NSE-4（中文版）认证考试题库（含答案）

NSE-4（中文版）认证考试题库（含答案）

一、单选题

1.当在所有FortiGate设备上启用了分离任务VDOM时，哪个下游FortiGateVDO

M用于加入安全结构？

A、根VDOM

B、VDOM交通

G客户VDOM

D、全球VDOM

答案：A

2.管理员需要使用相同的软FortiToken为多个站点配置VPN用户访问。每个站

点都有一个FortiGateVPN网关。为了达到这个目标，管理员必须做些什么？

A、管理员可以在多个FortiGate上注册同—FortiToken。

B\管理员必须使用FortiAuthenticator设备。

C、管理员可以使用第三方radiusOTP服务器。

D、管理员必须使用用户自行注册服务器。

答案：B

3.参考展品。图表显示了网络图和明确的web代理配置。在命令diagnosesniff

erpacket中，您可以使用什么过滤器来捕获客户端和显式web代理之间的流量？

A、'host192.168.0.2andport8080,

B\'hostlO.0.0.50\andport80'

C\'host192.168.0.1xandport80

D、'hostlO.0.0.50\andport8080'

答案：A

4.查看展示，其中包含虚拟IP和防火墙策略配置。WAN(portl)接口的IP地址为

10.200.1.1/24OLAN(port2)接口的IP地址为10.0.1.254/24。第一个防火墙策

略在传出接口地址上启用了NAT。第二个防火墙策略配置了一个VIP作为目的地

址。

来自IP地址为10.0.1.10/24的工作站的互联网流量将来自哪个IP地址？

A、10,200.1.10

B、WAN(portl)子网10.200.1.0/24中的任何可用IP地址。

C、10,200.1.1

D、10.0.1,254

答案：C

5.当使用web模式SSLVPN书签浏览内部web服务器时，哪个IP

地址用作HTTP请求的来源。

A、远程用户的公共IP地址

B、FortiGate设备的公共IP地址。

C、远程用户的虚拟IP地址。

D、FortiGate设备的内部IP地址。

答案：D

6.FortiGate提供哪种安全功能来保护位于内部网络中的服务器免受SQL注入等

攻击?

A、拒绝服务

B、Web应用防火墙

C、抗病毒素

D、应用控制

答案：B

7.管理员必须禁用RPF检查来调查问题。哪种方法最适合禁用RPF而不影响防病

毒和入侵防御系统等功能？

A、启用非对称路由，以便绕过RPF检查。

B、在FortiGate接口层为来源检查禁用RPF检查。

C、在FortiGate接口级别禁用回复检查的RPF检查。

D、在接口级别启用非对称路由。

答案：B

8.在配置防火墙虚拟线路对策略时，下列哪种说法是正确的？

A、只要策略流量方向相同，就可以包括任意数量的虚拟线路对。

B、每个策略中只能包含一个虚拟线路对。

C、无论策略流量方向设置如何，每个策略中都可以包含任意数量的虚拟线路对。

D、每个策略中需要包含两个虚拟线路对。

答案：B

9.要使web浏览器信任由第三方CA签名的web服务器证书，必须满足下列哪项

条件？

A、web服务器证书的公钥必须安装在浏览器上。

B、web服务器证书必须安装在浏览器上。

C、签署web服务器证书的CA证书必须安装在浏览器上。

D、签署浏览器证书的CA证书的私钥必须安装在浏览器上。

答案：C

10.关于防火墙策略的策略ID号，哪项陈述是正确的？

A、当防火墙策略重新排序时，它会发生变化。

B、它表示防火墙策略中使用的对象数量。

C、需要使用CLI修改防火墙策略。

D、它定义了处理规则的顺序。

答案：C

11.参考展品。该图包含网络图、SNAT中心策略和IP地址池配置。

WAN(portl)接口的IP地址为10、200、1、1/24。

LAN(port3)接口的IP地址为10、0、1、254/24o

防火墙策略配置为允许从LAN(port3)到WAN(portl)的目的地。

中央NAT已启用，因此将应用来自匹配中央SNAT策略的NAT设置。

如果本地客户端(1。0、1、10)上的用户pings远程FortiGate(10、200、3、1)

的IP地址，将使用哪个IP地址作为NAT流量的来源？

A、10、200、1、149、

B、10、200X1、1、

C、10、200、1、49、

D、10、200、1、99x

答案：D

12.检查以下web过滤日志。关于日志消息，哪项陈述是正确的？

A、类别游戏的操作被设置为阻止。

B、IP地址10、0、1、10的使用配额已过期

C、应用的web过滤器配置文件的名称为默认值。

D、网站miniclip、匹配一个操作设置为警告的静态URL筛选器。

答案：C

13.关于SSLVPNweb模式，哪项陈述是正确的？

A、当客户端连接时，隧道是打开的。

B、它支持有限数量的协议。

C、外部网络应用程序通过VPN发送数据。

D、它为客户端分配一个虚拟IP地址。

答案：B

14.参考展品。在图中所示的网络中，web客户端无法连接到HTTPweb服务器。

管理员运行FortiGate内置的嗅探器，得到如图所示的输出。管理员接下来应该

做什么来解决问题？

A、在网络服务器上运行嗅探器。

B、使用连接到portl的外部嗅探器捕获流量。

G在FortiGate中执行另一个嗅探器，这次使用过滤器“hostIO、0、1、10”

