ISA Server 2004防火墙可以配置为VPN服务器或者VPN网关。VPN服务器组件允许接受进入的远程VPN客户端的访问请求,在成功建立VPN连接后,VPN客户可以成为一个受保护的网络的成员。ISA Server 2004的VPN网关允许你在Internet上连接一个完整的网络到另外一个网络。
许多网络和防火墙的管理员误解VPN技术就是安全技术。事实是VPN表示一个保护数据在网络上进行传输的远程访问技术。VPN只是一个保护数据传输的安全远程访问技术,但是它不能为企业的VPN客户增加任何安全。
传统的VPN服务器允许VPN客户完全访问它所连接的网络。要么你重新配置网络的基础结构以支持对VPN客户的安全性需求,要么你必须对你的VPN客户有很大的信赖。
许多第三方VPN服务器允许你限制VPN客户的访问以迎合安全需求。例如,几个大VPN服务器销售商允许你在VPN客户系统上安装一个已管理的VPN客户端。这个已管理的VPN客户软件允许VPN服务器预先设置可以连接到VPN服务器的VPN客户。这些已管理的VPN客户端或许需要在连接到VPN服务器前有最新的安全补丁、安全防火墙或者安装有其他的软件。第三方VPN销售商给VPN客户软件制定了一个很高的价格。因为ISA Server 2004防火墙的内建VPN特性,现在你可以不用支付额外费用就使用VPN。
问题在于已管理的VPN客户端,按照ISA Server 2004 VPN隔离特性提供的功能,只是能加强VPN客户访问一半的安全。已管理的VPN客户端不允许你加强基于用户/用户组的对于内网服务器和协议的访问控制,这个时候,VPN客户端可以引起重大的安全风险。
ISA Server 2004 VPN服务器修改了VPN远程访问的属性,让你可以控制VPN客户端可以连接的协议和服务器。VPN客户访问控制可以基于VPN客户登录到VPN服务器时提交的信任信息。这样可以允许你建立只能访问指定服务器的的指定协议或者协议集的用户组。你不再需要担心你的VPN可以浏览你企业网络的服务器。VPN客户只能连接到它们需要的资源(注:根据它们的权限),其他的被禁止。
在以后的文章,我会继续提到关于如何实现加强的对于VPN客户的用户/用户组访问控制的细节。在你理解ISA Server 2004防火墙和VPN服务器组件是如何工作后,你可以实现它们。
你几乎可以使用 Microsoft Internet Security and Acceleration Server 2004 管理界面来管理VPN服务器配置的任何一方面。防火墙管理分配给VPN的IP地址列表并且放置它们在指定的VPN客户网络。访问控制可以配置与VPN客户通信的访问策略来实现。
在这篇文章中你可以执行以下步骤以启用和测试ISA Server 2004 VPN服务器:
-
启用VPN服务器
-
建立一个允许VPN客户访问内部网络的访问策略
-
允许用户账户拨入访问
-
测试PPTP VPN连接
-
给ISA Server 2004防火墙和VPN客户发布证书
-
测试一个L2TP/IPSec的VPN连接
-
监控VPN客户连接
下图显示了这篇文章中试验网络的细节,并且在未来的文章中都会使用这个网络(我们可能会对于不同的配置文章中在细节上有调整)。
注意有几个网络服务需要在你成功建立一个VPN服务器之前进行安装和配置:
-
Radius
-
Dhcp
-
Dns
-
Wins
-
企业CA
在我们的试验网络中,试验域环境的域控制器已经安装好了所有的服务。内部域的名字是msfirewall.org 。DHCP服务器对于VPN服务器环境特别有用,但不是必需的。
在这篇文章中,上图中的下列服务器是必需的:
-
EXCHANGE2000BE
-
ISALOCAL
-
EXTCLIENT
建立一个允许VPN客户访问内网的访问策略
在重启后,ISA Server 2004防火墙已经准备好接受进入的VPN连接了。可是,因为没有访问策略允许,VPN客户端不能访问内网的任何资源。你需要建立一个访问策略以允许VPN客户网络访问内部网络。与其他混合的防火墙VPN服务器相对照的是,ISA Server 2004防火墙VPN服务器为VPN网络进行访问控制定义而不是VPN客户。
在这个例子中,你将建立一个访问策略以允许所有从VPN客户网络到内部网络之间的通信传输。在生产环境,你将建立更加严格的访问策略,以控制用户只能访问他们需要的资源。以后在后续文章中会提及如何在VPN上建立更成熟的基于用户/用户组访问控制。
执行以下步骤以建立一个允许VPN用户自由的访问内部网络的访问策略:
1.在 Microsoft Internet Security and Acceleration Server 2004 管理界面,展开服务器,并且点击 Firewall Policy。右击 Firewall Policy ,指向 New 并且点击 Access Rule.。
2.在 Welcome to the New Access Rule Wizard 页,在Access Rule name 文本框中输入策略的名字,在这个例子中我们命名为 VPN Client to Internal ,点击Next。
3.在 Rule Action 页,选择 Allow 选项,点击 Next。
4.在 Protocols 页,在This rule applies to 列表中选择 All outbound protocols 选项,点击 Next。
5.在 Access Rule Sources 页,点击 Add 按钮,在 Add Network Entities 对话框,点击 Networks 目录并双击 VPN Clients,点击 Close。
6.在 Access Rule Sources 页点击 Next 。
7.在 Access Rule Destinations 页,点击 Add 按钮,在Add Network Entities对话框,点击 Networks 目录并且双击 Internal,点击 Close。
8.在User Sets 页,接受默认设置 All Users,点击 Next。
