IPSec(Internet Protocol Security)是一个协议包,主要用于增强IP网络的安全性。它通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇。IPSec由IETF(Internet Engineering Task Force,即国际互联网工程技术小组)提出,是一个使用密码学保护IP层通信的安全保密架构。
IPSec可以实现以下功能:
数据机密性:IPSec发送方将包加密后再通过网络发送,确保数据在传输过程中不被未授权方获取。
数据完整性:IPSec可以验证IPSec发送方发送的包,以确保数据传输时没有被改变。
数据认证:IPSec接受方能够鉴别IPsec包的发送起源,此服务依赖数据的完整性。
反重放:IPSec接受方能检查并拒绝重放包,防止攻击者重放旧的数据包进行攻击。
IPSec主要由以下几个协议组成:
认证头(AH):为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护。
封装安全载荷(ESP):提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性。
安全关联(SA):提供算法和数据包,提供AH、ESP操作所需的参数。安全关联是IPSec的核心部分,它表示一组互相信任的网络设备之间共享的安全策略。IPSec通过安全关联来建立虚拟的私有通道,同时还定义了加密算法、认证方式等安全机制。
密钥协议(IKE):提供对称密码的钥匙的生存和交换。
IPSec有两种主要的工作模式:
传输模式:主要用于在两台主机之间提供加密的端到端的数据传输,适用于主机对主机之间的通信。在这种模式下,IPSec仅对IP报文的数据部分(即有效载荷)进行加密和/或认证,而不涉及IP头部。
隧道模式:主要用于建立虚拟私有网络(VPN),将两个本地网络连接起来,适用于网关对网关之间通信或者远程访问等场景。在这种模式下,IPSec会对整个IP数据包(包括IP头部和有效载荷)进行加密和/或认证,并封装在一个新的IP头部中。
此外,IPSec还有一些应用场景,如IPSec隧道嵌套技术、GRE over IPSec隧道、L2TP over IPSec隧道等,这些技术可以在不同的网络环境中提供安全的数据传输。
请注意,虽然IPSec提供了强大的安全保护,但其配置和管理也相对复杂。因此,在实际应用中需要根据具体的需求和网络环境进行配置和管理。
综合题目:
以下关于IPSec的说法中,错误的是 。(B )
A.IPSec用于增强IP网络的安全性,有传输模式和隧道模式两种模式
B.认证头AH提供数据完整性认证、数据源认证和数据机密性服务
C.在传输模式中, 认证头仅对IP报文的数据部分进行了重新封装
D.在隧道模式中,认证头对含原IP头在内的所有字段都进行了封装
分析错误:认证头(AH)确实提供了数据完整性和数据源认证服务,但它不提供数据机密性服务。数据机密性服务是由封装安全载荷(ESP)提供的。
IPSec的实现方式中只有隧道模式可用于保护通信。(B)
A.正确
B.错误
分析错误:
IPSec的实现方式不仅限于隧道模式,虽然隧道模式在保护不同网络之间的通信时非常有用,尤其是当通信必须经过中间的不受信任的网络时。但IPSec还有其他实现方式,例如传输模式,它只对IP有效负载进行加密,而不是对整个IP数据包。此外,IPSec的实现方式还包括主机实施和路由器实施。主机实施可以分为IPSec与操作系统集成实施,而路由器实施方案则包括原始实施和线缆中的块(BITW)实施。在现有的IPsec实现过程中,最常用的实现方式还有“基于ACL(访问控制)”和“基于虚拟隧道接口”的方式。基于ACL的方式可以明确指定数据报文中的源/目的IP地址、源/目的端口、协议类型等参数,以确定哪些数据报文需要隧道保护。而基于虚拟隧道接口的方式则需要在两端的IPsec设备创建一个虚拟的隧道接口,并通过配置以该Tunnel接口为出接口的静态路由,将到达某一个子网的数据流量通过IPSec隧道进行转发
IPSEC中推荐使用的转换方式是: (ABC)
A. AH
B. AH+ESP ( 加密)
C. ESP (验证十加密)
D. ESP (加密)
E. AH+ESP (验证+加密)
对IPSEC安全策略的配置方式是: (AB)
A.手工配置方式
B.利用IKE协商方式
C.利用GRE自协商方式
D.利用L2TP自协商方式
对IPSEC安全策略的配置方式是: (AB)
A.手工配置方式
B.利用IKE协商方式
C.利用GRE自协商方式
D.利用L2TP自协商方式
根据对报文的封装形式,IPSEC 分为: (AB)
A.传输模式
B.隧道模式
C.主模式
D.快速模式
IPSEC SA 和IKE SA 的主要区别是: (AB)
A. IPSEC SA是单向的,IKE SA 是双向的
B.通道两端只有一个IKE SA,但IPSEC SA不止一对
C. IKE SA没有生存期
D.IPSECSA有对端地址
以下哪些选项可以用来唯-标识一个IPSEC SA: (ABC)
A. SPI
B.对端地址
C.安全协议号
D.本端地址
在IPSEC中使用的ACL规则,下列说法正确的是: (ABD)
A. permit对应使用IPSEC保护
B. deny对应不使用IPSEC 保护,透传
C.没有定义的数据流被丢弃
D.没有定义的数据流被透传
如果要实现IPSEC的防重放功能,可以使用以下哪几种转换方式: (ABC)
A. AH
B. AH+ESP (加密)
C.ESP(验证十加密)
D. ESP (加密)
关于IPSec (IP Security), 以下说法正确的是: (ABC)
A.IPSec是IETF制定的、在Internet.上保证数据安全传输的一一个框架协议
B.它提供了在未提供保护的网络环境(如Internet)中传输敏感数据的保护机制
C.它定义了IP数据包格式和相关基础结构,以便为网络通信提供端对端、加强的身份验证、完整性、防重放和(可选)保密性
D. IPSec是一个隧道压缩标准
IPSec的安全特点包括哪些? (ABCD)
A.私有性.
