Question #1
客户是多分支型公司,总部部署了深信服认证中心、 BBC ,总部有一台外置 AD 域场景:分支各有一台 AC ,下列选项中描述错误是
- A . 分支都有 AC 的情况下,可以将分支 AC 认证托管到认证中心,实现统一认证
- B . 想实现认证托管统一下发,需 BBC-AC 模板配置认证托管,下发配置到分支 AC ,完成 AC 认证托管到认证中心
- C . BBC 主要作用是集中管控各个分支 AC 设备,同时集中下发策略到各个分支 AC
- D . BBC 加入认证中心认证托管,分支 AC 加入 BBC 集中管控后,分支 AC 可以获取到外置 AD 域组织结构,进行上网策略关联
Correct Answer: D
Question #2
关于 SSL 的钉钉认证,下面说法错误的是
- A . 当用户同时属于角色映射的角色和组映射关联的角色时,两者角色都生效
- B . 使用钉钉认证,必须导入受信的 SSL 证书,且放通与钉钉通讯的域名及端口 https://oapi.dingtalk.com/
- C . 如果需要配置钉钉微应用直接跳转到内网某个网页,则填写格式为: https://VPN 地址 /por/dingtalkminiconnect.html#redirecturl= 内网地址
- D . 设置完组映射后,当用户属于多个钉钉部时,组映射关联的资源将同时生效,策略将以较小的钉钉部 ID 对应的映射为准
Correct Answer: C
Question #3
深信服上网行为管理支持 OAuth 认证,下列选项中说法错误的是
- A . 获取 OA 组织结构需要在深信服 AC 本地配置一个起始组
- B . 深信服上网行为管理 OAuth 认证支持获取到企业 OA ,例如企业微信的组织结构
- C . AC 会定时( 1h )对开启自动获取用户所属组功能的 OA 服务器进行组织结构同步
- D . 不在企业微信组织结构的用户,认证时,点击申请加入组织结构,管理员审批后,可以完成认证
Correct Answer: D
Question #4
AC6.1 设备上下载下来的 logon 脚本,默认使用的什么端口
- A . TCP1775
- B . UDP1775
- C . UDP1773
- D . TCP1773
Correct Answer: C
Question #5
以下关于静态路由的优先级说法正确的是 ?
- A . 直连路由 > 动态路由 > 静态路由
- B . 静态路由 > 动态路由 > 默认负载策略
- C . 优先负载策略 > 静态路由 > 默认路由
- D . 直连路由 > 默认路由 > 默认负载策略
Correct Answer: B
Question #6
深信服上网行为管理支持 OAuth 认证,内置的 OAuth 认证,不支付列通项中基体的认证方式
- A . Facebook
- B . Twitter
- C . Line
- D . WhatsApp
Correct Answer: D
Question #7
客户发现 AF 的业务资产管理功能标记某业务高风险,以下哪种情况是可能的原因 ?
- A . 资产离线超过 30 天但小于 60 天
- B . 业务对应的服务端口为 any
- C . 业务无访问流量,且主动扫描发现已经离线
- D . 资产 RDP 端口开放并且在使用
Correct Answer: B
Question #8
关于金融行业平台 STP 对接人行服务器,说法错误的是
- A . 支持对数据进行脱敏上报,并且可自定义配置要脱敏的字段。
- B . 通过对接 kafka 或者 https apl 的上报方式将下级机的数据通过自动上报策略定时上报到上级机构。
- C . 第三方日志可通过 SIEM 模块在 SIP 经过关联分析,生成安全事件后,再上传到人行 kafka 服务器。
- D . 支持到人行总行的 kafka 服务器获取威胁情报,并加入到本地威胁情报库中。
Correct Answer: C
Question #9
某企业购买 AF ,需要对业务进行存在弱口令和口令爆破行为进行安全检测,以下说法错误的是
- A . 可以针对 WEB 高频,中低频、分布式的爆破行为防护
- B . 支持针对 WEB 站点页面登录入口进行自定义的口令防护规则
- C . 在开启口令防护功能时,建议害户将企业名称信息相关的弱口令加入弱口令规则检测中,从而提高发现存在的弱口令
- D . 当检测出弱口令后, AF 可以针对该规则进行联动封锁
Correct Answer: D
Question #10
下面关于多次穿越功能说法错误是哪个 ?
- A . 当二次穿越数据同时存在二层和三层的情况时,二次穿越数据流建议优先选择配置在三层部署上
- B . 对于次穿越的流量,必须做双向二次穿越的配置
- C . 二次穿越用于流量二次穿越 AF 时,对其中一次经过 AF 的流量做穿越处理,不再匹配 AF 的任何策略
- D . 中间设备经过 NAT 的场景,不支持配置二次穿越部署
Correct Answer: A
Question #11
某客户业务中,遭受大量超长 URL 进行访问,导致服务器无法处理过程该请求,严重影响业务的可持续性,部署 AF 后如何进行防护 ?
- A . 限制该 URL 访问,不会影响业务
- B . 自定义 WEB 应用防护规则,对访问该 URL 进行安全防护
- C . 自定义漏洞攻击防护规则,对访问该 URL 进行安全防护
- D . 开启 URL 溢出检测,对 URL 最大长度进行限制
Correct Answer: D
Question #12
客户网络进行安全改造,想购买我们 AF 替换他们的传统防火墙,客户想了解我们 AF 杀毒功能可以针对通过哪些途径传播的病毒文件进行查杀,下面说法不正确的是 ?
