AF渠道初级认证考卷84

2016AF渠道初级认证考卷_卷一【以AF6.6版本为准】考试说明：2016AF渠道初级认证考卷_卷一【以AF6.6版本为准】以下关于人「双向地址转换配置的说法中，错误的是凡双向地址转换主要用来实现内网用户通过公网地址访问内网服务器的需求。内网有邮件服务器，若配置了对邮件服务器的双向地址转换，则不能在AF上同时开启网关杀毒一条双向地址转换规则中，同时包含了源地址转换和目的地址转换，匹配规则的数据包将会被同时转换源IP地址和目的甲地址。口.双向地址转换只支持以外网IP的形式访问内网服务器，不支持域名访问。CCCCABCD2以下功能中哪一个在AF旁路部署模式下不生效服务器数据防泄密功能WEB应用防护IPS病毒防御策略

从客户那里将一台4.7版本的NGAF测试设备拿回来，在不知道控制台密码的情况下，有哪些方法能解决登录设备问题，请列出最全的选项：①用升级客户端加载升级包，恢复所有配置到出厂状态②使用U盘恢复密码方式，恢复控制台密码到出厂状态③使用交叉线恢复默认配置的方法，恢复所有配置到出厂状态①②③B.②C.①②②③「△「日厂^口以下说法正确的是：http应用隐藏不支持替换出错页面http应用隐藏只支持替换2xx、3xx页面http应用隐藏只支持Server跟x-powered-by字段FTP应用隐藏只支持软件名称跟版本CCCCABCD

AF设备中关于源IP联动封锁，错误的是：联动封锁支持IPS/WEB应用防护/DDOS联动封锁的日志需要在数据中心的应用控制策略中查询联动封锁针对的是该源IP通过防火墙的任何通信被联动封锁的主机可访问AF控制台，但是不能访问数据中心CCCCABCD下面关于trunk链路的说法中，错误的是可以在一条物理线路上承载多个vlan信息trunk链路常用的协议有802.1q和ISL两种802.1q协议最大支持4096个vlan—个接口一旦设置为trunk口，则与其相连的接口也必须设置为trunk口CCCCABCDAF中，以下哪个功能可实现对"网页木马""CSRF攻击"及"网站扫描"的控制WEB过滤应用控制病毒防御WEB应用防护下列有关AF的描述中，错误的是Syslog月服务器只能同步系统日志，不会同步数据中心记录的日志。如果不勾选"启用内置数据中心"，则内置数据中心不会记录IPS的防护日志。AF系统更新中的每一个库文件都是通过单独的序列号来进行升级维护的。AF的自动备份可保存超过一周的配置文件。CCCCABCD哪种接口可以加入到二层区域：路由口B.虚拟网线口C.VLAN接口镜像口c^bcccd测试AF时，DOS/DDOS防护-外网防护-基于数据包攻击时，以下哪一项不建议开启未知协议类型防护IP数据块分片传输防护Smurf攻击防护超大ICMP数据攻击防护

客户购买AF希望做4对网桥那么对于AF设备的要求至少要有几个网口？TOC\o"1-5"\h\z891011「△「日厂^口某客户网络拓扑如下图所示，客户部署7AF设备于网络的出口处，客户对外发布7DMZ区域的公司网站服务器，将外网IP的80端口映射给服务器的8080端口，在配置WEB应用防护的时候，下列哪项配置是正确的源区域为外网区，目的区域为DMZ区，且必须修改WEB应用的端口为8080源区域为外网区，目的区域为DMZ区，可以不用修改WEB应用的端口源区域为DMZ区，目的区域为外网区，且必须修改WEB应用的端口为8080源区域为DMZ区，目的区域为外网区，可以不用修改WEB应用的端口CCCCABCD以下属于AF服务器保护控制功能的是

APT检测B.应用隐藏C.防dos攻击病毒防御策略C^BCCCD目前AF的两个防篡改版本的差异不包含哪个？凡防篡改1.0是事后机制，即网站已经被篡改但是可以防止用户访问到篡改页面防«改2.0是事中机制，即在黑客篡改过程中拦截。防篡改2.0需要在客户端安装软件，防篡改1.0不需要口.防篡改2.0可以对网站后台登陆页面进行增强认证，1.0也可以做到CCCCABCD关于安全防护的防护阐述下列哪一个是不正确的？AIPS规则对于客户端的漏洞和服务端漏洞有共同规则服务器和办公pc都有可能成为僵尸主机web应用防护只针对http协议有效对其他协议无效实时漏洞分析主要是针对服务器侧的漏洞发现功能

