이 페이지는 무료 시험 덤프 자료 [ http://exams.dumpsmaterials.com ]에서 가져온 것입니다. 내보내기 날짜 :금 12 27 1:16:11 2024 / +0000 GMT ___________________________________________________ 제목: 100% 무료 포티넷 네트워크 보안 전문가 NSE8_812 덤프 PDF 데모 인증 가이드 표지 [Q20-Q42] --------------------------------------------------- 100% 무료 포티넷 네트워크 보안 전문가 NSE8_812덤프 PDF 데모 인증 가이드 표지 PDF 시험 자료 2024실제 NSE8_812덤프 문제 포티넷 NSE8_812연습문제는 네트워크 보안 업계에서 높은 존경을 받고 있으며, 전 세계적으로 인정받고 있습니다. 이는 소지자가 네트워크 보안에 대한 깊은 이해를 가지고 있으며, 포티넷 제품을 사용하여 고급 보안 솔루션을 설계하고 구현할 수 있음을 보여줍니다. 포티넷 NSE 8 - 필기 시험(NSE8_812) 자격증은 최고 수준의 보안 보호가 필요한 대규모 조직 또는 정부 기관에서 근무하는 네트워크 보안 전문가에게 특히 유용합니다. NO.20 전시물을 참조하십시오.관리자가 SSL VPN 로그인을 위해 FortiToken 푸시 알림을 통한 2단계 인증을 위해 FortiGate 및 Forti Authenticator를 구성했습니다. 처음 설정을 검토할 때 관리자는 고객이 수동으로 2단계 코드를 입력하고 인증할 수 있지만 푸시 알림이 작동하지 않는 것을 발견했습니다. 전시회에 제공된 정보에 따라 이 문제를 해결하려면 어떻게 해야 합니까? FG-1 포트1에서 FTM 액세스 프로토콜을 사용하도록 설정해야 합니다. FAC-1에는 푸시 알림을 위한 인터넷 라우팅 가능한 IP 주소가 있어야 합니다. FG-1 CLI에서 ftm-push 서버 설정이 100.64.141을 가리켜야 합니다. FAC-1에서 FortiToken 공용 IP 설정은 100.64.1 41을 가리켜야 합니다. 포티토큰 푸시 알림을 사용하려면 포티오티케이터에 인터넷 라우팅 가능한 IP 주소가 있어야 합니다. 이는 FortiAuthenticator가 이 IP 주소를 사용하여 FortiGate에 푸시 알림을 보내기 때문입니다. 다른 옵션은 올바르지 않습니다. 푸시 알림이 작동하는 데 FG-1 포트1에서 ftm 액세스 프로토콜을 활성화할 필요는 없습니다. FG-1 CLI의 ftm-push 서버 설정은 이미 포티오티케이터의 IP 주소를 가리키고 있어야 합니다. 다음은 다양한 옵션을 요약한 표입니다.21번 전시물을 참조하십시오.전시물에는 FortiClient EMS 서버에 대한 새 연결을 구성하려고 할 때 FortiGate 루트 보안 패브릭 장치에서 두 가지 오류 메시지가 표시됩니다.전시물을 참조하여 이러한 오류를 해결할 수 있는 두 가지 작업은 무엇입니까? (두 가지를 선택하십시오.) 루트 FortiGate에서 CRL에 액세스할 수 있는지 확인합니다. FortiClient EMS 서버 인증서를 루트 FortiGate로 내보내고 가져옵니다. Win2K16-EMS 서버에 알려진 새 CA를 설치합니다. 포티클라이언트 EMS에서 루트 포티게이트를 인증합니다. 그림에 따라 FortiClient EMS 서버에 대한 새 연결을 구성하려고 할 때 오류를 해결할 수 있는 두 가지 작업은 다음과 같습니다. FortiClient EMS 서버 인증서를 내보내고 루트 FortiGate로 가져옵니다. 이렇게 하면 "서버 인증서를 신뢰할 수 없습니다"라는 오류 메시지가 해결됩니다. 루트 FortiGate와 보안 연결을 설정하려면 신뢰할 수 있는 CA 목록에 FortiClient EMS 서버 인증서가 있어야 합니다. 관리자는 포티클라이언트 EMS 웹 UI에서 서버 인증서를 내보내고 CLI 또는 GUI를 사용하여 루트 포티게이트로 가져올 수 있습니다.포티클라이언트 EMS에서 루트 포티게이트에 권한을 부여합니다. 이렇게 하면 "장치가 인증되지 않았습니다"라는 오류 메시지가 해결됩니다. FortiClient EMS가 연결하고 구성 정보를 수신할 수 있도록 하려면 권한이 부여된 장치 목록에 루트 FortiGate가 있어야 합니다. 관리자는 일련 번호와 IP 주소를 입력하여 FortiClient EMS 웹 UI에서 루트 FortiGate를 인증할 수 있습니다. 참조: https://docs.fortinet.com/document/fortigate/7.0.1/administration-guide/185333/forticlient-ems https://docs.fortinet.com/document/forticlient/6.0.3/administration-guide/936332/fortigate-and-ems-integrationNO.22 발신 이메일이 수신자의 메일에 도달하지 않는 Office 365와 통합된 FortiMail Cloud 서비스 문제를 해결하고 있습니다. 이 문제의 두 가지 가능한 원인은 무엇입니까? (두 가지를 선택하세요.) Office 365 서버에서 릴레이하는 FortiMail 액세스 제어 규칙 FQDN이 누락되었습니다. 