Обучение на Windows 7 - Отдалечен достъп
В последната част от поредицата разгледахме как можете да управлявате и използвате компютрите си с Windows отвсякъде, стига да сте в една и съща мрежа. Но какво, ако не сте?
Не забравяйте да проверите предишните статии в тази серия на Geek School за Windows 7:
- Въвеждане на How-To Geek училище
- Надстройки и миграции
- Конфигуриране на устройства
- Управление на дискове
- Управление на приложения
- Управление на Internet Explorer
- Основи на IP адресиране
- Работа в мрежа
- Безжична мрежа
- Защитна стена на Windows
- Отдалечено администриране
Очаквайте останалата част от поредицата цяла седмица.
Защита на мрежовия достъп
Защита за достъп до мрежата е опит на Microsoft да контролира достъпа до мрежовите ресурси въз основа на здравето на клиента, който се опитва да се свърже с тях. Например, в случай, че сте потребител на лаптоп, може да има много месеци, когато сте на път и не свързвате лаптопа си с корпоративната мрежа. През това време няма гаранция, че вашият лаптоп не се заразява с вирус или зловреден софтуер или че дори получавате актуализации на антивирусните дефиниции.
В тази ситуация, когато се върнете в офиса и свържете машината към мрежата, NAP автоматично ще определи здравето на машините срещу политика, която сте задали на един от вашите NAP сървъри. Ако устройството, което е свързано с мрежата, не успее да извърши здравната инспекция, то автоматично ще бъде преместено в супер-ограничен участък от вашата мрежа, наречен зона за възстановяване. Когато сте в зоната за отстраняване, сървърите за отстраняване автоматично ще се опитат да отстранят проблема с вашата машина. Някои примери могат да бъдат:
- Ако защитната стена е деактивирана и правилото ви изисква то да бъде активирано, сървърите за отстраняване ще активират защитната ви стена за вас.
- Ако вашето здравно правило посочва, че трябва да имате най-новите актуализации на Windows и не, можете да имате WSUS сървър във вашата зона за възстановяване, който ще инсталира най-новите актуализации на вашия клиент..
Вашата машина ще бъде преместена обратно в корпоративната мрежа, ако тя се счита за здрава от вашите NAP сървъри. Има четири различни начина, по които можете да приложите NAP, всеки от които има свои собствени предимства:
- VPN - Използването на метода за прилагане на VPN е полезно в компания, в която дистанционно работят от дома си, като използват собствените си компютри. Никога не можете да сте сигурни какъв злонамерен софтуер може да се инсталира на компютър, върху който нямате контрол. Когато използвате този метод, здравето на клиента ще бъде проверявано всеки път, когато започне VPN връзка.
- DHCP - Когато използвате метода за прилагане на DHCP, клиентът няма да получи валидни мрежови адреси от вашия DHCP сървър, докато те не се считат за здрави от инфраструктурата на NAP..
- IPsec - IPsec е метод за криптиране на мрежовия трафик, използвайки сертификати. Въпреки че не е много обичайно, можете също да използвате IPsec за прилагане на NAP.
- 802.1x - 802.1x също така понякога се нарича удостоверяване на базата на портове и е метод за удостоверяване на клиентите на ниво комутатор. Използването на 802.1x за прилагане на политика на NAP е стандартна практика в днешния свят.
Dial-Up Connections
По някаква причина Microsoft все още иска да знае за тези примитивни комутируеми връзки. Dial-up връзките използват аналоговата телефонна мрежа, известна също като POTS (Plain Old Telephone Service), за да доставят информация от един компютър на друг. Те правят това с помощта на модем, който е комбинация от думите, които модулират и демодулират. Модемът се свързва към вашия компютър, обикновено използвайки RJ11 кабел, и модулира цифровите информационни потоци от вашия компютър в аналогов сигнал, който може да се прехвърли по телефонните линии. Когато сигналът достигне дестинацията си, той се демодулира от друг модем и се връща обратно в цифров сигнал, който компютърът може да разбере. За да създадете комутируема връзка, щракнете с десния бутон върху иконата за състоянието на мрежата и отворете Центъра за мрежи и споделяне.
След това щракнете върху Настройка на нова връзка или мрежова хипервръзка.
Сега изберете Задаване на комутируема връзка и щракнете върху Напред.
От тук можете да попълните цялата необходима информация.
Забележка: Ако получите въпрос, който изисква да настроите комутируема връзка на изпита, те ще предоставят съответните подробности.
Виртуални частни мрежи
Виртуални частни мрежи са частни тунели, които можете да установите в публична мрежа, например интернет, така че да можете да се свържете сигурно с друга мрежа.
Например, можете да установите VPN връзка от компютър в домашна мрежа към корпоративната мрежа. По този начин изглежда, че компютърът в домашната ви мрежа е наистина част от корпоративната ви мрежа. Всъщност можете дори да се свързвате с мрежови споделяния и например, ако сте взели компютъра си и сте го включили физически в работната мрежа с Ethernet кабел. Единствената разлика е, разбира се, скоростта: вместо да получавате Gigabit Ethernet скорости, които бихте постигнали, ако сте били физически в офиса, ще бъдете ограничени от скоростта на вашата широколентова връзка.
