最上級のNSE4_FGT-7.2日本語試験問題Fortinetテスト最高成績で最速合格をゲットせよ! [Q83-Q104]

Share

最上級のNSE4_FGT-7.2日本語試験問題Fortinetテスト最高成績で最速合格をゲットせよ!

試験準備には最適なNSE4_FGT-7.2日本語試験問題2024年最新のFortinet NSE 4究極な183問があります

質問 # 83
FortiGate は NAT モードで動作し、物理インターフェイスに追加された 2 つの仮想 LAN (VLAN) サブ インターフェイスで構成されています。VLAN サブインターフェースに関するどのステートメントが、異なるサブネットに IP アドレスがある場合にのみ、同じ VLAN ID を持つことができるか。

  • A. 2 つの VLAN サブ インターフェイスは、異なる VDOM に属している場合にのみ、同じ VLAN ID を持つことができます。
  • B. 2 つの VLAN サブ インターフェイスは、異なる VLAN ID を持つ必要があります。
  • C. 2 つの VLAN サブ インターフェイスは、同じサブネットに IP アドレスがある場合にのみ、同じ VLAN ID を持つことができます。
  • D. 2 つの VLAN サブ インターフェイスは、異なるサブネットに IP アドレスがある場合にのみ、同じ VLAN ID を持つことができます。

正解:B

解説:
FortiGate_Infrastructure_6.0_Study_Guide_v2-Online.pdf > page 147
"Multiple VLANs can coexist in the same physical interface, provide they have different VLAN ID"


質問 # 84
ネットワーク管理者は、2 つの FortiGate デバイス間の IPsec トンネルのトラブルシューティングを行っています。管理者は、フェーズ 1 が起動しないと判断しました。また、管理者は両方の FortiGate デバイスで事前共有キーを再入力して、それらが一致していることを確認しました。

フェーズ 1 の構成と資料に示されている図に基づいて、どの 2 つの構成変更によってフェーズ 1 が開始されますか? (2つ選んでください。)

  • A. Remote-FortiGate では、ポート 2 をインターフェイスとして設定します。
  • B. HQ-FortiGate で、Diffie-Helman グループ 2 を無効にします。
  • C. HQ-FortiGate で、IKE モードをメイン (ID 保護) に設定します。
  • D. 両方の FortiGate デバイスで、Dead Peer Detection をオンデマンドに設定します。

正解:A、C

解説:
"In IKEv1, there are two possible modes in which the IKE SA negotiation can take place: main, and aggressive mode. Settings on both ends must agree; otherwise, phase 1 negotiation fails and both IPsec peers are not able to establish a secure channel."


質問 # 85
FortiGate は NAT モードで動作し、同じ物理インターフェイスに追加された 2 つの仮想 LAN (VLAN) サブインターフェイスで構成されています。
このシナリオでは、VLAN ID に対する 2 つの要件は何ですか? (2つお選びください。)

  • A. 2 つの VLAN サブインターフェイスは、異なる VDOM に属している場合にのみ、同じ VLAN ID を持つことができます。
  • B. 2 つの VLAN サブインターフェイスは、同じサブネット内に IP アドレスがある場合にのみ、同じ VLAN ID を持つことができます。
  • C. 2 つの VLAN サブインターフェイスは、異なるサブネットに IP アドレスがある場合にのみ、同じ VLAN ID を持つことができます。
  • D. 2 つの VLAN サブインターフェイスには異なる VLAN ID が必要です。

