论为远程客户端与网络配置虚拟专用网络访问

第

21

章

为远程客户端和网络配置虚拟专用网络访问熊建辉高级工程师、硕士网络安全的实现和管理

--以WindowsServer2003和ISAServer2004为例第1章 规划和配置授权和身份验证策略第2章 安装、配置和管理证书颁发机构第3章 配置、部署和管理证书第4章 规划、实现和故障诊断智能卡证书第5章 加密文件系统的规划、实现和故障排除第6章 规划、配置和部署安全的成员服务器基线第7章 为服务器角色规划、配置和部署安全基线第8章 规划、配置、实现和部署安全客户端计算机基线第9章 规划和实现软件更新服务第10章数据传输安全性的规划、部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全第14章MICROSOFTISASERVER概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004网络安全的实现和管理

--以WindowsServer2003和ISAServer2004为例第21章：为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2004配置隔离控制虚拟专用网络概述虚拟专用网络VPN协议选项VPN身份验证协议选项VPN隔离控制使用路由和远程访问的虚拟专用网络使用ISAServer2004的虚拟专用网络将ISAServer用于虚拟专用网络的益处21.1虚拟专用网络概述虚拟专用网络ISA

Server分支机构21.1.1虚拟专用网络VPN协议选项因素PPTP优点和缺点L2TP/IPSec优点和缺点客户端操作系统支持Windows2000,

WindowsXP、WindowsServer2003、WindowsNTWorkstation4.0、WindowsME、Windows98Windows2000、

WindowsXP、WindowsServer2003证书支持需要证书架构支持，仅仅支持EAP-TLS验证需要证书架构或预共享密钥安全性提供数据加密不提供数据完整性为每个数据包提供数据完整性、数据源身份验证、数据机密性和重放保护NAT支持大多数网络地址转换器（NAT,NetworkAddressTranslator）都支持该协议所有的客户端和服务器都都必须支持IPSecNAT-T21.1.2VPN协议选项VPN身份验证协议选项验证协议解释PAP使用明文密码，是安全性最低的身份验证协议SPAP使用的是Shiva可逆加密机制CHAP是质询响应身份验证协议使用CHAP协议时，数据不能被加密MS-CHAP它不需要使用可逆加密来存储密码但只有在运行需要MS-CHAP的早期Microsoft操作系统时才使用MS-CHAPMS-CHAPv2使用双向身份验证对于发送和接收的数据，它分别使用不同的会话密钥来进行加密会话密钥的生成不是完全基于用户的密码EAP-TLS是最安全的远程身份验证协议在客户端和服务器都使用证书来提供双向身份验证、数据完整性和数据机密性21.1.3VPN身份验证协议选项VPN隔离控制VPN隔离控制:允许VPN客户端计算机访问组织的网络之前屏蔽它们VPN隔离客户端脚本。此脚本在客户端上运行并检查远程访问客户端的安全配置，然后将结果报告给VPN服务器客户端通过安全配置检查，该客户端就被授权访问组织的网络21.1.4VPN隔离控制使用路由和远程访问的虚拟专用网络

RRAS支持：远程访问策略是一组有序的规则，它们定义了如何授权或拒绝远程访问连接“连接管理器”程序组是一组可选组件，用于创建受管理的远程访问解决方案RRAS支持使用远程身份验证拨入用户服务（RADIUS）服务器进行身份验证和远程访问策略配置RRAS支持在连接到Internet的接口上使用PPTP或L2TP/IPSec输入和输出筛选器RRAS支持使用隔离控制来限制客户端对网络的访问使用路由和远程访问的虚拟专用网络使用ISAServer2004的虚拟专用用网络ISAServer启用VPN访问：可以使用网网络规则和和访问规则则定义在什什么条件下下可以将网网络数据包包从一个网网络传递到到另一个网网络ISAServer使用用以下网络络进行VPN连连接：VPN客户端网络络被隔离的VPN客户端网络络远程站点网网络ISAServer将计算机分分配给网络络，然后使使用网络规规则、网络络访问规则则和发布规规则来限制制网络通信信在网络之之间的移动动扩展了RRAS功能使用ISAServer2004的虚拟专用用网络将ISAServer用于虚拟专专用网络的的益处益处解释连接控制和安全性使用防火墙访问策略控制从VPN客户端通过ISAServer2004所发送的信息

