【導讀】的著名路由級網(wǎng)絡(luò)防火墻。ISA服務(wù)器在2021年提供組織以能力鞏固從現(xiàn)代計。算的世界的盤剝和威脅的重要企業(yè)基礎(chǔ)設(shè)施的一個健壯應(yīng)用層防火墻。Server來構(gòu)建VPN，本文通過介紹VPN、搭建VPN來為大家講解VPN的使用方法，模擬網(wǎng)絡(luò)環(huán)境測試網(wǎng)絡(luò)的連通性和防火墻系統(tǒng)。

　　

【正文】 和高效，建議采用 WindowsServer2021 企業(yè)版作為操作系統(tǒng)平臺。配置高性能的多核心 CPU 處理器．、大容量內(nèi)存和雙千兆網(wǎng)卡的服務(wù)器硬件。同時加強服務(wù)器自身的安全性，在線升級和安裝全部補丁程序。 修復 各種漏洞。 安裝防病毒軟件，防止感染計算機病毒、各種木馬程序和有害插件等。關(guān)閉默認的硬盤共享屬性、禁用不必要的網(wǎng)絡(luò)服務(wù)端 LI。如關(guān)閉 IIS 的 80 端口、 FTP 的 21 端口、遠程桌面的 3389 端口等。為管理員用戶Administrator 改名并設(shè)置復雜的密碼，強制采用強密碼策略，以減小詞典攻擊的可能性。取消 Microsoft 網(wǎng)絡(luò)的文件和打印機共享，僅保留 Intemet 協(xié)議(TCP／ IP)等，從整體上降低網(wǎng)絡(luò)入侵的風險。 實驗拓撲如圖 41， Denver 是內(nèi)網(wǎng)的域控制器， DNS 服務(wù)器， CA 服務(wù)器，Beijing 是 ISA2021 服務(wù)器， Istanbul 模擬外網(wǎng)的客戶機。 圖 41 實驗拓撲圖 ISA2021 調(diào)用了 Win2021 中的路由和遠程訪問組件來實現(xiàn) VPN 功能，但我們并不需要事先對 ISA 服務(wù)器上的路由和遠程訪問進行配置， ISA2021 會自動實現(xiàn)對路由和遠程訪問的調(diào)用。我們先來看看 ISA2021 如果要實現(xiàn) VPN 功能需要進行哪些設(shè)置？ 定義 VPN 地址池 配置 VPN 服務(wù)器的第一步就是為 VPN 用戶分配一個地址范圍，這里有個誤區(qū)，很多人認為既然要讓 VPN 用戶能訪問內(nèi)網(wǎng)資源，那就給 VPN 用戶直接分基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 16 配一個內(nèi)網(wǎng)地址就行了。例 如本次實驗的內(nèi)網(wǎng)地址范圍是 － ，那 VPN 用戶的地址池就放在 － 。如果你的 VPN 服務(wù)器是用Win2021 的路由和遠程實現(xiàn)的，那這么做是可以的，路由和遠程訪問本身就只提供了 VPN 的基本功能，對地址管理并不嚴格。但這么做在 ISA 上是不可以的，因為 ISA 是基于網(wǎng)絡(luò)進行管理的！內(nèi)網(wǎng)是一個網(wǎng)絡(luò)， VPN 用戶是另一個網(wǎng)絡(luò)，兩個網(wǎng)絡(luò)的地址范圍是不能重疊的！雖然我們使用 DHCP 技術(shù)可以使 VPN 用戶也獲得內(nèi)網(wǎng)地址，但絕不推薦這么做！因為在后期的管理中我們會發(fā) 現(xiàn)，把VPN 用戶放到一個單獨的網(wǎng)絡(luò)中，對管理員實現(xiàn)精確控制是非常有利的，管理員可以單獨設(shè)定 VPN 用戶所在網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)關(guān)系，訪問策略，如果把VPN 用戶和內(nèi)網(wǎng)用戶混在一起，就享受不到這種管理的便利了。因此直接給VPN 用戶分配內(nèi)網(wǎng)地址并不可取，我們本次實驗中為 VPN 用戶設(shè)置的地址池是 － ，雖然這個地址范圍和內(nèi)網(wǎng)大不相同，但不用擔心， ISA 會自動在兩個網(wǎng)絡(luò)之間進行路由。 如 圖 42 所示，在 ISA 服務(wù)器中定位到虛擬專用網(wǎng)絡(luò)，點擊右側(cè)任務(wù)面板中的“定義地址分 配”。 圖 42 ISA Server 界面 分配地址可以使用靜態(tài)地址，也可以使用 DHCP，在此我們使用靜態(tài)地址池來為 VPN 用戶分配地址，點擊添加按鈕，為 VPN 用戶分配的地址范圍是－ ，如 圖 43 所示。 