A. AH does not provide any data integrity or encryption.〖AH不提供任何数据完整性或加密。〗
B. AH does not support perfect forward secrecy.〖AH不支持完全向前保密。〗
C. AH provides data integrity but no encryption. 〖AH提供数据完整性,但没有加密。〗
D. AH provides strong data integrity but weak encryption.〖AH提供强大的数据完整性,但加密能力较弱。〗
IPsec是由多组不同的协议组成,包括:
Internet Key Exchange (IKE):IKE用于验证对端、交换密钥、协商将使用的加密和校验和;本质上,它是控制通道。
Authentication Header (AH):AH包含认证头—验证数据完整性的校验和。
Encapsulation Security Payload (ESP):ESP是封装的安全载荷 —加密的载荷,本质上是数据通道。
因此,如果传输的IPsec流量需要经过防火墙,请记住:只允许一个协议或端口号通常是不够的。
注意,IPsec RFC提到了AH;然而,AH不提供加密,这是一个重要的缺点。所以AH没有被用于FortiGate。因此,不需要允许IP协议51。
要创建一个VPN,必须在两端配置匹配的设置 — 不管VPN是在两个FortiGate设备之间、FortiGate和 FortiClient之间,还是在第三方设备和FortiGate之间。如果设置不匹配,隧道建立将会失败。
A. The Services field removes the requirement of creating multiple VIPs for different services.〖服务字段消除了为不同服务创建多个VIP的需求。〗
B. The Services field is used when several VIPs need to be bundled into VIP groups.〖当需要将几个VIP绑定到VIP组时,使用服务字段。〗
C. The Services field does not allow source NAT and destination NAT to be combined in the same policy. 〖服务字段不允许在同一个策略中合并源NAT和目标NAT。〗
D. The Services field does not allow multiple sources of traffic, to use multiple services, to connect to a single computer.〖服务字段不允许多个通信源、使用多个服务、连接到单个计算机。〗
What filter can be used u, the command diagnose sniffer packet to capture the traffic between the client and the explicit web pray?〖什么过滤器可以使用u命令诊断嗅探包捕获通信之间的客户端和显式web请求?〗
A. ‘host 10.0.0.50 and port 80’
B. ‘host 192.168.0.1 and port 80’
C. ‘host 192.168.0.2 and port 8080’
D. ‘host 10.0.50.1 and port 8080’
Web代理提供了额外的安全性。 它们可以阻止标准HTTP和HTTPS端口中不是网络流量的任何流量。
显式的Web代理提供了另一个安全优势:管理员无需允许客户端直接访问Internet。 仅显式代理的IP需要直接访问Internet。 如果客户端需要Internet访问,管理员可以强制客户端首先将流量发送到Web代理。
FortiGate Web代理解决方案提供了两个额外的好处。 其一是管理员可以将HTTP字段的内容用作防火墙策略中的匹配条件。
FortiGate Web代理解决方案还提供了⼀个额外的好处,如果你不使用Web代理,那么它是不可用的:Kerberos身份验证。 Kerberos身份验证提供了⼀种无需在Windows AD域中安装任何代理即可执行Fortinet单点登录(FSSO)的机制。
VDOM1 is operating is transparent mode VDOM2 is operating in NAT Route mode. There is an inter-VDOM link between both VDOMs. A client workstation with the IP address 10.0.1.10/24 is connected to port2. A web server with the IP address 10.200.1.2/24 is connected to port1. 〖VDOM1是在透明模式下运行的VDOM2是在NAT路由模式下运行的。在两个vdom之间有一个内部vdom链接。IP地址为10.0.1.1 /24的客户机工作站连接到port2。一个IP地址为10.200.1.2/24的web服务器被连接到port1〗
What is required in the FortiGate configuration to route and allow connections from the client workstation to the web server? (Choose two.) 〖FortiGate配置中需要什么来路由和允许从客户机工作站到web服务器的连接?(选择两个)〗
A. A static or dynamic route in VDOM2 with the subnet 10.0.1.0/24 as the destination.〖VDOM2中以子网10.0.1.0/24作为目的地的静态或动态路由。〗
B. A static or dynamic route in VDOM1 with the subnet 10.200.1.0/24 as the destination. 〖一种在VDOM1中以子网10.200.1.0/24作为目的地的静态或动态路由。〗
