網路功能
使用 ISA Server 2006 來設定 VPN 遠端存取
Alan Maddison
摘要:
- VPN 通訊協定
- 設定網站間 VPN 連線
- 設定遠端存取 VPN 連線
- ISA Server 2006 中的新功能
虛擬私人網路 (VPN) 提供高階的適應性、延展性,以及對網路連線的掌控能力。除了增強安全性之外,它們比
傳統的專用點對點連線更能省下大把的鈔票,而且它們極富彈性。
VPN 種類繁多,有些是用來連接行動使用者至公司網路,有些是用來連接位處異地的兩個網路。這些不同的 VPN 所使用的通訊協定,以及它們所提供的功能各異。有些提供安全性功能,例如驗證和加密,而有些可能連內建的安全性功能也沒有。不用說,有些設定和管理起來也比其他來得容易。
在本文中,我將探討您如何能夠使用 Internet Security and Acceleration (ISA) Server 2006 來實作 VPN。我的重點特別放在如何運用 ISA VPN 的功能來解決兩大常見的案例:一種是提供 VPN 遠端存取連線給使用者,另一種是提供網站間 VPN 連線。兩種實作都包含安全性功能,以確保資料私密性,同時為內部網路資源提供保護。
在第一個案例「遠端存取 VPN 連線」,遠端用戶端透過網際網路起始 VPN 連線連接到您的 ISA Server。ISA Server 接著將遠端用戶端連接到您的內部網路,讓使用者不間斷地存取內部網路資源,包括資料和應用程式。第二個案例「網站間 VPN 連線)比較複雜一點,因為它有用到路由器,此路由器有可能是 ISA 本身。但是此種連線可讓您將不同辦公室或分公司地點不間斷地彼此連接,或連接到中央辦公室。
使用 ISA Server 2006 來實作 VPN 還有其他幾項優點。其中一個最明顯的好處要歸功於 ISA Server 的整合功能,也就是說 VPN 功能與防火牆功能能夠攜手合作。此外,ISA Server 還提供 VPN 隔離功能,利用Windows Server® 2003 的網路存取隔離控制 (Network Access Quarantine Control) 功能來隔離遠端存取電腦,直到它的設定通過伺服器端指令碼的驗證為止。這無疑增添了另一層保護,因為它提供一種方法讓您先檢查遠端電腦上諸如防毒定義狀態和本機防火牆原則等項目,之後才允許它存取您的內部網路資源。
ISA Server 作為 VPN 方案所提供的主要管理優勢包括集中管理原則、監視、記錄和報告。對於日常的管理職責,這可說是無價的功能。尤其是即時監視和記錄檔篩選功能更能讓您深入洞察通過 ISA Server 的網路流量和連線。
VPN 通訊協定
ISA VPN 連線當中所採用的核心通道通訊協定為保障連線安全提供了第一道防線。ISA Server 支援三種通訊協定 — IPsec 上加第二層通道通訊協定 (L2TP)、點對點通道通訊協定 (PPTP),以及 IPsec 通道模式。最後一種通訊協定只在網站間連線的情況下支援,而且主要是為了讓路由器與其他不支援 L2TP 或 PPTP 的作業系統交互操作。
L2TP 與 IPsec 搭配是因為 L2TP 自己並沒有提供資料私密性的機制。當與 IPsec 搭配使用時,它提供了穩固的驗證和加密方法,這樣的組合提供了陣容堅強的方案。PPTP 使用 Microsoft® Challenge Handshake 驗證通訊協定 (MS CHAP) 第 2 版或可延伸驗證通訊協定-傳輸層安全性 (EAP-TLS) 來進行驗證,以及使用 Microsoft 點對點加密 (MPPE) 來進行加密 (相信您也猜得到)。
組織該選擇 IPsec 上加 L2TP 還是 PPTP,往往取決於該組織相關的因素。IPec 上加 L2TP 可讓您使用較複雜且精緻的加密,它也支援比較多種的網路 (包括 IP、X.25、框架轉接和 ATM)。不過,PPTP 實作起來比較簡單,而且一般來說需求較少。換句話說,在沒有組織限制的情況下,實作 IPsec 上加 L2TP 被認為是最佳作法。
網站間 VPN 連線
ISA Server 2006 在簡化網站間 VPN 的設定方面有相當顯著的進展。在早期的版本中,牽涉的步驟相當地多。我將舉一個單一遠端站台的例子,它是使用 IPsec 上加 L2TP 連接到中央辦公室,兩個地點都有 ISA Server。整個程序要求您先設定中央辦公室 ISA Server 之後再設定遠端站台。
