最新的 Palo Alto PCNSE 考試問題--您的成功之路

問題 #1

在排除 SSL 轉發代理解密問題時，您會使用哪條 PAN-OS CLI 命令來檢查由轉發信任證書或轉發不信任證書籤署的終端實體證書的詳細信息？

A. how system setting ssl-decrypt certs

B. how system setting ssl-decrypt certificate

C. ebug dataplane show ssl-decrypt ssl-stats

D. how system setting ssl-decrypt certificate-cache

查看答案

正確答案: B

問題 #2

哪個安全策略規則允許流量流向網絡服務器？

A. ��信任（任意）至不信任（10

B. ��信任（任意）至不信任（1

C. ��信任（任意）至 DMZ (1

D. ��信任（任意）到 DMZ (10

查看答案

正確答案: C

問題 #3

管理員創建包含第 7 層籤名的自定義應用程序。最新的應用程序和威脅動態更新被下載到同一個 NGFW。更新包含的應用程序與自定義應用程序的流量籤名相同。應使用哪個應用程序來識別穿越 NGFW 的流量？

A. ��定義應用程序

B. 系統日誌顯示應用程序錯誤，且未使用任何籤名。

C. 下載應用程序

D. ��併自定義和下載的應用程序籤名檔，並同時使用兩者

查看答案

正確答案: A

問題 #4

一家公司需要以最少的預配置將防火牆發送到遠程站點。部署完成後，每個防火牆必須建立安全隧道，返回多個地區數據中心，包括未來的地區數據中心。在部署到未來站點時，哪種 VPN 配置能適應變化？

A. ��配置的 GlobalProtect 衛星

B. ��配置的 GlobalProtect 客戶端

C. ��配置 IPsec 隧道

D. ��配置 PPTP 隧道

查看答案

正確答案: A

問題 #5

網絡安全團隊經理要求您根據 Palo Alto Networks 最佳實踐幫助配置公司的安全配置文件。作爲這項工作的一部分，經理爲您分配了互聯網網關防火牆的漏洞保護配置文件。哪種針對高嚴重性和關鍵嚴重性項目的操作和數據包捕獲設置最符合 Palo Alto Networks 最佳實踐？

A. ��作 "重置服務器 "和數據包捕獲 "禁用

B. 操作 "默認 "和數據包捕獲 "單個數據包

C. 操作 "重置-兩者 "和數據包捕獲 "擴展-捕獲

D. ��作 "重置-兩者 "和數據包捕獲 "單個數據包

查看答案

正確答案: D

問題 #6

由於關鍵業務應用程序的正常運行時間要求，防火牆管理員要求 A/P HA 對更快地進行故障切換。

A. 將 HA 定時器配置文件更改爲 "用戶定義"，然後手動設置定時器。

B. 將 HA 定時器配置文件更改爲 "快速"。

C. 將 HA 定時器配置文件更改爲 "攻擊性"，或在高級配置文件中自定義設置。

D. 將 HA 定時器配置文件更改爲 "快速"，並在高級配置文件中進行自定義。

查看答案

正確答案: C

問題 #7

通過哪個組件可以配置防火牆資源保護設置？

A. DoS 防護簡介

B. QoS 配置文件

C. ��域保護簡介

D. DoS 保護政策

查看答案

正確答案: D

問題 #8

管理員可以使用哪三種身份驗證服務來驗證管理員進入 Palo Alto Networks NGFW，而無需在本地防火牆上定義相應的管理員帳戶？

A. ��少威脅識別處理時間。

B. alo Alto Networks NGFW 在第 4 層停止 App-ID 處理。

C. ��全規則分配給流量的應用程序名稱會寫入流量日誌。

D. App-ID 處理時間增加。

查看答案

正確答案: CDE

問題 #9

客戶希望使用隧道接口建立站點到站點 VPN。隧道接口的命名有哪兩種格式是正確的？(選擇兩個）。

A. alo Alto Networks > Symantec > VeriSign

B. eriSign > Symantec > Palo Alto Networks

C. ymantec > VeriSign > Palo Alto Networks

D. eriSign > Palo Alto Networks > Symantec

查看答案

正確答案: AC

問題 #10

工程師的任務是在整個環境中啓用 SSL 解密。SSL 解密策略的三個有效參數是什麼？(請選擇三個）。

A. ��適用於現有會話，不是全局性的

B. ��適用於現有會話，並且是全局性的

C. ��適用於新會話，並且是全局性的

D. ��適用於新會話，不是全局性的

查看答案

正確答案: ACE

問題 #11

哪條 CLI 命令用於模擬通過防火牆的流量，並確定流量將觸發哪條安全策略規則、NAT 轉換、靜態路由或 PBF 規則？

A. 檢查

B. 查找

C. ��試

D. im

查看答案

正確答案: C

問題 #12

必須配置哪種 Captive Portal 模式才能支持 MFA 身份驗證？

A. 虛擬線路接口，允許在核心區和 DMZ 之間保留 EIGRP 路由

B. �� 3 層或聚合以太網接口，但只在子接口上配置 EIGRP

C. �� IPsec 隧道上終止 EIGRP 路由的隧道接口（使用 GlobalProtect 許可支持 LSVPN 和 EIGRP 協議）

D. 第 3 層接口，但在連接的虛擬路由器上配置 EIGRP

查看答案

正確答案: B

問題 #13

防火牆管理員可通過哪些日誌確定會話是否已解密？

A. 交通

B. 安全政策

C. 解密

D. ��關事件

查看答案

正確答案: A

問題 #14

當計劃在 PA-5260 上配置 SSL 轉發代理時，一位用戶詢問如何使用符合 Palo Alto Networks 最佳實踐的分階段方法實施 SSL 解密。您有什麼建議？

