（新版）华为 安全 H12-721认证考试题库（原题导出）

PAGEPAGE163（新版）华为安全H12-721认证考试题库（原题导出）一、单选题1.一台FW设备可以创建多个虚拟网关，并且各个虚拟网关有独立的管理员。A、正确B、错误答案：A2.防火墙创建虚拟系统时，默认会生成几个安全区域?A、1B、3C、4D、2答案：C3.根系统管理员为虚拟系统vsysa创建管理员，以下哪一选项的命令是正确的？A、、[FW]switchvsysvsysa

<FW-vsysa>system-view

[FW-vsysa]aaa

[FW-vsysa-aaa]manager-uservsysaB、、[FW]switchvsysvsysa

<FW-vsysa>system-view

[FW-vsysa]aaa

[FT-vsysa-aaa]manager-useradminvsysaC、、[FW]switchvsysvsysa<FT-vsysa>system-view[FW-vsysa]aaa

[FT-vsysa-aaa]manager-useradminvsysaD、、[FW]switchvsysvsysa

<FW-vsysa>system-view

[FW-vsysa]aaa

[FW-vsysa-aaa]manager-useradmin.答案：B4.在使用SSLVPN进行通信之前，客户端和服务器通过Handshake协议建立一个会话，协商数据传输中要用到的相关安全参数.A、正确B、错误答案：A5.USG防火墙上创建一个虚拟系统vsys1，防火墙连接Internet的出口位于根系统，vsys1连接的局域网内一台PC向Internet上的Web服务器发送访问请求，则在防火墙上创建的会话条数是以下哪一项?A、1B、2C、3D、4答案：B6.关于VRRP报文，以下说法正确的是A、VRRP使用TCP报文B、VRRP使用UDP报文C、VRRP报文的目的地址是8D、VRRP报文是单播报文答案：C7.防火墙上只能存在一个VGMP组。A、正确B、错误答案：A8.防火墙提供了丰富的健康检查机制，可以提高链路和服务的质量，提升用户的使用体验。健康检查可以对以下哪些选项进行探测A、链路时延B、链路可用性C、服务可用性D、IP可用性答案：B9.数字签名是通过采用散列算法生成数字指纹,从而实现保证数据传输的完整性A、、正确B、、错误答案：A10.当服务器之间的性能差异较大，可以采用以下哪种算法进行负载均衡?A、简单轮询算法B、加权轮询C、最小连接算法D、源IPhash算法答案：B11.防火墙提供的整体最大带宽限制和整体带宽保证，可以有效限制企业非关健业务流量占用的带宽，但不可以针对关键业务的流量进行保证。A、、正确B、、错误答案：B12.IPSec不能封装组播数据。A、正确B、错误答案：A13.管理员在华为USG6000产品上开启了虚拟系统功能并创建了唯一的一个虚拟系统vsys1，若属于vsys1的用户想要访问根系统的某个服务器，则在虑拟系统vsys1的路由表中，出接口是哪个接口?A、virtual-if0B、vlan-ifoC、virtual-if1D、vlan-if1答案：A14.在根据链路优先级主备备份的选路方式中，如果没有开启过载保护，当主链路的链路出现拥塞时，会发生什么情况?A、自动启用备用链路分担流量。B、根据默认的过裁保护值将流量分担到备用链路。C、不启用备用链路，主链路维续转发流量。D、主备链路根据链路的优先级比值分担流量答案：C15.97、如下图所示为L2TPoverlPSec应用场景，下列关于IPSec保护数据流的配置正确的是哪项?A、A.[LNSJaclnumber2001[LNS-acl-basic-2001]rulepermitudpsource55B、B.[LNS]acInumber3001[LNS-acl-adv-3001]rulepermitsource55destination0.0.255C、C.[LNS]aclnumber3001LNS-ac-adv-3001]rulepermittcpsource-port1701D、D.[LNS]aclnumber3001[LNS-acl-adv-3001]rulepermitudpsource-porteq1701答案：D16.关于虚拟系统的特点，以下哪—选项的描述是错误的?A、座拟系统中的Virtual-if接口会自动加入安全区域中B、创建虚拟系统并分配接口，该接口会自动绑定vpn-instanceC、创建虚拟系统会自动生成同名的vpn-instanceD、创建虚拟系统会自动生成virtual-if接口答案：A17.IPSec不能封装组播数据。A、正确B、错误答案：A18.会话保持可以基于哪种算法实现A、最小连接算法B、源IPhash算法C、简单轮询算法D、加权轮询算法答案：B19.配置ISP选路功能前，管理员需要把每个ISP网络内的IP地址分别写入不同的ISP地址文件，以下哪一选项是ISP地址文件的格式?A、.csvB、.odfcC、pdtD、.doc答案：A20.以下哪一项可以为华为防火墙等设备提供丰富的报表功能，从而方便用户了解设备的实时和历史安全信息以及网络攻击状况？A、、AgileControllerB、、UMAC、、ATIC.D、、ELog答案：D21.在双机热备环境下，如果存在数据包来回路径不一致的现象，以下哪种情况不会导致丢包?A、没有启用会话快速同步功能B、心跳线带宽不足C、关闭了状态监测功能D、指定错误的心跳线端口答案：C22.关于IKE动态协商方式中策略模板的特点，以下哪一选项的描述是错误的？A、本端配置了策略模板时不能发起协商，只能作为协商响应方接受对端的协商请求，一般在总部配置策略模板方式。B、策略模板视图中定义需要协商的各参数，未定义的可选参数由发起方来决定，而响应方会接受发起方的建议。C、当通信对端的IP地址不固定或预先未知的情况下不可以使用策略模板。D、采用策略模板可以简化多条IPSec隧道建立时的配置工作量。答案：C23.防火墙提供的整体最大带宽限制和整体带宽保证，可以有效限制企业非关健业务流量占用的带宽，但不可以针对关键业务的流量进行保证。A、正确B、错误答案：B24.双机热备组网图如下所示，图中PC1的网关地址应该为主用设备的接口IP地址，即/24。

