轻松通过C_HRHFC_2311考试 - C_HRHFC_2311模拟试题库更新于2024年6月28日 [Q107-Q129]

6 月 28, 20246 月 28, 2024 考试轻松通过C_HRHFC_2311考试 - C_HRHFC_2311模拟试题库更新于2024年6月28日 [Q107-Q129] 0 条评论

標籤: C_HRHFC_2311 免费试卷, C_HRHFC_2311 最新教程, C_HRHFC_2311 最新转储电子书, C_HRHFC_2311 新学习问题 pdf, C_HRHFC_2311 可靠的测试提示, C_HRHFC_2311 有效转储 ppt, 新版 C_HRHFC_2311 在线练习考试

给本帖评分

轻松通过 C_HRHFC_2311 考试 - C_HRHFC_2311 模拟题库更新日期：2024 年 6 月 28 日

2024 真实验证免费 SAP C_HRHFC_2311 考试问题

Q107. FortiGate 可以使用哪个证书值来确定签发者和证书之间的关系？

主题关键标识符值

SMMIE 能力值

主题价值

主题替代名称值

Q108. 如何禁用 RPF 检查？

在系统设置下禁用严格源检查。

在接口级设置中禁用 src 检查

取消接口级设置中的故障警报接口。

在接口级设置中禁用故障检测。

Q109. IPS 引擎用于哪三种安全功能？(请选择三个）。

基于流量的检测中的防病毒

基于流量的检查中的网络过滤器

应用控制

DNS 过滤器

网络应用防火墙

FortiGate Security 7.2 学习指南》（第 385 页）："IPS 引擎负责本课中展示的大部分功能：IPS 和协议解码器。它还负责应用程序控制、基于流量的防病毒保护、网络过滤和电子邮件过滤。"

Q110. 网络管理员正在 FortiGate 上配置新的 IPsec VPN 通道。远程对等 IP 地址是动态的。此外，远程对等设备不支持动态 DNS 更新服务。
管理员应在 FortiGate 上配置哪种类型的远程网关才能使新的 IPsec VPN 通道正常工作？

静态 IP 地址

拨号用户

动态 DNS

预共享密钥

当远程对等设备的 IP 地址未知时，就会使用拨号用户。IP 地址未知的远程对等端充当拨号客户端，这通常适用于使用动态 IP 地址和无动态 DNS 的分支机构和移动 VPN 客户端。

Q111. 51 关于检查第三方网站中嵌入的网络应用程序所提供的某些服务，哪种说法是正确的？

应用于网络应用程序的安全措施也将明确应用于第三方网站。

应用程序签名数据库只检查来自原始网络应用程序服务器的流量。

FortiGuard 只为每个网络应用程序维护一个唯一的签名。

FortiGate 可以检查子应用流量，无论其来源于何处。

参考资料
https://help.fortinet.com/fortiproxy/11/Content/Admin%20Guides/FPX-AdminGuide/300_System/303d_FortiG

