以 Microsoft 虛擬私人網路實作隔離服務規劃指南 - 第 4 章

第 4 章:設計解決方案

更新日期: 2005 年 5 月 24 日

本頁內容

簡介
為電子通勤族實作遠端存取
其他考量
實作監視及管理
摘要

簡介

您應該已熟悉虛擬私人網路 (VPN) 解決方案必須處理的要素,現在即可開始設計處理程序。這個設計處理程序包含識別基本的規劃元素和進行解決方案需求的邏輯分析。

Woodgrove National Bank 已經完成解決方案必須處理的商務、技術及安全性問題的評估。本章會涵蓋系統架構設計師所考慮到的規劃問題、所達成的結論,以及為建立選定解決方案所作的最終決策。

為電子通勤族實作遠端存取

Woodgrove National Bank 電子通勤族在遠端工作,需要穩定、可靠連接公司網路的連線。連線問題或延遲過長會對他們產生挫折並對服務缺乏信心。實作 VPN 隔離時,因連線到網路所需時間增加,可能讓使用者更加挫折。Woodgrove National Bank IT 必須監視連線延遲並採取措施縮短延遲。連線指令碼應在連線程序的每個階段向使用者通知連線狀態。

網路管理員會要求遠端存取電腦應符合網路存取原則,才能存取網路資源。保護公司網路的最佳方法是隔離遠端存取電腦,並確保它們符合網路安全性原則,才能存取網路資源。

解決方案概念

解決方案使用連線前指令碼、用戶端代理程式,及 Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) 元件的組合。用戶端電腦會使用自訂連線管理員設定檔來啟動 VPN 連線。連線管理員設定檔是使用連線管理員系統管理組件 (CMAK) 所建立的自動解壓縮可執行檔,其中包含指令碼及設定。打開通道前動作指令碼會要求用戶端先更新安全性更新,然後建立 VPN 連線。遠端存取電腦會從 Woodgrove National Bank 所管理的網際網路端伺服器、防毒廠商及 Windows Update 網站中取得更新。

用戶端電腦在取得必要的更新,並使用網際網路驗證服務 (IAS) 對 Active Directory® 目錄服務驗證使用者憑證之後,即會建立 VPN 連線。然後,遠端存取伺服器會使用只允許有限存取資源的隔離封包篩選器,限制連入連線。在用戶端代理程式確認電腦滿足必要的安全性要求之後,遠端存取伺服器隨即解除隔離限制,用戶端電腦即可存取所有授權的內部網路資源。

解決方案先決條件

啟動這種性質的專案之前,必須符合特定先決條件。下節提供了 VPN 隔離的一般先決條件。

詢問使用者及群組的意見

在規劃會對使用者服務造成影響的變更時,其中一個最重要的步驟是詢問相關使用者及群組的意見。使用者可對現有服務的問題及效能提供相關的寶貴意見。使用者亦可指出對新服務預期的功能和體驗。使用者對服務的期許必須在合理的範圍內。管理預期可能是獲得使用者接受度的關鍵。如果已設定可測量的目標,組織可以判斷專案成功與否。

Woodgrove 在全世界數個國家/地區中營運,並且有地區性支援中心。初始小組向使用者及支援小組廣泛徵詢意見,以識別並徵用潛在使用者、群組及支援員工加入試驗中。

徵募專案小組

實作這種性質的專案時,必須納入不同水準的人員及技能。專案小組必須考量必要的技能需求是否可由公司內部提供,或有需要徵募其他人員。因為在專案每個階段中不是所有人員都是必要的,所以您必須在整個專案計劃中檢查個別人員的可參與性。必要的角色包括網路架構設計師、網路管理、伺服器管理小組、指令碼開發人員、基礎結構安全性小組及專案管理小組。

解決方案規劃

規劃過程中,Woodgrove 考量下列需要:

  • 實作試驗或測試。

  • 以終端機服務管理周邊網路伺服器。

  • 升級隔離指令碼。

  • 收集效能資料。

實作試驗或測試

試驗的規模和數目取決於組織的規模。Woodgrove IT 會實作兩個試驗,第一個是為了證明概念,以及徵用有經驗的遠端存取使用者,以突顯潛在弱點並減輕任何商務和技術問題。初始試驗提供對公司資源的有限存取,以確保沒有看似符合安全性規範的電腦會造成安全性問題。對於實作解決方案之前,沒有受病毒感染或缺少適當更新的電腦會略過隔離安全性檢查,進而可能公開公司網路,任何實作 VPN 隔離解決方案的組織必定感到相當滿意。第二個試驗徵用更多使用者,並包括數個經驗不足的使用者,以便對可能發生的支援問題提供更實際的測試。

