2025年PT2安全认证SSTP含ACAFSIPEDRAtrust题库【深信服PT2题库第一部分】

2025年PT2安全认证SSTP含ACAFSIPEDRAtrust题库【深信服PT2题库】1.[AC]关于SSL的钉钉认证,下面说法错误的是A.当用户同时属于角色映射的角色和组映射关联的角色时,两者角色都生效B.使用钉钉认证,必须导入受信的SSL证书,且放通与钉钉通讯的域名及端口https://oapi.dingC.如果需要配置钉钉微应用直接跳转到内网某个网页,则填写格式为:地址/por/dingtalkminiconnect.htmlhttps://VPND.设置完组映射后,当用户属于多个钉钉部时,组映射关联的资源将同时生效,策略将以较小的钉钉部]ID对应的映射为准正确答案:C解析：暂无解析2.[AC]深信服上网行为管理支持OAuth认证,下列选项中说法错误的是A.获取OA组织结构需要在深信服AC本地配置一个起始组B.深信服上网行为管理OAuth认证支持获取到企业OA,例如企业微信的组织结构C.AC会定时(1h)对开启自动获取用户所属组功能的OA服务器进行组织结构同步D.不在企业微信组织结构的用户,认证时,点击申请加入组织结构,管理员审批后,可以完成认证正确答案:D解析：深信服上网行为管理支持OAuth认证，并且可以实现与企业微信等OA系统的组织结构同步。对于不在企业微信组织结构的用户，在认证时，应由管理员直接创建用户并分配到相应的组织结构中，而不是由用户点击申请加入组织结构。因此，选项C的说法是错误的。其他选项A、B、D均描述了深信服上网行为管理OAuth认证的相关功能，且表述正确。3.[AC]以下关于静态路由的优先级说法正确的是?A.直连路由>动态路由>静态路由B.静态路由>动态路由>默认负载策略C.优先负载策略>静态路由>默认路由D.直连路由>默认路由>默认负载策略正确答案:B解析：在路由选择中，各种路由的优先级是有明确顺序的。直连路由，即直接连接的网络，通常具有最高的优先级，因为其可靠性和效率最高。但在题目所给的选项中，并未直接涉及直连路由与静态、动态路由的直接对比，而是聚焦于静态路由、动态路由以及默认负载策略之间的关系。根据路由选择的原则，静态路由是管理员手动配置的，因此其优先级通常高于动态路由，动态路由是通过路由协议自动学习和更新的。而默认负载策略或默认路由，通常是在没有其他更具体或更高优先级的路由匹配时才使用的。所以，正确的优先级顺序是静态路由高于动态路由，动态路由高于默认负载策略，即选项B所描述的“静态路由>动态路由>默认负载策略”。4.[AC]深信服上网行为管理支持OAuth认证,内置的OAuth认证,不支付列通项中基体的认证方式A.FacebookB.TwitterC.LineD.WhatsApp正确答案:D解析：根据题目可知，深信服上网行为管理支持OAuth认证，但不支持列出的通项中的认证方式。在选项中，Facebook、Twitter、WhatsApp都支持OAuth认证，而Line不支持OAuth认证。5.[AF]客户发现AF的业务资产管理功能标记某业务高风险,以下哪种情况是可能的原因?A.资产离线超过30天但小于60天B.业务对应的服务端口为anyC.业务无访问流量,且主动扫描发现已经离线D.资产RDP端口开放并且在使用正确答案:B解析：在业务资产管理功能中，标记某业务为高风险通常基于对该业务安全状况的评估。选项B“业务对应的服务端口为any”意味着该业务的服务端口未特定，可能是开放的，这增加了业务被攻击或滥用的风险，因此被标记为高风险是合理的。而其他选项，如资产离线超过一定时间（A选项）、业务无访问流量且已离线（C选项，且与搜索结果描述不完全一致，搜索结果并未指出这是高风险的原因）、资产RDP端口开放并在使用（D选项，通常表示资产在正常使用，不一定代表高风险），这些情况通常不会直接导致业务被标记为高风险。6.[SIP]关于金融行业平台STP对接人行服务器,说法错误的是如需协助实验或者实验题库请添加微信：hwtk666A.支持对数据进行脱敏上报,并且可自定义配置要脱敏的字段。B.通过对接kafka或者的上报方式将下级机”的数据通过自动上报策略定时上报到上级机构。C.第三方日志可通过SIEM模块在SIP经过关联分析,生成安全事件后,再上传到人行kafka服务器。D.支持到人行总行的kafka服务器获取威胁情报,并加入到本地威胁情报库中。正确答案:C解析：在金融行业平台STP对接人行服务器的过程中，关于日志和安全事件的处理有严格的规定。第三方日志可以通过SIEM模块在SIP中进行关联分析，生成安全事件。但生成的安全事件应当上传到本地威胁情报库，以便进行进一步的分析和处理，而不是直接上传到人行kafka服务器。因此，选项C的描述是错误的。7.[AF]某企业购买AF,需要对业务进行存在弱口令和口令爆破行为进行安全检测,以下说法错误的是A.可以针对WEB高频,中低频、分布式的爆破行为防护B.支持针对WEB站点页面登录入口进行自定义的口令防护规则C.在开启口令防护功能时,建议害户将企业名称信息相关的弱口令加入弱口令规则检测中,从而提高发现存在的弱口令D.当检测出弱口令后,AF可以针对该规则进行联动封锁正确答案:D解析：对于AF（可能是指某种安全设备或软件）在针对业务进行存在弱口令和口令爆破行为的安全检测时，我们需要仔细分析每个选项描述的功能或建议。8.[AF]某客户业务中,遭受大量超长URL进行访问,导致服务器无法处理过程该请求,严重影响业务的可持续性,部署AF后如何进行防护?A.限制该URL访问,不会影响业务B.自定义WEB应用防护规则,对访问该URL进行安全防护C.自定义漏洞攻击防护规则,对访问该URL进行安全防护D.开启URL溢出检测,对URL最大长度进行限制正确答案:D解析：这道题考察的是对应用防火墙（AF）功能的理解。面对大量超长URL访问导致服务器无法处理的问题，关键在于识别并限制这类异常请求。选项A忽略了业务可能依赖该URL，不可行；选项B和C虽然提到了自定义防护规则，但并未直接针对URL长度这一核心问题；选项D则直接提出了开启URL溢出检测，并对URL最大长度进行限制，这正是解决该问题的有效方法。9.[AF]客户网络进行安全改造,想购买我们AF替换他们的传统防火墙,客户想了解我们AF杀毒功能可以针对通过哪些途径传播的病毒文件进行查杀,下面说法不正确的是?A.可以针对通过SMTP、POP3和IAMP邮件协议传输的病毒文件进行查杀B.可以针H对HTPHTTPS协议传输的病毒文件进行查杀,针对HPS协议需要开启解密功能C.可以针对通过SMB网络共享协议传输的病毒文件进行查杀D.可以针对通过FTP和SFTP协议传输的病毒文件进行直杀正确答案:D解析：AF的杀毒功能可以针对多种协议传输的病毒文件进行查杀。具体来说，它可以针对通过SMTP、POP3和IMAP邮件协议，以及HTTP/HTTPS协议传输的病毒文件进行查杀，对于HTTPS协议需要开启解密功能。同时，AF也能针对通过SMB网络共享协议传输的病毒文件进行查杀。然而，AF并不能直接查杀通过FTP和SFTP协议传输的病毒文件，因此选项D的说法是不正确的。10.[AF]关于恶意域名重定向说法不正确的是A.AF7.1及以上版本开始支持B.该功能主要针对场景是内网存在DNS代理的环境,AF无法直接看到DNS请求的源IPC.目前SIP也支持恶意域名重定向D.恶意域名重定向功能产生的日志在内置数据中心进行查询正确答案:C解析：恶意域名重定向功能在AF7.1及以上版本开始支持，这一功能主要针对的场景是内网存在DNS代理的环境，此时AF无法直接看到DNS请求的源IP。此外，恶意域名重定向功能产生的日志可以在内置数据中心进行查询。然而，目前SIP并不支持恶意域名重定向功能。11.[AF]AF部署在服务器区域,为了防护业务的安全性,开启了WEB应用防护功能,以下针对WEB应用防护的口令防护,说法错误的是?A.WeB口令防护可以针对HTTPS站点进行检测,前提需要导入站点的证书(公私钥)才能够解密B.WEB登录弱口令检测可以根据用户场景自定义弱口令C.