Juniper JN0-520 认证学习资料
Juniper防火墙产品培训+#
市场领导地位-Gartnet 2004年报告
Juniper #1 out of 18 vendors
Gartner Magic Quadran报 告是针对IT特定细分市场 上的厂商实力所进行的极 具声望的评价,它从各个 方面来全方位评价厂商, 包括产品线的完整度和功 能、技术实力、创新性、 成功实施情 况、满足客户 现有和未来需求的能力, 以及包括服务和支持在内 的执行能力、市场 份额、 财务健康状况和其它关键 指标
• 广电总局国家骨干网
•
全国骨干网,50%以上设备
市场机会,约超过70 亿美元
• 安全市场上估计存在超过 70 亿美元的机会 • 包括 IPS、SSL VPN、路由功能和防火墙 VPN • 防火墙 VPN 仍然是安全市场最大的组成部分 • 我们的强项是防火墙/VPN产品 • 继续推动安全类产品的发展
先进的硬件设计通用结构的处理?数据在几个非优化的接口传送?每个api引入安全风险?处理的延迟导致无法预测的行为?数据通道无法优化pcappliancespseudoappliancesosvpncoprocessorcpurambusioinoutapplications专用的安全处理?基于流的线性的数据包处理?每个处理模块被优化?优化的应用和硬件用于安全处理和性能gigascreenasiccpuhighspeedbackplaneinoutramionetscreenadvancedarchitecturesecurityspecificrealtimeosintegratedsecurityapplicationsasicjuniper防火墙产品培训149152020screenos特点?安全性专用的实时操作系统?完全设计用于执行计算密集型安全功能而不会影响吞吐量?与硬件设备安全操作系统及安全应用紧密集成?状态协议级智能?集成深层检测防病毒和web过滤等?专用操作系统减少补丁和测试?所有防火墙ipsecvpn系列产品上部署相同的安全性专用操作系统juniper防火墙产品培训159152020screenosipv6?为状态防火墙和ipsecvpn提供生产级的商用ipv6支持?支持双堆栈架构使客户能够在一个设备上同时支持并保护ipv4与ipv6网络?支持所有主要的ipv6迁移机制包括ipv4ipv6和ipv6ipv4迁移ipv6隧道中的ipv4和ipv4隧道中的ipv6?以及面向ipv6的natpt?支持ripng动态路由协议允许客户提高生产网络中的ipv6部署的可扩展性?防止ipv6网络遭受synflood攻击和其他攻击使客户能够抵御从ipv4或ipv6网络中发起的拒绝服务攻击juniper防火墙产品培训169152020juniper防火墙产品线ns5gtns2550nshscns5400isg2000isg1000ssg520mssg550mnsseriesisgseriesssgseriesns5200ns500ns208ns204ssg20ssg5ssg140ssg350ssg320juniper防火墙产品培训179152020议程?juniper简介?juniper防火墙vpn产品线?juniperisg集成安全网关系列?juniperssg安全业务网关系列?产品对比?案例分析juniper防火墙
Juniper网络安全设备应用文档
研发服务中心网络文档Juniper网络安全设备应用文档(防火墙)2011-4-25发布目录一、学习内容 (5)1.概念部分 (5)2.应用部分 (5)二、基础部分的学习 (5)三、防火墙的作用 (6)四、防火墙设备的特点 (6)五、无安全设备的网络拓扑 (6)六、部署防火墙的网络拓扑 (7)七、防火墙的分类 (7)八、SSG系列安全业务网关 (7)九、基础应用 (8)十、设备调试思路 (9)十一、防火墙设备的设置步骤 (9)十二、对防火墙进行调试的准备工作 (10)十三、防火墙的默认状态 (10)十四、部署模式的选择 (11)1. Juniper netscreen 防火墙有三种的应用模式 (11)2.特殊模式: (11)十五、透明模式 (11)1.透明模式: (11)2.适用用的环境: (11)3.优点: (11)4基于透明模式的拓扑图 (11)5.透明模式的实现(命令行) (12)十六、NAT模式 (12)1.适用的网络环境: (12)2.优点: (12)3.网络拓扑图(NAT/ROUTE) (12)4.NAT模式的实现(命令行) (13)十七、路由模式 (13)1.