深信服SCSA安全工程师题库（方便大家复习备考）

大家好，又见面了，我是你们的朋友全栈君。

1、【EDR】下列哪个端口是紧急情况下EDR管理平台和客户端通信端口，即紧急情况下用于下发Agent重启、Agent卸载和Agent停止等指令。( )
A：443.0
B：54120.0
C：8083.0
D：8088.0
正确答案B
2、【EDR】客户有7000个终端需要安装EDR客户端进行安全防护， 请问推荐部署多少个EDR管理平台( )
A：1个
B：2个
C：4个
D：6个
正确答案Ｃ
3、【EDR】EDR的Agent客户端不支持在以下哪种类型的终端上安装( )
A：Windows Server
B：Windows PC
C：Android平板
D：Linux服务器
正确答案C
4、【EDR】Agent与EDR管理平台通信不会使用到以下哪个端口( )
A：8088.0
B：443.0
C：54120.0
D：8083.0
正确答案A
5、【EDR】部署EDR管理平台之前，不需要做下列哪项准备工作？
A：安装环境硬件资源确认
B：网络联通性确认
C：Linux系统版本确认
D：Windows系统版本确认
正确答案：D
6、【EDR】以下哪个选项不是EDR的组成部分？
A：云查服务中心
B：EDR管理平台
C：Agent客户端
D：SSL VPN客户端
正确答案：D
7、SSL同一个客户的不同属性或者不同部门的用户（组）要有自己的个性化登录界面可以通过（）来实现？
A：策略组
B：角色授权
C：登录策略
D：端点安全
正确答案：C
8、关于登录策略说法正确的是？
A：登录策略功能不支持EC登录，只支持浏览器方式登录
B：登录策略功能可以和SSL VPN多线路选路功能一起用
C：启用登录策略不会导致VPN在线用户断开
D：以上说法都不对
正确答案：A
9、某领导想要实现自己的账号登录SSL VPN后就直接跳转到门户登录界面，对其他人的账不做要求，该如何配置（ ）
A：新建该领导账号，将门户资源与账号直接关联即可
B：新建该领导账号，同时新建策略组；将新建策略组关联给该用户
C：新建该领导账号，同时新建策略组，在策略组中修改账号控制的用户登录后跳转到门户资源；最后将用户和新建策略组关联
D：新建该领导账号，同时修改默认策略组中修改账号控制的用户登录后跳转到门户资源；最后将用户和默认策略组策略组关联
正确答案C
10、关于ssl vpn的策略组， 下列哪项功能是不具备的( )
A：用户拨上ssl vpn后， 限制其使用vpn的带宽
B：用户拨上ssl vpn后，限制其访问互联网
C：用户拨上ssl vpn后，设置其在每天凌晨02:00自动断开vpn
D：用户拨上ssl vpn后，设置其自动跳转到关联的某个资源
正确答案C
11、下列关于SSL专线功能的应用场景， 说法正确的是：( )
A：启用SSL专线功能后， 用户可以访问所有内网资源
B：通过SSL专线功能， 移动用户只能访问TCP资源
C：通过SSL专线功能， 移动用户和总部建立一条专有的线路，加快访问速度
D：启用SSL专线功能后， 移动用户接入SSLVPN后将无法访问Internet
正确答案D
12、Windows 2000(2003) Server远程桌面的服务端口默认是?( )
A：389
B：3389
C：500
D：4500
正确答案B
13、[SSL] L3VPN资源不支持基于下列哪种协议的应用?( )
A：ICMP
B：SMTP
C：POP
D：PPPOE
正确答案D
13、[SSL] 关于SANG FOR SSL VPN中TCP资源， 说法正确的是?( )
A：只支持windows系统32位/64应用程序
B：用户端系统会自动添加指向资源的路由
C：用户登录后可以ping通服务器地址
D：支持BS、CS架构的32位基于TCP协议的应用
正确答案D
14、[SSL] 以下哪项应用不能添加成TCP应用类型?( )
A：远程桌面（Terminal service）
B：邮件收发（SMTP、POP3）
C：数据库查询(MSSQL、ORACLE)
D：域名解析（DNS）
正确答案D
解释说明无
15、[SSL] 关于SANG FOR SSL VPN中TCP应用类型资源说法错误的是?( )
A：需要依赖客户端控件
B：支持DNS解析
C：支持用户新开浏览器输入地址访问
D：支持点资源页面访问
正确答案B
16、TCP资源与L3VPN资源同一地址同时发布时， 以下说法正确的是( )
A：TCP资源优先
B：L3VPN资源优先
C：L3VPN资源不会生成路由
D：TCP资源会在电脑上生成路由
正确答案A
17、以下关于TCP资源以下说法正确的是( )
A：TCP资源仅支持发布TCP协议
B：TCP资源可以被ping通
C：TCP资源会在电脑上产生路由
D：TCP资源不可以与L3VPN资源同时使用
正确答案A
18、以下关于L3VPN资源以下说法正确的是( )
A：L3VPN资源不支持ICMP三种协议
B：配置L3VPN资源时必须配置应用程序路径
C：想要通过SSL VPN ping通资源地址必须发布L3VPN资源
D：L3VPN资源不支持单点登录
正确答案C
19、对于L3VPN应用， 以下说法正确的是：( )
A：发布DNS服务器时， 可以配置成L3VPN应用或者TCP应用资源
B：对于L3VPN应用支持的资源类型， TCP应用也都支持
C：如果HTTP服务器的IP范围不确定， 只能配置成L3VPN应用
D：使用L3VPN应用时， PC上会安装虚拟网卡并分配一个虚拟IP，且这个虚拟IP是可以指定的
正确答案D
20、某客户端电脑登录VPN之后访问不了L3VPN资源，下列排查方法不合理的是( )
A：可以通过ipconfig/all命令查看SSL的虚拟网卡是否存在
B：若ipconfig/alI发现获取不到虚拟IP可以尝试使用驱动卸载工具扫描电脑是否存在恶意驱动
C：尝试退出杀毒软件、windows防火墙再手动安装插件
D：尝试通过一键修复工具重置LSP试试
正确答案D
21、如下关于SSL VPN用户访问资源的说法， 错误的是：( )
A：一个用户可以关联多个角色授权
B：如果用户不关联角色授权，默认资源组的资源也无法访问
C：如果用户需要关联多个资源，只能创建和关联多个角色授权
D：如果角色管理里关联用户组A和资源C，则添加到用户组A的用户也能访问资源C
正确答案C
22、以下哪项应用不能添加成TCP应用类型：( )
A：数据库查询(MSSQL、ORACLE)
B：远程桌面(Terminal service)
C：邮件收发(SMTP、POP 3)
D：域名解析(DNS)
正确答案D
23、在如下哪种情况下， 必须添加L3VPN应用才能访问到服务器：( )
A：所有C/S架构的应用
B：使用HTTP协议的大型网站服务器
C：即时通讯工具等使用UDP协议的应用
D：基于TCP的应用， 包括C/S和B/S等应用
正确答案C
24、以下关于ssl vpn资源的说法， 正确的是（）
A：WEB资源可以发布内网的MYSQL SERVER数据库应用
B：TCP资源可以支持P2P应用
C：TCP资源可以发布ICMP协议
D：L3VPN资源可以直接发布SSH协议
正确答案D
25、客户使用深信服的ssl vpn， 希望实现PC所有的流量全部走vpn隧道， 以下哪种实现方式可行()( )
A：关联新建的L3VPN资源：1.0.0.1-223.255.255.254
B：关联新建的TCP资源：0.0.0.0-255.255.255.255
C：在策略组中启用SSL专线
D：关联默认的L3VPN全网资源
正确答案A
26、某公司网管希望SSL VPN连接进来之后能ping通内网服务器进行测试，需要给他建哪种资源：( )
A：L3VPN资源
B：TCP资源
C：远程应用资源
D：WEB资源
正确答案A
27、下面有关资源的说法错误的是( )
A：客户端登陆时TCP资源不需要安装控件
B：安卓和IOS客户端支持访问TCP类型的远程桌面
C：访问WEB资源可以不安装控件
D：L3VPN资源需要安装虚拟网卡
正确答案A
28、客户内网有一台DNS服务器， 现想实现通过登录SSL VPN能ping通该DNS服务器， SSL VPN通过配置什么类型的资源可以满足该需求()
①.WEB应用②.TCP应用③.L3VPN应用( )
A：①②
B：②③
C：③
D：①②③
正确答案C
29、下列关于ssl vpn资源的说法正确的是(( )
A：ssl vpn的资源不可以做排序
B：ssl vpn资源可以关联给不同用户
C：ssl vpn的资源导入导出时需要用txt格式
D：ssssl vpn只有web应用的资源可以隐藏
正确答案B
30、客户发现拨上ssl vpn后，无法访问所关联的资源，以下哪项不属于合理的排查措施
A：如果关联的是L3VPN资源， 在PC上route print命令查看vpn路由是否有下发
B：如果关联的是L3VPN资源， 查看PC上虚拟IP是否有获取到
C：使用s vpn tool卸载掉所有控件， 然后重装控件
D：在vpn设备上做ping测试， 如果ping不通所关联的服务器， 那问题一定是出在vpn设备到服务器之间的这段链路上
正确答案D
31、[SSL] 如果要分配资源的访问权限给用户， 是通过以下哪项配置实现的?( )
A：通过用户管理把用户帐号绑定指定的虚拟IP
B：通过角色管理把用户和资源管理起来
C：通过准入策略设置用户允许访问资源
D：只要硬件特征码认证通过了，就能访问资源
正确答案B
32、[SSL] 下列关于SANG FOR VPN中的用户、角色、资源之间关系的描述错误的是?( )
A：一个用户可以对应多个角色
B：一个角色可以对应多个用户
C一个角色可以对应多个资源
D：一个用户可以对应多个用户组
正确答案D
33、以下客户需求中，无法实现的是：( )
A：SSL VPN用户账号进行分组管理， 不同组的用户登录SSL VPN后访问不同的资源
B：管理员分权限管理，普通管理员只能查看SSL VPN运行状态， 高级管理员拥有所有权限
C：给同一个用户关联多个策略组和多个角色
D：资源分组进行管理，不同部门的资源划分到不同的资源组
正确答案C
34、在角色A里面给用户test 1关联了①， ②资源， 然后在角色B里面给用户组group 1关联上了②，③资源， 用户test 1属于组group 1，现在用户test 1 拥有哪些资源（）
A：①，③
B：①，②，③
C：②
D：①，②
正确答案B
 
35、如果要分配资源的访问权限给用户，是通过以下哪项配置实现的?( )
A：通过用户管理把用户帐号绑定指定的虚拟IP
B：通过角色管理把用户和资源关联起来
C：通过准入策略设置用户允许访问资源
D：只要硬件特征码认证通过了，就能访问资源
正确答案B
36、下列关于SANG FOR VPN中的用户、角色、资源之间关系的描述错误的是( )
A：一个用户可以对应多个角色
B：一个角色可以对应多个用户
C：一个角色可以对应多个资源
D：一个用户可以对应多个用户组
正确答案D
37、下列关于ssl vpn角色授权的说法正确的是( )
A：如果关联的角色被删除，已经登录的用户马上会无法访问对应的资源
B：一个用户关联了多个角色，那么他的资源权限是叠加的
C：资源的权限报告只能生成可访问指定资源的用户列表
D：角色管理菜单里的搜索无法直接搜索到具体用户
正确答案B
38、某客户反馈SSL VPN接入后无法访问资源，排查方法欠佳的是( )
A：尝试换电脑测试，确认是否是客户端问题
B：尝试使用关联了内网所有网段资源的SSL VPN用户账号接入SSL VPN后，访问该资源
C：在控制台使用ping命令测试，SSL VPN到该资源服务器连通性
D：在终端上ping资源监测是否能通
正确答案D
39、以下关于SSL设备说法正确的是( )
A：SSL默认使用443端口登录控制台
B：SSL默认所有网口都可以作为WAN口使用
C：SSL的DMZ口默认地址10.254.253.254/24
D：SSL的LAN口子接口地址是10.111.222.33/24
正确答案C
40、如下关于SSL VPN的控件，说法正确的是：( )
A：所有用户登录SSL VPN，必须安装控件，否则访问不了任何资源
B：SSL VPN的控件可以自动安装， 也可以手动下载安装
C：如果IE安全级别较高导致控件不能自动安装，换个浏览器就可以正常登录
D：控件如果损坏，可以使用升级客户端Updater 6.0手动卸载， 重新安装
正确答案B
41、客户购置了一台SSL VPN设备以单臂模式部署在内网中， 发现用户无法通过外网接入SSL VPN，以下哪个排查是没有意义的( )
A：查看SSL用户界面的端口是否被修改过
B：查看出口路由器是否做了端口映射
C：查看出口路由器是否配置了访问控制列表，SSL VPN设备的443端口无法访问
D：使用内网其他设备尝试ping SSL VPN发布至外网的IP
正确答案Ｄ
42、某单位对业务组要求登录SSL VPN后不能访问外网，该如何配置?( )
A：新建策略组-业务组，在客户端管理中启用SSL VPN专线功能； 创建一个用户组-业务组，设置相关认证方式；将业务组策略组与业务组用户组进行关联即可