- A . 可以针对通过 SMTP 、 POP3 和 IAMP 邮件协议传输的病毒文件进行查杀
- B . 可以针 H 对 HTPHTTPS 协议传输的病毒文件进行查杀,针对 HPS 协议需要开启解密功能
- C . 可以针对通过 SMB 网络共享协议传输的病毒文件进行查杀
- D . 可以针对通过 FTP 和 SFTP 协议传输的病毒文件进行直杀
Correct Answer: D
Question #13
关于恶意域名重定向说法不正确的是
- A . AF7.1 及以上版本开始支持
- B . 该功能主要针对场景是内网存在 DNS 代理的环境, AF 无法直接看到 DNS 请求的源 IP
- C . 目前 SIP 也支持恶意域名重定向
- D . 恶意域名重定向功能产生的日志在内置数据中心进行查询
Correct Answer: C
Question #14
AF 部署在服务器区域,为了防护业务的安全性,开启了 WEB 应用防护功能,以下针对 WEB 应用防护的口令防护,说法错误的是 ?
- A . WEB 口令防护可以针对 HTTPS 站点进行检测,前提需要导入站点的证书(公私钥)才能够解密
- B . WEB 登录弱口令检测可以根据用户场景自定义弱口令
- C . 当客户业务中存在 WEB 登录弱口令, AF 会进行拦截
- D . 内置 TOP 1000 弱口令字典
Correct Answer: C
Question #15
在 HW 场景中,客户在使用 AF 主动诱捕功能时,下面说法正确的是 ?
- A . 主动诱捕功能对部署模式没有限制,都可以正常使用
- B . 为达到更好的伪装效果,伪装服务可以配置成真实服务器的 IP 和端口
- C . 云端和本地伪装服务都可以记录社交指纹,进行溯源
- D . 为达到更好的伪装效果,需要开通云蜜罐功能,并使用云端的伪装服务
Correct Answer: D
Question #16
某企业站点通过 referer 的形式访问该站点,开启 CC 攻击后,导致较多正常用户无法访问,针对该问题如何进行解决 ?
- A . 由于该站点通过 referer 的形式访问,所以不能开启 referer 防护 CC 攻击,而是选择特定 URL 或者源 IP 防护 CC 攻击
- B . 自定义 CC 防护规则,调大 referer 字段检测阀值
- C . 调大源 IP 防护 CC 攻击的触发阀值和检测时间
- D . 调大 referer 防护 CC 攻击的触发阀值和检测时间
Correct Answer: B
Question #17
客户在使用 URL 过滤过程中,想了解关于 AF 在 HTTP 和 HTTPS 识别和过滤的实现方式,下面说法正确的是 ?
- A . HTTP 网站和 HTTPS 网站的过滤都是在三次握手过程中, AF 模拟服务器对客户端发送 RST 包来进行拒绝的
- B . HTTP 网站识别是通过获取在 get 请求数据包中的 host 字段, HTTPS 网站识别是通过获取 Client hello 报文中的 Server_Name 字段
- C . HTTP 网站和 HTTPS 网站被 AF 拒绝后都会重定向到 AF 的拒绝页面
- D . HTTP 网站和 HTTPS 网站的文件下载都可以直接进行过滤
Correct Answer: B
Question #18
用户希望通过 AF 看到内网可视化的业务拓扑圈,看清业务访问逻辑,需要怎么操作 ?
- A . 开启流量审计日志功能
- B . 开启流量管理功能
- C . 开启业务资产管理功能
- D . 开启应用控制策略的日志功能
Correct Answer: C
Question #19
关于 AF 的应用隐藏功能,以下说法正确的是 ?
