AF渠道初级认证考卷

2016AF渠道初级认证考卷一卷一【以AF6.6版本为准】

考试说明：

2016AF渠道初级认证考卷一卷一【以AF6.6版本为准】

以下关于AF双向地址转换配置的说法中，错误的是

A.双向地址转换主要用来实现内网用户通过公网地址访问内网服务器的需

求。

B.内网有邮件服务器，若配置了对邮件服务器的双向地址转换，则不能在

AF上同时开启网关杀毒

C.一条双向地址转换规则中，同时包含了源地址转换和目的地址转换，匹配

规则的数据包将会被同时转换源IP地址和目的IP地址。

D.双向地址转换只支持以外网IP的形式访问内网服务器不支持域名访问。

rArlBrCrD

以下功能中哪一个在AF旁路部署模式下不生效

A.服务器数据防泄密功能

B.WEB应用防护

C.IPS

D.病毒防御策略

rA£UB£LC匚D

从客户那里将一台4.7版本的NGAF测试设备拿回来，在不知道控制台密码

的情况下，有哪些方法能解决登录设备问题，请列出最全的选项：①用升

级客户端加载升级包，恢复所有配置到出厂状态②使用U盘恢复密码方式,

恢复控制台密码到出厂状态③使用交叉线恢复默认配置的方法，恢复所有

配置到出厂状态

A.①②③

B.②

C.①②

D.②③

rArBrCrD

以下说法正确的是：

A.http应用隐藏不支持替换出错页面

B.http应用隐藏只支持替换2xx、3xx页面

C.http应用隐藏只支持Server跟x-powered-by字段

D.FTP应用隐藏只支持软件名称跟版本

rArBrCrD

AF设备中关于源IP联动封锁，错误的是：

A.联动封锁支持IPS/WEB应用防护/DDOS

B.联动封锁的日志需要在数据中心的应用控制策略中查询

C.联动封锁针对的是该源IP通过防火墙的任何通信

D.被联动封锁的主机可访问AF控制台，但是不能访问数据中心

rArBrCrD

下面关于trunk链路的说法中，错误的是

D.一个接口一旦设置为trunk口，则与其相连的接口也必须设置为trunk口

rArBrCrD

AF中，以下哪个功能可实现对〃网页木马〃〃CSRF攻击〃及〃网站扫描〃

的控制

A.WEB过滤

B.应用控制

C.病毒防御

D.WEB应用防护

rArBrCrD

下列有关AF的描述中，错误的是

A.Syslog服务器只能同步系统日志，不会同步数据中心记录的日志。

B.如果不勾选〃启用内置数据中心〃，则内置数据中心不会记录IPS的防护

日志。

C.AF系统更新中的每一个库文件都是通过单独的序列号来进行升级维护的。

D.AF的自动备份可保存超过一周的配置文件。

rArBrCrD

哪种接口可以加入到二层区域：

A.路由口

B.虚拟网线口

C.VLAN接口

D.镜像口

rArBrCrD

测试AF时，DOS/DDOS防护-外网防护-基于数据包攻击时，以下哪一项

不建议开启

A.未知协议类型防护

B.IP数据块分片传输防护

C.Smurf攻击防护

D.超大ICMP数据攻击防护

rArBrCrD

客户购买AF希望做4对网桥那么对于AF设备的要求至少要有几个网口？

A.8

B.9

C.10

D.11

「AJIBJC匚D

某客户网络拓扑如下图所示，客户部署了AF设备于网络的出口处，客户对

外发布了DMZ区域的公司网站服务器，将外网IP的80端口映射给服务器

的8080端口，在配置WEB应用防护的时候，下列哪项配置是正确的

A.源区域为外网区,目的区域为DMZ区,且必须修改WEB应用的端口为

8080

B.源区域为外网区，目的区域为DMZ区，可以不用修改WEB应用的端口

C.源区域为DMZ区，目的区域为外网区,且必须修改WEB应用的端口为

8080

D.源区域为DMZ区，目的区域为外网区,可以不用修改WEB应用的端口

J1B°CrD

以下属于AF服务器保护控制功能的是

A.APT检测

B.应用隐藏

C.防dos攻击

D.病毒防御策略

rArBrCrD

目前AF的两个防篡改版本的差异不包含哪个？

A.防篡改1.0是事后机制，即网站已经被篡改但是可以防止用户访问到篡改

页面

B.防篡改2.0是事中机制，即在黑客篡改过程中拦截

C.防篡改2.0需要在客户端安装软件，防篡改L0不需要

