무료 온라인 액세스 PaloAltoNetworks.NetSec-Analyst.v2025-12-29.q90 모의 시험 (Page 13)

NetSec-Analyst 문제 56

한 조직에서 데이터 센터 애플리케이션을 하이브리드 클라우드 모델로 마이그레이션하고 있습니다. 이 모델에서는 일부 애플리케이션은 온프레미스에 유지되고 다른 애플리케이션은 AWS로 이전합니다. SD-WAN은 온프레미스 데이터 센터(DC-FW)와 새로운 지사(BR-FW)에 구축되어 있습니다. 이 요구 사항은 지사의 사용자가 SD-WAN 터널을 통해 온프레미스 애플리케이션(App-OnPrem)에 액세스하고 직접 MPLS 링크를 우선적으로 사용해야 한다는 것입니다. MPLS 성능이 저하되면 트래픽은 인터넷을 통해 IPsec VPN 터널로 장애 조치되어야 합니다. AWS 호스팅 애플리케이션(App-AWS)의 경우, 사용자는 항상 SD-WAN을 통해 인터넷 링크를 사용하고 MPLS를 완전히 우회해야 합니다. 모든 SD-WAN 터널은 지사에서 시작됩니다. 이 특정 시나리오에 필요한 복잡한 구성은 무엇입니까?

A. BR-FW에서 두 개의 SD-WAN 정책 규칙으로 SD-WAN 프로필을 정의합니다. 하나는 MPLS 터널을 우선시하는 '성능 기반' 경로 선택 프로필이 있는 App-OnPrem용이고, 다른 하나는 MPLS 터널을 명시적으로 제외하는 '성능 기반' 경로 선택 프로필이 있는 App-AWS용 규칙입니다.

B. BR-FW에 MPLS 터널용과 IPsec 터널용으로 두 개의 '경로 모니터링' 프로필을 생성합니다. App-OnPrem에 대해 SLA가 적용되는 MPLS 경로 모니터를 참조하는 '경로 품질' 프로필을 구성합니다. App-AWS의 경우, 다른 SD-WAN 규칙을 사용하여 인터넷 기반 터널을 통해 트래픽을 명시적으로 라우팅해야 합니다.

C. BR-FW에서 SD-WAN 프로필을 구성합니다. App-OnPrem의 경우, '링크 품질' 경로 선택을 사용하여 정책 규칙을 생성하고, MPLS 터널을 기본 설정으로 지정하고 관련 임계값을 설정합니다. App-AWS의 경우, 인터넷 연결 인터페이스에서만 '세션 분산'을 사용하는 '부하 분산' 정책 규칙을 별도로 생성합니다.

D. BR-FW에서 SD-WAN 프로필을 정의합니다. App-OnPrem의 경우 '성능 기반' 규칙과 '경로 품질' 프로필을 사용합니다. App-AWS의 경우 '최상 품질' 규칙을 사용하여 MPLS 링크의 경로 모니터링을 매우 높은 지연 시간/지터로 구성하여 App-AWS 트래픽에 대한 우선순위를 효과적으로 낮춥니다.

E. BR-FW에서 App-OnPrem에 대한 SD-WAN 정책 규칙을 생성합니다. 이 규칙은 '성능 기반' 경로 선택과 '경로 품질' 프로필, 그리고 MPLS 터널로 설정된 명시적 선호 경로를 사용합니다. App-AWS에 대해서는 '성능 기반' 경로 선택이 포함된 별도의 SD-WAN 정책 규칙을 생성하고, 이 규칙의 '적용 가능한 경로'에 MPLS 터널이 포함되지 않도록 합니다.

NetSec-Analyst 문제 57

한 기업이 쿠버네티스를 사용하여 Palo Alto Networks 방화벽 뒤에 위치한 전용 로드 밸런서를 통해 노출되는 새로운 컨테이너형 애플리케이션 인프라를 구축하고 있습니다. 보안팀은 매우 높은 양의 정상 트래픽이 급증할 것으로 예상하지만, 프로토콜의 다중화 기능과 헤더 압축을 악용하는 정교한 HTTP/2 기반 DoS 공격도 예상합니다. 방화벽은 정상적이고 높은 동시성 연결에 영향을 미치지 않으면서 이러한 공격을 탐지하고 완화해야 합니다. 표준 HTTP/I.1 플러드 보호로는 충분하지 않을 수 있다는 점을 고려할 때, HTTP/2 검사가 활성화되어 있다고 가정할 때 Palo Alto Networks 방화벽이 이 환경을 보호하기 위해 어떤 고급 DoS 프로필 구성을 우선적으로 적용해야 할까요?

