NetSec-Pro V2.0 高频考点速记表

Palo Alto Networks · Network Security Professional · 基于 74 题提炼 · 考前 10 分钟速扫 · Ctrl/⌘+P 可打印

⭐ 黄金法则(必背)

  1. 解密四型速记:Forward Proxy=出站客户端到外部服务器(需查证书链+防pinning);Inbound Inspection=入站到内部服务器(导入服务器私钥证书做MITM);SSH Proxy=解SSH(证书失败即阻断、拒旧协议);Decryption policy决定是否解密/可见性,Decryption profile只定义解密后检查参数。
  2. SP3(Single-Pass Parallel)单次通过同时做App-ID+安全实施:SSL/TLS解密=CPU密集、仅新会话slow path执行,会话查找/L2-L4/策略查找走fast path;已开一项CDSS再加一项只有slight(轻微)性能下降,不是零下降。
  3. SCM=AI驱动云端统一管理平面(NGFW+Prisma Access单界面);Panorama=on-prem本地集中管理;VM-Series可被Panorama与SCM双管;Enterprise DLP一处配置(SCM)同时覆盖Prisma Access与NGFW。
  4. AWS Cloud NGFW:用Panorama或AWS原生控制台管理;策略按创建顺序(创建即评估顺序)、无rule priority、不能拖动;集中式部署=把NGFW作安全工作负载加进所选VPC(非替换IGW/建TGW)。
  5. HA区别:单一浮动/共享IP仅active/passive支持(故障切换IP移到活动端);active/active两台同时转发、各需独立IP;心跳轮询(Heartbeat Polling)用ICMP ping判对端健康。
  6. 各安全订阅定位:DNS/域名威胁+sinkhole=Anti-Spyware/Advanced DNS Security;钓鱼=Advanced URL Filtering;未知文件沙箱=WildFire;漏洞利用=Advanced Threat Prevention;数据外泄=Enterprise DLP。
  7. Prisma Access升级职责:Management plane/Data plane/Content updates全由Palo Alto云端托管,客户管理员只负责Client(GlobalProtect代理)升级;数据平面升级最佳实践=先备份+非高峰+分阶段。
  8. Prisma Access接入:移动用户走GlobalProtect(client-based VPN,协议覆盖最全);远程网络(Remote Network)走IPSec隧道需现场IPSec终结节点;二者分别对应agent与IPSec,别混。
  9. 升级PAN-OS必逐个经过每个中间主版本、不能跳版(9.1→10.0→11.0→11.2);Panorama版本须>=其管理的防火墙版本(同版本或更高)。
  10. WildFire:动态分析(Dynamic)在沙箱引爆样本查零日;inline detection针对PE文件;签名库5-10分钟更新一次;通过WildFire API与第三方集成。
  11. 设备状态精细准入靠GlobalProtect HIP检查(采集OS/补丁/防病毒/磁盘加密等主机态势),MFA只验身份不评估合规。
  12. SCM合规/最佳实践评估用BPA(覆盖NIST与CIS);Prisma Access移动用户排障用GlobalProtect logs+ADEM;威胁日志在SCM或Strata Logging Service查看。

