應(yīng)的Portal頁面。C.SSID：在iMasterNCE-Campus中，可以使用SSID作為匹配條件，以便向連接到特定SSID的用戶推送Portal頁面。這是一種常見的匹配條件，因為SSID可以唯一標識一個無線網(wǎng)絡(luò)。D.瀏覽器類型：在iMasterNCE-Campus中，可以使用瀏覽器類型作為匹配條件，以便向使用特定瀏覽器的用戶推送Portal頁面。這是一種常見的匹配條件，因為不同的瀏覽器可能會對Portal頁面的顯示效果產(chǎn)生影響。因此，根據(jù)題目要求，選項B操作系統(tǒng)版本號不支持作為匹配條件，是正確答案。35.通過華為iMasterNCE-Campus控制器實現(xiàn)準入控制功能，以下哪項不屬于認證授權(quán)所需要配置的內(nèi)容？A、認證結(jié)果B、授權(quán)結(jié)果C、認證規(guī)則D、授權(quán)規(guī)則答案：C解析：本題考察的是通過華為iMasterNCE-Campus控制器實現(xiàn)準入控制功能所需要配置的內(nèi)容。準入控制是指對接入網(wǎng)絡(luò)的用戶進行身份認證和授權(quán)，以保證網(wǎng)絡(luò)的安全性和可靠性。在配置認證授權(quán)時，需要配置認證結(jié)果、授權(quán)結(jié)果、認證規(guī)則和授權(quán)規(guī)則。其中，認證結(jié)果和授權(quán)結(jié)果是指認證和授權(quán)的結(jié)果，認證規(guī)則和授權(quán)規(guī)則是指認證和授權(quán)的規(guī)則。因此，選項C不屬于認證授權(quán)所需要配置的內(nèi)容，是本題的正確答案。36.IPS的簽名過濾器是滿足指定過濾條件的簽名集合。簽名過濾器的過濾條件不包括以下哪一項？A、威脅類別B、簽名IDC、操作系統(tǒng)D、協(xié)議答案：B解析：本題考察的是IPS（入侵防御系統(tǒng)）的簽名過濾器的過濾條件。IPS是一種網(wǎng)絡(luò)安全設(shè)備，用于檢測和防御網(wǎng)絡(luò)中的入侵行為。簽名過濾器是指滿足指定過濾條件的簽名集合，用于過濾網(wǎng)絡(luò)流量中的惡意流量。本題要求選擇不包括在簽名過濾器的過濾條件中的選項。選項A威脅類別是一種常見的過濾條件，用于指定要過濾的威脅類型，例如惡意軟件、漏洞利用等。選項B簽名ID是一個具體的簽名標識符，用于唯一標識一個特定的威脅或漏洞。本題要求選擇不包括在簽名過濾器的過濾條件中的選項，因此排除選項B。選項C操作系統(tǒng)是另一種常見的過濾條件，用于指定要過濾的操作系統(tǒng)類型，例如Windows、Linux等。選項D協(xié)議是指網(wǎng)絡(luò)通信中使用的協(xié)議類型，例如TCP、UDP等。協(xié)議也是簽名過濾器的常見過濾條件之一。綜上所述，本題的答案是B，即簽名過濾器的過濾條件不包括簽名ID。37.以下關(guān)于HWTACACS協(xié)議特征的描述，錯誤的是哪一項?A、使用共享密鑰加密方式，但是僅對認證報文中的密碼字段進行加密B、支持對設(shè)備上的配置命令進行授權(quán)使用，多用于設(shè)備認證C、基于TCP傳輸層協(xié)議，網(wǎng)絡(luò)傳輸可靠性較高D、認證、授權(quán)和計費功能分離，所以認證、授權(quán)和計費服務(wù)可以分別部署在不同的服務(wù)器上答案：A解析：本題考查對HWTACACS協(xié)議特征的理解。根據(jù)題目描述，選項A中提到HWTACACS協(xié)議使用共享密鑰加密方式，但是僅對認證報文中的密碼字段進行加密，這是錯誤的描述。實際上，HWTACACS協(xié)議使用共享密鑰加密方式對整個報文進行加密，而不僅僅是密碼字段。因此，選項A是錯誤的描述，是本題的答案。選項B中提到HWTACACS協(xié)議支持對設(shè)備上的配置命令進行授權(quán)使用，多用于設(shè)備認證，這是正確的描述。選項C中提到HWTACACS協(xié)議基于TCP傳輸層協(xié)議，網(wǎng)絡(luò)傳輸可靠性較高，這也是正確的描述。選項D中提到HWTACACS協(xié)議認證、授權(quán)和計費功能分離，所以認證、授權(quán)和計費服務(wù)可以分別部署在不同的服務(wù)器上，這也是正確的描述。因此，選項B、C、D都是正確的描述，不是本題的答案。38.以下哪一項不屬于Anti-DDoS管理中心的功能？A、性能管理B、策略管理C、告警管理D、流量檢測答案：D解析：本題考查的是Anti-DDoS管理中心的功能。Anti-DDoS管理中心是華為安全產(chǎn)品中的一種，主要用于防御DDoS攻擊。該管理中心具有多種功能，包括性能管理、策略管理、告警管理和流量檢測等。因此，本題要求考生選擇不屬于Anti-DDoS管理中心功能的選項。A.性能管理：Anti-DDoS管理中心可以對系統(tǒng)的性能進行管理，包括監(jiān)控系統(tǒng)的運行狀態(tài)、優(yōu)化系統(tǒng)的性能等。因此，選項A屬于Anti-DDoS管理中心的功能。B.策略管理：Anti-DDoS管理中心可以對防御策略進行管理，包括制定、修改、刪除策略等。因此，選項B屬于Anti-DDoS管理中心的功能。C.告警管理：Anti-DDoS管理中心可以對系統(tǒng)的告警進行管理，包括設(shè)置告警規(guī)則、接收告警信息、處理告警等。