A. 對已知惡意源 IP 地址啓用 SSL 解密功能

B. ��惡意源用戶啓用 SSL 解密功能

C. ��源用戶和已知惡意 URL 類別啓用 SSL 解密功能

D. ��已知的惡意目標 IP 地址啓用 SSL 解密功能

查看答案

正確答案: C

問題 #15

自動解決方案可在不啓用 SSL 轉發代理的情況下阻止使用不可信證書的網站，請問哪兩個操作屬於自動解決方案的一部分？(選擇兩項）。

A. 解密 SSL 流量，然後將其作爲明文發送給安全檢查工具鏈。

B. 強制解密以前未知的密碼套件

C. ��將 SSL 流量發送到安全檢查工具鏈之前，將其減少爲較弱的密碼。

D. ��查 IPsec 隧道內的流量

查看答案

正確答案: AD

問題 #16

一個現有的 NGFW 客戶要求在每個站點本地直接訪問互聯網卸載，並通過公共互聯網與所有分支機構進行 IPSec 連接。客戶的要求之一是不在環境中引入新的 SD-WAN 硬件。

A. �� PAN-OS 上配置遠程網絡

B. ��級到 PAN-OS SD-WAN 訂閱

C. ��置基於策略的轉發

D. ��用 Prisma Access 部署 Prisma SD-WAN

查看答案

正確答案: B

問題 #17

管理員無法在 Panorama 報告中看到來自 Palo Alto Networks NGFW 的任何流量日誌。配置問題似乎出在防火牆上。如果配置不正確，哪些設置最有可能阻止只有流量日誌從防火牆發送到 Panorama？

A. 要啓用門戶的網關身份驗證

B. 啓用網關的門戶身份驗證

C. 啓用門戶網站的用戶身份驗證

D. ��用客戶機對門戶的身份驗證

查看答案

正確答案: B

問題 #18

哪項功能可防止在網站表單中提交企業登錄信息？

A. 數據過濾

B. 用戶 ID

C. ��件阻塞

D. ��止證書網絡釣魚

查看答案

正確答案: D

問題 #19

作爲 WildFire 基本服務的一部分，哪三種文件類型可以轉發到 WildFire 進行分析？(請選擇三種）。

A. ��臺防火牆將共享一個浮動 IP，並使用免費 ARP 共享浮動 IP。

B. 每個防火牆都有一個單獨的浮動 IP，優先級將決定哪個防火牆擁有主 IP。

C. ��火牆在主動/主動 HA 中不使用浮動 IP。

D. ��火牆將共享相同的接口 IP 地址，如果設備 0 出現故障，設備 1 將使用浮動 IP。

查看答案

正確答案: ABC

問題 #20

可以在 VM 系列防火牆上配置哪項功能？

A. 會議信息

B. 心跳

C. A狀態信息

D. 用戶 ID 信息

查看答案

正確答案: D

問題 #21

哪種 Palo Alto Networks VM 系列防火牆有效？

A. M-25

B. VM-800

C. M-50

D. M-400

查看答案

正確答案: C

問題 #22

要將 Palo Alto Networks 防火牆連接到 AutoFocus，必須啓用哪個設置？

A. evice>Setup>Services>AutoFocus

B. 設備 > 設置 > 管理 > 自動對焦

C. ��動聚焦功能在 Palo Alto Networks NGFW 上默認已啓用

D. evice>Setup>WildFire>AutoFocus

E. 設備 > 設置 > 管理 > 日誌和報告設置

查看答案

正確答案: B

問題 #23

哪三種說法能準確描述解密鏡像？(請選擇三個）。

A. 健康與醫學

B. 高風險

C. ��線存儲和備份

D. 金融服務

查看答案

正確答案: ABE

問題 #24

管理員如何使用 Panorama 設備部署選項更新一對 HA 受管防火牆的應用程序和威脅版本？

A. 在計劃對象中爲 HA 對的兩個成員選擇下載和安裝操作

B. 將上下文切換到防火牆，以啓動下載和安裝程序

C. ��應用程序下載到主設備，無需進一步操作

D. 配置防火牆的指定模板以下載內容更新

查看答案

正確答案: A

問題 #25

要檢查當前正在進行 SSL 解密處理的會話總數，可以使用以下哪個命令？

A. how session all filter ssl-decryption yes total-count yes

B. how session all ssl-decrypt yes count yes

C. how session all filter ssl-decrypt yes count yes

D. how session filter ssl-decryption yes total-count yes

查看答案

正確答案: C

問題 #26

防火牆將一個常用應用程序識別爲 unknown-tcp，有哪兩個選項可用於識別該應用程序？(選擇兩個）。

A. LS 雙向檢測

B. SSL 入站檢查

C. SH前向代理

D. MTP 入站解密

查看答案

正確答案: AC

問題 #27

解密策略規則匹配的三個有效限定符是什麼？

A. 儀錶板上的資源小工具

B. 監控 > 使用情況

C. ��持 > 資源

D. ��用程序指揮和控制中心

查看答案

正確答案: BCD

問題 #28

哪條 CLI 命令可讓管理員查看防火牆的詳細信息，包括正常運行時間、PAN-OS 版本和序列號？

A. 調試系統詳細信息

B. 顯示會話信息

C. 顯示系統信息

D. 顯示系統詳細信息

查看答案

正確答案: C

問題 #29

哪種方法可以在 Palo Alto Networks NGFW 上動態註冊標記？

A. ��火牆上、用戶 ID 代理或即用域控制器（RODC）上的 Restful API 或 VMware API

B. ��火牆上或用戶 ID 代理上的 Restful API 或 VMware API

C. ��火牆上的 XML API 或 VMware API，或用戶 ID 代理或 CLI

D. ML API、NGFW 上的虛擬機監控代理或用戶 ID 代理

查看答案

正確答案: D

問題 #30

一個內部系統的用戶向 DNS 服務器查詢其網絡服務器，該服務器的私有 IP 地址爲 10.250.241.131，位於非軍事區。DNS 服務器返回的地址是網絡服務器的公共地址 200.1.1.10。要訪問網絡服務器，必須在防火牆上配置哪些安全規則和 U-Turn NAT 規則？