以終端機服務管理周邊網路伺服器

Woodgrove IT 小組使用終端機服務管理模式來管理周邊網路上現有的伺服器。Woodgrove IT 小組必須將網際網路端的更新伺服器及 VPN 遠端存取伺服器加入此清單中。Woodgrove 必須考量如何更新並維護這些重要的伺服器。

升級隔離指令碼

一段時間後,隔離指令碼應以連線管理員設定檔的新組建進行更新。Woodgrove 選擇透過需要使用者驗證的網頁伺服器來發佈連線管理員設定檔。遠端存取使用者會收到一封告知發佈點的電子郵件。

收集效能資料

測量效能是改進服務的關鍵因素。Woodgrove IT 必須監視伺服器效能、可靠性及安全性。網路小組必須能夠將 VPN 隔離解決方案整合至現有的監視及管理結構中。

解決方案架構

Woodgrove National Bank 的 VPN 隔離解決方案需要下列元件:

  • 執行 Windows XP Professional SP2 或更新版本的用戶端電腦。

  • 以 CMAK 建立的連線管理員設定檔。

  • 內嵌在連線管理員用戶端封裝的用戶端指令碼。

  • VPN 隔離用戶端元件。

  • 執行 Windows Server 2003 SP1 (含) 以後版本並已安裝遠端存取隔離服務的遠端存取伺服器。

  • 隔離 IP 連接埠篩選器。

  • 執行 Windows Server 2003 的網際網路驗證服務 (IAS)。

  • Active Directory。

Woodgrove IT 部門首先考慮為所有目前部署的 Windows 版本提供支援。然而,IT 部門意識到電腦在連線到網際網路所面臨的威脅之後,決定將電腦作業系統標準化為 Windows XP Professional SP2。雖然 Woodgrove 可以允許執行 Windows XP Home Edition SP2 的電腦透過 VPN 連線,但因為 Windows XP Home Edition 架構電腦無法加入網域,Woodgrove IT 還是決定不支援此設定。當 IT 部門實作初始解決方案時,Woodgrove 打算將此解決方案延伸至員工的家用電腦。

其中一個連線前檢查是確認 Windows 防火牆已啟用。Woodgrove 在指令碼中未指定例外狀況,但設定了遠端桌面連線後之類的例外狀況。

CMAK 是用來設定連線管理員設定檔的工具,這個設定檔中包含啟動連線嘗試的所有必要授權軟體,包括用戶端通知元件 (RQC.exe) 及初始隔離指令碼。Woodgrove National Bank 使用網頁伺服器來發佈這些設定檔。當 Woodgrove National Bank 更新連線管理員設定檔時,會以電子郵件通知使用者,必須在特定日期前使用新的設定檔。

注意:其他策略可以使用任何軟體發佈機制,例如群組原則、Microsoft Systems Management Server (SMS) 2003,或對於想要從家用電腦連線到公司網路的使用者,將設定檔置於密碼保護的 USB 金鑰上。

Windows Server 2003 中的遠端存取提供適合做為 VPN 主機及路由器使用的功能。Windows Server 2003 SP1 包含遠端存取隔離服務 (RQS),這是 VPN 隔離解決方案的關鍵元件。RQS 是伺服器接聽程式元件,實作為可執行檔 RQS.exe。CMAK 包含通知元件 (RQC.exe)。

隔離連接埠篩選器只允許隔離 VPN 用戶端與網路上有限資源之間的通訊。封包篩選器允許用戶端代理程式與遠端存取伺服器上的接聽程式元件進行通訊,並且啟用使用者驗證。

在 Windows Server 2003 上執行的 IAS 是 Microsoft 的 RADIUS 伺服器及 RADIUS Proxy 伺服器實作。網際網路工程任務推動小組 (IETF) 在 RFC 2865 及 2866 中描述 RADIUS。IAS 會驗證遠端存取要求並提供帳戶處理資訊。Woodgrove IT 與數家 ISP 制定了合約,而可在數個國家/地區使用漫遊網際網路存取。ISP 設定他們的 RADIUS 伺服器,而將驗證要求傳至 Woodgrove IAS 伺服器。執行此驗證程序時必須使用 RADIUS Proxy,並搭配 ISP 端設定為指回至 Woodgrove IAS 伺服器的 RADIUS 伺服器。使用 IAS 進行授權時,Woodgrove 即可利用 RADIUS 帳戶處理功能來追蹤遠端存取 VPN 的使用情形。

