2025年HCIE-Security实战模拟卷.docxVIP

2025年HCIE-Security实战模拟卷

考试时间：______分钟总分：______分姓名：______

一、

某企业网络拓扑如下：企业总部部署了ARG3防火墙（FirewallA），通过GRE+IPSecVPN与分支机构网络（BranchANetwork/24）相连。总部内部网络（HeadquartersNetwork/24）需要访问BranchANetwork的0服务器。要求：总部用户可以通过HTTP协议访问BranchANetwork的0服务器，使用内网DNS解析BranchANetwork的域名（如:），所有流量必须经过VPN隧道传输。FirewallA已配置了接口IP地址、基本的VPN隧道和NAT策略，请补充配置访问控制策略（ACL）和NAT策略，确保满足上述访问要求。要求写出关键配置命令。

二、

某银行核心业务系统部署在内部数据中心（DataCenterNetwork/24），该网络通过两台USG6605防火墙（USG6605-A,USG6605-B）与外部互联网相连。为保障业务连续性，两台防火墙配置了HA（Active/Standby），并关联了同一个外部线路。安全策略要求：所有访问核心业务系统的流量必须经过入侵防御系统（IPS）进行检测。当主防火墙（USG6605-A）故障时，备份防火墙（USG6605-B）接管所有业务流量，并且IPS检测到的攻击日志需要同时发送到主防火墙和备份防火墙的管理员邮箱。请配置USG6605-A和USG6605-B的相关安全策略，包括HA配置、IPS策略配置、IPS日志发送配置。要求写出关键配置命令。

三、

某公司部署了WAF保护其Web应用服务器（WebServer00），WAF与防火墙、IPS串联部署。近期发现存在SQL注入攻击尝试，攻击特征为在URL参数中注入;DROPTABLE...--。要求：配置WAF策略，只允许来自公司可信IP段（/24）的访问请求直接到达Web服务器，其他所有访问请求都必须经过WAF检测。对于检测到的SQL注入攻击，WAF应采取阻断动作，并记录详细的攻击日志到WAF自身的日志服务器（LogServer01）。请配置WAF的相关策略。要求写出关键配置命令。

四、

某企业网络部署了多台AR系列防火墙和USG系列防火墙，需要统一管理。管理员账号admin需要具备对全网设备的全配置权限，并且需要审计其所有操作。要求：配置华为统一安全管理系统（FusionManager），实现对所有AR和USG防火墙的集中管理，并创建满足要求的admin用户。要求写出关键配置命令。

五、

某企业网络部署了USG5800防火墙作为上网行为管理网关。现有安全策略允许员工访问办公内网资源（/24），禁止访问外部P2P下载网站。近期需要临时允许销售部门（员工账号属于SalesGroup）访问某个特定的视频会议平台（），但仍然需要坚持禁止其他所有P2P下载网站。要求：在不修改现有“允许办公内网”策略和“禁止P2P下载”策略的前提下，通过创建新的访问控制策略实现上述需求。请配置相应的访问控制策略。要求写出关键配置命令。

六、

某企业分支机构网络通过VPN接入总部。为提高安全性，总部要求分支机构防火墙（BranchFirewall）必须具备与总部防火墙（HeadquartersFirewall）相同的策略库。总部防火墙已经配置了策略库“CorpPolicy”，并下发给了分支机构。但分支机构防火墙当前策略库为“BranchPolicy”，且策略库同步功能未启用。要求：在分支机构防火墙上配置策略库，使其使用总部的“CorpPolicy”策略库，并确保策略库能够自动同步更新。请配置分支机构防火墙的相关命令。要求写出关键配置命令。

七、

某企业网络部署了ARG系列防火墙作为NAT设备。内部网络（/16）通过公网接口（GigabitEthernet0/0/0）访问互联网。为满足业务需求，需要将内部私网地址/16也转换为公网IP地址。要求：配置源NAT策略，实现内部网络/16访问互联网时，使用GigabitEthernet0/0/0接口的公网IP地址作为源IP地址。要求在防火墙上进行配置，写出关键配置命令。

八、

一台部署了FusionInsightforSecurity8.0的态势感知服务器，接收来自多台USG防火墙的Syslog日志。管理员发现日志中关于VPN连接断开的事件（日志类型：VPN-CONNECTION-UPDOWN，事件级别：ERROR）显示不清晰，缺少具体的断开原因信息。要求：配置FusionInsightforSecurity，对来自USG防火墙的VPN日志进行加工处理，增加一个自定义字