Chapter7 - Remote Access Services

Machine Translated by Google
VNUHCM – TRƯỜNG ĐẠI HỌC KHOA HỌC

KHOA ĐIỆN TỬ – VIỄN THÔNG
BỘ VIỄN THÔNG – MẠNG
KHÓA HỌC
Mạng lưới công nghệ
chương 1 Hiểu tổ chức

Mạng và truy cập từ xa
07 DỊCH VỤ TRUY CẬP TỪ XA

Biên tập viên: Nguyễn Việt Hà, TS.
Ngày 5 tháng 12 năm 2023
Giảng viên: Nguyễn Việt Hà, TS. Email: nvha@hcmus.edu.vn 2
Hiểu mạng lưới tổ chức Hiểu mạng lưới tổ chức
Khu phi quân sự (DMZ)

Tách mạng LAN khỏi các mạng không tin cậy
Hình. Hình. (internet).
Cấu Cấu Còn được gọi là mạng vành đai hoặc
trúc trúc các mạng con được sàng lọc.
mạng mẫu mạng mẫu
3 4
Khu phi quân sự (DMZ) Demarc (điểm phân giới)

Một thiết bị dịch thuật hoặc bộ định tuyến có giao
Tách mạng LAN khỏi các mạng không tin cậy
Hình. (internet). Hình. diện mạng chuyên dụng cho công nghệ chặng cuối giúp
Cấu trúc Còn được gọi là mạng vành đai hoặc Cấu trúc truyền lưu lượng truy cập trực tiếp giữa ISP và bộ
mạng mẫu mạng mẫu định tuyến NAT.
các mạng con được sàng lọc.
Máy chủ và tài nguyên trong DMZ có thể truy cập Các công nghệ chặng cuối phổ biến:
o Đường dây thuê bao số (DSL): sử dụng mạng điện
được từ internet ( và/hoặc mạng LAN)
thoại.
(Ví dụ: máy chủ web, email, DNS, FTP và proxy.),
o Cáp băng thông rộng: sử dụng mạng cáp truyền
nhưng phần còn lại của mạng LAN nội bộ vẫn không
hình.
thể truy cập được.
o Mạng quang thụ động Gigabit (GPON): sử dụng cáp
Cung cấp một lớp bảo mật bổ sung cho mạng LAN
vì nó hạn chế khả năng của hacker truy cập trực quang.
o Wi-Fi tầm xa: sử dụng sóng vô tuyến, thường sử
tiếp vào máy chủ nội bộ và dữ liệu từ internet.
dụng các bộ phát không dây được đặt trong tầm
5 nhìn. 6
NAT (Dịch địa chỉ mạng) Gửi

Để truy cập Internet, địa chỉ IP công cộng là
cần thiết. 209.165.200.226
Hình.
Cấu trúc
mạng mẫu IPrc: NAT là một quá trình trong đó một hoặc nhiều địa chỉ IP DA SA
Công cộng cục bộ được dịch thành một hoặc nhiều địa chỉ IP toàn
209.165.201.1 209.165.200.226
cầu và ngược lại để cung cấp quyền truy cập Internet
cho các máy chủ cục bộ.
NAT thường hoạt động trên bộ định tuyến hoặc tường lửa.
IPrc: DA SA
Riêng tư
209.165.201.1 192.168.10.10
7 số 8

Nhận được NAT (Dịch địa chỉ mạng)
Để truy cập Internet, địa chỉ IP công cộng là
DA SA 209.165.200.226 cần thiết.
Hình.
192.168.10.10 209.165.201.1 Cấu
trúc IPrc: NAT là một quá trình trong đó một hoặc nhiều địa
mạng mẫu Công cộng chỉ IP cục bộ được dịch thành một hoặc nhiều địa
chỉ IP toàn cầu và ngược lại để cung cấp quyền
truy cập Internet cho các máy chủ cục bộ.
NAT thường hoạt động trên bộ định tuyến hoặc tường lửa.
Ngoài ra, nó còn dịch số cổng tức là che giấu

