무료 온라인 액세스 PaloAltoNetworks.NetSec-Analyst.v2025-12-29.q90 모의 시험 (Page 17)

NetSec-Analyst 문제 76

한 기업이 SD-WAN 구축과 관련하여 고유한 과제에 직면하고 있습니다. 세션 재설정을 방지하기 위해 전체 세션 기간 동안 모든 트래픽(초기 연결 및 후속 데이터)을 단일의 일관된 WAN 경로에 고정해야 하는 맞춤형, 지연 시간 중요, 상태 저장 애플리케이션(앱 ID: proprietary-app)이 있습니다. 이 애플리케이션은 지연 시간이 30ms 미만이고 패킷 손실률이 0.01% 미만인 경우 특정 MPLS 링크(링크 A)를 선호해야 합니다. 링크 A의 성능이 저하되면 터널 B의 지연 시간이 50ms 미만이고 패킷 손실률이 0.1% 미만이면 애플리케이션은 전용 인터넷 VPN 터널(터널 B)로 장애 조치해야 합니다. 두 링크 모두 해당 SLA를 충족하지 못하면 트래픽을 삭제해야 합니다. 또한, 터널 B에서 세션이 설정된 경우 세션 일관성을 유지하기 위해 링크 A가 복구되더라도 링크 A로 다시 플랩되어서는 안 됩니다. 이 요구 사항을 구현하는 데 중요한 구성 요소는 무엇입니까?

A. 1. 지연 시간(30ms)과 패킷 손실(0.01 임계값)을 사용하여 'proprietary-app'에 대한 SLA 프로필을 만듭니다. 이 SLA를 링크 2에 적용합니다. 기본 다음 홉 링크 A와 보조 다음 홉 터널 B를 사용하여 'proprietary-app'에 대한 PBF 규칙을 구성합니다. PBF 규칙에서 '세션 고정'을 활성화합니다. 3. 터널 B(지연 시간 50ms, 패킷 손실 0.1%)에 대한 별도의 SLA 프로필을 구성하고 PBF 보조 경로에 연결합니다.

B. 1. 'MPLS_SLA'(위도 30ms, 손실률 0.01%)와 'Internet_SLX'(위도 50ms, 손실률 0.1%)의 두 가지 SLA 프로필을 정의합니다. 2. 'proprietary-app'에 대한 SD-WAN 정책을 생성합니다. '동적 경로 선택'을 '최적 경로'로 설정하고 다음 순서로 구성합니다. LinkA('MPLS SLA' 사용), Tunnel B('Internet_SLA' 사용). 3. 중요한 것은, 이 애플리케이션의 SD-WAN 정책 설정에서 '세션 고정'을 활성화하여 장애 발생을 방지하는 것입니다.

C. 1. 링크 A를 특정 영역의 기본 송신 인터페이스로 구성합니다. 터널 B를 동일한 영역의 백업 인터페이스로 구성합니다. 2. 이 영역을 사용하는 'proprietary-app'에 대한 SD-WAN 정책을 구현합니다. 3. 링크 A와 터널 B 모두에서 BFD를 사용하여 링크 장애를 감지합니다. 4. 세션을 초기 경로에 유지하도록 'proprietary-app'에 대한 방화벽에서 세션 지속성을 수동으로 구성합니다.

D. 1. 30ms 지연/0.01% 패킷 손실 SLA를 적용하여 링크 A에 대한 기본 SD-WAN 경로 그룹을 만듭니다. 2. 50ms 지연/0.1% 패킷 손실 SLA를 적용하여 터널 B에 대한 보조 SD-WAN 경로 그룹을 만듭니다. 3. 이러한 경로 그룹을 순서대로 사용하는 'proprietary-app'에 대한 SD-WAN 정책을 적용합니다. 4. 보조 경로 그룹에 대해 '장애 조치 전용' 모드를 활성화하여 트래픽이 터널 B로 이동하면 터널 B 자체가 SLA에 실패할 때까지 그곳에 머물도록 합니다.

E. 1. 'proprietary-app'에 PBF 규칙을 사용하여 LinkA를 기본 인터페이스로 강제 설정합니다. 2. Link A의 상태 모니터링을 구성합니다. LinkA에 장애가 발생하면 해당 인터페이스를 자동으로 비활성화합니다. 3. 라우팅을 통해 터널 B를 차선책으로 선택합니다. 4. 플랩핑을 방지하기 위해 장기간 안정된 후에만 Link A를 수동으로 다시 활성화하는 사용자 지정 스크립트를 구현합니다.