某客户部署AF设备于网络的出口处，出口有一条线路直连AF的eth2口，eth2口的有关配置如下图所示，下列说法中正确的是D只有具备WAN属性的接口才能用于直连外网线路。由于eth2口的下一跳网关指向，则设备上能够产生一条8个0的默认路由，其下一跳指向。接口的线路带宽应设置为外网线路的真实带宽,流量管理会调用此处的线路带宽进行流控策略。链路故障检测用于实时的检测接口的链路状态其检测方法包括DNS检测和ping检测。CCCCABCD下列有关AF设备VPN模块下外网接口的说法中，错误的是AF设备做单线路VPN接入时，必须配置外网接口。AF设备做多线路VPN接入时，必须配置外网接口。AF设备与其他厂商的设备进行第三方对接时，必须配置外网接口。VPN的外网接口只能选择具有WAN属性的三层接口。CCCCABCD如图，下列AF部署环境，哪种配置是正确的：

ETH1口配置为Trunk口即可ETH1口配置为trunk口，并设置与内网对应VLAN号的子接口ETH1口配置为Trunk口，并设置与内网对应VLAN号的VLAN接口ETH1口配置为路由口，并设置与内网对应VLAN号的VLAN接口CCCCABCD某用户反馈在AF设备启用DOS内网防护时就会出现断网，日志记录的DOS告警源MAC地址都是三层交换机的MAC地址，DOS/DDOS酉己置界面如下，下面选项中，哪一种方法可以有效地解决该问题将三层交换机下所有的内网地址都添加到1中将2中的部署环境选择为：内部网络到本机通过三层交换设备相连将三层交换机的地址加入到3中。。.修改4中的参数。CCCCABCD以下关于AF的IPS功能的描述，正确的是IPS的规则默认都是放行的。若新建IPS规则处勾选了"检测攻击后操作"动作为拒绝，但是对象定义中的该规则又是允许的，此时检测到漏洞后是拒绝的。

客户端漏洞与服务器漏洞是一样的。若发现某条IPS误判导致客户的正常应用被阻断，则可以在数据中心中查找到漏洞ID,然后在对象定义中单独放行或者禁用该漏洞即可。CCCCABCD某客户网络环境和AF设备网口配置情况如下，客户想对内网用户访问eth1口下方的服务器做应用控制策略，为了实现客户需求，下列配置步骤正确的是（1）设置一个二层区域"外网"，包含eth2接口（2）设置一个二层区域"DMZ"，包含eth1接口（3）设置一个三层区域"vlan2"，包含vlan2接口（4）设置一个三层区域"内网"，包含eth3接口（5）对源区域为"内网"，目标区域为"外网"的数据进行应用控制。（6）对源区域为"内网"，目标区域为"vlan2"的数据进行应用控制（7）对源区域为"内网"，目标区域为"DMZ"的数据进行应用控制145634612457123457C^BCCCD

在一台交换机上属于不同VLAN的access口下的电脑，不能使用以下哪些方式进行相互通信使用一台独立路由器的两个接口连接两个VLAN，并进行合理配置在交换机上做一个涵盖这两个VLAN的trunk口，并使用一台路由器的一个接口连接这个trunk口,并进行单臂路由配置若使用的是三层交换机，则为这两个VLAN设置VLAN接口，并开启路由转发和其他必需配置这两台电脑的IP配置于同一IP子网即可直接通信CCCCABCD关于NGAF日志配置，下列说法正确的是：外置数据中心同步采用UDP有利于提高传输效率。SYSLOG可用于同步系统日志。SYSLOG配置时需要配置同步帐号密码，用于传输日志前的身份验证。SYSLOG采用UDP协议传输日志。CCCCABCD以下哪种配置弓I起的断网问题开直通有效勾选外网防DOS模块IP分片包检测在trunk链路上使用一对虚拟网线口做网桥，未放通应用