当客户业务中存在WEB登录弱口令,AF会进行拦截D.内置TOP1000弱口令字典正确答案:C解析：这道题考察的是对WEB应用防护功能的理解。AF作为应用防火墙，在开启WEB应用防护功能后，确实可以对HTTPS站点进行检测，但需要导入站点证书来解密，所以A选项正确。同时，WEB登录弱口令检测功能允许用户根据具体场景自定义弱口令规则，因此B选项也是正确的。至于D选项，提到内置TOP1000弱口令字典，这是常见的安全实践，用于增强口令强度检测，所以D选项同样正确。而C选项的说法存在问题，因为AF在检测到WEB登录弱口令时，通常不会直接进行拦截，而是记录并报警，由管理员来处理，所以C选项是错误的。12.[AF]在HW场景中,客户在使用AF主动诱捕功能时,下面说法正确的是?A.主动诱捕功能对部署模式没有限制,都可以正常使用B.为达到更好的伪装效果,伪装服务可以配置成真实服务器的IP和端口C.云端和本地伪装服务都可以记录社交指纹,进行溯源D.为达到更好的伪装效果,需要开通云蜜罐功能,并使用云端的伪装服务正确答案:D解析：在HW场景中的AF主动诱捕功能，关键在于理解其工作原理和部署要求。对于选项A，主动诱捕功能可能对部署模式有特定要求，不是所有模式都适用，因此A错误。对于选项B，虽然伪装服务可以配置，但通常不会配置成真实服务器的IP和端口，因为这可能暴露真实环境，所以B错误。对于选项C，通常云端伪装服务可以记录社交指纹进行溯源，但本地伪装服务可能不具备这样的能力，因此C错误。对于选项D，为了达到更好的伪装效果，确实可能需要开通云蜜罐功能，并使用云端的伪装服务，这样可以提供更高级别的伪装和溯源能力，因此D是正确的。13.某企业站点通过referer的形式访问该站点,开启CC攻击后,导致较多正常用户无法访问,针对该问题如何进行解决?A.由于该站点通过referer的形式访问,所以不能开启referer防护CC攻击,而是选择特定URL或者源IP防护CC攻击B.自定义CC防护规则,调大referer字段检测阀值C.调大源IP防护CC攻击的触发阀值和检测时间D.调大referer防护CC攻击的触发阀值和检测时间正确答案:B解析：在解决通过referer形式访问站点引发的CC攻击问题时，关键在于调整防护策略以适应这种特定的访问方式。自定义CC防护规则可以针对实际情况进行精细设置，而调大referer字段检测阈值能够减少因正常referer访问而误触发防护机制的情况，从而有效缓解CC攻击对正常用户访问的影响。14.[AF]客户在使用URL过滤过程中,想了解关于AF在HTTP和HTTPS识别和过滤的实现方式,下面说法正确的是?A.HTTP网站和HTTPS网站的过滤都是在三次握手过程中,AF模拟服务器对客户端发送RST包来进行拒绝的B.HTTP网站识别是通过获取在get请求数据包中的host字段,HTTPS网站识别是通过获取Clienthello报文中的Server_Name字段C.HTTP网站和HTTPS网站被AF拒绝后都会重定向到AF的拒绝页面D.HTTP网站和HTTPS网站的文件下载都可以直接进行过滤正确答案:B解析：HTTP网站识别，终端设备通过DNS域名后，跟网站服务器三次握手完成，发给get请求，在get请求数据包中的host字段，就是访问网站的具体URL，AF通过抓取这个字段来识别终端用户是访问的哪个网站。如果AF对该url做过滤,终端设备在发出get请求后（即完成HTTP识别），设备会伪装成网站服务器向终端设备发一个状态码302的数据包，源ip是网站服务器的ip地址（实际是AF设备发送的，设备标识ip.id是0x7051），数据包中的内容是告知终端设备访问网站服务器的拒绝界面。HTTPS网站识别，终端设备通过DNS域名后，跟网站服务器三次握手完成，终端开始发Clienthello报文(SSL握手的第一阶段)，在此报文中的server_name字段包含所访问的域名，AF提取Server_Name字段来识别https的网站。对HTTPS网站过滤，终端设备在发送Clienthello报文后，我们识别到该网站，然后同http封堵一样，伪装网站服务器给终端设备发送RST包（ip.id也是0x7051），断开终端设备与网站服务器之间的连接，从而控制HTTPS网站的访问。与HTTP过滤的区别HTTPS整个过程都是加密的，在没有做SSL中间人劫持的时候是无法劫持和伪造具体数据包的，从而无法实现重定向到拒绝界面15.【AF】用户希望通过AF看到内网可视化的业务拓扑圈,看清业务访问逻辑,需要怎么操作?A.开启流量审计日志功能B.开启流量管理功能C.开启业务资产管理功能D.开启应用控制策略的日志功能正确答案:C解析：这道题考察的是对网络管理功能的理解。用户希望通过AF（一种网络管理工具）看到内网可视化的业务拓扑圈，并看清业务访问逻辑。这要求AF能够提供业务层面的可视化展示。-A选项“开启流量审计日志功能”主要是记录流量数据，用于审计，并不直接提供业务拓扑的可视化。-B选项“开启流量管理功能”虽然涉及流量，但更多关注于流量的控制和优化，并不专注于业务拓扑的可视化。-C选项“开启业务资产管理功能”直接关联到业务层面的管理，包括业务拓扑的可视化，符合用户需求。-D选项“开启应用控制策略的日志功能”主要关注应用控制策略的日志记录，与业务拓扑可视化不直接相关。因此，正确答案是C，开启业务资产管理功能，以满足用户通过AF看到内网可视化的业务拓扑圈，看清业务访问逻辑的需求。16.【AF】关于AF的应用隐藏功能,以下说法正确的是?A.FTP和HTTP应用隐藏功能再策略模版里默认关闭,需要手动开启B.HTTP头部字段隐藏默认关闭,需要单独手动开启C.4xx/5xx页面被替换后,访问页面将不会返问“Sorry,PageNotFoundD.应用隐藏功能可以记录页面替换和字段隐藏正确答案:B解析：这道题考察的是深信服安全设备的相关配置，关于AF的应用隐藏功能，正确是B。HTTP头部字段隐藏默认关闭，需要单独手动开启。具体来说，AF设备提供了应用隐藏功能，该功能可以保护企业的敏感信息，避免被泄露。其中，HTTP头部字段隐藏是该功能的一部分，默认情况下是关闭的，需要手动开启。因此，B选项是正确的。其他选项都是错误的，比如A选项说FTP和HTTP应用隐藏功能在策略模版里默认关闭，需要手动开启，这是不正确的。C选项说4xx/5xx页面被替换后，访问页面将不会返问“Sorry,PageNotFound”，这也是不正确的。D选项说应用隐藏功能可以记录页面替换和字段隐藏，这也是不正确的。17.选项中,认证方式和认证类型对应关系错误的是A.第二方平台通过radius协议接口将认证信息发送给深信服AC属于单点登求B.深信服AC的企业微信认证属于OAuth认证C.短信认证属于密码认证D.结合MicrosoftAuthenticator完成认证,属于密码认证正确答案:D解析：在认证方式和认证类型的对应关系中，我们需要准确理解每种认证方式的定义和特性。A选项描述的是第二方平台通过radius协议接口将认证信息发送给深信服AC，这符合单点登录的定义，即通过一个统一的认证过程来访问多个应用系统的认证机制。B选项中的企业微信认证属于OAuth认证，这是正确的，因为OAuth是一种开放标准，允许用户提供一个安全的访问令牌，而不是用户名和密码来访问他们存储在特定服务提供商上的信息。C选项中的短信认证属于密码认证，这也是正确的，因为短信认证通常是通过发送一个一次性的密码到用户的手机上来进行验证。D选项中的结合MicrosoftAuthenticator完成认证，实际上属于双因素认证或多因素认证，而不是密码认证，因为它通常结合了用户知道的（如密码）和用户拥有的（如手机）两种因素进行认证。因此，D选项的对应关系是错误的，是正确答案。18.通过对称密码算法进行安全消息传输的前提条件是A.使用非公开的加密算法B.安全地传输对称密钥C.