- A . FTP 和 HTTP 应用隐藏功能再策略模版里默认关闭,需要手动开启
- B . HTTP 头部字段隐藏默认关闭,需要单独手动开启
- C . 4xx/5xx 页面被替换后,访问页面将不会返问 “Sorry , Page Not Found
- D . 应用隐藏功能可以记录页面替换和字段隐藏
Correct Answer: B
Question #20
选项中,认证方式和认证类型对应关系错误的是
- A . 第二方平台通过 radius 协议接口将认证信息发送给深信服 AC 属于单点登求
- B . 深信服 AC 的企业微信认证属于 OAuth 认证
- C . 短信认证属于密码认证
- D . 结合 Microsoft Authenticator 完成认证,属于密码认证
Correct Answer: D
Question #21
通过对称密码算法进行安全消息传输的前提条件是
- A . 使用非公开的加密算法
- B . 安全地传输对称密钥
- C . 使用非对称加密的私钥加密对称秘钥
- D . 使用安全的数据传输信道
Correct Answer: B
Question #22
设备默认的路由优先级排列为
- A . VPN 路由 > 策略路由 > 默认路由 > 静态路由
- B . VPN 路由 > 策略路由 > 静态路由 > 默认路由
- C . VPN 路由 > 静态路由 > 策略路由 > 默认路由
- D . 策略路由 > 静态路由 >VPN 路由 > 默认路由
Correct Answer: C
Question #23
上网策的适用对象中的 “ 源 IP" 勾选了 IP 组 192.168.1.1-192.168.1.254 。同时给勾选了本地用户 zhangsan ,下列说法错误的是
- A . 用户 lisi 使用 192.168.1.111 能匹配上这个策略
- B . 用户 zhangsan 使用 192.168.1.111 能的够多四配上策略
- C . “ 本地用户 ” 和 “ 源 IP" 需要同时匹配上才能成功匹配策略
- D . 用户 zhangsan 使用 192 168.2.100 上网能够匹配上这个策略
Correct Answer: C
Question #24
以下对于最新版本 XDR (国产化)与 SIP 联动说法错误的是
- A . 能从 SIP 平台下发联动封锁
- B . 能实现 XDR 安全日志上报
- C . 能实现 XDR 资产上报至 SIP 平台
- D . 能从 SIP 平台下发病毒查杀
Correct Answer: A
Question #25
下列关于 EDR 授权,说法正确的是
- A . 授权过期后,新的终端可以接入管理平台 MGR
- B . 授权过期后,威胁文件的 “ 威胁分析 ” 功能无法使用
- C . 授权过期后,无法使用病毒查杀功能
- D . 授权过期后,可以升级版本,但无法升级病毒库
Correct Answer: B
Question #26
下列关于系统漏洞检测与修复功能,说法正确的是
- A . 系统漏洞检测与修复功能可以检测 Linux 系统所有漏洞
- B . 系统漏洞检测与修复功能只适用 Windows 系统,不适用其它系统
- C . 系统漏洞检测与修复功能可以检测客户业务系统漏洞
- D . 系统漏洞检测与修复功能可以检测 Android 系统漏洞
Correct Answer: B
Question #27
AF 联动 EDR 僵尸网络进程举证不成功,下面说法错误的是:
- A . 客户 EDR 版本是 3.2.32 , PC 与 MGR 的 54120 端口不通导致 EDR 无法下发 PC 查杀
- B . AF 与 EDR 的管理平台的 443 端通讯异常,导致联动失败
- C . AF 已启用僵尸网络检测,并且动作为拒绝和记录安全日志, AF 与 EDR 数据通讯无异常,建议排查 EDR
- D . 建议在 AF 报日志后等待半小时后观察举证情况。因为 AF 检测到僵尸网络行为,不是实时向 EDR 发起举证的,每隔对间才发起举证。
Correct Answer: C
Question #28
EDR 有关 PC 端的授权,下列哪项组合是不正确的
- A . 智防 + 智控
- B . 智防 + 智响应
- C . 智防
- D . 智控 + 智响应
Correct Answer: D
Question #29
下列关于暴力破解检测说法错误的是
- A . 支持配置暴力破解白名单配置,可以将误判的攻击源加入白名单
- B . 暴力破解检测支持界面配置快速爆破阈值
- C . 暴力破解检测支持 SSH 、 RDP 、 SMB 协议
- D . RDP 、 SSH 、 SMB 暴力破解策略无法独立配置,只能统一配置
Correct Answer: D
Question #30
截至 3.2.36 版本,以下选项中对于微隔离说法错误的是
- A . 开启 “ 流量上报 ” ,可以查看业务系统流量访问情况,但是只包括已放通流量
- B . 微隔使用 Windows 防火墙 WFP 和 linux 防火墙 iptables 进行访流量安多和上的
- C . 微隔离是一种集中化的流量识别和管理技术
- D . 完成微隔离的配置需要以下四个步骤: 1 、业务系统栋理 2 、定义对象 3 、配置微福高策路 4 、效果验证
Correct Answer: A
Question #31
EDR 和 SIP 联动,不能实现下列哪个功能
- A . SIP 发现威胁终端,联动 EDR- 键隔离封锁威胁终端
- B . SIP 联动 EDR ,为内网终端推广部署 Agent 客户端
- C . EDR 安全日志上报到 SIP ,在 SIP 集中分析
- D . SIP 发现威胁流量,联动 EDR- 键分析处置威胁文件
Correct Answer: B
Question #32
Question #33
以下哪个安全策略对 Linux 系统服务器生效
- A . 文件实时监控
- B . webshell 检测
- C . 系统漏洞修补
- D . 勒索病毒防护
Correct Answer: B
Question #34
如何才能释放 EDR 授权
- A . 从管理平台卸载客户端 Agent 软件后,再移除此客户端
- B . 从管理平台停止客户端 Agent 软件后,再卸载此客户端
- C . 从管理平台停止客户端 Agent 软件
- D . 从管理平台卸载客户端 Agent 软件
Correct Answer: A
Question #35
以下哪个选项是 “ 快速查杀 ” 目录(不确定答案,考试选 A 错误)
- A . /Windows/system32/driver 本级目录和其子目录
- B . /Program Files/Windows NT 本级目录
- C . Windows/system 本级目录和子目录
- D . Windows 本级目录和其子目录
Correct Answer: D
Question #36
隔离网场景(即 EDR 管理端可以上网,但终端无法上网),下列关于 Windows 系统漏洞修复说法错误的是 ?
