考题篇(6.2) 03 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4

最新推荐文章于 2023-05-12 11:34:06 发布

飞塔老梅子

最新推荐文章于 2023-05-12 11:34:06 发布

阅读量531

点赞数

本文链接：https://blog.csdn.net/meigang2012/article/details/109202177

版权

NSE4 FortiGate 6.2 考题专栏收录该内容

13 篇文章 0 订阅

订阅专栏

An administrator wants to create a policy-based IPsec VPN tunnel between two FortiGate devices configuration steps must be performed on both devices to support this scenario? (Choose three.) 〖管理员希望在两个FortiGate设备之间创建基于策略的IPsec VPN隧道，必须在两个设备上执行什么配置步骤才能支持此场景?(选择三个)〗

　　A. Define the phase 1 parameters, without enabling IPsec interface mode.〖定义阶段1参数，但不启用IPsec接口模式〗

　　B. Define the phase 2 parameters.〖定义阶段2参数。〗

　　C. Set the phase 2 encapsulation method to transport mode.〖将第2阶段封装方法设置为传输模式。〗

　　D. Define at least one firewall policy, with the action set to IPsec.〖定义至少一个防火墙策略，操作设置为IPsec。〗

　　E. Define a route to the remote network over the IPsec tunnel.〖定义通过IPsec隧道到远程网络的路由。〗

　　【分析】

　　【答案】A B D

Which of the following statements about NTLM authentication are correct? (Choose two.) 〖以下关于NTLM身份验证的陈述哪一个是正确的?(选择两个)〗

　　A. It is useful when users log in to DCs that are not monitored by a collector agent.〖当用户登录到不受收集器代理监视的DC时，它非常有用。〗

　　B. It takes over as the primary authentication method when configured alongside FSSO.〖当与FSSO一起配置时，它将作为主要身份验证方法。〗

　　C. Multi-domain environments require DC agents on every domain controller.〖多域环境需要每个域控制器上的DC代理。〗

　　D. NTLM-enabled web browsers are required.〖需要web浏览器启用NTLM。〗

　　【分析】

　　在AD环境中，FSSO还可以与NTLM一起使用，NTLM是一套Microsoft安全协议，可为用户提供认证，完整性和机密性。

　　NTLM认证不需要DC agent，但用户并不完全不可见；用户必须在NTLM协商期间输入其凭据。NTLM认证是Microsoft专有的解决方案，因此只能在Windows网络中实现。

　　当用户对DC进行认证时，最常使用NTLM，由于某种原因，这些DC无法由collector agent监视，或者当collector agent与一个或多个DC的代理之间存在通信问题时。换句话说，NTLM认证最适合用作FSSO的备份。

　　请注意，FortiGate无法自行进行NTLM认证。 FortiGate需要将用户输入的凭证传递回collector agent以进行验证。如果验证成功，collector agent将依次使用相应的用户组响应FortiGate。

　　【答案】A D

View the certificate shown to the exhibit, and then answer the following question:〖查看下图显示的证书，然后回答以下问题：〗

　　The CA issued this certificate to which entity? 〖CA将此证书颁发给哪个实体?〗

　　A. A root CA 〖一个根CA〗

　　B. A person 〖一个人〗

　　C. A bridge CA 〖一个桥CA〗

　　D. A subordinate CA 〖一个下属CA〗

　　【分析】

　　【答案】A

Why does FortiGate keep TCP sessions in the session table for some seconds even after both sides (client and server) have terminated the session? 〖为什么FortiGate在会话表中保留TCP会话几秒钟，即使在双方(客户端和服务器)已经终止了会话?〗

　　A. To remove the NAT operation. 〖删除NAT操作。〗

　　B. To generate logs.〖生成日志。〗

　　C. To finish any inspection operations.〖完成任何检查操作。〗

　　D. To allow for out-of-order packets that could arrive after the FIN/ACK packets.〖允许在FIN/ACK包之后到达的无序包。〗

　　【分析】

　　会话表包含一个数字，该数字指示连接的当前TCP状态。但是proto_state始终显示为两位数字。这是因为FortiGate是一个有状态的防火墙，并且跟踪原始方向（客户端状态）和回复方向（服务器端状态）。如果长时间处于SYN状态的连接过多，则表明存在SYN泛洪，你可以使用DoS策略缓解这种情况。

　　该表和流程图将第二个数字值与不同的TCP会话状态相关联。例如，当FortiGate接收到SYN数据包时，第二个数字为2。一旦接收到SYN/ACK，该数字就变为3。三次握手后，状态值更改为1。

　　当双方都关闭会话时，FortiGate会将其在会话表中保留几秒钟，以允许可能在FIN/ACK数据包之后到达的任何乱序数据包。这是状态值5。

　　【答案】D

A FortiGate is operating in NAT mode and configured with two virtual LAN (VLAN) sub interfaces added to the physical interface. 〖FortiGate在NAT模式下运行，并配置了两个虚拟LAN (VLAN)子接口，这些子接口添加到物理接口中。〗

