IT外包桌面解決方案--VPN技術(shù)部分問(wèn)題解答

2020-03-28 06:49 作者：艾銻無(wú)限 瀏覽量：

   
在一封題為“我們可以從新冠病毒疫情中學(xué)會(huì)什么”的公開(kāi)信中，他寫道：
“冥冥中自有深意”
“我堅(jiān)信，無(wú)論是好是壞，眼下所發(fā)生的一切事情背后自有深意。”不管是好事還是壞事。它提醒我們：
1)無(wú)論我們?cè)谖幕?、宗教、職業(yè)、經(jīng)濟(jì)狀況或聲望方面存在多大差異，我們?cè)谝咔楸l(fā)時(shí)都是平等的。

2）我們都是相互聯(lián)系的，影響一個(gè)人的事情也會(huì)影響其他人。

3）我們?cè)O(shè)置的虛假邊界沒(méi)有什么價(jià)值，因?yàn)檫@種病毒不需要護(hù)照就會(huì)傳播。它通過(guò)短暫的壓迫提醒我們，這個(gè)世界上許多人終生都在壓迫中度過(guò)。

4）我們的健康是多么珍貴，我們是如何通過(guò)食用營(yíng)養(yǎng)不良的加工食品和飲用被化學(xué)物質(zhì)污染的水而忽視它的。如果我們不注意我們的健康，我們當(dāng)然會(huì)生病。

5）生命的短暫，提醒我們最重要的是要互相幫助，尤其是幫助那些老人或病人。

6）我們的社會(huì)已經(jīng)變得多么崇尚物質(zhì)。在困難時(shí)期，我們應(yīng)該記住，我們需要的是必需品(食物、水、藥品)，而不是我們有時(shí)不必要地賦予高昂價(jià)值的奢侈品。

7）我們的家庭和家庭生活是多么重要，我們是多么忽視了這一點(diǎn)。它正迫使我們重返家園，這樣我們才能重建家園，鞏固我們的家庭。

8）我們真正的工作不是現(xiàn)在的工作，那是我們所做的，而不是我們生來(lái)要做的。我們真正的工作是互相照顧，互相保護(hù)，互相得益。

9）我們要克制自我，無(wú)論我們認(rèn)為自己有多偉大，或別人認(rèn)為我們有多有名，病毒都能讓我們的世界陷入停滯。

10）自由意志的力量就在我們手中。我們可以選擇合作和互相幫助，可以選擇分享、給予、幫助和支持，也可以選擇自私自利、囤積、只顧自己。的確，正是困難使我們暴露了本性。

11）我們可以保持耐心，也可以陷入驚慌失措中。我們可以理解這種情況在歷史上已經(jīng)發(fā)生過(guò)很多次了，而且終會(huì)過(guò)去?；蛘呶覀兛梢韵萑肟只牛J(rèn)為這是世界末日，由此對(duì)我們?cè)斐傻膫Υ笥诤锰帯?br />
12）這可能是一個(gè)結(jié)束，也可能代表著新的開(kāi)始。這段時(shí)間可以是反思和理解的時(shí)間，可以是我們從錯(cuò)誤中吸取教訓(xùn)的時(shí)間，也可以是個(gè)循環(huán)的開(kāi)始，這個(gè)循環(huán)會(huì)一直持續(xù)下去，直到我們最終得到我們想要的教訓(xùn)。

13）地球已經(jīng)陷入病態(tài)之中。它提醒我們，我們需要關(guān)注森林砍伐的速度，就像我們關(guān)注衛(wèi)生紙從貨架上消失的速度一樣迫切。我們生病是因?yàn)槲覀兊募覉@生病了。

14）在每一個(gè)困難之后，總會(huì)有輕松的時(shí)候。生命是循環(huán)的，而這只是這個(gè)偉大循環(huán)中的一個(gè)階段。我們不需要恐慌，這一切都會(huì)過(guò)去。
盡管許多人認(rèn)為新型冠狀病毒是一個(gè)巨大的災(zāi)難，但我更傾向于認(rèn)為它是一個(gè)“偉大的糾正者”。它提醒我們關(guān)注那些我們似乎已經(jīng)遺忘的重要教訓(xùn)，而是否吸取這些教訓(xùn)則取決于我們自己。
 