A. '요청당 속도' 및 '소스당 IP 속도' 임계값을 사용하여 'HTTP 플러드' 보호를 활성화하고, 동작으로 'Syn-Cookie'를 구성하십시오. 또한, 느린 HTTP/2 공격에 대응하기 위해 '느린 HTTP 보호'에서 '클라이언트 읽기 시간 초과'를 낮게 설정하십시오.

B. 일반적인 볼륨 공격을 처리하기 위해 TCP 및 UDP 플러드에 대한 '패킷 기반 공격 보호'와 함께 매우 높은 '최대 동시 세션' 및 '세션 속도' 임계값을 사용하여 '세션 기반 공격 보호'에 중점을 둡니다.

C. DoS 보호 프로필 내에서 'HTTP 플러드' 보호를 활용하고, 관련 보안 정책에서 'HTTP/2'가 활성화되어 있는지 확인하십시오. '요청당 전송률' 및 '소스당 IP 전송률'을 적극적으로 설정하고, 특히 'URL당 전송률' 및 'URL 쿼리 문자열 길이' 임계값을 조정하여 형식이 잘못되었거나 지나치게 긴 HTTP/2 요청/스트림을 탐지하십시오.

D. 인그레스 존에 '존 보호'를 구현하고, 'HTTP 플러드'에 대해 '플러드 보호'를 활성화하고 '동작: 재설정'을 설정합니다. 높은 연결 속도를 초과하는 소스에 대해서는 'IP 주소 차단'을 추가로 적용합니다.

E. 로드 밸런서 IP에 대한 '대상' 규칙으로 'DoS 보호 정책'을 구성합니다. 이 규칙 내에서 'HTTP 플러드' 보호를 활성화합니다. 특히, 'HTTP 헤더 길이' 및 'HTTP 헤더 수' 임계값을 활용하여 HTTP/2 'HPACK 폭탄' 또는 과도한 헤더 공격을 탐지하는 것이 중요합니다. 또한 '느린 HTTP 보호'에 대해 '클라이언트 읽기 시간 초과'를 설정하고 관련 임계값에 대해 '동작: 보호'를 선택합니다.

NetSec-Analyst 문제 58

한 금융 기관이 지점을 중앙 데이터 센터에 연결하기 위해 SD-WAN을 구축하고 있습니다. 이 기관은 고객 금융 데이터(특정 TCP 포트와 FQDN으로 식별됨)와 관련된 모든 거래가 전용 MPLS 회선을 통해 IPSec VPN 터널을 통과해야 한다는 엄격한 규정 준수 요건을 가지고 있습니다. 이는 다른 링크가 사용 가능하고 성능이 더 좋은 경우에도 마찬가지입니다. 중요하지 않은 트래픽은 성능에 따라 사용 가능한 모든 인터넷 링크를 사용할 수 있습니다. Palo Alto Networks SD-WAN을 사용하여 이를 어떻게 구성하시겠습니까?

A. 금융 거래 트래픽에 대한 PBF 규칙을 생성하고, MPLS 기반 IPSec VPN 터널을 명시적 넥스트홉 인터페이스로 지정합니다. 중요하지 않은 트래픽의 경우, 사용 가능한 모든 인터넷 링크를 고려하는 '최적 경로' 프로필을 사용하여 SD-WAN 정책을 구성합니다.

B. 금융 거래용 사용자 지정 애플리케이션을 정의합니다. MPLS 회선만 포함하는 '엄격한' SLA 프로필을 가진 SD-WAN 정책을 생성합니다. 이 정책을 사용자 지정 애플리케이션에 적용합니다. 중요하지 않은 트래픽에는 기본 SD-WAN 정책을 사용합니다.

C. 모든 인터넷 링크에 SD-WAN 통합 인터페이스 그룹을 사용합니다. 금융 거래 트래픽에 대해 SD-WAN 정책 엔진을 우회하여 MPLS 인터페이스를 명시적으로 사용하도록 PBF 규칙을 생성합니다. 중요하지 않은 트래픽에 대해 SD-WAN 통합 인터페이스를 사용하도록 보안 정책을 구성합니다.

D. 별도의 가상 라우터를 구성합니다. 금융 거래 트래픽은 MPLS 전용 VR을 통해 라우팅합니다. 중요하지 않은 트래픽은 인터넷 링크를 통한 SD-WAN 동적 경로 선택용으로 구성된 VR을 통해 라우팅합니다. VR 간 라우팅을 통해 이러한 분리 작업을 처리합니다.

E. 두 가지 SD-WAN 정책 세트를 구현합니다. 하나는 금융 거래에 높은 우선순위를 부여하고, MPLS VPN을 유일한 출구 경로로 명시적으로 정의하며, 모든 SLA 프로필을 재정의합니다. 두 번째 정책 세트는 중요하지 않은 트래픽에 대해 성능 기반 경로 선택을 사용합니다.

