基于ISA Server實現VPN遠程訪問

摘要:VPN虛擬專用網通過Internet建立加密的數據傳輸隧道，使網絡用戶能安全地訪問遠程局域網中的內部資源。利用ISA Server可以構建企業級的VPN服務器，設置安全的防火墻策略與遠程訪問規則，實現VPN訪問。

關鍵詞:ISA Server;VPN;策略;網絡

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)26-7402-02

VPN Remote Access Based on ISA Server

WEI Ping

(Network Center of WXSTC， Wuxi 214028， China)

Abstract: The encrypted data transmission tunnel established by The VPN Virtual Private Network over the Internet， enables users to have access to a remote local area network security internal resources. ISA Server helps to build enterprise-class VPN server， so that it can achieve remote access VPN by setting the security firewall and remote access policies.

Key words: ISA Server; VPN; policy; network

VPN(Virtual Private Network) 通過Internet建立加密的數據傳輸隧道，在公共網絡中建立虛擬的專用網絡，方

便網絡用戶安全地訪問遠程局域網中的內部資源。VPN是專用局域網絡應用的擴展，具有良好的保密性和可管理性，能夠節約遠程訪問的成本，是高性能網絡技術發展的必然趨勢。例如，在校園網中運行著許多信息系統，部分網絡資源僅限制在局域網內部發布，如教務系統、辦公系統、一卡通系統、數字圖書資源庫等，不對Internet提供訪問服務，以提高信息資源的安全性。但有些情況下，教職工用戶在家中辦公或者外地出差，也需要訪問校園網中的內部資源，這時就可以利用VPN遠程登錄到校園網，訪問內部資源。

實現VPN主要包括兩種軟硬件技術:一是采用專業硬件防火墻加嵌入VPN功能的硬件模塊，如思科、天融信等。這種方式適用于大型企業網，VPN同時在線可以達到幾千用戶數，但其價格十分昂貴、軟硬件升級不便，可擴展性較差;二是采用VPN軟件加自行配置PC服務器硬件的方式，如ISA Server、RouterOS等集成VPN的軟件。第二種方式價格低廉，可以根據網絡架構、規模的大小和VPN用戶數靈活的選配硬件，同時對操作系統自身的安全性和硬件的可靠性也提出了更高的要求。

1 ISA Server集成的VPN特性

ISA Server是美國微軟公司研發的一款網絡安全類軟件產品， 用于部署企業級防火墻、網絡應用層防護和VPN遠程訪問等。ISA Server集成了高性能的VPN 服務器，支持PPTP、L2TP/IPSEC和IPSEC隧道模式的VPN協議。通過新增的多網絡支持和對 VPN 監控狀態的檢查，可以輕松的設置虛擬專用網絡，同時又可以防止校園網受到惡意VPN 連接的威脅。ISA Server本身又是一款企業級防火墻軟件，所有預配置VPN 客戶端網絡定義的訪問策略都適用于 VPN 用戶，并且受到防火墻全局策略的控制，網絡安全級別較高。

ISA Server支持兩種模式的VPN:

1) 遠程訪問的VPN連接。ISA Server作為VPN 接入服務器，需在服務器端為VPN用戶配置訪問權限。網絡用戶在家中或者外地通過ADSL、無線上網、小區寬帶或其它方式與Internet連通，采用VPN虛擬撥號與ISA Server服務器建立連接，驗證成功后登錄到遠程內部網絡，安全的傳輸數據。

2) 端對端的VPN連接。即路由器與路由器通過Internet建立VPN專用數據傳輸隧道，將專用網絡的兩個部分安全互連。必須為遠程VPN用戶所在的整個網絡授予訪問權限，兩個遠程網絡內部的計算機可以通過VPN互訪，就好像使用本地局域網一樣方便。

2 VPN服務器的安裝與配置策略

基于ISA Server的VPN服務器部署在網絡邊緣，即Internet與局域網內部核心層的交匯處。通常采用雙網卡的服務器架構，一端連接Internet公網交換機，一端連接內網核心層交換機，如圖1。

VPN服務器的安裝和配置主要包括以下幾個步驟:

1) 構建一個安全穩定的VPN服務器操作系統平臺。

為了確保VPN運行的安全、穩定和高效，建議采用WindowsServer2003企業版作為操作系統平臺。配置高性能的多核心CPU處理器、大容量內存和雙千兆網卡的服務器硬件。同時加強服務器自身的安全性，在線升級和安裝全部補丁程序，修復已知的各種漏洞。安裝防病毒軟件，防止感染計算機病毒、各種木馬程序和有害插件等。關閉默認的硬盤共享屬性、禁用不必要的網絡服務端口，如關閉IIS的80端口、FTP的21端口、遠程桌面的3389端口等。為管理員用戶Administrator改名并設置復雜的密碼，強制采用強密碼策略，以減小詞典攻擊的可能性。取消Microsoft網絡的文件和打印機共享，僅保留Internet協議(TCP/IP)等，從整體上降低網絡入侵的風險。

2)安裝ISA Server軟件并啟用VPN服務器。

由于教職工在家中或者外地訪問校園網內部資源主要采取“遠程訪問的VPN連接”方式，所以根據網絡架構，將連接Internet公網交換機的網卡標識為WAN，連接內部核心交換機的網卡標識為LAN，并配置網絡參數。其中LAN口網卡不必設置默認網關和DNS服務器地址，以防發生路由混淆。2塊網卡的參數配置如表1。

