GB0-510 H3CNE-Security H3C认证网络安全工程师考试题库（含答案）.doc

GB0-510H3CNE-SecurityH3C认证网络安全工程师考试题库

(含答案)

一、单选题

1.

安全策略加速功能失效，规则匹配的过程和建立连接的时间会变长，同时也会占用系统大量的CPU资源。

A、错误

B、正确答案：B

2.

工程师小L在调试SecPathF1020设备是，把缺省的G1/0/0当成内网口Trust,G1/0/0接口配置成untrust区域当成外网口，此时内网用户是否可以正常上网A、不能

B、能答案：A

3.

在L2TP组网中，LNS侧对用户的验证方式有三种，代理验证、强制验证和LCP重协商。其中优先级最高的是

A、代理验证

B、强制CHAP验证C、LCP重协商

D、都相同答案：C

4.如下图所示的网络中，RTB对RTA发起IPSec连接，有关NAT穿越描述正确的是A、IPSec隧道两端不启用TKE的情况下亦能实现NAT穿越

B、通过将IPsec报文封装在UDP1701端协议报文中实现IPSec的NAT穿越C、RTA在主模式情况下不能实现NAT穿越

D、NAT网关会修改UDP报文头，IPSec报文的IP头答案：C

5.如何防范Land攻击?

A、检查TCP报文，如果报文的目的端口号为139,且TCP的紧急标志被置位，

而且携带了紧急数据区，则根据用户配置选择对报文进行转发或拒绝接收，并将该攻击记示

B、检查ICMP应答请求报文的目的地址是否为子网广播地址或子网的网络地址，如果是则根据用户配置选择对报文进行转发或拒绝接收，井将该攻击记录到日志C、检查UDP报文，如果报文的目的端口号为139,且UDP的紧急标志被置位，

而且携带了紧急数据区，则根据用户配置选择对报文进行转发或拒绝接收，井将该攻击记；

D、检测每一个IP报文的源地址和目标地址，若两者相同，或者源地址为环回地址,则根据用户配置选择对报文进行转发或拒绝接收，并将该攻击记录到日志

答案：D

6.以下关于动态NAT说法正确的是?

A、动态NAT必须要指定地址池地址

B、PAT模式中一个公网地址可以同时提供给多个私网地址使用

C、动态NAT的配置中，必须要配置ACL来指定可以进行NAT转换的地址D、所有模式的动态NAT都支持复用公网地址

答案：B

7.常见的安全域划分方式有：

A、按照接口划分

B、按照业务划分

C、按照规则划分

D、按照IP地址划分答案：A

8.下列关于对防火墙的功能描述，不正确的是A、防火墙能够执行安全策略

B、防火墙能够产生审计日志

C、防火墙能够限制组织安全状况的暴露D、防火墙能够防病毒

答案：D9.

如需要通过VPN隧道在协议A的网络上传输协议B的数据包，我们将协议B称为什么协议?

A、封装协议B、隧道协议

C、载荷协议D、承载协议

答案：C10.

H3C防火墙防病毒功能需要安装License文件。License到期后无法升级特征库，

防病毒功能不能正常工作。

A、错误B、正确

答案：A

法更新，但是还能继续用旧的特征库

11.关于防火墙设备的ISP域的描述，正确的是A、防火墙系统缺省存在域的名称为system

B、防火墙系统最多配置10个ISP域

C、防火墙系统缺省存在域的名称为administratorD、防火墙系统最多配置16个ISP域

答案：A12.

在H3C防火墙上配置入侵防御，单击提交按钮，激活入侵防御配置文件的配置内容时此功能会暂时中断DP业务的处理

A、错误B、正确答案：B

13.下面关于GRE协议的描述正确的是?

A、GRE提供了将一种协议的报文封装在另外一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的隧道成为tunnel

B、GER是二层协议

C、GRE协议实际上是一种承载协议

D、GRE是对某些网络协议(如：IP、IPX等)的数据报文进行封装，使这项被封装的数据报文能够在另外一种网络协议(如：IP)中传输

答案：D

解析：A答案当中的异种网络，指的是数据链路层协议

14.在下列哪种密码应用中，我们是使用公钥加密、私钥解密?A、非对称密码

B、对称密码C、数字签名D、H交换

答案：A

15.DES是最著名的对称密码算法，其属于分组密码，明文分组的位数为A、64

B、56C、128D、256答案：A

16.

在IKE协商模式中，哪种模式适合用于分支机构采用ADSL拨号与总部IPSec连接第110页，共156页

A、野蛮模式B、主模式

C、传输模式D、隧道模式

答案：A17.

H3C防火墙配置成二层模式时数据依靠()进行转发。

A、HASH表B、路由表

C、MAC地址表D、