在本系列的最後一部分中，我們介紹了只要您在同一網路上，您就可以從任何地方管理和使用Windows計算機。但如果你不是呢？

請務必檢視Windows 7上本極客學校系列的前幾篇文章：

• 介紹如何去極客學校
• 升級和遷移
• 配置裝置
• 管理磁碟
• 管理應用程式
• 管理Internet Explorer
• IP定址基礎
• 網路
• 無線網路
• 防火牆
• 遠端管理

本週請繼續關注本系列的其餘部分。

網路訪問保護

網路訪問保護（networkaccessprotection）是微軟試圖根據試圖連線到網路資源的客戶端的健康狀況來控制對網路資源的訪問。例如，在您是膝上型電腦使用者的情況下，可能有好幾個月您在路上，並且沒有將您的膝上型電腦連線到公司網路。在此期間，無法保證您的膝上型電腦不會感染病毒或惡意軟體，甚至無法保證您收到反病毒定義更新。

在這種情況下，當您回到辦公室並將計算機連線到網路時，NAP將根據您在其中一個NAP伺服器上設定的策略自動確定計算機的執行狀況。如果連線到網路的裝置未透過健康檢查，它將自動移動到網路的超級限制區域（稱為修正區域）。在修正區域中時，修正伺服器將自動嘗試修正計算機的問題。例如：

• 如果防火牆被禁用並且策略要求啟用，則修正伺服器將為您啟用防火牆。
• 如果您的執行狀況策略宣告需要最新的Windows更新，而您不需要，則可以在更新區域中安裝一個WSUS伺服器，該伺服器將在您的客戶端上安裝最新的更新。

如果NAP伺服器認為您的計算機正常，則它將被移回公司網路。有四種不同的方法可以強制NAP，每種方法都有自己的優點：

• VPN–在公司中，使用VPN強制方法非常有用，因為在公司中，遠端工作者可以在家中使用自己的計算機遠端工作。你永遠無法確定某人可能會在你無法控制的PC上安裝什麼惡意軟體。使用此方法時，每次啟動VPN連線時都會檢查客戶端的健康狀況。
• DHCP–當您使用DHCP強制方法時，在NAP基礎結構認為客戶端正常之前，不會從DHCP伺服器向客戶端提供有效的網路地址。
• IPsec–IPsec是一種使用證書加密網路流量的方法。雖然不是很常見，但也可以使用IPsec來強制NAP。
• 802.1x–802.1x有時也稱為基於埠的身份驗證，是在交換機級別對客戶端進行身份驗證的一種方法。使用802.1x來實施NAP策略是當今世界的標準做法。

撥號連線

由於某種原因，在當今這個時代，微軟仍然希望您瞭解這些原始的撥號連線。撥號連線使用模擬電話網路，也稱為POTS（普通舊電話服務），將資訊從一臺計算機傳送到另一臺計算機。他們使用調變解調器來實現這一點，調變解調器是單詞modulate和demodulate的組合。調變解調器通常使用RJ11電纜連線到您的電腦，並將電腦中的數字資訊流調製成可透過電話線傳輸的模擬訊號。當訊號到達目的地時，它被另一個調變解調器解調，並轉換回計算機可以理解的數字訊號。要建立撥號連線，請右鍵單擊網路狀態圖示並開啟網路和共享中心。

然後單擊設定新連線或網路超連結。

現在選擇設定撥號連線並單擊下一步。

從這裡你可以填寫所有需要的資訊。

注意：如果你在考試中遇到需要設定撥號連線的問題，他們會提供相關的詳細資訊。

虛擬專用網路

虛擬專用網路是您可以在公共網路（如internet）上建立的專用隧道，以便您可以安全地連線到另一個網路。

例如，您可以建立從家庭網路上的PC到公司網路的VPN連線。這樣一來，你的家庭網路上的PC就好像真的是你公司網路的一部分。事實上，你甚至可以連線到網路共享，例如，如果你把你的電腦和物理**你的工作網路與乙太網線。唯一的區別當然是速度：你不會得到千兆乙太網的速度，如果你在辦公室裡，你會受到你的寬頻連線速度的限制。

