2.2.1で述べたVPNによる接続のために必要な機能、および、2.2.5で述べたモバイルでの接続で、ダイヤルアップで直接アクセスするために必要な機能を実行するサーバーをリモートアクセスサーバーと名付けています。この2つの接続形態では、リモートのクライアントが扱うIPパケットは内部ネットワーク形式のIPパケットになります。このため、内部ネットワークのIPアドレスをリモートのクライアントに設定する機能、内部ネットワークのDNS（ドメインネームサーバー）のIPアドレスを通知したりする機能が必要になります。
　リモートアクセスサーバー上の接続を実現するソフトウェアの機能は、
　　・ VPN制御機能（トンネリング制御、暗号化と復号化）：2.3.2で説明します
　　・ ダイヤルアップ制御機能：2.3.3で説明します
　　・ 認証とIPアドレス設定のプロトコル実行機能：2.3.4で説明します
　になります。
　以下これらの機能について説明します。
　

コース （A  B  C  D  E）

2.2.1で述べたＶＰＮによるリモートアクセスを実現するために、オフィス内で利用しているプライベートアドレス体系によるパケットをインターネット上ではカプセル化してデータとして運ぶ方式をトンネリングといいます。
　代表的なトンネリング用ソフトウェアとして、ＰＰＴＰ、ＩＰ-ＳＥＣ、ＳＳＬ-ＶＰＮ、SSHなどがあります。

　PPTP（7.6.7参照）は、ダイヤルアップ接続や専用線接続で用いられている第2層(ネットワークインターフェース層)のプロトコルであるPPP（Point To Point Tunneling Protocol）をインターネット経由でも利用可能にするためにトンネリングするもので、WindowsXP、Windows Vistaなどで標準サポートされています。

　IPsec（7.6.6参照）はIPパケット部だけをトンネリングするもので、第2層のプロトコルであるPPPはトンネリングしません。なお、IPsecには、トンネリングのためではなく、データ部の暗号化のために使用されるトランスポートモードもあります。IPsecはWindows Vistaで標準サポートされました。

　SSL-VPN（7.6.3参照）は内部形式のIPパケットをTCPポートにトンネリングします。クライアント側では、ブラウザで利用しているSSLソフトをトンネリングのソフトウェアとして利用し、TCPポートを利用してSSLで暗号化して内部形式のパケットを送受信します。

　SSH（Secure Shell）（7.6.2参照）はUNIX系のOSでよく用いられているVPNで、アプリケーション層のポート転送という機能を使って内部形式のIPパケットをトンネリングし、暗号化します。

　以上説明した4つの方式は、トンネリングする階層（インターネット層かトランスポート層かアプリケーション層か）と、トンネリングする部分（第2層ヘッダーもトンネリングするか、IP層以上だけか）の相違で方式が別れていますが、使用する目的は同じです。
　

コース （A  B  C  D  E）

ダイヤルアップでリモートアクセスを受け付けるための機能です。
　基本的な機能は、数チャネル〜数十チャネルのモデムまたはISDNの一次群速度インターフェース（23B＋D)を接続して（モデムを内蔵しているものもある）公衆通信網、PHS網（AIR-EDGEなど)、携帯電話網などによるアクセスを可能にします。接続後、後述するPPPを用いて認証とアドレスの設定などを行い、リモートアクセスが可能となります。
　公衆通信網はインターネット発足当初は主流のアクセス方式でしたが、ADSLや光ネットワークなどの高速な常時接続方式が主流になり、最近はほとんど使われていません。PHS網や携帯電話網は、モバイル（持ち運びしながらの使用）に用いられていますが、インターネットプロバイダーによるモバイル用のインターネットアクセスサービスが普及し、このサービスを利用してリモートアクセスを実現することが多くなってきました。この場合は、インターネットに接続した後は、VPNやNAT、プロキシなどでリモートアクセスしますので、リモートアクセスサーバーにはダイヤルアップ制御機能は必要ありません。
　ダイヤルアップで直接アクセスする方式は、専用のモバイル端末によるフィールド業務の支援システムなどで用いられています。
　

コース （A  B  C  D  E）

ポイントツーポイントとは、2つの地点を直結している通信をいいます。
　ポイントツーポイントを実現するPPPはパソコンなどを公衆通信回線または専用線を利用してインターネットや企業内のネットワークに直結する場合のネットワークインターフェース層プロトコルとして開発されました。
　PPPは、インターネット層の情報をリモートアクセスサーバー（PPPサーバー）との間で送受信する機能（Encapsulation：カプセル化）、接続したときのユーザー認証機能（LCP：リンクコントロールプロトコル）、IPアドレスの設定機能（NCP：ネットワークコントロールプロトコル）とを持っています。
　LCPではPAP(Password Authentication Protocol)やCHAP(Challenge Handshake Authentication Protocol)を使ってユーザー認証（7.1.2参照）を行うことができます。

　ダイヤルアップしたユーザーは、PPPによって認証され、ＩＰアドレスやＤＮＳ（ドメインネームサーバー：ドメイン名をＩＰアドレスに変換するサーバー）のアドレスを設定して始めてインターネットなどとの通信が可能になります。この通信を利用して、ＴＣＰ／ＩＰが動作します。
　

