用ISA Server为虚拟专用网络提供安全保障
7.3 用ISA Server为虚拟专用网络提供安全保障
ISA Server可以用来为×××连接提供安全保障。×××是为漫游用户和其他跨分支机构连接的工作人员使用的。使用ISA Server的×××向导可以简化配置ISA Server×××连接操作。该向导可以通过ISA Management中的Network Configuration节点进行访问。
本节学习目标
配置ISA Server,为通过Internet连接到ISA Server网络的漫游用户提供安全的访问
配置ISA Server,为通过Internet连接到ISA Server网络的漫游用户提供安全的访问
配置ISA Server提供跨分支机构的安全×××连接
估计学习时间:35分钟
7.3.1 集成ISA Server和×××
本地网络上的计算机要和远程网络上的计算机通过ISA Server计算机进行通信时,数据封装好后,通过一个×××信道进行发送。计算机使用PPTP或者L2TP来管理隧道和封装专用数据。通过隧道传送的数据也必须加密后才能使用×××连接。
7.3.1 集成ISA Server和×××
本地网络上的计算机要和远程网络上的计算机通过ISA Server计算机进行通信时,数据封装好后,通过一个×××信道进行发送。计算机使用PPTP或者L2TP来管理隧道和封装专用数据。通过隧道传送的数据也必须加密后才能使用×××连接。
图7.5所示是两个网络之间的一个×××,两个网络都运行了ISA Server。
7.3.2 为×××连接配置网络
和×××一起使用的时候,ISA Server安装为集成模式。在ISA Server上配置一个网络连接以连接到ISP上。同时,它还有一个连接到内部网的网络适配器。
和×××一起使用的时候,ISA Server安装为集成模式。在ISA Server上配置一个网络连接以连接到ISP上。同时,它还有一个连接到内部网的网络适配器。
使用向导后,ISA Server配置为×××服务器,可以在指定的远程客户和网络资源之间通信。通过×××连接到ISA Server上的客户必须能访问全部的网络资源,例如DNS和Windows Internet命名服务(WINS)。
客户端可以用漫游用户的身份通过ISP,或者用分支机构用户的身份在另一个ISA Server之后,建立一个和远程ISA Server的连接。
对漫游用户来说,客户机必须已经配置好了一个到本地ISP的连接(通常情况下,是在网络和拨号连接视窗中配置了一个拨号连接)。然后,必须再配置一个×××连接。要创建×××连接,在Windows 2000中运行Network Connection向导,然后选择Connect To A Private Network Through The Internet单选按钮。将×××连接的目的地址配置为ISA Server计算机的IP地址。
图 7.5 ×××与ISA Server集成
对于从另一台ISA Server计算机之后的分支机构连接到ISA Server网络的用户来说,在每一台ISA Server计算机上,同时运行本地和远程ISA Server才能配置连接。
图 7.5 ×××与ISA Server集成
对于从另一台ISA Server计算机之后的分支机构连接到ISA Server网络的用户来说,在每一台ISA Server计算机上,同时运行本地和远程ISA Server才能配置连接。
7.3.3 使用ISA Server ×××配置向导
ISA Server中有向导来帮助建立×××并为之提供安全保障。可以使用向导来配置不同的×××环境,包括连接到本地网络的移动用户和与其他分支机构连接的分支机构。
ISA Server中有向导来帮助建立×××并为之提供安全保障。可以使用向导来配置不同的×××环境,包括连接到本地网络的移动用户和与其他分支机构连接的分支机构。
ISA Server包括以下3个向导,可以用来创建ISA ×××连接。在ISA Management中右击Network Configuration节点来运行这些向导。
LocaISA Server ××× Configuration向导 用这个向导可以建立接收连接的本地ISA Server计算机。也可以安装本地ISA ×××服务器来启动连接。
Remote ISA Server ××× Configuration向导 用这个向导可以建立能启动和接收连接的ISA Server计算机。
ISA VirtuaPrivate Network Configuration向导 用这个向导允许漫游用户连接到×××。
