不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

通過真實模擬測試掌握 Palo Alto PCNSE 考試

SPOTO 的 Palo Alto PCNSE 考試試題在我準備 PCNSE 認證考試的過程中發揮了至關重要的作用。SPOTO 的考試問題和答案,以及練習題和模擬考試,爲掌握考試所需的必要技能和知識提供了全面而有條理的方法。SPOTO 提供的學習材料涵蓋了與 Palo Alto Networks 安全解決方案相關的關鍵概念和實際場景,增強了我對網絡安全工程的理解和熟練程度。此外,SPOTO 的考試資源和學習輔助工具有助於模擬考試環境,讓我能夠評估自己的準備情況並提高成績。
參加其他線上考試
問題 #1
管理員需要將 NGFW 升級到最新版本的 PAN-OS® 軟件。出現以下情況:-防火牆通過 e1/1 與互聯網連接。-默認安全規則和安全規則允許所有 SSL 和 Web 瀏覽流量進出任何區域。-配置了服務路由,從 e1/1 獲取更新流量。
A. 應用程序 PaloAlto-updates 指向更新服務器的靜態路由
B. 全策略規則允許將 PaloAlto-updates 作爲應用程序
C. 時下載 PAN-OS 軟件的調度程序
D. 火牆用於解析的 DNS 設置
查看答案
正確答案: D
問題 #2
解密策略規則有哪三種類型?(請選擇三種)。
A. 須在流量匹配的解密策略上附加解密配置文件。
B. 須有同時選擇了 "轉發信任 "選項和 "轉發不信任 "選項的證書。
C. 須在流量匹配的安全策略上附加解密配置文件。
D. 須有一份只選擇了 "前向信任 "選項的證書。
查看答案
正確答案: ABC
問題 #3
Panorama 管理員配置了一個新區,並在新的安全策略中使用該區。管理員將配置提交到 Panorama 後,應使用哪種設備組提交推送操作來確保推送成功?
A. 與候選配置合併
B. 包括設備和網絡模板
C. 模板指定爲參考模板
D. 制模板值
查看答案
正確答案: A
問題 #4
請參考圖片。管理員的任務是糾正無法使用全局模板 NTP 服務器的防火牆的 NTP 服務配置。管理員需要將 IP 地址更改爲該模板堆棧的首選服務器,但不能影響其他模板堆棧。
A. 覆蓋 NYCFW 模板上的值。
B. 用模板堆棧變量覆蓋模板值
C. 覆蓋全局模板上的值。
D. 在全景設置下啓用 "祖先中定義的對象優先級更高"。
查看答案
正確答案: B
問題 #5
WildFire 基本服務支持哪種文件類型的上傳?
A. LF
B. AT
C. E
D. VBS
查看答案
正確答案: C
問題 #6
將解密配置文件分配給具有 "不解密 "操作的解密策略規則有哪兩個好處?(選擇兩項)。
A. 口映射
B. 服務器監控
C. 戶端探測
D. XFF 標頭
查看答案
正確答案: AD
問題 #7
在 NGFW 上,如何生成並阻止私鑰導出,從而強化安全態勢,防止惡意管理員或其他不良行爲者濫用密鑰?
A.
B.
C.
D.
查看答案
正確答案: C
問題 #8
管理員正在使用 Panorama 和多個 Palo Alto Networks NGFW。將所有設備升級到最新的 PAN-OS® 軟件後,管理員啓用了從防火牆到 Panorama 的日誌轉發。哪種操作可使防火牆將其先前存在的日誌發送到 Panorama?
A. 過 15 分鐘
B. 分鐘
C. 10 至 15 分鐘
D. 至 10 分鐘
查看答案
正確答案: B
問題 #9
拖放(不支持拖放)將 ZTP 防火牆的上載步驟按正確順序放入 Panorama/CSP/ZTP-Service:
A. 案見說明部分。
查看答案
正確答案: A
問題 #10
管理員希望啓用區域保護。在啓用之前,管理員必須考慮什麼?
A. 激活區域保護訂購。
B. 全策略規則不會阻止區域間的橫向流量移動。
C. 域保護配置文件將適用於該區域內的所有接口。
D. 增加帶寬,一個區域不應連接超過一個防火牆接口。
查看答案
正確答案: C
問題 #11
拖放(不支持拖放)將每種 DoS 攻擊與該類型攻擊的示例匹配:
A. 案見說明部分。
查看答案
正確答案: A
問題 #12
管理員在提交完成前意外關閉了提交窗口/屏幕。管理員可以使用哪兩個選項來驗證提交任務的進度或成功?(選擇兩個)。
A. 用並配置 "數據包緩衝區保護 "閾值。
B. 用並配置數據包緩衝區閾值。
C. 在所有入口區域創建並應用區域保護配置文件。
D. 爲所有出口區域配置和應用區域保護配置文件。
E. nable per-vsys Session Threshold alerts and triggers for Packet Buffer Limits
查看答案
正確答案: AD
問題 #13
SSL 解密需要什麼才能將防火牆建立爲受信任的第三方,並在客戶端和服務器之間建立信任,以確保 SSL/TLS 連接的安全?
A. 接狀態
B. 概況
C. 態防火牆連接
D. 證書
查看答案
正確答案: D
問題 #14
在安全第一的網絡中,建議動態更新內容的閾值是多少?
A. 至 4 小時
B. 6 至 12 小時
C. 24 小時
D. 6 小時
查看答案
正確答案: B
問題 #15
在以下配置中,哪個路由用於目的地 10.10.0.4?2set network virtual-router 2 routing-table ip static-route "Route 1" metric 30set network virtual-router 2 routing-table ip static-route "Route 1" destination 10.10.0.0/24set network virtual-router 2 routing-table ip static-route "Route 1" reroute-table unicastset network virtual-router 2 routing-table ip static-route "Route 2" ne
A. 路線 1
B. 路線 3
C. 路線 2
D. 路線 4
查看答案
正確答案: C
問題 #16
在模板中,您可以配置哪兩個對象?(選擇兩個)。
A.
