深信服scsa模拟题加知识点总结
Posted Ocean:)
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了深信服scsa模拟题加知识点总结相关的知识,希望对你有一定的参考价值。
模拟一
1.以下哪项不是 VLAN 技术优点?(D )[2分]
A
限制广播域,抑制广播报文
B
隔离用户,保证网络安全
C
虚拟工作组,超越传统网络的工作组方式
D
增强网络传输容量
2.以下哪种情形下,数据报文的源 IP 和目的 IP 是确定的主机地址? ( C )[2分]
A
广播(Broadcast)
B
组播(Multicast)
C
单播(Unicast)
D
细播(Slivercast)
在 LINUX 系统中,使用带哪个选项的 tar 命令,可用来解压并释放“.tar.bz2”格式的归档压缩包文件? (B )[2分]
A
zcf
B
zxf
C
jcf
D
jxf
在 VI 编辑器的末行模式中,若要查找文件中的所有“old”字符串并将其替换为“new”,可以执行的命令是? ( D )[2分]
A
:s/old/new
B
:s/old/new/g
C
:% s/old/new
D
:% s/old/new/g
若一台计算机的内存为 128MB,则交换分区的大小通常是? (C )[2分]
A
64MB
B
128MB
C
256MB
D
512MB
UDP 协议和 TCP 协议的共同之处有? (D )[2分]
A
流量控制
B
重传机制
C
可靠传输
D
使用端口
能使一台 IP 地址为 10.0.0.1 的主机访问 Internet 的必要技术是? ( D )[2分]
A
静态路由
B
动态路由
C
路由引入
D
NAT
如图所示,四台交换机都运行 STP,各种参数都采用默认值。在根交换机某端口发送堵塞并无法通过该端口发送配置 BPDU 时,网络中 blocked 端口在多久之后会进入到转发状态?(B )[2分]
A
约 30 秒
B
约 50 秒
C
约 15 秒
D
约 3 秒
关于路由优先级顺序正确的是? ( B )[2分]
A
直连路由>动态路由>静态路由
B
直连路由>静态路由>动态路由
C
静态路由>直连路由>动态路由
D
静态路由>动态路由>直连路由
勒索病毒最可能利用下列哪个端口进入 windows 系统?( D )[2分]
A
3389
B
80
C
25
D
445
以下哪项不属于信息安全基本属性 CIA 三原则?(C )[2分]
A
保密性
B
完整性
C
可靠性
D
可用性
以下不属于对称加密算法的是? ( C)[2分]
A
DES
B
RC4
C
RSA
D
AES
一个经证书授权中心签发的数字证书包含哪些重要信息?( D )[2分]
A
签发者的公钥信息
B
被签发者的私钥信息
C
签发者的私钥信息
D
签发者的签名信息和被签发者的身份信息以及有效期
关于 IPSEC VPN 和 SSL VPN 对比说法正确的是?( D)[2分]
A
SSL VPN 用户不受上网方式限制,SSL VPN 隧道可以穿透 Firewall
B
IPSEC VPN 的移动用户需要手动安装 EasyConnect 客户端软件
C
IPSEC VPN 客户端需要支持“NAT 穿透”功能才能穿透 Firewall
D
IPSEC VPN 使用端口 UDP500 和 4500
部署 IPSEC VPN 时,配置下列哪个安全算法可以提供更可靠的数据加密?(B )[2分]
A
DES
B
3DES
C
SHA
D
128 位的 MD5
部署大中型 IPSEC VPN 时,从安全性和维护成本角度考虑,建议采取什么样的技术手段提供设备间的身份验证?(B )[2分]
A
预共享密钥
B
数字证书
C
路由协议验证
D
802.1x
与标准 IPSEC VPN 相比,那个不是 SANGFOR VPN 的专利技术的优势?(D )[2分]
A
支持两端都为非固定 IP 的公网环境
B
更细致的权限粒度
C
线路带宽叠加技术
D
更高级的加密算法
与标准 IPSEC VPN 相比,以下哪个不是 SANGFOR VPN 的特殊场景?(D )[2分]
A
更细致的权限粒度
B
隧道间路由技术,分支用户通过总部上网,实现总部的统一管控
C
隧道间 NAT 技术,解决多个分支网段 IP 冲突的问题
D
支持 ADSL 拨号
下列关于 WebAgent 格式不正确的是?( B )[2分]
A
IP:端口,如 123.123.123.123:4009,适用于总部 VPN 设备有固定公网 IP 地址的环境
B
IP1@IP2:端口,如 123.123.123.123@221.221.221.221:4009,适用于总部 VPN 设备有多条固定 IP 的线路,且需要做 VPN 的线路备份的环境
C
域名的形式,如 webagent.sangfor.com.cn/webagent/123.php,适用于总部 VPN 设备没有固定公网 IP 的环境,如 ADSL 线路
D
域名:端口形式,如 www.sangfor.com:4009,适用于总部已存在动态域名指向他们出口的公网 IP 的环境
总部建立好 SANGFOR VPN,分支这边如果是 NAT 环境,分支出口设备是否需要映射SANGFOR VPN 的端口?( B)[2分]
A
必须要做,而且要配置 NAT 代理上网
B
不用做,但是要配置 NAT 代理上网
C
必须做,但是不用配置 NAT 代理上网
D
不用做,也不用配置 NAT 代理上网
SANGFOR VPN 建立过程正确的是?(A )[2分]
A
寻址——认证——策略
B
寻址——授权——认证
C
认证——寻址——策略
