무료 온라인 액세스 PaloAltoNetworks.NetSec-Analyst.v2025-12-29.q90 모의 시험 (Page 10)

NetSec-Analyst 문제 41

Palo Alto Networks 방화벽에 복호화 프로필이 구성되어 있으며, 특정 사용자 그룹의 웹 애플리케이션 액세스 문제를 해결하고 있습니다. 애플리케이션이 간헐적으로 로드되지 않고 방화벽 로그에 이 그룹의 연결에 대한 'client-certificate-untrusted' 복호화 오류가 표시됩니다. 웹 애플리케이션의 인증서가 공개적으로 신뢰할 수 있는 CA에서 발급되었음을 확인했습니다. 다음 중 이 오류의 가장 가능성 있는 원인은 무엇이며, 어떤 구성 요소를 즉시 조사해야 합니까?

A. 방화벽의 복호화 인증서 체인이 불완전하거나 클라이언트가 이를 신뢰하지 않습니다. '장치 > 인증서 관리 > 인증서'를 검토하여 방화벽의 복호화 인증서와 발급 CA가 클라이언트에 의해 가져와지고 신뢰되는지 확인하십시오.

B. 웹 애플리케이션이 인증에 클라이언트 측 인증서를 사용하고 있으며, 방화벽이 'SSL 포워드 프록시' 복호화로 구성되어 있어 클라이언트 인증서가 삭제됩니다. '정책 > 복호화 > <복호화 정책>'을 검토하여 이 트래픽에 대한 동작을 '복호화 안 함'으로 변경하십시오.

C. 복호화 정책에 적용된 '복호화 프로필'에 '신뢰할 수 없는 인증서가 있는 세션 차단'이 활성화되어 있으며, 웹 서버 인증서가 방화벽에서 신뢰되지 않습니다. '개체 > 복호화 프로필 > <복호화 프로필> > SSL 포워드 프록시 > 신뢰할 수 없는 인증서가 있는 세션 차단'을 검토하십시오.

D. GlobalProtect VPN 클라이언트가 방화벽의 복호화 인증서를 신뢰하도록 구성되지 않아 클라이언트가 연결을 거부합니다. '장치 > GlobalProtect > 포털 > <포털 이름> > 에이전트 > 클라이언트 설정 > 인증서 프로필'을 확인하세요.

E. 웹 애플리케이션에 'SSL 인바운드 검사' 복호화가 필요하지만, 방화벽이 이 트래픽에 대해 'SSL 포워드 프록시' 복호화에 대해 잘못 구성되어 있습니다. '정책 > 복호화 > <복호화 정책>' 작업을 검토하십시오.

NetSec-Analyst 문제 42

대규모 제조 시설에서 예측 유지보수를 위해 수천 개의 새로운 IoT 센서를 배치하고 있습니다. 이 센서들은 MQTT를 통해 통신하며 민감한 운영 데이터를 생성합니다. 보안팀은 Palo Alto Networks 차세대 방화벽(NGFW)에 강력한 IoT 보안 프로필을 구현하여 데이터 기밀성, 무결성 및 기기 인증을 보장해야 합니다. 이러한 센서가 복잡한 PKI 또는 클라이언트 인증서를 초기에 지원할 수 없다는 가정 하에, 다음 중 이러한 센서에 대한 강력한 IoT 보안 태세를 구축하는 데 가장 효과적인 방법은 무엇입니까?

A. 모든 비 MQTT 트래픽을 차단하고 모든 IoT 영역에 기본 보안 정책을 적용하는 사용자 지정 URL 필터링 프로필을 구현합니다.

B. 새로운 'IoT 보안 프로필' 객체를 생성하고, MQTT에 대한 '장치 식별'을 활성화하고, NGFW에서 식별한 장치 속성에 따라 MQTT 트래픽을 허용하도록 사용자 지정 'IoT 정책 규칙'을 구성하고, '장치 그룹' 세분화를 활용합니다.

