이 페이지는 무료 시험 덤프 자료 [ http://exams.dumpsmaterials.com ]에서 가져온 것입니다. 내보내기 날짜:Thu Dec 12 7:33:37 2024 / +0000 GMT ___________________________________________________ 제목: [Q21-Q42] DumpsMaterials NSE7_EFW-7.2 실제 시험 문제 답변 업데이트 [Apr 28, 2024] --------------------------------------------------- 덤프자료 NSE7_EFW-7.2 실제 시험 문제 답안 업데이트 [Apr 28, 2024] 50개의 질문으로 쉽게 통과하는 새로운 포티넷 NSE7_EFW-7.2덤프 NO.21 메타데이터 변수에 대한 다음 두 문장은 어느 것이 참입니까? (두 개를 선택하십시오.) 포티게이트에서 생성한다. 방화벽이 아닌 개체에만 적용됩니다. 메타데이터 형식은 $입니다. 스크립트에서 변수로 사용할 수 있습니다. 메타데이터 변수는 객체 또는 장치에 대한 추가 정보를 저장하기 위해 FortiManager에서 만들 수 있는 사용자 정의 필드입니다. 진자2 CLI 템플릿 또는 스크립트에서 변수로 사용하여 여러 장치 또는 개체에 구성을 적용할 수 있습니다. 방화벽이 아닌 객체에만 적용되는 것이 아니라 주소, 서비스, 정책 등과 같은 방화벽 객체에도 적용됩니다. 메타데이터 형식은 $이 아니라 @@입니다. 참조 := 메타 필드 변수를 사용하는 메타데이터 변수는 방화벽 개체 구성, 기술 팁에서 지원됩니다: 새로운 메타 변수 및 진자 템플릿을 포함한 메타 변수 사용법, 기술 팁을 참조하세요: 메타데이터 변수로 방화벽 개체 사용NO.22 보안 패브릭에 대한 다음 중 참인 진술은 무엇인가요? (두 개 선택) 포티게이트는 포티텔레메트리 프로토콜을 사용하여 포티애니타이저와 통신합니다. 루트 포티게이트만 포티애널라이저로 로그를 보냅니다. 구성 동기화가 설정된 포티게이트 장치만 루트 포티게이트가 전송하는 글로벌 CMDB 개체를 수신하고 동기화합니다. 루트 FortiGate만 네트워크 토폴로지 정보를 수집하여 FortiAnalyzer로 전달합니다. 보안 패브릭에서는 루트 FortiGate만이 로그를 FortiAnalyzer(B)로 전송합니다. 또한 구성 동기화가 활성화된 포티게이트 장치만 루트 포티게이트가 전송하는 글로벌 중앙 관리 데이터베이스(CMDB) 개체를 수신하고 동기화합니다(C). 포티게이트는 포티분석기(A)가 아닌 다른 포티게이트와 통신할 때 포티텔레메트리 프로토콜을 사용합니다. 마지막 옵션(D)은 모든 FortiGate가 네트워크 토폴로지 정보를 수집하여 FortiAnalyzer로 전달할 수 있으므로 올바르지 않습니다.참고: * FortiOS 핸드북 - 보안 패브릭NO.23 IPS를 활성화한 후 트래픽이 삭제된다는 피드백을 받습니다.그 이유는 무엇일 수 있습니까? Np-accel-mode가 활성화로 설정되어 있습니다. 트래픽 제출이 비활성화로 설정되어 있습니다. IPS가 모니터링하도록 구성되어 있습니다. 실패 열기가 사용 안 함으로 설정됨 실패 개방은 센서에 장애가 발생하거나 과부하가 걸린 경우 검사 없이 트래픽이 IPS 센서를 통과할 수 있도록 하는 기능입니다. 실패 열림을 비활성화로 설정하면 이러한 시나리오에서 트래픽이 삭제됩니다1. 참조: = IPS | 포티게이트 / 포티OS 7.2.3 - 포티넷 설명서 NO.24 동일한 포티게이트의 두 주소 개체의 구성을 보여주는 예시를 참조하십시오.