vpn解决方案一般分为.docx

1、vpn解决方案一般分为vpn解决方案一般分为篇一：XX公司VPN方案 XX网络改造技术建议书 目录 1. 需求分析 . 3 2. 网络拓扑结构 . 3 典型组网 . 3 方案介绍 . 4 3. 方案特点 . 5 多种VPN技术融合一次投资多次收益 . 5 长时间稳定运行解决VPN稳定性问题 . 5 远程设备管理简单化解决VPN设备管理难问题 . 7 抗病毒防攻击解决网络安全性问题 . 8 1. 需求分析 目前企业的网络应用越来越多，包括视频、语音、ERP等等；企业规模不断壮大，分支机构数量不断增多，移动办公需求旺盛。 ? 如何使分支机构、合作伙伴、移动用户等不同用户接入内网，访问内网数据。 ?

2、 内网是承载业务网络的主体，各种重要数据都在内网上面传输，接入用户的 安全如何保证 ? 越来越多的分支机构接入使得网络的管理越来越复杂，众多分支机构如何管 理 要想保证企业的数据新干线永续工作，就必须从融合、稳定、易用、安全四个标准来选择VPN设备。 2. 网络拓扑结构 典型组网 方案介绍 核心配置一台H3C SecPath V100-E安全网关，所有的分支机构通过VPN隧道连接到这个安全网关上面，同时还提供了SSL VPN接入服务。SecPath SSL VPN系列网关是SecPath系列产品的新成员，是H3C公司开发的新一代专业安全产品。SecPath SSL VPN网关能够让用户直接使用

3、浏览器访问内部网络资源，无需安装客户端软件，提供了高经济、低成本的远程移动安全接入方式。 SecPath V100-E作为集IPSec VPN和SSL VPN功能与一体的专业VPN网关，还具有完善的防火墙功能，能够有效的保护网络安全；采用应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段；提供基本的路由能力，支持路由策略及策略路由；支持丰富的QoS特性。 分支机构配置一台UTM200-M，负责分支机构的安全防火和VPN接入。H3C SecPath U200-M是H3C公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，

4、统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提 供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。 3. 方案特点 多种VPN技术融合一次投资多次收益 企业的数据互联需求根据企业的不同而存在很大的差异，偏重于总部与分公司互联的企业，往往采用IPSec VPN技术；而方便员工迅速连接总部的企业则会选择SSL VPN技术。但是随着企业信息化的不断进步，网络化成为了趋势：一方面需要企业不同分支机构互联；另外移动办公人员也需要连接总部。这时候与

5、其购买两套系统，不如选择融合的VPN设备。 根据目前VPN技术的发展，IPSec VPN与SSL VPN已经成为VPN技术的主流应用，对于一些行业来说还会用到MPLS VPN。在VPN设备的选择方面，VPN种类支持的多少将会直接影响到企业的投资效果。多种VPN技术相融合能够减少企业发展过程中的技术约束，为企业带来一次投资多次收益的良性发展。 H3C始终关注VPN技术的研究与发展，顺应客户需求，推出了同时支持IPSec VPN、SSL VPN、MPLS VPN的新型融合VPN设备SecPath V100-E。 长时间稳定运行解决VPN稳定性问题 篇二：VPN解决方案的研究 目录 ? 概述-1 ?

6、 VPN原理 -2 ? VPN系统简介-4 ? VPN特点-4 ? 利用VPN可以做什么-6 ? 实施方案-7 ? 方案特点-9 ? 总结-13 概述： VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网 络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VP

7、N技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或 WINDOWSXX等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。 针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。 VPN网关是实现局域网（LAN）到局域网连接的设备。从字面上我们就 能够知道它可以实现两大功能：VPN和网关。广义上

8、讲，支持VPN（虚拟专用网）的路由器和防火墙等设备都可以算作VPN网关。目前常见的VPN网关产 品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。 1、VPN的原理 1、VPN的原理 VPN的基本思想很容易理解，假设公司有两个网络，相距很远，要用 VPN连接，由两个VPN设备建立专用通道，数据传输过程如下图所示： （1）主机A建立分组，将其IP地址作为源地址，将主机B的IP地址作为目标地址，将分组发送到VPN设备1，通常是网关。 （2）分组到达VPN设备1，VPN设备1在分组中增加一新头。在此分组中，将分组的源IP地址写为自己的IP地址V1，目标地址写为对等VPN设备

