무료 온라인 액세스 PaloAltoNetworks.NetSec-Analyst.v2025-12-29.q90 모의 시험 (Page 11)

NetSec-Analyst 문제 46

한 글로벌 금융 기관이 광범위한 Palo Alto Networks 방화벽 구축을 위해 Strata Logging Service를 도입하고 있습니다. 이 기관은 데이터 보존 및 감사 가능성에 대한 엄격한 규제 요건을 준수해야 하며, 특정 로그 유형(예: 인증, 중요 데이터 필터링)은 특정 지역에만 저장해야 하고, 다른 로그 유형(예: 일반 트래픽, 위협)은 전 세계에 저장해야 합니다. 또한, 감사 기관은 최소 7년간 변경 불가능한 로그 기록을 요구합니다. Strata Logging Service와 관련 Palo Alto Networks 기능을 사용하여 이러한 복잡한 요건을 어떻게 충족할 수 있을까요?

A. 특정 지역에 맞게 구성된 여러 개의 Strata Logging Service 인스턴스를 사용하고, 위치에 따라 적절한 지역 인스턴스에 방화벽을 직접 연결합니다. 7년 요구 사항에 맞춰 Strata Logging Service의 기본 데이터 보존 정책을 활용합니다.

B. 모든 방화벽이 단일 글로벌 Strata Logging Service 인스턴스로 로그를 전송하도록 구성합니다. 'geo_location' 필드 필터가 포함된 고급 SLQL 쿼리를 사용하고 관련 로그를 지역 SIEM 또는 장기 저장 솔루션으로 내보냅니다.

C. 각 지역에 로컬 파노라마 로그 수집기를 구축하고, 민감한 로그는 해당 지역으로 전달한 후, 민감하지 않은 로그에는 글로벌 Strata Logging Service를 사용합니다. 7년간 변경 불가능하도록 별도의 보관 솔루션을 구현합니다.

D. Strata Logging Service는 특정 로그 유형에 대한 지오펜싱 옵션을 통해 데이터 보존을 기본적으로 지원합니다. 이 기능을 활성화하고 보존 기간을 7년으로 설정하세요. 변경 불가능성을 위해 Palo Alto Networks에서 제공하는 WORM(Write Once Read Many) 스토리지 솔루션과 통합하세요.

E. 이 요구 사항은 Strata Logging Service의 글로벌한 특성으로 인해 단독으로는 충족할 수 없습니다. 전용 지역 syslog 서버와 별도의 변경 불가능한 아카이브를 사용하는 하이브리드 방식이 유일하게 실행 가능한 옵션입니다.

NetSec-Analyst 문제 47

Palo Alto Networks 방화벽은 여러 개의 가상 라우터로 구성되어 있습니다. 가상 라우터 'VR_lnternal'은 내부 네트워크 세그먼트를 처리하고, 가상 라우터 'VR External'은 인터넷 연결 인터페이스를 처리합니다. 'VR_lnternal'(소스 10.10.10.0/24, 목적지 172.16.1.0/24, 애플리케이션: custom-app)에서 'VR DMZ'에 연결된 전용 인터페이스(ethernet1/5)를 통해 격리된 보안 영역 'VR DMZ'로 특정 트래픽을 전달하려면 PBF 규칙이 필요합니다. 하지만 트래픽은 'VR DMZ'로 라우팅되기 전에 특정 검사를 위해 'VR External'을 통해 라우팅되어야 합니다. 초기 트래픽이 'VR Internal'에 있다는 점을 고려할 때, 이 VR 간 트래픽 조정에 필요한 PBF 구성은 무엇입니까?

A. 'VR 내부'에 '소스 영역: 내부', '대상 영역: DMZ', '소스 주소: 10.10.10.0/24', '대상 주소: 172.16.1.0/24', '애플리케이션: custom-app', '송신 인터페이스: ethernet1/5'(VR_DMZ에 속함), '다음 홉: (VR_DMZ_Router_IP)'를 사용하여 PBF 규칙을 만듭니다.

