考题篇(7.0) 03 ❀ FortiGate防火墙 ❀ Fortinet 网络安全专家 NSE 4

 Refer to the exhibits. 〖参考提示〗

　　Exhibit A. 〖提示A〗

　　Exhibit B. 〖提示B〗

　　An administrator creates a new address object on the root FortiGate (Local-FortiGate) in the security fabric. After synchronization, this object is not available on the downstream FortiGate (ISFW). 〖管理员在安全架构的根FortiGate (Local-FortiGate)上创建一个新的地址对象。同步完成后，该节点在下游ISFW上不可用。〗

　　What must the administrator do to synchronize the address object? 〖管理员需要做什么才能同步地址对象?〗

　　A. Change the csf setting on Local-FortiGate (root) to set configuration-sync local. 〖修改Local-FortiGate(根)的csf设置为set configuration-sync local。〗

　　B. Change the csf setting on ISFW (downstream) to set configuration-sync local. 〖将下游ISFW的csf设置为set configuration-sync local。〗

　　C. Change the csf setting on Local-FortiGate (root) to set fabric-object-unification default. 〖将Local-FortiGate (根)的csf设置为set fabric-object-unification default。〗

　　D. Change the csf setting on ISFW (downstream) to set fabric-object-unification default. 〖将ISFW(下游)的csf设置为set fabric-object-unification default。〗

　　【分析】教程篇(7.0) 02. FortiGate安全 & 安全架构 ❀ Fortinet 网络安全专家 NSE 4

　　当启用安全架构时，默认情况下启用从上游FortiGate设备到所有下游FortiGate设备同步各种对象的设置，例如地址、服务、时间表。同步总是从根FortiGate设备发生到下游FortiGate设备。在同步之后，任何可以同步的对象都可以在下游FortiGate设备上使用。

　　CLI命令set fabric-object-unification只能在根FortiGate上使用（选项Ｄ错误）。当设置为local时，全局对象不会同步到安全架构的下游设备。默认值为default。

　　当下游FortiGate不需要参与对象同步时，使用CLI命令set configuration-sync local（选项Ｂ错误）。当下游FortiGate设置为local时，设备不会从根节点同步对象，但仍会参与向下游发送同步对象。

　　【答案】Ｃ

 Which two settings can be separately configured per VDOM on a FortiGate device? (Choose two.) 〖在FortiGate设备上，每个VDOM可以分别配置哪两个设置?(选择两个)〗

　　A. System time 〖系统时间〗

　　B. FortiGuard update servers 〖FortiGuard更新服务器〗

　　C. Operating mode 〖操作模式〗

 　　D. NGFW mode 〖NGFW模式〗

　　【分析】教程篇(7.0) 03. FortiGate基础架构 & 虚拟域(VDOM) ❀ Fortinet 网络安全专家 NSE 4

　　【答案】C D

 Which statement is correct regarding the inspection of some of the services available by web applications embedded in third-party websites? 〖关于对嵌入在第三方网站中的web应用程序提供的一些服务进行检查，哪种说法是正确的?〗

　　A. The security actions applied on the web applications will also be explicitly applied on the third-party websites. 〖应用于web应用程序的安全操作也将显式应用于第三方网站。〗

　　B. The application signature database inspects traffic only from the original web application　server. 〖应用特征库只对来自原web应用服务器的流量进行检测。〗

　　C. FortiGuard maintains only one signature of each web application that is unique. 〖FortiGuard为每个web应用程序维护唯一的一个签名。〗

　　D. FortiGate can inspect sub-application traffic regardless where it was originated. 〖FortiGate可以检查子应用程序的流量，而不管它来自哪里。〗

　　【分析】教程篇(7.0) 09. FortiGate安全 & 应用控制 ❀ Fortinet 网络安全专家 NSE 4

　　许多web应用程序提供的功能可以嵌入到第三方网站或应用程序中。例如，你可以在一篇文章的结尾嵌入一个Facebook Like按钮，或者在教育网站上引用YouTube视频。FortiOS为管理员提供了检查子应用程序流量所需的所有工具。

　　【答案】D

 An administrator wants to configure Dead Peer Detection (DPD) on IPSEC VPN for detecting dead tunnels. The requirement is that FortiGate sends DPD probes only when no traffic is observed in the tunnel. 〖管理员希望在IPSEC VPN中配置对等体状态探测(DPD)功能，用于检测死亡隧道。要求FortiGate只在隧道内没有流量时才发送DPD探测。〗

　　Which DPD mode on FortiGate will meet the above requirement? 〖FortiGate上的哪一种DPD模式将满足上述要求?〗

　　A. Disabled 〖禁用〗

　　B. On Demand 〖按需〗

　　C. Enabled 〖启用〗

　　D. On Idle 〖空闲〗

 　　【分析】教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】D

 Refer to the exhibit. 〖参考提示〗

　　The global settings on a FortiGate device must be changed to align with company security policies. What does the Administrator account need to access the FortiGate global settings? 〖需要修改FortiGate设备的全局设置，使其与公司的安全策略保持一致。管理员帐户访问FortiGate全局设置需要什么?〗

