以 Microsoft 虛擬私人網路實作隔離服務規劃指南 - 第 4 章
第 4 章:設計解決方案
更新日期: 2005 年 5 月 24 日
本頁內容
簡介
為電子通勤族實作遠端存取
其他考量
實作監視及管理
摘要
簡介
您應該已熟悉虛擬私人網路 (VPN) 解決方案必須處理的要素,現在即可開始設計處理程序。這個設計處理程序包含識別基本的規劃元素和進行解決方案需求的邏輯分析。
Woodgrove National Bank 已經完成解決方案必須處理的商務、技術及安全性問題的評估。本章會涵蓋系統架構設計師所考慮到的規劃問題、所達成的結論,以及為建立選定解決方案所作的最終決策。
為電子通勤族實作遠端存取
Woodgrove National Bank 電子通勤族在遠端工作,需要穩定、可靠連接公司網路的連線。連線問題或延遲過長會對他們產生挫折並對服務缺乏信心。實作 VPN 隔離時,因連線到網路所需時間增加,可能讓使用者更加挫折。Woodgrove National Bank IT 必須監視連線延遲並採取措施縮短延遲。連線指令碼應在連線程序的每個階段向使用者通知連線狀態。
網路管理員會要求遠端存取電腦應符合網路存取原則,才能存取網路資源。保護公司網路的最佳方法是隔離遠端存取電腦,並確保它們符合網路安全性原則,才能存取網路資源。
解決方案概念
解決方案使用連線前指令碼、用戶端代理程式,及 Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) 元件的組合。用戶端電腦會使用自訂連線管理員設定檔來啟動 VPN 連線。連線管理員設定檔是使用連線管理員系統管理組件 (CMAK) 所建立的自動解壓縮可執行檔,其中包含指令碼及設定。打開通道前動作指令碼會要求用戶端先更新安全性更新,然後建立 VPN 連線。遠端存取電腦會從 Woodgrove National Bank 所管理的網際網路端伺服器、防毒廠商及 Windows Update 網站中取得更新。
用戶端電腦在取得必要的更新,並使用網際網路驗證服務 (IAS) 對 Active Directory® 目錄服務驗證使用者憑證之後,即會建立 VPN 連線。然後,遠端存取伺服器會使用只允許有限存取資源的隔離封包篩選器,限制連入連線。在用戶端代理程式確認電腦滿足必要的安全性要求之後,遠端存取伺服器隨即解除隔離限制,用戶端電腦即可存取所有授權的內部網路資源。
解決方案先決條件
啟動這種性質的專案之前,必須符合特定先決條件。下節提供了 VPN 隔離的一般先決條件。
詢問使用者及群組的意見
在規劃會對使用者服務造成影響的變更時,其中一個最重要的步驟是詢問相關使用者及群組的意見。使用者可對現有服務的問題及效能提供相關的寶貴意見。使用者亦可指出對新服務預期的功能和體驗。使用者對服務的期許必須在合理的範圍內。管理預期可能是獲得使用者接受度的關鍵。如果已設定可測量的目標,組織可以判斷專案成功與否。
Woodgrove 在全世界數個國家/地區中營運,並且有地區性支援中心。初始小組向使用者及支援小組廣泛徵詢意見,以識別並徵用潛在使用者、群組及支援員工加入試驗中。
徵募專案小組
實作這種性質的專案時,必須納入不同水準的人員及技能。專案小組必須考量必要的技能需求是否可由公司內部提供,或有需要徵募其他人員。因為在專案每個階段中不是所有人員都是必要的,所以您必須在整個專案計劃中檢查個別人員的可參與性。必要的角色包括網路架構設計師、網路管理、伺服器管理小組、指令碼開發人員、基礎結構安全性小組及專案管理小組。
解決方案規劃
規劃過程中,Woodgrove 考量下列需要:
實作試驗或測試。
以終端機服務管理周邊網路伺服器。
升級隔離指令碼。
收集效能資料。
實作試驗或測試
試驗的規模和數目取決於組織的規模。Woodgrove IT 會實作兩個試驗,第一個是為了證明概念,以及徵用有經驗的遠端存取使用者,以突顯潛在弱點並減輕任何商務和技術問題。初始試驗提供對公司資源的有限存取,以確保沒有看似符合安全性規範的電腦會造成安全性問題。對於實作解決方案之前,沒有受病毒感染或缺少適當更新的電腦會略過隔離安全性檢查,進而可能公開公司網路,任何實作 VPN 隔離解決方案的組織必定感到相當滿意。第二個試驗徵用更多使用者,並包括數個經驗不足的使用者,以便對可能發生的支援問題提供更實際的測試。
以終端機服務管理周邊網路伺服器
Woodgrove IT 小組使用終端機服務管理模式來管理周邊網路上現有的伺服器。Woodgrove IT 小組必須將網際網路端的更新伺服器及 VPN 遠端存取伺服器加入此清單中。Woodgrove 必須考量如何更新並維護這些重要的伺服器。
升級隔離指令碼
一段時間後,隔離指令碼應以連線管理員設定檔的新組建進行更新。Woodgrove 選擇透過需要使用者驗證的網頁伺服器來發佈連線管理員設定檔。遠端存取使用者會收到一封告知發佈點的電子郵件。
收集效能資料
測量效能是改進服務的關鍵因素。Woodgrove IT 必須監視伺服器效能、可靠性及安全性。網路小組必須能夠將 VPN 隔離解決方案整合至現有的監視及管理結構中。
解決方案架構
Woodgrove National Bank 的 VPN 隔離解決方案需要下列元件:
執行 Windows XP Professional SP2 或更新版本的用戶端電腦。
以 CMAK 建立的連線管理員設定檔。
內嵌在連線管理員用戶端封裝的用戶端指令碼。
VPN 隔離用戶端元件。
執行 Windows Server 2003 SP1 (含) 以後版本並已安裝遠端存取隔離服務的遠端存取伺服器。
隔離 IP 連接埠篩選器。
執行 Windows Server 2003 的網際網路驗證服務 (IAS)。
Active Directory。
Woodgrove IT 部門首先考慮為所有目前部署的 Windows 版本提供支援。然而,IT 部門意識到電腦在連線到網際網路所面臨的威脅之後,決定將電腦作業系統標準化為 Windows XP Professional SP2。雖然 Woodgrove 可以允許執行 Windows XP Home Edition SP2 的電腦透過 VPN 連線,但因為 Windows XP Home Edition 架構電腦無法加入網域,Woodgrove IT 還是決定不支援此設定。當 IT 部門實作初始解決方案時,Woodgrove 打算將此解決方案延伸至員工的家用電腦。
其中一個連線前檢查是確認 Windows 防火牆已啟用。Woodgrove 在指令碼中未指定例外狀況,但設定了遠端桌面連線後之類的例外狀況。
CMAK 是用來設定連線管理員設定檔的工具,這個設定檔中包含啟動連線嘗試的所有必要授權軟體,包括用戶端通知元件 (RQC.exe) 及初始隔離指令碼。Woodgrove National Bank 使用網頁伺服器來發佈這些設定檔。當 Woodgrove National Bank 更新連線管理員設定檔時,會以電子郵件通知使用者,必須在特定日期前使用新的設定檔。
**注意:**其他策略可以使用任何軟體發佈機制,例如群組原則、Microsoft Systems Management Server (SMS) 2003,或對於想要從家用電腦連線到公司網路的使用者,將設定檔置於密碼保護的 USB 金鑰上。
Windows Server 2003 中的遠端存取提供適合做為 VPN 主機及路由器使用的功能。Windows Server 2003 SP1 包含遠端存取隔離服務 (RQS),這是 VPN 隔離解決方案的關鍵元件。RQS 是伺服器接聽程式元件,實作為可執行檔 RQS.exe。CMAK 包含通知元件 (RQC.exe)。
隔離連接埠篩選器只允許隔離 VPN 用戶端與網路上有限資源之間的通訊。封包篩選器允許用戶端代理程式與遠端存取伺服器上的接聽程式元件進行通訊,並且啟用使用者驗證。
在 Windows Server 2003 上執行的 IAS 是 Microsoft 的 RADIUS 伺服器及 RADIUS Proxy 伺服器實作。網際網路工程任務推動小組 (IETF) 在 RFC 2865 及 2866 中描述 RADIUS。IAS 會驗證遠端存取要求並提供帳戶處理資訊。Woodgrove IT 與數家 ISP 制定了合約,而可在數個國家/地區使用漫遊網際網路存取。ISP 設定他們的 RADIUS 伺服器,而將驗證要求傳至 Woodgrove IAS 伺服器。執行此驗證程序時必須使用 RADIUS Proxy,並搭配 ISP 端設定為指回至 Woodgrove IAS 伺服器的 RADIUS 伺服器。使用 IAS 進行授權時,Woodgrove 即可利用 RADIUS 帳戶處理功能來追蹤遠端存取 VPN 的使用情形。
