通过具有IPSec功能的路由器构件VPN的过程中，采用的应用模型是（）。

免费智能真题库 > 历年试卷 > 信息安全工程师 > 2017年上半年信息安全工程师上午试卷综合知识

第33题

知识点： IP ESP IPSec VPN 构件路由器

关键词： VPN 构件路由器路由章/节： VPN 类型和实现技术

通过具有IPSec功能的路由器构件 VPN的过程中，采用的应用模型是（）。

A. 隧道模型

保密模式

C. 传输模式

D. 压缩模式

相关试题：IPSec

更多>

第61题 2020年下半年

44%

身份认证是证实客户的真实身份与其所声称的身份是否相符的验证过程。下列各种协议中，不属于身份认证协议的是（61)。

第55题 2019年上半年

59%

IPSec属于（）的安全解决方案。

第55题 2016年下半年

53%

以下关于IPSec协议的叙述中，正确的是（55）。


知识点讲解
· IP ESP · IPSec · VPN · 构件 · 路由器

IP ESP

IP ESP也是一种安全协议，其用途在于保证IP包的保密性，而IP AH不能提供IP包的保密性服务。IP ESP的基本方法是将IP包做加密处理，对整个IP包或IP的数据域进行安全封装，并生成带有ESP协议信息的IP包，然后将新的IP包发送到通信的接收方。接收方收到后，对ESP进行解密，去掉ESP头，再将原来的IP包或更高层协议的数据像普通的IP包那样进行处理。RFC 1827中对ESP的格式做了规定，AH与ESP体制可以合用，也可以分用。

IP AH和IP ESP都有两种工作模式，即透明模式（Transport mode）和隧道模式（Tunnel Mode）。透明模式只保护IP包中的数据域（data payload），而隧道模式则保护IP包的包头和数据域。因此，在隧道模式下，将创建新的IP包头，并把旧的IP包（指需做安全处理的IP包）作为新的IP包数据。

IPSec

IPSec是Internet Protocol Security的缩写。在TCP/IP协议网络中，由于IP协议的安全脆弱性，如地址假冒、易受篡改、窃听等，Internet工程组（IETF）成立了IPSec工作组，研究提出解决上述问题的安全方案。根据IP的安全需求，IPSec工作组制定了相关的IP安全系列规范：认证头（Authentication Header，简称AH）、封装安全有效负荷（Encapsulatin Security Payload，简称ESP）以及密钥交换协议。

IPAH

IP AH是一种安全协议，又称为认证头协议。其安全目的是保证IP包的完整性和提供数据源认证，为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。其基本方法是将IP包的部分内容用加密算法和Hash算法进行混合计算，生成一个完整性校验值，简称ICV（Integrity Check Value），同时把ICV附加在IP包中，如下图所示。

IP AH协议包格式

在TCP/IP通信过程中，IP包发送之前都事先计算好每个IP包的ICV，按照IP AH的协议规定重新构造包含ICV的新IP包，然后再发送到接收方。通信接收方在收到用IP AH方式处理过的IP包后，根据IP包的AH信息验证ICV，从而确认IP包的完整性和来源。IP认证头（AH）的信息格式如下图所示。

IP认证头（AH）的信息格式

IP ESP

密钥交换协议

基于IPSec技术的主要优点是它的透明性，安全服务的提供不需要更改应用程序。但是其带来的问题是增加网络安全管理难度和降低网络传输性能。

IPSec还涉及密钥管理协议，即通信双方的安全关联已经事先建立成功，建立安全关联的方法可以是手工的或是自动的。手工配置的方法比较简单，双方事先对AH的安全密钥、ESP的安全密钥等参数达成一致，然后分别写入双方的数据库中。自动的配置方法就是双方的安全关联的各种参数由KDC（Key Distributed Center）和通信双方共同商定，共同商定的过程就必须遵循一个共同的协议，这就是密钥管理协议。目前，IPSec的相关密钥管理协议主要有互联网密钥交换协议IKE、互联网安全关联与密钥管理协议ISAKMP、密钥交换协议Oakley。

9.2.6SSL

SSL是Secure Sockets Layer的缩写，是一种应用于传输层的安全协议，用于构建客户端和服务端之间的安全通道。该协议由Netscape开发，包含握手协议、密码规格变更协议、报警协议和记录层协议。其中，握手协议用于身份鉴别和安全参数协商；密码规格变更协议用于通知安全参数的变更；报警协议用于关闭通知和对错误进行报警；记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。

SSL协议是介于应用层和TCP层之间的安全通信协议。其主要目的在于两个应用层之间相互通信时，使被传送的信息具有保密性及可靠性，如下图所示。SSL的工作原理是将应用层的信息加密或签证处理后经TCP/IP网络送至对方，收方经验证无误后解密还原信息。