9、2的IP地址V2，然后发送。 （3）分组通过Internet到达VPN设备2，VPN设备2能够识别新增的头部，对其进行拆除，从而得到第1步由主机A生成的原分组，然后根据分组的IP地址信息，进行正常的转发。 的分类 根据网络类型的差异，IP VPN可分为两种类型：Client-LAN和LAN-LAN类型。 （1）Client-LAN类型的VPN也称为Access VPN，即远程访问方式的VPN。它提供了一种安全的远程访问手段，例如，出差在外的员工，有远程办公需要的分支机构，都可以利用这种类型的VPN，实现对企业内部网络资源进行安全的远程访问 （2）LAN-LAN类型的VPN 为了在不同局域网之间

10、建立安全的数据传输通道，例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联，可以采用LAN-LAN类型的VPN。而采用LAN-LAN类型的VPN，可以利用基本的Internet和Intranet网络建立起全球范围内物理的连接，再利用VPN的隧道协议实现安全保密需要，就可以满足公司总部与分支机构以及合作企业间的安全网络连接。 2、VPN系统简介 接入范围:不管是国内或者国外，只要能通过某种方式接入Internet就可以使用VPN组网。 如ADSL、ISDN或者拨号方式接入Internet。 其它宽带接入方式。 接入设备:对于企业总部或者分部在原有Internet接入的基础上根据需要

11、增加SnapGear VPN设备，对于家庭或者移动办公的个人，可以使用相应的SnapGear VPN设备，也可以使用VPN软件。 3、VPN的特点： 在实际应用中，用户需要的是什么样的VPN呢？一般情况下，一个高效、成功的VPN应具备以下几个特点： 1安全保障 篇三：网安复习练习题(带答案) 复习题 1. （ A ）防火墙是在网络的入口对通(转 载于: 小 龙 文档网:vpn解决方案一般分为)过的数据包进行选择，只有满 足条件的数据包才能通过，否则被抛弃。 a) A、包过滤 D、代理 B、应用网关 C、帧过滤 2. 防火墙的性能指标参数中，那一项指标会直接影响到防火墙所能支持的最大信息点数（

12、B ） A、吞吐量B、并发连接数 C、延时 D、平均无故障时间 3. SSL安全套接字协议所使用的端口是（ B ）。 a) A、80 B、443 C、1433D、3389 4. 电子邮件的发件人利用某些特殊的电子邮件软件在短时间内不断重复地将电子邮件寄给同一个收件人，这种破坏方式叫做（ B）。 A、邮件病毒 D、逻辑炸弹 B、信息收集C、数据包过滤D、数据B、邮件炸弹C、特洛伊木马 5. 入侵检测系统的第二步是（ A）。 A、信号分析 包检查 6. 下面关于 IPSec 的说法哪个是错误的（ D ）。 A、它是一套用于网络层安全的协议 C、它可以提供流量保密服务 B、它可以提供数据源认D、它只

13、能在 Ipv4 环境证服务 下使用 7. 计算机病毒的传染性是指计算机病毒可以（ C ）。 A、从计算机的一个地方传递到另一个地方B、传染 C、自我复制 D、扩散 8. 随着Internet发展的势头和防火墙的更新，防火墙的哪种功能将被取代（ D）。 a) A、使用IP加密技术 B、日志分析工具 b) C、攻击检测和报警D、对访问行为实施静态、固定的控制 9. 用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于（ B ）手段。 A、缓存溢出攻击B、钓鱼攻击C、暗门攻击D、DDOS攻击 10. 下面有关隧道技术的描述，不正确的是( C) 1. 隧道技术是VPN的核心技术 2. 隧

14、道技术建立在Internet等公共网络已有的数据通信方式之上 3. 隧道技术仅仅应用在VPN中 4. 隧道的工作过程是：在一端将要发送的数据进行封装，然后通过 已建立的虚拟通道（隧道）进行传输；在隧道的另一端进行解封 操作，将得到的原始数据交给对端设备。 11. 以下关于VPN的说法中的（C ）是正确的。 A、VPN是虚拟专用网的简称，它只能由ISP维护和实施 B、VPN是只能在第二层数据链路层上实现加密 C、IPSEC是也是VPN的一种 D、VPN使用通道技术加密，但没有身份验证功能 12. SSL安全套接字协议所使用的端口是（ B ）。 a) A、80 B、443 C、1433 D、338

