最近更新された2025年04月テストエンジン練習テストはPCNSE日本語試験問題解答! [Q309-Q327]

Share

最近更新された2025年04月テストエンジン練習テストはPCNSE日本語試験問題解答!

Palo Alto Networks Certified Network Security Engineer Exam (PCNSE日本語版)認定サンプル問題と練習試験合格させます

質問 # 309
どの保護機能がゾーン保護プロファイルでのみ使用できますか?

  • A. SYN Flood Protection using SYN Flood Cookies
  • B. ICMP Flood Protection
  • C. Port Scan Protection
  • D. UDP Flood Protections

正解:C


質問 # 310
GlobalProtect アプリの PanGPA ログからの次のメッセージを考慮すると、正しいのはどれですか?
ポート47 67でサーバーに接続できませんでした

  • A. PanGPS プロセスがポート 4767 で PanGPA プロセスに接続できませんでした。
  • B. GlobalProtect アプリはポート 4767 で GlobalProtect ゲートウェイに接続できませんでした
  • C. GlobalProtect アプリはポート 4767 で GlobalProtect ポータルに接続できませんでした
  • D. PanGPA プロセスがポート 4767 で PanGPS プロセスに接続できませんでした。

正解:D


質問 # 311
エンジニアは、DMZ 内の内部サーバーへの着信アクセスを許可する宛先 NAT ポリシーを構成します。NAT ポリシーは次の値で構成されます。
- 送信元ゾーン: 外部および送信元 IP アドレス 1.2.2.2
- 宛先ゾーン: 外部および宛先IPアドレス 2.2.2.1
宛先 NAT ポリシーは、IP アドレス 2.2.2.1 を DMZ ゾーンの実際の IP アドレス 10.10.10.1 に変換します。
エンジニアはセキュリティ ポリシーを構成するためにどの宛先 IP アドレスとゾーンを使用する必要がありますか?

  • A. 宛先ゾーン外部。宛先IPアドレス2.2.2.1
  • B. 宛先ゾーン外部。宛先 IP アドレス 10.10.10.1
  • C. 宛先ゾーン DMZ、宛先 IP アドレス 2.2.2.1
  • D. 宛先ゾーン DMZ、宛先 IP アドレス 10.10.10.1

正解:C


質問 # 312
エンタープライズPKIを使用する管理者は、Panoramaと管理対象のファイアウォールおよびログコレクタ間の相互認証を保証するために、独自の信頼関係を確立する必要があります。
管理者はどのようにして信頼の連鎖を確立しますか?

  • A. マルチファクタ認証を設定する
  • B. LDAPまたはRADIUSの統合を有効にする
  • C. カスタム証明書を使用する
  • D. 強力なパスワード認証の設定

正解:C

解説:
Reference:
https://www.paloaltonetworks.com/documentation/80/panorama/panorama_adminguide/panorama-overview/plan panorama-deployment


質問 # 313
ファイアウォール管理者は、会社のファイアウォールでのパケット バッファの使用率が高いことを調査しています。脅威ログを調べ、ファイアウォールによってドロップされる単一のソースからの多数のフラッド攻撃を確認した後、管理者は、同様の攻撃から保護するためにパケット バッファー保護を有効にすることを決定します。
管理者はファイアウォールでパケット バッファ保護をグローバルに有効にしていますが、それでもパケット バッファの使用率が高いことがわかります。
パケット バッファのオーバーフローを防ぐために、管理者は他に何をする必要がありますか?

