このページは Free Exams Dumps Materials [ http://exams.dumpsmaterials.com ] からエクスポートされました。 エクスポート日時:Thu Dec 12 1:45:50 2024 / +0000 GMT ___________________________________________________ タイトル: [2024年12月11日] FCP_FGT_AD-7.4模擬試験ダンプ-フォーティネット試験[Q26-Q45]で99%マークス --------------------------------------------------- [2024年12月11日】FCP_FGT_AD-7.4模擬試験ダンプツ-フォーティネット試験で99%マークス 更新された検証済みのFCP_FGT_AD-7.4 Q&A-合格保証または全額返金 NO.26 コレクタエージェント アドバンスモードの2つの機能は何ですか(2つ選択してください)。 アドバンスモードでは、FortiGateをLDAPクライアントとして構成し、FortiGate上でグループフィルタを構成できます。 Advanced モードでは、ネストされたグループまたは継承されたグループをサポートします。 Advanced モードでは、セキュリティ プロファイルを個々のユーザーではなく、ユーザー グループにのみ適用できます。 Advanced モードでは、Windows の -NetBios:ドメインユーザー名。 Advancedモードでは、LDAPクライアントとして構成でき、FortiGateで直接グループ フィルタリングをサポートするほか、ネスト化されたグループや継承されたグループもサポートします。外部のWebサイトにアクセスしようとすると、ユーザーにログインプロンプトが表示されません。この状況の最も考えられる理由は何ですか? ファイアウォール ポリシーでサービス DNS が必要です。 ユーザーが不正なユーザー名を使用している。 宛先にRemote-usersグループが追加されていない。 このユーザーに一致するユーザーアカウントが存在しない。 ファイアウォール認証では通常、認証プロセス中にホスト名を正しく解決するために、ファイアウォールポリシーで DNS サービスが有効になっている必要があります。ファイアウォール ポリシーでDNSが許可されていない場合、FortiGateは外部ドメインを解決できず、その結果、外部のWebサイトにアクセスしようとしたときにログイン プロンプトが表示されないことがあります:ファイアウォール ポリシーの宛先フィールドで選択できる項目はどれですか? IPプール VIPオブジェクト VIPグループ VIPオブジェクトのマップされたIPアドレスオブジェクト - 中央 NAT が有効な場合 => VIP オブジェクトのマップされた IP アドレスを入力します。 - 中央 NAT が無効な場合 => VIP オブジェクトを入力します。FortiGate の中央 DNAT および仮想 IP のコンテキストで、ファイアウォール ポリシーの [宛先] フィールドの正しいオプションは次のとおりです。VIPオブジェクトのマップされたIPアドレスオブジェクト中央DNATを設定する場合、通常、ファイアウォール ポリシーの[Destination]フィールドでVIPオブジェクトに関連付けられているマップされたIPアドレスオブジェクトを選択します。このマップされたIPアドレスは、トラフィックがリダイレクトされる内部宛先を表します。NO.29 展示に示されているIPSセンサーとDoSポリシーの構成を調べてから、以下の質問に答えてください。攻撃を検出するとき、FortiGateはどの異常、シグネチャ、またはフィルタを最初に評価しますか? SMTP.ログイン.ブルート.フォース IMAP.ログイン.ブルートフォース ip_src_session 場所:サーバー プロトコルSMTP IMAP.Login.brute.Force異常はゼロデイまたはサービス拒否攻撃である可能性がありますbehaivoral分析によって検出されます:レートベースIPSシグネチャ.DoSポリシー.プロトコル制約検査.このシナリオではDoSポリシーが無効になっています。 セキュリティファブリック内のデバイスでのみ実行できます。 ファブリック内のダウンストリームデバイスでのみ作成できる。 1つ以上のトリガを持つことができます。 複数のアクションを同時に実行できます。 NO.31 ネットワーク図とルーティングテーブル出力が含まれている展示を参照してください。生徒がWebサーバーにアクセスできません。問題の原因と解決策は何ですか? 生徒から送信された最初のパケットは、RPFチェックに失敗しました。この問題は、wan1経由で10.0.4.0/24へのスタティックルートを追加することで解決できます。 生徒の最初の返信パケットがRPFチェックに失敗した。この問題は、wan1 経由で 10.0.4.0/24 にスタティックルートを追加することで解決できます。 生徒の最初のリプライパケットは、RPFチェックに失敗しました。この問題は、ポート3を経由する203.0.114.24/32への静的ルートを追加することで解決できます。 生徒から送信された最初のパケットがRPFチェックに失敗した。この問題は、ポート3を通して203.0.114.24/32に静的ルートを追加することで解決できます。 Studentの最初の返信パケットがRPFチェックに失敗した。この問題は、port3を通して203.0.114.24/32に静的ルートを追加することで解決できます。提供された情報に基づくと、選択肢Cが正しい答えです:"Studentに対する最初のリプライパケットは、RPFチェックに失敗しました。この問題は、ポート3を通して203.0.114.24/32にスタティックルートを追加することで解決できます。"