进阶管理实务信息技术

ISA2004

進階管理實務顧武雄 JoviKu講師介紹高傑信公司-技術顧問MicrosoftCTEC教育中心講師MicrosoftMVP&特約講師Windows&.NETMagazine–特約作者InformationSecurityMagazine-專欄作家網路資訊、Run!PC、NetAdmin電腦雜誌–專欄作家旗標、文魁以及碁鋒圖書作者個人著作:MicrosoftISAServer建置與管理SharePointPortalServer徹底研究MicrosoftAccessProjectwithSQLServerISASERVER2004系統安全整合實務SmallBusinessServer2003系統整合管理實務MicrosoftOperationsManager2005IT智慧整合管理實務

（已上市）議程VPN網路部署規劃整合異質VPN網路平台動態密碼整合應用SmartCard整合驗證應用ISA2004企業版應用介紹Q&AVPN網路部署規劃三種通道模式IPSec適用：可以與異質VPN裝置的通道整合安全性：高L2TPoverIPSec適用：ISAServer與WindowsServer間的VPN連線安全性：高PPTP適用：ISAServer與WindowsServer間的VPN連線安全性：中典型Site-to-SiteVPN這也是本次課程採用的模擬架構LAB環境TCP/IP配置網路名稱網域名稱閘道IP位址外卡IP位址內卡IP位址MAINOFFICECogate-SBS4454BRANCHOFFICEDemosite4454網路名稱網域名稱閘道IP位址IP位址MAINOFFICECogate-SBS540BRANCHOFFICEDemosite540ISAServer配置用戶端配置Internetrouter配置Internetrouter總公司VPN配置(1)首先第一個步驟請點選『虛擬私人網路』\『VPN用戶端』頁面\『工作』清單中的『啟用VPN用戶端存取』。總公司VPN配置(2)接下來請同樣點選在『工作』頁籤下的『選取存取網路』選項。執行後首先在『存取網路』的頁籤中，請確認目前提供給外部用戶端進行VPN連線的『外部』網路已勾選。

