【正文】 客戶端A和服務(wù)器B之間建立TCP連接，再三次握手中，B往A發(fā)送的SYN+ACK（seq=b，ack=a+1），下列說法正確的有：A、 該數(shù)據(jù)包是對序號b的SYN數(shù)據(jù)包進(jìn)行確認(rèn)B、 該數(shù)據(jù)包是對序號a+1的SYN數(shù)據(jù)包進(jìn)行確認(rèn)C、 B下一個希望收到的ACK數(shù)據(jù)包的序號為bD、 B下一個希望收到的ACK數(shù)據(jù)包的序號為a+1 rule permit ip source ：A、B、C、D、下列關(guān)于防火墻分片緩存功能，說法正確的有：（多選） A、配置分片報文直接轉(zhuǎn)發(fā)功能后，防火墻不對分片報文進(jìn)行緩存 B、配置分片報文直接轉(zhuǎn)發(fā)功能后，對于不是首片報文的分片報文，防火墻將根據(jù)域間包過濾策略進(jìn)行轉(zhuǎn)發(fā) C、分片報文也會創(chuàng)建會話表，轉(zhuǎn)發(fā)時也會查找會話表 D、分片報文的非首片報文，由于沒有端口號，所以分片報文直接轉(zhuǎn)發(fā)功能一般不能用在NAT環(huán)境下面哪個選項不屬于UTM（Unified Treat Management）的功能？ A、IPS入侵防御 B、上網(wǎng)行為 C、終端安全管理 D、AV網(wǎng)關(guān)防病毒終端安全系統(tǒng)主要由以下哪些組件組成：（多選） A、防病毒服務(wù)器 B、SC控制服務(wù)器 C、準(zhǔn)入控制設(shè)備 D、SM管理服務(wù)器對稱加密算法的加密秘鑰和解密秘鑰均相同，非對稱加密算法的加密秘鑰和解密秘鑰均不相同。Ipsec在業(yè)務(wù)數(shù)據(jù)加解密時使用的是對稱加密算法。 T （true）華為USG防火墻VRRP HELLO報文為組播報文，所以要求備份組中的各路由器必須能夠?qū)崿F(xiàn)直接的二層互通。T （true）在ARP地址解析時，ARP REPLY報文采用廣播的方式發(fā)送，同一個二層網(wǎng)絡(luò)上主機(jī)都能夠收到，并據(jù)此學(xué)習(xí)到IP和MAC地址對應(yīng)關(guān)系。F （FALSE）USG狀態(tài)檢測防火墻查看Session信息如下：USGdisplay firewall session table verbose Current total sessions:1 Icmp VPN:public public Zone:trust untrust Slot:8 CPU : 0 TTL: 00:00:20 Left: 00:00:19 Interface: GigabiEthernet6/0/0 Nexthop: packets: 134 bytes : 8040 packets : 134 bytes : 8040 :1280 :2048根據(jù)上面的信息下面說法正確的是：（多選）A、 B、 該報文時VPN報文C、 后續(xù)到達(dá)防火墻的報文，需要匹配會話表和防火墻安全策略D、 正向流量的出接口是GigabitEthernet6/0/0CA（Certificate Authority）證書用于SSL通信連接建立時，驗證虛擬網(wǎng)關(guān)用戶的身份，保存于設(shè)備側(cè)，由CA機(jī)構(gòu)頒發(fā)。 T 1通過display ike sa看到的結(jié)果如下，說法正確的是？（多選） Current ike sa number 1 Connectionid peer vpn flag phase doi 0x1f1 0 RDIST v1: 1 IPSEC 0x6043dc4 Flag meaning RD—READY ST—STAYALIVE RL –REPLACED FD –FADING TO –TIMEOUTA、 第一階段ike sa 已經(jīng)成功建立B、 第二階段ipsec sa已經(jīng)成功建立C、 Ike 使用的版本是v1D、 Ike使用的版本是v21關(guān)于L2TP消息，說法錯誤的為： A、L2TP依附于PPP進(jìn)行賬戶認(rèn)證 B、控制消息只能用于隧道與會話連接的建立，維護(hù)以及傳輸控制 C、數(shù)據(jù)消息只能用于封裝PPP幀并在隧道上傳輸 D、控制消息和數(shù)據(jù)消息都可以提供流量控制和擁塞控制功能1以下哪種攻擊不屬于網(wǎng)絡(luò)層攻擊？ A、IP欺騙攻擊 B、Smurf攻擊 C、ARP欺騙攻擊 D、ICMP攻擊1VRRP（Virtual Router Redundancy Protocol）中，主路由器定期向備份路由器發(fā)送通告報文（HELLO），備份路由器則只負(fù)責(zé)監(jiān)聽通告報文，不會進(jìn)行回應(yīng)。T 1使用NAT技術(shù)，只可以對數(shù)據(jù)報文中的網(wǎng)絡(luò)層信息（IP地址）進(jìn)行轉(zhuǎn)換。