用ISA Server为虚拟专用网络提供安全保障（3）

　　 
　　用ISA Server为虚拟专用网络提供安全保障
　　 7.3.7　满足网络要求
　　 因为该公司要求对所有的分公司采用相同的企业策略，因此在所有的分公司中ISA Server计算机应作为阵列成员进行安装，即使在每个分公司中只有一台ISA Server计算机。

　　 7.3.7.1 美国总部的ISA Server阵列
　　 总部阵列的每一个成员都配置了两个网络适配器：一个适配器连接到内部网上，另一个连接到Internet上。假设已有通过路由器、T1/E1与ISP的直接连接。

　　 7.3.7.2 加拿大分公司的ISA Server阵列
　　 加拿大分公司的ISA Server计算机缓存Web内容以减少Web通信量。这样就减少了总部的ISA Server计算机的部分工作。加拿大分部的ISA Server计算机用缓存模式进行安装，并与总部的ISA Server计算机相连。ISA Server计算机由两个网络适配器，一个连接到本地路由器上，另一个连接到总部的路由器上。

　　 7.3.7.3 英国分公司的ISA Server阵列
　　 英国分公司的ISA Server计算机安装了两个网络适配器：一个网络适配器连接到分公司的局部网上，一个调制解调器或者ISDN适配器连接到Internet上。位于英国Web服务器用户对本地内容的请求直接发送到一个ISP。其他所有请求都发送给总部。

　　 英国的ISA Server阵列安装为集成模式，作为英国分部的防火墙和缓存服务器。ISA Server计算机通过VPN连接到总部的阵列。

　　 图 7.6说明了这种网络配置。

　　 7.3.7.4 总部的企业策略
　　 总部安装了ISA Server之后，管理员用ISA Management来完成企业策略配置。企业策略在总部配置，并应用到企业中的所有阵列中——加拿大分公司、英国分公司和美国总部。

　　 要配置网络并应用企业策略，企业管理员必须在总部完成如下工作：

　　 1.　　按如下规则创建一个名为Corporate Policy的企业策略：

　　 u　　　　　允许每个人访问所有站点的站点和内容规则。

　　 u　　　　　允许每个人使用如下协议的协议规则： FTP、HTTP和HTTPS

　　 2.　　将Corporate Policy 设定为将由所有分公司继承的默认企业策略。

　　 3.　　 将英国分公司配置为通过VPN连接到总部的ISA Server阵列。在美国的ISA Server计算机中至少有一台必须配置为VPN服务器。

　　 4.　　在美国的ISA Server上配置LAT， 添加英国的网络IP地址范围。

　　 5.　　 使用LocaISA Server VPN Configuration向导来为VPN连接安装ISA Server。向导创建了IP数据包筛选器，这取决于所选择的协议：L2TP或着是PPTP。它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机。最后，向导还创建了一个.vpc文件。在配置ISA Server时，远程VPN服务器 (在美国)会使用该文件。

　　 7.3.7.5 加拿大分公司的ISA Server阵列
　　 既然加拿大分公司的ISA Server计算机在总部的网络上，它需要一个外部网络适配器(相对于调制解调器)连接到总部的ISA Server计算机上。

　　 因为名为Corporate Policy的企业策略已经被设为默认值，它会自动应用到加拿大的ISA Server计算机上。因此，不需要为加拿大分公司配置特别的策略规则。

　　 定时内容下载作业配置为预缓存来自总部的指定内容。这样进一步地提高了网络性能。

　　 加拿大分公司的网络管理员可以按如下步骤配置本地ISA Server计算机：

　　 1.　　 配置路由策略，将来自Web代理服务器的请求重定向到总部的上游ISA Server计算机。

　　 2.　　 创建定时内容下载作业，把经常访问的对象下载到本地缓存中。如果该对象已经在总部的缓存中，它们会从那里被下载。否则，总部的ISA Server计算机会将请求转发到Internet。

　　 7.3.7.6 英国分公司的ISA Server阵列
　　 英国的分公司通过Internet，以VPN的方式连接到美国的总部。

　　 英国分公司的网络管理员应执行如下步骤来将ISA Server计算机配置为VPN服务器：

　　 1.　　 在本地网络上安装一个DNS服务器，它是对经常被访问的公司网络域的辅助。DNS服务器应该用一个Internet上的DNS服务器作为转发器来帮助解析所有其他的名称请求。

　　 2.　　 在本地ISA Server上配置LAT，增加公司网络的地址范围(在美国)。任何外部(Internet)IP地址必须排除在外。

　　 3.　　 使用由企业管理员在总部创建的.vpc文件，用Remote ISA Server VPN Configuration向导为VPN连接建立网络的ISA Server。

　　 Remote ISA Server VPN Configuration向导建立了一个ISA VPN服务器， 它可以启动到远程ISA VPN服务器的连接。

　　 4.　　 创建一个路由规则，将在英国的所有对Internet对象(在域名中有.uk后缀)的请求直接路由到Internet。然后创建一个路由规则将所有其他请求发送到总部的上游ISA Server阵列。

　　 7.3.8　小结
　　 本地网络上的计算机在Internet上，通过ISA Server计算机和远程网络上的计算机进行通信时，该计算机使用PPTP或者L2TP来管理隧道和封装专用数据。这就是所说的虚拟专用网(VPN)。

　　 ISA Server有向导来帮助您创建一个VPN并为之提供安全保障。您可以使用向导将移动用户连接到本地网络，或者将各个分支机构彼此连接起来。

　　 本地ISA ServerVPN配置向导允许您安装本地ISA Server来启动和接收连接。远程ISA ServerVPN配置向导许您配置远程ISA Server来启动和接收连接。ISA VirtuaPrivate Network Configuration向导允许漫游用户连接到VPN。

　　 7.4　本章复习
　　 下列问题帮助您巩固本章所讲的关键知识。如果您回答下列问题有困难，请先复习相关各节，然后再试着回答问题。问题的答案在附录A中。

　　 1.　　您已经创建了一个企业策略，现在您想将它应用到阵列Branch1上。怎样把企业策略应用到阵列上？在什么情况下阵列级的策略会删除？在什么情况下不能将策略应用到阵　　列上？

　　 2.　已有的阵列正在使用默认的企业策略时，如何修改该默认值?

　　 3.　如何让阵列中的一台计算机处理超过它的网络请求的比例份额?

　　 4.　独立ISA Servers必须安装在域中吗?能将一个企业策略应用到独立ISA Server的安装中吗?

　　 5.　ISA Server包括3个向导来简化VPN配置。这3个向导的主要目的分别是什么? （小节完）

原文转自：http://www.ltesting.net