毕业设计（论文）基于ISA Server防火墙的设计和实现

1、郑州轻院轻工职业学院专科毕业设计（论文） 题 目 基于isa server防火墙的设计和实现学生姓名 专业班级 学 号 系 别 指导教师(职称) 完成时间 基于isa server防火墙的设计和实现摘 要随着网络的发展，人们对信息的安全也越来越重视，正是因为这样才推动了防火墙的快速发展，isa是防火墙的软件技术，目前isa（internet security acceleration）的版本有isa2000 isa2004 isa2006 isa2008，是一款微软出品的著名路由级网络防火墙。isa服务器在2006年提供组织以能力巩固从现代计算的世界的盘剥和威胁的重要企业基础设施的一个健壮应用

2、层防火墙。本文应用isa server 2006来实现防火墙在企业网络中的重要作用，通过讲述isa的安装和配置使其成为边界防火墙并简单介绍isa server 2006，vpn对现在人们的需求特别是对于那些小型企业的用户来说追求安全而又实惠的方法只有用isa server来构建vpn，本文通过介绍vpn、搭建vpn来为大家讲解vpn的使用方法，然后通过使用isa构建vpn来实现两个总公司与分公司之间的安全通信，并运用模拟网络环境测试网络的连通性和防火墙系统。关键字 isa /vpn /防火墙 based on isa server firewall design and implementat

3、ionabstractwith the development of the network, people are more and more attention to the security of information, precisely because this was to promote the rapid development of firewall, isa is a firewall software technology, the current isa (internet security acceleration) version has isa2000 isa2

4、004 isa2006 isa2008 , is a microsoft prod- uced a well-known route level network firewall. isa server 2006 provides organiza- tions the ability to consolidate the world from the exploitation of modern computing and a major threat to a robust enterprise infrastructure application layer firewall. in t

5、his paper, isa server 2006 firewall in the enterprise to realize the important role of the network, by telling it to install and configure isa as a firewall and a brief border isa server 2006, vpn on demand is now especially for small business users to that the pursuit of safe and affordable way to

6、build only with isa server vpn, this paper introduces vpn, vpn set up to serve you on the use of vpn, and then constructed by using the isa vpn to achieve between the two head office and branch offices secure communications, and network environment using simulated test network connectivity and firew

7、all systems显示对应的拉丁字符的拼音key words isa ,vpn ,firewall目 录1.防火墙11.1什么是防火墙？11.2防火墙的工作原理11.3防火墙能做什么？62 isa server82.1 isa server简介82.2 isa server的作用82.3 安全服务发布92.4 正向web缓存服务器92.5 反向web缓存服务器92.6 防火墙和web缓存集成服务器93 安装isa server 2006103.1 安装步骤103.2验证isa server 2006安装效果124. 构建vpn134.1简介134.2功能134.3常用的虚拟私人网络协议13

8、4.4用isa2006搭建vpn服务器144.1.1 isa server集成的vpn特性144.1.2 构建一个安全稳定的vpn服务器操作系统平台154.4.3 定义vpn地址池154.4.4 配置vpn服务器174.4.5网络规则184.4.6 防火墙策略184.4.7 用户拨入权限185. 结束语21致 谢22参考文献231.防火墙internet 的发展给政府结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用internet 来提高办事效率和市场反应速度，以便更具竞争力。通过 internet ，企业可以从异地取回重要数据，同时又要面对 internet 开放带来的数据安全的

9、新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的 战壕 ，而这个 战壕 就是防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入 internet 网络为最甚。 1.1防火墙的定义防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它

10、是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 internet 之间的任何活动，保证了内部网络的安全。1.2防火墙的工作原理所有的防火墙都具有ip地址过滤功能。这项任务要检查ip包头，根据其ip源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台unix计算机，另一边的网段则摆了台pc客户机。图1-1 ip地址过滤当pc客户机向unix计算机发起telnet请求时，pc的telnet客户程序就产生一个tcp包并把它传给本地的协议栈准备发送。接下来，协议栈将这个tcp包

