1.下列哪项不是深信服下一代防火墙的核心价值点
A.可以提供全面的风险可视化,简化运维,快速定位风险
B.提供企业业务全生命周期链的防护,包括从事前事中事后的整体防护
C.提供企业内网全面的防护能力,网端东西向流量全方位防护
D.握供应对未知威助的防护能力,应对不断变化的外部威胁
答案:C
2.云端易部署功能中,关于分支快速接入的方式,以下说法错误的是
A.采用插入 4G 卡的方式,快速完成分支设备的云端易部署
B.采用 WIFI接入/PC接入配置的方式,快速完成分支设备的云端易部署
C.设备接入 DHCP 线路网络中,SDW-R设备可自动获取到IP,快速完成分支设备的云端易部署
D.采用插入U盘的方式,快速完成分支设备的云端易部署
答案:D
3.SDW-R 设备中,不包含以下哪种功能?
A.SANGFORVPN/标准IPSOcVPN 功能
B.基础的静态路由功能
C.支持提供 WIFI功能
D.支持使用防勒索邮件安全等安全防护的功能
答案:D
4.防火墙按结构划分,下列不属于此类的是
A.单一主机防火境
B.路由集成防火墙
C.分布式防火墙
D.机柜式防火墙
答案:D
5.客户采购了一台 AF 部署在互联网出口,需要进行安全防护同时,还需要替换出口路由器,充当出口网关设备。在此部下,AF下列哪个操作是非必须的
A.内网用终端配置私网IP 需要上网,需要在AF上配置 SNAT
B.内网服务器配置私网地址对外发布业务,需要在AF上配置 DNAT
C.内网终端和服务器的同关都在同一个核心交换机上,要实现互访,需要在 AF上配置回包路由
D.需要调整应用控制策略,默认AF是拦截所有数据通信
答案:C
6.风和日丽的中午,工程师陈工与客户了解到当前分支的深信服AC 设备存在某些漏洞,此漏洞在最新的版本已经修复,那么此时陈工如何快速将所有分支完成升级?
A.使用总部端 BBC 设备采用分支批量升级功能
B.使用总部端 BBC 设备采用策略模板统一下发功能
C.到每个分支现场将逐个设备进行升级
D.使用总部 AC 下发升级包给分支进行升级
答案:A
7.邮件易部署功能说法错误的是?
A.邮件易部署支持预配置 LAN、WAN 接口的网络配置
B.邮件易部署支持预配置加入 SANGFORVPN拓扑,分支设备完成邮件易部署时可自动加入 SANGFORVPN 拓扑
C.邮件易部署支持预配置关联策略模板,分支设备完成邮件易部署可自动关联策略模板
D.邮件易部署支持预配置加入标准 IPSECVPN拓扑,分支设备完成邮件易部署时可自动加入标准IPSECVPW 拓扑
答案:D
8.AF僵尸网络防护功能说法正确的是?
A.恶意域名重定向功能要求AF 设备路由部署
B.僵尸网络默认启用恶意域名重定向
C.恶意域名重定向功能要求AF设备能够上网
D.恶意域名重定向的原理是恶意域名解析的 IP 地址将会被 AF 重定向成蜜罐 IP地址。通过监听对密罐地址的访问,即可定位内网感染僵尸网络病毒的真实主机IP
答案:D
9.AF 的多线路负载不支持以下哪种方式?
A.轮询
8.优先使用前面线路
6.加权最小流量
D.随机HASH
答案:D
10.关于 BBC 的分支接入,以下说明错误的是?
A.BBC需要完成设备授权激活,分支设备才可接入到BBC
B.BBC授权过期之后,BBC无法创建分支账号,分支无法接入到BBC
C.分支的接入数不能超过BBC上授权的设备数
D.BBC授权过期之后,在 30天内任然可以创建分支账号提供给分支做接入
答案:D
11.以下关于 AF 接口的说法正确的是
A.如果接口设置为路由接口,并且是 ADSL拨号,需要选上添加默认路由选项并且该选项默认勾选
B.eth0为固定的管理口,接口IP 为 10.251.251.251/24且无法删除,无法修改,无法新增
C.聚合接口主备模式中,会取优先级最高的接口为主接口,其余为备接口.
