当前位置:文档之家 › 思科网络学院网络安全(CCNA ) - CCNAS 第8章)

思科网络学院网络安全(CCNA ) - CCNAS 第8章)

  • 格式:docx
  • 大小:40.46 KB
  • 文档页数:8

下载文档原格式

  / 8

合集下载

第八章 网络安全管理.ppt

第八章 网络安全管理.ppt
刺探秘密者的企图非常明确,它通过非法手段侵入他人 计算机系统,以窃取商业秘密与个人资料。
威胁
授权侵犯 旁路控制 拒绝服务
窃听 电磁/射频截获
人员疏忽 信息泄露 完整性破坏 截获/修改
假冒 媒体清理 物理侵入
重放 否认 资源耗尽 服务欺骗 窃取 通信量分析 陷门
特洛伊木马
描述
为某一特定的授权使用一个系统的人却将该系统用做其他未授权的目的 攻击者发掘系统的缺陷或安全脆弱性 对信息或其他资源的合法访问被无条件地拒绝,或推迟的操作 信息从被监视的通信过程中泄露出去 信息从电子或机电设备所发出的无线射频中被提取出来 一个授权的人为了金钱或利益或由于粗心将信息泄露给一个未授权的人 信息被泄露或暴露给某个未授权的实体 通过对数据进行未授权的创建、修改或破坏,使数据的一致性受到损害 某一通信数据项在传输过程中被改变、删除或替代 一个实体(人或系统)假装成另一个不同的实体 信息被从废弃的或打印过的媒体中获得 一个入侵者通过绕过物理控制而获得对系统的访问 出于非法的目的而重新发送所截获的合法通信数据项的备份 参与某次通信交换的一方,事后错误地否认曾经发生过此次交换 某一资源(如端口)被故意超负荷地使用,导致其他用户的服务被中断 某一伪系统或系统部件欺骗合法的用户,或系统自愿地放弃敏感信息 某一安全攸关的物品,如令牌或身份卡被盗 通过对通信量的观察(有、无、数量、方向、频率)而造成信息泄露 将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入 数据时,允许安全 策略被违反 含有察觉不出或无害程序段的软件,当它被运行时,会损害用户的安全
3. 监测型(状态检测防火墙)
监测型防火墙是新一代的产品,监测型防火墙能够对各层的数据进行主动 的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够 有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还 带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节 点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破 坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中, 有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统 防火墙的定义,而且在安全性上也超越了前两代产品。

计算机网络第8章

计算机网络第8章

c = m e mod n
2. 接收方为了对收到的密文报文c解密, 则需计算
m = c d Βιβλιοθήκη od nm = (m e mod n) d mod n
c
8: 网络安全 8-19
RSA 例子:
Bob选择
p=5, q=7 那么 n=35, z=24 e=5 (因为5和24没有公因数) d=29 (因为5*29-1可以被24整除)
8: 网络安全
8-7
第八章 内容大纲
8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 什么是网络安全? 密码学的原理 鉴别 完整性 密钥分发和认证 访问控制: 防火墙 攻击和对策 多个层次中的安全性
8: 网络安全 8-8
密码技术
Alice的 K 加密密钥 A 明文 加密 算法 密文 Bob的 K 解密密钥 B 解密 算法 明文
明文: bob. i love you. alice 密文: nkn. s gktc wky. mgsbc
Q: 破解这种简单密码方案的难易程度: 穷举法 其它方法
8: 网络安全 8-10
对称密钥密码学
KA-B
明文 报文, m
KA-B
密文 K
A-B
加密 算法
(m)
解密 算法
明文
m=K
A-B
( KA-B(m) )
对称密钥技术: 发送方和接收方的密钥是相同的 公钥技术: 加密密钥双方均知, 解密密钥仅一方知道
8: 网络安全
8-9
对称密钥密码学
置换密码: 用一种东西替换另一种东西

单码代替密码: 用一个字母替换另一个字母 明文: abcdefghijklmnopqrstuvwxyz 密文: mnbvcxzasdfghjklpoiuytrewq 例如:

Discovery_Home_SB_Chapter_8_CN

Discovery_Home_SB_Chapter_8_CN

22
8.3.1 常用安全措施
安全风险无法彻底消除或预防。但有效的风险管理和评估 可显著减少现有的安全风险。要将风险降至最低,人们必 须认识到一点:没有任何一件产品可为组织提供绝对的安 全保护。要获得真正的网络安全,需要结合应用多种产品 和服务、制定彻底的安全策略并严格实施该策略。
安全策略:
思科网络技术学院理事会.

