國 立 彰 化 師 範 大 學 SSL VPN 使 用 教 學 手 冊 電 子 計 算 機 中 心 資 訊 系 統 組 2010/3/30
SSL VPN 使 用 教 學 內 容 安 裝 SSL VPN... 3 如 何 得 知 是 否 已 連 上 SSL VPN... 8 功 能 應 用 一 校 外 進 行 Windows KMS 認 證... 10 功 能 應 用 二 校 外 使 用 本 校 圖 書 館 電 子 資 料 庫 系 統... 17 功 能 應 用 三 校 外 使 用 套 裝 軟 體 收 發 電 子 郵 件... 20 功 能 應 用 四 提 高 本 校 網 路 應 用 系 統 安 全 性... 22 功 能 應 用 五 提 高 遠 端 桌 面 連 線 的 安 全 性... 23 輔 助 說 明... 28 2
安 裝 SSL VPN 步 驟 一 : 使 用 者 首 先 連 結 進 入 彰 化 師 範 大 學 SSL VPN 系 統 彰 化 師 範 大 學 SSL VPN 可 依 下 列 二 種 途 徑 進 行 安 裝 直 接 輸 入 SSL VPN 網 址 : https://sslvpn.ncue.edu.tw 依 據 使 用 者 身 份 ( 在 校 生 或 教 職 員 ) 於 學 校 首 頁 的 左 方 連 結 進 入, 再 於 郵 件 及 網 路 分 類 中, 點 選 校 園 虛 擬 加 密 網 路 (SSL VPN), 本 說 明 書 以 教 職 員 為 例, 如 圖 1-1 圖 1-2 圖 1-1 圖 1-2 3
步 驟 二 : 此 時 會 出 現 此 網 站 的 安 全 憑 證 有 問 題, 使 用 者 請 選 擇 繼 續 瀏 覽 此 網 站, 如 圖 1-3 圖 1-3 步 驟 三 : 進 入 彰 化 師 範 大 學 校 園 虛 擬 加 密 網 路 的 網 頁 後, 請 輸 入 校 園 資 訊 入 口 網 站 的 使 用 者 名 稱 及 密 碼 後, 即 可 成 功 登 入 VPN, 如 圖 1-4 圖 1-4 4
步 驟 四 : 使 用 者 登 入 SSL VPN 後, 網 頁 會 要 求 安 裝 附 加 元 件, 此 時 請 允 許 附 加 元 件 安 裝, 如 圖 1-5 圖 1-5 由 瀏 覽 器 視 窗 附 加 元 件 提 示 列 上, 點 選 滑 鼠 右 鍵, 選 擇 為 這 部 電 腦 上 所 有 的 使 用 者 安 裝 此 附 加 元 件 進 行 安 裝 動 作, 如 圖 1-6 圖 1-6 5
跳 出 安 全 性 警 告 視 窗 詢 問 是 否 安 裝 VPN Client, 點 選 安 裝, 如 圖 1-7 圖 1-7 信 任 安 全 性 憑 證 簽 發, 點 選 是 繼 續 安 裝, 如 圖 1-8 圖 1-8 6
VPN Client 開 始 下 載 安 裝, 如 圖 1-9 圖 1-9 步 驟 五 : VPN 連 線 已 確 認 建 立, 網 頁 將 顯 示 Connection Established, 同 時 可 於 右 下 角 工 具 列 中 顯 示 的 連 線 符 號 確 認 連 線 已 建 立, 如 下 圖 1-10 圖 1-10 7
如 何 得 知 是 否 已 連 上 SSL VPN 開 啟 命 令 提 示 字 元 1. 開 始 執 行, 如 圖 2-1 圖 2-1 2. 輸 入 cmd 確 定, 如 圖 2-2 圖 2-2 8
3. 輸 入 netstat -no 按 ENTER 執 行 如 圖 2-3 圖 2-3 4. 如 圖 2-4 所 示, 此 時 可 以 看 見 經 由 ISP 供 應 商 取 得 網 路 位 址 IP: 61.20.142.87 連 上 學 校 網 路 IP:120.107.179.95 之 VPN 主 機, 而 學 校 VPN 主 機 將 配 發 一 組 IP 給 予 使 用 者 IP:120.107.187.x, 使 用 者 得 以 進 入 學 校 各 項 系 統 圖 2-4 9
