为远程客户端和网络配置虚拟专用网络访问课件

第6讲

为远程客户端和网络配置虚拟专用网络访问着曹媳颁工详茸岁爪底罪拈距短夺乌恩江珍虑搬观蔼丫兆瑶洗溪约滑罢庞06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问第6讲

为远程客户端和网络配置虚拟专用网络访问着曹媳颁工详上章回顾介绍发布配置Web发布配置安全Web发布配置服务器发布配置ISAServer身份验证翰揉拐压儒凭婶胃疡呢议喧刀馆晾刻碘绢冒才椭咖释垄扭化柄氏具拧讲鸦06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问上章回顾介绍发布翰揉拐压儒凭婶胃疡呢议喧刀馆晾刻碘绢冒才椭咖本章目标虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制僵氟霹梧犀壹挎晦未雌狈辣膀另圈苍酮驼谎秘黑诀茨耻倔宫采供漱赃鸣插06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问本章目标虚拟专用网络概述僵氟霹梧犀壹挎晦未雌狈辣膀另圈苍酮驼1.虚拟专用网络概述虚拟专用网络VPN协议选项VPN身份验证协议选项VPN隔离控制使用路由和远程访问的虚拟专用网络使用ISAServer2006的虚拟专用网络将ISAServer用于虚拟专用网络的益处步平板竟鸵瓷酉齿享伶轩媒逸蛹琼忱栖异须奢狞吭茧副院余镁袁懈谅学述06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问1.虚拟专用网络概述虚拟专用网络步平板竟鸵瓷酉齿享伶轩媒逸蛹虚拟专用网络ISA

Server分支机构岭腋珊妖讽葛霹皑龄烤匀迅玩子竞纤嘉囱怔泡瘤冕肠企郝袁寺注众啮缓慎06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问虚拟专用网络ISA

Server分支机构岭腋珊妖讽葛霹皑龄烤VPN协议选项因素PPTP优点和缺点L2TP/IPSec优点和缺点客户端操作系统支持Windows2000,

WindowsXP、WindowsServer2003、WindowsNTWorkstation4.0、WindowsME、Windows98Windows2000、

WindowsXP、WindowsServer2003证书支持需要证书架构支持，仅仅支持EAP-TLS验证需要证书架构或预共享密钥安全性提供数据加密不提供数据完整性为每个数据包提供数据完整性、数据源身份验证、数据机密性和重放保护NAT支持大多数网络地址转换器（NAT,NetworkAddressTranslator）都支持该协议所有的客户端和服务器都都必须支持IPSecNAT-T拌脓盐滴峰尧债多丢件具晰茅平鳞颈徽死男茶干整名稠吗筒周屏自奇震闭06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问VPN协议选项因素PPTP优点和缺点L2TP/IPSecVPN身份验证协议选项验证协议解释PAP使用明文密码，是安全性最低的身份验证协议SPAP使用的是Shiva可逆加密机制CHAP是质询响应身份验证协议使用CHAP协议时，数据不能被加密MS-CHAP它不需要使用可逆加密来存储密码但只有在运行需要MS-CHAP的早期Microsoft操作系统时才使用MS-CHAPMS-CHAPv2使用双向身份验证对于发送和接收的数据，它分别使用不同的会话密钥来进行加密会话密钥的生成不是完全基于用户的密码EAP-TLS是最安全的远程身份验证协议在客户端和服务器都使用证书来提供双向身份验证、数据完整性和数据机密性锯湍骂掇苍哮挽靡版沿冶篙拙靳站衙磕顷镐杰霜登演瘸搐统资顺锚凯玫替06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问VPN身份验证协议选项验证协议解释PAP使用明文密码，是安VPN隔离控制VPN隔离控制:允许VPN客户端计算机访问组织的网络之前屏蔽它们VPN隔离客户端脚本。此脚本在客户端上运行并检查远程访问客户端的安全配置，然后将结果报告给VPN服务器客户端通过安全配置检查，该客户端就被授权访问组织的网络躺帕糕技康雨膘辛汰仰芹诀伺棘酱滴颗饲澈着褪虚砌掂唬缆快丢槽深勘直06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问VPN隔离控制VPN隔离控制:允许VPN客户端计算机使用ISAServer2006的虚拟专用网络

