【正文】 登錄到需要安裝 ISA Server 2021 的主機上，然后拷貝安裝程 序的主機并運行程序，出現(xiàn)如圖 31 所示 圖 31 ISA 安裝界面 單擊 [安裝 ISA Server 2021]，開始安裝 ISA Server 2021 企業(yè)版。 單擊 下一步按鈕，出現(xiàn)【客戶信息】對話框，在【用戶】、【單位】和【產(chǎn)品序列號】中輸入相關信息。在該對話框中選擇安裝方案，在此選擇【同時安裝 ISA Server 服務和配置存儲服務器】選項，如圖 32 所示。 圖 33 組件的選擇 單擊下一步 按鈕，出現(xiàn)【企業(yè)安裝選項】對話框，選擇【創(chuàng)建新 ISA 服務器企業(yè)】選項。 單擊下一步 按鈕，出現(xiàn)【內(nèi)部網(wǎng)絡】對話框，在該對話框中指定內(nèi)部網(wǎng)絡。 單擊【添加范圍】按鈕，出現(xiàn)【 IP 地址范圍屬性】對話框，在該對話框輸入公司內(nèi)部網(wǎng) 絡的地址范圍，如 ~，如圖圖 34 所示。單擊【確定】按鈕，返回【內(nèi)部網(wǎng)絡】對話框 。 單擊下一步 按鈕，出現(xiàn)【可 以安裝程序了】對話框 。 等幾分鐘以后， 單擊【完成】按鈕即可結(jié)束整個安裝過程。 (1)ISA 控制臺 在 ISA 服務器上，單擊【開始】【程序】【 Mcrosoft ISA Server】【 ISA 服務器管理】，打開如圖 35 所示 ISA 管理控制臺。 圖 36 ISA 的相關服務 基于 ISA Server 防火墻的設計和實現(xiàn) 13 4. 構(gòu)建 VPN 虛擬專用網(wǎng)（ vpn）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條 穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng) VPN 可以提供的功能 ： 防火墻功能、認證、加密、隧道化 。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。 IPSec : IPsec(縮寫 IP Security)是保 護 IP 協(xié)議安全通信的標準，它主要對IP 協(xié)議分組進行加密和認證。前者又分成兩個部分：加密分組流的封裝安全載荷（ ESP）及較少使用的認證頭（ AH），認證頭提供了對分組流的認證并保證其消息完整性，但不提供保密性。 PPTP: Point to Point Tunneling Protocol 點到點隧道協(xié)議 ， 在因特網(wǎng)上建立 IP 虛擬專用網(wǎng)（ VPN）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。它提供了可選的數(shù)據(jù)包 HMAC 功能以提高連接的安全 性。針對不同的用戶要求， VPN 有三種解決方案：遠程基于 ISA Server 防火墻的設計和實現(xiàn) 14 訪問虛擬網(wǎng)（ Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（ Intra VPN）和企業(yè)擴展虛擬網(wǎng)（ Extra VPN） ISA2021 搭建 VPN 服務器 VPN 服務器在目前的網(wǎng)絡中應用得越來越廣泛，正在成為企業(yè)網(wǎng)絡中不可或缺的角色，如何才能創(chuàng)建出自己的 VPN服務器？怎么才能管理好 VPN服務器？下面我就給 大家介紹 VPN 服務器的配置和管理，內(nèi)容包括 VPN 服務器的單點撥入，站點到站點的 VPN， VPN 用戶隔離 ， VPN 結(jié)合 Radius 驗證， VPN 接合智能卡和證書等。 VPN 是虛擬專用網(wǎng)絡的縮寫，屬于遠程訪問技術(shù)，簡單地說就是利用網(wǎng)鏈路架設似有網(wǎng)絡。怎么才能讓外地員工訪問到內(nèi)網(wǎng)資源呢？ VPN 的解決方法是在內(nèi)網(wǎng)中架設一臺 VPN 服務器， VPN 服務器有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接公網(wǎng)。為了保證數(shù)據(jù)安全， VPN 服務器和客戶機之間的通訊數(shù)據(jù)都進行了加密處理。但實際上 VPN 使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬專用網(wǎng)。有了 VPN 技術(shù)，用戶無論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用 VPN 非常方便地訪問內(nèi)網(wǎng)資源，這就是為什么 VPN在企業(yè)中應用得如此廣泛。 ISA Server 集成的 VPN特性 ISA Server 是美國微軟公司研發(fā)的一款網(wǎng)絡安全類軟件產(chǎn)品．用于部署企業(yè)級防火墻、網(wǎng)絡應用層防護和 VPN 遠程訪問等。支持 PPTP、 L2TP／ IPSEC 和 IPSEC 隧道模式的 VPN 協(xié)議。同時又可以防止校園網(wǎng)受到惡意 VPN 連接的威脅。所有預配景 VPN 客戶端網(wǎng)絡定義的訪問策略都適用于 VPN 用戶，并且受到防火墻全局策略的控制，網(wǎng)絡安全級別較高。 ISA Server 作為 VPN 接人服務器，需在服務器端為 VPN 用戶配置訪問權(quán)限。安全的傳輸數(shù)據(jù)。即路由器與路 由器通過 Inter 建立 VPN 專用數(shù)據(jù)傳輸隧道，將專用網(wǎng)絡的兩個部分安全互連。 構(gòu)建一個安全穩(wěn)定的 VPN 服務器操作系統(tǒng)平臺 為了確保 VPN 運行的安全、穩(wěn)定和高效，建議采用 WindowsServer2021 企業(yè)版作為操作系統(tǒng)平臺。同時加強服務器自身的安全性，在線升級和安裝全部補丁程序。 安裝防病毒軟件，防止感染計算機病毒、各種木馬程序和有害插件等。如關閉 IIS 的 80 端口、 FTP 的 21 端口、遠程桌面的 3389 端口等。取消 Microsoft 網(wǎng)絡的文件和打印機共享，僅保留 Intemet 協(xié)議(TCP／ IP)等，從整體上降低網(wǎng)絡入侵的風險。 圖 41 實驗拓撲圖 ISA2021 調(diào)用了 Win2021 中的路由和遠程訪問組件來實現(xiàn) VPN 功能，但我們并不需要事先對 ISA 服務器上的路由和遠程訪問進行配置， ISA2021 會自動實現(xiàn)對路由和遠程訪問的調(diào)用。例 如本次實驗的內(nèi)網(wǎng)地址范圍是 － ，那 VPN 用戶的地址池就放在 － 。但這么做在 ISA 上是不可以的，因為 ISA 是基于網(wǎng)絡進行管理的！內(nèi)網(wǎng)是一個網(wǎng)絡， VPN 用戶是另一個網(wǎng)絡，兩個網(wǎng)絡的地址范圍是不能重疊的！雖然我們使用 DHCP 技術(shù)可以使 VPN 用戶也獲得內(nèi)網(wǎng)地址，但絕不推薦這么做！因為在后期的管理中我們會發(fā) 現(xiàn)，把VPN 用戶放到一個單獨的網(wǎng)絡中，對管理員實現(xiàn)精確控制是非常有利的，管理員可以單獨設定 VPN 用戶所在網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡關系，訪問策略，如果把VPN 用戶和內(nèi)網(wǎng)用戶混在一起，就享受不到這種管理的便利了。 如 圖 42 所示，在 ISA 服務器中定位到虛擬專用網(wǎng)絡，點擊右側(cè)任務面板中的“定義地址分 配”。 圖 43 VPN 客戶端地址池 基于 ISA Server 防火墻的設計和實現(xiàn) 17 配置 VPN服務器 設置好了 VPN 地址池后，我們來配置 VPN 服務器的客戶端設置。