A. Source IP 〖源IP〗
B. Spillover 〖溢出〗
C. Volume 〖容量〗
D. Session 〖会话〗
SD-WAN负载均衡使用与等价多路径(ECMP)类似的流量分配方法。 但是,SD-WAN链路负载平衡还包括一种平衡方法:容量。
默认情况下,load-balance-mode设置为source-ip-based。 但是,您可以使用以下cli命令更改负载均衡模式:
config system virtual-wan-link
set load-balance-mode <load balance mode>
end
SD-WAN链路负载平衡使用以下方法:
基于源IP的:来自同一源IP的所有流量都将发送到同一接口;
基于权重的:具有较高权重的接口具有较高优先级并获得更多流量;
基于溢出(使用率)的:所有流量都将发送到列表中的第一个接口。 当该接口上的带宽超过溢出限制时,新流量将发送到下一个接口;
基于源和目标IP的:从同一源IP到同一目标IP的所有流量都将发送到同一接口;
基于容量的:基于容量的负载均衡,根据流量(以字节为单位)进行负载平衡,更多流量被发送到具有更高权重比率的接口。
A. The inspection mode of at least one VDOM must be proxy-based.〖至少一个VDOM的检查模式必须是基于代理的。〗
B. At least one of the VDOMs must operate in NAT mode.〖至少有一个vdom必须在NAT模式下运行。〗
C. The inspection mode of both VDOMs must match.〖两个vdom的检查模式必须匹配。〗
D. Both VDOMs must operate in NAT mode.〖两个vdom都必须在NAT模式下运行。〗
每个VDOM的行为都与单独的FortiGate设备上的行为相似。在独立的FortiGate设备之间,通常你使用网线连接它们并配置路由和策略。但是在一台FortiGate设备内的VDOM,你应该如何路由它们之间的流量?
解决方法就是使用inter-VDOM连接. Inter-VDOM是虚拟接口的一种,可以路由VDOM间的流量。这样两个VDOM之间就不需要物理网线进行连接。
在两个NAT模式的VDOM间互联的情况下,Inter-VDOM链路的两端必须位于同一IP子网上,因为它是点对点的网络连接。
请注意,与使用VLAN间路由类似,必须涉及第3层 - 你无法在2层透明模式VDOM之间创建Inter-VDOM连接。
至少有一个VDOM必须在NAT模式下运行。 除了其他优势之外,这还可以防止潜在的第2层循环。
A. It is an idle timeout. The FortiGate considers a user to be "idle" if it does not see any packets coming from the user's source IP.〖这是一个空闲超时。如果没有看到任何来自用户源IP的数据包,FortiGate会认为用户是“空闲的”。〗
B. It is a hard timeout. The FortiGate removes the temporary policy for a user's source IP address after this timer has expired.〖这是一个硬暂停。该计时器过期后,FortiGate将删除用户源IP地址的临时策略。〗
C. It is an idle timeout. The FortiGate considers a user to be "idle" if it does not see any packets coming from the user's source MAC.〖是一个空闲超时。如果没有看到任何来自用户源MAC的数据包,FortiGate会认为用户是“空闲的”。〗
D. It is a hard timeout. The FortiGate removes the temporary policy for a user's source MAC address after this timer has expired.〖这是一个硬暂停。该计时器过期后,FortiGate将删除用户源MAC地址的临时策略。〗
身份验证超时对于安全目的很有用。它最大程度地降低了使用合法身份验证用户的IP的风险。它还可以确保用户不进行身份验证,然后无限期地保留在内存中。 如果用户永远留在内存中,最终将导致内存耗尽。
超时行为有三个选项:
Idle:查看来自主机IP的数据包。 如果主机设备在配置的时间范围内没有生成任何数据包,则该用户将注销。
Hard:时间是绝对值。 无论用户的行为如何,计时器都会在用户进行身份验证后立即启动,并在配置值后过期。
New session:即使在现有通信通道上正在生成流量,如果在配置的超时值内没有通过防火墙从主机设备创建新会话,则身份验证也会过期。
选择最适合你环境的身份验证需求的超时类型。
The WAN (port1) interface has the IP address 10.200.1.1/24. The LAN (port2) interface has the IP address 10.0.1.254/24. 〖WAN (port1)接口的IP地址是10.200.1.1/24。LAN (port2)接口的IP地址是10.0.1.254/24。〗
