《網(wǎng)絡(luò)安全防護(hù)項(xiàng)目教程》 課件 子任務(wù)9-1-5 VPN配置

了解系統(tǒng)安全基礎(chǔ)知識掌握安全基本措施熟悉常見端口與服務(wù)及其對應(yīng)關(guān)系學(xué)習(xí)目標(biāo)：知識目標(biāo)技能目標(biāo)態(tài)度目標(biāo)會熟練完成系統(tǒng)安裝能完成系統(tǒng)基本加固工作，保證系統(tǒng)安全能關(guān)閉不必要的端口與服務(wù)，通過不同方式確保應(yīng)用安全能解決系統(tǒng)應(yīng)用過程中出現(xiàn)的問題有強(qiáng)烈的安全意識養(yǎng)成勤學(xué)、好問、獨(dú)立思考和細(xì)心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力9.1任務(wù)概覽子任務(wù)9-1-5VPN配置用戶通過無線局域網(wǎng)交換信息時，需要保證信息的安全性，如VPN（Virtual?Private?Networking，虛擬專用網(wǎng)絡(luò)）等，該安全技術(shù)與IEEE802.11b無線標(biāo)準(zhǔn)結(jié)合起來，是目前較為理想的無線局域網(wǎng)絡(luò)的安全解決方案。某公司業(yè)務(wù)范圍較廣，總部位于深圳，有兩個分部，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1-1-14所示。一方面員工出差較頻繁，不便于攜帶計(jì)算機(jī)，經(jīng)常使用手機(jī)、筆記本電腦等終端設(shè)備訪問公司的郵件服務(wù)器和文件服務(wù)器，另一方面分部和總部之間也經(jīng)常需要交換信息。1．項(xiàng)目背景分析圖1-1-14拓?fù)浣Y(jié)構(gòu)圖任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-5VPN配置為了保證數(shù)據(jù)傳輸安全，公司選擇采用VPN技術(shù)。一方面解決員工無線訪問公司服務(wù)器的問題，另一方面解決分部和總部間的數(shù)據(jù)交換問題?！馪PTPVPN移動用戶使用手機(jī)、平板電腦、筆記本等終端設(shè)備與總部之間搭建PPTP或L2TPVPN，在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)，通過對傳輸數(shù)據(jù)加密和封裝，保證數(shù)據(jù)傳輸?shù)陌踩?，不用?dān)心與公司內(nèi)網(wǎng)通信的數(shù)據(jù)被第三方獲取?！裨L問權(quán)限在路由器內(nèi)集成防火墻控制，可以設(shè)置接入用戶的訪問權(quán)限，避免用戶因權(quán)限過大而造成安全隱患。2．技術(shù)選擇任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-5VPN配置為了保護(hù)數(shù)據(jù)傳輸安全，需要設(shè)置VPN，因此要選擇具有VPN功能的路由器，如TP-LINK的TL-ER6110/6120不僅具有強(qiáng)大的數(shù)據(jù)處理能力，還支持VPN、IP/MAC地址綁定、常見攻擊防護(hù)等功能。3．設(shè)備選擇任務(wù)1任務(wù)1無線接入安全子任務(wù)9-1-5VPN配置L2TPVPN的配置請參照/detail_article_213.html完成。本項(xiàng)目以PPTPVPN配置為例進(jìn)行說明，拓?fù)浣Y(jié)構(gòu)如圖1-1-15所示。圖1-1-15出差員工訪問總部服務(wù)器結(jié)構(gòu)圖4．設(shè)備配置圖1-1-15出差員工訪問總部服務(wù)器結(jié)構(gòu)圖任務(wù)1任務(wù)9-1無線接入安全子任務(wù)9-1-5VPN配置1）服務(wù)器配置（1）配置環(huán)境配置環(huán)境如圖1-1-16所示。圖1-1-16PPTPVPN配置結(jié)構(gòu)圖子任務(wù)9-1-5VPN配置（2）配置內(nèi)容分析用戶需求，可使用PPTP（L2TP）VPN配置出差員工到總公司服務(wù)器的訪問。服務(wù)器所需設(shè)置內(nèi)容如表1-1-4所示。表1-1-4配置內(nèi)容配置項(xiàng)VPN類型加密（MPPE）賬號密碼地址池配置內(nèi)容PPTP開啟user123456-00子任務(wù)9-1-5VPN配置（3）配置步驟步驟1：配置PPTP隧道地址池登錄路由器管理界面，依次選擇VPN→PPTP/L2TP，如圖1-1-17所示。打開“隧道地址池管理”選項(xiàng)卡，單擊“新增”按鈕，在“地址池名稱”后輸入設(shè)置的名稱，如PPTP_Pool，在“地址池范圍”中輸入設(shè)置的地址范圍，如-00。圖1-1-17“隧道地址池管理”選項(xiàng)子任務(wù)9-1-5VPN配置步驟2：PPTP隧道設(shè)置打開“L2TP/PPTP隧道設(shè)置”選項(xiàng)卡，如圖1-1-17所示?！袢绻纫L問公共網(wǎng)絡(luò)，又要訪問公司總部網(wǎng)絡(luò)，則需要選中“全局管理設(shè)置”的復(fù)選框?！裨凇八淼涝O(shè)置”中，選中“啟用”“PPTP”“服務(wù)器”單選框，在“用戶名”“密碼”對話框中輸入相應(yīng)內(nèi)容?！敖M網(wǎng)模式”通常有兩種，一是“PC到站點(diǎn)”，另一種是“站點(diǎn)到站點(diǎn)”。該項(xiàng)目中是出差員工訪問總部服務(wù)器，因此應(yīng)當(dāng)選擇“PC到站點(diǎn)”的組網(wǎng)模式，具體原因如下，拓?fù)浣Y(jié)構(gòu)如圖1-1-18所示。企業(yè)出差人員在移動辦公環(huán)境（如家里、酒店、戶外、咖啡廳等）中接入Internet，然后與總部網(wǎng)絡(luò)建立PPTPVPN隧道，實(shí)現(xiàn)訪問內(nèi)網(wǎng)資源的需求。這種情況應(yīng)選擇“PC到站點(diǎn)”的組網(wǎng)模式。圖1-1-18“PC到站點(diǎn)”組網(wǎng)模式如果是企業(yè)總部與分部間共享資源，則需要選擇“站點(diǎn)到站點(diǎn)”的組網(wǎng)模式，如圖1-1-19所示。隧道建立之后，只要防火墻允許，兩端局域網(wǎng)的辦公電腦無需任何VPN相關(guān)配置就可以直接訪問對端網(wǎng)絡(luò)。圖1-1-19“站點(diǎn)到站點(diǎn)”組網(wǎng)模式子任務(wù)9-1-5VPN配置2）VPN客戶端配置客戶端使用的操作系統(tǒng)不同，則配置存在些許差異，此處以Windows7為例來說明其配置過程。步驟1：依次打開“網(wǎng)絡(luò)和Internet”→“網(wǎng)絡(luò)和共享中心”，打開如圖1-1-21所示界面。圖1-1-21“網(wǎng)絡(luò)和共享中心”界面子任務(wù)9-1-5VPN配置步驟2：單擊“設(shè)置新的連接或網(wǎng)絡(luò)”，打開如圖1-1-22所示的“設(shè)置連接或網(wǎng)絡(luò)”對話框。圖1-1-22“設(shè)置連接或網(wǎng)絡(luò)”對話框步驟3：選中“連接到工作區(qū)”項(xiàng)，單擊“下一步”按鈕，打開如圖1-1-23所示的“連接到工作區(qū)”對話框。圖1-1-23“連接到工作區(qū)-你想如何連接”對話框步驟4：單擊“使用我的Internet連接（VPN）（I）”，打開如圖1-1-24所示對話框。圖1-1-24“連接到工作區(qū)-鍵入要連接的Internet地址”對話框步驟5：在“Internet地址（I）：”后的文本框中輸入VPN服務(wù)器的IP地址或者域名，“目標(biāo)名稱（E）：”可根據(jù)具體情況設(shè)置，如圖1-1-25所示。設(shè)置完成后，“下一步”按鈕變成灰色，單擊“下一步”按鈕，輸入用戶名和密碼。圖1-1-25“連接到工作區(qū)-輸入您的用戶名和密碼”對話框步驟6：單擊“連接”按鈕，打開如圖1-1-26所示的“連接到工作區(qū)-正在連接到VPN連接…”對話框，進(jìn)行PPTP撥號，撥號成功后就可以直接訪問總公司內(nèi)網(wǎng)郵件服務(wù)器與文件服務(wù)器了。圖1-1-26“連接到工作區(qū)-正在連接到VPN連接…”對話框通過上面的配置，客戶端就已添加完成，需要進(jìn)行進(jìn)一步的參數(shù)配置。3）客戶端連接屬性配置步