NetSec-Analyst 문제 59

네트워크 보안 분석가가 고급 위협 방지 서비스를 실행하는 Palo Alto Networks 방화벽에서 불규칙적인 패킷 전달 동작을 조사하고 있습니다. 일부 정상적인 트래픽 흐름은 심각한 지연 시간을 경험하거나 삭제되는 반면, 다른 흐름은 정상적으로 처리됩니다. 방화벽의 데이터 플레인 CPU 사용률은 지속적으로 낮고, 트래픽 로그에는 명시적인 거부가 표시되지 않지만, 세션 종료 사유는 'aging-out' 또는 'session-limit'으로 나타납니다. 영향을 받은 흐름에 대한 'debug dataplane packet-diag' 출력은 패킷이 'flow_lookup' 단계에 도달했지만 전달되지 않고 멈추거나 무한정 재평가되는 것처럼 보입니다. 다음 중 이러한 동작을 유발할 수 있는 가장 모호하고 진단하기 어려운 잘못된 구성 또는 상태는 무엇입니까?

A. 잘못 구성된 사용자 지정 애플리케이션 서명(앱 ID)으로 인해 지속적인 재평가 루프가 발생하여 세션이 설정되거나 올바르게 식별되지 않습니다.

B. 활성 세션 수가 너무 많아 흐름당 또는 보안 영역당 방화벽의 세션 제한에 도달하여 새로운 합법적 세션이 삭제됩니다.

C. 방화벽의 Content-ID 엔진이 악성 또는 잘못된 페이로드로 인해 패턴 일치 루프에 갇혀 특정 흐름에 과도한 리소스를 소모하고 있습니다.

D. 패킷 재조립 문제로 인해 순서가 잘못되었거나 누락된 조각으로 인해 방화벽이 애플리케이션이나 위협을 올바르게 식별하지 못하고 세션 노후화/시간 초과가 발생합니다.

E. '정책 기반 포마딩' 규칙의 미묘한 오류로 인해 암묵적인 '모든' 일치 조건이 실수로 트래픽을 일치시키고 올바르지 않거나 존재하지 않는 다음 홉으로 전달하여 블랙홀링이나 라우팅 루프가 발생합니다.

NetSec-Analyst 문제 60

한 조직에서 중요 서비스에 비표준 포트를 사용하고 성공 여부와 관계없이 모든 접근 시도에 대한 엄격한 규정 준수 로깅을 요구하는 새로운 애플리케이션을 배포하고 있습니다. 보안팀은 이러한 특정 세션이 항상 기록되고 Strata Logging Service에서 높은 충실도로 액세스 가능하도록 보장해야 합니다. 이 요구 사항을 충족하는 데 Palo Alto Networks 방화벽과 Strata Logging Service의 어떤 구성 요소가 필수적이며, 이러한 특정 서비스의 로그 볼륨을 성능에 영향을 미치지 않고 효율적으로 관리할 수 있는 방법은 무엇일까요?

A. 방화벽에서: 애플리케이션 트래픽을 허용하는 보안 정책 규칙을 생성하고 '동작'을 '허용'으로 설정하며 '세션 종료 시 로그 기록'을 활성화합니다. Strata Logging Service에서: 애플리케이션이 별도의 데이터 버킷에 로그를 푸시하도록 전용 로그 프로필을 구성합니다.

B. 방화벽에서: 애플리케이션 트래픽에 대한 보안 정책 규칙을 생성하고 '동작'을 '허용'으로 설정한 후 '세션 시작 시 로깅'과 '세션 종료 시 로깅'이 활성화되어 있는지 확인하십시오. 규정 준수를 위해 '허용' 규칙 앞에 '거부' 규칙을 생성하고, 동일한 트래픽에 대해 '세션 시작 시 로깅'을 활성화하여 실패한 시도를 포착하십시오. 이러한 규칙에 '사용자 지정 로그 전달 프로필'을 추가하여 관련 로그 유형(예: 트래픽, 위협, URL)을 Strata Logging Service로 전송하도록 구성하십시오. Strata Logging Service는 볼륨을 자동으로 처리합니다.

C. 방화벽: 모든 트래픽을 Strata Logging Service로 직접 로그를 전달하는 전용 센서로 미러링하도록 구성합니다. Strata Logging Service: 미러링된 로그에 대한 사용자 지정 대시보드를 정의합니다.

D. 방화벽: 특정 포트에 대한 패킷 캡처를 활성화하고 분석을 위해 PCAP 파일을 Strata Logging Service로 내보냅니다. Strata Logging Service: PCAP 뷰어를 사용하여 세션을 분석합니다.

E. 방화벽에서: '세션 종료 시 로그'가 있는 'Intra-Zone' 정책을 사용하고 Strata Logging Service가 아닌 로컬 Syslog 서버로 로그를 보내도록 Syslog 프로필을 구성하여 로그 볼륨을 더 효과적으로 제어합니다.