考题篇(6.2) 05 ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4

news/2024/11/2 9:32:59/

 Examine this PAC file configuration.〖检查这个PAC文件配置。〗

  Which of the following statements are true? (Choose two.)〖下列哪个陈述是正确的?(选择两个)〗

  A. Browsers can be configured to retrieve this PAC file from the FortiGate.〖浏览器可以配置为从FortiGate检索这个PAC文件。〗

  B. Any web request to the 172.25.120.0/24 subnet is allowed to bypass the proxy.〖任何对172.25.120.0/24子网的web请求都允许绕过代理。〗

  C. All requests not made to Fortinet.com or the 172.25.120.0/24 subnet, have to go through altproxy.corp.com: 8060.〖所有不向Fortinet.com或172.25.120.0/24子网发出的请求都必须通过altproxy.corp.com: 8060发送。〗

  D. Any web request fortinet.com is allowed to bypass the proxy.〖任何网站请求fortinet.com都允许绕过代理。〗

  【分析】

  另一种配置方法使用标准的显式自动配置文件,称为PAC文件。 PAC文件包含一些指令,这些指令告诉浏览器何时使用代理以及使用哪个代理(取决于目的地)。  

  此配置方法支持使用多个Web代理服务器。  

  要部署PAC文件,首先必须将其安装在客户端可以访问的HTTP服务器上。(你的FortiGate可以充当PAC文件的HTTP服务器。)然后,你必须使用PAC文件的URL配置所有浏览器。  

 

  【答案】A D

 

 Which statements about the firmware upgrade process on an active-active HA cluster are true? (Choose two.)〖关于主-主HA集群上固件升级过程的声明是正确的?(选择两个)〗

  A. The firmware image must be manually uploaded to each FortiGate.〖固件映像必须手动上传到每个FortiGate。〗

  B. Only secondary FortiGate devices are rebooted.〖只有次要的FortiGate被重新启动。〗

  C. Uninterruptable upgrade is enabled by default.〖默认情况下启用不间断升级。〗

  D. Traffic load balancing is temporally disabled while upgrading the firmware.〖升级固件时暂时禁用流量负载平衡。〗

  【分析】

  【答案】C D

 

 Which statements best describe auto discovery VPN (ADVPN). (Choose two.)〖哪条语句最适合描述自动发现VPN (ADVPN)。(选择两个)〗

  A. It requires the use of dynamic routing protocols so that spokes can learn the routes to other spokes.〖它要求使用动态路由协议,以便辐条可以学习到其他辐条的路由。〗

  B. ADVPN is only supported with IKEv2.〖ADVPN只支持IKEv2。〗

  C. Tunnels are negotiated dynamically between spokes.〖隧道是在辐条之间动态协商。〗

  D. Every spoke requires a static tunnel to be configured to other spokes so that phase 1 and phase 2 proposals are defined in advance.〖每个辐条需要一个静态隧道,以配置到其他辐条,以便第1阶段和第2阶段的建议是预先确定。〗

  【分析】

  自动发现VPN(ADVPN)是FortiGate的一项功能,可实现全网状拓扑的优点,并且具有星型和部分网状拓扑的配置和可伸缩性优点。  

  首先,将VPN配置添加到FortiGate设备中,以构建Hub-and-Spoke型或部分网状拓扑,然后,在VPN上启用ADVPN。ADVPN动态协商各分支之间的隧道(无需预先配置它们),以获得全网状拓扑的优势。  

  ADVPN需要在IPsec隧道上运行的动态路由协议,以便在动态VPN协商后,分支可以学习到其他分支的路由。

  【答案】 C

 

 An administrator needs to create an SSL-VPN connection for accessing an internal server using the bookmark Port Forward.〖管理员需要创建一个SSL-VPN连接,以便使用书签端口Forward访问内部服务器。〗

  What step is required for this configuration?  〖这个配置需要什么步骤?〗

  A. Configure an SSL VPN realm for clients to use the port forward bookmark.〖为客户端配置一个SSL VPN域,以使用端口转发书签。〗  

  B. Configure the client application to forward IP traffic through FortiClient.〖将客户端应用程序配置为通过FortiClient转发IP流量。〗  

  C. Configure the virtual IP address to be assigned t the SSL VPN users.〖配置要分配给SSL VPN用户的虚拟IP地址。〗  

  D. Configure the client application to forward IP traffic to a Java applet proxy.〖配置客户端应用程序,将IP通信转发到Java applet代理。〗

  【分析】

  【答案】

 

 What FortiGate configuration is required to actively prompt users for credentials? 〖需要什么FortiGate配置来主动提示用户提供凭据?〗

  A. You must enable one or more protocols that support active authentication on a firewall policy.〖你必须在防火墙策略上启用一个或多个支持主动身份验证的协议。〗

  B. You must position the firewall policy for active authentication before a firewall policy foe passive authentication.〖你必须将主动身份验证的防火墙策略放在被动身份验证的防火墙策略之前。〗

