主要考察什麼是包過濾、ACL 分類、ACL 規則的匹配順序、包過濾配置任務、配置基本 ACL、配置高級 ACL、配置二層 ACL、接口上應用 ACL 包過濾等。

ACL（訪問控制列表）的類型包括有（BCD）

A. 七層ACL

B. 二層ACL

C. 高級ACL

D. 基本ACL

說明/參考：

二層ACL：4000-4999，高級ACL：3000-3999，基本ACL：2000-2999。

關于包過濾技術的描述，下列說法錯誤的是：（D）

A. H3C UTM産品默認開啟了包過濾功能

B. 用戶并不知道報文是否被過濾，也就是說包過濾對用戶端是透明的

C. 包過濾技術主要是根據報文中的IP頭信息來進行過濾

D. 包過濾技術可以根據報文中的應用層信息進行過濾

說明/參考：

H3C SecPath設備中，ACL主要應用于（ABCDE）

A. QoS中，對數據流裡進行分類

B. IPSec中用來規定觸發建立IPSec的條件

C. NAT中，限制哪些地址需要被轉換

D. 域間訪問，控制不同區域間的互訪

E. 策略路由

ACL(訪問控制列表)的類型包括哪些（ABC）

A. 基本ACL

B. 高級ACL

C. 二層ACL

D. 基于時間段的包過濾

防火牆實現包過濾的核心技術是ACL控制列表? （A）

A. 正确

B. 錯誤

說明/參考：

編号3001的ACL對應的類型是（D）

A. 二層ACL

B. 七層ACL

C. 基本ACL

D. 高級ACL

說明/參考：

二層ACL ：4000-4999，高級ACL：3000-3999，基本ACL：2000-2999。

包過濾ACL進行如下配置：（CD）

Acl basic 2000 match-order config

Rule permit source 1.1.1.0 0.0.0.255

A. 源地址1.1.1.20目的地址3.3.3.20的報文被丢棄

B. 源地址1.1.1.1目的地址3.3.3.3的報文被丢棄

C. 源地址1.1.1.20目的地址3.3.3.3的報文允許通過

D. 源地址1.1.1.1目的地址3.3.3.3的報文允許通過

說明/參考：

deny：表示拒絕符合條件的報文。

permit：表示允許符合條件的報文。

H3C防火牆在接口上應用包過濾，方向可以選擇Inbound和Outbound（A）

A. 錯誤

B. 正确

說明/參考：

H3C防火牆設備中，訪問控制列表ACL主要應用于（ABCD）

A. 策略路由，依據用戶制定的策略進行路由轉發(如ACL規則等)

B. IPSec中，用來規定觸發建立IPSec的條件

C. NAT中，限制哪些地址需要被轉換

D. QoS中，對數據流量進行分類

主要考察什麼是安全域、安全域與接口關系、安全域配置注意事項、安全域配置任務、安全域的顯示等。

H3C防火牆缺省的安全域包括（ABCDE）

A. DMZ

B. Management

C. UnTrust

D. Local

E. Trust

說明/參考：

缺省安全域：當首次創建安全域或者域間策略時，系統會自動創建以下缺省安全域：Local、Trust、DMZ（Demilitarized Zone，隔離區）、Management和Untrust。缺省安全域不能被删除。

