首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-VPN > 启用ISA Server 2004 的VPN服务
现在时间是: 2017-06-27 15:00
启用ISA Server 2004 的VPN服务

(2004-06-16 16:04)
来源:ISAServer.org

启用ISA Server 2004 VPN服务



(译自Thomas W Shinder, 微软ISA Server MVP,“Enabling the ISA Server 2004 VPN Server”)

 

ISA Server 2004防火墙可以配置为VPN服务器或者VPN网关。VPN服务器组件允许接受进入的远程VPN客户端的访问请求,在成功建立VPN连接后,VPN客户可以成为一个受保护的网络的成员。ISA Server 2004的VPN网关允许你在Internet上连接一个完整的网络到另外一个网络。

许多网络和防火墙的管理员误解VPN技术就是安全技术。事实是VPN表示一个保护数据在网络上进行传输的远程访问技术。VPN只是一个保护数据传输的安全远程访问技术,但是它不能为企业的VPN客户增加任何安全。

 

传统的VPN服务器允许VPN客户完全访问它所连接的网络。要么你重新配置网络的基础结构以支持对VPN客户的安全性需求,要么你必须对你的VPN客户有很大的信赖。

许多第三方VPN服务器允许你限制VPN客户的访问以迎合安全需求。例如,几个大VPN服务器销售商允许你在VPN客户系统上安装一个已管理的VPN客户端。这个已管理的VPN客户软件允许VPN服务器预先设置可以连接到VPN服务器的VPN客户。这些已管理的VPN客户端或许需要在连接到VPN服务器前有最新的安全补丁、安全防火墙或者安装有其他的软件。第三方VPN销售商给VPN客户软件制定了一个很高的价格。因为ISA Server 2004防火墙的内建VPN特性,现在你可以不用支付额外费用就使用VPN。

 

问题在于已管理的VPN客户端,按照ISA Server 2004 VPN隔离特性提供的功能,只是能加强VPN客户访问一半的安全。已管理的VPN客户端不允许你加强基于用户/用户组的对于内网服务器和协议的访问控制,这个时候,VPN客户端可以引起重大的安全风险。

ISA Server 2004 VPN服务器修改了VPN远程访问的属性,让你可以控制VPN客户端可以连接的协议和服务器。VPN客户访问控制可以基于VPN客户登录到VPN服务器时提交的信任信息。这样可以允许你建立只能访问指定服务器的的指定协议或者协议集的用户组。你不再需要担心你的VPN可以浏览你企业网络的服务器。VPN客户只能连接到它们需要的资源(注:根据它们的权限),其他的被禁止。

在以后的文章,我会继续提到关于如何实现加强的对于VPN客户的用户/用户组访问控制的细节。在你理解ISA Server 2004防火墙和VPN服务器组件是如何工作后,你可以实现它们。

你几乎可以使用 Microsoft Internet Security and Acceleration Server 2004 管理界面来管理VPN服务器配置的任何一方面。防火墙管理分配给VPN的IP地址列表并且放置它们在指定的VPN客户网络。访问控制可以配置与VPN客户通信的访问策略来实现。

在这篇文章中你可以执行以下步骤以启用和测试ISA Server 2004 VPN服务器:

  • 启用VPN服务器

  • 建立一个允许VPN客户访问内部网络的访问策略

  • 允许用户账户拨入访问

  • 测试PPTP VPN连接

  • 给ISA Server 2004防火墙和VPN客户发布证书

  • 测试一个L2TP/IPSec的VPN连接

  • 监控VPN客户连接

 

下图显示了这篇文章中试验网络的细节,并且在未来的文章中都会使用这个网络(我们可能会对于不同的配置文章中在细节上有调整)。

注意有几个网络服务需要在你成功建立一个VPN服务器之前进行安装和配置:

  • Radius

  • Dhcp

  • Dns

  • Wins

  • 企业CA

在我们的试验网络中,试验域环境的域控制器已经安装好了所有的服务。内部域的名字是msfirewall.org 。DHCP服务器对于VPN服务器环境特别有用,但不是必需的。

在这篇文章中,上图中的下列服务器是必需的:

  • EXCHANGE2000BE

  • ISALOCAL

  • EXTCLIENT



作者:Thomas W Shinder
责任编辑:风间子

[1] [2] [3] [4] [5] [6] 下一页>>
下一篇:如何实现VPN使用脱离内部网络的IP地址
相关信息:

如何在ISA Server 2004中禁止MSN
How to:使用ISA Server 2004限制BT下载
ISA Server中身份验证的验证周期 v 1.2
在背靠背ISA防火墙中配置远程VPN访问
在ISA 2004和ISA 2000之间配置站点到站点的VPN

热点信息 TOP 10
How To:配置基于PPTP模式的站点到站点的VPN连接
启用ISA Server 2004 的VPN服务
How to :让VPN客户解析内部网络中的计算机名
使用RADIUS来认证VPN用户
ISA Server 2004中的Site-to-Site VPN
在背靠背ISA防火墙中配置远程VPN访问
配置VPN服务器使用智能卡身份验证
为VPN客户启用DHCP中继
关于L2TP站点到站点VPN连接中的证书的配置
关于ISA防火墙中VPN服务的一些补充说明

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2017 All Rights Reserved..