用ISA Server为虚拟专用网络提供安全保障（2）

　　 
　　用ISA Server为虚拟专用网络提供安全保障
　　 7.3.4　重新配置VPN
　　 建立了ISA VPN服务器之后，您可能还想为其他协议也添加支持。例如，您开始配置服务器的时候，也许会选择使用PPTP协议。后来，或许想使用L2TP协议。

　　 Ø　　　　　按如下步骤配置ISA Server允许使用附加协议：

　　 1.　　使用Routing and Remote Aclearcase/" target="_blank" >ccess控制台来确定相应的网络接口。

　　 2.　　在Networking属性页中，访问界面属性然后选择相关的协议。

　　 3.　　为了增加PPTP支持，使用ISA Management创建一个IP数据包筛选器，允许PPTP　　协议。

　　 IP数据包筛选器应按如下参数进行配置：

　　 u　　　　　使用两个预定义的筛选器，PPTP Call和PPTP Receive。

　　 u　　　　　LocaComputer设置配置为本地ISA VPN服务器的外部IP地址。

　　 u　　　　　Remote Computer设置配置为远程ISA VPN服务器的IP地址。

　　 4.　　要增加L2TP支持， 必须创建两个IP数据包筛选器. 将其中一个IP数据包筛选器按如下参数配置：

　　 u　　　　　筛选器只应用于本地服务器。

　　 u　　　　　筛选器的模式是Allow。

　　 u　　　　　筛选器的类型是Custom，在端口500上使用UDP。

　　 u　　　　　LocaComputer设置配置为本地ISA VPN服务器的外部IP地址。

　　 u　　　　　Remote Computer设置配置为远程ISA VPN服务器的IP地址。

　　 将另一个IP数据数据包筛选器按如下参数配置：

　　 u　　　　　筛选器只应用于本地服务器。

　　 u　　　　　筛选器的模式是Allow。

　　 u　　　　　筛选器的类型是Custom，在端口1701上使用UDP。

　　 u　　　　　LocaComputer设置配置为本地ISA VPN服务器的外部IP地址。

　　 u　　　　　Remote Computer设置配置为远程ISA VPN服务器的IP地址。

　　 7.3.5　ISA Server和IPSec
　　 ISA Server配置为IPSec/L2TP VPN服务器时，ISA Server计算机上的IPSec驱动就启用了。

　　 启用IPSec时，验证报头(AH)和封装安全有效荷载(ESP)(IP协议50和51)是由IPSec驱动程序控制，而不是ISA Server的数据包筛选器驱动程序。在这种情况下，IPSec驱动程序允许控制通过隧道的通信。IPSec驱动保证了只有受有效的AH和ESP保护的通信才容许进入网络。

　　 ISA Server计算机上的IPSec没有启用时，由ISA Server策略来控制哪些数据包容许通过而哪些数据包应该阻塞。该策略还对所有经过ISA Server的通信进行记录，包括IPSec AH和ESP协议。

　　 如果ISA Server配置成阻塞IP片段，那么所有的IP片段都会被阻塞，包括AH和ESP片段，即使启用IPSec了也是这样。

　　 7.3.6　具备VPN和路由的大型网络环境
　　 ISA Server可以配置在地理上分散的大型网络中。为了适应用户的需要，必要时ISA Server阵列可以在主干机构和分支机构中进行配置。这样允许公司的网络管理员把整个公司的安全和缓存策略集中化。因为ISA Server计算机可以从本地缓存满足用户对Inte.net对象的请求，这也清除了对于分支机构性能的顾虑。

　　 1. 大型网络VPN描述
　　 这一节展现的是这样一个场景，一个大型公司要求ISA Server和VPN一起使用。在此场景中所使用的公司在美国有一个总部，有两个分支机构，一个在加拿大，一个在英国。该公司需要安全的Internet访问，并且有如下要求：

　　 由美国的总部决定的Internet访问指导方针，应该在整个公司中一致采用。所有的雇员允许访问所有的站点，使用常用的Web协议：HTTP、HTTPS以及FTP。

　　 英国分公司应该有附加的防火墙安全保障。

　　 从英国分公司到美国总部的连接的成本应该比较低。

　　 英国分公司的ISA Server计算机应该能够缓存来自位于本国的Web服务器的本地内容。

　　 加拿大的分公司必须有缓存服务器，以便该地的员工更方便的访问内容，而且也会减少Internet通信量。

原文转自：http://www.ltesting.net