题库分类下载APP 帮助中心

当前位置：首页 >

T2考试

T2考试

考试总分：336分

考试类型：模拟试题

作答时间：60分钟

已答人数：967

试卷答案：有

试卷介绍： T2考试

开始答题

试卷预览

单选题

1. 向有限的空间中输入过长的字符，最可能会导致哪种安全风险（1.0分）[1分]

A拒绝服务

B溢出漏洞

C网络监听

D后门

2. 计算机病毒的特点不包括下面哪个[1分]

A传染性

B破坏性

C可触发性

D可移植性

3. 计算机病毒按传染方式划分，不包括下列哪项[1分]

A良性病毒

B文件型病毒

C复合型病毒

D引导型病毒

4. 计算机病毒的危害一般不包括下列哪项[1分]

A删除数据

B数据泄露

C烧毁主板

D破坏文件

5. DDOS损害了信息系统的哪一项性能[1分]

A完整性

B可用性

C机密性

D可靠性

6. SYNFlooding-般是发生在OSI模型的哪一层[1分]

A网络层

B传输层

C会话层

D应用层

7. 对于ICMP的说法，表述错误的是[1分]

AICMP重定向分为四种不同的类型，代码值各不相同

BICMP重定向报文只能由路由器生成，不能由主机生成

C重定向报文是为主机使用的，而非路由器

DICMP重定向报文中被修改的路由可以是直接路由

8. 对于ICMP重定向导致的攻击，以下防护不适当的是[1分]

A通过修改注册表关闭ICMP所有功能

B合理规划网段及网址

C防火墙过滤ICMP报文

DDHCPSnooping

9. 不属于TCP会话劫持的重要环节是[1分]

AARP欺骗

BIP欺骗

C序列号预测

D确认号预测

10. 下列选项中不属于深信服上网行为管理的规则库的是[1分]

A应用识别库

BURL库

C热点事件库

D审计规则库

11. 下列选项中对深信服上网行为管理对数据流处理的描述错误的是[1分]

A数据-基础识别-用户认证

B数据-基础识别-用户认证-防火墙规则

C防火墙规则-流控-应用审计

D流控-应用审计-流审

12. 下列选项中，关于应用识别说法错误的是[1分]

A应用识别是一切管控和审计的基础

B应用识别依赖应用识别库

C应用识别是根据数据包中的特征值进行识别工作的

D自定义应用优先级高于内置应用

13. 下列选项中，关于应用识别的识别能力，说法错误的是[1分]

A方向识别是对数据包的方向进行甄别

B代理上网环境无法进行对应用的识別

C支持单包识别

D支持多包识别

14. 关于代理工具列表说法正确的是[1分]

A可以显示终端类型

B最多可以显示10000条数据

C可以对某个IP标记为信任

D刷新时间可以设置为1S

15. 配置代理工具管理未生效排查思路错误的是[1分]

A检查是否配置过信任列表

B检查是否做过全局排除

C检查是否配置过应用控制策略

D检查流量是否经过设备

16. 客户采购了某安全杀毒软件，希望客户实现，未运行杀软的终端不允许上网需求，下列选项中说法错误的是[1分]

A客户可以通过深信服AC的终端准入规则策略实现

B准入规则定义需检查持续运行的进程名

C只支持检查Windows和MAC操作系统

D如果客户端没有运行杀软，可以实现禁止上网并提醒终端客户

17. 关于准入原理说法正确的是（1.0分）[1分]

A通过准入驱动上报违规信息

B准入驱动主要来判断流量是放行还是拒绝

C准入服务端下发准入策略到准入驱动

D必须通过准入驱动代理寻找网关

18. AF8.0.8版本，云端订阅服务不包括哪项[1分]

A云图安全接入订阅服务

B云脑-云智最新威胁防御规则库订阅服务

C云脑-云鉴未知威胁与杀毒订阅服务

D门户网站保护订阅服务

19. 下列哪项功能没有在AF8.0.8版本的基础功能模块序列号中（1.0分）[1分]

A僵尸网络

B实时漏洞分析

C应用控制

D漏洞攻击防护

20. 下列哪项功能没有在AF8.0.8版本的増强功能模块序列号中（1.0分）[1分]

Aweb应用防护

B实时漏洞分析

C网关杀毒模块

D网页防篡改

21. F8.0.8版本，云脑-云智最新威胁防御规则库订阅服务开通后，不能更新哪个功能的规则[1分]

ASAVE安全智能文件检测模型库

B应用识别库

CURL库

D热点事件库

22. 关于地域访问控制功能中使用的地址库说法错误的是[1分]

AIP归属地只能通过自动更新，不能在控台界面进行修改

B地址库能自动进行更新

C在控制台界面能查询到IP地址的归属地

D国外IP归属地可以细分到具体的国家或地区

23. 关于地域访问控制功能说法正确的是[1分]

A地域访问控制功能产生的日志可以在内置数据中心查询

B地域访问控制策略动作允许或拒绝

C如果需要排除某个IP不受地域访问控制策略约束，需要在黑白名单中排查即可

D地域访问控制功能能触发联动封锁

24. 关于地域访问控制功能不能实现的场景是[1分]

A可以根据IP地址来区分不同的地区或国家

B国内的IP地址可以区分到省级单位

C可以针对不同应用进行控制

D可以针对不同区域或国家进行控制

25. 关于地域访问控制与应用控制功能说法正确的是[1分]

A先匹配地域访问控制，再匹配应用控制

B先匹配应用控制，再匹配地域访问控制

C地域访问控制与应用控制策略是同时匹配

D先匹配的地址访问控制的拒绝之后，还是会匹配应用控制策略

26. AF的业务安全有报某个关键业务系统"曾被收集信息"，如果需要你做加固，下列加固措施不适用的是[1分]

A判断日志记录攻击源IP的攻击持续时间和频率等，确认该IP是否具备风险，如有，可将该源IP加入黑名单

B部署深信服僵尸网络查杀软件或者EDR产品，对该业务系统进行病毒清查

C了解该业务系统提供服务的地域范围，如有，可通过地域访问控制只允许指定地域对该业务发起访问

D确认访问该业务系统的来源是否有经过SNAT或者CDN等环境，如无，可建议用户开启漏洞防扫描功能

27. 在AF8.0.8用户安全中心，"确定性"等级在哪个等级的事件可以无需立即处理，先观察跟踪即可[1分]

A已确定

B高可疑

C中可疑

D低可疑

28. 设备单臂部署，管理员发现登陆VPN后可以通过互联网登陆控制台，检查配置发现未发布控制台的资源，下列说法不合理的是[1分]

A用户关联了WEB全网资源

B用户关联了L3VPN全网资源

C用户可能做了端口映射将SSL控制台映射到公网

D用户开启了远程维护

29. 用户使用手机EasyConnect登陆SSL,发现无法接入，下列说法正确的是[1分]

A手机EasyConnect接入需要EMM授权，无法接入是因为没有授权

B策略组中未开启允许移动端EasyConnect

C资源访问类型中未开启允许移动端EasyConnect

D设备未开启HTTP端口接入

30. 关于【防中间人攻击】说法正确的是[1分]

A启用该功能，将自动启用图像校验码

B该功能主要目的为优化访问速度

C启用该功能后将自动收集硬件特征码

D该功能对客户端不生效

31. 关于【端点安全】说法正确的是[1分]

A可只允许centos接入

B支持检测最新windowsserver版本

C可只允许MACOS接入

Dwindowsxp版本较老，不支持检测

32. 关于【端点安全】安全说法正确的是（1.0分）[1分]

A文件名称可不填写后缀名

B文件名名称不区分大小写

C在登录后，也可以持续监测某文件是否存在，如果不存在即注销用户

D7.6.6版本使用上传文件操作时，可以使用非IE浏览器

33. 关于【端点安全】安全说法正确的是[1分]

A可限制登录IP地址

B不可限制接入IP（即访问VPN的地址）

C杀毒软件检测支持EDR

D可以指定终端必须运行的杀毒软件版本

34. 关于【端点安全】安全说法正确的是[1分]

A组合规则为或关系

B检测规则为或关系

C可实现检测终端必须存在文件A和必须不存在软件B才能登陆VPN

D只能在登录过程中进行检测

35. 在申请证书时，选择使用手动的DNS验证方式验证域名的所有权，那么需要在DNS服务器上添加什么记录[1分]

AA记录

BNS记录

CTXT记录

D显性URL记录

36. 不可以通过哪些方式查看到网站被挂的黑链[1分]

A通过SIP上的黑链安全事件查看网站被挂黑链情况

B通过搜索引擎site功能搜索黑链关键字查看网站被挂黑链情况

C通过查看网站源码查看网站被挂黑链情况

D通过云盾查看网站被挂黑链情况

37. 在web信息中，需要收集的信息不包括以下哪一项[1分]

A异常现象发现的时间点

B主机异常现象特征

C管理员的维护时间

D审计日志情况

38. 在怀疑的服务器上使用D盾排查Webshell以下描述不正确的是[1分]

AD盾识别的1级文件可确认为木马

BD盾可以识别克隆账号

CD盾可以查看进程

DD盾可以监控文件目录

39. 对于恶意程序分析的最常用的第三方工具是[1分]

A微步

Beverything

CEDR

D火绒

40. 微步可以查询到的信息不包括哪一项[1分]

Aurl/ip

B恶意文件

C域名反查

D勒索病毒是否可以解密

41. 在使用第三方威胁情况也确认不的情况时，可以通过人工分析的方法分析主机是否存在异常行为，以下思路扫描错误的是[1分]

A查看描述后面拼接的域名是否很多个，且都是看起来随机的、所有域名有相似性、疑似工具生成

B有多台主机访问了一些相同的且与业务无关的域名

C安全事件查看的访问的次数较多，且查看安全日志（辅助查询）可以看出访问在时间上有一定的规律

D查看到的多个无规则域名，都可以在站长之家查到注册信息

42. 以下描述的是哪种病毒：1、该病毒使用445、139进行传播。2、在开机启动服务项使用随机名单。3、无法访问安全网站[1分]

A飞客蠕虫

BNitolifi尸网络

CGamarue僵尸网络

DVirut僵尸网络

43. 下面关于高可用需求说法错误的是（1.0分）[1分]

A人们为了保障系统高度可用性，提升工作效率从而产生高可用性的设计需求

B异地容灾也是一种提升高可用性的方式

C衡量一个系统的高可用性可以用平均无故障时间和平均维修时间来衡量

D系统高可用可以后期扩展，所以无需在最初设计时考虑

44. 下面哪个高可用技术深信服设备不支持[1分]

A主备模式部署

B主主模式部署

CVRRP技术

D集群部署

45. 下面关于主备模式部署方式的优缺点说法错误的是[1分]

A主备模式部署，弹性好，可后期扩展

B主备模式部署相对来说设计比较简单，容易实现且维护简单

C主备模式部署只有一台设备在工作

D主备模式部署容易造成资源浪费

46. 下面关于主主模式部署方式的优缺点说法错误的是[1分]

A主主模式可扩展性强，可以多台设备组成主主

B主主模式部署相对比较复杂，需要处理好数据来回路径，保证来回路径一致

C主主模式也会造成资源的浪费

D主主模式可以多台设备同时工作

47. 关于分发器和真实服务器说法正确的是[1分]

A一个集群中可以有多个分发器

B分发器本身不能作为真实服务器

C真实服务器可以直接修改配置

D优先手动设置某台设备为分发器

48. 关于VPN集群网络规划说法错误的是[1分]

AWAN接口Ip和WAN口CIP必须在同一网段

BWAN口CIP为实际运营商链路IP

CLAN口接口IP和LAN口CIP目前版本必须在同一网段

D多链路下需要规划多段WAN口网段

49. 单臂集群下哪项不是必须确认的[1分]

A出口对CIP的443和80端口映射【默认端口】

B静态路由

C确认接口Ip和CIP

D确认集群授权

50. 关于分布式集群说法错误的是[1分]

