An administration wants to throttle the total volume of SMTP sessions to their email server. 〖管理人员希望控制发送到其电子邮件服务器的SMTP会话总量。〗
Which of the following DoS sensors can be used to achieve this? 〖下列哪个DoS传感器可以用来实现这一点?〗
A. tcp_port_scan
B. ip_dst_session
C. udp_flood
D. ip_src_session
【分析】
在TCP中,客户端发送一个SYN包来发起连接。服务器必须使用SYN/ACK包响应,并在等待客户端使用ACK包确认时将连接信息保存在RAM中。正常的客户端将快速应答并开始传输数据。但是恶意客户端继续发送更多的SYN包,半开更多的连接,直到服务器的连接表被填满。一旦服务器的表被填满,就不能接受更多的连接,并开始忽略所有的新客户端。
ICMP用于故障排除:设备响应成功或错误消息。然而,攻击者可以使用ICMP探测网络中的有效路由和响应主机。通过ICMP扫描,攻击者可以在进行更严重的攻击之前获得关于网络的信息。
攻击者使用端口扫描来确定系统上哪些端口处于活动状态。攻击者将TCP SYN请求发送到不同的目标端口。根据这些回复,攻击者可以发现哪些服务正在系统上运行,然后继续利用这些服务的漏洞。
【答案】A
Why must you use aggressive mode when a local FortiGate IPSec gateway hosts multiple dialup tunnels? 〖本地FortiGate IPSec网关主机多个拨号隧道时,为什么你必须使用野蛮模式?〗
A. In aggressive mode, the remote peers are able to provide their peer IDs in the first message.〖在野蛮模式中,远程对等点能够在第一个消息中提供它们的对等点ID。〗
B. FortiGate is able to handle NATed connections only in aggressive mode.〖FortiGate只能在攻击模式下处理NATed连接。〗
C. FortiClient only supports aggressive mode.〖FortiClient只支持攻击模式。〗
D. Main mode does not support XAuth for user authentication.〖主模式不支持XAuth进行用户身份验证。〗
【分析】
在野蛮模式下,只有交换三个数据包。
首先,客户端发起建议的安全策略并提供其密钥和peer ID。响应用相同的信息加上一个hash进行应答。最后,发起者发送它的hash payload。
第一个包包含发起者的peer ID。因此,响应者可以使用这个ID(而不仅仅是源IP地址)来标识对端,以及使用哪个安全策略。这对于有多个拨号VPN响应者是最好的解决方案。
【答案】A
View the exhibit:〖查看下图:〗
The client cannot connect to the HTTP web server. The administrator ran the FortiGate built-in sniffer and got the following output:〖客户端无法连接到HTTP web服务器。管理员运行FortiGate内置嗅探器,得到如下输出:〗
What should be done next to troubleshoot the problem? 〖接下来应该做什么来解决问题?〗
A. Run a sniffer in the web server.〖在web服务器中运行嗅探器。〗
B. Execute another sniffer in the FortiGate, this time with the filter “host 10.0.1.10”.〖在FortiGate执行另一个嗅探器,这次使用过滤器“host 10.0.1.10”。〗
C. Capture the traffic using an external sniffer connected to port1.〖使用连接到port1的外部嗅探器捕获流量。〗
D. Execute a debug flow.〖执行调试流。〗
【分析】
如果FortiGate丢弃数据包,可以使用数据包捕获(嗅探器)来识别原因吗? 要找到原因,你应该使用调试(数据包)流量。
Debug Flow逐步显示了CPU如何处理每个数据包。
【答案】D
Which of the following statements about policy-based IPsec tunnels are true? (Choose two.)〖下面关于基于策略的IPsec隧道的陈述哪一个是正确的?(选择两个)〗
A. They can be configured in both NAT/Route and transparent operation modes.〖它们可以配置在NAT/Route和透明操作模式。〗
B. They support L2TP-over-IPsec.〖他们支持L2TP-over-IPsec。〗
C. They require two firewall policies: one for each directions of traffic flow.〖它们需要两个防火墙策略:一个用于流量流的每个方向。〗
D. They support GRE-over-IPsec.〖他们支持GRE-over-IPsec。〗
【分析】
【答案】A B
