以 Microsoft 虛擬私人網路實作隔離服務規劃指南

  • 發行項

第 2 章 - 虛擬私人網路隔離的方法

更新日期: 2005 年 5 月 24 日

本頁內容

簡介
虛擬私人網路隔離概觀
用戶端元件
伺服器元件
網路需求

簡介

虛擬私人網路 (VPN) 遠端存取連線是逐漸成熟的技術。然而,為 VPN 連線提供隔離仍是新概念。本章會介紹提供 VPN 隔離服務的下列元素:

  • 用戶端元件

  • 伺服器元件

  • 網路元件

**注意:**Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) 提供支援的 VPN 隔離實作。雖然 Microsoft Internet Security and Acceleration (ISA) Server 2004 也提供 VPN 隔離控制,但 Microsoft 客戶支援服務目前不完全支援此 VPN 隔離控制的實作。

回到頁首

虛擬私人網路隔離概觀

VPN 技術可讓使用者透過執行於公用網路服務 (例如網際網路) 之上的安全驗證連線來存取私人網路。這些連線會使用通道通訊協定,將每個封包進行數位密封 (加密),然後在公用網路上傳遞封包。這個程序的細節會因使用的 VPN 機制而有所不同。目的地網路會接收封包並解密。用戶端電腦看來就像是直接連線至私人網路。

VPN 隔離的運作方式是,比對組織標準檢查並驗證遠端存取電腦的設定,同時延遲對私人網路的完整連線。如果連接的電腦不符合組織原則,隔離程序會安裝 Service Pack、安全性更新和病毒定義,然後才會允許電腦連接到網路資源。因為 VPN 隔離依賴用戶端所執行的檢查,所以惡意使用者可能會略過電腦檢查。VPN 隔離的設計不是為了防止惡意攻擊者,而是協助防止授權使用者可能誤用不符合組織電腦設定需求的電腦。

**注意:**VPN 隔離不保證完整的安全性解決方案,但會協助防止設定不安全的電腦連接到私人網路。然而,VPN 隔離不會保護私人網路免於已取得有效憑證集並使用符合組織電腦狀態原則登入之惡意使用者的攻擊。VPN 隔離也不會防止以符合安全性需求的電腦連接,然後決定執行惡意攻擊的授權使用者。

實作 VPN 隔離需要下列元件:

  • 隔離相容的遠端存取用戶端

  • 隔離相容的遠端存取伺服器

  • 隔離相容的遠端存取撥入使用者服務 (RADIUS) 伺服器 (選擇性)

  • 隔離資源

  • 帳戶資料庫

  • 隔離遠端存取原則

本節提供這些元素如何一起運作以提供 VPN 隔離解決方案的概觀

注意: VPN 隔離解決方案可以使用 RADIUS 或 Windows 驗證,但 RADIUS 是慣用方法。本章後面的如何實作網際網路驗證服務 (IAS) 一節會提供有關 IAS (Microsoft 的 RADIUS 實作) 的更多資訊。

使用虛擬私人網路連接

當電腦啟動對 Microsoft Windows® 架構遠端存取伺服器的 VPN 連線時,伺服器會執行下列動作:

  1. 遠端存取伺服器比對設定的遠端存取原則執行檢查後,允許連線。

  2. 遠端存取伺服器檢查使用者是否有權直接連接。

  3. 遠端存取伺服器比對目錄服務或驗證服務來驗證使用者憑證。

  4. 遠端存取電腦指派 IP 位址給遠端電腦。

在標準 VPN 實作中,使用者在成功完成這四個步驟之後,即可存取所有授權的網路資源。電腦從來不檢查安全性更新、防毒保護等等。

使用虛擬私人網路隔離連接

下圖概述一個運用隔離子網路上的資源伺服器進行 VPN 隔離的方法。

圖 2.1 VPN 隔離程序路徑

當使用者嘗試連接到遠端網路時,VPN 隔離會實作修正程序。此程序包含下列步驟:

  1. 電腦執行連線前檢查,確保電腦符合特定基本需求。可能包括 hotfix、安全性更新及病毒碼。連線前指令碼會將檢查結果儲存在本機上。如有需要,組織也可以執行連線後安全性檢查。

  2. 連線前檢查成功之後,電腦使用 VPN 連接到遠端存取伺服器。

  3. 遠端存取伺服器比對 Active Directory® 目錄服務中所儲存的使用者名稱及密碼,向 RADIUS 伺服器驗證使用者憑證。RADIUS 在此程序中是選擇性元件。

  4. 如果 Active Directory 驗證使用者,遠端存取伺服器會使用 VPN 隔離遠端存取原則,將用戶端置於隔離中,遠端存取用戶端電腦的存取僅限於遠端存取原則所指定的隔離資源。有兩種方式可對遠端存取用戶端電腦執行隔離:使用特定的逾時期限,讓用戶端電腦不致於永久停留在隔離中,或使用 IP 篩選器,將 IP 流量限制於指定的網路資源。