B. 的。防火牆是基於會話的,因此無法擴展到數百萬個 CPS。
C. o
D. es
查看答案
正確答案: AD
問題 #17
某全球企業辦事處的大型網絡只有一個用戶識別代理,這在用戶識別代理服務器附近造成了瓶頸。在這種情況下,PAN-OS® 軟件中的哪種解決方案會有幫助?
A. 使用 U 盤上的 config-drive。
B. 使用帶有 ISO 的 S3 存儲桶
C. 建並附加虛擬硬盤 (VHD)。
D. 用帶有 ISO 的虛擬光驅。
查看答案
正確答案: D
問題 #18
配置 GlobalProtect 門戶時,指定身份驗證配置文件的目的是什麼?
A. 要啓用門戶的網關身份驗證
B. 啓用網關的門戶身份驗證
C. 啓用門戶網站的用戶身份驗證
D. 用客戶機對門戶的身份驗證
查看答案
正確答案: C
問題 #19
某管理員擁有一臺使用中的威脅防禦訂購的 PA-820 防火牆。管理員正在考慮添加 WildFire 訂閱。
A. ildFire(野火)和威脅防禦相結合,最大限度地減少攻擊面。
B. 4 小時後,WildFire 籤名將包含在殺毒軟件更新中。
C. 以近乎實時地提供針對未知惡意軟件的保護。
D. ildFire和威脅防禦相結合,爲防火牆提供最高安全等級。
查看答案
正確答案: C
問題 #20
升級 Palo Alto Networks NGFW 之前,您必須做什麼?
A. 保 PAN-OS 支持合同的有效期至少還有一年。
B. 導出防火牆的設備狀態。
C. 保防火牆運行的是受支持的應用程序+威脅更新版本。
D. 保防火牆運行的殺毒軟件和 WildFire 版本支持許可訂閱。
查看答案
正確答案: C
問題 #21
PAN-OS® 軟件支持哪三種 MFA 身份驗證因素?(選擇三個)。
A. 區域保護
B. 重放
C. 絡應用
D. DoS 防護
查看答案
正確答案: ADE
問題 #22
管理員被要求配置 Palo Alto Networks NGFW 以提供針對蠕蟲和特洛伊木馬的保護,哪種安全配置文件類型可提供針對蠕蟲和特洛伊木馬的保護?
A. 間諜軟件
B. 預防教學
C. 件阻塞
D. 殺毒軟件
查看答案
正確答案: D
問題 #23
管理員被要求爲一對 Palo Alto Networks NGFW 配置主動/被動 HA。管理員爲主動防火牆分配的優先級爲 100。
A.
B. 9
C.
D. 55
查看答案
正確答案: D
問題 #24
工程師必須配置解密代理功能。哪種解密代理安全鏈支持雙向流量?
A. 第 2 層安全鏈
B. 3 層安全鏈
C. 明網橋安全鏈
D. 明代理安全鏈
查看答案
正確答案: B
問題 #25
管理員正在嘗試創建用於部署設備組和模板堆棧的策略。創建策略時,區域下拉列表中不包括所需的區域。
A. 在設備組和模板中都添加防火牆
B. 在設備組中將模板添加爲參考模板
C. Panorama 設置中啓用 "與設備共享未使用的地址和服務對象
D. 定目標設備爲設備組中的主設備
查看答案
正確答案: A
問題 #26
某組織的 Palo Alto Networks NGFW 將日誌發送到遠程監控和安全管理平臺。Palo Alto Networks NGFW 管理員如何減少廣域網流量,同時保持對所有現有監控/安全平臺的支持?
A. 只將日誌從防火牆轉發到 Panorama,並讓 Panorama 將日誌轉發到其他外部服務。
B. 將外部來源的日誌轉發到 Panorama 進行關聯,並從 Panorama 將日誌發送到 NGFW。
C. 在所有遠程防火牆上配置日誌壓縮和優化功能。
D. M-500 上的任何配置都能解決帶寬不足的問題。
查看答案
正確答案: A
問題 #27
哪兩個事件會觸發自動提交恢復操作?(請選擇兩個)。
A. 通過手動更改策略來應對用戶行爲的變化或潛在威脅
B. 無需手動更改政策即可應對用戶行爲或潛在威脅的變化
C. 不自動更改策略的情況下,對用戶行爲或潛在威脅的變化做出響應
D. 過手動更改政策來應對用戶行爲的變化和已確認的威脅
查看答案
正確答案: BC
問題 #28
哪兩個虛擬化平臺正式支持部署 Palo Alto Networks VM 系列防火牆?
A. ML API
B. 口映射
C. 戶端探測
D. 服務器監控
查看答案
正確答案: BD
問題 #29
如果爲設備分配了模板堆棧,且堆棧包括三個具有重疊設置的模板,那麼推送模板堆棧時,哪些設置會發布到設備?
A. 配給堆棧頂部模板的設置。
B. 理員將被提拔,以選擇所選防火牆的設置。
C. 有模板中配置的所有設置。
D. 據防火牆的位置,Panorama 決定發送哪些設置。
查看答案
正確答案: A
問題 #30
通過 HA2 鏈路交換什麼?
A. 須同時生成 SSH 密鑰和 SSL 證書。
B. 需先修課程。
C. 須手動生成 SSH 密鑰。
D. 必須生成 SSL 證書。
查看答案
正確答案: C
問題 #31
哪個選項是內容檢查程序的一部分?