選用ISA Server2006標準版，按照系統推薦的方式默認安裝，指定LAN口網卡標識ISA內部網絡。ISA Server安裝完成后，重新啟動操作系統。默認狀態下ISA Server的VPN功能是禁用的，首先啟用VPN 服務器并且做相關配置。進入ISA主界面，在“VPN客戶端任務”中，啟用“VPN客戶端訪問”屬性。主要設置2個選項，即“常規”一欄中的“VPN客戶端訪問”，設置允許的最大VPN客戶端數量，如設置200個VPN 客戶的同時連接數。在“協議”一欄中，啟用“可用于遠程訪問連接的隧道協議”，PPTP為遠程訪問提供一個安全的連接方式，即“啟用PPTP協議”。其它兩個欄目(組、用戶映射)保留默認設置即可。在虛擬專用網絡(VPN)屬性中，點擊“遠程訪問VPN客戶端連接”，選擇客戶端可以從中啟動到VPN服務器的連接網絡為“外部”。在地址分配中，選擇IP靜態地址池，用于ISA Server服務器通過DHCP方式為VPN撥入用戶動態分配IP地址。由于上述指定了200個VPN 客戶同時連接數，同時地址范圍一定不能與已經定義了的內部網絡和DMZ網絡重復，因此設置10.0.0.1至10.0.0.200的A類IP地址池。在“身份驗證”欄目中，選擇Microsoft加密的身份驗證版本(MS-CHAPv2)。基本配置完畢，點擊“應用”保存修改的參數。

3) 建立防火墻策略與VPN遠程訪問規則。

當 ISA 服務器處理網絡數據傳輸請求時，首先嚴格檢查網絡規則和防火墻策略，以判斷網絡傳輸的合法性。ISA Server 的多網絡訪問功能可以輕松設置網絡間的訪問規則，必須仔細規劃防火墻策略與VPN遠程訪問規則，才能實現安全的VPN訪問功能。現提供如下范例，校園網內部的核心層是192.168.0.0網段，其中IP地址192.168.0.1用于發布教務系統，192.168.0.2用于發布辦公系統，2臺服務器均通過HTTP協議標準的80端口以網頁形式發布。遠程用戶通過與ISA Server建立VPN連接后，需訪問上述2臺服務器。因此在ISA Server中建立2個計算機對象jiaowu和office，分別對應上面2個IP地址，制定防火墻策略。為了使VPN客戶端可以與內部主機互訪，可以在“協議”處指定“所有出站通訊”、“從/偵聽器”與“到”都包含“VPN客戶端”與“內部”網絡。VPN用戶撥入后，允許訪問教務系統和辦公系統的HTTP網頁，同時還可以訪問Internet。由于防火墻策略是按順序逐條匹配的，最后一條即為 ISA默認的“拒絕所有通訊”。如圖2。

4) 為VPN用戶配置撥入權限

要實現VPN網絡用戶遠程撥入，必須在ISA Server服務器上配置帳號、密碼和登錄屬性，以備驗證。在WindowsServer2003中，默認所有用戶均被拒絕撥入到VPN服務器，因此必須設置遠程訪問權限。右鍵桌面“我的電腦”圖標，選擇“管理”，在彈出的“計算機管理”對話框上展開“本地用戶和組”，然后點擊“用戶”。設管理員用戶已更名為“VPNUSER”，密碼設置為“VPNPASSWORD”。右擊“VPNUSER”用戶后選擇“屬性”，在“撥入”欄目中，為遠程訪問權限(撥入或VPN)選擇“允許訪問”即可。

3 VPN客戶端配置與遠程訪問

由于為VPN用戶提供的訪問資源限制在校園網中的192.168.0.0網段，所以VPN客戶端計算機網卡不允許設置192.168.0.0網段的IP地址。其次，如果在家中采用小型路由器上網，還需在路由器上允許VPN協議通訊。在VPN客戶端計算機點擊“開始”、“程序”、“附件”、“通訊”、“新建連接向導”，在網絡連接類型中選擇“連接到我的工作場所的網絡”并創建虛擬專用網絡連接。VPN服務器的撥號地址即為ISA Server的WAN口IP地址218.90.174.167。在彈出的連接對話框中，輸入授權的用戶名和密碼，點擊連接，經驗證成功后就可以打開IE瀏覽器訪問內部資源了。

4 結束語

利用ISA Server可以方便的架設性能穩定的VPN服務器，為遠程用戶提供VPN訪問服務，同時ISA Server還可以用于架設企業級的網絡防火墻。虛擬專用網是Internet的重要應用之一，在企業網、校園網、政務網、金融網等各類網絡中得到了廣泛的應用。在高職高專的計算機專業教育教學中，可以把VPN技術列為一門重要“高等計算機網絡”、“網絡安全”類實訓課程，對于學生理論聯系實際、提高計算機網絡的管理水平，以及積累一定的實踐經驗都有很大的幫助

參考文獻:

[1] 戴有煒.ISA Server 2006防火墻安裝與管理指南[M].北京:北京科海電子出版社，2006.

[2] 戴宗坤，唐三平.VPN與網絡安全[M].北京:電子工業出版社，2005.

[3] Lucas M.防火墻策略與VPN配置[M].北京:中國水利水電出版社，2004.

[4] 馬春光，郭方方.防火墻入侵檢測與VPN[M].北京:北京郵電大學出版社，2003.