用ISA Server为虚拟专用网络提供安全保障(1)

发表于:2007-06-23来源:作者:点击数: 标签:
用ISA Server为虚拟专用 网络 提供 安全 保障 7.3 用ISA Server为虚拟专用网络提供安全保障 ISA Server可以用来为VPN连接提供安全保障。VPN是为漫游用户和其他跨分支机构连接的工作人员使用的。使用ISA Server的VPN向导可以简化配置ISA ServerVPN连接操作。

   
  用ISA Server为虚拟专用网络提供安全保障
    7.3 用ISA Server为虚拟专用网络提供安全保障

   ISA Server可以用来为VPN连接提供安全保障。VPN是为漫游用户和其他跨分支机构连接的工作人员使用的。使用ISA Server的VPN向导可以简化配置ISA ServerVPN连接操作。该向导可以通过ISA Management中的Network Configuration节点进行访问。

   本节学习目标
   配置ISA Server,为通过Internet连接到ISA Server网络的漫游用户提供安全的访问

   配置ISA Server提供跨分支机构的安全VPN连接

   估计学习时间:35分钟
   7.3.1 集成ISA Server和VPN
   本地网络上的计算机要和远程网络上的计算机通过ISA Server计算机进行通信时,数据封装好后,通过一个VPN信道进行发送。计算机使用PPTP或者L2TP来管理隧道和封装专用数据。通过隧道传送的数据也必须加密后才能使用VPN连接。

   图7.5所示是两个网络之间的一个VPN,两个网络都运行了ISA Server。

   7.3.2 为VPN连接配置网络
   和VPN一起使用的时候,ISA Server安装为集成模式。在ISA Server上配置一个网络连接以连接到ISP上。同时,它还有一个连接到内部网的网络适配器。

   使用向导后,ISA Server配置为VPN服务器,可以在指定的远程客户和网络资源之间通信。通过VPN连接到ISA Server上的客户必须能访问全部的网络资源,例如DNS和Windows Internet命名服务(WINS)。

   客户端可以用漫游用户的身份通过ISP,或者用分支机构用户的身份在另一个ISA Server之后,建立一个和远程ISA Server的连接。

   对漫游用户来说,客户机必须已经配置好了一个到本地ISP的连接(通常情况下,是在网络和拨号连接视窗中配置了一个拨号连接)。然后,必须再配置一个VPN连接。要创建VPN连接,在Windows 2000中运行Network Connection向导,然后选择Connect To A Private Network Through The Internet单选按钮。将VPN连接的目的地址配置为ISA Server计算机的IP地址。
用ISA Server为虚拟专用网络提供安全保障(1)
   图 7.5 VPN与ISA Server集成
   对于从另一台ISA Server计算机之后的分支机构连接到ISA Server网络的用户来说,在每一台ISA Server计算机上,同时运行本地和远程ISA Server才能配置连接。

   7.3.3 使用ISA Server VPN配置向导
   ISA Server中有向导来帮助建立VPN并为之提供安全保障。可以使用向导来配置不同的VPN环境,包括连接到本地网络的移动用户和与其他分支机构连接的分支机构。

   ISA Server包括以下3个向导,可以用来创建ISA VPN连接。在ISA Management中右击Network Configuration节点来运行这些向导。

   LocaISA Server VPN Configuration向导 用这个向导可以建立接收连接的本地ISA Server计算机。也可以安装本地ISA VPN服务器来启动连接。

   Remote ISA Server VPN Configuration向导 用这个向导可以建立能启动和接收连接的ISA Server计算机。

   ISA VirtuaPrivate Network Configuration向导 用这个向导允许漫游用户连接到VPN。

   7.3.3.1 LocaISA Server VPN Configuration向导
   LocaISA Server VPN Configuration向导可以建立一个能从远程ISA VPN服务器上接收连接的本地ISA VPN服务器。该向导创建任何要求从远程VPN服务器接收连接的按需拨号接口。它配置了IP数据包筛选器,这是保护连接所必需的,而且对在运行VPN向导时所选择的协议来说是特定的。它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机上。

   作为本过程的一部分,该向导也创建了一个VPN配置设置(.vpc)文件。建立远程ISA VPN服务器时,要用到此文件。

   Ø     按如下步骤建立本地ISA Server VPN:

   1.  在ISA Management控制台树上,右击Network Configuration节点。

   2.  单击Set Up LocaISA VPN Server菜单选项。

   出现LocaISA Server VPN Configuration向导。

   3.  按照LocaISA Server VPN Configuration向导的说明进行操作。

   运行LocaISA ServerVPN Configuration向导之前,应该清楚以下几点:

   作为LocaISA Server VPN Configuration向导配置过程的一部分,会提示您输入要在其上创建VPN连接用户账户的远程服务器的域名或计算机名。如果该计算机是一个域控制器,输入它的域名。否则,输入计算机的NetBIOS名称。

   如果以缓存模式安装ISA Server,那么不能建立VPN。

   7.3.3.2 Remote ISA Server VPN Configuration向导
   Remote ISA Server VPN Configuration向导建立了一个启动与本地ISA VPN服务器连接的远程ISA VPN服务器。该向导使用.vpc文件。该文件由本地ISA ServerVPN连接向导创建,用来配置对启动与一个特定的本地VPN服务器的连接所必需的任何按需拨号接口。向导还配置了保护连接所必需的IP数据包筛选器,它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主  机上。

   创建的特定的IP数据数据包筛选器取决于本地ISA ServerVPN配置向导创建.vpc文件时所选的协议。

   Ø     按如下步骤以创建ISA Server VPN:

   1.  在ISA Management控制台树上,右击Network Configuration节点。

   2.  右击Set up Remote ISA VPN Server菜单选项。

   出现Remote ISA Server VPN Configuration向导。

   3.  在Remote ISA Server VPN Configuration向导中,按照屏幕上的指示进行操作。

   7.3.3.3 ISA VirtuaPrivate Network Configuration向导
   ISA VirtuePrwate Network Configuration向导在支持漫游客户的ISA Server计算机上建立VPN服务器。VPN服务器支PPTP和IP安全/第2层隧道协议(IPSec/L2TP),并在ISA Server计算机上开放相应的端口允许客户端连接到VPN服务。

   Ø     按如下步骤建立ISA Server接收客户方的VPN请求:

   1.  在ISA Management控制台树上,右击Network Configuration节点。

   2.  单击Allow VPN Client Connections菜单选项。

   出现ISA VirtuaPrivate Network Configuration向导。

   3.  在ISA VirtuaPrivate Network Configuration向导中, 按照屏幕上的指示进行操作。

原文转自:http://www.ltesting.net