Download presentation
Presentation is loading. Please wait.
1
Insights and Answers for IT Professionals http://www.microsoft.com/taiwan/technet/
2
活用 Windows 2000 通訊服務 建構安全的 VPN 網路環境 唐任威 台灣微軟顧問 ( 恆逸資訊教育訓練處 )
3
本課程假設您 … 已具備以下基本技術知識 : 網路基本相關概念,如 OSI 7 Layer 、 TCP/IP Windows 2000 操作及設定 Windows 2000 Active Directory 電腦及網路管理及除錯 這是 TechNet Level 200 的課程
4
企業網路應用環境的規劃 撥接式 (Dial-up) 環境 專線式 (Leased line) 環境 網際網路與分封交換式 (Packet switching) 環境 虛擬私人網路 (VPN) 的原理剖析及實務運用 PPTP (Point-to-Point Tunnel Protocol) L2TP (Layer 2 Tunnel Protocol) IPSec (IP Security) 講座大綱
5
企業網路應用環境的規劃 撥接式 (Dial-up) 環境 專線式 (Leased line) 環境 網際網路與分封交換式 (Packet switching) 環境
6
撥接式環境 Corporate Office Access Server Remote User Mail Server File Server Database Server
7
撥接式環境的現況 以 Dial-up Network Access Box 存取企業網路 搭配 ISP 以解決企業需在各地建立撥接點 優點 用戶端設定簡單、使用容易 缺點 長途撥接,費用偏高 使用者驗證用帳號無法集中 ,造成管理的負擔過重
8
IAS/RAS 集中管理撥接使用者帳號 RRAS(Routing & Remote Access Service) IAS(Internet Authentication Service) Corporate Office Remote User Mail Server File Server Database Server Active Directory IAS Server RAS Server
9
專線式環境 Mail Server Database Server File Server Mail Server Database Server Mail Server Database Server File Server Lease Line Branch Office Corporate Office Business Partner Lease Line
10
專線式環境的現況 企業中不同的地點以私有專線連接 (Intranet) 不同的企業之間以私有專線連接 (Extranet) 優點 私有網路,隱密性較高 缺點 成本偏高 ( 價格與距離、頻寬成正比 ) 企業中較敏感的資料被竊取的機會仍舊偏高 ( 如人事、財 務等資料 …… )
11
IPSec 確保專線式環境資料傳輸安全 Mail Server Database Server File Server Mail Server Database Server Mail Server Database Server File Server Lease Line Branch Office Corporate Office Business Partner Lease Line
12
網際網路與分封交換式 (Packet switching) 環境 Mail Server File Server Database Server Mail Server Database Server File Server Mail Server Database Server File Server Mail Server Database Server File Server Internet or Frame Relay File Server Mail Server Database Server 香港 北京 台北 東京 紐約
13
網際網路與分封交換式環境的現況 企業與 ISP 連結存取 Internet 網路資源 企業以公眾網路 ( 如 Frame Relay, X.25 等 ……) 做為 Intranet 連接方式 優點 成本低廉 缺點 無法保障資料的完整性及隱密性,較無安全可言
14
VPN Service (RRAS) 確保網際網路與分封交換式網路環境資料傳輸安全 Mail Server File Server Database Server Mail Server Database Server File Server Mail Server Database Server File Server Mail Server Database Server File Server Internet or Frame Relay 香港 北京 台北 東京 紐約 VPN Server VPN Server VPN Server VPN Server Mail Server File Server Database Server VPN Server
15
