第

21

章

為遠程客戶端和網絡配置虛擬專用網絡訪問熊建輝高級工程師、碩士網絡安全的實現和管理

--以WindowsServer2003和ISAServer2004為例第1章 規劃和配置授權和身份驗證策略第2章 安裝、配置和管理證書頒發機構第3章 配置、部署和管理證書第4章 規劃、實現和故障診斷智能卡證書第5章 加密文件系統的規劃、實現和故障排除第6章 規劃、配置和部署安全的成員服務器基線第7章 為服務器角色規劃、配置和部署安全基線第8章 規劃、配置、實現和部署安全客戶端計算機基線第9章 規劃和實現軟件更新服務第10章數據傳輸安全性的規劃、部署和故障排除第11章部署配置和管理SSL第12章規劃和實施無線網絡的安全措施第13章保護遠程訪問安全第14章MICROSOFTISASERVER概述第15章安裝和維護ISAServer第16章允許對Internet資源的訪問第17章配置ISAServer作為防火墻第18章配置對內部資源的訪問第19章集成ISAServer2004和MicrosoftExchangeServer第20章高級應用程序和Web篩選第21章為遠程客戶端和網絡配置虛擬專用網絡訪問第22章實現緩存第23章監視ISAServer2004網絡安全的實現和管理

--以WindowsServer2003和ISAServer2004為例第21章：為遠程客戶端和網絡配置虛擬專用網絡訪問虛擬專用網絡概述為遠程客戶端配置虛擬專用網絡為遠程站點配置虛擬專用網絡使用ISAServer2004配置隔離控制虛擬專用網絡概述虛擬專用網絡VPN協議選項VPN身份驗證協議選項VPN隔離控制使用路由和遠程訪問的虛擬專用網絡使用ISAServer2004的虛擬專用網絡將ISAServer用于虛擬專用網絡的益處21.1虛擬專用網絡概述虛擬專用網絡ISA

Server分支機構21.1.1虛擬專用網絡VPN協議選項因素PPTP優點和缺點L2TP/IPSec優點和缺點客戶端操作系統支持Windows2000,

WindowsXP、WindowsServer2003、WindowsNTWorkstation4.0、WindowsME、Windows98Windows2000、

WindowsXP、WindowsServer2003證書支持需要證書架構支持，僅僅支持EAP-TLS驗證需要證書架構或預共享密鑰安全性提供數據加密不提供數據完整性為每個數據包提供數據完整性、數據源身份驗證、數據機密性和重放保護NAT支持大多數網絡地址轉換器（NAT,NetworkAddressTranslator）都支持該協議所有的客戶端和服務器都都必須支持IPSecNAT-T21.1.2VPN協議選項VPN身份驗證協議選項驗證協議解釋PAP使用明文密碼，是安全性最低的身份驗證協議SPAP使用的是Shiva可逆加密機制CHAP是質詢響應身份驗證協議使用CHAP協議時，數據不能被加密MS-CHAP它不需要使用可逆加密來存儲密碼但只有在運行需要MS-CHAP的早期Microsoft操作系統時才使用MS-CHAPMS-CHAPv2使用雙向身份驗證對于發送和接收的數據，它分別使用不同的會話密鑰來進行加密會話密鑰的生成不是完全基于用戶的密碼EAP-TLS是最安全的遠程身份驗證協議在客戶端和服務器都使用證書來提供雙向身份驗證、數據完整性和數據機密性21.1.3VPN身份驗證協議選項VPN隔離控制VPN隔離控制:允許VPN客戶端計算機訪問組織的網絡之前屏蔽它們VPN隔離客戶端腳本。此腳本在客戶端上運行并檢查遠程訪問客戶端的安全配置，然后將結果報告給VPN服務器客戶端通過安全配置檢查，該客戶端就被授權訪問組織的網絡21.1.4VPN隔離控制使用路由和遠程訪問的虛擬專用網絡

RRAS支持：遠程訪問策略是一組有序的規則，它們定義了如何授權或拒絕遠程訪問連接“連接管理器”程序組是一組可選組件，用于創建受管理的遠程訪問解決方案RRAS支持使用遠程身份驗證撥入用戶服務（RADIUS）服務器進行身份驗證和遠程訪問策略配置RRAS支持在連接到Internet的接口上使用PPTP或L2TP/IPSec輸入和輸出篩選器RRAS支持使用隔離控制來限制客戶端對網絡的訪問使用路由和遠程訪問的虛擬專用網絡使用ISAServer2004的虛擬專用用網絡ISAServer啟用VPN訪問：可以使用網網絡規則和和訪問規則則定義在什什么條件下下可以將網網絡數據包包從一個網網絡傳遞到到另一個網網絡ISAServer使用用以下網絡絡進行VPN連連接：VPN客戶端網絡絡被隔離的VPN客戶端網絡絡遠程站點網網絡ISAServer將計算機分分配給網絡絡，然后使使用網絡規規則、網絡絡訪問規則則和發布規規則來限制制網絡通信信在網絡之之間的移動動擴展了RRAS功能使用ISAServer2004的虛擬專用用網絡將ISAServer用于虛擬專專用網絡的的益處益處解釋連接控制和安全性使用防火墻訪問策略控制從VPN客戶端通過ISAServer2004所發送的信息

性能ISAServer2004強化了在配置為強制執行復雜的企業級安全性要求的情況使用Windows2000隔離VPN連接的能力添加ISAServer2004可使Windows2000VPN服務器能夠強制執行VPN隔離策略日志記錄和監視VPN日志記錄不僅能包括所有VPN遠程訪問和站點到站點的連接，還能包括相關的應用程序通信IPSec隧道模式站點到站點鏈路的狀態檢查通過站點到站點鏈路移動的連接設置特定于用戶/組、站點、計算機、協議和應用程序層的較強的訪問控制VPN服務器資源的增強保護ISAServer通過將防火墻策略應用到所有接口來擴展安全保護的級別將ISAServer用于虛擬專專用網絡的的益處第21章：為遠程程客戶端和和網絡配置置虛擬專用用網絡訪問問虛擬專用網網絡概述為遠程客戶戶端配置虛虛擬專用網網絡為遠程站點點配置虛擬擬專用網絡絡使用ISAServer2004配置置隔隔離離控控制制為遠遠程程客客戶戶端端配配置置虛虛擬擬專專用用網網絡絡VPN客戶戶端端訪訪問問控控制制選選項項啟用用和和配配置置VPN客戶戶端端訪訪問問的的方方式式默認認VPN客戶戶端端訪訪問問配配置置配置置VPN地址址分分配配的的方方式式配置置VPN身份份驗驗證證的的方方法法使用用RADIUS配置置身身份份驗驗證證的的方方法法為VPN訪問問配配置置用用戶戶賬賬戶戶的的方方法法為客客戶戶端端計計算算機機配配置置VPN連接接的的方方法法21.2為遠遠程程客客戶戶端端配配置置虛虛擬擬專專用用網網絡絡VPN客戶端訪問控控制選項點選VPN節點來訪問VPN客戶端訪問控控制選項VPN客戶戶端訪問控制制選項啟用和和配置置VPN客戶端端訪問問的方方式啟用并并配置置用戶戶映射射時，，為Windows用戶和和組指指定用用戶設設置的的防火火墻策策略訪訪問規規則也也適用用于不不使用用Windows身份驗驗證的的已認認證用用啟用和和配置置VPN客戶端端訪問問的方方式默認VPN客戶端端訪問問配置置組件缺省設置系統策略規則策略規則允許從遠程網絡到運行ISAServer的計算機（本機主機網絡）使用PPTP、L2TP或兩者都使用VPN訪問網絡ISAServer僅偵聽外部網絡上的VPN客戶端連接VPN協議僅為VPN客戶端訪問啟用PPTP網絡規則一條指定VPN客戶端網絡和外部網絡之間的NAT關系一條指定VPN客戶端網絡和內部網絡之間的路由關系防火墻訪問規則沒有防火墻訪問規則啟用遠程訪問策略啟用MS-CHAPv2身份驗證并要求對所有VPN連接的進行身份驗證默認VPN客客戶戶端訪訪問配配置配置VPN地址分分配的的方式式配置靜靜態分分配地地址或或DHCP配置DNS和WINS服務器器使用DHCP或手工工分配配地址址配置VPN地址分分配的的方式式配置VPN身份驗驗證的的方法法接受缺缺省的的安全全驗證證配置EAP作為附加安安全方方法考慮到客戶戶端兼容情況下，，可以使用低低安全選項項配置VPN身份驗證的的方法使用RADIUS配置身份驗驗證的方法法啟用RADIUS驗證和配置置RADIUS服務器使用RADIUS配置身份驗驗證的方法法為VPN訪問配置用用戶賬戶的的方法配置撥入和和VPN訪問權限為VPN訪問配置用用戶賬戶的的方法為客戶端計計算機配置置VPN連接的方法法為客戶端計計算機配置置VPN連接的方法法實驗21-1：為遠程客客戶端配置置VPN訪問在ISAServer上配置VPN客戶端訪問問配置并測試試VPN客戶端連接接InternetDen-ISA-01Den-DC-01Den-Clt-01實驗21-1：為遠遠程客戶端端配置VPN訪訪問第21章：為遠程程客戶端和和網絡配置置虛擬專用用網絡訪問問虛擬專用網網絡概述為遠程客戶戶端配置虛虛擬專用網網絡為遠程站點點配置虛擬擬專用網絡絡使用ISAServer2004配置隔離控控制為遠程站點點配置虛擬擬專用網絡絡站點到站點點的VPN訪問配置組組件關于選擇VPN隧道協議配置遠程站站點網絡的的方法站點到站點點VPN的網絡和訪訪問規則配置遠程站站點VPN網關服務器器的方法配置使用IPSec隧道模式的的站點到站站點VPN21.3為遠程站點點配置虛擬擬專用網絡絡站點到站點點的VPN訪問配置組組件組件缺省配置確定要使用的隧道協議需要根據組織的安全要