问答题
【说明】
某企业采用Windows Server2003操作系统部署企业虚拟专用网(VPN),将企业的两个异地网络通过公共Internet安全的互联起来。微软Windows Server 2003操作系统中对IPSec具备完善的支持,图1-16示出了基于Windows Server 2003系统部署IPSec VPN的网络结构图。
某企业采用Windows Server2003操作系统部署企业虚拟专用网(VPN),将企业的两个异地网络通过公共Internet安全的互联起来。微软Windows Server 2003操作系统中对IPSec具备完善的支持,图1-16示出了基于Windows Server 2003系统部署IPSec VPN的网络结构图。
问答题
【问题1】
使用VPN技术,是为了保证内部数据通过Internet安全传输。VPN技术主要采用哪些技术来保证数据安全?
使用VPN技术,是为了保证内部数据通过Internet安全传输。VPN技术主要采用哪些技术来保证数据安全?
【正确答案】①隧道技术
②加解密技术
③密钥管理技术
④使用者与设备身份认证技术
②加解密技术
③密钥管理技术
④使用者与设备身份认证技术
【答案解析】[解析]
这是一道要求读者掌握VPN安全关键技术的基本常识题。本题所涉及的知识点如下。
虚拟专用网(VPN)指的是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。其中,“虚拟”是指用户不再需要拥有实际的长途数据线路,而是使用公共Internet网的数据线路。“专用网”是指用户可以为自己制定一个最符合自己需求的网络。
目前VPN技术主要采用隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)等来保证内部数据在Internet网上的安全传输。
①隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三、四层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP帧中,再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、 L2TP等。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。IPSec协议是第三层隧道协议的典型代表。SSL协议是第四层隧道协议的典型代表。
②加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有的对称密码和非对称密码加解密技术。通过公共Internet网络传递的数据经过加密后,以确保网络其他未授权的用户无法读取该信息。
③密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
④使用者与设备身份认证技术,通常使用用户名和密码认证、卡片式认证或USB加密狗认证等方式。
这是一道要求读者掌握VPN安全关键技术的基本常识题。本题所涉及的知识点如下。
虚拟专用网(VPN)指的是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。其中,“虚拟”是指用户不再需要拥有实际的长途数据线路,而是使用公共Internet网的数据线路。“专用网”是指用户可以为自己制定一个最符合自己需求的网络。
目前VPN技术主要采用隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)等来保证内部数据在Internet网上的安全传输。
①隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三、四层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP帧中,再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、 L2TP等。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。IPSec协议是第三层隧道协议的典型代表。SSL协议是第四层隧道协议的典型代表。
②加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有的对称密码和非对称密码加解密技术。通过公共Internet网络传递的数据经过加密后,以确保网络其他未授权的用户无法读取该信息。
③密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
