教委教材样本23Word格式文档下载.docx
- 文档编号:295543
- 上传时间:2023-04-28
- 格式:DOCX
- 页数:23
- 大小:99.46KB
教委教材样本23Word格式文档下载.docx
《教委教材样本23Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《教委教材样本23Word格式文档下载.docx(23页珍藏版)》请在冰点文库上搜索。
13.3实现VPN服务器
13.4部署网络访问隔离区控制组件
习题
习题1-对应知识(13.1.4)
习题2-对应知识(13.1.8)
习题3-对应知识(13.2.5)
习题4-对应知识(13.1.8)
习题5-对应知识(13.2.4)
习题6-对应知识(13.2.3)
习题7-对应知识(13.4.6)
习题8-对应知识(13.3.1)
习题9-对应知识(13.4.2)
习题10-对应知识(13.4.6)
教学指导手册包
新版幻灯片
教师光盘:
/Powerpnt/2823A_13.ppt
多媒体视频
无
习题解答
/tPrep/answer/Answer13.doc
先修知识
在正式开始学习本章内容以前,学生须具备下列知识基础。
知识基础
推荐补充
网络基本概念、服务器基本应用和知识
网络常见协议的概念和使用
Internet的使用和电子邮件服务
常见的网络服务
建议学时
课堂教学2课时+实验教学2课时
教学过程
13.1远程访问技术和漏洞简介
教学提示:
本节主要达到以下目的:
●了解在企业为什么需要使用拨号网络和VPN技术,了解在企业中如果使用了远程访问而可能引起的威胁和漏洞。
●掌握VPN技术中相关隧道协议的区别,从而能够掌握在企业实际场景中选择正确的隧道协议。
●了解常见远程访问身份验证协议都有哪些,在综合考虑企业中相关网络环境和客户端操作系统之后能够选择正确的身份验证协议。
●了解在企业中常见远程访问部署中可能遇到的问题以及相关解决方案
●掌握如何简化客户端的连接,从而给学生介绍相关连接管理器及其组件和配置方法
●了解企业在针对远程访问中常见问题,如何通过网络隔离区来解决常见的问题,同时了解相关网络隔离区服务的组件和工作原理。
教学内容
教学方法
教学提示
讲授:
同样首先来微软的深层防御体系的系统架构图,看看远程访问属于哪一部分。
阅书:
13.1.1
幻灯:
第6页
讲述注意流程的条理性。
让学生明确安全加固同样是一个有序严谨的工作流程。
在考虑了相关企业内部安全之后就需要考虑相关外部访问安全。
。
首先看一下微软在远程访问上的使用,全球超过65,000名Microsoft员工和合同员工通过远程访问获得了访问公司计算机和网络资源的能力,每月建立的连接数量超过百万。
在很多其他跨国公司同样提供这样的方式,为什么要采用这样的访问方式。
其实原因很简单,如果用户不在公司范围,可能在外出差或者度假,但是现在需要访问公司文件服务器上资源或者需要远程维护公司服务器,大多数公司相关服务器都是使用的私有地址,这样你在互联网上无法进行连接,如果通过普通电话进行拨入访问,那么高额的电话费和低速带宽是无法满足上面每月超过百万的访问率,这里就可以考虑采用相关VPN技术。
讲解课本:
参考:
微软网站提供了相关ITSHOWCASE 的方式来介绍微软自身如何进行相关基于微软的平台的管理,教师可以通过介绍这样的一些场景案例加深学生对于本书相关应用场景的理解。
但是所有事情都有理有弊,自然远程访问同样带给我们相关风险,试想一下如果一个员工通过某个网吧远程访问公司网络,有可能相关用户和密码信息会被别有用心人看到从而利用来攻击公司网络,或者由于出差时间很长了,计算机上病毒库没有及时更新或者相关操作系统的关键补丁没有安装,当你连接到公司之后实际上你就使得公司网络的安全变得岌岌可危了,因为你就是公司内部安全中的一个漏网之鱼你会感染其他正常的计算机,或者被用来攻击公司的服务器。
当然相关的威胁不仅仅是这些,我们可以通过幻灯片来进行介绍。
13.1.2
第7页
课堂提问:
1、不受微软支持的身份验证和授权标准是?
--TTLS
2、WPA使用什么协议加密?
--TKIP
3、哪些组件是安全无线网络必需的?
--DC、DNS、CA、IAS\DHCP
4、使用密码的PEAP需要客户端证书吗?