A、正确B、错误答案：B25.52、关于服务器负载均衡技术，在防火墙上执行的命令和得到的输出如下:以下哪一选项的描述是正确的?A、A.该负戴均衡策略采用的是加权最小连接算法。B、B.该负戴均衡策略的真实服务器均属于强制不可用状态。C、C.该负裁均衡策略采用的是会话保持算法。D、D.该负戴均衡策略启用了服务健康检查功能，采用的检测报文是ICMP报文。答案：A26.关于带宽限制的说法，哪个是错误的?A、公网接口是特指华为USG6000FF品连接Internet的口。B、入方向（inbound)流量是指从公网接口流向私网接口的流量。受入方向带宽的限制。C、出方向（outbound)流量是指的从私网接口流向公网接口的流里。受出方向带宽的限制D、应拟系统全部流量=入方向流量+出方向流量+私网接口到私网接口的流量+公网接口到公网接口的流量。答案：A27.SIP协议使用SDP消息建立会话,SDP消息里含有远端地址或多播地址A、对B、错答案：A28.下列哪些命令不属于IPSec故障排错时常用的命令?A、displayipsecstatisticsB、displayipsecsessionC、displayikesaD、displayipsecsa答案：B29.策略路由的配置顺序很重要，需要先配置匹配条件宽泛的策略，再配置匹配条件精确的策略。A、正确B、错误答案：A30.以下关于VRRP报文的描述，正确的是哪—项?A、VRRP报文的目的地址是8B、VRRP使用TCP报文C、VRRP使用UDP报文D、VRRP报文是广播播报文答案：A31.管理员给虚拟系统vsysa分配接口G1/0/0时，发现分配失败，不可能的原因是A、G1/0/0已经被分配给其他虚拟系统。B、该接口是全二层口，无法直接分配给虚拟系统。C、该接口已被加入其他虚拟系统的安全区域中。D、接口未处于UP状态。答案：D32.管理员给虚拟系统vsysa分配接口G1/0/0时，发现分配失败，以下哪一项一定不是分配失败的原因?A、G1/0/0已经被分配给其他虚拟系统。B、接口处于Down状态。C、该接口是个二层口，无法直接分配给虚拟系统。D、该接口已被加入其他感拟系统的安全区域中。答案：B33.在IKEV1协商中,关于野蛮模式与主模式的区别,以下哪项说法是错误的?A、主模式在预共享密钥方式下不支持NAT穿越，而野蛮模式支持B、主模式协商消息为6个野蛮模式为3个。C、在NAT穿越场景下，对等体ID不能使用IP地址D、主模式加密了身份信息的交换信息，而野蛮模式没有加密身份信息答案：C34.如图所示为防火墙双机热备组网环境，在该组网环境中，当主、备设备配置不同步，以下哪条命令是用于手工同步命令配置？A、HrpmirrorsessionenableB、Hrpsyncconnection-statusC、Hrpauto-syncD、Hrpsyncconfig答案：A35.网络扩展功能建立SSLVPN隧道的方式有两种:可靠传输模式和快速传输模式。下列对于这两种方式的描述正确的是哪—项?A、可靠传输模式中，远端用户在传输数据前不需要与虚拟网关建立SSLVPN隧道。B、快速传输模式中，远端用户在传输数据前需要与虚拟网关建立SSLVPN隧道。C、快速传输模式中，SSLVPN采用QUIC（QuickUDPInternetConnections)协议封装报文，并以TCP协议作为传输协议。D、可靠传输模式中，SSLVPN采用SSL协议封装报文，并以UDP协议作为传输协议答案：B36.下列关于IPsec说法错误的是哪项?A、传输模式下，ESP不对IP数据包头进行验证B、AH只能验证数据报不能对其进行加密C、ESP可以支持NAT穿越D、AH协议使用3DES算法进行数据验证答案：D37.防火墙双机热备中，以下哪—项的报文不是通过心跳线发送的?A、VRRP报文B、配置和表项备份报文C、VGMP报文D、配置一致性检查报文答案：A38.网络扩展功能建立SSLVPN隧道的方式有两种可靠传输模式和快速传输模式。下列对于这两种方式描述错误的是哪项?A、可靠传输模式中，SSLVPN采用SSL协议封装报文，并以TCP协议作为传输协议。B、快速传模式中，SSLVPN采用QuIC（QuickUDPInternetConnections)协议封装报文，并以UDP协议作为传输协议C、可靠传输模式中，远端用户在传输数据前需要与虚拟网关建立SSLVPN隧道。D、快速传输模式中，远端用户在传输数据前不需要与虚拟网关建立SSLVPN隧道。答案：D39.如图所示为双机热备组网环境，其中备份组1和2加入VGMP管理组USG-A为主设备USG-8为备用设备。若USG-A发生了故障，如断电等，USG-B状态会从Slave切换为Master，当USGA恢复后，状态又重新切换为Master，流量中断一段时间才恢复。造成该现象的原因是什么?

A、USGA故障恢复后其VRRP备份组优先级没有及时恢复B、没有配置hrptrack.C、两台防火增为负裁分担方式。在同一备份组下既配置了Master，也配置了SlaveD、在USG土没有配置hrpmrrorsessionenable答案：A40.以下哪些选项不可以作为策略路由的匹配条件?A、源安全区域B、入接口C、DSCP优先级D、下一跳地址答案：D41.全局选路是指到达目的网络有多条等价路由时，华为USG6000防火墙可以根据管理员设置的链路带宽、权重、优先级或者自探测到的链路质量动态地选择出接口，实现链路资源的合理利用和用户体验的提升A、正确B、错误答案：B42.以下关于防火墙中父子策略配置带宽通道限制的描述，错误的是哪—项?A、子策略的连接数限制不能小于父策略B、同一组父子策略中，不能引用同一个带宽通道C、子策略的最大带宽不能大于父策略D、同一组父子策略中，限流方式只能同时为“分别设置上下行带宽”或者“设置总带宽”，二者不能共同存在答案：A43.虚拟系统和VPN实例关系，以下哪个选项的描述是错误的?A、创建虚拟系统时，会自动生成相同名字的VPN实例。B、虚拟系统底层转发依赖于自动生成的VPN实例，上层配置业务时无需与vpn实例挂钩。C、自动生成的VPN实例和手工配置的VPN实例一样，都需要在接口下绑定vpn实例。D、管理员也可使用ipvpn-instance命令手动创建VPN实例，用于路由隔离。答案：C44.对weblink的描述,以下哪项是正确的?A、webLink功能适用于任问操作系统和浏览器B、WebLink不进行加密和适配，只“转发”远程用户的Web源请求C、WebLink需要加密和适配的环节，因此业务处理效率较慢D、Webink需要加密和适配的环节，因此安全性更高。答案：B45.USG防火墙上创建了虚拟系统vsys1，以下虚拟系统管理员的用户格式，正确的是哪一项？A、、adminuserB、、AdminuservsyslC、、adminuser#vsyslD、、Adminuservsysl答案：D46.华为WAF5000产品使用以下哪种技术来应对盗链、跨站请求伪造等特殊Web攻击?A、签名匹配技术B、行为状态链检测技术C、非法链接过洁技术D、异常状态跟踪技术答案：B47.BFD支持异步检测模式和同步检测模式。A、正确B、错误答案：B48.L2TP认证方式有三种:代理认证、强制CHAP认证和LCP重协商。其中，LCP重协商的优先级最低，代理认证优先级最高。A、正确B、错误答案：B49.GREOverlPSec隧道可以实现IPX报文的传输。A、正确B、错误答案：A50.一个接口只能应用一个健康检查策略，但一个健康检查策略可以被应用在多个接口上A、正确B、错误答案：B51.根据双机热备组网图，关于双机热备抢占功能，以下哪个说法是错误的？