正解:A、D

解説:
https://community.fortinet.com/t5/FortiGate/Technical-Note-How-to-use-emac-vlan-to-share-the-same-VLAN/ta-p/192843?externalID=FD43883 When FortiGate is operating in NAT mode, it means that it uses network address translation (NAT) to modify the source or destination IP addresses of the traffic passing through it1. NAT mode allows FortiGate to hide the IP addresses of the internal network from the external network, and to conserve IP addresses by using a single public IP address for multiple private IP addresses1.
A virtual LAN (VLAN) subinterface is a logical interface that allows traffic from different VLANs to enter and exit the FortiGate unit2. A VLAN subinterface is created by adding a VLAN ID to a physical interface or an aggregate interface2. A VLAN ID is a numerical identifier that distinguishes one VLAN from another2.
In this scenario, there are two requirements for the VLAN ID of the VLAN subinterfaces added to the same physical interface:
The two VLAN subinterfaces must have different VLAN IDs. This is because the VLAN ID is used to tag the traffic with the appropriate VLAN information, and to separate the traffic into different VLANs2. If the two VLAN subinterfaces have the same VLAN ID, they will not be able to distinguish the traffic from each other, and they will not be able to forward the traffic to the correct destination.
The two VLAN subinterfaces can have the same VLAN ID, only if they belong to different VDOMs. This is because VDOMs are virtual instances of FortiGate that can have their own interfaces, policies, and routing tables3. Each VDOM operates independently from other VDOMs, and can have its own VLAN subinterfaces with different or identical VLAN IDs3. However, this requires inter-VDOM links to allow traffic between different VDOMs3.


質問 # 86
SSL インスペクションで CA 証明書として使用できるように、証明書に必要な 2 つの属性はどれですか? (2つ選んでください。)

  • A. 件名フィールドの共通名には、ワイルドカード名を使用する必要があります。
  • B. keyUsage 拡張を keyCertSign に設定する必要があります。
  • C. 発行者はパブリック CA である必要があります。
  • D. CA 拡張を TRUE に設定する必要があります。

正解:B、D

解説:
"In order for FortiGate to act in these roles, its CA certificate must have the basic constraints extension set to cA=True and the value of the keyUsage extension set to keyCertSign."


質問 # 87
展示品を参照してください。
図 A は、トラフィックに対してプロキシベースの検査を実行する FortiGate HA クラスタのトポロジを示しています。図 B は、HA 構成と get system ha status コマンドの出力の一部を示しています。


資料に基づいて、クラスターを通過するトラフィックに関する 2 つの記述のうち、正しいものはどれですか? (2つ選んでください。)

  • A. 負荷分散接続の場合、プライマリは TCP SYN パケットをカプセル化してからセカンダリに転送します。
  • B. クラスターは、セカンダリへの ICMP 接続の負荷を分散できます。
  • C. 負荷分散されていない接続の場合、クラスターによってサーバーに転送されるパケットには、ソースとしてポート 2 の仮想 MAC アドレスが含まれます。
  • D. クライアントから送信され、サーバーに送信されるトラフィックは、FGT-1 に送信されます。

正解:C、D


質問 # 88
チーム マネージャーは、チームの一部のメンバーは特定の Web サイトにアクセスする必要があるが、チームの大部分はアクセスしないと判断しました。この要求をサポートする最も効果的な方法は、どの構成オプションですか?

  • A. 指定された Web サイトの Web フィルター クォータを実装します。
  • B. 指定された Web サイトの DNS フィルターを実装します。
  • C. 指定した Web サイトに対して Web フィルター認証を実装します。
  • D. 指定された Web サイトの Web フィルター カテゴリのオーバーライドを実装します。

正解:C


質問 # 89
セッション診断出力を含む展示を参照してください。

セッション診断出力について正しい文はどれですか?

  • A. セッションは双方向 UDP 接続です。
  • B. セッションは TCP ESTABLISHED 状態です。
  • C. セッションは UDP 単方向状態です。
  • D. セッションは双方向の TCP 接続です。

正解:A

解説:
Explanation
https://kb.fortinet.com/kb/viewContent.do?externalId=FD30042


質問 # 90
展示を参照してください。

展示に示されているように、管理者は sniffer コマンドを実行しています。
sniffer の出力に含まれる 3 つの情報はどれですか? (3つ選んでください。)

  • A. Application header
  • B. Interface name
  • C. Ethernet header
  • D. IP header
  • E. Packet payload

正解:B、D、E

解説:
Reference:
Study Guide - Routing - Diagnostics - Packet Capture Verbosity Level.
# diagnose sniffer packet <interface> '<filter>' <verbosity> <count> <timestamp> <frame size> In the example, verbosity is 5.
The verbosity level specifies how much info you want to display.
1 (default): IP Headers.
2: IP Headers, Packet Payload.
3. IP Headers, Packet Payload, Ethernet Headers.
4: IP Headers, Interface Name.
5: IP Headers, Packet Payload, Interface Name.
6: IP Headers, Packet Payload, Ethernet Headers, Interface Name.