この問題は、学生からの最初のリプライ・パケットがリバース・パス転送(RPF)チェックに失敗したことに関連しており、"port3 "を経由して203.0.114.24/32に静的ルートを追加することで問題が解決するのであれば、この解決策を進めることができます。典型的なRPFチェック・シナリオでは、ルーティング・テーブルに基づいて、着信パケットが期待されるインタフェースに到着することを保証します。典型的なRPFチェックのシナリオでは、着信パケットがルーティング・テーブルに基づいて期待されるインタフェースに到着することを確認します。「port3」を経由して203.0.114.24/32にスタティック・ルートを追加すると、ルーティングが誤って設定されている場合、確かにRPFの問題が解決されるかもしれません。NO.32アプリケーションコントロールプロファイルモードに関する記述のうち、正しいものはどれですか。(2つ選んでください)。 使用する検査モードに関係なく、フローベースのスキャン技術を使用します。 IPSスキャンと併用することはできません。 フローベースまたはプロキシベースのファイアウォール ポリシーで選択できます。 安全でないプロトコルのみをスキャンできます。 C. フローベースまたはプロキシベースのファイアウォールポリシーで選択できます。アプリケーション制御プロファイルは、IPS(侵入防御システム)スキャンと組み合わせて使用できるため、Bは正しくありません。アプリケーション制御プロファイルは、安全なプロトコルと安全でないプロトコルの両方をスキャンできるため、Dは正しくありません。SSL証明書の検査が有効になっているときに、FortiGateがSSLサーバーのホスト名を識別するために使用する3つの情報はどれですか? (3つを選択してください)。 HTTPヘッダのホストフィールド。 クライアントHelloメッセージ内のサーバー名表示(SNI)拡張子。 サーバー証明書のサブジェクト代替名(SAN)フィールド。 サーバー証明書の subject フィールド。 サーバー証明書のシリアル番号。 FortiGateデバイスでSSL証明書の検査が有効になっている場合、システムは以下の3つの情報を使用してSSLサーバーのホスト名を識別します:SNIはSSL/TLSプロトコルのクライアントハローメッセージの拡張です。これは、クライアントが接続しようとしているホスト名を示します。サーバ証明書のSAN(Subject Alternative Name)フィールド(C):サーバ証明書のSANフィールドには、証明書が有効な追加のホスト名またはIPアドレスが記載されています。サーバ証明書の Subject フィールド(D): Subject フィールドには、証明書が発行されたプライマリ ホスト名またはドメイン名が含まれます。FortiGateは、この情報を使用して、SSL証明書検査中にサーバーのIDを照合し、検証します。その他のオプションは、ホスト名識別のためのSSL証明書検査では使用されません:サーバー証明書のシリアル番号(E): シリアル番号は、証明書の管理と失効に使用され、ホスト名の識別には使用されません。参考文献* 『FortiOS 7.4.1 管理ガイド - SSL/SSH 検査』1802 ページ。システムパフォーマンス出力とFortiGateの高メモリ使用量しきい値のデフォルト構成を示す図を参照してください。(2つ選んでください)。 FortiGate は、すべてのファイルを FortiSandbox に送信して検査を開始します。 FortiGateは保存モードに入りました。 管理者は構成を変更できません。 管理者は、コンソール ポートからのみFortiGateにアクセスできます。 NO.35 構成設定に関する記述のうち、正しいものはどれですか? リモート ユーザーが http://10.200.1.1:443 にアクセスすると、SSL-VPN ログイン ページが開きます。 リモートユーザーがhttps://10.200.1.1:443、SSL-VPNログインページが開きます。 リモート ユーザーが https://10.200.1.1:443 にアクセスすると、FortiGate のログイン ページが開きます。 設定が無効です。管理者設定とSSL-VPN設定で同じポートを使用できない。 B.このシナリオでは、リモート ユーザーは、通常SSL-VPNアクセスに使用されるHTTPS(ポート443)を使用してFortiGateデバイスにアクセスしています。このシナリオでは、リモートユーザーはHTTPS(ポート443)を使用してFortiGateデバイスにアクセスしています。したがって、このアドレスとポートでデバイスにアクセスすると、ユーザーが認証してVPN接続を確立するためのSSL-VPNログインページが開くはずです。 アンダーレイゾーンには、ポート1と d-wanゾーンにはメンバーが含まれていません。 d-wanゾーンは削除できません。 仮想WANリンクゾーンにはメンバーが含まれていません。 NO.37 FortiGate HA構成の同期に関する2つの記述のうち、正しいものはどれですか?(2つ選んでください)。 構成が同じであることを確認するために、デバイスのチェックサムが互いに比較されます。 設定のインクリメンタル同期は、プライマリFortiGateデバイスで行われた変更からのみ発生します。 増分構成の同期は、HAクラスタ内のどのFortiGateデバイスで行われた変更からも実行できます。 一部の構成項目は他のHAメンバーに同期されないため、デバイスのチェックサムは互いに異なります。 NO.38 展示を参照してください。展示に示されているインターフェイスを考えると、どの2つの記述が正しいですか?(2つ選んでください)。 ポート2とポート2-vlan1間のトラフィックはデフォルトで許可されています。 