規劃虛擬私人網路

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

虛擬私人網路 (VPN) 技術可實現具成本效益且安全的私人網路遠端存取。透過 VPN,您可以用模擬點對點私人連結的方式,在整個共用或公用網路 (例如網際網路) 擴充私人網路。使用 Forefront TMG 電腦做為 VPN 伺服器,就可以因保護公司網路免於惡意 VPN 連線而受益。因為 VPN 伺服器已整合到防火牆功能中,所以 VPN 使用者會受到 Forefront TMG 防火牆原則的規範。

下列小節提供可協助您規劃 Forefront TMG VPN 實作的資訊:

關於 Forefront TMG VPN

Forefront TMG 支援兩種 VPN 類型:

  • 遠端存取 VPN:提供漫遊使用者對內部網路的安全遠端存取。

  • 網站間 VPN:允許網站間的快速連線,例如總公司與其分公司之間的連線。

    如需如何部署輻射狀或網狀 VPN 設定的詳細說明,請參閱 ISA Server Enterprise Edition 中的虛擬私人網路部署實例 (http://go.microsoft.com/fwlink/?LinkId=160842) (可能為英文)。

note附註:
所有連至 Forefront TMG 的 VPN 連線都會記錄在防火牆記錄檔中,讓您可以監視它們。

Forefront TMG 會實作 Windows Server VPN 技術。如需說明,請參閱什麼是 VPN (http://go.microsoft.com/fwlink/?LinkId=160092) (可能為英文)。閱讀此內容時,請記住 Windows Server 2003 與新版 Windows 之間的功能差異,詳細說明記載於 Windows Server 2008 中的路由及遠端存取新功能 (http://go.microsoft.com/fwlink/?LinkId=160094) (可能為英文)。

VPN 通訊協定

Forefront TMG 支援下列 VPN 通訊協定:

  • 點對點通道通訊協定 (PPTP):用於遠端存取和網站間 VPN,適用於執行具有「路由及遠端存取」之 Windows Server 作業系統的遠端伺服器。以 PPTP 為基礎的 VPN 連線所使用的加密機制,並不提供資料的完整性功能 (證明資料在傳輸中未經修改) 或資料來源驗證 (證明資料是由授權的使用者所傳送)。

  • 第二層通道通訊協定/網際網路通訊協定安全性 (L2TP/IPSec):用於遠端存取與網站間 VPN,適用於執行具有「路由及遠端存取」之 Windows Server 作業系統的遠端伺服器。若要使用 L2TP/IPSec 通訊協定,必須在 VPN 伺服器上安裝 IPSec 憑證。IPSec 提供資料機密性、資料完整性及資料來源驗證。

  • IPsec 通道模式:用於網站間 VPN,而且可用於支援那些不支援 PPTP 或 L2TP/IPSec 的協力廠商裝置,例如,路由器與閘道。若要使用 IPSec 通道模式,必須在 VPN 伺服器上安裝 IPSec 憑證。IPSec 提供資料機密性、資料完整性及資料來源驗證。

    • 如需 IPsec 通道模式的相關資訊,請參閱 IPSec 技術參考 (http://go.microsoft.com/fwlink/?linkid=69735) (可能為英文)。

    • 如需交互操作性的相關資訊,請參閱VPNC 交互操作性測試 (http://go.microsoft.com/fwlink/?LinkId=160129) (可能為英文)。

  • 安全通訊端通道通訊協定 (SSTP):用於遠端存取 VPN。SSTP 是一種 VPN 通道,允許透過安全通訊端層 (SSL) 通道傳輸點對點通訊協定 (PPP) 流量。使用 SSTP 會改善 VPN 連線周遊防火牆和 Proxy 伺服器的能力。

關於遠端存取 VPN

下列資訊適用於 Forefront TMG 遠端存取 VPN:

隔離控制

隔離控制是用來延遲遠端電腦對私人網路的存取,直到該電腦的設定通過檢查和驗證為止。您可以利用 Forefront TMG 將 VPN 用戶端隔離在「隔離的 VPN 用戶端」網路中,待驗證過它們符合公司的安全性需求之後,即可移至「VPN 用戶端」網路。這兩種 VPN 用戶端網路都受到 Forefront TMG 防火牆存取原則的規範,因此您可以控制 VPN 用戶端對網路資源的存取。例如,您可以允許隔離的用戶端僅存取還原至符合其安全性所需的資源,例如防毒更新或 Windows Update 伺服器的存取。