15、9 13. 你有一个共享文件夹，你将它的NTFS权限设置为sam用户完全控制，共享权 限设置为sam用户可以读取，当sam从网络访问这个共享文件夹的时候，他有什么样的权限（A ）。 A. 读取 B. 写入 C. 修改 D. 完全控制 14. 包过滤防火墙工作在(C ) a) A. 物理层B. 数据链路层 C. 网络层 D. 会 话层 15. 鲍伯通过计算机网络给爱丽丝发消息说同意签订合同，随后鲍伯反悔，不承 认发过该条消息。为了防止这种情况发生，应在计算机网络中采用（ B ）。 A、身份认证技术 B、数字签名技术C、消息认证技术 D、防火墙技术 16. 计算机病毒的传染性是指计算机病毒可以(C

16、) A、从一个地方传递到另一个地方 B、传染 C、进行自我复制 D、扩散 17. 黑客利用缓冲区溢出漏洞进行攻击，对于这一威胁，最可靠的解决方案是 （ B ） a) A、安装防火墙 B、安装相关的系统补丁 b) C、安装用户认证系统 D、安装防病毒软件 18. 甲方和乙方采用公钥密码体制对数据文件进行加密传送，甲方用（ B ）加 密数据文件传给乙方。 A、甲的公钥 B、乙的公钥C、甲的私钥 D、乙的私钥 19. HTTPS 是一种安全的HTTP 协议，它使用（ C ）来保证信息安全。 a) A、IPSec B、SET C、SSL D、SSH 20. 信息安全的基本要素包括（ D ）。 i. 机

17、密性、完整性、可抗性、可控性、可审查性 ii. 机密性、完整性、可抗性、可控性、可恢复性 iii. 机密性、完整性、可抗性、可用性、可审查性 iv. 机密性、完整性、可用性、可控性、可审查性 21. 下列的要素，不属于网络安全的范畴的有（ B） A. 完整性 B. 可移植性C. 可靠性 D. 不可抵赖性 22. DoS 攻击的目的是（ B） a) A、获取合法用户的口令和帐号 B、使计算机和网络无法提供正常的 服务 b) C、远程控制别人的计算机D、监听网络上传输的所有信息 23. 下面关于数字签名的说法错误的是( A ) 。 1. 能够保证信息传输过程中的保密性 2. 能够保证发送者的不可否

18、认性 3. 如果接收者对报文进行了篡改，会被发现 4. 网络中的某一用户不能冒充另一用户作为发送者 24. 张三从CA得到了李四的数字证书，张三可以从该数字证书中得到李四的 （ D ）。 A、 私钥B、数字签名C、 口令 D、公钥 25. 鲍伯总是怀疑爱丽丝发给他的信在传输途中遭人篡改,为了打消鲍伯的怀疑, 计算机网络采用的技术是（ C ）。 a) A、加密技术B、 FTP匿名服务 C、完整性技术 D、 身份验证技术 26. 恶意软件中，Trojan Horse是指（ C ） A. 病毒B. 蠕虫C. 特洛伊木马 D. 漏洞利用程序 27. 在Windows 系统中用事件查看器查看日志文件，可

19、看到的日志包括 (B )。 a) A、用户访问日志、安全性日志和系统日志B、应用程序日志、安全 性日志和系统日志 b) C、网络攻击日志、安全性日志和记帐日志 D、网络连接日志、安全性 日志和服务日志 28. 有关企业安全防护体系的构成，下列说法正确的是（D ）。 a) A、人是最重要的因素 b) C、技术是最重要的 结合 29. 网络漏洞评估是指（ C ）。 A、 检测系统是否已感染病毒 B、 监控网络和计算机系统是否出现被入侵或滥用的征兆 C、 通过对系统进行动态的试探和扫描，找出系统中各类潜在的 弱点，给出相应的报告，建议采取相应的补救措施 D、 置于不同网络安全域之间的一系列部件的组合

20、，是不同网络 安全域间通信流的唯一通道，能根据企业有关安全政策控 制进出网络的访问行为 30. IPSec提供的服务都基于（ B）层 A. TCP B. IP C. UDP D. ICMP B、制度最重要的 D、好的安全防护是人、制度、技术的 31. 不属于计算机病毒防治的策略的是（ B ）。 A、 确认您手头常备一张真正“干净”的引导盘 B、整理磁盘 C、 新购置的计算机软件也要进行病毒检测D、及时、可靠升级反病毒产品 32. 数据保密性指的是（A ）。 A、 保护网络中各系统之间交换的数据，防止因数据被截获而造 成泄密 B、 提供连接实体身份的鉴别 C、 防止非法实体对用户的主动攻击，保证

21、接受方收到的信息与 发送方发送的信息一致 D、 确保接收到的数据是由合法实体发出的 33. 入侵检测系统的第一步是（ B ）。 A、信号分析B、信息收集C、数据包过滤 D、数据包检查 34. 加密技术不能实现（ D ）。 A、数据信息的完整性 B、基于密码技术的身份认证 C、机密文件加密D、基于IP头信息的包过滤 35. 以下关于CA认证中心说法正确的是（C ）。 A、 CA认证是使用对称密钥机制的认证方法 B、 CA认证中心只负责签名，不负责证书的产生 C、 CA认证中心负责证书的颁发和管理、并依靠证书证明一个用 户的身份 D、 CA认证中心不用保持中立，可以随便找一个用户来做为CA 认证中

22、心 36. 以下关于VPN说法正确的是（ B）。 A、 VPN指的是用户自己租用线路，和公共网络物理上完全隔离 的、安全的线路 B、 VPN指的是用户通过公用网络建立的临时的、安全的连接 C、 VPN不能做到信息认证和身份认证 D、 VPN只能提供身份认证、不能提供加密数据的功能 37. 在网络通信中寻找符合网络入侵模式的数据包而发现攻击特征的入侵检测 方式是（ A ）。 A、基于网络的入侵检测方式B、基于文件的入侵检测方式 C、基于主机的入侵检测方式D、基于系统的入侵检测方式 38. 以下哪一项不属于入侵检测系统的功能（ D ）。 A、 监视网络上的通信数据流 B、 捕捉可疑的网络活动 C、

23、 提供安全审计报告 D、 过滤非法的数据包 39. 以下哪一种方式是入侵检测系统所通常采用的（ A ）。 A、基于网络的入侵检测 B、基于IP的入侵检测 C、基于服务的入侵检测 D、基于域名的入侵检测 40. 以下关于计算机病毒的特征说法正确的是（C ）。 A、 计算机病毒只具有破坏性，没有其他特征 B、 计算机病毒具有破坏性，不具有传染性 C、 破坏性和传染性是计算机病毒的两大主要特征 D、 计算机病毒只具有传染性，不具有破坏性 41. 以下关于对称密钥加密说法正确的是（ C）。 A、 加密方和解密方可以使用不同的算法 B、 加密密钥和解密密钥可以是不同的 C、 加密密钥和解密密钥必须是相同

24、的 D、 密钥的管理非常简单 42. 以下关于数字签名说法正确的是（D ）。 A、 数字签名是在所传输的数据后附加上一段和传输数据毫无 关系的数字信息 B、 数字签名能够解决数据的加密传输，即安全传输问题 C、 数字签名一般采用对称加密机制 D、 数字签名能够解决篡改、伪造等安全性问题 43. 以下关于VPN说法正确的是（ B ）。 A、 VPN指的是用户自己租用线路，和公共网络物理上完全隔离 的、安全的线路 B、 VPN指的是用户通过公用网络建立的临时的、安全的连接 C、 VPN不能做到信息认证和身份认证 D、 VPN只能提供身份认证、不能提供加密数据的功能 44. JOE是公司的一名业务代

25、表，经常要在外地访问公司的财务信息系统，他应 该采用的安全、廉价的通讯方式是（B ）。 A、 PPP连接到公司的RAS服务器上 C、 电子邮件 PPP连接 45. IPSec在哪种模式下把数据封装在一个IP包传输以隐藏路由信息（ A ）。 A、 隧道模式 B、 管道模式 C、 传输模式D、 安全模式 46. 以下不属于第二层隧道的协议是( B) A. L2FB. GRE C. PPTP D. L2TP 47. 至少需要3块硬盘组RAID，且其中只有一块硬盘损坏时,不会造成数据丢失的 RAID方式是（ C） A. RAID 0 B. RAID 1 C. RAID 5 D. RAID 10 48. 以下不属入侵检测中要收集的信息的是（ B ）。 A、系统和网络日志文件B、目录和文件的内容 B、 远程访问VPN D、 与财务系统的服务器