別格で売上ナンバーワンFCP_FGT_AD-7.4日本語試験にはは2025年最新のFortinet練習問試験合格させます
FCP in Network Security問題集でFCP_FGT_AD-7.4日本語試験完全版問題で試験学習ガイド
質問 # 49
展示品を参照してください。
展示には、ネットワークに接続された FortiGate デバイスの図、VIP 構成、ファイアウォール ポリシー、および FortiGate デバイス上のスニファー CLI 出力が示されています。
WAN (ポート 1) インターフェイスの IP アドレスは 10.200.1.1 /24 です。
LAN (ポート3) インターフェースの IP アドレスは 10.0.1.254/24 です。
Web サーバー ホスト (10.0.1.10) は、リモート サーバー (10.200.3.1) に ping を実行するときに、VIP 外部 IP アドレスを送信元 NAT (SNAT) として使用する必要があります。
この目標を達成するために有効な 2 つのステートメントはどれですか? (2 つ選択してください。)
- A. lnternet_Access ファイアウォール ポリシーで NAT を無効にします。
- B. Web サーバーの lnternet_Access の前に新しいファイアウォール ポリシーを作成し、IP プールを適用します。
- C. Allow_access ファイアウォール ポリシーで NAT を有効にします。
- D. VIP オブジェクトでのポート転送を無効にします。
正解:C、D
解説:
* Enable NAT on the Allow_access firewall policy (A):
* The Allow_access firewall policy must have NAT enabled to allow the webserver to use its VIP external IP address (10.200.1.10) as the source NAT when initiating traffic, such as pings, to the remote server.
* Disable port forwarding on the VIP object (D):
* Port forwarding is designed for specific port mapping, typically for services like HTTP or HTTPS. To use the VIP external IP as a source NAT, port forwarding should be disabled.
Disabling port forwarding ensures that the full VIP IP address is used without being tied to specific ports.
Why other options are not correct:
* B. Create a new firewall policy before Internet_Access for the webserver and apply the IP pool:
* This is unnecessary as the VIP object itself is used for SNAT in this case, and an additional firewall policy is not required.
* C. Disable NAT on the Internet_Access firewall policy:
* Disabling NAT on this policy would prevent the NAT functionality needed for the webserver to use the VIP external IP address as the source IP.
Thus, enabling NAT on the Allow_access policy and disabling port forwarding on the VIP configuration are the valid steps to achieve the goal.
質問 # 50
コレクター エージェントが AD ポーリングに使用する 3 つの方法はどれですか? (3 つ選択してください。)
- A. FSSO REST API
- B. WinSecログ
- C. ネットAPI
- D. WMI
- E. FortiGate ポーリング
正解:B、C、D
解説:
The Fortinet Single Sign-On (FSSO) Collector Agent supports three primary methods for Active Directory (AD) polling to collect user information:
* WinSecLog: Monitors Windows Security Event Logs for login events.
* WMI: Uses Windows Management Instrumentation to poll user login sessions.
* NetAPI: Utilizes the Netlogon API to query domain controllers for user session data.
These methods allow the FortiGate to gather user logon information and enforce user-based policies effectively.
References:
* FortiOS 7.4.1 Administration Guide: FSSO Configuration
質問 # 51
管理者は、サイト A とサイト # の間に IPsec VPN を構成しています。両方のサイトのリモート ゲートウェイ設定は、静的 IP アドレスとして構成されています。
サイトAの場合、ローカルクイックモードセレクタは192.168.1.0/24、リモートクイックモードセレクタは192.168.2.0です。
/24.
管理者は、サイト B のローカル クイック モード セレクター用にどのサブネットを構成する必要がありますか?
- A. 192.168.0.0/8
- B. 192.168.3.0/24
- C. 192.168.2.0/24
- D. 192.168.1.0/24
正解:D
解説:
For site B, the local quick mode selector should match the remote quick mode selector of site A, and vice versa. Since site A's remote quick mode selector is 192.168.2.0/24 (which is the subnet of site B), site B's local quick mode selector must be 192.168.1.0/24, which is the subnet of site A.
