为远程客户端和网络配置虚拟专用网络访问
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
所有的客户端和服务 器都都必须支持 IPSec NAT-T
为远程客户端和网络配置虚拟专用网 络访问
VPN 身份验证协议选项
验证协议 PAP SPAP CHAP MS-CHAP
MS-CHAPv2
EAP-TLS
解释
使用明文密码,是安全性最低的身份验证协 议
使用的是 Shiva可逆加密机制
是质询响应身份验证协议 使用 CHAP 协议时,数据不能被加密
要求远程 VPN 服务器是运行 ISA Server 的计算机或运行 Windows VPN 的服务器。需要 用户名和密码以及证书或预共 享密钥进行身份验证
要求远程 VPN 服务器是运行 ISA Server 的计算机或运行 Windows VPN 的服务器 安全级别比 L2TP over IPSec 低
使用 ISA Server 2006 的虚拟专用网络
ISA Server 启用 VPN 访问:
可以使用网络规则和访问规则定义在什么条件下 可以将网络数据包从一个网络传递到另一个网络 ISA Server 使用以下网络进行 VPN 连接:
VPN 客户端网络 被隔离的 VPN 客户端网络 远程站点网络 ISA Server 将计算机分配给网络,然后使用网 络规则、网络访问规则和发布规则来限制网络通 信在网络之间的移动 扩展了 RRAS 功能
提供数据加密 不提供数据完整性
大多数网络地址转换器( NAT,Network Address Translator)都 支持该协议
L2TP/IPSec 优点和缺 点
Windows 2000、 Windows XP、Windows Server 2003
需要证书架构或预共 享密钥
为每个数据包提供数 据完整性、数据源身 份验证、数据机密性 和重放保护
2.为远程客户端配置虚拟专用网络
VPN 客户端访问控制选项 启用和配置 VPN 客户端访问的方式 默认 VPN 客户端访问配置 配置 VPN 地址分配的方式 配置 VPN 身份验证Baidu Nhomakorabea方法 使用 RADIUS 配置身份验证的方法 为 VPN 访问配置用户账户的方法 为客户端计算机配置 VPN 连接的方法
使用 RADIUS 配置身份验证的方法
启用 RADIUS 验证和配置 RADIUS 服务器
为远程客户端和网络配置虚拟专用网 络访问
为 VPN 访问配置用户账户的方法
配置拨入和 VPN 访问权限
为远程客户端和网络配置虚拟专用网 络访问
为客户端计算机配置 VPN 连接的方法
为远程客户端和网络配置虚拟专用网 络访问
络访问
VPN 隔离控制
VPN 隔离控制:
允许 VPN 客户端计算机访问组织的网络之 前屏蔽它们 VPN 隔离客户端脚本。此脚本在客户端上 运行并检查远程访问客户端的安全配置,然 后将结果报告给 VPN 服务器 客户端通过安全配置检查,该客户端就被授 权访问组织的网络
为远程客户端和网络配置虚拟专用网 络访问
它不需要使用可逆加密来存储密码 但只有在运行需要 MS-CHAP 的早期 Microsoft 操作系统时才使用 MS-CHAP
使用双向身份验证 对于发送和接收的数据,它分别使用不同的 会话密钥来进行加密 会话密钥的生成不是完全基于用户的密码
是最安全的远程身份验证协议 在客户端和服务器都使用证书来提供双向身 份验证、数据完整性和数为据远程机客户密端性和网络配置虚拟专用网
为远程客户端和网络配置虚拟专用网 络访问
网络隔离控制的工作方式
启用了两个系统策略:
“允许到 ISA 服务器的 VPN 站点到站点的通讯” “允许来自 ISA 服务器的 VPN 站点到站点通讯”
针对远程站点网络创建网络规则
配置访问规则来控制远程站点和连接到 ISA Server 计算机的其他网络之间的通信
网络之间的开放通信。一种选项是配置分支 办事处以拥有对内部网络的完全访问权 网络之间的受控通信。在此情况下,你不希 望让分支办事处的用户具有对内部网络的完 全访问权