你可能想知道這些“私人隧道”有多安全，因為它們是透過網際網路“隧道”的。每個人都能看到你的資料嗎？不，他們不能，這是因為我們加密透過VPN連線傳送的資料，因此被稱為虛擬“專用”網路。用於封裝和加密透過網路傳送的資料的協議由您決定，Windows 7支援以下功能：

注：不幸的是，這些定義你將需要知道的心考試。

• Point-to-Point Tunneling Protocol (PPTP) – The Point to Point Tunneling Protocol allows network traffic to be encapsulated into an IP header and sent across an IP network, such as the Internet.
  • 封裝：PPP幀被封裝在IP資料報中，使用GRE的修改版本。
  • 加密：使用Microsoft點對點加密（MPPE）對PPP幀進行加密。在使用Microsoft質詢握手身份驗證協議版本2（MS-CHAP v2）或可擴充套件身份驗證協議傳輸層安全性（EAP-TLS）協議的身份驗證期間生成加密金鑰。
• Layer 2 Tunneling Protocol (L2TP) – L2TP is a secure tunneling protocol used for transporting PPP frames using the Internet Protocol, it is partially based on PPTP. Unlike PPTP, the Microsoft implementation of L2TP does not use MPPE to encrypt PPP frames. Instead L2TP uses IPsec in Transport Mode for encryption services. The combination of L2TP and IPsec is known as L2TP/IPsec.
  • 封裝：PPP幀首先用L2TP報頭包裝，然後用UDP報頭包裝。然後使用IPSec封裝結果。
  • 加密：L2TP訊息使用AES或3DES加密，使用IKE協商過程生成的金鑰進行加密。
• Secure Socket Tunneling Protocol (SSTP) – SSTP is a tunneling protocol that uses HTTPS. Since TCP Port 443 is open on most corporate Firewalls, this is a great choice for those countries that don’t allow traditional VPN connecti***. It is also very secure since it uses SSL certificates for encryption.
  • 封裝：PPP幀被封裝在IP資料報中。
  • 加密：SSTP訊息使用SSL加密。
• Internet Key Exchange (IKEv2) – IKEv2 is a tunneling protocol that uses the IPsec Tunnel Mode protocol over UDP port 500.
  • 封裝：IKEv2使用IPSec ESP或AH頭來封裝資料報。
  • 加密：使用IKEv2協商過程生成的金鑰對訊息進行AES或3DES加密。

伺服器要求

注意：很明顯，您可以將其他作業系統設定為VPN伺服器。但是，這些是執行WindowsVPN伺服器的要求。

為了允許使用者建立到您網路的VPN連線，您需要有一臺執行Windows server的伺服器，並安裝以下角色：

• 路由和遠端訪問（RRAS）
• 網路策略伺服器（NPS）

您還需要設定DHCP或分配透過VPN連線的計算機可以使用的靜態IP池。

建立vpn連線

要連線到VPN伺服器，請右鍵單擊網路狀態圖示並開啟網路和共享中心。

然後單擊設定新連線或網路超連結。

現在選擇連線到工作區並單擊next。

然後選擇使用現有的寬頻連線。

P

現在，您需要輸入要連線到的網路上VPN伺服器的IP或DNS名稱。然後單擊“下一步”。

然後輸入使用者名稱和密碼，然後單擊連線。

連線後，您可以透過單擊網路狀態圖示檢視是否已連線到VPN。

作業

• 請閱讀TechNet上的以下文章，它將指導您規劃VPN的安全性。

注意：今天的作業有點超出了70-680考試的範圍，但它會讓你對從Windows7連線到VPN時幕後發生的事情有一個堅實的瞭解。

如果你有任何問題，可以發推特給我@taybgibb，或者只留下評論。