求和將在每個站點部署的VPN網關服務器來選擇適當的協議配置遠程站點網絡創建遠程站點網絡，遠程站點中的所有客戶端計算機都位于此網絡中配置VPN客戶端訪問必須啟用VPN客戶端訪問來啟用站點到站點的訪問配置網絡規則和防火墻訪問規則使用訪問規則或發布規則讓遠程辦事處用戶可訪問內部資源配置遠程站點VPN網關配置遠程站點辦公室的VPN服務器來連接ISAServer和接受從ISAServer的連接站點到站點點的VPN訪問配置組組件關于選擇VPN隧道協議協議場景注釋IPSec隧道模式連接到非微軟VPN網關連接到非MicrosoftVPN服務器時可以使用的惟一選項。需要證書或預共享密鑰L2TPoverIPSec連接ISAServer或WindowsRRASVPN網關要求遠程VPN服務器是運行ISAServer的計算機或運行WindowsVPN的服務器。需要用戶名和密碼以及證書或預共享密鑰進行身份驗證PPTP連接ISAServer或WindowsRRASVPN網關要求遠程VPN服務器是運行ISAServer的計算機或運行WindowsVPN的服務器安全級別比L2TPoverIPSec低關于選擇VPN隧道協議配置遠程站站點網絡的的方法配置選項解釋VPN協議選擇用來連接到該遠程站點的隧道協議遠程VPN服務器輸入遠程站點的VPN網關服務器的服務器名稱或IP地址遠程身份驗證輸入用戶名和密碼。此用戶賬戶將用于在目標VPN網關服務器上發起連接L2TP/IPSec身份驗證如果決定使用L2TP/IPSec作為隧道協議，你會得到配置預共享密鑰的選項，創建隧道時預共享密鑰將被用于對計算機進行身份驗證網絡地址需要配置遠程站點網絡中所有計算機的IP地址范圍配置遠程站站點網絡的的方法站點到站點點VPN的網絡和訪訪問規則啟用站點到到站點VPN的網絡和訪訪問規則：：啟用了兩個個系統策略略：“允許到ISA服務器的VPN站點到站點點的通訊””“允許來自自ISA服務器的VPN站點到站點點通訊”針對遠程站站點網絡創創建網絡規規則配置訪問規規則來控制制遠程站點點和連接到到ISAServer計算機的其其他網絡之之間的通信信網絡之間的的開放通信信。一種選選項是配置置分支辦事事處以擁有有對內部網網絡的完全全訪問權網絡之間的的受控通信信。在此情情況下，你你不希望讓讓分支辦事事處的用戶戶具有對內內部網絡的的完全訪問問權站點到站點點VPN的網絡絡和訪問規規則配置遠程站站點VPN網關服務器器的方法配置遠程站站點VPN網關服務器器：配置VPN網關使用相相同的隧道道協議配置到總部部站點VPN網關的連接接配置網絡路路由配置遠程站站點VPN網關服務器器的方法配置使用IPSec隧道模式的的站點到站站點VPN配置使用IPSec隧道模式的的站點到站站點VPN：配置遠程VPN網關的IP地址時，還還必須配置置一個本地地VPN網關的IP地址創建VPN隧道時IPSec將使用的設設置以及可可用來最大大化VPN安全性的設設置將VPN網關配置為為使用證書書或預共享享密鑰進行行身份驗證證配置使用IPSec隧道模式的的站點到站站點VPN實驗21-2：為遠程站站點配置VPN配置總部的的運行ISAServer的計算機啟啟用站點到到站點的VPN連接InternetDen-ISA-01Den-DC-01實驗21-2：為遠程客客戶端配置置VPN訪問第21章：為遠程程客戶端和和網絡配置置虛擬專用用網絡訪問問虛擬專用網網絡概述為遠程客戶戶端配置虛虛擬專用網網絡為遠程站點點配置虛擬擬專用網絡絡使用ISAServer2004配置隔離控控制使用ISAServer2004配置隔離控控制網絡隔離控控制的工作作方式關于在ISAServer上啟用隔離離控制準備客戶端端腳本的方方法使用連接管管理器配置置VPN客戶端的方方法準備偵聽器器組件的方方法啟用隔離控控制的方法法配置Internet身份驗證證服務以以實現隔隔離控制制配置隔離離訪問規規則的方方法21.4使用ISAServer2004配配置隔隔離控制制網絡隔離離控制的的工作方方式ISAServerDNSServerWebServer域控制器器文件服務器QuarantinescriptVPN隔離客戶網絡絡VPN客戶端網網絡RQC.exe隔離遠程程訪問策策略ISA