Q112. 在基于配置文件的下一代防火墙 (NGFW) 上配置防火墙策略时，可以使用哪两种检查模式？(选择两个）。

基于代理的检查

证书检查

基于流程的检测

完整内容检查

Q113. 请参阅展品。

根据管理员配置文件设置，管理员必须设置哪些权限才能在 FortiGate 上运行 diagnose firewall auth list CLI 命令？

网络自定义权限

日志和报告的读/写权限

CLI 诊断命令权限

防火墙的读/写权限

https://kb.fortinet.com/kb/documentLink.do?externalID=FD50220

Q114. 请参阅证物。
证据 A

证据 B

展品包含网络接口配置、防火墙策略和 CLI 控制台配置。
FortiGate 将如何处理到达 LAN 接口的流量的用户身份验证？

如果有 "直通 "策略，则不会提示用户进行身份验证。

身份验证在策略级别执行；所有用户都会被提示进行身份验证。

系统将提示所有用户进行身份验证，销售群组的用户可以使用正确的凭据成功进行身份验证。

系统将提示所有用户进行身份验证，人力资源组的用户可以使用正确的凭据成功进行身份验证。

Q115. FortiGate 设备上的每个 VDOM 可以分别配置哪两个设置？(选择两项）。

系统时间

FortiGuaid 更新服务器

运行模式

NGFW 模式

C："操作模式为每个 VDOM 设置。您可以在同一物理 Fortigate 上将透明模式 VDOM 与 NAT 模式 VDOM 结合起来。
D："检查模式选择已从 VDOM 转移到防火墙策略，默认检查模式为流量，因此可从 VDOM 直接在系统 > 设置中将 NGFW 模式从 Profile-base（默认）更改为 Policy-base"，《FortiGate_Infrastructure_6.4_Study_Guide》，第 125 页。

Q116. 关于基于会话的身份验证，哪三种说法是正确的？(请选择三个）。

HTTP 会话被视为单个用户。

来自同一源 IP 地址的 IP 会话被视为单个用户。

它可以区分同一源 IP 地址后面的多个客户端。

它需要更多的资源。

如果源 NAT 后面有多个用户，则不建议使用此方法

Q117. 请参阅展品，其中包含静态路由配置。
管理员为 Amazon Web Services 创建了一条静态路由。

管理员必须使用哪条 CLI 命令来查看路由？

get router info routing-table database

诊断防火墙路由列表

获取互联网服务路由列表

get router info routing-table all

ISDB 静态路由不会直接在路由表中创建条目。参考资料：https://community.fortinet.com/t5/FortiGate/Technical-Tip-Creating-a-static-route-for-Predefined-Internet/ta-p/198756 和 https://community.fortinet.com/t5/FortiGate/Technical-Tip-Verify-the-matching-policy-route/ta-p/190640 FortiGate Infrastructure 7.2 学习指南（第 16 页和第 59 页）："尽管被配置为静态路由，但 ISDB 路由实际上是策略路由，优先于路由表中的任何其他路由。因此，ISDB 路由会被添加到策略路由表中。""FortiOS 维护一个策略路由表，您可以通过运行 diagnose firewall proute list 命令查看该表。

Q118. 管理员需要防止应用程序会话在 80 端口超时。管理员可以做出哪两项更改来解决这个问题，而不会影响通过 FortiGate 运行的任何现有服务？(选择两项）。

为新 HTTP 服务创建新的防火墙策略，并将其置于现有 HTTP 策略之上。

为 HTTP 服务创建一个新的服务对象，并将会话 TTL 设置为永不

在 config system-ttl 下将 TTL 值设置为永不

将 HTTP 策略的会话 TTL 设置为最大值

Q119. 当 FortiGate 处于透明模式时，哪两种说法是正确的？

默认情况下，所有接口都属于同一个广播域。

安装透明模式时，必须更改现有的网络 IP 模式。

需要使用静态路由来允许流量到达下一跳。

FortiGate 在不更改 MAC 地址的情况下转发帧。

参考资料
attachID=Fortigate_Transparent_Mode_Technical_Guide_FortiOS_4_0_version1.2.pdf&documentID=FD33113

Q120. 管理员配置了双因素身份验证以加强 SSL VPN 访问。管理员还可以实施哪些最佳实践？

配置源 IP 池。

在隧道模式下配置分离隧道。

配置不同的 SSL VPN 领域。

配置主机检查 .

