NSE-4（中文版）認證考試題庫（含答案）

NSE-4（中文版）認證考試題庫（含答案）

一、單選題

1.當在所有FortiGate設備上啟用了分離任務VDOM時，哪個下游FortiGateVDO

M用于加入安全結構？

A、根VDOM

B、VDOM交通

G客戶VDOM

D、全球VDOM

答案：A

2.管理員需要使用相同的軟FortiToken為多個站點配置VPN用戶訪問。每個站

點都有一個FortiGateVPN網(wǎng)關。為了達到這個目標，管理員必須做些什么？

A、管理員可以在多個FortiGate上注冊同—FortiToken。

B\管理員必須使用FortiAuthenticator設備。

C、管理員可以使用第三方radiusOTP服務器。

D、管理員必須使用用戶自行注冊服務器。

答案：B

3.參考展品。圖表顯示了網(wǎng)絡圖和明確的web代理配置。在命令diagnosesniff

erpacket中，您可以使用什么過濾器來捕獲客戶端和顯式web代理之間的流量？

A、'host192.168.0.2andport8080,

B\'hostlO.0.0.50\andport80'

C\'host192.168.0.1xandport80

D、'hostlO.0.0.50\andport8080'

答案：A

4.查看展示，其中包含虛擬IP和防火墻策略配置。WAN(portl)接口的IP地址為

10.200.1.1/24OLAN(port2)接口的IP地址為10.0.1.254/24。第一個防火墻策

略在傳出接口地址上啟用了NAT。第二個防火墻策略配置了一個VIP作為目的地

址。

來自IP地址為10.0.1.10/24的工作站的互聯(lián)網(wǎng)流量將來自哪個IP地址？

A、10,200.1.10

B、WAN(portl)子網(wǎng)10.200.1.0/24中的任何可用IP地址。

C、10,200.1.1

D、10.0.1,254

答案：C

5.當使用web模式SSLVPN書簽瀏覽內(nèi)部web服務器時，哪個IP

地址用作HTTP請求的來源。

A、遠程用戶的公共IP地址

B、FortiGate設備的公共IP地址。

C、遠程用戶的虛擬IP地址。

D、FortiGate設備的內(nèi)部IP地址。

答案：D

6.FortiGate提供哪種安全功能來保護位于內(nèi)部網(wǎng)絡中的服務器免受SQL注入等

攻擊?

A、拒絕服務

B、Web應用防火墻

C、抗病毒素

D、應用控制

答案：B

7.管理員必須禁用RPF檢查來調(diào)查問題。哪種方法最適合禁用RPF而不影響防病

毒和入侵防御系統(tǒng)等功能？

A、啟用非對稱路由，以便繞過RPF檢查。

B、在FortiGate接口層為來源檢查禁用RPF檢查。

C、在FortiGate接口級別禁用回復檢查的RPF檢查。

D、在接口級別啟用非對稱路由。

答案：B

8.在配置防火墻虛擬線路對策略時，下列哪種說法是正確的？

A、只要策略流量方向相同，就可以包括任意數(shù)量的虛擬線路對。

B、每個策略中只能包含一個虛擬線路對。

C、無論策略流量方向設置如何，每個策略中都可以包含任意數(shù)量的虛擬線路對。

D、每個策略中需要包含兩個虛擬線路對。

答案：B

9.要使web瀏覽器信任由第三方CA簽名的web服務器證書，必須滿足下列哪項

條件？

A、web服務器證書的公鑰必須安裝在瀏覽器上。

B、web服務器證書必須安裝在瀏覽器上。

C、簽署web服務器證書的CA證書必須安裝在瀏覽器上。

D、簽署瀏覽器證書的CA證書的私鑰必須安裝在瀏覽器上。

答案：C

10.關于防火墻策略的策略ID號，哪項陳述是正確的？

A、當防火墻策略重新排序時，它會發(fā)生變化。

B、它表示防火墻策略中使用的對象數(shù)量。

C、需要使用CLI修改防火墻策略。

D、它定義了處理規(guī)則的順序。

答案：C

11.參考展品。該圖包含網(wǎng)絡圖、SNAT中心策略和IP地址池配置。

WAN(portl)接口的IP地址為10、200、1、1/24。

LAN(port3)接口的IP地址為10、0、1、254/24o

防火墻策略配置為允許從LAN(port3)到WAN(portl)的目的地。

中央NAT已啟用，因此將應用來自匹配中央SNAT策略的NAT設置。

如果本地客戶端(1。0、1、10)上的用戶pings遠程FortiGate(10、200、3、1)

的IP地址，將使用哪個IP地址作為NAT流量的來源？

A、10、200、1、149、

B、10、200X1、1、

C、10、200、1、49、

D、10、200、1、99x

答案：D

12.檢查以下web過濾日志。關于日志消息，哪項陳述是正確的？

A、類別游戲的操作被設置為阻止。

B、IP地址10、0、1、10的使用配額已過期

C、應用的web過濾器配置文件的名稱為默認值。

D、網(wǎng)站miniclip、匹配一個操作設置為警告的靜態(tài)URL篩選器。

答案：C

13.關于SSLVPNweb模式，哪項陳述是正確的？

A、當客戶端連接時，隧道是打開的。

B、它支持有限數(shù)量的協(xié)議。

C、外部網(wǎng)絡應用程序通過VPN發(fā)送數(shù)據(jù)。

D、它為客戶端分配一個虛擬IP地址。

答案：B

14.參考展品。在圖中所示的網(wǎng)絡中，web客戶端無法連接到HTTPweb服務器。

管理員運行FortiGate內(nèi)置的嗅探器，得到如圖所示的輸出。管理員接下來應該

做什么來解決問題？

A、在網(wǎng)絡服務器上運行嗅探器。

B、使用連接到portl的外部嗅探器捕獲流量。

G在FortiGate中執(zhí)行另一個嗅探器，這次使用過濾器“hostIO、0、1、10”

