第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁華為網(wǎng)絡(luò)安全初級新題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.在華為網(wǎng)絡(luò)安全設(shè)備配置中，以下哪項(xiàng)是保障設(shè)備自身安全的基本措施？（）

A.開啟設(shè)備自動登錄功能

B.定期更新設(shè)備密碼并使用強(qiáng)密碼策略

C.關(guān)閉設(shè)備管理端口

D.允許未知用戶遠(yuǎn)程管理

2.根據(jù)華為“零信任安全架構(gòu)”理念，以下哪項(xiàng)描述最符合該架構(gòu)的核心原則？（）

A.基于網(wǎng)絡(luò)區(qū)域劃分訪問權(quán)限

B.默認(rèn)信任，例外禁止

C.僅驗(yàn)證用戶身份即可放行訪問

D.所有用戶均可訪問所有資源

3.在華為VRP操作系統(tǒng)中，用于配置接口IP地址的命令是？（）

A.`system-view`

B.`ipaddress`

C.`port-security`

D.`access-list`

4.若華為交換機(jī)端口出現(xiàn)“端口安全違規(guī)”告警，可能的原因是？（）

A.端口未配置VLAN

B.接入設(shè)備MAC地址與配置列表沖突

C.端口速率不匹配

D.端口描述信息錯誤

5.華為防火墻策略配置中，“源地址”和“目的地址”分別指的是？（）

A.源地址為內(nèi)網(wǎng)，目的地址為外網(wǎng)

B.源地址為防火墻自身，目的地址為終端設(shè)備

C.源地址為訪問者IP，目的地址為服務(wù)器IP

D.源地址和目的地址均需為VPN地址

6.在配置華為路由器OSPF區(qū)域時，以下哪項(xiàng)操作會導(dǎo)致路由環(huán)路？（）

A.將核心層設(shè)備劃入Area0

B.在Area1中配置虛連接

C.使用Type1LSA廣播路由信息

D.為所有接口啟用PIM

7.華為云安全組功能類似于傳統(tǒng)防火墻的哪項(xiàng)特性？（）

A.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）

B.狀態(tài)檢測包過濾

C.VPN隧道加密

D.防火墻集群（HA）

8.若華為交換機(jī)日志中顯示“VLAN4095告警”，可能的原因是？（）

A.VLAN4095配置錯誤

B.STP協(xié)議異常

C.CPU速率過高

D.鏈路聚合異常

9.在華為防火墻中，以下哪項(xiàng)技術(shù)主要用于檢測應(yīng)用層攻擊？（）

A.ACL規(guī)則

B.IPS（入侵防御系統(tǒng)）

C.NAT轉(zhuǎn)換

D.VPN加密

10.華為“智能威脅感知”系統(tǒng)主要基于哪項(xiàng)技術(shù)？（）

A.人工病毒庫更新

B.基于機(jī)器學(xué)習(xí)的異常行為分析

C.靜態(tài)規(guī)則匹配

D.人工威脅情報共享

11.配置華為路由器靜態(tài)路由時，以下哪項(xiàng)參數(shù)是必須的？（）

A.下一跳地址

B.接口名稱

C.防火墻策略編號

D.AS號

12.在華為交換機(jī)配置中，“`displaycounters`”命令主要用于查看？（）

A.CPU占用率

B.端口流量統(tǒng)計(jì)

C.用戶登錄記錄

D.密碼策略配置

13.若華為防火墻出現(xiàn)“策略丟棄流量”情況，可能的原因是？（）

A.防火墻性能不足

B.策略順序錯誤

C.NAT規(guī)則沖突

D.防火墻重啟

14.華為“SDN安全”架構(gòu)的核心優(yōu)勢是？（）

A.提高設(shè)備硬件成本

B.增加網(wǎng)絡(luò)復(fù)雜度

C.實(shí)現(xiàn)集中管控與自動化防御

D.減少網(wǎng)絡(luò)設(shè)備數(shù)量

15.在配置華為交換機(jī)端口安全時，以下哪項(xiàng)操作會導(dǎo)致“安全上限超限”告警？（）

A.手動添加5個MAC地址

B.配置動態(tài)MAC地址學(xué)習(xí)