- A . 可以使用漏洞补丁高线下载工具下载系统漏洞补丁并导入管理平台,终端从管理平台下载漏洞补丁进行修复
- B . 可以启用 “ 当终端无法从内置服务器下载补丁包时,允许管理平台主动下载补丁包文件 ” ,由管理平台代理下载漏洞补丁进行修复
- C . 可以在内网搭建系统漏洞补丁服务器,设置终端从内网系统漏洞补丁服务器下载漏洞补丁进行修复
- D . 可以通过在 EDR 管理端设置终端从微软漏洞补丁服务器下载系统漏洞补丁进行修复
Correct Answer: D
Question #37
以下关于 EDR 病毒库更新正确的是
- A . Agent 客户端只能从 EDR 管理端更新病毒库规则库
- B . EDR 管理端不需要配置 DNS 就可以实现自动更新病毒规则库
- C . EDR 管理端可以在指定时间内自动更新病毒规则库
- D . EDR 管理端可以通过离线导入病毒库更新
Correct Answer: D
Question #38
某用户办公区出现了勒索病毒,针对勒索传播使用的端口以下说法正确的是 ?
- A . 135 、 137 、 138 、 139 、 445 、 3389
- B . 135 、 136 、 138 、 139 、 445 、 3389
- C . 135 、 136 、 137 、 139 、 445 、 3389
- D . 136 、 137 、 138 、 139 、 445 、 3389
Correct Answer: C
Question #39
下面关于释放 EDR 授权,说法不正确的是
- A . 对于离线的终端,从 MGR 管理端移除离线的终端可以释放授权
- B . 从 MGR 管理端停止 Agent 不可以释放授权
- C . 终端离线时是占用授权的
- D . 从客户端卸载 agent 软件时可以释放授权
Correct Answer: D
Question #40
下列哪个端口是紧急情况下 EDR 管理平台和客户端通信端口,即紧急情况下用于下发 Agent 重启、 Agent 卸载和 Agent 停止等指令
- A . 443
- B . 54120
- C . 8083
- D . 8088
Correct Answer: B
Question #41
授权过期后,下列说法正确的
- A . 无法使用微隔离功能
- B . 无法更新病毒库
- C . 无法进行病毒查杀
- D . 无法使用漏洞检测与修复功能
Correct Answer: B
Question #42
针对恶意域名事件, sip 联动 EDR 进程取证不成功,下面分析正确的是:
- A . 检查 EDR 是否启用了域名审计功能,默认是开启的
- B . SIP 是否有将安装客户端的终端同步到资产
- C . 判断下访问恶意域名是否只有 DNS 解析流量,没有后续访问恶意域名流量,如果只有 DNS 解折流量是取证不成功的。
- D . 以上说法都正确
Correct Answer: D
Question #43
客户内网有 8000 个终端需要安装 Agent ,终端全是 Windows 系统,且已加入域进行使管理,客户希望能够批量安装 Agent ,请问你给客户推荐什么方案
- A . 与 AC 联动部署
- B . EDR 客户端 Agent 部署建议使用网页推广方案部署
- C . EDR 客户端 Agent 部署建议使用域控推送安装部署
- D . 建议部署 2 个个 EDR 管理中心,每个管理中心建议管理不不超过 4000 个终端
Correct Answer: C
Question #44
终端数量很多的情况下,为了避免大量终端并发升级导致网络拥塞,推荐如何处理
- A . 在 MGR 管理端控制按终端操作系统类型进行升级
- B . 在 MGR 管理端设置并发更新的终端数量
- C . 无法满足此需求
- D . 在 MGR 管理端控制按终端操作系统版本进行升级
Correct Answer: B
Question #45
使用 EDR 进行病毒查杀,结果将客户的业务文件误判断为威胁文件,请问如何处理
- A . 将误判的文件加入 EDR 信任名单处理
- B . 将误判的文件 “ 隔离 ” 处理
- C . 将误判的文件 “ 清除 ” 处理
- D . 将误判的文件 “ 忽略 ” 处理
Correct Answer: A
Question #46
以下选项中,那种操作系统 XDR 中心管理端不支持安装
- A . 中标麒麟 V7
- B . Centos7.4
- C . 统信 UOS v20
- D . 统信 UOS v10
Correct Answer: B
Question #47
安全加固功能,下列关于服务器系统可信进程防护说法错误的是
- A . 只有可信进程能够在服务器系统运行,不可信进程无法在服务器系统运行
- B . 可信进程只能手动添加获得,无法自动学习获得
- C . 可信进程添加方式可以是按模板导入
- D . 可信进程添加方式可以是上传进程文件
Correct Answer: B
Question #48
EDR 客户端 Agent 与下列哪个安全软件不能兼容安装
- A . 金山毒霸
- B . QQ 管家
- C . 奇安信天擎
- D . 百度杀毒
Correct Answer: D
Question #49
以下选项中,那种操作系统 XDR (非专用机)客户端不支持安装
- A . 银河麒麟 V4
- B . 中科方德
- C . 统信 UOSV20
- D . 银河麒麟 V10
Correct Answer: B
Question #50
Question #51
Question #52
若发现病毒,在不影响客户业务的情况下,请问以下哪项是正确的处理步骤
- A . 1 、发现病毒进程 2 、清除病毒进程 5 、清除恶意的定时计划任务或启动项 6 、清除恶意的定时计划任务文件或启动项文件
- B . 1 、发现病毒进程 2 、清除病毒进程 3 、定位病毒进程文件 4 、删除病毒文件
- C . 1 、发现病毒进程 2 、清除病毒进程 3 、定位病毒进程文件 4 、删除病毒文件 5 、清除恶意的定时计划任务或启动项 6 、清除恶意的定时计划任务文件或启动项文件
- D . 1 、设备断网 2 、发现病毒进程 3 、清除病毒进程 4 、定位病毒进程文件 5 、删除病毒文件 6 、清除恶意的定时计划任务或启动项 7 、清除恶意的定时计划任务文件或启动项文件 8 、设备重启
Correct Answer: C
Question #53
在使用第三方威胁情况也确认不的情况时,可以通过人工分析的方法分析主机是否存在异常行为,以下思路扫描错误的是
- A . 有多台主机访问了一些相同的且与业务无关的域名
- B . 查看描述后面拼接的域名是否很多个,且都是看起来随机的、所有域名有相似性、疑似工具生成
- C . 安全事件查看的访问的次数较多,且查看安全日志(辅助查询)可以看出访问在时间上有一定的规律
- D . 查看到的多个无规则域名,都可以在站长之家查到注册信息
Correct Answer: D
Question #54
客户觉得自己的网络很安全了,但 SIP 上还是检查出了较多的互联网 WEB 攻击,客户认为 SIP 不可信,需要进行分析,以下选项中不合理的是 ?