因此，選項C屬于Anti-DDoS管理中心的功能。D.流量檢測：流量檢測是一種對網(wǎng)絡(luò)流量進行監(jiān)測和分析的技術(shù)，可以用于檢測DDoS攻擊。雖然Anti-DDoS管理中心可以對流量進行檢測，但是本題要求選擇不屬于Anti-DDoS管理中心功能的選項，因此選項D是正確答案。綜上所述，本題的正確答案是D。39.當使用LDAP服務(wù)器作為認證服務(wù)器時，若要進行用戶認證，則需要對LDAP服務(wù)器的數(shù)據(jù)進行以下哪一種操作A、查詢類B、刪除類C、寫入類D、更新類答案：A解析：當使用LDAP服務(wù)器作為認證服務(wù)器時，需要對LDAP服務(wù)器的數(shù)據(jù)進行查詢操作來進行用戶認證。LDAP（輕量級目錄訪問協(xié)議）是一種用于訪問分布式目錄服務(wù)的協(xié)議，它提供了一種標準化的方法來訪問和維護分布式目錄信息。在LDAP服務(wù)器中，用戶的認證信息通常存儲在目錄樹中的某個節(jié)點上，通過查詢操作可以獲取該節(jié)點上的認證信息，從而進行用戶認證。因此，選項A“查詢類”是正確的答案。選項B“刪除類”、“C寫入類”和D“更新類”都不是進行用戶認證所必需的操作。刪除、寫入和更新操作通常用于管理LDAP服務(wù)器中的數(shù)據(jù)，而不是進行用戶認證。40.以下關(guān)于防火墻虛擬系統(tǒng)中入方向流量的描述，正確的是哪一項？A、從公網(wǎng)接口流向私網(wǎng)接口的流量，受出方向帶寬的限制B、從公網(wǎng)接口流向私網(wǎng)接口的流量，受入方向帶寬的限制C、從私網(wǎng)接口流向公網(wǎng)接口的流量，受入方向帶寬的限制D、從私網(wǎng)接口流向公網(wǎng)接口的流量，受出方向帶寬的限制答案：B解析：本題考察防火墻虛擬系統(tǒng)中入方向流量的限制。防火墻虛擬系統(tǒng)是指在一臺物理防火墻設(shè)備上創(chuàng)建多個虛擬防火墻系統(tǒng)，每個虛擬系統(tǒng)相互獨立，可以獨立配置和管理。根據(jù)題目描述，流量是從公網(wǎng)接口流向私網(wǎng)接口，因此應(yīng)該考慮入方向帶寬的限制。因此，正確答案為B。選項A和D描述的是出方向流量的限制，選項C描述的是私網(wǎng)接口流向公網(wǎng)接口的流量，與題目描述不符。因此，選項B是正確答案。41.每一個引用帶寬通道的帶寬策略都獨自受到該帶寬通道的約束，即符合該帶寬策略匹配條件的流量，獨享最大帶寬資源。以下哪一選項屬于這種帶寬通道的引用方式？A、寬帶共享B、帶寬復(fù)用C、寬帶獨占D、動態(tài)均分答案：C解析：本題考察的是帶寬通道的引用方式。根據(jù)題干中的描述，每一個引用帶寬通道的帶寬策略都獨自受到該帶寬通道的約束，即符合該帶寬策略匹配條件的流量，獨享最大帶寬資源。因此，只有寬帶獨占這種引用方式符合這種約束條件，所以答案為C。其他選項的引用方式都不符合該約束條件。寬帶共享是多個用戶共享同一帶寬資源；帶寬復(fù)用是將多個信號通過同一信道傳輸；動態(tài)均分是根據(jù)流量需求動態(tài)分配帶寬資源。42.LDAP協(xié)議是基于Client/Server結(jié)構(gòu)提供目錄信息的綁定和查詢，所有的目錄信息存儲在LDAP服務(wù)器上。LDAP協(xié)議中目錄是按照樹型結(jié)構(gòu)組織，目錄由條目組成，條目是具有區(qū)別名DN的屬性集合。以下哪一項是LDAP的域名屬性？A、DCB、CNC、OUD、DN答案：A解析：LDAP協(xié)議是一種用于訪問和維護分布式目錄服務(wù)的協(xié)議，它使用Client/Server結(jié)構(gòu)提供目錄信息的綁定和查詢，所有的目錄信息存儲在LDAP服務(wù)器上。LDAP協(xié)議中目錄是按照樹型結(jié)構(gòu)組織，目錄由條目組成，條目是具有區(qū)別名DN的屬性集合。在LDAP中，域名屬性是指用于表示域名的屬性。在LDAP中，域名屬性通常是DC（Domainponent）屬性。因此，選項A中的DC是LDAP的域名屬性，是用于表示域名的屬性。選項B中的CN（monName）是用于表示通用名稱的屬性，選項C中的OU（OrganizationalUnit）是用于表示組織單位的屬性，選項D中的DN（DistinguishedName）是用于表示區(qū)別名的屬性。因此，答案為A。43.以下關(guān)于IPS頂定義簽名的描述，錯誤的是哪一項?A、預(yù)定義簽名的內(nèi)容不是固定的，可以創(chuàng)建、修改或刪除B、當預(yù)定義簽名的動作為阻斷時，阻斷命中簽名的報文，并記錄日志C、當預(yù)定義簽名的動作為放行時，對命中簽名的報文放行，不記錄日志D、當預(yù)定義簽名的動作為告警時，對命中簽名的報文放行，但記錄日志答案：A解析：預(yù)定義簽名的內(nèi)容是固定的，不能創(chuàng)建、修改或刪除。每個預(yù)定義簽名都有缺省的動作，分為：放行：指對命中簽名的報文放行，不記錄日志。告警：指對命中簽名的報文放行，但記錄日志。阻斷：指丟棄命中簽名的報文，阻斷該報文所在的數(shù)據(jù)流，并記錄日志。44.以下關(guān)于清洗中心的描述，錯誤的是哪項？