D
寻址——认证——计费
网络安全法要求日志至少保存的天数为?( C )[2分]
A
30
B
90
C
180
D
365
数据包的五元组是指?(B )[2分]
A
源 MAC,目的 MAC,源 IP,目的 IP,协议
B
源 IP,目的 IP,源端口,目的端口,协议
C
源 MAC,目的 MAC,源端口,目的端口,TTL
D
源 IP,目的 IP,源端口,目的端口,TTL
AC 网桥模式下支持下列哪个功能?( C)[2分]
A
DHCP
B
VPN
C
移动终端管理
D
NAT
客户购买 AC 主要用于上网行为管控和审计,同时作为内网 DHCP 服务器,请问 AC 以什么部署模式可以满足客户需求?(A )[2分]
A
路由模式
B
网桥模式
C
旁路模式
D
单臂模式
客户在部署 AC 时,使用了旁路模式,那么下列哪种应用无法控制?( A)[2分]
A
TFTP
B
HTTP
C
D
FTP
AC 不支持以下哪种部署模式?(D )[2分]
A
路由模式
B
旁路模式
C
网桥模式
D
单臂模式
客户做了密码认证后,弹不出密码认证框,下面排查不合理的是?( A )[2分]
A
检查设备网桥 IP 是否能正常上网
B
检查是否启用“未通过认证的用户允许访问 dns 服务”
C
检查到内网是否路由可达
D
检查“认证前”权限是否拒绝了 HTTP 应用和 DNS 应用
AC 进行密码认证时不支持?(B )[2分]
A
短信认证
B
指纹认证
C
微信认证
D
二维码认证
下列那项不是导致密码认证页面无法正常弹出的原因? (C )[2分]
A
防火墙拒绝了 80 和 53 端口
B
AC 下接的设备有限制
C
PC 浏览器上未设置代理
D
未启用“未通过认证的用户允许访问 dns 服务”
对于 https 的流量,获取封堵对象是通过识别下列那个字段?( A )[2分]
A
Client hello 的 servername
B
Get 的 HOST 字段
C
Server hello 的 session_id
D
Get 的 servername
关于移动终端管理,下面哪个场景是不支持的?(C )[2分]
A
手机插电脑上充电
B
PC 里面装了虚拟机
C
用电脑访问安卓市场
D
电脑上安装移动终端模拟器
客户使用了深信服上网行为管理做邮件过滤,下面说法正确的是?( B)[2分]
A
用户可以使用 WEB 关键字过滤针对所有形式的邮箱进行过滤
B
邮件过滤功能只针对客户端邮件方式生效
C
可以通过使用邮件过滤功能对网页版和客户端邮箱做过滤
D
WEB 关键字过滤功能可过滤客户端版邮箱
下列选项中无法识别 PC 和 PC 之间的共享行为的是? ( D )[2分]
A
UA 字段
B
应用识别规则库
C
系统字体检测
D
操作系统版本
下列哪个属性是流控策略生效的必要条件?(A )[2分]
A
WAN 属性
B
路由模式部署
C
开启审计策略
D
应用规则库,url 库是否最新
下列哪个是 AC 流控和业界传统流控的差异? ( D)[2分]
A
基于端口流控
B
基于 IP 流控
C
基于协议流控
D
基于应用流控
下列关于 AC 设备在内容审计时的说法不正确的是?( B )[2分]
A
WEB 关键词过滤只能针对网页版邮箱过滤
B
如果网站是 HTTPS 的,需要开启 SSL 内容识别,并且添加对应的 SSL 地址
C
如果使用了邮件客户端,必须在客户端安装准入插件才能实现过滤
D
禁止上传 PPT、DOC、这些类型文件通过”Web 文件类型过滤”来实现
行为感知系统核心组件不包含下面哪个?(D )[2分]
A
全网上网态势
B
沉迷网络分析
C
在校生孕况分析
D
校园欺凌事件分析
下列关于 AC 审计说法正确的是?( A )[2分]
A
针对 QQ 客户端的聊天内容审计,必须在客户端使用准入插件
B
AC 设备的 SSL 解密是因为深信服有强大的解密工具,在用户察觉不到的情况下解密 HTTPS 中的内容,并记录下来
C
邮件客户端和网页邮件在审计时实现的原理一样,因为都是邮件
D
准入程序支持在 windows、macos、以及 linux 上安装使用
以下特性中哪个不是防火墙的主要性能指标?(D )[2分]
A
时延
B
吞吐量
C
并发连接数
D
功率
以下哪项不是深信服下一代防火墙 NGAF 的优势特点?(C )[2分]
A
完整的 L2-7 层安全架构,强悍的 Web 安全防护能力
B
智能的攻击行为分析,有效检测 APT 攻击和僵尸网络
C
基于端口的应用控制,迅速识别并丢弃数据包
D
先进的云安全技术,快速发现并阻断新型威胁
关于虚拟网线部署说法错误的是?( B)[2分]
A
虚拟网线不需要查看 MAC 表直接转发
B
虚拟网线接口不支持聚合
C
聚合环境下,AF 设备可以虚拟网线部署
D
如果要远程管理设备,必须配置管理口和管理 IP
客户处新采购一台 NGAF 放在出口,且内网对外发布服务器,客户希望服务器可以直接配置
公网地址,下述哪种部署模式最合适?(D )[2分]
A
虚拟网线模式
B
透明模式
C
路由模式
D
混合模式
当用户在浏览器输入 www.baidu.com 打开网站时,打开的却是一个非法网站,发生该现象的原因可能是?(C )[2分]
A
DHCP 欺骗
B
TCP SYN 攻击
C
DNS 缓存中毒
D
ARP 欺骗
IPS 模块中要保护服务器和 PC 电脑应如何进行防护配置?(A )[2分]
A
保护客户端:源区域:内网 目的区域:外网 保护客户端 恶意软件保护服务器:源区域:外部 目的区域:内网 保护服务器 暴力破解
B
保护客户端:源区域:外部 目的区域:内网 保护客户端 恶意软件保护服务器:源区域:内网 目的区域:外网 保护服务器 暴力破解
