h3c内外网配置方案（H3CNE-Security安全GB0-510课后习题5）

包过滤技术

主要考察什么是包过滤、ACL 分类、ACL 规则的匹配顺序、包过滤配置任务、配置基本 ACL、配置高级 ACL、配置二层 ACL、接口上应用 ACL 包过滤等。

问题1

ACL（访问控制列表）的类型包括有（BCD）

A. 七层ACL

B. 二层ACL

C. 高级ACL

D. 基本ACL

说明/参考：

二层ACL：4000-4999，高级ACL：3000-3999，基本ACL：2000-2999。

问题2

关于包过滤技术的描述，下列说法错误的是：（D）

A. H3C UTM产品默认开启了包过滤功能

B. 用户并不知道报文是否被过滤，也就是说包过滤对用户端是透明的

C. 包过滤技术主要是根据报文中的IP头信息来进行过滤

D. 包过滤技术可以根据报文中的应用层信息进行过滤

说明/参考：

问题3

H3C SecPath设备中，ACL主要应用于（ABCDE）

A. QoS中，对数据流里进行分类

B. IPSec中用来规定触发建立IPSec的条件

C. NAT中，限制哪些地址需要被转换

D. 域间访问，控制不同区域间的互访

E. 策略路由

问题4

ACL(访问控制列表)的类型包括哪些（ABC）

A. 基本ACL

B. 高级ACL

C. 二层ACL

D. 基于时间段的包过滤

问题5

防火墙实现包过滤的核心技术是ACL控制列表? （A）

A. 正确

B. 错误

说明/参考：

问题6

编号3001的ACL对应的类型是（D）

A. 二层ACL

B. 七层ACL

C. 基本ACL

D. 高级ACL

说明/参考：

二层ACL ：4000-4999，高级ACL：3000-3999，基本ACL：2000-2999。

问题7

包过滤ACL进行如下配置：（CD）

Acl basic 2000 match-order config

Rule permit source 1.1.1.0 0.0.0.255

A. 源地址1.1.1.20目的地址3.3.3.20的报文被丢弃

B. 源地址1.1.1.1目的地址3.3.3.3的报文被丢弃

C. 源地址1.1.1.20目的地址3.3.3.3的报文允许通过

D. 源地址1.1.1.1目的地址3.3.3.3的报文允许通过

说明/参考：

deny：表示拒绝符合条件的报文。

permit：表示允许符合条件的报文。

问题8

H3C防火墙在接口上应用包过滤，方向可以选择Inbound和Outbound（A）

A. 错误

B. 正确

说明/参考：

问题9

H3C防火墙设备中，访问控制列表ACL主要应用于（ABCD）

A. 策略路由，依据用户制定的策略进行路由转发(如ACL规则等)

B. IPSec中，用来规定触发建立IPSec的条件

C. NAT中，限制哪些地址需要被转换

D. QoS中，对数据流量进行分类

安全域

主要考察什么是安全域、安全域与接口关系、安全域配置注意事项、安全域配置任务、安全域的显示等。

问题1

H3C防火墙缺省的安全域包括（ABCDE）

A. DMZ

B. Management

C. UnTrust

D. Local

E. Trust

说明/参考：

缺省安全域：当首次创建安全域或者域间策略时，系统会自动创建以下缺省安全域：Local、Trust、DMZ（Demilitarized Zone，隔离区）、Management和Untrust。缺省安全域不能被删除。