C.設(shè)置靜態(tài)MAC地址綁定

D.降低安全上限閾值

16.華為VPN策略中，“IKEv2”協(xié)議相較于“IKEv1”的優(yōu)勢是？（）

A.更低的安全性

B.更高的傳輸延遲

C.支持移動場景下的快速重連

D.需要更多設(shè)備資源

17.若華為路由器配置了“`iproute-static/8`”，該條路由的作用是？（）

A.查詢ARP表

B.指定默認(rèn)網(wǎng)關(guān)

C.靜態(tài)路由轉(zhuǎn)發(fā)

D.配置浮動路由

18.在華為防火墻中，以下哪項(xiàng)命令用于查看當(dāng)前活躍的連接數(shù)？（）

A.`displaysessions`

B.`displaytraffic-policy`

C.`displayfirewallsession`

D.`displaysystemresources`

19.華為交換機(jī)“`port-securityviolationlimitaction`”命令用于？（）

A.配置違規(guī)告警級別

B.設(shè)置違規(guī)處理動作（如丟棄/隔離）

C.重置安全計(jì)數(shù)器

D.禁用端口安全功能

20.在配置華為云防火墻時，以下哪項(xiàng)操作會導(dǎo)致策略生效延遲？（）

A.使用“`commitforce`”強(qiáng)制應(yīng)用

B.配置策略依賴條件

C.禁用策略檢查功能

D.設(shè)置高優(yōu)先級策略

二、多選題（共15分，多選、錯選均不得分）

21.華為防火墻策略配置中，以下哪些參數(shù)是可選的？（）

A.源/目的端口

B.應(yīng)用協(xié)議（如HTTP/S）

C.優(yōu)先級值

D.NAT規(guī)則

E.服務(wù)器組

22.在華為交換機(jī)配置中，以下哪些命令用于查看端口狀態(tài)？（）

A.`displayinterfacebrief`

B.`displayinterfacedescription`

C.`displayinterfacecounterserrors`

D.`displaystp`

E.`displaymac-address-table`

23.華為“SD-WAN安全”架構(gòu)主要包含哪些組件？（）

A.控制平面（SDN控制器）

B.載荷平面（智能路由）

C.安全網(wǎng)關(guān)（IPS/VPN）

D.管理平面（統(tǒng)一運(yùn)維平臺）

E.應(yīng)用識別引擎（AppID）

24.配置華為路由器OSPF時，以下哪些操作會導(dǎo)致路由匯總？（）

A.在ABR上配置“`area`”命令

B.使用“`summary-address`”命令

C.將網(wǎng)絡(luò)類型設(shè)置為“`broadcast`”

D.配置ASBR

E.啟用PIM路由協(xié)議

25.華為防火墻中，以下哪些技術(shù)屬于入侵防御（IPS）功能？（）

A.惡意代碼檢測

B.漏洞掃描

C.網(wǎng)絡(luò)流量分析

D.行為異常識別

E.防火墻策略執(zhí)行

三、判斷題（共10分，每題0.5分）

26.華為交換機(jī)VLANID的有效范圍是1-4094。（）

27.在華為防火墻中，默認(rèn)策略優(yōu)先級最低。（）

28.配置華為路由器靜態(tài)路由時，必須指定下一跳接口而非IP地址。（）

29.華為“智能威脅感知”系統(tǒng)僅支持本地設(shè)備，無法接入云端安全平臺。（）

30.在華為交換機(jī)端口安全配置中，動態(tài)MAC地址學(xué)習(xí)會自動覆蓋靜態(tài)綁定條目。（）

31.華為VPN策略中，IKEv2協(xié)議默認(rèn)使用UDP端口500。（）

32.華為防火墻的“策略執(zhí)行”模塊負(fù)責(zé)解析應(yīng)用協(xié)議并檢測威脅。（）

33.配置華為路由器OSPF時，Area0必須存在且不能被刪除。（）

34.華為交換機(jī)STP協(xié)議默認(rèn)優(yōu)先級為128。（）

35.華為云防火墻支持與第三方SIEM系統(tǒng)的日志對接。（）

四、填空題（共15分，每空1分）

1.華為防火墻的______技術(shù)用于檢測和阻止已知威脅，而______技術(shù)用于識別未知攻擊。

2.配置華為交換機(jī)端口安全時，______模式允許設(shè)備自動學(xué)習(xí)接入設(shè)備的MAC地址，______模式需要手動添加所有允許的MAC地址。