 
 

VPN技術(shù)部分問(wèn)題解答

1.為什么CISCO力推第二層隧道協(xié)議，而不是第三層隧道協(xié)議？
CISCO都提供這兩種方案。CISCO沒(méi)有著重強(qiáng)調(diào)那一個(gè)。第二層隧道協(xié)議主要用在訪問(wèn)VPN方案，而第三層隧道協(xié)議則對(duì)Intranet和Extranet提供VPN方案支持。第三層隧道協(xié)議同樣也可用于一些訪問(wèn)VPN的方案，例如，客戶端初始化的隧道模式和Internet大規(guī)模的訪問(wèn)解決方案。

2.什么是第三層隧道？
第三層隧道不是一個(gè)新的技術(shù)。RFC1701中定義的GRE已經(jīng)存在很長(zhǎng)時(shí)間了。CISCO在自從ios版本9.21就支持該技術(shù)。Ipsec是新的為支持加密隧道而定義的IETF標(biāo)準(zhǔn)。CISCO自從ios版本11.3（3）T支持該項(xiàng)特性。CISCO在ios版本12.0（1）T支持移動(dòng)IP。

3.GRE的主要作用是什么？
GRE是一種基于IP的隧道技術(shù)，它可被用來(lái)在基于IP的骨干網(wǎng)上傳輸多種協(xié)議的數(shù)據(jù)流量，如IPX、AppleTalk等。同時(shí)，GRE還可被用來(lái)在Internet網(wǎng)絡(luò)上通過(guò)隧道傳輸廣播和組播信息，如路由更新信息等。需要注意的是，在使用GRE之前需要先在作為VPN終點(diǎn)設(shè)備的物理接口上進(jìn)行相關(guān)配置，隨后可以使用諸如IPSec等安全措施保護(hù)隧道。

4.語(yǔ)音和數(shù)據(jù)集成的數(shù)據(jù)流是否能夠通過(guò)VPN進(jìn)行很好的傳輸，Cisco的哪些設(shè)備支持該項(xiàng)功能？
一般來(lái)講，如果沒(méi)有硬件加速、壓縮以及優(yōu)秀的QOS機(jī)制，使用加密機(jī)制如IPSec傳輸語(yǔ)音幾乎是無(wú)法想象的。目前，我們已經(jīng)距離通過(guò)VPN傳輸加密的語(yǔ)音和數(shù)據(jù)的組合數(shù)據(jù)流的目標(biāo)越來(lái)越近，在7100系列路由器中使用硬件加密技術(shù)已經(jīng)成為現(xiàn)實(shí)，在不遠(yuǎn)的將來(lái)，這一功能將會(huì)在Cisco7200、3600、2600以及1700系列的路由器中實(shí)現(xiàn)。另外，通過(guò)使用對(duì)IPSec數(shù)據(jù)包的LZS壓縮技術(shù)和QOS機(jī)制如NBAR，都將加速語(yǔ)音的VPN傳輸。

5.使用基于VPN的防火墻解決方案與使用基于IPSec的路由器解決方案相比較，有哪些優(yōu)勢(shì)和不足？
優(yōu)勢(shì)：
*集成的解決方案，不需安裝額外的設(shè)備。
*降低了設(shè)備投資成本，減少了設(shè)備支持和維護(hù)工作。
不足：
*防火墻可能不支持路由功能和其它一些特性，如QOS。
*在同一臺(tái)設(shè)備上同時(shí)執(zhí)行防火墻和加密功能，將會(huì)影響設(shè)備的性能。
*在特定的VPN設(shè)備上同時(shí)支持的VPN隧道數(shù)量過(guò)于巨大。

6.IPSec是什么？它是否是一種新的加密形式？
IPSec是一套用來(lái)通過(guò)公共IP網(wǎng)絡(luò)進(jìn)行安全通訊的協(xié)議格式，它包括數(shù)據(jù)格式協(xié)議、密鑰交換和加密算法等。IPSec在遵從IPSec標(biāo)準(zhǔn)的設(shè)備之間提供安全的通訊，即使這些設(shè)備可能是由不同廠商所提供的。

