考题篇(6.2) 10 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4

 Which one of the following processes is involved in updating IPS from FortiGuard?〖以下哪个过程涉及到从FortiGuard升级IPS ?〗

　　A. FortiGate IPS update requests are sent using UDP port 443. 〖FortiGate IPS更新请求使用UDP端口443发送。〗 

　　B. Protocol decoder update requests are sent to service.fortiguard.net.〖协议解码器更新请求被发送到service.fortiguard.net。〗 

　　C. IPS signature update requests are sent to update.fortiguard.net.〖IPS签名更新请求被发送到update.fortiguard.net。〗 

　　D. IPS engine updates can only be obtained using push updates.〖IPS引擎更新只能通过推更新获得。〗 

　　【分析】

　　FortiGate IPS更新请求发送到update.fortiguard.net的TCP 443端口。还可以配置FortiGate来通过web代理连接更新。  

　　应该定期检查最新的更新时间标记。可以在GUI中验证。如果有出现任何IPS定义没有更新现象，则应该进行调查。请务必确保FortiGate有正确的DNS可以解析update.fortiguard.net。如果在FortiGate和Internet之间有任何中间设备，请确保有正确的防火墙规则来允许端口443上的流量。中间设备对更新流量执行SSL检查可能导致更新问题。  

　　最后，可以使用FortiGuard update debug实时监控更新事件。  

　　【答案】C

 

 How does FortiGate select the central SNAT policy that is applied to a TCP session?〖FortiGate如何选择应用于TCP会话的中央SNAT策略?〗

　　A. It selects the SNAT policy specified in the configuration of the outgoing interface.〖它选择在传出接口的配置中指定的SNAT策略。〗

　　B. It selects the first matching central SNAT policy, reviewing from top to bottom.〖它选择第一个匹配的中央SNAT策略，从上到下审查。〗

　　C. It selects the central SNAT policy with the lowest priority.〖它选择优先级最低的中央SNAT策略。〗

　　D. It selects the SNAT policy specified in the configuration of the firewall policy that matches the traffic.〖它选择防火墙策略配置中指定的SNAT策略来匹配流量。〗

　　【分析】

　　从 FortiOS 版本 6.0 开始，所有防火墙策略都必须使用匹配的中央 SNAT 策略。如果没有匹配的 SNAT 策略，将不会应用 NAT 并使用原始源 IP 地址创建会话。  

　　如果中央 SNAT 策略条件与基于多个防火墙策略的流量匹配，则中央 SNAT 策略将应用于这些防火墙策略。  

　　与防火墙策略类似，从上到下处理中央 SNAT 策略，如果找到匹配项，则根据该中央 SNAT 策略转换源地址和源端口。

　　【答案】Ｂ

 

 Which of the following conditions are required for establishing an IPSec VPN between two FortiGate devices? (Choose two.)〖在两个FortiGate设备之间建立IPSec VPN需要哪些条件?(选择两个)〗

　　A. If XAuth is enabled as a server in one peer, it must be enabled as a client in the other peer.〖如果XAuth在一个对等点作为服务器启用，那么它必须在另一个对等点作为客户端启用。〗

　　B. If the VPN is configured as route-based, there must be at least one firewall policy with the action set to IPSec.〖如果VPN配置为基于路由的，那么至少要有一个防火墙策略，其操作设置为IPSec。〗

　　C. If the VPN is configured as DialUp User in one peer, it must be configured as either Static IP Address or Dynamic DNS in the other peer.〖如果VPN在一个对等点被配置为拨号用户，它必须在另一个对等点被配置为静态IP地址或动态DNS。〗

　　D. If the VPN is configured as a policy-based in one peer, it must also be configured as policy-based in the other peer.〖如果VPN在一个对等体中配置为基于策略，那么它也必须在另一个对等体中配置为基于策略。〗

　　【分析】

　　先为拨号服务器配置阶段1。对FortClient的拨号服务器配置或多或少与之前看到的FortiGate的拨号服务器配置相同，只是增加了一些选项。  

　　Remote Gateway 设置必须设为 Dialup User。  

　　如果拨号服务器包含多个拨号VPNs，选择Mode为 Aggressive。需要使用peer ID。  

　　为了增强认证，可以启用Xauth。拨号服务器FortiGate 使用Enable as Server 设置。(每个FortiClient 或拨号客户端FortiGate使用Enable as Client)。如果拨号服务器上启用了XAuth，还必须在拨号客户端上启用XAuth，并配置用户名和密码。  

