深信服測試題防火墻復習測試卷附答案

第頁深信服測試題整理防火墻復習測試卷附答案1.[AF]關(guān)于地域訪問控制與應用控制功能說法正確的是?A、先匹配地域訪問控制,再匹配應用控制B、先匹配應用控制,再匹配地域訪問控制C、地域訪問控制與應用控制策略是同時匹配D、先匹配的地址訪問控制的拒絕之后,還是會匹配應用控制策略【正確答案】：A2.[AF]單進單出網(wǎng)橋的環(huán)境下,為什么AF推薦使用虛擬網(wǎng)線接口部署?A、虛擬網(wǎng)線接口是普通的交換接口B、虛擬網(wǎng)線接口不需要配置IP地址C、虛擬網(wǎng)線接口不支持路由轉(zhuǎn)發(fā)D、虛擬網(wǎng)線接口轉(zhuǎn)發(fā)數(shù)據(jù)幀時,無需檢查MAC表,直接從虛擬網(wǎng)線配對的接口轉(zhuǎn)發(fā)【正確答案】：D3.[AF]下列關(guān)于入侵檢測系統(tǒng)的說法,不準確的是?A、常見于串接部署,對流經(jīng)設(shè)備的流量進行分析B、需要更新設(shè)備上的相應規(guī)則庫C、一般不支持攔截所檢測到的風險行為D、工作范圍可涵蓋L2-L7層【正確答案】：A4.[AF]以下關(guān)于AF接口的說法正確的是A、如果接口設(shè)置為路由接口,并且是ADSL撥號,需要選上添加默認路由選項,并且該選項默認勾選B、eth0為固定的管理口,接口IP為10.251.251.251/24且無法刪除,無法修改,無法新增C、聚合接口主備模式中,會取優(yōu)先級最高的接口為主接口,其余為備接口D、一個路由接口下可添加多個子接口,且路由接口的IP地址可以與子接口的IP地址在同網(wǎng)段【正確答案】：A5.【連鎖分支組網(wǎng)】SDW-R的策略路由模塊不支持哪種故障探測方式?A、ping檢測B、DNS檢測C、ARP檢測D、網(wǎng)口UP/DOWN檢測【正確答案】：C6.關(guān)于防病毒網(wǎng)關(guān)和傳統(tǒng)防火墻的對比說明,下列說法不準確的是A、防病毒網(wǎng)關(guān)更關(guān)注于病毒的過濾,可阻斷病毒文件的傳播B、防病毒網(wǎng)關(guān)在1SO七層模式中的工作范圍要大于傳統(tǒng)防火墻C、防病毒網(wǎng)關(guān)一般也具備應用控制功能模塊D、防病毒網(wǎng)關(guān)開啟殺毒功能后,在處理速度上,較傳統(tǒng)防火墻要快【正確答案】：D7.[AF]以下關(guān)于蜜罐技術(shù)的說法錯誤的是?A、蜜罐技術(shù)的實現(xiàn)原理是:內(nèi)網(wǎng)僵尸主機向內(nèi)網(wǎng)DNS發(fā)起惡意域名解析->內(nèi)網(wǎng)DNS經(jīng)過AF向公網(wǎng)發(fā)起DNS解析->AF獲取到惡意域名解析流量->AF主動將蜜罐地址作為解析地址回復給內(nèi)網(wǎng)DNS->內(nèi)網(wǎng)DNS轉(zhuǎn)發(fā)給主機->僵尸主機訪問蜜罐地址->AF識別到真實的僵尸主機地址并作攔截處理B、旁路鏡像模式不支持蜜罐功能C、蜜罐IP地址的設(shè)置,此IP地址必須是真實存在的,且不能于內(nèi)網(wǎng)網(wǎng)段沖突,訪問此IP的數(shù)據(jù)需要經(jīng)過AFD、蜜罐技術(shù)是應用于內(nèi)網(wǎng)存在DNS服務器的場景下,用于定位內(nèi)網(wǎng)真實僵尸主機的IP地址【正確答案】：C8.