功 能 應 用 一 校 外 進 行 Windows KMS 認 證 ( by Alomar ) 一.KMS 認 證 說 明 彰 化 師 範 大 學 提 供 微 軟 Windows Vista 及 Windows 7 視 窗 作 業 系 統, 校 園 大 量 授 權 的 KeyManagement Service KMS 認 證 機 制, 彰 化 師 大 教 職 員 生 可 直 接 透 過 校 園 網 路 進 行 KMS 認 證 程 序, 但 若 在 校 外 上 網 時, 則 必 須 先 登 入 校 園 虛 擬 加 密 網 路 SSL VPN 連 線 後, 才 可 成 功 通 過 KMS 的 認 證 程 序 彰 化 師 範 大 學 校 園 虛 擬 加 密 網 路 SSL VPN 連 線 : 彰 化 師 範 大 學 SSL VPN 二. 認 證 程 序 說 明 1. 認 證 方 式 說 明 : 彰 化 師 範 大 學 提 供 兩 種 方 式 來 進 行 KMS 認 證, 一 種 是 視 窗 圖 形 化 界 面 操 作, 一 種 則 是 Dos 模 式 指 令 操 作 ; 因 Windows Vista 與 Windows 7 KMS 認 證 步 驟 相 同, 且 學 校 提 供 KMS 伺 服 器 DNS 解 析 對 應, 因 此 在 圖 形 化 界 面 的 操 作 流 程 皆 相 同, 以 下 則 以 Windows 7 於 校 外 時, 經 由 SSL VPN 連 線 後 的 KMS 認 證 操 作 流 程 做 範 例 說 明 ; 另 若 於 Dos 模 式 下 的 指 令 操 作 亦 相 同, 差 別 只 在 於 進 行 認 證 時 指 定 的 KMS 認 證 主 機 IP 不 同 Windows Vista KMS IP 120.107.179.89 Windows 7 KMS IP 120.107.179.90 10
2. 校 外 電 腦 視 窗 圖 形 界 面 操 作 步 驟 : 步 驟 六 : 設 定 DNS 尾 碼 桌 面 電 腦 圖 示 滑 鼠 右 鍵 內 容, 如 下 圖 3-1 圖 3-1 系 統 內 容 電 腦 名 稱 變 更, 如 下 圖 3-2 圖 3-2 11
電 腦 名 稱 / 網 域 變 更 其 他, 如 下 圖 3-3 圖 3-3 於 主 要 DNS 尾 碼 欄 位 輸 入 : ncue.edu.tw, 最 後 確 定 已 輸 入 完 成, 如 下 圖 3-4 圖 3-4 12
步 驟 七 : 執 行 KMS 線 上 認 證 控 制 台 系 統, 開 啟 視 窗 後 於 下 方 Windows 啟 用 中 顯 示 為 還 剩 20 天 可 啟 用, 如 下 圖 3-5 圖 3-5 點 選 還 剩 20 天 可 以 啟 用, 立 即 啟 用 Windows 超 連 結 選 項 後, 可 開 啟 Windows 啟 用 視 窗, 選 擇 立 即 線 上 啟 用 Windows, 如 下 圖 3-6 圖 3-6 13
Windows 啟 用 成 功,Windows 已 啟 動, 如 下 圖 3-7 圖 3-7 完 成 校 外 VPN 連 線 後 的 KMS 認 證,Windows 啟 用 成 功, 如 下 圖 3-8 圖 3-8 14
3. 校 外 電 腦 Dos 視 窗 指 令 操 作 步 驟 : 步 驟 一 : 以 系 統 網 管 員 身 份 執 行, 開 啟 Dos 視 窗 同 樣 必 須 先 完 成 上 述 第 2 點 步 驟 一 ~ 五, SSL VPN 連 線 後, 再 開 始 執 行 本 操 作 流 程 開 始 程 式 集 附 屬 應 用 程 式 命 令 提 示 字 元 滑 鼠 右 鍵 以 系 統 管 理 員 身 份 執 行, 如 下 圖 3-9 圖 3-9 確 認 視 窗 為 : 系 統 管 理 員 C:\Windows\System32\cmd.exe, 如 下 圖 3-10 圖 3-10 步 驟 二 : 輸 入 指 令 設 定 KMS 管 理 主 機 IP 位 址 輸 入 指 令 :slmgr.vbs -skms 120.107.179.90:1688 此 為 Windows 7 KMS IP, 按 下 Enter 確 認 KMS IP 設 定, 如 下 圖 3-11 15