A、回注方式包括：策略路由回注、靜態(tài)路由回注、VPN回注和二層回注B、清洗設(shè)備支持豐富靈活的攻擊防范技術(shù)，但對于CC攻擊、ICMPFlood攻擊無法進行防御C、引流方式有兩種：靜態(tài)引流和動態(tài)引流D、清洗中心完成對異常流量的引流、清洗以及和清洗后流量的回注等功能答案：B解析：45.以下關(guān)于郵件內(nèi)容過濾機制的描述，錯誤的是哪一項？A、郵件內(nèi)容過濾僅在出方向檢測B、防火墻篩選出郵件流量后，再檢查郵箱地址和附件大小，識別出非法郵件C、檢測到POP3或IMAP消息時，如果判定為非法郵件，防火墻的響應(yīng)動作可以是發(fā)送告警信息或阻斷郵件D、防火墻首先需要根據(jù)匹配條件識別出要進行郵件過濾的流量答案：A解析：本題考察郵件內(nèi)容過濾機制的相關(guān)知識點。根據(jù)題目描述，選項A中提到郵件內(nèi)容過濾僅在出方向檢測，這是錯誤的描述。實際上，郵件內(nèi)容過濾應(yīng)該在進出方向都要進行檢測，以確保郵件的安全性和合法性。因此，選項A是本題的正確答案。選項B、C、D中的描述都是正確的，防火墻在篩選出郵件流量后，會檢查郵箱地址和附件大小，識別出非法郵件，并且在檢測到非法郵件時，可以發(fā)送告警信息或阻斷郵件。防火墻在進行郵件過濾時，也需要根據(jù)匹配條件識別出要進行郵件過濾的流量。46.以下關(guān)于IPS簽名類型的描述中，哪一項簽名類型的動作優(yōu)先級最高？A、例外簽名B、自定義簽名C、預(yù)定義簽名D、簽名過濾器答案：A解析：IPS（入侵防御系統(tǒng)）是一種網(wǎng)絡(luò)安全設(shè)備，用于檢測和阻止網(wǎng)絡(luò)攻擊。IPS簽名是用于檢測和識別網(wǎng)絡(luò)攻擊的規(guī)則集合。IPS簽名類型包括預(yù)定義簽名、自定義簽名、例外簽名和簽名過濾器。根據(jù)題目描述，要求確定哪一項簽名類型的動作優(yōu)先級最高。動作優(yōu)先級指的是當多個簽名匹配同一數(shù)據(jù)包時，哪一個簽名的動作會被執(zhí)行。A.例外簽名：例外簽名是一種特殊的簽名類型，用于排除某些特定的流量或主機，以避免誤報或誤封。當例外簽名匹配時，IPS會跳過該簽名，不執(zhí)行任何動作。因此，例外簽名的動作優(yōu)先級最高。B.自定義簽名：自定義簽名是用戶自己創(chuàng)建的簽名，用于檢測特定的攻擊或漏洞。當自定義簽名匹配時，IPS會執(zhí)行用戶定義的動作，如阻止、警告或記錄。自定義簽名的動作優(yōu)先級取決于用戶定義的動作。C.預(yù)定義簽名：預(yù)定義簽名是由IPS廠商提供的簽名，用于檢測已知的攻擊或漏洞。當預(yù)定義簽名匹配時，IPS會執(zhí)行預(yù)定義的動作，如阻止、警告或記錄。預(yù)定義簽名的動作優(yōu)先級取決于IPS廠商定義的動作。D.簽名過濾器：簽名過濾器是一種特殊的簽名類型，用于過濾某些特定的流量或主機，以減少IPS的負載。當簽名過濾器匹配時，IPS會跳過該簽名，不執(zhí)行任何動作。因此，簽名過濾器的動作優(yōu)先級最低。綜上所述，答案為A，例外簽名的動作優(yōu)先級最高。47.以下關(guān)于SSLVPN的特點的描述，錯誤的是哪一項?A、SSLVPN支持的認證種類少，與原有身份認證系統(tǒng)較難集成B、SSLVPN能支持各種IP應(yīng)用C、SSLVPN針對內(nèi)網(wǎng)資源可以解析到應(yīng)用層，并精細化地發(fā)布應(yīng)用D、由于SSLVPN登錄方式借助了瀏覽器，所以實現(xiàn)了客戶端的自動安裝和配置，這樣用戶可以隨時隨地用設(shè)備快捷登錄，同時也緩解了網(wǎng)絡(luò)管理員維護客戶端等方面的壓力答案：A解析：本題考察對SSLVPN的特點的理解。根據(jù)題目描述，選項A中提到SSLVPN支持的認證種類少，與原有身份認證系統(tǒng)較難集成，這是錯誤的描述。實際上，SSLVPN支持多種認證方式，如用戶名密碼認證、數(shù)字證書認證、令牌認證等，且可以與原有身份認證系統(tǒng)集成，提高了安全性和便利性。因此，選項A是錯誤的描述，是本題的答案。選項B、C、D中提到的SSLVPN的特點都是正確的，如SSLVPN能支持各種IP應(yīng)用、針對內(nèi)網(wǎng)資源可以解析到應(yīng)用層，并精細化地發(fā)布應(yīng)用、由于SSLVPN登錄方式借助了瀏覽器，所以實現(xiàn)了客戶端的自動安裝和配置，這樣用戶可以隨時隨地用設(shè)備快捷登錄，同時也緩解了網(wǎng)絡(luò)管理員維護客戶端等方面的壓力。48.以下哪一項不屬于遠程用戶通過SSLVPN訪問內(nèi)網(wǎng)資源的流程？A、用戶認證B、用戶登錄C、資源訪問D、訪問計費答案：D解析：本題考察的是遠程用戶通過SSLVPN訪問內(nèi)網(wǎng)資源的流程。根據(jù)題目描述，我們可以知道，遠程用戶通過SSLVPN訪問內(nèi)網(wǎng)資源的流程包括以下三個步驟：1.用戶認證：遠程用戶需要提供用戶名和密碼等認證信息，以驗證其身份是否合法。2.用戶登錄：認證通過后，遠程用戶需要登錄到SSLVPN系統(tǒng)，以建立與內(nèi)網(wǎng)的安全通道。3.資源訪問：登錄成功后，遠程用戶可以通過SSLVPN系統(tǒng)訪問內(nèi)網(wǎng)資源，包括文件、應(yīng)用程序、數(shù)據(jù)庫等。