考题篇(7.0) 06 ❀ FortiGate防火墙 ❀ Fortinet 网络安全专家 NSE 4

飞塔老梅子

已于 2022-04-14 10:35:45 修改

阅读量408

点赞数 1

于 2022-04-07 15:44:17 首次发布

NSE4 FortiGate 7.0 考题专栏收录该内容

17 篇文章 5 订阅

订阅专栏

FortiGuard categories can be overridden and defined in different categories. To create a web rating override for example.com home page, the override must be configured using a specific syntax. 〖FortiGuard的类别可以在不同的类别中被重写和定义。要创建一个web评级覆盖的example.com主页，覆盖必须使用特定的语法配置。〗

　　Which two syntaxes are correct to configure web rating for the home page? (Choose two.) 〖哪两个语法是正确的配置web评级的主页?(选择两个)〗

　　A. www.example.com:443

　　B. www.example.com

　　C. example.com

　　D. www.example.com/index.html

　　【分析】教程篇(7.0) 08. FortiGate安全 & Web过滤 ❀ Fortinet 网络安全专家 NSE 4

　　Web评级仅针对主机名——不允许使用url或通配符。

　　【答案】B C

Refer to the exhibit. 〖参考提示〗

　　The exhibit displays the output of the CLI command: diagnose sys ha dump-by vcluster. 〖CLI命令diagnose sys ha dump-by vcluster的输出信息如提示所示。〗

　　Which two statements are true? (Choose two.) 〖哪两个描述是正确的?(选择两个)〗

　　A. FortiGate SN FGVM010000065036 HA uptime has been reset. 〖FortiGate SN FGVM010000065036 HA在线时间已重置。〗

　　B. FortiGate devices are not in sync because one device is down. 〖FortiGate设备不能同步，因为有一个设备坏了。〗

　　C. FortiGate SN FGVM010000064692 is the primary because of higher HA uptime. 〖FortiGate SN FGVM010000064692是主节点，因为其HA在线时间较高。〗

　　D. FortiGate SN FGVM010000064692 has the higher HA priority. 〖FortiGate SN FGVM010000064692具有更高的HA优先级。〗

　　【分析】教程篇(7.0) 07. FortiGate基础架构 & 高可用性(HA) ❀ Fortinet 网络安全专家 NSE 4

　　请注意，reset-uptime命令会在内部重置HA正常运行时间，不会影响FortiGate仪表板上显示的系统正常运行时间。此外，如果被监控的接口出现故障，或者集群中的FortiGate重启，FortiGate的HA正常运行时间将被重置为0。

　　主设备的年龄比从设备的年龄多198秒。年龄差小于5分钟(小于300秒)，所以年龄对主备的选择没有影响。FGVM010000064692序列号小，但仍然成为主设备，因此FGVM010000064692具有更高的优先级。

　　【答案】Ａ D

Refer to the exhibit. 〖参考提示〗

　　A network administrator is troubleshooting an IPsec tunnel between two FortiGate devices. The administrator has determined that phase 1 status is up. but phase 2 fails to come up. 〖网络管理员正在对两台FortiGate设备之间的IPsec隧道进行故障排除。管理员确认阶段1状态为up。但是第二阶段没有出现。〗

　　Based on the phase 2 configuration shown in the exhibit, what configuration change will bring phase 2 up? 〖根据提示中所示的阶段2配置，什么配置更改将使阶段2上线?〗

　　A. On HQ-FortiGate, enable Auto-negotiate. 〖在HQ-FortiGate上启用自动协商。〗

　　B. On Remote-FortiGate, set Seconds to 43200. 〖在Remote-FortiGate中设置秒数为43200。〗

　　C. On HQ-FortiGate, enable Diffie-Hellman Group 2. 〖在HQ-FortiGate上启用Diffie-Hellman Group 2。〗

　　D. On HQ-FortiGate, set Encryption to AES256. 〖HQ-FortiGate中加密设置为AES256。〗

　　【分析】教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4

　　如果是点到点隧道，即远端网关没有设置为拨号用户时，对等体的阶段2选择器网络参数必须匹配。

　　【答案】D

Which three options are the remote log storage options you can configure on FortiGate? (Choose three.) 〖可以在FortiGate上配置的远程日志存储选项有哪三个?(选择三个)〗

　　A. FortiCache

　　B. FortiSIEM

　　C. FortiAnalyzer

　　D. FortiSandbox

　　E. FortiCloud

　　【分析】教程篇(7.0) 06. FortiGate安全 & 日志记录和监控 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】Ｂ C E

A network administrator is configuring a new IPsec VPN tunnel on FortiGate. The remote peer IP address is dynamic. In addition, the remote peer does not support a dynamic DNS update service. 〖网络管理员正在FortiGate上配置新的IPsec VPN隧道。对端IP地址是动态的。另外，远端不支持动态DNS更新服务。〗

　　What type of remote gateway should the administrator configure on FortiGate for the new IPsec VPN tunnel to work? 〖对于新建的IPsec VPN隧道，管理员应该在FortiGate上配置哪种类型的对端网关?〗