F1ASPF（Application Specific Packet Filter）是一種基于應(yīng)用層的包過濾，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。ASPF通過Server Map表實現(xiàn)了特殊的安全機(jī)制關(guān)于ASPF和Server map表說法正確的是？ A、ASPF監(jiān)視通信過程中的報文 B、ASPF動態(tài)創(chuàng)建和刪除過濾規(guī)則 C、ASPF通過Server map表實現(xiàn)動態(tài)允許多通道協(xié)議數(shù)據(jù)通過 D、五元組Server map表項實現(xiàn)了和會話表類似的功能1上網(wǎng)用戶管理的轉(zhuǎn)發(fā)流程中，上網(wǎng)用戶認(rèn)證只能發(fā)生在首包流程中，一旦用戶通過認(rèn)證，設(shè)備建立session表，后續(xù)報文不需要重復(fù)進(jìn)行用戶認(rèn)證。T1攻擊者通過發(fā)送ICMP應(yīng)答請求，并將請求包的目的地址設(shè)為受害網(wǎng)絡(luò)的廣播地址。這種行為屬于哪一種攻擊？ A、IP欺騙攻擊 B、Smurf攻擊 C、ICMP重定向攻擊 D、SYN flood攻擊1以下哪個選項不屬于AES的秘鑰長度？ A、64 B、128 C、192 D、256基于會話的狀態(tài)監(jiān)測防火墻對于首包和后續(xù)包有不同的處理流程，下面描述正確的是：（多選） A、報文到達(dá)防火墻，會查找會話表，如果沒有匹配，防火墻進(jìn)行首包處理流程 B、報文到達(dá)防火墻，會查找會話表，如果匹配防火墻進(jìn)行后續(xù)包處理流程 C、在狀態(tài)檢查機(jī)制打開的情況下，防火墻處TCP報文時候，只有SYN報文才能建立會話 D、在狀態(tài)檢查機(jī)制打開的情況下，后續(xù)和他需要進(jìn)行安全策略檢查2AH協(xié)議號是下面那個選項？ A、51 B、50 C、52 D、492AAA包含以下哪幾項：（多選） A、Authentication認(rèn)證 B、Authentication授權(quán) C、Accounting計費 D、Audit審計2安全聯(lián)盟由三元組唯一標(biāo)識，以下哪一項不屬于安全聯(lián)盟的三元組？ A、安全協(xié)議號 B、源IP地址 C、目的IP地址 D、安全參數(shù)索引2一般的公司或組織中有時會存在這樣一類用戶，他們不是該公司員工，只是臨時到訪該公司，需要借用該公司網(wǎng)絡(luò)上網(wǎng)，他們沒有屬于自己的賬號，無法進(jìn)行認(rèn)證，但設(shè)備要對他們的網(wǎng)絡(luò)權(quán)限進(jìn)行控制。對于這類用戶，支持自動為其創(chuàng)建對應(yīng)的臨時用戶，并使用IP地址作為該用戶的用戶名。管理員在規(guī)劃用戶管理時，一般將這類用戶認(rèn)證劃分為： A、免認(rèn)證 B、單點認(rèn)證 C、密碼認(rèn)證 D、臨時認(rèn)證2HRP會話快速備份時將主用設(shè)備相應(yīng)的狀態(tài)信息表項快速備份到備用設(shè)備，使返回報文在備用設(shè)備上能夠查找到相應(yīng)的狀態(tài)信息表項，從而保證內(nèi)外部用戶的業(yè)務(wù)不中斷。T2配置源NAT策略時，目的區(qū)域的配置可以用配置流量出接口信息來取代。T2防火墻IPS協(xié)議識別功能對基于非標(biāo)準(zhǔn)端口的服務(wù)進(jìn)行識別，解決了使用非標(biāo)準(zhǔn)端口的應(yīng)用服務(wù)報文的漏報和誤報問題。 T2防火墻配置防病毒功能選擇過濾協(xié)議包括以下哪幾項：（多選） A、文件傳輸協(xié)議 B、郵件協(xié)議 C、安全協(xié)議 D、共享協(xié)議2終端安全系統(tǒng)支持藍(lán)牙、SD卡等計算機(jī)外設(shè)的監(jiān)控功能，并支持配置禁止外部設(shè)備。T在USG產(chǎn)品的web配置界面中，在配置虛擬IP地址池時，虛擬IP地址范圍內(nèi)的IP地址可以為虛擬網(wǎng)關(guān)或接口的IP地址，也可以為內(nèi)網(wǎng)存在的IP地址。 