設定位址指派與身份驗證方法。測試VPN用戶戶端連連線請先設設定欲欲開放放VPN遠遠端連連線的的使用用者，，預設設值此此權限限為關關閉。。新增網網路連連線選選擇『『連線線到我我工作作地方方的網網路』』。。查看VPN工作作階段段用戶端端與伺伺服端端VPN連連線檢檢視新增分分公司司VPN網網路接下來來我們們必須須在總總公司司的ISASERVER主主控台台中，，來新新增一一個與與分公公司的的VPN網網路連連線通通道設設定。。請點點選『『設定定』\『網網路』』\『『工作作』頁頁面中中的『『建立立新網網路』』選項項。。新增分分公司司到總總公司司網路路規則則請經由由『設設定』』\『『網路路』\『網網路規規則』』的『『工作作』頁頁面中中，點點選『『建立立新的的網路路規則則』選選項。。新增分分公司司與總總公司司存取取規則則我們必必須先先在總總公司司的ISASERVER2004主機機上，，建立立好分分公司司與總總公司司內部部用戶戶端彼彼此間間的存存取原原則，，因為為在預預設的的防火火牆存存取則則中，，雙方方網路路的內內部用用戶端端是無無法透透過任任何的的通訊訊協定定來進進行溝溝通的的。可以分分成兩兩條規規則來來設定定或是是在單單一條條規則則中一一次將將分公公司與與總公公司網網路皆皆加入入即可可。完成分分公司司VPN啟啟用啟用VPN用戶戶端存存取設定VPN用戶戶端存存取進行一一般VPN設定定建立新新的總總公司司『網網路』』設定定建立『『總公公司到到分公公司內內部網網路』』網路路規則則（選選擇路路由模模式））建立雙雙向防防火牆牆原則則整合異異質VPN網路路平台台關於異異質VPN平台台對於不不同的的防火火牆設設備或或ISASERVER，彼彼此間間想相相互建建構出出VPN的的加密密通道道，唯唯一的的選擇擇也是是最高高安全全的通通訊協協定選選擇就就是IPSec（InternetProtocolSecurity））。將以CISCOPIX506的防防火牆牆設備備，來來實作作出與與ISASERVER2004的的IPSec加加密通通道的的VPN網網路。。新增Cisco網路路設定定關於IKE通訊訊協定定的運運作機機制與與封包包結構構說明明，可可參閱閱RFC2409以及及RFC2408的文文件說說明。。設定網網路規規則與與防火火牆原原則設定硬硬體防防火牆牆在此以以PIX506為為範例例，必必須預預先設設定好好：LANPort與與WANPort的TCP/IP組組態設定GatewayIP指指向測測試環環境中中的Internetrouter建議可可以透透過[Tools]選單單中的的Ping工具具選項項，來來測試試對於於路由由器以以及總總公司司ISASERVER外卡卡的連連線，，不過過前提提之下下必須須雙方方的防防火牆牆，都都已經經有開開放允允許PING的的ICMP協定定的相相關設設定。。設定PIX506VPN連線線選擇VPN類型型設定遠遠端VPN資訊訊設定加加密方方法設定本本地端端內部部網路路設定遠遠端內內部網網路設定遠遠端VPN資訊訊請將總總公司司ISASERVER外網網卡的的IP輸入入到[PeerIPAddress]欄位位中，，以及及選擇擇與輸輸入預預先共共用金金鑰（（Pre-sharedkey）。。設定加加密方方法必須設設定與與在總總公司司ISASERVER相同同的安安全性性參數數。。設定本本地端端內部部網路路接下來來在[IPSecTrafficSelector]的的頁面面中，，必須須點選選[Browse]按鈕鈕來選選取在在內部部網路路中，，受PIX506防火火牆所所保護護的IP區區段，，此區區段的的用戶戶端電電腦，，同時時也將將成為為提供供給總總公司司來連連線存存取的的網段段。設定遠端端內部網網路定在總公公司內部部網路中中，受ISASERVER保護的的IP區區段檢視IPSec連線統統計資訊訊監看VPN連線線狀態RSASecurID動態密碼碼整合應應用動態密碼碼的解決決方案解決密碼碼固定不不變的問問題簡化管理理者的工工作負擔擔解除使用用者需經經常變更更密碼的的困擾密碼每次次都不一一樣，不不易被猜猜中比傳統密密碼更安安全SecurID的動動態密碼碼認證Login: JoviPasscode:2468723656PINTOKENCODETokencode:Changesevery60secondsUnique64-bitseedInternalBatteryClocksynchronisedtoUCTPASSCODE=+PINTOKENCODERSASecureID典典型應應用企業虛擬擬私有網網路（VPN））終端機遠遠端登入入驗證（（TSWEB））網路控制制站（DC）安安全無線網路路（WLAN））安全商務網站站登入驗驗證建置RSA動態態密碼網網路環境境RSAACE/SERVER設定定RADIUS(IAS)組態態設定不可與RSAACE/SERVER主機機安裝在在同一部部ISA2004VPN設設定TSWEB的安安裝設定定ISA2004網網站驗證證設定VPN用用戶端設設定VPN用用戶端登登入&遠遠端桌面面登入新增AgentHost可匯入ActiveDirectory使使用者名名單配置使用用者TOKENRADIUS組組態設定定ISA2004VPN設設定TSWEB的安安裝設定定ISA2004網網站驗證證設定VPN用用戶端設設定注意！用用戶端需需在之前前安裝完完成RSAACE/AgentHost程式式VPN&TerminalService登登入驗證證另一種RSASecurID整合合TSWEB方法SmartCard身份安全整合合驗證SmartCard的的優勢應用在企業網網路中可做到到單一登入（（singlesign-on））驗證的管理理機制。儲存數位憑證證、公開金鑰鑰與私密金鑰鑰、密碼以及及其它類型的的個人資訊。。作為內部使用用者登入網域域或登入用戶戶端本機時的的身份識別卡卡，以及遠端端登入時的安安全驗證。可避免有心人人士透過近端端或遠端的字字典攻擊法。解決使用者需需不斷記憶新新密碼的問題題。智慧卡網路整整合環境必要要條件建議架構在ActiveDirectory環境中安裝憑證授權權單位伺服器器（CertificateService）如需結合遠端端登入存取，，必須加裝網網際網路驗證證服務（IAS）的元件件用戶端安裝讀讀卡機與相關關驅動程式憑證伺服器與與IAS的安安裝網際網路驗證證服務設定啟用使用者遠遠端存取權限限ISA2004-VPN連線設定啟用/申請憑憑證範本申請智慧卡登登入憑證強制使用者需需使用智慧卡卡登入用戶端VPN連線設定與與登入智慧卡整合終終端機服務智慧卡整合RSAToken應用用智慧卡本機安安全性原則互動式登入－－智慧卡移除除操作互動式登入－－給使用者的的訊息本文互動式登入－－給使用者的的訊息標題互動式登入－－須有智慧卡卡ISA2004企業版版應用介紹特色介紹一集中式的管理理管理者可以從從企業中任一一的ISAServer管理介面面，來集中管管理佈署在企企業中任何位位置的ISAServer陣列以以及旗下成員員伺服器的設設定。特色介紹二分散式快取在擁有多部企企業版的ISAServer快取取伺服器的網網路環境中，，可以讓陣列列中的每一部部ISAServer主機透過快快取陣列路由由通訊協定（（CARP，，CacheArrayRoutingProtocol），，來分享彼此此的快取內容容，以達到更更快速提供快快取資訊回應應給用戶端的的目的。特色介紹三網路