利用ISA防火墙实现×××服务器的建立以及外网×××用户的拨入

×××是虚拟专用网络的缩写，简单地说就是利用公网链路来架设私有网络，它属于远程访问技术。

×××服务器在目前的网络中的应用是越来越广泛了，今天我来为大家简单的介绍一下×××服务器的配置以及用户利用×××来实现×××的拨入。×××的验证方法也不止一种，有结合Radius验证的，有结合智能卡和证书验证的。今天先就为大家介绍一下如何利用ISA2006来搭建一个自己的×××服务器。以及×××用户的基本验证方法。

 

实验拓扑如下，beijing是内网isatest.com域的域控制器，DNS服务器，Shanghai是ISA2006服务器，tianjin来模拟外网的客户机。注意：ISA服务器要加入到isatest.com这个域中。

一、创建用户以及开启用户的“允许访问”

首先我们来创建一个用户，这个用户等会×××拨入的时候使用的用户。打开域控制器的“Active directory用户和计算机”我们就新建一个叫zhangsan的用户吧！

输入用户密码。把密码的属性改为“密码永不过期”

如下图用户创建完成后，我们右击用户选择“属性”

切换到“拨入”选项卡下，选择“允许访问”

二、  创建×××服务器

接下来我们在ISA服务器上创建×××服务器，打开ISA服务器控制台，选择“虚拟专用网（×××）”------“配置地址分配方法”

我们选择的地址范围是192.168.0.100~192.168.0.200.这选择和ISA服务器外网网卡在同一网段的IP，因为待会客户机会通过ISA服务器外网网卡连接到域内。

设置好了×××地址池后，我们来配置×××服务器的客户端设置。如下图所示点击 “配置×××客户端访问”。

在“常规”选项卡中，我们勾选“启用×××客户端访问”，同时设置允许最大的×××客户端数量为默认的“100”.，大家注意的是×××客户端的最大数量不能超过地址池中的地址数。

接下来切换到“组”下面，点击“添加”，接着选择“查找的位置”

选择在isatest.com域中查找

我们输入Domain User这个组就行。因为用户一般都属于这个组中的成员

协议选择“PPTP”协议

最后来启用一下×××客户端，如下图所示。×××客户端启动完成后，重启一下ISA服务器，好让刚才的设置生效

下面来看一下ISA服务器上路由和远程访问时候开启了。我们没有配置路由和远程访问，为什么它会自动开启呢？这是因为我们在部署ISA×××服务器时候ISA就会调用了Win2003中的路由和远程访问组件来实现×××功能， ISA服务器会自动实现对路由和远程访问的配置。所我们并不需要对ISA服务器上的路由和远程访问进行配置。不过为了保险起见，我们还是来查看一下吧！注意：路由与远程访问应该可以自动启动，不应该手工启动，如果是ISA2004，那么需要打ISA2004的SP补丁才能在Win2003 SP1或SP2上运行。

OK！如下图所示没有任何问题路由和远程访问已经开启了。

三、创建ISA访问规则

接下来要进行的是创建一条ISA服务器的访问规则。右击“防火墙策略”，选择“访问规则”

输入访问规则名称

选择“允许”

这里我们选择所有的出站通讯

点击右上角的“添加”，选择“×××客户端”，这是访问源地址

接下来内部地址我们选择“内部”

所有用户

点击“完成”，完成ISA服务器访问规则的创建

四、×××客户机测试

万事俱备只欠东风！！！最后我们来测试一下看看外网的用户能不能通过×××连接到内部呢？在客户机上打开“网络连接”属性，右击新建连接向导选择“新建连接”

下一步

“连接到我的工作场所的网络”

选择“虚拟专用网络连接”

输入公司名称

输入×××服务器的IP地址，注意是外网的IP地址。输入完整的域名也可以，如：isatest.com

选择“只是我使用”

点击“完成”完成新连接的建立

打开新建的连接，输入用户名，密码以及所在的域，点击左下角的“连接”

OK！输入的用户名和口令通过了身份验证，×××连接成功，我们来看看新连接的状态是什么？IP地址是什么？使用的是什么协议？右击新连接选择“状态”

如下图所示，我们可以看到当前使用的协议是“PPTP”，×××客户机分配到的IP地址是192.168.0.101，地址池中的第一个地址总是保留给×××服务器，192.168.0.100是×××服务器中第一个IP，它是×××用户连接内网所使用的网关。

因为我这只是测试实验，所以就没有安装像Exchange之类的服务了。下面我们来简单的测试一下让客户机访问一下内网中域控制器的默认网站。如图访问成功了。

我们再在beijing上共享一个文件，让×××用户试试能不能访问到。如图，共享了一个叫“×××用户”的文件夹

在客户机tianjin的开始运行中直接输入\\10.1.1.1，beijing的IP地址

OK！没问题成功访问到了域内的共享文件夹

 

附加：

让×××用户使用预共享密钥连接×××服务器

预共享密钥需要在×××服务器和×××客户机上设置一个共同约定的密钥作为身份识别标识，首先我们在×××服务器上进行设置。在ISA的管理工具中展开虚拟专用网络，如下图所示，点击右侧面板中的“配置地址分配方法”。

启用“L2TP/IPsec”协议

接下来选择右侧面板下的“选择身份验证方法切换到“身份验证”标签，如下图所示，勾选“允许L2TP连接自定义IPSEC策略”，输入“123456“来作为预共享密钥

接下来在客户端tianjin上点击虚拟专用网络的属性

切换到安全选项卡下点击右下角的“IPSec设置”

勾选“使用预共享的密钥作为身份验证”，输入密钥123456,这个密钥必须和×××服务器中的预共享密钥一致。

网络×××类型选择“L2TP IPSse ×××”

确定后，输入用户名密码开始连接

如图连接成功，我们来查看一下连接状态

 

如下图使用的协议不是PPTP了，而变成了L2TP了，而且使用的是IPSEC加密

很简单就实现了×××服务器的搭建以及×××用户的拨入。但是上面使用PPTP协议这种拨入方法是不安全的，就是简单的基本身份验证。而第二种连接方法是经过加密的，但是也不是×××全，它只是对×××用户与×××服务器之间进行了加密，而没对计算机进行加密。后续文章中将给大家介绍使用证书来实现×××客户端与×××服务器之间的加密连接。