C
保护客户端:源区域:内网 目的区域:外网 保护客户端 暴力破解保护服务器:源区域:外网 目的区域:内网 保护服务器 恶意软件
D
保护客户端:源区域:外网 目的区域:内网 保护客户端 暴力破解保护服务器:源区域:内网 目的区域:外网 保护服务器 恶意软件
NGAF 的 URL 过滤功能是通过检查 HTTP 头部哪个字段实现的?( A)[2分]
A
HOST
B
Cookie
C
Referer
D
USER-AGENT
下列哪个攻击不是未对输入字符进行过滤导致的?( D)[2分]
A
命令执行漏洞
B
XSS
C
SQL 注入
D
口令爆破
使用 AF 的 web 扫描功能时说法错误的是?(A )[2分]
A
WEB 扫描器可以直接扫描 WEB 服务器
B
进行 WEB 扫描时,需要关闭或放通相应的 WAF 策略
C
WEB 扫描在需要进行登录网站的场景下,不支持包含验证码场景
D
进行 web 扫描时需要对 web 服务器进行备份或者扫描测试机
下列关于防火墙 DOS 模块说法错误的是?(A )[2分]
A
防火墙对 DDOS 攻击也能很好的防御
B
每目的 IP 激活阈值是指开启防火墙代理的阈值
C
每目的 IP 丢包阈值是指开启防火墙丢包的阈值
D
开启 DOS 防护时一般不勾选 IP 数据包分片传输
下列关于实时漏洞分析说法错误的是?( C)[2分]
A
对 ftp,http 可以使用任意端口进行识别和分析
B
实时漏洞分析可以检测出服务器存在的漏洞和风险
C
实时漏洞分析支持 UDP 和 TCP 的所有协议和服务
D
实时漏洞分析功能不支持集中管理
下面那个不属于深度包检测技术的分类的?(A )[2分]
A
基于策略的检测技术
B
基于“特征字”的检测技术
C
基于应用网关的检测技术
D
基于行为模式的检测技术
下列哪个不是公司与分支机构之间的远程连接的方式? ( D )[2分]
A
基于互联网接入
B
基于专线接入
C
基于 VPN 接入
D
基于无线接入
下列哪个不是 SSL VPN 发布的资源类型?( D)[2分]
A
WEB 应用
B
TCP 应用
C
L3VPN
D
远程桌面
SSL VPN 单臂模式部署,下列哪个端口最需要被映射到公网?( B )[2分]
A
80
B
443
C
3389
D
445
下列哪个是 SSL VPN 认证方式中的主要认证?( A )[2分]
A
LDAP 认证
B
令牌认证
C
短信认证
D
硬件特征码认证
下列哪个不是 SSL VPN 认证方式中的辅助认证?( D )[2分]
A
短信认证
B
硬件特征码认证
C
令牌认证
D
证书认证
以下选项中哪个是 SSL VPN 的账户类型?( B )[2分]
A
隐藏用户
B
公有用户
C
来宾用户
D
超级用户
下列哪项不是数字证书中的信息?( D )[2分]
A
用户身份信息
B
用户公钥信息
C
身份验证机构数字签名的数据
D
用户私钥信息
下列哪一个不是 SSL VPN 中的资源类型?( C )[2分]
A
WEB 应用
B
TCP 应用
C
L2TP 应用
D
远程应用
L3VPN 类型的资源不包括下列哪项?( D )[2分]
A
TCP
B
UDP
C
ICMP
D
IGMP
模拟二
IP 数据报文在网络层选路时,是基于下列哪个原则?( A )[2分]
A
最长匹配
B
最短匹配
C
模糊匹配
D
路由表序列匹配
在一个 C 类网段中要划分出 32 个子网,下面哪个掩码最合适?(B )[2分]
A
255.255.255.252
B
255.255.255.248
C
255.255.255.240
D
255.255.255.255
SNMP 依赖于下列哪种协议工作?( D )[2分]
A
IP
B
ARP
C
TCP
D
UDP
IP 报文头部中有一个 TTL 字段,关于该字段的说法正确的是?(C )[2分]
A
该字段长度为 7 位
B
该字段用于数据包分片
C
该字段用于数据包防环
D
该字段用于标记数据包的优先级
下列关于 trunk 端口与 access 端口描述正确的是?( A )[2分]
A
Access 端口只能发送 untagged 帧
B
Access 端口只能发送 tagged 帧
C
Trunk 端口只能发送 untagged 帧
D
Trunk 端口只能发送 tagged 帧
关于 RIP 协议,下列描述正确的是?(C )[2分]
A
路由器不可能发送跳数为 16 的路由器条目给它的直连邻居
B
路由器可能会收到直连邻居发送的跳数为 16 的路由条目,但收到后会立即丢弃,不再做任何别的处理
C
路由器可能会收到直连邻居发送的跳数为 16 的路由条目,收到后会利用它来更新自己的路由表
D
路由表可能会发送跳数为 16 的路由条目给它的直连邻居,但直连邻居收到后不会利用它来更新自己的路由表
如果希望一台 DHCP 客户机总是获得一个固定的 IP 地址,那么需要在 DHCP 服务器上为其设置什么?(B )[2分]
A
IP 作用域
B
IP 地址的保留
C
DHCP 中继代理
D
IP 地址的限制
关于 HTTP 响应状态码 302 说法正确的是?( A )[2分]
A
网页重定向
B
服务器错误
C
找不到网页
D
请求成功
下列哪个是 windows 系统常用的 DNS 测试的命令? ( A)[2分]
A
nslookup
B
ipconfig
C
route -n
D
tracert
下列关于网络安全的描述正确的是?( A)[2分]
A
计算机网络环境下的信息安全
B
物理安全中的一部分
C
网络安全不属于信息安全组成部分,需要单独对待
D
技术手段可以完全杜绝网络安全事件