D.防篡改2.0可以对网站后台登陆页面进行增强认证，1.0也可以做到

rArBrCrD

关于安全防护的防护阐述下列哪一个是不正确的？

AIPS规则对于客户端的漏洞和服务端漏洞有共同规则

B.服务器和办公pc都有可能成为僵尸主机

C.web应用防护只针对http协议有效对其他协议无效

D.实时漏洞分析主要是针对服务器侧的漏洞发现功能

rArlBrCrD

某客户部署AF设备于网络的出口处,出口有一条线路直连AF的eth2口，

eth2口的有关配置如下图所示，下列说法中正确的是D

C.接口的线路带宽应设置为外网线路的真实带宽，流量管理会调用此处的线

路带宽进行流控策略。

D.链路故障检测用于实时的检测接口的链路状态，其检测方法包括DNS检

测和ping检测。

rA£1IB£LC二D

下列有关AF设备VPN模块下外网接口的说法中，错误的是

A.AF设备做单线路VPN接入时，必须配置外网接口。

B.AF设备做多线路VPN接入时，必须配置外网接口。

C.AF设备与其他厂商的设备进行第三方对接时，必须配置外网接口。

D.VPN的外网接口只能选择具有WAN属性的三层接口。

rArBrCrD

如图，下列AF部署环境，哪种配置是正确的：

A.ETH1口配置为Trunk口即可

B.ETH1口配置为trunk口，并设置与内网对应VLAN号的子接口

C.ETH1口配置为Trunk口，并设置与内网对应VLAN号的VLAN接口

D.ETH1口配置为路由口,并设置与内网对应VLAN号的VLAN接口

rArlBrCrD

某用户反馈在AF设备启用DOS内网防护时，就会出现断网,日志记录的

DOS告警源MAC地址都是三层交换机的MAC地址，DOS/DDOS配置界

面如下，下面选项中，哪一种方法可以有效地解决该问题

A.将三层交换机下所有的内网地址都添加到1中

B.将2中的部署环境选择为：内部网络到本机通过三层交换设备相连

C.将三层交换机的地址加入到3中。

D.修改4中的参数。

rA£1IB£LC二D

以下关于AF的IPS功能的描述，正确的是

A.IPS的规则默认都是放行的。

B.若新建IPS规则处勾选了〃检测攻击后操作〃动作为拒绝，但是对象定义

中的该规则又是允许的,此时检测到漏洞后是拒绝的。

C.客户端漏洞与服务器漏洞是一样的。

D.若发现某条IPS误判导致客户的正常应用被阻断，则可以在数据中心中查

找到漏洞ID,然后在对象定义中单独放行或者禁用该漏洞即可。

rArlBrCrD

某客户网络环境和AF设备网口配置情况如下，客户想对内网用户访问ethl

口下方的服务器做应用控制策略，为了实现客户需求，下列配置步骤正确的

是（1）设置一个二层区域〃外网〃，包含eth2接口（2）设置一个二层

区域〃DMZ〃，包含ethl接口（3）设置一个三层区域〃vlan2〃，包含

vlan2接口（4）设置一个三层区域〃内网〃，包含eth3接口（5）对源

区域为〃内网〃，目标区域为〃外网〃的数据进行应用控制。（6）对源区

域为〃内网〃，目标区域为的数据进行应用控制（7）对源区域

为〃内网〃，目标区域为〃DMZ〃的数据进行应用控制

A.1456

B.346

C.12457

D.123457

rA£1IB£LC二D

在一台交换机上属于不同VLAN的access口下的电脑，不能使用以下哪些

方式进行相互通信

A.使用一台独立路由器的两个接口连接两个VLAN,并进行合理配置

B.在交换机上做一个涵盖这两个VLAN的trunk口，并使用一台路由器的一

个接口连接这个trunk口，并进行单臂路由配置

C.若使用的是三层交换机，则为这两个VLAN设置VLAN接口，并开启路

由转发和其他必需配置

D.这两台电脑的IP配置于同一IP子网即可直接通信

rArIB£LCJD

关于NGAF日志配置,下列说法正确的是：

A.外置数据中心同步采用UDP有利于提高传输效率。

B.SYSLOG可用于同步系统日志。

C.SYSLOG配置时需要配置同步帐号密码,用于传输日志前的身份验证。

D.SYSLOG采用UDP协议传输日志。

「A£LIB£LC匚D

以下哪种配置引起的断网问题开直通有效

A.勾选外网防DOS模块IP分片包检测

B.在trunk链路上使用一对虚拟网线口做网桥，未放通应用