3.華為路由器OSPF協(xié)議中，______LSA用于描述區(qū)域內(nèi)部網(wǎng)絡(luò)拓?fù)洌琠_____LSA用于描述區(qū)域間連接路由。

4.在華為防火墻策略配置中，______用于控制訪問權(quán)限，______用于實(shí)現(xiàn)地址轉(zhuǎn)換。

5.華為“智能威脅感知”系統(tǒng)通過______和______技術(shù)實(shí)現(xiàn)威脅的自動檢測與響應(yīng)。

6.配置華為交換機(jī)VLAN時，______VLAN用于特殊用途（如管理），______VLAN用于廣播域隔離。

7.華為VPN策略中，______協(xié)議支持快速重連，______協(xié)議需手動重新建立連接。

8.在華為防火墻中，______規(guī)則用于允許流量，______規(guī)則用于拒絕流量。

9.配置華為路由器靜態(tài)路由時，______參數(shù)指定目標(biāo)網(wǎng)絡(luò)，______參數(shù)指定下一跳地址。

10.華為交換機(jī)“______”命令用于查看設(shè)備CPU和內(nèi)存使用情況。

五、簡答題（共30分，每題6分）

41.簡述華為防火墻“零信任安全架構(gòu)”的核心原則及其在策略配置中的應(yīng)用。

42.配置華為交換機(jī)端口安全時，若出現(xiàn)“安全上限超限”告警，應(yīng)如何排查和解決？

43.在華為路由器中配置OSPF時，如何避免路由環(huán)路？請列舉至少兩種方法。

44.華為防火墻中，策略規(guī)則順序?qū)α髁刻幚碛泻斡绊懀咳绾蝺?yōu)化規(guī)則順序以提高效率？

45.簡述華為“智能威脅感知”系統(tǒng)的工作原理及其在網(wǎng)絡(luò)安全管理中的價值。

六、案例分析題（共20分）

46.案例背景：某企業(yè)使用華為防火墻部署辦公網(wǎng)絡(luò)，內(nèi)網(wǎng)用戶反映訪問外部網(wǎng)站（如）時頻繁中斷。防火墻日志顯示，部分流量被策略“`policy100`”丟棄，該策略規(guī)則如下：

-Action:Drop

-SourceZone:Trust

-DestinationZone:Untrust

-SourceAddress:Any

-DestinationAddress:

-DestinationPort:Any

-Service:Any

問題：

（1）分析該策略可能導(dǎo)致訪問中斷的原因，并提出解決方案。

（2）若企業(yè)需要允許內(nèi)網(wǎng)用戶訪問所有Google服務(wù)（包括DNS、搜索等），應(yīng)如何優(yōu)化策略？

參考答案及解析部分

一、單選題

1.B

解析：開啟自動登錄功能（A）存在安全風(fēng)險；關(guān)閉管理端口（C）是加固措施但非基礎(chǔ)；允許未知用戶（D）違反安全原則。華為推薦使用強(qiáng)密碼策略（B）并定期更新。

2.B

解析：零信任核心是“永不信任，始終驗(yàn)證”（B），其他選項(xiàng)描述的是傳統(tǒng)安全模型特征。

3.B

解析：`ipaddress`是VRP操作系統(tǒng)配置接口IP的標(biāo)準(zhǔn)命令，其他選項(xiàng)分別用于系統(tǒng)視圖、端口安全和訪問控制列表。