質問 # 91
セントラル NAT に関する次の記述のうち、正しいものはどれですか? (2つ選んでください。)

  • A. セントラル NAT を有効にする前に、IP ツールの参照を既存のファイアウォール ポリシーから削除する必要があります。
  • B. 中央 NAT を使用する宛先 NAT では、ファイアウォール内の宛先アドレスとして VIP オブジェクトが必要です。
  • C. セントラル NAT は、CLI からのみ有効または無効にできます。
  • D. 中央 NAT を使用するソース NAT には、少なくとも 1 つの中央 SNAT ポリシーが必要です。

正解:A、C


質問 # 92
ファイアウォール ポリシーの認証タイムアウトに関する記述のうち、正しいものはどれですか?

  • A. アイドルタイムアウトです。FortiGate は、ユーザーの送信元 IP からのパケットがまったくない場合、そのユーザーは「アイドル」であると見なします。
  • B. ハードタイムアウトです。FortiGate は、このタイマーが期限切れになると、ユーザーの送信元 IP アドレスの一時的なポリシーを削除します。
  • C. アイドルタイムアウトです。FortiGate は、ユーザーの送信元 MAC からパケットが送信されていない場合、そのユーザーは「アイドル」であると見なします。
  • D. ハードタイムアウトです。FortiGate は、このタイマーが期限切れになると、ユーザーの送信元 MAC アドレスの一時的なポリシーを削除します。

正解:A


質問 # 93
展示を参照してください。

Root および To_Internet VDOM は NAT モードで構成されます。DMZ およびローカル VDOM は透過モードで構成されます。
ルート VDOM は管理 VDOM です。To_Internet VDOM により、LAN ユーザーはインターネットにアクセスできます。To_Internet VDOM は、インターネットにアクセスできる唯一の VDOM であり、ISP モデムに直接接続されています。
この構成で、正しいステートメントはどれですか?

  • A. ローカル VDOM とルート VDOM 間のトラフィックを許可するには、VDOM 間リンクが必要です。
  • B. LAN ユーザーがインターネットにアクセスできるようにするには、To_Internet VDOM に静的ルートが必要です。
  • C. ローカル VDOM と DMZ VDOM 間のトラフィックを許可するには、VDOM 間リンクが必要です。
  • D. ルート VDOM は管理 VDOM としてのみ使用されるため、ルート VDOM と To_Internet VDOM の間に VDOM 間リンクは必要ありません。

正解:A


質問 # 94
管理 VDOM によってのみ管理される 2 種類のトラフィックはどれですか? (2つ選んでください。)

  • A. DNS
  • B. PKI
  • C. FortiGuard Web フィルタ クエリ
  • D. トラフィック シェーピング

正解:A、C


質問 # 95
管理者は、ユーザーのタイムアウトを構成したいと考えています。userTM の動作に関係なく、タイマーはユーザーが認証されるとすぐに開始し、構成された値の後に期限切れになる必要があります。
FortiGate で構成する必要があるタイムアウト オプションはどれですか?

  • A. 新しいセッション
  • B. アイドルタイムアウト
  • C. ソフトタイムアウト
  • D. オンデマンド認証
  • E. ハードタイムアウト

正解:E

解説:
Reference:
https://kb.fortinet.com/kb/documentLink.do?externalID=FD37221#:~:text=Hard%20timeout%3A%20User%20


質問 # 96
FortiGate は NAT モードで動作し、同じ物理インターフェイスに追加された 2 つの仮想 LAN (VLAN) サブインターフェイスで構成されています。
このシナリオで、VLAN ID について正しいのはどれですか?

