• 项目

联网

使用 ISA Server 2006 配置 VPN 远程访问

Alan Maddison

 

概览:

  • VPN 协议
  • 配置点对点 VPN 连接
  • 配置远程访问 VPN 连接
  • ISA Server 2006 中的新增功能

虚拟专用网络 (VPN) 具有高级别的适应性和可伸缩性,并可以通过网络连接进行控制。除了增强安全性外,它们还可以大大节约传统的专用

点对点连接的成本。它们还非常灵活。

VPN 有多种类型。有些用于将移动用户连接到企业网络;有些用于连接两个分别位于不同地理位置的网络。不同 VPN 使用的协议以及所提供的功能各不相同。有些提供安全功能(如身份验证和加密),而其他 VPN 可能根本不提供内置安全功能。显然,有些 VPN 要比其他 VPN 更易于设置和管理。

在本文中,我将介绍如何使用 Internet Security and Acceleration (ISA) Server 2006 来实施 VPN,重点讲解如何使用 ISA VPN 功能实现两种常见的方案:一种用来为用户提供 VPN 远程访问连接,另一种用来提供点对点 VPN 连接。这两种实施方案均包括安全功能,以确保数据隐私并保护内部网络资源。

在第一种方案(即远程访问 VPN 连接)中,远程客户端通过 Internet 启动与您的 ISA 服务器的 VPN 连接。然后,ISA 服务器将远程客户端连接到您的内部网络,从而为用户提供对内部网络资源(包括数据和应用程序)的无缝访问权限。在第二种方案(即点对点 VPN 连接)中,由于要用到路由器(可能是 ISA 本身),因此略为复杂。但此连接类型提供了将不同办公室或分支机构无缝连接到另一办公室或中央办公室的功能。

使用 ISA Server 2006 实施 VPN 还可以获得多个其他好处。最显著的好处之一在于 ISA Server 的集成特性,这就意味着 VPN 功能和防火墙功能可以协同工作。此外,ISA 服务器提供了 VPN 隔离功能,该功能在远程访问计算机的配置经过服务器端脚本验证之前,利用 Windows Server® 2003 的网络访问隔离控制功能对该远程访问计算机进行隔离。通过在允许远程计算机访问您的内部网络资源之前检查该远程计算机上的防病毒定义状态和本地防火墙策略等事项,这可以增加额外的一层保护。

ISA 服务器作为 VPN 解决方案提供的主要管理优势包括可以对策略、监视、登录和报告进行集中管理。对于您的日常管理职责,这些功能无疑是无价之宝。尤其是实时监视和日志筛选功能可使您深入了解通过 ISA 服务器的网络流量和连接。

VPN 协议

ISA VPN 连接中使用的核心隧道协议提供了保护连接的第一道防线。ISA 服务器支持以下三种协议 — IPsec 上的第 2 层隧道协议 (L2TP)、点对点隧道协议 (PPTP) 和 IPsec 隧道模式。最后一种协议仅受点对点连接支持,主要用于与路由器以及其他不支持 L2TP 或 PPTP 的操作系统之间的互操作性。

由于 L2TP 自身不提供数据隐私机制,因此 L2TP 要与 IPsec 结合使用。由于 Ipsec 能够提供可靠的身份验证和加密方法,因此结合使用 L2TP 与 IPsec 可提供颇有吸引力的解决方案。PPTP 使用 Microsoft® 质询握手身份验证协议 (MS CHAP) 版本 2 或可扩展的身份验证协议-传输层安全性 (EAP-TLS) 进行身份验证,使用 Microsoft 点对点加密 (MPPE) 进行加密(如您所料)。

一个组织选择 IPsec 上的 L2TP 还是 PPTP 通常取决于该组织的具体情况。IPsec 上的 L2TP 允许您使用更复杂更先进的加密方法,并支持更多的网络类型(包括 IP、X.25、帧中继和 ATM);而 PPTP 更易于实施,并且通常要求也更少。也就是说,在不存在组织限制的情况下,建议最好使用 Ipsec 上的 L2TP。

