考题篇(5.2) 06. IPsec ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4
You are the administrator in charge of a FortiGate acting as an IPsec VPN gateway using route-based mode. Users from either side must be able to initiate new sessions. There is only 1 subnet at eithe.
You are the administrator in charge of a FortiGate acting as an IPsec VPN gateway using route-based mode. Users from either side must be able to initiate new sessions. There is only 1 subnet at either end and the FortiGate already has a default route. 〖你负责管理一台FortiGate防火墙,使用基于路由模式的IPsec VPN网关,使用基于路径模式。用户从任何一方必须能够启动新的会话,两端FortiGate防火墙已经有一个默认路由,只有一个子网〗
Which two configuration steps are required to achieve these objectives? (Choose two) 〖实现这些目标需要哪两个配置步骤? (选择两个)〗
A. Create one firewall policy. 〖建立一条防火墙策略〗
B. Create two firewall policiy. 〖建立二条防火墙策略〗
C. Add a route to the remote subnet. 〖增加一条到远程子网的路由〗
D. Add two IPsec phases 2.〖增加二条IPsec 阶段2〗
【分析】
基于路由模式IPsec VPN,需要建立一来一往的两条访问策略。
还要建立一条到达对方内网的路由。
【答案】BC
Which IPsec configuration mode can be used for implementing GRE-over-IPsec VPNs? 〖哪个IPsec配置模式可用于实现GRE-over-IPsec VPNs?〗
A. Policy-based only. 〖仅基于策略〗
B. Route-based only. 〖仅基于路由〗
C. Either policy-based or route-based VPN.〖基于策略或基于路由的任何一个VPN〗
D. GRE-based only. 〖仅基于GRE〗
【分析】
通用路由封装协议(Generic Routing Encapsulation,GRE)是VPN的第三层隧道协议,即在协议层之间采用了一种被称之为Tunnel(隧道)的技术。GRE是对某些网络层协议(如IP、IPX、Apple Talk 等)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。GRE并未对数据进行加密,仅将IP数据包加上GRE
头后封装在IP数据项内,通常用来构建站点到站点的VPN隧道。GRE技术的最大优点是可以对多种协议、报文进行封装,并封装在隧道中安全传输,所以GRE通常可用于需要在VPN隧道中传递路由信息的场合。它的缺点是不提供对数据的保护(如加密),只能提供简单的隧道验证功能。
IPSec(IPSecurity)是目前VPN使用率很高的一种技术,同时提供VPN和信息加密两项技术。IPSec的目的是保证IP数据包传输时的安全性,它不是一个单独的协议,而是一个框架性架构,具体由AH、ESP和IKE三类协议组成,其中AH、ESP协议为安全协议,IKE为密钥管理协议。IPSec使用了多种加密算法、散列算法、密钥交换方法等为IP数据量提供安全性,它可以提供数据的机密性、数据的完整性、数据源认证和防重放等安全服务。IPSec技术的优点是是能够保障数据的安全传输,缺点是不能够对网络中的组播报文进行封装,所以常用的路由协议报文无法在IPSec协议封装隧道中传递。
针对IPSec和GRE技术的优缺点,这时可以综合运用GRE和IPSec两种技术,利用GRE技术来对用户数据和路由协议报文进行隧道封装,然后通过IPSec技术提供的安全措施保护GRE隧道中数据的安全,这两种技术的综合使用,即构成了GRE over IPSec VPN技术。
IPsec tunnel mode是通过IPsec的加密技术对数据进行的隧道方式再封装,是在原有的IP数据包外面再加一层封装。而GRE over IPsec是IPsec对已经经过GRE封装的数据进行的传输模式的封装,通过修改现有IP数据包头部而非前者的再封装模式。IPsec隧道不支持传输组播、广播以及非IP流量,这样GRE over IPsec的方法通过GRE对组播流量的封装然后用IPsec协议进行加密和校验,既保证了应用又增加了安全性。
【答案】B
An administrator has configured a route-based site-to-site IPsec VPN. Which statement is correct regarding this IPsec VPN configuration? 〖管理员配置基于路由点对点IPsec VPN,哪些关于IPsec VPN配置的描述是正确的?〗
A. The IPsec firewall policies must be placed at the top of the list.〖IPsec防火墙政策必须放置在列表的顶部〗
B. This VPN cannot be used as part of a hub and spoke topology. 〖不能使用该VPN作为一个中心与分支拓扑的一部分〗
C. Routes are automatically created based on the quick mode selectors.〖基于快速模式选择器自动创建路由〗
D. A virtual IPsec interface is automatically created after the Phase 1 configuration is Completed.〖第一阶段配置完成后,自动创建一个虚拟的IPsec接口〗
【分析】
第一阶段配置完成后,自动创建了一个虚拟的IPsec接口。
【答案】D
An administrator wants to create an IPsec VPN tunnel between two FortiGate devices. 〖管理员想要在两个FortiGate设备之间创建一个IPsec VPN隧道〗
Which three configuration steps must be performed on both units to support this scenario? (Choose three) 〖必须在两个设备执行哪三个配置步骤才能支持这个方案?(选择三个)〗
A. Create firewall policies to allow and control traffic between the source and destination IP addresses.〖创建在源和目的IP地址之间允许和控制流量的防火墙策略〗
B. Configure the appropriate user groups to allow users access to the tunnel. 〖配置相应的用户组允许用户访问隧道〗
C. Set the operating mode to IPsec VPN mode.〖将操作模式设置为IPsec VPN模式〗
D. Define the phase 2 parameters.〖定义阶段2的参数〗
E. Define the phase 1 parameters.〖定义阶段1的参数〗
【分析】
创建IPsec VPN隧道,需要定义阶段1的参数。
创建IPsec VPN隧道,需要定义阶段2的参数。
创建IPsec VPN隧道,需要建立源和目标之间互相访问的策略。
【答案】ADE
What is IPsec Perfect Forwarding Secrecy (PFS)?〖什么是IPsec完善前向保密?〗
A. A phase-1 setting that allows the use of symmetric encryption.〖阶段1设置允许使用对称加密〗
B. A phase-2 setting that allows the recalculation of a new common secret key each time the session key expires.〖阶段2设置允许每次会话密钥到期后重新计算新的共同密钥〗
C. A ‘key-agreement’ protocol.〖“密钥协定”协议〗
D. A ‘security-association-agreement’ protocol.〖“安全联合协定”协议〗
【分析】
完全前向保密 (PFS) 在阶段2设置。
(Perfect) Forward secrecy的大致意思是:用来产生会话密钥(session key)的长期密钥(long-term key)泄露出去,不会造成之前通讯时使用的会话密钥(session key)的泄露,也就不会暴漏以前的通讯内容。简单的说,当你丢了这个long-term key之后,你以后的行为的安全性无法保证,但是你之前的行为是保证安全的。
之所以Perfect加上括号,是因为这个词蕴含了无条件安全的性质,大部分的forward secrecy方案是无法达到Perfect的。而forward security的保证的是:敌手获取到了你当前的密钥,但是也无法成功伪造一个过去的签名。
简单的说,这两个概念是用在不同的环境中,但是其意图是一样的:保证密钥丢失之前的消息安全性或签名的不可伪造性。
一般而言,满足Forward secrecy或者forward security的公钥环境下的(签名、密钥交换或加密)方案,其公钥是固定的,而密钥则随着时间进行更新。这个更新过程是单向的,因此也就保证了拿到当前的密钥,是无法恢复出以前的密钥,从而保证了“前向安全”。
【答案】B
飞塔技术-老梅子 QQ:57389522
更多推荐
所有评论(0)