用ISA2006搭建VPN服务器 - 『 网络安全解决方案ISA Server 』 - 网...
来源:百度文库 编辑:神马文学网 时间:2024/06/13 00:51:34
用ISA2006搭建VPN服务器
VPN服务器在目前的网络中应用得越来越广泛,正在成为企业网络中不可或缺的角色,如何才能创建出自己的VPN服务器?怎么才能管理好VPN服务器?从今天起我们将组织一个VPN专题,系统地为大家介绍VPN服务器的配置和管理,内容包括VPN服务器的单点拨入,站点到站点的VPN,VPN用户隔离,VPN结合Radius验证,VPN接合智能卡和证书等。今天先就为大家介绍一下如何利用ISA2006来搭建一个自己的VPN服务器。
VPN是虚拟专用网络的缩写,属于远程访问技术,简单地说就是利用公网链路架设似有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到
VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,我们可以认为数据是在一条专用的数据链路上进行安全传输,就好像我们专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网。这下您肯定明白了,VPN实质上就是利用加密技术在公网
上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企业中应用得如此广泛。上述介绍的VPN应用属于VPN用户的单点拨入,VPN还有一种常见的应用是在两个内网之间架设站点到站点的VPN,我们今天先介绍如何创建单点拨入的VPN,站点到站点的VPN架设我们在后续博文中介绍。
实验拓扑如下,Denver是内网的域控制器,DNS服务器,CA服务器,Beijing是ISA2006服务器,Istanbul模拟外网的客户机。
ISA2006调用了Win2003中的路由和远程访问组件来实现VPN功能,但我们并不需要事先对ISA服务器上的路由和远程访问进行配置,ISA2006会自动实现对路由和远程访问的调用。我们先来看看ISA2006如果要实现VPN功能需要进行哪些设置?
一 定义VPN地址池
配置VPN服务器的第一步就是为VPN用户分配一个地址范围,这里有个误区,很多人认为既然要让VPN用户能访问内网资源,那就给VPN用户直接分配一个内网地址就行了。例如本次实验的内网地址范围是10.1.1.1-10.1.1.254,那VPN用户的地址池就放在10.1.1.100-10.1.1.150吧。如果你的VPN服务器是用Win2003的路由和远程实现的,那这么做是可以的,路由和远程访问本身就只提供了VPN的基本功能,对地址管理并不严格。但这么做在ISA上是不可以的,因为ISA是基于网络进行管理的!内网是一个网络,VPN用户是另一个网络,两个网络的地址范围是不能重叠的!虽然我们使用DHCP技术可以使VPN用户也获得内网地址,但绝不推荐这么做!因为在后期的管理中我们会发现,把VPN用户放到一个单独的网络中,对管理员实现精确控制是非常有利的,管理员可以单独设定VPN用户所在网络与其他网络的网络关系,访问策略,如果把VPN用户和内网用户混在一起,就享受不到这种管理的便利了。因此直接给VPN用户分配内网地址并不可取,我们本次实验中为VPN用户设置的地址池是192.168.100.1-192.168.100.200,虽然这个地址范围和内网大不相同,但不用担心,ISA会自动在两个网络之间进行路由。
如下图所示,在ISA服务器中定位到虚拟专用网络,点击右侧任务面板中的“定义地址分配”。
分配地址可以使用静态地址,也可以使用DHCP,在此我们使用静态地址池来为VPN用户分配地址,点击添加按钮,为VPN用户分配的地址范围是192.168.100.1-192.168.100.200,如下图所示。
二 配置VPN服务器
设置好了VPN地址池后,我们来配置VPN服务器的客户端设置。如下图所示,点击虚拟专用网络右侧任务面板中的“配置VPN客户端访问”。在常规标签中,我们勾选“启用VPN客户端访问”,同时设置允许最大的VPN客户端数量为100.,注意VPN客户端的最大数量不能超过地址池中的地址数。
切换到VPN客户端属性的“组”标签,配置允许远程访问的域组,一般情况下,管理员会事先创建好一个允许远程访问的组,然后将VPN用户加入这个组,本次实验中我们就简单一些,直接允许Domain Users组进行远程访问。
接下来选择VPN使用的隧道协议,默认选择是PPTP协议,我们把L2TP也选择上。设置完VPN客户端访问后,我们应重启ISA服务器,让设置生效。
