• ホーム
  • ブログ
  • 無料FCP_FGT_AD-7.4日本語試験ブレーン問題集認定ガイド問題と解答 [Q45-Q68]

無料FCP_FGT_AD-7.4日本語試験ブレーン問題集認定ガイド問題と解答 [Q45-Q68]

Share

無料FCP_FGT_AD-7.4日本語試験ブレーン問題集認定ガイド問題と解答

FCP_FGT_AD-7.4日本語認定概要最新のFCP_FGT_AD-7.4日本語PDF問題集

質問 # 45
ファイアウォール ポリシーを表示するには、図を参照してください。

ファイアウォール ポリシーが eicar などのよく知られたウイルスをブロックしないのはなぜですか?

  • A. ファイアウォール ポリシーがプロキシベースの検査モードで構成されていません。
  • B. ウイルス対策プロファイルを補完するファイアウォール ポリシーで Web フィルターが有効になっていません。
  • C. ファイアウォール ポリシーのアクションが拒否に設定されていません。
  • D. ファイアウォール ポリシーは詳細なコンテンツ検査を適用しません。

正解:A

解説:
The firewall policy shown in the exhibit is configured in flow-based inspection mode. In flow-based inspection, certain security features, such as deep content inspection, might not be as effective as in proxy- based mode. Proxy-based inspection is necessary for thorough content inspection, which includes identifying and blocking well-known viruses like EICAR.
References:
* FortiOS 7.4.1 Administration Guide: Inspection Modes


質問 # 46
展示品を参照してください。

展示されているルーティング データベースに基づいて、ルートについてどのような 2 つの結論を導き出せますか? (2 つ選択してください。)

  • A. ポート1とポート2のデフォルトルートがルーティングテーブルでアクティブです
  • B. ルーティングテーブルには8つのルートがアクティブになります
  • C. ポート3のデフォルトルートのメトリックは最も低い
  • D. ポート3のデフォルトルートは距離が最も長い

正解:A、D

解説:
The port1 and port2 default routes are active in the routing table
The routes with 0.0.0.0/0 for both port1 and port2 are marked with an asterisk * and > symbol, which indicates that these routes are active and selected in the routing table.
The port3 default route has the highest distance
The route via port3 has a distance of [20/0], which is higher than the distances for the routes via port1 [10/0] and port2 [30/0]. This indicates that the port3 default route has the highest distance.


質問 # 47
展示品を参照してください。

このデータベース テーブルのルーティング エントリについて正しい記述はどれですか。(2 つ選択してください。)

  • A. ポート2インターフェースは非アクティブとしてマークされています。
  • B. porc2 上のデフォルト ルートはスタンバイ ルートとしてマークされます。
  • C. ルーティング データベース テーブル内のすべてのエントリが FortiGate ルーティング テーブルにインストールされます。
  • D. 両方のデフォルト ルートの管理距離が異なります。

正解:B、D

解説:
The routing table in the exhibit shows two default routes (0.0.0.0/0) with different administrative distances:
The default route through port2 has an administrative distance of 20.
The default route through port1 has an administrative distance of 10.
Administrative distance determines the priority of the route; a lower value is preferred. Here, the route through port1 with an administrative distance of 10 is the preferred route. The route through port2 with an administrative distance of 20 acts as a standby or backup route. If the primary route (port1) fails or is unavailable, traffic will then be routed through port2.
Regarding the statement that the port2 interface is marked as inactive, there is no indication in the routing table that port2 is inactive. Similarly, all the routes displayed are not necessarily installed in the FortiGate routing table, as the table could include both active and backup routes.
Reference:
FortiOS 7.4.1 Administration Guide: Default route configuration
FortiOS 7.4.1 Administration Guide: Routing table explanation


質問 # 48
展示品を参照してください。

このファイアウォール ポリシー リストに関する次の記述のうち正しいものはどれですか。

  • A. LAN から WAN。WAN から LAN。および暗黙的は、シーケンス グループ化ビュー リストです。
  • B. ファイアウォール ポリシーは、入力および出力インターフェイスのペアリング ビューによって一覧表示されます。
  • C. ファイアウォール ポリシーは ID シーケンス ビューで一覧表示されます。
  • D. 暗黙的グループには、複数の拒否ファイアウォール ポリシーを含めることができます。

