第10章 虚拟网络的组建和应用课后习题答案
(自己整理的,仅供参考)
1、VPN服务器必须已经联入Internet,并拥有合法IP地址
2、虚拟专用网是对企业内部网的扩展
3、作为路由器和远程访问服务器的计算机,必须安装(2)块网卡,分别连接内部企业网和Internet,否则第一步之后的操作将无法完成。
4、为了确保连接后的VPN网络能同VPN服务器原有局域网正常通信,它们必须同VPN服务器的(IP地址)处在同一网段中
5、VPN的关键技术有哪些:
密码技术和访问控制技术
6、VPN与Internet的区别是什么
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
VPN网关是实现局域网(LAN)到局域网连接的设备。从字面上我们就能够知道它可以实现两大功能:VPN和网关。广义上讲,支持VPN(虚拟专用网)的路由器和防火墙等设备都可以算作VPN网关。目前常见的VPN网关产品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。
7、internet,intranet,extranet这三个网络术语的含义是什么?有哪些内在联系和区别?
“Internet”是“因特网”的同义词。由于许多小的网络(子网)互联而成的一个逻辑网,每个子网中连接着若干台计算机(主机)。Internet以相互交流信息资源为目的,基于一些共同的协议,并通过许多路由器和公共互联网而成,他是一个信息资源和资源共享的集合。计算机网络只是传播信息的载体,而INTERNET的优越性和实用性则在于本身。
Intranet又称为企业内部网,是Internet技术在企业内部的应用。它实际上是采用Internet技术建立的企业内部网络,它的核心技术是基于Web的计算。Intranet的基本思想是:在内部网络上采用TCP/IP作为通信协议,利用Internet的Web模型作为标准信息平台,同时建立防火墙把内部网和Internet分开。当然Intranet并非一定要和Internet连接在一起,它完全可以自成一体作为一个独立的网络。
“Extranet”英语翻译-外联网有关准确的Extranet定义还在讨论中,但大多数人都能接受的Extranet的定义是:Extranet是一个使用 Internet/Intranet技术使企业与其客户和其它企业相连来完成其共同目标的合作网络。Extranet可以作为公用的Internet和专用的Intranet之间的桥梁,也可以被看作是一个能被企业成员访问或与其它企业合作的企业Intranet的一部分。
8、VPN主要应用于哪些领域
VPN技术广泛的应用于国家国防军队通信和远程指挥网络平台的搭建;应用于企业网Itranet、远程访问、企业外部网Extranet、企业内VPN网络的建设;应用于网络游戏领域中基于VPN网络游戏大型网络平台的实施;应用于电子商务领域中公司、分公司于顾客间应用平台的建设;同时随着教育领域资源共享的开放性程度逐渐扩大,VPN技术也更为广泛的应用于教育事业、校园网建设等网络的建设;甚至在未来的发展中也将更为广泛的应用于可提供更加安全的、速度更快的、易用性更好的连接平台的无线网络
9、VPN如何保证安全
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、 加解密技术(Encryption &Decryption)、密钥管理技术(Key Management)、 使用者与设备身份认证技术(Authentication)。
1、隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道), 让数据包通过这条隧道传输。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、 安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2、加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3、密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则, 在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4、身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
10、 连接VPN需要注意哪些事项
堵住安全漏洞
安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。
但是,如果一个企业的VPN需要扩展到远程访问时,就要注意, 这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为, 远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间, 但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。
但是,企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管理员认为, 为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的,这里有些给远程工作人员的实际解决方法:
* 所有远程工作人员必须被批准使用VPN;
* 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;
* 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;
* 监控安装在远端系统中的软件,并将其限制只能在工作中使用;
* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;
* 外出工作人员应对敏感文件进行加密;
* 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;
VPN做为一种选程访问的实现方式是相对安全的,记着牢记“相对”,在网络上没有决对安全的东西,如果有美国的军方、政府、全安部门每年不会被人家攻破了。企业对网络安全的投入跟安全是成正比的,你投10W安全性只有70%,100W就80%了,1000W就90了,1Y就95了,10Y就98了,但决没有100%的,这主要是信息对一个企业的重要性,如果网络安全对企业(尤其是中小企业)真是致命性的,就别放到网上了