下列关于溢出类型攻击的防范哪个方法是错误的?(D )[2分]
A
填充数据时计算边界
B
使用没有缓冲区溢出问题的函数
C
基于探测方法的防御
D
可在堆栈上执行代码的防御
为了避免冒名发送数据或发送后不承认的情况出现,可以采用的办法是?( B)[2分]
A
访问控制
B
数字签名
C
数字水印
D
发电子邮件确认
关于 IPSEC VPN 以下说法错误的是?(C )[2分]
A
对于 IPv4,IPsec 是可选的,对于 IPv6,IPsec 是强制实施的
B
IPsec 提供对 IP 及其上层协议的保护
C
IPsec 是一个单独的协议
D
IPsec 安全协议给出了封装安全载荷和鉴别头两种通信保护机制
下列关于 IPSEC VPN 中 AH 服务与 ESP 服务的说法错误的是?(D )[2分]
A
ESP 主要可以提供完整性,数据保密,数据源认证等服务
B
AH 可以提供数据完整性,数据源认证,抗重放攻击服务
C
采用 ESP 服务保护的 VPN 隧道机密性较高所以 IPSEC VPN 中通常使用 ESP
D
采用 AH 服务保护的 VPN 隧道有较强的完整性保护,可以保护整个 IP 头部以及负载的完整性
下列关于 IPSEC VPN 建立第二阶段说法正确的是?(B )[2分]
A
出站策略为对端子网 ip,入站策略为本端子网 ip
B
出站策略为本端子网 ip,入站策略为对端子网 ip
C
只需要配置出站策略,入站策略无需配置
D
只需要配置入站策略,出站策略无需配置
关于 SANGFOR DLAN 设备,下面哪种情况是完全免费的?(A )[2分]
A
SANGFOR DLAN 设备与 SANGFOR DLAN 设备之间对接
B
SANGFOR DLAN 设备与华为的 VPN 设备对接
C
SANGFOR DLAN 设备与深信服 PDLAN 互联
D
SANGFOR DLAN 设备以网关多线路模式部署
某用户总部VPN 网关部署,出口有双线路,公网地址分别为:202.96.137.75 和58.24.3.66 ,用户希望 VPN 连接时,两条线路能自动选路,那么总部 VPN 基本配置中,WEBAGENT 该如何填写 ? ( A)[2分]
A
202.96.137.75#58.24.3.66:4009
B
58.24.3.66:4009
C
202.96.137.75:4009
D
202.96.137.75;58.24.3.66:4009
某用户总部和分支均通过 ADSL 拔号上网,用户要分支和总部建立 SNAGFOR VPN 连接以实现两端内网互访,以下说法正确的是?( C)[2分]
A
SANGFOR VPN 无法实现客户的需求,需要改为标准 IPSEC VPN 实现
B
SANGFOR VPN 可以实现客户的需求,分支出口直接做 TCP 4009 的端口映射即可
C
SANGFOR VPN 可以实现客户的需求,通过 WEBAGENT 动态寻址实现
D
拨号环境,公网地址不固定,分支无法找到对端的正确 IP,无法实现,需要客户申请固定IP
SANGFOR VPN 协议默认端口是?(A )[2分]
A
TCP 4009 和 UDP 4009
B
TCP 4430 和 UDP 4430
C
TCP 4500 和 UDP 4500
D
TCP 4007 和 UDP 4007
SANGFOR VPN 支持远程出差员工连接总部 VPN 吗?(B )[2分]
A
支持,但是需要总部是固定公网 IP
B
支持,而且不需要总部是固定公网 IP
C
支持,不需要下载客户端软件
D
不支持
IPSEC 的数据加密协议是(D )。[2分]
A
AH
B
DOI
C
IKE
D
ESP
下列选项中关于 AC 设备在应用特征识别技术中,深度行为检测之所以和传统行为检测不同,是因为增加了对什么的检测?(D )[2分]
A
链路层头部
B
IP 头部
C
传输层协议头部
D
数据内容
客户购买了一台 AC 设备,想用来做上网审计和行为管控,同时又不希望对网络造成太多改动,以下哪种部署模式可以满足用户的需求?(C )[2分]
A
路由模式
B
单臂模式
C
网桥模式
D
旁路模式
关于 AC 的旁路模式,下列说法错误的是?(D )[2分]
A
旁路模式下,可以对用户的上网行为做审计
B
旁路模式下,至少需要配置两个接口,一个为管理口一个为镜像口
C
旁路模式下,需要将客户交换机配置数据镜像接口,将要监控的流量镜像给设备
D
旁路模式下,设备可以针对 TCP 和 UDP 应用做阻断控制
关于网桥模式设备无法上网,下面排查措施不合理的是?(C )[2分]
A
网线是否接反
B
网关是否指向靠近出口方向的设备
C
检查设备策略,开启直通测试是否有拦截
D
设备上 DNS 是否填写正确,网桥 IP 是否可用
关于端口映射排查思路,以下错误的是?(C )[2分]
A
检查 AC 到 WEB 服务器的访问是否正常
B
检查 AC 设备的端口映射配置
C
检查 AC 设备的代理上网配置
D
检查内网 PC 到 WEB 务器的访问是否正常
AC 设备在什么模式部署下有虚拟 IP 重定向?( B)[2分]
A
路由模式部署
B
网桥模式部署
C
旁路模式部署
D
所有模式都有
关于“密码认证页面”无法正常弹出,下面排查不合理的是?( D )[2分]
A
网桥部署虚拟地址是否跟内网冲突,PC 浏览器是否做了上网代理
B
是否启用未通过认证的用户允许访问 dns 服务
C
上网策略是否拒绝了拒绝 http 应用和 dns 应用
D
检查设备 URL 识别库是否已过期
跨三层环境下,为什么 AC 需要启用跨三层取 MAC 功能?(A )[2分]
A
经过三层设备后,源 MAC 地址改变了
B