C. One firewall policy in VDOM1 with port2 as the source interface and InterVDOM0 as the destination interface.〖使用port2作为源接口,InterVDOM0作为目标接口的VDOM1中的一个防火墙策略。〗
D. One firewall policy in VDOM2 with InterVDOM1 as the source interface and port1 as the destination interface.〖一个VDOM2中的防火墙策略,InterVDOM1作为源接口,port1作为目标接口。〗
【VDOM2为NAT模式,本地地址为10.0.1.X网段,所以静态路由应该是10.200.1.X为目地的。所以第一答案错。】
【VDOM1为透明模式,本地服务器为10.200.1.X网段,所以静态路由应该是10.0.1.X为目地的。所以第二答案错。】
Which of the following statements are correct? (Choose two.) 〖下列哪个说法是正确的?(选择两个)〗
A. This setup requires at least two firewall policies with the action set to IPsec.〖这个设置至少需要两个防火墙策略,操作设置为IPsec。〗
B. Dead peer detection must be disabled to support this type of IPsec setup.〖必须禁用失效对端检测才能支持这种IPsec设置。〗
C. The TunnelB route is the primary route for reaching the remote site. The TunnelA route is used only if the TunnelB VPN is down.〖隧道路线是到达偏远地点的主要路线。只有当TunnelB VPN宕机时,才使用TunnelA路由。〗
D. This is a redundant IPsec setup.〖这是一个冗余的IPsec设置。〗
Distance,或管理距离,是路由器用来确定到特定目的地址哪条路由最优先的属性。如果到达相同的目的地有两条路由,那么Distance值较小的路由被认为是更好的,且被用于路由数据包。具有较高Distance值的路由是
不活跃的,不添加到路由表中。
默认情况下,通过RIP协议学到的路由比通过OSPF协议学到的路由有更高的Distance值。
下面列出了FortiGate上的默认Distance值:
• 0 – Directly connected
• 5 - DHCP gateway
• 20 - external BGP (EBGP) routes
• 200 - internal BGP (IBGP) routes
• 110 - OSPF routes
• 120 - RIP routes
• 10 - static routes
A. Services defined in the firewall policy.〖防火墙策略中定义的服务。〗
B. Incoming and outgoing interfaces.〖输入和输出接口〗
C. Highest to lowest priority defined in the firewall policy.〖防火墙策略中定义的最高至最低优先级。〗
D. Lowest to highest policy ID number.〖从最低到最高的策略ID号。〗
还记得你了解到只有第一个匹配策略适用吗?将策略安排在正确的位置非常重要。它影响阻止或允许哪些流量。在适用的接口对部分中,FortiGate 查找从顶部开始的匹配策略。因此,你应该将更具体的策略放在首位;否则,更常规的策略将首先与流量匹配,并且永远不会应用更精细的策略。
在示例中,你将仅匹配 FTP 流量的Block_FTP策略 (ID 2) 移动到更一般Full_Access(接受所有内容)策略之上的位置。否则,FortiGate 将始终在适用的接口对中应用第一个匹配策略(Full_Access),并且永远不会达到Block_FTP策略。
在策略列表中移动策略时,策略 ID 保持不变。
请注意,FortiGate 在创建策略时分配下一个最高可用 ID 号。
A user behind the FortiGate is trying to go to http://www.addictinggames.com (Addicting.Games). Based on this configuration, which statement is true? 〖FortiGate后的用户正试图访问http://www.addictinggames.com (Addicting.Games)。根据这个配置,哪个陈述是正确的?〗
A. Addicting.Games is allowed based on the Application Overrides configuration. 〖基于应用程序覆盖配置,Addicting.Games是允许的。〗
B. Addicting.Games is blocked based on the Filter Overrides configuration. 〖基于过滤器覆盖配置,Addicting.Games是阻止的。〗
C. Addicting.Games can be allowed only if the Filter Overrides actions is set to Exempt. 〖只有当过滤器覆盖动作被设置为豁免时,Addicting.Games才能被允许。〗
D. Addicting.Games is allowed based on the Categories configuration. 〖基于类别配置,Addicting.Games是允许的。〗
【应用覆盖首先在扫描中应用,然后,扫描将检查过滤覆盖。】
A. Named Address routes 〖姓名地址路由〗
B. Dynamic routes 〖动态路由〗
C. ISDB routes 〖ISDB路由〗
D. Policy routes〖策略路由〗
如果您需要通过特定的WAN链路将流量路由到公共Internet服务(例如Dropbox或Apple Store),会发生什么?