자동 생성 옵션을 사용하여 FortiMail DKIM 키가 설정되지 않았습니다. Office 365 서버 공용 IP에서 릴레이할 FortiMail 액세스 제어 규칙이 누락되었습니다. Exchange 관리 센터의 메일 흐름 커넥터가 FortiMail 클라우드 FQDN에 올바르게 설정되지 않았습니다. a) Office 365 서버에서 릴레이할 FortiMail 액세스 제어 규칙이 누락되었습니다.Office 365 서버에서 릴레이할 액세스 제어 규칙이 누락된 경우 FortiMail에서 Office 365로 이메일을 보낼 수 없습니다. 이는 액세스 제어 규칙이 FortiMail을 통해 이메일을 릴레이할 수 있는 IP 주소 또는 도메인을 지정하기 때문입니다.b) Exchange 관리 센터의 메일 흐름 커넥터가 FortiMail Cloud FQDN에 올바르게 설정되지 않았습니다.Exchange 관리 센터의 메일 흐름 커넥터가 FortiMail Cloud FQDN에 올바르게 설정되지 않으면 Office 365에서 FortiMail로 이메일을 보낼 수 없습니다. 이는 메일 흐름 커넥터가 외부 수신자에게 이메일을 보내는 데 사용되는 SMTP 서버를 지정하기 때문입니다.23 MCLAG를 사용하여 한 쌍의 FortiSwitch 장치에 연결된 이중 홈 서버로 환경을 구성해야 합니다.이 환경에서는 멀티캐스트 트래픽이 예상되므로 멀티캐스트 수신기가 없는 링크에서 불필요한 트래픽이 제거되도록 해야 합니다.igmps-f lood-traffic 및 igmps-flood-report 설정을 구성해야 하는 두 가지 방법은 무엇입니까? (두 가지 선택) ICL 트렁크에서 비활성화 ICL 트렁크에서 사용 ISL 및 FortiLink 트렁크에서 사용 안 함 ISL 및 FortiLink 트렁크에서 활성화 ICL 트렁크에서 igmps-flood-traffic 및 igmps-flood-report를 비활성화하면 불필요한 멀티캐스트 트래픽이 MCLAG 클러스터 구성원 전체에 플러딩되는 것을 방지할 수 있으므로 A가 정답입니다. ISL 및 FortiLink 트렁크에서 igmps-flood-traffic 및 igmps-flood-report를 비활성화하면 불필요한 멀티캐스트 트래픽이 멀티캐스트 수신기가 없는 다른 스위치 또는 FortiGate로 플러딩되는 것을 방지하므로 C가 맞습니다. 참조: https://docs.fortinet.com/document/fortiswitches/6.4.0/administration-guide/381057/multicast-forwarding https://docs.fortinet.com/document/fortiswitches/6.4.0/administration-guide/381057/multicast-forwarding/381058/configuring-multicast-forwardingNO.24 전시물 참조.전시물 A전시물 B전시물 CA 고객이 FortiGate를 사용하여 VPN을 설정하려고 하지만 구성의 백업이 없습니다. 문제 해결 세션 중 출력은 예시 A 및 B에 표시되어 있고 기본 VPN 구성은 예시 C에 표시되어 있습니다. 예시를 참조하여 어떤 구성으로 VPN 연결을 복원할 수 있습니까? 예시 C에 표시된 VPN 구성은 사전 공유 키가 있는 IKEv2와 IKE 및 ESP 단계 모두에 AES256 암호화를 사용하는 기본 VPN 구성입니다. 그러나 이 구성은 IKE 및 ESP 단계 모두에 RSA 서명 및 AES128 암호화와 함께 IKEv1이 사용됨을 나타내는 예시 A 및 B에 표시된 출력과 일치하지 않습니다. 따라서 VPN 연결을 복원하려면 이러한 매개변수와 일치하도록 구성을 수정해야 합니다. 옵션 B는 이러한 매개변수와 일치하는 올바른 구성을 보여줍니다. 옵션 A는 여전히 IKEv1 대신 IKEv2를 사용하므로 올바르지 않습니다. 옵션 C는 여전히 RSA 서명 대신 사전 공유 키를 사용하므로 올바르지 않습니다. 옵션 D는 여전히 AES128 암호화 대신 AES256 암호화를 사용하므로 올바르지 않습니다. 참조: https://docs.fortinet.com/document/fortigate/7.0.0/cookbook/19662/ipsec-vpn-with-forticlientNO.25 예시 참조 고객이 고밀도 회의 센터에 12개의 FortiAP 431F 장치를 배포하려고 하지만 현재 이 장치를 연결할 PoE 스위치가 없습니다. 네트워크 이중화 기능을 갖추면서 최대 전력으로 장치를 실행할 수 있기를 원합니다. 전시회에 표시된 FortiSwitch 모델과 샘플 소매 가격 중에서 고객의 요구 사항을 충족하면서 비용이 가장 적게 드는 구축은 무엇입니까? 포티스위치 248EFPOE 1개 포티스위치 224E-POE 2개 포티스위치 248E-FPOE 2개 포티스위치 124E-FPOE 2대 고객이 고밀도 컨퍼런스 센터에 12개의 FortiAP 431F 장치를 구축하려고 하지만 이를 연결할 PoE 스위치가 없습니다. 네트워크 중복성을 확보하면서 최대 전력으로 장치를 실행할 수 있기를 원합니다. PoE 스위치는 이더넷 케이블을 통해 연결된 장치에 데이터와 전원을 모두 공급할 수 있는 스위치로, 별도의 전원 어댑터나 콘센트가 필요하지 않습니다. PoE 스위치는 전원 콘센트가 부족하거나 불편한 장소에 무선 액세스 포인트, IP 카메라, VoIP 전화와 같은 장치를 배포하는 데 유용합니다. FortiAP 431F는 포트당 최대 30W의 전력을 공급할 수 있는 PoE+(IEEE 802.3at) 표준을 지원하는 무선 액세스 포인트입니다. 