某企业的网络拓扑结构如图2.2所示，采用VPN来实现网络安全。请简要叙述从企业总部主机到分支机构主机通过IPsec的通信过程。从一下几个方面来对比IPSec VPN和SSL VPN各自的优势。安全通道、认证和权限控管、安全测试、病毒入侵、防火墙

admin2009-05-15 40

问题某企业的网络拓扑结构如图2.2所示，采用VPN来实现网络安全。请简要叙述从企业总部主机到分支机构主机通过IPsec的通信过程。
从一下几个方面来对比IPSec VPN和SSL VPN各自的优势。
安全通道、认证和权限控管、安全测试、病毒入侵、防火墙上的通讯埠。

选项

答案1)安全通道(Secure Tunnel)：IPSec和SSL这两种安全协议，都有采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上，并没有谁好谁坏之差，仅在于应用上的不同。 2)认证和权限控管：IPSec采取Internet Key Exchange(IKE)方式，使用数字凭证(Digital Certifi-cate)或是一组Secret Key来做认证，而SSL仅能使用数字凭证，如果都是采取数字凭证来认证，两者在认证的安全等级上就没有太大的差别。 3)安全测试：IPSec VPN已经有多年的发展，有许多的学术和非营利实验室，提供各种的测试准则和服务，其中以ICSA Labs是最常见的认证实验室，大多数的防火墙，VPN厂商，都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面，则尚未有一个公正的测试准则，但是ICSA Labs实验室也开始着手SSL/TLC的认证计划，预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。 4)病毒入侵：一般企业在Internet联机入口，都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机，对于入口的病毒侦测效果是相同的，但是比较从远程客户端入侵的可能性，就会有所差别。采用IPSec联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL VPN的联机，所感染的可能性，会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。 5)防火墙上的通讯埠(port)：在TCP/IP的网络架构上，各式各样的应用系统会采取不同的通讯协议，并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。反观之，SSL VPN就没有这方面的困扰。因为在远程主机与SSL VPN Gateway之间，采用SSL通讯埠(port 443)来作为传输通道，这个通讯埠，一般是作为Web Server对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。

解析

转载请注明原文地址:https://kaotiyun.com/show/O1JZ777K

本试题收录于：网络工程师上午基础知识考试题库软考中级分类

网络工程师上午基础知识考试

软考中级

相关试题推荐

随机试题

最新回复(0)

网络工程师上午基础知识考试

软考中级

A公司的某项目即将开始，项目经理估计该项目10天即可完成，如果出现问题耽搁了也不会超过20天完成，最快6天即可完成。根据项目历时估计中的三点估算法，你认为该项目的历时为(37)，该项目历时的估算方差为(38)。

()属于控制进度的工作内容。

NAC’s(Network　Access　Control)　role　is　to　restrict　network　access　to　only　compliant　endpoints　and(66)　users.　However,　NAC　is　not

什么是临界资源(criticalresource)?请用100字以内文字简要说明。如果把Enter_Critical_Section()函数中的两条语句互换一下位置，会出现什么情况?

Although　the　bulk　of　industry　resources　and　energies　have　focused　on　developing　the　fastest(71)or　slickest(72),　more　and　more　mi

Melissa　and　LoveLetter　made　use　of　the　trust　that　exists　between　friends　or　colleagues.　Imagine　receiving　an(71)from　a　friend　wh

Youaredevelopingaserver-sideenterpriseapplication．Itmustsupportavarietyofdifferentclientsincludingdesktopbrowse

SDLCwasinventedbyIBMtoreplacetheolderBisynchronousprotocolforwideareaconnectionsbetweenIBMequipment.Avarietio

万某，慢性菌痢患者，用保留灌肠治疗，操作过程正确的是

产生药物副作用是由于

14岁男孩，平素喜踢足球，近1周右小腿上端前侧疼痛。查体：右小腿上端前侧隆起，皮肤无红肿发热及静脉怒张，压痛明显。X线片示胫骨结节骨骺增大、致密。应首先考虑的诊断是胫骨结节

消防丁程设备和材料进场验收，重点关注（），保管时要满足防潮，防霉变，防高温和防强磁场等特殊要求。

授予专利权的发明或实用新型应当不属于现有技术。现有技术是指申请日以前()的技术。

已知向量组(Ⅰ)α1，α2，α3，α4线性无关，则与(Ⅰ)等价的向量组是()

Wherewastheletterprobablyplacedmanyyearsago?

网络工程师上午基础知识考试

软考中级

A公司的某项目即将开始，项目经理估计该项目10天即可完成，如果出现问题耽搁了也不会超过20天完成，最快6天即可完成。根据项目历时估计中的三点估算法，你认为该项目的历时为(37)，该项目历时的估算方差为(38)。

()属于控制进度的工作内容。

NAC’s(Network Access Control) role is to restrict network access to only compliant endpoints and(66) users. However, NAC is not

什么是临界资源(criticalresource)?请用100字以内文字简要说明。如果把Enter_Critical_Section()函数中的两条语句互换一下位置，会出现什么情况?

Although the bulk of industry resources and energies have focused on developing the fastest(71)or slickest(72), more and more mi

Melissa and LoveLetter made use of the trust that exists between friends or colleagues. Imagine receiving an(71)from a friend wh

Youaredevelopingaserver-sideenterpriseapplication．Itmustsupportavarietyofdifferentclientsincludingdesktopbrowse

SDLCwasinventedbyIBMtoreplacetheolderBisynchronousprotocolforwideareaconnectionsbetweenIBMequipment.Avarietio

万某，慢性菌痢患者，用保留灌肠治疗，操作过程正确的是

产生药物副作用是由于

14岁男孩，平素喜踢足球，近1周右小腿上端前侧疼痛。查体：右小腿上端前侧隆起，皮肤无红肿发热及静脉怒张，压痛明显。X线片示胫骨结节骨骺增大、致密。应首先考虑的诊断是胫骨结节

消防丁程设备和材料进场验收，重点关注（），保管时要满足防潮，防霉变，防高温和防强磁场等特殊要求。

授予专利权的发明或实用新型应当不属于现有技术。现有技术是指申请日以前()的技术。

已知向量组(Ⅰ)α1，α2，α3，α4线性无关，则与(Ⅰ)等价的向量组是()

Wherewastheletterprobablyplacedmanyyearsago?

NAC’s(Network　Access　Control)　role　is　to　restrict　network　access　to　only　compliant　endpoints　and(66)　users.　However,　NAC　is　not　

Although　the　bulk　of　industry　resources　and　energies　have　focused　on　developing　the　fastest(71)or　slickest(72),　more　and　more　mi

Melissa　and　LoveLetter　made　use　of　the　trust　that　exists　between　friends　or　colleagues.　Imagine　receiving　an(71)from　a　friend　wh