My ACE Final Exam

1/20/2015

Empowering People: paloaltonetworks

Test ­ Accredited Configuration Engineer (ACE) Exam ­ PAN­OS 6.0 Version ACE Exam 

Question 1 of 50.  In a Destination NAT configuration, the Translated Address field may be populated with either an IP address or an Address Object. True False  

 

 

Mark for follow up

Question 2 of 50.  Color­coded tags can be used on all of the items listed below EXCEPT:   Address Objects   Zones   Service Groups   Vulnerability Profiles     Mark for follow up

Question 3 of 50.  Which of the following can provide information to a Palo Alto Networks firewall for the purposes of User­ID? (Select all correct answers.) Domain Controller   SSL Certificates   RIPv2   Network Access Control (NAC) device       Mark for follow up

Question 4 of 50.  When you have created a Security Policy Rule that allows Facebook, what must you do to block all other web­browsing traffic?   Create an additional rule that blocks all other traffic.   When creating the policy, ensure that web­browsing is included in the same rule.   Ensure that the Service column is defined as "application­default" for this Security policy. Doing this will automatically include the implicit web­browsing application dependency.   Nothing. You can depend on PAN­OS to block the web­browsing traffic that is not needed for Facebook use.     Mark for follow up

Question 5 of 50.  As the Palo Alto Networks Administrator responsible for User­ID, you need to enable mapping of network users that do not sign­in using LDAP. Which information source would allow for reliable User­ID mapping while requiring the least effort to configure?   Active Directory Security Logs   WMI Query   Captive Portal   Exchange CAS Security logs     Mark for follow up

Question 6 of 50.  Which of the following CANNOT use the source user as a match criterion?   Policy Based Forwarding   Secuirty Policies   QoS   DoS Protection   Anti­virus Profile     Mark for follow up

Question 7 of 50.  Which statement below is True?  

https://paloaltonetworks.csod.com/Evaluations/EvalLaunch.aspx?loid=7557e253­1f91­470f­a91c­a284f048d2c3&evalLvl=5&redirect_url=%2fphnx%2fdriver.asp…

1/8

1/20/2015

Empowering People: paloaltonetworks

PAN­OS uses BrightCloud as its default URL Filtering database, but also supports PAN­DB.   PAN­OS uses PAN­DB for URL Filtering, replacing BrightCloud.   PAN­OS uses BrightCloud for URL Filtering, replacing PAN­DB.   PAN­OS uses PAN­DB as the default URL Filtering database, but also supports BrightCloud.     Mark for follow up

Question 8 of 50.  When configuring a Decryption Policy rule, which option allows a firewall administrator to control SSHv2 tunneling in policies by specifying the SSH­tunnel App­ID?   SSH Proxy   SSL Forward Proxy   SSL Inbound Inspection   SSL Reverse Proxy     Mark for follow up

Question 9 of 50.  What are two sources of information for determining whether the firewall has been successful in communicating with an external User­ID Agent?   System Logs and the indicator light under the User­ID Agent settings in the firewall.   Traffic Logs and Authentication Logs.   System Logs and an indicator light on the chassis.   System Logs and Authentication Logs.     Mark for follow up

Question 10 of 50.  What Security Profile type must be configured to send files to the WildFire cloud, and with what choices for the action setting?   A File Blocking profile with possible actions of “Forward” or “Continue and Forward”.   A Data Filtering profile with possible actions of “Forward” or “Continue and Forward”.   A Vulnerability Protection profile with the possible action of “Forward”.   A URL Filtering profile with the possible action of “Forward”.     Mark for follow up

Question 11 of 50.  When configuring User­ID on a Palo Alto Networks firewall, what is the proper procedure to limit User mappings to a particular DHCP scope?   In the zone in which User Identification is enabled, create a User Identification ACL Include List using the same IP ranges as those allocated in the DHCP scope.   Under the User Identification settings, under the User Mapping tab, select the "Restrict Users to Allocated IP" checkbox.   In the zone in which User Identification is enabled, select the "Restrict Allocated IP" checkbox.   In the DHCP settings on the Palo Alto Networks firewall, point the DHCP Relay to the IP address of the User­ID agent.     Mark for follow up