A、VRRP备份组本身具有抢占功能。如图，当USGA出现故障并恢复后，USGA会使用抢占功能重新变为master状态。B、VGMP管理组的抢占功能和VRRP备份组类似，当管理组中出现故障的备份组故障恢复时，管理组的优先级也将恢复。C、缺省情况下，抢占功能关闭D、当VRRP备份组加入到VGMP管理组后，备份组上原来的抢占功能将失效，抢占行为发生与否必须由VGMP管理组统一决定答案：C52.防火墙输出的威胁日志、内容日志、策略命中日志、邮件过滤日志、URL过滤日志l以及审计日志等全部属于下列哪科日志类别?A、会话日志B、丢包日志C、业务日志D、系统日志答案：C53.华为UMA统一运维审计产品通过集中管理、监控与审计企业所有运维人员的操作行为，可以有效降低网络设备、服务器、数据库、业务系统等资源的内部运维风险。以下关于华为UMA产品的描述，错误的是哪一项A、自动代填后业务系统账号，每个运维人员可以管理多个账号，避免多账号借用带来的风险B、支持细粒度查询，避免恶意运维操作，实现麦任定位C、实现对命令行字符、图形操作、文件传输、数据库、KVM等运维操作过程的文本记录和视须记录D、提供业务系统定期修改、加密发送、备份下载等功能，减少密码维护工作量答案：A54.SSLVPN基本上不受接入位置限制，可以从众多Internet接入设备、任何远程位置访问网络资源。A、正确B、错误答案：A55.在接口下由ipbindingvpn-instancevpn-instancename邦定的虚拟系统实例不是随着虚拟系统创建而产生的，需要手工绑定。A、正确B、错误答案：B56.以下哪—项不属于SSLVPN端口转发功能的特点?A、、只需标准浏览器，不用安装客户端B、、所有数据流都经过加密认证C、、实现文件级的访问权限控制D、、对用户进行统一的授权和认证答案：C57.关于Radius协议的特点，以下哪些选项的描述是正确的A、认证和授权端口号可以是1645B、使用UDP协议传输Radius报文C、使用Radius协议传输用户账号和密码时要对账号进行加密处理D、认证和授权端口号可以是1811答案：B58.USG6000防火墙上为三台FTP服务器配置了负载均衡功能，三台实服务器的地址和权重值分别为/24(weight16)，/24(weight32)，/24,(weight16)，虚服务器地址为23/24。一台主机地址为/24的PC对该FTP服务器发起访问。在防火墙上运行displayfirewallsessiontable命令，下列哪一种情况说明成功实现了负裁均衡功能?A、<USG≥displayfrewallsessiontableCurrenttotalsessions:1FtpVPN:public->public:3327-:21B、<USG>displayfirewall.sessiontableCurrernttotalsessions:3FtpVPN:public-->public:3327->23:21[:21]ftpVPN:public-->pubic.3327-->23:21[21]ftpVPN:public--sapublic:3327-->23:21[:21]C、<USG>displayfirewallsessiontableCurrenttotalsessions:1FtpVPN:public->public202.15226.3:327->:23:21D、<USG；displayfirewallsessiontableCurrenttotalsessions:3FtpVPN:public-zpublic:3327->:21FtpVPN:public->public:3327->:21ftpVPN:public--public:3327->:21答案：B59.如图所示为双机热备组网环境，其中备份组1和2加入VGMP管理组，USG_A为主用设备，USG_B为备用设备。若uSGA发生了故障，如断电等，USG_B状态会从Slave切换为Master。当USGA恢复后，状态又重新切换为Master，而此时USG_B状态依然为Master，造成该现象的原因是什么?

A、两台火墙负戴分担方式，在同一个备份组下既配置为了master，也配置了slaveB、USGA故障恢复后其VRRP备份组优先级没有及时恢复C、在USGA从故障恢复后，心跳线发生故障D、没有配置hrptrack答案：C60.关于IKEDPD说法，以下哪项是错误的?A、用于IKEB居状态的检测。B、IKEPeer间定时发送DPD报文C、DPD的周期型检测模式：如果当前距离最后一次收到对端的IPSec报的时长已超过DPD空闲时间，则本端主动向对端发送DPD请求报文。D、DPD的按需型检测模式只在要发送加密报文前并且距离最后一次收到对端的IPSec报文的时长已超过DPD空闲时间时发送查询。答案：B61.在一个Eth-Trunk接口中，通过在各成员链路上配置不同的权重，可以实现流量赁载分担。A、正确B、错误答案：B62.IPSecVPN使用数字证书进行身份验证时，以下哪项是不需要用来检验数字证书是否合法的?A、证书签名B、CRL证书序列号C、证书公钥D、证书有效期答案：C63.以下哪—项参数不是在USG防火墙带宽通道中进行配置的A、每IP最大带宽B、整体最大带宽C、整体最大并发连接数限制D、源目安全区域答案：D64.一台防火墙设备可以创建多个虚拟网关，每个虚拟网关之间相互独立，互不影响。管理员可以在虚拟网关下配置各自的用户，资源和策略，进行单独管理A、正确B、错误答案：A65.以下哪一项支持多种盗链识别算法，能有效解决单—来源盗链、分布式盗链和网站数据恶意窃取等信息盗取行为，从而确保网站的资源只能过本站才能访问A、IPSB、Anti-DDosC、WAFD、Firewall答案：C66.防火墙带宽策略只支持对源NAT转换前的私网IP地址实施带宽管理。A、正确B、错误答案：B67.智能选路功能无法在防火墙双机热备的场景下使用。A、正确B、错误答案：B68.以下关于防火墙会话日志配置的描述，错误的是哪—项?

[FW】firewallloghost19002

[FW]firewallloghost29002

[FW】firewalllogsessionmulti-host-modeconcurrent

[FW]firewalllogsource6000

[FW】firewalllogsessionnew-sessionenableA、防火墙的会话日志会通过轮询的方式逐条依次发给两台日志主机B、会话日志的格式为二进制形式C、防火墙会发送新建会话日志D、防火墙发送会话日志的源IP地址为答案：A69.关于防火墙双机热备同步数据的特点，以下哪一选项的描述是错误的?A、会话备份的设备区分主备，只有主设备可以将自己的会话同步到对方B、批量备份是指在两台设备第一次协商完成后，批量备份所有信息C、配置批量备份需要消耗较多的资源，缺省情况下是关闭的D、实时备份是指在设备运行过程中，新建或者刷新的数据实时备份答案：A70.关于系统的描述，哪个是错误的?A、NGMA存在根系统和虚拟系统两种类型的虚拟系统。B、NGFW上缺省存在的一个特殊的虚拟系统叫做根系统。C、在NGFW上划分出来的、独立运行的逻辑设备叫做虚拟系统。D、若虚拟系统功能未启用，根系统就不存在。答案：D71.关于weblink与web改写的区别，以下哪—项的描述是错误的?A、由于WebLink少了加密和适配的环节，因此业务处理效率较之Web改写要高。B、web改写由于做了加密和适配，因此在安全性方面要比WebLink高。C、webLink不会进行加密和适配，只做单纯“转发”远程用户的web资源请求。D、webLink需要加密和适配的环节，因此安全性更高。答案：D72.lPsec隧道可以使用GREoverlPSec传播组播报文。A、正确B、错误答案：A73.在同一组父子策略中，不能引用同一个带宽通道。A、正确B、错误答案：A74.管理员在华为USG6000产品上开启了虚拟系统功能并创建了唯一的一个虚拟系统vsysa，若属于vsysa的用户想要访问根系统的某个服务器，则在虚拟系统vsysa的路由表中，出接口是哪个接口?A、vlan-if0B、virtual-ifoC、vlan-if1D、virtual-if1答案：B75.创建虚拟系统时，会自动生成同名字的VPN实例。且系统会自动为其创建一个逻辑接口，逻辑接口编号从哪一个数值开始?A、0B、1C、2D、3答案：B76.在配置服务器负载均衡时，以下哪个选项不是必需的?A、服务健康检查B、负戴均衡算法C、虚拟服务器地址D、实服务器地址答案：A77.某公司网络管理员为保证较大业务流量的正常转发，利用两台防火墙实现双机热备。如图所示，当配置完成后，发现当防火墙A发生故障时，故障前正在传输的数据流发生了严重的丢包，但是故障后新传输的数据流可以正常工作。造成该现象可能的原因有哪些?A、在防火墙上配置的HRP抢占时间小于OSPF的收敛时间B、没有配置根据HRP状态调整OSPF的COST值功能C、在uSG上没有配置会话快速备份功能，在来回路径不一致的情况下无法正常转报支D、未在防火墙上下行接口上启用HRPtrack答案：C78.以下哪—条命令在华为USG6000系列防火墙中表示不限流?A、、no--limitpolicyB、、no-carprofileC、、no-qosD、、no-qosprofile答案：C79.双机热备份，备份通道必须是接口板上的主接口，不支持哪种类型?A、EthernetB、GigabitEthernetC、E1D、vlan-if答案：C80.在双机热备组网中，配置HRP心跳接口时，如果指定了对端心眺接口地址，那么防火墙之间发送的VGMPHello报文是下列哪种类型的报文?A、单播报文B、广播报文C、组播报文D、UDP报文答案：A81.下列有关接口带宽的说法，以下哪些选项是正确的?A、流量入接口时，丢弃超过了预先定义的接口带宽的流量B、在流量出接口时，接口带宽用于标记流量的优先级，作为后续队列调度的依据。C、受入接口带宽的限制，如果流量大于入接口带宽，将根据带宽通道中设置的重标记DSCP优先级对流量进行队列调度，保证高优先级的报文被优先发送。D、受入接口带宽的限制，如果流量大于入接口带宽，将根据带宽通道中设置的转发优先级对流量进行队列调度，保证高优先级的报文被优先发送。答案：D82.在L2TPoverIPSec应用场景中，华为USG6000产品会对原始数据报文先使用IPsec进行封装，再用L2TP封装该数据报文。A、正确B、错误答案：B83.【FW1]displayslbgroupGroup

