【合作伙伴大练兵-安全】NGFW盒式防火墙问题排查和维护

NGFW盒式防火墙问题排查和维护

(单选题2道，多选题8道 满分100分)

一 . 单选题 (共2道题，共20分)

1.现场F1030防火墙配置出方向链路负载均衡，此时虚服务为全0，那么负载均衡功能和路由的优先顺序是

（10分）

1. A负载均衡(LB)>静态路由>策略路由
2. B负载均衡(LB)>策略路由>静态路由
3. C策略路由>静态路由>负载均衡(LB)
4. D策略路由>负载均衡(LB)>静态路由

2.设备打印以下debug信息说明（ ）

 <H3C>*Aug 31 08:21:38:114 2017 F1020 ASPF/7/PACKET: -Context=1; The   packet was dropped by ASPF for nonexistent zone pair. Src-Zone=-,   Dst-Zone=Local;If-In=GigabitEthernet1/0/5(6), If-Out=InLoopBack0(132); Packet   Info:Src-IP=192.168.10.2, Dst-IP=192.168.10.1,   VPN-Instance=none,Src-Port=1533, Dst-Port=2048. Protocol=ICMP(1).    

（10分）

1. A没有配置安全策略
2. B接口未加入安全域
3. C报文被安全策略drop
4. D报文被缺省策略deny

二 . 多选题 (共8道题，共80分)

1.NAT转换时直接使用设备上接口的IP地址作为NAT地址称为Easy IP功能。下面关于Easy IP方式NAT配置不生效排查方法，正确的是 （10分）

1. A检查NAT配置接口是否下发正确

2. B检查安全策略是否放通

3. C检查地址池是否正确

4. **D **debug nat packet acl确认报文是否正确转换

5. debug ip packet没有任何信息可能的原因有 （10分）

6. Ainfo-center有没有开启

7. B接口下有vpn-instance的没在ACL里加vpn-instance

8. C报文没有上到防火墙

9. **D **没有开启terminal monitor及terminal debugging

3.根据业务报文五元组可以建立唯一的会话表项，那么业务报文的五元组是指（ ） （10分）

1. A源地址和源端口
2. B目的地址和目的端口
3. C协议
4. D出接口

4.关于Ping包过防火墙丢包排查思路，下面说法正确的是 （10分）

1. A首先要看防火墙是否有会话，如果没有，可以肯定报文没有到防火墙
2. B如果有会话，则需要debug ip packet 查看报文是否到防火墙。
3. C如果报文丢在防火墙上，则需要debug aspf paket/debug security policy packet查看报文被防火墙丢弃的原因.
4. D如果会话统计显示Initiator->Responder有计数而Responder->Initiator没有计数说明防火墙很有可能没有收到回包。

5.管理员在命令行中输入display userlog export出现以下信息，根据回显信息可以推断出（ ）
Flow:
Export flow log as UDP Packet.
Version: 3.0
Source ipv4 address:
Source ipv6 address:
Log load balance function: Disabled
Local time stamp: Disabled
Number of log hosts: 1

 Log host 1:
 Host/Port: 172.31.0.61/30010
 Total logs/UDP packets exported: 15/15    

（10分）

1. A日志主机为172.31.0.61
2. BFlow日志版本为3.0
3. Cuserlog的配置正确
4. D无法判断userlog配置是否正确

6.会话业务热备功能实现了多台设备之间会话以及基于会话的业务的动态表项的热备份。下面关于NGFW防火墙的会话备份（又称会话同步）功能说法正确的有 （10分）

1. A会话同步的前提是配置IRF
2. B会话同步全局开启
3. CDNS和HTTP流量的会话同步需要单独开启
4. **D **session statistics enable命令可以在主备之间同步所有会话

7.关于NGFW防火墙debug信息表述正确的是 （10分）

1. **A **<FW>debugging ip packet acl #查看报文具体在设备上的收发情况
2. **B **<FW>debugging ip info acl #如果有丢包则会打印信息丢包的具体模块
3. **C **<FW>debugging aspf packet acl #如果报文状态不合法，则会显示被aspf丢弃
4. **D **<FW>debugging security-policy packet ip acl #如果是对象策略则用object-policy，如果是包过滤则用packet-filter

8.F1070防火墙配置IPS策略后无威胁日志，下列可能的原因有 （10分）

1. A特征库不是最新
2. BCPU高
3. C内存高
4. **D **inspect bypass

答案：

【合作伙伴大练兵-安全】NGFW盒式防火墙问题排查和维护.zip-Linux文档类资源-CSDN下载