2026年华为安全hcia题库及答案解析

2026年华为安全hcia题库及答案解析一、单项选择题（每题2分，共20分）1.以下关于华为USG防火墙双机热备功能的描述中，错误的是？A.主备设备通过心跳线同步会话表和配置信息B.双机热备支持基于VRRP的虚拟IP浮动机制C.备机在主设备故障时需手动切换为Active状态D.会话同步可确保业务中断时间小于50ms答案：C解析：华为USG防火墙双机热备采用自动切换机制，当主设备故障时，备机通过心跳检测感知后会自动切换为Active状态，无需手动干预。选项C错误。会话同步通过NSRP（NexusSecurityRoutingProtocol）实现，可保障业务中断时间小于50ms（选项D正确）；VRRP用于虚拟IP的浮动（选项B正确）；心跳线负责同步会话表、配置等关键信息（选项A正确）。2.在华为eNSP模拟器中配置ACL（访问控制列表）时，若需禁止源IP为/24的主机访问目标端口80的HTTP服务，正确的配置命令是？A.ruledenytcpsource55destination-porteq80B.ruledenytcpdestination55source-porteq80C.ruledenyudpsource55destination-porteq80D.ruledenyicmpsource55destination-porteq80答案：A解析：HTTP服务使用TCP协议（排除C、D），ACL规则需指定源IP范围（/24的反掩码为55）和目标端口80。选项A中“source”指定源IP，“destination-porteq80”指定目标端口，符合要求。选项B错误地将源IP作为目标IP配置；选项C错误使用UDP协议；选项D错误使用ICMP协议。3.以下哪种攻击类型属于应用层DDOS攻击？A.SYNFloodB.DNS放大攻击C.HTTP慢速连接攻击D.ICMPEchoFlood答案：C解析：应用层DDOS攻击针对应用层协议（如HTTP、SMTP），通过消耗应用服务器资源实现攻击。HTTP慢速连接攻击（Slowloris）通过持续发送不完整的HTTP请求，占用服务器连接资源，属于应用层攻击（选项C正确）。SYNFlood（选项A）和ICMPEchoFlood（选项D）属于网络层攻击；DNS放大攻击（选项B）利用DNS协议的反射特性，属于传输层/网络层攻击。4.华为防火墙的“安全策略”与“NAT策略”的执行顺序是？A.先执行安全策略，再执行NAT策略B.先执行NAT策略，再执行安全策略C.两者并行执行D.取决于策略优先级配置答案：B解析：华为防火墙默认的处理流程为：接收报文→执行NAT策略（转换源/目的IP和端口）→执行安全策略（基于转换后的IP和端口进行过滤）→路由转发。因此，NAT策略先于安全策略执行（选项B正确）。若安全策略先执行，可能因未转换IP导致过滤规则失效。5.关于IPSecVPN的传输模式与隧道模式，以下描述正确的是？A.传输模式仅加密IP头部，隧道模式加密整个IP报文B.传输模式用于主机到主机通信，隧道模式用于网关到网关通信C.传输模式支持AH和ESP协议，隧道模式仅支持ESPD.传输模式下，外层IP头由原报文保留，隧道模式需新增外层IP头答案：D解析：IPSec传输模式加密IP负载（原IP头保留），适用于主机之间的端到端加密；隧道模式加密整个原IP报文（包括原IP头），并新增外层IP头，适用于网关之间的通信（如企业总部与分支的VPN）。选项D正确：传输模式保留原IP头，隧道模式新增外层IP头。选项A错误，传输模式加密负载（原IP头可能保留或部分修改），隧道模式加密整个原报文；选项B错误，传输模式也可用于网关，但隧道模式更常见于网关场景；选项C错误，两种模式均支持AH和ESP。6.华为iMasterNCE-FabricInsight智能管理中心的核心功能不包括？A.网络流量可视化分析B.设备配置自动下发C.基于AI的故障预测D.物理服务器硬件监控答案：D解析：iMasterNCE-FabricInsight是面向云数据中心的智能管理平台，主要功能包括网络流量分析（A）、自动化配置（B）、AI驱动的故障预测（C）等。