因此，本題的正確答案為D，訪問計費不屬于遠程用戶通過SSLVPN訪問內(nèi)網(wǎng)資源的流程。49.以下哪一項是健康檢查無法支持的探測協(xié)議？A、RADIUSB、CHCMPC、DNSD、UDP答案：D解析：本題考查健康檢查支持的探測協(xié)議。健康檢查是指對服務(wù)器或應(yīng)用程序進行定期檢查，以確保它們正常運行并能夠提供服務(wù)。常用的健康檢查探測協(xié)議包括TCP、HTTP、HTTPS、ICMP等。而UDP協(xié)議是無連接的，不提供可靠的數(shù)據(jù)傳輸，因此健康檢查無法支持UDP協(xié)議作為探測協(xié)議。因此，本題的正確答案是D。選項A、B、C都是常用的探測協(xié)議，可以用于健康檢查。50.若想實現(xiàn)對用戶的論壇發(fā)帖、用戶登錄等行為進行控制，應(yīng)配置以下哪一項HTTP行為控制？A、POST操作B、重定向C、文件上傳D、文件下載答案：A解析：本題考察的是HTTP行為控制，要實現(xiàn)對用戶的論壇發(fā)帖、用戶登錄等行為進行控制，應(yīng)配置哪一項HTTP行為控制。選項A：POST操作。POST操作是HTTP協(xié)議中的一種請求方法，用于向服務(wù)器提交數(shù)據(jù)，常用于表單提交等場景。通過對POST操作進行控制，可以限制用戶的發(fā)帖行為，防止用戶惡意發(fā)帖。選項B：重定向。重定向是指當瀏覽器請求某個URL時，服務(wù)器返回一個重定向響應(yīng)，告訴瀏覽器重新請求另一個URL。重定向并不能對用戶的發(fā)帖、登錄等行為進行控制。選項C：文件上傳。文件上傳是指將本地文件上傳到服務(wù)器，常用于上傳圖片、視頻等文件。文件上傳并不能對用戶的發(fā)帖、登錄等行為進行控制。選項D：文件下載。文件下載是指將服務(wù)器上的文件下載到本地，常用于下載軟件、音樂等文件。文件下載并不能對用戶的發(fā)帖、登錄等行為進行控制。綜上所述，本題正確答案為A，應(yīng)配置POST操作進行HTTP行為控制。51.在iMasterNCE-Campus上配置認證規(guī)則時，不支持使用以下哪一種類型的認證方式作為匹配條件?A、設(shè)備管理認證B、無線用戶認證C、用戶接入認證D、MAC認證答案：B解析：52.以下哪一種DDoS攻擊類型可以被限流技術(shù)防范？A、DNSFloodB、HTTPFloodC、ICMPF1oodD、SYNFlood答案：C解析：53.開啟NAT穿越之后，當檢測到兩臺網(wǎng)關(guān)中間存在NAT設(shè)備，ESP報文將會被封裝在一個UDP頭部中，以下哪一項是資UDP頭部的源目端口號?A、源端口:4500，目的端口:4500B、源端口:4500，目的端口:500C、源端口:500，目的端口:500D、源端口:500，目的端口:4500答案：A解析：54.以下關(guān)于虛擬系統(tǒng)使用限制的描述，錯誤的是哪項？A、只要在根系統(tǒng)中進行系統(tǒng)軟件的升級B、如果接口已經(jīng)配置了IP地址，在分配給虛擬時會被清除C、管理口不能分配給虛擬系統(tǒng)D、虛擬系統(tǒng)管理員能通過Console口登錄設(shè)備答案：D解析：本題考察對虛擬系統(tǒng)使用限制的理解。根據(jù)選項描述，A、B、C三項均為虛擬系統(tǒng)使用限制的正確描述，而D項描述錯誤。虛擬系統(tǒng)管理員不能通過Console口登錄設(shè)備，只能通過虛擬系統(tǒng)的管理口登錄設(shè)備。因此，本題的正確答案為D。55.以下哪一項不是Anti-DDos防御系統(tǒng)管理中心的職責(zé)？A、安全報表分析B、設(shè)備管理C、下發(fā)防御策略D、進行流量引流答案：D解析：管理中心即ATIC，負責(zé)檢測中心和清洗中心的統(tǒng)一管理，是Anti-DDoS解決方案的管理中樞。提供設(shè)備管理、策略管理、性能管理、告警管理、報表管理等功能。整個方案的中樞，通過管理中心將檢測分析中心和清洗中心連接起來形成完整的解決方案。管理中心分為管理服務(wù)器和數(shù)據(jù)采集器兩個部分，可以安裝在一臺服務(wù)器上，也可以安裝在不同服務(wù)器上。可以是虛擬化產(chǎn)品，部署在windows或者linux系統(tǒng)上，類似于esight網(wǎng)管中心。56.以下關(guān)于虛擬接口的描述，錯誤的是哪項？A、虛擬系統(tǒng)之間通過虛擬接口實現(xiàn)互訪B、虛擬接口的鏈路層和協(xié)議層始終是UPC、根系統(tǒng)的虛擬接口為Virtual-if1D、虛擬接口的格式為“Virtual-if+接口號”答案：C解析：本題考察對虛擬接口的理解。虛擬接口是指在一個物理接口上創(chuàng)建多個邏輯接口，以實現(xiàn)多個虛擬系統(tǒng)之間的通信。因此，選項A正確，虛擬系統(tǒng)之間通過虛擬接口實現(xiàn)互訪。虛擬接口的鏈路層和協(xié)議層始終是UP，這是因為虛擬接口是邏輯接口，不受物理接口的影響，因此選項B正確。虛擬接口的格式為“Virtual-if+接口號”，這是虛擬接口的命名規(guī)則，因此選項D正確。而根系統(tǒng)的虛擬接口命名為Virtual-if1是錯誤的，因此選項C是錯誤的。因此，本題的答案是C。57.