考题篇(7.2) 01 ❀ FortiGate防火墙 ❀ Fortinet网络安全专家 NSE4

 Which of the following are valid actions for FortiGuard category based filter in a web filter profile ui proxy-based inspection mode? (Choose two.) 〖以下哪些是Web过滤配置文件在代理检查模式下基于FortiGuard类别的过滤器的有效操作？(选择两个)〗

　　A. Warning 〖警告〗

　　B. Exempt 〖例外〗

　　C. Allow 〖允许〗

　　D. Learn 〖学习〗

　　【分析】

　　教程篇(7.2) 07. Web过滤 & FortiGate安全 ❀ Fortinet网络安全专家 NSE4（16小节）

　　防火墙Web界面显示内容。 

　　 【答案】A C

 A network administrator is configuring a new IPsec VPN tunnel on FortiGate. The remote peer IP address is dynamic. In addition, the remote peer does not support a dynamic DNS update service. What type of remote gateway should the administrator configure on FortiGate for the new IPsec VPN tunnel to work? 〖网络管理员正在FortiGate上配置一个新的IPsec VPN隧道。远程对等IP地址是动态的。此外，远程对等体不支持动态DNS更新服务。管理员应该在FortiGate上配置哪种类型的远程网关才能使新的IPsec VPN隧道工作？〗

　　A. Static IP Address 〖静态IP地址〗

　　B. Dialup User 〖拨号用户〗

　　C. Dynamic DNS 〖动态DNS〗

　　D. Pre-shared Key 〖预共享密钥〗

　　【分析】

　　教程篇(7.2) 17. IPsec虚拟专用网络 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4（26小节）

　　防火墙Web界面显示内容。 

　　 【答案】B

 Which CLI command will display sessions both from client to the proxy and from the proxy to the servers? 〖哪个CLI命令将显示从客户端到代理以及从代理到服务器的会话？〗

　　A. diagnose wad session list

　　B. diagnose wad session list | grep hook-pre&&hook-out

　　C. diagnose wad session list | grep hook=pre&&hook=out

　　D. diagnose wad session list | grep "hook=pre"&"hook=out"

　　【分析】

　　doc.fortinet.com (Home > FortiGate / FortiOS 6.0.0 > Handbook)

　　 【答案】A

 Refer to the exhibit. 〖参考附录〗

A network administrator is troubleshooting an IPsec tunnel between two FortiGate devices. The administrator has determined that phase 1 status is up. but phase 2 fails to come up. Based on the phase 2 configuration shown in the exhibit, what configuration change will bring phase 2 up? 〖网络管理员正在对两个FortiGate设备之间的IPsec隧道进行故障排除。管理员已确定第1阶段状态已在线。但第2阶段没有出现。根据展示中显示的第2阶段配置，什么配置变化将使第2阶段上线？〗

　　A. On HQ-FortiGate, enable Auto-negotiate. 〖在HQ-FortiGate上，启用自动协商。〗

　　B. On Remote-FortiGate, set Seconds to 43200. 〖在Remote-FortiGate上，将秒设置为43200。〗

　　C. On HQ-FortiGate, enable Diffie-Hellman Group 2. 〖在HQ-FortiGate上，启用Diffie-Hellman Group 2。〗

　　D. On HQ-FortiGate, set Encryption to AES256. 〖在HQ-FortiGate上，将加密设置为AES256。〗

　　【分析】

　　第二阶段加密两边没有一致，一边是AES128，一边是AES256。

　　防火墙Web界面显示内容。 

　　 【答案】D

 Refer to the exhibit. 〖参考附录〗

The exhibit contains a network diagram, virtual IP, IP pool, and firewall policies configuration. 〖 展示包含网络图、虚拟IP、IP池和防火墙策略配置。〗

The WAN (port1) interface has the IP address 10.200.1.1/24. 〖 WAN(端口1)接口的IP地址为10.200.1.1/24。〗

The LAN (port3) interface has the IP address 10.0.1.254/24. 〖 LAN(端口3)接口的IP地址为10.0.1.254/24。〗

The first firewall policy has NAT enabled using IP Pool. 〖第一个防火墙策略启用了NAT使用IP池。〗

The second firewall policy is configured with a VIP as the destination address. 〖第二个防火墙策略配置了VIP作为目标地址。〗

Which IP address will be used to source NAT the internet traffic coming from a workstation with the IP address 10.0.1.10?  〖哪个IP地址将被用来为来自IP地址为10.0.1.10的工作站的互联网流量进行源NAT转换?〗

　　A. 10.200.1.1

　　B. 10.200.3.1

　　C. 10.200.1.100

　　D. 10.200.1.10

　　【分析】

　　策略1适用于出站（LAN-WAN），策略2适用于入站（WAN-LAN）。问题是要求SNAT提供出站流量，因此策略1将发生，NAT过载生效。

　　 【答案】C

 Refer to the exhibit. 〖参考附录〗

Exhibit A shows a topology for a FortiGate HA cluster that performs proxy-based inspection on traffic. 〖附录A显示了FortiGate HA集群的拓扑结构，该集群对流量进行基于代理的检查。〗

Exhibit B shows the HA configuration and the partial output of the get system ha status command. 〖附录B显示了获取系统ha状态命令的HA配置和部分输出。〗

Based on the exhibits, which two statements about the traffic passing through the cluster are true? (Choose two.) 〖根据附录，关于通过集群的流量的哪两种说法是正确的？(选择两个)〗

　　A. For non-load balanced connections, packets forwarded by the cluster to the server contain the virtual MAC address of port2 as source. 〖对于非负载均衡连接，集群转发给服务器的报文以port2的虚拟MAC地址为源。〗

　　B. The traffic sourced from the client and destined to the server is sent to FGT-1. 〖从客户端获取并发送到服务器的流量被发送到FGT-1。〗

　　C. The cluster can load balance ICMP connections to the secondary. 〖集群可以对ICMP连接进行负载均衡。〗

　　D.  For load balanced connections, the primary encapsulates TCP SYN packets before forwarding them to the secondary. 〖对于负载均衡连接，主数据包在将TCP SYN数据包转发到辅助数据包之前将其封装起来。〗

　　【分析】

　　通过set mode a-a 命令可以得知HA模动为主动-主动。通过get system ha status命令可以知道FGT-1为备机。

　　教程篇(7.2) 18. HA高可用性 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4（39小节）

　　主设备将SYN报文转发给选择的备设备。在此例中，将报文的源MAC地址修改为主设备端口1的物理MAC地址，将报文的目的MAC地址修改为备设备端口1的物理MAC地址。这也被称为MAC地址重写。此外，主设备将数据包封装在一个类型为0x8891的以太网帧中。只对负载均衡会话的第一个数据包进行封装。被封装的数据包包括原始数据包加上备设备处理流量所需的会话信息。

　　 【答案】A D

 Which two settings can be separately configured per VDOM on a FortiGate device? (Choose two.) 〖在FortiGate设备上，每个VDOM可以单独配置哪两个设置? (选择两个)〗

　　A. System time 〖系统时间〗

　　B. FortiGuaid update servers 〖FortiGuard升级服务〗

　　C. Operating mode 〖操作模式〗

　　D. NGFW mode 〖NGFW模式〗

　　【分析】

　　教程篇(7.2) 13. 虚拟域 VDOM & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4（30小节）

　　 【答案】C D

 Which statements about the firmware upgrade process on an active-active HA cluster are true? (Choose two.) 〖关于主动-主动HA集群上的固件升级过程的哪些陈述是正确的？ (选择两个)〗

　　A. The firmware image must be manually uploaded to each FortiGate. 〖固件镜像必须手动上传到每个FortiGate。〗

　　B. Only secondary FortiGate devices are rebooted. 〖只重启FortiGate从设备。〗

　　C. Uninterruptable upgrade is enabled by default. 〖默认开启不中断升级功能。〗

　　D. Traffic load balancing is temporally disabled while upgrading the firmware. 〖升级固件时暂时关闭流量负载均衡功能。〗

　　【分析】

　　教程篇(7.2) 18. HA高可用性 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4（57小节）

　　 【答案】C D

 Refer to the exhibit. 〖参考附录〗

An administrator configured the web filtering profile shown in the exhibit to block access to all social networking sites except Twitter. However, when users try to access twitter.com, they are redirected to a FortiGuard web filtering block page. 〖管理员将附录中显示的网络过滤配置文件配置为阻止访问除Twitter以外的所有社交网站。然而，当用户尝试访问twitter.com时，他们会被重定向到FortiGuard网络过滤阻断页面。〗

Based on the exhibit, which configuration change can the administrator make to allow Twitter while blocking all other social networking sites? 〖根据这个例子，管理员可以做哪些配置更改来允许Twitter，同时阻止所有其他社交网站?〗

　　A. On the FortiGuard Category Based Filter configuration, set Action to Warning for Social Networking. 〖在基于FortiGuard类别的过滤器配置上，将操作设置为社交网络警告。〗

　　B. On the Static URL Filter configuration, set Type to Simple. 〖在静态URL过滤器配置上，将类型设置为简单。〗

　　C. On the Static URL Filter configuration, set Action to Exempt. 〖在静态URL过滤器配置上，将操作设置为例外。〗

　　D. On the Static URL Filter configuration, set Action to Monitor. 〖在静态URL过滤器配置上，将操作设置为监视。〗

　　【分析】

　　教程篇(7.2) 07. Web过滤 & FortiGate安全 ❀ Fortinet网络安全专家 NSE4（20小节）

　　防火墙Web界面显示内容。  

　　 【答案】C

 Which two statements are correct about NGFW Policy-based mode? (Choose two.) 〖关于NGFW基于策略的模式，哪两个陈述是正确的？ (选择两个)〗

　　A. NGFW policy-based mode does not require the use of central source NAT policy. 〖NGFW基于策略的模式不需要使用中央源NAT策略。〗

　　B. NGFW policy-based mode can only be applied globally and not on individual VDOMs. 〖NGFW基于策略的模式只能在全局范围内应用，而不能应用于单个VDOM。〗

　　C. NGFW policy-based mode supports creating applications and web filtering categories directly in a firewall policy. 〖NGFW基于策略的模式支持直接在防火墙策略中创建应用程序和Web过滤类别。〗

　　D. NGFW policy-based mode policies support only flow inspection. 〖NGFW基于策略的模式策略仅支持流量检测。〗

　　【分析】

　　教程篇(7.2) 08. 应用控制 & FortiGate安全 ❀ Fortinet网络安全专家 NSE4（25小节）

　　防火墙Web界面显示内容。 

　　 【答案】C D

---