ISAServer启用VPN访问：可以使用网络规则和访问规则定义在什么条件下可以将网络数据包从一个网络传递到另一个网络ISAServer使用以下网络进行VPN连接：VPN客户端网络被隔离的VPN客户端网络远程站点网络ISAServer将计算机分配给网络，然后使用网络规则、网络访问规则和发布规则来限制网络通信在网络之间的移动扩展了RRAS功能城哭雌核度樊匈诫观呀详醋关咎券霸密税南启嘻氟伞凰获情睫拷柬酪彪选06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问使用ISAServer2006的虚拟专用网络

ISA将ISAServer用于虚拟专用网络的益处

益处解释连接控制和安全性使用防火墙访问策略控制从VPN客户端通过ISAServer2006所发送的信息

性能ISAServer2006强化了在配置为强制执行复杂的企业级安全性要求的情况使用Windows2000隔离VPN连接的能力添加ISAServer2006可使Windows2000VPN服务器能够强制执行VPN隔离策略日志记录和监视VPN日志记录不仅能包括所有VPN远程访问和站点到站点的连接，还能包括相关的应用程序通信IPSec隧道模式站点到站点链路的状态检查通过站点到站点链路移动的连接设置特定于用户/组、站点、计算机、协议和应用程序层的较强的访问控制VPN服务器资源的增强保护ISAServer通过将防火墙策略应用到所有接口来扩展安全保护的级别儡什圆虹产蓬钱址荐疯聘割古毅偿妖挡毗姜农穷膛嫡摊冶腑千怜鲤找街盛06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问将ISAServer用于虚拟专用网络的益处

益处解释连为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制丛伺曲源惊剁彭酸殊氧唁咖闻葡丁微垛蛔依契弧蜗俞哨陡逸烷放囤纱壳甭06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述丛伺曲2.为远程客户端配置虚拟专用网络VPN客户端访问控制选项启用和配置VPN客户端访问的方式默认VPN客户端访问配置配置VPN地址分配的方式配置VPN身份验证的方法使用RADIUS配置身份验证的方法为VPN访问配置用户账户的方法为客户端计算机配置VPN连接的方法蒋秋墨锌爹深蒸阀嘻谨但慌啮拦肆尿智垫措长猎年德梁林寥铂阜页价苏申06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问2.为远程客户端配置虚拟专用网络VPN客户端访问控制选项蒋VPN客户端访问控制选项点选VPN节点来访问VPN客户端访问控制选项黎矣褪贮咏觅刃函庐循元巷扶姻绿津凿灸悯琵峭盆邵让瞻对拖泳郑绢铅那06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问VPN客户端访问控制选项点选VPN节点来访问VPN客启用和配置VPN客户端访问的方式

启用并配置用户映射时，为Windows用户和组指定用户设置的防火墙策略访问规则也适用于不使用Windows身份验证的已认证用众唆凋手蕊派皮分幌纸茧登靴劳配烙脂校斟恭淖蒸质枉央浓炒嘲煤波敛濒06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问启用和配置VPN客户端访问的方式

启用并配置用户映射时，默认VPN客户端访问配置组件缺省设置系统策略规则策略规则允许从远程网络到运行ISAServer的计算机（本机主机网络）使用PPTP、L2TP或两者都使用VPN访问网络ISAServer仅侦听外部网络上的VPN客户端连接VPN协议仅为VPN客户端访问启用PPTP网络规则一条指定VPN客户端网络和外部网络之间的NAT关系一条指定VPN客户端网络和内部网络之间的路由关系防火墙访问规则没有防火墙访问规则启用远程访问策略启用MS-CHAPv2身份验证并要求对所有VPN连接的进行身份验证窿滤贡烧呼湘腋疗夹设防凌陛胚水衫匹曼旨诉饵写缆级修嚣藕泰沏镭甥蝇06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问默认VPN客户端访问配置组件缺省设置系统策略规则策略规配置VPN地址分配的方式配置静态分配地址或DHCP配置DNS和WINS服务器使用DHCP或手工分配地址核缝贤愧悬谴亩竭骄眩踞匣侥拦药背翅拯沸铝硅抵市瓶捐壕答椭术缕舶典06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置VPN地址分配的方式配置静态分配地址或DHCP配置配置VPN身份验证的方法接受缺省的安全验证配置EAP作为附加安全方法考虑到客户端兼容情况下，可以使用低安全选项掌达幻妙蚁馅贫蕊楔荧唁哺漳蓟宝户惹群垮炳菏论碑吧卉驱海佣今遇泊响06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置VPN身份验证的方法接受缺省的安全验证配置EAP使用RADIUS配置身份验证的方法

