为远程客户端和网络配置虚拟专用网络访问

1第21章为远程客户端和网络配置虚拟专用网络访问熊建辉高级工程师、硕士2网络安全的实现和管理--以WindowsServer2003和ISAServer2004为例第1章规划和配置授权和身份验证策略第2章安装、配置和管理证书颁发机构第3章配置、部署和管理证书第4章规划、实现和故障诊断智能卡证书第5章加密文件系统的规划、实现和故障排除第6章规划、配置和部署安全的成员服务器基线第7章为服务器角色规划、配置和部署安全基线第8章规划、配置、实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章数据传输安全性的规划、部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全3第14章MICROSOFTISASERVER概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004网络安全的实现和管理--以WindowsServer2003和ISAServer2004为例4第21章：为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2004配置隔离控制5虚拟专用网络概述虚拟专用网络VPN协议选项VPN身份验证协议选项VPN隔离控制使用路由和远程访问的虚拟专用网络使用ISAServer2004的虚拟专用网络将ISAServer用于虚拟专用网络的益处21.1虚拟专用网络概述6虚拟专用网络ISAServer分支机构21.1.1虚拟专用网络7VPN协议选项因素PPTP优点和缺点L2TP/IPSec优点和缺点客户端操作系统支持Windows2000,WindowsXP、WindowsServer2003、WindowsNTWorkstation4.0、WindowsME、Windows98Windows2000、WindowsXP、WindowsServer2003证书支持需要证书架构支持，仅仅支持EAP-TLS验证需要证书架构或预共享密钥安全性提供数据加密不提供数据完整性为每个数据包提供数据完整性、数据源身份验证、数据机密性和重放保护NAT支持大多数网络地址转换器（NAT,NetworkAddressTranslator）都支持该协议所有的客户端和服务器都都必须支持IPSecNAT-T21.1.2VPN协议选项8VPN身份验证协议选项验证协议解释PAP使用明文密码，是安全性最低的身份验证协议SPAP使用的是Shiva可逆加密机制CHAP是质询响应身份验证协议使用CHAP协议时，数据不能被加密MS-CHAP它不需要使用可逆加密来存储密码但只有在运行需要MS-CHAP的早期Microsoft操作系统时才使用MS-CHAPMS-CHAPv2使用双向身份验证对于发送和接收的数据，它分别使用不同的会话密钥来进行加密会话密钥的生成不是完全基于用户的密码EAP-TLS是最安全的远程身份验证协议在客户端和服务器都使用证书来提供双向身份验证、数据完整性和数据机密性21.1.3VPN身份验证协议选项9VPN隔离控制VPN隔离控制:允许VPN客户端计算机访问组织的网络之前屏蔽它们VPN隔离客户端脚本。此脚本在客户端上运行并检查远程访问客户端的安全配置，然后将结果报告给VPN服务器客户端通过安全配置检查，该客户端就被授权访问组织的网络21.1.4VPN隔离控制10使用路由和远程访问的虚拟专用网络RRAS支持：远程访问策略是一组有序的规则，它们定义了如何授权或拒绝远程访问连接“连接管理器”程序组是一组可选组件，用于创建受管理的远程访问解决方案RRAS支持使用远程身份验证拨入用户服务（RADIUS）服务器进行身份验证和远程访问策略配置RRAS支持在连接到Internet的接口上使用PPTP或L2TP/IPSec输入和输出筛选器RRAS支持使用隔离控制来限制客户端对网络的访问21.1.5使用路由和远程访问的虚拟专用网络11使用ISAServer2004的虚拟专用网络ISAServer启用VPN访问：可以使用网络规则和访问规则定义在什么条件下可以将网络数据包从一个网络传递到另一个网络ISAServer使用以下网络进行VPN连接：VPN客户端网络被隔离的VPN客户端网络远程站点网络ISAServer将计算机分配给网络，然后使用网络规则、网络访问规则和发布规则来限制网络通信在网络之间的移动扩展了RRAS功能21.1.6使用ISAServer2004的虚拟专用网络12将ISAServer用于虚拟专用网络的益处益处解释连接控制和安全性使用防火墙访问策略控制从VPN客户端通过ISAServer2004所发送的信息性能ISAServer2004强化了在配置为强制执行复杂的企业级安全性要求的情况使用Windows2000隔离VPN连接的能力添加ISAServer2004可使Windows2000VPN服务器能够强制执行VPN隔离策略日志记录和监视VPN日志记录不仅能包括所有VPN远程访问和站点到站点的连接，还能包括相关的应用程序通信IPSec隧道模式站点到站点链路的状态检查通过站点到站点链路移动的连接设置特定于用户/组、站点、计算机、协议和应用程序层的较强的访问控制VPN服务器资源的增强保护ISAServer通过将防火墙策略应用到所有接口来扩展安全保护的级别21.1.7将ISAServer用于虚拟专用网络的益处13第21章：为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2004配置隔离控制14为远程客户端配置虚拟专用网络VPN客户端访问控制选项启用和配置VPN客户端访问的方式默认VPN客户端访问配置配置VPN地