H3C安全问题部分试题.doc

H3C安全问题部分试题GBO283部分试题76. IPSec 的两种工作方式（ A. NAS-initiated B. Client-initiated C. tunnel D. transport Answer: CD 77. AH 是报文验证头协议，主要提供以下功能（ A. 数据机密性 B. 数据完整性 C. 数据来源认证 D. 反重放 Answer: BCD 78. ESP 是封装安全载荷协议，主要提供以下功能（ A. 数据机密性 B. 数据完整性 C. 数据来源认证 D. 反重放 Answer: ABCD 79. AH 是报文验证头协议，可选择 的散列算法有（ A. MD5 B. DES C. SHA1 D. 3DES Answer: AC 80. ESP 是封装安全载荷协议，可选择的加密算法有（ A. MD5 B. DES C. SHA1 D. 3DES E. AES Answer: BDE 81. IPSec 安全联盟 SA 由哪些参数唯一标识（ A. 安全参数索引 SPI B. IP 本端地址 C. IP 目的地址 D. 安全协议号 Answer: ACD 82. MD5 散列算法具有（ ）位摘要值A. 56 B. 128 C. 160 D. 168 Answer: B 83. SHA1 散列算法具有（ ）位摘要值A. 56 B. 128 C. 160 D. 168 Answer: C 84. IKE 的主要功能包括（ A. 建立 IPSec 安全联盟 B. 防御重放攻击 C. 数据源验证 D. 自动协商交换密钥 Answer: AD 85. 关于 IKE 的描述正确的是（）A. IKE 不是在网络上直接传送密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥 B. IKE 是在网络上传送加密后的密钥，以保证密钥的安全性 C. IKE 采用完善前向安全特性 PFS，一个密钥被破解，并不影响其他密钥的安全性 D. IKE 采用 DH 算法计算出最终的共享密钥 Answer: ACD 86. AH 协议报文头中，32bit 的（ ）结合防重放窗口和报文验证来防御重放攻击。 A. 安全参数索引 SPI B. 序列号 C. 验证数据 D. 填充字段 Answer: B 87. 关于 IPSec 与 IKE 的关系描述正确的是（ A. IKE 是 IPSec 的信令协议 B. IKE 可以降低 IPSec 手工配置安全联盟的复杂度 C. IKE 为 IPSec 协商建立安全联盟，并把建立的参数及生成的密钥交给 IPSec D. IPSec 使用 IKE 建立的安全联盟对 IP 报文加密或验证处理 Answer: ABCD 88. IPSec 的安全联盟与 IKE 的安全联盟的区别是（ A. IPSec 的安全联盟是单向的 B. IPSec 的安全联盟是双向的 C. IKE 的安全联盟是单向的 D. IKE 的安全联盟是双向的 Answer: AD 89. IPSec 可以提供哪些安全服务（ A. 数据机密性 B. 数据完整性 C. 数据来源认证 D. 防端口扫描 E. 防拒绝服务攻击 F. 防重放攻击 G. 防缓冲区溢出 Answer: ABCF 90. 在配置 IPSec 的安全提议 proposal 时，以下命令属于缺省配置的是（ A. encapsulation-mode tunnel B. transform esp C. esp encryption-algorithm des D. esp encryption-algorithm 3des E. esp authentication-algorithm md5 Answer: ABCE GBO363部分试题1. 网络中常见的安全设备包括防火墙 Firewall；入侵检测系统（IDS：Intrusion Detection System）；深度 抵御防火墙 IPS 等。其中 IDS 通常作为网关设备部署，处于主要业务流量的路径之上。而 Firewall 和 IPS 则通常作为旁路设备部署。 T. True F. False Answer: F 2. 开放系统互连安全体系结构中的安全服务有（ ）和防否认服务。 1)验证； 2)访问控制； 3)数据保密服务； 4)数据完整性服务； A. 1)和 2) B. 1)、2)和 3) C. 2) 和 4) D. 1)、2)、3)、4) Answer: D 3. 路由欺骗防止：推荐在同用户内网相连运行 OSPF 协议的接口指定为 Silent 状态，并配置 MD5 验证。 T. True F. False Answer: F 47. 加密算法若按照密钥的类型划分可以分为（ ）两种。 A. 