商用資料通訊Ch9筆記_TCP/IP Internetworking II_part3

虛擬私人網路Virtual Private Networks(VPN):一種通過公共網際網路或其他公共網絡建立安全連接的技術。VPN通常用於在不同地理位置的計算機和網絡之間建立加密連接，以實現安全的數據傳輸。VPN可以通過加密和身份驗證等技術來保護數據的機密性、完整性和可用性，從而實現安全的遠程訪問、數據共享和協作等功能。

又分成site-to-site VPN跟 Remote access VPN兩種

Site-to-site VPN

是一種將兩個或多個企業網絡連接起來的VPN，它可以保護這些網絡之間的所有流量。

優點:

可以保護整個企業網絡之間的所有流量，並且可以實現高效、安全和可靠的數據傳輸。

缺點:

需要較高的成本和技術支持，並且可能需要更長時間來部署和配置。

Remote access VPN

一種允許遠程用戶通過公共網際網路安全地訪問企業內部資源的VPN

優點:

1.可以讓遠程用戶通過公共網際網路安全地訪問企業內部資源，從而實現更靈活和便捷的工作方式。

2.較容易部署和管理

缺點:

面臨安全風險，因為它需要通過公共網際網路進行數據傳輸。

IPsec VPN是一種基於IP協議的VPN技術，它通過加密和認證等手段來保護數據在公共網際網路上的安全傳輸。可以在Internet層提供安全保護，不僅可以保護IP包頭的部分內容，還可以保護傳輸和應用層的所有內容。它是一種廣泛使用的VPN技術，被廣泛應用於企業、政府和個人等不同領域中。

針對傳輸模式可以分為以下兩種:

1.傳輸模式(Transport Mode)提供主機到主機的安全保護，但實現成本較高。EndToEnd Security

2.隧道模式(Tunnel Mode)只提供站點到站點的安全保護，但實現成本較低。No EndToEnd Security，只有中間傳輸通道部分兩端IPSec Getway有受保護。

At what layer does IPsec operate?

在Internet層也就是OSI模型中的第三層(網路層)提供安全保護

What layer content does IPsec protect?

可以保護Internet層（網路層）及以上的所有內容，可以保護IP包頭的部分內容，還可以保護傳輸和應用層的所有內容，提供了全面的安全保護。

Does IPsec protect upper-layer protocols transparently?

IPsec VPN可以透明地保護上層協議，不需要對上層內容進行任何更改就可以實現保護，所有上層內容都會得到保護。通過對數據包及其內容的加密和認證等手段

Describe IPsec tunnel mode.What is the main advantage of tunnel mode? Explain

隧道模式是一種站點到站點的VPN技術，它將整個IP數據包都加密，並在加密後再將整個數據包封裝在另一個IP數據包中進行傳輸。

這樣做的好處是可以保護整個數據包，包括原始IP頭部和上層協議的內容。

What is the main disadvantage of tunnel mode? Explain.

缺點是它會增加數據包的大小，因為整個IP數據包都被加密和封裝在另一個IP數據包中進行傳輸。這樣會增加傳輸延遲和帶寬消耗，尤其是在低速網路上。

Describe IPsec transport mode.What is the main advantage of transport mode? Explain.

傳輸模式是一種主機到主機的VPN技術，它僅對IP數據包的有效負載進行加密和認證，而不是整個數據包。這樣做的好處是可以實現端到端的安全通信，同時減少了加密和解密所需的計算量，因此可以提高性能。此外，傳輸模式還可以讓防火牆等安全設備對數據包進行檢查和過濾，從而提高了安全性。

What is the main disadvantage of transport mode? Explain.

僅對IP數據包的有效負載進行加密和認證，而不是整個數據包。因此，攻擊者可以通過分析IP頭部信息來獲取一些有用的信息，例如源IP地址和目標IP地址。此外，傳輸模式需要在每個端點上配置IPsec設備，並且需要管理和維護這些設備，因此相對複雜和昂貴。

Describe the problem that firewalls have with IPsec transport mode VPNs.

防火牆與IPsec傳輸模式VPN的問題在於，當使用傳輸模式時，防火牆無法讀取和過濾IP數據包的有效負載，因為該部分已被加密。這意味著防火牆無法對數據包進行深度檢查和過濾，從而可能導致安全漏洞。

In which IPsec mode are clients and servers required to have digital certificates?

在IPsec的傳輸模式中，要求通信的客戶端和服務器都必須配置IPsec設備並擁有數位簽證。這是因為傳輸模式提供了端到端的安全性。因此，需要在每個主機上配置IPsec設備和相應的數字證書，以實現安全通信。

Which IPsec mode does not require clients and servers to have digital certificates?

IPsec的隧道模式，因為隧道模式僅在IPsec網關之間建立安全連接，而不需要對整個數據包進行加密和認證。

Is IPsec used for remote-site-access VPNs, site-to-site VPNs, or both?

在遠程站點訪問VPN中，用戶可以通過Internet從外部訪問公司的內部網絡，而在站點到站點VPN中，不同地理位置的公司網絡可以通過Internet建立安全連接以實現數據共享和通信。兩者都需要使用IPsec協議來實現安全通信。

Can two IPsec hosts negotiate over how to perform security? How?

兩個IPsec主機可以協商如何執行安全性。在兩個IPsec主機開始通信之前，它們會進行安全關聯（SA）的協商，這是關於兩個設備在通信時使用的安全方法和選項的協議。在協商過程中，它們會確定使用哪種加密算法、認證方法、密鑰長度等等。這樣可以確保兩個IPsec主機之間的通信是安全的並且符合雙方的要求。

What is the need for IPsec policy servers?

在於實現IPsec VPN的集中管理，當一個公司有多個IPsec設備時，需要對這些設備進行統一的管理和配置，以確保VPN的安全性和可靠性。

How does IPsec policy server enable central management of IPsec?

通過向所有IPsec設備分發安全策略、密鑰和證書等信息，來確保所有設備之間的一致性。此外，IPsec policy server還提供日誌記錄、監控和報警等功能，以幫助IT管理人員更好地維護VPN網絡，藉此實現了IPsec VPN的集中管理。

How was SSL(Secure Sockets Layer) renamed SSL/TLS(Transport Layer Security)? Who controls it?

SSL在1999年被IETF（Internet Engineering Task Force）標準化時更名為SSL/TLS。TLS是SSL的更新版本，提供了更好的安全功能。 IETF控制著SSL/TLS的開發和標準化。