经过三层设备后,目标 MAC 地址改变了
C
经过三层设备后,源 MAC 和源 IP 都改变了
D
经过三层设备后,目标 MAC 和目标 IP 都改变了
以下外部认证方式 AC 不支持的是?(D )[2分]
A
LDAP 服务器
B
RADIUS 服务器
C
POP3 服务器
D
微信认证
用户使用行为管理 AC 设备做网站封堵,发现部分 https 的网站依旧可以访问,下面排查合理的是?(D )
①URL 库是否更新到最新版本
②该 https 网站是否在应用识别库或 URL 规则库中
③策略是否配置正确
④该用户是否在全局排除地址中[2分]
A
①③
B
②③④
C
①③④
D
①②③④
下列关于 AC 封堵 https 和 http 网站的相同点说法正确的是?(A )[2分]
A
都是通过获取服务器的标识进行封堵 HTTP 和 HTTPS 网站
B
都是获取三次握手后的 GET 请求包中的 HOST 字段来识别服务器
C
针对封堵行为,都是先发送重定向包,再发送 RST
D
针对封堵行为,HTTPS 是先发重定向包,再发送 RST;HTTP 是直接发送 RST 结束 TCP 连接不发送重定向包
下列关于防共享功能的说法正确的是?( C)[2分]
A
可以只封堵通过代理上网的终端,不封堵代理 PC 本身
B
对公共账户无效
C
可以选择封堵用户还是封堵 IP
D
对全局排除的地址有效
以下关于终端管理的说法错误的是? (D )[2分]
A
android 平台支持识别具体终端型号
B
ios 不区分具体的型号版本
C
软件特征检测不支持 WebQQ 等,只支持客户端
D
同种手机型号的手机不支持识别
关于 AC 的流控管理系统,说法错误的是?( D)[2分]
A
AC 的流量管理系统功能,能对重要的应用进行带宽保障
B
AC 的流量管理功能,能基于用户和应用做不同的流量策略
C
AC 的流量管理功能,能对某些应用做排除
D
AC 的流量管理系统在网桥和旁路模式部署下不可用
下面关于流控管理的惩罚通道说法错误的是?(C )[2分]
A
惩罚通道要按应用来匹配,一个用户流量可以跑到多个惩罚通道
B
惩罚通道只能是限制通道
C
惩罚通道可以建立多个子通道
D
流量管控系统中,没有匹配上惩罚通道的流量继续走原有的通道配置流程
关于 AC 上网审计策略描述,错误的是?(C )[2分]
A
可以审计用户发贴内容
B
可以审计用户上网产生的流量
C
可以审计用户通过 HTTP 下载的文件内容
D
可以审计用户上网时长
下列关于 AC 设备 SSL 内容识别配置时,需要填写被识别的网站 URL,那么下列说法正确的是 ?( C)[2分]
A
可以使用通配符,例如 *.qq.com
B
一行如果有多个域名,使用”;”隔开
C
一行只能写一个域名
D
一行如果有多个域名,只能使用空格隔开
以下关于行为感知系统软件 BA2.0 说法错误的是?(C )[2分]
A
行为感知系统数据分析部分采用软件
B
行为感知系统数据采集部分采用硬件
C
软件要求支持 Windows Server 2012 及之后的服务器操作系统
D
行为感知中文安装支持在简体中文和繁体中文操作系统上运行
下列关于深信服下一代防火墙 NGAF 透明接口的特点说法正确的是?(C )[2分]
A
透明接口支持路由转发
B
透明接口是虚拟出来的接口,不是物理接口
C
透明接口根据 MAC 地址表转发数据
D
透明接口透明接口没有内外方向之分
某用户内网有服务器群,服务器均配置公网 IP 地址,提供所有用户直接通过公网 IP 地址接入访问。 内网用户使用私有地址,通过 NAT 转换上网。希望将 NGAF 设备部署在公网出口的位置,保护服务器群和内网上网数据的安全。请问以下哪种部署模式最适合用户网络?
(C )[2分]
A
透明模式部署
B
旁路模式部署
C
混合模式部署
D
路由模式部署
配置 NGAF 聚合接口时,下列哪种接口类型不支持聚合?( B)[2分]
A
路由
B
镜像
C
虚拟网线
D
透明
关于深信服 NGAF 透明接口和虚拟网线接口的区别说法错误的是?(B )[2分]
A
虚拟网线接口的转发性能高于透明接口
B
透明接口支持路由转发,虚拟网线接口不支持
C
透明接口和虚拟网线接口都是通过 MAC 表来转发数据
D
透明接口和虚拟网线接口都属于交换接口
以下哪项是 AF 僵尸网络防护误判排除的合理方式?(A )[2分]
A
发现某个终端流量被 AF 僵尸网络规则误判,可以在全局地址排除功能模块下添加该终端IP,那么此 IP 将不受僵尸网络策略的拦截
B
发现某个规则引起的误判拦截所有内网终端流量,可以在【安全防护对象】-【僵尸网络规则库】找到指定规则禁用后,所有僵尸网络策略都不会对此规则做任何拦截动作
C
发现某个终端的流量被 AF 僵尸网络规则误判,可以在僵尸网络功能模块下排除指定 IP, 那么此 IP 将不受僵尸网络策略的拦截
D
发现某个终端流量被 AF 僵尸网络规则误判,可以直接在内置数据中心中,查询僵尸网络日志后使用“添加例外”排除
下列关于僵尸网络说法错误的是?( A)[2分]
AA
僵尸网络是控制者出于恶意目的,传播僵尸程序控制大量主机,并通过一对一的命令与控制信道所组成的网络
B
僵尸网络可以用来做 DDOS 攻击
C
僵尸网络可以用来进行路由表投毒
D
僵尸网络的检测原理一般可分为:行为特征检测、bot 行为仿真与监控和流量数据特征匹配
开启 NGAF 直通模块后,以下哪个功能还生效?( C)[2分]
A
内容安全中的应用控制策略
B
入侵防御 IPS 策略
C
地址转换
D
流量控制
某客户希望通过 NGAF 实现防护 SSH 和 RDP 的暴力破解,请问此功能在哪个模块中配置?