　　A. Change password 〖更改密码〗

　　B. Enable restrict access to trusted hosts 〖启用对受信任主机的访问限制〗

　　C. Change Administrator profile 〖更改管理员配置文件〗

　　D. Enable two-factor authentication 〖使双因子身份验证〗

 　　【分析】教程篇(7.0) 01. FortiGate安全 & 简介及初始配置 ❀ Fortinet 网络安全专家 NSE 4

　　默认情况下，有一个名为super_admin的特殊配置文件，由名为admin的帐户使用。你不能改变它。它提供了对所有内容的完全访问，使管理员帐户类似于根超级用户帐户。

　　prof_admin是另一个默认配置文件。它还提供完全访问，但与超级管理员不同的是，它只应用于虚拟域——而不是FortiGate的全局设置。此外，你还可以更改其权限。

　　【答案】C

 Which two statements are correct about SLA targets? (Choose two.) 〖关于SLA目标，哪两种说法是正确的?(选择两个)〗

　　A. You can configure only two SLA targets per one Performance SLA. 〖一个性能SLA只能配置两个SLA目标。〗

　　B. SLA targets are optional. 〖SLA目标是可选的。〗

　　C. SLA targets are required for SD-WAN rules with a Best Quality strategy. 〖具有最佳质量策略的SD-WAN规则需要SLA目标。〗

　　D. SLA targets are used only when referenced by an SD-WAN rule. 〖SLA目标仅在被SD-WAN规则引用时使用。〗

 　　【分析】教程篇(7.0) 02. FortiGate基础架构 & SD-WAN本地分汇 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】B D

 Refer to the exhibit. 〖参考提示〗

　　Given the routing database shown in the exhibit, which two statements are correct? (Choose two.) 〖给定提示中显示的路由数据库，哪两个描述是正确的?(选择两个)〗

　　A. The port3 default route has the highest distance. 〖port3默认路由的距离最高。〗

　　B. The port3 default route has the lowest metric. 〖port3默认路由的metric值最低。〗

　　C. There will be eight routes active in the routing table. 〖在路由表中将有8条活跃的路由。〗

　　D. The port1 and port2 default routes are active in the routing table. 〖port1和port2默认路由在路由表中是活跃的。〗

 　　【分析】教程篇(7.0) 01. FortiGate基础架构 & 路由 ❀ Fortinet 网络安全专家 NSE 4

　　port3的距离为30，为最高。0.0.0.0/0为默认路由，只有port1、port2有*>，为活跃路由。

　　【答案】Ａ D

 When configuring a firewall virtual wire pair policy, which following statement is true? 〖在配置防火墙虚拟连线对策略时，下列哪个描述是正确的?〗

　　A. Any number of virtual wire pairs can be included, as long as the policy traffic direction is the same. 〖可以包含任意数量的虚拟线对，只要策略流量方向相同。〗

　　B. Only a single virtual wire pair can be included in each policy. 〖每个策略中只能包含一个虚拟线对。〗

　　C. Any number of virtual wire pairs can be included in each policy, regardless of the policy traffic direction settings. 〖无论策略流量方向如何设置，每个策略中都可以包含任意数量的虚拟线对。〗

　　D. Exactly two virtual wire pairs need to be included in each policy. 〖每个策略中需要包含两个虚拟线对。〗

 　　【分析】教程篇(7.0) 04. FortiGate基础架构 & 二层交换 ❀ Fortinet 网络安全专家 NSE 4

　　防火墙虚拟链连对策略可以包含多个虚拟链接对。通过消除为每个虚拟链接对创建多个相似策略的需要，该功能可以简化策略管理过程。在创建或修改策略时，可以为策略中包含的每个VWP选择流量方向。

　　【答案】Ｃ

 Refer to the exhibit. 〖参考提示〗

　　An administrator is running a sniffer command as shown in the exhibit. 〖管理员正在运行sniffer命令，如图所示。〗

　　Which three pieces of information are included in the sniffer output? (Choose three.) 〖嗅探器输出中包含哪三条信息?(选择三个)〗

　　A. Interface name 〖接口名称〗

　　B. Ethernet header 〖以太网报头〗

　　C. IP header 〖IP报头〗

　　D. Application header 〖应用报头〗

　　E. Packet payload 〖包载荷〗

 　　【分析】教程篇(6.4) 03. 流量和会话监控 ❀ 企业防火墙 ❀ Fortinet 网络安全架构师 NSE７

　　【答案】Ａ C E

 An administrator does not want to report the logon events of service accounts to FortiGate. What setting on the collector agent is required to achieve this? 〖管理员不希望向FortiGate报告服务帐户的登录事件。需要在收集器代理上设置什么来实现这一点?〗

　　A. Add the support of NTLM authentication. 〖添加NTLM身份验证的支持。〗

　　B. Add user accounts to Active Directory (AD). 〖将用户帐号添加到AD中。〗

　　C. Add user accounts to the FortiGate group filter. 〖将用户帐户添加到FortiGate组过滤器中。〗

　　D. Add user accounts to the Ignore User List. 〖将用户帐号添加到忽略用户列表中。〗

 　　【分析】教程篇(7.0) 06. FortiGate基础架构 & 单点登录(FSSO) ❀ Fortinet 网络安全专家 NSE 4

　　FSSO收集器代理将忽略与“忽略用户列表”条目匹配的任何登录事件。因此，这些登录事件不会被收集器代理记录，也不会报告给FortiGate。

　　【答案】D

---