利用網絡策略管控VPN訪問

■河南 郭建偉

搭建所需的網絡環境

在Windows Server 2008中，支持的遠程訪問協議為PPP點對點協議。當VPN客戶端連接到VPN服務器時，需要對其身份進行驗證，只有驗證成功，用戶才有權利訪問內網資源。其支持MS-CHAP v2、EAP-TLS、PEAPTLS、EAP-MS-CHAP v2等身份驗證協議。

為了保證數據傳輸的安全性，客戶端和服務器之間傳輸的數據必須經過加密。Windows Server 2008支持PPTP、L2TP/IPSec、SSTP、IKEv2等VPN協議。這里以IKEv2協議為例，來簡單說明其配置方法。

為了便于說明，本例中假設內部網絡中存在IP為192.168.3.1的域控制器，在其Active Directory數據庫中存儲著域賬戶信息，VPN客戶端將利用對應的域賬戶連接VPN服務器。在該機上同時安裝了DNS服務器，域名為xxx.com，不僅用來支持活動目錄，而且對內網和VPN客戶端提供域名服務。在域控安裝了DHCP和WINS服務器，用來給VPN客戶端分配IP，同時在指定的服務器上安裝企業根CA和IIS組件，用來頒發證書。VPN服務器需要安裝兩塊網卡，一塊連接局域網，一塊連接Internet。在其上安裝并配置好安裝遠程和路由訪問角色。

創建IKE v2VPN服務器

IKEv2協議采用的是IPSec信道模式，使用UDP 500端口，使用3DES或者AES加密數據。其利用IKE v2 MOBIKE（Mobility and Multihoming Protocol）協議提供的功能，允許移動客戶通過VPN連接內網。Windows 2008/7通過使用VPN Reconnect功能，來支持IKEv2協議。

和上述幾個VPN協議不同，借助于VPN Reconnect功能，當網絡連接中斷后，即使經過一段時間，當網絡連接恢復后，VPN連接通道會自動恢復運行，無需用戶手工重新建立VPN連接，這對于移動用戶來說是很有利的。

例如，當用戶使用筆記本電腦移動上網，在不同的環境中切換不同的無線連接后，VPN通道照樣保持連接狀態。IKEv2 VPN服務器需要向CA申請和安裝證書，雖然VPN客戶端不需要使用計算機證書。但是IKE v2 服務器使用的證書需要包含服務器驗證和IPIKE中繼證書，因為企業根CA沒有提供這些數據，需要我們手工建立對應的證書模板。

在證書頒發機構窗口左側選擇“證書模板”項，在其右鍵菜單中點擊“管理”項，在證書模板控制臺窗口右側選擇選擇某個證書（例如“IPSec”等），右擊“復制模板”項，在彈出窗口中選擇“Windows Server 2003 Enterprise”項，這是為了提高證書模板可用性。

點擊“確定”按鈕，在“證書模板→屬性→常規→模板顯示名稱”欄中輸入其名稱，例如“VPNCXL”。在“請求處理”面板中選擇“允許導出私鑰”項，在“請求者名稱”面板中選擇“在請求中提供”項，在“擴展”面板中選擇“應用程序策略”項，點擊“編輯”按鈕，在編輯應用程序策略擴展窗口中點擊“添加”按鈕，分別添加“IP安全 IKE中級”和“服務器身份驗證”項。在擴展面板中選擇“密鑰用法”項，點擊“編輯”按鈕，在彈出窗口中選擇“數字簽名”項，點擊“確定”，保存模板信息。

在證書頒發機構左側選擇“證書模板”項，在其右鍵菜單上點擊“新建→要頒發的證書模板”項，在啟用證書模板窗口中選擇上述證書模板（例如“VPNCXL”），點擊“確定”，完成所需的操作。VPN服務器必須信任由CA發放的證書，即需要將CA證書安裝到VPN服務器中。因本例中為VPN已經加入域，而與成員會自動信任企業CA，所以VPN服務器已經信任該CA。

因為IKEv2 VPN服務器需要安裝服務器身份驗證和IP安全IKE中級證書，我們已經將其包含在新建的證書模板中，所以需要向企業根CA服務器申請該證書。運行“mmc”命令，在控制臺窗口左側選擇“證書→個人”項，在其右鍵菜單上點擊“所有任務→申請新證書”項，依次點擊“下一步”，在證書注冊窗口中選擇“顯示所有模板”項，顯示所有的證書模板項目。

在其中的“VPNCXL”證書項右側“詳細信息”圖標，選擇“擴展面板→屬性→使用者→類型→公用名”項，在“值”欄中輸入VPN服務器名稱（例如vpn.xxx.com）。點擊“添加”按鈕，便于VPN客戶端利用VPN服務器網址名稱進行訪問。在證書注冊窗口中選擇“VPNCXL”項，點擊“注冊”按鈕，完成證書的申請和安裝操作。之后重啟路由和遠程訪問服務即可。

創建IKE v2VPN客戶端連接

IKEv2 VPN客戶端雖然不需要安裝證書，但是需要信任CA發放的證書。最直接的方法是在VPN服務器上打開上述證書管理控制臺界面，選擇“個人→證書”項，將VPN服務器的證書導出，得到后綴為“.pfx”的文件選擇“受信任的根證書頒發機構→證書”項，將企業CA證書導出，保存為后綴為“.cer”的文件。之后在VPN客戶機上打開證書管理控制臺界面，分別導入上述證書即可。

為了順利連接VPN服務器，需要將VPN服務器的外網卡地址解析到VPN的網址上，例如，可以在VPN客戶端使用記事本打開“C:WindowsSystem32driversetc”下的“hosts”文件，分別輸入“x.x.x.x vps.xxx.com”映射關系項目，“x.x.x.x”表示外網卡地址。“vps.xxx.com”表示VPN服務器網址，來實現簡單的域名和IP解析操作。