  • A. 外部からのトラフィックを許可するすべてのセキュリティ ルールに、デフォルトの脆弱性保護プロファイルを追加します。
  • B. 影響を受けるゾーンにゾーン保護プロファイルを追加します。
  • C. 外部からのトラフィックを許可するセキュリティ ルールに DOS プロファイルを適用します。
  • D. 影響を受けるゾーンのパケット バッファ保護を有効にします。

正解:B

解説:
When facing high packet buffer utilization due to flood attacks, enabling packet buffer protection is a strategic step. However, simply enabling it globally might not be sufficient. The additional step needed is:
D: Add a Zone Protection profile to the affected zones:Zone Protection profiles provide a set of protections against various flood types, reconnaissance attempts, packet-based attacks, and protocol anomalies. By adding a Zone Protection profile to the zones that are experiencing high packet buffer utilization, the firewall can apply specific thresholds and actions to mitigate flood attacks, thus preventing the packet buffers from being overwhelmed.
It's important to configure the Zone Protection profile with appropriate thresholds and actions for flood protection, taking into consideration the normal traffic patterns and the capacity of the network and firewall.
This proactive approach ensures that legitimate traffic is allowed while mitigating potential attacks that could consume excessive resources.
For comprehensive instructions on setting up Zone Protection profiles and configuring them for optimal protection against flood and other types of attacks, refer to the Palo Alto Networks knowledge base and official documentation. These resources provide valuable insights into best practices and recommendations for securing your network infrastructure.


質問 # 314
展示を参照してください。

上記のスクリーンショットに基づいて、さまざまなルールが DATACENTER_DG デバイス グループ内のファイアウォールに展開される正しい順序はどれですか?

  • A. 共有事前ルール
    DATACENTER_DG 事前ルール
    ファイアウォールでローカルに構成されたルール
    DATACENTER_DG ポストルール
    ポストルールの共有
    DATACENTER_DG のデフォルト ルール
  • B. 共有事前ルール
    DATACENTER_DG 事前ルール
    ファイアウォールでローカルに構成されたルール
    ポストルールの共有
    DATACENTER.DG ポストルール
    共有デフォルト ルール
  • C. 共有事前ルール
    DATACENTER_DG 事前ルール
    ファイアウォールでローカルに構成されたルール
    DATACENTER_DG ポストルール
    ポストルールの共有
    共有デフォルト ルール
  • D. 共有事前ルール
    データセンター DG 事前ルール
    ファイアウォールでローカルに構成されたルール
    ポストルールの共有
    DATACENTER_DG ポストルール
    DATACENTER.DG のデフォルト ルール

正解:D


質問 # 315
復号化ポリシールールの3つのタイプは何ですか?(3つ選択してください。)

  • A. SSLインバウンド検査
  • B. 復号化ミラー
  • C. 復号化ブローカー
  • D. SSL転送プロキシ
  • E. SSHプロキシ

正解:A、D、E

解説:
Explanation
https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-admin/decryption/define-traffic-to-decrypt/create-a-decryp


質問 # 316
複数のオフィスは、静的 IPv4 ルートを使用して VPN に接続されています。
管理者は、静的ルーティングを置き換えるために OSPF を実装する任務を負っています。
この目標を達成するにはどのステップが必要ですか?

  • A. 各サイトの各トンネルインターフェースにIPアドレスを割り当てる
  • B. すべてのイーサネットおよびトンネルインターフェースにOSPFエリアID 0.0.0.0を割り当てる
  • C. 各トンネルインターフェースでOSPFv3を有効にし、エリアID 0.0.0.0を使用します。
  • D. 各サイトに新しいVPNゾーンを作成し、各VPN接続を終了します。

正解:B


質問 # 317


  • A. ethernet1/7
  • B. ethernet1/3
  • C. ethernet1/5
  • D. ethernet1/6

正解:C


質問 # 318
GlobalProtect設定画面のキャプチャを表示します。

この構成の目的は何ですか?

  • A. 内部クライアントをIPアドレス192.168.10.1の内部ゲートウェイに強制的に接続します。
  • B. すべての内部クライアントのトンネルアドレスを192.168.10.1で始まるIPアドレス範囲に設定します。
  • C. ファイアウォールは動的DNS更新を実行し、内部ゲートウェイのホスト名とIPアドレスをDNSサーバーに追加します。
  • D. クライアントは、内部クライアントであることを検出するために192.168.10.1に対して逆DNSルックアップを実行できます。