số cổng của máy chủ bằng một số cổng khác
IPrc:
DA SA
Riêng tư trong gói sẽ được định tuyến đến đích. (PAT –
209.165.200.226 209.165.201.1
Dịch địa chỉ cổng hoặc chuyển tiếp NAT)
9 10
209.165.200.226 209.165.200.226
SA DA
SA DA
209.165.201.1:80 209.165.200.226:1555
192.168.10.10:1555 209.165.201.1:80
SA DA
SA DA
209.165.201.1:80 192.168.10.10:1555
209.165.200.226:1555 209.165.201.1:80
SA DA
SA DA
209.165.202.129:80 192.168.10.11:1331
209.165.200.226:1331 209.165.202.129:80
SA DA
SA DA
209.165.202.129:80 209.165.200.226:1331
192.168.10.11:1331 209.165.202.129:80
(PAT) (PAT)
11 12
Hiểu quyền truy cập từ xa Hiểu quyền truy cập từ xa
Các thành viên của tổ chức cần kết nối với các tài nguyên được lưu trữ trên Cung cấp quyền truy cập vào các tài nguyên này
các máy chủ trong DMZ từ bên ngoài tổ chức. Ví bằng công nghệ truy cập từ
dụ: khi một giám đốc điều hành hoặc thành viên nhóm bán hàng cần truy cập xa. Ít nhất một máy chủ trong DMZ của bạn
các tệp công việc trên máy chủ tệp trong tổ chức khi đi công tác. phải được cấu hình làm máy chủ truy cập từ
xa chấp nhận yêu cầu từ các máy khách truy
cập từ xa trên Internet.
- Sở của – Mạng, 14
FETEL,VNUHCM-US
13/5069
Nguyễn Việt Hà, TS. Viễn thông
Cung cấp quyền truy cập vào các tài nguyên này Ngoài ra, các tổ chức có thể kết nối trực tiếp
bằng công nghệ truy cập từ các máy chủ truy cập từ xa tới một ranh giới.
xa. Ít nhất một máy chủ trong DMZ của bạn
(1a. NAT: phải được cấu hình làm máy chủ truy cập từ
Máy chủ truy cập từ xa phải có hai giao diện mạng.
1.2.3.4 xa chấp nhận yêu cầu từ các máy khách truy
172.16.0.50) cập từ xa trên Internet. Một được kết nối với
ranh giới.
Một cái khác được kết nối với DMZ.

(1b)
(1) Trước tiên, máy khách truy cập từ xa kết
nối với máy chủ truy cập từ xa trong DMZ, sử
Máy chủ truy cập từ xa được kết nối trực tiếp
dụng mã hóa do máy chủ truy cập từ xa cung cấp. với Internet.
(2)
Phải kích hoạt tường lửa (và tốt nhất là
(2) Sau đó, máy chủ truy cập từ xa sẽ xác thực
phần mềm bảo mật bổ sung) để đảm bảo tính
người dùng trước khi cho phép truy cập từ xa.
bảo mật của máy chủ truy cập từ xa không bị
xâm phạm.
15 16
Bộ định tuyến NAT thường chứa các khả năng quản lý và bảo mật bổ sung, Microsoft cung cấp ba công nghệ truy cập từ xa chính có thể được sử
chẳng hạn như điều tiết lưu lượng, ngăn chặn xâm nhập và lọc phần mềm dụng để có được quyền truy cập vào máy chủ trong DMZ từ khắp Internet:
độc hại. Thường được gọi là Tường lửa thế hệ tiếp theo (NGFW).
Mạng riêng ảo (VPN)
Truy cập trực tiếp
Dịch vụ máy tính từ xa
Mỗi công nghệ truy cập từ xa này cung cấp các giao thức riêng cũng như
hỗ trợ các loại xác thực và mã hóa khác nhau.
Một số NGFW có chức năng máy chủ truy cập từ xa tích hợp sẵn , loại bỏ
nhu cầu về máy chủ truy cập từ xa riêng biệt.
Nguyễn Việt Hà, TS.

- Sở của Viễn thông – Mạng, FETEL,VNUHCM-US
17/5069
18/5069
Lợi ích VPN
2 Mạng riêng ảo (VPN)
19 - Sở của – Mạng, FETEL,VNUHCM-US

20/5069
Nguyễn Việt Hà, TS. Viễn thông
Lợi ích VPN Lợi ích VPN
An ninh: An ninh:
Bảo mật Bảo mật
oĐảm bảo rằng chỉ những người dùng được ủy quyền mới có thể đọc oMã hóa: Mã hóa đối xứng
được tin nhắn. Nếu tin nhắn bị chặn, nó không thể được giải mã
trong một khoảng thời gian hợp lý.