(D )[2分]
A
僵尸网络
B
实时漏洞分析
C
WEB 应用防护
D
IPS
以下关于 NGAF 的 IPS 策略配置与安全防护对象规则的说法,正确的是?(A )[2分]
A
IPS 策略A检测攻击后操作设置为拒绝,规则设置为"启用,检测后拦截",则匹配到该规则的行为会被拦截
B
IPS 策略检测攻击后操作设置为拒绝,规则设置为"启用,检测后放行",则匹配到该规则的行为不会被放通
C
IPS 策略检测攻击后操作设置为拒绝,规则设置为"启用,检测后放行",则匹配到该规则的行为会被拦截
D
IPS 策略检测攻击后操作设置为允许,规则设置为"启用,检测后拦截",则匹配到该规则的行为不会被放通
DOS 攻击不包括以下哪一种?( A)[2分]
A
ARP 攻击
B
Smurf 攻击
C
DNS Flooding
D
UDP Flooding
对于 IDS 和 IPS 的区别以下说法正确的是?(C )[2分]
A
IDS 一般采用特征识别的方法,丢弃实时攻击的数据;IPS 不但可以丢弃实时的攻击数据,也能记录攻击行为,以备审计
B
IDS 一般以串联的方式部署,IPS 一般以旁路的方式部署
C
IDS 只能检测不能阻断,IPS 既可以检测也可以阻断
D
IDS 阻断攻击的能力比 IPS 强
下列关于 NGAF 实时漏洞分析技术说法错误的是?(D )[2分]
A
实时漏洞扫描依赖应用识别结果,需要此功能正常运行建议先开通应用识别库序列号
B
实时漏洞分析功能不支持集中管理
C
实时漏洞分析功能不支持 UDP 协议分析
D
实时漏洞分析功能仅支持标准端口的服务
SSL VPN 发布了 TCP 应用,客户端是如何识别哪些流量需要走 VPN 隧道的? (C )[2分]
A
客户端安装虚拟网卡
B
客户端安装专用浏览器
C
客户端安装 ProxyIE 控件
D
不需要识别
SSL VPN 属于 OSI 模型中的那一层?(D )[2分]
A
数据链路层
B
网络层
C
传输层
D
应用层
用户使用手机办公且不希望安装额外的控件,应该使用哪种 SSL VPN 资源?(A )[2分]
A
WEB 应用
B
TCP 应用
C
L3VPN
D
远程应用
用户通过 SSL VPN 使用视频相关的业务(基于 linux),应该发布那种资源?(C )[2分]
A
WEB 应用
B
TCP 应用
C
L3VPN
D
远程应用
下列哪个不是 SSL VPN 的优势?( A)[2分]
A
服务器安全
B
终端安全
C
传输安全
D
审计安全
下列哪个是 SSL VPN 支持的组网方式?( A)[2分]
A
网关模式
B
旁路模式
C
镜像模式
D
代理模式
下列哪个认证类型不是主要认证?( D)[2分]
A
用户名密码认证
B
数字证书认证
C
LDAP 认证
D
短信认证
下列哪个是 SSL VPN 最常用的部署模式?(A )[2分]
A
单臂模式
B
镜像模式
C
网桥模式
D
透明模式
如果需要分配资源的访问权限给用户,可以通过以下哪项配置实现?C( C)[2分]
A
通过用户管理将用户账号与虚拟 IP 绑定
B
通过准入策略设置用户允许访问的资源
C
通过角色管理把用户和资源关联起来
D
只要硬件特征码通过,即可访问资源
模拟三
以下哪个命令用于测试网络连通性?( C )[2分]
A
ipconfig
B
nslookup
C
ping
D
tcpdump
RIP 协议的度量值最大为多少?( C)[2分]
A
14
B
15
C
16
D
20
有一台 Windows Server 2008 的文件服务器名为 FileServer,在 D 盘中设置了共享文件夹share,共享名为 share$,通过什么路径可以访问该共享文件夹?( A)[2分]
A
\\FileServer\\share$
B
\\FileServer
C
\\FileServer\\share
D
\\d:\\software
下列关于组策略对象(GPO)的说法,正确的是?(C )[2分]
A
只能够链接到域
B
只能够链接到单个 OU
C
可以链接到站点、域或者 OU
D
可以链接到单个用户
下列关于 DHCP 服务器动态分配 IP 地址的过程,正确的是?(D )[2分]
A
服务器和主机之间会通过协商来指定协议的长度
B
地址是永久分配的以便让主机长时间使用相同的地址
C
在一定时间内地址是固定分配的,到期后再发送一个新的地址请求,会分配一个新的地址给主机
D
地址租凭给主机,定期的向 DHCP 服务器发送请求来保持相同的地址
下面哪个 Linux 命令适合查看小文件? ( B )[2分]
A
less
B
cat
C
more
D
grep
DNS 域名系统主要负责主机名和什么之间的解析?( A)[2分]
A
IP 地址
B
MAC 地址
C
网络地址
D
主机别名
以下关于邮件服务中 POP3 和 SMTP 协议的说法错误的是?(B )[2分]
A
用来发送或者转发电子邮件的是 SMTP 服务
B
SMTP 服务是基于 UDP 端口 25
C
用来接收和存储邮件的是 POP3 服务
D
POP3 基于 TCP 端口 110
在开放系统互连参考模型 OSI 中,传输的比特流划分为帧的是哪一层?( A)[2分]
A
数据链路层
B
网络层
C
传输层
D
会话层
下列攻击中,哪一项是应用层常见的攻击?( D )[2分]
A
溢出攻击,病毒木马,Smurf 攻击
B
设备破坏,线路监听
C
IP 欺骗,ARP 欺骗
D
web 应用的攻击,漏洞利用
某电子商务网站最近发生了一起安全事件, 出现了一个价值 1000 元的商品用 1 元被买走的情况,经分析是网站设计时出于性能考虑,在浏览时使用 HTTP 协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击者将价值 1000 元的商品以 1 元添加到购物车中,而付款时又没有验证的环节,导致以上问题。对于网站的这个问题原因分析及解决措施,下列哪项是最正确的说法? (B )[2分]
