第1页 / 共8页
第2页 / 共8页
第3页 / 共8页
第4页 / 共8页
第5页 / 共8页
第6页 / 共8页
第7页 / 共8页
第8页 / 共8页
深信服高级渠道AC-A卷(74分).docx
1. [AC 11.8],某客户使用 AC 做内网用户的认证和相关的上网权限控制,公司官网托管在
外部云平台,想让内部所有用户都能访问此网站,包括未认证的用户,下列操作达不到预期
目的的是(A )
A.通过防火墙规则,放通网站对应的 IP 地址
B.新增上网权限策略,放通自定义的该网站 URL,关联未认证用户组,用户认证前使用该组
权限
C.全局排除网站对应的 IP 地址
D.全局排除网站对应的域名
2. [AC 11.8],某客户内网分为多个地址段,采用 AD 域做桌面管理,由于办公区和会议室
采用不同的地址段,来回切换经常需要重新登陆认证,可以采用哪种单点登陆方式来避免这
种情况(A )
A.域脚本方式单点登陆,开启常驻内存
B.免插件单点登陆
C.监听方式单点登陆
D.IWA 单点登陆
3. [AC 11.0],客户公司上班时间想保障办公业务的访问,上班时间对下载等应用访问带宽
要限制,请问下面哪个功能才能满足客户需求(A)
A.流控功能
B.用户限额策略-流速限制
C.用户限额策略—时长控制
D.Web 访问网络质量检测
4. [AC 11.8],关于 AC 设备主主模式和主备模式的说法错误的是(B )
A.主主模式和主备模式都要求版本一致
B.主主模式下设备都可以加入 sc
C.主主模式下,仅主控能修改上网策略,节点从主控同步上网策略
D.主备模式的两台设备,可以通过 HA 灯的状态加以区分
5. [AC 11.0],客户部署了 SANGOR 无线设备及 AC 设备,希望实现用户接入无线认证后,同
时自动通过 AC 认证。请问是否可以满足客户需求(C)
A.无法实现此需求
B.可以实现此需求,通过“深信服设备”单点登录,无线作为接收设备,AC 作为转发设备
C.可以实现此需求,通过“深信服设备”单点登录,无线作为转发设备,AC 作为接收设备
D.可以实现此需求,通过“深信服设备”单点登录,无线和 AC 均作为转发设备
6.[AC 11.8],关于以下关于数据中心版本 DC11 说法,正确的是(A )
A.外置升级到 DC11 后,升级前一个月的日志是查询不到的
B.设备升级到 AC11 后,升级前一个月的日志还能查询和统计
C.外置 DC11 的查询页面登录方式不是 http://服务器 IP
D.AC11 内置数据中心的查询页面只能通过控制台跳转
7.[AC 11.8],关于 AC 链路负载下来说法错误的是(C )
A.链路负载功能只在路由模式下有效
B.需要使用外网多线路,在序列号中至少开启 2 条外网线路的备份
C.多线路负载策略中可以实现动态就近性,谁快走谁
D.链路负载可以通过 vpn 做专线备份
8.[AC 11.8],下列关于流量管理的说法,错误的是( A)
A.P2P 智能流控是通过抑制 P2P 上传速率来达到控制 P2P 下载速率的
B.动态流控功能仅在限制通道下才能设置,并且匹配线路空闲时才允许突破
C.子通道继承父通道部分属性,当父通道是保证通道时,子通道可以是保证通道或限制通道;
当父
通道为限制通道时,子通道只能是限制通道
D.惩罚通道也属于流控通道,也分为限制通道和保证通道
9.[AC 11.8],关于 AC 的 DKEY 下列说法正确的是:(B )
A.免认证 key 为蓝色
B.特权 key 可以同时免认证和免审计
C.特权 key 为绿色
D.免认证 key 可以免认证和免审计
10.[AC 11.0],客户当前已经部署了 AC 设备,希望对无线访客的 SSID 使用多种认证方式,
访客通过微
信认证、短信认证、本地用户名密码认证或 LDAP 外部认证任一方式都可通过认证,请问一
下说法正
确的是(C )
A. 认证方式太多了,无法同时支持
B. 使用短信认证必须要购买深信服原厂的短信猫才行,否则无法发送短信验证码,不能进
行短信认
证
C. 可以实现客户的需求,但是需要配置认证策略,选择多种认证服务器
D. PC 端无微信客户端,无法通过微信认证的方式通过认证
11.[AC 11.8],trunk 环境中,下列说法正确的是( C)
A.设备多网桥模式部署,桥 IP 可用并且不同网段,此环境不支持准入在线安装与检测
