<b>#1</b><br>在 Prisma Access 数据平面软件升级期间，哪种做法对于保持业务连续性和安全性最为有效？<hr><i style=color:#888>Which procedure is most effective for maintaining continuity and security during a Prisma Access data plane software upgrade?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 备份配置，将升级安排在非高峰时段，并采用分阶段方式，而不是尝试全网范围一次性推出。<br><span style=color:#888>Back up configurations, schedule upgrades during off-peak hours, and use a phased approach rather than attempting a network-wide rollout.</span><br><br><div style=color:#444>Prisma Access 数据平面升级的最佳实践包括备份配置、将升级安排在非高峰时段，以及采用分阶段方式，从而将中断降至最低并保持业务连续性。根据 Palo Alto Networks 文档：“为将中断降至最低，建议在非业务时段以分阶段方式执行 Prisma Access 升级，先从不太关键的站点开始以验证流程，然后再迁移到关键位置。备份配置并验证系统就绪状态，以避免数据丢失并保持服务连续性。”（来源：Prisma Access Best Practices）</div>
<b>#2</b><br>某 NGFW 管理员正在为由 Panorama 管理的公司数据中心防火墙更新 PAN-OS。在安装更新之前，管理员必须验证什么，以确保这些设备将继续受到 Panorama 的支持？<hr><i style=color:#888>An NGFW administrator is updating PAN-OS on company data center firewalls managed by Panorama. Prior to installing the update, what must the administrator verify to ensure the devices will continue to be supported by Panorama?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> Panorama 运行的 PAN-OS 版本与正在安装的版本相同或更新。<br><span style=color:#888>Panorama is running the same or newer PAN-OS release as the one being installed.</span><br><br><div style=color:#444>防火墙必须运行受 Panorama 支持的 PAN-OS 版本。这意味着 Panorama 运行的 PAN-OS 版本必须与在防火墙上安装的版本相同或更新，以保持兼容性。“在升级防火墙之前，请确保 Panorama 运行的 PAN-OS 版本与防火墙相同或更新。为保持兼容性，Panorama 必须始终处于相同或更高的版本。”（来源：Panorama Admin Guide – Upgrade Process）</div>
<b>#3</b> <b style=color:#fa582d>[多选 2项]</b><br>可以在哪两个应用中查看移动用户流量的 Prisma Access 威胁日志？（选择两项。）<hr><i style=color:#888>In which two applications can Prisma Access threat logs for mobile user traffic be reviewed? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B,C</b></div><br><b>B.</b> Strata Cloud Manager (SCM)<br><span style=color:#888>Strata Cloud Manager (SCM)</span><br><b>C.</b> Strata Logging Service<br><span style=color:#888>Strata Logging Service</span><br><br><div style=color:#444>Prisma Access 移动用户的威胁日志可以在 Strata Cloud Manager (SCM) 和 Strata Logging Service 中查看。Prisma Cloud 和 service connection 防火墙与移动用户流量日志没有直接关联。“Prisma Access 日志可在 Strata Cloud Manager 中查看，也可发送至 Strata Logging Service 进行详细分析和威胁可视化。”（来源：Prisma Access Administration Guide）</div>
<b>#4</b> <b style=color:#fa582d>[多选 2项]</b><br>可以使用哪两个工具为 AWS 配置 Cloud NGFW？（选择两项。）<hr><i style=color:#888>Which two tools can be used to configure Cloud NGFWs for AWS? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C,D</b></div><br><b>C.</b> Panorama<br><span style=color:#888>Panorama</span><br><b>D.</b> 云服务提供商的管理控制台<br><span style=color:#888>Cloud service provider's management console</span><br><br><div style=color:#444>AWS 版 Cloud NGFW 可以使用 Panorama 进行集中管理，也可以使用 AWS 管理控制台进行原生集成和配置。“您可以使用 Panorama 为 AWS 版 Cloud NGFW 进行集中式安全管理，或直接通过 AWS 管理控制台部署和管理面向 AWS 资源的安全服务。”（来源：Cloud NGFW for AWS Guide）</div>
<b>#5</b><br>使用 Prisma Access 时，哪种解决方案为移动办公人员提供对网络协议最全面的安全覆盖？<hr><i style=color:#888>Using Prisma Access, which solution provides the most security coverage of network protocols for the mobile workforce?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 基于客户端的 VPN (Client-based VPN)<br><span style=color:#888>Client-based VPN</span><br><br><div style=color:#444>像 GlobalProtect 这样的基于客户端的 VPN 解决方案，通过将企业安全堆栈扩展到远程终端，为移动办公人员提供全面覆盖。它建立安全隧道，从而在企业边界和移动办公人员之间实现一致的安全策略。“GlobalProtect 是一种基于客户端的 VPN，它通过将 Prisma Access 的安全能力扩展到远程终端，为移动用户提供安全、一致的保护，并覆盖所有网络协议。”（来源：GlobalProtect Admin Guide）</div>
<b>#6</b> <b style=color:#fa582d>[多选 2项]</b><br>在解密去往互联网的流量时，必须评估哪两个先决条件？（选择两项。）<hr><i style=color:#888>Which two prerequisites must be evaluated when decrypting internet-bound traffic? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B,C</b></div><br><b>B.</b> 不完整的证书链<br><span style=color:#888>Incomplete certificate chains</span><br><b>C.</b> 证书固定 (Certificate pinning)<br><span style=color:#888>Certificate pinning</span><br><br><div style=color:#444>在为出站流量实施 SSL Forward Proxy 解密时，必须评估的两个关键挑战是：“在解密出站 SSL 流量时，您必须考虑不完整的证书链，如果防火墙无法验证整个证书链，可能会导致解密失败。此外，还要注意应用中的证书固定 (certificate pinning)，它会通过拒绝伪造的证书来阻止解密。”（来源：Palo Alto Networks Decryption Concepts）</div>
<b>#7</b><br>工程师可以使用哪种防火墙属性来简化规则创建，并根据日志事件自动适应服务器角色或安全态势的变化？<hr><i style=color:#888>Which firewall attribute can an engineer use to simplify rule creation and automatically adapt to changes in server roles or security posture based on log events?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> Dynamic Address Groups<br><span style=color:#888>Dynamic Address Groups</span><br><br><div style=color:#444>Dynamic Address Groups 使防火墙能够根据动态分配的标签（通过日志事件、API 等）自动调整安全策略。这样在服务器角色或 IP 发生变化时，无需手动更新策略。“Dynamic Address Groups 让您可以创建能够自动适应环境变化的策略。这些组根据标签动态填充，从而实现自动化的安全策略更新，无需人工干预。”（来源：Dynamic Address Groups）</div>
<b>#8</b><br>当启用 SSL Inbound Inspection 时，防火墙的行为是怎样的？<hr><i style=color:#888>How does a firewall behave when SSL Inbound Inspection is enabled?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 它在客户端和内部服务器之间充当中间人 (meddler-in-the-middle)。<br><span style=color:#888>It acts as meddler-in-the-middle between the client and the internal server.</span><br><br><div style=color:#444>SSL Inbound Inspection 允许防火墙通过充当中间人 (man-in-the-middle, MITM) 来解密去往内部服务器（例如 Web 服务器）的入站加密流量。防火墙使用服务器的私钥来解密会话，并在重新加密流量之前应用安全策略。“SSL Inbound Inspection 要求您将服务器的私钥和证书导入防火墙。然后防火墙充当中间人 (MITM)，解密从外部客户端到内部服务器的入站会话以进行检查。”（来源：SSL Inbound Inspection）</div>
<b>#9</b><br>当防火墙充当应用层网关 (ALG) 时，它需要什么来建立连接？<hr><i style=color:#888>When a firewall acts as an application-level gateway (ALG), what does it require in order to establish a connection?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 有效载荷 (Payload)<br><span style=color:#888>Payload</span><br><br><div style=color:#444>ALG 旨在检查和修改应用层协议（如 SIP、FTP 等）的有效载荷 (payload)，以管理动态端口分配和会话信息。“应用层网关 (ALG) 检查某些协议的有效载荷，以动态管理使用动态端口分配的会话。通过修改有效载荷，ALG 确保正确应用 NAT 和安全策略。”（来源：ALG Support）</div>