在trunk链路上使用trunk口做网桥，未配置对应的vlan接口在trunk链路上使用trunk口做网桥，放通vlan范围未包含实际环境网段CCCCABCDAF设备网关模式部署在网络出口，需要代理内网用户上网，请问需要在AF设备上添加一条略。凡目的地址转换源地址转换。双向地址转换DNSMappingc^bcccd下列关于AF的流量管理的说法正确的是AF的流量管理支持二级子通道AF的虚拟线路不需要多线路授权AF的流控能够对应用、网站、文件类型控制AF的只能针对IP组限制不能针对认证用户进行限制CCCCABCD

某客户网络拓扑如下图所示，AF设备部署在网络出口处，客户希望对内网用户上网的安全进行防护。以下哪项配置组合能够实现客户需求源区域：外网区目的区域：内网区IPS选项：保护服务器源区域：外网区目的区域：内网区IPS选项：保护客户端源区域：内网区目的区域：外网区IPS选项：保护服务器源区域：内网区目的区域：外网区IPS选项：保护客户端CCCCABCD下列有关AF能够实现的功能中，不包括以下哪项凡隐藏FTP月艮务器的版本信息日.防止Web服务器遭遇XSS攻击替换FTP月艮务器的出错页面口.防止Web月艮务器遭受口令暴力破解CCCCABCDAF设备忘记密码下列恢复密码操作正确的是：U盘恢复密码操作不需要重启就能完成U盘恢复必须把恢复文件放到U盘的第一个分区用于U盘恢复的U盘可以是FAT32或者NTFS格式AF所有版本都支持U盘恢复功能

以下关于AF设备接口的说法，正确的是透明接口的WAN属性勾与不勾对功能实现没有任何影响。要将AF透明部署到网络中则要求AF两个接口设置成透明口并且设置成不同的VLAN。虚拟网线接口不需要成对使用。虚拟网线的作用是通过其中一个虚拟网线接口进到设备的数据直接从另外一个虚拟网线接口转发CCCCABCD下列关于双向地址转换和DNSMapping的说法中，正确的是DNS-Mapping与双向地址转换规则一样，都可实现内网用户通过公网地址访问内网服务器的需求。DNS-Mapping当公网只有一个地址，而内网有多台服务器同时需要提供公网地址访问的时候，用或双向地址转换均可实现。DNS-Mapping同时配置了双向地址转换和DNS-Mapping时，一定是双向地址转换生效，DNS-MAPPING不生效。DNS-Mapping仅适用于内网用户需要通过公网域名访问内网服务器的环境，若是通过公网IP地址访问，则只能通过双向地址转换实现。

下列关于AF设备策略路由与静态路由的对比描述，正确的是静态明细路由优先于策略路由，策略路由优先于缺省路由有多条外网线路情况下，不建策略路由，通过静态路由也可能实现智能数据分流。多线路ADSL拨号情况下，必须手动添加静态路由才能上网。单线路ADSL拨号情况下，必须手动添加策略路由才能上网。CCCCABCD对于AF现在的外置数据中心的使用和注意事项描述不正确的是：AF5.5及5.5以上的版本设备统一使用的是DC5.5程序DC5.5支持128台设备同时接入DC5.5可以同时查询所有设备的日志DC5.5支持报表导出功能cc CABCD目前对产品线产品AC和AF的功能有相似之处，请问下列哪个不是AC和AF都具备的功能AC和AF都具备DDOS防护功能AC和AF都具备用户认证功能

AC和AF都具备流量管理功能AC和AF都具备外置数据中心功能CCCCABCDAF需要部署在TRUNK的链路中，同时希望用桥地址管理设备，那么下列哪项描述能够达到客户要求？配置虚拟网线模式即可配置透明模式接口为trunk属性，按照客户要求配置vlan接口地址管理设备配置透明模式接口为access属性，按照客户要求配置vlan接口地址管理设备下联口配置透明接口设置trunk属性，上联口设置成路由口即可CCCCABCD以下功能描述中，AF设备可以实现的是审计WebBBS发帖的内容过滤HTTPS网页实现只允许登录论坛看帖子，不允许发帖子Kerberos认证方式的PROXY单点登录

