Chapter7 - Remote Access Services (1) (1)

Machine Translated by Google
ĐHQGHCM – ĐẠI HỌC BÁCH KHOA

KHOA ĐIỆN TỬ – VIỄN THÔNG
CỤC VIỄN THÔNG – MẠNG
KHÓA HỌC
Mạng lưới công nghệ
chương 1 Hiểu tổ chức

Mạng và truy cập từ xa
07 DỊCH VỤ TRUY CẬP TỪ XA

Chủ biên: Nguyễn Việt Hà, Ph.D.
Ngày 4 tháng 7 năm 2023
Giảng viên: Nguyễn Việt Hà, Ph.D. Email: nvha@hcmus.edu.vn

2
Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức
Khu phi quân sự (DMZ)

Tách mạng LAN khỏi các mạng không tin
Hình. Hình. cậy
Cấu Cấu (internet). Còn được gọi là mạng vành đa
trúc trúc các mạng con được sàng lọc.
mạng mẫu mạng mẫu
3 4
Khu phi quân sự (DMZ) Demarc (điểm phân giới)

Thiết bị dịch thuật hoặc bộ định tuyến có giao diện
Tách mạng LAN khỏi các mạng không tin
Hình. cậy Hình. mạng chuyên dụng cho công nghệ dặm cuối truyền lưu
Cấu trúc (internet). Còn được gọi là mạng vành đaiCấu

hoặc
trúc lượng truy cập trực tiếp giữa ISP và bộ định tuyến
mạng mẫu mạng mẫu NAT.
các mạng con được sàng lọc.
Máy chủ và tài nguyên trong DMZ có thể truy cập Các công nghệ chặng cuối phổ biến:
o Đường dây thuê bao số (DSL): sử dụng mạng điện
được từ internet ( và/hoặc mạng LAN)
thoại.
(Ví dụ: web, email, DNS, FTP và máy chủ proxy.),
o Băng rộng cáp: sử dụng mạng cáp truyền hình.
nhưng phần còn lại của mạng LAN nội bộ vẫn không
thể truy cập được.
o Gigabit Passive optical Network (GPON): sử dụng
Cung cấp thêm một lớp bảo mật cho mạng LAN vì
nó hạn chế khả năng tin tặc truy cập trực tiếp cáp quang.
o Wi-Fi tầm xa: sử dụng vô tuyến không dây, thường
vào máy chủ nội bộ và dữ liệu từ internet.
sử dụng các bộ phát không dây được đặt trong
5 tầm nhìn. 6
NAT (Dịch địa chỉ mạng) Gửi

Để truy cập Internet, địa chỉ IP công cộng là
cần thiết. 209.165.200.226
Hình.
Cấu trúc
mạng mẫu IPsrc:
NAT là một quá trình trong đó một hoặc nhiều địa chỉ IP
DA SA
Công cộng cục bộ được dịch thành một hoặc nhiều địa chỉ IP toàn
209.165.201.1 209.165.200.226
cầu và ngược lại để cung cấp truy cập Internet cho các
máy cục bộ.
NAT thường hoạt động trên bộ định tuyến hoặc tường lửa.
IPsrc: DA SA
Riêng tư
209.165.201.1 192.168.10.10
7 số 8

Nhận được NAT (Dịch địa chỉ mạng)
Để truy cập Internet, địa chỉ IP công cộng là
cần thiết.
DA SA 209.165.200.226 Hình.
192.168.10.10 209.165.201.1 Cấu
trúc IPsrc:
NAT là một quá trình trong đó một hoặc nhiều
mạng mẫu Công cộng địa chỉ IP cục bộ được dịch thành một hoặc
nhiều địa chỉ IP toàn cầu và ngược lại để cung
cấp truy cập Internet cho các máy cục bộ.
NAT thường hoạt động trên bộ định tuyến hoặc tường lửa.
Ngoài ra, nó thực hiện việc dịch các số cổng ,