NetSec-Analyst 문제 77

안전한 의료 네트워크는 Palo Alto Networks NGFW를 활용하여 주입 펌프 및 환자 모니터와 같은 중요한 의료 IoT(IoMT) 기기를 보호합니다. 이러한 기기는 TCP 기반의 독점 프로토콜을 사용하여 통신합니다. 보안팀은 이러한 기기 중 일부가 외부 IP 주소로 문서화되지 않은 SSH 연결을 시도하고 있음을 확인했으며, 이는 보안 침해로 인한 것으로 추정됩니다. 문제는 NGFW의 '애플리케이션 ID'가 독점 IoMT 애플리케이션을 정확하게 식별하지만, 동일한 기기에서 발생하는 악성 SSH 연결도 함께 식별한다는 것입니다. IoT 보안 프로필을 활용하는 보안 정책을 어떻게 구성하여, 정상적인 IoMT 독점 애플리케이션은 허용하고 손상된 기기의 특정 SSH 연결은 차단하면서 필수적인 의료 운영은 방해하지 않도록 할 수 있을까요?

A. '소스: Compromised-IoMT-Device-Group', '대상: Any', '애플리케이션: ssh', '동작: Deny'를 사용하여 '보안 정책' 규칙을 만듭니다. 이 규칙을 IoMT 장치에 대한 일반 '허용' 규칙 위에 추가합니다.

B. '애플리케이션 기능 필터링'을 사용하여 'IoT 보안 프로필'을 구성하여 독점적인 IoMT 애플리케이션의 모든 기능을 비활성화하고 모든 통신을 효과적으로 차단합니다.

C. 손상된 장치에서 관찰된 특정 SSH 트래픽 패턴에 대한 사용자 정의 서명을 사용하여 IoMT 보안 정책에 '안티 스파이웨어' 프로필을 적용합니다.

D. 독점적인 IoMT 애플리케이션의 포트에 대해 '애플리케이션 재정의'를 구현하여 해당 포트의 모든 트래픽이 합법적인 IoMT 애플리케이션으로 식별되도록 하여 SSH가 식별되는 것을 방지합니다.

E. '애플리케이션 필터'를 사용하여 독점 IoMT 애플리케이션만 포함하는 'Permitted-IoMT-Apps' 그룹을 생성합니다. IoMT 장치 그룹에서 이 'Permitted-IoMT-Apps' 그룹만 허용하는 '보안 정책' 규칙을 생성하여 SSH와 같은 다른 애플리케이션을 효과적으로 차단합니다.

NetSec-Analyst 문제 78

한 회사가 새로운 Palo Alto Networks 방화벽을 구축하면서 암호화된 트래픽에 대한 포괄적인 가시성을 확보해야 합니다. SSL 포워드 프록시 복호화를 구현할 계획입니다. 테스트 과정에서 사용자들이 일부 금융 기관 및 의료 포털을 포함한 다양한 웹사이트 접속 문제를 보고했습니다. 조사 결과, 방화벽 로그에 '신뢰할 수 없는 인증서' 오류가 표시됩니다. 다음 중 가장 가능성 있는 원인과 즉각적인 시정 조치는 무엇입니까?

A. 가로채는 트래픽에 서명하는 데 사용된 방화벽의 루트 CA 인증서가 클라이언트 신뢰 저장소에 배포되지 않았습니다.

B. 이러한 특정 URL 범주에 대한 복호화 정책 규칙은 '복호화 없음'으로 설정됩니다.

C. 복호화 프로필의 SSL 프로토콜 설정에서 '알 수 없는 상태의 세션 차단' 설정이 활성화되어 있습니다.

D. 'SSL 인바운드 검사' 프로필이 잘못 구성되었습니다.

E. 방화벽의 시계가 NTP와 동기화되지 않아 인증서 유효성 문제가 발생했습니다.

NetSec-Analyst 문제 79

보안 관리자가 HR 부서가 아닌 사용자는 웹 기반 이메일 애플리케이션(예: Gmail, Outlook Web Access)에서 모든 파일 전송(업로드 및 다운로드)을 차단하고, HR 부서 사용자는 제한 없는 파일 전송 권한을 부여하는 정책을 구현하려고 합니다. 또한, 사용자나 애플리케이션에 관계없이 모든 웹 기반 이메일 트래픽에 대해 WildFire에서 탐지된 모든 악성 파일을 차단해야 합니다. 이를 달성하기 위한 가장 효과적인 구성 및 정책 규칙은 무엇입니까?

A. 규칙 1: 소스 사용자: HR_Group, 대상: 신뢰할 수 없음, 애플리케이션: web-email, 작업: 허용, 프로필: WildFire 분석(모두 차단). 규칙 2: 소스 사용자: HR_Group 아님, 대상: 신뢰할 수 없음, 애플리케이션: web-email, 작업: 허용, 프로필: 파일 차단(모든 파일 차단), WildFire 분석(모두 차단).

B. 규칙 1: 원본 사용자: HR_Group, 대상: 신뢰할 수 없음, 애플리케이션: gmail, outlook-web-access, 작업: 허용, 프로필: WildFire 분석(모두 차단). 규칙 2: 원본 사용자: any, 대상: 신뢰할 수 없음, 애플리케이션: gmail, outlook-web-access, 작업: 허용, 프로필: 파일 차단(모든 파일 차단), WildFire 분석(모두 차단).

C. 모든 파일 유형의 '업로드' 및 '다운로드'를 차단하려면 사용자 지정 파일 차단 프로필 'No_File_Transfer_Email'을 정의합니다. 모든 WildFire 판정을 차단하려면 WildFire 분석 프로필 'Block WildFire Malicious'를 정의합니다.

D. 모든 파일 유형의 '업로드' 및 '다운로드'를 차단하려면 사용자 지정 파일 차단 프로필 'No_File_Transfer_Email'을 정의합니다. 모든 WildFire 판정을 차단하려면 WildFire 분석 프로필 'Block WildFire Malicious'를 정의합니다.

E. 모든 사용자에게 '웹 이메일'을 허용하는 단일 정책 규칙을 만듭니다. 모든 파일을 차단하려면 파일 차단 프로필을 적용하고, 모든 파일을 차단하려면 WildFire 분석 프로필을 적용합니다. 그런 다음 HR 사용자가 웹 이메일에 대해 파일 차단을 우회할 수 있도록 별도의 애플리케이션 재정의를 만듭니다.

NetSec-Analyst 문제 80

보안 관리자는 암호화되지 않은 채널을 통해 내부 네트워크에서 민감한 HR 데이터(예: 직원 급여, 주민등록번호)가 유출되는 것을 방지하는 업무를 담당하고 있습니다. 보안 관리자는 이러한 데이터가 PDF 및 Microsoft Office 문서에 자주 나타난다는 것을 확인했습니다. 이러한 특정 데이터 유출 위험을 해결하고 오탐지율을 최소화하는 데 가장 효과적인 Palo Alto Networks 보안 프로필과 정책 구성의 조합은 무엇입니까?

A. 알 수 없는 파일 형식에 대해 아웃바운드 보안 정책에서 'WildFire 분석'을 활성화하고 사용자 지정 URL 필터링 프로필을 구성하여 클라우드 스토리지 사이트에 대한 액세스를 차단합니다.

B. PDF 및 Office 문서에 대한 '파일 차단' 규칙이 포함된 '데이터 필터링' 프로필을 만들고, 아웃바운드 트래픽을 허용하는 '보안 정책' 규칙에 적용합니다.

C. PII에 대한 '사전 정의된 데이터 패턴'과 특정 HR 문서 키워드에 대한 '사용자 정의 데이터 패턴'을 활용하여 '데이터 필터링' 프로필을 구성한 다음, 이 프로필을 '작업: 차단' 및 '세션 종료 시 로깅'이 포함된 '보안 정책' 규칙에 적용합니다.

D. 모든 아웃바운드 보안 정책에 엄격한 휴리스틱을 적용한 '안티바이러스' 프로필과 '안티스파이웨어' 프로필을 구현하고, 모든 아웃바운드 트래픽에 대해 'SSL 복호화'를 활성화합니다.

E. 아웃바운드 트래픽에 대해 '엄격함' 설정의 '취약성 보호' 프로필과 '안티-스파이웨어' 프로필을 활용하고, 서명 기반 탐지에 중점을 둡니다.