D、執(zhí)行調(diào)試流程。

答案：D

15.管理員在兩臺FortiGate設備之間配置了基于路由的IPsecVPNo下列關于I

PsecVPN配置的陳述中哪一項是正確的？

A、不需要階段2、配置。

B、此VPN不能用作星型拓撲的一部分。

C、階段1、配置完成后，會自動創(chuàng)建一個虛擬IPsec接口。

DvIPsec防火墻策略必須放在列表的頂部。

答案：C

16.參考展品。展示A展示B管理員在安全結構中的根FortiGate(LocaI-FortiG

ate)上創(chuàng)建了一個新的地址對象。同步后，此對象在下游FortiGate(lSFW)上不

可用。管理員必須做什么來同步地址對象？

A、將LocaI-FortiGate(root)上的csf設置更改為secconfiguration-syncIoc

aIo

B、將ISFW(下游)上的csf設置更改為sec配置-同步本地。

G將LocaI-FortiGate(root)上的csf設置更改為secfabric-objecc-unifica

ciondefauIco

D、將ISFW(下游)上的csf設置更改為secfabric-objecc-unificaciondefauIco

答案：A

17.檢查調(diào)試流的輸出：為什么FortiGate會丟棄數(shù)據(jù)包？

A、下一跳IP地址無法到達。

B、它沒有通過RPF的檢查。

C、它使用拒絕操作匹配了明確配置的防火墻策略。

D、它符合默認的隱式防火墻策略。

答案：D

18.參考展品。附件顯示了臉書的SSL和認證政策(附件A)和安全政策(附件B)。

用戶可以訪問臉書網(wǎng)絡應用程序。他們可以播放臉書上的視頻內(nèi)容，但不能在視

頻或其他類型的帖子上留下評論。要解決該問題，您必須更改策略配置的哪一部

分？

A、SSL檢查需要是深度內(nèi)容檢查。

B、使用HTTP服務強制訪問臉書。

C、需要額外的應用程序簽名來添加到安全策略中。

D、在安全策略的URL類別中添加臉書。

答案：A

19.參考展品。其中包含會話診斷輸出。關于會話診斷輸出，下列哪項陳述是正

確的？

A、會話處于同步狀態(tài)。

B、會話處于FIN_ACK狀態(tài)。

C、會話處于FTN等待狀態(tài)。

D、會話處于已建立狀態(tài)。

答案：A

20.哪個引擎處理下一代防火墻(NGFW)FortiGate上的應用程序控制流量？

A、防病毒引擎

B、入侵防御系統(tǒng)引擎

C、流動引擎

D、檢測引擎

答案：B

21.NGFW模式允許對大多數(shù)檢查規(guī)則進行基于策略的配置。當您啟用基于策略的

檢查時，哪個安全配置文件的配置不會改變？

A、網(wǎng)頁過濾

B、抗病毒素

GWeb代理

D、應用控制

答案：B

22.如果在防火墻策略中已經(jīng)選擇Internet服務作為目標，那么還可以選擇哪些

其他配置對象作為防火墻策略的目標字段？

A、用戶或用戶組

B、國際電腦互聯(lián)網(wǎng)地址

C、不能添加其他對象

D、FQDN地址

答案：C

23.管理員需要增加網(wǎng)絡帶寬并提供冗余。管理員必須選擇哪種接口類型來綁定

多個FortiGate接口？

A、VLAN接口

B、軟件開關接口

C、聚合界面

D\冗余接口

答案：C

24.FortiGate可以使用哪個證書值來確定頒發(fā)者和證書之間的關系？

A、主題關鍵字標識符值

B、SMMIE功能值

C、主體價值

D、主題替代名稱值

答案：A

25.FortiGate上的哪種掃描技術只能在CLI上啟用？

A、啟發(fā)式掃描

B、特洛伊木馬掃描

C、防病毒掃描

D、勒索軟件掃描

答案：A

26.檢查此FortiGate配置:檢查以下debug命令的輸出：根據(jù)上面的診斷輸出，F(xiàn)

ortiGate如何處理需要檢查的新會話的流量？

A、這是允許的，但沒有檢查

B、只要檢查是基于流程的，就允許并檢查它

C、它被丟棄了。

D、只要所需的唯一檢查是防病毒，就允許并檢查它。

答案：C

27.下列哪項陳述正確描述了FSS0收集器代理的NetAPI輪詢模式？

A、收集器代理使用WindowsAPI向DC查詢用戶登錄。

B、NetAPI輪詢會增加大型網(wǎng)絡中的帶寬使用率。

C、收集器代理必須搜索安全事件日志。

D\NetSession枚舉函數(shù)用于跟蹤用戶注銷。

答案：D

28.關于防火墻策略的策略ID號，哪項陳述是正確的？

A、需要使用CLI修改防火墻策略。

B、它表示防火墻策略中使用的對象數(shù)量。

C、當防火墻策略重新排序時，它會發(fā)生變化。

D、它定義了處理規(guī)則的順序。

答案：A

29.為什么FortiGate將TCP會話保留在會話表中幾秒鐘，甚至幾秒鐘之后

雙方(客戶端和服務器)都終止了會話？

A、為了考慮到可能在FIN/ACK分組之后到達的無序分組

B、完成任何檢查操作

C、要刪除NAT操作

D、生成日志

答案：A

30.參考展品。

該展示包含網(wǎng)絡圖'虛擬IP、IP池和防火墻策略配置。

WAN(portl)接口的IP地址為10.200.1.1/24O

LAN(port3)接口的IP地址為10.0.1.254/24、

第一個防火墻策略使用IP池啟用NAT。

第二個防火墻策略配置了一個VIP作為目的地址。

來自IP地址為10.0.1.10的工作站的互聯(lián)網(wǎng)流量將來自哪個IP地址？

A、10,200.1.1

B、10,200.3.1

G10.200.1.100

D、10,200.1.10

答案：A

31.您已經(jīng)在FortiGate設備上啟用了事件日志和所有安全日志的記錄，并且您

已經(jīng)設置了使用FortiGate本地磁盤的記錄。當本地磁盤已滿時，默認行為是什

么？

A、當日志磁盤使用率達到95%的閾值時，日志將被覆蓋，并發(fā)出唯一的警告。

B、在您手動清除本地磁盤中的日志之前，不會記錄新的日志。

C、當日志磁盤使用率達到75%的閾值時，日志將被覆蓋，并發(fā)出第一個警告。

D、當日志磁盤使用率達到閾值95%時，發(fā)出警告后不會記錄新的日志。

答案：C

32.參考展品。展示內(nèi)容包括網(wǎng)絡接口配置、防火墻策略和CLI控制臺配置。Fo

rtiGate將如何處理到達LAN接口的流量的用戶驗證？

A、如果存在完全通過策略，則不會提示用戶進行身份驗證。

B、來自銷售組的用戶將被提示進行身份驗證，并且可以使用正確的憑據(jù)成功進

行身份驗證。

C、身份驗證在策略級別實施；將提示所有用戶進行身份驗證。

D、HR組的用戶將被提示進行身份驗證，并且可以使用正確的憑據(jù)成功進行身份

驗證。

答案：C

33.檢查如圖所示的IPS傳感器和DoS策略配置，然后答案以下問題。檢測攻擊

時，F(xiàn)ortiGate會首先評估哪個異常,特征或過濾器？

A、SMTPo登錄。蠻力。武力

B、IMAPo登錄、暴力、力量

C、ip源會話

D、位置:服務器協(xié)議:SMTP

答案：B

34.圖示:請參考圖示查看此場景中的身份驗證規(guī)則配置，以下哪項陳述是正確

的？

A、基于IP的身份驗證已啟用

B、啟用基于路由的身份驗證

C、啟用基于會話的身份驗證。

D、啟用基于策略的身份驗證

答案：C

35.如果FortiGate配置為基于策略的下一代防火墻(NGFW),它使用什么檢查模

式？

A、全部內(nèi)容檢查

B、基于代理的檢查

C、證書檢查

D、基于流程的檢查

答案：D

36.參考展品。網(wǎng)絡管理員正在對兩臺FortiGate設備之間的IPsec隧道進行故

障排除。管理員已確定階段1、狀態(tài)為啟動。但是第二階段沒有出現(xiàn)。根據(jù)圖中

所示的階段2、配置，什么配置更改會帶來階段2、up?

A、在HQ-FortiGate上，啟用自動協(xié)商。

B、在Remote-FortiGate上，將秒數(shù)設置為43200。

C、在HQ-FortiGate上，啟用Diffie-HeiIman組2。

D、在HQ-FortiGate上,將加密設置為AES256。

答案：D

37.管理員在防火墻策略中配置了任何傳出接口。關于策略列表視圖，下列哪項

陳述是正確的？

A、策略查找將被禁用。

B、“按序列”視圖將被禁用。

C、搜索選項將被禁用

D、接口對視圖將被禁用。

答案：D

38.請參考圖示，其中包含靜態(tài)路由配置。一名管理員為AmazonWebServices創(chuàng)

