このシナリオでは、物理ファイアウォールと仮想ファイアウォールのフォーム ファクターの異なる長所と想定される使用例について説明します。 - PA シリーズ: データセンターのインターネット エッジなど、主要なネットワーク チョーク ポイントにおける高パフォーマンス、高スループット、物理接続のニーズに対応するように設計されています。高速化専用のハードウェアを搭載しています。 - VM シリーズ: 仮想化環境またはクラウド環境で柔軟性と拡張性を提供するソフトウェア ファイアウォールです。仮想化データセンターまたはクラウド環境内の仮想マシンとセグメントのセキュリティ保護に最適です。オプション A は、インターネット エッジの高パフォーマンスの物理要件と PA シリーズ、および仮想化環境の柔軟性のニーズと VM シリーズを正しく組み合わせています。どちらも Panorama で一元管理できるため、ポリシーの一貫性を確保できます。オプション B は誤りです。クラウド NGFW と CN シリーズは主にパブリック クラウド/コンテナ環境向けであり、物理データセンターのインターネット エッジや一般的な仮想サーバー環境 (VM シリーズの方が汎用性が高い) 向けではありません。オプション C は適切な使用例が逆になっています。オプション D と E は説明どおり誤りです。

Palo Alto Networks プラットフォームは、セキュリティ機能ごとに特定のログ タイプを生成します。データ フィルタリング プロファイルの一致に関連するイベントは、専用のデータ フィルタリング ログに記録されます。- オプション A: トラフィック ログにはセッションの詳細とポリシー アクションが記録されますが、セッション内でデータ フィルタリング イベントが発生した理由の詳細は記録されません。- オプション B: システム ログにはファイアウォールの動作イベントが追跡されます。- オプション C: 脅威ログにはマルウェアやエクスプロイトなどが記録されますが、DLP の一致は記録されません。- オプション D: URL フィルタリング ログには Web アクセスが追跡されます。- オプション E (正解): データ フィルタリング ログは、データ フィルタリング プロファイル ルールが一致してトリガーされたとき (アラートやブロック アクションなど) にのみ生成されます。これらのログには、セッション、検出されたパターン、実行されたアクション、および構成に応じて周囲のコンテキストに関する詳細が含まれます。

仮想化環境およびクラウド環境における HA には、特定の考慮事項があります。 - オプション A (誤): パブリック クラウド ネットワークでは、多くの場合、HA フェイルオーバーのための Gratuitous ARP または直接 MAC アドレス操作が制限されているか、サポートされていません。クラウド内の VM-Series HA は通常、ルート テーブルまたは IP アドレスを更新するための API 呼び出し、または外部ロード バランサーなどのクラウド固有のメカニズムに依存しています。 - オプション B (正): VM-Series 上のアクティブ/アクティブ HA には、着信トラフィックを両方のアクティブなファイアウォール インスタンスに送信して負荷を分散するための外部メカニズム (AWS ネットワーク ロード バランサーや Azure 標準ロード バランサー、またはルーティング操作など) が必要です。 - オプション C (正): アクティブ/アクティブ HA では、複数のファイアウォールが同時にトラフィックを処理します。1 つのアクティブ インスタンスに障害が発生した場合にセッションの継続性を確保するには、インスタンス間でセッション状態を同期する必要があります。そうしないと、障害の発生したインスタンスによって以前に処理されていたセッションの残りのアクティブ インスタンスに到着したトラフィックが新しいセッションと見なされ、中断が発生する可能性があります。 - オプション D (正): AWS/Azure 向けのクラウド NGFW はマネージド サービスです。クラウド プロバイダーと Palo Alto Networks は、基盤となる HA およびスケーリング メカニズム (多くの場合、マルチ AZ) を、ファイアウォール サービスを利用しているユーザーに対して透過的に処理します。 - オプション E (誤り): 物理 PA シリーズは専用の HA リンクを使用しますが、クラウド環境の VM シリーズは通常、専用の管理または HA サブネット/VLAN 内で、HA 同期トラフィックに標準の仮想ネットワーク インターフェイスを使用します。

Palo Alto Networksは、製品ポートフォリオに対して、サポートレベルの異なる様々な管理プラットフォームを提供しています。Panoramaは、物理および仮想ファイアウォール（PAシリーズ、VMシリーズ、CNシリーズ）向けの従来型の集中管理プラットフォームであり、Prisma Accessとの統合が可能です。Strata Cloud Manager（SCM）は、PAシリーズ、VMシリーズ、CNシリーズを含む幅広いフォームファクターを統合管理するために設計された新しいクラウドベースのプラットフォームであり、SASEコンポーネントのサポートも強化されています。そのため、どちらのプラットフォームも複数のフォームファクターを管理できます。オプションAとBは制限が厳しすぎます。オプションDはPrisma Access構成専用です。オプションEは分散管理です。

ファイルブロッキングプロファイルは、ファイルの種類と転送方向（アップロードまたはダウンロード）に基づいてファイルの転送を制御するために特別に設計されたContent-IDコンポーネントです。オプションDはこの機能を正確に説明しています。管理者は、例えば.exeファイルのダウンロードをブロックしたり、.zipファイルのアップロード（特に暗号化されているため検査できない場合）をブロックしたり、.pdfファイルのダウンロードは許可したりするなど、きめ細かなルールを作成できます。オプションAはファイルを分析用に送信しますが、ファイルの種類に基づいてブロックすることはありません。オプションBはファイルの種類ではなくデータパターンを使用します。オプションCはサイトをブロックしますが、許可されたサイトからダウンロードされた場合、ファイルの種類自体はブロックしません。オプションEは、ファイルの種類を制御するのではなく、脆弱性のシグネチャを使用します。