阅读以下说明,回答问题1到问题5。将答案填入对应的解答栏内。 某企业采用Windows 2003操作系统部署企业虚拟专用网(VPN),将企业的两个异地网络通过公共Internet安全地互联起来。微软Windows 2003操作系统当中对IPSec具备完善的支持,图3-1给出了基于Windows 2003系统部署IPSec VPN的网络结构图。
问答题
IPSec工作在(1),它的两种工作模式是(2)和(3)。 (1)备选答案: A.表示层 B.会话层 C.传输层 D.网络层
【正确答案】正确答案:(1)D (2)、(3)传输模式和隧道模式
【答案解析】解析:IPsec,即IP安全,它是在IP层来保证数据的安全性和完整性,因此它工作在网络层。IPsec有两种工作模式:传输模式和隧道模式。在传输模式下,VPN服务器只对IP数据报中TCP/LIDP报文段部分进行加密和验证,而IP报头仍采用原始明文IP报头,只是做适当的修改;但在隧道模式下,VPN服务器会对整个IP数据报进行加密和验证,即将原IP数据报看做一个整体进行加密和验证,为了能在Internet正确传送,VPN服务器还需要重新生成IP报头。 IPSec包括AH与ESP两个安全机制,其中AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供可靠性保证。
问答题
图3-2所示的是“自定义安全措施设置”对话框。如果在VPN中传输的非机密数据,仅需确保收到的数据在传输过程不被篡改,在图3-2中我们只需选择(4);如果在VPN中传输的是机密数据,不仅需要保证数据在传输过程不被篡改,而且还需要对数据进行加密,在图3-2中选择(5)。
【正确答案】正确答案:(4)A (5)B
【答案解析】解析:传输非机密数据只需要使用AH安全机制,因此在图3-2中只需选中“数据和地址不加密的完整性(AH)(A)”复选框,并选择合适的“完整性算法”即可。对于机密数据,需要使用ESP安全机制,因此可在图3-2中选中“数据完整性和加密(ESP)(C)”,并选择合适的“完整性算法”和“加密算法”。
问答题
在IKE执行密钥交换时(建立主要模式SA的阶段),通信双方需要验证对方的身份,Windows 2003中支持(6)、(7)和(8)验证。
【正确答案】正确答案:(6)Kerberos (7)数字证书 (8)预共享密钥
【答案解析】解析:在IKE执行密钥交换时(建立主要模式SA的阶段),通信双方需要验证对方的身份,Windows 2003中支持3种验证方法,即Kerberos、数字证书和预共享密钥。
问答题
VPN中的数据加密所使用的方法有DES和3DES,其中3DES是执行三次DES算法,图3-3所示的是3DES加密过程。若用E和D分别表示执行加密和解密算法,则图3-3方框中分别按顺序填写(9)、(10)和(11)。
【正确答案】正确答案:(9)E (10)D (11)E
【答案解析】解析:三重DES使用两个密钥,执行三次DES算法,如下图所示,图中方框E和D分别表示执行加密和解密算法。
问答题
在整个VPN通信中,主要有(12)和(13)两种VPN通信方式,而后者又包括“Intranet VPN(企业内联VPN)”和“Extranet VPN(企业外联VPN)”。
【正确答案】正确答案:(12)远程访问VPN (13)路由器到路由器VPN
【答案解析】解析:在整个VPN通信中,主要有两种VPN通信方式,适用于两类不同用户选择使用,满足各方面用户与企业VPN服务器进行通信的需求。这两利WPN通信方式就是俗称的“远程访问VPN”和“路由器到路由器VPN”,前者也称之为“Access VPN”(远程访问VPN),后者又包括“Intranet VPN(企业内联VPN)”和“Extranet VPN(企业外联VPN)”。前者是采用Client-to-LAN(客户端到局域网)的模式,而后者所采用的是LAN-to-LAN(局域网到局域网)模式。前者适用于单机用户与企业VPN服务器之间的VPN通信连接,而后者适用于两个企业局域网VPN服务器之间的VPN通信连接。