建了一個靜態(tài)路由。管理員必須使用什么CLI命令來查看路由？

A、獲取路由器信息路由表全部

B、獲取互聯(lián)網(wǎng)服務路由列表

C、獲取路由器信息路由表數(shù)據(jù)庫

D、診斷防火墻產(chǎn)品列表

答案：D

39.關于IPsec使用的IP身份驗證報頭(AH)的哪項陳述是正確的？

AxAH不提供任何數(shù)據(jù)完整性或加密。

B、AH不支持完全前向保密。

c、AH提供數(shù)據(jù)完整性，但不加密。

D、AH提供了很強的數(shù)據(jù)完整性，但加密較弱。

答案：C

40.管理員想要在IPSECVPN上配置死對等檢測(DPD)來檢測死隧道。要求是Fort

iGate僅在隧道中沒有觀察到交通時才發(fā)送DPD探測器。FortiGate上的哪種DP

D模式符合上述要求？

A、有缺陷的

B、一經(jīng)要求

C、使能夠

D\空閑時

答案：D

41.如果在防火墻策略中已經(jīng)選擇Internet服務作為源，還可以將哪些其他配置

對象添加到防火墻策略的源字段中？

A、國際電腦互聯(lián)網(wǎng)地址

B、一旦選擇了Internet服務，就不能添加其他對象

C、用戶或用戶組

D、FQDN地址

答案：C

42.創(chuàng)建防火墻策略時，將哪個屬性添加到策略中以支持將日志記錄到FortiAna

lyzer或FortiManager,并在FortiGate與這些設備集成時改進功能？

A、日志ID

B、通用唯一標識符

C、策略ID

D、序列ID

答案：B

43.網(wǎng)絡管理員在FortiGate上啟用了全面的SSL檢查和網(wǎng)頁過濾。當訪問任何

HTTPS網(wǎng)站時，瀏覽器會報告證書警告錯誤。訪問HTTP網(wǎng)站時，瀏覽器不報錯。

證書警告錯誤的原因是什么？

A、瀏覽器需要軟件更新。

B、啟用網(wǎng)頁過濾時，F(xiàn)ortiGate不支持完全SSL檢查。

C、SSL/SSH檢查配置文件上設置的CA證書尚未導入到瀏覽器中。

D、存在網(wǎng)絡連接問題。

答案：C

44.安全結構中的哪項功能基于事件觸發(fā)器采取一項或多項操作？

A、織物連接器

B、自動化縫合

C、安全等級

D、邏輯拓撲

答案：B

45.管理員想要為用戶配置超時。無論用戶行為如何，計時器都應在用戶通過身

份驗證后立即啟動，并在配置的值后過期。應在FortiGate上配置哪個超時選

項？

A、按需授權

B、軟超時

C、空閑超時

D、新會話

E、硬超時

答案：E

46.在配置防火墻虛擬線路對策略時，下列哪種說法是正確的？

A、每個策略中只能包含一個虛擬線路對。

B、無論策略流量方向設置如何，每個策略中都可以包含任意數(shù)量的虛擬線路對。

C、只要策略流量方向相同，就可以包括任意數(shù)量的虛擬線路對。

D、每個策略中需要包含兩個虛擬線路對。

答案：B

47.管理員正在站點A和站點b之間配置lpseco兩個站點中的遠程網(wǎng)關設置都

已配置為靜態(tài)IP地址。對于網(wǎng)站

A本地快速模式選擇器是192、16、1、0/24,遠程快速模式選擇器是192、16、

2、0/24o管理員必須如何為站點B配置本地快速模式選擇器？

A、192,168.3.0/24

B、192,168.2.0/24

C、192,168.1.0/24

D、192,168.0.0/8

答案：B

48.參考圖示，其中包含一個會話診斷輸出。關于會話診斷輸出，下列哪項陳述

是正確的？

A、會話處于UDP單向狀態(tài)。

B、會話處于TCP建立狀態(tài)。

C、該會話是雙向UDP連接。

D、該會話是雙向TCP連接。

答案：C

49.參考展品。FortiGate設備上的全局設置必須進行更改，以符合公司的安全

策略。管理員帳戶需要什么才能訪問FortiGate全局設置？

A、修改口令

B、啟用對可信主機的限制訪問

C、更改管理員配置文件

D、啟用雙因素身份驗證

答案：C

50.如果在虛擬IP(VIP)中配置了服務字段，那么在使用中央NAT時，下列哪種

說法是正確的？

A、服務字段防止SNAT和DNAT在同一策略中組合。

B、當您需要將幾個VIP捆綁到VIP組中時,可以使用Services字段。

C、服務字段消除了為不同服務創(chuàng)建多個VIP的需求。

D、服務字段防止多個流量源使用多個服務連接到單個

答案：C

51.為什么FortiGate在會話表中保留TCP會話幾秒鐘，甚至在雙方(客戶端和服

務器)都終止會話之后？

A、刪除NAT操作。

B、生成日志

C、完成任何檢查操作。

D、以允許可能在FIN/ACK分組之后到達的無序分組。

答案：D

52.哪個CLI命令將顯示從客戶端到代理以及從代理到服務器的會話？

A、diagnosewadsessionIist

B、diagnosewadsessionIist|grephook-pre&&hook-out

C\diagnosewadsessionIist|grephook=pre&&hook=out

D、diagnosewadsessionIist|grep"hook=pre"&"hook=out"

答案：A

53.檢查FortiGate配置：FortiGate如何處理來自IP地址10、2、1、200的we

b代理流量，這需要授權嗎？

A、它總是在不需要身份驗證的情況下授權流量。

B、它減少了交通流量。

C、它使用身份驗證方案SCHEME2來驗證流量。

D、它使用身份驗證方案SCHEME1來驗證流量。

答案：D

54.請參考圖示，查看應用控制配置文件。使用AppleFaceTime視頻會議的用戶

無法安排會議。在這種情況下，哪種說法是正確的？

A、AppIeFaceTime屬于自定義監(jiān)控濾鏡。

B、AppleFaceTime的類別正在被監(jiān)控。

C、AppleFaceTime屬于自定義阻止過濾器。

D\AppleFaceTime的類別被阻止。

答案：C

55.哪種安全評級記分卡有助于識別網(wǎng)絡中的配置缺陷和最佳實踐違規(guī)？

A、Fabric覆蓋率

B、自動響應

C、安全態(tài)勢

D、最佳化

答案：C

56.關于FortiGate上的視頻過濾，哪種說法是正確的？

A、不需要全面的SSL檢查。

B、它僅在基于代理的防火墻策略上可用。

C、它檢查文件共享服務上的視頻文件。

D、視頻過濾FortiGuard類別是基于網(wǎng)頁過濾器FortiGuard類別。

答案：B

57.檢查圖中所示的兩條靜態(tài)路由，然后答案以下問題。對于這兩條通往同一目

的地的路由，以下哪一項是預期的FortiGate行為？

A、FortiGate將對兩條路線上的所有流量進行負載平衡。

B、FortiGate將使用portl、route作為主要候選。

GFortiGate將兩倍的流量路由到port2、route

D、FortiGate只會激活路由表中的portl、route

答案：B

58.FortiGate在NAT模式下運行，配置了兩個添加到物理接口的虛擬局域網(wǎng)(VL

AN)子接口。只有當VLAN子接口的IP地址在不同的子網(wǎng)中時，下列關于這些接

口的說法中有哪些可以具有相同的VLANID?

A、兩個VLAN子接口可以有相同的VLANID,前提是它們的IP地址在不同的子網(wǎng)

