考题篇(6.2) 12 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4

 What settings must you configure to ensure FortiGate generates logs for web filter activity on a firewall policy called Full Access? (Choose two.)  〖你必须配置什么设置，以确保FortiGate在名为完全访问的防火墙策略上为web过滤器活动生成日志?(选择两个)〗 

　　A. Enable Event Logging. 〖启用事件日志记录。〗 

　　B. Enable a web filter security profile on the Full Access firewall policy. 〖在完全访问防火墙策略上启用web筛选器安全性配置文件。〗 

　　C. Enable Log Allowed Traffic on the Full Access firewall policy. 〖在完全访问防火墙策略上启用日志允许的流量。〗

　　D. Enable disk logging. 〖启用磁盘日志记录。〗

　　【分析】

　　要启用对通过防火墙策略的流量进行日志记录，必须执行以下操作：  

　　1. 在防火墙策略上启用所需的安全配置文件。  

　　2. 在防火墙策略上启用Log Allowed Traffic 。此设置至关重要。如果禁用，即使已启用防火墙策略的安全配置文件，你也不会收到任何类型的日志。您可以选择仅记录安全事件，或记录所有会话。  

　　　• Security Events: 如果启用（以及一个或多个安全配置文件），安全日志事件将显示在转发流量日志和安全日志中。为导致安全事件的数据包生成转发流量日志。  

　　　• All Sessions: 如果启用，则为每个会话生成转发流量日志。如果还启用了一个或多个安全配置文件，则安全日志事件将显示在转发流量日志和安全日志中。

　　【答案】B C

 

 An administrator is attempting to allow access to https://fortinet.com through a firewall policy that is configured with a web filter and an SSL inspection profile configured for deep inspection.  〖管理员试图通过配置了web过滤器和用于深度检查的SSL检查配置文件的防火墙策略允许访问https://fortinet.com。〗 
Which of the following are possible actions to eliminate the certificate error generated by deep inspection? (Choose two.)〖以下哪一项是可以消除深度检查产生的证书错误的操作?(选择两个)〗 
　　A. Implement firewall authentication for all users that need access to fortinet.com. 〖为所有需要访问fortinet.com的用户实现防火墙身份验证。〗 
　　B. Manually install the FortiGate deep inspection certificate as a trusted CA.〖手动将FortiGate深度检查证书安装为受信任的CA。〗 
　　C. Configure fortinet.com access to bypass the IPS engine.〖配置fortinet.com访问以绕过IPS引擎。〗 
　　D. Configure an SSL-inspection exemption for fortinet.com.〖为fortinet.com配置一个ssl检查豁免。〗 

　　【分析】

　　在deep inspection配置文件中，您还可以指定希望免除SSL检查的流量。如果有流量或法律原因等问题，可能需要将流量从SSL检查中免除。  

　　例如，在启用HTTP public key pinning (HPKP)启用的站点上执行SSL检查可能会导致流量问题。记住，FortiGate检查加密流量的唯一方法是拦截来自服务器的证书，并生成一个临时证书。一旦FortiGate提供了临时SSL证书，使用HPKP的浏览器将拒绝处理。因此，SSL检查配置文件可以允许免除特定的流量。  

　　保护隐私的法律可能是要绕过SSL检查的另一个原因。例如，在一些国家，检查SSL银行相关流量是非法的。  

　　为特定类别(如 Finance and Banking)配置免除要比为每个银行设置防火墙策略简单。

　　【答案】Ｂ Ｄ

 

 How does FortiGate verify the login credentials of a remote LDAP user?  〖FortiGate如何验证远程LDAP用户的登录凭据?〗 

　　A. FortiGate regenerates the algorithm based on the login credentials and compares it to the algorithm stored on the LDAP server.〖FortiGate根据登录凭据重新生成算法，并将其与存储在LDAP服务器上的算法进行比较。〗 

　　B. FortiGate sends the user-entered credentials to the LDAP server for authentication.〖FortiGate将用户输入的凭证发送到LDAP服务器进行身份验证。〗 