假设您有两个ISP,并且您希望通过一个ISP路由Netflix流量,并通过另一个ISP路由所有其他Internet流量。 要实现此目标,您需要了解Netflix IP地址并配置静态路由。 之后,您需要经常检查所有IP地址是否都已更改。
Internet服务数据库(ISDB)有助于使这种类型的路由更容易和更简单。 ISDB条目应用于静态路由,以通过特定WAN接口有选择地路由流量。
即使它们被配置为静态路由,ISDB路由实际上也是策略路由,并且优先于路由表中的任何其他路由。 因此,ISDB路由被添加到策略路由表中。
A. Transparent mode and NAT/Route mode VDOMs cannot be combined on the same FortiGate. 〖透明模式和NAT/Route模式VDOM不能在同一个FortiGate上组合。〗
B. Each VDOM can be configured with different system hostnames. 〖每个VDOM可以配置不同的系统主机名。〗
C. Different VLAN sub-interfaces of the same physical interface can be assigned to different VDOMs.〖同一物理接口的不同VLAN子接口可以分配给不同的VDOM。〗
D. Each VDOM has its own routing table.〖每个VDOM都有自己的路由表。〗
但是,对于每个VDOM,大多数设置都可以是独立的。 例如:防火墙策略,防火墙对象,静态路由,安全配置文件等。
要使用GUI创建VLAN,请单击Create New,选择Interface,然后在Type下拉列表中选择VLAN。 您必须指定VLAN ID和VLAN绑定到的物理接口。 属于该类接口的帧始终被标记。 另一方面,物理接口段发送或接收的帧从不被标记。 它们属于所谓的本地VLAN(VLAN ID 0)。
注意:在多VDOM环境中,物理接口及其VLAN子接口可以位于单独的VDOM中。
Which of the following DNS method must you UM? 〖以下哪一种DNS方法你必须UM?〗
A. Recursive 〖递归〗
B. Non-recursive 〖非递归〗
C. Forward to primary and secondary DNS 〖转发到主DNS和辅助DNS〗
D. Forward to system DNS 〖转发到系统DNS〗
您可以配置FortiGate作为您的本地DNS服务器。 您可以在每个接口上分别启用和配置DNS。
本地DNS服务器可以提高FortiMail或其他频繁使用DNS查询的设备的性能。 如果您的FortiGate为您的局域网提供了DHCP,则可以使用DHCP来配置这些主机以将FortiGate用作网关和DNS服务器。
FortiGate可以通过以下三种方式之一回答DNS查询:
• 转发:将所有查询中继到单独的DNS服务器(已在Network > DNS中配置); 也就是说,它充当DNS中继而不是DNS服务器。
• 非递归:回复FortiGate DNS数据库中的项目查询,并且不会转发无法解析的查询。
• 递归:回复对FortiGate DNS数据库中项目的查询,并将所有其他查询转发到单独的DNS服务器以进行解析。
您可以在GUI或CLI上配置所有模式。
843
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
