企业要求:
1:外差人员或分支机构能够通过internet以安全方式对Head Office内部网络进行访问。
2:Head Office内部的计算机需要通过公司的一个静态公共IP共享访问internet。
分析:
1:许多企业需要异地员工、机构通过internet安全访问Head Office DMZ中的服务器共享资源,例如:ERP中间层服务器、数据库服务器、文件服务器、打印共享、IntranetWEB服务器and so forth。对于企业来说信息安全总是第一位。
实现方法自然也很多,常用的有:到ISP租用专线(优点不要我多说了大家都明白,但是费用高昂)。而对windows2000以上版本的server操作系统提供两种不同类型的远程访问连接:
(1)‘拨号连接’通过公共交换电话网络PSTN利用调制解调器或者ISDN适配器拨号到远程访问服务器。
(2)‘×××虚拟专用网’通过Internet而不是直接拨号连接,来提供安全的远程访问。×××客户机利用专用网络上的一个×××网关,采用IP互联网来来创建加密的、虚拟的、点对点连接。通常,用户通过ISP连接到Internet,然后创建一个×××网关的×××连接。按照这种方式在原有的网络基础下来使用因特网,公司就可以降低他们的长途电话费。利用公司现有资源建立×××服务器既可以节约费用,扩展与访问策略控制都非常灵活。在目前情况下我们最好的选择就是×××。
(3)×××使用“点对点隧道协议”(PPTP)或者“第二层隧道协议”(L2TP)来建立连接。在你安装“路由和远程访问”(RRAS)服务过程中创建×××端口时,Windows2000即自动启用这些协议。PPTP和L2TP都采用PPP为数据提供最初的封套,并且追加额外的报头,以便通过互联网络来传输。PPTP和L2TP之间在连接性、报头压缩、身份验证、加密(PPTP采用PPP加密,而L2TP通过联合使用其他加密技术,<如IPSec、证书>来提供一个安全的隧道)方面有很大的区别,具体内容这里就不做详述,请查阅相关资料。
2:windows2000以上版本的server操作系统提供了一些技术,可以把你的网络连接到Internet,优化网络的性能和保护Internet连接的安全性。
(1)通过路由器连接到Internet上。此方法容易操作,但不能对未经授权的访问提供安全防范,且内部网络计算机都要有公共IP地址。
(2)利用防火墙保护Internet连接的安全,即防火墙加路由器。通过建立安全性规则,用于控制允许哪些信息包从外部网络进入内部网络,包括对端口控制,从而防止对你的内部网络未经授权的访问。
(3)利用‘网络地址翻译器’(NAT)连接到Internet上。你可以在内部使用未经注册的IP地址,而在外部可以使用少量经过注册的IP地址。NAT提供路由器所不能提供的网络安全性。但占CUP较多,且有些协议不支持。
(4)利用“Internet连接共享”连接到Internet。ICS相似于NAT,但是ICS仅适用于小型网络,不过它更易配置。
(5)用代理服务器到Internet上。Proxy起网关作用,它更安全、灵活。而且它把来自Internet的信息高速缓存,从而减少了在Internet和Intranet之间的通信量,也提高了对客户端的查询响应速度。
(6)NAT的缺点:NAT使用地址转换妨碍了IPSec的应用;与Proxy相比NAT不从安全性角度或者高速缓存的目的去分析信息包。因此,NAT只修改IP和TCP/UDP标题中的IP地址和端口号,而且NAT对客户和计算机和服务器都是透明的。
2:Head Office内部的计算机需要通过公司的一个静态公共IP共享访问internet。
分析:
1:许多企业需要异地员工、机构通过internet安全访问Head Office DMZ中的服务器共享资源,例如:ERP中间层服务器、数据库服务器、文件服务器、打印共享、IntranetWEB服务器and so forth。对于企业来说信息安全总是第一位。
实现方法自然也很多,常用的有:到ISP租用专线(优点不要我多说了大家都明白,但是费用高昂)。而对windows2000以上版本的server操作系统提供两种不同类型的远程访问连接:
(1)‘拨号连接’通过公共交换电话网络PSTN利用调制解调器或者ISDN适配器拨号到远程访问服务器。