최대 전력으로 실행할 때 FortiAP 431F의 최대 전력 소비량은 25W입니다. 따라서 12개의 FortiAP 431F 장치를 최대 전력으로 실행하려면 고객은 최소 300W의 총 PoE 전력 예산(25W x 12)을 제공할 수 있는 PoE 스위치가 필요합니다. 또한 네트워크 이중화가 필요하므로 스위치 하나에 장애가 발생하거나 전원이 끊어질 경우를 대비하여 최소 두 대의 PoE 스위치가 있어야 FortiAP 장치를 연결할 수 있습니다. 이번 전시회에 소개된 포티스위치 모델과 샘플 소매 가격 중에서 고객의 요구 사항을 충족하면서 비용이 가장 낮은 구축은 2x FortiSwitch 248E-FPOE입니다. 포티스위치 248E-FPOE는 PoE+ 기능을 갖춘 48개의 GE 포트와 총 370W의 PoE 전력 예산을 갖춘 PoE 스위치입니다. 또한 고속 연결을 위한 4개의 10GE SFP+ 업링크 포트가 있습니다. 포티스위치 248E-FPOE의 샘플 소매 가격은 $1,995달러로, 두 대를 구매하면 $3,990달러입니다. 이는 고객의 요구 사항을 충족할 수 있는 다른 옵션 중 가장 낮은 비용입니다. FortiSwitch 248EFPOE는 PoE 기능이나 전력 예산이 없는 비 PoE 스위치이므로 옵션 A는 올바르지 않습니다. 이더넷 케이블을 통해 FortiAP 장치에 전원을 공급할 수 없습니다. 옵션 B는 포티스위치 224E-POE가 PoE+ 기능이 있는 GE 포트가 24개에 불과하고 총 PoE 전력 예산이 185W인 PoE 스위치이므로 올바르지 않습니다. 이 스위치는 12개의 FortiAP 장치를 최대 전력으로 실행하기에 충분한 포트 또는 전력을 제공할 수 없습니다. 옵션 D는 포티스위치 124E-FPOE가 PoE+ 기능이 있는 GE 포트가 24개에 불과하고 총 PoE 전력 예산이 185W인 PoE 스위치이므로 올바르지 않습니다. 12개의 FortiAP 장치를 최대 전력으로 실행하기에 충분한 포트 또는 전력을 제공할 수 없습니다. 참조: https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiSwitch_Secure_Access_Series.pdf https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiAP_400_Series.pdfNO.26 다음 FortiGate-6000 구성 발췌문 검토:구성에 따라 SNAT 소스 포트 분할 동작과 관련하여 다음 중 올바른 설명은 무엇입니까? SNAT 소스 포트를 작동 중인 FPC 또는 FPM에 동적으로 배포합니다. 기본 SNAT 구성이며 FPC 또는 FPM이 다운될 때 활성 세션을 보존합니다. SNAT 소스 포트를 작동 중인 FPC 또는 FPM에 정적으로 배포합니다. 섀시 슬롯 전체에 SNAT 소스 포트를 균등하게 배포합니다. 구성에 따라 SNAT 소스 포트 파티셔닝 동작과 관련하여 올바른 설명은 SNAT 소스 포트를 작동 중인 FPC 또는 FPM에 정적으로 배포한다는 것입니다. 이는 nat-source-port 옵션이 chassis-slots로 설정되어 있기 때문이며, 이는 FortiGate-6000이 명령을 입력할 때 활성화된 모든 FPC 또는 FPM에 SNAT 소스 포트를 할당한다는 의미입니다. CLI에서 FPC 또는 FPM을 비활성화하면 해당 FPC 또는 FPM에 할당된 SNAT 소스 포트가 나머지 FPC 또는 FPM에 다시 할당되지 않습니다. 이 옵션은 FPC 또는 FPM이 다운될 때 활성 세션을 유지하지만 FPC 또는 FPM의 전원이 꺼진 경우 SNAT 소스 포트를 동적으로 다시 배포하지 않습니다. 참고: https://docs.fortinet.com/document/fortigate/7.2.5/fortigate-6000-administration-guide/81276/controlling-snat-port-partitioning-behaviorNO.27 예시를 참조하세요.동일한 LAN 세그먼트에서 여러 개의 OSPF 라우터로 내부 네트워크를 운영 중입니다. FGT_3을 OSPF 네트워크에 추가해야 하며 그림에 표시된 구성을 가지고 있습니다. FGT_3이 OSPF 연결을 설정하지 않습니다.FGT_3이 DR/BDR 선택에 영향을 주지 않고 OSPF 이웃을 설정하려면 구성에서 무엇을 변경해야 하나요? 그림에 표시된 OSPF 구성은 인터페이스 포트1에 기본 우선 순위 값인 1을 사용하고 있습니다. 즉, FGT_3은 동일한 LAN 세그먼트의 다른 OSPF 라우터와 함께 DR/BDR 선택 프로세스에 참여하게 됩니다. 그러나 FGT_3은 기존 DR/BDR 선택에 영향을 주지 않고 OSPF 네트워크에 추가해야 하는 새 장치이므로 이는 바람직하지 않습니다. 따라서 FGT_3가 DR/BDR 선택에 영향을 주지 않고 OSPF 이웃을 설정하려면 인터페이스 포트1의 우선 순위 값을 0으로 변경해야 합니다. 