④使用者与设备身份认证技术,通常使用用户名和密码认证、卡片式认证或USB加密狗认证等方式。
问答题
【问题2】
IPSec IETE以RFC形式公布的一组安全协议集,它工作在OSI/RM的 。该协议的 机制不支持保密服务。IPSec的密钥管理包括密钥的确定和分发,其支持的密钥管理方式是 。
A.数据链路层 B.网络层 C传输层 D.应用层
A.AH B.ESP C.SA D.IKE
A.手工密钥分配 B.自动密钥分配
C.动态密钥分配 D.手工密钥分配和自动密钥分配
IPSec IETE以RFC形式公布的一组安全协议集,它工作在OSI/RM的 。该协议的 机制不支持保密服务。IPSec的密钥管理包括密钥的确定和分发,其支持的密钥管理方式是 。
A.数据链路层 B.网络层 C传输层 D.应用层
A.AH B.ESP C.SA D.IKE
A.手工密钥分配 B.自动密钥分配
C.动态密钥分配 D.手工密钥分配和自动密钥分配
【正确答案】B,或网络层
A,或AH
D,或手工密钥分配和自动密钥分配
A,或AH
D,或手工密钥分配和自动密钥分配
【答案解析】[解析]
IPSec是IETE以RFC形式公布的一组安全协议集,提供访问控制、数据源认证、拒绝重放包、无连接完整性、保密性的服务。IPSec安全体系结构包括AH(Authentication Header)协议、ESP(Encapsulating Security Payload)协议、密钥管理协议(ISAKMP)等3个最基本的协议。其中,AH协议为IP包提供信息源验证和完整性保证,但不支持保密服务;ESP协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。
IPSec体系结构文档要求支持手工密钥分配和自动密钥分配这两种密钥管理方式。其中手工密钥分配的优点是简单,缺点是安全性较低,应用于小规模、相对静止的环境:自动密钥分配的优点是安全性较高,缺点是算法实现、密钥管理等较复杂。
L2F、PPTP、L2TP等VPN协议工作在OSI/RM参考模型的数据链路层,IPSec协议工作在OSI/RM的网络层,SSL/TLS VPN协议工作在OSI/RM的传输层。
IPSec是IETE以RFC形式公布的一组安全协议集,提供访问控制、数据源认证、拒绝重放包、无连接完整性、保密性的服务。IPSec安全体系结构包括AH(Authentication Header)协议、ESP(Encapsulating Security Payload)协议、密钥管理协议(ISAKMP)等3个最基本的协议。其中,AH协议为IP包提供信息源验证和完整性保证,但不支持保密服务;ESP协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。
IPSec体系结构文档要求支持手工密钥分配和自动密钥分配这两种密钥管理方式。其中手工密钥分配的优点是简单,缺点是安全性较低,应用于小规模、相对静止的环境:自动密钥分配的优点是安全性较高,缺点是算法实现、密钥管理等较复杂。
L2F、PPTP、L2TP等VPN协议工作在OSI/RM参考模型的数据链路层,IPSec协议工作在OSI/RM的网络层,SSL/TLS VPN协议工作在OSI/RM的传输层。
问答题
【问题3】
如果按照如图1-16所示的网络结构配置IPSec VPN,安全机制选择的是ESP,那么IPSec工作在隧道模式。通常,在图1-16所示的4个网络接口(NICI~NIC4)中,应将 和 接口的IP地址配置为公网IP,将 和 接口的IP地址配置为内网IP。
A.NIC1 B.NIC2 C.NIC3 D.NIC4
如果按照如图1-16所示的网络结构配置IPSec VPN,安全机制选择的是ESP,那么IPSec工作在隧道模式。通常,在图1-16所示的4个网络接口(NICI~NIC4)中,应将 和 接口的IP地址配置为公网IP,将 和 接口的IP地址配置为内网IP。
A.NIC1 B.NIC2 C.NIC3 D.NIC4
【正确答案】B(或NIC2),或者C(或NIC3)
C(或NIC3),或者B(或NIC2),但要与(4)所填写的内容不同
A(或NIC1),或者D(或NIC4)
D(或NIC4),或者A(或NIC1),但要与(6)所填写的内容不同
C(或NIC3),或者B(或NIC2),但要与(4)所填写的内容不同
A(或NIC1),或者D(或NIC4)
D(或NIC4),或者A(或NIC1),但要与(6)所填写的内容不同
【答案解析】[解析]
隧道化技术是一种将分组封装化的技术,它要求发送方和接收方的VPN设备的认证方式、加密和封装化规程必须相同;它在Internet中建立一条数据通道,让数据包通过这条通道传输。在图1-16中拓扑结构中,通常需将公网Ⅳ地址分配给网络接口NIC2、NIC3,将私网IP地址分配给NIC1、NIC4。