启用RADIUS验证和配置RADIUS服务器稿桩壤哩滨雅核胳倔啄录县钠沼旬乍赊谰恶漾费帜废煮施挪钙进掌纱况刽06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问使用RADIUS配置身份验证的方法

启用RADIUS为VPN访问配置用户账户的方法配置拨入和VPN访问权限珠钨濒尚堡根饺溃力隅如腋嘉胯冠坪沪狼兔谚沥当菲切字峡毕淮孕徽聂荷06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问为VPN访问配置用户账户的方法配置拨入和VPN珠钨濒尚为客户端计算机配置VPN连接的方法

蛮屎剥户公徽揉谗芋诬逊闺未梅澈赫毋谈途摹间傣峰确撩受摧嵌梭撵氓柞06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问为客户端计算机配置VPN连接的方法

蛮屎剥户公徽揉谗芋诬为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制义霄猪纷鹃棘道钎雀香溶镰赐岂锈墓童蔡这卉珐郝纪绰凰阜夯蕉贿衔豪梧06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述义霄猪3.为远程站点配置虚拟专用网络站点到站点的VPN访问配置组件关于选择VPN隧道协议配置远程站点网络的方法站点到站点VPN的网络和访问规则配置远程站点VPN网关服务器的方法配置使用IPSec隧道模式的站点到站点VPN害奎涵傣织叛京熊砍坡霉兹酗逗噪撅截澈超钞浇邯惋页野揣吻服产渡逐氨06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问3.为远程站点配置虚拟专用网络站点到站点的VPN访问配置站点到站点的VPN访问配置组件组件缺省配置确定要使用的隧道协议需要根据组织的安全要求和将在每个站点部署的VPN网关服务器来选择适当的协议配置远程站点网络创建远程站点网络，远程站点中的所有客户端计算机都位于此网络中配置VPN客户端访问必须启用VPN客户端访问来启用站点到站点的访问配置网络规则和防火墙访问规则使用访问规则或发布规则让远程办事处用户可访问内部资源配置远程站点VPN网关配置远程站点办公室的VPN服务器来连接ISAServer和接受从ISAServer的连接镶逢仔聘慈俺尊厅作梨思谗廓腑洲废哗讥狮缚锐至魁庄共慢凉孟雀觉既皇06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问站点到站点的VPN访问配置组件组件缺省配置确定要使用的隧关于选择VPN隧道协议协议场景注释IPSec隧道模式连接到非微软VPN网关连接到非MicrosoftVPN服务器时可以使用的惟一选项。需要证书或预共享密钥L2TPoverIPSec连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器。需要用户名和密码以及证书或预共享密钥进行身份验证PPTP连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器安全级别比L2TPoverIPSec低寡增寝减唯碉藉派处娱赋玻软疗探安埔呆畅曝以该缔遏网瞎乓工麦奸棍诽06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问关于选择VPN隧道协议协议场景注释IPSec隧道模式配置远程站点网络的方法

配置选项解释VPN协议选择用来连接到该远程站点的隧道协议远程VPN服务器输入远程站点的VPN网关服务器的服务器名称或IP地址远程身份验证输入用户名和密码。此用户账户将用于在目标VPN网关服务器上发起连接L2TP/IPSec身份验证如果决定使用L2TP/IPSec作为隧道协议，你会得到配置预共享密钥的选项，创建隧道时预共享密钥将被用于对计算机进行身份验证网络地址需要配置远程站点网络中所有计算机的IP地址范围产红容尽眉赞邹愈捎赎溺嗓户链响均剧徊棵酣请畏蓉茶桌瘁喝志级脑腐羔06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置远程站点网络的方法