　　C. FortiGate queries the LDAP server for credentials.〖FortiGate向LDAP服务器查询凭据。〗 

　　D. FortiGate queries its own database for credentials.〖FortiGate查询自己的数据库以获取凭据。〗 

　　【分析】

　　如果用户被添加为源的一部分，FortiGate必须在基于防火墙策略允许或拒绝访问之前验证用户。 用户可以通过多种方式进行身份验证。  

　　对于本地用户，用户名和密码在FortiGate上本地配置。 当本地用户验证时，他们输入的证书必须与在FortiGate上本地配置的用户名和密码匹配。  

　　对于远程用户（例如LDAP或RADIUS），FortiGate从远程用户接收用户名和密码，并将此信息传递给身份验证服务器。 验证服务器验证用户登录凭证并更新FortiGate。 在FortiGate收到该信息后，它会根据防火墙策略授予对网络的访问权限。  

　　从域控制器中检索出Fortinet单一登录（FSSO）用户的信息。 根据FortiGate上的组信息授予访问权限。

　　【答案】Ｂ

 

 Which action can be applied to each filter in the application control profile?  〖哪个动作可以应用到应用控制配置文件中的每个过滤器?〗 

　　A. Block, monitor, warning, and quarantine 〖阻止、监视、警告和隔离〗 

　　B. Allow, monitor, block and learn 〖允许、监督、阻止和学习〗 

　　C. Allow, block, authenticate, and warning 〖允许、阻止、验证和警告〗 

　　D. Allow, monitor, block, and quarantine 〖允许、监视、阻塞和隔离〗 

　　【分析】

　　对于应用控制配置文件中的每个过滤器，必须指定一个动作—当流量匹配时FortiGate将执行的动作。这些动作包括：  

　　 • Allow：流量通过，不产生日志

　　 • Monitor：流量通过，产生日志消息

　　 • Block：丢弃检测到的流量，产生日志消息

　　 • Quarantine：阻挡来自攻击者IP的流量，直到到达过期时间并生成日志消息

　　View Signature设置只允许查看特定分类的签名，而不是一个可配置的动作。 View Cloud Signatures签名设置允许从特定分类查看云应用的应用程序签名。  

　　选择哪种动作是正确的？  

　　如果你不确定要选择哪个动作，那么在学习网络时，Monitor 最初是很有用的。稍后，在完成网络流量学习之后，可以通过选择最合适的动作来微调过滤器的选择。选择的动作也取决于应用程序。如果应用程序需要反馈以防止不稳定或其他不期望的行为，那么可以选择Quarantine 而不是Block。否则，对FortiGate资源最有效的利用就是阻止。

　　【答案】D

 

 View the exhibit. 〖查看下图。〗

Based on the configuration shown in the exhibit, what statements about application control behavior are true? (Choose two.)  〖根据上图显示的配置，哪些关于应用控制行为的陈述是正确的?(选择两个)〗

　　A. Access to all unknown applications will be allowed. 〖允许访问所有未知的应用程序。〗

　　B. Access to browser-based Social.Media applications will be blocked.〖访问基于浏览器的社交.媒体应用程序将被阻止。〗

　　C. Access to mobile social media applications will be blocked. 〖移动社交媒体应用程序将被屏蔽。〗

　　D. Access to all applications in Social.Media category will be blocked.  〖访问所有社交.媒体类别应用程序将被屏蔽。〗

　　【分析】

　　【答案】Ａ Ｂ

 

 HTTP Public Key Pinning (HPKP) can be an obstacle to implementing full SSL inspection. 〖HTTP公钥固定(HPKP)可能是实现完全SSL检查的障碍。〗

What solutions could resolve this problem? (Choose two.) 〖有什么办法可以解决这个问题?(选择两个)〗

　　A. Enable Allow Invalid SSL Certificates for the relevant security profile.〖为相关的安全配置文件启用“允许无效SSL证书”。〗

　　B. Change web browsers to one that does not support HPKP.〖将web浏览器更改为不支持HPKP的浏览器。〗

　　C. Exempt those web sites that use HPKP from full SSL inspection.〖免除那些使用HPKP的网站的完全SSL检查。〗

　　D. Install the CA certificate (that is required to verify the web server certificate) stores of users’ computers.〖安装用户计算机存储的CA证书(验证web服务器证书所需的证书)。〗