Active Directory 中的使用者帳戶及群組成員資格會規定遠端連線及對 Woodgrove National Bank 公司資源的後續存取。Woodgrove National Bank 也使用群組原則物件 (GPO) 設定 Windows 工作站,以符合公司網路安全性原則。

解決方案運作方式

下圖會說明 Woodgrove National Bank 如何實作他們的 VPN 隔離解決方案。

圖 4.1 Woodgrove National Bank 的 VPN 隔離程序

圖 4.1 Woodgrove National Bank 的 VPN 隔離程序

Woodgrove National Bank VPN 隔離解決方案的運作方式如下:

  1. 使用者選取 VPN 連線設定檔。另外,應用程式也可以要求公司內部網路上的資源。

  2. 連線管理員設定檔使用撥號項目,啟動連線到網際網路。如果用戶端已經連線到網際網路,連線管理員會略過這個步驟。

  3. 打開通道前自訂動作執行指令碼,以確保電腦有最新的安全性更新及防毒簽章。用戶端電腦會連線到 Windows Update 以安裝這些更新。如需打開通道前自訂動作所適用之自訂指令碼的範例,請參閱本手冊的附錄 A<範例隔離指令碼>。

  4. 如果更新套用成功,連線管理員設定檔會連線到 VPN 伺服器。如果任何更新失敗,連線管理員設定檔會通知使用者並終止 VPN 連線嘗試。

  5. 遠端存取用戶端電腦將驗證憑證傳送至遠端存取伺服器,後者再將 RADIUS Access-Request 訊息傳送至 IAS 伺服器。IAS 會對 Active Directory 驗證使用者的憑證。如果憑證有效,IAS 會檢查該使用者的遠端存取原則。

  6. VPN 伺服器接受連線,並且設定隔離逾時和 IP 篩選器屬性。IAS 伺服器傳送 RADIUS Access-Accept 訊息,其中包含 MS-Quarantine-IPfilter 及 MS-Quarantine-Session-Timeout 屬性。VPN 伺服器將這些屬性套用至隔離篩選器,並設定工作階段計時器。遠端存取用戶端電腦只會成功傳送符合隔離篩選器的流量。遠端存取用戶端必須通知遠端存取伺服器,隔離指令碼已成功在 MS-Quarantine-Session-Timeout 計時器中所指定的秒數到期之前完成。

  7. 接聽程式元件通知遠端存取伺服器,用戶端符合原則需求。遠端存取伺服器之所以接收此通知,是因為它符合 MS-Quarantine-IPfilter 屬性中所指定的流量規則 (連接埠 7250)。遠端存取伺服器從連線中移除 MS-Quarantine-IPfilter 及 MS-Quarantine-Session-Timeout 設定,並依照遠端存取原則規範來設定一般連線限制。

  8. 現在使用者可以存取授權的網路資源。

注意:連線後指令碼會檢查連線管理員封裝的版本。如果遠端電腦上的版本是過期了兩個次要版本或一個主要版本,遠端電腦會下載最新的連線管理員封裝、通知使用者,並中斷連線。遠端電腦現在有最新的 hotfix 清單,並且遠端使用者可以再次連線。

若要實作這個解決方案,必須在用戶端及伺服器端執行一些程序。下節會說明這些需求。

使用指令碼來實作自訂動作

在連線週期的不同時間點所執行的指令碼,會執行 VPN 隔離解決方案的大部分用戶端作業。這個解決方案的一個關鍵要素取決於特定檢查是以打開通道前或連線後的檢查執行。如果特定檢查脫序執行,可能會使電腦暴露在危險中,並造成其他問題。下節包含特別為這個解決方案設計的檢查清單。

實作打開通道前檢查

如果用戶端尚未連線,連線管理員會啟動網際網路連線。在用戶端連線到網際網路之後,同步的打開通道前動作會先執行任何必要安全性檢查,然後建立 VPN 通道。

連線管理員會循序執行所有必要的安全性檢查。連線管理員在一連串的指令碼中實作每個檢查。下列步驟提供指令碼所需的運作邏輯。

  1. 受支援的用戶端作業系統?

    • 如果否定,則向使用者顯示訊息方塊並使連線失敗。

    • 如果肯定,則繼續。

  2. 防毒軟體已安裝並執行中? 