  C. You must assign users to a group for active authentication.〖必须将用户分配到一个组进行活动身份验证。〗

  D. You must enable the Authentication setting on the firewall policy.〖你必须在防火墙策略上启用身份验证设置。〗

  【分析】

  【答案】C

 

 Which statements are true regarding firewall policy NAT using the outgoing interface IP address with fixed port disabled? (Choose two.)〖关于防火墙策略NAT使用发送接口IP地址与固定端口禁用,哪些声明是真实的?(选择两个)〗

  A. This is known as many-to-one NAT.〖这被称为多对一NAT。〗

  B. Source IP is translated to the outgoing interface IP.  〖源IP被转换为发送接口IP。〗

  C. Connections are tracked using source port and source MAC address.〖使用源端口和源MAC地址跟踪连接。〗

  D. Port address translation is not used.〖不使用端口地址转换。〗

  【分析】

  在防火墙策略上启用 NAT 时,源 NAT 选项使用出口接口地址。这是多对一的 NAT。换句话说,使用 PAT,并使用原始源地址和源端口组合以及分配的源端口跟踪连接。这与Overload IP 池类型的行为相同,你也将了解该类型。  

  或者,你可以选择固定端口,在这种情况下,将禁用源端口转换。对于固定端口,如果两个或多个连接需要单个 IP 地址的相同源端口,则只能建立一个连接。  

  在示例中,将创建从内部到 wan1 的防火墙策略(IP 地址 203.0.113.10),用户从源 10.10.10:10:1025 启动流量,目标为 192.168.10.10:80。由于在防火墙策略上启用了 NAT,因此源 IP 地址将转换为出口接口 IP,并带有端口转换。

  【答案】A B

 

 If the Issuer and Subject values are the same in a digital certificate, which type of entity was the certificate issued to?〖如果在数字证书中,发布者和主题值相同,则该证书被颁发给哪种类型的实体?〗

  A. A CRL〖一个地址〗

  B. A person〖一个个人〗

  C. A subordinate CA〖一个下属CA〗

  D. A root CA〖一个根CA〗

  【分析】

 

  数字证书是由CA生成并签名的数字文档。它标识一个终端实体,比如一个人(例如Joe Bloggins),一台设备 (例如webserver.acme.com), 或一样事物(例如,证书吊销列表)。FortiGate通过读取Subject字段中的值来识别设备或人员,该值表示为一个专有名称(DN)。FortiGate还可以使用其它标识符,如Subject Alternative Name字段中内容,例如其值可以是网络ID或电子邮件地址。 FortiGate 可以使用Subject Key Identifier 和 Authority Key Identifier 值来确定证书颁发者(在Issuer字段中标识)和证书之间的关系。FortiGate支持X.509v3证书标准,这是最常见的证书标准。  

  【答案】D

 

 What is the limitation of using a URL list and application control on the same firewall policy, in NCFW policy-based mode?  〖在基于NCFW策略的模式下,在同一防火墙策略上使用URL列表和应用程序控制的限制是什么?〗

  A. It limits the scope of application control to the browser-based technology category only.〖它将应用程序控制的范围限制在基于浏览器的技术类别。〗

  B. It limits the scope of application control to scan application traffic based on application category only.〖它将应用程序控制的范围限制为仅根据应用程序类别扫描应用程序流量。〗

  C. It limits the scope of application control to scan application traffic using parent signatures only.〖它将应用程序控制的范围限制为仅使用父签名扫描应用程序流量。〗

  D. It limits the scope of application control to scan application traffic on DNS protocol only.〖它将应用程序控制的范围限制为仅通过DNS协议扫描应用程序流量。〗

  【分析】

 

  在防火墙策略中的Application部分里,可以选择一个或多个应用、应用组和应用分类。单击应用程序的+图标后,FortiOS将打开一个弹出窗口,可以使用该窗口搜索和选择一个或多个应用签名、应用组或应用分类。基于应用于防火墙策略的应用、组和应用分类,FortiOS将对应用程序的流量应用防火墙动作。  

  可以在同一个防火墙策略中配置URL Category ;但是,添加URL过滤器将导致应用控制只扫描基于浏览器的技术类别中的应用程序。例如,在Facebook网站上的Facebook Messenger。  

  还可以配置多个应用程序和应用程序分类的Group,这将允许管理员混合多个应用程序和类别。  

  除了应用URL分类过滤器之外,还可以应用AntiVirus、DNS Filter 和 IPS 安全配置文件到允许通过的应用流量。

  【答案】

 

 The FSSO Collector Agent set to advanced access mode for the Windows Active Directory uses which of the following?  〖FSSO收集器代理设置为Windows Active Directory的高级访问模式使用下列哪一种?〗

  A. LDAP convention〖LDAP约定〗

  B. NTLM convention〖NTLM约定〗  

  C. Windows convention - NetBios: Domain\Usemame〖Windows约定〗  

  D. RSSO convention〖RSSO约定〗

   【分析】

  另一个重要的FSSO设置是AD访问模式。你可以通过单击“设置目录访问信息”来设置AD访问模式。 AD访问模式指定collector agent如何访问和收集用户和用户组信息。有两种模式可用于访问AD用户信息:标准和高级。  