- Sở của Viễn thông – Mạng, FETEL,VNUHCM-US 21/5069 Nguyễn Việt Hà, TS.
- Sở của Viễn thông – Mạng, FETEL,VNUHCM-US 22/5069
An ninh: An ninh:
oMã hóa: Mã hóa đối xứng oMã hóa: Mã hóa bất đối xứng
Các thuật toán mã hóa đối xứng nổi tiếng:

An ninh: An ninh:
oMã hóa: Mã hóa bất đối xứng • oMã hóa: Mã hóa bất đối xứng
Các thuật toán mã hóa bất đối xứng nổi tiếng : Diffie-Hellman:
- DH sử dụng những con số rất lớn trong tính toán của mình.
• EX: DH2: 1024-bit (~ số thập phân gồm 309 chữ số).
• Cực kỳ chậm đối với bất kỳ loại mã hóa hàng loạt nào.
Mã hóa bất đối xứng thường được sử dụng làm Xác thực
hoặc Trao đổi khóa an toàn.
25 26
An ninh: An ninh:
Bảo mật Tính toàn vẹn dữ liệu
oMã hóa: Mã hóa bất đối xứng oĐảm bảo rằng tin nhắn không bị thay đổi. Mọi thay đổi đối với dữ
Diffie-Hellman: liệu đang truyền sẽ được phát hiện.
•DH Nhóm 1: 768 bit

27 Nguyễn Việt Hà, TS.

An ninh: An ninh: Xác thực PSK

Xác thực nguồn gốc Xác thực nguồn gốc (Khóa bí mật được chia sẻ trước)
oĐảm bảo rằng tin nhắn không phải là giả mạo và thực sự
đến từ người mà nó nói.
Khóa bí mật chia sẻ trước (PSK)

- Sử dụng một khóa bí mật bổ
sung làm đầu vào cho hàm băm.

29/5069
30/5069
An ninh: An ninh: Xác thực RSA

Xác thực nguồn gốc Xác thực nguồn gốc
Xác thực RSA sử dụng chứng chỉ số để xác thực.

- Thiết bị cục bộ lấy hàm băm và mã hóa bằng khóa riêng.
- Hàm băm được mã hóa được đính kèm vào tin nhắn và được
chuyển tiếp đến đầu xa và hoạt động giống như một chữ ký.
- Ở đầu từ xa, hàm băm được mã hóa được giải mã bằng khóa
chung của đầu cục bộ.
- Nếu hàm băm được giải mã khớp với hàm băm được tính toán lại, thì
chữ ký là chính hãng.
- Mỗi thiết bị ngang hàng phải xác thực thiết bị ngang hàng đối diện của nó
trước khi đường hầm được coi là an toàn.

31/5069 32
Các loại VPN: VPN truy cập từ xa Các loại VPN: VPN truy cập từ xa
VPN là công nghệ truy cập từ xa cung cấp mã hóa cho dữ liệu được gửi qua Internet VPN cung cấp một kênh (hoặc “đường hầm”) được mã hóa
giữa máy khách truy cập từ xa và giữa các hệ thống trên mạng, chúng thường được gọi là
máy chủ. đường hầm VPN.
Mạng “ảo” được tạo giữa máy khách truy cập từ xa và máy chủ được sử dụng ngoài Mỗi đầu của đường hầm VPN được thể hiện bằng một
mạng vật lý cơ bản. oCòn được gọi là mạng lớp phủ. giao diện mạng ảo
được cấu hình bằng địa chỉ IP.
Dữ liệu gửi trên mạng ảo được mã hóa tự
động
và chỉ có thể được giải mã bởi máy chủ
hoặc máy khách truy cập từ xa.
Quả sung.
Đường hầm VPN giữa máy khách
- Sở của – Mạng, truy cập từ xa và máy chủ 34

