7.3
用ISA Server为虚拟专用网络提供安全保障
ISA Server可以用来为VPN连接提供安全保障。VPN是为漫游用户和其他跨分支机构连接的工作人员使用的。使用ISA Server的VPN向导可以简化配置ISA ServerVPN连接操作。该向导可以通过ISA Management中的Network Configuration节点进行访问。
本节学习目标
l
配置ISA Server,为通过Internet连接到ISA Server网络的漫游用户提供安全的访问
l
配置ISA Server提供跨分支机构的安全VPN连接
估计学习时间:35分钟
7.3.1
集成ISA Server和VPN
本地网络上的计算机要和远程网络上的计算机通过ISA Server计算机进行通信时,数据封装好后,通过一个VPN信道进行发送。计算机使用PPTP或者L2TP来管理隧道和封装专用数据。通过隧道传送的数据也必须加密后才能使用VPN连接。
图7.5所示是两个网络之间的一个VPN,两个网络都运行了ISA Server。
7.3.2
为VPN连接配置网络
和VPN一起使用的时候,ISA Server安装为集成模式。在ISA Server上配置一个网络连接以连接到ISP上。同时,它还有一个连接到内部网的网络适配器。
使用向导后,ISA Server配置为VPN服务器,可以在指定的远程客户和网络资源之间通信。通过VPN连接到ISA Server上的客户必须能访问全部的网络资源,例如DNS和Windows Internet命名服务(WINS)。
客户端可以用漫游用户的身份通过ISP,或者用分支机构用户的身份在另一个ISA Server之后,建立一个和远程ISA Server的连接。
对漫游用户来说,客户机必须已经配置好了一个到本地ISP的连接(通常情况下,是在网络和拨号连接视窗中配置了一个拨号连接)。然后,必须再配置一个VPN连接。要创建VPN连接,在Windows 2000中运行Network Connection向导,然后选择Connect To A Private Network Through The Internet单选按钮。将VPN连接的目的地址配置为ISA Server计算机的IP地址。
图 7.5
VPN与ISA Server集成
对于从另一台ISA Server计算机之后的分支机构连接到ISA Server网络的用户来说,在每一台ISA Server计算机上,同时运行本地和远程ISA Server才能配置连接。
7.3.3
使用ISA Server VPN配置向导
ISA Server中有向导来帮助建立VPN并为之提供安全保障。可以使用向导来配置不同的VPN环境,包括连接到本地网络的移动用户和与其他分支机构连接的分支机构。
ISA Server包括以下3个向导,可以用来创建ISA VPN连接。在ISA Management中右击Network Configuration节点来运行这些向导。
l
Local ISA Server VPN Configuration向导
用这个向导可以建立接收连接的本地ISA Server计算机。也可以安装本地ISA VPN服务器来启动连接。
l
Remote ISA Server VPN Configuration向导
用这个向导可以建立能启动和接收连接的ISA Server计算机。
l
ISA Virtual Private Network Configuration向导
用这个向导允许漫游用户连接到VPN。
7.3.3.1 Local ISA Server VPN Configuration向导
Local ISA Server VPN Configuration向导可以建立一个能从远程ISA VPN服务器上接收连接的本地ISA VPN服务器。该向导创建任何要求从远程VPN服务器接收连接的按需拨号接口。它配置了IP数据包筛选器,这是保护连接所必需的,而且对在运行VPN向导时所选择的协议来说是特定的。它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机上。
作为本过程的一部分,该向导也创建了一个VPN配置设置(.vpc)文件。建立远程ISA VPN服务器时,要用到此文件。
Ø
按如下步骤建立本地ISA Server VPN:
1.
在ISA Management控制台树上,右击Network Configuration节点。
2.
单击Set Up Local ISA VPN Server菜单选项。
出现Local ISA Server VPN Configuration向导。
3.
按照Local ISA Server VPN Configuration向导的说明进行操作。
运行Local ISA ServerVPN Configuration向导之前,应该清楚以下几点:
l
作为Local ISA Server VPN Configuration向导配置过程的一部分,会提示您输入要在其上创建VPN连接用户账户的远程服务器的域名或计算机名。如果该计算机是一个域控制器,输入它的域名。否则,输入计算机的NetBIOS名称。
l
如果以缓存模式安装ISA Server,那么不能建立VPN。
7.3.3.2 Remote ISA Server VPN Configuration向导
Remote ISA Server VPN Configuration向导建立了一个启动与本地ISA VPN服务器连接的远程ISA VPN服务器。该向导使用.vpc文件。该文件由本地ISA ServerVPN连接向导创建,用来配置对启动与一个特定的本地VPN服务器的连接所必需的任何按需拨号接口。向导还配置了保护连接所必需的IP数据包筛选器,它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主
机上。
创建的特定的IP数据数据包筛选器取决于本地ISA ServerVPN配置向导创建.vpc文件时所选的协议。
Ø
按如下步骤以创建ISA Server VPN:
1.