關于H3C防火牆的安全域，以下說法正确的有（BCD）

A. 防火牆無安全區域優先級的概念

B. 不同安全區域優先級一定不一樣

C. 防火牆自身所有接口都屬于local區域

D. 防火牆有五個安全區域，management、local、trust、untrust、DMZ

說明/參考：

安全域是防火牆的特色，V5版本有優先級概念，V7版本取消了。

對于H3C防火牆來說，如果不将物理接口添加到某一中，則該接口不能正常收發報文（B）

A. 錯誤

B. 正确

說明/參考：

非安全域的接口之間的報文被丢棄。

H3C SecPath防火牆的默認域間訪問控制策略是（CD）

A. 所有區域都可以訪問local區域

B. 屬于同一個安全域的各個接口之間的報文可以互訪

C. 未劃分到安全域的接口之間的報文會被丢棄

D. 安全域間的報文默認丢棄，包括同域之間

說明/參考：

創建安全域後，設備上各接口的報文轉發遵循以下規則：

一個安全域中的接口與一個不屬于任何安全域的接口之間的報文，會被丢棄。

屬于同一個安全域的各接口之間的報文缺省會被丢棄。

安全域之間的報文由域間策略進行安全檢查，并根據檢查結果放行或丢棄。若域間策略不存在或不生效，則報文會被丢棄。

非安全域的接口之間的報文被丢棄。

目的地址或源地址為本機的報文，缺省會被丢棄，若該報文與域間策略匹配，則由域間策略進行安全檢查，并根據檢查結果放行或丢棄。

工程師小L在調試SecPath F1020設備時，把缺省的G1/0/0當成内網口Trust，G1/0/1接口配置成untrust區域當成外網口，此時内網用戶是否可以正常上網（A）

A. 不能

B. 能

說明/參考：

安全域之間的報文由域間策略進行安全檢查，并根據檢查結果放行或丢棄。若域間策略不存在或不生效，則報文會被丢棄。

防火牆缺省存在local、trust、DMZ、Management、untrust，并上述缺省安全域不能被删除，以上說法是（B）

A.錯誤

B.正确

說明/參考：

缺省安全域：當首次創建安全域或者域間策略時，系統會自動創建以下缺省安全域：Local、Trust、DMZ（Demilitarized Zone，隔離區）、Management和Untrust。缺省安全域不能被删除。

關于H3C SecPath U200-S産品的安全區域，以下說法正确的有：（ABC）

A. 防火牆默認有五個安全區域：Management、Local、Trust，untrust、DMZ

B. 防火牆自身所有接口都屬于Local區域

C. 不同安全域的優先級一定不一樣

D. Management和Local區域的默認優先級都是100

說明/參考：

常見的安全域劃分方式有：（AD）

A. 按照接口劃分

B. 按照業務劃分

C. 按照規則劃分

D. 按照IP地址劃分

說明/參考：

所謂安全域，是一個抽象的概念，它有兩種劃分方式：

按照接口劃分。安全域可以包含三層普通物理接口和邏輯接口，也可以包括二層物理Trunk接口 VLAN，劃分到同一個安全域中的接口通常在安全策略控制中具有一緻的安全需求。

按照IP地址劃分。根據IP地址劃分不同的安全域，以實現按業務報文的源IP地址或目的IP地址進行安全策略控制。

H3C UTM從高優先級域到低優先級域是允許訪問的，但是反之不行，上述說法：（A）

A. 正确

B. 錯誤

說明/參考：

缺省情況下，允許從高優先級安全域到低優先級安全域方向的報文通過。

SecPath防火牆中，下面哪些接口必須加入到區域中才能轉發數據？（BCDEFGH）

A. Loopback接口

B. 物理接口

C. Vitual-Template

D. 接口(Encrypt)

E. 接口Tunnel

F. 接口Dialer接口

G. Bridge Templatei接口

H. Vlan Interface接口

說明/參考：

創建安全域後，需要給安全域添加成員。安全域的成員類型包括：

三層接口，包括三層以太網接口、三層以太網子接口和其它三層邏輯接口。配置該成員後，該接口收發的所有報文将由安全域下配置的域間策略來處理。

二層接口和VLAN。配置該成員後，該接口收發的、攜帶了指定VLAN Tag的報文，将由安全域下配置的域間策略來處理。

VLAN。配置該成員後，攜帶了指定VLAN Tag的報文，将由安全域下配置的域間策略來處理。

IPv4子網。配置該成員後，系統會判斷報文的源和目的IPv4地址是否屬于該子網範圍，如果屬于，則将交給安全域下配置的域間策略來處理。

IPv6子網。配置該成員後，系統會判斷報文的源和目的IPv6地址是否屬于該子網範圍，如果屬于，則将交給安全域下配置的域間策略來處理。

服務鍊。配置該成員後，攜帶指定服務鍊的報文，将會安全域下配置的域間策略來處理。

防火牆的DMZ區的主要用途是(A)

