华为HCIP-Security-CISN V3.0题库.pdf

preview
试读
76页
HCIP
HUAWEI
信息安全
需积分: 0 31 下载量 80 浏览量 更新于2021-02-26 3 收藏 4.21MB PDF 举报
最后一页为补充,本人认为比较重要,仅供参考!
H12-721
QUESTION 1
用户在使用网络扩展功能时不能访问内网资源,下列哪些选项不是该故障的可能原因?
A. 用户PC的虚拟网卡上有没有获取到虚拟IP地址
B. 防火墙与内网服务器间路由不可达
C. 用户连接超时
D. 虚拟IP地址与FW的接口地址、内网服务器地址、DHCP地址池地址冲突
Correct Answer: C
Explanation
Explanation/Reference:
SSL VPN:使用网络扩展功能后,远程客户端将获得内网IP地址,就像处于内网一样,可以随意访问任意
内网资源。同时对其他正常操作不作影响,可以访问Internet和本地子网。
网络扩展实现过程:
1. 在客户端下载控件,安装虚拟网卡,虚拟网卡获得一个可被内网识别的IP地址。
2. 客户端发起基于IP的内网应用,虚拟网关截获报文进行封装加密,发往USG防火墙。
3. USG防火墙对报文解密后发往内网服务器。
4. 内网服务器的响应报文发到USG防火墙,由USG防火墙进行封装加密,发往客户端。
QUESTION 2
在双机热备组网中,配置HRP心跳接口,如果指定了对端心跳接地址,那么防火墙之间发送的VGMP Hello
报文是下列哪种类型的报文?
A. 单播报文
B. 广播报文
C. 组播报文
D. UDP报文
Correct Answer: A
Explanation
Explanation/Reference:
两台防火墙的VGMP组是通过VGMP报文来传递优先级信息的。VGMPVRRP Group Management
Protocol)协议是华为公司的私有协议。VGMP协议中定义了VGMP组,FW基于VGMP组实现设备主备状态
管理。为了实现防火墙双机热备功能对VRRP报文进行了扩展和修改,并衍生出多种使用VGMP报文头封装
的报文。
VGMP报文(VGMP Hello报文)。VGMP Hello报文用于两台防火墙间的VGMP组协商主备状态。
两台防火墙通过备份通道(心跳线)来传递备份数据,HRP数据报文是通过备份通道传输的。实际上以上
所讲各种报文(除标准VRRP报文),包括VGMP报文都是通过备份通道传输的。
另外USG6000系列防火墙和USG2000/5000系列V3R1版本防火墙还支持将各种VGMPHRP报文(除标准
VRRP报文)封装成UDP报文。
那么只使用VRRP封装的报文和使用UDP封装的报文有什么区别?前者是组播报文,不能跨越网段传输,不
受安全策略控制;后者是单播报文
只要路由可达就可以跨越网段传输但是受安全策略控制具体点来说
就是如果是组播报文,那么两台防火墙的心跳口之间就必须直连或通过二层交换机相连,但是不需要配置安
全策略;如果是单播报文,那么两台防火墙的心跳口之间可以通过路由器这种三层设备相连,但是需要配置
安全策略允许报文在local区域与心跳口所在安全区域间双向通过。
QUESTION 3
双机热备组网图如下所示,图中PC1的网关地址应该为主用设备的接IP地址,即10.110.10.2/24
A.
B.
Correct Answer: B
Explanation
Explanation/Reference:
两台防火墙做双机热备后,USG_AG2/0/010.100.10.2)与USG_BG2/0/010.100.10.3)组成备份
VRRP Group 1组。备份组分配的虚拟IP10.100.10.1PC1获取到的网关地址也为该地址。
QUESTION 4
带宽管理功能仅支持对某个指定IP发起的连接数量进行限制。
A.
B.
Correct Answer: B
Explanation
Explanation/Reference:
带宽管理指的是NGFW基于源安全区域
/入接口目的安全区域/出接口源地址/地区目的地址/地区、用
户、应用服务时间段和报文 DSCP优先级信息,对通过自身的流量进行管理和控制。
带宽管理提供带宽保证
带宽限制和连接数限制功能,可以提高带宽利用率,避免带宽耗尽。
1. 带宽保证:保证网络中关键业务所需的带宽,当线路繁忙时,确保此类业务不受影响。
2. 带宽限制:限制网络中非关键业务占用的带宽,避免此类业务消耗大量带宽资源,影响其他业务。
3. 连接数限制:限制业务的连接数,有利于降低该业务占用的带宽,还可以节省设备的会话资源。
QUESTION 5
在使用Radius服务器对用户进行认证时,在Radius服务器和防火墙上都需要配置对应的用户名和密码。
A.
B.
Correct Answer: B
Explanation
Explanation/Reference:
在使用RADIUS服务器对用户进行服务器认证的场景中,NGFW作为RADIUS服务器的代理客户端,将用户
名和密码发送给 RADIUS服务器进行认证。为了保证NGFWRADIUS服务器之间正常通信,需要在NGFW
上配置与RADIUS服务器通信时使用的一系列参数。
QUESTION 6
如图所示为防火墙双机热备组网环境,在该组网环境中,以下哪条命令可以保证设备自动调整VGMP管理
组优先级,并自动进行主备切换?
A. hrp osfp-cost adjust-enable
B. hrp preempt delay 60
C. hrp interface GigabitEthernet 0/0/2
D. hrp auto-sync config
Correct Answer: A
Explanation
Explanation/Reference:
hrp ospf-cost adjust-enable