tức là che số cổng của máy chủ bằng một số
IPsrc:
DA SA
Riêng tư cổng khác, trong gói sẽ được định tuyến đến
209.165.200.226 209.165.201.1 đích. (PAT – Dịch địa chỉ cổng hoặc Chuyển
9 tiếp NAT) 10
209.165.200.226 209.165.200.226
SA DA
SA DA
209.165.201.1:80 209.165.200.226:1555
192.168.10.10:1555 209.165.201.1:80
SA DA
SA DA
209.165.201.1:80 192.168.10.10:1555
209.165.200.226:1555 209.165.201.1:80
SA DA
SA DA
209.165.202.129:80 192.168.10.11:1331
209.165.200.226:1331 209.165.202.129:80
SA DA
SA DA
209.165.202.129:80 209.165.200.226:1331
192.168.10.11:1331 209.165.202.129:80
(PAT) (PAT)
11 12
Hiểu về truy cập từ xa Hiểu về truy cập từ xa
Các thành viên của tổ chức cần kết nối với các tài nguyên được lưu trữ trên các máy Cung cấp quyền truy cập vào các tài nguyên này bằng
chủ trong DMZ từ bên ngoài tổ chức. Ví dụ: khi một giám công nghệ truy cập từ xa. Ít
đốc điều hành hoặc thành viên nhóm bán hàng cần truy cập các tệp công việc trên nhất một máy chủ trong DMZ của bạn phải được cấu
máy chủ tệp trong tổ chức khi đi công tác. hình làm máy chủ truy cập từ xa chấp nhận yêu cầu
từ các máy khách truy cập từ xa trên Internet.
Nguyễn Việt Hà, Ph.D.

- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ 13/5069 14
Cung cấp quyền truy cập vào các tài nguyên này bằng Ngoài ra, các tổ chức có thể kết nối trực tiếp các
công nghệ truy cập từ xa. Ít máy chủ truy cập từ xa với một ranh giới.
nhất một máy chủ trong DMZ của bạn phải được cấu
(1a. NAT: hình làm máy chủ truy cập từ xa chấp nhận yêu cầu
Máy chủ truy cập từ xa phải có hai giao diện mạng.
1.2.3.4 từ các máy khách truy cập từ xa trên Internet.
Một được kết nối với
172.16.0.50)
ranh giới.
Một cái khác được kết nối với DMZ.

(1b)
(1) Máy khách truy cập từ xa trước tiên kết nối với
máy chủ truy cập từ xa trong DMZ, sử dụng mã hóa
Máy chủ truy cập từ xa được tiếp xúc trực tiếp với
được cung cấp bởi máy khách truy cập từ xa
Internet.
(2) máy chủ.
Phải bật tường lửa (và tốt nhất là phần mềm bảo
(2) Máy chủ truy cập từ xa sau đó xác thực người dùng
mật bổ sung) để đảm bảo rằng tính bảo mật của máy
trước khi cho phép truy cập từ xa.
chủ truy cập từ xa không bị xâm phạm.
15 16
Bộ định tuyến NAT thường chứa các khả năng quản lý và bảo mật bổ sung, Microsoft cung cấp ba công nghệ truy cập từ xa chính có thể được sử dụng
chẳng hạn như điều tiết lưu lượng, ngăn chặn xâm nhập và lọc phần mềm độc để có được quyền truy cập vào các máy chủ trong DMZ từ khắp Internet:
hại. Thường được gọi là Tường lửa thế hệ tiếp theo (NGFW).
Mạng riêng ảo (VPN)
Truy cập trực tiếp
Dịch vụ máy tính từ xa
Mỗi công nghệ truy cập từ xa này cung cấp các giao thức riêng, cũng như
hỗ trợ các loại xác thực và mã hóa khác nhau.
Một số NGFW có chức năng máy chủ truy cập từ xa tích hợp , loại bỏ nhu
cầu về máy chủ truy cập từ xa riêng biệt.

- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ
17/5069
18/5069
Lợi ích của VPN
2 Mạng riêng ảo (VPN)
19 - – Mạng, 20/5069
Nguyễn Việt Hà, Ph.D. Sở viễn thông FETEL,VNUHCM-Mỹ
Lợi ích của VPN Lợi ích của VPN
An ninh: An ninh:
Bảo mật Bảo mật
o Đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể đọc o Mã hóa: Mã hóa đối xứng
tin nhắn. Nếu tin nhắn bị chặn, nó không thể được giải mã trong
một khoảng thời gian hợp lý.

- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ 21/5069 Nguyễn Việt Hà, Ph.D.
- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ 22/5069
An ninh: An ninh:
o Mã hóa: Mã hóa đối xứng o Mã hóa: Mã hóa bất đối xứng
Các thuật toán mã hóa đối xứng nổi tiếng:

An ninh: An ninh:
o Mã hóa: Mã hóa bất đối xứng • o Mã hóa: Mã hóa bất đối xứng
Các thuật toán mã hóa bất đối xứng nổi tiếng :
Diffie-Hellman:
- DH sử dụng số rất lớn trong tính toán.
• EX: DH2: 1024-bit (~ số thập phân gồm 309 chữ số).
• Cực kỳ chậm đối với bất kỳ loại mã hóa số lượng lớn nào.
Mã hóa bất đối xứng thường được sử dụng làm Xác thực
hoặc Trao đổi khóa an toàn.
25 26
An ninh: An ninh:
Bảo mật Tính toàn vẹn của dữ liệu
o Mã hóa: Mã hóa bất đối xứng o Đảm bảo rằng thông điệp không bị thay đổi. Mọi thay đổi đối với dữ
Diffie-Hellman: liệu đang truyền sẽ được phát hiện.
•DH Nhóm 1: 768 bit

27 Nguyễn Việt Hà, Ph.D.

An ninh: An ninh: Xác thực PSK
Xác thực nguồn gốc Xác thực nguồn gốc (Khóa bí mật được chia sẻ trước)
oĐảm bảo rằng tin nhắn không phải là giả mạo và thực sự
đến từ ai mà nó tuyên bố.
Khóa bí mật chia sẻ trước (PSK)

- Sử dụng một khóa bí mật bổ
sung làm đầu vào cho hàm băm.

An ninh: An ninh: Xác thực RSA
Xác thực nguồn gốc Xác thực nguồn gốc
Xác thực RSA sử dụng chứng chỉ số để xác thực.
- Thiết bị cục bộ lấy được hàm băm và mã hóa bằng khóa riêng.
- Hàm băm được mã hóa được đính kèm vào tin nhắn và được chuyển
tiếp đến đầu từ xa và hoạt động như một chữ ký.
- Ở đầu từ xa, hàm băm được mã hóa được giải mã bằng khóa chung
của đầu cuối cục bộ.
- Nếu hàm băm được giải mã khớp với hàm băm được tính toán lại,
chữ ký là chính hãng.
- Mỗi máy ngang hàng phải xác thực máy ngang hàng đối diện của nó trước
khi đường hầm được coi là an toàn.

Các loại VPN: VPN truy cập từ xa Các loại VPN: VPN truy cập từ xa
VPN là công nghệ truy cập từ xa cung cấp mã hóa cho dữ liệu được gửi qua Internet VPN cung cấp một kênh (hoặc “đường hầm”) được mã hóa
giữa máy khách truy cập từ xa và giữa các hệ thống trên mạng, chúng thường được gọi là
máy chủ. đường hầm VPN.
Một mạng “ảo” được tạo giữa máy khách và máy chủ truy cập từ xa được sử dụng ngoài Mỗi đầu của đường hầm VPN được đại diện bởi một
mạng vật lý bên dưới. giao diện mạng ảo

được cấu hình với một địa chỉ IP.
oCòn được gọi là mạng lớp phủ.
Dữ liệu gửi trên mạng ảo được mã hóa tự
động
và chỉ có thể được giải mã bởi máy chủ
hoặc máy khách truy cập từ xa.
Quả sung.
Đường hầm VPN giữa máy khách

và máy chủ truy cập từ xa 34
Các loại VPN: VPN truy cập từ xa Các loại VPN: VPN truy cập từ xa
Cổng mặc định được định cấu hình trong giao diện mạng Theo mặc định, tất cả lưu lượng sẽ đi qua
VPN trên máy khách truy cập từ xa được tự động đặt máy chủ truy cập từ xa.
thành 0.0.0.0
Để đảm bảo rằng tất cả các gói do máy khách tạo

