1、【EDR】紧急情况下,以下哪个端口?EDR管理平台和客户端通信端口,即在紧急情况下发布Agent重启、Agent卸载和Agent停止等待指令。( ) A:443.0 B:54120.0 C:8083.0 D:8088.0 正确答案B 2、【EDR】7000个终端需要安装EDR客户端安全防护, 推荐部署多少个?EDR管理平台( ) A:1个 B:2个 C:4个 D:6个 正确答案C 3、【EDR】EDR的Agent客户端不支持安装以下类型的终端( ) A:Windows Server B:Windows PC C:Android平板 D:Linux服务器 正确答案C 4、【EDR】Agent与EDR管理平台的通信不会使用以下端口( ) A:8088.0 B:443.0 C:54120.0 D:8083.0 正确答案A 5、【EDR】部署EDR在管理平台之前,不需要做以下哪些准备? A:安装环境硬件资源确认 B:网络联通性确认 C:Linux确认系统版本 D:Windows确认系统版本 正确答案:D 6、【EDR】下面哪个选项不是?EDR组成部分? A:云查服务中心 B:EDR管理平台 C:Agent客户端 D:SSL VPN客户端 正确答案:D 7、SSL通过()实现同一客户的不同属性或不同部门的用户(组)? A:策略组 B:角色授权 C:登录策略 D:端点安全 正确答案:C 8.登录策略正确吗? A:不支持登录策略功能EC只支持浏览器登录 B:可以和谐登录策略功能SSL VPN多线路选择功能一起使用 C:使用登录策略不会导致VPN断开在线用户 D:以上说法都不对 正确答案:A 9.领导想登录自己的账号SSL VPN然后直接跳转到门户登录界面,不要求别人的账户,如何配置?( ) A:新建领导账户,直接将门户资源与账户联系起来 B:新建该领导账号,同时新建策略组;将新建策略组关联给该用户 C:新建领导账户,新建战略组,在战略组中修改账户控制的用户登录后跳转到门户资源;最后将用户与新战略组联系起来 D:新建领导账户,修改默认策略组中修改账户控制的用户,最后将用户与默认策略组策略组相关 正确答案C 10、关于ssl vpn的策略组, 以下哪个功能没有?( ) A:用户拨上ssl vpn后, 限制其使用vpn的带宽 B:用户拨上ssl vpn之后,限制其访问互联网 C:用户拨上ssl vpn之后,每天凌晨02:00自动断开vpn D:用户拨上ssl vpn之后,将其自动跳转到相关资源 正确答案C 11、下列关于SSL应用场景专线功能, 正确的说法是:( ) A:启用SSL专线功能后, 用户可以访问所有内网资源 B:通过SSL专线功能, 移动用户只能访问TCP资源 C:通过SSL专线功能, 移动用户和总部建立专有线路,加快访问速度 D:启用SSL专线功能后, 移动用户访问SSLVPN以后将无法访问Internet 正确答案D 12、Windows 2000(2003) Server远程桌面的服务端口默认为( ) A:389 B:3389 C:500 D:4500 正确答案B 13、[SSL] L3VPN资源不支持基于协议的应用?( ) A:ICMP B:SMTP C:POP D:PPPOE 正确答案D 13、[SSL] 关于SANG FOR SSL VPN中TCP资源, 正确的说法是正确的( ) A:只支持windows32位/64应用程序系统 B:用户端系统将自动添加指向资源的路由 C:用户可以登录ping服务器地址 D:支持BS、CS32位架构基础TCP协议的应用 正确答案D 14、[SSL] 以下哪些应用程序不能添加TCP应用类型?( ) A:远程桌面(Terminal service) B:邮件收发(SMTP、POP3) C:数据库查询(MSSQL、ORACLE) D:域名解析(DNS) 正确答案D 解释说明无 15、[SSL] 关于SANG FOR SSL VPN中TCP应用类型资源的说法是错误的( ) A:依靠客户端控件 B:支持DNS解析 C:支持用户访问新浏览器输入地址 D:支持点资源页面访问 正确答案B 16、TCP资源与L3VPN同时发布资源地址时, 以下说法是正确的( ) A:TCP资源优先 B:L3VPN资源优先 C:L3VPN路由不会产生资源 D:TCP资源将在计算机上生成路由 正确答案A 17、以下关于TCP资源以下说法是正确的( ) A:TCP只支持发布资源TCP协议 B:TCP资源可以被ping通 C:TCP电脑上的路由资源 D:TCP资源不可以与L3VPN同时使用资源 正确答案A 18、以下关于L3VPN资源以下说法是正确的( ) A:L3VPN资源不支持ICMP三种协议 B:配置L3VPN应用程序路径必须配置资源 C:想要通过SSL VPN ping必须发布通用资源地址L3VPN资源 D:L3VPN单点登录不支持资源 正确答案C 19、对于L3VPN应用, 以下说法是正确的:( ) A:发布DNS服务器时, 可以配置成L3VPN应用或者TCP应用资源 B:对于L3VPN应用支持的资源类型, TCP也支持应用 C:如果HTTP服务器的IP范围不确定, 只能配置成L3VPN应用 D:使用L3VPN应用时, PC虚拟网卡将网卡并分配虚拟网卡IP,且这个虚拟IP可以指定 正确答案D 20.登录客户端电脑VPN之后无法访问L3VPN资源,以下调查方法不合理( ) A:可以通过ipconfig/all命令查看SSL虚拟网卡是否存在 B:若ipconfig/alI发现虚拟无法获得IP可以试着用驱动卸载工具扫描电脑是否有恶意驱动 C:试着退出杀毒软件,windows防火墙再手动安装插件 D:尝试重置一键修复工具LSP试试 正确答案D 21、如下关于SSL VPN用户访问资源, 错误的是:( ) A:一个用户可以关联多个角色授权 B:如果用户没有授权相关角色,则无法访问默认资源组的资源 C:如果用户需要关联多个资源,只能创建和关联多个角色授权 D:如果角色管理中关联用户组A和资源C,添加到用户组A的用户也可以访问资源C 正确答案C 22不能添加以下应用程序TCP应用类型:( ) A:数据库查询(MSSQL、ORACLE) B:远程桌面(Terminal service) C:邮件收发(SMTP、POP 3) D:域名解析(DNS) 正确答案D 23.在以下情况下, 必须添加L3VPN应用程序访问服务器:( ) A:所有C/S架构的应用 B:使用HTTP大型网站服务器协议 C:使用即时通讯工具等UDP协议的应用 D:基于TCP的应用, 包括C/S和B/S等应用 正确答案C 24、以下关于ssl vpn资源说法, 正确的是() A:WEB内网可以发布资源MYSQL SERVER数据库应用 B:TCP可支持资源P2P应用 C:TCP可发布资源ICMP协议 D:L3VPN可直接发布资源SSH协议 正确答案D 25.客户使用深信服的产品ssl vpn, 希望实现PC所有流量vpn隧道, 以下实现方法可行()( ) A:关联新建的L3VPN资源:1.0.0.1-223.255.255.254 B:关联新建的TCP资源:0.0.0.0-255.255.255.255 C:在策略组中启用SSL专线 D:关联默认的L3VPN全网资源 正确答案A 26.公司网络管理希望SSL VPN连接进可以ping测试通内网服务器需要为他建立哪些资源:( ) A:L3VPN资源 B:TCP资源 C:远程应用资源 D:WEB资源 正确答案A 27.