7.L2TP和IPSec在VPN的接入實(shí)施中起到什么作用？
L2TP提供隧道建立或封裝，以及第二層驗(yàn)證。IPSec提供L2TP隧道的加密，從而可以提供對(duì)會(huì)話的安全保證。用戶可以在隧道模式中自己使用IPSec功能，但L2TP可以提供更好的用戶驗(yàn)證功能。

8．IPSEC和CET的比較？
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的數(shù)據(jù)加密，你就可以用CET，他是更成熟，更高速的解決方案。如果你需要基于工業(yè)界標(biāo)準(zhǔn)，提供對(duì)多廠商和遠(yuǎn)端客戶訪問(wèn)連接的支持，你就該用IPSEC。再者，如果你要在有或沒(méi)有加密的情況下對(duì)數(shù)據(jù)認(rèn)證的支持，IPSEC也是正確的選擇。如果你愿意，你可以在網(wǎng)絡(luò)中同時(shí)配置CET和IPSEC，甚至在同一個(gè)設(shè)備上。CISCO設(shè)備可以同時(shí)支持對(duì)多個(gè)終端的CET安全會(huì)話和IPSEC安全會(huì)話。

9.Cisco1700系列路由器上是否支持硬件VPN功能，該硬件產(chǎn)品號(hào)是什么？
支持，該硬件VPN功能模塊為：MOD1700-VPN。

10.帶VPN模塊的Cisco1700系列路由器與靠IPSec軟件實(shí)現(xiàn)VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特點(diǎn)？
帶IPSec軟件而不帶VPN模塊的Cisco1700系列路由器可以對(duì)具有256個(gè)字節(jié)數(shù)據(jù)包達(dá)到300kbps的3DES加密，具有VPN模塊的1700路由器對(duì)相同大小的數(shù)據(jù)包達(dá)到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密，不支持3DES。所能達(dá)到的速率適合進(jìn)行ISDN128K的連接。

11.帶VPN模塊的Cisco1700系列路由器能否與其它廠商提供的VPN產(chǎn)品進(jìn)行互操作？
盡管在許多不同的廠商之間已經(jīng)就VPN形成了IPSec標(biāo)準(zhǔn)，如PKI和數(shù)字驗(yàn)證等，但仍有許多廠商在設(shè)計(jì)和實(shí)施VPN的時(shí)候都或多或少地超出了這一標(biāo)準(zhǔn)。因此，在這之間進(jìn)行互操作時(shí)有可能會(huì)遇到問(wèn)題。

12.Cisco系列VPN路由器一般可以支持多少個(gè)遠(yuǎn)端移動(dòng)用戶？
Cisco1700系列VPN路由器可以支持20-30個(gè)用戶，如果采用硬件加速技術(shù)，則可以支持100個(gè)左右的用戶。Cisco2600/3600系列VPN路由器可以支持100-500個(gè)左右的用戶。對(duì)于超過(guò)500個(gè)以上的用戶數(shù)的VPN應(yīng)用，建議采用Cisco7XXX系列的VPN路由器。

13.Cisco的VPN軟件能否在同一個(gè)連接中支持多種協(xié)議(如IP、IPX等)？
如果VPN支持多協(xié)議隧道功能，如GRE、L2TP或PPTP(均在CiscoIOS軟件中被支持)，那么就可以支持多協(xié)議。

14.什么是CiscoVPNClient?
CiscoVPNclient是一個(gè)軟件，用于訪問(wèn)使能VPN產(chǎn)品的服務(wù)器端。他提供對(duì)Windows95,98,NT4.0,和2000，XP的支持。

15.什么是CISCOvpn3002硬件客戶端？
CISCOvpn3002硬件客戶端是一個(gè)小的硬件系統(tǒng)，作為一個(gè)VPN環(huán)境中的客戶端。代替在基于MSDOS，WINDOWS和NT平臺(tái)的軟件客戶端。
安全產(chǎn)品部分問(wèn)題解答