使用非对称加密的私钥加密对称秘钥D.使用安全的数据传输信道正确答案:B解析：在对称密码算法中，加密和解密使用的是相同的密钥。因此，为了安全地传输消息，必须确保这个密钥在传输过程中不被泄露给未经授权的接收者。A选项提到使用非公开的加密算法，这虽然可以增加安全性，但对称密码算法的安全性并不完全依赖于算法的公开性。B选项指出需要安全地传输对称密钥，这是使用对称密码算法进行安全消息传输的关键前提条件。如果密钥在传输过程中被泄露，那么消息的安全性就无法保证。C选项提到使用非对称加密的私钥加密对称密钥，这实际上是一种混合加密策略，其中非对称加密用于安全地传输对称密钥，而不是直接用于消息加密。这个选项描述了一个可行的方法，但并不是对称密码算法进行安全消息传输的直接前提条件。D选项提到使用安全的数据传输信道，这同样是一个重要的安全措施，但它是一个更宽泛的概念，不仅适用于对称密码算法，也适用于其他加密技术。因此，正确答案是B，即需要安全地传输对称密钥，这是使用对称密码算法进行安全消息传输的前提条件。19.AF设备默认的路由优先级排列为A.VPN路由>策略路由>默认路由>静态路由B.VPN路由>策略路由>静态路由>默认路由C.VPN路由>静态路由>策略路由>默认路由D.策略路由>静态路由>VPN路由>默认路由正确答案:C解析：本题在考试题库中的答案为AF8.0.51版本之前的标准在标准版本AF8.0.51版本之前，AF路由默认的优先级是：【SSLVPN路由】>【VPN路由】>【直连路由】>【静态路由/动态路由】>【策略路由】>【默认路由】从标准版本AF8.0.51版本开始，AF路由默认的优先级是：【直连路由】>【策略路由】>【VPN路由】>【静态路由/动态路由】>【默认路由】20.上网策的适用对象中的“源IP"勾选了IP组-54.同时给勾选了本地用户zhangsan,下列说法错误的是A.用户lisi使用11能匹配上这个策略B.用户zhangsan使用11能的够多四配上策略C.“本地用户”和“源IP“需要同时匹配上才能成功匹配策略D.用户zhangsan使用192168.2.100上网能够匹配上这个策略正确答案:C解析：AC上网策略适用对象包括四种类型：用户、位置、终端类型和目标区域对于这四种类型的对象，他们之间是“与”的关系但是！！！用户类型下的本地用户、域用户、域安全组、域属性、用户属性组、源IP。它们的关系是“或”关系，而非“与”关系。题目中源IP?与本地用户?符合其中一个即可匹配上策略21.[EDR]以下对于最新版本XDR(国产化)与SIP联动说法错误的是A.能从SIP平台下发联动封锁B.能实现XDR安全日志上报C.能实现XDR资产上报至SIP平台D.能从SIP平台下发病毒查杀正确答案:A解析：在EDR（国产化）与SIP联动的场景中，通常涉及到两者之间的信息交互和功能协作。根据题目中的选项进行分析：22.[EDR]下列关于系统漏洞检测与修复功能,说法正确的是A.系统漏洞检测与修复功能可以检测Linux系统所有漏洞B.系统漏洞检测与修复功能只适用Windows系统,不适用其它系统C.系统漏洞检测与修复功能可以检测客户业务系统漏洞D.系统漏洞检测与修复功能可以检测Android系统漏洞正确答案:B解析：答案A正确。在常见的系统漏洞检测与修复功能中，Windows系统是较为常见的适用对象，但并非仅适用于Windows系统。而对于选项B，Linux系统的漏洞种类繁多且复杂，系统漏洞检测与修复功能难以检测到其所有漏洞。对于选项C，客户业务系统通常具有独特的架构和特性，一般的系统漏洞检测与修复功能不一定能检测到其漏洞。因此，选项A是正确的。23.[EDR]EDR有关PC端的授权,下列哪项组合是不正确的A.智防+智控B.智防+智响应C.智防D.智控+智响应正确答案:D解析：在EDR（EndpointDetectionandResponse，终端检测与响应）系统中，关于PC端的授权组合，通常根据系统的设计和功能划分来确定。智防（智能防护）通常指的是系统能够自动识别和防御潜在的安全威胁；智控（智能控制）可能涉及对系统行为的智能管理和调控；智响应（智能响应）则是指系统在检测到安全事件后能够自动采取应对措施。24.[EDR]截至3.2.36版本,以下选项中对于微隔离说法错误的是A.开启“流量上报”,可以查看业务系统流量访问情况,但是只包括已放通流量B.微隔使用Windows防火墙WFP和linux防火墙iptables进行访流量安多和上的C.微隔离是一种集中化的流量识别和管理技术D.完成微隔离的配置需要以下四个步骤:1.业务系统栋理2.定义对象.配置微福高策路4效果验证正确答案:A解析：微隔离技术主要用于在数据中心或云环境中提供细粒度的安全控制。关于选项：A项错误，因为开启“流量上报”功能通常可以查看业务系统的流量访问情况，这包括已放通流量和未放通流量，而不仅仅是已放通流量。B项正确，微隔离确实使用Windows防火墙（WFP）和Linux防火墙（iptables）进行流量的安全管理和控制。C项正确，微隔离是一种集中化的流量识别和管理技术，它提供了对数据流在虚拟机或容器之间流动的精细控制。D项正确，完成微隔离的配置通常需要业务系统梳理、定义对象、配置微隔离策略以及效果验证这四个步骤。因此，错误的选项是A。25.[EDR]Agent与EDR管理平台通信不会使用到以下哪个端口A.8083B.8088C.54120D.443正确答案:B解析：在EDR（EndpointDetectionandResponse，终端检测与响应）系统中，Agent与管理平台之间的通信需要用到特定的端口。根据题目描述和搜索结果，端口8083、54120和443均可能被使用，而端口8088不会被使用。因此，选项B是正确答案。26.[EDR]以下关于EDR病毒库更新正确的是A.Agent客户端只能从EDR管理端更新病毒库规则库B.EDR管理端不需要配置DNS就可以实现自动更新病毒规则库C.EDR管理端可以在指定时间内自动更新病毒规则库D.EDR管理端可以通过离线导入病毒库更新正确答案:D解析：在EDR（EndpointDetectionandResponse，终端检测与响应）系统中，病毒库的更新是一个关键环节。针对给出的选项进行分析，EDR管理端通常需要通过网络连接到病毒库服务器以获取最新的病毒规则库更新。然而，在某些特定情况下，如网络环境受限或需要快速部署更新时，离线导入病毒库成为一种有效的更新方式。选项C描述的“EDR管理端可以通过离线导入病毒库更新”正是这种情况，它允许管理员在无法直接联网的情况下，通过手动下载病毒库文件并导入到EDR管理端，从而实现病毒库的更新。其他选项如A、B、D均描述了病毒库更新的可能途径或条件，但根据题目要求和EDR系统的实际运作机制，C选项是最符合题意的正确答案。27.[EDR]某用户办公区出现了勒索病毒,针对勒索传播使用的端口以下说法正确的是?A.135、137、138、139、445、3389B.135、136、138、139、445、3389C.135、136、137、139、445、3389D.136、137、138、139、445、3389正确答案:C解析：勒索病毒主要通过特定端口传播，其中135端口用于RPC通信，可能被利用来远程控制工作站；137和138端口在局域网中提供计算机名称或IP地址查询服务，可能被入侵者获取主机信息；139端口允许通过网上邻居访问局域网中的共享文件或打印机，存在漏洞；445端口基于CIFS协议，用于文件和打印机共享，易被利用来传播病毒；3389端口是远程桌面的默认端口，易受暴力破解攻击。关闭这些端口可以有效减少勒索病毒的传播风险。28.[EDR]下面关于释放EDR授权,说法不正确的是A.对于离线的终端,从MGR管理端移除离线的终端可以释放授权B.从MGR管理端停止Agent不可以释放授权C.终端离线时是占用授权的D.从客户端卸载agent软件时可以释放授权正确答案:D解析：从客户端卸载agent软件时，并不能直接释放EDR授权。