　　Which statements about the VLAN sub interfaces can have the same VLAND ID, only if they have IP addresses in different subnets. 〖哪些声明关于VLAN子接口可以有相同的VLAND ID，只有当他们有IP地址在不同的子网。〗

　　A. The two VLAN sub interfaces can have the same VLAN ID, only if they have IP addresses in different subnets. 〖两个VLAN子接口可以具有相同的VLAN ID，只有在它们具有不同子网中的IP地址时才可以。〗

　　B. The two VLAN sub interfaces must have different VLAN IDs.〖两个VLAN子接口必须具有不同的VLAN ID。〗

　　C. The two VLAN sub interfaces can have the same VLAN ID, only if they belong to different VDOMs. 〖只有在属于不同的VDOM时，两个VLAN子接口可以具有相同的VLAN ID。〗

　　D. The two VLAN sub interfaces can have the same VLAN ID, only if they have IP addresses in the same subnet.〖两个VLAN子接口可以具有相同的VLAN ID，只有在它们具有相同子网中的IP地址时才可以。〗

　　【分析】

　　VLAN将你的物理LAN分成多个逻辑LAN。在NAT操作模式中，每个VLAN形成单独的广播域。 多个VLAN可以在同一物理接口中共存，前提是它们具有不同的VLAN ID。通过这种方式，物理接口被分成两个或更多个逻辑接口。将标签添加到每个以太网帧以标识其所属的VLAN。

　　【答案】B

You mc tasked to design a new IPsec deployment with the following criteria: 〖你的mc的任务是按照以下标准设计新的IPsec部署：〗

　　- There are two HQ sues that all satellite offices must connect to 〖所有的分部必须连接两个总部〗

　　- The satellite offices do not need to communicate directly with other satellite offices 〖分部与分部之间不需互相通信〗

　　- No dynamic routing will be used 〖不会使用动态路由〗

　　- The design should minimize the number of tannels being configured. 〖设计应配置尽量减少隧道的数量。〗

　　Winch topology should be used to satisfy all of the requirements? 〖哪个拓扑图满足所有的要求?〗

　　A. Partial mesh 〖部分互联〗

　　B. Hub-and-spoke 〖星型〗

　　C. Fully meshed 〖全网状〗

　　D. Redundant 〖冗余〗

　　【分析】

　　这种点对多点的拓扑称为Hub-and-Spoke VPN。 “Hub-and-Spoke”这个名称描述了所有客户端如何通过中心端连接，类似于辐条如何连接到车轮上的轮毂。

　　在此示例中，客户端（分支）是分支办公室FortiGate设备。为了使任何分支办公室都能到达另一个分支办公室，其流量必须通过总部进行转发。

　　这种拓扑的一个优点是可以轻松管理VPN配置和防火墙策略。分支办公室FortiGate设备的系统要求也最低，因为每个设备仅需要维护一个隧道-两个SA。在此示例中，总部网络中的FortiGate需要四个隧道（八个SA）。

　　缺点之一是分支办公室之间的通讯需要通过总部，这要比直接连接慢。如果您的总部与其他跨国分公司在物理上相距遥远，则尤其如此。例如，如果您的总部位于巴西，并且在日本和德国设有办事处，则延迟可能会很长。

　　另外，如果总部的FortiGate发生故障，则会影响所有其它分公司间的VPN通讯。在此示例中，总部的FortiGate性能必须要强大得多，因为它可以同时处理四个隧道（八个SA）。

　　【答案】B

Which of the following statements is true regarding SSL VPN settings for an SSL VPN portal? 〖关于SSL VPN门户的SSL VPN设置，下列哪个陈述是正确的?〗

　　A. By default, FortiGate uses WINS servers to resolve names. 〖默认情况下，FortiGate使用WINS服务器解析名称。〗

　　B. By default, the SSL VPN portal requires the installation of a client’s certificate.〖在缺省情况下，SSL VPN门户需要安装客户机的证书。〗

　　C. By default, split tunneling is enabled.〖默认情况下，分割隧道是启用的。〗

　　D. By default, the admin GUI and SSL VPN portal use the same HTTPS port. 〖默认情况下，管理GUI和SSL VPN门户使用相同的HTTPS端口。〗

　　【分析】

【SSL VPN门户并没有HTTPS端口设置选项，在SSL VPN设置中才有。因此第4条是错的。】

　　【答案】C

Which of the following conditions roust be met in order for a web browser to trust a web server certificate signed by a third-party CA? 〖要使web浏览器信任由第三方CA签署的web服务器证书，需要满足下列哪个条件?〗