在 ISA Server 2004 中发布 VPN 服务器
2007-09-03 15:35:07
最近在做在 ISA Server 2004 中发布 VPN 服务器实验,在网上看了一编,还不错.呵呵
简介
Microsoft Internet Security and Acceleration (ISA) Server 2004 使用服务器发布规则来提供访问内部网络资源的能力,而不会危及内部网络的安全。ISA Server 2004 服务器发布规则包括一个新功能,允许发布虚拟专用网络 (VPN) 服务器。在内部专用网络上的 VPN 服务器现在可以是入站 VPN 连接的终结点。使用网络地址转换 (NAT) 遍历 (NAT-T),VPN 连接可以基于点对点隧道协议 (PPTP)、第 2 层隧道协议 (L2TP) 或 Internet 协议安全 (IPSec) 上的 L2TP。 情境 ISA Server 充当 VPN 服务器。然而,您可能遇到需要发布 VPN 服务器(在 ISA Server 计算机之后的网络中)的情境。例如,您可能拥有一台正在工作的 VPN 服务器(也许是 Microsoft 之外的其他公司提供的产品),并且希望安全地发布该服务器。或者,您可能希望将 ISA Server 计算机的资源用于除承载 VPN 之外的其他功能。 本文档为以下 VPN 服务器发布情境提供了解决方案: ?使用 PPTP 发布点对点虚拟专用网络服务器。 ?使用 NAT-T 发布 IPSec 上的 L2TP 网络地址转换遍历服务器。这种情境需要运行 Microsoft Windows Server 2003 的 VPN 服务器。 ?在不使用 IPSec 的情况下发布只基于 L2TP 的 VPN 服务器。 解决方案 以下章节中讨论的解决方案提供了发布大多数基于 Windows 的操作系统所支持的三种最常见 VPN 连接类型的详细信息,如这些情境中所述。 网络拓扑 要想发布 VPN 服务器,您至少需要: ?作为 ISA Server 计算机的计算机。ISA Server 计算机必须有两个网络适配器。一个适配器将连接到外部网络(代表 Internet),一个适配器将连接到内部网络。 ?外部网络适配器必须拥有静态 IP 地址,拥有到 Internet 的持续连接。 ?作为 VPN 终点的计算机。该计算机必须拥有至少一个连接到内部网络的网络适配器。除了通过 ISA Server 计算机之外,该计算机应没有任何其他到 Internet 的路由。 ?对于 L2TP over IPSec VPN 连接,必须将数字证书安装在 VPN 服务器上。证书颁发机构 (CA) 必须被所有将使用 IPSec VPN 连接上的 L2TP 的客户端信任。有关数字证书的详细信息,请参阅“面向 ISA Server 2004 的数字证书”。 ?所有 L2TP over IPSec 客户端必须已经安装了 NAT-T 更新。有关 NAT-T 更新的详细信息,请参阅 Microsoft 知识库中的文章 818043“面向 Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新”(http://go.microsoft.com/fwlink/?LinkId=28084)。 发布 VPN 服务器演练 本演练指导您完成使用 ISA Server 2004 发布 VPN 服务器的必要步骤。 发布 VPN 服务器演练过程 1:配置 VPN 服务器 在发布 VPN 服务器之前,必须配置 VPN 服务器。此过程在 VPN 服务器上进行。要想配置 VPN 服务器,请遵循这些步骤。 1).安装和配置 VPN 服务器。有关如何安装和配置 VPN 服务器的详细信息,请参阅 Microsoft 知识库中的文章 323441“HOW TO:在 Windows Server 2003 中安装和配置虚拟专用网络服务器”(http://go.microsoft.com/fwlink/?LinkId=28085)。 2).在 VPN 服务器上,将默认网关设置为 ISA Server 计算机的内部接口。 当配置完 VPN 服务器之后,根据您将发布的 VPN 服务器,执行以下过程之一: ?发布 VPN 服务器演练过程 2a:发布 PPTP 上的 VPN ?发布 VPN 服务器演练过程 2b:使用 NAT-T 发布 L2TP/IPSec 上的 VPN ?发布 VPN 服务器演练过程 2c:发布 L2TP 服务器 ?发布 VPN 服务器演练过程 2a:发布 PPTP 上的 VPN 要想发布 VPN 服务器,必须在 ISA Server 计算机上创建服务器发布规则。要想创建服务器发布规则,请遵循以下步骤。 1.在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。 2.在任务窗格的“任务”选项卡上,选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。 3.在“欢迎”页面上,键入新服务器发布规则的名称。