《教委教材样本》由会员分享,可在线阅读,更多相关《教委教材样本(16页珍藏版)》请在金锄头文库上搜索。
1、第13章 保护远程访问安全用户支持简介本章概述很多大型企业都使用VPN接入方式让不在公司的员工能够连入企业网络,这给工作带来了方便,但是这也会带来潜在的安全隐患。如果未授权的远程用户获得对基于 Intranet 的资源的访问权限,网络的安全会受到损害。在本章中说明了远程访问的有效网络访问安全设计,通过确认尝试访问组织网络资源的客户端的身份、保护特定的资源免受用户不适当的访问。本章的核心内容是VPN,请结合IPSec一起进行理解。教学目标l 掌握用于远程访问的各种远程访问技术和与远程访问相关的威胁l 能够规划远程访问策略l 能够实现和配置虚拟专用网(VPN)服务器l 能够部署网络访问隔离区控制组
2、件教学重点l 规划远程访问战略:硬件要求、ISP 提供的组件和功能、远程访问服务器、VPN 服务器放置、数据加密、创建路由项、连接条件、指导方针l 实现 VPN 服务器:配置VPN服务器、配置RAS锁定、配置名称解析l 部署网络访问隔离区控制组件:隔离区资源、校验客户端配置的脚本、安装 Rqs.exe、安装和配置 CMAK、配置隔离区访问的 CM 配置文件、配置隔离区访问的 CM 配置文件教学难点l 本章包含很多概念,比较抽象l 学生对于VPN会感觉到困难教学资源课本知识点13.1远程访问技术和漏洞简介13.2规划远程访问战略13.3实现 VPN 服务器13.4部署网络访问隔离区控制组件习题习
3、题1-对应知识(13.1.4)习题2-对应知识(13.1.8)习题3-对应知识(13.2.5)习题4-对应知识(13.1.8)习题5-对应知识(13.2.4)习题6-对应知识(13.2.3)习题7-对应知识(13.4.6)习题8-对应知识(13.3.1)习题9-对应知识(13.4.2)习题10-对应知识(13.4.6)教学指导手册包新版幻灯片教师光盘:/Powerpnt/2823A_13.ppt多媒体视频无习题解答教师光盘:/tPrep/answer/Answer13.doc先修知识在正式开始学习本章内容以前,学生须具备下列知识基础。知识基础推荐补充网络基本概念、服务器基本应用和知识http:
4、/ 网络常见协议的概念和使用http:/ Internet的使用和电子邮件服务http:/ 常见的网络服务http:/ 建议学时课堂教学2课时+实验教学2课时教学过程13.1 远程访问技术和漏洞简介教学提示 :本节主要达到以下目的:l 了解在企业为什么需要使用拨号网络和 VPN技术,了解在企业中如果使用了远程访问而可能引起的威胁和漏洞。l 掌握VPN技术中相关隧道协议的区别,从而能够掌握在企业实际场景中选择正确的隧道协议。l 了解常见远程访问身份验证协议都有哪些,在综合考虑企业中相关网络环境和客户端操作系统之后能够选择正确的身份验证协议。l 了解在企业中常见远程访问部署中可能遇到的问题以及相关
5、解决方案l 掌握如何简化客户端的连接,从而给学生介绍相关连接管理器及其组件和配置方法l 了解企业在针对远程访问中常见问题,如何通过网络隔离区来解决常见的问题,同时了解相关网络隔离区服务的组件和工作原理。教学内容教学方法教学提示讲授:同样首先来微软的深层防御体系的系统架构图,看看远程访问属于哪一部分。阅书:13.1.1幻灯:第6页讲述注意流程的条理性。让学生明确安全加固同样是一个有序严谨的工作流程。在考虑了相关企业内部安全之后就需要考虑相关外部访问安全。讲授:首先看一下微软在远程访问上的使用,全球超过 65,000 名 Microsoft 员工和合同员工通过远程访问获得了访问公司计算机和网络资源
6、的能力,每月建立的连接数量超过百万。在很多其他跨国公司同样提供这样的方式,为什么要采用这样的访问方式。其实原因很简单,如果用户不在公司范围,可能在外出差或者度假,但是现在需要访问公司文件服务器上资源或者需要远程维护公司服务器,大多数公司相关服务器都是使用的私有地址,这样你在互联网上无法进行连接,如果通过普通电话进行拨入访问,那么高额的电话费和低速带宽是无法满足上面每月超过百万的访问率,这里就可以考虑采用相关VPN技术。 讲解课本:13.1.1参考:微软网站提供了相关ITSHOWCASE的方式来介绍微软自身如何进行相关基于微软的平台的管理,教师可以通过介绍这样的一些场景案例加深学生对于本书相关应
7、用场景的理解。讲授:但是所有事情都有理有弊,自然远程访问同样带给我们相关风险,试想一下如果一个员工通过某个网吧远程访问公司网络,有可能相关用户和密码信息会被别有用心人看到从而利用来攻击公司网络,或者由于出差时间很长了,计算机上病毒库没有及时更新或者相关操作系统的关键补丁没有安装,当你连接到公司之后实际上你就使得公司网络的安全变得岌岌可危了,因为你就是公司内部安全中的一个漏网之鱼你会感染其他正常的计算机,或者被用来攻击公司的服务器。当然相关的威胁不仅仅是这些,我们可以通过幻灯片来进行介绍。 讲解课本:13.1.2阅书:13.1.2幻灯:第7页课堂提问:1、不受微软支持的身份验证和授权标准是?-T
8、TLS2、WPA使用什么协议加密?-TKIP3、哪些组件是安全无线网络必需的?-DC、DNS、CA、IASDHCP4、使用密码的PEAP需要客户端证书吗?-NO,IAS need讲授:由于现在已经书中第章,教师可以总结如下:企业内部网络、外部网络、无线网络安全其实都遵循相关安全管理周期,如果有需要可以介绍下列安全周期图,帮助学生理解每章中相关内容配合周期的哪一个阶段。阅书:13.1.3幻灯:第8页讲授:既然已经提及了相关安全访问技术,那么我们回顾先前掌握的相关远程访问技术,首先查看相关支持的协议。建议教师可以配置一个 Windows xp professional 作为VPN远程访问的客户端,
9、然后配置其属性看它能够支持的远程访问协议有哪些,再配合相关幻灯片完成内容讲解,效果会比较好。讲授:在前面章节的安全配置方案中必不可少的都有身份验证,这里也不例外,来我们通过幻灯片查看这些熟悉面孔。 讲解课本:13.1.4阅书:13.1.4幻灯:第9页参考:由于相关加密和解密以及身份验证都需要耗费相关系统资源和服务器资源,因此现在有专门的硬件加速器来解决这个问题。讲授:毕竟学生接触远程访问比较少,尽管我们可以举例,例如学生回到家中也可以通过远程访问访问学校内部资源,查看相关网络教学视频或者访问相关学校老师课件,但是学生对于企业中进行远程访问部署中需要考虑的问题还是了解比较少,因此书中相关指导方针
10、一章教师可以配合微软远程访问案例进行介绍。 讲解课本:13.1.5阅书:13.1.5幻灯:第10页讲授:在介绍远程访问协议时候,大家可能看到我们用户需要掌握相关远程拨号的配置方法,很多地方有可能点选错误之后就始终无法连接到公司,同时对于非计算机专业的用户来说你告诉对方相关IP地址或者什么是VPN,对方一定非常难以理解,因此我们可以根据企业的具体特点配置好相关配置文件,这样用户使用起来就必然非常方便。 讲解课本:13.1.6阅书:13.1.6幻灯:第11页参考:帮助学生理解,教师可以比喻成现在相关行业的套餐业务,同时教师为了加深学生印象可以配置连接管理器,对比前面手工一步一步进行配置过程。讲授:
11、针对本章一开始介绍的企业场景中,用户由于没有安装相关防病毒软件或者没有及时升级操作的安全补丁或者防病毒软件特征库,当通过远程访问连接到客户端时候就有可能攻击公司内部网络,解决方法就是建立隔离区,大家可以对比战争中交战双方一般都会有一个停火区,在这里也是一样,用户通过远程访问连接到公司网络,首先我不会让你直接能够访问相关公司内部资源,而是引导你进入设置好的隔离区,我们会设置相关策略在隔离区检查访问的客户端,如果没有问题才允许访问公司网络,如果存在相关安全问题,常见的隔离策略会自动帮助你安装相关安全补丁或者升级相关病毒库,只有完成操作之后进行检查没有问题才可以进行后续公司资源的访问。 讲解课本:1
12、3.1.713.1.9阅书:13.1.7幻灯:第12页课堂提问:如何针对客户端计算机检查相关高危险级别的安全补丁都已经安装?通过微软在线更新网站或者相关安全扫描软件,如MBSA、SMS2003等软件来实现。小结:本节描述了在企业中如何使用远程访问解决方案解决出差员工或者外地员工访问资源的问题,同时也介绍了由于使用了远程访问可能给企业造成的安全隐患,并介绍了相关远程访问技术、访问策略、安全验证、企业实施的指导方针、相关网络隔离区的基本概念。注意:本章中提及的相关网络隔离技术在Windows Vista 和Windows Longhorn中有更多的更新,因为网络中的远程隔离已经是很多企业都需要面临
13、和解决的问题。 13.2 规划远程访问战略教学提示 :本节主要达到以下目的:l 掌握应用确定远程访问服务(RAS,Remote Access Service)服务器硬件要求的指导方针。(略讲)l 掌握企业部署远程访问方案(RAS,Remote Access Service)中放置虚拟专用网(VPN)服务器的相关注意事项和路由配置考虑。(略讲)l 掌握根据企业具体实际需求选择正确的远程访问的数据加密方法。(略讲+演示)。教学内容教学方法教学提示讲授:掌握相关基本内容之后,我们就可以模拟一个企业给出需求来帮助学生理解相关部署和解决方案。阅书:13.2.1幻灯:第17页讲授:尽管我们在Windows 2000/2003 服务器版本中都支持远程访问服务器的功能,但是在实际企业运维管理中针对大量的用户请求我们会建议企业采用性能较高的硬件配置。 讲解课本:13.2.1参考:可以提示学生对远程访问服务器、硬件进行搜索,可以查看硬件和配件的相关价格和介绍。讲授:由于远程访问大多数是基于二次拨号的概念,所以选择一个好的ISP服务器提供商也是非常重要的一环,由于很多公司担心自己的信息会被互联网上的黑客截取,因此会申请专门提供VPN服务器的互联网提供商,当然这就意味着价格必然会比一般解决方案高。 讲解课本:13.2.2阅书:13.2.2幻灯:第18页参考:如果有时间可以介绍相关核心交换机概念,