　　【分析】

　　绕过HPKP的选项是有限制的。一个选择是免除这些站点的SSL检查。另一种选择是使用SSL证书检查代替。第三种选择是使用不支持HPKP的浏览器，比如Chrome、Internet Explorer或Edge。最后，在某些浏览器中可以禁用HPKP。

　　【答案】B C

 

 View the exhibit. 〖查看下图。〗

What does this raw log indicate? (Choose two.)  〖这个原始日志表明了什么?(选择两个)〗

　　A. FortiGate blocked the traffic. 〖FortiGate阻断了流量。〗

　　B. type indicates that a security event was recorded. 〖类型表示记录了安全事件。〗

　　C. 10.0.1.20 is the IP address for lavito.tk. 〖10.0.1.20是lavito.tk的IP地址。〗

　　D. policyid indicates that traffic went through the IPS firewall policy. 〖policyid表示流量通过了IPS防火墙策略。〗

　　【分析】

　　【答案】A B

 

 Which of the following statements are true when using WPAD with the DHCP discovery method? (Choose two.)  〖当使用WPAD和DHCP发现方法时，下列哪个陈述是正确的?(选择两个)〗

　　A. If the DHCP method fails, browsers will try the DNS method.  〖如果DHCP方法失败，浏览器将尝试DNS方法。〗

　　B. The browser needs to be preconfigured with the DHCP server’s IP address.  〖浏览器需要预先配置DHCP服务器的IP地址。〗

　　C. The browser sends a DHCPONFORM request to the DHCP server.  〖浏览器向DHCP服务器发送一个DHCPONFORM请求。〗

　　D. The DHCP server provides the PAC file for download.  〖DHCP服务器提供用于下载的PAC文件。〗

　　【分析】

　　浏览器可以使用WPAD来识别PAC文件所在的URL。  

　　WPAD可以使用两种发现方法：基于DNS和基于DHCP。  

　　使用DHCP方法时，浏览器将DHCPINFORM请求发送到DHCP服务器。 DHCP服务器使用PAC文件的URL进行回复。  

　　使用DNS方法时，浏览器首先查询DNS服务器以解析FQDN ：wpad.<local-domain>。 DNS服务器使用PAC文件所在的IP地址进行回复。 浏览器从URL：http：// <pac-server-ip>：80 / wpad.dat下载PAC文件。  

　　大多数浏览器会首先尝试使用DHCP服务器方法。 如果失败，则尝试使用DNS服务器方法。

　　【答案】Ａ Ｃ

 

 Examine the routing database shown in the exhibit, and then answer the following question: 〖检查下图中显示的路由数据库，然后回答以下问题：〗

Which of the following statements are correct? (Choose two.) 〖下列哪个说法是正确的?(选择两个)〗

　　A. The port3 default route has the highest distance. 〖port3默认路由具有最高的距离。〗

　　B. The port3 default route has the lowest metric. 〖port3默认路由具有最低的度量标准。〗

　　C. There will be eight routes active in the routing table. 〖在路由表中将有8条路由处于活跃状态。〗

　　D. The port1 and port2 default routes are active in the routing table. 〖port1和port2默认路由在路由表中是活跃的。〗

　　【分析】

 

　　【答案】Ａ D

 

 If traffic matches a DLP filter with the action set to Quarantine IP Address, what action does FortiGate take? 〖如果流量与设置为隔离IP地址的DLP过滤器相匹配，则FortiGate将采取什么操作?〗

　　A. It notifies the administrator by sending an email.  〖它通过发送电子邮件通知管理员。〗

　　B. It provides a DLP block replacement page with a link to download the file.  〖它提供了一个DLP块替换页面，该页面带有下载文件的链接。〗

　　C. It blocks all future traffic for that IP address for a configured interval.  〖它在一个已配置的时间间隔内阻塞该IP地址的所有未来流量。〗

　　D. It archives the data for that IP address.〖它将该IP地址的数据存档。〗

　　【分析】

　　【答案】Ｃ