A
该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的问题,应对全网站进行安全改造,所有的访问都强制要求使用 https
B
该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
C
该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决
D
该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可
对恶意代码的预防,需要采取增强安全防范策略与意识等措施,关于以下预防措施或意识, 说法错误的是?(C )[2分]
A
在使用来自外部的移动介质前,需要进行安全扫描
B
限制用户对管理员权限的使用
C
开放所有端口和服务,充分使用系统资源
D
不要从不可信来源下载或执行应用程序
关于对称加密体制和非对称加密体制,以下说法错误的是?( B )[2分]
A
对称加密体制的优势在于算法相对非对称加密体制简单,被广泛运用于业务数据加密
B
对称加密算法有:DES,AED,IDEA,RC 系列等等,其安全性 DES 最为突出
C
近代加密学和古典加密学相比最大的优势在于算法和密钥都严格保密提高了算法的安全性
D
非对称加密体制由于公钥和私钥不能互相推导安全性较高,被广泛运用于数据通信加密以及身份认证领域
下列关于 IPSEC 穿越 NAT 时存在的问题说法不正确的是?( C )C[2分]
A
IKE 协商的 IP 地址和端口不匹配
B
IPSEC 不能验证经过 NAT 转换的报文
C
IPSEC 不能加密经过 NAT 转换的报文
D
NAT 超时影响 IPSEC
关于 IKE 的描述不正确的是?(B )[2分]
A
IKE 不是在网络上直接传送密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥
B
IKE 是在网络上传送加密后的密钥,以保证密钥的安全性
C
IKE 采用完善前向安全特性 PFS,一个密钥被破解,并不影响其他密钥的安全性
D
IKE 采用 DH 算法计算出最终的共享密钥
以下关于第三方 IPSEC VPN 对接,说法正确的是?( A)[2分]
A
标准 IPSEC VPN 中,启用 DPD(对等体死亡检测)可以防止 VPN 隧道黑洞
B
标准 IPSEC VPN 中,我方以固定 IP 公网网关部署,对方是内网网关部署,如果需要 VPN 建立成功,必须是对方主动发起 VPN 连接才行
C
SANGFOR 在第三方 IPSEC VPN 对接时支持多线路选路
D
跟第三方建立 IPSEC VPN 时,双方都是公网网关部署,但是我方是固定 IP,对方是动态拨号,那么建立 VPN 时只能选择既可以选择主模式,也可以选择野蛮模式部署
在部署 SANGFOR VPN 时,下列哪些场景下不需要在 VPN 总部设备中配置虚拟 IP 池? ( B )[2分]
A
无 PDLAN 接入时
B
分支用户接入,并启用了隧道内 NAT
C
第三合作伙伴接入
D
分支用户接入
SANGFOR VPN 所使用的端口是?(A )[2分]
AA
默认端口是 4009,可以修改
B
默认 443
C
端口随机协商
D
属于网络层 VPN,没有端口
IPSec VPN 安全技术没有用到下列哪项?( C )[2分]
A
隧道技术
B
加密技术
C
入侵检测技术
D
身份认证技术
关于 SANGFOR VPN 建立条件,说法不正确的是?( C )[2分]
A
至少有一端在公网上可访问,即“可寻址”或固定 IP
B
建立 VPN 两端的内网地址不能冲突
C
至少一端是总部,但是不需要授权
D
建立 VPN 两端的版本要匹配
关于 SANGFOR VPN 的说法正确的是?(A )[2分]
A
建立总部与移动的 VPN 类型,需要使用虚拟 IP
B
建立总部与分支的 VPN 类型,需要使用虚拟 IP
C
建立总部与移动的 VPN 类型,不需要使用虚拟 IP
D
建立 SANGFOR VPN 都需要使用虚拟 IP
以下哪个需求在 AC 旁路模式下能够实现?(A )[2分]
A
禁止用户访问赌博网站
B
禁止用户使用 QQ
C
对视频流量进行限速
D
禁止迅雷下载
AC 设备使用网桥模式部署时,支持下列哪项功能?( B )[2分]
A
VPN
B
流控
C
DHCP
D
NAT
下列哪项是 AC 设备路由模式、网桥模式和旁路模式均支持的功能?(D )[2分]
A
VPN
B
对视频做限速
C
Bypass
D
记录上网行为
下列关于 AC 设备说法正确的是?(A )[2分]
A
路由模式部署时,LAN 口和 DMZ 口都有保留地址
B
网桥模式部署时,只有 DMZ 口有保留地址
C
旁路模式部署时,LAN 口和 DMZ 口都有保留地址
D
无论路由模式、网桥模式还是旁路模式,LAN 口都有保留地址
如果无法登录 AC 设备(如无法获得设备接口地址),可以尝试恢复出厂设置,下列关于恢复出厂设置的操作顺序正确的是?(B )
①准备一根交叉线;②将设备关机;③使用交叉线连接设备面板上任意两个非一组 bypass 电口;④等设备起来后,即可通过出厂地址,默认控制台账号和密码登录设备;⑤将设备加电开机,一直等待,直到设备重启,此时务必拔掉短接电口的交叉线;⑥使用交叉线连接设备面板上任意两个一组 bypass 电口;[2分]
A
②①③⑤⑥
B
②①③⑤④
C
①②③⑤④
D
①②③⑤⑥
一位工程师为用户部署 AC 设备,采用网桥模式,但是不小心把网线接反了,即 WAN 口接了内网交换机,LAN 口接了外网路由器。在这样的情况下,以下哪个功能可以正常使用?(C )[2分]
A
用户认证
B
上网策略
C
用户上网
D
流量控制
配置跨三层 MAC 识别时,AC 做为 SNMP 客户端,不支持查询交换机开启哪个版本的 SNMP?