A. 據包轉發過程
B. SSL 代理重新加密
C. IPsec 隧道加密
D. 據包出口流程
查看答案
正確答案: B
問題 #32
已配置 SSL 轉發代理解密策略。防火牆上安裝了以下四個證書頒發機構 (CA) 證書。最終用戶訪問不受信任的網站 https://www.firewall-do-not-trust-website.com.Which 證書頒發機構 (CA) 證書將用於籤署不受信任的網絡服務器證書?
A. GlobalProtect 客戶端
B. PPTP 隧道
C. 用 IKEv2 的 IPsec 隧道
D. 球保護衛星
查看答案
正確答案: B
問題 #33
關於 HA 定時器設置,哪項說法是正確的?
A. 使用適中配置文件進行典型故障轉移計時器設置
B. 用關鍵配置文件加快故障切換計時器設置
C. 用 "進取 "配置文件進行較慢的故障切換計時器設置
D. 用推薦配置文件進行典型故障切換計時器設置
查看答案
正確答案: D
問題 #34
管理員遇到了入站解密問題。作爲分流的一部分,管理員應調查哪個選項?
A. 許目標服務器使用 SSL 的安全策略規則
B. 火牆與 CRL 的連接
C. 證書已導入防火牆並啓用 "信任 "功能
D. HSM 導入證書
查看答案
正確答案: A
問題 #35
設置帶內數據端口以提供所需服務時,對分配給服務路由的接口有哪些要求?
A. 必須將接口設置爲第 2 層、第 3 層或虛擬線路。
B. 口必須用於所需服務的流量。
C. 須使用靜態 IP 地址。
D. 必須啓用 DoS 和區域保護。
查看答案
正確答案: C
問題 #36
可以爲變量定義哪兩種特徵類型?(請選擇兩種)。
A. scp export mgmt-pcap from mgmt
B. scp export poap-mgmt from poap
C. ftp export mgmt-pcap from mgmt
D. scp export pcap from pcap to (username@host:path)
查看答案
正確答案: BC
問題 #37
對於通過網絡代理服務器連接的用戶,哪種用戶身份驗證方法可將 IP 地址映射爲用戶名?
A. 系統日誌監聽
B. 服務器監控
C. 戶端探測
D. 口映射
查看答案
正確答案: A
問題 #38
在配置 Panorama 向連接設備推送動態更新時,哪兩種訂閱可用?(選擇兩個)。
A. 會將所有內部客戶端的隧道地址配置爲從 192
B. 會強制內部客戶端連接到 IP 地址爲 192
C. 使客戶端能夠對 192
D. 會強制防火牆執行動態 DNS 更新,將內部網關的主機名和 IP 地址添加到 DNS 服務器。
查看答案
正確答案: CD
問題 #39
02.在 PAN-OS 中,哪兩種外部身份驗證方法可與身份驗證配置文件一起使用?
A. TLM
B. SH
C. DAP
D. ADIUS
查看答案
正確答案: A
問題 #40
管理員創建了一條 SSL 解密策略規則,用於解密任何端口上的 SSL 會話。管理員可以使用哪個日誌條目來驗證會話是否被解密?
A. 在流量日誌條目的詳細信息中
B. 解密日誌
C. 數據過濾日誌
D. 威脅日誌條目的詳細信息中
查看答案
正確答案: A
問題 #41
07.傳統虛擬路由器可使用重新分配配置文件在哪三種路由協議之間共享路由?
A. 檢查申請地點的交通情況e
B. 從 UDP 流量中創建虛擬連接
C. 檢查是否存在可疑但符合技術要求的協議
D. 發出網頁出站請求後,暫時允許外部網絡服務器發送入站數據包
查看答案
正確答案: C
問題 #42
如何將候選配置或運行配置從 Panorama 複製到外部主機?
A. 交運行中的配置
B. 存配置快照
C. 存候選配置
D. 導出已命名的配置快照
查看答案
正確答案: D
問題 #43
某客戶擔心其 DNS 服務器會受到拒絕服務攻擊而導致資源耗盡。
A. 在區域保護配置文件上啓用數據包緩衝區保護。
B. 應用帶有 DNS sinkholing 的反間諜軟件配置文件。
C. 用帶有應用程序默認設置的 DNS App-ID。
D. 應用分類 DoS 保護配置文件。
查看答案
正確答案: D
問題 #44
哪個區域對和規則類型允許 Internet 區域的用戶成功連接到 DMZ 區域託管的網絡服務器?使用 Palo Alto Networks 防火牆中的目標 NAT 策略可以連接到網絡服務器。
A. 啓用 QoS 接口
B. 在接口管理配置文件中啓用 QoS
C. 用 QoS 數據過濾配置文件
D. 用 QoS 監控
查看答案
正確答案: B
問題 #45
哪種工具能讓管理員查看一段時間內的流量趨勢,如過去 30 天內檢測到的威脅?
A. 話瀏覽器
B. 用指揮中心
C. CP 轉儲
D. 據包捕獲
查看答案
正確答案: B
問題 #46
HA4 Keep-alive Threshold (ms) 的最佳描述是什麼?
A. 另一個羣集成員阻止羣集完全同步時,本地防火牆在進入活動狀態前等待的時間範圍
B. 火牆必須從羣集成員接收到 keepalives 才能知道該羣集成員正常運行的時間範圍
C. 驗證另一臺防火牆的 HA 功能是否正常運行而發送的你好數據包之間的最大間隔時間
D. 動或主動二級防火牆在接替主動或主動一級防火牆之前的等待時間
查看答案
正確答案: B
問題 #47
拖放(不支持拖放)按正確順序放置 WildFire 流程工作流中的步驟:
A. 案見說明部分。
查看答案
正確答案: A
問題 #48
哪個版本的 GlobalProtect 支持基於目標域、客戶端進程和 HTTP/HTTPS 視頻流應用程序的分割隧道?