An employee connects to the https://example.com on the Internet using a web browser. The web server’s certificate was signed by a private internal CA. The FortiGate that is inspecting this traffic is configured for full SSL inspection. 〖员工使用web浏览器在Internet上连接到https://example.com。web服务器的证书是由一个私有的内部CA签署的。检查此通信流的FortiGate被配置为完全的SSL检查。〗
This exhibit shows the configuration settings for the SSL/SSH inspection profile that is applied to the policy that is invoked in this instance. All other settings are set to defaults. No certificates have been imported into FortiGate. View the exhibit and answer the question that follows. 〖下图展示了应用于此实例中调用的策略的SSL/SSH检查配置文件的配置设置。所有其他设置都设置为默认值。没有证书被导入到FortiGate。查看下图并回答下面的问题。〗
Which certificate is presented to the employee’s web browser?〖向员工的web浏览器显示的是哪个证书?〗
A. The web server’s certificate.〖web服务器的证书。〗
B. The user’s personal certificate signed by a private internal CA.〖由私有的内部CA签名的用户的个人证书。〗
C. A certificate signed by Fortinet_CA_SSL.〖由Fortinet_CA_SSL签名的证书。〗
D. A certificate signed by Fortinet_CA_Untrusted.〖由Fortinet_CA_Untrusted签名的证书。〗
【分析】
在第1步中,内部web浏览器连接到启用SSL的web服务器。通常,当浏览器连接到安全站点时,web服务器将其证书发送到浏览器。但是,在第2步中,FortiGate拦截web服务器证书。在第3步中,FortiGate的内部CA生成一个新的密钥对和证书。新证书的主题名称必须是网站的DNS名称(例如,ex.ca)在第4和5步中,新的密钥对和证书用于在FortiGate和web浏览器之间建立安全连接。每当客户端请求与外部SSL服务器的连接时,都会生成一个新的临时密钥对和证书。
对外部,包含在步骤5中,FortiGate使用web服务器的证书启动与web服务器的安全会话。在这种配置中,FortiGate可以解密来自web服务器和浏览器的数据,以便在重新加密数据并将其发送到目的地之前扫描数据以发现威胁。这个场景本质上是MITM(中间人)攻击。
【答案】C
Examine the IPS sensor configuration shown in the exhibit, and then answer the question below.〖检查下图中显示的IPS传感器配置,然后回答下面的问题。〗
What are the expected actions if traffic matches this IPS sensor? (Choose two.) 〖如果流量匹配这个IPS传感器,预期的操作是什么?(选择两个)〗
A. The sensor will gather a packet log for all matched traffic.〖传感器将收集所有匹配流量的数据包日志。〗
B. The sensor will not block attackers matching the A32S.Botnet signature. 〖该传感器不会阻止与A32S相匹配的攻击者。僵尸网络签名。〗
C. The sensor will block all attacks for Windows servers.〖传感器将阻止所有针对Windows服务器的攻击。〗
D. The sensor will reset all connections that match these signatures.〖传感器将重置所有匹配这些签名的连接。〗
【分析】
【答案】B C
How can you block or allow to Twitter using a firewall policy? 〖如何使用防火墙策略阻止或允许Twitter ?〗
A. Configure the Destination field as Internet Service objects for Twitter.〖将目标字段配置为Twitter的Internet服务对象。〗
B. Configure the Action field as Learn and select Twitter.〖将动作字段配置为Learn并选择Twitter。〗
C. Configure the Service field as Internet Service objects for Twitter.〖将服务字段配置为Twitter的Internet服务对象。〗
D. Configure the Source field as Internet Service objects for Twitter.〖将源字段配置为Twitter的Internet服务对象。〗
【分析】
Internet Service是一个数据库,其中包含最常用Internet服务使用的IP地址,IP协议和端口号的列表。FortiGate会定期从FortiGuard下载该数据库的最新版本。 这些可以在防火墙策略中选择为“Source”或 “Destination”。
如果你只需要允许到几个著名的公共Internet目的地(例如Dropbox或Facebook)的流量,会发生什么情况?