以上输出信息表示健康检查的报文类型为TCP.A、正确B、错误答案：A84.带宽策略支持嵌套关系，目前支持配置几级带宽策略?A、三B、二C、四D、一答案：C85.以下哪种攻击不属于网络攻击A、IP款骗攻击B、Smurf攻击C、MAC地址欺骗攻击D、ICMP攻击答案：C86.在IKEV1第一阶段的主模式协商过程中，以下哪—项是Message5和Message6的作用?A、运行DH算法B、协商IKESA提议C、相互做身份认证D、协商IPSecSA答案：C87.配置完成防火墙双机热备后，在web配置界面下，选择“系统>高可靠性>双机热备”，单击“检查HRP配置一致性”对应的“检查”按钮。弹出如图窗口，以下哪一项配置可以解决该问题（假设心跳接口已被加入DMZ区域)?A、security-policyRulenametrustlocalSource-zonetrustlocalDestination-zonetrustlocalActionpermitB、security-policyRulenametrust_dmzSource-zonetrustdmzDestination-zonetrustdmzActionpermitC、security-policyRulenameuntrustdmzSorce-zoneuntrustdmzDetination-zoneuntrustdmzAcionpermit.D、security-policyRulenamelocal_dmzSource-zonelocaldmzDestination-zonelocaldmzActionpermit答案：D88.当BFD会话状态处于"Down"时，以下哪—选项的描述是正确的?A、会话处于管理性Down状态。B、已经能够与对端系统通信，本端希望会话进入Up状态。C、会话刚刚创建。D、会话已经建立成功。答案：C89.关于数字证书的特点，以下哪—项的描述是错误的A、数字证书中含有密钥对所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证B、数字证书为实现双方安全通信提供了电子认证C、数字证书采用私铜体制，即利用一对互相匹配的密钥进行加密和解密D、数字证书必须具有唯一性和可靠性答案：C90.某大型企业有三个部门.市场部，研发部和销售部，每个业务部门都有自己的内部资源，公司希望每个部门出差员工使用SSLVPN访间内网资源时，能够根据需求为不同部门的员工分配不同的资源访问权限，并相互隔离，该如何解决此问题A、防火墙虚拟化为多个虚拟系统，每个虚拟系统下的SSLVPN网关对应一个部门的SSLVPN接入网关B、防火墙上创建多个虚拟网关，每个业务部门独立使用自己的虚拟网关对外提供SSLVPN接入服务C、通过防火墙单臂组网解决D、防火墙上创建多个物理网关，每个业务部门独立使用自己的物理网关对外提供SSLVPN接入服务答案：B91.54、如图所示为L2TPoverlPSec应用场景，以下关于IPSec保护数据流的配置，正确的是哪—项?A、A.[LNS]aclnumber2005[LNS-ac1-basic-2001]rule5permitudpsource55B、B.[LNS]aclnumber3005[LNs-acl-adv-3001]rulepermitsource55destination55C、C.[LNS]aclnumber3005[LNS-ac1-adv-3001]rulepermitudpsource-port1705D、D.[LNS]aclnumber3005[LNS-acl-adv-3001]rulepermitudpsource-porteq1701答案：C92.USG防火墙带宽策略既可以匹配从source-zone到destination-zone的流量，也可以匹配从destination-zone到source-zone的流量.A、正确B、错误答案：B93.以下关于防火墙健康检查配置的描述，错误的是哪—项?

Healthchecknameisp1_health

Destination1interfaceGigabitEthernet1/0/4protocolicmp

Healthchecknameisp2_health

Destination2interfaceGigabitEthernet1/0/5protocolicmpA、健康检查使用的协议是ICMPB、只需完成isp1-health和isp2-health的配置，健康检查就立即生效C、防火墙上配置了两条链路的健康检查功能D、健康检查isp1-health需要在接口G1/0/4上应用答案：B94.在USG的系统视图下，需要删除hda1:/目录下的sslconfig.cfg文件，以下哪条命令能完成该需求?A、cd:hdal:/Rmdirsslcontig.efgB、cd；hdal:/Mkdirsslconfig.cfgC、cd:hdal/Removess1config.cfgD、cd:hdal:/Deletesslconfig.efg答案：D95.为了提高流量转发的可靠性，ISP选路功能可以配合健康检查功能一起使用，保证流量不被转发到故障链路上。当健康检查的结果显示链路故障时，对应的ISP路由表项将被删除。所以流量不会命中该条路由，也就避免被转发到故障链路上。A、正确B、错误答案：A96.智能选路的功能主要分为选路与探测，以下哪─选项的描述是错误的?A、、智选路的探测功能只可以对服务可用性和链路时延进行探测，并根据探测结果调整业务流量的分配，为网络服务质量提供必要保障。B、、可以优先使用某些链路传输流量，并利用其他链路作为奋份链路或负载分担链路，提高业务的可靠性。C、、当企业从不同ISP处获得多条带宽不等的链路时，为了充分利用各链路的带宽，可以根据链路带宽负载分担进行智韵选路。D、、为了使用户获得最佳的访问体验，可以根据各链路的实时传输质量动态调整流量的分配情况。答案：A97.使用策略路由修改下一跳地址后，流量的没有按照策略路由转发，以下哪个选项的说法是错误的?A、策略路由有没有提交生效B、接囗的IP地址没有配置正确C、匹配的源安全区域不正确D、没有放行域间流量答案：C98.关于1PSecVPN的特点，以下哪—项的描述是错误的?A、IPsecVPN仅保护从客户到公司网络边缘连接的安全B、IPsecVPN只需要在客户和网络资源边缘处建立通道C、IPsecVPN能让企业实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低D、IPSecVPN通过在两站点间创建隧道提供直接（非代理方式）接入，实现对整个网络的透明访问答案：A99.每一个引用带宽通道的带宽策略都独自受到该带宽通道的约束，即符合该带宽策略匹配条件的流量，独享最大带宽资源。以下哪个选项属于这种带通道的引用方式?A、带宽复用B、动态均分C、带宽共享D、策略独占答案：D100.关于防火墙接口绑定VPN实例的配置，以下哪个选项是正确的?A、ipbindingvpn-instancevpn-idB、ipbindingvpn-instancevpn-instance-nameC、ipbindingvpn-idD、ipbindingvp-idspn-instance-name答案：B101.LAC自动拨号是指用户通过配置触发建立LAC与LNS之间的永久性L2TP会话。LAC使用存储在本地的用户名和LNS建立一个永久存在的L2TP隧道，此时的L2TP隧道就相当于一个物理连接。A、正确B、错误答案：A102.Web改写由于做了加密和适配，因此在安全性和适用性方面比较高。A、正确B、错误答案：A103.在双机热备与IP-Link联动的组网环境下(如下图所示)，在主用防火墙的配置中，以下哪项是实现IP-Link与双机热备联动的关键配置?