为远程客户端和网络配置虚拟专用网 络访问
配置远程站点 VPN 网关服务器的方法
配置远程站点 VPN 网关服务器: 1. 配置 VPN 网关使用相同的隧道协议 2. 配置到总部站点 VPN 网关的连接 3. 配置网络路由
为远程客户端和网络配置虚拟专用网 络访问
配置使用 IPSec 隧道模式的站点到站点 VPN
仅为 VPN 客户端访问启用 PPTP
一条指定 VPN 客户端网络和外部网络 之间的 NAT 关系 一条指定 VPN 客户端网络和内部网络 之间的路由关系
没有防火墙访问规则启用
启用 MS-CHAPv2 身份验证并要求对所 有 VPN 连接的进行身份验证
为远程客户端和网络配置虚拟专用网 络访问
配置 VPN 地址分配的方式
ISA Server 通过将防火墙策略应用到所有接口 来扩展安全保护的级别
为远程客户端和网络配置虚拟专用网 络访问
为远程客户端和网络配置虚拟专用网络访问
虚拟专用网络概述 为远程客户端配置虚拟专用网络 为远程站点配置虚拟专用网络 使用 ISA Server 2006 配置隔离控制
为远程客户端和网络配置虚拟专用网 络访问
添加 ISA Server 2006 可使 Windows 2000 VPN 服 务器能够强制执行 VPN 隔离策略
VPN 日志记录不仅能包括所有 VPN 远程访问 和站点到站点的连接,还能包括相关的应用 程序通信
通过站点到站点链路移动的连接设置特定于 用户/组、站点、计算机、协议和应用程序层 的较强的访问控制
为远程客户端和网络配置虚拟专用网 络访问
1.虚拟专用网络概述
虚拟专用网络 VPN 协议选项 VPN 身份验证协议选项 VPN 隔离控制 使用路由和远程访问的虚拟专用网络 使用 ISA Server 2006 的虚拟专用网络 将 ISA Server 用于虚拟专用网络的益处
为远程客户端和网络配置虚拟专用网 络访问
为远程客户端和网络配置虚拟专用网 络访问
默认 VPN 客户端访问配置
组件
系统策略规则 VPN 访问网络 VPN 协议 网络规则
防火墙访问规则 远程访问策略
缺省设置
策略规则允许从远程网络到运行 ISA Server 的计算机(本机主机网络)使用 PPTP、L2TP 或两者都使用
ISA Server 仅侦听外部网络上的 VPN 客 户端连接
为远程客户端和网络配置虚拟专用网 络访问
VPN 客户端访问控制选项
点选 VPN 节点来访问 VPN 客户端 访问控制选 项
为远程客户端和网络配置虚拟专用网 络访问
启用和配置 VPN 客户端访问的方式
启用并配置用户映射时,为 Windows 用户和组指定用户设置的防火 墙策略访问规则也适用于不使用 Windows 身份验证的已认证用
为远程客户端和网络配置虚拟专用网络访问 虚拟专用网络概述 为远程客户端配置虚拟专用网络 为远程站点配置虚拟专用网络 使用 ISA Server 2006 配置隔离控制
为远程客户端和网络配置虚拟专用网 络访问
4.使用 ISA Server 2006 配置隔离控制
网络隔离控制的工作方式 关于在 ISA Server 上启用隔离控制 准备客户端脚本的方法 使用连接管理器配置 VPN 客户端的方法 准备侦听器组件的方法 启用隔离控制的方法 配置 Internet 身份验证服务以实现隔离控制 配置隔离访问规则的方法
协议
场景
注释
IPSec 隧道 模式
L2TP over IPSec
PPTP
连接到非微软 VPN 网关
连接 ISA Server 或 Windows RRAS VPN 网关
连接 ISA Server 或 Windows RRAS VPN 网关
连接到非 Microsoft VPN 服务器 时可以使用的惟一选项。需要 证书或预共享密钥
VPN
为远程客户端和网络配置虚拟专用网 络访问
站点到站点的 VPN 访问配置组件
组件
确定要使用的隧道 协议
配置远程站点网络
配置 VPN 客户端访 问
配置网络规则和防 火墙访问规则
