7.3 用ISA Server为虚拟专用网络提供安全保障
ISA Server可以用来为×××连接提供安全保障。×××是为漫游用户和其他跨分支机构连接的工作人员使用的。使用ISA Server的×××向导可以简化配置ISA Server×××连接操作。该向导可以通过ISA Management中的Network Configuration节点进行访问。
luodie 51cto技术博客
估计学习时间:35分钟
7.3.1 集成ISA Server和×××
本地网络上的计算机要和远程网络上的计算机通过ISA Server计算机进行通信时,数据封装好后,通过一个×××信道进行发送。计算机使用PPTP或者L2TP来管理隧道和封装专用数据。通过隧道传送的数据也必须加密后才能使用×××连接。
luodie 51cto技术博客
7.3.2 为×××连接配置网络
和×××一起使用的时候,ISA Server安装为集成模式。在ISA Server上配置一个网络连接以连接到ISP上。同时,它还有一个连接到内部网的网络适配器。
luodie 51cto技术博客
使用向导后,ISA Server配置为×××服务器,可以在指定的远程客户和网络资源之间通信。通过×××连接到ISA Server上的客户必须能访问全部的网络资源,例如DNS和Windows Internet命名服务(WINS)。
luodie 51cto技术博客
客户端可以用漫游用户的身份通过ISP,或者用分支机构用户的身份在另一个ISA Server之后,建立一个和远程ISA Server的连接。
luodie 51cto技术博客
对漫游用户来说,客户机必须已经配置好了一个到本地ISP的连接(通常情况下,是在网络和拨号连接视窗中配置了一个拨号连接)。然后,必须再配置一个×××连接。要创建×××连接,在Windows 2000中运行Network Connection向导,然后选择Connect To A Private Network Through The Internet单选按钮。将×××连接的目的地址配置为ISA Server计算机的IP地址。
图 7.5 ×××与ISA Server集成
对于从另一台ISA Server计算机之后的分支机构连接到ISA Server网络的用户来说,在每一台ISA Server计算机上,同时运行本地和远程ISA Server才能配置连接。
luodie 51cto技术博客
7.3.3 使用ISA Server ×××配置向导
ISA Server中有向导来帮助建立×××并为之提供安全保障。可以使用向导来配置不同的×××环境,包括连接到本地网络的移动用户和与其他分支机构连接的分支机构。
luodie 51cto技术博客
ISA Server包括以下3个向导,可以用来创建ISA ×××连接。在ISA Management中右击Network Configuration节点来运行这些向导。
luodie 51cto技术博客
LocaISA Server ××× Configuration向导 用这个向导可以建立接收连接的本地ISA Server计算机。也可以安装本地ISA ×××服务器来启动连接。
luodie 51cto技术博客
Remote ISA Server ××× Configuration向导 用这个向导可以建立能启动和接收连接的ISA Server计算机。
luodie 51cto技术博客
7.3.3.1 LocaISA Server ××× Configuration向导 LocaISA Server ××× Configuration向导可以建立一个能从远程ISA ×××服务器上接收连接的本地ISA ×××服务器。该向导创建任何要求从远程×××服务器接收连接的按需拨号接口。它配置了IP数据包筛选器,这是保护连接所必需的,而且对在运行×××向导时所选择的协议来说是特定的。它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机上。
luodie 51cto技术博客
作为LocaISA Server ××× Configuration向导配置过程的一部分,会提示您输入要在其上创建×××连接用户账户的远程服务器的域名或计算机名。如果该计算机是一个域控制器,输入它的域名。否则,输入计算机的NetBIOS名称。
luodie 51cto技术博客
7.3.3.2 Remote ISA Server ××× Configuration向导
