考题篇(6.2) 03 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5
Posted meigang2012
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了考题篇(6.2) 03 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5相关的知识,希望对你有一定的参考价值。
View the following exhibit: 〖查看下列图片〗
Which of the following statements are true if the scripts is executed using Remote FortiGate Directly (via CLI) option? (Choose two.) 〖如果脚本使用远程FortiGate直接(通过CLI)选项执行,下面哪个语句是正确的?(选择两个)〗
A. You must install these changes using Install Wizard. 〖必须使用安装向导安装这些更改。〗
B. FortiGate will auto-update the FortiManager's device-level database. 〖FortiGate将自动更新FortiManager的设备级数据库。〗
C. FortiManager will create a new revision history. 〖FortiManager将创建一个新的修订历史。〗
D. FortiManager provides a preview of CLI commands before executing this script on a managed FortiGate. 〖在被管理FortiGate上执行此脚本之前,FortiManager提供了CLI命令的预览。〗
【分析】
Remote FortiGate Directly(通过CLI):脚本可以直接在设备上执行,不需要使用安装向导安装更改。由于更改直接安装在被管理设备上,因此在执行配置更改之前,不提供通过FortiManager验证和检查配置更改的选项。
【答案】B D
What is the purpose of the Policy Check feature on FortiManager? 〖FortiManager上的Policy Check特性的目的是什么?〗
A. To find and provide recommendation to combine multiple separate policy packages into one common policy package 〖查找并提供将多个单独的策略包合并为一个公共策略包的建议〗
B. To find and merge duplicate policies in the policy package 〖查找并合并策略包中的重复策略〗
C. To find and provide recommendation for optimizing policies in a policy package 〖寻找并提供优化一揽子政策的建议〗
D. To find and delete disabled firewall policies in the policy package 〖查找并删除策略包中禁用的防火墙策略〗
【分析】
策略检查只提供可以进行哪些改进的建议,它不执行任何更改。
策略检查检查:
● 复制,两个对象具有相同的定义
● 阴影,一个物体完全遮蔽另一个相同类型的物体
● 重叠,一个对象部分重叠另一个相同类型的对象
● 孤立,定义了一个对象,但没有在任何地方使用过
【答案】B
You are moving managed FortiGate devices from one ADOM to a new ADOM. 〖你正在将被管理FortiGate设备从一个ADOM移动到一个新的ADOM。〗
Which statement correctly describes the expected result? 〖哪句话正确地描述了预期的结果?〗
A. Any pending device settings will be installed automatically 〖任何挂起的设备设置将自动安装〗
B. Any unused objects from a previous ADOM are moved to the new ADOM automatically 〖以前的ADOM中任何未使用的对象都会自动移动到新的ADOM中〗
C. The shared policy package will not be moved to the new ADOM 〖共享策略包不会移动到新的ADOM中〗
D. Policy packages will be imported into the new ADOM automatically 〖策略包将自动导入到新的ADOM中〗
【分析】
当你将设备从一个ADOM移动到另一个ADOM时,共享策略包和对象不会移动到新的ADOM。你需要从被管理设备导入策略包。
【答案】C
Refer to the exhibit. An administrator has configured the command shown in the exhibit on FortiManager. A configuration change has been installed from FortiManager to the managed FortiGate that causes the FGFM tunnel to go down for more than 15 minutes. 〖查看下列图片,管理员已经在FortiManager上配置了演示文件中显示的命令。从FortiManager到被管理FortiGate的配置变更导致FGFM隧道宕机超过15分钟。〗
What is the purpose of this command? 〖这个命令的目的是什么?〗
A. It allows FortiGate to unset central management settings. 〖它允许FortiGate取消中央管理设置。〗
B. It allows FortiGate to reboot and recover the previous configuration from its configuration file. 〖它允许FortiGate重新启动并从其配置文件恢复以前的配置。〗
C. It allows the FortiManager to revert and install a previous configuration revision on the managed FortiGate. 〖它允许FortiManager在被管理FortiGate上恢复和安装以前的配置修订。〗
D. It allows FortiGate to reboot and restore a previously working firmware image. 〖它允许FortiGate重新启动并恢复以前工作的固件映像。〗
【分析】
如果重新建立连接失败。FortiGate在15分钟后应用unset命令(不可配置且不基于sock超时值)。如果连接仍然断开,并且在FortiManager上启用了允许回滚重新启动,那么FortiGate将重新启动以从其配置文件恢复以前的配置。
【答案】B
The service access settings for a FortiManager network interface relate to which product feature? 〖FortiManager网络接口的服务访问设置与哪个产品特性相关?〗
A. Device Manger
B. Policy & Objects
C. FortiGuard
D. FortiView
【分析】
通过服务访问功能,可以在此界面上启用FortiManager响应被管理设备对FortiGuard服务的请求。这包括FortiGate更新和网络过滤。缺省情况下,对被管理设备的所有服务在端口1上是开启的,其他端口是关闭的。
【答案】C
An administrator with the Super_User profile is unable to log in to FortiManager because of an authentication failure message. 〖由于身份验证失败消息,具有Super_User配置文件的管理员无法登录到FortiManager。〗
