Diese Seite wurde exportiert von Exams Labs Braindumps [ http://blog.examslabs.com ] Exportdatum:Mon Dec 23 13:28:39 2024 / +0000 GMT ___________________________________________________ Titel: [Q12-Q30] Verified NSE7_EFW-7.2 dumps Q&As - Pass-Garantie oder volle Rückerstattung [Aug-2024] --------------------------------------------------- Verified NSE7_EFW-7.2 dumps Q&As - Pass-Garantie oder volle Rückerstattung [Aug-2024] NSE7_EFW-7.2 PDF Dumps | Aug 03, 2024 Kürzlich aktualisierte Fragen NO.12 Abbildung: Die Abbildung zeigt die partielle ADVPN-Konfiguration einer Speiche. Welche beiden Parameter müssen Sie auf dem entsprechenden einzelnen Hub konfigurieren? (Wählen Sie zwei.) Setzen Sie auto-discovery-sender enable ike-Version einstellen 2 Setzen Sie auto-discovery-forwarder enable Auto-Discovery-Empfänger einschalten Für die gezeigte ADVPN-Spoke-Konfiguration muss der entsprechende Hub auto-discovery-senderenabled haben, um Shortcut Advertisement-Nachrichten an die Spokes zu senden. Außerdem muss der Hub auto-discovery-forwarderenabled haben, wenn er diese Shortcut-Ankündigungen an andere Speichen weiterleiten soll. Dies ermöglicht es dem Hub, alle Speichen über den besten Pfad zu informieren, um sich gegenseitig zu erreichen. Theike-version muss auf dem Hub nicht neu konfiguriert werden, wenn es bereits auf Version 2 eingestellt ist, und auto-discovery-receiver ist auf dem Hub nicht notwendig, da er die Advertisements sendet und nicht empfängt.Referenzen:* FortiOS Handbook - ADVPNNO.13 Nachdem Sie IPS aktiviert haben, erhalten Sie eine Rückmeldung, dass Datenverkehr verworfen wurde.Was könnte der Grund sein? Np-accel-mode ist auf enable gesetzt Traffic-submit ist auf deaktiviert gesetzt IPS ist für die Überwachung konfiguriert Fail-open ist deaktiviert Fail-open ist eine Funktion, die es dem Datenverkehr erlaubt, den IPS-Sensor ohne Prüfung zu passieren, wenn der Sensor ausfällt oder überlastet ist. Wenn Fail-Open deaktiviert ist, wird der Datenverkehr in solchen Szenarien verworfen1. Referenz: = IPS | FortiGate / FortiOS 7.2.3 - Fortinet DokumentationNO.14 Sie möchten die Zuverlässigkeit eines verlustbehafteten IPSec-Tunnels verbessern. Welche Kombination von IPSec-Phase-1-Parametern sollten Sie konfigurieren? fec-ingress und fec-egress Odpd und dpd-retryinterval fragmentation und fragmentation-mtu keepalive und keylive Zur Verbesserung der Zuverlässigkeit über einen verlustbehafteten IPSec-Tunnel sollten die Parameter fragmentation und fragmentation-mtu konfiguriert werden. In Szenarien, in denen es Probleme mit der Paketgröße oder einem unzuverlässigen Netzwerk geben könnte, ermöglicht die Einstellung der IPsec-Phase 1, die Fragmentierung zuzulassen, die Zerlegung großer Pakete und verhindert, dass diese aufgrund ihrer Größe oder schlechter Netzwerkqualität verworfen werden. Der Parameter fragmentation-mtu gibt die Größe der Fragmente an. Dies entspricht den Empfehlungen von Fortinet für die Handhabung von IPsec-VPN über Netzwerke mit potenziellen Paketverlusten oder Größenbeschränkungen.NO.15 Abbildung: Schauen Sie sich die Abbildung an, die ein Szenario mit aktiv-aktivem Tad-Balancing enthält.Während des Verkehrsflusses leitet das primäre FortiGate das SYN-Paket an das sekundäre FortiGate weiter.Wie lautet die Ziel-MAC-Adresse oder -Adressen, wenn Pakete vom primären FortiGate an das sekundäre FortiGate weitergeleitet werden? Sekundärer physischer MAC-Anschluss1 Sekundärer virtueller MAC-Anschluss1 Sekundärer virtueller MAC-Anschluss1 dann physischer MAC-Anschluss1 Sekundärer physikalischer MAC-Port2 