缺省配置
需要根据组织的安全要求和将在每个站点部 署的 VPN 网关服务器来选择适当的协议
创建远程站点网络,远程站点中的所有客户 端计算机都位于此网络中
如果决定使用 L2TP/IPSec 作为隧道 协议,你会得到配置预共享密钥的 选项,创建隧道时预共享密钥将被 用于对计算机进行身份验证
需要配置远程站点网络中所有计算 机的 IP 地址范围
为远程客户端和网络配置虚拟专用网 络访问
站点到站点 VPN 的网络和访问规则
启用站点到站点 VPN 的网络和访问规则:
配置使用 IPSec 隧道模式的站点到站点 VPN:
配置远程 VPN 网关的 IP 地址时,还必须 配置一个本地 VPN 网关的 IP 地址 创建 VPN 隧道时 IPSec 将使用的设置以及 可用来最大化 VPN 安全性的设置 将 VPN 网关配置为使用证书或预共享密钥 进行身份验证
为远程客户端和网络配置虚拟专用网 络访问
为远程客户端和网络配置虚拟专用网 络访问
配置远程站点网络的方法
配置选项
VPN 协议 远程 VPN 服务器 远程身份验证
L2TP/IPSec 身份验证 网络地址
解释
选择用来连接到该远程站点的隧道 协议
输入远程站点的 VPN 网关服务器的 服务器名称或 IP 地址
输入用户名和密码。此用户账户将 用于在目标 VPN 网关服务器上发起 连接
配置 DNS 和 WINS 服务器 使用 DHCP 或手工分配地址
配置静态分配地址或 DHCP
为远程客户端和网络配置虚拟专用网 络访问
配置 VPN 身份验证的方法
接受缺省的安全验证 配置 EAP 作为 附加安全方法
考虑到客户端兼 容情况下, 可以使用低安全选项
为远程客户端和网络配置虚拟专用网 络访问
为远程客户端和网络配置虚拟专用网络访问
虚拟专用网络概述 为远程客户端配置虚拟专用网络 为远程站点配置虚拟专用网络 使用 ISA Server 2006 配置隔离控制
为远程客户端和网络配置虚拟专用网 络访问
3.为远程站点配置虚拟专用网络
站点到站点的 VPN 访问配置组件 关于选择 VPN 隧道协议 配置远程站点网络的方法 站点到站点 VPN 的网络和访问规则 配置远程站点 VPN 网关服务器的方法 配置使用 IPSec 隧道模式的站点到站点
必须启用 VPN 客户端访问来启用站点到站 点的访问
使用访问规则或发布规则让远程办事处用户 可访问内部资源
配置远程站点 VPN 网关
配置远程站点办公室的 VPN 服务器来连接 ISA Server 和接受从 ISA Server 的连接
为远程客户端和网络配置虚拟专用网 络访问
关于选择 VPN 隧道协议
为远程客户端和网络配置虚拟专用网 络访问
将 ISA Server 用于虚拟专用网络的益处
益处
连接控制和安全性
性能
使用 Windows 2000 隔离 VPN 连接的能 力
日志记录和监视
IPSec 隧道模式站点 到站点链路的状态 检查 VPN 服务器资源的 增强保护
解释
使用防火墙访问策略控制从 VPN 客户端通过 ISA Server 2006 所发送的信息 ISA Server 2006 强化了在配置为强制执行复杂 的企业级安全性要求的情况
虚拟专用网络
ISA Server
分支机构
为远程客户端和网络配置虚拟专用网 络访问
VPN 协议选项
因素 客户端操作系 统支持 证书支持
安全性
NAT支持
PPTP 优点和缺点
Windows 2000, Windows XP、Windows Server 2003 、Windows NT Workstation 4.0、 Windows ME、 Windows 98 需要证书架构支持,仅仅支持 EAP-TLS 验证
06为远程客户端和网络 配置虚拟专用网络访问
2020/11/7
为远程客户端和网络配置虚拟专用网 络访问
上章回顾
介绍发布 配置 Web 发布 配置安全 Web 发布 配置服务器发布 配置 ISA Server 身份验证
为远程客户端和网络配置虚拟专用网 络访问
