H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]IPSec VPN主要考察IPSec VPN 的概念和术语、IPSec VPN 的体系结构、AH 协议、ESP 协议、IKE与 IPSec 的关

欢迎大家来到IT世界,在知识的湖畔探索吧!

IPSec VPN

主要考察IPSec VPN 的概念和术语、IPSec VPN 的体系结构、AH 协议、ESP 协议、IKE与 IPSec 的关系、IPSec VPN 穿越 NAT、在命令行下配置 IPSec VPN、在 WEB 方式下配置 IPSec VPN、IPSec 的故障排除。

问题1

IPsec的优点有(BCD)

A. 抗DDoS(disributed deny of sevice)

B. 身份验证(data authentication)

C. 参数完整性(data integrity)

D. 数据机密性(Confidenttiality)

说明/参考:

IPSec主要用于加密、认证。

问题2

安全联盟security association,通过以下哪些元素来唯一标识?(ABD)

A. IP目的地址

B. 安全协议号

C. IP源地址

D. 安全参数索引(SPI)

说明/参考:

SA由一个三元组来唯一标识,这个三元组包括SPI(Security Parameter Index,安全参数索引)、目的IP地址和安全协议号。其中,SPI是用于标识SA的一个32比特的数值,它在AH和ESP头中传输。

问题3

IPSec协议支持哪些封装模式(AD)

A. 隧道模式

B. 交换模式

C. 路由模式

D. 传输模式

说明/参考:

传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面;隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。

问题4

IPSec是在IETF制定的保证在IP网络上传送数据的安全保密性的三层安全协议体。IPSec协议族包含(BC)

A. PPP

B. ESP

C. AH

D. PKL

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

问题5

IPSec支持哪些密钥协商?(BD)

A. DPD方式

B. IKE自动协商方式

C. 模板方式

D. 手工配置方式

说明/参考:

有如下几种协商方式建立SA:

手工方式(manual)配置比较复杂,创建SA所需的全部信息都必须手工配置,而且不支持一些高级特性(例如定时更新密钥),但优点是可以不依赖IKE而单独实现IPsec功能。

IKE自动协商(isakmp)方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护SA。

GDOI方式用于构建GET VPN(Group Encrypted Transport Virtual Private Network,组加密传输虚拟专用网络),SA和密钥由KS(Key Server,密钥服务器)集中管理并下发给GM(Group Member,组成员)。

问题6

通过哪个工具可以简化IPSec VPN的配置?(A)

A. VPN Manager

B. VMS

C. SMS

D. XLOG

说明/参考:

VPN Manager通过业务网管的图形化向导进行VPN业务的规划,包括分支网点的子网划分、IPSec VPN安全联盟划分、ACL和路由的自动创建等,并与分支设备的ID进行绑定;可以将 IPSec的配置下发到分支设备,实现分支设备的“零配置”。

问题7

关于AH、ESP的传输和隧道模式,下列描述正确的:(ABCD)

A. 在传输模式下,AH协议验证IP报文的数据部分和IP报头中的不变部分

B. 在隧道模式T,AH协议验证全部的原始IP报文和封装后新IP头中的不变部分

C. 在传输模式下,ESP协议对IP报文的有效数据进行加密(可附加验证)

D. 在隧道模式下,ESP协议对整个原始IP报文进行加密(可附加验证)

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

问题8

关于IPSec和IKE的配置,下列描述错误的是:(CD)

A. IKE的密钥协商模式包括主模式和野蛮模式

B. IKE认证方式包括预共享密钥和证书认证

C. NAT穿越功能只能与野蛮模式配合使用

D. 配置IPSec安全策略只能使用策略模板方式

问题9

关于IPSec和IKE,下列说法中正确的是:(ABCD)

A. IPSec有两种协商方式建立安全联盟,一种手工方式(manual)一种IKE自动协商(isakmp)方式

B.IKE野蛮模式可以选择根据协商发起端的IP地址或者ID,来查找对应的身份验证字并最终完成协商

C.NAT穿越功能删去了IKE协商过程中对UDP端口号的验证过程,同时实现了对VPN隧道中NAT网关设备发现功能,即如果发现了NAT网设备,则将在完后的IPSec数据传输中使用UDP封装

D.IKE的cookie机制在一定程度上保护系统不受DOS攻击

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

问题10

AH和ESP的协议号分别是:(A)

A. 51,50

B. 50,51

C. 17,47

D. 47,17

问题11

IPSec的加密和认证过程中所使用的密钥可以由(B)协议来自动生成和分发

A. ESP

B. IKE

C. SPI

D. AH

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

问题12

IPSec协议族包含协议(BC)