  5. 連線後指令碼會通知遠端存取伺服器,指出用戶端符合指定的需求。如果連線在指定逾時期限內不符合需求,指令碼會通知使用者並中斷連線。

  6. 遠端存取伺服器移除 IP 篩選器而移除用戶端電腦的隔離模式,並根據遠端存取原則來授與對網路資源的適當存取。

**注意:**如果連線失敗,使用者會收到描述失敗原因的訊息。

用戶端在隔離模式中,只能存取位在隔離網路上的資源。這個網路可以由個別的隔離子網路組成,或由一組定義的網際網路端伺服器組成。隔離網路提供資源,可讓遠端電腦完全符合所規定的安全性需求。資源一般包含名稱解析 DNS 伺服器、發行使用者指示的 Web 伺服器,以及用來下載任何所需更新、Service Pack 或防毒公用程式的檔案伺服器。遠端存取伺服器會實作自訂的 IP 篩選器,將用戶端限制於指定的隔離資源。自訂 IP 篩選器只允許透過有限連接埠連線至個別子網路上的指定電腦。

使用隔離子網路,需要長時間的工作階段逾時,以確保用戶端電腦可以從強制子網路上下載所有必要的更新。使用網際網路端更新伺服器並在 VPN 連線前更新,具備縮短隔離逾時的優勢。在這兩個狀況中,都是由指令碼執行用戶端更新,而不是隔離網路本身。

VPN 隔離存取原則會指定可設定的逾時值。如果用戶端在設定期限內沒有通過網路符合規範測試,遠端存取伺服器會終止連線。如需有關 VPN 隔離設定的詳細資訊,請參閱第 4 章<設計解決方案>。

當您實作 VPN 隔離時,重要的是確保所有解決方案元件都能正確地互相操作。下節會檢視這些元件,並簡短討論每個元件的規劃問題。

回到頁首

用戶端元件

因為 VPN 隔離依賴遠端用戶端上執行的元件,您必須了解這些元件的功能和設定。尤其重要的是連線管理員及連線管理員系統管理組件 (CMAK)。

連線管理員概觀

連線管理員會集中和自動化網路連線的建立和管理。連線管理員支援 VPN 隔離設定的數個重要區域:

  • 自動管理用戶端電腦設定的連線前安全性檢查。

  • 連線後安全性檢查和登入驗證。

管理小組會在每個遠端存取用戶端上安裝連線管理員用戶端撥接程式軟體。這個軟體比手動設定的遠端存取連線提供更多進階功能。

簡化連線程序

連線管理員也會簡化使用者的連線程序。它限制使用者可變更的設定選項,有助於確保使用者成功連線。下列範例會說明組織可以自訂連線管理員項目的區域:

  • 使用者可以根據實際位置,從電話號碼清單中選取。

  • 使用者會看到自訂的圖形、圖示、訊息及說明。

  • 連線管理員可以建立撥號連線至網際網路,然後建立 VPN 連線。

  • 在連線程序期間,連線管理員可以執行自訂動作,例如連線前和連線後動作。範例包括重設撥接程式設定檔,或設定 Windows 防火牆,以忽略封包篩選器規則例外狀況。

若要實作可管理的解決方案,管理員必須能夠在多部電腦上建立和部署連線管理員,這需要建立連線管理員設定檔。

建立連線管理員設定檔

連線管理員設定檔是自訂連線管理員撥接程式封裝,採用自動解壓縮可執行檔的形式。網路管理員可以使用 CMAK 建立這些設定檔。組織可以使用 Active Directory 群組原則或其他軟體安裝機制,例如網際網路端網頁伺服器或 Microsoft Systems Management Server 2003 軟體發佈,將所產生的連線管理員設定檔部署至用戶端電腦。

當使用者執行可執行檔時,設定檔以及用來連線到遠端存取伺服器的正確設定就會安裝到本機電腦上。在 Windows XP 中,使用者只要啟動 [連線到] 功能表上的設定檔名稱,設定檔就會自動建立適當的撥號和 VPN 連線。

自訂連線管理員設定檔

連線管理員有彈性的設計,可讓 IT 管理員根據特定管理或安全性需求來寫入和插入模組。連線管理員系統管理組件精靈會指引您完成設定連線管理員設定檔的各種選項。如需有關連線管理員系統管理組件的詳細資訊,請參閱 連線管理員系統管理組件 (英文) 主題,網址為:https://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_CMAKtopnode.asp。