dann virtueller MAC-Port2 Die Ziel-MAC-Adresse bei der Weiterleitung von Paketen vom primären FortiGate an das sekundäre FortiGate ist der sekundäre virtuelle MAC-Port1. Dies liegt daran, dass das primäre FortiGate die virtuelle MAC-Adresse des sekundären FortiGate als Ziel-MAC-Adresse für das SYN-Paket verwendet. Die virtuelle MAC-Adresse wird von der HA-Gruppen-ID und der Schnittstellen-ID abgeleitet und ist für jedes HA-Cluster-Mitglied und jede Schnittstelle eindeutig. Die virtuelle MAC-Adresse ermöglicht es dem sekundären FortiGate, das SYN-Paket ohne ARP-Auflösung zu empfangen. Referenz: Weitere Informationen über den aktiven Lastausgleich und die virtuelle MAC-Adresse finden Sie in den folgenden Fortinet Enterprise Firewall 7.2-Dokumenten:Virtueller Server-LastausgleichNP-Sitzungs-Offloading in HA-Aktiv-KonfigurationTechnischer Tipp: Aktivieren des TCP-Lastausgleichs in HA mit aktivem ModusNO.16 Sehen Sie sich die Abbildung an, die ein Netzwerkdiagramm zeigt.Welche IPsec-Phase-2-Konfiguration sollten Sie vornehmen, damit immer nur ein entfernter Standort verbunden ist? Setzen Sie route-overlap auf allow. Setzen Sie single-source auf enable Setzen Sie route-overlap entweder auf use-new oder use-old net-device auf enable setzen Um sicherzustellen, dass in einem IPsec-VPN-Szenario zu jedem Zeitpunkt nur eine Gegenstelle verbunden ist, sollten Sie route-overlap mit der Option use-new oder use-old verwenden. Diese Einstellung legt fest, welche Routen bevorzugt werden und wie Überschneidungen von Routen gehandhabt werden, so dass eine Verbindung Vorrang vor der anderen hat (C).Referenzen:* FortiOS-Handbuch - IPsec VPNNO.17 Welche zwei Aussagen über Metadaten-Variablen sind richtig? (Wählen Sie zwei.) Sie erstellen sie auf der FortiGate Sie gelten nur für Nicht-Firewall-Objekte. Das Metadatenformat ist $. Sie können als Variablen in Skripten verwendet werden. Diese Variablen können in verschiedenen Konfigurationen und Skripten verwendet werden, um die Variable während der Verarbeitung dynamisch durch ihren aktuellen Wert zu ersetzen. A: Sie erstellen Metadaten-Variablen auf FortiGate. Sie werden verwendet, um Metadaten für FortiGate-Funktionen zu speichern und können in verschiedenen Konfigurationen aufgerufen werden. D: Sie können als Variablen in Skripten verwendet werden. Metadaten-Variablen werden innerhalb der Skripte verwendet, um dynamisch Werte je nach Kontext einzufügen, wenn das Skript ausgeführt wird.Fortinet FortiOS Handbook: CLI-ReferenzNO.18 Sie haben ein Adressobjekt auf dem Tool fortiGate in einer Security Fabric konturiert. Dieses Objekt wird nicht mit einem nachgeschalteten Gerät synchronisiert. Welche beiden Gründe könnten die Ursache sein? (Wählen Sie zwei) Das Adressobjekt auf dem Tool FortiGate hat fabric-object auf disable gesetzt Auf dem Root-FortiGate ist configuration-sync auf enable gesetzt. Auf dem nachgeschalteten FortiGate ist fabric-object-unification auf local gesetzt Bei dem nachgelagerten FortiGate ist configuration-sync auf local eingestellt. Option A ist richtig, da das Adressobjekt auf dem Tool FortiGate nicht mit den nachgeschalteten Geräten synchronisiert wird, wenn fabric-object auf disable gesetzt ist. Diese Option steuert, ob das Adressobjekt mit anderen FortiGate-Geräten in der Security Fabric geteilt wird oder nicht.1 Option C ist richtig, da das nachgeschaltete FortiGate das Adressobjekt nicht vom Tool FortiGate erhält, wenn fabric-object-unification auf local gesetzt ist. Diese Option steuert, ob das nachgelagerte FortiGate die Adressobjekte vom Root-FortiGate