正解:B

解説:
The firewall policy list in the exhibit is arranged in the "Interface Pair View," where policies are grouped by their incoming (ingress) and outgoing (egress) interface pairs. Each section (LAN to WAN, WAN to LAN, etc.) groups policies based on these interface pairings. This view helps administrators quickly identify which policies apply to specific traffic flows between network interfaces. Options A and D are incorrect because the Implicit group typically does not include more than one deny policy, and there is no "sequence grouping view" in FortiGate. Option B is incorrect as the list is not displayed strictly by ID sequence.
References:
* FortiOS 7.4.1 Administration Guide: Firewall Policy Views


質問 # 49
FortiGate でサポートされている IPsec IKEv1 認証の機能はどれですか (2 つ選択してください)。

  • A. 認証方法としての事前共有キーと証明書署名
  • B. 拡張認証 (XAuth) リモートピアにユーザー名とパスワードの提供を要求する
  • C. 交換されるパケット数が少なくなるため、認証が高速になる拡張認証 (XAuth)
  • D. 認証方法として証明書署名を設定する場合、リモートピアに証明書は必要ありません。

正解:A、B

解説:
FortiGate supports both pre-shared key and certificate signature methods for IKEv1 authentication. These methods provide flexibility depending on the security requirements of the network. Additionally, FortiGate supports Extended Authentication (XAuth), which requests a username and password from the remote peer, enhancing security by adding an extra layer of authentication. The XAuth method does not necessarily make the authentication faster; it is an additional security measure.
References:
* FortiOS 7.4.1 Administration Guide: IPsec VPN Configuration


質問 # 50
管理者は、デッド トンネルを検出するために、IPsec VPN でデッド ピア検出 (DPD) を設定したいと考えています。要件は、送信トラフィックがあり、ピアからの応答がない場合にのみ、FortiGate が DPD プローブを送信することです。
FortiGate のどの DPD モードがこの要件を満たしていますか?

  • A. アイドル時
  • B. 有効
  • C. 無効
  • D. オンデマンド

正解:D

解説:
The On Demand mode for Dead Peer Detection (DPD) on FortiGate sends DPD probes only when there is outbound traffic and no response from the peer. This mode is used to detect if the peer is still available without continuously sending DPD probes, reducing unnecessary traffic.


質問 # 51
管理者は、NTurbo をサポートする FortiGate モデルを管理します。
NTurbo はフローベースの検査のパフォーマンスをどのように向上させるのでしょうか?

  • A. NTurbo はファイル全体をバッファリングし、それをウイルス対策エンジンに送信します。
  • B. NTurbo は FortiGate デバイス上に 2 つの検査セッションを作成します。
  • C. NTurbo はトラフィックをコンテンツ プロセッサにオフロードします。
  • D. NTurbo は、IPS エンジンとその入力インターフェイスおよび出力インターフェイス間のトラフィックをリダイレクトするための特別なデータ パスを作成します。

正解:C

解説:
NTurbo enhances performance for flow-based inspection by offloading traffic to the content processor.


質問 # 52
展示品を参照してください。

ネットワーク管理者は、2 つの FortiGate デバイス間の IPsec トンネルのトラブルシューティングを行っています。管理者は、フェーズ 1 が起動に失敗したと判断しました。また、管理者は両方の FortiGate デバイスで事前共有キーを再入力し、それらが一致することを確認しました。
フェーズ 1 の構成と図に示されている図に基づいて、管理者がフェーズ 1 を起動するために実行できる 2 つの構成変更はどれですか (2 つ選択してください)。

  • A. リモートFortiGateで、ポート2をインターフェースとして設定します。
  • B. 両方の FortiGate デバイスで、Dead Peer Detection を On Demand に設定します。
  • C. HQ-FortiGate で、IKE モードをメイン (ID 保護) に設定します。
  • D. HQ-FortiGate で、Diffie-Helman グループ 2 を無効にします。

