精华内容
下载资源
问答
  • 服务器远程访问

    千次阅读 2004-10-06 10:37:00
    Windows 2000 服务器远程访问概述Windows 2000 服务器远程访问,是整个“路由和远程访问”服务的一部分,将远程或移动的工作者连接到组织网络上。远程用户可以象计算机物理地连接到网络上一样工作。用户运行远程访问...

    Windows 2000 服务器远程访问概述

    Windows 2000 服务器远程访问,是整个路由和远程访问服务的一部分,将远程或移动的工作者连接到组织网络上。远程用户可以象计算机物理地连接到网络上一样工作。

    用户运行远程访问软件,并初始化到远程访问服务器上的连接。远程访问服务器,即运行 Windows 2000 服务程序和路由和远程访问服务的计算机,直到用户或网络管理员终止它时,一直验证用户和服务会话。通过远程访问连接,可以启用通常可用于连接到 LAN 用户(包括文件和打印共享、Web 服务器访问以及消息传递)的所有服务。

    远程访问客户机使用标准工具,来访问资源。例如,在运行 Windows 2000 的计算机上,客户机可以使用 Windows 资源管理器,连接到驱动器和打印机上。连接是持久的:在远程会话期间,用户不许要重新连接到网络资源上。因为对于驱动器标识字母和常规命名习惯 (UNC) 所命名的名字,远程访问都支持,所以大多数商业和自定义应用程序不许要修改就可以使用。

    运行 Windows 2000 的远程访问服务器提供两种不同的远程访问连接:

    拨号网络

    通过使用远程通信提供商(例如模拟电话、ISDN 或 X.25)提供的服务,远程客户机使用非永久的拨号连接到远程访问服务器的物理端口上,这时使用的网络就是拨号网络。拨号网络的最佳范例是拨号网络客户机使用拨号网络拨打远程访问服务器某个端口的电话号码。

    模拟电话线上或 ISDN 的拨号网络,是拨号网络客户机和拨号网络服务器之间的直接的物理连接。可以加密在连接上传送的数据,但是这不是必须的。

    虚拟专用网络

    虚拟专用网络是穿越专用网络的,安全的,点对点连接,或象 Internet 一样的公共网络的产物。虚拟专用网络客户机使用特定的,称为隧道协议的基于 TCP/IP 的协议,来对虚拟专用网络服务器的虚拟端口进行依次虚拟呼叫。虚拟专用网络的最佳范例是,虚拟网络客户机使用虚拟专用网络连接连接到与 Internet 相连的远程访问服务器上。远程访问服务器应答虚拟呼叫,验证呼叫方身份,并在虚拟专用网络客户机和企业网络之间传送数据。

    与拨号网络相比,虚拟专用网络总是虚拟专用网络客户机和虚拟专用网络服务器之间逻辑的、非直接的连接。要保证隐私权,必须加密在连接上传送的数据。

     

    作为虚拟专用网络服务器的远程访问服务器

    虚拟专用网络的连接仿真点对点的连接。要仿真点对点的连接,请使用并带有提供到达终结点的路由信息的附加头文件封装或打包数据。终结点为虚拟专用网络客户机,或虚拟专用网络服务器。用来封装数据的那部分虚拟专用网络连接称为隧道。

    对于安全的虚拟专用网络,将在封装之前加密数据。如果没有加密匙,截取的数据包将无法理解。用于加密的那部分虚拟专用网络连接称为虚拟专用网络(VPN)连接。

    通过使用称为隧道协议的特殊协议,可以创建、管理和终止 VPN 连接。虚拟专用网络客户机和虚拟专用网络服务器都必须支持相同的隧道协议,来创建虚拟专用网络连接。对于点对点隧道协议 (PPTP)第二层隧道协议 (L2TP)来说,运行 Window 2000 的远程访问服务器都是虚拟专用网络服务器。

     

    点对点协议

    Windows 2000 服务器支持点对点协议 (PPP),该协议是一组工业标准帧和身份验证协议,它使远程访问方案能在多供应商的网络上起作用。由于 PPP 的灵活性和作为工业标准的作用,还有以后选择客户机和服务器硬件和软件的灵活性,因此推荐您使用 PPP。

    PPP 支持使运行 Windows 2000 的计算机能够通过任何遵从 PPP 标准的服务器,拨入到远程网络上。PPP 的兼容性也使运行 Windows 2000 的计算机,能够接收来自其他供应商的远程访问软件的呼叫,以及提供对这些软件的网络访问。

    PPP 的体系结构也使远程访问客户机能够使用 IPX、TCP/IP、NetBEUI 和 AppleTalk 的任何组合。运行 Windows NT 和 Windows 2000、Windows 98、以及 Windows 95 的远程访问客户机可以使用 TCP/IP、IPX 、NetBEUI 与写入 Windows Sockets、NetBIOS 或 IPX 接口中的程序的任意组合。Microsoft 远程访问客户机不支持 AppleTalk 协议在远程访问连接上的使用。

