华为安全中级认证题库及答案解析

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页华为安全中级认证题库及答案解析（含答案及解析）姓名：科室/部门/班级：得分：题型单选题多选题判断题填空题简答题案例分析题总分得分

一、单选题（共20分）

1.在华为安全设备配置过程中，若需限制特定IP地址段的访问，以下哪种防火墙策略类型最为适用？

（）A.访问控制列表（ACL）

（）B.NACL（网络访问控制列表）

（）C.服务控制策略

（）D.代理服务策略

2.华为CloudEngine系列交换机在进行链路聚合（LAG）配置时，若两端设备均支持LACP协议，则优先采用哪种模式？

（）A.PAgP

（）B.LACP

（）C.StaticLAG

（）D.GARP

3.根据华为SDA（软件定义架构）理念，控制器（Controller）的主要功能是什么？

（）A.管理设备硬件资源

（）B.执行业务逻辑与策略下发

（）C.存储VxLAN路由信息

（）D.监控网络流量状态

4.在华为安全设备配置VPN时，若需实现多点互联，以下哪种VPN类型最适合？

（）A.IPsecVPN隧道

（）B.GREoverIPsec

（）C.L2TPoverIPsec

（）D.MPLSVPN

5.华为AR系列路由器进行BFD（快速重传协议）配置时，默认检测时间（DetectionTime）是多少？

（）A.100毫秒

（）B.200毫秒

（）C.300毫秒

（）D.400毫秒

6.在华为云环境中，若某安全域需要实现微隔离，以下哪种技术最为核心？

（）A.VPC（虚拟私有云）

（）B.SecurityGroup（安全组）

（）C.VPNGateway

（）D.NATGateway

7.华为防火墙进行入侵防御（IPS）配置时，以下哪种策略优先级最高？

（）A.默认允许策略

（）B.自定义拒绝策略

（）C.默认拒绝策略

（）D.例外允许策略

8.在华为交换机进行STP（生成树协议）优化时，若需减少收敛时间，优先采用哪种配置？

（）A.Portfast

（）B.BPDUGuard

（）C.RootGuard

（）D.LoopGuard

9.华为CloudEngine交换机进行SD-WAN配置时，以下哪种协议用于动态路由？

（）A.BGP

（）B.OSPF

（）C.EIGRP

（）D.StaticRoute

10.在华为安全设备进行日志分析时，以下哪种协议用于收集Syslog信息？

（）A.SNMP

（）B.Syslog

（）C.NetFlow

（）D.SSH

11.华为AR系列路由器进行QoS（服务质量）配置时，以下哪种队列算法适用于突发流量？

（）A.FIFO

（）B.PFC

（）C.WRED

（）D.CBWFQ

12.在华为云环境中，若某安全域需要实现跨地域互联，以下哪种技术最为常用？

（）A.VPN

（）B.DirectConnect

（）C.CloudConnect

（）D.NAT

13.华为防火墙进行应用识别时，以下哪种技术最为核心？

（）A.签名检测

（）B.行为分析

（）C.IP信誉库

（）D.DNS查询

14.在华为交换机进行链路聚合时，若两端设备均支持PAgP协议，则优先采用哪种模式？

（）A.Active/Active

（）B.Active/Standby

（）C.PAgPDynamic

（）D.PAgPStatic

15.华为SDA架构中，以下哪种组件负责业务编排？

（）A.Controller

（）B.DataPlane

（）C.OrchestrationPlane

（）D.ManagementPlane

16.在华为安全设备进行VPN配置时，以下哪种协议用于加密数据？

（）A.IKEv1

（）B.IKEv2

（）C.AES

（）D.SHA-256

17.华为AR系列路由器进行NAT配置时，以下哪种模式适用于浮动IP？

（）A.StaticNAT

（）B.DynamicNAT

（）C.PAT

（）D.NAPT

18.在华为交换机进行STP优化时，若需防止环路，优先采用哪种配置？

（）A.Portfast

（）B.BPDUGuard

（）C.RootGuard

（）D.LoopGuard

19.华为CloudEngine交换机进行SD-WAN配置时，以下哪种协议用于隧道建立？

（）A.GRE

（）B.IPsec

（）C.MPLS

（）D.BGP

20.在华为安全设备进行入侵防御时，以下哪种策略适用于已知威胁？

（）A.白名单策略

（）B.黑名单策略

（）C.例外允许策略

（）D.默认拒绝策略