Tuy nhiên, nếu máy khách truy cập từ xa định cấu hình
ra đều được mã hóa và gửi trên VPN đến máy chủ
đường hầm phân chia, chúng sẽ có thể:
truy cập từ xa.
Truy cập DMZ trong tổ tài
chứcnguyên
của họ qua đường hầm
VPN. Sử dụng cổng mặc định trên giao diện mạng

Máy chủ truy cập từ xa sau đó giải mã vật lý của họ để truy cập Internet
các gói này và chuyển tiếp chúng đến mạng DMZ để cho
phép người dùng truy cập tài nguyên trong tổ chức. tài nguyên.
Hình.khách
đườngvà
hầm
máy
giữa
chủ VPN,
truy máy
cập từ Hình.khách
đườngvà
hầm
máy
giữa
chủ VPN,
truy máy
cập từ
xa 35 xa 36
Các loại VPN: VPN từ trang này sang trang khác Các loại VPN: VPN từ trang này sang trang khác
VPN cũng có thể

VPN giữa các bộ định tuyến cũng có thể được sử dụng để mã hóa lưu lượng máy
được sử dụng để
chủ đi qua Internet giữa các địa điểm khác nhau.
mã hóa lưu
Ví dụ:
lượng IP đi qua
Internet giữa hai o Sao chép Active Directory giữa các bộ điều khiển miền.
bộ định tuyến oNội dung thư mục được đồng bộ hóa giữa các máy chủ tệp bằng cách sử
tại các vị trí dụng bản sao DFS.
khác
nhau trong một tổ chức.
Máy chủ nội bộ Hầu hết các tổ chức sử dụng bộ định tuyến dựa trên phần cứng hoặc thiết bị
không NGFW để cung cấp VPN giữa các vị trí khác nhau trong một tổ chức.
biết rằng VPN đang Tuy nhiên, thay vào đó, bạn có thể định cấu hình hệ thống Windows Server làm
Đường hầm
Quả sung.
được sử dụng. bộ định tuyến cung cấp VPN giữa các vị trí.
VPN giữa hai bộ định
tuyến

Giao thức VPN Giao thức VPN
Nhiều công nghệ VPN khác nhau đã được phát triển từ những năm 1990 và mỗi công nghệ sử IPsec
dụng một giao thức VPN cụ thể để tạo đường hầm cho lưu lượng truy cập. chuẩn oIETF (Internet Engineering Task Force).
oIPsec bảo vệ và xác thực các gói IP giữa nguồn và

Khi bạn triển khai máy chủ truy cập từ xa bằng Windows Server, bốn giao thức
điểm đến.
VPN khác nhau được hỗ trợ:
Bảo vệ lưu lượng từ Lớp 4 đến Lớp 7 (mô hình OSI).
Giao thức đường hầm điểm-điểm (PPTP) oNó được
phát triển bởi một nhóm các nhà cung cấp bao gồm cả Microsoft oMã hóa oIPsec không bị ràng buộc với bất kỳ quy tắc cụ thể nào để liên lạc
dữ liệu bằng cách sử dụng Mã hóa điểm-điểm của Microsoft (MPPE). an toàn.
Hỗ trợ độ dài khóa mã hóa từ 40 đến 128 bit. Hệ điều Tính linh hoạt của khuôn khổ này cho phép IPsec dễ dàng tích hợp
các công nghệ bảo mật mới mà không cần cập nhật các tiêu chuẩn
hành Windows chứa khóa đăng ký ngăn việc sử dụng khóa MPPE nhỏ hơn
IPsec hiện có .
128 bit theo mặc định.