B：新建用户组-业务组；新建全网资源-业务资源；将业务资源与业务组关联即可
C：在SSL系统选项中启用内网域名解析， 填写内网DNS即可
D：新建用户组-业务组，直接将默认策略组关联给该用户组即可
正确答案A
43、[SSL] 关于SANG FOR SSL VPN中的“用户”描述中，错误的是?( )
A:本地用户归属于唯一的用户组
B：一个账户可以同时设置为私有用户与公有用户
C：公有用户可以多人同时登录
D：私有用户只能同时一个人用户登录使用
正确答案B
44、[SSL] 以下关于“公共用户”， 描述正确的是?( )
A：“公共用户”支持本地用户认证和证书认证
B：“公共用户”支持短信认证，令牌认证等辅助认证
C：“公共用户”不支持硬件特征码认证
D：“公共用户”不允许用户在线修改登录密码
正确答案D
45、以下关于SSL VPN新建用户的说法，正确的是( )
A：使用数字证书认证，名称可以留空
B：使用用户名密码认证的时候才需要填写名称
C：使用硬件特征码认证的时候才需要填写名称
D：使用外部认证和动态令牌认证的时候名称不可以留空
正确答案D
46、关于SSL VPN的用户描述， 正确的是（ ）
A：一个用户只能够关联一个组
B：一个用户只能够关联一个角色
C：一个用户可以关联多个虚拟IP地址
D：一个用户可以关联多个策略组
正确答案A
47、下列关于ssl vpn私有用户和公有用户说法错误的是( )
A：私有用户的认证方式可以只采用短信认证
B：公有用户只能关联一个策略组
C：公有用户的认证方式不可以采用短信认证
D：私有用户可以关联多个角色
正确答案A
48、以下关于SSL VPN公有用户和私有用户的说法，错误的是( )
A：公有用户’允许多人使用，在同一时间内同时登陆SSL VPN
B：’私有用户’同一时间只允许一台PC使用
C：公有用户’可以在线修改D KEY的PIN码
D：’私有用户’可以在线修改登陆密码、D KEY的PIN码、手机号码等
正确答案C
49、下面有关私有用户和公有用户的说法错误的是( )
A：公有账号可以支持硬件特征码认证
B：私有账号可以采用本地密码认证和证书认证
C：公有账号可以启用短信认证
D：公有账号支持多个人同时使用
正确答案C
50、针对于外置数据中心，以下说法正确的是( )
A：忘记密码需要重装系统
B：使用的syslog协议
C：对接集群，在传输限制中只用添加集群IP
D：安装系统时， 磁盘文件类型需要选择ext 4
正确答案B
51、关于外置数据中心，下列说法正确的是( )
A：外置数据中心可以使用Redhat系统安装
B：外置数据中心登录端口默认是443
C：外置数据中心使用UDP 514端口通信
D：外置数据中心日志默认保存180天
正确答案D
52、[SSL] SANG FOR SSL VPN与微软AD域对接实现用户认证，以下相关说法正确的是?( )
A：SSL VPN设备端不需要进行任何配置即可进行对接认证
B：需要将AD域用户同步到SSL VPN设备才能用于用户认证
C：同步用户信息包含用户组织结构、用户名、用户密码等信息
D：用户登录时账户校验是在AD域上进行
正确答案D
53、[SSL] 关于“本地认证”和“外部认证”的说法中， 正确的是?( )
A：本地认证是指在客户端本地进行认证
B：外部认证是指用户认证发送到外部进行验证
C：外部认证是指客户端主动与外部认证系统进行交互认证的一种方式
D：本地认证的用户账户密码也是保存在外部服务器
正确答案B
54、[SSL] 关于硬件特征码的描述中， 错误的是?( )
A：一个终端设备只有一个硬件特征码
B：多个用户可以对应一个硬件特征码
C：一个用户可以对应多个硬件特征码
D：硬件特征码根据时间变化会自动改变
正确答案D
55、[SSL] 关于SANG FOR SSL VPN用户认证， 都为主认证方式的是?( )
A：用户名密码、短信认证
B：数字证书、硬件特征码
C：LDAP认证、令牌认证
D：用户名密码、数字证书
正确答案D
56、关于SSL VPN对接LDAP认证服务器做认证说法正确的是( )
A：结合LDAP做认证， 导入用户到本地， 域用户的密码也会导入到本地
B：结合LDAP做认证， 导入用户到本地， 可以修改域控管理员的密码
C：结合LDAP做认证， 导入用户到本地， 在设备上面删除用户域控会自动同步删除
D：结合LDAP做认证， 导入用户到本地， 域控删除账号设备也会自同步删除
正确答案Ｄ
57、以下关于匿名登录说法不正确的是( )
A：开启匿名登录用户管理会自动生成一个匿名用户组
B：给匿名用户关联策略组和角色授权需要关联给匿名用户组
C：匿名用户登录后用户名显示为Anonymous
D：匿名登录功能启用后默认就是所有用户都无需认证， 输入vpn地址就直接登录了
正确答案D
58、关于本地密码认证以下说法不正确的是( )
A：公有用户可以自行修改密码
B：私有用户可以自行修改密码
C：密码可以设置过期策略，过期时强制修改密码
D：用户设置密码时可以指定密码强度，不符合密码策略则强制修改密码
正确答案A
59、双11后，客户领了很多阿里云的优惠券于是想把短信认证迁移到阿里云上使用阿里云短信认证，于是需要你协助实施，你不需要获取哪些信息?( )
A：短信内容
B：短信模板CODE
C：短信签名
D：Accesskey ID&AccessKey Secret
正确答案A
60、以下关于数字证书认证的说法，错误的是：( )
A：SSL设备自带CA中心， 可以直接生成数字证书进行认证
B：同个用户无法同时使用证书认证和D key认证
C：要想使用数字证书认证， 必须要使用D KEY
D：设备生成用户证书时，需要设置证书的过期时间
正确答案C
61、以下关于SSL VPN用户认证的说法， 错误的是：( )
A：同个用户可以关联多个硬件特征码
B：同个用户可以同时启用多种辅助认证
C：用户的认证方式可以只使用’硬件特征码’认证
D：私有用户’和’公共用户’都可以设置用户的过期时间
正确答案C
62、针对SSL VPN启用数字证书认证的说法， 错误的是：( )
A：证书认证不可以单独使用
B：只有私有用户才能使用数字证书认证
C：证书认证和LDAP认证可以同时使用
D：使用客户端和浏览器登录时都支持证书认证
正确答案A
63、关于硬件特征码认证功能，描述正确的是：( )
A：一个用户只能关联一个硬件特征码
B：硬件特征码不支持自动审批
C：硬件特征码可以设置过期时间
D：同一台PC用不同的SSL账号登录， 提交的硬件特征码是一样的
正确答案D
64、客户现在要在手机上面使用easy connect客户端登录ssl vpn， 手机不支持以下哪种认证方式( )
A：动态令牌
B：证书认证
C：dkey认证
D：硬件特征码认证
正确答案C
65、客户通过SSL VPN发布财务部门的ERP系统， 针对财务部门的要求是必须是固定的电脑接入而且必须是在自己的电脑上登录；其他非财务部门的人可以使用其他电脑登录，考虑到安全性，希望通过其他安全机制来保证安全性，针对该需求如何实现说法正确的是( )
A：财务部门采用用户名密码认证和硬件特征码认证，其他非财务部门采用用户名密码和短信认证
B：财务部门采用硬件特征码认证，其他非财务部门采用用户名密码和短信认证
C：财务部门采用用户名密码认证和短信认证，其他非财务采用用户名密码和证书认证
D：财务部门采用用户名密码和证书认证，其他非财务采用用户名密码和证书认证
正确答案A
66、下列关于ssl vpn硬件特征码、终端设备和用户之间的关系说法错误的是( )
A：一个终端设备只有一个硬件特征码
B：多个用户可以对应一个硬件特征码
C：一个用户可以对应多个硬件特征码
D：硬件特征码必须经过管理员手工审批
正确答案D
67、以下关于LDAP认证以下说法正确的是( )
A：LDAP用户必须导入本地
B：LDAP用户导入时会将用户名密码同时导入本地
C：LDAP用户可以不用导入本地通过组映射、角色映射依然可以给用户授权资源
D：安全组支持导入本地
正确答案C
68、如下SSL VPN的认证方式， 必须是私有用户才能使用的是( )
A：硬件特征码
B：动态令牌
C：短信认证
D：外部服务器认证
正确答案C
69、配置LDAP组映射和角色映射， 以下说法正确的是( )
A：组映射只能手动配置不能自动生成
B：角色映射只能手动配置不能自动生成
C：手动添加组映射时，外部OU填写OU=sang for test， DC=lei jia， DC=sang for， DC=com， 不做其他配置， 则OU=sang for test下的OU=test 1也可以匹配此映射规则
D：如果用户导入本地则角色映射失效
正确答案D
70、配置openldap作为服务器进行ldap认证， 以下配置正确的是( )
A：服务器类型配置MS Active Directory
B：服务器类型配置LDAP Server
C：用户过滤字段默认是object Category=person
D：服务器类型配置MS Active Directory VPN
正确答案B
71、以下说法错误的是( )
A：SSL VPN支持Windows、Linux、MacOS系统， 也支持IE、Firefox、Chrome、Oper Safar浏览器
B：公有账号可以给多人同时使用，并支持DKEY认证
C：TCP应用是Proxy IE控件抓包， 通过在Client安装Proxy IE控件， 由控件抓取访问服务器的数据并对数据进行封装， 将普通的TCP连接转换成SSL协议数据实现的
D：DKEY刷成了无驱D KEY，不能再刷成有驱DKEY
正确答案B
72、以下哪种认证方式组合是不可行的（ ）
A：本地用户名密码认证和短信认证
B：Radius认证和硬件特征码认证
C：证书认证和硬件特征码认证
D：短信认证和令牌环认证
正确答案D
73、SSL VPN设备与LDAP结合认证不生效， 以下排查思路不正确的是( )
A：检查设备和LDAP之间的网络连通性， 是否有相应到达的路由
B：确认配置在设备上的LDAP服务器地址、端口、用户名、密码的正确性
C：检查服务器类型，用户属性字段(sAM Account Name或者uid等) 、用户过滤条件是否正确
D：检查SSL VPN是否开启了SSL专线或DOS功能
正确答案D
74、客户希望实现SSL VPN结合外部认证， 请问SSL VPN可以支持哪些外部认证?( )
A：POP 3、LDAP、Radius
B：LDAP、H3C CAMS
C：LDAP、Radius
D：Radius、POP3
正确答案C
75、[SSL 7.1] ， 某公司想要实现数字证书认证， 该如何操作?( )
A：创建公有用户组，勾选数字证书认证；在认证设置的数字证书认证中启用证书认证(内
置CA或者外置CA)·下载驱动及导入控件；在用户组中创建用户，生成数字证书
B：创建私有用户组，勾选数字证书认证；在认证设置的数字证书认证中启用证书认证(内
置CA或者外置CA)，下载驱动及导入控件；在用户组中创建用户，生成数字证书
C：创建公有用户组，勾选数字证书认证；在用户组中创建用户；在认证设置的证书设置中下载安装驱动即可
D：创建私有用户组，勾选数字证书认证；在用户组中创建用户；在认证设置的证书设置中下载安装驱动即可
76、下列关于radius认证说法错误的是 ( )
A：raid us认证支持的扩展属性有绑定的手机号码、虚拟机ip地址i以及子网掩码id
B：raid us认证支持的字符集有UTF-8和GBK
C：radius认证协议支持PAP和CHAP
D：radius认证的用户可以导入到本地
正确答案D
77、SSL VPN单臂部署的说法正确的是( )
A：单臂部署会自动生成默认路由
B：单臂部署资源的访问形式只能够是’使用设备的IP地址作为源地址
C：单臂部署LAN口支持链路聚合
D：单臂部署DMZ口不可用
正确答案A
78、SSL VPN单臂部署的说法正确的是( )
A：单臂部署不支持配置静态路由
B：单臂部署不支持防火墙过滤规则
C：单臂部署不支持防DOS攻击功能
D：单臂部署不支持配置WAN口地址
正确答案D
79、SSL VPN设备网关模式部署的说法错误的是( )
A：网关模式部署内网口可以配置多个IP
B：网关模式部署支持dhcp功能
C：网关模式部署可以替换客户之前的路由器或者是防火墙
D：网关模式部署直连互联网WAN口不可以配置多个IP地址
正确答案D
80、下列关于SANG FOR SSL VPN部署模式说法错误
的是 ( )
A：网关模式部署， 必须在VPN设备上配置端口映射， 否则公网用户通过ssl vpn接入无法访问内网服务器。
B：网关模式部署， VPN设备也可不直接放置在公网上， 由前置防火墙做端口映射到VPN设备
C：单臂模式部署， VPN设备也可直接放置在公网上， 给lan口配置公网地址。
D：单臂模式部署， 若前置防火墙是ADSL拨号(无固定公网IP)，公网用户可利用web agent接入ssl vpn
正确答案A
81、关于SSL设备部署以下说法正确的是( )
A：SSL网关部署必须直接接公网
B：SSL单臂部署LAN口支持ADSL拨号
C：SSL单臂部署LAN口支持DHCP自动获取IP