正解:B、C

解説:
To bring Phase 1 up, the following changes can be made:
* A. On HQ-FortiGate, disable Diffie-Helman group 2: This is incorrect because Diffie-Hellman group 2 is already selected on both devices. Disabling it would not help.
* B. On Remote-FortiGate, set port2 as Interface: This is incorrect as both sides should be consistent in their interface settings for the IPsec tunnel, and the interface is correctly set to port1 on both FortiGates in the IPsec configuration.
* C. On both FortiGate devices, set Dead Peer Detection to On Demand: This is a valid option.
Setting Dead Peer Detection (DPD) to "On Demand" helps maintain the IPsec connection by checking if the peer is still available, which can help in some cases where the connection fails due to timeouts.
* D. On HQ-FortiGate, set IKE mode to Main (ID protection): This is also a valid option because the Remote-FortiGate is already set to Main mode (ID protection). Ensuring that both ends use the same mode is crucial for successful phase 1 negotiation.
Thus, the correct answers are:C. On both FortiGate devices, set Dead Peer Detection to On Demand.D.
On HQ-FortiGate, set IKE mode to Main (ID protection).


質問 # 53
展示品を参照してください。

図に示されている侵入防止システム (IPS) プロファイル署名設定を確認します。
FTP.Login.Failed 署名を IPS センサー プロファイルに追加すると、どのような結論になりますか?

  • A. シグネチャに一致するトラフィックは、暗黙的にドロップされ、ログに記録されます。
  • B. 署名設定には他の署名のグループが含まれます。
  • C. シグネチャに一致するトラフィックは許可され、ログに記録されます。
  • D. 署名設定ではカスタム評価しきい値が使用されます。

正解:C

解説:
The exhibit shows that the "FTP.Login.Failed" IPS signature is set with the action "Pass" and packet logging enabled. This means that any traffic matching this signature will be allowed through the FortiGate, and the traffic details will be logged for monitoring and analysis purposes.
Reference:
FortiOS 7.4.1 Administration Guide: IPS Signature Actions


質問 # 54
展示品を参照してください。



展示には、ネットワークに接続された FortiGate デバイスの図と、IP プール構成およびファイアウォール ポリシー オブジェクトが表示されます。
WAN(ポート1)インターフェースのIPアドレスは10.200.1.1/24です。LAN(ポート3)インターフェースのIPアドレスは
10.0.1.254/24。
ローカル クライアント (10.0.1.10) のユーザーがリモート FortiGate (10.200.3.1) の IP アドレスに ping を実行した場合、トラフィックのソース NAT (SNAT) にはどの IP アドレスが使用されますか?

  • A. 10.200.1.49
  • B. 10.200.1.1
  • C. 10.200.1.149
  • D. 10.200.1.99

正解:D

解説:
The traffic from the user on Local-Client (10.0.1.10) pinging the IP address of Remote-FortiGate (10.200.3.1) will match the firewall policy with the service "PING traffic". According to the firewall policy:
* Policy ID 6 is set for PING traffic and uses the NAT IP pool "SNAT-Remote1", which is defined as
10.200.1.99.


質問 # 55
展示品を参照してください。

図に示すネットワークでは、Web クライアントは HTTP Web サーバーに接続できません。管理者は FortiGate 組み込みスニファーを実行し、図に示す出力を取得します。
問題をトラブルシューティングするために、管理者は次に何をすべきでしょうか?

  • A. part1 に接続された外部スニファーを使用してトラフィックをキャプチャします。
  • B. 今回はフィルター「hose 10.o.1.10」を使用して、FortiGate で別のスニファーを実行します。
  • C. Web サーバー上でスニファーを実行します。
  • D. デバッグフローを実行します。

正解:D

解説:
The sniffer output shows that packets from the web client are reaching the FortiGate and being forwarded to the web server, but there is no indication that the web server is responding. To troubleshoot this issue, executing a debug flow will help analyze the traffic path and pinpoint where the problem might be occurring, such as a possible issue in firewall policy or route settings that is causing the server not to respond correctly.
Reference:
FortiOS 7.4.1 Administration Guide: Troubleshooting network connectivity


質問 # 56
展示品を参照してください。


展示には、アプリケーション センサーの構成と、過剰帯域幅および Apple フィルターの詳細が表示されます。
設定に基づいて、発信または着信の通話が少ない場合、Apple FaceTime はどうなるでしょうか?