此程序的第一個步驟是設定本機使用者帳戶,兩邊的 ISA Server 都需要這麼做。此一使用者身份識別將在要進行的遠端或主要 ISA Server 連線下提供安全性內容。此帳戶的名稱應該與您在 ISA 管理主控台內建立的 VPN 連線名稱一致。譬如,作為良好的命名慣例,應該為位於總公司的 ISA Server (指向遠端站台) 取「Site VPN」的使用者名稱,為遠端 ISA Server 取名為「HQ VPN」。一旦建好這些帳戶,您需要存取帳戶屬性,開啟 [撥號] 索引標籤,然後確定已選取 [允許存取] 選項。
建立本機使用者帳戶之後,下一步是建立公開金鑰基礎結構 (PKI) 憑證,這將供兩個站台間進行驗證之用。您可以選擇使用預先共用金鑰,但使用憑證向來是較佳的方法。為 VPN 連線安裝憑證最簡單的方法是直接連接到您自己的企業憑證授權單位,並透過憑證伺服器的網站申請憑證。但是要這麼做,您可能必須建立存取規則,以允許 ISA Server 透過 HTTP 連線到憑證伺服器。
如果您熟悉舊版的 ISA Server,將會注意到 ISA Server 2006 介面 (如 [圖 1] 所示) 更為直覺化。當在左窗格選取 VPN 時,中間窗格和右窗格便會顯示即時相關設定和工作選項。
![[圖 1] ISA Server 2006 具有更為直覺化的介面](images/cc137756.fig01.gif)
[圖 1]** ISA Server 2006 具有更為直覺化的介面 **(按影像可放大)
按一下右窗格中的 [建立 VPN 網站間連線] 來啟動網站間 VPN 精靈。當精靈啟動時,它會要求輸入網站間網路名稱,這個名稱應該與您稍早建立的使用者帳戶相符。輸入名稱後,按下 [下一步] 按鈕。在下一個畫面 (見 [圖 2]),選取要使用的 VPN 通訊協定 — 在我的範例中,這是 IPsec 上加 L2TP。按下 [下一步],然後精靈會好心地警告您必須已存在與網路名稱相符的使用者帳戶 — 想必您已謹慎地這麼做了,所以只要按下 [確定] 前往下個畫面便可。
![[圖 2] 選取要使用的 VPN 通訊協定](images/cc137756.fig02.gif)
[圖 2]** 選取要使用的 VPN 通訊協定 **(按影像可放大)
現在您必須建立 IP 位址集區。您在這裡有兩個選擇:您可以在 ISA Server 上建立靜態位址集區,或者您可以使用現有的 DHCP 伺服器來處理位址指派。既然兩種方法都可行,您應順著公司的程序來決定,因為它們跟這個特定的選項有密切的關聯。現在畫面會要求您輸入遠端伺服器名稱。輸入遠端伺服器的完整網域名稱 (FQDN),然後輸入使用者認證以進行連線。請記住,您必須輸入您在遠端 ISA Server 上建立的使用者帳戶資訊。在此處的範例,這應該是使用者帳戶 HQ VPN,如 [圖 3] 所示。
![[圖 3] 輸入遠端伺服器的 FQDN](images/cc137756.fig03.gif)
[圖 3]** 輸入遠端伺服器的 FQDN **(按影像可放大)
在下一個畫面,選取傳出驗證方法 (前面有提到,使用憑證向來是較佳的方法)。接著,輸入在遠端站台的內部網路上使用的 IP 位址範圍。
這之後,如果您是使用 ISA Server 2006 Enterprise Edition,精靈將讓您設定遠端站台的網路負載平衡固定 IP 位址。如果您使用的是 ISA Server 2006 Standard Edition,請跳過負載平衡的步驟,直接繼續下個畫面 (見 [圖 4]),在這裡您可以建立用於將流量從遠端站台路由至區域網路的網路規則。
![[圖 4] 建立路由流量的網路規則](images/cc137756.fig04.gif)
[圖 4]** 建立路由流量的網路規則 **(按影像可放大)
程序的下一步是建立存取規則。當設定存取規則時,有三個選項可允許使用通訊協定 — 您可以選擇允許所有的輸出流量,除了特定通訊協定之外允許所有的輸出流量,或者只允許特定的通訊協定。在大多數的情況下,您應該選擇所有輸出流量選項。
步驟就快完成了,精靈在此時會呈現您的設定的摘要,網站間 VPN 連線會在您一按下 [完成] 按鈕後馬上建立。您會看到一個對話方塊,當中會指出進行憑證撤銷清單下載需要啟用系統原則規則 — 按下 [是] 來啟用此規則。精靈接著會提供任何其他可能必要的設定步驟的相關資訊。完成設定主要站台的 ISA Server 後,您必須遵循相同的步驟來設定遠端站台。兩邊的步驟都完成後,兩個站台的使用者便能夠跨 VPN 進行通訊。