虛擬私人網路 (VPN) 的剖析 VPN (Virtual Private Network) VPN 的特性 VPN 的元件 VPN 的協定 PPTP (Point-to-Point Tunnel Protocol) L2TP (Layer 2 Tunnel Protocol) IPSec (IP Security)
16
VPN 的特性 將開放的網路模擬為私人的網路使用 Encapsulation 讓資料透過媒介網路傳輸 Authentication 確認使用者的身分、 保障資料的完整 Data encryption 確保資料的安全
17
VPN 的元件 Transit internetwork VPN server VPN client Tunnel Tunneling protocols VPN connection Tunneled data
18
VPN 的協定 PPTP (Point-to-Point Tunnel Protocol) L2TP (Layer 2 Tunnel Protocol) IPSec(IP Security)
19
VPN(Virtual Private Network) PPTP (Point-to-Point Tunnel Protocol) PPTP 的運作原理 PPTP 的驗證及加密 PPTP 的運用 PPTP 的設定 L2TP (Layer 2 Tunnel Protocol) IPSec (IP Security) 虛擬私人網路 (VPN) 的剖析
20
第二層的協定 PPP(Point to Point) 的延伸 可封裝 LAN 的協定,如 IP, IPX, NetBeui …… 利用 IP network 傳輸資料 使用 MPPE(Microsoft Point to Point Encryption) 進行資料加密 Point-to-Point Tunnel Protocol
21
PPTP 的運作原理 資料由第三層送至 第二層的 PPTP Driver 加密 由第二層的 PPTP Driver 回送至第三 層重新封裝 定址後依正常程序 送至第一層傳輸
22
PPTP 的驗證及加密 PPTP 的使用者驗證方式採用 PPP 的驗證方式 PAP, SPAP, CHAP, MS-CHAP V1, V2, and EAP PPTP 使用 MPPE 進行資料的加密 只有採用 MS-CHAP V1 or 2 or EAP-TLS 的驗證方式才 能用 MPPE 進行資料加密
23
PPTP 的運用時機 單一使用者對遠端網路的 資料存取,適用於 Win98/NT4 Client 網路對網路的 資料 存取
24
PPTP 的設定 Client to Gateway VPN Client(W98User) 的設定 安裝虛擬私人網路配接卡 VPN Server(HQ_VPN) 的設定 啟動 RRAS 服務 設定 addressing (static address pool or DHCP) 設定 RAS Policy (Dial in Permission) 驗證 Client 端建立撥號網路設定並撥號 存取資源 Client & RRAS Server 檢視連線狀態
25
PPTP 的設定 Gateway to Gateway(1) HQ_VPN Server 的設定 啟動 RRAS 服務 設定 addressing(static address pool or DHCP) 設定 RAS Policy (Dial in Permission) 新增 VPN demand-dial 撥號介面 新增靜態路由 (static route)
26
PPTP 的設定 Gateway to Gateway(2) BR_VPN Server 的設定 啟動 RRAS 服務 設定 addressing(static address pool or DHCP) 設定 RAS Policy (Dial in Permission) 新增 VPN demand-dial 撥號介面 新增靜態路由 (static route) 驗證 Client 端設定 Default Gateway Client 端存取資源 ( 觸發撥號 ) Server 端檢視連線狀態
27
PPTP 的設定 PPTP 的設定 HQ_Mail 172.16.1.100 Branch 192.168.100.0/24 HQ 172.16.1.0/24 BR_VPN 210.30.100.18/30 192.168.100.254/24 HQ_VPN 202.100.25.18/30 172.16.1.254 Mobile User 210.60.45.15/24 Internet HQ User 172.16.1.10 BR User 172.16.1.10
28
VPN(Virtual Private Network) PPTP (Point-to-Point Tunnel Protocol) L2TP (Layer 2 Tunnel Protocol) L2TP 的運作方式 L2TP 的驗證及加密 L2TP 的運用 L2TP 的設定 IPSec (IP Security) 虛擬私人網路 (VPN) 的剖析
29
第二層的協定 可封裝 LAN 的協定,如 IP, IPX, NetBeui …… 可利用 IP, X.25, ATM, Frame Relay 傳輸資料 使用 IPSec 進行資料加密 Layer 2 Tunnel Protocol
30
L2TP 的運作原理 資料由第三層送至 第二層的 L2TP Driver 封裝 由第二層的 L2TP Driver 回送 至第三層經由 IPSec 加密並定址 定址後依正常程序 送至第一層傳輸
31
L2TP 的驗證及加密 L2TP 的驗證方式分為二階段,電腦驗證 及使用者驗證 電腦的驗證是採 certificate base ,當 IPSec 進行 SA 的建立同時完成 使用者的驗證方式採用 PPP 的驗證 EAP, MS-CHAP V1, V2, CHAP, SPAP, and PAP L2TP 使用 IPSec 來進行資料的加密 DES with a 56-bit key Triple DES (3DES)
32
L2TP 的運用時機 單一使用者對遠端網路 的資料存取, 適用於 W2K Client 網路對網路的 資料 存取
33
L2TP 的設定 Client to Gateway(1) VPN Client(W2KUser) 的設定 申請並安裝數位憑證 (Client Authentication Certificate) http://sectestca2.rte.microsoft.com/certsrv/ VPN Server(HQ_VPN) 的設定 申請並安裝數位憑證 (Client Authentication Certificate) 啟動 RRAS 服務 設定 addressing (static address pool or DHCP) 設定 RAS Policy (Dial in Permission)
34
L2TP 的設定 Client to Gateway(2) 驗證 Client 端建立撥號網路設定並撥號 存取資源 Client & RRAS Server 檢視連線狀態 IPSec Monitor (ipsecmon.exe)
35
L2TP 的設定 Gateway to Gateway(1) HQ_VPN Server 的設定 申請並安裝數位憑證 (Client Authentication Certificate) 啟動 RRAS 服務 設定 addressing(static address pool or DHCP) 設定 RAS Policy (Dial in Permission) 新增 VPN demand-dial 撥號介面 新增靜態路由 (static route)
36
L2TP 的設定 Gateway to Gateway(2) BR_VPN Server 的設定 申請並安裝數位憑證 (Client Authentication Certificate) 啟動 RRAS 服務 設定 addressing(static address pool or DHCP) 設定 RAS Policy (Dial in Permission) 新增 VPN demand-dial 撥號介面 新增靜態路由 (static route)
37
L2TP 的設定 Gateway to Gateway(3) 驗證 Client 端設定 Default Gateway Client 端存取資源 ( 觸發撥號 ) Server 端檢視連線狀態 IPSec Monitor (ipsecmon.exe)
38
L2TP 的設定 L2TP 的設定 HQ_Mail 172.16.1.100 Branch 192.168.100.0/24 HQ 172.16.1.0/24 BR_VPN 210.30.100.18/30 192.168.100.254/24 HQ_VPN 202.100.25.18/30 172.16.1.254 Mobile User 210.60.45.15/24 Internet HQ User 172.16.1.10 BR User 172.16.1.10
39
VPN(Virtual Private Network) PPTP (Point-to-Point Tunnel Protocol) L2TP (Layer 2 Tunnel Protocol) IPSec (IP Security) IPSec 的運作方式 IPSec 的主要元件 IPSec 的運用 IPSec 的設定 虛擬私人網路 (VPN) 的剖析
40
IP Base Network 的資料加密 保障資料的安全與完整 Windows 2000 的 IPSec 技術由 Micrisoft 與 Cisco 共同發展 IP Security
41
IPSec 的運作方式 資料傳送前 IPSec Driver 會檢查 IPSec Policy 決定 資料是否需加密處理 IPSec Driver 通知 IKE 進行協商,而後產生 SA IPSec Driver 依照 SA 的內容進行資料的傳輸
42
IPSec 的主要元件 IPSec security protocols IPSec 共分為二種協定 AH 、 ESP ,可單獨使用或 相互結合使用 Authentication Header(AH) 確保資料的完整性 authentication, integrity, anti-replay Encapsulating Security Payload(ESP) 進行資料加密及確認資料的完整性 confidentiality, authentication, integrity, anti-replay
43
Security associations IPSec 的主要元件 二電腦間資料傳輸前的安全協議 包含通訊協定的使用 (AH or ESP) 、驗證的方式 (Certificate, Pre-share key, Kerberos) 等 …… 其建立方向為單向,表示若為雙向資料傳輸則需建 立另外的 SA SA 的建立及對稱加密金鑰的產生由 IKE(Internet Key Exchange) 負責
