考题篇(6.2) 06 ❀ FortiManager ❀ Fortinet 网络安全专家 NSE 5

Posted 2021-06-05 meigang2012

 An administrator wants to delete an address object that is currently referenced in a firewall policy. 〖管理员需要删除防火墙策略中当前引用的地址对象。〗

　　Which one of the following statements is true?  〖下列哪个陈述是正确的?〗

　　A. FortiManager will not allow the administrator to delete a referenced address object 〖FortiManager不允许管理员删除被引用的地址对象〗

　　B. FortiManager will disable the status of the referenced firewall policy 〖FortiManager将禁用所引用的防火墙策略的状态〗

　　C. FortiManager will replace the deleted address object with the none address object in the referenced firewall policy 〖FortiManager将用引用的防火墙策略中的none地址对象替换已删除的地址对象〗

　　D. FortiManager will replace the deleted address object with all address object in the referenced firewall policy 〖FortiManager将用引用的防火墙策略中的所有地址对象替换已删除的地址对象〗

　　【分析】

　　如果你删除一个已使用的对象，FortiManager将用一个none对象替换它。none对象等于null，这意味着任何符合该防火墙策略的流量都将被阻塞。

　　【答案】C

 

 What configuration setting for FortiGate is part of a device-level database on FortiManager?  〖FortiGate的哪些配置设置是FortiManager上的设备级数据库的一部分?〗

　　A. VIP and IP Pools  〖VIP和IP池〗

　　B. Firewall policies  〖防火墙策略〗

　　C. Security profiles  〖安全配置文件〗

　　D. Routing  〖路由〗

　　【分析】

　　设备级数据库包括与设备级设置相关的配置细节，如接口、DNS、路由等。adom级数据库包括与防火墙策略、对象和安全配置文件相关的配置细节。

　　【答案】D

 

 View the following exhibit. Which statement is true regarding this failed installation log?  〖查看下列图片，关于这个失败的安装日志，哪句话是正确的?〗

　　A. Policy ID 2 is installed without a source address  〖2号策略安装时没有源地址〗

　　B. Policy ID 2 will not be installed  〖不会安装2号策略〗

　　C. Policy ID 2 is installed in disabled state  〖2号策略处于禁用状态〗

　　D. Policy ID 2 is installed without a source device 〖2号策略安装时没有源设备〗

　　【分析】

　　 面创建的策略将被创建并显示在“IPv4策略”部分(因此它被启用)，但是没有一个设备被列为源设备。

　　【答案】D

 

 What does the diagnose cdb check policy-assignment command do? 〖diagnose cdb check policy-assignment命令是做什么的?〗

　　A. Fixes incorrect ADOM-level object references based on the firewall policies.  〖修复基于防火墙策略的不正确的ADOM级对象引用。〗

　　B. Internally upgrades existing ADOMs to the same ADOM version in order to clean up and correct the ADOM syntax.  〖在内部将现有ADOM升级为相同的ADOM版本，以清理和纠正ADOM语法。〗

　　C. Verifies and checks dynamic mappings, and removes invalid dynamic mappings.  〖验证和检查动态映射，并删除无效的动态映射。〗

　　D. Verifies and corrects global ADOM policy package assignments that have been disassociated from an ADOM.  〖验证并纠正已与ADOM解除关联的全局ADOM策略包分配。〗

　　【分析】

　　检查全局策略分配表。可选地，在运行检查之前预览它。(5.4）

　　【答案】D

 

 Which two statements about Security Fabric integration with FortiManager are true? (Choose two.) 〖关于与FortiManager集成的安全结构，哪些声明是正确的?(选择两个)〗

　　A. The Security Fabric license, group name and password are required for the FortiManager Security Fabric integration  〖FortiManager安全结构集成需要安全结构许可证、组名和密码〗

　　B. The Fabric View module enables you to generate the Security Fabric ratings for Security Fabric devices  〖通过Fabric View模块，你可以生成安全结构设备的安全结构评级〗

　　C. The Security Fabric settings are part of the device level settings  〖安全结构设置是设备级别设置的一部分〗

　　D. The Fabric View module enables you to view the Security Fabric ratings for Security Fabric devices 〖通过Fabric View模块，你可以查看安全结构设备的安全结构等级〗

　　【分析】

　　FortiManager可以识别设备的安全结构组，并在设备管理器窗格中显示该组中的所有设备。可以像管理单个设备一样管理安全结构组中的设备。你可以在FortiManager上查看你的网络拓扑。拓扑中的任何更改都会自动更新到FortiManager上。你还可以通过结构视图和安全评级来查看安全结构数据。

　　【答案】C D

 

 An administrator would like to review, approve, or reject all the firewall policy changes made by the junior administrators.  〖管理员希望审查、批准或拒绝初级管理员所做的所有防火墙策略更改。〗

　　How should the Workspace mode be configured on FortiManager? 〖如何在FortiManager上配置工作区模式?〗

　　A. Set to workflow and use the ADOM locking feature  〖设置为工作流并使用ADOM锁定特性〗

　　B. Set to read/write and use the policy locking feature  〖设置为读/写，并使用策略锁定特性〗

　　C. Set to normal and use the policy locking feature  〖设置为正常并使用策略锁定特性〗

　　D. Set to disable and use the policy locking feature  〖设置为禁用并使用策略锁定特性〗

　　【分析】

　　提交工作流请求后，具有适当权限的管理员可以批准或拒绝待处理的请求。 

　　【答案】A

 