圖 3-11 設 定 成 功, 則 出 現 Windows Script Host 視 窗, 顯 示 金 鑰 管 理 服 務 電 腦 名 稱 已 成 功 設 定 為 120.107.179. 90, 如 下 圖 3-12 圖 3-12 註 :Windows Vista 視 窗 系 統, 則 將 上 述 KMS IP 位 址 更 改 為 120.107.179.89:1688 步 驟 三 : 輸 入 指 令 立 即 啟 動 Windows KMS 認 證 輸 入 指 令 :slmgr.vbs ato 立 即 啟 動, 如 下 圖 3-13 圖 3-13 啟 動 成 功 則 出 現 產 品 已 成 功 啟 用 訊 息, 如 下 圖 3-14 成 功 完 成 指 令 執 行 KMS 認 證 圖 3-14 16
功 能 應 用 二 校 外 使 用 本 校 圖 書 館 電 子 資 料 庫 系 統 本 校 圖 書 館 電 子 資 料 庫 系 統 因 資 料 版 權 相 關 問 題, 必 須 限 制 使 用 此 服 務 之 連 線 網 段 為 校 內 IP, 所 以 目 前 僅 授 權 予 學 校 師 生 在 校 內 網 路 連 線 使 用, 因 此 使 用 者 若 透 過 SSL VPN 系 統 連 線, 取 得 校 內 IP, 便 可 於 校 外 使 用 該 系 統 之 服 務, 不 受 系 統 限 制 影 響, 正 常 存 取 圖 書 管 電 子 資 料 庫 資 源 校 外 電 腦 登 入 圖 書 館 電 子 資 料 庫 查 詢 系 統 1. 開 啟 Internet Explorer 瀏 覽 器, 連 結 至 彰 化 師 範 大 學 首 頁 網 址 :http://www.ncue.edu.tw, 此 時 於 學 校 首 頁 的 教 職 員 連 結 進 入, 點 選 圖 書 資 料 中 圖 書 館 電 子 資 料 庫 查 詢 系 統, 如 圖 4-1 圖 4-2 圖 4-1 圖 4-2 17
2. 點 選 後 會 出 現 電 子 資 料 庫 頁 面, 下 方 為 電 子 資 料 庫 列 表, 點 選 所 需 資 料 庫, 以 下 以 Acer Walking Library 電 子 雜 誌 為 例 圖 4-3 圖 4-4 18
3. 點 選 Acer Walking Library 電 子 雜 誌 後, 出 現 以 下 畫 面, 填 選 使 用 者 院 別 單 位 及 身 分 後 按 確 定 圖 4-5 4. 成 功 進 入 電 子 資 料 庫 圖 4-6 19
功 能 應 用 三 校 外 使 用 套 裝 軟 體 收 發 電 子 郵 件 校 外 使 用 Outlook 等 收 發 信 套 裝 軟 體, 請 先 登 入 SSL VPN 取 得 本 校 實 體 IP 位 置, 才 能 寄 發 郵 件 一 SSL VPN 連 線 : 連 結 網 址 :https://sslvpn.ncue.edu.tw/ 圖 5-1 二 連 線 圖 示 : 安 裝 好 Cisco AnyConnect Client, 這 支 小 程 式 後, 亦 可 直 接 執 行, 輸 入 連 結 IP:120.107.179.95; 並 輸 入 您 的 帳 號 密 碼, 點 選 連 線 Connect 按 鈕 如 圖 5-2 三 檢 查 是 否 連 線 : 左 下 角 小 圖 顯 示 為 Connected 已 連 線 狀 態 如 圖 5-3 圖 5-2 圖 5-3 20
四 檢 查 取 得 本 校 之 實 體 IP 位 置 : 應 為 120.107.187.1 ~ 253 如 圖 5-4 五 設 定 本 校 郵 件 伺 服 器 為 發 信 伺 服 器 Outlook Express 設 定 : 如 圖 5-5 Microsoft Office Outlook 設 定 : 如 圖 5-6 圖 5-4 圖 5-5 圖 5-6 21
