オンライン問題で最適なPCNSE日本語試験練習問題（最新の91問題) [Q51-Q69]

オンライン問題で最適なPCNSE日本語試験練習問題（最新の91問題)

練習問題PCNSE日本語素晴らしい練習用のPalo Alto Networks Certified Network Security Engineer (PAN-OS 9.0) (PCNSE日本語版)テスト問題

質問 # 51

A. Option C
B. Option D
C. Option A
D. Option E
E. Option B

正解：B、D

質問 # 52
ISP は、テナント用の複数の仮想システムを備えたパロアルトネットワークファイアウォールを管理します。
このファイアウォールのどこで、ISP は異なるテナントに対して一意のサービスルートを構成できますか?

A. セットアップ > サービス > 仮想システム > 場所の設定 > サービスルート構成 > カスタマイズ
B. 設定 > サービス > グローバル > サービスルート構成 > カスタマイズ
C. セットアップ > サービス > 仮想システム > 場所の設定 > サービスルート構成 > グローバルサービスルート構成の継承
D. セットアップ > サービス > グローバル > サービスルート構成 > すべての管理インターフェイスを使用

正解：A

解説：
The best option for the ISP to configure unique service routes for different tenants is to use the Setup > Services > Virtual Systems > Set Location > Service Route Configuration > Customize option on the firewall. This option allows the ISP to customize the service routes for each virtual system that represents a tenant. A service route is the path from the interface to the service on a server, such as DNS, email, or Panorama. By customizing the service routes for each virtual system, the ISP can ensure that each tenant uses a different interface or IP address to access these services1. Option A is incorrect because it is used to inherit the global service route configuration for a virtual system, not to customize it. Option B is incorrect because it is used to customize the global service route configuration for all virtual systems, not for a specific one. Option D is incorrect because it is used to use the management interface for all service routes, not to customize them1.

質問 # 53
エンジニアは、パノラマから管理されたファイアウォールに構成をプッシュしています。
プッシュされた Panorama 構成に、ファイアウォールで既に構成されているアドレスオブジェクトと重複するアドレスオブジェクト名がある場合はどうなりますか?

A. ファイアウォールは、ローカルに構成されたオブジェクトと同じ名前を持つプッシュされたオブジェクトのみを無視し、プッシュされた残りの構成をコミットします。
B. ファイアウォールはプッシュされた構成を拒否し、コミットは失敗します。
C. ファイアウォールは、複製されたローカルオブジェクトの名前を末尾に "-1" を付けて変更し、それらがクローンであることを示します。それに応じてオブジェクトへの参照を更新し、プッシュされた構成を完全にコミットします。
D. ファイアウォールは、プッシュされたすべての構成を完全にコミットし、ローカルに構成されたオブジェクトを上書きします。

正解：B

質問 # 54
異なる仮想システムが相互に通信できるようにするゾーンのタイプはどれですか?

A. 外部
B. トンネル
C. 仮想ワイヤ
D. タップ

正解：A

解説：
Explanation
An external zone is a type of zone that will allow different virtual systems to communicate with each other. An external zone is a special zone that is shared by all virtual systems on the firewall and can be used to route traffic between virtual systems without leaving the firewall. The external zone can also be used to route traffic to other zones within the same virtual system . The other options are not correct. A tap zone is a type of zone that is used to passively monitor traffic without affecting the flow of packets . A virtual wire zone is a type of zone that is used to create a transparent bridge between two network segments without changing the original IP addressing or routing3. A tunnel zone is a type of zone that is used to terminate VPN tunnels or other types of encapsulated traffic4. References:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/virtual-systems/communication-between-virtual-sy
2:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/networking/configure-interfaces/configure-a-tap-in
3
:https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/networking/configure-interfaces/configure-a-virtu
4
:https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/networking/configure-interfaces/configure-a-tunne

質問 # 55
復号化ポリシールールの3つのタイプは何ですか？（3つ選択してください。）

A. SSHプロキシ
B. SSLインバウンド検査
C. 復号化ミラー
D. SSL転送プロキシ
E. 復号化ブローカー

正解：A、B、D

解説：
Reference: https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/decryption/decryption- overview.html#:~:text=The%20firewall%20provides%20three%20types,to%20control%20tunnele d%20SSH%20traffic

