華為認證安全專家HCIE-Security模擬試題及答案

1. (題型：多選)防火牆的IP報文分片重組需要對報文中哪幾個欄位進行分析?

A. 識別符號Identifier

B. 標誌Flags

C. 片偏移Fragment Offset

D. 總長度Total Length

E. 生命時間TTL

2. (題型：多選)以下哪幾項是關於狀態檢測防火牆轉發原理的正確描述：

A. 非首包轉發基於會話表，匹配會話表才能轉發。

B. ICMP報文不會進行狀態檢測。

C. 處理UDP協議包時為該UDP資料流建立連線。

D. 防火牆在做為二層裝置部署時不支援狀態檢測機制。

E. 基於TCP連線三次握手進行會話狀態檢測。

3. (題型：多選)"在防火牆上做了如下配置：

[USG-policy-security] rule name Trust_Local

[USG-policy-security-rule-Untrust_Local] source-zone trust

[USG-policy-security-rule-Untrust_Local] destination-zone local

[USG-policy-security-rule-Untrust_Local] source-address 32

[USG-policy-security-rule-Untrust_Local] destination-address 32

[USG-policy-security-rule-Untrust_Local] service http

[USG-policy-security-rule-Untrust_Local] service telnet

[USG-policy-security-rule-Untrust_Local] action permit

請選擇以下正確的描述是：

A. 允許防火牆通過Telnet方式登入的裝置。

B. 允許這個IP地址通過Telnet方式登入防火牆。

C. 允許防火牆通過Web方式登入的裝置。

D. 允許地址段通過Web方式登入防火牆。

4. (題型：多選)以下哪些功能模組可結合IP-Link功能使用?

A. DHCP

B. 路由策略

C. VRRP

D. OSPF

5. (題型：多選)以下哪些報文可以是單播報文

A. VRRP Hello

B. VGMP Hello

C. HRP Hello

D. OSPF Hello

E. BFD

6. (題型：多選)在雙機熱備的場景，關於防火牆主裝置和備裝置描述錯誤的是?

A. 當雙機熱備工作在主備狀態下，主用裝置的命令提示符顯示HRP_A，備用裝置的命令提示符顯示HRP_S。

B. 預設情況下，主用裝置的配置會立刻備份到備用裝置上。

C. 只有主裝置才能進行命令配置，備用裝置命令不能進行配置。

D. 配置主裝置顯示HRP_A，配置從裝置顯示HRP_S，而且不隨優先順序變化而變化。

7. (題型：多選)關於UDP Flood 和 TCP Flood攻擊防範說法正確的是：

A. UDP協議是無連線的，因此無法通過源探測實現。

B. 防範UDP Flood，通過分析某個主機發送UDP報文的規律和特徵，這個規律和特徵被稱為指紋學習。

C. UDP報文的指紋學習功能通過學習報文資料段全部欄位。

D. UDP和TCP協議可以通過代理技術實現。

8. (題型：多選)異常流量清洗系統的部署建議正確的是：

A. 旁掛佈署或直路部署在網路出口處。

B. 管理伺服器對網路裝置的監控採用Telnet。

C. 管理伺服器通過SNMP協議向網路裝置下發策略。

D. 檢測中心和清洗中心向採集器上報日誌。

9. (題型：多選)防火牆針對接入使用者可採用以下哪幾種方式實現使用者身份認證：

A. NTML認證

B. RADIUS認證

C. HWTACACS認證

D. LDAP認證

E. PEAP認證

10. (題型：判斷)防火牆執行GRE時,物理口和Tunnel口都需要加入安全域。

11. (題型：多選)L2TP over IPSec的場景中,如果LNS分配的地址池和內網在相同網段,需要配置哪些命令才能保證分支和內部伺服器之間的通訊正常?

A. 內網介面配置arp代理

B. 地址池的每個地址配置明細路由

C. 使能 l2tpmoreexam enable

D. 使能 l2fwdfast enable

12. (題型：多選)在配置IKE提議時，下面哪3個引數是必須配置的'?

A. 加密演算法

B. Hash演算法

C. PFS DH-group

D. security acl

13. (題型：多選)Agile Controller中SM元件的主要功能是什麼?

A. 作為Agile Controller的管理中心，負責制定總體策略。

B. 作為Agile Controller的管理介面，對系統進行配置和監控。

C. 作為Agile Controller的管理中心，整合有標準的RADIUS伺服器、Portal伺服器、Auth伺服器和Network伺服器。

D. 作為Agile Controller的安全協防伺服器，負責對iRadar上報的安全事件進行分析計算。

14. (題型：多選)關於802.1X的認證模式，以下描述正確的有?

A. 802.1X認證模式分為基於介面和基於MAC兩種。

B. 在同一個介面下，基於埠和基於MAC兩種模式可以同時開啟。

C. 從對所有接入使用者認證的要求來看，基於MAC模式比基於埠模式更安全。

D. 從對所有接入使用者認證的要求來看，基於埠模式比基於MAC模式更安全。

15. (題型：多選)關於802.1X認證的觸發機制，以下描述正確的有?

A. 802.1X認證觸發只能由客戶端主動發起。

B. 802.1X認證只能由認證裝置(如802.1X交換機)發起。

C. 802.1X客戶端可以組播或廣播方式觸發認證。

D. 認證裝置可以以組播或單播方式觸發認證。

16. (題型：多選)相比802.1X認證，Portal認證的優點有哪些?

A. Portal認證不要求安裝客戶端軟體。

B. Portal認證更適合網路的臨時訪問者。

C. Portal能夠用於啞終端接入場景。

D. Portal認證相容MAC認證。

17. (題型：多選)入侵防禦實現機制包括哪些?

A. 黑名單匹配

B. 協議識別和協議解析

C. 特徵匹配

D. 響應處理

18. (題型：多選)在NGFW中，若要使用RBL黑名單，網路管理員需要配置以下哪些關鍵選項?

A. DNS伺服器

B. 應答碼

C. RBL伺服器IP地址

D. SMTP伺服器IP地址

19. (題型：多選)USG防火牆跟其他裝置三層直接相連，調測時發現從防火牆ping直連的對端IP地址不通，並且已經明確對端裝置沒有問題，分析可能的原因是什麼?

A. 防火牆上路由配置錯誤

B. 防火牆介面沒有加入安全域

C. 防火牆local到對應安全域方向的包過濾未啟用

D. 防火牆對應域的域內包過濾策略未啟用

20. (題型：單選)某管理員是國內某大型銀行安全技術人員，部門近期要部署一批網路和安全產品用於線上交易平臺，為保證業務系統穩定正常，以下哪個方案最適合。

A. 雙機熱備

B. 冷熱互備

C. 雙機熱備+冷備

D. 雙機負載

21. (題型：多選)隨著我國資訊化和資訊保安保障工作的不斷深入推進，加強和規範資訊保安服務資質管理已成為資訊保安管理的重要基礎性工作。以下哪些是中國資訊保安認證中心所提供的資質認證?

A. 安全研發服務資質認證

B. 安全部署服務資質認證

C. 風險評估服務資質認證

D. 應急處理服務資質認證

答案： 10.T 20. C 21. CD