　　A. Static IP Address 〖静态IP地址〗

　　B. Dialup User 〖拨号用户〗

　　C. Dynamic DNS 〖动态DNS〗

　　D. Pre-shared Key 〖预共享密钥〗

　　【分析】教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】B

An administrator has configured outgoing Interface any in a firewall policy. Which statement is true about the policy list view? 〖管理员在防火墙策略中配置了any出接口。关于策略列表视图，哪个描述是正确的?〗

　　A. Policy lookup will be disabled. 〖策略查找将被禁用。〗

　　B. By Sequence view will be disabled. 〖通过序列视图将被禁用。〗

　　C. Search option will be disabled. 〖搜索选项将被禁用。〗

　　D. Interface Pair view will be disabled. 〖接口对视图将被禁用。〗

　　【分析】教程篇(7.0) 03. FortiGate安全 & 防火墙策略 ❀ Fortinet 网络安全专家 NSE 4

　　如果使用多个源或目的接口，或者防火墙策略中的任意接口，则不能按接口对将策略划分为多个部分——有些可能是三联或更多。因此，策略总是显示在单个列表中(按顺序)。

　　【答案】D

Which statement correctly describes NetAPI polling mode for the FSSO collector agent? 〖哪个声明正确地描述了FSSO收集器代理的NetAPI轮询模式?〗

　　A. The collector agent uses a Windows API to query DCs for user logins. 〖收集器代理使用Windows API查询数据中心的用户登录。〗

　　B. NetAPI polling can increase bandwidth usage in large networks. 〖NetAPI轮询可以增加大型网络的带宽使用。〗

　　C. The collector agent must search security event logs. 〖收集器代理必须搜索安全事件日志。〗

　　D. The NetSession Enum function is used to track user logouts. 〖NetSession Enum函数用于跟踪用户的注销。〗

　　【分析】教程篇(7.0) 06. FortiGate基础架构 & 单点登录(FSSO) ❀ Fortinet 网络安全专家 NSE 4

　　NetAPI在用户登录或注销时轮询DC上创建的临时会话，并调用Windows下的NetSessionEnum函数。

　　【答案】D

An administrator has configured the following settings: 〖管理员已完成如下配置：〗

　　What are the two results of this configuration? (Choose two.) 〖管理员已完成如下配置：〗

　　A. Device detection on all interfaces is enforced for 30 minutes. 〖对所有接口进行设备检测30分钟。〗

　　B. Denied users are blocked for 30 minutes. 〖被拒绝的用户被阻塞30分钟。〗

　　C. A session for denied traffic is created. 〖为被拒绝的流量创建会话。〗

　　D. The number of logs generated by denied traffic is reduced. 〖减少被拒绝的流量产生的日志数量。〗

　　【分析】

　　为了减少来自相同源/目的ip地址、端口和协议的会话被拒绝，可以将被拒绝的会话添加到会话表中。启用被拒绝会话的命令如下：

　　config system settings
　　　set ses-denied-traffic enable
　　end

　　为了获得最佳性能，请调整全局block-session-timer。

　　config system global
　　　set block-session-timer <1-300> (default = <30>)
　　end

　　当会话被拒绝时，阻断报文会占用比流量本身更多的CPU处理资源。

　　通过将被拒绝的会话放在会话表中，它们可以以与允许的会话相同的方式跟踪会话，这样FortiGate单元就不必重新评估是否拒绝每个数据包。

　　如果该会话被拒绝，该会话的所有数据包也将被拒绝。

　　注:ses- deny -traffic和block-session-timer对于阻断拒绝服务攻击无效。

　　【答案】Ｃ D

In an explicit proxy setup, where is the authentication method and database configured? 〖在显式的代理设置中，身份验证方法和数据库配置在哪里?〗

　　A. Proxy Policy 〖代理策略〗

　　B. Authentication Rule 〖认证规则〗

　　C. Firewall Policy 〖防火墙策略〗

　　D. Authentication scheme 〖认证方案〗

　　【分析】

　　【答案】D

In consolidated firewall policies, IPv4 and IPv6 policies are combined in a single consolidated policy. Instead of separate policies. Which three statements are true about consolidated IPv4 and IPv6 policy configuration? (Choose three.) 〖在合并防火墙策略中，IPv4策略和IPv6策略可以合并成一个合并防火墙策略。而不是单独的政策。关于合并IPv4和IPv6策略配置，哪三种说法是正确的?(选择三个)〗

　　A. The IP version of the sources and destinations in a firewall policy must be different. 〖防火墙策略中的源IP版本和目的IP版本不能相同。〗

　　B. The Incoming Interface. Outgoing Interface. Schedule, and Service fields can be shared with both IPv4 and IPv6. 〖传入接口、输出接口、计划、服务字段可以与IPv4和IPv6共享。〗

　　C. The policy table in the GUI can be filtered to display policies with IPv4, IPv6 or IPv4 and IPv6 sources and destinations. 〖通过对GUI中的策略表进行过滤，可以显示源和目的为IPv4、IPv6或IPv4和IPv6的策略。〗

　　D. The IP version of the sources and destinations in a policy must match. 〖策略中的源和目的IP版本必须匹配。〗

　　E. The policy table in the GUI will be consolidated to display policies with IPv4 and IPv6 sources and destinations. 〖GUI中的策略表将被整合，以显示IPv4和IPv6源和目的的策略。〗

　　【分析】

　　【答案】B D E