您可以使用下列其中一項套用隔離:

  • 網路存取保護 (NAP):可讓您根據用戶端的身分識別、用戶端所屬的群組以及用戶端符合公司管理政策的程度,定義網路存取的層級。如果用戶端不符合,NAP 提供一個可讓用戶端自動符合 (這個程序稱為「修復」) 的機制,然後動態地增加其網路存取的層級。

  • 遠端存取隔離服務 (RQS) 與遠端存取隔離用戶端 (RQC):RQC 會判斷用戶端電腦的健康狀態,然後據此通知 RQS,用戶端電腦是否必須隔離。

VPN 用戶端認證

Forefront TMG 在使用者透過遠端存取 VPN 連線來連線時所收到的認證,會隨連線實例而有所不同:

  • 遠端使用者建立 VPN 連線時,Forefront TMG 會將其認證與連線關聯。如果其他使用者接著使用相同的連線,則 Forefront TMG 不會接收他們的認證,但是會繼續建立流量與用來建立連線之認證的關聯,而這可能會造成安全性問題。例如,如果使用者使用「終端機服務」連線到用戶端電腦,然後透過 VPN 連線提出要求,或是如果用戶端電腦是設定成做為網路位址轉譯 (NAT) 裝置,就會允許在不同電腦的許多使用者之間共用 VPN 連線。

  • 如果主控 VPN 用戶端連線的電腦或其後方的電腦已適當安裝與設定 Forefront TMG 用戶端或防火牆用戶端,則這些電腦會加入「VPN 用戶端」網路,但是 Forefront TMG 會接收每位使用者的認證,而不是主機電腦的認證。

感染病毒的 VPN 用戶端

由於不會自動封鎖感染病毒的 VPN 用戶端電腦,因此無法防止大量的要求湧進 Forefront TMG 電腦 (或其保護的網路)。為了預防發生這種狀況,請實作監視措施以偵測異狀 (例如警示,或是流量負載出現不尋常的大量使用),並設定電子郵件形式的警示通知。若識別出 VPN 用戶端電腦受到感染,請執行下列其中一項動作:

  • 依使用者名稱來限制 VPN 存取:使用遠端存取原則,將使用者從已允許連線的 VPN 用戶端中排除。

  • 依 IP 位址限制 VPN 存取:建立新網路以容納已封鎖的外部 IP 位址,並將用戶端的 IP 位址從外部網路移至新網路。這只適用於使用者一律從相同 IP 位址進行連線時。如果用戶端電腦每次連線至公用網路時都會被指派不同的位址,則建議您根據使用者名稱來限制存取權。

使用者對應

當您建立群組型防火牆原則時,將會使用「使用者對應」來對應連線到 Forefront TMG 的 VPN 用戶端。因此,指定 Windows 使用者及群組之使用者組的防火牆原則存取規則,也會套用到不是使用 Windows 的已驗證使用者。如果您沒有為來自非 Windows 型名稱區的使用者定義使用者對應,則預設的防火牆原則存取規則就不會套用到這些使用者。

定義使用者對應時,請考慮下列各點:

  • 如果遠端驗證撥入使用者服務 (RADIUS) 伺服器及 Forefront TMG 位在不受信任的網域中 (或其中一個位在工作群組中),則只有密碼驗證通訊協定 (PAP) 及 Shiva 密碼驗證通訊協定 (SPAP) 驗證方法才支援使用者對應。若已設定其他任何驗證方法,則請勿使用使用者對應。

  • 如果您沒有針對不是使用 Windows 的使用者啟用使用者對應,則必須為這些使用者建立使用者組,以將防火牆原則規則套用到這些使用者。無論驗證方法 (RADIUS 或 EAP) 為何,使用者組都必須針對 RADIUS 名稱區定義。

  • 將 Forefront TMG 安裝在工作群組時,不支援使用者與網域帳戶的對應。在此實例中,只有在使用 PAP 及 SPAP 驗證方法時才能使用使用者對應功能。

Important重要事項:
若要建立使用者型防火牆原則,您可以用 RADIUS 名稱區來定義使用者組。

相關主題

顯示: