第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁華為安全實(shí)驗(yàn)題庫及答案解析（含答案及解析）姓名：科室/部門/班級(jí)：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分一、單選題（共20分）

1.在華為網(wǎng)絡(luò)設(shè)備的安全配置中，以下哪項(xiàng)措施可以有效防止拒絕服務(wù)攻擊（DoS）？

（）A.啟用端口安全

（）B.配置ACL（訪問控制列表）限制流量

（）C.設(shè)置SSH登錄超時(shí)時(shí)間

（）D.啟用設(shè)備熱備份

2.華為VRP（虛擬路由協(xié)議）系統(tǒng)中，用于實(shí)現(xiàn)路由信息快速收斂和減少路由抖動(dòng)的關(guān)鍵技術(shù)是？

（）A.路由重分發(fā)

（）B.路由匯總

（）C.洪泛算法

（）D.鏈路狀態(tài)協(xié)議

3.在配置華為交換機(jī)端口安全時(shí)，若設(shè)置為“sticky”模式，以下描述正確的是？

（）A.只允許指定MAC地址的設(shè)備接入

（）B.允許動(dòng)態(tài)學(xué)習(xí)最多64個(gè)MAC地址

（）C.自動(dòng)清除老化MAC地址

（）D.需要手動(dòng)添加所有允許的MAC地址

4.華為云安全解決方案中，用于實(shí)時(shí)檢測和防御網(wǎng)絡(luò)威脅的核心組件是？

（）A.SASE（安全訪問服務(wù)邊緣）

（）B.FTD（防火墻威脅檢測）

（）C.USG（統(tǒng)一安全網(wǎng)關(guān)）

（）D.AC（認(rèn)證網(wǎng)關(guān)）

5.在配置VPN（虛擬專用網(wǎng)絡(luò)）時(shí)，若使用IKEv2協(xié)議，以下哪項(xiàng)參數(shù)是必須配置的？

（）A.預(yù)共享密鑰

（）B.路由協(xié)議

（）C.VPN端口

（）D.負(fù)載均衡策略

6.華為防火墻進(jìn)行安全策略評(píng)估時(shí)，以下哪種匹配順序優(yōu)先級(jí)最高？

（）A.源IP地址→目標(biāo)IP地址→應(yīng)用協(xié)議

（）B.目標(biāo)IP地址→源IP地址→應(yīng)用協(xié)議

（）C.應(yīng)用協(xié)議→源IP地址→目標(biāo)IP地址

（）D.源MAC地址→目標(biāo)MAC地址→應(yīng)用協(xié)議

7.在配置NAC（網(wǎng)絡(luò)接入控制）時(shí)，用于驗(yàn)證用戶身份的方式不包括？

（）A.802.1X

（）B.RADIUS

（）C.MAC地址綁定

（）D.DNS解析

8.華為云上，若需要對(duì)多臺(tái)服務(wù)器進(jìn)行安全加固，以下哪項(xiàng)工具最適合批量執(zhí)行安全配置？

（）A.Ansible

（）B.NetConf

（）C.SNMP

（）D.SSH

9.在配置VPN網(wǎng)關(guān)時(shí)，若使用SSLVPN，以下哪項(xiàng)是客戶端訪問的默認(rèn)端口？

（）A.22

（）B.3389

（）C.443

（）D.80

10.華為路由器進(jìn)行路由協(xié)議交換時(shí)，OSPF協(xié)議使用的路由更新周期是？

（）A.30秒

（）B.60秒

（）C.90秒

（）D.120秒

11.在配置交換機(jī)端口安全時(shí)，若發(fā)生違規(guī)攻擊（如MAC地址超過限制），以下哪種動(dòng)作是默認(rèn)行為？

（）A.端口關(guān)閉

（）B.發(fā)送Trap通知

（）C.丟棄違規(guī)流量

（）D.記錄日志

12.華為云防火墻進(jìn)行入侵防御時(shí)，以下哪種攻擊類型不屬于已知威脅？

（）A.SQL注入

（）B.CC攻擊

（）C.零日漏洞利用

（）D.惡意軟件傳播

13.在配置H3C-Security威脅檢測時(shí)，用于實(shí)時(shí)分析網(wǎng)絡(luò)流量的技術(shù)是？

（）A.模糊檢測

（）B.深度包檢測（DPI）

（）C.行為分析

（）D.簽名檢測

14.華為交換機(jī)配置STP（生成樹協(xié)議）時(shí)，以下哪項(xiàng)參數(shù)用于調(diào)整端口優(yōu)先級(jí)？

（）A.端口速率

（）B.橋接ID（BridgeID）

（）C.端口優(yōu)先級(jí)