重启ISA服务器之后,如下图所示,我们发现ISA服务器的路由和远程访问已经自动启动了。
三 网络规则
想让VPN用户访问内网,一定要设置网络规则和防火墙策略,ISA默认已经对网络规则进行了定义,如下图所示,从VPN客户端到内网是路由关系,这意味着VPN客户端和内网用户互相访问是有可能的。
四防火墙策略
既然网络规则已经为VPN用户访问内网开了绿灯,那我们就可以在防火墙策略中创建一个访问规则允许VPN用户访问内网了。当然,如果需要的话,也可以在访问规则中允许内网访问VPN用户。如下图所示,在防火墙策略中选择新建“访问规则”。
为访问规则取个名字。
当访问请求匹配规则时允许操作。
此规则可以应用到所有的通讯协议。
规则的访问源是VPN客户端网络。
访问规则的目标是内网
此规则适用于所有用户。
完成向导,好了,现在ISA已经允许VPN用户拨入了。
五 用户拨入权限
最后一步不要忘记,域用户默认是没有远程拨入权限的,我们准备以域管理员的身份拨入,如下图所示,在Active Directory用户和计算机中打开administrator的属性,切换到“拨入”标签,如下图所示,设置拨入权限为“允许访问”。
好,至此为止,VPN服务器已经配置完毕了,接下来我们用客户机来测试一下,看看能够通过VPN服务器拨入内网。ISA支持PPTP和L2TP两种隧道协议,今天我们在客户机上先对PPTP协议进行测试。
在Istanbul客户机上打开网上邻居的属性,如下图所示,点击新建连接向导。
出现新建连接向导,点击下一步。
网络连接类型选择“连接到我的工作场所的网络”。
选择创建“虚拟专用网络连接”。
在VPN连接中输入公司名称
输入VPN服务器的域名或外网IP,此例中我们使用域名,注意此域名应该解析到ISA的外网IP,192.168.1.254.。
选择此连接“只是我使用”,点击下一步后结束连接向导创建。
双击执行刚创建出来的VPN连接,如下图所示,输入用户名和密码,点击“连接”。
输入的用户名和口令通过了身份验证,VPN连接成功,查看VPN连接的属性,如下图所示,我们可以看到当前使用的隧道协议是PPTP,VPN客户机分配到的IP地址是192.168.100.4,地址池中的第一个地址总是保留给VPN服务器,这个地址被成为隧道终点,也是VPN用户连接内网所使用的网关。
既然VPN用户已经通过VPN服务器进行了拨入,看看能否访问内网的服务器资源,如下图所示,在Istanbul上可以成功访问内网的Exchange服务器,VPN拨入成功!
今天我们只是搭建了一个简单的VPN服务器,测试了一下客户机使用PPTP协议进行拨入,在后续的博文中我们将以今天的环境为基础,把VPN的应用推向深入。
搜索更多相关主题的帖子:VPN服务器
VPN服务器在目前的网络中应用得越来越广泛,正在成为企业网络中不可或缺的角色,如何才能创建出自己的VPN服务器?怎么才能管理好VPN服务器?从今天起我们将组织一个VPN专题,系统地为大家介绍VPN服务器的配置和管理,内容包括VPN服务器的单点拨入,站点到站点的VPN,VPN用户隔离,VPN结合Radius验证,VPN接合智能卡和证书等。今天先就为大家介绍一下如何利用ISA2006来搭建一个自己的VPN服务器。
VPN是虚拟专用网络的缩写,属于远程访问技术,简单地说就是利用公网链路架设似有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到
VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,我们可以认为数据是在一条专用的数据链路上进行安全传输,就好像我们专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网。这下您肯定明白了,VPN实质上就是利用加密技术在公网
上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企业中应用得如此广泛。上述介绍的VPN应用属于VPN用户的单点拨入,VPN还有一种常见的应用是在两个内网之间架设站点到站点的VPN,我们今天先介绍如何创建单点拨入的VPN,站点到站点的VPN架设我们在后续博文中介绍。
实验拓扑如下,Denver是内网的域控制器,DNS服务器,CA服务器,Beijing是ISA2006服务器,Istanbul模拟外网的客户机。
ISA2006调用了Win2003中的路由和远程访问组件来实现VPN功能,但我们并不需要事先对ISA服务器上的路由和远程访问进行配置,ISA2006会自动实现对路由和远程访问的调用。我们先来看看ISA2006如果要实现VPN功能需要进行哪些设置?