A、hrpmirrorip-link1B、hrptrackip-link1activeC、hrptrackip-link1enableD、ip-linkcheckenable答案：B104.25、以下关于USG防火墙引流表输出信息的描述，错误的是哪—项?A、A.从虚拟系统vsysa发往根系统的源地址为的报文，反向命中引流表B、B.引流表可以分为正向命中和反向命中两种C、C.命中引流表的情况下，只会在根系统创建会话D、D.从根系统发往虚拟系统vsysa的目的地址为的报文，正向命中引流表答案：C105.将整体最大带宽除以在线IP数目，得到的值作为每IP最大带宽。以下哪个选项属于这种带宽的分配方式:A、带宽复用B、动态均分C、策略共享D、策略独占答案：D106.开启智能选路会话保持功能后，当某个智能选路接口down后，该接口的所有流量都将在其他智能选路接口上进行转发，当该接口重新UP以后，将出现什么问题?A、该接口不能转发流量B、该接口流量提升非常缓慢C、该接口不能参与智能选路D、该接口物理状态为UP，协议状态为error-down，需要手工加入智能选路答案：B107.IP-Link可以检测到与防火墙非直连的链路状态。A、正确B、错误答案：A108.缺省情况下，VGMPHello报文发送周期为多少A、1B、3C、5D、2答案：A109.流星最终从初接口发送时，受出接口带宽的限制。如果流量大于出接口带宽，将根据下列哪项对流量进行队列调度，保证高优先级的报文被优先发送?A、重标记DSCP优先级B、传发优先级C、带览策略匹配顺序D、Qos答案：B110.某企业在网络中部署了华为USG6000系列防火墙，企业需要存储员工的电子邮件地址联系人列表等不经常改变的数据，以下哪种认证方式可以满足需求?A、ADB、HWTACACSC、LDAPD、Radius答案：C111.下列协议报文默认情况下不可以在IPsec隧道中传播的是哪—项?A、TCPB、UDPC、ICMPD、IGMP答案：D112.关于虚拟系统中公网接口和私网接口的说法,以下哪个选项是错误的?A、公网接口是指接口下配置了setpublic-interface命令的接口B、私网接口是未配置setpublic-interface命令的接口。C、私网接口是指使用私有IP地址的接口。D、只有配置了公共接口，资源类中的带宽资源配置才会生效。答案：C113.双机热备组网图如下所示，图中PC1的网关地址应该为主用设备的接口IP地址，即/24

A、正确B、错误答案：B114.关于L2TPoverlPSecVPN的特点，以下哪—项的描述是错误的A、L2TP可以保证数据消息的可靠投递，若数据报文丢失，超时重传，支持对数据消息的流量控制和拥塞控制B、L2TP是一个数据链路层协议，其报文分为数据消息和控制消息两类C、L2TPoerIPSec可以利用L2TP和IPSec的优势，通过L2TP封装二层数据，通过IPsec为封装后的数据提供安全的通信D、L2TP协议自身不提供加密与可靠性验证的功能，可以和安全协议搭配使用，从而实现数据的加密传答案：A115.以下哪种设备主要用于还原交换机或者传统安全设备镜像的网络流量，实现对未知恶意文件的检测？A、LogCenterB、FixeHunterC、WAFD、ESight答案：B116.分支机构之间采用出口防火墙建立IPSec实现分支机构互通，则防火墙之间IPSec的封装模式应使用传输模式。A、正确B、错误答案：B117.由干网络管理变得越来越成复杂，用户对于业务隔离、系统安全性和可靠性等方而的要求越来越高。使用虚拟系统技术可以从资源上进行逻辑隔离，从而实现业务隔离。同时简化了网络部署和管理，加强了系统的安全性和可靠性A、正确B、错误答案：A118.流量最终从出接口发送时，受出接口带宽的限制。如果流量大于出接口带宽，将根据以下哪—项对流量进行队列调度，保证高优先级的报文被优先发送?A、转发优先级B、QosC、重标记DSCP优先级D、IP优先级答案：A119.华为UMA产品可采用逻辑串联的方式部署，关于这种部署方式的逻辑模式，下列哪种说法是正确的?A、逻辑模式：A->从账号>授权->主账号->目标系统。B、逻辑模式：人≥主账号>授权从账号>目标系统。C、逻辑模式：授权->从账号->人>主账号目标系统。D、逻辑模式：目标系统->从账号>授权>主账号答案：B120.以下关于防火墙VGMP组优先级的描述，错误的是哪一项？A、、高端防火墙增加一个接口板子卡，VGMP组优先级增加10000B、、高端防火墙增加一个业务板，VGMP组优先级增加10000C、、高端防火墙增加一个业务处理CPU，VGMP组优先级增加2D、、VGMP组的初始优先级为45000答案：D121.IPSec使用非对称加密算法加密传输数据A、正确B、错误答案：B122.IPSecVPN的野童模式需要交换几个消息可以完成IKESA的建立?A、4B、3C、5D、6答案：B123.防火墙上只能存在一个VGMP组A、正确B、错误答案：A124.下列哪—项的命令不属于IPSec故障排错时常用的命令?A、displayipsecstatisticsB、displayipsecsessionC、displayikesaD、displayipsecsa答案：B125.对于虚服务技术，以下哪些说法是正确的A、对于多个真实服务器，真实服务器需处在同-网段和同一安全区域中B、对于多个真实服务器，真实服务器可不在同一网段中，但必须在同一安全区域中C、对于多个真实服务器，真实服务器器可不在同一安全区域中，但必须在同一网段中D、对于多个真实服务务器，真实服务务器所在的网段及安全区域不会影响负戴均衡功能答案：A126.全局选路是指到达目的网络有多条等价路由时，华为USG6000防火墙只可以根据自动探测到的链路质量动态地选择出接口，实现链路资源的合理利用和用户体验的提升A、正确B、错误答案：B127.在配置服务器负载均衡时，以下哪—项是可选的配置?A、服务健康检查B、虚拟服务器地址C、负载均衡算法D、实服务器地址答案：A128.以下关于USG防火墙带宽管理配置的描述，错误的是哪一项？