实际上，终端离线时会占用授权；对于离线的终端，从MGR管理端移除可以释放授权；从MGR管理端停止Agent也可以释放授权。因此，B选项“从客户端卸载agent软件时可以释放授权”是不正确的。29.[EDR]以下对于最新版本XDR(国产化)与SIP联动说法错误的是A.能实现XDR资产上报至SIP平台B.能从SIP平台下发联动封锁C.能从SIP平台下发病毒查杀D.能实现XDR安全日志上报正确答案:B解析：在EDR（国产化）与SIP联动的场景中，通常涉及到两者之间的信息交互和功能协作。根据题目中的选项进行分析：30.[EDR]授权过期后,下列说法正确的A.无法使用微隔离功能B.无法更新病毒库C.无法进行病毒查杀D.无法使用漏洞检测与修复功能正确答案:B解析：当EDR（EndpointDetectionandResponse，终端检测与响应）授权过期后，其更新病毒库的功能会受到影响，因为更新病毒库通常需要有效的授权或订阅服务。然而，即使授权过期，EDR仍然可能具备进行病毒查杀、使用微隔离功能以及漏洞检测与修复的能力，因为这些功能可能不依赖于实时的病毒库更新。所以，在EDR授权过期后，无法更新病毒库，但其他功能如病毒查杀、微隔离和漏洞检测与修复仍可能可用。31.[EDR]针对恶意域名事件,sip联动EDR进程取证不成功,下面分析正确的是:A.检查EDR是否启用了域名审计功能,默认是开启的B.SIP是否有将安装客户端的终端同步到资产C.判断下访问恶意域名是否只有DNS解析流量,没有后续访问恶意域名流量,如果只有DNS解折流量是取证不成功的。D.以上说法都正确正确答案:D解析：这道题考查对恶意域名事件中sip联动EDR进程取证不成功的分析。在网络安全领域，相关处理涉及多个方面。A选项提到EDR域名审计功能默认开启情况；B选项关注SIP对终端同步到资产的操作；C选项指出仅DNS解析流量无后续访问会导致取证不成功。综合来看，以上三个选项的分析都正确，所以答案选D。32.[EDR]EDR客户端Agent与下列哪个安全软件不能兼容安装A.金山毒霸B.QQ管家C.奇安信天擎D.百度杀毒正确答案:D解析：EDR客户端Agent在与某些安全软件安装时存在兼容性问题，特别是与百度杀毒无法兼容安装。这是由两者之间的技术冲突或设计不兼容所导致的。因此，在部署EDR客户端Agent时，应注意避免与百度杀毒同时安装，以确保系统的稳定性和安全性。33.[EDR]以下选项中,那种操作系统XDR(非专用机)者户喘不支持安装A.银河麒麟V4B.中科方德C.统信UOSV20D.银河麒麟V10正确答案:B解析：根据操作系统与EDR（EndpointDetectionandResponse，终端检测与响应）的兼容性，银河麒麟V4、统信UOSV20、银河麒麟V10均支持安装EDR，而中科方德操作系统则不支持安装EDR。因此，在XDR（非专用机）环境下，用户无法在中科方德系统上安装EDR。34.[EDR]“试用版授权”默认能够使用多久?A.1个月B.2个月C.3个月D.4个月正确答案:C解析：“试用版授权”默认能够使用的期限为3个月。在此期间内，用户可以正常使用软件及其功能，但账套内数据只能保留3个月以下。超过此期限后，软件将报错并无法正常使用。35.[SIP]若发现病毒,在不影响客户业务的情况下,请问以下哪项是正确的处理步骤A.发现病毒进程2、清除病毒进程5、清除恶意的定时计划任务或启动项6、清除恶意的定时计划任务文件或启动项文件B.发现病毒进程2、清除病毒进程3、定位病毒进程文件4、删除病毒文件C.发现病毒进程2、清除病毒进程3、定位病毒进程文件4.删除病毒文件5、清除恶意的定时计划任务或启动项6、清除恶意的定时计划任务文件或启动项文件D.设备断网2、发现病毒进程3、清除病毒进程4、定位病毒进程文件5、删除病毒文件6、清除恶意的定时计划任务或启动项7、清除恶意的定时计划任务文件或启动项文件8、设备重启正确答案:C解析：这道题考察的是对病毒处理步骤的理解。在处理病毒时，首先要发现病毒进程，然后清除病毒进程，接着定位并删除病毒文件。之后，还需要清除恶意的定时计划任务或启动项，以及相关的文件或启动项文件，以确保病毒被彻底清除。选项C完整地描述了这一处理过程，因此是正确答案。36.[SIP]在使用第三方威胁情况也确认不的情况时,可以通过人工分析的方法分析主机是否存在异常行为,以下思路扫描错误的是A.有多台主机访问了一些相同的且与业务无关的域名B.查看描述后面拼接的域名是否很多个,且都是看起来随机的、所有域名有相似性、疑似工具生成C.安全事件查看的访问的次数较多,且查看安全日志(辅助查询)可以看出访问在时间上有一定的规律D.查看到的多个无规则域名,都可以在站长之家查到注册信息正确答案:D解析：在分析主机是否存在异常行为时，通常会关注一些特定的指标和模式。37.[SIP]客户觉得自己的网络很安全了,但SIP上还是检查出了较多的互联网WEB攻击,客户认为SIP不可信,需要进行分析,以下选项中不合理的是?A.出口有深信服防火墙,并将日志接入到了SIP,显示的攻击都已经是被拦截的可看查看具体日志的动B.SIP没有升级到最新版本,存在较多误判C.出口的安全设备规很多攻击防护不了D.查看探针是否进择为高级模式正确答案:A解析：根据题意，客户认为自己的网络很安全，但SIP仍然检测到了许多互联网WEB攻击，导致客户对SIP的信任度降低。因此，我们需要分析问题的原因。选项A表示出口有深信服防火墙，并将日志接入到了SIP，显示的攻击都已经是被拦截的。这说明防火墙已经成功阻止了攻击，但SIP仍然检测到攻击。这可能是因为防火墙配置不正确或存在其他安全问题。因此，选项A是合理的。选项B表示SIP没有升级到最新版本，存在较多误判。如果SIP存在版本过旧的问题，可能会导致误判，因此选项B也是合理的。选项C表示出口的安全设备规很多攻击防护不了。这意味着即使有防火墙等安全设备，仍有一些攻击可以绕过防御措施并进入网络，导致SIP检测到攻击。因此，选项C也是合理的。选项D表示查看探针是否进择为高级模式。高级模式通常能够检测更多的攻击和威胁，而基本模式可能只检测一些基本的攻击。如果探针没有设置为高级模式，可能会漏掉一些攻击的检测，导致误判。因此，选项D也是合理的。综上所述，选项A是不合理的，因为防火墙已经成功阻止了攻击，但SIP仍然检测到攻击。38.[SIP]客户在SIP上检测到很多暴力破解的行为,但无法确认是否存在,下一步最好的排查方法是()A.查看SIP上的安全事件B.抓源端口为445的包C.到主机上查看安全日志,查看登录失败日志D.到主机上查看系统日志,查看登录失败日志正确答案:C解析：当客户在SIP（SessionInitiationProtocol，会话初始协议）上检测到疑似暴力破解的行为时，为了确认这些行为是否真实存在，需要深入分析相关的日志信息。暴力破解攻击通常涉及大量的登录尝试，其中大部分会失败。这些失败的登录尝试通常会被记录在系统的安全日志或登录失败日志中。39.[SIP]SIP检测到终端存在挖矿病毒,但是终端的cpu/内存占用率都很低的可能原因是A.终端无法上网,挖矿病毒无法连接矿池,执行挖矿病毒失败B.终端是一台虚拟机C.终端通过内网DNS代理服务器请求域名D.终端加入了域控正确答案:A解析：当SIP检测到终端存在挖矿病毒，但观察到终端的CPU和内存占用率都很低时，这通常意味着挖矿病毒并未成功执行其挖矿任务。挖矿病毒通常需要连接到矿池以进行挖矿活动，如果终端无法上网，病毒将无法连接到矿池，从而导致挖矿活动无法进行，进而表现为CPU和内存占用率较低。40.[SIP]不可以通过哪些方式查看到网站被挂的黑链A.通过SIP上的黑链安全事件查看网站被挂黑链情况B.通过搜索引擎site功能搜索黑链关键字查看网站被挂黑链情况C.通过查看网站源码查看网站被挂黑链情况D.通过云盾查看网站被挂黑链情况正确答案:D解析：云盾是阿里云提供的一种安全服务，主要用于防护DDoS攻击、Web应用攻击等网络安全威胁。