トラブルシューティングには、パケット フローとポリシー評価の順序を理解することが重要です。 - オプション A (正解): 新しいセッションの最初のパケットでは、ファイアウォールはまずパケットを NAT ポリシー ルールに対して上から下まで評価し、アドレス変換が必要かどうかを判断します。元のパケット ヘッダー (送信元 IP、宛先 IP、ポート) は、NAT ルールの元のパケット セクションと照合するために使用されます。 - オプション B (正解): NAT ルールが一致し、変換が適用されると、パケット ヘッダーが変更されます。次に、ファイアウォールはパケットをセキュリティ ポリシー ルールに対して評価します。セキュリティ ポリシー ルックアップでは、一致した NAT ルールによって NAT が適用された後のパケット ヘッダーが使用されます。たとえば、SNAT によって送信元 IP が変更されると、セキュリティ ポリシーでは変換された送信元 IP が確認されます。 - オプション C (不正解): App-ID の識別は、ポリシー ルックアップ プロセスの開始後、通常は最初のゾーン、IP、およびポートの照合によってファイアウォールがアプリケーションを識別するのに十分なトラフィックを確認できるようになった後に行われます。ポリシー評価の前には行われません。 - オプションD（不正解）：セキュリティポリシールールは、セキュリティポリシーエンジンに提示されるパケットヘッダーに基づいて評価されます。NATが適用されている場合（NATが最初に評価されます）、セキュリティポリシーは元のIPアドレスとポートではなく、変換されたIPアドレスとポートを参照します。 - オプションE（不正解）：復号化ポリシーの評価は通常、最初のポリシー検索とApp-ID識別（アプリケーションが暗号化されている場合）と同時またはその後に行われますが、セキュリティプロファイル（脅威防止など）がコンテンツに適用される前に行われます。セキュリティポリシールールの評価に対する復号化ポリシーの位置付けは微妙なニュアンスを持つことが多いですが、セキュリティポリシーが他の基準に基づいて許可/拒否を決定した後には評価されません。

ZTP は、ION をオンラインにしてファブリックに接続するための、デバイス固有の初期構成を提供します。 - オプション A: セキュリティ ポリシーが適用されている間に、ZTP は通常、デバイス固有のネットワーク構成と、ポリシーを受信するためのフレームワークを提供します。完全なポリシー セットは、後でプッシュされるか、テンプレートから継承されます。 - オプション B: ソフトウェア イメージは、通常は ZTP プロセスの前または ZTP プロセスの一部として個別にダウンロードされてインストールされますが、コントローラからの最初のダウンロードは構成です。 - オプション C (正解): ZTP プロセスは、ION をそのサイトに固有にする構成を提供します。インターフェイスの割り当てと設定、ゾーン マッピング、WAN リンクの詳細 (タイプ、帯域幅、ISP)、その背後にあるローカル サブネットの定義、および最初のコントロール プレーン接続と、場合によっては他のサイト (コントローラや他の ION/ハブなど) へのデータ プレーン トンネルを確立するために必要なパラメータです。 - オプション D: コア構成と接続が確立された後、動的コンテンツ更新がダウンロードされます。 -

ネットワークのパフォーマンスとレイテンシは、主にネットワーク パス、トンネルのパフォーマンス、ファイアウォール処理のオーバーヘッド、割り当てられた帯域幅によって影響を受けます。 - オプション A: 近くのクラウド エッジに接続すると、インターネット経由の最初の区間が短縮されます。 - オプション B: Prisma Access とデータセンター間のトンネルのパフォーマンスは、内部リソースへのアクセスに不可欠です。 - オプション C: セキュリティ プロファイル検査により処理オーバーヘッドが増加します。不要な検査を削減することで、スループットを向上させ、レイテンシを削減できます。 - オプション D (正解): アプリケーション機能制御は、アプリケーション アクションに基づくきめ細かなアクセス制御を目的としています。許可されたトラフィック フロー自体のネットワーク パフォーマンスやレイテンシには直接影響しません。 - オプション E: 輻輳なしでトラフィック量をサポートするには十分な帯域幅が必要であり、輻輳はパフォーマンスとレイテンシに直接影響します。

このログエントリは、Palo Alto Networks の統合アプリケーション識別および脅威防御の典型的な例です。オプション A はログを正しく解釈しています。App-ID はトラフィック フローを「ファイル転送」（具体的には、宛先ポートに示されているようにポート 21 を一般的に使用する FTP）として識別しました。アプリケーションが識別されると、関連するセキュリティ プロファイル（WildFire 分析を含む）が、アプリケーション セッションを通過するコンテンツに適用されました。その後、WildFire は転送中のファイル内でマルウェアを検出し、セキュリティ ポリシーで指定された「ブロック」アクションをトリガーしました。オプション B は不正解です。App-ID は、WildFire の分析とは独立して、プロトコル デコード、シグネチャ マッチング、ヒューリスティックなど、さまざまな手法に基づいてアプリケーションを識別します。WildFire は、識別されたアプリケーション内でマルウェアを確認します。オプション C は不正解です。IPS は脅威防御の一部ですが、ログには「脅威/コンテンツ タイプ」が「wildfire」、「カテゴリ」が「マルウェア」と明示的に記載されており、これは必ずしも IPS シグネチャではなく、WildFire エンジンによる検出を示しています。オプション D は不正解です。 Palo Alto NetworksのNGFWはアプリケーションレベルの制御で動作します。FTPなどのプロトコルをデフォルトポートでブロックするだけでも可能ですが、ここで示されているように、アプリケーションを識別し、そのコンテンツに脅威がないか検査するほど詳細な制御はできません。オプションEは一部のシナリオでは妥当ですが、WildFireがファイル転送自体でマルウェアを検出し、ブロックに至ったことを示すログエントリの具体的な詳細を直接説明するものではありません。

このシナリオでは、宛先 (データセンター vs. インターネット) に基づいてトラフィックをルーティングし、適切な NAT を適用します。 - オプション A (正解): パス ポリシーを使用してトラフィックを誘導します。データセンター アプリケーション (IP、アプリケーションなどで識別) 宛てのトラフィックには、確立された SD-WAN オーバーレイ トンネルを介してデータセンター サイトにトラフィックを誘導するパス ポリシー ルールが必要です。これらのトンネルは、プライベート IP 通信用に安全で最適化された接続を提供します。 - オプション B (正解): インターネット宛てのトラフィックにもパス ポリシー ルールが必要です。このルールは、パブリック IP 宛てのトラフィックを指定されたインターネット出力ポイントに誘導します。これは、ブランチの直接インターネット リンク (分散出力が使用されている場合) の場合もあれば、プロンプトに説明されているように、集中セキュリティとインターネット アクセスのためのセキュリティ スタック (Prisma Access やファイアウォールなど) をホストしている中央サイトに向けられる場合もあります。 - オプション C (不正解): 宛先 NAT (DNAT) は、内部サーバーへの着信トラフィックに使用されますプライベート IP を使用して内部データセンター アプリケーションにアクセスするブランチの場合、ブランチで DNAT は必要ありません。プライベート IP は SD-WAN オーバーレイ内でルーティング可能です。 - オプション D (正解): プライベート IP ユーザーからのインターネット宛てのトラフィックには、インターネット上で通信するためにプライベート IP をパブリック IP に変換するための送信元 NAT (SNAT) が必要です。この SNAT は NAT ポリシー ルールによって設定され、通常はインターネットの出力ポイント (ブランチの直接インターネット リンクまたは中央のセキュリティ スタック) で行われます。 - オプション E (不正解): セキュリティ ポリシーは、パス上に到達したらどのトラフィックを許可および検査するかを制御しますが、どのパス (データセンター トンネルとインターネット パス) を使用するかは、主にパス ポリシーによって決定されます。