论为远程客户端与网络配置虚拟专用网络访问 .pptxVIP

第 21 章为远程客户端和网络配置虚拟专用网络访问熊建辉　高级工程师、硕士网络安全的实现和管理--以Windows Server 2003和ISA Server 2004为例 第1章 规划和配置授权和身份验证策略第2章 安装、配置和管理证书颁发机构第3章 配置、部署和管理证书第4章 规划、实现和故障诊断智能卡证书第5章 加密文件系统的规划、实现和故障排除第6章 规划、配置和部署安全的成员服务器基线第7章 为服务器角色规划、配置和部署安全基线第8章 规划、配置、实现和部署安全客户端计算机基线第9章 规划和实现软件更新服务第10章 数据传输安全性的规划、部署和故障排除第11章 部署配置和管理SSL第12章 规划和实施无线网络的安全措施第13章 保护远程访问安全网络安全的实现和管理--以Windows Server 2003和ISA Server 2004为例第14章 MICROSOFT ISA SERVER 概述第15章 安装和维护 ISA Server第16章允许对 Internet 资源的访问第17章 配置 ISA Server 作为防火墙第18章 配置对内部资源的访问第19章 集成 ISA Server 2004和Microsoft Exchange Server第20章 高级应用程序和Web筛选第21章 为远程客户端和网络配置虚拟专用网络访问第22章 实现缓存第23章 监视ISA Server2004第21章：为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用 ISA Server 2004 配置隔离控制虚拟专用网络概述21.1 虚拟专用网络概述虚拟专用网络VPN 协议选项VPN 身份验证协议选项VPN 隔离控制使用路由和远程访问的虚拟专用网络使用 ISA Server 2004 的虚拟专用网络将 ISA Server 用于虚拟专用网络的益处虚拟专用网络21.1.1 虚拟专用网络ISAServer分支机构VPN 协议选项21.1.2 VPN 协议选项因素PPTP 优点和缺点L2TP/IPSec 优点和缺点客户端操作系统支持Windows 2000,Windows XP、Windows Server 2003、Windows NT Workstation 4.0、Windows ME、 Windows 98Windows 2000、Windows XP、Windows Server 2003证书支持需要证书架构支持，仅仅支持EAP-TLS 验证需要证书架构或预共享密钥安全性提供数据加密不提供数据完整性为每个数据包提供数据完整性、数据源身份验证、数据机密性和重放保护NAT支持大多数网络地址转换器（NAT,Network Address Translator）都支持该协议所有的客户端和服务器都都必须支持 IPSec NAT-T9、我们的市场行为主要的导向因素，第一个是市场需求的导向，第二个是技术进步的导向，第三大导向是竞争对手的行为导向。10、市场销售中最重要的字就是“问”。11、现今，每个人都在谈论着创意，坦白讲，我害怕我们会假创意之名犯下一切过失。12、在购买时，你可以用任何语言；但在销售时，你必须使用购买者的语言。13、He who seize the right moment, is the right man.谁把握机遇，谁就心想事成。14、市场营销观念：目标市场，顾客需求，协调市场营销，通过满足消费者需求来创造利润。15、我就像一个厨师，喜欢品尝食物。如果不好吃，我就不要它。16、我总是站在顾客的角度看待即将推出的产品或服务，因为我就是顾客。17、利人为利已的根基，市场营销上老是为自己着想，而不顾及到他人，他人也不会顾及你。VPN 身份验证协议选项21.1.3 VPN 身份验证协议选项验证协议解释PAP使用明文密码，是安全性最低的身份验证协议SPAP使用的是 Shiva可逆加密机制 CHAP是质询响应身份验证协议使用 CHAP 协议时，数据不能被加密MS-CHAP它不需要使用可逆加密来存储密码但只有在运行需要 MS-CHAP 的早期 Microsoft 操作系统时才使用 MS-CHAPMS-CHAPv2使用双向身份验证对于发送和接收的数据，它分别使用不同的会话密钥来进行加密会话密钥的生成不是完全基于用户的密码EAP-TLS是最安全的远程身份验证协议在客户端和服务器都使用证书来提供双向身份验证、数据完整性和数据机密性 VPN 隔离控制21.1.4 VPN 隔离控制VPN 隔离控制:允许 VPN 客户端计算机访问组织的网络之前屏蔽它们VPN 隔离客户端脚本。此脚本在客户端上运行并检查远程访问客户端的安全配置，然后将结果报告给 VPN 服务器客户端通过安全配