远程网络连接的安全配置

null远程网络连接的安全配置 远程网络连接的安全配置 在远程网络连接中同样存在一定的安全风险，如可能从外部网络或者外部主机上感染像病毒、黑客程序之类恶意代码；还可能被非法用户通过获取权限，控制或潜入企业网络内部进行非法破坏活动。所以，我们在配置远程网络连接的同时，一定要注意连接所带来的安全隐患，采取相应的安全防御措施进行防范。 本章重点 远程桌面连接和远程协助连接的用户权限配置 远程访问的安全配置 VPN的主要分类 VPN的主要隧道技术 IPSec安全10.1 远程桌面连接的用户权限配置10.1 远程桌面连接的用户权限配置 “远程桌面连接”（以前称之为“终端服务客户端”）是为Windows Server 2003系统提供的一种连接远程工作站的远程管理工具，使用它可以很容易地连接到终端服务器或其他运行远程桌面程序的计算机。您所需要的仅是进行网络访问和连接到其他计算机的权限。 10.1.1 “远程桌面连接”、“远程桌面”和“管理远程桌面”的联系与区别 在Windows Server 2003系统中，与“远程桌面连接”有关的工具还有另两个，它们就是“远程桌面”管理单元、“管理远程桌面”。在这里我们首先要搞清楚它们之间的区别与联系。 “远程桌面连接”与“远程桌面”、“管理远程桌面”其实都是来自终端服务的功能，但它们所担当的职责各不一样。null “远程桌面连接”是用来进行远程工作站管理的；“远程桌面”则是Windows Server 2003系统的一项新的管理单元，可以使用“远程桌面”管理单元，用来创建到多个终端服务器或到运行Windows 2000 Server或Windows Server 2003家族操作系统的计算机的远程桌面连接； “管理远程桌面”（原来称为“远程管理模式的终端服务”）也是由“终端服务”启用，其实它也是一种“远程桌面连接”，不同的只是它连接的对象是专指安装了终端服务器的服务器。 综上所述，“远程桌面连接”、“远程桌面”管理单元和“管理远程桌面”所采用的连接方式都是“远程桌面连接”，而且都是由终端服务启用，不同的只是连接对象不一样。 本节详细内容参见书本P400页。10.1.2 “远程桌面连接”权限配置 10.1.2 “远程桌面连接”权限配置 “远程桌面连接”需要有专门的权限才可进行，系统默认并不是所有用户都有这个权限。但是要拥有“远程桌面连接”权限的门槛又非常低，只需比普通的Users组权限高一点，把用户添加到专门用来管理远程桌面连接用户的“Remote Desktop Users”组即可，那怕该用户以前仅是最低权限的Guest帐户。另外，还需在远程桌面连接服务器端开启“远程桌面”连接功能。 远程桌面连接中，如果是在域网络中，可用域用户帐户登录，也可用远程桌面连接服务器端的本地系统用户帐户登录。默认情况下，域和本地系统的Administrators组成员都具有远程登录权限，无需配置。除此之外还可配置其他一些用户具有有远程登录权限，添加到自Windows XP系统推出的“Remote Desktop Users”组中即可。 具体用户帐户添加和权限配置方法参见书本P401~P404页。 10.2 终端服务的用户权限配置 10.2 终端服务的用户权限配置 在Windows Server 2003 家族操作系统中，终端服务是包括几种功能和组件的基本技术，其中最主的有“终端服务器”和“管理远程桌面”。而“管理远程桌面”的核心又是“远程桌面连接”，所以总的来说，Windows Server 2003 家族操作系统中的终端服务主要包括“远程桌面连接”和“终端服务器” 。前者是用来远程连接工作站和服务器的一种远程网络访问工具，而后者则是专门为终端用户提供统一的服务器访问的管理工具。 在终端用户的终端远程访问中，通过使用“Remote Desktop Users”用户组和“RemoteInteractiveLogon”权限，可以很容易地在每计算机基础上处理终端服务权限。默认情况下，有完全控制、用户访问和来宾访问这三种类型权限。 权限类型对应的具体权限和权限配置方法参见书本P404~P407页。 10.3 “远程桌面Web连接”的安全配置 10.3 “远程桌面Web连接”的安全配置 “远程桌面Web连接”是由ActiveX控件、示例网页和其他文件组成的Web应用程序，其作用就是通过与远程计算机的Web服务器连接，以实现与远程计算机的终端服务连接，而且远程连接的客户机计算机还可以没有安装终端服务。相比之下，它比“远程桌面连接”的要求要低许多。