问题2

关于H3C防火墙的安全域，以下说法正确的有（BCD）

A. 防火墙无安全区域优先级的概念

B. 不同安全区域优先级一定不一样

C. 防火墙自身所有接口都属于local区域

D. 防火墙有五个安全区域，management、local、trust、untrust、DMZ

说明/参考：

安全域是防火墙的特色，V5版本有优先级概念，V7版本取消了。

问题3

对于H3C防火墙来说，如果不将物理接口添加到某一中，则该接口不能正常收发报文（B）

A. 错误

B. 正确

说明/参考：

非安全域的接口之间的报文被丢弃。

问题4

H3C SecPath防火墙的默认域间访问控制策略是（CD）

A. 所有区域都可以访问local区域

B. 属于同一个安全域的各个接口之间的报文可以互访

C. 未划分到安全域的接口之间的报文会被丢弃

D. 安全域间的报文默认丢弃，包括同域之间

说明/参考：

创建安全域后，设备上各接口的报文转发遵循以下规则：

一个安全域中的接口与一个不属于任何安全域的接口之间的报文，会被丢弃。

属于同一个安全域的各接口之间的报文缺省会被丢弃。

安全域之间的报文由域间策略进行安全检查，并根据检查结果放行或丢弃。若域间策略不存在或不生效，则报文会被丢弃。

非安全域的接口之间的报文被丢弃。

目的地址或源地址为本机的报文，缺省会被丢弃，若该报文与域间策略匹配，则由域间策略进行安全检查，并根据检查结果放行或丢弃。

问题5

工程师小L在调试SecPath F1020设备时，把缺省的G1/0/0当成内网口Trust，G1/0/1接口配置成untrust区域当成外网口，此时内网用户是否可以正常上网（A）

A. 不能

B. 能

说明/参考：

安全域之间的报文由域间策略进行安全检查，并根据检查结果放行或丢弃。若域间策略不存在或不生效，则报文会被丢弃。

问题6

防火墙缺省存在local、trust、DMZ、Management、untrust，并上述缺省安全域不能被删除，以上说法是（B）

A.错误

B.正确

说明/参考：

缺省安全域：当首次创建安全域或者域间策略时，系统会自动创建以下缺省安全域：Local、Trust、DMZ（Demilitarized Zone，隔离区）、Management和Untrust。缺省安全域不能被删除。

问题7

关于H3C SecPath U200-S产品的安全区域，以下说法正确的有：（ABC）

A. 防火墙默认有五个安全区域：Management、Local、Trust，untrust、DMZ

B. 防火墙自身所有接口都属于Local区域

C. 不同安全域的优先级一定不一样

D. Management和Local区域的默认优先级都是100

说明/参考：

问题8

常见的安全域划分方式有：（AD）

A. 按照接口划分

B. 按照业务划分

C. 按照规则划分

D. 按照IP地址划分

说明/参考：

所谓安全域，是一个抽象的概念，它有两种划分方式：

按照接口划分。安全域可以包含三层普通物理接口和逻辑接口，也可以包括二层物理Trunk接口 VLAN，划分到同一个安全域中的接口通常在安全策略控制中具有一致的安全需求。

按照IP地址划分。根据IP地址划分不同的安全域，以实现按业务报文的源IP地址或目的IP地址进行安全策略控制。

问题9

H3C UTM从高优先级域到低优先级域是允许访问的，但是反之不行，上述说法：（A）

A. 正确

B. 错误

说明/参考：

缺省情况下，允许从高优先级安全域到低优先级安全域方向的报文通过。

问题10

SecPath防火墙中，下面哪些接口必须加入到区域中才能转发数据？（BCDEFGH）

A. Loopback接口

B. 物理接口

C. Vitual-Template

D. 接口(Encrypt)

E. 接口Tunnel

F. 接口Dialer接口

G. Bridge Templatei接口

H. Vlan Interface接口

说明/参考：

创建安全域后，需要给安全域添加成员。安全域的成员类型包括：

三层接口，包括三层以太网接口、三层以太网子接口和其它三层逻辑接口。配置该成员后，该接口收发的所有报文将由安全域下配置的域间策略来处理。

二层接口和VLAN。配置该成员后，该接口收发的、携带了指定VLAN Tag的报文，将由安全域下配置的域间策略来处理。

VLAN。配置该成员后，携带了指定VLAN Tag的报文，将由安全域下配置的域间策略来处理。

IPv4子网。配置该成员后，系统会判断报文的源和目的IPv4地址是否属于该子网范围，如果属于，则将交给安全域下配置的域间策略来处理。

IPv6子网。配置该成员后，系统会判断报文的源和目的IPv6地址是否属于该子网范围，如果属于，则将交给安全域下配置的域间策略来处理。

服务链。配置该成员后，携带指定服务链的报文，将会安全域下配置的域间策略来处理。

问题11

防火墙的DMZ区的主要用途是(A)