[AF]POC測試項目中,以下關(guān)于xhack工具靶機的安裝,理解正確的是?A、使用xhack的【安全數(shù)據(jù)流檢測】中的“數(shù)據(jù)流檢測"功能模塊時,靶機的安裝要求客戶端和服務端都要安裝xhack,且DNAT場景中,AF需要做端口映射B、使用xhack的【安全數(shù)據(jù)流檢測】中的“PcapPkt檢測"功能模塊時,靶機的安裝要求客戶端和服務端都要安裝xhack,且DNAT場景中,AF需要做全端口映射C、使用xhack的【安全數(shù)據(jù)流檢測】中的“威脅情報檢測”功能模塊時,靶機的安裝要求客戶端和服務端都要安裝xhack,且C.DNAT場景中,AF對于靶機的DNAT映射只能映射為80端口D、使用xhack的【實況靶場】中的"web實況攻擊"功能模塊時,靶機的安裝要求客戶端和服務端都要安裝xhack,且DNAT場景中,AF對于靶機的DNAT映射只能映射為80端口【正確答案】：A9.[AF]AF僵尸網(wǎng)絡防護功能說法正確的是?A、惡意域名重定向功能要求AF設(shè)備路由部署B(yǎng)、僵尸網(wǎng)絡默認啟用惡意域名重定向C、惡意域名重定向功能要求AF設(shè)備能夠上網(wǎng)D、惡意域名重定向的原理是惡意域名解析的IP地址將會被AF重定向成蜜罐IP地址。通過監(jiān)聽對蜜罐地址的訪問,即可定位內(nèi)網(wǎng)感染僵尸網(wǎng)絡病毒的真實主機IP【正確答案】：D10.【統(tǒng)一集中管理】關(guān)于BBC的分支批量升級功能使用,以下說法正確的是?A、支持給分支下發(fā)ssu類型的升級包B、支持給分支下發(fā)KB包/SP包進行升級C、BBC無法制定分支升級計劃,只能進行實時下發(fā)升級包給分支D、BBC授權(quán)過期的話,仍然可以使用批量下發(fā)升級包的功能【正確答案】：A11.【基礎(chǔ)VPN組網(wǎng)場景】在標準IPSecVPN/SANFORVPN組網(wǎng)場景中,以下需求描述錯誤的是?A、通過VPN技術(shù)打通總部與分支的內(nèi)網(wǎng),實現(xiàn)總部分支“大內(nèi)網(wǎng)”的需求B、.需保障數(shù)據(jù)在傳輸過程中的數(shù)據(jù)安全性(保密性、完整性、數(shù)據(jù)來源的身份驗證等)的要求C、滿足兼容第三方做VPN對接的需求D、標準IPSecVPN可提供終端接入賬號,實現(xiàn)移動端接入VPN訪問總部業(yè)務的要求【正確答案】：D12.【連鎖分支組網(wǎng)】連鎖分支組網(wǎng)場景中需求與功能匹配關(guān)系錯誤的是?A、通過總部與分支之間的VPN連接實現(xiàn)分支訪問總部的內(nèi)網(wǎng)互訪B、連鎖/小型分支通過使用SDW-R來減少分支IT成本的投入C、通過總部BBC統(tǒng)一集中管理運維分支設(shè)備,提升總部人員的IT運維效率D、總部運維人員通過互聯(lián)網(wǎng)線路映射80/443等端口直接運維分支設(shè)備,此方式提升總部運維人員的效率【正確答案】：D13.防火墻按技術(shù)劃分,主要可以分為()等三大類型?A、包過濾、入侵檢測、數(shù)據(jù)加密B、包過濾、入侵檢測、應用代理C、包過濾、狀態(tài)檢測、入侵檢測D、包過濾、狀態(tài)檢測、應用代理【正確答案】：D14.[AF]POC測試項目中,以下關(guān)于xhack工具的應用,理解錯誤的是?A、在交付項目中,對于新上架部署的AF產(chǎn)品,想快速驗證配置的安全策略是否正確,可使用xhack進行快速驗證B、在POC測試項目中,客戶想測試一些POC功能用例,可使用xhack工具給客戶做POC測試用例演示C、在POC的PK測試項目中,想通過打批量pcap包優(yōu)勢樣本的方式,和友商PK我們某方面功能的攔截檢出率,可使用xhack工具進行自定義批量pcap包優(yōu)勢樣本的導入,并支持批量回放pcap包優(yōu)勢樣本D、在日常的設(shè)備運維中,客戶想了解當前網(wǎng)絡環(huán)境中部署的AF對內(nèi)網(wǎng)業(yè)務的安全防護狀態(tài)是否良好,可使用xback工具過客戶網(wǎng)絡環(huán)境中部署的AF,向客戶內(nèi)網(wǎng)的業(yè)務進行模擬攻擊,利用xhack工具自動生成對應的安全報告,并下載報告給客戶做安全分析匯報【正確答案】：D15.