- A . 出口有深信服防火墙,并将日志接入到了 SIP ,显示的攻击都已经是被拦截的可看查看具体日志的动
- B . SIP 没有升级到最新版本,存在较多误判
- C . 出口的安全设备规很多攻击防护不了
- D . 查看探针是否进择为高级模式
Correct Answer: A
Question #55
客户在 SIP 上检测到很多暴力破解的行为,但无法确认是否存在,下一步最好的排查方法是( )
- A . 查看 SIP 上的安全事件
- B . 抓源端口为 445 的包
- C . 到主机上查看安全日志,查看登录失败日志
- D . 到主机上查看系统日志,查看登录失败日志
Correct Answer: C
Question #56
SIP 检测到终端存在挖矿病毒,但是终端的 cpu/ 内存占用率都很低的可能原因是
- A . 终端无法上网,挖矿病毒无法连接矿池,执行挖矿病毒失败
- B . 终端是一台虚拟机
- C . 终端通过内网 DNS 代理服务器请求域名
- D . 终端加入了域控
Correct Answer: A
Question #57
不可以通过哪些方式查看到网站被挂的黑链
- A . 通过 SIP 上的黑链安全事件查看网站被挂黑链情况
- B . 通过搜索引擎 site 功能搜索黑链关键字查看网站被挂黑链情况
- C . 通过查看网站源码查看网站被挂黑链情况
- D . 通过云盾查看网站被挂黑链情况
Correct Answer: D
Question #58
请问对于通报预警功能说法正确的是 ?
- A . 无需填写分支责任人以及邮箱也可以下发通报
- B . 分支管理员可以选择认领或者驳回下发的通报事件
- C . 通报预警已经归档的事件支持重新下发
- D . 分支管理员需要登录总部平台进行工单的闭环
Correct Answer: B
Question #59
请问在 SIP 生成僵尸网络安全事件, EDR 没有查杀出病毒时,以下做法不正确的是 ?
- A . 直接对主机断网处理
- B . 主机上使用 SIP 闭环溯源工具搜索报出的域名
- C . 确认确认告警主机业务及用途,是否是 dns 服务器或者代理服务器
- D . 在微步在线 VirusTota 检测该域名
Correct Answer: A
Question #60
客户一台主机在 SIP 上显示一直在连接矿池 IP ,但是微步上查不到该 IP 地址为矿池,首先你应该怎样分析
- A . 和总部反馈该事件为误判,修改特征库
- B . 直接使用 EDR 到客户服务器进行查杀
- C . 通过微步对 IP 地址进行域名反查,再查询反查得到的域名
- D . 对服务器进行进程分析
Correct Answer: C
Question #61
Question #62
Question #63
使用以下哪个工具可以查看进程的内存空间
- A . D 盾
- B . 火绒剑
- C . everything
- D . process hacker
Correct Answer: D
Question #64
河马查杀工具安装的时候,应该注意以下哪些点
- A . 需要将软件放置到系统根目录安装及运行
- B . 不要将本软件放置到 web 目录下及运行
- C . 需将软件放置到 web 目录下及运行
- D . 无注意事项
Correct Answer: B
Question #65
客户环境存在 DNS 代理服务器,无法直接通过镜像流量的方式识别到真实的失陷主机,针对此功能说法正确的是
- A . DNS 服务器安装 nxlog 后,只需要配置 SIP 的 IP 地址,不需要做他额外配置
- B . 此功能对 DNS 服务器操作系统有要求,仅支持 Windows server2008 、 Windows server 2012 做 DNS 服务器的场景
- C . SIP3.0.53 针对此场景进行了专项优化,因此不依赖于 SIME 功能模块,在 SIP 的资产中心上配置需要接入的 DNS 主机类型为 DNS 服务器即可
- D . 需要在 DNS 服务器上安装第三方工具 nxlog ,与 DNS 服务器的操作系统类型无关
Correct Answer: B
Question #66
客户内网部署了 DNS 服务器,当前 DNS 服务器总出现在失陷主机列表里面 . 而且识别不到真实失陷主机,关于该问题一下说法错误的是
- A . Windows 服务器上需要开启 DNS 日志审计,并记录到文件
- B . SIP 需要开启 STEM 模块功能
- C . SIP3.0.53 及以上版本支持采集所有 Windows 服务器的 DNS 解析日志, SIP 可以通过收集 DNS 解析日志来获取到真实失陷主机
- D . 目前 SIP 收集 DNS 日志需要在 Windows 服务器上安装 nxlog 插件
Correct Answer: C
Question #67
金融客户希望在向人行上报数据时,希望可以隐藏自己真实服务器的 IP ,目前以下方法暂不能实现的是:
- A . 通过 SIP 级联实现。先将数据收集到一台 SIP1 ,进行安全事件分析,并将安全事件数据上报给做为前置机的 SIP2 ,再由 SIP2 最终将人行所需要数据进行上传。