質問 # 52
管理者は、デッド トンネルを検出するために、IPsec VPN でデッド ピア検出 (DPD) を設定したいと考えています。要件は、送信トラフィックがあり、ピアからの応答がない場合にのみ、FortiGate が DPD プローブを送信することです。
FortiGate のどの DPD モードがこの要件を満たしていますか?
- A. オンデマンド
- B. 有効
- C. アイドル時
- D. 無効
正解:A
解説:
The On Demand mode for Dead Peer Detection (DPD) on FortiGate sends DPD probes only when there is outbound traffic and no response from the peer. This mode is used to detect if the peer is still available without continuously sending DPD probes, reducing unnecessary traffic.
質問 # 53
展示品を参照してください。


展示には、ネットワークに接続された FortiGate デバイスの図と、IP プール構成およびファイアウォール ポリシー オブジェクトが表示されます。
WAN(ポート1)インターフェースのIPアドレスは10.200.1.1/24です。LAN(ポート3)インターフェースのIPアドレスは
10.0.1.254/24。
ローカル クライアント (10.0.1.10) のユーザーがリモート FortiGate (10.200.3.1) の IP アドレスに ping を実行した場合、トラフィックのソース NAT (SNAT) にはどの IP アドレスが使用されますか?
- A. 10.200.1.49
- B. 10.200.1.1
- C. 10.200.1.99
- D. 10.200.1.149
正解:A
解説:
The traffic from the user on Local-Client (10.0.1.10) pinging the IP address of Remote-FortiGate (10.200.3.1) will match the firewall policy with the service "PING traffic". According to the firewall policy:
* Policy ID 6 is set for PING traffic and uses the NAT IP pool "SNAT-Remote1", which is defined as
10.200.1.99.
質問 # 54
展示品を参照してください。


展示には、ネットワークに接続された FortiGate デバイスの図と、IP プール構成およびファイアウォール ポリシー オブジェクトが表示されます。
WAN(ポート1)インターフェースのIPアドレスは10.200.1.1/24です。LAN(ポート3)インターフェースのIPアドレスは
10.0.1.254/24。
ローカル クライアント (10.0.1.10) のユーザーがリモート FortiGate (10.200.3.1) の IP アドレスに ping を実行した場合、トラフィックのソース NAT (SNAT) にはどの IP アドレスが使用されますか?
- A. 10.200.1.49
- B. 10.200.1.1
- C. 10.200.1.99
- D. 10.200.1.149
正解:A
解説:
The traffic from the user on Local-Client (10.0.1.10) pinging the IP address of Remote-FortiGate (10.200.3.1) will match the firewall policy with the service "PING traffic". According to the firewall policy:
Policy ID 6 is set for PING traffic and uses the NAT IP pool "SNAT-Remote1", which is defined as 10.200.1.99.
質問 # 55
従業員は、遅延の大きいインターネット接続を介してオフィスに接続する必要があります。
SSL VPN ネゴシエーションの失敗を防ぐために、管理者はどの SSL VPN 設定を調整する必要がありますか?
- A. SSL VPN セッション TTL
- B. SSL VPN ログインタイムアウト
- C. SSL VPN dtls-hello-timeout
- D. SSL VPN アイドルタイムアウト
正解:C
解説:
For a high-latency internet connection, the SSL VPN setting that should be adjusted is:
* C. SSL VPN dtls-hello-timeout: This setting determines how long the FortiGate will wait for a DTLS hello message from the client. For high-latency connections, increasing this timeout will prevent SSL VPN negotiation failures caused by delays in receiving the DTLS hello message.
The other options are not suitable:
* A. SSL VPN idle-timeout: This setting controls the idle time allowed before a session is terminated, which is not relevant to the initial connection establishment.