B. 'VR 내부'에 '소스 영역: 내부', '대상 영역: DMZ', '소스 주소: 10.10.10.0/24', '대상 주소: 172.16.1.0/24', '애플리케이션: custom-app', '동작: 전달', '송신 인터페이스: (VR_Internal과 VR_External을 연결하는 인터페이스)', '다음 홉: (VR_External_Router_IP)'를 포함하는 PBF 규칙을 생성합니다. 그러면 'VR 외부'에 두 번째 PBF 규칙 또는 정적 경로가 생성되어 'VR DMZ'로의 전달을 처리합니다.

C. 'VR Internal'에 '소스 영역: Internal', '대상 영역: DMZ', '소스 주소: 10.10.10.0/24', '대상 주소: 172.16.1.0/24', '애플리케이션: custom-app', '동작: Forward', '가상 라우터: VR External', '다음 홉: (VR DMZ 링크의 VR_External_Router_IP)'을 포함하는 PBF 규칙을 생성합니다. VR_External의 경로는 해당 경로를 VR DMZ로 전송합니다.

D. 'VR Internal'에 '소스 영역: Internal', '대상 영역: DMZ', '소스 주소: 10.10.10.0/24', '대상 주소: 172.16.1.0/24', '애플리케이션: custom-app', '동작: Forward', '가상 라우터: VR_External', '대체 대상: No'를 포함하는 PBF 규칙을 생성합니다. 그러면 VR_External의 해당 PBF 규칙이 VR DMZ로 전달됩니다.

E. 여러 개의 정답: 1. 'VR_Intemal'에 소스, 대상 및 애플리케이션을 일치시키는 PBF 규칙을 생성하세요. 2. 작업으로 '전달'을 선택하고 '가상 라우터: VR_External'을 지정하세요. 이렇게 하면 VR_Internal에서 VR_External의 라우팅 테이블로 트래픽이 전달됩니다. 3. 'VR_External'에 'ethernet1/5'(VR DMZ에 연결되는 인터페이스)와 다음 홉 IR을 통해 172.16.1.0/24에 대한 정적 경로가 있는지 확인하세요.

정답: D,E

이 문제는 VR 간 PBF에 대한 이해를 테스트합니다. 트래픽을 다른 가상 라우터로 전송해야 하는 경우, PBF 규칙의 '동작'은 전달 방법으로 '가상 라우터'를 지정해야 하며, 그 다음에 대상 가상 라우터를 지정해야 합니다. 트래픽이 새 VR로 전달되면 해당 VR의 라우팅 테이블(또는 해당 VR 내의 후속 PBF 규칙)이 다음 홉을 결정합니다. 옵션 D와 E는 기본적으로 동일한 올바른 접근 방식을 설명하지만 표현에 약간의 차이가 있습니다. 1단계(VR_lnternal): PBF 규칙은 특정 트래픽과 일치해야 하며, '동작'으로 '전달'을 선택하고 '가상 라우터: VR_External'을 선택합니다. 이는 방화벽이 일치하는 트래픽을 가져와 VR_External의 라우팅 컨텍스트에 '주입'하도록 명시적으로 지시합니다. 2단계(VR_External): 트래픽이 VR_External에 있으면 VR_External의 라우팅 테이블(또는 더 복잡한 스티어링이 필요한 경우 PBF 규칙)이 적용됩니다. 이 시나리오의 경우, VR_DMZ(ethernet1/5) 인터페이스를 통해 172.16.1.0/24에 대한 VR_External의 정적 경로와 그 다음 홉이 논리적인 다음 단계입니다. 이 질문은 VR_External에서 '검사'를 암시하는데, 이는 VR Extemal의 보안 정책을 통과함을 의미합니다. 옵션 A는 한 VR의 PBF 규칙이 다른 VR에 속하는 이그레스 인터페이스를 직접 지정할 수 없고, 다른 VR의 컨텍스트 내에서 다음 홉을 직접 알 수 없기 때문에 올바르지 않습니다. 옵션 B는 명시적인 VR 간 인터페이스를 암시하기 때문에 올바르지 않습니다. 이는 Palo Alto Networks VR의 작동 방식이 아닙니다. 이들은 논리적으로 분리되어 있습니다. 옵션 C는 더 가깝지만 VR_External 내의 다음 단계에 대한 설명이 불완전합니다. 옵션 D와 E는 모두 PBF의 핵심 '가상 라우터' 동작과 대상 VR에서의 후속 라우팅을 정확하게 강조합니다.