--NO,IASneed
由于现在已经书中第13章,教师可以总结如下:
企业内部网络、外部网络、无线网络安全其实都遵循相关安全管理周期,如果有需要可以介绍下列安全周期图,帮助学生理解每章中相关内容配合周期的哪一个阶段。
13.1.3
第8页
既然已经提及了相关安全访问技术,那么我们回顾先前掌握的相关远程访问技术,首先查看相关支持的协议。
建议教师可以配置一个Windowsxpprofessional作为VPN远程访问的客户端,然后配置其属性看它能够支持的远程访问协议有哪些,再配合相关幻灯片完成内容讲解,效果会比较好。
在前面章节的安全配置方案中必不可少的都有身份验证,这里也不例外,来我们通过幻灯片查看这些熟悉面孔。
13.1.4
第9页
由于相关加密和解密以及身份验证都需要耗费相关系统资源和服务器资源,因此现在有专门的硬件加速器来解决这个问题。
毕竟学生接触远程访问比较少,尽管我们可以举例,例如学生回到家中也可以通过远程访问访问学校内部资源,查看相关网络教学视频或者访问相关学校老师课件,但是学生对于企业中进行远程访问部署中需要考虑的问题还是了解比较少,因此书中相关指导方针一章教师可以配合微软远程访问案例进行介绍。
13.1.5
第10页
在介绍远程访问协议时候,大家可能看到我们用户需要掌握相关远程拨号的配置方法,很多地方有可能点选错误之后就始终无法连接到公司,同时对于非计算机专业的用户来说你告诉对方相关IP地址或者什么是VPN,对方一定非常难以理解,因此我们可以根据企业的具体特点配置好相关配置文件,这样用户使用起来就必然非常方便。
13.1.6
第11页
帮助学生理解,教师可以比喻成现在相关行业的套餐业务,同时教师为了加深学生印象可以配置连接管理器,对比前面手工一步一步进行配置过程。
针对本章一开始介绍的企业场景中,用户由于没有安装相关防病毒软件或者没有及时升级操作的安全补丁或者防病毒软件特征库,当通过远程访问连接到客户端时候就有可能攻击公司内部网络,解决方法就是建立隔离区,大家可以对比战争中交战双方一般都会有一个停火区,在这里也是一样,用户通过远程访问连接到公司网络,首先我不会让你直接能够访问相关公司内部资源,而是引导你进入设置好的隔离区,我们会设置相关策略在隔离区检查访问的客户端,如果没有问题才允许访问公司网络,如果存在相关安全问题,常见的隔离策略会自动帮助你安装相关安全补丁或者升级相关病毒库,只有完成操作之后进行检查没有问题才可以进行后续公司资源的访问。
13.1.7~13.1.9
13.1.7
第12页
如何针对客户端计算机检查相关高危险级别的安全补丁都已经安装?
通过微软在线更新网站或者相关安全扫描软件,如MBSA、SMS2003等软件来实现。
小结:
本节描述了在企业中如何使用远程访问解决方案解决出差员工或者外地员工访问资源的问题,同时也介绍了由于使用了远程访问可能给企业造成的安全隐患,并介绍了相关远程访问技术、访问策略、安全验证、企业实施的指导方针、相关网络隔离区的基本概念。
注意:
本章中提及的相关网络隔离技术在WindowsVista和WindowsLonghorn 中有更多的更新,因为网络中的远程隔离已经是很多企业都需要面临和解决的问题。
13.2规划远程访问战略
●掌握应用确定远程访问服务(RAS,RemoteAccessService)服务器硬件要求的指导方针。
(略讲)
●掌握企业部署远程访问方案(RAS,RemoteAccessService)中放置虚拟专用网(VPN)服务器的相关注意事项和路由配置考虑。
●掌握根据企业具体实际需求选择正确的远程访问的数据加密方法。
(略讲+演示)。
掌握相关基本内容之后,我们就可以模拟一个企业给出需求来帮助学生理解相关部署和解决方案。
13.2.1
第17页
尽管我们在Windows2000/2003服务器版本中都支持远程访问服务器的功能,但是在实际企业运维管理中针对大量的用户请求我们会建议企业采用性能较高的硬件配置。
可以提示学生对远程访问服务器、硬件进行搜索,可以查看硬件和配件的相关价格和介绍。
由于远程访问大多数是基于二次拨号的概念,所以选择一个好的ISP服务器提供商也是非常重要的一环,由于很多公司担心自己的信息会被互联网上的黑客截取,因此会申请专门提供VPN服务器的互联网提供商,当然这就意味着价格必然会比一般解决方案高。
13.2.2
第18页
如果有时间可以介绍相关核心交换机概念,配合一个企业实际网络拓扑可以更好的学习远程访问服务器的部署架构和什么是企业核心交换机概念。
综合前两节概念给出相关远程访问部署原则。
13.2.3
第19页
其中NAT是关键点,这里可以介绍Windows2003服务器对NAT提供的支持。