A. AT 規則：源區域：Untrust_L3Source IP: AnyDestination Zone：DMZ目的地 IP：200

B. AT 規則：源區域：Trust_L3 源 IP：任意目的地區域：DMZ 目的地 IP：200

C. AT 規則：源區域：Untrust_L3 源 IP：任意目的地區域：Untrust_L3D 目的地 IP：200

D. AT 規則：源區域：Trust_L3 源 IP：任意目的地區域：Untrust_L3D 目的地 IP：200

查看答案

正確答案: D

問題 #31

全景對象的模板對象中定義了哪三種設置？(選擇三個）。

A. 管理員角色

B. ebUI

C. ��份驗證

D. 授權

查看答案

正確答案: ABC

問題 #32

在防火牆上本地覆蓋模板配置時，應考慮哪些因素？

A. anorama 將使用覆蓋值更新模板。

B. 防火牆模板在 Panorama 中會顯示不同步。

C. ��有 Panorama 可以恢復覆蓋。

D. Panorama 將失去對覆蓋配置的可見性。

查看答案

正確答案: D

問題 #33

如果使用 "域憑據過濾器 "方法配置防火牆以防止憑據網絡釣魚，哪些登錄會被檢測爲憑據盜竊？

A. 映射到登錄用戶的 IP 地址。

B. ��戶名的前四個字母與任何有效的企業用戶名相匹配。

C. ��用同一用戶的企業用戶名和密碼。

D. ��配任何有效的企業用戶名。

查看答案

正確答案: C

問題 #34

哪兩種防火牆功能支持 SAML SLO？(選擇兩個）。

A. 不支持 HSM

B. 證書狀態不明

C. ��戶端驗證

D. ��可信任的發行人

查看答案

正確答案: AC

問題 #35

某組織正在構建一個引導包，以便將 Palo Alto Networks VM 系列防火牆部署到 AWS 租戶中。關於引導包內容，哪兩個說法是正確的？(選擇兩項）。

A. 管理員角色

B. 驗證配置文件

C. ��板

D. 訪問域

查看答案

正確答案: BE

問題 #36

在上機過程中，哪個操作會禁用 ZTP 防火牆上的零接觸調配 (ZTP) 功能？

A. 從 ZTP 服務中刪除 Panorama 序列號

B. 執行防火牆出廠重置

C. ��行本地防火牆提交

D. 在 Panorama 中將防火牆作爲受管設備刪除

查看答案

正確答案: C

問題 #37

一名安全工程師需要減少防火牆面向互聯網接口後面的一組服務器上發生的數據包泛洪。

A. 漏洞保護簡介

B. DoS 防護概況

C. 數據過濾配置文件

D. URL 過濾配置文件

查看答案

正確答案: B

問題 #38

管理員從 Panorama 向一對配置爲主動/被動 HA 對的防火牆推送新配置。

A. 被動防火牆，然後同步到主動防火牆

B. ��動防火牆，然後同步到被動防火牆

C. ��動和被動防火牆，然後相互同步

D. ��動和被動防火牆各自獨立，之後不同步

查看答案

正確答案: D

問題 #39

實施 WildFire 最佳實踐的關鍵步驟是什麼？

A. 將防火牆配置爲每分鐘檢索一次內容更新。

B. ��保威脅防禦訂閱處於活動狀態。

C. ��關鍵任務網絡中，將 WildFire 大小限制提高到最大值。

D. 在安全第一的網絡中，將 WildFire 大小限制設置爲最小值。

查看答案

正確答案: B

問題 #40

您必須配置哪項功能來防止用戶意外向釣魚網站提交公司憑證？

A. URL 過濾配置文件

B. 區域保護概況

C. ��間諜軟件配置文件

D. 漏洞保護簡介

查看答案

正確答案: A

問題 #41

拖放（不支持拖放）請將術語與相應的定義匹配：

A. 測試政策匹配

B. 應用程序組

C. ��策優化器

D. 配置審計

查看答案

正確答案: A

問題 #42

根據 WildFire 訂閱情況，每天最多可向 WildFire 提交多少樣本？

A. 0,000

B. 5,000

C. ,500

D. ,000

查看答案

正確答案: A

問題 #43

變量名必須以哪個符號開頭？

A.

B.

C.

D.

查看答案

正確答案: A

問題 #44

PAN-OS® 軟件使用哪兩個功能來識別應用程序？(請選擇兩項）。

A. 應用和威脅

B. ML Agent

C. ��火

D. AN-OS® 升級代理

查看答案

正確答案: AD

問題 #45

管理員選擇哪個選項來定義 Panorama 及其受管設備用於 SSL/TLS 服務的證書和協議？

A. 配置解密配置文件並選擇 SSL/TLS 服務。

B. 在 "策略">"服務/URL 類別">"服務 "下設置 SSL/TLS。

C. ��置安全策略規則，允許 SSL 通信。

D. ��置 SSL/TLS 配置文件。

查看答案

正確答案: D

問題 #46

某企業擁有龐大的 Palo Alto Networks 業務範圍，包括現場防火牆和由 Panorama 管理的移動用戶 Prisma Access。但信息安全部門希望在 Prisma Access 中使用此信息，根據組映射執行策略。信息安全部門使用內部 Active Directory (AD)，但不確定 Prisma Access 需要學習哪些內容。

A. 配置 Prisma Access，通過 SAML 斷言學習組映射。

B. 在現場 Palo Alto Networks 防火牆和 Prisma Access 之間設置組映射重新分配。

C. �� Panorama 中指定一個主設備，Prisma Access 通過該主設備學習羣組。

D. ��建組映射配置，引用指向內部域控制器的 LDAP 配置文件。

查看答案

正確答案: C

問題 #47

一家企業的信息安全團隊部署了基於 AD 組的策略，以限制用戶訪問關鍵基礎設施系統。然而，最近針對該企業的網絡釣魚活動促使信息安全部門尋找更多可確保關鍵資產訪問安全的控制措施。對於需要訪問這些系統的用戶，信息安全部門希望使用 PAN-OS 多因素身份驗證 (MFA) 集成來執行 MFA。