A. TTP服務器配置文件
B. 系統日誌服務器配置文件
C. 電子郵件服務器簡介
D. NMP服務器配置文件
查看答案
正確答案: B
問題 #49
管理員有 750 臺防火牆。管理員的集中管理 Panorama 實例向防火牆部署動態更新。如果 Panorama 將動態更新計劃的配置推送到管理的防火牆,但配置沒有出現,根本原因是什麼?
A. anorama 沒有推送動態更新的有效許可證。
B. anorama 與 Palo Alto Networks 更新服務器沒有連接。
C. 地定義的動態更新設置優先於 Panorama 推送的設置。
D. 火牆上沒有爲 Palo Alto Networks 更新服務器配置服務路由。
查看答案
正確答案: C
問題 #50
工程師需要從多個數據中心重新分配用戶 ID 映射。哪種數據流最能說明用戶映射的重新分配?
A. 防火牆的用戶 ID 代理
B. 防火牆到防火牆
C. 控制器到用戶 ID 代理
D. anorama 的用戶 ID 代理
查看答案
正確答案: B
問題 #51
管理員已將 Palo Alto Networks NGFW 的管理界面配置爲通過專用路徑連接互聯網,該路徑不會穿過 NGFW 本身。
A. 需要爲應用程序籤名配置調度程序。
B. 需要配置一條安全策略規則,以允許從防火牆向更新服務器發出更新請求。
C. 需要安裝威脅防禦許可證。
D. 需要配置服務路由。
查看答案
正確答案: A
問題 #52
防火牆無法從 MineMeld 下載 IP 地址。根據圖片,最有可能出現什麼問題?
A. 需要選擇包含客戶證書的證書配置文件。
B. 地址只支持通過 ftp:// 託管的文件
C. 部動態列表不支持 SSL 連接。
D. 需要選擇包含 CA 證書的證書配置文件。
查看答案
正確答案: D
問題 #53
單源拒絕服務 (DoS) 攻擊會使防火牆的數據包緩衝區不堪重負,並導致合法流量丟失,爲保護防火牆和網絡免受此類攻擊,您可以對其進行配置:
A. 於協議的保護(PBP)
B. GP(邊界網關協議)
C. GP(數據包網關協議)
D. BP(數據包緩衝區保護)
查看答案
正確答案: D
問題 #54
管理員在流量日誌中發現幾個入站會話被識別爲 unknown-tcp。管理員確定這些會話是訪問公司專有會計應用程序的外部用戶。管理員希望將這些流量可靠地識別爲他們的會計應用程序,並掃描這些流量是否存在威脅。
A. 創建自定義 App-ID 並在高級選項卡上啓用掃描。
B. 創建應用程序覆蓋策略
C. 建自定義 App-ID 並使用 "有序條件 "複選框。
D. 爲應用程序創建應用程序覆蓋策略和自定義威脅籤名。
查看答案
正確答案: A
問題 #55
管理員爲 Prisma Access Remote Networks 計算中心分配帶寬,該計算中心有三個遠程網絡。管理員可在計算位置配置的最小帶寬是多少?
A. 0Mbps
B. 5Mbps
C. 0Mbps
D. 00Mbps
查看答案
正確答案: C
問題 #56
哪種說法能準確描述服務路由和虛擬系統?
A. 擬系統只能爲防火牆的所有全局服務和服務路由使用一個接口。
B. 沒有配置特定服務路由的虛擬系統繼承防火牆的全局服務和服務路由設置。
C. 擬系統不能配置專用服務路由;虛擬系統始終使用防火牆的全局服務和服務路由設置。
D. 口必須用於所需的外部服務流量。
查看答案
正確答案: B
問題 #57
管理員希望將 NGFW 從 PAN-OS® 7.1.2 升級到 PAN-OS® 8.1.0。防火牆不是 HA 對的一部分。
A. 加載配置版本
B. 保存候選配置
C. 導出設備狀態
D. 載已命名的配置快照
查看答案
正確答案: A
問題 #58
管理員無法在 Panorama 報告中看到來自 Palo Alto Networks NGFW 的任何流量日誌。配置問題似乎出在防火牆上。如果配置錯誤,哪些設置最有可能阻止從 NGFW 向 Panorama 發送流量日誌?
A. 在啓動時啓用會話記錄
B. 用默認拒絕規則的日誌記錄功能
C. 置 URL 過濾操作以發送警報
D. 用預定義報告
查看答案
正確答案: A
問題 #59
一名工程師正在計劃實施 SSL 解密,以下哪種說法是 SSL 解密的最佳實踐?
A. 驗證 IP 地址是否可以被 ping,路由問題是否導致連接失敗。
B. 用基於策略的 VPN 檢查一端的 VPN 對等網絡是否設置正確。
C. 在 IKE 網關配置中,驗證每個 VPN 對等設備的 IP 地址是否準確。
D. 在 IPSec Crypto profile 配置中,驗證兩個 VPN 對等體是否都啓用了 PFS 或禁用了 PFS。
查看答案
正確答案: A
問題 #60
哪個數據流描述了用戶映射的重新分配?
A. 防火牆的用戶 ID 代理
B. 控制器到用戶 ID 代理
C. 戶 ID 代理到 Panorama
D. 火牆到防火牆
查看答案
正確答案: D
問題 #61
拖放(不支持拖放)將每個 SD-WAN 配置元素與該元素的描述相匹配。
A. 案見說明部分。
查看答案
正確答案: A
問題 #62
擁有 84 臺防火牆和 Panorama 的管理員在 Panorama 中看不到任何 WildFire 日誌。每個防火牆上都有 WildFire 日誌。出現這個問題的原因是缺少從防火牆轉發到 Panorama 的哪種類型的日誌?