11、“塞”到一个ip包里，然后通过pc机的tcp/ip栈所定义的路径将它发送给unix计算机。在这个例子里，这个ip包必须经过横在pc和unix计算机中的防火墙才能到达unix计算机。图1-2 防火墙阻止ip流量现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给unix计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的ip数据没法转发，那么只有和unix计算机同在一个网段的用户才能访问unix计算机了。还有一种情况，你可以命令防火墙专给那台可怜的pc机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据ip地址做转发判断。但要

12、上了大场面这种小伎俩就玩不转了，由于黑客们可以采用ip地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用dns主机名建立过滤表，对dns的伪造比ip地址欺骗要容易多了。服务器tcp/udp 端口过滤仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用smtp/pop邮件服务器吧？所以说，在地址之外我们还要对服务器的tcp/ udp端口进行过滤。图1-3 服务器端的tcp

13、/udp端口过滤比如，默认的telnet服务连接端口号是23。假如我们不许pc客户机建立对unix计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是unix服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把ip地址和目标服务器tcp/udp端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。客户机也有tcp/udp端口tcp/ip是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各

14、种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的ip栈怎么知道某个数据包是属于哪个应用程序的呢？由于历史的原因，几乎所有的tcp/ip客户程序都使用大于1023的随机分配端口号。只有unix计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包

15、都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如x client、基于rpc的nfs服务以及为数众多的非unix ip产品等（netware/ip）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。图1-4 客户端的tcp/udp端口过滤双向过滤ok，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问web服务器，那就只让具有源端口号80的数据包进入网络：图1-5 双向过滤不过新问

16、题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 像http这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！检查ack位源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于tcp协议。tcp是一种可靠的通信协议，“可靠”这个词意味着协议

17、具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个tcp连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个tcp包都非要采用专门的ack包来响应，实际上仅仅在tcp包头上设置一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设置ack位。连接会话的第一个包不用于确认，所以它就没有设置ack位，后续会话交换的tcp包就要设置ack位了。图1-6 检查ack位举个例子，pc向远端的web服务器发起一个连接，它生成一个没有设置ack位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ack位的

18、数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ack位并标记了从服务器收到的字节数。通过监视ack位，我们就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起tcp连接但却能响应收到的数据包了。这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对udp包而言就没法监视ack位了，因为udp包压根就没有ack位。还有一些tcp应用程序，比如ftp，连接就必须由这些服务器程序自己发起。ftp带来的困难一般的internet服务对所有的通信

19、都只使用一对端口号，ftp程序在连接期间则使用两对端口号。第一对端口号用于ftp的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于ftp的“数据通道”提供客户机和服务器之间的文件传送。在通常的ftp会话过程中，客户机首先向服务器的端口21（命令通道）发送一个tcp连接请求，然后执行login、dir等各种命令。一旦用户请求服务器发送数据，ftp服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ack位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明

20、的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。udp端口过滤好了，现在我们回过头来看看怎么解决udp问题。刚才说了，udp包没有ack位所以不能进行ack位过滤。udp 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。nfs、dns、wins、netbios-over-tcp/ip和 netware/ip都使用udp。看来最简单的可行办法就是不允许建立入站udp连接。防火墙设置为只许转发来自内部接口的udp包，来自外部接口的udp包则不转发。现在的问题是，比方说，dns名称解析请求就使用udp，如果你提供dns服务，至少得

21、允许一些内部请求穿越防火墙。还有irc这样的客户程序也使用udp，如果要让你的用户使用它，就同样要让他们的udp包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！如果黑客采取地址欺骗的方法不又回到老路上去了吗？有些新型路由器可以通过“记忆”出站udp包来解决这个问题：如果入站udp包匹配最近出站udp包的目标地址和端口号就让它进来。如果在内存中找不到匹配的udp包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称dns服务器的地址，那么他在理论上当然可以从附着dns的udp端口发起攻击。只要你允许dns查

22、询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的dns、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。1.3 防火墙能做什么？（1）防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防

23、火墙可以禁止诸如众所周知的不安全的 nfs 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如 ip 选项中的源路由攻击和 icmp 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。（2）防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。（3）