NetSec-Analyst 문제 48

'신뢰' 영역에 있는 내부 서버(10.0.1.5)는 TCP 포트 80에서 특정 공용 서비스(example.com, 1.1.1.1)에 액세스해야 합니다. 복잡한 네트워크 설계와 엄격한 아웃바운드 트래픽 제어가 필요하기 때문에 이 서버에서 1.1.1.1:80으로 향하는 모든 트래픽은 특정 공용 IP 203.0.113.20으로 변환되어야 합니다. 10.0.1.5에서 인터넷으로 향하는 다른 모든 트래픽은 방화벽의 송신 인터페이스 IP(203.0.113.1)를 사용해야 합니다. 또한 1.1.1.1에서 203.0.113.20으로 향하는 모든 반환 트래픽은 자동으로 10.0.1.5로 다시 변환되어야 합니다. 다음 NAT 구성 중 가장 높은 특이성으로 이를 달성하고 전용 서비스에 대한 양방향 통신을 보장하는 것은 무엇입니까?

A.

B.

C.

D. 여기에는 두 가지 별도의 보안 정책이 필요합니다. 하나는 1.1.1.1용이고 다른 하나는 특정 NAT 구성 없이 일반 인터넷 액세스용입니다.

E. 특정 서비스에 대한 U-Turn NAT가 포함된 단일 NAT 규칙입니다.

정답: A

이 시나리오에서는 목적지에 따라 조건부 소스 NAT가 필요합니다. 핵심은 특정 목적지(1.1.1.1:80)에 대한 규칙을 보다 일반적인 아웃바운드 NAT 규칙보다 먼저 평가해야 한다는 것입니다. 전용 공용 IP에는 일반적으로 고정 IP 소스 NAT가 선호되는데, 이는 해당 리턴 목적지 NAT를 암묵적으로 생성하여 별도의 DNAT 규칙 없이도 해당 서비스에 대한 양방향 통신을 보장하기 때문입니다. 동적 IP 및 포트도 작동하지만, 소스 포트도 변환해야 하는데, 전용 IP를 사용하는 경우 이는 반드시 필요하지 않으며 고정 IP에 비해 문제 해결을 복잡하게 만들 수 있습니다.
옵션을 분석해 보겠습니다.
- 옵션 A: 보다 구체적인 '고정 IP' 소스 NAT 규칙(10.0.1.5 ~ 1.1.1.1:80)을 일반적인 '동적 IP 및 포트' 규칙보다 위에 올바르게 배치합니다. 10.0.1.5가 1.1.1.1:80에 연결되면 규칙 1이 일치하여 소스를 203.0.113.20으로 변환합니다. 10.0.1.5에서 발생하는 다른 모든 트래픽은 규칙 2로 전달되어 인터페이스 IP(203.0.113.1)를 사용합니다. 고정 IP 소스 NAT가 반환 트래픽을 자동으로 처리합니다.
- 옵션 B: 순서가 잘못되었습니다. 일반 규칙(규칙 1)은 10.0.1.5에서 들어오는 모든 트래픽을 먼저 처리하므로, 1.1.1.1:80으로 들어오는 트래픽도 203.0.113.1로 변환되어 요구 사항을 충족하지 못합니다.
- 옵션 C: 순서는 맞지만, 전용 IP가 목표인 경우 특정 203.0.113.20에 대해 '동적 IP 및 포트'를 사용하는 것은 이상적이지 않습니다. '고정 IP'는 더 깔끔한 1:1 매핑과 자동 역방향 NAT를 제공하며, 이는 일반적으로 이러한 유형의 전용 서비스 변환에 더 적합합니다.
- 옵션 D: 틀림. IP 변환을 위해서는 NAT가 필요합니다.
- 옵션 E: U-Turn NAT는 전용 서비스 아웃바운드 액세스가 아닌, 공용 IP를 통해 서버에 액세스하는 내부 클라이언트를 위한 것입니다.