oder seine eigenen lokalen Adressobjekte verwendet2.Option B ist falsch, weil das Root-FortiGate die Konfigurationssynchronisation standardmäßig aktiviert hat, was bedeutet, dass es die Adressobjekte mit den nachgelagerten Geräten synchronisiert, sofern sie nicht durch die Option fabric-object deaktiviert sind3.Option D ist falsch, da das nachgeschaltete FortiGate standardmäßig auf "local" eingestellt ist, was bedeutet, dass es die Adressobjekte vom Root-FortiGate empfängt, sofern sie nicht durch die Option "fabric-object-unification" außer Kraft gesetzt werden4. Referenz: =1: Gruppenadressobjekte, die von FortiManager synchronisiert werden52: Security Fabric-Adressobjektvereinheitlichung63: Konfigurations-Synchronisierung74: Konfigurationssynchronisierung75: Security Fabric - Fortinet DocumentationNO.19 In der Abbildung ist ein Fehler in der Konfiguration von system fortiguard zu sehen.Was ist der Grund dafür, dass Sie in config system fortiguard das Protokoll nicht auf udp setzen können? FortiManager bietet FortiGuard. fortiguard-anycast ist auf enable gesetzt. Sie verfügen nicht über den entsprechenden Schreibzugriff. udp ist keine Protokolloption. Der Grund für das Scheitern des Befehls, wenn Sie versuchen, das Protokoll inconfig system fortiguard auf UDP zu setzen, ist wahrscheinlich, dass UDP in diesem Kontext keine Protokolloption ist. Die Befehlssyntax könnte falsch sein oder die Option zum Festlegen eines Protokolls für FortiGuard-Updates ist in dieser Form nicht vorhanden.Die richtige Antwort ist also D. udp ist keine Protokolloption.NO.20 Abbildung.Sehen Sie sich die Abbildung an, die die partielle ADVPN-Konfiguration einer Speiche enthält.Welche beiden Parameter müssen Sie auf dem entsprechenden einzelnen Hub konfigurieren? (Wählen Sie zwei.) Setzen Sie auto-discovery-sender enable ike-Version einstellen 2 Setzen Sie auto-discovery-forwarder enable Setzen Sie auto-discovery-receiver enable Der Hub muss so konfiguriert sein, dass er Auto-Discovery-Nachrichten sendet (A) und empfängt (D), um ADVPN-Verknüpfungen mit Speichen herzustellen. Referenz: = ADVPN | FortiManager 7.2.0 - Fortinet-DokumentationNO.21 Welche zwei Aussagen über die Security Fabric sind richtig? (Wählen Sie zwei.) FortiGate verwendet das FortiTelemetry-Protokoll zur Kommunikation mit FortiAnatyzer. Nur das Root-FortiGate sendet Protokolle an FortiAnalyzer. Nur FortiGate-Geräte mit configuration-sync empfangen und synchronisieren globale CMDB-Objekte, die das Root-FortiGate sendet. Nur das Root FortiGate sammelt Netzwerktopologie-Informationen und leitet sie an FortiAnalyzer weiter FortiGate verwendet das FortiTelemetry-Protokoll zur Kommunikation mit FortiAnalyzer und anderen Security Fabric-Geräten, um Informationen wie Gerätestatus, Netzwerktopologie und Sicherheitsereignisse auszutauschen1. Nur das Root FortiGate sammelt Informationen zur Netzwerktopologie und leitet sie an FortiAnalyzer weiter, wo sie angezeigt und analysiert werden können2. Referenz: = Security Fabric - Fortinet-Dokumentation, Fortinet Security Fabric for Securing Digital InnovationsNO.22 ExponatBeziehen Sie sich auf das Exponat, das ein Aktiv-Aktiv-Toad-Balancing-Szenario enthält.Während des Verkehrsflusses leitet das primäre FortiGate das SYN-Paket an das sekundäre FortiGate weiter.Wie lautet die Ziel-MAC-Adresse oder -Adressen, wenn Pakete vom primären FortiGate an das sekundäre FortiGate weitergeleitet werden? Sekundärer physischer MAC-Anschluss1 Sekundärer virtueller MAC-Anschluss1 Sekundärer virtueller MAC-Anschluss1 dann physischer MAC-Anschluss1 Sekundärer