☁️ Prisma Access / SASE

  • 移动用户最全协议覆盖=client-based VPN(GlobalProtect),把企业安全堆栈经安全隧道延伸到远程终端。
  • 升级职责划分:Management/Data plane与Content updates由PA云托管,管理员仅负责Client(GP代理)升级。
  • 远程网络(Remote Network)接入靠现场IPSec termination node建IPSec隧道(移动用户才用GP agent)。
  • 移动用户威胁日志可在SCM查看,也可发送至Strata Logging Service做详细威胁分析与可视化。
  • 移动用户访问SaaS排障=GlobalProtect logs(连接/隧道/认证)+ADEM控制台(端到端体验与路径可见)。
  • 数据平面软件升级最佳实践:先备份配置+安排非高峰时段+分阶段(先非关键站点验证再推关键站点)。
  • 可配置Interzone(区域间)安全策略,做云交付架构下跨安全边界的精细流量管控。
  • HIP采集端点安全态势(如Anti-malware、Disk Encryption),据此在策略中做合规准入判断。
  • Remote Network流量引导(Traffic steering)支持基于EDL与DAG(Dynamic Address Group)匹配/引导。
  • GlobalProtect的Proxy与Hybrid(Proxy+Tunnel)模式可与第三方VPN共存分流(纯Tunnel不行)。
⚠ 易错
  • 移动用户覆盖面:显式代理/无客户端VPN/企业浏览器都不如client-based VPN全面。
  • 威胁日志不是Prisma Cloud仪表板,也不是service connection防火墙。
  • 远程网络不需要GlobalProtect agent;Cloud Identity Engine/ADEM也非接入必要前提。
  • 排障别选SaaS Application Risk Portal(看风险)或Capacity Analyzer(看容量)。
  • 数据平面别全网一次性同时升级,更不能为避冲突临时禁用安全功能。
  • Prisma Access中zone类型选Interzone,不是DMZ/Clientless VPN/Intrazone。
  • HIP查主机端态势(防病毒/加密/补丁/防火墙),不是网络层属性,别只当查病毒库或OS版本。
  • Traffic steering依赖动态对象(EDL/DAG),不用静态手工地址。

🔓 解密(SSL/SSH/Forward/Inbound)

  • SSL Forward Proxy=解出站客户端到外部服务器的SSL,启用前必评估两前提:不完整证书链、certificate pinning。
  • SSL Inbound Inspection=防火墙作MITM,用导入的服务器私钥+证书解外部客户端到内部服务器的入站会话,检查后再加密。
  • SSH Proxy profile应:证书验证失败即阻断会话、阻断旧版/不合规SSH协议版本,强化加密降MITM。
  • Decryption policy决定是否解密与可见性,可扩展到PQC(后量子)等新算法的可见/保护/阻断/日志。
  • 管控IT批准SaaS(出站)两步:配SSL Forward Proxy解出站SSL+验证信任用根/中间CA证书(避免SSL错误)。
⚠ 易错
  • Forward Proxy前提与RADIUS配置文件、SAML证书无关。
  • Inbound Inspection不是透明运行,也不是解密到外部服务器(那是Forward Proxy),更不是解SSH。
  • SSH Proxy别选允许旧版SSH协议、或解密资源不可用时放行会话。
  • 决定是否解密靠Decryption policy而非Decryption profile(profile只定义解密后检查/协议参数);也别选DNS Security profile。
  • 出站SaaS不能用SSL Inbound Inspection(那保护本地服务器);别盲目新建自签名证书,应先验证/部署可信CA。