本章目标 虚拟专用网络概述 为远程客户端配置虚拟专用网络 为远程站点配置虚拟专用网络 使用 ISA Server 2006 配置隔离控制
为远程客户端和网络配置虚拟专用网 络访问
VPN 身份验证协议选项
验证协议 PAP SPAP CHAP MS-CHAP
MS-CHAPv2
EAP-TLS
解释
使用明文密码,是安全性最低的身份验证协 议
使用的是 Shiva可逆加密机制
是质询响应身份验证协议 使用 CHAP 协议时,数据不能被加密
要求远程 VPN 服务器是运行 ISA Server 的计算机或运行 Windows VPN 的服务器。需要 用户名和密码以及证书或预共 享密钥进行身份验证
要求远程 VPN 服务器是运行 ISA Server 的计算机或运行 Windows VPN 的服务器 安全级别比 L2TP over IPSec 低
使用 ISA Server 2006 的虚拟专用网络
ISA Server 启用 VPN 访问:
可以使用网络规则和访问规则定义在什么条件下 可以将网络数据包从一个网络传递到另一个网络 ISA Server 使用以下网络进行 VPN 连接:
VPN 客户端网络 被隔离的 VPN 客户端网络 远程站点网络 ISA Server 将计算机分配给网络,然后使用网 络规则、网络访问规则和发布规则来限制网络通 信在网络之间的移动 扩展了 RRAS 功能
提供数据加密 不提供数据完整性
大多数网络地址转换器( NAT,Network Address Translator)都 支持该协议
L2TP/IPSec 优点和缺 点
Windows 2000、 Windows XP、Windows Server 2003
需要证书架构或预共 享密钥
为每个数据包提供数 据完整性、数据源身 份验证、数据机密性 和重放保护
2.为远程客户端配置虚拟专用网络
VPN 客户端访问控制选项 启用和配置 VPN 客户端访问的方式 默认 VPN 客户端访问配置 配置 VPN 地址分配的方式 配置 VPN 身份验证Baidu Nhomakorabea方法 使用 RADIUS 配置身份验证的方法 为 VPN 访问配置用户账户的方法 为客户端计算机配置 VPN 连接的方法
使用 RADIUS 配置身份验证的方法
启用 RADIUS 验证和配置 RADIUS 服务器
为远程客户端和网络配置虚拟专用网 络访问
为 VPN 访问配置用户账户的方法
配置拨入和 VPN 访问权限
为远程客户端和网络配置虚拟专用网 络访问
为客户端计算机配置 VPN 连接的方法
为远程客户端和网络配置虚拟专用网 络访问
络访问
VPN 隔离控制
VPN 隔离控制:
允许 VPN 客户端计算机访问组织的网络之 前屏蔽它们 VPN 隔离客户端脚本。此脚本在客户端上 运行并检查远程访问客户端的安全配置,然 后将结果报告给 VPN 服务器 客户端通过安全配置检查,该客户端就被授 权访问组织的网络
为远程客户端和网络配置虚拟专用网 络访问
它不需要使用可逆加密来存储密码 但只有在运行需要 MS-CHAP 的早期 Microsoft 操作系统时才使用 MS-CHAP
使用双向身份验证 对于发送和接收的数据,它分别使用不同的 会话密钥来进行加密 会话密钥的生成不是完全基于用户的密码
是最安全的远程身份验证协议 在客户端和服务器都使用证书来提供双向身 份验证、数据完整性和数为据远程机客户密端性和网络配置虚拟专用网
为远程客户端和网络配置虚拟专用网 络访问
网络隔离控制的工作方式
启用了两个系统策略:
“允许到 ISA 服务器的 VPN 站点到站点的通讯” “允许来自 ISA 服务器的 VPN 站点到站点通讯”
针对远程站点网络创建网络规则
配置访问规则来控制远程站点和连接到 ISA Server 计算机的其他网络之间的通信
网络之间的开放通信。一种选项是配置分支 办事处以拥有对内部网络的完全访问权 网络之间的受控通信。在此情况下,你不希 望让分支办事处的用户具有对内部网络的完 全访问权
为远程客户端和网络配置虚拟专用网 络访问