24、对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。（4）防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，

25、一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如 finger ， dns 等服务。 finger 显示了主机的所有用户的注册名、真名，最后登录时间和使用 shell 类型等。但是 finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的 dns 信息，这样一台主机的域名和 ip 地址就不会被外界所了解。除了安全作用，防火墙还支持具有 internet 服务

26、特性的企业内部网络技术体系 vpn 。通过 vpn ，将企事业单位在地域上分布在全世界各地的 lan 或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。2 isa server2.1 isa server简介isa server是建立在windows 2000操作系统上的一种可扩展的企业级防火墙和web缓存服务器。isa server的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。而且，通过本地而不是internet为对象提供服务，其web缓存服务器允许组织能够为用户提供更快的web访问。在网络内安装isa server时，可以将其配置成防

27、火墙，也可以配置成web缓存服务器，或二者兼备。isa server提供直观而强大的管理工具，包括microsoft 管理控制台管理单元、图形化任务板和逐步进行的向导。利用这些工具，isa server能将执行和管理一个坚固的防火墙和缓存服务器所遇到的困难减至最小。 isa server提供一个企业级internet连接解决方案，它不仅包括特性丰富且功能强大的防火墙，还包括用于加速internet连接的可伸缩的web缓存。根据组织网络的设计和需要，isa server的防火墙和web缓存组件可以分开配置，也可以一起安装。 isa server有两个版本，以满足您对业务和网络的不同需求。isa

28、server标准版可以为小型企业、工作组和部门环境提供企业级防火墙安全和web缓存能力。isa server企业版是为大型组织设计的，支持多服务器阵列和多层策略，提供更易伸缩的防火墙和web缓存服务器。 利用windows 2000安全数据库，isa server允许您根据特定的通信类型，为windows 2000内定义的用户、计算机和组设置安全规则，具有先进的安全特性。 利用isa management控制台，isa server使防火墙和缓存管理变得很容易。isa management采用mmc，并且广泛使用任务板和向导，大大简化了最常见的管理程序，从而集中统一了服务器的管理。isa se

29、rver也提供强大的基于策略的安全管理。这样，管理员就能将访问和带宽控制应用于他们所设置的任何策略单元，如用户、计算机、协议、内容类型、时间表和站点。总之，isa server是一个拥有自己的软件开发工具包和脚本示例的高扩展性平台，利用它您可以根据自身业务需要量身定制internet安全解决方案。 2.2 isa server的作用 不管是什么规模的组织，只要它关心自己网络的安全、性能、管理和运营成本，对其it管理者、网络管理员和信息安全专业人员来说，isa server都具备使用价值。isa server有3种不同的安装模式：防火墙(firewall)模式、缓存(cache)模式和集成(in

30、tegrated)模式。集成模式能够在同一台计算机上实现前两种模式。组织可以有多种联网方案来部署isa server，包括以下所述的几种方法。 internet防火墙isa server可以安装成专用防火墙，作为内部用户接入internet的安全网关。在信道里isa server计算机对其他方来说是透明的。除非是违反了访问或安全规则，那么任何用户或应用程序通过防火墙时都看不到isa server。作为防火墙，isa server允许设置一组广泛的规则，以指定能够通过isa server的站点、协议和内容，由此实现您的商业internet安全策略。通过监视内部客户机和internet之间的请求和

31、响应，isa server可以控制哪些人能够访问公司网络里的哪台计算机。isa server还能控制内部客户端能够访问internet上的哪台计算机。 2.3 安全服务发布使用isa server您能够向internet发布服务，而且不会损害内部网络的安全。要实现这一点，只需让isa server计算机代表内部发布服务器来处理外部客户端的请求即可。 2.4 正向web缓存服务器作为正向web缓存服务器，isa server保存集中缓存内经常受到请求的internet内容，专用网络内的任何web浏览器都可以访问这些内容。这样可以改善客户端浏览器的性能，缩短响应时间，并且减少internet连接的