PPPoE（PPPオーバーイーサーネット）は、PPPをADSL（Asymmetric Digital Subscriber Line）やFTTH（Ｆｉｂｅｒ To The Home）またはCATV（Cable TV）による常時接続でも利用できるように拡張したものであり、PPPと同じようにネットワークインターフェース層で認証やＩＰアドレスの自動設定などを行います。
　ADSLやＦＴＴＨ、CATVはブロードバンド（広帯域：１Mbps以上の通信速度）と言われ、ダイヤルアップすることなく、パソコンが起動されていれば常時インターネットに接続されているため、常時接続といわれます。日本で急速に普及し、その普及率は世界一とも言われている接続形態です。
　PPPoEはこの接続形態で多用されているプロトコルで、パソコンを起動するとこのプロトコルが働いてユーザー認証とIPアドレスやDNSのアドレスなどの設定を行います。このプロトコルを実行するためのクライアントソフトウェアは、Windowsで標準サポートされています。
　また、PPPoEは複数のプロバイダを使い分ける機能ももっており、1本のADSL回線に家庭内LANで複数のパソコンが接続されているとき、パソコン毎に別のプロバイダを使うことも可能になります。

　2.1.2トンネリングのところで述べたPPTPもPPPの拡張系です。常時接続環境のパソコンからインターネットへ接続するためのPPPがPPPoEであり、さらにインターネットの先のオフィス内ネットワークまで延長してPPPが使えるようにしたものが、PPTPといえます。
　PPTPもトンネリングと暗号化の機能以外にクライアント認証、アドレス設定の機能も持っています。
　

DHCPはクライアントのIPアドレスを動的に割り付けるためのプロトコルおよびそのソフトウェアです。インターネット層で認証を行うソフトウェアとペアで使用します。
　LANの中で各パソコンのアドレスを自動設定するために開発されました。DHCPサーバーはＩＰアドレスをプールして持っており、パソコンの電源を入れるとＩＰアドレスが割り付けられ、パソコンをシャットダウンすると開放されます。
　インターネットの個人ユーザ−も通常、動的な割付を利用しています。ここでもDHCPが利用可能ですが、多くのプロバイダは、前に説明したPPPoEを利用しています。
　リモートアクセスでは、トンネリングにより、オフィス内ネットワークに接続された時に内部ネットワークのプライベートアドレスを動的に割り付ける時に使われます。ただし、動的割付を行うと、内部アドレスが分からなくても接続できてしまうため、セキュリティ面からあえて固定割付を行うこともあります。
　ＤＨＣＰでは、クライアントのＩＰアドレスだけでなく、オプションとしてクライアントが使うＤＮＳのＩＰアドレスや接続されているルーター（デフォルトゲートウェイという）のＩＰアドレスなどを動的に設定することもできます。また設定内容の有効期間（リース期間）を設けることもできます。
　ＤＨＣＰはＩＰアドレスがまだ設定されていない状態で動くプロトコルですから、ブロードキャスト（同報通信）を利用してクライアントとサーバー間の通信を行います。
　ＤＨＣＰを利用する利点は、利用者はＩＰアドレスやＤＮＳアドレスを設定する手間が掛らないこと、アドレス設定ミスによるトラブルを回避できること、および、ＩＰアドレスの一括管理ができることです。
　問題点は、固定割付に比べて多少セキュリティ面で低下することです。
　認証されますと内部ネットワークのアドレスが自動的に割り付けられますので、内部ネットワークのアドレスを知らなくても通信が出来てしまいます。不法侵入に関して関門が一つ減ることになります。多少面倒でもリモートのパソコンで利用する内部アドレスは固定的に割り付けて関係者以外には知らせない方が安全といえますが、ワンタイムパスワードなどにより強固な認証システムを構築すれば、動的な割付の利用も可能になります。
　

コース （A  B  C  D  E）

外部からの不正なアクセスを防止するメカニズムがファイアウォールです。ファイアウォールのメカニズムの主なものに、パケットフィルタリングとアプリケーションゲートウェイがあります。これらの機能を持った数多くのファイアウォール製品が提供されています。
　ファイアウォールの機能として次のようなものがあります。
　

IPパケットの送信先アドレス、発信元アドレス、ポート番号などの組み合わせに対して、許可や禁止を設定することによってアクセスを制限します。様々なプロトコルやアプリケーションに対して柔軟な対応はとれますが、複雑なコントロールができないため、セキュリティの強度が比較的低いという欠点があります。
　パケットフィルタリングはルーターでも提供しているものがあります。高速で、しかも比較的安価に構築できます。
　

DMZ（DeMilitarized Zone　：　非武装地帯）

コース （A  B  C  D  E）

Webサーバーをプロキシサーバーとして用いる時は、通常のWeb機能に加えて次のようなプロキシ機能を利用します。
　通常プロキシサーバーは、オフィス内のパソコンがインターネットのWebにアクセスする時に内部のアドレスを隠蔽する目的で用いますが、ここでは、逆に、外部のパソコンがオフィス内のWebサーバーにアクセスするための手段として用います。
　上図の場合リモートのパソコンは、DMZにあるWebサーバー1にアクセスし、このサーバーのプロキシ機能により内部ネットワークのWebサーバー２のもつ機能を利用することができます。
　Webサーバー１を利用するためのデータの中にオフィス内のWebサーバー２の機能を利用するデータがあり、プロキシはこれを解釈して社内のWebサーバー２へこのデータを中継してWebサーバー２の機能を利用します。
　Webサーバーのプロキシ機能の一つとして、ファイル転送を中継するためのFTPプロキシの機能を持つものもあります。

　Webサーバーでは、CGI（Common Gateway Interface）やSSI（Server Side Include）、ASP（Active Server Pages)などを利用してWebページにリンクしたアプリケーションプログラム（AP)を作成し、このアプリケーションプログラムが、リモートで行う業務をサポートします。Webコンピューティングとも言われ、SFAなどの構築に多く使われています。
　Webサーバー上のアプリケーションプログラムはコーディングレベルまでセキュリティに注意して、XSS（Cross Site Scripting）（4.3.2参照）やボットネットなどの脅威に対処して構築する必要があります。IPAが発行している「安全なウェブサイトの作り方」（改訂第２版）が参考になります。
　

コース （A  B  C  D  E）