Question 12 of 50.  A Config Lock may be removed by which of the following users? (Select all correct answers.) The administrator who set it   Device administrators   Any administrator   Superusers       Mark for follow up

Question 13 of 50.  After the installation of a new version of PAN­OS, the firewall must be rebooted. True False  

 

 

Mark for follow up

Question 14 of 50.  When configuring a Decryption Policy Rule, which of the following are available as matching criteria in the rule? (Choose 3 answers.) Source Zone  

https://paloaltonetworks.csod.com/Evaluations/EvalLaunch.aspx?loid=7557e253­1f91­470f­a91c­a284f048d2c3&evalLvl=5&redirect_url=%2fphnx%2fdriver.asp…

2/8

1/20/2015

Empowering People: paloaltonetworks

URL Category   Application   Service   Source User       Mark for follow up

Question 15 of 50.  After the installation of the Threat Prevention license, the firewall must be rebooted. True False  

 

 

Mark for follow up

Question 16 of 50.  What is the function of the GlobalProtect Portal?   To maintain the list of Global Protect Gateways and specify HIP data that the agent should report.   To load­balance GlobalProtect client connections to GlobalProtect Gateways.   To maintain the list of remote GlobalProtect Portals and the list of categories for checking the client machine.   To provide redundancy for tunneled connections through the GlobalProtect Gateways.     Mark for follow up

Question 17 of 50.  Which mode will allow a user to choose when they wish to connect to the Global Protect Network?   Always On mode   Optional mode   Single Sign­On mode   On Demand mode     Mark for follow up

Question 18 of 50.  After the installation of a new Application and Threat database, the firewall must be rebooted. True False  

 

 

Mark for follow up

Question 19 of 50. 

Taking into account only the information in the screenshot above, answer the following question: A span port or a switch is connected to e1/4, but there are no traffic logs. Which of the following conditions most likely explains this behavior?   The interface is not assigned a virtual router.   The interface is not assigned an IP address.   The interface is not up.   There is no zone assigned to the interface.     Mark for follow up

Question 20 of 50.  Which of the following platforms supports the Decryption Port Mirror function?

https://paloaltonetworks.csod.com/Evaluations/EvalLaunch.aspx?loid=7557e253­1f91­470f­a91c­a284f048d2c3&evalLvl=5&redirect_url=%2fphnx%2fdriver.asp…

3/8

1/20/2015

Empowering People: paloaltonetworks

  PA­3000   VM­Series 100   PA­2000   PA­4000     Mark for follow up

Question 21 of 50.  An enterprise PKI system is required to deploy SSL Forward Proxy decryption capabilities. True False  

 

 

Mark for follow up

Question 22 of 50.  User­ID is enabled in the configuration of …   A Security Profile.   An Interface.   A Security Policy.   A Zone.     Mark for follow up

Question 23 of 50.  Which of the following interface types can have an IP address assigned to it? (Select all correct answers.)   Layer 3   Layer 2   Tap   Virtual Wire     Mark for follow up

Question 24 of 50.  As the Palo Alto Networks Administrator you have enabled Application Block pages. Afterwards, not knowing they are attempting to access a blocked web­based application, users call the Help Desk to complain about network connectivity issues. What is the cause of the increased number of help desk calls?   The File Blocking Block Page was disabled.   Some App­ID's are set with a Session Timeout value that is too low.   The firewall admin did not create a custom response page to notify potential users that their attempt to access the web­based application is being blocked due to policy.   Application Block Pages will only be displayed when Captive Portal is configured.     Mark for follow up

Question 25 of 50.  Security policies specify a source interface and a destination interface. True False  

 

 

Mark for follow up

Question 26 of 50.  Select the implicit rules that are applied to traffic that fails to match any administrator­defined Security Policies. (Choose all rules that are correct.) Intra­zone traffic is allowed   Inter­zone traffic is denied   Intra­zone traffic is denied   Inter­zone traffic is allowed       Mark for follow up

