華為HCIPH12-722安全試卷三

精品文檔-下載后可編輯華為HCIPH12-722安全試卷三華為HCIPH12-722安全試卷三

1.【單選題】1分|在云網(wǎng)一體化場景下，VNGFW通過以下哪一項(xiàng)中的北向接口對接AC控制器

AGrpc

BSFIP

CNETCONF

DOpenFlow

2.【多選題】1分|未授權(quán)訪問會對信息安全的哪些方面帶來風(fēng)險(xiǎn)?(多選)

A機(jī)密性

B完整性

C可用性

D可恢復(fù)性

3.【多選題】1分|在云時代的安全防護(hù)體系中，需要在事前、事中、事后三個階段都進(jìn)行改革，并且形成閉環(huán)的持續(xù)改進(jìn)和發(fā)展。其中在“事中"應(yīng)該做到下列哪些關(guān)鍵點(diǎn)?(多選)

A漏洞情報(bào)

B縱深防御

C攻防態(tài)勢

D反擊黑客

4.【多選題】1分|華為NIP6000產(chǎn)品從多個層面提供了電信級的高可靠性機(jī)制保證設(shè)備的穩(wěn)定運(yùn)行以下哪些選項(xiàng)屬于組網(wǎng)可靠性(多選)

A雙機(jī)熱備

B電源1+1冗余備份

C硬件Bypass

DLink-group

5.【多選題】1分|下列哪些選項(xiàng)屬于IPS檢測失效的常見原因?(多選)

AIPS策略未提交編譯

BIPS策略域間關(guān)聯(lián)錯誤的PolicyID

C沒有開啟IPS功能

DIPS中Bypass功能關(guān)閉

6.【多選題】1分|開啟攻擊防范功能的配置命令如下:下列哪些選項(xiàng)對于攻擊防范配置的描述是正確的?(多選)

[FW]anti-ddossyn-floodsource-detect

[FW]antiddosudp-flooddynamic-fingerprint-learn

[FW]antiddosudp-frag-flooddynamic-fingerprint-learn

[FW]anti-ddoshttp-flooddefendalert-rate2000

[FW]anti-ddoshttp-floodsource-detectmodebasic

A防火墻開啟了SYNFlood源探測防御功能。

B防火墻使用首包丟棄防御UDPFIood攻擊。

CHTTPFlood攻擊防御使用增強(qiáng)模式進(jìn)行防御

DHTTPFlood防御啟動的閾值是2000。

7.【多選題】1分|關(guān)于關(guān)鍵字的描述，以下哪些是正確的?(多選)

A關(guān)鍵字是內(nèi)容過濾時設(shè)備需要識別的內(nèi)容。

B關(guān)鍵字包括預(yù)定義關(guān)鍵字和自定義關(guān)鍵字。

C文本能匹配的關(guān)鍵字最短長度為2個字節(jié)。

D自定義關(guān)鍵字只能用文本方式進(jìn)行定義。

8.【多選題】1分|在華為防火墻上配置了如下命令:

[USG]firewalldefendip-fragmente

nable

則下列哪些情況會被記錄為攻擊行為?(多選)

ADF位為1，而MF位也為1或FragmentOffset不為0

BDF位為0,MF位為1或FragmentOffset不為0

CDF位為0,而FragmentOffset+Length65535

DDF位為1,而FragmentOffset+Length65535。

9.【多選題】1分|下列哪些選項(xiàng)屬于華為USG6000產(chǎn)品反病毒特征庫的升級方式?(多選)

A本地升級

B手動升級

C在線升級

D自動升級

10.【多選題】1分|華為USG6000產(chǎn)品的內(nèi)容過濾技術(shù)可以對哪些內(nèi)容進(jìn)行過濾?(多選)

A上傳文件內(nèi)容中包含的關(guān)鍵字

B下載文件中包含的關(guān)鍵字

C文件類型

D文件上傳的方向

11.【多選題】1分|對于URPF技術(shù)的描述，下列哪些選項(xiàng)是正確的?(多選)