1.ciscopix放火墻采用的是何種算法？數(shù)據(jù)是如何通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā)？
Ciscopix放火墻采用的是自適應(yīng)安全算法，這是一種同設(shè)備連接狀態(tài)密切相關(guān)的安全檢測(cè)的方法。每一個(gè)進(jìn)入放火墻的數(shù)據(jù)包都要通過(guò)自適應(yīng)安全算法和內(nèi)存中的連接狀態(tài)信息的檢查。通過(guò)這種面向連接的動(dòng)態(tài)防火墻設(shè)備，能同時(shí)處理500000個(gè)并發(fā)的連接和高達(dá)1Gbps的吞吐量?？上攵@種同連接狀態(tài)有關(guān)的方法比僅僅檢查數(shù)據(jù)包（如訪問(wèn)列表）篩選的方法安全的多。當(dāng)一個(gè)向外發(fā)送的包到達(dá)一個(gè)Pix放火墻較高級(jí)別接口時(shí)，不管前一個(gè)包是否來(lái)自哪個(gè)主機(jī)，Pix放火墻用自適應(yīng)安全算法檢察該包是否有效。如果不是，該包屬于一個(gè)新的連接，Pix放火墻會(huì)為該連接在狀態(tài)表中創(chuàng)建轉(zhuǎn)換槽。Pix放火墻存儲(chǔ)在轉(zhuǎn)換槽中的信息包括內(nèi)部的IP地址和全局唯一的IP地址，該地址由NAT,PAT,或身份分配。Pix放火墻接著改變包的源地址為全局唯一地址，按照要求修改校驗(yàn)和以及其他域的地址，并將包轉(zhuǎn)發(fā)給較低的安全級(jí)別借口。

2．Ciscopixfailover的作用？
使用pix版本5.0,如果你有100Mbps的LAN接口，你可以選擇與StatefulFailover選項(xiàng)。這樣一使連接狀態(tài)自動(dòng)地在兩個(gè)放火墻部件之間傳遞。在failover偶對(duì)中的兩個(gè)部件通過(guò)failover線纜通信。failover線纜是修改過(guò)的RS-232串行線纜，它以9600的速率傳輸數(shù)據(jù)。數(shù)據(jù)提供主部件或從部件的標(biāo)識(shí)號(hào)，另外一個(gè)部件電源狀態(tài)，并作為兩個(gè)部件不同的failover之間的通信鏈路。

3．AAA的作用？
訪問(wèn)控制是用來(lái)控制允許何種人訪問(wèn)服務(wù)器，以及一旦他們能夠訪問(wèn)該服務(wù)器，以及一旦他們能夠訪問(wèn)該服務(wù)器，允許他們使用何種服務(wù)的方法。AAA是使用相同方式配置三種獨(dú)立的安全功能的一種結(jié)構(gòu)。它提供了完成下列服務(wù)的模塊化方法：認(rèn)證—一種提供識(shí)別用戶的方法，包括注冊(cè)和口令對(duì)話框，詢問(wèn)和響應(yīng)，消息支持以及根據(jù)所選擇的安全協(xié)議進(jìn)行加密。授權(quán)—一種提供遠(yuǎn)程訪問(wèn)控制的方法包括一次性授權(quán)或者單項(xiàng)服務(wù)服務(wù)授權(quán)，每個(gè)用戶帳戶列表和簡(jiǎn)介，用戶包支持以及IP,IPX,ARP和Telnet支持。記帳—一種給安全服務(wù)器收集，發(fā)送信息提供服務(wù)的方法，這些信息用來(lái)開(kāi)列帳單，審計(jì)和形成報(bào)表，如用戶標(biāo)識(shí)，開(kāi)始時(shí)間和停止時(shí)間，執(zhí)行的命令，包的數(shù)量以及字節(jié)數(shù)。

