考题篇(6.2) 02 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4
Which of the following statements are best practices for troubleshooting FSSO? (Choose two.) 〖下列哪个陈述是FSSO排错的最佳实践?(选择两个)〗
A. Include the group of guest users in a policy. 〖在策略中包括来宾用户组。〗
B. Extend timeout timers. 〖延长超时计时器。〗
C. Guarantee at least 34 Kbps bandwidth between FortiGate and domain controllers. 〖保证FortiGate和域控制器之间至少34 Kbps带宽。〗
D. Ensure all firewalls allow the FSSO required ports. 〖确保所有防火墙允许FSSO所需的端口。〗
【分析】
让我们从这些技巧开始,这些技巧在许多FSSO故障排查情况下都很有用:
- FSSO有许多必需的端口,必须允许通过所有防火墙,否则连接将失败。这些包括端口:139(工作站验证),445(工作站验证和事件日志查询),389(LDAP)以及445和636(LDAPS)。
- 配置FortiGate与域控制器之间的流量整形,确保最小带宽始终可用。如果带宽不足,某些FSSO信息可能无法到达FortiGate。
- 在所有Windows环境中,刷新非活动会话。否则,您会将未经认证的计算机的会话作为经过认证的用户进行。如果经过认证的用户的DHCP租约到期,并且collector agent能够验证用户确实已注销,则可能会发生这种情况。
- 确保正确配置DNS并在工作站的IP地址更改时更新IP地址。
- 切勿将工作站验证间隔设置为0.这可以防止collector agent老化过时条目。它们只能通过覆盖它们的新事件来删除。在FSSO和非FSSO用户共享同一DHCP池的环境中,这可能尤其危险。
仅使用被动认证时,请在策略中包含访客用户组并授予其访问权限。将其组与安全策略相关联。如果将活动认证用作备份,请确保未将SSO_Guest_User添加到策略。 SSO_Guest_User和主动认证是互斥的。
【答案】A D
Which statements about antivirus scanning mode are true? (Choose two.) 〖关于反病毒扫描方式的说法哪些是正确的?(选择两个)〗
A. In proxy-based inspection mode antivirus buffers the whole file for scarring before sending it to the client. 〖在基于代理的检查模式中,反病毒会在将整个文件发送给客户端之前对其进行缓存并扫描。〗
B. In flow-based inspection mode, you can use the CLI to configure antivirus profiles to use protocol option profiles. 〖在基于流的检查模式中,你可以使用CLI来配置反病毒配置文件,以使用协议选项配置文件。〗
C. In proxy-based inspection mode, if a virus is detected, a replacement message may not be displayed immediately. 〖在基于代理的检查模式中,如果检测到病毒,可能不会立即显示替换消息。〗
D. In quick scan mode, you can configure antivirus profiles to use any of the available signature data bases. 〖在快速扫描模式下,你可以配置反病毒配置文件,以使用任何可用的签名数据库。〗
【分析】
当反病毒配置文件在基于流的检查模式下运行时,有两种扫描模式可供选择:全扫描模式和快速扫描模式。全扫描模式使用完整的反病毒数据库(正常、扩展或极端——取决于CLI中配置的内容)和IPS引擎来检查网络流量。
在基于代理的检查模式中,每一个协议的代理都在扫描之前获取一个连接,并首先缓冲整个文件(或者等到达到了超大的限制)。客户端必须等待扫描完成。如果检测到病毒,则立即显示阻止替换页。因为FortiGate必须缓冲整个文件,然后进行扫描,需要很长时间才能进行扫描。而且,从客户端的角度来看,它必须等待扫描完成,并且由于缺乏数据可能终止连接。
快速扫描模式使用一个IPS引擎,它带有一个包含较少签名的嵌入式紧凑反病毒数据库。快速扫描模式与基于流的检测模式的全扫描模式相比有一定的局限性。
【答案】AB
In a high availability (HA) cluster operating in active-active mode, which of the following correctly describes the path taken by the SYN packet of an HTTP session that is offloaded to a secondary FortiGate? 〖在以主-主模式操作的高可用性(HA)集群中,下列哪一项正确描述了转发到备FortiGate的HTTP会话的SYN包所采取的路径?〗