11
8.1.3 社会和网络钓鱼
语音网络钓鱼/电话网络钓鱼
一种使用 IP 语音 (VoIP) 的新式社会工程被称为“语音 网络钓鱼”(vishing)。在语音网络钓鱼攻击中,用户会 收到一封语音邮件,邮件中指示他们拨打一个看上去像 是正规电话银行服务的电话号码。随后,没有设防的用 户拨打该号码时,通话会被窃贼截听。为了进行确认而 通过电话输入的银行帐户号码或密码便被攻击者窃取。
2
内容索引
8.1 网络威胁
8.2 攻击方式 8.3 安全策略
8.4 使用防火墙
思科网络技术学院理事会.

3
8.1.1 网络入侵者
计算机网络中,不速之客的入侵可能导致代价高昂的网 络中断和工作成果的丢失。针对网络的攻击有时具有相 当的破坏性,可能造成重要信息或资产的损坏或失窃, 导致时间上和金钱上的损失。 入侵者可通过软件漏洞、硬件攻击甚至一些科技含量很 低的方法(例如猜测某人的用户名和密码)来获得对网 络的访问权。通过修改或利用软件漏洞来获取访问权的 入侵者通常被称为黑客。
思科网络技术学院理事会.

4
8.1.1 网络入侵者
一旦黑客取得网络的访问权,就可能给网络带来以下四种 威胁:信息盗窃、身份盗窃、数据丢失/操纵、服务中断
思科网络技术学院理事会.

网络安全技术与实践第8章 (2)数据库安全

网络安全技术与实践第8章 (2)数据库安全

数据库一般有三种安全保护措施
① 用户的身份认证管理 ② 数据库的使用权限管理 ③ 数据库中对象的使用权限管理
身份认证管理与安全机制 权限管理(授权、角色) 视图访问 审计管理
二、数据库安全策略和机制
1. 安全策略
① 管理规章制度方面的安全性。例如,SQL Server系统在使用 中涉及企事业机构的各类操作人员,为了确保系统的安全,应 着手制定严格的规章制度,在使用业务信息系统时执行标准的 操作流程。
数据库安全的主要威胁
① 法律法规、社会伦理道德和宣传教育等问题。 ② 政策、制度及管理问题。 ③ 硬件和操作系统等软件问题。 ④ 数据库系统本身的缺陷和隐患带来的安全性问题。
安全性基本内涵
1. 保密性
① 用户标识与鉴别 ② 存取控制 ③ 数据库加密 ④ 审计 ⑤ 备份与恢复 ⑥ 推测控制与隐私保护
SQL Server 身份认证模式 1
Windows身份验证模式
使用Windows操作系统的安全机制,用户只 需 通 过 Windows 验 证 , 即 可 连 接 到 SQL Server而不再进行身份验证。
2
混合身份验证模式
Windows身份验证和SQL server验证都可用 。对于可信任连接用户,系统直接采用
同样,U6还可以将此权限授予U7:
例7:GRANT INSERT ON TABLE SC TO U7; 注意:U7不能再往下传递权限了。
(2)收回权限 —— 所有授予出去的权力在必要时又都可用REVOKE语句收回 基本语法:
REVOKE:授予的权限可以由DBA或其他授权者用REVOKE语句收回
—— 包括访问控制与身份认证、存取控制、审计、数据加密、视 图机制、特殊数据库的安全规则等。

思科CCNA考试答案(全)

思科CCNA考试答案(全)

CCNA思科考试答案(全)第 1 章考试1一家拥有10 名员工的小型公司使用单个LAN 在计算机之间共享信息。

哪种类型连接适合此公司?由当地电话服务提供商提供的拨号连接能够使公司方便且安全地连接员工的虚拟专用网络通过当地服务提供商建立的私有专用线路通过当地服务提供商提供的宽带服务(如DSL)答案:4解析:对于这种小型办公室,比较适合通过被称为数字用户线路(DSL) 的常见宽带服务实现Internet 连接,这种服务由当地的电话服务提供商提供。