在常規(guī)標簽中，我們勾選“啟用 VPN 客戶端訪問”， 同時設置允許最大的 VPN 客戶端數(shù)量為 100.，注意 VPN 客戶端的最大數(shù)量不能超過地址池中的地址數(shù)。 如圖 45 圖 45 允許訪問的用戶組 接下來選擇 VPN 使用的隧道協(xié)議，默認選擇是 PPTP 協(xié)議，我們把 L2TP也選擇上。 重啟 ISA 服務器之后， 我們發(fā)現(xiàn) ISA 服務器的路由和遠程訪問已經(jīng)自動啟動了。 防火墻策略 既然網(wǎng)絡規(guī)則已經(jīng)為 VPN 用戶訪問內(nèi)網(wǎng)開了綠燈，那我們就可以在防火墻策略中創(chuàng)建一個訪問規(guī)則允許 VPN 用戶訪問內(nèi)網(wǎng)了。 在防火墻策略中選擇新建“訪問規(guī)則”。 如：允許 VPN 用戶訪問內(nèi)網(wǎng)， 當訪問請求匹配規(guī)則時允許操作 。 規(guī)則的訪問源是 VPN 客戶端網(wǎng)絡。完成向?qū)В昧?，現(xiàn)在ISA 已經(jīng)允許 VPN 用戶撥入了。 圖 46 設置撥入權(quán)限 好，至此為止， VPN 服務器已經(jīng)配置完畢了，接下來我們用客戶機來測試一下，看看能夠通過 VPN 服務器撥入內(nèi)網(wǎng)。 在 Istanbul 客戶機上打開網(wǎng)上鄰居的屬性， 點擊新建連接向?qū)А?圖 47 圖 47 新建連接向?qū)Ы缑? 網(wǎng)絡連接類型選擇“連接到我的工作場所的網(wǎng)絡”。 如圖 48 圖 48 網(wǎng)絡連接類型 在 VPN 連接中輸入公司名稱 。選擇此連接“只是我使用”，點擊下一步后結(jié)束連接向?qū)?chuàng)建 。 輸入的用戶名和口令通過了身份驗證， VPN 連接成功，查看 VPN 連接的屬性，如 圖 49 所示，我們可以看到當前使用的隧道協(xié)議是 PPTP， VPN 客戶機分配到的 IP 地址是 ，地址池中的第一個地址總是保留給 VPN 服基于 ISA Server 防火墻的設計和實現(xiàn) 20 務器，這個地址被成為隧道終點，也是 VPN 用戶連接內(nèi)網(wǎng)所使用的網(wǎng)關。 基于 ISA Server 防火墻的設計和實現(xiàn) 21 5. 結(jié)束語 利用 ISA Server 可以方便的架設性能穩(wěn)定的 VPN 服務器，為遠程用戶提供VPN 訪問服務，同時 ISA Server 還可以用于架設企業(yè)級的網(wǎng)絡防火墻。在高職高專的計算機專業(yè)教育教學中可以把 VPN 技術(shù)列為一門重要“高等計算機網(wǎng)絡”、“網(wǎng)絡安全”類實訓課程，對于學生理論聯(lián)系實際、提高計算機網(wǎng)絡的管理水平以及積累一定的實踐經(jīng)驗都有很大的幫助。他嚴肅的 教學 態(tài)度，嚴謹?shù)闹螌W精神，精益求精的工作作風，深深地感染和 激勵著我。 幾個月來， 路老師 不僅在 論文 上給我以精心指導，同時還在思想、生 活上給我以無微不至的關懷，在此謹向 路 老師致以誠摯的謝意和崇高的敬意。 在論文即將 完成之際，我的心情無法平靜，從開始進入課題到論文的順利完成，有多少可敬的師長、同學、朋友給了我無言的幫助，在這里請接受我誠摯的謝意 !最后我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝你們 ! 基于 ISA Server 防火墻的設計和實現(xiàn) 23 參考文獻 [1] 戴有煒 《 ISA Server 2021 防火墻的安裝和管理指南》 科學出版社 2021 年 [2] 邱昌明 《 ISA Server 網(wǎng)絡安全中的運用》 華東師范大學學報 2021, 12 [3] 邱亮 ,金悅 《 ISA 配置與管理》清華大學出版社 2021 年 [4] ISA 中文站 ISA 2021 [5]