Xây dựng máy chủ VPN

Số trang: 5 Loại file: pdf Dung lượng: 235.89 KB Lượt xem: 13 Lượt tải: 0

10.10.2023

Hỗ trợ phí lưu trữ khi tải xuống: miễn phí

Báo xấu

Xem trước 2 trang đầu tiên của tài liệu này:

Thông tin tài liệu:

Trong bài này chúng tôi sẽ giới thiệu lần lượt các bước triển khai cơ bản truy cập VPN từ xa. Điều đầu tiên bạn cần quyết định trước khi xây dựng một máy chủ Window VPN là liệu có nên sử dụng hay không dịch vụ chứng thực Internet của Microsoft (IAS) để xác nhận người dùng kết nối với VPN. IAS là bổ sung RADIUS của Microshop và khi xây dựng máy chủ VPN là bạn đã có thể kiểm tra quyền truy cập hợp pháp IAS của người dùng hay có thể cho phép người dùng được...
Nội dung trích xuất từ tài liệu:
Xây dựng máy chủ VPN Xây dựng máy chủ VPN Trong bài này chúng tôi sẽ giới thiệu lần lượt các bước triển khai cơ bản truy cập VPN từ xa. Điều đầu tiên bạn cần quyết định trước khi xây dựng một máy chủ Window VPN là liệu có nên sử dụng hay không dịch vụ chứng thực Internet của Microsoft (IAS) để xác nhận người dùng kết nối với VPN.IAS là bổ sung RADIUS của Microshop và khi xây dựng máy chủ VPN là bạn đã có thể kiểm traquyền truy cập hợp pháp IAS của người dùng hay có thể cho phép người dùng được chứng thựctrực tiếp tới Active Directory (AD).IAS cung cấp một số tiện ích. Đầu tiên, nó có nhiều khả năng truy cập tốt hơn bao gồm gửi dữliệu trực tiếp tới cơ sở dữ liệu SQL. Thứ hai, IAS cung cấp một đích đến tập trung để bạn chỉ tớimột số máy chủ VPN khác. Điều này cho phép bảo trì một tập hợp các phương pháp truy cập từxa mà tất cả các máy chủ VPN có thể sử dụng. Chúng ta không đi quá chi tiết về các cách truycập từ xa trong bài này, nhưng đây được mô tả như là cách làm hiệu quả để xác định ai đượcphép truy cập VPN. Giả thiết rằng IAS là sự lựa chọn chứng thực của bạn, hãy xem các cấu hìnhcủa máy chủ IAS.Thực hiện theo các bước sau để cài đặt máy chủ IAS. Nếu phần cứng trên máy tính không đủ thìIAS có thể được cài đặt trên cùng một máy chủ mà bạn dùng để truy cập VPN (chú ý việc làmnày không đảm bảo an toàn bảo mật). Hình 11. Start » Control Panel » Add or Remove Programs » Add/Remove Windows Components »Networking Services » Details... » Internet Authentication Service2. Start » Administrative Tools » Internet Authentication Service » Kích chuột phải vào InternetAuthentication Service (local) » Register Server in Active Directory3. Start » Administrative Tools » Internet Authentication Service » Remote Access Logging »Chọn tùy chọn mong muốn.4. Start » Administrative Tools » Internet Authentication Service » kích chuột phải vào RADIUSClients » New RADIUS Client » Nhập thông tin thích hợp cho máy chủ VPN (bạn sẽ được yêucầu chia sẻ bí mật, chọn một và lưu để làm mã xác nhận sau này)5. Nếu máy chủ IAS bật tường lửa thì hãy cho phép cổng UDP 1812 từ máy chủ VPN không bịchặn.Mở giao diện quản trị IAS, thực hiện theo các bước để thêm một điểm truy cập từ xa cho phéptruy cập đối với người dùng trong nhóm AD đặc biệt (hai nhóm mặc định không cho phép bất kìai truy cập vào máy chủ VPN). Hình 21. Start » Administrative Tools » Internet Authentication Service » kích chuột phải vào RemoteAccess Policies » New Remote Access Policy2. Chọn tên » Next3. Chọn VPN » Next4. Kích Add...5. Kích Locations... và chọn domain6. Thêm MyVPNaccessGroup » Next7. Giữ lại tùy chọn duy nhất MS-CHAPv2 » Next8. Giữ lại tùy chọn duy nhất Strongest encryption » Next » FinishCuối cùng bạn cần cập nhật các hướng truy cập từ xa để bảo vệ chống lại các máy tính nguyhiểm trên mạng người dùng từ xa dùng kết nối VPN theo gói thông qua máy chủ VPN. Thựchiện theo các bước sau:Start » Administrative Tools » Internet Authentication Service » Remote Access Policies » kíchchuột phải vào chính sách mới và chọn properties » kích Edit Profile... » chọn tab IP » InputFilters... » New... » OK » kích Permit only the packets listed below » OK » OK » OKMáy chủ IAS giờ đây đã sẵn sàng để nhận các yêu cầu chứng thực từ máy chủ VPN. Trước khicó thể cấu hình một máy chủ VPN, hãy quan tâm tới những yêu cầu thiết yếu của máy chủ VPN:1. Thiết lập hai card giao diện mạng (NICs) trên máy chủ VPN, một card nối với mạng được bảovệ bên nội bộ và card kia nối với DMZ hay mạng dùng chung có thể truy cập được (NIC ngoài).2. Không cấu hình DNS hoặc WINS trên NIC ngoài.3. Không xác định các cổng nối mặc định cho NIC trong, chỉ xác định một cổng nối duy nhất choNIC ngoài.Sau đây là các bước cần thiết để cấu hình mới máy chủ VPN:1. Start » Administrative Tools » Services » Dừng dịch vụ Windows Firewall/InternetConnection Sharing và thiết lập chế độ startup thành Disabled2. Start » Administrative Tools » Routing and Remote Access3. Kích phải chuột tại tên máy chủ rồi kích Configure và Enable Routing and Remote Access(dịch vụ tường lửa trong phải không được kích hoạt)4. Chọn Remote Access » Next » chọn VPN » Next5. Chọn NIC ngoài (Chú ý hộp kiểm Enable security...) » Next6. Chọn NIC trong » Next7. Chọn Automatically hoặc From a specified range of addresses (thủ tục này theo tùy chọnthứ 2) » Next8. Kích New... » nhập một dải cho các IP » OK » Next9. Chọn Yes, set up this server to work with a RADIUS server » Next10. Nhập máy chủ IAS và chia sẻ bảo mật » Next » Finish11. Routing and Remote Access » MAYCHUCUABAN » IP Routing » DHCP Relay Agent »Thêm địa chỉ IP của một máy chủ DHCP tới cấu hình DHCP Relay Age ...