以下关于资源的说法是错误的( ) A:登录客户端时TCP无需安装控件 B:安卓和IOS客户支持访问TCP远程桌面的类型 C:访问WEB控件不能安装资源 D:L3VPN虚拟网卡需要安装资源 正确答案A 28.客户内网有一个DNS服务器, 现在想通过登录实现SSL VPN能ping通该DNS服务器, SSL VPN什么样的资源可以通过配置来满足需求() ①.WEB应用②.TCP应用③.L3VPN应用( ) A:①② B:②③ C:③ D:①②③ 正确答案C 29、下列关于ssl vpn对资源的说法是正确的(( ) A:ssl vpn资源不能排序 B:ssl vpn资源可以与不同的用户相关 C:ssl vpn导出资源时需要使用txt格式 D:ssssl vpn只有web可以隐藏应用资源 正确答案B 30.客户发现拨号ssl vpn后,无法访问所关联的资源,以下哪项不属于合理的排查措施 A:若关联是L3VPN资源, 在PC上route print命令查看vpn是否发布了路由 B:若关联是L3VPN资源, 查看PC上虚拟IP是否获得 C:使用s vpn tool卸载所有控件, 然后重新安装控件 D:在vpn设备上做ping测试, 如果ping不相关的服务器, 问题一定是出在vpn从设备到服务器之间的链路 正确答案D 31、[SSL] 如果要分配资源的访问权限给用户,是通过以下哪项配置实现的?( ) A:通过用户管理把用户帐号绑定指定的虚拟IP B:通过角色管理把用户和资源管理起来 C:通过准入策略设置用户允许访问资源 D:只要硬件特征码认证通过了,就能访问资源 正确答案B 32、[SSL] 下列关于SANG FOR VPN中的用户、角色、资源之间关系的描述错误的是?( ) A:一个用户可以对应多个角色 B:一个角色可以对应多个用户 C一个角色可以对应多个资源 D:一个用户可以对应多个用户组 正确答案D 33、以下客户需求中,无法实现的是:( ) A:SSL VPN用户账号进行分组管理, 不同组的用户登录SSL VPN后访问不同的资源 B:管理员分权限管理,普通管理员只能查看SSL VPN运行状态, 高级管理员拥有所有权限 C:给同一个用户关联多个策略组和多个角色 D:资源分组进行管理,不同部门的资源划分到不同的资源组 正确答案C 34、在角色A里面给用户test 1关联了①, ②资源, 然后在角色B里面给用户组group 1关联上了②,③资源, 用户test 1属于组group 1,现在用户test 1 拥有哪些资源() A:①,③ B:①,②,③ C:② D:①,② 正确答案B 35、如果要分配资源的访问权限给用户,是通过以下哪项配置实现的?( ) A:通过用户管理把用户帐号绑定指定的虚拟IP B:通过角色管理把用户和资源关联起来 C:通过准入策略设置用户允许访问资源 D:只要硬件特征码认证通过了,就能访问资源 正确答案B 36、下列关于SANG FOR VPN中的用户、角色、资源之间关系的描述错误的是( ) A:一个用户可以对应多个角色 B:一个角色可以对应多个用户 C:一个角色可以对应多个资源 D:一个用户可以对应多个用户组 正确答案D 37、下列关于ssl vpn角色授权的说法正确的是( ) A:如果关联的角色被删除,已经登录的用户马上会无法访问对应的资源 B:一个用户关联了多个角色,那么他的资源权限是叠加的 C:资源的权限报告只能生成可访问指定资源的用户列表 D:角色管理菜单里的搜索无法直接搜索到具体用户 正确答案B 38、某客户反馈SSL VPN接入后无法访问资源,排查方法欠佳的是( ) A:尝试换电脑测试,确认是否是客户端问题 B:尝试使用关联了内网所有网段资源的SSL VPN用户账号接入SSL VPN后,访问该资源 C:在控制台使用ping命令测试,SSL VPN到该资源服务器连通性 D:在终端上ping资源监测是否能通 正确答案D 39、以下关于SSL设备说法正确的是( ) A:SSL默认使用443端口登录控制台 B:SSL默认所有网口都可以作为WAN口使用 C:SSL的DMZ口默认地址10.254.253.254/24 D:SSL的LAN口子接口地址是10.111.222.33/24 正确答案C 40、如下关于SSL VPN的控件,说法正确的是:( ) A:所有用户登录SSL VPN,必须安装控件,否则访问不了任何资源 B:SSL VPN的控件可以自动安装, 也可以手动下载安装 C:如果IE安全级别较高导致控件不能自动安装,换个浏览器就可以正常登录 D:控件如果损坏,可以使用升级客户端Updater 6.0手动卸载, 重新安装 正确答案B 41、客户购置了一台SSL VPN设备以单臂模式部署在内网中, 发现用户无法通过外网接入SSL VPN,以下哪个排查是没有意义的( ) A:查看SSL用户界面的端口是否被修改过 B:查看出口路由器是否做了端口映射 C:查看出口路由器是否配置了访问控制列表,SSL VPN设备的443端口无法访问 D:使用内网其他设备尝试ping SSL VPN发布至外网的IP 正确答案D 42、某单位对业务组要求登录SSL VPN后不能访问外网,该如何配置?( ) A:新建策略组-业务组,在客户端管理中启用SSL VPN专线功能; 创建一个用户组-业务组,设置相关认证方式;将业务组策略组与业务组用户组进行关联即可 B:新建用户组-业务组;新建全网资源-业务资源;将业务资源与业务组关联即可 C:在SSL系统选项中启用内网域名解析, 填写内网DNS即可 D:新建用户组-业务组,直接将默认策略组关联给该用户组即可 正确答案A 43、[SSL] 关于SANG FOR SSL VPN中的“用户”描述中,错误的是?( ) A:本地用户归属于唯一的用户组 B:一个账户可以同时设置为私有用户与公有用户 C:公有用户可以多人同时登录 D:私有用户只能同时一个人用户登录使用 正确答案B 44、[SSL] 以下关于“公共用户”, 描述正确的是?( ) A:“公共用户”支持本地用户认证和证书认证 B:“公共用户”支持短信认证,令牌认证等辅助认证 C:“公共用户”不支持硬件特征码认证 D:“公共用户”不允许用户在线修改登录密码 正确答案D 45、以下关于SSL VPN新建用户的说法,正确的是( ) A:使用数字证书认证,名称可以留空 B:使用用户名密码认证的时候才需要填写名称 C:使用硬件特征码认证的时候才需要填写名称 D:使用外部认证和动态令牌认证的时候名称不可以留空 正确答案D 46、关于SSL VPN的用户描述, 正确的是( ) A:一个用户只能够关联一个组 B:一个用户只能够关联一个角色 C:一个用户可以关联多个虚拟IP地址 D:一个用户可以关联多个策略组 正确答案A 47、下列关于ssl vpn私有用户和公有用户说法错误的是( ) A:私有用户的认证方式可以只采用短信认证 B:公有用户只能关联一个策略组 C:公有用户的认证方式不可以采用短信认证 D:私有用户可以关联多个角色 正确答案A 48、以下关于SSL VPN公有用户和私有用户的说法,错误的是( ) A:公有用户’允许多人使用,在同一时间内同时登陆SSL VPN B:'私有用户’同一时间只允许一台PC使用 C:公有用户’可以在线修改D KEY的PIN码 D:'私有用户’可以在线修改登陆密码、D KEY的PIN码、手机号码等 正确答案C 49、下面有关私有用户和公有用户的说法错误的是( ) A:公有账号可以支持硬件特征码认证 B:私有账号可以采用本地密码认证和证书认证 C:公有账号可以启用短信认证 D:公有账号支持多个人同时使用 正确答案C 50、针对于外置数据中心,以下说法正确的是( ) A:忘记密码需要重装系统 B:使用的syslog协议 C:对接集群,在传输限制中只用添加集群IP D:安装系统时, 磁盘文件类型需要选择ext 4 正确答案B 51、关于外置数据中心,下列说法正确的是( ) A:外置数据中心可以使用Redhat系统安装 B:外置数据中心登录端口默认是443 C:外置数据中心使用UDP 514端口通信 D:外置数据中心日志默认保存180天 正确答案D 52、[SSL] SANG FOR SSL VPN与微软AD域对接实现用户认证,以下相关说法正确的是?