问答题
【说明】
VPN是通过公用网络Internet将分布在不同地点的终端联接而成的专用网络。目前大多采用 IPsec实现IP网络上端点间的认证和加密服务。
VPN是通过公用网络Internet将分布在不同地点的终端联接而成的专用网络。目前大多采用 IPsec实现IP网络上端点间的认证和加密服务。
问答题
【问题1】
某企业的网络拓扑结构如图2.2所示,采用VPN来实现网络安全。请简要叙述从企业总部主机到分支机构主机通过IPsec的通信过程。
某企业的网络拓扑结构如图2.2所示,采用VPN来实现网络安全。请简要叙述从企业总部主机到分支机构主机通过IPsec的通信过程。
【正确答案】
【答案解析】从公司总部主机到分支机构主机通过IPsec的通信过程:
1)建立IPSec隧道的过程:
启动IPSec和IKE(Internet密钥交换),这个过程中要确定IPSec的两个对等体:公司总部主机和分支机构主机,以及要确定IPSec加密策略,然后,IKE在公司总部主机和分支机构主机这两个对等体中建立起IPSecSA;
2)数据传送过程:
根据存储在SA数据库中的IPSec参数和密钥,在IPSec对等体间传送数据。
3)释放IPSec隧道,终止通信。
1)建立IPSec隧道的过程:
启动IPSec和IKE(Internet密钥交换),这个过程中要确定IPSec的两个对等体:公司总部主机和分支机构主机,以及要确定IPSec加密策略,然后,IKE在公司总部主机和分支机构主机这两个对等体中建立起IPSecSA;
2)数据传送过程:
根据存储在SA数据库中的IPSec参数和密钥,在IPSec对等体间传送数据。
3)释放IPSec隧道,终止通信。
问答题
【问题2】
IPSec VPN采用何种加密算法进行加密?
IPSec VPN采用何种加密算法进行加密?
【正确答案】
【答案解析】采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。
问答题
【问题3】
从一下几个方面来对比IPSec VPN和SSL VPN各自的优势。
安全通道、认证和权限控管、安全测试、病毒入侵、防火墙上的通讯埠。
从一下几个方面来对比IPSec VPN和SSL VPN各自的优势。
安全通道、认证和权限控管、安全测试、病毒入侵、防火墙上的通讯埠。
【正确答案】
【答案解析】1)安全通道(Secure Tunnel):IPSec和SSL这两种安全协议,都有采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上,并没有谁好谁坏之差,仅在于应用上的不同。
2)认证和权限控管:IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certifi-cate)或是一组Secret Key来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就没有太大的差别。
3)安全测试:IPSec VPN已经有多年的发展,有许多的学术和非营利实验室,提供各种的测试准则和服务,其中以ICSA Labs是最常见的认证实验室,大多数的防火墙,VPN厂商,都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面,则尚未有一个公正的测试准则,但是ICSA Labs实验室也开始着手SSL/TLC的认证计划,预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。
4)病毒入侵:一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL VPN的联机,所感染的可能性,会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。
5)防火墙上的通讯埠(port):在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。反观之,SSL VPN就没有这方面的困扰。因为在远程主机与SSL VPN Gateway之间,采用SSL通讯埠(port 443)来作为传输通道,这个通讯埠,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。
2)认证和权限控管:IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certifi-cate)或是一组Secret Key来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就没有太大的差别。
3)安全测试:IPSec VPN已经有多年的发展,有许多的学术和非营利实验室,提供各种的测试准则和服务,其中以ICSA Labs是最常见的认证实验室,大多数的防火墙,VPN厂商,都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面,则尚未有一个公正的测试准则,但是ICSA Labs实验室也开始着手SSL/TLC的认证计划,预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。
4)病毒入侵:一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL VPN的联机,所感染的可能性,会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。
5)防火墙上的通讯埠(port):在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。反观之,SSL VPN就没有这方面的困扰。因为在远程主机与SSL VPN Gateway之间,采用SSL通讯埠(port 443)来作为传输通道,这个通讯埠,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。
问答题
【问题4】
在进行远程登陆时,最好使用哪种方式(IPSec VPN和SSL VPN)?
在进行远程登陆时,最好使用哪种方式(IPSec VPN和SSL VPN)?
【正确答案】
【答案解析】IPSec VPN和SSL VPN这两种VPN架构,从整体的安全等级来看,两种都能够提供安全的远程登入存取联机。但综观上述,SSL VPN在其易于使用性及安全层级,都比IPSec VPN高。我们都知道,由于Internet的迅速扩展,针对远程安全登入的需求也日益提升。