使用说明性的名称(如“使用 PPTP 在 Internet 网络中发布 VPN 服务器”),然后单击“下一步”。 4.在“选择服务器”页面上,提供您要发布的服务器的 IP 地址,然后单击“下一步”。 5.在“选择协议”页面上的“已选择协议”中,选择“PPTP 服务器”,然后单击“下一步”。  6.在“IP 地址”页面上,选择将侦听针对已发布服务器的请求的网络 IP 地址。由于是将服务器发布到 Internet 上,请选择“外部”。单击“下一步”。 注意: 默认情况下,ISA Server 将侦听 VPN 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址,而您希望控制为 VPN 访问所发布的 IP 地址,请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框,您可以从中选择侦听特定的 IP 地址。  7.查看向导摘要页面上的信息,然后单击“完成”。 8.在“防火墙策略”详细信息窗格中,单击“应用”以应用新的服务器发布规则。 注意: 您可以通过双击“防火墙策略”详细信息窗格中的规则,打开规则属性对话框,在其中修改任何规则的属性。 发布 VPN 服务器演练过程 2b:使用 NAT-T 发布 L2TP/IPSec 上的 VPN ISA Server 将在所有传入数据包上执行 NAT,所以当您使用 L2TP 时,必须同时使用 NAT 遍历 (NAT-T)。所有 IPSec 上的 L2TP 客户端必须安装了 NAT-T 更新。有关 NAT-T 更新的详细信息,请参阅 Microsoft 知识库中的文章 818043“面向 Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新”(http://go.microsoft.com/fwlink/?LinkId=28084)。此外,VPN 终结点服务器必须运行 Windows Server 2003。 L2TP 上的 IPSec 需要两个发布规则。一个规则将用于发布 Internet 密钥交换 (IKE) 协商,另一个规则将发布 NAT-T。 这个过程假定您已经完成了 VPN 配置。“发布 VPN 服务器演练过程 1:配置 VPN 服务器”中介绍了 VPN 配置。 创建发布 IKE 协商的规则 要想创建发布 IKE 协商的规则,请遵循这些步骤。 1.在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。 2.在任务窗格中的“任务”选项卡上,选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。 3.在“欢迎”页面上,键入新服务器发布规则的名称。使用说明性的名称(如“发布面向 L2TP/IPSec 的 IKE”),然后单击“下一步”。 4.在“选择服务器”页面上,提供您要发布的服务器的 IP 地址,然后单击“下一步”。 5.在“选择协议”页面上的“已选择协议”中,选择“IKE 服务器”,然后单击“下一步”。  6.在“IP 地址”页面上,选择将侦听针对已发布服务器的请求的网络 IP 地址。由于是将服务器发布到 Internet 上,请选择“外部”。单击“下一步”。 注意:默认情况下,ISA Server 将侦听 VPN 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址,而您希望控制为 VPN 访问所发布的 IP 地址,请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框,您可以从中选择侦听特定的 IP 地址。 7.查看向导摘要页面上的信息,然后单击“完成”。 8.在“防火墙策略”详细信息窗格中,单击“应用”以应用新的服务器发布规则。 注意:您可以通过双击“防火墙策略”详细信息窗格中的规则,打开规则属性对话框,在其中修改任何规则的属性。 创建发布 NAT-T 的规则 要想创建发布 NAT-T 的规则,请遵循这些步骤。 1.在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。 2.在任务窗格中的“任务”选项卡上,选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。 3.在“欢迎”页面上,键入新服务器发布规则的名称。使用说明性的名称(如“面向 L2TP/IPSec 的 NAT-T VPN 发布”),然后单击“下一步”。 4.在“选择服务器”页面上,提供您要发布的服务器的 IP 地址,然后单击“下一步”。 5.在“选择协议”页面上的“已选择协议”中,选择“IPSec NAT-T 服务器”,然后单击“下一步”。 6.在“IP 地址”页面上,选择将侦听针对所发布的服务器的请求的网络 IP 地址。由于是将服务器发布到 Internet 上,请选择“外部”。单击“下一步”。 