本指南涵盖CISP认证中的VPN技术、SSL协议、IPSec协议等网络安全协议的核心知识点。
一、VPN技术概述
1.1 VPN的主要用途
🔐 VPN系统的主要用途
VPN系统主要用于建立安全的网络通信
VPN的核心功能:
🌐 建立安全通信隧道
- 在公共网络上建立加密隧道
- 保护数据传输安全
- 实现远程安全访问
VPN不是主要用于:
- ❌ 进行用户身份的鉴别(这是认证系统的功能)
- ❌ 进行用户行为的审计(这是审计系统的功能)
- ❌ 对网络边界进行访问控制(这是防火墙的功能)
正确答案:C. 建立安全的网络通信
VPN功能对比:
| 功能 | 是否为VPN主要用途 | 说明 | 实现技术 |
|---|---|---|---|
| 建立安全通信 | ✅ 是(主要) | VPN的核心功能 | 加密隧道、IPSec、SSL |
| 身份鉴别 | 🟡 辅助功能 | VPN包含认证,但不是主要用途 | 用户名密码、证书 |
| 行为审计 | 🟡 辅助功能 | VPN可记录日志,但不是主要用途 | 日志系统 |
| 访问控制 | 🟡 辅助功能 | VPN可限制访问,但不是主要用途 | ACL、策略 |
VPN的核心价值:
graph TB
A["VPN核心价值"]
B["安全通信"]
C["远程访问"]
D["网络互联"]
A --> B
A --> C
A --> D
B --> B1["数据加密"]
B --> B2["完整性保护"]
B --> B3["防窃听"]
C --> C1["远程办公"]
C --> C2["移动访问"]
C --> C3["安全接入"]
D --> D1["分支互联"]
D --> D2["跨地域连接"]
D --> D3["专网扩展"]
style B fill:#e3f2fd,stroke:#1976d2
style C fill:#e8f5e9,stroke:#388e3d
style D fill:#fff3e0,stroke:#f57c00
1.2 VPN的安全服务
VPN提供的安全服务:
VPN安全服务:
├── 身份验证
│ ├── 用户认证
│ ├── 设备认证
│ └── 双因素认证
├── 传输加密
│ ├── 对称加密(AES)
│ ├── 非对称加密(RSA)
│ └── 混合加密
├── 完整性校验
│ ├── 哈希算法(SHA)
│ ├── HMAC
│ └── 数字签名
└── VPN无法实现的服务
└── ❌ 可用性校验(不是VPN的功能)⚠️ VPN技术无法实现的服务
VPN技术无法实现可用性校验
为什么VPN不提供可用性校验:
❌ 可用性校验不是VPN的职责
- 可用性校验是监控系统的功能
- 需要专门的监控工具(如Nagios、Zabbix)
- VPN只负责安全通信,不负责服务可用性监控
VPN提供的安全服务:
- ✅ 身份验证:确认用户和设备身份
- ✅ 传输加密:保护数据机密性
- ✅ 完整性校验:确保数据未被篡改
可用性校验的正确实现方式:
- 使用监控系统(Nagios、Zabbix、Prometheus)
- 健康检查(Health Check)
- 心跳检测(Heartbeat)
- 服务探测(Ping、HTTP检查)
二、SSL协议
2.1 SSL协议与公钥私钥
🔐 SSL协议中的密钥使用
SSL协议中公钥和私钥的使用:
正确答案:B. 公钥使用户可以交换会话密钥、验证数字签名的真实性以及加密数据
公钥的用途:
🔑 交换会话密钥
- 客户端使用服务器公钥加密会话密钥
- 安全地传输对称密钥
- 建立加密通信
✅ 验证数字签名
- 使用公钥验证签名
- 确认数据来源
- 保证数据完整性
🔒 加密数据
- 使用公钥加密敏感数据
- 只有私钥持有者能解密
- 保护数据机密性
SSL/TLS握手过程中的密钥使用:
sequenceDiagram
participant C as 客户端
participant S as 服务器
Note over C,S: SSL/TLS握手
C->>S: 1. ClientHello
S->>C: 2. ServerHello + 证书(含公钥)
Note over C: 3. 验证证书
提取服务器公钥 C->>C: 4. 生成会话密钥(对称密钥) C->>C: 5. 用服务器公钥加密会话密钥 C->>S: 6. 发送加密的会话密钥 Note over S: 7. 用私钥解密
获得会话密钥 Note over C,S: 8. 使用会话密钥进行对称加密通信 C->>S: 加密数据(用会话密钥) S->>C: 加密数据(用会话密钥)