中。

B、兩個VLAN子接口必須有不同的VLANid。

C、兩個VLAN子接口可以有相同的VLANID,只要它們屬于不同的VDOMs。

D、只有當兩個VLAN子接口的IP地址在同一個子網(wǎng)中時，它們才能擁有相同的

VLANIDo

答案：B

59.默認情況下，F(xiàn)ortiGate配置為在使用FortiGuard服務器執(zhí)行實時網(wǎng)頁過濾

時使用HTTPSo哪個CLI命令會導致FortiGate使用不可靠的協(xié)議與FortiGuar

d服務器通信以進行實時網(wǎng)頁過濾？

A、設置fortiguard-anycast禁用

B\設置叩6|341止「-強制關閉禁用

C、設置webfilter-緩存禁用

D、設置協(xié)議tcp

答案：A

60.關于SSLVPN門戶的SSLVPN設置，下列哪項陳述是正確的？

A、默認情況下,FortiGate使用WINS服務器來解析名稱。

B、默認情況下，SSLVPN門戶要求安裝客戶端證書。

C、默認情況下，啟用切分通道。

D、默認情況下,管理GUI和SSLVPN門戶使用相同的HTTPSport。

答案：D

61.參考展品。根據(jù)圖中所示的證書值，該證書頒發(fā)給了哪種類型的實體？

A、一個用戶

B、根CA

C、一座橋

D、下屬

答案：A

62.FortiGate閃存盤怎么格式化？

A\加載一個調(diào)試FortiOS映像。

B、加載硬件測試(HQIP)映像。

G執(zhí)行CLI命令executeformatIogdisk。

D、從BIOS菜單中選擇格式化引導設備選項。

答案：D

63.參考展品。查看入侵防御系統(tǒng)(IPS)配置文件簽名設置。關于添加FTP,哪種

說法是正確的？登錄。IPS傳感器配置文件簽名失??？

A、簽名設置使用自定義分級閾值。

B、簽名設置包括一組其他簽名。

C、與簽名匹配的流量將被允許和記錄。

D、與簽名匹配的流量將被靜默丟棄并記錄。

答案：D

64.參考展品。該展示包含SD-WAN性能SLA的配置，以及診斷系統(tǒng)虛擬WAN鏈路

健康檢查的輸出。哪個接口將被選為傳出接口？

Avport2o

B、port4o

C、port3o

D、portlo

答案：D

65.要完成安全結構配置的最后一步，管理員必須授權哪個設備上的所有設備？

A、FortiManager

B、RootForitGate

CvFortiAnaIyzer

DvDownstreamFortiGate

答案：B

66.哪個CLI命令允許管理員排除第2層問題，如IP地址沖突？

A、獲取系統(tǒng)狀態(tài)

B、獲取系統(tǒng)性能狀態(tài)

C、診斷系統(tǒng)頂部

D、獲取系統(tǒng)arp

答案：D

67.當web過濾器配置文件中啟用了多個功能時，web過濾中的HTTP檢查過程遵

循特定的順序。當web過濾器配置文件啟用了安全搜索等功能時，F(xiàn)ortiGate必

須使用什么順序？

A、基于DNS的web過濾器和基于代理的web過濾器

B\靜態(tài)URL過濾器、FortiGuard類別過濾器和高級過濾器

C、靜態(tài)域過濾器、SSL檢查過濾器和外部連接器過濾器

D\FortiGuard類別過濾器和分級過濾器

答案：B

68.關于檢查嵌入在第三方網(wǎng)站中的web應用程序提供的一些服務，哪種說法是

正確的？

A、應用于web應用程序的安全操作也將明確應用于第三方網(wǎng)站。

B、應用程序簽名數(shù)據(jù)庫只檢查來自原始web應用程序服務器的流量。

C、FortiGuard只維護每個web應用程序的唯一簽名。

D、FortiGate可以檢查子應用程序流量，而不管它來自何處。

答案：D

69.檢查如圖所示的網(wǎng)絡圖，然后答案以下問題：以下哪條路由是FGT1的最佳候

選路由。將流量從工作站路由到Web服務器？

A、172、16、0、0/16、［50/0］通過10、4、200、2port2o［5/0］

B、0、0、0、0/0、［20/0］通過10、4、200、2port2o

G10、4、200、0/30、是直接連接的，port2o

D、172、16、32、0/24、是直接連接的，portl0

答案：D

70.下列關于防火墻策略身份驗證超時的陳述中哪一項是正確的？

A、這是一個空閑超時。如果FortiGate看不到來自用戶源IP的任何數(shù)據(jù)包，則

認為用戶“空閑”。

B、這是一個艱難的暫停。該定時器到期后，F(xiàn)ortiGate將刪除用戶源IP地址的

臨時策略。

C、這是一個空閑超時。如果FortiGate看不到來自用戶源MAC的任何數(shù)據(jù)包，

則認為用戶“空閑”。

D、這是一個艱難的暫停。該定時器到期后，F(xiàn)ortiGate將刪除用戶源MAC地址

的臨時策略。

答案：A

71.當HA覆蓋設置被禁用時，主要的FortiGate選舉過程是什么？

A、連接的受監(jiān)控端口〉系統(tǒng)正常運行時間〉優(yōu)先級〉FortiGate序列號

B、連接的受監(jiān)控端口》HA正常運行時間＞優(yōu)先級＞FortiGate序列號

C、連接的受監(jiān)控端口＞優(yōu)先級〉HA正常運行時間》FortiGate序列號

D、連接的監(jiān)控端口〉優(yōu)先級》系統(tǒng)正常運行時間》FortiGate序列號

答案：B

72.在基于NGFW策略的模式下，在同一防火墻策略上使用URL列表和應用程序控

制有什么限制？

A、它將應用程序流量的掃描僅限于DNS協(xié)議。

B、它將應用程序流量的掃描限制為僅使用父簽名。

C、它將應用程序流量的掃描僅限于基于瀏覽器的技術類別。

D、它將應用程序流量的掃描僅限于應用程序類別。

答案：C

73.在web模式下使用SSLVPN時,FortiGate如何動作？

A、FortiGate充當FDS服務器。

B、FortiGate充當HTTP反向代理。

C、FortiGate充當DNS服務器。

D、FortiGate充當路由器。

答案：B

74.團隊經(jīng)理決定，雖然團隊中的一些成員需要訪問某個特定網(wǎng)站，但團隊中的

大多數(shù)人不知道支持這一請求的最有效方式是哪個配置選項？

A、為指定的網(wǎng)站實現(xiàn)網(wǎng)頁過濾器類別覆蓋

B、為指定的網(wǎng)站實現(xiàn)DNS過濾器。

C、對指定網(wǎng)站實施網(wǎng)頁過濾器配額

D、對指定的網(wǎng)站實施web過濾器身份驗證。

答案：D

75.參考展品。其中包含網(wǎng)絡圖和路由表輸出。學生無法訪問web服務器。問題

的原因是什么，解決問題的方法是什么？

A、學生發(fā)送的第一個數(shù)據(jù)包沒有通過RPF檢查。通過wan1添加到10、0、4、0

/24、的靜態(tài)路由可以解決此問題。

B、學生的第一個回復數(shù)據(jù)包未通過RPF檢查。通過wan1添加到10、0、4、0/2

4、的靜態(tài)路由可以解決此問題。

C、學生的第一個回復數(shù)據(jù)包未通過RPF檢查。這個問題可以通過向203、0、11

4、24/32、throughport3添加靜態(tài)路由來解決。

D、學生發(fā)送的第一個數(shù)據(jù)包沒有通過RPF檢查。這個問題可以通過向203、0、

114、24/32、throughport3添加靜態(tài)路由來解決。

答案：D

76.參考展品。Root和To_InternetVDOMs配置為NAT模式。DMZ和本地VDOMs

以透明模式配置。根VDOM是管理VD0M?；ヂ?lián)網(wǎng)VDOM允許局域網(wǎng)用戶訪問互聯(lián)

網(wǎng)。To_lnternetVDOM是唯一可以訪問互聯(lián)網(wǎng)的VDOM,并且直接連接到ISP調(diào)制

解調(diào)器。在這種配置下，哪種說法是正確的？

A、需要VDOM間鏈路來允許本地和根vdom之間的流量。

B、在ToJnternetVDOM上需要一條靜態(tài)路由來允許LAN用戶訪問Internet。

C、需要VDOM內(nèi)部的鏈路來允許本地和DMZVDOMs之間的通信。

D、根和To_lnternetVDOMs之間不需要VDOM間鏈路，因為根VDOM僅用作管理V

DOMo

答案：A

77.管理員配置了雙因素身份驗證來加強SSLVPN訪問。管理員還可以實施哪項最

佳實踐？

A、配置源IP池。

B、在隧道模式下配置分割隧道。

C、配置不同的SSLVPN領域。

D、配置主機檢查。

答案：D

78.觀看展覽。FortiGate背后的一個用戶正試圖去http:〃、addictinggamesv

（沉迷游戲）。根據(jù)這種配置，哪種說法是正確的？

A、上癮?；趹贸绦蚋采w配置，游戲是允許的。

B、上癮。游戲在過濾器覆蓋配置中被阻止。

C、上癮。僅當“過濾器覆蓋操作”設置為“豁免”時，才能允許游戲。

D、添加?；陬悇e配置，游戲是允許的。

答案：A

79.參考展品。它包含會話列表輸出。根據(jù)圖中所示的信息，哪種說法是正確的？

A、防火墻策略中禁用了目標NAT。

B、防火墻策略中使用一對一NATIP池。

C、防火墻策略中使用了過載NATIP池。

D、防火墻策略中使用了port塊分配IP池。

答案：B

80.檢查圖中所示的IPS傳感器配置，然后答案以下問題。管理員配置了WINDOW

S_SERVERSIPS傳感器，試圖確定HTTPS通信量的流入是否是攻擊企圖。應用IP

S傳感器后，F(xiàn)ortiGate仍然沒有為HTTPS通信量生成任何IPS日志。出現(xiàn)這種

情況的可能原因是什么？

AxIPS過濾器缺少協(xié)議:HTTPS選項。

B、HTTPS簽名尚未添加到傳感器中。

C、應該使用DoS策略，而不是IPS傳感器。

D、應該使用DoS策略，而不是IPS傳感器。

E、防火墻策略沒有使用完整的SSL檢查配置文件。

答案：E

81.參考展品。該圖顯示了防火墻策略、代理策略和代理地址的CLI輸出。Fort

iGate如何處理發(fā)送到http:〃、fortinets的流量？

A、流量將被重定向到透明代理，這將被代理策略ID3所允許。

B、流量不會被重定向到透明代理，防火墻策略ID1將允許它。

C、流量將被重定向到透明代理，并且將被代理策略ID1允許。

D、流量將被重定向到透明代理，并且將被代理隱式拒絕策略拒絕。

答案：D

82.哪些設備構成了安全結構的核心？

A、兩臺FortiGate設備和一臺FortiManager設備

B、一臺FortiGate設備和一臺FortiManager設備

C、兩臺FortiGate設備和一臺FortiAnaIyzer設備

D、—個FortiGate設備和—個FortiAnaIyzer設備

答案：C

83.在顯式代理設置中，在哪里配置身份驗證方法和數(shù)據(jù)庫？

A、代理策略

B、認證規(guī)則

C、防火墻策略

D、認證方案

答案：C

84.FortiGate上的哪種日志記錄了與直接往來的流量信息

FortiGate管理IP地址？

A、系統(tǒng)事件日志

B、轉(zhuǎn)發(fā)流量日志

C、本地流量日志

D、安全日志

答案：C

85.網(wǎng)絡管理員在FortiGate上啟用了SSL證書檢查和防病毒功能。當通過HTTP

下載EICAR測試文件時，F(xiàn)ortiGate會檢測到病毒并阻止該文件。當通過HTTPS

下載相同的文件時,FortiGate沒有檢測到病毒，文件可以被下載。FortiGate

檢測病毒失敗的原因是什么？

A、未啟用應用程序控制

B、SSL/SSH檢查配置文件不正確

C、防病毒配置文件配置不正確

D、防病毒定義不是最新的

答案：B

86.如果數(shù)字證書中的頒發(fā)者和主題值相同，該證書頒發(fā)給了哪種類型的實體？

A、一個CRL

B、一個人

G從屬CA

D、根CA

答案：D

87.參考展品。當用戶嘗試連接SSLVPN時，該連接會失敗。用戶應該怎樣做才能

成功連接到SSLVPN?

A、更改客戶端上的SSLVPNporto

B、更改服務器IP地址。

C、更改空閑超時。

D、將SSLVPN門戶更改為隧道。

答案：A

88.請參考圖示查看防火墻政策。如果知名病毒沒有被阻止，哪種說法是正確的？

A、防火墻策略不應用深度內(nèi)容檢查。

B、必須在基于代理的檢查模式下配置防火墻策略。

C、防火墻策略上的操作必須設置為拒絕。

D、應在防火墻策略上啟用Web過濾器，以補充防病毒配置文件。

答案：A

89.在IPsec隧道的第2階段配置中啟用自動協(xié)商會有什么影響？

A、FortiGate自動與遠程對等體協(xié)商不同的本地和遠程地址。

B、在現(xiàn)有的安全關聯(lián)過期后，F(xiàn)ortiGate會自動協(xié)商一個新的安全關聯(lián)。

C\FortiGate自動與遠程對等方協(xié)商不同的加密和認證算法。

D\FortiGate自動打開IPsec隧道并保持它，而不管IPsec隧道上的活動。

答案：D

90.請參考web過濾器原始日志。根據(jù)圖中所示的原始日志，哪種說法是正確的？

A、社交網(wǎng)絡web過濾器類別配置為操作設置為驗證。

B、對防火墻策略ID1、的操作被設置為警告。

C、所有用戶都被明確禁止訪問社交網(wǎng)絡網(wǎng)頁過濾器類別。

D、防火墻策略的名稱是all_users_web。

答案：A

91.一個組織的員工需要通過高延遲的互聯(lián)網(wǎng)連接來連接到辦公室。管理員應該

調(diào)整哪個SSLVPN設置來防止SSLVPN協(xié)商失敗？

A、更改會話-ttl。

B、更改登錄超時。

C、更改空閑超時。

D\更改udp空閑計時器。

答案：B

92.網(wǎng)絡管理員正在FortiGate上配置新的IPsecVPN隧道。遠程對等IP地址是

動態(tài)的。此外，遠程對等不支持動態(tài)DNS更新服務。為了使新的IPsecVPN隧道

工作，管理員應該在FortiGate上配置什么類型的遠程網(wǎng)關？

A、靜態(tài)IP地址

B、撥號用戶

G動態(tài)DNS

D、預共享密鑰

答案：B

93.管理員在FortiGate上配置了嚴格的RPF檢查。關于嚴格的RPF檢查，哪項

陳述是正確的？

A、對任何新會話的第一個發(fā)送和回復數(shù)據(jù)包進行嚴格的RPF檢查。

B、嚴格RPF使用傳入接口檢查返回源的最佳路由。

C、嚴格的RPF僅檢查at的存在，使用傳入接口將一條活動路由轉(zhuǎn)換回源。

D、嚴格的RPF允許數(shù)據(jù)包返回到具有所有活動路由的源。

答案：B

94.管理員需要增加網(wǎng)絡帶寬并提供冗余。

管理員必須選擇哪種接口類型來綁定多個FortiGate接口？

A、VLAN接口

B、軟件開關接口

C\幾余接口

D、聚合界面

答案：D

95.參考展品。檢查入侵防御系統(tǒng)（IPS）診斷命令。

如果選項5、與IPS診斷命令一起使用，其結果是CPU使用率下降，哪種說法是

正確的？

A、IPS引擎正在檢測高流量。

B、IPS引擎無法阻止入侵攻擊。

C、IPS引擎阻塞了所有的交通。

D、IPS引擎將繼續(xù)以正常狀態(tài)運行。

答案：A

96.請參考圖示，其中包含radius服務器配置。

管理員為新的RADIUS服務器添加了配置。配置時

管理員選擇了“包括在每個用戶組中”選項。

在RADIUS配置中使用“包括在每個用戶組中”選項會有什么影響？

A、該選項將RADIUS服務器以及所有可以針對該服務器進行身份驗證的用戶放入

每個FortiGate用戶組中。

B、該選項將所有需要進行身份驗證的FortiGate用戶和組放入RADIUS服務器，

在本例中為FortiAuthenticatoro

C、該選項將所有用戶放入每個RADIUS用戶組，包括用于FortiGate上LDAP服

務器的組。

D、該選項將RADIUS服務器以及可以針對該服務器進行身份驗證的所有用戶放入

每個RADIUS組中。

答案：A

97.參考展品。根據(jù)管理員配置文件設置，管理員必須設置哪些權限才能在Fort

iGate上運行診斷防火墻授權列表CLI命令？

A、網(wǎng)絡的自定義權限

B、日志和報告的讀/寫權限

C、CLI診斷命令權限

D、防火墻的讀/寫權限

答案：C

98.在基于NGFW策略的模式下，在同一防火墻策略上使用URL列表和應用程序控

制有什么限制？

A、它將應用程序控制的范圍僅限于基于瀏覽器的技術類別。

B、它將應用程序控制的范圍限制為僅基于應用程序類別掃描應用程序流量。

C、它將應用程序控制的范圍限制為僅使用父簽名掃描應用程序流量

D、它將應用程序控制的范圍限制為僅掃描DNS協(xié)議上的應用程序流量。

答案：A

99.請參考圖示，查看應用控制配置文件?；谂渲?，蘋果FaceTime會怎么樣？

A、蘋果FaceTime將被阻止，基于過度帶寬過濾器配置

B、基于Apple過濾器配置，AppleFaceTime將被允許。

C、僅當“應用程序中的過濾器”和“過濾器覆蓋”設定為“學習”時，才允許

使用AppIeFaceTime

D\根據(jù)類別配置，AppleFaceTime將被允許。

答案：D

100.管理員不想向FortiGate報告服務帳戶的登錄事件。要實現(xiàn)這一點，收集代

理需要什么設置？

A、添加對NTLM認證的支持。

B、將用戶帳戶添加到ActiveDirectory(AD)□

G將用戶帳戶添加到FortiGategroupfittero

D、將用戶帳戶添加到忽略用戶列表。

答案：D

多選題

1.下列關于從CLI備份日志和從GUI下載日志的說法中，哪些是正確的？(選兩

個。)

A、從GUI下載的日志僅限于當前的過濾器視圖

BvCLI中的日志備份無法恢復到另一個FortiGate。

C、可以將CLI中的日志備份配置為在預定時間上傳到FTP

D、從GUI下載的日志存儲為LZ4、pressed文件。

答案：AB

2.配置SD-WAN性能SLA時，哪兩個協(xié)議選項在CLI上可用，但在GUI上不可用?

(選兩個。)

A、域名服務器(DomainNameServer)

B、砰

C\udp回聲

D、TWAMP

答案：CD

3.關于FortiGateFSSO無代理輪詢模式，哪兩項陳述是正確的？（選兩個。）

A、FortiGate指示收集器代理使用遠程LDAP服務器。

B、FortiGate使用AD服務器作為收集器代理。

C、FortiGate使用SMB協(xié)議從DCs讀取事件查看器日志。

D、FortiGate通過使用LDAP檢索用戶組信息來查詢AD。

答案：CD

4.哪三項安全功能需要入侵防御系統(tǒng)（IPS）引擎才能運行？（選三個。）

A、基于流量的檢測中的網(wǎng)絡過濾器

B、基于流量的檢測中的防病毒

GDNS過濾器

D、Web應用防火墻

E、應用控制

答案：ABE

5.關于收集器代理高級模式，下列哪兩項陳述是正確的？（選兩個。）

A、高級模式使用Windows約定-NetBios:域、用戶名。

B、FortiGate可以配置為LDAP客戶端，并且可以在FortiGate上配置組過濾器

C、高級模式支持嵌套組或繼承組

D、安全配置文件只能應用于用戶組，而不能應用于單個用戶。

答案：BC

6.關于FortiGate上的軟件交換機，哪兩項陳述是正確的？（選兩個。）

A、僅當FortiGate在NAT模式下運行時，才能對其進行配置

B、可以充當?shù)诙咏粨Q機和第三層路由器

C、軟件交換機中的所有接口共享同一個IP地址

D、它只能對物理接口進行分組

答案：AC

7.管理員發(fā)現(xiàn)portl、interface無法配置IP地址。出現(xiàn)這種情況的原因是什么？

（選三個。）

A、該接口已配置為單臂嗅探器。

B、該接口是虛擬線路對的成員。

C、操作模式是透明的。

D、該接口是區(qū)域的成員。

E、界面中啟用了強制網(wǎng)絡門戶。

答案：ABC

8.以下哪種SD-WAN負載平衡方法使用接口權重值來分配流量？（選兩個。）

A、源IP

B、溢出

C、體積

D、會議

答案：CD

9.當FortiGate在分割VD0M模式下設置時，哪兩個vdom是創(chuàng)建的默認vdom?（選

兩個。）

A、FG-traffiv

B、Mgmt

GFG-Mgmt

Dvroot

答案：AD

10.您可以使用哪兩種檢查模式在基于配置文件的下一代防火墻（NGFW）上配置防

火墻策略？（選兩個。）

A、基于代理的檢查

B、證書檢查

C、基于流程的檢查

D、全部內(nèi)容檢查

答案：AC

11.在整合的防火墻策略中，IPv4、和IPv6、策略合并在一個整合的策略中。而

不是單獨的政策。關于整合的IPv4和IPv6策略配置,下列哪三項陳述是正確的？

（選三個。）

A、防火墻策略中源和目標的IP版本必須不同。

B、傳入接口。傳出接口。調(diào)度和服務字段可以與IPv4、和IPv6共享。

C、可以過濾GUI中的策略表，以顯示具有IPv4、IPv6或IPv4和IPv6源和目標

的策略。

D、策略中源和目標的IP版本必須匹配。

ExGUI中的策略表將被整合，以顯示帶有IPv4、和IPv6、源和目標的策略。

答案：BCD

12.管理員已經(jīng)配置了以下設置:

A、所有接口上的設備檢測將持續(xù)30分鐘

B、被拒絕的用戶被阻止30分鐘

C、為被拒絕的流量創(chuàng)建會話。

D、被拒絕的流量生成的日志數(shù)量減少。

答案：CD

13.收集器代理使用哪三種方法進行廣告輪詢？（選三個。）

A、FortiGate投票

B、NetAPI

GNovelIAPI

D、WMI

E\WinSecLog

答案：BDE

14.FortiGate設備上的每個VDOM可以單獨配置哪兩項設置？（選擇

兩個。）

A、Systemtime

B、ForitGuaidupdateserver

C\Operatingmode

D、NGFW模式

答案：CD

15.參考展品。該圖顯示了代理策略和代理地址、身份驗證規(guī)則和身份驗證方案、

用戶和防火墻地址。使用三個顯式web代理策略為子網(wǎng)范圍10.0.1.0/24、配置

了一個顯式web代理。身份驗證規(guī)則被配置為對子網(wǎng)范圍10、0、1、0/24、的H

TTP請求進行身份驗證，并對FortiGate本地用戶數(shù)據(jù)庫使用基于表單的身份驗

證方案。將提示用戶進行身份驗證。當HTTP請求來自源IP為10、0、1、10、

的機器，目的地為http:〃、fortinet\時，F(xiàn)ortiGate將如何處理流量？（選兩

個。）

A、如果MoziIlaFirefox瀏覽器與User-B憑證一起使用，HTTP請求將被允許。

B、如果GoogleChrome瀏覽器使用User-B憑證，HTTP請求將被允許。

C、如果MoziIlaFirefox瀏覽器與用戶A憑證一起使用，HTTP請求將被允許。

D、如果MicrosoftInternetExplorer瀏覽器與User-B憑據(jù)一起使用，HTTP請

求將被允許。

答案：BD

16.參考展品。該展示包含網(wǎng)絡圖、防火墻策略和防火墻地址對象配置。管理員

使用默認設置創(chuàng)建了拒絕策略，以拒絕遠程用戶2訪問web服務器。Remote-us

er2、仍然能夠訪問web服務器。管理員可以做出哪兩項更改來拒絕遠程用戶2

訪問web服務器？（選兩個。）

A、在拒絕策略中禁用匹配vip。

B、在允許訪問策略中將目標地址設置為Deny_IPo

C、在拒絕策略中啟用匹配vip。

D\在拒絕策略中將目標地址設置為Web_servero

答案：CD

17.如果問題不在物理層也不在鏈路層，您可以使用哪三個CLI命令排除第3層

故障？（選三個。）

A、diagnosesystop

B、executeping

C、executetraceroute

Dvdiagnosesnifferpacketany

E、getsystemarp

答案：BCD

18.關于基于會話的身份驗證，下列哪三項陳述是正確的？（選三個。）

A、HTTP會話被視為單個用戶。

B、來自同一源IP地址的IP會話被視為單個用戶。

C、它可以區(qū)分同一源IP地址后面的多個客戶端。

D、它需要更多的資源。

E、如果源NAT后有多個用戶，則不建議這樣做

答案：ACD

19.下列哪項陳述正確描述了FortiGates在搜索合適網(wǎng)關時的路由查找行為？

（選擇兩項）

A、對來自會話發(fā)起者的第一個分組進行查找

B、查找是在響應方發(fā)送的最后一個數(shù)據(jù)包上完成的

C、無論方向如何，對每個數(shù)據(jù)包都進行查找

D、對來自響應方的信任回復數(shù)據(jù)包進行查找

答案：AD

20.關于RPF支票，哪兩項陳述是正確的？（選兩個。）

A、RPF檢查在任何新會話的第一個發(fā)送的數(shù)據(jù)包上運行。

B、RPF檢查在任何新會話的第一個回復數(shù)據(jù)包上運行。

C、RPF檢查在任何新會話的第一個發(fā)送和回復數(shù)據(jù)包上運行。

D、RPF是一種保護FortiGate和您的網(wǎng)絡免受IP欺騙攻擊的機制。

答案：AD

21.參考展品。根據(jù)原始日志，哪兩種說法是正確的？（選兩個。）

A、由于防火墻策略中的操作設置為拒絕，通信被阻止。

B、交通屬于根VD0M。

C、這是安全日志。

D、FortiGate上的日志嚴重性設置為錯誤。

答案：AC

22.web應用程序防火墻（WAF）配置文件可以阻止哪些類型的流量和攻擊？（選三

個。）

A、僵尸網(wǎng)絡服務器的流量

B、流向不適當網(wǎng)站的流量

C、服務器信息泄露攻擊

D、信用卡數(shù)據(jù)泄露

E、SQL注入襲擊

答案：CDE

23.請參考顯示調(diào)試流輸出的圖表。關于調(diào)試流輸出的哪兩項陳述是正確的？（選

兩個。）

A、調(diào)試流是ICMP流量。

B、防火墻策略允許該連接。

C、創(chuàng)建新的業(yè)務會話。

D、接收回復需要默認路由。

答案：AC

24.參考展品。給出如圖所示的接口。哪兩種說法是正確的？（選兩個。）

A、默認情況下，允許port2、和port2-vlan1、之間的流量。

B、port1-vlan10\和port2-vlan10、屬于同—個廣播域。

C、波特1是土生土長的VLAN人。

D、可以將port1-vlan和port2-vlan1分配給同—個VDOM或不同的vdom。

答案：CD

25.網(wǎng)絡管理員希望通過使用兩條IPsecVPN隧道和靜態(tài)路由在FortiGate上建立

冗余IPsecVPN隧道。

*當兩條隧道都開通時，所有流量必須通過主隧道路由

*只有當主通道關閉時，才能使用輔助通道

*此外，F(xiàn)ortiGate應該能夠檢測死隧道，以加快隧道故障轉(zhuǎn)移速度。要滿足設

計要求，需要對FortiGate進行哪兩項關鍵配置更改？（選擇兩項，）

A、在主通道的靜態(tài)路由上配置較高的距離，在輔助通道的靜態(tài)路由上配置較低

的距離。

B、啟用失效對等檢測。

C、在主通道的靜態(tài)路由上配置較低的距離，在輔助通道的靜態(tài)路由上配置較高

的距離。

D、在兩個通道的第2階段配置中啟用自動協(xié)商和自動密鑰保持活動。

答案：BC

26.可以通過哪兩種方式禁用RPF檢查？（選擇兩項）

A、在防火墻策略中啟用防重播。

B、在FortiGate接口層為來源檢查禁用RPF檢查

C、啟用非對稱路由。

D、禁用系統(tǒng)設置下的嚴格弧檢查。

答案：CD

27.IPsec中NAT穿越的目的是什么？（選兩個。）

A、檢測隧道路徑中的中間NAT設備。

B、以動態(tài)地改變階段1、協(xié)商模式積極模式。

C、涉及使用port4500在UDP包中封裝ESP包。

D、以在每個階段強制新的DH交換2、rekey

答案：AC

28.啟用SSL證書檢查時，F(xiàn)ortiGate使用哪三項信息來識別SSL服務器的主機

名？（選三個。）

A、服務器證書中的主題字段

B、服務器證書中的序列號

C、客戶端問候消息中的服務器名稱指示（SNI）擴展

D、服務器證書中的主題備用名稱（SAN）字段

E、HTTP頭中的主機字段

答案：ACD

29.當FortiGate處于透明模式時，哪兩種說法是正確的？（選兩個。）

A、默認情況下，所有接口都屬于同一個廣播域。

B、安裝透明模式時，必須更改現(xiàn)有的網(wǎng)絡IP模式。

C、需要靜態(tài)路由來允許流量到達下一跳。

D\FortiGate轉(zhuǎn)發(fā)幀而不改變MAC地址。

答案：AD

30.FortiGate被配置為基于策略的下一代防火墻（NGFW）,并直接在安全策略上

應用網(wǎng)頁過濾和應用程序控制。您可以將另外哪兩個安全配置文件應用于安全策

略？（選兩個。）

A、防病毒掃描

B、文件過濾器

GDNS過濾器

D、入侵預防

答案：AD

31.關于SLA目標，哪兩項陳述是正確的？（選兩個。）

A、每個性能SLA只能配置兩個SLA目標。

B、SLA目標是可選的。

C、具有最佳質(zhì)量策略的SD-WAN規(guī)則需要SLA目標。

D、SLA目標僅在被SD-WAN規(guī)則引用時使用。

答案：BD

32.證書需要哪兩個屬性才能在SSL檢查中用作CA證書？（選兩個。）

A、keyllsage擴展必須設置為keyCertSigno

B、主題字段中的通用名稱必須使用通配符名稱。

C、頒發(fā)者必須是公共CA。

D、CA擴展必須設置為TRUE。

答案：AD

33.檢查這個PAC文件配置。以下哪些陳述是正確的？（選兩個。）

A、可以配置瀏覽器從FortiGate中檢索這個PAC文件。

B、允許對172、25、120、0/24、子網(wǎng)的任何web請求繞過代理。

C、所有不發(fā)往Fortinet、或172、25、120、0/24、子網(wǎng)的請求都必須通過a11

proxyvcorp、:80600

D\fortinetx允許任何web請求繞過代理。