圖 43 VPN 客戶端地址池 基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 17 配置 VPN服務(wù)器 設(shè)置好了 VPN 地址池后，我們來配置 VPN 服務(wù)器的客戶端設(shè)置。如 圖 44所示，點擊虛擬專用網(wǎng)絡(luò)右側(cè)任務(wù)面板中的“配置 VPN 客戶端訪問”。在常規(guī)標簽中，我們勾選“啟用 VPN 客戶端訪問”， 同時設(shè)置允許最大的 VPN 客戶端數(shù)量為 100.，注意 VPN 客戶端的最大數(shù)量不能超過地址池中的地址數(shù)。 圖 44 VPN 最大連接數(shù) 切換到 VPN 客戶端屬性的“組”標簽，配置允許遠程訪問的域組，一般情況下，管理員會事先創(chuàng)建好一個允許遠程訪問的組，然后將 VPN 用戶加入這個組，本次實驗中我們就簡單一些，直接允許 Domain Users 組進行遠程訪問。 如圖 45 圖 45 允許訪問的用戶組 接下來選擇 VPN 使用的隧道協(xié)議，默認選擇是 PPTP 協(xié)議，我們把 L2TP也選擇上。設(shè)置完 VPN 客戶端訪問后，我 們應(yīng)重啟 ISA 服務(wù)器，讓設(shè)置生效。 重啟 ISA 服務(wù)器之后， 我們發(fā)現(xiàn) ISA 服務(wù)器的路由和遠程訪問已經(jīng)自動啟動了。 基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 18 網(wǎng)絡(luò)規(guī)則 想讓 VPN 用戶訪問內(nèi)網(wǎng)，一定要設(shè)置網(wǎng)絡(luò)規(guī)則和防火墻策略， ISA 默認已經(jīng)對網(wǎng)絡(luò)規(guī)則進行了定義，從 VPN 客戶端到內(nèi)網(wǎng)是路由關(guān)系，這意味著 VPN客戶端和內(nèi)網(wǎng)用戶互相訪問是有可能的。 防火墻策略 既然網(wǎng)絡(luò)規(guī)則已經(jīng)為 VPN 用戶訪問內(nèi)網(wǎng)開了綠燈，那我們就可以在防火墻策略中創(chuàng)建一個訪問規(guī)則允許 VPN 用戶訪問內(nèi)網(wǎng)了。當然，如果需要的話，也可以在訪問規(guī)則中允許內(nèi)網(wǎng)訪 問 VPN 用戶。 在防火墻策略中選擇新建“訪問規(guī)則”。 為訪問規(guī)則取個名字。 如：允許 VPN 用戶訪問內(nèi)網(wǎng)， 當訪問請求匹配規(guī)則時允許操作 。 此規(guī)則可以應(yīng)用到所有的通訊協(xié)議 。 規(guī)則的訪問源是 VPN 客戶端網(wǎng)絡(luò)。訪問規(guī)則的目標是內(nèi)網(wǎng)此規(guī)則適用于所有用戶。完成向?qū)?，好了，現(xiàn)在ISA 已經(jīng)允許 VPN 用戶撥入了。 用戶撥入權(quán)限 最后一步不要忘記，域用戶默認是沒有遠程撥入權(quán)限的，我們準備以域管理員的身份撥入，如下圖所示，在 Active Directory 用戶和計算機中打開administrator 的屬性，切 換到“撥入”標簽，如 圖 46 所示，設(shè)置撥入權(quán)限為“允許訪問”。 圖 46 設(shè)置撥入權(quán)限 好，至此為止， VPN 服務(wù)器已經(jīng)配置完畢了，接下來我們用客戶機來測試一下，看看能夠通過 VPN 服務(wù)器撥入內(nèi)網(wǎng)。 ISA 支持 PPTP 和 L2TP 兩種隧道協(xié)基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 19 議，今天我們在客戶機上先對 PPTP 協(xié)議進行測試。 在 Istanbul 客戶機上打開網(wǎng)上鄰居的屬性， 點擊新建連接向?qū)А? 出現(xiàn)新建連接向?qū)Вc擊下一步。 圖 47 圖 47 新建連接向?qū)Ы缑? 網(wǎng)絡(luò)連接類型選擇“連接到我的工作場所的網(wǎng)絡(luò)”。選擇創(chuàng)建“虛擬專用網(wǎng)絡(luò)連接”。 如圖 48 圖 48 網(wǎng)絡(luò)連接類型 在 VPN 連接中輸入公司名稱 。 