在背靠背ISA防火墙中配置远程VPN访问Word文档下载推荐.docx
- 文档编号:6153228
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:16
- 大小:117.43KB
在背靠背ISA防火墙中配置远程VPN访问Word文档下载推荐.docx
《在背靠背ISA防火墙中配置远程VPN访问Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《在背靠背ISA防火墙中配置远程VPN访问Word文档下载推荐.docx(16页珍藏版)》请在冰点文库上搜索。
NAT-TVPN客户连接到WindowsServer2003/ISA防火墙VPN服务器时所采用的方式。
其他VPN服务提供商可能会使用其他的端口来封装NAT数据包,如CISCO使用UDP10000端口。
CISCO同样也提供了使用TCP来封装的选项,尽管这样可能会和IETF不兼容,以及让NAT-T不稳定。
不管IPSec头是如何实现封装,它能够通过NAT设备。
新的ISAServer2004防火墙对于ISAServer2000的一个主要的新改进是它可以发布PPTPVPN服务器。
在PPTP不能提供和IPSec加密VPN连接同样的安全级别时,在使用长密码的时候,PPTP连接还是比较安全的。
许多公司使用PPTPVPN连接,然后采用复杂的密码,这时,安全性已经可以和IPSecVPN相比了。
注意:
我知道IPSec的安全优点,它同样需要计算机和用户的双重身份验证。
但是,PPTP适合于大部分商业使用,只有极少的非常保密的商业通信需要L2TP/IPSec加密。
注意使用预定义密钥的IPSec隧道模式不如PPTP安全,因为针对使用预定义密钥的IPSec的攻击有几种方法。
如果你正在采用预定义密钥的IPSec隧道,那么建议你采用L2TP/IPSec和使用证书来加密通信。
尽管如此,在这篇文章中,为了方便演示,我将为L2TP/IPSecVPN连接使用预定义密钥。
在ISAServer2000中,PPTP过滤器只能过滤出站的VPN连接,在ISAServer2004防火墙中,PPTP过滤器可以支持出站和入站的VPN连接。
发布一个PPTPVPN服务器只需要你使用PPT服务器协议定义建立一个服务器发布规则。
发布一个L2TP/IPSecVPN服务器需要你发布IKE(UDP500)、L2TP(UDP1701)和NAT-T(UDP4500)。
如果你使用NAT-T,那么你不需要发布L2TP协议,因为L2TP头是通过NAT-T的UDP头来封装。
发布一个位于前端ISA防火墙后的ISA防火墙/VPN服务器,你需要执行以下步骤:
∙安装和配置前端ISA防火墙;
∙安装和配置背端ISA防火墙;
∙配置背端ISA防火墙作为PPTP和L2TP/IPSecVPN服务器;
∙在前端ISA防火墙上发布背端的ISA防火墙/VPN服务器;
∙建立远程连接;
安装和配置前端ISA防火墙
前端防火墙的一个接口连接到公共网络,一个接口连接到位于前端防火墙和背端防火墙间的DMZ网段。
前端防火墙不是内部域的成员,因此在此例中需要。
在此例中,前端防火墙的外部接口IP地址为192.168.1.71,内部接口IP地址是10.0.1.1。
前端防火墙的外部接口配置了一个默认网关,这样允许它访问Internet。
我们建立了一个访问规则允许背端ISA防火墙的外部接口(在此例中是10.0.1.2)完全访问Internet。
另外,访问规则还允许内部网络的DNS服务器解析Internet的DNS名字。
我们已经在前端ISA防火墙上配置好了IP和安装好了ISA防火墙,执行以下步骤来建立访问规则:
1.打开ISAServer管理控制台,展开服务器名,点击防火墙策略,然后在右边的任务面板,点击建立新的访问规则链接;
2.在欢迎使用新建访问规则向导页,输入访问规则的名字,在此我们命名为AllOpenfromBack-end
Firewall,点击下一步;
3.在规则动作页,选择允许,然后点击下一步;
4.在协议页,选择所有协议,点击下一步;
5.在访问规则源页,点击添加按钮;
6.在添加网络实体对话框,点击新建,然后点击计算机;
7.在新建计算机规则元素对话框,为计算机对象输入一个名字,在此我们命名为BackEndISAFirewall。
在计算机IP地址文本框,输入后端ISA防火墙的外部接口的IP地址。
在此我们输入10.0.1.2,点击确定;
1.在添加网络实体对话框,点开计算机目录,然后双击BackEndISAFirewall项,点击关闭;
9.在访问规则源页上点击下一步;
10.在访问规则目的页,点击添加;
11.在添加网络实体页,点击网络目录,然后双击外部项,点击关闭;
12.在访问规则目的页,点击下一步;
13.在用户集页接受默认的所有用户,点击下一步;
14.在正在完成新建访问规则向导页点击完成;
15.点击应用以保存修改和更新防火墙策略;
16.在应用新的配置对话框点击确定;
注意,这条规则只允许背端ISA防火墙的外部接口发起的通往外部网络的所有通信,并没有允许DMZ网段的其他主机访问Internet
安装和配置背端ISA防火墙
背端ISA防火墙是VPN连接的终点,外部的VPN客户通过前端ISA防火墙来连接到背端的ISA防火墙/VPN服务器。
背端防火墙的一个接口连接到DMZ网段,然后另外一个接口连接到内部网络。
背端防火墙是内部域的成员,这样可以允许背端防火墙使用内部域的用户数据库来验证VPN用户。
我们需要建立允许VPN客户访问Internet和内部网络的访问规则。
不像ISA2000防火墙只有Web代理客户和防火墙客户才能通过连接到的ISA防火墙来访问Internet,ISAServer2004防火墙允许SNAT客户通过连接到的ISA防火墙来访问Internet。
ISA防火墙允许你对VPN客户执行非常细微的访问控制。
只是在这个演示中,我们建立了非常宽松的访问策略,在你的商用环境中,请你根据你的情况加以限制。
我们同样建立允许内部网络中的DNS服务器解析Internet主机名字的访问规则。
在此,我们已经配置好了内部的DNS服务器,并通过递归来解析Internet上的主机名字。
在此,我们已经在背端ISA防火墙上配置好了IP地址和安装好了ISA防火墙软件,执行以下步骤来建立访问规则:
2.在欢迎使用新建访问规则向导页,输入访问规则的名字,在此我们命名为AllOpentoInternetandInternal-VPNClients,点击下一步;
6.在添加网络实体对话框,点击网络,然后点击VPNClients项,点击关闭;
在访问规则源页点击下一步;
7.在访问规则目的页,点击添加;
8.在添加网络实体页,点击网络目录,然后双击外部和内部项,点击关闭;
在访问规则目的页,点击下一步;
9.在用户集页接受默认的所有用户,点击下一步;
10.在正在完成新建访问规则向导页点击完成;
11.点击应用以保存修改和更新防火墙策略;
12.在应用新的配置对话框点击确定;
现在我们建立一个允许内部的DNS服务器连接外部DNS服务器的访问规则,我们使用另外一种方法来建立:
1.右击刚才建立好的AllOpentoInternalandInternet-VPNClients规则,然后点击复制;
2.再次右击,然后点击粘贴;
3.双击AllOpentoInternalandInternet?