- B . 客户自己搭建 kafka 服务器, SIP 将数据上传到客户的 kafka 服务器,再由 kafka 服务器上传数据。
- C . 通过 AD 对人行的 IP 地址进行负载, SIP 通过负载后的地址上传数据, AD 将源 IP 进行 SNAT 后,负载到人行的 kafka 服务器,实现真实 IP 的隐藏。
- D . 在 SIP 金融对接设置中首先配置 “ 上报 IP 池 ” . 然后开启 " 隐藏上报 IP" 功能,开启后, SIP 会自动在上报 IP 池中随机选择 P 进行上报,并且可以通过多个 IP 多线程上报,增加上报效率。
Correct Answer: D
Question #68
安全设备发现 Linux 系统中病毒了,怀疑病毒被添加至计划任务中,请问此时以下哪些命令是可进行查看计划任务
- A . find.-name "init" 、 crontab -|
- B . netstat-antp 、 ps-aux|init
- C . crontab-r 、 ls-al/etc/cron.d
- D . crontab-| 、 Is-al/etc/crond
Correct Answer: D
Question #69
当我们尝试 kill 恶意程序时,往往会遇到被 kill 程序自动启动的问题,请问是什么原因导致的呢
- A . 没有清除执行恶意程序的计划任务
- B . 没有中断设备网络,导致一直回连
- C . 没有重启设备
- D . 没有清除执行恶意程序的启动项
Correct Answer: A
Question #70
检测到一台主机存在扫描行为,以下哪个选项无法进行判断是否为异常行为
- A . 主机扫描的目的地址是否为离散分布
- B . SIP 上查看发起扫描的进程是否为异常进程
- C . 主机扫催的时间是否为离散分布
- D . 系统是否存在需要进行扫描操作的业务
Correct Answer: B
Question #71
关于 SIP3.0.53 新增的 DNS 服务器场景 SIP 定位风险主机的功能说法错误的是
- A . STA 无需采集到 DNS 解析日志
- B . SIP 必须采集列 DNS 解析日志
- C . 在 SIP 的 SIEM 模块配置采集器的时候需要选择类型为 Windows log
- D . 客户用的深信服 AD 做 DNS 解析,这种场景下 SIP 无法使用该功能定位风险主机
Correct Answer: C
Question #72
请问对于 SIP 闭环溯源工具,以下说法正确的是 ?
- A . 闭环工具搜索定位出的进程直接杀掉即可
- B . SIP 上报出的恶意域名,可以联动闭环溯源工具自动检索出
- C . 闭环溯源工具可以在 Windows 和 Linux 下运行
- D . 闭环潮源工具支持内存扫描、启动项检测、网络连接检测等功能
Correct Answer: D
Question #73
以下关于 AF 杀毒能力的分析,对病毒识别效果最差的是
- A . 通过文件格式识别病毒文件
- B . 通过文件后缀识别病毒文件
- C . 通过文件 md5 云查识别病毒文件
- D . 通过 Save 杀毒引擎识别病毒文件
Correct Answer: B
Question #74
下面哪个场景无法和 8023 版本 IPSEC VPN 对接成功
- A . 使用 IKEv2 配置和华三设备进行对接,华三设备是动态 IP
- B . 使用 IKEv1 野蛮模式和阿里云进行对接, AF 出口是静态 IP
- C . 使用 IKEv2 配置和微软云进行对接, AF 出口是动态 ip
- D . 使用 IKEv2 配置,阶段二安全提议配置了 15 条,和 Junliper 设备进行对接
Correct Answer: C
Question #75
在不考虑自定义规则前提下,下面哪个场景是 8023 版本 web 应用防护不支持的
- A . 黑客通过 PHP 代码注入攻击对内网服务器进行攻击
- B . 内网 web 服务器使用 8080 的非标准 HTTP 端口
- C . 用户发现 webshell 上传防护有误判的日志,需要将误判的信息加入自名单
- D . 在不开启文件上传过滤的情况下,可以对 cshtml 类型的文件进行检测防护
Correct Answer: D
Question #76
关于 8023 版本下面说法正确的是
- A . 客户表示需要保证业务的稳定性,建议客户使用 webshell 上传防护时选择高检出
- B . 在勾选 BAES64 解码局,可以对变形的 BASE64 编码进行检测,不会被绕过
- C . 客户内网有 20 个非标准的 HTTP 端口,可以全部添加到漏洞攻击防护中 HTTP 端口
- D . 请求方向 chunk 异常检测和响应方向 chunk 异常检测可以增强 HTTP 异常检测功能,所以默认都是开启的
Correct Answer: C
Question #77
下面场景关于 8023 SSL VPN 功能哪个说法是正确的
- A . 客户表示内网仍有部分终端使用的 SSL3.0 协议登录 ssl vpn ,你要告知客户 SSL3.0 协议存在漏洞,已经不支持
- B . 在 ssl vpn 登录界面出现了图形校验码,这是由于开启了防 HOST 头部攻击