【統(tǒng)一集中管理】關(guān)于BBC的分支序列號批量更新功能,以下說法錯誤的是?A、設(shè)備接入BBC之后,會自動上報序列號信息到BBCBBC不支持分支序列號批量導出或者導入功能C、BBC導出的分支設(shè)備序列號表格中不包含具體的功能序列號D、BBC導入序列號信息之后,可對分支設(shè)備進行批量更新【正確答案】：B16.WEB應用防火墻,主要是針對WEB站點進行深入防護,下列哪項功能不是當前主流WEB防火墻的重點防護方向?A、針對weblogic的漏洞有相應防護能力B、針對webshell上傳有相應的防護能力C、針對挖礦病毒有相應的防護能力D、針對CC攻擊有相應的防護能力【正確答案】：C17.【SIP】安全感知平臺的產(chǎn)品形態(tài)更像是以下哪種產(chǎn)品。A、心視頻監(jiān)捽系統(tǒng)B、陷門C、柵欄D、報警器【正確答案】：A18.[AF]POC測試項目中,以下關(guān)于xhack工具的相關(guān)應用,理解錯誤的是()A、xhack應用場景中,xhack所有功能模塊的使用,都不受AF部署模式的影響A.B、xhack應用場景中,關(guān)于靶機的部署,xhack還不能對接客戶自己提供的靶機,只能對接我們對應搭配的靶機C、xhack應用場景中,關(guān)于xhack客戶端和靶機連通性的校驗,如果串接在中間的AF設(shè)備配置的是DNAT場景,AF需要針對靶機做端口映射,否則靶機的連通性校驗不能成功D、xhack應用場景中,hack通過“數(shù)據(jù)流檢測"進行的樣本流回放,和通過“PcapPkt檢測"進行的樣本包回放,都支持自動修改樣本自帶的IP地址為測試環(huán)境的真實!P地址,使得在AF上產(chǎn)生的攻擊攔截日志中,看到的!P地址就是真實攻擊測試環(huán)境的IP地址【正確答案】：A19.【基礎(chǔ)VPN組網(wǎng)場景】AF以下什么部署模式支持使用標準IPSecVPN/SANGFORVPN的功能?A、路由模式B、透明模式C、虛擬網(wǎng)線模式D、旁路模式【正確答案】：A20.【基礎(chǔ)VPN組網(wǎng)場景】客戶的總公司和分公司之間網(wǎng)絡環(huán)境中各有一臺AF設(shè)備部署在內(nèi)網(wǎng)中,此時如果客戶需要搭建一條標準IPSECVPN隧道實現(xiàn)總公司和分公司的數(shù)據(jù)能夠保密的安全通信,建議使用下列哪種方式?A、ESP協(xié)議+傳輸模式B、ESP協(xié)議+隧道模式C、AH協(xié)議+傳輸模式D、AH協(xié)議+隧道模式【正確答案】：B21.【基礎(chǔ)VPN組網(wǎng)場景】以下關(guān)于本地子網(wǎng)的說法,正確的是?A、本地子網(wǎng)只有在單臂模式下才需要添加B、本地子網(wǎng)只有在網(wǎng)關(guān)模式下才需要添加C、本地子網(wǎng)在單臂和網(wǎng)關(guān)模式下都需要添加D、本地子網(wǎng)的添加與部署模式?jīng)]有關(guān)系,只有總部和分支設(shè)備內(nèi)網(wǎng)非LAN口直連網(wǎng)段需要與對端通信才需要添加【正確答案】：D22.[AF]部署在互聯(lián)網(wǎng)出口的AF無法針對以下哪種方向的流量進行安全防護?A、互聯(lián)網(wǎng)區(qū)域訪問內(nèi)網(wǎng)服務區(qū)的流量B、內(nèi)網(wǎng)辦公區(qū)訪問內(nèi)網(wǎng)服務器區(qū)的流量C、內(nèi)網(wǎng)辦公區(qū)訪問互聯(lián)網(wǎng)區(qū)域的流量。