port1-vlan10 と port2-vlan10 は同じブロードキャストドメインの一部です。 port1-vlan1とport2-vlan1は、同じVDOMまたは異なるVDOMに割り当てることができます。 port1はネイティブVLANです。 C: port1-vlan1とport2-vlan1は、同じVDOMまたは異なるVDOMに割り当てることができます。D: port1はネイティブVLANです。サブネット10.0.1.0/24はVDOM1に接続されています。サブネット10.0.2.0/24はVDOM2に接続されています。また、VDOM1とVDOM2には必要なファイアウォールポリシーが設定されています。VDOM間リンクを経由して両サブネット間のトラフィックをルーティングするために、FortiGateの構成で必要なスタティックルートはどれか2つ選択してください。(2つ選択してください)。 宛先サブネットがVDOM間リンクに割り当てられたサブネットと一致するVDOM1のスタティックルート 宛先サブネットが10.0.1.0/24のVDOM2のスタティックルート 宛先サブネットが10.0.2.0/24のVDOM1のスタティックルート VDOM2内のスタティックルートで、宛先サブネットがVDOM間リンクに割り当てられたサブネットと一致するルート VDOM間リンクを通じて両方のサブネット間でトラフィックをルーティングするためにFortiGateの設定に必要なスタティックルートは、次の2つです。宛先サブネット10.0.1.0/24Cに対するVDOM2のスタティックルート。VDOM1の宛先サブネット10.0.2.0/24に対するスタティックルートVDOM1では、宛先サブネット10.0.2.0/24に対するスタティックルートは、VDOM2のサブネット宛てのトラフィックをVDOM間リンクを通じてルーティングするために必要です。VDOM2では、宛先サブネット10.0.1.0/24に対するスタティックルートは、VDOM1のサブネット宛てのトラフィックをVDOM間リンクを通じてルーティングするために必要です。複数のセキュリティプロファイルで構成されたファイアウォールポリシーを示す展示を調べてください。IPSエンジンによって処理される2つのセキュリティプロファイルはどれですか(2つ選択してください)。 Webフィルタ IPS アンチウイルス アプリケーション制御 FortiGateがプロキシ検査モードに設定されているとき、IPSエンジンが処理するセキュリティ プロファイルは、アプリケーション制御とIPSです。このモードでは、FortiGateはクライアントとサーバ間の仲介役として動作し、セキュリティ ポリシーを実施するためにトラフィックを傍受および検査します。NO.41FortiGateがサポートするIPsec IKEv1認証の2つの機能はどれですか。(2つ選択してください) 認証方法としての事前共有鍵と証明書署名 リモートピアにユーザー名とパスワードの提供を要求する拡張認証(XAuth) 拡張認証 (XAuth) は、交換するパケット数が少ないため、より高速な認証を実現します。 認証方法として証明書署名を設定する場合、リモート ピアの証明書は不要です。 FortiGateは、IKEv1認証で事前共有鍵と証明書署名の両方の方法をサポートしています。これらの方法は、ネットワークのセキュリティ要件に応じた柔軟性を提供します。さらに、FortiGateは、リモート ピアからユーザー名とパスワードを要求する拡張認証(XAuth)をサポートしており、認証のレイヤーを追加することで、セキュリティを強化しています。XAuth メソッドは、必ずしも認証を高速化するわけではありません:展示物を参照してください。展示物に示されているネットワークでは、WebクライアントがHTTP Webサーバーに接続できません。管理者は、FortiGate内蔵のスニッファを実行して、図のような出力を得ました。 Webサーバ上でスニッファを実行します。 ポート1に接続された外部スニッファを使用してトラフィックをキャプチャします。 FortiGateで別のスニッファを実行し、今度はフィルタ "host 10.0.1.10 "を設定します。 デバッグフローを実行します。 デバッグフローを実行します。snifferではingingとegressingのパケットが表示されますが、fortigateでドロップされたパケットはsnifferでは確認できないためです。デバッグでは、fortigateに起因する何らかの理由でパケットが入ってきていないことがわかります。NO.43ある従業員が、高遅延のインターネット接続を介してオフィスに接続する必要があります。SSL VPN ネゴシエーションの失敗を防ぐために、管理者が調整すべき SSL VPN 設定はどれですか? SSL VPNアイドルタイムアウト SSL VPN ログインタイムアウト SSL VPN dtls-hello-タイムアウト SSL VPN セッションタイムアウト NO.44 FortiGateの等コストマルチパス(ECMP)構成に関する記述のうち、正しいものはどれですか。(2つ選んでください)。 SD-WANが有効な場合、load-balance-modeパラメータでロードバランシングアルゴリズムを制御します。 SD-WANが無効の場合、パラメータv4-ecmp-modeをvolume-basedに設定できます。 SD-WANが有効な場合、ECMPの一部となる不均等な距離と優先度の値を持つルートを設定できます。 SD-WANが無効の場合、configシステム設定でロードバランシングアルゴリズムを構成します。 FortiGateでSD-WANが有効な場合、Equal-Cost Multi-Path(ECMP)のロードバランシングアルゴリズムは、SD-WAN設定のload-balance-modeパラメ