1. HWTACACS仅仅只能对密码部分进行加密而Radius协议除Radius报文头以外，同时对报文主体全部进行加密。( )

　　True False

　　2. 负载均衡实现了将访问不同IP地址的用户流量分配到同一服务器上的功能。( )

　　True False

　　3. 以下哪个不是IP-link的探测时发送的报文? ( )

　　(Select 2 Answers)

　　A. ARP报文

　　B. IGMP报文

　　C. ICMP报文

　　D. Hello报文

　　4. USGA与USGB配置了静态BFD会话，下列关于BFD会话建立和拆除的过程，说法正确的是?( )

　　(Select 2 Answers)

　　A. USG A和USG B各自启动BFD状态机，初始状态为Down，发送状态为Down的BFD报文，Your Discriminator的值是0。

　　B. USG B本地BFD状态为Init后，如果接下来继续接收到状态为Down的报文，重新进行处理更新自己的本地状态。

　　C. USG B收到状态为Init的BFD报文后，本地状态切换至Up。

　　D. USG A和USG B发生“DOWN => INIT”的状态迁移后，会启动一个超时定时器。如果定时器超时仍未收到状态为Init或Up的BFD报文，则本地状态自动切换回Down。

　　5.USG系列防火墙双机热备不包括以下那些协议：( )

　　A. HRP

　　B.VRRP

　　C. VGMP

　　D. IGMP

　　6. 在配置USG双机热备时，(假设备份组号是1)虚拟地址的配置命令，正确的是哪项?( )

　　A. vrrp vrid 1 virtual-ip ip address master

　　B. vrrp virtual-ip ip address vrid 1 master

　　C. vrrp virtual-ip ip address master vrid 1

　　D. vrrp master virtual-ip ip address vrid 1

　　7. 下列关于VRRP和VGMP的协议报文，说法正确的是什么? ( )

　　(Select 2 Answers)

　　A. VGMP管理组与VRRP备份组之间使用VGMP Hello报文通信

　　B. VGMP管理组之间通过VGMP Hello报文通信

　　C. VGMP管理组之间通过VRRP报文通信

　　D. VGMP管理组与VRRP备份组之间使用VGMP报文通信

　　8.在一个Eth-Trunk接口中，通过在各成员链路上配置不同的权重，可以实现流量负载分担。( )

　　True False

　　9. 虚拟防火墙技术特点不包括以下哪项?( )

　　A. 提供路由多实例、安全多实例、配置多实例、NAT多实例、VPN多实例，应用灵活，可满足多种组网需要。

　　B. 每个虚拟防火墙均可以独立支持TRUST、UNTRUST、DMZ等 4个安全区域，接口灵活划分和分配。

　　C. 从技术上保证了每一个虚系统和一个独立防火墙从实现上是一样的，而且非常安全，各个虚系统之间可以直接实现访问。

　　D. 每个虚系统提供独立的管理员权限。

　　10. 以下不提供加密功能的VPN协议有哪些? ( )

　　(Select 3 Answers)

　　A. ESP

　　B. AH

　　C. L2TP

　　D. GRE

　　11. 在IPSec VPN中，以下哪个报文信息不存在?( )

　　A. AH报文头

　　B. AH报文尾

　　C. ESP报文头

　　D. ESP报文尾

　　12. IPSec VPN做NAT穿越的情况下，必须使用IKE的野蛮模式。( )

　　True False

　　13.下列关于IPSec和IKE的说法正确的是：( )

　　(Select 3 Answers)

　　A. IPSec有两种协商方式建立安全联盟，一种是手工方式(manual)，一种是IKE 自动协商(isakmp)方式。

　　B. IKE 野蛮模式可以选择根据协商发起端的IP 地址或者ID，来查找对应的身份验证字并最终完成协商。

　　C. NAT 穿越功能删去了IKE协商过程中对UDP 端口号的验证过程，同时实现了对VPN 隧道中NAT 网关设备的发现功能，即如果发现NAT 网关设备，则将在之后的IPSec 数据传输中使用UDP 封装。

　　D. IKE 的安全机制包括DH Diffie-Hellman 交换及密钥分发，完善的前向安全性(Perfect Forward Secrecy PFS)以及SHA1等加密算法。

　　14. 如果建立IPSec VPN隧道双方，一方的IP地址不固定，则以下哪些配置方法不能适用在IP地址不固定的网关? ( )

　　A. 策略模板

　　B. 策略

　　C. 野蛮模式下的Name认证

　　D. 野蛮模式下的pre-share key认证

　　15. 网络攻击的分类有流量型攻击、扫描窥探攻击、畸形报文攻击和特殊报文攻击。 ( )

　　True False

　　16. IP-MAC地址绑定配置如下：

　　[USG] firewall mac-binding 202.169.168.1 00e0-fc00-0100

　　当数据包通过华为防火墙设备时候，不考虑其他的策略情况(如包过滤，攻击防范)，下列数据能通过防火墙的有? ( )

　　(Select 2 Answers)

　　A. 数据包源IP：202.169.168.1

　　数据包源MAC：FFFF-FFFF-FFFF

　　B. 数据包源IP：202.169.168.2

　　数据包源MAC：00e0-fc00-0100

　　C. 数据包源IP：202.1.1.1

　　数据包源MAC：00e0-fc11-1111

　　D. 数据包源IP：202.169.168.1

　　数据包源MAC：00e0-fc00-0100

　　17. CC攻击是哪种攻击方式?( )

　　A. 拒绝服务型攻击

　　B. 扫描窥探攻击

　　C. 畸形报文攻击

　　D. 基于系统漏洞的攻击

　　18. DHCP Snooping功能需要维护绑定表，其绑定表的内容包括哪些?( )

　　A. MAC

　　B. Vlan

　　C. 接口

　　D. DHCP Server的IP

　　19. 在DDos攻击防范中，如果通过服务学习功能，发现正常流量中根本没有某种服务或某种服务流量很小，则可以在Anti-DDos设备上分别采用阻断或限流方法来防御攻击。 ( )

　　True False

　　20. HTTPS Flood源认证防御原理是，Anti-DDos设备代替SSL服务器与客户端完成TCP三次握手。如能完成TCP三次握手，表示HTTPS Flood源认证检查成功。( )

　　True False

　　【参考答案】

　　1.F 2.F 3.BD 4.CD 5.D 6.A 7.BD 8.T 9.C 10.BCD 11.B 12.F 13.ABC 14.A 15.T 16.CD 17.A 18.ABC 19.T 20.F