06为远程客户端和网络配置虚拟专用网络访问

为远程客户端和网络配置虚拟专用网络访问第6讲为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问上章回顾介绍发布配置Web发布配置安全Web发布配置服务器发布配置ISAServer身份验证为远程客户端和网络配置虚拟专用网络访问本章目标虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制为远程客户端和网络配置虚拟专用网络访问1.虚拟专用网络概述虚拟专用网络VPN协议选项VPN身份验证协议选项VPN隔离控制使用路由和远程访问的虚拟专用网络使用ISAServer2006的虚拟专用网络将ISAServer用于虚拟专用网络的益处为远程客户端和网络配置虚拟专用网络访问虚拟专用网络ISAServer分支机构为远程客户端和网络配置虚拟专用网络访问VPN协议选项因素PPTP优点和缺点L2TP/IPSec优点和缺点客户端操作系统支持Windows2000,WindowsXP、WindowsServer2003、WindowsNTWorkstation4.0、WindowsME、Windows98Windows2000、WindowsXP、WindowsServer2003证书支持需要证书架构支持，仅仅支持EAP-TLS验证需要证书架构或预共享密钥安全性提供数据加密不提供数据完整性为每个数据包提供数据完整性、数据源身份验证、数据机密性和重放保护NAT支持大多数网络地址转换器（NAT,NetworkAddressTranslator）都支持该协议所有的客户端和服务器都都必须支持IPSecNAT-T为远程客户端和网络配置虚拟专用网络访问VPN身份验证协议选项验证协议解释PAP使用明文密码，是安全性最低的身份验证协议SPAP使用的是Shiva可逆加密机制CHAP是质询响应身份验证协议使用CHAP协议时，数据不能被加密MS-CHAP它不需要使用可逆加密来存储密码但只有在运行需要MS-CHAP的早期Microsoft操作系统时才使用MS-CHAPMS-CHAPv2使用双向身份验证对于发送和接收的数据，它分别使用不同的会话密钥来进行加密会话密钥的生成不是完全基于用户的密码EAP-TLS是最安全的远程身份验证协议在客户端和服务器都使用证书来提供双向身份验证、数据完整性和数据机密性为远程客户端和网络配置虚拟专用网络访问VPN隔离控制VPN隔离控制:允许VPN客户端计算机访问组织的网络之前屏蔽它们VPN隔离客户端脚本。此脚本在客户端上运行并检查远程访问客户端的安全配置，然后将结果报告给VPN服务器客户端通过安全配置检查，该客户端就被授权访问组织的网络为远程客户端和网络配置虚拟专用网络访问使用ISAServer2006的虚拟专用网络ISAServer启用VPN访问：可以使用网络规则和访问规则定义在什么条件下可以将网络数据包从一个网络传递到另一个网络ISAServer使用以下网络进行VPN连接：VPN客户端网络被隔离的VPN客户端网络远程站点网络ISAServer将计算机分配给网络，然后使用网络规则、网络访问规则和发布规则来限制网络通信在网络之间的移动扩展了RRAS功能为远程客户端和网络配置虚拟专用网络访问将ISAServer用于虚拟专用网络的益处益处解释连接控制和安全性使用防火墙访问策略控制从VPN客户端通过ISAServer2006所发送的信息性能ISAServer2006强化了在配置为强制执行复杂的企业级安全性要求的情况使用Windows2000隔离VPN连接的能力添加ISAServer2006可使Windows2000VPN服务器能够强制执行VPN隔离策略日志记录和监视VPN日志记录不仅能包括所有VPN远程访问和站点到站点的连接，还能包括相关的应用程序通信IPSec隧道模式站点到站点链路的状态检查通过站点到站点链路移动的连接设置特定于用户/组、站点、计算机、协议和应用程序层的较强的访问控制VPN服务器资源的增强保护ISAServer通过将防火墙策略应用到所有接口来扩展安全保护的级别为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制为远程客户端和网络配置虚拟专用网络访问2.为远程客户端配置虚拟专用网络VPN客户端访问控制选项启用和配置VPN客户端访问的方式默认VPN客户端访问配置配置VPN地址分配的方式配置VPN身份验证的方法使用RADIUS配置身份验证的方法为VPN访问配置用户账户的方法为客户端计算机配置VPN连接的方法为远程客户端和网络配置虚拟专用网络访问VPN客户端访问控制选项点选VPN节点来访问VPN客户端访问控制选项为远程客户端和网络配置虚拟专用网络访问启用和配置VPN客户端访问的方式启用并配置用户映射时，为Windows用户和组指定用户设置的防火墙策略访问规则也适用于不使用Windows身份验证的已认证用为远程客户端和网络配置虚拟专用网络访问默认VPN客户端访问配置组件缺省设置系统策略规则策略规则允许从远程网络到运行ISAServer的计算机（本机主机网络）使用PPTP、L2TP或两者都使用VPN访问网络ISAServer仅侦听外部网络上的VPN客户端连接VPN协议仅为VPN客户端访问启用PPTP网络规则一条指定VPN客户端网络和外部网络之间的NAT关系一条指定VPN客户端网络和内部网络之间的路由关系防火墙访问规则没有防火墙访问规则启用远程访问策略启用MS-CHAPv2身份验证并要求对所有VPN连接的进行身份验证为远程客户端和网络配置虚拟专用网络访问配置VPN地址分配的方式配置静态分配地址或DHCP配置DNS和WINS服务器使用DHCP或手工分配地址为远程客户端和网络配置虚拟专用网络访问配置VPN身份验证的方法接受缺省的安全验证配置EAP作为附加安全方法考虑到客户端兼容情况下，可以使用低安全选项为远程客户端和网络配置虚拟专用网络访问使用RADIUS配置身份验证的方法启用RADIUS验证和配置RADIUS服务器为远程客户端和网络配置虚拟专用网络访问为VPN访问配置用户账户的方法配置拨入和VPN访问权限为远程客户端和网络配置虚拟专用网络访问为客户端计算机配置VPN连接的方法为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制为远程客户端和网络配置虚拟专用网络访问3.