A. 解決公共設備如服務器訪問問題

B. 解決軍事侵犯問題

C. 解決防火牆區域劃分不夠問題

說明/參考：

DMZ這一術語起源于軍方，指的是介于嚴格的軍事管制區和松散的公共區域之間的一種有着部分管制的區域。安全域中引用這一術語，指代一個邏輯上和物理上都與内部網絡和外部網絡分離的區域。通常部署網絡時，将那些需要被公共訪問的設備（如WWW server、FTP server等）放置于此。

在防火牆應用中，一台需要與互聯網通信的Web服務器放置在以下哪個區域時最安全?（A）

A. DMZ區域

B. Trust區域

C. Local區域

D. Untrust區域

說明/參考：

通常部署網絡時，将那些需要被公共訪問的設備（如WWW server、FTP server等）放置于DMZ區域。

H3C防火牆缺省的安全域包括（ABCD）

A. Trust

B. Untrust

C. Local

D. DMZ

說明/參考：

缺省安全域：當首次創建安全域或者域間策略時，系統會自動創建以下缺省安全域：Local、Trust、DMZ（Demilitarized Zone，隔離區）、Management和Untrust。缺省安全域不能被删除。

關于H3C NGFW安全區域說法正确的是（ABCD）

A. 防火牆默認有五個安全區域：Management、Local、Trust、Untrust、DMZ

B. 防火牆自身所有接口都屬于Local區域

C. 非管理接口必須加入業務安全區域才能轉發數據

D. 處于同一區域内的接口數據默認無法互通

說明/參考：

Management和Local安全域間之間的報文缺省被允許。

Management和Local安全域間之間的報文隻能匹配Management與Local安全域之間的安全域間實例。

H3C防火牆的安全域有優先級概念。上述說法是否正确。（B）

A. 正确

B. 錯誤

說明/參考：

V5及以前版本有優先級概念，V7及以後版本取消了優先級概念。

創建安全域後，需要給安全域添加成員。下列哪些可以作為成員加入安全域（ABCD）

A. 二層接口和VLAN

B. 三層以太網子接口

C. 三層邏輯接口

D. 三層以太網接口

說明/參考：

三層接口，包括三層以太網接口、三層以太網子接口和其它三層邏輯接口。配置該成員後，該接口收發的所有報文将由安全域下配置的域間策略來處理。

二層接口和VLAN。配置該成員後，該接口收發的、攜帶了指定VLAN Tag的報文，将由安全域下配置的域間策略來處理。

VLAN。配置該成員後，攜帶了指定VLAN Tag的報文，将由安全域下配置的域間策略來處理。

主要考察流與會話、會話的創建、會話表項與長連接、配置會話管理、報文轉發流程等。

查看SecPath防火牆會話的命令是（C）

A. Display firewall session table

B. Display firewall session

C. Display session table

D. Display aspf session

說明/參考：

display session table ipv4命令用來顯示IPv4單播會話表項信息。

防火牆主要工作在網絡的3-4層，其訪問控制規則可以基于報文的五元組進行定義。下列元素中，哪些是五元組的組成部分?（ABCDE）

A. 源端口

B. 目的端口

C. 源地址

D. 協議

E. 目的地址

F. 載荷

說明/參考：

包過濾功能是根據報文的五元組（源IP地址、源端口号、目的IP地址、目的端口号、傳輸層協議）實現對報文在不同安全域之間的轉發進行控制

SecPath F1000-E防火牆INLINE轉發是依據Mac地址表完成的，上述說法是？（B）

A. 正确

B. 錯誤

說明/參考：

高端防火牆支持二層INLINE轉發，二層INLINE轉發分為轉發類型、反射類型、黑洞類型三種，工作機制分别如下：

轉發類型INLINE：用戶通過配置直接指定從某接口入的報文從特定接口出。此時，報文轉發不再根據MAC表進行，而是根據用戶指定的一組配對接口進行轉發，發送到設備的報文從其中一個接口進入後從另一個接口轉發出去。一個完整的INLINE轉發包括用于标識INLINE的ID和兩個接口。

