VPN 技術部分問題解答
1.為什麼CISCO力推第二層隧道協議,而不是第三層隧道協議?
CISCO都提供這兩種方案。CISCO沒有著重強調那一個。第二層隧道協議主要用在訪問VPN方案,而第三層隧道協議則對Intranet和Extranet提供VPN方案支持。第三層隧道協議同樣也可用於一些訪問VPN的方案,例如,客戶端初始化的隧道模式和Internet大規模的訪問解決方案。
2.什麼是第三層隧道?
第三層隧道不是一個新的技術。RFC1701中定義的GRE已經存在很長時間了。CISCO在自從ios版本9.21就支持該技術。Ipsec是新的為支持加密保護隧道而定義的IETF標準。CISCO自從ios版本11.3(3)T支持該項特性。CISCO在ios版本12.0(1)T支持移動IP。
3.GRE的主要作用是什麼?
GRE是一種基於IP的隧道技術,它可被用來在基於IP的骨幹網上傳輸多種協議的資料流量,如IPX、AppleTalk等。同時,GRE還可被用來在Internet網路上通過隧道傳輸廣播和組播訊息,如路由更新訊息等。需要注意的是,在使用GRE之前需要先在作為VPN終點設備的物理接頭上進行相關配置,隨後可以使用諸如IPSec等安全措施保護隧道。
4.語音和資料整合的資料流是否能夠通過VPN進行很好的傳輸,Cisco的哪些設備支持該項功能?
一般來講,如果沒有硬體加速、壓縮以及優秀的QOS機制,使用加密保護機制如IPSec傳輸語音幾乎是無法想像的。目前,我們已經距離通過VPN傳輸加密保護的語音和資料的組合資料流的目標越來越近,在7100系列路由器中使用硬體加密保護技術已經成為現實,在不遠的將來,這一功能將會在Cisco7200、3600、2600以及1700系列的路由器中實現。另外,通過使用對IPSec資料包的LZS壓縮技術和QOS機制如NBAR,都將加速語音的VPN傳輸。
5.使用基於VPN的防火牆解決方案與使用基於IPSec的路由器解決方案相比較,有哪些優勢和不足?
優勢:
*整合的解決方案,不需安裝額外的設備。
*降低了設備投資成本,減少了設備支持和維護工作。
不足:
*防火牆可能不支持路由功能和其它一些特性,如QOS。
*在同一台設備上同時執行防火牆和加密保護功能,將會影響設備的性能。
*在特定的VPN設備上同時支持的VPN隧道數量過於巨大。
6.IPSec是什麼?它是否是一種新的加密保護形式?
IPSec是一套用來通過公共IP網路進行安全通訊的協議格式,它包括資料格式協議、密鑰交換和加密保護算法等。IPSec在遵從IPSec標準的設備之間提供安全的通訊,即使這些設備可能是由不同廠商所提供的。
7.L2TP和IPSec在VPN的接入實施中起到什麼作用?
L2TP提供隧道建立或封裝,以及第二層驗證。IPSec提供L2TP隧道的加密保護,從而可以提供對會話的安全保證。用戶可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用戶驗證功能。
8.IPSEC和CET的比較?
答案在於你的要求。如果你所需要的是CISCO路由器到CISCO路由器的資料加密保護,你就可以用CET,他是更成熟,更高速的解決方案。如果你需要基於工業界標準,提供對多廠商和遠端客戶訪問連接的支持,你就該用IPSEC。再者,如果你要在有或沒有加密保護的情況下對資料認證的支持,IPSEC也是正確的選擇。如果你願意,你可以在網路中同時配置CET和IPSEC,甚至在同一個設備上。CISCO設備可以同時支持對多個終端的CET安全會話和IPSEC安全會話。
9.Cisco1700系列路由器上是否支持硬體VPN功能,該硬體產品號是什麼?
支持,該硬體VPN功能模塊為:MOD1700-VPN。
10.帶VPN模塊的Cisco1700系列路由器與靠IPSec軟件實現VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什麼特點?
帶IPSec軟件而不帶VPN模塊的Cisco1700系列路由器可以對具有256個字節資料包達到300kbps的3DES加密保護,具有VPN模塊的1700路由器對相同大小的資料包達到3400kbps的加密保護速率。Cisco800和1600系列VPN路由器只能支持56KDES加密保護,不支持3DES。所能達到的速率適合進行ISDN128K的連接。
11.帶VPN模塊的Cisco1700系列路由器能否與其它廠商提供的VPN產品進行互操作?
儘管在許多不同的廠商之間已經就VPN形成了IPSec標準,如PKI和數位驗證等,但仍有許多廠商在設計和實施VPN的時候都或多或少地超出了這一標準。因此,在這之間進行互操作時有可能會遇到問題。
12.Cisco系列VPN路由器一般可以支持多少個遠端移動用戶?
Cisco1700系列VPN路由器可以支持20-30個用戶,如果採用硬體加速技術,則可以支持100個左右的用戶。Cisco2600/3600系列VPN路由器可以支持100-500個左右的用戶。對於超過500個以上的用戶數的VPN應用,建議採用Cisco7XXX系列的VPN路由器。
13.Cisco的VPN軟件能否在同一個連接中支持多種協議(如IP、IPX等)?
如果VPN支持多協議隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS軟件中被支持),那麼就可以支持多協議。
14.什麼是CiscoVPNClient?
CiscoVPNclient是一個軟件,用於訪問使能VPN產品的服務器端。他提供對Windows95,98,NT4.0,和2000,XP的支持。
15.什麼是CISCOvpn3002硬體客戶端?
CISCOvpn3002硬體客戶端是一個小的硬體系統,作為一個VPN環境中的客戶端。代替在基於MSDOS,WINDOWS和NT平台的軟件客戶端。
安全產品部分問題解答
1.ciscopix放火牆採用的是何種算法?資料是如何通過防火牆進行轉發?
Ciscopix放火牆採用的是自適應安全算法,這是一種同設備連接狀態密切相關的安全檢測的方法。每一個進入放火牆的資料包都要通過自適應安全算法和記憶體中的連接狀態訊息的檢查。通過這種面向連接的動態防火牆設備,能同時處理500000個並發的連接和高達1Gbps的吞吐量。可想而知這種同連接狀態有關的方法比僅僅檢查資料包(如訪問列表)篩選的方法安全的多。當一個向外發送的包到達一個Pix放火牆較高階別接頭時,不管前一個包是否來自哪個主機,Pix放火牆用自適應安全算法檢察該包是否有效。如果不是,該包屬於一個新的連接,Pix放火牆會為該連接在狀態表中創建轉換槽。Pix放火牆存儲在轉換槽中的訊息包括內部的IP位址和全局唯一的IP位址,該位址由NAT,PAT,或身份分配。Pix放火牆接著改變包的源位址為全局唯一位址,按照要求修改校驗和以及其他域的位址,並將包轉發給較低的安全級別借口。
2.Ciscopixfailover的作用?
使用pix版本5.0,如果你有100Mbps的LAN接頭,你可以選擇與StatefulFailover選項。這樣一使連接狀態自動地在兩個放火牆部件之間傳遞。在failover偶對中的兩個部件通過failover線纜通信。failover線纜是修改過的RS-232串行線纜,它以9600的速率傳輸資料。資料提供主部件或從部件的標識號,另外一個部件電源狀態,並作為兩個部件不同的failover之間的通信鏈路。
3.AAA的作用?
訪問控制是用來控制允許何種人訪問服務器,以及一旦他們能夠訪問該服務器,以及一旦他們能夠訪問該服務器,允許他們使用何種服務的方法。AAA是使用相同方式配置三種獨立的安全功能的一種結構。它提供了完成下列服務的模塊化方法:認證—一種提供識別用戶的方法,包括註冊和口令交談視窗,詢問和響應,消息支持以及根據所選擇的安全協議進行加密保護。授權—一種提供遠端訪問控制的方法包括一次性授權或者單項服務服務授權,每個用戶帳戶列表和簡介,用戶包支持以及IP,IPX,ARP和Telnet支持。記帳—一種給安全服務器收集,發送訊息提供服務的方法,這些訊息用來開列帳單,審計和形成報表,如用戶標識,開始時間和停止時間,執行的命令,包的數量以及字節數。
4.RADIUS?
RADIUS是分佈式客戶機/服務器系統,它保護網路不受未授權訪問的干擾。在Cisco實現中,Radius客戶機執行於路由器上,並向中央RADIUS服務器發出認證請求,這裡的中央服務器包含了所有的用戶認證和網路服務訪問訊息。Cisco利用其AAA安全模式支持RADIUS,RADIUS也可以用於其他AAA安全協議,比如,TACACS,KERBEROS或本機用戶名查找,所有Cisco平台都支持RADIUS。
5.Cisco加密保護技術如何實現?
網路資料加密保護是在IP包一級提供的,只有IP包可以被加密保護。只有當包滿足在路由器上配置加密保護時所建立的條件時,這個資料包才會被加密保護/解密。當加密保護以後,單個資料包在傳輸時可以被檢測到,但IP包的內容不能被讀取。IP頭和上層協議頭沒有被加密保護,但TCP或UDP包內所有的淨荷資料都被加密保護,因此,在傳輸過程中不能被讀取。
6.IPSec如何工作?
IPSec為兩個同位體(路由器),提供安全隧道。由用戶來定義哪些包將被認為是敏感訊息,並將由這些安全隧道傳送。並且通過指定這些隧道的參數來定義用於保護這些敏感的參數。然後,當IPSec看到這樣的一個敏感包時,它將建立起相應的安全隧道,通過這隧道將這份資料包傳送給遠端同位體。
7.TACACS+的作用?
TACACS+是一種安全應用程式,它為用戶獲得對路由器或網路訪問服務器的訪問提供集中化的驗證。TACACS+服務在TACACS+後台程式的資料庫中進行維護,這種後台程式典型地執行在UNIX或WindowsNT工作站上。在為網路訪問服務器配置的TACACS+特性可用之前,必須能夠訪問並配置TACACS+服務器。
8.CiscoIOS軟件支持哪幾種授權類型?
1)EXEC授權—適用於與用戶EXEC終端對話相關的內容。
2)命令授權—適用於用戶發出的EXEC模式命令。命令授權試圖給所有的EXEC模式命令使用指定的特權級別授權。
3)網路授權—適用於網路連接,包括PPP,SLIP或ARAP連接。
9.CiscoIOS在網路上管理記帳?
在網路上管理記帳的命令。使用記帳管理可以跟蹤單個用戶使用的網路資源和群組用戶的網路資源。使用AAA記賬功能,不僅可以跟蹤用戶所訪問的服務,還可以跟蹤他們所消耗的網路資源的數量。
10.Kerberos的作用?
Kerberos是秘密密鑰網路認證協議,使用資料加密保護標準加密保護算法進行加密保護和認證。Kerberos是為對網路資源的請求進行認證而設計的。與其他秘密密鑰系統一樣,Kerberos基於可信任的第三方概念,這個第三方對用戶和服務執行安全認證。
11.鎖定和密鑰的作用?
鎖定和密鑰是一種流量過濾安全特性,它動態過濾IP協議流量。鎖定和密鑰是使用IP動態擴展訪問列表進行配置的,它可以與其他標準訪列表或靜態訪問列表結合起來一起使用。
12.CiscoSecureScanner的作用?
CiscoSecureScanner是一種企業級的軟件工具,提供卓越的網路系統識別,革新性資料管理,靈活的用戶定義脆弱性規則,全面的安全報告功能以及Cisco24*7的全球支持。
13.CiscoSecurePolicyManager的作用?
CiscoSecurePolicyManager是一個用於Cisco放火牆,IPSec虛擬網路閘道器路由器和入侵檢測系統Sensor的強大,可伸縮的安全政策管理系統。
14.Cisco安全入侵檢測系統的作用?
Cisco安全入侵檢測系統可以為企業和服務提供商網路提供一系列高性能的安全監視監控方案。
15.CiscoSecure訪問控制服務器的作用?
CiscoSecure訪問控制服務器是為了解決Internet和所有共用的,專用的網路或外部企業網等網路的快速發展為用戶如何對網路訪問進行控制,授權和記費提出的安全方面的具體解決工具。
16.CiscoIos防火牆的作用?
CiscoIos防火牆為每一個網路周邊整合了穩健的放火牆功能性和入侵檢測,豐富了Cisco軟件的安全功能。
17.PIX防火牆的關於license訊息。
PIX防火牆的license有Unrestricted,Restricted,andFail-Over三種配置。
這些基本的配置都可以用VPNDES和3DES來加強安全性。
Unrestricted—操作在UR模式下的PIX防火牆允許支持最大數目的接頭和最大可支持的記憶體。
UR的License支持熱備份冗余,最小化down網路的時間。Restricted—操作在R模式下的PIX防火牆限制支持的接頭數和支持的記憶體大小。限制的許可特性提供對那些小網路的應用價格優化的防火牆方案。限制的許可特性不支持冗余的FO特性。
Fail-Over—操作在FO模式下的PIX防火牆跟另一台帶UR許可證的防火牆協同工作,提供一個熱冗余備份的結構。
FO許可證提供基於狀態的容錯特性,從而使能高可用性的網路結構。在FO模式下的PIX防火牆維護跟主放火強完全一樣的連接既時狀態,從而最小化因為設備或網路失敗而引起的連接失敗。U
R和FO的許可證有完全一樣的特徵和性能指數。UR和FO的防火牆中間需要Fail-over的電纜線。
當前的PIX防火牆是基於特性集的許可證,這類許可秘匙限定哪些特性可用,哪些特性不可用。以前的PIX放火牆支持基於連接數的秘匙系統,它是限定PIX放火牆支持的最大連接數。為了統一和易於管理的目的,當前的PIX防火牆都支持基於特性集的許可證。
|