商用資料通訊Ch9筆記_TCP/IP Internetworking II_part3

虛擬私人網路Virtual Private Networks(VPN):一種通過公共網際網路或其他公共網絡建立安全連接的技術。VPN通常用於在不同地理位置的計算機和網絡之間建立加密連接,以實現安全的數據傳輸。VPN可以通過加密和身份驗證等技術來保護數據的機密性、完整性和可用性,從而實現安全的遠程訪問、數據共享和協作等功能。
又分成site-to-site VPN跟 Remote access VPN兩種
Site-to-site VPN
是一種將兩個或多個企業網絡連接起來的VPN,它可以保護這些網絡之間的所有流量。
優點:
可以保護整個企業網絡之間的所有流量,並且可以實現高效、安全和可靠的數據傳輸。
缺點:
需要較高的成本和技術支持,並且可能需要更長時間來部署和配置。

Remote access VPN
一種允許遠程用戶通過公共網際網路安全地訪問企業內部資源的VPN
優點:
1.可以讓遠程用戶通過公共網際網路安全地訪問企業內部資源,從而實現更靈活和便捷的工作方式。
2.較容易部署和管理

缺點:
面臨安全風險,因為它需要通過公共網際網路進行數據傳輸。

IPsec VPN是一種基於IP協議的VPN技術,它通過加密和認證等手段來保護數據在公共網際網路上的安全傳輸。可以在Internet層提供安全保護,不僅可以保護IP包頭的部分內容,還可以保護傳輸和應用層的所有內容。它是一種廣泛使用的VPN技術,被廣泛應用於企業、政府和個人等不同領域中。
針對傳輸模式可以分為以下兩種:
1.傳輸模式(Transport Mode)提供主機到主機的安全保護,但實現成本較高。EndToEnd Security
2.隧道模式(Tunnel Mode)只提供站點到站點的安全保護,但實現成本較低。No EndToEnd Security,只有中間傳輸通道部分兩端IPSec Getway有受保護。

At what layer does IPsec operate?
在Internet層也就是OSI模型中的第三層(網路層)提供安全保護

What layer content does IPsec protect?
可以保護Internet層(網路層)及以上的所有內容,可以保護IP包頭的部分內容,還可以保護傳輸和應用層的所有內容,提供了全面的安全保護。

Does IPsec protect upper-layer protocols transparently?
IPsec VPN可以透明地保護上層協議,不需要對上層內容進行任何更改就可以實現保護,所有上層內容都會得到保護。通過對數據包及其內容的加密和認證等手段


Describe IPsec tunnel mode.What is the main advantage of tunnel mode? Explain
隧道模式是一種站點到站點的VPN技術,它將整個IP數據包都加密,並在加密後再將整個數據包封裝在另一個IP數據包中進行傳輸。
這樣做的好處是可以保護整個數據包,包括原始IP頭部和上層協議的內容。
What is the main disadvantage of tunnel mode? Explain.
缺點是它會增加數據包的大小,因為整個IP數據包都被加密和封裝在另一個IP數據包中進行傳輸。這樣會增加傳輸延遲和帶寬消耗,尤其是在低速網路上。

Describe IPsec transport mode.What is the main advantage of transport mode? Explain.
傳輸模式是一種主機到主機的VPN技術,它僅對IP數據包的有效負載進行加密和認證,而不是整個數據包。這樣做的好處是可以實現端到端的安全通信,同時減少了加密和解密所需的計算量,因此可以提高性能。此外,傳輸模式還可以讓防火牆等安全設備對數據包進行檢查和過濾,從而提高了安全性

What is the main disadvantage of transport mode? Explain.
僅對IP數據包的有效負載進行加密和認證,而不是整個數據包。因此,攻擊者可以通過分析IP頭部信息來獲取一些有用的信息,例如源IP地址和目標IP地址。此外,傳輸模式需要在每個端點上配置IPsec設備,並且需要管理和維護這些設備,因此相對複雜和昂貴。

Describe the problem that firewalls have with IPsec transport mode VPNs.
防火牆與IPsec傳輸模式VPN的問題在於,當使用傳輸模式時,防火牆無法讀取和過濾IP數據包的有效負載,因為該部分已被加密。這意味著防火牆無法對數據包進行深度檢查和過濾,從而可能導致安全漏洞。

In which IPsec mode are clients and servers required to have digital certificates?
在IPsec的傳輸模式中,要求通信的客戶端和服務器都必須配置IPsec設備並擁有數位簽證。這是因為傳輸模式提供了端到端的安全性。因此,需要在每個主機上配置IPsec設備和相應的數字證書,以實現安全通信。

Which IPsec mode does not require clients and servers to have digital certificates?
IPsec的隧道模式,因為隧道模式僅在IPsec網關之間建立安全連接,而不需要對整個數據包進行加密和認證。

Is IPsec used for remote-site-access VPNs, site-to-site VPNs, or both?
在遠程站點訪問VPN中,用戶可以通過Internet從外部訪問公司的內部網絡,而在站點到站點VPN中,不同地理位置的公司網絡可以通過Internet建立安全連接以實現數據共享和通信。兩者都需要使用IPsec協議來實現安全通信。

Can two IPsec hosts negotiate over how to perform security? How?
兩個IPsec主機可以協商如何執行安全性。在兩個IPsec主機開始通信之前,它們會進行安全關聯(SA)的協商,這是關於兩個設備在通信時使用的安全方法和選項的協議。在協商過程中,它們會確定使用哪種加密算法、認證方法、密鑰長度等等。這樣可以確保兩個IPsec主機之間的通信是安全的並且符合雙方的要求。

What is the need for IPsec policy servers?
在於實現IPsec VPN的集中管理,當一個公司有多個IPsec設備時,需要對這些設備進行統一的管理和配置,以確保VPN的安全性和可靠性。

How does IPsec policy server enable central management of IPsec?
通過向所有IPsec設備分發安全策略、密鑰和證書等信息,來確保所有設備之間的一致性。此外,IPsec policy server還提供日誌記錄、監控和報警等功能,以幫助IT管理人員更好地維護VPN網絡,藉此實現了IPsec VPN的集中管理。

How was SSL(Secure Sockets Layer) renamed SSL/TLS(Transport Layer Security)? Who controls it?
SSL在1999年被IETF(Internet Engineering Task Force)標準化時更名為SSL/TLS。TLS是SSL的更新版本,提供了更好的安全功能。 IETF控制著SSL/TLS的開發和標準化。


留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

(2021年度)駕訓學科筆試準備題庫歸納分析_法規是非題