某企业的网络拓扑结构如图2.2所示，采用VPN来实现网络安全。请简要叙述从企业总部主机到分支机构主机通过IPsec的通信过程。从一下几个方面来对比IPSec VPN和SSL VPN各自的优势。安全通道、认证和权限控管、安全测试、病毒入侵、防火墙

admin2009-05-15 61

问题某企业的网络拓扑结构如图2.2所示，采用VPN来实现网络安全。请简要叙述从企业总部主机到分支机构主机通过IPsec的通信过程。
从一下几个方面来对比IPSec VPN和SSL VPN各自的优势。
安全通道、认证和权限控管、安全测试、病毒入侵、防火墙上的通讯埠。

选项

答案1)安全通道(Secure Tunnel)：IPSec和SSL这两种安全协议，都有采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上，并没有谁好谁坏之差，仅在于应用上的不同。 2)认证和权限控管：IPSec采取Internet Key Exchange(IKE)方式，使用数字凭证(Digital Certifi-cate)或是一组Secret Key来做认证，而SSL仅能使用数字凭证，如果都是采取数字凭证来认证，两者在认证的安全等级上就没有太大的差别。 3)安全测试：IPSec VPN已经有多年的发展，有许多的学术和非营利实验室，提供各种的测试准则和服务，其中以ICSA Labs是最常见的认证实验室，大多数的防火墙，VPN厂商，都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面，则尚未有一个公正的测试准则，但是ICSA Labs实验室也开始着手SSL/TLC的认证计划，预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。 4)病毒入侵：一般企业在Internet联机入口，都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机，对于入口的病毒侦测效果是相同的，但是比较从远程客户端入侵的可能性，就会有所差别。采用IPSec联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL VPN的联机，所感染的可能性，会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。 5)防火墙上的通讯埠(port)：在TCP/IP的网络架构上，各式各样的应用系统会采取不同的通讯协议，并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。反观之，SSL VPN就没有这方面的困扰。因为在远程主机与SSL VPN Gateway之间，采用SSL通讯埠(port 443)来作为传输通道，这个通讯埠，一般是作为Web Server对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。

解析

转载请注明原文地址:https://www.kaotiyun.com/show/O1JZ777K

本试题收录于：网络工程师上午基础知识考试题库软考中级分类

网络工程师上午基础知识考试

软考中级

相关试题推荐

随机试题

最新回复(0)

网络工程师上午基础知识考试

软考中级

()是在确认范围过程中使用的工具与技术。

在对某项目采购供应商的评价中，评价项有：技术能力、管理水平、企业资质等，假定满分为10分，技术能力权重为20%，3个评定人的技术能力打分分别为7分、8分、9分，那么该供应商的“技术能力”的单项综合分为(62)。

以下是某网页框架设置的部分代码，该代码将页面分成了______个区域。＜framesetcols="30%,,"＞＜framesrc=’f1.html"name=main＞＜framesetrows="120,*"＞＜framesrc=’f2.html

阅读以下关于CAN现场总线嵌入式监控系统的技术说明，根据要求回答问题1至问题5。[说明]某自动化仪表企业正在研究使用现场总线网络构成自动监测系统的可行性，打算采用CAN(ControllerAreaNetwork，控制器局域网络)总线作

Hardwareinterruptsaretriggeredby()outsidethemicrocontroller．

In　the　following　essay,　each　blank　has　four　choices.　Choose　the　best　answer　and　write　down　on　the　answer　sheet.Spread　spectrum　s

SDLCwasinventedbyIBMtoreplacetheolderBisynchronousprotocolforwideareaconnectionsbetweenIBMequipment.Avarietio

FrameRelayissimplifiedformof(66),similarinprincipleto(67),inwhichsynchronous,framesofdataareroutedtodifferent

按信托法律关系的客体来划分，信托业务可以分为贸易信托、不动产信托和()

Fromchildhoodtooldage,wealluselanguageasameansofbroadeningourknowledgeofourselvesandtheworldaboutus.When

骨盆出口横径（　　）。

护理肿瘤放疗患者，应每周检查一次白细胞和血小板，当白细胞降至多少应暂停治疗?()

患者男性，70岁。有吸烟史40年，行腹部手术，术后最重要的护理措施是

下列不符合无痛注射原则的一项是

确定深层搅拌法加固方案前，应查明加固区内详尽的岩土工程资料，包括各土层的分布范围、厚度、组成、有机质含量和()；如为海洋环境，还应进行水质调查和障碍物、水深、气象和海况调查。

企业集团财务公司发行金融债券后资本充足率不低于()

真实票据理论的局限性不包括()。

网络工程师上午基础知识考试

软考中级

()是在确认范围过程中使用的工具与技术。

在对某项目采购供应商的评价中，评价项有：技术能力、管理水平、企业资质等，假定满分为10分，技术能力权重为20%，3个评定人的技术能力打分分别为7分、8分、9分，那么该供应商的“技术能力”的单项综合分为(62)。

以下是某网页框架设置的部分代码，该代码将页面分成了______个区域。＜framesetcols="30%,*,*"＞＜framesrc=’f1.html"name=main＞＜framesetrows="120,*"＞＜framesrc=’f2.html

阅读以下关于CAN现场总线嵌入式监控系统的技术说明，根据要求回答问题1至问题5。[说明]某自动化仪表企业正在研究使用现场总线网络构成自动监测系统的可行性，打算采用CAN(ControllerAreaNetwork，控制器局域网络)总线作

Hardwareinterruptsaretriggeredby()outsidethemicrocontroller．

In the following essay, each blank has four choices. Choose the best answer and write down on the answer sheet.Spread spectrum s

SDLCwasinventedbyIBMtoreplacetheolderBisynchronousprotocolforwideareaconnectionsbetweenIBMequipment.Avarietio

FrameRelayissimplifiedformof(66),similarinprincipleto(67),inwhichsynchronous,framesofdataareroutedtodifferent

按信托法律关系的客体来划分，信托业务可以分为贸易信托、不动产信托和()

Fromchildhoodtooldage,wealluselanguageasameansofbroadeningourknowledgeofourselvesandtheworldaboutus.When

骨盆出口横径（ ）。

护理肿瘤放疗患者，应每周检查一次白细胞和血小板，当白细胞降至多少应暂停治疗?()

患者男性，70岁。有吸烟史40年，行腹部手术，术后最重要的护理措施是

下列不符合无痛注射原则的一项是

确定深层搅拌法加固方案前，应查明加固区内详尽的岩土工程资料，包括各土层的分布范围、厚度、组成、有机质含量和()；如为海洋环境，还应进行水质调查和障碍物、水深、气象和海况调查。

企业集团财务公司发行金融债券后资本充足率不低于()

真实票据理论的局限性不包括()。

以下是某网页框架设置的部分代码，该代码将页面分成了______个区域。＜framesetcols="30%,,"＞＜framesrc=’f1.html"name=main＞＜framesetrows="120,*"＞＜framesrc=’f2.html

In　the　following　essay,　each　blank　has　four　choices.　Choose　the　best　answer　and　write　down　on　the　answer　sheet.Spread　spectrum　s

骨盆出口横径（　　）。