二、多选题（共15分，多选、错选不得分）

21.在华为交换机进行链路聚合时，以下哪些因素会影响聚合性能？

（）A.端口速率

（）B.LACP版本

（）C.聚合组数量

（）D.网络延迟

22.华为防火墙进行入侵防御时，以下哪些功能属于IPS的核心能力？

（）A.签名检测

（）B.行为分析

（）C.恶意软件检测

（）D.网络流量统计

23.在华为云环境中，若某安全域需要实现高可用，以下哪些技术最为常用？

（）A.VRP

（）B.HA

（）C.CloudConnect

（）D.Multi-Site

24.华为SDA架构中，以下哪些组件属于控制平面？

（）A.Controller

（）B.DataPlane

（）C.OrchestrationPlane

（）D.ManagementPlane

25.在华为安全设备进行VPN配置时，以下哪些协议可用于加密？

（）A.AES

（）B.SHA-256

（）C.IKEv2

（）D.IPsec

26.华为AR系列路由器进行QoS配置时，以下哪些队列算法适用于突发流量？

（）A.FIFO

（）B.PFC

（）C.WRED

（）D.CBWFQ

27.在华为交换机进行STP优化时，以下哪些配置可减少收敛时间？

（）A.Portfast

（）B.BPDUGuard

（）C.RootGuard

（）D.LoopGuard

28.华为CloudEngine交换机进行SD-WAN配置时，以下哪些协议用于路由？

（）A.BGP

（）B.OSPF

（）C.EIGRP

（）D.StaticRoute

29.在华为安全设备进行日志分析时，以下哪些协议用于收集日志？

（）A.SNMP

（）B.Syslog

（）C.NetFlow

（）D.SSH

30.华为防火墙进行应用识别时，以下哪些技术最为核心？

（）A.签名检测

（）B.行为分析

（）C.IP信誉库

（）D.DNS查询

三、判断题（共10分，每题0.5分）

31.在华为交换机进行链路聚合时，若两端设备均支持LACP协议，则优先采用LACP模式。（）

32.华为SDA架构中，控制器（Controller）负责业务逻辑与策略下发。（）

33.在华为防火墙进行入侵防御时，默认拒绝策略优先级最高。（）

34.华为AR系列路由器进行NAT配置时，PAT模式适用于浮动IP。（）

35.在华为交换机进行STP优化时，Portfast配置可防止环路。（）

36.华为CloudEngine交换机进行SD-WAN配置时，BGP用于动态路由。（）

37.在华为安全设备进行日志分析时，Syslog协议用于收集日志。（）

38.华为防火墙进行应用识别时，行为分析技术最为核心。（）

39.华为AR系列路由器进行QoS配置时，CBWFQ适用于突发流量。（）

40.在华为云环境中，若某安全域需要实现跨地域互联，VPN是最常用的技术。（）

四、填空题（共10空，每空1分）

41.在华为交换机进行链路聚合时，若两端设备均支持PAgP协议，则优先采用______模式。

42.华为SDA架构中，控制器（Controller）的主要功能是______与策略下发。

43.在华为防火墙进行入侵防御时，默认______策略优先级最高。

44.华为AR系列路由器进行NAT配置时，______模式适用于浮动IP。

45.在华为交换机进行STP优化时，______配置可减少收敛时间。

46.华为CloudEngine交换机进行SD-WAN配置时，______用于动态路由。

47.在华为安全设备进行日志分析时，______协议用于收集Syslog信息。

48.华为防火墙进行应用识别时，______技术最为核心。

49.华为AR系列路由器进行QoS配置时，______适用于突发流量。

50.在华为云环境中，若某安全域需要实现跨地域互联，______是最常用的技术。

五、简答题（共25分，每题5分）

51.简述华为CloudEngine交换机进行链路聚合（LAG）配置的步骤。

52.结合华为SDA架构，说明控制平面（ControlPlane）的主要功能。

53.在华为防火墙进行入侵防御时，如何配置自定义拒绝策略？

54.简述华为AR系列路由器进行QoS配置的步骤。

55.在华为交换机进行STP优化时，如何防止环路？

六、案例分析题（共20分）

56.某企业部署了华为CloudEngine交换机进行SD-WAN配置，但发现部分链路流量不稳定。请结合案例，分析可能的原因并提出解决方案。

参考答案及解析

一、单选题（共20分）

1.A

2.B

3.B

4.A

5.A

6.B

7.B

8.A

9.A

10.B

11.C

12.B

13.A

14.C

15.C

16.C