A主要功能是防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。

B嚴(yán)格模式下不檢查接口是否匹配，只要存在針對源地址的路由，報(bào)文就可以通過。

C松散模式下不僅要求在轉(zhuǎn)發(fā)表中存在相應(yīng)表項(xiàng)，還要求接口一定匹配才能通過URPF檢查

D在不能保證路由對稱的環(huán)境下使用URPF的loose模式。

12.【多選題】1分|基于代理的反病毒網(wǎng)關(guān)，以下哪些描述是正確的?(多選)

A檢測率相比流掃描方式較高

B系統(tǒng)開銷將會比較小

C通過網(wǎng)關(guān)自身的協(xié)議棧將文件全部緩存下來

D可以進(jìn)行更多如解壓，脫殼等高級操作

13.【多選題】1分|以下哪些選項(xiàng)屬于TCP/IP協(xié)議棧的網(wǎng)絡(luò)層攻擊?(多選)

A地址掃描

B緩沖區(qū)溢出

C端口掃描

DIP欺騙

14.【多選題】1分|下列哪些選項(xiàng)對于管理中心ATIC的配置描述是正確的?(多選)

A在管理中心上需要配置引流任務(wù),在發(fā)現(xiàn)攻擊行為時,向清洗中心下發(fā)。

B需要在管理中心上配置防護(hù)對象，引導(dǎo)異常的訪問流量。

C管理中心上需要配置端口鏡像,進(jìn)行異常流量的監(jiān)測。

D管理中心上需要配置回注策略,引導(dǎo)清洗后的流量。

15.【單選題】1分|將IPS設(shè)備串行部署在網(wǎng)絡(luò)中時，IPS連接上下行設(shè)備的接口下應(yīng)配置以下哪一項(xiàng)命令

Adetect-modespan

Bdetect-modebridge

Cdetect-modetap

Ddetect-modeinline

16.【單選題】1分|若想實(shí)現(xiàn)限制內(nèi)網(wǎng)用戶登錄某個賬號，則應(yīng)配置以下哪一項(xiàng)應(yīng)用行為控制

AFTP行為

BHTTP行為

CNETCONF行為

DIM行為

17.【單選題】1分|以下關(guān)于郵件內(nèi)容過濾運(yùn)行機(jī)制的描述，錯誤的是哪一項(xiàng)

AFW首先需要根據(jù)匹配條件識別出要進(jìn)行郵件過濾的流量

B檢測到POP3或IMAP消息時，如果判定為非法郵件，F(xiàn)W的響應(yīng)動作可以是發(fā)送告警信息或阻斷郵件

C郵件內(nèi)容過濾僅在出方向檢測

DFW篩選出郵件流量后，再檢查郵箱地址和附件大小，識別出非法郵件

18.【單選題】1分|為防止內(nèi)網(wǎng)用戶對外部服務(wù)器實(shí)施S1owHTTPPost攻擊，部署以下哪種形式的HTTP行為控制技術(shù)最為合適

A限制用戶進(jìn)行代理上網(wǎng)

B限制用戶上傳大文件

C限制用戶瀏覽網(wǎng)頁，對用戶的HTTPGet請求進(jìn)行檢查

D限制用戶的Post操作的內(nèi)容大小，對用戶的HTTPPost報(bào)文中的Content-Length字段進(jìn)行檢查

19.【單選題】1分|在Post報(bào)文中聲明一個很大C的ontent-Length值,但是每次發(fā)送的報(bào)文Body長度很小，服務(wù)器會認(rèn)為攻擊者還有后續(xù)的報(bào)文發(fā)送。攻擊者每一段時間發(fā)送一個Body長度很小的報(bào)文即可實(shí)現(xiàn)讓服務(wù)器一直保持連接的目的。

以上描述是哪種WEB攻擊的原理?

AHTTPFlood

BCCS1owHeader

CXSS反射型攻擊

DCCSlowPost

20.【單選題】1分|IPS是一種智能化的入侵檢測和防御產(chǎn)品，它不但能檢測入侵的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時地中止入侵行為的發(fā)生和發(fā)展，實(shí)時地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。以下關(guān)于IPS的描述，錯誤的哪一項(xiàng)?