Q121. 网络管理员在 FortiGate 上启用了完全 SSL 检查和 Web 过滤。访问任何 HTTPS 网站时，浏览器都会报告证书警告错误。访问 HTTP 网站时，浏览器不会报告错误。
证书警告错误的原因是什么？

匹配的防火墙策略设置为代理检查模式。

FortiGate 用于 SSL 检查的证书不包含所需的证书扩展名。

完全 SSL 检查功能没有有效许可证。

浏览器不信任 FortiGate 用于 SSL 检查的证书。

FortiGate Security 7.2 学习指南》（第 235 页）："如果 FortiGate 收到受信任的 SSL 证书，则会生成由内置 Fortinet_CA_SSL 证书签名的临时证书，并将其发送给浏览器。如果浏览器信任 Fortinet_CA_SSL 证书，浏览器将完成 SSL 握手。否则，浏览器也会显示一条警告信息，告知用户该网站不受信任。换句话说，要使该功能正常工作，必须将 Fortinet_CA_SSL 证书导入浏览器的受信任根 CA 证书存储区。

Q122. 触发 IPS 故障打开的原因是什么？

IPS 插槽缓冲区已满，IPS 引擎无法处理其他数据包。

IPS 引擎无法解码数据包。

IPS 引擎已升级。

管理员启用了 NTurbo 加速。

Q123. 哪两个协议用于启用 FortiGate 设备的管理员访问？(选择两个）。

SSH

HTTPS

FTM

FortiTelemetry

参考资料
https://docs.fortinet.com/document/fortigate/6.4.0/hardening-your-fortigate/995103/buildingsecurity-into-fortios

Q124. 如果问题既不在物理层也不在链路层，您可以使用哪三个 CLI 命令来排除第三层问题？(选择三个）。

诊断系统顶部

执行 ping

执行 traceroute

诊断嗅探器数据包

获取系统 arp

Q125. FortiGate 在 NAT 模式下运行，并在同一物理接口上配置了两个虚拟局域网 (VLAN) 子接口。
在这种情况下，对 VLAN ID 有哪两个要求？(请选择两项）。

只有当两个 VLAN 子接口的 IP 地址位于同一子网时，它们才能拥有相同的 VLAN ID。

只有当两个 VLAN 子接口属于不同的 VDOM 时，它们才能具有相同的 VLAN ID。

两个 VLAN 子接口必须有不同的 VLAN ID。

只有当两个 VLAN 子接口的 IP 地址位于不同子网时，它们才能拥有相同的 VLAN ID。

https://community.fortinet.com/t5/FortiGate/Technical-Note-How-to-use-emac-vlan-to-share-the-same-VLAN/ta-p/192843?externalID=FD43883 FortiGate 在 NAT 模式下运行时，意味着它使用网络地址转换 (NAT) 来修改通过它的流量的源或目标 IP 地址1。NAT 模式允许 FortiGate 从外部网络隐藏内部网络的 IP 地址，并通过将单个公共 IP 地址用于多个专用 IP 地址来节省 IP 地址1。
虚拟局域网（VLAN）子接口是一个逻辑接口，允许不同 VLAN 的流量进出 FortiGate 设备2。VLAN 子接口通过向物理接口或聚合接口添加 VLAN ID 来创建2。VLAN ID 是区分一个 VLAN 和另一个 VLAN 的数字标识符2。
在这种情况下，对添加到同一物理接口的 VLAN 子接口的 VLAN ID 有两种要求：
两个 VLAN 子接口必须有不同的 VLAN ID。这是因为 VLAN ID 用于用适当的 VLAN 信息标记流量，并将流量分成不同的 VLAN2。如果两个 VLAN 子接口的 VLAN ID 相同，它们将无法区分彼此的流量，也就无法将流量转发到正确的目的地。
只有当两个 VLAN 子接口属于不同的 VDOM 时，它们才能具有相同的 VLAN ID。这是因为 VDOM 是 FortiGate 的虚拟实例，可以拥有自己的接口、策略和路由表3。每个 VDOM 都独立于其他 VDOM 运行，可以拥有自己的 VLAN 子接口，并具有不同或相同的 VLAN ID3。不过，这需要 VDOM 之间的链接，以允许不同 VDOM 之间进行通信3。

Q126. 请参阅展品。

下图显示了 IPS 传感器的配置。
如果流量与该 IPS 传感器相匹配，传感器应采取哪两种措施？(选择两项）。