- C . 客户设备从 6.0.7 升级到 8.0.23 后,你告知客户 ssl vpn 终端用户登录时 EC 会自动更新控件,然后就能正常登录 ssl vpn ,无须做其他操作
- D . 客户询问 sslvpn 用户关联了 wwwa.com 资源,但是需要禁止访问 www.a.com/b.html 是否可以支持,你告知客户是支持的
Correct Answer: D
Question #78
客户自己平时比较关心设备的运行情况,下列选项中说法错误的是()
- A . 对接 SNMP 服务器,获取设备 CPU 、内存等使用状态
- B . 查看日志中心系统日志,记录设备运行状态日志
- C . 设备升级到 12.0.41 版本,可以在 web 控制台进行设备健康检查
- D . 联系深信服工程师,用升级客户端及巡检脚本进行设备健康状态检查
Correct Answer: B
Question #79
关于 AC 自身安全性提升,下列选项中说法错误的是()
- A . 定期安排软件版本升级,使用新版本
- B . 日常关闭远程维护
- C . 尽量旁路模式部署 AC 设备,不串接到网络,安全隐患少
- D . 定期用第三方漏扫平台对设备进行漏洞扫描
Correct Answer: C
Question #80
关于用户自助授权,下列选项中说法正确的是()
- A . 12.0.41 版本设备加电后,默认未授权,需要引导客户自助授权
- B . 12.0.41 版本设备,测试设备开授权由技服工程师在深信服授权中心发起申请
- C . 深信服授权中心账号由区域技服工程师创建,维护所有客户信息,更加规范
- D . 设备未联网前,是无法完成授权激活的
Correct Answer: A
Question #81
关于深信服授权中心,下列选项中说法错误的是()
- A . 授权中心的域名是 https://licens
- B . 授权中心登录账号可以和云盾账号复用
- C . 支持通过订单 ID 批量添加一个客户购买的设备信息
- D . 支持通过网关 ID 批量添加一个客户购买的设备信息
- E . sangfor.com.cn
Correct Answer: D
Question #82
关于在深信服接权中心的使用,下列选项中说法错误的是
- A . 导入设备信息时,如果输入的企业名称和订单不一致,会导入失败
- B . 设备想要在线激活,只需要设备本身能上网的情况,即可以完成在线授权
- C . 设备在线激活的前提是能上网,新设备可以在接权前先配置网口 IP ,接入网络中
- D . 在线激活分为在线自动激活和在线主动激活两种方式
Correct Answer: B
Question #83
某天客户想使用升级客户端连接 AC 设备升级软件版本,但是发现连接升级客户端失败,选项中不属于可能出现连接升级客户端端失败原因的是()
- A . 运行升级客户端的 PC 和 AC 之间, 51111 端口不通
- B . 当前 AC 版本是 12.0.42 或以上版本,设备默认没有开启 51111 端口
- C . 设备的 IP 地址变更,进行同步
- D . 管理员配置了限制登录 IP 范围,运行升级客户端的 PCIP 不在允许登录范围内
Correct Answer: D
Question #84
最新版本 AC ,客户反馈设备控制台无法登录,选项中的解决思路错误的是
- A . 确认 51111 端口是否正常通信, 51111 端口通的情况可以尝试连接升级客户端,确认设备状态
- B . 发现升级客户端无法连接成功,直接尝试用 shell 工具进设备后台,确认设备状态
- C . 设备有 vga 接口,尝试接显示器键盘,查看设备状态
- D . 没有 VGA 接口的情况,考虑恢复设备出厂设置或重启设备尝试解决
Correct Answer: B
Question #85
客户反馈忘记设备控制台密码,选项中恢复密码的方法错误的是
- A . 确认设备版本信息, 12.0.42 及以上版本,支持 U 盘恢复密码
- B . 可以使用交叉线恢复密码的方法
- C . 有配置文件,可以找到记录密码的配置文件,逆向解密密码
- D . U 盘恢复密码要求 U 盘格式是 NTFS 的
Correct Answer: D
Question #86
最新版本 AC ,关于 SSL 内容识别 – 中间人解密,客户希望用设备生成自己的根证书,选项中说法
- A . 自定义根证书,设备生成新根证书的密钥长度支持配置到 4096
- B . 证书有效期可以设置为 1000 天
- C . 客户环境多种版本的终端 PC 在混合使用,建议加密算法使用 ECDSA 算法
- D . 内网场景,无特殊要求,密钥长度使用 1024 位
Correct Answer: C
Question #87
客户想升级设备到最新版本,下列选项中可能存在的风险项,说法正确的是()
- A . 客户设备是 2010 年购买的,默认支持升级到最新版本 AC
- B . 客户配置了 https 认证重定向,办公环境有很多 XP 系统做办公电脑,升级到 12.0.42 以上版本,会影响认证重定向功能
- C . 最新版本 AC 版本的 OPENSSL 版本是 0.9.7a
- D . 客户启用了 SSL 内容识别 – 中间人解密功能,客户端已经安装了设备内置根证书,可以平滑升级,客户端无感知
