考题篇(7.0) 09 ❀ FortiGate防火墙 ❀ Fortinet 网络安全专家 NSE 4

 Which three security features require the intrusion prevention system (IPS) engine to function? (Choose three.) 〖哪三个安全功能需要入侵防御系统(IPS)引擎来运行?(选择三个)〗

　　A. Web filter in flow-based inspection 〖基于流检测的Web过滤〗

　　B. Antivirus in flow-based inspection 〖基于流检测的反病毒〗

　　C. DNS filter 〖DNS过滤〗

　　D. Web application firewall 〖Web应用防火墙〗

　　E. Application control 〖应用控制〗

　　【分析】教程篇(7.0) 11. FortiGate安全 & 入侵防御和拒绝服务 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】A B E

 Which of the following statements about backing up logs from the CLI and downloading logs from the GUI are true? (Choose two.) 〖以下关于通过命令行备份日志和通过图形界面下载日志的描述，哪些是正确的?(选择两个)〗

　　A. Log downloads from the GUI are limited to the current filter view. 〖从GUI下载的日志仅限于当前的过滤视图。〗

　　B. Log backups from the CLI cannot be restored to another FortiGate. 〖无法将CLI备份的日志恢复到其他FortiGate。〗

　　C. Log backups from the CLI can be configured to upload to FTP as a scheduled time. 〖通过CLI备份的日志可以设置定时上传到FTP。〗

　　D. Log downloads from the GUI are stored as LZ4 compressed files. 〖从GUI下载的日志被存储为LZ4压缩文件。〗

　　【分析】教程篇(7.0) 06. FortiGate安全 & 日志记录和监控 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】A B

 An administrator needs to increase network bandwidth and provide redundancy. 〖管理员需要增加网络带宽，提供冗余。〗

　　What interface type must the administrator select to bind multiple FortiGate interfaces? 〖管理员绑定多个FortiGate接口时，需要选择哪种接口类型?〗

　　A. VLAN interface 〖VLAN接口〗

　　B. Software Switch interface 〖软交换接口〗

　　C. Aggregate interface 〖聚合接口〗

　　D. Redundant interface 〖冗余接口〗

　　【分析】

　　【答案】C

 Refer to the exhibit, which contains a radius server configuration. 〖参考提示，其中包含一个radius服务器配置。〗

　　An administrator added a configuration for a new RADIUS server. While configuring, the administrator selected the Include in every user group option.  〖管理员添加RADIUS服务器配置。在配置时，管理员选择了Include in every user group选项。〗

　　What will be the impact of using Include in every user group option in a RADIUS configuration? 〖在RADIUS配置中，使用Include in every user group选项会有什么影响?〗

　　A. This option places the RADIUS server, and all users who can authenticate against that server, into every FortiGate user group. 〖此选项将RADIUS服务器和所有可以根据该服务器进行身份验证的用户放入每个FortiGate用户组中。〗

　　B. This option places all FortiGate users and groups required to authenticate into the RADIUS server, which, in this case, is FortiAuthenticator. 〖这个选项将需要进行身份验证的所有FortiGate用户和组放到RADIUS服务器中，在本例中，RADIUS服务器是FortiAuthenticator。〗

　　C. This option places all users into every RADIUS user group, including groups that are used for the LDAP server on FortiGate. 〖此选项将所有用户放入每个RADIUS用户组中，包括FortiGate上用于LDAP服务器的组。〗

　　D. This option places the RADIUS server, and all users who can authenticate against that server, into every RADIUS group. 〖这个选项将RADIUS服务器和所有可以根据该服务器进行身份验证的用户放入每个RADIUS组中。〗

　　【分析】教程篇(7.0) 05. FortiGate安全 & 防火墙认证 ❀ Fortinet 网络安全专家 NSE 4

　　在每个用户组中包含选项将RADIUS服务器和可以根据该服务器进行身份验证的所有用户添加到FortiGate上创建的每个用户组中。因此，你应该只在非常特定的场景中启用这个选项(例如，只有管理员可以对RADIUS服务器进行身份验证，并且策略的限制从最小到最严格)。

　　【答案】A

 Refer to the exhibit. 〖参考提示〗

　　The exhibit contains a network diagram, central SNAT policy, and IP pool configuration. 〖提示包含一个网络图、中央SNAT策略和IP池配置。〗

　　The WAN (port1) interface has the IP address 10.200.1.1/24. 〖WAN (port1)接口的IP地址为10.200.1.1/24。〗

　　The LAN (port3) interface has the IP address 10.0.1.254/24. 〖LAN (port3)接口的IP地址为10.0.1.254/24。〗

　　A firewall policy is configured to allow to destinations from LAN (port3) to WAN (port1). 〖防火墙策略被配置为允许从LAN(port3)到WAN(port1)的目的地。〗

　　Central NAT is enabled, so NAT settings from matching Central SNAT policies will be applied. 〖启用了中央NAT，将会应用匹配中央SNAT策略的NAT设置。〗

　　Which IP address will be used to source NAT the traffic, if the user on Local-Client (10.0.1.10) pings the IP address of Remote-FortiGate (10.200.3.1)? 〖如果Local-Client上的用户(10.0.10)ping到Remote-FortiGate的IP地址(10.200.3.1)，将使用哪个IP地址来进行流量的源NAT ?〗