이렇게 하면 FGT_3가 DR 또는 BDR이 되는 것을 방지하고 현재 DR 및 BDR과 OSPF 인접성을 형성할 수 있습니다. 옵션 B는 우선 순위 값을 0으로 변경하는 올바른 구성을 보여줍니다. 옵션 A는 우선 순위 값을 변경하지 않으므로 올바르지 않습니다. 옵션 C는 네트워크 유형을 지점 간으로 변경하므로 여러 OSPF 라우터가 있는 LAN 세그먼트에 적합하지 않으므로 올바르지 않습니다. 옵션 D는 영역 ID를 0.0.0.1로 변경하므로 동일한 LAN 세그먼트에 있는 다른 OSPF 라우터의 영역 ID와 일치하지 않으므로 올바르지 않습니다. 참조: https://docs.fortinet.com/document/fortigate/7.0.0/administration-guide/358640/basic-ospf-exampleNO.28 ESXi 하이퍼바이저에서 실행될 FortiGate VM의 NIC에 대한 어댑터 유형을 추천할 책임은 사용자에게 있습니다. 권장 사항은 성능을 주요 관심사로 고려해야 하며 비용은 고려 대상이 아닙니다. NIC에 어떤 어댑터 유형을 권장합니까? E1000을 사용한 네이티브 ESXi 네트워킹 가상 기능(VF) PCI 패스스루 VMXNET3을 사용한 네이티브 ESXi 네트워킹 물리적 기능(PF) PCI 패스스루 FortiGate VM은 ESXi, Hyper-V, KVM 등과 같은 다양한 하이퍼바이저에서 실행할 수 있는 가상 방화벽 어플라이언스입니다. FortiGate VM의 NIC용 어댑터 유형에 따라 네트워크 인터페이스 카드의 성능과 하이퍼바이저 및 물리적 네트워크와의 호환성이 결정됩니다. 포트게이트 VM의 NIC에 사용할 수 있는 어댑터 유형은 E1000, VMXNET3, SR-IOV 등 여러 가지가 있습니다. 성능이 주요 관심사이고 비용이 중요하지 않은 경우 한 가지 옵션은 ESXi 하이퍼바이저에서 실행되는 FortiGate VM의 NIC에 VMXNET3 어댑터 유형과 함께 기본 ESXi 네트워킹을 사용하는 것입니다. VMXNET3는 가상 머신의 성능에 최적화된 반가상화 네트워크 인터페이스 카드로, 멀티큐 지원, RSS(수신 측 확장), LRO(대규모 수신 오프로드), IPv6 오프로드, MSI/MSI-X 인터럽트 전달과 같은 기능을 지원합니다. 기본 ESXi 네트워킹은 FortiGate VM이 ESXi 하이퍼바이저에서 제공하는 표준 가상 스위치(vSwitch) 또는 분산 가상 스위치(dvSwitch)를 사용하여 물리적 네트워크에 연결한다는 의미입니다. 이 옵션은 추가 하드웨어 또는 소프트웨어 구성 요소 없이도 FortiGate VM의 NIC에 높은 성능과 호환성을 제공할 수 있습니다. 참고: https://docs.fortinet.com/document/fortigate/7.0.0/vm-installation-for-vmware-esxi/19662/installing-fortigate-vm-on-vmware-esxi https://docs.fortinet.com/document/fortigate/7.0.0/vm-installation-for-vmware-esxi/19662/networkingNO.29 전시물을 참조하십시오.전시물에는 FortiMail 네트워크 토폴로지, 인바운드 구성 설정, 사전 프로필이 나와 있으며, 이메일 처리 경로에 타사의 호스트 서비스(srv.thirdparty.com)를 통합해야 합니다.모든 인바운드 이메일은 FortiMail 안티스팸 및 안티바이러스와 FortiSandbox가 통합된 포티샌드박스로 처리해야 합니다. 이메일이 깨끗한 경우, 포티메일은 타사 서비스로 전달해야 하며, 타사 서비스는 최종 전달을 위해 이메일을 포티메일로 다시 보내며, 포티메일은 이메일을 다시 검사하지 않아야 합니다.이러한 요구 사항을 충족하기 위해 수행해야 하는 세 가지 구성 작업은 무엇입니까? (세 가지를 선택하십시오.) FML-GW에서 스캔 순서를 안티스팸-샌드박스-콘텐츠 순서로 변경합니다. Catch-Ail 프로필을 CF인바운드 프로필에 적용하고 콘텐츠 작업 프로필을 구성하여 srv. 발신자 값은 srv. thirdparcy.com, 수신자 값은 *@acme.com, 동작 값은 Safe로 액세스 수신 규칙을 만듭니다. Catch-AII 프로필을 ASinbound 프로필에 적용하고 100.64.0.72 호스트로 전달하도록 액세스 전달 규칙을 구성합니다. 소스 값이 100인 IP 정책을 만듭니다. 64 .0.72/32, 우선 순위를 활성화하고 정책을 목록의 맨 위에 배치합니다. 타사의 호스트 서비스(srv.thirdparty.com)를 이메일 처리 경로에 통합하는 동시에 모든 인바운드 이메일이 FortiSandbox와 통합된 FortiMail 안티스팸 및 바이러스 백신으로 검사된 후 타사 서비스로 전달되고 다시 FortiMail로 전달되어 최종 전달되도록 보장하려면 다음 구성 작업을 수행해야 합니다.CFInbound 프로필에 Catch-All 프로필을 적용하고 콘텐츠 동작 프로필이 srv.thirdparty.com FQDN으로 전달하도록 구성합니다. 이렇게 하면 스팸 방지 및 바이러스 백신 검사를 통과한 모든 인바운드 이메일이 추가 처리를 위해 타사 서비스로 전달됩니다.발신자 값은 srv.thirdparty.com, 수신자 값은 *@acme.com, 작업 값은 Safe로 액세스 수신 규칙을 만듭니다. 