엔지니어링 주소 개체는 수정할 수 있지만 재무 주소 개체는 수정할 수 없는 이유는 무엇입니까? 읽기 전용 액세스 권한이 있습니다. FortiGate가 보안 패브릭에 가입되었고 재무 주소 개체가 루트 FortiGate에 구성되었습니다. FortiGate가 FortiManager에 등록되어 있습니다. 다른 사용자가 작업 공간 모드에서 재무 주소 개체를 편집하고 있습니다. 엔지니어링 주소 개체는 수정할 수 있지만 재무 주소 개체는 수정할 수 없다는 것은 재무 개체가 보안 패브릭의 상위 기관(아마도 루트 FortiGate)에서 관리되고 있음을 의미합니다. FortiGate가 보안 패브릭의 일부인 경우 주소 객체 및 기타 구성을 중앙에서 관리할 수 있습니다. 이는 보안 패브릭 및 주소 개체의 중앙 관리에 대한 포티넷 FortiGate 설명서와 일치합니다.25번 예시: OSPF 인터레이스에 대한 정보를 보여주는 예시를 참조하십시오.이 명령 출력에서 어떤 두 가지 결론을 도출할 수 있습니까? (두 개를 선택하십시오.) 포트3 네트워크에 OSPF 라우터가 한 대 더 있다. OSPF 라우터는 영역 ID가 0.0.0.1이다. OSPF 라우터의 인터페이스는 1500으로 구성된 MTU 값과 일치합니다. NGFW-1이 지정된 라우터입니다. 26번 ADVPN 네트워크가 표시된 그림을 참고하십시오.ADVPN 기능이 작동하려면 허브에 어떤 VPN 1단계 매개 변수를 구성해야 합니까? (두 개를 선택하십시오.) 자동 검색-포워더 활성화 설정 추가 경로 활성화 설정 자동 검색-수신기 활성화 설정 자동 검색-발신자 활성화 설정 ADVPN 기능이 허브에서 제대로 작동하려면 다음 1단계 매개변수를 구성해야 합니다. set auto-discovery-forwarder enable: 허브가 직접 터널을 설정하는 데 필수적인 바로 가기 정보를 스포크에 전달할 수 있도록 설정합니다.C). 자동 검색-수신기 활성화 설정: 허브가 직접 터널을 설정하는 데 필수적인 바로 가기 정보를 스포크에 전달할 수 있도록 설정합니다: 이렇게 하면 허브가 스포크에서 바로 가기 제안을 수신할 수 있습니다.이 정보는 포티넷 설명서에 의해 확증되며, 이 설명서는 ADVPN 설정에서 허브가 스포크 간 동적 터널 생성을 위해 바로 가기 정보를 전달하고 수신할 수 있어야 한다고 설명합니다.27 보안 I auric의 어떤 FortiGate가 FortiAnalyzer에 토그를 전송합니까? 루트 포티게이트만 전송합니다. 보안 패브릭의 각 FortiGate. NAT(네트워크 주소 변환) 또는 UTM(통합 위협 관리)을 수행하는 FortiGate 장치(구성된 경우). 보안 패브릭에서 세션을 처리한 마지막 FortiGate만. * 보안 패브릭의 각 FortiGate는 중앙 집중식 로깅 및 분석을 위해 로그를 FortiAnalyzer로 전송할 수 있으므로 옵션 B가 올바릅니다12. 이를 통해 단일 콘솔에서 전체 보안 패브릭을 모니터링 및 관리하고 집계된 보고서 및 대시보드를 볼 수 있습니다.* 옵션 A는 루트 FortiGate가 FortiAnalyzer로 로그를 보낼 수 있는 유일한 장치가 아니므로 올바르지 않습니다. 루트 FortiGate는 보안 패브릭을 시작하고 다른 FortiGate 장치에 대한 중앙 연락 지점 역할을 하는 장치입니다3. 그러나 FortiAnalyzer의 유일한 로그 소스일 필요는 없습니다.* NAT 또는 UTM을 수행하는 FortiGate 장치만이 FortiAnalyzer로 로그를 보낼 수 있는 장치는 아니므로 옵션 C는 올바르지 않습니다. 