Remote ISA Server ××× Configuration向导建立了一个启动与本地ISA ×××服务器连接的远程ISA ×××服务器。该向导使用.vpc文件。该文件由本地ISA Server×××连接向导创建,用来配置对启动与一个特定的本地×××服务器的连接所必需的任何按需拨号接口。向导还配置了保护连接所必需的IP数据包筛选器,它还把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机上。
luodie 51cto技术博客
7.3.3.3 ISA VirtuaPrivate Network Configuration向导
ISA VirtuePrwate Network Configuration向导在支持漫游客户的ISA Server计算机上建立×××服务器。×××服务器支PPTP和IP安全/第2层隧道协议(IPSec/L2TP),并在ISA Server计算机上开放相应的端口允许客户端连接到×××服务。
luodie 51cto技术博客
7.3.4 重新配置×××
建立了ISA ×××服务器之后,您可能还想为其他协议也添加支持。例如,您开始配置服务器的时候,也许会选择使用PPTP协议。后来,或许想使用L2TP协议。
luodie 51cto技术博客
7.3.5 ISA Server和IPSec
ISA Server配置为IPSec/L2TP ×××服务器时,ISA Server计算机上的IPSec驱动就启用了。
luodie 51cto技术博客
启用IPSec时,验证报头(AH)和封装安全有效荷载(ESP)(IP协议50和51)是由IPSec驱动程序控制,而不是ISA Server的数据包筛选器驱动程序。在这种情况下,IPSec驱动程序允许控制通过隧道的通信。IPSec驱动保证了只有受有效的AH和ESP保护的通信才容许进入网络。
luodie 51cto技术博客
ISA Server计算机上的IPSec没有启用时,由ISA Server策略来控制哪些数据包容许通过而哪些数据包应该阻塞。该策略还对所有经过ISA Server的通信进行记录,包括IPSec AH和ESP协议。
luodie 51cto技术博客
如果ISA Server配置成阻塞IP片段,那么所有的IP片段都会被阻塞,包括AH和ESP片段,即使启用IPSec了也是这样。
luodie 51cto技术博客
7.3.6 具备×××和路由的大型网络环境
ISA Server可以配置在地理上分散的大型网络中。为了适应用户的需要,必要时ISA Server阵列可以在主干机构和分支机构中进行配置。这样允许公司的网络管理员把整个公司的安全和缓存策略集中化。
luodie 51cto技术博客
1. 大型网络×××描述
这一节展现的是这样一个场景,一个大型公司要求ISA Server和×××一起使用。在此场景中所使用的公司在美国有一个总部,有两个分支机构,一个在加拿大,一个在英国。该公司需要安全的Internet访问,并且有如下要求:
luodie 51cto技术博客
由美国的总部决定的Internet访问指导方针,应该在整个公司中一致采用。所有的雇员允许访问所有的站点,使用常用的Web协议:HTTP、HTTPS以及FTP。
luodie 51cto技术博客
7.3.7 满足网络要求
因为该公司要求对所有的分公司采用相同的企业策略,因此在所有的分公司中ISA Server计算机应作为阵列成员进行安装,即使在每个分公司中只有一台ISA Server计算机。
luodie 51cto技术博客
7.3.7.1 美国总部的ISA Server阵列
总部阵列的每一个成员都配置了两个网络适配器:一个适配器连接到内部网上,另一个连接到Internet上。假设已有通过路由器、T1/E1与ISP的直接连接。
luodie 51cto技术博客
7.3.7.2 加拿大分公司的ISA Server阵列
加拿大分公司的ISA Server计算机缓存Web内容以减少Web通信量。这样就减少了总部的ISA Server计算机的部分工作。加拿大分部的ISA Server计算机用缓存模式进行安装,并与总部的ISA Server计算机相连。ISA Server计算机由两个网络适配器,一个连接到本地路由器上,另一个连接到总部的路由器上。
luodie 51cto技术博客
7.3.7.3 英国分公司的ISA Server阵列
英国分公司的ISA Server计算机安装了两个网络适配器:一个网络适配器连接到分公司的局部网上,一个调制解调器或者ISDN适配器连接到Internet上。位于英国Web服务器用户对本地内容的请求直接发送到一个ISP。其他所有请求都发送给总部。
luodie 51cto技术博客
英国的ISA Server阵列安装为集成模式,作为英国分部的防火墙和缓存服务器。ISA Server计算机通过×××连接到总部的阵列。
luodie 51cto技术博客
7.3.7.4 总部的企业策略
总部安装了ISA Server之后,管理员用ISA Management来完成企业策略配置。企业策略在总部配置,并应用到企业中的所有阵列中——加拿大分公司、英国分公司和美国总部。
luodie 51cto技术博客
u 允许每个人使用如下协议的协议规则: FTP、HTTP和HTTPS
2. 将Corporate Policy 设定为将由所有分公司继承的默认企业策略。
luodie 51cto技术博客
3. 将英国分公司配置为通过×××连接到总部的ISA Server阵列。在美国的ISA Server计算机中至少有一台必须配置为×××服务器。
luodie 51cto技术博客
5. 使用LocaISA Server ××× Configuration向导来为×××连接安装ISA Server。向导创建了IP数据包筛选器,这取决于所选择的协议:L2TP或着是PPTP。它还把静态路由设置为通过隧道把通信从本地络转发到远程网络的主机。最后,向导还创建了一个.vpc文件。在配置ISA Server时,远程×××服务器 (在美国)会使用该文件。
luodie 51cto技术博客
7.3.7.5 加拿大分公司的ISA Server阵列
既然加拿大分公司的ISA Server计算机在总部的网络上,它需要一个外部网络适配器(相对于调制解调器)连接到总部的ISA Server计算机上。
luodie 51cto技术博客
因为名为Corporate Policy的企业策略已经被设为默认值,它会自动应用到加拿大的ISA Server计算机上。因此,不需要为加拿大分公司配置特别的策略规则。
luodie 51cto技术博客
2. 创建定时内容下载作业,把经常访问的对象下载到本地缓存中。如果该对象已经在总部的缓存中,它们会从那里被下载。否则,总部的ISA Server计算机会将请求转发到Internet。
luodie 51cto技术博客
1. 在本地网络上安装一个DNS服务器,它是对经常被访问的公司网络域的辅助。DNS服务器应该用一个Internet上的DNS服务器作为转发器来帮助解析所有其他的名称请求。
luodie 51cto技术博客
2. 在本地ISA Server上配置LAT,增加公司网络的地址范围(在美国)。任何外部(Internet)IP地址必须排除在外。
luodie 51cto技术博客
3. 使用由企业管理员在总部创建的.vpc文件,用Remote ISA Server ××× Configuration向导为×××连接建立网络的ISA Server。
luodie 51cto技术博客
Remote ISA Server ××× Configuration向导建立了一个ISA ×××服务器, 它可以启动到远程ISA ×××服务器的连接。
luodie 51cto技术博客
4. 创建一个路由规则,将在英国的所有对Internet对象(在域名中有.uk后缀)的请求直接路由到Internet。然后创建一个路由规则将所有其他请求发送到总部的上游ISA Server阵列。
luodie 51cto技术博客
7.3.8 小结
本地网络上的计算机在Internet上,通过ISA Server计算机和远程网络上的计算机进行通信时,该计算机使用PPTP或者L2TP来管理隧道和封装专用数据。这就是所说的虚拟专用网(×××)。
luodie 51cto技术博客
ISA Server有向导来帮助您创建一个×××并为之提供安全保障。您可以使用向导将移动用户连接到本地网络,或者将各个分支机构彼此连接起来。
luodie 51cto技术博客
本地ISA Server×××配置向导允许您安装本地ISA Server来启动和接收连接。远程ISA Server×××配置向导许您配置远程ISA Server来启动和接收连接。ISA VirtuaPrivate Network Configuration向导允许漫游用户连接到×××。
luodie 51cto技术博客
7.4 本章复习
下列问题帮助您巩固本章所讲的关键知识。如果您回答下列问题有困难,请先复习相关各节,然后再试着回答问题。问题的答案在附录A中。
luodie 51cto技术博客
1. 您已经创建了一个企业策略,现在您想将它应用到阵列Branch1上。怎样把企业策略应用到阵上?在什么情况下阵列级的策略会删除?在什么情况下不能将策略应用到阵 列上?
luodie 51cto技术博客
出自 51CTO.COM博客