    PPP 标准是在注释请求 (RFC)中定义的,而 RFC 是由Internet 工程任务组和其他工作组发行的。有关运行 windows 2000 的远程访问服务器支持的 PPP RFC 的列表,请参阅远程访问 RFC。

    PPP 连接顺序

    当您与远程计算机连接时,PPP 协商完成以下工作:

    在远程计算机和服务器之间建立帧规则。该规则允许进行连续的通讯(帧传输)。

    然后,远程访问服务器通过使用 PPP 身份验证协议(MS-CHAP、EAP、CHAP、SPAP、PAP),来验证远程用户的身份。调用的协议取决于远程客户机和服务器的安全配置。

    身份验证完毕后,如果启用了回拨,则远程访问服务器将挂断并呼叫远程访问客户机。

    网络控制协议 (NCP)启用并配置远程客户机,使之使用所需的 LAN 协议。

    当 PPP 连接的各步骤成功地完成后,远程访问客户机和服务器就可以从写入 Windows Sockets、RPC 或 NetBIOS 编程接口的程序中传送数据。

     

    数据加密

    可以使用数据加密来保护在远程访问客户机和服务器之间发送的数据。对于金融机构、执法机关和政府机关,以及要求安全传送数据的企业,数据加密是十分重要的。对于需要数据加密的安装,网络管理员可以设置远程访问服务器以请求加密通讯。连接到该服务器的用户必须加密数据,否则将拒绝连接尝试。

    对于拨号网络连接,可以通过在远程访问客户机和服务器之间的通讯链接上加密数据来保护它。当在远程访问客户机和服务器之间的通讯链接上有未经授权地截取传输的危险时,应该使用数据加密。对于拨号网络连接,Windows 2000 使用Microsoft 点对点加密 (MPPE)

    对于虚拟专用网络连接,可以通过在虚拟专用网络 (VPN) 的两个端点之间加密数据来保护它。对于 VPN 连接,当专用数据通过诸如 Internet 之类的公共网络传送时,应该总是使用数据加密,因为公共网络上总是有未经授权截取的危险。对于 VPN 连接,Windows 2000 使用遵循点对点隧道协议 (PPTP)的 MPPE,以及遵循第二层隧道协议 (L2TP)IP 安全 (IPSec)加密。

    因为数据加密是在 VPN 客户端和 VPN 服务器之间进行,所以在拨号客户及 Internet 服务提供商 (ISP) 之间的通信链接上没有必要使用数据加密。例如,移动用户可以使用拨号网络连接拨入到本地的 ISP。一旦建立了 Internet 连接后,用户就创建了与企业 VPN 服务器的 VPN 连接。如果 VPN 连接已加密,则不必对用户和 ISP 之间的拨号网络连接进行加密。

    在远程访问策略属性的加密的选项卡上,MPPE 可以配置为使用 40 位(基本设置)、56 位(强大设置),或 128 位(最强大设置)的密匙。40 位和 56 位的密匙可以在国际上通用。对于不支持 56 位 MPPE 密匙的老版本 Microsoft 操作系统,应该使用 40 位的密匙与之进行连接。对于支持 56 位 MPPE 密匙的操作系统,则使用 56 位密匙。128 位密匙只用于北美,并且只在北美版本的 Windows 2000 中才提供。在连接时要确认密匙。MPPE 要求使用 MS-CHAP(版本 1 或版本 2)或 EAP-TLS 身份验证协议。

     

    在连接时安全措施如何起作用

    以下步骤描述了在远程访问客户机呼叫运行 Windows 2000、且被配置为使用 Windows 身份验证的远程访问服务器的过程中,发生的事件:

    远程访问客户机拨打远程访问服务器。

    服务器向客户机发送质询。

    客户机给服务器发送加密的应答,其中包含用户名、域名和密码。

    服务器根据正确的用户帐户数据库检查该响应。

    如果用户帐户有效,服务器将使用该用户帐户的拨入属性和远程访问策略来授权连接。

    如果启用了回拨,则服务器将回拨客户机,并继续连接协商过程。

     

    安全主机

    安全主机是一台身份验证设备,它验证来自远程访问客户机的呼叫是否被授权连接到远程访问服务器。该验证补充了已经由运行 Windows 2000 的远程访问服务器提供的安全性。

    安全主机位于远程访问客户机和远程访问服务器之间。安全主机通常通过请求某种硬件钥以提供身份验证,来提供额外的安全层。在允许访问远程访问服务器之前,先验证远程访问客户机是否从物理上拥有该密钥。这种开放的体系结构允许客户选择各种安全主机来加强远程访问中的安全性。

    例如,一种安全系统包括两个硬件设备:安全主机和安全卡。安全主机安装在远程访问服务器和它的调制解调器之间。安全卡的大小相当于一个信用卡,它类似于无按键的袖珍计算器。安全卡每分钟显示不同的访问数。该数与安全主机中每分钟计算的相同的数字同步。连接时,远程用户将安全卡上的数字传送给主机。如果该数字正确,安全主机就将远程访问客户机同远程访问服务器连接起来。

