ISA Server 中的站点间虚拟专用网络.docx

ISA Server 中的站点间虚拟专用网络.docx

《ISA Server 中的站点间虚拟专用网络.docx》由会员分享，可在线阅读，更多相关《ISA Server 中的站点间虚拟专用网络.docx（33页珍藏版）》请在冰豆网上搜索。

ISAServer中的站点间虚拟专用网络

ISAServer2004中的站点间虚拟专用网络

本文内容

●简介

●应用情境

●解决方案

●附录A

●附录B

●附录C

●附录D

●附录E

●附录F

●附录G

●附录H

简介

MicrosoftInternetSecurityandAcceleration（ISA）Server2004配备了安全可靠的站点间虚拟专用网络（VPN）功能。

虚拟专用网络

虚拟专用网络（VPN）是在包含共享或公用网络（如Internet）链接的专用网络基础上实现的扩展。

您可借助VPN以点对点虚拟链接方式在跨越共享或公用网络的两台计算机之间进行数据传递。

虚拟专用网络功能是指创建并配置虚拟专用网络的操作能力。

为模拟点对点链接，数据将被打包（即封装），并附加用于提供路由信息的标题，以便经由共享或公用网络送达终点。

为模拟专用链接，数据还将接受加密处理。

如不掌握密钥，即使在共享或公用网络上截获数据，也无法将其破译。

而这种需要对专用数据进行封装和加密的链接就是VPN连接。

VPN连接允许在家中办公或出门在外的用户借助由公用网络（如Internet）提供基础架构建立起通往企业服务器的远程访问连接。

从用户角度来看，VPN是存在于计算机、VPN客户端和企业服务器（即VPN服务器）之间的点对点连接。

共享或公用网络的确切基础架构无关紧要，因为数据看上去似乎是通过专用链接发送的。

VPN连接还允许在确保通信安全的前提下，通过像Internet这样的专用网络实现组织机构之间（例如，在处于不同地点的办公机构之间）的路由连接。

跨越Internet的VPN路由连接在逻辑上采用专用广域网（WAN）链接方式。

您可通过将ISAServer计算机用作VPN服务器的方式，针对站点间VPN连接和面向企业网的VPN客户端访问进行管理。

所有通往ISAServer计算机的VPN连接都将被纳入防火墙日志，以便您对这些VPN连接实施监控。

ISAServer可为利用基于Internet协议安全性（IPSec）的第2层隧道协议（L2TP）实现的VPN客户端访问提供支持；从安全性角度来看，上述协议明显优于VPN服务器通常使用的点对点隧道协议（PPTP）。