物理服务器硬件监控（如CPU、内存状态）属于服务器管理软件（如华为FusionManager）的功能，非NCE-FabricInsight核心（选项D错误）。7.以下哪种漏洞扫描方式属于“带外扫描”？A.扫描器与目标设备直接连接，通过SSH进行漏洞检测B.扫描器通过镜像端口获取网络流量，分析设备漏洞C.扫描器模拟用户访问Web应用，检测SQL注入漏洞D.扫描器向目标发送ICMP请求，检测存活主机答案：B解析：带外扫描（Out-of-bandScanning）指扫描器不直接与目标设备交互，而是通过监听网络流量（如镜像端口、分光器）或其他间接方式获取信息。选项B通过镜像端口分析流量，属于带外扫描。选项A（直接SSH连接）、C（模拟用户访问）、D（ICMP请求）均为直接与目标交互的“带内扫描”（In-bandScanning）。8.在华为防火墙中，配置URL过滤策略时，若需禁止访问所有“社交网络”类网站，应选择的分类方式是？A.自定义URL黑名单B.华为云分类库中的“社交网络”标签C.基于IP地址的范围限制D.基于域名的正则表达式匹配答案：B解析：华为防火墙支持集成华为云的URL分类库（如“社交网络”“游戏”“购物”等预定义分类），可直接通过选择分类标签实现批量过滤。选项B正确。自定义黑名单（A）需手动添加具体URL，效率低；IP范围（C）可能因CDN动态分配失效；正则表达式（D）适用于特定模式匹配，非分类场景。9.以下关于零信任架构（ZeroTrust）的核心原则，错误的是？A.所有访问请求默认不信任，需验证身份和设备安全状态B.网络边界依然存在，仅允许授权用户通过边界设备访问C.最小权限原则：仅授予用户完成任务所需的最小访问权限D.持续验证：在会话过程中动态评估风险，调整访问权限答案：B解析：零信任架构的核心是“永不信任，始终验证”，取消传统网络边界（B错误），所有访问（无论内外网）均需验证身份、设备安全状态、环境风险等。其他选项均为零信任的核心原则（A、C、D正确）。10.华为IDS（入侵检测系统）的“误用检测”与“异常检测”的主要区别是？A.误用检测基于流量特征库，异常检测基于正常行为基线B.误用检测能发现未知攻击，异常检测仅能检测已知攻击C.误用检测需持续学习正常流量模型，异常检测依赖规则库D.误用检测适用于加密流量，异常检测不适用于加密流量答案：A解析：误用检测（Signature-basedDetection）通过匹配已知攻击特征库（如Snort规则）发现攻击；异常检测（Anomaly-basedDetection）通过建立正常流量基线（如流量速率、协议分布），识别偏离基线的异常行为（A正确）。误用检测无法发现未知攻击（B错误）；异常检测需学习正常模型（C错误）；两者均受加密流量影响（D错误）。二、多项选择题（每题3分，共15分）1.以下属于华为云防火墙（CFW）核心功能的有？A.南北向流量（云内外）防护B.东西向流量（云内VPC间）防护C.服务器硬件漏洞修复D.全局威胁情报共享答案：ABD解析：华为云防火墙（CFW）提供云内VPC间（东西向）和云内外（南北向）的流量防护（A、B正确），并集成华为全球威胁情报中心（D正确）。服务器硬件漏洞修复属于主机安全软件（如HSS主机安全服务）功能（C错误）。2.在华为防火墙中，可用于实现流量限速的功能模块有？A.流量监管（TrafficPolicing）B.流量整形（TrafficShaping）C.会话数限制（SessionLimit）D.连接数限制（ConnectionLimit）答案：AB解析：流量监管（Policing）通过丢弃或标记超出速率的流量实现限速；流量整形（Shaping）通过缓存延迟超出速率的流量实现平滑限速（A、B正确）。会话数/连接数限制（C、D）用于控制最大并发连接数，非流量速率限制。3.以下哪些攻击需要通过深度包检测（DPI）技术进行防御？A.基于HTTP头部的SQL注入攻击B.利用ICMP协议的DDOS攻击C.