　　 A. 10.200.1.149

　　B. 10.200.1.1  

　　C. 10.200.1.49  

　　D. 10.200.1.99 

　　【分析】教程篇(7.0) 03. FortiGate安全 & 防火墙策略 ❀ Fortinet 网络安全专家 NSE 4

　　因为是Ping远程IP地址，所以策略匹配第二条和第三条，又因为是从上到下匹配策略，因此第二条策略最终匹配，然后做了地址转换。

　　【答案】D

 Refer to the exhibit. 〖参考提示〗

　　Based on the administrator profile settings, what permissions must the administrator set to run the diagnose firewall auth list CLI command on FortiGate? 〖根据管理员配置文件的设置，管理员在FortiGate上执行diagnose firewall auth list CLI命令需要设置哪些权限?〗

　　A. Custom permission for Network 〖网络的自定义权限〗

　　B. Read/Write permission for Log & Report 〖日志&报表的读写权限〗

　　C. CLI diagnostics commands permission 〖CLI诊断命令权限〗

　　D. Read/Write permission for Firewall 〖防火墙的读写权限〗

　　【分析】教程篇(7.0) 01. FortiGate安全 & 简介及初始配置 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】C

 Refer to the exhibit. 〖参考提示〗

　　The exhibit contains a network diagram, firewall policies, and a firewall address object configuration. 〖提示包含一个网络图、防火墙策略和防火墙地址对象配置。〗

　　An administrator created a Deny policy with default settings to deny Webserver access for Remote-user2. Remote-user2 is still able to access Webserver. 〖管理员为Remote-user2创建了一个Deny策略，该策略的默认设置是拒绝Webserver访问。Remote-user2仍然能够访问Webserver。〗

　　Which two changes can the administrator make to deny Webserver access for Remote-User2? (Choose two.) 〖管理员可以做哪两个更改来拒绝Remote-User2的Webserver访问?(选择两个)〗

　　A. Disable match-vip in the Deny policy. 〖在Deny策略禁用match-vip。〗

　　B. Set the Destination address as Deny_IP in the Allow-access policy. 〖在Allow-access策略中设置目的地址为Deny_IP。〗

　　C. Enable match vip in the Deny policy. 〖在Deny策略中启用匹配vip功能。〗

　　D. Set the Destination address as Web_server in the Deny policy. 〖在Deny策略中设置目的地址Web_server。〗

　　【分析】教程篇(7.0) 04. FortiGate安全 & NAT ❀ Fortinet 网络安全专家 NSE 4

　　【答案】C D

 An administrator is running the following sniffer command: 〖管理员正在执行sniffer命令：〗

　　Which three pieces of Information will be Included in me sniffer output? {Choose three.) 〖哪三条信息将包含在嗅探器输出中? (选择三个)〗

　　A. Interface name 〖接口名称〗

　　B. Packet payload 〖包载荷〗

　　C. Ethernet header 〖以太网报头〗

　　D. IP header 〖IP报头〗

　　E. Application header 〖应用层报头〗

　　【分析】

　　【答案】A B D

 Refer to the FortiGuard connection debug output. 〖参考FortiGuard连接调试输出。〗

　　Based on the output shown in the exhibit, which two statements are correct? (Choose two.) 〖根据图中显示的输出，哪两种说法是正确的?(选择两个)〗

　　A. A local FortiManager is one of the servers FortiGate communicates with. 〖本地FortiManager是与FortiGate通信的服务器之一。〗

　　B. One server was contacted to retrieve the contract information. 〖联系了一台服务器来检索合同信息。〗

　　C. There is at least one server that lost packets consecutively. 〖至少有一个服务器连续丢包。〗

　　D. FortiGate is using default FortiGuard communication settings. 〖FortiGate使用默认的FortiGuard通信设置。〗

　　【分析】

　　【答案】B D

 A FortiGate is operating in NAT mode and configured with two virtual LAN (VLAN) sub interfaces added to the physical interface. 〖FortiGate的工作模式为NAT，并在物理接口上添加两个VLAN子接口。〗

　　Which statements about the VLAN sub interfaces can have the same VLAN ID, only if they have IP addresses in different subnets. 〖哪些陈述关于 VLAN子接口有相同的VLAN ID，只有当他们的IP地址在不同的子网是正确的？〗

　　A. The two VLAN sub interfaces can have the same VLAN ID, only if they have IP addresses in different subnets. 〖两个VLAN子接口的IP地址必须在不同的子网中，才可以使用相同的VLAN ID。〗

　　B. The two VLAN sub interfaces must have different VLAN IDs. 〖两个VLAN子接口的VLAN ID必须不同。〗

　　C. The two VLAN sub interfaces can have the same VLAN ID, only if they belong to different VDOMs. 〖两个VLAN子接口必须属于不同的VDOM，才能使用相同的VLAN ID。〗

　　D. The two VLAN sub interfaces can have the same VLAN ID, only if they have IP addresses in the same subnet. 〖两个VLAN子接口的IP地址必须在同一子网内，才能配置相同的VLAN ID。〗

　　【分析】教程篇(7.0) 04. FortiGate基础架构 & 二层交换 ❀ Fortinet 网络安全专家 NSE 4

　　同一个物理接口上可以同时存在多个VLAN，但VLAN ID不同。将一个物理接口划分为两个或多个逻辑接口。为每个以太网帧添加标签，以标识该帧所属的VLAN。

　　【答案】B

---