9. 在 Completing the New Access Rule Wizard 页点击 Finish 。
10.点击 Apply 保存修改和更新防火墙策略。
11.在 Apply New Configuration 对话框点击 OK ,VPN客户策略出现在访问策略列表中。
给予管理员账户拨入权限
在非本地模式的活动目录域中,所有用户账户的拨入权限默认是禁止的。你必须为每个用户启用拨入权限。与之相对的是,在本地模式的域中,默认地,拨入权限受远程访问策略的控制。Windows NT 4.0域和非本地模式的域一样,由独立的用户账户来控制拨入权限。
在我们当前的例子中,活动目录是Windows Server 2003混合模式,所以我们需要手动修改域用户账户的拨入权限。我强烈建议你不要在你的域中使用使用任何Windows NT 4.0的域控,这样将提升你域的功能等级。
在域控上为管理员账户执行以下步骤:
1.点击 Start 并且指向 Administrative Tools,点击 Active Directory Users and Computers。
2.在 Active Directory Users and Computers 控制台,在左面板上点击 Users ,在右面板上双击 Administrator 账户。
3.点击 Dial-in 标签,在 Remote Access Permission (Dial-in or VPN) 框架中,选择 Allow access 选项,点击 Apply ,然后点击 OK。
f
4.关闭 Active Directory Users and Computers 控制台。
测试PPTP VPN连接
ISA Server 2004 VPN服务器已经准备好了接受VPN客户的连接,执行以下步骤测试VPN服务器:
1.在一台Windows 2000 外部客户计算机上,右击网上邻居 图标,并且点击 属性。
2. 在网络和拨号连接窗口中双击建立新连接图标。
3. 在Welcome to the Network Connection Wizard页上点击Next 。
4.在 网络连接类型 页,选择 Connect to a private network through the Internet ,并且点击 Next。
5.在 目的地址 页,在Host name or IP address 文本框中输入IP地址192.168.1.70 ,点击 Next。
6.在 Connection Availability 页,选择 For all users ,并且点击 Next。
7.在 Internet Connection Sharing 页不做修改,点击 Next。
8.在 Completing the Network Connection Wizard 页,在 Type the name you want to use for this connection 文本框中输入一个VPN连接的名字,在这个例子中,我们命名为 ISA VPN,确认勾选了在桌面上添加图标,点击 Finish。
9.在 Connect ISA VPN 对话框,输入用户名 MSFIREWALL\administrator 和对应的密码,点击 Connect。
10.VPN客户端将和ISA Server 2004VPN服务器建立一个连接,在连接完成的对话框中点击OK,注意连接已经建立好了。
11.双击在系统托盘区的连接图标,然后点击 Details 标签,你可以看见是使用的 MPPE 128 加密以保护数据的传输,还有VPN客户获取的IP地址。
12.点击 Start 并且点击 Run ,在 Run 对话框,在Open 文本框中输入\\EXCHANGE2003BE ,然后点击 OK,将会显示出域控上的共享。注意现在我们可以使用一般的计算机名字(注:指Netbios名字,不是FQDN)来访问域控,因为ISA Server 2004防火墙VPN服务器给VPN客户端分配了一个WINS服务器地址。
13.右击系统托盘区的连接图标,然后点击断开。
为ISA Server 2004防火墙和VPN客户颁发证书
你可以使用L2TP/IPSec协议来为你的VPN连接改进安全级别。IPSec加密协议在Microsoft Point to Point Encryption (MPPE)上为加密PPTP连接提供了一些安全优点。当ISA Server 2004防火墙VPN服务器使用预定义的密钥来支持IPSec加密是不安全的,在可能的情况下应该避免,安全的IPSec通信是为VPN服务器和VPN客户机使用计算机证书。
第一步先为ISA Server 2004防火墙VPN服务器发行一个计算机证书,在ISA Server 2004防火墙上执行以下步骤以从内部网络的企业CA上请求一个证书。
1.打开 Internet Explorer,在地址栏输入 http://10.0.0.2/certsrv 并回车。
2.在 Enter Network Password 对话框,在用户名和密码文本框中分别输入 Administrator 和密码,点击 OK。
3. 在Welcome页上点击 Request a Certificate 链接。
4.在 Request a Certificate 页,点击 advanced certificate request 链接。
5.在 Advanced Certificate Request 页,点击 Create and submit a request to this CA 链接;
6.在 Advanced Certificate Request 页,从Certificate Template 列表中选择 Administrator 证书,勾选 Store certificate in the local computer certificate store ,点击 Submit。
7.在Potential Scripting Violation 对话框中点击 Yes 。
8.在 Certificate Issued 页,点击 Install this certificate 链接。
9.在Potential Scripting Violation 页中点击 Yes 。
10. 看完Certificate Installed 页后,关闭浏览器。
11.点击 Start 然后点击 Run ,输入 mmc ,然后回车。
12.在 Console1 控制台中,点击 File 菜单再点击 Add/Remove Snap-in 。
13.在 添加/删除管理单元 对话框上点击 Add 。
14.在Add Standalone Snap-in 对话框的Available Standalone Snap-ins 列表中选择 Certificates ,点击 ADD。
15.在Certificates snap-in页选择 Computer account 选项。
16.在Select Computer页选择 Local computer 。
17.在 Add Standalone Snap-in 点击 Close。
18.在添加/删除管理单元对话框上点击OK。
19.在控制台的左面板,展开 Certificates (Local Computer) 再展开 Personal ,点击 \Personal\Certificates ,双击右面板的 Administrator 证书。
20.在Certificate 对话框,点击 Certification Path 标签,在 Certification path 看见的证书层次的顶端是根CA证书。点击列表顶部的 EXCHANGE2003BE ,点击 View Certificate 按钮。
21.在 Certificate 对话框,点击 Details 标签,点击 Copy to File 按钮。
22.在Welcome to the Certificate Export Wizard 页上点击 Next 。
23.在 Export File Format 页,选择Cyptographic Message Syntax Standard PKCS #7 Certificates (.P7B) 选项,然后点击 Next。
24.在 File to Export 页,在文件名文本框输入 c:\cacert ,点击 Next。
25.在Completing the Certificate Export Wizard 页点击 Finish。
26.在Certificate Export Wizard 对话框点击OK。
27.在Certificate 对话框上点击 OK ,再次点击 OK。
28.在控制台的左面板,展开 Trusted Root Certification Authorities ,然后点击 Certificates ,右击 \Trusted Root Certification Authorities\Certificates ,指向 All Tasks 然后点击 Import。
29.在Welcome to the Certificate Import Wizard 页,点击 Next。
30.在 File to Import 页,使用 Browse 按钮找到你刚才存放在本地硬盘的CA证书,然后点击 Next。
31.在 Certificate Store 页,接受默认的设置,然后点击Next。
32.在Completing the Certificate Import Wizard 页点击 Finish。
33.在Certificate Import Wizard对话框上点击 OK ,它提示你导入成功了。
注意你不需要手动复制企业CA证书到ISA Server 2004防火墙的Trusted Root Certification Authorities 证书存储区,因为CA证书会自动安装在域成员上。如果防火墙不是域的成员,你需要手动存放CA证书到 Trusted Root Certification Authorities证书存储区。
下一步是为VPN客户计算机发行一个计算机证书。在此例中,VPN客户计算机不是域的成员,你需要使用企业CA的web注册站点请求一个计算机证书并且手动存放企业CA证书到客户端的Trusted Root Certification Authorities 证书存储区,完成这一任务的最简单方法是让VPN客户机从PPTP链路上请求证书。
注意:
在一个生产环境,不信任的客户将不能颁发计算机证书,只有作为域成员的已管理的计算机,可以安装计算机证书。域成员斗室已管理的客户因此在组织的管理控制之下。计算机证书是一种安全原则,并不是意味者可以让通过VPN链接的客户自由访问。
执行以下步骤请求和安装CA证书:
1.和ISA Server 2004防火墙VPN服务器建立一个PPTP VN连接。
2.打开Internet Explorer,在地址栏输入 http://10.0.0.2/certsrv 并回车。
3.在Enter Network Password 对话框,在用户名和密码文本框中输入Administrator 和对应的密码,点击 OK。
4.在Welcome 页点击 Request a Certificate 连接。
5.在 Request a Certificate 页,点击advanced certificate request链接。
6.在 Advanced Certificate Request 页,点击 Create and submit a request to this CA链接。
7.在 Advanced Certificate Request 页,在Certificate Template列表中选择 Administrator 证书,勾选 Store certificate in the local computer certificate store ,点击 Submit。
8.在 Potential Scripting Violation 对话框中点击 Yes 。
