Diese Seite wurde exportiert von Free Exams Dumps Materials [ http://exams.dumpsmaterials.com ] Exportdatum:Thu Dec 26 23:50:19 2024 / +0000 GMT ___________________________________________________ Titel: Basierend auf dem offiziellen Lehrplan Themen der aktuellen Fortinet NSE7_PBC-7.2 Prüfung [Q14-Q28] --------------------------------------------------- Basierend auf dem offiziellen Syllabus der Fortinet NSE7_PBC-7.2 Prüfung Kostenlose NSE7_PBC-7.2 Dumps sind für sofortigen Zugriff verfügbar Die Fortinet NSE7_PBC-7.2 Zertifizierungsprüfung wurde entwickelt, um die Kenntnisse und Fähigkeiten von Fachleuten im Bereich Public Cloud Security zu testen. Die Fortinet NSE 7 - Public Cloud Security 7.2-Zertifizierung wird in der IT-Branche hoch geschätzt, da sie einen Nachweis für die Kompetenz in der Absicherung von Public Cloud-Umgebungen darstellt. Die NSE7_PBC-7.2-Prüfung deckt eine Reihe von Themen ab, darunter Grundlagen der Cloud-Sicherheit, Cloud-spezifische Bedrohungen und Schwachstellen sowie fortgeschrittene Cloud-Sicherheitstechniken. NEUE FRAGE 14Sie beheben ein Azure SDN-Konnektivitätsproblem mit Ihrer FortiGate-VM Welche zwei Abfragen verwendet der SDN-Connector, um mit der Azure-Management-API zu interagieren? (Wählen Sie zwei.) Die erste Abfrage ist auf eine spezielle IP-Adresse gerichtet, um ein Token zu erhalten. Die erste Abfrage zielt auf die IP-Adresse 8.8 Es gibt nur eine Abfrage, die von FortiGate port1 ausgeht - Einige Abfragen werden gemacht, um öffentliche IP-Adressen zu verwalten. ErklärungDer Azure SDN Connector verwendet zwei Arten von Abfragen, um mit der Azure Management API zu interagieren. Die erste Abfrage ist auf eine spezielle IP-Adresse gerichtet, um ein Token zu erhalten. Dieses Token wird für die Authentifizierung der nachfolgenden Abfragen verwendet. Der zweite Abfragetyp dient zum Abrufen von Informationen über die Azure-Ressourcen, wie virtuelle Maschinen, Netzwerkschnittstellen, Netzwerksicherheitsgruppen und öffentliche IP-Adressen. Einige Abfragen dienen der Verwaltung von öffentlichen IP-Adressen, z. B. der Zuweisung oder Freigabe von der FortiGate-VM. Referenzen: Konfigurieren eines SDN-Connectors in Azure, Azure SDN-Connector mit Service Principal, Fehlerbehebung Azure SDN-ConnectorNEU FRAGE 15Sie benötigen eine Lösung, um in der öffentlichen Cloud gehostete Webanwendungen vor den OWASP Top 10-Schwachstellen zu schützen. Die Lösung muss dieselbe Region unterstützen, in der sich Ihre Anwendungen befinden, und das bei minimalen Datenverkehrskosten Welche Lösung erfüllt die Anforderungen? Verwenden Sie FortiADC FortiCNP verwenden FortiWebCloud verwenden FortiGate verwenden ErklärungDie richtige Antwort ist C. Verwenden Sie FortiWebCloud.FortiWebCloud ist eine SaaS-Cloud-basierte Web Application Firewall (WAF), die in der öffentlichen Cloud gehostete Webanwendungen vor den OWASP Top 10, Zero-Day-Bedrohungen und anderen Angriffen auf der Anwendungsebene schützt1.FortiWebCloud umfasst auch robuste Funktionen wie API-Erkennung und -Schutz, Bot-Mitigation, Bedrohungsanalysen und erweiterte Berichterstellung2.FortiWebCloud unterstützt mehrere Regionen auf der ganzen Welt, und Sie können die Region auswählen, die Ihren Anwendungen am nächsten liegt, um die Verkehrskosten zu minimieren3.Die anderen Optionen sind falsch, weil:FortiADC ist ein Application Delivery Controller, der Lastausgleich, Beschleunigung und Sicherheit für Webanwendungen bietet.Es ist keine dedizierte WAF-Lösung und bietet nicht das gleiche Schutzniveau wie FortiWebCloud4.FortiCNP ist eine Cloud-native Plattform, die Sicherheit und Transparenz für containerisierte Anwendungen bietet.Es ist keine WAF-Lösung und schützt Webanwendungen nicht vor den OWASP Top 10-Schwachstellen5.FortiGate ist eine Next-Generation-Firewall (NGFW), die Netzwerksicherheit und Bedrohungsabwehr bietet. Sie ist keine WAF-Lösung und bietet nicht das gleiche Schutzniveau wie FortiWebCloud für Webanwendungen und erfordert zusätzliche Konfiguration und Verwaltung für die Bereitstellung in der öffentlichen Cloud6.1:Überblick | FortiWeb Cloud 23.3.0 - Fortinet Dokumentation2:Web Application Firewall (WAF) & API Protection | Fortinet3: [FortiWeb Cloud WAF-as-a-Service | Fortinet]4: [Application Delivery Controller (ADC) | Fortinet]5: [Fortinet Cloud Native Platform | Fortinet]6: [FortiGate Next-Generation Firewall (NGFW) | Fortinet]NEUE FRAGE 16Beziehen Sie sich auf die Abbildung: Sie beheben ein FortiGate HA Floating IP-Problem mit Microsoft Azure. Nach dem Failover verfügt das neue primäre Gerät nicht über die Floating-IP-Adresse des vorherigen primären Geräts. Was könnte das mögliche Problem in diesem Szenario sein? FortiGate port4 hat keinen Internetzugang. Es wird eine falsche geheime Client-Anmeldung verwendet. Der Fehler wird durch das Ablaufen der Anmeldezeit verursacht. Das Azure Service Principal Konto muss eine Contributor Rolle haben. ErklärungIn diesem Szenario wird das Problem dadurch verursacht, dass das Hauptkonto des Azure-Dienstes keine Mitwirkendenrolle hat. Dies ist erforderlich, damit die schwebende IP von FortiGate HA ordnungsgemäß funktioniert. Ohne diese Rolle verfügt das neue Primärgerät nach dem Failover nicht über die Floating IP-Adresse des vorherigen Primärgeräts. Referenzen: Fortinet Public Cloud Security knowledge source documents or study guide.https://docs.fortinet.com/product/fortigate-public-cloud/7.2NEW FRAGE 17Sie sollen eine FortiGate HA-Lösung in Amazon Web Services (AWS) mithilfe von Terraform bereitstellen Welche zwei Schritte müssen Sie unternehmen, um diese Bereitstellung abzuschließen? (Wählen Sie zwei.) Aktivieren Sie die Automatisierung im AWS-Portal. Erstellen Sie einen AWS Identity and Access Management (IAM)-Benutzer mit entsprechenden Berechtigungen. Verwenden Sie CloudSheIl, um Terraform zu installieren. Erstellen Sie einen AWS Active Directory-Benutzer mit Berechtigungen. ErläuterungUm eine FortiGate HA-Lösung in AWS mit Terraform bereitzustellen, müssen Sie einen AWS IAM-Benutzer mit Berechtigungen für den Zugriff auf die von der FortiGate-VM benötigten AWS-Ressourcen und -Services erstellen. Außerdem müssen Sie die CloudShell verwenden, um Terraform zu installieren, ein Tool zum Erstellen, Ändern und Versionieren von Infrastruktur als Code.Referenzen:Bereitstellen von FortiGate-VM mithilfe von Terraform | AWS-VerwaltungshandbuchEinrichten von IAM-Rollen | AWS-VerwaltungshandbuchStarten der Instanz mithilfe von Rollen und Benutzerdaten | AWS-Verwaltungshandbuch Terraform von HashiCorpNEU FRAGE 18Sie werden gebeten, eine Lösung zu finden, um die bestehende VPC-Peering-Topologie zu ersetzen, um eine Verbindung mit höherer Bandbreite von Amazon Web Services (AWS) zum lokalen Rechenzentrum zu erhalten Welche beiden Lösungen erfüllen die Anforderung? (Wählen Sie zwei.) Verwenden Sie ECMP und VPN, um eine höhere Bandbreite zu erreichen. Verwenden Sie Transit-VPC, um mehrere VPC-Verbindungen zum lokalen Rechenzentrum aufzubauen. Verwenden Sie eine Transit-VPC mit Hub-and-Spoke-Topologie, um mehrere VPN-Verbindungen zum lokalen Rechenzentrum aufzubauen. Verwenden Sie die Transit-Gateway-Anlage mit VPN-Option, um mehrere VPN-Verbindungen zum lokalen Rechenzentrum zu erstellen. ErläuterungDie richtige Antwort ist C und D. Verwenden Sie eine Transit-VPC mit Hub-and-Spoke-Topologie, um mehrere VPN-Verbindungen zum lokalen Rechenzentrum zu erstellen. Laut der Fortinet-Dokumentation für Public Cloud Security ist eine Transit-VPC eine VPC, die als globales Netzwerk-Transitzentrum für die Verbindung mehrerer VPCs, Remote-Netzwerke und virtueller privater Netzwerke (VPNs) dient. Eine Transit-VPC kann eine Hub-and-Spoke-Topologie verwenden, um mehrere VPN-Verbindungen zum lokalen Rechenzentrum zu erstellen, wobei die FortiGate-VM als virtuelle Appliance eingesetzt wird, die Netzwerksicherheit und Bedrohungsschutz bietet. Eine Transit-VPC kann auch das Equal-Cost-Multi-Path-Routing (ECMP) nutzen, um eine höhere Bandbreite und einen Lastausgleich über mehrere VPN-Tunnel zu erreichen.1 Ein Transit-Gateway ist ein Netzwerk-Transit-Hub, der VPCs und lokale Netzwerke miteinander verbindet. Eine Transit-Gateway-Anlage ist eine Ressource, die eine VPC oder ein VPN mit einem Transit-Gateway verbindet. Sie können die Transit-Gateway-Anlage mit VPN-Option verwenden, um mehrere VPN-Verbindungen zum lokalen Rechenzentrum zu erstellen, wobei die FortiGate VM als virtuelle Appliance verwendet wird, die Netzwerksicherheit und Bedrohungsabwehr bietet.Eine Transit-Gateway-Anlage mit VPN-Option kann auch ECMP-Routing nutzen, um eine höhere Bandbreite und Lastverteilung über mehrere VPN-Tunnel zu erreichen2.Die anderen Optionen sind falsch, weil:Die Verwendung von ECMP und VPN zum Erreichen einer höheren Bandbreite ist keine vollständige Lösung, da nicht angegeben wird, wie die vorhandene VPC-Peering-Topologie ersetzt wird oder wie die AWS VPCs mit dem lokalen Rechenzentrum verbunden werden.Die Verwendung von Transit-VPC zum Aufbau mehrerer VPC-Verbindungen mit dem lokalen Rechenzentrum ist keine korrekte Lösung, da nicht angegeben wird, wie eine Hub-and-Spoke-Topologie verwendet wird oder wie ECMP-Routing für eine höhere Bandbreite genutzt wird.1Fortinet Dokumentationsbibliothek - Transit VPC auf AWS2:Fortinet Dokumentationsbibliothek - Bereitstellung von FortiGate VMs auf AWSNEW FRAGE 19Sie sollen eine FortiGate HA-Lösung in Amazon Web Services (AWS) mithilfe von Terraform bereitstellen. Welche zwei Schritte müssen Sie unternehmen, um diese Bereitstellung abzuschließen? (Wählen Sie zwei.) Erstellen Sie einen AWS Identity and Access Management (IAM)-Benutzer mit entsprechenden Berechtigungen. Aktivieren Sie die Automatisierung im AWS-Portal. Verwenden Sie CloudSheIl, um Terraform zu installieren. Erstellen Sie einen AWS Active Directory-Benutzer mit Berechtigungen. ErläuterungUm eine FortiGate HA-Lösung in AWS mit Terraform bereitzustellen, müssen Sie einen AWS IAM-Benutzer mit Berechtigungen für den Zugriff auf die von der FortiGate-VM benötigten AWS-Ressourcen und -Services erstellen. Außerdem müssen Sie die CloudShell verwenden, um Terraform zu installieren, ein Tool zum Erstellen, Ändern und Versionieren von Infrastruktur als Code.Referenzen:Bereitstellen von FortiGate-VM mithilfe von Terraform | AWS-VerwaltungshandbuchEinrichten von IAM-Rollen | AWS-VerwaltungshandbuchStarten der Instanz mithilfe von Rollen und Benutzerdaten | AWS-Verwaltungshandbuch Terraform von HashiCorpNEW FRAGE 20Beziehen Sie sich auf die Abbildung:Die Abbildung zeigt die Connect Peers-Einstellungen auf Amazon Web Services (AWS)-Transitgateway-Anlagen mit zwei FortiGate-VMS in einer Sicherheits-VPC. Welche beiden Aussagen sind richtig? (Wählen Sie zwei.) Die GRE-Adresse des Peers ist die IP-Adresse der externen FortiGate-Schnittstelle. Die Transit-Gateway-GRE-Adresse wird automatisch generiert. Die BGP-internen CIDR-Blöcke können jeder CIDR-Block mit /29 sein. Die Peer-GRE-Adresse ist die IP-Adresse der internen Schnittstelle des FortiGate. ErläuterungA: Die Peer-GRE-Adresse ist die IP-Adresse der externen Schnittstelle des FortiGate. Dies ist die IP-Adresse der FortiGate-Schnittstelle, die mit dem Transit-Gateway-Anhang subnet1 verbunden ist. Diese IP-Adresse wird verwendet, um den GRE-Tunnel zwischen dem FortiGate und dem Transit-Gateway2 aufzubauen. B. Die Transit-Gateway-GRE-Adresse wird automatisch generiert. Dies ist die IP-Adresse des Transit-Gateways, die für den Aufbau des GRE-Tunnels mit FortiGate2 verwendet wird. Diese IP-Adresse wird von AWS automatisch aus dem Transit-Gateway-CIDR-Bereich zugewiesen, den Sie beim Erstellen des Connect-Attachments angeben.3 Die anderen Optionen sind falsch, weil:Die BGP-Inside-CIDR-Blöcke können keine CIDR-Blöcke mit /29 sein. Sie müssen ein /29 CIDR-Block aus dem Bereich 169.254.0.0/16 für IPv4 oder ein /125 CIDR-Block aus dem Bereich fd00::/8 für IPv64 sein. Dies sind die internen IP-Adressen, die für BGP-Peering über den GRE-Tunnel verwendet werden.4 Die Peer-GRE-Adresse ist nicht die IP-Adresse der internen Schnittstelle des FortiGate. Die IP-Adresse der internen Schnittstelle wird verwendet, um den Datenverkehr vom FortiGate an das VPC-Subnetz zu leiten, in dem sich die Appliance eines Drittanbieters (z. B. SD-WAN) befindet1. Die Peer-GRE-Adresse wird verwendet, um den Datenverkehr vom FortiGate über den GRE-Tunnel zum Transit-Gateway zu leiten2.NEU FRAGE 21Beziehen Sie sich auf die AbbildungSie sind damit beauftragt, FortiGate mithilfe von Terraform zu implementieren. Wenn Sie während der Terraform-Installation den Befehl terraform version ausführen, erhalten Sie eine Fehlermeldung.Was könnte der Grund dafür sein, dass Sie den Fehler command not found erhalten? Sie müssen die Binärdatei in das Verzeichnis bin verschieben. Sie müssen das Verzeichnis in das Stammverzeichnis ändern. Sie müssen dem ec2-Benutzer die richtigen Berechtigungen zuweisen. Sie müssen Terraform neu installieren ErklärungNach der Terraform-Dokumentation für die Installation von Terraform unter Linux1 müssen Sie ein Zip-Archiv herunterladen, das eine einzelne Binärdatei namens terraform enthält. Sie müssen das Archiv entpacken und die Binärdatei in ein Verzeichnis verschieben, das in der PATH-Umgebungsvariable Ihres Systems enthalten ist, z. B. /usr/local/bin. Auf diese Weise können Sie den terraform-Befehl von jedem beliebigen Verzeichnis aus ausführen, ohne den vollständigen Pfad angeben zu müssen.1 Wenn Sie die Binärdatei nicht in das bin-Verzeichnis verschieben, erhalten Sie eine Fehlermeldung, dass der Befehl nicht gefunden wurde, wenn Sie versuchen, den terraform-Versionsbefehl auszuführen, wie im Screenshot gezeigt. Um diesen Fehler zu beheben, müssen Sie die Binärdatei in das bin-Verzeichnis verschieben oder den vollständigen Pfad der Binärdatei angeben, wenn Sie den Befehl ausführen1.1: Install Terraform | Terraform - HashiCorp LearnNEW QUESTION 22Refer to Exhibit:Nach der anfänglichen Terraform-Konfiguration in Microsoft Azure wird der terraform plan-Befehl ausgeführt Welche zwei Aussagen über die Ausführung des plan-Befehls sind richtig? (Wählen Sie zwei.) Der terraform plan-Befehl stellt die restlichen Ressourcen mit Ausnahme der Details des Dienstprinzips bereit. Sie können den Befehl terraform apply nicht vor dem Befehl terraform plan ausführen. Sie müssen den Befehl terraform init einmal ausführen, bevor Sie terraform plan ausführen. Der terraform plan-Befehl lässt terraform einen Trockenlauf durchführen. A ist falsch, weil der terraform plan-Befehl überhaupt keine Ressourcen bereitstellt. Es werden nur die Änderungen angezeigt, die vorgenommen werden würden, wenn der terraform apply Befehl ausgeführt würde. Die Fehlermeldung in der Abbildung zeigt an, dass die Service Principal Details ungültig sind, was bedeutet, dass Terraform sich nicht bei Azure authentifizieren und keine Ressourcen erstellen kann.1 B ist falsch, da Sie den terraform apply Befehl ausführen können, ohne vorher den terraform plan Befehl auszuführen. Der terraform apply Befehl generiert automatisch einen neuen Plan und fordert Sie auf, diesen zu genehmigen, bevor er angewendet wird2. Wenn Sie jedoch zuerst den Befehl terraform plan ausführen, können Sie die Änderungen in der Vorschau sehen und unerwünschte oder unerwartete Aktionen vermeiden.C ist richtig, weil Sie den Befehl terraform init einmal vor dem Befehl terraform plan ausführen müssen.Der Befehl terraform init initialisiert ein Arbeitsverzeichnis, das Terraform-Konfigurationsdateien enthält. Er lädt die Provider-Plugins, die für Ihre Konfiguration benötigt werden, herunter und installiert sie, wie z.B. den Azure Provider2. Außerdem wird ein verstecktes Verzeichnis namens .terraform erstellt, in dem die Plugin-Binaries und andere Metadaten gespeichert werden1. Ohne die Ausführung des terraform init-Befehls schlägt der terraform plan-Befehl fehl, weil er die erforderlichen Plugins oder Module nicht finden kann.D ist korrekt, weil der terraform plan-Befehl Terraform einen Trockenlauf durchführen lässt. Ein Trockenlauf ist eine Simulation dessen, was passieren würde, wenn Sie eine bestimmte Aktion ausführen würden, ohne sie tatsächlich durchzuführen. Der terraform plan Befehl erstellt einen Ausführungsplan, der eine Beschreibung der Aktionen ist, die Terraform durchführen würde, um Ihre Infrastruktur mit Ihrer Konfiguration abzustimmen2. Der Ausführungsplan zeigt Ihnen, welche Ressourcen erstellt, modifiziert oder zerstört werden und welche Attribute geändert werden. Der Ausführungsplan wirkt sich nicht auf Ihre Infrastruktur oder Ihre Statusdatei aus, bis Sie ihn mit dem Befehl terraform apply anwenden1.NEW QUESTION 23Welche drei wichtigen Schritte sind erforderlich, um Terraform mit Microsoft Azure Cloud Shell einzurichten? (Wählen Sie drei.) Richten Sie ein Speicherkonto in Azure ein. Verwenden Sie den Befehl -O, um Terraform herunterzuladen. Abonnieren Sie Terraform in Azure. Verschieben Sie die Terraform-Datei in das bin-Verzeichnis. Verwenden Sie den Befehl wget (te=aform vession), um Terraform hochzuladen. ErklärungUm Terraform mit Microsoft Azure Cloud Shell bereitzustellen, müssen Sie folgende Schritte durchführen:Richten Sie ein Speicherkonto in Azure ein. Dies ist erforderlich, um die Terraform-Statusdatei in einem Blob-Container zu speichern, der die Zusammenarbeit und die Persistenz der Infrastrukturkonfiguration ermöglicht.1 Verwenden Sie den Befehl wget (terraform_version), um Terraform hochzuladen. Dieser Befehl lädt die neueste Version von Terraform von der offiziellen Website herunter und speichert sie als Zip-Datei im aktuellen Verzeichnis2.Verschieben Sie die Terraform-Datei in das bin-Verzeichnis. Dieser Schritt extrahiert die ausführbare Terraform-Datei aus der ZIP-Datei und verschiebt sie in das bin-Verzeichnis, das Teil der Umgebungsvariablen PATH ist. So können Sie Terraform-Befehle von jedem beliebigen Verzeichnis in Cloud Shell2 ausführen. Die anderen Optionen sind falsch, denn: Sie müssen den Befehl -O nicht verwenden, um Terraform herunterzuladen. Dieser Befehl wird verwendet, um einen anderen Ausgabedateinamen für die heruntergeladene Datei anzugeben, ist aber für diese Aufgabe nicht notwendig.3 Sie müssen Terraform nicht in Azure abonnieren. Terraform ist ein Open-Source-Tool, das mit jedem Cloud-Anbieter verwendet werden kann, und für die Verwendung mit Azure ist kein Abonnement oder eine Registrierung erforderlich4. Referenzen:Aktualisieren der Routentabelle und Hinzufügen einer IAM-RichtlinieKonfigurieren von Terraform in der Azure Cloud Shell mit Bashwget(1) - Linux man pageTerraform von HashiCorpNEW QUESTION 24Beziehen Sie sich auf die AbbildungEin Administrator hat ein HA-Active-Active-Load-Balance-Sandwich in Microsoft Azure eingerichtet. Die Einrichtung erfordert eine Konfigurationssynchronisierung zwischen den Geräten. Welche zwei Ergebnisse ergeben sich aus den konfigurierten Einstellungen? (Wählen Sie zwei.) FortiGate-VM-Instanzen werden automatisch entsprechend den vordefinierten Arbeitslaststufen skaliert. FortiGate A und FortiGate B sind zwei unabhängige Geräte. Standardmäßig verwendet FortiGate FGCP Es synchronisiert den FortiGate-Hostnamen nicht. ErläuterungB: FortiGate A und FortiGate B sind zwei unabhängige Geräte. Das bedeutet, dass sie nicht Teil eines Clusters oder einer Hochverfügbarkeitsgruppe sind und dass sie nicht dieselbe Konfiguration oder Statusinformation teilen. Sie sind als eigenständige FortiGates mit aktivierter eigenständiger Konfigurationssynchronisierung1 konfiguriert. Diese Funktion ermöglicht es ihnen, die meisten ihrer Konfigurationseinstellungen miteinander zu synchronisieren, mit Ausnahme einiger Einstellungen, die das FortiGate im Netzwerk identifizieren, wie z. B. der Hostname1. D. Der FortiGate-Hostname wird nicht synchronisiert. Dies ist eine der Einstellungen, die, wie oben erwähnt, von der Synchronisierung der Standalone-Konfiguration ausgeschlossen sind. Der Hostname ist eine eindeutige Kennung für jedes FortiGate-Gerät und sollte durch den Synchronisierungsprozess nicht geändert werden.1 Die anderen Optionen sind falsch, weil:FortiGate-VM-Instanzen nicht automatisch entsprechend der vordefinierten Arbeitslast skaliert werden. Dies ist eine Funktion der automatischen Skalierungslösung für FortiGate-VM auf Azure, die eine andere Bereitstellung und Konfiguration erfordert als die in der Abbildung gezeigte2. Die Abbildung zeigt eine statische Bereitstellung von zwei FortiGate-VM-Instanzen hinter einem Azure-Load-Balancer, der keine automatische Skalierung unterstützt.2 Standardmäßig verwendet FortiGate kein FGCP. FGCP steht für FortiGate Clustering Protocol, das zur Synchronisierung von Konfigurations- und Statusinformationen zwischen FortiGate-Geräten in einem Cluster oder einer Hochverfügbarkeitsgruppe verwendet wird3. Die Abbildung zeigt jedoch, dass sich die FortiGates nicht in einem Cluster oder einer Hochverfügbarkeitsgruppe befinden und statt FGCP eine eigenständige Konfigurationssynchronisierung verwenden.NEUE FRAGE 25Beziehen Sie sich auf die AbbildungEin Kunde hat eine Umgebung in Amazon Web Services (AWS) bereitgestellt und versucht nun, ausgehenden Datenverkehr von den Instanzen Linux1 und Linux2 über die Sicherheits-VPC (Virtual Private Cloud) ins Internet zu senden. Die FortiGate-Richtlinien sind so konfiguriert, dass sie den gesamten ausgehenden Datenverkehr zulassen; der Datenverkehr erreicht jedoch nicht die interne FortiGate-Schnittstelle. Angenommen, es gibt keine Probleme mit der Transit Gateway (TGW)-Konfiguration Welche zwei Einstellungen muss der Kunde hinzufügen, um das Problem zu beheben? (Wählen Sie zwei.) Beide Landing Subnets in den Spoke VPCs müssen eine 0.0.0.0/0-Verkehrsroute zum Internet Gateway (IOW) haben. Beide Landing-Subnets in den Spoke-VPCs müssen eine 0.0.00/0-Verkehrsroute zur TGW haben. Beide Landing-Subnets in der Sicherheits-VPC müssen eine Verkehrsroute 0.0.0.0/0 zum FortiGate port2 haben. Die vier Landing Subnets in allen VPCs müssen eine 0.0.0.0/0-Verkehrsroute zur TGW haben. ErklärungDie richtige Antwort ist B und C. Beide Landing-Subnets in den Speichen-VPCs müssen eine 0.0.0.0/0-Verkehrsroute zur TGW haben. Beide Landing-Subnetze in der Sicherheits-VPC müssen über eine 0.0.0.0/0-Verkehrsroute zum FortiGate-Port2 verfügen. Laut AWS-Dokumentation für Transit Gateway ist ein Transit Gateway ein Netzwerk-Transit-Hub, der VPCs und lokale Netzwerke miteinander verbindet. Um ausgehenden Datenverkehr von den Linux-Instanzen über die Sicherheits-VPC an das Internet zu senden, müssen Sie die folgenden Schritte ausführen:Fügen Sie in der Routing-Tabelle des Hauptsubnetzes in den Spoke-VPCs eine neue Route mit dem Ziel 0.0.0.0/0 und dem nächsten Hop TGW hinzu. Diese Route leitet den gesamten Datenverkehr von den Linux-Instanzen an die TGW weiter, die ihn dann auf der Grundlage der TGW-Routentabelle an das entsprechende Ziel weiterleiten kann.Fügen Sie in der Routing-Tabelle des Hauptsubnetzes in der Sicherheits-VPC eine neue Route mit dem Ziel 0.0.0.0/0, nächster Hop FortiGate port2, hinzu. Diese Route leitet den gesamten Datenverkehr von der TGW zur internen Schnittstelle des FortiGate, wo er geprüft und von den FortiGate-Richtlinien zugelassen werden kann.Die anderen Optionen sind falsch, weil:Hinzufügen einer 0.0.0.0/0-Verkehrsroute zum Internet-Gateway (IGW) in den Spoke-VPCs ist nicht korrekt, da dies die TGW und die Sicherheits-VPC umgehen und den gesamten Verkehr direkt ins Internet senden würde.Das Hinzufügen einer 0.0.0.0/0-Verkehrsroute zur TGW in allen VPCs ist nicht erforderlich, da nur die Spoke-VPCs Verkehr an die TGW senden müssen. Die Sicherheits-VPC muss Verkehr an den FortiGate-Port2 senden.Transit-Gateways - Amazon Virtual Private Cloud:Fortinet Documentation Library - Deploying FortiGate VMs on AWSNEW QUESTION 26Welche zwei Anhänge sind erforderlich, um ein Transit-Gateway mit BGP an eine bestehende VPC anzuschließen? (Wählen Sie zwei aus) Ein Transport-Anhang Ein BGP-Anhang Ein Connect-Anhang Ein GRE-Anhang ErklärungDie richtige Antwort ist A und C. Ein Transport-Attachment und ein Connect-Attachment sind erforderlich, um ein Transit-Gateway mit BGP an eine bestehende VPC anzuschließen.Laut AWS-Dokumentation für Transit Gateway ist ein Transit-Gateway ein Netzwerk-Transit-Hub, der VPCs und lokale Netzwerke verbindet. Um ein Transit-Gateway mit BGP an eine bestehende VPC anzuschließen, müssen Sie die folgenden Schritte ausführen:Erstellen Sie ein Transport-Attachment. Ein Transport-Attachment ist eine Ressource, die ein VPC oder VPN mit einem Transit-Gateway verbindet. Sie können die BGP-Optionen für das Transport-Attachment angeben, z. B. die Nummer des autonomen Systems (ASN) und die BGP-Peer-IP-Adresse.Erstellen Sie ein Connect-Attachment. Ein Connect Attachment ist eine Ressource, die es Ihnen ermöglicht, Ihre eigene Appliance zu verwenden, um Netzwerkdienste für den Datenverkehr bereitzustellen, der durch das Transit-Gateway fließt. Sie können ein Connect-Attachment verwenden, um den Datenverkehr zwischen dem Transport-Attachment und Ihrer Appliance mithilfe von GRE-Tunneln und BGP zu routen.Die anderen Optionen sind falsch, weil:Ein BGP-Attachment ist kein gültiger Attachmenttyp für ein Transit-Gateway. BGP ist ein Protokoll, das dynamisches Routing zwischen dem Transit-Gateway und dem VPC oder VPN ermöglicht.Ein GRE-Attachment ist kein gültiger Attachment-Typ für ein Transit-Gateway. GRE ist ein Protokoll, das Pakete für Tunneling-Zwecke einkapselt. GRE-Tunnel werden zwischen dem Connect-Attachment und Ihrer Appliance aufgebaut. [Transit Gateways - Amazon Virtual Private Cloud] : [Transit Gateway Connect - Amazon Virtual Private Cloud]NEW FRAGE 27Beziehen Sie sich auf die AbbildungSie stellen zwei FortiGate VMS im HA-Aktiv-Passiv-Modus mit Load Balancern in Microsoft Azure bereit. Welche zwei Aussagen treffen in diesem Lastausgleichsszenario zu? Die öffentliche IP-Adresse von FortiGate ist der Next-Hop für den gesamten Datenverkehr. Ein interner Load Balancer-Listener ist der Next-Hop für den ausgehenden Datenverkehr. Sie müssen eine Route zu dem Microsoft-VIP hinzufügen, das für die Zustandsprüfung verwendet wird. Für den Lastausgleich kann eine dedizierte Verwaltungsschnittstelle verwendet werden. A ist nicht korrekt, da die öffentliche IP-Adresse des FortiGate nicht der Next-Hop für den gesamten Datenverkehr ist. Die öffentliche IP-Adresse von FortiGate wird nur für eingehenden Datenverkehr aus dem Internet verwendet. Der Azure-Load-Balancer verteilt den eingehenden Datenverkehr an die aktive FortiGate-VM, basierend auf einer Gesundheitsprobe123. Die öffentliche IP-Adresse von FortiGate wird nicht für ausgehenden oder internen Datenverkehr verwendet.B ist richtig, da ein interner Load Balancer-Listener der nächste Anlaufpunkt für ausgehenden Datenverkehr ist. Der interne Load Balancer-Listener ist mit einer schwebenden IP-Adresse konfiguriert, die der aktiven FortiGate-VM zugewiesen ist. Der interne Load Balancer-Listener verfügt außerdem über eine Health Probe zur Überwachung des Status der FortiGate-VMs123. Der interne Load Balancer-Listener leitet den ausgehenden Datenverkehr über den öffentlichen Load Balancer an das Internet weiter.C ist falsch, da Sie keine Route zum Microsoft-VIP hinzufügen müssen, das für die Zustandsprüfung verwendet wird. Das Microsoft-VIP ist eine interne IP-Adresse, die vom Azure-Load-Balancer verwendet wird, um Health Probes an die FortiGate-VMs zu senden123. Das Microsoft-VIP ist von außerhalb des Azure-Netzwerks nicht erreichbar und erfordert keine Routing-Konfiguration auf den FortiGate-VMs.D ist richtig, da eine dedizierte Verwaltungsschnittstelle für den Lastausglei