A. 解决公共设备如服务器访问问题

B. 解决军事侵犯问题

C. 解决防火墙区域划分不够问题

说明/参考：

DMZ这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。安全域中引用这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常部署网络时，将那些需要被公共访问的设备（如WWW server、FTP server等）放置于此。

问题12

在防火墙应用中，一台需要与互联网通信的Web服务器放置在以下哪个区域时最安全?（A）

A. DMZ区域

B. Trust区域

C. Local区域

D. Untrust区域

说明/参考：

通常部署网络时，将那些需要被公共访问的设备（如WWW server、FTP server等）放置于DMZ区域。

问题13

H3C防火墙缺省的安全域包括（ABCD）

A. Trust

B. Untrust

C. Local

D. DMZ

说明/参考：

缺省安全域：当首次创建安全域或者域间策略时，系统会自动创建以下缺省安全域：Local、Trust、DMZ（Demilitarized Zone，隔离区）、Management和Untrust。缺省安全域不能被删除。

问题14

关于H3C NGFW安全区域说法正确的是（ABCD）

A. 防火墙默认有五个安全区域：Management、Local、Trust、Untrust、DMZ

B. 防火墙自身所有接口都属于Local区域

C. 非管理接口必须加入业务安全区域才能转发数据

D. 处于同一区域内的接口数据默认无法互通

说明/参考：

Management和Local安全域间之间的报文缺省被允许。

Management和Local安全域间之间的报文只能匹配Management与Local安全域之间的安全域间实例。

问题15

H3C防火墙的安全域有优先级概念。上述说法是否正确。（B）

A. 正确

B. 错误

说明/参考：

V5及以前版本有优先级概念，V7及以后版本取消了优先级概念。

问题16

创建安全域后，需要给安全域添加成员。下列哪些可以作为成员加入安全域（ABCD）

A. 二层接口和VLAN

B. 三层以太网子接口

C. 三层逻辑接口

D. 三层以太网接口

说明/参考：

三层接口，包括三层以太网接口、三层以太网子接口和其它三层逻辑接口。配置该成员后，该接口收发的所有报文将由安全域下配置的域间策略来处理。

二层接口和VLAN。配置该成员后，该接口收发的、携带了指定VLAN Tag的报文，将由安全域下配置的域间策略来处理。

VLAN。配置该成员后，携带了指定VLAN Tag的报文，将由安全域下配置的域间策略来处理。

防火墙转发原理

主要考察流与会话、会话的创建、会话表项与长连接、配置会话管理、报文转发流程等。

问题1

查看SecPath防火墙会话的命令是（C）

A. Display firewall session table

B. Display firewall session

C. Display session table

D. Display aspf session

说明/参考：

display session table ipv4命令用来显示IPv4单播会话表项信息。

问题2

防火墙主要工作在网络的3-4层，其访问控制规则可以基于报文的五元组进行定义。下列元素中，哪些是五元组的组成部分?（ABCDE）

A. 源端口

B. 目的端口

C. 源地址

D. 协议

E. 目的地址

F. 载荷

说明/参考：

包过滤功能是根据报文的五元组（源IP地址、源端口号、目的IP地址、目的端口号、传输层协议）实现对报文在不同安全域之间的转发进行控制

问题3

SecPath F1000-E防火墙INLINE转发是依据Mac地址表完成的，上述说法是？（B）

A. 正确

B. 错误

说明/参考：

高端防火墙支持二层INLINE转发，二层INLINE转发分为转发类型、反射类型、黑洞类型三种，工作机制分别如下：

转发类型INLINE：用户通过配置直接指定从某接口入的报文从特定接口出。此时，报文转发不再根据MAC表进行，而是根据用户指定的一组配对接口进行转发，发送到设备的报文从其中一个接口进入后从另一个接口转发出去。一个完整的INLINE转发包括用于标识INLINE的ID和两个接口。