(2)‘×××虚拟专用网’通过Internet而不是直接拨号连接,来提供安全的远程访问。×××客户机利用专用网络上的一个×××网关,采用IP互联网来来创建加密的、虚拟的、点对点连接。通常,用户通过ISP连接到Internet,然后创建一个×××网关的×××连接。按照这种方式在原有的网络基础下来使用因特网,公司就可以降低他们的长途电话费。利用公司现有资源建立×××服务器既可以节约费用,扩展与访问策略控制都非常灵活。在目前情况下我们最好的选择就是×××。
(3)×××使用“点对点隧道协议”(PPTP)或者“第二层隧道协议”(L2TP)来建立连接。在你安装“路由和远程访问”(RRAS)服务过程中创建×××端口时,Windows2000即自动启用这些协议。PPTP和L2TP都采用PPP为数据提供最初的封套,并且追加额外的报头,以便通过互联网络来传输。PPTP和L2TP之间在连接性、报头压缩、身份验证、加密(PPTP采用PPP加密,而L2TP通过联合使用其他加密技术,<如IPSec、证书>来提供一个安全的隧道)方面有很大的区别,具体内容这里就不做详述,请查阅相关资料。
2:windows2000以上版本的server操作系统提供了一些技术,可以把你的网络连接到Internet,优化网络的性能和保护Internet连接的安全性。
(1)通过路由器连接到Internet上。此方法容易操作,但不能对未经授权的访问提供安全防范,且内部网络计算机都要有公共IP地址。
(2)利用防火墙保护Internet连接的安全,即防火墙加路由器。通过建立安全性规则,用于控制允许哪些信息包从外部网络进入内部网络,包括对端口控制,从而防止对你的内部网络未经授权的访问。
(3)利用‘网络地址翻译器’(NAT)连接到Internet上。你可以在内部使用未经注册的IP地址,而在外部可以使用少量经过注册的IP地址。NAT提供路由器所不能提供的网络安全性。但占CUP较多,且有些协议不支持。
(4)利用“Internet连接共享”连接到Internet。ICS相似于NAT,但是ICS仅适用于小型网络,不过它更易配置。
(5)用代理服务器到Internet上。Proxy起网关作用,它更安全、灵活。而且它把来自Internet的信息高速缓存,从而减少了在Internet和Intranet之间的通信量,也提高了对客户端的查询响应速度。
(6)NAT的缺点:NAT使用地址转换妨碍了IPSec的应用;与Proxy相比NAT不从安全性角度或者高速缓存的目的去分析信息包。因此,NAT只修改IP和TCP/UDP标题中的IP地址和端口号,而且NAT对客户和计算机和服务器都是透明的。
综上分析,利用Windows2003自带的RRAS既可以实现远程安全访问,其自带的NAT功能可以实现连接内部网络到Internet上。PPTP隧道容易实现,且其安全性也足以满足中小型企业的需要。
以Windows2003Server为例,简单讲解一下×××在中小型企业中的应用时常出现的问题:
1:首先在“管理工具”中打开“路由和远程访问”,将其配置成路由和远程访问。步骤狂简单,按照向导的提示一步步去选择设置就可以了。如果网内没有DHCP可以先自己指定一个地址范围,以便将IP地址分配给拨入的客户机。如果网内没有IAS就不要选择RADIUS配置。在端口属性选项卡中,选择“WAN微型端口(PPTP)”勾选“远程访问(入站)”。
2:配置用户拨入属性时建议“通过远程访问策略控制访问”,如果想省事就选择“允许访问”。
3:Windows2003会根据你的RRAS的外部和内部网络接口信息自动生成一张路由表。不需要额外增加静态路由项就可以满足简单小型企业网络机构。如果企业网络由多个局域网组成则需要根据实际情况手动为RAS配置静态路由项。
4:根据需要设置远程访问策略的条件、权限、配置文件。要按照策略流程来设计,即:先检查条件,然后是权限,再后是配置文件。如图:
1:首先在“管理工具”中打开“路由和远程访问”,将其配置成路由和远程访问。步骤狂简单,按照向导的提示一步步去选择设置就可以了。如果网内没有DHCP可以先自己指定一个地址范围,以便将IP地址分配给拨入的客户机。如果网内没有IAS就不要选择RADIUS配置。在端口属性选项卡中,选择“WAN微型端口(PPTP)”勾选“远程访问(入站)”。
2:配置用户拨入属性时建议“通过远程访问策略控制访问”,如果想省事就选择“允许访问”。
