深入理解远程访问策略.doc
《深入理解远程访问策略.doc》由会员分享,可在线阅读,更多相关《深入理解远程访问策略.doc(13页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、深入理解远程访问策略 在虚拟专用网络(VPN)连接基础一文中我们曾经提及,你可以通过以下两种方式来控制用户的远程拨入: 在用户账户的拨入属性中设置为允许访问或拒绝访问来显式控制VPN客户的远程拨入; 在用户账户的拨入属性中设置为通过远程访问策略控制访问,然后创建远程访问策略来控制用户的远程拨入。 那么,它们之间有什么区别呢? 它们之间的主要区别在于:显式控制方式只能针对单个用户进行设置,而通过远程访问策略控制访问可以针对多个用户或用户组进行设置。 远程访问策略(RAP)是定义是否授权VPN客户远程访问的一系列规则集合,每个RAP具有一个或多个匹配条件、一组配置文件设置和一个远程访问权限设置。
2、如果设置为通过远程访问策略控制访问,当VPN客户发起连接请求时,VPN服务器按照优先级顺序(顺序值 越低的RAP具有越高的优先级)对RAP进行评估,并且应用第一个匹配VPN客户连接请求的RAP中的授权设置。当VPN客户的连接请求匹配某个远程访问 策略的所有匹配条件时,VPN服务器根据此远程访问策略的授权设置来决定是否允许VPN客户的拨入,并且根据此RAP的配置文件来决定如何处理此VPN客 户的远程拨入。 如果使用显式控制方式,当VPN客户发起连接请求时,VPN服务器只是根据发起连接请求的用户账户的拨入属性来简单的允许或拒绝VPN客户的远程访问。而采用通过远程访问策略控制访问时,VPN服务器 评
3、估是否授权VPN客户的远程拨入的过程如下: VPN服务器按照优先级顺序(顺序值越低的RAP具有越高的优先级)对RAP进行评估。如果VPN客户的连接请求匹配某个RAP的所有匹配条件,则检查远程访问策略的远程访问权限设置: 如果远程访问权限被设置为授予远程访问权限,则允许VPN客户的远程拨入并应用RAP的配置文件来处理VPN连接; 如果远程访问权限被设置为拒绝远程访问权限,则拒绝VPN客户的远程拨入; 如果VPN客户的连接请求不匹配此RAP的任何条件,则处理下一远程访问策略。 如果没有任何远程访问策略匹配VPN客户的连接请求,则拒绝VPN客户的远程拨入。 默认情况下,在Windows Server
4、 2003中预定义了以下两个远程访问策略,不过它们的远程访问权限设置为拒绝远程访问权限,即拒绝匹配条件的VPN客户的远程拨入: 到Microsoft路由和远程访问服务器的连接:定义的匹配条件为RRAS服务器特征字符串等于“311$”,这代表 到Microsoft路由和远程访问服务器的远程访问连接。如果VPN客户向Microsoft路由和远程访问服务发起连接请求,则匹配此RAP。 到其他访问服务器的连接:定义的匹配条件为任何时间发起的VPN客户连接请求,此RAP匹配任何VPN客户连接的请求。 在远程访问策略中,你可以设置以下匹配条件: VPN客户身份验证方式; VPN客户发起连接请求的电话号码或
5、连接到的电话号码; VPN客户发起连接请求的日期和时间; VPN客户使用的链路协议; RRAS服务器特征字符串; VPN客户请求的服务类型; VPN客户使用的隧道类型; VPN客户所属于的Windows用户组; 其他还可以在IAS服务器中使用的匹配条件,如RADIUS客户端的友好名称、IP地址等等; 对于每一个VPN客户的远程拨入,路由和远程访问服务完整的处理过程分为两部分: 处理授权:如上文中所描述的显式控制或通过远程访问策略控制,从而决定是否允许VPN客户的远程拨入; 处理连接:当允许VPN用户远 程拨入时,路由和远程服务将处理和VPN客户之间的连接。路由和远程访问服务将结合用户账户拨入属
6、性中的设置和第一个匹配VPN客户连接请求的远程访问策 略中的配置文件设置来处理与VPN客户之间的连接。如果 两者之间出现冲突,用户账户拨入属性中的设置将覆盖远程访问策略中的配置文件设置。不过用户账户拨入属性中可用设置比较少,主要使用的是远程访问策略中的 配置文件中的设置。 需要注意的是,处理连接和处理授权是独立进行的,即采用何种授权方式不会影响连接的处理。 即使你通过显式控制来处理授权,但是当路由和远程访问服务处理连接时,同样会使用第一个匹配VPN客户连接请求的远程访问策略中的配置文件设置。如果没有 匹配VPN客户请求的远程访问策略,则路由和远程访问服务会拒绝VPN客户的远程拨入;如果VPN客
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 深入 理解 远程 访问 策略
限制150内