反射类型INLINE：用户通过配置将某接口收到的报文处理完以后，还从该接口发送出去。一个完整的INLINE转发包括用于标识INLINE的ID和一个接口。

黑洞类型INLINE：用户通过配置将某接口收到的报文处理完以后丢弃。一个完整的INLINE转发包括用于标识INLINE的ID和一个接口。

问题4

工程师小L在调试SecPath U200-S设备时，把缺省的G0/0接口当成Trust区域内网口，G0/1接口配置成了Untrust区域当成外网口，此时内网用户是否可以正常访问外网? （A）

A. 能

B. 不能

说明/参考：

U200-S设备上Trust区域优先级高于Untrust区域，默认可以访问。

问题5

H3C SecPath防火墙的会话包含以下哪些信息？（ABCD）

A. 会话发起方和响应方IP地址及端口

B. 会话的创建时间

C. 会话的老化时间

D. 会话当前所处的状态

说明/参考：

问题6

H3C防火墙中，以下哪些接口必须加入到区域中才能转发数据？（ABDEF）

A. Virtual-Template

B. 物理接口

C. Loopback

D. Dialer

E. Vlan-interface

F. Tunnel

说明/参考：

创建安全域后，需要给安全域添加成员。安全域的成员类型包括：

三层接口，包括三层以太网接口、三层以太网子接口和其它三层逻辑接口。配置该成员后，该接口收发的所有报文将由安全域下配置的域间策略来处理。

二层接口和VLAN。配置该成员后，该接口收发的、携带了指定VLAN Tag的报文，将由安全域下配置的域间策略来处理。

VLAN。配置该成员后，携带了指定VLAN Tag的报文，将由安全域下配置的域间策略来处理。

IPv4子网。配置该成员后，系统会判断报文的源和目的IPv4地址是否属于该子网范围，如果属于，则将交给安全域下配置的域间策略来处理。

IPv6子网。配置该成员后，系统会判断报文的源和目的IPv6地址是否属于该子网范围，如果属于，则将交给安全域下配置的域间策略来处理。

服务链。配置该成员后，携带指定服务链的报文，将会安全域下配置的域间策略来处理。

问题7

关于H3C防火墙报文转发流程，下列说法正确的是（ABC）

A. 当报文命中会话表或关联表后，则直接查找二三层转发表项后转发

B. 若报文命中安全策略的动作为丢弃，则直接丢弃报文，不需要创建会话表项

C. 对接收的报文首先判断是否匹配当前会话表或关联表

D. 对接收的报文首先判断是否命中安全策略

说明/参考：

如果策略发生变化，会立即断开相关会话。

问题8

H3C防火墙要么工作在二层模式，要么工作在三层模式，不能同时工作在二层和三层，以上说法正确吗？（B）

A.正确

B.错误

防火墙安全策略

主要考察什么是安全策略、安全策略发展历程、安全策略优势与规则、规则的过滤条件与匹配顺序、安全策略流程、安全策略配置任务、配置地址对象组、配置服务对象组、配置安全策略等。

问题1

H3C防火墙安全策略规则可以基于以下哪些参数进行匹配？（ABCDEFGH）

A. 目的IP地址

B. 应用/应用组

C. 服务

D. 用户/用户组

E. 目的安全域

F. 源安全域

G. 源IP地址

H. VRF

说明/参考：

每条规则中均可以配置多种过滤条件，具体包括：源安全域、目的安全域、源IP地址、源MAC地址、目的IP地址、用户、用户组、应用、应用组、VPN和服务。每种过滤条件中（除VPN外）均可以配置多个匹配项，比如源安全域过滤条件中可以指定多个源安全域等。

问题2

H3C防火墙安全策略规则中，若引用DPI业务时，规则的动作需配置为允许，以上说法是否正确？（A）

A. 正确

B. 错误

说明/参考：

DPI功能仅在安全策略规则动作为允许的情况下才生效。

,