【2014.4.17】HCNA-Security(HC-711-CHS)中文题库 V100
Exam : HC-711-CHS
Title :HCNA-CBSN (Constructing Basic Security Network) -CHS
Version : V100
坛 鸿鹄论坛 http://
华为认证题库战报: http:///forum-huawei-1.html
华为学习考试群:100302240
华为认证题库战报: http:///forum-huawei-1.html
华为学习考试群:100302240
2 / 59
1.用户小王使用 vpn client 从外网拨入 l2tp vpn 后正常获取地址,发现能访问内网所有资源,
但是却无法打
开 internet 上的网页,可能原因为?
A.l2tp vpn 设备软件版本有误
B.vpn client 软件版本有误
C.防火墙 l2tp 配置错误
D.拨入 l2tp vpn 后,本地计算机缺省路由都指向了拨号获取的地址
Answer: D
2.在 AH 安全协议隧道模式中,以下哪个新 IP 报文头字段无需进行数据完整性校验?
A.TTL
B.源 IP 地址
C.目的 IP 地址
D.源 IP 地址+目的 IP 地址
Answer: A
3.SSL VPN 中文件共享应用在使用过程需输入用户名、密码和域信息,为了不想输入用户名
密码,可以在
文件共享服务器上设置权限。
A.True
B.False
Answer: A
4.以下哪个 VPN 协议是 IETF 工业标准?
A.PPTP
B.L2F
C.L2TP
D.PP2F
Answer: C
5.IPSEC 安全协议 AH 和 ESP 的区别在于 AH 能实现数据加密,ESP 支持的数据验证范围
更广。
A.True
B.False
Answer: B
6.ASPF 使得防火墙能够支持一个控制通道上存在多个数据通道的协议, 同时还可以在应用
非常复杂的情况
下方便的制订各种安全的策略。
A.True
B.False
Answer: A
7.在 SVN3000 网络扩展应用中,客户端获取 IP 地址有两种方式:虚拟网关地址池和内网
DHCP 服务器分
配。
A.True
B.False
Answer: A
3 / 59
8.网络地址端口转换(NAPT)与网络地址转换(NAT)有什么区别?
(Select 2 Answers)
A.经过 NAPT 转换后,对于外网用户,所有报文都来自于同一个 IP 地址或某几个 IP 地址
B.NAT 只支持应用层的协议地址转换
C.NAPT 只支持网络层的协议地址转换
D.NAT 支持网络层的协议地址转换
Answer: A, D
9.在 GRE 配置环境下,Tunnel 接口模式下,destination 地址一般是指?
A.本端 Tunnel 接口 IP 地址
B.本端外网出口 IP 地址
C.对端外网入口 IP 地址
D.对端 Tunnel 接口 IP 地址
Answer: C
10.以下哪些属于 IPSec 安全协议?(Select 2 Answers)
A.AH
B.ESP
C.3DES
D.AES
Answer: A, D
11.SVN3000 文件共享的交互过程,顺序正确的是:
1、文件服务器接受请求报文,将 SMB 格式的应答报文发送给 SVN;
2、客户端用户向内网文件服务器发起 HTTPS 格式的请求,发送到 SVN;
3、SVN 将 SMB 应答报文转换为 HTTPS 格式,并转发给客户端;
4、SVN 将 HTTPS 格式的请求报文转换为 SMB 格式的报文,并转发给文件服务器。
A.1-2-3-4
B.2-4-1-3
C.3-1-4-2
D.3-1-2-4
Answer: B
12.访问控制列表的主要应用场景包括以下哪些?
(Select 3 Answers)
A.网络地址转换(NAT)
B.QOS
C.策略路由
D.GRE
Answer: A, B, C
13.以下哪个协议是 GRE VPN 技术在 Internet 世界最常使用的传输协议?
A.GRE
4 / 59
B.IPX
C.IP
D.TCP
Answer: C
14.使用一对一或者多对多方式的 NAT 转换(非 PAT) ,当所有外部 IP 地址均被使用后
(使用 NAT 技术访
问互联网应用场景) ,后续的内网用户如需上网将会发生什么情况?
A.挤掉前一个用户,强制进行 NAT 转换上网
B.后续的内网用户将不能上网
C.自动把 NAT 切换成 PAT 后上网
D.将报文同步到其他 NAT 转换设备进行 NAT 转换
Answer: B
15.以下哪个属于多通道协议?