A. 配置 LDAP 服務器配置文件,並在管理界面上啓用用戶 ID 服務。
B. 配置組映射配置文件以檢索目標模板中的組。
C. 置數據再分發代理,從用戶 ID 代理接收 IP 用戶映射。
D. 在設備組內配置主設備。
查看答案
正確答案: A
問題 #63
管理員在 NGFW 上的虛擬路由器上啓用了 OSPF。管理員可以通過哪兩個選項來排除此問題?(選擇兩個)。
A. 虛擬路由器中查看運行時統計信息。
B. 看系統日誌。
C. 加重新分配配置文件,作爲 BGP 更新轉發。
D. 路由階段執行流量 pcap。
查看答案
正確答案: AB
問題 #64
從 PAN-OS 9.1 版開始,GlobalProtect 日誌信息現在記錄在哪個防火牆日誌中?
A. 全球保護
B. 統
C. 份驗證
D. 置
查看答案
正確答案: A
問題 #65
哪種工具能讓管理員查看一段時間內的流量趨勢,如過去 30 天內檢測到的威脅?
A. 轉發信託證書
B. 籤名根 CA 證書
C. 網絡服務器證書
D. 共 CA 籤名證書
查看答案
正確答案: B
問題 #66
管理員在流量日誌中發現幾個入站會話被識別爲 unknown-tcp。管理員確定這些會話是訪問公司專有會計應用程序的外部用戶。管理員希望將這些流量可靠地識別爲他們的會計應用程序,並掃描這些流量是否存在威脅。
A. 建自定義 App-ID 並在高級選項卡上啓用掃描。
B. 建應用程序覆蓋策略。
C. 建自定義 App-ID 並使用"€ 排序條件 "複選框。
D. 應用程序創建應用程序覆蓋策略和自定義威脅籤名。
查看答案
正確答案: A
問題 #67
您必須配置哪種 PAN-OS® 策略,才能在允許用戶訪問包含高度敏感業務數據的內部應用程序之前強制其提供額外的憑證?
A. 安全政策
B. 解密政策
C. 份驗證政策
D. 應用程序覆蓋策略
查看答案
正確答案: C
問題 #68
管理員在 Palo Alto Networks NGFW 的虛擬路由器上啓用了 BGP,但新路由似乎沒有填充到虛擬路由器上。(選擇兩個)。
A. 心跳監測
B. 障轉移
C. 路徑監控
D. 平路徑
查看答案
正確答案: BC
問題 #69
爲了更方便地重複使用模板和模板堆棧,您可以在配置中創建模板變量來代替特定於防火牆和特定於設備的 IP 字面量。
A. Panorama
B. Panorama
C. 全景
D. #全景
查看答案
正確答案: C
問題 #70
一位潛在客戶希望藉助 Palo Alto Networks NGFW 進行安全生命周期審查 (SLR)。哪種接口類型最適合以最小侵入的方式從網絡提供 SLR 的原始數據?
A. 2 層
B. 虛擬導線
C. 水龍頭
D. 3 層
查看答案
正確答案: C
問題 #71
來自網站 https://www.microsoft.com 的解密數據包將在流量日誌中顯示爲哪個應用程序和服務?
A. 頁瀏覽和 443
B. SSL 和 80
C. SSL 和 443
D. 網頁瀏覽和 80
查看答案
正確答案: A
問題 #72
哪種保護功能僅在區域保護配置文件中可用?
A. 使用 SYN Flood Cookie 保護 SYN Flood
B. ICMP 洪水保護
C. 口掃描保護
D. UDP 防洪保護
查看答案
正確答案: C
問題 #73
什麼最能說明 HA 推廣保持時間?
A. HA 對等設備的通信中斷後,被動防火牆在接替主動防火牆之前等待的時間
B. 兩個防火牆同時出現相同的鏈路/路徑監控器故障時,建議避免故障切換的時間
C. 議的時間,以避免因鄰近設備偶爾拍打而導致 HA 故障切換
D. 果防火牆再次運行,設備優先級較低的被動防火牆在接替主動防火牆之前的等待時間
查看答案
正確答案: A
問題 #74
哪個日誌文件可用於識別 SSL 解密失敗?
A. 交通
B. CC
C. 置
D. 威脅
查看答案
正確答案: A
問題 #75
請參閱示例:如果流量的入口接口是以太網 1/7,其來源是 192.168.111.3,目的地是 10.46.41.113,哪個接口將是出口接口?
A. thernet1/6
B. 以太網 1/3
C. thernet1/7
D. 以太網 1/5
查看答案
正確答案: D
問題 #76
哪項功能可爲 NGFW 提供用戶 ID 映射信息?
A. 網絡驗證碼
B. 本地 802
C. 球保護
D. 本地 802
查看答案
正確答案: C
問題 #77
網絡管理員希望在 SSL/TLS 服務配置文件中使用證書。管理員應使用哪種類型的證書?
A. 器證書
B. 服務器證書
C. 書頒發機構(CA)證書
D. 客戶證書
查看答案
正確答案: B
問題 #78
重新啓動防火牆時,"突出顯示未使用的規則 "和 "規則使用命中計數器 "在行爲上有哪兩種區別?(選擇兩項)。
A. 其他受管設備相比,A
B. s3 的記錄速率偏離了管理員配置的閾值。
C. k3 的記錄速率偏離七天計算基線。
D. g2 錯誤配置了會話閾值。
查看答案
正確答案: AB
問題 #79
流量日誌中的一個會話將應用程序報告爲 "未完成"。未完成 "是什麼意思?