VPN连接

目前存在两种VPN连接方式：

●远程访问VPN连接

●站点间VPN连接

远程访问VPN连接

远程访问客户端可建立通向专用网络的远程访问VPN连接。

ISAServer将提供针对VPN所从属的整个网络系统的访问服务。

我们将在题为ISAServer2004中的VPN漫游客户端与隔离控件（）的文档中围绕远程访问VPN连接配置展开讨论。

站点间VPN连接

路由器可创建将专用网络的两个组成部分连结起来的站点间VPN连接。

ISAServer提供了通往ISAServer计算机所从属的整个网络系统的连接。

本文将围绕站点间VPN连接展开讨论。

VPN协议

目前存在三种可供站点间连接使用的VPN协议：

●点对点隧道协议（PPTP）

●基于Internet协议安全性（IPSec）的第2层隧道协议（L2TP）

●Internet协议安全性（IPSec）隧道模式

PPTP

点对点隧道协议（PPTP）是一种网络协议，可跨越基于TCP/IP的数据网络创建VPN，并在此基础上实现从远程客户端到专用企业服务器的安全数据传输。

PPTP可通过像Internet这样的公用网络提供随选式多协议虚拟专用网络服务。

PPTP还允许对IP通信流量进行加密处理，并将其封装于IP报头，以便在企业IP网络或公用IP网络（如Internet）上进行发送。

基于IPSec的L2TP

第2层隧道协议（L2TP）是一种行业标准Internet隧道协议，可为通过数据包媒介发送的点对点协议（PPP）帧提供封装服务。

L2TP允许对IP通信流量进行加密处理，并通过可支持点对点数据报提交的任何媒介（如IP）进行发送。

Microsoft开发的L2TP实现方式将借助Internet协议安全性（IPSec）加密技术保护从VPN客户端导向VPN服务器的数据流。

IPSec隧道模式允许对IP数据包进行加密，并将其封装于IP报头，以便在企业IP网络或公用IP网络（如Internet）上进行发送。

PPTP连接只需接受通过基于PPP的身份验证协议执行的用户级身份验证。

基于IPSec的L2TP连接不仅需要接受相同的用户级身份验证，而且，还应接受利用计算机证书执行的计算机级身份验证。

重要提示：

PPTP或基于IPSec的L2TP连接

运行MicrosoftWindowsServer2003的VPN服务器可同时支持PPTP和L2TP。

当您对PPTP和基于IPSec的L2TP这两种路由器间VPN解决方案进行甄选时，应考虑到以下因素：

●PPTP适合在运行WindowsServer2003、Windows2000Server或配备路由与远程访问服务（RRAS）的WindowsNTServer4.0等操作系统的路由器之间创建VPN连接。

PPTP无需公钥基础架构（PKI）颁发计算机证书。

基于PPTP的VPN连接可利用加密技术实现数据保密。

在不掌握密钥的情况下，被截获的数据仍无法得到破译。

然而，基于PPTP的VPN连接并未提供数据完整性验证（证明数据没有在传输过程中遭到修改）或数据源验证（证明数据由已经过授权的用户发送）服务。

●L2TP仅限与运行WindowsServer2003或Windows2000Server操作系统的路由器配合使用。

在同时使用两种路由器的情况下，则须由公钥基础架构（PKI）向全体路由器颁发计算机证书。

此外，运行WindowsServer2003操作系统的路由器还支持在应答路由器和所有呼叫路由器上配置的单个预共享密钥。

而基于IPSec的L2TPVPN连接则可利用IPSec提供数据保密性、数据完整性和数据源验证服务。

IPSec隧道模式

隧道操作是由打包、路由和解包构成的完整处理过程。

隧道操作将对新数据包中的初始数据包进行封装（即打包）。

这个新数据包可能具有新的寻址和路由信息，以确保自身在网络系统上穿行。

隧道操作一旦与数据加密相结合，在网络上对通信流量进行侦听的人员将无法破译初始数据包所含数据（以及初始数据包来源和目标）。

在经过封装的数据包到达目的地后，封装特性会被取消，而初始数据包报头则被用来将数据包路由至最终目标。

隧道本身是经过封装的数据包赖以从中穿行的逻辑数据路径。

对于初始源和目标端来说，隧道通常具有透明性，并且只是网络路径中的另一条点对点连接。

位于隧道两端的对象并不了解隧道起点和终点之间的任何路由器、交换机、代理服务器及其它安全网关。

隧道操作一旦与数据加密相结合，便可用于提供虚拟专用网络（VPN）。

经过封装的数据包可在隧道中穿越网络。

这里所说的网络就是Internet。

而网关则可能是介于外部Internet与专用网络之间的边界网关。

边界网关可以是路由器、防火墙、代理服务器及其它安全网关。

此外，专用网络中的两上网关还可用来为跨越网络系统中不受信任区段的通信流量提供保护。

Internet协议安全性（IPSec）一旦被用于隧道模式，它本身将只为IP通信流量提供封装支持。

某些路由器、网关或终端系统并不支持基于IPSec的L2TP或PPTP这两种VPN隧道服务，而选用IPSec隧道模式的首要原因就是实现与上述对象之间的交互操作能力。

