違法和不良信息舉報 客服熱線:400-111-9811

網絡工程師考試內容:IPSEC VPN

網絡工程師 責任編輯:胡媛 2019-10-28
摘要:希賽網軟考頻道小編為大家整理了網絡工程師考試內容:IPSEC VPN,希望對備考網絡工程師的考生有所幫助。

net06.jpg

IPSec協議框架:

1)認證頭協議AH不能加密,只對數據報進行驗證、保證報文的完整性。AH的缺陷就是在于不能對數據加密,第二就是不能穿越NAT網絡,AH模式無法與NAT一起運行。

2)IPsec封裝安全負載(ESP):封裝安全有效載荷協議ESP:具有加密性、既可以保證數據包的機密性,驗證又保證了數據包在傳輸過程中的完整性(ESP通常使用DES、3DES、AES等加密算法實現數據加密,使用MD5或SHA1來實現數據完整性。)

3)密鑰管理協議(IKE):不管是AH還是ESP,對IP包執行安全保護的時候,最終需要先建立一個IPSEC SA(IPSEC安全聯盟),在之前還有一個IKE SA。

IPSec有兩種操作模式:傳輸模式和隧道模式。

傳輸模式把整個傳輸層報文段都保護起來。因此只能保證原IP包數據部分的安全性。在使用傳輸模式的時候,所有加密、解密和協商操作都是在主機系統去完成。

隧道模式是對整個IP數據包提供安全傳輸機制。是在一個IP數據報的后面和前面都添加一些控制字段,構成IPsec數據報。在隧道模式中,兩個安全網關運行IPsec協議,對他們之間要加密的數據達成一致,再運用AH或ESP對數據進行保護。

具體配置流程:

1,配置安全ACL:定義哪些數據流需要獲得安全服務,其他數據流不提供安全服務。

2,配置安全提議:安全提議保存IPSEC提供安全服務時準備使用的一組特定參數:包括安全協議、加密、驗證算法、工作模式等等,以便IPSEC通信雙方協商各種安全參數。IPSEC安全網關必須具有相同的安全提議才可以就安全參數協商一致。

一個安全策略通過引用一個或多個安全提議來確定采用的安全協議、算法和封裝形式,在安全策略引用安全提議之前,需要先建立安全提議。

3,配置IKE:IKE默認采用的是預共享密鑰方式。配置預共享密鑰之前需要先確定IKE交換過程中安全保護的強度,主要包括身份驗證方法、加密算法等等。

IKE的配置任務:

(1)配置IKE提議:在安全網關之間執行IKE協商初期,雙方首先協商保護IKE協商本身的安全參數,這一協商通過交換IKE提議實現的。IEK提議描述了希望在IKE協商過程中使用的安全參數、包括驗證算法、加密算法等,保護IKE交換時的通信。

(2)配置IKE對等體:本端安全網關配置的對端安全網關IP地址一定要和對端相同。

4,配置安全策略:安全策略規定了對什么樣的數據流采用了什么樣的安全提議。

5,在接口應用安全策略。

點擊進入>>>希賽軟考題庫 網絡工程師每日一練

想要了解更多軟考考試資訊,可以關注希賽網軟考頻道

溫馨提示:因考試政策、內容不斷變化與調整,本網站提供的以上信息僅供參考,如有異議,請考生以權威部門公布的內容為準!

通關方案

  • 在線輔導
  • 高效學習
  • 信息系統項目管理師網絡直播班

    講師:左水林 價格:5188 元
    全面精講,覆蓋核心考點,網絡直播課堂講解,課后錄播,高效備考。
    立即報名
    信息系統項目管理師網絡直播班
  • 系統集成項目管理工程師網絡直播班

    講師:馬小軍 價格:3288 元
    全面精講,覆蓋核心考點,網絡直播課堂講解,課后錄播,高效備考。
    立即報名
    系統集成項目管理工程師網絡直播班
湖北十一选五今天开奖结果