D、执行调试流程。

答案：D

15.管理员在两台FortiGate设备之间配置了基于路由的IPsecVPNo下列关于I

PsecVPN配置的陈述中哪一项是正确的？

A、不需要阶段2、配置。

B、此VPN不能用作星型拓扑的一部分。

C、阶段1、配置完成后，会自动创建一个虚拟IPsec接口。

DvIPsec防火墙策略必须放在列表的顶部。

答案：C

16.参考展品。展示A展示B管理员在安全结构中的根FortiGate(LocaI-FortiG

ate)上创建了一个新的地址对象。同步后，此对象在下游FortiGate(lSFW)上不

可用。管理员必须做什么来同步地址对象？

A、将LocaI-FortiGate(root)上的csf设置更改为secconfiguration-syncIoc

aIo

B、将ISFW(下游)上的csf设置更改为sec配置-同步本地。

G将LocaI-FortiGate(root)上的csf设置更改为secfabric-objecc-unifica

ciondefauIco

D、将ISFW(下游)上的csf设置更改为secfabric-objecc-unificaciondefauIco

答案：A

17.检查调试流的输出：为什么FortiGate会丢弃数据包？

A、下一跳IP地址无法到达。

B、它没有通过RPF的检查。

C、它使用拒绝操作匹配了明确配置的防火墙策略。

D、它符合默认的隐式防火墙策略。

答案：D

18.参考展品。附件显示了脸书的SSL和认证政策(附件A)和安全政策(附件B)。

用户可以访问脸书网络应用程序。他们可以播放脸书上的视频内容，但不能在视

频或其他类型的帖子上留下评论。要解决该问题，您必须更改策略配置的哪一部

分？

A、SSL检查需要是深度内容检查。

B、使用HTTP服务强制访问脸书。

C、需要额外的应用程序签名来添加到安全策略中。

D、在安全策略的URL类别中添加脸书。

答案：A

19.参考展品。其中包含会话诊断输出。关于会话诊断输出，下列哪项陈述是正

确的？

A、会话处于同步状态。

B、会话处于FIN_ACK状态。

C、会话处于FTN等待状态。

D、会话处于已建立状态。

答案：A

20.哪个引擎处理下一代防火墙(NGFW)FortiGate上的应用程序控制流量？

A、防病毒引擎

B、入侵防御系统引擎

C、流动引擎

D、检测引擎

答案：B

21.NGFW模式允许对大多数检查规则进行基于策略的配置。当您启用基于策略的

检查时，哪个安全配置文件的配置不会改变？

A、网页过滤

B、抗病毒素

GWeb代理

D、应用控制

答案：B

22.如果在防火墙策略中已经选择Internet服务作为目标，那么还可以选择哪些

其他配置对象作为防火墙策略的目标字段？

A、用户或用户组

B、国际电脑互联网地址

C、不能添加其他对象

D、FQDN地址

答案：C

23.管理员需要增加网络带宽并提供冗余。管理员必须选择哪种接口类型来绑定

多个FortiGate接口？

A、VLAN接口

B、软件开关接口

C、聚合界面

D\冗余接口

答案：C

24.FortiGate可以使用哪个证书值来确定颁发者和证书之间的关系？

A、主题关键字标识符值

B、SMMIE功能值

C、主体价值

D、主题替代名称值

答案：A

25.FortiGate上的哪种扫描技术只能在CLI上启用？

A、启发式扫描

B、特洛伊木马扫描

C、防病毒扫描

D、勒索软件扫描

答案：A

26.检查此FortiGate配置:检查以下debug命令的输出：根据上面的诊断输出，F

ortiGate如何处理需要检查的新会话的流量？

A、这是允许的，但没有检查

B、只要检查是基于流程的，就允许并检查它

C、它被丢弃了。

D、只要所需的唯一检查是防病毒，就允许并检查它。

答案：C

27.下列哪项陈述正确描述了FSS0收集器代理的NetAPI轮询模式？

A、收集器代理使用WindowsAPI向DC查询用户登录。

B、NetAPI轮询会增加大型网络中的带宽使用率。

C、收集器代理必须搜索安全事件日志。

D\NetSession枚举函数用于跟踪用户注销。

答案：D

28.关于防火墙策略的策略ID号，哪项陈述是正确的？

A、需要使用CLI修改防火墙策略。

B、它表示防火墙策略中使用的对象数量。

C、当防火墙策略重新排序时，它会发生变化。

D、它定义了处理规则的顺序。

答案：A

29.为什么FortiGate将TCP会话保留在会话表中几秒钟，甚至几秒钟之后

双方(客户端和服务器)都终止了会话？

A、为了考虑到可能在FIN/ACK分组之后到达的无序分组

B、完成任何检查操作

C、要删除NAT操作

D、生成日志

答案：A

30.参考展品。

该展示包含网络图'虚拟IP、IP池和防火墙策略配置。

WAN(portl)接口的IP地址为10.200.1.1/24O

LAN(port3)接口的IP地址为10.0.1.254/24、

第一个防火墙策略使用IP池启用NAT。

第二个防火墙策略配置了一个VIP作为目的地址。

来自IP地址为10.0.1.10的工作站的互联网流量将来自哪个IP地址？

A、10,200.1.1

B、10,200.3.1

G10.200.1.100

D、10,200.1.10

答案：A

31.您已经在FortiGate设备上启用了事件日志和所有安全日志的记录，并且您

已经设置了使用FortiGate本地磁盘的记录。当本地磁盘已满时，默认行为是什

么？

A、当日志磁盘使用率达到95%的阈值时，日志将被覆盖，并发出唯一的警告。

B、在您手动清除本地磁盘中的日志之前，不会记录新的日志。

C、当日志磁盘使用率达到75%的阈值时，日志将被覆盖，并发出第一个警告。

D、当日志磁盘使用率达到阈值95%时，发出警告后不会记录新的日志。

答案：C

32.参考展品。展示内容包括网络接口配置、防火墙策略和CLI控制台配置。Fo

rtiGate将如何处理到达LAN接口的流量的用户验证？

A、如果存在完全通过策略，则不会提示用户进行身份验证。

B、来自销售组的用户将被提示进行身份验证，并且可以使用正确的凭据成功进

行身份验证。

C、身份验证在策略级别实施；将提示所有用户进行身份验证。

D、HR组的用户将被提示进行身份验证，并且可以使用正确的凭据成功进行身份

验证。

答案：C

33.检查如图所示的IPS传感器和DoS策略配置，然后答案以下问题。检测攻击

时，FortiGate会首先评估哪个异常,特征或过滤器？

A、SMTPo登录。蛮力。武力

B、IMAPo登录、暴力、力量

C、ip源会话

D、位置:服务器协议:SMTP

答案：B

34.图示:请参考图示查看此场景中的身份验证规则配置，以下哪项陈述是正确

的？

A、基于IP的身份验证已启用

B、启用基于路由的身份验证

C、启用基于会话的身份验证。

D、启用基于策略的身份验证

答案：C

35.如果FortiGate配置为基于策略的下一代防火墙(NGFW),它使用什么检查模

式？

A、全部内容检查

B、基于代理的检查

C、证书检查

D、基于流程的检查

答案：D

36.参考展品。网络管理员正在对两台FortiGate设备之间的IPsec隧道进行故

障排除。管理员已确定阶段1、状态为启动。但是第二阶段没有出现。根据图中

所示的阶段2、配置，什么配置更改会带来阶段2、up?