D：SSL设备网关部署也可以部署在内网， 由前面出口设备做映射
正确答案D
82、下列关于SSL设备网关模式的说法， 错误的是( )
A：网关模式部署的SSL设备与普通的防火墙相当， 具备基本的路由转发和NAT功能
B：网关模式部署的SSL设备， 必须部署在公网出口，且分配一个公网IP地址给设备
C：网关模式部署的SSL设备， 支持DHCP功能，可以给内网电脑分配IP地址
D：网关模式部署对内网网络改动比较大，可以用于替换原有的出口路由器
正确答案B
83、以下关于SSL设备功能说法正确的是( )
A：SSL默认只有一条线路授权， 只有一个WAN口可用
B：SSL默认所有网口都可以作为WAN口使用
C：SSL的DMZ口默认地址10.254.253.254/30
D：SSL的LAN口子接口地址是10.111.222.33/24
正确答案A
84、关于SSL设备部署以下说法正确的是( )
A：SSL网关部署必须直接接公网
B：SSL单臂部署LAN口支持ADSL拨号
C：SSL单臂部署LAN口支持DHCP自动获取IP
D：SSL设备网关部署也可以部署在内网， 由前面出口设备做映射
正确答案D
85、SSL VPN单臂模式部署， 服务端口保持默认， 用户使用Easy Connect接入使用， 前置网关设备必须映射的端口是( )
A：80.0
B：443.0
C：4430.0
D：4009.0
正确答案B
86、现有一台SSL VPN设备以路由模式部署在互联网出口当网关使用，内网与之直连的是三层交换机， 且客户内网至少有2个网段要通过SSL VPN实现正常的上网需求，以下哪个不是必要的配置( )
A：配置默认网关
B：配置代理上网
C：配置端口映射
D：配置回包路由
正确答案C
87、下列关于vpn设备网络配置说法正确的是（ ）
A：单臂模式部署，DMZ口无法做内网口使用
B：单臂模式部署， 设备lan口上一定是配置私网IP
C：网关模式部署， 设备wan口上一定是配置公网IP
D：网关模式部署， 设备wan口支持配置静态IP或动态获取IP两种模式’
正确答案D
88、SSL协议不提供哪种安全特性?( )
A：机密性
B：可靠性
C：完整性
D：可用性
正确答案Ｄ
89、[SSL] 关于SANG FOR SSL VPN设备中路由的说法中，正确的是?( )
A：单臂模式部署，缺省路由自动指向网口配置的网关，不需要手动配置
B：网关模式， LAN口内网三层多网段环境， 不需要手动配置内网路由
C：网关模式，需要手动添加缺省路由指向外网网关
D：单臂模式，需要添加内网网段路由指向网关
正确答案A
90、关于SSL/TLS协议通道的特性描述中，是?( )
A：机密性
B：可靠性
C：完整性
D：快速性
正确答案D
91、[SSL] 关于外网多线路， SANG FOR SSL VPN自动选路功能中，说法正确的是?( )
A：用户访问https：//IP或域名，会执行自动选路过程
B：用户必须通过HTTP服务端口访问才会进行自动选路
C：不需要每条外网线路都映射HTTP、HTTPS服务端口到SSL VPN
D：自动选路功能需要设备网关部署才支持
正确答案B
92、[SSL] SANG FOR SSL VPN部署在单位出口， 代理内网用户上网，外网单线路，关于部署配置的说法中正确的是?( )
A：配置网关模式、配置代理上网SNAT
B：配置单臂模式、配置代理上网SNAT
C：配置网关模式、多线路策略、配置代理上网SNAT
D：配置单臂模式、多线路策略、配置代理上网SNAT
正确答案A
93、[SSL] 关于SANG FOR SSL VPN中角色的作用说法正确的是?( )
A：将资源与用户关联起来
B：将用户与用户组关联起来
C：将资源与资源组关联起来
D：将资源与访问权限关联起来
正确答案A
94、SSL/TLS协议的标准端口是?( )
A：TCP 80
B：TCP 443
C：UDP 443
D：UDP 53
正确答案B
95、[AF] 通过AF对用户WEB网站进行WEB扫描时， 需要注意的事项描述，哪项不正确( )
A：因为扫描有一定的风险，所以扫描前需要与用户沟通，并征得用户同意后才可以操作
B：扫描的网站不能扫描非用户可控的对象，以免扫描到其他业务引起不必要的麻烦
C：WEB扫描前， 需要开启AF自身的WAF防护策略并开启拦截动作，以免扫描的数据不准确
D：在生产环境进行WEB扫描， 需要提前对网站数据和源码进行备份
正确答案C
96、[AF]安全运营中心可对当前设备的一些安全风险进行统一汇总后展示，而下列哪项事件不会被展示到安全运营中心( )
A：设备开了直通功能
B：规则库序列号过期
C：IP地址加入了白名单
D：发现了失陷主机
正确答案C
97、[AF]下列哪项不属于热点事件预警与处置功能带来的价值点( )
A：推送当前的热点事件到设备，让用户感知当前的外部威胁
B：主动扫描用户关注的业务段，是否存在相应的风险
C：一键生成安全防护策略，帮忙用户实现快速防护
D：被动分析相关流量，确认内网是否已被入侵
正确答案D
98、[AF]下列哪项功能，在数据经过AF的前提下，实时漏洞分析功能无法实现的( )
A：客户内网WEB网站被植入黑链，且被触发访问
B：客户不确认网站是否还有漏洞，通过实时漏
洞分析功能主动扫描确认
C：客户网站有弱密码，且使用弱密码进行登录
D：客户网站被植入webshell， 且被触发访问
正确答案B
99、[AF] AF的WEB应用识别防护规则库自动更新失败，以下不可能的是?( )
A：设备被前置设备禁止上网，无法访问外部网站
B：在代理服务器环境下，设备不支持配置代理，导致无法访问外网
C：设备的DNS服务器配置错误，无法正常解析外部域名
D：WEB应用识别防护规则库已过期
正确答案B
100、[AF]下列哪项需求不能通过AF风险分析来实现?( )
A：不必要的端口开放
B：服务器自身系统漏洞（针对服务器操作系统)
C：操作系统自身登录的弱密码
D：服务器自身软件存在漏洞
正确答案C
101、[AF]客户开启了AF的实时漏洞分析功能，但是过了很长一段时间都没有任何记录生成，对此现象下列分析不正确的是?( )
A：实时漏洞分析策略关联的目标服务器流量没有经过设备
B：实时漏洞分析只支持TCP 80端口的HTTP数据包识别和分析，非80端口识别不到
C：实时漏洞分析规则库没有更新，识别不了服务器的最新漏洞
D：客户将所监控的服务器地址添加到实时漏洞分析的排除列表
正确答案B
102、关于防篡改功能说法正确的是：( )
A：防篡改客户端安装完之后就会生效
B：防篡改客户端可以拦截所有的webshell文件篡改行为
C：linux系统中， 在防篡改功能开启前已经建立的会话或者连接，防篡改功能不会生效
D：Agent自身的bypass机制， 当服务器内存系统资源超过70%时，功能不会生效
正确答案Ｃ
103、下列关于AF8017版本联动封锁说法不正确的是：( )
A：策略触发的联动封锁是针对数据包的源ip进行封锁
B：联动封锁的添加封锁攻击者ip或者添加到永久封堵是针对源ip进行阻断，与之前老版本的机制一样
C：在联动封锁列表中的主机可访问AF控制台，无法访问数据中心
D：联动封锁防火墙容量为20000条
正确答案A
104、不属于信息泄露的原因有： ( )
A：web服务器配置存在问题
B：web服务器本身存在漏洞
C：web网站内容存在问题
D：人员问题
正确答案C
105、不属于常见的信息泄漏的有：( )
A：应用错误信息泄露
B：备份文件信息泄露
C：web服务器缺省页面信息泄露
D：IP地址泄露
正确答案D
106、关于SQL注入攻击数据说法正确的是：( )
A：Get的特点，提交的内容经过URI编码直接在url栏中显示
B：Post的特点， 提交的内容经过URI编码直接在url栏中显示
C：Post的特点， 提交的内容会直接显示在url部分， 会在post包的data字段中
D：Post的特点， 提交的内容不会直接显示在url部分， 会在post包的http头部信息中
正确答案A
107、不属于WAF常见攻击手段的有：( )
A：SQL注入
B：网站扫描
C：WEBSHELL
D：勒索病毒
正确答案D
108、不属于OWASP TOP 10的攻击有：( )
A：跨站脚本
B：敏感信息泄漏
C：使用未知漏洞的组件
D：SYN洪水攻击
正确答案D
109、对于漏洞攻击防护拦截业务，使用下列哪种方法放通业务(不能影响到策略正常运行)是正确的：( )
A：直接绕开设备
B：删除漏洞攻击防护策略
C：将源目的ip加入全局排除
D：将拦截业务的规则id动作改成允许
正确答案D
110、保护客户端软件不包含哪些类型：( )
A：后门
B：木马
C：恶意代码
D：对应用软件的攻击
正确答案D
111、属于保护服务器和客户端的规则识别的类型有：( )
A：web activex控件漏洞
B：蠕虫软件
C：web浏览器
D：文件格式
正确答案B
112、IDS与漏洞攻击防护的区别描述不正确的是：( )
A：IDS是被动检测， 漏洞攻击防护是主动检测
B：IDS部署方式只能是旁路部署， 漏洞攻击防护部署方式包含：路由、透明、旁路
C：漏洞攻击防护的安全响应速度是滞后性的
D：漏洞攻击防护的安全响应速度是实时性的
正确答案C
113、下列哪些功能是对外部攻击只检测不拦截的：( )
A：入侵检测系统
B：web应用防护
C：DOS防护
D：应用控制
正确答案A
114、不属于DOS攻击类型的有：( )
A：ICMP洪水攻击
B：DNS洪水攻击
C：口令暴力激活成功教程
D：畸形数据包攻击
正确答案C
115、下列选项在服务器安全检测和防御技术中，无法解决服务器安全风险的功能是( )
A：漏洞攻击防护
B：web扫描
C：风险分析
D：网站篡改
正确答案B
116、下列选项在服务器安全检测和防御技术中，对于服务器安全风险说法不正确的是：( )
A：不必要的访问
B：漏洞攻击
C：扫描网站开放的端口以及弱密码
D：僵尸主机
正确答案D
117、主机中勒索病毒后，现象描述不正确的是?( )
A：服务器文件被加密， 例如加密成.java后缀或者其他奇怪的后缀名称
B：主机所有的文件被加密
C：内网主机成片出现蓝屏现象，蓝屏的代码提示srv.sys驱动出现问题
D：在主机桌面提示需要支付比特币赎金到某个账户，如果不支付将导致文件永远不可用
正确答案B
118、关于AF8017版本僵尸网络防护排除方式哪种不恰当?( )
A：发现某个终端的流量被AF僵尸网络规则误判，可以在僵尸网络功能模块下的排除指定IP
B：发现某个规则引起的误判拦截所有内网终端流量，可以在【安全防护对象】-【僵尸网络
规则库】找到指定规则禁用
C：直接在内置数据中心中，查询僵尸网络日志后使用“添加例外”排除
D：在【黑白名单】中排除指定IP
正确答案Ｄ
119、客户中勒索病毒，文件被加密后向我们寻求建议，以下不正确的建议是?( )
A：合理做好分区分域隔离， 没有smb相关服务的可以直接通过网络设备阻断445等端口
B：通过nsa检测工具所内网主机进行全盘检查发现问题及时用EDR进行查杀， 杀出病毒到
微步等网站进行验证
C：可以由深信服安全服务团队对客户加密的文件进行数据恢复
D：不要对外直接开放3389端口，避免弱口令，通过vpn等方式登录
正确答案C
120、对勒索病毒的紧急预防措施做法不正确的是?( )
A：避免弱口令
B：做好应用服务控制
C：及时打补丁，修复漏洞
D：使用解密软件就能对中毒主机进行解密
正确答案D
121、PC或者服务器防护感染勒索病毒做法不正确的是?( )
A：PC或者服务器尽量不要开放3389端口
B：定期漏扫，并及时修复系统漏洞
C：PC或者服务器使用杀毒软件定时进行扫描
D：只对重要的数据文件定期进行非本地备份，就能防护勒索病毒
正确答案Ｄ
122、以AF8017版本为例，杀毒功能说法不正确的是?( )
A：支持对OFFICE文档宏病毒的查杀
B：支持对邮件正文中的恶意域名、URL进行检测
C：支持对检测文件大小设置，默认支持2M文件检测，最大支持30M
D：支持文档类、脚本类的非PE文件检查、杀毒功能
正确答案C
123、关于AF8017版本恶意域名重定向的工作原理及部署在哪些场景?( )
A：旁路镜像模式
B：当前为DNS代理服务器部署场景
C：AF路由部署
D：AF透明部署
正确答案B
124、关于AF8017版本杀毒通知推送说法正确的是?( )
A：重定向的页面支持https
B：重定向页面支持http协议
C：重定向页面支持NAT场景推送
D：重定向页面支持smtp协议
正确答案B
125、计算机病毒工作步骤是以下哪种?( )
A：潜伏阶段-传染阶段-触发阶段-发作阶段
B：传染阶段-潜伏阶段-触发阶段-发作阶段
C：传染阶段-触发阶段-潜伏阶段-发作阶段
D：潜伏阶段-触发阶段-传染阶段-发作阶段
正确答案A
126、以下哪个不是计算机病毒的特征?( )
A：隐藏性
B：破坏性
C：繁殖性
D：可预见性
正确答案D
127、关于AF8017版本下列哪个不是僵尸网络的危害?( )
A：高级持续威胁
B：本地渗透扩散
C：敏感信息窃取
D：加密主机文件
正确答案D
128、拒绝服务攻击破坏了下列哪项内容?