A. ��用 "憑證網絡釣魚 "代理來檢測、預防和減輕 "憑證網絡釣魚 "活動。

B. ��建一個身份驗證配置文件，並指定另一個身份驗證因素供 Captive Portal 身份驗證策略使用。

C. ��置使用身份驗證序列的 Captive Portal 身份驗證策略。

D. ��置 Captive Portal 身份驗證策略，使用引用 RADIUS 配置文件的身份驗證配置文件。

查看答案

正確答案: D

問題 #48

設置安全配置文件時，可以使用哪三個項目？(選擇三個）。

A. ��接升級到目標主要版本。

B. 將 HA 對升級爲基本映像。

C. ��次升級一個主要版本。

D. 一次升級兩個主要版本。

查看答案

正確答案: ACD

問題 #49

管理員的用戶通過 Citrix XenApp 7.x 訪問網絡資源。哪種用戶 ID 映射解決方案可以映射使用 Citrix 連接到網絡並訪問資源的多個用戶？

A. 客戶端探測

B. 終端服務代理

C. ��球保護

D. 系統日誌監控

查看答案

正確答案: B

問題 #50

如果在 Panorama 中啓用 "共享未使用的地址和服務對象"，Dallas-FW 將收到哪些對象和策略？

A. ddress Objects-Shared Address1-Branch Address1Policies-Shared Policy1-Branch Policy1

B. ��址對象-共享地址 1-共享地址 2-分支地址 1策略-共享策略 1-共享策略 2-分支策略 1

C. ddress Objects-Shared Address1-Shared Address2-Branch Address1-DC Address1Policies-Shared Policy1-Shared Policy2-Branch Policy1

D. ��址對象-共享地址 1-共享地址 2-分支地址 1策略-共享策略 1-分支策略 1

查看答案

正確答案: D

問題 #51

管理員需要收集有關管理平面和數據平面 CPU 利用率的信息。

A. show system state filter-pretty sys

B. show system state filter-pretty sys

C. 顯示以太網接口 1/8

D. show system state filter-pretty sys

查看答案

正確答案: A

問題 #52

哪些 Panorama 對象限制對特定設備組的管理訪問？

A. 爲前向信任證書獲取由企業 CA 籤名的證書。

B. ��用企業 CA 籤發的證書作爲 "轉發不信任 "證書。

C. ��網絡中的所有防火牆上使用相同的前向信任證書。

D. 從公開信任的根 CA 獲取證書，用於前向信任證書。

查看答案

正確答案: D

問題 #53

如果管理員使用應用程序覆蓋策略，會發生哪種事件？

A. ��拒絕臉書聊天申請，再允許臉書申請

B. ��絕在頂部申請 facebook

C. ��許在頂部使用應用程序 facebook

D. ��允許申請 facebook，再拒絕申請 facebook-chat

查看答案

正確答案: B

問題 #54

在數據包流動過程中，應用識別要執行哪兩個過程？(請選擇兩個）。

A. ��於模式的應用識別

B. ��用程序覆蓋策略匹配

C. ��請由內容檢查改爲

D. ��確定的屆會申請

查看答案

正確答案: AB

問題 #55

一位工程師正在計劃在一個多樣化的目錄服務環境中部署 User-ID。哪些服務器操作系統平臺可以使用 User-ID 進行服務器監控？

A. ��軟活動目錄、Red Hat Linux 和微軟 Exchange

B. ��軟終端服務器、Red Hat Linux 和微軟活動目錄

C. ovell電子目錄、微軟終端服務器和微軟活動目錄

D. icrosoft Exchange、Microsoft Active Directory 和 Novell eDirectory

查看答案

正確答案: B

問題 #56

在高安全性環境中，所有 IP 地址到用戶的映射都應始終明確已知，應使用哪種用戶 ID 映射方法？

A. ��案見說明部分。

查看答案

正確答案: D

問題 #57

管理員從 Panorama 向一對配置爲主動/被動 HA 對的防火牆推送新配置。

A. 被動防火牆，然後同步到主動防火牆

B. ��動防火牆，然後同步到被動防火牆

C. ��動和被動防火牆，然後相互同步

D. ��動和被動防火牆各自獨立，之後不同步

查看答案

正確答案: D

問題 #58

一家公司需要以最少的預配置將防火牆發送到遠程站點。部署完成後，每個防火牆必須建立安全隧道，返回多個地區數據中心，包括未來的地區數據中心。在部署到未來站點時，哪種 VPN 配置能適應變化？

A. ��配置的 GlobalProtect 衛星

B. ��配置的 GlobalProtect 客戶端

C. ��配置 IPsec 隧道

D. ��配置 PPTP 隧道

查看答案

正確答案: A

問題 #59

您需要允許用戶訪問他們選擇的辦公套件應用程序。應如何配置防火牆以允許訪問任何辦公套件應用程序？

A. 創建應用程序組並添加 Office 365、Evernote、Google Docs 和 Libre Office

B. ��建應用程序組並向其中添加業務系統

C. ��建應用程序篩選器並將其命名爲 Office Programs，然後根據 office-programs 子類別進行篩選

D. ��建應用程序篩選器並將其命名爲 Office 程序，然後根據業務系統類別進行篩選

查看答案

正確答案: C

問題 #60

管理員被要求配置 Palo Alto Networks NGFW 以提供保護，防止外部主機試圖利用內部系統操作系統中的缺陷。

A. 漏洞保護

B. ��間諜軟件

C. URL 過濾

D. 殺毒軟件

查看答案

正確答案: A

問題 #61

管理員正在配置 "身份驗證執行"，他們想創建一條豁免規則，讓某個特定組免於身份驗證。他們應該選擇哪個身份驗證執行對象？

A. efault-no-captive-portal

B. efault-authentication-bypass

C. efault-browser-challenge

D. efault-web-form

查看答案

正確答案: A

問題 #62

一位網絡安全工程師將文件阻止配置文件應用到了一條規則中，該規則的操作是 "阻止"。Linux CLI 操作系統的用戶開了一張票據。報告指出，用戶在嘗試下載 TAR 文件時被防火牆阻止。驗證防火牆是否阻止用戶下載 TAR 文件的最佳方法是什麼？