🛡️ 安全订阅与 CDSS

  • Anti-Spyware:对恶意域名DNS查询做sinkhole牵引+检测可疑DNS活动,阻断数据外泄与C2(基于DNS的防护归它)。
  • WildFire动态分析(Dynamic)在受控沙箱引爆未知样本、观察真实行为,查零日与高级恶意软件。
  • Enterprise DLP:集中式DLP profile在SCM一处配置,同时应用于Prisma Access与NGFW;把匹配Data Filtering条件的非文件流量(内联/SaaS)送云端分类裁定查外泄。
  • Advanced WildFire通过WildFire API(RESTful)与第三方集成:样本提交、判定获取、情报自动化共享;签名库5-10分钟更新一次;inline detection针对PE(Windows可执行)文件。
  • 恶意/错误配置域名需两订阅协同:Advanced Threat Prevention(拦含DNS的漏洞利用与恶意通信)+Advanced DNS Security(实时情报检测并sinkhole可疑DNS查询)。
  • 启用ATP内联云分析(inline cloud analysis):更新/新建Anti-Spyware profile并启用本地deep learning模型+云端交付特征码。
  • Advanced DNS Security与Anti-Spyware集成,初始关键步骤=配DNS Security特征码策略对恶意DNS查询做sinkhole。
  • 钓鱼(phishing)防护靠Advanced URL Filtering,拦钓鱼站点与凭据钓鱼。
⚠ 易错
  • 基于DNS的sinkhole归Anti-Spyware,不是Antivirus/URL Filtering/Vulnerability Protection。
  • 别选静态分析(不执行)/Intelligent Run-time Memory Analysis/ML;只有动态分析真引爆运行。
  • Enterprise DLP:不需在NGFW与Prisma Access分别重复配(答案是一个位置);记录外泄用Enterprise DLP Profile,不是File Blocking/Vulnerability Protection。
  • WildFire集成入口是WildFire API,不是playbook/自定义报告/Strata Logging Service;inline别选APK或PDF;更新别选实时或每24小时。
  • 域名威胁别选Advanced WildFire(管未知文件)或SaaS Security(管SaaS可见性)。
  • 内联云分析挂在Anti-Spyware profile上,不靠开SSL解密或用默认profile激活,禁用anti-spyware更错。
  • Advanced DNS Security别给公司FQDN建overrides、别去解DoT/853端口、别只启用ATP默认设置。
  • 防钓鱼靠URL Filtering,不是DNS Security或WildFire。

🎯 策略·对象·App-ID/User-ID

  • Dynamic Address Groups(DAG)基于标签(日志/API动态填充)自动更新策略,服务器角色或IP变化无需手动改规则。
  • Content-ID核心=single-pass的L7深度检测:流量扫一次同时实施多项安全控制,兼顾效率与全面。
  • App-ID Cloud Engine(ACE)用云端实时情报识别未知/未经许可(unsanctioned)的SaaS应用。
  • VM-Series最全策略=User-ID+App-ID+解密+合适安全profile+dynamic updates定期更新(实时、身份感知、以应用为中心)。
  • 承包商仅非工作时间访问=User-ID(按身份)+Schedule(按时间段)组合。
  • 阻止300个特定URL最省时=导入Custom URL Category再做URL Filtering。
  • 名为default的Security Profile Group自动套用到所有新建规则(除非显式指定其他组),降低漏配。
  • Prisma Access源地址用取反(negated)区域会排除该区域流量,需再建一条目的any的放行策略避免误丢包。
⚠ 易错
  • 随服务器角色/IP自适应的是DAG不是Dynamic User Groups(那按用户);静态地址对象不自适应。
  • Content-ID不是仅看包头/流量量,也不主要靠reputation。
  • 发现未知SaaS用ACE,不是普通App-ID(静态签名识别不了)/SaaS Data Security/Cloud Identity Engine。
  • VM-Series别选纯端口策略或只靠默认策略(端口策略无法应用与身份感知)。
  • 特定用户+特定时间靠User-ID+Schedule,App-ID(识应用)/Service(端口协议)都不解决。
  • 300个URL别用application filters/groups(那按App-ID非URL),也别堆预定义URL类别(太粗)。
  • default组是自动应用,不是绕过检查/使规则失效/仅对reset流量生效。
  • 取反区域断连不靠application-default/加Dynamic Application Group/把私有IP塞进源地址,而是为被排除区域另建放行策略。

🗂️ 管理与升级(Panorama/SCM/PAN-OS)

