渠道初级认证考卷

考试说明：
以下关于AF双向地址转换配置的说法中，错误的是
A.双向地址转换主要用来实现内网用户通过公网地址访问内网服务器的需求。

B.内网有邮件服务器，若配置了对邮件服务器的双向地址转换，则不能在AF上同时开启网关杀毒
C.一条双向地址转换规则中，同时包含了源地址转换和目的地址转换，匹配规则的数据包将会被同时转换源IP地址和目的IP地址。

D.双向地址转换只支持以外网IP的形式访问内网服务器，不支持域名访问。

A B C D
以下功能中哪一个在AF旁路部署模式下不生效
D.病毒防御策略
A B C D
①用升级客户端加载升级包，恢复所有配置到出厂状态②使用U盘恢复密码方式，恢复控制台密码到出厂状态③使用交叉线恢复默认配置的方法，恢复所有配置到出厂状态
A.①②③
B.②
C.①②
D.②③
A B C D
以下说法正确的是：
A B C D
AF设备中关于源IP联动封锁，错误的是：
A. 联动封锁支持IPS/WEB应用防护/DDOS
B. 联动封锁的日志需要在数据中心的应用控制策略中查询
C. 联动封锁针对的是该源IP通过防火墙的任何通信
D. 被联动封锁的主机可访问AF控制台，但是不能访问数据中心
A B C D
下面关于trunk链路的说法中，错误的是
D.一个接口一旦设置为trunk口，则与其相连的接口也必须设置为trunk口
A B C D
AF中，以下哪个功能可实现对“网页木马”“CSRF攻击”及“网站扫描”的控制
B.应用控制
C.病毒防御
A B C D
下列有关AF的描述中，错误的是
B.如果不勾选“启用内置数据中心”
A B C D
哪种接口可以加入到二层区域：
D.镜像口
A B C D
测试AF时，DOS/DDOS防护-外网防护-基于数据包攻击时，以下哪一项不建议开启
A.未知协议类型防护
B. IP数据块分片传输防护
C. Smurf攻击防护
D.超大ICMP数据攻击防护
A B C D
客户购买AF希望做4对网桥那么对于AF设备的要求至少要有几个网口？
A B C D
某客户网络拓扑如下图所示，客户部署了AF设备于网络的出口处，客户对外发布了DMZ 区域的公司网站服务器，将外网IP的80端口映射给服务器的8080端口，在配置WEB应用防护的时候，下列哪项配置是正确的
A.源区域为外网区，目的区域为DMZ区，且必须修改WEB应用的端口为8080
B.源区域为外网区，目的区域为DMZ区，可以不用修改WEB应用的端口
C.源区域为DMZ区，目的区域为外网区，且必须修改WEB应用的端口为8080
D.源区域为DMZ区，目的区域为外网区，可以不用修改WEB应用的端口
A B C D
以下属于AF服务器保护控制功能的是
B.应用隐藏
C.防dos攻击
D.病毒防御策略
A B C D
目前AF的两个防篡改版本的差异不包含哪个？
A B C D
关于安全防护的防护阐述下列哪一个是不正确的？
AIPS规则对于客户端的漏洞和服务端漏洞有共同规则
B.服务器和办公pc都有可能成为僵尸主机
D.实时漏洞分析主要是针对服务器侧的漏洞发现功能
A B C D
某客户部署AF设备于网络的出口处，出口有一条线路直连AF的eth2口，eth2口的有关配置如下图所示，下列说法中正确的是D
C.接口的线路带宽应设置为外网线路的真实带宽，流量管理会调用此处的线路带宽进行流控策略。

D.链路故障检测用于实时的检测接口的链路状态，其检测方法包括DNS检测和ping检测。

A B C D
下列有关AF设备VPN模块下外网接口的说法中，错误的是
A B C D
如图，下列AF部署环境，哪种配置是正确的：
A B C D
某用户反馈在AF设备启用DOS内网防护时，就会出现断网，日志记录的DOS告警源MAC 地址都是三层交换机的MAC地址，DOS/DDOS配置界面如下，下面选项中，哪一种方法可以有效地解决该问题
A.将三层交换机下所有的内网地址都添加到1中
B.将2中的部署环境选择为：内部网络到本机通过三层交换设备相连
C.将三层交换机的地址加入到3中。

D.修改4中的参数。

A B C D
以下关于AF的IPS功能的描述，正确的是
B.若新建IPS规则处勾选了“检测攻击后操作”动作为拒绝，但是对象定义中的该规则又是允许的，此时检测到漏洞后是拒绝的。