A. 觀察到三方 TCP 握手,但無法識別應用程序。
B. 方 TCP 握手未完成。
C. 量來自 UDP,無法識別申請。
D. 到了數據,但由於在應用 App-ID 之前應用了拒絕策略,數據被立即丟棄。
查看答案
正確答案: B
問題 #80
哪條 CLI 命令可用於導出 tcpdump 捕獲?
A. cp export tcpdump from mgmt
B. cp 從 mgmt
C. cp export mgmt-pcap from mgmt
D. ownloadmgmt-pcap
查看答案
正確答案: C
問題 #81
管理員配置了 Palo Alto Networks NGFW 的管理界面,以便通過專用路徑連接互聯網,該路徑不會穿過 NGFW 本身。
A. 要爲應用程序籤名配置調度程序。
B. 要配置一條安全策略規則,以允許從防火牆向更新服務器發出更新請求。
C. 要安裝威脅防禦許可證。
D. 要配置服務路由。
查看答案
正確答案: A
問題 #82
一家公司希望在兩個核心交換機之間的 VLAN 中繼鏈路上安裝 NGFW 防火牆。他們需要將每個 VLAN 分配到自己的區域,並將無標記(本地)流量分配到自己的區域。
A. 創建具有兩個 V 線接口的 V 線對象,並在 V 線對象的 "允許標記 "字段中定義範圍爲 "0-4096"。
B. 創建具有兩個 V 線子接口的 V 線對象,並在 V 線對象的 "允許標記 "字段中只分配一個 VLAN ID。對每一個額外的 VLAN 重複上述步驟,並對無標記流量使用 0 的 VLAN ID。將每個接口/子接口分配到一個唯一的區域。
C. 建第 3 層子接口,每個接口分配給一個 VLAN ID 和一個共同的虛擬路由器。物理第 3 層接口將處理無標記流量。將每個接口/子接口分配到一個唯一的區域。不要爲任何接口分配 IP 地址。
D. 爲每個 VLAN 創建 VLAN 對象,並分配與每個 VLAN 匹配的 VLAN 接口。將每個接口/子接口分配到一個唯一的區域。
查看答案
正確答案: B
問題 #83
管理員正在設備組內建立安全規則,以阻止惡意位置的流量。應如何配置這些規則,以確保對它們進行高優先級評估?
A. 創建具有阻止操作的適當規則,並將其應用於本地防火牆的頂部 安全規則
B. 創建具有阻止操作的適當規則,並將其應用於安全預規則的頂部
C. 創建具有阻止操作的適當規則,並將其應用於安全後規則的頂部
D. 創建具有阻止操作的適當規則,並將其應用於默認規則的頂部
查看答案
正確答案: B
問題 #84
SD-WAN 旨在支持哪兩種網絡拓撲類型?(選擇兩個)。
A. 果檢測到規則陰影,它能使防火牆恢復到以前的配置。
B. 果發現應用程序依賴性錯誤,它可使防火牆恢復到以前的配置。
C. 果提交導致 HA 夥伴連接失敗,它可使防火牆恢復到以前的配置。
D. 果提交導致 Panorama 連接失敗,它可使防火牆恢復到以前的配置。
查看答案
正確答案: BC
問題 #85
使用 Linux 工作站準備了一個啓動 U 盤,用於加載 Palo Alto Networks 防火牆的初始配置。USB 閃存盤使用文件系統 ntfs 格式化,初始配置存儲在名爲 init-cfg.txt 的文件中。USB 閃存盤中 init-cfg.txt 的內容如下:USB 閃存盤已插入防火牆的 USB 端口,防火牆已接通電源。啓動時,防火牆無法開始引導過程。失敗原因
A. ootstrap
B. it-cfg
C. SB必須使用ext4文件系統格式化
D. 數名稱和參數值之間必須使用逗號,而不是等號
E. SB硬盤已格式化爲不支持的文件系統
查看答案
正確答案: E
問題 #86
網絡服務器託管在 DMZ 中,服務器被配置爲監聽 TCP 端口 443 上的傳入連接。需要配置允許從信任區訪問 DMZ 區的安全策略規則,以允許網頁瀏覽訪問。網絡服務器通過 HTTP(S) 承載其內容。需要配置哪種服務和應用程序組合以及安全策略規則的順序,才能允許明文網頁瀏覽流量進入以下區域
A. ule #1: application: web-browsing; service: application-default; action: allowRule #2: application: ssl; service: application-default; action: allow
B. ule #1: application: web-browsing; service: service-http; action: allowRule #2: application: ssl; service: application-default; action: allow
C. ule #1: application: ssl; service: application-default; action: allowRule #2: application: web-browsing; service: application-default; action: allow
D. ule #1: application: web-browsing; service: service-https; action: allowRule #2: application: ssl; service: application-default; action: allow
查看答案
正確答案: D
問題 #87
05.下一代防火牆可以執行哪兩種功能,而傳統防火牆則不能?
A. ctive­Activemode
B. ctive­Passivemode
C. A­LiteActive­Passivemode
D. ctive­Passivemodewith"tcp­reject­non­syn"setto"no"
查看答案
正確答案: CD
問題 #88
哪種 DoS 保護機制可檢測和防止會話耗盡攻擊?
A. 基於數據包的攻擊防護
B. 防洪
C. 資源保護
D. CP 端口掃描保護
查看答案
正確答案: C
問題 #89
哪三種防火牆狀態有效?(請選擇三種)。
A. 躍
B. 能性
C. 定
D. 動
E. 停
查看答案
正確答案: ADE
問題 #90
將 HA 對的配置導入 Panorama 時,如何防止導入影響正在進行的流量?