  模式之间的主要区别在于使用的命名约定:  

   • 标准模式使用Windows约定,NetBios:Domain \ Username,while  

   • 高级模式使用LDAP约定:CN = User,OU = Name,DC = Domain。  

  此外,高级模式支持嵌套或继承的组;也就是说,用户可以是属于受监视父组的子组的成员。此外,在高级模式下,FortiGate可以将保护配置文件应用于单个用户,用户组和组织单位(OU)。  

  相比之下,在标准模式下,保护配置文件只能应用于用户组,而不能应用于单个用户。  

  在高级模式下,你可以将FortiGate配置为LDAP客户端,并在FortiGate上配置组过滤器。您还可以在collector agent上配置组筛选器。  

  如果collector agent上的LDAP失败,那么FortiGate上的LDAP说什么并不重要,FSSO将无法正常工作。如果FortiGate LDAP出现故障,但collector agent上的LDAP仍在运行,FortiGate可能无法收集日志,但collector agent仍会收集日志。  

  Fortinet强烈建议用户从collector agent创建过滤器。

  【答案】

 

 Examine the following web filtering log. 〖检查以下web过滤日志。〗

  Which statement about the log message is true?  〖关于日志消息的哪个声明是真的?〗

  A. The action for the category Games is set to block. 〖游戏类别的动作被设置为block。〗

  B. The usage quota for the IP address 10.0.1.10 has expired.〖IP地址10.0.1.10的使用配额已经过期。〗

  C. The name of the applied web filter profile is default.〖应用的web过滤器配置文件的名称是默认的。〗

  D. The web site miniclip.com matches a static URL filter whose action is set to Warning.〖网站miniclip.com匹配一个静态URL过滤器,该过滤器的动作设置为警告。〗

  【分析】

  【答案】C


http://www.ppmy.cn/news/691168.html

相关文章

CN黑客利用Fortinet的零日漏洞进行网络间谍攻击

Fortinet FortiOS操作系统中一个现已修补的中等级别安全漏洞被零日利用,与一个疑似CN黑客组织有关。 威胁情报公司Mandiant表示,该活动集群是一个更广泛行动的一部分,目的是在Fortinet和VMware解决方案上部署后门,并保持对受害者…

教程篇(7.0) 11. FortiGate安全 入侵防御和拒绝服务 ❀ Fortinet 网络安全专家 NSE 4

在本课中,你将学习如何使用FortiGate来保护你的网络免受入侵和拒绝服务(DoS)攻击。 本节课,你将学习上图显示的主题。 通过展示入侵防御系统(IPS)的能力,你应该能够实现一个有效的IPS解决方案,以保护你的网络免受入侵。 组织不断受…

教程篇(7.0) 01. FortiGate安全 简介及初始配置 ❀ Fortinet 网络安全专家 NSE 4

在本课中,你将了解FortiGate管理基础知识,以及你可以启用的用于扩展功能的FortiGate组件。这一课还包括关于FortiGate如何以及在何处适合你现有的网络架构的细节。 在本课中,你将探索上述主题。 通过展示识别FortiGate平台设计功能、虚拟化网…

Fortinet 修复6个高危漏洞

聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,Fortinet 通知用户称在公司产品中发现了16个漏洞,其中6个是“高危”级别。 在这些高危漏洞中,其中一个影响 FortiTester,可导致认证攻…

教程篇(5.0) 01. 产品简介及安装 ❀ FortiEDR ❀ Fortinet 网络安全专家 NSE 5

在本节课中,你将了解FortiEDR是做什么的,以及它如何成为Fortinet端点解决方案的一部分。 在这节课中,你将学习上图显示的主题。 通过展示理解当前恶意软件挑战的能力,你将了解部署FortiEDR和成为Fortinet终端解决方案的一部分的重…

教程篇(7.0) 06. FortiGate基础架构 单点登录(FSSO) ❀ Fortinet 网络安全专家 NSE 4

在本课中,你将学习Fortinet单点登录(FSSO)。当你使用此功能时,你的用户不需要每次访问不同的网络资源时都登录。 本节课,你将学习这上图显示的主题。 通过展示理解SSO概念的能力,你将能够更有效地理解FSSO方法。 SSO是一个过程&am…

教程篇(7.0) 02. FortiGate安全 安全架构 ❀ Fortinet 网络安全专家 NSE 4

在本课中,你将了解Fortinet安全架构。 通过展示在部署Fortinet安全架构、使用和扩展安全架构功能以及了解其拓扑结构方面的能力,你将能够在你的网络中有效地使用Fortinet安全架构。 通过展示理解Fortinet安全架构关键概念的能力,你将更好地理…

Fortinet FortiOS漏洞被用于攻击政府实体

聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 未知威胁组织正在利用Fortinet FortiOS 中的一个0day漏洞 (CVE-2022-41328),攻击政府实体和大型组织机构,窃取数据并损坏操作系统和文件。 Fortinet公司的研究员 Gu…