  • A. 過剰帯域幅フィルターの設定に基づいて、Apple FaceTime がブロックされます。
  • B. Apple フィルター設定に基づいて、Apple FaceTime が許可されます。
  • C. Apple FaceTime は、アプリケーションとフィルターの上書きの Apple フィルターが許可に設定されている場合にのみ許可されます。
  • D. ビデオ/オーディオ カテゴリの構成に基づいて、Apple FaceTime が許可されます。

正解:A

解説:
Based on the application sensor configuration and the filter details:
* D. Apple FaceTime will be blocked, based on the Excessive-Bandwidth filter configuration: The
"Excessive-Bandwidth" filter is set to block, which includes "FaceTime" under its application signature.
As a result, FaceTime will be blocked regardless of the "Apple" filter configuration because the
"Excessive-Bandwidth" filter takes precedence due to its block action setting.
The other options are not correct:
* A. Apple FaceTime will be allowed, based on the Video/Audio category configuration: The Video
/Audio category is not relevant because FaceTime is specifically included in the Excessive-Bandwidth filter, which blocks it.
* B. Apple FaceTime will be allowed, based on the Apple filter configuration: Although the Apple filter is set to monitor, the block action of the Excessive-Bandwidth filter will override this.
* C. Apple FaceTime will be allowed only if the Apple filter in Application and Filter Overrides is set to Allow: The allow setting for the Apple filter is irrelevant in this context, as the block action in the Excessive-Bandwidth filter will prevail.
References
* FortiOS 7.4.1 Administration Guide - Application Control and Filtering, page 978.
* FortiOS 7.4.1 Administration Guide - Application Sensor Configuration, page 982.


質問 # 57
Web フィルター プロファイルで複数の機能が有効になっている場合、Web フィルタリングの HTTP 検査プロセスは特定の順序に従います。
Web フィルタ プロファイルでセーフ サーチなどの機能が有効になっている場合、FortiGate はどの順序を使用する必要がありますか?

  • A. DNSベースのWebフィルタとプロキシベースのWebフィルタ
  • B. 静的 URL フィルター、FortiGuard カテゴリ フィルター、および高度なフィルター
  • C. 静的ドメイン フィルター、SSL 検査フィルター、外部コネクタ フィルター
  • D. FortiGuard カテゴリ フィルターと評価フィルター

正解:B

解説:
FortiGate applies web filters in the following order: Static URL filter, FortiGuard category filter, Web content filter, Web script filter, and Antivirus scanning.


質問 # 58
ファイアウォール ポリシーとウイルス対策プロファイルの構成を示す展示を参照してください。

感染したファイルを初めてダウンロードするときに、ユーザーがブロック置換メッセージを受信できないのはなぜですか?

  • A. ファイアウォール ポリシーは、ファイルに対して完全なコンテンツ検査を実行します。
  • B. フローベースの検査が使用され、最後のパケットがユーザーにリセットされます。
  • C. 検査のためにファイルを FortiSandbox に送信するオプションが有効になっています。
  • D. フローベースの検査モードを使用する場合は、侵入防止セキュリティ プロファイルを有効にする必要があります。

正解:B

解説:
In flow-based inspection mode, FortiGate sends a reset (RST) packet to the client instead of providing a replacement message, which causes the block message not to be displayed.


質問 # 59
管理者は FortiGate で厳密な RPF チェックを設定しました。
厳密な RPF チェックはどのように機能しますか?