Correct Answer: B
Question #88
下列选项中关于 LDAP 的说法错误的是
- A . AD 认证服务器默认认证端口 389
- B . 启用加密对接,加密方式是 SSL ,端口是 389
- C . 启用加密对接,加密方式是 TLS ,端且是 389
- D . 启用加密对接可选配置校验证书
Correct Answer: B
Question #89
结合 AD 域做密码认证,选项中说法错误的是()
- A . 2020 年后,微软 AD 域默认都加密传输数据
- B . AD 域配置启用 LDAPS 域启用签名服务后, AC 设备的 LDAP 认证服务器必须开启加密
- C . LDAP 认证服务器的校验证书配置是可选配置
- D . LDAP 认证服务器的校验证书要是 base64 编码的 .cer 格式证书
Correct Answer: A
Question #90
关于 Windows 服务器系统版本和支持的加密方式,选项中说法正确的是()
- A . Windows2000-TLS
- B . Windows2003-TLS and ssL
- C . Windows2008-TLS and ssL
- D . Windows2008 R2-TLS and SSL
Correct Answer: D
Question #91
下面关于全网行为管理,下列说法正确的是()
- A . 不支持认证托管功能
- B . 包含原上网行为管理所有功能
- C . 不支持 U 盘离线审计功能
- D . 不支持 802.1x 认证
Correct Answer: C
Question #92
下面关于 802.1x 认证说法正确的是()
- A . 802.1x 认证安全性高于 portat 认证
- B . 802.1x 认证只能用深信服的认证助手(准入客户端)
- C . 802.1x 认证便捷性更高
- D . 强管控场景推荐 portal 认证
Correct Answer: A
Question #93
下面全网行为管理的说法正确的是()
- A . 全网行为管理的 802.1X 认证中,用 EAP 透传(中继)的方式
- B . 802.1X 认证只能针对交换机的端口,不能针对终端 mac 地址
- C . 802.1X 认证通过之前, PC 需要能访问到全网行为管理
- D . 终端通过 802.1X 认证上线是同步的,认证完成之后无需其他操作即可在全网行为管理中上线
Correct Answer: A
Question #94
下面关于全网行为管理的 802.1X 认证功能说法不正确的是()
- A . 802.1x 认证的用户只能是本地用户或者域用户
- B . 针对哑终端,可以做用户绑定,用户名为 mac 地址,绑定终端的 mac
- C . 动态 van 支持在用户认证成功的时候,全网行为管理告诉交换机划分端口 vlan
- D . radius 报文中默认 1813 是认证端口, 1812 是计费端口
Correct Answer: D
Question #95
关于全网行为管理杀软检查功能,下列说法不正确的是
- A . 支持通过插件检查和流量检查方式
- B . 插件杀软检查支持检查杀软的版本号
- C . 流量杀软检查中企业杀软支持自定义,需要终端和杀软中心端有流量交互
- D . 终端和杀软中心端服务器的流量不经过 ac 也支持检查
Correct Answer: D
Question #96
客户纯内网环境,不允许访问公网,下面全网行为管理不能实现的功能有
- A . 可以判断终端是否存在拨号行为,有拨号行为可以断网卡
- B . 支持无线网卡检查,检测到电脑有无线网卡可以执行断网操作
- C . 不支持检查是否存在 4G 网卡
- D . 支持自定义 IP 或者域名检查
Correct Answer: C
Question #97
某客户要求数据中心区域内的运维 PC 只能访问固定的一台设备,不允许访问非授权的设备,你向客户推荐全网行为管理的外联控制可以实现该功能,下面说法不正确的是
- A . XP 电脑支持该功能
- B . 支持白名单方式
- C . 支持黑名单方式
- D . 支持端口管控
Correct Answer: A
Question #98
下面关于全网行为管理业务审计和离线审计功能,说法不正确的是()
- A . 业务审计分析功能不用结合 ITM ,可在 BA 中分析
- B . 业务审计支持 web 、 smb 、 ftp 审计
- C . 支持 U 盘离线审计
- D . 支持 M 聊天离线审计
Correct Answer: A
Question #99
EDR 有关服务器端的授权 , 下列哪项组合是正确的
- A . 智控 + 智响应
- B . 智防 + 智控 + 智响应 + 服务端防护
- C . 智防 + 智控
- D . 智响应 + 服务端防护
Correct Answer: B
Question #100
以下关于 AC 的部署模式支持 radius 单点登录说法正确的是
- A . 均支持,只要是认证或者计费的数据能被设备监听即可
- B . 目前只有路由 / 网桥模式支持
- C . 只有路由模式支持
- D . 旁路模式不支持
Correct Answer: A