<b>#10</b><br>哪个安全配置文件能针对利用 DNS 基础设施配置错误并将流量重定向到恶意域名的威胁行为者提供实时防护？<hr><i style=color:#888>Which security profile provides real-time protection against threat actors who exploit the misconfigurations of DNS infrastructure and redirect traffic to malicious domains?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> Anti-Spyware<br><span style=color:#888>Anti-spyware</span><br><br><div style=color:#444>Anti-Spyware 配置文件包含基于 DNS 的防护机制，例如 sinkhole（黑洞牵引）以及对指向恶意域名的 DNS 查询的检测，从而针对利用 DNS 配置错误的攻击提供实时防护。“Anti-Spyware 配置文件通过将指向恶意域名的 DNS 查询进行 sinkhole 牵引并检测可疑的 DNS 活动，来防御基于 DNS 的威胁，从而阻断数据外泄和 C2（命令与控制）通信。”（来源：Anti-Spyware Profiles）</div>
<b>#11</b><br>在 WildFire 分析报告中，哪种方法会引爆（detonate）未知的提交样本，以提供对其真实影响和行为的可见性？<hr><i style=color:#888>Which method in the WildFire analysis report detonates unknown submissions to provide visibility into real-world effects and behavior?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 动态分析（Dynamic analysis）<br><span style=color:#888>Dynamic analysis</span><br><br><div style=color:#444>WildFire 中的动态分析（Dynamic analysis）是指在受控环境（沙箱）中执行未知文件，以观察其真实行为。这使防火墙能够通过直接分析文件对系统的影响来检测零日威胁和高级恶意软件。“WildFire 动态分析在安全的沙箱环境中引爆未知文件，分析其真实影响、行为以及潜在的恶意活动。”（来源：WildFire Analysis）</div>
<b>#12</b><br>防火墙管理员需要在 Prisma Access 和 NGFW 上的多少个位置创建和配置自定义数据丢失防护（DLP）配置文件？<hr><i style=color:#888>How many places will a firewall administrator need to create and configure a custom data loss prevention (DLP) profile across Prisma Access and the NGFW?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 一个<br><span style=color:#888>One</span><br><br><div style=color:#444>Palo Alto Networks 的 Enterprise DLP 使用集中式 DLP 配置文件，可通过 Strata Cloud Manager (SCM) 在 Prisma Access 和 NGFW 上一致地应用。这消除了在多个位置重复配置的需求。“Enterprise DLP 配置文件通过云管理界面（Cloud Management Interface）集中创建和管理，并可在 NGFW 和 Prisma Access 部署中无缝使用。”（来源：Enterprise DLP Overview）</div>
<b>#13</b><br>某云安全架构师正在为跨混合环境的 Strata Cloud Manager (SCM) 设计证书管理策略。哪种做法能在实现最佳安全性的同时保持较低的管理开销？<hr><i style=color:#888>A cloud security architect is designing a certificate management strategy for Strata Cloud Manager (SCM) across hybrid environments. Which practice ensures optimal security with low management overhead?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 部署采用标准化协议和持续监控的集中式证书自动化。<br><span style=color:#888>Deploy centralized certificate automation with standardized protocols and continuous monitoring.</span><br><br><div style=color:#444>集中式证书自动化方法通过标准化流程、自动续订以及持续监控证书生命周期，降低了管理开销和安全风险。“采用集中式证书管理方法并结合自动化和持续监控，可在降低混合环境运营复杂性的同时确保最佳安全性。”（来源：Best Practices for Certificate Management）</div>
<b>#14</b><br>应与云访问安全代理（CASB）一起实施哪一组做法，以确保稳健的数据加密并保护 SaaS 应用中的敏感信息？<hr><i style=color:#888>Which set of practices should be implemented with Cloud Access Security Broker (CASB) to ensure robust data encryption and protect sensitive information in SaaS applications?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 为静态数据（data-at-rest）和传输中数据（in transit）启用加密，定期更新加密密钥，并使用强加密算法。<br><span style=color:#888>Enable encryption for data-at-rest and in transit, regularly update encryption keys, and use strong encryption algorithms.</span><br><br><div style=color:#444>CASB 集成应聚焦于全面的数据保护，其中包括对静态数据（data-at-rest）和传输中数据（in transit）进行加密、频繁更新密钥以及使用强加密算法，以确保机密性和数据完整性。“CASB 解决方案应对静态数据和传输中数据强制实施加密，实施密钥轮换策略，并利用稳健的加密算法来保护敏感的 SaaS 应用数据。”（来源：CASB Deployment Best Practices）</div>
<b>#15</b><br>对于使用 Prisma Access 的公司，Strata Logging Service 如何帮助解决不断增长的日志保留需求？<hr><i style=color:#888>How does Strata Logging Service help resolve ever-increasing log retention needs for a company using Prisma Access?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 它可以随着业务增长而扩展，以满足新站点的容量需求。<br><span style=color:#888>It can scale to meet the capacity needs of new locations as business grows.</span><br><br><div style=color:#444>Strata Logging Service 提供可扩展的日志存储以适应数据增长，从而确保组织在环境扩展时能够为合规性和威胁狩猎（threat hunting）保留日志。“Strata Logging Service 旨在动态扩展以适应不断增长的日志保留需求，使企业在扩展其网络覆盖范围时能够保持全面的可见性。”（来源：Strata Logging Service Overview）</div>
<b>#16</b> <b style=color:#fa582d>[多选 2项]</b><br>在防火墙与 Strata Cloud Manager (SCM) 关联之后，还需要执行哪两项额外操作才能从 SCM 管理该防火墙？（选择两项。）<hr><i style=color:#888>After a firewall is associated with Strata Cloud Manager (SCM), which two additional actions are required to enable management of the firewall from SCM? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B,D</b></div><br><b>B.</b> 为防火墙配置 NTP 和 DNS 服务器。<br><span style=color:#888>Configure NTP and DNS servers for the firewall.</span><br><b>D.</b> 安装设备证书（device certificate）。<br><span style=color:#888>Install a device certificate.</span><br><br><div style=color:#444>要从 Strata Cloud Manager (SCM) 完全管理防火墙，必须建立信任并确保可靠的连接：配置 NTP 和 DNS 服务器——防火墙必须具备准确的时间（NTP）和名称解析（DNS），才能安全地与 SCM 及相关云服务通信。“为确保成功管理，请配置防火墙的 NTP 和 DNS 设置，以同步时间并解析诸如 stratacloudmanager.paloaltonetworks.com 之类的域名。”（来源：SCM Onboarding Requirements）安装设备证书——设备证书在连接 SCM 时对防火墙的身份进行认证。“设备证书用于向 Palo Alto Networks 云服务（包括 SCM）认证防火墙。这是建立安全连接的基本要求。”（来源：Device Certificates）这些步骤可确保信任、安全通信以及成功接入 SCM。</div>
<b>#17</b><br>Advanced WildFire 如何集成到第三方应用中？<hr><i style=color:#888>How does Advanced WildFire integrate into third-party applications?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 通过 WildFire API<br><span style=color:#888>Through the WildFire API</span><br><br><div style=color:#444>Advanced WildFire 支持通过 WildFire API 直接集成到第三方安全工具中，从而实现自动化的威胁情报共享和实时的判定结果分发。“WildFire 提供了一个 RESTful API，第三方应用可以利用它将 WildFire 的分析结果和威胁情报无缝集成到其自身的安全工作流中。”（来源：WildFire API Guide）该 API 提供：“使用 WildFire API 提交样本、获取判定结果并获得详细的分析报告，以便与您现有的安全基础设施集成。”（来源：WildFire API Use Cases）</div>
<b>#18</b> <b style=color:#fa582d>[多选 2项]</b><br>应配置哪两项 SSH Proxy 解密配置文件设置，以增强公司的安全态势？（选择两项。）<hr><i style=color:#888>Which two SSH Proxy decryption profile settings should be configured to enhance the company’s security posture? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,C</b></div><br><b>A.</b> 当证书验证失败时阻断会话。<br><span style=color:#888>Block sessions when certificate validation fails.</span><br><b>C.</b> 阻断使用不合规 SSH 版本的连接。<br><span style=color:#888>Block connections that use non-compliant SSH versions.</span><br><br><div style=color:#444>阻断不合规的 SSH 版本以及在证书验证失败时进行阻断是基本的安全措施：当证书验证失败时阻断会话——“SSH Proxy 配置文件应阻断验证失败的会话，以确保仅允许受信任的主机。”（来源：SSH Proxy Decryption Best Practices）阻断使用不合规 SSH 版本的连接——旧版 SSH 版本可能存在漏洞或缺少现代加密算法。“为强制实施更强的安全性，请阻断使用不符合您安全态势的旧版或已弃用 SSH 协议版本的 SSH 会话。”（来源：SSH Decryption and Best Practices）这些措施共同将 MITM 攻击的风险降至最低，并保护 SSH 流量的安全。</div>