7.3.3.1 LocaISA Server ××× Configuration向导 LocaISA Server ××× Configuration向导可以建立一个能从远程ISA ×××服务器上接收连接的本地ISA ×××服务器。该向导创建任何要求从远程×××服务器接收连接的按需拨号接口。它配置了IP数据包筛选器,这是保护连接所必需的,而且对在运行×××向导时所选择的协议来说是特定的。它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机上。
作为本过程的一部分,该向导也创建了一个×××配置设置(.vpc)文件。建立远程ISA ×××服务器时,要用到此文件。
Ø 按如下步骤建立本地ISA Server ×××:
1. 在ISA Management控制台树上,右击Network Configuration节点。
2. 单击Set Up LocaISA ××× Server菜单选项。
出现LocaISA Server ××× Configuration向导。
3. 按照LocaISA Server ××× Configuration向导的说明进行操作。
运行LocaISA Server××× Configuration向导之前,应该清楚以下几点:
作为LocaISA Server ××× Configuration向导配置过程的一部分,会提示您输入要在其上创建×××连接用户账户的远程服务器的域名或计算机名。如果该计算机是一个域控制器,输入它的域名。否则,输入计算机的NetBIOS名称。
如果以缓存模式安装ISA Server,那么不能建立×××。
7.3.3.2 Remote ISA Server ××× Configuration向导
Remote ISA Server ××× Configuration向导建立了一个启动与本地ISA ×××服务器连接的远程ISA ×××服务器。该向导使用.vpc文件。该文件由本地ISA Server×××连接向导创建,用来配置对启动与一个特定的本地×××服务器的连接所必需的任何按需拨号接口。向导还配置了保护连接所必需的IP数据包筛选器,它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机上。
Remote ISA Server ××× Configuration向导建立了一个启动与本地ISA ×××服务器连接的远程ISA ×××服务器。该向导使用.vpc文件。该文件由本地ISA Server×××连接向导创建,用来配置对启动与一个特定的本地×××服务器的连接所必需的任何按需拨号接口。向导还配置了保护连接所必需的IP数据包筛选器,它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机上。
创建的特定的IP数据数据包筛选器取决于本地ISA Server×××配置向导创建.vpc文件时所选的协议。
Ø 按如下步骤以创建ISA Server ×××:
1. 在ISA Management控制台树上,右击Network Configuration节点。
2. 右击Set up Remote ISA ××× Server菜单选项。
出现Remote ISA Server ××× Configuration向导。
3. 在Remote ISA Server ××× Configuration向导中,按照屏幕上的指示进行操作。
7.3.3.3 ISA VirtuaPrivate Network Configuration向导
ISA VirtuePrwate Network Configuration向导在支持漫游客户的ISA Server计算机上建立×××服务器。×××服务器支PPTP和IP安全/第2层隧道协议(IPSec/L2TP),并在ISA Server计算机上开放相应的端口允许客户端连接到×××服务。
ISA VirtuePrwate Network Configuration向导在支持漫游客户的ISA Server计算机上建立×××服务器。×××服务器支PPTP和IP安全/第2层隧道协议(IPSec/L2TP),并在ISA Server计算机上开放相应的端口允许客户端连接到×××服务。
Ø 按如下步骤建立ISA Server接收客户方的×××请求:
1. 在ISA Management控制台树上,右击Network Configuration节点。
2. 单击Allow ××× Client Connections菜单选项。
出现ISA VirtuaPrivate Network Configuration向导。
3. 在ISA VirtuaPrivate Network Configuration向导中, 按照屏幕上的指示进行操作。
7.3.4 重新配置×××
建立了ISA ×××服务器之后,您可能还想为其他协议也添加支持。例如,您开始配置服务器的时候,也许会选择使用PPTP协议。后来,或许想使用L2TP协议。
建立了ISA ×××服务器之后,您可能还想为其他协议也添加支持。例如,您开始配置服务器的时候,也许会选择使用PPTP协议。后来,或许想使用L2TP协议。
Ø 按如下步骤配置ISA Server允许使用附加协议:
1. 使用Routing and Remote Access控制台来确定相应的网络接口。
2. 在Networking属性页中,访问界面属性然后选择相关的协议。
3. 为了增加PPTP支持,使用ISA Management创建一个IP数据包筛选器,允许PPTP协议。
IP数据包筛选器应按如下参数进行配置:
u 使用两个预定义的筛选器,PPTP Call和PPTP Receive。
u LocaComputer设置配置为本地ISA ×××服务器的外部IP地址。
u Remote Computer设置配置为远程ISA ×××服务器的IP地址。
4. 要增加L2TP支持, 必须创建两个IP数据包筛选器. 将其中一个IP数据包筛选器按如下参数配置:
u 筛选器只应用于本地服务器。
u 筛选器的模式是Allow。
u 筛选器的类型是Custom,在端口500上使用UDP。
u LocaComputer设置配置为本地ISA ×××服务器的外部IP地址。
u Remote Computer设置配置为远程ISA ×××服务器的IP地址。
将另一个IP数据数据包筛选器按如下参数配置:
u 筛选器只应用于本地服务器。
u 筛选器的模式是Allow。
u 筛选器的类型是Custom,在端口1701上使用UDP。
u LocaComputer设置配置为本地ISA ×××服务器的外部IP地址。
u Remote Computer设置配置为远程ISA ×××服务器的IP地址。
7.3.5 ISA Server和IPSec
ISA Server配置为IPSec/L2TP ×××服务器时,ISA Server计算机上的IPSec驱动就启用了。
ISA Server配置为IPSec/L2TP ×××服务器时,ISA Server计算机上的IPSec驱动就启用了。
启用IPSec时,验证报头(AH)和封装安全有效荷载(ESP)(IP协议50和51)是由IPSec驱动程序控制,而不是ISA Server的数据包筛选器驱动程序。在这种情况下,IPSec驱动程序允许控制通过隧道的通信。IPSec驱动保证了只有受有效的AH和ESP保护的通信才容许进入网络。
ISA Server计算机上的IPSec没有启用时,由ISA Server策略来控制哪些数据包容许通过而哪些数据包应该阻塞。该策略还对所有经过ISA Server的通信进行记录,包括IPSec AH和ESP协议。
如果ISA Server配置成阻塞IP片段,那么所有的IP片段都会被阻塞,包括AH和ESP片段,即使启用IPSec了也是这样。
7.3.6 具备×××和路由的大型网络环境
ISA Server可以配置在地理上分散的大型网络中。为了适应用户的需要,必要时ISA Server阵列可以在主干机构和分支机构中进行配置。这样允许公司的网络管理员把整个公司的安全和缓存策略集中化。
ISA Server可以配置在地理上分散的大型网络中。为了适应用户的需要,必要时ISA Server阵列可以在主干机构和分支机构中进行配置。这样允许公司的网络管理员把整个公司的安全和缓存策略集中化。
因为ISA Server计算机可以从本地缓存满足用户对Internet对象的请求,这也清除了对于分支机构性能的顾虑。
1. 大型网络×××描述
这一节展现的是这样一个场景,一个大型公司要求ISA Server和×××一起使用。在此场景中所使用的公司在美国有一个总部,有两个分支机构,一个在加拿大,一个在英国。该公司需要安全的Internet访问,并且有如下要求:
这一节展现的是这样一个场景,一个大型公司要求ISA Server和×××一起使用。在此场景中所使用的公司在美国有一个总部,有两个分支机构,一个在加拿大,一个在英国。该公司需要安全的Internet访问,并且有如下要求:
由美国的总部决定的Internet访问指导方针,应该在整个公司中一致采用。所有的雇员允许访问所有的站点,使用常用的Web协议:HTTP、HTTPS以及FTP。
英国分公司应该有附加的防火墙安全保障。
从英国分公司到美国总部的连接的成本应该比较低。
英国分公司的ISA Server计算机应该能够缓存来自位于本国的Web服务器的本地内容。
加拿大的分公司必须有缓存服务器,以便该地的员工更方便的访问内容,而且也会减少Internet通信量。
7.3.7 满足网络要求
因为该公司要求对所有的分公司采用相同的企业策略,因此在所有的分公司中ISA Server计算机应作为阵列成员进行安装,即使在每个分公司中只有一台ISA Server计算机。
因为该公司要求对所有的分公司采用相同的企业策略,因此在所有的分公司中ISA Server计算机应作为阵列成员进行安装,即使在每个分公司中只有一台ISA Server计算机。
7.3.7.1 美国总部的ISA Server阵列
总部阵列的每一个成员都配置了两个网络适配器:一个适配器连接到内部网上,另一个连接到Internet上。假设已有通过路由器、T1/E1与ISP的直接连接。
总部阵列的每一个成员都配置了两个网络适配器:一个适配器连接到内部网上,另一个连接到Internet上。假设已有通过路由器、T1/E1与ISP的直接连接。
7.3.7.2 加拿大分公司的ISA Server阵列
加拿大分公司的ISA Server计算机缓存Web内容以减少Web通信量。这样就减少了总部的ISA Server计算机的部分工作。加拿大分部的ISA Server计算机用缓存模式进行安装,并与总部的ISA Server计算机相连。ISA Server计算机由两个网络适配器,一个连接到本地路由器上,另一个连接到总部的路由器上。
加拿大分公司的ISA Server计算机缓存Web内容以减少Web通信量。这样就减少了总部的ISA Server计算机的部分工作。加拿大分部的ISA Server计算机用缓存模式进行安装,并与总部的ISA Server计算机相连。ISA Server计算机由两个网络适配器,一个连接到本地路由器上,另一个连接到总部的路由器上。
7.3.7.3 英国分公司的ISA Server阵列
英国分公司的ISA Server计算机安装了两个网络适配器:一个网络适配器连接到分公司的局部网上,一个调制解调器或者ISDN适配器连接到Internet上。位于英国Web服务器用户对本地内容的请求直接发送到一个ISP。其他所有请求都发送给总部。
英国分公司的ISA Server计算机安装了两个网络适配器:一个网络适配器连接到分公司的局部网上,一个调制解调器或者ISDN适配器连接到Internet上。位于英国Web服务器用户对本地内容的请求直接发送到一个ISP。其他所有请求都发送给总部。
英国的ISA Server阵列安装为集成模式,作为英国分部的防火墙和缓存服务器。ISA Server计算机通过×××连接到总部的阵列。
图 7.6说明了这种网络配置。
7.3.7.4 总部的企业策略
总部安装了ISA Server之后,管理员用ISA Management来完成企业策略配置。企业策略在总部配置,并应用到企业中的所有阵列中——加拿大分公司、英国分公司和美国总部。
总部安装了ISA Server之后,管理员用ISA Management来完成企业策略配置。企业策略在总部配置,并应用到企业中的所有阵列中——加拿大分公司、英国分公司和美国总部。
要配置网络并应用企业策略,企业管理员必须在总部完成如下工作:
1. 按如下规则创建一个名为Corporate Policy的企业策略:
u 允许每个人访问所有站点的站点和内容规则。
u 允许每个人使用如下协议的协议规则: FTP、HTTP和HTTPS
2. 将Corporate Policy 设定为将由所有分公司继承的默认企业策略。
2. 将Corporate Policy 设定为将由所有分公司继承的默认企业策略。
3. 将英国分公司配置为通过×××连接到总部的ISA Server阵列。在美国的ISA Server计算机中至少有一台必须配置为×××服务器。
4. 在美国的ISA Server上配置LAT, 添加英国的网络IP地址范围。
5. 使用LocaISA Server ××× Configuration向导来为×××连接安装ISA Server。向导创建了IP数据包筛选器,这取决于所选择的协议:L2TP或着是PPTP。它还把静态路由设置为通过隧道把通信从本地络转发到远程网络的主机。最后,向导还创建了一个.vpc文件。在配置ISA Server时,远程×××服务器 (在美国)会使用该文件。
7.3.7.5 加拿大分公司的ISA Server阵列
既然加拿大分公司的ISA Server计算机在总部的网络上,它需要一个外部网络适配器(相对于调制解调器)连接到总部的ISA Server计算机上。
既然加拿大分公司的ISA Server计算机在总部的网络上,它需要一个外部网络适配器(相对于调制解调器)连接到总部的ISA Server计算机上。
因为名为Corporate Policy的企业策略已经被设为默认值,它会自动应用到加拿大的ISA Server计算机上。因此,不需要为加拿大分公司配置特别的策略规则。
定时内容下载作业配置为预缓存来自总部的指定内容。这样进一步地提高了网络性能。
加拿大分公司的网络管理员可以按如下步骤配置本地ISA Server计算机:
1. 配置路由策略,将来自Web代理服务器的请求重定向到总部的上游ISA Server计算机。
2. 创建定时内容下载作业,把经常访问的对象下载到本地缓存中。如果该对象已经在总部的缓存中,它们会从那里被下载。否则,总部的ISA Server计算机会将请求转发到Internet。
7.3.7.6 英国分公司的ISA Server阵列
英国的分公司通过Internet,以×××的方式连接到美国的总部。
英国的分公司通过Internet,以×××的方式连接到美国的总部。
英国分公司的网络管理员应执行如下步骤来将ISA Server计算机配置为×××服务器:
1. 在本地网络上安装一个DNS服务器,它是对经常被访问的公司网络域的辅助。DNS服务器应该用一个Internet上的DNS服务器作为转发器来帮助解析所有其他的名称请求。
2. 在本地ISA Server上配置LAT,增加公司网络的地址范围(在美国)。任何外部(Internet)IP地址必须排除在外。
3. 使用由企业管理员在总部创建的.vpc文件,用Remote ISA Server ××× Configuration向导为×××连接建立网络的ISA Server。
Remote ISA Server ××× Configuration向导建立了一个ISA ×××服务器, 它可以启动到远程ISA ×××服务器的连接。
4. 创建一个路由规则,将在英国的所有对Internet对象(在域名中有.uk后缀)的请求直接路由到Internet。然后创建一个路由规则将所有其他请求发送到总部的上游ISA Server阵列。
7.3.8 小结
本地网络上的计算机在Internet上,通过ISA Server计算机和远程网络上的计算机进行通信时,该计算机使用PPTP或者L2TP来管理隧道和封装专用数据。这就是所说的虚拟专用网(×××)。
本地网络上的计算机在Internet上,通过ISA Server计算机和远程网络上的计算机进行通信时,该计算机使用PPTP或者L2TP来管理隧道和封装专用数据。这就是所说的虚拟专用网(×××)。
ISA Server有向导来帮助您创建一个×××并为之提供安全保障。您可以使用向导将移动用户连接到本地网络,或者将各个分支机构彼此连接起来。
本地ISA Server×××配置向导允许您安装本地ISA Server来启动和接收连接。远程ISA Server×××配置向导许您配置远程ISA Server来启动和接收连接。ISA VirtuaPrivate Network Configuration向导允许漫游用户连接到×××。
7.4 本章复习
下列问题帮助您巩固本章所讲的关键知识。如果您回答下列问题有困难,请先复习相关各节,然后再试着回答问题。问题的答案在附录A中。
下列问题帮助您巩固本章所讲的关键知识。如果您回答下列问题有困难,请先复习相关各节,然后再试着回答问题。问题的答案在附录A中。
1. 您已经创建了一个企业策略,现在您想将它应用到阵列Branch1上。怎样把企业策略应用到阵上?在什么情况下阵列级的策略会删除?在什么情况下不能将策略应用到阵 列上?
2. 已有的阵列正在使用默认的企业策略时,如何修改该默认值?
3. 如何让阵列中的一台计算机处理超过它的网络请求的比例份额?
4. 独立ISA Servers必须安装在域中吗?能将一个企业策略应用到独立ISA Server的安装中吗?
5. ISA Server包括3个向导来简化×××配置。这3个向导的主要目的分别是什么?
转载于:https://blog.51cto.com/luodie/21525
扫一扫
1473
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
