问题
单项选择题
某公司内部服务器SI部署了重要的应用业务,该业务只允许特权终端PC1访问。为了保证通信安全,郭工在基于Windows Server 2003操作系统的服务器S1上配置如图8-12所示的IPSec策略。
针对图8-12,以下说法中错误的是()。
A.允许特定的远程桌面连接与S1通信
B.由于“所有IP通信量”均被“阻止”,因此PC1无法与S1通信
C.特定TCP消息可以通过协商安全的方式与SI通信
D.PC1无法通过ping命令测试是否与S1连接
答案
参考答案:B
解析:
在如图8-12所示的“服务器SI的IPSec策略属性”对话框的“规则”选项卡中共给出了4条IP安全规则。由于Windows操作系统IPSec策略使用最优匹配的执行策略,各条IP安全规则的定义无严格的先后顺序要求,因此,图8-12中4条IP安全规则的定义并不会相互矛盾。
其中,“IP筛选器列表”列名称为“远程桌面连接(RDP)”的IP安全规则,允许特定主机(如PCn)的远程桌面连接程序通过Kerberos身份验证方法与内部服务器S1通信。
“IP筛选器列表”列名称为“所有IP通信量”的IP安全规则,阻止特定主机(或所有主机)的IP数据包与内部服务器S1通信。ping程序是一种基于ICMP回应(Echo)的请求/应答报文对,用于测试目的主机或路由器的可达性,而ICMP报文是封装在IP数据包中进行传输的,结合这条IPSec策略规则可知,所有主机(如PC1)无法通过ping命令测试是否与内部服务器S1连接。
“IP筛选器列表”列名称为“TCP消息”的lP安全规则,允许特定主机(如PC1)的TCP消息通过协商安全的方式与内部服务器S1通信,并使用预先共享的密钥对该通信进行身份验证操作。由此可知,本试题选项B的说法有误。