A、带宽策略policy1可以命中从trust安全域到untrust安全域的源地址为/24网段的流量B、带宽策略policy1针对上行流量和下行流量的速率限制大小不同C、命中带宽策略policy1的上行流量是从untrust安全域到trust安全域D、带宽策路policy1以IP为维度针对/24网段内的每IP进行了限流答案：A129.关于防火墙带宽策略，下列哪项说法是错误的A、对于最大带宽和连接数限制，子策略不能大于父策略。B、在同一组父子策略中，不能引用同一个带宽通道。C、如果带宽管理与源NAT功能同时使用，配置带宽策略的源地址/地区匹配条件时应指定转换前的地址。D、如果带宽管理与源NAT功能同时使用，配置带宽策略的源地址，/地区匹配条件时应指定转换后的地址。答案：D130.员工使用SSLVPN接入企业内网需要额外安装客户端软件。A、正确B、错误答案：A131.服务器负数均衡技术利用Server-map表和会话表实现虚拟服务器和实服务器的映射;请问生成的是什么类型的server-map表?A、NATNO-PATB、转发QQ/MSN、TFP等STUN类型协议C、静态Server-map表D、动态Server-map表答案：C132.用户在使用网络扩展功能时不能访问内网资源，下列哪些选项不是该故障的可能原因?A、用户PC的虚拟网卡上有没有获取到虚拟IP地址。B、防火墙与内网服务器间路由不可达。C、用户连接超时。D、虚拟IP地址与FW的接口地址、内网服务器地址、DHCP地址池地冲突。答案：C133.如果防火墙工作在二层，与内网之间直连或通过二层交换机相连，以下哪个选项不可以作为策略路由的匹配条件?A、IP地址B、MAC地址C、入接口D、DSCP优级答案：B134.关于命令authentication-moderadiuslocal的描述，正确的是哪—项?A、、连接RADIUS服务器进行认证时使用TCP协议B、、RADIUS服务器连接失败时，会转入本地认证模式C、、该认证模式会先进行本地认证，再进行RADIUS服务器认证D、、RADIUS服务器不存在用户信息认证失败时，会转入本地认证模式答案：C135.防火墙可以根据用户制定的策略进行路由选择，从更多的维度来决定报文如何转发，增加了在报文转发控制上的灵活度。以下哪—选项不是防火墙对符合匹配条件的流量采取的动作?A、、从指定出接口发送报文B、、按照现有的路由表进行转发报文C、、把报文丢弃D、、把报文发送到指定的下一跳设备答案：C136.IP-Link技术通过向指定的目的地址连续发送ICMP报文或者ARP请求报文，然后检查是否可以收到响应的ICMPechorequest报文或ARP请求报文来判断链路是否发生故障。A、正确B、错误答案：A137.在防火墙上创建了新的虚拟系统后，虚拟系统上不具备任何安全区域,需要管理员自行规划配置。A、正确B、错误答案：B138.智能选路的探测功能只可以对链路时延进行探测，并根据探测结果调整业务流量的分配，为网络服务质量提供必要保障。A、正确B、错误答案：B139.信息安全的防范技术包括:数据加密,身份认证,入侵防御和反病毒等等。A、、正确B、、错误答案：A140.带宽管理功能仅支持对某个指定IP发起的连接数量进行限制。A、正确B、错误答案：B141.以下哪—项不属于防火墙的业务日志?A、威胁日志B、审计日志C、丢包日志D、策略命中日志答案：B142.Radius是一种基于客户端/服务器架构的分布式信息交互协议，该协议定义了基于UDP(UserDatagramProtocol)的Radius报文格式及其传输机制，并规定UDP端口1712、1713分别作为默认的认证和计费端口。A、、正确B、、错误答案：B143.z以下哪种BFD的状态表示已经能够与对端系统通信，同时本端希望会话进入Up状态?A、InitB、DownC、UpD、AdminUp答案：A144.关于虚拟系统的描述，哪个是错误的?A、NGFW上存在根系统和虚拟系统两种类型的虚拟系统。B、NGFW上缺省存在的一个特殊的虚拟系统叫做根系统。C、在NGFW上划分出来的、独立运行的逻辑设备叫做拟系统。D、若拟系统功能未启用，根系统就不存在。答案：D145.华为LogCenter产品采用分布式部署组网时，日志采集器和分析器安装在不同的物理服务器上，一台分析器最多可管理多少台采集器?A、13B、14C、15D、16答案：C146.由于网络管理变得越来越复杂:用户对于业务隔离、系统安全性和可靠性等方面的要求越来越高。使用虚拟系统技术可以从资源上进行逻辑隔离，从而实现业务隔高。同时简化了网落部署和管理，加强了系统的安全性和可靠性。A、正确B、错误答案：A147.53、以下关于IP-Link输出信息的描述，错误的是哪—项?

A、A.当有1条链路探测失败时，该IP-Link的状态就变为DownB、B.IP-Link的名称为testC、C.该lP-Link探测的链路条数为2条D、D.该IP-Link使用的探测协议为ICMP答案：A148.某企业为了让EmailERP等应用在正常工作时间内不受到影响，希望此类流量可获得的最小带宽不小于60Mbps,下列哪一配置符合要求?A、time-rangwork_timeperiod-range09:00:00to18:00:00working-daytraffic-policyprofilcprofile_emailbandlwidthguaranteedbandwidthwholeboth60000rulenamepolicy_emailsource-zonetrustdestination-zoneuntrustapplicationappBTapplicationappYouKutime-rangework_timeactiongosprofileprofile_emailB、time-rangworktimeperiod-range00:00:00to09:00:00working-daytraffic-policyprofilcprofilccmailbandwidthguaranteed-bandwidthwholeboth60000rulenamepolicy_emailsource-zonetrustdestination-zoneuntrustapplicationappLotusNotesapplicationappOWAtime-rangework_timeactionqosprofileprofile_emailC、time-rangworktimeperiod-range09:00:00to18:00:00working-daytraffic-policyprofileprofileemailbandwidthguaranteed-bandwidthwholeboth60000rulenamepolicy_emailsource-zonetrustdestination-zoneuntrustapplicationappLotusNotesapplicationappOWAtime-rangework_timeactionqosprofileprofile_emailD、time-rangworktimeperiod-range09:00:00to18:00:00working-daytraffic-policyprofileprofile_emailbandwidthmaximum-bandwidthwholeboth60000rulenamepolicy_emailsource-zonetrustdestination-zoneuntrustapplicationappLotusNotesapplicationappoWAtime-rangework_timeactiongosprofileprofile_email答案：C149.配置IP-Link组发送检测报文的时间时，interval取值越小，越能减小设备CPU的负担，且链路检测的灵敏度提高。A、正确B、错误答案：B150.防火墙启用自动备份功能后，主用设备会周期性地将可以备份的状态信息备份到备用设备上。以下哪一选项属于防火墙自动备份的信息?A、、只为UDP首包创建，而不被后续包匹配的会话B、、管理员登录防火墙时产生的会话C、、Server-map表项D、、TCP/UDP的会话表答案：C151.以下哪—项不属于远程用户通过SSLVPN访问内网资源的总体流程?A、访问计费B、资源访问C、用户登录D、用户认证答案：A152.华为UMA是一种基于虚拟化环境部署的软件化产品，适用于云数据中心应用场景。A、正确B、错误答案：A153.以下哪种设备可以在虚拟的环境内对网络中传输的未知恶意文件进行检测?A、eSightB、LogCenterC、FireHunterD、WAF答案：C154.关于防火墙开启虚拟化功能的配置命令，以下哪个选项是正确的?A、vsysenableB、vsysnameenableC、vsysD、vsys-viewenable答案：A155.某大型企业有三个部门，市场部，研发部和销售部，每个业务部门都有自己的内部资源，公司希望每个部门出差员工使用SSLVPN访问内网资源时，能够根据需求为不同部门的员工分配不同的资源访问权限，并相互隔离，该如何解决此问题?A、为不同部门的员工分配不同角色。B、通过防火墙单臂组网解决。C、通过防火墙双臂组网解决。D、防火墙上创建多个应拟网关，每个业务部门独立使用自已的虚拟网关对外提供SSLVPN接入服务。答案：D156.虚拟系统(VirtualSystem)是在一台物理设备上划分出的多台相互独立的逻辑设备。每个虚拟系统相当于一台真实的设备，有自己的接口、地址集、用户/组、路由表项以及策略，并可通过虚拟系统管理员进行配置和管理A、正确B、错误答案：A157.默认情况下，华为USG6000产品上存在一条缺省的带宽策略，所有匹配条件均为任意（any)，动作为限流。A、正确B、错误答案：B158.如图所示为防火墙双机热备组网环境，在该组网环境中，以下哪条命令可以保证设备自动调整VGMP管理组优先级，并自动进行主备切换?