    • 如果否定,則向使用者顯示訊息方塊並使連線失敗。任何為打開通道前動作的一部分所需的授權軟體,應該與連線管理員安裝一起提供,以避免從遠端伺服器安裝。

    • 如果肯定,則繼續。

  3. 更新防毒簽章檔

    • 如果成功,則繼續。

    • 如果不成功,則繼續顯示警告,或向使用者顯示訊息方塊並使連線失敗。

  4. Windows 自動更新用戶端已設定?

    • 如果否定,則設定 Windows 自動更新服務用戶端。

    • 如果成功,則繼續。

    • 如果不成功,則繼續顯示警告,或向使用者顯示訊息方塊並使連線失敗。

    • 如果肯定,則繼續。

  5. 下載並安裝高優先順序的軟體更新

    • 如果成功,則繼續。

    • 如果不成功,則繼續顯示警告,或向使用者顯示訊息並使連線失敗。

  6. 需要使用 [使用撥號連線登入] (選擇性)

    • 如果已使用,則繼續。

    • 如果沒有使用,則繼續顯示警告,或向使用者顯示訊息方塊並使連線失敗。使用這項檢查表示只有加入網域的電腦可以連接,並且遠端用戶端必須至少連接到公司 LAN 一次,以加入網域。如果使用這個選項,除非 Woodgrove IT 提供必要安全性檢查的暫時例外狀況 (請參閱本章後面的<處理例外狀況和排除>主題),否則是不可能透過遠端連線來加入網域的。

  7. 執行任何其他的自訂安全性檢查 (選擇性)

    因為連線程序中只有這時才提供網際網路存取,您必須在設計自訂安全性檢查時記得這個限制。

注意:如需有關一組範例指令碼的描述,請參閱本手冊的附錄 A<範例隔離指令碼>。

連線管理員會在登錄中的下列金鑰底下記錄這些打開通道前動作的結果:

HKEY_CURRENT_USER\Software\MyCompany\MyConnectionManager\PreTunnelResults。

打開通道前動作應該一律傳回成功,並且遠端存取隔離服務代理程式連線後動作應檢查這些結果,以判斷哪個狀態要傳送給 VPN 伺服器。這個方法允許有彈性的例外狀況管理,而無需修改連線管理員。下圖會顯示 Woodgrove National Bank 所使用的打開通道前自訂動作指令碼邏輯。

圖 4.2 Woodgrove National Bank 打開通道前動作

圖 4.2 Woodgrove National Bank 打開通道前動作

實作連線後檢查

在用戶端通過打開通道前檢查之後,連線管理員便會建立 VPN 連線。在用戶端取得對公司網路的存取之後,打開連線後指令碼可以執行任何其他非必要的檢查和管理動作。

  1. VPN 連線

    在完成所有的打開通道前動作之後,連線管理員便會建立對 VPN 伺服器的連線。

  2. 傳送通知

    連線管理員會使用用戶端元件 (RQC.exe),將共用金鑰傳送至 VPN 伺服器上的遠端存取隔離服務 (RQS.exe),然後 VPN 伺服器便會停止隔離原則。

  3. 密碼過期

    Woodgrove National Bank 會執行檢查即將過期密碼的指令碼,並通知使用者是否需要變更。

    注意:只有在用戶端是使用 [使用撥號連線登入] 選項遠端連線到公司網路時,才會發生密碼過期通知。

  4. 群組原則重新整理

    如果加入網域的用戶端沒有使用 [使用撥號連線登入] 選項遠端連線到公司網路時,便不會套用群組原則更新。在使用群組原則來設定用戶端上的重要安全性選項時,這可能會造成安全性洩漏。為了減輕這個潛在問題,Woodgrove National Bank 執行連線後指令碼,會在使用者登入之後重新整理群組原則。指令碼會使用 gpupdate.exe /force /wait:0 命令,立即重新整理群組原則設定。如需有關群組原則更新公用程式的詳細資訊,請參閱 群組原則更新公用程式的說明,網址為:http://support.microsoft.com/kb/298444/zh-tw

下圖提供連線後自訂動作指令碼邏輯的詳細資料。

圖 4.3 Woodgrove National Bank 連線後動作

圖 4.3 Woodgrove National Bank 連線後動作

建立並發佈連線管理員設定檔

連線管理員提供方便機制,能讓使用者快速、簡易和可靠地存取公司資源。Woodgrove National Bank 決定透過 IT 部門使用 CMAK 所建立的連線管理員設定檔,來實作自訂 VPN 連線。