<b>#19</b><br>一位网络安全工程师在 Prisma Access 中创建了一条 Security policy，其源地址中包含了一个被取反（negated）的区域。哪种配置可以确保不会因该取反区域而导致连接中断？<hr><i style=color:#888>A network security engineer has created a Security policy in Prisma Access that includes a negated region in the source address. Which configuration will ensure there is no connectivity loss due to the negated region?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 为该取反区域创建一条目的地址为“any”的 Security policy。<br><span style=color:#888>Create a Security policy for the negated region with destination address “any”.</span><br><br><div style=color:#444>取反的源地址会将来自指定区域的流量排除在外。为避免意外中断来自该区域流量的连接，应创建一条单独的 Security policy 来显式放行它。“当你在 Security policy 规则中使用取反区域时，务必创建一条额外的 Security policy 来放行来自被排除（取反）区域的流量，以避免意外丢包。”（来源：Prisma Access Policy Best Practices）这样可确保对被排除区域的显式包含性，从而维持可靠的连接。</div>
<b>#20</b><br>在 Strata Cloud Manager (SCM) 上创建自定义 Prisma Access 报告的必要步骤是什么？<hr><i style=color:#888>What is a necessary step for creation of a custom Prisma Access report on Strata Cloud Manager (SCM)?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 配置一个仪表板（dashboard）。<br><span style=color:#888>Configure a dashboard.</span><br><br><div style=color:#444>要在 SCM 内创建自定义 Prisma Access 报告，首先要配置一个用于聚合相关日志和分析数据的仪表板（dashboard）。这样你就能定义想要包含的数据点。“SCM 中的仪表板可以自定义以包含 Prisma Access 数据源，使你能够创建并生成满足特定业务与安全需求的报告。”（来源：SCM Dashboards and Reporting）配置完成后，你可以将该仪表板导出为自定义报告。“利用仪表板的数据可视化来为 Prisma Access 创建自定义报告，并可导出为 PDF 以供分发。”（来源：SCM Report Customization）</div>
<b>#21</b><br>哪种 NGFW 功能可用于增强对后量子密码学（Post-quantum Cryptography, PQC）使用情况的可见性，并对其进行保护、阻断和记录日志？<hr><i style=color:#888>Which NGFW function can be used to enhance visibility, protect, block, and log the use of Post-quantum Cryptography (PQC)?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> Decryption policy<br><span style=color:#888>Decryption policy</span><br><br><div style=color:#444>Decryption policy 使防火墙能够检查加密流量，并对后量子密码学（PQC）的使用施加安全控制，因为 PQC 算法通常在加密会话中实现。“Decryption policy 使防火墙能够看到并控制加密流量。这种可见性和控制能力可扩展至包括 PQC 在内的新型密码算法，以确保安全措施得到一致应用。”（来源：Palo Alto Networks Decryption Overview）通过解密会话，你可以确保即使是 PQC 流量也能被检查、记录日志，并接受安全 profile 的可见性与策略执行。</div>
<b>#22</b><br>从 PAN-OS 9.1 升级到 PAN-OS 11.2 的推荐升级路径是什么？<hr><i style=color:#888>What is the recommended upgrade path from PAN-OS 9.1 to PAN-OS 11.2?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 9.1 10.0 11.2<br><span style=color:#888>9.1 10.0 11.2</span><br><br><div style=color:#444>Palo Alto Networks 要求在升级到较新版本之前先升级到下一个主要功能版本（next major feature release）。这可确保稳定性和兼容性。“当跨越多个 PAN-OS 主要版本升级时，你必须逐个升级到每个中间的主要功能版本。不支持跳过主要版本。”（来源：Upgrade Considerations）对于 PAN-OS</div>
<b>#23</b> <b style=color:#fa582d>[多选 2项]</b><br>网络管理员可以使用哪两项功能来排查某个无法访问 SaaS 应用的 Prisma Access 移动用户所遇到的问题？（选择两项。）<hr><i style=color:#888>Which two features can a network administrator use to troubleshoot the issue of a Prisma Access mobile user who is unable to access SaaS applications? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C,D</b></div><br><b>C.</b> GlobalProtect logs<br><span style=color:#888>GlobalProtect logs</span><br><b>D.</b> Autonomous Digital Experience Manager (ADEM) 控制台<br><span style=color:#888>Autonomous Digital Experience Manager (ADEM) console</span><br><br><div style=color:#444>GlobalProtect logs——这些日志可提供有关用户连接性、隧道状态和身份验证事件的详细洞察。“GlobalProtect logs 包含有关连接建立、隧道协商以及任何可能阻止移动用户访问应用的错误的详细信息。”（来源：GlobalProtect Troubleshooting）Autonomous Digital Experience Management (ADEM)——ADEM 有助于可视化端到端性能，并识别影响移动用户访问 SaaS 应用的网络问题。“ADEM 提供对用户体验的实时和历史可见性，能够快速识别并解决 SaaS 应用的连接性或性能问题。”（来源：ADEM for Prisma Access）</div>
<b>#24</b> <b style=color:#fa582d>[多选 2项]</b><br>哪两种内容更新（content updates）可以从 Panorama 推送到下一代防火墙？（选择两项。）<hr><i style=color:#888>Which two content updates can be pushed to next-generation firewalls from Panorama? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B,C</b></div><br><b>B.</b> Applications and threats<br><span style=color:#888>Applications and threats</span><br><b>C.</b> WildFire<br><span style=color:#888>WildFire</span><br><br><div style=color:#444>Applications and threats——Panorama 可以将应用和威胁特征码更新推送到受管防火墙，确保一致的应用与威胁可见性。“Panorama 使用动态更新（dynamic updates）将最新的应用和威胁特征码包分发到所有受管防火墙。”（来源：Manage Content Updates in Panorama）WildFire——Panorama 还会将 WildFire 特征码更新分发到防火墙，以实现实时恶意软件检测。“WildFire 更新提供最新的恶意软件特征码以增强检测与防护，并可通过 Panorama 部署到所有受管防火墙。”（来源：WildFire and Dynamic Updates）</div>
<b>#25</b><br>一位网络管理员为边缘 NGFW 获取了 Palo Alto Networks Advanced Threat Prevention 和 Advanced DNS Security 订阅，并正在设置安全 profile。在 Advanced DNS Security 服务的初始配置中，应包含以下哪一步骤？<hr><i style=color:#888>A network administrator obtains Palo Alto Networks Advanced Threat Prevention and Advanced DNS Security subscriptions for edge NGFWs and is setting up security profiles. Which step should be included in the initial configuration of the Advanced DNS Security service?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 配置 DNS Security 特征码策略设置，以对恶意 DNS 查询进行 sinkhole（黑洞重定向）。<br><span style=color:#888>Configure DNS Security signature policy settings to sinkhole malicious DNS queries.</span><br><br><div style=color:#444>Advanced DNS Security 使用特征码策略对恶意 DNS 查询进行 sinkhole，阻止其成功解析。“DNS Security 服务与 Anti-Spyware profile 集成，你必须配置特征码策略设置以对恶意查询进行 sinkhole。这可主动阻止流向已知恶意域名的流量。”（来源：Configure DNS Security）Sinkhole 可确保对恶意 FQDN 的 DNS 查询被重定向到一个安全 IP，从而防止被入侵。</div>
