问答题
.阅读以下说明,回答问题1至问题4。
【说明】
某企业在公司总部和分部之间采用两台Windows Server 2003服务器部署企业IPSecVPN,将总部和分部的两个子网通过Internet互连,如图1所示。
【说明】
某企业在公司总部和分部之间采用两台Windows Server 2003服务器部署企业IPSecVPN,将总部和分部的两个子网通过Internet互连,如图1所示。
问答题
1. 【问题1】
隧道技术是VPN的基本技术,隧道是由隧道协议形成的,常见隧道协议有IPSec、PPTP和L2TP,其中______和______属于第二层隧道协议,______属于第三层隧道协议。
隧道技术是VPN的基本技术,隧道是由隧道协议形成的,常见隧道协议有IPSec、PPTP和L2TP,其中______和______属于第二层隧道协议,______属于第三层隧道协议。
【正确答案】PPTP
L2TP(前2空顺序可调换)
IPSec
L2TP(前2空顺序可调换)
IPSec
【答案解析】
| 常见的隧道协议 | ||||||||||||||||
| 协议层次 | 实例 | |||||||||||||||
| 数据链路层 | L2TP、PPTP、L2F | |||||||||||||||
| 网络层 | IPSec | |||||||||||||||
| 传输层 | SSL | |||||||||||||||
问答题
2. 【问题2】
IPSec安全体系结构包括AH、ESP和ISA KMP/Oakley等协议。其中,______为IP包提供信息源验证和报文完整性验证,但不支持加密服务;______提供加密服务;______提供密钥管理服务。
IPSec安全体系结构包括AH、ESP和ISA KMP/Oakley等协议。其中,______为IP包提供信息源验证和报文完整性验证,但不支持加密服务;______提供加密服务;______提供密钥管理服务。
【正确答案】AH
ESP
ISAKMP/Oakley
ESP
ISAKMP/Oakley
【答案解析】 IPSec是一个协议体系,由建立安全分组流的密钥交换协议和保护分组流的协议两个部分构成。前者即为IKE协议,后者则包含AH和ESP协议。
①IKE协议。
Internet密钥交换协议(Internet Key Exchange Protocol,IKE)属于一种混合型协议,由Internet安全关联和密钥管理协议(Internet Security Association and Key Management Protocol,ISAKMP)及两种密钥交换协议OA2KLEY与SKEME组成。即IKE由ISAKMP框架、OAKLEY密钥交换模式以及SKEME的共享和密钥更新技术组成。IKE定义了自己的密钥交换方式(手工密钥交换和自动IKE)。
注意:ISAKMP只对认证和密钥交换提出了结构框架,但没有具体定义,因此支持多种不同的密钥交换。
IKE使用了两个阶段的ISAKMP:
第一阶段:协商创建一个通信信道(IKE SA),并对该信道进行验证,为双方进一步的IKE通信提供机密性、消息完整性及消息源验证服务;
第二阶段:使用已建立的IKE SA建立IPSec SA。
②AH。
认证头(Amhentication Header,AH)是IPSec体系结构中的一种主要协议,它为IP数据报提供完整性检查与数据源认证,并防止重放攻击。AH不支持数据加密。AH常用摘要算法(单向Hash函数)MD5和SHA1实现摘要、认证,确保数据完整。
③ESP。
封装安全载荷(Encapsulate Security Payload,ESP)可以同时提供数据完整性确认、数据加密等服务。ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA-1来实现摘要、认证,确保数据完整。
①IKE协议。
Internet密钥交换协议(Internet Key Exchange Protocol,IKE)属于一种混合型协议,由Internet安全关联和密钥管理协议(Internet Security Association and Key Management Protocol,ISAKMP)及两种密钥交换协议OA2KLEY与SKEME组成。即IKE由ISAKMP框架、OAKLEY密钥交换模式以及SKEME的共享和密钥更新技术组成。IKE定义了自己的密钥交换方式(手工密钥交换和自动IKE)。