이렇게 하면 타사 서비스에서 FortiMail로 다시 전송되는 모든 이메일이 추가 검사나 필터링 없이 허용됩니다. 참조: https://docs.fortinet.com/document/fortimail/7.2.2/administration-guide/921588/configuring-content-profiles-and-content-action-profiles https://docs.fortinet.com/document/fortimail/7.2.2/administration-guide/629994/configuring-session-profilesNO.30 예시 참조.고객이 iBGP 및 eBGP 라우팅이 활성화된 FortiGate를 배포했습니다. 본사는 ISP 2로부터 eBGP를 통해 경로를 수신하고 있지만 라우팅 테이블에 특정 경로만 표시되고 있습니다. BGP가 완벽하게 작동하고 라우팅 테이블의 유일한 수정 가능성은 본사에 적용된 접두사 목록 때문이라고 가정합니다.전시물이 주어질 때 본사 방화벽의 라우팅 테이블에서 활성화되는 두 개의 경로는 무엇입니까? (두 개 선택). 172.16.204.128/25 172.16.201.96/29 172,620,64,27 172.16.204.64/27 172.16.204.128/25는 접두사 목록 항목 172.16.204.0/24 ge 25 le 25와 일치하므로 A가 정답입니다. 172.16.204.64/27은 접두사 목록 항목 172.16.204.0/24 ge 27 le 27과 일치하므로 C가 맞습니다. 참조: https://docs.fortinet.com/document/fortigate/7.4.0/administration-guide/978793/bgpNO.31 고객이 FortiAuthenticator REST API를 사용하여 SalesGroup이라는 SSO 그룹을 검색하려고 합니다. 다음 API 호출은 'curl' 유틸리티를 사용하여 수행됩니다. 다음 중 FortiAuthenticator REST API의 예상 동작을 올바르게 설명하는 두 문장은 무엇입니까? (두 개 선택) '모든 권한' 역할이 있는 사용자만 REST API에 액세스할 수 있습니다. API 버전 2가 필요하므로 이 API 호출은 실패합니다. REST API 웹 서비스 액세스 키를 분실하면 검색할 수 없으므로 변경해야 합니다. API 호출에 get 메서드가 필요하므로 구문이 올바르지 않습니다. 포티오센티케이터 REST API를 사용하여 SalesGroup이라는 SSO 그룹을 검색하려면 API 호출에서 다음 문제를 해결해야 합니다. SSO 그룹은 REST API 버전 2에서만 지원되므로 API 버전은 v1이 아닌 v2여야 합니다.HTTP 메서드는 서버에서 정보를 검색하는 데 사용되는 반면 POST는 서버에서 정보를 생성하거나 업데이트하는 데 사용되므로 POST가 아닌 GET이어야 합니다. 따라서 올바른 API 호출은 다음과 같습니다: curl -X GET -H "Authorization: Bearer " https://fac.example.com/api/v2/sso/groups/SalesGroup 참조: https://docs.fortinet.com/document/fortiauthenticator/6.4.1/rest-api-solution-guide/927310/introduction https://docs.fortinet.com/document/fortiauthenticator/6.4.1/rest-api-solution-guide/927311/sso-groupsNO.32 예시 참조.한 고객이 고밀도 회의 센터에 12개의 FortiAP 431F 장치를 배포하려고 하지만 현재 이 장치를 연결할 PoE 스위치가 없습니다. 네트워크 이중화 기능을 갖추면서 최대 전력으로 장치를 실행할 수 있기를 원합니다. 전시회에 표시된 FortiSwitch 모델과 샘플 소매 가격 중에서 고객의 요구 사항을 충족하면서 비용이 가장 적게 드는 구축은 무엇입니까? 포티스위치 248EFPOE 1개 포티스위치 224E-POE 2개 포티스위치 248E-FPOE 2개 포티스위치 124E-FPOE 2대 고객이 고밀도 컨퍼런스 센터에 12개의 FortiAP 431F 장치를 구축하려고 하지만 이를 연결할 PoE 스위치가 없습니다. 네트워크 중복성을 확보하면서 최대 전력으로 장치를 실행할 수 있기를 원합니다. PoE 스위치는 이더넷 케이블을 통해 연결된 장치에 데이터와 전원을 모두 공급할 수 있는 스위치로, 별도의 전원 어댑터나 콘센트가 필요하지 않습니다. PoE 스위치는 전원 콘센트가 부족하거나 불편한 장소에 무선 액세스 포인트, IP 카메라, VoIP 전화와 같은 장치를 배포하는 데 유용합니다. FortiAP 431F는 포트당 최대 30W의 전력을 공급할 수 있는 PoE+(IEEE 802.3at) 표준을 지원하는 무선 액세스 포인트입니다. 최대 전력으로 실행할 때 FortiAP 431F의 최대 전력 소비량은 25W입니다. 따라서 12개의 FortiAP 431F 장치를 최대 전력으로 실행하려면 고객은 최소 300W의 총 PoE 전력 예산(25W x 12)을 제공할 수 있는 PoE 스위치가 필요합니다. 