B.完整性
C.真实性
D.防重放
关于AH协议的说法正确的有: (ABCDE)
A.通过使用带密钥Hash算法,对受保护的数据计算摘要,防止数据包被黑客篡改,保证发送数据包的完整性
B.提供对数据源身份的验证,保证报文发送者身份的真实性
C.AII协议使用32比特序列号结合防重放窗口和报文验证来防御重放攻击
D.在传输模式下,AHI 协议验证IP报文的数据部分和IP头中的不变部分
E.在隧道模式下,AH协议验证全部的内部IP报文和外部IP头中的不变部分
关于ESP协议的说法正确的有: (ABCDE)
A. ESP协议将用户数据进行加密后封装到IP包中,以保证数据的私有性
B.用户可以选择使用带密钥的Hash算法保证报文的完整性和真实性
C. ESP协议使用32比特序列号结合防重放窗口和报文验证,防御重放攻击
D.在传输模式下,ESP协议对IP报文的有效数据进行加密
E.在隧道模式下,ESP 协议对整个内部IP报文进行加密
IPSec与IKE的关系描述正确的是: (BCD)
A.IKE使用带密钥的Hash算法为IPSec保证报文的完整性和真实性x
B.IKE是UDP之上的一-个应用层协议,是IPSEC的信令协议
C.IKE为IPSEC协商建立安全联盟,并把建立的参数及生成的密钥交给IPSEC
D.IPSEC使用IKE建立的安全联盟对IP报文加密或验证
关于安全联盟(SA) 正确的说法包括哪些? (ABD)
A. SA包括协议、算法、密钥等内容
B.SA具体确定了如何对IP报文进行处理
C.安全联盟是双向的X
D.在两个安全网关之间的双向通信,需要两个SA来分别对输入数据流和输出数据流进行安全保护
关于安全参数索引(SPI) 正确的说法有哪些? (ABC)
A.SPI是一个32比特的数值,在每-一个lPSec报文中都携带有该数值
B.SPI和IP日的地址、安全协议号一起组成--个三元组,来唯-标识特定的安全联盟
C.于1配置安全联盟时,需要于1.指定SPI,为保证安全联盟的唯- 性,必须使用不同的SPI配置不同的安全联盟
D. IKE协商产生安全联盟时,使用用户设定的数据来生成SPI X
关于IKE正确的说法有哪些? (ABCD)
A. IKE是个为双方获取共享密钥而存在的协议
B. IKE的精髓在于它永远不在不安全的网络上直接传送密钥
C. IKE通过一系列数据的交换,最终计算出双方共享的密钥
D.IKE通过验证保证协商过程中交换的数据没有被篡改、确认建立安全通道的对端身份的真实性
以下哪些是IKE所具有的特点? (ABD)
A.提供交换双方的身份验证机制
B.提供交换双方的身份保护机制
C.以往密钥的泄露影响以后的加密数据的安全性X
D.提供Diffie-Hellman交换及密钥分发机制
IKE为IPSec提供了哪些功能? (ABCDE)
A. IPSec可以通过手工配置单独使用,但是IKE可以大大简化IPSec的配置B.可以设置IPSec SA 的生存时间,定时更换密钥,具有更高的安全性
C.可以允许在IPSec通信期间更换密钥
D.可以使IPSec具有防重放的功能
E.可以使用认证中心(Certificat ion Authority) 提供的支持
IKE的配置任务包括哪些主要步骤? (ABE)A.配置前准备
B.配置IKE安全策略
C.配置隧道的起点与终点x
D.配置转换方式x
E.配置身份验证字(pre-shared key)
IKE为IPSec提供了哪些功能? (ABCDE)
A. IPSec可以通过手工配置单独使用,但是IKE可以大大简化IPSec的配置
B.可以设置IPSec SA 的生存时间,定时更换密钥,具有更高的安全性
C.可以允许在IPSec通信期间更换密钥
D.可以使IPSec具有防重放的功能
E.可以使用认证中心(Certificat ion Authority) 提供的支持
IKE的配置任务包括哪些主要步骤? (ABE)
A.配置前准备
B.配置IKE安全策略
C.配置隧道的起点与终点x
D.配置转换方式x
E.配置身份验证字(pre-shared key)
IKE配置前准备需要决定哪些内容? (ABCD)
A.确定IKE交换过程中使用的验证算法
B.确定IKE交换过程中使用的加密算法
C.确定IKE交换过程中使用的DH算法强度
D.确定交换双方的身份验证机制
在IPSec虚拟专用网当中,提供数据源认证的协议是( B )
A.SKIP
B.IPAH
C.IP ESP
D.ISAKMP