A. 威脅日誌

B. 數據過濾日誌

C. ildFire提交日誌

D. URL 過濾日誌

查看答案

正確答案: B

問題 #63

可配置哪兩種方法來驗證證書的吊銷狀態？

A. 證書

B. DAP

C. ADIUS

D. SH 密鑰

查看答案

正確答案: AC

問題 #64

在 WebUI 中，管理員從哪裡可以看到管理平面和數據平面的 CPU 利用率？

A. 系統使用日誌

B. 系統日誌

C. 資源小組件

D. CPU 使用率小工具

查看答案

正確答案: C

問題 #65

09.如何增加 Palo Alto Networks 防火牆的日誌保留期？

A. ortexXDR

B. ��一代防火牆

C. rismaSaaS

D. ineMeld

查看答案

正確答案: AC

問題 #66

HA Lite 支持哪三個選項？(請選擇三個）。

A. ��試系統詳細信息

B. 顯示會話信息

C. how system info

D. 顯示系統詳細信息

查看答案

正確答案: BCD

問題 #67

一位管理員剛剛提交了一個新發現的間諜軟件供 WildFire 分析。該間諜軟件在用戶不知情的情況下被動監控用戶的行爲。WildFire 的預期結論是什麼？

A. ��意軟件

B. 灰器

C. ��絡釣魚

D. 間諜軟件

查看答案

正確答案: B

問題 #68

哪條 CLI 命令用於模擬通過防火牆的流量，並確定流量將觸發哪條安全策略規則、NAT 轉換、靜態路由或 PBF 規則？

A. 檢查

B. 查找

C. ��試

D. im

查看答案

正確答案: C

問題 #69

如何配置 Palo Alto Networks NGFW 以專門保護該服務器免受來自單個 IP 地址的會話泛洪？

A. 添加反間諜軟件配置文件以阻止攻擊 IP 地址

B. ��義自定義應用程序 ID，確保只有合法的應用程序流量才能到達服務器

C. ��加 QoS 配置文件，對傳入請求進行限制

D. ��加經過調整的 DoS 保護配置文件

查看答案

正確答案: D

問題 #70

哪條 CLI 命令可用於導出 tcpdump 捕獲？

A. scp export tcpdump from mgmt

B. SCP 從 mgmt

C. scp export mgmt-pcap from mgmt

D. 下載 mgmt-pcap

查看答案

正確答案: C

問題 #71

客戶希望爲一個二層以太網端口設置 VLAN 接口。

A. ��擬路由器

B. 安全區

C. ARP 條目

D. etflow 配置文件

查看答案

正確答案: CD

問題 #72

A/P 防火牆羣集同步 IPsec 隧道安全關聯（SA）時會發生什麼情況？

A. 第二階段 SA 通過 HA2 鏈路同步。

B. 第一階段和第二階段 SA 通過 HA2 鏈路同步。

C. 第 1 階段 SA 通過 HA1 鏈路同步。

D. �� 1 階段和第 2 階段 SA 通過 HA3 鏈路同步。

查看答案

正確答案: B

問題 #73

哪兩個選項可以防止防火牆捕獲通過它的流量？(選擇兩個）。

A. ��用程序覆蓋

B. 虛擬導線模式

C. ��容檢查

D. ��新分配用戶映射

查看答案

正確答案: BC

問題 #74

穿越 SD-WAN Fabric 的流量如果與任何 SD-WAN 策略不匹配，會發生什麼情況？

A. ��爲沒有匹配的 SD-WAN 策略來引導流量，所以流量被丟棄。

B. 流量與通過 SD-WAN 插件創建的全面策略相匹配。

C. ��量符合隱含策略規則，並在 SD-WAN 鏈路上循環重新分配。

D. ��量會根據最低的接口編號轉發到參與 SD-WAN 的第一個物理接口（即 Eth1/1 優先於 Eth1/3）。

查看答案

正確答案: C

問題 #75

必須配置哪個 GlobalProtect 組件才能啓用無客戶端 VPN？

A. 全球保護衛星

B. GlobalProtect 應用程序

C. ��球保護門戶網站

D. lobalProtect 網關

查看答案

正確答案: C

問題 #76

如何將候選配置或運行配置從 Panorama 複製到外部主機？

A. ��交運行配置。

B. ��存配置快照。

C. ��存候選配置。

D. ��出已命名的配置快照。

查看答案

正確答案: D

問題 #77

06.Palo Alto Networks Cortex Data Lake 可以接受哪兩種產品的日誌數據？

A. 12bi

B. 024bi

C. 048bi

D. 096bi

查看答案

正確答案: A

問題 #78

管理員需要將解密流量從 Palo Alto Networks NGFW 導出到第三方深度數據包檢查設備。

A. ��密鏡接口與威脅分析許可證

B. ��有解密端口導出許可證的虛擬導線接口

C. ��用解密端口鏡像許可證點接界面

D. 帶有相關解密端口鏡像許可的解密鏡像接口

查看答案

正確答案: D

問題 #79

一名網絡安全工程師嘗試在 Microsoft Azure 上配置引導包，但虛擬機調配過程失敗。在查看引導包時，工程師發現只有以下目錄：/config、/license 和 /software。爲什麼 Azure 中 VM 系列防火牆的引導過程會失敗？

A. 所有公共雲部署都需要 /plugins 文件夾，以支持正確的防火牆本機集成

B. M系列防火牆未在Panorama中預先註冊，導致啓動過程無法成功完成

C. config或/software文件夾缺少成功啓動的必選文件

D. ��導包中缺少/內容文件夾

查看答案

正確答案: D

問題 #80

用戶穿越 Palo Alto Networks NGFW 的流量有時可以達到 http://www.company.com。有時會話超時。NGFW 配置了一個 PBF 規則，用戶的流量在到達 http://www.company.com.How 時與該規則相匹配，如果下一跳宕機，防火牆能否配置爲自動禁用 PBF 規則？

A. 在相關 PBF 規則中創建並添加操作爲等待恢復的監控配置文件。

B. 在相關 PBF 規則中創建並添加監控配置文件，其操作爲故障轉移。

C. 爲防火牆的外部接口啓用並配置鏈路監控配置文件。

D. 爲虛擬路由器中默認路由的下一跳網關配置路徑監控。

查看答案

正確答案: B

問題 #81

管理員需要在 DMZ 和核心網絡之間實施 NGFW。哪種接口類型可以支持這一業務需求？

A. et deviceconfig interface speed-duplex 1Gbps-full-duplex

B. et deviceconfig system speed-duplex 1Gbps-duplex

C. et deviceconfig system speed-duplex 1Gbps-full-duplex

D. et deviceconfig Interface speed-duplex 1Gbps-half-duplex

查看答案

正確答案: A

問題 #82

Palo Alto Networks NGFW 剛剛向 WildFire 提交了一個文件供分析。假設分析窗口爲 5 分鐘。防火牆被配置爲每 5 分鐘檢查一次裁決。

