网络安全领域设备工程师面试考点.docxVIP

第PAGE页共NUMPAGES页

2026年网络安全领域设备工程师面试考点

一、单选题（共10题，每题2分）

考察方向：基础网络知识、设备配置与管理、安全协议理解

1.题干：在配置交换机端口安全功能时，以下哪种模式允许最多5个MAC地址，且当第6个MAC地址尝试访问时，会采取丢弃数据包的措施？

A.PortSecurityMode

B.MACAddressAging

C.StaticMACBinding

D.DynamicMACLearning

答案：A

解析：交换机端口安全有三种模式：

-PortSecurityMode（限制数量，超出丢弃）

-MACAddressAging（动态老化，自动清除）

-StaticMACBinding（固定绑定，不可更改）

-DynamicMACLearning（动态学习，手动清除）

只有A选项符合题意。

2.题干：以下哪种TLS版本被设计为解决TLS1.3的某些性能问题，同时保留部分前向兼容性？

A.TLS1.4

B.TLS1.2.3

C.TLS1.3.1

D.DTLS1.3

答案：C

解析：TLS1.3.1是TLS1.3的修订版，优化了加密算法选择和重连性能，但保留了部分TLS1.3特性。

3.题干：在配置防火墙时，若需要允许特定IP段访问内部服务器的HTTP（80端口），以下哪种策略最合适？

A.StatefulInspection

B.NATOverload

C.AccessControlList(ACL)

D.Fail2Ban

答案：C

解析：ACL是精确控制端口访问的标准方式，其他选项的功能不同：

-StatefulInspection（状态检测，自动跟踪连接）

-NATOverload（地址转换，隐藏内部IP）

-Fail2Ban（暴力破解防护，动态封禁IP）

4.题干：在配置VPN时，使用IPSec隧道模式，以下哪种协议通常用于密钥交换？

A.IKEv1

B.DHGroup1

C.AES-256

D.NAT-T

答案：A

解析：IKEv1（InternetKeyExchange）负责密钥交换，DHGroup1是DH算法参数，AES-256是加密算法，NAT-T是NAT穿越技术。

5.题干：在配置路由器时，若需要防止内部网络用户直接访问互联网，应启用哪种机制？

A.DHCPSnooping

B.PortSecurity

C.RouteFiltering

D.StaticNAT

答案：C

解析：

-DHCPSnooping（防ARP欺骗）

-PortSecurity（MAC地址限制）

-RouteFiltering（路由过滤，阻断非法出口）

-StaticNAT（静态地址转换）

6.题干：在配置无线网络时，若需要提高安全性，以下哪种加密方式建议优先使用？

A.WEP

B.WPA2-Personal

C.WPA3-Personal

D.WPA-TKIP

答案：C

解析：WPA3-Personal（192位加密）是目前最安全的，WPA2次之，WEP已淘汰，TKIP是WPA2的加密方式但安全性较低。

7.题干：在配置SDN控制器时，以下哪种协议用于设备发现？

A.BGP

B.OLSR

C.LLDP

D.OSPF

答案：C

解析：

-BGP/OSPF（路由协议）

-OLSR（无线路由协议）

-LLDP（链路层发现协议，用于设备识别）

8.题干：在配置安全设备时，若需要检测恶意流量，以下哪种技术最有效？

A.DeepPacketInspection(DPI)

B.StatefulFirewall

C.ACL

D.Fail2Ban

答案：A

解析：DPI能深度解析流量内容，检测加密流量和恶意载荷，其他选项功能有限。

9.题干：在配置零信任架构时，以下哪种原则最核心？

A.LeastPrivilege

B.NetworkSegmentation

C.Multi-FactorAuthentication

D.ZeroTrustNetworkAccess(ZTNA)

答案：D

解析：ZTNA是零信任的核心实现方式，其他是辅助原则。

10.题干：在配置网络设备日志时，以下哪种协议用于安全日志传输？

A.Syslog

B.SNMPv3

C.NetFlow

D.SSH

答案：B

解析：SNMPv3支持加密和认证，Syslog是简单传输，NetFlow是流量统计，SSH是远程管理。

二、多选题（共5题，每题3分）

考察方向