一、多项选择题(每小题 2 分,共72 分,错选得0 分,漏选得0.5 分)
1. 下列VPN 技术中,属于第二层VPN 的有____。
A. SSL VPN
B. GRE VPN
C. L2TP VPN
D. IPSec VPN
2. 数据在Internet 上传输面临的威胁有_____。
A. 中间人攻击
B. 篡改攻击
C. 窃听攻击
D. 以上都不是
3. 以下属于非对称密钥算法的是_______。
A.RSA
B. DSA
C. DES
D. DH
4. 根据对报文的封装形式,IPsec 工作模式分为_____。
A.隧道模式
B. 主模式
C.传输模式
D.野蛮模式
5. IPsec 安全策略包括以下哪几种_______。
A. 手动配置参数的安全策略
B. 用IKE 协商参数的安全策略
C.利用GRE 自动协商方式
D. 利用L2TP 自动协商方式
6. 下列关于AH 和ESP 的说法正确的有_____。
A. AH 不能提供数据完整性保护
B. 两者都可以提供数据源验证及可选的抗重播服务
C. 两者都可以提供机密性保护
D. 两者可同时使用
7. SSL 远程接入方式包括_________ 。
A. Web 接入
B. TCP 接入
C. IP 接入
D. 手工接入
8. IKE 阶段一协商中,SA 无法建立的原因可能有(ABC )。
A. 隧道对端地址不匹配
B. 安全策略没应用到接口
C. 共享密钥不匹配
D. ACL 不匹配
9. 采用主模式进行IKE 第一阶段协商的三对消息中,哪一对消息的协商是加密进行的?
A. 双方交换协商第一阶段SA 需要的参数
B. 双方交换KE 和Nonce
C. 双方交换身份验证
信息
10. 当使用IKE 为IPSec VPN 协商密钥的时候,下列哪些属于IKE 阶段的协商内容?
A. ESP/HA
B. 主模式/ 野蛮模式
C. 使用PRE-SHAREKEY/RSA-SIG
D. 传输模式/ 隧道模式
11. IPSEC 中推荐使用的转换方式是:
A.AH
B.AH+ESP (加密)
C.ESP(验证+加密)
D.ESP(加密)
E.AH+ESP (验证+加密)
12. 对IPSEC 安全策略的配置方式是:
A.手工配置方式
B.利用IKE 协商方式
C.利用GRE 自协商方式
D.利用L2TP 自协商方式
13. 根据对报文的封装形式,IPSEC 分为:
A.传输模式
B.隧道模式
C.主模式
D.快速模式
14. IPSEC SA 和IKE SA 的主要区别是:
A.IPSEC SA 是单向的,IKE SA 是双向的
B.通道两端只有一个IKE SA ,但IPSEC SA 不止一对
C.IKE SA 没有生存期
D.IPSEC SA 有对端地址
15. 以下哪些选项可以用来唯一标识一个IPSEC SA :
A.SPI
B. 对端地址
C.安全协议号
D.本端地址
16. 如果要实现IPSEC 的防重放功能,可以使用以下哪几种转换方式:
A.AH
B.AH+ESP (加密)
C.ESP(验证+加密)
D.ESP(加密)
17. 关于IPSec(IP Security ),以下说法正确的是:(ABC )
A.IPSec 是IETF 制定的、在Internet 上保证数据安全传输的一个框架协议
B.它提供了在未提供保护的网络环境(如Internet )中传输敏感数据的保护机制
C.它定义了IP 数据包格式和相关基础结构,以便为网络通信提供端对端、加强的身份验证、完
整性、防重放和(可选)保密性 D. IPSec 是一个隧道压缩标准
18. IPSec 的安全特点包括哪些?
A.私有性
B.完整性
C.真实性
D.防重放
E.在隧道模式下,AH 协议验证全部的内部IP 报文和外部IP 头中的不变部分
19. 关于ESP 协议的说法正确的有:
A.ESP 协议将用户数据进行加密后封装到IP 包中,以保证数据的私有性
B.用户可以选择使用带密钥的Hash 算法保证报文的完整性和真实性
C. ESP 协议使用32 比特序列号结合防重放窗口和报文验证,防御重放攻击
D.在传输模式下,ESP 协议对IP 报文的有效数据进行加密
E.在隧道模式下,ESP 协议对整个内部IP 报文进行加密
20. 关于安全联盟(SA)正确的说法包括哪些?
A.SA 包括协议、算法、密钥等内容
B. SA 具体确定了如何对IP 报文进行处理
C.安全联盟是双向的
D.在两个安全网关之间的双向通信,需要两个SA 来分别对输入数据流和输出数据流进行安全保
护
21. 关于安全参数索引(SPI)正确的说法有哪些?
A.SPI 是一个32 比特的数值,在每一个IPSec 报文中都携带有该数值
B.SPI 和IP 目的地址、安全协议号一起组成一个三元组,来唯一标识特定的安全联盟
C.手工配置安全联盟时,需要手工指定SPI,为保证安全联盟的唯一性,必须使用不同的SPI 配置不同的安全联盟