（）D.鏈路類型

15.在配置VPN網(wǎng)關(guān)時(shí)，若使用IPsecVPN，以下哪項(xiàng)是用于確保數(shù)據(jù)機(jī)密性的加密算法？

（）A.SHA-256

（）B.AES-256

（）C.MD5

（）D.DES

16.華為防火墻進(jìn)行安全策略評(píng)估時(shí)，若規(guī)則順序錯(cuò)誤，以下哪種情況可能導(dǎo)致策略失效？

（）A.防火墻性能下降

（）B.規(guī)則被覆蓋

（）C.自動(dòng)生成默認(rèn)規(guī)則

（）D.啟動(dòng)安全掃描

17.在配置交換機(jī)端口安全時(shí)，若設(shè)置為“port-securitymaximum1”，以下描述正確的是？

（）A.只允許1個(gè)MAC地址接入

（）B.允許2個(gè)MAC地址接入

（）C.動(dòng)態(tài)學(xué)習(xí)所有MAC地址

（）D.禁用端口安全功能

18.華為云安全解決方案中，用于實(shí)現(xiàn)零信任架構(gòu)的核心原則是？

（）A.最小權(quán)限原則

（）B.集中管理原則

（）C.防火墻隔離原則

（）D.自動(dòng)化響應(yīng)原則

19.在配置VPN網(wǎng)關(guān)時(shí)，若使用IKEv1協(xié)議，以下哪項(xiàng)是必須配置的參數(shù)？

（）A.生命周期

（）B.預(yù)共享密鑰

（）C.路由協(xié)議

（）D.NAT-Traversal

20.華為路由器進(jìn)行BGP（邊界網(wǎng)關(guān)協(xié)議）配置時(shí)，以下哪項(xiàng)命令用于設(shè)置AS號(hào)？

（）A.router-id

（）B.neighbor

（）C.as-number

（）D.network

二、多選題（共15分，多選、錯(cuò)選均不得分）

21.在華為防火墻配置中，以下哪些功能可用于入侵防御？

（）A.惡意軟件檢測

（）B.CC攻擊防御

（）C.SQL注入防御

（）D.零日漏洞利用檢測

22.在配置交換機(jī)端口安全時(shí)，以下哪些參數(shù)是可選的？

（）A.violationaction

（）B.sticky

（）C.maximum

（）D.dynamic

23.華為云安全解決方案中，以下哪些組件屬于云防火墻的功能？

（）A.網(wǎng)絡(luò)流量檢測

（）B.應(yīng)用識(shí)別

（）C.入侵防御

（）D.VPN加密

24.在配置VPN網(wǎng)關(guān)時(shí)，以下哪些參數(shù)是必須配置的？

（）A.預(yù)共享密鑰

（）B.VPN端口

（）C.對(duì)端IP地址

（）D.加密算法

25.華為路由器進(jìn)行OSPF配置時(shí)，以下哪些命令是常用的？

（）A.routerospf

（）B.area

（）C.network

（）D.passive-interface

26.在配置交換機(jī)端口安全時(shí)，以下哪些情況會(huì)導(dǎo)致端口進(jìn)入“err-disabled”狀態(tài)？

（）A.MAC地址沖突

（）B.違規(guī)攻擊

（）C.配置錯(cuò)誤

（）D.超時(shí)未學(xué)習(xí)到MAC地址

27.華為云安全解決方案中，以下哪些組件屬于WAF（Web應(yīng)用防火墻）的功能？

（）A.CC攻擊防御

（）B.SQL注入防御

（）C.跨站腳本攻擊（XSS）防御

（）D.VPN加密

28.在配置VPN網(wǎng)關(guān)時(shí)，以下哪些協(xié)議可用于隧道傳輸？

（）A.IPsec

（）B.SSLVPN

（）C.IKEv2

（）D.OpenVPN

29.華為防火墻進(jìn)行安全策略評(píng)估時(shí)，以下哪些因素會(huì)影響策略優(yōu)先級(jí)？

（）A.規(guī)則順序

（）B.源/目標(biāo)地址

（）C.應(yīng)用協(xié)議

（）D.策略編號(hào)