44
Security policy(1) IPSec 的主要元件 用來制定 IPSec 的動作方式 ( 如通訊對象、資料類型、驗證及加密的方式 ) 可存放於本機的 Registry 或 Active Directory Group policy 中 存放於 AD 可利用其特性進行集中式的管理 Security Policy 是由 Rules 所構成
45
Security policy(2) IPSec 的主要元件 Security Policy Rule 的結構可分為 IP Filter List: 通訊對象及資料類型 Filter Action: 是否加密及加密方式 Authentication Methods: 驗證的方式 Tunnel: 是否建立 Tunnel 及對象 Connection Type: 區域網路或遠端存取 Rule 2 Filter 1 Filter 2 Filter Action IPSec Policy Rule 1 Filter 1 Filter 2 Filter Action
46
IPSec driver IPSec 的主要元件 檢查 IP 封包的進出符合 IPSec policy filter 的定義 執行 IPSec policy 所定義的驗證方式 ( 如 Kerberos or certificates) 當建立新的連線時,要求建立 SA SA 的維護 (Updating and deleting)
47
IPSec 的運用時機 單一使用 者對單一 使用者的 資料存取 網路對網 路的 資料 存取
48
IPSec 的設定 End to End Server 端 ( 被存取端 )IPSec Policy 的設定 新增 Policy 新增 rule 並定義 filter( 對象及資料 ) 及 action 指派 (assign) Client 端 ( 存取端 )IPSec Policy 的設定 使用預設 Policy 修改 (respond only) 將驗證方式修改為 pre-share key 指派 (assign) 驗證 進行資料存取 IPSec Monitor(ipsecmon.exe)
49
HQ_Mail 172.16.1.100 Branch 192.168.100.0/24 HQ 172.16.1.0/24 BR_VPN 210.30.100.18/30 192.168.100.254/24 HQ_VPN 202.100.25.18/30 172.16.1.254 Internet HQ User 172.16.1.10 BR User 172.16.1.10 IPSec 的設定 IPSec 的設定
50
更多的資源 http://www.microsoft.com/technet/network/ Technology Center on Windows 2000 www.microsoft.com/technet/ www.microsoft.com/taiwan/technet
51
整體服務 整體服務 Insights & Answers for IT Professionals TechNet 光碟、 TechNet Plus 光碟 Microsoft ® TechNet 實務技術講座 網站 www.microsoft.com/taiwan/technet TechNet Flash 資訊技術人電子快訊
52
TechNet CD 的內容 一年十二期 Microsoft Knowledge Base 精通所有產品的 Resource Kits 讓系統保持最佳狀態的 Service Packs, patches, drivers, tools 等等 實務技術文章 評估與部署指南 TechNet 技術訓練課程 (Seminar Online) 個案研討、建置策略白皮書 …
53
TechNet Plus CD 內容 TechNet Plus = TechNet 標準版光碟的內容 + Microsoft 各種最新產品的 Beta 評估版以及 正式評估版光碟
54
2001 年 4 月 TechNet Plus Microsoft Mobile Information 2001 Server 企業版 Beta 2 Microsoft ® Visio 10 Beta 2 Microsoft ® Office Professional with FrontPage Corporate Preview Beta Microsoft SharePoint Portal Server RC-1 Microsoft Internet Security and Acceleration (ISA) Server 2000 企業版正式評估版 Exchange 2000 Conferencing Server 正式評估版 Exchange 2000 Server 企業版正式評估版 Microsoft ® Commerce Server 2000 正式評估版 Microsoft Host Integration Server 2000 正式評估版 Microsoft SQL Server 2000 中文版正式評估版
Similar presentations
© 2025 SlidePlayer.com. Inc.
All rights reserved.