<b>#26</b><br>要使用 Strata Cloud Manager (SCM) 成功接入（onboard）一个 Prisma Access 远程网络（remote network），必须配置什么？<hr><i style=color:#888>What must be configured to successfully onboard a Prisma Access remote network using Strata Cloud Manager (SCM)?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> IPSec 终结节点（IPSec termination node）<br><span style=color:#888>IPSec termination node</span><br><br><div style=color:#444>要通过 Strata Cloud Manager (SCM) 将一个远程网络连接到 Prisma Access，该远程网络需要一个 IPSec 终结节点（IPSec termination node）。它充当 VPN 端点，确保分支机构与 Prisma Access 之间的安全连接。“要接入远程网络，需在客户现场配置 IPSec 终结节点。该 VPN 端点建立通往 Prisma Access 的安全隧道以进行流量回传（backhauling）。”（来源：Onboard Remote Networks）关键要点：IPSec 终结节点是实现安全加密连接的基础。</div>
<b>#27</b><br>在一个出现语音质量下降的 Prisma SD-WAN 环境中，推荐采取的初始行动是什么？<hr><i style=color:#888>In a Prisma SD-WAN environment experiencing voice quality degradation, which initial action is recommended?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 查看路径性能的实时分析数据。<br><span style=color:#888>Review real-time analytics of path performance.</span><br><br><div style=color:#444>SD-WAN 部署中的语音质量问题通常与路径性能指标（延迟、抖动、丢包）相关。查看实时分析数据有助于精确定位根本原因并采取适当的缓解措施。“遇到性能问题时，第一步是分析实时性能数据。Prisma SD-WAN 提供路径质量分析，以识别性能下降并确保有依据的故障排查。”（来源：Prisma SD-WAN Monitoring）这种数据驱动的方法可避免不必要的配置更改。</div>
<b>#28</b><br>哪项措施能够优化分段网络架构中的用户体验，并实现维护分支机构与园区(campus)站点之间安全连接的最有效方法？<hr><i style=color:#888>Which action optimizes user experience across a segmented network architecture and implements the most effective method to maintain secure connectivity between branch and campus locations?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 实施 SD-WAN，根据网络性能指标路由所有流量，并使用区域保护配置文件(zone protection profiles)。<br><span style=color:#888>Implement SD-WAN to route all traffic based on network performance metrics and use zone protection profiles.</span><br><br><div style=color:#444>SD-WAN 解决方案通过利用实时路径指标(延迟、抖动、丢包)优化应用体验，并在分布式站点之间提供安全、动态的连接。“通过实施 SD-WAN，流量可根据实时网络性能指标进行智能路由。区域保护配置文件在最大化应用性能的同时确保安全。”(来源：SD-WAN Architecture) 关键优势：在园区与分支机构之间实现安全连接和最佳用户体验。</div>
<b>#29</b><br>在 VM-Series 防火墙上配置 Security 策略时，哪一组操作能够确保最全面的 Security 策略实施(enforcement)？<hr><i style=color:#888>When configuring Security policies on VM-Series firewalls, which set of actions will ensure the most comprehensive Security policy enforcement?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 使用 User-ID 和 App-ID 配置策略，启用解密，为规则应用适当的安全配置文件，并通过动态更新(dynamic updates)定期更新。<br><span style=color:#888>Configure policies using User-ID and App-ID, enable decryption, apply appropriate security profiles to rules, and update regularly with dynamic updates.</span><br><br><div style=color:#444>全面的安全方法应采用：“为实现全面安全，需结合 User-ID、App-ID、解密和安全配置文件。使用动态内容更新使防火墙保持最新，以维持最强的安全态势。”(来源：Best Practices for Security Policy) 这可确保实时、身份感知且以应用为中心的安全实施。</div>
<b>#30</b><br>NGFW 使用哪项功能来判断新的会话建立(session setup)是合法还是非法的？<hr><i style=color:#888>Which functionality does an NGFW use to determine whether new session setups are legitimate or illegitimate?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> SYN cookies<br><span style=color:#888>SYN cookies</span><br><br><div style=color:#444>为防止 SYN 洪泛攻击，NGFW 使用 SYN cookies 来验证合法的会话建立。“SYN cookies 允许防火墙在握手完成之前无需分配资源即可验证新会话请求的合法性。这可防止 SYN 洪泛攻击耗尽系统资源。”(来源：Flood Protection Best Practices) SYN cookies 通过确保只建立合法连接来缓解资源耗尽问题。</div>
<b>#31</b> <b style=color:#fa582d>[多选 2项]</b><br>配置 NGFW Security 策略以防护恶意和错误配置的域名(domains)时，需要哪两项安全服务？（选择两项。）<hr><i style=color:#888>Which two security services are required for configuration of NGFW Security policies to protect against malicious and misconfigured domains? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,D</b></div><br><b>A.</b> Advanced Threat Prevention<br><span style=color:#888>Advanced Threat Prevention</span><br><b>D.</b> Advanced DNS Security<br><span style=color:#888>Advanced DNS Security</span><br><br><div style=color:#444>防护恶意和错误配置的域名需要两项关键服务：Advanced Threat Prevention——提供基于特征码(signature-based)和高级分析能力，以识别包括基于 DNS 的攻击在内的威胁。“Advanced Threat Prevention 使 NGFW 能够检测并阻止漏洞利用和基于恶意软件的通信，包括那些利用 DNS 的通信。”(来源：Advanced Threat Prevention) Advanced DNS Security——专门用于检测并 sinkhole(黑洞化)恶意及错误配置的 DNS 查询。“DNS Security 利用实时情报阻止基于 DNS 的威胁，防护数据外泄，并自动对可疑域名查找进行 sinkhole 处理。”(来源：DNS Security) 通过在安全策略中结合这些服务，NGFW 可确保对基于域名的威胁和错误配置提供强健的防护。</div>
<b>#32</b><br>为确保组织在其 Advanced Threat Prevention 订阅中使用内联云分析(inline cloud analysis)功能，需要采取哪一步骤？<hr><i style=color:#888>Which step is necessary to ensure an organization is using the inline cloud analysis features in its Advanced Threat Prevention subscription?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 更新或新建 anti-spyware 安全配置文件，并启用相应的本地深度学习(deep learning)模型。<br><span style=color:#888>Update or create a new anti-spyware security profile and enable the appropriate local deep learning models.</span><br><br><div style=color:#444>要充分利用 Advanced Threat Prevention 中的内联云分析，必须更新或新建安全配置文件(例如 anti-spyware)以启用本地深度学习和内联云分析模型。“要激活内联云分析，请更新你的 Anti-Spyware 配置文件，以启用高级内联检测引擎，包括基于深度学习的模型和云端交付的特征码。”(来源：Inline Cloud Analysis and Deep Learning) 这可确保针对超出静态特征码范围的复杂威胁提供实时防护。</div>
<b>#33</b><br>在 Prisma Access 中可以使用哪种区域(zone)？<hr><i style=color:#888>Which zone is available for use in Prisma Access?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 区域间(Interzone)<br><span style=color:#888>Interzone</span><br><br><div style=color:#444>在 Prisma Access 中，区域间(interzone)安全策略规则可用，并在控制区域之间流量方面发挥关键作用。“你可以配置区域间规则来控制在 Prisma Access 中不同区域之间流动的流量，从而实现精细的安全策略实施。”(来源：Prisma Access Security Policies) 这可确保在云端交付架构中对跨越安全边界的流量进行全面控制。</div>
<b>#34</b><br>哪种产品可以在 Panorama 和 Strata Cloud Manager (SCM) 两者中进行管理？<hr><i style=color:#888>Which offering can be managed in both Panorama and Strata Cloud Manager (SCM)?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> VM-Series Next-Generation Firewall (NGFW)<br><span style=color:#888>VM-Series Next-Generation Firewall (NGFW)</span><br><br><div style=color:#444>VM-Series NGFW 设计为可与 Panorama 和 Strata Cloud Manager (SCM) 两者无缝集成，允许管理员从任一界面管理物理和虚拟防火墙部署。“你可以使用 Panorama 对所有防火墙进行集中管理，或使用 Strata Cloud Manager 进行基于云的管理来管理 VM-Series 下一代防火墙，从而在混合环境中提供灵活性。”(来源：VM-Series Management Options) 统一的管理灵活性对于采用混合或多云部署的企业至关重要。</div>