IPsec IPsec
41 Hiệp hội bảo mật (SA). 42

IPsec GRE qua IPsec
oGeneric Routing Encapsulation (GRE) là một giao thức đường hầm VPN
site-to-site không an toàn .
Không hỗ trợ mã hóa.
o Nó có thể đóng gói các giao thức lớp mạng khác nhau.
oHỗ trợ lưu lượng phát đa hướng và quảng bá


GRE qua IPsec Giao thức đường hầm lớp hai (L2TP) oĐược
oMột IPsec VPN tiêu chuẩn (không phải GRE) chỉ có thể tạo các đường hầm an toàn phát triển bởi Microsoft và Cisco.
cho lưu lượng unicast.
Ví dụ: Các giao thức định tuyến sẽ không trao đổi thông tin định o Dựa vào Bảo mật IP (IPSec) để mã hóa các gói dữ liệu. Khóa
tuyến qua IPsec VPN.
mã hóa có độ dài từ 56 đến 256 bit.
- Đóng gói lưu lượng giao thức định tuyến bằng gói GRE, sau đó
đóng gói gói GRE thành gói IPsec để chuyển tiếp an toàn đến
o Máy khách và máy chủ truy cập từ xa xác thực với nhau.
cổng VPN đích.
Định cấu hình cùng khóa chia sẻ trước (mật khẩu) hoặc cài đặt
chứng chỉ mã hóa IPSec trên cả máy khách và máy chủ truy cập từ xa.

Internet Key Exchange phiên bản 2 (IKEv2) oMột Giao thức đường hầm ổ cắm an toàn (SSTP)
cải tiến cho IPSec cung cấp đường hầm VPN với tốc độ nhanh hơn so với oĐường hầm dữ liệu thông qua các gói HTTPS trên mạng.
L2TP.
o Ban đầu nó sử dụng mã hóa lớp Cổng bảo mật (SSL) với các khóa 128
oNó sử dụng khóa mã hóa 256-bit bit.
oYêu cầu máy khách và máy chủ truy cập từ xa xác thực với nhau bằng oViệc triển khai SSTP hiện đại sử dụng khóa 256 bit cùng với mã hóa Bảo
chứng chỉ mã hóa IPSec hoặc khóa chia sẻ trước. mật tầng vận chuyển (TLS) . Đôi khi được
thể hiện dưới dạng SSL/TLS. Cả hai
thuật ngữ thường được sử dụng thay thế cho nhau.
oĐể sử dụng SSTP, máy chủ truy cập từ xa phải chứa chứng chỉ mã hóa
HTTPS.

Giao thức VPN Xác thực VPN
Giao thức đường hầm ổ cắm an toàn (SSTP) Trước khi có thể thiết lập đường hầm VPN, máy khách truy cập từ xa trước tiên phải xác
oTLS hoạt động ở lớp 4 (OSI) thực với máy chủ truy cập từ xa bằng thông tin đăng nhập.

Xác thực VPN Xác thực VPN
Máy chủ truy cập từ xa xác thực thông tin đăng nhập đã nhận trước khi cung cấp Sử dụng RADIUS
Truy cập từ xa.
Bạn có thể tùy chọn cấu hình
điều khiển từ xa để
truy máy chủ
Trong miền Active Directory
cập thông tin đăng nhập
Máy chủ truy cập từ xa sẽ chuyển tiếp thông tin xác thực tới bộ điều khiển miền
chuyển tiếp mà nó nhận được
trong DMZ. Nếu khớp và
từ ứng dụng khách truy cập
quyền quay số được cấp, bộ điều khiển miền sẽ cho phép kết nối truy cập từ xa và trả từ xa đến Xác thực quay số
lại vé Kerberos cho người dùng đến máy chủ truy cập từ xa. người dùng vào Truy cập Từ
Máy chủ xa (RADIUS)
Sau đó, máy chủ truy cập từ xa sẽ tạo đường hầm VPN, gửi vé Kerberos đến máy khách dịch vụ thay vì bộ điều khiển
truy cập từ xa và chuyển tiếp lưu lượng truy cập từ VPN đến DMZ để cho phép truy cập miền.
tài nguyên.