NetSec-Analyst 문제 49

Palo Alto Networks 방화벽은 특정 명령 및 제어(C2) 비콘을 탐지하도록 설계된 사용자 지정 시그니처를 포함하는 안티스파이웨어 프로필로 구성되어 있습니다. 이 시그니처는 '컨텍스트'를 '서버'로, '방향'을 'C2'로 정의합니다. 보안 사고 조사 중 내부적으로 손상된 호스트에서 알려진 C2 서버로 아웃바운드 연결을 시작하는 트래픽을 관찰했지만, 사용자 지정 시그니처가 트리거되지 않습니다. C2 비콘 자체가 시그니처 패턴과 일치한다고 가정할 때, 다음 중 시그니처가 트리거되지 않는 잠재적 이유는 무엇입니까?

A. 트래픽이 암호화되어 있고, 이 트래픽에 대한 SSL 복호화가 활성화되어 있지 않거나 실패했습니다.

B. 안티스파이웨어 프로필은 아웃바운드 트래픽을 허용하는 보안 정책에 적용되지 않습니다.

C. 사용자 정의 서명의 '컨텍스트'는 '서버'이지만, 손상된 호스트는 C2 연결에서 '클라이언트' 역할을 합니다.

D. 사용자 지정 서명의 '방향'은 'C2'이지만 C2 트래픽은 C2 서버에서 손상된 호스트로 흐르고 있습니다.

E. C2 서버가 비표준 포트를 사용하고 있으며, 방화벽의 애플리케이션 식별(App-ID)이 애플리케이션을 잘못 식별하고 있습니다.

정답: A,B,C

이것은 다중 응답 질문입니다. 각 옵션을 분석해 보겠습니다. A. 트래픽이 암호화되어 있고 SSL 복호화가 활성화되어 있지 않거나 이 트래픽에 대해 실패하고 있습니다. C2 비콘이 암호화된 트래픽 내에 있고 SSL 복호화가 설정되어 있지 않으면 방화벽이 페이로드를 검사할 수 없으므로 시그니처가 트리거되지 않습니다. 이는 시그니처가 실패하는 매우 일반적인 이유입니다. B. 아웃바운드 트래픽을 허용하는 보안 정책에 안티스파이웨어 프로필이 적용되지 않았습니다. 안티스파이웨어를 포함한 보안 프로필을 적용하려면 보안 정책에 명시적으로 연결해야 합니다. 해당 프로필이 없으면 시그니처가 평가되지 않습니다. C. 사용자 지정 시그니처의 '컨텍스트'는 '서버'이지만, 손상된 호스트가 C2 연결에서 '클라이언트' 역할을 합니다. 사용자 지정 시그니처는 컨텍스트에 따라 달라질 수 있습니다(클라이언트, 서버 또는 둘 다). 시그니처가 '서버' 컨텍스트로 정의된 경우, 대화의 서버 측 패턴만 검사합니다. 손상된 호스트가 C2 연결을 시작하고(클라이언트 역할) 비콘을 전송하는 경우, '서버' 컨텍스트 시그니처는 이를 감지하지 못합니다. 이는 흔한 구성 오류입니다. D. 사용자 지정 시그니처의 '방향'은 'C2'이지만, C2 트래픽은 C2 서버에서 손상된 호스트로 흐릅니다. 'C2'의 '방향'은 명령 및 제어(C&C)를 의미하며, 일반적으로 손상된 호스트(클라이언트)에서 C2 서버로 시작된 트래픽을 나타냅니다. 시그니처가 아웃바운드 C2용이고 관찰된 트래픽이 인바운드인 경우, 정확한 시그니처 로직에 따라 일치하지 않을 수 있지만, 더 중요한 것은 'C2' 방향이 아웃바운드를 의미한다는 것입니다. 이 경우 '클라이언트'와 '서버' 컨텍스트의 차이가 일반적으로 더 큰 영향을 미칩니다. E. C2 서버가 비표준 포트를 사용하고 방화벽의 애플리케이션 식별(App-ID)이 애플리케이션을 잘못 식별합니다. App-ID는 정책 시행에 영향을 미칠 수 있지만, 사용자 지정 시그니처는 더 심층적으로 작동하며 관련 보안 프로필이 적용된 경우 App-ID와 관계없이 트래픽을 검사할 수 있습니다. 서명은 탐지 로직을 위해 App-ID에만 의존하지 않고 패턴을 일치시키도록 설계되었습니다. 잘못된 App-ID는 정책 적용에 영향을 미칠 수 있지만, 보안 프로필이 '모든' 애플리케이션이나 올바르게 식별된 애플리케이션에 적용되는 경우 서명이 바이트 패턴 자체와 일치하는지 확인하는 기능에는 영향을 미치지 않을 수 있습니다.