A可實(shí)現(xiàn)全方位防護(hù)。

B可以檢測木馬、蠕蟲攻擊，但是無法檢測出緩沖區(qū)溢出攻擊。

C設(shè)備采用直路方式部署在網(wǎng)絡(luò)中，能夠在檢測到入侵時，實(shí)時對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，將對網(wǎng)絡(luò)的入侵降到最低。

DIPS是在發(fā)現(xiàn)入侵行為時能實(shí)時阻斷的入侵檢測系統(tǒng)。

21.【單選題】1分|下關(guān)于入侵防御系統(tǒng)的描述，錯誤的是哪一項(xiàng)?

A入侵防御系統(tǒng)是一種在發(fā)現(xiàn)入侵行為時能實(shí)時阻斷的入侵檢測系統(tǒng)。

BIPS使得IDS和防火墻走向統(tǒng)一

C通過旁路方式部署，需要在交換機(jī)上做端口鏡像。

D通過直路方式串接在網(wǎng)絡(luò)邊界上，無法在線部署和阻斷。

22.【單選題】1分|入侵檢測系統(tǒng)是用于入侵檢測的所有軟硬件系統(tǒng)，以下關(guān)于入侵檢測系統(tǒng)特點(diǎn)的描述,錯誤的是哪一項(xiàng)?

A不占用被保護(hù)的設(shè)備上的資源。

B操作系統(tǒng)關(guān)聯(lián)性。

C監(jiān)測速度快。

D攻擊者不易轉(zhuǎn)移證據(jù)。

23.【單選題】1分|簽名"A0001"的動作為告警,包含該簽名的簽名過濾器動作為阻斷，同時存在一個包含該簽名的例外簽名，該例外簽名的動作為放行，則最終匹配中該簽名之后的執(zhí)行動作為以下哪一項(xiàng)

A放行

B無法判斷

C告警

D阻斷

24.【單選題】1分|以下關(guān)于反病毒特征庫在線升級的描述，錯誤的是哪一項(xiàng)?

A服務(wù)器端口，默認(rèn)為443

B升級時需要訪問服務(wù)器地址，可以是IP地址或域名形式。

C在線升級時可以根據(jù)設(shè)定的時間自動下載并更新本地的反病毒特征庫。

D使用在線升級方式時，如果可以直接訪問升級中心，只需要在FW.上配置放行HTP協(xié)議和安全策略。

25.【單選題】1分|以下關(guān)于Anti-DDos系統(tǒng)的描述，錯誤的是哪一項(xiàng)?

A管理中心主要完成對攻擊事件的處理、控制清洗中心的引流策略和清洗策略，并對各種攻擊事件和攻擊流量分類查看，產(chǎn)生報(bào)表。

B檢測中心主要負(fù)責(zé)網(wǎng)絡(luò)流量的檢測分析。

C清洗中心的主要作用是對鏡像或者分光過來的流量進(jìn)行DDos攻擊流量的檢測和分析，將分析數(shù)據(jù)提供給管理中心進(jìn)行判斷。

DAnti-DDoS防御系統(tǒng)采用B/S架構(gòu)，部署簡單方便，不需安裝客戶端軟件即可完成業(yè)務(wù)的管理和監(jiān)控,適合客戶多地域分散部署多臺檢測和清洗設(shè)備，而通過一臺設(shè)備集中管理。

26.【單選題】1分|以下關(guān)于大數(shù)據(jù)智能安全分析平臺的描述，錯誤的是哪一項(xiàng)

A數(shù)據(jù)采集包括日志采集和原始流量采集，其中流探針負(fù)責(zé)日志采集。

B數(shù)據(jù)處理過程中，關(guān)聯(lián)分析主要通過挖掘事件之間的關(guān)聯(lián)和時序關(guān)系，從而發(fā)現(xiàn)有效的攻擊。

C流量基線異常檢測將自學(xué)習(xí)和用戶自定義的流量基線加載到內(nèi)存中，并對流量數(shù)據(jù)進(jìn)行在線統(tǒng)計(jì)和分析，一旦網(wǎng)絡(luò)行為與流量基線存在偏差，即輸出異常事件。

D威脅判定根據(jù)多個異常進(jìn)行關(guān)聯(lián)、評估和判定產(chǎn)生高級威脅,為威脅監(jiān)控和攻擊鏈路可視化提供數(shù)據(jù)。

27.【單選題】1分|在數(shù)據(jù)中心解決方案中，為實(shí)現(xiàn)南北向邊界安全、SMAT.IPseCVPN和IPS等功能，可部署以下哪一種VAS服務(wù)

AvLB

BvNIP

CvWAF

DVNGFW

28.【單選題】1分|以下關(guān)于郵件過濾使用限制的描述，錯誤的是哪一項(xiàng)?