physischer MAC-Port2, dann virtueller MAC-Port2 Wenn das primäre FortiGate in einem Szenario mit aktivem Lastausgleich das SYN-Paket an das sekundäre FortiGate weiterleitet, wäre die Ziel-MAC-Adresse die physische MAC des sekundären FortiGate an Port 1, da das Paket über das Netzwerk gesendet wird und die physische MAC für Layer-2-Übertragungen verwendet wird.NO.23 Sehen Sie sich die Abbildung an, die eine Teilkonfiguration des globalen Systems enthält. Was können Sie aus dieser Ausgabe schließen? NPs und CPs sind aktiviert Nur CPs sind deaktiviert Nur NPs sind deaktiviert NPs und CPs sind deaktiviert Die Konfiguration zeigt keine explizite Deaktivierung von NPs (Network Processors) oder CPs (Content Processors). In Fortinet Enterprise Firewall sind diese Prozessoren, sofern sie nicht explizit deaktiviert sind, standardmäßig aktiviert, um bestimmte Arten von Datenverkehr effizient zu verarbeiten12. Referenz := Hardware-Beschleunigung | FortiGate / FortiOS 7.2.2 - Fortinet-Dokumentation, NSE 7 Network Security Architect - FortinetNO.24 Schaubild: Schauen Sie sich das Schaubild an, das einen Teil der Touting-Tabelle zeigt Welche zwei Schlussfolgerungen können Sie aus der entsprechenden FortiGate-Konfiguration ziehen? (Wählen Sie zwei.) IPSec Tunnel Aggregation ist konfiguriert net-device ist in der IPSec-Tunnelkonfiguration der Phase 1 aktiviert OSPI ist für die Ausführung über IPSec konfiguriert. add-route ist in der Tunnel-IPSec-Phase-1-Konfiguration deaktiviert. * Option B ist richtig, da die Routing-Tabelle zeigt, dass die Tunnelschnittstellen eine Netzmaske von 255.255.255.255 haben, was bedeutet, dass net-device in der Phase 1-Konfiguration aktiviert ist. Diese Option ermöglicht es dem FortiGate, die Tunnelschnittstelle als Next-Hop für das Routing zu verwenden, ohne eine Route zum Phase-2-Ziel hinzuzufügen1.* Option D ist richtig, da die Routing-Tabelle keine Routen zu den Phase-2-Zielnetzwerken anzeigt, was darauf hinweist, dass add-route in der Phase-1-Konfiguration deaktiviert ist. Diese Option steuert, ob das FortiGate eine statische Route zum Phase 2-Zielnetz hinzufügt und dabei die Tunnelschnittstelle als Gateway verwendet2.* Option A ist falsch, da die IPSec-Tunnelaggregation eine Funktion ist, die es mehreren Phase 2-Selektoren ermöglicht, einen einzelnen Phase 1-Tunnel gemeinsam zu nutzen, wodurch die Anzahl der Tunnel reduziert und die Leistung verbessert wird3.Diese Funktion hat nichts mit der Routing-Tabelle oder der Phase-1-Konfiguration zu tun.* Option C ist falsch, da OSPF ein dynamisches Routing-Protokoll ist, das über IPSec-Tunnel laufen kann, aber eine zusätzliche Konfiguration auf dem FortiGate und dem Peer-Gerät erfordert4. Diese Option hat nichts mit der Routing-Tabelle oder der Phase-1-Konfiguration zu tun. Referenzen: =* 1: Technischer Tipp: 'set net-device' neue routenbasierte IPsec-Logik2* 2: Hinzufügen einer statischen Route5* 3: IPSec VPN-Konzepte6* 4: Dynamisches Routing über IPsec VPN7NO.25 Schaubild: Das Schaubild zeigt eine partielle Webfilterprofilkonjugation Was können Sie aus dieser Konfiguration über den Zugriff aufwww.facebook, com ableiten, der als Social Networking kategorisiert ist? Der Zugriff wird auf der Grundlage der Inhaltsfilterkonfiguration blockiert. Der Zugriff wird auf der Grundlage der FortiGuard-Konfiguration für kategoriebasierte Filter erlaubt. Der Zugriff wird auf der Grundlage der URL-Filter-Konfiguration blockiert. Der Zugriff wird blockiert, wenn der lokale oder der öffentliche FortiGuard-Server nicht antwortet Der Zugriff auf www.facebook.com