一 定义VPN地址池
配置VPN服务器的第一步就是为VPN用户分配一个地址范围,这里有个误区,很多人认为既然要让VPN用户能访问内网资源,那就给VPN用户直接分配一个内网地址就行了。例如本次实验的内网地址范围是10.1.1.1-10.1.1.254,那VPN用户的地址池就放在10.1.1.100-10.1.1.150吧。如果你的VPN服务器是用Win2003的路由和远程实现的,那这么做是可以的,路由和远程访问本身就只提供了VPN的基本功能,对地址管理并不严格。但这么做在ISA上是不可以的,因为ISA是基于网络进行管理的!内网是一个网络,VPN用户是另一个网络,两个网络的地址范围是不能重叠的!虽然我们使用DHCP技术可以使VPN用户也获得内网地址,但绝不推荐这么做!因为在后期的管理中我们会发现,把VPN用户放到一个单独的网络中,对管理员实现精确控制是非常有利的,管理员可以单独设定VPN用户所在网络与其他网络的网络关系,访问策略,如果把VPN用户和内网用户混在一起,就享受不到这种管理的便利了。因此直接给VPN用户分配内网地址并不可取,我们本次实验中为VPN用户设置的地址池是192.168.100.1-192.168.100.200,虽然这个地址范围和内网大不相同,但不用担心,ISA会自动在两个网络之间进行路由。
如下图所示,在ISA服务器中定位到虚拟专用网络,点击右侧任务面板中的“定义地址分配”。
分配地址可以使用静态地址,也可以使用DHCP,在此我们使用静态地址池来为VPN用户分配地址,点击添加按钮,为VPN用户分配的地址范围是192.168.100.1-192.168.100.200,如下图所示。
二 配置VPN服务器
设置好了VPN地址池后,我们来配置VPN服务器的客户端设置。如下图所示,点击虚拟专用网络右侧任务面板中的“配置VPN客户端访问”。在常规标签中,我们勾选“启用VPN客户端访问”,同时设置允许最大的VPN客户端数量为100.,注意VPN客户端的最大数量不能超过地址池中的地址数。
切换到VPN客户端属性的“组”标签,配置允许远程访问的域组,一般情况下,管理员会事先创建好一个允许远程访问的组,然后将VPN用户加入这个组,本次实验中我们就简单一些,直接允许Domain Users组进行远程访问。
接下来选择VPN使用的隧道协议,默认选择是PPTP协议,我们把L2TP也选择上。设置完VPN客户端访问后,我们应重启ISA服务器,让设置生效。
重启ISA服务器之后,如下图所示,我们发现ISA服务器的路由和远程访问已经自动启动了。
三 网络规则
想让VPN用户访问内网,一定要设置网络规则和防火墙策略,ISA默认已经对网络规则进行了定义,如下图所示,从VPN客户端到内网是路由关系,这意味着VPN客户端和内网用户互相访问是有可能的。
四防火墙策略
既然网络规则已经为VPN用户访问内网开了绿灯,那我们就可以在防火墙策略中创建一个访问规则允许VPN用户访问内网了。当然,如果需要的话,也可以在访问规则中允许内网访问VPN用户。如下图所示,在防火墙策略中选择新建“访问规则”。
为访问规则取个名字。
当访问请求匹配规则时允许操作。
此规则可以应用到所有的通讯协议。
规则的访问源是VPN客户端网络。
访问规则的目标是内网
此规则适用于所有用户。
完成向导,好了,现在ISA已经允许VPN用户拨入了。
五 用户拨入权限
最后一步不要忘记,域用户默认是没有远程拨入权限的,我们准备以域管理员的身份拨入,如下图所示,在Active Directory用户和计算机中打开administrator的属性,切换到“拨入”标签,如下图所示,设置拨入权限为“允许访问”。
好,至此为止,VPN服务器已经配置完毕了,接下来我们用客户机来测试一下,看看能够通过VPN服务器拨入内网。ISA支持PPTP和L2TP两种隧道协议,今天我们在客户机上先对PPTP协议进行测试。
在Istanbul客户机上打开网上邻居的属性,如下图所示,点击新建连接向导。
出现新建连接向导,点击下一步。
网络连接类型选择“连接到我的工作场所的网络”。
选择创建“虚拟专用网络连接”。
在VPN连接中输入公司名称
输入VPN服务器的域名或外网IP,此例中我们使用域名,注意此域名应该解析到ISA的外网IP,192.168.1.254.。
选择此连接“只是我使用”,点击下一步后结束连接向导创建。
双击执行刚创建出来的VPN连接,如下图所示,输入用户名和密码,点击“连接”。
输入的用户名和口令通过了身份验证,VPN连接成功,查看VPN连接的属性,如下图所示,我们可以看到当前使用的隧道协议是PPTP,VPN客户机分配到的IP地址是192.168.100.4,地址池中的第一个地址总是保留给VPN服务器,这个地址被成为隧道终点,也是VPN用户连接内网所使用的网关。
既然VPN用户已经通过VPN服务器进行了拨入,看看能否访问内网的服务器资源,如下图所示,在Istanbul上可以成功访问内网的Exchange服务器,VPN拨入成功!
今天我们只是搭建了一个简单的VPN服务器,测试了一下客户机使用PPTP协议进行拨入,在后续的博文中我们将以今天的环境为基础,把VPN的应用推向深入。
搜索更多相关主题的帖子:VPN服务器
用ISA2006搭建VPN服务器 - 『 网络安全解决方案ISA Server 』 - 网...
linux 搭建VPN服务器
win2003搭建VPN服务器
Windows server 2003搭建VPN服务器 - 廖敏的空间 - lmzhm -...
Linux下的VPN服务器的搭建
Linux下的VPN服务器的搭建
linux 搭建VPN服务器 - Qzone日志
Using RADIUS Authentication for ISA Server 2004 VPN Remote Client Connections
Implementing an IPSEC Site to Site VPN between ISA Server 2006 Beta and Cisco PIX 501
用Windows Server 2003配置VPN
用Windows Server 2003配置VPN
远程连接sql server 2000服务器的解决方案
用KWF打造与众不同的VPN服务器
用KWF打造与众不同的VPN服务器
感受微软的安全产品ISA Server 2004
VPN服务器架构技术
ISA中文站 -> 关于ISA2006短暂阻止TCP/IP保护网络问题(多天仍未解决)
Win2003用NAT实现ADSL共享与VPN服务器
某银行网络安全解决方案
某大学校园网络安全解决方案
Windows Server 2003配置VPN
搭建Samba服务器
搭建VSFTP服务器
用Java实现FTP服务器解决方案