質問 # 56
管理者はアプリケーションベースのセキュリティポリシールールを作成し、変更をファイアウォールにコミットします。それぞれのルールの依存アプリケーションを識別するには、どの 2 つの方法を使用する必要がありますか? (2つお選びください。)

A. 同様のアプリケーションを含む別のアプリケーショングループを参照します。
B. セキュリティポリシールールを開き、[依存するアプリケーション] リストを確認します。
C. [コミットステータス] ビューからアプリの依存関係アプリケーションリストを確認します。
D. show predefined xpath <value> コマンドを使用して、出力を確認します。

正解：B、C

解説：
These two methods allow the administrator to see the dependent applications for a security policy rule that uses application-based criteria. The App Dependency application list shows the applications that are required for the rule to function properly1. The Depends On application list shows the applications that are implicitly added to the rule based on the predefined dependencies2. Reference: 1: https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-new-features/app-id-features/simplified-application-dependency-workflow 2: https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/app-id/use-application-objects-in-policy/resolve-application-dependencies

質問 # 57
ファイアウォールのデフォルトのTCPおよびUDP設定では、次のセッションで何がアプリケーションとして識別されますか？

A. 不明-udp
B. 不完全
C. 不十分なデータ
D. unknown-tcp

正解：B

質問 # 58
ユーザーが選択したオフィススイートアプリケーションにアクセスできるようにする必要があります。オフィススイートのアプリケーションへのアクセスを許可するようにファイアウォールをどのように構成する必要がありますか？

A. アプリケーショングループを作成し、それにビジネスシステムを追加します。
B. アプリケーションフィルターを作成し、Officeプログラムという名前を付けてから、Officeプログラムサブカテゴリでフィルターします。
C. アプリケーショングループを作成し、Office 365、Evernote Google Docs、LibreOfficeを追加します
D. アプリケーションフィルターを作成し、Officeプログラムという名前を付けてから、ビジネスシステムカテゴリでフィルター処理します。

正解：B

解説：
Explanation
According to the Palo Alto Networks documentation, "Application filters enable you to create groups of applications based on specific characteristics such as subcategory, technology, risk factor, and so on. You can then use these groups in Security policy rules to allow or block access to the applications. For example, you can create an application filter that includes all applications in the office-programs subcategory and use it in a Security policy rule to allow access to any office-suite application." References:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/app-id/manage-applications-in-a-policy/use-applic

質問 # 59
ポリシーベースの転送 (PBF) ポリシーを作成するときにアクションとして使用できるものは何ですか?

A. 許可
B. 捨てる
C. 次の VR
D. 拒否

正解：A

質問 # 60

A. Option D
B. Option A
C. Option C
D. Option B

正解：A、C

質問 # 61
顧客は、カスタムPostgreSQLデータベース接続の1つで不明-トップとして識別されているアプリケーションを持っています。カスタムデータベースアプリケーションを正しく分類するために使用できる2つの構成オプションはどれですか？（2つ選択してください。）

A. カスタムアプリケーション。
B. カスタムサービスオブジェクト。
一意の署名要素についてアプリケーションパケットの内容を検査するApp-IDエンジンとは異なり、アプリケーションオーバーライドポリシーの一致条件は、ヘッダーベースのデータのみに制限されます。アプリケーションオーバーライドポリシーに一致するトラフィックは、[アプリケーション]入力ボックスに入力されたApp-IDによって識別されます。選択肢は、現在App-IDデータベースにあるアプリケーションに限定されています。このトラフィックはすべてのレイヤー7検査をバイパスするため、結果として得られるセキュリティはレイヤー4ファイアウォールのセキュリティになります。したがって、このトラフィックは、Content-ID検査を必要とせずに信頼できる必要があります。結果のアプリケーション割り当ては、セキュリティポリシーやQoSなどの他のファイアウォール機能で使用できます。ユースケースアプリケーションオーバーライドポリシーの3つの主なユースケースは次のとおりです。異なるまたはカスタムのアプリケーション署名を持つ「不明な」App-IDを識別するため既存のアプリケーション署名を再識別するため（SP3アーキテクチャ内の）Signature MatchEngineをバイパスして処理を改善する時間アプリケーションオーバーライドの一般的な使用法と特定の実装例については、https：//live.paloaltonetworks.com/t5/Learning-Articles/Tips-amp-Tricks-How-to-Create-an-Application-Override/を参照してください。 ta-p / 65513
C. カスタムアプリケーションを識別するためのセキュリティポリシー。
D. アプリケーションオーバーライドポリシー。

