【粉丝福利】下一代防火墙AF认证

1. [AF]深信服防火墙从“事前”，“事中”，“事后”的整体防护，其中下列哪些功能不属于事中的防护（）

1. 业务资产识别防护
2. DOS/DdoS攻击防护
3. 漏洞攻击防护
4. WAF攻击防护

1. [AF]下列哪项不是深信服下一代防火墙的核心价值点（）

1. 可以提供全面的风险可视图化，简化运维，快速定位风险
2. 提供企业业务全生命周期链的防护，包括从事前、事中、事后的整体防护
3. 提供企业内网全面的防护能力，网，端，东西向流量全方位的防护
4. 提供对应未知威胁的防护能力，应对不断变化的外部威胁

1. [AF]下列关于目前主流厂商包过滤防火墙的说法，不正确的是（）

1. 主要工作在网络层和传输层
2. 可以支持路由转发功能
3. 支持自动学习后生成拦截动作
4. 一般都有处理速度快，价格便宜的优点

1. [AF]关于NGFW(下一代防火墙)和UTM(统一威胁管理)的差异说明，说法不准确的是（）

1. UTM工作在L2-L4层，NGFW工作在L2-L7层
2. UTM对经过的数据包是串行解析处理，NGFW是并行解析处理
3. UTM一般不带WAF功能，NGFW一般带有WAF功能
4. 相较UTM，NGFW的处理性能更要强

1. [AF]WEB应用防护墙，主要针对WEB站点进行深入防护，下列哪项功能不是的当前主流的WEB防火墙的重点防护方向（）

1. 针对weblogic的漏洞有相应的防护能力
2. 针对webshell上传有相应的防护能力
3. 针对挖矿病毒有相应的防护能力
4. 针对CC攻击有相应的防护能力

1. [AF]关于深信服下一代防火墙的核心价值说法，不包含（）

1. 提供健康上网管理
2. 提供安全全面可视的能力
3. 提供业务安全全面防护的能力
4. 提供未知威胁抵御能力

1. [AF]防火墙按结构划分，下列不属于此类的是（）

1. 单一主机防火墙
2. 路由集成防火墙
3. 分布式防火墙
4. 机柜式防火墙

1. [AF]为构建云端，网端，终端全方位立体化的安全防护体系，深信服下一代防火墙可与其他产品进行联动，形成整体防护，下列不属于该体系中的行为是（）

1. 联动云图，实现安威胁情报快速更新补充
2. 联动云图，实现未知威胁精准分析判断
3. 联动SSL，实现终端接入安全可控
4. 联动EDR，实现终端安全快速处置闭环

1. [AF]下一代防火墙与其他品类防火墙对比，优势功能说法错误的是（）

1. 对比UTM，可以提供更强的性能
2. 对比包过滤防火墙，提供应用层的防火墙
3. 对比IDS，提供处置拦截的能力
4. 对比WAF，提供双向代理的能力

1. [AF]对新建的应用连接，预先设置安全规则，允许符合规则的连接通过并在内存中记录下该链接的相关信息，生成规则表。对该链接后续数据库包，只要符合规则表就可以通过。这种防火墙技术称为（）

1. 包过滤技术
2. 状态检测技术
3. 代理服务技术
4. 入侵检测技术

1. [AF]从目前主流的传统防火墙来看，下列哪项不能做为应用控制策略（ACL）的可控制项（）

1. IP
2. 端口
3. 路由
4. 区域

1. [AF]在个别场景中，会要求AF旁路部署，在旁路部署下，下列说法错误的是（）

1. 旁路部署的优势是无论是上线还是设备故障，均不会影响用户现有网络
2. 旁路部署可以实现当前设备所有的安全功能的防护
3. 旁路部署不支持对UDP协议的拦截操作
4. 旁路部署一般需要有一个单独管理口来进行设备的操作

1. [AF]单进单出的网桥的环境下，为什么AF推荐使用虚拟网那个像接口部署（）

1. 虚拟网线接口是普通的交换口
2. 虚拟网线接口不需要配置IP地址
3. 虚拟网线接口不支持路由转发、
4. 虚拟网线接口转发数据帧时，无需检查MAC表，直接从虚拟网线拍配对的接口转发

1. [AF]在防火墙的高可用性技术中，下列哪些是非常少见的（）

1. 集群
2. 主备
3. 多机
4. 冷备

1. [AF]下列有关AF接口与区域的说法中，错误的是（）

1. AF的一个路由口下可以添加多个接口，且路由接口的IP地址不能与子接口的IP地址在同网段
2. AF的一个区域可以包含多个接口，一个接口也可以属于多个区域
3. AF的虚拟网线区域只能包含虚拟网线接口，不能包含透明接口和三层接口
4. 单进单出透明部署情况下，可以通过配置VLAN接口IP来对设备进出管理