提取服务器公钥 C->>C: 4. 生成会话密钥(对称密钥) C->>C: 5. 用服务器公钥加密会话密钥 C->>S: 6. 发送加密的会话密钥 Note over S: 7. 用私钥解密
获得会话密钥 Note over C,S: 8. 使用会话密钥进行对称加密通信 C->>S: 加密数据(用会话密钥) S->>C: 加密数据(用会话密钥)
公钥和私钥的功能对比:
| 密钥类型 | 加密 | 解密 | 签名 | 验证签名 | 分发 |
|---|---|---|---|---|---|
| 公钥 | ✅ 可以 | ❌ 不能 | ❌ 不能 | ✅ 可以 | 公开分发 |
| 私钥 | ❌ 不能 | ✅ 可以 | ✅ 可以 | ❌ 不能 | 严格保密 |
选项分析:
选项分析:
├── A. 公钥使用户可以交换会话密钥、解密会话密钥并验证数字签名的真实性
│ └── ❌ 错误:公钥不能解密会话密钥,只能加密
├── B. 公钥使用户可以交换会话密钥、验证数字签名的真实性以及加密数据
│ └── ✅ 正确:公钥的三大用途
├── C. 私钥使用户可以创建数字签名、验证数字签名的真实性并交换会话密钥
│ └── ❌ 错误:私钥不能验证签名,只能创建签名
└── D. 私钥使用户可以创建数字签名、加密数据和解密会话密钥
└── ❌ 错误:私钥不用于加密数据,用于解密数据2.2 SSL/TLS协议详解
SSL/TLS协议的安全特性:
SSL/TLS安全特性:
├── 身份认证
│ ├── 服务器认证(必须)
│ ├── 客户端认证(可选)
│ └── 基于数字证书
├── 数据加密
│ ├── 对称加密(AES、3DES)
│ ├── 非对称加密(RSA、ECDHE)
│ └── 混合加密模式
├── 完整性保护
│ ├── MAC(消息认证码)
│ ├── HMAC
│ └── 防篡改
└── 防重放攻击
├── 序列号
├── 时间戳
└── 随机数三、SSL vs IPSec
3.1 SSL协议的优势
💡 SSL协议相比IPSec的优势
SSL协议比IPSec协议的优势在于:实现简单、易于配置
为什么SSL更简单:
✅ 实现简单
- 基于应用层
- 无需修改操作系统
- 集成在应用程序中
- 开发和部署容易
✅ 易于配置
- 配置项较少
- 用户友好
- 无需复杂的网络配置
- 证书管理相对简单
其他选项为什么不对:
❌ B. 能有效的工作在网络层
- SSL工作在应用层,不是网络层
- IPSec才工作在网络层
❌ C. 能支撑更多的应用层协议
- IPSec在网络层,可以支持所有上层协议
- SSL只能支持特定应用(HTTPS、FTPS等)
❌ D. 能实现更高强度的加密
- 两者都可以使用相同强度的加密算法
- 加密强度取决于算法选择,不是协议本身
SSL vs IPSec对比:
| 特性 | SSL/TLS | IPSec |
|---|---|---|
| 工作层次 | 应用层(第7层) | 网络层(第3层) |
| 实现复杂度 | ✅ 简单 | 复杂 |
| 配置难度 | ✅ 易于配置 | 配置复杂 |
| 部署方式 | 应用程序集成 | 操作系统/网关 |
| 支持协议 | 特定应用(HTTP、FTP等) | 所有IP协议 |
| 用户透明度 | 不透明(需要HTTPS) | 透明(用户无感知) |
| NAT穿越 | ✅ 容易 | 困难 |
| 加密强度 | 高(AES-256) | 高(AES-256) |
| 典型应用 | Web访问、邮件 | VPN、站点互联 |
| 客户端要求 | 浏览器即可 | 需要VPN客户端 |
SSL和IPSec的应用场景:
graph TB
A["选择SSL还是IPSec"]
B["SSL/TLS"]
C["IPSec"]
A --> B
A --> C
B --> B1["Web应用访问"]
B --> B2["远程办公"]
B --> B3["移动设备"]
B --> B4["无需客户端"]
C --> C1["站点到站点VPN"]
C --> C2["网络层保护"]
C --> C3["所有协议支持"]
C --> C4["企业专网"]
style B fill:#e3f2fd,stroke:#1976d2
style C fill:#e8f5e9,stroke:#388e3d
SSL协议的优势总结:
SSL协议优势:
├── 部署简单
│ ├── 无需修改网络基础设施
│ ├── 应用程序级别实现
