ゼロトラストでは、最初のアクセスが許可された後も、トラフィックの継続的な検証と検査が必要です。Content-IDと関連機能は、この継続的な監視を提供します。 - オプションA（正解）：脅威対策エンジンは、確立され許可されたセッション内であっても、トラフィックペイロードを継続的にスキャンし、既知の攻撃パターンやコマンドアンドコントロールアクティビティを探します。 - オプションB（正解）：ウイルス対策は、転送されるファイルをスキャンします。WildFireは、セッション内で検出された未知または疑わしいファイルに対して、サンドボックス化と分析を提供します。 - オプションC（正解）：データフィルタリングは、送信データストリームを継続的に監視し、機密パターンを探して、セッション中のデータ損失を防ぎます。 - オプションD（正解）：URLフィルタリングは、Web閲覧セッション中に要求されたURLをポリシーと脅威フィードと照合します。これは、ユーザーがナビゲートしている間、継続的に実行されます。 - オプションE（不正解）：再認証はセキュリティ対策の一部ですが、Content-IDは、コンテンツ検査プロセスの一環として、設定された間隔でユーザーの資格情報を頻繁に再検証するのではなく、トラフィック自体のコンテンツとフローの検査に重点を置いています。

URL フィルタリングの誤分類やバイパスは、さまざまな要因により発生する可能性があります。 - オプション A (正解): HTTPS トラフィックの場合、ファイアウォールは通常、復号化の前に SNI 経由でホスト名を確認します。ただし、完全な URL パスの分類や、リアルタイム分析などの高度な機能では、リクエスト全体を確認するために復号化が必要です。これらのサイトで復号化が有効になっていないと、分類はホスト名のみに基づいて行われる可能性があり、精度の低いカテゴリや「なし」カテゴリが生成される場合があります。 - オプション オプション B (不正解): 高度な URL フィルタリングはクラウドベースのデータベースに依存しており、ファイアウォール上で手動で更新されるのではなく、動的に更新されます (更新は自動的に行われます)。 - オプション C (正解): 高度な URL フィルタリングのリアルタイム分析を使用しても、新しい Web サイトやあまり一般的でない Web サイトはすぐにまたは正しく分類されない場合があります。サイトがクラウド データベースに表示されてから完全に分類されるまでには遅延があります。 - オプションD（正解）：特定のURLが常に誤分類されている場合、それらのURLに対してカスタムURLカテゴリを作成し、URLフィルタリングプロファイルでそのカスタムカテゴリのアクション（例：「ブロック」）を明示的に設定することで、意図したとおりにブロックされるように手動でオーバーライドできます。カスタムカテゴリは、組み込みカテゴリよりも先に評価されます。 - オプションE（不正解）：トラフィックを許可するセキュリティポリシールールは、IJRLフィルタリングプロファイルが適用される前に適用されます。以前のルールでIJRLフィルタリングプロファイルなしでトラフィックが許可されている場合、または適用されたURLフィルタリングプロファイルでカテゴリが許可されている場合、後続のURLフィルタリングルールではブロックされません。ただし、この質問は、トラフィックがプロファイルを含むポリシーにヒットしているにもかかわらず、誤分類されていることを示唆しています。

Palo Alto Networks App-ID は、多くの場合、基本アプリケーションだけでなく、その中の特定の機能も識別します。これらの機能を制御する機能は、セキュリティ ポリシーに組み込まれています。 - オプション A: URL フィルタリングは、特定のアプリケーション機能ではなく、URL に基づいてアクセスを制御します。 - オプション B: データ フィルタリングは、コンテンツを検査します。 - オプション C: アプリケーション フィルタは、アプリケーションをグループ化するためのものであり、アプリケーション内の機能を制御するものではありません。 - オプション D: サービス オブジェクトはポートベースであり、複雑なアプリケーション内の特定の機能を区別することはできません。 - オプション E (正解): アプリケーション機能制御 (App-ID に応じて、セキュリティ ポリシー ルールの [アプリケーション] タブ内でチェックボックスまたは明示的な機能として表示されることがあります) を使用すると、管理者は識別されたアプリケーションのどの特定の機能を許可または拒否するかを選択できるため、アプリケーションの使用をきめ細かく制御できます。

SSL フォワード プロキシは中間者として機能し、証明書の処理は、その成功と潜在的な問題に大きく影響します。 - オプション A (正解): クライアント側の証明書は、認証のためにクライアントからサーバーに提示されます。接続を傍受するファイアウォールはクライアントの秘密鍵を提示できないため、このタイプの認証は破られます。 - オプション B (正解): 証明書ピンニングとは、クライアントがサーバーからの特定の証明書 (ハッシュまたは公開鍵) のみを信頼することを意味します。ファイアウォールは別の証明書 (CA によって署名されたもの) を提示しますが、クライアントはそれを拒否します。 - オプション C: フォワード非信頼証明書は、証明書エラーまたは不明なステータスのサイトでユーザーに明示的に警告するかアクセスをブロックするために使用されますが、信頼済みサイトまたは内部アプリの主な問題は、意図的に信頼できないとマークすることではなく、MITM によって引き起こされる混乱です。 - オプション D (正解): ファイアウォールのフォワード信頼証明書がクライアントにインストールされておらず、信頼されていない場合、クライアントはその証明書によって署名された証明書を信頼せず、復号化されたサイトで証明書エラーまたは警告が発生します。 - オプション E: ルールを「復号化なし」に設定すると、通常、これらのサイトの復号化がバイパスされ、復号化プロセスによって発生する問題が防止され、接続障害は発生しません (他のポリシーと組み合わせない限り)。

Prisma SD-WAN は、機能ごとに異なるポリシータイプを使用します。パスポリシーは、アプリケーション、リンク品質、ビジネスインテントに基づいて、利用可能な WAN リンク上でトラフィックをどのように誘導するかを規定するために特別に設計されています。オプション A（セキュリティポリシー）は、許可/拒否および検査対象となるトラフィックを制御します。オプション B（NAT ポリシー）はアドレス変換を処理します。オプション C（QoS ポリシー）は、リンク上のトラフィックの優先順位付けを行いますが、SD-WAN パス選択のコンテキストにおいて、特定のアプリケーションフローに使用するリンクは指定しません。オプション E（アプリケーションオーバーライド）は、トラフィックを再分類しますが、パス選択は処理しません。