C.在trunk链路上使用trunk口做网桥，未配置对应的vlan接口

D.在trunk链路上使用trunk口做网桥，放通vlan范围未包含实际环境网

段

rArlBrCrD

AF设备网关模式部署在网络出口，需要代理内网用户上网，请问需要在AF

设备上添加一条策略。

A.目的地址转换

B.源地址转换

C.双向地址转换

D.DNSMapping

rArIB£LC二D

下列关于AF的流量管理的说法正确的是

A.AF的流量管理支持二级子通道

B.AF的虚拟线路不需要多线路授权

C.AF的流控能够对应用、网站、文件类型控制

D.AF的只能针对IP组限制不能针对认证用户进行限制

RA匚3£LC二D

某客户网络拓扑如下图所示，AF设备部署在网络出口处，客户希望对内网

用户上网的安全进行防护。以下哪项配置组合能够实现客户需求

A.源区域：外网区目的区域：内网区IPS选项：保护服务器

B.源区域：外网区目的区域：内网区IPS选项：保护客户端

C.源区域：内网区目的区域：外网区IPS选项：保护服务器

D.源区域：内网区目的区域：外网区IPS选项：保护客户端

「A£LIB£LC£LD

下列有关AF能够实现的功能中，不包括以下哪项

A.隐藏FTP服务器的版本信息

B.防止Web服务器遭遇XSS攻击

C.替换FTP服务器的出错页面

D.防止Web服务器遭受口令暴力破解

rArBrCrD

AF设备忘记密码下列恢复密码操作正确的是：

A.U盘恢复密码操作不需要重启就能完成

B.U盘恢复必须把恢复文件放到U盘的第一个分区

C.用于U盘恢复的U盘可以是FAT32或者NTFS格式

D.AF所有版本都支持U盘恢复功能

rArBrCrD

以下关于AF设备接口的说法，正确的是

A.透明接口的WAN属性勾与不勾对功能实现没有任何影响。

B.要将AF透明部署到网络中，则要求AF两个接口设置成透明口，并且设

置成不同的VLAN。

C.虚拟网线接口不需要成对使用。

D.虚拟网线的作用是通过其中一个虚拟网线接口进到设备的数据，直接从另

外一个虚拟网线接口转发

「A£LIB£LC£LD

下列关于双向地址转换和DNSMapping的说法中，正确的是

A.DNS-Mapping与双向地址转换规则一样，都可实现内网用户通过公网

地址访问内网服务器的需求。

B.当公网只有一个地址，而内网有多台服务器同时需要提供公网地址访问的

时候，用DNS-Mapping或双向地址转换均可实现。

C.同时配置了双向地址转换和DNS-Mapping时,一定是双向地址转换生

效,DNS-MAPPING不生双

D.DNS-M叩ping仅适用于内网用户需要通过公网域名访问内网服务器的

环境，若是通过公网IP地址访问，则只能通过双向地址转换实现。

rA匚1£LC二D

下列关于AF设备策略路由与静态路由的对比描述，正确的是

A.静态明细路由优先于策略路由,策略路由优先于缺省路由

B.有多条外网线路情况下，不建策略路由，通过静态路由也可能实现智能数

据分流。

C.多线路ADSL拨号情况下，必须手动添加静态路由才能上网。

D.单线路ADSL拨号情况下,必须手动添加策略路由才能上网。

rA匚3£LC二D

对于AF现在的外置数据中心的使用和注意事项描述不正确的是：

rArlBrCrD

目前对产品线产品AC和AF的功能有相似之处，请问下列哪个不是AC和

AF都具备的功能

A.AC和AF都具备DDOS防护功能

B.AC和AF都具备用户认证功能

C.AC和AF都具备流量管理功能

D.AC和AF都具备外置数据中心功能

rArBrCrD

AF需要部署在TRUNK的链路中，同时希望用桥地址管理设备，那么下列

哪项描述能够达到客户要求？

A.配置虚拟网线模式即可

B.配置透明模式接口为trunk属性，按照客户要求配置vlan接口地址管理

设备

G配置透明模式接口为access属性，按照客户要求配置vlan接口地址管理

设备

D.下联口配置透明接口设置trunk属性，上联口设置成路由口即可

rArBrCrD

以下功能描述中，AF设备可以实现的是

A.审计WebBBS发帖的内容

B过滤HTTPS网页

C.实现只允许登录论坛看帖子，不允许发帖子