    另一种安全主机提示远程访问客户键入用户名(与远程访问客户机名称可以相同也可以不同)和密码(与远程访问客户机的密码不同)。

    安全主机必须配置为,允许远程访问服务器在安全功能生效之前初始化调制解调器。远程访问服务器还必须能够直接初始化连接到安全主机上的调制解调器,而不必从安全主机进行安全检查。安全主机可能将远程访问服务器初始化调制解调器的请求解释为尝试拨出。

     

    帐户锁定

    可以使用帐户锁定特性指定在拒绝用户访问之前远程访问身份验证对有效用户帐户失败的次数。对于 Internet 上的远程访问虚拟专用网络 (VPN),帐户锁定尤其重要。Internet 上怀有恶意的用户可能会通过在 VPN 连接身份验证过程中,传送凭据(有效用户名称,猜测的密码),来访问企业 Intranet。在字典攻击中,怀有恶意的用户通过使用一系列基于常用词和短语的密码,来发送成千上万的凭据。

    启用了帐户锁定之后,在指定失败尝试的次数之后,字典攻击失效了。作为网络管理员,必须考虑两个帐户锁定变量:

    1、在以后的尝试拒绝前,失败尝试的次数。

    在每一次尝试失败后,用户帐户的中失败尝试计数器加 1。如果用户帐户的失败尝试计数器达到配置的最大数时,以后的连接尝试都将被拒绝。

    当失败尝试计数器的值小于配置的最大值时,一次成功的身份验证可以将它复位为零。换句话说,失败尝试计数器不会在成功的身份验证的基础上积累。

    2、失败尝试计数器复位的频率。

    必须定期地复位失败尝试计数器,以防止由于用户的常规错误(如键入密码时的失误)而将帐户锁定。

     

    多链路和 BAP

    Windows 2000 远程访问支持多链路和带宽分配协议 (BAP)。利用多链路,多个物理链接可以作为一个逻辑链接发送和接收数据。ISDN 基本速率接口 (BRI)连接的两个 B 信道的集合即是一个好的范例。由于支持合并和通过硬件支持合并 ISDN 的 B 信道只是针对 ISDN 适配器,因此建议使用多链路作为合并 BRI 连接的多个 B 信道的方法。可以对任何 ISDN 适配器使用多链路。连接的双方都必须支持多链路。

    尽管多链路允许集合多个物理连接,但多链路不会通过在需要时添加额外的连接、不需要时终止额外的连接,来提供适应变化的带宽条件的机制。该附加功能由带宽分配协议 (BAP)提供。BAP 使用多链路连接动态地管理连接。

    例如,多链路和启用 BAP 的远程访问客户和服务器创建由单个物理链接组成的多链路连接。当对单个链接的利用增加到一定程度时,远程访问客户将使用 BAP 请求消息来请求额外的链接。BAP 请求消息指定所需的链接类型,诸如模拟电话、ISDN 或 X.25。然后远程访问服务器将发送一个 BAP 响应消息,其中包含远程访问服务器上一个可用端口的电话号码,该端口与远程访问客户机在 BAP 请求中指定的类型相同。

     

    对多个远程访问服务器使用 RADIUS

    如果您有多个 Windows 2000 远程访问服务器,不要对所有的远程访问服务器的远程访问策略进行单独管理,您可以使用Internet 验证服务 (IAS),将一个运行 Windows 2000 的计算机配置为远程身份验证拨入用户服务 (RADIUS)服务器,并将远程访问服务器配置为 RADIUS 客户机。IAS 服务器提供集中的远程访问身份验证、授权、计帐和审核。

     

    虚拟专用网络

    虚拟专用网络 (VPN) 是专用网络的延伸,它包含了类似 Internet 的共享或公共网络链接。通过 VPN 可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。虚拟专用联网是创建和配置虚拟专用网络的行为。

    要模拟点对点链路,应压缩或包装数据,并加上一个提供路由信息的报头,该报头使数据能够通过共享或公用网络到达其终点。要模拟专用链路,为保密起见应加密数据。不用密钥,从共享或者公共网络截取的数据包是很难解密的。封装和加密专用数据之处的链接是虚拟专用网络 (VPN) 连接。

    Windows 2000 虚拟专用网络的新特性

    Windows 2000 为虚拟专用网络提供下列新功能:

    第二层隧道协议

    除了点对点隧道协议 (PPTP) 之外,Windows 2000 包含行业标准“第二层隧道协议 (L2TP)”,该协议用于与 Windows 2000 网际协议安全 (IPSec) 连接以创建安全的虚拟专用网络连接。

    远程访问策略

    远程访问策略是一套条件和连接设置,可在设置远程访问权限和连接属性方面向网络管理员提供更大的灵活性。通过远程访问策略,可以强制对 VPN 用户使用强大的身份验证和加密,以及对拨号用户使用一组不同的身份验证和加密约束。

    MS-CHAP 版本 2

    Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) 版本 2 在远程访问连接的协商过程中主要加强传递安全凭证的安全性和加密关键字生成。MS-CHAP 特别设计版本 2 来身份验证虚拟专用网络连接。

