2017 深信服考试系统-高级AC-A卷-71分

2023年12月7日发(作者：)

您好（詹柱美3-深圳） 退出

考场选择/ 2017AC渠道高级认证考卷_A卷/ 正式考试/ 2017AC渠道高级认证考卷_A卷2017AC渠道高级认证考卷_A卷1、单选题

1[AC 11.8]，在上架AC设备后，开启认证，浏览器测试打开网址，发现弹不出认证框，以下排查错误的是（ ）A.是否是打开的https类型的网站，这种类型默认不做重定向，但是可以配置来实现重定向B.确认终端是否能够正常解析域名C.检查是否勾选了“未认证或被冻结时允许访问dns服务”

D.确认AC设备是否能够正常上网A

B

C

D2[AC 11.8]，下列关于深信服SG设备短信认证的说法，错误的是（ ） 01：02：07回顶部

A.支持短信认证自动bypass，当短信猫出现故障时，用户自动以IP地址上线上网B.短信认证以手机号上线，满足实名认证需要试题列表已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟C.设备路由、网桥、旁路、单臂模式均可以支持短信认证D.短信猫可以连接设备串口，也可以连接短信服务器，通过短信服务器发送短信交 卷/A

B

C

D3[AC 11.8]，客户内网有一个C/S架构的OA系统，OA系统采用oracle数据库保存登陆的账号和密码，现在客户不想额外维护另外一套账号，希望能够用相同的账号密码在AC上做身份认证，下列做法能够达到要求的是（ ）A.采用LDAP外部认证B.采用Radius单点登陆C.采用数据库单点登陆D.采用Radius外部认证A

B

C

D4[AC 11.8]，关于无线配置功能说法错误的是（ ）A.只支持本地转发B.只支持1.8版本APC.只支持集中转发D.只支持sangfor APA

B

C

D 01：02：075回顶部 试题列表已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟[AC 11.8]，关于AC设备主主模式和主备模式的说法错误的是（ ）交 卷/A.主主模式和主备模式都要求版本一致B.主主模式下设备都可以加入scC.主主模式下，仅主控能修改上网策略，节点从主控同步上网策略D.主备模式的两台设备，可以通过HA灯的状态加以区分A

B

C

D6[AC 11.8]，某客户内网分为多个地址段，采用AD域做桌面管理，由于办公区和会议室采用不同的地址段，来回切换经常需要重新登陆认证，可以采用哪种单点登陆方式来避免这种情况（ ）A.域脚本方式单点登陆，开启常驻内存B.免插件单点登陆C.监听方式单点登陆单点登陆A

B

C

D7[AC 11.8]，关于以下关于数据中心版本DC11说法，正确的是（ ）A.外置升级到DC11后，升级前一个月的日志是查询不到的B.设备升级到AC11后，升级前一个月的日志还能查询和统计C.外置DC11的查询页面登录方式不是服务器11内置数据中心的查询页面只能通过控制台跳转 01：02：07回顶部 试题列表ABCD已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟交 卷/ 8[AC 11.8]，客户想实现审计微信客户端聊天内容，以下说法正确的是（ ）A.由于微信客户端加密，目前审计需要开启SSL内容识别B.由于微信客户端加密，目前审计需要开启准入策略并安装准入插件C.新增一条上网审计策略，勾选“IM聊天内容”和“其他IM聊天内容”D.以上说法均不正确A

B

C

D9[AC 11.0]，SSL内容识别，说法错误的是 （ ）A.客户端与AC加密证书为AC的证书，AC与服务器加密用服务器证书B.需要先确认多功能序列号已激活SSL内容识别，默认是激活的C.要审计加密邮件，和https的网站时，要开启ssl内容识别内容识别时，AC需要是网桥部署A

B

C

D10[AC 11.0]，客户部署了SANGOR无线设备及AC设备，希望实现用户接入无线认证后，同时自动通过AC认证。请问是否可以满足客户需求（ ） 01：02：07A.无法实现此需求回顶部

B.可以实现此需求，通过“深信服设备”单点登录，无线作为接收设备，AC作为转发设备试题列表C.可以实现此需求，通过“深信服设备”单点登录，无线作为转发设备，AC作为接收设备已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟D.可以实现此需求，通过“深信服设备”单点登录，无线和AC均作为转发设备交 卷/A