B.设备单网桥部署,桥 IP 不可用,使用 DMZ 口重定向,此环境不支持防代理功能
C.设备单网桥部署,桥 IP 不可用,使用 DMZ 口重定向,此环境支持 SSL 内容识别
D.设备多网桥部署,桥 IP 不可用,使用 DMZ 口重定向,此环境不支持 IWA 单点登录
12.[AC 11.0],下面关于用户配额策略说法错误的是(C )
A.流量配额中,当日配额、月配额同时超限了,只生效 1 次/提示 1 次冲突时,以日配额为
准
B.流量配额、时长配额、流速限制、并发连接限制,这四个配额,都是基于用户的所以如果
是公共
账号,同一个用户名下同时有多个 IP 在线,则这些 IP 的流量都会统计到一个用户名上,一
起算配额
C.在线终端数限制中,允许每用户同时在线的终端个数,针对公共账号和私有账号都生效
D.时长配额中,“应用时长”是指用户产生的应用流量通过设备的时间的累加
13.[AC 11.8],下面关于 logon2.0 单点登录,说法错误的是(A )
A.客户希望实现已单点登录成功的电脑,拨掉网线后自动从 AC 设备注销,此需求可以通过
logon2.0 心跳功能实现
B.客户环境中有多台 AC,希望电脑登录域后,同时通过多台 AC 单点登录认证,此需求可以
通过 logon2.0 结合 sinforIP 参数配置文件实现
C.Logon2.0 运行时,日志文件默认保存在电脑%appdata%/.logon 目录下
D.因为 logon2.0 默认开启了常驻内存功能,所以对于已单点登录成功的电脑,达到无流量
超时时间从 AC 设备注销后,可以再自动单点登录上线
14.[AC 11.8],关于 DOS 攻击防护的说法,下列正确的是( C)
A.启用内网网段列表,意思是列表内的网段会匹配 dos 攻击防护策略,不在列表内的网段不
匹配 dos 攻击防护策略
B.内网到本设备间通过一台/多台二层交换机直连,没有跨越任何的三层交换设备,在 AC
下连有三层设备时,此选项可以勾选,也可以不勾选
C.如果内网服务器连接数一般比较大,建议将内网服务器添加到 dos 攻击排除列表
D.开启 DOS 攻击防护后,可以通过短信发送告警
15.[AC 11.0],客户内网已有 AD 域控,现部署 AC 和 AD 域做认证对接,希望实现用户开机
登录域同时通过 AC 认证,从域中注销同时从 AC 下线,请问你推荐下面哪种方案(A)
A.脚本单点登录
B.ADSSO 单点登录
C.IWA 单点登录
D.无法实现此需求
16.[AC 11.0],高校学生通过 PPPoE 拨号上网,AC 旁路部署审计学生上网帐号及上网记录。
请问下面选项中,哪项的配置不是必须的(C)
A.将 PPPoE 拨号服务器到互联网方向的流量镜像给 AC
B.设备需要配置协议剥离
C.设备需要启用 PPPoE 单点登录
D.旁路模式内网监控网段列表需要填写拨号后获得的 IP 地址段
17.[AC 11.0],防火墙网关出口--核心交换机--内网,代理服务器连接在核心交换机,该客
户网络环境中,如下关于 AC 设备部署说法中,正确的是:
A.我们 AC 路由模式部署在防火墙和交换机之间,不需要做其他操作,就可以实现识别并管
控内网用户
B.我们 AC 网桥模式部署在防火墙和交换机之间,在认证选项里面勾选 wan 到 lan 连接不认
证就可以正常管控内网用户
C.我们 AC 网桥模式部署在代理服务器和交换机之间,lan 接核心交换机,wan 接代理服务器,
在认证选项里面勾选 wan 到 lan 连接不认证可以正常识别并管控内网用户
D.这种环境我们设备没办法部署,需要客户去改自己的网络环境
18.[AC 11.8],客户内网有一个 C/S 架构的 OA 系统,OA 系统采用 oracle 数据库保存登陆
的账号和密码,现在客户不想额外维护另外一套账号,希望能够用相同的账号密码在 AC 上
做身份认证,下列做法能够达到要求的是( )
A.采用 LDAP 外部认证
B.采用 Radius 单点登陆
C.采用数据库单点登陆
D.采用 Radius 外部认证
19.[AC 11.8],关于无线配置功能说法错误的是( )
A.只支持本地转发
B.只支持 1.8 版本 AP
C.只支持集中转发
D.只支持 sangfor AP