A. ��用 "服務 "可使防火牆根據端口號對觀察到的第一個數據包立即採取行動。使用 "應用程序"，如果使用的端口是應用程序標準端口列表的成員，防火牆就能立即採取行動。

B. "服務 "和 "應用程序 "沒有區別。使用 "應用程序 "可簡化配置，因爲它允許使用友好的應用程序名稱而不是端口號。

C. ��用 "服務 "可使防火牆根據端口號對觀察到的第一個數據包立即採取行動。使用 "應用程序 "可讓防火牆在有足夠的數據包允許識別應用程序標識後採取行動，而不管使用的端口是什麼。

D. ��用 "服務 "可使防火牆在有足夠的數據包允許識別應用程序標識後採取行動

查看答案

正確答案: D

問題 #83

防火牆使用哪種匹配方式確定數據包是新會話的第一個數據包，還是現有會話的一部分？

A. 元組匹配：源 IP 地址、目標 IP 地址、源端口、目標端口、協議和源安全區域

B. 元組匹配：源 IP 地址、目標 IP 地址、源端口、目標端口、協議

C. 元組匹配：源 IP 地址、目標 IP 地址、源端口、目標端口、源用戶、URL 類別和源安全區域

D. 元組匹配：源 IP 地址、目標 IP 地址、源端口、目標端口、源用戶、源安全區域、目標安全區域、應用程序和 URL 類別

查看答案

正確答案: A

問題 #84

管理員在 Palo Alto Networks NGFW 的虛擬路由器上啓用了 BGP，但新路由似乎沒有填充到虛擬路由器上。(選擇兩個）。

A. ��看系統日誌，查找有關 BGP 的錯誤信息。

B. �� NGFW 上執行流量 pcap，查看是否存在任何 BGP 問題。

C. ��看運行時統計信息，查找 BGP 配置問題。

D. ��看 ACC 選項卡以隔離路由問題。

查看答案

正確答案: BC

問題 #85

如果流量的入口接口是以太網 1/6，在圖像顯示的時間內從 192.168.111.3 發送到目的地 10.46.41.113，那麼出口接口是什麼？

A. thernet1/7

B. 以太網 1/5

C. thernet1/6

D. 以太網 1/3

查看答案

正確答案: D

問題 #86

在圖片中，是什麼導致了提交警告？

A. WDtrust 的 CA 證書尚未導入防火牆。

B. WDtrust 證書沒有被標記爲可信根 CA。

C. SL前向代理要求將公共證書導入防火牆。

D. WDtrust 證書沒有證書鏈。

查看答案

正確答案: A

問題 #87

Cortex XDR 通知管理員端點上的灰色軟件。相應防火牆的任何日誌中都沒有關於灰色軟件的條目。管理員可以在防火牆上配置哪項設置來記錄灰色軟件判決？

A. 在 "威脅常規設置 "中，選擇 "報告灰色軟件文件"。

B. 在 "設備 "選項卡的日誌設置選項內

C. 在 WildFire "常規設置 "中，選擇 "報告灰色軟件文件"。

D. 附加到安全策略規則的日誌轉發配置文件內

查看答案

正確答案: D

問題 #88

遠程管理員需要通過防火牆訪問一個不受信任的接口。要配置基於證書的管理員身份驗證到 Web Ul，防火牆上需要哪兩個組件？(選擇兩個）。

A. WildFire 日誌

B. 系統日誌

C. 威脅日誌

D. 交通日誌

查看答案

正確答案: AD

問題 #89

如果防火牆具有以下鏈路監控配置，什麼情況會導致故障切換？

A. ��太網 1/3 和以太網 1/6 出現故障

B. ��太網 1/3 出現故障

C. ��太網 1/3 或以太網 1/6 出現故障

D. ��太網 1/6 出現故障

查看答案

正確答案: A

問題 #90

管理員創建了一條 SSL 解密規則，對所有端口的流量進行解密。管理員還創建了一個安全策略規則，只允許使用 DNS、SSL 和 Web 瀏覽應用程序。管理員生成了三個加密的 BitTorrent 連接，並檢查了流量日誌。有三個條目。第一個條目顯示流量因應用程序未知而放棄。接下來的兩個條目顯示允許的流量爲應用程序 SSL。

A. 創建一條與加密的 BitTorrent 流量相匹配的解密規則，操作爲 "No-Decrypt"，並將該規則放在解密策略的頂部。

B. 創建與應用程序 "加密 BitTorrent "匹配的安全策略規則，並將該規則放在安全策略的頂部。

C. ��用防火牆的排除緩存選項。

D. 創建解密配置文件以阻止使用不支持的密碼的流量，並將配置文件附加到解密規則。

查看答案

正確答案: D

問題 #91

每天最多可手動向 WildFire 提交多少樣本？

A. ,000

B. ,000

C. ,000

D. 5,000

查看答案

正確答案: A

問題 #92

哪種 GlobalProtect 客戶端連接方法需要分發和使用機器證書？

A. 啓動時

B. 預登錄

C. ��戶登錄（始終打開）

D. 按需

查看答案

正確答案: B

問題 #93

在虛擬路由器中，哪個對象包含所有潛在路由？

A. IB

B. IB

C. IP

D. IB

查看答案

正確答案: B

問題 #94

管理員爲全球 90 臺防火牆購買了 WildFire 訂閱。

A. ��遵守數據隱私法規，WildFire 籤名和裁決不會在全球範圍內共享。

B. alo Alto Networks 擁有並維護一個全球雲和四個 WildFire 區域雲。

C. ��個 WildFire 雲都獨立於其他 WildFire 雲分析樣本並生成惡意軟件籤名和判定。

D. ildFire全球雲僅提供裸機分析。

查看答案

正確答案: C

問題 #95

服務路線的功能是什麼？

A. ��務數據包通過爲外部服務分配的端口離開防火牆。服務器將其響應發送到配置的源接口和源 IP 地址。

B. ��務數據包通過外部服務分配的端口進入防火牆。服務器將其響應發送到配置的目標接口和目標 IP 地址。

C. ��務路由是使用防火牆管理平面向應用程序提供服務所需的方法。

D. 服務路由提供對外部服務的訪問，如 DNS 服務器、外部身份驗證服務器或客戶支持門戶等 Palo Alto Networks 服務。

查看答案

正確答案: A

問題 #96

數據包流程中何時進行內容檢查？

A. 申請確定後

B. 會話查詢之前

C. ��數據包轉發過程之前

D. SSL 代理重新加密數據包後

查看答案

正確答案: A

問題 #97

網絡服務器託管在 DMZ 中，服務器被配置爲只監聽 TCP 8080 端口上的傳入連接。需要配置一條允許從信任區訪問 DMZ 區的安全策略規則，以實現對服務器的瀏覽訪問。需要配置哪些應用程序和服務，以只允許通過 TCP/8080 向服務器發送明文網絡瀏覽流量？