C. 모든 센서 트래픽에 대한 전용 IoT 게이트웨이를 배포하고, 각 센서에 대해 정적 NAT를 구성하고, 게이트웨이의 아웃바운드 트래픽에 표준 '안티바이러스' 및 '안티스파이웨어' 프로필을 적용합니다.

D. GlobalProtect VPN을 사용하여 각 개별 센서가 회사 네트워크에 연결되는 것을 보호하고 인증을 위해 사전 공유 키가 필요합니다.

E. 특정 애플리케이션이나 장치 인식 보안 정책 없이 네트워크 분할(VLAN)에만 의존하여 IoT 장치를 격리합니다.

NetSec-Analyst 문제 43

한 조직이 자사 데이터 센터를 퍼블릭 클라우드 공급업체(AWS)로 마이그레이션하고 있습니다. 현재 AWS에서 호스팅되는 특정 내부 기업 IP 서브넷(예: 10.0.0.0/16)으로 향하는 모든 트래픽은 AWS로의 직접 연결 또는 VPN 터널을 통과해야 합니다. 그러나 데이터 센터에서 인터넷으로 향하는 트래픽은 기존 온프레미스 보안 스택을 통해 직접 이탈해야 합니다. 문제는 데이터 센터 내 일부 애플리케이션(예: 타사 SaaS 공급업체로의 백업 트래픽)이 AWS 서비스(S3)를 사용하지만 AWS로 마이그레이션된 기업 IP 서브넷에는 포함되지 않는다는 것입니다. 이 S3 트래픽은 효율성을 위해 온프레미스 인터넷 이탈을 우회하여 AWS로의 직접 연결/VPN을 사용해야 합니다. 다음 구성 순서 중 이러한 트래픽 흐름의 우선순위를 올바르게 지정하고 라우팅하는 것은 무엇입니까?

A. 1. 정적 경로: AWS 터널을 통한 '10.0.0.0/16'. 2. SD-WAN 정책: 'App-ID: amazon-ss, 넥스트홉 AWS 터널'과 일치. 3. 기본 경로: 온프레미스 보안 스택을 통한 '0.0.0.0/0'.

B. 1. PBF 규칙 1: 목적지 '10.0.0.0/16'과 일치, 넥스트홉 AWS 터널. 2. PBF 규칙 2: 'App-ID: amazon-s3'과 일치, 넥스트홉 AWS 터널. 3. SD-WAN 정책: '0.0.0.0/0'과 일치, 온프레미스 인터넷 출구. 4. 보안 정책: 트래픽 허용/거부.

C. 1. SD-WAN 정책 1: 목적지 '10.0.0.0/16'과 일치, AWS 터널의 출구입니다. 2. SD-WAN 정책 2: 'App-ID: amazon-s3'과 일치, AWS 터널의 출구입니다. 3. 기본 SD-WAN 정책: '0.0.0.0/0'과 일치, 온프레미스 인터넷의 출구입니다. 4. 정적 경로: 터널 인터페이스에 SD-WAN이 명시적으로 사용되지 않는 경우 AWS 터널에 대한 정적 경로를 정의합니다.

D. 1. AWS 터널을 포함하여 엄격한 SLA를 적용하는 '클라우드 액세스' SD-WAN 정책을 정의합니다. 대상과 '앱 ID: amazon-s3'을 일치시킵니다. 2. 온프레미스 보안 스택을 가리키는 기본 SLA를 적용하여 '0.0.0.0/0'에 대한 '직접 인터넷' SD-WAN 정책을 정의합니다. 3. '클라우드 액세스' 정책이 '직접 인터넷' 정책보다 우선순위가 높은지 확인합니다.

E. 1. PBF 규칙 1(가장 높은 우선순위): 'App-ID: amazon-s3', 넥스트홉 AWS 터널과 일치합니다. 2. PBF 규칙 2(높은 우선순위): 대상 '10.0.0.0/16', 넥스트홉 AWS 터널과 일치합니다. 3. 기본 경로: 온프레미스 보안 스택을 통한 '0.0.0.0/0'입니다. 4. SD-WAN 정책: 내부 데이터 센터 애플리케이션에 대해 정의하지만 PBF 및 기본 경로가 재정의됩니다.