Nguyễn Việt Hà, TS. Viễn thông FETEL,VNUHCM-US 33/5069
Các loại VPN: VPN truy cập từ xa Các loại VPN: VPN truy cập từ xa
Cổng mặc định được định cấu hình trong giao diện mạng Theo mặc định, tất cả lưu lượng truy cập sẽ đi qua
VPN trên máy khách truy cập từ xa được tự động đặt máy chủ truy cập từ xa.
thành 0.0.0.0
Để đảm bảo rằng tất cả các gói được tạo bởi máy
Tuy nhiên, nếu máy khách truy cập từ xa định cấu hình
khách đều được mã hóa và gửi trên VPN đến máy chủ
đường hầm phân chia, chúng sẽ có thể:
truy cập từ xa.
Truy cập DMZ của họ trong tổ chức qua đường hầm
tài nguyên
VPN. Sử dụng cổng mặc định trên giao diện mạng

Sau đó máy chủ truy cập từ xa sẽ giải mã vật lý của họ để truy cập Internet
các gói này và chuyển tiếp chúng đến mạng DMZ để cho
phép người dùng truy cập tài nguyên trong tổ chức. tài nguyên.
Quả sung.
Đường hầm VPN giữa máy khách Quả sung.
Đường hầm VPN giữa máy khách
truy cập từ xa và máy chủ 35 truy cập từ xa và máy chủ 36
Các loại VPN: VPN Site-to-Site Các loại VPN: VPN Site-to-Site
VPN cũng có thể
VPN giữa các bộ định tuyến cũng có thể được sử dụng để mã hóa lưu lượng máy chủ
được sử dụng để
đi qua Internet giữa các vị trí khác nhau.
mã hóa lưu
Ví dụ:
lượng IP đi qua
Internet giữa hai oBản sao Active Directory giữa các bộ điều khiển miền.
bộ định tuyến ở oNội dung thư mục được đồng bộ hóa giữa các máy chủ tệp bằng cách sử dụng
các vị trí khác nhau bản sao DFS.
trong
một tổ chức.
Các máy chủ nội Hầu hết các tổ chức sử dụng bộ định tuyến dựa trên phần cứng hoặc thiết bị NGFW
bộ không để cung cấp VPN giữa các vị trí khác nhau trong tổ chức.
biết rằng VPN đang Tuy nhiên, thay vào đó, bạn có thể định cấu hình hệ thống Windows Server làm bộ
Đường hầm
Quả sung.
được sử dụng. định tuyến cung cấp VPN giữa các vị trí.
VPN giữa hai bộ định
tuyến

Giao thức VPN Giao thức VPN
Nhiều công nghệ VPN khác nhau đã được phát triển từ những năm 1990 và mỗi công nghệ IPsec
VPN sử dụng một giao thức VPN cụ thể để tạo lưu lượng truy cập đường hầm. Tiêu chuẩn oIETF (Lực lượng đặc nhiệm kỹ thuật Internet).
oIPsec bảo vệ và xác thực các gói IP giữa nguồn và

Khi bạn triển khai máy chủ truy cập từ xa bằng Windows Server, bốn giao thức VPN điểm đến.
khác nhau sẽ được hỗ trợ:
Bảo vệ lưu lượng từ Lớp 4 đến Lớp 7 (mô hình OSI).
Giao thức đường hầm điểm-điểm (PPTP) oNó được phát
triển bởi một nhóm các nhà cung cấp bao gồm Microsoft oEncrypts dữ liệu oIPsec không bị ràng buộc bởi bất kỳ quy tắc cụ thể nào để đảm bảo an toàn
thông tin liên lạc.
bằng cách sử dụng Microsoft Point-to-Point Encryption (MPPE). Hỗ trợ
độ dài khóa mã hóa từ 40 đến 128 bit. Hệ điều hành Tính linh hoạt của khung này cho phép IPsec dễ dàng tích hợp các công
nghệ bảo mật mới mà không cần cập nhật các tiêu chuẩn IPsec hiện có .
Windows chứa khóa đăng ký ngăn chặn việc sử dụng khóa MPPE dưới 128 bit
theo mặc định.

- Sở của Viễn thông – Mạng, FETEL,VNUHCM-US 39/5069 40
IPsec IPsec
Hiệp hội An ninh (SA). 41

Hiệp hội An ninh (SA). 42
GRE trên IPsec
o Đóng gói định tuyến chung (GRE) là giao thức đường hầm VPN site-to-
site không an toàn .
Không hỗ trợ mã hóa.
oNó có thể đóng gói các giao thức lớp mạng khác nhau.
oHỗ trợ lưu lượng phát đa hướng và phát sóng


GRE trên IPsec Giao thức đường hầm lớp hai (L2TP) oĐược phát
oA IPsec VPN tiêu chuẩn (không phải GRE) chỉ có thể tạo đường hầm an toàn triển bởi Microsoft và Cisco.
cho lưu lượng đơn hướng.
Ví dụ: Các giao thức định tuyến sẽ không trao đổi thông tin định oDựa vào Bảo mật IP (IPSec) để mã hóa các gói dữ liệu. Khóa mã hóa có
tuyến qua IPsec VPN.
độ dài từ 56 đến 256 bit.
- Đóng gói lưu lượng giao thức định tuyến bằng gói GRE, sau đó
đóng gói gói GRE thành gói IPsec để chuyển tiếp nó một cách an
oMáy khách và máy chủ truy cập từ xa xác thực lẫn nhau.
toàn đến cổng VPN đích.
Định cấu hình cùng một khóa (mật khẩu) chia sẻ trước hoặc cài đặt
chứng chỉ mã hóa IPSec trên cả máy khách và máy chủ truy cập từ xa.

Internet Key Exchange phiên bản 2 (IKEv2) oMột cải Giao thức đường hầm ổ cắm an toàn (SSTP)
tiến cho IPSec cung cấp đường hầm VPN với tốc độ nhanh hơn so với L2TP. oDữ liệu đường hầm thông qua các gói HTTPS trên mạng.
o Ban đầu nó sử dụng mã hóa lớp Cổng bảo mật (SSL) với
oNó sử dụng khóa mã hóa 256-bit Khóa 128 bit.
oYêu cầu máy khách và máy chủ truy cập từ xa xác thực với nhau bằng chứng oViệc triển khai SSTP hiện đại sử dụng khóa 256 bit cùng với mã hóa Bảo
chỉ mã hóa IPSec hoặc khóa chia sẻ trước. mật lớp vận chuyển (TLS) . Đôi khi được
thể hiện dưới dạng SSL/TLS. Cả hai
thuật ngữ này thường được sử dụng thay thế cho nhau.
oĐể sử dụng SSTP, máy chủ truy cập từ xa phải chứa HTTPS
chứng chỉ mã hóa.

Giao thức VPN Xác thực VPN
Giao thức đường hầm ổ cắm an toàn (SSTP) Trước khi có thể thiết lập đường hầm VPN, máy khách truy cập từ xa trước tiên
oTLS hoạt động ở lớp 4 (OSI) phải xác thực với máy chủ truy cập từ xa bằng thông tin xác thực.

Xác thực VPN Xác thực VPN
Máy chủ truy cập từ xa xác thực thông tin xác thực đã nhận trước khi cung cấp Sử dụng RADIUS
Truy cập từ xa.
Bạn có thể tùy ý cấu hình
điều khiển từ xa để
truy máy chủ
Trong miền Active Directory
cập chuyển tiếp thông tin
Máy chủ truy cập từ xa sẽ chuyển tiếp thông tin đăng nhập tới bộ điều
xác thực mà nó nhận được
khiển miền trong DMZ.
từ máy khách truy cập từ
Nếu khớp và được cấp quyền quay số, bộ điều khiển miền sẽ cho phép kết xa tới máy chủ Dịch vụ
nối truy cập từ xa và trả lại vé Kerberos cho người dùng đến máy chủ truy dùng xác thực người
cập từ xa. quay số truy cập từ xa
Sau đó, máy chủ truy cập từ xa sẽ tạo đường hầm VPN, gửi vé Kerberos đến (RADIUS) thay vì bộ điều
máy khách truy cập từ xa và chuyển tiếp lưu lượng truy cập từ VPN đến DMZ khiển miền.
để cho phép truy cập tài nguyên.