( ) A:SSL VPN设备端不需要进行任何配置即可进行对接认证 B:需要将AD域用户同步到SSL VPN设备才能用于用户认证 C:同步用户信息包含用户组织结构、用户名、用户密码等信息 D:用户登录时账户校验是在AD域上进行 正确答案D 53、[SSL] 关于“本地认证”和“外部认证”的说法中, 正确的是?( ) A:本地认证是指在客户端本地进行认证 B:外部认证是指用户认证发送到外部进行验证 C:外部认证是指客户端主动与外部认证系统进行交互认证的一种方式 D:本地认证的用户账户密码也是保存在外部服务器 正确答案B 54、[SSL] 关于硬件特征码的描述中, 错误的是?( ) A:一个终端设备只有一个硬件特征码 B:多个用户可以对应一个硬件特征码 C:一个用户可以对应多个硬件特征码 D:硬件特征码根据时间变化会自动改变 正确答案D 55、[SSL] 关于SANG FOR SSL VPN用户认证, 都为主认证方式的是?( ) A:用户名密码、短信认证 B:数字证书、硬件特征码 C:LDAP认证、令牌认证 D:用户名密码、数字证书 正确答案D 56、关于SSL VPN对接LDAP认证服务器做认证说法正确的是( ) A:结合LDAP做认证, 导入用户到本地, 域用户的密码也会导入到本地 B:结合LDAP做认证, 导入用户到本地, 可以修改域控管理员的密码 C:结合LDAP做认证, 导入用户到本地, 在设备上面删除用户域控会自动同步删除 D:结合LDAP做认证, 导入用户到本地, 域控删除账号设备也会自同步删除 正确答案D 57、以下关于匿名登录说法不正确的是( ) A:开启匿名登录用户管理会自动生成一个匿名用户组 B:给匿名用户关联策略组和角色授权需要关联给匿名用户组 C:匿名用户登录后用户名显示为Anonymous D:匿名登录功能启用后默认就是所有用户都无需认证, 输入vpn地址就直接登录了 正确答案D 58、关于本地密码认证以下说法不正确的是( ) A:公有用户可以自行修改密码 B:私有用户可以自行修改密码 C:密码可以设置过期策略,过期时强制修改密码 D:用户设置密码时可以指定密码强度,不符合密码策略则强制修改密码 正确答案A 59、双11后,客户领了很多阿里云的优惠券于是想把短信认证迁移到阿里云上使用阿里云短信认证,于是需要你协助实施,你不需要获取哪些信息?( ) A:短信内容 B:短信模板CODE C:短信签名 D:Accesskey ID&AccessKey Secret 正确答案A 60、以下关于数字证书认证的说法,错误的是:( ) A:SSL设备自带CA中心, 可以直接生成数字证书进行认证 B:同个用户无法同时使用证书认证和D key认证 C:要想使用数字证书认证, 必须要使用D KEY D:设备生成用户证书时,需要设置证书的过期时间 正确答案C 61、以下关于SSL VPN用户认证的说法, 错误的是:( ) A:同个用户可以关联多个硬件特征码 B:同个用户可以同时启用多种辅助认证 C:用户的认证方式可以只使用’硬件特征码’认证 D:私有用户’和’公共用户’都可以设置用户的过期时间 正确答案C 62、针对SSL VPN启用数字证书认证的说法, 错误的是:( ) A:证书认证不可以单独使用 B:只有私有用户才能使用数字证书认证 C:证书认证和LDAP认证可以同时使用 D:使用客户端和浏览器登录时都支持证书认证 正确答案A 63、关于硬件特征码认证功能,描述正确的是:( ) A:一个用户只能关联一个硬件特征码 B:硬件特征码不支持自动审批 C:硬件特征码可以设置过期时间 D:同一台PC用不同的SSL账号登录, 提交的硬件特征码是一样的 正确答案D 64、客户现在要在手机上面使用easy connect客户端登录ssl vpn, 手机不支持以下哪种认证方式( ) A:动态令牌 B:证书认证 C:dkey认证 D:硬件特征码认证 正确答案C 65、客户通过SSL VPN发布财务部门的ERP系统, 针对财务部门的要求是必须是固定的电脑接入而且必须是在自己的电脑上登录;其他非财务部门的人可以使用其他电脑登录,考虑到安全性,希望通过其他安全机制来保证安全性,针对该需求如何实现说法正确的是( ) A:财务部门采用用户名密码认证和硬件特征码认证,其他非财务部门采用用户名密码和短信认证 B:财务部门采用硬件特征码认证,其他非财务部门采用用户名密码和短信认证 C:财务部门采用用户名密码认证和短信认证,其他非财务采用用户名密码和证书认证 D:财务部门采用用户名密码和证书认证,其他非财务采用用户名密码和证书认证 正确答案A 66、下列关于ssl vpn硬件特征码、终端设备和用户之间的关系说法错误的是( ) A:一个终端设备只有一个硬件特征码 B:多个用户可以对应一个硬件特征码 C:一个用户可以对应多个硬件特征码 D:硬件特征码必须经过管理员手工审批 正确答案D 67、以下关于LDAP认证以下说法正确的是( ) A:LDAP用户必须导入本地 B:LDAP用户导入时会将用户名密码同时导入本地 C:LDAP用户可以不用导入本地通过组映射、角色映射依然可以给用户授权资源 D:安全组支持导入本地 正确答案C 68、如下SSL VPN的认证方式, 必须是私有用户才能使用的是( ) A:硬件特征码 B:动态令牌 C:短信认证 D:外部服务器认证 正确答案C 69、配置LDAP组映射和角色映射, 以下说法正确的是( ) A:组映射只能手动配置不能自动生成 B:角色映射只能手动配置不能自动生成 C:手动添加组映射时,外部OU填写OU=sang for test, DC=lei jia, DC=sang for, DC=com, 不做其他配置, 则OU=sang for test下的OU=test 1也可以匹配此映射规则 D:如果用户导入本地则角色映射失效 正确答案D 70、配置openldap作为服务器进行ldap认证, 以下配置正确的是( ) A:服务器类型配置MS Active Directory B:服务器类型配置LDAP Server C:用户过滤字段默认是object Category=person D:服务器类型配置MS Active Directory VPN 正确答案B 71、以下说法错误的是( ) A:SSL VPN支持Windows、Linux、MacOS系统, 也支持IE、Firefox、Chrome、Oper Safar浏览器 B:公有账号可以给多人同时使用,并支持DKEY认证 C:TCP应用是Proxy IE控件抓包, 通过在Client安装Proxy IE控件, 由控件抓取访问服务器的数据并对数据进行封装, 将普通的TCP连接转换成SSL协议数据实现的 D:DKEY刷成了无驱D KEY,不能再刷成有驱DKEY 正确答案B 72、以下哪种认证方式组合是不可行的( ) A:本地用户名密码认证和短信认证 B:Radius认证和硬件特征码认证 C:证书认证和硬件特征码认证 D:短信认证和令牌环认证 正确答案D 73、SSL VPN设备与LDAP结合认证不生效, 以下排查思路不正确的是( ) A:检查设备和LDAP之间的网络连通性, 是否有相应到达的路由 B:确认配置在设备上的LDAP服务器地址、端口、用户名、密码的正确性 C:检查服务器类型,用户属性字段(sAM Account Name或者uid等) 、用户过滤条件是否正确 D:检查SSL VPN是否开启了SSL专线或DOS功能 正确答案D 74、客户希望实现SSL VPN结合外部认证, 请问SSL VPN可以支持哪些外部认证?