30.在配置交換機(jī)端口安全時(shí)，以下哪些參數(shù)是可選的？

（）A.port-securityviolation

（）B.port-securitysticky

（）C.port-securitymaximum

（）D.port-securitydynamic

三、判斷題（共10分，每題0.5分）

31.在華為網(wǎng)絡(luò)設(shè)備中，啟用SSH登錄可以有效防止暴力破解攻擊。

（）

32.華為VRP系統(tǒng)中，默認(rèn)情況下路由器之間會(huì)自動(dòng)交換路由信息。

（）

33.在配置交換機(jī)端口安全時(shí)，若設(shè)置為“sticky”模式，可以自動(dòng)學(xué)習(xí)并綁定連接設(shè)備的MAC地址。

（）

34.華為云安全解決方案中，SASE是一種用于實(shí)現(xiàn)零信任架構(gòu)的協(xié)議。

（）

35.在配置VPN網(wǎng)關(guān)時(shí)，若使用IKEv1協(xié)議，必須配置預(yù)共享密鑰。

（）

36.華為防火墻進(jìn)行安全策略評(píng)估時(shí)，默認(rèn)優(yōu)先匹配規(guī)則中定義的源地址。

（）

37.在配置交換機(jī)端口安全時(shí)，若發(fā)生違規(guī)攻擊，默認(rèn)動(dòng)作是丟棄違規(guī)流量。

（）

38.華為路由器進(jìn)行OSPF配置時(shí)，默認(rèn)情況下所有接口都會(huì)參與路由計(jì)算。

（）

39.在配置VPN網(wǎng)關(guān)時(shí)，若使用IPsecVPN，必須配置NAT-Traversal。

（）

40.華為防火墻進(jìn)行入侵防御時(shí)，默認(rèn)情況下會(huì)攔截所有已知威脅。

四、填空題（共10空，每空1分，共10分）

41.在華為網(wǎng)絡(luò)設(shè)備中，用于實(shí)現(xiàn)設(shè)備間安全通信的協(xié)議是______。

42.華為VRP系統(tǒng)中，用于實(shí)現(xiàn)快速路由收斂的關(guān)鍵技術(shù)是______。

43.在配置交換機(jī)端口安全時(shí)，若設(shè)置為“maximum2”，表示最多允許______個(gè)MAC地址接入。

44.華為云安全解決方案中，用于實(shí)現(xiàn)入侵防御的核心組件是______。

45.在配置VPN網(wǎng)關(guān)時(shí)，若使用IKEv2協(xié)議，必須配置______密鑰。

46.華為防火墻進(jìn)行安全策略評(píng)估時(shí)，默認(rèn)優(yōu)先匹配規(guī)則中定義的______地址。

47.在配置交換機(jī)端口安全時(shí)，若發(fā)生違規(guī)攻擊，默認(rèn)動(dòng)作是______端口。

48.華為路由器進(jìn)行OSPF配置時(shí)，用于配置路由器的______命令是“router-id”。

49.在配置VPN網(wǎng)關(guān)時(shí)，若使用IPsecVPN，用于確保數(shù)據(jù)完整性的算法是______。

50.華為云安全解決方案中，實(shí)現(xiàn)零信任架構(gòu)的核心原則是______。

五、簡答題（共20分，每題5分）

51.簡述華為防火墻進(jìn)行安全策略評(píng)估的優(yōu)先級(jí)規(guī)則。

52.結(jié)合實(shí)際場景，說明配置交換機(jī)端口安全的步驟及注意事項(xiàng)。

53.在華為云環(huán)境中，簡述IPsecVPN的配置流程及關(guān)鍵參數(shù)。

54.簡述華為路由器進(jìn)行OSPF配置時(shí)，如何避免路由環(huán)路的發(fā)生。

六、案例分析題（共25分）

55.案例背景：某企業(yè)使用華為防火墻部署安全策略，但發(fā)現(xiàn)部分內(nèi)部用戶無法訪問特定業(yè)務(wù)系統(tǒng)。經(jīng)排查，發(fā)現(xiàn)是安全策略順序錯(cuò)誤導(dǎo)致，部分規(guī)則被覆蓋。