A、hrpospf-costadjust-enableB、hrppreemptdelay60C、hrpinterfaceGigabitEthernet0/0/2D、hrpauto-syncconfig答案：A159.在IPSecVPN中使用数字证书进行身份认证，如若采用IKEV1主模式进行协商，证书的验证是在消息5和消息6中完成的A、正确B、错误答案：A160.在USG的系统视图下，需要删除hda1:/目录下的ssIconfig.cfg文件，以下哪条命令能完成该操作?A、cd:hda1:/removesslconfig.cfgB、cd:hda1:/deletesslconfig.cfgC、cd:hdal:/rmdirsslconfig.cfgD、cd:ndal:/mkdirsslconfig.cfg答案：B161.防火墙通过管理员角色来控制管理员的权限，以下哪些项属于防火墙上的缺省角色A、日志管理员B、系统管理员C、配置管理员D、审计管理员角答案：B162.关于以下displayipsecsa输出信息的描述，错误的是哪—项

A、IPsec安全策略的创建方式是通过ISAKMP方式B、IPsec感兴趣流是通过ACL方式进行定义的C、从本端发出去的封装后的Psec报文，目的地址是D、IPsec的封装方式是隧道模式答案：D163.Link-Group的功能是将多个物理接口的状态相互绑定，组成一个逻辑组，允许将不同类型的接口加入到同一个Link-group中。A、、正确B、、错误答案：A164.在使用Radius服务器对用户进行认证时，在Radius服务器和防火墙上都需要配置对应的用户名密码A、正确B、错误答案：B165.当BFD会话状态处于"Init"时，以下哪个说法是正确的A、会话刚刚创建B、本端希望使会话进入Up状态C、会话已经建立成功D、会话处于管理性Down状态答案：B166.下列IKEv1协商第一阶段主模式协商过程的哪—项是Message1和Message2的作用A、协商对等体之间使用的IKE安全提议B、相互做身份认证C、用DH算法交换与密钥相关的信息，并生成密钥D、协商IPSecSA答案：A167.以下关于虚拟系统的描述，错误的是哪一项A、在NGFW上划分出来的，独立运行的逻辑设备叫做虚拟系统。B、FW上存在根系统和虚拟系统充两种类型的虚拟系统C、防火墙上创建虚拟系统时会自动生成一个与虚拟系统同名的VPN实例，并与该拟系统绑定。不能单独删除。但是实例ID与vSVSID可以不一致D、NGFW上缺省存在的一个特殊的虚拟系统叫做根系统答案：C168.当需要使用AH和ESP进行报文封装时,IKE协商完成后,会建立几个SA?A、1B、2C、3D、4答案：C169.关于L2TPoverlPSec的报文封装顺序，以下哪项是正确的?A、从先封装到后封装的顺序是PPP>UDP->L2TP->IPSecB、从先封装到后封装的顺序是PPP>L2TP->UDP-IPSecC、从先封装到后封装的顺序是IPSec>L2TP->UDP-PPPD.D、从先封装到后封装的顺序是IPSec>PPP->L2TP->UDP答案：B170.以下哪—项不是智能选路链路质量探测的参数A、延时抖动B、延时C、吞吐量D、丢包率答案：C171.一台防火墙设备可以创建多个虚拟网关，每个虚拟网关之间相互通信。A、正确B、错误答案：A172.以下关于USG防火墙带宽策略的描述，错误的是哪—项?A、带宽策略可以同时配置服务和时间段作为匹配条件B、带宽策略可以同时配置源安全区域和入接口作为匹配条件C、带宽策略可以同时配置源地区和用户作为匹配条件D、带宽策略可以同时配置应用和目的地址作为匹配条件答案：B173.关于Radius的认证流程，有以下几个步骤:

1，网络设备中的Radius客户端接收用户名和密码，并向Radius服务器发送认证请求;

2，用户登录USG等网络设备时，会将用户名和密码发送给Radius客户端;

3，Radius服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给Radius客户端;以下哪个选项的顺序是正确的?A、1-2-3B、2-1-3C、3-2-1D、2-3-1答案：C174.BFD比IP-Link的检测速度更快。A、正确B、错误答案：A175.某企业组如图示，其中USGA与USGB上配置了双机热备，USG-A为主设备。管理员想要在防火墙上配置SSLVPN使分支机构员工可以通过SSLVPN访问总部。该SSLVPN的虚拟网关地址应该为什么?

A、/24B、/24C、/24D、/24答案：C176.配置IP-Link组发送检测报文的时间时，interval取值越大，越能减小设备CPU的负担，但链路检测的灵敏度降低A、正确B、错误答案：A177.数字证书通过第三方机构对公钥进行公正,从而保证数据传输的不可否认性。因此确认公钥的正确性只需要通信方的证书即可A、、正确B、、错误答案：B178.以下哪一选项不能作为查找Server-map表的参数条件？A、、目的端口号B、、源IPC、、协议类型D、、目的IP答案：D179.为了防止链路过载，造成链路拥塞，管理员可以接口设置过载保护阈值。当某条链路的带宽使用率达到阚值时，已建立会话的流量仍然从该链路转发，但后续新建立会话的流量不再通过此链路转发。A、正确B、错误答案：A180.防火墙健康检查功能无法发送以下哪一项协议的探测报文？A、UDPB、ICMPC、DNSD、HITP答案：A181.关于IKEv1主模式和野蛮模式下列哪—项说法是正确的?A、野蛮模式下第一阶段的所有协商包都加密B、主模式下第一阶段的所有协商包都加密C、野蛮模式用到DH算法D、不论协商成功与否，都将进入到快速模式答案：C182.关于VGMP组管理中的抢占管理，以下哪—选项的描述是错误的?A、VRRP备份组本身具有抢占功能。即当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主。B、当VRRP备份组加入到VGP管理组后，奋份组上原来的抢占功能将失效，抢占行为发生与否必须由VGP管理组统一决定。C、当Slave端五个He11o报文周期没有收到对端发送的He11o报文时，会认为对端出现故障，从而将自己切换到Master状态。D、VGMP管理组的抢占功能和VRRP备份组类似，当管理组中出现故障的备份组故障恢复时，管理组的优先级也将恢复。答案：C183.某企业的USG防火墙启用了服务器健康性检测机制，检测后端三台真实服务器(ServerA，ServerB，ServerC)的运行状态，当USG多次收不到来自ServerB的回应报文时，将禁止使用ServerB并将流量按配置好的策略分配到其它服务器上A、正确B、错误答案：A184.在SSLVPN中，防火墙基于以下哪—项的维度进行访问授权和接入控制A、用户B、MAC地址C、IP地址D、角色答案：A185.当需要使用ESP进行报文封装时，IKE协商完成后，会建立几个SA?A、2B、1C、3D、4答案：B186.LAC自动拨号是指用户通过配置触发建立LAC与LNS之间的永久性L2TP会话。LAC使用存储在本地的用户名和LNS建立一个永久存在的L2TP隧道，此时的L2TP隧道就