<b>#35</b><br>NGFW 的哪个组件在 active/passive 设计中受支持，但在 active/active 设计中不受支持？<hr><i style=color:#888>Which component of NGFW is supported in active/passive design but not in active/active design?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 单一浮动 IP 地址(Single floating IP address)<br><span style=color:#888>Single floating IP address</span><br><br><div style=color:#444>单一浮动 IP 地址(也称为浮动 IP 或共享 IP)仅在 active/passive HA 对中受支持。在 active/active HA 中，两台防火墙同时转发流量，因此不共享单一浮动 IP。“在 active/passive HA 中，使用单一浮动 IP 地址实现无缝故障切换。Active/active HA 需要独立的 IP 地址，不支持单一浮动 IP。”(来源：Active/Passive vs. Active/Active HA) 这通过使用单一共享 IP(在故障切换时移至活动对端)简化了 active/passive 部署中的故障切换。</div>
<b>#36</b><br>哪项关键能力使 Content-ID 技术区别于传统的网络安全方法？<hr><i style=color:#888>What key capability distinguishes Content-ID technology from conventional network security approaches?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 它提供 single-pass(单次通过)应用层检测，以实现实时威胁防护。<br><span style=color:#888>It provides single-pass application layer inspection for real-time threat prevention.</span><br><br><div style=color:#444>Content-ID 是 Palo Alto Networks 防护架构的核心，提供 single-pass 应用层检测，以在所有流量上实现实时威胁防护。“Content-ID 使用 single-pass 架构执行应用层(第 7 层)流量检测和实时威胁防护。与依赖多次扫描的传统防火墙不同，Content-ID 只检测流量一次，即可同时实施多项安全控制。”(来源：Content-ID Overview) 通过在单次通过中整合安全功能，它同时确保了效率和全面的安全性。</div>
<b>#37</b><br>在一个部署 Prisma SD-WAN 的分布式企业中，为确保远程站点与总部之间的最优流量流转，应首先实施哪个配置要素？<hr><i style=color:#888>In a distributed enterprise implementing Prisma SD-WAN, which configuration element should be implemented first to ensure optimal traffic flow between remote sites and headquarters?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 使用实时性能指标实现动态路径选择（Dynamic Path Selection）。<br><span style=color:#888>Implement dynamic path selection using real-time performance metrics.</span><br><br><div style=color:#444>动态路径选择（Dynamic Path Selection）是 SD-WAN 的基础，它利用实时性能数据在最佳可用路径上动态地路由流量。“动态路径选择持续监测性能指标（丢包、延迟、抖动），并做出实时的路由决策，以确保跨 WAN 满足应用的 SLA。”（来源：Prisma SD-WAN Dynamic Path Selection）首先建立动态路径选择可确保其余的 SD-WAN 优化（例如故障切换、QoS）能够有效运作。</div>
<b>#38</b> <b style=color:#fa582d>[多选 2项]</b><br>在配置 Security policy 时，哪两个组件可以让第三方承包商在非工作时间访问内部应用？（选择两项。）<hr><i style=color:#888>Which two components of a Security policy, when configured, allow third-party contractors access to internal applications outside business hours? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C,D</b></div><br><b>C.</b> User-ID<br><span style=color:#888>User-ID</span><br><b>D.</b> Schedule<br><span style=color:#888>Schedule</span><br><br><div style=color:#444>为使第三方承包商获得受控访问权限，security policy 必须结合用户识别和基于时间的访问控制：User-ID “User-ID 使 security policy 能够基于用户身份而非 IP 地址来实施，从而为承包商等特定用户确保精确的策略实施。”（来源：User-ID Overview）Schedule “Schedule 使策略仅在特定时间段内生效，从而提供基于时间的访问控制（例如非工作时间之后）。”（来源：Security Policy Schedules）二者结合可确保只有获得授权的用户（承包商）才能访问，并且仅在明确允许的时间才能访问。</div>
<b>#39</b> <b style=color:#fa582d>[多选 2项]</b><br>某公司有一项正在进行的举措，旨在监控和管控 IT 批准的 SaaS 应用。要取得成功，需要配置解密策略，以及在 Security policy 中使用的 data filtering 和 URL Filtering Profile。基于对 SaaS 应用进行解密的需求，哪两个步骤适合用于确保成功？（选择两项。）<hr><i style=color:#888>A company has an ongoing initiative to monitor and control IT-sanctioned SaaS applications. To be successful, it will require configuration of decryption policies, along with data filtering and URL Filtering Profiles used in Security policies. Based on the need to decrypt SaaS applications, which two steps are appropriate to ensure success? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,B</b></div><br><b>A.</b> 配置 SSL Forward Proxy。<br><span style=color:#888>Configure SSL Forward Proxy.</span><br><b>B.</b> 验证将用于建立信任的证书。<br><span style=color:#888>Validate which certificates will be used to establish trust.</span><br><br><div style=color:#444>要检查 SaaS 应用流量（通常已加密），必须配置：SSL Forward Proxy “SSL Forward Proxy 解密配置文件使防火墙能够解密出站 SSL 流量，这对于洞察 SaaS 应用的使用情况至关重要。”（来源：SSL Forward Proxy Overview）验证证书 “验证并部署适当的根 CA 和中间 CA 证书对于建立信任、并在解密过程中防止 SSL 错误至关重要。”（来源：Certificate Deployment and Validation）如果没有这些步骤，SaaS 解密和策略实施将不完整。</div>
<b>#40</b><br>一名网络安全工程师希望将 Strata Logging Service 数据转发到安全运营中心（SOC）所使用的工具，以便进一步调查。在 Palo Alto Networks Zero Trust 的最佳实践步骤中，这属于哪一步？<hr><i style=color:#888>A network security engineer wants to forward Strata Logging Service data to tools used by the Security Operations Center (SOC) for further investigation. In which best practice step of Palo Alto Networks Zero Trust does this fit?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> Report and Maintenance（报告与维护）<br><span style=color:#888>Report and Maintenance</span><br><br><div style=color:#444>Zero Trust 模型中的“Report and Maintenance（报告与维护）”步骤强调持续的监控、分析和报告，以确保环境随时间推移始终保持安全。“Report and Maintenance 阶段包括持续监控、日志转发，以及将安全遥测数据共享给第三方工具，以维护和验证 Zero Trust 的实施。”（来源：Zero Trust Best Practices）通过将日志转发到 SOC 工具，该工程师确保了全面的可见性和主动的威胁狩猎。</div>
<b>#41</b> <b style=color:#fa582d>[多选 2项]</b><br>一名网络工程师将特定的、关于新 AI URL 类别类型的 Panorama 报告推送到分支 NGFW。哪两种报告类型可以实现这一目标？（选择两项。）<hr><i style=color:#888>A network engineer pushes specific Panorama reports of new AI URL category types to branch NGFWs. Which two report types achieve this goal? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B,C</b></div><br><b>B.</b> Custom（自定义）<br><span style=color:#888>Custom</span><br><b>C.</b> PDF summary（PDF 摘要）<br><span style=color:#888>PDF summary</span><br><br><div style=color:#444>Panorama 允许工程师创建自定义报告（Custom Reports）并生成 PDF 摘要（PDF summary）格式，以便在各 NGFW 之间实现一致的报告。Custom Reports “Custom Reports 提供基于 URL 类别、应用使用情况和威胁可见性的定制化报告。它们在 Panorama 内生成，并可包含关于新分类的 AI URL 类型的数据。”（来源：Panorama Reports）PDF Summaries “你可以生成 PDF 摘要报告，将这些洞察分发到各分支防火墙，为合规和运营审查提供易于阅读的格式。”（来源：Export Reports as PDF）二者结合提供了一种一致、标准化的方法，可将关于基于 AI 的 URL 类别的洞察推送到分支设备。</div>
<b>#42</b><br>哪种订阅会将匹配 Data Filtering Profile 条件的非文件格式流量发送到云服务以得出裁定？<hr><i style=color:#888>Which subscription sends non-file format-based traffic that matches Data Filtering Profile criteria to a cloud service to render a verdict?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> Enterprise DLP<br><span style=color:#888>Enterprise DLP</span><br><br><div style=color:#444>Enterprise DLP 利用云分析来检查和分类非文件格式（例如内联数据流、SaaS 通信）中的敏感数据。“Enterprise DLP 检查非文件格式流量中的数据，将可疑的数据模式转发到云端进行分类和裁定。”（来源：Enterprise DLP Overview）其他服务侧重于基于文件的扫描（WildFire）、URL 访问控制（Advanced URL Filtering）或内联 SaaS 应用控制（SaaS Security Inline）。</div>