正解：A、D

質問 # 62

A. Path Monitoring
B. Heartbeat Monitoring
C. Failover
D. Ping-Path

正解：A

解説：
Reference: https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/policy/pbf

質問 # 63
管理者がファイアウォールのHAペアをPAN-OS10.1にアップグレードしたいと考えています。ファイアウォールは現在PAN-OS8.1.17を実行しています。
HAセッションの同期を維持する（そしてネットワークの停止を防ぐ）アップグレードパスはどれですか？

A. ターゲットのメジャーバージョンに直接アップグレードします
B. 一度に2つのメジャーバージョンをアップグレードします
C. 一度に1つのメジャーバージョンをアップグレードします
D. HAペアをベースイメージにアップグレードします

正解：C

解説：
When you upgrade from one PAN-OS feature release version to a later feature release, you cannot skip the installation of any feature release versions in the path to your target release. In addition, the recommended upgrade path includes installing the latest maintenance release in each release version before you install the base image for the next feature release version.
https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-upgrade/upgrade-pan-os/upgrade-the- firewall-pan-os/determine-the-upgrade-path.html

質問 # 64
イメージに基づいて、何がコミット警告を引き起こしましたか。

A. FWDtrust証明書は、信頼されたルートCAとしてマークされていません。
B. FWDtrustのCA証明書はファイアウォールにインポートされていません。
C. FWDtrust証明書に証明書チェーンがありません。
D. SSL転送プロキシでは、パブリック証明書をファイアウォールにインポートする必要があります。

正解：C

質問 # 65
管理者は、アクティブ/パッシブモードで高可用性を使用してファイアウォールのペアを構成しました。リンクとパスの監視は、「任意」に設定された障害条件で有効になっています。グループ障害条件が「すべて」に設定されたメンバーインターフェイス ethernet1/1 および ethernet1/2 を含む 1 つのリンクグループが構成されています。障害により ethernet1/1 リンクがダウンした場合、アクティブファイアウォールはどの HA 状態になりますか?

A. アクティブセカンダリ
B. 非機能
C. アクティブ
D. パッシブ

正解：C

解説：
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClG7CAK

質問 # 66
セキュリティポリシールールは、脆弱性保護プロファイルと「拒否」アクションで構成されます。この構成は、一致したトラフィックに対してどのアクションを引き起こしますか?

A. アクションが「拒否」に設定されている場合、プロファイル設定セクションはグレー表示されます。
B. 構成は、脆弱性シグネチャが検出されない限り、一致したセッションを許可します。
C. 「拒否」アクションは、関連付けられた脆弱性保護プロファイルで定義された重大度ごとに定義されたアクションに取って代わり、ファイアウォールは一致したセッションを拒否します。
セキュリティポリシールールアクションが「拒否」に設定されている場合、構成済みのセキュリティプロファイルは無効です。
D. ファイアウォールはこのセキュリティポリシールールをスキップします。コミット中に警告が表示される

正解：C

解説：
Explanation
https://docs.paloaltonetworks.com/pan-os/10-0/pan-os-admin/policy/security-profiles.html
First note in above link states:
"Security profiles are not used in the match criteria of a traffic flow.
The security profile is applied to scan traffic after the application or category is allowed by the security policy."
The first thing the firewall checks per it's flow is the security policy match and action.
The Security Profile never gets checked if a match happens on a policy set to deny that match.

質問 # 67
各 GlobalProtect コンポーネントをそのコンポーネントの目的に一致させる