A.FTP
B.Telnet
C.HTTP
D.SMTP
Answer: A
16.关于状态检测型防火墙和包过滤型防火墙描述正确的是:
A.包过滤防火墙不需要对每个进入防火墙的数据包进行规则匹配;
B.因为 UDP 协议为面向无连接的协议,因此状态检测型防火墙无法对 UDP 报文进行状态
表的匹配;
C.状态检测型防火墙对报文进行检查时,同一连接的前后报文不具有相关性。
D.状态检测型防火墙只需要对该连接的第一个数据包进行访问规则的匹配,该连接的后续报
文直接在状态
表中进行匹配(以 TCP 应用为例)
Answer: D
17.防火墙可以保护内部网络在 Internet 中的安全,但不可以保护主机在一个内部网络中的
安全。
A.True
B.False
Answer: B
18.防火墙接口上应用了包过滤,引用了 acl2000,源 IP 地址 192.168.0.55 的 IP 地址到达
接口后,下列说
法正确的是?
acl 2000 match-order auto/config
rule permit source 192.168.0.1 0.0.0.255
rule deny source 192.168.0.32 0.0.0.31
(Select 2 Answers)
A.该 IP 包匹配允许策略,将被防火墙转发
B.该 IP 包匹配拒绝策略,将被防火墙丢弃
C.acl2000 使用的配置优先的匹配顺序
D.acl2000 使用的是深度优先匹配顺序
Answer: B, D
“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比 较地址
的通配符来实现, 通配符越小, 则指定的主机的范围就越小。
19.SVN 文件共享技术就是将文件共享协议转换成基于 SSL 超文本传输协议 (Https) , 针
对终端用户感觉文
件服务器就是基于 Web 应用。
A.True
B.False
Answer: A
20.LNS 是通过什么信息(协议字段)来判断该报文为 L2TP 报文,并送入 L2TP 协议处理
模块进行处理?
A.LAC 端源 IP 地址
B.LNS 端目的 IP 地址
C.源 UDP 端口 1701
D.目的 UDP 端口 1701
Answer: D
21.TSM 系统与所支持的防病毒软件强联动时,将可以驱动防病毒软件进行杀毒等操作。
A. True
B. False
Answer: A
22.在以下哪类场景中,移动用户不需要安装额外功能(L2TP)的 VPDN 软件?
A.基于用户发起的 L2TP VPN
B.基于 NAS 发起的 L2TP VPN
C.基于 LNS 发起的 L2TP VPN
D.其他所有选项都是
Answer: B
23.以下属于状态检测防火墙的主要特点的是哪一项?
A.处理速度慢
B.后续包处理性能优异
C.只能检测网络层
D.针对每一包进行包过滤检测
Answer: B
24.在配置 l2tp 时,对于命令 allow l2tp virtual-template,说法正确的是?
A.用来指定 LNS 发起呼叫的触发条件
B.用来指定 LAC 发起呼叫的触发条件
C.用来指定 LAC 接受呼叫所使用的 Virtual-Template
D.用来指定 LNS 接受呼叫所使用的 Virtual-Template
Answer: D
25.AH 可以提供以下哪些安全功能?(Select 3 Answers)
A.数据源验证
B.数据机密性
C.数据完整性校验
6 / 59
D.抗重放
Answer: A, C, D
26.以下哪一个协议是多通道协议?
A.WWW
B.FTP
C.PING
D.TELNET
Answer: B
27.PPPoE 主要用于哪个场景?
A.为以太网用户提供远程接入访问
B.为拨号用户提供访问远程以太网的服务
C.使访问 Internet 用户的数据报文被加密
D.为了用户能更快的访问 Internet
Answer: A
28.下列关于 E1 和 CE1,说法正确的有?(Select 3 Answers)
A.都可以工作在净通道模式下
B.E1 工作在非通道模式下属于非成帧模式
C.E1 工作在成帧模式下,只能进行一次时隙捆绑
D.CE1 工作在成帧模式下,可以进行多次时隙捆绑
Answer: A, C, D
29.包过滤防火墙在应用层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据
包。
A.True
B.False
Answer: B
30.域间包过滤的匹配原则为:先查找域间 Policy,如果没有匹配的策略,不会再查找域间
其它策略,而是直接将数据包丢弃,拒绝通过。(默认匹配策略)
A.True
B.False
Answer: B
31.Trunk 端口 PVID 值的意义与 Access 端口 PVID 的意义有点不一样, 在 Access 里表示
默认 VLAN 的值,但在 Trunk 里却表示端口所属的 VLAN。
A.True
B.False
Answer: A
32.对称加密算法和非对称加密算法对密钥的分发方式比较类似,都是通过把密钥发送给接
收方进行信息的加解密,发送方法可采用 E-mail 等方式。
A.True
B.False
Answer: B
33.包过滤防火墙不检查会话状态也不分析数据内容,安全性不能得到充分保障。
A.True
B.False
Answer: A
34.非对称算法比对称算法加密强度更强,因为非对称算法密钥长度更长。
A.True
B.False
Answer: B
35.SVN3000 虚拟网关,即可以使用 IP 地址访问,又可以使用域名访问的是以下哪种类型?
