2016 AF渠道初级认证考卷_卷一【以AF6.6版本为准】考试说明：2016 AF渠道初级认证考卷_卷一【以AF6.6版本为准】以下关于AF双向地址转换配置的说法中，错误的是A.双向地址转换主要用来实现内网用户通过公网地址访问内网服务器的需求。

B.内网有邮件服务器，若配置了对邮件服务器的双向地址转换，则不能在AF上同时开启网关杀毒C.一条双向地址转换规则中，同时包含了源地址转换和目的地址转换，匹配规则的数据包将会被同时转换源IP地址和目的IP地址。

D.双向地址转换只支持以外网IP的形式访问内网服务器，不支持域名访问。

A B C D以下功能中哪一个在AF旁路部署模式下不生效A.服务器数据防泄密功能B.WEB应用防护C.IPSD.病毒防御策略A B C D从客户那里将一台4.7版本的NGAF测试设备拿回来，在不知道控制台密码的情况下，有哪些方法能解决登录设备问题，请列出最全的选项：①用升级客户端加载升级包，恢复所有配置到出厂状态②使用U盘恢复密码方式，恢复控制台密码到出厂状态③使用交叉线恢复默认配置的方法，恢复所有配置到出厂状态A.①②③B.②C.①②D.②③A B C D以下说法正确的是：A.http应用隐藏不支持替换出错页面B.http应用隐藏只支持替换2xx、3xx页面C.http应用隐藏只支持Server跟x-powered-by字段D.FTP应用隐藏只支持软件名称跟版本A B C DAF设备中关于源IP联动封锁，错误的是：A. 联动封锁支持IPS/WEB应用防护/DDOSB. 联动封锁的日志需要在数据中心的应用控制策略中查询C. 联动封锁针对的是该源IP通过防火墙的任何通信D. 被联动封锁的主机可访问AF控制台，但是不能访问数据中心A B C D下面关于trunk链路的说法中，错误的是D.一个接口一旦设置为trunk口，则与其相连的接口也必须设置为trunk口A B C DAF中，以下哪个功能可实现对“网页木马”“CSRF攻击”及“网站扫描”的控制A.WEB过滤B.应用控制C.病毒防御D.WEB应用防护A B C D下列有关AF的描述中，错误的是A.Syslog服务器只能同步系统日志，不会同步数据中心记录的日志。

B.如果不勾选“启用内置数据中心”，则内置数据中心不会记录IPS的防护日志。

C.AF系统更新中的每一个库文件都是通过单独的序列号来进行升级维护的。

D.AF的自动备份可保存超过一周的配置文件。

A B C D哪种接口可以加入到二层区域：A.路由口B.虚拟网线口C.VLAN接口D.镜像口A B C D测试AF时，DOS/DDOS防护-外网防护-基于数据包攻击时，以下哪一项不建议开启A.未知协议类型防护B. IP数据块分片传输防护C. Smurf攻击防护D.超大ICMP数据攻击防护A B C D客户购买AF希望做4对网桥那么对于AF设备的要求至少要有几个网口？A.8B.9C.10D.11A B C D某客户网络拓扑如下图所示，客户部署了AF设备于网络的出口处，客户对外发布了DMZ区域的公司网站服务器，将外网IP的80端口映射给服务器的8080端口，在配置WEB应用防护的时候，下列哪项配置是正确的A.源区域为外网区，目的区域为DMZ区，且必须修改WEB应用的端口为8080B.源区域为外网区，目的区域为DMZ区，可以不用修改WEB应用的端口C.源区域为DMZ区，目的区域为外网区，且必须修改WEB应用的端口为8080D.源区域为DMZ区，目的区域为外网区，可以不用修改WEB应用的端口A B C D以下属于AF服务器保护控制功能的是A.APT检测B.应用隐藏C.防dos攻击D.病毒防御策略A B C D目前AF的两个防篡改版本的差异不包含哪个？A.防篡改1.0是事后机制，即网站已经被篡改但是可以防止用户访问到篡改页面B.防篡改2.0是事中机制，即在黑客篡改过程中拦截C.防篡改2.0需要在客户端安装软件，防篡改1.0不需要D.防篡改2.0可以对网站后台登陆页面进行增强认证，1.0也可以做到A B C D关于安全防护的防护阐述下列哪一个是不正确的？AIPS规则对于客户端的漏洞和服务端漏洞有共同规则B.服务器和办公pc都有可能成为僵尸主机C.web应用防护只针对http协议有效对其他协议无效D.实时漏洞分析主要是针对服务器侧的漏洞发现功能A B C D某客户部署AF设备于网络的出口处，出口有一条线路直连AF的eth2口，eth2口的有关配置如下图所示，下列说法中正确的是DC.接口的线路带宽应设置为外网线路的真实带宽，流量管理会调用此处的线路带宽进行流控策略。

D.链路故障检测用于实时的检测接口的链路状态，其检测方法包括DNS检测和ping检测。

A B C D下列有关AF设备VPN模块下外网接口的说法中，错误的是A.AF设备做单线路VPN接入时，必须配置外网接口。

B.AF设备做多线路VPN接入时，必须配置外网接口。

C.AF设备与其他厂商的设备进行第三方对接时，必须配置外网接口。

D.VPN的外网接口只能选择具有WAN属性的三层接口。

A B C D如图，下列AF部署环境，哪种配置是正确的：A.ETH1口配置为Trunk口即可B.ETH1口配置为trunk口，并设置与内网对应VLAN号的子接口C.ETH1口配置为Trunk口，并设置与内网对应VLAN号的VLAN接口D.ETH1口配置为路由口，并设置与内网对应VLAN号的VLAN接口A B C D某用户反馈在AF设备启用DOS内网防护时，就会出现断网，日志记录的DOS告警源MAC地址都是三层交换机的MAC地址，DOS/DDOS配置界面如下，下面选项中，哪一种方法可以有效地解决该问题A.将三层交换机下所有的内网地址都添加到1中B.将2中的部署环境选择为：内部网络到本机通过三层交换设备相连C.将三层交换机的地址加入到3中。