因為 Woodgrove National Bank 要為數萬個用戶端和數百個撥接號碼設定連線,所以 Woodgrove IT 在設定之前必須檢查下列資訊:

  • 撥號或 VPN 連線的設定視位置、時間等因素而有所不同。

  • 為了防止錯誤,禁止使用者設定或修改撥號或 VPN 連線內容。

  • 有些功能必須是動態,Woodgrove IT 員工會管理這些值,以確保安全性符合規範。

  • 設定方法必須延伸適合全球企業需求。

下表提供 Woodgrove IT 所使用的一些連線管理員遠端存取連線功能。

表格 4.1:Woodgrove IT 所使用的連線管理員功能

功能

功能

商標

自訂圖形、圖示、訊息及說明,為封裝提供公司的外觀及操作。連線管理員封裝可以為出差中使用者提供區域支援號碼。

自訂動作

執行記錄及應用程式更新。


Woodgrove IT 可以透過 CD、電子郵件、網站或檔案共用,將連線管理員設定檔發佈給遠端使用者。Woodgrove National Bank 已經透過網際網路端的網站發佈軟體及更新。因為支援的基礎結構已經就位,所以 Woodgrove 選擇使用這個方法來發佈連線管理員設定檔。

使用 IP 篩選器來隔離網路存取

自訂動作及廠商特定屬性支援的組合,讓連線管理員可以支援網路隔離存取。廠商特定屬性是 RADIUS 標準的認可延伸,RADIUS 標準 RFC 2138 中沒有定義。Windows Server 2003 版本的 IAS 所指定的 Microsoft 廠商屬性為:

  • MS-Quarantine-IPFilter

  • MS-Quarantine-Session-Timeout

MS-Quarantine-IPFilter 設定

這項設定允許在指令碼成功完成後來自用戶端通知元件 (RQC) 的連入流量。例如,Woodgrove National Bank 網路必須允許 DNS 及 DHCP 通訊協定,讓遠端用戶端在隔離作業期間可以與基礎結構伺服器進行通訊。

注意:使用篩選器來允許特定通訊協定,會降低整體安全性。必要時才將這類通訊協定納入隔離定義中。

下表會顯示 Woodgrove National Bank 隔離 IP 篩選器所開啟的 TCP/IP 連接埠。

表格 4.2:VPN 隔離篩選器中開啟的 TCP/IP 連接埠

連接埠編號

使用

註解

UDP 67、68

DHCP

為用戶端要求 IP 位址

UDP 53

DNS

名稱解析

UDP 137

WINS

NetBIOS 名稱解析

TCP 139、445

檔案共用

絕對必要時才啟用,會提供 NetBIOS 工作階段及 SMB 檔案共用

TCP 7250

RQC、RQS

啟用 VPN 隔離用戶端代理程式與伺服器端接聽程式元件之間的通訊


MS-Quarantine-Session-Timeout

這個屬性會設定用戶端電腦停留在隔離中的最大逾時值。如果指令碼在這個時間內沒有完成,遠端存取伺服器便會中斷用戶端電腦連線。Woodgrove National Bank 實作 120 秒的逾時限制,造成低於連入連線百分之一的中斷連線率。

下圖說明遠端存取原則中需要設定之廠商特定屬性,以支援 VPN 隔離。

圖 4.4  VPN 隔離所需的 MS 隔離廠商特定屬性。

圖 4.4 VPN 隔離所需的 MS 隔離廠商特定屬性。

在試驗過程中,檢查移除隔離 IP 篩選器中任何允許的連接埠是否會防止用戶端連線。將逾時值降低至實際可行的最低設定,然後加上網路延遲或慢速連結的允許額度。

其他考量

本節會討論 Woodgrove IT 在實作 VPN 隔離時所考量的一些其他事項。

設定記錄及帳戶處理

使用 IAS 的一個優點是透過 RADIUS 記錄用戶端連線的內建支援。Woodgrove National Bank 想要監視連線到公司網路的員工。記錄不是使用 VPN 隔離實作遠端存取解決方案的必要項目,但 Microsoft 強烈建議執行此動作。RADIUS/IAS 提供 Woodgrove 分析連線趨勢的能力,並以改進服務為目標。

每個 IAS RADIUS 伺服器會在 SQL Server 2000 Desktop Engine (MSDE 2000) 上收集使用者工作階段資料,SQL Server 2000 Desktop Engine (MSDE 2000) 是輕量型、本機的 SQL Server 2000 資料庫。這個資料庫會收集基礎結構伺服器效能資料及用戶端特定資料,它執行於每個收集使用者工作階段資料的 IAS 伺服器。

IAS 伺服器會以近乎即時的方式將資料從 MSDE 傳輸至中央 SQL Server 2000 資料庫。這項安排可確保 SQL Server 授權符合成本效益,並且不會降低效能。

Woodgrove National Bank 部署地區性 SQL Server 架構資料收集伺服器,以收集遠端存取工作階段資料。如需有關以 IAS 設定 SQL Server 記錄的詳細資訊,請參閱 以 Windows Server 2003 網際網路驗證服務 (IAS) 部署 SQL Server 記錄 (英文) 主題,網址為:www.microsoft.com/downloads/details.aspx?FamilyId=6E4357F7-4070-4902-95F1-3AD411D963B2&displaylang=en。

實作試驗部署

將任何遠端存取解決方案推展至生產環境之前,您必須在試驗部署中測試解決方案。理想上,試驗部署是計劃中解決方案的縮小規模版本。

Woodgrove National Bank 實作兩個試驗程式:適用於有經驗使用者的初始試驗,然後是有更多參與者的一般試驗。Woodgrove IT 小組監視試驗,並使用結果來修正最終設計。

確保高可用性

因為 Woodgrove National Bank 是在全球環境中營運,據點遍佈全世界,解決方案案例必須是高度可用,因此,Woodgrove National Bank 必須考量可用性,包括:

  • 多個負載平衡的 VPN 伺服器。

  • 負載平衡的 IAS 伺服器。

  • 容錯軟體更新及防毒軟體更新伺服器。

  • 多餘的內部網路路徑,以確保路由器或交換機故障不會防止對內部伺服器的存取。

Woodgrove IT 使用 Microsoft Application Center 2000,為其網站提供網頁應用程式叢集及網路負載平衡 (NLB) 支援。Application Center 及 NLB 也會為網際網路端的更新伺服器提供容錯功能。Woodgrove National Bank 使用 NLB,這是 Windows Server 2003 Enterprise Edition 用於 IAS 伺服器平衡負載的標準功能。

確保充分的網路頻寬

系統架構設計師必須考量現有的網路路徑、預期的連線時間,以及預期遠端存取流量的類型及範圍。不應低估遠端存取使用者所需的其他頻寬。

試驗部署應有助於分析遠端存取流量,以及對現有基礎結構所造成的可能影響。重要的是,試驗應納入一般使用情況的典型員工,因為服務不佳時解決方案不可能成功。加入頻寬設定的網路交換機可以減少遠端存取流量對其他使用者的影響。

Woodgrove National Bank 擁有高頻寬的良好網際網路連線。該銀行將大部分的現有頻寬用於內部對網際網路的存取 (例如網頁瀏覽及電子郵件),因此可能需要調整以處理其他遠端存取流量。

處理例外狀況及排除

Woodgrove National Bank 的系統架構設計師了解任何解決方案都必須處理例外狀況,亦即因企業需要而授與裝置隔離需求暫時性例外狀況之能力。例如,IT 小組可能需要在重要會議期間為主管存取提供例外狀況。因此,VPN 存取解決方案必須支援例外狀況。

未能提供單一電腦例外狀況,可能迫使系統管理員移除遠端存取需求。除非組織可以處理個別的例外狀況,否則 IT 小組便無法部署解決方案。

注意:Woodgrove IT 安全性群組應該是判斷企業對豁免權的需求何時超過安全性風險的唯一授權單位。

組織應考量下列例外狀況案例:

  • 非網域成員。公司可能會允許非網域成員的遠端用戶端存取網路。然而,這個例外狀況會造成其他管理負荷,因為許多其他安全性及其他管理選項都需要群組原則。群組原則只適用於網域成員的電腦。

  • 網域登入選項。如果已加入網域之電腦的使用者在使用連線管理員登入時沒有選取 Windows 登入選項,Windows 會以快取憑證進行使用者登入。當密碼變更或過期時,快取認證可能無法驗證。

  • 應用程式逾時。如果電腦停留在隔離中太久,並且延遲使得應用程式逾時,應用程式可能會失敗。這可能會造成資料損毀。

最後這個問題的一個因應措施是,建立輸入封包篩選器,在遠端存取用戶端仍在隔離期間,允許應用程式流量能如預期般運作。這個方法的缺點是,識別應用程式網路流量及建立其他封包篩選器的負荷。