9.在 Certificate Issued 页,点击 Install this certificate 。
10. 在Potential Scripting Violation 页点击Yes 。
11.在看完Certificate Installed页后,关闭浏览器。
12.点击开始,点击运行 ,输入 mmc 然后回车。
13.在 Console1 控制台,点击 File 菜单再点击 Add/Remove Snap-in。
14.在 Add/Remove Snap-in 对话框上点击 Add 。
15.在Add Standalone Snap-in 对话框的 Available Standalone Snap-ins 列表中选择 Certificates ,点击 Add。
16.在Certificates snap-in页选择 Computer account 选项。
17.在Select Computer 页选择 Local computer 选项。
18.在Add Standalone Snap-in 对话框中点击 Close 。
19.在 Add/Remove Snap-in 对话框点击 OK 。
20.在控制台的左边,展开 Certificates (Local Computer) 然后展开 Personal ,点击 \Personal\Certificates ,双击右边面板的 Administrator 证书。
21.在 Certificate 对话框,点击 Certification Path 标签,在 Certification path 看见的证书层次的顶端是根CA证书。 点击列表顶端的 EXCHANGE2003BE 证书,点击View Certificate 按钮。
22.在企业证书的 Certificate 对话框,点击 Details 标签,点击 Copy to File 按钮。
23.在Welcome to the Certificate Export Wizard 页点击Next 。
24.在 Export File Format 页,选择 Cyptographic Message Syntax Standard PKCS #7 Certificates (.P7B) 选项,点击 Next。
25.在 File to Export 页,在文件名文本框中输入 c:\cacert ,点击 Next。
26.在Completing the Certificate Export Wizard 页点击 Finish 。
27.在Certificate Export Wizard 对话框中点击 OK。
28.在Certificate 对话框中点击 OK ,再次点击 Certificate 对话框的 OK 。
29.在控制台的左面板,展开 Trusted Root Certification Authorities 并点击 Certificates ,右击 \Trusted Root Certification Authorities\Certificates ,指向 All Tasks 并点击 Import。
30.在Welcome to the Certificate Import Wizard页点击 Next 。
31.在 File to Import 页,使用 Browse 按钮找到刚才你存放在本地硬盘的的CA证书, 点击 Next。
32.在 Certificate Store 页,接受默认选项,然后点击 Next。
33.在Completing the Certificate Import Wizard 页点击 Finish 。
34.在Certificate Import Wizard对话框上点击 OK ,它提示你导入成功了。
右击在系统托盘区的连接图标,然后点击断开。
测试L2TP/IPSec VPN连接
现在ISA Server 2004防火墙和VPN客户计算机都已经安装了证书,你可以测试从远程访问客户到防火墙建立一个安全连接。第一步是重启路由和远程访问服务以让它能使用新的证书。
执行以下步骤以重启路由和远程访问服务:
1.在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,展开服务器,点击 Monitoring 。
2.在细节面板,点击 Services 标签,右击 Remote Access Service 然后点击 Stop。
3.再次右击 Remote Access Service 然后点击 Start.
接下来开始VPN客户连接:
1.从VPN客户计算机建立一个VPN连接的步骤和前面的一样。
2.在提示你连接已经建立的Connection Complete 对话框中,点击 OK 。
3.双击在系统托盘区的连接图标。
4.在 ISA VPN Status 对话框属性中,点击 Details 标签,你将看到 IPSEC Encryption ,指出你现在使用的是IPSec加密。
在 ISA VPN Status 对话框上点击 Close 。
监控VPN客户端
ISA Server 2004 防火墙允许你监控VPN客户的连接。执行以下步骤可以察看VPN连接:
1.在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,展开左边面板的计算机名字,然后点击 Virtual Private Networks (VPN) ,在这个任务面板,点击 Tasks 标签,点击 Monitor VPN Clients 链接。
2.现在你打开 Monitoring 节点的Sessions 标签,在这儿你可以看见当前的VPN会话。
3.点击 Dashboard 标签,在这儿你可以看见Sessions 面板的 VPN Remote Client 链接。
4.你也可以使用实时记录特性来监视VPN客户的连接,点击Logging 标签,然后点击任务面板的 Tasks 标签,点击 Start Query 链接,这儿你可以看到通过防火墙的所有通信。你也可以使用过滤来观察指定的VPN客户或VPN客户网络。