17.C

18.A

19.A

20.B

解析：

1.A（访问控制列表ACL是防火墙配置的核心，用于限制特定IP地址段的访问，其他选项功能不符。）

B（NACL是网络访问控制列表，通常用于路由器，功能与ACL类似但场景不同。）

C（服务控制策略用于控制特定服务的访问，而非IP地址段。）

D（代理服务策略用于深度包检测，而非IP地址段限制。）

2.B（LACP是IEEE标准的链路聚合协议，华为CloudEngine支持优先采用LACP。）

A（PAgP是华为私有协议，功能类似LACP但兼容性较差。）

C（StaticLAG是手动配置，不适用动态场景。）

D（GARP是通用地址解析协议，与LAG无关。）

3.B（控制器在SDA架构中负责业务逻辑与策略下发，其他选项功能不符。）

A（管理硬件是DataPlane的职责。）

C（存储VxLAN路由信息是数据平面的功能。）

D（监控流量状态是监控系统的功能。）

4.A（IPsecVPN隧道适用于多点互联，其他选项功能不符。）

B（GREoverIPsec是隧道技术，但更适用于点对点。）

C（L2TPoverIPsec是二层隧道，不适用于多点互联。）

D（MPLSVPN是运营商级技术，不适用于企业多点互联。）

5.A（BFD默认检测时间为100毫秒，其他选项非默认值。）

B（200毫秒是较常见的检测时间，但非默认。）

C（300毫秒和400毫秒均非BFD默认值。）

6.B（SecurityGroup是华为云微隔离的核心技术，其他选项功能不符。）

A（VPC是虚拟私有云，提供网络隔离，但非微隔离。）

C（VPNGateway是VPN网关，用于跨地域互联。）

D（NATGateway是NAT网关，用于地址转换。）

7.B（自定义拒绝策略优先级最高，其他选项优先级较低。）

A（默认允许策略优先级最低。）

C（默认拒绝策略优先级低于自定义策略。）

D（例外允许策略是默认允许的补充。）

8.A（Portfast可减少STP收敛时间，其他选项功能不符。）

B（BPDUGuard用于防止环路，但无收敛时间优化效果。）

C（RootGuard用于防止Root指针伪造。）

D（LoopGuard用于防止端口环回。）

9.A（BGP是SD-WAN动态路由的核心协议，其他选项功能不符。）

B（OSPF主要用于局域网路由。）

C（EIGRP是Cisco私有协议。）

D（StaticRoute是静态路由。）

10.B（Syslog是Syslog协议，用于收集日志，其他选项功能不符。）

A（SNMP是简单网络管理协议，用于设备管理。）

C（NetFlow是流量分析协议。）

D（SSH是安全远程登录协议。）

11.C（WRED是加权随机早期丢弃算法，适用于突发流量，其他选项功能不符。）

A（FIFO是先进先出队列，无优先级。）

B（PFC是优先级队列，适用于实时流量。）

D（CBWFQ是类属加权公平队列，适用于流量整形。）

12.B（DirectConnect是华为云专线技术，用于跨地域互联，其他选项功能不符。）

A（VPN是虚拟专用网络，用于远程访问。）

C（CloudConnect是云连接服务，但DirectConnect更常用。）

D（NAT是网络地址转换，与互联无关。）

13.A（签名检测是IPS的核心技术，其他选项功能不符。）

B（行为分析是EDR的功能。）

C（IP信誉库用于威胁情报，非核心技术。）

D（DNS查询是域名解析，与IPS无关。）

14.C（PAgPDynamic是PAgP的动态模式，其他选项功能不符。）

A（Active/Active是LAG状态，非协议模式。）

B（Active/Standby是高可用模式。）

D（PAgPStatic是静态PAgP，非动态。）

15.C（OrchestrationPlane是业务编排平面，其他选项功能不符。）

A（Controller是控制平面。）

B（DataPlane是数据平面。）

D（ManagementPlane是管理平面。）

16.C（IKEv2是IKEv2协议，用于VPN加密，其他选项功能不符。）

A（IKEv1是IKEv1协议，功能类似但安全性较低。）

B（SHA-256是哈希算法，非加密协议。）

D（IPsec是IP安全协议，但非加密协议。）

17.C（PAT是端口地址转换，适用于浮动IP，其他选项功能不符。）

A（StaticNAT是静态地址转换。）

B（DynamicNAT是动态地址转换。）

D（NAPT是网络地址转换，功能类似PAT。）

18.A（Portfast可防止STP环路，其他选项功能不符。）

B（BPDUGuard用于防止BPDU攻击。）

C（RootGuard用于防止Root指针伪造。）