点对点 VPN 连接

ISA Server 2006 在简化建立点对点 VPN 连接方面取得了重大进步。在早期版本中,建立点对点 VPN 的步骤非常多。对于此示例,我将讨论使用 IPsec 上的 L2TP 连接到中央办公室的一个远程站点(在这两个位置都安装了 ISA 服务器)。此过程要求在配置远程站点之前先配置中央办公室 ISA 服务器。

此过程的第一步是配置两个 ISA 服务器都需要的本地用户帐户。此用户身份将提供安全环境,在此环境下将建立与远程 ISA 服务器或主 ISA 服务器的连接。此帐户名称应与在 ISA 管理控制台内创建的 VPN 连接的名称相匹配。例如,有效的命名约定是在位于总部(指向远程站点)的 ISA 服务器上设置用户名“Site VPN”,在远程 ISA 服务器上设置用户名“HQ VPN”。创建这些帐户后,需要访问帐户属性,打开“拨入”选项卡,确保选中了“允许访问”选项。

创建本地用户帐户后,接下来要创建公钥基础结构 (PKI) 证书,用于在两个站点之间进行身份验证。您可以选择使用预共享的密钥,但使用证书一般是首选方法。为 VPN 连接安装证书的最简单方法是通过证书服务器的网站直接连接到自己的企业证书颁发机构,然后申请一个证书。但若要执行此操作,您可能需要创建一个访问规则,以允许 ISA 服务器通过 HTTP 连接到证书服务器。

如果您非常熟悉 ISA 服务器的早期版本,则会发现 ISA Server 2006 的界面(如图 1 所示)要直观得多。在左窗格中选择 VPN 后,中间窗格和右窗格中会显示上下文相关的配置和任务选项。

图 1 ISA Server 2006 具有更直观的界面

图 1** ISA Server 2006 具有更直观的界面 **(单击该图像获得较大视图)

单击右窗格中的“创建 VPN 点对点连接”任务启动点对点 VPN 向导。向导启动后,将要求您填写点对点网络名称;此名称应与您先前创建的用户帐户名称匹配。输入名称后,按“下一步”按钮。在接下来的屏幕(参见图 2)中,选择要使用的 VPN 协议,在本示例中为 Ipsec 上的 L2TP。按“下一步”,向导将警告您必须使用与网络名称匹配的用户帐户,如果您已非常谨慎地执行了此操作,按“确定”转到下一屏幕。

图 2 选择要使用的 VPN 协议

图 2** 选择要使用的 VPN 协议 **(单击该图像获得较大视图)

现在,您必须创建一个 IP 地址池。在此,您有两种选择:在 ISA 服务器上创建一个静态地址池,或使用现有的 DHCP 服务器进行地址分配。由于这两种方法都是可接受的,因此您的决策应符合公司的程序,因为它们与此特定选项相关。此时,屏幕要求您输入远程服务器名称。输入远程服务器的完全限定的域名 (FQDN),然后输入该连接的用户凭据。请记住,必须输入在远程 ISA 服务器上创建的用户帐户信息。在本示例中,即用户帐户 HQ VPN,如图 3 所示。

图 3 输入远程服务器的 FQDN

图 3** 输入远程服务器的 FQDN **(单击该图像获得较大视图)

在下一屏幕中,选择传出身份验证方法(如上所述,首选使用证书)。然后,输入在远程站点的内部网络上使用的 IP 地址范围。

执行此操作后,如果您使用的是 ISA Server 2006 Enterprise Edition,则向导允许您配置远程站点的网络负载平衡专用 IP 地址。如果使用的是 ISA Server 2006 Standard Edition,则跳过负载平衡步骤,直接转到下一屏幕(参见图 4),在此步骤中,将创建用于路由从远程站点到本地网络流量的网络规则。

图 4 创建用于路由流量的网络规则

图 4** 创建用于路由流量的网络规则 **(单击该图像获得较大视图)

此外,您还必须创建一个访问规则,这是此过程的下一步。配置访问规则时,有三种用于允许协议的选项:您可以选择允许所有出站流量,允许除某些协议以外的所有出站流量,或者仅允许某些协议。在大多数情况下,您都希望选择所有出站流量选项。

此过程即将结束。此时,向导将显示您的配置摘要,按“完成”按钮,即完成创建点对点 VPN 连接。您会看到一个对话框,指示需要启用系统策略规则以便下载证书吊销列表,按“是”启用此规则。然后,此向导提供有关可能需要的任何其他配置步骤的信息。在主站点上完成 ISA 服务器配置后,需要使用完全相同的步骤来配置远程站点。完成这两个步骤后,位于这两个站点的用户即能够通过 VPN 进行通信。

远程访问 VPN 连接

配置远程访问 VPN 连接以使客户端访问更为简单(参见图 5)。第一步,在 ISA 服务器管理控制台的左窗格中选择 VPN。然后,在右窗格中选择“启用 VPN 客户端访问”任务。将出现一条警告,指示此操作可能导致重新启动路由和远程访问服务(因为这可能会导致连接问题,您可能希望在定期维护窗口期间实施此更改)。单击“确定”跳过此警告继续执行下一步骤;ISA 服务器使允许 VPN 客户端通信的系统策略能够访问 ISA 服务器。通过在 ISA 服务器管理控制台中选择“防火墙策略”,然后选择“显示系统策略规则”任务,可查看此策略。

图 5 配置远程访问 VPN 连接

图 5** 配置远程访问 VPN 连接 **(单击该图像获得较大视图)

还会启用默认的网络规则,以允许在内部网络和两个 VPN 网络(VPN 客户端和被隔离的 VPN 客户端)之间进行路由。通过在左窗格中选择网络,然后打开中间窗格中的“网络规则”选项卡,可查看此网络规则。

现在,您必须配置 VPN 客户端访问。还需要配置另外三个参数:允许访问的 Windows 安全组、客户端可能用到的协议以及用户映射。配置这些参数的对话框如图 6 所示。

图 6 配置 VPN 客户端访问

图 6** 配置 VPN 客户端访问 **

“组”选项卡只要求选择允许通过 VPN 进行远程访问的 Windows 组。从管理角度来看,我认为最好创建一个给定权限的单独组。这可使管理远程访问变得非常容易。

默认情况下,“协议”选项卡显示仅启用了 PPTP。如果 Ipsec 上的 L2TP 在您的环境中完全切实可用,则一定要启用它。

用户映射允许您将用户帐户从命名空间(如远程身份验证拨入用户服务 (RADIUS))映射到 Windows 帐户,从而确保正确应用访问策略。完成这些配置选项并将更改应用到 ISA 服务器后,整个配置过程即大功告成。现在,客户端将能够使用 VPN 连接无缝访问您的内部网络数据和应用程序。

ISA Server 2006 增强功能

ISA Server 2006 引入了大量增强功能,与以前版本相比,其功能和性能都有了显著提高。这些功能(包括 HTTP 压缩、后台智能传输服务 (BITS) 支持和服务质量 (QoS))提供了优化网络使用率的各种技术。当然,即使有了这些技术,您还是应该继续使用通用的带宽优化技术(包括缓存),此技术是 ISA 服务器的核心。

近来,Microsoft 各种产品均支持 HTTP 压缩,此功能位于自版本 4 以后的 Internet Explorer® 和自 Windows® 2000 以后的 Windows Server 中。但这是第一个支持 HTTP 压缩以及行业标准 GZIP 和 Deflate 算法的 ISA 服务器版本。

这意味着什么呢?由于支持 HTTP 压缩,符合 HTTP 1.1 标准的 Web 浏览器可以从任何网站请求压缩的内容。但请记住,只能压缩响应,而不能压缩来自客户端的初始传出连接。

HTTP 压缩是一个全局 HTTP 策略设置,适用于通过 ISA 服务器传输的所有 HTTP 通信,反之,则与特定的网络规则关联。但是,您仍然可以选择对每个侦听器实施 HTTP 压缩;这可以通过 Web 侦听器向导进行配置。