适用的网络环境 (13)2.优点: (13)3.网络拓扑图(NAT/ROUTE) (13)4.路由模式的实现(命令行) (14)十八、登录防火墙WEB界面 (14)十九、NS防火墙的WEB界面 (15)二十、WEB下的基本设置 (15)1.设置路由网关 (15)二十一、访问控制的实现 (16)1.访问控制策略包括六个最基本的必要信息 (16)2.其它非必要信息 (16)二十二、策略设置 (16)二十三、自定义服务 (17)二十四、安全域的设置和自定义 (18)二十五、特殊应用的实现MIP (20)1.特殊的应用MIP(图) (20)2.特殊的应用MIP (20)3.MIP定义 (20)4.MIP列表 (21)5.基于MIP应用的访问策略 (21)6.MIP的策略设置 (21)二十六、特殊应用的实现DIP (22)1.特殊的应用DIP(图) (22)2.DIP的设置 (22)3.DIP的地址池设置 (23)4.DIP在策略中的应用 (23)5.应用了DIP的策略现象 (24)二十七、特殊应用的实现VIP (24)1.特殊的应用VIP(图) (24)2.特殊应用的实现VIP (25)3.VIP的地址定义 (25)4.VIP的端口映射关系 (25)5.VIP的映射列表 (25)6.VIP的策略 (26)二十八、配置文件的保存 (26)1.配置文件的导入、导出 (27)二十九、防火墙设备恢复出厂状态 (27)文档修改记录一、学习内容1.概念部分1.防火墙的概念2.具有代表性的Juniper产品(SSG系列)2.应用部分1.部署模式的选择和实现2.访问控制的实现(策略的设置)3.安全域的自定义4.一些特殊应用的实现(MIP\DIP\VIP)5.配置文件的保存二、基础部分的学习1.概念部分1.防火墙的概念、特点2.具有代表性的Juniper产品(SSG)2.防火墙的基本概念1.是一个用以阻止网络中的非法用户或非授权用户访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的阀门。
Juniper防火墙配置ppt课件
.
规格对照之SSG 350
防火墙性能(大型数据包) 550+ Mbps • 防火墙性能(IMIX) 500Mbps • 每秒处理的防火墙数据包数量 225,000PPS • 3DES+SHA-1 VPN性能 225 Mbps • 并发VPN隧道数 500 ,最大并发会话数 128,000 • 新会话/秒 12,500 最大安全策略数2,000 最大安全区数量
.
防火墙的接口模式
•接口的连接模式
动态地址 静态地址 PPPoE
•接口的传输模式
路由模式 NAT模式 透明模式
.
透明模式
•路由模式VS透明模式
路由模式,防火墙扮演一个三层设备,基于目的IP地址转发数据 包。 透明模式,防火墙扮演一个二层设备,如同桥或交换机,基 于目的MAC地址转发以太帧
•透明模式与交换机
.
.
配置端口管理方式及设置管理地址
•CLI set interface eth0/0 ip 192.168.1.1 255.255.255.0 set interface eth0/0 manage-ip 192.168.1.1 set interface eth0/0 manage web set interface eth0/0 manage telnet
.
特点与效益
• 特点十:网络分段 效益
SSG系列提供一组高级网络分段功能,如桥接群组、安全 区、虚拟LAN和虚拟路由器,让网管人员能够针对不同用 户群组、无线网络和区域服务器,部署不同等级的安全防 护机制。强大的网络安全管理和控制能力,能防止未经授 权就接入网络的内、外部和DMZ子群组。
JUNIPER培训资料-产品篇
• 无源背板 • 分布式包转发的系统架构 • 冗余电源以及风扇系统
物理参数
• 高度: 8RU (大约1/6机架), 深度: <800mm深
系统容量
• 整机最大双工达到1.44T bps的转发性能
与MX960的通用硬件组件
• 相同的RE/SCB板卡 • 相同的DPC/MPC板卡
Copyright © 2012 Juniper Networks, Inc.
Proprietary and Confidential
‹#›
MX960系统组件如何连接?
A-PEM3 A-PEM2 A-PEM1 A-PEM0 A-FAN0 A-FAN1 A-FPB0
A-RE0 A-SCB0
业务槽位上线/下线按钮
Copyright © 2012 Juniper Networks, Inc.