4.B

解析：端口安全告警通常因接入設(shè)備MAC與配置列表沖突（B），其他選項(xiàng)描述的是不同故障場景。

5.C

解析：防火墻策略中的源/目的地址均指IP層地址，而非VPN地址（D），其他選項(xiàng)描述不準(zhǔn)確。

6.B

解析：在Area1中配置虛連接（B）可能導(dǎo)致路由匯總問題，其他操作是標(biāo)準(zhǔn)配置。

7.B

解析：安全組功能與狀態(tài)檢測包過濾（B）類似，其他選項(xiàng)描述的是NAT、VPN或HA功能。

8.A

解析：VLAN4095是華為保留的“超級VLAN”，其告警通常與VLAN配置錯誤（A）相關(guān)。

9.B

解析：IPS（B）用于檢測應(yīng)用層攻擊，其他選項(xiàng)描述的是不同安全功能。

10.B

解析：智能威脅感知基于機(jī)器學(xué)習(xí)（B）分析異常行為，其他選項(xiàng)描述的是傳統(tǒng)安全機(jī)制。

11.A

解析：靜態(tài)路由必須指定下一跳地址（A），其他參數(shù)是可選的。

12.B

解析：`displaycounters`用于查看端口流量統(tǒng)計(jì)（B），其他命令分別用于狀態(tài)、用戶記錄和策略配置。

13.B

解析：策略順序錯誤（B）會導(dǎo)致流量被誤丟棄，其他選項(xiàng)是可能原因但非首要。

14.C

解析：SDN安全的核心優(yōu)勢是集中管控與自動化（C），其他選項(xiàng)描述不準(zhǔn)確。

15.A

解析：手動添加5個MAC地址（A）可能超限，其他操作不會觸發(fā)告警。

16.C

解析：IKEv2支持移動場景快速重連（C），其他選項(xiàng)描述的是相對劣勢。

17.C

解析：該命令是靜態(tài)路由配置（C），其他選項(xiàng)描述不同路由類型。

18.C

解析：`displayfirewallsession`顯示活躍連接（C），其他命令分別用于會話列表、流量策略和系統(tǒng)資源。

19.B

解析：該命令用于設(shè)置違規(guī)處理動作（B），其他選項(xiàng)描述不同功能。

20.B

解析：配置策略依賴條件（B）可能導(dǎo)致生效延遲，其他操作是標(biāo)準(zhǔn)配置。

二、多選題

21.ABC

解析：NAT規(guī)則（D）和服務(wù)器組（E）非策略必選參數(shù)。

22.ABC

解析：`displayinterfacebrief`（A）、`displayinterfacedescription`（B）、`displayinterfacecounterserrors`（C）用于查看端口狀態(tài)，其他命令描述不同功能。

23.ABCDE

解析：SD-WAN安全包含控制平面（A）、載荷平面（B）、安全網(wǎng)關(guān)（C）、管理平面（D）和應(yīng)用識別引擎（E）。

24.AB

解析：配置匯總地址（B）和ABR匯總（A）會導(dǎo)致路由匯總，其他選項(xiàng)描述不同協(xié)議特性。

25.ABD

解析：IPS功能包括惡意代碼檢測（A）、行為異常識別（D）和漏洞掃描（B），其他選項(xiàng)描述不同功能。

三、判斷題

26.√

27.√

28.×（必須指定下一跳IP地址）

29.×（支持云端聯(lián)動）

30.√

31.×（IKEv2默認(rèn)UDP4500）

32.√

33.√

34.√

35.√

四、填空題

1.病毒庫/機(jī)器學(xué)習(xí)

2.動態(tài)學(xué)習(xí)/靜態(tài)綁定

3.鏈路狀態(tài)/鄰居

4.訪問控制/NAT轉(zhuǎn)換

5.機(jī)器學(xué)習(xí)/人工智能

6.Management/Data

7.IKEv2/IKEv1

8.允許/拒絕

9.Destination/NextHop

10.`displaysystemresources`

五、簡答題

41.答案：

-零信任核心原則：永不信任，始終驗(yàn)證；最小權(quán)限訪問；微隔離；持續(xù)監(jiān)控與響應(yīng)。

-應(yīng)用：在策略配置中需明確用戶身份、設(shè)備憑證、訪問時長、權(quán)限范圍，通過動態(tài)策略（如基于用戶角色）控制訪問。

42.答案：

-排查：檢查安全上限配置值、當(dāng)前已綁定的MAC數(shù)量、接入設(shè)備MAC是否沖突。

-解決：降低安全上限閾值、刪除冗余綁定條目、調(diào)整端口工作模式（如從動態(tài)切換靜態(tài)）。

43.答案：

1.在ABR上配置路由匯總（`summary-address`）；

2.禁用自動匯總（`noauto-summar