Вероятно се чудите колко безопасни са тези „частни тунели“, тъй като „тунелират“ по интернет. Може ли всеки да вижда вашите данни? Не, те не могат и това е така, защото ние криптираме данните, изпратени чрез VPN връзка, откъдето идваме виртуалната „частна“ мрежа. Протоколът, използван за капсулиране и шифроване на данните, изпратени по мрежата, остава за вас, а Windows 7 поддържа следното:
Забележка: За съжаление, тези определения трябва да знаете наизуст за изпита.
- Протокол за тунелиране от точка до точка (PPTP) - Протоколът за тунелиране от точка до точка позволява мрежовият трафик да се капсулира в IP заглавието и да се изпраща през IP мрежа, като например интернет.
- Капсулирането: PPP кадрите се капсулират в IP дейтаграма, като се използва модифицирана версия на GRE.
- Encryption: PPP кадрите се криптират чрез Microsoft Point-to-Point криптиране (MPPE). Ключовете за шифроване се генерират по време на удостоверяване, когато се използват протоколите на Microsoft Challenge Handshake Authentication Protocol 2 (MS-CHAP v2) или протоколите за разширяване на удостоверяване-протокол (EAP-TLS) (EAP-TLS).
- Протокол за тунелиране на ниво 2 (L2TP) - L2TP е защитен протокол за тунелиране, използван за транспортиране на PPP фреймове с помощта на интернет протокол, той е частично базиран на PPTP. За разлика от PPTP, реализацията на L2TP от Microsoft не използва MPPE за шифроване на PPP кадри. Вместо това L2TP използва IPsec в транспортния режим за услуги за шифроване. Комбинацията от L2TP и IPsec е известна като L2TP / IPsec.
- Капсулирането: PPP кадрите първо се опаковат с L2TP заглавие и след това с UDP заглавка. След това резултатът се капсулира с помощта на IPSec.
- Encryption: L2TP съобщенията се криптират с AES или 3DES криптиране с помощта на ключовете, генерирани от процеса на договаряне на IKE.
- Протокол за тунелиране със защитен сокет (SSTP) - SSTP е тунелен протокол, който използва HTTPS. Тъй като TCP Port 443 е отворен за повечето корпоративни защитни стени, това е чудесен избор за онези страни, които не позволяват традиционните VPN връзки. Също така е много сигурна, тъй като използва SSL сертификати за криптиране.
- Капсулирането: PPP кадрите са капсулирани в IP дейтаграми.
- Encryption: SSTP съобщенията се кодират с SSL.
- Internet Key Exchange (IKEv2) - IKEv2 е тунелен протокол, който използва протокола IPsec Tunnel Mode през UDP порт 500.
- Капсулирането: IKEv2 капсулира дейтаграми, използвайки IPSec ESP или AH заглавия.
- Encryption: Съобщенията се криптират с AES или 3DES криптиране с помощта на ключовете, генерирани от процеса на договаряне на IKEv2.
Изисквания към сървъра
Забележка: Очевидно е, че други операционни системи могат да бъдат инсталирани като VPN сървъри. Въпреки това, това са изискванията за стартиране на Windows VPN сървър.
За да се даде възможност на хората да създават VPN връзка към мрежата ви, трябва да имате сървър с Windows Server и да имате инсталирани следните роли:
- Маршрутизиране и отдалечен достъп (RRAS)
- Сървър за мрежови правила (NPS)
Вие също ще трябва да настроите DHCP или да зададете статичен IP пул, който машините, свързващи се през VPN, могат да използват.
Създаване на VPN връзка
За да се свържете с VPN сървър, кликнете с десния бутон върху иконата за състоянието на мрежата и отворете Центъра за мрежи и споделяне.
След това щракнете върху Настройка на нова връзка или мрежова хипервръзка.
Сега изберете да се свържете с работно място и кликнете върху „Напред“.
След това изберете да използвате съществуващата широколентова връзка.
P
Сега ще трябва да въведете IP или DNS името на VPN сървъра в мрежата, към която искате да се свържете. След това кликнете върху Next (Напред).
След това въведете потребителското си име и парола и кликнете върху свързване.
След като се свържете, ще можете да видите дали сте свързани към VPN, като кликнете върху иконата за състоянието на мрежата.
Домашна работа
- Прочетете следната статия в TechNet, която ви води през защитата за планиране за VPN.
Забележка: Днешната домашна работа е малко извън обхвата на изпита 70-680, но това ще ви даде солидно разбиране за това какво се случва зад сцената, когато се свържете с VPN от Windows 7.
Ако имате някакви въпроси, можете да ме чуете @taybgibb или просто да оставите коментар.