D.一个路由接口下可添加多个子接口,且路由接口的 IP 地址可以与子接口的 IP地址在同网段
答案:A
12.关于 BBC 的分支接入所使用的是BBC的哪个端口号
A.TCP5000
B.TCP5001
C. UDP5001
D.TCP4009
答案:A
13.客户采购了一台 AF 部署在互联网出口,在不改变用户网络结构的需求下,决定采用透明部署。在此部署下,AF下列哪个操作是非必须的
A.AF自身需要上网,所以需要配置缺省路由
B.需要调整应用控制策略,默认AF是拦获所有数据通信
C.内网服务器配置私网地址对外发布业务,需要在AF上配DNAT
D.AF如需被不同网段的终端管理,需要配置回包路由
答案: C
14.下列哪项操作是目前 AF 的 MANAGE 口可进行的操作
A.改为透明模式的接口,支持透明部署
B.禁用该接口,需要的时候再启用
C.添加客户的 IP 地址址,做为管理地址
D.删除该接口不再使用
答案:C
- P0C测试项目中,以下关于 xhack 工具的应用,理解错误的是
A.在交付项目中,对于新上架部署的 AF 产品,想快速验证配置的安全策略是否正确,可使用 xhack 进行快速验证
B.在 POC 测试项目中,客户想测试一些POC功能用例,可使用 xhack 工具给客户微 POC 测试用例演示
C.在 P0C 的 PK 测试项目中,想通过打批量 ocap 包优势样本的方式,和友商 KK我们某方面功能的拦截检出率,可使用 xhack 工具进行自定义批量 pcap 包优势样本的导入,并支持批量回放pcap 包优势样本
D.在日常的设备运維中,客户想了解当前网络环境中部署的 AF 对内网业务的安全防护状态是否良好,可使用 xhack 工具过客户网络环境中部署的 AF,向客户内网的业务进行模拟攻击,利用 xhack 工具自动生成对应的安全报告,并下载报给客户做安全分析汇报
答案:D
16.邮件易部署功能的基础排障思路中,以下说法错误的是?
A.检查 BBC的访问地址,需要保证该地址为互联网映射后的地址,保证分支可通过该地址访问到 BBC
B.通过易部署链接无法访问设备时,检查连接易部署的P0的IP地址配百是否与设备的 LAN 口默认地址同一个网段
C.当分支管理员未接收到邮件时,检查下发邮件的邮箱地址是否时该管理员的邮箱地址
D.但邮件易部署接入 BBC 失败时,需要检查 BBC与云图之间的对接是否正常
答案:D
17.下列有关 AF 接口与区域的说法中,错误的是?
A.AF 的一个路由口下可以添加多个子接口,且路由接口的 IP 地址不能与子接口的 IP 地址在同网段
B.AF 的一个区域可以包含多个接口,一个接口也可以属于多个区域
C.AF 的虚拟网线区域只能包含虚拟网线接口,不能包含透明接口和三层接口
D.单进单出透明部署情况下,可以通过配置 WLAN 接口 IP 来对设备进行管理
答案:B
18.IPSEC 是一套协议集,它不包括下列哪个协议?
A.AH
B. ESP
C.SSL
D. IKE
答案:C
19.防火墙按技术划分,主要可以分为三大类型?
A.包过滤、入侵检测、数据加密
B.包过滤、入侵检测、应用代理
C.包过滤、状态检测、入侵检测
D.包过滤、状态检测、应用代理
答案:D
20.以下不是业务发布区域的服务器面临的威胁?
