考题篇(6.2) 02 ❀ 企业防火墙 ❀ Fortinet 网络安全架构师 NSE7

最新推荐文章于 2023-09-26 11:44:47 发布
最新推荐文章于 2023-09-26 11:44:47 发布
阅读量390 收藏
点赞数
分类专栏: # NSE7 企业防火墙 6.2 考题 文章标签: 企业防火墙 NSE7 6.2 考题 详解

 Refer to the exhibit, which contains the output of a debug command. 〖查看下列图片,其中包含调试命令的输出。〗

  Which two statements about the exhibit are true? (Choose two.)  〖关于上面图片的哪两种说法是正确的?(选择两个)〗

  A. The local FortiGate OSPF router ID is 0.0.0.4. 〖本地FortiGate OSPF路由器ID为0.0.0.4。〗

  B. The local FortiGate is the backup designated router. 〖本地的FortiGate是备份的指定路由器。〗

  C. In the network connected to port4, two OSPF routers are down. 〖日志含义端口4连接的网络中有两台OSPF路由器down。〗

  D. Port4is connected to the OSPF backbone area. 〖port4连接OSPF骨干区域。〗

  【分析】

  【答案】A D

 

 Refer to the exhibit, which contains the output of diagnose sys session stat. 〖查看下列图片,其中包含诊断系统会话stat的输出。〗

  Which two statements about the output shown are correct? (Choose two.)  〖关于输出的哪两个语句是正确的?(选择两个)〗

  A. No sessions have been deleted because of memory pages exhaustion.  〖没有因为内存页耗尽而删除会话。〗

  B. There are 0 ephemeral sessions.  〖有0个临时会话。〗

  C. There are 168 TCP sessions waiting to complete the three-way handshake.  〖有168个TCP会话等待完成三次握手。〗

  D. All the sessions in the session table are TCP sessions. 〖会话表中所有会话都是TCP会话。〗

  【分析】

  FortiGate有一种机制来保护内存使用免受某些形式的DoS攻击。FortiGate将会话表中的条目分类为临时会话,如果该条目是未完全建立的TCP会话(三路握手未完成),或者是只接收到一个包的UDP会话。在一些Dos攻击中。这类会话的数量会不正常地增加,可能会消耗单位内存。FortiGate设置了会话表中可以同时存在的临时会话的最大数量的硬限制。

  【答案】A B

 

 Refer to the exhibit, which contains central management configuration. 〖查看下列图片,其中包含中央管理配置。〗

  Which server will FortiGate choose for antivirus and IPS updates if 10.0.1.243is experiencing an outage?〖如果10.0.1.243正在经历停机,FortiGate将选择哪台服务器用于防病毒和IPS更新?〗

  A. 10.0.1.242  

  B. 10.0.1.244  

  C. Public FortiGuard servers  

  D. 10.0.1.240

  【分析】

   你可以在服务器类型设置中定义以下选项:

  ●  rating:Web过滤,反垃圾邮件等等

  ●  update:反病毒、IPS等

  【答案】C

 

 Refer to the exhibit, which contains the output of diagnose sys session list. 〖查看下列图片,其中包含诊断系统会话列表的输出。〗

  If the HA ID for the primary unit is zero (0), which statement about the output is true? 〖如果主单元的HA ID为零(0),关于输出的哪个语句为真?〗

  A. This session cannot be synced with the slave unit.  〖此会话不能与从单元同步。〗

  B. The inspection of this session has been offloaded to the slave unit.  〖这个会话的检查已经卸载到从属单元。〗

  C. The master unit is processing this traffic.  〖主单元正在处理此流量。〗

  D. This session is for HA heartbeat traffic. 〖该会话用于HA心跳流量。〗

  【分析】

  缺省情况下,HA会话同步功能处于关闭状态。如果启用了它,你可以检查主设备的会话表,以查看哪些会话已同步到从设备。他们都有synced标志。如果是所有会话,则ha_id字段显示正在处理该流量的设备的HA成员ID。 

  【答案】C

 

 Refer to the exhibit, which contains the partial output of an IKE real-time debug. 〖查看下列图片,其中包含IKE实时调试的部分输出。〗

  Why did the tunnel not come up?  〖为什么隧道没有上来?〗

  A. The pre-shared keys do not match  〖预共享密钥不匹配〗

  B. The remote gateway phase 1 configuration does not match the local gateway phase 1 configuration.  〖对端网关阶段1配置与本端网关阶段1配置不匹配。〗

  C. The remote gateway phase 2 configuration does not match the local gateway phase 2 configuration.  〖对端网关阶段2配置与本端网关阶段2配置不匹配。〗

