Juniper防火墙高级动手实验试题
以下题目用copy screen的方式做成截图,放到PPT文件里。如果是一个公司的不同工程师,需要用不同的IP地址规划来做。如果确实没有实验设备而知道如何做的,可以写出详细的实施步骤,但是要特别详细才能有分数。然后发给Juniper北京、上海和广州的渠道工程师(北京:梁小东aliang@juniper.net/陈江chenjiang@juniper.net;上海:李学平xpli@juniper.net;广州:石钊szhao@juniper.net),70分为合格。
1、
部署两台防火墙成为透明模式下的HA并且用命令检查配置同步的情况;(15分)
2、
部署两台防火墙成为路由模式下的HA(双active)并且确定配置同步的情况;(20分)
3、
将ISG系列防火墙部署成为带IDP模块的防火墙的步骤,包括:硬件操作、操作系统版本,生成和导入license key的步骤,用CLI命令检查IDP模块的安装情况;(15分)
4、
安装NSM 服务器的步骤(包括描述服务器操作系统的版本选择,安装NSM的步骤,如何更改IP地址,检查服务器进程是否正常);(10分)
5、
采用NSM的管理方式将ISG+IDP模块的防火墙加入集中管理系统中,并且更新服务器的DI/IDP特征库,配置ISG防火墙对由内网向外网的访问实施in-line tap模式,由外网向内网的web服务器的访问实施in-line模式(实施动作是立即丢弃该会话里的恶意数据包,并且对源IP后续做60s的拒绝访问),对内网的ftp服务器访问为in-line tap模式,遇到攻击时实施tcp reset;先比对防火墙现有策略和NSM的新策略有何不同,再将新策略下发到防火墙。如果没有实际的ISG设备,可以结合NSM的demo模式来做copy screen的ppt。(20分)
6、
配置NSM的global安全域下的子域sub1和sub2,并且对不同子安全域定义不同级别的管理人员,管理员的权限为自定义的,分别管理sub1子域的防火墙和sub2子域的防火墙。可以结合NSM的demo模式来做copy screen的ppt。(10分)
7、
对防火墙的故障查错命令的使用,包括在定义源ip地址和目的ip地址过滤的情况下使用snoop和debug。(