性能ISAServer2004强化了在配置为强制执行复杂的企业级安全性要求的情况使用Windows2000隔离VPN连接的能力添加ISAServer2004可使Windows2000VPN服务器能够强制执行VPN隔离策略日志记录和监视VPN日志记录不仅能包括所有VPN远程访问和站点到站点的连接，还能包括相关的应用程序通信IPSec隧道模式站点到站点链路的状态检查通过站点到站点链路移动的连接设置特定于用户/组、站点、计算机、协议和应用程序层的较强的访问控制VPN服务器资源的增强保护ISAServer通过将防火墙策略应用到所有接口来扩展安全保护的级别将ISAServer用于虚拟专专用网络的的益处第21章：为远程程客户端和和网络配置置虚拟专用用网络访问问虚拟专用网网络概述为远程客户户端配置虚虚拟专用网网络为远程站点点配置虚拟拟专用网络络使用ISAServer2004配置置隔隔离离控控制制为远远程程客客户户端端配配置置虚虚拟拟专专用用网网络络VPN客户户端端访访问问控控制制选选项项启用用和和配配置置VPN客户户端端访访问问的的方方式式默认认VPN客户户端端访访问问配配置置配置置VPN地址址分分配配的的方方式式配置置VPN身份份验验证证的的方方法法使用用RADIUS配置置身身份份验验证证的的方方法法为VPN访问问配配置置用用户户账账户户的的方方法法为客客户户端端计计算算机机配配置置VPN连接接的的方方法法21.2为远远程程客客户户端端配配置置虚虚拟拟专专用用网网络络VPN客户端访问控控制选项点选VPN节点来访问VPN客户端访问控控制选项VPN客户户端访问控制制选项启用和和配置置VPN客户端端访问问的方方式启用并并配置置用户户映射射时，，为Windows用户和和组指指定用用户设设置的的防火火墙策策略访访问规规则也也适用用于不不使用用Windows身份验验证的的已认认证用用启用和和配置置VPN客户端端访问问的方方式默认VPN客户端端访问问配置置组件缺省设置系统策略规则策略规则允许从远程网络到运行ISAServer的计算机（本机主机网络）使用PPTP、L2TP或两者都使用VPN访问网络ISAServer仅侦听外部网络上的VPN客户端连接VPN协议仅为VPN客户端访问启用PPTP网络规则一条指定VPN客户端网络和外部网络之间的NAT关系一条指定VPN客户端网络和内部网络之间的路由关系防火墙访问规则没有防火墙访问规则启用远程访问策略启用MS-CHAPv2身份验证并要求对所有VPN连接的进行身份验证默认VPN客客户户端访访问配配置配置VPN地址分分配的的方式式配置静静态分分配地地址或或DHCP配置DNS和WINS服务器器使用DHCP或手工工分配配地址址配置VPN地址分分配的的方式式配置VPN身份验验证的的方法法接受缺缺省的的安全全验证证配置EAP作为附加安安全方方法考虑到客户户端兼容情况下，，可以使用低低安全选项项配置VPN身份验证的的方法使用RADIUS配置身份验验证的方法法启用RADIUS验证和配置置RADIUS服务器使用RADIUS配置身份验验证的方法法为VPN访问配置用用户账户的的方法配置拨入和和VPN访问权限为VPN访问配置用用户账户的的方法为客户端计计算机配置置VPN连接的方法法为客户端计计算机配置置VPN连接的方法法实验21-1：为远程客客户端配置置VPN访问在ISAServer上配置VPN客户端访问问配置并测试试VPN客户端连接接InternetDen-ISA-01Den-DC-01Den-Clt-01实验21-1：为远远程客户端端配置VPN访访问第21章：为远程程客户端和和网络配置置虚拟专用用网络访问问虚拟专用网网络概述为远程客户户端配置虚虚拟专用网网络为远程站点点配置虚拟拟专用网络络使用ISAServer2004配置隔离控控制为远程站点点配置虚拟拟专用网络络站点到站点点的VPN访问配置组组件关于选择VPN隧道协议配置远程站站点网络的的方法站点到站点点VPN的网络和访访问规则配置远程站站点VPN网关服务器器的方法配置使用IPSec隧道模式的的站点到站站点VPN21.3为远程站点点配置虚拟拟专用网络络站点到站点点的VPN访问配置组组件组件缺省配置确定要使