为远程站点配置虚拟专用网络站点到站点的VPN访问配置组件关于选择VPN隧道协议配置远程站点网络的方法站点到站点VPN的网络和访问规则配置远程站点VPN网关服务器的方法配置使用IPSec隧道模式的站点到站点VPN为远程客户端和网络配置虚拟专用网络访问站点到站点的VPN访问配置组件组件缺省配置确定要使用的隧道协议需要根据组织的安全要求和将在每个站点部署的VPN网关服务器来选择适当的协议配置远程站点网络创建远程站点网络，远程站点中的所有客户端计算机都位于此网络中配置VPN客户端访问必须启用VPN客户端访问来启用站点到站点的访问配置网络规则和防火墙访问规则使用访问规则或发布规则让远程办事处用户可访问内部资源配置远程站点VPN网关配置远程站点办公室的VPN服务器来连接ISAServer和接受从ISAServer的连接为远程客户端和网络配置虚拟专用网络访问关于选择VPN隧道协议协议场景注释IPSec隧道模式连接到非微软VPN网关连接到非MicrosoftVPN服务器时可以使用的惟一选项。需要证书或预共享密钥L2TPoverIPSec连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器。需要用户名和密码以及证书或预共享密钥进行身份验证PPTP连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器安全级别比L2TPoverIPSec低为远程客户端和网络配置虚拟专用网络访问配置远程站点网络的方法配置选项解释VPN协议选择用来连接到该远程站点的隧道协议远程VPN服务器输入远程站点的VPN网关服务器的服务器名称或IP地址远程身份验证输入用户名和密码。此用户账户将用于在目标VPN网关服务器上发起连接L2TP/IPSec身份验证如果决定使用L2TP/IPSec作为隧道协议，你会得到配置预共享密钥的选项，创建隧道时预共享密钥将被用于对计算机进行身份验证网络地址需要配置远程站点网络中所有计算机的IP地址范围为远程客户端和网络配置虚拟专用网络访问站点到站点VPN的网络和访问规则启用站点到站点VPN的网络和访问规则：启用了两个系统策略：“允许到ISA服务器的VPN站点到站点的通讯”“允许来自ISA服务器的VPN站点到站点通讯”针对远程站点网络创建网络规则配置访问规则来控制远程站点和连接到ISAServer计算机的其他网络之间的通信网络之间的开放通信。一种选项是配置分支办事处以拥有对内部网络的完全访问权网络之间的受控通信。在此情况下，你不希望让分支办事处的用户具有对内部网络的完全访问权为远程客户端和网络配置虚拟专用网络访问配置远程站点VPN网关服务器的方法配置远程站点VPN网关服务器：1.配置VPN网关使用相同的隧道协议2.配置到总部站点VPN网关的连接3.配置网络路由为远程客户端和网络配置虚拟专用网络访问配置使用IPSec隧道模式的站点到站点VPN配置使用IPSec隧道模式的站点到站点VPN：配置远程VPN网关的IP地址时，还必须配置一个本地VPN网关的IP地址创建VPN隧道时IPSec将使用的设置以及可用来最大化VPN安全性的设置将VPN网关配置为使用证书或预共享密钥进行身份验证为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制为远程客户端和网络配置虚拟专用网络访问4.使用ISAServer2006配置隔离控制网络隔离控制的工作方式关于在ISAServer上启用隔离控制准备客户端脚本的方法使用连接管理器配置VPN客户端的方法准备侦听器组件的方法启用隔离控制的方法配置Internet身份验证服务以实现隔离控制配置隔离访问规则的方法为远程客户端和网络配置虚拟专用网络访问网络隔离控制的工作方式ISAServerDNSServerWebServer域控制器文件服务器QuarantinescriptVPN隔离客户网络VPN客户端网络RQC.exe隔离远程访问策略ISAServerDNSServerWebServer域控制器文件服务器隔离脚本VPN隔离客户网络VPN客户端网路RQC.exe隔离远程访问策略为远程客户端和网络配置虚拟专用网络访问关于在ISAServer上启用隔离控制在ISAServer上启用隔离控制：在ISAServer上启用隔离控制创建并安装侦听器组件为被隔离的VPN客户端网络配置网络规则和访问规则使用CMAK来创建CM配置文件，该配置文件包含一个通知组件和客户端脚本创建验证客户端配置信息的客户端脚本14352为远程客户端和网络配置虚拟专用网络访问使用连接管理器配置VPN客户端的方法配置VPN客户端使用连接管理器：配置连接管理器配置文件包含一个运行网络策略要求脚本的后连接操作一个网络策略要求脚本一个通知组件所有远程访问客户端计算机上分发并安装它为远程客户端和网络配置虚拟专用网络访问启用隔离控制的方法定义超时值添加不需要隔离的用户或组定义隔离策略的源为远程客户端和网络配置虚拟专用网络访问配置隔离访问规则的方法为VPN配置隔离访问规则每台服