配置远程站点 VPN 网关服务器的方法
配置远程站点 VPN 网关服务器: 1. 配置 VPN 网关使用相同的隧道协议 2. 配置到总部站点 VPN 网关的连接 3. 配置网络路由
为远程客户端和网络配置虚拟专用网 络访问
配置使用 IPSec 隧道模式的站点到站点 VPN
仅为 VPN 客户端访问启用 PPTP
一条指定 VPN 客户端网络和外部网络 之间的 NAT 关系 一条指定 VPN 客户端网络和内部网络 之间的路由关系
没有防火墙访问规则启用
启用 MS-CHAPv2 身份验证并要求对所 有 VPN 连接的进行身份验证
为远程客户端和网络配置虚拟专用网 络访问
配置 VPN 地址分配的方式
ISA Server 通过将防火墙策略应用到所有接口 来扩展安全保护的级别
为远程客户端和网络配置虚拟专用网 络访问
为远程客户端和网络配置虚拟专用网络访问
虚拟专用网络概述 为远程客户端配置虚拟专用网络 为远程站点配置虚拟专用网络 使用 ISA Server 2006 配置隔离控制
为远程客户端和网络配置虚拟专用网 络访问
添加 ISA Server 2006 可使 Windows 2000 VPN 服 务器能够强制执行 VPN 隔离策略
VPN 日志记录不仅能包括所有 VPN 远程访问 和站点到站点的连接,还能包括相关的应用 程序通信
通过站点到站点链路移动的连接设置特定于 用户/组、站点、计算机、协议和应用程序层 的较强的访问控制
为远程客户端和网络配置虚拟专用网 络访问
1.虚拟专用网络概述
虚拟专用网络 VPN 协议选项 VPN 身份验证协议选项 VPN 隔离控制 使用路由和远程访问的虚拟专用网络 使用 ISA Server 2006 的虚拟专用网络 将 ISA Server 用于虚拟专用网络的益处
为远程客户端和网络配置虚拟专用网 络访问
为远程客户端和网络配置虚拟专用网 络访问
默认 VPN 客户端访问配置
组件
系统策略规则 VPN 访问网络 VPN 协议 网络规则
防火墙访问规则 远程访问策略
缺省设置
策略规则允许从远程网络到运行 ISA Server 的计算机(本机主机网络)使用 PPTP、L2TP 或两者都使用
ISA Server 仅侦听外部网络上的 VPN 客 户端连接
为远程客户端和网络配置虚拟专用网 络访问
VPN 客户端访问控制选项
点选 VPN 节点来访问 VPN 客户端 访问控制选 项
为远程客户端和网络配置虚拟专用网 络访问
启用和配置 VPN 客户端访问的方式
启用并配置用户映射时,为 Windows 用户和组指定用户设置的防火 墙策略访问规则也适用于不使用 Windows 身份验证的已认证用
为远程客户端和网络配置虚拟专用网络访问 虚拟专用网络概述 为远程客户端配置虚拟专用网络 为远程站点配置虚拟专用网络 使用 ISA Server 2006 配置隔离控制
为远程客户端和网络配置虚拟专用网 络访问
4.使用 ISA Server 2006 配置隔离控制
网络隔离控制的工作方式 关于在 ISA Server 上启用隔离控制 准备客户端脚本的方法 使用连接管理器配置 VPN 客户端的方法 准备侦听器组件的方法 启用隔离控制的方法 配置 Internet 身份验证服务以实现隔离控制 配置隔离访问规则的方法
协议
场景
注释
IPSec 隧道 模式
L2TP over IPSec
PPTP
连接到非微软 VPN 网关
连接 ISA Server 或 Windows RRAS VPN 网关
连接 ISA Server 或 Windows RRAS VPN 网关
连接到非 Microsoft VPN 服务器 时可以使用的惟一选项。需要 证书或预共享密钥
VPN
为远程客户端和网络配置虚拟专用网 络访问
站点到站点的 VPN 访问配置组件
组件
确定要使用的隧道 协议
配置远程站点网络
配置 VPN 客户端访 问
配置网络规则和防 火墙访问规则
缺省配置
需要根据组织的安全要求和将在每个站点部 署的 VPN 网关服务器来选择适当的协议