AF设备做4口双网桥流控，需要AF设备有几个网口，几个线路授权4网口，1线路5网口，1线路4网口，2线路5网口，2线路CCCCABCD下列有关AF应用控制策略的说法中，错误的是AF默认存在一条拒绝所有的应用控制策略，可以通过手动编辑这条默认策略放通所有的服务和应用。AF的应用控制策略是从上往下依次进行匹配的，直到匹配到某条策略为止就不再进行匹配了。基于应用的控制策略需要先放通一定数量的数据包，识别出应用类型之后，才能够进行应用控制。基于服务的应用控制策略是通过匹配数据包的五元组来进行应用控制的不需要事先放通一定数量的数据包来识别应用。cc CABCD下列有关AF的Web应用防护功能的说法，错误的是

一般SQL注入的攻击是针对ASP、JSP、PHP等动态页面的。AF可防御HTTPPOST提交弱口令，如长度小于8位的纯数字。对某个特定URL在URL防护设置中动作设置为允许，则对这个url的XSS攻击和SQL注入也都被允许。WEB应用防护功能主要是针对Web月服务器和FTP服务器进行防护。CCCCABCD目前黑客常见攻击网站的方式简述如下：（1）使用明小子Domain工具对网站进行漏洞扫描，扫描到有漏洞后，根据网站数据库类型使用明小子工具扫描数据库内容，获得网站管理员账号密码；（2）对网站目录结构进行扫描，获取了整个网站的目录结构后，找到了后台管理页面，然后使用获得的管理员登陆并控制网站；（3）上传木马或后台程序到网页目录中，等待后门程序被网站管理员目录浏览动作出发运行，获取服务器操作系统的控制权限.对于这三步典型动作，AF分别可以开启什么功能进行防御（1）SQL注入防护，（2）XSS攻击防护，（3）CSRF攻击防护（1）OS命令注入防护，（2）URL防护，（3）CSRF攻击防护（1）SQL注入防护，（2）URL防护，（3）文件上传过滤（1）OS命令注入防护，（2）XSS攻击防护，（3）文件上传过滤CCCCABCDDOS攻击也即拒绝服务攻击，攻击后可以使计算机或者网络无法提供正常的服务。DOS攻击只能基于TCP和ICMP协议来攻击。SYN泛洪是常见的DOS攻击手段，主要是利用TCP协议栈在两台主机间初始化连接握手的过程进行攻击。口.普通的防火墙一般都具有DOS攻击防护功能。CCCCABCD下列有关AF接口与区域的说法中，错误的是AF的一个路由口下可以添加多个子接口，且路由接口的IP地址不能与子接口的IP地址在同网段。AF的一个区域可以包含多个接口，一个接口也可以属于多个区域。AF的虚拟网线区域只能包含虚拟网线接口，不能包含透明接口和三层接口。单进单出透明部署情况下，可以通过配置VLAN接口IP来对设备进行管理。CCCCABCD下列有关AF管理口的说法中，正确的是AF默认使用eth0口作为管理口，该管理口的接口类型只能为路由口。上架AF设备时，若需要把管理口当虚拟网线接口使用，则修改管理口的类型为虚拟网线接口即可。AF管理口的默认IP是51，可以删除该默认IP地址。

AF管理口的默认IP是52,可以在该IP地址上增加其他IP地址作为管理口的IP地址。CCCCABCD以下关于DOS/DDOS外网防护策略的说法中，错误的是DOS/DDOS外网防护策略主要用于保护服务器不受来自外部区域的攻击。设置DOS/DDOS外网防护时，数据包按照从上往下的顺序匹配，当匹配到任何一个攻击行为后，便会直接将数据包丢弃，不会再往下匹配。当AF设备开启直通时，DOS/DDOS外网防护策略将无效，所有数据包都会直接放行。在配置DOS/DDOS攻击防护时，目标IP建议只填写服务器所在的IP组，不要填写所有IP。CCCCABCD某客户希望通过我们设备实现ssh和rdp的暴力破解，请问此功能在哪个模块中配置？僵尸网络实时漏洞分析web应用防护ips

下列有关AF透明口与虚拟网线接口的说法中，错误的是透明口与虚拟网线接口都属于二层接口，不具备基本的路由转发功能。透明口在进行数据转发时是根据其MAC地址表进行转发的。虚拟网线在进行数据转发时直接从虚拟网线配对的接口进行数据转发，不需要检查MAC表。如果要设置两对虚拟网线，那么必须开通双线路授权；而设置两