实现从外网安全访问safeshare服务器数据.doc

《实现从外网安全访问safeshare服务器数据.doc》由会员分享，可在线阅读，更多相关《实现从外网安全访问safeshare服务器数据.doc（29页珍藏版）》请在三一办公上搜索。

1、实现从外网安全访问safeshare服务器数据1. 模式说明很多公司需要实现外部可控、安全地访问内部文件服务器的数据。SafeShare产品能够实现这种功能。下面几种典型的用户需求（/应用场景）： 总部与分厂之间(不在一个地方/局域网内)分厂要能安全访问总部的文件服务器上的涉密数据；比如，总部设定分厂能浏览的产品图纸等技术资料，分厂只能远程地浏览，不能下载和获取文件的副本； 公司与外部协作企业之间企业之间项目合作，公司将一部分技术资料授权给外协企业远程使用（如：浏览和批注反馈意见），合作结束后，公司撤销外部授权。并且，外部使用者在使用公司资料时，手上拿不到文件的副本； 出差人员在外面远程接入公

2、司内部的文件服务器，根据自己的用户权限远程操作数据、完成工作；2. 方案SafeShare软件支持外部用户通过VPN的方式，从外部接入服务器，并在safeshare软件的数据管控体系下，安全、可控地访问和处理数据。您可能需要先了解一些VPN的知识：详见$4.附件1VPN的背景知识；现在已经有越来越多的企业应用VPN技术来实现外部数据访问，用户可以选择下面几种具体的VPN实现方式：(一) 宽带服务商提供的vpn增值服务；说明电信、联通、网通等宽带上网提供商，都能提供VPN增值服务，为您开通VPN功能，具体可以询问您的宽带服务商，他们会给你搞好的，当然是要付钱的。效果速度快、应用效果好。代价最贵。

3、用户首先要交几千到1万多元的VPN开通费，然后根据vpn用户数量等，每月收取几百元到几千元的月费用。适用性大企业，外部访问用户数量多，为品质不差钱。事实上，很多企业现在已经开通和正在使用VPN的服务了。(二) VPN软件商提供的VPN服务；说明市面上有很多能实现VPN功能的软件，这些软件的开发商也能为您服务。比如：VNN等软件（效果速度一般、应用效果一般。代价要付费，并且根据品质不同，价格差异较大。以VNN为例，每个外部接入用户数百元/每年。适用性中小企业，外部用户不多，对品质要求不高。(三) 微软服务器操作系统（Windows2003server等）中自带的VPN服务器功能花生壳等动态域名解

4、析软件；说明windows2003sever系统中自带了VPN服务功能，只要双方都能宽带上网，就能实现外部访问。效果速度一般、应用效果一般。（毕竟不要钱的，值得试试）代价免费，零成本。适用性中小企业、个人用户、safeshare软件试用者，外部用户少，对品质要求不高。下面，我们详细写了第（三）种免费方法的操作步骤，您可以照着做。3. 具体操作步骤3.1. 应用目标在单位有个私有地址为192.168.1.0的网络，各电脑是通过ADSL共享方式接入Internet，在企业外部也有台电脑也通过ADSL访问Internet，现在想在外部电脑通过安装的safeshare客户端软件随时安全、受控地访问单位

5、192.168.1.5这台机器上运行的safeshare服务器。3.2. 应用环境我们以下面测试环境为例，来说明操作步骤。企业内部的Safeshare服务器外部的Safeshare客户端网络环境A地(赛孚公司)，adsl拨号上网，单网卡，192.168.1.0的网络；IP（192.168.1.5）B地（旅馆），共享adsl上网，192.168.41.0的网络；IP（192.168.41.2）软件环境Win2003server；启动VPN服务器，花生壳6.0软件;运行safeshare服务器软件WinXP，创建到VPN服务器的连接（VPN连接），运行safeshare客户端软件备注花生壳是一种动