由于员工人数很少,带宽的问题并不突出。

如果公司较大,在远程站点有分支机构,则专用线路会更加适合。

如果公司员工需要通过Internet 与公司联系,则采用虚拟专用网。

2哪种网络情况需要使用WAN?员工工作站需要获取动态分配的IP 地址。

员工在出差时需要通过VPN 连接到公司电子邮件服务器。

分支机构的员工需要与同一园区网络上的另一座建筑物内的公司总部共享文件。

员工需要访问托管在其建筑物内DMZ 中的公司Web 服务器上的网页。

答案:2解析:当出差的员工需要通过WAN 连接到公司电子邮件服务器时,VPN 将通过WAN 连接在员工笔记本电脑与公司网络之间创建一个安全隧道。

通过DHCP 获取动态IP 地址是LAN 通信的功能。

在企业园区的不同建筑物之间共享文件可通过LAN 基础设施来实现。

DMZ 是企业LAN 基础设施内一个受保护的网络。

3以下哪项描述了WAN 的特征?WAN 和LAN 在同一地理范围内运行,但有串行链路。

WAN 网络归运营商所有。

所有串行链路均被视为WAN 连接。

WAN 可提供到园区主干网的终端用户网络连接。

答案:2解析:WAN 可用于将企业LAN 互连到远程分支机构站点LAN 和远程工作人员站点。

WAN 归运营商所有。

虽然WAN 连接一般通过串行接口实现,但并不是所有串行链路均连接至WAN。

LAN(而非WAN)可在组织中提供终端用户网络连接。

4电路交换WAN 技术的两个常见类型是什么?(请选择两项。

计算机网络-第八章-网络安全

计算机网络-第八章-网络安全
破译密文的代价超过信息本身的价值 破译密文所需的时间超过信息的有效生命期
现代密码学中,密码的安全性是通过算法的复杂 性和密钥的长度来保证的。
加密算法的分类
依据加密密钥与解密密钥是否相同,分为:
对称加密算法:加密密钥与解密密钥相同,解密算法是加密算法的
逆过程。也称秘密密钥算法或常规加密算法。 非对称加密算法:加密密钥与解密密钥不同,且从加密密钥无法推
对付被动攻击的最好方法是预防而不是检测,如 可用加密来保护正在传输的信息,通过制造一些虚 假的流量来防止流量分析。
安全攻击(续)
主动攻击:
试图改变系统资源或影响系统的操作。 四种类型:
伪装:一个实体假冒另一个实体。 重放:从网络中被动地获取一个数据单元,经过一段时间后 重新发送到网络中。 消息修改:改变消息的部分内容、推迟发送消息或改变消息 的发送顺序。 拒绝服务:阻止通信设施的正常使用或管理。
数据起源鉴别
数据完整性检查 将消息鉴别与数据保密相分离:
发送者用明文发送消息,并在消息后面附上一个标签,允许接收 者利用这个标签来鉴别消息的真伪。
消息鉴别的实现
消息鉴别标签必须能够验证消息的完整性,并且是可信的, 即不可能被伪造。 消息的完整性可用消息的数字指纹(消息摘要)来保护:
每个希望接收秘密报文的用户生成一对加密密钥和解密密钥,并 将加密密钥放在一个公开的文件中发布。
当A希望向B发送一个加密报文P时,A从公开的文件中查到B的加 密密钥,用B的加密密钥加密报文P,发送给B。 B用自己的解密密钥解密报文。
公开密钥和私有密钥:
公开密钥:即加密密钥,由其他人用来发送加密信息。
加密模型
密码学的基本原则:必须假设破译者知道加密与解密的方 法。因而算法是稳定和公开的,只有密钥是保密的。

第8章计算机网络安全与管理技术正式版PPT文档

信息加密技术
数据加密过程就是通过加密系统把原始的数字信息(明文),按照加 密算法变换成与明文完全不同的数字信息(密文)的过程。
数字签名技术
对文件进行加密只解决了传送信息的保密问题,而防止他人对传输的 文件进行破坏,以及如何确定发信人的身份还需要采取其它的手段, 这一手段就是数字签名。
网络攻击与网络病毒
而NDS则使用了一个运行●于NNetWimared核a心病协议毒之上的,类似于X.
● 震荡波病毒
RMON分为嵌入式和分布式两种:
RMON I及RMON Ⅱ在7层模型中的层次
破坏计算机安全的途径
●活动目录与Novell目录服务的区别
这种方案采用了一种所谓的“数据包过滤”技术,即检查到达路由器的外部数据包并作出选择的技术。
● CIH病毒
要求所有的内部主机都要有正确分配的地址。
● Netsky病毒
红色代码病毒 ●●W活i动nd目ow录s 的NT名4字中空域间之是间●层的次信结任构关的系;必须手工定义;
● 冲击波病毒
受控存取保护级,实施比C1级更精细的自主访问控制
这样,子网的安全就要完●全依红靠于色各代个主码机,II并且要求各个主机有相同●的安冲全度击。波杀手病毒
信息平安技术
PKI(Public Key Infrastructure,意为“公钥基础设 PKI技术就是利用公钥理论和技术施建”立)的提供信息安全服务的基础设施, 是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。
CA(Certificate Authority)认证技术 在电子商务中,必须从技术上保证在交易过程中能够实现:身份认证、 安全传输、不可否认性、数据一致性。CA证书认证技术采用了加密 传输和数字签名技术,能够实现上述要求。