A：服务的可用性
B：信息的完整性
C：信息的保密性
D：信息的抗抵赖性
正确答案A
129、关于AF8017版本的哪种安全防护策略可以实现针对第一个数据包的拦截( )
A：基于应用的应用控制策略
B：基于服务的应用控制策略
C：内容安全策略
D：WEB应用防护策略
正确答案B
130、[AC]下列选项中哪个行为不是互联网中存在的潜在风险( )
A：反动论坛
B：色情网站
C：发表学术论文
D：企业内网QQ外发内部文档
正确答案C
131、[AC]用户身份鉴别主要是通过( )
A：身份认证
B：权限控制
C：查询功能
D：审计策略
正确答案A
132、[AC]关于恢复设备出厂设置，以下说法不正确的是?( )
A：可以通过console口恢复出厂设置
B：可以通过U盘恢复出厂设置
C：可以通过设备控制台恢复出厂设置
D：可以通过交叉线恢复出厂设置
正确答案A
133、[AC]关于服务和端口的对应关系，不正确的是?( )
A：设备控制台的服务端口为443
B：SANG FOR Firmware Updater连接设备的51111端口
C：设备HTTP密码认证服务端口为80
D：设备同步日志到外置数据中心的服务端口为81
正确答案D
134、在NAT环境下通过什么技术可以解决多VPN连接的问题?( )
A：NAPT
B：NAT-T
C：GRE
D：TRUNK
正确答案B
135、在NAT环境下建立IPSEC VPN需要使用以下哪种模式?( )
A：AH传输模式
B：AH隧道模式
C：ESP传输模式
D：ESP隧道模式
正确答案Ｄ
136、IPSEC是一套协议集， 它不包括下列哪个协议?( )
A：AH
B：ESP
C：SSL
D：IKE
正确答案C
137、下面哪个说法是正确的?( )
A：AH在传输模式中验证整个IP数据包，在隧道模式中验证整个IP数据包
B：AH在传输模式中验证整个IP数据包，在隧道模式中验证新IP头外数据包
C：AH在传输模式中验证IP头后的数据包，在隧道模式中验证整个IP数据包
D：AH在传输模式中验证IP头后的数据包，在隧道模式中验证新IP头外数据包
正确答案A
138、ESP使用下面哪个协议号?( )
A：50
B：51
C：52
D：53
正确答案A
139、AH使用下面哪个协议号?( )
A：50
B：51
C：52
D：53
正确答案B
140、下面哪些方式是属于三层VPN的?( )
A：L2TP
B：MPLS
C：IPSEC
D：PPTP
正确答案Ｃ
141、IPsec VPN中用于密钥管理的协议是?( )
A：AH
B：ESP
C：DOI
D：IKE
正确答案Ｄ
142、关于SANG FOR VPN相关术语“总部”的描述中，如下说法正确的是?( )
A：与用户单位的职能分类匹配
B：总部是提供内网服务给分支访问，但是总部不能访问分支内网的服务
C：提供SAG N FOR VPN接入服务， 需要配置Web Agent、用户账号等信息
D：一个设备不能既做总部又做分支
正确答案C
143、SANG FOR VPN建立的三个过程概括为?( )
A：寻址-认证-策略
B：寻址-认证-授权
C：认证-寻址-策略
D：认证-寻址-授权
正确答案A
144、关于SANG FOR PDL AN的说法错误的是?( )
A：PDLAN是SANG FOR VPN的Windows客户端
B：PDLAN接入， 总部必须配置虚拟IP池
C：总部新建账号时“类型”必须设置为“移动”
D：PDL AN接入后还需要配置隧道路由才能访问总部内网网段
正确答案D
145、两个分支机构内网网段都是192.168.1.0/24，关于建立SANG FOR VPN的说法中正确的是?( )
A：这两个分支机构之间也可以建立SANG FORVPN实现内网互联互通
B：这两个分支机构都可以与总部建立SANG FOR VPN， 但总部至少为一个分支配置隧道内NAT
C：这两个分支机构都可以与总部建立SANG FOR VPN， 但总部至少为一个分支配置隧道间路由
D：这两个分支机构之间不能建立SANG FORVPN， 也不能以分支角色同时接入总部
正确答案B
146、关于Web Agent原理的说法中， 正确的是？( )
A：固定公网IP环境， 需要使用Web Agent才能建立SANG FOR VPN
B：Web Agent用于非固定公网IP环境， 常见拨号上网获取公网IP的场景，用于动态寻址
C：Web Agent可以解决无公网IP的网络环境下建立SANG FOR VPN
D：Web Agent寻址过程消息交互是明文传输的
正确答案B
147、建立SANG FOR VPN条件中， 如下哪个不是必须的?( )
A：至少一端作为总部，且有足够的相应要求授权
B：至少一端在公网上可以被访问到
C：建立VPN的两端的内网网段不能冲突
D：建立VPN的两端产品型号一致
正确答案D
148、标准IPSEC VPN建立过程中， 正常情况下第一阶段主模式协商双方交互多少次消息?( )
A：6
B：5
C：4
D：3
正确答案A
149、SANGFOR VPN工作在TCP/IP协议哪一层?( )
A：网络接口层
B：网络层
C：传输层
D：应用层
正确答案C
150、标准IPSEC VPN工作在TCP/IP协议哪一层?( )
A：网络接口层
B：网络层
C：传输层
D：应用层
正确答案B
151、安全套接层协议是?( )
A：SET
B：S-HTTP
C：HTTP
D：SSL
正确答案Ｄ
152、在公开密钥体制中，加密密钥即?( )
A：解密密钥
B：私密密钥
C：公开密钥
D：私有密钥
正确答案C
153、数字证书采用公钥体制时，每个用户设定一把公钥，由本人公开，用其进行?( )
A：加密和验证签名
B：解密和签名
C：加密
D：解密
正确答案A
154、数字签名为保证其不可更改性，双发约定使用?( )
A：HASH算法
B：RSA算法
C：DES算法
D：ACR算法
正确答案A
155、数字签名技术是公开密钥算法的一个典型应用，在发送端，采用()对要发的信息进行数字签名；在接受端，采用()进行签名验证?( )
A：发送者的公钥；发送者的私钥
B：发送者的私钥；接收者的私钥
C：发送者的私钥；发送者的公钥
D：发送者的公钥；接收者的私钥
正确答案C
156、为了避免冒名发送数据或发送后不承认的情况出现，可以采用的办法是?( )
A：数字水印
B：数字签名
C：访问控制
D：发电子邮件确认
正确答案B
157、可以认为数据的加密和解密是对数据进行的某种变换，加密和解密的过程都是在()的控制下进行的?( )
A：明文
B：密文
C：信息
D：密钥
正确答案D
158、下列哪项不是数字签名的主要功能?( )
A：防抵赖
B：完整性检验
C：身份认证
D：数据加密
正确答案D
159、在网络安全中，中断攻击者破坏网络系统的资源，使之变成无效的或无用的，这是对()的攻击?( )
A：可用性
B：保密性
C：完整性
D：可控性
正确答案A
160、信息不泄露给非授权的用户、实体或过程，指的是信息()特性?( )
A：保密性
B：完整性
C：可用性
D：可控性
正确答案A
161、对企业网络最大的威胁是?( )
A：黑客攻击
B：外国政府
C：竞争对手
D：内部员工的恶意攻击
正确答案D
162、以下()不是保证网络安全的要素?( )
A：信息的保密性
B：发送信息的不可否认性
C：数据交换的完整性
D：数据存储的唯一性
正确答案D
163、关于AF8017版本的僵尸网络中不包含哪些功能（ ）
A：木马远控
B：ql注入
C：异常流量
正确答案 B
164、关于AF8017版本安全防护功能说法错误的是（ ）
A：NGAF的应用控制策略默认是全部拒绝的，需要手动新建规则进行放通
B：WEB过滤中的文件类型过滤支持针对FTP上传、下载的文件类型进行过滤
C：配置IPS保护客户端和服务器时，源区域为数据连接发起的区域
D：IPS保护客户端与保护服务器的漏洞规则是不同的
正确答案 B
165、[AC]下列选项中哪个不是上网行为管理的三要素之一（ ）
A：用户
B：流量
C：数据
D：行为
正确答案 C
166、[AC]下列选项中关于上网行为管理三要素和内容 （选项格式：要素-内容）对应关系错误的是（）
（1.0分）
A. 用户-移动终端
B. 流量-看视频流量
C. 行为-玩王者荣耀
D. 用户-邮箱账号
正确答案D
167、[AC]为了实现上网行为可视可控，下列选项中说 法错误的是（ ）
A. 识别用户身份是行为管理的前置条件
B. 应用控制的前提是精细化管控
C. 应用管控的前提是应用识别
D. 防翻墙属于应用管控
正确答案B
168、[AC]关于上网行为可视可控的行为审计，下列选 项中说法正确的是（ ）
A. 应用控制行为不需要审计，只需要阻断
B. QQ聊天记录不能审计
C. 行为审计能审计具体访问网页内容，但是不 知道对应的用户
D. 行为审计是记录用户上网轨迹
正确答案D
169、[AC]关于流量管理功能说法正确的是（ ）
A. 流控可以基于用户进行流控
B. 流控就是对上网流量进行限制
C. 流控就是对上网流量进行资源进行额定分配
D. 流控就是对非法应用进行黑白名单控制，从 而达到限速的需求
正确答案A
170、[AC]关于应用选路能力，选项中说法错误的是
A. 应用选路的前提是应用识别能力和多条线路
B. 应用选路是精准的识别出应用，进而对应用 进行引流
C. 可以配合负载均衡设备实现应用选路
D. DNS代理使用场景是AC设备做内网DNS
正确答案D
171、[AC]办公网上网场景，场景描述正确的是（ ）
A. 通常有上网行为审计需求
B. 通常必须启用防共享功能
C. 通常需要对接无线控制器
D. 通常需要VPN组网
正确答案A
172、[AC]场景维度和对应方案关系错误的是（ ）
A. 一体化网关场景一AC对接无线控制器
B. 互联网上网场景–设备可以网桥模式部署
C. 无线Wi-Fi管控营销场景–有行为审计需求
D. 办公网出口上网与审计场景–有识别用户 身份需求
正确答案A
173、[AC]客户路由模式部署AC设备，做了 一条tcp80 的端口映射给内网的网站服务器，结果发现外网 访问不到此网站，以下排查思路错误的是？（ ）
A. 通过外网测试PC访问此网站，抓包看PC的请求数据有没有到达AC设备的WAN 口
B. 确认网站的80端口是否已在运营商备案
C. 检查网站服务器的系统防火墙是否有拦截规
D. 检查网站服务器是否配置了DNS
正确答案D
174、[AC]请问以下关于旁路模式的说法错误的是？
A. 旁路模式需要客户交换机配置镜像接口，将 需要监控的流量镜像过来
B. 管理口和镜像口可以使用同一个物理接口
C. 旁路模式可以对用户的上网行为进行审计
D. 旁路模式下对用户的应用进行拦截，如果该 应用使用TCP协议可以通过发送RST包进行拦截，如果使用UDP协议，则无法进行拦 截，原因是UDP协议是无连接的
正确答案B
175、[AC]关于AC旁路模式，下面描述哪一项不正确？
A. 旁路模式主要用于实现审计功能，完全不需 要改变用户的网络环境
B. 不支持NAT、VPN、DHCP等功能
C. 不支持流量控制功能
D. 对基于TCP协议的应用无法控制
正确答案 D
176、[AC]设备单网桥部署在网络岀口路由器和核心交换机之间，现在发现设备中的规则库无法更新， 下列排查方法错误的是？（ ）
A. 可能是设备的规则库序列号已过期，需要检查系统管理“系统配置”系统更新规则库升级中的规则服务有效期是否有效
B. 可能是设备无法上网，可以在系统管理-系统诊断-命令控制台上ping公网地址测试设备是否可以上网
C. 可能是前置防火墙或路由器上对AC的地址做了限制，需要去前置设备上检查策略配置，并放通AC访问公网的权限
D. 可能是设备无法上网，可以在AC的”系统管理防火墙”-“NAT代理上网”中检查有没有配 置NAT代理上网
正确答案 D
177、[AC]AC路由模式部署，LAN口接内网电脑，DMZ 口接内网服务器，现测试内网电脑无法访问内网服务器，开直通后可以正常访问，并从拒绝列表判断是由于防火墙原因导致无法访问。请问防火墙过滤规则该如何配置？（ ）
A. 双向放通LAN-DMZ所有协议的过滤规则
B. 放通LAN-LAN所有协议的过滤规则
C. 放通DMZ-DMZ所有协议的迂滤规则
D. 放通LAN-LAN, DMZ-DMZ所有协议的过滤 规则
正确答案 A
178、[AC]在客户处实施AC单网桥上架，AC内网口接内网三层交换机，AC外网口接外网防火墙，现上架后发现内网上网正常，但是内网PC登录不了AC控制台，以下排查不合理的是？
A. PC直连AC的DMZ口尝试登录控制台
B. AC可能没有配置到内网的回包路由,检查路 由配置
C. 外网防火墙对AC做了过滤策略禁止AC上网
D. AC部署在Trunk环境中，但是在AC上没有启用vlan配置
正确答案 C
179、[AC]下列选项中不是恢复设备默认密码的方法是（ ）
A. 交叉线短接电口
B. U盘恢复密码
C. 升级客户端刷升级包恢复密码
D. 恢复出厂配置
正确答案 C
180、[AC]数据包如果经过二层交换机转发后，那这个数据包的源MAC会变化吗？ 如果经过 三层交换机理由转发，源MAC会变化吗？ （ ）
A. 会，会
B. 会，不会
C. 不会，会
D. 不会，不会
正确答案C
181、[AC]客户内网有个网站服务器，注册了一个域名 www.test.com,下列说法错误的是（ ）
A. 当内网需要通过域名访问服务器的时候只能 通过勾选“发布服务器”功能实现
B. 勾选了”发布服务器”之后，外网通过AC访问 服务器的数据，源IP肯定会转换为AC的IP
C. 勾选了”发布服务器”之后，内网通过AC访问 服务器的数据，源IP肯定会转换为AC的IP
D. 如果服务器需要记录所有用户源IP,不能勾 选”发布服务器”，内网用户访问网站可以部 署内网DNS服务器。
正确答案A
182、[AC]下列说法错误的是（ ）
A. 如果是单vlan环境，可以用vlan and host x.x.x.x抓指定IP的包
B. 192.168.200.200转换成+六进制是 c0a8c8c8
C. tcp头部长度是20字节
D. IP头部长度是24字节
正确答案 D
183、[AC]某客户希望将AC设备网析模式部署在岀口路由器和内网三层核心交换机之间，但发现设备上架前，出口路由器和三层核心交换机之间的接口 都是TRUNK模式，请问以下说法正确的是(( )
A. AC网桥模式不支持TRUNK模式，所以当前 环境无法使用网桥模式部署
B. AC网桥模式可以支持该环境，AC网桥配置 TRUNK相关配置即可
C. AC网桥模式可以支持该环境，AC网桥配置 TRUNK相关配置，使用配置的某个VLAN IP 管理设备
D. AC网桥模式部署成功后，需要配置VLAN协 议剥离，否则无法识别VLAN的数据，不能 识别终端的具体应用
正确答案 C
184、[AC]下面哪个设备可以转发不同VLAN之间的数据？（ ）
A. 二层交换机
B. 生成树网桥
C. 网络集线器
D. 上网行为管理
正确答案 D
185、[AC]在客户处实施AC单网桥上架，AC内网口接客户内网三层交换机，AC外网口接客户外网防火墙，现上架后发现内网上网正常，但是内网PC登 录不了AC控制台，以下排查不合理的是（ ）
A. PC单机ACDMZ口尝试登录控制台
B. AC可能没有配置到内网的回包路由,检查路 由配置
C. 防火墙对AC做了过滤策略禁止AC上网
D. 客户网络有trunk协议，但是在AC上没有启 用vlan配置
正确答案 C
186、[AC]下列选项中不属于U盘恢复设备控制台密码的操作步骤的是（ ）
A. 准备一个FAT32格式的U盘