正解:D

解説:
Reference:
https://www.paloaltonetworks.com/documentation/80/globalprotect/globalprotect-admin-guide/globalprotect-por the-globalprotect-client-authentication-configurations/define-the-globalprotect-agent-configurations
"Select this option to allow the GlobalProtect agent to determine if it is inside the enterprise network. This option applies only to endpoints that are configured to communicate with internal gateways.When the user attempts to log in, the agent does a reverse DNS lookup of an internal host using the specified Hostname to the specified IP Address. The host serves as a reference point that is reachable if the endpoint is inside the enterprise network. If the agent finds the host, the endpoint is inside the network and the agent connects to an internal gateway; if the agent fails to find the internal host, the endpoint is outside the network and the agent establishes a tunnel to one of the external gateways"


質問 # 319
オンボーディングプロセス中にZTPファイアウォールのゼロタッチプロビジョニング(ZTP)機能を無効にするアクションはどれですか?

  • A. ZTPサービスからPanoramaシリアル番号を削除する
  • B. Panoramaで管理対象デバイスとしてファイアウォールを削除する
  • C. ファイアウォールのファクトリリセットを実行します
  • D. ローカルファイアウォールコミットの実行

正解:D

解説:
Explanation
Performing a local commit on the ZTP firewall disables ZTP functionality and results in the failure to successfully add the firewall to Panorama.
https://docs.paloaltonetworks.com/panorama/10-0/panorama-admin/manage-firewalls/set-up- zero-touch-provisioning/add-ztp-firewalls-to-panorama/add-a-ztp-firewall-to- panorama.html#id182211ac-a31c-4122-a11f-19450ec9ca4e


質問 # 320
IP アドレス 65.124.57.5 を持つ外部システムのユーザーは、Web サーバーの IP アドレス www,xyz.com について 4.2.2.2 の DNS サーバーに照会します。DNS サーバーは 172.16.15.1 のアドレスを返します。Ire Web サーバーにアクセスするには、ファイアウォールでどのセキュリティ ルールと NAT ルールを構成する必要がありますか?

  • A.
  • B.
  • C.
  • D.

正解:B

解説:
The addresses used in destination NAT rules always refer to the original IP address in the packet (that is, the pre-translated address). The destination zone in the NAT rule is determined after the route lookup of the destination IP address in the original packet (that is, the pre-NAT destination IP address). The addresses in the security policy also refer to the IP address in the original packet (that is, the pre-NAT address). However, the destination zone is the zone where the end host is physically connected. In other words, the destination zone in the security rule is determined after the route lookup of the post-NAT destination IP address. https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/networking/nat/nat-configuration-examples/destination-nat-exampleone-to-one-mapping


質問 # 321
PanoramaはどのようにしてVMWare NSXに感染VMの隔離を促しますか?

  • A. メールサーバープロファイル
  • B. SNMPサーバプロファイル
  • C. Syslogサーバプロファイル
  • D. HTTPサーバプロファイル

正解:D


質問 # 322
システム管理者は、脆弱性チェックの一環として、会社のツールを使用してポート スキャンを実行します。
管理者は、スキャンが脅威として識別され、ファイアウォールによってドロップされたことを発見します。
ログをさらに調査した後、管理者は脅威ログでスキャンがドロップされていることを発見しました。ツールがファイアウォールを介してスキャンできるようにするには、管理者は何をする必要がありますか?

  • A. DoS 保護プロファイルの偵察保護ソース アドレス除外にツールの IP アドレスを追加します。
  • B. ゾーン設定からゾーン保護プロファイルを削除します。
  • C. ゾーン保護プロファイルの偵察保護ソース アドレス除外にツールの IP アドレスを追加します。
  • D. ゾーン保護プロファイルで TCP ポート スキャン アクションをブロックからアラートに変更します。

正解:A

解説:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/zone-protection-and-dos- protection/configure-zone-protection-to-increase-network-security/configure-reconnaissance- protection


質問 # 323
PAN-OS SD-WANの前方誤り訂正(FEC)を構成する場合、管理者はどのタイプのSD-WANプロファイル内で機能をオンにしますか?