虽然云盾提供了强大的安全防护功能，但它并不直接提供查看网站被挂黑链的功能。相比之下，通过SIP平台查看黑链安全事件、使用搜索引擎的site功能搜索黑链关键字以及直接查看网站源码都是更为直接和有效的方法来检测网站是否被挂黑链。41.[SIP]请问对于通报预警功能说法正确的是?A.无需填写分支责任人以及邮箱也可以下发通报B.分支管理员可以选择认领或者驳回下发的通报事件C.通报预警已经归档的事件支持重新下发D.分支管理员需要登录总部平台进行工单的闭环正确答案:B解析：通报预警需要填写分支责任人以及邮箱，但是选项A错误地指出“无需填写分支责任人以及邮箱也可以下发通报”。选项C的描述也不准确，通报预警事件已经归档的，不可以重新下发。在选择正确时，需要注意的是B选项，分支管理员可以选择认领或者驳回下发的通报事件，这与题目中的描述是相符的。因此，B选项是正确的。42.[SIP]请问在SIP生成僵尸网络安全事件,EDR没有查杀出病毒时,以下做法不正确的是?A.直接对主机断网处理B.主机上使用SIP闭环溯源工具搜索报出的域名C.确认确认告警主机业务及用途,是否是dns服务器或者代理服务器D.在微步在线VirusTota检测该域名正确答案:A解析：这道题考察的是对网络安全事件响应的理解。在SIP生成僵尸网络安全事件，且EDR未查杀出病毒时，正确的做法应该是先进行进一步的调查和分析，而不是直接采取断网等极端措施。选项A“直接对主机断网处理”忽略了问题的诊断和确认步骤，可能导致业务中断或不必要的损失。选项B、C、D都是合理的调查和分析步骤，有助于更准确地定位问题并采取相应的解决措施。因此，不正确的做法是A。43.[SIP]客户一台主机在SIP上显示一直在连接矿池IP,但是微步上查不到该IP地址为矿池,首先你应该怎样分析A.和总部反馈该事件为误判,修改特征库B.直接使用EDR到客户服务器进行查杀C.通过微步对IP地址进行域名反查,再查询反查得到的域名D.对服务器进行进程分析正确答案:C解析：在面对客户主机在SIP上显示连接矿池IP，但微步无法确认该IP为矿池的情况时，首要步骤是通过微步对IP地址执行域名反查。这一操作的目的是获取与该IP地址相关联的域名信息，进而可以通过查询这些域名来深入了解IP的实际用途和关联情况，这是网络安全分析中常用的方法，有助于准确判断该IP是否真正与矿池有关。44.[SIP]在window平台中,以下不是病毒常用驻扎的路径?A.计划任务B.开机启动项C.桌面D.系统服务项正确答案:C解析：在Windows平台中，病毒为了在系统启动时自动运行或隐藏自身，通常会选择特定的路径进行驻扎。常见的病毒驻扎路径包括计划任务、系统服务项和开机启动项。这些路径允许病毒在系统启动时自动激活或保持运行状态。而桌面是用户存放文件和快捷方式的区域，通常不是病毒选择驻扎的路径，因为桌面上的文件容易被用户发现和删除。45.[SIP]请问以下事件,不可以转为通报事件的是?A.安全事件B.漏洞隐患C.攻击威胁D.弱密码正确答案:D解析：在信息安全领域，通报事件通常指的是需要向相关部门或组织进行报告和分享的事件，以便采取相应的安全措施。弱密码、安全事件以及漏洞隐患均属于可以转为通报事件的情况，因为它们都涉及到安全漏洞或潜在威胁，需要引起关注和应对。而攻击威胁本身是一个较为宽泛的概念，如果指的是辖区外的攻击，则通常不属于本地或特定组织可以直接管理和通报的范畴，因此不可以转为通报事件。46.[SIP]使用以下哪个工具可以查看进程的内存空间A.D盾B.火绒剑C.everythingD.processhacker正确答案:D解析：在提供的选项中，ProcessHacker是一个能够查看进程的内存空间的工具。它是一款开源的系统监视软件，提供了比Windows任务管理器更详细的信息，包括进程的内存使用情况、CPU使用情况等。而其他选项，如Everything主要是文件搜索工具，D盾和火绒剑则主要是安全防护和病毒查杀相关的软件，并不具备直接查看进程内存空间的功能。因此，正确答案是C。47.[SIP]河马查杀工具安装的时候,应该注意以下哪些点A.需要将软件放置到系统根目录安装及运行B.不要将本软件放置到web目录下及运行C.需将软件放置到web目录下及运行D.无注意事项正确答案:B解析：河马查杀工具是一款专门针对webshell进行查杀的软件。在安装时，为了避免可能的安全风险，特别注意不要将软件放置到web目录下及运行。这是因为将查杀工具放置在web目录下可能会使其本身成为潜在的攻击目标，或者与web服务产生冲突，从而影响其正常功能或带来安全隐患。因此，选项B“不要将本软件放置到web目录下及运行”是正确的安装注意事项。48.[SIP]客户环境存在DNS代理服务器,无法直接通过镜像流量的方式识别到真实的失陷主机,针对此功能说法正确的是A.DNS服务器安装nxlog后,只需要配置SIP的IP地址,不需要做他额外配置B.此功能对DNS服务器操作系统有要求,仅支持windowsserver2008、windowsserver2012做DNS服务器的场景C.SIP3.0.53针对此场景进行了专项优化,因此不依赖于SIME功能模块,在SIP的资产中心上配置需要接入的DNS主机类型为DNS服务器即可D.需要在DNS服务器上安装第三方工具nxlog,与DNS服务器的操作系统类型无关正确答案:B解析：针对题目中描述的场景，即客户环境存在DNS代理服务器导致无法直接识别真实失陷主机的问题，我们需要考虑的是与DNS服务器操作系统相关的解决方案。选项B明确指出，此功能对DNS服务器操作系统有要求，并且具体提到了仅支持Windowsserver2008和Windowsserver2012作为DNS服务器的场景。这与题目中的特定环境和需求相匹配，因此B选项是正确的。其他选项要么与题目描述的场景不直接相关，要么缺乏必要的操作系统支持信息，因此不能作为正确答案。49.[SIP]客户内网部署了DNS服务器,当前DNS服务器总出现在失陷主机列表里面.而且识别不到真实失陷主机,关于该问题一下说法错误的是A.windwos服务器上需要开启dns日志审计,并记录到文件B.SIP需要开启STEM模块功能C.SIP3.0.53及以上版本支持采集所有windows服务器的DNS解析日志,SIP可以通过收集DNS解析日志来获取到真实失陷主机D.目前SIP收集DNS日志需要在windwos服务器上安装nxlog插件正确答案:C解析：在客户内网环境中，当DNS服务器频繁出现在失陷主机列表中且无法识别真实失陷主机时，我们可以从以下几个方面来分析和解决此问题：A选项（windwos服务器上需要开启dns日志审计,并记录到文件）：这是一种有效的安全措施，通过开启DNS日志审计可以追踪和记录DNS查询，有助于发现和分析潜在的安全威胁。B选项（SIP需要开启STEM模块功能）：SIP（安全信息与事件管理）系统通过开启STEM模块功能，可以更好地与DNS服务器进行集成，提升系统对安全事件的处理能力。D选项（目前SIP收集DNS日志需要在windwos服务器上安装nxlog插件）：Nxlog是一个常见的日志收集和管理工具，通过在其上安装插件，可以方便地实现SIP对DNS日志的收集和分析。关于C选项（SIP3.0.53及以上版本支持采集所有windows服务器的DNS解析日志,SIP可以通过收集DNS解析日志来获取到真实失陷主机）：这个说法是错误的。SIP确实可以通过收集DNS解析日志来分析网络活动，但仅仅依靠DNS解析日志并不足以确定失陷主机。因为正常的网络活动也会产生DNS解析日志，而失陷主机的识别需要综合考虑多种因素和安全事件。因此，错误的说法是C选项。在实际操作中，需要综合运用多种安全工具和技术手段来准确识别和处理失陷主机。50.[SIP]金融客户希望在向人行上报数据时,希望可以隐藏自己真实服务器的IP,目前以下方法暂不能实现的是:A.通过SIP级联实现。