Proprietary and Confidential
‹#›
MX960 电源参数
系统设计2+2 电源冗余 电源配置
• MX960的机框分为2个供电区域,每个区域需要1个电源模块 -> 2个电源模块 是非冗余的配置 • 如果要冗余, 则每个供电区域需要增加第2个电源模块 • 供电区域1: 电源模块 0 & 2 供电给 DPC 6到11, SCB 1和 2以及下部风扇托 盘 • 供电区域2:电源模块 1 & 3供电给DPC 0到5, SCB 0, 以及上部风扇托盘
A-RE1 A-SCB1 A-SCB21
A-DPC0
A-DPC11
A-DPC1
A-DPC10
A-DPC2
A-DPC9
A-DPC3
培训资料Juniper网络安全防火墙设备售前培训v
– 完全和ScreenOS 5.3 整合
• 客户可以选择采用Kaspersky还是Trend – 推荐用卡 巴斯基
25
内嵌防垃圾邮件
– 阻断垃圾邮件和网页仿冒攻击
• 将赛门铁克的防垃圾邮件功能集成到SSG 520/550中 • 使用基于IP的、强韧的、始终更新的垃圾邮件发送人和网页仿
• Source/Destination ip Session number limit
20
SSG:多种领先的安全技术的集成
• 入侵防御功能:
• 防病毒:卡巴斯基
• 防垃圾邮件:赛门铁克
• 网页过滤:美讯智
其他厂家主要依靠自己开发,特征库不完善,不专业;或者只能支 持部分的UTM功能
21
更多应用层协议的DI(IPS)支持
3
Juniper将电信级的技术精髓带入金融企业
2006
M-Series
1996
Incorporated
1998
1999
Revenue Employees
2000
2001
2002
$500M 1000
T-Series
1500
5
2004
$1B 2500
2005
#789
Acorn
UAC
SSG
$2B $2.3B
– 2个选项:集成 (SurfControl) 或重新定向 (SurfControl 或Websense)
URL 请求
许可接入
XOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXOXO
Juniper 网络公司 SSG 520 系列(中文)
瞻博网络SSG系列安全业务网关SSG500系列
源。
SSG 0和SSG 0M只提供单一电源,而
SSG 0和SSG 0M带有可选的冗余电源选项。
SSG 0/SSG 0M
网络设备构建系统 (NEBS) 兼容SSG 0M和 SSG 0M都有遵从NEBS的版本。
SSG 0M
SSG 0M
DRAM所有的 SSG 00 系列型号都可以装配 GB DRAM。
而 SSG 0 和 SSG 0 还可以选择 MB DRAM。
SSG 0/SSG 0M SSG 0/SSG 0M
统一威胁管理/ 内容安全 (需大容量内存选项)瞻博网络SSG 00系列都能够配置为下列一流UTM
和内容安全功能的任意组合:防病毒 (包括防间谍
软件和防钓鱼软件) 、IPS (深层检测) 、网页过滤
和/或防垃圾邮件。
仅限于大容量内存的 SSG 0/SSG 0M 仅限于大容量内存的 SSG 0/SSG 0M
I/O 选项 个接口扩展槽能够支持可选的T ,E ,串行l,
DS , 0/ 00/ 000, 0/ 00 和 SFP 连接。
SSG 0/SSG 0M SSG 0/SSG 0M
SSG520M
SSG520
SSG550M SSG550。
JUNIPER认证体系
JUNIPER认证考试简介JNCIA-JNCIS-JNCIP-JNCIE,其中JNCIA和JNCIS是低、中级别的认证,但通过JNCIS是参加JNCIP和JNCIE的资格考试,只有通过了JNCIS笔试,才能参加实验考试,类似于CCIE的笔试部分。
而且JNCIA和JNCIS都是独立的认证考试,而且JNCIS考试在全国的很多城市都能考,通过Prometric的考试中心来进行考试,一般在能考CCNA认证或者MCSE认证的地方,也能考JNCIA、JNCIS。
以前没有JNCIP考试,JNCIE实验室考试为2天,后来Juniper为了增强配置和实际操作环节的考核,将2天的JNCIE考试分拆为独立的JNCIP认证和JNCIE认证。
JNCIA考试是笔试,初级的技术认证,主要测试考生对BGP/OSPF/ISIS/等技术的理解,考试费用为125美元,考试时间60分钟,60道不定项选择题目,70%及格;JNCIS考试是笔试,中级的技术认证,主要测试考生对BGP/IGP/MPLS/IPV6/Multicast/IPv6/CoS等技术的理解,考题比JNCIA难度要大,考试费用是125美元,考试时间90分钟,75道不定项选择题目,70%及格;JNCIP考试是实验室操作考试,高级的技术认证,需要配置7台路由器,主要测试考生对IGP/BGP配置还有设备本身操作的能力,考试费用是1250美元,考试时间8小时,80%及格;JNCIE考试是实验室操作考试,顶级的技术认证,需要排除10台路由器的故障并按照求新增配置,主要测试考生的故障排除能力和专家级别的配置能力,考试费用是1250美元,考试时间8小时,80%及格;总之,JNCIE考的就是Juniper路由器M/T系列在骨干网络上的操作、排障和对主流技术的理解。
也因为Juniper以高端路由产品起家,所以认证考试也面向高端,平心而论JNCIE考试的难度与CCIE 相比有过之而无不及。
JNCIA认证课程目的JUNIPER网络公司路由器操作和故障排除(OTJNR)是一门由教师指导的中级课程,主要介绍JUNIPER网络公司M-系列和T-系列平台的操作和故障排除。
Testinside JN0-100认证考试题库
"Juniper Networks Certified Internet Associate (JNCIA-JUNOS) ", also knownVerified Answers Researched by Industry Experts and almost 100% correctJN0-100 exam questions updated on regular basisSame type as the certification exams, JN0-100 exam preparation is in multiple-choice questions (MCQs).Tested by multiple times before publishingTry free JN0-100 exam demo before you decide to buy it in .Note:This pdf demo do not include the question's picture.Exam : Juniper Networks JN0-100Title : Juniper Networks Certified Internet Associate (JNCIA-JUNOS)1. Which statement is correct about the validate option when upgrading JUNOS software?A. It will check the MD5 checksum of the install package.B. It will check if the device meets the memory requirements for the install package.C. It will check the compatibility of the configuration with the install package.D. It will check if the device meets the storage requirement for the install package.Answer: C2. What represents the decimal equivalence of 11000000 10101000 10101100 11110001?A. 192.168.184.201B. 192.168.172.241C. 192.170.172.237D. 192.170.184.221Answer: B3. In which mode are users allowed to configure the device, including interfaces, protocols, user access, and system hardware properties?A. priviledged modeB. configuration modeC. monitoring modeD. operational modeAnswer: B4. If the PFE does not have a route to the destination address of a packet, which action will be taken?A. The PFE floods the packet out of all interfaces.B. The PFE drops the packet and sends a destination unreachable notification back to source device.C. The PFE forwards the packet to the routing engine for further processing.D. The PFE queues the packet and sends a request for a layer 3 lookup to the routing engine.Answer: B5. On a Juniper Router, where is the JUNOS software located?A. EPROMB. Zip driveC. hard driveD. compact flashAnswer: D6. What is the interface connecting the routing engine to the packet forwarding engine called?A. Loopback 0B. managementC. internal (fxp1)D. control interfaceAnswer: C7. On a Juniper router, what is the default file used for syslog messages?A. systemB. errorsC. securityD. messagesAnswer: D8. When a non-root user connects to a JUNOS platform and enters a username and password, the user is immediately placed at which level?A. UNIX shellB. user level CLIC. configuration modeD. operational modeAnswer: D9. For which two functions is the Routing Engine responsible? (Choose two.)A. packet forwardingB. queuing functionsC. routing protocol controlD. JUNOS software operationAnswer: CD10. Which three statements are true of dynamic routing protocols? (Choose three.)A. They are scalable.B. They are Dijkstra based.C. They share network layer reachability information among neighbors.D. They automate next hop decisions.E. They are tolerant of configuration errors.Answer: ACD11. Which major J-Web menu should you use to upgrade the JUNOS software on the router?A. MonitorB. MaintainC. DiagnoseD. ConfigurationAnswer: B12. Which statement is true about the internal link between the Routing Engine and the Packet-Forwarding Engine?A. It is only used for exception traffic.B. It is an FE link called fxp2.C. It is rate-limited to avoid DDOS attacks.D. It is only used to send the forwarding-table from the Routing Engine to the Packet-Forwarding Engine. Answer: C13. How many IP addresses can be configured in a given interface?A. one primary and one secondary IP addressB. one IP addressC. as many IP addresses as you wantD. one primary and multiple secondary IP addressesAnswer: C。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Juniper JN0-520
Juniper Networks jn0-520 Juniper Networks Certified Internet Associate(jncia-fwv)
Practice Test
Version demo 1.0
QUESTION NO: 1
Your VPN tunnel does not pass traffic. You run the " get ike cookie " command and discover that there is no cookie. What two (2) options should you check first ?