20.[AC 11.8],在上架 AC 设备后,开启认证,浏览器测试打开网址,发现弹不出认证框,
以下排查错误的是( )
A.是否是打开的 https 类型的网站,这种类型默认不做重定向,但是可以配置来实现重定向
B.确认终端是否能够正常解析域名
C.检查是否勾选了“未认证或被冻结时允许访问 dns 服务”
D.确认 AC 设备是否能够正常上网
21.[AC 11.8],客户想实现审计微信客户端聊天内容,以下说法正确的是( )
A.由于微信客户端加密,目前审计需要开启 SSL 内容识别
B.由于微信客户端加密,目前审计需要开启准入策略并安装准入插件
C.新增一条上网审计策略,勾选“IM 聊天内容”和“其他 IM 聊天内容”
D.以上说法均不正确
22.[AC 11.0],关于 AC 上网审计策略描述,错误的是( )
A.可以审计用户发贴内容
B.可以审计用户上网产生的流量
C.可以审计用户通过 HTTP 下载的文件内容
D.可以审计用户上网时长
23.[AC 11.8],关于 QQ 白名单,下列说法正确的是( )
A.支持 QQ 收发消息、传输文件(未封堵应用:IM 传文件),不支持 RTX、企业 QQ、web QQ,
移动 QQ 等
B.配置了封堵 QQ 音乐、邮箱、传文件的策略时,配置了 QQ 白名单,会放通从 QQ 中跳转的
关联应用,例:QQ 音乐、股票、空间、邮箱、传文件等
C.如果勾选了“未认证通过前可以访问根组服务”根组又没有做任何策略,那当内网用户没
有通过 AC 认证时本身是可以上 QQ 的,不匹配白名单策略
D.配置 QQ 白名单,同时配置了 QQ 应用封堵策略,QQ 白名单功能依然有效
24.[AC 11.0],SSL 内容识别,说法错误的是 ( )
A.客户端与 AC 加密证书为 AC 的证书,AC 与服务器加密用服务器证书
B.需要先确认多功能序列号已激活 SSL 内容识别,默认是激活的
C.要审计加密邮件,和 https 的网站时,要开启 ssl 内容识别
D.SSL 内容识别时,AC 需要是网桥部署
25.[AC 11.8],AC 设备网桥模式部署,客户要审计 QQ 网页版邮箱,下列操作正确的是( )
A.上网审计策略,应用审计中开启“外发的 web mail 邮件内容”
B.准入策略,开启 IM 聊天内容监控
C.上网权限策略,开启 SSL 内容识别,添加对应的邮箱地址;上网审计策略中,应用审计开
启“外发的 web mail 邮件内容”
D.上网权限策略,开启 SSl 内容识别,添加对应的邮箱地址;上网审计策略中,应用审计开
启“发送邮件(SMTP)”和“接收邮件(POP3/IMAP)”
26.[AC 11.8],客户内网采用域脚本方式单点登陆,发现部分用户无法正常单点登陆上线,
下列排查错误的是( )
A.rsop.msc 命令检查无法登陆的用户是否获取到组策略
B.检查 login.log 文件,定位无法上线的原因
C.检查 PC 到 AC 的网络连通性是否正常
D.检查服务器配置的脚本参数是否是“ACIP 1773 密钥”的格式
27.[AC 11.8],下列关于深信服 SG 设备短信认证的说法,错误的是( )
A.支持短信认证自动 bypass,当短信猫出现故障时,用户自动以 IP 地址上线上网
B.短信认证以手机号上线,满足实名认证需要
C.设备路由、网桥、旁路、单臂模式均可以支持短信认证
D.短信猫可以连接设备串口,也可以连接短信服务器,通过短信服务器发送短信
28.[AC 11.0],审计 windows 客户端版 QQ 聊天内容可以通过下列哪类上网策略实现( )
A.上网权限策略
B.上网审计策略
C.用户限额策略
D.准入策略
29.[AC 11.0],客户 AC 已经部署上架,同时使用本地认证和 LDAP 外部认证,当前本地和
LDAP 都有 TEST 用户,请问以下说法正确的是( )
A. TEST 用户密码优先匹配 LDAP 外部认证服务器
B. TEST 用户密码优先匹配本地用户
C. 使用 LDAP 外部认证或者本地认证的 TEST 用户对应的密码都可以登录设备,无优先级关
系
D. 因为 TEST 用户有冲突,此时设备会报错,无法使用 TEST 登录认证
30.[AC 11.8],某客户内部采用 AC 结合 radius 做外部认证,有一天上班发现,用户反馈无
法认证成功,请问以下排查思路错误的是?