A.独占型
B.共享型
C.固定型
D.手动型
Answer: A
36.状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信
息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当
决定。
A.True
B.False
Answer: A
37.以下哪种方式 L2TP VPN,隧道是建立在 Client 端与 LNS 端之间?
A.Client-Initialized 方式 L2TP
B.NAS-Initialized 方式 L2TP
C.自主方式 L2TP
D.VPDN
Answer: A
38.适合移动用户的 VPN 接入方式有?(Select 2 Answers)
A.GRE
B.L2TP
C.MPLS
D.L2TP+IPSec
Answer: B, D
39. USG(Eudemon)防火墙 nat 配置如下
#
nat address-group 1 10.1.1.5 10.1.1.10
nat server 1 protocol tcp global 1.1.1.1 ftp inside 10.1.1.2 ftp
8 / 59
#
nat-policy interzone dmz untrust inbound
policy 0
action source-nat
policy destination 1.1.1.1 0
address-group 1
#
以下说法那个是正确的
A.NAT outbound 配置,内网用户访问外网转化为地址池 1 中的地址 10.1.1.5 10.1.1.10
B.untrust 主机访问 nat server 1.1.1.1,目的地址转化为 10.1.1.2,原地址不变
C.域内 nat 内置,DMZ 主机访问 nat server 1.1.1.1,目的地址转化为 10.1.1.2,源地址转化
成地址池 1 的地址
D.NAT inbound 配置,untrust 主机访问 nat server 1.1.1.1,目的地址转化为 10.1.1.2,源地
址转化成地址
池 1 的地址
Answer: B
40.常见的对称加密算法有哪些?(Select 3 Answers)
A.DES
B.3DES
C.AES
D.MD5
Answer: A, B, C
41.rule permit ip source 192.168.11.32 0.0.0.31 表示的地址范围是?
A.192.168.11.0-192.168.11.255
B.192.168.11.32-192.168.11.63
C.192.168.11.31-192.168.11.64
D.192.168.11.32-192.168.11.64
Answer: B
42.下列关于 NAT 地址转换的说法中哪些是正确的:(Select 3 Answers)
A.地址转换技术可以有效隐藏局域网内的主机,是一种有效的网络安全保护技术。
B.地址转换可以按照用户的需要,在局域网内向外提供 FTP、WWW、Telnet 等服务。
C.有些应用层协议在数据中携带 IP 地址信息,对它们作 NAT 时还要修改上层数据中的 IP
地址信息。
D.对于某些非 TCP、UDP 的协议(如 ICMP、PPTP) ,无法做 NAT 转换。
Answer: A, B, C
43.配置 ipsec 时,对于命令 ike local-name 说法正确的是?(Select 2 Answers)
A.当使用野蛮模式名字认证的时候,需要配置本地名称
B.使用主模式的时候,需要配置本地名称
C.本地名称必须和对端的 remote-name 配置一致
D.本地名称必须和本地的 remote-name 配置一致
Answer: A, C
44.SVN3000 可以通过如下哪些方式对用户进行访问权限控制?(Select 3 Answers)
A.IP
B.MAC
C.PORT
D.URL
Answer: A, C, D
45.隧道两端的设备都使用 IPSec 非模板方式时,ACL 需要完全镜像配置。
A.True
B.False
Answer: A
46.下面关于标准 ACL 描述错误的是:
A.标准访问控制列表,又称为基本访问控制列表。
B.标准访问控制列表中包括规则编号,执行动作和源 IP 地址。
C.标准访问控制列表通常应用在仅需要对数据包源地址进行限定的场景。
D.标准访问控制列表可以对协议类型进行控制
Answer: D
47.下列协议中,工作在数据链路层的有?(Select 3 Answers)
A.IP
B.PPP
C.HDLC
D.FR
Answer: B, C, D
48.硬件 SACG 主要与以下哪个组件进行数据交互?
A.SM 管理服务器
B.SC 控制服务器
C.Agent
D.数据库服务器
Answer: B
49.以下哪些类型以太网交换机端口,在数据流流出端口后还可能携带 VLAN 标识。(Select 2
Answers)
A.Access 端口
B.Trunk 端口
C.Hybrid 端口
D.Switch 端口
Answer: B, C
50.SVN3000 网络扩展功能中,需要实现用户只可以访问远端企业内网,不能访问本地局域
网和 Internet,
需要使用的客户端路由方式为:
A.全通道方式(Full Tunnel)
B.分离通道方式(Split Tunnel)
C.路由方式(route Tunnel)