Linux初级工程师知识竞赛题库(答案)(3)
C、一个镜像端口可以被多个观察端口监控
D、可以直接配置镜像端口,不需要先设好观察端口(正确答案)
23、如何配置交换机的端口镜像以进行入侵检测系统(IDS)或入侵防御系统(IPS)的流量监测?()
A、在交换机上创建特定的ACL来捕获入侵流量
B、配置源端口和目标端口之间的镜像会话(正确答案)
C、启用端口安全功能以防止未经授权的访问
D、在交换机上启用DHCPSnooping来监视网络流量。
24、以下关于LACP模式的链路聚合的描述,正确的是哪一选项?()
A、LACP模式下不能设置活动端口的数量
B、LACP模式下链路两端的设备相互发送LACP报文(正确答案)
C、LACP模式下所有活动接口都参与数据的转发,分担负载流量
D、LACP模式下最多只能有4个活动端口
25、下列对于端口镜像的理解错误的有()
A、DCS交换机缺省状态下端口镜像不会镜像所有的接收和发送数据
B、端口镜像中的目的端口速率必须大于等于源端口,否则可能会丢弃数据(正确答案)
C、在使用端口镜像时,不能创建多对一的镜像,以避免造成数据丢失
D、对于ACL流量采集方式,支持在端口的方向(出向、入向和双向三种)上进行绑定
26、聚合端口最多可以捆绑多少条相同带宽标准的链路?()
A、2
B、8(正确答案)
C、4
D、6
27、如何配置交换机的静态路由?()
A、使用路由器命令配置静态路由。
B、在交换机上设置默认网关。
C、配置路由表来指定目标网络和下一跳地址(正确答案)
D、启用动态路由协议以自动学习和更新路由信息
28、RSTP收敛速度比STP要快,以下原因中描述错误的是()
A、在RSTP里面引入了边缘端口的概念,边缘端口不参与RSTP运算,可以由Dissable直接转到Forwarding状态
B、如果网络中一个指定端口失效那么网络中最优的Alternate端口将成为指定端口,进入Forwarding状态
C、如果网络中一个根端口失效,那么网络中最优的Alternate端口将成为极端口,进入Forwarding状态(正确答案)
D、RSTP中,某端口被选举为指定端口后,会先进入Discarding状态,再通过Proposal/Akgreemarnt机制快速进入Forwarding状态
29、STP的主要目的是()
A、防止广播风暴
B、防止网络中出现信息回路造成网络瘫痪(正确答案)
C、防止信息丢失
D、使网桥具备网络层功能
30、堆叠系统中的交换机角色不包括?()
A、主交换机
B、从交换机
C、侯选交换机(正确答案)
D、备交换机
三、全流量部署
1、如下图所示,为客户网络拓扑图,如果只给1路镜像,需实现全网流量采集与威胁检测及溯源分析,建议镜像流量接在哪个位置()
A.出口防火墙
B.核心交换机(正确答案)
C.内网防火墙
D.DMZ防火墙
2.网安全流量硬盘容量使用完毕后,会()
A.停止采集流量
B.覆盖早期的pcap流量数据(正确答案)
C.覆盖早期分析完的日志数据
D.停止服务
3.关于高级威胁,以下说法正确的是()
A.高级威胁只会发生在国家级涉密领域,普通政府机关单位、企业不会成为高级威胁的攻击目标;
B.高级威胁包含新型未知威胁、高级隐蔽攻击手法、APT高级d持续性攻击等,单纯依靠传统的特征检测方法很难发现;(正确答案)
C.随着网络安全技术的发展和应用,高级威胁事件已经越来越少;
D.传统的防火墙、IDS、IPS能够防范绝大多数的高级威胁攻击。
4.关于高级威胁检测与溯源分析产品的接入方式,以下说法正确的是()
A.设备串联接入在交换机与防火墙之间,进行安全管理;
