[2024年6月] 使用 HPE6-A84 考试学习指南通过 HP 考试的有效途径 [Q25-Q44]

给本帖评分

[2024年6月] 利用 HPE6-A84 考试学习指南通过 HP 考试的有效途径

所有 HPE6-A84 Dumps 和 Aruba Certified Network Security Expert Written Exam 培训课程均可帮助考生轻松学习并通过考试!

Q25. 哪个要素有助于奠定坚实的网络安全取证基础?

 
 
 
 

Q26. 某客户拥有一个基于 AOS 10 的解决方案,其中包括 Aruba 接入点。客户希望使用云认证来验证不支持 802.1X 的物联网设备。
设置设备角色映射的前提条件是什么?

 
 
 
 

Q27. 请参考情景。
# 客户介绍
您正在帮助一家公司将 Aruba ClearPass 添加到其使用 Aruba 网络基础架构设备的网络中。
公司目前有一个 Windows 域和 Windows CA。Windows CA 向域计算机、域用户和服务器(如域控制器)签发证书。下面是 Windows CA 签发证书的示例。


该公司正在添加 Microsoft Endpoint Manager (Intune) 来管理其移动客户端。
客户目前正在维护内部 AD,并使用 Azure AD Connect 与 Azure AD 同步。
# 向移动客户端发放证书的要求
公司希望使用 ClearPass Onboard 将证书自动部署到 Intune 注册的移动客户端。在此过程中,Onboard 应与 Azure AD 通信,以验证客户端。这种情况下还应提供高可用性;换句话说,如果用户 1 出现故障,客户应能从用户 2 处获得证书。
Intune 管理员打算创建包含 UPN SAN 的证书配置文件,其中包含注册设备的用户的 UPN。
# 验证客户端的要求
客户要求所有类型的客户端在同一个企业 SSID 上进行连接和验证。
公司希望 CPPM 使用这些验证方法:
通过 EAP-TLS 对在 Intune 中注册的移动客户端上的用户进行身份验证
要取得成功,EAP-TLS(独立或作为 TEAP 方法)客户端必须满足这些要求:
经 OCSP 验证,其证书有效且未被撤销
客户的用户名与 AD 中的账户一致
# 为客户分配角色的要求
身份验证后,客户希望 CPPM 根据以下规则为客户分配 ClearPass 角色:
具有 Onboard 颁发的证书的客户被分配为 "mobile-onboarded "角色 通过 TEAP 方法 1 的客户被分配为 "domain-computer "角色 AD 组 "Medical "中的客户被分配为 "medical-staff "角色 AD 组 "Reception "中的客户被分配为 "reception-staff "角色 客户要求 CPPM 将通过身份验证的客户分配为 AOS 防火墙角色,具体如下:
将移动客户上的医务人员分配到 "医疗-移动 "防火墙角色 将其他移动客户分配到 "移动-其他 "防火墙角色 将域计算机上的医务人员分配到 "医疗-域 "防火墙角色 将域计算机上的所有接待人员分配到 "接待-域 "防火墙角色 将没有有效用户登录的所有域计算机分配到 "仅计算机 "防火墙角色 拒绝其他客户访问
# 其他要求
ClearPass 服务器与内部 AD 域控制器之间的通信必须加密。
# 网络拓扑结构
在网络基础设施方面,该客户拥有由 Central 管理的 Aruba 接入点和 Aruba 网关。AP 使用隧道式 WLAN,将流量以隧道方式传输到网关集群。该客户还拥有 AOS-CX 交换机,但目前不受 Central 管理。

# ClearPass 集群 IP 地址和主机名
客户的 ClearPass 集群拥有这些 IP 地址:
发布者 = 10.47.47.5
用户 1 = 10.47.47.6
用户 2 = 10.47.47.7
用户 1 和用户 2 的虚拟 IP = 10.47.47.8
客户的 DNS 服务器有以下条目
cp.acnsxtest.com = 10.47.47.5
cps1.acnsxtest.com = 10.47.47.6
cps2.acnsxtest.com = 10.47.47.7
radius.acnsxtest.com = 10.47.47.8
onboard.acnsxtest.com = 10.47.47.8
现在,客户决定需要 CPPM 将某些移动上载设备分配到一个
"护士呼叫 "AOS 用户角色。这些是与 IP 地址通信的移动板载设备
10.1.18.12 使用端口 4343。
满足这一要求的先决条件是什么?