A、在HQ-FortiGate上，启用自动协商。

B、在Remote-FortiGate上，将秒数设置为43200。

C、在HQ-FortiGate上，启用Diffie-HeiIman组2。

D、在HQ-FortiGate上,将加密设置为AES256。

答案：D

37.管理员在防火墙策略中配置了任何传出接口。关于策略列表视图，下列哪项

陈述是正确的？

A、策略查找将被禁用。

B、“按序列”视图将被禁用。

C、搜索选项将被禁用

D、接口对视图将被禁用。

答案：D

38.请参考图示，其中包含静态路由配置。一名管理员为AmazonWebServices创

建了一个静态路由。管理员必须使用什么CLI命令来查看路由？

A、获取路由器信息路由表全部

B、获取互联网服务路由列表

C、获取路由器信息路由表数据库

D、诊断防火墙产品列表

答案：D

39.关于IPsec使用的IP身份验证报头(AH)的哪项陈述是正确的？

AxAH不提供任何数据完整性或加密。

B、AH不支持完全前向保密。

c、AH提供数据完整性，但不加密。

D、AH提供了很强的数据完整性，但加密较弱。

答案：C

40.管理员想要在IPSECVPN上配置死对等检测(DPD)来检测死隧道。要求是Fort

iGate仅在隧道中没有观察到交通时才发送DPD探测器。FortiGate上的哪种DP

D模式符合上述要求？

A、有缺陷的

B、一经要求

C、使能够

D\空闲时

答案：D

41.如果在防火墙策略中已经选择Internet服务作为源，还可以将哪些其他配置

对象添加到防火墙策略的源字段中？

A、国际电脑互联网地址

B、一旦选择了Internet服务，就不能添加其他对象

C、用户或用户组

D、FQDN地址

答案：C

42.创建防火墙策略时，将哪个属性添加到策略中以支持将日志记录到FortiAna

lyzer或FortiManager,并在FortiGate与这些设备集成时改进功能？

A、日志ID

B、通用唯一标识符

C、策略ID

D、序列ID

答案：B

43.网络管理员在FortiGate上启用了全面的SSL检查和网页过滤。当访问任何

HTTPS网站时，浏览器会报告证书警告错误。访问HTTP网站时，浏览器不报错。

证书警告错误的原因是什么？

A、浏览器需要软件更新。

B、启用网页过滤时，FortiGate不支持完全SSL检查。

C、SSL/SSH检查配置文件上设置的CA证书尚未导入到浏览器中。

D、存在网络连接问题。

答案：C

44.安全结构中的哪项功能基于事件触发器采取一项或多项操作？

A、织物连接器

B、自动化缝合

C、安全等级

D、逻辑拓扑

答案：B

45.管理员想要为用户配置超时。无论用户行为如何，计时器都应在用户通过身

份验证后立即启动，并在配置的值后过期。应在FortiGate上配置哪个超时选

项？

A、按需授权

B、软超时

C、空闲超时

D、新会话

E、硬超时

答案：E

46.在配置防火墙虚拟线路对策略时，下列哪种说法是正确的？

A、每个策略中只能包含一个虚拟线路对。

B、无论策略流量方向设置如何，每个策略中都可以包含任意数量的虚拟线路对。

C、只要策略流量方向相同，就可以包括任意数量的虚拟线路对。

D、每个策略中需要包含两个虚拟线路对。

答案：B

47.管理员正在站点A和站点b之间配置lpseco两个站点中的远程网关设置都

已配置为静态IP地址。对于网站

A本地快速模式选择器是192、16、1、0/24,远程快速模式选择器是192、16、

2、0/24o管理员必须如何为站点B配置本地快速模式选择器？

A、192,168.3.0/24

B、192,168.2.0/24

C、192,168.1.0/24

D、192,168.0.0/8

答案：B

48.参考图示，其中包含一个会话诊断输出。关于会话诊断输出，下列哪项陈述

是正确的？

A、会话处于UDP单向状态。

B、会话处于TCP建立状态。

C、该会话是双向UDP连接。

D、该会话是双向TCP连接。

答案：C

49.参考展品。FortiGate设备上的全局设置必须进行更改，以符合公司的安全

策略。管理员帐户需要什么才能访问FortiGate全局设置？

A、修改口令

B、启用对可信主机的限制访问

C、更改管理员配置文件

D、启用双因素身份验证

答案：C

50.如果在虚拟IP(VIP)中配置了服务字段，那么在使用中央NAT时，下列哪种

说法是正确的？

A、服务字段防止SNAT和DNAT在同一策略中组合。

B、当您需要将几个VIP捆绑到VIP组中时,可以使用Services字段。

C、服务字段消除了为不同服务创建多个VIP的需求。

D、服务字段防止多个流量源使用多个服务连接到单个

答案：C

51.为什么FortiGate在会话表中保留TCP会话几秒钟，甚至在双方(客户端和服

务器)都终止会话之后？

A、删除NAT操作。

B、生成日志

C、完成任何检查操作。

D、以允许可能在FIN/ACK分组之后到达的无序分组。

答案：D

52.哪个CLI命令将显示从客户端到代理以及从代理到服务器的会话？

A、diagnosewadsessionIist

B、diagnosewadsessionIist|grephook-pre&&hook-out

C\diagnosewadsessionIist|grephook=pre&&hook=out

D、diagnosewadsessionIist|grep"hook=pre"&"hook=out"

答案：A

53.检查FortiGate配置：FortiGate如何处理来自IP地址10、2、1、200的we

b代理流量，这需要授权吗？

A、它总是在不需要身份验证的情况下授权流量。

B、它减少了交通流量。

C、它使用身份验证方案SCHEME2来验证流量。

D、它使用身份验证方案SCHEME1来验证流量。

答案：D

54.请参考图示，查看应用控制配置文件。使用AppleFaceTime视频会议的用户

无法安排会议。在这种情况下，哪种说法是正确的？

A、AppIeFaceTime属于自定义监控滤镜。

B、AppleFaceTime的类别正在被监控。

C、AppleFaceTime属于自定义阻止过滤器。

D\AppleFaceTime的类别被阻止。

答案：C

55.哪种安全评级记分卡有助于识别网络中的配置缺陷和最佳实践违规？

A、Fabric覆盖率

B、自动响应

C、安全态势

D、最佳化

答案：C

56.关于FortiGate上的视频过滤，哪种说法是正确的？

A、不需要全面的SSL检查。

B、它仅在基于代理的防火墙策略上可用。

C、它检查文件共享服务上的视频文件。

D、视频过滤FortiGuard类别是基于网页过滤器FortiGuard类别。

答案：B

57.检查图中所示的两条静态路由，然后答案以下问题。对于这两条通往同一目

的地的路由，以下哪一项是预期的FortiGate行为？

A、FortiGate将对两条路线上的所有流量进行负载平衡。

B、FortiGate将使用portl、route作为主要候选。

GFortiGate将两倍的流量路由到port2、route

D、FortiGate只会激活路由表中的portl、route

答案：B

58.FortiGate在NAT模式下运行，配置了两个添加到物理接口的虚拟局域网(VL

AN)子接口。只有当VLAN子接口的IP地址在不同的子网中时，下列关于这些接

口的说法中有哪些可以具有相同的VLANID?

