补充资料-Exchange企业邮件与Windows安全应用-第十章-ISA2006搭建VPN服务-V1.0

Windows企业网络高级应用Windows企业网络高级应用1010Windows企业网络高级应用10Windows企业网络高级应用PAGE2PAGE3外网的vpn客户端在拨号成功之后，要ping通内部的客户机，需要在内部的客户机上配置网关。ISA2006搭建VPN服务

VPN（VirtualPrivateNetwork）是虚拟专用网络的缩写，属于远程访问技术，简单地说就是利用公网链路架设私有网络。假设BENET公司的研发部门员工需要为全国的中心提供技术支持，所以需要经常出差，那么当他想访问企业内网的服务器资源时，最方便快捷，也是很安全的远程访问方式就是VPN。那么如何让外地员工利用VPN访问到内网资源呢？解决方法就是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上Internet后，通过Internet找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。为了保证数据的安全性，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，我们可以认为数据是在一条专用的数据链路上进行传输，就好像我们专门架设了一个专用网络一样。实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源，这就是为什么VPN在企业中应用得如此广泛的原因。VPN常见的实施方式有两种，一种属于VPN用户的单点拨入。用户无论在哪里，只要通过Internet就可以拨入到公司的VPN服务器，并进入内网获取资源。另外一种称为站点到站点间的VPN，主要适用于两个内网之间架设。这里将主要介绍如何利用ISAServer2006实现用户单点拨入VPN，关于站点到站点间的VPN，有兴趣的用户可以参考微软的相关资料。拓扑如图10.1，Benet是内网的域控制器、DNS服务器并保存着一些重要的文件，aptech是ISA2006服务器，Client模拟外网的客户机。图10.1公司的VPN服务器结构图ISA2006需要调用Win2003中的路由和远程访问组件来实现VPN功能，用户不需要事先对ISA服务器上的路由和远程访问进行配置，在使用ISA2006创建VPN服务时会自动实现对路由和远程访问的调用。整体的实施步骤如下：1.定义VPN地址池：配置VPN服务器的第一步就是为VPN用户分配一个地址范围，本次实验中为VPN用户设置的地址池是－00，虽然这个地址范围和内网大不相同，但不用担心，ISA会自动在两个网络之间进行路由。请注意一般管理员认为既然要让VPN用户能访问内网资源，那就直接给VPN用户直接分配一个内网地址。例如本次实验的内网地址范围是－54，那VPN用户的地址池就放在00－50。如果用户的VPN服务器是用Win2003的路由和远程实现的，那这么做是没有问题的。因为路由和远程访问本身就只提供了VPN的基本功能，对地址管理并不严格。但在ISA上这种方法是不可行的，因为ISA是基于网络进行管理的。内网是一个网络，VPN用户是另一个网络，两个网络的地址范围是不能重叠的。虽然使用DHCP技术可以使VPN用户也获得内网地址，但绝不推荐这么做，因为在后期的管理中会发现，把VPN用户放到一个单独的网络中，对管理员实现精确控制是非常有利的，管理员可以单独设定VPN用户所在网络与其他网络的网络关系，访问策略，如果把VPN用户和内网用户混在一起，就享受不到这种管理的便利了。1）如图10.1所示，在ISA服务器中定位到虚拟专用网络，点击右侧任务面板中的“定义地址分配”。10.1分配VPN地址的范围2）如果公司存在DHCP服务器，可以由DHCP来指定地址范围。这里使用静态的方式分配就可以了。左键单击“定义地址分配”，然后单击“添加”，为所有VPN用户指定地址范围为-00，如图10.2所示：图10.2定义具体的VPN客户端的地址范围2.配置VPN服务器：1）在定义地址池之后，需要对VPN客户端做一些相关的设置。