反射類型INLINE：用戶通過配置将某接口收到的報文處理完以後，還從該接口發送出去。一個完整的INLINE轉發包括用于标識INLINE的ID和一個接口。

黑洞類型INLINE：用戶通過配置将某接口收到的報文處理完以後丢棄。一個完整的INLINE轉發包括用于标識INLINE的ID和一個接口。

工程師小L在調試SecPath U200-S設備時，把缺省的G0/0接口當成Trust區域内網口，G0/1接口配置成了Untrust區域當成外網口，此時内網用戶是否可以正常訪問外網? （A）

A. 能

B. 不能

說明/參考：

U200-S設備上Trust區域優先級高于Untrust區域，默認可以訪問。

H3C SecPath防火牆的會話包含以下哪些信息？（ABCD）

A. 會話發起方和響應方IP地址及端口

B. 會話的創建時間

C. 會話的老化時間

D. 會話當前所處的狀态

說明/參考：

H3C防火牆中，以下哪些接口必須加入到區域中才能轉發數據？（ABDEF）

A. Virtual-Template

B. 物理接口

C. Loopback

D. Dialer

E. Vlan-interface

F. Tunnel

說明/參考：

創建安全域後，需要給安全域添加成員。安全域的成員類型包括：

三層接口，包括三層以太網接口、三層以太網子接口和其它三層邏輯接口。配置該成員後，該接口收發的所有報文将由安全域下配置的域間策略來處理。

二層接口和VLAN。配置該成員後，該接口收發的、攜帶了指定VLAN Tag的報文，将由安全域下配置的域間策略來處理。

VLAN。配置該成員後，攜帶了指定VLAN Tag的報文，将由安全域下配置的域間策略來處理。

IPv4子網。配置該成員後，系統會判斷報文的源和目的IPv4地址是否屬于該子網範圍，如果屬于，則将交給安全域下配置的域間策略來處理。

IPv6子網。配置該成員後，系統會判斷報文的源和目的IPv6地址是否屬于該子網範圍，如果屬于，則将交給安全域下配置的域間策略來處理。

服務鍊。配置該成員後，攜帶指定服務鍊的報文，将會安全域下配置的域間策略來處理。

關于H3C防火牆報文轉發流程，下列說法正确的是（ABC）

A. 當報文命中會話表或關聯表後，則直接查找二三層轉發表項後轉發

B. 若報文命中安全策略的動作為丢棄，則直接丢棄報文，不需要創建會話表項

C. 對接收的報文首先判斷是否匹配當前會話表或關聯表

D. 對接收的報文首先判斷是否命中安全策略

說明/參考：

如果策略發生變化，會立即斷開相關會話。

H3C防火牆要麼工作在二層模式，要麼工作在三層模式，不能同時工作在二層和三層，以上說法正确嗎？（B）

A.正确

B.錯誤

主要考察什麼是安全策略、安全策略發展曆程、安全策略優勢與規則、規則的過濾條件與匹配順序、安全策略流程、安全策略配置任務、配置地址對象組、配置服務對象組、配置安全策略等。

H3C防火牆安全策略規則可以基于以下哪些參數進行匹配？（ABCDEFGH）

A. 目的IP地址

B. 應用/應用組

C. 服務

D. 用戶/用戶組

E. 目的安全域

F. 源安全域

G. 源IP地址

H. VRF

說明/參考：

每條規則中均可以配置多種過濾條件，具體包括：源安全域、目的安全域、源IP地址、源MAC地址、目的IP地址、用戶、用戶組、應用、應用組、VPN和服務。每種過濾條件中（除VPN外）均可以配置多個匹配項，比如源安全域過濾條件中可以指定多個源安全域等。

H3C防火牆安全策略規則中，若引用DPI業務時，規則的動作需配置為允許，以上說法是否正确？（A）

A. 正确

B. 錯誤

說明/參考：

DPI功能僅在安全策略規則動作為允許的情況下才生效。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!