为远程客户端和网络配置虚拟专用网络访问_第1页
为远程客户端和网络配置虚拟专用网络访问_第2页
为远程客户端和网络配置虚拟专用网络访问_第3页
为远程客户端和网络配置虚拟专用网络访问_第4页
为远程客户端和网络配置虚拟专用网络访问_第5页
已阅读5页,还剩39页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

21

为远程客户端和网络配置虚拟专用网络访问熊建辉高级工程师、硕士网络安全的实现和管理

--以WindowsServer2003和ISAServer2004为例第1章 规划和配置授权和身份验证策略第2章 安装、配置和管理证书颁发机构第3章 配置、部署和管理证书第4章 规划、实现和故障诊断智能卡证书第5章 加密文件系统的规划、实现和故障排除第6章 规划、配置和部署安全的成员服务器基线第7章 为服务器角色规划、配置和部署安全基线第8章 规划、配置、实现和部署安全客户端计算机基线第9章 规划和实现软件更新服务第10章数据传输安全性的规划、部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全第14章MICROSOFTISASERVER概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004网络安全的实现和管理

--以WindowsServer2003和ISAServer2004为例第21章:为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2004配置隔离控制虚拟专用网络概述虚拟专用网络VPN协议选项VPN身份验证协议选项VPN隔离控制使用路由和远程访问的虚拟专用网络使用ISAServer2004的虚拟专用网络将ISAServer用于虚拟专用网络的益处21.1虚拟专用网络概述虚拟专用网络ISA

Server分支机构21.1.1虚拟专用网络VPN协议选项因素PPTP优点和缺点L2TP/IPSec优点和缺点客户端操作系统支持Windows2000,

WindowsXP、WindowsServer2003、WindowsNTWorkstation4.0、WindowsME、Windows98Windows2000、

WindowsXP、WindowsServer2003证书支持需要证书架构支持,仅仅支持EAP-TLS验证需要证书架构或预共享密钥安全性提供数据加密不提供数据完整性为每个数据包提供数据完整性、数据源身份验证、数据机密性和重放保护NAT支持大多数网络地址转换器(NAT,NetworkAddressTranslator)都支持该协议所有的客户端和服务器都都必须支持IPSecNAT-T21.1.2VPN协议选项VPN身份验证协议选项验证协议解释PAP使用明文密码,是安全性最低的身份验证协议SPAP使用的是Shiva可逆加密机制CHAP是质询响应身份验证协议使用CHAP协议时,数据不能被加密MS-CHAP它不需要使用可逆加密来存储密码但只有在运行需要MS-CHAP的早期Microsoft操作系统时才使用MS-CHAPMS-CHAPv2使用双向身份验证对于发送和接收的数据,它分别使用不同的会话密钥来进行加密会话密钥的生成不是完全基于用户的密码EAP-TLS是最安全的远程身份验证协议在客户端和服务器都使用证书来提供双向身份验证、数据完整性和数据机密性21.1.3VPN身份验证协议选项VPN隔离控制VPN隔离控制:允许VPN客户端计算机访问组织的网络之前屏蔽它们VPN隔离客户端脚本。此脚本在客户端上运行并检查远程访问客户端的安全配置,然后将结果报告给VPN服务器客户端通过安全配置检查,该客户端就被授权访问组织的网络21.1.4VPN隔离控制使用路由和远程访问的虚拟专用网络

RRAS支持:远程访问策略是一组有序的规则,它们定义了如何授权或拒绝远程访问连接“连接管理器”程序组是一组可选组件,用于创建受管理的远程访问解决方案RRAS支持使用远程身份验证拨入用户服务(RADIUS)服务器进行身份验证和远程访问策略配置RRAS支持在连接到Internet的接口上使用PPTP或L2TP/IPSec输入和输出筛选器RRAS支持使用隔离控制来限制客户端对网络的访问21.1.5使用路由和远程访问的虚拟专用网络使用ISAServer2004的虚拟专用网络

ISAServer启用VPN访问:可以使用网络规则和访问规则定义在什么条件下可以将网络数据包从一个网络传递到另一个网络ISAServer使用以下网络进行VPN连接:VPN客户端网络被隔离的VPN客户端网络远程站点网络ISAServer将计算机分配给网络,然后使用网络规则、网络访问规则和发布规则来限制网络通信在网络之间的移动扩展了RRAS功能21.1.6使用ISAServer2004的虚拟专用网络将ISAServer用于虚拟专用网络的益处