3:Windows2003会根据你的RRAS的外部和内部网络接口信息自动生成一张路由表。不需要额外增加静态路由项就可以满足简单小型企业网络机构。如果企业网络由多个局域网组成则需要根据实际情况手动为RAS配置静态路由项。
4:根据需要设置远程访问策略的条件、权限、配置文件。要按照策略流程来设计,即:先检查条件,然后是权限,再后是配置文件。如图:
当有多个策略时,只要有一个策略满足后用户就可以远程拨入。
注意:如果删除了默认的策略,而又没有其他的策略,所有的连接尝试都将被拒绝。所以在大多数情况下,不要修改默认策略。
5:为了实现NAT共享上网功能,需要在RRAS中配置“NAT/基本防火墙”,如果公司内部网络中没有DHCP可以在“NAT/基本防火墙 属性”->地址指派中勾选“使用DHCP分配器自动分配IP地址”并设定网络地址段。客户机不是很多的情况下可以手动为客户端计算机设置IP、网关(RRAS内网IP)、DNS(RRAS内网IP或ISP的指定DNS地址)。
6:若要RRAS为客户端解析IP地址,一定要在“NAT/基本防火墙 属性”->名称解析中勾选“使用域名系统(DNS)的客户端”。
7:在“NAT/基本防火墙”项中直接连接internet的接口配置如图:
注意:如果删除了默认的策略,而又没有其他的策略,所有的连接尝试都将被拒绝。所以在大多数情况下,不要修改默认策略。
5:为了实现NAT共享上网功能,需要在RRAS中配置“NAT/基本防火墙”,如果公司内部网络中没有DHCP可以在“NAT/基本防火墙 属性”->地址指派中勾选“使用DHCP分配器自动分配IP地址”并设定网络地址段。客户机不是很多的情况下可以手动为客户端计算机设置IP、网关(RRAS内网IP)、DNS(RRAS内网IP或ISP的指定DNS地址)。
6:若要RRAS为客户端解析IP地址,一定要在“NAT/基本防火墙 属性”->名称解析中勾选“使用域名系统(DNS)的客户端”。
7:在“NAT/基本防火墙”项中直接连接internet的接口配置如图:
如果选择了“在次接口上启用基本防火墙”,则需要在“服务和端口”页中启用相应的端口映射。
8:对于NAT的内网接口配置就很简单,只需将其类型配置为:“专用接口连接到专用网络”即可。
9:如果以上几点都设置完毕就已经可以实现开篇时企业所提出的两项要求了。不过,对于中小企业舍不得掏出W元银子购买硬件防火墙的情况下,我们做系统集成的朋友本着对企业信息安全负责的态度也要装个软防火墙。
现在以瑞星个人 防护墙18.41为例,跟×××相关的你就勾选吧。如果想限制拨入方IP,可以在规则中将【对方】设置为某个指定IP地址。
为了使Client可以正常拨入RRAS后访问Intranet服务。需要新增两条 规则:
(1)×××本地所有地址->××× Client IP ,设置ALL协议通行。
(2)×××本地所有地址->内部网段IP,设置ALL协议通行。
为实现企业内部网Client可以通过NAT连接到Internet,需要一条条 规则:
(1)NAT本地所有地址->任意地址,,设置ALL协议通行。
9:如果以上几点都设置完毕就已经可以实现开篇时企业所提出的两项要求了。不过,对于中小企业舍不得掏出W元银子购买硬件防火墙的情况下,我们做系统集成的朋友本着对企业信息安全负责的态度也要装个软防火墙。
现在以瑞星个人 防护墙18.41为例,跟×××相关的你就勾选吧。如果想限制拨入方IP,可以在规则中将【对方】设置为某个指定IP地址。
为了使Client可以正常拨入RRAS后访问Intranet服务。需要新增两条 规则:
(1)×××本地所有地址->××× Client IP ,设置ALL协议通行。
(2)×××本地所有地址->内部网段IP,设置ALL协议通行。
为实现企业内部网Client可以通过NAT连接到Internet,需要一条条 规则:
(1)NAT本地所有地址->任意地址,,设置ALL协议通行。
至此,我们已经大功告成了。
以上仅是工作中点滴经验拿来与朋友们分享。由于水平有限,文中的缺点和不足之处在所难免,请各位朋友批评指正。
以上仅是工作中点滴经验拿来与朋友们分享。由于水平有限,文中的缺点和不足之处在所难免,请各位朋友批评指正。
转载于:https://blog.51cto.com/evelyn/1162567
扫一扫
513
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