    可扩展的身份验证协议

    可扩展身份验证协议 (EAP) 允许将新的身份验证方法用于远程访问,远程访问特性对基于智能卡的安全部署尤其重要。EAP 是允许其他身份验证模块插入 Windows 2000 远程访问 PPP 设备的接口。Windows 2000 支持 EAP-MD5 CHAP, EAP-TLS(用于智能卡和基于证书的身份验证),以及将 EAP 消息传送到 RADIUS 服务器。

    帐户锁定

    帐户锁定是一项安全的性能,它在配置号码对身份验证失败后拒绝访问。帐户锁定用于防止那种借助词典进行的攻击。借助词典进行攻击是指非法用户企图使用已知的用户名,再用词典里的常用单词列表作为密码尝试登录。帐户锁定在默认情况下是禁用的。

     

    身份验证

    VPN 连接的身份验证采用三种不同的方式:

    通过 PPP 身份验证的用户级别身份验证

    如果要建立 VPN 连接,VPN 服务器将使用点对点协议 (PPP) 的用户级身份验证方法来验证试图使用该连接的 VPN 客户的身份,并验证该 VPN 客户是否有适当的访问权限。如果使用了互相身份验证,VPN 客户也验证 VPN 服务器的身份,这样可以防止伪装的 VPN 服务器。

    使用 ISAKMP 进行的机器级身份验证

    如果要建立 IPSec 安全关联,VPN 客户端和 VPN 服务器将使用机器证书和 Internet 安全关联和密钥管理协议 (ISAKMP) 以及 Oakley 密钥生成协议。详细信息,请参阅 IPSec 安全协商。

    数据验证和完整性

    要验证 VPN 连接上发送的数据从连接的另一端开始并且在传送过程中没有更改,数据包含基于只有发件人和收件人才知道加密关键字的加密检验和。数据验证和完整性仅对 IPSec 连接上的 L2TP 启用。

     

    连接时安全性如何工作

    下列步骤描述在试图从基于 PPTP VPN 客户端连接到基于 PPTP 的运行 Windows 2000 VPN 服务器时发生的情况:

    VPN 客户端使用 VPN 服务器创建 PPTP 隧道。

    服务器向客户端发送质询。

    客户将加密的响应发送给服务器。

    服务器检查对应于用户帐户数据库的响应。

    如果帐户有效并拥有远程访问权限,服务器将接受符合 VPN 客户远程访问策略和用户帐户属性的连接。

     

    数据加密

    必须使用数据加密来保护在 VPN 客户和 VPN 服务器或者共享或公共网络之间发送的数据,因为这些网络通常有未授权拦截的危险。可以将 VPN 服务器配置为强制执行加密的通讯。连接到该服务器的用户必须对数据进行加密,否则不允许建立连接。对 VPN 连接,Windows 2000 使用有点到点隧道协议 (PPTP) Microsoft 点到点加密 (MPPE) 及使用第二层隧道协议 (L2TP) 的网际协议安全 (IPSec) 加密。

    因为数据加密在 VPN 客户端和 VPN 服务器之间进行,所以在拨号客户和 Internet 服务提供商 (ISP) 之间的通讯链路上没有必要进行数据加密。例如,移动用户可以使用拨号连接拨入到本地的 ISP。建立了 Internet 连接后,用户就创建了与公司 VPN 服务器的 VPN 连接。如果 VPN 连接已加密,则不必对用户和 ISP 之间的拨号连接进行加密。

     

    网际协议安全:定义

    网际协议安全 (IPSec) 是:

    安全组网的长期指导。

    对专用网络和 Internet 攻击的主动保护,同时保持易用性。

    一套基于加密术的保护服务以及安全协议。

    端对端的安全性。唯一必须了解 IPSec 保护的计算机就是通讯的发送方和接收方。

    保护工作组、局域网计算机、域客户和服务器、距离很远的分公司、Extranet、漫游客户以及远程管理计算机间通讯的能力。

     

    基于策略的安全

    更为强大的基于加密术的安全方法可能导致大幅度增加管理开销。Windows 2000 通过实现基于策略的网际协议安全 (IPSec) 管理避免了该缺陷。

    可以使用策略而非应用程序或操作系统来配置 IPSec。网络安全管理员可以配置多种 IPSec 策略,从单台计算机到 Active Directory 域、站点或组织单位。Windows 2000 提供集中管理控制台、IP 安全策略管理来定义和管理 IPSec 策略。在大多数已有网络中,可以配置这些策略为大多数交通类型提供各种级别的保护。

     

    深度防卫

    因为网络攻击可能导致系统停工、生产力损失和敏感数据的公开暴露,所以保护信息不被未经授权的第三方破译或修改是高度优先的事情。

    网络保护策略一般都是集中在周界安全方面,通过使用防火墙、安全网关和拨号访问的用户身份验证来防止来自私有网外部的攻击。然而,它并不保护不受来自网络内部的攻击。

    只集中在访问控制安全性(例如使用智能卡和 Kerberos)可能不会带来全面的保护,因为这些方法依赖于用户名和密码。有许多计算机是由多个用户共享使用的,由于它经常处于已登录状态而导致计算机的不安全。另外,如果一个用户名或密码已被攻击者截获,单单基于访问控制的安全性不会防止非法访问网络资源。

    物理级的保护策略通常不使用,它保护物理的网线和访问点不被使用。然而,这好象不大可能保证整个网络路径的安全得到保护,因为数据将不得不从源到目的地传播。

    一个好的安全计划包含多个安全策略以获得深度的保护。其中的任何一个策略都可以和 IPSec 结合。这就通过保证发送端计算机在传输前,也就是每个 IP 数据包到达网线之前对其实施保护,而接收端计算机只有在数据被接收和验证之后再解除对数据的保护,从而提供了另一层安全性。

     

    网络安全

    IP 传输层(网络层 3)实现 IPSec 会启用开销很小的高级保护。配置使用 IPSec 不需要更改已有的应用程序或操作系统。可以配置 IPSec 用于已有的企业方案,例如:

    工作组

    局域网 (LAN):客户/服务器,对等网

    远程访问:漫游客户、Internet 访问、Extranet、远程办事处。

    其他在网络层 3 以上运行的安全机制(例如安全套接层,SSL)仅保护会使用 SSL 的应用程序,例如 Web 浏览器。必须修改所有其他的应用程序以使用 SSL 保护通讯。其他在网络层 3 以下运行的安全机制(例如链接层加密)仅保护该链接,而不必保护数据路径上的所有链接。这使得链接层加密无法适用于 Internet 或路由 Intranet 方案上的端对端数据保护。

    在网络层 3 上执行的 IPSec 保护 TCP/IP 协议簇中所有 IP 和更高层的协议,例如 TCPUDPICMPRaw(协议 255),甚至保护在 IP 层上发送通讯的自定义协议。保护此层信息的主要好处是所有使用 IP 传输数据的应用程序和服务均可以使用 IPSec 保护,而不必修改这些应用程序和服务。(要保护非 IP 协议,数据包必须由 IP 封装。)

     

    使用 IPSec 的虚拟专用网络

    封装、发送和拆封过程称为“隧道”。隧道将原始数据包隐藏(或称封装)在新的数据包内部。新的数据包可能包含新的寻址和路由信息,这使新的数据包得以在网络上传输。当隧道与保密性结合时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目的)。该网络可以时任何类型:专用 Intranet Internet。封装的数据包到达目的地后,封装报头被删除,原始数据包报头被用来将数据包路由到最终目的地。

    隧道本身是封装数据经过的逻辑数据路径。对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和保密性结合,可以提供虚拟专用网络 (VPN)

    Windows 2000 中,提供了两种使用 IPSec 的隧道:

    2 层隧道协议 (L2TP/IPSec),其中 L2TP 负责为任何类型的网络通讯提供封装和隧道管理,传输模式的 IPSec 提供 L2TP 隧道数据包的安全性。

    隧道模式的 IPSec,其中 IPSec 自己只对 IP 通讯进行封装。

     

    建立 IPSec 安全计划

    无论对于大型的域还是小型的工作组,实现 IPSec 就意味着在使大量用户容易使用信息和防止对敏感数据进行未授权访问之间达到平衡。

    找到正确的平衡要求:

    评估风险并为本组织确定正确的安全级别。

    标识重要的信息。

    定义使用风险管理标准和保护标识信息的安全策略。

    决定在现存组织中实现策略的最佳方式。

    确保管理和技术要求到位。

    根据用户的需要,为所有用户提供对适当资源安全而有效的访问。

    使用计算机的方式也会影响安全考虑事项。例如,所需的安全可能会有所不同,这取决于计算机是域控制器、Web 服务器、远程访问服务器、文件服务器、数据库服务器、Intranet 客户还是远程客户。Windows 2000 安全构架可以完成最苛刻的安全要求。但是,如果没有认真的计划和评估、有效的安全指导方针、强制性、审核和明智的安全策略设计和分配,仅靠软件效果不大。

    定义标准安全没有明确的尺度。根据组织的策略和基础结构,可能会有很大的区别。可以将下列安全级别作为计划 IPSec 配置的一般基础:

    最低安全性

    计算机不交换敏感的数据。默认情况下,IPSec 不活动。不需要禁用 IPSec 的管理措施。

    标准安全

    计算机(尤其是文件服务器)用来存储有价值的数据。安全必须平衡,使其不会阻碍验证试图执行任务的用户的合法性。Windows 2000 提供预定义的保护数据的 IPSec 策略,但不需要最高的安全级别:客户(仅响应)和服务器(请求安全设置)。这些策略以及类似的自定义策略将优化效率,而且不会危及安全。

    高安全性

    包含高度敏感数据的计算机存在数据失窃、意外或恶意破坏系统(尤其在远程拨号方案中)或任何公共网络通讯的危险。“安全服务器”(要求安全)是预定义的策略,它要求对发送或接收的所有交通进行保护。“安全服务器”(要求安全)包括强大的机密性和完整性算法、完整转寄保密、密钥生存期和限制、强大的 Diffie-Hellman 组。不支持 IPSec 的计算机导致通讯不安全,失败的安全协商被阻塞。

     

    定义 NetBEUI

    NetBIOS 增强用户接口 (NetBEUI) 是不可路由的网络传输,适用于由少于 50 台计算机的单个网络段构成的小型网络。NetBEUI 是支持网络基本输入/输出系统 (NetBIOS) 用法的两个网络解决方案之一,该方案被早期的 Windows 版本用于网络名称解析。其他用于较大或路由网络的、基于 NetBIOS 的解决方案是 TCP/IP 上的 NetBIOS (NetBT)

     

    定义 RADIUS

    远程身份验证拨入用户服务 (RADIUS) 是一种安全验证客户端/服务器协议,被 Internet 服务供应商广泛用于其他远程访问服务器。RADIUS 是对拨号和隧道网络用户进行认证和授权的最常见方法。

     

    Windows 2000 SNMP 服务大大简化了网络管理。最大限度地利用以下内容:

    遵循 Windows 2000 发布的安全模型,并试图通过功能性组织来组织 SNMP 团体。

    通过配置所有 SNMP 代理的身份验证陷阱来利用 SNMP 安全检查。

    如果将监控服务特定的组件,例如动态主机配置协议 (DHCP) Windows Internet 名称服务 (WINS),请验证已经正确安装和配置这些服务。

     

    SNMP 定义

    简单网络管理协议 (SNMP)作为网络管理标准,广泛用于 TCP/IP 网络,最近又用于 Internet 数据包交换 (IPX) 网络。 

    SNMP 提供了从运行网络管理软件的中央计算机来管理网络主机(如,工作站或服务器计算机、路由器、网桥和集线器)的方法。SNMP 执行管理服务,方法是使用管理系统的分布式体系结构和代理。

    因为网络管理对审核和资源管理都是很关键的,所以 SNMP 可以用来:

    配置远程设备。配置信息可以从管理系统发送到每台网络主机。

    监视网络性能。可以跟踪处理速度和网络吞吐量,并收集关于数据传输成功的信息。

    检测网络故障或不适当的访问。可以配置某些事件发生时网络上的触发警告。在警告触发时,设备将事件消息转发给管理系统。常见的警告类型包括设备被关闭和重启、路由器上检测到失败的链接,以及非法访问。

    审核网络使用。可以监测网络的总体使用情况以识别用户或组权限,以及网络设备和服务的使用类型。使用该信息可以生成帐户的直接帐单,或者调整当前的网络费用和计划的开支。

    展开全文
  • Ubuntu服务器开启Docker远程访问

    千次阅读 2020-07-11 14:58:00
    (一)开启Docker远程访问 Docker的启动配置文件在Ubuntu18.04系统的路径为/lib/systemd/system/docker.service 进入到/lib/systemd/system路径下,然后编辑docker.service配置文件: vim /lib/systemd/system/...

    在使用Idea直接构建Dokcerfile文件时,我们需要打开Docker的远程访问!

    (一)开启Docker远程访问

    Docker的启动配置文件在Ubuntu18.04系统的路径为/lib/systemd/system/docker.service

    1. 进入到/lib/systemd/system路径下,然后编辑docker.service配置文件:

      vim /lib/systemd/system/docker.service
      
    2. 找到ExecStart所对应的行,修改为(Docker的远程访问接口为2375):

      ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
      
    3. 保存并退出编辑后,重载守护进程以及重启Docker:

      sudo systemctl daemon-reload
      
      sudo service docker restart
      
    4. 可通过执行命令查看是否开放了远程访问端口:

      sudo systemctl status docker.service
      

    (二)然后可在Idea中测试能否远程上Docker以及能否在Maven中构建DockerFile文件并发送到Ubuntu服务器:

    Idea远程访问Docker设置在这里插入图片描述

    maven配置文件中的docker插件配置:

    <build>
        <plugins>
            <!-- docker镜像build插件 -->
            <plugin>
                <groupId>com.spotify</groupId>
                <artifactId>docker-maven-plugin</artifactId>
                <version>1.2.0</version>
                <!-- 绑定docker命令到 maven各个阶段 -->
                <!-- 解释:可以把 docker 分为 build、tag、push,然后分别绑定 Maven 的 package、deploy 阶段 -->
                <executions>
                    <execution>
                        <id>build-image</id>
                        <!-- 这里将插件绑定在package这个操作上。用户只需执行mvn package ,就会自动执行mvn docker:build  相当于执行了mvn clean package docker:build -->
                        <phase>package</phase>
                        <goals>
                            <goal>build</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <!-- imageName镜像名称需匹配[a-z0-9-_.],否则构建不会成功 -->
                    <imageName>${docker.image.prefix}/${project.artifactId}</imageName>
                    <!-- 指定Dockerfile文件路径,另外一种方式可直接在pom.xml配置对应的标签属性值 -->
                    <dockerDirectory>${project.basedir}/src/main/docker</dockerDirectory>
                    <!-- build时,指定–rm=true即build完成后删除中间容器 -->
                    <rm>true</rm>
                    <!--指定标签-->
                    <imageTags>
                        <imageTag>latest</imageTag>
                    </imageTags>
                    <!--指定远程 docker 服务器ip地址-->
                    <dockerHost>http://192.168.0.12:2375</dockerHost>
                    <!-- 这里是复制jar包到docker容器指定目录配置 -->
                    <resources>
                        <resource>
                            <targetPath>/</targetPath>
                            <!-- jar包所在的路径  此处配置的 即对应 target 目录 -->
                            <directory>${project.build.directory}</directory>
                            <!-- 需要包含的 jar包 ,这里对应的是 Dockerfile中添加的文件名 -->
                            <include>${project.build.finalName}.jar</include>
                        </resource>
                    </resources>
                </configuration>
            </plugin>
        </plugins>
    </build>
    
    展开全文
  • 设置好远程桌面,但是输入IP后却说未启用服务器远程访问 家里有2台机。另外一台经设置后可以使用远程桌面控制主机的程序了。但是主机在运行远程桌面访问另一台机时却说由于一些原因之一无法连接到远程计算机:1)未...

    设置好远程桌面,但是输入IP后却说未启用服务器远程访问

    家里有2台机。另外一台经设置后可以使用远程桌面控制主机的程序了。
    但是主机在运行远程桌面访问另一台机时却说由于一些原因之一无法连接到远程计算机:
    1)未启用对服务器远程访问
    2)远程计算机已关闭
    3)在网络上远程计算机不可用
    但是另一台机此时却可以访问主机啊!到底哪里出了问题???????

     

    http://jingyan.baidu.com/article/63f23628177e6d0209ab3d60.html

     

    转载于:https://www.cnblogs.com/carl2380/p/4210065.html

    展开全文
  • Redis服务器开启远程访问

    万次阅读 2017-12-29 02:17:40
    redis服务器访问控制 redis服务器默认是处于保护模式并只能本地访问,打开redis.conf文件可以看到如下配置 保护模式控制本地访问控制以上两个地方修改后,重新启动redis服务,在远程电脑telnet,可以看到已经通了!

    redis服务器访问控制

    redis服务器默认是处于保护模式并只能本地访问,打开redis.conf文件可以看到如下配置

    保护模式控制

    这里写图片描述

    本地访问控制

    这里写图片描述

    以上两个地方修改后,重新启动redis服务,在远程电脑telnet,可以看到已经通了!

    展开全文
  • 启用服务器远程访问

    万次阅读 2014-05-04 16:44:36
    今天访问同事的远程桌面出现如下错误: 解决办法如下: 我的电脑右键属性----高级系统设置---远程 允许远程即可 如图:
  • Centos7服务器开启mysql远程访问权限后本地却无法访问的问题 前言:最近在阿里云买了个Centos7服务器,并安装了mysql,由于在服务器上对数据库进行操作只能用命令,感觉不是太方便,所以就想着在自己的电脑上用...
  • win7下IIS服务器远程访问

    千次阅读 2012-11-26 22:46:37
    如果你的本地IIS服务已配置好(参考本人上一篇博客),需要对IIS服务器远程访问的话, 推荐 http://blog.163.com/yuer_d/blog/static/7676115220112192535772/这个文章写的比较详细。 如果嫌麻烦 请看我的简单...
  • 在一直开启远程访问后,服务器会不定时下载Ubuntu镜像或者busybox镜像并启动相应的容器(会启动多个),以致最后可能出现服务器运行内存被消耗尽,影响其他服务进程。 然后在网上也看到网友有相同的提问: 最后解决...
  • 当我们的电脑遇到某些问题的时候,很多朋友都会使用远程桌面连接进行解决,但是最近有win7系统用户反映说在连接远程桌面的时候却提示“未启用服务器远程访问,远程计算机已关闭,在网络上远程计算机不可用”,...
  • pycharm与ssh远程访问服务器docker

    千次阅读 2020-10-09 17:37:35
    pycharm与ssh远程访问服务器docker   背景:有些实验需要在服务器上完成,因此为了快速便利地在本地调试远程服务器上的代码,需要完成本地与远程服务器的直连。然而现阶段诸多服务器上安装有docker,通常需要在...
  • 2、服务器设置防火墙端口 控制面板-windows防火墙-高级设置-入站规则-新建规则-选择端口-填写端口-(下面一直点)-名称随便填-完成 部分截图 3、启动程序 先ipconfig查出服务器的本地ip地址,用这个ip启动即可 ...
  • Windows服务器mongodb设置远程访问

    千次阅读 2019-05-21 13:27:07
    Windows2012服务器搭建mongodb并设置远程访问 因为Windows服务器的图形界面好操作,就买了个Windows的服务器,但是据说centos的服务器要好些,需要命令行操作,不过一千个读者有一千个哈姆雷特嘛。下面记录下我的...
  • 1. 修改postgresql.conf文件(postgresql12默认不需要进行此步更改),将数据库服务器的监听模式修改为监听所有主机发出的连接请求。 定位到#listen_addresses=’localhost’。PostgreSQL安装完成后,默认是只接受...
  • redis服务器允许远程访问

    千次阅读 2017-09-02 17:21:43
    默认安装的redis服务器仅能够在localhost模式下访问,有些情况下,我们需要远程客户端可以远程连接到服务器上,这时,我们可以修改redis配置文件的内容。步骤1: 打开/etc/redis.config文件步骤2: 将配置内容bind ...
  • 虚拟机或服务器设置远程访问 最近整了一台腾讯的服务器,在安装软件的过程中可谓是一路坎坷,好在算是成功的完成了每一步,下面为大家来分享一下途中的“坑” 安装mysql的文章在我的博客中可查看 使用远程登录时没有...
  • 引用:http://jingyan.baidu.com/article/8065f87f816f5323312498a1.html 转载于:https://www.cnblogs.com/reader/p/4826295.html
  • 配置Neo4j服务器允许远程访问

    千次阅读 2019-09-09 11:42:03
    配置Neo4j服务器允许远程访问 找到neo4j-community-3.1.3\conf\neo4j.conf 文件, 默认 bolt端口是7687,http端口是7474,https关口是7473,不修改下面3项也可以 修改 #dbms.connector.http.listen_address=:7474 为...
  • 2.使用mysql远程连接:在云服务器中的安全组中添加开放端口3306。在mysql的安装文件bin中打开dos或者cmd cd到MySQL安装的bin中。输入命令: mysql -uroot -p 输入密码输入命令:use mysql输入命令:进行授权如果...
  • mqtt协议 外网远程访问服务器问题记得开云服务器的入站规则确认1883端口防火墙是否打开 我们在本机测试可以用guest 但是在远程访问的时候guest是没有权限的需要自己开通管理员权限 外网服务器测试登陆rabbitmq...
  • 阿里云服务器允许远程访问

    千次阅读 2017-12-20 11:30:24
    以前都用的是物理服务器,最近公司新增一个阿里云服务器,tomcat ,jdk都部署完后,发现无法远程访问,后来发现阿里云服务器会默认关闭一些常用端口,需要自己登陆阿里云在安全规则中设置,例如:入口规则,出口规则...
  • Mysql默认是不可以通过远程机器访问的,通过下面的配置可以开启远程访问 。 以下是实现过程:   1、在MySQL Server端: 登陆MYSQL,键入mysql -h localhost -u root -p 提示你输入密码,输入密码后进入  ...
  • win2008服务器远程协助功能置灰,无法远程访问的解决方法: 这是因为windows2008的安全性已经被微软设计的很高,默认刚安装上2008系统时并没有安装上这项服务,需要你用执行相应的安装操作。右击【我的电脑】选择...
  • 进入防火墙设置   添加规则   添加mysql   ...设置root用户远程连接的密码为123456 grant all privileges on *.* to 'root'@'%' identified by '123456' with grant option; ...
  • 1.登录linux服务器后更新源sudo apt-get update2.安装mysqlsudo apt-get install mysql-server mysql-client3.安装完成后,出现该界面,输入密码后,回车安装完成4.测试mysql是否安装完成sudo service mysql restart...
  • 3、查看用户表:host,user,... 8、查看3306端口状态 netstat -an|grep 3306 9、查看阿里云的开放端口:登录阿里云进入控制台,依次访问 实例 ->(升降配下的)更多 -> 网络和安全组 -> 安全组配置 -> 配置规则
  • 在远程服务器安装好了mysql服务器之后,我们在本地使用命令行进行连接时发现连接不上,这时要考虑该远程服务器上的mysql服务是否开启了可被远程访问的权限。 一、服务器端的mysql如何开启可被远程访问: 在远程...
  • 因为是初体验,搞了一天,无论是FTP还是MySQL、MongoDB,都无法远程访问。。。 MongoDB给bindIp加上内网地址,还是不行。 后来在面板上放行端口,仍然没法访问。 准备吃饭、绝望之际,打开了服务器管理控制台,一看...
  • 开启linux远程访问权限

    千次阅读 2018-12-31 01:23:00
    摘要:今天在Linux服务器上安装了msyql数据库,在本地访问的时候可以访问,但是我想通过远程的方式访问的时候就不能访问了,查询资料后发现,Linux下MySQL默认安装完成后只有本地访问的权限,没有远程访问的权限,...
  • 一、前言 本案例使用阿里云服务器搭建,笔者将registry和docker镜像编译分开在两台机器,小伙伴们实际使用,可以在一台机器操作即可。 环境:Centos7 registry服务器 IP:47.100.219.117 docker镜像编译服务器 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 180,282
精华内容 72,112
关键字:

如何启用服务器的远程访问