Xác thực VPN
Sử dụng RADIUS
Sau khi máy chủ RADIUS nhận được thông tin xác thực từ máy chủ truy cập
từ xa, nó sẽ chuyển tiếp chúng đến bộ điều khiển miền để xác thực.
Sau khi bộ điều khiển miền xác thực thông tin đăng nhập và quyền quay số,
nó sẽ trả lại phiếu Kerberos cho người dùng cho RADIUS

máy chủ.
Sau đó, máy chủ RADIUS sẽ kiểm tra các chính sách truy cập từ xa của nó
để đảm bảo rằng người dùng đáp ứng các yêu cầu cần thiết trước khi cho
3 TRUY CẬP TRỰC TIẾP
phép kết nối truy cập từ xa và chuyển tiếp vé Kerberos đến máy chủ truy
cập từ xa.
Sau đó , máy chủ truy cập từ xa sẽ tạo đường hầm VPN, gửi vé Kerberos đến
máy khách truy cập từ xa và chuyển tiếp lưu lượng truy cập từ VPN đến DMZ
để cho phép truy cập tài nguyên.

TRUY CẬP TRỰC TIẾP TRUY CẬP TRỰC TIẾP
Người dùng từ xa VPN phải khởi tạo kết nối VPN theo cách thủ công mỗi lần họ Để xác định xem chúng có nằm trên mạng bên ngoài tổ chức hay không, mỗi máy
muốn kết nối với các tài nguyên trong tổ chức của mình. khách truy cập từ xa tham gia DirectAccess đều chứa dịch vụ Trợ lý Kết nối
Mạng.
Đối với các tổ chức triển khai máy tính xách tay được kết nối với miền Active
Directory , quyền truy cập từ xa an toàn cho các máy tính này có thể được tự Kiểm tra vị trí của máy chủ bằng HTTPS mỗi khi giao diện mạng của chúng
động hóa bằng DirectAccess. được kích hoạt trên mạng.
oNếu máy khách DirectAccess có thể kết nối với Vị trí mạng
Khi máy tính xách tay kết nối với Máy chủ (NLS), nó phải nằm trong mạng công ty.
mạng bên ngoài tổ chức, DirectAccess
sẽ tự động khởi tạo đường hầm oNếu không được thì nó phải ở ngoài mạng công ty.
IPSec có chức năng giống như VPN
để cung cấp quyền truy cập từ xa
Theo mặc định, NLS được cài đặt trên máy chủ cho
truyDirectAccess.
cập từ xa được cấu hình
vào DMZ của tổ chức.

TRUY CẬP TRỰC TIẾP TRUY CẬP TRỰC TIẾP
Nếu máy khách truy cập từ xa xác định rằng nó nằm trên mạng bên ngoài tổ Máy chủ truy cập từ xa DirectAccess sử dụng HTTPS để xác thực người dùng với Active
chức: Directory. Sau
Nó tự động tạo một đường hầm IPSec tới máy chủ truy cập từ xa sau khi khi người dùng nhập thông tin xác thực Active Directory của họ, thông tin xác thực sẽ được
nhắc người dùng đăng nhập vào miền Active Directory, nếu cần. lưu vào bộ đệm để sử dụng với các kết nối truy cập từ xa trong tương lai.
Vì DirectAccess sử dụng cả HTTPS và IPSec nên khi định cấu hình ngoại lệ
tường lửa, chuyển tiếp cổng hoặc proxy ngược, bạn phải chỉ định số cổng
cho SSTP và L2TP/IKEv2 nếu công cụ cấu hình cho tường lửa, bộ định tuyến
NAT hoặc NGFW không cho phép bạn để chỉ định giao thức DirectAccess theo
tên.

TRUY CẬP TRỰC TIẾP
Máy khách truy cập từ xa sử dụng IPv6 khi liên hệ với máy chủ định vị
mạng hoặc xác thực với máy chủ truy cập từ xa bằng DirectAccess.
Các gói IPv6 này sẽ tự động được đặt trong các gói IPv4 khi
được gửi qua mạng IPv4.
3 MÁY TÍNH ĐỂ BÀN TỪ XA