  • A. 2 つの VLAN サブインターフェースは、同じサブネットに IP アドレスがある場合にのみ、同じ VLAN ID を持つことができます。
  • B. 2 つの VLAN サブインターフェースは、異なるサブネットに IP アドレスがある場合にのみ、同じ VLAN ID を持つことができます。
  • C. 2 つの VLAN サブインターフェースは、異なる VLAN ID を持つ必要があります。
  • D. 2 つの VLAN サブインターフェースは、異なる VDOM に属している場合にのみ、同じ VLAN ID を持つことができます。

正解:A、B


質問 # 97
次世代ファイアウォール (NGFW) FortiGate でアプリケーション制御トラフィックを処理するエンジンはどれですか?

  • A. ウイルス対策エンジン
  • B. 侵入防止システムエンジン
  • C. 検出エンジン
  • D. フローエンジン

正解:B

解説:
http://docs.fortinet.com/document/fortigate/6.0.0/handbook/240599/application-control


質問 # 98
展示品をご参照ください。
添付資料 A はネットワーク図を示しています。図 B は、ファイアウォール ポリシー構成と VIP オブジェクト構成を示しています。
WAN (port1) インターフェイスの IP アドレスは 10.200.1.1/24 です。
LAN (port3) インターフェイスの IP アドレスは 10.0.1.254/24 です。


ホスト 10.200.3.1 がポート 10443 で 10.200.1.10 に TCP SYN パケットを送信した場合、FortiGate がパケットを宛先に転送した後、パケットの送信元アドレス、宛先アドレス、および宛先ポートはどうなりますか?

  • A. それぞれ 10.0.1.254、10.0.1.10、および 443
  • B. それぞれ 10.0.1.254、10.0.1.10、および 10443
  • C. それぞれ 10.200.3.1、10.0.1.10、および 443
  • D. それぞれ 10.0.1.254、10.200.1.10、および 443

正解:C

解説:
The host 10.200.3.1 sends a TCP SYN packet on port 10443 to 10.200.1.10, which is the external IP address of the VIP object named VIP in Exhibit B1. The VIP object maps the external IP address and port to the internal IP address and port of the server 10.0.1.10 and 443, respectively1. The VIP object also enables NAT, which means that the source address of the packet will be translated to the IP address of the outgoing interface2.
The firewall policy ID 1 in Exhibit B allows traffic from WAN (port1) to LAN (port3) with the destination address of VIP and the service of HTTPS1. The policy also enables NAT, which means that the source address of the packet will be translated to the IP address of the outgoing interface2.
Therefore, after FortiGate forwards the packet to the destination, the source address, destination address, and destination port of the packet will be 10.200.3.1, 10.0.1.10, and 443, respectively.
You can find more information about VIP objects and firewall policies in the Fortinet Documentation


質問 # 99
展示品を参照してください。
別紙 A にネットワーク図を示します。図 B は、ファイアウォール ポリシーの構成と VIP オブジェクトの構成を示しています。
WAN (ポート 1) インターフェイスの IP アドレスは 10.200.1.1/24 です。
LAN (port3) インターフェイスの IP アドレスは 10.0.1.254/24 です。


ホスト 10.200.3.1 がポート 10443 で TCP SYN パケットを 10.200.1.10 に送信する場合、FortiGate がパケットを宛先に転送した後、パケットの送信元アドレス、宛先アドレス、および宛先ポートは何になりますか?

  • A. それぞれ 10.0.1.254、10.0.1.10、および 443
  • B. それぞれ 10.0.1.254、10.0.1.10、および 10443
  • C. それぞれ 10.200.3.1、10.0.1.10、および 443

正解:C


質問 # 100
ネットワーク管理者は、FortiGate で SSL 証明書の検査とウイルス対策を有効にしました。HTTP 経由で EICAR テスト ファイルをダウンロードすると、FortiGate はウイルスを検出し、ファイルをブロックします。HTTPS 経由で同じファイルをダウンロードすると、FortiGate はウイルスを検出せず、ファイルをダウンロードできます。
FortiGate によるウイルス検出に失敗した理由は何ですか?

  • A. ブラウザは、FortiGate の自己署名 CA 証明書を信頼していません。
  • B. 選択した SSL 検査プロファイルでは、証明書検査が有効になっています。
  • C. Web サイトは SSL 検査を免除されています。
  • D. EICAR テスト ファイルがプロトコル オプションのサイズ制限を超えています。

正解:B、C

解説:
SSL Inspection Profile, on the Inspection method there are 2 options to choose from, SSL Certificate Inspection or Full SSL Inspection. FG SEC 7.2 Studi Guide: Full SSL Inspection level is the only choice that allows antivirus to be effective.


質問 # 101
管理者は、port1 インターフェイスに IP アドレスを設定できないことに気付きました。その理由は何ですか?(3つ選んでください。)

  • A. インターフェイスはワンアーム スニファー用に構成されています。
  • B. インターフェイスでキャプティブ ポータルが有効になっています。
  • C. 操作モードは透過的です。
  • D. インターフェイスは仮想ワイヤ ペアのメンバーです。
  • E. インターフェイスはゾーンのメンバーです。

正解:A、C、D

解説:
Explanation
https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_VirtualWirePair.htm


質問 # 102
FSSO コレクタ エージェントの NetAPI ポーリング モードを正しく説明している文はどれですか?

  • A. NetSession Enum 関数は、ユーザーのログアウトを追跡するために使用されます。
  • B. コレクター エージェントは、セキュリティ イベント ログを検索する必要があります。
  • C. NetAPI ポーリングは、大規模なネットワークで帯域幅の使用を増加させる可能性があります。
  • D. コレクター エージェントは、Windows API を使用して DC にユーザー ログインを照会します。

正解:A

解説:
Explanation
FortiGate_Infrastructure_7.0 page 270: "NetAPI: polls temporary sessions created on the DC when a user logs in or logs out and calls the NetSessionEnum function in Windows."


質問 # 103
ネットワーク管理者は、2 つの IPsec VPN トンネルとスタティック ルートを使用して、FortiGate に冗長 IPsec VPN トンネルをセットアップしたいと考えています。
* 両方のトンネルが稼働している場合、すべてのトラフィックはプライマリ トンネルを介してルーティングされる必要があります
* セカンダリ トンネルは、プライマリ トンネルがダウンした場合にのみ使用する必要があります
* さらに、FortiGate はデッド トンネルを検出してトンネル フェイルオーバーを高速化できる必要があります。設計要件を満たすために FortiGate で必要な 2 つの重要な構成変更はどれですか? (2つ選んでください)

  • A. デッドピア検出を有効にします。
  • B. 両方のトンネルのフェーズ 2 構成でオートネゴシエートとオートキー キープ アライブを有効にします。
  • C. プライマリ トンネルのスタティック ルートに長い距離を設定し、セカンダリ トンネルのスタティック ルートに短い距離を設定します。
  • D. プライマリ トンネルのスタティック ルートの距離を短く設定し、セカンダリ トンネルのスタティック ルートの距離を長く設定します。

正解:A、D

解説:
Explanation
Study Guide - IPsec VPN - IPsec configuration - Phase 1 Network.
When Dead Peer Detection (DPD) is enabled, DPD probes are sent to detect a failed tunnel and bring it down before its IPsec SAs expire. This failure detection mechanism is very useful when you have redundant paths to the same destination, and you want to failover to a backup connection when the primary connection fails to keep the connectivity between the sites up.
There are three DPD modes. On demand is the default mode.
Study Guide - IPsec VPN - Redundant VPNs.
Add one phase 1 configuration for each tunnel. DPD should be enabled on both ends.
Add at least one phase 2 definition for each phase 1.
Add one static route for each path. Use distance or priority to select primary routes over backup routes (routes for the primary VPN must have a lower distance or lower priority than the backup). Alternatively, use dynamic routing.
Configure FW policies for each IPsec interface.


質問 # 104
......

注目のNSE4_FGT-7.2日本語豪華セット試験ガイドで最速合格を目指そう:https://jp.fast2test.com/NSE4_FGT-7.2-JPN-premium-file.html


弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

我々の働いている時間: ( GMT 0:00-15:00 )
月曜日から土曜日まで

サポート: 現在連絡 

English Deutsch 繁体中文 한국어