A.检查 AC 与 radius 服务器的连通性
B.内网电脑 ping radius 服务器,检查电脑到 radius 服务器是否通
C.检查内网电脑上网时是否能够正常弹出认证框,确认是否是内部网络问题
D.外部认证服务器页面,测试服务器有效性,确认 radius 服务器运行是否正常
31.[AC 11.0],下列关于 AC11.0 主备模式部署说法错误的是( )
A.主备模式部署的两台设备,软件版本要求一致
B 主备部署的两台设备,只有一台在工作,另一台在监听
C.三台或以上设备可以部署成主备模式。
D.只有路由模式可以部署主备模式,网桥模式不支持部署主备模式
32.[AC 11.8],关于集成 windows 身份认证(IWA)以下说法错误的是:( )
A.IWA 支持 ntml 协议和 kerberos 协议
B.IWA 必须通过打开网页的行为触发认证
C.IWA 使用端口 100 与 pc 通信
D.IWA 支持用户主动注销
33.[AC 11.0],域单点登录优缺点描述错误的是( )
A.脚本方式成功率高,客户普遍使用方式,可以同时实现登录和注销
B.监听方式的缺点是,需要在域服务器上修改组策略,部分客户不愿意修改
C.IWA 的缺点是,用户登录域后,打开网页才能触发认证,无法实现用户从域中注销同时从
设备下线
D.IWA 的优点是不需要改变域的组策略
34.[AC 11.8],某客户希望实现,公共电脑区的用户登录后关闭浏览器自动注销用户,建议
用哪个方式来实现( )
A.等待无流量自动注销
B.管理员定期手动去注销
C.设置每天强制注销所有用户
D.勾选“密码认证后注销窗口”
35.[AC 11.0],客户处 AC11.0 路由模式部署,客户外网有两条线路,一条是和总部对接的
专线线路,一条是和总部对接的 SANGFOR VPN 线路。如果客户想实现业务数据优先走专线,
当专线断开后走 VPN 线路,下列说法正确的是( )
A.需求可以实现,只需要配置 AC 上的“链路检测”功能即可
B.需求可以实现,需要通过 AC 链路负载功能中的“VPN 做专线备份”功能实现
C.需求可以实现,需要通过 AC 链路负载功能中的“多线路负载”功能实现
D.需求可以实现,需要通过 AC 链路负载功能中的“指定线路策略理由”功能实现
多选题:
1.[AC 11.8],关于 AC 重定向功能描述错误的是( )
A.基于虚拟 ip 地址的重定向,我们不需要去查询路由表,直接从过来的网口发重定向数据
包
B.访问虚拟地址的数据需要经过我们设备,才可以正常重定向
C.AC11.0 及以上版本,可以使用虚拟地址来重定向,也可以使用网桥 IP 来重定向
D.DMZ 管理的部署必须使用 DMZ 重定向才能实现该功能
2.[AC 11.0],客户处 AC11.0 设备单网桥部署在网络出口路由器和核心交换机之间,现在发
现设备中的规则库无法更新,下列排查方法正确的是()
A.可能是设备的规则库已过期,需要检查“系统管理”-“系统配置”-“系统更新”-“规
则库升级”中的规则服务有效期是否有效。
B.可能是设备无法上网,可以在“系统管理”-“系统诊断”-“命令控制台”上 ping 公网
地址测试设备是否可以上网
C.可能是前置防火墙或路由器上对 AC 的地址做了限制,需要去前置设备上检查策略配置,
并放通 AC 访问公网的权限。
D.可能是设备无法上网,可以在“系统管理”-“防火墙”-“NAT 代理上网”中检查有没有
配置 NAT 代理上网。
3.[AC 11.8],下面关于 AC11.0 链路负载功能,说法正确的是( )
A.链路负载功能只在路由模式下有效
B.需要使用外网多线路,需要在序列号中至少开启 2 条外网线路的授权
