考题篇(6.2) 08 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4

 What files are sent to FortiSandbox for inspection in flow-based inspection mode?〖在基于流的检查模式下，哪些文件被发送到FortiSandbox进行检查?〗

　　A. All suspicious files that do not have their hash value in the FortiGuard antivirus signature database.〖所有在FortiGuard防病毒签名数据库中没有哈希值的可疑文件。〗

　　B. All suspicious files that are above the defined oversize limit value in the protocol options.〖超过协议选项中定义的超大型限制值的所有可疑文件。〗

　　C. All suspicious files that match patterns defined in the antivirus profile.〖所有与反病毒配置文件中定义的模式相匹配的可疑文件。〗

　　D. All suspicious files that are allowed to be submitted to FortiSandbox in the antivirus profile.〖防病毒配置文件中允许提交到FortiSandbox的所有可疑文件。〗

　　【分析】

 

　　FortiOS智能的决定哪些文件被发送到FortiSandbox。FortiGuard为FortiGate提供基于当前威胁态势的信息，用于判断文件是否应该被视为可疑。FortiGate为管理员提供了细粒度控制，用于确定哪些类型的文件被发送到FortiSandbox进行进一步的研究。管理员还可以选择使用FortiSandbox数据库协同FortiGuard AV数据库来增强网络安全性。  

　　【答案】C

 

 Which statements about a One-to-One IP pool are true? (Choose two.)  〖关于一对一的IP池，哪些说法是正确的?(选择两个)〗

　　A. It is used for destination NAT.〖它用于目标NAT。〗

　　B. It allows the fixed mapping of an internal address range to an external address range.〖它允许一个内部地址范围到一个外部地址范围的固定映射。〗

　　C. It does not use port address translation.〖它不使用端口地址转换。〗

　　D. It allows the configuration of ARP replies.〖它允许ARP应答的配置。〗

　　【分析】

　　这种类型的IP池意味着内部IP地址和外部(转换后的)IP地址一对一匹配。在使用这种类型的IP池时，将禁用端口地址转换(PAT)。例如，如果我们定义一个具有两个外部IP地址(172.16.200.1-172.16.200.2)的一对一类型的IP池，这个IP池只能处理两个内部IP地址。

　　VIP 是 DNAT 对象。对于匹配 VIP 的会话，目标地址将转换为：通常公共 Internet 地址将转换为服务器的私有网络地址。在防火墙策略的目标字段中选择 VIP。  

　　默认 VIP 类型为静态 NAT。这是一对一映射，适用于传入和传出连接;也就是说，启用 NAT 的传出策略将使用 VIP 地址而不是出口接口地址。但是，可以使用 IP 池重写此行为。  

　　静态 NAT VIP 可以限制为仅转发某些端口。例如，与端口 8080 上的外部 IP 的连接映射到端口 80 上的内部 IP。  

　　在 CLI 上，您可以选择 NAT 类型作为load-balance或server-load-balance。纯load-balance将连接从外部 IP 地址分发到多个内部地址。server-load-balance基于该机制，使用虚拟服务器和实际服务器，并提供会话持久性和服务器可用性检查机制。  

　　VIP 应可路由到外部面向（入口）接口。FortiOS 响应对 VIP 和 IP 池对象的 ARP 请求。ARP 响应是可配置的。  

　　【答案】C D

 

 A company needs to provide SSL VPN access to two user groups. The company also needs to display different welcome messages on the SSL VPN login screen for both user groups.〖公司需要为两个用户组提供SSL VPN访问。公司还需要在SSL VPN登录屏幕上为两个用户组显示不同的欢迎消息。〗

　　What is required in the SSL VPN configuration to meet these requirements?〖在SSL VPN配置中需要什么来满足这些需求?〗