相当于一个物理连接。A、正确B、错误答案：A187.以下哪—项不属于智能选路的方式?A、链路权重负戴分担B、链路质量负戴分担C、基于链路类型选路D、链路带宽负戴分担答案：C188.RADIUS双因子认证是指防火墙和RADIUS服务器配合，对SSLVPN用户进行身份认证。认证时，除了验证用户名和静态PIN码，还要求用户输入动态验证码。A、正确B、错误答案：A189.开启会话保持后，流量进行首次智能选路选择某接口链路后，华为USG6000防火墙会生成相应的会话保持表项，新流量如果命中了该会话保持表项，则根据表项中记录的出接口转发流量，这样能保证该用户的流量始终使用同一接口链路转发，会话保持表项中记录的参数不包括下列哪—选项A、入接口B、目的地址C、出接口D、源地址答案：B190.用户在使用端口转发功能时，不能访问内网资源，下列哪项不是造成该故障的可能原因A、端口转发功能没有启用。B、用户连接是否超时。C、安全策略没有放行流量。D、用户PC的虚拟网卡上有没有获取到虚拟IP地址。答案：D191.以下哪一项支持多种盗链错识别算法，能有效解决单—来源盗链、分布式盗链和网站数据恶意是窃取等信息盗取行为，从而确保网站的资源只能通过本站才能访问?A、FirewallB、IPSC、Anti-DDosD、WAF答案：D192.WebLink由于做了加密和适配，因此在安全性和适用性方面比较高。A、正确B、错误答案：B193.当VRRP备份组加入到VGMP管理组后，备份组上原来的抢占功能将失效，抢占行为发生与否必须由VGMP管理组统一决定A、正确B、错误答案：A194.lPsecVPN使用以下哪种加密方式对通信数据流进行加密?A、公钥加密B、私钥加密C、对称密铜加密D、预共享密钥加密答案：C195.在IPSecVPN中，以下哪个报文信息不存在?A、AH报文头B、AH报文尾C、ESP报文头D、ESP报文尾答案：B196.配置带宽策略可以通过入接口/源安全区域、出接口/目的安全区域、源地址/地区、目的地址/地区、用户、服务、应用、URL分类、时间段和DSCP优先级信息定义该流量的特征A、正确B、错误答案：A197.以下关于虚拟服务技术的描述，正确的是哪—项?A、对于多个真实服务器，真实服务器需处在同一网段和同一安全区域中。B、对于多个虚拟服务器，虚拟服务器可不在同一网段中，但必须在同一安全区域中。C、对于多个真实服务器，真实服务器可不在同一安全区域中，但必须在同一网段中D、对于多个虚拟服务器，应拟服务器需处在同一网段和同一安全区域中答案：A198.23、关于服务器负载均衡技术,在防火墙上执行的命令和得到的输出如下:以下说法正确的是?

A、A.该负裁均衡策略启用了服务健康检查功能，采用的检测报文是TCP报文B、B.该负裁均衡策略采用的是加权轮询算法。C、C.该负裁均衡策略采用的是加权最小连接算法。D、D.该负戴均衡策略的真实服务器均属于强制不可用状态答案：B199.策略路由是在路由表已经产生的情况下，不按照现有的路由表进行转发，而是根据用户制定的策略进行路由选择的机制。A、正确B、错误答案：A200.IP-Link会向指定的IP地址发送探测包，缺省情况下当3次探测失败后，则认为通往此IP地址的链路出现故障。A、正确B、错误答案：A201.可以通过查看业务日志中的审计日志来确定流量是否命中防火墙的安全策略。A、正确B、错误答案：A202.关于网络扩展的工作过程，以下哪—项的描述是错误的?A、远程用户向企业内网的Server发送业务请求报文，该报文通过SSLVPN隧道到达应拟网关。B、触发网络扩展功能后，首先需要远程用户与虚拟网关之间会建立一条SSLVPN隧道C、远程用户本地PC会自动生成一个虚拟网卡，虚拟网关从地址池中随机选择一个IP地址，分配给远程用户的虚拟网卡。D、网络扩展功能建立SSLVPN隧道的方式有两种，可靠传输模式和快速传输模式。可靠传输模式中，SSLVPN采用SSL协议封装报文，并以UDP协议作为传输协议。答案：D203.GREoverIPSec可利用GRE和IPSec的优势，通过GRE将组播、广播和非IP报文封装成普通的IP报文，IPSec为封装后的IP报文提供安全地通信。A、正确B、错误答案：A204.USG防火墙的带宽策略支持父子策略的级数是以下哪一项？A、、4B、、5C、、2D、、3答案：A205.HWTACACS只能对密码部分进行加密，而Radius协议除Radius报文头以外，可对报文主体进行加密。A、正确B、错误答案：B206.在接口下由ipbindingvpn-instanceVpn-instancename绑定的虚拟系统实例是随着虚拟系统创建而产生的。A、正确B、错误答案：B207.下列哪条命在华为US6000序列防火墙中表示不限流A、no-qosB、no-carC、no-profileD、no-limit答案：A208.选择图形化配置L2TPOverlPSec时，应选择IPSec点到点场景进行部署。A、正确B、错误答案：B209.会话保持就是指在负载均衡器上的一种机制，可以识别客户与服务器之间交互过程的关联性。当创建四层协议监听器时，分配策略类型选择以下哪种算法，可配置会话保持时间A、最小连接算法B、加权轮询商法C、源lPHash算法D、简单轮询算法答案：C210.关于对称加密算法的特点，以下哪—选项的描述是错误的?A、对称加密算法密钥的数目难于管理B、对称加密算法可实现防止假冒和抵赖C、对称加密算法一般不能提供信息完整性的鉴别D、对称加密算法要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥答案：B211.IlP-Link技术通过向指定的目的地址连续发送ICMP报文或者ARP请求报文，然后检查是否可以收到响应的ICMPechoreply报文或ARP应答报文来判断链路是否发生故障。A、正确B、错误答案：A212.数字信封技术是指发送方利用接收方的公钥对数据进行加密,然后将密文再发送给接收方。A、、正确B、、错误答案：B213.如果要在公司总部和分支之间传输视频会议等组播业务，可以使用以下哪—项的封装模式?A、、IPsecB、、GREoverIPsecC、、IPsecoverGRED、、L2TPoverIPsec答案：B214.关于服务器负载均衡，可以依靠下列哪一种技术实现感知服务器状态的变化，保证用户请求不会被发送到故障服务器上?A、VGMPHello报文B、VRRP报文C、DPDD、服务健康检查答案：D215.智能选路接口可以配置过载保护阈值，这样可能会导致用户上网流量再接口链路过戴前选择了该接口链路，而新建立会话流量(如打开新网页）因为原接口链路过载而被防火墙从其他接口转发出去，从而出现已经登录的网站在刷新后需要重新登录A、正确B、错误答案：A216.在SSLVPN中，一个用户只可以绑定一个角色。A、正确B、错误答案：A217.开启会话保持后，流量进行首次智能选路选择某接口链路后，华为USG6000防火墙会生成相应的会话保持表项，新流量如果命中了该会话保持表项，则根据表项中记录的出接口转发流量，这样能保证该用户的流量始终使用同一接口链路转发，会话保持表项中记录的参数不包括下列哪个选项？A、源地址B、目的地址C、出接口D、下一跳地址答案：D218.实现USG6000防火墙的双机热备功能，不需要以下哪种协议？A、VRRPB、VGMPC、HRPD、ICMP答案：D219.管理员可以通过管理口G0/0/1进行Web方式登录防火墙。A、正确B、错误答案：B220.关于GREOverlPSec的说法，下列哪项说法是错误的?A、IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口地址，目的地址即IPSec对等体中应用IPSec安全策略的接口地址。B、IPSec需要保护的数据流为从GRE起点到GRE终点的数据流。C、GRE封装过程中增加的IP头即源地址为GRE隧道的源端地址，目的地址为GRE隧道的目的端地址。D、当网关之间采用GREoverIPSec连接时，先进行1PSec封装，再进行GRE封装。答案：D221.SSLVPN采用B/S架构设计，远程用户终端上无需安装额外的客户端软件，直接使用Web浏览器就可以安全、快捷的访问企业内网资源。A、正确B、错误答案：A222.关于SSLVPN虚拟网关采用的认证方式，以下哪项描述是错误的?A、本地认证是指S