AFW作為旁路檢測設(shè)備時，支持郵A件過濾特性。

BIP地址檢查可以防止垃圾郵件在內(nèi)網(wǎng)泛濫。

C在雙機(jī)熱備的負(fù)載分擔(dān)場景下，需要保證報(bào)文來回路徑一致，否則Fw無法進(jìn)行郵件過濾檢測。

D郵件過濾功能不受License控制。

29.【單選題】1分|以下關(guān)于華為USG6000產(chǎn)品郵件內(nèi)容過濾配置的描述，錯誤的是哪一項(xiàng)?

A只有在安全策略為允許的條件下調(diào)用了郵件過濾配置文件，郵件過濾才會生效。

B檢測到IMAP消息時，如果判定為非法郵件，防火墻的響應(yīng)動作僅支持發(fā)送告警信息，不會阻斷郵件。

C檢測到POP3消息時，如果判定為非法郵件，防火墻的響應(yīng)動作僅支持發(fā)送告警信息，不會阻斷郵件。

D附件大小的限制是針對單個附件的限制，而不是對所有附件總體大小的限制。

30.【單選題】1分|以下哪一項(xiàng)不屬于基于IP地址的郵件過濾技術(shù)?

A郵件地址檢查

B本地黑名單

CRBL遠(yuǎn)程查詢

D本地白名單

31.【單選題】1分|HTTP行為控制技術(shù)不支持以下哪一項(xiàng)執(zhí)行動作?

A告警

B禁止

C允許

D重定向

32.【單選題】1分|在Post報(bào)文中聲明一個很大c的ontent-Length值，但是每次發(fā)送的報(bào)文Body長度很小，服務(wù)器會認(rèn)為攻擊者還有后續(xù)的報(bào)文發(fā)送。攻擊者每隔一段時間發(fā)送一個Body長度很小的報(bào)文即可實(shí)現(xiàn)讓服務(wù)器一直保持連接的目的。

以上描述是哪種WEB攻擊的原理?

AXSS反射型攻擊

BCCSlowPost

CCCSlowHeader

DHTTPFlood

33.【單選題】1分|簽名的預(yù)定義動作不包含以下哪一選項(xiàng)?

A阻斷

B告警

C放行

D重定向

34.【單選題】1分|以下關(guān)于入侵防御中簽名過濾器的描述，錯誤的是哪一項(xiàng)?

A設(shè)備升級特征庫后會存在大量簽名，這些簽名會自動分類，但是有些簽名所包含的特征本網(wǎng)絡(luò)中不存在，需過濾出去，故設(shè)置了簽名過濾器進(jìn)行管理。

B簽名過濾器是滿足指定過濾條件的集合。

C簽名過濾器的過濾條件包括:簽名的類別、對象、協(xié)議、嚴(yán)重性、操作系統(tǒng)等。

D簽名過濾器的動作優(yōu)先級高于簽名缺省動作，當(dāng)簽名過濾器的動作不采用簽名缺省動作時，以簽名過濾器設(shè)置的動作為準(zhǔn)。

35.【單選題】1分|以下防火墻病毒處理流程中優(yōu)先級最高的流程是哪一項(xiàng)?

A白名單

B病毒例外

C應(yīng)用例外

D病毒檢測

36.【單選題】1分|華為防火墻的文件信譽(yù)老化時間默認(rèn)為多少天?

A30

B15

C60

D90

37.【單選題】1分|以下關(guān)于DNSRequestF1ood攻擊的描述，正確的是哪一項(xiàng)?

A針對緩存服務(wù)器的DNSRequestF1ood攻擊可以采用重定向方式驗(yàn)證源的合法性。

B對于授權(quán)服務(wù)器的DNSRequestF1ood攻擊，可以通過觸發(fā)客戶端以TCP報(bào)文發(fā)送DNS請求，用以驗(yàn)證源IP的合法性

C重定向