电脑及网路管理及除错.pptx

1、活用活用Windows 2000通訊服務通訊服務建構安全的建構安全的VPN網路環境網路環境唐任威唐任威台灣微軟顧問台灣微軟顧問(恆逸資訊教育訓練處恆逸資訊教育訓練處)本課程假設您本課程假設您uu已具備以下基本技術知識已具備以下基本技術知識已具備以下基本技術知識已具備以下基本技術知識:網路基本相關概念，如網路基本相關概念，如網路基本相關概念，如網路基本相關概念，如OSI 7 LayerOSI 7 Layer、TCP/IPTCP/IPWindows 2000 Windows 2000 操作及設定操作及設定操作及設定操作及設定Windows 2000 Active DirectoryWindows

2、2000 Active Directory電腦及網路管理及除錯電腦及網路管理及除錯電腦及網路管理及除錯電腦及網路管理及除錯這是這是這是這是 TechNet Level 200 TechNet Level 200 的課程的課程的課程的課程uu企業網路應用環境的規劃企業網路應用環境的規劃企業網路應用環境的規劃企業網路應用環境的規劃撥接式撥接式撥接式撥接式(Dial-up)Dial-up)環境環境環境環境專線式專線式專線式專線式(Leased line)Leased line)環境環境環境環境網際網路與分封交換式網際網路與分封交換式網際網路與分封交換式網際網路與分封交換式(Packet switch

3、ing)Packet switching)環境環境環境環境uu虛擬私人網路虛擬私人網路虛擬私人網路虛擬私人網路(VPN)VPN)的原理剖析及實務運用的原理剖析及實務運用的原理剖析及實務運用的原理剖析及實務運用PPTP(Point-to-Point Tunnel Protocol)PPTP(Point-to-Point Tunnel Protocol)L2TP(Layer 2 Tunnel Protocol)L2TP(Layer 2 Tunnel Protocol)IPSec(IP Security)IPSec(IP Security)講座大綱講座大綱企業網路應用環境的規劃企業網路應用環境的規劃

4、uu撥接式撥接式撥接式撥接式(Dial-up)Dial-up)環境環境環境環境uu專線式專線式專線式專線式(Leased line)Leased line)環境環境環境環境uu網際網路與分封交換式網際網路與分封交換式網際網路與分封交換式網際網路與分封交換式(Packet switching)Packet switching)環境環境環境環境撥接式環境撥接式環境CorporateOfficeAccessServerRemoteUserMailServerFileServerDatabaseServer撥接式環境的現況撥接式環境的現況uu以以以以Dial-up Network Access Box

5、 Dial-up Network Access Box 存取企業網路存取企業網路存取企業網路存取企業網路uu搭配搭配搭配搭配ISPISP以解決企業需在各地建立撥接點以解決企業需在各地建立撥接點以解決企業需在各地建立撥接點以解決企業需在各地建立撥接點uu優點優點優點優點用戶端設定簡單、使用容易用戶端設定簡單、使用容易用戶端設定簡單、使用容易用戶端設定簡單、使用容易 uu缺點缺點缺點缺點長途撥接，費用偏高長途撥接，費用偏高長途撥接，費用偏高長途撥接，費用偏高使用者驗證用帳號無法集中使用者驗證用帳號無法集中使用者驗證用帳號無法集中使用者驗證用帳號無法集中 ，造成管理的負擔過重，造成管理的負擔過重，造

6、成管理的負擔過重，造成管理的負擔過重IAS/RAS集中管理撥接使用者帳號集中管理撥接使用者帳號集中管理撥接使用者帳號集中管理撥接使用者帳號 uuRRAS(Routing&Remote RRAS(Routing&Remote Access Service)Access Service)uuIAS(Internet Authentication IAS(Internet Authentication Service)Service)CorporateOfficeRemoteUserMailServerFileServerDatabaseServerActiveDirectoryIASServerR

7、ASServer專線式環境專線式環境MailServerDatabaseServerFileServerMailServerDatabaseServerMailServerDatabaseServerFileServerLease LineBranchOfficeCorporateOfficeBusinessPartnerLease Line專線式環境的現況專線式環境的現況uu企業中不同的地點以私有專線連接企業中不同的地點以私有專線連接企業中不同的地點以私有專線連接企業中不同的地點以私有專線連接(Intranet)Intranet)uu不同的企業之間以私有專線連接不同的企業之間以私有專線連接不