B. 准备一个NFTS格式的U盘
C. 新増reset-cfg.txt文件，放入U盘根目录
D. 电脑和设备可以通信，访问设备地址https://ACIP/php/rp.php
正确答案B
187、[AC]下列选项中不属于U盘恢复设备出厂设置的 操作步骤的是（ ）
A. 准备一个FAT32格式的U盘
B. 新増reset-cfg.txt文件，放入U盘根目录
C. 电脑和设备可以通信，访问设备地址https://ACIP/php/rp.php
D. 设备上插入U盘，重启设备
正确答案C
188、[AC]下列选项中，AC设备网口默认IP地址对应关 系错误的是（ ）
A. Eth0-128.127.125.252/29
B. eth0-10.252.251.251/24
C. eth1-128.128.125.252/29
D. eth1-10.252.251.251/24
正确答案D
189、[AC]客户做了密码认证后，弹不出密码认证框，下面排查不合理的是？（ ）
A. 检查”认证前”权限是否拒绝了HTTP应用和 dns应用
B. 检查设备网桥IP是否能正常上网
C. 检查是否启用“未通过认证的用户允许访问 dns服务”
D. 设备到内网是否路由可达
正确答案B
190、[AC]某公司用户的电脑通过DHCP获取地址，且每个用户都是使用固定分配的电脑办公，现在管 理员通过AC进行管控，希望能识別到每个用户的 上网行为，且下面的用户无感知认证，请问应该 采用以下哪种认证方式？
A. 密码认证
B. 不需要认证，以IP地址作为用户名
C. 不需要认证，以MAC地址作为用户名
D. 不需要认证，以VLAN ID作为用户名
正确答案C
191、[AC]关于用户注销，以下说法不正确的是？（ ）
A. 可以手动强制注销不需要认证的用户
B. 可以通过无流量自动注销所有用户
C. DKEY用户无法被手动强制注销
D. 密码认证的用户可以被手动强制注销
正确答案A
192、[AC]关于AC设备部署在30位子网:奄码环境中，以 下说法不正确的是？（ ）
A. 可以通过虚拟IP来实现密码认证功能
B. 可以通过DMZ口重定向来实现密码认证功能
C. 可以通过虚拟IP来获取交换机的ARP表
D. 可以通过DMZ口来更新规则洋
正确答案C
193、[AC]关于用户绑定功能选项中说法错误的是（ ）
A. 支持手动绑定和自动录入绑定两种方式
B. 用户绑定用于免认证或限制登录场景
C. 绑定对象支持IP/MAC/VLAN
D. 跨三层环境实现绑定MAC需要启用跨三层 MAC识别功能
正确答案C
194、[AC]关于用户认证方式和对应的场景，下列选项 中说法错误的是（ ）
A. 不需要认证-实名制要求
B. 不需要认证-固定IP场景
C. 密码认证-动态IP场景
D. 短信认证-机场
正确答案A
195、[AC]关于不需要认证，下列选项中说法错误的是 （ ）
A. 单位不允许呼叫中心的办公电脑私自修改IP 地址，可以固定IP,做不需要认证，绑定IP 和MAC地址
B. 跨三层场景，做不需要认证想获取到真实 MAC地址只能通过跨三层识别功能实现
C. 动态获取IP地址场景，不能使用不需要认证
D. 不需要认证方式适用于对管理要求不高的上 网场景
正确答案C
196、[AC]跨三层识别场景，发现设备获取不到真实 MAC地址，下列选项中排错思路错误的（ ）
A. 检查备与交换机是否通讯正常
B. 如果是SNMP方式，检查团体名是否一致
C. 如果是ARP镜像方式，检查想获取真实MAC 网段是否被正确镜像
D. 检查TCP161端口是否有被中间设备拦截
正确答案D
197、[AC]关于密码认证过程，下列选项中说法错误的 是（ ）
A. 发起访问网站请求，第一步先进行DNS解析
B. 第二步进行TCP三次握手
C. 三次握手成功后，客户端发get请求
D. 三次握手不成功，可能是因为AC设备拦截 了 GET请求
正确答案D
198、[AC]帮客户配置了密码认证，但是测试时发现密码认证页面重定向失败，下列选项中说法正确的是（ ）
A. 打开的是HTTP网站，设备不支持访问https 网站重定向
B. 可能是AC下联设备有拦截限制
C. 测试PC做了代理配置不会影响重定向页面正 常弹出
D. 重定向是已经发起get请求，和DNS解析没 有关系可以排除
正确答案B
199、[AC]选项中关于用户认证说法错误的是（ ）
A. 对外的营业厅提供上网环境给访客，建议使用密码认证方式
B. 大型单位在有AD域的情况下，建议客户做结合AD域的密码认证
C. 为满足网络安全的实名制要求，建议做密码 认证
D. 固定办公场景，可以使用不需要认证做MAC 绑定
正确答案A
200、[AC]选项中关于外部认证说法错误的是（ ）
A. 外部认证的账号密码信息不保存在AC设备
B. 外部认证服务器会将认证成功与否的信息通 知给AC设备
C. 外部认证可以将第三方服务器的账号密码信 息同步到AC本地
D. AC支持对接MS AD域做外部认证
正确答案C
201、[AC]关于外部密码认证过程，下列选项中说法错误的是（ ）
A. 客户端发起认证请求，外部认证服务器返回认证页面
B. 客户端提交用户名密码认证信息
C. AC设备转发认证信息到外部认证服务器进 行校验
D. 外部认证服务器返回消息给AC设备
正确答案A
202、[AC]配置LDAP认证服务器，下列选项中正确的是 0 （ ）
A. 服务器类型选择OpenLDAP
B. 支持在AC设备测试有效性
C. LDAP服务器只支持单点登录不支持密码认 证
D. 管理员账号填写格式DC=test,DC=com
正确答案B
203、[AC]关于QQ识别描述正确的是？（ ）
A. 识别QQ号需要开启准入功能
B. 不支持识别手机QQ登录识别QQ号
C. 不开启准入可以识别QQ昵称
D. QQ号是明文的，开启审计策略识别即可审 计QQ号码
正确答案D
204、[AC]当需要控制的URL地址不在内置URL库时，需 要自定义URL。下面关于自定义URL方式，不正确的是？（ ）
A. www.sina.com
B. .sina.com
C. www.si.com
D. sina.com
正确答案C
205、[AC]关于准入策略不生效的原因，以下说法不正 确的是？（ ）
A. 检查是否开启直通
B. 准入策略关联的用户是否在线，适用终端和 区域是否正确
C. 检查是否添加了相关全局地址排除
D. 所有的操作系统都支持安装准入插件
正确答案D
206、[AC]自定义应用不可以针对下列哪一项自定义?
A. 数据包内容
B. 数据包方向
C. 源目端口
D. 数据包协议
正确答案A
207、[AC]下列选项中不属于数据包五元组的是（ ）
A. 源IP
B. 目的IP
C. 源MAC
D. 协议类型
正确答案C
208、[AC]下列选项中关于访问网站识别，说法正确的是（ ）
A. 可以在DNS解析阶段阻断非法行为
B. 识别网站是在TCP三次握手成功以后
C. 请求包中带请求动作不带请求具体的URL
D. 请求具体的URL在cookie中
正确答案B
209、[AC]某客户反馈，AC设备网桥部署，做了URL过 滤，结果发现不生效，下列排查错误的是（ ）
A. 检查策略是否关联了用户
B. 检查用户地址段是否加入全局排除地址
C. 检查是否匹配了自定义的应用，将自定义应 用放通
D. 重启设备，检查是否能够恢复
正确答案D
210、[AC]审计windows客户端版QQ聊天内容可以通过 下列哪类上网策略实现（ ）
A. 上网权限策略
B. 上网审计策略
C. 用户限额策略
D. 准入策略
正确答案D
211、[ACJAC路由部署在公网岀口，内网用户通过AC进行上网行为控制，客户要求审计内网用户的所有 上网行为，结果发现内网有大部分的应用（包括邮 件、QQ聊天内容）没有审计到，下列说法错误的是（ ）
A. 检查AC上的多功能序列号是否开启了’SSL内 容识别’，没有开启则审计不到邮件或QQ聊 天内容
B. 检査内网测试电脑的IP是否添加到了AC的全 局排除地址列表中
C. 检查客户测试电脑是否是非Windows系统的 PC,例如MAC系统或Linux系统，这些系统 无法监控QQ的聊天内容信息。
D. 检查客户测试电脑是否通过加密方式发送的 邮件，如果是需要在AC上开启SSL内容识别 功能才可以审计到
正确答案A
212、[AC]下列关于上网策略的说法，正确的是（ ）
A. 内网用户通过网页版QQ邮箱收发邮件，通 过开启上网审计策略’发送邮件（SMTP）,和’接 收邮件（POP3/IMAP）’即可审计到收发邮 件内容
B. 如需要审计用户聊天的QQ号码，不需要启 用准入策略
C. QQ号白名单功能，即使上网权限策略中应 用控制拒绝了IM,由于该QQ号匹配白名 单，故仍然可以上QQ
D. 设备能实现对访问 https://bbs.sangfor.com.cn的阻断，并重定 向拒绝页面
正确答案 B
213、[AC]客户需求，同一个用户在不同位置上网，匹配不同的上网策略，如用户user1在办公区上网匹配办公区策略，在会议室上网，匹配会议室策略。请问下列说法正确的是（ ）
A. 无此实现此需求
B. 可以实现此需求，分别建办公区策略和会议 室策略，两条策略都关联用户’user!,和’位置’
C. 可以实现此需求，分别建办公区策略和会议 室策略，两条策略都关联用户’useri1和’源IP’
D. 可以实现此需求，分别建办公区策略和会议 室策略，两条策略都关联用户’userT和’终端类型
正确答案B
214、 [AC]客户和管理员申请休息时间放通应用“王者荣耀”权限，管理员放通了’游戏’分类下面的所有应用，其他默认拒绝（基本的协议默认放通，不在此题考虑）但是客户反馈依然无法访问，下面的排查思路，错误的是（ ）
A. 这个问题现象和规则库无关，应检查管理员 配置的生效时间是否正确关联给这条策略
B. 查看’王者荣耀’是否属于’游戏’分类
C. 在在线用户列表里搜索问题用户，查看其策 略结果集，关联是否正确
D. 开直通测试是否能访问。如果可以，看拒绝 列表显示是什么
正确答案A
215、[AC]关于上网权限策略的适用对象说法正确的是
A. 本地用户和域用户是”与”的关系
B. 域安全组和源IP是”与”的关系
C. 本地用户和终端类型是“或”的关系
D. 目标区域”和“源IP”是”与”的关系
正确答案D
216、[AC]上门测试前，需要检查设备当前规则库是否最新，如果应用识别规则库不是最新，则可能会导致某些应用无法正确识别。下列选项中，不受 应用识别规则影响的是（ ）
A. 封堵QQ等即时通信软件
B. 封堵迅雷等P2P下載软件
C. 流控迅雷等P2P下载软件
D. 端口映射
正确答案D
217、[AC]测试防共享，客户使用PC上网，发现这台PC被共享接入管理识别到共享行为，下面排查错误的是？（ ）
A. 检查是否有私接共享的工具，如360wifi之类
B. 有没有拿手机充电，或者安装其他虚拟机
C. 抓包分析是否存在多种系统字体格式
D. 检查发现此PC登录了两个不同账号的QQ, 所以导致检测出共享行为
正确答案D
218、[AC]移动端和移动端之间识别检查机制没有的 是？（ ）
A. cookie识别
B. 应用规则识别
C. URL识别
D. UA识别
正确答案 A
219、[AC]不属于移动终端管理的功能是？（ ）
A. 拒绝所有内网移动终端用户
B. 基于移动终端类型添加受信任列表
C. 基于用户添加受信任列表
D. 基于IP添加受信任列表
正确答案 B
220、[AC]给客户演示“共享接入管理“识别封堵效果， 请问下列的测试环境不合理的是？（ ）
A. AC路由模式部署，使用iPhone和小米两部 手机通过360wifi共享上网
B. AC网桥模式部署，使用一部iPhone手机和 —台Windows PC通过360wifi共享上网
C. AC网桥模式部署，使用两台Windows PC过 无线路由器共享上网，无线路由器默认启用 nat
D. AC旁路模式部署，使用两台windows PC通 过代理服务器代理上网
正确答案 D
221、[AC]网络中，存在共享接入终端可能带来隐患， 选项中不属于共享接入危害的是（ ）
A. 低权限用户，通过共享获取获取到高权限， 删除机密文档
B. 大学一人一账号，通过共享行为，一个寝室 共用一个账号，给运营商带来损失
C. 办公网，两个人共用同一个销售平台账号， 销售资源共享
D. 办公网，用360wifi接入个人iPad,下载电影
正确答案 C
222、[AC]网络中，下列选项中属于会给公司带来负面影响的共享接入终端场景是（ ）
A. 办公网出口前使用有路由转发功能的交换机
B. 办公笔记本做热点
C. 用个人手机4G信号共享热点
D. 入网要求一人一账号，电脑登录账号后，手 机也用相同账号登录入网
正确答空B
223、[AC]下列选项不是深信服共享识别技术的选项是（ ）
A. 下一跳检测技术
B. QQ检测
C. 系统字体检测技术
D. 微信特征检测技术
正确答案A
224、[AC]测试防共享，选项中测试方法正确的是（ ）
A. 两台win7电脑接入同一个共享热点wifi,可 以在两个PC分别登录不同的QQ账号
B. 一台win7电脑，一部安卓手机，接入同一个 共享热点wifi,可以在电脑和手机登录同一 个QQ号
C. —台win7电脑，一部iPhone手机，接入同一 个共享热点wifi,可以在电脑和手机登录同 一个QQ号
D. —台win7电脑，两部iPhone手机，接入同一 个共享热点wifi,可以在电脑和手机登录同 一个QQ号，并且两部手机登录不同的微信 号
正确答案A
225、[AC]办公网中存在非法移动终端，会给企业带来隐患，选项中说法错误的是（ ）
A. 被黑客在内网渗透
B. 蹭网发布不实信息
C. 内网网速变慢
D. 发现有非法移动终端
正确答案 D
226、[AC]下列选项中不属于深信服移动终端管理解决方案的是（ ）
A. 信任用户白名单
B. 网络流量识别移动终端
C. NMAP主动扫码识别移动终端类型
D. 管理非法接入的移动终端
正确答案 C
227、[AC]下列选项中不属于深信服移动终端识别技术的是（ ）
A. URL检测技术
B. refer特征识别
C. UA特征识别
D. 应用规则检测
正确答案B
228、[AC]关于移动终端管理功能，选项中说法错误的 是（ ）
A. 发现非法移动终端，可以拒绝这个终端的流 量
B. 发现非法移动终端，可以拒绝发告警邮件
C. 支持查询历史日志
D. 移动终端发现趋势支持按终端类型分类
正确答案D
229、[AC]内网有共享接入行为，选项中属于共享接入 行为带了的危害是（ ）
A. 共享会议
B. 运营商承建的高校网络，收益受损
C. 学校网络和寝室个人网络混用
D. 不能访问YouTube
正确答案B
230、[AC]AC网桥部署，内网主要是下载工具等UDP应 用占用了大量带宽。客户希望实现当有办公业务 流量时，优先保证办公业务，没有办公业务流量 时，下载工具等UDP应用可以充分使用物理带 宽，从而实现动态流控。现在流控已配置保证通 道和限制通道，其中保证通道保证办公业务流 量，限制通道限制下载工具等UDP应用流量。请 问，下列选项中合理的是？（ ）
A. 无法满足户需求
B. 限制通道启用”抑制p2p下行丢包”即可
C. 限制通道启用”当线路空闲时，允许带宽突 破”即可
D. 限制通道需要同时启用”抑制p2p下行丢包” 和”当线路空闲时，允许带宽突破”才能满足需求
正确答案D
231、[ACJAC流控和传统业界流控不同的地方是？（ ）
A. 基于应用流控
B. 基于端口流控
C. 基于IP流控
D. 基于协议流控
正确答案A
232、[AC]AC基于目标流控，不能基于什么目标流控?