创建远程站点网络,远程站点中的所有客户 端计算机都位于此网络中
如果决定使用 L2TP/IPSec 作为隧道 协议,你会得到配置预共享密钥的 选项,创建隧道时预共享密钥将被 用于对计算机进行身份验证
需要配置远程站点网络中所有计算 机的 IP 地址范围
为远程客户端和网络配置虚拟专用网 络访问
站点到站点 VPN 的网络和访问规则
启用站点到站点 VPN 的网络和访问规则:
配置使用 IPSec 隧道模式的站点到站点 VPN:
配置远程 VPN 网关的 IP 地址时,还必须 配置一个本地 VPN 网关的 IP 地址 创建 VPN 隧道时 IPSec 将使用的设置以及 可用来最大化 VPN 安全性的设置 将 VPN 网关配置为使用证书或预共享密钥 进行身份验证
为远程客户端和网络配置虚拟专用网 络访问
为远程客户端和网络配置虚拟专用网 络访问
配置远程站点网络的方法
配置选项
VPN 协议 远程 VPN 服务器 远程身份验证
L2TP/IPSec 身份验证 网络地址
解释
选择用来连接到该远程站点的隧道 协议
输入远程站点的 VPN 网关服务器的 服务器名称或 IP 地址
输入用户名和密码。此用户账户将 用于在目标 VPN 网关服务器上发起 连接
配置 DNS 和 WINS 服务器 使用 DHCP 或手工分配地址
配置静态分配地址或 DHCP
为远程客户端和网络配置虚拟专用网 络访问
配置 VPN 身份验证的方法
接受缺省的安全验证 配置 EAP 作为 附加安全方法
考虑到客户端兼 容情况下, 可以使用低安全选项
为远程客户端和网络配置虚拟专用网 络访问
为远程客户端和网络配置虚拟专用网络访问
虚拟专用网络概述 为远程客户端配置虚拟专用网络 为远程站点配置虚拟专用网络 使用 ISA Server 2006 配置隔离控制
为远程客户端和网络配置虚拟专用网 络访问
3.为远程站点配置虚拟专用网络
站点到站点的 VPN 访问配置组件 关于选择 VPN 隧道协议 配置远程站点网络的方法 站点到站点 VPN 的网络和访问规则 配置远程站点 VPN 网关服务器的方法 配置使用 IPSec 隧道模式的站点到站点
必须启用 VPN 客户端访问来启用站点到站 点的访问
使用访问规则或发布规则让远程办事处用户 可访问内部资源
配置远程站点 VPN 网关
配置远程站点办公室的 VPN 服务器来连接 ISA Server 和接受从 ISA Server 的连接
为远程客户端和网络配置虚拟专用网 络访问
关于选择 VPN 隧道协议
为远程客户端和网络配置虚拟专用网 络访问
将 ISA Server 用于虚拟专用网络的益处
益处
连接控制和安全性
性能
使用 Windows 2000 隔离 VPN 连接的能 力
日志记录和监视
IPSec 隧道模式站点 到站点链路的状态 检查 VPN 服务器资源的 增强保护
解释
使用防火墙访问策略控制从 VPN 客户端通过 ISA Server 2006 所发送的信息 ISA Server 2006 强化了在配置为强制执行复杂 的企业级安全性要求的情况
虚拟专用网络
ISA Server
分支机构
为远程客户端和网络配置虚拟专用网 络访问
VPN 协议选项
因素 客户端操作系 统支持 证书支持
安全性
NAT支持
PPTP 优点和缺点
Windows 2000, Windows XP、Windows Server 2003 、Windows NT Workstation 4.0、 Windows ME、 Windows 98 需要证书架构支持,仅仅支持 EAP-TLS 验证
06为远程客户端和网络 配置虚拟专用网络访问
2020/11/7
为远程客户端和网络配置虚拟专用网 络访问
上章回顾
介绍发布 配置 Web 发布 配置安全 Web 发布 配置服务器发布 配置 ISA Server 身份验证
为远程客户端和网络配置虚拟专用网 络访问
本章目标 虚拟专用网络概述 为远程客户端配置虚拟专用网络 为远程站点配置虚拟专用网络 使用 ISA Server 2006 配置隔离控制