( C)[2分]
A
SNMPV1
B
SNMPV2
C
SNMPV3
D
SNMPV2C
以下关于端口映射实现原理的说法正确的是?(A )[2分]
A
端口映射即 DNAT,用来设置对数据包目标 IP 地址进行转换的规则
B
端口映射即 SNAT,用来设置对数据包源 IP 地址进行转换的规则
C
端口映射即 DNAT,用来设置对数据包源 IP 地址进行转换的规则
D
端口映射即 SNAT,用来设置对数据包目标 IP 地址进行转换的规则
客户设备上架后,配置跨三层 MAC 绑定后,无法获取交换机的 ARP 表,下列排查方式不合理的是?( C )[2分]
A
确认交换机 SNMP 版本协议,是否为 AC 所支持
B
检查交换机与设备通讯是否正常
C
检查中间设备是否有拦截 UDP162 端口
D
检查交换机配置、ACL 和团体名
下列关于旁路模式说法正确的是?( D)[2分]
A
旁路模式多用于审计,可以对 TCP、UDP 做控制
B
旁路模式对客户原有网络改造影响最小,设备宕机可能会影响客户断网
C
旁路模式下可以使用监听口来管理设备
D
旁路模式除了管理口外,其他网口均可作为监听口,可以同时选择多个网口作为监听口
设备启用 SSL 内容识别后,打开 HTTPS 加密网站,弹出证书错误告警,客户希望取消此告警,请问下列说法正确的是?( C )[2分]
A
无法取消此告警
B
此网站证书有效时间过期了,重新生成证书即可取消此告警
C
从 AC 设备下载“SSL 识别根证书”安装,即可取消此告警
D
AC 设备本身无法联网,修改配置使 AC 可以联网,即可取消此告警
客户需求针对 HTTP 下载文件进行流量限制,但不能影响访问网站,下列选项中合理的是?
( B)[2分]
A
无法实现此需求
B
建立流量限制通道,通道适用应用选择所有“文件类型”
C
建立流量限制通道,通道适用应用选择“下载工具”
D
建立流量限制通道,通道适用应用选择“访问网站”
下列选项中,哪个选项必须要使用准入策略?( C )[2分]
A
审计邮件客户端发送邮件内容
B
审计 webQQ 聊天内容
C
审计电脑客户端 QQ 聊天内容
D
审计加密论坛发贴内容
下列哪项不是 Sangfor 的 AC 设备实现防 PC 共享的技术?(D )[2分]
A
DPI 检测技术
B
字体检测技术
C
辅助检测技术
D
SNMP 扫描检测技术
下面关于外置数据中心的说法,错误的是?(C )[2分]
A
当客户需要长期保存日志时,推荐安装外置数据中心
B
外置数据中心才有附件内容搜索功能
C
外置数据中心支持安装在 linux 系统上
D
外置数据中心推荐安装在 windows 服务器系统上
AC 设备路由模式最多支持多少外网线路?( C)[2分]
A
24 条
B
24 对
C
32 条
D
32 对
下列选项中,关于全局排除地址的说法错误的是?(C )[2分]
A
全局排除地址可以排除源 IP 地址或目标 IP 地址
B
应用控制对于全局排除的地址不再生效
C
防火墙规则对于全局排除的地址不再生效
D
全局排除中的主机上网行为不会被记录
客户购置了一台 AC 设备,路由模式部署作为互联网出口网关,内网有服务器需要对外提供服务,所以在设备上配置了端口映射,但是发现仍旧无法访问,以下排查不合理的是?(D )[2分]
A
检查内网 PC 到 WEB 服务器的访问是否正常
B
检查 AC 到 WEB 服务器的访问是否正常
C
检查外网访问的流量是否到达 AC 的外网口,向运营商确认端口是否正常开放
D
检查 AC 的上网策略,开启直通测试
计算机病毒的工作过程是?( A )[2分]
A
潜伏阶段-传染阶段-触发阶段-发作阶段
B
传染阶段-潜伏阶段-触发阶段-发作阶段
C
传染阶段-触发阶段-潜伏阶段-发作阶段
D
潜伏阶段-触发阶段-传染阶段-发作阶段
下列哪个是 NGAF 的僵尸网络防护中只检测不拦截的功能?(A )[2分]
A
异常流量
B
移动安全
C
恶意链接
D
木马远程
下列有关 NGAF 透明口与虚拟网线接口的说法中,错误的是?(D )[2分]
A
透明口与虚拟网线接口都属于二层接口,不具备基本的路由转发功能
B
透明口在进行数据转发时是根据其 MAC 地址表进行转发的
C
虚拟网线在进行数据转发时直接从虚拟网线配对的接口进行数据转发,不需要检查 MAC 表
D
如果要设置两对虚拟网线,那么必须开通双线路授权,而设置两对透明口,就不需要开通双线路授权
在混合模式部署环境下,客户的服务器接在 NGAF 的一个 LAN 口中,服务器网口配置了公网IP,要求外网能正常访问服务器的地址,并且也要保证另外一个 LAN 口下配置私网 IP 的 PC 能正常上网,下列说法正确的是?( D )[2分]
A
混合模式必须将 WAN 口配置为路由口
B
混合模式所有 LAN 口都必须是交换口
C
混合模式与配置公网 IP 服务器相邻接口必须是路由口
D
混合模式必须将 WAN 口配置为交换口
如下图所示环境,客户内网有服务器群,服务器需配置公网 IP 地址,现客户想采用深信服NGAF 进行规划部署,提供内网用户上网,且能通过公网 IP 地址直接访问服务器,该如何配置更合理?( D)[2分]
A
NGAF 路由模式部署,全部配置路由接口,内网用户通过 NAT 上网
B
NGAF 路由模式部署,全部配置路由接口,内网用户通过 NAT 上网,服务器通过 NAT 发布
C
NGAF 混合模式部署,eth1 配置路由接口,eth2 和 eth3 配置透明接口,内网用户通过 NAT 上网,服务器通过 NAT 发布
D
NGAF 混合模式部署,eth3 配置路由接口,eth1 和 eth2 配置透明接口,内网用户通过 NAT 上网
关于 NGAF 风险分析技术以下说法错误的是?( A)[2分]
A
风险分析可以分析服务器是否开放了必要的端口
B
风险分析可以分析服务器自身操作系统存在的漏洞
C
风险分析可以分析服务器自身软件存在的漏洞
D
风险分析可以分析服务器网站是否存在登
以上是关于深信服scsa模拟题加知识点总结的主要内容,如果未能解决你的问题,请参考以下文章