Xác thực VPN
Sử dụng RADIUS
Sau khi máy chủ RADIUS nhận được thông tin đăng nhập từ máy chủ truy cập từ
xa, máy chủ sẽ chuyển tiếp chúng đến bộ điều khiển miền để xác thực.
Sau khi bộ điều khiển miền xác thực thông tin đăng nhập và quyền quay
số, nó sẽ trả về vé Kerberos cho người dùng cho máy chủ RADIUS.
Sau đó, máy chủ RADIUS sẽ kiểm tra các chính sách truy cập từ xa của
nó để đảm bảo rằng người dùng đáp ứng các yêu cầu cần thiết trước khi
3 TRUY CẬP TRỰC TIẾP
cho phép kết nối truy cập từ xa và chuyển tiếp vé Kerberos đến máy
chủ truy cập từ xa.
Sau đó, máy chủ truy cập từ xa sẽ tạo đường hầm VPN, gửi vé Kerberos
đến máy khách truy cập từ xa và chuyển tiếp lưu lượng truy cập từ VPN
đến DMZ để cho phép truy cập tài nguyên.

TRUY CẬP TRỰC TIẾP TRUY CẬP TRỰC TIẾP
Người dùng từ xa VPN phải khởi tạo kết nối VPN theo cách thủ công mỗi Để xác định xem chúng có nằm trên mạng bên ngoài tổ chức hay không, mỗi
khi họ muốn kết nối với các tài nguyên trong tổ chức của mình. máy khách truy cập từ xa tham gia DirectAccess đều chứa dịch vụ Hỗ trợ
kết nối mạng.
Đối với các tổ chức triển khai máy tính xách tay được kết nối với miền
Active Directory , quyền truy cập từ xa an toàn cho các máy tính này có Thăm dò vị trí của máy chủ bằng cách sử dụng HTTPS mỗi khi giao diện
thể được tự động hóa bằng DirectAccess. mạng của chúng được kích hoạt trên
một mạng. oNếu máy khách DirectAccess có thể kết nối với Vị trí mạng
Khi máy tính xách tay kết nối Máy chủ (NLS), nó phải nằm trong mạng công ty.
với mạng bên ngoài tổ chức,
DirectAccess sẽ tự động khởi tạo oNếu không thể, nó phải nằm ngoài mạng công ty.
đường hầm IPSec có chức năng
giống như VPN để cung cấp quyền
hìnhmặc
chođịnh, máy chủ truy cập từ xa do NLS đã cài đặt được bật cấu
DirectAccess.
truy cập từ xa vào DMZ của tổ
chức.
TRUY CẬP TRỰC TIẾP TRUY CẬP TRỰC TIẾP
Nếu máy khách truy cập từ xa xác định rằng nó nằm trên mạng bên ngoài tổ Máy chủ truy cập từ xa DirectAccess sử dụng HTTPS để xác thực người dùng với Active
chức: Directory. Sau
Nó tự động tạo một đường hầm IPSec tới máy chủ truy cập từ xa sau khi khi người dùng nhập thông tin đăng nhập Active Directory của họ, thông tin đăng nhập được
nhắc người dùng đăng nhập vào miền Active Directory, nếu cần. lưu vào bộ đệm để sử dụng với các kết nối truy cập từ xa trong tương lai.
Vì DirectAccess sử dụng cả HTTPS và IPSec nên khi định cấu hình ngoại lệ
tường lửa, chuyển tiếp cổng hoặc proxy ngược, bạn phải chỉ định số cổng
cho SSTP và L2TP/IKEv2 nếu công cụ cấu hình cho tường lửa, bộ định tuyến
NAT hoặc NGFW không cho phép bạn để chỉ định giao thức DirectAccess theo
tên.

TRUY CẬP TRỰC TIẾP
Máy khách truy cập từ xa sử dụng IPv6 khi liên hệ với máy chủ định vị
mạng hoặc xác thực với máy chủ truy cập từ xa bằng DirectAccess. Các
gói IPv6 này sẽ tự động được đặt trong các gói IPv4 khi
được gửi qua mạng IPv4.
3 MÁY TÍNH TỪ XA

MÁY TÍNH TỪ XA MÁY TÍNH TỪ XA
Máy tính từ xa sử dụng một phương pháp khác để đạt được quyền truy cập từ xa Sau khi máy khách truy cập từ xa có được phiên màn hình đồ họa, họ có thể chạy
so với VPN và DirectAccess. các chương trình trên máy chủ truy cập từ xa và truy cập tài nguyên trên mạng
DMZ mà máy chủ truy cập từ xa được kết nối.
Nói cách khác, Máy tính Từ xa cho phép các máy khách truy cập từ xa truy cập
Máy khách truy cập từ xa sử dụng ứng dụng Máy tính từ xa để đăng nhập vào máy
vào màn hình đồ họa đang chạy trong DMZ của tổ chức để cung cấp quyền truy cập
chủ truy cập từ xa để nhận phiên máy tính đồ họa trên điều khiển từ xa
vào các tài nguyên của tổ chức.
máy chủ truy cập (được gọi là triển
khai máy tính để bàn dựa trên
phiên) hoặc phiên máy tính để bàn