6、态域名解析软件（详见：$5.附件2花生壳）。我们知道，一般adsl拨号上网，会给VPN服务器分配一个接入Internet的动态公共IP地址（当然，如果您给宽带服务商交了钱，也能拥有静态的IP，你就不需要花生壳软件了），就是说每次拨号服务器的公共IP地址都会改变。这样，就没法固定地设置客户端VPN连接的“VPN主机地址”内容；这会导致在进行VPN连接时，用户需要不停地获取和改变VPN连接的主机ip地址，这显然是很麻烦的事情。好在有花生壳这样的“动态域名解析软件”，你可以在花生壳上注册一个域名（花生壳的免费域名就行），然后把这个动态的“服务器的公共IP地址”与这个花生壳域名绑定，最后，在客户端VP

7、N连接的“VPN主机地址”中写上这个免费花生壳域名，就行了。因为每次进行VPN连接时，花生壳的dns服务器将为您解析此花生壳域名绑定的VPN服务器动态IP，这样就能登上动态地址的VPN服务器了。图表 1 网络图*注意：用户的具体网络应用环境可能和上图不同，您只需要适当调整我们的方案，就可以达到目的了。例如：如果您的windows服务器不是直接拨号上网的，而是是通过ADSL共享方式接入Internet的，也就是在ADSL猫中通过NAT转，接入Internet的，您就需要在ADSL中作端口映射，由于windows 2003的VNP服务用的是1723端口，所以如下图所示，将1723端口映射到192.

8、168.1.5这台设有VPN服务的机器。下面是详细的操作步骤：3.3. 操作步骤说明3.3.1. 检查vpn服务器的启用条件Windows 2003系统中VPN服务叫做“路由和远程访问”，系统默认就安装了这个服务，但是没有启用。首先我们要做的是保证vpn起用的条件“一停四开”，就是在“计算机管理”“服务”中：图表2 必备的系统服务1. window自带的防火墙服务(windows firewall/internet connection sharing (ICS) 要停止；2. 远程注册表服务（Remote Registry)必须开启；3. server服务 (Server)必须开启；4. r

9、oute路由服务(Routing and Remote Access)必须开启；5.Workstation 服务必须开启；3.3.2. 设置win2003server的VPN服务首先，在用做safeshare服务器的win2003server电脑上（ip：192.168.1.5），启动并配置VPN服务。1 选择开始菜单所有程序管理工具路由和远程访问。图表 32 添加本地计算机为服务器先选择“服务器状态”右键“添加服务器”； 图表 5然后，勾选“这台计算机”，点击“确定”。图表 63 在下图中选择上面增加的“本地服务器”，右键“配置并启用路由和远程访问”图表 7设置过程下图8至图12所示，出现图

10、12界面就完成了单网的VPN服务器端的基本设置，这里特别指出的是对本例中单网卡的服务器，一定要在图9处选择自定义配置，否则就进行不下去了。图表 8图表 9 选择自定义配置，下一步图表 10 选择“VPN访问”，下一步图表 11 完成图表 12 选择“是”，开始vpn服务4. 设置vpn服务器的静态地址池启动了VPN服务后，在“路由和远程访问”的界面（图表7）,在服务器上点击右键，选择“属性”，在弹出的窗口中选择“IP”标签，在“IP地址指派”中选择“静态地址池”。图表14图表15然后点击“添加”按钮设置IP地址范围，这个IP范围就是VPN局域网内部的虚拟IP地址范围，每个拨入到VPN的服务器都

11、会分配到一个范围内的IP，在虚拟局域网中用这个IP相互访问。这里设置为192.168.1.1-192.168.1.100，一共100个IP，默认的VPN服务器占用第一个IP。至此，VPN服务部分配置完毕。3.3.3. 在服务器上建立有拨入权限的用户要登录到VPN服务器，必须要知道该服务器的一个有拨入权限的用户，为了讲得更明白，下面在该VPN服务器上新建个用户并赋予该用户拨入的权限，1.首先，在操作系统中是建立一个用户（vpnuser）（过程如图16至图18）， 图16图17图182.在用户的属性窗口中，给这个用户设置“远程登录”的权限（.图19），一定要在远程访问权限处选择允许访问，不然就无法

12、登录了。图193.3.4. 在服务器上安装花生壳软件1. 首先，去这里下载一个最新版本的花生壳软件：2. 在win2003vpn服务器上安装花生壳软件；3. 运行花生壳客户端，点击下图的“注册新护照”，申请一个“花生壳护照”；图 20图21图22 注册成功后，花生壳会赠送您一个免费域名（上图），在上图选中并激活它。4. 在花生壳客户端（图20界面中）登录“花生壳护照”，免费域名（）已经绑定到vpn服务器当前的动态公共IP地址(180.110.101.170)上了。图233.3.5. 在客户端建立VPN连接1. 首先，我们在准备远程接入VPN服务器的客户端电脑上新建一个vpn连接。图24 打开“