配置防火墙策略时,可以将Internet服务用作防火墙策略中的目标,该策略包含该服务使用的所有IP地址,端口和协议。 出于相同的原因,你不能将常规地址对象与Internet服务数据库(ISDB)对象混合使用,也不能在防火墙策略上选择服务。 ISDB对象已经具有硬编码的服务信息。
与地址对象(你需要经常检查以确保未更改任何IP地址或允许使用适当的端口)相比,Internet服务有助于简化和简化此类部署。
【答案】A
Which statements about HA for FortiGate devices are true? (Choose two.)〖关于FortiGate设备的HA的陈述是正确的?(选择两个)〗
A. Sessions handled by proxy-based security profiles cannot be synchronized.〖不能同步由基于代理的安全配置文件处理的会话。〗
B. Virtual clustering can be configured between two FortiGate devices that have multiple VDOMs.〖可以在拥有多个vdom的两个FortiGate设备之间配置虚拟集群。〗
C. HA management interface settings are synchronized between cluster members.〖HA管理接口设置在集群成员之间同步。〗
D. Heartbeat interfaces are not required on the primary device.〖在主设备上不需要心跳接口。〗
【分析】
会话同步为某些流量启用无缝故障转移。某些会话的信息是同步的,因此当主机发生故障时,新的主机可以接管剩下的会话并保持打开状态。流量可能会中断几秒钟,但网络应用程序无需再次重新连接会话。
启用会话同步后,设备将同步符合一项要求的TCP和IPsec VPN会话:它们不由基于代理的安全配置文件处理。但是,支持使用基于流的安全性配置文件的会话,但是安全性配置文件功能不再检查故障转移会话。
请注意,如果基于流和基于代理的安全配置文件功能都应用于TCP会话,则该会话在故障转移后将不会恢复。
如果你的HA群集具有多个VDOM,则可以配置虚拟群集。
虚拟群集使你可以让一个设备充当一个VDOM的主要设备,并充当另一个VDOM的备机。 每个VDOM都有一个主机FortiGate和一个备机FortiGate,任何设备都可以同时充当某些VDOM的主机和其他VDOM的备机。 由于来自不同VDOM的流量可以流向不同的主机FortiGate设备,因此你可以使用虚拟群集在两个群集设备之间手动分配流量,并为两个FortiGate设备之间的每个VDOM启用故障转移机制。
注意,你只能在两个带有多个VDOM的FortiGate设备之间配置虚拟集群。
【答案】A B
An administrator is configuring an antivirus profiles on FortiGate and notices that Proxy Options is not listed under Security Profiles on the GUI. 〖管理员正在FortiGate上配置防病毒配置文件,并注意到在GUI的安全配置文件下没有列出代理选项。〗
What can cause this issue?〖是什么导致了这个问题?〗
A. FortiGate needs to be switched to NGFW mode.〖FortiGate需要切换到NGFW模式。〗
B. Proxy options section is hidden by default and needs to be enabled from the Feature Visibility menu.〖默认情况下,代理选项部分是隐藏的,需要从特性可见性菜单中启用。〗
C. Proxy options are no longer available starting in FortiOS 5.6.〖代理选项在FortiOS 5.6中不再可用。〗
D. FortiGate is in flow-based inspection mode.〖FortiGate是基于流程的检查模式。〗
【分析】
【答案】D
An administrator has configured a route-based IPsec VPN between two FortiGate devices. 〖管理员在两个FortiGate设备之间配置了基于路由的IPsec VPN〗
Which statement about this IPsec VPN configuration is true? 〖关于这个IPsec VPN配置,哪个说法是正确的?〗
A. A phase 2 configuration is not required.〖不需要阶段2配置。〗
B. This VPN cannot be used as part of a hub-and-spoke topology.〖此VPN不能用作中心辐射拓扑的一部分。〗
C. A virtual IPsec interface is automatically created after the phase 1 configuration is completed.〖在阶段1配置完成之后,将自动创建一个虚拟IPsec接口。〗
D. The IPsec firewall policies must be placed at the top of the list.〖IPsec防火墙策略必须放在列表的最前面。〗
【分析】
基于路由的VPN配置中,FortiGate自动添加带有VPN名称的虚拟接口。 通常需要两条动作设置为“允许” 的防火墙策略:一个用于本地网络发起的会话,另一个用于远程网络发起的会话。 您还需要将VPN流量路由到虚拟网络接口(通常,你要用到静态路由),这是VPN向导创建的VPN配置类型。
使用基于路由的VPN,可以在VPN之间实现完全冗余。
【答案】C
扫一扫
258
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