Active Directory 中的使用者帳戶及群組成員資格會規定遠端連線及對 Woodgrove National Bank 公司資源的後續存取。Woodgrove National Bank 也使用群組原則物件 (GPO) 設定 Windows 工作站,以符合公司網路安全性原則。
解決方案運作方式
下圖會說明 Woodgrove National Bank 如何實作他們的 VPN 隔離解決方案。
.gif)
圖 4.1 Woodgrove National Bank 的 VPN 隔離程序
Woodgrove National Bank VPN 隔離解決方案的運作方式如下:
使用者選取 VPN 連線設定檔。另外,應用程式也可以要求公司內部網路上的資源。
連線管理員設定檔使用撥號項目,啟動連線到網際網路。如果用戶端已經連線到網際網路,連線管理員會略過這個步驟。
打開通道前自訂動作執行指令碼,以確保電腦有最新的安全性更新及防毒簽章。用戶端電腦會連線到 Windows Update 以安裝這些更新。如需打開通道前自訂動作所適用之自訂指令碼的範例,請參閱本手冊的附錄 A<範例隔離指令碼>。
如果更新套用成功,連線管理員設定檔會連線到 VPN 伺服器。如果任何更新失敗,連線管理員設定檔會通知使用者並終止 VPN 連線嘗試。
遠端存取用戶端電腦將驗證憑證傳送至遠端存取伺服器,後者再將 RADIUS Access-Request 訊息傳送至 IAS 伺服器。IAS 會對 Active Directory 驗證使用者的憑證。如果憑證有效,IAS 會檢查該使用者的遠端存取原則。
VPN 伺服器接受連線,並且設定隔離逾時和 IP 篩選器屬性。IAS 伺服器傳送 RADIUS Access-Accept 訊息,其中包含 MS-Quarantine-IPfilter 及 MS-Quarantine-Session-Timeout 屬性。VPN 伺服器將這些屬性套用至隔離篩選器,並設定工作階段計時器。遠端存取用戶端電腦只會成功傳送符合隔離篩選器的流量。遠端存取用戶端必須通知遠端存取伺服器,隔離指令碼已成功在 MS-Quarantine-Session-Timeout 計時器中所指定的秒數到期之前完成。
接聽程式元件通知遠端存取伺服器,用戶端符合原則需求。遠端存取伺服器之所以接收此通知,是因為它符合 MS-Quarantine-IPfilter 屬性中所指定的流量規則 (連接埠 7250)。遠端存取伺服器從連線中移除 MS-Quarantine-IPfilter 及 MS-Quarantine-Session-Timeout 設定,並依照遠端存取原則規範來設定一般連線限制。
現在使用者可以存取授權的網路資源。
**注意:**連線後指令碼會檢查連線管理員封裝的版本。如果遠端電腦上的版本是過期了兩個次要版本或一個主要版本,遠端電腦會下載最新的連線管理員封裝、通知使用者,並中斷連線。遠端電腦現在有最新的 hotfix 清單,並且遠端使用者可以再次連線。
若要實作這個解決方案,必須在用戶端及伺服器端執行一些程序。下節會說明這些需求。
使用指令碼來實作自訂動作
在連線週期的不同時間點所執行的指令碼,會執行 VPN 隔離解決方案的大部分用戶端作業。這個解決方案的一個關鍵要素取決於特定檢查是以打開通道前或連線後的檢查執行。如果特定檢查脫序執行,可能會使電腦暴露在危險中,並造成其他問題。下節包含特別為這個解決方案設計的檢查清單。
實作打開通道前檢查
如果用戶端尚未連線,連線管理員會啟動網際網路連線。在用戶端連線到網際網路之後,同步的打開通道前動作會先執行任何必要安全性檢查,然後建立 VPN 通道。
連線管理員會循序執行所有必要的安全性檢查。連線管理員在一連串的指令碼中實作每個檢查。下列步驟提供指令碼所需的運作邏輯。
受支援的用戶端作業系統?
如果否定,則向使用者顯示訊息方塊並使連線失敗。
如果肯定,則繼續。
防毒軟體已安裝並執行中?
如果否定,則向使用者顯示訊息方塊並使連線失敗。任何為打開通道前動作的一部分所需的授權軟體,應該與連線管理員安裝一起提供,以避免從遠端伺服器安裝。
如果肯定,則繼續。
更新防毒簽章檔
如果成功,則繼續。
如果不成功,則繼續顯示警告,或向使用者顯示訊息方塊並使連線失敗。
Windows 自動更新用戶端已設定?