虚拟专用网络社区网站（http:

//www.vpnc.org/）提供了有关交互操作的信息资料。

说明

如欲创建在运行Windows2000操作系统的计算机上使用IPSec协议隧道模式的远程站点网络，则必须安装由Microsoft网站提供的IPSec工具（Server安装文件夹。

当您创建使用IPSec隧道协议的远程站点网络时，Microsoft防火墙服务会在防火墙服务重启过程中对计算机上的IPSec过滤器进行修改。

这个过程将占用几分钟时间，具体情况视网络地址范围所含子网数量而定。

为将影响控制在最小程度，我们建议您定义与子网边界相吻合的IP地址范围。

应用情境

一家大公司拥有需要保持通信联络的多个站点，例如，位于纽约的公司办公机构和位于华盛顿的销售营业部。

公司可运用站点间虚拟专用网络技术通过Internet将这两个办公机构安全地连接起来。

InternetSecurityandAcceleration（ISA）Server2004提供了三种站点间VPN连接创建方法：

Internet协议安全性（IPSec）隧道模式，基于IPSec的第2层隧道协议（L2TP）和点对点隧道协议（PPTP）。

本文档将考虑两种应用情境：

●您所连接的站点将第三方产品用作VPN服务器。

在这种情形下，您应使用IPSec隧道模式解决方案。

●您所连接的站点将ISAServer2004、ISAServer2000、WindowsServer2003或Windows2000Server用作VPN服务器。

在这种情形下，您既可使用基于IPSec的L2TP解决方案，又能使用PPTP解决方案。

仅就这两种解决方案而言，基于IPSec的L2TP解决方案更为安全可靠。

解决方案

在使用InternetSecurityandAcceleration（ISA）Server2004的情况下，站点间VPN连接配置一般包括下列步骤：

●配置本地VPN服务器，它在这种情形下可由ISAServer计算机担当。

您需要为VPN连接选择一种支持协议。

●配置ISAServer网络规则和访问策略。

仅就基于IPSec的L2TP和PPTP而言，您还必须为发端于远程VPN站点的连接配置常规VPN属性，因为ISAServer将这些站点视作VPN客户端。

●如果ISAServer计算机通过拨号连接方式接入Internet，则应配置自动拨号功能。

●配置远程VPN服务器。

您可选用以下三种协议中的任何一种创建VPN连接：

●Internet协议安全性（IPSec）隧道模式

●基于IPSec的第2层隧道协议（L2TP）

●点对点隧道协议（PPTP）

下表针对三种协议进行了比较：

协议

适用情况

安全级别

说明

IPSec隧道模式

连接至第三方VPN服务器

高

这是可供您连接至非MicrosoftVPN服务器的唯一选择。

基于IPSec的L2TP

连接至ISAServer2004计算机、ISAServer2000计算机或WindowsVPN服务器

高

主要使用路由与远程访问服务（RRAS）。

虽然复杂程度低于IPSec隧道解决方案，但却要求ISAServer计算机或WindowsVPN服务器充当远程VPN服务器。

PPTP

连接至ISAServer2004计算机、ISAServer2000计算机或WindowsVPN服务器

中

使用路由与远程访问服务（RRAS）。

虽然存在与L2TP相同的限制因素，但配置略微容易。

由于L2TP使用IPSec加密技术，因此，被认为更加安全可靠。

后面的几个小节针对这三种协议提供了相关操作示范。

IPSec隧道解决方案操作示范

适用IPSec隧道解决方案的具体情况为，您将ISAServe2004用作VPN服务器，而您所连接的站点则将第三方产品或ISAServer2004用作VPN服务器（如下文中的网络拓朴结构所示）。