　　另外，如果拨号客户端是移动拨号用户，应该Enable NAT Traversal ，因为移动用户通常在机场终端、家庭路由器和酒店防火墙的NAT后面。

　　【答案】Ａ C

 

 Which of the following statements about converse mode are true? (Choose two.) 〖下列关于保留模式的陈述哪一个是正确的?(选择两个)〗

　　A. FortiGate stops sending files to FortiSandbox for inspection.〖FortiGate停止发送文件到FortiSandbox进行检查。〗

　　B. FortiGate stops doing RPF checks over incoming packets.〖FortiGate停止对传入的数据包进行RPF检查。〗

　　C. Administrators cannot change the configuration.〖管理员无法更改配置。〗

　　D. Administrators can access the FortiGate only through the console port.〖管理员只能通过控制台端口访问FortiGate。〗

　　【分析】

　　FortiGate在保留模式下采取什么措施来保留内存？  

　　 • FortiGate不接受配置更改，因为它们可能会增加内存使用量。  

　　 • FortiGate不会执行任何隔离操作，包括将可疑文件转发到FortiSandbox。  

　　 • config ips global下的fail-open设置控制IPS引擎在保留模式下的行为。 如果启用此设置，则允许数据包，而无需任何IPS引擎检查。 如果禁用此设置，则会丢弃需要IPS引擎检查的数据包。 请记住，IPS引擎用于所有类型的基于流的检查。 当FortiGate必须识别网络应用程序时，无论目标TCP / UDP端口如何（例如，用于应用程序控制），都将使用IPS引擎。

　　【答案】A C

 

 View the exhibit.〖查看下图。〗

　　Why is the administrator getting the error shown in the exhibit?  〖为什么在上图中管理员得到的是错误?〗

　　A. The administrator must first enter the command edit global.〖管理员必须首先输入命令edit global。〗

　　B. The administrator admin does not have the privileges required to configure global settings.〖管理员管理员没有配置全局设置所需的权限。〗

　　C. The global settings cannot be configured from the root VDOM context.〖不能从根VDOM上下文配置全局设置。〗

　　D. The command config system global does not exist in FortiGate.〖在FortiGate中不存在全局命令配置系统。〗

　　【分析】

　　【答案】Ｃ

 

 Examine the network diagram and the existing FGTI routing table shown in the exhibit, and then answer the following question:〖查看下图所示的网络图和显示的FGT1路由表，然后回答以下问题：〗

An administrator has added the following static route on FGTI. 〖一位管理员在FGT1上添加了以下静态路由。〗

Since the change, the new static route is not showing up in the routing table. Given the information provided, which of the following describes the cause of this problem?〖由于更改，新的静态路由没有显示在路由表中。根据所提供的信息，以下哪一项描述了这个问题的原因?〗

　　A. The new route’s destination subnet overlaps an existing route.〖新路由的目标子网与现有路由重叠。〗

　　B. The new route’s Distance value should be higher than 10.〖新路线的距离值应大于10。〗

　　C. The Gateway IP address is not in the same subnet as port1.〖网关IP地址与端口1不在同一子网中。〗

　　D. The Priority is 0, which means that this route will remain inactive.〖优先级为0，这意味着该路由将保持不活动。〗

　　【分析】

　　【port1的直连路由是172.11.11.0/24，而新建的静态路由器的网关地址是172.11.12.1，并不是port1的网段。】 

　　【答案】Ｃ

 

 Which configuration objects can be selected for the Source field of a firewall policy? (Choose two.) 〖防火墙策略的源字段可以选择哪些配置对象?(选择两个)〗

　　A. Firewall service〖防火墙服务〗

　　B. User or user group〖用户或用户组〗

　　C. IP Pool〖IP池〗

　　D. FQDN address〖FQDN地址〗

　　【分析】

　　在每个防火墙策略中，必须选择源地址对象。或者，你可以通过选择用户或用户组（提供更精细的匹配）来优化源地址的定义，从而提高安全性。你还可以在防火墙策略中选择 ISDB 对象作为源对象。  

　　选择完全限定的域名 （FQDN） 作为源地址时，必须由 DNS 解析并缓存在 FortiGate 中。确保 FortiGate已正确配置为 DNS 设置。如果 FortiGate 无法解析 FQDN 地址，它将显示一条警告消息，并且配置了该 FQDN 的防火墙策略可能无法正常运行。

　　【答案】B D

 

 View the exhibit.〖查看下图。〗

Which users and user groups are allowed access to the network through captive portal?〖哪些用户和用户组被允许通过强制门户访问网络?〗

　　A. Users and groups defined in the firewall policy.〖防火墙策略中定义的用户和组。〗

　　B. Only individual users – not groups – defined in the captive portal configuration.〖强制门户配置中只定义单个用户，而不是组。〗

　　C. Groups defined in the captive portal configuration.〖在强制门户配置中定义的组。〗

　　D. All users.〖所有用户。〗

　　【分析】

　　如前所述，你可以通过三种不同的方式来更改主动身份验证行为。如果你有一个活动的身份验证防火墙策略，然后是一个未启用身份验证的直通策略，则所有流量都将使用直通策略。这意味着将不要求用户进行身份验证。默认情况下，所有流量都将通过“全部捕获”策略，而无需进行身份验证。你可以通过对所有防火墙策略启用身份验证来更改此行为。启用身份验证后，必须先对所有系统进行身份验证，然后才能将流量放置在出口接口上。  

　　另外，只有CLI，你可以将auth-on-demand选项更改为always。如果存在启用了主动认证的防火墙策略，这将指示FortiGate触发认证请求。在这种情况下，除非身份验证成功，否则将不允许流量通过。  

　　如果希望所有用户都连接到特定接口，则最好在接口级别启用强制门户身份验证。这样，所有设备都必须先进行身份验证，然后才能访问任何资源。

　　【答案】A

 

 NGFW mode allows policy-based configuration for most inspection rules.〖NGFW模式允许基于策略的配置大多数检查规则。〗

Which security profile’s configuration does not change when you enable policy-based inspection?〖启用基于策略的检查时，哪个安全配置文件的配置不会更改?〗

　　A. Web filtering 〖Web过滤〗

　　B. Antivirus 〖反病毒〗

　　C. Web proxy 〖Web代理〗

　　D. Application control 〖应用控制〗

　　【分析】

　　当FortiGate运行在基于策略的NGFW模式时，管理员可以直接把应用控制应用到防火墙策略，而不是必须先创建应用控制配置文件，然后将其应用到防火墙策略。取消了使用应用控制配置文件的需要，使管理员更容易地选择他们希望在防火墙策略中允许或拒绝的应用程序或应用程序分类。  

　　需要注意的是，基于策略的NGFW模式的VDOM或FortiGate中的所有防火墙策略必须使用相同的SSL/SSH检查配置文件。基于策略的NGFW模式还需要使用中央SNAT，而不是在防火墙策略中应用NAT设置。

　　【答案】Ｄ

 

 During the digital verification process, comparing the original and fresh hash results satisfies which security requirement? 〖在数字验证过程中，比较原始和新鲜哈希结果满足哪一种安全要求?〗

　　A. Authentication.〖身份验证。〗

　　B. Data integrity.〖数据的完整性。〗

　　C. Non-repudiation.〖不可否认性。〗

　　D. Signature verification.〖签名验证。〗

　　【分析】

　　在生成数字签名之前，CA通过hash函数运行证书的内容，生成hash结果。hash结果是数据的数学表示，称为原始hash结果。CA使用它的私钥加密原始hash结果。加密的hash结果是数字签名。  

　　当FortiGate验证数字签名时，它通过一个hash函数运行证书，生成一个新的hash结果。FortiGate必须使用CA用于创建数字签名的相同hash函数或hash算法。Hash算法在证书中标识。  

　　在验证过程的第二部分中，FortiGate使用CA的公钥解密加密的hash结果(或数字签名)，并应用CA用于加密hash结果的相同算法。这个过程验证签名。如果密钥不能将加密后的hash结果恢复到其原始值，则签名验证将  

失败。  

　　在验证过程的第三个也是最后一个部分中，FortiGate将新hash结果与原始hash结果进行比较。如果两个值相同，则确认证书的完整性。如果这两个hash结果不同，则FortiGate持有的证书版本就与CA签署的证书版本不一样，数据完整性就会失败。

　　【答案】Ｄ