 Which two statements are correct regarding the import all Objects?setting h the import policy wizard? (Choose two) 〖关于导入所有对象，哪两个语句是正确的?设置导入策略向导?(选择两个)〗

　　A. All used and unused objects will be imported into the ADOM object database.  〖所有使用和未使用的对象将被导入到ADOM对象数据库中。〗

　　B. Only used objects will be imported into the ADOM object database.  〖只有使用过的对象才会被导入到ADOM对象数据库中。〗

　　C. FortiManager allows only policy dependent objects to be imported into an ADOM object database.  〖FortiManager只允许将依赖策略的对象导入到ADOM对象数据库中。〗

　　D. Any unused object on the FortiGate device will be deleted with the first policy install from FortiManager. 〖从FortiManager安装第一个策略时，将删除FortiGate设备上任何未使用的对象。〗

　　【分析】

　　也可以选择是导入所有已配置的对象，还是只导入当前防火墙策略引用的对象。无论你选择只导入依赖于策略的对象还是导入所有对象，系统都将在下一次安装中删除未绑定到FortiGate本地策略的孤立(未使用)对象。但是，如果选择导入所有对象，那么系统将导入FortiManager ADOM对象数据库中所有已使用和未使用的对象，以后可以通过引用FortiManager上的策略并将它们安装到被管理设备上来使用它们。 

　　【答案】A D

 

 Refer to the exhibit. Review the Download Import Report. 〖参考下列图征，查看下载导入报告。〗

　　Why is it failing to import firewall policy ID 2? 〖为什么导入防火墙策2号策略失败?〗

　　A. Policy ID 2 does not have ADOM Interface mapping configured on FortiManager.  〖2号策略没有在FortiManager上配置ADOM接口映射。〗

　　B. Policy ID 2 for this managed FortiGate already exists on FortiManager in policy package named Remote-FortiGate.  〖这个被管理FortiGate的2号策略已经存在于FortiManager上名为Remote-FortiGate的策略包中。〗

　　C. The address object used in policy ID 2 already exists in the ADOM database with any as the interface association, and conflicts with the address object interface association locally on FortiGate.  〖2号策略中使用的地址对象已经存在于ADOM数据库中，其中any作为接口关联，并且与FortiGate上本地的地址对象接口关联冲突。〗

　　D. Policy ID 2 is configured from the interface any to port6. FortiManager rejects to import this policy because the any interface does not exist on FortiManager. 〖从任意接口到端口6配置2号策略。FortiManager拒绝导入此策略，因为FortiManager上不存在any接口。〗

　　【分析】

 

　　【答案】C

 

 In addition to the default ADOMs, an administrator has created a new ADOM named Training for FortiGate devices.〖除了默认的ADOM，管理员还为FortiGate设备创建了一个名为Training的新ADOM。〗

　　The administrator sent a device registration to FortiManager from a remote FortiGate. Which one of the following statements is true? 〖管理员从远程FortiGate发送设备注册到FortiManager。下列哪个陈述是正确的?〗

　　A. The FortiGate will be added automatically to the default ADOM named FortiGate.  〖FortiGate将自动添加到名为FortiGate的默认ADOM中。〗

　　B. The FortiGate will be automatically added to the Training ADOM.  〖FortiGate会自动添加到Training ADOM中。〗

　　C. By default, the unregistered FortiGate will appear in the root ADOM.  〖默认情况下，未注册的FortiGate将出现在根ADOM中。〗

　　D. The FortiManager administrator must add the unregistered device manually to the unregistered device manually to the Training ADOM using the Add Device wizard. 〖FortiManager管理员必须通过添加设备向导将未注册的设备手动添加到Training ADOM中。〗

　　【分析】

 　　如果启用了ADOM，设备将出现在根ADOM中，即FortiManager的管理ADOM。

　　【答案】C

 

 Refer to the exhibit. An administrator has created a firewall address object which is used in multiple policy packages for multiple FortiGate devices in an ADOM.  〖查看下列图片，管理员创建了一个防火墙地址对象，该对象用于ADOM中的多个FortiGate设备的多个策略包中。〗

　　When the installation operation is performed, which IP/Netmask will be installed on managed devices for this firewall address object? 〖在执行安装操作时，该防火墙地址对象将在被管理设备上安装哪个IP/Netmask ?〗

　　A. 192.168.0.1/24 on Remote-FortiGate 〖在Remote-FortiGate的192.168.0.1/24〗

　　B. 10.200.1.0/24 on Remote-FortiGate 〖在Remote-FortiGate的10.200.1.0/24〗

　　C. If no dynamic mapping is defined for other FortiGate devices, the object will not be installed 〖如果没有为其他FortiGate设备定义动态映射，则不会安装该对象〗

　　D. The FortiManager administrator can choose the value for the firewall address object in the Install Wizard for Remote-FortiGate 〖FortiManager管理员可以在Remote-FortiGate安装向导中选择防火墙地址对象的值〗

　　【分析】

　　你可以使用动态对象将单个逻辑对象映射到每个设备的唯一定义。可以动态映射地址、接口、虚拟IP、IP池等常用特性。一个常见的例子是防火墙地址。地址对象可能有一个通用名称，但根据安装它的设备有不同的值。 

　　【答案】B