IPSec隧道解决方案网络拓朴

下图描绘了IPSec隧道解决方案可能采用的网络拓朴结构。

如图所示，总部将ISAServer2004用作VPN服务器。

而ISAServer2004则以运行WindowsServer2003或Windows2000Server操作系统的计算机为宿主。

分公司可能运行着某种第三方VPN服务器软件。

与第三方VPN服务器相关的配置信息可从虚拟专用网络社区站点（http:

//www.vpnc.org/）获取。

若非如此，分公司则可能将ISAServer2004、WindowsServer2003或Windows2000Server用作VPN服务器。

IPSec隧道操作示范步骤1：

添加远程站点网络

当您在ISAServer中配置站点间VPN时，可新建这样一种网络：

ISAServer计算机可在这种网络中将远程站点识别为远程VPN。

如需设置这种网络，请依次执政下列步骤：

1.打开MicrosoftISAServer管理控制台。

2.在控制台树状结构中，选择虚拟专用网络（VPN）。

3.在细节窗格内，点击远程站点选项卡。

4.在任务窗格的任务选项卡上，通过点击添加远程站点网络启动新建网络向导。

5.在欢迎页面上，输入新建网络名称（如“华盛顿销售营业部IPSec隧道”），并点击下一步。

请注意，网络名称不得超过200个字符。

6.在VPN协议页面上，选择IP安全性协议（IPSec）隧道模式，并点击下一步。

7.请务必在连接设置页面上为远程和本地VPN服务器指定IP地址。

在远程VPN网关IP地址栏内，输入将远程VPN服务器连接到Internet的IP地址。

例如，按上图所示，将远程VPN网关IP地址设定为208.147.66.1。

8.通过点击网络按钮打开访问网络对话框，并选择为ISAServer计算机充当VPN网关的网络对象。

通常情况下，鉴于VPN连接势必穿越Internet，故将该选项缺省设定为外部网络。

点击确定以关闭访问网络对话框。

9.在本地VPN网关IP地址中，为用于将ISAServer计算机连接到先前步骤所指定网络对象的网络适配器选取IP地址。

例如，按上图所示，为将ISAServer计算机连接至外部网络的网络适配器设定IP地址157.54.0.1。

10.在IPSec验证页面上，选择将预共享密钥用于验证。

这是IPSec隧道解决方案的缺省IPSec验证方法。

请输入预共享密钥，并点击下一步。

11.在网络地址页面上，点击添加，并指定远程网络地址范围。

您可向远程网络管理员询问相关信息。

12.在结束页面上查看上述配置后，点击完成。

13.在ISAServer细节窗格内，点击应用，以便将配置修改应用于ISAServer。

说明：

预共享密钥优缺点

预共享密钥无需针对公钥基础架构（PKI）进行硬件和配置投资，而PKI则是将计算机证书用于IPSec验证的必要条件。

基于本地VPN服务器的预共享密钥配置操作较为简单。

与证书不同，预共享密钥的起源和历史无法得到确定。

正因如此，将预共享密钥用于IPSec连接验证目的被认为是相当脆弱的验证方法。

如果您需要一种长远而有效的验证方法，则应考虑使用PKI。

这将需要安装由同时基于本地和远程VPN服务器的同一证书颁发机构签发的数字证书。

如需了解有关数字证书的更多信息，请参阅本文附录A：

在本地和远程VPN服务器上安装数字证书。

重要提示

您可能需要在修改VPN配置后重新启动ISAServer计算机。

为确认是否需要执行重启，请在ISAServer管理控制台上展开ISAServer计算机节点，并点击监视。

在细节窗格的警告选项卡上，找到内容为需要重新启动ISAServer计算机的警告条目。

与这个警告条目相对应的信息是VPN配置修改要求重新启动计算机。

如果您看到了这条警告，则应重新启动ISAServer计算机。

IPSec隧道操作示范步骤2：

制定网络规则与防火墙策略

当您创建远程VPN后，ISAServer便会将这个VPN与连接至ISAServer计算机的其它任何网络一视同仁。

您现在应着手制定：

