2025年PT2安全认证SSTP含ACAFSIPEDRAtrust题库【深信服PT2题库第三部分】.pdf

A.检查互联网外部PC使用nslookup解析域名，是否能直接解析到web服务器内网地址

B.检查代理网关和Web应用的真实IP地址是否联通，若代理网关不能访问则检查网络连通

性

C.检查代理网关是否能解析web资源的后端服务器域名地址，若不能解析，有可能是跟DNS

服务器之间的网络存在故障。

D.检查本地PC使用nslookup解析域名，是否能解析到代理网关公网地址

正确答案:A

解析：在排查Web应用站点无法打开的问题时，互联网外部PC通常应该解析到代理网关的

公网地址，以便通过代理网关访问内部Web服务器。直接解析到Web服务器的内网地址是

不正确的，因为这会绕过代理网关，可能导致无法访问或安全问题。因此，选项A中的说

法是错误的。

641.【atrust】客户希望使用我们aTrust产品后，能访问他们B/S应用Notes邮箱，下列配

置思路正确的是

A.创建用户-创建Notes隧道应用-隧道应用关联给对应用户

B.创建用户-创建Notes隧道应用-配置上线准入策略和应用防护策略

C.创建用户-创建Notes隧道应用-配置权限基线

D.创建用户-创建可信应用只允许Notes邮箱的程序-创建Notes邮箱Web应用-Web应用关联

给用户

正确答案:B

解析：在配置aTrust产品以便客户能访问B/S应用Notes邮箱时，需确保用户、应用及安全

策略的正确设置。首先，创建用户是基础步骤，用于在系统中建立用户账户。接着，针对

Notes邮箱这一特定应用，需要创建Notes隧道应用，以便实现安全的访问通道。最后，为

了保障访问的安全性和合规性，必须配置上线准入策略和应用防护策略。这些策略能够控制

用户的访问权限，防止未授权访问，并保护应用免受潜在威胁。因此，正确的配置思路是B

选项：创建用户-创建Notes隧道应用-配置上线准入策略和应用防护策略。

642.【atrust】关于可信应用，下列说法错误的是?

A.只支持隧道应用

B.无需开启，只要使用隧道应用，就会进行采集进程

C.自定义可信进程时，配置进程名不支持通配符∗

D.设置可信进程的hash值，可以用系统自带命令行工具计算：Windows系统：

certutil-hashile[拖曳要计算的文件到此处]SHA256例：certutil-hashfiled：

\sangfor.exeSHA256Mac系统：openssldgst-sha256[拖曳要计算的文件到此处]例：

openssldgst-sha256/System/Application/Calendar.app/Contents/MacOS/Calendar

正确答案:C

解析：在定义可信应用时，通常可以自定义可信进程，并且配置进程名时支持使用通配符来

匹配多个进程，这样可以更灵活地管理可信进程的范围。选项C中提到的“配置进程名不支

持通配符*”是不正确的说法。其他选项描述的是可信应用的相关特性或操作方式，均为正

确或可能的描述。

643.【atrust】下列关于动态令牌认证说法，错误的是()

A.raduis动态令牌认证只能作为二次认证，不支持作为主认证

B.动态口令是根据专门的算法生成一个不可预测的随机数字组合，一个密码使用一次有效

C.radius令牌认证不支持在增强认证使用

D.radius认证服务器地址配置是基于主备认证服务器的概念，第一个地址认证请求超时后，

会到第二个地址去请求，如果认证服务器响应后，将会到该认证服务器认证，不会再去下个

认证服务器地址请求

正确答案:C

解析：动态令牌认证是一种安全认证方式，通常用于增强系统的安全性。

644.【atrust】客户黄大湿发布了门户网站的TCP/UDP协议的隧道资源，后

端地址为，问该门户网站的时候发现无法打开，下列排查方法正确的是?

A.在代理网关设备ping一下域名，查看代理网关是否能解析

B.检查终端PC上是否生成门户网站内网IP的路由，下一跳为虚拟网卡的IP，若未生成，检

查是否有给左大美女的用户分配该应用，或终端环境问题导致，再进一步排查

C.在终端PC上检查域名是否正常解析为内网真实IP地址，若不能，更换PC的DNS服务器

为内网DNS

D.在终端电脑上telnet门户网站的域名，发现无法正常通，说明设备故障了

正确答案:A

解析：这道题考察的是对网络故障排查的理解。首先，当门户网站无法打开时，我们需要从

网络层面进行排查。选项A提到在代理网关设备ping域名，这是一个基本的