이러한 장치는 방화벽, 안티바이러스, 웹 필터링 등과 같이 통과하는 트래픽에 대해 추가 보안 기능을 수행할 수 있습니다4. 그러나 보안 패브릭에서 로그를 생성하는 유일한 장치는 아닙니다.* 보안 패브릭에서 세션을 처리한 마지막 FortiGate가 FortiAnalyzer로 로그를 보낼 수 있는 유일한 장치는 아니므로 옵션 D는 올바르지 않습니다. 마지막 FortiGate는 세션을 종료하고 최종 보안 정책을 적용하는 장치입니다5. 그러나 이 장치만이 세션 정보를 포티애널라이저에 보고하는 유일한 장치일 필요는 없습니다. 참조: =* 1: 보안 패브릭 - 포티넷 설명서1* 2: 포티애널라이저 데모6* 3: 보안 패브릭 토폴로지* 4: 보안 패브릭 UTM 기능* 5: 보안 패브릭 세션 처리NO.28 네트워크 프로세서(NP) 오프로딩에 대한 다음 중 참은 어느 것입니까? TCP 트래픽의 경우 FortiGate CPU는 3자 핸드셰이크의 첫 번째 SYN/ACK 및 ACK 패킷을 NP로 오프로드합니다. NP는 IPS 시그니처 매칭을 제공합니다. 명령을 사용하여 각 방화벽 정책에 대해 NP를 비활성화할 수 있습니다(np-acceleration st to loose). NP는 세션 키 또는 IPSec SA를 확인합니다. NP(네트워크 프로세서)는 특정 보안 기능을 가속화하는 FortiGate 장치 내의 특수 하드웨어입니다. NP의 주요 기능 중 하나는 알려진 위협 시그니처 데이터베이스에 대해 트래픽을 고속으로 검사할 수 있도록 IPS 시그니처 매칭(B)을 제공하는 것입니다.NO.29 포티매니저의 VPN 매니저를 사용하여 VPN 커뮤니티를 만들었습니다. 또한 VPN 커뮤니티에 게이트웨이를 추가했습니다. 이제 터널을 통한 트래픽을 허용하는 방화벽 정책을 만들려고 하지만 VPN 인터페이스가 사용 가능한 옵션으로 나타나지 않습니다. 정책에서 사용하기 전에 IPsec VPN 인터페이스에 대한 인터페이스 매핑을 만드세요. 장치 관리자를 사용하여 장치 상태를 새로 고쳐 FortiGate가 IPSec 인터페이스를 채우도록 합니다. 처음에 구성하지 않은 1단계 설정을 VPN 커뮤니티에서 구성합니다. 필요한 설정을 구성한 후 FortiGate가 자동으로 인터페이스를 생성합니다. VPN 커뮤니티 및 게이트웨이 구성을 fortiGate 장치에 설치하여 VPN 인터페이스가 fortiManager의 정책 개체에 나타나도록 합니다. 정책에서 VPN 인터페이스를 사용하려면 먼저 FortiGate 장치에 VPN 커뮤니티 및 게이트웨이 구성을 설치해야 합니다. 이렇게 하면 포티게이트에 VPN 인터페이스가 생성되고 포티매니저와 동기화됩니다. 참고자료:* IPsec VPN 커뮤니티 만들기* VPN | FortiGate / FortiOS 7.2.0NO.30 전시물.BGP 이웃에 대한 정보를 제공하는 전시물을 참조하십시오.이 명령 출력에서 어떤 결론을 내릴 수 있습니까? 라우터는 원격 피어와 일치하는 번호에 있습니다. 원격 피어와 일치하도록 AS 번호를 변경해야 합니다. BGP가 BGP 피어와 TCP 연결을 설정하려고 시도하고 있습니다. 사용하도록 설정할 bfd 구성입니다. BGP 상태가 "유휴"로, BGP가 피어와 TCP 연결을 설정하려고 시도 중임을 나타냅니다. 이 상태는 BGP 유한 상태 머신의 첫 번째 상태이며, 아직 TCP 연결이 설정되지 않았음을 의미합니다. TCP 연결이 실패하면 BGP 상태는 구성에 따라 활성 또는 유휴로 재설정됩니다. 