D、內(nèi)網(wǎng)服務器區(qū)訪問互聯(lián)網(wǎng)區(qū)域的流量?！菊_答案】：B23.關(guān)于深信服下一代防火墻的核心價值說法,不包含A、提供健康的上網(wǎng)管理B、提供安全全面可視的能力C、提供業(yè)務安全全面防護的能力D、提供未知威脅抵御的能力【正確答案】：A24.防火墻按技術(shù)劃分,主要可以分為()等三大類型?A、包過濾、入侵檢測、數(shù)據(jù)加密B、包過濾、入侵檢測、應用代理C、包過濾、狀態(tài)檢測、入侵檢測D、包過濾、狀態(tài)檢測、應用代理)【正確答案】：D25.【連鎖分支組網(wǎng)】云端易部署功能中,關(guān)于分支快速接入的方式,以下說法錯誤的是?A、采用插入4G卡的方式,快速完成分支設(shè)備的云端易部署B(yǎng)、采用WIFI接入/PC接入配置的方式,快速完成分支設(shè)備的云端易部署C、設(shè)備接入DHCP線路網(wǎng)絡中,SDW-R設(shè)備可自動獲取到IP,快速完成分支設(shè)備的云端易部署D、采用插入U盤的方式,快速完成分支設(shè)備的云端易部署【正確答案】：D26.【統(tǒng)一集中管理場景】關(guān)于BBC的分支接入,以下說明錯誤的是?A、BBC需要完成設(shè)備授權(quán)激活,分支設(shè)備才可接入到BBCBBC授權(quán)過期之后,BBC無法創(chuàng)建分支賬號,分支無法接入到BBCC、分支的接入數(shù)不能超過BBC上授權(quán)的設(shè)備數(shù)D、BBC授權(quán)過期之后,在30天內(nèi)任然可以創(chuàng)建分支賬號提供給分支做接入【正確答案】：D27.[AF]以下不是業(yè)務發(fā)布區(qū)域的服務器面臨的威脅?A、業(yè)務內(nèi)容被篡改,植入非法文字、圖片或鏈接,影響公司形象。B、發(fā)布應用上保存用于日常在線服務相關(guān)的敏感業(yè)務數(shù)據(jù),容易被黑客覬覦導致數(shù)據(jù)泄露風險。C、用戶通過互聯(lián)網(wǎng)下載包含木馬、后門的文件,并橫向擴散感染其他終端。D、業(yè)務存在漏洞、惡意鏈接,被監(jiān)管單位檢測通報。【正確答案】：C28.[AF]客戶處新采購一臺AF放在出口,需要代理內(nèi)網(wǎng)用戶上網(wǎng)且對外發(fā)布的服務器要直接配置公網(wǎng)地址,下述哪種部署模式最合適?A、旁路鏡像模式B、透明模式C、虛擬網(wǎng)線模式D、混合模式【正確答案】：D29.【連鎖分支組網(wǎng)】關(guān)于SDW-R的VLAN子接口功能,以下說法錯誤的時?A、SDW-R支持在LAN接口、DMZ接口使用VLAN子接口功能B、與SDW-R對接的交換機需要配置為trunk口C、SDW-R支持在WAN接囗使用VLAN子接口功能D、SDW-R的VLAN子接口實現(xiàn)的是類似單臂路由的功能【正確答案】：C30.下列關(guān)于目前主流廠商包過濾防火墻的說法,不準確的是A、主要工作在網(wǎng)絡層和傳輸層B、可以支持路由轉(zhuǎn)發(fā)功能C、支持自動學習后生成攔截動作D、般有處理速度快,價格便宜的優(yōu)點【正確答案】：C31.【基礎(chǔ)VPN組網(wǎng)場景】SANGFORVPN組網(wǎng),如果兩個分支之間存在網(wǎng)段沖突,可以用如下哪個技術(shù)解決網(wǎng)段沖突問題?A、隧道內(nèi)NAT技術(shù)B、隧道間路由技術(shù)C、VPN內(nèi)網(wǎng)權(quán)限技術(shù)D、無法解決,只能把分支改成不同的網(wǎng)段再進行sangforVPN組網(wǎng)【正確答案】：A32.