阅读以下说明，回答问题。(2012年上半下午试题四)[说明]某企业在部门A和部门B分别搭建了局域网，两局域网通过两台Windows Server 2003服务器连通，如图6-25所示，要求采用IPSec安全机制，使得部门A的主机PCI可以安全访问部门B的服务器S1。

问答题 IPSec工作在TCP／IP协议栈的皿层，为TCP／IP通信提供访问控制、数据完整性、数据源验证、抗重放攻击、机密性等多种安全服务。IPSec包括AH、ESP和ISAKMP／Oakley等协议，其中，盟为IP包提供信息源和报文完整性验证，但不支持加密服务；盟提供加密服务。

【正确答案】正确答案：(1)网络层(2)AH(3)ESP

【答案解析】解析：IPSec(Security Architecture for IP network，IP层协议安全结构)工作在TCP／IP协议栈的网络层。IPsec认证头(AH)提供了数据完整性和数据源认证，但不提供保密服务；IPsec封装安全负荷(ESP)提供了数据加密功能，它利用对称密钥对IP数据进行加密。

问答题 IPSec支持传输和隧道两种工作模式，如果要实现PCI和S1之间端到端的安全通信，则应该采用(4)模式。

【正确答案】正确答案：(4)传输模式

【答案解析】解析：IPsec提供了两种模式，即传输模式和隧道模式。在传输模式中，IPsec认证头(AH)或IPsec封装安全负荷(ESP)头插入原来的IP头之后；而在隧道模式中，IPsec用新的IP头封装了原来的IP数据报。

问答题如果IPSec采用传输模式，则需要在PCI和(5)上配置IPSec安全策略。在PCI的IPSec“IP筛选器属性”对话框(见图6-26)中，源IP地址应设为(6)，目标IP地址应设为(7)。

【正确答案】正确答案：(5)S1(6)192．168．1．2(7)192．168．2．2

【答案解析】解析：由图6-25可知，在PC1和S1上配置安全策略，源IP地址即PC1的IP地址192．168．1．2，目标IP地址即Sl的IP地址192．168．2．2。

问答题如果要保护部门A和部门B之间所有的通信安全，则应该采刚隧道模式，此时需要在ServerA和盟上配置IPSec安全策略。在ServerA的IPSec筛选器属性埘话框中(地图6—27)，源IP子网的IP地址应设为盟，目标子网IP地址应设为(10)，源地址和目标地址的子网掩码均设为255．255．255．0。ServerA的IPSec规则设置中(见图6—28)，指定的隧道端点IP地址应设为(11)。

【正确答案】正确答案：(8)ServerB(9)192．168．1．0(10)192．168．2．0(11)202．113．111．1

【答案解析】解析：由图6-25可知，采用隧道模式需要在ServerA和ServerB上配置安全策略，源IP子网的IP地址，(9)和(10)分别是ServerA和ServerB所对应的网段IP地址，分别为192．168．1．0和192．168．2．0，隧道端点IP地址如图所示为202．113．111．1。