用戶使用SSL訪問內(nèi)網(wǎng)的網(wǎng)絡(luò)資源，管理員為用戶開啟了文件共享和web代理的業(yè)務(wù)，并且在防火墻上放行了業(yè)務(wù)的流量，但是用戶在PC上輸入虛擬網(wǎng)關(guān)的地址后，在網(wǎng)頁中看不到文件共享和Web代理的列表，以下哪一選項可能導(dǎo)致該故障產(chǎn)生？A、虛擬網(wǎng)關(guān)對外NAT的端口錯誤B、用戶PC的虛擬網(wǎng)卡上有沒有獲取到虛擬IP地址C、管理員沒有為用戶配置文件共享和Web代理的授權(quán)D、防火墻與客戶端之間路由不可達答案：C解析：本題考察用戶使用SSL訪問內(nèi)網(wǎng)的網(wǎng)絡(luò)資源時，無法看到文件共享和Web代理的列表的可能原因。根據(jù)題干中的信息，管理員已經(jīng)為用戶開啟了文件共享和Web代理的業(yè)務(wù)，并且在防火墻上放行了業(yè)務(wù)的流量，因此選項A和D可以排除。選項B可能導(dǎo)致用戶無法訪問內(nèi)網(wǎng)資源，但不會導(dǎo)致無法看到文件共享和Web代理的列表。因此，正確答案為C，即管理員沒有為用戶配置文件共享和Web代理的授權(quán)，導(dǎo)致用戶無法看到相關(guān)列表。58.以下哪一項不是雙機熱備一致性檢查的內(nèi)容？A、接口地址B、NAT配置C、帶寬策略D、安全策略答案：B解析：雙機熱備一致性檢查是指在雙機熱備系統(tǒng)中，主備設(shè)備之間進行的一種檢查機制，以確保主備設(shè)備之間的配置和狀態(tài)保持一致，從而保證系統(tǒng)的高可用性和穩(wěn)定性。該機制通常包括以下內(nèi)容：A.接口地址：主備設(shè)備的接口地址必須一致，否則可能會導(dǎo)致網(wǎng)絡(luò)故障或數(shù)據(jù)丟失。B.NAT配置：NAT配置通常不是雙機熱備一致性檢查的內(nèi)容，因為NAT配置通常是針對特定的網(wǎng)絡(luò)環(huán)境和應(yīng)用場景進行的，不同的主備設(shè)備可能需要不同的NAT配置。C.帶寬策略：主備設(shè)備的帶寬策略必須一致，否則可能會導(dǎo)致網(wǎng)絡(luò)擁塞或性能下降。D.安全策略：主備設(shè)備的安全策略必須一致，否則可能會導(dǎo)致安全漏洞或攻擊。因此，選項B“NAT配置”不是雙機熱備一致性檢查的內(nèi)容。59.以下關(guān)于內(nèi)容過濾中關(guān)鍵字的描述，錯誤的是哪一項?A、關(guān)鍵字包括預(yù)定義關(guān)鍵字和自定義關(guān)鍵字B、文本和正則表達式能匹配的關(guān)鍵字最短長度為3個字節(jié)C、預(yù)定義關(guān)鍵字是管理員手工定義且可以識別的關(guān)鍵字D、正則表達式方式匹配比文本方式更加靈活和高效，但配置需要遵循正則表達式規(guī)則答案：C解析：本題考察的是關(guān)于內(nèi)容過濾中關(guān)鍵字的描述，需要判斷哪一項是錯誤的。A選項描述的是關(guān)鍵字包括預(yù)定義關(guān)鍵字和自定義關(guān)鍵字，這是正確的。B選項描述的是文本和正則表達式能匹配的關(guān)鍵字最短長度為3個字節(jié)，這也是正確的。C選項描述的是預(yù)定義關(guān)鍵字是管理員手工定義且可以識別的關(guān)鍵字，這是錯誤的。預(yù)定義關(guān)鍵字是系統(tǒng)預(yù)先定義好的一些關(guān)鍵字，管理員無法手工定義。D選項描述的是正則表達式方式匹配比文本方式更加靈活和高效，但配置需要遵循正則表達式規(guī)則，這也是正確的。因此，本題的答案是C，描述錯誤的是預(yù)定義關(guān)鍵字是管理員手工定義且可以識別的關(guān)鍵字。60.以下關(guān)于策略路由匹配規(guī)則的描述，錯誤的是哪一項？A、當配置多條策略路由規(guī)則時，策略路由列表默認是按昭配置順序排列按照配置順予排列B、一個匹配條件中如果可以配置多個值，多個值之間是"或"的關(guān)系，報文的屬性只要匹配任意一個值，就認為報文的屬性匹配了這個條件C、每條策略路由中只包含一個匹配條件D、系統(tǒng)默認存在一條缺省策略路由default，缺省策略路由位于策略列表的最底部，優(yōu)先級最低，所有匹配條件均為any，動作為不做策略路由答案：C解析：本題考察的是策略路由匹配規(guī)則的相關(guān)知識點。根據(jù)題目描述，選項A、B、D都是正確的描述，而選項C是錯誤的描述。因為實際上每條策略路由中可以包含多個匹配條件，只有當所有匹配條件都匹配成功時，才會執(zhí)行該策略路由的動作。因此，選項C是錯誤的描述，是本題的答案。61.以下關(guān)于文件過濾處理流程的描述，正確的是哪一項？A、如果文件的所有參數(shù)都能夠匹配所有文件過濾規(guī)則，那么模塊將執(zhí)行此文件過濾規(guī)則的動作B、文件過濾模塊會將之前模塊識別出的文件的應(yīng)用類型、文件類型和傳輸方向與管理員配置的文件過濾規(guī)則查詢表進行從上到下的匹配C、執(zhí)行的動作有告警和阻斷兩種D、如果文件類型是壓縮文件，那么在進行文件過濾檢測后，文件將會被送到文件解壓模塊進行解壓縮，解壓出原始文件。若解壓失敗，文件不會再進行文件過濾答案：D解析：文件解壓：如果文件類型是壓縮文件，那么在進行文件過濾檢測后，文件將會被送到文件解壓模塊進行解壓縮，解壓出原始文件。?