　　A. Different SSL VPN realms for each group.〖每个组使用不同的SSL VPN服务器。〗

　　B. Two separate SSL VPNs in different interfaces mapping the same ssl.root.〖在不同接口中的两个单独的SSL vpn映射相同的SSL.root。〗

　　C. Two firewall policies with different captive portals. 〖两个防火墙策略与不同的专属门户。〗

　　D. Different virtual SSL VPN IP addresses for each group.〖每个组的虚拟SSL VPN IP地址不同。〗

　　【分析】

 　　为了给SSL-VPN部署增加灵活性，可以考虑配置SSL-VPN域。  

　　域是自定义登录页面，通常用于用户组，例如财务和销售，但也可以用于个人用户。使用域，用户和用户组可以根据他们输入的URL访问不同的门户。  

　　使用不同的门户，可以分别定制每个登录页面，并分别限制并发用户登录。

　　【答案】Ａ

 

 An administrator is investigating a report of users having intermittent issues with browsing the web. The administrator ran diagnostics and received the output shown in the exhibit.〖一名管理员正在调查一份报告，该报告显示用户在浏览web时出现间歇性问题。管理员运行诊断并接收下图中显示的输出。〗

Examine the diagnostic output shown exhibit.  〖检查显示的诊断输出。〗

　　Which of the following options is the most likely cause of this issue?〖下列哪个选项最有可能导致此问题?〗

　　A. NAT port exhaustion  〖NAT端口枯竭〗

　　B. High CPU usage  〖高CPU使用率〗

　　C. High memory usage  〖高内存使用率〗

　　D. High session timeout value〖高会话超时值〗

　　【分析】

　　【答案】Ａ

 

 An administrator has configured central DNAT and virtual IPs.  〖管理员已经配置了中央DNAT和虚拟IP。〗

　　Which of the following can be selected in the firewall policy Destination field?〖可以在防火墙策略目标字段中选择下列哪一项?〗

　　A. A VIP group  〖一个虚拟IP组〗

　　B. The mapped IP address object of the VIP object  〖虚拟IP对象的映射IP地址对象〗

　　C. A VIP object  〖一个虚拟IP对象〗

　　D. An IP pool〖一个IP池〗

　　【分析】

　　传统上在FortiGate上，在防火墙策略中选择VIP作为目标地址。  

　　在FortiGate上，你可以为DNAT配置DNAT和VIP。 一旦配置了VIP，FortiGate就会在内核中自动创建一个规则以允许DNAT发生。 无需其他配置。  

　　你是否失去了为特定的VIP和服务定义防火墙策略的粒度？  

　　不，你没有。 如果你具有多个WAN到内部策略和多个VIP，并且要允许特定VIP使用特定服务，则可以使用VIP映射IP的目标地址定义每个防火墙策略，然后选择适当的服务以允许或否认。  

　　请注意，如果同时配置了中央SNAT和中央DNAT（VIP），则出向的（内部到WAN）流量将基于匹配的中央SNAT策略配置来获取NAT，并且如果没有匹配的中央SNAT策略，则不会应用NAT传出流量。

　　【答案】B

 

 An administrator needs to strengthen the security for SSL VPN access. 〖管理员需要加强SSL VPN访问的安全性。〗

　　Which of the following statements are best practices to do so? (Choose three.)〖下面哪个陈述是最好的做法?(选择三个)〗

　　A. Configure split tunneling for content inspection.〖为内容检查配置拆分隧道。〗

　　B. Configure host restrictions by IP or MAC address.  〖根据IP或MAC地址配置主机限制。〗

　　C. Configure two-factor authentication using security certificates.  〖使用安全证书配置双因素身份验证〗

　　D. Configure SSL offloading to a content processor (FortiASIC).  〖配置SSL卸载到内容处理器(FortiASIC)。〗

　　E. Configure a client integrity check (host-check).  〖配置客户端完整性检查(主机检查)。〗

　　【分析】

　　【答案】Ｂ C E

 

 Which statement about FortiGuard services for FortiGate is true?〖关于FortiGate的FortiGuard服务，哪一种说法是正确的?〗

