この質問は、デフォルトのゾーンルールとログ記録の動作に焦点を当てています。 - オプションA：明示的なルールに一致した場合、無効なログ記録プロファイルはログを阻止しますが、根本的な問題は明示的なルールがそもそも一致するかどうかです。 - オプションB（正解）：同じゾーンに割り当てられたインターフェース間のトラフィックは、「intra-zone-default」ルールによって許可されます。重要なのは、デフォルトルール（intra-zone-default allow と inter-zone-default deny の両方）に一致したトラフィックは、明示的なポリシールールが明示的にゾーン内トラフィックのデフォルト動作をオーバーライドするように設定されていない限り、評価またはログ記録のために明示的なセキュリティポリシールールテーブルにヒットしないことです。したがって、トラフィックは許可されますが、明示的なポリシールールに関連付けられたログ記録はトリガーされません。 - オプションC：タップモードは監視用であり、インライン転送用ではないため、説明されているようにトラフィックが流れるのを妨げます。 - オプションD：User-ID はログにユーザー名のコンテキストを提供しますが、トラフィックがログ記録対応ルールに一致した場合、User-ID がなくても、IP アドレスとアプリケーション/ポリシーの一致に基づいてセッション詳細がログに記録されることは防げません。 - オプション E: 誤った NAT ルールによって接続が切断される可能性がありますが、セッションが確立され、ログ記録が有効なセキュリティ ルールと一致している場合は、通常、ログ記録を妨げることはありません。

SSL フォワード プロキシの復号化は中間者 (Man-in-the-Middle) として動作し、特定のセキュリティ実装を持つアプリケーションを破壊する可能性があります。 - オプション A (正解): 証明書のピン留めは、SSL フォワード プロキシなどの MITM プロキシでアプリケーションが破壊される一般的な理由です。アプリケーションは、中間 CA (ファイアウォール) によって署名された証明書ではなく、元のサーバー証明書のみを信頼するようにハードコードされています。 - オプション B (正解): アプリケーションがクライアントにサーバーへの証明書の提示を要求する場合 (相互認証)、接続を傍受するファイアウォールは通常、このクライアント側の証明書の提示を実行できないため、認証が失敗します。 - オプション C (正解): 復号化プロファイルは、SSL/TLS ハンドシェイク中にファイアウォールがエラーを処理する方法を定義します。サポートされていない暗号スイートやプロトコル違反などのエラーに対して「ブロック」に設定すると、これらのパラメータを使用する正当なアプリケーションは、復号化をバイパスすることを許可されずにブロックされます。 - オプションD（正解）：クライアントデバイスがファイアウォールのルートCA（転送信頼証明書）を信頼していない場合、再署名された証明書は信頼できないものとして認識され、接続を拒否したりエラーを表示したりする可能性があります。これにより、アプリケーションが動作しなくなる可能性があります。 - オプションE（不正解）：SSLインバウンドインスペクションは、内部サーバーへのトラフィックを対象としています。外部リソースにアクセスするクライアントアプリケーション（SaaSや外部サービスにアクセスする内部アプリケーションなど、多くの「動作しない」アプリケーションに当てはまります）の場合、問題の原因はインバウンドインスペクションではなく、SSLフォーマッドプロキシです。

ユーザー ID に基づいてアプリケーション アクセスを制御することは、セキュリティ ポリシーおよび App-ID と統合された User-ID の中核機能です。 - オプション A (正解): これは有効なアプローチの 1 つです。承認されたユーザー グループに対して、ファイル共有 App-ID (「dropbox-upload」、「google-drive-upload」など) に一致する明示的な「許可」ルールを定義し、このルールをポリシー リストの上位に配置します。その後に続く、より広範なルールにより、より広範なユーザー グループ (または「すべての」ユーザー) に対して一般的なインターネット ブラウジング (「ウェブ ブラウジング」など) を許可します。 - オプション B (正解): これは、アクセスを制限するためによく使用される、同様に有効な代替アプローチです。ファイル共有 App-ID にアクセスすべきでないユーザー グループに一致する明示的な「拒否」ルールを定義します。この拒否ルールを一般的な「許可」ルールよりも上位に配置することで、一般的なブラウジング ルールによってトラフィックが許可される前に、禁止されたユーザーがブロックされることが保証されます。A と B はどちらも、戦略的に配置された明示的なポリシー ルールで App-ID と User-ID を使用することで、目的の結果を実現しています。 - オプションC：URLフィルタリングはURLカテゴリに基づいて動作します。「ファイル共有とストレージ」はカテゴリですが、App-IDは特定のアプリケーションアクティビティ（アップロードとダウンロード、認証など）をより細かく制御できます。App-IDを使用すると、一般的にこの種の制御はより正確になります。また、URLフィルタリングのみでグループの例外を管理するのは、セキュリティポリシーでユーザーグループを使用するよりも複雑になる場合があります。 - オプションD：NATポリシーはアドレス変換を処理しますが、アプリケーションやユーザーに基づくアクセス制御は処理しません。 - オプションE：App-IDは、ポート/プロトコルだけでなく、その他の要素に基づいて多くの一般的なファイル共有アプリケーションを自動的に識別するため、非常に珍しいアプリケーションや社内アプリケーションを扱う場合を除き、通常はカスタムシグネチャは不要です。

GlobalProtectは、Palo Alto Networksが提供するモバイルユーザー向けの包括的なリモートアクセスソリューションです。エンドポイント上のGlobalProtectクライアントソフトウェア、暗号化トンネルを終端するGlobalProtectゲートウェイ（NGFWまたはPrisma Access上）、そしてクライアントの設定と認証を行うGlobalProtectポータルで構成されています。ユーザーID（ユーザーID統合）、多要素認証、デバイスポスチャチェック（HIP）を完全にサポートしています。オプションAはサイト間SD-WAN向けです。オプションB、D、EはGlobalProtectゲートウェイをホストできるファイアウォールフォームファクタですが、ソリューション名ではありません。

クラウド配信セキュリティ サービス (CDSS) は、クラウドベースのインテリジェンスと分析を活用して、Palo Alto Networks プラットフォームのセキュリティの有効性を高めるサブスクリプションです。 記載されているプロファイルは、ディープ インスペクションに使用される主要な Content-ID セキュリティ プロファイルであり、その多くは、その効果を最大限に引き出すためにクラウドの検索と分析に大きく依存しています。 - オプション A (正解): 脅威対策は、IPS とスパイウェア対策にクラウド配信の脅威インテリジェンスを使用します。 - オプション B (正解): ウイルス対策は、リアルタイム スキャンにクラウド配信のマルウェア シグネチャを使用します。 - オプション C (正解): WildFire Analysis は、動的な分析と判定を行うために、不明なファイルをクラウド サンドボックスに送信します。 - オプション D (正解): URL フィルタリングは、分類と脅威インテリジェンス (悪意のある URL) のためにクラウドベースの URL データベースを照会します。 - オプション E (正解): ファイル ブロッキングは、ディープ インスペクションによって検出されたファイル タイプにポリシーを適用し、多くの場合、ウイルス対策および WildFire と連携して動作します。一部のプロファイルにはオンボックスコンポーネントも含まれていますが、その完全かつ動的でグローバルなインテリジェンスはクラウドサービスから提供されます。これらのプロファイルはすべて、包括的な検査のためにセキュリティポリシールールに適用される標準的なContent-IDセキュリティプロファイルです。