隧道化技术是一种将分组封装化的技术,它要求发送方和接收方的VPN设备的认证方式、加密和封装化规程必须相同;它在Internet中建立一条数据通道,让数据包通过这条通道传输。在图1-16中拓扑结构中,通常需将公网Ⅳ地址分配给网络接口NIC2、NIC3,将私网IP地址分配给NIC1、NIC4。
问答题
【问题4】
利用Windows 2000建立VPN服务器,接受远程VPN访问。默认情况下,______接入到VPN服务器上。
A.拒绝任何用户 B.允许任何用户
C.除了GUEST用户,允许任何用户 D.除了管理用户,拒绝任何用户
利用Windows 2000建立VPN服务器,接受远程VPN访问。默认情况下,______接入到VPN服务器上。
A.拒绝任何用户 B.允许任何用户
C.除了GUEST用户,允许任何用户 D.除了管理用户,拒绝任何用户
【正确答案】A,或拒绝任何用户
【答案解析】[解析]
这是一道要求读者掌握利用Windows操作系统远程访问策略的基本常识题。本题的解答思路如下。
由于Windows 2000操作系统默认对VPN拨入是进行Windows身份验证,即每个客户端拨入VPN服务器都需要有一个账号,因此在VPN服务器上要为每个需要拨入的客户设置一个专用的用户账号。
依次进入“控制面板/管理工具/计算机管理/本地用户和组/用户”,右击管理员用户“Administrator”后单击“属性”选项,在“拨入”选项卡中可以查看到管理员用户在默认情况下“远程访问权限(拨入或 VPN)”为“通过远程访问策略控制访问(P)”,如图1-19所示。
接着,在“管理工具”中双击“路由和远程访问”图标,在所列出的本地服务器上单击鼠标右键,从弹出的菜单中选择“配置并启用路由和远程访问”命令,接着通过“路由和远程访问服务器安装向导”来建立VPN服务器。
安装完成后,通过“管理工具/路由和远程访问”进入“路由和远程访问”控制台。在控制台左边目录树中点中“远程访问策略”,接着双击位于控制台右边“到Microsoft路由选择和远程访问服务器的连接”,系统将弹出如图1-20所示的属性界面。从该配置界面可以得知,操作系统将“远程访问权限”默认设置为“拒绝”。
这是一道要求读者掌握利用Windows操作系统远程访问策略的基本常识题。本题的解答思路如下。
由于Windows 2000操作系统默认对VPN拨入是进行Windows身份验证,即每个客户端拨入VPN服务器都需要有一个账号,因此在VPN服务器上要为每个需要拨入的客户设置一个专用的用户账号。
依次进入“控制面板/管理工具/计算机管理/本地用户和组/用户”,右击管理员用户“Administrator”后单击“属性”选项,在“拨入”选项卡中可以查看到管理员用户在默认情况下“远程访问权限(拨入或 VPN)”为“通过远程访问策略控制访问(P)”,如图1-19所示。
接着,在“管理工具”中双击“路由和远程访问”图标,在所列出的本地服务器上单击鼠标右键,从弹出的菜单中选择“配置并启用路由和远程访问”命令,接着通过“路由和远程访问服务器安装向导”来建立VPN服务器。
安装完成后,通过“管理工具/路由和远程访问”进入“路由和远程访问”控制台。在控制台左边目录树中点中“远程访问策略”,接着双击位于控制台右边“到Microsoft路由选择和远程访问服务器的连接”,系统将弹出如图1-20所示的属性界面。从该配置界面可以得知,操作系统将“远程访问权限”默认设置为“拒绝”。
问答题
【问题5】
在Internet上捕获并分析两个内部网络经由Internet通信的IP包,在下列选项中选择正确选项填写到图1-17中相应空缺处。
[*]
在Internet上捕获并分析两个内部网络经由Internet通信的IP包,在下列选项中选择正确选项填写到图1-17中相应空缺处。
[*]
【正确答案】(9)B,或“封装后的IP包头”
(10)C,或“封装前的IP头”
(10)C,或“封装前的IP头”
【答案解析】[解析]
IPSec VPN工作在OSI/RM的网络层,当应用ESP协议的隧道模式时,原IP数据包(源/目的IP地址使用内网IP地址)前将插入一个ESP头标,原IP数据包后插入ESP尾、ESP认证;最后再封装一个源/目的IP地址使用公网IP地址的新IP头。因此,(9)空缺处需填入“封装后的IP包头”,(10)空缺处需填入“封装前的IP头”。
IPSec VPN工作在OSI/RM的网络层,当应用ESP协议的隧道模式时,原IP数据包(源/目的IP地址使用内网IP地址)前将插入一个ESP头标,原IP数据包后插入ESP尾、ESP认证;最后再封装一个源/目的IP地址使用公网IP地址的新IP头。因此,(9)空缺处需填入“封装后的IP包头”,(10)空缺处需填入“封装前的IP头”。