用的隧道协议需要根据组织的安全要求和将在每个站点部署的VPN网关服务器来选择适当的协议配置远程站点网络创建远程站点网络，远程站点中的所有客户端计算机都位于此网络中配置VPN客户端访问必须启用VPN客户端访问来启用站点到站点的访问配置网络规则和防火墙访问规则使用访问规则或发布规则让远程办事处用户可访问内部资源配置远程站点VPN网关配置远程站点办公室的VPN服务器来连接ISAServer和接受从ISAServer的连接站点到站点点的VPN访问配置组组件关于选择VPN隧道协议协议场景注释IPSec隧道模式连接到非微软VPN网关连接到非MicrosoftVPN服务器时可以使用的惟一选项。需要证书或预共享密钥L2TPoverIPSec连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器。需要用户名和密码以及证书或预共享密钥进行身份验证PPTP连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器安全级别比L2TPoverIPSec低关于选择VPN隧道协议配置远程站站点网络的的方法配置选项解释VPN协议选择用来连接到该远程站点的隧道协议远程VPN服务器输入远程站点的VPN网关服务器的服务器名称或IP地址远程身份验证输入用户名和密码。此用户账户将用于在目标VPN网关服务器上发起连接L2TP/IPSec身份验证如果决定使用L2TP/IPSec作为隧道协议，你会得到配置预共享密钥的选项，创建隧道时预共享密钥将被用于对计算机进行身份验证网络地址需要配置远程站点网络中所有计算机的IP地址范围配置远程站站点网络的的方法站点到站点点VPN的网络和访访问规则启用站点到到站点VPN的网络和访访问规则：：启用了两个个系统策略略：“允许到ISA服务器的VPN站点到站点点的通讯””“允许来自自ISA服务器的VPN站点到站点点通讯”针对远程站站点网络创创建网络规规则配置访问规规则来控制制远程站点点和连接到到ISAServer计算机的其其他网络之之间的通信信网络之间的的开放通信信。一种选选项是配置置分支办事事处以拥有有对内部网网络的完全全访问权网络之间的的受控通信信。在此情情况下，你你不希望让让分支办事事处的用户户具有对内内部网络的的完全访问问权站点到站点点VPN的网络络和访问规规则配置远程站站点VPN网关服务器器的方法配置远程站站点VPN网关服务器器：配置VPN网关使用相相同的隧道道协议配置到总部部站点VPN网关的连接接配置网络路路由配置远程站站点VPN网关服务器器的方法配置使用IPSec隧道模式的的站点到站站点VPN配置使用IPSec隧道模式的的站点到站站点VPN：配置远程VPN网关的IP地址时，还还必须配置置一个本地地VPN网关的IP地址创建VPN隧道时IPSec将使用的设设置以及可可用来最大大化VPN安全性的设设置将VPN网关配置为为使用证书书或预共享享密钥进行行身份验证证配置使用IPSec隧道模式的的站点到站站点VPN实验21-2：为远程站站点配置VPN配置总部的的运行ISAServer的计算机启启用站点到到站点的VPN连接InternetDen-ISA-01Den-DC-01实验21-2：为远程客客户端配置置VPN访问第21章：为远程程客户端和和网络配置置虚拟专用用网络访问问虚拟专用网网络概述为远程客户户端配置虚虚拟专用网网络为远程站点点配置虚拟拟专用网络络使用ISAServer2004配置隔离控控制使用ISAServer2004配置隔离控控制网络隔离控控制的工作作方式关于在ISAServer上启用隔离离控制准备客户端端脚本的方方法使用连接管管理器配置置VPN客户端的方方法准备侦听器器组件的方方法启用隔离控控制的方法法配置Internet身份验证证服务以以实现隔隔离控制制配置隔离离访问规规则的方方法21.4使用ISAServer2004配配置隔隔离控制制网络隔离离控制的的工作方方式ISAServerDNSServerWebServer域控制器器文件服务器QuarantinescriptVPN隔离客户网络络VPN客户端网网络RQC.exe隔离远程程访问策策略ISA