wird auf der Grundlage der URL-Filter-Konfiguration blockiert. In der Abbildung ist zu sehen, dass die URL "www.facebook.com" im Abschnitt URL-Filter1 speziell auf "Blockieren" gesetzt ist. Referenzen := Fortigate: How to configure Web Filter function on Fortigate, Web filter | FortiGate / FortiOS 7.0.2 | Fortinet Document Library, FortiGate HTTPS web URL filtering ... - Fortinet ... - Fortinet CommunityNO.26 Welche ADVPN-Konfiguration muss mit einem Skript auf fortiManager konfiguriert werden, wenn der VPN Manager zur Verwaltung von fortiGate VPN-Tunneln verwendet wird? Aktivieren Sie AD-VPN in IPsec Phase 1 Deaktivieren Sie add-route am Hub Konfigurieren Sie IP-Adressen auf virtuellen IPsec-Interlaces Geschütztes Netzwerk auf alle setzen Um AD-VPN zu aktivieren, müssen Sie eine SD-WAN-Overlay-Vorlage bearbeiten und den Schalter Auto-Discovery VPN aktivieren. Dadurch werden die erforderlichen Einstellungen automatisch zur IPsec-Vorlage und zur BGP-Vorlage hinzugefügt. Sie können AD-VPN nicht direkt in den IPsec-Phase-1-Einstellungen mit dem VPN Manager aktivieren. Referenzen := ADVPN | FortiManager 7.2.0 - Fortinet DocumentationNO.27 Exhibit.Refer to the exhibit, which contains an ADVPN network diagram and a partial BGP con figuration Which two parameters Should you configure in config neighbor range? (Wählen Sie zwei.) set prefix 172.16.1.0 255.255.255.0 set route reflector-client enable set nachbar-gruppe advpn set prefix 10.1.0 255.255.255.0 In der ADVPN-Konfiguration für BGP sollten Sie das Präfix angeben, das die Nachbarn ankündigen können. Option A ist richtig, da Sie das Präfix des BGP-Netzwerks konfigurieren, das an die Nachbarn weitergegeben werden soll und das mit dem BGP-Netzwerk im Diagramm übereinstimmt. Option C ist ebenfalls korrekt, da Sie in der BGP-Konfiguration auf die für das ADVPN-Setup konfigurierte Nachbargruppe verweisen sollten.NO.28 Abbildung: Die Abbildung zeigt Informationen zu einem OSPF-InterlaceWelche zwei Schlussfolgerungen können Sie aus dieser Befehlsausgabe ziehen? (Wählen Sie zwei.) Das port3-Netzwerk hat mehr als einen OSPF-Router Die OSPF-Router befinden sich in der Area ID 0.0.0.1. Die Schnittstellen der OSPF-Router entsprechen dem MTU-Wert, der mit 1500 konfiguriert ist. NGFW-1 ist der designierte Router Aus der Ausgabe des OSPF-Schnittstellenbefehls können wir schließen, dass das port3-Netzwerk mehr als einen OSPF-Router hat, da der Neighbor Count 2 beträgt, was auf das Vorhandensein eines weiteren OSPF-Routers neben NGFW-1 hinweist. Außerdem können wir ableiten, dass die Schnittstellen der OSPF-Router mit dem MTU-Wert übereinstimmen, der als 1500 konfiguriert ist, was für OSPF-Nachbarn notwendig ist, um Adjazenzen zu bilden. Die MTU-Fehlanpassung würde OSPF daran hindern, eine Nachbarschaftsbeziehung zu bilden.Referenzen:* Fortinet FortiOS Handbook: OSPF-KonfigurationNO.29 Sie möchten den Zugriff auf die Website ww.eicar.org mit einer benutzerdefinierten IPS-Signatur blockieren. Welche benutzerdefinierte IPS-Signatur sollten Sie konfigurieren? Option D ist die richtige Antwort, da sie speziell den Zugriff auf die Website "www.eicar.org" unter Verwendung des TCP-Protokolls und des HTTP-Dienstes blockiert, die üblicherweise zum Surfen im Internet verwendet werden. Die anderen Optionen verwenden entweder das falsche Protokoll (UDP), den falschen Dienst (DNS oder SSL) oder das falsche Muster ("eicar" anstelle von "www.eicar.org"). Referenzen := Configuring custom signatures | FortiGate / FortiOS 7.4.0 - Fortinet Document Library, Abschnitt "Signature to block access to e