●网络规则，用于创建具备网络地址转换（NAT）功能的网络或与连接至ISAServer计算机的其它网络之间的路由器关系。

之所以创建路由器关系，主要是因为需要在VPN网络间进行双向通信，而NAT关系则具有单向性。

如果必须跨越多种网络进行通信的计算机具有公用IP地址，那么，便可在不受地址重复影响的前提下建立路由器关系——因为公用IP地址具有唯一性。

如果计算机具有专用IP地址（例如，介于10.10.10.0~10.255.255.255之间的地址），那么，便可能存在同一地址被用于不同VPN网络的风险。

网络管理员应确保必须跨越两个VPN网络实现连接的计算机之间不会出现IP地址重复，以便成功创建路由器关系。

说明：

介于每个VPN之间的NAT关系都将导致网络间通信失败。

当然，如果由其中一个网络定义路由关系，并允许其它网络对NAT关系加以配置，那么，网络间通信便可能实现。

●访问规则，用来控制与远程网络之间的访问操作。

您可在制定访问规则时选择与已被写入ISAServer日志的规则相匹配的应答。

接着，您便可通过访问该日志查看与远程站点网络之间的访问操作。

本文附录D：

站点间VPN防火墙策略介绍了站点间VPN可能使用的防火墙策略。

而本文附录F：

使用新建访问策略向导则描述了访问规则的制定过程。

如需了解有关网络规则和访问规则的更多信息，请查看ISAServer2004帮助服务。

IPSec隧道操作示范步骤3：

配置自动拨号

如果您的ISAServer计算机通过拨号方式连接到Internet，那么，您便可将ISAServer配置成在客户端计算机向远程VPN发出请求时自动执行拨号连接的状态。

本文附录B：

配置自动拨号介绍了自动拨号功能的配置步骤。

IPSec隧道操作示范步骤4：

配置远程VPN服务器

您必须按照厂商提供的产品说明将远程VPN服务器配置成在IPSec隧道模式下连接至ISAServer计算机的状态。

您还可在虚拟专用网络社区站点（http:

//www.vpnc.org/）找到可供参考的信息。

ISAServer提供了配置远程服务器所必需参考的信息概要。

如需查看这些信息概要，请依次执行下列步骤：

1.打开MicrosoftISAServer管理控制台。

2.在控制台树状结构中，选择虚拟专用网络（VPN）。

3.在细节窗格内，点击远程站点选项卡。

4.选取您在步骤1中创建的网络。

5.在任务窗格的任务选项卡上，点击查看IPSec策略。

随后出现的对话框将为远程VPN服务器管理员提供创建从VPN服务器到ISAServer计算机的连接所必需的配置信息。

IPSec隧道操作示范步骤5：

测试连接

按照本文附录C：

测试并监控VPN连接所描述的方法对VPN连接进行测试。

虽然附录C同时介绍了测试与监控方法，但这个操作示范只需使用其中的测试步骤。

IPSec隧道操作示范步骤6：

配置高级IPSec设置

您可对高级IPSec设置进行配置，特别是第一和第二阶段Internet密钥交换（IKE）协议设置。

如需调用这些设置，请执行下列步骤：

1.打开MicrosoftISAServer管理控制台。

2.在控制台树状结构中，选择虚拟专用网络（VPN）。

3.在任务窗格内，点击远程站点选项卡，并双击作为IKE配置对象的远程站点网络，以便将相关属性打开。

4.在连接选项卡上，通过点击IPSec设置打开IPSec配置对话框。

请在这个对话框中点击第一阶段或第二阶段选项卡，并对相关设置进行修改。

5.先点击确定关闭IPSec配置对话框，再点击确定关闭网络属性对话框。

6.在ISAServer细节窗格内，点击应用，以便将设置修改应用于ISAServer。

系统可能需要几分钟时间将您所做修改付诸实现。

基于IPSec的L2TP解决方案操作示范

适用基于IPSec的L2TP解决方案的具体情况为，您将ISAServe2004用作VPN服务器，而您所连接的站点则将WindowsServer2003、Windows2000Server、ISAServer2004或ISAServer2000用作VPN服务器。