先将数据收集到一台SIP1,进行安全事件分析,并将安全事件数据上报给做为前置机的SIP2,再由SIP2最终将人行所需要数据进行上传。B.客户自己搭建kafka服务器,SIP将数据上传到客户的kafka服务器,再由kafka服务器上传数据。C.通过AD对人行的IP地址进行负载,SIP通过负载后的地址上传数据,AD将源IP进行SNAT后,负载到人行的kafka服务器,实现真实IP的隐藏。D.在SIP金融对接设置中首先配置“上报IP池”.然后开启"隐藏上报IP"功能,开启后,SIP会自动在上报IP池中随机选择P进行上报,并且可以通过多个IP多线程上报,增加上报效率。正确答案:D解析：本题主要考察了在向人行上报数据时，隐藏真实服务器IP的方法。主要思路：需要分析每个选项所描述的方法是否能够实现隐藏真实服务器IP的目的。选项分析：-A选项：通过SIP级联，将数据先收集到SIP1，再由SIP2上报给人行，可以隐藏SIP1的真实IP。-B选项：客户自己搭建kafka服务器，SIP将数据上传到kafka服务器，再由kafka服务器上传数据，可以隐藏SIP的真实IP。-C选项：通过AD对人行的IP地址进行负载，SIP通过负载后的地址上传数据，AD将源IP进行SNAT后负载到人行的kafka服务器，可以隐藏SIP的真实IP。-D选项：在SIP金融对接设置中开启“隐藏上报IP”功能，SIP会自动在上报IP池中随机选择IP进行上报，虽然可以隐藏SIP的真实IP，但并没有提到是否可以隐藏服务器的真实IP。综上所述，D选项暂不能实现隐藏真实服务器IP的目的。因此，答案为D。51.[SIP]安全设备发现linux系统中病毒了,怀疑病毒被添加至计划任务中,请问此时以下哪些命令是可进行查看计划任务A.find.-name"init"、crontab-|B.netstat-antp、ps-aux|initC.crontab-r、ls-al/etc/cron.dD.crontab-|、Is-al/etc/crond正确答案:D解析：在Linux系统中，要查看是否被添加了恶意计划任务，可以通过特定命令来检查。其中，“crontab-l”命令用于列出当前用户的计划任务，这可以帮助检查用户级别的计划任务是否被篡改或添加了恶意内容。而“ls-al/etc/cron.d”命令则用于列出所有系统计划任务，这个目录通常包含系统级别的定时任务，检查这里的文件可以发现是否有异常的计划任务被添加。因此，选项D中的命令组合是正确的，能够用于查看系统中是否存在被病毒添加的计划任务。52.[SIP]当我们尝试kill恶意程序时,往往会遇到被kill程序自动启动的问题,请问是什么原因导致的呢A.没有清除执行恶意程序的计划任务B.没有中断设备网络,导致一直回连C.没有重启设备D.没有清除执行恶意程序的启动项正确答案:A解析：这道题考察的是对恶意程序行为的理解。恶意程序通常会通过各种方式确保自身能在被终止后重新启动，以保持对系统的控制。选项A提到的“计划任务”是恶意程序常用的一种手段，通过在系统的计划任务列表中设置任务，恶意程序可以在特定条件下自动启动。因此，如果没有清除这些计划任务，即使尝试kill恶意程序，它也可能会自动重新启动。其他选项虽然也是处理恶意程序时需要考虑的因素，但并不是导致kill后程序自动启动的直接原因。53.[SIP]检测到一台主机存在扫描行为,以下哪个选项无法进行判断是否为异常行为A.主机扫描的目的地址是否为离散分布B.SIP上查看发起扫描的进程是否为异常进程C.主机扫催的时间是否为离散分布D.系统是否存在需要进行扫描操作的业务正确答案:B解析：在SIP环境中，判断主机扫描行为是否异常可通过分析扫描目的地址的分布、扫描时间的分布以及系统是否有扫描需求。而查看发起扫描的进程是否异常并不能直接判断扫描行为的异常性，因为正常的系统管理和安全评估也可能会有扫描活动，其进程不一定表示异常。54.[SIP]关于SIP3.0.53新增的DNS服务器场景SIP定位风险主机的功能说法错误的是A.STA无需采集到DNS解析日志B.SIP必须采集列DNS解析日志C.在SIP的SIEM模块配置采集器的时候需要选择类型为windowslogD.客户用的深信服AD做DNS解析,这种场景下SIP无法使用该功能定位风险主机正确答案:C解析：对于SIP3.0.53新增的DNS服务器场景SIP定位风险主机的功能，我们逐一分析选项内容：55.[SIP]请问对于SIP闭环溯源工具,以下说法正确的是?A.闭环工具搜索定位出的进程直接杀掉即可B.SIP上报出的恶意域名,可以联动闭环溯源工具自动检索出C.闭环溯源工具可以在windows和linux下运行D.闭环潮源工具支持内存扫描、启动项检测、网络连接检测等功能正确答案:D解析：SIP闭环溯源工具是一种用于网络安全领域的工具，用于分析和应对安全事件。根据题目中的选项，我们可以逐一分析：A选项提到“闭环工具搜索定位出的进程直接杀掉即可”。这是不准确的，因为SIP闭环溯源工具搜索定位出的进程可能是恶意进程，但直接杀掉可能不是最佳的处理方式，因为可能需要进一步的分析或取证。B选项说“SIP上报出的恶意域名，可以联动闭环溯源工具自动检索出”。虽然SIP（安全事件信息平台）和闭环溯源工具可以配合使用，但并不意味着SIP上报的恶意域名可以直接被闭环溯源工具检索。这可能需要一些额外的配置或步骤。C选项提到“闭环溯源工具可以在windows和linux下运行”。这个陈述的正确性取决于具体的闭环溯源工具，因为不同的工具可能有不同的运行环境和要求。题目没有提供足够的信息来确定这一点。D选项说“闭环潮源工具支持内存扫描、启动项检测、网络连接检测等功能”。这个陈述是正确的，因为闭环溯源工具通常用于深入分析系统，包括内存扫描、启动项检测、网络连接检测等功能，以帮助识别恶意活动或漏洞。因此，根据以上分析，D选项是正确的。56.以下关于AF杀毒能力的分析,对病毒识别效果最差的是A.通过文件格式识别病毒文件B.通过文件后缀识别病毒文件C.通过文件md5云查识别病毒文件D.通过Save杀毒引擎识别病毒文件正确答案:B解析：在病毒识别效果方面，文件后缀识别是最差的选择。因为文件后缀名并不能完全代表文件中的内容，特别是病毒文件可能会利用一些手段伪装自身，改变其原始格式。而文件格式、文件md5云查和Save杀毒引擎都是基于文件内容进行病毒识别的，因此识别效果要优于文件后缀识别。57.[AF]下面哪个场景无法和8023版本IPSECVPN对接成功A.使用IKEv2配置和华三设备进行对接,华三设备是动态IPB.使用IKEv1野蛮模式和阿里云进行对接,AF出口是静态IPC.使用IKEv2配置和微软云进行对接,AF出口是动态ipD.使用IKEv2配置,阶段二安全提议配置了15条,和Junliper设备进行对接正确答案:C解析：在IPSecVPN的对接场景中，使用IKEv2配置和微软云进行对接时，如果AF出口是动态IP，可能会导致对接失败。因为动态IP可能会导致IP地址的变动，而IKEv2协议需要稳定的IP地址来进行协商和建立VPN连接。其他选项中的场景都是可以与8023版本IPSECVPN成功对接的。因此，为C。58.[AF]在不考虑自定义规则前提下,下面哪个场景是8023版本web应用防护不支持的A.黑客通过PHP代码注入攻击对内网服务器进行攻击B.内网web服务器使用8080的非标准HTTP端口C.用户发现webshell上传防护有误判的日志,需要将误判的信息加入自名单D.在不开启文件上传过滤的情况下,可以对cshtml类型的文件进行检测防护正确答案:D解析：8023版本web应用防护主要关注的是对web应用的安全防护，包括常见的注入攻击、跨站脚本攻击等。A选项描述的是黑客通过PHP代码注入攻击对内网服务器进行攻击，这是web应用防护通常会关注并尝试阻止的攻击类型，所以8023版本web应用防护应该支持对这种攻击的检测和防护。B选项提到的是内网web服务器使用8080的非标准HTTP端口。一般来说，web应用防护更多关注的是应用层面的安全问题，而不是网络层面的配置，比如端口号。