益处解释连接控制和安全性使用防火墙访问策略控制从VPN客户端通过ISAServer2004所发送的信息

性能ISAServer2004强化了在配置为强制执行复杂的企业级安全性要求的情况使用Windows2000隔离VPN连接的能力添加ISAServer2004可使Windows2000VPN服务器能够强制执行VPN隔离策略日志记录和监视VPN日志记录不仅能包括所有VPN远程访问和站点到站点的连接,还能包括相关的应用程序通信IPSec隧道模式站点到站点链路的状态检查通过站点到站点链路移动的连接设置特定于用户/组、站点、计算机、协议和应用程序层的较强的访问控制VPN服务器资源的增强保护ISAServer通过将防火墙策略应用到所有接口来扩展安全保护的级别21.1.7将ISAServer用于虚拟专用网络的益处第21章:为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2004配置隔离控制为远程客户端配置虚拟专用网络

VPN客户端访问控制选项启用和配置VPN客户端访问的方式默认VPN客户端访问配置配置VPN地址分配的方式配置VPN身份验证的方法使用RADIUS配置身份验证的方法为VPN访问配置用户账户的方法为客户端计算机配置VPN连接的方法21.2为远程客户端配置虚拟专用网络VPN客户端访问控制选项点选VPN节点来访问VPN客户端访问控制选项21.2.1VPN客户端访问控制选项启用和配置VPN客户端访问的方式

启用并配置用户映射时,为Windows用户和组指定用户设置的防火墙策略访问规则也适用于不使用Windows身份验证的已认证用21.2.2启用和配置VPN客户端访问的方式默认VPN客户端访问配置组件缺省设置系统策略规则策略规则允许从远程网络到运行ISAServer的计算机(本机主机网络)使用PPTP、L2TP或两者都使用VPN访问网络ISAServer仅侦听外部网络上的VPN客户端连接VPN协议仅为VPN客户端访问启用PPTP网络规则一条指定VPN客户端网络和外部网络之间的NAT关系一条指定VPN客户端网络和内部网络之间的路由关系防火墙访问规则没有防火墙访问规则启用远程访问策略启用MS-CHAPv2身份验证并要求对所有VPN连接的进行身份验证21.2.3默认VPN客户端访问配置配置VPN地址分配的方式配置静态分配地址或DHCP配置DNS和WINS服务器使用DHCP或手工分配地址21.2.4配置VPN地址分配的方式配置VPN身份验证的方法接受缺省的安全验证配置EAP作为附加安全方法考虑到客户端兼容情况下,可以使用低安全选项21.2.5配置VPN身份验证的方法使用RADIUS配置身份验证的方法

启用RADIUS验证和配置

RADIUS服务器21.2.6使用RADIUS配置身份验证的方法为VPN访问配置用户账户的方法

配置拨入和VPN

访问权限21.2.7为VPN访问配置用户账户的方法为客户端计算机配置VPN连接的方法

21.2.8为客户端计算机配置VPN连接的方法实验21-1:为远程客户端配置VPN访问

在ISAServer上配置VPN客户端访问配置并测试VPN客户端连接InternetDen-ISA-01Den-DC-01Den-Clt-0121.2.9实验21-1:为远程客户端配置VPN访问第21章:为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2004配置隔离控制为远程站点配置虚拟专用网络

站点到站点的VPN访问配置组件关于选择VPN隧道协议配置远程站点网络的方法站点到站点VPN的网络和访问规则配置远程站点VPN网关服务器的方法配置使用IPSec隧道模式的站点到站点VPN21.3为远程站点配置虚拟专用网络站点到站点的VPN访问配置组件

组件缺省配置确定要使用的隧道协议需要根据组织的安全要求和将在每个站点部署的VPN网关服务器来选择适当的协议配置远程站点网络创建远程站点网络,远程站点中的所有客户端计算机都位于此网络中配置VPN客户端访问必须启用VPN客户端访问来启用站点到站点的访问配置网络规则和防火墙访问规则使用访问规则或发布规则让远程办事处用户可访问内部资源配置远程站点VPN网关配置远程站点办公室的VPN服务器来连接ISAServer和接受从ISAServer的连接21.3.1站点到站点的VPN访问配置组件关于选择VPN隧道协议协议场景注释IPSec隧道模式连接到非微软VPN网关连接到非MicrosoftVPN服务器时可以使用的惟一选项。需要证书或预共享密钥L2TPoverIPSec连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器。需要用户名和密码以及证书或预共享密钥进行身份验证PPTP连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器安全级别比L2TPoverIPSec低21.3.2关于选择VPN隧道协议配置远程站点网络的方法