A. 网络应用
B. 网站类型
C. 文件类型
D. 数据包内容
正确答案D
233、[AC]惩罚通道不可以在哪里引用？（ ）
A. 流量配额
B. 应用控制
C. 时长配额
D. 流速控制
正确答案B
234、[AC]为了对企业网络进行控制，提高企业员工的 工作效率，应该对与工作无关的流量进行？（ ）
A. 限制或流控
B. 策略路由
C. NAT
D. 审计
正确答案A
235、[AC]下列选项中，关于关于B/s和b/s的关系（B/S 表示Byte/s, b/s表示bit/s）,正确的是? （ ）
A. 1MB/s=10Mb/s
B. 1MB/s=8Mb/s
C. 1Mb/s=1000KB/s
D. 1Mb/s=10MB/S
正确答案B
236、[AC]下列需求描述与功能实现匹配正确的是（ ）
A. 客户和你反馈了一个需求，希望实现色情网 站DNS请求直接丢弃，不要被网监监控到。AC路由模式部署，配置DNS代理策略，动作 丢弃所有用户访问色情网站的DNSil求。
B. 客户所在地区的DNS发生了变化，可以在 【流量管理】-【线路配置】修改dns,不会重启网络服务
C. 客户环境是多线路，想让访问某些域名解析 走线路二，DNS代理策略指定这些域名，策略选择”重定向至指定线路”，选择线路二
D. 客户反馈DNS代理到内网DNS服务器失败， 可能是防火墙WAN->LAN的流量没有放通
正确答案A
237、[AC]下列选项说法正确的是（ ）
A. 多线路场景，线路一检测出现故障，DNS代 理重定向到指定线路策略不生效，在没有配 置链路负载的情况下，会出现业务异常
B. 内网-AC （网桥）-代理服务器-AD,可以做 应用选路
C. 同时配置了DNS代理策略重定向至指定线路 和链路负载，会先走DNS代理逻辑
D. SG配置代理上网场景，同样支持做链路负载
正确答案C
238、[AC]关于设备链路负载功能说法错误的是（ ）
A. 不需要做应用/用户等选路时，可以使用默 认负载策略，对线路进行负载
B. 高校场景，支持结合负载均衡设备，做网桥 模式的链路负载
C. 前置设备做tos标签，AC网桥模式支持联动 实现选路
D. 路由/网桥/旁路模式都支持链路负载功能
正确答案D
239、[AC]链路负载策略优先级说法错误的是（ ）
A. 希望平时走质量比较好的线路，线路压力大 走其他线路，选择“优先使用优先级最高的 线路”
B. 希望按运营商线路分配，解析到电信dns就 走电信，选择”按运营商负载”
C. 每个线路带宽一样，期望能均衡分配，选择 “带宽比例”
D. 平时走专线，专线断了走VPN,选择WPN 做专线备份”
正确答案C
240、[AC]流量管理为了更好的呈现效果，选项中说法 错误的是（ ）
A. 设备刚上架不了解流量类型，可以在流量管 理状态查看
B. 流量管理状态可以查看当前每个通道的带宽 使用情况
C. 流量可视只能查看限制通道，不支持查看保 障通道
D. 流量可视支持查看动态流控趋势
正确答案C
241、[AC]某个客户想对上班使用游戏流量的人群定义 惩罚通道，下列选项中说法错误的是（ ）
A. 惩罚通道在流量管理配置
B. 在用户限额策略引用惩罚通道
C. 一个用户可以匹配多条惩罚通道
D. 可以从并发数角度进行惩罚
正确答案D
242、[AC]选项中不属于链路负载功能需求的是（ ）
A. OSPF动态路由场景
B. 根据运营商质量选路
C. 当前多条线路带宽利用率不高
D. 某条线路故障时，期望自动切换选路
正确答案A
243、[AC]选项中不属于默认负载策略的特征是（ ）
A. 不支持基于用户选路
B. 支持VPN做专线备份选路
C. 支持优先使用优先级最高的线路
D. 能看到线路状态
正确答案B
245、[AC]选项中对优先负载策略描述错误的是（ ）
A. 支持指定用户走线路
B. 支持指定应用走指定线路
C. 多线路选路支持优先使用优先级最高的线路
D. 多线路选路支持优先使用前面线路选路
正确答案C
246、[AC]关于流量管理功能和部署模式说法正确的是 0 （ ）
A. 旁路模式支持流控
B. 旁路模式支持链路负载
C. 网桥模式支持DNS代理
D. 网桥模式做流控需要购买多线路授权
正确答案C
247、[ACJAC上网审计策略，默认会审计经设备上网的行为及外发的内容。审计用户上网行为在外企存在一定的法律风险，客户为了避免法律风险，希 望只审计用户上网行为，不审计用户上网内容， 请问下列说法正确的是？
A. 无法实现此需求
B. 可以通过多功能序列号激活行为审计，关闭 内容审计
C. 可以将内网用户的IP地址段添加到全局排除 地址中
D. 不要给用户关联任何上网审计策略
正确答案B
248、[AC]下列选项中，哪个选项必须要使用准入策略？（ ）
A. 审计邮件客户端发送邮件内容
B. 审计网页版微信聊天内容
C. 审计电脑客户端QQ聊天内容
D. 审计加密论坛发贴内容
正确答案C
249、[AC]关于日志中心没有的功能是？（ ）
A. 日志查询
B. 统计分析相应数据
C. 报表订阅
D. 防火墙日志查询
正确答案D
250、[AC]QQ邮箱内容审计不成功的排查不正确的是？
A. 需要开启审计策略
B. 需要AC设备能上网
C. 需要开启SSL识别，把mail.qq.com加入进去
D. 检查是否全局排除了mail.qq.com
正确答案B
251、[AC]下面关于AC审计QQ传文件的说法，错误的 是？（ ）
A. 审计QQ发送文件内容，需要通过准入策略 实现
B. 可以同时审计QQ发送文件及QQ接收文件
C. 可以审计QQ离线发送文件
D. 可以审计QQ发送文件夹
正确答案B
252、[ACJAC网桥部署，客户需求禁止内网员工发布含 有关礎字“法轮功”的贴子，清问下列选项中，AC 的哪个功能可满足客户的需求？（ ）
A. web关键字过滤
B. 邮件过滤
C. 应用控制
D. web文件类型过滤
正确答案A
253、[AC]网络安全法明确的要求，下列选项中说法错 误的是（ ）
A. 企业要求明确网络安全的责任人
B. 必须釆取网络防范的相关保护措施
C. 上网行为日志不包括IT管理员操作网络设备 的操作日志
D. 上网行为日志必须保存至少6个月
正确答案C
254、[AC]深信服上网审计技术选项中说法错误的是 0 （ ）
A. 审计的前提是内网用户先完成用户认证
B. 审计的前置条件是数据经过AC设备或者鏡 像数据给AC设备
C. 应用审计动作会对客户端有感知
D. 全局排除功能添加www.baidu.com并启用 后，审计会审计不到访问百度网页行为
正确答案C
255、[AC]数据经过AC设备的处理过程选项中说法错误 的是（ ）
A. 用户认证-＞应用识别
B. 用户认证-〉流量控制
C. 应用识别-〉行为动作识别
D. 应用审计-＞防火墙规则
正确答案D
256、[AC]关于上网审计，选项中说法正确的是（ ）
A. 历史日志只能在外置日志中心查看
B. 上网行为管理设备只能查看实时日志，5分 钟前的日志就看不到了
C. 配置了外置日志中心后，在设备首页右上角跳转访问
D. 上网行为管理设备和外置日志中心的管理员密码可以不同
正确答案D
257、[AC]关于日志中心，选项中说法错误的是（ ）
A. 日志中心支持查询审计到的所有行为日志
B. 日志查询用于查询具体的日志详情
C. 流量时长分析可以从应用角度进行统计分析
D. 内置日志中心的报表中心只能使用内置报表
正确答案D
258、[AC]关于日志查询，选项中说法错误的是（ ）
A. 支持设置拒绝行为过滤条件
B. 支持过滤用户/组
C. 支持选择关注的应用进行分析
D. 高级过滤选项需要授权支持
正确答案D
259、[AC]关于审计https网站内容说法错误的是（ ）
A. 需要确认多功能序列号的SSL内容识别已经 激活
B. 支持准入插件解密
C. 支持商密证书解密
D. 支持中间人解密技术
正确答案C
260、[AC]客户环境AC设备旁路模式部署，镜像已经做 好，希望时间对https网站的内容审计，选项中说 法正确的是（ ）
A. 发现上网行为监控没有数据，可能是镜像不 是双向流量
B. 旁路模式只能使用中间人解密方式
C. 旁路模式不支持全解密
D. 支持windowsPC和linuxPC客户端解密
正确答案A
261、[AC]关于SSL内容识别的两种方式，选项中说法 正确的是（ ）
A. 两种方法都支持全解密
B. 准入插件解密方式更耗性能
C. 支持定义解密白名单
D. 解密范围支持全解密和指定范围解密
正确答案B
262、[AC]选项中的场景和SSL内容识别的实现方式对 应关系错误的是（ ）
A. 因为配置了IM聊天内容审计，不能再选择准入插件解密方式
B. 审计场景，QQ聊天内容审计和准入插件解密使用的是同一个插件
C. 实现https内容审计，SSL内容识别的两种方式都支持
D. 需要实现web关键字过滤，只能选择中间人解密
正确答案A
263、[AC]部署行为感知系统的条件错误的是？（ ）
A. 支持windows server 2003 全新安装
B. 不支持32位的系统安装，但可以从32位的数 据中心升级
C. 行为感知中文安装包支持在简体中文和繁体 中文操作系统上运行
D. 安装盘文件系统必须是NTFS
正确答案A
264、[AC]AC和外置数据中心进行日志同步时，必须做 下列哪些配置？①在外置数据中心设置同步策 略②在外置数据中心新建数据库③在AC控制台
【系统配置】-【日志中心配置】配置”外置日志 中心同步策略”④在AC控制台【系统配置】-【日志中心配置】配置”设备名称”⑤在外置数据中心 设置同步端口 （ ）
A. ①，②，③
B. ①，③，④
C. ②，③，④，⑤
D. ①，②，③，⑤
正确答案B
265、[AC]客户是集团公司，在每个分公司出口部署一台AC设备提供上网行为管理和审计。集团IT管理 员需求能统一查看所有分公司的审计日志，你推 荐哪种方案满足客户需求？（ ）
A. 集团IT管理员登录每个分公司设备内置数据 中心查看审计日志。
B. 每个分公司都安装一台外置数据中心，将设 备日志同步至外置数据中心，集团IT管理员 登录每个分公司外置数据中心查看审计日志
C. 在集团总部安装一台外置数据中心，所有分 公司AC通过互联网将日志实时同步至总部 外置数据中心，集团IT管理员通过总部的外 置数据中心查看各分公司的日志
D. 无法实现此需求
正确答案C
266、[AC]下面关于外置数据中心的说法，错误的是？
A. 当客户需要长期保存日志时，推荐安装外置数据中心
B. 外置数据中心才有附件内容搜索功能
C. 外置数据中心支持安装在Linux系统上
D. 外置数据中心推荐安装在windows服务器系 统上
正确答案C
267、[ACJAC需要把日志同步到外置数据中心不需要做 的是？（ ）
A. 外置数据中心必须可以上网
B. 在外置日志中心新建同步策略
C. 允许AC访问外置日志中心相关端口
D. AC上配置相应同步配置
正确答案A
268、[AC]关于行为感知系统的组成，选项中说法错误 的是（ ）
A. 上网行为管理做数据采集
B. 行为感知系统做数据分析
C. 行为感知系统做AC/AF/SIP等安全日志的汇总
D. 大屏幕用于数据分析内容呈现
正确答案C
269、[AC]关于行为感知系统能力，选项中错误的是 （ ）
A. 支持离职风险分析
B. 支持泄密行为分析
C. 支持舆情事件分析
D. 支持业务访问路径分析
正确答案D
270、[AC]关于行为感知系统场景说法错误的是（ ）
A. 解决学生通过校园网络布舆情事件影响学校 声誉事件
B. 帮助企业追溯通过QQ截图泄密的问题
C. 帮助企业解决因为下班不关电脑带了的费电 问题
D. 帮助学校识别困难学生
正确答案B
271、[AC]关于全网上网态势分析说法正确的是（ ）
A. 适用于多分支组网场景
B. 适用于有线无线统一出口场景
C. 可以结合AC/AF/SIP/SSLVPN设备进行数据 分析价值呈现
D. 发现攻击事件可以联动AF下发处置策略
正确答案A
272、[AC]客户环境需要使用全网上网态势分析应用， 关于选项中提到的配置说法错误的是（ ）
A. 分支定义需要配置每个分支所在实际地理位置
B. 分支定义需要配置每个分支所在IP归属地址
C. 定义不良内容
D. 定义不良网站
正确答案B