SSL协议工作机制

如下图所示，SSL协议是一个分层协议，最底层协议为SSL记录协议（SSL Record Protocol），其位于传输层（如TCP）之上，SSL记录协议的用途是将各种不同的较高层协议（如HTTP或SSL握手协议）封装后再传送。另一层协议为SSL握手协议（SSL Handshake Protocol），由3种协议组合而成，包含握手协议（Handshake Protocol）、密码规格变更协议（Change Cipher Spec）及报警协议（Alert protocol），其用途是在两个应用程序开始传送或接收数据前，为其提供服务器和客户端间相互认证的服务，并相互协商决定双方通信使用的加密算法及加密密钥。

SSL协议组成示意图

SSL协议提供三种安全通信服务。

（1）保密性通信。握手协议产生秘密密钥（secret key）后才开始加、解密数据。数据的加、解密使用对称式密码算法，例如DES、AES等。

（2）点对点之间的身份认证。采用非对称式密码算法，例如RSA、DSS等。

（3）可靠性通信。信息传送时包含信息完整性检查，使用有密钥保护的消息认证码（Message Authentication Code，简称MAC）。MAC的计算采用安全杂凑函数，例如SHA、MD5。

SSL记录协议（record protocol）的数据处理过程如下图所示，其步骤如下：

（1）SSL将数据（data）分割成可管理的区块长度。

（2）选择是否要将已分割的数据压缩。

（3）加上消息认证码（MAC）。

（4）将数据加密，生成即将发送的消息。

（5）接收端将收到的消息解密、验证、解压缩，再重组后传送至较高层（例如应用层），即完成接收。

SSL记录协议数据处理示意图

VPN

VPN是一种建立在公网上的虚拟专用网络，它利用IPSec、PFTP、LZTP和建立在PKI基础上的加密与数字签名技术获得机密性保护。在VPN中使用PKI技术能增强VPN的身份认证能力，确保数据的完整性和不可否认性。使用PKI技术能够有效建立和管理信任关系，利用数字证书既能阻止非法用户访问VPN，又能够限制合法用户对VPN的访问，同时还能对用户的各种活动进行严格审计。

构件

为了达到门户站点的基本要求，一个企业的网站应当由以下构件组成：

（1）应用服务器（Application Server）。主要用于企业较大规模电子商务应用的开发、发布和管理，同时实现与企业原有系统的集成。

（2）工作流和群件服务器。主要用于使工作人员和商业伙伴能通过Internet共享资源、协同工作。

（3）内容管理子系统。简化企业网站的产品管理、提高效率，并将相应的、经过筛选的内容发送给最终用户。

（4）目录服务器。企业使用它来管理防火墙内外的用户、资源和控制安全权限，同时为用户的通信和电子商务提供一个通道。

（5）性能优化工具。改善网站服务质量，包括流量管理、动态数据缓存、网络动态负载（Load Balancing）、知识管理等。

（6）邮件和消息服务器。使企业和服务提供者能为所有员工、合作伙伴和客户社区提供商业级的通信架构。

（7）个性化信息服务。在实时分析用户数据的基础上提供一对一的交易平台。通过对用户行为的更好理解，企业更跟踪、分析和理解网站用户。

（8）搜索引擎。用户提供更广泛的资源。

（9）安全服务器。包括数据安全、应用安全和交易完全。其基本内容有用防火墙阻止对网络的非授权访问，在安全和个人的角色授权的基础上，只需一次登录就可以访问网站的所有应用，通过提供一种对在线交易的每一方的可信任的授权方式，帮助客户、合作伙伴和员工访问Internet应用。

（10）网站服务器（Web Server）。将各种网站的信息发布给用户。

以上是通常构建网站所需要的构件，企业可针对自己的特点以及网站规模大小，应用的类型等自行选择。

在网站结构的实现上，通常在逻辑上将网站分为三层：表示层、应用逻辑层、数据层。这种结构使得网站具有较好的可扩充性，将表示层与业务功能的实现分离开来，能够更灵活地适应业务的发展。网站不需要对业务逻辑组件进行任何变动，就能够适用新出现的表示形式和客户端。例如，为了使用户更方便地在网站上购物，网站调整了页面格局和页面风格。由于网站结构层次分明，只需要改动网站表示层，业务逻辑层和数据连接层则不需要改变。

（11）表示层和相关技术。表示层用于为最终用户提供一个友好的用户界面，接受用户提交的事件，并将处理的结果返还给用户。这一层作为应用的前端和“窗口”，决定了用户对网站优劣的评价和总体印象。

网站从总体上说是独立于客户端的，客户端包括基于浏览器的HTML客户端、给予Java的客户端、传统的C/C++应用、Power Builder客户端以及VB客户端。