NetSec-Analyst 문제 44

한 대기업이 전 세계적으로 여러 개의 Palo Alto Networks 방화벽을 사용하고 있습니다. 이 기업은 외부 동적 목록을 사용하여 모든 방화벽에 사용자 지정 블랙리스트(IP 및 URL)를 효율적이고 일관되게 배포하려고 합니다. 또한 목록이 5분마다 자주 업데이트되고 단일 장애 지점에 대한 복원력이 있어야 합니다. 이러한 요구 사항을 가장 잘 충족하는 전략 조합은 무엇일까요?

A. 공용 IP 주소가 있는 단일 중앙 웹 서버에 EDL을 호스팅하고 모든 방화벽이 5분 간격으로 이를 가져오도록 구성합니다.

B. EDL을 호스팅하기 위해 내부 네트워크 내에 고가용성 웹 서버 쌍을 배포하고, 모든 방화벽이 HA 쌍으로 확인되는 DNS 레코드에서 가져오도록 구성하고, 반복 간격을 5분으로 설정합니다.

C. 블랙리스트 파일을 각 방화벽의 로컬 디스크에 수동으로 복사하고 로컬 EDL을 '반복 안 함' 간격으로 구성합니다.

D. Panorama를 사용하여 5분마다 모든 방화벽에 정적 IP 주소와 URL 객체를 푸시합니다.

E. 각 방화벽에 스크립트를 만들어 5분마다 블랙리스트 소스를 컬링하고 사용자 정의 애플리케이션을 업데이트합니다.

NetSec-Analyst 문제 45

다국적 기업이 중앙 집중식 관리를 위해 파노라마를 사용하고 있습니다. 최근 규정 준수 감사 결과, 여러 지역 방화벽에 지나치게 관대한 'any-any' 규칙이 적용되어 거의 사용되지 않아 불필요한 공격 표면을 생성하고 있음이 드러났습니다. 보안팀은 이러한 문제를 체계적으로 해결하고자 합니다. 정책 최적화 도구를 활용하여 가장 효율적이고 최소한의 중단만 보장하는 작업 순서는 무엇일까요?

A. 1. 정책 최적화 프로그램에서 모든 장치 그룹에 대한 '규칙 사용' 보고서를 실행합니다. 2. 적중 횟수가 0이거나 매우 적은 규칙의 경우 작업을 '거부'로 변경하고 커밋합니다. 3. 불만 사항이 있는지 로그를 모니터링합니다.

B. 1. 정책 최적화에서 '규칙 브라우저'를 사용하여 관련 장치 그룹에서 모든 '임의' 규칙을 식별합니다. 2. 식별된 각 규칙에 대해 동작을 '알림'으로 변경하고 일주일 동안 트래픽 패턴을 관찰합니다. 3. 정상적인 트래픽이 기록되지 않으면 동작을 '거부'로 변경하고 커밋합니다.

C. 1. 정책 최적화에서 '보안 정책 규칙 최적화' 대시보드를 활용합니다. 2. 적중률이 낮은 '모든' 규칙을 필터링합니다. 3. 각 후보 규칙에 대해 '특정 규칙으로 변환' 기능(해당되는 경우)을 사용하거나 검증 기간 후 해당 동작을 '거부'로 변경합니다. 4. 해당 방화벽에 업데이트를 푸시합니다.

D. 1. 활동 인사이트를 사용하여 가장 적게 사용되는 애플리케이션을 찾습니다. 2. 이러한 애플리케이션을 차단하는 새로운 정책을 만듭니다. 3. 방화벽에 푸시합니다.

E. 1. 각 방화벽의 보안 정책을 수동으로 검토하여 'any-any' 규칙을 확인합니다. 2. 사용되지 않는 규칙은 삭제합니다. 3. 커밋을 푸시합니다.