<b>#43</b><br>在 AWS 管理控制台中为 Cloud NGFW 创建 Security policy 时，策略是如何被评估的？<hr><i style=color:#888>How are policies evaluated in the AWS management console when creating a Security policy for a Cloud NGFW?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 必须按照它们预期被评估的顺序来创建。<br><span style=color:#888>They must be created in the order they are intended to be evaluated.</span><br><br><div style=color:#444>AWS 控制台中的 Cloud NGFW security policy 严格按照创建顺序进行评估——它们没有显式的规则优先级字段。“在 AWS 中，安全规则按照其创建顺序进行评估。为确保正确的评估逻辑，请按照期望的顺序从上到下创建它们。”（来源：Cloud NGFW for AWS Policy Evaluation）与 Panorama 不同，Cloud NGFW 的 AWS 原生管理使用创建顺序作为评估顺序。</div>
<b>#44</b><br>在安全事件调查期间，哪个 Security profile 会记录尝试进行机密数据外泄的日志？<hr><i style=color:#888>During a security incident investigation, which Security profile will have logs of attempted confidential data exfiltration?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> Enterprise DLP Profile<br><span style=color:#888>Enterprise DLP Profile</span><br><br><div style=color:#444>Enterprise DLP Profile 专门用于检测和记录数据外泄尝试，包括涉及机密或敏感数据的尝试。“Enterprise DLP 日志会捕获涉及潜在数据外泄的事件。它们有助于识别敏感数据的传输，即使是在看似合法的流量中。”（来源：Enterprise DLP Logging and Alerts）File Blocking 和 Vulnerability Protection 处理文件或漏洞利用检测，而 WildFire 侧重于恶意软件分析——而非直接的数据外泄。</div>
<b>#45</b><br>在确定 Device-ID 时，IoT Security 使用哪组属性来识别和分类网络上的设备？<hr><i style=color:#888>Which set of attributes is used by IoT Security to identify and classify appliances on a network when determining Device-ID?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> MAC 地址、设备制造商和操作系统<br><span style=color:#888>MAC address, device manufacturer, and operating system</span><br><br><div style=color:#444>IoT Security 使用 MAC 地址、设备制造商和操作系统信息，通过 Device-ID 来识别和分类设备。“IoT Security 使用被动网络流量分析，基于 MAC 地址、制造商和操作系统对设备进行指纹识别，以确保准确的分类。”（来源：IoT Security Device-ID and Classification）这些属性提供了一种稳健的、与制造商无关的方法来对 IoT 设备进行指纹识别。</div>
<b>#46</b> <b style=color:#fa582d>[多选 2项]</b><br>为使 IoT Security 正常运行，必须将哪两类日志转发到 Strata Logging Service？（选择两项。）<hr><i style=color:#888>Which two types of logs must be forwarded to Strata Logging Service for IoT Security to function? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B,C</b></div><br><b>B.</b> 增强型应用日志（Enhanced application）<br><span style=color:#888>Enhanced application</span><br><b>C.</b> 威胁日志（Threat）<br><span style=color:#888>Threat</span><br><br><div style=color:#444>为使 IoT Security 能够准确分类和监控 IoT 设备，必须将以下日志转发到 Strata Logging Service：增强型应用日志（Enhanced application logs）——提供详细的应用使用情况和行为，对于分析设备类型和角色至关重要。“增强型应用日志提供了有关 IoT 设备行为和使用模式的额外上下文，必须转发到 Strata Logging Service，IoT Security 才能构建准确的 Device-ID 画像。”（来源：IoT Security Logging Requirements）威胁日志（Threat logs）——对于检测 IoT 设备的可疑或恶意活动至关重要。“威胁日志对于识别涉及 IoT 设备的潜在漏洞利用或可疑活动至关重要，是 IoT Security 中获得准确威胁可见性所必需的。”（来源：IoT Security Logs）这些日志共同确保了准确的设备分类和实时威胁可见性。</div>
<b>#47</b><br>在 NGFW 策略中，哪个操作仅在 slow path（慢速路径）期间执行？<hr><i style=color:#888>Which action is only taken during slow path in the NGFW policy?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> SSL/TLS 解密<br><span style=color:#888>SSL/TLS decryption</span><br><br><div style=color:#444>在 Palo Alto Networks 的 Single-Pass Parallel Processing (SP3) 架构中，SSL/TLS 解密仅在防火墙首次遇到新会话时的 slow path（慢速路径）期间执行。“SSL/TLS 解密需要 CPU 密集型的加密运算，在建立新会话时于 slow path 期间执行。一旦解密完成，后续数据包将在 fast path 中处理。”（来源：Packet Flow and SP3 Architecture）在 slow path 中完成初次解密后，已解密的流量将由 fast path 处理以提高效率。</div>
<b>#48</b><br>SaaS Security 的哪项功能可以让防火墙管理员识别环境中未知的 SaaS 应用？<hr><i style=color:#888>Which feature of SaaS Security will allow a firewall administrator to identify unknown SaaS applications in an environment?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> App-ID Cloud Engine<br><span style=color:#888>App-ID Cloud Engine</span><br><br><div style=color:#444>SaaS Security 中的 App-ID Cloud Engine (ACE) 使用基于云的签名来检测环境中未知且未经许可（unsanctioned）的 SaaS 应用。“App-ID Cloud Engine (ACE) 利用实时云情报来识别 SaaS 应用，包括以前未知或新引入的应用。”（来源：ACE for SaaS Visibility）此功能是实现超越静态签名的全面 SaaS 可见性的关键。</div>
<b>#49</b><br>在使用 AWS 集中式部署时，Cloud NGFW 实例是如何创建的？<hr><i style=color:#888>How do Cloud NGFW instances get created when using AWS centralized deployments?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 所选的 VPC 将添加 Cloud NGFW 工作负载。<br><span style=color:#888>Selected VPCs will have Cloud NGFW workloads added to them.</span><br><br><div style=color:#444>在为 Cloud NGFW 使用 AWS 集中式部署时，该服务将 NGFW 实例作为额外的工作负载部署到所选的 VPC 中，以保护相应流量。“在集中式部署中，Cloud NGFW 实例作为安全设备部署在所选的 VPC 内，确保一致的流量检测和保护。”（来源：Cloud NGFW Deployment Models）此方法可最大限度地降低复杂性，并确保在 AWS 内直接实施安全策略。</div>
<b>#50</b><br>对于针对远程用户设备状态（device posture）进行精细安全实施，推荐使用哪种 GlobalProtect 配置？<hr><i style=color:#888>Which GlobalProtect configuration is recommended for granular security enforcement of remote user device posture?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 为所有移动用户配置主机信息配置文件（HIP）检查<br><span style=color:#888>Configuring host information profile (HIP) checks for all mobile users</span><br><br><div style=color:#444>主机信息配置文件（HIP）检查在 GlobalProtect 中用于收集和评估终端状态（操作系统、补丁级别、防病毒状态），以对远程用户实施精细的安全策略。“HIP 功能收集有关主机的信息，可在安全策略中用于实施基于状态的访问控制。这可确保只有合规的终端才能访问敏感资源。”（来源：GlobalProtect HIP Checks）这使得能够超越单纯的用户身份，做出细粒度、上下文感知的访问决策。</div>
<b>#51</b><br>哪种 AI 驱动的解决方案为 NGFW 和 Prisma Access 提供统一管理和运维？<hr><i style=color:#888>Which AI-powered solution provides unified management and operations for NGFWs and Prisma Access?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> Strata Cloud Manager (SCM)<br><span style=color:#888>Strata Cloud Manager (SCM)</span><br><br><div style=color:#444>Strata Cloud Manager (SCM) 为 NGFW 和 Prisma Access 提供基于云的统一管理平面，实现一致的策略实施、简化的管理以及 AI 驱动的运营洞察。“Strata Cloud Manager 提供单一界面，用于统一管理 NGFW 和 Prisma Access，利用 AI 优化安全运营并简化工作流程。”（来源：Strata Cloud Manager Overview）与作为本地部署管理解决方案的 Panorama 不同，SCM 提供基于云、AI 驱动的集中式监管能力。</div>