참조: BGP 상태 및 문제 해결에 대한 자세한 내용은 다음 포티넷 엔터프라이즈 방화벽 7.2 문서에서 확인할 수 있습니다.* BGP 문제 해결* BGP 작동 방식NO.31 참고자료.ADVPN 네트워크 다이어그램과 일부 BGP 구성이 포함된 참고자료를 참조하십시오. 구성 이웃 범위에서 구성해야 하는 매개변수 두 개는 무엇입니까? (두 개를 선택하세요.) 접두사 설정 172.16.1.0 255.255.255.0 설정 경로 리플렉터 클라이언트 활성화 set neighbor-group advpn set 접두사 10.1.0 255.255.255.0 config neighbor range 명령은 ADVPN 시나리오에서 BGP 이웃에 대한 IP 주소 범위를 구성하는 데 사용됩니다. 구성해야 하는 두 가지 매개 변수는 neighbor-group과 접두사입니다. 이웃 그룹은 범위가 속하는 이웃 그룹의 이름(이 경우 "advpn")을 지정합니다. 접두사는 네트워크 다이어그램에 표시된 것처럼 BGP 이웃의 IP 주소 범위(이 경우 10.1.0.0/24)를 지정합니다. 참고: 다음 포티넷 엔터프라이즈 방화벽 7.2 문서에서 ADVPN 및 BGP 구성에 대한 자세한 정보를 확인할 수 있습니다.ADVPNBGP라우팅 프로토콜로 BGP를 사용하는 ADVPNNO.32 네트워크 다이어그램이 표시된 그림을 참조하십시오.FortiGate 클러스터를 구성하는 데 어떤 프로토콜을 사용해야 합니까? 액티브-패시브 모드의 FGCP OFGSP VRRP 액티브-액티브 모드의 FGCP 네트워크 다이어그램과 두 대의 포티게이트 장치가 있는 경우, 활성-비활성 모드의 포티넷 게이트 클러스터링 프로토콜(FGCP)이 포티게이트 클러스터를 설정하는 데 가장 적합합니다. FGCP는 고가용성 구성을 지원하며, 한 포티게이트에 장애가 발생하면 다른 포티게이트가 이를 원활하게 인수하여 지속적인 네트워크 가용성을 제공하도록 설계되었습니다. 이는 FGCP를 사용하는 고가용성 구성에 대한 포티넷 설명서에서 지원됩니다.NO.33 중앙 관리 구성을 보여주는 전시물 참조10.0.1.240에 중단이 발생하는 경우 FortiGate는 웹 필러 등급 요청에 대해 어떤 서버를 선택합니까? 공용 포티가드 서버 10.0.1.242 10.0.1.244 10.0.1.243 10.0.1.240에서 중단이 발생하는 경우 FortiGate는 웹 필터 등급 요청 순서에서 다음 서버인 10.0.1.244를 선택하게 되며, 이는 표에 표시된 구성에 따라 10.0.1.244입니다. 이는 서버 목록이 우선순위에 따라 정렬되어 우선순위가 가장 낮은 서버가 먼저 선택되기 때문입니다. 해당 서버를 사용할 수 없는 경우 우선 순위가 다음으로 낮은 다음 서버가 선택되는 식으로 진행됩니다. 공용 포티가드 서버는 포함-기본-서버 옵션이 활성화되어 있고 모든 사용자 지정 서버를 사용할 수 없는 경우에만 사용됩니다. 참조 := FortiOS 7.2용 포티넷 엔터프라이즈 방화벽 연구 가이드, 132.NO.34 페이지 관리자가 HA 클러스터를 위해 두 개의 fortiGate 장치를 구성했습니다. HA 장애 조치를 테스트하는 동안 관리자는 네트워크의 일부 스위치가 이전 기본 장치로 트래픽을 계속 전송하는 것을 발견했습니다. 관리자는 이 문제를 해결하기 위해 무엇을 할 수 있습니까? 내 FortiGate 인터페이스와 연결된 스위치 포트 간에 속도 및 양면 설정이 일치하는지 확인합니다. 두 클러스터 구성원 모두에서 설정 링크 실패 신호가 구성 미달 시스템 하를 활성화하도록 구성합니다. 