D.Kerberos认证方式的PROXY单点登录

rArlBrCrD

AF设备做4口双网桥流控，需要AF设备有几个网口，几个线路授权

A.4网口，1线路

B.5网口，1线路

C.4网口，2线路

D.5网口，2线路

rArlBrCrD

下列有关AF应用控制策略的说法中，错误的是

A.AF默认存在一条拒绝所有的应用控制策略，可以通过手动编辑这条默认

策略放通所有的服务和应用。

B.AF的应用控制策略是从上往下依次进行匹配的，直到匹配到某条策略为

止就不再进行匹配了。

C.基于应用的控制策略需要先放通一定数量的数据包，识别出应用类型之后,

才能够进行应用控制。

D.基于服务的应用控制策略是通过匹配数据包的五元组来进行应用控制的，

不需要事先放通一定数量的数据包来识别应用。

rArBrCrD

下列有关AF的Web应用防护功能的说法，错误的是

A.一般SQL注入的攻击是针对ASP、JSP、PHP等动态页面的。

B.AF可防御HTTPPOST提交弱口令，如长度小于8位的纯数字。

C.对某个特定URL在URL防护设置中动作设置为允许，则对这个url的XSS

攻击和SQL注入也都被允许。

D.WEB应用防护功能主要是针对Web服务器和FTP服务器进行防护。

rArBrCrD

目前黑客常见攻击网站的方式简述如下：（1）使用明小子Domain工具

对网站进行漏洞扫描，扫描到有漏洞后，根据网站数据库类型使用明小子工

具扫描数据库内容，获得网站管理员账号密码；（2）对网站目录结构进行

扫描，获取了整个网站的目录结构后，找到了后台管理页面，然后使用获得

的管理员登陆并控制网站；（3）上传木马或后台程序到网页目录中，等待

后门程序被网站管理员目录浏览动作出发运行，获取服务器操作系统的控制

权限.对于这三步典型动作，AF分别可以开启什么功能进行防御

A.（1）SQL注入防护，（2）XSS攻击防护，（3）CSRF攻击防护

B.（1）OS命令注入防护，（2）URL防护，（3）CSRF攻击防护

C.（DSQL注入防护，（2）URL防护，（3）文件上传过滤

D.（1）OS命令注入防护，（2）XSS攻击防护，（3）文件上传过滤

rA£LIB£LC二D

以下关于DOS与DDOS攻击的说法，错误的是

A.DOS攻击也即拒绝服务攻击，攻击后可以使计算机或者网络无法提供正

常的服务。

B.DOS攻击只能基于TCP和ICMP协议来攻击。

C.SYN泛洪是常见的DOS攻击手段，主要是利用TCP协议栈在两台主机间

初始化连接握手的过程进行攻击。

D.普通的防火墙一般都具有DOS攻击防护功能。

rArlBrCrD

下列有关AF接口与区域的说法中，错误的是

A.AF的一个路由口下可以添加多个子接口，目路由接口的IP地址不能与子

接口的IP地址在同网段。

B.AF的一个区域可以包含多个接口，一个接口也可以属于多个区域。

C.AF的虚拟网线区域只能包含虚拟网线接口，不能包含透明接口和三层接

口。

D.单进单出透明部署情况下，可以通过配置VLAN接口IP来对设备进行管

理。

rArBrCrD

下列有关AF管理口的说法中，正确的是

A.AF默认使用ethO口作为管理口，该管理口的接口类型只能为路由口。

rArBrCrD

以下关于DOS/DDOS外网防护策略的说法中，错误的是

A.DOS/DDOS外网防护策略主要用于保护服务器不受来自外部区域的攻击。

B.设置DOS/DDOS外网防护时，数据包按照从上往下的顺序匹配，当匹配

到任何一个攻击行为后，便会直接将数据包丢弃，不会再往下匹配。

C.当AF设备开启直通时,DOS/DDOS外网防护策略将无效,所有数据包

都会直接放行。

D.在配置DOS/DDOS攻击防护时，目标IP建议只填写服务器所在的IP组，

不要填写所有IPo

rArlBrCrD

某客户希望通过我们设备实现ssh和rdp的暴力破解，请问此功能在哪个模

块中配置？

A.僵尸网络

B.实时漏洞分析

C.web应用防护

D.ips

rArlBrCrD

下列有关AF透明口与虚拟网线接口的说法中,错误的是

A透明口与虚拟网线接口都属于二层接口，不具备基本的路由转发功能。

B.透明口在进行数据转发时是根据其MAC地址表进行转发的。

C.虚拟网线在进行数据转发时直接从虚拟网