因此，这个选项描述的场景通常不会被8023版本web应用防护所不支持。C选项涉及到用户发现webshell上传防护有误判的日志，需要将误判的信息加入白名单。这是web应用防护的一个常见功能，即允许用户根据实际需求调整防护策略，因此这个场景应该是被8023版本web应用防护所支持的。D选项提到的是在不开启文件上传过滤的情况下，可以对cshtml类型的文件进行检测防护。根据题目描述，这个功能似乎依赖于文件上传过滤的开启，如果不上传过滤，则不能进行对cshtml文件的检测防护。这意味着8023版本web应用防护可能不支持在不依赖其他功能或设置的情况下，直接对特定类型的文件进行检测防护。综上所述，根据题目描述和各个选项的具体情况，答案应该是D选项。即在不开启文件上传过滤的情况下，8023版本web应用防护不支持对cshtml类型的文件进行检测防护。59.[AF]关于8023版本下面说法正确的是A.客户表示需要保证业务的稳定性,建议客户使用webshell上传防护时选择高检出B.在勾选BAES64解码局,可以对变形的BASE64编码进行检测,不会被绕过C.客户内网有20个非标准的HTTP端口,可以全部添加到漏洞攻击防护中HTTP端口D.请求方向chunk异常检测和响应方向chunk异常检测可以增强HTTP异常检测功能,所以默认都是开启的正确答案:C解析：对于题目中的选项，我们逐一进行分析：A.客户表示需要保证业务的稳定性,建议客户使用webshell上传防护时选择高检出。这个说法是正确的。当客户需要确保业务稳定性时，选择高检出的webshell上传防护可以更好地保护系统免受恶意代码的攻击，从而保证业务的正常运行。B.在勾选BAES64解码局,可以对变形的BASE64编码进行检测,不会被绕过。这个说法需要视具体情况而定。虽然BAES64解码可以检测到变形的BASE64编码，但并不能完全保证不会被绕过，因为攻击者可能会采用其他方式绕过检测。C.客户内网有20个非标准的HTTP端口,可以全部添加到漏洞攻击防护中HTTP端口。这个说法是正确的。如果客户内网有非标准的HTTP端口，为了防止潜在的漏洞攻击，确实可以将其全部添加到漏洞攻击防护中的HTTP端口。D.请求方向chunk异常检测和响应方向chunk异常检测可以增强HTTP异常检测功能,所以默认都是开启的。这个说法部分正确。确实，请求方向和响应方向的chunk异常检测可以增强HTTP异常检测功能，但并不意味着它们默认都是开启的。这取决于系统的默认配置策略和安全策略的需要。因此，选项C是正确的答案。其他选项在不同的情境下可能具有不同的解读和应用，但在本题目的上下文中，只有C是正确的。60.[AF]下面场景关于8023SSLVPN功能哪个说法是正确的A.客户表示内网仍有部分终端使用的SSL3.0协议登录sslvpn,你要告知客户SSL3.0协议存在漏洞,已经不支持B.在ss1vpn登录界面出现了图形校验码,这是由于开启了防HOST头部攻击C.客户设备从6.0.7升级到8.0.23后,你告知客户sslvpn终端用户登录时EC会自动更新控件,然后就能正常登录sslvpn,无须做其他操作D.客户询问sslvpn用户关联了资源,但是需要禁止访问/b.html是否可以支持,你告知客户是支持的正确答案:D解析：这道题考察的是对8023SSLVPN功能的理解。首先，我们知道SSLVPN是一种远程访问技术，它允许用户通过安全的SSL协议远程访问公司内部网络资源。A选项提到SSL3.0协议存在漏洞且不再支持。虽然SSL3.0确实存在安全漏洞，但题目并未提供足够信息来判断8023SSLVPN是否支持或不支持SSL3.0，因此A选项无法确定其正确性。B选项提到图形校验码是由于开启了防HOST头部攻击。实际上，图形校验码通常用于防止暴力破解等攻击，与防HOST头部攻击无直接关联，所以B选项错误。C选项提到设备升级后，SSLVPN终端用户登录时EC会自动更新控件。虽然升级可能导致控件更新，但题目并未明确说明这一点，且“无须做其他操作”可能过于绝对，因此C选项无法确定其正确性。D选项提到用户关联了资源，但需要禁止访问/b.html的情况。在SSLVPN中，通常可以对用户访问的资源进行细粒度的控制，包括允许或禁止访问特定的URL。因此，D选项描述的功能是合理的，且符合SSLVPN的一般特性。综上所述，D选项是正确的。61.[AC]客户自己平时比较关心设备的运行情况,下列选项中说法错误的是()A.对接SNMP服务器,获取设备CPU、内存等使用状态B.查看日志中心系统日志,记录设备运行状态日志C.设备升级到12.0.41版本,可以在web控制台进行设备健康检查D.联系深信服工程师,用升级客户端及巡检脚本进行设备健康状态检查正确答案:B解析：对于关心设备运行情况的客户来说，主动管理和检查设备状态是至关重要的。选项A对接SNMP服务器可以获取设备的CPU、内存等使用状态，这是一种主动监控设备健康的方式。选项C设备升级到特定版本后，在web控制台进行设备健康检查，同样是对设备状态的主动管理。选项D联系工程师使用升级客户端及巡检脚本进行设备健康状态检查，也是主动检查设备状态的方法。而选项B查看日志中心系统日志，记录设备运行状态日志，只是被动地记录设备已经发生的状态，并不涉及对设备健康状态的主动检查或管理，因此与其他选项相比，它不符合主动管理和检查设备状态的要求，所以选项B是错误的。62.[AC]关于AC自身安全性提升,下列选项中说法错误的是()A.定期安排软件版本升级,使用新版本B.日常关闭远程维护C.尽量旁路模式部署AC设备,不串接到网络,安全隐患少D.定期用第三方漏扫平台对设备进行漏洞扫描正确答案:C解析：关于AC（可能是指网络中的接入控制器或类似设备）自身安全性提升的问题，我们首先要理解每个选项的含义和其对安全性的潜在影响。A选项提到定期安排软件版本升级。使用新版本通常是增强安全性的好方法，因为新版本通常会包含安全补丁和漏洞修复。B选项建议日常关闭远程维护。这是一个合理的建议，因为远程维护功能可能被恶意用户利用，如果未经适当保护就开放此功能，可能会增加安全风险。C选项提出尽量旁路模式部署AC设备，不串接到网络。这个建议实际上可能是错误的，因为旁路模式意味着AC设备不直接参与数据流，这可能使设备难以执行其安全检查和控制功能。而且，不串接到网络意味着设备可能无法监控或控制网络流量，从而降低了安全性。D选项建议定期用第三方漏扫平台对设备进行漏洞扫描。这是一个非常有效的做法，因为漏洞扫描可以帮助发现设备上的潜在安全漏洞，并允许管理员及时修补它们。综上所述，C选项的建议是错误的，因为它可能会降低AC设备在网络中的安全性和有效性。因此，正确答案是C。63.[AC]关于用户自助授权,下列选项中说法正确的是()A.12.0.41版本设备加电后,默认未授权,需要引导客户自助授权B.12.0.41版本设备,测试设备开授权由技服工程师在深信服授权中心发起申请C.深信服授权中心账号由区域技服工程师创建,维护所有客户信息,更加规范D.设备未联网前,是无法完成授权激活的正确答案:A解析：这道题考察的是对用户自助授权流程的理解。在特定版本（如12.0.41）的设备中，设备加电后的默认状态是未授权，这要求引导客户进行自助授权，以确保设备能正常使用。这是出于安全和合规性的考虑。A选项正确描述了这一流程，即设备在未授权状态下需要用户自助完成授权。B选项提到的测试设备开授权流程，并非自助授权的一部分，而是由技服工程师在授权中心发起，与题目要求的自助授权不符。C选项虽然涉及授权中心账号的管理，但这并非自助授权的直接步骤，而是后台管理流程。D选项提到设备未联网无法完成授权激活，这虽然是事实，但并不是自助授权流程的描述，因此也不是本题的正确答案。综上所述，A选项正确描述了用户自助授权的流程。64.[AC]关于深信服授权中心,下列选项中说法错误的是()A.授权中心的域名是https://license.sangB.授权中心登录账号可以和云盾账号复用C.