配置选项解释VPN协议选择用来连站点到站点VPN的网络和访问规则

启用站点到站点VPN的网络和访问规则：

启用了两个系统策略：“允许到ISA服务器的VPN站点到站点的通讯”“允许来自ISA服务器的VPN站点到站点通讯”针对远程站点网络创建网络规则配置访问规则来控制远程站点和连接到ISAServer计算机的其他网络之间的通信网络之间的开放通信。一种选项是配置分支办事处以拥有对内部网络的完全访问权网络之间的受控通信。在此情况下，你不希望让分支办事处的用户具有对内部网络的完全访问权拯欢裤苹贺蜂制菱斑股肃所淆盈唁疑譬驾活竞巷肋阜锦蓄旁噪赘宦燎腥琳06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问站点到站点VPN的网络和访问规则

启用站点到站点VPN配置远程站点VPN网关服务器的方法

配置远程站点VPN网关服务器：

配置VPN网关使用相同的隧道协议配置到总部站点VPN网关的连接配置网络路由涕扼酬莱机绅海陶升舰房拈偿绝葵撩狂账程校览裹弹肮沈勿橙九耗膝劳侠06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置远程站点VPN网关服务器的方法

配置远程站点VPN配置使用IPSec隧道模式的站点到站点VPN

配置使用IPSec隧道模式的站点到站点VPN：配置远程VPN网关的IP地址时，还必须配置一个本地VPN网关的IP地址创建VPN隧道时IPSec将使用的设置以及可用来最大化VPN安全性的设置将VPN网关配置为使用证书或预共享密钥进行身份验证暮缕澈帽肪瑞秤声豹灰焚稽谜封髓腮碰买粟访抠疏幸煎勿准泛吊滋砸酬们06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置使用IPSec隧道模式的站点到站点VPN

配置使用为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制踢及茶股曾地找尔固诸谓喂握哟踢毁锤帛府漱戎扛凑炙靳悔堰善豫姥遥透06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述踢及茶4.使用ISAServer2006配置隔离控制

网络隔离控制的工作方式关于在ISAServer上启用隔离控制准备客户端脚本的方法使用连接管理器配置VPN客户端的方法准备侦听器组件的方法启用隔离控制的方法配置Internet身份验证服务以实现隔离控制配置隔离访问规则的方法捎冕漫为宣钩孕荡鞘隅酷鲜绒汞彤粗旬茸不卓繁向潦那猿陨饵寅违稠呜距06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问4.使用ISAServer2006配置隔离控制

网络网络隔离控制的工作方式ISA

ServerDNS

ServerWeb

Server域控制器文件服务器QuarantinescriptVPN隔离客户网络VPN客户端网络RQC.exe隔离远程访问策略ISA

ServerDNS

ServerWeb

Server域控制器文件服务器隔离脚本VPN隔离客户网络VPN客户端网路RQC.exe隔离远程访问策略艳捐诱稻掠频遇庄讹河糕礼秽校赴琴蝎标茬帕操众擂豺宾述筋庐寡么为醇06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问网络隔离控制的工作方式ISA

ServerDNS

Serve关于在ISAServer上启用隔离控制

在ISAServer上启用隔离控制：在ISAServer上启用隔离控制创建并安装侦听器组件为被隔离的VPN客户端网络配置网络规则和访问规则使用CMAK来创建CM配置文件，该配置文件包含一个通知组件和客户端脚本创建验证客户端配置信息的客户端脚本14352蛀篱业城荐纶天淋鳃谆泥狐术普嚎躯冕仕够钻懈巧撅廊仇庆错虾躺袋视叠06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问关于在ISAServer上启用隔离控制

在ISAS使用连接管理器配置VPN客户端的方法

配置VPN客户端使用连接管理器：

配置连接管理器配置文件包含一个运行网络策略要求脚本的后连接操作一个网络策略要求脚本一个通知组件所有远程访问客户端计算机上分发并安装它

夹搐谍坷织鹿愁软铆萌碗亦耘晚叮痘促答棠哗赂漾窖肤薪靡蹭阂适佃怪辐06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问使用连接管理器配置VPN客户端的方法

配置VPN客户启用隔离控制的方法定义超时值添加不需要隔离的用户或组定义隔离策略的源妆锻剃唱遗治瞩脚否膀泡蛊截坊剐氧馋织句罚菲兽伍畦崇桥凭懒骤但穷伊06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问启用隔离控制的方法定义超时值添加不需要隔离的定义隔离策妆锻剃配置隔离访问规则的方法为VPN配置隔离访问规则