đồ họa từ máy ảo Hyper-V đang chạy
trên máy chủ truy cập từ xa (được
gọi là triển khai máy tính để bàn
dựa trên máy ảo).

61/5069
62/5069
Ứng dụng Máy tính Từ xa sử dụng Giao thức Máy tính Từ xa (RDP) để truyền đồ họa Có các ứng dụng Máy tính Từ xa dành cho máy khách truy cập từ xa Windows,
trên máy tính, tổ hợp phím và di chuyển chuột đến và từ máy chủ truy cập từ xa. macOS, Linux, UNIX, Android và iOS.
Ứng dụng Máy tính Từ xa có sẵn theo mặc định trên hệ thống Windows được gọi
là Kết nối Máy tính Từ xa.
Các chương trình đang chạy trong phiên Máy tính Từ xa được thực thi trên máy
chủ truy cập từ xa và có thể truy cập các thư mục và máy in được chia sẻ trên
Thay vì chạy một màn hình đồ họa đầy đủ, các máy khách truy cập từ xa có thể
mạng của tổ chức cũng như các ổ đĩa và máy in được cài đặt trên máy khách truy
sử dụng RemoteApp để truy cập một chương trình duy nhất (ví dụ: Microsoft
cập từ xa bên dưới, nếu được định cấu hình.
Outlook) đang chạy trên một máy chủ truy cập từ xa bằng Remote Desktop.
Do đó, người dùng truy cập từ xa có thể sử dụng File Explorer trong phiên Máy Chương trình này cũng có thể được cấu hình để xuất hiện dưới dạng lối tắt
trên menu Bắt đầu. Khi máy khách truy cập từ xa nhấp vào phím tắt này,
tính Từ xa của họ để truyền tệp từ tổ chức sang máy tính cục bộ của họ để sử
dụng sau hoặc in tài liệu trong Microsoft Word trên máy chủ truy cập từ xa sang chương trình sẽ thực thi trên máy chủ truy cập từ xa và chuyển cửa sổ chương
máy in được cài đặt trên máy chủ của họ. máy tính cục bộ . trình, tổ hợp phím và chuyển động chuột đến và từ máy khách truy cập từ xa.

63/5069
64/5069
Các dịch vụ khả dụng cho vai trò máy chủ dịch vụ Máy tính Từ xa Các dịch vụ khả dụng cho vai trò máy chủ dịch vụ Máy tính Từ xa

Nếu bạn triển khai nhiều Máy chủ phiên máy tính từ xa hoặc Máy tính từ xa Nhiều quản trị viên máy chủ cài đặt Nhà môi giới kết nối máy tính từ xa khi
Ảo hóa Lưu trữ các máy chủ truy cập từ xa trong DMZ của bạn, sau đó bạn có chỉ có một máy chủ truy cập từ xa có chứa dịch vụ vai trò Máy chủ phiên máy
thể cài đặt một máy chủ duy nhất chứa Kết nối Máy tính Từ xa tính từ xa hoặc Máy chủ lưu trữ ảo hóa máy tính từ xa.
Nhà môi giới để phân phối các yêu cầu RDP trên tất cả các quyền truy cập từ xa
may chu .
Nếu các máy chủ bổ sung được cài đặt với dịch vụ vai trò Máy chủ phiên máy
Trong trường hợp này, máy khách truy cập từ xa sẽ kết nối với máy chủ Remote tính từ xa hoặc Máy chủ lưu trữ ảo hóa máy tính từ xa sau đó, chúng sẽ tự
Desktop Connection Broker. Hơn nữa, máy chủ lưu trữ Nhà môi giới kết nối máy động được liên kết với Nhà môi giới kết nối máy tính từ xa và không cần cấu
tính từ xa cũng có thể lưu trữ các dịch vụ vai trò Cấp phép máy tính từ xa, hình tường lửa, chuyển tiếp cổng hoặc proxy ngược bổ sung.
Truy cập web trên máy tính từ xa và Cổng máy tính từ xa để cung cấp mã hóa
cấp phép, RemoteApp và HTTPS cho tất cả các máy chủ truy cập từ xa trong DMZ.

