ISA教程之用ISAServer为虚拟专用网络提供安全保障

7.3用ISAServer为虚拟专用网络提供安全保障ISAServer可以用来为VPN连接提供安全保障。VPN是为漫游用户和其他跨分支机构连接的工作人员使用的。使用ISAServer的VPN向导可以简化配置ISAServerVPN连接操作。该向导可以通过ISAManagement中的NetworkConfiguration节点进行访问。本节学习目标l配置ISAServer，为通过Internet连接到ISAServer网络的漫游用户提供安全的访问l配置ISAServer提供跨分支机构的安全VPN连接估计学习时间：35分钟7.3.1集成ISAServer和VPN本地网络上的计算机要和远程网络上的计算机通过ISAServer计算机进行通信时，数据封装好后，通过一个VPN信道进行发送。计算机使用PPTP或者L2TP来管理隧道和封装专用数据。通过隧道传送的数据也必须加密后才能使用VPN连接。图7.5所示是两个网络之间的一个VPN，两个网络都运行了ISAServer。7.3.2为VPN连接配置网络和VPN一起使用的时候，ISAServer安装为集成模式。在ISAServer上配置一个网络连接以连接到ISP上。同时，它还有一个连接到内部网的网络适配器。使用向导后，ISAServer配置为VPN服务器，可以在指定的远程客户和网络资源之间通信。通过VPN连接到ISAServer上的客户必须能访问全部的网络资源，例如DNS和WindowsInternet命名服务(WINS)。客户端可以用漫游用户的身份通过ISP，或者用分支机构用户的身份在另一个ISAServer之后，建立一个和远程ISAServer的连接。对漫游用户来说，客户机必须已经配置好了一个到本地ISP的连接(通常情况下，是在网络和拨号连接视窗中配置了一个拨号连接)。然后，必须再配置一个VPN连接。要创建VPN连接，在Windows2000中运行NetworkConnection向导，然后选择ConnectToAPrivateNetworkThroughTheInternet单选按钮。将VPN连接的目的地址配置为ISAServer计算机的IP地址。图7.5VPN与ISAServer集成对于从另一台ISAServer计算机之后的分支机构连接到ISAServer网络的用户来说，在每一台ISAServer计算机上，同时运行本地和远程ISAServer才能配置连接。7.3.3使用ISAServerVPN配置向导ISAServer中有向导来帮助建立VPN并为之提供安全保障。可以使用向导来配置不同的VPN环境，包括连接到本地网络的移动用户和与其他分支机构连接的分支机构。ISAServer包括以下3个向导，可以用来创建ISAVPN连接。在ISAManagement中右击NetworkConfiguration节点来运行这些向导。lLocalISAServerVPNConfiguration向导用这个向导可以建立接收连接的本地ISAServer计算机。也可以安装本地ISAVPN服务器来启动连接。lRemoteISAServerVPNConfiguration向导用这个向导可以建立能启动和接收连接的ISAServer计算机。lISAVirtualPrivateNetworkConfiguration向导用这个向导允许漫游用户连接到VPN。7.3.3.1LocalISAServerVPNConfiguration向导LocalISAServerVPNConfiguration向导可以建立一个能从远程ISAVPN服务器上接收连接的本地ISAVPN服务器。该向导创建任何要求从远程VPN服务器接收连接的按需拨号接口。它配置了IP数据包筛选器，这是保护连接所必需的，而且对在运行VPN向导时所选择的协议来说是特定的。它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机上。作为本过程的一部分，该向导也创建了一个VPN配置设置(.vpc)文件。建立远程ISAVPN服务器时，要用到此文件。Ø按如下步骤建立本地ISAServerVPN：1.在ISAManagement控制台树上，右击NetworkConfiguration节点。2.单击SetUpLocalISAVPNServer菜单选项。出现LocalISAServerVPNConfiguration向导。3.按照LocalISAServerVPNConfiguration向导的说明进行操作。运行LocalISAServerVPNConfiguration向导之前，应该清楚以下几点：l作为LocalISAServerVPNConfiguration向导配置过程的一部分，会提示您输入要在其上创建VPN连接用户账户的远程服务器的域名或计算机名。如果该计算机是一个域控制器，输入它的域名。否则，输入计算机的NetBIOS名称。l如果以缓存模式安装ISAServer，那么不能建立VPN。7.3.3.2RemoteISAServerVPNConfiguration向导RemoteISAServerVPNConfiguration向导建立了一个启动与本地ISAVPN服务器连接的远程ISAVPN服务器。该向导使用.vpc文件。该文件由本地ISAServerVPN连接向导创建，用来配置对启动与一个特定的本地VPN服务器的连接所必需的任何按需拨号接口。向导还配置了保护连接所必需的IP数据包筛选器，它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机上。创建的特定的IP数据数据包筛选器取决于本地ISAServerVPN配置向导创建.vpc文件时所选的协议。Ø按如下步骤以创建ISAServerVPN：1.在ISAManagement控制台树上，右击NetworkConfiguration节点。2.右击SetupRemoteISAVPNServer菜单选项。出现RemoteISAServerVPNConfiguration向导。3.在RemoteISAServerVPNConfiguration向导中，按照屏幕上的指示进行操作。7.3.3.3ISAVirtualPrivateNetworkConfiguration向导ISAVirtuelPrwateNetworkConfiguration向导在支持漫游客户的ISAServer计算机上建立VPN服务器。VPN服务器支PPTP和IP安全/第2层隧道协议(IPSec/L2TP)，并在ISAServer计算机上开放相应的端口允许客户端连接到VPN服务。Ø按如下步骤建立ISAServer接收客户方的VPN请求：1.在ISAManagement控制台树上，右击NetworkConfiguration节点。2.单击AllowVPNClientConnections菜单选项。出现ISAVirtualPrivateNetworkConfiguration向导。3.在ISAVirtualPrivateNetworkConfiguration向导中，按照屏幕上的指示进行操作。7.3.4重新配置VPN建立了ISAVPN服务器之后，您可能还想为其他协议也添加支持。例如，您开始配置服务器的时候，也许会选择使用PPTP协议。后来，或许想使用L2TP协议。Ø按如下步骤配置ISAServer允许使用附加协议：1.使用RoutingandRemoteAccess控制台来确定相应的网络接口。2.在Networking属性页中，访问界面属性然后选择相关的协议。3.为了增加PPTP支持，使用ISAManagement创建一个IP数据包筛选器，允许PPTP协议。IP数据包筛选器应按如下参数进行配置：u使用两个预定义的筛选器，PPTPCall和PPTPReceive。uLocalComputer设置配置为本地ISAVPN服务器的外部IP地址。uRemoteComputer设置配置为远程ISAVPN服务器的IP地址。4.要增加L2TP支持，必须创建两个IP数据包筛选器.将其中一个IP数据包筛选器按如下参数配置：u筛选器只应用于本地服务器。u筛选器的模式是Allow。u筛选器的类型是Custom，在端口500上使用UDP。uLocalComputer设置配置为本地ISAVPN服务器的外部IP地址。uRemoteComputer设置配置为远程ISAVPN服务器的IP地址。将另一个IP数据数据包筛选器按如下参数配置：u筛选器只应用于本地服务器。u筛选器的模式是Allow。u筛选器的类型是Custom，在端口1701上使用UDP。uLocalComputer设置配置为本地ISAVPN服务器的外部IP地址。uRemoteComputer设置配置为远程ISAVPN服务器的IP地址。7.3.5ISAServer和IPSecISAServer配置为IPSec/L2TPVPN服务器时，ISAServer计算机上的IPSec驱动就启用了。启用IPSec时，验证报头(AH)和封装安全有效荷载(ESP)(IP协议50和51)是由IPSec驱动程序控制，而不是ISAServer的数据包筛选器驱动程序。在这种情况下，IPSec驱动程序允许控制通过隧道的通信。IPSec驱动保证了只有受有效的AH和ESP保护的通信才容许进入网络。ISAServer计算机上的IPSec没有启用时，由ISAServer策略来控制哪些数据包容许通过而哪些数据包应该阻塞。该策略还对所有经过ISAServer的通信进行记录，包括IPSecAH和ESP协议。如果ISAServer配置成阻塞IP片段，那么所有的IP片段都会被阻塞，包括AH和ESP片段，即使启用IPSec了也是这样。7.3.6具备VPN和路由的大型网络环境ISAServer可以配置在地理上分散的大型网络中。为了适应用户的需要，必要时ISAServer阵列可以在主干机构和分支机构中进行配置。这样允许公司的网络管理员把整个公司的安全和缓存策略集文章转载自网管之家：