答案：AD

34.參考展品。附錄A顯示了系統(tǒng)性能輸出。圖表B顯示了一^FortiGate,它

配置了高內(nèi)存使用閾值的默認配置。根據(jù)系統(tǒng)性能輸出，哪兩種說法是正確的？

（選兩個。）

A、管理員只能通過控制臺port訪問FortiGate。

B\FortiGate已經(jīng)進入節(jié)能模式。

C\FortiGate將開始發(fā)送所有文件到FortiSandbox進行檢查。

D、管理員不能更改配置。

答案：BD

35.關于FortiGate上的IPsec身份驗證，哪兩種說法是正確的？（選兩個。）

A、對于更強的身份驗證，您還可以啟用擴展身份驗證（XAuth）來請求

遠程對等方提供用戶名和密碼

B、FortiGate支持預共享密鑰和簽名作為身份驗證方法。

C、啟用擴展驗證會導致更快的身份驗證，因為交換的數(shù)據(jù)包更少。

D、當您將簽名設置為身份驗證方法時，遠程對等方不需要證書。

答案：AB

36.關于基于流量的防病毒配置文件，哪三項陳述是正確的？（選三個。）

A、IPS引擎獨立處理該過程。

B、FortiGate緩沖整個文件，但同時傳輸?shù)娇蛻舳恕?/p>

C、如果檢測到病毒，則將最后一個數(shù)據(jù)包發(fā)送到客戶端。

D、與基于代理的檢查相比，性能得到優(yōu)化。

E、基于流的檢查使用基于代理的檢查中可用的混合掃描模式。

答案：BDE

37.關于主動-主動高可用性集群上的固件升級過程，哪些說法是正確的？（選兩

個。）

A、固件映像必須手動上傳到每個FortiGateo

B、僅重新啟動輔助FortiGate設備。

C、默認情況下，不間斷升級處于啟用狀態(tài)。

D、升級固件時，流量負載平衡暫時被禁用。

答案：CD

38.請參考FortiGuard連接調(diào)試輸出。根據(jù)圖中所示的輸出，哪兩種說法是正確

的？（選兩個。）

A、本地FortiManager是FortiGate與之通信的服務器之一。

B、聯(lián)系了一臺服務器來檢索合同信息。

C、至少有一臺服務器連續(xù)丟失數(shù)據(jù)包。

D、FortiGate正在使用默認的FortiGuard通信設置。

答案：BD

39.關于安全結構評級，哪兩項陳述是正確的？（選兩個。）

A、它提供了四個最大的安全重點領域的執(zhí)行摘要。

B、許多安全問題可以通過單擊“應用”立即修復。

C、安全結構評級必須在安全結構中的根FortiGate設備上運行。

D\安全結構評級是一項免費服務，與altFortiGate設備捆綁在一起。

答案：BC

40.哪種說法最恰當?shù)孛枋隽俗詣影l(fā)現(xiàn)VPN（ADVPN）。（選兩個。）

A、它需要使用動態(tài)路由協(xié)議，以便輻條可以了解到其他輻條的路由。

B、ADVPN僅支持IKEv2o

C、輻條之間動態(tài)協(xié)商隧道。

D、每個輻條都需要配置到其他輻條的靜態(tài)隧道，以便提前定義階段1和階段2

提案。

答案：AC

41.關于防火墻策略NAT使用輸出接口IP地址并禁用固定port的說法，哪些是

正確的？（選兩個。）

A、這就是所謂的多對一NATo

B、源IP被轉(zhuǎn)換為傳出接口IP。

C\使用源port和源MAC地址跟蹤連接。

D、不使用port地址轉(zhuǎn)換。

答案：CD

42.FortiGate可以使用哪三個標準來尋找匹配的防火墻策略來處理流量？（選

三個。）

A、在防火墻策略中定義為Internet服務的源。

B、在防火墻策略中定義為Internet服務的目標。

C、防火墻策略中定義的從高到低的優(yōu)先級。

D、防火墻策略中定義的服務。

E、從最低到最高的策略ID號。

答案：ABD

43.參考展品。該圖顯示了IPS傳感器的配置。如果通信量與此IPS傳感器匹配，

傳感器應該采取哪兩項措施？（選兩個。）

A、傳感器將允許攻擊者匹配NTP。偽造的、KoD、DoS簽名。

B\傳感器將阻止所有針對Windows服務器的攻擊。

C、傳感器將重置所有與這些簽名匹配的連接。

D、傳感器將收集所有匹配通信量的數(shù)據(jù)包日志。

答案：AB

44.參考展品。該圖顯示了CLI命令的輸出：diagnosesyshadump-byvcluster。哪

兩種說法是正確的？（選兩個。）

A、FortiGateSNFGVMOI0000065036oHA正常運行時間已重置。

B、FortiGate設備不同步，因為一個設備關閉。

C、FortiGateSNFGVMOI0000064692是主要的，因為HA正常運行時間更長。

D、FortiGateSNFGVMOI0000064692s具有較高的HA優(yōu)先級。

答案：AD

45.參考展品。根據(jù)圖中所示的路由數(shù)據(jù)庫，哪兩種說法是正確的？（選兩個。）

A、port3xdefault路由的距離最長。

B\port3vdefault路由的度量最低。

C、路由表中將有八條路由處于活動狀態(tài)。

DxportK和port2、默認路由在路由表中處于活動狀態(tài)。

答案：AD

46.您可以在FortiGate上配置哪三個遠程日志存儲選項？（選三個。）

A、FortiCache

B、FortiSIEM

C、強化分析儀

D\FortiSandbox

E、福蒂克勞德

答案：BCE

47.觀看展覽。下列哪些陳述是正確的？（選兩個。）

A、此設置需要至少兩個操作設置為IPsec的防火墻策略。

B、必須禁用失效對等檢測來支持這種類型的IPsec設置。

C、TunnelB路由是到達遠程站點的主要路由。只有當TunneIBVPN關閉時，才會

使用TunnelA路由。

D、這是一個冗余的IPsec設置。

答案：CD

48.關于FortiGateHA群集虛擬IP地址，哪兩項陳述是正確的？（選兩個。）

A、心跳接口具有手動分配的虛擬IP地址。

B、當FortiGate設備加入或離開集群時，虛擬IP地址會發(fā)生變化。

C、虛擬IP地址用于區(qū)分集群成員。

D、集群中的主設備始終分配有IP地址169、254、0、1。

答案：BC

49.考慮拓撲結構：

Windows機器上的應用程序〈-{SSLVPN}-->FGT-->遠程登錄到Linux服務器。

一名管理員正在調(diào)查一個應用程序與

Linux服務器在SSLVPN上通過FortiGate,空閑會話在大約90秒后超時。

分鐘。管理員希望增加或禁用此超時。

管理員已經(jīng)確認該問題不是由應用程序或Linux服務器引起的。當應用程序直接

在LAN上建立到Linux服務器的Telnet連接時，不會發(fā)生此問題。管理員可以

進行哪兩項更改來解決該問題，而不會影響通過FortiGate運行的服務？（選兩

個。）

A、為TELNET服務對象設置最大會話TTL值。

B、將SSLVPN策略上的會話TTL設置為最大值，以便90分鐘后不會發(fā)生空閑會

話超時。

C、為TELNET創(chuàng)建一個新的服務對象，并設置最大會話TTL。

D、為SSLVPN流量創(chuàng)建一個新的防火墻策略，將其置于現(xiàn)有的SSLVPN策略之上，

并在策略中設置新的TELNET服務對象。

答案：CD

50.參考展品。

網(wǎng)絡管理員正在對兩臺FortiGate設備之間的IPsec隧道進行故障排除。管理員

已確定階段1、無法啟動。管理員還在兩臺FortiGate設備上重新輸入了預共享

密鑰，以確保它們匹配。根據(jù)圖中所示的階段1、配置和圖表，哪兩項配置更改

將導致階段1、up?（選兩個。）

A、在HQ-FortiGate上，將IKE模式設置為Main（ID保護）。

B、在兩臺FortiGate設備上，將失效對等體檢測設置為按需。

C、在HQ-FortiGate上，禁用Diffie-HeIman組2。

D\在Remote-FortiGate上，設置port2、as接口。

答案：AD

51.關于兩臺FortiGate設備之間的SSLVPN,哪兩種說法是正確的？（選兩個。）

A、客戶端FortiGate需要一^由服務器FortiGate上的CA簽名的客戶端證書。

B、客戶端FortiGate需要手動添加到遠程子網(wǎng)的路由。

C、客戶端FortiGate使用SSLVPN隧道接口類型來連接SSLVPN。

D、服務器FortiGate需要CA證書來驗證客戶端FortiGate證書。

答案：CD

52.FortiGate上有哪三種身份驗證超時類型可供選擇？

（選三個。）

A、硬超時

B、按需授權

C、軟超時

D、新會話

E、空閑超時

答案：ADE

53.FortiGuard類別可以在不同的類別中被覆蓋和定義。要為example、主頁創(chuàng)

建web評級覆蓋，必須使用特定語法配置覆蓋。哪兩種語法是為主頁配置網(wǎng)頁分

級的正確