4．RADIUS?
RADIUS是分布式客戶機(jī)/服務(wù)器系統(tǒng)，它保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問(wèn)的干擾。在Cisco實(shí)現(xiàn)中，Radius客戶機(jī)運(yùn)行于路由器上，并向中央RADIUS服務(wù)器發(fā)出認(rèn)證請(qǐng)求，這里的中央服務(wù)器包含了所有的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問(wèn)信息。Cisco利用其AAA安全模式支持RADIUS，RADIUS也可以用于其他AAA安全協(xié)議，比如，TACACS,KERBEROS或本地用戶名查找，所有Cisco平臺(tái)都支持RADIUS。

5．Cisco加密技術(shù)如何實(shí)現(xiàn)？
網(wǎng)絡(luò)數(shù)據(jù)加密是在IP包一級(jí)提供的，只有IP包可以被加密。只有當(dāng)包滿足在路由器上配置加密時(shí)所建立的條件時(shí)，這個(gè)數(shù)據(jù)包才會(huì)被加密/解密。當(dāng)加密以后，單個(gè)數(shù)據(jù)包在傳輸時(shí)可以被檢測(cè)到，但I(xiàn)P包的內(nèi)容不能被讀取。IP頭和上層協(xié)議頭沒(méi)有被加密，但TCP或UDP包內(nèi)所有的凈荷數(shù)據(jù)都被加密，因此，在傳輸過(guò)程中不能被讀取。

6.IPSec如何工作？
IPSec為兩個(gè)同位體（路由器），提供安全隧道。由用戶來(lái)定義哪些包將被認(rèn)為是敏感信息，并將由這些安全隧道傳送。并且通過(guò)指定這些隧道的參數(shù)來(lái)定義用于保護(hù)這些敏感的參數(shù)。然后，當(dāng)IPSec看到這樣的一個(gè)敏感包時(shí)，它將建立起相應(yīng)的安全隧道，通過(guò)這隧道將這份數(shù)據(jù)包傳送給遠(yuǎn)端同位體。

7．TACACS+的作用？
TACACS+是一種安全應(yīng)用程序，它為用戶獲得對(duì)路由器或網(wǎng)絡(luò)訪問(wèn)服務(wù)器的訪問(wèn)提供集中化的驗(yàn)證。TACACS+服務(wù)在TACACS+后臺(tái)程序的數(shù)據(jù)庫(kù)中進(jìn)行維護(hù)，這種后臺(tái)程序典型地運(yùn)行在UNIX或WindowsNT工作站上。在為網(wǎng)絡(luò)訪問(wèn)服務(wù)器配置的TACACS+特性可用之前，必須能夠訪問(wèn)并配置TACACS+服務(wù)器。

8．CiscoIOS軟件支持哪幾種授權(quán)類型？
1）EXEC授權(quán)—適用于與用戶EXEC終端對(duì)話相關(guān)的屬性。
2）命令授權(quán)—適用于用戶發(fā)出的EXEC模式命令。命令授權(quán)試圖給所有的EXEC模式命令使用指定的特權(quán)級(jí)別授權(quán)。
3）網(wǎng)絡(luò)授權(quán)—適用于網(wǎng)絡(luò)連接，包括PPP,SLIP或ARAP連接。

9．CiscoIOS在網(wǎng)絡(luò)上管理記帳？
在網(wǎng)絡(luò)上管理記帳的命令。使用記帳管理可以跟蹤單個(gè)用戶使用的網(wǎng)絡(luò)資源和群組用戶的網(wǎng)絡(luò)資源。使用AAA記賬功能，不僅可以跟蹤用戶所訪問(wèn)的服務(wù)，還可以跟蹤他們所消耗的網(wǎng)絡(luò)資源的數(shù)量。

10．Kerberos的作用？
Kerberos是秘密密鑰網(wǎng)絡(luò)認(rèn)證協(xié)議，使用數(shù)據(jù)加密標(biāo)準(zhǔn)加密算法進(jìn)行加密和認(rèn)證。Kerberos是為對(duì)網(wǎng)絡(luò)資源的請(qǐng)求進(jìn)行認(rèn)證而設(shè)計(jì)的。與其他秘密密鑰系統(tǒng)一樣，Kerberos基于可信任的第三方概念，這個(gè)第三方對(duì)用戶和服務(wù)執(zhí)行安全認(rèn)證。

11．鎖定和密鑰的作用？
鎖定和密鑰是一種流量過(guò)濾安全特性，它動(dòng)態(tài)過(guò)濾IP協(xié)議流量。鎖定和密鑰是使用IP動(dòng)態(tài)擴(kuò)展訪問(wèn)列表進(jìn)行配置的，它可以與其他標(biāo)準(zhǔn)訪列表或靜態(tài)訪問(wèn)列表結(jié)合起來(lái)一起使用。

12．CiscoSecureScanner的作用？
CiscoSecureScanner是一種企業(yè)級(jí)的軟件工具，提供卓越的網(wǎng)絡(luò)系統(tǒng)識(shí)別，革新性數(shù)據(jù)管理，靈活的用戶定義脆弱性規(guī)則，全面的安全報(bào)告功能以及Cisco24*7的全球支持。

13．CiscoSecurePolicyManager的作用？
CiscoSecurePolicyManager是一個(gè)用于Cisco放火墻，IPSec虛擬網(wǎng)關(guān)路由器和入侵檢測(cè)系統(tǒng)Sensor的強(qiáng)大，可伸縮的安全政策管理系統(tǒng)。

14．Cisco安全入侵檢測(cè)系統(tǒng)的作用？
Cisco安全入侵檢測(cè)系統(tǒng)可以為企業(yè)和服務(wù)提供商網(wǎng)絡(luò)提供一系列高性能的安全監(jiān)視監(jiān)控方案。

15．CiscoSecure訪問(wèn)控制服務(wù)器的作用？
CiscoSecure訪問(wèn)控制服務(wù)器是為了解決Internet和所有共用的，專用的網(wǎng)絡(luò)或外部企業(yè)網(wǎng)等網(wǎng)絡(luò)的快速發(fā)展為用戶如何對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，授權(quán)和記費(fèi)提出的安全方面的具體解決工具。

16．CiscoIos防火墻的作用？
CiscoIos防火墻為每一個(gè)網(wǎng)絡(luò)周邊集成了穩(wěn)健的放火墻功能性和入侵檢測(cè)，豐富了Cisco軟件的安全功能。

17.PIX防火墻的關(guān)于license信息。
PIX防火墻的license有Unrestricted,Restricted,andFail-Over三種配置。這些基本的配置都可以用VPNDES和3DES來(lái)加強(qiáng)安全性。Unrestricted—操作在UR模式下的PIX防火墻允許支持最大數(shù)目的接口和最大可支持的內(nèi)存。UR的License支持熱備份冗余，最小化down網(wǎng)絡(luò)的時(shí)間。Restricted—操作在R模式下的PIX防火墻限制支持的接口數(shù)和支持的內(nèi)存大小。限制的許可特性提供對(duì)那些小網(wǎng)絡(luò)的應(yīng)用價(jià)格優(yōu)化的防火墻方案。限制的許可特性不支持冗余的FO特性。Fail-Over—操作在FO模式下的PIX防火墻跟另一臺(tái)帶UR許可證的防火墻協(xié)同工作，提供一個(gè)熱冗余備份的結(jié)構(gòu)。FO許可證提供基于狀態(tài)的容錯(cuò)特性，從而使能高可用性的網(wǎng)絡(luò)結(jié)構(gòu)。在FO模式下的PIX防火墻維護(hù)跟主放火強(qiáng)完全一樣的連接實(shí)時(shí)狀態(tài)，從而最小化因?yàn)樵O(shè)備或網(wǎng)絡(luò)失敗而引起的連接失敗。UR和FO的許可證有完全一樣的特征和性能指數(shù)。UR和FO的防火墻中間需要Fail-over的電纜線。當(dāng)前的PIX防火墻是基于特性集的許可證，這類許可秘匙限定哪些特性可用，哪些特性不可用。以前的PIX放火墻支持基于連接數(shù)的秘匙系統(tǒng)，它是限定PIX放火墻支持的最大連接數(shù)。為了統(tǒng)一和易于管理的目的，當(dāng)前的PIX防火墻都支持基于特性集的許可證。