A.业务内容被算改,植入非法文字图片或链接,影响公司形象
B.发布应用上保存用于日常在线服务相关的敏感业务数据,容易被黑客现觎导致数据泄露风险。
C.用户通过互联网下载包含木马后门的文件,并横向扩散感染其他终端,
D.业务存在漏洞恶意链接,被监管单位检测通报
答案:C
21.B8C部署形式与部署模式说法错误的是?
A.可提供硬件物理设备 BBC
B.可提供虚拟镜像部署在云端
C.使用单臂的部署模式完成设备的部署
D.使用路由模式部警,作为内网的网关
答案:D
22.关于防病毒网关和传统防火墙的对比说明,下列说法不准确的是
A.防病毒网关更关注于病毒的过滤可阻断病毒文件的传播
B.防病毒网关在OSI七层模式中的工作范国要大于传统防火墙
C.防病毒网关一般也具备应用控制功能模块
D.防病毒网关开启杀毒功能后,在处理速度上,较传统防火请要快
答案:D
23.关于深信服下一代防火墙的核心价值说法,不包含
A.提供健康的上网管理
B.提供安全全面可祝的能力
C.提供业务安全全面防护的能力
D.提供未知威胁抵御的能力
答案:A
24.BBC的 AutoVPN 的作用是什么?
A.通过与预定义的策略,自动创建 SSLVPN 连接
B.通过与预定义的策略,自动创建标准IPSECVPN 连接
C.通过与预定义的策略,自动创建 SangforVPN 连接
D.通过预定义的策略,启用 VPN模块
答案:C
25.下列关于入侵检测系统的说法,不准确的是IDS 多点,旁路,IPS串联
A.常见于串接部警,对流经设备的流量进行分析
B.需要更新设备上的相应规则库
C.一般不支持拦截所检测到的风险行为
D.工作范围可涵盖 L2-L7 层
答案:A
26.以下关于 AF 双机说法不正确的是
A.双机不能用 eth0 口作为业务口
B.双机在接口不足的情况下,可以用 eth0 做心跳口
C.备机没有加入网络监听的网口,对外发包同样会被抑制
D.透明模式双机 AF 不支持 STP 可能会存在广播风暴问题
答案:C
27.部署在互联网出口的 AF 无法针对以下哪种方向的流量进行安全防护
A.互联网区域访问内网服务区的流量。
B.内网办公区访问内网服务器区的流量
C.内网办公区访问互联网区域的流量
D.内网服务器区访问互联网区域的流量
答案:B
28.客户内网部警了一台 AF 设备做标准IPSECVPN 对接,现需要在出口防火墙上放通相应协议和端口以下需要放通的协议和端口号中,正确的是
A.IP协议号:50,51,端口:TCP1723,UDP1701A
B.IP协议号:47,50,端口:TCP1723,UOP1701B
C.IP协议号:50,51,端口:UDP4500,UDP500
D.IP协议号:50,51,端口:TCP4009,UDP4009
答案:C
29.以下关于 AF 双机配置说法正确的是
A. AF 建立双机后,使用 PC 直连备机 MANAGE 口无法登录 WEB 控制台
B. AF 仅能配置一个 HAIP 地址
C. 无法登陆备机状态设备的 WEB 控制台
D. AF 双机部署,只要启用配置同步,则所有非 HA的接口 IP 都会同步
答案:D
30.BBC的 ath0 口缺省IP 地址是多少
A.10.250.0.7/24
B.10.251.251.251/24
C.10.252.252.252/24
D.10.254.254.254/24
答案:A
31.关于 BBC 的告警设置,以下说法错误的是?
A.针对产品线的相关告警设置需要导入对应产品线的策略模板才可进行设置
B.针对 CPU内存等通用的告警设置不需要导入产品的策略模板也可进行设置
C.分支设备的告警处置完成之后,BB0上会自动显示告警已处理
D.BBC的告警设置无法针对各自产品线的告警内容进行设置,只能在分支端进行告警设置
答案:D