A、两个VLAN子接口可以有相同的VLANID,前提是它们的IP地址在不同的子网

中。

B、两个VLAN子接口必须有不同的VLANid。

C、两个VLAN子接口可以有相同的VLANID,只要它们属于不同的VDOMs。

D、只有当两个VLAN子接口的IP地址在同一个子网中时，它们才能拥有相同的

VLANIDo

答案：B

59.默认情况下，FortiGate配置为在使用FortiGuard服务器执行实时网页过滤

时使用HTTPSo哪个CLI命令会导致FortiGate使用不可靠的协议与FortiGuar

d服务器通信以进行实时网页过滤？

A、设置fortiguard-anycast禁用

B\设置叩6|341止「-强制关闭禁用

C、设置webfilter-缓存禁用

D、设置协议tcp

答案：A

60.关于SSLVPN门户的SSLVPN设置，下列哪项陈述是正确的？

A、默认情况下,FortiGate使用WINS服务器来解析名称。

B、默认情况下，SSLVPN门户要求安装客户端证书。

C、默认情况下，启用切分通道。

D、默认情况下,管理GUI和SSLVPN门户使用相同的HTTPSport。

答案：D

61.参考展品。根据图中所示的证书值，该证书颁发给了哪种类型的实体？

A、一个用户

B、根CA

C、一座桥

D、下属

答案：A

62.FortiGate闪存盘怎么格式化？

A\加载一个调试FortiOS映像。

B、加载硬件测试(HQIP)映像。

G执行CLI命令executeformatIogdisk。

D、从BIOS菜单中选择格式化引导设备选项。

答案：D

63.参考展品。查看入侵防御系统(IPS)配置文件签名设置。关于添加FTP,哪种

说法是正确的？登录。IPS传感器配置文件签名失败？

A、签名设置使用自定义分级阈值。

B、签名设置包括一组其他签名。

C、与签名匹配的流量将被允许和记录。

D、与签名匹配的流量将被静默丢弃并记录。

答案：D

64.参考展品。该展示包含SD-WAN性能SLA的配置，以及诊断系统虚拟WAN链路

健康检查的输出。哪个接口将被选为传出接口？

Avport2o

B、port4o

C、port3o

D、portlo

答案：D

65.要完成安全结构配置的最后一步，管理员必须授权哪个设备上的所有设备？

A、FortiManager

B、RootForitGate

CvFortiAnaIyzer

DvDownstreamFortiGate

答案：B

66.哪个CLI命令允许管理员排除第2层问题，如IP地址冲突？

A、获取系统状态

B、获取系统性能状态

C、诊断系统顶部

D、获取系统arp

答案：D

67.当web过滤器配置文件中启用了多个功能时，web过滤中的HTTP检查过程遵

循特定的顺序。当web过滤器配置文件启用了安全搜索等功能时，FortiGate必

须使用什么顺序？

A、基于DNS的web过滤器和基于代理的web过滤器

B\静态URL过滤器、FortiGuard类别过滤器和高级过滤器

C、静态域过滤器、SSL检查过滤器和外部连接器过滤器

D\FortiGuard类别过滤器和分级过滤器

答案：B

68.关于检查嵌入在第三方网站中的web应用程序提供的一些服务，哪种说法是

正确的？

A、应用于web应用程序的安全操作也将明确应用于第三方网站。

B、应用程序签名数据库只检查来自原始web应用程序服务器的流量。

C、FortiGuard只维护每个web应用程序的唯一签名。

D、FortiGate可以检查子应用程序流量，而不管它来自何处。

答案：D

69.检查如图所示的网络图，然后答案以下问题：以下哪条路由是FGT1的最佳候

选路由。将流量从工作站路由到Web服务器？

A、172、16、0、0/16、［50/0］通过10、4、200、2port2o［5/0］

B、0、0、0、0/0、［20/0］通过10、4、200、2port2o

G10、4、200、0/30、是直接连接的，port2o

D、172、16、32、0/24、是直接连接的，portl0

答案：D

70.下列关于防火墙策略身份验证超时的陈述中哪一项是正确的？

A、这是一个空闲超时。如果FortiGate看不到来自用户源IP的任何数据包，则

认为用户“空闲”。

B、这是一个艰难的暂停。该定时器到期后，FortiGate将删除用户源IP地址的

临时策略。

C、这是一个空闲超时。如果FortiGate看不到来自用户源MAC的任何数据包，

则认为用户“空闲”。

D、这是一个艰难的暂停。该定时器到期后，FortiGate将删除用户源MAC地址

的临时策略。

答案：A

71.当HA覆盖设置被禁用时，主要的FortiGate选举过程是什么？

A、连接的受监控端口〉系统正常运行时间〉优先级〉FortiGate序列号

B、连接的受监控端口》HA正常运行时间＞优先级＞FortiGate序列号

C、连接的受监控端口＞优先级〉HA正常运行时间》FortiGate序列号

D、连接的监控端口〉优先级》系统正常运行时间》FortiGate序列号

答案：B

72.在基于NGFW策略的模式下，在同一防火墙策略上使用URL列表和应用程序控

制有什么限制？

A、它将应用程序流量的扫描仅限于DNS协议。

B、它将应用程序流量的扫描限制为仅使用父签名。

C、它将应用程序流量的扫描仅限于基于浏览器的技术类别。

D、它将应用程序流量的扫描仅限于应用程序类别。

答案：C

73.在web模式下使用SSLVPN时,FortiGate如何动作？

A、FortiGate充当FDS服务器。