F3防火墻雙機(jī)熱備配置中，HRP必須配置包括：（多選） A、啟用HRP備份功能hrp enable B、啟用會話快速備份hrp mirror session enable C、指定心跳口hrp interface interfacetype interfacenumber D、搶占延遲時間hrp preempt [delay interval]3如何查看安全策略的匹配次數(shù)： A、display firewall session table B、display security policy all C、display security policy count D、count security policy hit3ESP報文在哪種封裝模式下，可以實現(xiàn)對原IP頭數(shù)據(jù)的機(jī)密性： A、傳輸模式 B、隧道模式 C、傳輸模式+隧道模式 D、加密模式3在IP Sec VPN配置中如果使用preshared方式驗證，可以選擇是否為對端配置秘鑰，兩邊的秘鑰必須一致 F3關(guān)于終端安全系統(tǒng)的部署方式描述錯誤的是： A、集中部署方式的主要特點是可以根據(jù)管理終端數(shù)目的多少，選擇SM、SC、數(shù)據(jù)庫等組件來安裝在同一臺服務(wù)器上 B、終端相對集中在幾個區(qū)域，而且區(qū)域之間的帶寬比較小，建議采用分布式組網(wǎng) C、終端規(guī)模相當(dāng)大時，可以考慮使用集中式部署組網(wǎng)，避免大量撞斷訪問終端服務(wù)器，占用大量的網(wǎng)絡(luò)帶寬 D、分布式部署時，終端安全安全代理選擇就近的控制服務(wù)器SC，獲得身份認(rèn)證和準(zhǔn)入控制等各項業(yè)務(wù)3終端安全體系的五大要素不包括以下哪一項： A、身份認(rèn)證 B、業(yè)務(wù)隔離 C、安全認(rèn)證 D、業(yè)務(wù)授權(quán)3某企業(yè)在部署網(wǎng)絡(luò)邊界防火墻時，配置了NAT Server 源NAT，OSPF路由和相關(guān)安全策略，數(shù)據(jù)到達(dá)該防火墻時，防火墻的處理順序為： A、OSPF路由安全策略源NATNAT Server B、安全策略源NATNAT ServerOSPF路由器 C、源NATOSPF路由 安全策略NAT server D、NAT Server OSPF路由安全策略源NAT3以下哪個問題可以利用IP secIKE野蠻模式進(jìn)行解決：（多選） A、隧道兩端協(xié)商慢的問題 B、協(xié)商過程中的安全性問題 C、NAT穿越問題 D、發(fā)起者源地址不確定問題配置防火墻安全區(qū)域的安全級別時，描述錯誤的是： A、新建的安全區(qū)域，系統(tǒng)默認(rèn)其安全級別為1 B、只能為自定義的安全區(qū)域設(shè)定安全級別 C、安全級別一旦設(shè)定，不允許更改 D、同一系統(tǒng)中，兩個安全區(qū)域不允許配置相同的安全級別4關(guān)于NAT的說法正確的是： A、帶端口轉(zhuǎn)換的NAT可以通過配置NAT地址池來實現(xiàn) B、NAT兼容目前所有的IPsec安全協(xié)議 C、因為FTP協(xié)議是多通道協(xié)議，所以不支持NAT D、NAT支持TCP/IP二、三、四層進(jìn)行轉(zhuǎn)換4查看防火墻的HRP狀態(tài)信息如下: HRP_S[USG_B]display hrp state The firewall’s config state is: Standby Current state of virtual routers configured as standby GigabitEthernet1/0/0 vrid 1:standby GigabitEthernet1/0/1 vrid 2:standby 以下描述正確的是：A、 此防火墻VGMP組狀態(tài)為Active B、 此防火墻G1/0/0和G1/0/1接口的VRRP組狀態(tài)為standbyC、 此防火墻的HRP心跳線接口為G1/0/0和G1/0/1D、 此防火墻一定是出于搶占狀態(tài)4防火墻IPS策略的簽名過濾器之間存在優(yōu)先關(guān)系，在同一條IPS策略中，編號小的簽名過濾器比編號大的簽名過濾器的優(yōu)先級高F4狀態(tài)檢測防火墻使用會話表來追蹤激活的TCP會話和UDP會話，由防火墻安全策略決定建立哪些會話，數(shù)據(jù)包只有與會話相關(guān)聯(lián)時才會被轉(zhuǎn)發(fā)T4關(guān)于NAT配置中“easy IP”的說法，下列描述正確的是： A、easy IP不能再pat場景下 B、配置NAT策略直接轉(zhuǎn)換成出接口IP地址 C、easy ip 用于目的地址轉(zhuǎn)換的場景 D、easy ip可以與addressgroup同時使用4ASPF技術(shù)使得防火墻能夠支持如FTP等多通道協(xié)議，同時還可以對復(fù)雜的應(yīng)用制訂相應(yīng)的安全策略T4反掩碼和子網(wǎng)掩碼格式相似，但取值含義不同，在反掩碼中，1表示對應(yīng)的IP地址位需要比較，0表示對應(yīng)的IP地址位忽略比較F4下面關(guān)于SSL握手協(xié)議各階段中的內(nèi)容描述哪個是錯誤的？ A、客戶端發(fā)送client_Hello消息，服務(wù)器端回應(yīng)Server_Hello消息 B、服務(wù)器端發(fā)送Server_Hello便等待客戶端發(fā)送的消息 C、服務(wù)器端收到服務(wù)器發(fā)送的一系列消息并消化后，發(fā)送Client Key Exchange等消息給