某单位创建自己专用的园区网络,使用内网专用的IP地址段172.16.0.0/12。 针对上述案例,使用IPSec VPN,下面哪些说法是正确的?哪些说法是错误的? A.分支机构使用的IP地址由于是因特网内部网专用地址,所以,通过因特网与园区网通信时,必须

admin2017-11-09  30

问题 某单位创建自己专用的园区网络,使用内网专用的IP地址段172.16.0.0/12。
针对上述案例,使用IPSec VPN,下面哪些说法是正确的?哪些说法是错误的?
A.分支机构使用的IP地址由于是因特网内部网专用地址,所以,通过因特网与园区网通信时,必须进行NAT地址转换。
B.IPSec VPN提供了数据保密性,可以有效防止分支机构与园区网之间流量穿越因特网时被窃听。
C.IPSec VPN提供了可靠的数据传输服务,丢失的数据可以自动重传。
D.IPSec VPN可有效防止分支机构与园区网之间数据被篡改并且拒收伪造的数据。

选项

答案说法正确的有B、D,说法错误的有A、C。

解析 IPSec VPN的应用场景分为三种。
①Site-to-Site(站点到站点或者网关到网关):如弯曲评论的三个机构分布在互联网的三个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。
②End-to-End(端到端或者PC到PC):两个Pc之间的通信由两个PC之间的IPSec会话保护,而不是网关。
③End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。
VPN只是IPSec的一种应用方式,IPSec其实是IP Secunrity的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。IPSec是一个框架性架构,具体由以下两类协议组成。
①AH协议(Authaentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHAl实现该特性。
②ESP协议(Encapl sulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AEs等加密算法实现数据加密,使用MD5或SHAl来实现数据完整性。
为何AH使用较少呢?因为AH无法提供数据加密,所有数据在传输时以明文传输。而ESP提供数据加密;其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。当然,IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性,但是此种方案极其少见。
转载请注明原文地址:https://jikaoti.com/ti/QekCFFFM
0

最新回复(0)