Microsoft 建議您將隔離封包篩選器保持在最低用量,而使用打開通道前自訂動作來克服這個問題。實作不正確的隔離封包篩選器,可能會向隔離網路公開網域控制站。

特定設定可以縮短應用程式在連接到隔離網路時所經歷的延遲。雖然 Microsoft 不建議會公開網路的設定,但組織仍必須為重要的應用程式提供因應措施。以下是應考量的因應措施:

  • 提供使用者回應

  • 只使用隔離工作階段逾時

  • 使用立即通知

提供使用者回應

您可以透過連線管理員介面來提供使用者回應,通知他們連線程序的目前進度。在似乎沒有進展的情況下,這有助於減輕使用者的挫折感。

只使用隔離工作階段逾時

這個設定只包括設定 MS-Quarantine-Session-Timeout 屬性,而不設定 MS-Quarantine-IPFilter 屬性。遠端存取伺服器會提供遠端存取用戶端一般立即的存取,不會受到隔離封包篩選器的限制。然而,遠端存取用戶端仍然必須傳送通知郵件,表示它符合網路原則。如果在隔離工作階段逾時之前沒有送出通知,遠端存取伺服器便會中斷用戶端電腦連線。

這個設定的優點是,不需要設定隔離封包篩選器,並且沒有應用程式延遲問題。遠端存取就如同沒有隔離一樣。這個設定的缺點是,即使遠端存取用戶端沒有符合網路原則,在隔離工作階段逾時期間,遠端存取伺服器也會授與它對網路的一般存取。這個情況呈現明顯的安全性漏洞。

使用立即通知

這個設定中,在任何測試完成之前,隔離指令碼會執行 RQC.exe 來傳送通知。遠端存取伺服器會移除連線的隔離限制,並且遠端存取用戶端有一般立即的存取。在隔離指令碼中,網路原則符合規範測試仍然會執行。如果任何測試失敗,隔離指令碼會通知使用者必要的更正動作,並且會模擬隔離模式和隔離工作階段計時器的使用,在指定的時間之後自動中斷使用者連線。

注意:在這個設定中,當電腦有過時的連線管理員封裝或指令碼時,您仍需設定 MS-Quarantine-Session-Timeout 或 MS-Quarantine-IPFilter 屬性來提供必要的隔離限制。

使用立即通知的優點是,沒有應用程式延遲問題。遠端存取就如同沒有隔離一樣。但是不建議您採取這個方法。

套用最佳做法

本節提供 Woodgrove 解決方案的一些重要的最佳做法,包括:

  • 使用封鎖所有流量隔離原則。

  • 支援使用撥號連線的登入。

  • 使用打開通道前自訂動作來進行必要的安全性檢查。

  • 將授權軟體包含在用戶端封裝中。

使用封鎖所有流量隔離原則

連線時,DHCP 伺服器會指派 IP 位址給用戶端。用戶端通知元件 (RQC.exe) 會嘗試將共用金鑰傳送至遠端存取伺服器上的伺服器接聽程式 (RQS.exe) 元件。RQS 只在遠端存取伺服器的內部 IP 位址上接聽。這是隔離原則唯一應允許通訊的 IP 位址。IP 篩選器應封鎖所有其他的流量,直到 RQS 從 RQC 成功接收共用金鑰,並且遠端存取伺服器解除隔離為止。

支援使用撥號連線的登入

當使用者選取 Windows 登入選項 [使用撥號連線登入] 時,VPN 用戶端會以近乎 LAN 用戶端的方式接收群組原則重新整理。這個設定提供一致的內部及遠端用戶端管理。

注意:目前沒有方法可於撥號連線上套用啟動指令碼及電腦軟體指派。

使用這個選項可讓使用者接收密碼過期的通知,並可讓電腦在必要時重新整理電腦帳戶。因為群組原則設定會在連線過程之後套用至遠端用戶端,所以連線管理員的第一個連線後動作必須是移除 VPN 隔離。延遲移除隔離,可能會使得群組原則重新整理、密碼過期通知及電腦帳戶重新整理失敗。

如果您在至少一個套用至所有用戶端的群組原則物件上停用群組原則 [低速連結偵測] 設定,可以確保群組原則設定會同樣地套用至 VPN 用戶端及 LAN 用戶端。組織應測試並徹底評估這個設定的全面性影響,然後再考量實作。絕對必要時,才能實作這個選項。如需有關群組原則設定的詳細資訊,請參閱 Windows Server 2003 中的群組原則簡介 (英文),網址為 www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx。

