考题篇(7.0) 16 ❀ FortiGate防火墙 ❀ Fortinet 网络安全专家 NSE 4

 Examine the network diagram shown in the exhibit, then answer the following question: 〖查看提示中所示的网络图，然后回答以下问题：〗

　　Which one of the following routes is the best candidate route for FGT1 to route traffic from the Workstation to the Web server? 〖下面哪个路由是FGT1将通信量从工作站路由到Web服务器的最佳候选路由?〗

　　A. 172.16.0.0/16 [50/0] via 10.4.200.2, port2 [5/0]  

　　B. 0.0.0.0/0 [20/0] via 10.4.200.2, port2 

　　C. 10.4.200.0/30 is directly connected, port2 

　　D. 172.16.32.0/24 is directly connected, port1 

　　【分析】教程篇(7.0) 01. FortiGate基础架构 & 路由 ❀ Fortinet 网络安全专家 NSE 4

　　请记住，直连路由的缺省距离值是0，小于缺省路由的距离值10。

　　【答案】D

 What devices form the core of the security fabric? 〖哪些设备构成了安全架构的核心?〗

　　A. Two FortiGate devices and one FortiManager device 〖两个FortiGate设备和一个FortiManager设备〗

　　B. One FortiGate device and one FortiManager device 〖一个FortiGate设备和一个FortiManager设备〗

　　C. Two FortiGate devices and one FortiAnalyzer device 〖两个FortiGate设备和一个FortiAnalyzer设备〗

　　D. One FortiGate device and one FortiAnalyzer device 〖一个FortiGate设备和一个FortiAnalyzer设备〗

　　【分析】教程篇(7.0) 02. FortiGate安全 & 安全架构 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】C

 What is the primary FortiGate election process when the HA override setting is disabled? 〖当HA覆盖设置被禁用时，FortiGate的主要选举过程是什么?〗

　　A. Connected monitored ports > System uptime > Priority > FortiGate Serial number  

　　B. Connected monitored ports > HA uptime > Priority > FortiGate Serial number  

　　C. Connected monitored ports > Priority > HA uptime > FortiGate Serial number  

　　D. Connected monitored ports > Priority > System uptime > FortiGate Serial number 

　　【分析】教程篇(7.0) 07. FortiGate基础架构 & 高可用性(HA) ❀ Fortinet 网络安全专家 NSE 4

　　【答案】Ｂ

 Refer to the exhibit. 〖参考提示〗

　　Refer to the exhibit to view the authentication rule configuration In this scenario, which statement is true? 〖在这个场景中，哪一条是正确的?〗

　　A. IP-based authentication is enabled. 〖启用基于IP的认证。〗

　　B. Route-based authentication is enabled. 〖启用基于路由的认证。〗

　　C. Session-based authentication is enabled. 〖启用基于会话的认证。〗

　　D. Policy-based authentication is enabled. 〖启用基于策略认证。〗

　　【分析】

　　【答案】C

 NGFW mode allows policy-based configuration for most inspection rules. Which security profile’s configuration does not change when you enable policy-based inspection? 〖NGFW模式支持对大部分检测规则进行策略配置。启用基于策略的检查时，哪个安全配置文件的配置不会更改?〗

　　A. Web filtering 〖Web过滤〗

　　B. Antivirus 〖反病毒〗

　　C. Web proxy 〖Web代理〗

　　D. Application control 〖应用控制〗

　　【分析】教程篇(7.0) 08. FortiGate安全 & Web过滤 ❀ Fortinet 网络安全专家 NSE 4

 　　【答案】B

 Which Security rating scorecard helps identify configuration weakness and best practice violations in your network? 〖哪些安全评级记分卡有助于识别网络中的配置弱点和违反最佳实践的情况?〗

　　A. Fabric Coverage 〖架构覆盖〗

　　B. Automated Response 〖自动响应〗

　　C. Security Posture 〖安全态势〗

　　D. Optimization 〖优化〗

　　【分析】教程篇(7.0) 02. FortiGate安全 & 安全架构 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】C

 Which certificate value can FortiGate use to determine the relationship between the issuer and the certificate? 〖FortiGate可以使用哪个证书值来确定颁发者和证书之间的关系?〗

　　A. Subject Key Identifier value 〖主题键标识符值〗

　　B. SMMIE Capabilities value 〖SMMIE功能值〗

　　C. Subject value 〖主题值〗

　　D. Subject Alternative Name value 〖备选名称值〗

　　【分析】教程篇(7.0) 07. FortiGate安全 & 证书的操作 ❀ Fortinet 网络安全专家 NSE 4

　　FortiGate可以使用主题密钥标识符和授权密钥标识符值来确定证书的颁发者(在颁发者字段中确定)和证书之间的关系。

　　【答案】Ａ

 Which two statements are true about the RPF check? (Choose two.) 〖关于RPF检查，哪两个说法是正确的?(选择两个)〗

　　A. The RPF check is run on the first sent packet of any new session. 〖RPF检查在任何新会话的第一个发送的数据包上运行。〗

 　　B. The RPF check is run on the first reply packet of any new session. 〖RPF检查在任何新会话的第一个应答包上运行。〗 

　　C. The RPF check is run on the first sent and reply packet of any new session. 〖RPF检查在任何新会话的第一个发送和应答数据包上运行。〗

　　D. RPF is a mechanism that protects FortiGate and your network from IP spoofing attacks. 〖RPF是一种保护FortiGate和您的网络免受IP欺骗攻击的机制。〗

　　【分析】教程篇(7.0) 01. FortiGate基础架构 & 路由 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】Ａ D

 Which two protocol options are available on the CLI but not on the GUI when configuring an SD-WAN Performance SLA? (Choose two.) 〖在配置SD-WAN性能SLA时，哪两个协议选项在命令行中可用而在图形界面中不可用?(选择两个)〗

　　A. DNS

　　B. ping

　　C. udp-echo

　　D. TWAMP

　　【分析】教程篇(7.0) 02. FortiGate基础架构 & SD-WAN本地分汇 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】Ｃ D

 An administrator needs to configure VPN user access for multiple sites using the same soft FortiToken. Each site has a FortiGate VPN gateway. 〖管理员需要使用同一个FortiToken为多个站点配置VPN用户接入。每个站点都有一个FortiGate VPN网关。〗

　　What must an administrator do to achieve this objective? 〖管理员必须做什么才能实现这个目标?〗

　　A. The administrator can register the same FortiToken on more than one FortiGate. 〖管理员可以在多个FortiGate上注册同一个FortiToken。〗

　　B. The administrator must use a FortiAuthenticator device. 〖管理员必须使用FortiAuthenticator设备。〗

　　C. The administrator can use a third-party radius OTP server. 〖管理员可以使用第三方radius OTP服务器。〗

　　D. The administrator must use the user self-registration server. 〖管理员必须使用用户自注册服务器。〗

　　【分析】教程篇(7.0) 05. FortiGate安全 & 防火墙认证 ❀ Fortinet 网络安全专家 NSE 4

　　你不能在多个FortiGate上注册相同的FortiToken。如果希望在多个FortiGate设备上使用相同的FortiToken进行身份验证，则必须使用一个中央验证服务器，例如FortiAuthenticator。在这种情况下，FortiToken将在FortiAuthenticator上注册并分配给用户。FortiGate使用FortiAuthenticator作为其验证服务器。

　　【答案】B

---