深信防火墻實現(xiàn)從“事前”、“事中”、“事后”的整體防護,其中下列哪些功能不屬于事中的防護?A、業(yè)務資產(chǎn)識別管理B、Dos/Ddos攻擊防護C、漏洞攻擊防護D、WAF攻擊防護【正確答案】：A33.【基礎(chǔ)VPN組網(wǎng)場景】IPSEC是一套協(xié)議集,它不包括下列哪個協(xié)議?AHB、ESPC、SSLD、IKE【正確答案】：C34.【統(tǒng)一集中管理場景】BBC的eth0口缺省IP地址是多少?A、10.250.0.7/24B、10.251.251.251/24C、10.252.252.252124D、10.254.254.254/24【正確答案】：A35.下一代防火墻與其他品類防火墻對比,優(yōu)勢功能說法錯誤的是?A、對比UTM,可以提供更強的性能B、對比包過濾防火墻,提供應用層的防護能力C、對比IDS,提供處置攔截的能力D、對比WAF,提供雙向代理的能力【正確答案】：D36.下一代防火墻與其他品類防火墻對比,優(yōu)勢功能說法錯誤的是A、對比UTM,可以提供更強的性能B、對比包過濾防火墻,提供應用層的防護能力C、對比IDS,提供處置攔截的能力D、對比WAF,提供雙向代理的能力【正確答案】：D37.基礎(chǔ)VPN組網(wǎng)場景】客戶內(nèi)網(wǎng)部署了一臺AF設(shè)備做標準IPSECVPN對接,現(xiàn)需要在出口防火墻上放通相應協(xié)議和端口以下需要放通的協(xié)議和端口號中,正確的是()AIP協(xié)議號:50,51,端:TCP1723,UDP1701BIP協(xié)議號:47,50,端口:TCP1723,UDP1701C、IP協(xié)議號:50,51,端口:UDP4500,UDP500D.IP協(xié)議號:50,51,端口:TCP4009,UDP4009【正確答案】：C38.為構(gòu)建云端、網(wǎng)端、終端全方位立體化的安全防護體系,深信服下一代防火墻可與其他產(chǎn)品進行聯(lián)動,形成整體的防下列不屬于該體系中的行為是?A、聯(lián)動云圖,實現(xiàn)安威脅情報快速更新補充B、聯(lián)動云圖,實現(xiàn)未知威脅精準分析判斷C、聯(lián)動SSL,實現(xiàn)終端接入安全可控D、聯(lián)動EDR,實現(xiàn)終端安全快速處置閉環(huán)【正確答案】：C39.[AF]AF安全運營中心設(shè)置,不能實現(xiàn)以下哪個功能?A、設(shè)置顯示的風險級別,可以只顯示風險級別為高的事件,其他事件一律不顯示B、設(shè)置顯示的IP范圍,非指定的IP范圍不顯示在運營中心C、設(shè)置檢測的風險項目,不希望關(guān)注的項目可以取消檢測D、設(shè)置處置記錄,對已處理的記錄可以進行刪除【正確答案】：A40.[AF]以下關(guān)于AF雙機配置說法正確的是AF建立雙機后,使用PC直連備機MANAGE口無法登錄WEB控制臺B、AF僅能配置一個HAIP地址C、無法登陸備機狀態(tài)設(shè)備的WEB控制臺D、AF雙機部署,只要啟用配置同步,則所有非HA的接口IP都會同步【正確答案】：D41.從目前主流的傳統(tǒng)防火墻來看,下列哪項不能做為應用控制策略(ACL)的可控制項?A、IPB、端口C、路由D、區(qū)域【正確答案】：C42.[AF]AF通過區(qū)域,定義并歸類接口,在各類安全策略中引用區(qū)分不同區(qū)域的安全等級以及安全方向,下列關(guān)于區(qū)域的說法錯誤的是?A、一個物理接口可以劃分到多個同安全級別的區(qū)域內(nèi)B、區(qū)域根據(jù)接口轉(zhuǎn)發(fā)類型分為二層、三層、虛擬網(wǎng)線三類C、可以把三個路由屬性的接口劃入到同一個三層區(qū)域中D、可以通過區(qū)域關(guān)閉該區(qū)域內(nèi)接口對外提供的控制臺登錄權(quán)限【正確答案】：A43.