在連線管理員中實作自訂動作

您可以使用 CMAK 精靈,將自訂動作納入連線管理員設定檔中,以便在使用者連線到網路時會自動啟動程式。CMAK 精靈可讓您在連線程序中的五個不同時間點上指定自訂動作:

  • 初始化前動作。一旦使用者啟動連線管理員,就會執行所指定的初始化前動作。在連線管理員登入畫面顯示之前,會執行這些動作。請注意,當按一下 [內容] 對話方塊或服務設定檔時,就會執行連線管理員初始化前動作。

  • 連線前動作。一旦使用者按一下 [連線],連線管理員就會執行服務設定檔中所指定的連線前動作。在連線管理員建立對遠端存取服務的連線之前,會執行連線前動作。如果是特別與通道相關的動作,連線管理員會使用打開通道前動作。

  • 打開通道前動作 (適用於 VPN)。在連線管理員建立對網際網路服務提供者的連線之後,會在建立對 VPN 伺服器的通道之前,執行打開通道前動作。只有在 VPN 是連線管理員服務設定檔的一部分時,才能使用這種類型的動作。

  • 連線後動作。連線管理員會在建立通道之後,執行連線後動作。在 CMAK 精靈中您可以設定如下:當每次使用者連線到遠端存取服務時,都會執行 CMAK 精靈中之指定的每個連線後動作。

  • **中斷連線動作。**連線管理員會在從服務中斷連線之前,執行中斷連線動作。您可以將中斷連線動作用於例行管理,例如收集上線總分鐘數的資料。使用者即可檢視此資訊。作業小組也可以使用此資料來分析使用者經驗。

    **注意:**即使連線管理員沒有造成連線中斷,中斷連線動作也會執行。例如,如果電話服務中斷,而結束使用者連線,連線管理員就會在未預期的連線中斷之後嘗試執行服務設定檔所指定的中斷連線動作。

一般打開通道前動作可能會執行網路原則需求指令碼,以檢查用戶端電腦是否符合規範。如需有關網路原則需求指令碼的描述,請參閱本文件附錄 A<範例隔離指令碼>。

遠端存取隔離代理程式

VPN 隔離目前要求個別用戶端代理程式應搭配遠端存取伺服器上的適當接聽程式元件使用。用戶端代理程式會通知伺服器元件,用戶端通過必要檢查,讓遠端存取伺服器可以授與對內部網路資源的存取。

Windows Server 2003 SP1 提供一個用戶端代理程式 (RQC.exe),它會透過傳輸控制通訊協定 (TCP) 連接埠 7250,與遠端存取隔離服務 (RQS.exe) 進行通訊。在隔離連線時,接聽元件 (RQS) 會將秘密共用金鑰傳送給用戶端 (RQC)。如果用戶端符合必要的條件,用戶端會將共用金鑰傳送給伺服器,讓遠端存取伺服器可以解除隔離。遠端存取隔離代理程式是做為連線管理員系統管理組件的一部分進行安裝。

回到頁首

伺服器元件

VPN 遠端存取伺服器是 VPN 隔離的重要元件,它會執行下列功能:

  • 執行遠端存取隔離服務

  • 套用隔離存取的遠端存取原則

  • 與用戶端代理程式交涉通訊

  • 從用戶端代理程式接收原則符合規範的通知

  • 套用不受限制存取的遠端存取原則

Windows Server 2003 SP1 中的遠端存取隔離服務支援必要的應用程式介面 (API),以將遠端電腦置於隔離中,然後在用戶端代理程式通知符合規範之後,移除該電腦的隔離限制。

遠端存取隔離服務是 Windows Server 2003 SP1 中的選擇性元件。遠端存取隔離服務由可執行檔 (RQS.exe) 組成,它會在 TCP 連接埠 7250 上接聽來自用戶端代理程式的通知。Windows 2003 Server SP1 中的遠端存取隔離服務是 Microsoft 客戶支援服務唯一支援的隔離服務版本。

**注意:**介於遠端存取伺服器和用戶端之間的任何防火牆都必須允許連接埠 7250 上的流量。遠端存取伺服器會要求您允許 TCP 連接埠 7250 上的連入流量。

對個別 VPN 連線的隔離限制包括:

  • 隔離封包篩選器,限制隔離遠端存取用戶端可以傳送或接收的流量。

  • 隔離工作階段計時器,限制用戶端在強制中斷連線之前,可以在隔離模式中保持連線的時間。

回到頁首

網路需求

VPN 隔離解決方案所需的網路元件包括:

  • 網際網路驗證服務 (IAS) 伺服器

  • Software Update Services (SUS) 伺服器 (選擇性元件)

  • Windows Update (選擇性元件)