A. ��用程序：網絡瀏覽；服務：應用程序默認值

B. ��用程序：網絡瀏覽；服務：服務-https

C. pplication: ssl; service: any

D. ��用程序：網頁瀏覽；服務：（自定義，目標 TCP 端口爲 8080）

查看答案

正確答案: D

問題 #98

應配置哪種用戶 ID 方法，以便將 IP 地址映射到通過終端服務器連接的用戶的用戶名？

A. 聚合接口

B. ��器學習

C. ��個虛擬系統

D. lobalProtect

查看答案

正確答案: A

問題 #99

管理員如何安排 "應用程序和威脅 "動態更新，同時在一定時間內延遲安裝更新？

A. 配置 "閾值 "選項。

B. ��工作日禁用自動更新。

C. ��動 "僅下載"，然後在管理員批准更新後再安裝 "應用程序和威脅"。

D. ��動 "下載並安裝"，但使用 "禁用新應用程序 "選項。

查看答案

正確答案: A

問題 #100

如果管理員想要解密 SMTP 流量並擁有服務器證書，哪種 SSL 解密模式允許 Palo Alto Networks NGFW 檢查服務器流量？

A. 定義自定義 App-ID 以確保只有合法的應用程序流量才能到達服務器。

B. 添加漏洞保護配置文件以阻止攻擊。

C. ��加 QoS 配置文件，以限制傳入請求。

D. 添加具有定義會話計數的 DoS 保護配置文件。

查看答案

正確答案: B

問題 #101

解密代理有哪兩種有效的部署選項？

A. how routing protocol bgp rib-out

B. how routing protocol bgp peer

C. how routing protocol bgp summary

D. how routing protocol bgp state

查看答案

正確答案: AD

問題 #102

網絡安全管理員如何才能驗證和識別使用未加入企業域的 BYOD 型新設備的用戶？

A. 在源用戶字段中選擇了 "已知用戶 "的安全策略

B. 在源用戶字段中選擇 "未知 "的安全策略

C. 在源用戶字段中選擇 "已知用戶 "的身份驗證策略

D. 在源用戶字段中選擇了 "未知 "的身份驗證策略

查看答案

正確答案: D

問題 #103

作爲最佳實踐，您應首先針對哪個 URL 類別進行 SSL 解密？

A. DAP 服務器配置文件配置

B. 全球保護

C. ��於 Windows 的用戶 ID 代理

D. AN-OS 集成用戶身份代理

查看答案

正確答案: B

問題 #104

管理員可以使用哪兩個選項來驗證提交任務的進度或成功？(選擇兩個）。

A. ��建區域保護配置文件，配置洪水保護，以防禦整個出口區域的 SYN、ICMP、ICMPv6、UDP 和其他 IP 洪水攻擊。

B. ��加 WildFire 訂閱以激活 DoS 和區域保護功能。

C. ��換硬件防火牆，因爲 VM 系列系統不提供 DoS 和區域保護。

D. ��量和監控防火牆數據平面的 CPU 消耗，確保每個防火牆的大小適當，以支持 DoS 和區域保護。

查看答案

正確答案: AB

問題 #105

HA Lite 支持哪三個選項？(請選擇三個）。

A. ��擬鏈接

B. ��動/被動部署

C. ��步 IPsec 安全關聯

D. ��置同步

E. ��話同步

查看答案

正確答案: BCD

問題 #106

拖放（不支持拖放）將每個 GlobalProtect 組件與該組件的用途相匹配：

A. ��案見說明部分。

查看答案

正確答案: A

問題 #107

當 Panorama 管理員選擇 "祖先中定義的對象優先 "設置時，將啓用哪種處理順序？

A. ��代對象優先於其他後代對象。

B. ��代對象優先於祖先對象。

C. ��先對象優先於後代對象。

D. ��先對象優先於其他祖先對象。

查看答案

正確答案: C

問題 #108

Panorama 中嵌套設備組的兩個優點是什麼？(請選擇兩項）。

A. TLM

B. ��定向

C. ��點登錄

D. ��明

查看答案

正確答案: AC

問題 #109

計劃將 Panorama 恢復到 PAN-OS 8.1 之前的版本時，管理員應該考慮什麼？

A. 如果模板或模板堆棧中使用了變量，則 Panorama 無法恢復到較早的 PAN-OS 版本。

B. ��理員必須使用 Expedition 工具將配置調整到 PAN-OS 8

C. �� Panorama 恢復到較早的 PAN-OS 版本時，模板或模板堆棧中使用的變量將自動刪除。

D. ��理員需要手動將變量字符更新爲 PAN-OS 8

查看答案

正確答案: A

問題 #110

如果管理員沒有網站證書，哪種 SSL 解密模式允許 Palo Alto Networks NGFW 在用戶瀏覽 HTTP(S) 網站時檢查流量？

A. SL 轉發代理

B. SL 入站檢查

C. SL 反向代理

D. SL 出站檢查

查看答案

正確答案: A

問題 #111

管理員將 PA-500 NGFW 部署爲主動/被動高可用性對。要將防火牆升級到最新版本的 PAN-OS® 軟件，必須驗證哪些內容？

A. ��毒軟件更新包。

B. 應用程序和威脅更新包。

C. ��戶 ID 代理。

D. ildFire更新包

查看答案

正確答案: B

問題 #112

管理員被要求爲一對 Palo Alto Networks NGFW 配置主動/主動 HA。防火牆使用第 3 層接口將流量發送到這對防火牆的單個網關 IP。

A. lobalProtect 4

B. lobalProtect 4

C. lobalProtect 4

D. ��備 PAN-OS 8

查看答案

正確答案: A

問題 #113

配置防火牆進行數據包捕獲時，有效的階段類型有哪些？

A. ��收、管理、發送和非同步

B. ��收、管理、發送和丟棄

C. ��收、防火牆、發送和非同步

D. ��收、防火牆、發送和丟棄

查看答案

正確答案: D

問題 #114

從 GlobalProtect 應用程序的 PanGPA.log 中獲得的以下信息中，哪項聲明是正確的？