 
 
 
 

Q28. 请参考情景。
某客户拥有一个 Aruba ClearPass 集群。客户的 AOS-CX 交换机为 ClearPass Policy Manager (CPPM) 实施了 802.1X 身份验证。
交换机使用本地端口访问策略。
客户希望开始将仅通过用户身份验证的有线客户端隧道传输到 Aruba 网关群集。网关集群应将这些客户分配到 "eth-internet "角色。网关还应将客户分配到他们的 VLAN,即 VLAN 20。
执行政策和概况计划如下:

网关集群有两个网关,其 IP 地址都是这些:
* 网关 1
o VLAN 4085(系统 IP)= 10.20.4.21
o VLAN 20(用户)= 10.20.20.1
o VLAN 4094(WAN)= 198.51.100.14
* 网关 2
o VLAN 4085(系统 IP)= 10.20.4.22
o VLAN 20(用户)= 10.20.20.2
o VLAN 4094(WAN)= 198.51.100.12
* VLAN 20 上的 VRRP = 10.20.20.254
客户要求交换机和网关集群之间的隧道具有高可用性。如果一个网关掉线,另一个网关应接管其隧道。此外,无论网关集群中是否有网关,交换机都应能发现网关集群。
假设您已配置正确的 UBT 区域和端口访问角色设置。但是,解决方案不起作用。
您还应该确保做什么?

 
 
 
 

Q29. 请参考情景。
某客户要求为 Aruba 移动控制器 (MC) 上 "医疗移动 "AOS 防火墙角色的客户提供这些权限:
允许通过 DHCP 接收 IP 地址
允许从 10.8.9.7 而非其他服务器访问 DNS 服务
允许访问 10.1.0.0/16 范围内的所有子网,但拒绝访问 10.1.12.0/22 拒绝访问其他 10.0.0.0/8 子网 允许访问互联网 在一段时间内拒绝访问 WLAN(如果它们发送任何 SSH 流量) 在一段时间内拒绝访问 WLAN(如果它们发送任何 Telnet 流量) 拒绝访问所有高风险网站 不允许外部设备与 "医疗移动 "客户端启动会话,只能发送返回流量。
下面的图例显示了该角色的配置。

配置存在多个问题。
为满足情景要求,您必须对策略做出哪些更改?(在选项中,策略中的规则是自上而下引用的。例如,"medical-mobile "规则 1 是 "ipv4 any any svc-dhcp permit",规则 8 是 "ipv4 any any any permit")。

 
 
 
 

Q30. 请参考情景。
# 客户介绍
您正在帮助一家公司将 Aruba ClearPass 添加到其使用 Aruba 网络基础架构设备的网络中。
公司目前有一个 Windows 域和 Windows CA。Windows CA 向域计算机、域用户和服务器(如域控制器)签发证书。下面是 Windows CA 签发证书的示例。