解壓成功：解壓后的文件將會再被送到文件類型識別模塊進行文件類型識別和文件類型異常檢測，然后識別出文件類型的解壓文件還會再次進行文件過濾。?解壓失?。何募疾粫龠M行文件過濾。62.以下關(guān)于web代理中WebLink的描述，錯誤的是哪一項？A、存在頁面兼容性問題，可能會出現(xiàn)圖片錯位情況B、對URL不會進行改寫，會暴露內(nèi)網(wǎng)服務(wù)器的真實地址C、存在一定的安全風(fēng)險D、依賴IE控件，在非IE環(huán)境中無法正常使用答案：A解析：63.以下哪一項為Tracert報文攻擊的防范方法？A、丟棄帶有時間踐的IP報文B、對于檢測到的超時ICMP報文或UDP報文，或者目的端口不可達的報文，給予丟棄處理C、用戶可以根據(jù)實際網(wǎng)絡(luò)需要配置允許通過的ICP報文的最大長度，當實際IP報文的長度超過該值時，將丟棄該文D、對ICMP不可達報文進行丟棄，并記錄攻擊日志答案：B解析：64.以下關(guān)于保證帶寬和最大帶寬的描述，錯誤的是哪一項？A、可以基于每IP/用戶設(shè)置保證帶寬和最大帶寬B、如果流量大于最大帶寬，則直接丟棄超出最大帶寬的流量C、如果流量小于保證帶寬，這部分流量在出接口與其它帶寬通道中同類型的流量自由競爭帶寬資源D、針對IP或用戶的保證帶寬和最大帶寬設(shè)置可實現(xiàn)更加細化的帶寬限制答案：C解析：本題考察的是關(guān)于保證帶寬和最大帶寬的描述，需要判斷哪一項是錯誤的。根據(jù)選項內(nèi)容逐一分析：A.可以基于每IP/用戶設(shè)置保證帶寬和最大帶寬：這個選項是正確的，可以根據(jù)每個IP或用戶的需求設(shè)置不同的保證帶寬和最大帶寬。B.如果流量大于最大帶寬，則直接丟棄超出最大帶寬的流量：這個選項是正確的，如果流量超出了最大帶寬的限制，那么超出部分的流量會被直接丟棄。C.如果流量小于保證帶寬，這部分流量在出接口與其它帶寬通道中同類型的流量自由競爭帶寬資源：這個選項是錯誤的，如果流量小于保證帶寬，那么保證帶寬的部分會被優(yōu)先保障，而不是與其它帶寬通道中的同類型流量自由競爭帶寬資源。D.針對IP或用戶的保證帶寬和最大帶寬設(shè)置可實現(xiàn)更加細化的帶寬限制：這個選項是正確的，可以根據(jù)IP或用戶的需求設(shè)置更加細化的保證帶寬和最大帶寬限制。綜上所述，選項C是錯誤的，是本題的答案。65.如圖所示，防火墻主備備份組網(wǎng)，通過在防火墻A上查看HRP狀態(tài)，得到信息如下：以下哪一項不是可能的原因？A、心跳線沒有加入安全區(qū)域B、對端沒有開啟雙機熱備功能C、對端沒有指定心跳口D、防火墻B上的業(yè)務(wù)接口皆故障答案：D解析：根據(jù)圖中顯示的HRP狀態(tài)，可以看到防火墻A和B之間的心跳狀態(tài)為“異?！?，這意味著主備備份組網(wǎng)中存在問題。根據(jù)選項進行分析：A.心跳線沒有加入安全區(qū)域：這可能導(dǎo)致心跳信號被防火墻規(guī)則阻止，但不會導(dǎo)致心跳狀態(tài)異常。B.對端沒有開啟雙機熱備功能：如果對端沒有開啟雙機熱備功能，那么主備備份組網(wǎng)將無法正常工作，但這不會導(dǎo)致心跳狀態(tài)異常。C.對端沒有指定心跳口：如果對端沒有指定心跳口，那么心跳信號將無法正常傳輸，但這不會導(dǎo)致心跳狀態(tài)異常。D.防火墻B上的業(yè)務(wù)接口皆故障：這是可能導(dǎo)致心跳狀態(tài)異常的原因之一，因為如果防火墻B上的業(yè)務(wù)接口全部故障，那么心跳信號將無法正常傳輸，從而導(dǎo)致心跳狀態(tài)異常。因此，選項D是不可能的原因，其他選項都有可能導(dǎo)致心跳狀態(tài)異常。66.在NAT穿越場景中，如果檢測到NAT設(shè)備后，ISAKMP消息的目的端口號將變?yōu)橐韵履囊豁?A、4500B、51C、50D、500答案：A解析：在NAT穿越場景中，當檢測到NAT設(shè)備時，ISAKMP消息的目的端口號將變?yōu)?500。這是因為在NAT環(huán)境中，IP地址和端口號都會被修改，因此需要使用NAT穿越技術(shù)來確保VPN連接的安全性和可靠性。ISAKMP是VPN協(xié)議中用于建立安全通道的協(xié)議，它使用UDP協(xié)議進行通信，通常使用500端口。但是，在NAT環(huán)境中，500端口可能被NAT設(shè)備占用，因此需要使用4500端口來避免沖突。因此，當檢測到NAT設(shè)備時，ISAKMP消息的目的端口號將變?yōu)?500。選項A是正確答案。67.以下關(guān)于GRE_overIPSec的描述，錯誤的是哪一項?A、IPSec封裝過程中增加的IP頭即源地址為IPSec網(wǎng)關(guān)應(yīng)用IPSec安全策略的接口地址，目的地址即IPSec對等體中應(yīng)用IPSc安全策略的接地址B、當網(wǎng)關(guān)之間采用GREoverIPSec連接時，先進行GRE封裝，在進行IPSec封裝C、GRE封裝過程中增加的IP頭即源地址為IPSec隧道的源端地址，目的地址為IPSec隧道的目的端地址D、IPSec需要保護的數(shù)據(jù)流為從GRE起點到GRE終點的數(shù)據(jù)流答案：C解析：本題考察對GREoverIPSec的理解。