C.客户端漏洞与服务器漏洞是一样的。

D.若发现某条IPS误判导致客户的正常应用被阻断，则可以在数据中心中查找到漏洞ID，然后在对象定义中单独放行或者禁用该漏洞即可。

A B C D
某客户网络环境和AF设备网口配置情况如下，客户想对内网用户访问eth1口下方的服务器做应用控制策略，为了实现客户需求，下列配置步骤正确的是（1）设置一个二层区域“外网”，包含eth2接口（2）设置一个二层区域“DMZ”，包含eth1接口（3）设置一个三层区域“vlan2”，包含vlan2接口（4）设置一个三层区域“内网”，包含eth3接口（5）对源区域为“内网”，目标区域为“外网”的数据进行应用控制。

（6）对源区域为“内网”，目标区域为“vlan2”的数据进行应用控制（7）对源区域为“内网”，目标区域为“DMZ”的数据进行应用控制
C. 1 2 4 5 7
D. 1 2 3 4 5 7
A B C D
在一台交换机上属于不同VLAN的access口下的电脑，不能使用以下哪些方式进行相互通信
A.使用一台独立路由器的两个接口连接两个VLAN，并进行合理配置
B.在交换机上做一个涵盖这两个VLAN的trunk口，并使用一台路由器的一个接口连接这个trunk口，并进行单臂路由配置
C.若使用的是三层交换机，则为这两个VLAN设置VLAN接口，并开启路由转发和其他必需配置
D.这两台电脑的IP配置于同一IP子网即可直接通信
A B C D
关于NGAF日志配置，下列说法正确的是：
A B C D
以下哪种配置引起的断网问题开直通有效
A.勾选外网防DOS模块IP分片包检测
B.在trunk链路上使用一对虚拟网线口做网桥，未放通应用
C.在trunk链路上使用trunk口做网桥，未配置对应的vlan接口
D.在trunk链路上使用trunk口做网桥，放通vlan范围未包含实际环境网段
A B C D
AF设备网关模式部署在网络出口，需要代理内网用户上网，请问需要在AF设备上添加一条________策略。

A.目的地址转换
B.源地址转换
A B C D
下列关于AF的流量管理的说法正确的是
A B C D
某客户网络拓扑如下图所示，AF设备部署在网络出口处，客户希望对内网用户上网的安全进行防护。

以下哪项配置组合能够实现客户需求
A.源区域：外网区目的区域：内网区IPS选项：保护服务器
B.源区域：外网区目的区域：内网区IPS选项：保护客户端
C.源区域：内网区目的区域：外网区IPS选项：保护服务器
D.源区域：内网区目的区域：外网区IPS选项：保护客户端
A B C D
下列有关AF能够实现的功能中，不包括以下哪项
A.隐藏FTP服务器的版本信息
B.防止Web服务器遭遇XSS攻击
C.替换FTP服务器的出错页面
D.防止Web服务器遭受口令暴力破解
A B C D
AF设备忘记密码下列恢复密码操作正确的是：
A B C D
以下关于AF设备接口的说法，正确的是
A.透明接口的WAN属性勾与不勾对功能实现没有任何影响。

B.要将AF透明部署到网络中，则要求AF两个接口设置成透明口，并且设置成不同的VLAN。

C.虚拟网线接口不需要成对使用。

D.虚拟网线的作用是通过其中一个虚拟网线接口进到设备的数据，直接从另外一个虚拟网线接口转发
A B C D
下列关于双向地址转换和DNS Mapping的说法中，正确的是
A. DNS-Mapping与双向地址转换规则一样，都可实现内网用户通过公网地址访问内网服务器的需求。

B.当公网只有一个地址，而内网有多台服务器同时需要提供公网地址访问的时候，用DNS-Mapping
A B C D
下列关于AF设备策略路由与静态路由的对比描述，正确的是
A.静态明细路由优先于策略路由，策略路由优先于缺省路由
B.有多条外网线路情况下，不建策略路由，通过静态路由也可能实现智能数据分流。