ServerDNS

ServerWeb

Server域控制器文件服務器隔離腳本VPN隔離客戶網絡VPN客戶端網路RQC.exe隔離遠程訪問策略網絡隔離離控制的的工作方方式關于在ISAServer上啟用隔隔離控制制在ISAServer上啟用隔隔離控制制：在ISAServer上啟用隔離控制創建并安裝偵聽器組件為被隔離的VPN客戶端網絡配置網絡規則和訪問規則使用CMAK來創建CM配置文件，該配置文件包含一個通知組件和客戶端腳本創建驗證客戶端配置信息的客戶端腳本14352關于在ISAServer上啟用隔隔離控制制運行Rqc.exe命令：準備客戶戶端腳本本的方法法客戶端腳腳本：可以是可可執行文文件（*.exe）、腳本本文件（（*.vbs）或簡單單的命令令文件（（*.cmd或*.bat）在腳本中中執行一一組測試試以確保保遠程訪訪問客戶戶端符合合網絡策策略如果腳本中指指定的所有測測試成功，腳腳本就必須使使用以下參數數運行Rqc.exerqcConnNameTunnelConnNameTCPPortDomainUserNameScriptVersion準備客戶端端腳本的方方法使用連接管管理器配置置VPN客戶端的方方法配置VPN客戶端使用用連接管理理器：配置置連連接接管管理理器器配配置置文文件件包包含含一個個運運行行網網絡絡策策略略要要求求腳腳本本的的后后連連接接操操作作一個個網網絡絡策策略略要要求求腳腳本本一個個通通知知組組件件所有有遠遠程程訪訪問問客客戶戶端端計計算算機機上上分分發發并并安安裝裝它它使用用連連接接管管理理器器配配置置VPN客戶戶端端的的方方法法ConfigureRQSforISA.vbs:準備備偵偵聽聽器器組組件件的的方方法法將RQS作為為服服務務安安裝裝創建一條條ISAServer訪問規則則允許RQS端口（7250）上從VPN客戶端和和被隔離離的VPN客戶端網網絡發送送到本地地主機網網絡的通通信在運行ISAServer的計算機機上修改改注冊表表項啟動RQS服務命令行運運行ConfigureRQSforISA.vbsCscriptConfigureRQSForISA.vbs/installSharedKey1\0SharedKey2pathtoRQS.exe準備偵聽聽器組件件的方法法啟用隔離離控制的的方法定義超時時值添加不需需要隔離離的用戶或組組定義隔離離策略的源啟用隔離離控制的的方法配置Internet身份驗證證服務以以實現隔隔離控制制RADIUS服務器上上安裝偵偵聽器組組件、配配置一條條配置隔隔離設置置的遠程程訪問策策略：MS-Quarantine-IPFilter設置MS-Quarantine-Session-Timeout配置Internet身份驗證證服務以以實現隔隔離控制制:配置Internet身份驗證證服務以以實現隔隔離控制制配置隔隔離訪訪問規規則的的方法法為VPN配置隔隔離訪訪問規規則每臺服服務器器創建建一個個計算算機規規則元元素，，或者者，可可以創創建一一個包包含被被隔離離的客客戶端端需要要訪問問的所所有計計算機機的計計算機機集配置訪問規規則：允許被隔離離的VPN客戶戶端使用HTTP（HypertextTransferProtocol，超文本本傳輸協議議）來訪問問內部Web服服務器允許被隔離離的VPN客戶戶端使用NetBIOSoverTCP/IP（（使用目標標TCP端口139）），以允許許訪問內部部網絡上的的文件共享享使用目標TCP端端口7250進進行Rqc.exe通通知通信配置隔離訪訪問規則的的方法實驗21-3：配置ISAServer以支持VPN隔離復查隔離客客戶端腳本本使用ConfigureRQSForISA.vbs安裝和配置置網絡隔離離服務確認ISAServer的配置啟用隔離控控制創建連接管管理器配置置文件InternetDen-ISA-01Den-DC-01Den-Clt-01實驗21-3：配置ISAServer以支持VPN隔離回顧學習完本章章后，將能能夠：了解VPN的工作方式式和配置VPN所需需要要的的組組件件配置置ISAServer為遠遠程程客客戶戶端端啟啟用用VPN配置置ISAServer為遠遠程程站站點點啟啟用用VPN配置置ISAServer啟用用VPN隔離離服服務務9、靜夜四無鄰鄰，荒居舊業業貧。。12月-2212月-22Saturday,December31,202210、雨中黃葉葉樹，燈下下白頭人。。。14:53:4514:53:4514:5312/31/20222:53:45PM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2214:53:4514:53Dec-2231-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。14:53:4514:53:4514:53Saturday,December31,202213、乍見見翻疑疑夢，，相悲悲各問問年。。。12月月-2212月月-2214:53:4514:53:45December31,202214、他鄉鄉生白白發，，舊國國見青青山。。。31十十二二月20222:53:45下下午14:53:4512月月-2215、比不了得就就不比，得不不到的就不要要。。。十二月222:53下下午12月-2214:53December31,202216、行動出成果果，工作出財財富。。2022/12/3114:53:4514:53:4531December202217、做前，能夠夠環視四周；；做時，你只只能或者最好好沿著以腳為為起點的射線線向前。。2:53:45下午2:53下下午14:53:4512月-229、沒有失敗敗，只有暫暫時停止成成功！。12月-2212月-22Saturday,December31,202210、很很多多事事情情努努力力了了未未必必有有結結果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。14:53:4514:53:4514:5312/31/20222:53:45PM11、成功就是日日復一日那一一點點小小努努力的積累。。。12月-2214:53:4514:53Dec-2231-Dec-2212、世間間成事事，不不求其其絕對對圓滿滿，留留一份份不足足，可可得無無限完完美。。。14:53:4514:53:4514:53Saturday,December31,202213、不知香香積寺，，數里入入云峰。。。12月-2212月-2214:53:4514:53:45December31,202214、意志堅強的的人能把世界界放在手中像像泥塊一樣任任意揉捏。31十二月月20222:53:45下午14:53:4512月-2215、楚塞