注意:ISAKMP只对认证和密钥交换提出了结构框架,但没有具体定义,因此支持多种不同的密钥交换。
IKE使用了两个阶段的ISAKMP:
第一阶段:协商创建一个通信信道(IKE SA),并对该信道进行验证,为双方进一步的IKE通信提供机密性、消息完整性及消息源验证服务;
第二阶段:使用已建立的IKE SA建立IPSec SA。
②AH。
认证头(Amhentication Header,AH)是IPSec体系结构中的一种主要协议,它为IP数据报提供完整性检查与数据源认证,并防止重放攻击。AH不支持数据加密。AH常用摘要算法(单向Hash函数)MD5和SHA1实现摘要、认证,确保数据完整。
③ESP。
封装安全载荷(Encapsulate Security Payload,ESP)可以同时提供数据完整性确认、数据加密等服务。ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA-1来实现摘要、认证,确保数据完整。
问答题
3. 【问题3】
设置Server A和Server B之间通信的“筛选器属性”界面如图2所示,在Server A的IPSec安全策略配置过程中,当源地址和目标地址均设置为“一个特定的IP子网”时,源子网IP地址应设为______,目标子网IP地址应设为______。如图3所示的隧道设置中的隧道终点IP地址应设为______。
图2 “筛选器属性”对话框
设置Server A和Server B之间通信的“筛选器属性”界面如图2所示,在Server A的IPSec安全策略配置过程中,当源地址和目标地址均设置为“一个特定的IP子网”时,源子网IP地址应设为______,目标子网IP地址应设为______。如图3所示的隧道设置中的隧道终点IP地址应设为______。
图2 “筛选器属性”对话框
【正确答案】192.168.1.0
192.168.2.0
202.113.111.1
192.168.2.0
202.113.111.1
【答案解析】 “筛选器属性”界面配置源子网IP地址(内网地址)和目的子网IP地址(内网地址)。
针对Server A,源子网IP地址(内网地址)为192.168.1.2/32,所以“筛选器属性”界面源子网IP地址应设为192.168.1.0;目的子网IP地址(内网地址)为192.168.1.2/32,所以“筛选器属性”界面目标子网IP地址应设为192.168.2.0。
“编辑规则属性”界面的隧道地址应该配置隧道对端(公网地址)。
Server A隧道对端(公网地址)为202.113.111.1,所以隧道设置中的隧道终点IP地址应设为202.113.111.1。
针对Server A,源子网IP地址(内网地址)为192.168.1.2/32,所以“筛选器属性”界面源子网IP地址应设为192.168.1.0;目的子网IP地址(内网地址)为192.168.1.2/32,所以“筛选器属性”界面目标子网IP地址应设为192.168.2.0。
“编辑规则属性”界面的隧道地址应该配置隧道对端(公网地址)。
Server A隧道对端(公网地址)为202.113.111.1,所以隧道设置中的隧道终点IP地址应设为202.113.111.1。
问答题
4. 【问题4】
在Setvet A的IPSec安全策略配置过程中,Server A和Server B之间通信的IPSec筛选器“许可”属性设置为“协商安全”,并且安全措施为“加密并保持完整性”,如图4所示。根据上述安全策略填写图5中的空格,表示完整的IPSec数据包格式。
图4 “许可属性”对话框
在Setvet A的IPSec安全策略配置过程中,Server A和Server B之间通信的IPSec筛选器“许可”属性设置为“协商安全”,并且安全措施为“加密并保持完整性”,如图4所示。根据上述安全策略填写图5中的空格,表示完整的IPSec数据包格式。
图4 “许可属性”对话框
【正确答案】B或ESP头
C或旧IP头
F或ESP尾
C或旧IP头
F或ESP尾
【答案解析】 本题要求“加密并保持完整性”,由于AH协议不支持加密,因此采用ESP封装。前面题目给出了总公司与子公司通信建立了隧道,因此采用隧道模式。具体如图6所示。