单击虚拟专用网络右侧面板中的“配置VPN客户端访问”，在“常规”标签中，勾选“启用VPN客户端访问”，并将VPN客户端的访问数据定义为100，如图10.3：图10.3启用VPN客户端访问并设置最大客户数请注意1.VPN客户端的最大数量不能超过地址池中的地址数2.需要单击“应用”使设置生效。否则后面的操作会无法继续进行2）将标签切换到“组”标签，配置允许远程访问的组。在公司的常规环境中。管理员都会根据实际需要创建一到多个允许远程访问的组，然后将远程访问的用户加入到这个组。这里由于实验需要。直接允许DomainUsers组进行远程访问，如图10.4：图10.4定义允许远程访问的组3）最后需要启用VPN的隧道协议。目前ISA中使用最多的两种协议就是PPTP和L2TP。默认的选择是PPTP，用户可以根据实际需要将L2TP也勾选上。如图10.5：图10.5定义使用的VPN隧道协议4）单击“确定”，完成对于VPN服务器的配置，在设置完成后，需要单击“应用”来应用设置的内容。同时可以查看操作系统中的“路由和远程访问”服务已经启动起来了。如图10.6：图10.6路由和远程访问服务的状态3.定义网络规则：ISAServer为了网络安全，将网络分为了内部网络、外部网络、本地主机和VPN网络等几部分。如果希望几个网络间可以访问，需要定义对应的网络规则。默认情况下，从VPN客户端到内网的访问是路由关系，如图10.7，这说明VPN客户端和内网用户的相互访问是存在可能性的。图10.7VPN客户端到内部网络的网络规则4.定义防火墙策略：在定义了网络规则后，意味着VPN的客户端已经可以通过拨入的方式和VPN服务器之间建立连接了。但是并不意味着可以访问。还需要定义防火墙规则来设置允许用户的访问。基本步骤如下：1）在ISAServer管理器中右键单击“防火墙策略”，选择“新建”-“访问规则”，如图10.8所示：图10.8新建防火墙策略2）出现新建访问规则向导，为访问规则定名为“远程用户访问内网规则”，如图10.9：图10.9为新建访问规则定义名称3）在“规则操作”页面选择“允许”，如图10.10。这样，当符合规则的数据包都会被允许操作。图10.10定义规则操作为“允许”4）在“协议”页面上选择“所有出站通讯”，如图10.11图10.11将此规则应用到所有出站通讯中5）因为是允许VPN客户端访问，所以在这里要求定义访问规则源为“VPN客户端”，如图10.12：图10.12定义访问规则源6）因为要允许访问的目标是内部网络，所以在规则中定义访问规则目标为“内部”，如图10.13：图10.13定义访问规则目标7）在“用户集”中定义所有用户，如图10.14，单击“下一步”，完成所有设置如图10.15图10.14定义用户集的范围图10.15完成访问规则设置最后记得单击ISAServer2006管理器中的“应用”，将设置的规则应用到ISA服务器之上。5.定义拨入权限：在定义好所有规则后，用户还是无法拨入到VPN服务器之上。这是因为在域中，用户默认是没有远程拨入权限的。需要管理员根据实际情况加以定义的。本实验采用管理员作为测试用户进行拨入操作。那么需要首先打开“AD用户和计算机”管理工具，找到Administrator用户，右键单击“属性”，将标签切换到“拨入”项上，设置“远程访问权限（拨入或VPN）”为“允许访问”，如图10.16：图10.16定义用户的远程拨入权限6.配置客户端点：1）在客户端计算机上右键单击“网上邻居”，打开“属性”，左键双击“新建连接向导”，如图10.17图10.17新建连接向导2）在网络连接类型中，选择“连接到我的工作场所的网络“，如图10.18：图10.18网络连接类型定义为连接到我的工作场所3）在网络连接中，选择“虚拟专用网络连接”，如图10.19图10.19网络连接定义为虚拟专用网络连接4）在“VPN服务器选择”页面中输入VPN服务器的地址。这里需要输入VPN服务器的外网地址00，如图10.20：图10.20指定需要连接的VPN服务器地址5）单击“完成”，完成VPN客户端的连接设置，如图10.21：图10.21完成VPN客户端连接设置6）双击创建好的VPN客户端连接，如图10.22所示，属于用户名和密码，点击“连接”.图10.22用户通过客户端VPN连接进行拨号7.验证VPN连接：在输入正确的用户名和密码后，VPN连接成功。如