为远程客户端和网络配置虚拟专用网络访问
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
它不需要使用可逆加密来存储密码 但只有在运行需要 MS-CHAP 的早期 Microsoft 操作系统时才使用 MS-CHAP
使用双向身份验证 对于发送和接收的数据,它分别使用不同的 会话密钥来进行加密 会话密钥的生成不是完全基于用户的密码
是最安全的远程身份验证协议 在客户端和服务器都使用证书来提供双向身 份验证、数据8完整性和数据机密性
提供数据加密
不提供数据完整性
大多数网络地址转换器 (NAT,Network Address Translator) 都支持该协议
Windows 2000、 Windows XP、Windows Server 2003
需要证书架构或预共 享密钥
为每个数据包提供数 据完整性、数据源身 份验证、数据机密性 和重放保护
添加 ISA Server 2004 可使 Windows 2000 VPN 服务器能够强制执行 VPN 隔离策略
第 21 章 为远程客户端和网络配
置虚拟专用网络访问
熊建辉 高级工程师、硕士 1
网络安全的实现和管理 --以Windows Server 2003和ISA Server 2004为例
第1章 规划和配置授权和身份验证策略 第2章 安装、配置和管理证书颁发机构 第3章 配置、部署和管理证书 第4章 规划、实现和故障诊断智能卡证书 第5章 加密文件系统的规划、实现和故障排除 第6章 规划、配置和部署安全的成员服务器基线 第7章 为服务器角色规划、配置和部署安全基线 第8章 规划、配置、实现和部署安全客户端计算机基线 第9章 规划和实现软件更新服务 第10章 数据传输安全性的规划、部署和故障排除 第11章 部署配置和管理SSL 第12章 规划和实施无线网络的安全措施 第13章 保护远程访问安全
21.1.5使用路由和远程访问的虚拟专用网络
RRAS 支持:
远程访问策略是一组有序的规则,它们定义了如何授 权或拒绝远程访问连接 “连接管理器”程序组是一组可选组件,用于创建受 管理的远程访问解决方案 RRAS 支持使用远程身份验证拨入用户服务(RADIUS )服务器进行身份验证和远程访问策略配置 RRAS 支持在连接到 Internet 的接口上使用 PPTP 或 L2TP/IPSec 输入和输出筛选器 RRAS 支持使用隔离控制来限制客户端对网络的访问
3
第21章:为远程客户端和网络配置虚拟专用网络访 问
虚拟专用网络概述 为远程客户端配置虚拟专用网络 为远程站点配置虚拟专用网络 使用 ISA Server 2004 配置隔离控制
4
虚拟专用网络概述
21.1 虚拟专用网络概述
虚拟专用网络 VPN 协议选项 VPN 身份验证协议选项 VPN 隔离控制 使用路由和远程访问的虚拟专用网络 使用 ISA Server 2004 的虚拟专用网络 将 ISA Server 用于虚拟专用网络的益处
益处
连接控制和安全性
性能
使用 Windows 2000 隔离 VPN 连接的能 力
日志记录和监视
IPSec 隧道模式站点 到站点链路的状态 检查 VPN 服务器资源的 增强保护
解释
使用防火墙访问策略控制从 VPN 客户端通过 ISA Server 2004 所发送的信息 ISA Server 2004 强化了在配置为强制执行复杂 的企业级安全性要求的情况
10
使用 ISA Server 2004 的虚拟专用网络
21.1.6 使用 ISA Server 2004 的虚拟专用网络
ISA Server 启用 VPN 访问:
可以使用网络规则和访问规则定义在什么条件下 可以将网络数据包从一个网络传递到另一个网络 ISA Server 使用以下网络进行 VPN 连接:
VPN 客户端网络 被隔离的 VPN 客户端网络 远程站点网络 ISA Server 将计算机分配给网络,然后使用网络 规则、网络访问规则和发布规则来限制网络通信 在网络之间的移动 扩展了 RRAS 功能
11
将
ISA
Server
用于虚拟专用网络的益处
21.1.7将 ISA Server 用于虚拟专用网络的益处
5
虚拟专用网络
21.1.1 虚拟专用网络
ISA Server
6
分支机构
VPN 协议选项
21.1.2 VPN 协议选项
因素 客户端操作系 统支持 证书支持
安全性
NAT支持
PPTP 优点和缺点
L2TP/IPSec 优点和缺 点
Windows 2000, Windows XP、Windows Server 2003、 Windows NT Workstation 4.0、 Windows ME、 Windows 98 需要证书架构支持,仅仅支持 EAP-TLS 验证
所有的客户端和服务 器都都必须支持 IPSec NAT-T
7
VPN 身份验证协议选项 21.1.3 VPN 身份验证协议选项
验证协议 PAP SPAP CHAP MS-CHAP
MS-CHAPv2
EAP-TLS
解释
使用明文密码,是安全性最低的身份验证协 议
使用的是 Shiva可逆加密机制
是质询响应身份验证协议 使用 CHAP 协议时,数据不能被加密
VPN 隔离控制
21.1.4 VPN 隔离控制
VPN 隔离控制:
允许 VPN 客户端计算机访问组织的网络之前 屏蔽它们
VPN 隔离客户端脚本。此脚本在客户端上运 行并检查远程访问客户端的安全配置,然后 将结果报告给 VPN 服务器 客户端通过安全配置检查,该客户端就被授 权访问组织的网络
9
使用路由和远程访问的虚拟专用网络
2
Βιβλιοθήκη Baidu
网络安全的实现和管理 --以Windows Server 2003和ISA Server 2004为例
第14章 MICROSOFT ISA SERVER 概述 第15章 安装和维护 ISA Server 第16章允许对 Internet 资源的访问 第17章 配置 ISA Server 作为防火墙 第18章 配置对内部资源的访问 第19章 集成 ISA Server 2004和Microsoft Exchange Server 第20章 高级应用程序和Web筛选 第21章 为远程客户端和网络配置虚拟专用网络访问 第22章 实现缓存 第23章 监视ISA Server2004
使用双向身份验证 对于发送和接收的数据,它分别使用不同的 会话密钥来进行加密 会话密钥的生成不是完全基于用户的密码
是最安全的远程身份验证协议 在客户端和服务器都使用证书来提供双向身 份验证、数据8完整性和数据机密性
提供数据加密
不提供数据完整性
大多数网络地址转换器 (NAT,Network Address Translator) 都支持该协议
Windows 2000、 Windows XP、Windows Server 2003
需要证书架构或预共 享密钥
为每个数据包提供数 据完整性、数据源身 份验证、数据机密性 和重放保护
添加 ISA Server 2004 可使 Windows 2000 VPN 服务器能够强制执行 VPN 隔离策略
第 21 章 为远程客户端和网络配
置虚拟专用网络访问
熊建辉 高级工程师、硕士 1
网络安全的实现和管理 --以Windows Server 2003和ISA Server 2004为例
第1章 规划和配置授权和身份验证策略 第2章 安装、配置和管理证书颁发机构 第3章 配置、部署和管理证书 第4章 规划、实现和故障诊断智能卡证书 第5章 加密文件系统的规划、实现和故障排除 第6章 规划、配置和部署安全的成员服务器基线 第7章 为服务器角色规划、配置和部署安全基线 第8章 规划、配置、实现和部署安全客户端计算机基线 第9章 规划和实现软件更新服务 第10章 数据传输安全性的规划、部署和故障排除 第11章 部署配置和管理SSL 第12章 规划和实施无线网络的安全措施 第13章 保护远程访问安全
21.1.5使用路由和远程访问的虚拟专用网络
RRAS 支持:
远程访问策略是一组有序的规则,它们定义了如何授 权或拒绝远程访问连接 “连接管理器”程序组是一组可选组件,用于创建受 管理的远程访问解决方案 RRAS 支持使用远程身份验证拨入用户服务(RADIUS )服务器进行身份验证和远程访问策略配置 RRAS 支持在连接到 Internet 的接口上使用 PPTP 或 L2TP/IPSec 输入和输出筛选器 RRAS 支持使用隔离控制来限制客户端对网络的访问
3
第21章:为远程客户端和网络配置虚拟专用网络访 问
虚拟专用网络概述 为远程客户端配置虚拟专用网络 为远程站点配置虚拟专用网络 使用 ISA Server 2004 配置隔离控制
4
虚拟专用网络概述
21.1 虚拟专用网络概述
虚拟专用网络 VPN 协议选项 VPN 身份验证协议选项 VPN 隔离控制 使用路由和远程访问的虚拟专用网络 使用 ISA Server 2004 的虚拟专用网络 将 ISA Server 用于虚拟专用网络的益处
益处
连接控制和安全性
性能
使用 Windows 2000 隔离 VPN 连接的能 力
日志记录和监视
IPSec 隧道模式站点 到站点链路的状态 检查 VPN 服务器资源的 增强保护
解释
使用防火墙访问策略控制从 VPN 客户端通过 ISA Server 2004 所发送的信息 ISA Server 2004 强化了在配置为强制执行复杂 的企业级安全性要求的情况
10
使用 ISA Server 2004 的虚拟专用网络
21.1.6 使用 ISA Server 2004 的虚拟专用网络
ISA Server 启用 VPN 访问:
可以使用网络规则和访问规则定义在什么条件下 可以将网络数据包从一个网络传递到另一个网络 ISA Server 使用以下网络进行 VPN 连接:
VPN 客户端网络 被隔离的 VPN 客户端网络 远程站点网络 ISA Server 将计算机分配给网络,然后使用网络 规则、网络访问规则和发布规则来限制网络通信 在网络之间的移动 扩展了 RRAS 功能
11
将
ISA
Server
用于虚拟专用网络的益处
21.1.7将 ISA Server 用于虚拟专用网络的益处
5
虚拟专用网络
21.1.1 虚拟专用网络
ISA Server
6
分支机构
VPN 协议选项
21.1.2 VPN 协议选项
因素 客户端操作系 统支持 证书支持
安全性
NAT支持
PPTP 优点和缺点
L2TP/IPSec 优点和缺 点
Windows 2000, Windows XP、Windows Server 2003、 Windows NT Workstation 4.0、 Windows ME、 Windows 98 需要证书架构支持,仅仅支持 EAP-TLS 验证
所有的客户端和服务 器都都必须支持 IPSec NAT-T
7
VPN 身份验证协议选项 21.1.3 VPN 身份验证协议选项
验证协议 PAP SPAP CHAP MS-CHAP
MS-CHAPv2
EAP-TLS
解释
使用明文密码,是安全性最低的身份验证协 议
使用的是 Shiva可逆加密机制
是质询响应身份验证协议 使用 CHAP 协议时,数据不能被加密
VPN 隔离控制
21.1.4 VPN 隔离控制
VPN 隔离控制:
允许 VPN 客户端计算机访问组织的网络之前 屏蔽它们
VPN 隔离客户端脚本。此脚本在客户端上运 行并检查远程访问客户端的安全配置,然后 将结果报告给 VPN 服务器 客户端通过安全配置检查,该客户端就被授 权访问组织的网络
9
使用路由和远程访问的虚拟专用网络
2
Βιβλιοθήκη Baidu
网络安全的实现和管理 --以Windows Server 2003和ISA Server 2004为例
第14章 MICROSOFT ISA SERVER 概述 第15章 安装和维护 ISA Server 第16章允许对 Internet 资源的访问 第17章 配置 ISA Server 作为防火墙 第18章 配置对内部资源的访问 第19章 集成 ISA Server 2004和Microsoft Exchange Server 第20章 高级应用程序和Web筛选 第21章 为远程客户端和网络配置虚拟专用网络访问 第22章 实现缓存 第23章 监视ISA Server2004