HCNA安全题库H12-711.docx

客户端A和服务器B之间建立TCP连接，再三次握手中，B往A发送的SYN+ACK（seq=b，ack=a+1），下列说法正确的有：该数据包是对序号b的SYN数据包进行确认该数据包是对序号a+1的SYN数据包进行确认B下一个希望收到的ACK数据包的序号为bB下一个希望收到的ACK数据包的序号为a+1rule permit ip source 5 1表示的地址范围是：A、-55B、2-3C、1-4D、2-43、下列关于防火墙分片缓存功能，说法正确的有：（多选） A、配置分片报文直接转发功能后，防火墙不对分片报文进行缓存 B、配置分片报文直接转发功能后，对于不是首片报文的分片报文，防火墙将根据域间包过滤策略进行转发 C、分片报文也会创建会话表，转发时也会查找会话表 D、分片报文的非首片报文，由于没有端口号，所以分片报文直接转发功能一般不能用在NAT环境4、下面哪个选项不属于UTM（Unified Treat Management）的功能？ A、IPS入侵防御 B、上网行为 C、终端安全管理 D、AV网关防病毒5、终端安全系统主要由以下哪些组件组成：（多选） A、防病毒服务器 B、SC控制服务器 C、准入控制设备 D、SM管理服务器6、对称加密算法的加密秘钥和解密秘钥均相同，非对称加密算法的加密秘钥和解密秘钥均不相同。Ipsec在业务数据加解密时使用的是对称加密算法。 -------- T （true）7、华为USG防火墙VRRP HELLO报文为组播报文，所以要求备份组中的各路由器必须能够实现直接的二层互通。-----------------T （true）8、在ARP地址解析时，ARP REPLY报文采用广播的方式发送，同一个二层网络上主机都能够收到，并据此学习到IP和MAC地址对应关系。--------------F （FALSE）9、USG状态检测防火墙查看Session信息如下：USGdisplay firewall session table verbose Current total sessions:1 Icmp VPN:public-- public Zone:trust-- untrust Slot:8 CPU : 0 TTL: 00:00:20 Left: 00:00:19 Interface: GigabiEthernet6/0/0 Nexthop:0 --packets: 134 bytes : 8040 -- packets : 134 bytes : 8040 00:1280 -- 00:2048根据上面的信息下面说法正确的是：（多选）Trust区域中主机00正在访问或者曾经访问Untrust 00该报文时VPN报文后续到达防火墙的报文，需要匹配会话表和防火墙安全策略正向流量的出接口是GigabitEthernet6/0/010、CA（Certificate Authority）证书用于SSL通信连接建立时，验证虚拟网关用户的身份，保存于设备侧，由CA机构颁发。----------------- T 11、通过display ike sa看到的结果如下，说法正确的是？（多选） Current ike sa number 1 -------------------------------------------------------------------------------------Connection-id peer vpn flag phase doi ------------------------------------------------------------------------------------- 0x1f1 0 RDIST v1: 1 IPSEC 0x6043dc4 Flag meaning RD—READY ST—STAYALIVE RL –REPLACED FD –FADING TO –TIMEOUT第一阶段ike sa 已经成功建立第二阶段ipsec sa已经成功建立Ike 使用的版本是v1Ike使用的版本是v212、关于L2TP消息，说法错误的为： A、L2TP依附于PPP进行账户认证 B、控制消息只能用于隧道与会话连接的建立，维护以及传输控制 C、数据消息只能用于封装PPP帧并在隧道上传输 D、控制消息和数据消息都可以提供流量控制和拥塞控制功能13、以下哪种攻击不属于网络层攻击？ A、IP欺骗攻击 B、Smurf攻击 C、ARP欺骗攻击 D、ICMP攻击14、VRRP（Virtual Router Redundancy Protocol）中，主路由器定期向备份路由器发送通告报文（HELLO），备份路由器则只负