  • 其他網路元件

網路也必須提供必要頻寬以支援解決方案。此外,網路也應提供必要路由和閘道,以進行有效率的封包傳輸。

實作網際網路驗證服務

RADIUS 為 VPN 連線使用者驗證提供更大彈性,例如支援可延伸的驗證通訊協定 (EAP) 標準。EAP 啟用數位憑證或智慧卡的雙重要素驗證控制。

只有在組織想要設定遠端存取伺服器,以將 RADIUS 做為驗證提供者使用時,才需要 IAS 伺服器。在 VPN 隔離案例中使用 IAS 進行 RADIUS 驗證,有許多優勢。使用 IAS:

  • 啟用集中式使用者授權及驗證。

  • 整合至 Active Directory。

  • 提供許多授權和驗證選項。

IAS 伺服器會管理驗證程序,它會將使用者的驗證需求和登入資訊傳遞至 Active Directory。然後,Active Directory 會比較登入資訊與該遠端使用者的憑證。如果憑證符合,IAS 就會驗證使用者。如需有關 IAS 的詳細資訊,請參閱 網際網路驗證服務網站 (英文),網址為:www.microsoft.com/windowsserver2003/technologies/ias/default.mspx。

**注意:**只有 Windows Server 2003 中的 IAS 支援在遠端存取原則設定檔中設定 VPN 隔離所需的進階屬性。其他 RADIUS 實作可能不支援此功能。如需詳細資訊,請參閱第 4 章<設計解決方案>。

IAS 是唯一會支援 VPN 隔離所需之兩個廠商特定屬性的 RADIUS 伺服器:MS-Quarantine-Session-Timeout 及 MS-Quarantine-IPFilter。如需有關這兩個屬性之重要性的詳細資訊,請參閱第 4 章<設計解決方案>。

使用 Software Update Services

在遠端電腦可以連接到內部網路上的資源之前,您必須確保這些電腦有最新的 Service Pack 及安全性更新。SUS 提供會更新遠端電腦的集中式軟體更新資料庫。遠端存取用戶端電腦會透過連線管理員設定檔中的自訂動作來檢查更新。

SUS 只適合於用戶端連接到公司網路之後更新用戶端。因為 SUS 利用閒置頻寬,所以更新遠端存取電腦可能會需要長時間。如需有關 Software Update Services 的詳細資訊,請參閱 Microsoft 管理解決方案:使用 Microsoft Software Update Services 的修補程式管理 (英文) 解決方案加速器,網址為:www.microsoft.com/downloads/details.aspx?FamilyId=38D7E99B-E780-43E5-AA84-CDF6450D8F99&displaylang=en。

使用 Windows Update

Windows Update 是裝載 Microsoft 作業系統公用安全性更新及 hotfix 的網際網路網站。遠端電腦可以先使用 Windows Update 下載更新,然後連接到公司網路。另外,Windows XP 中的自動更新服務也會定期檢查 Windows Update 網站,並會自動安裝安全性更新。Windows Update 是獨立於 Active Directory 之外。

連線前指令碼可以檢查電腦是否未能符合公司網路需求。然後,指令碼可以啟動 Microsoft Internet Explorer,而將使用者導向至 Windows Update 網站。如需有關 Windows Update 的詳細資訊,請參閱 Windows Update 網站,網址為:https://windowupdate.microsoft.com。

實作其他網路元件

VPN 隔離可能會需要下列其他網路元件:

  • **動態主機設定通訊協定 (DHCP) 伺服器。**DHCP 會為遠端用戶端提供自動 IP 位址配置 (建議使用)。

  • Active Directory。Active Directory 會提供驗證使用者帳戶的方法。Active Directory 與 IAS 整合,並會支援其他安全性設備,例如智慧卡驗證 (建議使用)。

  • 網域名稱系統 (DNS) 伺服器。DNS 提供名稱解析服務,讓隔離網路上的用戶端電腦可以連接到 SUS 伺服器、網頁伺服器,以及包含防毒檔案及其他更新的檔案伺服器 (建議使用)。

  • **檔案伺服器。**包含防毒更新及防毒軟體的完整安裝。只有在您計劃要更新隔離中的遠端存取電腦時,才需要檔案伺服器 (選擇性)。

  • 網頁伺服器。為一般使用者提供從隔離中移除電腦之程序的指示,以及檢查此程序是否已完成的連結。在建立 VPN 連線之前,也可以使用網頁伺服器來發佈更新 (選擇性)。

如需有關如何計劃部署這些元件的詳細資訊,請參閱第 4 章<設計解決方案>。

本章檢視可提供 VPN 隔離的元件,其中包括 Windows Server 2003 SP1 中的特定功能。第 3 章<問題及需求>會檢視 Woodgrove National Bank 在實作此技術時所面臨的特定問題及限制。

回到頁首

下載

以 Microsoft 虛擬私人網路實作隔離服務規劃指南 (英文)
回到頁首