問題：

（1）分析該案例中可能存在的安全策略配置問題。

（2）提出解決該問題的具體措施。

（3）總結(jié)企業(yè)應(yīng)如何優(yōu)化安全策略配置流程以避免類似問題。

參考答案及解析

一、單選題

1.B

解析：ACL可以通過定義規(guī)則限制特定流量，有效防止DoS攻擊。啟用端口安全主要用于防止MAC攻擊，SSH超時(shí)設(shè)置用于安全審計(jì)，熱備份用于冗余。

2.D

解析：OSPF使用鏈路狀態(tài)協(xié)議（LSA）實(shí)現(xiàn)快速收斂，通過維護(hù)鏈路狀態(tài)數(shù)據(jù)庫減少路由抖動(dòng)。路由重分發(fā)和路由匯總是優(yōu)化路由表的技術(shù)，洪泛算法是RIP協(xié)議的機(jī)制。

3.B

解析：sticky模式會(huì)自動(dòng)學(xué)習(xí)并綁定連接設(shè)備的MAC地址，最多支持64個(gè)。手動(dòng)添加、端口關(guān)閉和自動(dòng)清除老化是其他配置模式的功能。

4.B

解析：FTD是華為云防火墻的核心組件，用于實(shí)時(shí)檢測和防御網(wǎng)絡(luò)威脅。SASE是邊緣安全架構(gòu)，USG是統(tǒng)一安全網(wǎng)關(guān)，AC是認(rèn)證網(wǎng)關(guān)。

5.A

解析：IKEv2協(xié)議必須配置預(yù)共享密鑰進(jìn)行身份驗(yàn)證。路由協(xié)議、VPN端口和負(fù)載均衡策略是其他配置參數(shù)。

6.A

解析：華為防火墻默認(rèn)按源IP、目標(biāo)IP、應(yīng)用協(xié)議的順序評(píng)估策略，優(yōu)先匹配最前面的規(guī)則。

7.D

解析：NAC通常通過802.1X、RADIUS和MAC綁定驗(yàn)證用戶身份，DNS解析不涉及身份驗(yàn)證。

8.A

解析：Ansible是云環(huán)境中常用的自動(dòng)化工具，適合批量執(zhí)行安全配置。NetConf是網(wǎng)絡(luò)配置協(xié)議，SNMP是網(wǎng)絡(luò)管理協(xié)議，SSH是遠(yuǎn)程登錄協(xié)議。