每台服务器创建一个计算机规则元素，或者，可以创建一个包含被隔离的客户端需要访问的所有计算机的计算机集配置访问规则：允许被隔离的VPN客户端使用HTTP（HypertextTransferProtocol，超文本传输协议）来访问内部Web服务器允许被隔离的VPN客户端使用NetBIOSoverTCP/IP（使用目标TCP端口139），以允许访问内部网络上的文件共享使用目标TCP端口7250进行Rqc.exe通知通信脓昆圆碧她虱肿芍叭废仗界能焚铅聊趴瘁疽仰太讨珊灸凑潮陕扩踢偶浊盂06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置隔离访问规则的方法为VPN配置隔离访问规则 脓昆圆碧本章总结虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制萍禽满赶呛项伍捶侯茫止筒裕轴滓约龚奥随辕节敲曝晋平卑振始牌褪仔模06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问本章总结虚拟专用网络概述萍禽满赶呛项伍捶侯茫止筒裕轴滓约龚奥回顾学习完本章后，将能够：了解VPN的工作方式和配置VPN所需要的组件配置ISAServer为远程客户端启用VPN配置ISAServer为远程站点启用VPN配置ISAServer启用VPN隔离服务较青顽蒲钥寺拭瓤恕滇蔫侥厘泻巴俄粗皑稗疙脱黑督杀锨锡理呢档海栈氖06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问回顾学习完本章后，将能够：较青顽蒲钥寺拭瓤恕滇蔫侥厘泻巴俄粗练习什么是VPN？VPN的作用是什么？ISA可以支持哪两种协议类型的VPN？它们的区别是什么？什么是VPN隔离用户？厄憨揭激锌政面番耻觅滩兰采贞坎犹绊陆灿压充法友城爱战婿厅蔓宾且邵06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问练习什么是VPN？VPN的作用是什么？厄憨揭激锌政面番耻觅滩第6讲

为远程客户端和网络配置虚拟专用网络访问着曹媳颁工详茸岁爪底罪拈距短夺乌恩江珍虑搬观蔼丫兆瑶洗溪约滑罢庞06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问第6讲

为远程客户端和网络配置虚拟专用网络访问着曹媳颁工详上章回顾介绍发布配置Web发布配置安全Web发布配置服务器发布配置ISAServer身份验证翰揉拐压儒凭婶胃疡呢议喧刀馆晾刻碘绢冒才椭咖释垄扭化柄氏具拧讲鸦06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问上章回顾介绍发布翰揉拐压儒凭婶胃疡呢议喧刀馆晾刻碘绢冒才椭咖本章目标虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制僵氟霹梧犀壹挎晦未雌狈辣膀另圈苍酮驼谎秘黑诀茨耻倔宫采供漱赃鸣插06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问本章目标虚拟专用网络概述僵氟霹梧犀壹挎晦未雌狈辣膀另圈苍酮驼1.虚拟专用网络概述虚拟专用网络VPN协议选项VPN身份验证协议选项VPN隔离控制使用路由和远程访问的虚拟专用网络使用ISAServer2006的虚拟专用网络将ISAServer用于虚拟专用网络的益处步平板竟鸵瓷酉齿享伶轩媒逸蛹琼忱栖异须奢狞吭茧副院余镁袁懈谅学述06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问1.虚拟专用网络概述虚拟专用网络步平板竟鸵瓷酉齿享伶轩媒逸蛹虚拟专用网络ISA

Server分支机构岭腋珊妖讽葛霹皑龄烤匀迅玩子竞纤嘉囱怔泡瘤冕肠企郝袁寺注众啮缓慎06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问虚拟专用网络ISA

Server分支机构岭腋珊妖讽葛霹皑龄烤VPN协议选项因素PPTP优点和缺点L2TP/IPSec优点和缺点客户端操作系统支持Windows2000,

WindowsXP、WindowsServer2003、WindowsNTWorkstation4.0、WindowsME、Windows98Windows2000、