遠端存取 VPN 連線
設定用於用戶端存取的遠端存取 VPN 連線要簡單得多 (見 [圖 5])。第一個步驟是在 ISA Server 管理主控台的左窗格選取 VPN。接著在右窗格中選取 [啟用 VPN 用戶端存取] 工作。您會收到一則警告,表示這可能會造成路由及遠端存取服務重新啟動 (既然這可能會引起連線問題,您應當考慮在排定的維護期間來實作此項變更)。按一下 [確定] 關閉此警告,ISA Server 會啟用一條系統原則允許 VPN 用戶端流量存取 ISA Server。您可以在 ISA Server 管理主控台中選取 [防火牆原則],然後選取 [顯示系統原則規則] 工作來檢視此規則。
![[圖 5] 設定遠端存取 VPN 連線](images/cc137756.fig05.gif)
[圖 5]** 設定遠端存取 VPN 連線 **(按影像可放大)
另外還會啟用一條預設的網路規則,以允許在內部網路和兩個 VPN 網路 (VPN 用戶端和隔離的 VPN 用戶端) 之間進行路由。您可以在左窗格選取 [網路],然後開啟中間窗格中的 [網路規則] 索引標籤來檢視和編輯這條網路規則。
現在您必須設定 VPN 用戶端存取,另外有三個參數需要設定:受到許可存取的 Windows 安全性群組,用戶端可使用的通訊協定,以及使用者對應。[圖 6] 顯示了設定這些參數的對話方塊。
![[圖 6] 設定 VPN 用戶端存取](images/cc137756.fig06.gif)
[圖 6]** 設定 VPN 用戶端存取 **
在 [群組] 索引標籤中,您只需要選取哪個 Windows 群組應該獲得允許透過 VPN 進行遠端存取。從管理的觀點看來,我認為針對要授與的權限建立一個群組是個不錯的主意。這樣一來遠端存取管理起來就很得心應手。
[通訊協定] 索引標籤顯示只有預設已啟用的 PPTP。如果您的環境許可的話,肯定應該啟用 IPsec 上加 L2TP。
[使用者對應] 可讓您將命名空間的使用者帳戶,例如遠端驗證撥入使用者服務 (RADIUS),對應到 Windows 帳戶,藉以確保存取原則已正確套用。一旦完成這些設定選項並將變更套用至 ISA Server 後,就大功告成了。用戶端現在應該能夠使用 VPN 連線不間斷地存取您的內部網路資料和應用程式。
ISA Server 2006 的增強功能
ISA Server 2006 加入了許多增強功能,使它的威力和效能比過去版本更優異。這些功能 — 包括 HTTP 壓縮、背景智慧型傳送服務 (BITS) 支援,以及服務品質 (QoS) — 提供了各種最佳化網路使用的方法。不用說,即使有了這些方法,您還是應該繼續使用標準的頻寬最佳化技術,包括快取在內,因為這是 ISA Server 的核心。
Microsoft 的不同產品支援 HTTP 壓縮由來已久 — 它自 Internet Explorer® 第 4 版,還有 Windows Server 自 Windows® 2000 以來就已存在。然而,這是第一個支援 HTTP 壓縮還有業界標準 GZIP 和 Deflate 演算法的 ISA Server 版本。
這有什麼意義嗎?有了 HTTP 壓縮的支援,遵守 HTTP 1.1 的網頁瀏覽器就可以從任何網站要求壓縮的內容。不過要記住,只有回應才會壓縮,用戶端發出的初次連出連線並不會壓縮。
HTTP 壓縮是一種全域 HTTP 原則設定,它會套用於通過 ISA Server 的所有 HTTP 流量,與跟特定網路規則產生關聯恰恰相反。不過,您倒是可以選擇依每個接聽程式來實作 HTTP 壓縮,而這是透過網頁接聽程式來設定。
HTTP 壓縮可透過左窗格的 [一般] 選項來存取,而且預設是啟用的。但是如 [圖 7] 所示,您必須設定要使用壓縮的網路元素。讓我們回到網站間 VPN 的範例,您必須選取 [傳回壓縮資料] 索引標籤,然後新增您稍早建立的 [Site VPN] 網路元素。您在這裡還可以選擇設定要壓縮的內容類型。ISA Server 2006 隨附許多標準內容類型,不過您可以透過 [工具箱] 索引標籤上的 [防火牆原則] 工作窗格來新增自訂內容類型。請記住,[傳回壓縮資料] 索引標籤指的是 ISA Server 會在資料傳回用戶端之前進行壓縮。為了讓 ISA Server 要求網頁伺服器在資料傳給 ISA Server 之前處理資料的壓縮,您必須使用 [要求壓縮資料] 索引標籤。