配置选项解释VPN协议选择用来连接到该远程站点的隧道协议远程VPN服务器输入远程站点的VPN网关服务器的服务器名称或IP地址远程身份验证输入用户名和密码。此用户账户将用于在目标VPN网关服务器上发起连接L2TP/IPSec身份验证如果决定使用L2TP/IPSec作为隧道协议,你会得到配置预共享密钥的选项,创建隧道时预共享密钥将被用于对计算机进行身份验证网络地址需要配置远程站点网络中所有计算机的IP地址范围21.3.3配置远程站点网络的方法站点到站点VPN的网络和访问规则

启用站点到站点VPN的网络和访问规则:

启用了两个系统策略:“允许到ISA服务器的VPN站点到站点的通讯”“允许来自ISA服务器的VPN站点到站点通讯”针对远程站点网络创建网络规则配置访问规则来控制远程站点和连接到ISAServer计算机的其他网络之间的通信网络之间的开放通信。一种选项是配置分支办事处以拥有对内部网络的完全访问权网络之间的受控通信。在此情况下,你不希望让分支办事处的用户具有对内部网络的完全访问权21.3.4站点到站点VPN的网络和访问规则配置远程站点VPN网关服务器的方法

配置远程站点VPN网关服务器:

配置VPN网关使用相同的隧道协议配置到总部站点VPN网关的连接配置网络路由21.3.5配置远程站点VPN网关服务器的方法配置使用IPSec隧道模式的站点到站点VPN

配置使用IPSec隧道模式的站点到站点VPN:配置远程VPN网关的IP地址时,还必须配置一个本地VPN网关的IP地址创建VPN隧道时IPSec将使用的设置以及可用来最大化VPN安全性的设置将VPN网关配置为使用证书或预共享密钥进行身份验证21.3.6配置使用IPSec隧道模式的站点到站点VPN实验21-2:为远程站点配置VPN

配置总部的运行ISAServer的计算机启用站点到站点的VPN连接InternetDen-ISA-01Den-DC-0121.2.9实验21-2:为远程客户端配置VPN访问第21章:为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2004配置隔离控制使用ISAServer2004配置隔离控制

网络隔离控制的工作方式关于在ISAServer上启用隔离控制准备客户端脚本的方法使用连接管理器配置VPN客户端的方法准备侦听器组件的方法启用隔离控制的方法配置Internet身份验证服务以实现隔离控制配置隔离访问规则的方法21.4使用ISAServer2004配置隔离控制网络隔离控制的工作方式ISA

ServerDNS

ServerWeb

Server域控制器文件服务器QuarantinescriptVPN隔离客户网络VPN客户端网络RQC.exe隔离远程访问策略ISA

ServerDNS

ServerWeb

Server域控制器文件服务器隔离脚本VPN隔离客户网络VPN客户端网路RQC.exe隔离远程访问策略21.4.1网络隔离控制的工作方式关于在ISAServer上启用隔离控制

在ISAServer上启用隔离控制:在ISAServer上启用隔离控制创建并安装侦听器组件为被隔离的VPN客户端网络配置网络规则和访问规则使用CMAK来创建CM配置文件,该配置文件包含一个通知组件和客户端脚本创建验证客户端配置信息的客户端脚本1435221.4.2关于在ISAServer上启用隔离控制运行Rqc.exe命令:准备客户端脚本的方法客户端脚本:可以是可执行文件(*.exe)、脚本文件(*.vbs)或简单的命令文件(*.cmd

或*.bat)在脚本中执行一组测试以确保远程访问客户端符合网络策略如果脚本中指定的所有测试成功,脚本就必须使用以下参数运行Rqc.exerqcConnName

TunnelConnName

TCPPort

Domain

UserName

ScriptVersion21.4.3准备客户端脚本的方法使用连接管理器配置VPN客户端的方法

配置VPN客户端使用连接管理器:

配置连接管理器配置文件包含一个运行网络策略要求脚本的后连接操作一个网络策略要求脚本一个通知组件所有远程访问客户端计算机上分发并安装它

21.4.4使用连接管理器配置VPN客户端的方法ConfigureRQSforISA.vbs:准备侦听器组件的方法将RQS作为服务安装创建一条ISAServer访问规则允许RQS端口(7250)上从VPN客户端和被隔离的VPN客户端网络发送到本地主机网络的通信在运行ISAServer的计算机上修改注册表项启动RQS服务命令行运行ConfigureRQSforISA.vbsCscriptConfigureRQSForISA.vbs/installSharedKey1\0SharedKey2pathtoRQS.exe21.4.5准备侦听器组件的方法启用隔离控制的方法定义超时值添加不需要隔离的用户或组定义隔离策略的源21.4.6启用

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论