* B. SSL VPN login-timeout: This setting controls the maximum time allowed for a user to log in, but does not affect connection negotiation.
* D. SSL VPN session-ttl: This setting controls the total time-to-live for an SSL VPN session but does not directly address issues caused by high latency.
References
* FortiOS 7.4.1 Administration Guide - SSL VPN Configuration, page 1415.
質問 # 56
展示品を参照してください。
ネットワーク管理者は、2 つの FortiGate デバイス間の IPsec トンネルのトラブルシューティングを行っています。管理者は、フェーズ 1 が起動に失敗したと判断しました。また、管理者は両方の FortiGate デバイスで事前共有キーを再入力し、それらが一致することを確認しました。
フェーズ 1 の構成と図に示されている図に基づいて、管理者がフェーズ 1 を起動するために実行できる 2 つの構成変更はどれですか (2 つ選択してください)。
- A. 両方の FortiGate デバイスで、Dead Peer Detection を On Demand に設定します。
- B. HQ-FortiGate で、Diffie-Helman グループ 2 を無効にします。
- C. HQ-FortiGate で、IKE モードをメイン (ID 保護) に設定します。
- D. リモートFortiGateで、ポート2をインターフェースとして設定します。
正解:A、C
解説:
To bring Phase 1 up, the following changes can be made:
A . On HQ-FortiGate, disable Diffie-Helman group 2: This is incorrect because Diffie-Hellman group 2 is already selected on both devices. Disabling it would not help.
B . On Remote-FortiGate, set port2 as Interface: This is incorrect as both sides should be consistent in their interface settings for the IPsec tunnel, and the interface is correctly set to port1 on both FortiGates in the IPsec configuration.
C . On both FortiGate devices, set Dead Peer Detection to On Demand: This is a valid option. Setting Dead Peer Detection (DPD) to "On Demand" helps maintain the IPsec connection by checking if the peer is still available, which can help in some cases where the connection fails due to timeouts.
D . On HQ-FortiGate, set IKE mode to Main (ID protection): This is also a valid option because the Remote-FortiGate is already set to Main mode (ID protection). Ensuring that both ends use the same mode is crucial for successful phase 1 negotiation.
Thus, the correct answers are:
C . On both FortiGate devices, set Dead Peer Detection to On Demand.
D . On HQ-FortiGate, set IKE mode to Main (ID protection).
質問 # 57
FortiGuard カテゴリはオーバーライドして、別のカテゴリで定義できます。example.com ホームページの Web 評価オーバーライドを作成するには、オーバーライドを特定の構文を使用して構成する必要があります。
ホームページの Web 評価オーバーライドを構成するには、どの 2 つの構文が正しいですか? (2 つ選択してください。)
- A. www.example.com
- B. www.example.com:443
- C. www.example.com/index.hrml
- D. example.com
正解:A、D
解説:
www.example.com
This syntax targets the main domain, which is a common way to configure a web rating override for the home page of a website.
example.com
This syntax also correctly targets the main domain without specifying a subdomain (like "www"), which is valid for configuring a web rating override for the entire site, including the home page.
質問 # 58
リモート認証サーバーからの部分的な構成を示す図を参照してください。
FortiGate 管理者がこの構成を必要とするのはなぜですか?
- A. トレーニング ユーザー グループのみを認証します。
- B. 任意の FortiGate ユーザー グループを認証します。
- C. RADIUS サーバー上のトレーニング OU を認証して照合します。
- D. RADIUSサーバーのシークレットを設定するには
正解:C
解説:
The configuration shown in the exhibit indicates that the FortiGate is using a Fortinet-specific RADIUS attribute (Fortinet-Group-Name) with the value "Training." This setup allows the FortiGate to authenticate users against the RADIUS server and match them to the "Training" Organizational Unit (OU). By doing so, only users within this specific group or OU can be authenticated and allowed access through the FortiGate.