ServerDNS

ServerWeb

Server域控制器文件服务器隔离脚本VPN隔离客户网络VPN客户端网路RQC.exe隔离远程访问策略网络隔离离控制的的工作方方式关于在ISAServer上启用隔隔离控制制在ISAServer上启用隔隔离控制制：在ISAServer上启用隔离控制创建并安装侦听器组件为被隔离的VPN客户端网络配置网络规则和访问规则使用CMAK来创建CM配置文件，该配置文件包含一个通知组件和客户端脚本创建验证客户端配置信息的客户端脚本14352关于在ISAServer上启用隔隔离控制制运行Rqc.exe命令：准备客户户端脚本本的方法法客户端脚脚本：可以是可可执行文文件（*.exe）、脚本本文件（（*.vbs）或简单单的命令令文件（（*.cmd或*.bat）在脚本中中执行一一组测试试以确保保远程访访问客户户端符合合网络策策略如果脚本中指指定的所有测测试成功，脚脚本就必须使使用以下参数数运行Rqc.exerqcConnNameTunnelConnNameTCPPortDomainUserNameScriptVersion准备客户端端脚本的方方法使用连接管管理器配置置VPN客户端的方方法配置VPN客户端使用用连接管理理器：配置置连连接接管管理理器器配配置置文文件件包包含含一个个运运行行网网络络策策略略要要求求脚脚本本的的后后连连接接操操作作一个个网网络络策策略略要要求求脚脚本本一个个通通知知组组件件所有有远远程程访访问问客客户户端端计计算算机机上上分分发发并并安安装装它它使用用连连接接管管理理器器配配置置VPN客户户端端的的方方法法ConfigureRQSforISA.vbs:准备备侦侦听听器器组组件件的的方方法法将RQS作为为服服务务安安装装创建一条条ISAServer访问规则则允许RQS端口（7250）上从VPN客户端和和被隔离离的VPN客户端网网络发送送到本地地主机网网络的通通信在运行ISAServer的计算机机上修改改注册表表项启动RQS服务命令行运运行ConfigureRQSforISA.vbsCscriptConfigureRQSForISA.vbs/installSharedKey1\0SharedKey2pathtoRQS.exe准备侦听听器组件件的方法法启用隔离离控制的的方法定义超时时值添加不需需要隔离离的用户或组组定义隔离离策略的源启用隔离离控制的的方法配置Internet身份验证证服务以以实现隔隔离控制制RADIUS服务器上上安装侦侦听器组组件、配配置一条条配置隔隔离设置置的远程程访问策策略：MS-Quarantine-IPFilter设置MS-Quarantine-Session-Timeout配置Internet身份验证证服务以以实现隔隔离控制制:配置Internet身份验证证服务以以实现隔隔离控制制配置隔隔离访访问规规则的的方法法为VPN配置隔隔离访访问规规则每台服服务器器创建建一个个计算算机规规则元元素，，或者者，可可以创创建一一个包包含被被隔离离的客客户端端需要要访问问的所所有计计算机机的计计算机机集配置访问规规则：允许被隔离离的VPN客户户端使用HTTP（HypertextTransferProtocol，超文本本传输协议议）来访问问内部Web服服务器允许被隔离离的VPN客户户端使用NetBIOSoverTCP/IP（（使用目标标TCP端口139）），以允许许访问内部部网络上的的文件共享享使用目标TCP端端口7250进进行Rqc.exe通通知通信配置隔离访访问规则的的方法实验21-3：配置ISAServer以支持VPN隔离复查隔离客客户端脚本本使用ConfigureRQSForISA.vbs安装和配置置网络隔离离服务确认ISAServer的配置启用隔离控控制创建连接管管理器配置置文件InternetDen-ISA-01Den-DC-01Den-Clt-01实验21-3：配置ISAServer以支持VPN隔离回顾学习完本章章后，将能能够：了解VPN的工作方式式和配置VPN所需需要要的的组组件件配置置ISAServer为远远程程客客户户端端启启用用VPN配置置ISAServer为远远程程站站点点启启用用VPN配置置ISAServer启用用VPN隔离离服服务务9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Saturday,December31,202210、雨中黄叶叶树，灯下下白头人。。。14:53:4514:53:4514:5312/31/20222:53:45PM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2214:53:4514:53Dec-2231-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。14:53:4514:53:4514:53Saturday,December31,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2214:53:4514:53:45December31,202214、他乡乡生白白发，，旧国国见青青山。。。31十十二二月20222:53:45下下午14:53:4512月月-2215、比不了得就就不比，得不不到的就不要要。。。十二月222:53下下午12月-2214:53December31,202216、行动出成果果，工作出财财富。。2022/12/3114:53:4514:53:4531December202217、做前，能够够环视四周；；做时，你只只能或者最好好沿着以脚为为起点的射线线向前。。2:53:45下午2:53下下午14:53:4512月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Saturday,December31,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。14:53:4514:53:4514:5312/31/20222:53:45PM11、成功就是日日复一日那一一点点小小努努力的积累。。。12月-2214:53:4514:53Dec-2231-Dec-2212、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。14:53:4514:53:4514:53Saturday,December31,202213、不知香香积寺，，数里入入云峰。。。12月-2212月-2214:53:4514:53:45December31,202214、意志坚强的的人能把世界界放在手中像像泥块一样任任意揉捏。31十二月月20222:53:45下午14:53:4512月-2215、楚塞