포워딩 경로에서 문제를 감지하도록 원격 Iink 모니터링 구성 두 클러스터 구성원 모두에서 구성 시스템 하에서 send-garp-on-failover 활성화 설정 구성 가상 MAC 주소 및 장애 조치- 새 기본값이 무료 ARP 패킷을 브로드캐스트하여 각 가상 MAC이 이제 다른 스위치 포트를 통해 연결 가능함을 네트워크에 알립니다. 일부 고급 스위치에서는 장애 조치 후 MAC 테이블이 올바르게 지워지지 않을 수 있음 - 해결 방법: 장애 조치 발생 시 이전 기본 인터페이스를 1초 동안 강제로 종료합니다(하트비트 및 예약된 관리 인터페이스 제외):#Config system haset link-failed-signal enableend- 이것은 스위치의 MAC 테이블에서 관련 항목을 지우는 링크 장애를 시뮬레이션합니다.35 그림: 부분적인 VPN 구성이 포함된 그림 참조.이 구성에서 어떤 결론을 내릴 수 있습니까1? FortiGate는 각 전화 접속 클라이언트에 대해 별도의 가상 인터페이스를 생성합니다. VPN은 터널을 통해 라우팅 정보를 교환하기 위해 동적 라우팅 프로토콜을 사용해야 합니다. 데드 피어 감지가 비활성화됩니다. 라우팅 테이블에 단일 IPSec 가상 인터페이스가 표시됩니다. 구성 줄 "set dpd on-idle"은 터널이 유휴 상태일 때만 활성 비활성화되지 않고 트리거되도록 설정된 데드 피어 탐지(DPD)를 나타냅니다1. 참조: 포티게이트 IPSec VPN 사용 설명서 - 포티넷 문서 라이브러리 주어진 VPN 구성에서 DPD(데드 피어 탐지)가 '유휴'로 설정되어 있으며, 이는 DPD가 활성화되어 있고 트래픽이 감지되지 않을 때 VPN 터널의 다른 쪽 끝이 여전히 살아 있는지 탐지하는 데 사용됨을 나타냅니다.따라서 옵션 C는 올바르지 않습니다. 이 구성은 각 전화 접속 클라이언트에 대해 별도의 가상 인터페이스를 생성하지 않는 '동적' 유형으로 설정된 터널을 보여주며(A), 동적 라우팅이 사용되도록 지정되어 있지 않습니다(B). 이것은 1단계 구성 스니펫이므로 라우팅 테이블 측면(D)은 이것만으로는 결론을 내릴 수 없습니다.36번 다음 중 ADVPN에 관한 두 문장은 모두 참입니까? (두 개 선택) 자동 검색 수신기는 스포크에서 사용하도록 설정해야 합니다. 스포크 간 트래픽은 허브를 통과하지 않습니다. 온디맨드 터널에 대해 NAI를 지원합니다. add-advpn-route를 활성화하여 라우팅을 구성합니다. ADVPN(자동 검색 VPN)은 기존 허브-스포크 아키텍처의 스포크 간에 직접 터널(바로 가기라고 함)을 동적으로 설정할 수 있는 기능입니다. 허브 및 다른 스포크에서 NHRP 메시지를 수신할 수 있도록 하려면 자동 검색 수신기를 스포크에서 사용하도록 설정해야 합니다. NHRP(다음 홉 확인 프로토콜)는 스포크 간에 트래픽이 있을 때 설정되는 온디맨드 터널에 사용됩니다. 라우팅은 add-advpn-route가 아닌 add-nhrp-route를 활성화하여 구성합니다. 참조 := ADVPN | 포티게이트/포티OS 7.2.0 | 포티넷 문서 라이브러리, 기술 팁: 포티넷 자동 검색 VPN(ADVPN)NO.37 전시물.부분적인 선전 표가 표시된 전시물을 참조하십시오.해당 FortiGate 구성에서 어떤 두 가지 간결함을 도출할 수 있습니까? (두 개 선택) IPSec 터널 집계가 구성되었습니다. 터널 IPSec 1단계 구성에서 넷-장치가 활성화되어 있습니다. OSPI가 IPSec을 통해 실행되도록 구성되었습니다. 