또한 네트워크 이중화가 필요하므로 스위치 하나에 장애가 발생하거나 전원이 끊어질 경우를 대비하여 최소 두 대의 PoE 스위치가 있어야 FortiAP 장치를 연결할 수 있습니다. 이번 전시회에 소개된 포티스위치 모델과 샘플 소매 가격 중 고객의 요구 사항을 충족하면서 비용이 가장 낮은 구축은 2x FortiSwitch 248E-FPOE입니다. 포티스위치 248E-FPOE는 PoE+ 기능을 갖춘 48개의 GE 포트와 총 370W의 PoE 전력 예산을 갖춘 PoE 스위치입니다. 또한 고속 연결을 위한 4개의 10GE SFP+ 업링크 포트가 있습니다. 포티스위치 248E-FPOE의 샘플 소매 가격은 $1,995달러로, 두 대를 구매하면 $3,990달러입니다. 이는 고객의 요구 사항을 충족할 수 있는 다른 옵션 중 가장 낮은 비용입니다. FortiSwitch 248EFPOE는 PoE 기능이나 전력 예산이 없는 비 PoE 스위치이므로 옵션 A는 올바르지 않습니다. 이더넷 케이블을 통해 FortiAP 장치에 전원을 공급할 수 없습니다. 옵션 B는 포티스위치 224E-POE가 PoE+ 기능이 있는 GE 포트가 24개에 불과하고 총 PoE 전력 예산이 185W인 PoE 스위치이므로 올바르지 않습니다. 이 스위치는 12개의 FortiAP 장치를 최대 전력으로 실행하기에 충분한 포트 또는 전력을 제공할 수 없습니다. 옵션 D는 포티스위치 124E-FPOE가 PoE+ 기능이 있는 GE 포트가 24개에 불과하고 총 PoE 전력 예산이 185W인 PoE 스위치이므로 올바르지 않습니다. 12개의 FortiAP 장치를 최대 전력으로 실행하기에 충분한 포트 또는 전력을 제공할 수 없습니다. 참조: https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiSwitch_Secure_Access_Series.pdf https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiAP_400_Series.pdfNO.33 CLI 출력 참조: 출력에 표시된 정보가 주어졌을 때 다음 중 올바른 문장은 무엇입니까? (두 개 선택) 지리적 IP 정책은 로컬 기술 이후에 활성화되고 평가됩니다. 공격자가 포티웹 배후 서버를 표적으로 삼기 전에 차단할 수 있습니다. IP 평판 기능이 수동으로 업데이트되었습니다. 공격자가 이전에 사용했던 IP 주소는 항상 차단됩니다. DHCP 또는 PPPoE 풀에서 블랙리스트에 오른 IP 주소의 평판을 복원할 수 있습니다. 그림에 표시된 CLI 출력은 포티웹이 로컬 기술을 활성화하고 로컬 기술 다음에 지리적 IP 정책을 활성화한 상태에서 IP 평판 기능을 사용하도록 설정했음을 나타냅니다(geoip-policy-order after-local 설정). IP 평판 기능은 과거 악의적인 활동이나 행동을 반영하는 IP 주소의 평판 점수를 기반으로 트래픽을 차단하거나 허용할 수 있는 기능입니다. 로컬 기법은 포티웹이 자체적으로 탐지한 IP 주소의 공격 또는 위반 사항(서명 일치, 속도 제한 등)을 기반으로 자체 블랙리스트를 동적으로 업데이트하는 데 사용하는 방법입니다. 지리적 IP 정책은 IP 주소의 지리적 위치(국가, 지역, 도시 등)를 기반으로 트래픽을 차단하거나 허용하는 데 FortiWeb이 사용하는 규칙입니다. 따라서 이 결과에 따르면 공격자가 FortiWeb 배후 서버를 표적으로 삼기 전에 차단할 수 있다는 것이 정확한 설명입니다. 이는 FortiWeb이 IP 평판 기능을 사용하여 평판 점수가 낮거나 블랙리스트에 속한 IP 주소의 트래픽을 차단하여 서버에 도달하여 공격을 시작하지 못하도록 차단할 수 있기 때문입니다. 또 다른 정확한 설명은 DHCP 또는 PPPoE 풀에서 블랙리스트에 오른 IP 주소의 평판은 복원할 수 있다는 것입니다. 이는 포티웹이 로컬 기술을 사용하여 일정 기간 동안 악성 트래픽 전송을 중단하면(로컬 기술 만료 시간 설정) 자체 블랙리스트에서 IP 주소를 제거하여 평판을 회복하고 서버에 액세스할 수 있도록 하기 때문입니다. 이 기능은 DHCP 또는 PPPoE에 의해 동적으로 할당되고 자주 변경될 수 있는 IP 주소에 유용합니다. 참조: https://docs.fortinet.com/document/fortiweb/6.4.0/administration-guide/19662/ip-reputation https://docs.fortinet.com/document/fortiweb/6.4.0/administration-guide/19662/geographical-ip-policiesNO.34 L7 Full NAT 모드에서 5개의 웹서버를 로드 밸런싱하는 FortiADC HA 클러스터를 사용하는 한 소매 고객이 세일 이벤트 기간 동안 사용자가 웹사이트에 접속할 수 없다는 보고를 받았습니다. 그러나 연결할 수 있었던 클라이언트의 경우 웹 사이트가 정상적으로 작동합니다.FortiADC와 웹 서버의 CPU 사용량은 낮고, 애플리케이션 및 데이터베이스 서버는 여전히 더 많은 트래픽을 처리할 수 있으며, 대역폭 사용률은 30% 미만입니다.이 상황을 해결할 수 있는 두 가지 옵션은 무엇입니까? (두 가지를 선택하십시오.) 지속성 규칙을 LB_PERSIS_SSL_SESSJD로 변경합니다. 