32、带宽消耗。 2.5 反向web缓存服务器 isa server可以作为web服务器。它用缓存中的web内容来满足传入的客户端请求。只有缓存中的内容不能满足请求时，它才会把请求转发给web服务器。 2.6 防火墙和web缓存集成服务器 组织可以将isa server配置成单独的防火墙和缓存组件。不过，有些管理员会选择单一的防火墙和web缓存集成服务器，以提供安全快速的internet连接。不管组织如何配置isa server，都能从集中化、集成的基于策略的管理中受益。3 安装isa server 20063.1 安装步骤登录到需要安装isa server 2006的主机上，然后拷贝安装程序的主机

33、并运行程序，出现如图3-1所示图3-1 isa安装界面单击安装 isa server 2006，开始安装isa server 2006企业版。单击【下一步】按钮，出现【许可协议】对话框，选择【我接受许可协议中的条款】选项。单击下一步按钮，出现【客户信息】对话框，在【用户】、【单位】和【产品序列号】中输入相关信息。单击下一步按钮，出现【安装方案】对话框。在该对话框中选择安装方案，在此选择【同时安装isa server 服务和配置存储服务器】选项，如图3-2所示。图3-2 安装方案单击【下一步】按钮，出现【组件选项】对话框，在此安装【isa服务器】、【isa服务器管理】和【配置存储服务器】组件，如

34、图3-3所示。图3-3 组件的选择单击下一步按钮，出现【企业安装选项】对话框，选择【创建新isa服务器企业】选项。单击【下一步】按钮，出现【新建企业警告】对话框，显示将此计算机配置为配置存储服务器。单击下一步按钮，出现【内部网络】对话框，在该对话框中指定内部网络。单击【添加】按钮，出现【地址】对话框。单击【添加范围】按钮，出现【ip地址范围属性】对话框，在该对话框输入公司内部网络的地址范围，如54，如图图3-4所示。图3-4 内网ip单击【确定】按钮，返回【地址】对话框，可以看到已经添加了地址范围。单击【确定】按钮，返回【内部网络】对话框。单击下一步

35、按钮，出现【防火墙客户端连接】对话框，在该对话框中指定isa是否将接受来自不支持加密的防火墙客户端的连接，在此选择【允许不加密的防火墙客户端连接】选项单击下一步按钮，出现【服务警告】对话框，表示在安装isa server 2006过程中将要重启和禁用的服务。单击下一步按钮，出现【可以安装程序了】对话框。单击【安装】按钮，开始安装isa server 2006。等几分钟以后，单击【完成】按钮即可结束整个安装过程。3.2验证isa server 2006安装效果isa server 2006安装完毕，通过如下方法进行验证是否安装成功。(1)isa控制台在isa服务器上，单击【开始】【程序】【mcr

36、osoft isa server】【isa服务器管理】，打开如图3-5所示isa管理控制台。图3-5 isa主界面(2)isa的相关服务在安装isa的服务器上，单击【开始】【程序】【管理工具】【服务】，打开【服务】控制台，如图3-6所示，安装isa server 2006以后，多出了【microsoft firewall】、【microsoft isa server control】、【microsoft isa server job schedler】以及【microsoft isa server storage】服务。图3-6 isa的相关服务4. 构建vpn4.1简介虚拟专用网（vpn）

37、被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网4.2功能vpn可以提供的功能：防火墙功能、认证、加密、隧道化。vpn可以通过特殊加密的通讯协议连接到inter

38、net上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一，在交换机，防火墙设备或windows 2000等软件里也都支持vpn功能，一句话，vpn的核心就是在利用公共网络建立虚拟私有网。4.3常用的虚拟私人网络协议 ipsec : ipsec(缩写ip security)是保护ip协议安全通信的标准，它主要对ip协议分组进行加密和认证。ipsec作为一个协议族（即一系列相互关联的协议）由

39、以下部分组成：(1)保护分组流的协议；(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分：加密分组流的封装安全载荷（esp）及较少使用的认证头（ah），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，ike协议是唯一已经制定的密钥交换协议。 pptp: point to point tunneling protocol - 点到点隧道协议，在因特网上建立ip虚拟专用网（vpn）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。 l2f: layer 2 forwarding - 第二层转发协议 l2tp: layer 2 tunneling