功 能 應 用 四 提 高 本 校 網 路 應 用 系 統 安 全 性 本 校 任 何 網 路 應 用 系 統, 皆 可 藉 由 VPN 連 線, 進 而 管 制 校 外 連 線 IP 進 入 該 系 統, 以 提 高 系 統 安 全 性 例 如 : 本 校 會 計 系 統 ( 如 圖 6-1) 及 財 產 資 料 查 詢 系 統 ( 如 圖 6-2), 管 理 者 可 在 應 用 系 統 程 式 端 或 防 火 牆 端 設 定 120.107.187.1~253, 若 要 在 校 外 連 線 使 用 該 系 統, 其 校 外 面 連 線 IP 必 需 符 合 VPN 網 段 之 範 圍, 因 此 透 過 VPN 連 線 的 步 驟 方 可 達 到 提 高 該 系 統 安 全 性 之 目 的 圖 6-1: 會 計 網 路 請 購 服 務 系 統 圖 6-2: 財 產 資 料 查 詢 系 統 22
功 能 應 用 五 提 高 遠 端 桌 面 連 線 的 安 全 性 使 用 者 如 欲 使 用 遠 端 桌 面 連 線, 亦 可 調 整 管 制 軟 體 或 防 火 牆, 將 被 控 端 可 連 線 的 主 機 網 段 限 制 為 :120.107.187.1~253, 其 餘 IP 一 律 封 鎖, 此 機 制 可 有 效 防 止 他 人 取 得 被 控 端 主 機 IP 後, 毫 無 防 護 的 進 到 被 控 端 主 機, 造 成 極 大 的 資 訊 安 全 威 脅 與 財 產 損 失, 多 一 層 防 護, 多 一 份 安 全 校 外 遠 端 桌 面 連 線 登 入 服 務 (Windows 7 操 作 教 學 ) 1. 設 定 安 全 使 用 網 段 開 始 查 詢 %windir%\system32\wf.msc, 如 圖 7-1 點 選 輸 入 規 則 新 增 一 個 規 則 範 本, 如 圖 7-2 圖 7-1 圖 7-2 23
2. 新 增 一 個 輸 入 規 則, 規 則 類 型 為 預 先 定 義 中 的 遠 端 桌 面, 如 圖 7-3 圖 7-3 3. 規 則 類 型 勾 選 遠 端 桌 面 (TCP-In), 如 圖 7-4 圖 7-4 24
4. 執 行 動 作 請 選 擇 允 許 連 線, 若 須 設 定 固 定 登 入 之 帳 號, 可 選 擇 僅 允 許 安 全 連 線, 此 選 項 可 利 用 IPsec 加 密 規 則, 加 強 連 線 安 全 性, 如 圖 7-5 圖 7-5 5. 設 定 連 線 IP 網 段 : 選 擇 上 述 操 作 完 成 之 規 則, 再 點 選 內 容, 啟 動 進 階 視 窗, 如 圖 7-6 圖 7-6 25
6. 開 啟 遠 端 桌 面 (TCP-In) - 內 容 選 擇 領 域 遠 端 IP 位 址 新 增 這 個 IP 位 址 範 圍 IP 範 圍 (120.107.187.1 ~ 120.107.187.253), 如 圖 7-7 圖 7-8 圖 7-7 圖 7-8 7. 啟 動 遠 端 桌 面 連 線 服 務 開 始 查 詢 MSTSC, 如 圖 7-9 8. 輸 入 正 確 IP, 並 依 需 求 勾 選 適 當 項 目, 如 : 是 否 共 用 本 機 裝 置 等 設 定, 如 圖 7-10 圖 7-9 圖 7-10 26
9. 輸 入 正 確 帳 號 及 密 碼, 即 可 登 入 遠 端 桌 面, 操 作 校 內 電 腦 設 備, 如 圖 7-11 圖 7-11 10. 完 成 第 1~6 步 驟 的 網 段 限 制 設 定 後, 如 欲 使 用 遠 端 桌 面 連 線, 必 需 另 行 登 入 SSL VPN 取 得 校 內 120.107.187.X 之 IP 網 段, 使 用 者 才 能 進 入 被 控 端 電 腦, 反 之, 將 被 拒 於 門 外, 無 法 取 得 被 控 端 畫 面, 如 圖 7-12 圖 7-12 27
輔 助 說 明 SSL VPN 啟 動 及 安 裝 網 址 :http://sslvpn.ncue.edu.tw 其 它 未 詳 載 之 說 明, 請 參 照 :http://web.ncue.edu.tw/~ccsystem/tech/vpn/sslvpn.htm 以 下 空 白 28