|
启用ISA Server 2004的VPN服务器(1)
ISA Server 2004防火墙可以配置为VPN服务器或者VPN网关。VPN服务器组件允许接受进入的远程VPN客户端的访问请求,在成功建立VPN连接后,VPN客户可以成为一个受保护的网络的成员。ISA Server 2004的VPN网关允许你在Internet上连接一个完整的网络到另外一个网络。 许多网络和防火墙的管理员误解VPN技术就是安全技术。事实是VPN表示一个保护数据在网络上进行传输的远程访问技术。VPN只是一个保护数据传输的安全远程访问技术,但是它不能为企业的VPN客户增加任何安全。
传统的VPN服务器允许VPN客户完全访问它所连接的网络。要么你重新配置网络的基础结构以支持对VPN客户的安全性需求,要么你必须对你的VPN客户有很大的信赖。
许多第三方VPN服务器允许你限制VPN客户的访问以迎合安全需求。例如,几个大VPN服务器销售商允许你在VPN客户系统上安装一个已管理的VPN客户端。这个已管理的VPN客户软件允许VPN服务器预先设置可以连接到VPN服务器的VPN客户。这些已管理的VPN客户端或许需要在连接到VPN服务器前有最新的安全补丁、安全防火墙或者安装有其他的软件。第三方VPN销售商给VPN客户软件制定了一个很高的价格。因为ISA Server 2004防火墙的内建VPN特性,现在你可以不用支付额外费用就使用VPN。
问题在于已管理的VPN客户端,按照ISA Server 2004 VPN隔离特性提供的功能,只是能加强VPN客户访问一半的安全。已管理的VPN客户端不允许你加强基于用户/用户组的对于内网服务器和协议的访问控制,这个时候,VPN客户端可以引起重大的安全风险。
ISA Server 2004 VPN服务器修改了VPN远程访问的属性,让你可以控制VPN客户端可以连接的协议和服务器。VPN客户访问控制可以基于VPN客户登录到VPN服务器时提交的信任信息。这样可以允许你建立只能访问指定服务器的的指定协议或者协议集的用户组。你不再需要担心你的VPN可以浏览你企业网络的服务器。VPN客户只能连接到它们需要的资源(注:根据它们的权限),其他的被禁止。
在以后的文章,我会继续提到关于如何实现加强的对于VPN客户的用户/用户组访问控制的细节。在你理解ISA Server 2004防火墙和VPN服务器组件是如何工作后,你可以实现它们。
你几乎可以使用 Microsoft Internet Security and Acceleration Server 2004 管理界面来管理VPN服务器配置的任何一方面。防火墙管理分配给VPN的IP地址列表并且放置它们在指定的VPN客户网络。访问控制可以配置与VPN客户通信的访问策略来实现。
在这篇文章中你可以执行以下步骤以启用和测试ISA Server 2004 VPN服务器:
· 启用VPN服务器
· 建立一个允许VPN客户访问内部网络的访问策略
· 允许用户账户拨入访问
· 测试PPTP VPN连接
· 给ISA Server 2004防火墙和VPN客户发布证书
· 测试一个L2TP/IPSec的VPN连接
· 监控VPN客户连接
下图显示了这篇文章中试验网络的细节,并且在未来的文章中都会使用这个网络(我们可能会对于不同的配置文章中在细节上有调整)。
| 