B

C

D11[AC 11.0]，关于AC上网审计策略描述，错误的是（ ）A.可以审计用户发贴内容B.可以审计用户上网产生的流量C.可以审计用户通过HTTP下载的文件内容D.可以审计用户上网时长A

B

C

D12[AC 11.0]，客户当前已经部署了AC设备，希望对无线访客的SSID使用多种认证方式，访客通过微信认证、短信认证、本地用户名密码认证或LDAP外部认证任一方式都可通过认证，请问一下说法正确的是（ ）A. 认证方式太多了，无法同时支持B. 使用短信认证必须要购买深信服原厂的短信猫才行，否则无法发送短信验证码，不能进行短信认证C. 可以实现客户的需求，但是需要配置认证策略，选择多种认证服务器D. PC端无微信客户端，无法通过微信认证的方式通过认证A

B

C

D 01：02：07回顶部 试题列表13已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟交 卷/[AC 11.0]，客户公司上班时间想保障办公业务的访问，上班时间对下载等应用访问带宽要限制，请问下面哪个功能才能满足客户需求（）A.流控功能B.用户限额策略-流速限制C.用户限额策略—时长控制访问网络质量检测A

B

C

D14[AC 11.8]，关于AC的DKEY下列说法正确的是：（ ）A.免认证key为蓝色B.特权key可以同时免认证和免审计C.特权key为绿色D.免认证key可以免认证和免审计A

B

C

D15[AC 11.8]，下列关于流量管理的说法，错误的是（ ）A.P2P智能流控是通过抑制P2P上传速率来达到控制P2P下载速率的B.动态流控功能仅在限制通道下才能设置，并且匹配线路空闲时才允许突破 01：02：07回顶部

C.子通道继承父通道部分属性，当父通道是保证通道时，子通道可以是保证通道或限制通道；当父通道为限制通道时，子通道只能是限制通道试题列表已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟D.惩罚通道也属于流控通道，也分为限制通道和保证通道交 卷/A

B

C

D16[AC 11.8]，客户内网采用域脚本方式单点登陆，发现部分用户无法正常单点登陆上线，下列排查错误的是（ ）命令检查无法登陆的用户是否获取到组策略B.检查文件，定位无法上线的原因C.检查PC到AC的网络连通性是否正常D.检查服务器配置的脚本参数是否是“ACIP 1773 密钥”的格式A

B

C

D17[AC 11.8]，关于DOS攻击防护的说法，下列正确的是（ ）A.启用内网网段列表，意思是列表内的网段会匹配dos攻击防护策略，不在列表内的网段不匹配dos攻击防护策略B.内网到本设备间通过一台/多台二层交换机直连，没有跨越任何的三层交换设备，在AC下连有三层设备时，此选项可以勾选，也可以不勾选C.如果内网服务器连接数一般比较大，建议将内网服务器添加到dos攻击排除列表D.开启DOS攻击防护后，可以通过短信发送告警A

B

C

D 01：02：07回顶部 试题列表18已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟[AC 11.0]，审计windows客户端版QQ聊天内容可以通过下列哪类上网策略实现（ ）交 卷/A.上网权限策略

B.上网审计策略

C.用户限额策略

D.准入策略A

B

C

D19[AC 11.8]，某客户使用AC做内网用户的认证和相关的上网权限控制，公司官网托管在外部云平台，想让内部所有用户都能访问此网站，包括未认证的用户，下列操作达不到预期目的的是（）A.通过防火墙规则，放通网站对应的IP地址B.新增上网权限策略，放通自定义的该网站URL，关联未认证用户组，用户认证前使用该组权限C.全局排除网站对应的IP地址D.全局排除网站对应的域名A

B

C

D20[AC 11.0]，客户AC已经部署上架，同时使用本地认证和LDAP外部认证，当前本地和LDAP都有TEST用户，请问以下说法正确的是（ ）A. TEST用户密码优先匹配LDAP外部认证服务器 01：02：07回顶部 试题列表B. TEST用户密码优先匹配本地用户C. 使用LDAP外部认证或者本地认证的TEST用户对应的密码都可以登录设备，无优先级关系D. 因为TEST用户有冲突，此时设备会报错，无法使用TEST登录认证已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟A

B

C

D交 卷/21[AC 11.8]，AC设备网桥模式部署，客户要审计QQ网页版邮箱，下列操作正确的是（ ）A.上网审计策略，应用审计中开启“外发的web mail邮件内容”B.准入策略，开启IM聊天内容监控C.上网权限策略，开启SSL内容识别，添加对应的邮箱地址；上网审计策略中，应用审计开启“外发的web mail邮件内容”D.上网权限策略，开启SSl内容识别，添加对应的邮箱地址；上网审计策略中，应用审计开启“发送邮件（SMTP）”和“接收邮件（POP3/IMAP）”A

B

C

D22[AC 11.8]，关于集成windows身份认证（IWA）以下说法错误的是：（ ）支持ntml协议和kerberos协议必须通过打开网页的行为触发认证使用端口100与pc通信支持用户主动注销A

B

C

D23 01：02：07回顶部

[AC 11.8]，某客户希望实现，公共电脑区的用户登录后关闭浏览器自动注销用户，建议用哪个方式来实现（ ）试题列表已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟交 卷/A.等待无流量自动注销B.管理员定期手动去注销C.设置每天强制注销所有用户D.勾选“密码认证后注销窗口”A

B

C

D24[AC 11.0]，域单点登录优缺点描述错误的是（ ）A.脚本方式成功率高，客户普遍使用方式，可以同时实现登录和注销B.监听方式的缺点是，需要在域服务器上修改组策略，部分客户不愿意修改的缺点是，用户登录域后，打开网页才能触发认证，无法实现用户从域中注销同时从设备下线的优点是不需要改变域的组策略A

B

C

D25[AC 11.8]，关于QQ白名单，下列说法正确的是（ ）A.支持QQ收发消息、传输文件（未封堵应用：IM传文件），不支持RTX、企业QQ、webQQ，移动QQ等B.配置了封堵QQ音乐、邮箱、传文件的策略时，配置了QQ白名单，会放通从QQ中跳转的关联 01：02：07应用，例：QQ音乐、股票、空间、邮箱、传文件等C.如果勾选了“未认证通过前可以访问根组服务”根组又没有做任何策略，那当内网用户没有通回顶部 试题列表过AC认证时本身是可以上QQ的，不匹配白名单策略已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟D.配置QQ白名单，同时配置了QQ应用封堵策略，QQ白名单功能依然有效交 卷/A

B

C

D26[AC 11.0]，下面关于用户配额策略说法错误的是（ ）A.流量配额中，当日配额、月配额同时超限了，只生效1次/提示1次冲突时，以日配额为准B.流量配额、时长配额、流速限制、并发连接限制，这四个配额，都是基于用户的所以如果是公共账号，同一个用户名下同时有多个IP在线，则这些IP的流量都会统计到一个用户名上，一起算配额C.在线终端数限制中，允许每用户同时在线的终端个数，针对公共账号和私有账号都生效D.时长配额中，“应用时长”是指用户产生的应用流量通过设备的时间的累加A

B

C

D27[AC 11.8]，某客户内部采用AC结合radius做外部认证，有一天上班发现，用户反馈无法认证成功，请问以下排查思路错误的是？A.检查AC与radius服务器的连通性B.内网电脑ping radius服务器，检查电脑到radius服务器是否通C.检查内网电脑上网时是否能够正常弹出认证框，确认是否是内部网络问题D.外部认证服务器页面，测试服务器有效性，确认radius服务器运行是否正常A

B

C

D 01：02：07回顶部 试题列表28已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟[AC 11.8]，trunk环境中，下列说法正确的是（ ）交 卷/A.设备多网桥模式部署，桥IP可用并且不同网段，此环境不支持准入在线安装与检测B.设备单网桥部署，桥IP不可用，使用DMZ口重定向，此环境不支持防代理功能C.设备单网桥部署，桥IP不可用，使用DMZ口重定向，此环境支持SSL内容识别D.设备多网桥部署，桥IP不可用，使用DMZ口重定向，此环境不支持IWA单点登录A

B

C

D29[AC 11.0]，高校学生通过PPPoE拨号上网，AC旁路部署审计学生上网帐号及上网记录。请问下面选项中，哪项的配置不是必须的（）A.将PPPoE拨号服务器到互联网方向的流量镜像给ACB.设备需要配置协议剥离C.设备需要启用PPPoE单点登录D.旁路模式内网监控网段列表需要填写拨号后获得的IP地址段A