  • A. 厳密な RPF は、着信インターフェイスを使用して送信元への最適なルートをチェックします。
  • B. 新しいセッションの最初の送信パケットと応答パケットに対して厳密な RPF チェックが実行されます。
  • C. 厳密な RPF では、すべてのアクティブなルートを使用してパケットを送信元に戻すことができます。
  • D. 厳密な RPF は、着信インターフェイスを使用して送信元に戻るアクティブなルートが少なくとも 1 つ存在するかどうかのみをチェックします。

正解:A


質問 # 60
FSSO コレクター エージェントの NetAPI ポーリング モードを正しく説明している記述はどれですか。

  • A. NetSessionEnum 関数は、ユーザーのログアウトを追跡するために使用されます。
  • B. コレクター エージェントは、Windows アプリケーション イベント ログを検索する必要があります。
  • C. コレクター エージェントは、Windows API を使用して DC にユーザー ログインを照会します。
  • D. NetAPI ポーリングにより、大規模ネットワークでの帯域幅使用量が増加する可能性があります。

正解:A


質問 # 61
展示品を参照してください。



展示品には、ネットワークに接続された FortiGate デバイスの図とファイアウォールの構成が示されています。
管理者は、Remote-User2 の Web サーバー アクセスを拒否するデフォルト設定の拒否ポリシーを作成しました。
このポリシーは、Remote-User1 が Web サーバーにアクセスできるようにし、Remote-User2 が Web サーバーにアクセスできないようにするように機能する必要があります。
管理者は、Remote-User2 の Web サーバー アクセスを拒否するために、ポリシーに対してどの 2 つの構成変更を行うことができますか? (2 つ選択してください。)

  • A. 拒否ポリシーで match-vip を無効にします。
  • B. 拒否ポリシーで match-vip を有効にします。
  • C. Allow_access ポリシーで宛先アドレスを Deny_IP として設定します。
  • D. 拒否ポリシーで宛先アドレスを Web サーバーとして設定します。

正解:B、D

解説:
To deny access to the web server for Remote-User2 while allowing Remote-User1 to access the same web server, two configuration changes can be made:
Enable match-vip in the Deny policy:
By enabling the match-vip option in the Deny policy, the FortiGate will check for virtual IP (VIP) objects during policy matching. This setting allows the firewall policy to correctly identify and block traffic directed to a specific mapped IP address, such as the web server, when using a VIP configuration.
Set the Destination address as Webserver in the Deny policy:
Setting the Destination address to "Webserver" in the Deny policy ensures that the policy specifically targets traffic attempting to reach the web server. This configuration helps to precisely control which traffic should be blocked, focusing the Deny policy on the intended destination.
Reference:
FortiOS 7.4.1 Administration Guide: Deny matching with a policy with a virtual IP applied FortiOS 7.4.1 Administration Guide: Configuring Policies with VIPs


質問 # 62
管理者が次の設定を構成しました:

この構成の 2 つの結果は何ですか? (2 つ選択してください。)

  • A. 拒否されたトラフィックによって生成されるログの数が削減されます。
  • B. すべてのインターフェースでのデバイス検出が 30 分間強制されます。
  • C. 拒否されたトラフィックのセッションが作成されます。
  • D. 拒否されたユーザーは 30 分間ブロックされます。

正解:A、C

解説:
A session for denied traffic is created.
The command set ses-denied-traffic enable ensures that sessions for denied traffic are logged, meaning a session will be created for traffic that is denied by security policies.
The number of logs generated by denied traffic is reduced.
The set block-session-timer 30 command sets a timer to prevent excessive logging of denied traffic within a short period, which helps reduce the number of logs generated by repeated denied traffic sessions. This timer blocks sessions for a specified period (30 seconds in this case) to avoid overwhelming the log system with repetitive entries.


質問 # 63
NGFW プロファイルベース モードの 2 つの機能は何ですか? (2 つ選択してください。)

  • A. NGFW プロファイル ベース モードでは、ファイアウォール ポリシーでアプリケーションと Web フィルタリング プロファイルを適用することをサポートします。
  • B. NGFW プロファイルベース モード ポリシーは、フロー検査とプロキシ検査の両方をサポートします。
  • C. NGFW プロファイル ベース モードは、個々の VDOM ではなく、グローバルにのみ適用できます。
  • D. NGFWプロファイルベースモードでは、中央ソースNATポリシーの使用が必須です。

正解:A、B

解説:
NGFW (Next Generation Firewall) profile-based mode in FortiGate allows policies to use both flow-based and proxy-based inspection modes, providing flexibility depending on security and performance requirements. Additionally, profile-based mode supports applying applications and web filtering profiles directly in a firewall policy, allowing granular control over the traffic.
Reference:
FortiOS 7.4.1 Administration Guide: NGFW Mode Configuration


質問 # 64
ネットワーク管理者は、海外に出張する営業担当者のために IPsec VPN トンネルを構成しています。
管理者はどの IPsec ウィザード テンプレートを適用する必要がありますか?