默认情况下,HTTP 压缩处于启用状态,您可以通过左窗格中的“常规”选项卡来访问它。但是,如图 7 所示,您必须配置压缩会用到的网络元素。继续来看点对点 VPN 示例,您需要选择“返回压缩的数据”选项卡,并添加先前创建的站点 VPN 网络元素。此时,您还可以配置应压缩的内容类型。ISA Server 2006 附带一个标准内容类型列表,但您可以通过“工具箱”选项卡上的“防火墙策略”任务窗格添加自定义内容类型。请记住,“返回压缩的数据”选项卡指 ISA Server 在将数据返回到客户端之前对其进行压缩。为了使 ISA 服务器可以请求 Web 服务器在将数据发送到 ISA 服务器之前处理数据压缩,需要使用“请求压缩的数据”选项卡。

图 7 配置 HTTP 压缩

图 7** 配置 HTTP 压缩 **(单击该图像获得较大视图)

后台智能传输系统是适用于 HTTP 和 HTTPS 通信的一项异步文件传输服务。Windows Server 2003 包括 BITS 版本 1.5,此版本支持下载和上传,尽管上传还需要使用 Internet Information Services (IIS) 版本 5.0 或更高版本。作为一项智能文件传输服务,BITS 能够检查网络流量,并且仅使用网络带宽的空闲部分。此外,文件传输是动态的,而且 BITS 可通过限制其网络使用率来响应普通网络流量高峰。其优点在于 BITS 可确保下载和上传大型文件不会对其他网络使用产生不良影响。从管理员的角度来看,这意味着网络性能得到提高。好消息!

BITS 还具有其他优点,可大大改进用户体验并有助于改善网络性能。例如,使用 BITS 进行的文件传输是二进制的,这意味着 BITS 能够恢复由于网络中断等因素而中断的文件传输(不必从头开始)。ISA Server 2006 包括对 Microsoft Update 缓存功能的内置支持,此功能使用 BITS 缓存来优化更新。

差分服务 (DiffServ) 协议为 HTTP 和 HTTPS 通信启用数据包优先级(或 QoS)。换句话说,将根据您的 ISA 服务器配置优先接收特定的通信。这在因流量或网络连接速度而使带宽受到限制的网络上很有用。根据 Internet 工程任务组 (IETF) 的定义,DiffServ 是一个基于类的通信管理机制。因此,DiffServ 能够区分各种类型的通信并对其进行相应管理,从而确保优先选择高优先级的通信。

要提供此功能,需要将 ISA 服务器与支持 QoS 的路由器结合使用。如果希望按相同的优先级路由数据包,则必须确保 ISA 服务器 DiffServ 位与路由器上的优先级相匹配。

与 ISA 服务器中的实现一样,此类型的数据包优先级是一个 HTTP 策略设置,此设置是全局性的,并应用于使用 DiffServ Web 筛选器通过 ISA Server 2006 进行传输的所有 HTTP 通信。这意味着 ISA 服务器不支持将 DiffServ 用于其他协议,实际上可能会将 DiffServ 位置于非 HTTP 通信中。

图 8 所示,DiffServ 作为 Web 筛选器实现,可以通过选择左窗格中的“加载项”进行访问。由于 ISA Server 需要在处理请求/响应期间检查其大小,因此不要更改 DiffServ 筛选器的默认设置或优先级顺序,这非常重要。

图 8 查看 DiffServ Web 筛选器

图 8** 查看 DiffServ Web 筛选器 **(单击该图像获得较大视图)

仔细观察图 8,您可能会注意到 DiffServ 筛选器在默认情况下未启用。要启用此筛选器,只需从“任务”窗格中选择“启用所选筛选器”,然后配置该筛选器。由于 ISA 服务器中的 DiffServ 数据包优先级基于特定的 URL 或域,因此需要将此信息添加到 DiffServ 首选项。要执行此操作,请在管理控制台的左窗格中选择“常规”,然后在“全局 HTTP 策略设置”下,选择“指定 DiffServ 首选项”。指定这些首选项时,必须定义优先级,还应确定 URL 和域的优先顺序。ISA Server 2006 提供了强大的新功能来为 VPN 客户端设置远程访问或创建点对点 VPN。考虑要实施哪种 VPN 解决方案时,应首先考虑采用它。

Alan Maddison是 MTI 技术公司的 Microsoft 技术实践高级顾问。他重点研究 Active Directory、Exchange Server 和虚拟化。

© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.