B、FortiGate充当HTTP反向代理。

C、FortiGate充当DNS服务器。

D、FortiGate充当路由器。

答案：B

74.团队经理决定，虽然团队中的一些成员需要访问某个特定网站，但团队中的

大多数人不知道支持这一请求的最有效方式是哪个配置选项？

A、为指定的网站实现网页过滤器类别覆盖

B、为指定的网站实现DNS过滤器。

C、对指定网站实施网页过滤器配额

D、对指定的网站实施web过滤器身份验证。

答案：D

75.参考展品。其中包含网络图和路由表输出。学生无法访问web服务器。问题

的原因是什么，解决问题的方法是什么？

A、学生发送的第一个数据包没有通过RPF检查。通过wan1添加到10、0、4、0

/24、的静态路由可以解决此问题。

B、学生的第一个回复数据包未通过RPF检查。通过wan1添加到10、0、4、0/2

4、的静态路由可以解决此问题。

C、学生的第一个回复数据包未通过RPF检查。这个问题可以通过向203、0、11

4、24/32、throughport3添加静态路由来解决。

D、学生发送的第一个数据包没有通过RPF检查。这个问题可以通过向203、0、

114、24/32、throughport3添加静态路由来解决。

答案：D

76.参考展品。Root和To_InternetVDOMs配置为NAT模式。DMZ和本地VDOMs

以透明模式配置。根VDOM是管理VD0M。互联网VDOM允许局域网用户访问互联

网。To_lnternetVDOM是唯一可以访问互联网的VDOM,并且直接连接到ISP调制

解调器。在这种配置下，哪种说法是正确的？

A、需要VDOM间链路来允许本地和根vdom之间的流量。

B、在ToJnternetVDOM上需要一条静态路由来允许LAN用户访问Internet。

C、需要VDOM内部的链路来允许本地和DMZVDOMs之间的通信。

D、根和To_lnternetVDOMs之间不需要VDOM间链路，因为根VDOM仅用作管理V

DOMo

答案：A

77.管理员配置了双因素身份验证来加强SSLVPN访问。管理员还可以实施哪项最

佳实践？

A、配置源IP池。

B、在隧道模式下配置分割隧道。

C、配置不同的SSLVPN领域。

D、配置主机检查。

答案：D

78.观看展览。FortiGate背后的一个用户正试图去http:〃、addictinggamesv

（沉迷游戏）。根据这种配置，哪种说法是正确的？

A、上瘾。基于应用程序覆盖配置，游戏是允许的。

B、上瘾。游戏在过滤器覆盖配置中被阻止。

C、上瘾。仅当“过滤器覆盖操作”设置为“豁免”时，才能允许游戏。

D、添加。基于类别配置，游戏是允许的。

答案：A

79.参考展品。它包含会话列表输出。根据图中所示的信息，哪种说法是正确的？

A、防火墙策略中禁用了目标NAT。

B、防火墙策略中使用一对一NATIP池。

C、防火墙策略中使用了过载NATIP池。

D、防火墙策略中使用了port块分配IP池。

答案：B

80.检查图中所示的IPS传感器配置，然后答案以下问题。管理员配置了WINDOW

S_SERVERSIPS传感器，试图确定HTTPS通信量的流入是否是攻击企图。应用IP

S传感器后，FortiGate仍然没有为HTTPS通信量生成任何IPS日志。出现这种

情况的可能原因是什么？

AxIPS过滤器缺少协议:HTTPS选项。

B、HTTPS签名尚未添加到传感器中。

C、应该使用DoS策略，而不是IPS传感器。

D、应该使用DoS策略，而不是IPS传感器。

E、防火墙策略没有使用完整的SSL检查配置文件。

答案：E

81.参考展品。该图显示了防火墙策略、代理策略和代理地址的CLI输出。Fort

iGate如何处理发送到http:〃、fortinets的流量？

A、流量将被重定向到透明代理，这将被代理策略ID3所允许。

B、流量不会被重定向到透明代理，防火墙策略ID1将允许它。

C、流量将被重定向到透明代理，并且将被代理策略ID1允许。

D、流量将被重定向到透明代理，并且将被代理隐式拒绝策略拒绝。

答案：D

82.哪些设备构成了安全结构的核心？

A、两台FortiGate设备和一台FortiManager设备

B、一台FortiGate设备和一台FortiManager设备

C、两台FortiGate设备和一台FortiAnaIyzer设备

D、—个FortiGate设备和—个FortiAnaIyzer设备

答案：C

83.在显式代理设置中，在哪里配置身份验证方法和数据库？

A、代理策略

B、认证规则

C、防火墙策略

D、认证方案

答案：C

84.FortiGate上的哪种日志记录了与直接往来的流量信息

FortiGate管理IP地址？

A、系统事件日志

B、转发流量日志

C、本地流量日志

D、安全日志

答案：C

85.网络管理员在FortiGate上启用了SSL证书检查和防病毒功能。当通过HTTP

下载EICAR测试文件时，FortiGate会检测到病毒并阻止该文件。当通过HTTPS

下载相同的文件时,FortiGate没有检测到病毒，文件可以被下载。FortiGate

检测病毒失败的原因是什么？

A、未启用应用程序控制

B、SSL/SSH检查配置文件不正确

C、防病毒配置文件配置不正确

D、防病毒定义不是最新的

答案：B

86.如果数字证书中的颁发者和主题值相同，该证书颁发给了哪种类型的实体？

A、一个CRL

B、一个人

G从属CA

D、根CA

答案：D

87.参考展品。当用户尝试连接SSLVPN时，该连接会失败。用户应该怎样做才能

成功连接到SSLVPN?