B

C

D30[AC 11.0]，下列关于AC11.0主备模式部署说法错误的是（ ）A.主备模式部署的两台设备，软件版本要求一致B主备部署的两台设备，只有一台在工作，另一台在监听C.三台或以上设备可以部署成主备模式。 01：02：07回顶部 试题列表D.只有路由模式可以部署主备模式，网桥模式不支持部署主备模式A

B

C

D已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟交 卷/31[AC 11.8]，下面关于logon2.0单点登录，说法错误的是（ ）A.客户希望实现已单点登录成功的电脑，拨掉网线后自动从AC设备注销，此需求可以通过logon2.0心跳功能实现B.客户环境中有多台AC，希望电脑登录域后，同时通过多台AC单点登录认证，此需求可以通过logon2.0结合sinforIP参数配置文件实现2.0运行时，日志文件默认保存在电脑%appdata%/.logon目录下D.因为logon2.0默认开启了常驻内存功能，所以对于已单点登录成功的电脑，达到无流量超时时间从AC设备注销后，可以再自动单点登录上线A

B

C

D32[AC 11.0]，客户内网已有AD域控，现部署AC和AD域做认证对接，希望实现用户开机登录域同时通过AC认证，从域中注销同时从AC下线，请问你推荐下面哪种方案（）A.脚本单点登录单点登录单点登录D.无法实现此需求A

B

C

D33 01：02：07回顶部

[AC 11.8]，关于AC链路负载下来说法错误的是（ ）试题列表已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟A.链路负载功能只在路由模式下有效B.需要使用外网多线路，在序列号中至少开启2条外网线路的备份交 卷/C.多线路负载策略中可以实现动态就近性，谁快走谁D.链路负载可以通过vpn做专线备份A

B

C

D34[AC 11.0]，防火墙网关出口--核心交换机--内网，代理服务器连接在核心交换机，该客户网络环境中，如下关于AC设备部署说法中，正确的是：A.我们AC路由模式部署在防火墙和交换机之间，不需要做其他操作，就可以实现识别并管控内网用户B.我们AC网桥模式部署在防火墙和交换机之间，在认证选项里面勾选wan到lan连接不认证就可以正常管控内网用户C.我们AC网桥模式部署在代理服务器和交换机之间，lan接核心交换机，wan接代理服务器，在认证选项里面勾选wan到lan连接不认证可以正常识别并管控内网用户D.这种环境我们设备没办法部署，需要客户去改自己的网络环境A

B

C

D35[AC 11.0]，客户处AC11.0路由模式部署，客户外网有两条线路，一条是和总部对接的专线线路，一条是和总部对接的SANGFOR VPN线路。如果客户想实现业务数据优先走专线，当专线断开后走VPN线路，下列说法正确的是（ ）A.需求可以实现，只需要配置AC上的“链路检测”功能即可B.需求可以实现，需要通过AC链路负载功能中的“VPN做专线备份”功能实现 01：02：07回顶部

C.需求可以实现，需要通过AC链路负载功能中的“多线路负载”功能实现D.需求可以实现，需要通过AC链路负载功能中的“指定线路策略理由”功能实现试题列表已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟A

B

C

D交 卷/2、多选题

1[AC 11.8]，下面关于AC11.0链路负载功能，说法正确的是（ ）A.链路负载功能只在路由模式下有效B.需要使用外网多线路，需要在序列号中至少开启2条外网线路的授权C.”链路故障检测设置中“，”检测方法“中如果既配置了DNS检测，又配置了ping检测，则任意一种检测不通即认为该线路故障D.”链路故障检测设置中“，”检测方法“中如果既配置了DNS检测，又配置了ping检测，则两种检测都不通才认为该线路故障A

B

C

D2[AC 11.8]，关于微信认证以下说法错误的是（ ）A.客户部署微信认证需要有一个微信订阅号或服务号B.微信认证能够获取到用户的微信账号C.微信认证能够获取到用户的昵称D.微信认证能够获取到用户openidA

