If-Koubou

Geek School: Учене на Windows 7 - Отдалечен достъп

Geek School: Учене на Windows 7 - Отдалечен достъп (Как да)

В последната част на поредицата разгледахме как можете да управлявате и използвате компютрите си Windows отвсякъде, докато сте в една и съща мрежа. Но какво ще стане, ако не сте?

Не забравяйте да проверите предишните статии в серията Geek School в Windows 7:

  • Въвеждане на How-To Geek School
  • Ъпгрейди и миграции
  • Конфигуриране на устройства
  • Управление на дискове
  • Управление на приложения
  • Управление на Internet Explorer
  • IP адресиране на основните принципи
  • Работа в мрежа
  • Безжична мрежа
  • Windows защитна стена
  • Отдалечено управление

И останете настроени за останалата част от серията през цялата тази седмица.

Защита на мрежовия достъп

Защитата на мрежовия достъп е опит на Microsoft да контролира достъпа до мрежови ресурси въз основа на здравето на клиента, опитвайки се да се свърже с тях. Например, в ситуация, когато сте потребител на лаптоп, може да има много месеци, когато сте на път и не свържете лаптопа си към корпоративната си мрежа. През това време няма гаранция, че вашият лаптоп не се заразява с вирус или злонамерен софтуер или че дори получавате актуализации за антивирусни дефиниции.

В тази ситуация, когато се върнете в офиса и свържете машината към мрежата, NAP автоматично ще определи здравето на машините спрямо правилата, които сте настроили на един от вашите NAP сървъри. Ако устройството, свързано към мрежата, не успее да прегледа здравето, автоматично се премества в супер-ограничен раздел на вашата мрежа, наречен зоната за възстановяване. Когато сте в зоната за ремонт, сървърите за възстановяване ще се опитат автоматично да отстранят проблема с вашето устройство. Някои примери могат да бъдат:

  • Ако защитната стена е деактивирана и вашите правила изискват нейното активиране, сървърите за саниране ще активират вашата защитна стена за вас.
  • Ако вашите здравни правила гласят, че трябва да имате най-новите актуализации на Windows и не сте, можете да имате WSUS сървър в зоната за ремонт, който ще инсталира най-новите актуализации на вашия клиент.

Вашата машина ще се придвижи обратно към корпоративната мрежа само ако тя се счита за здрава от вашите NAP сървъри. Има четири различни начина, по които можете да прилагате НПР, като всеки от тях има своите предимства:

  • VPN - Използването на метода за изпълнение на VPN е полезно в компания, в която имате телекомуникационни средства, работещи дистанционно от дома, използвайки собствени компютри. Никога не можете да сте сигурни в какъв зловреден софтуер някой може да инсталира на компютър, за който нямате контрол. Когато използвате този метод, здравето на клиента ще бъде проверявано всеки път, когато инициира VPN връзка.
  • DHCP - Когато използвате метода за изпълнение на DHCP, клиентът няма да получи валидни мрежови адреси от вашия DHCP сървър, докато не бъде считан за здрав от вашата NAP инфраструктура.
  • IPsec - IPsec е метод за криптиране на мрежовия трафик посредством сертификати. Въпреки че не е много често, можете да използвате IPsec, за да наложите NAP.
  • 802.1х - 802.1x понякога се нарича удостоверяване на порт и е метод за удостоверяване на клиенти на ниво превключвател. Използването на 802.1x за прилагане на политика на NAP е стандартна практика в днешния свят.

Dial-Up връзки

По някаква причина в този ден Microsoft все още иска да знаете за тези примитивни комутируеми връзки. Dial-up връзките използват аналоговата телефонна мрежа, известна още като POTS (обикновена стара телефонна услуга), за да доставя информация от един компютър на друг. Те правят това чрез модем, който е комбинация от думите модулира и демодулира. Модемът се закачва към вашия компютър, обикновено използвайки RJ11 кабел и модулира цифровите информационни потоци от вашия компютър в аналогов сигнал, който може да се прехвърля през телефонните линии. Когато сигналът достигне целта си, той се демодулира от друг модем и се връща обратно в цифров сигнал, който компютърът може да разбере. За да създадете комутируема връзка, кликнете с десния бутон на мишката върху иконата за състоянието на мрежата и отворете Центъра за мрежи и споделяне.

След това кликнете върху Настройка на нова връзка или мрежова хипервръзка.

Сега изберете Настройка на комутируема връзка и щракнете върху следващия.

Оттук можете да попълните цялата необходима информация.

Забележка: Ако получите въпрос, който изисква да настроите връзка по време на изпита, те ще предоставят съответните данни.

Виртуални частни мрежи

Виртуалните частни мрежи са частни тунели, които можете да създадете чрез обществена мрежа, като интернет, за да можете сигурно да се свържете с друга мрежа.

Например, може да установите VPN връзка от персонален компютър на вашата домашна мрежа, към вашата корпоративна мрежа. По този начин изглежда, че компютърът във вашата домашна мрежа наистина е част от вашата корпоративна мрежа. Всъщност дори можете да се свържете с мрежови акции и като например, ако сте взели компютъра си и сте го включили физически в работна мрежа с Ethernet кабел. Разбира се, разликата е скорост: вместо да получите скоростите на Gigabit Ethernet, които бихте направили, ако бяхте физически в офиса, ще бъдете ограничени от скоростта на вашата широколентова връзка.