( ) A:POP 3、LDAP、Radius B:LDAP、H3C CAMS C:LDAP、Radius D:Radius、POP3 正确答案C 75、[SSL 7.1] , 某公司想要实现数字证书认证, 该如何操作?( ) A:创建公有用户组,勾选数字证书认证;在认证设置的数字证书认证中启用证书认证(内 置CA或者外置CA)·下载驱动及导入控件;在用户组中创建用户,生成数字证书 B:创建私有用户组,勾选数字证书认证;在认证设置的数字证书认证中启用证书认证(内 置CA或者外置CA),下载驱动及导入控件;在用户组中创建用户,生成数字证书 C:创建公有用户组,勾选数字证书认证;在用户组中创建用户;在认证设置的证书设置中下载安装驱动即可 D:创建私有用户组,勾选数字证书认证;在用户组中创建用户;在认证设置的证书设置中下载安装驱动即可 76、下列关于radius认证说法错误的是 ( ) A:raid us认证支持的扩展属性有绑定的手机号码、虚拟机ip地址i以及子网掩码id B:raid us认证支持的字符集有UTF-8和GBK C:radius认证协议支持PAP和CHAP D:radius认证的用户可以导入到本地 正确答案D 77、SSL VPN单臂部署的说法正确的是( ) A:单臂部署会自动生成默认路由 B:单臂部署资源的访问形式只能够是’使用设备的IP地址作为源地址 C:单臂部署LAN口支持链路聚合 D:单臂部署DMZ口不可用 正确答案A 78、SSL VPN单臂部署的说法正确的是( ) A:单臂部署不支持配置静态路由 B:单臂部署不支持防火墙过滤规则 C:单臂部署不支持防DOS攻击功能 D:单臂部署不支持配置WAN口地址 正确答案D 79、SSL VPN设备网关模式部署的说法错误的是( ) A:网关模式部署内网口可以配置多个IP B:网关模式部署支持dhcp功能 C:网关模式部署可以替换客户之前的路由器或者是防火墙 D:网关模式部署直连互联网WAN口不可以配置多个IP地址 正确答案D 80、下列关于SANG FOR SSL VPN部署模式说法错误 的是 ( ) A:网关模式部署, 必须在VPN设备上配置端口映射, 否则公网用户通过ssl vpn接入无法访问内网服务器。 B:网关模式部署, VPN设备也可不直接放置在公网上, 由前置防火墙做端口映射到VPN设备 C:单臂模式部署, VPN设备也可直接放置在公网上, 给lan口配置公网地址。 D:单臂模式部署, 若前置防火墙是ADSL拨号(无固定公网IP),公网用户可利用web agent接入ssl vpn 正确答案A 81、关于SSL设备部署以下说法正确的是( ) A:SSL网关部署必须直接接公网 B:SSL单臂部署LAN口支持ADSL拨号 C:SSL单臂部署LAN口支持DHCP自动获取IP D:SSL设备网关部署也可以部署在内网, 由前面出口设备做映射 正确答案D 82、下列关于SSL设备网关模式的说法, 错误的是( ) A:网关模式部署的SSL设备与普通的防火墙相当, 具备基本的路由转发和NAT功能 B:网关模式部署的SSL设备, 必须部署在公网出口,且分配一个公网IP地址给设备 C:网关模式部署的SSL设备, 支持DHCP功能,可以给内网电脑分配IP地址 D:网关模式部署对内网网络改动比较大,可以用于替换原有的出口路由器 正确答案B 83、以下关于SSL设备功能说法正确的是( ) A:SSL默认只有一条线路授权, 只有一个WAN口可用 B:SSL默认所有网口都可以作为WAN口使用 C:SSL的DMZ口默认地址10.254.253.254/30 D:SSL的LAN口子接口地址是10.111.222.33/24 正确答案A 84、关于SSL设备部署以下说法正确的是( ) A:SSL网关部署必须直接接公网 B:SSL单臂部署LAN口支持ADSL拨号 C:SSL单臂部署LAN口支持DHCP自动获取IP D:SSL设备网关部署也可以部署在内网, 由前面出口设备做映射 正确答案D 85、SSL VPN单臂模式部署, 服务端口保持默认, 用户使用Easy Connect接入使用, 前置网关设备必须映射的端口是( ) A:80.0 B:443.0 C:4430.0 D:4009.0 正确答案B 86、现有一台SSL VPN设备以路由模式部署在互联网出口当网关使用,内网与之直连的是三层交换机, 且客户内网至少有2个网段要通过SSL VPN实现正常的上网需求,以下哪个不是必要的配置( ) A:配置默认网关 B:配置代理上网 C:配置端口映射 D:配置回包路由 正确答案C 87、下列关于vpn设备网络配置说法正确的是( ) A:单臂模式部署,DMZ口无法做内网口使用 B:单臂模式部署, 设备lan口上一定是配置私网IP C:网关模式部署, 设备wan口上一定是配置公网IP D:网关模式部署, 设备wan口支持配置静态IP或动态获取IP两种模式’ 正确答案D 88、SSL协议不提供哪种安全特性?( ) A:机密性 B:可靠性 C:完整性 D:可用性 正确答案D 89、[SSL] 关于SANG FOR SSL VPN设备中路由的说法中,正确的是?( ) A:单臂模式部署,缺省路由自动指向网口配置的网关,不需要手动配置 B:网关模式, LAN口内网三层多网段环境, 不需要手动配置内网路由 C:网关模式,需要手动添加缺省路由指向外网网关 D:单臂模式,需要添加内网网段路由指向网关 正确答案A 90、关于SSL/TLS协议通道的特性描述中,是?( ) A:机密性 B:可靠性 C:完整性 D:快速性 正确答案D 91、[SSL] 关于外网多线路, SANG FOR SSL VPN自动选路功能中,说法正确的是?( ) A:用户访问https://IP或域名,会执行自动选路过程 B:用户必须通过HTTP服务端口访问才会进行自动选路 C:不需要每条外网线路都映射HTTP、HTTPS服务端口到SSL VPN D:自动选路功能需要设备网关部署才支持 正确答案B 92、[SSL] SANG FOR SSL VPN部署在单位出口, 代理内网用户上网,外网单线路,关于部署配置的说法中正确的是?( ) A:配置网关模式、配置代理上网SNAT B:配置单臂模式、配置代理上网SNAT C:配置网关模式、多线路策略、配置代理上网SNAT D:配置单臂模式、多线路策略、配置代理上网SNAT 正确答案A 93、[SSL] 关于SANG FOR SSL VPN中角色的作用说法正确的是?( ) A:将资源与用户关联起来 B:将用户与用户组关联起来 C:将资源与资源组关联起来 D:将资源与访问权限关联起来 正确答案A 94、SSL/TLS协议的标准端口是?