Palo Alto Networks Systems Engineer - SASE (PSE SASE)
Palo Alto Networks 售前系统工程师 SASE 认证(PSE-SASE),考查 Prisma Access 和 Prisma SD-WAN 方案设计能力:ZTNA 2.0 零信任访问(覆盖所有 TCP/UDP 协议 vs ZTNA 1.0 的局限性)、SWG 安全 Web 网关(云交付 URL 过滤/威胁防御)、CASB(API 模式 vs Inline 模式的场景选择)、DLP 数据丢失防护,以及 Prisma SD-WAN 的 CloudBlade 架构,75 题/90 分钟,$250 考试费。
做 Prisma Access / SD-WAN 售前的合作伙伴 SE 必考,SASE 是 2024-2026 年 Palo Alto 最主推的方向。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
PSE SASE 是 Palo Alto Networks 为合作伙伴售前工程师设计的 SASE 方案认证,75 题 / 90 分钟 / $250。有效期 3 年。
SASE(Secure Access Service Edge)将网络和安全功能统一交付到云端。Palo Alto 的 SASE 方案由 Prisma Access(云安全平台:NGFW/SWG/CASB/ZTNA/DLP)+ Prisma SD-WAN(CloudBlade 架构,分支到云直连)组成。
考试重点是 ZTNA 2.0 — 相比 ZTNA 1.0(仅 HTTP/HTTPS、无持续验证),2.0 覆盖所有 TCP/UDP 协议、持续信任验证(Continuous Trust Verification)、应用层深度检测。约 30% 的题考 ZTNA 2.0 vs 传统 VPN 的对比。另有 20% 考 Prisma SD-WAN 的 ION 设备选型和 Application-Aware Routing。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 Palo Alto Networks PSE SASE 官方认证,强化 SASE 解决方案售前资质
- 能够独立完成 Prisma Access 和 Prisma SD-WAN 的技术方案设计和客户价值演示
- 掌握 ZTNA 2.0 vs ZTNA 1.0 差异,向企业客户清晰阐述 Zero Trust 实现路径
- 具备 SASE vs 传统安全堆叠的竞品对比分析能力,帮助客户制定 SASE 迁移路径
考试详情
适合谁考
适合人群
- Palo Alto 合作伙伴售前系统工程师(Pre-Sales Systems Engineer)负责向企业推广 SASE/Prisma Access 解决方案
- 从传统 WAN 和网络安全(MPLS/VPN/Proxy)转型到 SASE 架构的技术售前人员
- 已完成 PSE-Strata 认证、希望扩展 SASE 云安全售前能力的 Palo Alto 技术人员
- 网络架构师(Network Architect)和安全架构师(Security Architect)希望了解 SASE 架构方案设计
开始前最好先有
- 了解 SASE 架构基础概念(SD-WAN、零信任、云交付安全)
- 熟悉传统网络安全产品(防火墙、VPN、Web Proxy、CASB)的工作原理
- 建议具备 PSE-Strata 认证或同等 Palo Alto NGFW 技术知识
- 了解企业远程访问场景(远程办公、分支机构、SaaS 应用安全)
值不值得考?职业价值
Palo Alto PSE SASE 持证人的薪资区间、对应岗位、以及真实的职业影响。
Gartner 2025 SASE Magic Quadrant 把 Palo Alto 列为 Leader。SASE 是企业网络安全转型的主流方向,Prisma Access 的全球部署量在 2025 年超过 6 万家企业。
适合考的人:Palo Alto 合作伙伴中做 SASE/远程办公安全方案的售前 SE。SASE Specialization 是 Palo Alto 合作伙伴的高价值资质。
不适合考的人:不在 SASE 售前岗位的人 — 如果只是想了解 SASE 概念,看 Gartner 白皮书就够了。
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
3 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:SASE 架构和 Prisma Access(1-2 周)
Prisma Access 的全球 PoP 网络、Remote User(GlobalProtect Agent)和 Remote Networks(分支机构 IPsec)两种接入模式。Security Processing Node(SPN)的概念。
第二阶段:ZTNA 2.0 + 安全服务(2-3 周)
ZTNA 2.0 的四大改进(最小权限到连接级、持续信任验证、应用层检测、全协议覆盖)。SWG/CASB/DLP 各自的售前价值主张。CASB 的 API Mode vs Inline Mode 适用场景。
第三阶段:Prisma SD-WAN + 模考(1 周)
CloudBlade 架构中 ION 设备的选型。与 Prisma Access 集成的 SASE 完整架构。企业 SASE 部署三阶段路径(远程用户 → 分支机构 → 全员)。做 2 套模考。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
ZTNA 2.0 是考试绝对重点 — 必须能清晰说出 2.0 比 1.0 好在哪里、比传统 VPN 好在哪里。SD-WAN 部分比预期少,但 ION 设备选型和 Application-Aware Routing 至少出了 3 题。
同赛道认证对比
| Palo Alto PSE SASE | Palo Alto PSE Strata | Palo Alto PCNSA | |
|---|---|---|---|
| 机构 | 其他 | 其他 | 其他 |
| 级别 | 助理级 | 助理级 | 助理级 |
| 考试费 | $250 | $250 | $250 |
| 时长 | 90 min | 90 min | 120 min |
| 题量 | 75 | 75 | 80 |
| 有效期 | 3 年 | 3 年 | 2 年 |
备考技巧与常见失误
**说不清 ZTNA 2.0 的四个改进** — 这是考试核心,每个改进都可能单独出题。"持续信任验证"不只是 re-authentication,而是实时监测设备状态和用户行为。
**混淆 Prisma Access 和 GlobalProtect** — GlobalProtect 是客户端 Agent,Prisma Access 是云端安全平台。Agent 负责接入,平台负责策略执行。
**忽略 CASB 的两种模式** — API Mode 扫描已知 SaaS 应用的存量数据(如 Office 365 中的敏感文件),Inline Mode 实时控制新的 SaaS 访问流量。场景不同推荐不同。