A. 用 H
B. 用 HA2 鏈接
C. 將被動鏈接狀態設置爲 "關閉"。
D. 禁用配置同步。
查看答案
正確答案: D
問題 #91
在數據包流動過程中,應用識別要執行哪兩個過程?(請選擇兩個)。
A. 會話瀏覽器
B. 用程序指揮中心
C. CP 轉儲
D. 數據包捕獲
查看答案
正確答案: AB
問題 #92
管理員需要將 Palo Alto Networks NGFW 升級到最新版本的 PAN-OS® 軟件。防火牆可通過以太網接口連接互聯網,但無法從管理接口連接互聯網。安全策略有默認安全規則和一條允許從任何區域到任何區域的所有網絡瀏覽流量的規則。管理員必須配置什麼才能升級 PAN-OS® 軟件?
A. 全策略規則
B. RL
C. 服務路線
D. 調度員
查看答案
正確答案: C
問題 #93
下圖顯示的證書信息是哪種類型的證書?
A. 期信託證書
B. 籤名根 CA 證書
C. 絡服務器證書
D. 共 CA 籤名證書
查看答案
正確答案: B
問題 #94
貴公司有 10 臺 Active Directory 域控制器,分布在多個廣域網鏈路上。所有用戶都要對 Active Directory 進行身份驗證。每個鏈路都有大量的網絡帶寬來支持所有關鍵任務應用程序。防火牆的管理平面使用率很高。鑑於這種情況,Palo Alto Networks 認爲哪種類型的用戶 ID 代理是最佳實踐?
A. PAN-OS 集成代理
B. 有充足數據平面資源的 Citrix 終端服務器代理
C. aptive Portal
D. 立服務器上基於 Windows 的用戶 ID 代理
查看答案
正確答案: D
問題 #95
應用程序列中的哪個值表示 UDP 流量與 App-ID 籤名不匹配?
A. nknown-udp
B. nknown-ip
C. 完整
D. 適用
查看答案
正確答案: A
問題 #96
哪個菜單項能讓防火牆管理員查看 NGFW 當前活動流量的詳細信息?
A. CC
B. 系統日誌
C. 應用範圍
D. 會話瀏覽器
查看答案
正確答案: D
問題 #97
配置 GlobalProtect 門戶時,指定身份驗證配置文件的目的是什麼?
A. 配給堆棧頂部模板的設置。
B. 理員將被提拔,以選擇所選防火牆的設置。
C. 有模板中配置的所有設置。
D. 據防火牆的位置,Panorama 決定發送哪些設置。
查看答案
正確答案: C
問題 #98
哪三個步驟可以降低管理平面的 CPU 利用率?
A. 管理界面上禁用 SNMP。
B. SL 應用程序的覆蓋。
C. 安全策略中禁用會話啓動時的日誌記錄。
D. 用預定義報告。
E. 少被防火牆解密的流量。
查看答案
正確答案: ACD
問題 #99
防火牆管理員被要求配置 Palo Alto Networks NGFW,以防止被入侵主機嘗試電話歸屬或向外部命令與控制 (C2) 服務器發出信標。
A. 間諜軟件
B. 火
C. 漏洞保護
D. 殺毒軟件
查看答案
正確答案: A
問題 #100
如果管理員沒有網站證書,哪種 SSL 解密模式允許 Palo Alto Networks NGFW 在用戶瀏覽 HTTP(S) 網站時檢查流量?
A. SL 轉發代理
B. SSL 入站檢查
C. LS 雙向代理
D. SL 出站檢查
查看答案
正確答案: A
問題 #101
管理員如何監控/捕獲 Palo Alto Networks NGFW 管理接口上的流量?
A. 用 debug dataplane packet-diag set capture stage firewall file 命令。
B. 啓用流量捕獲的所有四個階段(TX、RX、DROP、防火牆)。
C. 用 debug dataplane packet-diag set capture stage management file 命令。
D. 用 tcpdump 命令。
查看答案
正確答案: D
問題 #102
管理員使用 Panorama 管理多個防火牆。將所有設備升級到最新的 PAN-OS 軟件後,管理員啓用了從防火牆到 Panorama 的日誌轉發。但是,防火牆上已有的日誌沒有出現在 Panorama 中。應採取哪些措施使防火牆能夠將已有日誌發送到 Panorama?
A. 使用導入選項提取日誌。
B. 使用 scp logdb 導出命令
C. 導出日誌數據庫
D. 使用 ACC 來合併日誌。
查看答案
正確答案: B
問題 #103
哪些操作會影響管理平面的性能?
A. DoS 防護
B. WildFire 提交的材料
C. 成 SaaS 應用程序報告
D. 密 SSL 會話
查看答案
正確答案: C
問題 #104
哪個選項可讓 Palo Alto Networks NGFW 管理員安排應用程序和威脅更新,同時只對流量應用新的內容 ID?
A. 選擇下載安裝
B. 僅選擇下載
C. 擇 "下載並安裝",並選擇 "在內容更新中禁用新應用程序
D. 擇 "禁用應用程序更新",然後選擇 "只安裝威脅更新"。
查看答案
正確答案: C
問題 #105
使用 Windows 工作站準備了一個啓動 U 盤,用於加載以前在實驗室中使用的 Palo Alto Networks 防火牆的初始配置。USB 閃存盤使用文件系統 FAT32 格式化,初始配置存儲在名爲 init-cfg.txt 的文件中。防火牆目前運行 PAN-OS 10.0,並使用實驗室配置。U 盤中 init-cfg.txt 的內容如下:U 盤已插入防火牆的 USB 端口、
A. ootstrap
B. 火牆必須處於出廠默認狀態或已刪除所有私人數據才能啓動
C. 機名是必填參數,但 init-cfg
D. AN-CS版本至少必須是9
E. SB 必須使用 ext3 文件系統格式化。不支持 FAT32
查看答案
正確答案: D
問題 #106
什麼是區域保護的最佳做法?
