进阶管理实务--信息技术（PPT 66页）

来自www.3722.cn中国最大的资料库下载ISA2004進階管理實務顧武雄JoviKujovi@cogate.com.tw来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载講師介紹高傑信公司-技術顧問MicrosoftCTEC教育中心講師MicrosoftMVP&特約講師Windows&.NETMagazine–特約作者InformationSecurityMagazine-專欄作家網路資訊、Run!PC、NetAdmin電腦雜誌–專欄作家旗標、文魁以及碁鋒圖書作者個人著作:MicrosoftISAServer建置與管理SharePointPortalServer徹底研究MicrosoftAccessProjectwithSQLServerISASERVER2004系統安全整合實務SmallBusinessServer2003系統整合管理實務MicrosoftOperationsManager2005IT智慧整合管理實務（已上市）来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载議程VPN網路部署規劃整合異質VPN網路平台動態密碼整合應用SmartCard整合驗證應用ISA2004企業版應用介紹Q&A来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载VPN網路部署規劃来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载三種通道模式IPSec適用：可以與異質VPN裝置的通道整合安全性：高L2TPoverIPSec適用：ISAServer與WindowsServer間的VPN連線安全性：高PPTP適用：ISAServer與WindowsServer間的VPN連線安全性：中来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载典型Site-to-SiteVPN這也是本次課程採用的模擬架構来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载LAB環境TCP/IP配置網路名稱網域名稱閘道IP位址外卡IP位址內卡IP位址MAINOFFICECogate-SBS192.168.1.1192.168.1.244192.168.2.254BRANCHOFFICEDemosite192.168.3.1192.168.3.244192.168.4.254網路名稱網域名稱閘道IP位址IP位址MAINOFFICECogate-SBS192.168.2.254192.168.2.70BRANCHOFFICEDemosite192.168.4.254192.168.4.70ISAServer配置用戶端配置来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载Internetrouter配置Internetrouter192.168.1.1192.168.3.1来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载總公司VPN配置(1)首先第一個步驟請點選『虛擬私人網路』\『VPN用戶端』頁面\『工作』清單中的『啟用VPN用戶端存取』。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载總公司VPN配置(2)接下來請同樣點選在『工作』頁籤下的『選取存取網路』選項。執行後首先在『存取網路』的頁籤中，請確認目前提供給外部用戶端進行VPN連線的『外部』網路已勾選。設定位址指派與身份驗證方法。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载測試VPN用戶端連線請先設定欲開放VPN遠端連線的使用者，預設值此權限為關閉。新增網路連線選擇『連線到我工作地方的網路』。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载查看VPN工作階段用戶端與伺服端VPN連線檢視来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载新增分公司VPN網路接下來我們必須在總公司的ISASERVER主控台中，來新增一個與分公司的VPN網路連線通道設定。請點選『設定』\『網路』\『工作』頁面中的『建立新網路』選項。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载新增分公司到總公司網路規則請經由『設定』\『網路』\『網路規則』的『工作』頁面中，點選『建立新的網路規則』選項。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载新增分公司與總公司存取規則我們必須先在總公司的ISASERVER2004主機上，建立好分公司與總公司內部用戶端彼此間的存取原則，因為在預設的防火牆存取則中，雙方網路的內部用戶端是無法透過任何的通訊協定來進行溝通的。可以分成兩條規則來設定或是在單一條規則中一次將分公司與總公司網路皆加入即可。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载完成分公司VPN啟用啟用VPN用戶端存取設定VPN用戶端存取進行一般VPN設定建立新的總公司『網路』設定建立『總公司到分公司內部網路』網路規則（選擇路由模式）建立雙向防火牆原則来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载整合異質VPN網路平台来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载關於異質VPN平台對於不同的防火牆設備或ISASERVER，彼此間想相互建構出VPN的加密通道，唯一的選擇也是最高安全的通訊協定選擇就是IPSec（InternetProtocolSecurity）。將以CISCOPIX506的防火牆設備，來實作出與ISASERVER2004的IPSec加密通道的VPN網路。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载新增Cisco網路設定關於IKE通訊協定的運作機制與封包結構說明，可參閱RFC2409以及RFC2408的文件說明。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载設定網路規則與防火牆原則来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载設定硬體防火牆在此以PIX506為範例，必須預先設定好：LANPort與WANPort的TCP/IP組態設定GatewayIP指向測試環境中的Internetrouter建議可以透過[Tools]選單中的Ping工具選項，來測試對於路由器以及總公司ISASERVER外卡的連線，不過前提之下必須雙方的防火牆，都已經有開放允許PING的ICMP協定的相關設定。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载設定PIX506VPN連線選擇VPN類型設定遠端VPN資訊設定加密方法設定本地端內部網路設定遠端內部網路来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载設定遠端VPN資訊請將總公司ISASERVER外網卡的IP輸入到[PeerIPAddress]欄位中，以及選擇與輸入預先共用金鑰（Pre-sharedkey）。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载設定加密方法必須設定與在總公司ISASERVER相同的安全性參數。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载設定本地端內部網路接下來在[IPSecTrafficSelector]的頁面中，必須點選[Browse]按鈕來選取在內部網路中，受PIX506防火牆所保護的IP區段，此區段的用戶端電腦，同時也將成為提供給總公司來連線存取的網段。来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载設定遠端內部網路定在總公司內部網路中，受ISASERVER保護的IP區段来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载檢視IPSec連線統計資訊来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载監看VPN連線狀態来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载RSASecurID動態密碼整合應用来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载動態密碼的解決方案解決密碼固定不變的問題簡化管理者的工作負擔解除使用者需經常變更密碼的困擾密碼每次都不一樣，不易被猜中比傳統密碼更安全来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载SecurID的動態密碼認證Login:JoviPasscode:2468723656PINTOKENCODETokencode:Changesevery60secondsUnique64-bitseedInternalBatteryClocksynchronisedtoUCTPASSCODE=+PINTOKENCODE来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载RSASecureID典型應用企業虛擬私有網路（VPN）終端機遠端登入驗證（TSWEB）網路控制站（DC）安全無線網路（WLAN）安全商務網站登入驗證来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载来自www.3722.cn中国最大的资料库下载建置RSA動態密碼網路環境RSAACE/SERVER設定RADIUS(IAS)組態設定不可與RSAACE/SERVER主機安