273、[AC]高校想关注学生是否有很高的热度关注”青春没有你”的选秀节目，行为感知系统能怎么帮助老 师分析，选项中说法错误的是（ ）
A. 行为感知系统的事件感知应用适用于这个场
B. 通过定义相关关键字词组匹配进行识别舆情 事件
C. 可以识别QQ、微信等聊天记录的关键字
D. 行为感知系统对识别的关键字可以进行阻断
正确答案D
274、[AC]下列选项中不属于行为感知系统的数据采集组件的是（ ）
A. SSLVPN
B. af
C. AC
D. SG
正确答案A
275、[AC]关于行为感知系统安装部署，选项中说法错 误的是0 （ ）
A. 只支持安装在Windows服务器
B. 安装盘的文件系统要求是NTFS
C. 支持软件序列号授权方式
D. 授权过期后，所有应用都不能查询
正确答案 D
276、[AC]关于行为感知系统，选项中说法正确的是
A. 日志导出到第三方平台使用的端口是 TCP810 和 TCP801
B. 支持通过syslog和ftp两种方式导出日志到第 三方平台
C. AC同步日志行为感知系统是默认支持的， 无需额外配置
D. 日志导出的内容是固定不可调整的
正确答案 B
278、[AC]下面关于全网行为管理，下列说法正确的是 0 （ ）
A. 不支持认证托管功能
B. 包含原上网行为管理所有功能
C. 不支持U盘离线审计功能
D. 不支持802.1 x认证
正确答案 C
279、[AC]下面关于802.1X认证说法正确的是（ ）
A. 802.1X认证安全性高于portal认证
B. 802.1X认证只能用深信服的认证助手（准入 客户端）
C. 802.1 x认证便捷性更高
D. 强管控场景推荐portal认证
正确答案 A
280、[AC]下面全网行为管理的说法正确的是（ ）
A. 全网行为管理的802.1X认证中，用EAP透传 （中继）的方式
B. 802.1 X认证只能针对交换机的端口，不能针 对终端mac地址
C. 802.1X认证通过之前，PC需要能访问到全 网行为管理
D. 终端通过802.1 x认证上线是同步的，认证完 成之后无需其他操作即可在全网行为管理中上线
正确答案 A
281、[AC]下面关于全网行为管理的802.1X认证功能说 法不正确的是（ ）
A. 802.1X认证的用户只能是本地用户或者域用 户
B. 针对哑终端，可以做用户绑定，用户名为 mac地址，绑定终端的maco
C. 动态vlan支持在用户认证成功的时候，全网 行为管理告诉交换机划分端口 vlan
D. radius报文中默认1813是认证端口，1812是计费端口
正确答案 D
282、[AC]关于全网行为管理杀软检查功能，下列说法 不正确的是（ ）
A. 支持通过插件检查和流量检查方式
B. 插件杀软检查支持检查杀软的版本号
C. 流量杀软检查中企业杀软支持自定义，需要 终端和杀软中心端有流量交互
D. 终端和杀软中心端服务器的流量不经过ac也 支持检查
正确答案 D
283、[AC]客户纯内网环境，不允许访问公网，下面全 网行为管理不能实现的功能有（ ）
A. 可以判断终端是否存在拨号行为，有拨号行 为可以断网卡
B. 支持无线网卡检查，检测到电脑有无线网卡 可以执行断网操作
C. 不支持检查是否存在4G网卡
D. 支持自定义IP或者域名检查
正确答案 C
284、[AC]某公司要求员工禁止使用外设设备，下面关 于全网行为管理外设管控功能说法不正确的是
A. 支持管控存储设备、网络设备、蓝牙设备、 摄像头、打印机
B. 不能实现U盘的精细化管控
C. 支持外设设备白名单，白名单中的设备不受 管控
D. 可以用设备上的工具读取设备ID进行加白名 单操作
正确答案 B
285、[AC]某客户要求数据中心区域内的运维PC只能访 问固定的一台设备，不允许访问非授权的设备， 你向客户推荐全网行为管理的外联控制可以实现 该功能，下面说法不正确的是（ ）
A. XP电脑支持该功能
B. 支持白名单方式
C. 支持黑名单方式
D. 支持端口管控
正确答案 A
286、[AC]下面关于全网终端识别功能的说法，不正确 的是（ ）
A. 支持识别办公设备如PC和移动终端等
B. 支持识别网络设备如路由器交换机等
C. 三层环境下不建议开启跨三层取MAC地址功 能
D. 识别网络设备需要开启snmp功能
正确答案 C
287、[AC]下面关于全网行为管理业务审计和离线审计 功能，说法不正确的是（ ）
A. 业务审计分析功能不用结合ITM,可在BA中分析
B. 业务审计支持web、smb、f:p审计
C. 支持u盘离线审计
D. 支持IM聊天离线审计
正确答案 A
288、[AF]T 一代防火墙与其他品类防火墙对比，优势 功能说法错误的是（ ）
A. 对比UTM,可以提供更强的性能
B. 对比包过滤防火墙，提供应用层的防护能力
C. 对比IDS,提供处置拦截的能力
D. 对比WAF,提供双向代理的能力
正确答案 D
289、[AF]防火墙按技术划分，主要可以分为（）等三 大类型？（ ）
A. 包过滤、入侵检测、数据加密
B. 包过滤、入侵检测、应用代理
C. 包过滤、状态检测、入侵检測
D. 包过滤、状态检测、应用代理
正确答案D
290、[AF]对新建的应用连接，预先设置安全规则，允 许符合规则的连接通过，并在内存中记录下该连 接的相关信息，生成规则表。対该连接的后续数 据包，只要符合规则表就可以通过。这种防火墙 技术称为？（ ）
A. 包过滤技术
B. 状态检测技术
C. 代理服务技术
D. 入侵检测技术
正确答案 B
291、[AF]关于深信服下一代防火墙的核心价值说法， 不包含（ ）
A. 提供健康的上网管理
B. 提供安全全面可视的能力
C. 提供业务安全全面防护的能力
D. 提供未知威胁抵御的能力
正确答案 A
292、[AF]防火墙按结构划分，下列不属于此类的是
A. 单一主机防火墙
B. 路由集成防火墙
C. 分布式防火墙
D. 机柜式防火墙
正确答案 D
293、[AF]在防火墙的高可用性技术中，下列哪些是非 常少见的（ ）
A. 集群
B. 主备
C. 多机
D. 冷备
正确答案 A
294、[AF]用户采购防火墙部署在数据中心出口，下联数据中心汇聚交换机，业务主机同一网段都接入 此交换机。下列防护防火墙不具备的是（ ）
A. 互联网区域到数据中心业务主机的访问数据
B. 数据中心内部各业务主机之间的互访数据
C. 办公区域到数据中心业务主机的访问数据
D. 数据中心业务主机到互联网的访问数据
正确答案 B
295、[AF]从目前主流的传统防火墙来看，下列哪项不 能做为应用控制策略（ACL）的可控制项（ ）
A. IP
B. 端口
C. 路由
D. 区域
正确答案 C
296、[AF]T列关于目前主流厂商包过滤防火墙的说 法，不准确的是（ ）
A. 主要工作在网络层和传输层
B. 可以支持路由转发功能
C. 支持自动学习后生成拦截动作
D. 一般有处理速度快，价格便宜的优点
正确答案 C
297、[AF]T列关于入侵检测系统的说法，不准确的是 （ ）
A. 常见于串接部署，对流经设备的流量进行分析
B. 需要更新设备上的相应规则库
C. 一般不支持拦截所检测到的风险行为
D. 工作范围可涵盖L2-L7层
正确答案 A
298、[AF]关于防病毒网关和传统防火墙的对比说明， 下列说法不准确的是（ ）
A. 防病毒网关更关注于病毒的过滤，可阻断病毒文件的传播
B. 防病毒网关在ISO七层模式中的工作范围要 大于传统防火墙
C. 防病毒网关一般也具备应用控制功能模块
D. 防病毒网关开启杀毒功能后，在处理速度上，较传统防火墙要快
正确答案 D
299、[AF]WEB应用防火墙，主要是针对WEB站点进行 深入防护，下列哪项功能不是当前主流WEB防火 墙的重点防护方向（ ）
A. 针对weblogic的漏洞有相应防护能力
B. 针对webshell上传有相应的防护能力
C. 针对挖矿病毒有相应的防护能力
D. 针对CC攻击有相应的防护能力
正确答案 C
300、[AF]关于NGFW （下一代防火墙）和UTM （统一 威胁管理）的差异说明，说法不准确的是（ ）
A. UTMI作在L2-L4层，NGFW工作在L2-L7层
B. UTM对经过的数据包是串行解析处理，NGFW是并行解析处理
C. UTM-般不带WAF功能，NGFW一般带有 WAF功能
D. 相较UTM, NGFW的处理性能要更强
正确答案 A
301、[AF]基于当前的外部威胁环境，下列哪项不是传 统安全建设的弊端（ ）
A. 成本比较高，要采购很多各类的安全产品
B. 防护全面性不够，无法防护到终端侧的安全
C. 运维比较难，各个产品及厂商的日志独立， 无法综合分析
D. 数据处理效率比较低，数据交互要经过多套 安全产品的串行处理
正确答案 B
302、[AF]T列哪项不是深信服下一代防火墙的核心价 值点（ ）
A. 可以提供全面的风险可视化，简化运维，快 速定位风险
B. 提供企业业务全生命周期链的防护，包括从 事前、事中、事后的整体防护
C. 提供企业内网全面的防护能力，网、端、东 西向流量全方位防护
D. 提供应对未知威胁的防护能力，应对不断变 化的外部威胁
正确答案 C
303、[AF]深信防火墙实现从“事前”、“事中”、”事后”的 整体防护，其中下列哪些功能不属于事中的防护
A. 业务资产识别管理
B. Dos/Ddos攻击防护
C. 漏洞攻击防护
D. WAF攻击防护
正确答案 A
304、[AF]为构建云端、网端、终端全方位立体化的安 全防护体系，深信服下一代防火墙可与其他产品 进行联动，形成整体的防护，下列不属于该体系中的行为是（ ）
A. 联动云图，实现安威胁情报快速更新补充
B. 联动云图，实现未知威胁精准分析判断
C. 联动SSL,实现终端接入安全可控
D. 联动EDR,实现终端安全快速处置闭环
正确答案 C
305、[AF]单进单岀网桥的环境下，为什么AF推荐使用 虚拟网线接口部署？（ ）
A. 虚拟网线接口是普通的交换接口
B. 虚拟网线接口不需要配置IP地址
C. 虚拟网线接口不支持路由转发
D. 虚拟网线接口转发数据帧时，无需检查MAC 表，直接从虚拟网线配对的接口转发
正确答案 D
306、[AF]客户处新采购一台AF放在出口，且内网对外 发布的服务器，希望服务器可以直接配置公网地 址，下述哪种部署模式最合适？（ ）
A. 路由模式
B. 透明模式
C. 虚拟网线模式
D. 混合模式
正确答案 D
307、[AF]下列功能中，AF旁路部署时不支持的是？
A. 僵尸网络
B. DNS代理
C. WEB应用防护
D. 实时漏洞分析
正确答案 B
308、 [AF]T列有关AF接口与区域的说法中，错误的是？
A. AF的一个路由口下可以添加多个子接口，且 路由接口的IP地址不能与子接口的IP地址在同网段
B. AF的一个区域可以包含多个接口，一个接口 也可以属于多个区域
C. AF的虚拟网线区域只能包含虚拟网线接口， 不能包含透明接口和三层接口
D. 单进单出透明部署情况下，可以通过配置 VLAN接口 IP来对设备进行管理
正确答案 B
309、[AF]关于AF旁路部署的说法错误的是？（ ）
A. 不需要单独配置管理接口
B. 需要开启旁路reset功能，才能实现阻断
C. 防护策略对FTP服务器有效
D. 设备宕机也不会对现有业务造成影响
正确答案 A
310、[AF]关于AF链路故障检测，下列说法正确的是？
A. 链路故障检测最多可配置两组IP,每组可配置8个IP
B. 任何一组内的某个IP检测不通即判定链路故障
C. 任何一组内的所有IP检测不通才判定链路故障
D. 多组内的所有IP检测不通时才判定链路故障
正确答案C
311、[AF]AF的多线路负载不支持以下哪种方式？（ ）
A. 轮询
B. 优先使用前面线路
C. 加权最小流量
D. 随机HASH
正确答案 D
312、[AF]客户购买AF主要用于做上网NAT,同时作为 内网DHCP服务器，请问什么部署模式可以满足客户需求？（ ）
A. 路由模式
B. 透明模式
C. 旁路模式
D. 虚拟网线模式
正确答案 A
313、[AF]目前AF的接口，根据工作的层面，可以划分 的区域有（ ）
A. 三层区域
B. 镜像区域
C. 二层区域
D. 虚拟网线区域
正确答案 B
314、[AF]T列哪项操作是目前AF的MANAGE 口可进行 的操作（ ）