GREoverIPSec是一種在IPSec隧道中使用GRE協(xié)議的方式，可以提供更好的靈活性和可擴展性。下面是各選項的解析：A.正確。IPSec封裝過程中增加的IP頭即源地址為IPSec網(wǎng)關(guān)應(yīng)用IPSec安全策略的接口地址，目的地址即IPSec對等體中應(yīng)用IPSc安全策略的接地址。B.正確。當網(wǎng)關(guān)之間采用GREoverIPSec連接時，先進行GRE封裝，在進行IPSec封裝。C.錯誤。GRE封裝過程中增加的IP頭即源地址為IPSec隧道的源端地址，目的地址為IPSec隧道的目的端地址，而不是IPSec對等體中應(yīng)用IPSc安全策略的接地址。D.正確。IPSec需要保護的數(shù)據(jù)流為從GRE起點到GRE終點的數(shù)據(jù)流。因此，本題的正確答案為C。68.在Linux主機上，可通過查看以下哪一個文件來統(tǒng)計當前系統(tǒng)中的所有用戶名稱及登陸方式？A、/etc/passwdB、/etc/profileC、/etc/shadowD、/etc/rc.local答案：A解析：本題考查Linux系統(tǒng)中查看所有用戶名稱及登陸方式的方法。正確答案為A，即通過查看/etc/passwd文件來統(tǒng)計當前系統(tǒng)中的所有用戶名稱及登陸方式。/etc/passwd文件是Linux系統(tǒng)中存儲用戶賬戶信息的文件，其中包含了系統(tǒng)中所有用戶的賬戶信息，包括用戶名、用戶ID、用戶組ID、用戶家目錄、默認shell等信息。通過查看該文件，可以獲取系統(tǒng)中所有用戶的賬戶信息，從而統(tǒng)計出所有用戶名稱及登陸方式。選項B、C、D均不是正確答案。/etc/profile文件是系統(tǒng)全局的shell配置文件，不包含用戶賬戶信息；/etc/shadow文件是存儲用戶密碼信息的文件，不包含用戶名稱及登陸方式信息；/etc/rc.local文件是系統(tǒng)啟動時執(zhí)行的腳本文件，也不包含用戶賬戶信息。因此，本題正確答案為A。69.對于新建網(wǎng)絡(luò)、用戶集中、信息安全要求嚴格的場合，一般采用哪一種認證方式?A、Portal認證B、802.1x認證C、MAC優(yōu)先的Porta1認證D、MAC認證答案：B解析：本題考察的是在新建網(wǎng)絡(luò)、用戶集中、信息安全要求嚴格的場合下，采用哪種認證方式。A.Portal認證：Portal認證是一種基于Web的認證方式，用戶需要在Web頁面上輸入用戶名和密碼才能訪問網(wǎng)絡(luò)。但是，Portal認證的安全性較低，易受到中間人攻擊。B.802.1x認證：802.1x認證是一種基于端口的網(wǎng)絡(luò)訪問控制技術(shù)，可以對接入網(wǎng)絡(luò)的用戶進行身份認證和授權(quán)。該認證方式安全性較高，能夠有效防止未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)。C.MAC優(yōu)先的Portal認證：MAC優(yōu)先的Portal認證是一種基于MAC地址的認證方式，用戶需要在Web頁面上輸入MAC地址和密碼才能訪問網(wǎng)絡(luò)。但是，MAC地址易被偽造，安全性較低。D.MAC認證：MAC認證是一種基于MAC地址的認證方式，用戶需要在設(shè)備上設(shè)置MAC地址才能訪問網(wǎng)絡(luò)。但是，MAC地址易被偽造，安全性較低。綜上所述，對于新建網(wǎng)絡(luò)、用戶集中、信息安全要求嚴格的場合，一般采用802.1x認證方式，因為該認證方式安全性較高，能夠有效防止未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)。因此，本題的答案為B。70.以下關(guān)于配額控制策略的描述，錯誤的是哪一頂？A、配額控制策略只能限制用戶上網(wǎng)流量的額度B、配額控制策略由檢測和控制兩部分組成C、配額控制策略可以限制最大帶寬D、配額控制策略可以實時檢測上網(wǎng)流量答案：A解析：本題考查配額控制策略的相關(guān)知識點。配額控制策略是一種網(wǎng)絡(luò)管理策略，可以限制用戶的網(wǎng)絡(luò)資源使用量，包括流量、帶寬等。選項A描述錯誤，因為配額控制策略不僅可以限制用戶上網(wǎng)流量的額度，還可以限制其他網(wǎng)絡(luò)資源的使用量。因此，選項A是本題的正確答案。選項B、C、D描述正確，配額控制策略由檢測和控制兩部分組成，可以限制最大帶寬，可以實時檢測上網(wǎng)流量。71.若管理員需要將某些簽名動作設(shè)置為與簽名過濾器不同的動作時，可以配置例外簽名。以下哪一項不是例外簽名的動作?A、放行B、阻斷且隔高源IPC、告警且超出閥值后阻斷D、阻斷且隔離目的IP答案：C解析：本題考察的是管理員在配置例外簽名時可以設(shè)置的動作。例外簽名是指與簽名過濾器不同的動作，可以用于特定的網(wǎng)絡(luò)環(huán)境或者特定的應(yīng)用場景。根據(jù)題目描述，需要選擇不是例外簽名的動作，因此正確答案為C。A.放行：放行是一種例外簽名的動作，可以用于特定的網(wǎng)絡(luò)環(huán)境或者特定的應(yīng)用場景，允許某些特定的流量通過。B.