References:
* FortiOS 7.4.1 Administration Guide: RADIUS Server Configuration
質問 # 59
展示品を参照してください。
このデータベース テーブルのルーティング エントリについて正しい記述はどれですか。(2 つ選択してください。)
- A. porc2 上のデフォルト ルートはスタンバイ ルートとしてマークされます。
- B. ルーティング データベース テーブル内のすべてのエントリが FortiGate ルーティング テーブルにインストールされます。
- C. ポート2インターフェースは非アクティブとしてマークされています。
- D. 両方のデフォルト ルートの管理距離が異なります。
正解:A、D
解説:
The routing table in the exhibit shows two default routes (0.0.0.0/0) with different administrative distances:
* The default route through port2 has an administrative distance of 20.
* The default route through port1 has an administrative distance of 10.
Administrative distance determines the priority of the route; a lower value is preferred. Here, the route through port1 with an administrative distance of 10 is the preferred route. The route through port2 with an administrative distance of 20 acts as a standby or backup route. If the primary route (port1) fails or is unavailable, traffic will then be routed through port2.
Regarding the statement that the port2 interface is marked as inactive, there is no indication in the routing table that port2 is inactive. Similarly, all the routes displayed are not necessarily installed in the FortiGate routing table, as the table could include both active and backup routes.
References:
* FortiOS 7.4.1 Administration Guide: Default route configuration
* FortiOS 7.4.1 Administration Guide: Routing table explanation
質問 # 60
ネットワーク管理者は、完全な SSL 検査用に定義され、プライベート CA 証明書が設定された SSL/SSH 検査プロファイルを構成しました。トラフィックを許可するファイアウォール ポリシーは、SSL 検査にこのプロファイルを使用し、Web フィルタリングを実行します。HTTPS Web サイトにアクセスすると、ブラウザーは証明書の警告エラーを報告します。
証明書の警告エラーの理由は何ですか?
- A. 完全な SSL 検査では、ブラウザ レベルで証明書の警告エラーを回避することはできません。
- B. FortiGate が SSL 検査に使用する証明書には、必要な証明書拡張機能が含まれていません。
- C. ブラウザは、使用中の証明書が信頼できる CA によって署名されたものとして認識しません。
- D. SSL 検査プロファイルで SSL 暗号準拠オプションが有効になっていません。SSL 検査プロファイルがプライベート CA 証明書で定義されている場合は、この設定が必要です。
正解:C
解説:
The certificate warning errors occur because the SSL inspection profile is configured to use a private CA certificate that is not recognized by the browser as being signed by a trusted CA. For the browser to trust the FortiGate's re-signed certificates, the CA certificate used by FortiGate for SSL inspection must be installed in the browser's trusted certificate store. Until the browser recognizes the certificate authority (CA) as trusted, it will continue to display warning errors when accessing HTTPS websites.
Reference:
FortiOS 7.4.1 Administration Guide: SSL/SSH Inspection Configuration
質問 # 61
SSL 証明書検査が有効になっている場合、FortiGate は SSL サーバーのホスト名を識別するためにどの 3 つの情報を使用しますか? (3 つ選択してください。)
- A. サーバー証明書のサブジェクト フィールド。
- B. サーバー証明書のシリアル番号。
- C. HTTP ヘッダーのホスト フィールド。
- D. サーバー証明書のサブジェクト別名 (SAN) フィールド。
- E. クライアントの Hello メッセージ内のサーバー名表示 (SNI) 拡張。
正解:A、D、E
解説:
When SSL certificate inspection is enabled on a FortiGate device, the system uses the following three pieces of information to identify the hostname of the SSL server:
Server Name Indication (SNI) extension in the client hello message (B): The SNI is an extension in the client hello message of the SSL/TLS protocol. It indicates the hostname the client is attempting to connect to. This allows FortiGate to identify the server's hostname during the SSL handshake.
Subject Alternative Name (SAN) field in the server certificate (C): The SAN field in the server certificate lists additional hostnames or IP addresses that the certificate is valid for. FortiGate inspects this field to confirm the identity of the server.