A. PKI

B. AH

C. ESP

D. PPP

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

问题13

IPSec协议支持哪些封装模式(CD)

A. 交换模式

B. 路由模式

C. 传输模式

D. 隧道模式

E. 桥模式

说明/参考:

IPsec支持两种封装模式:传输模式和隧道模式。

问题14

ESP报文格式如下图所示,关于ESP描述正确的有(A)

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

A. SPI字段可以唯一标识这个数据包的IPSec SA

B. ESP协议报文用IP报文协议号51表示

C. 根据特定加密算法的要求,可以在Padding字段增加填充位

D. 验证字段(Authentication Data)对于ESP来说是必选字段

说明/参考:

应用了IPsec安全策略的接口收到数据报文时,对于目的地址是本机的IPsec报文,根据报文头里携带的SPI查找本地的IPsec SA,并根据匹配的IPsec SA对报文进行解封装处理。

ESPIP协议号50标识。

The Pad Length field indicates the number of pad bytes immediately preceding it. The range of valid values is 0-255, where a value of zero indicates that no Padding bytes are present. The Pad Length field is mandatory.(RFC 2406)

问题15

下面哪一项不是IKE的特点(B)

A. 定时更新IPSec SA

B. 允许端到端动态验证

C. 定时更新IPsec共享密钥

D. 允许IPsec提供抗重播服务

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

问题16

下列哪些交换模式是在IKE协商的第二阶段存在的? (C)

A. 主模式

B. 野蛮模式

C. 快速模式

D. 普通模式

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

问题17

IPsec的优点有(ABC)

A. 数据完整性(Data intergrity)

B. 数据机密性(Conidentiality)

C. 身份验证(Data Authentication)

D. 抗DDoS(Distributed Deny of Service)

说明/参考:

IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据,并在IP层提供了以下安全服务:

数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。

数据完整性(Data Integrity):IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。

数据来源认证(Data Authentication):IPsec在接收端可以认证发送IPsec报文的发送端是否合法。

防重放(Anti-Replay):IPsec接收方可检测并拒绝接收过时或重复的报文。

问题18

如下图所示的网络中,RTB对RTA发起IPSec连接,有关NAT穿越描述正确的是(C)

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

A. IPSec隧道两端不启用IKE的情况下亦能实现NAT穿越

B. 通过将IPsec报文封装在UDP 1701端协议报文中实现IPSec的NAT穿越

C. RTA在主模式情况下不能实现NAT穿越

D. NAT网关会修改UDP报文头,IPSec报文的IP头

说明/参考:

当IPsec/IKE隧道中存在NAT设备时,导致隧道一端为公网地址,另一端为私网地址,则必须在隧道两端均配置NAT穿越功能,保证隧道能够正常协商建立。

由于 NAT 往往需要修改包头中的地址(出去的时候修改源地址、进来的时候修改目的地址),这就让 AH 的认证失败了。因为 AH 头验证的是头部+负载的整个网包。但是 ESP 头则不受影响,因为它不检查 IP 包头信息。

问题19

经过IPSec封装后的报文格式如下图所示,参与验证算法生成验证字段的数据报文有哪些?(CD)

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

A. AH头

B. 新报文头

C. 原始报头

D. 共享秘钥

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

问题20

在IKE协商模式中,哪种模式适合用于分支机构采用ADSL拨号与总部IPSec连接(A)

A. 野蛮模式

B. 主模式

C. 传输模式

D. 隧道模式

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

问题21

以下关于IKE的说法正确的有(ABD)

A. 只有完善的向前安全性

B. 可以穿越NAT

C. 使用UDP 51端口

D. 使用diffie-Hellma交换

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

问题22

IKE野蛮模式下,IKE协商发起者发送第一个消息中包含(ABCD)

A. DIffe-Hellman公共值

B. 散列算法

C. 验证方法

D. 加密算法

说明/参考:

H3CNE-Security安全(GB0-510)课后习题9[通俗易懂]

第一阶段野蛮模式的IKE协商过程中包含三条消息,具体内容如下:

(1)发起方通过第一条消息发送本地IKE信息,包括建立IKE SA所使用的参数、与密钥生成相关的信息和身份验证信息。

(2)接收方通过第二条消息对收到的第一个消息进行确认,查找并返回匹配的参数、密钥生成信息和身份验证信息。

(3)发起方通过第三条消息回应验证结果,并成功建立IKE SA。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/22780.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们YX

mu99908888

在线咨询: 微信交谈

邮件:itzsgw@126.com

工作时间:时刻准备着!

关注微信