阻斷且隔高源IP：阻斷且隔離高源IP是一種例外簽名的動作，可以用于特定的網(wǎng)絡(luò)環(huán)境或者特定的應(yīng)用場景，阻止來自高風(fēng)險源IP的流量，并將其隔離在網(wǎng)絡(luò)的邊緣。C.告警且超出閥值后阻斷：這是一種常規(guī)的簽名過濾器動作，不是例外簽名的動作。D.阻斷且隔離目的IP：阻斷且隔離目的IP是一種例外簽名的動作，可以用于特定的網(wǎng)絡(luò)環(huán)境或者特定的應(yīng)用場景，阻止流向特定目的IP的流量，并將其隔離在網(wǎng)絡(luò)的邊緣。因此，選項C是不是例外簽名的動作，是本題的正確答案。72.使用iNasterNCE-Campus作為Portal服務(wù)器，在華為無線控制器上部署Portal認證，下哪一項配置不是必須的？A、URL模板B、認證模板C、Portal認證模板D、MAC認證模板答案：D解析：本題考察的是在使用iNasterNCE-Campus作為Portal服務(wù)器，在華為無線控制器上部署Portal認證時，哪一項配置不是必須的。A.URL模板：URL模板是指用戶在連接無線網(wǎng)絡(luò)時，會被重定向到Portal認證頁面的URL地址。因此，URL模板是必須配置的，否則用戶無法進行認證。B.認證模板：認證模板是指Portal認證頁面的樣式和內(nèi)容。認證模板也是必須配置的，否則用戶無法進行認證。C.Portal認證模板：Portal認證模板是指無線控制器與Portal服務(wù)器之間的認證協(xié)議。Portal認證模板也是必須配置的，否則無法進行認證。D.MAC認證模板：MAC認證模板是指使用MAC地址進行認證的模板。在使用iNasterNCE-Campus作為Portal服務(wù)器時，不一定需要使用MAC地址進行認證，因此MAC認證模板不是必須的配置項。綜上所述，答案為D。73.以下關(guān)于URL分類的描述，錯誤的是哪一項?A、自定義URL分類需要管理員手工配置B、預(yù)定義URL分類是出廠預(yù)置的，無需管理員手動加載C、預(yù)定義URL分類不能創(chuàng)建、刪除和重命名D、預(yù)定義URL分類優(yōu)先級高于自定義URL分類答案：D解析：自定義URL分類優(yōu)先級高于預(yù)定義URL分類。74.IPSec整個協(xié)議框架包含多種協(xié)議，以下哪一項協(xié)議不屬于IPSec協(xié)議框架？A、ESPB、AHC、IKED、TLS答案：D解析：75.如圖所示，企業(yè)A與企業(yè)B需要安全通信，防火墻A和防火墻B之間建立IPSec隧道，則以下哪一項的安全協(xié)議和封裝模式可以滿足該場景需求？A、AH；隧道模式B、ESP；隧道模式C、ESP；傳輸模式D、AH+ESP；傳輸模式答案：B解析：根據(jù)題目中的需求，企業(yè)A和企業(yè)B需要安全通信，防火墻A和防火墻B之間建立IPSec隧道。因此，需要使用IPSec協(xié)議來保證通信的安全性。在IPSec中，有兩種常用的安全協(xié)議：AH和ESP。AH協(xié)議提供數(shù)據(jù)完整性和源認證，但不提供數(shù)據(jù)加密。ESP協(xié)議提供數(shù)據(jù)加密、數(shù)據(jù)完整性和源認證。因此，選項A中的AH協(xié)議不能滿足數(shù)據(jù)加密的需求，不符合題目要求。選項C中的ESP協(xié)議可以提供數(shù)據(jù)加密，但是傳輸模式只對數(shù)據(jù)部分進行加密，而不對IP頭進行加密，容易被攻擊者截獲IP頭信息。因此，選項C也不符合題目要求。選項D中的AH+ESP協(xié)議可以提供數(shù)據(jù)完整性、數(shù)據(jù)加密和源認證，但是傳輸模式同樣存在IP頭信息泄露的問題。因此，選項D也不符合題目要求。選項B中的ESP協(xié)議和隧道模式可以同時提供數(shù)據(jù)加密、數(shù)據(jù)完整性和源認證，同時對整個IP包進行加密，保證了通信的安全性，符合題目要求。因此，選項B是正確答案。76.以下關(guān)于webLink與Web改寫區(qū)別的描述，錯誤的是哪一項?A、WebLink不會進行加密和適配，只做單純“轉(zhuǎn)發(fā)”遠程用戶的Web資源請求B、由于WebLink少了加密和適配的環(huán)節(jié)，因此業(yè)務(wù)處理效率較之Web改寫要高C、WebLink比Web改寫依賴IE控件，在非IE環(huán)境中無法正常使用D、WebLink需要加密和適配的環(huán)節(jié)，因此安全性更高答案：D解析：本題考察對WebLink與Web改寫的理解以及它們之間的區(qū)別。A選項描述的是WebLink的特點，即它只是簡單地轉(zhuǎn)發(fā)遠程用戶的Web資源請求，不會進行加密和適配。這是正確的。B選項描述的是WebLink與Web改寫的區(qū)別，即WebLink少了加密和適配的環(huán)節(jié)，因此業(yè)務(wù)處理效率較之Web改寫要高。這也是正確的。C選項描述的是WebLink的缺點，即它比Web改寫更依賴IE控件，在非IE環(huán)境中無法正常使用。這是正確的。D選項描述的是WebLink需要加密和適配的環(huán)節(jié)，因此安全性更高。這是錯誤的。實際上，由于WebLink不進行加密和適配，因此它的安全性相對較低，容易受到網(wǎng)絡(luò)攻擊。因此，本題的答案是D。77.以下關(guān)于健康檢