1. [AF]AF的多线路负载不支持一下哪种方式（）

1. 轮询
2. 优先使用前面线路
3. 加权最小流量
4. 随机HASH

1. [AF]vlan接口是一种逻辑接口，下列关于VLAN接口说法，错误的是（）

1. VLAN接口属于路由性质接口，可以配置IP地址
2. VLAN接口可以支持链路探测功能
3. VLAN接口只能划分到三层区域
4. VLAN接口支持ADSL

1. [AF]客户购买AF主要用于做上网NAT，同时作为内网DHCP服务器，请问什么部署模式可以瞒住客户的需求（）

1. 路由模式
2. 透明模式
3. 旁路模式
4. 虚拟网线模式

1. [AF]路由属性的接口，都有连接故障检测功能，关于链路检测功能的说法，错误的是（）

1. 链路检测结果支持做为双机切换的条件
2. 链路检测结果支持做为接口是否启用的生效条件
3. 链路检测结果支持做为静态路由是否生效的条件
4. 链路检测结果支持做为策略路由选路的条件

1. [AF]部署双机说法错误的有（）

1. 链路检测和抢占可以同时开启
2. 测试主备切换的时候，不能同时拔两台设备的监视口
3. 想同时管理两台设备，需要在管理接口IP后面加HA标签
4. 双机运行过程需保证所有业务网口状态（up）正常

1. [AF]目前AF的接口，根据工作的层面，不可以划分的区域有（）

1. 三层区域
2. 镜像区域
3. 二层区域
4. 虚拟网区域

1. [AF]一下关于AF双机说法不正确的是（）

1. 双机不能用ETH0口作为业务口
2. 双机在接口不足的情况下，可以用ETH0做心跳口
3. 备机没有加入网络监听的网口，对外发包同样会被抑制
4. 透明模式双机AF不支持STP，可能会存在官博风暴问题

1. [AF]关于AF物理接口配置路由模式情况下，相关功能配置，说法错误的是（）

1. 不能在界面直接调整接口的MTU
2. 配置的吓一跳网关不会生成8个0的缺省路由
3. 勾选的WAN属性，会影响到流控、流审功能的使用
4. 设置的线路宽带，与流控功能没有关系

1. [AF]以下关于AF接口的说法正确的是（）

1. 如果接口设置为路由接口，并且是ADSL拨号，需要选上添加路由选项，并且该选项默认勾选
2. Eth0为固定的管理口，接口IP为10.251.251.251/24且无法删除，无法修改，无法新增
3. 聚合接口主备模式中，会取优先级最高的接口为主接口，其余为备接口
4. 一个路由接口下可添加多个子接口，且路由接口的IP地址可以与子接口的IP地址在同一网段

1. [AF]AF的多线路负载不支持一下哪种方式（）

1. 轮询
2. 优先使用前面线路
3. 加权最小流量
4. 随机HASH

1. [AF]一下关于AF双机部署说法正确的是（）

1. AF建立双机后，使用PC直连备机MANAGE口无法登录WEN控制台
2. AF仅能配置一HA IP地址
3. 无法登录备机状态设备的WEN控制台
4. AF双机部署，只要启用配置同步，则所有非HA接口IP都会同步

1. [AF]端口聚合可以提高逻辑链路带宽，同时实现链路冗余，下列关于AF端口聚合的说法，错误的是（）

1. 端口聚合目前最多支持4个
2. 端口聚合目前不支持旁路镜像口
3. 端口聚合目前不支持虚拟网线口
4. 端口聚合支持静态和LACP两种

1. 客户新采购AF设备部署在出口，内网服务器配置私网地址，想实现在内网通过公网地址访问内网服务器，以下哪种方式可以实现（）

1. 目的地址转换
2. 双向地址转换
3. 源地址转换
4. 以上均可实现

1. [AF]客户采购了一台AF部署在互联网出口，在不改变用户网络结构的需求下，决定采用透明部署。在此部署下，AF下列哪个操作是非必要的（）

1. AF自身需要上网，所以需要配置缺省路由
2. 需要调整应用控制策略，默认AF是拦截所有数据通信
3. 内网服务器配置私网地址发布业务，需要在AF上配置DNAT
4. AF如需被不同网段的终端管理，需要配置回包路由

30、[AF]下列功能中，AF旁路部署时不支持的是（）

1. 僵尸网络
2. DNS代理
3. WEB应用防护
4. 实时漏洞分析