A、更改客户端上的SSLVPNporto

B、更改服务器IP地址。

C、更改空闲超时。

D、将SSLVPN门户更改为隧道。

答案：A

88.请参考图示查看防火墙政策。如果知名病毒没有被阻止，哪种说法是正确的？

A、防火墙策略不应用深度内容检查。

B、必须在基于代理的检查模式下配置防火墙策略。

C、防火墙策略上的操作必须设置为拒绝。

D、应在防火墙策略上启用Web过滤器，以补充防病毒配置文件。

答案：A

89.在IPsec隧道的第2阶段配置中启用自动协商会有什么影响？

A、FortiGate自动与远程对等体协商不同的本地和远程地址。

B、在现有的安全关联过期后，FortiGate会自动协商一个新的安全关联。

C\FortiGate自动与远程对等方协商不同的加密和认证算法。

D\FortiGate自动打开IPsec隧道并保持它，而不管IPsec隧道上的活动。

答案：D

90.请参考web过滤器原始日志。根据图中所示的原始日志，哪种说法是正确的？

A、社交网络web过滤器类别配置为操作设置为验证。

B、对防火墙策略ID1、的操作被设置为警告。

C、所有用户都被明确禁止访问社交网络网页过滤器类别。

D、防火墙策略的名称是all_users_web。

答案：A

91.一个组织的员工需要通过高延迟的互联网连接来连接到办公室。管理员应该

调整哪个SSLVPN设置来防止SSLVPN协商失败？

A、更改会话-ttl。

B、更改登录超时。

C、更改空闲超时。

D\更改udp空闲计时器。

答案：B

92.网络管理员正在FortiGate上配置新的IPsecVPN隧道。远程对等IP地址是

动态的。此外，远程对等不支持动态DNS更新服务。为了使新的IPsecVPN隧道

工作，管理员应该在FortiGate上配置什么类型的远程网关？

A、静态IP地址

B、拨号用户

G动态DNS

D、预共享密钥

答案：B

93.管理员在FortiGate上配置了严格的RPF检查。关于严格的RPF检查，哪项

陈述是正确的？

A、对任何新会话的第一个发送和回复数据包进行严格的RPF检查。

B、严格RPF使用传入接口检查返回源的最佳路由。

C、严格的RPF仅检查at的存在，使用传入接口将一条活动路由转换回源。

D、严格的RPF允许数据包返回到具有所有活动路由的源。

答案：B

94.管理员需要增加网络带宽并提供冗余。

管理员必须选择哪种接口类型来绑定多个FortiGate接口？

A、VLAN接口

B、软件开关接口

C\几余接口

D、聚合界面

答案：D

95.参考展品。检查入侵防御系统（IPS）诊断命令。

如果选项5、与IPS诊断命令一起使用，其结果是CPU使用率下降，哪种说法是

正确的？

A、IPS引擎正在检测高流量。

B、IPS引擎无法阻止入侵攻击。

C、IPS引擎阻塞了所有的交通。

D、IPS引擎将继续以正常状态运行。

答案：A

96.请参考图示，其中包含radius服务器配置。

管理员为新的RADIUS服务器添加了配置。配置时

管理员选择了“包括在每个用户组中”选项。

在RADIUS配置中使用“包括在每个用户组中”选项会有什么影响？

A、该选项将RADIUS服务器以及所有可以针对该服务器进行身份验证的用户放入

每个FortiGate用户组中。

B、该选项将所有需要进行身份验证的FortiGate用户和组放入RADIUS服务器，

在本例中为FortiAuthenticatoro

C、该选项将所有用户放入每个RADIUS用户组，包括用于FortiGate上LDAP服

务器的组。

D、该选项将RADIUS服务器以及可以针对该服务器进行身份验证的所有用户放入

每个RADIUS组中。

答案：A

97.参考展品。根据管理员配置文件设置，管理员必须设置哪些权限才能在Fort

iGate上运行诊断防火墙授权列表CLI命令？

A、网络的自定义权限

B、日志和报告的读/写权限

C、CLI诊断命令权限

D、防火墙的读/写权限

答案：C

98.在基于NGFW策略的模式下，在同一防火墙策略上使用URL列表和应用程序控

制有什么限制？

A、它将应用程序控制的范围仅限于基于浏览器的技术类别。

B、它将应用程序控制的范围限制为仅基于应用程序类别扫描应用程序流量。

C、它将应用程序控制的范围限制为仅使用父签名扫描应用程序流量

D、它将应用程序控制的范围限制为仅扫描DNS协议上的应用程序流量。

答案：A

99.请参考图示，查看应用控制配置文件。基于配置，苹果FaceTime会怎么样？

A、苹果FaceTime将被阻止，基于过度带宽过滤器配置

B、基于Apple过滤器配置，AppleFaceTime将被允许。

C、仅当“应用程序中的过滤器”和“过滤器覆盖”设定为“学习”时，才允许

使用AppIeFaceTime

D\根据类别配置，AppleFaceTime将被允许。

答案：D

100.管理员不想向FortiGate报告服务帐户的登录事件。要实现这一点，收集代

理需要什么设置？

A、添加对NTLM认证的支持。

B、将用户帐户添加到ActiveDirectory(AD)□

G将用户帐户添加到FortiGategroupfittero

D、将用户帐户添加到忽略用户列表。

答案：D

多选题

1.下列关于从CLI备份日志和从GUI下载日志的说法中，哪些是正确的？(选两

个。)

A、从GUI下载的日志仅限于当前的过滤器视图

BvCLI中的日志备份无法恢复到另一个FortiGate。

C、可以将CLI中的日志备份配置为在预定时间上传到FTP

D、从GUI下载的日志存储为LZ4、pressed文件。

答案：AB

2.配置SD-WAN性能SLA时，哪两个协议选项在CLI上可用，但在GUI上不可用?

(选两个。)

A、域名服务器(DomainNameServer)

B、砰

C\udp回声

D、TWAMP

答案：CD

3.关于FortiGateFSSO无代理轮询模式，哪两项陈述是正确的？（选两个。）

A、FortiGate指示收集器代理使用远程LDAP服务器。

B、FortiGate使用AD服务器作为收集器代理。

C、FortiGate使用SMB协议从DCs读取事件查看器日志。

D、FortiGate通过使用LDAP检索用户组信息来查询AD。

答案：CD

4.哪三项安全功能需要入侵防御系统（IPS）引擎才能运行？（选三个。）

A、基于流量的检测中的网络过滤器

B、基于流量的检测中的防病毒

GDNS过滤器

D、Web应用防火墙

E、应用控制

答案：ABE

5.关于收集器代理高级模式，下列哪两项陈述是正确的？（选两个。）

A、高级模式使用Windows约定-NetBios:域、用户名。

B、FortiGate可以配置为LDAP客户端，并且可以在FortiGate上配置组过滤器

C、高级模式支持嵌套组或继承组

D、安全配置文件只能应用于用户组，而不能应用于单个用户。

答案：BC

6.关于FortiGate上的软件交换机，哪两项陈述是正确的？（选两个。）

A、仅当FortiGate在NAT模式下运行时，才能对其进行配置

B、可以充当第二层交换机和第三层路由器

C、软件交换机中的所有接口共享同一个IP地址

D、它只能对物理接口进行分组

答案：AC

7.管理员发现portl、interface无法配置IP地址。出现这种情况的原因是什么？

（选三个。）

A、该接口已配置为单臂嗅探器。

B、该接口是虚拟线路对的成员。

C、操作模式是透明的。

D、该接口是区域的成员。

E、界面中启用了强制网络门户。

答案：ABC

8.以下哪种SD-WAN负载平衡方法使用接口权重值来分配流量？（选两个。）

A、源IP

B、溢出

C、体积

D、会议

答案：CD

9.当FortiGate在分割VD0M模式下设置时，哪两个vdom是创建的默认vdom?（选

两个。）

A、FG-traffiv

B、Mgmt

GFG-Mgmt

Dvroot

答案：AD

10.您可以使用哪两种检查模式在基于配置文件的下一代防火墙（NGFW）上配置防

火墙策略？（选两个。）

A、基于代理的检查

B、证书检查

C、基于流程的检查

D、全部内容检查

答案：AC

11.在整合的防火墙策略中，IPv4、和IPv6、策略合并在一个整合的策略中。而

不是单独的政策。关于整合的IPv4和IPv6策略配置,下列哪三项陈述是正确的？

（选三个。）

A、防火墙策略中源和目标的IP版本必须不同。

B、传入接口。传出接口。调度和服务字段可以与IPv4、和IPv6共享。

C、可以过滤GUI中的策略表，以显示具有IPv4、IPv6或IPv4和IPv6源和目标

的策略。

D、策略中源和目标的IP版本必须匹配。

ExGUI中的策略表将被整合，以显示带有IPv4、和IPv6、源和目标的策略。

答案：BCD

12.管理员已经配置了以下设置:

A、所有接口上的设备检测将持续30分钟

B、被拒绝的用户被阻止30分钟

C、为被拒绝的流量创建会话。

D、被拒绝的流量生成的日志数量减少。

答案：CD

13.收集器代理使用哪三种方法进行广告轮询？（选三个。）

A、FortiGate投票

B、NetAPI

GNovelIAPI

D、WMI

E\WinSecLog

答案：BDE

14.FortiGate设备上的每个VDOM可以单独配置哪两项设置？（选择

两个。）

A、Systemtime

B、ForitGuaidupdateserver

C\Operatingmode

D、NGFW模式

答案：CD

15.参考展品。该图显示了代理策略和代理地址、身份验证规则和身份验证方案、

用户和防火墙地址。使用三个显式web代理策略为子网范围10.0.1.0/24、配置

了一个显式web代理。身份验证规则被配置为对子网范围10、0、1、0/24、的H

TTP请求进行身份验证，并对FortiGate本地用户数据库使用基于表单的身份验

证方案。将提示用户进行身份验证。当HTTP请求来自源IP为10、0、1、10、

的机器，目的地为http:〃、fortinet\时，FortiGate将如何处理流量？（选两

个。）

A、如果MoziIlaFirefox浏览器与User-B凭证一起使用，HTTP请求将被允许。

B、如果GoogleChrome浏览器使用User-B凭证，HTTP请求将被允许。

C、如果MoziIlaFirefox浏览器与用户A凭证一起使用，HTTP请求将被允许。

D、如果MicrosoftInternetExplorer浏览器与User-B凭据一起使用，HTTP请

求将被允许。

答案：BD

16.参考展品。该展示包含网络图、防火墙策略和防火墙地址对象配置。管理员

使用默认设置创建了拒绝策略，以拒绝远程用户2访问web服务器。Remote-us

er2、仍然能够访问web服务器。管理员可以做出哪两项更改来拒绝远程用户2

访问web服务器？（选两个。）

A、在拒绝策略中禁用匹配vip。

B、在允许访问策略中将目标地址设置为Deny_IPo

C、在拒绝策略中启用匹配vip。

D\在拒绝策略中将目标地址设置为Web_servero

答案：CD

17.如果问题不在物理层也不在链路层，您可以使用哪三个CLI命令排除第3层

故障？（选三个。）

A、diagnosesystop

B、executeping

C、executetraceroute

Dvdiagnosesnifferpacketany

E、getsystemarp

答案：BCD

18.关于基于会话的身份验证，下列哪三项陈述是正确的？（选三个。）

A、HTTP会话被视为单个用户。

B、来自同一源IP地址的IP会话被视为单个用户。

C、它可以区分同一源IP地址后面的多个客户端。

D、它需要更多的资源。

E、如果源NAT后有多个用户，则不建议这样做

答案：ACD

19.下列哪项陈述正确描述了FortiGates在搜索合适网关时的路由查找行为？

（选择两项）

A、对来自会话发起者的第一个分组进行查找

B、查找是在响应方发送的最后一个数据包上完成的

C、无论方向如何，对每个数据包都进行查找

D、对来自响应方的信任回复数据包进行查找

答案：AD

20.关于RPF支票，哪两项陈述是正确的？（选两个。）

A、RPF检查在任何新会话的第一个发送的数据包上运行。

B、RPF检查在任何新会话的第一个回复数据包上运行。

C、RPF检查在任何新会话的第一个发送和回复数据包上运行。

D、RPF是一种保护FortiGate和您的网络免受IP欺骗攻击的机制。

答案：AD

21.参考展品。根据原始日志，哪两种说法是正确的？（选两个。）

A、由于防火墙策略中的操作设置为拒绝，通信被阻止。

B、交通属于根VD0M。

C、这是安全日志。

D、FortiGate上的日志严重性设置为错误。

答案：AC

22.web应用程序防火墙（WAF）配置文件可以阻止哪些类型的流量和攻击？（选三

个。）

A、僵尸网络服务器的流量

B、流向不适当网站的流量

C、服务器信息泄露攻击

D、信用卡数据泄露

E、SQL注入袭击

答案：CDE

23.请参考显示调试流输出的图表。关于调试流输出的哪两项陈述是正确的？（选

两个。）

A、调试流是ICMP流量。

B、防火墙策略允许该连接。

C、创建新的业务会话。

D、接收回复需要默认路由。

答案：AC

24.参考展品。给出如图所示的接口。哪两种说法是正确的？（选两个。）

A、默认情况下，允许port2、和port2-vlan1、之间的流量。

B、port1-vlan10\和port2-vlan10、属于同—个广播域。

C、波特1是土生土长的VLAN人。

D、可以将port1-vlan和port2-vlan1分配给同—个VDOM或不同的vdom。

答案：CD

25.网络管理员希望通过使用两条IPsecVPN隧道和静态路由在FortiGate上建立

冗余IPsecVPN隧道。

*当两条隧道都开通时，所有流量必须通过主隧道路由

*只有当主通道关闭时，才能使用辅助通道

*此外，FortiGate应该能够检测死隧道，以加快隧道故障转移速度。要满足设

计要求，需要对FortiGate进行哪两项关键配置更改？（选择两项，）

A、在主通道的静态路由上配置较高的距离，在辅助通道的静态路由上配置较低

的距离。

B、启用失效对等检测。

C、在主通道的静态路由上配置较低的距离，在辅助通道的静态路由上配置较高

的距离。

D、在两个通道的第2阶段配置中启用自动协商和自动密钥保持活动。

答案：BC

26.可以通过哪两种方式禁用RPF检查？（选择两项）

A、在防火墙策略中启用防重播。

B、在FortiGate接口层为来源检查禁用RPF检查

C、启用非对称路由。

D、禁用系统设置下的严格弧检查。

答案：CD

27.IPsec中NAT穿越的目的是什么？（选两个。）

A、检测隧道路径中的中间NAT设备。

B、以动态地改变阶段1、协商模式积极模式。

C、涉及使用port4500在UDP包中封装ESP包。

D、以在每个阶段强制新的DH交换2、rekey

答案：AC

28.启用SSL证书检查时，FortiGate使用哪三项信息来识别SSL服务器的主机

名？（选三个。）

A、服务器证书中的主题字段

B、服务器证书中的序列号

C、客户端问候消息中的服务器名称指示（SNI）扩展

D、服务器证书中的主题备用名称（SAN）字段

E、HTTP头中的主机字段

答案：ACD

29.当FortiGate处于透明模式时，哪两种说法是正确的？（选两个。）

A、默认情况下，所有接口都属于同一个广播域。

B、安装透明模式时，必须更改现有的网络IP模式。

C、需要静态路由来允许流量到达下一跳。

D\FortiGate转发帧而不改变MAC地址。

答案：AD

30.FortiGate被配置为基于策略的下一代防火墙（NGFW）,并直接在安全策略上

应用网页过滤和应用程序控制。您可以将另外哪两个安全配置文件应用于安全策

略？（选两个。）

A、防病毒扫描

B、文件过滤器

GDNS过滤器

D、入侵预防

答案：AD

31.关于SLA目标，哪两项陈述是正确的？（选两个。）

A、每个性能SLA只能配置两个SLA目标。

B、SLA目标是可选的。

C、具有最佳质量策略的SD-WAN规则需要SLA目标。

D、SLA目标仅在被SD-WAN规则引用时使用。

答案：BD

32.证书需要哪两个属性才能在SSL检查中用作CA证书？（选两个。）

A、keyllsage扩展必须设置为keyCertSigno

B、主题字段中的通用名称必须使用通配符名称。

C、颁发者必须是公共CA。

D、CA扩展必须设置为TRUE。

答案：AD

33.检查这个PAC文件配置。以下哪些陈述是正确的？（选两个。）

A、可以配置浏览器从FortiGate中检索这个PAC文件。

B、允许对172、25、120、0/24、子网的任何web请求绕过代理。

C、所有不发往Fortinet、或172、25、120、0/24、子网的请求都必须通过a11

proxyvcorp、:80600

D\fortinetx允许任何web请求绕过代理。

答案：AD