NetSec-Analyst 문제 50

한 회사에서 App-ID: salesforce-base를 사용하는 클라우드 기반 CRM 애플리케이션(예: Salesforce)에 성능 문제가 발생하고 있습니다. 원격 지사의 사용자들은 인터넷 연결이 정상으로 보임에도 불구하고 느린 응답 시간을 보고합니다. 조사 결과, 간헐적인 패킷 손실 급증과 지연 시간 지터가 애플리케이션 성능에 영향을 미치는 것으로 나타났습니다. 네트워크 팀은 성능 저하가 간헐적이고 일시적일지라도 Salesforce 트래픽을 성능 저하가 발생하는 경로에서 사전에 차단하는 SD-WAN 정책을 구현하려고 합니다. 다음 중 가장 적절한 구성은 무엇입니까?

A. 지연 시간 및 패킷 손실에 대한 엄격한 임계값을 적용하여 Salesforce에 대한 SLA 프로필을 생성합니다. Salesforce 트래픽에 대한 PBF 규칙을 구성하고, PBF 내에서 기본 경로와 보조 경로를 지정합니다. 기본 경로가 SL을 위반하면 PBF가 자동으로 장애 조치를 수행합니다.

B. Salesforce용 SD-WAN 정책을 정의합니다. 지연 시간, 지터, 패킷 손실을 모니터링하는 SLA 프로필과 함께 '동적 경로 선택'을 사용합니다. '경로 선택 유형'을 '최적 경로'로 설정하고 여러 개의 기본 경로를 구성합니다. 시스템은 경로를 지속적으로 평가하여 현재 SLA를 충족하는 경로를 선택합니다.

C. WAN 인터페이스에 QOS 정책을 구현하여 Salesforce 트래픽의 우선순위를 지정합니다. Salesforce에 대해 SD-WAN 인텔리전스를 우회하여 항상 가장 직접적인 인터넷 링크를 사용하도록 별도의 보안 정책을 구성합니다.

D. 모든 인터넷 연결 인터페이스에 상태 점검을 구성하세요. 인터페이스의 성능이 저하되는 경우 네트워크 구성에서 해당 인터페이스를 수동으로 비활성화하여 트래픽을 다른 링크로 강제 전송하세요.

E. 기본 인터넷 링크로 연결되는 Salesforce 트래픽에 표준 정적 경로를 사용합니다. 링크에 BFD(양방향 전달 감지)를 구현하여 장애를 신속하게 감지하고 미리 구성된 백업 정적 경로로 전환합니다.