터널 IPSec 1단계 구성에서 add-route가 비활성화되어 있습니다. * 라우팅 테이블에 터널 인터페이스의 넷마스크가 255.255.255.255로 표시되어 1단계 구성에서 net-device가 사용하도록 설정되었음을 나타내므로 옵션 B가 올바릅니다. 이 옵션을 사용하면 포트게이트가 2단계 대상1에 경로를 추가하지 않고 터널 인터페이스를 라우팅의 다음 홉으로 사용할 수 있습니다.* 라우팅 테이블에 2단계 대상 네트워크에 대한 경로가 표시되지 않아 1단계 구성에서 경로 추가가 비활성화되었음을 나타내므로 옵션 D가 올바릅니다. 이 옵션은 FortiGate가 터널 인터페이스를 게이트웨이로 사용하여 2단계 대상 네트워크에 고정 경로를 추가할지 여부를 제어합니다2.* 옵션 A는 여러 2단계 선택기가 단일 1단계 터널을 공유하여 터널 수를 줄이고 성능을 개선하는 기능이기 때문에 올바르지 않습니다3.이 기능은 라우팅 테이블 또는 1단계 구성과 관련이 없습니다.* 옵션 C는 동적 라우팅 프로토콜로서 IPSec 터널을 통해 실행할 수 있지만 FortiGate 및 피어 장치에서 추가 구성이 필요하기 때문에 올바르지 않습니다4. 이 옵션은 라우팅 테이블 또는 1단계 구성과 관련이 없습니다. 참조: =* 1: 기술 팁: 'net-device' 새 경로 기반 IPsec 로직 설정2* 2: 고정 경로 추가5* 3: IPSec VPN 개념6* 4: IPsec VPN을 통한 동적 라우팅7NO.38 BGP의 BFD 매개 변수에 대한 다음 중 참된 것은 무엇입니까? (두 개를 선택하십시오.) 1초 이내에 장애 감지가 가능합니다. 두 라우터는 동일한 서브넷에 연결되어 있어야 합니다. 여러 홉에 걸쳐 있는 이웃 라우터에 대해 지원됩니다. 양방향 장애만 감지합니다. 양방향 포워딩 탐지(BFD)는 인터페이스, 데이터 링크, 포워딩 플레인을 포함하여 인접한 두 라우터 간의 포워딩 경로에서 장애를 탐지하는 신속한 프로토콜입니다. BFD는 라우팅 프로토콜의 홀드다운 타이머와 같은 기존 장애 감지 메커니즘보다 훨씬 빠른 1초 미만의 매우 짧은 시간 내에 포워딩 경로 장애를 감지하도록 설계되었으며, 포티넷은 BGP용 BFD를 지원하며 여러 홉에서 사용할 수 있으므로 BGP 피어가 직접 연결되어 있지 않더라도 장애를 감지할 수 있습니다. 이 기능은 더 넓은 네트워크 토폴로지에서 안정적인 BGP 세션을 유지하는 기능을 향상시키며 포티넷 가이드에 설명되어 있습니다.NO.39 사용자 지정 IPS 서명을 사용하여 ww.eicar.org 웹 사이트에 대한 액세스를 차단하려고 합니다.어떤 사용자 지정 IPS 서명을 구성해야 하나요? 옵션 D는 웹 브라우징에 일반적으로 사용되는 TCP 프로토콜 및 HTTP 서비스를 사용하여 "www.eicar.org" 웹사이트에 대한 액세스를 구체적으로 차단하므로 정답입니다. 다른 옵션은 잘못된 프로토콜(UDP), 잘못된 서비스(DNS 또는 SSL) 또는 잘못된 패턴("www.eicar.org" 대신 "eicar")을 사용합니다. 참조 := 사용자 지정 서명 구성하기 | FortiGate/FortiOS 7.4.0 - 포티넷 문서 라이브러리, "example.com에 대한 액세스를 차단하는 서명" 섹션.NO.40 IKE 버전 2 조각화에 대한 다음 두 진술 중 참된 것은 무엇입니까? (두 개를 선택하십시오.) 일부 IKE 버전 2 패킷만 조각화가 가능한 것으로 간주됩니다. 재조립 시간 제한 기본값은 30초입니다. 재조립은 IP 계층에서 수행됩니다. IKE 버