由于常见远程接入方案中都是由互联网访问企业内部,所以这里可以针对安全性、预算、配置的简易性进行相关远程接入服务器的部署。
13.2.4
第20页
下表是配置远程访问策略时候需要了解的常见协议和端口,相关表格请参考本章教参附录。
首先可以给出表13-3中相关加密对比,由于前面几章中针对加密和解密已经介绍比较多,这里可以不需要讲授太多时间,只要给出不同协议支持即可。
13.2.5
第21页
课堂演示:
演示使用不同远程访问协议的时候,利用网络监视器查看是否有所区别。
由于远程访问客户端在拨入远程访问服务器之后得到的IP地址是有远程访问服务器上配置的静态地址获得或者是通过DHCP服务器提供,因此必须指定相关路由选项,否则出现的现象就是能够拨入,但是无法访问内部网络资源,特别是在企业有多个VLAN时候配置路由就尤为重要。
13.2.6
第22页
在配置无线网络、无线访问策略时候都可以配置相关条件配置选项,我们同样在远程访问中可以完成相关功能选项,例如我们可以限制只有ADSL用户才能进行远程拨入等条件,请注意远程访问条件越严格就意味着对于自己服务器和企业内部网络安全性的要求越高。
13.2.7
第23页
如果企业用户中需要进行远程访问的用户很多,必然对于远程访问服务器有高可用性和高可靠性的要求。
13.2.8
在Windows2003Server中配置远程访问支持时候能否设定相关使用L2TP和PPTP连接用户数的限制?
可以。
第24页
由于考虑到非典影响,现在有不少公司都同样考虑到如果有类似事件,需要安排公司大多数员工在家进行办公,因此都会建立企业的远程访问服务器,这样对于我们网络管理员而言就需要考虑可用性和高可靠性的部署方式,否则等需要使用,但是发现企业中唯一一台远程访问服务器出现故障,必然会造成很多麻烦。
本节小结:
本节配合远程访问基本概念介绍在中小型企业中部署远程访问服务器的方法和相关硬件和软件的中应该注意的内容。
教师可根据实际经验多举一些相关案例让学生掌握相关远程访问的部署方法和管理建议。
13.3实现VPN服务器
●掌握如何结合网络实际配置VPN服务器。
(精讲+演示)
●能够配置VPN服务器上的RAS锁定。
●能够配置VPN服务器上的名称解析。
如果大多数学生对于远程访问服务器相关概念理解很少,建议教师在了解学生基础之上先介绍本节,这样在学生了解相关服务器配置之后再反过来掌握相关概念和基本内容可能效果更好。
13.3.1
第28页
本节实际操作很多,所以大多通过演示进行介绍。
可能在学校模拟学习中教师演示计算机只有一块网卡,通过向导是无法实现VPN服务器的创建,如果希望在单网卡上实现VPN服务器的创建,可以使用NETSH命令进行修改,但是为了帮助学生建立正确概念教师最好还是使用虚拟机产品,如Virtualpc进行教学,只需要修改网卡数目为2个即可,具体可以参考下图。
在配置VPN服务器时候同样可以配置注册表防范黑客的字典攻击,这里提醒一点,如果停止远程注册表服务可能导致VPN服务器无法启动。
讲解课本:
13.3.2
第29页
如果是Windows2000Server,也可以通过修改注册表来防范黑客拒绝攻击。
可能对于IT人员,在通过VPN连接之后可以直接使用IP进行访问,但是对于普通员工而言更加方便的还是通过其他方式进行访问,例如:
ms-fileserver-2,这样的方式进行,实现这一点需要在VPN服务器上进行相关名称配置。
13.3.3
第30页
启用了Winsock代理后可能无法使用VPN登录到域
如何在WindowsServer2003中安装和配置虚拟专用网络服务器
本节介绍了具体VPN服务器的配置和如何配置VPN 服务器防范一定程度上的黑客字典攻击。
13.4部署网络访问隔离区控制组件
●掌握企业哪些资源可以作为隔离区资源。
●掌握验证客户端配置的脚本内容、安装和配置CMAK、以及为隔离区访问配置连接管理器配置文件。
●掌握如何在远程访问服务器上安装Rqs.exe
●理解和掌握如何配置隔离区远程访问策略。
在前面已经描述了什么是网络访问隔离区,本节就具体相关配置方法和配置策略进行介绍。
13.4.1
第33页
如果有时间可以介绍SUS、SMS 2003、WSUS相关场景配置。
了解哪些网络资源可以作为网络访问隔离区的组件,其中相关协议和端口是个关键点。
无法基于Windows2000服务器计算机安装远程访问隔离代理工具
由于网络隔离区的主要作用是检查防范和安装,因此这里需要针对客户端进行检查,但是由于客户端软件安装的路径或者相关网络配置都有所不同,其中最好的检查方法就是通过变量来进行控制。
由于客户端的操作系统有可能安装在C卷中或者D卷中,那么最快的方法如何找到安装系统所在的目录?