该公司正在添加 Microsoft Endpoint Manager (Intune) 来管理其移动客户端。
客户目前正在维护内部 AD,并使用 Azure AD Connect 与 Azure AD 同步。
# 向移动客户端发放证书的要求
公司希望使用 ClearPass Onboard 将证书自动部署到 Intune 注册的移动客户端。在此过程中,Onboard 应与 Azure AD 通信,以验证客户端。这种情况下还应提供高可用性;换句话说,如果用户 1 出现故障,客户应能从用户 2 处获得证书。
Intune 管理员打算创建包含 UPN SAN 的证书配置文件,其中包含注册设备的用户的 UPN。
# 验证客户端的要求
客户要求所有类型的客户端在同一个企业 SSID 上进行连接和验证。
公司希望 CPPM 使用这些验证方法:
* 通过 EAP-TLS 对在 Intune 中注册的移动客户端上的用户进行身份验证
* 要取得成功,EAP-TLS(独立或作为 TEAP 方法)客户端必须满足这些要求:
经 OCSP 验证,其证书有效且未被撤销
客户的用户名与 AD 中的账户一致
# 为客户分配角色的要求
身份验证后,客户希望 CPPM 根据以下规则为客户分配 ClearPass 角色:
* 拥有 Onboard 签发的证书的客户机将被分配 "移动上机 "角色
* 通过 TEAP 方法 1 的客户被分配为 "域计算机 "角色 AD 组 "医疗 "中的客户被分配为 "医务人员 "角色 AD 组 "接待 "中的客户被分配为 "接待人员 "角色 客户要求 CPPM 将通过身份验证的客户分配为 AOS 防火墙角色,具体如下:
* 为移动客户的医务人员分配 "医疗移动 "防火墙角色
* 将其他已登录的移动客户端指定为 "移动-其他 "防火墙角色
* 将域计算机上的医务人员指定为 "医疗域 "防火墙角色
* 将域计算机上的所有接待人员设置为 "reception-domain "防火墙角色
* 没有有效用户登录 "仅计算机 "防火墙角色的所有域计算机
* 拒绝其他客户访问
# 其他要求
ClearPass 服务器与内部 AD 域控制器之间的通信必须加密。
# 网络拓扑结构
在网络基础设施方面,该客户拥有由 Central 管理的 Aruba 接入点和 Aruba 网关。AP 使用隧道式 WLAN,将流量以隧道方式传输到网关集群。该客户还拥有 AOS-CX 交换机,但目前不受 Central 管理。

# ClearPass 集群 IP 地址和主机名
客户的 ClearPass 集群拥有这些 IP 地址:
* 发布者 = 10.47.47.5
* 用户 1 = 10.47.47.6
* 用户 2 = 10.47.47.7
* 用户 1 和用户 2 的虚拟 IP = 10.47.47.8
客户的 DNS 服务器有以下条目
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
您已开始创建 CA,以满足客户向移动客户端签发证书的要求,如下图所示。

哪些变化将有助于满足这些要求和验证客户的要求?

 
 
 
 

Q31. 请参考情景。
某客户正在从内部部署 AD 迁移到 Azure AD,将其作为唯一的域解决方案。该客户还使用 Microsoft Endpoint Manager (Intune) 管理有线和无线设备。
客户希望提高网络边缘的安全性。为此,您正在帮助客户设计 ClearPass 部署。Aruba 网络设备将对 Aruba ClearPass Policy Manager (CPPM) 集群(使用版本 6.10)的无线和有线客户端进行身份验证。
客户对身份验证有几种要求。只有当 Azure AD 查询显示客户在 Azure AD 中拥有账户时,客户才能通过 EAP-TLS 身份验证。为了进一步完善客户的权限,ClearPass 还应该使用 Intune 收集的信息来做出访问控制决策。
假设 Azure AD 部署已建立适当的先决条件。
您正在规划 CPPM 身份验证源,您将在
802.1X 服务。
应该如何设置这个身份验证源?

 
 
 
 

Q32. 您需要在独立的 Aruba 移动控制器 (MC) 上安装证书。MC 需要将证书用于 Web UI 和使用 Aruba ClearPass Policy Manager 实施 RadSec。您已获得具有以下设置的证书:
主题CN=mc41.site94.example.com
无 SAN
发行者:CN=ca41.example.com
EKUs:服务器验证、客户端验证
该证书的目的是什么?

 
 
 
 

Q33. 您正在查看 ClearPass Policy Manager (CPPM) Endpoints Repository 中的端点条目。
什么迹象表明有人试图未经授权访问网络?

 
 
 
 

Q34. 请参考情景。
某机构希望 AOS-CX 交换机在其 RADIUS 服务器 (cp.acnsxtest.local) 每小时拒绝的客户端身份验证请求数量异常时触发警报。在与其他 Aruba 管理员讨论后,您仍然不确定拒绝的次数是正常还是异常。您预计每台交换机上的数值都可能不同。
您要帮助开发人员了解如何针对这种使用情况开发 NAE 脚本。
开发人员解释说,他们计划用这样的逻辑来定义规则:
监控器 > 值
但是,开发人员会问你应该包含什么值。
您有什么建议?