9.C

解析：SSLVPN默認(rèn)使用443端口，22是SSH，3389是RDP，80是HTTP。

10.B

解析：OSPF默認(rèn)路由更新周期為30秒，60秒是HELLO報(bào)文發(fā)送周期。

11.A

解析：端口安全違規(guī)時(shí)默認(rèn)動(dòng)作是關(guān)閉端口，發(fā)送Trap通知和丟棄流量是可選配置。

12.C

解析：零日漏洞利用屬于未知威脅，其他選項(xiàng)都是已知攻擊類型。

13.B

解析：DPI技術(shù)用于實(shí)時(shí)分析網(wǎng)絡(luò)流量，模糊檢測、行為分析和簽名檢測是其他檢測技術(shù)。

14.C

解析：端口優(yōu)先級(jí)用于調(diào)整STP路由計(jì)算中的優(yōu)先級(jí)，其他選項(xiàng)是STP的其他參數(shù)。

15.B

解析：AES-256是常用的IPsec加密算法，SHA-256是哈希算法，MD5和DES是較舊的算法。

16.B

解析：規(guī)則順序錯(cuò)誤會(huì)導(dǎo)致某些流量被意外允許或拒絕，規(guī)則被覆蓋是常見問題。

17.A

解析：maximum1表示只允許1個(gè)MAC地址接入，其他選項(xiàng)描述錯(cuò)誤。

18.A

解析：零信任架構(gòu)的核心原則是最小權(quán)限原則，其他選項(xiàng)是相關(guān)原則但非核心。

19.B

解析：IKEv1協(xié)議必須配置預(yù)共享密鑰，其他選項(xiàng)是可選配置。

20.C

解析：as-number命令用于設(shè)置BGPAS號(hào)，router-id、neighbor和network是其他BGP配置命令。

二、多選題

21.ABC

解析：惡意軟件檢測、CC攻擊防御和SQL注入防御都是防火墻的入侵防御功能，零日漏洞利用檢測屬于未知威脅檢測。

22.ABCD

解析：以上選項(xiàng)都是交換機(jī)端口安全的可選參數(shù)。

23.ABC

解析：云防火墻的功能包括網(wǎng)絡(luò)流量檢測、應(yīng)用識(shí)別和入侵防御，VPN加密是IPsecVPN的功能。

24.AC

解析：IPsecVPN必須配置預(yù)共享密鑰和對(duì)端IP地址，VPN端口和加密算法是可選配置。

25.ABC

解析：以上命令都是OSPF配置的常用命令。

26.AB

解析：MAC地址沖突和違規(guī)攻擊會(huì)導(dǎo)致端口進(jìn)入err-disabled狀態(tài)，配置錯(cuò)誤和超時(shí)未學(xué)習(xí)不會(huì)直接導(dǎo)致該狀態(tài)。

27.ABC

解析：WAF的功能包括CC攻擊防御、SQL注入防御和XSS防御，VPN加密是IPsecVPN的功能。

28.ABC

解析：以上協(xié)議都可用于VPN隧道傳輸，OpenVPN是第三方協(xié)議。

29.ABC

解析：規(guī)則順序、源/目標(biāo)地址和應(yīng)用協(xié)議都會(huì)影響策略優(yōu)先級(jí)，策略編號(hào)不影響。

30.ABCD

解析：以上選項(xiàng)都是交換機(jī)端口安全的可選參數(shù)。

三、判斷題

31.√

解析：SSH使用加密傳輸，可以有效防止暴力破解攻擊。

32.√

解析：華為VRP系統(tǒng)中，路由器之間會(huì)自動(dòng)交換路由信息，無需手動(dòng)配置。

33.√

解析：sticky模式會(huì)自動(dòng)學(xué)習(xí)并綁定連接設(shè)備的MAC地址。

34.×

解析：SASE是邊緣安全架構(gòu)，零信任架構(gòu)是安全原則。

35.√

解析：IKEv1協(xié)議必須配置預(yù)共享密鑰進(jìn)行身份驗(yàn)證。

36.√

解析：華為防火墻默認(rèn)按源地址、目標(biāo)地址、應(yīng)用協(xié)議的順序評(píng)估策略。

37.×

解析：默認(rèn)動(dòng)作是丟棄違規(guī)流量，但可以通過配置調(diào)整。

38.√

解析：默認(rèn)情況下所有接口都會(huì)參與OSPF路由計(jì)算，可以通過配置調(diào)整。

39.×

解析：NAT-Traversal是可選配置，若對(duì)端設(shè)備支持NAT則需要配置。

40.×

解析：默認(rèn)情況下會(huì)攔截已知威脅，但可以通過配置調(diào)整。

四、填空題

41.SSH

解析：SSH用于實(shí)現(xiàn)設(shè)備間安全通信。

42.鏈路狀態(tài)協(xié)議

解析：OSPF使用鏈路狀態(tài)協(xié)議實(shí)現(xiàn)快速收斂。

43.2

解析：maximum2表示最多允許2個(gè)MAC地址接入。

44.FTD

解析：FTD是華為云防火墻的核心組件，用于入侵防御。

45.預(yù)共享

解析：IKEv2協(xié)議必須配置預(yù)共享密鑰。

46.源

解析：默認(rèn)優(yōu)先匹配規(guī)則中定義的源地址。

47.關(guān)閉

解析：默認(rèn)動(dòng)作是關(guān)閉端口。

48.ID

解析：用于配置路由器ID的命令是“router-id”。

49.SHA

解析：SHA算法用于確保IPsecVPN數(shù)據(jù)的完整性。

50.最小權(quán)限

解析：最小權(quán)限原則是實(shí)現(xiàn)零信任架構(gòu)的核心原則。

五、簡答題

51.華為防火墻進(jìn)行安全策略評(píng)估的優(yōu)先級(jí)規(guī)則：

①按規(guī)則順序優(yōu)先匹配；

②同等優(yōu)先級(jí)下，先匹配源地址，再匹配目標(biāo)地址，最后匹配應(yīng)用協(xié)議；

③規(guī)則中定義的源/目