<b>#52</b><br>哪项操作允许工程师使用 Strata Cloud Manager (SCM) 集中更新 VM-Series 防火墙？<hr><i style=color:#888>Which action allows an engineer to collectively update VM-Series firewalls with Strata Cloud Manager (SCM)?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 创建设备分组规则<br><span style=color:#888>Creating a device grouping rule</span><br><br><div style=color:#444>SCM 中的设备分组规则允许管理员将防火墙组织成逻辑组，并跨这些组集中管理更新或配置推送。“SCM 允许您创建设备组规则，从而对多个 NGFW 实例进行简化管理和集中更新。”（来源：SCM Device Grouping）此方法可确保大规模部署中软件版本和配置基线的一致性。</div>
<b>#53</b><br>某网络安全工程师需要实施分段，但受严格的合规要求约束，需将安全实施点尽可能靠近托管在 Azure 中的私有应用。在此场景中，哪种部署方式是有效且满足要求的？<hr><i style=color:#888>A network security engineer needs to implement segmentation but is under strict compliance requirements to place security enforcement as close as possible to the private applications hosted in Azure. Which deployment style is valid and meets the requirements in this scenario?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 在 VM-Series NGFW 上，配置多个第 3 层区域并分配第 3 层接口，以对网络进行逻辑分段。<br><span style=color:#888>On a VM-Series NGFW, configure several Layer 3 zones with Layer 3 interfaces assigned to logically segment the network.</span><br><br><div style=color:#444>在 Azure 等云环境中，部署 VM-Series NGFW 以创建最靠近应用工作负载的第 3 层分段区域。“在 Azure 中，以第 3 层模式部署 VM-Series 防火墙，在最靠近私有应用之处实施安全策略，从而满足严格的合规和分段要求。”（来源：VM-Series in Public Clouds）第 3 层分段确保在正确的边界实施安全策略，以在 Azure 的虚拟网络内隔离流量。</div>
<b>#54</b><br>高可用性（HA）对中的主防火墙在向辅助设备发送 ICMP ping 时正遇到故障切换问题。为确保防火墙对之间的 ICMP ping 正常，应审查哪项指标？<hr><i style=color:#888>A primary firewall in a high availability (HA) pair is experiencing a current failover issue with ICMP pings to a secondary device. Which metric should be reviewed for proper ICMP pings between the firewall pair?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 心跳轮询（Heartbeat polling）<br><span style=color:#888>Heartbeat polling</span><br><br><div style=color:#444>心跳轮询（Heartbeat polling）是一项核心的 HA 功能，用于监控 HA 对等设备之间的连接，利用 ICMP ping 来确定链路的健康状况和可用性。“心跳轮询使用 ICMP ping 来验证 HA 对等设备的连接和健康状况。如果心跳轮询失败，防火墙将认为对等设备已宕机，并可能启动故障切换。”（来源：HA Link and Path Monitoring）如果 ICMP ping 失败，检查心跳轮询日志有助于确定是否是链路或路径监控触发了故障切换。</div>
<b>#55</b> <b style=color:#fa582d>[多选 2项]</b><br>为确保分布式企业网络中跨多个站点的安全且高效的连接，有哪两项建议？（选择两项。）<hr><i style=color:#888>What are two recommendations to ensure secure and efficient connectivity across multiple locations in a distributed enterprise network? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,B</b></div><br><b>A.</b> 使用 Prisma Access 为分支机构用户提供安全的远程访问。<br><span style=color:#888>Use Prisma Access to provide secure remote access for branch users.</span><br><b>B.</b> 在所有站点采用集中式管理和一致的策略实施。<br><span style=color:#888>Employ centralized management and consistent policy enforcement across all locations.</span><br><br><div style=color:#444>使用 Prisma Access 实现安全远程访问：“Prisma Access 将一致的安全性和优化的连接扩展到分支机构，为移动和分支机构用户实现安全访问。”（来源：Prisma Access Overview）集中式管理以实现一致的策略实施：“使用 Strata Cloud Manager 或 Panorama 进行集中式管理，可确保安全策略和更新在分布式站点间统一应用，防止策略漂移和安全缺口。”（来源：Strata Cloud Manager Best Practices）这两项做法是现代分布式企业网络维持安全态势和性能的基础。</div>
<b>#56</b> <b style=color:#fa582d>[多选 2项]</b><br>在创建部署配置文件以将永久授权（perpetual）的 VM-Series 防火墙迁移到弹性 VM 时，需要哪两项配置？（选择两项。）<hr><i style=color:#888>Which two configurations are required when creating deployment profiles to migrate a perpetual VM-Series firewall to a flexible VM? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B,C</b></div><br><b>B.</b> 分配与永久授权 VM 相同数量的 vCPU。<br><span style=color:#888>Allocate the same number of vCPUs as the perpetual VM.</span><br><b>C.</b> 仅允许与永久授权 VM 相同的安全服务。<br><span style=color:#888>Allow only the same security services as the perpetual VM.</span><br><br><div style=color:#444>当从永久授权的 VM-Series 防火墙许可证迁移到弹性 VM 许可模式时，需要两个关键步骤：分配相同数量的 vCPU——这可确保 VM-Series 的容量保持一致，避免资源瓶颈。“当将永久授权的 VM-Series 许可证迁移到弹性 VM 许可时，应分配相同的 vCPU 和内存资源，以确保获得同等的性能。”（来源：VM-Series Flexible Licensing Migration）限制为相同的安全服务——弹性许可要求保持相同的安全服务以维持许可合规性。“确保在弹性 VM 实例上仅允许与永久授权 VM 上已许可的相同安全服务。”（来源：Flexible Licensing and Service Subscriptions）</div>
<b>#57</b><br>在 NGFW 上创建名为“default”的安全配置文件组（security profile group）时会发生什么？<hr><i style=color:#888>What occurs when a security profile group named “default” is created on an NGFW?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 它会自动应用于所有新的安全规则。<br><span style=color:#888>It is automatically applied to all new security rules.</span><br><br><div style=color:#444>名为“default”的安全配置文件组会自动应用于所有新的安全规则，除非明确配置了特定的配置文件组。“如果存在名为‘default’的安全配置文件组，它将自动应用于任何新创建的安全策略规则，以确保一致的防护。”（来源：Security Profile Groups）此行为确保新创建的策略始终受默认安全配置文件的保护，从而将人为错误降至最低。</div>
<b>#58</b><br>在服务提供商环境中，实施虚拟系统（virtual systems）在管理多个客户环境方面提供了什么关键优势？<hr><i style=color:#888>In a service provider environment, what key advantage does implementing virtual systems provide for managing multiple customer environments?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 控制与安全策略的逻辑隔离<br><span style=color:#888>Logical separation of control and Security policy</span><br><br><div style=color:#444>虚拟系统在单台物理防火墙中提供逻辑隔离，使不同客户（或租户）能够拥有相互隔离的控制和安全策略。“虚拟系统使服务提供商能够在单台防火墙上提供逻辑隔离的独立环境。每个虚拟系统都可以拥有自己的安全策略、接口和管理员。”（来源：Virtual Systems）这可在多租户环境中确保安全的、针对特定租户的分段。</div>
<b>#59</b><br>管理员希望在一台已启用一项 Cloud-Delivered Security Services (CDSS) 的数据中心 NGFW 上实施额外的 CDSS。该 NGFW 的 single-pass parallel processing (SP3) 架构提供了什么好处？<hr><i style=color:#888>An administrator wants to implement additional Cloud-Delivered Security Services (CDSS) on a data center NGFW that already has one enabled. What benefit does the NGFW’s single-pass parallel processing (SP3) architecture provide?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 性能只会有轻微下降。<br><span style=color:#888>There will be only a minor reduction in performance.</span><br><br><div style=color:#444>Palo Alto NGFW 的 SP3 架构确保额外的安全服务（CDSS）只会导致轻微的性能下降，因为流量在单次通过（single pass）中只被检查一次。“single-pass parallel processing (SP3) 架构在一次通过中同时执行应用识别和安全实施，从而在启用多项安全服务时仅产生轻微的性能影响。”（来源：SP3 Architecture）与传统的多次通过（multi-pass）引擎不同，SP3 架构在提供全面安全防护的同时优化了性能。</div>