邮件附件中的勒索软件D.基于TCP序列号的SYNFlood攻击答案：AC解析：DPI技术通过解析应用层协议内容（如HTTP头部、邮件附件）检测攻击。SQL注入攻击（A）需解析HTTP报文中的参数；勒索软件（C）需扫描附件内容（如文件头、特征码）。ICMPDDOS（B）和SYNFlood（D）通过网络层/传输层特征（如ICMP流量速率、TCP半连接数）检测，无需DPI。4.华为终端安全管理系统（EAD）的主要功能包括？A.终端接入认证（802.1X/Portal）B.终端补丁合规性检查C.终端硬件资产统计D.网络流量镜像分析答案：ABC解析：EAD（EndpointAdmissionDefense）用于终端安全准入管理，包括接入认证（A）、补丁/杀毒软件合规检查（B）、硬件资产统计（C）。网络流量镜像分析属于网络监控设备功能（D错误）。5.关于SSLVPN与IPSecVPN的对比，正确的有？A.SSLVPN无需安装客户端，可通过浏览器访问B.IPSecVPN支持多协议传输（如FTP、SMTP），SSLVPN仅支持Web应用C.SSLVPN适用于移动办公场景，IPSecVPN适用于分支互联D.IPSecVPN加密整个IP层，SSLVPN加密应用层（如HTTPS）答案：ACD解析：SSLVPN基于HTTPS协议，通过浏览器即可访问（无需专用客户端，A正确），主要用于Web应用或通过Java/ActiveX代理访问其他应用；IPSecVPN支持全协议传输（B错误），适用于分支网关互联（C正确）。IPSec加密IP层（隧道模式），SSL加密应用层（D正确）。三、判断题（每题2分，共10分）1.华为防火墙的“域间策略”默认允许所有流量通过，需手动配置拒绝规则。（）答案：×解析：华为防火墙默认域间策略为“拒绝所有”（DenyAll），需手动配置允许规则。若未配置策略，流量将被拒绝。2.WAF（Web应用防火墙）可以防御SQL注入、XSS跨站脚本攻击，但无法防御CC攻击。（）答案：×解析：WAF通过检测应用层请求内容防御SQL注入、XSS等攻击；同时可通过限制单IP并发请求数、请求频率等方式防御CC（ChallengeCollapsar）攻击。3.在华为eNSP中，配置静态路由时，下一跳IP必须与本地接口处于同一网段。（）答案：√解析：静态路由的下一跳IP需与出接口IP在同一网段（直连路由可达），否则路由不可达。若下一跳为非直连设备，需通过默认路由或其他路由协议转发。4.零信任架构要求所有访问必须经过身份验证，但无需考虑设备的安全状态（如是否安装杀毒软件）。（）答案：×解析：零信任的“持续验证”包括身份、设备安全状态（如补丁、杀毒软件是否启用）、访问环境（如位置、网络类型）等多维度评估，设备安全状态是关键因素。5.华为IDS的“旁路部署”模式下，不影响网络流量转发，但无法阻断攻击，仅能报警。（）答案：√解析：IDS旁路部署通过镜像端口监听流量，不参与转发，因此无法直接阻断攻击（需联动防火墙实现阻断），仅能检测并报警。四、简答题（每题15分，共45分）1.请简述华为防火墙配置NAT策略的基本步骤，并说明“源NAT”与“目的NAT”的应用场景。答案：配置步骤：（1）进入NAT策略配置视图：`firewallenable`→`nat-policy`；（2）定义策略匹配条件：源/目的IP、端口、协议等；（3）选择NAT类型（源NAT/目的NAT）及转换方式（EasyIP、地址池、NAPT等）；（4）提交并生效策略。源NAT应用场景：内网主机访问公网（如企业内网用户访问互联网），将私网IP转换为公网IP，解决公网IP不足问题。目的NAT应用场景：公网用户访问内网服务器（如公网用户访问企业Web服务器），将公网目标IP/端口转换为内网服务器私网IP/端口，实现服务器发布。2.请说明华为入侵防御系统（IPS）与入侵检测系统（IDS）的主要区别，并列举3种IPS的典型部署方式。答案：主要区别：（1）功能定位：IDS仅检测和报警，IPS可实时阻断攻击；（2）部署方式：IDS旁路部署（镜像流量），IPS串联部署（直接处理流量）；（3）