B.设备通过旁路部署的方式,获取镜像流量进行采集分析,不会影响现有网络环境;(正确答案)
C.设备通过网络设备专有的NetFlow日志端口获取流量日志进行采集分析;
D.设备无法对离线保存的pcap等数据包文件进行接入分析。
5.高级威胁检测与溯源分析产品可以检测以下哪些威胁()
A.恶意IP、恶意链接、病毒、木马、蠕虫、挖矿勒索等常见的已知特征威胁;
B.主机扫描、暴力破解、SQL注入、目录遍历、命令执行、隐蔽隧道等异常攻击行为;
C.新型威胁变种、新型未知威胁、0day漏洞攻击、APT持续性威胁等高级威胁;
D.以上三类威胁均可检测。(正确答案)
6.关于高级威胁检测与溯源分析产品能力,以下说法错误的是()
A.产品可以检测已知未知,也能检测未知威胁;
B.产品能够在等保2.0对网络入侵防范和流量安全审计等基本要求的基础上,帮助单位提升等保合规建设水平,建立覆盖“一个中心、三重防御”的三位一体纵深安全防护体系;
C.产品无法对海量分散的告警信息进行关联聚合,无法对安全事件进行分级告警;(正确答案)
D.产品能够结合留存的原始流量进行数据包会话级别的溯源分析,并提供安全事件确认、受控主机定位、影响范围排查、攻击过程分析、快速应急处置等全面的事件分析和回溯排查处置能力。
7.以下哪个比喻更符合高级威胁检测与溯源分析产品的定位()
A.大楼门禁
B.海关边检
C.电子眼
D.全景监控(正确答案)
8.高级威胁检测与溯源分析设备能够适应以下哪种网络环境()
A.互联网
B.政务外网
C.工作专网
D.以上三项均支持(正确答案)
9.关于高级威胁检测与溯源分析设备的应用场景,说法错误的是()
A、产品可以作为态势感知平台的前端全流量探针设备,可多级部署,实现流量的采集、监测、分析,并回传数据到平台进行关联分析,执行平台下发的相关指令;
B、产品可以在安全事件发生后,接入目标网络在线流量或历史流量进行回溯分析,帮助客户快速定位受控主机,溯源攻击过程,确认受影响范围,提出应急处置建议;
C、在HW场景中,产品可实现对目标网络的安全防护,及时发现单位收到的各类网络攻击,对告警的安全事件进行溯源分析,追溯攻击源头,协助分析人员形成分析报告;
D、部署智能部署在单位互联网出口位置,无法在接入内部关键区域(如服务器区)核心交换机的镜像流量。(正确答案)
10.高级威胁检测与溯源分析产品标准版相对专业版的区别是()
A、标准版无法采集全流量
B、标准版无法进行威胁检测
C、标准版无法进行事件分析
D、标准版无法进行文件动态沙箱分析(正确答案)
11.高级威胁检测与溯源分析产品优势不包括()
A、具备10余年的高级威胁实战对抗经验,对高级未知威胁检测能力优越;
B、可对全流量原始数据进行留存,并提供数据包会话级别的全流量回溯分析能力;
C、具备事件自动聚合和精准的分类定级告警机制,可大幅提升威胁告警的准确率,避免真正的风险被淹没在海量的告警中,减少漏报和误报;
D、可与防火墙、IPS、WAF、EDR等安全设备进行快速的联动处置,并提供SOAR自动化编排处置能力。(正确答案)
12.高级威胁检测与溯源分析产品无法登录,有可能是()
A、授权到期;
B、设置了访问控制;
C、服务停止;
D、以上都有可能。(正确答案)
13.以下说法错误的是()
A、问道支持syslog的方式将告警日志发送到态势感知平台;
B、问道支持客户端的方式查看分析数据;
C、全息支持syslog的方式将告警日志发送到态势感知平台;(正确答案)
D、全息支持客户端的方式查看分析数据。
1.中国网安高级威胁监测与溯源分析系统的主要特点()