B

C

D 01：02：07回顶部

3试题列表已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟[AC 11.8]，某客户希望将AC设备网桥模式部署在出口路由器和内网三层核心交换机之间，但发现设备上架前，出口路由器和三层核心交换机之间的接口都是TRUNK模式，请问以下说法正确交 卷/的是（ ）网桥模式不支持TRUNK模式，所以当前环境无法使用网桥模式部署网桥模式可以支持该环境，AC网桥不配置TRUNK相关配置，单独配置管理接口即可网桥模式可以支持该环境，AC网桥配置TRUNK相关配置，使用配置的某个VLAN IP管理设备网桥模式部署成功后，需要配置VLAN协议剥离，否则无法识别VLAN的数据，不能识别终端的具体应用A

B

C

D4[AC 11.8]，AC全局排除的IP地址，下来哪些模块仍然生效（ ）.系统路由C.上网权限策略D.防dos攻击A

B

C

D5[AC 11.8]，下列兼容性说法正确的是（ ）2.0脚本仅支持win7、win8、win10操作系统 01：02：兼容IE浏览器、chrome、搜狗浏览器C.准入客户端支持windows XP、Win7、Win8、Win10操作系统回顶部 试题列表D.数据中心Dkey对于32或64位操作系统都支持默认的IE浏览器、均支持32位的chrome和已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟Firefox浏览器交 卷/A

B

C

D6[AC 11.0]，AC路由部署在公网出口，内网用户通过AC进行上网行为控制，客户要求审计内网用户的所有上网行为,结果发现内网有大部分的应用(包括邮件、QQ聊天内容)没有审计到，下列说法正确的是（）A.检查AC上的多功能序列号是否开启了“内容审计”，没有开启则审计不到邮件或QQ聊天内容B.检查内网测试电脑的IP是否添加到了AC的全局排除地址列表中C.检查客户测试电脑是否是非WINDOS系统的PC，例如MAC系统或linux系统，这些系统无法监控QQ的聊天内容信息。D.检查客户测试电脑是否通过加密方式发送的邮件，如果是需要在AC上开启SSL内容识别功能才可以审计到A

B

C

D7[AC 11.8]，关于AC重定向功能描述错误的是（ ）A.基于虚拟ip地址的重定向，我们不需要去查询路由表，直接从过来的网口发重定向数据包B.访问虚拟地址的数据需要经过我们设备，才可以正常重定向11.0及以上版本，可以使用虚拟地址来重定向，也可以使用网桥IP来重定向管理的部署必须使用DMZ重定向才能实现该功能 01：02：07

A回顶部 试题列表B

C

D已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟8交 卷/[AC 11.0]，下面关于网关杀毒的测试方案合理的是（）下载病毒文件测试上传病毒文件测试下载病毒文件测试发送病毒邮件测试A

B

C

D9[AC 11.8]，某客户AC设备，认证策略是密码认证，需要实现一个用户名只允许登录两个终端，以下说法正确的是（ ）A.如果用户允许登录的终端IP地址固定，可以在用户绑定里将用户与IP绑定B.如果用户允许登录的终端IP地址固定，可以在用户属性里设置限制IP地址登录C.如果用户允许登录的IP地址不固定，但是MAC地址固定，可以在用户绑定里将用户与MAC绑定D.如果IP和MAC都不固定，不可以在终端限额策略里限制在线终端数量A

B

C

D10[AC 11.0]，客户处AC11.0设备单网桥部署在网络出口路由器和核心交换机之间，现在发现设备中的规则库无法更新，下列排查方法正确的是（） 01：02：07回顶部

A.可能是设备的规则库已过期，需要检查“系统管理”-“系统配置”-“系统更新”-“规则库升级”中的规则服务有效期是否有效。试题列表已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟B.可能是设备无法上网，可以在“系统管理”-“系统诊断”-“命令控制台”上ping 公网地址测试设备是否可以上网交 卷/C.可能是前置防火墙或路由器上对AC的地址做了限制，需要去前置设备上检查策略配置，并放通AC访问公网的权限。D.可能是设备无法上网，可以在“系统管理”-“防火墙”-“NAT代理上网”中检查有没有配置NAT代理上网。A

B

C

D 01：02：07回顶部 试题列表已做 45 题 共 45 题 总分：100分 合格分数线：65分 考试时间：90分钟交 卷/