一、单选题

1.相比较于路由器、交接机，防火墙转发独有的模块为?

交换网板

MPU

LPU

SPU

解析：

SFU（Switch Fabric Unit）：交换网板，负责整个系统的数据平面数据平面提供高速无阻塞数据通道，实现各个业务模块之间的业务交换功能。

MPU（Main Processing Unit）：主控板，负责整个系统的控制平面和管理平面。

LPU（Line Processing Unit）：线路板，是物理设备上用于提供数据转发功能的模块，提供不同速率的光口、电口。

SPU（Security Processing Unit）：安全处理单元。

2.防火墙双机设备场景下，主要设备之间通过哪种协议实现会话表备份?

HRP

VRRP

BFD

VGMP

解析：

HRP：实现防火墙双机之间动态状态数据和关键配置命令的备份。

VRRP：VRRP是一种容错协议，它保证当主机的下一跳路由器(默认网关)出现故障时，备份路由器能自动代替前者完成报文转发任务，从而保持网络通信的连续性和可靠性。

BFD：提供了一个通用的、标准化的、介质无关和协议无关的快速故障检测机制，用于快速检测、监控网络中链路或者IP路由的转发连通状态。

VGMP：将防火墙上的所有VRRP组都加入到一个VGMP组中，由VGMP组来集中监控并管理所有的VRRP组状态。如果VGMP组检测到其中一个VRRP组的状态变化，则VGMP组会控制组中的所有VRRP组统一进行状态切换，保证各VRRP备份组状态的一致性。
3.防火墙双机热备场景下，VGMP报文不会携带以下哪种信息?

本端设备的软件版本

本端设备是否处于忙状态

本端VGMP组的优先级

本端VGMP组的状态

解析：VGMP报文：了解对端设备的VGMP组的状态，确定本端和对端设备当前状态是否稳定，是否要进行故障切换。

4.防火墙双机热备场景下，以下哪种类型的报文需要配置安全策略?

配置和表项备份报文

免费ARP报文

心跳链路探测报文

DHCP报文

解析：DHCP有单播报文。

5.防火墙双机热备场景下，每台防火墙有个VGMP组，缺省情况下，VGMP组处于以下哪种工作状态?

Active

Initialize

Load Balance

Standby

解析：

VGMP组有四种状态：initialize、load-balance、active和standby。其中，initialize是初始化状态，设备未启用双机热备功能时，VGMP组处于这个状态。其他三个状态则是设备通过比较自身和对端设备VGMP组优先级大小确定的。设备通过心跳线接收对端设备的VGMP报文，了解对端设备的VGMP组优先级。
设备自身的VGMP组优先级等于对端设备的VGMP组优先级时，设备的VGMP组状态为load-balance。
设备自身的VGMP组优先级大于对端设备的VGMP组优先级时，设备的VGMP组状态为active。
设备自身的VGMP组优先级小于对端设备的VGMP组优先级时，设备的VGMP组状态为standby。
设备没有接收到对端设备的VGMP报文，无法了解到对端VGMP组优先级时，设备的VGMP组状态为active。例如，心跳线故障。
双机热备要求两台设备的硬件型号、单板的类型和数量都要相同。因此，正常情况下两台设备的VGMP组优先级是相等的，VGMP组状态为load-balance。如果某一台设备发生了故障，该设备的VGMP组优先级会降低。故障设备的VGMP组优先级小于无故障设备的VGMP组优先级，故障设备的VGMP组状态会变成standby，无故障设备的VGMP组状态会变成active。

6.防火墙双机热备场景下，当VGMP工作在负载分担模式时，为了避免在来回路径不一致的场景下回程流量因没有匹配到会话表项而丢弃的现象，防火墙需要启开一下那些功能?

会话快速备份

手工批量备份

自动备份

开启BFD检测

解析：在来回路径不一致组网环境下，即来回两个方向的报文分别从不同的FW经过，如果主用设备的会话没有及时备份到备用设备，则备用设备会将到达的报文丢弃。为防止上述现象发生，需开启快速备份会话，将主用设备相应的会话快速备份到备用设备，使返回报文在备用设备上能够查找到相应的会话，从而保证内外部用户的业务不中断。负载分担和业务口未启用VRRP的双机热备组网容易出现来回路径不一致。实际是否存在来回路径不一致，请根据组网和业务来判断。

7.在状态检测防火墙中,开启状态检测机制时,三次握手的第二个报文(SHN+ACK)到达防火墙的时候如果防火墙上还没有对应的会话表,则下面说法正确的是:

如果防火墙安全策略允许报文通过,则创建会话表

缺省状态下,关闭状态功能后,并配置了允许策略即可通过

报文一定通过防火墙,并建立会话表

如果防火墙安全策略允许报文通过,则报文可以通过防火墙

二、多选题

1.关于配置防火墙安全区域的安全级别的描述，错误的是:

新建的安全区域，系统默认其安全级别为1

只能为自定义的安全区域设定安全级别

同一系统中，两个安全区域不允许配置相同的安全级别

安全级别一旦设定，不允许更改

解析：安全级别需要手动设置，可以修改。

2.USG系列防火墙自定义的安全区域的安全级别可设置以下哪些值?

150

100

40

80

解析：安全级别取值范围1-100。

3.以下关于防火墙的默认安全区域Trust和Untrust的描述，正确的是哪些项?

从Trust区域访问Untrust区域方向为Inboud方向

从Trust区域访问Untrust区域方向为Outboud方向

Untrust的安全级别是50

Trust的安全级别是85

解析：

从高到低是出方向，从低到高是入方向。

Untrust的安全级别是5。

4.防火墙双机热备场景下，主备防火墙之间能够备份以下哪些配置?

安全区域

安全策略

NAT策略

sysname

5.防火墙双机热备场景下，以下哪些情况会使本端设备主动发送VGMP报文?

优先级增加

双机热备功能关闭

双机热备功能开启

链路探测报文超时

6.防火墙双机热备场景下，主备防火墙之间能够备份以下哪些状态信息?

SeverMap表

AA用户表(缺省用户admin不备份)

动态MAC地址表

会话表

7.基于会话的状态检测防火墙对于首包和后续包有不同的处理流程，下面描述正确的是:

报文到达防火墙时，会查找会话表，如果匹配，防火墙会执行后续包处理流程

在状态检查机制打开的情况下，后续包也需要进行安全策略检查

在状态检查机制打开的情况下，防火墙处理TCP报文时，只有SYN报文才能建立会话

报文到达防火墙时，会查找会话表，如果没有匹配，防火墙会执行首包处理流程

解析：后续报文会按会话表进行转发。

三、判断题

1.如图所示，状态检测防火墙会转发该报文，因为该报文符合防火墙会话状态。×

2.状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话,并且由防火墙安全策略决定建立哪些会话,而且数据包只有与会话相关联时才会被转发√

3.防火墙双机热备场景下，业务接口需要加入安全区域，心跳接口不需要加入安全区域。×

4.防火墙双机热备场景下，心跳接口可以物理直连，也可以通过中间设备如交换机或路由器连接。√