C.”链路故障检测设置中“,”检测方法“中如果既配置了 DNS 检测,又配置了 ping 检测,
则任意一种检测不通即认为该线路故障
D.”链路故障检测设置中“,”检测方法“中如果既配置了 DNS 检测,又配置了 ping 检测,
则两种检测都不通才认为该线路故障
4.[AC 11.8],某客户 AC 设备,认证策略是密码认证,需要实现一个用户名只允许登录两个
终端,以下说法正确的是( )
A.如果用户允许登录的终端 IP 地址固定,可以在用户绑定里将用户与 IP 绑定
B.如果用户允许登录的终端 IP 地址固定,可以在用户属性里设置限制 IP 地址登录
C.如果用户允许登录的 IP 地址不固定,但是 MAC 地址固定,可以在用户绑定里将用户与 MAC
绑定
D.如果 IP 和 MAC 都不固定,不可以在终端限额策略里限制在线终端数量
5.[AC 11.8],关于微信认证以下说法错误的是( )
A.客户部署微信认证需要有一个微信订阅号或服务号
B.微信认证能够获取到用户的微信账号
C.微信认证能够获取到用户的昵称
D.微信认证能够获取到用户 openid
6.[AC 11.8],下列兼容性说法正确的是( )
A.logon2.0 脚本仅支持 win7、win8、win10 操作系统
B.IWA 兼容 IE 浏览器、chrome、搜狗浏览器
C.准入客户端支持 windows XP、Win7、Win8、Win10 操作系统
D.数据中心 Dkey 对于 32 或 64 位操作系统都支持默认的 IE 浏览器、均支持 32 位的 chrome
和 Firefox 浏览器
7.[AC 11.8],AC 全局排除的 IP 地址,下来哪些模块仍然生效( )
A.NAT
B.系统路由
C.上网权限策略
D.防 dos 攻击
8.[AC 11.0],下面关于网关杀毒的测试方案合理的是()
A.HTTP 下载病毒文件测试
B.HTTP 上传病毒文件测试
C.FTP 下载病毒文件测试
D.SMTP 发送病毒邮件测试
9.[AC 11.0],AC 路由部署在公网出口,内网用户通过 AC 进行上网行为控制,客户要求审
计内网用户的所有上网行为,结果发现内网有大部分的应用(包括邮件、QQ 聊天内容)没有审
计到,下列说法正确的是()
A.检查 AC 上的多功能序列号是否开启了“内容审计”,没有开启则审计不到邮件或 QQ 聊天
内容
B.检查内网测试电脑的 IP 是否添加到了 AC 的全局排除地址列表中
C.检查客户测试电脑是否是非 WINDOS 系统的 PC,例如 MAC 系统或 linux 系统,这些系统无
法监控 QQ 的聊天内容信息。
D.检查客户测试电脑是否通过加密方式发送的邮件,如果是需要在 AC 上开启 SSL 内容识别
功能才可以审计到
10.[AC 11.8],某客户希望将 AC 设备网桥模式部署在出口路由器和内网三层核心交换机之
间,但发现设备上架前,出口路由器和三层核心交换机之间的接口都是 TRUNK 模式,请问以
下说法正确的是( )
A.AC 网桥模式不支持 TRUNK 模式,所以当前环境无法使用网桥模式部署
B.AC 网桥模式可以支持该环境,AC 网桥不配置 TRUNK 相关配置,单独配置管理接口即可
C.AC 网桥模式可以支持该环境,AC 网桥配置 TRUNK 相关配置,使用配置的某个 VLAN IP 管
理设备
D.AC 网桥模式部署成功后,需要配置 VLAN 协议剥离,否则无法识别 VLAN 的数据,不能识
别终端的具体应用
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