Question 27 of 50.  Besides selecting the Heartbeat Backup option when creating an Active­Passive HA Pair, which of the following also prevents "Split­Brain"?   Creating a custom interface under Service Route Configuration, and assigning this interface as the backup HA2 link.   Under “Packet Forwarding”, selecting the VR Sync checkbox.   Configuring an independent backup HA1 link.  

https://paloaltonetworks.csod.com/Evaluations/EvalLaunch.aspx?loid=7557e253­1f91­470f­a91c­a284f048d2c3&evalLvl=5&redirect_url=%2fphnx%2fdriver.asp…

4/8

1/20/2015

Empowering People: paloaltonetworks

Configuring a backup HA2 link that points to the MGT interface of the other device in the pair.     Mark for follow up

Question 28 of 50.  Which of the following statements is NOT True regarding a Decryption Mirror interface?   Requires superuser privilege   Supports SSL outbound   Can be a member of any VSYS   Supports SSL inbound     Mark for follow up

Question 29 of 50. 

Considering the information in the screenshot above, what is the order of evaluation for this URL Filtering Profile?   URL Categories (BrightCloud or PAN­DB), Custom Categories, Block List, Allow List.   Block List, Allow List, URL Categories (BrightCloud or PAN­DB), Custom Categories.   Block List, Allow List, Custom Categories, URL Categories (BrightCloud or PAN­DB).   Allow List, Block List, Custom Categories, URL Categories (BrightCloud or PAN­DB).     Mark for follow up

Question 30 of 50.  An interface in tap mode can transmit packets on the wire. True False  

 

 

Mark for follow up

Question 31 of 50.  Which of the following is NOT a valid option for built­in CLI Admin roles?   deviceadmin   superuser   devicereader   read/write     Mark for follow up

Question 32 of 50.  Which of the Dynamic Updates listed below are issued on a daily basis? (Select all correct answers.) Applications   BrightCloud URL Filtering   Applications and Threats  

https://paloaltonetworks.csod.com/Evaluations/EvalLaunch.aspx?loid=7557e253­1f91­470f­a91c­a284f048d2c3&evalLvl=5&redirect_url=%2fphnx%2fdriver.asp…

5/8

1/20/2015

Empowering People: paloaltonetworks

Anti­virus       Mark for follow up

Question 33 of 50.  In PAN­OS 6.0 and later, which of these items may be used as match criterion in a Policy­Based Forwarding Rule? (Choose 3.) Source User   Source Zone   Destination Zone   Application       Mark for follow up

Question 34 of 50.  What is the maximum file size of .EXE files uploaded from the firewall to WildFire?   Always 2 megabytes.   Always 10 megabytes.   Configurable up to 2 megabytes.   Configurable up to 10 megabytes.     Mark for follow up

Question 35 of 50.  Which of the following most accurately describes Dynamic IP in a Source NAT configuration?   The next available address in the configured pool is used, and the source port number is changed.   A single IP address is used, and the source port number is unchanged.   A single IP address is used, and the source port number is changed.   The next available IP address in the configured pool is used, but the source port number is unchanged.     Mark for follow up

Question 36 of 50.  All of the interfaces on a Palo Alto Networks device must be of the same interface type. True False  

 

 

Mark for follow up

Question 37 of 50.  With IKE Phase 1, each device is identified to the other by a Peer ID. In most cases, the Peer ID is just the public IP address of the device. In situations where the public IP address is not static, the Peer ID can be a text value. True False  

 

 

Mark for follow up

Question 38 of 50.  Which of the following facts about dynamic updates is correct?   Anti­virus updates are released daily. Application and Threat updates are released weekly.   Application and Anti­virus updates are released weekly. Threat and “Threat and URL Filtering” updates are released weekly.   Application and Threat updates are released daily. Anti­virus and URL Filtering updates are released weekly.   Threat and URL Filtering updates are released daily. Application and Anti­virus updates are released weekly.     Mark for follow up

Question 39 of 50.  “What is the result of an Administrator submitting a WildFire report’s verdict back to Palo Alto Networks as “Incorrect”?   The signature will be updated for False positive and False negative files in the next AV signature update.   The signature will be updated for False positive and False negative files in the next Application signature update.   You will receive an email to disable the signature manually.   You will receive an update within 15 minutes.     Mark for follow up

https://paloaltonetworks.csod.com/Evaluations/EvalLaunch.aspx?loid=7557e253­1f91­470f­a91c­a284f048d2c3&evalLvl=5&redirect_url=%2fphnx%2fdriver.asp…

6/8

1/20/2015

Empowering People: paloaltonetworks

Question 40 of 50.  When configuring the firewall for User­ID, what is the maximum number of Domain Controllers that can be configured?   100   50   10   150     Mark for follow up

Question 41 of 50.  In a Palo Alto Networks firewall, every interface in use must be assigned to a zone in order to process traffic. True False  

 

 

Mark for follow up

Question 42 of 50. 

Taking into account only the information in the screenshot above, answer the following question. An administrator is pinging 4.4.4.4 and fails to receive a response. What is the most likely reason for the lack of response?   The interface is down.   There is a Security Policy that prevents ping.   There is no Management Profile.   There is no route back to the machine originating the ping.     Mark for follow up

Question 43 of 50.  Which type of license is required to perform Decryption Port Mirroring?   A free PAN­PA­Decrypt license   A subscription­based SSL Port license   A Client Decryption license   A subscription­based PAN­PA­Decrypt license     Mark for follow up

Question 44 of 50.  In which of the following can User­ID be used to provide a match condition? (Select all correct answers.)   Security Policies   NAT Policies   Zone Protection Policies   Threat Profiles     Mark for follow up

Question 45 of 50.  Which of the following are necessary components of a GlobalProtect solution?   GlobalProtect Gateway, GlobalProtect Agent, GlobalProtect Portal   GlobalProtect Gateway, GlobalProtect Agent, GlobalProtect Server   GlobalProtect Gateway, GlobalProtect NetConnect, GlobalProtect Agent, GlobalProtect Portal, GlobalProtect Server  

https://paloaltonetworks.csod.com/Evaluations/EvalLaunch.aspx?loid=7557e253­1f91­470f­a91c­a284f048d2c3&evalLvl=5&redirect_url=%2fphnx%2fdriver.asp…

7/8

1/20/2015

Empowering People: paloaltonetworks

GlobalProtect NetConnect, GlobalProtect Agent, GlobalProtect Portal, GlobalProtect Server     Mark for follow up

Question 46 of 50.  Which feature can be configured to block sessions that the firewall cannot decrypt?   Decryption Profile in Decryption Policy   Decryption Profile in Security Profile   Decryption Profile in PBF   Decryption Profile in Security Policy     Mark for follow up

Question 47 of 50.  How do you reduce the amount of information recorded in the URL Content Filtering Logs?   Enable "Log container page only".   Disable URL packet captures.   Enable URL log caching.   Enable DSRI.     Mark for follow up

Question 48 of 50. 

Taking into account only the information in the screenshot above, answer the following question. An administrator is using SSH on port 3333 and BitTorrent on port 7777. Which statements are True? The BitTorrent traffic will be allowed.   The SSH traffic will be allowed.   The SSH traffic will be denied.   The BitTorrent traffic will be denied.       Mark for follow up

Question 49 of 50.  Which of the following statements is NOT True about Palo Alto Networks firewalls?   The Admin account may be disabled.   System defaults may be restored by performing a factory reset in Maintenance Mode.   The Admin account may not be disabled.   Initial configuration may be accomplished thru the MGT interface or the Console port.     Mark for follow up

Question 50 of 50.  When using remote authentication for users (LDAP, RADIUS, Active Directory, etc.), what must be done to allow a user to authenticate through multiple methods?   Create an Authentication Sequence, dictating the order of authentication profiles.   Create multiple authentication profiles for the same user.   This cannot be done. A single user can only use one authentication type.   This cannot be done. Although multiple authentication methods exist, a firewall must choose a single, global authentication type­­and all users must use this method.     Mark for follow up

Save / Return Later

Summary

https://paloaltonetworks.csod.com/Evaluations/EvalLaunch.aspx?loid=7557e253­1f91­470f­a91c­a284f048d2c3&evalLvl=5&redirect_url=%2fphnx%2fdriver.asp…

8/8