考题篇(7.0) 14 ❀ FortiGate防火墙 ❀ Fortinet 网络安全专家 NSE 4

 An administrator has configured two-factor authentication to strengthen SSL VPN access. Which additional best practice can an administrator implement? 〖管理员配置了增强SSL VPN访问的双因素认证。管理员可以实现哪些其他最佳实践?〗

　　A. Configure Source IP Pools. 〖配置源IP池。〗

　　B. Configure split tunneling in tunnel mode. 〖使用隧道模式配置隧道分离。〗

　　C. Configure different SSL VPN realms. 〖配置不同的SSL VPN领域。〗

　　D. Configure host check. 〖配置主机检查。〗

　　【分析】教程篇(7.0) 01. FortiGate安全 & 简介及初始配置 ❀ Fortinet 网络安全专家 NSE 4

　　另一种保护FortiGate的方法是定义可从其中登录的可信源的主机或子网。

　　【答案】D

 Which of the following conditions must be met in order for a web browser to trust a web server certificate signed by a third-party CA? 〖为了让web浏览器信任由第三方CA签名的web服务器证书，必须满足以下哪一个条件?〗

　　A. The public key of the web server certificate must be installed on the browser. 〖web服务器证书的公钥需要安装在浏览器中。〗

　　B. The web server certificate must be installed on the browser. 〖web服务证书必须安装在浏览器上。〗

　　C. The CA certificate that signed the web server certificate must be installed on the browser. 〖签署web服务证书的CA证书必须安装在浏览器上。〗

　　D. The private key of the CA certificate that signed the browser certificate must be installed on the browser. 〖浏览器中需要安装签名浏览器证书的CA证书的私钥。〗

　　【分析】教程篇(7.0) 07. FortiGate安全 & 证书的操作 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】C

 Refer to the exhibit. 〖参考提示〗

　　A network administrator is troubleshooting an IPsec tunnel between two FortiGate devices. The administrator has determined that phase 1 fails to come up. The administrator has also re-entered the pre-shared key on both FortiGate devices to make sure they match. 〖网络管理员正在对两台FortiGate设备之间的IPsec隧道进行故障排除。管理员已确定阶段1无法启动。管理员还在两台FortiGate设备上重新输入了预共享密钥，以确保它们匹配。〗

　　Based on the phase 1 configuration and the diagram shown in the exhibit, which two　configuration changes will bring phase 1 up? (Choose two.) 〖根据阶段1配置和图中所示的图，哪两个配置更改可使阶段1上线 ?(选择两个)〗

　　A. On HQ-FortiGate, set IKE mode to Main (ID protection). 〖HQ-FortiGate配置IKE模式为Main (ID保护)。〗

　　B. On both FortiGate devices, set Dead Peer Detection to On Demand. 〖在两台FortiGate设备上，将Dead Peer Detection设置为On Demand。〗

　　C. On HQ-FortiGate, disable Diffie-Helman group 2. 〖在HQ-FortiGate上，禁用Diffie-Helman group 2。〗

　　D. On Remote-FortiGate, set port2 as Interface. 〖在Remote-FortiGate中，将port2设置为Interface。〗

 　　【分析】

　　接口：IPsec隧道在本端FortiGate上终止的接口。通常，这是连接到互联网或广域网的接口。你需要确保有一个通过此接口到远端网关的活动路由，否则隧道将无法运行。

　　在安全方面，主模式被认为更安全，因为预共享密钥哈希交换是加密的，而在野蛮模式下，哈希交换是不加密的。尽管攻击者仍然需要猜测清楚的文本预共享密钥才能成功攻击，但预共享密钥哈希已经在主模式下加密的事实大大降低了成功攻击的机会。

　　【答案】A D

 Which two policies must be configured to allow traffic on a policy-based next-generation firewall (NGFW) FortiGate? (Choose two.) 〖在下一代策略防火墙FortiGate上，需要配置哪两条策略允许流量?(选择两个)〗

　　A. Firewall policy 〖防火墙策略〗

　　B. Policy rule 〖策略规则〗

　　C. Security policy 〖安全策略〗

　　D. SSL inspection and authentication policy 〖SSL检测与认证策略〗

 　　【分析】教程篇(7.0) 08. FortiGate安全 & Web过滤 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】C D

 Which of the following are purposes of NAT traversal in IPsec? (Choose two.) 〖下面哪些是IPsec中NAT穿越的目的?(选择两个)〗

　　A. To detect intermediary NAT devices in the tunnel path. 〖用于检测隧道路径中的中间NAT设备。〗

　　B. To dynamically change phase 1 negotiation mode aggressive mode. 〖动态修改阶段1的协商模式野蛮模式。〗

　　C. To encapsulation ESP packets in UDP packets using port 4500. 〖使用端口4500封装ESP报文为UDP报文。〗

　　D. To force a new DH exchange with each phase 2 rekey. 〖对每个阶段2 rekey强制一个新的DH交换。〗

 　　【分析】教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】Ａ C

 An administrator has a requirement to keep an application session from timing out on port 80. What two changes can the administrator make to resolve the issue without affecting any existing services running through FortiGate? (Choose two.) 〖管理员需要防止应用程序会话在端口80上超时。管理员可以进行哪两个更改来解决该问题，而不影响通过FortiGate运行的任何现有服务?(选择两个)〗