<b>#60</b><br>防火墙管理员如何以最省时的方式阻止一个包含 300 个唯一 URL 的列表？<hr><i style=color:#888>How can a firewall administrator block a list of 300 unique URLs in the most time-efficient manner?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 将该列表导入到自定义 URL 类别（custom URL category）中。<br><span style=color:#888>Import the list into a custom URL category.</span><br><br><div style=color:#444>对于包含大量特定 URL 的列表，创建自定义 URL 类别（custom URL category）并导入该列表是进行精细化 URL Filtering 最高效的方法。“您可以创建自定义 URL 类别来定义特定的 URL 或模式，并对这些类别实施策略。这是处理大量 URL 集合最高效的方式。”（来源：Custom URL Categories）与手动创建规则或使用通用应用过滤器相比，此方法可节省时间。</div>
<b>#61</b><br>在 SCM 中，配置隔离设备（quarantined devices）的菜单在哪里？<hr><i style=color:#888>Where is the menu to configure quarantined devices in SCM?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> quarantined device list<br><span style=color:#888>quarantined device list</span>
<b>#62</b><br>管理员希望优化攻击面并检查配置是否符合 CIS 标准。在 SCM 中的何处可以访问此功能？<hr><i style=color:#888>An administrator wants to optimize the attack surface and check if configurations comply with CIS standards. Where in SCM can this function be accessed?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> BPA<br><span style=color:#888>BPA</span>
<b>#63</b><br>哪种文件类型支持 WildFire 内联检测（inline detection）？<hr><i style=color:#888>Which file type supports WildFire inline detection?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> PE 文件<br><span style=color:#888>PE files</span>
<b>#64</b><br>防火墙多久从 Advanced WildFire 获取一次签名数据库更新？<hr><i style=color:#888>How often does the firewall retrieve signature database updates from Advanced WildFire?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 5 到 10 分钟内<br><span style=color:#888>Within 5 to 10 minutes</span>
<b>#65</b><br>当 PE 文件的上传被限制时，可以在哪里查看阻止日志？<hr><i style=color:#888>Where can you view the block logs when upload of a PE file is restricted?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 数据过滤日志（data filtering logs）<br><span style=color:#888>data filtering logs</span>
<b>#66</b><br>哪项 CDSS 服务可缓解钓鱼（phishing）威胁？<hr><i style=color:#888>Which CDSS service mitigates phishing threats?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> URL Filtering<br><span style=color:#888>URL Filtering</span>
<b>#67</b><br>管理员负责哪些 Prisma Access 运维操作？<hr><i style=color:#888>Which Prisma Access operations are the administrator responsible for?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 客户端升级（Client upgrades）<br><span style=color:#888>Client upgrades</span>
<b>#68</b> <b style=color:#fa582d>[多选 2项]</b><br>SCM 合规报告支持哪两项合规标准？（选择两项。）<hr><i style=color:#888>Which two compliance standards are supported by SCM compliance reports?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B,C</b></div><br><b>B.</b> NIST<br><span style=color:#888>NIST</span><br><b>C.</b> CIS<br><span style=color:#888>CIS</span>
<b>#69</b> <b style=color:#fa582d>[多选 3项]</b><br>当设备被添加到控制器的 Devices 库存列表时，可能会出现哪些状态？<hr><i style=color:#888>What statuses may appear when devices are added to the controller’s Devices inventory list?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,B,C</b></div><br><b>A.</b> Unclaimed（未认领）表示该设备已在库存中可用，但尚未被认领。<br><span style=color:#888>Unclaimed indicates that the device is available in the inventory, but has not been claimed.</span><br><b>B.</b> Offline（离线）表示该设备尚未与 Prisma SD-WAN 控制器通信。<br><span style=color:#888>Offline indicates that the device is not yet communicating with the Prisma SD-WAN controller.</span><br><b>C.</b> Online-Restricted（在线-受限）表示该设备正在与 Prisma SD-WAN 控制器通信，但尚未被认领。<br><span style=color:#888>Online-Restricted means that the device is communicating with the Prisma SD-WAN controller, but has not yet been claimed.</span>
<b>#70</b> <b style=color:#fa582d>[多选 3项]</b><br>当防火墙通过 ZTP 向 Panorama 注册时，在防火墙开机之前需要在 Panorama 上进行哪些预配置？<hr><i style=color:#888>When a firewall registers to Panorama via ZTP, what pre-configurations are required on Panorama before the firewall powers on?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,B,C</b></div><br><b>A.</b> 在 Panorama 上使用序列号和 Claim key 注册该防火墙<br><span style=color:#888>Register the firewall on Panorama with serial number and Claim key</span><br><b>B.</b> 确认该防火墙已在 CSP 中正确注册<br><span style=color:#888>Confirm the firewall is properly registered in CSP</span><br><b>C.</b> 配置 Template、template stack、device group 和接口<br><span style=color:#888>Configure Template, template stack, device group and interfaces</span>
<b>#71</b> <b style=color:#fa582d>[多选 2项]</b><br>HIP 支持检测主机上的哪些配置？<hr><i style=color:#888>Which configurations on hosts are supported for detection by HIP?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,B</b></div><br><b>A.</b> 反恶意软件（Anti-malware）<br><span style=color:#888>Anti-malware</span><br><b>B.</b> 磁盘加密（Disk Encryption）<br><span style=color:#888>Disk Encryption</span>
<b>#72</b> <b style=color:#fa582d>[多选 2项]</b><br>在 Prisma Access 中，Remote Network 的流量引导（Traffic steering）支持哪些配置？<hr><i style=color:#888>What configurations are supported for Traffic steering of Remote Network in Prisma Access?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,B</b></div><br><b>A.</b> EDL<br><span style=color:#888>EDL</span><br><b>B.</b> DAG（Dynamic Address Group）<br><span style=color:#888>DAG (Dynamic Address Group)</span>
<b>#73</b> <b style=color:#fa582d>[多选 2项]</b><br>哪两种 GlobalProtect 模式允许部分用户通过 GP 访问内部应用，同时其他用户通过第三方 VPN 访问内部应用？<hr><i style=color:#888>Which two GlobalProtect modes allow partial users to access internal apps via GP while other users access internal apps through third-party VPN?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,B</b></div><br><b>A.</b> Proxy（代理）<br><span style=color:#888>Proxy</span><br><b>B.</b> Hybrid（Proxy+Tunnel，混合：代理+隧道）<br><span style=color:#888>Hybrid(Proxy+Tunnel)</span>
<b>#74</b><br>Path Selection（路径选择）的步骤顺序是什么？<hr><i style=color:#888>What is the sequence of steps for Path Selection?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 基于 Policy（策略）选择可用路径<br><span style=color:#888>Select available paths based on Policy</span><br><br><div style=color:#444>-&gt;D-&gt;B-&gt;C</div>