34.参考展品。附录A显示了系统性能输出。图表B显示了一^FortiGate,它

配置了高内存使用阈值的默认配置。根据系统性能输出，哪两种说法是正确的？

（选两个。）

A、管理员只能通过控制台port访问FortiGate。

B\FortiGate已经进入节能模式。

C\FortiGate将开始发送所有文件到FortiSandbox进行检查。

D、管理员不能更改配置。

答案：BD

35.关于FortiGate上的IPsec身份验证，哪两种说法是正确的？（选两个。）

A、对于更强的身份验证，您还可以启用扩展身份验证（XAuth）来请求

远程对等方提供用户名和密码

B、FortiGate支持预共享密钥和签名作为身份验证方法。

C、启用扩展验证会导致更快的身份验证，因为交换的数据包更少。

D、当您将签名设置为身份验证方法时，远程对等方不需要证书。

答案：AB

36.关于基于流量的防病毒配置文件，哪三项陈述是正确的？（选三个。）

A、IPS引擎独立处理该过程。

B、FortiGate缓冲整个文件，但同时传输到客户端。

C、如果检测到病毒，则将最后一个数据包发送到客户端。

D、与基于代理的检查相比，性能得到优化。

E、基于流的检查使用基于代理的检查中可用的混合扫描模式。

答案：BDE

37.关于主动-主动高可用性集群上的固件升级过程，哪些说法是正确的？（选两

个。）

A、固件映像必须手动上传到每个FortiGateo

B、仅重新启动辅助FortiGate设备。

C、默认情况下，不间断升级处于启用状态。

D、升级固件时，流量负载平衡暂时被禁用。

答案：CD

38.请参考FortiGuard连接调试输出。根据图中所示的输出，哪两种说法是正确

的？（选两个。）

A、本地FortiManager是FortiGate与之通信的服务器之一。

B、联系了一台服务器来检索合同信息。

C、至少有一台服务器连续丢失数据包。

D、FortiGate正在使用默认的FortiGuard通信设置。

答案：BD

39.关于安全结构评级，哪两项陈述是正确的？（选两个。）

A、它提供了四个最大的安全重点领域的执行摘要。

B、许多安全问题可以通过单击“应用”立即修复。

C、安全结构评级必须在安全结构中的根FortiGate设备上运行。

D\安全结构评级是一项免费服务，与altFortiGate设备捆绑在一起。

答案：BC

40.哪种说法最恰当地描述了自动发现VPN（ADVPN）。（选两个。）

A、它需要使用动态路由协议，以便辐条可以了解到其他辐条的路由。

B、ADVPN仅支持IKEv2o

C、辐条之间动态协商隧道。

D、每个辐条都需要配置到其他辐条的静态隧道，以便提前定义阶段1和阶段2

提案。

答案：AC

41.关于防火墙策略NAT使用输出接口IP地址并禁用固定port的说法，哪些是

正确的？（选两个。）

A、这就是所谓的多对一NATo

B、源IP被转换为传出接口IP。

C\使用源port和源MAC地址跟踪连接。

D、不使用port地址转换。

答案：CD

42.FortiGate可以使用哪三个标准来寻找匹配的防火墙策略来处理流量？（选

三个。）

A、在防火墙策略中定义为Internet服务的源。

B、在防火墙策略中定义为Internet服务的目标。

C、防火墙策略中定义的从高到低的优先级。

D、防火墙策略中定义的服务。

E、从最低到最高的策略ID号。

答案：ABD

43.参考展品。该图显示了IPS传感器的配置。如果通信量与此IPS传感器匹配，

传感器应该采取哪两项措施？（选两个。）

A、传感器将允许攻击者匹配NTP。伪造的、KoD、DoS签名。

B\传感器将阻止所有针对Windows服务器的攻击。

C、传感器将重置所有与这些签名匹配的连接。

D、传感器将收集所有匹配通信量的数据包日志。

答案：AB

44.参考展品。该图显示了CLI命令的输出：diagnosesyshadump-byvcluster。哪

两种说法是正确的？（选两个。）

A、FortiGateSNFGVMOI0000065036oHA正常运行时间已重置。

B、FortiGate设备不同步，因为一个设备关闭。

C、FortiGateSNFGVMOI0000064692是主要的，因为HA正常运行时间更长。

D、FortiGateSNFGVMOI0000064692s具有较高的HA优先级。

答案：AD

45.参考展品。根据图中所示的路由数据库，哪两种说法是正确的？（选两个。）

A、port3xdefault路由的距离最长。

B\port3vdefault路由的度量最低。

C、路由表中将有八条路由处于活动状态。

DxportK和port2、默认路由在路由表中处于活动状态。

答案：AD

46.您可以在FortiGate上配置哪三个远程日志存储选项？（选三个。）

A、FortiCache

B、FortiSIEM

C、强化分析仪

D\FortiSandbox

E、福蒂克劳德

答案：BCE

47.观看展览。下列哪些陈述是正确的？（选两个。）

A、此设置需要至少两个操作设置为IPsec的防火墙策略。

B、必须禁用失效对等检测来支持这种类型的IPsec设置。

C、TunnelB路由是到达远程站点的主要路由。只有当TunneIBVPN关闭时，才会

使用TunnelA路由。

D、这是一个冗余的IPsec设置。

答案：CD

48.关于FortiGateHA群集虚拟IP地址，哪两项陈述是正确的？（选两个。）

A、心跳接口具有手动分配的虚拟IP地址。

B、当FortiGate设备加入或离开集群时，虚拟IP地址会发生变化。

C、虚拟IP地址用于区分集群成员。

D、集群中的主设备始终分配有IP地址169、254、0、1。

答案：BC

49.考虑拓扑结构：

Windows机器上的应用程序〈-{SSLVPN}-->FGT-->远程登录到Linux服务器。

一名管理员正在调查一个应用程序与

Linux服务器在SSLVPN上通过FortiGate,空闲会话在大约90秒后超时。

分钟。管理员希望增加或禁用此超时。

管理员已经确认该问题不是由应用程序或Linux服务器引起的。当应用程序直接

在LAN上建立到Linux服务器的Telnet连接时，不会发生此问题。管理员可以

进行哪两项更改来解决该问题，而不会影响通过FortiGate运行的服务？（选两

个。）

A、为TELNET服务对象设置最大会话TTL值。

B、将SSLVPN策略上的会话TTL设置为最大值，以便90分钟后不会发生空闲会

话超时。

C、为TELNET创建一个新的服务对象，并设置最大会话TTL。

D、为SSLVPN流量创建一个新的防火墙策略，将其置于现有的SSLVPN策略之上，

并在策略中设置新的TELNET服务对象。

答案：CD

50.参考展品。

网络管理员正在对两台FortiGate设备之间的IPsec隧道进行故障排除。管理员

已确定阶段1、无法启动。管理员还在两台FortiGate设备上重新输入了预共享

密钥，以确保它们匹配。根据图中所示的阶段1、配置和图表，哪两项配置更改

将导致阶段1、up?（选两个。）

A、在HQ-FortiGate上，将IKE模式设置为Main（ID保护）。

B、在两台FortiGate设备上，将失效对等体检测设置为按需。

C、在HQ-FortiGate上，禁用Diffie-HeIman组2。

D\在Remote-FortiGate上，设置port2、as接口。

答案：AD

51.关于两台FortiGate设备之间的SSLVPN,哪两种说法是正确的？（选两个。）

A、客户端FortiGate需要一^由服务器FortiGate上的CA签名的客户端证书。

B、客户端FortiGate需要手动添加到远程子网的路由。

C、客户端FortiGate使用SSLVPN隧道接口类型来连接SSLVPN。

D、服务器FortiGate需要CA证书来验证客户端FortiGate证书。

答案：CD

52.FortiGate上有哪三种身份验证超时类型可供选择？

（选三个。）

A、硬超时

B、按需授权

C、软超时

D、新会话

E、空闲超时

答案：ADE

53.FortiGuard类别可以在不同的类别中被覆盖和定义。要为example、主页创

建web评级覆盖，必须使用特定语法配置覆盖。哪两种语法是为主页配置网页分

级的正确