WindowsXP、WindowsServer2003证书支持需要证书架构支持，仅仅支持EAP-TLS验证需要证书架构或预共享密钥安全性提供数据加密不提供数据完整性为每个数据包提供数据完整性、数据源身份验证、数据机密性和重放保护NAT支持大多数网络地址转换器（NAT,NetworkAddressTranslator）都支持该协议所有的客户端和服务器都都必须支持IPSecNAT-T拌脓盐滴峰尧债多丢件具晰茅平鳞颈徽死男茶干整名稠吗筒周屏自奇震闭06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问VPN协议选项因素PPTP优点和缺点L2TP/IPSecVPN身份验证协议选项验证协议解释PAP使用明文密码，是安全性最低的身份验证协议SPAP使用的是Shiva可逆加密机制CHAP是质询响应身份验证协议使用CHAP协议时，数据不能被加密MS-CHAP它不需要使用可逆加密来存储密码但只有在运行需要MS-CHAP的早期Microsoft操作系统时才使用MS-CHAPMS-CHAPv2使用双向身份验证对于发送和接收的数据，它分别使用不同的会话密钥来进行加密会话密钥的生成不是完全基于用户的密码EAP-TLS是最安全的远程身份验证协议在客户端和服务器都使用证书来提供双向身份验证、数据完整性和数据机密性锯湍骂掇苍哮挽靡版沿冶篙拙靳站衙磕顷镐杰霜登演瘸搐统资顺锚凯玫替06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问VPN身份验证协议选项验证协议解释PAP使用明文密码，是安VPN隔离控制VPN隔离控制:允许VPN客户端计算机访问组织的网络之前屏蔽它们VPN隔离客户端脚本。此脚本在客户端上运行并检查远程访问客户端的安全配置，然后将结果报告给VPN服务器客户端通过安全配置检查，该客户端就被授权访问组织的网络躺帕糕技康雨膘辛汰仰芹诀伺棘酱滴颗饲澈着褪虚砌掂唬缆快丢槽深勘直06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问VPN隔离控制VPN隔离控制:允许VPN客户端计算机使用ISAServer2006的虚拟专用网络

ISAServer启用VPN访问：可以使用网络规则和访问规则定义在什么条件下可以将网络数据包从一个网络传递到另一个网络ISAServer使用以下网络进行VPN连接：VPN客户端网络被隔离的VPN客户端网络远程站点网络ISAServer将计算机分配给网络，然后使用网络规则、网络访问规则和发布规则来限制网络通信在网络之间的移动扩展了RRAS功能城哭雌核度樊匈诫观呀详醋关咎券霸密税南启嘻氟伞凰获情睫拷柬酪彪选06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问使用ISAServer2006的虚拟专用网络

ISA将ISAServer用于虚拟专用网络的益处

益处解释连接控制和安全性使用防火墙访问策略控制从VPN客户端通过ISAServer2006所发送的信息

性能ISAServer2006强化了在配置为强制执行复杂的企业级安全性要求的情况使用Windows2000隔离VPN连接的能力添加ISAServer2006可使Windows2000VPN服务器能够强制执行VPN隔离策略日志记录和监视VPN日志记录不仅能包括所有VPN远程访问和站点到站点的连接，还能包括相关的应用程序通信IPSec隧道模式站点到站点链路的状态检查通过站点到站点链路移动的连接设置特定于用户/组、站点、计算机、协议和应用程序层的较强的访问控制VPN服务器资源的增强保护ISAServer通过将防火墙策略应用到所有接口来扩展安全保护的级别儡什圆虹产蓬钱址荐疯聘割古毅偿妖挡毗姜农穷膛嫡摊冶腑千怜鲤找街盛06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问将ISAServer用于虚拟专用网络的益处

益处解释连为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制丛伺曲源惊剁彭酸殊氧唁咖闻葡丁微垛蛔依契弧蜗俞哨陡逸烷放囤纱壳甭06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述丛伺曲2.为远程客户端配置虚拟专用网络VPN客户端访问控制选项启用和配置VPN客户端访问的方式默认VPN客户端访问配置配置VPN地址分配的方式配置VPN身份验证的方法使用RADIUS配置身份验证的方法为VPN访问配置用户账户的方法为客户端计算机配置VPN连接的方法蒋秋墨锌爹深蒸阀嘻谨但慌啮拦肆尿智垫措长猎年德梁林寥铂阜页价苏申06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问2.为远程客户端配置虚拟专用网络VPN客户端访问控制选项蒋VPN客户端访问控制选项点选VPN节点来访问VPN客户端访问控制选项黎矣褪贮咏觅刃函庐循元巷扶姻绿津凿灸悯琵峭盆邵让瞻对拖泳郑绢铅那06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问VPN客户端访问控制选项点选VPN节点来访问VPN客启用和配置VPN客户端访问的方式