A. Client > primary FortiGate> secondary FortiGate> primary FortiGate> web server.
B. Client > secondary FortiGate> web server.
C. Client >secondary FortiGate> primary FortiGate> web server.
D. Client> primary FortiGate> secondary FortiGate> web server.
【分析】
让我们看一下主动/主动模式下的HA群集如何分配流量。
首先,客户端发送一个SYN数据包。 它总是使用内部接口的虚拟MAC地址作为目的地转发到主机的FortiGate。
如果主机确定会话将由备机进行检查,则主机将SYN数据包转发到将进行检查的备机。 在此示例中,转发的帧的源MAC地址更改为主机FortiGate内部接口的物理MAC地址,而目标MAC地址为备机FortiGate内部接口的物
理MAC地址。
备机FortiGate通过使用外部接口物理MAC地址直接发送一个SYN数据包来启动与服务器的连接。 备机还以SYN / ACK响应客户端,其源MAC地址是备机FortiGate内部接口的物理MAC地址。
【答案】D
An administrator is configuring an IPsec between site A and site B. The Remotes Gateway setting in both sites has been configured as Static IP Address. For site A, the local quick mode selector is 192.16.1.0/24 and the remote quick mode selector is 192.16.2.0/24. 〖管理员正在站点A和站点B之间配置IPsec。两个站点的远程网关设置都被配置为静态IP地址。对于站点A,本地快速模式选择器是192.16.1.0/24,远程快速模式选择器是192.16.2.0/24。〗
How must the administrator configure the local quick mode selector for site B? 〖管理员必须如何为站点B配置本地快速模式选择器?〗
A. 192.168.3.0.24
B. 192.168.2.0.24
C. 192.168.1.0.24
D. 192.168.0.0.8
【分析】
【IPsec VPN AB两端的本地地址必须互为相反,A本地为192.16.1.0/24,远程为192.16.2.0/24,那么B的本地必须为192.168.2.0/24,远程为192.16.1.0/24。】
【答案】B
Which of the following are purposes of NAT traversal in IPsec? (Choose two.) 〖在IPsec中,下列哪个是NAT穿透的目的?(选择两个)〗
A. To delete intermediary NAT devices in the tunnel path. 〖删除隧道路径中的中间NAT设备。〗
B. To dynamically change phase 1 negotiation mode aggressive mode. 〖要动态改变第一阶段协商模式主动模式。〗
C. To encapsulation ESP packets in UDP packets using port 4500. 〖使用端口4500将ESP包封装在UDP包中。〗
D. To force a new DH exchange with each phase 2 rekey. 〖强制与每个阶段2重置进行新的DH交换。〗
【分析】
Network Address Translation (NAT) is a way to convert private IP addresses to publicly routable Internet addresses and vise versa. When an IP packet passes through a NAT device, the source or destination address in the IP header is
modified. FortiGate units support NAT version 1 (encapsulate on port 500 with non-IKE marker), version 3 (encapsulate on port 4500 with non-ESP marker), and compatible versions. 【网络地址转换(NAT)是一种将私有IP地址转换为公开可路由的互联网地址的方法,反之亦然。当IP包通过NAT设备时,IP报头中的源地址或目的地址会修改。FortiGate防火墙支持NAT版本1(使用非ike标记封装在端口500上)、版本3(使用非ESP标记封装在端口4500上)和兼容版本。】
NAT cannot be performed on IPsec packets in ESP tunnel mode because the packets do not contain a port number. As a result, the packets cannot be demultiplexed. To work around this, the FortiGate unit provides a way to protect IPsec packet headers from NAT modifications. When the Nat-traversal option is enabled, outbound encrypted packets are wrapped inside a UDP IP header that contains a port number. This extra encapsulation allows NAT devices to change the port number without modifying the IPsec packet directly. 【在ESP隧道模式下,不能对IPsec包执行NAT,因为包中不包含端口号。因此,数据包不能被多路分解。为了解决这个问题,FortiGate防火墙提供了一种保护IPsec报头免受NAT修改的方法。当启用NAT穿越选项时,出站加密数据包被包装在包含端口号的UDP IP头中。这种额外的封装允许NAT设备在不直接修改IPsec包的情况下改变端口号。】
To provide the extra layer of encapsulation on IPsec packets, the Nat-traversal option must be enabled whenever a NAT device exists between two FortiGate VPN peers or a FortiGate unit and a dialup client such as FortiClient. On the receiving end, the FortiGate unit or FortiClient removes the extra layer of encapsulation before decrypting the packet. 【为了在IPsec包上提供额外的封装层,NAT穿越选项必须在两个FortiGate VPN对等端或一个FortiGate防火墙和一个拨号客户端(如FortiClient)之间存在NAT设备时启用。在接收端,FortiGate防火墙或FortiClient在对数据包解密之前去除额外的封装层。】
Additionally, you can force IPsec to use NAT traversal. If NAT is set to Forced, the FortiGate will use a port value of zero when constructing the NAT discovery hash for the peer. This causes the peer to think it is behind a NAT device, and it will use UDP encapsulation for IPsec, even if no NAT is present. This approach maintains interoperability with any IPsec implementation that supports the NAT-T RFC. 【另外,你可以强制IPsec使用NAT穿越。如果NAT被设置为强制,那么FortiGate在为对等端构建NAT发现散列时将使用端口值0。这将导致对等端认为它在NAT设备后面,并且它将为IPsec使用UDP封装,即使没有NAT存在。这种方法保持了与任何支持NAT-T RFC的IPsec实现的互操作性。】
【答案】AC
Which of the following statements correctly describes FortiGates route lookup behavior when searching for a suitable gateway? (Choose two) 〖下列哪个语句正确地描述了在搜索合适的网关时的FortiGates路由查找行为?(选择两个)〗
A. Lookup is done on the trust packet from the session originator 〖对来自会话发送者的信任包进行查找〗
B. Lookup is done on the last packet sent from the respender 〖对应答者发送的最后一个数据包进行查找〗
C. Lookup is done on every packet, regardless of direction 〖对每个数据包进行查找,无论方向〗
D. Lookup is done on the trust reply packet from the respender 〖对应答者信任响应包进行查找〗
【分析】
默认情况下,FortiGate的许多方面都是有状态的,也就是说,在会话开始时,当它接收第一个数据包时,它将决定许多事情。
对于每一个会话,FortiGate执行两次路由表查找:发送者发送的第一个数据包、 应答者响应的第一个数据包
当完成这两次查找之后,FortiGate会把这条路由信息写进它的会话表中,之后的数据包将会依据会话表来路由,而不是路由表。因此,所有属于相同会话的数据包都遵循相同的路径,即使静态路由发生改变。然而有一条例外的规则:如果路由表发生了改变,FortiGate移除了会话表里面的路由信息,然后他会进行额外的路由表查找来重建这条信息。
【答案】AB
Examine the two static routes shown in the exhibit, then answer title following question.〖检查下图中显示的两个静态路由,然后回答以下问题。〗
Which of the following is the expected FortiGate behavior regarding these two routes to the same destination? 〖以下哪一项是关于这两条通往同一目的地的路线的预期FortiGate行为?〗
A. FortiGate will load balance all traffic across both routes. 〖FortiGate将在两条路线上平衡所有流量。〗
B. FortiGate will use the port1 route as the primary candidate. 〖FortiGate将使用port1路由作为主要候选路径。〗
C. FortiGate will route twice as much traffic to the port2 route.〖FortiGate将把两倍的流量输送到port2线路。〗
D. FortiGate will only actuate the port1 route m tlie routing table.〖FortiGate将只启动port1路由表。〗
【分析】
【本例中port1和port2的Distance值都是20,因此两条路由都是活跃的,port1的优先级为10,本着最低的优先值最先走的原则,所以优先走port1。】
【答案】B
Which of the following statements about central NAT are true? (Choose two.) 〖下列关于中央NAT的陈述哪一项是正确的?(选择两个)〗
A. IP tool references must be removed from existing firewall policies before enabling central NAT. 〖在启用中央NAT之前,必须从现有的防火墙策略中删除IP池引用。〗
B. Central NAT can be enabled or disabled from the CLI only. 〖中央NAT只能从CLI启用或禁用。〗
C. Source NAT, using central NAT, requires at least one central SNAT policy. 〖源NAT使用中央NAT,需要至少一个中央SNAT策略。〗
D. Destination NAT, using central NAT, requires a VIP object as the destination address in a firewall policy. 〖目的NAT使用中央NAT,在防火墙策略中需要一个VIP对象作为目的地址。〗
【分析】
【答案】AB
Refer to the following exhibit.〖请参阅下图。〗
Why is FortiGate not blocking the test file over FTP download? 〖为什么FortiGate不阻止通过FTP测试文件下载?〗
A. Deep-inspection must be enabled for FortiGate to fully scan FTP traffic.〖FortiGate必须启用深度检查才能完全扫描FTP流量。〗
B. FortiGate needs to be operating in flow-based inspection mode in order to scan FTP traffic.〖FortiGate需要在基于流的检查模式下运行,以便扫描FTP流量。〗
C. The FortiSandbox signature database is required to successfully scan FTP traffic.〖成功扫描FTP流量需要使用FortiSandbox签名数据库。〗
D. The proxy options profile needs to scan FTP traffic on a non-standard port.〖代理选项配置文件需要扫描非标准端口上的FTP流量。〗
【分析】
协议选项相比防病毒配置文件可提供更细粒度的控制。可配置protocol port mappings, common options, web options, 和email options等。
对基于代理和基于流的防火墙策略都可配置协议选项。可以在GUI的Proxy Options页面上配置协议选项。在CLI中配置协议选项,使用命令:config firewall profile-protocol-options。
协议选项用于防病毒和其它安全配置文件,例如Web过滤、DNS过滤和DLP sensor等。一旦配置了协议选项,它们就会应用到防火墙策略中。
【本例 ftp://10.200.3.254:223,使用的是223端口,而代理选择中FTP默认端口号为21,因此没有检测到。】
【答案】D
View the following exhibit, which shows the firewall policies and the object uses in the firewall policies.〖查看下图,其中显示了在防火墙策略中使用的防火墙策略和对象。〗
The administrator is using the Policy Lookup feature and has entered the search create shown in the following exhibit.〖管理员正在使用策略查找特性,并输入了如下所示的搜索创建。〗
Which of the following will be highlighted based oil the input criteria? 〖以下哪一个将根据输入标准突出显示?〗