( ) A:TCP 80 B:TCP 443 C:UDP 443 D:UDP 53 正确答案B 95、[AF] 通过AF对用户WEB网站进行WEB扫描时, 需要注意的事项描述,哪项不正确( ) A:因为扫描有一定的风险,所以扫描前需要与用户沟通,并征得用户同意后才可以操作 B:扫描的网站不能扫描非用户可控的对象,以免扫描到其他业务引起不必要的麻烦 C:WEB扫描前, 需要开启AF自身的WAF防护策略并开启拦截动作,以免扫描的数据不准确 D:在生产环境进行WEB扫描, 需要提前对网站数据和源码进行备份 正确答案C 96、[AF]安全运营中心可对当前设备的一些安全风险进行统一汇总后展示,而下列哪项事件不会被展示到安全运营中心( ) A:设备开了直通功能 B:规则库序列号过期 C:IP地址加入了白名单 D:发现了失陷主机 正确答案C 97、[AF]下列哪项不属于热点事件预警与处置功能带来的价值点( ) A:推送当前的热点事件到设备,让用户感知当前的外部威胁 B:主动扫描用户关注的业务段,是否存在相应的风险 C:一键生成安全防护策略,帮忙用户实现快速防护 D:被动分析相关流量,确认内网是否已被入侵 正确答案D 98、[AF]下列哪项功能,在数据经过AF的前提下,实时漏洞分析功能无法实现的( ) A:客户内网WEB网站被植入黑链,且被触发访问 B:客户不确认网站是否还有漏洞,通过实时漏 洞分析功能主动扫描确认 C:客户网站有弱密码,且使用弱密码进行登录 D:客户网站被植入webshell, 且被触发访问 正确答案B 99、[AF] AF的WEB应用识别防护规则库自动更新失败,以下不可能的是?( ) A:设备被前置设备禁止上网,无法访问外部网站 B:在代理服务器环境下,设备不支持配置代理,导致无法访问外网 C:设备的DNS服务器配置错误,无法正常解析外部域名 D:WEB应用识别防护规则库已过期 正确答案B 100、[AF]下列哪项需求不能通过AF风险分析来实现?( ) A:不必要的端口开放 B:服务器自身系统漏洞(针对服务器操作系统) C:操作系统自身登录的弱密码 D:服务器自身软件存在漏洞 正确答案C 101、[AF]客户开启了AF的实时漏洞分析功能,但是过了很长一段时间都没有任何记录生成,对此现象下列分析不正确的是?( ) A:实时漏洞分析策略关联的目标服务器流量没有经过设备 B:实时漏洞分析只支持TCP 80端口的HTTP数据包识别和分析,非80端口识别不到 C:实时漏洞分析规则库没有更新,识别不了服务器的最新漏洞 D:客户将所监控的服务器地址添加到实时漏洞分析的排除列表 正确答案B 102、关于防篡改功能说法正确的是:( ) A:防篡改客户端安装完之后就会生效 B:防篡改客户端可以拦截所有的webshell文件篡改行为 C:linux系统中, 在防篡改功能开启前已经建立的会话或者连接,防篡改功能不会生效 D:Agent自身的bypass机制, 当服务器内存系统资源超过70%时,功能不会生效 正确答案C 103、下列关于AF8017版本联动封锁说法不正确的是:( ) A:策略触发的联动封锁是针对数据包的源ip进行封锁 B:联动封锁的添加封锁攻击者ip或者添加到永久封堵是针对源ip进行阻断,与之前老版本的机制一样 C:在联动封锁列表中的主机可访问AF控制台,无法访问数据中心 D:联动封锁防火墙容量为20000条 正确答案A 104、不属于信息泄露的原因有: ( ) A:web服务器配置存在问题 B:web服务器本身存在漏洞 C:web网站内容存在问题 D:人员问题 正确答案C 105、不属于常见的信息泄漏的有:( ) A:应用错误信息泄露 B:备份文件信息泄露 C:web服务器缺省页面信息泄露 D:IP地址泄露 正确答案D 106、关于SQL注入攻击数据说法正确的是:( ) A:Get的特点,提交的内容经过URI编码直接在url栏中显示 B:Post的特点, 提交的内容经过URI编码直接在url栏中显示 C:Post的特点, 提交的内容会直接显示在url部分, 会在post包的data字段中 D:Post的特点, 提交的内容不会直接显示在url部分, 会在post包的http头部信息中 正确答案A 107、不属于WAF常见攻击手段的有:( ) A:SQL注入 B:网站扫描 C:WEBSHELL D:勒索病毒 正确答案D 108、不属于OWASP TOP 10的攻击有:( ) A:跨站脚本 B:敏感信息泄漏 C:使用未知漏洞的组件 D:SYN洪水攻击 正确答案D 109、对于漏洞攻击防护拦截业务,使用下列哪种方法放通业务(不能影响到策略正常运行)是正确的:( ) A:直接绕开设备 B:删除漏洞攻击防护策略 C:将源目的ip加入全局排除 D:将拦截业务的规则id动作改成允许 正确答案D 110、保护客户端软件不包含哪些类型:( ) A:后门 B:木马 C:恶意代码 D:对应用软件的攻击 正确答案D 111、属于保护服务器和客户端的规则识别的类型有:( ) A:web activex控件漏洞 B:蠕虫软件 C:web浏览器 D:文件格式 正确答案B 112、IDS与漏洞攻击防护的区别描述不正确的是:( ) A:IDS是被动检测, 漏洞攻击防护是主动检测 B:IDS部署方式只能是旁路部署, 漏洞攻击防护部署方式包含:路由、透明、旁路 C:漏洞攻击防护的安全响应速度是滞后性的 D:漏洞攻击防护的安全响应速度是实时性的 正确答案C 113、下列哪些功能是对外部攻击只检测不拦截的:( ) A:入侵检测系统 B:web应用防护 C:DOS防护 D:应用控制 正确答案A 114、不属于DOS攻击类型的有:( ) A:ICMP洪水攻击 B:DNS洪水攻击 C:口令暴力破解 D:畸形数据包攻击 正确答案C 115、下列选项在服务器安全检测和防御技术中,无法解决服务器安全风险的功能是( ) A:漏洞攻击防护 B:web扫描 C:风险分析 D:网站篡改 正确答案B 116、下列选项在服务器安全检测和防御技术中,对于服务器安全风险说法不正确的是:( ) A:不必要的访问 B:漏洞攻击 C:扫描网站开放的端口以及弱密码 D:僵尸主机 正确答案D 117、主机中勒索病毒后,现象描述不正确的是?( ) A:服务器文件被加密, 例如加密成.java后缀或者其他奇怪的后缀名称 B:主机所有的文件被加密 C:内网主机成片出现蓝屏现象,蓝屏的代码提示srv.sys驱动出现问题 D:在主机桌面提示需要支付比特币赎金到某个账户,如果不支付将导致文件永远不可用 正确答案B 118、关于AF8017版本僵尸网络防护排除方式哪种不恰当?( ) A:发现某个终端的流量被AF僵尸网络规则误判,可以在僵尸网络功能模块下的排除指定IP B:发现某个规则引起的误判拦截所有内网终端流量,可以在【安全防护对象】-【僵尸网络 规则库】找到指定规则禁用 C:直接在内置数据中心中,查询僵尸网络日志后使用“添加例外”排除 D:在【黑白名单】中排除指定IP 正确答案D 119、客户中勒索病毒,文件被加密后向我们寻求建议,以下不正确的建议是?( ) A:合理做好分区分域隔离, 没有smb相关服务的可以直接通过网络设备阻断445等端口 B:通过nsa检测工具所内网主机进行全盘检查发现问题及时用EDR进行查杀, 杀出病毒到 微步等网站进行验证 C:可以由深信服安全服务团队对客户加密的文件进行数据恢复 D:不要对外直接开放3389端口,避免弱口令,通过vpn等方式登录 正确答案C 120、对勒索病毒的紧急预防措施做法不正确的是?( ) A:避免弱口令 B:做好应用服务控制 C:及时打补丁,修复漏洞 D:使用解密软件就能对中毒主机进行解密 正确答案D 121、PC或者服务器防护感染勒索病毒做法不正确的是?( ) A:PC或者服务器尽量不要开放3389端口 B:定期漏扫,并及时修复系统漏洞 C:PC或者服务器使用杀毒软件定时进行扫描 D:只对重要的数据文件定期进行非本地备份,就能防护勒索病毒 正确答案D 122、以AF8017版本为例,杀毒功能说法不正确的是?