│ ├── 快速部署
│ └── 成本较低
├── 配置容易
│ ├── 配置项少
│ ├── 证书管理简单
│ ├── 用户友好
│ └── 维护方便
├── 兼容性好
│ ├── 浏览器原生支持
│ ├── 跨平台
│ ├── NAT友好
│ └── 防火墙友好
└── 适用场景
├── Web应用
├── 远程访问
├── 移动办公
└── 临时访问四、IPSec协议详解
4.1 IPSec主要安全协议
🔐 IPSec协议组成
组成IPSec的主要安全协议包括:
✅ ESP(Encapsulating Security Payload)
- 封装安全载荷协议
- 提供数据加密
- 提供完整性保护
- 提供身份认证
✅ AH(Authentication Header)
- 认证头协议
- 提供数据完整性
- 提供身份认证
- 不提供加密
✅ IKE(Internet Key Exchange)
- 密钥交换协议
- 自动协商安全参数
- 建立安全关联(SA)
- 密钥管理
❌ DSS(Digital Signature Standard)
- 不是IPSec协议的组成部分
- DSS是数字签名标准
- 可能被IPSec使用,但不是IPSec协议本身
IPSec协议栈结构:
graph TB
subgraph "IPSec协议栈"
A["应用层"]
B["传输层(TCP/UDP)"]
C["IPSec层"]
D["网络层(IP)"]
E["数据链路层"]
end
subgraph "IPSec组件"
F["ESP协议"]
G["AH协议"]
H["IKE协议"]
end
A --> B
B --> C
C --> D
D --> E
C -.包含.-> F
C -.包含.-> G
C -.使用.-> H
style F fill:#e3f2fd
style G fill:#e8f5e9
style H fill:#fff3e0
IPSec协议功能对比:
| 协议 | 加密 | 完整性 | 认证 | 防重放 | 协议号 |
|---|---|---|---|---|---|
| ESP | ✅ 是 | ✅ 是 | ✅ 是 | ✅ 是 | 50 |
| AH | ❌ 否 | ✅ 是 | ✅ 是 | ✅ 是 | 51 |
| IKE | - | - | - | - | UDP 500/4500 |
4.2 IPSec支持的通信协议
💡 IPSec的协议支持范围
IPSec可以保护所有基于IP的通信协议:
✅ TCP(传输控制协议)
- 面向连接的可靠传输
- HTTP、HTTPS、FTP、SSH等
✅ UDP(用户数据报协议)
- 无连接的快速传输
- DNS、DHCP、VoIP等
✅ FTP(文件传输协议)
- 基于TCP的应用层协议
- 文件上传下载
正确答案:D. I、II、III(TCP、UDP、FTP都支持)
为什么IPSec可以支持所有这些协议:
- IPSec工作在网络层(第3层)
- 对上层协议透明
- 可以保护所有IP数据包
- 不需要修改应用程序
IPSec保护范围:
OSI七层模型中IPSec的位置:
第7层 应用层 ← FTP、HTTP、SMTP等
第6层 表示层
第5层 会话层
第4层 传输层 ← TCP、UDP
第3层 网络层 ← IPSec工作在这里
第2层 数据链路层
第1层 物理层
IPSec在网络层工作,可以保护所有上层协议IPSec vs SSL/TLS协议支持对比:
| 特性 | IPSec | SSL/TLS |
|---|---|---|
| 工作层次 | 网络层(第3层) | 应用层(第7层) |
| 支持TCP | ✅ 是 | ✅ 是 |
| 支持UDP | ✅ 是 | ❌ 否(DTLS除外) |
| 支持ICMP | ✅ 是 | ❌ 否 |
| 支持所有IP协议 | ✅ 是 | ❌ 否 |
| 应用透明度 | 完全透明 | 需要应用支持 |
五、防火墙技术
5.1 防火墙NAT功能
🛡️ 防火墙NAT的主要作用
网络地址转换(NAT)的主要作用是:隐藏内部网络地址
NAT的核心功能:
🔒 隐藏内部网络地址
- 内部IP地址不暴露到互联网
- 提高网络安全性
- 防止直接攻击内部主机
- 保护网络拓扑结构
NAT的其他好处:
- 节省公网IP地址
- 灵活的内部网络规划
- 简化网络迁移
NAT不是用于:
- ❌ 提供代理服务(这是代理服务器的功能)
- ❌ 进行入侵检测(这是IDS的功能)
- ❌ 防止病毒入侵(这是防病毒软件的功能)
NAT工作原理:
sequenceDiagram
participant I as 内部主机
192.168.1.10 participant F as 防火墙/NAT
公网IP: 1.2.3.4 participant E as 外部服务器
8.8.8.8 Note over I,E: 出站流量(内部访问外部) I->>F: 源IP: 192.168.1.10
目标IP: 8.8.8.8 Note over F: NAT转换
192.168.1.10 → 1.2.3.4 F->>E: 源IP: 1.2.3.4
目标IP: 8.8.8.8 Note over E: 外部服务器只看到
公网IP 1.2.3.4
不知道内部IP E->>F: 源IP: 8.8.8.8
目标IP: 1.2.3.4 Note over F: NAT转换
1.2.3.4 → 192.168.1.10 F->>I: 源IP: 8.8.8.8
目标IP: 192.168.1.10
192.168.1.10 participant F as 防火墙/NAT
公网IP: 1.2.3.4 participant E as 外部服务器
8.8.8.8 Note over I,E: 出站流量(内部访问外部) I->>F: 源IP: 192.168.1.10
目标IP: 8.8.8.8 Note over F: NAT转换
192.168.1.10 → 1.2.3.4 F->>E: 源IP: 1.2.3.4
目标IP: 8.8.8.8 Note over E: 外部服务器只看到
公网IP 1.2.3.4
不知道内部IP E->>F: 源IP: 8.8.8.8
目标IP: 1.2.3.4 Note over F: NAT转换
1.2.3.4 → 192.168.1.10 F->>I: 源IP: 8.8.8.8
目标IP: 192.168.1.10
NAT类型:
| NAT类型 | 说明 | 安全性 | 应用场景 |
|---|---|---|---|
| 静态NAT | 一对一映射 | 中 | 服务器发布 |
| 动态NAT | 多对多映射 | 高 | 企业出口 |
| PAT(NAPT) | 多对一映射 | 高 | 家庭/小型办公 |
| 双向NAT | 双向转换 | 中 | 网络合并 |
5.2 防火墙作为第一道防线
🛡️ 网络安全的第一道防线
从安全角度来看,防火墙起到第一道防线的作用
为什么防火墙是第一道防线:
🚪 网络边界防护
- 位于网络边界
- 控制进出流量
- 第一个接触外部威胁的设备
🔍 流量过滤
- 检查所有进出流量
- 阻止恶意连接
- 实施访问控制策略
🛡️ 防护功能
- 包过滤
- 状态检测
- 应用层过滤
- 入侵防御
其他选项为什么不是第一道防线:
- ❌ 远端服务器:位于内部,不是边界
- ❌ Web服务器:是被保护对象,不是防护设备
- ❌ 安全Shell程序:是应用层安全工具,不是网络边界防护
网络安全防御层次:
graph LR
A["互联网"] --> B["防火墙
第一道防线"] B --> C["IDS/IPS
第二道防线"] C --> D["DMZ区
Web服务器"] C --> E["内部网络"] E --> F["主机防护
第三道防线"] F --> G["应用安全
第四道防线"] style B fill:#f44336,color:#fff style C fill:#ff9800 style F fill:#ffc107 style G fill:#4caf50
第一道防线"] B --> C["IDS/IPS
第二道防线"] C --> D["DMZ区
Web服务器"] C --> E["内部网络"] E --> F["主机防护
第三道防线"] F --> G["应用安全
第四道防线"] style B fill:#f44336,color:#fff style C fill:#ff9800 style F fill:#ffc107 style G fill:#4caf50
防火墙在安全架构中的位置:
安全防御层次:
第一道防线:防火墙
├── 边界防护
├── 访问控制
├── 流量过滤
└── NAT隐藏
第二道防线:IDS/IPS
├── 入侵检测
├── 异常识别
├── 攻击阻断
└── 威胁情报
第三道防线:主机防护
├── 防病毒软件
├── 主机防火墙
├── 安全加固
└── 补丁管理
第四道防线:应用安全
├── 输入验证
├── 身份认证
├── 访问控制
└── 安全编码六、DNS安全