支持通过订单ID批量添加一个客户购买的设备信息D.支持通过网关ID批量添加一个客户购买的设备信息正确答案:D解析：暂无解析65.[AC]关于在深信服接权中心的使用,下列选项中说法错误的是A.导入设备信息时,如果输入的企业名称和订单不一致,会导入失败B.设备想要在线激活,只需要设备本身能上网的情况,即可以完成在线授权C.设备在线激活的前提是能上网,新设备可以在接权前先配置网口IP,接入网络中D.在线激活分为在线自动激活和在线主动激活两种方式正确答案:B解析：这道题考察的是对深信服接权中心使用细节的理解。首先，我们知道在导入设备信息时，信息的准确性是关键，企业名称和订单必须一致，否则会导入失败，所以A选项描述正确。接着，关于设备在线激活，虽然设备需要能上网，但并非只需要设备本身能上网就能完成在线授权，通常还需要满足其他条件，比如正确的许可证信息等，因此B选项描述错误。C选项提到设备在线激活前可以配置网口IP，这是正确的，因为设备需要接入网络才能进行在线激活。最后，D选项描述了在线激活的两种方式，这是符合实际使用情况的。综上所述，B选项是错误的。66.[AC]某天客户想使用升级客户端连接AC设备升级软件版本,但是发现连接升级客户端失败,选项中不属于可能出现连接升级客户端端失败原因的是()A.运行升级客户端的PC和AC之间,51111端口不通B.当前AC版本是12.0.42或以上版本,设备默认没有开启51111端口C.设备的IP地址变更,进行同步D.管理员配置了限制登录IP范围,运行升级客户端的PCIP不在允许登录范围内正确答案:D解析：管理员配置了限制登录IP范围，但并非问题的原因所在。因此，为D。这个问题来源于试题集《【23年10月最新】SSTP安全PT2题库【深信服】（实时更新，必过！）》。在深信服安全设备中，限制登录IP范围通常是为了保障安全，限制未经授权的PC可以登录设备。在此情况下，管理员已配置了IP范围，所以运行升级客户端的PCIP地址必须在此范围内，否则会提示连接失败。而其他选项如端口不通、设备默认没有开启端口、IP地址变更进行同步等，都是可能导致连接升级客户端失败的原因。67.[AC]最新版本AC,客户反馈设备控制台无法登录,选项中的解决思路错误的是A.确认51111端口是否正常通信,51111端口通的情况可以尝试连接升级客户端,确认设备状态B.发现升级客户端无法连接成功,直接尝试用shell工具进设备后台,确认设备状态C.设备有vga接口,尝试接显示器键盘,查看设备状态D.没有VGA接口的情况,考虑恢复设备出厂设置或重启设备尝试解决正确答案:B解析：这道题考察的是设备故障排查的常识。在排查设备控制台无法登录的问题时，通常需要先确认网络通信端口状态，尝试通过其他客户端连接，再考虑物理接入方式如VGA接口查看设备状态，最后考虑恢复设备出厂设置或重启设备。选项B中的“直接尝试用shell工具进设备后台”是不合适的，因为通常需要先确认网络通信或物理接入方式无效后，再考虑其他恢复手段。正确的顺序应该是先尝试网络通信，再考虑物理接入，最后考虑恢复或重启设备。68.[AC]客户反馈忘记设备控制台密码,选项中恢复密码的方法铺误的是A.确认设备版本信息,12.0.42及以上版本,支持U盘恢复密码B.可以使用交叉线恢复密码的方法C.有配置文件,可以找到记录密码的配置文件,逆向解密密码D.U盘恢复密码要求U盘格式是NTFS的正确答案:D解析：对于客户反馈忘记设备控制台密码的问题，我们需要评估提供的恢复密码方法的有效性。A选项提到，如果设备版本是12.0.42或更高版本，支持使用U盘恢复密码。这是一个合理的恢复方法，因为许多设备都支持通过U盘进行固件升级或恢复设置。B选项提到可以使用交叉线恢复密码。虽然交叉线通常用于网络连接，但在某些情况下，它也可能被用作一种恢复设备设置的手段。但是，这种方法的有效性取决于设备是否支持此功能。C选项提到，如果有配置文件，并且其中记录了密码，那么可以通过逆向解密来恢复密码。这也是一种可能的方法，但前提是需要有正确的配置文件，并且解密过程可能受到法律和道德的限制。D选项提到U盘恢复密码要求U盘格式是NTFS的。这个陈述是错误的，因为U盘恢复密码的过程通常不依赖于U盘的文件系统格式。大多数设备都能够识别FAT32和NTFS格式的U盘，而且恢复过程通常与U盘的文件系统无关。因此，根据上述分析，选项D是铺误的，所以正确答案是D。69.[AC]最新版本AC,关于SSL内容识别-中间人解密,客户希望用设备生成自己的根证书,选项中说法A.自定义根证书,设备生成新根证书的密钥长度支持配置到4096B.证书有效期可以设置为1000天C.客户环境多种版本的终端PC在混合使用,建议加密算法使用ECDSA算法D.内网场景,无特殊要求,密钥长度使用1024位正确答案:C解析：在中间人解密场景中，客户环境存在多种版本的终端PC需要混合使用，因此建议使用ECDSA算法进行加密。其他选项如自定义根证书、证书有效期设置、密钥长度使用等，对于此问题并不适用。因此，正确是C。70.[AC]客户想升级设备到最新版本,下列选项中可能存在的风险项,说法正确的是()A.客户设备是2010年购买的,默认支持升级到最新版本ACB.客户配置了认证重定向,办公环境有很多XP系统做办公电脑,升级到12.0.42以上版本,会影响认证重定向功能C.最新版本AC版本的OPENSSL版本是0.9.7aD.客户启用了SSL内容识别-中间人解密功能,客户端已经安装了设备内置根证书,可以平滑升级,客户端无感知正确答案:B解析：在考虑设备升级到最新版本时，需要综合评估多个因素，包括设备的兼容性、功能的变动以及安全性能等。针对给出的选项进行逐一分析：71.[AC]下列选项中关于LDAP的说法错误的是A.AD认证服务器默认认证端口389B.启用加密对接,加密方式是SSL,端口是389C.启用加密对接,加密方式是TLS,端且是389D.启用加密对接可选配置校验证书正确答案:B解析：在LDAP（轻型目录访问协议）中，默认的认证端口是389，但选项B中描述的端口是389是不正确的，因为TLS协议通常使用的是443端口而不是389端口。因此，选项B是错误的选择。其他选项如AD认证服务器的默认认证端口、启用加密对接的加密方式、端且等描述均与LDAP标准相符。因此，为B。72.[AC]结合AD域做密码认证,选项中说法错误的是()A.2020年后,微软AD域默认都加密传输数据B.AD域配置启用LDAPS域启用签名服务后,AC设备的LDAP认证服务器必须开启加密C.LDAP认证服务器的校验证书配置是可选配置D.LDAP认证服务器的校验证书要是base64编码的.cer格式证书正确答案:A解析：关于微软AD域的数据传输，2020年后并非默认都加密传输数据，这一说法是错误的。当AD域配置启用LDAPS（LDAPoverSSL/TLS）并启用签名服务后，AC设备的LDAP认证服务器为确保通信安全，必须开启加密。LDAP认证服务器的校验证书配置是可选的，但如果配置，证书应为base64编码的.cer格式。73.[AC]关于Windows服务器系统版本和支持的加密方式,选项中说法正确的是()A.Windows2000-TLSB.Windows2003-TLSandssLC.Windows2008-TLSandssLD.Windows2008R2-TLSandSSL正确答案:D解析：这道题考察的是对Windows服务器系统版本及其支持的加密方式的理解。WindowsServer2008R2支持TLS和SSL两种加密方式，这是为了确保数据传输的安全性。而Windows2000、Windows2003以及Windows2008虽然也支持加密方式，但具体支持的加密协议可能与选项描述不完全一致，或存在更新和支持的变更。因此，根据Windows服务器版本及其加密支持的知识，可以确定D选项“Windows2008R2-TLSandSSL”是正确的。74.下面关于全网行为管理,下列说法正确的是()A