A. 使用單獨的日誌轉發配置文件,將 DoS 和區域閾值事件日誌與其他威脅日誌分開轉發
B. 查看 DoS 威脅活動(ACC > 阻止活動)並查找濫用模式
C. 事件日誌信息的警報率閾值設置爲高度嚴重性或臨界嚴重性
D. 果區域和 DoS 保護級別佔用了太多防火牆資源,請禁用區域保護
查看答案
正確答案: D
問題 #107
在 VM-500 的管理員啓用 DoS 和區域保護之前,需要執行哪些操作?
A. 案見說明部分。
查看答案
正確答案: D
問題 #108
管理員需要優化流量,使關鍵業務應用優先於非關鍵應用。QoS 本身與哪種功能集成以提供服務質量?
A. 港口檢查
B. 證書吊銷
C. ontent-ID
D. pp-ID
查看答案
正確答案: D
問題 #109
客戶希望爲一個二層以太網端口設置 VLAN 接口。
A. 間諜軟件
B. 預防教學
C. 件阻塞
D. 殺毒軟件
查看答案
正確答案: CD
問題 #110
管理員正在考慮升級 Palo Alto Networks NGFW 和中央管理 Panorama 版本。
A. 同時進行 Panorama 和防火牆升級。
B. 先升級防火牆,至少等待 24 小時,然後升級 Panorama 版本。
C. 將 Panorama 升級到目標防火牆版本或更高版本。
D. 導出設備狀態,執行更新,然後導入設備狀態。
查看答案
正確答案: C
問題 #111
在 URL 過濾中,哪個組件匹配 URL 模式?
A. 管理平面上的實時 URL 饋送
B. 數據平面的安全處理
C. 據平面上的單通道模式匹配
D. 數據平面上的籤名匹配
查看答案
正確答案: C
問題 #112
管理員使用哪種方法在 PAN-OS® 軟件中集成所有非本地 MFA 平臺?
A. kta
B. UO
C. ADIUS
D. ingID
查看答案
正確答案: C
問題 #113
某管理員讓防火牆爲所有管理服務使用默認端口。數據平面執行哪三種功能?
A. 使用導入選項將日誌導入 Panorama。
B. CLI 命令會將已有日誌轉發到 Panorama。
C. 用 ACC 來合併先前存在的日誌。
D. 日誌數據庫需要從防火牆導出,然後手動導入 Panorama。
查看答案
正確答案: BDE
問題 #114
管理員被要求爲一對 Palo Alto Networks NGFW 配置主動/被動 HA。管理員爲主動防火牆分配的優先級爲 100。
A.
B. 9
C.
D. 55
查看答案
正確答案: D
問題 #115
管理員需要驗證將要部署的策略是否與設備組層次結構中的相應規則相匹配。管理員可以使用哪種工具來審查策略創建邏輯並驗證是否不允許不需要的流量?
A. 預覽更改
B. 政策優化器
C. anaged Devices Health
D. 試政策匹配
查看答案
正確答案: D
問題 #116
防火牆配置有 SSL 轉發代理解密功能,並有以下四個企業證書頒發機構 (CA):I) 企業信任證書頒發機構(Enterprise-Trusted-CA),該證書作爲轉發信任證書進行驗證(該證書還安裝在最終用戶瀏覽器和系統的信任存儲中)。
A. nterprise-Trusted-CA 是自籤名 CA
B. nterprise-Root-CA 是自籤名 CA
C. nterprise-Intermediate-CA 由 Enterprise-Root-CA 發布
D. nterprise-Untrusted-CA 是自籤名 CA
查看答案
正確答案: D
問題 #117
如何配置數據包緩衝區保護?
A. 在區域級別保護防火牆資源和入口區域,但不在設備級別保護防火牆資源和入口區域
B. 在接口級別保護防火牆資源
C. 設備級別(全局)保護防火牆資源和入口區,但不在區級別保護防火牆資源和入口區
D. 在設備級別(全局),如果全局啓用,則在區段級別
查看答案
正確答案: D
問題 #118
哪條 CLI 命令可讓管理員檢查數據平面的 CPU 利用率?
A. how running resource-monitor
B. ebug data-plane dp-cpu
C. 示系統資源
D. 試運行資源
查看答案
正確答案: A
問題 #119
哪兩個 GlobalProtect 組件之間使用 UDP-4501 協議端口?
A. GlobalProtect 應用程序和 GlobalProtect 衛星
B. GlobalProtect 應用程序和 GlobalProtect 門戶網站
C. lobalProtect應用程序和GlobalProtect網關
D. lobalProtect門戶和GlobalProtect網關
查看答案
正確答案: C
問題 #120
可以修改哪三種用戶身份驗證服務,以便爲 Palo Alto Networks NGFW 提供用戶名和角色名?
A. 心跳聲
B. 用戶 ID 信息
C. 話同步
D. A狀態信息
查看答案
正確答案: AEF
問題 #121
使用 "應用程序未完成 "標記識別已安裝會話的三個原因是什麼?
A. 更新防火牆應用程序和威脅版本,使其與 Panorama 版本一致
B. 將新類別操作更改爲 "警報",然後再次推送配置
C. 保防火牆能與 URL 雲通信
D. 證 URL 種子瓦片是否已在防火牆上下載並激活
查看答案
正確答案: ADE
問題 #122
哪些證書可用作前向信任證書?
A. 來自默認信任證書頒發機構的證書
B. omain Sub-CA
C. orward_Trust
D. omain-Root-Cert
查看答案
正確答案: B

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.