如需有關慢速連結偵測的詳細資訊,請參閱 指定慢速連結偵測的群組原則 (英文),網址為 www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dmebb_gpu_fvfu.asp。

使用打開通道前自訂動作來進行必要的安全性檢查

請以打開通道前自訂動作執行所有安全性檢查,以避免隔離模式的不必要延遲。如果遠端存取用戶端在連線之前處理這些更新,使用者經驗會更佳。

將授權軟體包含在用戶端封裝中

組織應確保遠端電腦有連線所需的所有必要授權軟體。您應在連線管理員封裝的一部分中發佈此軟體,以減少支援電話及設定問題。

實作監視及管理

VPN 隔離解決方案必須允許適當警示及閾值的指派及監視,以監視解決方案的運作狀態。解決方案應提供即時監視整個網路、單一資產或資產清單的能力。監視必須向擁有運作支援的組織顯示必要的指標。不符合這個需求的影響是,安全性部門無法判斷解決方案是否會保護遠端存取連線的安全性。

監視隔離作業

下節提供了監視 VPN 隔離作業的一些其他考量。其中包含:

  • 在大型組織中進行遠端用戶端問題的疑難排解時,確保多個跨時區小組之間的密切合作。嚴格測試及合宜的試驗部署有助於減少疑難排解需求。

  • 充分了解遠端存取案例、安全性威脅及彼此之間的權衡輕重。資深主管必須給予最需要保護的資產最高優先順序,並判斷成本及風險之間的適當平衡。

  • 預期技術性挑戰,例如安裝例行工作及 CD 的發佈。在計劃程序中考量其他企業管理工具的需要。

  • 監視和管理潛在效能問題,並事先設定使用者預期。例如,最近沒有使用遠端存取登入網路的遠端使用者,若使用 Windows 登入選項,登入時間可能很冗長。如果用戶端需要 Service Pack,視用戶端的連線速度而定,登入可能會花上數小時不等。Woodgrove IT 小組可以寄送電子郵件給使用者,給予使用者寄送 CD 或使用下載網站等選項,以避免延遲。

  • 在整體專案設計初期,為伺服器及用戶端電腦升級至最新技術。這會提供基準解決方案平台,因而移除組織在解決方案部署期間所可能遇到的絕大部分問題變數。服務穩定性應會增加,因此使用者支援成本應會相對降低。

  • 專案實作應分階段性,允許各階段之間有充分緩衝時間,例如使用者適應、網路系統和程序的穩定,以及調整。重複的階段可能會對服務使用者造成負面影響,在服務中,問題之識別和隔離的困難度也可能大幅提高。

  • 請記得員工的家用電腦是他們的私人財產,並不受到公司 IT 的管理。如果員工不要在該電腦上安裝或無法安裝遠端存取所需的軟硬體解決方案,可以使用其他選項。例如,Microsoft Outlook® Web Access 提供安全的全球性替代方案,允許員工加密連線到 Microsoft Exchange Server 2003 上的個人資料 (電子郵件、連絡人、工作及行事曆功能) 及公用資料夾。

延伸解決方案

VPN 隔離解決方案無法防止某人竊取使用者憑證並嘗試登入網路。為了減少這個可能性,請考量延伸解決方案,以使用智慧卡中所含的數位憑證。

使用雙重驗證機制 (例如智慧卡) 來驗證遠端存取連線,會提高網路安全性,同時會讓其他在遠端工作的員工因而受惠。實作智慧卡需要可延伸的驗證通訊協定 – 傳輸層級安全性 (EAP – TLS) 通訊協定。

Woodgrove National Bank 已有成熟的公開金鑰基層結構 (PKI),因此可以延伸遠端存取解決方案來包含智慧卡。如需有關規劃雙重驗證的詳細資訊,請參閱 使用智慧卡保護存取安全性規劃指南 (英文),網址為:http://go.microsoft.com/fwlink/?LinkId=41313。

摘要

Windows Server 2003 SP1 的新功能讓組織得以在可靠、完全支援的方式來實作 VPN 隔離。展開 VPN 隔離的適當規劃,可防止遠端使用者的服務不必要的中斷。本手冊考量計劃 VPN 隔離實作相關的因素及程序,並描述 Woodgrove National Bank 如何在他們的網路上實作此解決方案。如需有關如何實作 VPN 隔離的詳細資訊,請參閱本文件的附錄 C<相關連結>。


下載

下載 以 Microsoft 虛擬私人網路實作隔離服務規劃指南 (英文)

顯示: