AccueilCertificationsPCNSA › Questions gratuites

Questions gratuites PCNSA — Palo Alto Networks Certified Network Security Administrator

Téléchargez gratuitement 60 questions d'entraînement pour la certification PCNSA proposée par Palo Alto Networks. Toutes les questions sont accompagnées de corrections détaillées avec explications techniques.

Caractéristiques de l'examen blanc

Code de certificationPCNSA
ÉditeurPalo Alto Networks
Nombre de questions60
TypeQCM avec 4 réponses possibles
Niveauassociate
CatégorieSecurity
Prix100% gratuit

Aperçu de 8 questions représentatives

Voici un échantillon aléatoire de 8 questions tirées de notre base d'entraînement PCNSA. Pour accéder aux 60 questions complètes, lancez l'examen blanc gratuitement.

Question 1
Une entreprise déploie un pare-feu Palo Alto Networks avec trois segments réseau : un réseau interne (LAN), une DMZ hébergeant des serveurs web, et une connexion Internet. L'administrateur crée trois zones de sécurité distinctes. Lorsqu'un utilisateur du LAN tente d'accéder à un serveur web en DMZ, le trafic est bloqué bien qu'aucune règle de deny explicite n'existe. Quelle est la cause la plus probable de ce blocage ?
  1. A. Le pare-feu bloque automatiquement le trafic entre zones différentes lorsqu'aucune Security Policy Rule explicite de type allow n'est configurée
  2. B. Les interfaces réseau associées aux zones ne sont pas dans le même Virtual Router
  3. C. La fonction Intrazone Default est configurée en mode deny
  4. D. Le NAT entre les deux zones n'a pas été configuré correctement
Question 2
Un administrateur Palo Alto Networks examine les logs de trafic et constate qu'une connexion est classée avec l'action 'allow' mais que la colonne 'Rule Name' affiche 'intrazone-default'. L'administrateur s'attendait à ce que cette connexion corresponde à une règle explicite nommée 'Internal-Web-Access'. Quel mécanisme de traitement des règles explique ce comportement ?
  1. A. La règle 'Internal-Web-Access' est désactivée (disabled) dans la configuration.
  2. B. La règle 'Internal-Web-Access' est positionnée après la règle 'intrazone-default' dans la rulebase.
  3. C. Le trafic source et destination appartient à la même zone, et la règle 'Internal-Web-Access' est configurée avec des zones source et destination différentes.
  4. D. Le firewall évalue les règles par ordre de spécificité (most specific match) plutôt que par ordre séquentiel (top-down).
Question 3
Une société financière utilise un pare-feu Palo Alto Networks et souhaite inspecter le trafic SSL/TLS sortant de ses employés vers Internet, tout en excluant le trafic vers les sites bancaires et de santé pour des raisons de conformité réglementaire. Comment l'administrateur doit-il configurer la Decryption Policy ?
  1. A. Créer une seule règle de décryptage SSL Forward Proxy pour tout le trafic sortant, puis configurer des exceptions dans le profil antivirus
  2. B. Créer une règle No-Decrypt ciblant les catégories URL 'financial-services' et 'health-and-medicine' positionnée AVANT une règle Decrypt de type SSL Forward Proxy pour le trafic restant
  3. C. Activer le mode SSL Inbound Inspection pour tout le trafic sortant et configurer des exclusions par certificat
  4. D. Configurer une règle Decrypt de type SSH Proxy pour le trafic HTTPS et ajouter les exceptions dans les Security Profiles
Question 4
Un administrateur Palo Alto Networks remarque dans les logs que le trafic d'une même session change d'identification applicative en cours de route : il est d'abord identifié comme 'ssl' puis devient 'youtube-base'. Il s'inquiète d'un possible dysfonctionnement. Quelle explication est correcte concernant ce comportement ?
  1. A. Il s'agit d'un bug d'App-ID qui provoque une double identification ; l'administrateur doit mettre à jour les signatures applicatives via un Dynamic Update
  2. B. Ce comportement est normal et s'appelle 'application shift' ; App-ID affine progressivement l'identification à mesure que davantage de données de session sont disponibles, et la Security Policy est réévaluée à chaque changement
  3. C. Le firewall a détecté une tentative d'évasion applicative (application evasion) et a reclassifié le trafic ; une alerte de sécurité devrait être générée automatiquement
  4. D. L'identification initiale comme 'ssl' indique que le déchiffrement SSL a échoué ; le firewall ne peut pas identifier l'application réelle et attribue une identification par défaut
Question 5
Un pare-feu Palo Alto Networks est configuré avec un Virtual Router qui possède les routes suivantes : une route par défaut (0.0.0.0/0) via 10.1.1.1, une route statique vers 10.10.0.0/16 via 10.2.2.1, et une route statique vers 10.10.5.0/24 via 10.3.3.1. Un paquet arrive avec l'adresse de destination 10.10.5.100. Vers quel next-hop le pare-feu enverra-t-il ce paquet ?
  1. A. 10.1.1.1 car la route par défaut capture tout le trafic qui ne correspond à aucune route explicite
  2. B. 10.2.2.1 car la route 10.10.0.0/16 est une route de classe B qui englobe tout le réseau 10.10.x.x
  3. C. Le pare-feu effectuera un load-balancing entre 10.2.2.1 et 10.3.3.1 car les deux routes correspondent
  4. D. 10.3.3.1 car la route 10.10.5.0/24 est la plus spécifique (longest prefix match)
Question 6
Un administrateur réseau configure un pare-feu Palo Alto Networks et constate que le management plane (MP) et le data plane (DP) ont des rôles distincts. Le CPU du management plane atteint régulièrement 90% d'utilisation. Quelle affirmation est correcte concernant l'impact sur le traitement du trafic réseau ?
  1. A. Le trafic réseau sera fortement ralenti car le management plane contrôle le forwarding des paquets
  2. B. Le traitement du trafic réseau ne sera pas affecté car le data plane fonctionne indépendamment du management plane
  3. C. Les sessions existantes continueront de fonctionner mais les nouvelles sessions seront rejetées
  4. D. Le pare-feu basculera automatiquement en mode tap pour éviter toute perte de paquets
Question 7
Sur un pare-feu Palo Alto Networks, un administrateur a configuré plusieurs règles NAT. Il souhaite comprendre l'ordre dans lequel les règles NAT et les Security Policies sont évaluées pour le trafic traversant le pare-feu. Quel est l'ordre correct d'évaluation ?
  1. A. Security Policy lookup d'abord, puis Destination NAT, puis Source NAT à la sortie
  2. B. Destination NAT d'abord, puis Security Policy lookup sur les adresses post-NAT, puis Source NAT à la sortie
  3. C. Destination NAT d'abord, puis Security Policy lookup sur l'IP de destination post-NAT mais l'IP source originale (pre-NAT), puis Source NAT à la sortie
  4. D. Source NAT d'abord, puis Destination NAT, puis Security Policy lookup sur les adresses entièrement post-NAT
Question 8
Un architecte réseau conçoit une infrastructure haute disponibilité avec deux pare-feu Palo Alto Networks PA-3260. Il doit choisir entre le mode Active/Passive et le mode Active/Active. Dans quel scénario le mode Active/Active est-il le plus approprié ?
  1. A. Lorsque l'entreprise souhaite une configuration simple où un seul firewall traite le trafic et l'autre reste en standby pour prendre le relais en cas de panne
  2. B. Lorsque l'environnement réseau utilise du routage asymétrique et que les deux firewalls doivent pouvoir traiter simultanément des paquets appartenant à la même session
  3. C. Lorsque l'entreprise ne dispose que d'une seule connexion Internet et souhaite maximiser la redondance sans complexité supplémentaire
  4. D. Lorsque les deux firewalls doivent impérativement partager la même adresse IP sur toutes leurs interfaces pour simplifier le routage

Accédez aux 60 questions complètes gratuitement

Aucune carte bancaire requise. Examen chronométré, corrections détaillées, score final.

Lancer l'examen blanc PCNSA →

Pourquoi s'entraîner avec Certifexpress ?