址分配的方式配置VPN身份验证的方法使用RADIUS配置身份验证的方法为VPN访问配置用户账户的方法为客户端计算机配置VPN连接的方法21.2为远程客户端配置虚拟专用网络15VPN客户端访问控制选项点选VPN节点来访问VPN客户端访问控制选项21.2.1VPN客户端访问控制选项16启用和配置VPN客户端访问的方式启用并配置用户映射时，为Windows用户和组指定用户设置的防火墙策略访问规则也适用于不使用Windows身份验证的已认证用21.2.2启用和配置VPN客户端访问的方式17默认VPN客户端访问配置组件缺省设置系统策略规则策略规则允许从远程网络到运行ISAServer的计算机（本机主机网络）使用PPTP、L2TP或两者都使用VPN访问网络ISAServer仅侦听外部网络上的VPN客户端连接VPN协议仅为VPN客户端访问启用PPTP网络规则一条指定VPN客户端网络和外部网络之间的NAT关系一条指定VPN客户端网络和内部网络之间的路由关系防火墙访问规则没有防火墙访问规则启用远程访问策略启用MS-CHAPv2身份验证并要求对所有VPN连接的进行身份验证21.2.3默认VPN客户端访问配置18配置VPN地址分配的方式配置静态分配地址或DHCP配置DNS和WINS服务器使用DHCP或手工分配地址21.2.4配置VPN地址分配的方式19配置VPN身份验证的方法接受缺省的安全验证配置EAP作为附加安全方法考虑到客户端兼容情况下，可以使用低安全选项21.2.5配置VPN身份验证的方法20使用RADIUS配置身份验证的方法启用RADIUS验证和配置RADIUS服务器21.2.6使用RADIUS配置身份验证的方法21为VPN访问配置用户账户的方法配置拨入和VPN访问权限21.2.7为VPN访问配置用户账户的方法22为客户端计算机配置VPN连接的方法21.2.8为客户端计算机配置VPN连接的方法23实验21-1：为远程客户端配置VPN访问在ISAServer上配置VPN客户端访问配置并测试VPN客户端连接InternetDen-ISA-01Den-DC-01Den-Clt-0121.2.9实验21-1：为远程客户端配置VPN访问24第21章：为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2004配置隔离控制25为远程站点配置虚拟专用网络站点到站点的VPN访问配置组件关于选择VPN隧道协议配置远程站点网络的方法站点到站点VPN的网络和访问规则配置远程站点VPN网关服务器的方法配置使用IPSec隧道模式的站点到站点VPN21.3为远程站点配置虚拟专用网络26站点到站点的VPN访问配置组件组件缺省配置确定要使用的隧道协议需要根据组织的安全要求和将在每个站点部署的VPN网关服务器来选择适当的协议配置远程站点网络创建远程站点网络，远程站点中的所有客户端计算机都位于此网络中配置VPN客户端访问必须启用VPN客户端访问来启用站点到站点的访问配置网络规则和防火墙访问规则使用访问规则或发布规则让远程办事处用户可访问内部资源配置远程站点VPN网关配置远程站点办公室的VPN服务器来连接ISAServer和接受从ISAServer的连接21.3.1站点到站点的VPN访问配置组件27关于选择VPN隧道协议协议场景注释IPSec隧道模式连接到非微软VPN网关连接到非MicrosoftVPN服务器时可以使用的惟一选项。需要证书或预共享密钥L2TPoverIPSec连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器。需要用户名和密码以及证书或预共享密钥进行身份验证PPTP连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器安全级别比L2TPoverIPSec低21.3.2关于选择VPN隧道协议28配置远程站点网络的方法配置选项解释VPN协议选择用来连接到该远程站点的隧道协议远程VPN服务器输入远程站点的VPN网关服务器的服务器名称或IP地址远程身份验证输入用户名和密码。此用户账户将用于在目标VPN网关服务器上发起连接L2TP/IPSec身份验证如果决定使用L2TP/IPSec作为隧道协议，你会得到配置预共享密钥的选项，创建隧道时预共享密钥将被用于对计算机进行身份验证网络地址需要配置远程站点网络中所有计算机的IP地址范围21.3.3配置远程站点网络的方法29站点到站点VPN的网络和访问规则启用站点到站点VPN的网络和访问规则：启用了两个系统策略：“允许到ISA服务器的VPN站点到站点的通讯”“允许来自ISA服务器的VPN站点到站点通讯”针对远程站点网络创建网络规则配置访问规则来控制远程站点和连接到ISAServer计算机的其他网络之间的通信网络之间的开放通信。一种选项是配置分支办事处以拥有对内部网络的完全访问权网络之间的受控通信。在此情况下，你不希望让分支办事处的用户具有对内部网络的完全访问权21.3.4站点到站点VPN的网络和访问规则30配置远程站点VPN网关服务器的方法配置远程站点VPN网关服务器：1.配置VPN网关使用相同的隧道协议2.配置到总部站点VPN网关的连接3.配置网络路由21.3.5配置远程站点VPN网关服务器的方法31配置使用IPSec隧道模式的站点到站点VPN配置使用IPSec隧道模式的站点到站点VPN：配置远程VPN网关的IP地址时，还必须配置一个本地VPN网关的IP地址创建VPN隧道时IPSec将使用的设置以及可用来最大化VPN安全性的设置将VPN网关配置为使用证书或预共享密钥进行身份验证21.3.6配置使用IPSec隧道模式的站点到站点VPN32实验21-2：为远程站点配置VPN配置总部的运行ISAServ