실제 서버 푸프에 웹 서버를 더 추가합니다. FortiADC와 웹 서버 간 SSL 비활성화 FortiADC 가상 서버에 연결 풀 추가 FortiADC HA 클러스터는 L7 Full NAT 모드에서 여러 웹 서버 간에 트래픽을 분산하는 로드 밸런싱 솔루션입니다. L7 Full NAT 모드는 FortiADC가 클라이언트와 서버 SSL 연결을 모두 종료하고 소스 및 대상 IP 주소와 포트 모두에 대해 전체 NAT를 수행하는 것을 의미합니다. 세일 이벤트 중에 사용자가 웹사이트에 접속할 수 없는 이유 중 하나는 지속성 규칙이 제대로 구성되지 않았기 때문일 수 있습니다. 지속성 규칙은 동일한 클라이언트의 후속 요청이 동일한 웹 서버로 전송되도록 하는 기능으로, 세션 연속성을 유지하고 오류나 데이터 손실을 방지하는 데 중요합니다. L7 Full NAT 모드의 기본 지속성 규칙은 클라이언트의 소스 IP 주소를 지속성 키로 사용하는 LB_PERSIS_SRC_IP입니다. 그러나 프록시 또는 NAT 장치 뒤에 동일한 소스 IP 주소를 공유하는 클라이언트가 많거나 로밍 또는 네트워크 전환으로 인해 소스 IP 주소가 자주 변경되는 클라이언트가 있는 경우 이 규칙이 제대로 작동하지 않을 수 있습니다. 따라서 이러한 상황을 해결하기 위해 클라이언트의 SSL 세션 ID를 지속성 키로 사용하는 지속성 규칙을 LB_PERSIS_SSL_SESSJD로 변경하는 것이 한 가지 옵션입니다. 이 규칙은 LB_PERSIS_SRC_IP보다 SSL 연결에 대해 더 정확하고 안정적인 지속성을 제공할 수 있습니다. 세일 이벤트 중에 사용자가 웹사이트에 접속할 수 없는 또 다른 이유는 FortiADC와 웹 서버 간에 설정 및 종료되는 TCP 연결이 너무 많아 CPU 리소스를 소모하고 성능 저하를 유발하기 때문입니다. 따라서 이 상황을 해결하기 위한 또 다른 옵션은 FortiADC 가상 서버에 연결 풀을 추가하는 것입니다. 연결 풀은 FortiADC가 각 요청에 대해 새 연결을 생성하는 대신 FortiADC와 웹 서버 간의 기존 TCP 연결을 재사용할 수 있도록 하는 기능입니다. 이를 통해 CPU 오버헤드를 줄이고 응답 시간을 개선하며 처리량을 늘릴 수 있습니다. 참조: https://docs.fortinet.com/document/fortiadc/6.4.0/administration-guide/19662/load-balancing-methods-and-persistence https://docs.fortinet.com/document/fortiadc/6.4.0/administration-guide/19662/connection-poolNO.35 전시물을 참조하십시오.전시물은 FortiGate 네트워크 토폴로지와 FortiGate의 고가용성 상태 출력을 보여줍니다.이 정보가 주어졌을 때 다음 중 옳은 것은 무엇입니까? HA 패킷의 이더타입 값은 0x8890, 0x8891 및 0x8892입니다. 클러스터 모드는 최대 4개의 FortiGate VM을 지원할 수 있습니다. 클러스터 구성원이 동일한 네트워크에 있고 IP 주소가 정적으로 할당되었습니다. FGVMEVLQOG33WM3D와 FGVMEVGCJNHFYI4A는 가상 MAC 주소를 공유합니다. 포티게이트의 고가용성 상태 출력은 클러스터 모드가 액티브-패시브이며, 이는 한 번에 하나의 포티게이트 장치만 활성화되고 다른 장치는 대기 모드에 있음을 의미합니다. 활성 장치는 모든 트래픽을 처리하고 대기 장치를 모니터링하기 위해 HA 하트비트 패킷도 보냅니다. 대기 장치는 활성 장치로부터 하트비트 패킷 수신을 중단하거나 다른 클러스터 장치로부터 더 높은 우선순위를 받으면 활성 장치가 됩니다. 액티브-패시브 모드에서는 모든 클러스터 장치가 각 인터페이스에 대해 가상 MAC 주소를 공유하며, 이 주소는 클러스터에서 전달되는 모든 패킷의 소스 MAC 주소로 사용됩니다. 참조: https://docs.fortinet.com/document/fortigate/6.4.0/cookbook/103439/high-availability-with-two-fortigatesNO.36 FortiGate 구성을 보여주는 그림 참조FortiManager VM 고가용성(HA)이 기존 배포에 추가된 후 예상대로 작동하지 않음 관리자가 VRRP HA 모드가 선택되었지만 기본 및 보조 역할이 GUI에서 회색으로 표시됨 관리되는 장치가 FMG-B가 기본이 될 때 온라인 상태로 표시되지 않지만 FMG-A가 기본이 될 때마다 온라인 상태로 표시됨 이 시나리오에서 HA 기능을 수정하려면 어떤 변경이 필요합니까? 관리되는 FortiGate의 FortiManager IP 주소를 10.3.106.65로 변경합니다. 모니터링되는 IP를 두 FortiManager 장치에서 일치하도록 설정합니다. FortiManager CLI 구성에서 기본 및 보조 역할을 설정 해제하여 VRRP가 기본 역할을 결정하도록 합니다. FMG-A의 우선순위를 수치적으로 낮게 변경하여 선호도를 높입니다. HA가 제대로 작동하려면 모니터링되는 IP가 두 FortiManager 장치에서 모두 일치해야 하므로 B가 맞습니다. 