  D. The remote gateway is using aggressive mode and the local gateway is configured to use main mode.  〖对端网关配置为野蛮模式,本端网关配置为主模式。〗

  【分析】

 

  【答案】B

 

 An administrator has configured two FortiGate devices for an HA cluster. While testing the HA failover, the administrator notices that some of the switches in the network continue to send traffic to the former primary unit. The administrator decides to enable the setting link-failed-signalto fix the problem. 〖管理员为HA集群配置了两台FortiGate设备。在测试HA故障转移时,管理员注意到网络中的一些交换机继续将流量发送到前一个主单元。管理员决定启用设置link-failed-signalto修复问题。〗

  Which statement about this command is true?  〖关于这个命令,哪句话是正确的?〗

  A. It forces the former primary device to shut down all its non-heartbeat interfaces for one second while the failover occurs.  〖它强制前主设备在故障切换发生时关闭所有非心跳接口一秒钟。〗

  B. It disables all the non-heartbeat interfaces in all the HA members for two seconds after a failover.  〖故障切换后,关闭所有HA成员的所有非心跳接口2秒。〗

  C. It sends a link failed signal to all connected devices.  〖它向所有连接的设备发送链路故障信号。〗

  D. It sends an ARP packet to all connected devices, indicating that the HA virtual MAC address is reachable through a new master after a failover.  〖它向所有连接的设备发送ARP报文,表示故障切换后,HA虚拟MAC地址通过新的主服务器可达。〗

  【分析】

  在故障转移之后,新的主机会广播免费ARP包,通知网络,每个虚拟MAC地址现在可以通过不同的交换机端口访问。

  在大多数网络中,这足以让交换机用新信息更新其MAC转发表。然而,一些高端交换机在故障转移后可能不会正确地清除其MAC表。因此,即使在收到免费ARP之后,它们也会继续向前主机发送数据包。在这些情况下,你应该使用set link-faild-signal enable命令强制前主机在故障转移发生时关闭所有非心跳接口1秒钟。这模拟了链路故障,将清除交换机MAC表中的相关条目。

  【答案】A

 

 What does the dirty flag mean in a FortiGate session?  〖在FortiGate会话中dirty标识是什么意思?〗

  A. The session must be removed from the former primary unit after an HA failover.  〖HA故障切换后,该会话必须从原主单元中移除。〗

  B. Traffic has been blocked by the antivirus inspection.  〖流量被反病毒检测阻断。〗

  C. Traffic has been identified as from an application that is not allowed.  〖已识别出来自不允许的应用程序的流量。〗

  D. The next packet must be re-evaluated against the firewall policies. 〖必须根据防火墙策略重新评估下一个数据包。〗

  【分析】

   如果防火墙策略配置发生了变化,那么所有带有may_dirty标志的现有会话也会被标记为dirty。这表明它需要重新评估下一个会话包,以确定会话是否必须被阻止。

  【答案】D

 

 Refer to the exhibit, which contains partial outputs from two routing debug commands.  〖查看下列图片,其中包含两个路由调试命令的部分输出。〗

 

  Which outbound interface will FortiGate use to route web traffic from internal users to the Internet?  〖FortiGate将使用哪个出站接口将内部用户的web流量路由到Internet?〗

  A. port3  

  B. port2  

  C. port1  

  D. Both port1and port2

  【分析】

  port1优先级为0,port2优先级为10,数字越小越优先,所以会走port1。

  【答案】C

 

 Refer to the exhibit, which contains the output of a debug command.  〖查看下列图片,其中包含调试命令的输出。〗

  Which statement about this FortiGate is correct?  〖关于这个FortiGate的说法哪一个是正确的?〗

  A. It is currently in system conserve mode because of high CPU usage.  〖由于CPU使用率高,它目前处于系统节省模式。〗

  B. It is currently in extreme conserve mode because of high memory usage.  〖由于高内存使用量,它目前处于极端节省模式。〗

  C. It is currently in proxy conserve mode because of high memory usage.  〖由于内存使用率高,它目前处于代理保护模式。〗

  D. It is currently in memory conserve mode because of high memory usage.  〖由于内存使用率高,它目前处于内存保护模式。〗

  【分析】

   memory conserve mode: ON 表示进入了内存保护模式

    FortiGate只有一种保护模式。它是根据内存使用情况触发的。你可以在CLl上配置三个内存阈值:

  ●  极端:FortiGate开始删除新的会话的阈值

  ●  红色:FortiGate进入保护模式的阈值

  ●  绿色:FortiGate退出保存模式的阈值

  【答案】D

 