如果否定,則設定 Windows 自動更新服務用戶端。
如果成功,則繼續。
如果不成功,則繼續顯示警告,或向使用者顯示訊息方塊並使連線失敗。
如果肯定,則繼續。
下載並安裝高優先順序的軟體更新
如果成功,則繼續。
如果不成功,則繼續顯示警告,或向使用者顯示訊息並使連線失敗。
需要使用 [使用撥號連線登入] (選擇性)
如果已使用,則繼續。
如果沒有使用,則繼續顯示警告,或向使用者顯示訊息方塊並使連線失敗。使用這項檢查表示只有加入網域的電腦可以連接,並且遠端用戶端必須至少連接到公司 LAN 一次,以加入網域。如果使用這個選項,除非 Woodgrove IT 提供必要安全性檢查的暫時例外狀況 (請參閱本章後面的<處理例外狀況和排除>主題),否則是不可能透過遠端連線來加入網域的。
執行任何其他的自訂安全性檢查 (選擇性)
因為連線程序中只有這時才提供網際網路存取,您必須在設計自訂安全性檢查時記得這個限制。
**注意:**如需有關一組範例指令碼的描述,請參閱本手冊的附錄 A<範例隔離指令碼>。
連線管理員會在登錄中的下列金鑰底下記錄這些打開通道前動作的結果:
HKEY_CURRENT_USER\Software\MyCompany\MyConnectionManager\PreTunnelResults。
打開通道前動作應該一律傳回成功,並且遠端存取隔離服務代理程式連線後動作應檢查這些結果,以判斷哪個狀態要傳送給 VPN 伺服器。這個方法允許有彈性的例外狀況管理,而無需修改連線管理員。下圖會顯示 Woodgrove National Bank 所使用的打開通道前自訂動作指令碼邏輯。
.gif)
圖 4.2 Woodgrove National Bank 打開通道前動作
實作連線後檢查
在用戶端通過打開通道前檢查之後,連線管理員便會建立 VPN 連線。在用戶端取得對公司網路的存取之後,打開連線後指令碼可以執行任何其他非必要的檢查和管理動作。
VPN 連線
在完成所有的打開通道前動作之後,連線管理員便會建立對 VPN 伺服器的連線。
傳送通知
連線管理員會使用用戶端元件 (RQC.exe),將共用金鑰傳送至 VPN 伺服器上的遠端存取隔離服務 (RQS.exe),然後 VPN 伺服器便會停止隔離原則。
密碼過期
Woodgrove National Bank 會執行檢查即將過期密碼的指令碼,並通知使用者是否需要變更。
**注意:**只有在用戶端是使用 [使用撥號連線登入] 選項遠端連線到公司網路時,才會發生密碼過期通知。
群組原則重新整理
如果加入網域的用戶端沒有使用 [使用撥號連線登入] 選項遠端連線到公司網路時,便不會套用群組原則更新。在使用群組原則來設定用戶端上的重要安全性選項時,這可能會造成安全性洩漏。為了減輕這個潛在問題,Woodgrove National Bank 執行連線後指令碼,會在使用者登入之後重新整理群組原則。指令碼會使用 gpupdate.exe /force /wait:0 命令,立即重新整理群組原則設定。如需有關群組原則更新公用程式的詳細資訊,請參閱 群組原則更新公用程式的說明,網址為:https://support.microsoft.com/kb/298444/zh-tw
下圖提供連線後自訂動作指令碼邏輯的詳細資料。
.gif)
圖 4.3 Woodgrove National Bank 連線後動作
建立並發佈連線管理員設定檔
連線管理員提供方便機制,能讓使用者快速、簡易和可靠地存取公司資源。Woodgrove National Bank 決定透過 IT 部門使用 CMAK 所建立的連線管理員設定檔,來實作自訂 VPN 連線。
因為 Woodgrove National Bank 要為數萬個用戶端和數百個撥接號碼設定連線,所以 Woodgrove IT 在設定之前必須檢查下列資訊:
撥號或 VPN 連線的設定視位置、時間等因素而有所不同。
為了防止錯誤,禁止使用者設定或修改撥號或 VPN 連線內容。
有些功能必須是動態,Woodgrove IT 員工會管理這些值,以確保安全性符合規範。
設定方法必須延伸適合全球企業需求。
下表提供 Woodgrove IT 所使用的一些連線管理員遠端存取連線功能。
表格 4.1:Woodgrove IT 所使用的連線管理員功能
| 功能 | 功能 |
|---|---|
| 商標 | 自訂圖形、圖示、訊息及說明,為封裝提供公司的外觀及操作。連線管理員封裝可以為出差中使用者提供區域支援號碼。 |
| 自訂動作 | 執行記錄及應用程式更新。 |
| 連接埠編號 | 使用 | 註解 |
|---|---|---|
| UDP 67、68 | DHCP | 為用戶端要求 IP 位址 |
| UDP 53 | DNS | 名稱解析 |
| UDP 137 | WINS | NetBIOS 名稱解析 |
| TCP 139、445 | 檔案共用 | 絕對必要時才啟用,會提供 NetBIOS 工作階段及 SMB 檔案共用 |
| TCP 7250 | RQC、RQS | 啟用 VPN 隔離用戶端代理程式與伺服器端接聽程式元件之間的通訊 |