8、同的企業之間以私有專線連接不同的企業之間以私有專線連接(Extranet)Extranet)uu優點優點優點優點私有網路，隱密性較高私有網路，隱密性較高私有網路，隱密性較高私有網路，隱密性較高uu缺點缺點缺點缺點成本偏高成本偏高成本偏高成本偏高(價格與距離、頻寬成正比價格與距離、頻寬成正比價格與距離、頻寬成正比價格與距離、頻寬成正比)企業中較敏感的資料被竊取的機會仍舊偏高企業中較敏感的資料被竊取的機會仍舊偏高企業中較敏感的資料被竊取的機會仍舊偏高企業中較敏感的資料被竊取的機會仍舊偏高(如人事、財如人事、財如人事、財如人事、財務等資料務等資料務等資料務等資料)IPSec確保專線式環境資料傳輸安全

9、確保專線式環境資料傳輸安全確保專線式環境資料傳輸安全確保專線式環境資料傳輸安全MailServerDatabaseServerFileServerMailServerDatabaseServerMailServerDatabaseServerFileServerLease LineBranchOfficeCorporateOfficeBusinessPartnerLease Line網際網路與分封交換式網際網路與分封交換式(Packet switching)Packet switching)環境環境MailServerFileServerDatabaseServerMailServerData

10、baseServerFileServerMailServerDatabaseServerFileServerMailServerDatabaseServerFileServerInternet orFrame RelayFileServerMailServerDatabaseServer香港香港香港香港北京北京北京北京台北台北台北台北東京東京東京東京紐約紐約紐約紐約網際網路與分封交換式環境的現況網際網路與分封交換式環境的現況uu企業與企業與企業與企業與ISPISP連結存取連結存取連結存取連結存取InternetInternet網路資源網路資源網路資源網路資源uu企業以公眾網路企業以公眾網路企業

11、以公眾網路企業以公眾網路(如如如如Frame Relay,X.25Frame Relay,X.25等等等等)做為做為做為做為IntranetIntranet連接方式連接方式連接方式連接方式uu優點優點優點優點成本低廉成本低廉成本低廉成本低廉 uu缺點缺點缺點缺點無法保障資料的完整性及隱密性，較無安全可言無法保障資料的完整性及隱密性，較無安全可言無法保障資料的完整性及隱密性，較無安全可言無法保障資料的完整性及隱密性，較無安全可言VPN Service(RRAS)確保網際網路與分封交換式網路環境資料傳輸安全確保網際網路與分封交換式網路環境資料傳輸安全確保網際網路與分封交換式網路環境資料傳輸安全確保

12、網際網路與分封交換式網路環境資料傳輸安全MailServerFileServerDatabaseServerMailServerDatabaseServerFileServerMailServerDatabaseServerFileServerMailServerDatabaseServerFileServerInternet Internet ororFrame RelayFrame Relay香港香港香港香港北京北京北京北京台北台北台北台北東京東京東京東京紐約紐約紐約紐約VPNServerVPNServerVPNServerVPNServerMailServerFileServerData

13、baseServerVPNServer虛擬私人網路虛擬私人網路(VPN)的剖析的剖析uuVPN(Virtual Private Network)VPN(Virtual Private Network)VPNVPN的特性的特性的特性的特性VPNVPN的元件的元件的元件的元件VPNVPN的協定的協定的協定的協定uuPPTP(Point-to-Point Tunnel Protocol)PPTP(Point-to-Point Tunnel Protocol)uuL2TP(Layer 2 Tunnel Protocol)L2TP(Layer 2 Tunnel Protocol)uuIPSec(IP S

14、ecurity)IPSec(IP Security)VPN的特性的特性uu將開放的網路模擬為私人的網路使用將開放的網路模擬為私人的網路使用將開放的網路模擬為私人的網路使用將開放的網路模擬為私人的網路使用uuEncapsulation Encapsulation 讓資料透過媒介網路傳輸讓資料透過媒介網路傳輸讓資料透過媒介網路傳輸讓資料透過媒介網路傳輸uuAuthentication Authentication 確認使用者的身分、確認使用者的身分、確認使用者的身分、確認使用者的身分、保障資料的完整保障資料的完整保障資料的完整保障資料的完整uuData encryptionData encrypt