非对称密钥加密算法和对称密钥加密算法； B. 公开密钥加密算法和分组密码算法； C. 序列密码算法和分组密码算法； D. 序列密码算法和公开密钥加密算法。 Answer: A 48. 关于防火墙的描述不正确的是（ A. 防火墙不能防止内部攻击。 B. 使用防火墙可防止一个网段的问题向另一个网段传播。 C. 防火墙可以防止伪装成外部信任主机的 IP 地址欺骗。 D. 防火墙可以防止伪装成内部信任主机的 IP 地址欺骗。 Answer: A 49. Internet/Intranet 采用的安全技术有（ ）和内容检查A. 防火墙 B. 安全检查 C. 加密 D. 数字签名 Answer: ABCD 50. 在混合加密方式下，真正用来加解密通信过程中所传输数据的密钥是（ A. 非对称算法的公钥 B. 对称算法的密钥 C. 非对称算法的私钥 D. CA 中心的公钥 Answer: B 51. 包过滤技术与代理服务技术相比较（ A. 包过滤技术安全性较弱、但会对网络性能产生明显影响 B. 包过滤技术对应用和用户是绝对透明的 C. 代理服务技术安全性较高、但不会对网络性能产生明显影响 D. 代理服务技术安全性高，对应用和用户透明度也很高 Answer: D 52. 防止用户被冒名所欺骗的方法是（ A. 对信息源进行身份验证 B. 进行数据加密 C. 对访问网络的流量进行过滤和保护 D. 采用防火墙 Answer: A 53. 以下关于 SNMPv1 和 SNMPv2 的安全性问题说法正确的是（ A. SNMPv1 不能阻止未授权方伪装管理器执行 Get 和 Set 操作 B. SNMPv1 能提供有效的方法阻止第三者观察管理器和代理程序之间的消息交换 C. SNMPv2 解决不了篡改消息内容的安全性问题 D. SNMPv2 解决不了伪装的安全性问题 Answer: C 54. 以下关于混合加密方式说法正确的是（ A. 采用公开密钥体制对通信过程中的数据进行加解密处理 B. 不采用公开密钥对对称密钥体制的密钥进行加密处理 C. 采用对称密钥体制对非对称密钥体制的密钥进行加密 D. 采用混合加密方式，利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双 重优点 Answer: D 55. 以下关于 VPN 说法正确的是（ A. VPN 指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路 B. VPN 指的是用户通过公用网络建立的临时的、安全的连接 C. VPN 不能做到信息验证和身份认证 D. VPN 只能提供身份认证、不能提供加密数据的功能 Answer: B 56. 对状态检查技术（ASPF）的优缺点描述有误的是（ A. 采用检测模块监测状态信息 B. 支持多种协议和应用 C. 不支持监测 RPC 和 UDP 的端口信息 D. 配置复杂会降低网络的速度 Answer: C 57. IPSec 协议是开放的 VPN 协议。对它的描述有误的是（ A. 适应于向 IPv6 迁移 B. 提供在网络层上的数据加密保护 C. 可以适应设备动态 IP 地址的情况 D. 支持除 TCP/IP 外的其它协议 Answer: D 58. IPSec 在哪种模式下把数据封装在一个新的 IP 包内进行传输（ A. 隧道模式 B. 管道模式 C. 传输模式 D. 安全模式 Answer: A 59. 下面关于防火墙概念和功能的描述哪些是正确的（ A. 防火墙可能会成为数据传输的瓶颈。 B. 防火墙可实行强制安全策略 C. 防火墙可记录连接情况 D. 使用防火墙可防止一个网段的问题向另一个网段传播 Answer: ABCD 60. 以下关于 CA 认证中心说法正确的是（ ） A. CA 认证是使用对称密钥机制的认证方法 B. CA 认证中心负责证书的颁发和管理 C. 可以根据 CA 认证中心的证书对用户的身份进行验证 D. CA 认证中心不用保持中立，可以随便找一个用户来做为 CA 认证中心 Answer: BC 61. 关于 CA 和数字证书的关系，以下说法不正确的是（ ） A. 数字证书是保证双方之间的通讯安全的电子信任关系，它由 CA 签发 B. 数字证书一般依靠 CA 中心的对称密钥机制来实现 C. 在电子交易中，数字证书可以用于表明参与方的身份 D. 数字证书能以一种不能被假冒的方式证明证书持有人身份 Answer: B 62. 在无线网络中，当无法从物理上控制访问者的来源时，为安全考虑可选择下列哪些安全手段（ ） A. 在 AP 上禁止 ESSID 广播 B. 配置 MAC 过滤 C. 对接入用户进行 802.1x 身份认证 D. 使用加密无线信道 Answer: ABCD 66. 提供加密