　　A. The web filtering database is downloaded locally on FortiGate.〖web过滤数据库在下载到FortiGate本地。〗

　　B. Antivirus signatures are downloaded locally on FortiGate.〖防病毒签名下载到FortiGate本地。〗

　　C. FortiGate downloads IPS updates using UDP port 53 or 8888.〖FortiGate使用UDP端口53或8888下载IPS更新。〗

　　D. FortiAnalyzer can be configured as a local FDN to provide antivirus and IPS updates.〖FortiAnalyzer可以配置为一个本地FDN，提供防病毒和IPS更新。〗

　　【分析】

 　　你可以使用push方法、定期方法这两种方法更新FortiGate的防病毒数据库。定期更新允许定期配置计划更新， 例如每小时、每天或每周。也可以开启Accept push updates，允许在FortiGuard发布新定义时立即添加。这对于高安全性的环境非常有用，因为数据库一旦发布，FortiGate就会收到紧急的安全更新。  

　　无论选择哪种方法，都必须在至少一个防火墙策略中启用病毒扫描。否则，FortiGate将不会下载任何更新。或者，你可以从Fortinet客户服务和支持网站下载软件包(需要订阅)，然后手动将它们上载到FortiGate。可以从GUI上的FortiGuard页面验证更新状态和签名版本，也可以在CLI上运行diagnose autoupdate status 和  diagnose autoupdate versions。  

　　【答案】B

 

 Which of the following route attributes must be equal for static routes to be eligible for equal cost multipath (ECMP) routing? (Choose two.)〖以下哪一个静态路由的路由属性必须相等，才能适用于等成本多路径(ECMP)路由?(选择两个)〗

　　A. Priority 〖优先级〗

　　B. Metric 〖度量〗

　　C. Distance 〖距离〗

　　D. Cost 〖费用〗

　　【分析】

 　　当两个或多个路由到相同的目的地，对于所有的属性，都有相同的值，会发生什么情况呢？  

　　如果到相同目的地址的多条路由具有相同的Distance，metric和priority，他们都会被认为是最佳路由，如果这条路由是静态，OSPF 或者BGP，FortiGate可通过所有的这些路由负载均衡流量，这被称作equal cost multi-path (ECMP).

　　【答案】A C

 

 View the exhibit. 〖查看下图。〗

Based on this output, which statements are correct? (Choose two.) 〖根据这个输出，哪些语句是正确的?(选择两个)〗

　　A. The all VDOM is not synchronized between the primary and secondary FortiGate devices.〖所有VDOM在主FortiGate设备和辅助FortiGate设备之间没有同步。〗

　　B. The root VDOM is not synchronized between the primary and secondary FortiGate devices.〖根VDOM在主FortiGate设备和辅助FortiGate设备之间没有同步。〗

　　C. The global configuration is synchronized between the primary and secondary FortiGate devices.〖全局配置在主和次FortiGate设备之间同步。〗

　　D. The FortiGate devices have three VDOMs.〖FortiGate设备有三个VDOM。〗

　　【分析】

　　【答案】B C

 

 Which statement is true regarding the policy ID number of a firewall policy?〖关于防火墙策略的策略ID号，哪个陈述是正确的?〗

　　A. Defines the order in which rules are processed.〖定义处理规则的顺序。〗

　　B. Represents the number of objects used in the firewall policy.〖表示防火墙策略中使用的对象数量。〗

　　C. Required to modify a firewall policy using the CLI. 〖使用CLI修改防火墙策略的时候需要。〗

　　D. Changes when firewall policies are reordered. 〖防火墙策略重新排序时发生的更改。〗

　　【分析】

　　防火墙策略的工作方式的一个重要因素是顺序优先的概念，或者，如果你更喜欢一个更可识别的术语，先到先得。  

　　策略标识是标识符，显示在 GUI 上。  

　　在 GUI 上创建新的防火墙策略时，FortiGate 会自动分配策略 ID。策略 ID 永远不会更改，即使规则在序列中移动得更高或更低也是如此。

　　【答案】C