A. Policy with ID 1.
B. Policies with ID 2 and 3.
C. Policy with ID 5.
D. Policy with ID 4
【分析】
【源接口为port3,因此有三条策略符合,分别是2、5、1,目标端口是443,策略2的服务中ALL_UCP,策略5的服务为空,只有策略1的服务为ALL,因此策略1符合条件。】
【答案】A
考题篇(6.2) 02 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4相关推荐
- 考题篇(6.2) 05 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4
Examine this PAC file configuration.[检查这个PAC文件配置.] Which of the following statements are true? (Cho ...
- 考题篇(6.2) 07 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4
Which statement about the IP authentication header (AH) used by IPsec is true? [关于IPsec使用的IP认证头(AH ...
- 考题篇(6.2) 11 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4
An administration wants to throttle the total volume of SMTP sessions to their email server. [管理人员希 ...
- 考题篇(6.2) 09 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4
An administrator wants to block HTTP uploads. Examine the exhibit, which contains the proxy address ...
- 考题篇(6.2) 05 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5
Refer to the exhibit. Given the configurations shown in the exhibit, what can you conclude from the ...
- 考题篇(7.0) 11 ❀ FortiGate防火墙 ❀ Fortinet 网络安全专家 NSE 4
To complete the final step of a Security Fabric configuration, an administrator must authorize all ...
- 教程篇(7.0) 02. FortiGate安全 安全架构 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将了解Fortinet安全架构. 通过展示在部署Fortinet安全架构.使用和扩展安全架构功能以及了解其拓扑结构方面的能力,你将能够在你的网络中有效地使用Fortinet安全架构. ...
- 教程篇(6.0) 02. 防火墙策略 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何理解和应用防火墙策略来允许和拒绝通过 FortiGate 的流量.它的核心是防火墙,所以它对你的流量所做的几乎所有事情都与你的防火墙策略相关联. 在本次课程中,你将探讨以下主题: ...
- 教程篇(7.0) 09. FortiGate安全 应用控制 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何监视和控制可能使用标准或非标准协议和端口的网络应用程序,而不仅仅是简单地阻止或允许协议.端口号或IP地址. 本节课,你将学习上图显示的主题. 通过展示应用控制基础知识,你将 ...
最新文章
- Good Luck!_JAVA
- 第七课 循环神经网络与自然语言处理
- 三甲医院his系统源码_三甲医院科研管理系统是什么,科研成果包括哪些
- Javascript事件机制兼容性解决方案
- c 语言 二维数组地址,C/C++ 关于一维或二维数组首地址表示含义
- A股开盘:深证区块链50指数跌0.32%,118只概念股下跌
- springboot整合junit_springBoot整合junit(笔记)
- php 视频播放加密,如何在HTML5页面播放加密视频
- xbox键位测试软件,xbox手柄测试软件
- ARM体系结构与编程-3
- windows2012计算机在桌面显示,Windows2012 如何在桌面上显示”我的电脑”
- xp系统怎么进pe修改计算机名,PE下安装原版XP系统装系统图文教程
- 免费 在线转换 音频,图像,PDF,视频,文档等格式转换
- grails Domian对象转JSON去class以及自己定义字段的最佳方式
- 在线共享音乐吧(Online Share Music Bar)解决方案
- CAN发送和接收数据(回环测试,ok)
- Ubuntu18.04切换镜像源时出错
- 本质矩阵与基本矩阵(Essential and Fundamental Matrices)
- 中关村2019逆向 Reverse lebel:控制流平坦化 / python字节码分析
- python零基础入门教程免费版_毫无基础的人如何入门 Python ?Python入门教程拿走不谢啦!...