  • SCM=AI驱动云端统一管理平面,为NGFW与Prisma Access提供单界面一致策略与运营洞察。
  • 跨主版本升级必逐个经每个中间主版本、不能跳版;9.1→11.2走9.1→10.0→11.0→11.2。
  • 升级前Panorama的PAN-OS版本须>=防火墙将装版本(同版本或更高)。
  • VM-Series可同时由Panorama(集中管物理+虚拟)与SCM(云管)两者管理。
  • 防火墙关联SCM后需两步:配NTP+DNS、安装device certificate(向PA云认证身份)。
  • SCM证书管理最佳实践=集中式证书自动化(标准化协议+自动续订+持续监控)。
  • SCM用Device Grouping Rules把多台NGFW/VM-Series组成逻辑组,做集中更新与配置基线一致。
  • SCM合规报告(Compliance)支持NIST与CIS;合规/最佳实践评估用BPA。
  • Panorama通过dynamic updates推送内容:Applications and threats与WildFire特征码。
  • Panorama统一报表:Custom Reports生成数据+PDF summary分发(合规/运营一致)。
  • 自定义Prisma Access报告前置=先配dashboard聚合日志分析再导出为报告(可PDF)。
  • Strata Logging Service通过动态弹性扩展满足日志保留,扩容/新增站点仍保持全面可见。
  • ZTP注册前Panorama侧需预置:序列号+Claim key注册、确认CSP已注册、配好Template/Template Stack/Device Group及接口。
  • SCM隔离设备管理入口=Quarantined Device List菜单。
  • 转发Strata日志给SOC做威胁狩猎属Zero Trust的Report and Maintenance阶段。
⚠ 易错
  • 统一管理平面别选Panorama(on-prem)、ADEM(体验监控)或Prisma Access Browser。
  • 升级路径中间主版本一个都不能省(别选9.1→11.0→11.2或9.1→10.0→11.2)。
  • 别选设备遥测已启用/同模板栈/日志收集组主设备之类无关兼容性项。
  • 能被Panorama与SCM双管的是VM-Series NGFW,不是ADEM/Prisma SD-WAN/SaaS Security。
  • 关联SCM后无需每分支部署service connection,也无需专门放行stratacloudmanager域名的Security策略。
  • 证书别选每环境独立CA/手动季度审查/云厂商默认证书。
  • 先建Device Grouping Rules才能集中管理,不是计划软件更新/设目标OS,也无更新分组规则一说。
  • SCM合规别选PCI-DSS或GDPR。
  • 内容推送别选Advanced URL Filtering(云查询非内容包)或GlobalProtect data file。
  • 统一报表别选SNMP(监控告警)或CSV export(原始数据)。
  • 自定义报告无需开工单/设Cloud Identity Engine/先生成PDF摘要,核心是配dashboard。
  • Strata Logging Service价值是随业务扩展容量,不是分散存储/自动选存储区域/复用许可带宽。
  • ZTP不是零配置,Panorama仍要预置序列号+Claim key、CSP注册和模板/设备组。
  • 别选写法相近的Quarantine Devices,正确名是Quarantined Device List。
  • 转发日志给SOC不属Implementation或Map and Verify Transactions阶段。

⚙️ 架构·HA·SP3

  • SP3(Single-Pass Parallel):SSL/TLS解密=CPU密集,仅新会话slow path执行,后续包走fast path。
  • SP3单次通过同时做App-ID+安全实施,已开一项CDSS再加一项只slight(轻微)性能下降。
  • 单一浮动/共享IP仅active/passive HA支持;active/active两台同时转发、各需独立IP。
  • 心跳轮询(Heartbeat Polling)用ICMP ping验证HA对端连通与健康,ping失败即判宕机可能触发切换。
  • SYN cookies在三次握手完成前、不预分配资源即验证会话合法,缓解SYN洪泛资源耗尽。
  • 服务商多租户下Virtual Systems(vsys)核心优势=单台内各租户逻辑隔离(各自策略/接口/管理员)。
⚠ 易错
  • 会话查找/L2-L4防火墙处理/安全策略查找都属fast path,唯SSL/TLS解密是slow path专有。
  • SP3陷阱是完全无性能下降(错);正确是slight;也别选内联加检测设备的multi-pass思路。
  • 别选路由冗余/ARP负载分担/DHCP客户端,唯一仅A/P支持项是单一浮动IP。
  • ICMP ping对应Heartbeat Polling;链路监控看接口up/down,BFD是快速转发检测,别混。
  • 别把手段SYN cookies与攻击名SYN flood protection混淆,也别选SYN位或RED。
  • vsys核心是隔离,不是共享威胁策略/集中身份验证/统一日志。