但“远程桌面Web连接”需要安装专门的组件，可通过“控制面板”中的“添加/删除程序”选项以向导方式进行，具体参见《网管员必读——网络管理》和《网管员必读——超级网管经验谈》两书。 具体的“远程桌面Web连接”的安全配置方法参见书本P407~P410页。 10.4“远程协助”的用户权限配置 10.4“远程协助”的用户权限配置 远程协助（Remote Assistance）可以让信任的人（如朋友、支持人员或IT管理员）从远方主动为计算机出现问题的人提供帮助。帮助者可以查看请求帮助的用户的计算机屏幕并提出相关建议。在用户的许可下，帮助者可以远程控制用户的计算机并执行帮助任务。不过它只能在Windows XP和Windows Server 2003系统之间进行，其他版本的Windows系统无此功能。 只要得到用户和组策略（Group Policy）的许可，帮助者就可以控制用户的计算机并执行任何用户可以执行的任务，包括访问网络。为了保证公司的安全，需要对防火墙、组策略和个人计算机进行相应设置，具体的配置方法参见书本P410~P414页。 10.4.1远程协助用户权限配置 10.4.1远程协助用户权限配置 要进行远程协助，首先必须确定协助连接的双方必须是Windows XP或者Windows Server 2003系统，其他版本的没有此功能。因为远程协助同样需要进行用户身份验证的，所用用户必须是接受方计算机的本地帐户或者双方所在网络的网络帐户，所以在接受远程协助的一方就要配置允许哪些用户为自己提供远程协助。因为很可能一些非法用户借远程协助之名，行“入侵、攻击”之实，一定要小心，千万不要接受陌生人的主动协助。 在整个远程协助接受方安全配置中主要涉及到两个方面：用户权限配置和3389安全端口的开放与关闭，具体配置方法参见书本P410~P414页。 10.4.2防火墙的3389号端口开放与关闭 10.4.2防火墙的3389号端口开放与关闭 因为远程协助使用远程桌面协议（RDP）建立用户请求帮助和助理提供帮助之间的连接，而RDP协议为此连接使用了3389号TCP端口。在有防火墙的情况下，如果要使用远程协助允许组织内用户向组织外请求帮助，3389号端口必须在防火墙上打开。如果您关闭3389号端口，则也会阻止所有上几节介绍的通过该端口进行的远程桌面连接和终端服务连接。如果您要允许这些服务，但又想限制远程协助请求，还得请使用前节介绍的组策略设置方法。如果该端口只为出站流量打开，那么用户可以使用Windows Messenger请求远程协助。 微软的ICF默认允许进站和出站的远程协助流量，只要初始协助请求是从启用防火墙的计算机上创建的。如果协助邀请不是从本机上创建的，则需要专门配置ICF防火墙了。具体配置方法参见书本P414~P415页。 10.5 远程访问权限的配置 10.5 远程访问权限的配置 通过“路由和远程访问”服务组建远程访问服务器是像Windows 2000 Server/Server 2003这类服务器系统的一个重要功能，它既可接受来自其他网络或单机用户的远程连接，也可以使系统成为网络软件型路由器，连接不同网络。 10.5.1 远程访问连接所需的安全考虑 在配置和启用“路由和远程访问”的远程访问功能之前，必须考虑以下几个方面： 谁可以启用、配置和禁用“路由和远程访问” 必须是Administrators组的成员，才可以使用“路由和远程访问”管理单元。同样，必须是Administrators组的成员才能从命令行运行大多数netshras命令。 如何打开“路由和远程访问” 作为安全性最佳操作，请考虑使用runas命令来打开“路由和远程访问”，而不是以管理凭据进行登录。null支持远程访问的客户端操作系统 只有Windows XP、Windows 2000和Windows Server 2003家族产品才支持远程访问。在其中，还应考虑：所支持的身份验证方法；所支持的数据加密等级；是否需要强密码；是否向用户提供受管理的客户端等方面。 如何将远程访问解决文档化 应考虑将远程访问需求以及如何配置网络以满足需求文档化。这有助于维护网络以及查明需要考虑或改进的潜在区域。 是否使用Windows身份验证或RADIUS 如果有多台服务器运行“路由和远程访问”，则应考虑使用远程身份验证拨入用户服务（RADIUS）来代替Windows身份验证。 是否限制远程访问 应考虑通过配置远程访问策略，将对您网络的远程访问限制于特定的用户、用户组、时间或客户端配置。 本节详细内容参见书本P416~P417页。10.5.2 远程访问用户权限配置 10.5.2 远程访问用户权限配置 在Windows Server 2003 家庭系统独立服务器上，可以在“本地用户和组”中用户帐户的“拨入”选项卡上，设置拨入属性；在运行Active Directory的服务器上，可以在“Active Directory用户和计算机”中用户帐户的“拨入”选项卡上，设置拨入属性。 用户远程访问权限的配置既可在用户帐户拨入属性中配置，也可在具体的远程访问策略中配置。可使用用户帐户拨入属性来设置是否明确允许、拒绝或通过远程访问策略确定远程访问。各种情况下都可使用远程访问策略授权连接尝试。而且如果在用户拨入属性中被明确地允许远程访问，在远程访问策略条件或配置文件属性仍然可拒绝连接尝试，所以总的来说还是远程访问策略优先于用户帐户拨入属性配置，除非帐户没有在相应远程访问策略中加入。 用户权限配置的具体方法参见书本P418~P419页。 10.5.3远程服务器身份验证安全配置 10.5.3远程服务器身份验证安全配置 在远程访问连接中，远程访问服务器的安全当然是首要考虑的。在其中主要考虑的是采取哪种身份验证和记帐方式，但又不能一味地追求高安全级别的验证和记帐方式，因为它们都受到一定条件的限制。 在身份验证和记帐方面都包括：Windows方式和RADIUS(远程身份验证拨入用户服务）服务器两种方式。而可以采用的身份验证方式包括：EAP身份验证、MS-CHAP、MS-CHAP版本2、CHAP、SPAP和PAP。具体如何选择，选择哪一种均要视具体环境和具体应用而定。 本节详细内容参见书本P419~P425页。 10.5.4 远程访问策略安全配置 10.5.4 远程访问策略安全配置 在远程访问中，除了需要配置远程访问服务器的安全策略外，还可在具体的远程访问策略中配置各项安全策略，以确保远程访问连接通信的安全。 在远程访问策略中的具体安全策略部署方法参见书本P425~P429页。 10.5.5 远程访问帐户锁定 可以使用远程访问帐户锁定功能指定在拒绝用户访问之前远程访问身份验证对有效用户帐户失败的次数。对于Internet上的远程访问虚拟专用网（VPN）连接而言，远程访问帐户锁定尤其重要。Internet上的攻击者可能会在VPN连接身份验证过程中，通过发送凭据（有效用户名称，猜测的密码）来尝试访问一个组织的Intranet。在字典攻击期间，攻击者通过使用一系列基于常用词和短语的密码来发送成千上万的凭据。null 启用远程访问帐户锁定之后，在指定的失败尝试次数之后，字典攻击就会失效。作为网络管理员，必须确定两个远程访问帐户锁定变量： 拒绝进一步尝试之前允许失败尝试的次数。 在每一次尝试失败后，该用户帐户失败尝试计数器加1。如果该用户帐户的失败尝试计数器达到配置的最大数时，以后的连接尝试都将被拒绝。当失败尝试计数器的值小于配置的最大值时，一次成功的身份验证可以将它复位为零。换句话说，失败尝试计数器不会在成功的身份验证的基础上积累。 失败尝试计数器复位的频率。 失败尝试计数器周期性地重置为0。如果在最多次失败尝试后帐户被锁定，则在重置时间过后，失败尝试计数器会自动重置为0。 本节详细内容和远程访问账户锁定配置方法参见书本P428~P429页。10.6 VPN技术基础 10.6 VPN技术基础 在企业专用网连接方面，目前首选基本上都是采用虚拟专用网（Virtual private networks ，VPN）技术来实现的，告别了几年前一直垄断的各种专线连接方式。VPN是一种新型的远程网络访问技术，它的出现已有好几年的历史，但在近两年内得到了企业用户的广泛关注。究其原因主要有两个方面： 首先一点就是它的“廉价”。相对专线连接来说，通信成本最高可降低70%。 另一方面就是它的安全。以前人们钟情于价格昂贵的专线连接，其原因就是看到了专线连接的安全性。现在不同了，经过几年的发展，VPN技术在安全性方面有了相当大的提高，安全可以与专线连接技术相媲美。 10.6.1 VPN的产生及前景 10.6.1 VPN的产生及前景 VPN其实早就不是一个新的名词，因为在电信服务中，早在电话网络中就提出了VPN的概念，而此处我们所介绍的VPN技术，则是VPN技术在计算机网络中的应用，它是基于数据网络为企业联网访问的。随着企业全球化进程的不断深入和移动办公队伍的不断增长，网络主管们越来越认识到虚拟专用网（VPN）的巨大优势。这种网络技术也正在越来越多地被加以采用。 VPN综合了传统专线数据网络的性能优点（安全和 QoS）和共享数据网络结构的优点（简单和低成本），能够提供远程访问、外部网和内部网的连接，价格比专线或者帧中继（FR）网络要低得多。而且VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求，迎合了用户对安全性和网络性能的追求，并且可以较以前的产品提供更为丰富的特性和功能。10.6.2 VPN的组成及基本通信步骤 10.6.2 VPN的组成及基本通信步骤 VPN网络连接与常见的网络连接一样也是由客户机、传输介质和服务器这三部分组成。不同的是VPN的传输介质是建立在公用，或专用网络上的“隧道”。 整个VPN通信过程可以简化为以下4个通用步骤： （1）客户机向VPN服务器发出请求； （2）VPN服务器响应请求并向客户机发出身份质询，客户机将加密的身份验证响应信息发送到VPN服务器； （3）VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限；如果具有远程访问权限，则VPN服务器接受此连接； （4）VPN服务器将在身份验证过程中产生的客户机和服务器公钥用来对数据进行加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。 本节详细内容参见书本P431页。 10.6.3 VPN网络与专线网络的区别 10.6.3 VPN网络与专线网络的区别 VPN网络与传统的专线网络相比所具有的明显特点，主要区别体现在以下几个方面： 采用传输媒体不一样 数据传输和加密方式不一样 网络连接的呼叫方式不一样 VPN网可为企业数据提供不同等级的服务质量（QoS）保证 VPN网络的连接成本较低 VPN网络具有可管理性 本节详细内容参见书本P432~P433页。 10.6.4 VPN连接的优势 10.6.4 VPN连接的优势 VPN作为一种新型的远程网络技术目前正在被许多企业用户和接受，并且正在许多大型企业中得到普及。它所带来的好处主要表现在以下几个方面： 节约成本 相比起采用传统租用专线的远程接入服务器或Modem池和拨号线路的企业能够节省30％到70％的开销。这里的成本节省主要体现在：移动通讯费用的节省、专线费用的节省、设备投资的节省和支持费用的节省等方面。 增强的安全性 目前VPN主要采用四项技术来保证数据通信安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、身份认证技术（Authentication）。null网络协议支持 VPN支持最常用的网络协议，这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。 4. 容易扩展 如果企业想扩大VPN的容量和覆盖范围，企业需做的事情很少，而且能及时实现，因为这些工作都可以交由专业的NSP来负责。 可随意与合作伙伴联网 完全控制主动权 借助VPN，企业可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。 安全的IP地址 因为VPN是加密的，因特网上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址。 支持新兴应用 VPN则可以支持各种高级的应用，如IP语音，IP传真，还有各种协议，如RSIP、IPv6、MPLS、SNMPv3等。 本节详细内容参见书本P433~P435页。10.6.5 VPN安全技术概述10.6.5 VPN安全技术概述 VPN的安全技术主要包括隧道协议（Tunneling）、资料加密（Encryption）、认证（Authentication）及存取控制 （Access control）等。 隧道协议（Tunneling） 一般而言，隧道协议技术区分为两种不同的类型。第一种类型是端对点（End-to-End）隧道技术，这种类型的VPN隧道技术可以使加密隧道从用户的PC延伸直接到用户所连接的服务器上。每个端点的VPN设备都必须负责隧道的建立与端点之间资料加密及解密等工作。第二种类是节点对节点（Node-to-Node）隧道技术。这种VPN隧道技术主要是用来连接不同地区的局域网络。 加密 （Encryption）null 大部分的VPN设备厂商都支持市场上主要的几种加密技术，像RSA Security公司的Rivest Cipher技术、DES及Triple-DES （三重DES）等。 身份认证（Authentication） VPN采用了许多现存的用户认证技术。如许多厂商所推出的VPN设备中，都具备了PPP的PAP （Password AuthenticationProtocol，密码认证协议）技术、CHAP（Challenge Handshake AuthenticationProtocol，查间性握手验证协议）以及Microsoft CHAP的支持能力。VPN连接中一般都包括“用户身份认证”和“数据完整性和合法性认证”两种形式的认证。 存取控制（Accesscontrol） 在确认用户身份之后，进一步所需要的功能就是针对不同的用户授予不同的存取权限。许多VPN的产品都伴随有适用该产品的认证服务器，如RADIUS （Remote AuthenticationDial-In User Service，拨号用户远程认证服务器）及TACAS （Terminal AccessController Access System，终端访问控制存取系统）共同运作的能力。 本节详细内容参见书本P435~P436页。10.7 VPN的分类 10.7 VPN的分类 VPN技术虽然出现的时间并不长，但由于其突出的优越性，在较短的时间内得到广大企业用户的青睐，因此各种各样的VPN技术层出不穷和VPN实现方式也开始出现了多样化。本节介绍几种不同的主流VPN技术和实现方式分类标准。 10.7.1 按VPN的应用平台分类 这是从VPN的实现方式来划分的。根据VPN的应用平台可分为：软件平台、专用硬件平台及辅助硬件平台三类 软件平台VPN 当对数据连接速率较低要求不高，对性能和安全性要求不强时，可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN的功能，如checkpoint software 和Aventail Corp等公司的产品。null 软件VPN方案中，甚至可以不需要另外购置软件，仅依靠微软的Windows操作系统，特别是自Windows 2000版本以后的系统就可实现纯软件平台的VPN连接。 专用硬件平台VPN 它使用专用硬件平台的VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求，尤其是从加密及数据乱码等对CPU处理能力需求很高的功能，性能最好。比较有名的如国外的：Nortel、Cisco、3Com等，国内的如华为、联想等。 辅助硬件平台VPN 这类VPN的平台介于软件平台和指定硬件平台的之间，辅助硬件平台的VPN主要是指以现有网络设备为基础，再增添适当的VPN软件以实现VPN的功能。而这类VPN软件通常是一些专用软件厂商开发的，它们通常具有通用性，不是专为某一品牌的设备而开发的。 本节详细内容参见书本P437~P438页。10.7.2 按VPN的部署模式分类 10.7.2 按VPN的部署模式分类 VPN的部署模式从本质上描述了VPN通道的起始点和终止点，总的来说有3种VPN部署模式： 端到端（End-to-End）模式 该模式是自建VPN的客户所采用的典型模式，也是最为彻底的VPN网络，企业具有完全的自主控制权。 供应商―企业（Provider-Enterprise）模式 这是一种外包方式，客户不需要购买专门的隧道设备、软件，由VPN服务提供商（NSP）提供设备来建立通道并验证。适合广大的中、小型企业组建VPN网络。 内部供应商（Intra-Provider）模式 这也是一种外包方式，与上一种方式最大的不同就在于用户对NSP的授权级别不同。 本节详细内容参见书本P437~P438页。10.7.3 按VPN的服务类型分类 10.7.3 按VPN的服务类型分类 根据VPN应用的类型来分，VPN的应用业务大致可分为3类，即：Access VPN、IntranetVPN与Extranet VPN。 Access VPN Access VPN又称为远程访问VPN，是指企业员工或企业的小分支机构通过公网远程访问的方式构筑的虚拟网。 Intranet VPN Intranet VPN即企业集团内部的总部与分支机构间通过VPN虚拟网进行网络连接，又称为“企业内联VPN”。 Extranet VPN Extranet VPN也称为“企业外联VPN”，它是用于企业与合作伙伴、供应商之间的专用网络连接。 本节详细内容参见书本P438~P440页。10.8 VPN隧道技术 10.8 VPN隧道技术 任何VPN技术的核心都是“Tunneling”（隧道）技术。隧道允许VPN的数据流被路由通过IP网络，而不管生成该数据流的是何种类型的网络或设备。这样VPN的操作独立于其他的网络协议，隧道内的数据流可以是IP、IPX、AppleTalk或其他类型的数据包。 10.8.1 VPN隧道基础 VPN通道的建立有赖于“隧道”技术。在隧道被初始化之后，传送过程中VPN数据的保密性和完整性可以通过高级加密技术来加以保护。隧道技术甚至允许一个被来自不同信源的流量所占据的IP网络对非IP数据进行路由。 要形成隧道，需要以下几个基本的要素： 隧道开通器（TI）：用于数据发送端在发送数据中开通专用隧道；null有路由能力的公用网络：这主要由带VPN路由功能的路由器完成； 一个或多个隧道终止器（TT）：以确定数据报头和数据帧的分离位置； 必要时增加一个隧道交换机，以增加灵活性。 除此以外，VPN网络中通道还有一个或多个安全服务器。安全服务器除提供防火墙和地址转换功能之外，还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息，如带宽、隧道端点、网络策略和服务等级。这些都是由专门的软件系统提供的。 本节详细内容参见书本P4440~P442页。10.8.2 VPN隧道类型 10.8.2 VPN隧道类型 在实际的VPN网络连接中，根据需要可创建不同类型的VPN隧道，目前主要有以下2种： 自愿隧道（Voluntary tunnel） 这种“自愿隧道”是由客户端计算机通过发送VPN请求来创建和配置的。在这种隧道中双方用户端计算机作为隧道的端点。这种方式通常是在软件VPN应用中。 强制隧道（Compulsory tunnel） 这种“强制隧道”是由支持VPN的拨号接入服务器来创建和配置的。此时，双方用户端的计算机不作为隧道端点，而是由位于用户计算机和隧道服务器之间的远程接入服务器作为隧道客户端，成为隧道端点。这种方式通常是在硬件或者硬件+软件VPN应用中。前普遍使用的隧道是自愿隧道类型。本节详细内容参见书本P442~P443页。 10.8.3 PPTP隧道协议 10.8.3 PPTP隧道协议 PPTP（Point to Point Turnning Protocol，点对点隧道协议）在Windows NT 4.0和Windows 98中首次被支持的隧道协议。PPTP是点对点协议（PPP）的扩展，并协调使用PPP的身份验证、压缩和加密机制。PPTP的客户端支持内置于Windows XP远程访问客户端。PPTP与TCP/IP协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择，PPTP可以配置为5个或128个PPTP端口。 PPTP协议主要增强了PPP协议的认证、压缩、加密功能。PPTP协议在一个已存在的IP连接上封装PPP会话，只要网络层是连通的，就可以运行PPTP协议。PPTP协议将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询以及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE协议中，用于在标准IP包中封装任何形式的数据包。null 因此PPTP可以支持所有的主流协议，包括IP，IPX，NetBEUI等等。PPTP协议的主要功能是开通VPN隧道，网络连接还是利用原来的PPP协议拨号连接进行的。除了搭建隧道，PPTP对PPP协议本身并没有做任何修改，只是将用户的PPP帧基于GRE封装成IP报文，在因特网中经隧道传送。 PPTP本身也没有重新定义加密机制，但它继承了PPP的认证和加密机制，包括PAP、CHAP、MS-CHAP身份验收证机制以及MPPE（Microsoft Point to Point Encrypt，微软点对点加密加密）机制。PPTP协议是支持Client-to-LAN型隧道VPN实现的一种隧道传送方案，也就是说它可用于移动办公或个人用户与VPN服务器网络进行连接， 也就是通常所说的“远程访问VPN”（Remote Access VPN）。同时，PPTP协议也适用于企业网络之间的LAN-to-LAN类型VPN连接，也就是通常所说的“企业内联/外联VPN”（Intranet/Extranet VPN）网络。 本节详细内容参见书本P4443~P444页。10.8.4 L2F隧道协议 10.8.4 L2F隧道协议 除PPTP协议外，1996年，Cisco提出L2F（Layer 2 Forwarding）隧道协议，它也支持多种协议的连接，但主要用于Cisco（思科）公司的路由器和拨号访问服务器的之间的通信。L2F提供“虚拟拨号”服务，可以支持LAN-to-LAN型的VPN连接。L2F可以在多种介质（如ATM网、帧中继网、IP网）上建立多协议的安全虚拟专用网络，它是将链路层的协议（如HDLC、PPP、ASYNC、HDLC等）封装起来传送的，因此，网络的链路层完全独立于用户的链路层协议。 有关利用L2F协议建立VPN连接的步骤参见书本P444~P445页。10.8.5 L2TP隧道协议 10.8.5 L2TP隧道协议 第二层隧道协议（L2TP）是基于RFC的隧道协议，该协议是一种业内标准，首次是在Windows 2000客户端和服务器操作系统中所支持。与PPTP不同，运行Windows Server 2003的服务器上的L2TP不利用Microsoft点对点加密（MPPE）来加密点对点协议（PPP）数据报。L2TP依赖于加密服务的Internet协议安全性（IPSec）。L2TP和IPSec的组合被称为L2TP/IPSec。L2TP/IPSec提供专用数据的封装和加密的主要虚拟专用网（VPN）服务。 VPN客户端和VPN服务器必须支持L2TP和IPSec。L2TP的客户端支持内置于Windows XP远程访问客户端，而L2TP的VPN服务器支持内置于Windows Server 2003家族的成员。在Windows Server 2003系统中，L2TP与TCP/IP协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择，L2TP可以配置为5个或128个L2TP端口。null 因为L2TP具有PPTP协议和L2F协议两者的特点，所以它既支持Client-to-LAN类型的VPN连接，也支持LAN-to-LAN类型的VPN连接。L2TP的好处在于支持多种协议，可以保留原有的IPX、Appletalk等协议或原有的IP地址。 L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS，L2TP则允许在物理上连接到不同NAS的PPP链路，在逻辑上的终点为同一个物理设备。L2TP扩展了PPP连接，在传统的方式中用户通过模拟电话线或ISDN、ADSL与网络访问服务器建立一个第2层的连接，并在其上运行PPP协议，第2层连接的终点和PPP会话的终点均设在同一个设备上（如NAS）。而L2TP隧道协议作为PPP的扩充提供了更强大的功能，包括允许第2层连接的终点和PPP会话的终点分别设在不同的设备上。 L2TP主要由LAC（L2TP Access Concentrator）和LNS（L2TP Network Server）构成。LAC支持客户端的L2TP，发起呼叫，接收呼叫和建立隧道；而LNS是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，而L2TP能把PPP协议的终点延伸到LNS。 有关L2TP协议VPN建立步骤和L2TP协议封装的详细内容参见书本P4445~P447页。10.9 IPSec安全协议 10.9 IPSec安全协议 通过前几节对PP2P和L2TP两种VPN连接协议方式介绍可看出，最安全的VPN访问通讯是由第2层隧道协议（L2TP）和IPSec结合在一起实现的。二者彼此分工协作，L2TP协议专用来建立数据传输的隧道，而IPSec协议则专用来保护数据，为数据传输提供安全加密措施。 10.9.1 IPSec协议概述 “Internet协议安全性（IPSec）”是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议（IP）网络上进行保密而安全的通讯。Windows 2000/XP/Server 2003家族实施IPSec基于的是“Internet工程任务组（IETF）”IPSec工作组开发的标准。IPSec相关服务部分是由Microsoft与CiscoSystems,Inc.共同开发的。 IPSec有两个目标： 保护IP数据包的内容null通过数据包筛选及受信任通讯的实施来防御网络攻击。 这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。 