輸入 VPN 服務(wù)器的域名或外網(wǎng) IP，此例中我們使用域名，注意此域名應(yīng)該解析到 ISA 的外網(wǎng) IP， 。選擇此連接“只是我使用”，點擊下一步后結(jié)束連接向?qū)?chuàng)建 。 雙擊執(zhí)行剛創(chuàng)建出來的VPN 連接，輸入用戶名和密碼，點擊“連接”。 輸入的用戶名和口令通過了身份驗證， VPN 連接成功，查看 VPN 連接的屬性，如 圖 49 所示，我們可以看到當前使用的隧道協(xié)議是 PPTP， VPN 客戶機分配到的 IP 地址是 ，地址池中的第一個地址總是保留給 VPN 服基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 20 務(wù)器，這個地址被成為隧道終點，也是 VPN 用戶連接內(nèi)網(wǎng)所使用的網(wǎng)關(guān)。 圖 49 VPN 連接后的信息 既然 VPN 用戶已經(jīng)通過 VPN 服務(wù)器進行了撥入，看看能否訪問內(nèi)網(wǎng)的服務(wù)器資源，如圖 410 所示，在 Istanbul 上可以成功訪問內(nèi)網(wǎng)的 Exchange 服務(wù)器， VPN 撥入成功！ 圖 410 連接成功界面 在這里 只是搭建了一個簡單的 VPN 服務(wù)器，測試了一下客戶機使用 PPTP協(xié)議進行撥入，在下面的文章中我 將以今天的環(huán)境為基礎(chǔ)，把 VPN 的應(yīng)用推向深入。 基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 21 5. 結(jié)束語 利用 ISA Server 可以方便的架設(shè)性能穩(wěn)定的 VPN 服務(wù)器，為遠程用戶提供VPN 訪問服務(wù)，同時 ISA Server 還可以用于架設(shè)企業(yè)級的網(wǎng)絡(luò)防火墻。虛擬專用網(wǎng)是 Inter 的重要應(yīng)用之一，在企業(yè)網(wǎng)、校園網(wǎng)、政務(wù)網(wǎng)、金融網(wǎng)等各類網(wǎng)絡(luò)中得到了廣泛的應(yīng)用。在高職高專的計算機專業(yè)教育教學中可以把 VPN 技術(shù)列為一門重要“高等計算機網(wǎng)絡(luò)”、“網(wǎng)絡(luò)安全”類實訓課程，對于學生理論聯(lián)系實際、提高計算機網(wǎng)絡(luò)的管理水平以及積累一定的實踐經(jīng)驗都有很大的幫助。 基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 22 致 謝 本論文是在 路老師 的親切關(guān)懷和悉心指導下完 成的。他嚴肅的 教學 態(tài)度，嚴謹?shù)闹螌W精神，精益求精的工作作風，深深地感染和 激勵著我。從課題的選擇到 論文 的最終完成， 路 老師都始終給予我細心的指導和 不懈的支持。 幾個月來， 路老師 不僅在 論文 上給我以精心指導，同時還在思想、生 活上給我以無微不至的關(guān)懷，在此謹向 路 老師致以誠摯的謝意和崇高的敬意。 在此，我還要感謝在一起愉快的度過 大學 生活的 同門，正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。 在論文即將 完成之際，我的心情無法平靜，從開始進入課題到論文的順利完成，有多少可敬的師長、同學、朋友給了我無言的幫助，在這里請接受我誠摯的謝意 !最后我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝你們 ! 基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 23 參考文獻 [1] 戴有煒 《 ISA Server 2021 防火墻的安裝和管理指南》 科學出版社 2021 年 [2] 邱昌明 《 ISA Server 網(wǎng)絡(luò)安全中的運用》 華東師范大學學報 2021, 12 [3] 邱亮 ,金悅 《 ISA 配置與管理》清華大學出版社 2021 年 [4] ISA 中文站 ISA 2021 [5] 詹自熬 。 趙玉娟 《基于 ISA 構(gòu)建安全局域網(wǎng)》鄭州經(jīng)濟管理干部學院學報 2021, 2 [6] 張德楊，高俊，張勇 《 Microsoft ISA Server 在網(wǎng)絡(luò)管理中的應(yīng)用》鄭州輕工業(yè)學院學報 2021,