🖥️ 云 NGFW 与部署(AWS/Azure/VM-Series)

  • AWS Cloud NGFW可用Panorama(集中安全管理)或AWS原生控制台(原生集成)配置管理。
  • AWS Cloud NGFW策略按创建顺序从上到下评估,无rule priority/order字段、不能拖动改序。
  • AWS集中式(centralized)=把Cloud NGFW作安全工作负载部署进所选VPC检测流量。
  • Azure贴近私有应用分段:部署VM-Series NGFW并用Layer 3区域/接口逻辑分段。
  • 配合CASB保护SaaS:对data-at-rest与in-transit同时加密+定期轮换密钥+用强算法。
  • 永久授权VM-Series迁弹性许可:profile分配相同vCPU数+仅允许相同安全服务(性能对等+许可合规)。
⚠ 易错
  • AWS管理别选Cortex XSIAM或Prisma Cloud管理控制台。
  • AWS用创建顺序即评估顺序,别选设置rule order/priority或可拖动(那是Panorama)。
  • AWS集中式是加进所选VPC,不是替换internet gateway或另建transit gateway VPC;安全VPC作TGW/放vWAN virtual hub是Azure思路。
  • Azure别选PA-Series(硬件进不了云内);别选Layer 2(云内隔离靠L3区域)。
  • 别为性能关闭data-at-rest加密/沿用SaaS默认密钥/仅一年轮换一次。
  • 弹性许可关键是vCPU数与安全服务对齐,不是Fixed vCPU Models或部署虚拟Panorama。

🔌 SD-WAN·IoT·其他

  • Prisma SD-WAN站点间最优流量首要配置=Dynamic Path Selection(持续监测丢包/延迟/抖动实时选路满足SLA)。
  • SD-WAN路径选择顺序:Policy选候选→Link status→Bandwidth→App performance逐层筛最优链路。
  • 分支/园区间安全高效连接=实施SD-WAN按实时指标智能选路+配zone protection profiles。
  • Prisma SD-WAN语音质量下降第一步=看路径性能实时分析(延迟/抖动/丢包)定位根因,先诊断不改配置。
  • ALG建连需检查并修改应用层协议(SIP/FTP)的payload,管理动态端口并正确套NAT与安全策略。
  • IoT Security用Device-ID被动指纹分类,三要素=MAC地址、设备制造商、操作系统(厂商无关)。
  • IoT Security须向Strata Logging Service转发两类日志:Enhanced application logs(建Device-ID画像)+Threat logs(威胁可见)。
  • 分布式企业两建议:用Prisma Access给分支/移动用户安全访问+全站点集中管理与一致策略(防漂移)。
  • Prisma SD-WAN控制器设备状态:Unclaimed=在库存未认领;Offline=从未与控制器通信;Online-Restricted=已通信但仍未认领。
⚠ 易错
  • SD-WAN首先建Dynamic Path Selection,不是先配静态路由/对所有分支开split tunneling/冗余ION设备。
  • 路径选择顺序是Policy→链路状态→带宽→应用性能,链路状态先于带宽,别先看带宽或应用性能。
  • 分支园区连接别选逐台site-to-site隧道+VLAN/单一共享广播域/一台园区防火墙集中路由。
  • 语音下降别一上来就改路径阈值/切VoIP到备路径/对ION设备RMA,应先数据驱动诊断。
  • ALG答案是payload;DIPP/SIP/pinholes是干扰(pinhole是ALG打开的结果非其所需)。
  • Device-ID三要素是MAC/制造商/OS,不是IP+流量模式+设备类型,也不含固件版本或用户凭据。
  • IoT日志不是WildFire或URL Filtering,是增强型应用日志+威胁日志。
  • 分布式企业别选给承包商建宽泛VPN策略或扁平化网络(削弱安全、违最小权限与分段)。
  • 关键区别:Online-Restricted是已通信但未认领,Offline是从未通信,Unclaimed是在库存但未认领。