MÁY TÍNH ĐỂ BÀN TỪ XA MÁY TÍNH ĐỂ BÀN TỪ XA
Máy tính từ xa sử dụng một phương pháp khác để đạt được quyền truy cập từ xa so Sau khi máy khách truy cập từ xa có được phiên máy tính để bàn đồ họa, chúng có
với VPN và DirectAccess. thể chạy các chương trình trên máy chủ truy cập từ xa và truy cập tài nguyên
trên mạng DMZ mà máy chủ truy cập từ xa được kết nối.
Nói cách khác, Remote Desktop cho phép máy khách truy cập từ xa truy cập vào
Máy khách truy cập từ xa sử dụng ứng dụng Máy tính từ xa để đăng nhập vào máy
máy tính để bàn đồ họa đang chạy trong DMZ của tổ chức để cung cấp quyền truy
chủ truy cập từ xa nhằm có được phiên máy tính để bàn đồ họa trên điều khiển từ xa
cập vào tài nguyên của tổ chức.
truy cập vào chính máy chủ (được
gọi là triển khai máy tính để bàn
dựa trên phiên) hoặc phiên máy tính

để bàn đồ họa từ máy ảo Hyper-V
chạy trên máy chủ truy cập từ xa
(được gọi là triển khai máy tính để
bàn dựa trên máy ảo).

Ứng dụng Máy tính Từ xa sử dụng Giao thức Máy tính Từ xa (RDP) để truyền đồ họa Có các ứng dụng Remote Desktop dành cho máy khách truy cập từ xa Windows, macOS,
trên máy tính, tổ hợp phím và chuyển động chuột đến và từ máy chủ truy cập từ Linux, UNIX, Android và iOS.
xa.
Ứng dụng Remote Desktop có sẵn theo mặc định trên hệ thống Windows được gọi
là Remote Desktop Connection.
Các chương trình chạy trong phiên Máy tính Từ xa được thực thi trên máy chủ
truy cập từ xa và có thể truy cập các thư mục và máy in được chia sẻ trên
Thay vì chạy một màn hình đồ họa đầy đủ, các máy khách truy cập từ xa có
mạng tổ chức cũng như các ổ đĩa và máy in được cài đặt trên máy khách truy
thể sử dụng RemoteApp để truy cập một chương trình duy nhất (ví dụ:
cập từ xa cơ bản, nếu được định cấu hình.
Microsoft Outlook) chạy trên máy chủ truy cập từ xa bằng Remote Desktop.
Do đó, người dùng truy cập từ xa có thể sử dụng File Explorer trong phiên Remote Chương trình này cũng có thể được cấu hình để xuất hiện dưới dạng lối tắt
trên menu Bắt đầu. Khi máy khách truy cập từ xa nhấp vào phím tắt này,
Desktop của họ để truyền tệp từ tổ chức sang máy tính cục bộ của họ để sử dụng
sau hoặc in tài liệu trong Microsoft Word trên máy chủ truy cập từ xa tới máy chương trình sẽ thực thi trên máy chủ truy cập từ xa và chuyển cửa sổ chương
in được cài đặt trên máy chủ của họ máy tính cục bộ . trình, tổ hợp phím và chuyển động chuột đến và từ máy khách truy cập từ xa.

Các dịch vụ có sẵn cho vai trò máy chủ dịch vụ Máy tính Từ xa Các dịch vụ có sẵn cho vai trò máy chủ dịch vụ Máy tính Từ xa

Nếu bạn triển khai nhiều máy chủ truy cập từ xa Máy chủ phiên máy tính Nhiều quản trị viên máy chủ cài đặt Remote Desktop Connection Broker
từ xa hoặc Máy chủ ảo hóa máy tính từ xa trong DMZ của mình thì bạn có khi chỉ có một máy chủ truy cập từ xa chứa dịch vụ vai trò Remote
thể cài đặt một máy chủ duy nhất chứa Trình môi giới kết nối máy tính Desktop Session Host hoặc Remote Desktop Virtualization Host.
từ xa để phân phối các yêu cầu RDP trên tất cả các máy chủ truy cập từ
xa.
Nếu sau đó, các máy chủ bổ sung được cài đặt với dịch vụ vai trò Máy
Trong trường hợp này, máy khách truy cập từ xa sẽ kết nối với máy chủ chủ phiên máy tính từ xa hoặc Máy chủ ảo hóa máy tính từ xa, chúng sẽ
Remote Desktop Connection Broker. Hơn nữa, máy chủ lưu trữ Nhà môi giới tự động được liên kết với Nhà môi giới kết nối máy tính từ xa và không
kết nối máy tính từ xa cũng có thể lưu trữ các dịch vụ vai trò Cấp phép cần thêm tường lửa, chuyển tiếp cổng hoặc cấu hình proxy ngược.
máy tính từ xa, Truy cập web máy tính từ xa và Cổng máy tính từ xa để
cung cấp cấp phép, RemoteApp và mã hóa HTTPS cho tất cả các máy chủ
truy cập từ xa trong DMZ.