Subject field in the server certificate (D): The Subject field contains the primary hostname or domain name for which the certificate was issued. FortiGate uses this information to match and validate the server's identity during SSL certificate inspection.
The other options are not used in SSL certificate inspection for hostname identification:
Host field in the HTTP header (A): This is part of the HTTP request, not the SSL handshake, and is not used for SSL certificate inspection.
Serial number in the server certificate (E): The serial number is used for certificate management and revocation, not for hostname identification.
Reference
FortiOS 7.4.1 Administration Guide - SSL/SSH Inspection, page 1802.
FortiOS 7.4.1 Administration Guide - Configuring SSL/SSH Inspection Profile, page 1799.
質問 # 62
ウイルス対策スキャン モードについて説明している 2 つの文はどれですか? (2 つ選択してください。)
- A. フローベースの検査モードでは、FortiGate はファイルをバッファリングしますが、同時にクライアントに送信します。
- B. フローベースの検査モードでは、バッファサイズより大きいファイルがスキャンされます
- C. プロキシベースの検査モードでは、バッファサイズより大きいファイルがスキャンされます
- D. プロキシベースの検査モードでは、ウイルス対策スキャンはファイル全体をスキャン用にバッファリングしてからクライアントに送信します。
正解:A、D
解説:
In flow-based inspection mode, FortiGate buffers the file, but also simultaneously transmits it to the client.
Flow-based inspection allows real-time scanning of files as they are being transmitted, with minimal impact on performance.
In proxy-based inspection mode antivirus scanning buffers the whole file for scanning, before sending it to the client.
Proxy-based inspection mode holds the file completely, scans it for threats, and only sends the file to the client if no threats are detected.
質問 # 63
HA オーバーライド設定が無効になっている場合のプライマリ FortiGate 選択プロセスは何ですか?
- A. 接続されている監視対象ポート > システム稼働時間 > 優先度 > FortiGate のシリアル番号
- B. 接続されている監視ポート > 優先度 > HA 稼働時間 > FortiGate のシリアル番号
- C. 接続されている監視対象ポート > 優先度 > システム稼働時間 > FortiGate のシリアル番号
- D. 接続されている監視ポート > HA 稼働時間 > 優先度 > FortiGate シリアル番号
正解:B
解説:
When the HA override setting is disabled, FortiGate uses the primary election process based on the following criteria:
Connected monitored ports: The unit with the most monitored ports up is preferred.
Priority: The unit with the highest priority is preferred.
System uptime: The unit with the longest uptime is preferred.
FortiGate serial number: Used as the final criterion to break any remaining ties.
Reference:
FortiOS 7.4.1 Administration Guide: HA election process
質問 # 64
FortiGate は NAT モードで動作しており、それぞれ LAN ネットワークと DMZ ネットワークに接続された 2 つの物理インターフェースを備えています。
FortiGate 上の接続された物理インターフェースの要件について正しい記述はどれですか? (2 つ選択してください。)
- A. 両方のインターフェースにIPアドレスを割り当てる必要があります
- B. 両方のインターフェースでDHCPが有効になっている必要があります
- C. 両方のインターフェースにインターフェースロールが割り当てられている必要があります
- D. 両方のインターフェースはルーティングテーブル上に直接接続されたルートを持っている必要があります
正解:A、D
解説:
Both interfaces must have directly connected routes on the routing table In NAT mode, each interface must have a corresponding entry in the routing table, typically as a directly connected route, to route traffic between them effectively.
Both interfaces must have IP addresses assigned
In NAT mode, each interface must have an IP address to participate in routing and NAT operations. The IP addresses allow the FortiGate to forward traffic between different network segments.
質問 # 65
......
最適な道は練習テストFortinet FCP_FGT_AD-7.4日本語問題集:https://jp.fast2test.com/FCP_FGT_AD-7.4-JPN-premium-file.html