Вие вероятно се чудите колко безопасно са тези "частни тунели", тъй като те "тунели" по интернет. Могат ли всички да видят вашите данни? Не, те не могат и това е, защото ние криптиране на данните, изпратени през VPN връзка, оттам и името виртуална "частна" мрежа. Протоколът, използван за капсулиране и шифроване на данните, изпратени по мрежата, е оставен на вас и Windows 7 поддържа следното:

Забележка: За съжаление тези дефиниции ще трябва да знаете със сърце за изпита.

  • Протокол за тунелиране от точка до точка (PPTP) - Протоколът Point to Point Tunneling позволява мрежовият трафик да бъде капсулиран в IP хедър и да бъде изпратен през IP мрежа, като например интернет.
    • Капсулирането: Пакетите PPP са капсулирани в IP дейтаграма, като се използва модифицирана версия на GRE.
    • Encryption: Пакетите PPP са кодирани с помощта на Microsoft Point-to-Point Encryption (MPPE). Ключовете за шифроване се генерират по време на удостоверяването, когато се използват протоколите за протокол за удостоверяване на протокола Handshake за протокол Microsoft Challenge версия 2 (MS-CHAP v2) или протоколи за протокол за проследяване на протоколите за проследяване на протоколите (EAP-TLS).
  • Протокол за тунелиране на ниво 2 (L2TP) - L2TP е защитен протокол за тунелиране, използван за транспортиране на PPP кадри, използвайки Интернет протокола. Той е частично базиран на PPTP. За разлика от PPTP, внедряването на L2TP от Microsoft не използва MPPE за криптиране на PPP рамки. Вместо това L2TP използва IPsec в транспортния режим за криптиране. Комбинацията от L2TP и IPsec е известна като L2TP / IPsec.
    • Капсулирането: Пакетите PPP се завиват първо с L2TP заглавка и след това с UDP заглавка. Резултатът след това е капсулиран с помощта на IPSec.
    • Encryption: L2TP съобщенията са кодирани с AES или 3DES криптиране, използвайки клавиши, генерирани от процеса на преговори на IKE.
  • Протокол за сигурен тунелен шкаф (SSTP) - SSTP е протокол за тунелиране, който използва HTTPS. Тъй като TCP порт 443 е отворен за повечето корпоративни защитни стени, това е чудесен избор за тези държави, които не позволяват традиционните VPN връзки. Той също е много сигурен, тъй като използва SSL сертификати за криптиране.
    • Капсулирането: Пакетите PPP са капсулирани в IP дейтаграми.
    • Encryption: SSTP съобщенията са шифровани чрез SSL.
  • Интернет ключ за обмен (IKEv2) - IKEv2 е протокол за тунелиране, който използва протокола IPsec Tunnel Mode през UDP порт 500.
    • Капсулирането: IKEv2 капсулира дейтаграми, използващи IPSec ESP или AH заглавки.
    • Encryption: Съобщенията се кодират с криптиране AES или 3DES, използвайки ключовете, генерирани от процеса на преговори IKEv2.

Изисквания към сървъра

Забележка: Очевидно можете да имате други операционни системи, които да бъдат VPN сървъри. Това обаче са изискванията за стартиране на Windows VPN сървър.

За да позволите на хората да създават VPN връзка към вашата мрежа, трябва да имате сървър с Windows Server и да имате инсталирани следните роли:

  • Маршрутизиране и отдалечен достъп (RRAS)
  • Сървър за мрежова политика (NPS)

Освен това ще трябва да настроите DHCP или да разпределите статичен IP пул, който да използват машините, свързващи VPN.

Създаване на VPN връзка

За да се свържете с VPN сървър, кликнете с десния бутон на мишката върху иконата за състоянието на мрежата и отворете Центъра за мрежи и споделяне.

След това кликнете върху Настройка на нова връзка или мрежова хипервръзка.

Сега изберете да се свържете с работно място и щракнете върху следващия.

След това изберете да използвате съществуващата си широколентова връзка.

P

Сега ще трябва да въведете името IP или DNS на VPN сървъра в мрежата, с която искате да се свържете. След това кликнете върху следващия.

След това въведете потребителското си име и парола и кликнете върху свързване.

След като свържете, ще можете да видите дали сте свързани с VPN, като кликнете върху иконата за състоянието на мрежата.

Домашна работа

  • Прочетете следната статия относно TechNet, която ви води през планирането на сигурността за VPN.

Забележка: Днешната домашна работа е малко извън обхвата на изпита 70-680, но ще ви даде солидно разбиране за това какво се случва зад сцената, когато се свържете с VPN от Windows 7.

Ако имате някакви въпроси, можете да ми пишете @taybgibb или просто да оставите коментар.

Топ статии
Geek School: Учене на Windows 7 - Мониторинг, представяне и поддържане на Windows до днешна дата
Как да
Гейк училище: Обучение Windows 7 - Ресурсен достъп
Как да
Geek School: Учене на Windows 7 - ъпгрейди и миграции
Как да