在客戶端打開網絡和共享中心窗口，點擊“設置新的連接或網絡”連接，選擇“連接到工作區”項，選擇“使用我的Internet連接（VPN）”項，在打開窗口中輸入VPN服務器的域名或IP地址以及目標名稱，在下一步窗口中輸入用于VPN撥入的賬戶名和密碼，在“域”欄中輸入域名，關閉配置窗口。客戶端打開在網絡和共享中心窗口中點擊“連接到網絡”項，在彈出面板中顯示所有的連接項目。

在上述VPN連接項目的右鍵菜單上點擊“屬性”項，在其屬性中的常規面板中的“目的地主機名或IP地址”欄中輸入VPN服務器的DNS域名，即vps.xxx.com。在安全面板中的“VPN類型”列表中選擇“IKEv2”項，點擊“高級設置”按鈕，在彈出窗口中的選擇“移動性”項，在“網絡中斷時間”列表中選擇具體的時間，默認為30分鐘，范圍從5分鐘到8小時。

只要網絡中斷的時間不超過該值，就會自動恢復VPN連接。點擊“確定”保存配置。之后雙擊該VPN連接項目，就可以和VPN服務器建立連接了。當連接成功后，在VPN連接項目的屬性窗口中打開“詳細信息”面板，在“設備名”欄中顯示“WAN Miniport（IKEv2）”。如果VPN客戶端沒有配置VPN主機名，沒有安裝CA證書，VPN客戶端都無法順利連接VPN服務器。

使用網絡策略，管控VPN連接

為提高安全性，VPN服務器有時需要對用戶訪問進行必要控制，例如指定用戶可以連接的時間段，讓指定組中的用戶才可以連接服務器等。

這涉及到網絡策略的配置問題，在VPN服務器上打開路由和遠程訪問窗口，在服務器名稱下選擇“遠程訪問日志與策略”項，在右鍵菜單上點擊“啟動NPS”項，在右側窗口顯示已有的網絡策略。

按照排列順序，越靠前的網絡策略擁有的優先權越高。在VPN客戶端連接VPN服務器時，系統會使用這些網絡策略對其進行檢測，檢測順序從上到下按照優先級進行，只有任意一個網絡策略出現問題，VPN服務器就會拒絕用戶的連接請求。

例如，在域控制器中打開Active Directory用戶和計算機窗口，雙擊用于VPN訪問的賬戶，在其屬性窗口中的“撥入”面板中如果選擇“通過NPS網絡策略控制訪問”項，那么在上述網絡策略列表中雙擊“到Microsoft 路由和遠程訪問服務器的連接”項，選擇“屬性→概述→拒絕訪問”項，那么客戶端是無法連接VPN服務器的。

注意，如果該賬戶使用電話撥號，可以在其屬性窗口中的“撥入”面板中選擇“驗證呼叫號”項沒輸入對應的電話號碼，如果用戶使用別的電話號碼撥入，將拒絕訪問。當然，我們可以根據需要創建新的網絡策略。例如，在網絡策略服務器窗口左側選擇“策略→網絡策略”項，在其右鍵菜單上點擊“新建”項，在向導界面中的“策略名稱”欄目中輸入策略名（例如“新的策略”），選擇“網絡訪問服務器類型”項，在列表中選擇“Remote Access Server（VPN-Dial up）”項，表示需要使用VPN進行遠程訪問。

點擊“下一步”按鈕，在指定條件窗口中點擊“添加”按鈕，在選擇條件窗口中選擇“用戶組”項，點擊“添加”按鈕，在用戶組窗口中點擊“添加組”按鈕，導入名為ycfw賬戶組。這樣，只有該組中的賬戶才可以連接VPN服務器。在選擇條件窗口中選擇“NAS端口類型”，點擊“添加”按鈕，在RAS端口類型窗口中選擇“Virtual（VPN）”項，表示只允許使用VPN連接的用戶訪問服務器。在向導界面中的“指定訪問權限”窗口中選擇“已經授予訪問權限”項，點擊“下一步”按鈕，在配置身份驗證方法窗口中選擇安全級別的身份驗證法方法。

例如，可以選擇“Microsoft加密身份驗證版本2”項，表示只允許使用該方法來自驗證用戶身份。選擇“用戶可以在密碼過期后更改密碼”項，可以用戶在密碼過期時更改密碼。在下一步的“配置約束”窗口左側選擇“日期時間限制”項，點擊“編輯”按鈕，可以在彈出窗口中設置允許訪問的時間段，其設置圖標的橫坐標為小時數，縱坐標為星期數。這樣客戶端就只能在每天規定的時間段中訪問VPN服務器，之外的時間段是禁止訪問的。

在向導界面中點擊“下一步”按鈕，在配置設置窗口左側選擇“加密”項，在右側窗口取消“無加密”項的選擇狀態，選擇“基本加密（MPPE 40位）”“加強型加密（MPPE 56位）”“最強加密（MPPE 128位）”等項，來指定VPN連接加密方式。點擊“完成”按鈕，創建該網路訪問策略。在網絡策略服務器窗口左側選擇“網絡策略”項，在右側選中上述策略項目，在其右鍵菜單上點擊“上移”項，將其移動到列表最頂端，讓其擁有最高的優先級。

這樣，當客戶端訪問VPN服務器時，必須符合該網絡策略的要求方可。

【更正】第1期“信息安全”欄目第115頁《基于ISA Server和虛擬化技術的學校網站防護》的作者更正為“山東周蓉”，特此說明。