GB0-510 H3CNE-Security H3C认证网络安全工程师考试题库（含答案）.pdfVIP

GB0-510H3CNE-SecurityH3C认证网络安全工程师考试题库

(含答案)

一、单选题

1.

安全策略加速功能失效，规则匹配的过程和建立连接的时间会变长，同时也会占

用系统大量的CPU资源。

A、错误

B、正确

答案：B

2.

工程师小在调试设备是，把缺省的当成内网口

LSecPathF1020G1/0/0Trust,

G1/0/0接口配置成untrust区域当成外网口，此时内网用户是否可以正常上网

A、不能

B、能

答案：A

3.

在L2TP组网中，LNS侧对用户的验证方式有三种，代理验证、强制验证和LCP重

协商。其中优先级最高的是

A、代理验证

B、强制CHAP验证

C、LCP重协商

D、都相同

答案：C

4.如下图所示的网络中，RTB对RTA发起IPSec连接，有关NAT穿越描述正确的是

A、IPSec隧道两端不启用TKE的情况下亦能实现NAT穿越

B、通过将IPsec报文封装在UDP1701端协议报文中实现IPSec的NAT穿越

C、RTA在主模式情况下不能实现NAT穿越

DNATUDPIPSecIP

、网关会修改报文头，报文的头

答案：C

5.如何防范Land攻击?

A、检查TCP报文，如果报文的目的端口号为139,且TCP的紧急标志被置位，

而且携带了紧急数据区，则根据用户配置选择对报文进行转发或拒绝接收，并将

该攻击记示

B、检查ICMP应答请求报文的目的地址是否为子网广播地址或子网的网络地址，

如果是则根据用户配置选择对报文进行转发或拒绝接收，井将该攻击记录到日志

C、检查UDP报文，如果报文的目的端口号为139,且UDP的紧急标志被置位，

而且携带了紧急数据区，则根据用户配置选择对报文进行转发或拒绝接收，井将

该攻击记；

D、检测每一个IP报文的源地址和目标地址，若两者相同，或者源地址为环回地

址,则根据用户配置选择对报文进行转发或拒绝接收，并将该攻击记

录到日志

答案：D

6.以下关于动态NAT说法正确的是?

A、动态NAT必须要指定地址池地址

B、PAT模式中一个公网地址可以同时提供给多个私网地址使用

C、动态NAT的配置中，必须要配置ACL来指定可以进行NAT转换的地址

D、所有模式的动态NAT都支持复用公网地址

答案：B

7.常见的安全域划分方式有：

A、按照接口划分

B、按照业务划分

C、按照规则划分

D、按照IP地址划分

答案：A

8.下列关于对防火墙的功能描述，不正确的是

A、防火墙能够执行安全策略

B、防火墙能够产生审计日志

C、防火墙能够限制组织安全状况的暴露

D、防火墙能够防病毒

答案：D

9.

如需要通过VPN隧道在协议A的网络上传输协议B的数据包，我们将协议B称为

什么协议?

A、封装协议

B、隧道协议

C、载荷协议

D、承载协议

答案：C

10.

H3C防火墙防病毒功能需要安装License文件。License到期后无法升级特征库，

防病毒功能不能正常工作。

A、错误

B、正确

答案：A

法更新，但是还能继续用旧的特征库

11.关于防火墙设备的ISP域的描述，正确的是

A、防火墙系统缺省存在域的名称为system

B、防火墙系统最多配置10个ISP域

C、防火墙系统缺省存在域的名称为administrator

D、防火墙系统最多配置16个ISP域

答案：A

12.

H3C

在防火墙上配置入侵防御，单击提交按钮，激活入侵防御配置文件的配置

内容时此功能会暂时中断DP业务的处理

A、错误

B、正确

答案：B

13.下面关于GRE协议的描述正确的是?

AGRE

、提供了将一种协议的报文封装在另外一种协议报文中的机制，使报文能

够在异种网络中传输，异种报文传输的隧道成为tunnel

BGER

、是二层协议

C、GRE协议实际上是一种承载协议

D、GRE是对某些网络协议(如：IP、IPX等)的数据报文进行封装，使这项被封

装的数据报文能够在另外一种网络协议(如：IP)中传输

答案：D

解析：A答案当中的异种网络，指的是数据链路层协议

14.