6.1 DNS区域传送保护
🔐 保护DNS区域传送
为了保护DNS的区域传送(zone transfer),应该配置防火墙阻止:TCP 53端口
正确答案:B. 2,3(TCP和53端口)
为什么是TCP 53:
📋 DNS区域传送使用TCP
- 区域传送数据量大
- 需要可靠传输
- 使用TCP协议
- 端口号53
DNS协议使用的端口:
- UDP 53:普通DNS查询(小数据量)
- TCP 53:区域传送(大数据量)
为什么要保护区域传送:
- 防止信息泄露
- 保护域名结构
- 防止攻击者侦察
- 限制授权服务器访问
DNS协议端口使用:
| 操作类型 | 协议 | 端口 | 数据量 | 是否需要限制 |
|---|---|---|---|---|
| 普通查询 | UDP | 53 | 小 | ❌ 否(需要公开) |
| 区域传送 | TCP | 53 | 大 | ✅ 是(需要限制) |
| 动态更新 | TCP/UDP | 53 | 中 | ✅ 是(需要认证) |
DNS区域传送保护措施:
DNS区域传送保护:
1. 防火墙规则
├── 阻止外部TCP 53连接
├── 只允许授权DNS服务器
├── 使用ACL限制源IP
└── 记录所有区域传送请求
2. DNS服务器配置
├── 限制区域传送权限
├── 使用TSIG认证
├── 配置allow-transfer
└── 启用日志记录
3. 网络隔离
├── DNS服务器放在DMZ
├── 主从服务器专用通道
├── 使用VPN保护传输
└── 监控异常传输防火墙规则示例:
# iptables规则示例
# 阻止外部TCP 53(区域传送)
iptables -A INPUT -p tcp --dport 53 -s ! 授权DNS服务器IP -j DROP
# 允许UDP 53(普通查询)
iptables -A INPUT -p udp --dport 53 -j ACCEPT
# 允许授权DNS服务器的TCP 53
iptables -A INPUT -p tcp --dport 53 -s 授权DNS服务器IP -j ACCEPT七、网络可用性
7.1 提高网络可用性的方法
📈 提高网络可用性
链路冗余能够提高网络的可用性
正确答案:B. 链路冗余
为什么链路冗余提高可用性:
🔄 冗余路径
- 提供备用链路
- 主链路故障时自动切换
- 避免单点故障
- 提高网络可靠性
其他选项分析:
❌ A. 数据冗余
- 提高数据可靠性
- 不直接提高网络可用性
- 主要用于数据保护
❌ C. 软件冗余
- 提高应用可靠性
- 不是网络层面的可用性
❌ D. 电源冗余
- 提高设备可用性
- 不是网络连接的可用性
网络可用性提升方案:
graph TB
subgraph "链路冗余架构"
A["核心交换机A"]
B["核心交换机B"]
C["接入交换机1"]
D["接入交换机2"]
E["服务器"]
end
A <--> C
A <--> D
B <--> C
B <--> D
C <--> E
D <--> E
style A fill:#4caf50
style B fill:#4caf50
style C fill:#2196f3
style D fill:#2196f3
style E fill:#ff9800
可用性提升技术对比:
| 技术 | 提升的可用性类型 | 实现方式 | 成本 | 效果 |
|---|---|---|---|---|
| 链路冗余 | ✅ 网络可用性 | 多条链路、负载均衡 | 高 | 显著 |
| 设备冗余 | ✅ 网络可用性 | 双设备、VRRP/HSRP | 高 | 显著 |
| 数据冗余 | 数据可靠性 | RAID、备份 | 中 | 中等 |
| 软件冗余 | 应用可用性 | 集群、负载均衡 | 中 | 中等 |
| 电源冗余 | 设备可用性 | 双电源、UPS | 低 | 基础 |
高可用网络设计原则:
高可用网络设计:
1. 链路冗余
├── 双链路接入
├── 多ISP接入
├── 负载均衡
└── 自动故障切换
2. 设备冗余
├── 双核心交换机
├── VRRP/HSRP
├── 堆叠技术
└── 热备份
3. 路由冗余
├── 动态路由协议
├── 多路径
├── 快速收敛
└── BFD检测
4. 监控和维护
├── 实时监控
├── 告警机制
├── 定期测试
└── 应急预案八、Intranet技术
8.1 Intranet不使用的技术
🌐 Intranet技术特点
Intranet没有使用:公众网络
正确答案:C. 公众网络
Intranet的定义:
- 企业内部网络
- 使用互联网技术
- 私有网络环境
- 不对公众开放
Intranet使用的技术:
✅ A. Java编程语言
- 开发Web应用
- 企业应用系统
- 跨平台支持
✅ B. TCP/IP协议
- 网络通信基础
- 互联网标准协议
- 内部网络使用
✅ D. 电子邮件
- 内部通信工具
- 企业邮件系统
- 协作平台
❌ C. 公众网络
- Intranet是私有网络
- 不使用公众网络
- 与互联网隔离
Intranet vs Internet vs Extranet:
| 特性 | Intranet | Extranet | Internet |
|---|---|---|---|
| 访问范围 | 内部员工 | 合作伙伴 | 公众 |
| 网络类型 | 私有网络 | 半私有网络 | 公众网络 |
| 安全性 | 高 | 中 | 低 |
| 使用技术 | 互联网技术 | 互联网技术 | 互联网技术 |
| 典型应用 | OA、ERP | 供应链、B2B | 网站、邮件 |
Intranet架构:
graph TB
subgraph "Intranet(企业内部网络)"
A["Web服务器"]
B["应用服务器"]
C["数据库服务器"]
D["文件服务器"]
E["邮件服务器"]
end
subgraph "用户"
F["内部员工"]
end
subgraph "外部"
G["Internet"]
end
F <--> A
F <--> E
A <--> B
B <--> C
F <--> D
A -.防火墙隔离.-> G
style A fill:#4caf50
style B fill:#4caf50
style C fill:#4caf50
style D fill:#4caf50
style E fill:#4caf50
style G fill:#f44336
九、总结
9.1 核心知识点回顾
VPN技术:
- VPN主要用于建立安全的网络通信
- VPN提供身份验证、传输加密、完整性校验
- VPN无法实现可用性校验
SSL协议:
- 公钥用于交换会话密钥、验证签名、加密数据
- 私钥用于创建签名、解密数据
- SSL比IPSec实现简单、易于配置
IPSec协议:
- 主要协议:ESP、AH、IKE
- DSS不是IPSec协议组成部分
- 支持所有基于IP的通信协议(TCP、UDP、FTP等)
防火墙技术:
- NAT主要作用是隐藏内部网络地址
- 防火墙是网络安全的第一道防线
- 位于网络边界,控制进出流量
DNS安全:
- 区域传送使用TCP 53端口
- 需要配置防火墙阻止未授权的TCP 53连接
- 普通DNS查询使用UDP 53端口
网络可用性:
- 链路冗余能够提高网络可用性
- 提供备用路径,避免单点故障
- 其他冗余(数据、软件、电源)提升不同层面的可用性
Intranet技术:
- 使用互联网技术的企业内部网络
- 使用Java、TCP/IP、电子邮件等技术
- 不使用公众网络,是私有网络
🎯 关键要点
VPN技术:
- 主要用途是建立安全通信
- 不是主要用于身份鉴别、行为审计、访问控制
- 无法实现可用性校验
SSL协议:
- 公钥:交换会话密钥、验证签名、加密数据
- 私钥:创建签名、解密数据
- 优势:实现简单、易于配置
SSL vs IPSec:
- SSL:应用层、简单易用、Web应用
- IPSec:网络层、功能强大、企业VPN
IPSec协议组成:
- ESP:加密+完整性+认证
- AH:完整性+认证(不加密)
- IKE:密钥交换和SA建立
- DSS:不是IPSec协议
防火墙功能:
- NAT:隐藏内部网络地址
- 第一道防线:边界防护
- DNS保护:阻止TCP 53(区域传送)
网络可用性:
- 链路冗余:提高网络可用性
- 设备冗余:避免单点故障
- 多层防护:纵深防御
💡 考试提示
- 理解VPN的主要用途是建立安全通信
- 掌握SSL协议中公钥和私钥的用途
- 记住SSL相比IPSec的优势是实现简单
- 区分SSL和IPSec的工作层次和应用场景
- IPSec三大协议:ESP、AH、IKE(DSS不是)
- IPSec支持所有IP协议(TCP、UDP、FTP等)
- NAT主要作用是隐藏内部地址
- 防火墙是第一道防线
- DNS区域传送用TCP 53,需要保护
- 链路冗余提高网络可用性
- Intranet不使用公众网络