D（LoopGuard用于防止端口环回。）

19.A（GRE是GRE协议，用于隧道建立，其他选项功能不符。）

B（IPsec是IP安全协议，非隧道协议。）

C（MPLS是MPLS协议，用于隧道，但非SD-WAN核心协议。）

D（BGP是BGP协议，用于路由。）

20.B（黑名单策略适用于已知威胁，其他选项功能不符。）

A（白名单策略适用于允许访问。）

C（例外允许策略是默认允许的补充。）

D（默认拒绝策略优先级最低。）

二、多选题（共15分，多选、错选不得分）

21.ABC

22.ABC

23.AB

24.AC

25.AC

26.CD

27.AC

28.ABC

29.AB

30.AB

解析：

21.ABC（端口速率、LACP版本、聚合组数量均影响聚合性能，网络延迟影响较小。）

D（网络延迟主要影响单链路性能。）

22.ABC（签名检测、行为分析、恶意软件检测是IPS核心能力，网络流量统计是监控功能。）

D（网络流量统计是NetFlow的功能。）

23.AB（VRP是华为路由协议，HA是高可用技术，其他选项非核心技术。）

C（CloudConnect是云连接服务，非高可用。）

D（Multi-Site是多站点架构，非技术。）

24.AC（Controller和OrchestrationPlane属于控制平面，其他选项功能不符。）

B（DataPlane是数据平面。）

D（ManagementPlane是管理平面。）

25.AC（AES和IKEv2是加密协议，其他选项功能不符。）

B（SHA-256是哈希算法，非加密协议。）

D（IPsec是IP安全协议，但非加密协议。）

26.CD（WRED和CBWFQ适用于突发流量，其他选项功能不符。）

A（FIFO是先进先出队列，无优先级。）

B（PFC是优先级队列，适用于实时流量。）

27.AC（Portfast和RootGuard可减少STP收敛时间，其他选项功能不符。）

B（BPDUGuard用于防止BPDU攻击。）

D（LoopGuard用于防止端口环回。）

28.ABC（BGP、OSPF、EIGRP均用于路由，其他选项功能不符。）

D（StaticRoute是静态路由。）

29.AB（SNMP和Syslog均用于收集日志，其他选项功能不符。）

C（NetFlow是流量分析协议。）

D（SSH是安全远程登录协议。）

30.AB（签名检测和行为分析是应用识别核心技术，其他选项功能不符。）

C（IP信誉库用于威胁情报。）

D（DNS查询是域名解析。）

三、判断题（共10分，每题0.5分）

31.√

32.√

33.√

34.√

35.√

36.√

37.√

38.×

39.√

40.×

解析：

31.√（LACP是IEEE标准的链路聚合协议，华为CloudEngine支持。）

32.√（控制器在SDA架构中负责业务逻辑与策略下发。）

33.√（默认拒绝策略优先级最高，其他选项优先级较低。）

34.√（PAT是端口地址转换，适用于浮动IP。）

35.√（Portfast可防止STP环路。）

36.√（BGP是SD-WAN动态路由的核心协议。）

37.√（Syslog是Syslog协议，用于收集日志。）

38.×（行为分析是EDR的功能，应用识别以签名检测为主。）

39.√（CBWFQ是类属加权公平队列，适用于流量整形。）

40.×（DirectConnect是更常用的跨地域互联技术。）

四、填空题（共10空，每空1分）

41.PAgPDynamic

42.业务逻辑

43.拒绝

44.PAT

45.Portfast

46.BGP

47.Syslog

48.签名检测

49.WRED

50.DirectConnect

五、简答题（共25分，每题5分）

51.华为CloudEngine交换机进行链路聚合（LAG）配置的步骤：

①进入交换机配置模式。

②创建LAG组（如`interfacePort-Channel1`）。

③配置物理接口加入LAG组（如`interfaceGigabitEthernet0/0/1`，`port-channel1`）。

④配置LACP协议（如`link-aggregationpvid1`）。

⑤退出配置模式并应用（如`commit`）。

52.华为SDA架构中，控制平面（ControlPlane）的主要功能：

①负责业务逻辑与策略下发。

②统一管理网络资源。

③实现网络自动化。

④支持多租户隔离。

53.华为防火墙进行入侵防御时，如何配置自定义拒绝策略：

①进入防火墙配置模式。

②创建安全区域（如`securityareatrust`）。

③创建访问控制策略（如`firewall-po