  • A. トラフィック分散プロファイル
  • B. SD-WANインターフェースプロファイル
  • C. 証明書プロファイル
  • D. パス品質プロファイル

正解:B

解説:
To enable forward error correction (FEC) for PAN-OS SD-WAN, you need to create an SD-WAN Interface Profile that specifies Eligible for Error Correction Profile interface selection and apply the profile to one or more interfaces. Then you need to create an Error Correction Profile to implement FEC or packet duplication. Reference: https://docs.paloaltonetworks.com/sd-wan/2-0/sd-wan-admin/configure-sd-wan/create-an-error-correction-profile


質問 # 324
管理者は、新しいPalo Alto Networks NGFWがアプリケーションの自動更新を毎日取得することを望んでいるため、アプリケーションデータベースのスケジューラーを使用するように構成されています。残念ながら、インターネットに到達できないように管理ネットワークを分離する必要がありました。ファイアウォールがアプリケーションの更新を自動的にダウンロードしてインストールできるようにする構成はどれですか?

  • A. トラフィックをインターネットにルーティングできるデータプレーンインターフェイスを使用するパロアルトネットワークサービスのサービスルートを構成し、必要に応じてそのインターフェイスから更新サーバーへのトラフィックを許可するセキュリティポリシールールを作成します。
    「デフォルトでは、ファイアウォールは管理インターフェースを使用して、DNS、Eメール、パロアルトアップデート、ユーザーIDエージェント、Syslog、Panoramaなどのさまざまなサーバーと通信します。ファイアウォールとサーバー間の通信がデータプレーンを通過するようにサービスルートが使用されます。」 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGJCA0
    「ファイアウォールはサービスルートを使用して更新サーバーに接続し、新しいコンテンツリリースバージョンを確認し、利用可能な更新がある場合は、リストの一番上に表示します。」 https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-web-interface-help/device/device-dynamic-updates#
  • B. 更新サーバーとの間のすべてのトラフィックを許可するようにセキュリティポリシールールを構成します。
  • C. MGTポートがインターネットに到達できない場合、アプリケーションの更新のダウンロードとインストールを自動的に行うことはできません。
  • D. 更新サーバーのIPアドレスのポリシーベースの転送ポリシールールを構成して、更新サーバー宛ての管理インターフェイスから送信されたトラフィックが、インターネット接続として機能するインターフェイスから送信されるようにします。

正解:A


質問 # 325
ファイアウォール管理者は、特定のトラフィック フローのトラブルシューティングを行うためにパケット キャプチャ フィルターを変更しています。新しく作成されたパケット キャプチャを開くと、管理者は以前のフィルターのトラフィックをまだ表示しています。キャプチャされたトラフィックを新しく構成されたフィルターに制限するには、管理者はどうすればよいでしょうか。

  • A. GLHの「モニター」>「パケットキャプチャ」>「フィルターの管理」の「入力インターフェース」でインターフェースを選択します。
  • B. コマンドライン> debug dataplane packet-diag clear filter all
  • C. コマンドライン > debug dataplane packet-diag clear filter-marked-session all
  • D. GUIの「モニター」>「パケットキャプチャ」>「フィルターの管理」の「非IP」フィールドで「除外」を選択します。

正解:B


質問 # 326
エンジニアは、複数のデータ センターからユーザー ID マッピングを再配布する必要があります。ユーザー マッピングの再配布を最もよく表しているデータ フローはどれですか?

  • A. パノラマへのユーザー ID エージェント
  • B. ファイアウォールへのユーザー ID エージェント
  • C. ファイアウォールからファイアウォールへ
  • D. ドメイン コントローラーからユーザー ID エージェントへ

正解:C

解説:
Explanation
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/user-id/deploy-user-id-in-a-large-scale-network/red


質問 # 327
......

認定問題集でPCNSE PCNSE日本語ガイドで100%有効な:https://jp.fast2test.com/PCNSE-JPN-premium-file.html


弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

我々の働いている時間: ( GMT 0:00-15:00 )
月曜日から土曜日まで

サポート: 現在連絡 

English Deutsch 繁体中文 한국어