13、网上邻居”“属性”窗口，点击“创建一个新的连接”图25 下一步图26 选第二项“连接到我的工作场所的网络”图27 选择“虚拟专用网络连接”图28 给一个公司名图29 选择“不拨初始连接”图30 输入你在前面（图22所示）获得的花生壳免费域名图31 指定谁能使用这个vpn连接图32 完成vpn连接2. 然后，如下配置一下这个vpn连接：图33 查看这个vpn连接的属性图34 查看“网络”“Internet协议（TCP/IP）”“属性”图35 点“高级”图36 在“常规”中取消“在远程网络上使用默认网关”选项至此，所有配置都完成了，我们能看看vpn远程接入的效果了。3.3.6. 客户端远程访问服务

14、器数据1. 首先，在win2003服务器上拨号上网；2. 启动花生壳，并登录花生壳护照；此时，域名（）就与当前vpn服务器的动态公共IP地址(比如：180.111.86.149)对应上了。图37您可以在cmd中ping域名（），看到它被发生壳公司的DNS解析到vpn服务器的动态公共IP地址了(比如：180.111.86.149)。如下图：图 383. 用服务器内网的IP（192.168.1.5）启动safeshare服务；4. 在客户端计算机连接vpn；由于在上面（图38所示），花生壳为我们将域名（）解析到vpn服务器的动态公共IP地址上了，所以这个vpn连接（主机地址设定为）就能连接上vpn

15、服务器。图37 客户端连接vpn图38 用$3.3.3 建立的有拨入权限的服务器用户（vpnuser）登录图39 如果出现这个提示，选择“接受”5. 最后，运行safeshare客户端，登录服务期。通过上面的vpn连接，就像在一个局域网中一样。图40 远程登录safeshare客户端访问数据4. 附件1VPN的背景知识下面内容摘自百度百科VPN(虚拟专用网络)，4.1. VPN概念虚拟专用网络VPN（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的

16、物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。VPN属于远程访问技术，简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。

17、外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源，这就是为什么VPN在企业中应用得如此广泛。 在传统的企业网络配置中，要进行异地局域网之间的互连，传

18、统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言，一般通过拨号线路(Internet)进入企业的局域网，而这样必然带来安全上的隐患。 虚拟专用网的提出就是来解决这些问题： (1)使用VPN可降低成本通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。 (2)传输数据安全可靠虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。 (3)连接方便灵活用户如果想与合作伙伴联网，如果没有虚拟专用网，双

19、方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。 (4)完全控制虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。 4.2. 特点4.2.1. 安全保障VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有和安全性。 4.2.2. 服务质量保证（QoS）VPN可以不同要求提供不同等级的服务质量保证。 4.2.3. 可扩充性和灵活性VPN支持通过Internet和Extr

20、anet的任何类型的数据流。 4.2.4. 可管理性VPN可以从用户和运营商角度方便进行管理。5. 附件2花生壳“动态域名解析软件”花生壳知识：花生壳官网：我们知道，一般adsl拨号上网，会给VPN服务器分配一个接入Internet的动态公共IP地址（当然，如果您给宽带服务商交了钱，也能拥有静态的IP，你就不需要花生壳软件了），就是说每次拨号服务器的公共IP地址都会改变。这样，就没法固定地设置客户端VPN连接的“VPN主机地址”内容；这会导致在进行VPN连接时，用户需要不停地获取和改变VPN连接的主机ip地址，这显然是很麻烦的事情。好在有花生壳这样的“动态域名解析软件”，你可以在花生壳上注册一个域名（花生壳的免费域名就行），然后把这个动态的“服务器的公共IP地址”与这个花生壳域名绑定，最后，在客户端VPN连接的“VPN主机地址”中写上这个免费花生壳域名，就行了。因为每次进行VPN连接时，花生壳的dns服务器将为您解析此花生壳域名绑定的VPN服务器动态IP，这样就能登上动态地址的VPN服务器了。