　　A. Create a new firewall policy with the new HTTP service and place it above the existing HTTP policy.  〖使用新的HTTP服务创建一个新的防火墙策略，并将其置于现有的HTTP策略之上。〗

　　B. Create a new service object for HTTP service and set the session TTL to never. 〖为HTTP服务创建一个新的服务对象，并设置会话TTL为never。〗

　　C. Set the TTL value to never under config system-ttl. 〖在config system-ttl下将TTL值设置为never。〗

　　D. Set the session TTL on the HTTP policy to maximum. 〖配置HTTP策略的会话生存时间为最大值。〗

 　　【分析】

　　【答案】B C

 A team manager has decided that, while some members of the team need access to a particular website, the majority of the team does not Which configuration option is the most effective way to support this request? 〖一个团队经理已经决定，当团队的一些成员需要访问一个特定的网站时，大多数成员不需要。哪个配置选项是支持这个请求的最有效的方式?〗

　　A. Implement a web filter category override for the specified website. 〖对指定的网站实施web过滤类别覆盖。〗

　　B. Implement a DNS filter for the specified website. 〖对指定的网站实施DNS过滤配额。〗

　　C. Implement web filter quotas for the specified website. 〖对指定的网站实施web过滤配额。〗

　　D. Implement web filter authentication for the specified website. 〖对指定的网站实施web过滤认证。〗

 　　【分析】教程篇(7.0) 08. FortiGate安全 & Web过滤 ❀ Fortinet 网络安全专家 NSE 4

　　除非用户输入了成功的用户名和密码，否则认证动作会阻止被请求的网站。

　　【答案】D

 View the exhibit. 〖查看提示〗

　　user behind the FortiGate is trying to go to http://www.addictinggames.com (Addicting Games). Based on this configuration, which statement is true? 〖用户背后的FortiGate是试图去http://www.addictinggames.com(成瘾游戏)。根据这个配置，哪个说法是正确的?〗

　　A. Addicting.Games is allowed based on the Application Overrides configuration. 〖Addicting.Games是允许基于应用程序覆盖配置。〗

　　B. Addicting.Games is blocked on the Filter Overrides configuration. 〖Addicting.Games被阻止在过滤器覆盖配置。〗

　　C. Addicting.Games can be allowed only if the Filter Overrides actions is set to Exempt. 〖Addicting.Games只有当过滤覆盖动作设置为豁免时才可以被允许。〗

　　D. Addcting.Games is allowed based on the Categories configuration. 〖Addcting.Games是允许的基于类别配置。〗

 　　【分析】教程篇(7.0) 09. FortiGate安全 & 应用控制 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】A

 A network administrator has enabled full SSL inspection and web filtering on FortiGate. When visiting any HTTPS websites, the browser reports certificate warning errors. When visiting HTTP websites, the browser does not report errors. 〖网络管理员在FortiGate上启用了SSL全检测和web过滤功能。当访问HTTPS网站时，浏览器会提示证书警告错误。访问HTTP类型的网站时，浏览器不会报错。〗

　　What is the reason for the certificate warning errors? 〖证书警告错误的原因是什么?〗

　　A. The browser requires a software update. 〖浏览器需要软件更新。〗

　　B. FortiGate does not support full SSL inspection when web filtering is enabled. 〖当启用web过滤时，FortiGate不支持全SSL检测。〗

　　C. The CA certificate set on the SSL/SSH inspection profile has not been imported into the browser. 〖SSL/SSH巡检配置文件中设置的CA证书未导入浏览器。〗

　　D. There are network connectivity issues. 〖还有网络连接问题。〗

 　　【分析】教程篇(7.0) 07. FortiGate安全 & 证书的操作 ❀ Fortinet 网络安全专家 NSE 4

　　【答案】C

 View the exhibit: 〖查看提示〗

　　Which the FortiGate handle web proxy traffic rue? (Choose two.) 〖FortiGate如何处理web代理流量?(选择两个)〗

　　A. Broadcast traffic received in port1-VLAN10 will not be forwarded to port2-VLAN10. 〖port1-VLAN10接收到的广播流量将不转发到port2-VLAN10。〗

　　B. port-VLAN1 is the native VLAN for the port1 physical interface. 〖port-VLAN1为port1物理接口的本地VLAN。〗

　　C. port1-VLAN10 and port2-VLAN10 can be assigned to different VDOMs. 〖port1-VLAN10和port2-VLAN10可以分配给不同的vdom。〗

　　D. Traffic between port1-VLAN1 and port2-VLAN1 is allowed by default. 〖缺省情况下，port1-vlan1和端口2-vlan1之间的流量是允许的。〗

 　　【分析】

　　【答案】A C

---