Лекции (989962), страница 27
Текст из файла (страница 27)
Если компьютер используют в качестве сервера удаленного доступа, тозапрет IP-маршрутизации позволит удаленным пользователям подключаться толькок серверу, но не даст доступа к остальной сети.Трансляция сетевых адресов NAT уже подробно рассматривалась ранее в лекциях ипозволяет большому количеству компьютеров работать с Internet или другой сетьюпри помощи одного или нескольких IP-адресов.
Использование NAT также позволяет скрывать структуру своей сети от внешней сети, т.к. для внешней сети всявнутренняя сеть будет представлена всего одним IP-адресом. Настройка NATосуществляется через меню IP-маршрутизация/Общие/Контекстное меню/Новыйпротокол маршрутизации/NAT-преобразование сетевых адресов.
После созданияпротокола NAT: IP-маршрутизация/NAT/Контекстное меню/Новый интерфейс/Выбрать интерфейс, соответствующей внутренней сети и в диалоговом окне указать"Частный интерфейс, подключен к частной сети". Аналогично выбрать второйинтерфейс, соответствующий внешней сети (например, Internet), и в диалоговомокне указать/Общий интерфейс, подключен к интернет, а также установить флажок"Преобразовать TCP/UDP заголовки" и на вкладке "Пул адресов" указать IP-адрес,которым ваша внутренняя сеть будет представлена во внешней сети.
Можно указать Ляхевич А.Г., 2000 - 2002 годЗадачаСозданиеIP-туннеляСозданиеинтерфейсавызова потребованиюНастройкакомпьютера вкачестве сервера удаленногодоступа (RAS)Продолжение табл. 5.3Решениенесколько адресов, или при помощи кнопки "Резервирование" указать, что конкретный IPадрес внутренней сети , всегда будет заменяться в пакетах на конкретный IP-адресвнешней сети.При создании IP-туннеля между двумя компьютерами устанавливается логическое (а нефизическое) соединение точка-точка. Если между компьютерами A и B существует IPтуннель, и пакет был направлен в этот туннель, то он помещается в дополнительный IPпакет, в котором в качестве адреса назначения будет указан компьютер B.
После поступления такого IP-пакета на компьютер B, из него извлекается первоначальный пакет ипередается далее по сети, к которой подключен компьютер B. Обычно IP-туннель (интерфейс IP-в-IP) используется для перенаправления многоадресного IP-трафика из однойчасти сети в другую, через участок сети, в котором не поддерживается многоадресный IPтрафик. Создать IP-туннель можно следующим образом: "Интерфейсы маршрутизации/Контекстное меню/Создать IP-туннель", а затем "IP-маршрутизация /Общие/ Контекстноеменю/Новый интерфейс/ Выделить созданный ранее IP-туннель/OK/в диалоговом окнезадать локальный (компьютер A) и удаленный (компьютер B) IP-адрес. В том же диалоговом окне, на вкладке "Общие", можно установить фильтры на входящие и исходящиепакеты туннеля (фильтрация по IP-адресам, типам протоколов, портам).Поясним на примере. Если известно, что доступ к сети 15.0.0.0 можно получить при помощи модема (адаптера ISDN, другого устройства), позвонив по тел.
555-00-15, а доступ ксети 17.0.0.0 можно получить при помощи модема, позвонив по тел. 555-00-17, то дляавтоматизации этого процесса можно создать два интерфейса вызова по требованию идобавить в таблицы маршрутизации записи, отправляющие пакеты до соответствующихсетей на эти интерфейсы. Тогда если на маршрутизатор попадет пакет до сети 15.0.0.0, томодем автоматически наберет номер 555-00-15, установит соединение с удаленнымкомпьютером (маршрутизатором) и передаст пакет.
В случае если появится пакет до сети17.0.0.0, то соединение будет установлено по номеру 555-00-17. Настройка интерфейсавызова по требованию происходит следующим образом: Интерфейсы маршрутизации/Контекстное меню/ Создать новый интерфейс вызова по требованию/Указать тел. и др.параметры.
Затем: IP-маршрутизация/Статические маршруты/Контекстное меню/Новыйстатический маршрут/Выбрать созданный интерфейс вызова по требованию и указать IPадрес и маску сети (компьютера) назначения. Может также понадобиться указать: "Выделить сервер/Контекстное меню/Свойства/Вкладка "Общие"/ Использовать компьютер какмаршрутизатор локальной сети и вызова по требованию".Выделить сервер/Контекстное меню/Свойства/Вкладка "Общие"/Использовать компьютеркак сервер удаленного доступа – установить флажок. В том же диалоговом окнеосуществляются и другие настройки:Вкладка "Безопасность" – указывается выбор между службами проверки подлинности иучета пользователей (служба Windows или служба Radius).
Кнопка "Методы проверкиподлинности" позволяет включить запрос пароля по схеме CHAP или PAP (подробнее см.ранее в лекциях, протокол PPP) или разрешить удаленное подключение без проверкипароля и имени пользователя.Вкладка "IP" – назначение IP-адресов для подключающихся пользователей: используяпротокол DHCP или из статического пула адресов, задаваемого вручную на этой же вкладке (адреса DHCP, DNS и WINS серверов выбираются автоматически, см. выпадающийсписок "Адаптер"). В дополнение к этому, в политике безопасности удаленного доступа(см.
ниже) указывается: назначает ли сервер IP-адрес клиенту, или клиент может самзапросить IP-адрес.Вкладка "PPP" – позволяет задавать объединение нескольких физических подключений(например, несколько модемов) в один логический канал, а также управлять пропускнойспособностью канала, создавая дополнительные подключения при необходимости.Помимо описанных выше процедур, необходимо также создать соответствующихпользователей (Пуск/Настройка/Панель управления/Администрирование/Active Directory– пользователи и компьютеры/Выделить подразделение/Создать/Пользователь), задать импароли и разрешить для них "Входящие звонки" (Active Directory – пользователи икомпьютеры/Выделить пользователя/Двойной щелчок/Входящие звонки). Ляхевич А.Г., 2000 - 2002 годЗадачаНастройкаполитикиудаленногодоступаНастройка ведения журналов событийудаленногодоступа и маршрутизацииПродолжение табл. 5.3РешениеСоздание политики – Выбрать сервер/Политика удаленного доступа/Контекстное меню/Создать политику удаленного доступа.
В уже созданной политике используя кнопку"Добавить", можно задать следующие условия, по которым пользователям будетразрешено/отказано в удаленном доступе:- номер телефона исходящего звонка, который набрал пользователь.- номер телефона входящего звонка.- используемые протоколы и тип службы, которые запрашивает пользователь.- IP-адрес пользователя.- время звонка пользователя.- группа пользователей, к которой принадлежит звонивший и др.Используя кнопку "Изменить профиль" можно настроить профиль подключаемогопользователя:- назначается ли сервером IP-адрес клиенту, или клиент может сам запросить IP-адрес.- задать фильтр пакетов (межсетевой экран, firewall) для данного подключения,ограничивающий прохождение пакетов от клиентов и к клиенту, в зависимости оттипа протокола и номера портов.- ограничить максимальную продолжительность и время звонков.- определить методы проверки подлинности и шифрования и др.Для настройки регистрации всех событий, связанных с удаленным доступом и маршрутизацией следует выбрать меню "Выделить сервер/Контекстное меню/Свойства/Журналсобытий" – позволяет указать условия записи событий сервера, связанных с маршрутизацией и удаленным доступом (записывать только ошибки/ошибки и предупреждения/всесобытия/отключить запись).Для настройки ведения журнала удаленного доступа необходимо воспользоваться меню"Выбрать сервер/Ведение журнала удаленного доступа" – позволяет настроить размеры,местоположение, формат файла журнала удаленного доступа и уровень детализации ведения журнала.5.8.
Диспетчер служб Интернета IIS (Internet Information Services).Internet Information Services (Пуск/Настройка/Панель управления/Администрирование/Диспетчер службИнтернета) позволяет настраивать и администрировать web-, ftp-, smtp- и nntp- (группы новостей) сервисына машине. Из-за постоянных проблем с безопасностью рекомендуется не использовать IIS и даже неустанавливать его на компьютер (например, в качестве web-сервера лучше использовать Apache).Создать Web-сервер можно следующим образом: Выделить сервер/Контекстное меню/Создать/УзелWeb/Отвечать на вопросы мастера: указать имя узла, IP-адрес (содержимое Web-узла или отдельные каталоги могут находиться как на данном сервере, так и на других компьютерах в сети), порт, каталог, разрешения(чтение, запуск сценариев, выполнение CGI-приложений, запись, обзор).
Аналогично создается узел ftp,виртуальный почтовый сервер SMTP и виртуальный сервер новостей SMTP.Настройка сервисов осуществляется следующим образом: "Выделить Web-узел (ftp, smtp, nntp)/Контекстное меню/Свойства/". Можно устанавливать домашний каталог сервиса и определить разрешениядля него (чтение, запись, обзор каталога, доступ к тексту сценария, запись в журнал, индексация каталога),запретить доступ к web(ftp)-узлу с определенных IP- или URL-адресов, устанавливать времени отключенияне отвечающего пользователя, предельное число подключенных пользователей, вести журнал подключений,разрешать или запрещать анонимное подключение, просматривать текущие подключения к серверу, настроить вид html-страниц, возвращаемых пользователю при возникновении ошибок, название html-страницы,отображаемой по умолчанию и т.д.
В меню "Выделить сервер/Свойства" можно ограничить полосупропускания для всех web- и ftp-узлов данного компьютера, ограничив нагрузку на сеть, напримервеличиной 1024 Кбит/с.Особенностью IIS является поддержка активных серверных страниц (Active Server Pages, ASP). ASPпозволяет динамически формировать HTML-страницы. ASP-файл представляет из себя документ HTML, втекст которого включены команды сценария ASP. Перед выдачей ASP-файла клиенту web-серверобрабатывает команды ASP-сценария и динамически формирует HTML-страницу.
Языком написания ASPсценариев является VBScript (хотя могут использоваться языки JavaScript и Perl). Команды ASP-сценариявстраиваются в HTML-страницу при помощи тэгов <Script> </Script> или <%%>. Отличием ASP-сценариев от обычных сценариев на языке VBScript/JavaScript является то, что если обычные сценарии выполняются на стороне клиента, то команды ASP-сценария выполняются на стороне сервера и пользовательполучает "готовый" HTML-документ без всяких тэгов <Script> </Script> (только если сам ASP-сценарий несформировал новые тэги <Script>). То, что ASP-сценарий выполняется на стороне сервера значительнорасширяет его возможности. Так, например, в HTML-страницу могут быть динамически вставлены сведенья Ляхевич А.Г., 2000 - 2002 годиз базы данных, хранящейся тут же на сервере. Раньше (и до сих пор, на всех Unix/Linux системах) длядинамического формирования HTML-страниц использовались CGI-программы – программы на языках C,Perl и др., удовлетворяющих Общему Шлюзовому Интерфейсу (Common Gateway Interface, CGI).
ASPсценарии призваны заменить CGI-программы и упростить создание динамических HTML-страниц. Однакоиз-за низкой популярности IIS и Windows 2000, в качестве сервера Internet, ASP-скрипты пока не получилистоль же широкое распространение, как CGI-программы.Примечание: если на компьютере установлен IIS 5.0, то достаточно полную справку по IIS и ASP можнополучить, набрав в браузере Internet Explorer адрес http://localhost/iisHelp/iis/misc/default.asp. (как следует изадреса, подключение к Internet для этого не требуется :).5.9. Служба Telnet.Служба Telnet позволяет организовать подключение пользователей к серверу по протоколу Telnet.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