:这个命令是在防火墙和路由器组网的时候使用的,在防火墙上配置这个命令
后,防火墙发布OSPF 的路由的时候,会判断是主防火墙或者是备防火墙,如果是主防火墙,防火墙把学习
到的路由直接发布出去, 如果是备防火墙,防火墙把学习到的路由加上一个 COST 值再发布出去,这个
COST 值默认是65535,可以根据需要进行调整,这样和防火墙相连的路由器在 计算路由的时候,路由就
都能指到主防火墙上,路由器把报文转发到主防火墙上。 在使用防火墙和路由器进行组网起OSPF 协议的
时候,尽量保证OSPF 的域小一 些,这样在防火墙发生主备倒换的时候,OSPF 的路由能尽快收敛,保证
业务很快恢复。
QUESTION 7
下列对于网络扩展的工作过程描述错误的时哪项?
A. 触发网络扩展功能后,首先需要远程用户与虚拟网关之间会建立一条SSL VPN隧道
B. 远程用户本地PC会自动生成一个虚拟网卡,虚拟网关从地址池中随机选择一个IP地址,分配给远程用户
的虚拟网卡
C. 远程用户虚拟网卡获得私网IP地址后,需要手动配置到达内网服务器的路由,才能正常访问内网资源
D. 远程用户向企业内网的SERVER发送业务请求报文,该报文通过SSL VPN隧道到达虚拟网关
Correct Answer: C
Explanation
Explanation/Reference:
网络扩展功能支持三种路由模式:分离模式(Split Tunnel),全路由模式(Full Tunnel),手动模式
Manual Tunnel)。详细介绍如下:
分离模式下,客户端发送给内网的数据,经系统路由表识别以后,交由虚拟网卡转发,其源IP赋值为虚
IP。而访问本地子网的数据则交由真实网卡转发,源IP赋值为真实的IP。由此,网络扩展只转发前往
内网的数据。同时,分离模式也把不是访问本地子网资源的其他数据经过虚拟网卡转发。
全路由模式下,无论是访问什么资源,数据一概被虚拟网卡截获,转发给虚拟网关处理。
手动模式下,在FW端,管理员必须手动配置内网网段静态路由(参见network-extension manual-route
命令进行配置),然后在客户端识别前往该网段的数据,交由虚拟网卡转发。
根据以上描述,只有手动模式需要配置路由
其他两种模式不需要配置路由所以选项C错误。
QUESTION 8
IDC机房中可以用一台华为USG6000系列防火墙划分成若干个虚拟系统,然后由根防火墙管理员生成虚
拟系统管理员分别实现对各虚拟系统的管理。
A.
B.
Correct Answer: A
Explanation
Explanation/Reference:
虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。
可以从逻辑上将一台
NGFW设备划分为多个虚拟系统每个虚拟系统相当于一台真实的设备有自己的接
口、地址集用户/组、路由表项以及策略并可通过虚拟系统管理员进行配置和管理
虚拟系统具有以下特点:
每个虚拟系统由独立的管理员进行管理,使得多个虚拟系统的管理更加清晰简单,所以非常适合大规模
的组网环境。
每个虚拟系统拥有独立的配置及路由表项,这使得虚拟系统下的局域网即使使用了相同的地址范围,仍
然可以正常进行通信。
可以为每个虚拟系统分配固定的系统资源,保证不会因为一个虚拟系统的业务繁忙而影响其他虚拟系
统。
虚拟系统之间的流量相互隔离,更加安全。在需要的时候,虚拟系统之间也可以进行安全互访。
虚拟系统实现了硬件资源的有效利用,节约了空间、能耗以及管理成本。
QUESTION 9
两台FW之间通过IPSec互联,在FW_A中执行display ike sa,结果显示如下,下列说法正确的是哪些?
(多选)
A. FW_AIKE安全通道协商的发起方
B. FW_BIKE安全通道协商的发起方
C. 防火墙之间的SA已经成功建立
D. 防火墙之间的SA尚未建立成功
Correct Answer: AC
Explanation
Explanation/Reference:
执行命令display ike sa
其中Flag参数为RDRD|ST表示SA已建立成功,ST表示本端是IKE协商发起方。
正常情况下是有两个ike的关联的,每阶段各一个。
RD--READY:表示此SA已建立成功。
ST--STAYALIVE:表示此端是通道协商发起方。
QUESTION 10
双机热备中,多少个周期没有收到对端发送的HRP HELLO报文时,Slave端会认为对端出现故障?
A. 1
B. 2
C. 3
D. 5
Correct Answer: C
Explanation
Explanation/Reference:
HRP心跳报文(HRP Hello报文)。HRP心跳报文用于探测对端设备是否处于工作状态。主用设备会每隔一
段时间(缺省为1s)向备用设备发送HRP心跳报文,用来通知主用设备处于工作状态。如果备用设备在三
个周期内没有收到HRP心跳报文,则认为主用设备故障,而自身切换成主用设备。
主备切换的时间与其触发条件有关。
如果由接口或链路故障触发主备切换,切换时间为毫秒级。
如果由整机故障触发切换,切换时间为(V500版本)5个心跳报文的发送间隔。V1003个心跳报文时间。
QUESTION 11
华为USG6000产品资源分配支持以下哪些资源分配方式?
A. 定额分配
B. 自动分配
C. 手工分配
D. 不定额配
Correct Answer: AC
Explanation
Explanation/Reference:
合理地分配资源可以对单个虚拟系统的资源进行约束,避免因某个虚拟系统占用过多的资源,导致其他虚拟
系统无法获取资源、业务无法正常运行的情况。

剩余75页未读,继续阅读

资源推荐
资源评论
tan91
  • 粉丝: 1w+
  • 资源: 42
上传资源 快速赚钱
voice
center-task 前往需求广场,查看用户热搜

最新资源