A. 改为透明模式的接口，支持透明部署
B. 禁用该接口，需要的时候再启用
C. 添加客户的IP地址，做为管理地址
D. 删除该接口，不再使用
正确答案 C
315、[AF]关于AF物理接口配置路由模式情况下，相关 功能配置，说法错误的是（ ）
A. 不能在界面直接调整接口的MTU
B. 配置的下一跳网关不会生成8个。的缺省路由
C. 勾选的WAN属性，会影响到流控、流审功能 的使用
D. 设置的线路带宽，与流控功能没有关系
正确答案 A
316、[AF]关于AF路由接口配置静态地址和配置adsl的 差异，说法正确的是（ ）
A. 都能修改接口MTU
B. 都能修改接口的MAC地址
C. 都能自动生成默认路由
D. 都能可选做为WAN属性接口
正确答案 C
317、[AF]关于镜像接口的说明，说法错误的是（ ）
A. 不能配置IP地址
B. 只能划分到二层区域
C. 允许同时多个镜像口存在
D. 可以划分到对应VLAN
正确答案D
318、[AF]路由属性的接口，都有链接故障检测的功 能，关于链路检测功能的说法，错误的是（ ）
A. 链路检测结果支持做为双机切换的条件
B. 链路检测结果支持做为接口是否启用的生效 条件
C. 链路检测结果支持做为静态路由是否生效的 条件
D. 链路检测结果支持做为策略路由选路的条件
正确答案 B
319、[AF]端口聚合可以提高逻辑笹路带宽，同时实现 链路冗余，下列关于AF端口聚合的说法，错误的 是（ ）
A. 端口聚合目前最多支持4个
B. 端口聚合目前不支持旁路镜像口
C. 端口聚合目前不支持虚拟网线口
D. 端口聚合支持静态和LACP两种
正确答案 C
320、[AFjvlan接口是一种逻辑接口，下列关于vlan接口 的说法，错误的是（ ）
A. vlan接口属于路由属性接口，可配置IP地址
B. vlan接口可以支持链路探测功能
C. vlan接口只能划分到三层区域
D. vlan接口支持adsl拨号
正确答案 D
321、[AF]AF通过区域，定义并归类接口，在各类安全 策略中引用区分不同区域的安全等级以及安全方 向，下列关于区域的说法，错误的是（ ）
A. 一个物理接口可以划分到多个同安全级别的 区域内
B. 区域根据接口转发类型分为二层、三层、虚 拟网线三类
C. 可以把三个路由属性的接口划入到同一个三 层区域中
D. 可以通过区域关闭该区域内接口对外提供的 控制台登录权限
正确答案 A
322、[AF]客户采购了一台AF部署在互联网出口，需要 进行安全防护同时，还需要替换出口路由器，充 当出口网关设备。在此部署下，AF下列哪个操作 是非必须的（ ）
A. 内网用终端配置私网IP需要上网，需要在AF 上配置SNAT
B. 内网服务器配置私网地址对外发布业务，需 要在AF上配置DNAT
C. 内网终端和服务器的网关都在同一个核心交 换机上，要实现互访，需要在AF上配置回包 路由
D. 需要调整应用控制策略，默认AF是拦截所有 数据通信
正确答案 C
323、[AF]客户采购了一台AF部署在互联网出口，在不 改变用户网络结构的需求下，决定采用透明部 署。在此部署下，AF下列哪个操作是非必须的 （ ）
A. AF自身需要上网，所以需要配置缺省路由
B. 需要调整应用控制策略，默认AF是拦截所有 数据通信
C. 内网服务器配置私网地址对外发布业务，需 要在AF上配置DNAT
D. AF如需被不同网段的终端管理，需要配置回 包路由
正确答案C
324、[AF]目前AF可以支持的动态路由协议中，不包括 下列哪项（ ）
A. OSPF
B. RIP
C. BGP
D. EIGRP
正确答案 D
325、[AF]在个别场景中，会要求AF旁路部署，在旁路 部署下，下列说法错误的是（ ）
A. 旁路部署的优势是无论是上线还是设备故 障，均不会影响到用户现有网络
B. 旁路部署可以实现当前设备所有安全功能的 防护
C. 旁路部署不支持对UDP协议的拦截操作
D. 旁路部署一般需要有一个单独管理口来进行 设备的管理
正确答案 B
326、[AF]当前AF的策略路由功能中，二列需求暂时不 能实现的是（ ）
A. 出口有电信和联通两个出口，希望内网用户 访问电信的数据走电信出口，访问联通的数 据走联通出口
B. 出口两条互联网线路，希望两条线路正常时 分别承载数据，故障时能实现互为备份
C. 出口两条互联网线路，内网两个部门，每个 部门不同IP段，希望实现不同部门上网时， 走不出的互联网出口
D. 出口两条互联网线路，对外发布了门户网 站，希望实现访问网站域名时，电信用户自 动跳转电信线路，联通用户自动跳转联通线 路
正确答案 D
327、[AF]在.策略路由的使用过程中，有一些注意事项 需要关注，但不包括下列哪项？（ ）
A. AF的静态路由优先级要高于策略路由优先级
B. 多线路负载的策略路由，要求选择的接口开 启链路故障检测
C. 配置策略路由后，必须要配置静态缺省路 由，否则内网无法上网
D. 当有多条策略路由时，遵循从上往下匹配的 原则，匹配到后不继续往下匹配
正确答案 C
328、[AF]T列哪个不是僵尸网络的危害？（ ）
A. 高级持续威胁
B. 本地渗透扩散
C. 敏感信息窃取
D. 加密主机文件
正确答案D
329、[AF]局域网中如果某台计算机受到了 ARP欺骗， 那么它发出去的数据包中，（）地址是错误的?
A. 源IP地址
B. 目的IP地址
C. 源MAC地址
D. 目的MAC地址
正确答案 D
330、[AF]当用户通过域名访问某一个合法网站时，打 开的却是一个不健康的网站，发生该现象的原因 可能是？（ ）
A. ARP欺骗
B. DHCP欺骗
C. TCPSYN攻击
D. DNS缓存中毒
正确答案 D
331、[AF]Windows操作系统设置账户锁定策略可以防 止？（ ）
A. 木马
B. 暴力激活成功教程攻击
C. IP欺骗
D. 缓冲区溢出攻击
正确答案 B
332、[AF]针对AF的僵尸网络防护出现误判后，以下排 除方式不恰当的是？（ ）
A. 单个终端出现僵尸网络误判问题，可在僵尸 网络功能模块的高级配置中排除指定IP,保 证单机访问正常
B. 针对外网某个域名连接访问出现误判，确保 域名可信的情况下，在【僵尸网络】-【高级 配置】中勾选【启用全局域名或IP排除】， 填写上受信域名保存即可
C. 针对出现问题的终端，在日志中心查找对应 僵尸网络日志，使用“添加例外”进行排除
D. 在设备配置页面的【系统】-【全局放行与封堵】-【放行名单】添加需要排除的URL
正确答案D
333、[AF]T列哪个不是AF的僵尸网络防护支持的功能？（ ）
A. 木马远控
B. 恶意域名重定向（蜜罐）
C. 邮件杀毒
D. 异常流量检测
正确答案 C
334、[AF]关于”计算机病毒”说法正确的是？（ ）
A. 计算机病毒是指被损坏的程序
B. 计算机病毒是指特制的具有破坏性的程序
C. 染过计算机病毒的计算机具有对该病毒的免 疫性
D. 任何的计算机病毒都会感染其他的设备
正确答案B
335、[AF]关于AF网关杀毒描述错误的是？（ ）
A. 解压技术
B. 文件识别技术
C. 单向流量检测
D. 加密协议解密杀毒
正确答案 C
336、[AF]下列哪个不是网关防病毒的扫描方式? （ ）
A. 字符扫描
B. 代理扫描
C. 流扫描
D. 文件扫描
正确答案 A
337、[AF]AF僵尸网络防护功能说法正确的是？（ ）
A. 恶意域名重定向功能要求AF设备路由部署
B. 僵尸网络默认启用恶意域名重定向
C. 恶意域名重定向功能要求AF设备能够上网
D. 恶意域名重定向的原理是恶意域名解析的IP 地址将会被AF重定向成蜜確IP地址。通过监 听对蜜確地址的访问，即可定位内网感染僵 尸网络病毒的真实主机IP
正确答案 D
338、[AF]以下关于计算机病毒与蠕虫的特点比较的叙 述中，正确的是？（ ）
A. 在存在形式上，蠕虫是寄生存在的
B. 在传染机制中，蠕虫是通过主要程序运行的
C. 在自我复制形式上，病毒一股是进行自我拷 贝，而蠕虫一般是插入到其他程序中
D. 在触发机制中，蠕虫的触发是蠕虫本身
正确答案 D
339、[AF]发现一台被具有强烈传播性的病毒感染的终 端后，首先应该？（ ）
A. 拔掉被感染终端的网线
B. 判断病毒性质、采用的端口
C. 在网上搜寻解决方法
D. 联系网络安全技术人员处理
正确答案 A
340、[AF]以下哪类网络攻击不属于DOS攻击？（ ）
A. SYN Flood攻击
B. ICMP Flood攻击
C. IP Spoofing攻击
D. Tear Drop攻击
正确答案 C
341、[AF]T列关于SYN Cookie说法错误的是？（ ）
A. SYN Cookie经常用来防御DOS攻击中的SYN Flooding 攻击
B. SYN Cookie经常结合代理服务器一起工作
C. SYN Cookie可以防御DOS中釣重放攻击
D. SYN cookie建立连接的过程是无状态的三次
正确答案 C
342、[AF]以下关于IDS和IPS说法正确的是？（ ）
A. IDS适用于加密和交换环境，IPS不适用
B. IDS和IPS都只能识别和记录攻击行为，并不 能阻止攻击行为
C. IDS和IPS都是主动检测方式
D. IDS部署在网络中是并联部署，而IPS部署可 以是串联和并联方式部署
正确答案 D
343、[AF]SQL注入是一种常见且危害很大的攻击方 式，以下的攻击属于SQL注入的是？（ ）
A. http://www.example.com/news.php7idE’ orT=’1
B. http://www.example.com/news.php? id=1 &net user admin admin /add
C. http://www.example.com/news.php? id=1%3cscript%3econfirm（%27hello%2cwo rld!%27）%3c%2fscript%3e
D. http://www.example.com/news.php? id=1=1
正确答案 A
344、[AF]某合作伙伴技术工程师小张拿到了一台AF测 试设备准备去客户处测试WAF功能，配置业务防 护策略时，没有看到WEB应用防护功能，请问可 能的原因是？（ ）
A. 设备没有开通激活基础级功能模块
B. 设备没有开通激活增强级功能模块
C. 设备没有开通激活网关杀毒功能模块
D. 设备没有开通激活云端订阅功能模块
正确答案 B
345、[AF]测试AF的DoS/DDoS防护的功能时候，下列 哪一项不建议开启？（ ）
A. 未知协议防护类型
B. IP数据分块传输防护
C. SMURF攻击防护
D. LAND攻击防护
正确答案 B
346、[AF]以下关于DoS攻击功能的说法，错误的是？
A. DoS攻击也即拒绝服务攻击，攻击后可以使 计算机或者网络无法提供正常的服务
B. DoS攻击只能基于TCP和ICMP协议来攻击
C. SYN泛洪是常见的DoS攻击手段，主要是利 用TCP协议栈在两台主机间初始化连接握手 的过程进行攻击
D. 匹配到SYN洪水攻击后，会自动封锁攻击IP
正确答案 B
347、[AF]T列有关AF的WEB应用防护模板，能够实现 的功能中，不包括以下哪项？（ ）
A. 隐藏FTP服务器的版本信息
B. 防止Web服务器遭遇XSS攻古
C. 替换FTP服务器的出错页面
D. 防止Web服务器遭受口令暴力激活成功教程
正确答案 C
348、[AF]拒绝服务攻击破坏了下列哪项内容？（ ）
A. 服务的可用性
B. 信息的完整性
C. 信息的保密性
D. 信息的抗抵赖性
正确答案 A
349、[AF]通过TCP序号猜测，攻击者可以实施下列哪一种攻击？（ ）
A. 端口扫描攻击
B. ARP欺骗攻击
C. 网络监听攻击
D. 会话劫持攻击
正确答案D
350、[AF]驻留在多个网络设备上的程序在短时间内同 时产生大量的请求消息冲击某Web服务器，导致该服务器不堪重负，无法正常响应其他合法用 户的请求，这属于？（ ）
A. DOS攻击
B. DDOS攻击
C. MAC攻击
D. 中间人攻击
正确答案 B
351、关于AF8017版本的杀毒功能不支持哪个协议（ ）
A. HTTP
B. FTP
C. POP3
D. ALG
正确答案 D