VPNClients
(1)规则,打开它的属性对话框;
4.在常规标签,修改名字为OutboundDNSforDNSServer,然后点击应用;
5.在协议标签,选择所选的协议,然后点击添加;
6.在添加协议对话框,点击通用协议,然后双击DNS,点击关闭;
7.点击应用;
8.点击从标签,点击VPNClients项,然后点击移去,再点击添加;
9.在添加网络实体对话框,点击新建,然后点击计算机;
10.在新建计算机规则元素对话框,名字命名为DNSServer,在计算机IP地址中输入DNS服务器的IP,在此例中是10.0.0.2,点击确定;
11.在添加网络实体对话框,点击计算机目录,然后双击DNSServer项,点击关闭;
12.点击应用;
13.点击到标签,点击内部,然后点击移去;
14.点击应用,然后点击OK。
15.点击应用保存修改和更新防火墙策略;
16.在应用新的配置对话框中点击确定;
配置背端ISA防火墙作为PPTP和L2TP/IPSecVPN服务器
现在我们需要配置背端ISA防火墙的VPN服务器组件。
我们在内部网络中安装了一个DHCP服务器,所以我们将在VPN服务器中使用DHCP来为DHCP客户分配IP地址。
记住VPN客户不能直接连接到DHCP服务器,如果你想分配DHCP选项,你必须在ISA防火墙上配置DHCP中继代理。
执行以下步骤来启用和配置背端防火墙的VPN服务器组件:
1.在ISAServer控制台,展开服务器名,点击虚拟专用网;
在任务面板,点击任务标签下的配置VPN客户访问;
2.在VPN客户属性对话框,勾选允许VPN客户访问;
3.在协议标签,勾选允许PPTP和允许L2TP/IPSec;
4.点击应用,然后点击确定;
5.点击任务面板中的选择身份认证方式链接;
6.在VPN属性对话框,点击身份认证标签,勾选为L2TP连接允许自定义的IPSec策略预定义密钥,然后在下面输入预定义的密钥,在此我们使用123。
8.点击应用,然后点击确定;
9.点击应用保存修改和更新防火墙策略;
10.在应用新的配置对话框中点击确定;
11.重启ISAServer计算机;
重启后,背端ISA防火墙/VPN服务器将接受PPTP和L2TP/IPSec连接;
在前端ISA防火墙上发布背端ISA防火墙/VPN服务器
我们需要三条服务器发布规则来发布位于背端ISA防火墙/VPN服务器上的VPN服务器,它们是:
∙IPSecNAT-T服务器发布规则;
∙IKE服务器发布规则;
∙PPTP服务器发布规则;
我们使用IPSecNAT-T服务器发布规则来提供发布L2TP/IPSec。
L2TP/IPSec需要你发布IKE协议,PPTP发布规则为进入的PPTP连接调用PPTP过滤器。
在前端防火墙上执行以下步骤建立PPTP服务器发布规则:
1.打开ISAServer控制台,展开服务器名,点击防火墙策略,然后在任务面板,点击任务标签,点击建立新的服务器发布规则;
2.在欢迎使用新建服务器发布规则页,命名为PPTPServer,然后点击下一步;
3.在服务器选择页,输入背端ISA防火墙的外部接口的IP地址,在此是10.0.1.2,点击下一步;
4.在协议选择页,选择PPTPServer,然后点击下一步;
5.在IP地址页,勾选外部,点击下一步;
6.在完成新建服务器发布规则页,点击完成;
执行以下步骤建立IPSecNAT-T服务器发布规则:
2.在欢迎使用新建服务器发布规则页,命名为NAT-TServer,然后点击下一步;
4.在协议选择页,选择IPSecNAT-TServer,然后点击下一步;
执行以下步骤建立IKE服务器发布规则:
2.在欢迎使用新建服务器发布规则页,命名为IKEServer,然后点击下一步;
4.在协议选择页,选择IKEServer,然后点击下一步;
建立好的防火墙策略如下图所示:
建立远程访问连接
Windows的VPN客户默认使用PPTP进行连接。
PPTP使用128位加密,还是很安全,如果你使用复杂的密码,那么PPTP已经完全满足你的需求了。
如果你想使用支持NAT-T的L2TP/IPSec,你首先得从下载和安装IPSecNAT-TVPN客户端。
你可以从
你需要配置L2TP/IPSecVPNNAT-TVPN客户端端使用在背端ISA防火墙上同样的预定义密钥。
建立VPN连接,然后右击它,选择属性,在安全标签,点击IPSec设置按钮;
在IPSec设置对话框中输入预定义的密钥;
现在你可以建立连接,默认是PPTP连接,如下图所示:
断开它,然后右击这个VPN连接,打开它的属性对话框,点击网络标签,选择L2TPIPSecVPN,然后点击确定,重新建立VPN连接。
此时,你可以从下图看到,已经是L2TP连接了。
如果你在背端ISA防火墙的日志里面监视,你可以看见VPN连接正在建立,你可以看到IKE(目的端口500)和NAT-T(目的端口4500)的会话:
从VPN客户上访问一个外部的Web站点,你可以从日志监视里面看到用户从VPN客户网络连接到外部网络。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 背靠背 ISA 防火墙 配置 远程 VPN 访问