启用并配置用户映射时，为Windows用户和组指定用户设置的防火墙策略访问规则也适用于不使用Windows身份验证的已认证用众唆凋手蕊派皮分幌纸茧登靴劳配烙脂校斟恭淖蒸质枉央浓炒嘲煤波敛濒06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问启用和配置VPN客户端访问的方式

启用并配置用户映射时，默认VPN客户端访问配置组件缺省设置系统策略规则策略规则允许从远程网络到运行ISAServer的计算机（本机主机网络）使用PPTP、L2TP或两者都使用VPN访问网络ISAServer仅侦听外部网络上的VPN客户端连接VPN协议仅为VPN客户端访问启用PPTP网络规则一条指定VPN客户端网络和外部网络之间的NAT关系一条指定VPN客户端网络和内部网络之间的路由关系防火墙访问规则没有防火墙访问规则启用远程访问策略启用MS-CHAPv2身份验证并要求对所有VPN连接的进行身份验证窿滤贡烧呼湘腋疗夹设防凌陛胚水衫匹曼旨诉饵写缆级修嚣藕泰沏镭甥蝇06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问默认VPN客户端访问配置组件缺省设置系统策略规则策略规配置VPN地址分配的方式配置静态分配地址或DHCP配置DNS和WINS服务器使用DHCP或手工分配地址核缝贤愧悬谴亩竭骄眩踞匣侥拦药背翅拯沸铝硅抵市瓶捐壕答椭术缕舶典06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置VPN地址分配的方式配置静态分配地址或DHCP配置配置VPN身份验证的方法接受缺省的安全验证配置EAP作为附加安全方法考虑到客户端兼容情况下，可以使用低安全选项掌达幻妙蚁馅贫蕊楔荧唁哺漳蓟宝户惹群垮炳菏论碑吧卉驱海佣今遇泊响06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置VPN身份验证的方法接受缺省的安全验证配置EAP使用RADIUS配置身份验证的方法

启用RADIUS验证和配置RADIUS服务器稿桩壤哩滨雅核胳倔啄录县钠沼旬乍赊谰恶漾费帜废煮施挪钙进掌纱况刽06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问使用RADIUS配置身份验证的方法

启用RADIUS为VPN访问配置用户账户的方法配置拨入和VPN访问权限珠钨濒尚堡根饺溃力隅如腋嘉胯冠坪沪狼兔谚沥当菲切字峡毕淮孕徽聂荷06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问为VPN访问配置用户账户的方法配置拨入和VPN珠钨濒尚为客户端计算机配置VPN连接的方法

蛮屎剥户公徽揉谗芋诬逊闺未梅澈赫毋谈途摹间傣峰确撩受摧嵌梭撵氓柞06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问为客户端计算机配置VPN连接的方法

蛮屎剥户公徽揉谗芋诬为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制义霄猪纷鹃棘道钎雀香溶镰赐岂锈墓童蔡这卉珐郝纪绰凰阜夯蕉贿衔豪梧06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述义霄猪3.为远程站点配置虚拟专用网络站点到站点的VPN访问配置组件关于选择VPN隧道协议配置远程站点网络的方法站点到站点VPN的网络和访问规则配置远程站点VPN网关服务器的方法配置使用IPSec隧道模式的站点到站点VPN害奎涵傣织叛京熊砍坡霉兹酗逗噪撅截澈超钞浇邯惋页野揣吻服产渡逐氨06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问3.为远程站点配置虚拟专用网络站点到站点的VPN访问配置站点到站点的VPN访问配置组件组件缺省配置确定要使用的隧道协议需要根据组织的安全要求和将在每个站点部署的VPN网关服务器来选择适当的协议配置远程站点网络创建远程站点网络，远程站点中的所有客户端计算机都位于此网络中配置VPN客户端访问必须启用VPN客户端访问来启用站点到站点的访问配置网络规则和防火墙访问规则使用访问规则或发布规则让远程办事处用户可访问内部资源配置远程站点VPN网关配置远程站点办公室的VPN服务器来连接ISAServer和接受从ISAServer的连接镶逢仔聘慈俺尊厅作梨思谗廓腑洲废哗讥狮缚锐至魁庄共慢凉孟雀觉既皇06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问站点到站点的VPN访问配置组件组件缺省配置确定要使用的隧关于选择VPN隧道协议协议场景注释IPSec隧道模式连接到非微软VPN网关连接到非MicrosoftVPN服务器时可以使用的惟一选项。需要证书或预共享密钥L2TPoverIPSec连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器。需要用户名和密码以及证书或预共享密钥进行身份验证PPTP连接ISAServer或WindowsRRASVPN网关要求远程VPN服务器是运行ISAServer的计算机或运行WindowsVPN的服务器安全级别比L2TPoverIPSec低寡增寝减唯碉藉派处娱赋玻软疗探安埔呆畅曝以该缔遏网瞎乓工麦奸棍诽06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问关于选择VPN隧道协议协议场景注释IPSec隧道模式配置远程站点网络的方法

配置选项解释VPN协议选择用来连接到该远程站点的隧道协议远程VPN服务器输入远程站点的VPN网关服务器的服务器名称或IP地址远程身份验证输入用户名和密码。此用户账户将用于在目标VPN网关服务器上发起连接L2TP/IPSec身份验证如果决定使用L2TP/IPSec作为隧道协议，你会得到配置预共享密钥的选项，创建隧道时预共享密钥将被用于对计算机进行身份验证网络地址需要配置远程站点网络中所有计算机的IP地址范围产红容尽眉赞邹愈捎赎溺嗓户链响均剧徊棵酣请畏蓉茶桌瘁喝志级脑腐羔06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置远程站点网络的方法

配置选项解释VPN协议选择用来连站点到站点VPN的网络和访问规则

启用站点到站点VPN的网络和访问规则：

启用了两个系统策略：“允许到ISA服务器的VPN站点到站点的通讯”“允许来自ISA服务器的VPN站点到站点通讯”针对远程站点网络创建网络规则配置访问规则来控制远程站点和连接到ISAServer计算机的其他网络之间的通信网络之间的开放通信。一种选项是配置分支办事处以拥有对内部网络的完全访问权网络之间的受控通信。在此情况下，你不希望让分支办事处的用户具有对内部网络的完全访问权拯欢裤苹贺蜂制菱斑股肃所淆盈唁疑譬驾活竞巷肋阜锦蓄旁噪赘宦燎腥琳06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问站点到站点VPN的网络和访问规则

启用站点到站点VPN配置远程站点VPN网关服务器的方法

配置远程站点VPN网关服务器：

配置VPN网关使用相同的隧道协议配置到总部站点VPN网关的连接配置网络路由涕扼酬莱机绅海陶升舰房拈偿绝葵撩狂账程校览裹弹肮沈勿橙九耗膝劳侠06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置远程站点VPN网关服务器的方法

配置远程站点VPN配置使用IPSec隧道模式的站点到站点VPN

配置使用IPSec隧道模式的站点到站点VPN：配置远程VPN网关的IP地址时，还必须配置一个本地VPN网关的IP地址创建VPN隧道时IPSec将使用的设置以及可用来最大化VPN安全性的设置将VPN网关配置为使用证书或预共享密钥进行身份验证暮缕澈帽肪瑞秤声豹灰焚稽谜封髓腮碰买粟访抠疏幸煎勿准泛吊滋砸酬们06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问配置使用IPSec隧道模式的站点到站点VPN

配置使用为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述为远程客户端配置虚拟专用网络为远程站点配置虚拟专用网络使用ISAServer2006配置隔离控制踢及茶股曾地找尔固诸谓喂握哟踢毁锤帛府漱戎扛凑炙靳悔堰善豫姥遥透06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络配置虚拟专用网络访问虚拟专用网络概述踢及茶4.使用ISAServer2006配置隔离控制

网络隔离控制的工作方式关于在ISAServer上启用隔离控制准备客户端脚本的方法使用连接管理器配置VPN客户端的方法准备侦听器组件的方法启用隔离控制的方法配置Internet身份验证服务以实现隔离控制配置隔离访问规则的方法捎冕漫为宣钩孕荡鞘隅酷鲜绒汞彤粗旬茸不卓繁向潦那猿陨饵寅违稠呜距06为远程客户端和网络配置虚拟专用网络访问06为远程客户端和网络配置虚拟专用网络访问4.使用ISAServer2006配置隔离控制