The first firewall policy has NAT enabled on the outgoing interface address. The second firewall policy is configured with a VIP as the destination address. 〖第一个防火墙策略在外向接口地址上启用了NAT。第二个防火墙策略配置了一个VIP作为目标地址。〗
Which IP address will be used to source NAT the Internet traffic coming from a workstation with the IP address 10.0.1.10/24? 〖来自IP地址为10.0.1.1 /24的工作站的互联网流量将使用哪个IP地址作为NAT的来源?〗
A. 10.200.1.10
B. Any available IP address in the WAN (port1) subnet 10.200.1.0/24〖WAN (port1)子网10.200.1.0/24中任何可用的IP地址〗
C. 10.200.1.1
D. 10.0.1.254
【本题用了一堆VIP的设置,企图诱导到DNAT,最后的提问却是SNAT问题。】
A. Administrative access 〖管理访问权限〗
B. HA heartbeat 〖HA心跳〗
C. CPU〖中央处理器〗
D. Hard disk 〖硬盘〗
E. Network interfaces 〖网络接口〗
A. Load a debug FortiOS image.〖加载一个调试FortiOS映像。〗
B. Load the hardware test (HQIP) image.〖加载硬件测试(HQIP)映像。〗
C. Execute the CLI command execute formatlogdisk.〖执行CLI命令Execute format logdisk。〗
D. Select the format boot device option from the BIOS menu. 〖从BIOS菜单中选择format boot device选项。〗
A. Warning 〖警告〗
B. Exempt 〖例外〗
C. Allow〖允许〗
D. Learn 〖学习〗
When detecting attacks, which anomaly, signature, or filter will FortiGate evaluate first? 〖当检测攻击时,哪个异常、特征或过滤器会首先评估?〗
A. SMTP.Login.Brute.Force
B. IMAP.Login.brute.Force
C. ip_src_session
D. Location: server Protocol: SMTP
Which security profile’s configuration does not change when you enable policy-based impaction? 〖启用基于策略的嵌塞时,哪个安全配置文件的配置不会更改?〗
A. Antivirus 〖反病毒〗
B. Web proxy 〖Web代理〗
C. Web filtering 〖Web过滤〗
D. Application control 〖应用控制〗
当FortiGate运行在基于策略的NGFW模式时,管理员可以直接把应用控制应用到防火墙策略,而不是必须先创建应用控制配置文件,然后将其应用到防火墙策略。取消了使用应用控制配置文件的需要,使管理员更容易地选择他们希望在防火墙策略中允许或拒绝的应用程序或应用程序分类。
需要注意的是,基于策略的NGFW模式的VDOM或FortiGate中的所有防火墙策略必须使用相同的SSL/SSH检查配置文件。基于策略的NGFW模式还需要使用中央SNAT,而不是在防火墙策略中应用NAT设置。
A. Static route created with a Named Address object 〖使用指定地址对象创建的静态路由〗
B. Static route created with an Internet Services object 〖使用Internet服务对象创建的静态路由〗
C. SD-WAN route created for individual member interfaces 〖为单个成员接口创建的SD-WAN路由〗
D. SD-WAN rule created to route traffic based on link latency 〖基于链路延迟创建路由流量的SD-WAN规则〗
如果你需要通过特定的WAN链路将流量路由到公共Internet服务(例如Dropbox或Apple Store),会发生什么?
假设你有两个ISP,并且你希望通过一个ISP路由Netflix流量,并通过另一个ISP路由所有其他Internet流量。 要实现此目标,你需要了解Netflix IP地址并配置静态路由。 之后,你需要经常检查所有IP地址是否都已更改。
Internet服务数据库(ISDB)有助于使这种类型的路由更容易和更简单。 ISDB条目应用于静态路由,以通过特定WAN接口有选择地路由流量。
即使它们被配置为静态路由,ISDB路由实际上也是策略路由,并且优先于路由表中的任何其他路由。 因此,ISDB路由被添加到策略路由表中。
866
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