CÁM ƠN VÌ SỰ QUAN TÂM CỦA BẠN

Bộ môn Mạng và Viễn thông Khoa Điện tử và
Truyền thông Trường Đại học Khoa học Tự
nhiên, Đại học Quốc gia TP.HCM Email: nvha@hcmus.edu.vn

Chapter7 - Remote Access Services (1) (1)

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chapter7 - Remote Access Services (1) (1)

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

ĐHQGHCM – ĐẠI HỌC BÁCH KHOA

CỤC VIỄN THÔNG – MẠNG

Mạng lưới công nghệ

chương 1 Hiểu tổ chức

07 DỊCH VỤ TRUY CẬP TỪ XA

Ngày 4 tháng 7 năm 2023

Giảng viên: Nguyễn Việt Hà, Ph.D. Email: nvha@hcmus.edu.vn

Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức

Khu phi quân sự (DMZ)

Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức

Khu phi quân sự (DMZ) Demarc (điểm phân giới)

Cấu trúc (internet). Còn được gọi là mạng vành đaiCấu

Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức

NAT (Dịch địa chỉ mạng) Gửi

Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức

Ngoài ra, nó thực hiện việc dịch các số cổng ,

Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức

Hiểu về truy cập từ xa Hiểu về truy cập từ xa

Nguyễn Việt Hà, Ph.D.

Hiểu về truy cập từ xa Hiểu về truy cập từ xa

Một cái khác được kết nối với DMZ.

Hiểu về truy cập từ xa Hiểu về truy cập từ xa

Truy cập trực tiếp

Dịch vụ máy tính từ xa

Nguyễn Việt Hà, Ph.D.

Lợi ích của VPN

2 Mạng riêng ảo (VPN)

Lợi ích của VPN Lợi ích của VPN

Nguyễn Việt Hà, Ph.D.

Lợi ích của VPN Lợi ích của VPN

Các thuật toán mã hóa đối xứng nổi tiếng:

Nguyễn Việt Hà, Ph.D.

Lợi ích của VPN Lợi ích của VPN

Lợi ích của VPN Lợi ích của VPN

•DH Nhóm 1: 768 bit

27 Nguyễn Việt Hà, Ph.D.

Lợi ích của VPN Lợi ích của VPN

An ninh: An ninh: Xác thực PSK

Khóa bí mật chia sẻ trước (PSK)

Nguyễn Việt Hà, Ph.D.

Lợi ích của VPN Lợi ích của VPN

An ninh: An ninh: Xác thực RSA

Xác thực nguồn gốc Xác thực nguồn gốc

Xác thực RSA sử dụng chứng chỉ số để xác thực.

Nguyễn Việt Hà, Ph.D.

mạng vật lý bên dưới. giao diện mạng ảo

oCòn được gọi là mạng lớp phủ.

Dữ liệu gửi trên mạng ảo được mã hóa tự

Nguyễn Việt Hà, Ph.D.

Để đảm bảo rằng tất cả các gói do máy khách tạo

VPN. Sử dụng cổng mặc định trên giao diện mạng

VPN cũng có thể

nhau trong một tổ chức.

Nguyễn Việt Hà, Ph.D.

Giao thức VPN Giao thức VPN

oIPsec bảo vệ và xác thực các gói IP giữa nguồn và

Nguyễn Việt Hà, Ph.D.

Giao thức VPN Giao thức VPN

41 Hiệp hội bảo mật (SA). 42

Giao thức VPN Giao thức VPN

oHỗ trợ lưu lượng phát đa hướng và quảng bá

43 Nguyễn Việt Hà, Ph.D.

Giao thức VPN Giao thức VPN