15、ion確保資料的安全確保資料的安全確保資料的安全確保資料的安全VPN的元件的元件uuTransit internetworkTransit internetworkuuVPN server VPN server uuVPN client VPN client uuTunnel Tunnel uuTunneling protocols Tunneling protocols uuVPN connection VPN connection uuTunneled data Tunneled data VPN的協定的協定uuPPTP(Point-to-Point Tunnel Protocol)PPT

16、P(Point-to-Point Tunnel Protocol)uuL2TP(Layer 2 Tunnel Protocol)L2TP(Layer 2 Tunnel Protocol)uuIPSec(IP Security)IPSec(IP Security)uuVPN(Virtual Private Network)VPN(Virtual Private Network)uuPPTP(Point-to-Point Tunnel Protocol)PPTP(Point-to-Point Tunnel Protocol)PPTPPPTP的運作原理的運作原理的運作原理的運作原理PPTPPPTP的

17、驗證及加密的驗證及加密的驗證及加密的驗證及加密PPTPPPTP的運用的運用的運用的運用PPTPPPTP的設定的設定的設定的設定uuL2TP(Layer 2 Tunnel Protocol)L2TP(Layer 2 Tunnel Protocol)uuIPSec(IP Security)IPSec(IP Security)虛擬私人網路虛擬私人網路(VPN)的剖析的剖析uu第二層的協定第二層的協定第二層的協定第二層的協定uuPPP(Point to Point)PPP(Point to Point)的延伸的延伸的延伸的延伸uu可封裝可封裝可封裝可封裝LAN LAN 的協定，如的協定，如的協定，如的

18、協定，如IP,IPX,NetBeui IP,IPX,NetBeui uu利用利用利用利用IP network IP network 傳輸資料傳輸資料傳輸資料傳輸資料uu使用使用使用使用MPPE(Microsoft Point to Point Encryption)MPPE(Microsoft Point to Point Encryption)進行資料加密進行資料加密進行資料加密進行資料加密Point-to-Point Tunnel ProtocolPPTP的運作原理的運作原理uu資料由第三層送至資料由第三層送至資料由第三層送至資料由第三層送至第二層的第二層的第二層的第二層的PPTP PPT

19、P DriverDriver加密加密加密加密uu由第二層的由第二層的由第二層的由第二層的PPTP PPTP DriverDriver回送至第三回送至第三回送至第三回送至第三層重新封裝層重新封裝層重新封裝層重新封裝uu定址後依正常程序定址後依正常程序定址後依正常程序定址後依正常程序送至第一層傳輸送至第一層傳輸送至第一層傳輸送至第一層傳輸PPTP的驗證及加密的驗證及加密uuPPTPPPTP的使用者驗證方式採用的使用者驗證方式採用的使用者驗證方式採用的使用者驗證方式採用PPPPPP的驗證方式的驗證方式的驗證方式的驗證方式PAP,SPAP,CHAP,MS-CHAP V1,V2,and EAPPAP,S

20、PAP,CHAP,MS-CHAP V1,V2,and EAPuuPPTPPPTP使用使用使用使用MPPEMPPE進行資料的加密進行資料的加密進行資料的加密進行資料的加密只有採用只有採用只有採用只有採用MS-CHAP V1 or 2 or EAP-TLSMS-CHAP V1 or 2 or EAP-TLS的驗證方式才的驗證方式才的驗證方式才的驗證方式才能用能用能用能用MPPEMPPE進行資料加密進行資料加密進行資料加密進行資料加密PPTP的運用時機的運用時機uu單一使用者對遠端網路的單一使用者對遠端網路的單一使用者對遠端網路的單一使用者對遠端網路的資料存取，適用於資料存取，適用於資料存取，適用於

21、資料存取，適用於 Win98/NT4 ClientWin98/NT4 Clientuu網路對網路的網路對網路的網路對網路的網路對網路的資料資料資料資料存取存取存取存取PPTP 的設定的設定Client to GatewayuuVPN Client(W98User)VPN Client(W98User)的設定的設定的設定的設定安裝虛擬私人網路配接卡安裝虛擬私人網路配接卡安裝虛擬私人網路配接卡安裝虛擬私人網路配接卡uuVPN Server(HQ_VPN)VPN Server(HQ_VPN)的設定的設定的設定的設定啟動啟動啟動啟動RRASRRAS服務服務服務服務設定設定設定設定addressing(

22、static address pool or DHCP)addressing(static address pool or DHCP)設定設定設定設定RAS Policy(Dial in Permission)RAS Policy(Dial in Permission)uu驗證驗證驗證驗證ClientClient端建立撥號網路設定並撥號端建立撥號網路設定並撥號端建立撥號網路設定並撥號端建立撥號網路設定並撥號存取資源存取資源存取資源存取資源Client&RRAS ServerClient&RRAS Server檢視連線狀態檢視連線狀態檢視連線狀態檢視連線狀態PPTP 的設定的設定Gateway

23、to Gateway(1)uuHQ_VPN ServerHQ_VPN Server的設定的設定的設定的設定啟動啟動啟動啟動RRASRRAS服務服務服務服務設定設定設定設定addressing(static address pool or DHCP)addressing(static address pool or DHCP)設定設定設定設定RAS Policy(Dial in Permission)RAS Policy(Dial in Permission)新增新增新增新增VPN demand-dialVPN demand-dial撥號介面撥號介面撥號介面撥號介面新增靜態路由新增靜態路由新增靜

24、態路由新增靜態路由(static route)static route)PPTP 的設定的設定Gateway to Gateway(2)uuBR_VPN ServerBR_VPN Server的設定的設定的設定的設定啟動啟動啟動啟動RRASRRAS服務服務服務服務設定設定設定設定addressing(static address pool or DHCP)addressing(static address pool or DHCP)設定設定設定設定RAS Policy(Dial in Permission)RAS Policy(Dial in Permission)新增新增新增新增VPN de

25、mand-dialVPN demand-dial撥號介面撥號介面撥號介面撥號介面新增靜態路由新增靜態路由新增靜態路由新增靜態路由(static route)static route)uu驗證驗證驗證驗證ClientClient端設定端設定端設定端設定Default GatewayDefault GatewayClientClient端存取資源端存取資源端存取資源端存取資源(觸發撥號觸發撥號觸發撥號觸發撥號)ServerServer端檢視連線狀態端檢視連線狀態端檢視連線狀態端檢視連線狀態 PPTP PPTP 的設定的設定的設定的設定HQ_Mail172.16.1.100Branch192.168

26、100.0/24HQ172.16.1.0/24BR_VPN210.30.100.18/30192.168.100.254/24HQ_VPN202.100.25.18/30172.16.1.254Mobile User210.60.45.15/24InternetHQ User172.16.1.10BR User172.16.1.10uuVPN(Virtual Private Network)VPN(Virtual Private Network)uuPPTP(Point-to-Point Tunnel Protocol)PPTP(Point-to-Point Tunnel Protocol)

27、uuL2TP(Layer 2 Tunnel Protocol)L2TP(Layer 2 Tunnel Protocol)L2TPL2TP的運作方式的運作方式的運作方式的運作方式L2TPL2TP的驗證及加密的驗證及加密的驗證及加密的驗證及加密L2TPL2TP的運用的運用的運用的運用L2TPL2TP的設定的設定的設定的設定uuIPSec(IP Security)IPSec(IP Security)虛擬私人網路虛擬私人網路(VPN)的剖析的剖析uu第二層的協定第二層的協定第二層的協定第二層的協定uu可封裝可封裝可封裝可封裝LAN LAN 的協定，如的協定，如的協定，如的協定，如IP,IPX,NetB

28、eui IP,IPX,NetBeui uu可利用可利用可利用可利用IP,X.25,ATM,Frame RelayIP,X.25,ATM,Frame Relay傳輸資料傳輸資料傳輸資料傳輸資料uu使用使用使用使用IPSecIPSec進行資料加密進行資料加密進行資料加密進行資料加密Layer 2 Tunnel ProtocolL2TP的運作原理的運作原理uu資料由第三層送至資料由第三層送至資料由第三層送至資料由第三層送至第二層的第二層的第二層的第二層的L2TP DriverL2TP Driver封裝封裝封裝封裝uu由第二層的由第二層的由第二層的由第二層的L2TP DriverL2TP Driver

29、回送回送回送回送至第三層經由至第三層經由至第三層經由至第三層經由IPSecIPSec加密並定址加密並定址加密並定址加密並定址uu定址後依正常程序定址後依正常程序定址後依正常程序定址後依正常程序送至第一層傳輸送至第一層傳輸送至第一層傳輸送至第一層傳輸L2TP的驗證及加密的驗證及加密uuL2TPL2TP的驗證方式分為二階段，電腦驗證的驗證方式分為二階段，電腦驗證的驗證方式分為二階段，電腦驗證的驗證方式分為二階段，電腦驗證及使用者驗證及使用者驗證及使用者驗證及使用者驗證電腦的驗證是採電腦的驗證是採電腦的驗證是採電腦的驗證是採certificate basecertificate base，當當當當I

30、PSecIPSec進行進行進行進行SASA的建立同時完成的建立同時完成的建立同時完成的建立同時完成使用者的驗證方式採用使用者的驗證方式採用使用者的驗證方式採用使用者的驗證方式採用PPPPPP的驗證的驗證的驗證的驗證vvEAP,MS-CHAP V1,V2,CHAP,SPAP,and PAPEAP,MS-CHAP V1,V2,CHAP,SPAP,and PAPuuL2TPL2TP使用使用使用使用IPSecIPSec來進行資料的加密來進行資料的加密來進行資料的加密來進行資料的加密DES with a 56-bit keyDES with a 56-bit keyTriple DES(3DES)Tri

31、ple DES(3DES)L2TP的運用時機的運用時機uu單一使用者對遠端網路單一使用者對遠端網路單一使用者對遠端網路單一使用者對遠端網路的資料存取，的資料存取，的資料存取，的資料存取，適用於適用於適用於適用於W2K ClientW2K Clientuu網路對網路的網路對網路的網路對網路的網路對網路的資料資料資料資料存取存取存取存取L2TP 的設定的設定Client to Gateway(1)uuVPN Client(W2KUser)VPN Client(W2KUser)的設定的設定的設定的設定申請並安裝數位憑證申請並安裝數位憑證申請並安裝數位憑證申請並安裝數位憑證(Client Authen

32、tication Certificate)Client Authentication Certificate)http:/ Server(HQ_VPN)VPN Server(HQ_VPN)的設定的設定的設定的設定申請並安裝數位憑證申請並安裝數位憑證申請並安裝數位憑證申請並安裝數位憑證(Client Authentication Certificate)Client Authentication Certificate)啟動啟動啟動啟動RRASRRAS服務服務服務服務設定設定設定設定addressing(static address pool or DHCP)addressing(static

33、address pool or DHCP)設定設定設定設定RAS Policy(Dial in Permission)RAS Policy(Dial in Permission)L2TP 的設定的設定Client to Gateway(2)uu驗證驗證驗證驗證ClientClient端建立撥號網路設定並撥號端建立撥號網路設定並撥號端建立撥號網路設定並撥號端建立撥號網路設定並撥號存取資源存取資源存取資源存取資源Client&RRAS ServerClient&RRAS Server檢視連線狀態檢視連線狀態檢視連線狀態檢視連線狀態IPSec Monitor(ipsecmon.exe)IPSec M

34、onitor(ipsecmon.exe)L2TP 的設定的設定Gateway to Gateway(1)uuHQ_VPN ServerHQ_VPN Server的設定的設定的設定的設定申請並安裝數位憑證申請並安裝數位憑證申請並安裝數位憑證申請並安裝數位憑證(Client Authentication Certificate)Client Authentication Certificate)啟動啟動啟動啟動RRASRRAS服務服務服務服務設定設定設定設定addressing(static address pool or DHCP)addressing(static address pool o

35、r DHCP)設定設定設定設定RAS Policy(Dial in Permission)RAS Policy(Dial in Permission)新增新增新增新增VPN demand-dialVPN demand-dial撥號介面撥號介面撥號介面撥號介面新增靜態路由新增靜態路由新增靜態路由新增靜態路由(static route)static route)L2TP 的設定的設定Gateway to Gateway(2)uuBR_VPN ServerBR_VPN Server的設定的設定的設定的設定申請並安裝數位憑證申請並安裝數位憑證申請並安裝數位憑證申請並安裝數位憑證(Client Auth

36、entication Certificate)Client Authentication Certificate)啟動啟動啟動啟動RRASRRAS服務服務服務服務設定設定設定設定addressing(static address pool or DHCP)addressing(static address pool or DHCP)設定設定設定設定RAS Policy(Dial in Permission)RAS Policy(Dial in Permission)新增新增新增新增VPN demand-dialVPN demand-dial撥號介面撥號介面撥號介面撥號介面新增靜態路由新增靜態路

37、由新增靜態路由新增靜態路由(static route)static route)L2TP 的設定的設定Gateway to Gateway(3)uu驗證驗證驗證驗證ClientClient端設定端設定端設定端設定Default GatewayDefault GatewayClientClient端存取資源端存取資源端存取資源端存取資源(觸發撥號觸發撥號觸發撥號觸發撥號)ServerServer端檢視連線狀態端檢視連線狀態端檢視連線狀態端檢視連線狀態IPSec Monitor(ipsecmon.exe)IPSec Monitor(ipsecmon.exe)L2TP L2TP 的設定的設定的設定的

38、設定HQ_Mail172.16.1.100Branch192.168.100.0/24HQ172.16.1.0/24BR_VPN210.30.100.18/30192.168.100.254/24HQ_VPN202.100.25.18/30172.16.1.254Mobile User210.60.45.15/24InternetInternetHQ User172.16.1.10BR User172.16.1.10uuVPN(Virtual Private Network)VPN(Virtual Private Network)uuPPTP(Point-to-Point Tunnel Pro

39、tocol)PPTP(Point-to-Point Tunnel Protocol)uuL2TP(Layer 2 Tunnel Protocol)L2TP(Layer 2 Tunnel Protocol)uuIPSec(IP Security)IPSec(IP Security)IPSecIPSec的運作方式的運作方式的運作方式的運作方式IPSecIPSec的主要元件的主要元件的主要元件的主要元件IPSecIPSec的運用的運用的運用的運用IPSecIPSec的設定的設定的設定的設定虛擬私人網路虛擬私人網路(VPN)的剖析的剖析uuIP Base NetworkIP Base Network的

40、資料加密的資料加密的資料加密的資料加密uu保障資料的安全與完整保障資料的安全與完整保障資料的安全與完整保障資料的安全與完整uuWindows 2000Windows 2000的的的的IPSecIPSec技術由技術由技術由技術由MicrisoftMicrisoft與與與與CiscoCisco共同發展共同發展共同發展共同發展IP SecurityIPSec的運作方式的運作方式uu資料傳送前資料傳送前資料傳送前資料傳送前IPSec DriverIPSec Driver會檢查會檢查會檢查會檢查IPSec PolicyIPSec Policy決定決定決定決定資料是否需加密處理資料是否需加密處理資料是否需

41、加密處理資料是否需加密處理uuIPSec DriverIPSec Driver通知通知通知通知IKEIKE進行協商，而後產生進行協商，而後產生進行協商，而後產生進行協商，而後產生SASAuuIPSec DriverIPSec Driver依照依照依照依照SASA的內容進行資料的傳輸的內容進行資料的傳輸的內容進行資料的傳輸的內容進行資料的傳輸IPSec的主要元件的主要元件IPSec security protocolsuuIPSec IPSec 共分為二種協定共分為二種協定共分為二種協定共分為二種協定AHAH、ESPESP，可單獨使用或相可單獨使用或相可單獨使用或相可單獨使用或相互結合使用互結合

42、使用互結合使用互結合使用uuAuthentication Header(AH)Authentication Header(AH)確保資料的完整性確保資料的完整性確保資料的完整性確保資料的完整性authentication,integrity,anti-replayauthentication,integrity,anti-replayuuEncapsulating Security Payload(ESP)Encapsulating Security Payload(ESP)進行資料加密及確認資料的完整性進行資料加密及確認資料的完整性進行資料加密及確認資料的完整性進行資料加密及確認資料的完整性

43、confidentiality,authentication,integrity,anti-replayconfidentiality,authentication,integrity,anti-replaySecurity associationsIPSecIPSec的主要元件的主要元件uu二電腦間資料傳輸前的安全協議二電腦間資料傳輸前的安全協議二電腦間資料傳輸前的安全協議二電腦間資料傳輸前的安全協議uu包含通訊協定的使用包含通訊協定的使用包含通訊協定的使用包含通訊協定的使用(AH or ESP)AH or ESP)、驗證的方式驗證的方式驗證的方式驗證的方式(Certificate,Pre-

44、share key,Kerberos)Certificate,Pre-share key,Kerberos)等等等等uu其建立方向為單向，表示若為雙向資料傳輸則需建其建立方向為單向，表示若為雙向資料傳輸則需建其建立方向為單向，表示若為雙向資料傳輸則需建其建立方向為單向，表示若為雙向資料傳輸則需建立另外的立另外的立另外的立另外的SASAuuSASA的建立及對稱加密金鑰的產生由的建立及對稱加密金鑰的產生由的建立及對稱加密金鑰的產生由的建立及對稱加密金鑰的產生由IKE(Internet IKE(Internet Key Exchange)Key Exchange)負責負責負責負責Security p

45、olicy(1)IPSecIPSec的主要元件的主要元件uu用來制定用來制定用來制定用來制定IPSecIPSec的動作方式的動作方式的動作方式的動作方式(如通訊對象、資料類型、驗證及加密的方式如通訊對象、資料類型、驗證及加密的方式如通訊對象、資料類型、驗證及加密的方式如通訊對象、資料類型、驗證及加密的方式)uu可存放於本機的可存放於本機的可存放於本機的可存放於本機的RegistryRegistry 或或或或Active Directory Group policyActive Directory Group policy中中中中uu存放於存放於存放於存放於ADAD可利用其特性進行集中式的管理可

46、利用其特性進行集中式的管理可利用其特性進行集中式的管理可利用其特性進行集中式的管理uuSecurity PolicySecurity Policy是由是由是由是由RulesRules所構成所構成所構成所構成Security policy(2)IPSecIPSec的主要元件的主要元件uuSecurity Policy RuleSecurity Policy Rule的結構可分為的結構可分為的結構可分為的結構可分為IP Filter List:IP Filter List:通訊對象及資料類型通訊對象及資料類型通訊對象及資料類型通訊對象及資料類型Filter Action:Filter Action

47、是否加密及加密方式是否加密及加密方式是否加密及加密方式是否加密及加密方式AuthenticationAuthentication Methods:Methods:驗證的方式驗證的方式驗證的方式驗證的方式Tunnel:Tunnel:是否建立是否建立是否建立是否建立TunnelTunnel及對象及對象及對象及對象Connection Type:Connection Type:區域網路或遠端存取區域網路或遠端存取區域網路或遠端存取區域網路或遠端存取Rule 2Filter 1Filter 2Filter ActionFilter ActionIPSec PolicyRule 1Filter 1Fi

48、lter 2Filter ActionFilter ActionIPSec driverIPSecIPSec的主要元件的主要元件uu檢查檢查檢查檢查IPIP封包的進出符合封包的進出符合封包的進出符合封包的進出符合IPSec policy filterIPSec policy filter的定義的定義的定義的定義uu執行執行執行執行IPSec policyIPSec policy所定義的驗證方式所定義的驗證方式所定義的驗證方式所定義的驗證方式(如如如如Kerberos Kerberos or certificates)or certificates)uu當建立新的連線時，要求建立當建立新的連線時

49、要求建立當建立新的連線時，要求建立當建立新的連線時，要求建立SASAuuSASA的維護的維護的維護的維護(Updating and deleting)Updating and deleting)IPSec的運用時機的運用時機uu單一使用單一使用單一使用單一使用者對單一者對單一者對單一者對單一使用者的使用者的使用者的使用者的資料存取資料存取資料存取資料存取uu網路對網網路對網網路對網網路對網路的路的路的路的資料資料資料資料存取存取存取存取IPSec 的設定的設定End to EnduuServerServer端端端端(被存取端被存取端被存取端被存取端)IPSec Policy)IPSec Po

50、licy的設定的設定的設定的設定新增新增新增新增PolicyPolicy新增新增新增新增rulerule並定義並定義並定義並定義filter(filter(對象及資料對象及資料對象及資料對象及資料)及及及及actionaction指派指派指派指派(assign)assign)uuClientClient端端端端(存取端存取端存取端存取端)IPSec Policy)IPSec Policy的設定的設定的設定的設定使用預設使用預設使用預設使用預設PolicyPolicy修改修改修改修改(respond only)respond only)將驗證方式修改為將驗證方式修改為將驗證方式修改為將驗證方式修