![[圖 7] 設定 HTTP 壓縮](images/cc137756.fig07.gif)
[圖 7]** 設定 HTTP 壓縮 **(按影像可放大)
背景智慧型傳送系統是用於 HTTP 和 HTTPS 流量的非同步檔案傳輸服務。Windows Server 2003 包含 BITS 1.5 版,它支援下載和上載,不過上載還需要 Internet Information Services (IIS) 5.0 版或更新的版本。為智慧型檔案傳輸服務的 BITS,不但能夠分析網路流量,而且只會使用您網路頻寬的閒置部分。此外,檔案傳輸更是動態的,而且 BITS 還會藉著調節恢復到它的網路使用量,以正常的網路流量來回應尖峰 (Spike)。此點優勢是,BITS 可確保大型檔案的下載和上載不會對其他網路使用造成負面的衝擊。從系統管理員的觀點來看,這表示抱怨網路效能不佳的電話應該會減少許多。這是好消息!
BITS 還提供其他可改善使用者經驗,以及提升網路效能的優點。舉例來說,使用 BITS 的檔案傳輸是二進位,表示 BITS 可恢復因網路中斷這類的因素而遭中斷的檔案傳輸 (而不需要從頭開始重來)。另外,ISA Server 2006 也包含了對 Microsoft Update 快取功能的內建支援,它使用 BITS 快取來最佳化更新。
差異服務 (DiffServ) 通訊協定可針對 HTTP 和 HTTPS 流量提供封包優先處理 (或 QoS)。也就是說,視您的 ISA Server 設定而定,某些流量會優先處理。這在因流量或網路連線速度而造成頻寬有限的網路上很有用。根據網際網路工程任務推動小組 (Internet Engineering Task Force,IETF),DiffServ 是以類別為基礎的流量管理機制。因此,DiffServ 可以區別流量類型,並適當加以管理,進而確保高優先順序的流量獲得優先處理。
為了提供這項功能,ISA Server 與支援 QoS 的路由器結合運作。很重要的一點是,如果您希望封包以相同的優先順序路由,應確保 ISA Server DiffServ 位元組與路由器上的優先順序相符。
因為在 ISA Server 中實作這類封包優先順序是一種全域 HTTP 原則設定,它會套用到使用 DiffServ 網頁篩選器通過 ISA Server 2006 的所有 HTTP 流量。這表示 ISA Server 並不支援 DiffServ 用於其他通訊協定,而且事實上,可能會將非 HTTP 流量上既有的 DiffServ 位元組移除。
如 [圖 8] 所示,DiffServ 是實作成網頁篩選器,而且可以透過選取左窗格中的 [增益集] 來存取。因為 ISA Server 需要在處理時偵查要求/回應的大小,所以請勿變更預設設定或 DiffServ 篩選器的優先順序。
![[圖 8] 檢視 DiffServ 網頁篩選器](images/cc137756.fig08.gif)
[圖 8]** 檢視 DiffServ 網頁篩選器 **(按影像可放大)
如果您仔細看一下 [圖 8],可能會注意到 DiffServ 篩選器預設並沒有啟用。若要啟用此篩選器,只要在 [工作] 窗格選取 [啟用選取的篩選器],然後設定篩選器即可。由於 ISA Server 中的 DiffServ 封包優先處理是以特定 URL 或網域為依據,因此您必須將這項資訊加入 DiffServ 喜好設定中。方法是在管理主控台的左窗格選取 [一般] 索引標籤,然後在 [全域 HTTP 原則設定] 下,選取 [指定差異服務 (DiffServ) 喜好設定]。當指定這些喜好設定時,必須定義優先順序,以及應該優先處理的 URL 和網域。ISA Server 2006 提供強大的新功能,來建立 VPN 用戶端的遠端存取或網站間 VPN 設定。考慮要實作哪種 VPN 方案時,應該以它為優先考量。
Alan Maddison 是 MTI Technology Corporation 在 Microsoft 技術實習方面的一名資深顧問。他主要專精於 Active Directory、Exchange Server 和虛擬化技術。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.