CCNAITN第8章考试(供参考)

1文档收集于互联网,已整理,word 版本可编辑.ITN 第 8 章考试1 IPv4 地址由多少位组成?正确响应 您的 响应3264128256 IPv4 地址由 4 个二进制八位数组成,每个数字包含 8 个位,从而构成一个 32 位地址。

此试题参考以下领域的内容:Introduction to Networks• 8.1.1 IPv4 地址结构2 下列哪两项是 IPv4 地址的组成部分?(请选择两项。

) 正确响应 您的 响应子网部分2文档收集于互联网,已整理,word 版本可编辑.网络部分逻辑部分主机部分物理部分广播部分 IPv4 地址分为两个部分:网络部分 - 用于识别主机所在的特定网络,主机部分 - 用于识别网络中的特定主机。

子网掩码用于识别各个部分的长度。

此试题参考以下领域的内容:Introduction to Networks• 8.1.2 IPv4 子网掩码3 子网掩码 255.255.255.224 的前缀长度计数法是什么?正确响应您的 响应/25/26/27/28255.255.255.224 的二进制格式为 ...。

前缀长度是指子网掩码中连续的 1 的个数。

因此,前缀长度为/27。

此试题参考以下领域的内容:Introduction to Networks•8.1.2 IPv4 子网掩码4一条消息发送到远程网络上的所有主机。

它是哪种消息类型?正确响应您的响应有限广播组播定向广播单播定向广播是将消息发送到特定网络中的所有主机。

它适用于将广播发送到非本地网络中的所有主机。

组播消息是将消息发送到订阅组播组中的一组选定主机。

有限广播只限于将消息发送到本地网络中的主机。

单播消息是将消息从一台主机发送到另一台主机。

此试题参考以下领域的内容:Introduction to Networks•8.1.3 IPv4 单播、广播和组播3文档收集于互联网,已整理,word版本可编辑.5下列哪两种说法描述了第3 层广播的特征?(请选择两项。

计算机网络第8章 计算机网络安全与管理-课件

13
3.报文鉴别


8.1.3 网络安全的技术体系
4.CA认证

密钥管理是密码学中一个重要的分支,密钥分配又是密钥管 理中最大的问题。密钥分配根据密钥的不同分为对称密钥分 配和非对称密钥分配两种。CA(Certification Authority)认 证中心则是对非对称密钥进行分配认证的权威机构。 防火墙是建立在内外部网络之间的一种设备,主要起到访问 控制的作用。它严格控制进出网络边界的信息,只允许那些 授权的数据通过,防止内外部网络之间非法传递信息。 同时,它也阻止未经许可的用户访问内部网络。作为内部网 络和外部网络之间的安全屏障,防火墙目前使用的技术主要 有包过滤技术和代理服务技术等。

12
8.1.3 网络安全的技术体系
2.数据签名

数字签名是在加密技术的基础上,由发送方通过公钥密 码技术对传送的报文进行处理,产生其他人无法伪造的 密文,这个密文用来认证报文的来源并核实报文是否发 生了变化,防止发送者的抵赖行为。 报文鉴别是用来确定报文的确是由报文发送者发送的, 而不是其他冒充者伪造或篡改的。 通过报文鉴别可以使通信的接收方能够验证所接收报文 的来源和真伪,报文鉴别通过对报文摘要进行数字签名 达到鉴别目的。
7

8.1.1 网络安全威胁

对于主动攻击,由于信息的真实性和完整性遭 到了破坏,可以采取适当的措施对其加以检测, 并采用加密、鉴别反拒认和完整性技术来对付; 而对于被动攻击,通常检测不出来,因此需要 采用各种数据加密技术以防止数据被盗用或分 析。