CÁM ƠN VÌ SỰ QUAN TÂM CỦA BẠN

Khoa Viễn thông và Mạng Khoa Điện tử Truyền
thông Đại học Khoa học Tự nhiên, Đại
học Quốc gia TP.HCM Email: nvha@hcmus.edu.vn

Chapter7 - Remote Access Services

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chapter7 - Remote Access Services

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

VNUHCM – TRƯỜNG ĐẠI HỌC KHOA HỌC

BỘ VIỄN THÔNG – MẠNG

Mạng lưới công nghệ

chương 1 Hiểu tổ chức

07 DỊCH VỤ TRUY CẬP TỪ XA

Ngày 5 tháng 12 năm 2023

Giảng viên: Nguyễn Việt Hà, TS. Email: nvha@hcmus.edu.vn 2

Hiểu mạng lưới tổ chức Hiểu mạng lưới tổ chức

Khu phi quân sự (DMZ)

Hiểu mạng lưới tổ chức Hiểu mạng lưới tổ chức

Khu phi quân sự (DMZ) Demarc (điểm phân giới)

Hiểu mạng lưới tổ chức Hiểu mạng lưới tổ chức

NAT (Dịch địa chỉ mạng) Gửi

Hiểu mạng lưới tổ chức Hiểu mạng lưới tổ chức

Ngoài ra, nó còn dịch số cổng tức là che giấu

Hiểu mạng lưới tổ chức Hiểu mạng lưới tổ chức

Hiểu quyền truy cập từ xa Hiểu quyền truy cập từ xa

Hiểu quyền truy cập từ xa Hiểu quyền truy cập từ xa

Một cái khác được kết nối với DMZ.

Hiểu quyền truy cập từ xa Hiểu quyền truy cập từ xa

Truy cập trực tiếp

Dịch vụ máy tính từ xa

Nguyễn Việt Hà, TS.

Lợi ích VPN

2 Mạng riêng ảo (VPN)

19 - Sở của – Mạng, FETEL,VNUHCM-US

Lợi ích VPN Lợi ích VPN

Nguyễn Việt Hà, TS.

Lợi ích VPN Lợi ích VPN

Các thuật toán mã hóa đối xứng nổi tiếng:

Nguyễn Việt Hà, TS.

Lợi ích VPN Lợi ích VPN

• EX: DH2: 1024-bit (~ số thập phân gồm 309 chữ số).

Lợi ích VPN Lợi ích VPN

•DH Nhóm 1: 768 bit

27 Nguyễn Việt Hà, TS.

Lợi ích VPN Lợi ích VPN

An ninh: An ninh: Xác thực PSK

Khóa bí mật chia sẻ trước (PSK)

Nguyễn Việt Hà, TS.

Lợi ích VPN Lợi ích VPN

An ninh: An ninh: Xác thực RSA

Xác thực RSA sử dụng chứng chỉ số để xác thực.

- Sở của Viễn thông – Mạng, FETEL,VNUHCM-US

Dữ liệu gửi trên mạng ảo được mã hóa tự

- Sở của – Mạng, truy cập từ xa và máy chủ 34

VPN. Sử dụng cổng mặc định trên giao diện mạng

Nguyễn Việt Hà, TS.

Giao thức VPN Giao thức VPN

oIPsec bảo vệ và xác thực các gói IP giữa nguồn và

Nguyễn Việt Hà, TS.

Giao thức VPN Giao thức VPN

Hiệp hội An ninh (SA). 41

Giao thức VPN Giao thức VPN

GRE trên IPsec

oHỗ trợ lưu lượng phát đa hướng và phát sóng

43 Nguyễn Việt Hà, TS.

Giao thức VPN Giao thức VPN

45 Nguyễn Việt Hà, TS.

Giao thức VPN Giao thức VPN

thể hiện dưới dạng SSL/TLS. Cả hai

Nguyễn Việt Hà, TS.

Giao thức VPN Xác thực VPN