( ) A:支持对OFFICE文档宏病毒的查杀 B:支持对邮件正文中的恶意域名、URL进行检测 C:支持对检测文件大小设置,默认支持2M文件检测,最大支持30M D:支持文档类、脚本类的非PE文件检查、杀毒功能 正确答案C 123、关于AF8017版本恶意域名重定向的工作原理及部署在哪些场景?( ) A:旁路镜像模式 B:当前为DNS代理服务器部署场景 C:AF路由部署 D:AF透明部署 正确答案B 124、关于AF8017版本杀毒通知推送说法正确的是?( ) A:重定向的页面支持https B:重定向页面支持http协议 C:重定向页面支持NAT场景推送 D:重定向页面支持smtp协议 正确答案B 125、计算机病毒工作步骤是以下哪种?( ) A:潜伏阶段-传染阶段-触发阶段-发作阶段 B:传染阶段-潜伏阶段-触发阶段-发作阶段 C:传染阶段-触发阶段-潜伏阶段-发作阶段 D:潜伏阶段-触发阶段-传染阶段-发作阶段 正确答案A 126、以下哪个不是计算机病毒的特征?( ) A:隐藏性 B:破坏性 C:繁殖性 D:可预见性 正确答案D 127、关于AF8017版本下列哪个不是僵尸网络的危害?( ) A:高级持续威胁 B:本地渗透扩散 C:敏感信息窃取 D:加密主机文件 正确答案D 128、拒绝服务攻击破坏了下列哪项内容? A:服务的可用性 B:信息的完整性 C:信息的保密性 D:信息的抗抵赖性 正确答案A 129、关于AF8017版本的哪种安全防护策略可以实现针对第一个数据包的拦截( ) A:基于应用的应用控制策略 B:基于服务的应用控制策略 C:内容安全策略 D:WEB应用防护策略 正确答案B 130、[AC]下列选项中哪个行为不是互联网中存在的潜在风险( ) A:反动论坛 B:色情网站 C:发表学术论文 D:企业内网QQ外发内部文档 正确答案C 131、[AC]用户身份鉴别主要是通过( ) A:身份认证 B:权限控制 C:查询功能 D:审计策略 正确答案A 132、[AC]关于恢复设备出厂设置,以下说法不正确的是?( ) A:可以通过console口恢复出厂设置 B:可以通过U盘恢复出厂设置 C:可以通过设备控制台恢复出厂设置 D:可以通过交叉线恢复出厂设置 正确答案A 133、[AC]关于服务和端口的对应关系,不正确的是?( ) A:设备控制台的服务端口为443 B:SANG FOR Firmware Updater连接设备的51111端口 C:设备HTTP密码认证服务端口为80 D:设备同步日志到外置数据中心的服务端口为81 正确答案D 134、在NAT环境下通过什么技术可以解决多VPN连接的问题?( ) A:NAPT B:NAT-T C:GRE D:TRUNK 正确答案B 135、在NAT环境下建立IPSEC VPN需要使用以下哪种模式?( ) A:AH传输模式 B:AH隧道模式 C:ESP传输模式 D:ESP隧道模式 正确答案D 136、IPSEC是一套协议集, 它不包括下列哪个协议?( ) A:AH B:ESP C:SSL D:IKE 正确答案C 137、下面哪个说法是正确的?( ) A:AH在传输模式中验证整个IP数据包,在隧道模式中验证整个IP数据包 B:AH在传输模式中验证整个IP数据包,在隧道模式中验证新IP头外数据包 C:AH在传输模式中验证IP头后的数据包,在隧道模式中验证整个IP数据包 D:AH在传输模式中验证IP头后的数据包,在隧道模式中验证新IP头外数据包 正确答案A 138、ESP使用下面哪个协议号?( ) A:50 B:51 C:52 D:53 正确答案A 139、AH使用下面哪个协议号?( ) A:50 B:51 C:52 D:53 正确答案B 140、下面哪些方式是属于三层VPN的?( ) A:L2TP B:MPLS C:IPSEC D:PPTP 正确答案C 141、IPsec VPN中用于密钥管理的协议是?( ) A:AH B:ESP C:DOI D:IKE 正确答案D 142、关于SANG FOR VPN相关术语“总部”的描述中,如下说法正确的是?( ) A:与用户单位的职能分类匹配 B:总部是提供内网服务给分支访问,但是总部不能访问分支内网的服务 C:提供SAG N FOR VPN接入服务, 需要配置Web Agent、用户账号等信息 D:一个设备不能既做总部又做分支 正确答案C 143、SANG FOR VPN建立的三个过程概括为?( ) A:寻址-认证-策略 B:寻址-认证-授权 C:认证-寻址-策略 D:认证-寻址-授权 正确答案A 144、关于SANG FOR PDL AN的说法错误的是?( ) A:PDLAN是SANG FOR VPN的Windows客户端 B:PDLAN接入, 总部必须配置虚拟IP池 C:总部新建账号时“类型”必须设置为“移动” D:PDL AN接入后还需要配置隧道路由才能访问总部内网网段 正确答案D 145、两个分支机构内网网段都是192.168.1.0/24,关于建立SANG FOR VPN的说法中正确的是?( ) A:这两个分支机构之间也可以建立SANG FORVPN实现内网互联互通 B:这两个分支机构都可以与总部建立SANG FOR VPN, 但总部至少为一个分支配置隧道内NAT C:这两个分支机构都可以与总部建立SANG FOR VPN, 但总部至少为一个分支配置隧道间路由 D:这两个分支机构之间不能建立SANG FORVPN, 也不能以分支角色同时接入总部 正确答案B 146、关于Web Agent原理的说法中, 正确的是?( ) A:固定公网IP环境, 需要使用Web Agent才能建立SANG FOR VPN B:Web Agent用于非固定公网IP环境, 常见拨号上网获取公网IP的场景,用于动态寻址 C:Web Agent可以解决无公网IP的网络环境下建立SANG FOR VPN D:Web Agent寻址过程消息交互是明文传输的 正确答案B 147、建立SANG FOR VPN条件中, 如下哪个不是必须的?( ) A:至少一端作为总部,且有足够的相应要求授权 B:至少一端在公网上可以被访问到 C:建立VPN的两端的内网网段不能冲突 D:建立VPN的两端产品型号一致 正确答案D 148、标准IPSEC VPN建立过程中, 正常情况下第一阶段主模式协商双方交互多少次消息?( ) A:6 B:5 C:4 D:3 正确答案A 149、SANGFOR VPN工作在TCP/IP协议哪一层?( ) A:网络接口层 B:网络层 C:传输层 D:应用层 正确答案C 150、标准IPSEC VPN工作在TCP/IP协议哪一层?( ) A:网络接口层 B:网络层 C:传输层 D:应用层 正确答案B 151、安全套接层协议是?( ) A:SET B:S-HTTP C:HTTP D:SSL 正确答案D 152、在公开密钥体制中,加密密钥即?( ) A:解密密钥 B:私密密钥 C:公开密钥 D:私有密钥 正确答案C 153、数字证书采用公钥体制时,每个用户设定一把公钥,由本人公开,用其进行?( ) A:加密和验证签名 B:解密和签名 C:加密 D:解密 正确答案A 154、数字签名为保证其不可更改性,双发约定使用?( ) A:HASH算法 B:RSA算法 C:DES算法 D:ACR算法 正确答案A 155、数字签名技术是公开密钥算法的一个典型应用,在发送端,采用()对要发的信息进行数字签名;在接受端,采用()进行签名验证?