信息系统安全工程师--第四十三课之远程访问服务概述

好长时间没做教程了，因为这段时间一直有事，不好意思。
今天我们主要讲理论方面的知识，那么之前我们学了动态分配IP、配置web服务器以及FTP站点。今天我们主要讲的是远程访问服务。
远程访问服务简称RAS--允许客户机通过拨号连接或虚拟专用连接登录网络。远程客户机一旦得到RAS服务器的确认，就可以访问网络资源，就好像客户机已经直接连接在局域网一样。
远程访问服务适合的环境是：在各地有分公司和出差的员工需要访问总部网络的资源。
windows 2003远程访问服务提供了两种远程访问连接方式：
1.拨号网络：通过使用电信提供商提供的服务，远程客户端使用非永久的拨号连接到远程访问服务器的物理端口上，这时使用的网络就是拨号网络。例如：拨号网络客户端需要安装modem，使用拨号网络拨打远程访问服务器某个端口的电话号码。
2.虚拟专用网：简称VPN，是穿越公用网络的、安全的、点对点连接。虚拟专用网客户端使用特定的，成为隧道协议的基于tcp/ip的协议。与虚拟专用网服务器建立连接。例如：虚拟网络客户端使用虚拟专用网连接到与internet相连的远程访问服务器上，验证呼叫方身份后，在虚拟专用网客户端和企业网络之间传送数据。
这两种连接比专线连接，提供了低成本远程访问服务。
拨号的远程访问通过电话线传输数据，虽然传输速不高，但是对于那些只有少量数据需要传输的用户，特别是在家庭中办公的用户来说是一个很好的方案。
远程访问连接有拨号和VPN两种方式，我们先来看下拨号网络的组成要素，包括拨号网络客户端、远程访问服务器、WAN结构、远程访问协议以及局域网协议等。
1.拨号网络客户端
拨号网络客户端即远程访问客户端。windows NT4.0/XP/2000/2003等操作系统都可以作为拨号网络客户端与windows2003远程访问服务器建立连接。
2.远程访问服务器
windows2003远程访问服务器可以接受拨号连接，并且在远程访问客户端与服务器所在的网络之间进行数据传送。
3.WAN结构
RAS服务器与客户机之间可以建立不同类型的拨号连接，不同的连接类型提供了不同的速度，这些连接类型包括PSTN、ISDN以及ADSL等。
4.远程访问协议
远程访问协议用来控制连接的建立以及数据在WAN链路上的传输。远程访问客户端与服务器上所使用的操作系统与LAN协议决定了客户机所能够使用的远程访问协议。windows2003远程访问支持3种类型的远程访问协议：
（1）点到点协议--一种应用非常广泛的工业标准协议，它能够支持多格厂商的远程访问软件并且支持多种网络协议，可以提供最佳的安全性能、多协议访问以及互操作性。
（2）串行线路网际协议---是一种在运行老式UNIX操作系统远程访问服务器上的协议。
（3）Microsoft RAS协议---一种在运行Microsoft操作系统远程访问客户机上使用的远程访问协议。
5.LAN协议
LAN协议是远程访问客户用来访问连接到远程访问服务器上的网络资源而使用的协议。windows 2003中的远程访问服务支持TCP/IP、IPX以及netbeui等协议。

我们再来看下VPN的组件，通俗来讲，VPN就是基于公共网络，在两个或两个以上的局域网之间创建传输数据的网络隧道。当传输数据通过网络隧道时，进行安全的VPN数据加密，从而确保了用户数据的安全性、完整性和真实性。
要使用VPN远程访问，需将RAS服务器用作VPN服务器。VPN服务器和客户机通过本地的internet服务提供商在internet上建立虚拟点到点的连接，就像是客户机直接连接到服务器的网络一样。
VPN的组成要素有：
1.VPN客户端
VPN客户端可能是一台单独的计算机，也可能是路由器。一般的，VPN客户端需要通过当地ISP联上公共网络以便和VPN服务器连接。
2.VPM服务器
接受VPN客户端VPN连接的计算机。该计算机一般是使用专线连接公共网络，有固定IP地址。
3.隧道
连接中封装数据的部分
4.VPN连接
连接中加密数据的部分。对典型的安全VPN连接，数据会被加密和压缩。
5.隧道协议
用来管理以及压缩专用数据的协议。windows2003家族产品包括PPTP和L2TP隧道协议。
6.传输互联网络
压缩数据所通过的、共享的或公共的网络。对于windows2003，传输互联网络始终是IP网络。传输互联网络可以是internet或基于IP的专用Intranet。