 
 
 
 

Q35. 请参阅展品。

Aruba ClearPass Policy Manager (CPPM) 使用如图所示的设置。您在与 Aruba 接入点、Aruba 网关和 AOS-CX 交换机等几种类型的 NAS 相关的执行策略中引用了展品中显示的标记。
如何确保客户根据标签重新分类并获得正确的治疗?

 
 
 
 

Q36. 什么时候在 AOS-CX 交换机端口上实施 BPDU 保护?

 
 
 
 

Q37. 请参考情景。
某客户要求为 Aruba 移动控制器 (MC) 上 "医疗移动 "AOS 防火墙角色的客户提供这些权限:
允许使用 DHCP 接收 IP 地址
* 允许从 10.8.9.7 而非其他服务器访问 DNS 服务
* 除拒绝访问 10.1.12.0/22 外,允许访问 10.1.0.0/16 范围内的所有子网
* 拒绝访问其他 10.0.0.0/8 子网
* 允许访问互联网
* 如果发送任何 SSH 流量,则在一段时间内拒绝访问无线局域网
* 如果发送任何 Telnet 流量,则在一段时间内拒绝访问无线局域网
* 拒绝访问所有高风险网站
外部设备不得与 "医疗移动 "客户端启动会话,只能发送返回流量。
下面的图例显示了该角色的配置。

该配置存在多个问题。为满足方案要求,您必须做出哪些更改?(在选项中,策略中的规则是自上而下引用的。例如
"medical-mobile" 规则 1 是 "ipv4 any any svc-dhcp permit",规则 8 是 "ipv4 any any any permit")。

 
 
 
 

Q38. 客户需要一种方法让用户在 Intune 中注册新的有线客户端。客户应该拥有有限的访问权限,只允许他们注册和接收证书。您计划在名为 "供应 "的 AOS-CX 角色中设置这些权限。客户的安全团队要求您必须将这些客户的互联网访问权限限制在必要的站点。您的交换机软件支持在 "提供 "角色中应用规则的 IPv4 和 IPv6 地址。
您有什么建议?

 
 
 
 

Q39. 您正在 Aruba Central 中配置网关 IDS/IPS 设置。
出于什么原因,您会将故障策略设置为旁路?

 
 
 
 

Q40. 请参阅展品。

某客户要求防止 VLAN 4 中的 ARP 中毒。下面列出了 AOS-CX 接入层交换机上 VLAN 4 和 VLAN 4 相关物理接口的所有设置:

这种配置有什么问题?

 
 
 
 

Q41. 您正在 Aruba Central 中配置网关 IDS/IPS 设置。
出于什么原因,您会将故障策略设置为旁路?

 
 
 
 

Q42. 请参考情景。
某客户要求为 Aruba 移动控制器 (MC) 上 "医疗移动 "AOS 防火墙角色的客户提供这些权限:
允许通过 DHCP 接收 IP 地址
* 允许从 10.8.9.7 而非其他服务器访问 DNS 服务
* 除拒绝访问 10.1.12.0/22 外,允许访问 10.1.0.0/16 范围内的所有子网
* 拒绝访问其他 10.0.0.0/8 子网
* 允许访问互联网
* 如果发送任何 SSH 流量,则在一段时间内拒绝访问无线局域网
* 如果发送任何 Telnet 流量,则在一段时间内拒绝访问无线局域网
* 拒绝访问所有高风险网站
外部设备不得与 "医疗移动 "客户端启动会话,只能发送返回流量。
下面的图例显示了该角色的配置。

配置存在多个问题。
为满足情景要求,您必须对策略做出哪些更改?(在选项中,策略中的规则是自上而下引用的。例如,"medical-mobile "规则 1 是 "ipv4 any any svc-dhcp permit",规则 8 是 "ipv4 any any any permit")。

 
 
 
 

Q43. 请参考情景。
# 客户介绍
您正在帮助一家公司将 Aruba ClearPass 添加到其使用 Aruba 网络基础架构设备的网络中。
公司目前有一个 Windows 域和 Windows CA。Windows CA 向域计算机、域用户和服务器(如域控制器)签发证书。下面是 Windows CA 签发证书的示例。


该公司正在添加 Microsoft Endpoint Manager (Intune) 来管理其移动客户端。
客户目前正在维护内部 AD,并使用 Azure AD Connect 与 Azure AD 同步。
# 向移动客户端发放证书的要求
公司希望使用 ClearPass Onboard 将证书自动部署到 Intune 注册的移动客户端。在此过程中,Onboard 应与 Azure AD 通信,以验证客户端。这种情况下还应提供高可用性;换句话说,如果用户 1 出现故障,客户应能从用户 2 处获得证书。
Intune 管理员打算创建包含 UPN SAN 的证书配置文件,其中包含注册设备的用户的 UPN。
# 验证客户端的要求
客户要求所有类型的客户端在同一个企业 SSID 上进行连接和验证。
公司希望 CPPM 使用这些验证方法:
* 通过 EAP-TLS 对在 Intune 中注册的移动客户端上的用户进行身份验证
* 要取得成功,EAP-TLS(独立或作为 TEAP 方法)客户端必须满足这些要求:
经 OCSP 验证,其证书有效且未被撤销
客户的用户名与 AD 中的账户一致
# 为客户分配角色的要求
身份验证后,客户希望 CPPM 根据以下规则为客户分配 ClearPass 角色:
* 拥有 Onboard 签发的证书的客户机将被分配 "移动上机 "角色
* 通过 TEAP 方法 1 的客户被分配为 "域计算机 "角色 AD 组 "医疗 "中的客户被分配为 "医务人员 "角色 AD 组 "接待 "中的客户被分配为 "接待人员 "角色 客户要求 CPPM 将通过身份验证的客户分配为 AOS 防火墙角色,具体如下:
* 为移动客户的医务人员分配 "医疗移动 "防火墙角色
* 将其他已登录的移动客户端指定为 "移动-其他 "防火墙角色
* 将域计算机上的医务人员指定为 "医疗域 "防火墙角色
* 将域计算机上的所有接待人员设置为 "reception-domain "防火墙角色
* 没有有效用户登录 "仅计算机 "防火墙角色的所有域计算机
* 拒绝其他客户访问
# 其他要求
ClearPass 服务器与内部 AD 域控制器之间的通信必须加密。
# 网络拓扑结构
在网络基础设施方面,该客户拥有由 Central 管理的 Aruba 接入点和 Aruba 网关。AP 使用隧道式 WLAN,将流量以隧道方式传输到网关集群。该客户还拥有 AOS-CX 交换机,但目前不受 Central 管理。

# ClearPass 集群 IP 地址和主机名
客户的 ClearPass 集群拥有这些 IP 地址:
* 发布者 = 10.47.47.5
* 用户 1 = 10.47.47.6
* 用户 2 = 10.47.47.7
* 用户 1 和用户 2 的虚拟 IP = 10.47.47.8
客户的 DNS 服务器有以下条目
* cp.acnsxtest.com = 10.47.47.5
* cps1.acnsxtest.com = 10.47.47.6
* cps2.acnsxtest.com = 10.47.47.7
* radius.acnsxtest.com = 10.47.47.8
* onboard.acnsxtest.com = 10.47.47.8
无法查看无线客户端的流量属性。
你应该检查什么?

 
 
 
 

Q44. 请参考情景。
某机构希望 AOS-CX 交换机在其 RADIUS 服务器 (cp.acnsxtest.local) 每小时拒绝的客户端身份验证请求数量异常时触发警报。在与其他 Aruba 管理员讨论后,您仍然不确定拒绝的次数是正常还是异常。您预计每台交换机上的数值都可能不同。
您要帮助开发人员了解如何针对这种使用情况开发 NAE 脚本。
您正在帮助客户为 AOS-CX 交换机定义 NAE 脚本。该脚本将监控交换机上定义的 RADIUS 服务器的统计数据。您希望让管理员在根据脚本创建代理时,为受监控的 RADIUS 服务器选择不同的主机名或 IP 地址,从而为脚本的未来提供保障。
您有什么建议?

 
 
 
 

获取最新 [Jun-2024] 使用 ExamsLabs HPE6-A84 进行有效的渗透测试: https://www.examslabs.com/HP/HP-ACA-Network-Security/best-HPE6-A84-exam-dumps.html