8
8.1 网络安全概述
8.1.2 网络安全的目标和内容
1)可用性 授权的合法用户在其需要时可正常访问数据, 即不允许攻击者占用网络资源而阻碍授权用户的访问。 2)保密性 通过数据加密技术,确保信息不泄露给未授 权的实体或进程。 3)完整性 通过完整性鉴别机制,能够保证只有得到允 许的用户才能对数据进行修改,并且能够检测出收到的 数据在传输过程中是否被篡改。 4)不可抵赖性 又称不可否认性,是指使用审计、监控、 防抵赖等安全机制,通过数据签名、报文鉴别等方法, 防止交易双方否认或抵赖曾经完成的操作和承诺。

计算机网络第8章网络安全

第8章 网络安全 8.1概述 8.1.1网络安全的重要性 1. 网络经济业务容易引入恶意攻击 2. 网络安全是Internet的一个薄弱环节 3. 攻击者很容易进入开放的Internet进行非法网络活动

8.1.2网络攻击和网络安全服务 1. 网络攻击 2. 网络安全结构SA

8.2两种密码体制

8.2.1密码学基础 1. 相关术语 2. 早期的密码体制 3. 现代密码体制 4. Kerckoff原则 5. 穷举攻击和计算上不可破译

8.2.2对称密钥密码体制与公开密钥密码体制 1. 对称密钥密码体制 计算机网络(第3版) 图8.1对称密钥密码体制 2. 公开密钥密码体制

图8.2公开密钥密码体制 3. 应用场合

8.2.3对称密钥密码体制的经典算法DES 1. DES算法 计算机网络(第3版) 图8.3DES加密算法

图8.4初始置换和逆置换 图8.5扩展变换E() 图8.6S1() 计算机网络(第3版) 图8.7P()置换 图8.8置换 2. DES算法的发展

图8.9DES-CBC加密解密过程 3. 对称密钥密码体制的其他算法 计算机网络(第3版) 8.2.4公开密钥密码体制的经典算法RSA

1. RSA算法 2. RSA算法示例

3. 实用中的密钥长度 8.3数字签名和报文摘要

8.3.1数字签名 1. 数字签名的特点 2. 基于公开密钥算法的数字签名 计算机网络(第3版) 图8.10采用公开密钥算法的数字签名 3. 加密的数字签名

8.3.2报文摘要 1. 报文摘要产生的背景 2. 报文摘要及其特点 3. 使用报文摘要的数字签名

图8.11使用报文摘要的数字签名 4. MD5和SHA-1 计算机网络(第3版) 8.4身份认证和密钥分发

8.4.1概述 1. 身份认证 2. 密钥分发

8.4.2基于对称密钥的身份认证和密钥分发 1. 密钥分发与密钥分发中心 2. 基于对称密钥的身份认证和密钥分发机制

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

使用VPN 确保私有数据传输需要哪种技术?

可扩展性

虚拟化

加密

授权
2
哪种类型的站点间VPN 使用受信任组成员来消除组成员之间的点到点IPsec 隧道?
GRE

DMVPN

MPLS

GETVPN
3
必须允许哪三个协议通过公司防火墙,以建立IPsec 站点间VPN?(选择三项。

)
NTP

HTTPS

AH

ISAKMP

ESP

SSH
4
NAT-T 的目的是什么?

当VPN 的一端或两端使用NAT 时允许VPN 正常工作

允许为IPv6 地址使用NAT

为基于PC 的VPN 客户端启用NAT

为IPv4 升级NAT
 请参见图示。

路由器如何处理与访问列表101 定义的流量不匹配的流量?
它将以未加密的方式发送。


它将被丢弃。


它将被加密发送。


它将被阻止。

导航条
6
以下哪两项是对IPsec 特征的准确描述?(选择两项。



IPsec 在网络层运行,并涵盖所有第2 层协议。


IPsec 在传输层工作,并保护网络层的数据。


IPsec 是依赖于现有算法的开放标准框架。


IPsec 在应用程序层工作,并保护所有应用程序数据。


IPsec 是依赖于思科特定算法的专有标准框架。


IPsec 是思科开发的标准框架,依赖于OSI 算法。

7
下列哪项是对VPN 的正确描述?

VPN 使用开源虚拟化软件通过互联网创建隧道。


VPN 使用虚拟连接通过公共网络创建专用网络。


VPN 使用专用物理连接在远程用户之间传输数据。

VPN 使用逻辑连接通过互联网创建公共网络。

8
在创建IPsec 隧道时,定义需要关注的流量需要什么?

访问列表

散列算法

安全关联

转换集
9
如果使用IPsec VPN 隧道连接两个站点,何时会创建安全关联(SA)?
仅在第1 阶段期间

在第1 阶段和第2 阶段都创建

仅在第2 阶段期间

创建隧道后,发送流量之前
导航条
10
下列哪个术语描述了接口接收的VPN 流量被路由回同一接口的情况?
拆分隧道

发夹(Hairpinning)

MPLS

GRE
11
请考虑思科ASA 上的以下配置:
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
此命令的用途是什么?

定义用于建立隧道的ISAKMP 参数

定义用于构建IPsec 隧道的加密和完整性算法

仅定义允许的加密算法

定义允许通过隧道且受隧道保护的流量
导航条
12
 请参见图示。

哪种HMAC 算法用于提供数据完整性?

DH

MD5

SHA

AES
13
Diffie-Hellman 算法在IPsec 框架内的功能是什么?

保证消息完整性

允许对等体交换共享密钥

提供认证

提供强大的数据加密
导航条
14
IPsec VPN 隧道必须允许哪两个协议才能正常运行?(选择两项。

)
500

50

501

169

168

51
15
IPsec 对等体在IKE 第2 阶段交换期间采取哪些操作?

验证对等体的身份

协商IPsec 策略

协商IKE 策略集

交换DH 密钥
导航条
16
 请参见图示。

哪一对crypto isakmp key 命令能在两台路由器上正确配置PSK?
R1(config)# crypto isakmp key cisco123 address 209.165.200.227
R2(config)# crypto isakmp key cisco123 address 209.165.200.226

R1(config)# crypto isakmp key cisco123 address 209.165.200.226
R2(config)# crypto isakmp key cisco123 address 209.165.200.227

R1(config)# crypto isakmp key cisco123 address 209.165.200.226
R2(config)# crypto isakmp key secure address 209.165.200.227

R1(config)# crypto isakmp key cisco123 hostname R1
R2(config)# crypto isakmp key cisco123 hostname R2
导航条
17
以下哪三项是对IPsec 协议框架的描述?(选择三项。



AH 使用IP 协议51。


AH 提供完整性和认证。


AH 提供加密和完整性。


ESP 要求认证和加密。


ESP 使用UDP 协议50。


ESP 提供加密、认证和完整性。

导航条
18
 请参见图示。

哪种算法可用于提供保密性?

RSA

Diffie-Hellman

AES

DES
19
以下哪项陈述描述了密钥长度对阻止攻击者通过加密密钥进行攻击的影响?
密钥长度在加密算法之间不会变化。


密钥越短,越难破解。


密钥越长,存在的密钥可能性越多。


密钥长度不会影响安全程度。

20
以下哪项陈述准确描述了IPsec 的特征?

IPsec 是依赖于现有算法的开放标准框架。


IPsec 在传输层工作,并保护网络层的数据。


IPsec 是思科开发的标准框架,依赖于OSI 算法。


IPsec 在应用程序层工作,并保护所有应用程序数据。


IPsec 是依赖于思科特定算法的专有标准框架。

导航条
21
哪种转换集提供最佳的保护?

crypto ipsec transform-set ESP-DES-SHA esp-3des esp-sha-hmac

crypto ipsec transform-set ESP-DES-SHA esp-aes-256 esp-sha-hmac

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac

crypto ipsec transform-set ESP-DES-SHA esp-aes esp-des esp-sha-hmac 导航条
22
哪种协议提供身份认证、完整性和保密性服务,且是一种VPN?
ESP

IPSec

AES

MD5
23
远程访问VPN 的重要特征是什么?

VPN 连接由远程用户启动。


建立VPN 所需的信息必须保持不变。


内部主机不知道VPN。


远程设备之间的VPN 配置完成相同。

导航条
24
在远程站点之间构建VPN 连接时,配置多个加密ACL 的目的是什么?

多个加密ACL 可以定义多个远程对等体,以便通过互联网或网络连接启用VPN 的路由器。

当选择多种IPsec 保护组合时,多个加密ACL 可以定义不同的流量类型。


通过在公共接口上应用ACL,可以构建多个加密ACL,以防止公共用户连接到启用VPN 的路由器。


可以配置多个加密ACL,以阻止特定网络流量通过VPN。

25
哪两个IPsec 协议用于提供数据完整性?

DH

SHA

RSA

MD5

AES。