使用ISA Server 配置VPN远程访问

使用ISA Server配置VPN远程访问

在本文中，我将介绍如何使用 Internet Security and Acceleration (ISA) Server 2006 来实施 VPN，重点讲解如何使用 ISA VPN 功能实现两种常见的方案…… 虚拟专用网络 (VPN) 具有高级别的适应性和可伸缩性，并可以通过网络连接进行控制。除了增强安全性外，它们还可以大大节约传统的专用点对点连接的成本。它们还非常灵活。

VPN 有多种类型。有些用于将移动用户连接到企业网络;有些用于连接两个分别位于不同地理位置的网络。不同 VPN 使用的协议以及所提供的功能各不相同。有些提供安全功能(如身份验证和加密)，而其他 VPN 可能根本不提供内置安全功能。显然，有些 VPN 要比其他 VPN 更易于设置和管理。

在本文中，我将介绍如何使用 Internet Security and Acceleration (ISA) Server 2006 来实施 VPN，重点讲解如何使用 ISA VPN 功能实现两种常见的方案：一种用来为用户提供 VPN 远程访问连接，另一种用来提供点对点 VPN 连接。这两种实施方案均包括安全功能，以确保数据隐私并保护内部网络资源。

在第一种方案(即远程访问 VPN 连接)中，远程客户端通过 Internet 启动与您的 ISA 服务器的 VPN 连接。然后，ISA 服务器将远程客户端连接到您的内部网络，从而为用户提供对内部网络资源(包括数据和应用程序)的无缝访问权限。在第二种方案(即点对点 VPN 连接)中，由于要用到路由器(可能是 ISA 本身)，因此略为复杂。但此连接类型提供了将不同办公室或分支机构无缝连接到另一办公室或中央办公室的功能。

使用 ISA Server 2006 实施 VPN 还可以获得多个其他好处。最显著的好处之一在于 ISA Server 的集成特性，这就意味着 VPN 功能和防火墙功能可以协同工作。此外，ISA 服务器提供了 VPN 隔离功能，该功能在远程访问计算机的配置经过服务器端脚本验证之前，利用 Windows Server? 2003 的网络访问隔离控制功能对该远程访问计算机进

行隔离。通过在允许远程计算机访问您的内部网络资源之前检查该远程计算机上的防病毒定义状态和本地防火墙策略等事项，这可以增加额外的一层保护。

ISA 服务器作为 VPN 解决方案提供的主要管理优势包括可以对策略、监视、登录和报告进行集中管理。对于您的日常管理职责，这些功能无疑是无价之宝。尤其是实时监视和日志筛选功能可使您深入了解通过 ISA 服务器的网络流量和连接。

VPN 协议

ISA VPN 连接中使用的核心隧道协议提供了保护连接的第一道防线。ISA 服务器支持以下三种协议 — IPsec 上的第 2 层隧道协议 (L2TP)、点对点隧道协议 (PPTP) 和 IPsec 隧道模式。最后一种协议仅受点对点连接支持，主要用于与路由器以及其他不支持 L2TP 或 PPTP 的操作系统之间的互操作性。

由于 L2TP 自身不提供数据隐私机制，因此 L2TP 要与 IPsec 结合使用。由于Ipsec能够提供可靠的身份验证和加密方法，因此结合使用 L2TP 与 IPsec 可提供颇有吸引力的解决方案。PPTP 使用 Microsoft? 质询握手身份验证协议 (MS CHAP) 版本 2 或可扩展的身份验证协议-传输层安全性 (EAP-TLS) 进行身份验证，使用 Microsoft 点对点加密 (MPPE) 进行加密(如您所料)。

一个组织选择 IPsec 上的 L2TP 还是 PPTP 通常取决于该组织的具体情况。IPsec 上的 L2TP 允许您使用更复杂更先进的加密方法，并支持更多的网络类型(包括 IP、X.25、帧中继和 ATM);而 PPTP 更易于实施，并且通常要求也更少。也就是说，在不存在组织限制的情况下，建议最好使用Ipsec上的 L2TP。

点对点 VPN 连接

ISA Server 2006 在简化建立点对点 VPN 连接方面取得了重大进步。在早期版本中，建立点对点 VPN 的步骤非常多。对于此示例，我将讨论使用 IPsec 上的 L2TP 连接到

中央办公室的一个远程站点(在这两个位置都安装了 ISA 服务器)。此过程要求在配置远程站点之前先配置中央办公室 ISA 服务器。

此过程的第一步是配置两个 ISA 服务器都需要的本地用户帐户。此用户身份将提供安全环境，在此环境下将建立与远程 ISA 服务器或主 ISA 服务器的连接。此帐户名称应与在 ISA 管理控制台内创建的 VPN 连接的名称相匹配。例如，有效的命名约定是在位于总部(指向远程站点)的 ISA 服务器上设置用户名“Site VPN”，在远程 ISA 服务器上设置用户名“HQ VPN”。创建这些帐户后，需要访问帐户属性，打开“拨入”选项卡，确保选中了“允许访问”选项。

创建本地用户帐户后，接下来要创建公钥基础结构 (PKI) 证书，用于在两个站点之间进行身份验证。您可以选择使用预共享的密钥，但使用证书一般是首选方法。为 VPN 连接安装证书的最简单方法是通过证书服务器的网站直接连接到自己的企业证书颁发机构，然后申请一个证书。但若要执行此操作，您可能需要创建一个访问规则，以允许 ISA 服务器通过 HTTP 连接到证书服务器。

如果您非常熟悉 ISA 服务器的早期版本，则会发现 ISA Server 2006 的界面(如图 1 所示)要直观得多。在左窗格中选择 VPN 后，中间窗格和右窗格中会显示上下文相关的配置和任务选项。

图 1 ISA Server 2006 具有更直观的界面 (单击该图像获得较大视图)

单击右窗格中的“创建 VPN 点对点连接”任务启动点对点 VPN 向导。向导启动后，将要求您填写点对点网络名称;此名称应与您先前创建的用户帐户名称匹配。输入名称后，按“下一步”按钮。在接下来的屏幕(参见图 2)中，选择要使用的 VPN 协议，在本示例中为Ipsec上的 L2TP。按“下一步”，向导将警告您必须使用与网络名称匹配的用户帐户，如果您已非常谨慎地执行了此操作，按“确定”转到下一屏幕。

图 2 选择要使用的 VPN 协议 (单击该图像获得较大视图)