 How does FortiManager handle FortiGate requests from FortiGate devices, when it is configured as a local FDS? 〖当FortiManager被配置为本地FDS时,它如何处理来自FortiGate设备的FortiGate请求?〗

  A. FortiManager will respond to update requests only from a managed device.  〖FortiManager将只响应来自托管设备的更新请求。〗

  B. FortiManager can download and maintain local copies of FortiGuard databases.  〖FortiManager可以下载和维护FortiGuard数据库的本地副本。〗

  C. FortiManager supports only FortiGuard push update to managed devices.  〖FortiManager只支持被管理设备的FortiGuard推送更新。〗

  D. FortiManager does not support web filter rating requests. 〖FortiManager不支持web过滤器评级请求。〗

  【分析】

   FortiManager可以作为本地的FDS。它不断地连接到公共的FDS服务器,以获取管理设备许可证信息并检查固件可用性更新。

  【答案】B

飞塔老梅子
关注
专栏目录
考题(6.4) 06 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
06-18 219
Examine the output from the 'diagnose vpn tunnel list' command shown in the exhibit; then answer the question below. 〖查看下列图片,检查diagnose vpn tunnel list命令的输出,然后回答下面的问题。〗   Which command can beused to sniffer the ESP traffic for the VPN DialUP_0? 〖哪个命令可..
考题(6.4) 02 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
06-18 325
View the exhibit, which contains the output of get sys ha status, and then answer the question below.〖查看下列图片,其中包含get sys ha status的输出,然后回答下面的问题。〗   Which statements are correct regarding the output? (Choose two.)〖哪些关于输出的语句是正确的?(选择两个)〗   A. The slave...
教程(6.4) 05. 集成 SD-WAN Fortinet 网络安全架构师 NSE7
防火墙技术专栏
07-12 953
在本节课中,你将学习有关FortiManager基础知识、SD-WAN管理器、VPN管理器、零接触配置和SD-WAN协调器。 完成此部分后,你应该能够实现此幻灯片上显示的目标。   通过展示理解FortiManager关键特性的能力,你将能够在你的网络中有效地使用这些特性。 什么时候应该在网络中使用FortiManager ?   在大型企业和托管安全服务提供商(MSSP)中,网络的规模带来了小型网络不具备的挑战:大规模供应;调度配置更改的推出;以及维护、跟踪和审计许多更改。 ...
教程(6.4) 07. 自动发现 SD-WAN Fortinet 网络安全架构师 NSE7
防火墙技术专栏
07-14 1750
在这节课中,你将学习自动发现VPN (ADVPN)。 完成本课程后,你应该能够实现在这张幻灯片上显示的目标。   通过演示ADVPN的能力,你将能够配置ADVPN,排除ADVPN故障,并理解SD-WAN对ADVPN的支持。 为什么要使用ADVPN?为了找到答案,你将回顾最常见的VPN拓扑。   一个点到多拓扑变化称为中心辐射。正如它的名字所描述的,所有的客户连接通过一个中心轮毂,类似辐条连接到轮毂上的方式。   在本幻灯片所示的示例中,每个客户端辐条都是一个分支机构Forti...
教程(6.4) 01. 安全结构 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
12-11 1109
In this lesson. you will learn about the Fortinet Enterprise Firewall solution and the Fortinet Security Fabric.   在这节课中,你将了解Fortinet企业防火墙解决方案和Fortinet安全结构。 After completing this lesson, you should be able to achieve the objectives shown on this sl...
考题(6.2) 04 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
05-31 310
Which the following events can trigger the election of a new primary unit in a HA cluster?(Choose two.) 〖以下哪个事件可以触发HA集群中新的主单元的选举?(选择两个)〗   A. One of the monitored interfaces in the primary unit is disconnected. 〖主单元中被监控的接口之一断开。〗   B. The FortiGuard li...
考题(5.4) 02 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
12-18 224
Examine the following partial output from a sniffer command; then answer the question below. 〖检查下列嗅探器命令的部分输出;然后回答下面的问题。〗   What is the meaning of the packets dropped counter at the end of the sniffer? 〖嗅探器末端的丢包计数器是什么意思?〗   A. Number of packets that ...
考题(6.4) 07 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
06-18 306
Which of the following statements are true regardingthe SIP session helper and the SIP application layer gateway (ALG)? (Choose three.)〖关于SIP会话helper和SIP应用层网关(ALG),下列哪个陈述是正确的?(选择三个)〗   A. SIP session helper runs in the kernel; SIP ALG runs as a user spa..