A分布式集群可以实现异地容灾

B分布式集群必须搭建webagent服务器

C分布式集群只能在主节点操作

D分布式集群通过ping各个节点公网IP判断从哪个节点接入

51. 等级保护一个中心三重保护里的三重保护不包括[1分]

A安全通信网络

B安全物理环境

C安全区域边界

D安全计算环境

52. 以下关于等级保护2.0定级描述正确的是[1分]

A基础信息网络不能作为定级对象

B定级的时候是以业务信息安全和系统服务安全受到破坏时所侵害的客体及其对客体的侵害程度来评估

C定级是自主定级，网络运营者想定几级就可以定几级

D三级系统每半年至少要复检一次

53. 根据《信息安全等级保护管理办法》，关于信息系统安全保护等级的划分，下列表述不正确的是[1分]

A第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益

B第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全

C第三级，信息系统受到破坏后，会对社会秩序和公共利益造成一般损害，或者对国家安全造成损害

D第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害

54. 以下关于等级保护工作描述不正确的是（1.0分）[1分]

A等级保护工作流程包括定级、备案、建设整改、等级测评、监督检查这五步

B二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内，到县级以上公安机关备案

C等级保护工作中，深信服可以提供定级、备案、建设整改、等级测评等服务

D网络中不能存在高风险项，高风险项会导致无法过等保，一定要规避高风险项。

55. 安全计算环境高危隐患判定条件包括（1.0分）[1分]

A核心重要服务器设备、重要核心管理终端，无法对非授权联到外部网络的行为进行检查或限制

B重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用户身份进行鉴别

C关键网络节点（如核心服务器区与其他内部网络区域边界处）未采取任何防护措施，无法检测、阻止或限制从内部发起的网络攻击行为

D关键网络节点（如互联网边界处）未采取任何防护措施，无法检测、阻止或限制互联网发起的攻击行为

56. 深信服等保价值主张是"持续保护、不止合规"，主要从以下三个方面来体现，除了[1分]

A安全可视

B持续检测

C协同防御

D智能检测

57. 针对安全区域边界合规要求，方案设计可以从如下几点进行考虑，除了[1分]

A链路负载均衡：实现互联网多出口链路的负载均衡

B下一代防火墙：实现网络访问控制和逻辑隔离，防止非授权访问

C上网行为管理：针对内部网络用户私自访问互联网的用户行为进行行为审计和数据分析

D安全感知平台内建的算法能够对病毒行为、异常外联行为、黑客常用攻击行为等特征进行分析。

58. 当前等保测试和实施项目不存在的问题是[1分]

A不知道在等保项目交付过程中要做哪些事情

B不了解等保的技术要求，也不知道设备要怎么配才能满足等保的技术要求

C不知道怎么给测评师展示检查项对应的产品功能界面

D无实施测试指导手册

59. 关于深信服网端云联动解决方案，以EDR为视角，属于可以结合x-central联动的功能是[1分]

A联动日志上报

B联动处理威胁文件

C联动实现查杀

D联动推广部署edr的agent

60. 关于深信服网端云联动解决方案，以EDR为视角，不属于可以结合SOC联动的功能是[1分]

A联动主机隔离

B联动日志上报

C联动实现查杀

D联动实现处理威胁文件

61. 关于EDR和AC的联动条件和配置，说法错误的是[1分]

AAC需要保障EDR和tcp:443端口进行通信

BAC要求版本是12.0.17及以上

CEDR需要提前配置好AC的接入账号

DAC与EDR联动只需要AC上配置即可，无需EDR配置

62. 关于EDR和AC的联动功能说明，说法错误的是[1分]

A在AC推广部署上，可以选择填写推送agent安装界面的范围

B在AC推广部署上，会自动识別终端的操作系统不同，选择推送windows或者linux的安装链接

C在AC联动杀毒上，可以从AC界面直接对安装了edr软件的终端发起风险扫描

D在AC联动杀毒上，可以从AC界面对查杀的结果进行隔离、信任、忽略等处置

63. 关于EDR和AF的联动条件和配置，说法错误的是[1分]

AAF需要保障EDR和tcp:443端口进行通信

BAF要求版本是8.0.6及以上

CEDR需要提前配置好AF的接入账号

DAF与EDR联动只需要AF上配置即可，无需EDR配置

64. 上网策略的适用对象中的"源IP"勾选了IP组192.168.1.1-192.168.1.254，同时给勾选了本地用户zhangsan,下列说法错误的是[1分]

A用户zhangsan使用192.168.2.100上网能够匹配上这个策略

B用户lisi使用192.168.1.111能匹配上这个策略

C用户zhangsan使用192.168.1.111能够匹配上策略

D"本地用户"和"源IP"需要同时匹配上才能成功匹配策略

65. 某客户使用AC做了一条上网权限策略，发现启用后打开一些网站显示不全，下列说法错误的是[1分]

A可能做了SSL识別，导致访问https网站证书不受信任

B可能是URL过滤把网站的外链给拒绝了

C可能是做的文件类型过滤，图片格式给拒绝了

D可能是做了端口控制把443或者80端口拒绝了

66. 开启SSL内容识别全解密后，下面现象不会出现的是[1分]

A打开https网站提示证书告警

B使用一些软件（如百度网盘）加载不出来

C访问http网站变慢

D访问某些https网站出现加载不全的情况

67. 客户对www.qq.com进行封堵，现在发现封堵不了，排查错误的是[1分]

A检查数据是否经过双向经过我们设备

B是否有全局排除和开数据直通

C拒绝策略是否正常关联上用户

D检查是否开启SSL识别策略

68. 用户192.168.1.100使用smtp邮件客户端发送邮件，请问AC的抓包工具过滤表达式如何写[1分]

Ahost192.168.1.100andport110

Bhost192.168.1.100andport25

Chost192.168.1.100anddstport25

Dhost192.168.1.100anddstport110

69. 直通日志的丢包源显示"authv"，请问可能的原因是[1分]

A防DOS拦截了

B应用控制拦截了

C防火墙过滤规则拦截了

D应用认证失败

70. 直通日志的丢包源显示"AppControl"，请问可能的原因是[1分]

A防DOS拦截了

B应用控制拦截了

C火墙过滤规则拦截了

D应用认证失败

71. 直通日志的丢包源显示"dosck"，请问可能的原因是[1分]

A防DOS拦截了

B应用控制拦截了

C防火墙过滤规则拦截了

D应用认证失败

72. 以行业标准为前提，对于下列对于端口及对应的服务说法错误的是[1分]

A21是FTP协议端口

B22是ssh协议端口

C113是STMP协议端口

D1521是数据库端口

73. 以下哪个http状态码代表重定向，表示服务器要求浏览器重新再发一个请求[1分]

A500

B200

C403

D302

74. 关于vlan的描述，说法不正确的有[1分]

AVLAN把交换机划分成多个逻辑上的独立的交换机

Btrunk可以提供多个vlan之间通信的公共通道

C由于包含了多个交换机，所以vlan扩大了冲突域

D一个vlan可以跨越多个交换机

75. 下面有关vlan的语句中，正确的是[1分]

A虚拟局域网中继协议vtp用于在路由器之间交换机不同vlan的信息

B为了抑制广播风暴，不同的vlan之间必须用网络分隔

C交换机的初始状态是工作在vtp服务器模式，这样可以把配置信息广播给其它交换机

D—台计算机可以属于多个vlan,即可以被多个vlan访问，也可以访问多个vlan

76. 关于TCP说法正确的是[1分]

ATCP是面向连接

B传输可靠

C应用场合为传输大量数据

D传输速度快

77. 以下关于SSLVPN诊断修复工具的使用说法错误的是[1分]

A工具打开会自动检查更新，若有更新必须立即更新，否则可能会有部分项目无法检测出来

B通过SSLVPN诊断修复工具可以排查登录VPN访问资源慢的问题

C通过SSLVPN诊断修复工具可以检查电脑是否中过影响SSLVPN使用的已知病毒

D通过SSLVPN修复工具可以自动记录客户端的调试日志

78. 关于打不开SSL登录页面的问题，进行现象确认，以下说法错误的是[1分]

A确认是单台电脑有问题还是所有电脑都有问题

B确认打不开具体是如何体现的，是卡住，还是直接提示无法连接

C重启电脑看是否恢复正常

D确认之前使用是否正常

79. 所有人突然出现SSLVPN页面无法打开，以下排查错误的是[1分]

A确认SSLVPN所在内网去打开VPN登录页面是否正常，以判断SSLVPN服务是否正常

B确认其他网络是否能正常打开SSLVPN登录页面，以判断是否是仅仅客户端局域网的问题

C确认SSLVPN网关序列号是否过期

D确认SSLVPN的接入端口是否被运营商封堵

80. SSLVPN单台电脑无法打开SSLVPN登录页面以下排查错误的是[1分]

Atelnet测试SSLVPN端口是否通，以判断是网络问题还是其他问题

Btelnetssl设备的端口不通，则说明这是网络问题

Ctelnet设备端口通，则说明可能是SSL协议交互的问题，调整浏览器SSL协议设置

D重装SSLVPN客户端控件看能否恢复

81. 通过域名方式添加资源时，以下通过SSLVPN解析域名的数据流走向说法错误的是[1分]

A设备使用优先内网域名解析规则配置的DNS解析域名将解析结果缓存，如果内网DNS规则设置的域名无法解析则使用网络接口配置的DNS解析域名并将结果缓存

B用户登录SSL过程设备将域名解析规则下发到本地电脑的域名控件

C客户端发起DNS请求，被域名解析控件抓取，然后由SSL设备代理，SSL设备主动向DNS服务器请求域名，将请求结果返回给SSLVPN客户端电脑

D用户访问域名资源时，本地电脑的域名控件将解析结果返回给客户端应用程序，客户端根据获取的IP地址发起连接

82. 通过IP方式添加资源时，以下通过SSLVPN解析域名的数据流走向正确的是[1分]

A勾选"接入计算机使用此DNS服务器作为首选的DNS服务器"：直接修改客户端电脑的首选DNS为127.0.0.1

B勾选"接入计算机使用此DNS服务器作为首选的DNS服务器"：直接修改客户端电脑的首选DNS，以TCP资源的形式将内网dns下发，客户端通过tcp资源直接发送DNS请求给DNS服务器

C配置"内网域名解析规则"：客户端发起DNS请求，被域名解析控件抓取，然后客户端通过TCP资源向DNS服务器发起DNS解析请求

D配置"内网域名解析规则"：客户端发起DNS请求，被域名解析控件抓取，然后由SSL设备代理，SSL设备主动向DNS服务器请求域名，将请求结果返回给SSLVPN客户端电脑

83. 电脑登录SSLVPN后资源域名无法解析，以下哪种情况不会出现这样的问题[1分]

ADNS规则未包含该域名

B电脑域名解析控件未正常安装

C内网域名解析的DNS不可达

D电脑本地DNS无法解析该域名

84. 通过IP方式添加资源时，以下通过SSLVPN解析域名的数据流走向正确的是[1分]

A勾选"接入计算机使用此DNS服务器作为首选的DNS服务器"：直接修改客户端电脑的首选DNS为127.0.0.1

B勾选"接入计算机使用此DNS服务器作为首选的DNS服务器"：直接修改客户端电脑的首选DNS，以TCP资源的形式将内网dns下发，客户端通过tcp资源直接发送DNS请求给DNS服务器

C配置"内网域名解析规则"：客户端发起DNS请求，被域名解析控件抓取，然后客户端通过TCP资源向DNS服务器发起DNS解析请求

D配置"内网域名解析规则"：客户端发起DNS请求，被域名解析控件抓取，然后由SSL设备代理，SSL设备主动向DNS服务器请求域名，将请求结果返回给SSLVPN客户端电脑

85. SSL设备在SIP（安全感知平台）中被检测到开放了UDP67端口，下面说法正确的是[1分]

A下架SSL设备

B检查是否有开启DHCP功能，若开启了与客户沟通是否有使用该功能，若无则关闭此功能

C检查是否有开启SNMP功能，若开启了与客户沟通是否有使用该功能，若无则关闭此功能

D升级到最新版本

86. 下面的协议中不属于UDP的是[1分]

ASMTP

BSNMP

CDNS

DTFTP

87. 常用的网络路径查询的命令是[1分]

Atracert

Bping

Cnslookup

Dnessus

88. 哪种情况下会启动ARP请求[1分]

A主机需要接收信息，但是ARP表中没有源IP与MAC地址的映射

B主机需要接收信息，但ARP表中已有源IP地址与mac地址的映射

C主机需要发送信息，但ARP表中没有目的IP与MAC地址的映射

D主机需要发送信息，但ARP表中已有源IP地址与MAC地址的映射

89. 哪个不是预防勒索病毒需要关闭的重要系统端口[1分]

A445

B443

C135

D139

90. 在安全领域中，已经被发现，但还没有被相关厂商修补的漏洞称为（1.0分）[1分]

A0Day

BDDay

C无痕漏洞

D后门

91. IT系统管理员小明最近收到了一封电子邮件，电子邮件中要求他去访问一个某官网的网站链接，并且需要他实名注册，这可能属于哪种类型的网络攻击[1分]

A水坑攻击

B鱼叉式钓鱼攻击

CDDOS攻击

D社会工程学攻击

92. 世界上首例通过网络攻击导致物理核设施瘫痪的是[1分]

A以色列核电站冲击波事件

B伊朗核电站震荡波事件

C巴基斯坦核电站震荡波事件

D伊朗核电站震网事件

93. 在"身份与访问安全"分类中，深信服的产品和匹配细分领域说法错误的是[1分]

AOSM产品匹配堡埜机

BIdtruts产品匹配身份认证

CSSLVPN产品匹配VPN

DEDR产品匹配数字证书

94. 深信服防火墙产品，可以匹配细分领域的安全需求说明，错误的是[1分]

A可以匹配安全网关的防火墙品类

B可以匹配应用安全的web应用防火墙品类

C可以匹配数据安全的数据库安全品类

D可以匹配安全智能的高级威胁防护品类

95. 深信服AC产品，可以匹配细分领域的安全需求说明，错误的是[1分]

A可以匹配安全网关的上网行为管理品类

B可以匹配内容安全的不良信息监测与过滤品类

C可以匹配安全智能的高级威胁防护品类

D可以匹配安全智能的威胁情报品类

96. 以深信服全景拓扑图为例，总部互联网出口区域的AF，在功能模块全开的情况下，不建议开启的功能是[1分]

AAF开启杀毒功能，拦截外网到内网的病毒感染传播

B开启SSLVPN功能，针对有移动公办需求的

C用户远程接入开启地域访问控制功能，拦截业务明确不提供服务区域的访问请求

D开启僵尸网络防护功能，防止内网感染僵尸网络的主机外发敏感和恶意行为

97. 以深信服全景拓扑图为例，对于移动办公的安全加固，哪个方面是当前深信服当前未提供的功能[1分]

A手机的个人使用和办公数据双域隔离，保障数据的安全性

B对企业需要发布给移动办公人员使用的APP进行安全封装，保障外部使用的安全性

C用户接入企业内部通过SSLVPN安全接入

D自动对移动办公的手机/PC等终端进行病毒清查，确认没问题后才允许访问企业内网系统

98. Gartner将更名后的用户实体行为分析叫做UEBA技术，该技术原来曾被叫做[1分]

AUEDA

BUBDA

CUBA

DUDA

99. UEBA技术一般会先收集相关信息，下列关于收集信息不正确的是[1分]

A收集信息是为了数据分析

B数据来源可以包含各网络节点

C目的是创建行为基线

D会从用户处收集数据

100. UEBA技术的可以解决的问题不包含[1分]

A可以横向对比发现某些主体的通讯行为和同类主体不一样

B可以纵向对比发现某些主体和自己过去的行为规律不一样

C可以发现所有网络攻击行为

D对于隐蔽的内部攻击和控制内部资产的跳板攻击效果理想

101. 深信服哪些产品使用了UEBA技术[1分]

AAD

BSIP

CSSLVPN

D以上所有

102. 关于准入规则说法正确的是[1分]

A补丁检查规则如果违规可以配置禁止上网

B如果注册表项违规会直接删除该注册表

C一个用户只能关联一个准入规则

D不支持准入系统的系统默认允许上网

103. 网络准入系统中，关于找网关说法错误的是[1分]

A准入客户端可以发送tcp82的包找网关

B网关地址记录在记录S%appdata%/ingress/userconfig.ini

C可以通过发送UDP999端口找网关

D准入客户端发送udp82的包连接AC

104. 关于深信服AC的微信认证方式，说法错误的是[1分]

A最新版本深信服AC微信认证支持"点_点"、"微信连wifi"、"扫一扫"三种实现方式

B微信连wifi的实现方式是利用腾讯微信的portal型接口

C微信认证用于店商有公众号的客户场景

D做微信认证AC会自动放通认证用户访问互联网流量一分钟

105. 关于短信认证，支持的网关类型，说法错误的是[1分]

A支持GSM短信猫

B支持中国联通短信网关

C支持http接口

D支持对接阿里云短信平台

106. 以下关于XSS和跨站请求伪造说法正确的是[1分]

AXSS攻击是恶意攻击者通过web页面向数据库或HTML页面中提交恶意的客户端脚本，当用户浏览此网页时，脚本就会在用户的浏览器上执行，进而达到攻击者的目的

BXSS攻击和CSRF攻击类似，都可以直接获取到用户的cookie

C反射型和存储型XSS攻击，攻击脚本都会经过数据库，并被永久地存放在目标服务器的数据库和文件中

D反射型XSS只要用户点击过邮件中携带的恶意链接，中招过一次后，下次其他人只要打开这个邮件也会中招

107. 关于webshell,以下说法错误的是[1分]

AWEBSHELL是web入侵的一种脚本工具，通常情况下是一个ASP、PHP或者JSP程序页面，也叫做网站后门木马，在入侵一个网站后，常常把这些木马放置在服务器web目录中，与正常页面混在一起，通过webshell长期操纵和控制受害者网站

B网页木马是一个经过黑客精心设计的HTML网页，所以网页木马不属于webshell

C目前被公布的一句话webshell,shell的实现都需要两步：数据的传递、执行所传递的数据

D小马的特点是免杀，容易上传，所以可以利用小马上传大马，通过提权获得服务器的更高权限

108. 以下关于网页扫描的说法正确的是[1分]

A网站扫描一般是扫描漏洞，而无法对web站点的网站结构进行扫描

B网站扫描会对web服务器网站结构本身等产生很大的破坏影响

C目前常见web扫描工具在实现的技术来说，大部分都是基于url爬行的基础提取url及参数，对爬行出来的网站进行分析，产生分析报告

D网站扫描如果被AF识别到有扫描行为，则只会记录不做拦截

109. 以下关于系统命令注入说法错误的是[1分]

A操作系统命令攻击是攻击者提交特殊的字符或者操作系统命令，web程序没有进行检测或者绕过web应用程序过滤，把用户提交的请求作为指令进行解析，导致操作系统命令执行

B系统命令注入主要用于asp/php/jsp等网页中嵌入webshell后，执行各种命令提权或收集系统信息，但不会产生什么危害

C系统命令注入中，多命令按成功顺序执行（linux与windows使用"&&"），多命令按失败顺序执行（linux与windows使用"||"）

D系统命令注入的危害包括：获取服务器信息、构造一句话木马、更改网站主页、盗取当前用户cookie等

110. 关于蜜罐技术说法正确的是[1分]

A防火墙必须要能解析域名

B内网电脑的DNS地址要指向防火墙

C内网电脑需要设置代理服务器，并指向防火墙

D内网DNS请求数据一定要经过防火墙

111. 关于蜜罐技术说法不正确的是[1分]

A蜜罐技术适用的环境：内网为DNS服务器代理环境，内网用户上网的流量是双向经过AF设备

B旁路镜像模式不支持此功能

C蜜罐IP地址设置，此IP地址必须是真实存在的，不能与内网网段冲突，访问此IP地址的数据需要经过AF

D此功能主要用于内网为DNS服务器代理环境定位内网感染僵尸网络主机的真实IP地址

112. 内网是DNS代理环境下开启蜜罐功能还是无法定位到真实的异常主机，可能原因是？[1分]

APC访问蜜罐IP地址的数据没有经过防火墙

BPC解析恶意域名的数据经过防火墙

CDNS服务器解析恶意域名的数据经过防火墙

DPC解析恶意域名的数据没有经过防火墙

113. AF开启恶意域名重定向的注意事项说法错误的是[1分]

A内网用户上网的流量是双向经过AF设备

B内网为DNS服务器代理环境

C非内网为DNS服务器代理环境不能开启恶意域名重定向

D僵尸网络防护功能默认不启用恶意域名重定向，需要手动开启

114. 若需关闭升级客户端的51111端口，下列操作错误的是[1分]

A控制台上关闭升级端口

B防火墙封锁51111端口

C设备上做端口映射将51111映射到不存在的地址上

D交换机上做ACL封锁51111端口

115. 关于HTTP端口，下面说法错误的是[1分]

A控制台HTTP管理默认使用1000端口

B若有多线路选路需求，则需使用HTTP端口

CSSL设备可以通过HTTP端口接入用户

D若启用路分布式集群的功能，必须开启HTTP端口

116. 关于远程维护功能，下面说法错误的是[1分]

A远程维护可以关闭WAN口的HTTPS管理WEB控制台的作用

B远程维护不可以关闭DMZ口HTTPS管理WEB控制台的功能

C远程维护可以关闭WAN口的升级客户端的连接

D远程维护不可以关闭DMZ口的升级客户端的连接

117. 下列关于账号安全，说法错误的是[1分]

A第三方认证中，在认证设置中的防暴力破解，设置封锁IP的设置无效

B第三方认证中，在认证设置中的防暴力破解，设置封锁用户，设置无效

C以安全的角度来说，不建议使用公有账号

D定期检查设备中是否存在测试账号，若有，不使用可以禁用或者删除此账号

118. 用户与CAS对接，配置认证接口地址，下列配置正确的是[1分]

Ahttps://ids6.visedu.com/authserver/login

Bhttps://ids6.visedu.com/authserver/serviceValidate

Chttps://ids6.visedu.com/authserver/logout

Dhttps://ids6.visedu.com/authserver/portal

119. CAS对接后，发现CAS认证页面打不开，下面排查错误的是[1分]

A确认SSL到CAS到连通性

B确认SSL是否加入CAS到受信应用

C确认CAS页面是否有不同域到页面，若有，则需配置登陆子站点

D确认是否有配置CAS资源

120. 下面哪种功能会导致CAS认证不生效[1分]

A关联TCP资源

B开启分布式集群功能

C开启端点安全功能

D开启允许接入客户端类型

121. 以下关于WEBVPN方案CAS认证流程说法正确的是[1分]

A输入VPN地址打开SSL的认证页面

B认证页面输入账号后CAS会给客户端分配给—个ticket

C用户提交用户名密码后vpn设备会向cas平台提交用户名密码去认证

D资源列表点击注销后会注销掉CAS，显示的是CAS的注销页面

122. 现在勒索病毒很多不会使用永恒之蓝传播，以至于SIP也检测不到永恒之蓝攻击，那么勒索病毒还可以通过什么方式在内网进行传播[1分]

ARDP口令暴力破解

B收到互联网的恶意邮件

C使用struts2漏洞传播

DFTP口令暴力破解

123. 客户大面积出现蓝屏情况，查看主机的windows目录中存在C:\Windows\qeriuwjhrf文件，由可以分析出来的结果是[1分]

A客户有大部分服务器出现了蓝屏

B病毒使用RDP传播

C病毒使用SMB传播

D病毒使用永恒之蓝漏洞传播

124. SIP检测到终端存在挖矿病毒，但是终端的cpu/内存占用率都很低的可能原因是[1分]

A终端无法上网，挖矿病毒无法连接矿池，执行挖矿病毒失败

B终端是一台虚拟机

C终端通过内网DNS代理服务器请求域名

D终端加入了域控

125. 使用以下哪个工具可以查看进程的内存空间[1分]

Aeverything

BD盾

Cprocesshacker

D火绒剑

126. 客户一台主机在SIP上显示一直在连接矿池IP,但是微步上查不到该IP地址为矿池，首先你应该怎样分析[1分]

A和总部反馈该事件为误判，修改特征库

B直接使用EDR到客户服务器进行查杀

C通过微步对IP地址进行域名反查，再查询反查得到的域名

D对服务器进行进程分析

127. 在检测到SMB扫描是出现1小时扫描一次的情况，可以分析这是什么行为[1分]

A人为行为

B共享文件夹快捷键原因

C业务心跳

D恶意文件行为

128. 在Sip上检测到内网主机向互联网发起的http扫描行为，对客户而言很有可能的原因是[1分]

A黑客在对客户网站进行踩点

B客户内网存在肉鸡

C客户网络已经被攻下

D网站业务不规范

129. 客户在SIP上检测到很多暴力破解的行为，但无法确认是否存在，下一步最好的排查方法是[1分]

A查看SIP上的安全事件

B抓源端口为445的包

C到主机上查看安全日志，查看登录失败日志

D到主机上查看系统日志，查看登录失败日志

130. 较容易被通报的事件不包括以下哪项（1.0分）[1分]

A网站被篡改

B黑链

C外发SQL注入

D内网横向扫描

131. 关于双机的检测网口组说法正确的是[1分]

A同一组内只要有一个故障则该网口组进入故障状态

B同一组内所有网口故障才进入故障状态

C不同组同时故障后进入故障状态

D所有网口都可以作为监控网口组待选接口

132. 关于AC主备模式下列说法错误的是[1分]

A主备模式部署，在线用户信息会同步

B主备模式部署不可以使用console口同步配置

C主备模式同步配置可以用光口

D主备模式在路由和网桥模式下都支持

133. 关于AC主备模式下列说法错误的是[1分]

A主备模式部署，在线用户信息会同步

B主备模式部署不可以使用console口同步配置

C主备模式同步配置可以用光口

D主备模式在路由和网桥模式下都支持

134. 关于AC主备探测说法正确的是[1分]

AARP探测中如果配置多个地址，只要有一个探测不通，则认为故障

BARP探测中配置的地址都故障后才进入故障状态

C当进入故障状态后不会自动恢复

DICMP探测不支持配置域名

135. 在组合方案的【方案二（全交叉型）-路由】中，关于AF的部署配置，说法不正确的是[1分]

AAF的部署中，心跳口和下联交换机的接口都建议配置成聚合，但心跳的模式需要选择主备，而下联接口的模式建议是hash

BAF的接口在双机配置中，除了开启网口监视，还需要开启链路监视

C在默认做主机的AF上，双机部分建议手动设置成主控来上线

D辅心跳功能必须开启，否则会影响AF的双机建立

136. 在组合方案的【方案四（半交叉型”中，关于该方案的优劣势说明，说法错误的是[1分]

A稳定性高是优势功能之一

BAD、AF的主备切换互不影响是优势功能之

C不满足要求全冗余交叉是劣势功能之一

D交换机只能限制堆叠部署是劣势功能之一

137. 用户采购了2台AF和2台AC,需要完成双机组合部署，其中一个需要是需要使用IPSECVPN功能，在不考虑功能模块授权的情况下，我们推荐的部署方案是[1分]

AAF网关主备部署放出口，开启VPN，AC网桥主备部署放AF下方

BAF网关主备部署放出口，开启VPN，AC网桥主主部署放AF下方

CAC网关主备部署放出口，开启VPN，AF网桥主备部署放AC下方

DAC网关主备部署放出口，开启VPN，AF网桥主主部署放AC下方

138. 在组合方案的【方案九（口字型）】中，下列说法不正确的是[1分]

AAF在网口足够的情况下，建议用聚合口做心跳

B默认选定的AF主机，建议手动设置主控来上线

CAC必须配置单独的心跳接口，保证双机的稳定性

DAC建议开启多网桥链路同步功能

139. 关于等保测评，以下说法正确的是[1分]

A第二级以访谈为主

B第二级和第三级先核查安全机制，再检查策略有效性

C第三级测评对象为所有设备

D安全技术方面的测评以配置核查和测试验证为主，几乎没有访谈

140. 等级保护2.0技术要求中安全管理中心不包括[1分]

A系统管理

B审计管理

C边界管理

D集中管控

141. 等级保护2.0技术要求中安全通信网络不包括[1分]

A网络架构

B通信传输

C可信验证

D传输加密

142. 二级等保，推荐选择以下安全产品，除了[1分]

A防火墙

B数据库审计

C杀毒软件

D日志审计系统

143. 在传统安全建设思路下，不属于"内部风险无法可视"的现象是[1分]

A缺少南北向流量的风险防护

B缺少东西向流量的风险防护

C缺少全面的流量监测攻击链、攻击举证展示

D缺少基于业务和用户视角的安全展示

144. 在传统安全建设思路下，不属于"缺乏有效检测手段"的现象是[1分]

A已知漏洞不具备有效防护能力

B传统的安全规则更新相较风险有一定的滞后性

C病毒频繁变种及泛化的恶意攻击无法有效防护

D新型攻击复杂，需要不断升级安全体系

145. 在传统安全建设思路下，不属于"频繁救火运维乏力"的现象是[1分]

A安全运维人员能力参差不齐

B各业务部门人员it水平差，频繁需要帮助解决PC的一些兼容性问题

C安全驻场及安服成本高、效果差

D平台日志、管理割裂难运维

146. 关于深信服网端云联动解决方案的主要价值说明，说法错误的是[1分]

A快速上线，简化部署

B智能协同，全面防护

C未知威胁，一网打尽

D人机工智，安全运营

147. AF如需接入云脑，版本要求说法正确的是[1分]

AAF至少需要7.3及以上版本

BAF至少需要7.5.1及以上版本

CAF至少需要8.0.2及以上版本

DAF至少需要8.0.5及以上版本

148. AC如需接入云脑，版本要求说法正确的是[1分]

AAC至少需要12.0.17及以上版本

BAC至少需要12.0.18及以上版本

CAC至少需要12.0.23及以上版本

DAC至少需要12.0.25及以上版本

149. SIP如需接入云脑，版本要求说法正确的是[1分]

ASIP至少需要2.5.X及以上版本

BSIP至少需要2.6.X及以上版本

CSIP至少需要3.0.X及以上版本

DSIP至少需要3.1.X及以上版本

150. EDR如需接入云脑，版本要求说法正确的是[1分]

AEDR至少需要3.2.5及以上版本

BEDR至少需要3.2.8及以上版本

CEDR至少需要3.2.9及以上版本

DEDR至少需要3.2.10及以上版本

151. 内网用户通过AC上网，AC结合LDAP服务器做外部认证（密码认证/单点登录），现在用户上不了网，打开网页也没有弹出密码认证框，下列分析不正确的是[1分]

A可能是内网PC无法访问到LDAP服务器，导致认证页面无法打开，需要检查PC到LDAP服务器通讯是否正常

B需要检查内网PC的DNS和网关是否配置正确，PC是否解析到公网的域名

C检查AC设备到内网PC的路由是否可达，AC上是否配置了内网不同网段的回包路由

D可能是PC端配置了HTTP代理，并将代理服务器只给了内网某台网络设备，导致PC访问http的数据包根本没有经过AC

152. 在客户处实施AC,AC网桥模式部署现突然断网了，请问以下排查不合理的是[1分]

A从内网电脑分段ping测试，看到哪里网络中断

B登录设备开启直通测试是否网络恢复

C检查AC的网关是否配置错误

D跳过AC看网络是否恢复

153. AC设备路由模式部署，一条外网线路，2条内网线路，使用期间发现Ian1口PC可以ping通Lan2□PC,Lan2口PC不能ping通Lan1口PC,开启直通后网络正常了，什么原因导致[1分]

A防火墙策略限制导致

B上网策略限制导致

C流控策略限制导致

D审计策略导致

154. 在客户处实施AC单网桥上架，AC内网口接客户内网三层交换机，AC外网口接客户外网防火墙，现上架后发现内网上网正常，但是内网PC登录不了AC控制台，以下排查不合理的[1分]

APC单机ACDMZ口尝试登录控制台

BAC可能没有配置到内网的回包路由,检查路由配置

C防火墙对AC做了过滤策略禁止AC上网

D客户网络有trunk协议，但是在AC上没有启用vlan配置

155. 关于"上网故障排除"功能说法正确的是[1分]

A"拦截日志条件"里面添加IP后，这些IP的控制策略将会失效

B"同时开启数据直通”里面添加IP后，这些IP的控制策略将会失效

C"同时开启数据直通”里面添加IP后，这些IP的行为审计策略将会失效

D"同时开启数据直通”里面添加IP后，这些IP的流量审计策略将会失效

156. 丢包标记evasion是NGAF的什么模块丢包[1分]

A应用控制

B异常包检测

CIPS

D僵尸网络

157. 以下关于AF接口说法正确的而是[1分]

A透明模式部署，需要透传所有VLAN数据的话，需要至少两个接口配置trunk属性

B虚拟网线模式只能透传指定vlan

C路由接口对端不能接透明接口，否则无法通信

D透明接口对端不能接路由接口，否则无法通信

158. 双向地址转换的源区域是[1分]

A内网区域

B外网区域

C服务器区域

D数据源发起区域

159. 聚合接口不支持（）模式[1分]

A路由模式

B透明模式

C虚拟网线模式

D旁路镜像模式

160. 以下关于ping命令说法正确的是（1.0分）[1分]

Aping使用的是ICMP协议

Bping使用的是IGMP协议

Cping的时候必须先发ARP数据包，学不到目标IP的ARP就不会发ping包

Dping的数据包是一个应用层的数据包

161. 以下能在【抓包工具】抓取到VLAN数据的命令是[1分]

Ahost192.168.1.1

B条件为空

Cport80

Dhost192.168.1.1andport80

162. 下列哪个协议属于应用层[1分]

AIP

BWWW

Cdhcp

DPPP

163. 关于部署上架以下说法错误的是[1分]

A默认路由的下一跳地址是对端设备的地址

B应用控制策略默认是全部拒绝

C配置好接口下一跳网关会自动生成指向网关的默认路由

D虚拟网线必须要成对存在

164. 通过SSL设备命令控制台执行ping命令测试设备和资源服务器的连通性，以下命令错误的是[1分]

Apingwww.sangfor.com-t

Bping-l192.168.1.1www.sangfor.com

Cpingwww.sangfor.com-c10

Dpingwww.sangfor.com-s1500

165. 通过SSL设备命令控制台测试到资源服务器端口是否通，以下命令正确的是[1分]

Asockwww.sangfor.com:8080

Btelnetwww.sangfor.com8080

Csockwww.sangfor.com8080

Dtelnetwww.sangfor.com:8080

166. 通过SSL设备命令控制台抓取设备访问资源服务器的数据包，以下关Ttcpdump命令的说法错误的是[1分]

Atcpdump-iethOhost192.168.1.1-c10是指只抓10个包

Btcpdump抓包参数-SO是指抓取完整的数据，不截断

C将数据包保存下来的命令是tcpdump-iethOhost192.168.1.1-w/tmp/123.cap

D将数据包保存下来的命令是tcpdump-iethOhost192.168.1.1-nn-sO-w

167. SSL设备单臂集群部署，现在一L3VPN资源以虚拟IP（2.0.1.1）为源访问不到，要抓包看设备是否正常转发，请问以下说法错误的是[1分]

A先在集群在线用户确认用户在哪台设备，再在对应的设备抓包

BSSL设备有多个Tun口，要先根据路由判断数据是从哪个Tun口出来，可以执行iprouteget2.0.1.1来判断数据走哪个Tun口

C在Tun口抓资源服务器的IP可以确保抓到的数据一定是测试账号发过来的数据

D在Tun口和LAN口同时抓包，若Tun口正常收到包，LAN口正常发出去，则说明设备转发正常

168. SSL设备在SIP（安全感知平台）中被检测到开放了UDP67端口，下面说法正确的是[1分]

A下架SSL设备

B检查是否有开启DHCP功能，若开启了与客户沟通是否有使用该功能，若无则关闭此功能

C检查是否有开启SNMP功能，若开启了与客户沟通

D是否有使用该功能，若无则关闭此功能升级到最新版本

169. 通过SSL设备命令控制台测试到资源服务器端口是否通，以下命令正确的是()[1分]

Asockwww.sangfor.com:8080

Btelnetwww.sangfor.com8080

Csockwww.sangfor.com8080

Dtelnetwww.sangfor.com:8080

170. 如果ARP表中没有目的地址的MAC表项，如何获取目的MAC地址[1分]

A向网关获取路由条目

B向子网发送广播请求

C向全网发送广播请求

D向目的地址单播发送ARP请求

171. 面对操作系统安全漏洞，基本的防御手段不包括[1分]

A更换到另一相同的操作系统

B对默认安全的软件进行必要的调整

C及时安装最新的安全补丁

D给所有用户设置严格的口令

172. 小明发现了公司的网站服务器中有大量的请求消息，占用了服务器的90%的资源，并且带宽被严重占用，推测网站可能遭受了哪种攻击[1分]

A拒绝服务

B远程过程调用

C木马

D蠕虫

173. 对于ARP欺骗的防护，不恰当的是[1分]

AGoogleHacking

BDHCPsnooping

C静态绑定MAC与IP的映射关系

D主动检测自身IP和MAC地址

174. 以下攻击中不属于网络层的是[1分]

A病毒

Bsmurf攻击

C畸形数据包攻击

DIP欺骗

175. CC攻击希望占用受害主机的资源是[1分]

Aweb服务器资源

B网络带宽资源

C系统磁盘空间资源

D系统缓存资源

176. 对于TCP会话劫持的防范，以下做法错误的是[1分]

A会话加密

B监视网络中的异常流量

C设置静态MAC地址

D设置白名单

177. 在常见网络安全行业分类中，哪个不属于"数据安全"的分类[1分]

A数据防泄密

B防病毒网关

C加密机

D数据库安全

178. 以深信服全景拓扑图为例，分支区域到总部的安全建设，不建议的是[1分]

A分支到总部线路上部署网闸，所有访问总部的数据均通过网闸摆渡后发起

B分支到总部访问开启一些高危端口的封锁，如RDP、SMB,如有放通需求，需要明确到访问的源和目标

C小型分支且无安全运维人员，建议部署STA探针，把本端采集的风险数据同步到总部SIP平台统一分析并给出处置建议

D无专线情况下，分支和总部建议通过IPSECVPN互联，确保数据交互的安全性

179. 以深信服全景拓扑图为例，哪项不是云SAAS服务可以带来的有效安全建设[1分]

A深信服云眼可以实时监测用户网站的风险状态，以及风险扫描、快速预警

B深信服云盾可以实现网站的实时安全防护，7*24小时的专家值守

C深信服云守可以实现所有安全设备的日志采集，并对高危事件通过微信快速预警

D深信服云图可以实现深信服网络设备的统一管理与可视。同时集中展示风险、处置和批量管理设备

180. 客户反馈获取到最新的应用识别库，但是无法更新的最新，下列选项中的排错思路错误的是[1分]

A确认规则库序列号有效

B确认设备可以上网

C选项确认的前提，更换规则库服务器尝试

D设备无法上网，则不能更新应用识別库

181. 当美国零售巨头塔吉特（Target）爆出数据泄密事件后，UEBA开始作为一种什么工具来使用[1分]

A网络安全工具

B行为分析工具

C兴趣匹配工具

D行为管理工具

182. 客户反馈单位有要求禁止内网员工“翻墙"，需要你协助客户评估是否可以实现需求，下列选项中说法错误的是[1分]

A深信服SG代理上网可以满足需求

B深信服AC/SG代理工具管理功能可以满足需求

C可以实现封堵代理工具流量

D可以实现对使用代理工具的用户进行风险提醒

183. 当违规使用代理工具后惩罚措施正确的是[1分]

A只能配置禁止上网

B不能配置惩罚时间

C添加到惩罚通道必须先配置流控策略

D触发禁止上网后重启可以解除

184. 那种模式下不支持代理工具管理[1分]

A旁路模式

B路由模式

C网桥模式

D路由主备模式

185. 准入控件不支持的操作系统是[1分]

AwinXP

Bwin7（32位）

Cwin10

Dlinux

186. 下列不属于准入系统角色的是[1分]

A准入服务端

B准入驱动

C准入客户端

D准入软件

187. 关于会议室二维码认证，下列选项中说法正确的是[1分]

A会议室二维码认证需要扫码二维码进行认证，不适用于移动终端

B会议室二维码认证的二维码只能使用一次会议，不支持重复使用

C会议室二维码认证可以限制接入最大用户数

D会议室二维码认证不可以进行实名制认证

188. 关于访客二维码认证的三种场景，下列选项中说法错误的是[1分]

A"访客填写信息，担保人扫码"方式，在线用户列表中上线用户是其填写的用户名

B"担保人扫码，访客直接以担保人身份上线"方式，上线用户上线后具备担保人权限

C"担保人扫码，并备注访客信息”，在线用户列表中上线用户是其填写的用户名

D终端做过NAT后数据经过AC/SG场景不支持访客二维码认证

189. 关于AF8.0.8版本，规则库的更新频率，说法错误的是[1分]

A云脑-云鉴情报库的更新频率一般为5分钟左右一次

BSAVE安全智能文件检测模型库的更新频率一般为1个月左右一次

C云脑-云智最新威胁防护库的更新频率一般为2周左右一次

DIP地址库的更新频率一般为1周左右一次

190. web应用防护不包含以下哪项内容[1分]

Asql注入攻击

BXSS攻击

C黑链检测

Dwebshell上传

191. 以下关于SQL注入说法正确的是[1分]

ASQL注入，攻击者只能通过URL地址栏输入域名的方式，利用某些特殊构造的SQL的特殊字符和指令，提交一段数据库查询代码，操纵并获得本不为用户所知的数据

BSQL注入的产生原因通常表现为：不当的类型处理、不安全的数据库配置、不合理的查询集处理、不当的错误处理、转义字符处理不合适等

C永远不要信任用户的输入，对用户的任何输入都做拦截处理，是很有效的SQL注入防范方式

D在浏览器中输入URLwww.sample.com在请求的过程中也可能会触发SQL注入

192. 以下关于web应用防护说法正确的是[1分]

A目录遍历漏洞就是通过浏览器向web服务器任意目录附加或者是附加的一些变形，编码，从访问到WEB服务器的根目录开始，渐渐可以访问到web服务器的所有目录

B文件包含中，一般会用到如下几种包含函数：include()sinclude_once()、require。、require_once()

C利用目录遍历攻击漏洞，攻击者可以通过目录遍历的方式，可以访问到所有目录的受限制文件或资源，或者采取更危险行为，攻击者能够执行造成系统崩溃的指令

D文件包含攻击，可以包含各种文件格式，但除了word文件外

193. 以下关于XSS攻击错误的是[1分]

AXSS是一种常见于Web应用中的计算机安全漏洞

B反射型XSS，又称非持久型XSS，是由于代码注入的是一个动态产生的页面而不是永久的页面，所以反射型XSS既不会经过网页的后端，也不会经过数据库

Calert（document.cookie）;j^段脚本执行的结果是会弹出一个对话框显示用户的cookie信息

D攻击者可以通过使用与的HTML标签格式，向网页中插入一段JavaScript脚本时，使得这些脚本程序在浏览器中被执行从而实现XSS攻击

194. 关于地域访问控制策略说法不正确的是[1分]

A能实现拒绝外网某些地区或国家访问内网服务器资源

B能实现只允许外网某些地区或国家访问内网服务器资源

C能实现只允许内网用户访问某些地区或国家的互联网资源

D截止版本AF8.0.8,地域访问控制暂不支持IPv6

195. 关于地域访问控制功能说法不正确的是[1分]

AAF从标准版本6.8开始支持地域访问控制

B截止当前最新版本AF8.0.8,地域访问控制暂不支持IPv6

CAF地域访问控制限制的策略，在内置日志中心暂不支持有相关记录

D先匹配的地址访问控制的拒绝之后，还是会匹配应用控制策略

196. 关于恶意域名重定向说法不正确的是[1分]

AAF7.1及以上版本开始支持

B该功能主要针对场景是内网存在DNS代理的环境，AF无法直接看到DNS请求的源IP

C恶意域名重定向功能产生的日志在内置数据中心进行查询

D目前SIP也支持恶意域名重定向

197. AF的安全运营中心功能，自动/手动评估后，重点需要关注哪个模块的结论并处置[1分]

A风险评估

B动态保护

C监测与分析

D待办事件

198. AF的业务安全中心，把事件根据风险进行分类，如果是检测到用户网站只有被扫描的日志记录，而无其他风险记录，此类事件会被归到哪类[1分]

A已被入侵

B曾被攻击

C曾被收集信息

D存在漏洞

199. 下列关于SSL的防火墙规则，说法错误的是[1分]

A可以允许外网到本机的ping和tracert

B可以允许外网登录本机的MML

C可以允许外网登录设备查看实时日志

D可以不允许内网使用升级客户端进行维护

200. 客户需要配置设备防Host头部攻击功能，客户外网接入方式https://vpn.test.comvpn解析出来的公网ip是3.3.3.3，vpn单臂部署Ian口地址192.168.2.2,下面哪个配置方法可以达到客户要求[1分]

A配置https://vpn.test.com

B配置https://vpn.test.com和https://3.3.3.3

C配置vpn.test.com和3.3.3.3

D配置vpn.test.com

201. 关于【防HTTP头部攻击设置】说法错误是[1分]

A支持通配符［?】

B支持通配符【*】

C修改配置不需要重启SSLVPN

D支持IP地址

202. 关于【防HTTP头部攻击设置】根据头部哪个字段判断[1分]

ALocal

Bcookie

CReferer

Dhost

203. 下列关于WEBVPN准备工作，说法错误的是[1分]

A若是单臂部署，需要映射TCP8118端口

B需要准备泛域名

C需要准备泛域名证书

D需要将泛域名的解析A记录指向VPN设备

204. 用户使用WEB资源发现某个站点未通过VPN代理访问，下列排查说法错误的是[1分]

A该资源未发布，切未关联WEB全网资源，所以无法代理访问

B该站点在WEB全网资源中添加了黑名单，但是未将WEB全网资源关联给用户，所以无法访问

C在策略组中添加了WEB资源黑名单，但是该策略组未关联给该用户，所以无法访问

D该站点在WEB全网资源中添加了黑名单，且将WEB全网资源关联给用户，所以无法访问

205. 下面关于流缓存，说法错误的是[1分]

A启动流缓存功能需要设备型号有-Q的尾缀

B启用流缓存功能需要开启流缓存序列号

C启用流缓存功能需要在策略组中勾选优先使用流缓存，且策略组需要关联给用户

D公有用户可以使用流缓存功能

206. 关于加密算法的说法中，错误的是[1分]

A加密算法分对称加密算法和非对称加密算法

B对称加密算法常见有DES、AES、RC4

C非对称加密算法常见有RSA、ECC、Diffie-Hellman

D常用对称加密算法来传递非对称加密算法的公钥

207. 勒索病毒wannacry以及挖矿病毒wannamine都是利用了永恒之蓝MS17-010漏洞进行传播，请问病毒在传播时主要利用了哪个端口[1分]

A3389

B445

C22345

D22

208. everything在处理勒索病毒时的作用是[1分]

A搜索到病毒样本

B搜索到加密文件

C分析文件被加密的时间

D搜索克隆账号

209. SIP上检测到主机存在挖矿，给出了连接的IP，但到第三方威胁平台上查看不到该IP有任何问题，这时正常的分析思路是[1分]

ASIP误报了，该IP是正常的

B使用第三方威胁情报反查IP的域名，再查域名是否为挖矿地址

C第三方威胁情报有问题

D使用腾讯哈勃进行确认

210. PowershellMiner•挖矿描述不正常的是[1分]

A利用WMI+Powershell方式实现的无文件攻击行为

BSMB弱口令爆破攻击和"永恒之蓝"漏洞攻击

C只访问一个矿池地址

D杀软较难查杀

211. 客户在SIP在查看到终端中了Virut,处理的第一步是[1分]

A重装系统

B使用EDR在感染病毒的电脑上进行全盘扫描查杀

C使用专杀工具进行查杀

D分析终端上的HTML文档

212. 对于异常流量SIP的检测较AF好的原因是[1分]

ASIP对外网攻击的检测比AF好

BAF可以做拦截

CSIP的探针可以部署在内网多个位置，进行东西向和南北向的检测

DAF需要串接在客户网络中

213. SIP可以检测到业务在公网上的开放端口，很可能被通报的端口有[1分]

A443、80

B8080

C3306

D110

214. 下面关于高可用性衡量标准"平均无故障时间（MTTF）"说法正确的是[1分]

A是用来衡量一个系统高可用性的唯一指标

B表示的是设备正常运行到下一次故障的平均时间

C表示的是设备故障后恢复的平均时间

D表示设备出现故障后用户能承受的最大中断时间

215. 下面哪一项在设计高可用性网络时不需要考虑[1分]

A链路高可用

B接口高可用

C设备高可用

D存储高可用

216. AC主主模式下以下那个信息不会同步[1分]

A在线用户信息

B序列号

C用户绑定信息

D会话信息

217. 关于AF双机组件说法正确的是[1分]

AAF双机中首先需要规划虚拟IP

B因为心跳口和业务口可以复用，无需配置单独心跳口

CAF设备只能通过优先级来区分主备

D双机组播通信地址为224.0.0.18

218. 关于双机心跳口说法正确的是[1分]

A管理口不能作为心跳口

B聚合口不能作为心跳口

C备份心跳口不能同步会话信息

D管理口不能作为备份心跳口

219. 关于多产品双机组合涉及的产品版本要求，不在建议的产品版本范围内的是[1分]

AAF8.0.5

BAD7.0.5

CAF6.8

DAC12.0.14

220. 在AD+AF的双机组合场景，用户要求我们要做到全冗余主备，任意一台设备或者一条线路故障，均不引起整体切换。这种情况下我们推荐的部署方案是[1分]

A使用组合方案中的【方案二（全交叉型）-路由】

B使用组合方案中的【方案四（半交叉型）】

C使用组合方案中的【方案七（口字型）】

D使用组合方案中的【方案八（变相交叉型）】

221. 在AD+AF+AC的双机组合场景中，方案十一（口字型）有哪些优点[1分]

A不存在环路可能

B部署相对简单

C运行相对稳定

D后期运维相对容易

222. 关于多产品组合双机部署中，完成部署后的POC用例测试说法正确的是[1分]

A所有ping包丢包都是以windows系统的ping包来计算的

B所有ping包丢包都是以linux系统的ping包数量来计算的

C在所有推荐的部署方案中，任意关机两台设备都不会影响网络的正常通信

D在所有推荐的部署方案中，任意断开两条线路，都不会影响网络的正常通信

223. 在风险判定过程中下列哪些不是安全计算环境需要考虑的内容[1分]

A身份鉴别

B传输完整性与保密性

C网络结构

D安全审计

224. 哪一年GB17859规定了我国计算机信息系统安全保护能力的五个等级[1分]

A1999年

B2001年

C2005年

D2008年

225. 关于等级保护2.0,以下说法错误的是[1分]

A对拟定为第二级以上的网络，其运营者应当组织专家评审；有行业主管部门的，应当在评审后报请主管部门核准

B跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级，统一组织定级评审

C行业主管部门可以依据国家标准规范，结合本行业网络特点制定行业网络安全等级保护定级指导意见

D因网络撤销或变更调整安全保护等级的，应当在30个工作日内向原受理备案公安机关办理备案撤销或变更手续

226. 等级保护2.0中安全物理环境不包括[1分]

A物理位置选择

B电力供应

C电磁防护

D身份防伪

227. 深信服等级保护增值服务项目包括[1分]

A信息系统安全调研

B渗透测试服务

C等级保护差距评估

D等保安全复查服务

228. 在传统安全建设思路下，不属于"安全孤立无法协同"的现象是[1分]

A安全设备堆砌很多，但相互割裂

B威胁发生时，各自为政，无法协同

C风险抵御的全面性不够

D安全运维人员不足，无法全面应对风险事件

229. 关于深信服网端云联动解决方案，产品与对应位置说明，错误的是[1分]

A云脑对应云侧产品

BEDR对应端侧产品

CAC对应端侧产品

DAF对应网侧产品

230. 关于深信服网端云联动解决方案，以EDR为视角，不属于可以结合AF联动的功能是[1分]

A联动实现推广部署edr的agent

B联动实现查杀

C联动实现僵尸网络举证

D联动实现处理威胁文件

231. 关于EDR和AF的联动功能说明，说法错误的是[1分]

A在AF联动杀毒上，可以从AF界面直接对安装了edr软件的终端发起风险扫描

BAF联动EDR进行僵尸网络举证功能，要求AF的版本至少是8.0.12及以上

C在AF联动举证闭环功能上，要求AF的版本至少是8.0.12及以上

D在AF联动举证闭环功能上，对edr检测出来的风险文件直接删除，无需用户人工干预确认

232. 关于EDR和SIP的联动功能说明，说法错误的是[1分]

A在SIP联动杀毒上，可以从SIP界面直接对安装了edr软件的终端发起风险扫描

B在SIP联动杀毒上，可以从SIP界面对查杀的结果进行隔离、信任、忽略等处置

C在SIP联动主机隔离功能上，只能对检测出来的风险主机永久隔离

D在SIP联动主机隔离功能上，可以选择风险主机隔离方向，如入站数据的隔离

233. 深信服安全产品接入云脑，序列号要求说法错误的是[1分]

AAF接入云脑需要开通相关序列号

BAC接入云脑需要开通相关序列号

CSIP接入云脑需要开通序列号

DEDR接入云脑不需要开通序列号

234. 某客户反馈，AC设备网桥部署，做了URL过滤，结果发现不生效，下列排查错误的是[1分]

A检查策略是否关联了用户

B检查是否开启了全局排除地址

C检查是否匹配了自定义的应用，将自定义应用放通

D重启设备，检查是否能够恢复

235. 某客户内网有AC以网桥模式部署，发现突然访问不了网站了，请问下列操作不正确的是[1分]

A更改部署模式，看是否恢复正常

B在AC上开直通看能否恢复正常

C在故障电脑nslookup解析域名

D使用AC的"单用户检测功能”辅助排查

236. AC路由模式部署在网络出口，某个用户上不了网，对这个用户开直通后能够上网了，下列操作正确的是[1分]

A直接把用户IP加入全局排除解决问题

B根据直通日志定位是什么模块拦截的

C使用AC的"单用户检测功能"排查

D恢复AC的配置

237. 关于"上网故障排除"功能的填写格式错误的是[1分]

A192.168.1.2-100

B192.168.1.200-192.168.1.254

C：：-FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF

D192.168.1.0/255.255.255.0

238. 关于"全局排除地址"功能影响范围说法错误的是[1分]

A被排除的IP的认证功能失效

B被排除的IP防火墙过滤规则失效

C被排除的IP权限控制策略失效

D被排除的IP审计策略失效

239. 客户内网有一个网站打开慢，我司工程师在设备上抓包如附件，请问题是什么原因导致上网慢的[1分]

Asyn三次握手没有建立成功

B公网丢包，使户访问的数据包大量重传，导致上网慢

C服务器回复的ACK包太慢，使户访问的数据包大量重传，导致上网慢

Dmss值太小，导致传大包的时候比正常情况多传了几个数据包，导致上网比平常慢

240. 关于地址转换说法不正确的是[1分]

A用户上网场景需要用源地址转换

B内用户想使用公网ip访问内网服务器需要使用双向地址转换

C服务器要映射给公网用户使用，可以使用目的地址转换

D目的地址转换配置完之后，还需要放通外网访问内网服务器的应用控制策略

241. AF开了直通之后哪个功能不生效[1分]

A地址转换

B静态路由

Cweb应用防护

D基于数据包检测的DOS功能

242. 电脑需要打开http://www.test.com的域名，会涉及以下哪个协议[1分]

AIGMP

BHTTPS

CICMP

DDNS

243. 以下关于TCPdump的参数说法正确的是[1分]

Ai指定监听的网络接口

Bw指定抓包数量

Cc将抓包内容保存至指定文件夹，并不打印

Dv指定打印数据链路层头部信息

244. 客户反馈内网电脑单接防火墙内网口都ping不通防火墙内网口地址，以下说法正确的是[1分]

A电脑抓对应网口的所有数据包，发现没发ARP的数据包，一定是电脑配置的非同网段地址导致的

B防火墙接口抓不到任何电脑发过来的数据包，可能是应用控制策略拦截了

C抓包发现AF收到数据包之后没有回包，必须做应用控制策略放通

D开直通，发现appcontrol丢ping包，因此必须在接口勾选允许ping

245. 以下关于SSLVPN诊断修复工具修复功能说法错误的是[1分]

A工具首页可以点击立即扫描进行一键体检

B工具扫描完成之后会显示正常项目和待修复项

C工具扫描出的待修复项都支持点击修复一键修复

D工具扫描出的待修复项部分可以一键修复，部分需要按修复建议进行手动操作才能修复

246. 以下关于SSLVPN诊断修复工具通过工具箱日志记录功能记录输出的日志说法错误的是[1分]

A日志文件会输出在%appdata%\SangforHelperTool\Log

B日志文件会输出在%programfiles%\SangforHelperTool\Log

C日志记录功能输出的日志所在目录不仅仅有客户端调试日志，还有工具扫描记录，和工具自身的日志

D日志记录功能输出的日志文件命名格式为:当前日期-开始记录日志的时间

247. 关于SSLVPN登录页面无法打开的问题排查，以下说法错误的是[1分]

A如果是域名登录，先ping测试确认域名能否正常解析，若域名无法解析则是域名解析的问题

Btelnet测试SSLVPN的端口，若端口通，则说明网络一定没有问题

Ctelnet测试SSLVPN的端口，若端口不通，则说明是网络问题

D服务端有多条线路可尝试换一个接入地址测试

248. 查看一个网页的打开过程是否有跳转，以下哪个工具不能实现[1分]

A谷歌浏览器开发者工具

BIE浏览器开发者工具

Chttpwatch

DSSLVPN客户端修复工具

249. 关于资源访问模式是以【使用分配的虚拟IP地址作为源地址】时，下列说法错误的是[1分]

A此时从SSL设备出去访问资源服务器的数据源IP是虚拟IP

B资源服务器到SSL设备之间网络需要写好到虚拟IP的路由才能保证资源访问正常

C若SSL设备与资源服务器之间存在安全设备，则安全设备必须放通虚拟IP的通信

D若SSL设备与资源服务器之间存在安全设备，则安全设备必须放通SSL设备接口IP的通信

250. 以下关于设备和资源服务器之间的连通性说法正确的是[1分]

A设备能ping通资源服务器说明设备和资源服务器通信一定没有问题

B设备能sock通资源服务器的服务端口说明设备和资源服务器通信一定没有问题

C设备既能ping通服务器也能sock通资源服务器的服务端口说明设备和资源服务器通信一定没有问题

Dping和sock都只能初步判断设备和服务器直接的连通性，即使ping和sock都没有问题，TCP三次握手之后的数据交互仍然可能有问题

251. 资源以IP发布，通过域名访问资源，以下哪种情况不会导致域名无法解析[1分]

A内网域名解析配置的DNS不可达

B下发了首选DNS，但是内网DNS规则没有配置

C没有下发首选DNS，也没有配置内网DNS规则

D下发了首选DNS，客户端虚拟IP未分配

252. 客户反馈获取到最新的应用识别库，但是无法更新的最新，下列选项中的排错思路错误的是[1分]

A确认规则库序列号有效

B确认设备可以上网

CB选项确认的前提，更换规则库服务器尝试

D设备无法上网，则不能更新应用识别库

253. 对于ARP欺骗的防护，不怡当的是[1分]

AGoogleHacking

BDHCPsnooping

C静态绑定MAC与IP的映射关系

D主动检测自身IP和MAC地址

254. ARP欺骗攻击一般会发生在什么网络范围内[1分]

A因特网

B局域网

C广域网

D本地子网

255. 为了防范网络监听，最常用的方法是[1分]

A信息加密

B采用物理传输（非网络）

C专线传输

D无线传输

256. 下面关于DOS攻击的描述最精确的是[1分]

A不需要入侵到受攻击的电脑

B以窃取目标系统的信息为主要目的

C导致目标系统无法响应正常用户请求

D如果系统没有漏洞，DDOS攻击不可能成功

257. 下面哪个web事件不属于2017年OWASP公布的TOP10（1.0分）[1分]

A注入

BCSRF

C缓冲区溢出攻击

D不安全的直接对象引用

258. 邮件炸弹攻击主要是[1分]

A塞满受害者的邮箱

B破坏受害者的邮件服务器

C破坏受害者的邮件客户端

D通过邮箱传播病毒及蠕虫

259. 关于smurf攻击说法不正确的是[1分]

Asmurf是一种拒绝服务式攻击

Bsmurf使用ICMP包开展攻击

Csmurf通常会使用大量有漏洞的主机做跳板机

D攻击者通过smurf攻击目的是在目标终端获取数据

260. 对于慢速攻击说法正确的是[1分]

A慢速攻击又称CC攻击

B慢速攻击是TCP会话劫持的一种方式

C慢速攻击会通过长连接请求

D慢速攻击通常会发送畸形数据包

261. 在常见网络安全行业分类中，哪个不属于"安全智能"的分类[1分]

A区块链安全

B高级威胁防护

C网络流量分析

D威胁捕捉

262. 以深信服全景拓扑图为例，哪些设备一般不建议部署在运维管理区进行统一安全运维[1分]

ASSLVPN,统一管理移动办公的用户接入和安全

B安全感知平台，统一采集全网探针设备上报的风险数据并分析展示

C数据库审计，统一对全网数据库的访问进行监控、分析及预警

D终端检测响应，统一部署和管理终端的风险状态，下发处置策略

263. 以深信服全景拓扑图为例，数据中心区域出口部署的AF与云化平台里的VAF，在防护作用差异上，说法正确的是[1分]

AAF具备南北向流量防护，vAF不具备

BAF具备WAF功能防护，vAF不具备

CvAF具备东西向流量防护，AF不具备

DVAF具备僵尸网络检测，AF不具备

264. 下列选项中属于深信服上网行为管理的规则库的是[1分]

A热点事件库

B实时漏洞分析识别库

C应用识别库

D漏洞特征识别库

265. UEBA技术设计最初的用途是[1分]

A分析用户行为画像

B记录用户访问记录

C根据用户数据推荐各种商品

D安全防护

266. 代理工具管理不能实现那个功能[1分]

A对代理软件进行封堵

B封堵下载路径

C可以禁止用户上网

D代理上网

267. 关于代理工具管理说法正确的是[1分]

A代理工具模块不支持全局排除

B高可用下也可以使用代理工具管理

CDNS流量不经过设备也可以实现代理工具管理

DSG启用代理也可以使用代理工具管理

268. 关于准入下列说法错误的是[1分]

A准入是支持nat环境的

BAC12.0.22版本，旁路支持准入

C所有版本，多机模式均不支持准入

D4.3版本开始，双机支持准入

269. 客户希望内网所有上网电脑必须安装公司指定的杀毒软件，如果电脑没有安装，则禁止上网。请问AC配置什么策略可以满足客户需求[1分]

A上网权限策略

B上网安全策略

C终端提醒策略

D准入策略

270. 关于访客二维码认证，下列选项说法错误的是[1分]

A访客认证场景，推荐使用访客二维码认证，好处是不像微信认证开放范围大，防止无关人员蹭网

B访客二维码认证支持访客填写信息后再由担保人校验的认证方式

C访客二维码认证，扫二维码的人可以是未完成认证的访客

D访客二维码认证，扫二维码的人可以是有审核权限的内部员工

271. 关于短信认证，下列选项说法正确的是[1分]

A短信认证属于令牌认证

B短信认证属于生物识别

C短信认证用于人员较为固定的场景

D短信认证的好处的用户不需要记忆密码

272. 关于AF8.0.8版本，规则库的相关注意事项说明，正确的是[1分]

AAF的热点事件库和热点事件预警与处置库更新的内容一致，不同的只是在设备上展示的模块存在差异

BAF对于病毒库的更新为两类，一个是SAVE引擎的模型更新，一个是静态病毒库的更新

CIP地址可以同时更新ISP地址库和IP归属库

D云脑-云鉴和云脑-云智可以同时关闭/开启自动更新的能力

273. 以下安全防护概述不正确的是[1分]

AOWASP是是一个国际性组织机构，由它定义了Top10的web安全防护

BTop10web安全防护是OWASP权威定义的，所定义的内容是不能被更改的

C随着Web技术发展越来越成熟，而非Web服务（如Windows操作系统）越来越少的暴露在互联网上，现在互联网安全主要指的是Web安全

D防火墙的web应用防护功能，提供了一种安全运维控制手段：基于对HTTP/HTTPS流量的双向分析，为Web应用提供实时的防护

274. 以下关于信息泄露和整站系统漏洞攻击防护说法错误的是[1分]

A信息泄露漏洞是由于web服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄露web服务器的一些铭感信息，如用户名、密码、源代码、服务器信息、配置信息等

Bweb整站系统漏洞是一些框架漏洞，如cms>dedeems漏洞就都是框架漏洞

CWEB整站系统漏洞防护是针对知名WEB整站系统中特定漏洞进行的安全、可靠、高质量防护

D信息泄露行为被AF识别到，AF只做服务器一些敏感信息泄露的日志记录但是不做拦截处理

275. 以下关于地域访问控制的作用说法正确的是[1分]

A地域访问控制和ACL类似，也可以实现具体的源IP地址对目的IP地址的访问控制

B地域访问控制只应用于控制境外对境内业务的访问控制

C地域访问控制是通过识别IP地址所属区域，针对不通的区域开放不同的权限来进行访控制

DAF在能上网环境下，地址库可以实现自动更新，但出现有IP有误判的情况下，只能通过纠正IP归属地的方式来解决IP误判问题

276. 关于地域访问控制与应用控制功能说法错误的是[1分]

A地域访问控制与应用控制策略对应的日志都是在内置数据中心查询

B地域访问控制无法根据应用匹配

C地域访问控制无法根据协议匹配

D地址访问控制可以根据IP进行匹配

277. 设置地域访问控制策略拒绝后还是可以访问对应资源，下列说法错误的是[1分]

A对应IP是否属于地域访问控制中不允许访问的区域

B通过IP归属地进行纠正，以便拦截对应的访问

C有可能对应IP是被添加为白名单

D因为应用控制策略将对应IP地址进行放行

278. 以下关于蜜罐技术的说法错误的是[1分]

A蜜罐技术的实现原理是：内网僵尸主机向内网DNS发起恶意域名解析->内网DNS经过AF向公网发起DNS解析->AF获取到恶意域名解析流量->AF主动将蜜罐地址作为解析地址回复给内网DNS->内网DNS转发给主机->僵尸主机访问蜜罐地址->AF识別到真实的僵尸主机地址并作拦截处理

B旁路镜像模式不支持蜜罐功能

C蜜罐IP地址的设置，此IP地址必须是真实存在的，且不能于内网网段冲突，访问此IP的数据需要经过AF

D蜜罐技术是应用于内网存在DNS服务器的场景下，用于定位内网真实僵尸主机的IP地址

279. AF安全运营中心设置，不能实现以下哪个功能[1分]

A设置显示的风险级别，可以只显示风险级别为高的事件，其他事件一律不显示

B设置显示的IP范围，非指定的IP范围不显在运营中心

C设置检测的风险项目，不希望关注的项目可以取消检测

D设置处置记录，对已处理的记录可以进行删除

280. 下列对控制台加固最有效的防护方案是[1分]

A关闭远程维护，同时内网防火墙封锁4430端口的通信，仅放通运维主机的ip，并启用管理员登录ip限制，只允许运维人员登录

B将4430端口改成4431端口

C将4430做端口映射映射到一个不存在的地址

D关闭控制台HTTP端口

281. SSL设备在SIP（安全感知平台）中被检测到开放了UDP67端口，下面说法正确的是[1分]

A下架SSL设备

B检查是否有开启DHCP功能，若开启了与客户沟通是否有使用该功能，若无则关闭此功能

C检查是否有开启SNMP功能，若开启了与客户沟通是否有使用该功能，若无则关闭此功能

D升级到最新版本

282. 下列关于认证的配置，配置欠佳的是[1分]

A本地认证开启密码安全策略

B第三方认证设置好组映射或者角色映射

C使用匿名认证

D开启放暴力破解设置

283. 关于【防HTTP头部攻击设置】说法正确的是[1分]

A支持正则表达式

B只配置www.sangfor.com.cn,则只能使用www.sangfor.com.cn接入vpn

C支持添加www.sangfor/.cn域名

D启用该配置后，使用非允许访问域名，将访问404错误，无法打开界面

284. 关于【端点安全】安全说法正确的是[1分]

A不可针对角色配置

B只可能针对用户配置

C针对角色配置后，不符合规则的资源将仍会现在资源列表中

D不符合规则的用户，登录后，将无法访问任何资源

285. 关于子站点说法错误的是[1分]

A子站点支持通配符

B子站点需要和WEB资源地址的配置相关

C子站点不可以配置端口

D子站点最多配置10条

286. 以下关于设备会出现证书告警说法不正确的是[1分]

A遭受中间人攻击

B遭受SQL注入攻击

C设备证书非受信任的证书机构颁发

D证书颁发给字段与登录IP/域名不一致

287. 下列证书格式，不含私钥的是[1分]

AP12

BPEM

CCRT

DJKS

288. 黑链的影响不包括以下哪一项[1分]

A组织单位社会形象严重受损

B严重影响网站的推广

C遭受监管单位通报

D提升SEO

289. 通过edr官网查询到的勒索病毒信息不包括下以哪项[1分]

A病毒名称

B感染平台

C传播方式

D钱包地址

290. 哪个工具可以查看主机的启动项信息（1.0分）[1分]

Aeverything

BD盾

Cprocesshacker

Dautoruns

291. 在SIP上检测出主机上有挖矿病毒，但是EDR查不出任何问题，这时不正确的思路为[1分]

A通过SIP确认挖矿病毒类型到千里目公众号查是否有对应的文章，确认病毒的机制是否免杀

B更换其它杀软进行查杀

CSIP存在误报，客户的主机无问题

D使用第三方工具，对主机进行排查

292. 某客户采购了我司态势感知，某日内网主机出现蓝屏现象，安全感知中也发现部分主机对内网其他主机进行smb扫描，作为一线技服人员，针对这种现象不正确的处理方式是[1分]

A使用科来网络分析工具抓包，抓取失陷主机外发smb扫描的进程，上传到病毒文件分析平台进行查杀，看是否是病毒

B查看安全感知平台，找到失陷主机，使用EDR僵尸网络查杀工具对失陷主机进行检查

C利用Tcpviewsprocesshacker等流量分析工具定位发包进程

D联系深信服安全服务团队应急响应接口人处理

293. 内容异常流量的收集，异常现象时间的原因，不正确的是[1分]

A用于分析出现异常流量前被攻击的情况

B用于溯源分析确认入侵的时间点

C用于检查安全设备上的日志时使用

D用于确认网络变更时间

294. 我司可以对客户的外部威胁提供哪些检测能力或服务能力。1、威胁情报。2、黑市监控。3、安全专家。4、人工智能分析。5、云响应中心[1分]

A1、2、3、4、5

B1、2、3、4

C1、2、3、5

D1、2、3

295. 客户被检测出发现了Oday,这时我们不应该怎么处理[1分]

A推荐使用SIP的被动漏洞识别，查看最新的漏洞

BSIP需要保持连接互联网及时更新特征库

C推荐使用入云眼/云镜设备主动发现漏洞

D按深信服发布的对应Oday处置办法进行处置

296. 常见网络设备的高可用部署形式不包括下面哪一项[1分]

A主主模式

B主备模式

C路由模式

D集群模式

297. 下面关于集群部署模式说法错误的是[1分]

A集群模式可以多台设备同时在工作

B集群模式可扩展性强，可以后期増加设备

C集群模式部署可以充分利用设备资源

D集群模式数据交互非常简单，易于实现。

298. 下面说法错误的是[1分]

A链路高可用：可以接入多家运营商

B接口高可用：可以使用端口聚合技术

C设备高可用：主备模式部署

D接口高可用：可以使用异地容灾技术实现

299. 关于双机配置说法错误的是[1分]

A备控可以直接修改配置

B主、备控角色和双机状态无关

C主控配置会自动同步给备控

D手动配置同步是直接将本端配置同步给对端

300. 关于检测状态说法正确的是（1.0分）[1分]

A同一个监控组下任一接口故障则进入故障状态

B配置多个监控组时当所有监控组故障才进入故障状态

C如果备机已经故障，此时主机一定不会进入故障状态

D链路监视支持ARP探测、DNS解析探测、PINg探测

301. 分布式集群下关于虚拟IP池说法正确的是[1分]

A分布式集群下不支持虚拟IP池方式访问

B分布式集群下虚拟IP池可以共享

C各节点采用相同的虚拟IP池设置也可以实现共享

D分布式集群下也可以独立配置虚拟ip池

302. 关于多产品双机组合的部署场景，未在涉及范围内的是[1分]

AAF路由双主部署

BAC透明双主部署

CAF透明双主部署

DAD路由主备部署

303. 在组合方案的【方案一（口字型）】中，下列说法不正确的是[1分]

AAF透明双主部署，组成透明桥的上、下联接口需要避开bypass对

BAF的主主建立，建议用聚合口做心跳，聚合模式选择主备

CAD的主备建立，建议开启备机网口掉电，保障AD切换主备后，下联设备通过物理口可以探测到AD的状态

DAD的主备建立，建议除了开启拔线检测外，还需要开启ARP检测，监听链路状态

304. 在AD+AF+AC的双机组合场景中，哪个方案不属于我们在用户侧主推的方案[1分]

A方案十一（口字型）

B方案十二（全交叉型）-路由

C方案十五（混合全交叉型）

D方案二十（口字型）

305. 在AD+AF+AC的双机组合场景中，方案十二（全冗余交叉）部署，关于注意事项说法，错误的是[1分]

A此全冗余的场景，AF和AC无法交叉部署，原因是会涉及到环路和数据走向等问题

BAF必须开启辅助心跳，确保AF的双机可以成功建立

CAC采用带外管理口同时复用成心跳的方式来实现双主的建立，原因是该部署里无法配置有效的桥地址

D此方案要求核心交换机为堆叠模式，原因VRRP模式无法有效交叉冗余

306. 出现以下哪种情况不能判定边界访问控制存在高风险项[1分]

A无访问控制

B访问控制配置不当

C配置失效

D使用路由器或交换机的ACL作为边界访问控制手段

307. 等级保护2.0中哪一级属于监督保护级[1分]

A一级

B二级

C三级

D四级

308. 相对等保1.0,等保2.0的主要变化不包括[1分]

A测评机构能力要求变化

B定级对象变化

C安全要求变化

D控制措施分类结构变化

309. 等级测评方法不包括[1分]

A验证

B访谈

C测试

D核查

310. 等级保护2.0中安全区域边界不包括[1分]

A数据保密

B访问控制

C入侵防范

D安全审计

311. 深信服等级保护咨询服务项目包括[1分]

A风险评估服务

B应急响应服务

C安全整改管理

D应急演练服务

312. 深信服安全产品对标等保2.0技术要求工具表涵盖了以下产品，不包括[1分]

AAF

BAC

CFGAP

DDAS

313. 关于深信服网端云联动解决方案，以EDR为视角，不属于可以结合AC联动的功能是[1分]

A联动实现主机隔离

B联动实现查杀

C联动实现推广部署EDR的Agent

D联动实现处理威胁文件

314. 关于深信服网端云联动解决方案，以EDR为视角，不属于可以结合SIP联动的功能是[1分]

A联动主机隔离

B联动日志上报

C联动处理威胁文件

D联动推广部署edr的agen

315. 关于EDR和SIP的联动条件和配置，说法错误的是[1分]

ASIP需要保障EDR和tcp:443端口进行通信

BSIP推荐版本是3.0.2及以上

C如需接入日志，要求EDR与SIP的tcp:7441端口进行通信

DSIP与EDR联动只能在SIP上配置，不能在EDR上配置

316. 关于EDR和x-central的联动条件和配置，说法错误的是[1分]

AEDR管理平台能与x-centraI的tcp:443端口进行通信

BEDR要求版本是3.2.9及以上版本

Cx-central配置上需要创建接入帐号、密码、获取企业ID

DEDR需要完成接入x-central的配置

317. AF接入云脑联动赋能，哪个不是配置层面的必须项[1分]

AAF必须可以联互联网

BAF必须开通云脑的相关序列号

CAF必须网关部署

DAF必须开启隐私设置的相关接入

318. AC网桥部署，下列选项中，哪个选项必须要使用准入策略[1分]

A审计邮件客户端发送邮件内容

B审计webQQ聊天内容

C审计电脑客户端QQ聊天内容

D审计加密论坛发贴内容

319. AC路由模式部署在网络出口，发现所有电脑都断网了，下列操作不正确的是[1分]

A在测试电脑ping自己的网关看能否通

B直接重启AC

C测试电脑pingAC的Ian口看能否通

D测试电脑ping核心交换机看能否通

320. AC路由模式部署在出口时，以下哪个不是必须要配置的[1分]

ASNAT

B默认路由

C端口映射

D回包路由

321. 关于"全局排除地址"功能说法错误的是[1分]

A可以填写源IP地址

B可以填写域名

C可以填写目的IP

D可以填写端口

322. 使用AC的抓包工具抓取用户192.168.1.100打开网站的整个HTTP交互流程数据包，过滤表达式正确的是[1分]

Asrchost192.168.1.100andport80

Bhost192.168.100anddstport80

Chost192.168.100andport80

Dsrchost192.168.100andsrcport80

323. 拒绝列表提示丢包信息如下"thisconnecthasbeendropped,becauseURLcontainsIPaddress!",请问是什么原因导致丢包了[1分]

A自定义URL中包含了用户访问的IP地址，且自定义URL是拒绝的

B自定义应用中包含了用户访问的IP地址，且自定义应用是拒绝的

C启用了"高级配置"->"URL过滤自动放行网页中包含的外部域名资源"导致

D启用了"高级配置"->"URL过滤"->"禁止直接以IP地址形式访问网站，排除URL库中已包含该IP地址"导致"

324. 断网问题排错思路说法错误的是[1分]

A确认AF的部署模式

B在AF上开直通

CAF内外接口抓包

D直接跳开AF进行测试

325. AF设备默认的路由优先级排列为[1分]

AVPN路由〉静态路由〉策略路由〉默认路由

BVPN路由〉策略路由〉静态路由〉默认路由

C策略路由〉静态路由VPN＞路由〉默认路由

DVPN路由〉策略路由〉静态路由〉默认路由

326. 电脑直连防火墙但是ping不通防火墙，以下说法错误是[1分]

AAF网口故障，导致电脑网口起不来

BAF不回ping包，可能是AF走其他网口回复了，可以看下AF的路由情况

C学不到AF网口的arp信息，需要查电脑网口地址的配置

D开直通的情况下，策略路由会失效

327. 关于wrireshark使用说法正确的有[1分]

Aip.addr过滤IP

Bip.dst过滤源IP

Ceth.mac过滤mac

Dtcp/udp.srcport过滤端口

328. 对于TCP协议的描述中，不正确的是[1分]

ATCP半开连接指的是TCP三次握手正常完成之后没有数据传输的TCP连接

BTCP半开连接指的是客户端不回复TCP三次握手最后一个ACK包导致三次握手无法正常完成的TCP连接

CTCP的拥塞控制使用窗口大小来控制

DTCP有重传机制保证了TCP数据的可靠性

329. 以下哪些不是SSLVPN诊断修复工具首页支持显示的信息[1分]

A展示当前Windows系统版本信息、浏览器类型及版本

B显示当前系统上杀毒软件安装情况

C客户端安装情况，安装多个客户端会显示多个

DVPN是否在线

330. 以下关于获取Windows客户端日志的说法错误的是[1分]

A通过SSLVPN诊断修复工具的工具箱里面的日志记录在出现问题时点击开始记录，问题复现完成后点击停止可以获取这个过程的日志

B通过SSLVPN诊断修复工具的工具箱里面的debugview,在登录vpn前打开debugview,点击开始，登录vpn完成后，再结束记录，将日志保存，可以获取VPN登录过程的日志

C在问题已经恢复正常之后，通过SSLVPN诊断修复工具的工具箱里面的日志记录功能可以获取到之前问题发生时的日志

Ddebugview工具相较于日志记录功能更加灵活，可以设置选项记录更详细的客户端调试日志

331. 一个B/S资源打开显示不全，可以通过什么方法来判断是什么原因[1分]

A使用谷歌浏览器开发者工具抓取网页打开过程，看看是哪一个请求出现问题，确认是否是资源未发布全

Btelnet测试一下资源服务器端口是否通

C更换一下资源类型，如把TCP资源换成L3VPN资源

D检查一下资源首页域名能否解析

332. 关于资源访问模式以下说法正确的是[1分]

A访问某一个资源时想要以虚拟IP为源，直接在"[SSLVPN选项】-【系统选项】-【资源服务选项】-【WEB应用】进行设置即可

BWEB应用不支持以虚拟IP去访问资源

CL3VPN若要以虚拟IP为源去访问资源则需要在[SSLVPN选项】-【系统选项】-【资源服务选项】-【L3VPN应用】进行设置

DL3VPN应用资源访问模式默认是以虚拟IP为源

333. 资源以域名发布，以下哪种情况会导致域名资源无法下发[1分]

A设备无法解析该域名

B客户端DNS解析控件安装出错

C内网DNS规则没有配置

D设备上配置了错误的HOSTS规则

334. 以下关于VPN内网域名解析的优先级正确的是[1分]

A内网DNS＞HOSTS＞接口DNS

B接口DNS＞HOSTS＞内网DNS

CHOSTS＞接口DNS＞内网DNS

DHOSTS＞内网DNS＞接口DNS

335. 客户反馈获取到最新的应用识别库，但是无法更新的最新，下列选项中的排错思路错误的是[1分]

A确认规则库序列号有效

B确认设备可以上网

CB选项确认的前提，更换规则库服务器尝试

D设备无法上网，则不能更新应用识别库

336. 计算机病毒的特点不包括下面哪个[1分]

A传染性

B破坏性

C可触发性

D可移植性

相关试卷

相关题库