一、题目
如图所示:两台主机之间使用IPSec VPN传输数据,为了隐藏真实的IP地址和尽可能高地保证数据的安全性,则使用IPSec VPN的哪种模式和协议封装较好?
A. AH
B. 隧道模式
C. 传输模式
D. ESP
二、答案
BD
三、解析
隧道模式(Tunneling)是将数据包封装在一个隧道中,通过另一个隧道进行传输。在这种模式下,数据被封装在一个隧道中,并且可以在隧道内部进行加密和解密操作。这种模式的优点是可以提供更高的安全性,因为它可以保护数据免受网络攻击者的窃听或篡改。此外,隧道模式还可以实现多个用户之间的安全连接,例如远程办公、远程会议等。
传输模式(透明的)则是将数据直接传输到目的地,不进行任何加密和解密操作。在这种模式下,数据在网络上以明文形式传输,容易被网络攻击者截获。因此,传输模式通常只用于一些特定的应用场景,如远程监控等。
AH协议是一种身份验证协议,主要用于数据完整性验证和身份验证。它的优点是可以提供强大的数据完整性保护,但是它不提供加密功能,因此无法保证数据的机密性。
ESP协议是一种加密协议,主要用于数据加密和身份验证。它的优点是可以提供机密性保护,但是它的验证范围不包括IP头,除非IP头被封装在ESP内部(采用隧道模式封装报文时的旧IP头),其安全性不如AH。
所以根据以上推测答案选择BD
四、扩展 — IPSEC VPN
IPsec(Internet Protocol Security)是一组网络协议,用于保护IP数据包在网络中的安全传输。其中,IPsec的传输模式(Transport Mode)是一种加密方式,它提供了端到端的数据保护。
在IPsec传输模式中,只有IP数据包的有效负载(Payload)部分被加密,而最外层的一个IP首部部分仍保持原样。这种方式适用于主机到主机的通信,主要用于保护主机之间的通信数据。
传输模式长用在GRE Over IPSec模型下,GRE负责隧道打通,IPSEC负责完成数据加密:
数据转发流程如下
- 企业分支PC要发送数据包到企业总部PC。结构[IP(PC的IP地址)][数据]
- 数据到达分支企业出口将原始数据包封装为GRE数据包。GRE头部,新的公网IP含源IP地址、目标IP地址和GRE协议类型。
[GRE]+[IP(GRE公网地址)]+[IP(PC的IP地址)][数据] - 发送端将封装后的GRE数据包发送到本地IPsec设备。
- 本地IPsec设备收到GRE数据包后,根据IPsec配置进行安全处理。
- IPsec传输模式对GRE数据包进行加密处理,生成加密后的IPsec数据包,且加密部分只有PC间地址和数据信息部分进行加密。通过GRE over IPsec,可以在不安全的公共网络上建立安全的隧道,保护数据包的机密性和完整性。GRE协议负责封装和解封装原始数据包,IPsec协议负责对数据包进行加密和解密,确保数据的安全传输。这种组合提供了一种可靠的方式,用于在跨越不可信网络的两个网络节点之间进行安全的数据通信。