考题(6.4) 05 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
06-18 306
Which two conditions must be met for a statistic route to be active in the routing table?(Choose two.)〖一个统计路由在路由表中激活必须满足哪两个条件?(选择两个)〗   A. The link health monitor (if configured) is up.〖链路运行状况监视器(如果已配置)已启动。〗   B. There is no other route, to the same ...
考题(5.4) 04 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
12-22 267
A FortiGate's portl is connected to a private network. Its port2 is connected to the Internet. Explicit web proxy is enabled in port1 and only explicit web proxy users can access the Internet. Web cache is NOT enabled. An internal web proxy user is downlo.
教程(6.4) 06. 高级IPsec SD-WAN Fortinet 网络安全架构师 NSE7
防火墙技术专栏
07-13 3185
在本节课,你将学习IPsec。 完成本课程后,你应该能够实现在这张幻灯片上显示的目标。   通过展示IPsec VPN的能力,你应该能够理解IPsec VPN的基本原理,并为你的网络路由IPsec VPN流量。 IPsec是一套用于对两个对等体之间的流量进行验证和加密的协议。套件中最常用的两个协议是:   ● IKE:负责握手、隧道维护和断开连接   ● ESP:用于保证数据的完整性和加密 FortiGate在创建IPsec隧道时使用IKE协商私钥、认证和加密。安全联...
考题(6.2) 01 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
05-31 385
Which two configuration settings change the behavior for content-inspected traffic while FortiGate is in conserve mode? (Choose two.)〖当FortiGate处于保护式时,哪两个配置设置改变了内容检查流量的行为?(选择两个)〗   A. IPS failopen   B. mem failopen   C. AV failopen   D. UTM fa...
您的主机不满足在启用 Hyper-V 或 Device/Credential Guard 的情况下运行 VMware Workstation 的最低要求
m0_64655190的博客
05-08 2186
终于解决了,啊啊啊啊啊啊啊。这个问题按照网上的很多种教程解决,始终无法解决。也有可能是每个人的电脑系统都不一样吧,所以有些方法对我都没用,不过我都会全部写出来,希望能帮到您。
FortiGate has reached connection limit..message
gotonet的专栏
10-29 2322
This above message may be displayed on the Alert Message Console GUI. It is similar to the “The system has entered conserve mode” Event log message.Explanation:The antivirus engine was low on memo
HA双机热备典型功能——ping server、集群外带管理、配置命令集
最新发布
君逍遥o
09-26 579
Ping server功能是为了防止所谓端口‘假死’的问题,链路状态正常,但链路无法工作,防火墙可以通过利用发送ping 包,根据对方的响应来判断该端口链路是否可用。
FortiGate FGCP HA 配置文档
sysin | SYStem INside
12-31 790
FortiGate HA 集群由为 HA 操作配置的两到四个 FortiGate 组成。集群中的每个 FortiGate 称为集群设备。所有集群设备必须是相同的 ForitGate 型号,安装相同的 FortiOS 固件版本。所有集群设备还必须具有相同的硬件配置 (例如,相同数量的硬盘等等),并以相同的操作模式 (NAT 模式或透明模式) 运行。
考题(5.4) 01 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
12-17 278
Examine the IPsec configuration shown in the exhibit; then answer the question below. 〖检查下图中显示的IPsec配置,然后回答下面的问题。〗   An administrator wants to monitor the VPN by enabling the IKE real time debug using these commands: 〖管理员想要通过使用以下命令启用IKE实时调试来监视VPN:〗  ..
考题(6.4) 01 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
06-18 603
When using the SSL certificate inspection method to inspect HTTPS traffic, how does FortiGate filter web requests when the client browser does notprovide the server name indication (SNI) extension?〖当使用SSL证书检查方法检查HTTPS流量时,当客户端浏览器没有提供服务器名称指示(SNI)扩展时,FortiG..
FortiGate防火墙内存使用率高问题
weixin_33796205的博客
11-15 1224
1.现象:zabbix监控到防火墙内存使用率频繁超过80%,而FortiGate防火墙内存超过80%将开启自身保护模式而不能新加策略等。 2.分析:这种情况一般是某些进程再释放内存的时候卡住。可以先查看一下是那些进程占用的内存高,然后尝试通过kill重启。 3.解决:   1)diagnose sys top      2)执行diagnose sys kill 9 pid 或执行di...
Fortinet NSE7_EFW-6.4企业防火墙考试指南
这份文档旨在帮助考生准备Fortinet NSE7认证考试,确保一次性通过。文档包含了多选题、诊断测试的应用以及BGP调试命令等内容,用于提升用户对FortiGate防火墙的管理和配置能力。" 文档内容详细解析: 1. RADIUS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值