在ISA Management控制台树上,右击Network Configuration节点。
2.
右击Set up Remote ISA VPN Server菜单选项。
出现Remote ISA Server VPN Configuration向导。
3.
在Remote ISA Server VPN Configuration向导中,按照屏幕上的指示进行操作。
7.3.3.3 ISA Virtual Private Network Configuration向导
ISA Virtuel Prwate Network Configuration向导在支持漫游客户的ISA Server计算机上建立VPN服务器。VPN服务器支PPTP和IP安全/第2层隧道协议(IPSec/L2TP),并在ISA Server计算机上开放相应的端口允许客户端连接到VPN服务。
Ø
按如下步骤建立ISA Server接收客户方的VPN请求:
1.
在ISA Management控制台树上,右击Network Configuration节点。
2.
单击Allow VPN Client Connections菜单选项。
出现ISA Virtual Private Network Configuration向导。
3.
在ISA Virtual Private Network Configuration向导中, 按照屏幕上的指示进行操作。
7.3.4
重新配置VPN
建立了ISA VPN服务器之后,您可能还想为其他协议也添加支持。例如,您开始配置服务器的时候,也许会选择使用PPTP协议。后来,或许想使用L2TP协议。
Ø
按如下步骤配置ISA Server允许使用附加协议:
1.
使用Routing and Remote Access控制台来确定相应的网络接口。
2.
在Networking属性页中,访问界面属性然后选择相关的协议。
3.
为了增加PPTP支持,使用ISA Management创建一个IP数据包筛选器,允许PPTP
协议。
IP数据包筛选器应按如下参数进行配置:
u
使用两个预定义的筛选器,PPTP Call和PPTP Receive。
u
Local Computer设置配置为本地ISA VPN服务器的外部IP地址。
u
Remote Computer设置配置为远程ISA VPN服务器的IP地址。
4.
要增加L2TP支持, 必须创建两个IP数据包筛选器. 将其中一个IP数据包筛选器按如下参数配置:
u
筛选器只应用于本地服务器。
u
筛选器的模式是Allow。
u
筛选器的类型是Custom,在端口500上使用UDP。
u
Local Computer设置配置为本地ISA VPN服务器的外部IP地址。
u
Remote Computer设置配置为远程ISA VPN服务器的IP地址。
将另一个IP数据数据包筛选器按如下参数配置:
u
筛选器只应用于本地服务器。
u
筛选器的模式是Allow。
u
筛选器的类型是Custom,在端口1701上使用UDP。
u
Local Computer设置配置为本地ISA VPN服务器的外部IP地址。
u
Remote Computer设置配置为远程ISA VPN服务器的IP地址。
7.3.5
ISA Server和IPSec
ISA Server配置为IPSec/L2TP VPN服务器时,ISA Server计算机上的IPSec驱动就启用了。
启用IPSec时,验证报头(AH)和封装安全有效荷载(ESP)(IP协议50和51)是由IPSec驱动程序控制,而不是ISA Server的数据包筛选器驱动程序。在这种情况下,IPSec驱动程序允许控制通过隧道的通信。IPSec驱动保证了只有受有效的AH和ESP保护的通信才容许进入网络。
ISA Server计算机上的IPSec没有启用时,由ISA Server策略来控制哪些数据包容许通过而哪些数据包应该阻塞。该策略还对所有经过ISA Server的通信进行记录,包括IPSec AH和ESP协议。
如果ISA Server配置成阻塞IP片段,那么所有的IP片段都会被阻塞,包括AH和ESP片段,即使启用IPSec了也是这样。
7.3.6
具备VPN和路由的大型网络环境
ISA Server可以配置在地理上分散的大型网络中。为了适应用户的需要,必要时ISA Server阵列可以在主干机构和分支机构中进行配置。这样允许公司的网络管理员把整个公司的安全和缓存策略集