A. lobalProtect 應用程序無法連接到 4767 端口上的 GlobalProtect 網關

B. lobalProtect 應用程序無法連接到端口 4767 上的 GlobalProtect Portal

C. anGPS進程未能連接到4767端口上的PanGPA進程

D. anGPA 進程未能連接到 4767 端口上的 PanGPS 進程

查看答案

正確答案: B

問題 #115

使用企業 PKI 的管理員需要建立一個獨特的信任鏈，以確保 Panorama 與所管理的防火牆和日誌收集器之間的相互驗證。

A. 使用自定義證書

B. ��用 LDAP 或 RADIUS 集成

C. ��置多因素身份驗證

D. ��置強密碼驗證

查看答案

正確答案: A

問題 #116

您必須配置哪項功能來防止用戶意外向釣魚網站提交公司憑證？

A. RL 過濾配置文件

B. ��域保護簡介

C. ��間諜軟件簡介

D. ��洞保護簡介

查看答案

正確答案: A

問題 #117

某組織的 Palo Alto Networks NGFW 將日誌發送到遠程監控和安全管理平臺。Palo Alto Networks NGFW 管理員如何減少廣域網流量，同時保持對所有現有監控/安全平臺的支持？

A. 只將日誌從防火牆轉發到 Panorama，並讓 Panorama 將日誌轉發到其他外部服務。

B. 將外部來源的日誌轉發到 Panorama 進行關聯，並從 Panorama 將日誌發送到 NGFW。

C. 在所有遠程防火牆上配置日誌壓縮和優化功能。

D. M-500 上的任何配置都能解決帶寬不足的問題。

查看答案

正確答案: A

問題 #118

在堆棧中使用多個模板管理多個防火牆具有哪兩個優勢？(請選擇兩個）。

A. ��向不信任證書

B. ��向信任證書

C. irewall-CA

D. irewall-Trusted-Root-CA

查看答案

正確答案: BC

問題 #119

一名安全工程師需要在一個受信任接口上進行防火牆管理訪問。要提供安全的 Web Ul 身份驗證，SSL/TLS 服務配置文件上需要哪三個設置？(選擇三個）。

A. �� 3 層

B. �� 2 層

C. 水龍頭

D. 解密鏡像

查看答案

正確答案: CDE

問題 #120

根據下圖，根證書、中間證書和最終用戶證書的正確路徑是什麼？

A. ��果 MGT 端口無法連接互聯網，則無法自動下載和安裝應用程序更新。

B. 爲 Palo Alto Networks 服務配置一個服務路由，該路由使用一個可將流量路由到 Internet 的數據平面接口，並創建一個安全策略規則，以便在必要時允許從該接口到更新服務器的流量。

C. 爲更新服務器 IP 地址配置 "基於策略的轉發 "策略規則，這樣，從管理接口發送到更新服務器的流量就會從作爲互聯網連接的接口流出。

D. ��置安全策略規則，允許所有進出更新服務器的流量。

查看答案

正確答案: B

問題 #121

Panorama 提供哪兩種 SD-WAN 功能？(請選擇兩項）。

A. 將設備的主機 ID 添加到隔離列表中，並配置 GlobalProtect 以防止用戶從被隔離的設備連接到 GlobalProtect 網關

B. 通過在 "設備隔離 "頁面底部選擇 PDF/CSV，並利用適當的 XSOAR 操作手冊，將被隔離設備的列表導出爲 pdf 或 csv 文件

C. 通過使用安全策略、日誌轉發配置文件和日誌設置

D. ��有本地自動隔離功能，因此需要利用自定義腳本

查看答案

正確答案: AB

問題 #122

安全策略規則配置了漏洞保護配置文件和 "拒絕 "操作。這會導致對匹配流量配置哪種操作？

A. ��置無效。當操作設置爲 "拒絕 "時，"配置文件設置 "部分將顯示爲灰色。

B. ��置將允許匹配的會話，除非檢測到漏洞籤名。拒絕 "操作將取代相關漏洞保護配置文件中按嚴重性定義的操作。

C. ��置無效。這將導致防火牆跳過此安全策略規則。提交時將顯示警告。

D. ��置有效。它會導致防火牆拒絕匹配的會話。如果安全策略規則操作設置爲 "拒絕"，則任何已配置的安全配置文件都不起作用。

查看答案

正確答案: D

問題 #123

配置第 3 層接口時，有哪些必經步驟？

A. 配置虛擬路由器，爲每個第 3 層接口路由流量。

B. 配置接口管理配置文件，需要將其附加到每個第 3 層接口。

C. 配置安全配置文件，需要將其附加到每個第 3 層接口。

D. 配置服務路由，爲每個第 3 層接口路由流量。

查看答案

正確答案: A

問題 #124

某客戶正在更換其傳統的遠程訪問 VPN 解決方案。當前的解決方案只能確保連接客戶的互聯網出口安全。客戶選擇 Prisma Access 來替換當前的遠程訪問 VPN 解決方案。在上機過程中，選擇並啓用了以下選項和許可證：- Prisma Access for Remote Networks：用於移動用戶的 Prisma Access：300Mbps：1500 用戶- Cortex 數據湖：2TB- 受信任區域：信任- 不受信任區域：不信任- 父設備組：共享How ca

A. ��移動用戶配置 "信任到不信任 "安全策略規則，允許所需的流量出站到互聯網

B. ��過服務連接和 "信任到不信任 "安全策略規則配置遠程網絡，允許所需的流量出站到互聯網

C. ��用 "信任到信任 "安全策略規則配置遠程網絡，允許所需的流量出站到互聯網

D. ��移動用戶配置服務連接和 "信任對信任 "安全策略規則，允許所需的流量出站到互聯網

查看答案

正確答案: A

不想錯過任何事？

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！
立即獲取

最新的 Palo Alto PCNSE 考試問題--您的成功之路

提交後看答案

不想錯過任何事？

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！ 立即獲取

最新的 Palo Alto PCNSE 考試問題--您的成功之路

提交後看答案

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！
立即獲取