  • A. ダイヤルアップユーザー
  • B. iハブアンドスポーク
  • C. サイト間
  • D. リモートアクセス

正解:D

解説:
For configuring an IPsec VPN tunnel for a sales employee traveling abroad, the "Remote Access" template is the most appropriate choice. This template is designed to allow remote users to securely connect to the internal network of an organization from any location using FortiClient or a compatible client. The other options, such as "Site to Site," "Dial up User," and "iHub-and-Spoke," are used for connecting different networks or sites, not individual remote users.
Reference:
FortiOS 7.4.1 Administration Guide: IPsec Wizard Template Types


質問 # 65
展示品を参照してください。

NOC チームは、NOC_Access 管理者プロファイルを使用して FortiGate GUI に接続します。非アクティブなときに GUI セッションが早期に切断されないように要求します。
NOC チームからのこの特定の要求に応えるために、管理者は何を構成する必要がありますか?

  • A. config system accprofile super_admin の admintimeout 値を増やします。
  • B. config system globalのadmintimeout値を増やす
  • C. NOC_Access管理プロファイルのOverride Idle Timeoutパラメータのオフライン値を増やす
  • D. 管理者プロファイルで「タイムアウトしない」パラメータを有効にする

正解:B

解説:
To adjust the inactivity timeout for GUI sessions, the administrator should increase the admintimeout value in the global settings. This parameter controls how long an administrator's session can remain idle before it times out and disconnects. This is configured globally and affects all administrators, including those with the
"NOC_Access" profile.


質問 # 66
ウイルス対策スキャン モードについて説明している 2 つの文はどれですか? (2 つ選択してください。)

  • A. プロキシベースの検査モードでは、バッファサイズより大きいファイルがスキャンされます
  • B. プロキシベースの検査モードでは、ウイルス対策スキャンはファイル全体をスキャン用にバッファリングしてからクライアントに送信します。
  • C. フローベースの検査モードでは、バッファサイズより大きいファイルがスキャンされます
  • D. フローベースの検査モードでは、FortiGate はファイルをバッファリングしますが、同時にクライアントに送信します。

正解:B、D

解説:
In flow-based inspection mode, FortiGate buffers the file, but also simultaneously transmits it to the client.
Flow-based inspection allows real-time scanning of files as they are being transmitted, with minimal impact on performance.
In proxy-based inspection mode antivirus scanning buffers the whole file for scanning, before sending it to the client.
Proxy-based inspection mode holds the file completely, scans it for threats, and only sends the file to the client if no threats are detected.


質問 # 67
リモート認証サーバーからの部分的な構成を示す図を参照してください。

FortiGate 管理者がこの構成を必要とするのはなぜですか?

  • A. RADIUS サーバー上のトレーニング OU を認証して照合します。
  • B. RADIUSサーバーのシークレットを設定するには
  • C. 任意の FortiGate ユーザー グループを認証します。
  • D. トレーニング ユーザー グループのみを認証します。

正解:A

解説:
The configuration shown in the exhibit indicates that the FortiGate is using a Fortinet-specific RADIUS attribute (Fortinet-Group-Name) with the value "Training." This setup allows the FortiGate to authenticate users against the RADIUS server and match them to the "Training" Organizational Unit (OU). By doing so, only users within this specific group or OU can be authenticated and allowed access through the FortiGate.
Reference:
FortiOS 7.4.1 Administration Guide: RADIUS Server Configuration


質問 # 68
......

ベストなFortinet FCP_FGT_AD-7.4日本語学習ガイドと問題集には2025:https://www.goshiken.com/Fortinet/FCP_FGT_AD-7.4-JPN-mondaishu.html

関するブログ

もっと
FCP_FGT_AD-7.4-JPN無料問題集