40、 protocol -第二层隧道协议 gre:vpn的第三层隧道协议 openvpn:openvpn使用openssl库加密数据与控制信息：它使用了openssl的加密以及验证功能，意味着，它能够使用任何openssl支持的算法。它提供了可选的数据包hmac功能以提高连接的安全性。此外，openssl的硬件加速也能提高它的性能。针对不同的用户要求，vpn有三种解决方案：远程访问虚拟网（access vpn）、企业内部虚拟网（intranet vpn）和企业扩展虚拟网（extranet vpn）4.4用isa2006搭建vpn服务器vpn服务器在目前的网络中应用得越来越广泛，正在成为企业网络中不

41、可或缺的角色，如何才能创建出自己的vpn服务器？怎么才能管理好vpn服务器？下面我就给大家介绍vpn服务器的配置和管理，内容包括vpn服务器的单点拨入，站点到站点的vpn，vpn用户隔离，vpn结合radius验证，vpn接合智能卡和证书等。在这里就介绍一下如何利用isa2006来搭建一个自己的vpn服务器。vpn是虚拟专用网络的缩写，属于远程访问技术，简单地说就是利用网链路架设似有网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？vpn的解决方法是在内网中架设一台vpn服务器，vpn服务器有两块网卡，一块连接内网，一块连接

42、公网。外地员工在当地连上互联网后，通过互联网找到vpn服务器，然后利用vpn服务器作为跳板进入企业内网。为了保证数据安全，vpn服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，我们可以认为数据是在一条专用的数据链路上进行安全传输，就好像我们专门架设了一个专用网络一样。但实际上vpn使用的是互联网上的公用链路，因此只能称为虚拟专用网。这下您肯定明白了，vpn实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了vpn技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用vpn非常方便地访问内网资源，这就是为什么vpn在企业中应用得如此广泛。上述介绍的vpn应用属于vpn

43、用户的单点拨入，vpn还有一种常见的应用是在两个内网之间架设站点到站点的vpn。4.1.1 isa server集成的vpn特性 isa server是美国微软公司研发的一款网络安全类软件产品用于部署企业级防火墙、网络应用层防护和vpn远程访问等。isaserver集成了高性能的vpn服务器。支持pptp、l2tpipsec和ipsec隧道模式的vpn协议。通过新增的多网络支持和对vpn监控状态的检查，可以轻松的设置虚拟冬用网络。同时又可以防止校园网受到恶意vpn连接的威胁。isa server本身义是一款企业级防火墙软件。所有预配景vpn客户端网络定义的访问策略都适用于vpn用户，并且受到防

44、火墙全局策略的控制，网络安全级别较高。 isaserver支持两种模式的vpn： 1)远程访问的vpn连接。isa server作为vpn接人服务器，需在服务器端为vpn用户配置访问权限。网络用户在家中或者外地通过adsl、无线上网、小区宽带或其它方式与internet连通，采用vpn虚拟拨号与isa server服务器建立连接，验证成功后登录到远程内部网络。安全的传输数据。 2)端对端的vpn连接。即路由器与路由器通过internet建立vpn专用数据传输隧道，将专用网络的两个部分安全互连。必须为远程vpn用户所在的整个网络授予访问权限，两个远程网络内部的计算机u丁以通过vpn互访，就好像使

45、用本地局域网一样方便。 4.1.2 构建一个安全稳定的vpn服务器操作系统平台为了确保vpn运行的安全、稳定和高效，建议采用windowsserver2003企业版作为操作系统平台。配置高性能的多核心cpu处理器、大容量内存和双千兆网卡的服务器硬件。同时加强服务器自身的安全性，在线升级和安装全部补丁程序。修复各种漏洞。安装防病毒软件，防止感染计算机病毒、各种木马程序和有害插件等。关闭默认的硬盘共享属性、禁用不必要的网络服务端li。如关闭iis的80端口、ftp的21端口、远程桌面的3389端口等。为管理员用户administrator改名并设置复杂的密码，强制采用强密码策略，以减小词典攻击的可

46、能性。取消microsoft网络的文件和打印机共享，仅保留intemet协议(tcpip)等，从整体上降低网络入侵的风险。实验拓扑如图4-1，denver是内网的域控制器，dns服务器，ca服务器，beijing是isa2006服务器，istanbul模拟外网的客户机。图4-1 实验拓扑图isa2006调用了win2003中的路由和远程访问组件来实现vpn功能，但我们并不需要事先对isa服务器上的路由和远程访问进行配置，isa2006会自动实现对路由和远程访问的调用。我们先来看看isa2006如果要实现vpn功能需要进行哪些设置？4.4.3 定义vpn地址池配置vpn服务器的第一步就是为vpn

47、用户分配一个地址范围，这里有个误区，很多人认为既然要让vpn用户能访问内网资源，那就给vpn用户直接分配一个内网地址就行了。例如本次实验的内网地址范围是54，那vpn用户的地址池就放在0050。如果你的vpn服务器是用win2003的路由和远程实现的，那这么做是可以的，路由和远程访问本身就只提供了vpn的基本功能，对地址管理并不严格。但这么做在isa上是不可以的，因为isa是基于网络进行管理的！内网是一个网络，vpn用户是另一个网络，两个网络的地址范围是不能重叠的！虽然我们使用dhcp技术可以使vpn用户也获得内网地址，但绝不推荐

48、这么做！因为在后期的管理中我们会发现，把vpn用户放到一个单独的网络中，对管理员实现精确控制是非常有利的，管理员可以单独设定vpn用户所在网络与其他网络的网络关系，访问策略，如果把vpn用户和内网用户混在一起，就享受不到这种管理的便利了。因此直接给vpn用户分配内网地址并不可取，我们本次实验中为vpn用户设置的地址池是00，虽然这个地址范围和内网大不相同，但不用担心，isa会自动在两个网络之间进行路由。如图4-2所示，在isa服务器中定位到虚拟专用网络，点击右侧任务面板中的“定义地址分配”。图4-2 isa server界面分配地址可以使用静

49、态地址，也可以使用dhcp，在此我们使用静态地址池来为vpn用户分配地址，点击添加按钮，为vpn用户分配的地址范围是00，如图4-3所示。图4-3 vpn客户端地址池4.4.4 配置vpn服务器 设置好了vpn地址池后，我们来配置vpn服务器的客户端设置。如图4-4所示，点击虚拟专用网络右侧任务面板中的“配置vpn客户端访问”。在常规标签中，我们勾选“启用vpn客户端访问”，同时设置允许最大的vpn客户端数量为100.，注意vpn客户端的最大数量不能超过地址池中的地址数。图4-4 vpn最大连接数 切换到vpn客户端属性的“组”标签，配置允许

50、远程访问的域组，一般情况下，管理员会事先创建好一个允许远程访问的组，然后将vpn用户加入这个组，本次实验中我们就简单一些，直接允许domain users组进行远程访问。如图4-5图4-5 允许访问的用户组 接下来选择vpn使用的隧道协议，默认选择是pptp协议，我们把l2tp也选择上。设置完vpn客户端访问后，我们应重启isa服务器，让设置生效。 重启isa服务器之后，我们发现isa服务器的路由和远程访问已经自动启动了。4.4.5网络规则 想让vpn用户访问内网，一定要设置网络规则和防火墙策略，isa默认已经对网络规则进行了定义，从vpn客户端到内网是路由关系，这意味着vpn客户端和内网用户互相访问是有可能的。 4.4.6 防火墙策略 既然网络规则已经为vpn用户访问内网开了绿灯，那我们就可以在防火墙策略中创建一个访问规则允许vpn用户访问内网了。当然，如果需要的话，也可以在访问规则中允许内网访问vpn用户。在防火墙策略中选择新建“访问规则”。 为访问规则取个名字。如：允许vpn用户访问内网，当访问请求匹配规则时允许操作。此规则可以应用到所有的通讯协议。规则的访问源是vp