A. 'active-backup' 구성은 SD-WAN 링크 대신 인터페이스(ethernet1/1.100, ethernet1/1.200)를 직접 지정하는데, 이러한 인터페이스가 여러 SD-WAN 링크의 일부인 경우 잘못된 경로 선택이 발생할 수 있습니다.

B. 'High_Availability_SLA' 성능 프로필은 지연 시간, 지터 및 패킷 손실에 대한 '좋음' 및 '나쁨' 임계값을 명시적으로 정의해야 합니다. '활성' 경로가

C. 이 구성에서는 '경로 모니터링' 프로필이 'ethernet1/1.100'과 'ethernet1/1.200' 모두에 대해 올바르게 구성되어 'High_Availability_SLA' 프로필에 대해 실시간 품질 측정 항목을 지속적으로 평가한다고 가정합니다.

D. 지정된 'qos-profile'('High_Priority_QoS')은 방화벽의 송신 인터페이스에도 대역폭 관리 정책이 구성된 경우에만 적용되며, 그렇지 않은 경우 주로 트래픽을 표시하지만 대역폭을 보장하지는 않습니다.

E. '성능 기반'을 사용하는 '활성 백업'을 선택하면 트래픽이 성능이 SLA를 초과할 때까지 'ethernet1/1.100'만 사용합니다. '장애 복구' 메커니즘이 구성되어 있지 않는 한(여기서는 명시적으로 설명하지 않음), 복구되더라도 동적으로 'ethernet1/1.100'으로 다시 전환되지 않습니다.

A. SSL 인바운드 검사 프로필에서 '지원되지 않는 암호에 대한 세션 차단'을 비활성화합니다.

B. SSL 인바운드 검사 프로필의 'SSL 프로토콜 설정'에서 '전달 클라이언트 인증서'를 활성화하고 방화벽 인증서가 AppX에서 신뢰되는지 확인하세요.

C. 'AppX'로 향하는 트래픽에 대한 SSL 인바운드 검사를 비활성화합니다.

D. 클라이언트 인증서를 방화벽의 신뢰할 수 있는 인증서 저장소로 가져옵니다.

E. SSL 인바운드 검사 프로필의 'SSL 프로토콜 설정'에서 '지원되지 않는 SSL 버전'을 '허용'으로 변경합니다.

A. '로그 전달 프로필 > Syslog 서버 > 사용자 정의 로그 형식'에서 사용하세요.

B. 로그 전달 프로필에서는 WildFire와 같은 기존 로그 유형에 사용자 정의 필드를 추가할 수 없습니다. 이 기능은 사용자 ID 매핑 또는 사용자 정의 애플리케이션에서만 사용할 수 있습니다.

C. '로그 전달 프로필 > 시스템 로그 서버 > CEF 형식'에서 'WildFire' 로그 유형을 활성화한 다음 '사용자 정의 필드'에서 '파일 해시' 및 '파일 유형'에 대한 새 사용자 정의 항목을 추가합니다.

D. 로그 전달 프로필에서 'WildFire' 로그 유형을 선택하세요. '시스템 로그 필드'에서 사용자 지정 필드를 추가할 수 있습니다. '필드 이름'에 '파일 해시'를 입력하고 '값'에 파일 해시로 미리 정의된 변수를 사용하세요. '파일 유형'에도 같은 과정을 반복하세요.

E. 로그 전달 프로필에서 '사용자 지정 로그 형식'을 사용하도록 syslog 대상을 구성합니다. 그런 다음 형식 문자열에서 미리 정의된 변수를 사용하여 원하는 필드를 직접 지정합니다. WildFire 로그의 경우 다음과 같은 변수가 포함됩니다.

A. 각 클라이언트에 대해 별도의 장치 그룹과 템플릿 스택을 만들고, 각 스택 내에서 클라이언트의 특정 IP 범위에 따라 모든 애플리케이션에 대한 고유한 주소 개체와 보안 정책을 정의합니다.

B. 공유 보안 정책 규칙 내에서 Panorama의 '변수'를 활용합니다. 애플리케이션의 소스 IP 범위는 장치 그룹별로 동적으로 채워지는 '런타임 변수'로 정의되거나, 기본값을 재정의하는 '장치 그룹 변수'를 사용합니다. 애플리케이션 FQDN에는 외부 스크립트를 통해 업데이트되는 동적 주소 그룹(DAG)이 사용됩니다.

C. 각 방화벽에 '정책 기반 전달' 규칙을 구성하여 특정 애플리케이션의 트래픽을 소스 IP를 기반으로 다른 송신 인터페이스로 전달하고 이 특정 요구 사항에 대한 보안 정책을 우회합니다.

D. 모든 방화벽에 적용되는 단일 보안 정책 규칙을 사용합니다. 소스 IP 범위는 규칙에 하드코딩되어 있으며, 관리자는 외부 자산 관리 시스템이 변경될 때마다 수동으로 업데이트합니다.

E. 보안 정책에 '애플리케이션 필터'를 적용하여 애플리케이션을 일치시킵니다. 소스 IP 적용은 방화벽 상류의 네트워크 ACL을 통해 처리됩니다.

A. User-ID 에이전트의 서비스 계정에 워크스테이션에서 WMI를 쿼리하는 데 필요한 권한이 없습니다. 도메인 컨트롤러에서 서비스 계정의 권한을 확인하십시오.

B. Windows 방화벽이나 중간 네트워크 장치에 의해 User-ID 에이전트와 영향을 받는 워크스테이션 간의 포트 445(SMB) 또는 포트 135(RPC Endpoint Mapper)가 차단되었습니다. User-ID 에이전트 서버에서 telnet <workstation-ip> 445 및 telnet <workstation-ip> 135를 사용하여 연결을 테스트하십시오.

C. User-ID 에이전트가 '이벤트 로그' 모니터링 대신 '서버 모니터링'을 사용하도록 구성되어 있으며, 도메인 컨트롤러의 보안 로그가 제대로 구문 분석되지 않습니다. User-ID 에이전트 구성을 변경하세요.

D. Palo Alto Networks 방화벽 자체가 User-ID 에이전트 또는 도메인 컨트롤러와 통신할 수 없습니다. 방화벽에서 User-ID 에이전트 IP 및 관련 포트(예: User-ID 에이전트의 경우 TCP 5007)의 DC IP로의 연결을 확인하십시오.

E. DNS 확인 문제로 인해 User-ID 에이전트가 워크스테이션 호스트 이름을 IP 주소로 확인할 수 없습니다. User-ID 에이전트 서버의 DNS 구성을 확인하고 문제가 있는 워크스테이션에 대해 nslookup을 실행해 보세요.