在表示层除了使用最基本的HTML语言外，通常还利用JavaScript Internet脚本语言，以及Java Internet程序开发语言。JavaScript程序运行在客户端，能够完成用户事件获取、数据提交前的合法性校验、错误检查和实现动画效果等。而利用Java开发的JavaServlet程序运行于服务器端，负责实现与业务逻辑层的交互，从业务逻辑层获得数据，并将用户提交的信息传给业务逻辑层，而基于Java语言的JSP程序，则实现数据的动态显示，它将JavaServlet程序获得的数据形成相应的HTML页面传给客户端。

为了适应电子商务的各种需求，新的表示层技术不断发展。如XML（可扩展标记语言）和RDF（资源描述框架）等都是当前最新的、对表示层产生重大影响的技术。XML通过一种结构化的文本方式来表述数据；RDF提供一种统一的、可互操作的方法通过Internet在程序间交换元数据。

（12）商务逻辑与实现。商务逻辑层是电子商务系统的核心，也是系统建造过程中的重点和难点。商务逻辑层包括商务应用程序、支持平台（包括商务服务层、商务支持层和基础支持层）。

支持层向上层（商务应用层）提供的服务主要包括：表达、商务支持、运行支持、开发与集成服务。构成支持平台的技术产品至少应当包括：Web服务器、商务支持软件、集成与开发工具、计算机主机、网络及其他系统软件（如操作系统、管理工具软件等）。

通常，Web服务器、商务支持软件、部分集成开发环境被集成到一个被称为“应用服务器”的软件包里，所以商务逻辑层在物理上可以简化为以下三个部门：应用软件（实现商务逻辑）；应用服务器（为应用软件提供软件支持平台）和其他支持软件；计算机主机及网络（为应用软件提供硬件支持平台）。

构造商务逻辑层的任务是为选择合适的应用服务器和其他支持软件，开发实现商务逻辑的应用软件系统。

（13）数据层及实现。构造数据层的关键是开发电子商务与外部系统、内部资源系统的接口，完成系统集成。

数据层的数据源主要包括：相关信息系统（如ERP系统）的数据与企业的数据库，企业与协作企业（如供应商）间交换的数据，企业与银行间交换的数据，企业与认证中心之间的认证数据，企业与其他商务中介交换的电子数据。

由于企业商务逻辑的处理过程是一个从市场、销售、采购到客户服务的整体，所以必须将商务逻辑处理过程中所涉及到的数据集成到一起，因此构造数据层的任务是：实现电子商务系统与企业内部和外部信息系统之间的网络互联，并确保安全的网络环境，基于应用服务器平台的商务应用系统与企业内部数据的共享。

路由器

路由器是计算机网络中重要的一个环节，分为模块化和非模块化两种类型。模块化结构的路由器的扩展性好，支持多种端口类型（如以太网接口、快速以太网接口、高速串行口等），并且各种端口的数量一般是可选的，但价格通常比较昂贵。固定配置的路由器扩展性差，只能用于固定类型和数量的端口，但价格低廉。

在选择路由器产品时，应多从技术角度来考虑，如可延展性、路由协议互操作性、广域数据服务支持、内部ATM支持、SAN集成能力等。另外，选择路由器还应遵循标准化原则、技术简单性原则、环境适应性原则、可管理性原则和容错冗余性原则等。特别是对于高端路由器，还应该更多地考虑是否和如何适应骨干网对网络高可靠性、接口高扩展性以及路由查找和数据转发的高性能要求。高可靠性、高扩展性和高性能的“三高”特性是高端路由器区别于中、低端路由器的关键所在。从技术性能上考察路由器产品，一般要考察路由器的容量、每秒钟能处理多少数据包、能否被集群等性能问题，还要注意路由器是否能够提供增值服务和其他各种服务。另外，在安装、调试、检修、维护或扩展网络的过程中，免不了要给网络中增减设备，也就是说可能会要插拔网络部件。那么路由器能否支持带电插拔，也是路由器产品应该考察的一个重要性能指标。

总的来说，路由器的主要性能指标有设备吞吐量、端口吞吐量、全双工线速转发能力、背靠背帧数、路由表能力、背板能力、丢包率、时延、时延抖动、虚拟专用网支持能力、内部时钟精度、队列管理机制、端口硬件队列数、分类业务带宽保证、资源预留、区分服务、CIR、冗余、热插拔组件、路由器冗余协议、基于Web的管理、网管类型、带外网管支持、网管粒度、计费能力、分组语音支持方式、协议支持、语音压缩能力、端口密度、信令支持等。

题号导航 2017年上半年信息安全工程师上午试卷综合知识

本试卷我的完整做题情况



	第33题在手机中做本题