IPSec基于端对端的安全模式，在源IP和目标IP地址之间建立信任和安全性，可应用于以下企业方案： 局域网（LAN）：客户端/服务器与对等 广域网（WAN）：路由器对路由器以及网关对网关 远程访问：拨号客户端以及从专用网络访问Internet 通常，两端都需要IPSec配置来设置选项与安全设置。 1. IPSec预防攻击功能 IPSec对数据的保护级别是由在IPSec策略结构中指定的安全级别的强度决定的。 2. IPSec 目前有可选的IPv4 IPSec和强制的IPv6 IPSec两种版本。 3. IPSec的主要工作 IPSec的工作主要有数据验证和确保数据完整（Authentication&Integrity）、信任（Confidentiality）。 本节详细内容参见书本P4447~P450页。10.9.2 IPSec协议的安全体系 10.9.2 IPSec协议的安全体系 IPSec安全体系包括3个基本协议：AH协议为IP包提供信息源验证和完整性保证；ESP协议提供加密机制；密钥管理协议（ISAKMP）提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件，规定了加密和认证的算法。解释域（DOI）通过一系列命令、算法、属性和参数连接所有的IPSec组文件。 本节详细内容参见书本P450~P451页。10.9.3 AH隧道模式的加密原理 10.9.3 AH隧道模式的加密原理 AH协议包头可以保证信息源的可靠性和数据的完整性，AH 隧道模式使用AH与IP报头来封装IP数据包并对整个数据包进行签名以求完整性并进行身份验证。 AH协议的工作原理是首先发送方将IP包头、高层的数据、公共密钥这三部分通过某种散列算法进行计算，得出AH包头中的验证数据，并将AH包头加入数据包中。当数据传输到接收方时，接收方将收到的IP包头、数据和公共密钥以相同的散列算法进行运算，并把得出的结果和收到的数据包中的AH包头进行比较，如果相同则表明数据在传输过程中没有被修改，并且是从真正的信息源处发出的。 信息源可靠性可以通过公共密钥来保证。常用的散列算法有HMAC－MD－5和HMAC－SHA－1。 本节详细内容参见书本P451页。10.9.4 ESP隧道模式的加密原理 10.9.4 ESP隧道模式的加密原理 ESP隧道模式采用ESP与IP报头以及ESP尾端来封装IP数据包。数据包的签名部分表示数据包的完整性和身份验证签名是在哪里进行的。数据包的加密部分表示什么信息受到机密性保护。 ESP的加密原理可以简单地描述如下： （1）首先，原始报头置于ESP报头之后。在加密之前，会通过ESP尾端附加整个数据包。ESP报头之后的所有内容都会被加密，ESP验证尾端除外。这包括原始报头，该报头此时被视为数据包的数据部分的一部分。 （2）然后，会将整个ESP负载封装在未加密的新的隧道报头内。新隧道报头内的信息只用来将数据包从源地址发送到隧道终结点。如果正在通过公用网络发送数据包，则数据包会发送到接收方Intranet的网关的IP地址。 本节详细内容参见书本P452~P453页。10.9.5 IPSec协议IKE密钥交换技术 10.9.5 IPSec协议IKE密钥交换技术 从IPSec协议族来看，IPSec的实现重点是Internet 密钥交换（IKE）和安全策略系统，这两个技术的实现决定了IPSec实现是否完善和标准。 为了确保通信成功与安全，IEK会执行两个阶段的操作。在每一阶段通过使用安全协商期间两台计算机达成的加密与验证算法可确保实现保密与验证。通过两个阶段所担负的任务，可快速完成密钥创建。在第一阶段，两台计算机会建立一种安全且经过验证的信道。该阶段称为第I阶段或主模式SA。IKE在此交换期间自动提供所需的标识保护。第II阶段或快速模式SA中会以IPSec驱动程序的名义对SA进行协商。 本节详细内容参见书本P453~P456页。10.9.6 IPSec安全策略 10.9.6 IPSec安全策略 在一个实现IPSec的产品中，IPSec功能的正确性完全依据安全策略的正确制定与配置。传统的方法是通过手工配置IPSec策略，这种方式在大型的分布式网络中存在效率低、易出错等问题。而一个易出错的策略将可能导致通信的阻塞和严重的安全隐患。 构建一个策略系统，需要解决策略的定义、存取、管理、交换、验证、发现机制等问题以及系统自身的安全性问题。其中策略的表示和策略在动态交换中的安全性问题是系统的核心问题。 IPSec策略由：常规IPSec策略设置、IPSec策略规则、筛选器列表、筛选器操作、验证方法、隧道终结点和连接类型等几部分组成。 本节详细内容参见书本P456~P457页。