C.多线路ADSL拨号情况下，必须手动添加静态路由才能上网。

D.单线路ADSL拨号情况下，必须手动添加策略路由才能上网。

A B C D
对于AF现在的外置数据中心的使用和注意事项描述不正确的是：
A B C D
目前对产品线产品AC和AF的功能有相似之处，请问下列哪个不是AC和AF都具备的功能
A B C D
AF需要部署在TRUNK的链路中，同时希望用桥地址管理设备，那么下列哪项描述能够达到客户要求？
A.配置虚拟网线模式即可
B.配置透明模式接口为trunk属性，按照客户要求配置vlan接口地址管理设备
C.配置透明模式接口为access属性，按照客户要求配置vlan接口地址管理设备
D.下联口配置透明接口设置trunk属性，上联口设置成路由口即可
A B C D
以下功能描述中，AF设备可以实现的是
A.审计WebBBS发帖的内容
B.过滤HTTPS网页
A B C D
AF设备做4口双网桥流控，需要AF设备有几个网口，几个线路授权
A B C D
下列有关AF应用控制策略的说法中，错误的是
C.基于应用的控制策略需要先放通一定数量的数据包，识别出应用类型之后，才能够进行应用控制。

D.基于服务的应用控制策略是通过匹配数据包的五元组来进行应用控制的，不需要事先放通一定数量的数据包来识别应用。

A B C D
下列有关AF的Web应用防护功能的说法，错误的是
A.一般SQL注入的攻击是针对ASP、JSP、PHP等动态页面的。

A B C D
目前黑客常见攻击网站的方式简述如下：（1）使用明小子Domain工具对网站进行漏洞扫描，扫描到有漏洞后，根据网站数据库类型使用明小子工具扫描数据库内容，获得网站管理员账号密码；（2）对网站目录结构进行扫描，获取了整个网站的目录结构后，找到了后台管理页面，然后使用获得的管理员登陆并控制网站；（3）上传木马或后台程序到网页目录中，等待后门程序被网站管理员目录浏览动作出发运行，获取服务器操作系统的控制权限. 对于这三步典型动作，AF分别可以开启什么功能进行防御
A.（1）SQL注入防护，（2）XSS攻击防护，（3）CSRF攻击防护
B.（1）OS命令注入防护，（2）URL防护，（3）CSRF攻击防护
C.（1）SQL注入防护，（2）URL防护，（3）文件上传过滤
D.（1）OS命令注入防护，（2）XSS攻击防护，（3）文件上传过滤
A B C D
以下关于DOS与DDOS攻击的说法，错误的是
A B C D
下列有关AF接口与区域的说法中，错误的是
A B C D
下列有关AF管理口的说法中，正确的是
A B C D
以下关于DOS/DDOS外网防护策略的说法中，错误的是
C.当AF设备开启直通时，DOS/DDOS外网防护策略将无效，所有数据包都会直接放行。

D.在配置DOS/DDOS攻击防护时，目标IP建议只填写服务器所在的IP组，不要填写所有IP。

A B C D
某客户希望通过我们设备实现ssh和rdp的暴力破解，请问此功能在哪个模块中配置？
A B C D
下列有关AF透明口与虚拟网线接口的说法中，错误的是
A.透明口与虚拟网线接口都属于二层接口，不具备基本的路由转发功能。

B.透明口在进行数据转发时是根据其MAC地址表进行转发的。

C.虚拟网线在进行数据转发时直接从虚拟网线配对的接口进行数据转发，不需要检查MAC 表。

D.如果要设置两对虚拟网线，那么必须开通双线路授权；而设置两对透明口，就不需要开通双线路授权。

A B C D
下列关于AF设备文件过滤的说法，正确的是
A B C D
客户端登录FTP服务器时，服务器通常会返回FTP服务器的版本信息，攻击者可以利用版本漏洞攻击FTP服务器。

请问以下哪项功能可有效地预防这种攻击
A.口令防护
B.应用隐藏
C.权限控制
D.文件过滤
A B C D
下列有关AF策略路由的说法中，正确的是
不限C.当多线路时，AF必须配置策略路由，否则数据只会走默认路由出去。

D.源地址策略路由与多线路负载路由实现的功能是一样的，只是配置方法有区别。

A B C D
某用户网络环境如下图，已定义ETH2为“外网区域”，ETH1为“内网区域”“外网接口地址”“内网接口地址”
A.配置一条目的地址转换规则，源区域选择“外网区域”，目的IP组选择“外网接口地址”。

B.配置一条目的地址转换规则，源区域选择“内网区域”，目的IP组选择“外网接口地址”。

C.配置一条目的地址转换规则，源区域选择“外网区域”，目的IP组选择“内网接口地址”。

D.配置一条目的地址转换规则，源区域选择“内网区域”，目的IP设置指定为WEB服务器IP地址。

A B C D。