ISAServer2004将使用Windows路由与远程访问服务（RRAS）创建基于IPSec的L2TPVPN连接。

基于IPSec的L2TP解决方案网络拓朴结构

下图描绘了基于IPSec的L2TP解决方案可能采用的网络拓朴结构。

如图所示，总部将ISAServer2004计算机用作VPN服务器。

而ISAServer2004则以运行WindowsServer2003或Windows2000Server操作系统的计算机为宿主。

分公司的VPN服务器主要运行WindowsServer2003、Windows2000Server、ISAServer2004或ISAServer2000。

基于IPSec的L2TP操作示范步骤1：

添加远程站点网络

当您在ISAServer中配置站点间VPN时，可新建这样一种网络：

ISAServer计算机可在这种网络中将远程站点识别为远程VPN。

如需设置这种网络，请依次执政下列步骤：

1.打开MicrosoftISAServer管理控制台。

2.在控制台树状结构中，选择虚拟专用网络（VPN）。

3.在细节窗格内，点击远程站点选项卡。

4.在任务窗格的任务选项卡上，通过点击添加远程站点网络启动新建网络向导。

5.在欢迎页面上，输入新建网络名称（如“华盛顿销售营业部IPSec隧道”），并点击下一步。

请注意，网络名称不得超过200个字符。

6.在VPN协议页面上，选择基于IPSec的第2层隧道协议（L2TP），并点击下一步。

7.在远程站点网关页面上，输入远程VPN服务器的名称或IP地址，并点击下一步。

例如，按上图所示，将远程VPN网关IP地址设定为208.147.66.1。

8.在远程验证页面上，选择从本地站点到远程站点的传出连接。

如果您启用该选项，则必须为这个连接输入用户名、域名和口令。

如果您并未启用该选项，即使能够接收来自远程VPN站点的传入连接，也无法创建通向该站点的传出连接。

接着，请点击下一步。

9.本地验证页面将提示您：

必须在本地网络上针对具有拨入属性的用户加以配置，以确保远程网络能够发起通向本地网络的连接。

该用户必须具备与远程网络完全相同的名称。

说明：

如需配置具备拨入属性的用户，则应打开计算机管理控制台。

（先点击开始，再右键单击我的电脑，然后点击管理。

）在本地用户和组中，右键单击用户，并选择新建用户。

在新建用户对话框内完成相关设置，并确保您所输入的用户名与远程网络名称完全一致。

通过双击新建用户打开用户属性，并点击拨入选项卡。

在远程访问权限（拨入或VPN）中，选择允许访问。

点击确定以关闭属性对话框。

10.在本地验证页面上，点击下一步。

11.在L2TP/IPSec验证页面上，您可选择添加预共享密钥IPSec验证，并将其作为备用验证方法。

如果您启用了这个选项，则应提供预共享密钥。

如果您已经安装了由同时基于本地和远程VPN服务器的同一可信证书颁发机构签发的数字（IPSec）证书，则应将数字证书作为首选验证方法。

如需了解有关数字证书的更多信息，请参阅本文附录A：

在本地和远程VPN服务器上安装数字证书。

完成上述设置后，请点击下一步。

12.在网络地址页面上，点击添加，并为远程网络设定地址范围。

您可向远程网络管理员询问相关信息。

当您添加地址范围后，请在网络地址页面中点击下一步。

13.在结束页面中查看上述配置后，点击完成。

基于IPSec的L2TP操作示范步骤2：

设置常规VPN属性

ISAServer可在验证由远程站点发起的站点间VPN连接时针对常规VPN配置属性加以利用。

为确保创建具备安