提示:
可以使用%systemroot%变量。
13.4.2
第34页
演示RQS程序的安装。
相关资源管理工具需要从微软下载。
13.4.3
第35页
由于在第一节中已经介绍了相关网络隔离区概念,因此这里重点放在演示即可。
服务器端配置完成之后就需要配置客户端,自然少不了客户端配置向导利器CMAK。
书中\\dc1\Tools只是一个范例,具体演示请依靠具体环境进行替换。
13.4.4
第36页
演示CMAK的安装和创建。
服务器配置完成之后就可以创建相关访问策略和相关用户配置文件。
13.4.5
第37页
参考资料:
虚拟专用网络:
MicrosoftTechNet有线通信技术专家专栏文章:
本章小结:
对于许多企业组织(如Microsoft)来说,远程访问已经发展成一个重要的资源,无论是为旅行中的高级管理人员和员工提供访问能力等方面,还是在业务持续性或灾难还原方案中发挥重要作用方面,远程访问都是Microsoft的一个重要的业务支持因素。
加强访问敏感资源和知识产权的安全性对于保护这些资源至关重要。
虽然允许员工进行远程访问是一个重大的安全威胁,使用安全策略(包括强身份验证和计算机配置管理)能够积极管理这个风险。
Microsoft通过部署WindowsServer2003、WindowsXPProfessional、CM、智能卡、RAP和网络访问隔离控制,结合使用清楚定义的、符合规则的操作进程来监控和管理服务,已经消除了在其内部环境中的远程访问安全风险。
●
示范教学
如何在企业的远程访问方案中配置用户只能通过L2TP方式访问公司服务器,同时设置相关验证方法为MS-CHAPv2?
常见配置步骤:
以域管理员身份登录域控制器
•为VPN连接创建组
1.在域控制器上,单击“开始”,“控制面板”,双击“管理工具”,然后双击“ActiveDirectory用户和计算机”。
2.在您的域下的控制台树中,右键单击“用户”,指向“新建”,然后单击“组”。
3.在“新建对象-组”对话框中,在“组名”中键入VPNUsers,然后单击“确定”。
4.在“详细信息”窗格中,双击VPNUsers。
5.在“VPNUsers属性”对话框中,单击“成员”选项卡,然后单击“添加”。
6.在“用户、联系人、计算机或组”对话框中,“输入对象名称来选择”中,添加需要授予远程访问权限的用户或组,然后单击“确定”。
7.单击“确定”保存对于该VPNUsers组的更改。
接下来,创建一个远程访问策略,以确保只有VPNUsers组的成员才能够创建到您的Intranet的VPN连接。
•为VPN连接创建远程访问策略
1.在IAS服务器上,打开“管理工具”,然后双击“Internet验证服务”。
2.在控制台树中,右键单击“远程访问策略”,然后单击“新建远程访问策略”。
3.在“欢迎使用新建远程访问策略向导”页上,单击“下一步”。
4.在“策略配置方法”页上,“策略名称”框中,键入L2TPVPNAccess,然后单击“下一步”。
5.在“访问方法”页上,单击VPN,然后单击“下一步”。
6.在“用户或组访问”页上,单击“组”,然后单击“添加”。
7.在“选择组”对话框中,“输入对象名称来选择”框中,键入VPNUsers。
指定做为您公司的域的位置,然后单击“确定”。
VPNUsers组添加到了“用户或组访问”页上的组列表中。
单击“下一步”
8.在“验证方法”页上,MS-CHAPv2验证协议被默认选中。
9.在“策略加密级别”页上,取消选中“基本加密”和“增强加密”复选框,然后单击“下一步”。
10.在“正在完成新增远程访问策略向导”页上,单击“完成”。
•指定远程访问策略的隧道协议
1.在Internet验证服务器的详细信息窗格中,双击“远程访问策略”,右键单击L2TPVPNAccess策略,然后单击“属性”。
2.在“L2TPVPNAccess属性”对话框中,单击“添加”。
3.在“选择属性”对话框中,单击“隧道类型”,然后单击“添加”。
4.在“隧道类型”对话框中,单击“第二层隧道协议”,再单击“添加”,然后单击“确定”两次。
附录:
协议
端口
用于
TCP
25
简单邮件传输协议(SMTP)
67
DHCP(如果远程访问服务器使用外部DHCP服务器的话)
80
万维网(超文本传输协议(HTTP))
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 教委 教材 样本 23