Which troubleshooting step should you take to resolve the issue? 〖你应该采取哪个故障排除步骤来解决这个问题?〗
A. Make sure the administrator IP address is part of the trusted hosts 〖确保管理员IP地址是受信任主机的一部分〗
B. Make sure ADOMs are enabled and the administrator has access to the Global ADOM 〖确保ADOM是启用的,并且管理员可以访问全局ADOM〗
C. Make sure FortiManager Access is enabled in the administrator profile 〖确保管理员配置文件中启用了FortiManager Access〗
D. Make sure Offline Mode is disabled 〖确保离线模式已禁用〗
【分析】
除了通过管理员配置文件控制管理访问之外,还可以通过为每个管理用户设置可信主机来进一步控制访问。这受限管理员只能从特定的IP地址或子网登录。如果只定义一个可信主机IP地址,甚至可以将管理员限制为单个IP地址。
【答案】A
Which two statements are correct regarding FortiGate-FortiManager (FGFM) management protocol? (Choose two) 〖关于FortiGate-FortiManager (FGFM)管理协议,哪两条语句是正确的?(选择两个)〗
A. A secure communication is established between FortiManager and the managed device on port TCP 541. 〖FortiManager和被管理设备之间在TCP 541端口上建立安全通信。〗
B. A secure communication is established between FortiManager and the managed device on port TCP 514. 〖FortiManager和被管理设备之间在TCP 514端口上建立安全通信。〗
C. The FGFM daemons run on both FortiGate (fgfmd) and FortiManager (fgfmsd). 〖FGFM守护进程同时运行在FortiGate (fgfmd)和FortiManager (fgfmsd)上。〗
D. Once the FortiGate is managed, the FGFM tunnel is authenticated and established using the IP address of FortiGate device. 〖管理FortiGate后,使用FortiGate设备的IP地址验证并建立FGFM隧道。〗
【分析】
管理协议FGFM运行在FortiGate (fafmd)和FortiManager (fafmsd)上。FortiManager和FortiGate在TCP 541端口上创建安全隧道。
【答案】A C
Which of the following statements are true regarding SD-WAN Central Management? (Choose three.) 〖关于SD-WAN中央管理,下列哪项陈述是正确的?(选择三个)〗
A. SD-WAN must be enabled on per-ADOM basis 〖SD-WAN必须在每个ADOM的基础上启用〗
B. SD-WAN settings can be installed on multiple FortiGate devices at the same time 〖SD-WAN设置可以同时安装在多个FortiGate设备上〗
C. You can create multiple SD-WAN interfaces per VDOM 〖你可以为每个VDOM创建多个SD-WAN接口〗
D. When you configure an SD-WAN, you must specify at least two member interfaces. 〖配置SD-WAN时,必须至少指定两个成员接口。〗
E. The first step in creating an SD-WAN using FortiManager is to create two SD-WAN firewall policies. 〖使用FortiManager创建SD-WAN的第一步是创建两个SD-WAN防火墙策略。〗
【分析】
配置SD-WAN时,必须至少指定两个成员接口及其关联网关。
每个VDOM只能有一个SD-WAN接口。
使用FortiManager创建SD-WAN的第一步是在ADOM中启用SD-WAN中央管理。
【答案】A B D
Which ports are commonly used by FortiManager? (Choose two.) 〖哪些端口是FortiManager常用的?(选择两个)〗
A. TCP 541 for remote management of a FortiGate unit. 〖用于远程管理FortiGate单元的TCP 541。〗
B. TCP 5199 HA heartbeat or synchronization (FortiManager HA cluster). 〖TCP 5199 HA心跳或同步(FortiManager HA集群)。〗
C. TCP 703 HA heartbeat or synchronization (FortiManager HA cluster). 〖TCP 703 HA心跳或同步(FortiManager HA集群)。〗
D. TCP 514 for remote management of a FortiGate unit. 〖用于远程管理FortiGate单元的TCP 514。〗
【分析】
HA心跳报文使用TCP端口5199。在TCP端口5199上运行嗅探器,确保集群成员能够收发HA心跳报文。
【答案】A B
Which of the following conditions trigger FortiManager to create a new revision history? (Choose two.) 〖下列哪个条件触发FortiManager创建新的修订历史记录?(选择两个)〗
A. When configuration revision is reverted to previous revision in the revision history 〖当配置修订被恢复到修订历史中的先前修订时〗
B. When FortiManager installs device-level changes to a managed device 〖当FortiManager安装设备级时,将更改被管理设备〗
C. When FortiManager is auto-updated with configuration changes made directly on a managed device 〖当FortiManager被自动更新时,直接在被管理的设备上进行配置更改〗
D. When changes to device-level database is made on FortiManager 〖在FortiManager上对设备级数据库进行更改时〗
【分析】
如果更改是从FortiManager到被管理设备,那么在执行安装时,它会将校验和与FortiManager数据库的最新修订历史进行比较,并创建一个新的修订历史。
当安装新配置时,FortiManager将在设备上运行的最新修订历史与在FortiManager上所做的更改进行比较。然后,FortiManager在修订历史中创建一个新的修订,并将这些更改安装到管理设备上。
【答案】B C
以上是关于考题篇(6.2) 03 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5的主要内容,如果未能解决你的问题,请参考以下文章
考题篇(6.2) 03 ❀ 企业防火墙 ❀ Fortinet 网络安全架构师 NSE7
考题篇(6.2) 06 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5
考题篇(6.2) 02 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5
考题篇(6.2) 01 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5