( ) A:发送者的公钥;发送者的私钥 B:发送者的私钥;接收者的私钥 C:发送者的私钥;发送者的公钥 D:发送者的公钥;接收者的私钥 正确答案C 156、为了避免冒名发送数据或发送后不承认的情况出现,可以采用的办法是?( ) A:数字水印 B:数字签名 C:访问控制 D:发电子邮件确认 正确答案B 157、可以认为数据的加密和解密是对数据进行的某种变换,加密和解密的过程都是在()的控制下进行的?( ) A:明文 B:密文 C:信息 D:密钥 正确答案D 158、下列哪项不是数字签名的主要功能?( ) A:防抵赖 B:完整性检验 C:身份认证 D:数据加密 正确答案D 159、在网络安全中,中断攻击者破坏网络系统的资源,使之变成无效的或无用的,这是对()的攻击?( ) A:可用性 B:保密性 C:完整性 D:可控性 正确答案A 160、信息不泄露给非授权的用户、实体或过程,指的是信息()特性?( ) A:保密性 B:完整性 C:可用性 D:可控性 正确答案A 161、对企业网络最大的威胁是?( ) A:黑客攻击 B:外国政府 C:竞争对手 D:内部员工的恶意攻击 正确答案D 162、以下()不是保证网络安全的要素?( ) A:信息的保密性 B:发送信息的不可否认性 C:数据交换的完整性 D:数据存储的唯一性 正确答案D 163、关于AF8017版本的僵尸网络中不包含哪些功能( ) A:木马远控 B:ql注入 C:异常流量 正确答案 B 164、关于AF8017版本安全防护功能说法错误的是( ) A:NGAF的应用控制策略默认是全部拒绝的,需要手动新建规则进行放通 B:WEB过滤中的文件类型过滤支持针对FTP上传、下载的文件类型进行过滤 C:配置IPS保护客户端和服务器时,源区域为数据连接发起的区域 D:IPS保护客户端与保护服务器的漏洞规则是不同的 正确答案 B 165、[AC]下列选项中哪个不是上网行为管理的三要素之一( ) A:用户 B:流量 C:数据 D:行为 正确答案 C 166、[AC]下列选项中关于上网行为管理三要素和内容 (选项格式:要素-内容)对应关系错误的是() (1.0分) A. 用户-移动终端 B. 流量-看视频流量 C. 行为-玩王者荣耀 D. 用户-邮箱账号 正确答案D 167、[AC]为了实现上网行为可视可控,下列选项中说 法错误的是( ) A. 识别用户身份是行为管理的前置条件 B. 应用控制的前提是精细化管控 C. 应用管控的前提是应用识别 D. 防翻墙属于应用管控 正确答案B 168、[AC]关于上网行为可视可控的行为审计,下列选 项中说法正确的是( ) A. 应用控制行为不需要审计,只需要阻断 B. QQ聊天记录不能审计 C. 行为审计能审计具体访问网页内容,但是不 知道对应的用户 D. 行为审计是记录用户上网轨迹 正确答案D 169、[AC]关于流量管理功能说法正确的是( ) A. 流控可以基于用户进行流控 B. 流控就是对上网流量进行限制 C. 流控就是对上网流量进行资源进行额定分配 D. 流控就是对非法应用进行黑白名单控制,从 而达到限速的需求 正确答案A 170、[AC]关于应用选路能力,选项中说法错误的是 A. 应用选路的前提是应用识别能力和多条线路 B. 应用选路是精准的识别出应用,进而对应用 进行引流 C. 可以配合负载均衡设备实现应用选路 D. DNS代理使用场景是AC设备做内网DNS 正确答案D 171、[AC]办公网上网场景,场景描述正确的是( ) A. 通常有上网行为审计需求 B. 通常必须启用防共享功能 C. 通常需要对接无线控制器 D. 通常需要VPN组网 正确答案A 172、[AC]场景维度和对应方案关系错误的是( ) A. 一体化网关场景一AC对接无线控制器 B. 互联网上网场景–设备可以网桥模式部署 C. 无线Wi-Fi管控营销场景–有行为审计需求 D. 办公网出口上网与审计场景–有识别用户 身份需求 正确答案A 173、[AC]客户路由模式部署AC设备,做了 一条tcp80 的端口映射给内网的网站服务器,结果发现外网 访问不到此网站,以下排查思路错误的是?( ) A. 通过外网测试PC访问此网站,抓包看PC的请求数据有没有到达AC设备的WAN 口 B. 确认网站的80端口是否已在运营商备案 C. 检查网站服务器的系统防火墙是否有拦截规 D. 检查网站服务器是否配置了DNS 正确答案D 174、[AC]请问以下关于旁路模式的说法错误的是? A. 旁路模式需要客户交换机配置镜像接口,将 需要监控的流量镜像过来 B. 管理口和镜像口可以使用同一个物理接口 C. 旁路模式可以对用户的上网行为进行审计 D. 旁路模式下对用户的应用进行拦截,如果该 应用使用TCP协议可以通过发送RST包进行拦截,如果使用UDP协议,则无法进行拦 截,原因是UDP协议是无连接的 正确答案B 175、[AC]关于AC旁路模式,下面描述哪一项不正确? A. 旁路模式主要用于实现审计功能,完全不需 要改变用户的网络环境 B. 不支持NAT、VPN、DHCP等功能 C. 不支持流量控制功能 D. 对基于TCP协议的应用无法控制 正确答案 D 176、[AC]设备单网桥部署在网络岀口路由器和核心交换机之间,现在发现设备中的规则库无法更新, 下列排查方法错误的是?( ) A. 可能是设备的规则库序列号已过期,需要检查系统管理“系统配置”系统更新规则库升级中的规则服务有效期是否有效 B. 可能是设备无法上网,可以在系统管理-系统诊断-命令控制台上ping公网地址测试设备是否可以上网 C. 可能是前置防火墙或路由器上对AC的地址做了限制,需要去前置设备上检查策略配置,并放通AC访问公网的权限 D. 可能是设备无法上网,可以在AC的"系统管理防火墙"-“NAT代理上网"中检查有没有配 置NAT代理上网 正确答案 D 177、[AC]AC路由模式部署,LAN口接内网电脑,DMZ 口接内网服务器,现测试内网电脑无法访问内网服务器,开直通后可以正常访问,并从拒绝列表判断是由于防火墙原因导致无法访问。请问防火墙过滤规则该如何配置?( ) A. 双向放通LAN-DMZ所有协议的过滤规则 B. 放通LAN-LAN所有协议的过滤规则 C. 放通DMZ-DMZ所有协议的迂滤规则 D. 放通LAN-LAN, DMZ-DMZ所有协议的过滤 规则 正确答案 A 178、[AC]在客户处实施AC单网桥上架,AC内网口接内网三层交换机,AC外网口接外网防火墙,现上架后发现内网上网正常,但是内网PC登录不了AC控制台,以下排查不合理的是? A. PC直连AC的DMZ口尝试登录控制台 B. AC可能没有配置到内网的回包路由,检查路 由配置 C. 外网防火墙对AC做了过滤策略禁止AC上网 D. AC部署在Trunk环境中,但是在AC上没有启用vlan配置 正确答案 C 179、[AC]下列选项中不是恢复设备默认密码的方法是( ) A. 交叉线短接电口 B. U盘恢复密码 C. 升级客户端刷升级包恢复密码 D. 恢复出厂配置 正确答案 C 180、[AC]数据包如果经过二层交换机转发后,那这个数据包的源MAC会变化吗? 如果经过 三层交换机理由转发,源MAC会变化吗? ( ) A. 会,会 B. 会,不会 C. 不会,会 D. 不会,不会 正确答案C 181、[AC]客户内网有个网站服务器,注册了一个域名 www.test.com,下列说法错误的是( ) A. 当内网需要通过域名访问服务器的时候只能 通过勾选“发布服务器"功能实现 B. 勾选了"发布服务器"之后,外网通过AC访问 服务器的数据,源IP肯定会转换为AC的IP C. 