注意:默认情况下,ISA Server 将侦听 VPN 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址,而您希望控制为 VPN 访问所发布的 IP 地址,请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框,您可以从中选择侦听特定的 IP 地址。 7.查看向导摘要页面上的信息,然后单击“完成”。 8.在“防火墙策略”详细信息窗格中,单击“应用”以应用新的服务器发布规则。 注意:您可以通过双击“防火墙策略”详细信息窗格中的规则,打开规则属性对话框,在其中修改任何规则的属性。 发布 VPN 服务器演练过程 2c:发布 L2TP 服务器 当使用不带 IPSec 的 L2TP 时,因为不使用 IPSec,所以无需 NAT 遍历。L2TP 不提供任何数据加密,从而数据将遍历未加密的 VPN。ISA Server 2004 还要求创建面向出站 L2TP 连接的访问策略规则。 除了如“发布 VPN 服务器演练过程 1:配置 VPN 服务器”中说明的那样配置 VPN 服务器配置之外,您必须如 Microsoft 知识库中的文章 310109“HOW TO:禁用自动 L2TP/IPSec 策略”(http://go.microsoft.com/fwlink/?LinkId=28086) 所述那样禁用自动 L2TP/IPSec 策略。禁用自动 IPSec 上的 L2TP 策略将需要您向 VPN 服务器和所有客户端添加注册表项。 创建服务器发布规则 要想创建服务器发布规则,请遵循这些步骤。 1.在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。 2.在任务窗格中的“任务”选项卡上,选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。 3.在“欢迎”页面上,键入新服务器发布规则的名称。使用说明性的名称(如“没有 IPSec 的 L2TP VPN 发布”),然后单击“下一步”。 4.在“选择服务器”页面上,提供您要发布的服务器的 IP 地址,然后单击“下一步”。 5.在“选择协议”页面上的“已选择协议”中,选择“L2TP 服务器”,然后单击“下一步”。  6.在“IP 地址”页面上,选择将侦听针对已发布服务器的请求的网络 IP 地址。 由于是将服务器发布到 Internet 上,请选择“外部”。单击“下一步”。 注意:默认情况下,ISA Server 将侦听 VPN 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址,而您希望控制为 VPN 访问所发布的 IP 地址,请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框,您可以从中选择侦听特定的 IP 地址。 7.查看向导摘要页面上的信息,然后单击“完成”。 注意:您可以在“防火墙策略”详细信息窗格中双击规则,以打开规则属性对话框,从中修改任何规则的属性。 创建访问规则 要想创建访问规则,请遵循以下步骤。 1.在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。 2.在任务窗格中的“任务”选项卡上,选择“创建新的访问规则”以启动“新建访问规则向导”。 3.在向导的“欢迎”页面上,输入访问规则的名称。使用说明性的名称(如“允许来自 L2TP VPN 服务器的 L2TP”),然后单击“下一步”。 4.在“规则操作”页面上,选择“允许”,然后单击“下一步”。 5.在“协议”页面上的“本规则应用于”中,选择“选定的协议”,然后使用“添加”按钮以打开“添加协议”对话框。  6.在“添加协议”对话框中,展开“所有协议”,选择“L2TP 客户端”。单击“添加”,然后单击“关闭”来关闭“添加协议”对话框。  7.在“协议”页面上,单击“下一步”。  8.在“访问规则来源”页面上,单击“添加”以打开“添加网络实体”对话框。 9.在“添加网络实体”对话框中,单击“新建”,然后单击“计算机”。  10.在“新建计算机规则元素”对话框中,提供新建计算机的名称“L2TP VPN 服务器”及其 IP 地址,然后单击“确定”。  11.在“添加网络实体”对话框中,展开“计算机”,选择“L2TP VPN 服务器”,单击“添加”,然后单击“关闭”。在“访问规则来源”页面上,单击“下一步”。 12.在“访问规则目标”页面上,单击“添加”以打开“添加网络实体”对话框,单击“网络”,选择“外部”,单击“添加”,然后单击“关闭”。在“访问规则目标”页面上,单击“下一步”。 13.在“用户集”页面上,保留默认用户集“所有用户”,然后单击“下一步”。 14.查看向导摘要页面上的信息,然后单击“完成”。 15.在“防火墙策略”详细信息窗格中,单击“应用”以应用您前面创建的新访问规则和服务器发布规则。 本文出自 51CTO.COM技术博客 |
长山剑
博客统计信息
热门文章
最新评论
友情链接