D.修改4中的参数。

A B C D以下关于AF的IPS功能的描述，正确的是A.IPS的规则默认都是放行的。

B.若新建IPS规则处勾选了“检测攻击后操作”动作为拒绝，但是对象定义中的该规则又是允许的，此时检测到漏洞后是拒绝的。

C.客户端漏洞与服务器漏洞是一样的。

D.若发现某条IPS误判导致客户的正常应用被阻断，则可以在数据中心中查找到漏洞ID，然后在对象定义中单独放行或者禁用该漏洞即可。

A B C D某客户网络环境和AF设备网口配置情况如下，客户想对内网用户访问eth1口下方的服务器做应用控制策略，为了实现客户需求，下列配置步骤正确的是（1）设置一个二层区域“外网”，包含eth2接口（2）设置一个二层区域“DMZ”，包含eth1接口（3）设置一个三层区域“vlan2”，包含vlan2接口（4）设置一个三层区域“内网”，包含eth3接口（5）对源区域为“内网”，目标区域为“外网”的数据进行应用控制。

（6）对源区域为“内网”，目标区域为“vlan2”的数据进行应用控制（7）对源区域为“内网”，目标区域为“DMZ”的数据进行应用控制A.1 4 5 6B. 3 4 6C. 1 2 4 5 7D. 1 2 3 4 5 7A B C D在一台交换机上属于不同VLAN的access口下的电脑，不能使用以下哪些方式进行相互通信A.使用一台独立路由器的两个接口连接两个VLAN，并进行合理配置B.在交换机上做一个涵盖这两个VLAN的trunk口，并使用一台路由器的一个接口连接这个trunk口，并进行单臂路由配置C.若使用的是三层交换机，则为这两个VLAN设置VLAN接口，并开启路由转发和其他必需配置D.这两台电脑的IP配置于同一IP子网即可直接通信A B C D关于NGAF日志配置，下列说法正确的是：A.外置数据中心同步采用UDP有利于提高传输效率。

B.SYSLOG可用于同步系统日志。

C.SYSLOG配置时需要配置同步帐号密码，用于传输日志前的身份验证。

D.SYSLOG采用UDP协议传输日志。

A B C D以下哪种配置引起的断网问题开直通有效A.勾选外网防DOS模块IP分片包检测B.在trunk链路上使用一对虚拟网线口做网桥，未放通应用C.在trunk链路上使用trunk口做网桥，未配置对应的vlan接口D.在trunk链路上使用trunk口做网桥，放通vlan范围未包含实际环境网段A B C DAF设备网关模式部署在网络出口，需要代理内网用户上网，请问需要在AF 设备上添加一条________策略。

A.目的地址转换B.源地址转换C.双向地址转换D.DNS MappingA B C D下列关于AF的流量管理的说法正确的是A.AF的流量管理支持二级子通道B.AF的虚拟线路不需要多线路授权C.AF的流控能够对应用、网站、文件类型控制D.AF的只能针对IP组限制不能针对认证用户进行限制A B C D某客户网络拓扑如下图所示，AF设备部署在网络出口处，客户希望对内网用户上网的安全进行防护。

以下哪项配置组合能够实现客户需求A.源区域：外网区目的区域：内网区IPS选项：保护服务器B.源区域：外网区目的区域：内网区IPS选项：保护客户端C.源区域：内网区目的区域：外网区IPS选项：保护服务器D.源区域：内网区目的区域：外网区IPS选项：保护客户端A B C D下列有关AF能够实现的功能中，不包括以下哪项A.隐藏FTP服务器的版本信息B.防止Web服务器遭遇XSS攻击C.替换FTP服务器的出错页面D.防止Web服务器遭受口令暴力破解A B C DAF设备忘记密码下列恢复密码操作正确的是：A.U盘恢复密码操作不需要重启就能完成B.U盘恢复必须把恢复文件放到U盘的第一个分区C.用于U盘恢复的U盘可以是FAT32或者NTFS格式D.AF所有版本都支持U盘恢复功能A B C D以下关于AF设备接口的说法，正确的是A.透明接口的WAN属性勾与不勾对功能实现没有任何影响。

B.要将AF透明部署到网络中，则要求AF两个接口设置成透明口，并且设置成不同的VLAN。

C.虚拟网线接口不需要成对使用。

D.虚拟网线的作用是通过其中一个虚拟网线接口进到设备的数据，直接从另外一个虚拟网线接口转发A B C D下列关于双向地址转换和DNS Mapping的说法中，正确的是A. DNS-Mapping与双向地址转换规则一样，都可实现内网用户通过公网地址访问内网服务器的需求。

B.当公网只有一个地址，而内网有多台服务器同时需要提供公网地址访问的时候，用DNS-Mapping或双向地址转换均可实现。

C.同时配置了双向地址转换和DNS-Mapping时，一定是双向地址转换生效，DNS-MAPPING不生效。

D.DNS-Mapping仅适用于内网用户需要通过公网域名访问内网服务器的环境，若是通过公网IP地址访问，则只能通过双向地址转换实现。