勾选了"发布服务器”之后,内网通过AC访问 服务器的数据,源IP肯定会转换为AC的IP D. 如果服务器需要记录所有用户源IP,不能勾 选"发布服务器”,内网用户访问网站可以部 署内网DNS服务器。 正确答案A 182、[AC]下列说法错误的是( ) A. 如果是单vlan环境,可以用vlan and host x.x.x.x抓指定IP的包 B. 192.168.200.200转换成+六进制是 c0a8c8c8 C. tcp头部长度是20字节 D. IP头部长度是24字节 正确答案 D 183、[AC]某客户希望将AC设备网析模式部署在岀口路由器和内网三层核心交换机之间,但发现设备上架前,出口路由器和三层核心交换机之间的接口 都是TRUNK模式,请问以下说法正确的是(( ) A. AC网桥模式不支持TRUNK模式,所以当前 环境无法使用网桥模式部署 B. AC网桥模式可以支持该环境,AC网桥配置 TRUNK相关配置即可 C. AC网桥模式可以支持该环境,AC网桥配置 TRUNK相关配置,使用配置的某个VLAN IP 管理设备 D. AC网桥模式部署成功后,需要配置VLAN协 议剥离,否则无法识别VLAN的数据,不能 识别终端的具体应用 正确答案 C 184、[AC]下面哪个设备可以转发不同VLAN之间的数据?( ) A. 二层交换机 B. 生成树网桥 C. 网络集线器 D. 上网行为管理 正确答案 D 185、[AC]在客户处实施AC单网桥上架,AC内网口接客户内网三层交换机,AC外网口接客户外网防火墙,现上架后发现内网上网正常,但是内网PC登 录不了AC控制台,以下排查不合理的是( ) A. PC单机ACDMZ口尝试登录控制台 B. AC可能没有配置到内网的回包路由,检查路 由配置 C. 防火墙对AC做了过滤策略禁止AC上网 D. 客户网络有trunk协议,但是在AC上没有启 用vlan配置 正确答案 C 186、[AC]下列选项中不属于U盘恢复设备控制台密码的操作步骤的是( ) A. 准备一个FAT32格式的U盘 B. 准备一个NFTS格式的U盘 C. 新増reset-cfg.txt文件,放入U盘根目录 D. 电脑和设备可以通信,访问设备地址https://ACIP/php/rp.php 正确答案B 187、[AC]下列选项中不属于U盘恢复设备出厂设置的 操作步骤的是( ) A. 准备一个FAT32格式的U盘 B. 新増reset-cfg.txt文件,放入U盘根目录 C. 电脑和设备可以通信,访问设备地址https://ACIP/php/rp.php D. 设备上插入U盘,重启设备 正确答案C 188、[AC]下列选项中,AC设备网口默认IP地址对应关 系错误的是( ) A. Eth0-128.127.125.252/29 B. eth0-10.252.251.251/24 C. eth1-128.128.125.252/29 D. eth1-10.252.251.251/24 正确答案D 189、[AC]客户做了密码认证后,弹不出密码认证框,下面排查不合理的是?( ) A. 检查"认证前"权限是否拒绝了HTTP应用和 dns应用 B. 检查设备网桥IP是否能正常上网 C. 检查是否启用“未通过认证的用户允许访问 dns服务" D. 设备到内网是否路由可达 正确答案B 190、[AC]某公司用户的电脑通过DHCP获取地址,且每个用户都是使用固定分配的电脑办公,现在管 理员通过AC进行管控,希望能识別到每个用户的 上网行为,且下面的用户无感知认证,请问应该 采用以下哪种认证方式? A. 密码认证 B. 不需要认证,以IP地址作为用户名 C. 不需要认证,以MAC地址作为用户名 D. 不需要认证,以VLAN ID作为用户名 正确答案C 191、[AC]关于用户注销,以下说法不正确的是?( ) A. 可以手动强制注销不需要认证的用户 B. 可以通过无流量自动注销所有用户 C. DKEY用户无法被手动强制注销 D. 密码认证的用户可以被手动强制注销 正确答案A 192、[AC]关于AC设备部署在30位子网:奄码环境中,以 下说法不正确的是?( ) A. 可以通过虚拟IP来实现密码认证功能 B. 可以通过DMZ口重定向来实现密码认证功能 C. 可以通过虚拟IP来获取交换机的ARP表 D. 可以通过DMZ口来更新规则洋 正确答案C 193、[AC]关于用户绑定功能选项中说法错误的是( ) A. 支持手动绑定和自动录入绑定两种方式 B. 用户绑定用于免认证或限制登录场景 C. 绑定对象支持IP/MAC/VLAN D. 跨三层环境实现绑定MAC需要启用跨三层 MAC识别功能 正确答案C 194、[AC]关于用户认证方式和对应的场景,下列选项 中说法错误的是( ) A. 不需要认证-实名制要求 B. 不需要认证-固定IP场景 C. 密码认证-动态IP场景 D. 短信认证-机场 正确答案A 195、[AC]关于不需要认证,下列选项中说法错误的是 ( ) A. 单位不允许呼叫中心的办公电脑私自修改IP 地址,可以固定IP,做不需要认证,绑定IP 和MAC地址 B. 跨三层场景,做不需要认证想获取到真实 MAC地址只能通过跨三层识别功能实现 C. 动态获取IP地址场景,不能使用不需要认证 D. 不需要认证方式适用于对管理要求不高的上 网场景 正确答案C 196、[AC]跨三层识别场景,发现设备获取不到真实 MAC地址,下列选项中排错思路错误的( ) A. 检查备与交换机是否通讯正常 B. 如果是SNMP方式,检查团体名是否一致 C. 如果是ARP镜像方式,检查想获取真实MAC 网段是否被正确镜像 D. 检查TCP161端口是否有被中间设备拦截 正确答案D 197、[AC]关于密码认证过程,下列选项中说法错误的 是( ) A. 发起访问网站请求,第一步先进行DNS解析 B. 第二步进行TCP三次握手 C. 三次握手成功后,客户端发get请求 D. 三次握手不成功,可能是因为AC设备拦截 了 GET请求 正确答案D 198、[AC]帮客户配置了密码认证,但是测试时发现密码认证页面重定向失败,下列选项中说法正确的是( ) A. 打开的是HTTP网站,设备不支持访问https 网站重定向 B. 可能是AC下联设备有拦截限制 C. 测试PC做了代理配置不会影响重定向页面正 常弹出 D. 重定向是已经发起get请求,和DNS解析没 有关系可以排除 正确答案B 199、[AC]选项中关于用户认证说法错误的是( ) A. 对外的营业厅提供上网环境给访客,建议使用密码认证方式 B. 大型单位在有AD域的情况下,建议客户做结合AD域的密码认证 C. 为满足网络安全的实名制要求,建议做密码 认证 D. 固定办公场景,可以使用不需要认证做MAC 绑定 正确答案A 200、[AC]选项中关于外部认证说法错误的是( ) A. 外部认证的账号密码信息不保存在AC设备 B. 外部认证服务器会将认证成功与否的信息通 知给AC设备 C. 外部认证可以将第三方服务器的账号密码信 息同步到AC本地 D. AC支持对接MS AD域做外部认证 正确答案C 201、[AC]关于外部密码认证过程,下列选项中说法错误的是( ) A. 客户端发起认证请求,外部认证服务器返回认证页面 B. 客户端提交用户名密码认证信息 C. AC设备转发认证信息到外部认证服务器进 行校验 D. 外部认证服务器返回消息给AC设备 正确答案A 202、[AC]配置LDAP认证服务器,下列选项中正确的是 0 ( ) A. 服务器类型选择OpenLDAP B. 支持在AC设备测试有效性 C. LDAP服务器只支持单点