今天在这里跟大家谈一下ISA Server 2006的VPN功能,ISA Server 2006作为ForeFront的排头兵,不但是一款很好的边界网络安全产品,VPN的功能也很强大。
下面听我一一道来。
一、操作简单:
我们先来配一下ISA Server 2006的最基本的VPN设置,让企业外部用户可以拔入到内部。
1、在 ISA Server控制台中,选择“虚拟专用网络 (VPN)”。单击“任务”选项卡中的“定义地址分配”。并在“地址分配”选项卡的“静态地址池”中添加如下地址:
起始地址:10.3.1.1
结束地址:10.3.1.5
2、单击“任务”选项卡中的“启用 VPN 客户端访问”,再单击“配置 VPN 客户端访问”,在弹出的“常规”选项卡中,“允许的 VPN 客户端最大值”的值设为5,在“协议”选项卡中,选择“启用 PPTP”,单击“确定”。
3、选择“防火墙策略”,并选择“创建一个访问规则”。“访问规则名称”为“VPN到内部”,“规则操作”选择“允许”,“协议”选择“所有出站通讯协议”,“访问规则源”选择“VPN客户端”,“访问规则目标”选择“内部”,“下一步”,再单击“完成”。
4、打开“本地用户和组”,然后选择“用户”,右键单击 Administrator,然后单击“属性”,在“拨入”选项卡中,选择“允许访问”,然后单击“确定”。
OK,任务完成,是不是很Easy!
二、功能强大:
ISA Server 2006不但可以完成最基本的VPN功能,还支持站点间的VPN,及VPN隔离。
1、建立站点间VPN
在此我们将讨论分支机构使用 IPsec 上的 L2TP 连接到总部的操作。此操作要先配置总部 ISA 服务器,再配置分支机构。
A、配置两个 ISA 服务器都需要的本地用户帐户。并确保这两个用户的属性里选中了“拨入”选项卡中的“允许访问”选项。
B、创建公钥基础结构 (PKI) 证书,用于在两个站点之间进行身份验证。(也可以选择使用预共享的密钥)。
C、在ISA Server控制台中,选择“虚拟专用网络 (VPN)”,选择右侧窗格中的“远程站点”,单击“创建 VPN 点对点连接”,然后填写点对点网络名称。在“VPN协议”中,选择要使用的 VPN 协议,在本例为Ipsec上的L2TP。
D、现在创建一个IP地址池,然后输入远程服务器名称,然后输入该连接的用户凭据。选择传出身份验证方法(如上所述,首选使用证书),输入在远程站点的内部网络上使用的 IP 地址范围。创建用于路由从远程站点到本地网络流量的网络规则。再创建一个出站访问规则。
E、在总部站点上完成 ISA 服务器配置后,需要使用完全相同的步骤来配置分支机构站点。完成这两个步骤后,位于这两个站点的用户即能够通过 VPN 进行通信。
2、VPN隔离
由于VPN隔离的操作太多,放在这里显得过长,希望有机会可以单独拿出来谈一谈,下面说一下原理。
隔离控制通过在允许VPN客户端访问网络之前限制其处于隔离模式,来为其提供阶段性的网络访问。在使客户端计算机配置与组织的特定隔离限制一致或确定其满足这一条件之后,便会根据您指定的隔离类型将标准的 VPN 策略应用到该连接。也就是说ISA Server 2006对vpn客户端进行一个验证,如果没有通过验证就将客户放置在“被隔离的 VPN 客户端”网络中,如果通过验证就放置在“VPN客户端”网络中。然后通过访问规则进行网络访问。
例如,我们要检查VPN客户端,是不是开启了ICF,没有则被隔离,开启则作为正常“VPN客户端”进行网络访问。
ISA Server 2006通过连接管理器管理工具包(CMAK),产生一个安装包(含有检测脚本(rqscript.vbs)和RQC.exe),并发给客户端。客户端运行此安装包,会生成一个拔号程序,客户端用定义好的拔号程序拔叫ISA Server 2006,客户端的脚本程序(rqscript.vbs)会检查客户端有没有启用ICF,通过RQC.exe发送脚本产生的值通知给ISA Server 2006,如果已经开启了ICF,则ISA Server 2006通过RQS服务把客户端从vpn隔离网络挪到vpn网络。
其中客户端通过RQC.exe向ISA Server 2006传送脚本检测值时,用的是TCP协议,端口7250,需要我们新建协议,并建立访问规则才行。
总之,ISA Server 2006不管是作防火墙还是作VPN使用,都具有很强的性能,是一款不错的方案解决产品。