이에 대한 자세한 내용은 FortiManager 관리 가이드의 고가용성 > HA 옵션 구성 > GUI를 사용한 HA 옵션 구성에 설명되어 있습니다. 참조: https://docs.fortinet.com/document/fortimanager/7.4.0/administration-guide/568591/high-availability https://docs.fortinet.com/document/fortimanager/7.4.0/administration-guide/568591/high-availability/568592/configuring-ha-optionsNO.37 사용자 정의 조회 테이블 데이터를 FortiSIEM으로 가져오는 데 지원되는 두 가지 방법은 무엇입니까? (두 가지 선택) API FTP SCP 보고서 FortiSIEM은 사용자 정의 조회 테이블 데이터를 가져오기 위한 두 가지 방법을 지원합니다: 보고서: 보고서에서 조회 테이블 데이터를 가져올 수 있습니다. 이것은 조회 테이블 데이터를 가져오는 가장 일반적인 방법입니다.API: FortiSIEM API를 사용하여 조회 테이블 데이터를 가져올 수도 있습니다. 이는 프로그래밍 방식으로 조회 테이블 데이터를 가져올 수 있는 고급 방법이며, FTP, SCP 및 기타 파일 전송 프로토콜은 조회 테이블 데이터를 FortiSIEM으로 가져오는 데 지원되지 않습니다.NO.38 전시물을 참조하십시오.FortiGate 장치를 사용하여 SD-WAN/ADVPN의 대규모 배포를 용이하게 하려면 ADVPN 바로 가기 터널에서 IKE 경로 주입을 지원하도록 FortiGate 장치를 구성해야 합니다.이 기능을 사용하려면 VPN 인터페이스에 대해 전시물에 참조된 FortiGate spoke config vpn ipsec phasei-interface 옵션에 추가하거나 변경해야 하는 명령 세 가지는 무엇입니까? (세 가지를 선택하십시오.) set net-device disable set mode-cfg enable set ike-version 1 set add-route enable set mode-cfg-allow-client-selector enable B는 ADVPN 바로 가기 터널에 IKE 경로를 주입하는 데 필요한 mode-cfg를 활성화하도록 설정해야 하고, D는 실제로 IKE 경로를 주입하는 명령인 add-route를 활성화하도록 설정해야 하며, E는 사용자 지정 2단계 선택기를 구성할 수 있는 mode-cfg-allow-client-selector를 활성화하도록 설정해야 하며, 다른 옵션은 올바르지 않습니다. ADVPN 바로 가기 터널에 IKE 경로를 삽입하는 데 net-device disable이 필요하지 않으므로 옵션 A는 올바르지 않습니다. 옵션 C는 ADVPN에 IKE 버전 1이 지원되지 않기 때문에 올바르지 않습니다.참조:2단계 선택기 및 ADVPN 바로 가기 터널 | FortiGate/FortiOS 7.2.0 FortiGate로 SD-WAN/ADVPN 구성 | FortiGate/FortiOS 7.2.0NO.39 사용자 정의 룩업 테이블 데이터를 FortiSIEM으로 가져오는 데 지원되는 두 가지 방법은 어느 것입니까? (두 가지 선택) 보고서 FTP API SCP 사용자 정의 조회 테이블 데이터(LTD)는 사용자가 상관관계, 보고 및 분석 목적으로 사용자 지정 데이터를 FortiSIEM으로 가져올 수 있는 기능입니다. 사용자는 두 가지 방법을 사용하여 CSV 형식의 LTD 파일을 생성하고 FortiSIEM으로 가져올 수 있습니다: FTP 또는 API. FTP는 파일 전송 프로토콜로, 사용자가 FortiSIEM 서버의 지정된 폴더에 LTD 파일을 업로드할 수 있습니다. API는 애플리케이션 프로그래밍 인터페이스로, 사용자가 RESTful 웹 서비스를 사용하여 FortiSIEM에 LTD 파일을 업로드하기 위해 HTTP 요청을 보낼 수 있습니다. 참고: https://docs.fortinet.com/document/fortisiem/6.4.0/administration-guide/19662/user-defined-lookup-table-dataNO.40 전시물 참조.FortiGate 장치를 사용하여 SD-WAN/ADVPN의 대규모 배포를 용이하게 하려면 ADVPN 바로 가기 터널에서 IKE 경로 주입을 지원하도록 FortiGate 장치를 구성해야 합니다.이 기능을 사용하도록 VPN 인터페이스에 대해 전시물에 참조된 FortiGate spoke config vpn ipsec phasei-interface 옵션에 추가하거나 변경해야 하는 명령은 다음 중 어느 것입니까? (세 가지를 선택하십시오.) set net-device disable set mode-cfg enable set ike-version 1 set add-route enable set mode-cfg-allow-client-selector enable net-device disable은 VPN 인터페이스가 라우팅 테이블에 연결된 경로로 추가되지 않도록 하기 때문에 A가 맞습니다. 대신 IKE 경로를 삽입할 수 있습니다. 추가 경로 활성화는 VPN 인터페이스에서 IKE 경로 주입을 사용하도록 설정하므로 D가 맞습니다. mode-cfg-allow-client-selector 활성화는 V