A. Phase 1 configuration options
B. Routes
C. Phase 2 configuration options
D. Policy configuration
Answer: A,B
QUESTION NO: 2
You enter the following command set int e8 mip 1.1.8.32 host 10.1.10.32 netmask
255.255.255.248 How many MIP address translations have you just configured?
A. 6
B. 32
C. 1
D. 30
E. 8
Answer: E
QUESTION NO: 3
You are looking at the event log of the initiating device and it says Received notify message for DOI <1> <14> <NO_PROPOSAL_CHOSEN>. What is likely to be the problem?
A. Phase 1 key exchange failure
B. Phase 2 proposal mismatch
C. Phase 1 unrecognized peer
D. Phase 2 PFS failure
Answer: B
QUESTION NO: 4
Click the Exhibit button to view the exhibit. What does this icon indicate?
A. Address translation is enabled on a policy
B. Scheduling is enabled on a policy
C. Logging is enabled on a policy
D. Counting is enabled on a policy
E. Authentication is enabled on a policy
Answer: D
QUESTION NO: 5
You have created your tunnel interface in the U ntrust zone. Traffic from the T rust zone is able to enter the tunnel and pass to the destination. However traffic from a different interface in the U ntrust zone is not able to pass traffic through the tunnel. You are using a single virtual router. What could be causing this problem?
A. The tunnel is configured with a proxy id that does not include the address from the Untrust interface.
B. A policy is needed since intra-zone blocking is on by default in the Untrust zone.
C. The routing tables are not correctly configured to allow the traffic from the Untrust source to be delivered to the destination.
D. Two virtual routers need to be configured.
Answer: B
QUESTION NO: 6
When managing a NetScreen device via the CLI and performing an image upgrade, from which hardware components can the the ScreenOS image NOT be loaded?
A. TFTP server
B. Compact Flash Card
D. PC local disk
E. Internal Flash
Answer: D
QUESTION NO: 7
Which item is different when configuring a route-based VPN gateway than a policy-based VPN gateway?
A. Outgoing interface
B. Security Proposal
C. Binding a tunnel interface
D. Gateway
Answer: C
QUESTION NO: 8
You are looking at your policies via the Web UI and you notice that the green permit policy has turned blue. What would cause this?
A. The policy is currently passing traffic beyond its traffic limits and it is currently in alarm
B. The policy is configured to support a MIP
C. The Policy has failed to pass permitted traffic due to a virus
D. The policy is currently inactive
E. That the policy is configured for unidirectional NAT
Answer: E
QUESTION NO: 9
You enter the following command set int e8 dip 5 shift-from 10.1.1.5 1.1.10.2 1.1.10.40 What will be the source IP address of the egress packet for the second user requesting an address from the DIP pool, if the source address of that user is 10.1.1.7 ?
A. 1.1.10.40
B. 1.1.10.2
C. 1.1.10.3
D. 1.1.10.4
Answer: D
QUESTION NO: 10
What three (3) are major concerns when sending private data over a public medium?
A. Authentication
B. Integrity
C. Capacity
D. Confidentiality
E. Authority
Answer: A,B,D
QUESTION NO: 11
What needs to be configured during phase 2 of a route-based VPN, that does not have to be configured during a policy-based VPN? (assume both devices are NetScreens using route-based VPNs)
A. Transport mode
B. Replay protection
C. Custom proposals
D. Tunnel-binding
E. Proxy-id
Answer: D
QUESTION NO: 12
Which three (3) screening options are detected only on physical interfaces?
A. Limit Session
B. Deny UDP Flood
C. Deny Ping of Death Attack
D. Deny Syn Attack
E. Deny Syn Fragment
Answer: A,B,D。