【統(tǒng)一集中管理】關(guān)于BBC的告警設(shè)置,以下說法錯誤的是?A、針對產(chǎn)品線的相關(guān)告警設(shè)置需要導入對應產(chǎn)品線的策略模板才可進行設(shè)置B、針對CPU、內(nèi)存等通用的告警設(shè)置不需要導入產(chǎn)品的策略模板也可進行設(shè)置C、分支設(shè)備的告警處置完成之后,BBC上會自動顯示告已處理D、BBC的告警設(shè)置無法針對各自產(chǎn)品線的告警內(nèi)容進行設(shè)置,只能在分支端進行告設(shè)置【正確答案】：D44.[AF]單進單出網(wǎng)橋的環(huán)境下,為什么AF推薦使用虛擬網(wǎng)線接口部署?A、虛擬網(wǎng)線接口是普通的交換接口B、虛擬網(wǎng)線接口不需要配置IP地址C、虛擬網(wǎng)線接口不支持路由轉(zhuǎn)發(fā)D、虛擬網(wǎng)線接口轉(zhuǎn)發(fā)數(shù)據(jù)幀時,無需檢查MAC表,直接從虛擬網(wǎng)線配對的接口轉(zhuǎn)發(fā)【正確答案】：D45.【SIP】通過安全感知平臺的核心能力我們知道,在檢測的第-步我們需要什么能力?A、脆弱性識別B、全網(wǎng)資產(chǎn)梳理C、整體安全態(tài)勢感知D、高級威脅檢測【正確答案】：B46.【連鎖分支組網(wǎng)】郵件易部署功能中BBC與郵件服務器對接時所使用的是什么協(xié)議?A、SMTPB、SNMPC、POP3D、IMAP【正確答案】：A47.[AF]客戶購買AF主要用于做上網(wǎng)NAT,同時作為內(nèi)網(wǎng)DHCP服務器,請問什么部署模式可以滿足客戶需求?A、路由模式B、透明模式C、旁路模式D、虛擬網(wǎng)線模式【正確答案】：A48.下列關(guān)于目前主流廠商包過濾防火墻的說法,不準確的是?A、主要工作在網(wǎng)絡層和傳輸層B、可以支持路由轉(zhuǎn)發(fā)功能C、支持自動學習后生成攔截動作D、般有處理速度快,價格便宜的優(yōu)點【正確答案】：C49.【SIP】以下不是SAVE的優(yōu)勢的是?A、能夠查殺病毒變種B、要求實時升級規(guī)則庫C、使用機器學習識別惡意文件特征D、占用內(nèi)存小【正確答案】：B50.【連鎖分支組網(wǎng)】云端易部署功能中,以下基礎(chǔ)原理介紹錯誤的是?A、需要將SDW-R設(shè)備的設(shè)備清單信息導入到BBC中,BBC將設(shè)備清單的SN碼結(jié)合BBC接入賬號,指定SDW-R使用t特定賬號接入B、分支SDW-R成功完成云端易部署之后,BBC會將預配置的策略自動下發(fā)到設(shè)備端C、分支設(shè)備可采用多種快速易部署的方式,快速完成設(shè)備的部署上線。D、BBC與云鏡進行一對一的賬號綁定,分支通過云鏡的認證后獲取到BBC的接入地址,從而接入到對應的BBC中?！菊_答案】：D51.[AF]AF的安全運營中心功能,自動/手動評估后,重點需要關(guān)注哪個模塊的結(jié)論并處置?A、風險評估B、動態(tài)保護C、監(jiān)測與分析D、待辦事件E、通過總部端統(tǒng)一集中管理平臺BBC實現(xiàn)所有分支的運行狀態(tài)查看F、通過總部端統(tǒng)一集中管理平臺BBC實現(xiàn)策略的自動化配置,將策略統(tǒng)-下發(fā)到分支G、統(tǒng)一集中管理平臺BBC將安全事件進行收集并分析,并進行安全統(tǒng)一運營【正確答案】：D52.【SIP】在SIP的架構(gòu)中以下哪個功能可以進行問題閉環(huán)?A、資產(chǎn)管理B、事件告警C、聯(lián)動響應D、追蹤溯源【正確答案】：C53.[AF]AF的業(yè)務安全中心,把事件根據(jù)風險進行分類,