香港某大学防火墙课件-16-RAS_(遠端存取服務)_v6.pptVIP

* * RAS 為 Remote Access Service 的縮寫，提供撥號連結讓行動用戶(如業務人 員、出差、外勤人員)隨時撥入主機進行連線以存取公司內部資源，因此 RAS 亦被稱為Point-To-Site VPN。 PowerStation 本身可作為 RAS Server ，且支援 Windows Client 的 PPTP/L2TP 連線，可以建立安全的 VPN 通道 如上圖， PowerStation 做為 RAS Server ，在外部的 User 可以經由 Secure Tunnel (PPTP/L2TP) 連線上 RAS Server ，以存取內部的 File Server、 WEB EIP ，及 Mail Server * RAS可對Mobile User作進一步的安全控管，因為這些Mobile User會帶來資安管 理上的困難，例如將病毒從外部帶進來，因此必須對這些Mobile User加以限制 管理，而RAS 模組功能主要是兩個概念所組成： 身分驗證 資料加密 因此適合用來增強無線網路通訊安全防護。 設定 RAS Server 之標準作業流程： 第一步：設定 RAS Client 網路設定到 RAS/DAC 模組點選 RAS VPN 子模組，以指定 RAS Client 所使用的 IP Range，及 DNS Server、WINS Server 位址。須留意的是，是否需要為這些分配的 IP 位址設定靜態路由。 設定加密、認證 (預設已全部勾選，可跳過此步驟)在 RAS/DAC 模組下之RAS VPN子模組下點選 RAS Encryption 子模組，以設定加密強度與認證方式。 設定 Sophos 支援 (optional)若內部有使用 Sophos 之防毒系統，才需設定這個選項。設定位置在 RAS/DAC 模組下之Parameter子模組下之 Sophos Support 子模組裡。 第二步：建置帳號在 RAS/DAC 模組下點選 Account Management 子模組，建立使用者帳號與登入環境之設定。 第三步：啟動RAS服務回到 RAS/DAC 模組，按下左上方按鈕，啟動 RAS 服務。 第四步：允許PPTP/L2TP服務跳到 Multihoming 模組下選擇 Interface Priority 子模組，將提供連線的網路介面欄位中勾選 PPTP/L2TP VPN，開啟 VPN 服務，以允許外部使用者連線登入。 * * 上圖為 RAS 模組主畫面，主要相關的為以 RAS 開頭的，另若無 RAS 與 DAC 字樣的話代表這個模組與 RAS 和 DAC 都有關係 在左上方有兩個按紐，分別為啟動，停止 RAS 服務，管理者可以點按這二個 按紐以啟動或停 止RAS 服務 * 上圖為RAS的設定，從[RAS/DAC]-[RAS VPN]-[RAS TCP/IP] 先選取 TCP/IP 設定，輸入“起點位址”與“終點位址”，設定要配給 RAS 用戶 端所使用的 IP 範圍，須留意的是此範圍不可包含在DHCP Server 的 Range 裡，並且 PPTP 與 L2TP 的範圍不要重複。接著指定 RAS 用戶端連線後所 使用的 DNS Server 與 WINS Server，若無則保持空白。 至於本地端 IP 位址（Local IP address） ，有兩個情況：一是 Unique in tunnel，另一是 SAME in tunnel。 Unique in tunnel：當建立一條 PPTP 的 Tunnel 時，PowerStation 會使用一個 IP 位址，同時也分配一個 IP 位址給 RAS 的用戶端，做為點對 點傳輸使用。所以換言之，當有兩條 PPTP Tunnel 時，就會用掉四個 IP 位址，以此推論，同一時間內 RAS 用戶端的數目僅是 RAS Server 的 IP Range 的一半。 b.SAME in Tunnel：跟 Unique in Tunnel 剛好相反，PowerStation 只會 固定使用一個 IP 位址跟每ㄧ個 RAS 的用戶端連接，所以假使 RAS IP Range 為 10，同時間就可以有9個 RAS 的用戶端上線。 由於使用 L2TP 連線時，則必須提供 IPSec 的憑證，因此要 disable IPSec 則必須下載 Windows Registry for L2TP VPN 之登錄檔 到用戶端電腦上執行；或是建立 ProhibitIpSec 系統登錄數值，執行步 驟如下： 自動執行：點按上圖中之 Windows Registry for L2TP VPN 連結下載登錄檔 ，下載解壓縮後直接點兩下