Which two configuration steps are required to achieve these objectives? (Choose two) 〖實現這些目標需要哪兩個配置步驟? (選擇兩個)〗
A. Create one firewall policy. 〖建立一條防火牆策略〗
B. Create two firewall policiy. 〖建立二條防火牆策略〗
C. Add a route to the remote subnet. 〖增加一條到遠程子網的路由〗
D. Add two IPsec phases 2.〖增加二條IPsec 階段2〗
基於路由模式IPsec VPN,需要建立一來一往的兩條訪問策略。
還要建立一條到達對方內網的路由。
A. Policy-based only. 〖僅基於策略〗
B. Route-based only. 〖僅基於路由〗
C. Either policy-based or route-based VPN.〖基於策略或基於路由的任何一個VPN〗
D. GRE-based only. 〖僅基於GRE〗
通用路由封裝協議(Generic Routing Encapsulation,GRE)是VPN的第三層隧道協議,即在協議層之間採用了一種被稱之爲Tunnel(隧道)的技術。GRE是對某些網絡層協議(如IP、IPX、Apple Talk 等)的數據報進行封裝,使這些被封裝的數據報能夠在另一個網絡層協議(如IP)中傳輸。GRE並未對數據進行加密,僅將IP數據包加上GRE
頭後封裝在IP數據項內,通常用來構建站點到站點的VPN隧道。GRE技術的最大優點是可以對多種協議、報文進行封裝,並封裝在隧道中安全傳輸,所以GRE通常可用於需要在VPN隧道中傳遞路由信息的場合。它的缺點是不提供對數據的保護(如加密),只能提供簡單的隧道驗證功能。
IPSec(IPSecurity)是目前VPN使用率很高的一種技術,同時提供VPN和信息加密兩項技術。IPSec的目的是保證IP數據包傳輸時的安全性,它不是一個單獨的協議,而是一個框架性架構,具體由AH、ESP和IKE三類協議組成,其中AH、ESP協議爲安全協議,IKE爲密鑰管理協議。IPSec使用了多種加密算法、散列算法、密鑰交換方法等爲IP數據量提供安全性,它可以提供數據的機密性、數據的完整性、數據源認證和防重放等安全服務。IPSec技術的優點是是能夠保障數據的安全傳輸,缺點是不能夠對網絡中的組播報文進行封裝,所以常用的路由協議報文無法在IPSec協議封裝隧道中傳遞。
針對IPSec和GRE技術的優缺點,這時可以綜合運用GRE和IPSec兩種技術,利用GRE技術來對用戶數據和路由協議報文進行隧道封裝,然後通過IPSec技術提供的安全措施保護GRE隧道中數據的安全,這兩種技術的綜合使用,即構成了GRE over IPSec VPN技術。
IPsec tunnel mode是通過IPsec的加密技術對數據進行的隧道方式再封裝,是在原有的IP數據包外面再加一層封裝。而GRE over IPsec是IPsec對已經經過GRE封裝的數據進行的傳輸模式的封裝,通過修改現有IP數據包頭部而非前者的再封裝模式。IPsec隧道不支持傳輸組播、廣播以及非IP流量,這樣GRE over IPsec的方法通過GRE對組播流量的封裝然後用IPsec協議進行加密和校驗,既保證了應用又增加了安全性。
A. The IPsec firewall policies must be placed at the top of the list.〖IPsec防火牆政策必須放置在列表的頂部〗
B. This VPN cannot be used as part of a hub and spoke topology. 〖不能使用該VPN作爲一箇中心與分支拓撲的一部分〗
C. Routes are automatically created based on the quick mode selectors.〖基於快速模式選擇器自動創建路由〗
D. A virtual IPsec interface is automatically created after the Phase 1 configuration is Completed.〖第一階段配置完成後,自動創建一個虛擬的IPsec接口〗
第一階段配置完成後,自動創建了一個虛擬的IPsec接口。
Which three configuration steps must be performed on both units to support this scenario? (Choose three) 〖必須在兩個設備執行哪三個配置步驟才能支持這個方案?(選擇三個)〗
A. Create firewall policies to allow and control traffic between the source and destination IP addresses.〖創建在源和目的IP地址之間允許和控制流量的防火牆策略〗
B. Configure the appropriate user groups to allow users access to the tunnel. 〖配置相應的用戶組允許用戶訪問隧道〗
C. Set the operating mode to IPsec VPN mode.〖將操作模式設置爲IPsec VPN模式〗
D. Define the phase 2 parameters.〖定義階段2的參數〗
E. Define the phase 1 parameters.〖定義階段1的參數〗
創建IPsec VPN隧道,需要定義階段1的參數。
創建IPsec VPN隧道,需要定義階段2的參數。
創建IPsec VPN隧道,需要建立源和目標之間互相訪問的策略。
A. A phase-1 setting that allows the use of symmetric encryption.〖階段1設置允許使用對稱加密〗
B. A phase-2 setting that allows the recalculation of a new common secret key each time the session key expires.〖階段2設置允許每次會話密鑰到期後重新計算新的共同密鑰〗
C. A ‘key-agreement’ protocol.〖“密鑰協定”協議〗
D. A ‘security-association-agreement’ protocol.〖“安全聯合協定”協議〗
完全前向保密 (PFS) 在階段2設置。
(Perfect) Forward secrecy的大致意思是:用來產生會話密鑰(session key)的長期密鑰(long-term key)泄露出去,不會造成之前通訊時使用的會話密鑰(session key)的泄露,也就不會暴漏以前的通訊內容。簡單的說,當你丟了這個long-term key之後,你以後的行爲的安全性無法保證,但是你之前的行爲是保證安全的。
之所以Perfect加上括號,是因爲這個詞蘊含了無條件安全的性質,大部分的forward secrecy方案是無法達到Perfect的。而forward security的保證的是:敵手獲取到了你當前的密鑰,但是也無法成功僞造一個過去的簽名。
簡單的說,這兩個概念是用在不同的環境中,但是其意圖是一樣的:保證密鑰丟失之前的消息安全性或簽名的不可僞造性。
一般而言,滿足Forward secrecy或者forward security的公鑰環境下的(簽名、密鑰交換或加密)方案,其公鑰是固定的,而密鑰則隨着時間進行更新。這個更新過程是單向的,因此也就保證了拿到當前的密鑰,是無法恢復出以前的密鑰,從而保證了“前向安全”。
飛塔技術-老梅子 QQ:57389522
