Windows 系统安全与防护.ppt

Windows系统安全及防护,网络攻击与防疫,程伟根，Touch(),Ncu.edu.Software college.labs 2010,用ISA2006搭建 VPN 服务器,VPN服务器在目前的网络中应用得越来越广泛，正在成为企业网络中不可或缺的角色，如何才能创建出自己的 VPN服务器？怎么才能管理好 VPN服务器？,今天先就为大家介绍一下如何利用 ISA2006 来搭建一个自己的 VPN服务器。,用ISA2006搭建 VPN 服务器,VPN是虚拟专用网络的缩写，属于远程访问技术，简单地说就是利用公网链路架设似有网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。VPN的解决方法是在内网中架设一台 VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到 VPN服务器，然后利用 VPN服务器作为跳板进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。,怎么才能让外地员工访问到内网资源呢？,用ISA2006搭建 VPN 服务器,有了数据加密，我们可以认为数据是在一条专用的数据链路上进行安全传输，就好像我们专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。这下你肯定明白了，VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。,有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用 VPN非常方便地访问内网资源，这就是为什么 VPN在企业中应用得如此广泛。,用ISA2006搭建 VPN 服务器,验拓扑图如，Denver 是内网的域控制器，DNS 服务器，CA 服务器或DC服务器，Beijing是 ISA2006 服务器，Istanbul 模拟外网的客户机。,用ISA2006搭建 VPN 服务器,ISA2006 调用了 Win2003 中的路由和远程访问组件来实现 VPN功能，但我们并不需要事先对 ISA 服务器上的路由和远程访问进行配置，ISA2006 会自动实现对路由和远程访问的调用。我们先来看看 ISA2006 如果要实现 VPN功能需要进行哪些设置？,一 定义VPN地址池,配置 VPN服务器的第一步就是为 VPN用户分配一个地址范围,这里有个误区，很多人认为既然要让 VPN用户能访问内网资源，那就给 VPN用户直接分配一个内网地址就行了。,本次实验的内网地址范围是 10.1.1.110.1.1.254，那 VPN用户的地址池就放在 10.1.1.10010.1.1.150 吧。如果你的 VPN服务器是用 Win2003 的路由和远程实现的，那这么做是可以的，路由和远程访问本身就只提供了VPN的基本功能，对地址管理并不严格。,但这么做在 ISA 上是不可以的，因为 ISA 是基于网络进行管理的！内网是一个网络，VPN用户是另一个网络，两个网络的地址范围是不能重叠的！,用ISA2006搭建 VPN 服务器,虽然我们使用 DHCP 技术可以使VPN用户也获得内网地址，但绝不推荐这么做！因为在后期的管理中我们会发现，把 VPN用户放到一个单独的网络中，对管理员实现精确控制是非常有利的，管理员可以单独设定 VPN用户所在网络与其他网络的网络关系，访问策略，如果把 VPN用户和内网用户混在一起，就享受不到这种管理的便利了。,因此直接给 VPN用户分配内网地址并不可取，我们本次实验中为 VPN用户设置的地址池是 192.168.100.1192.168.100.200，虽然这个地址范围和内网大不相同，但不用担心，ISA 会自动在两个网络之间进行路由。,用ISA2006搭建 VPN 服务器,下图所示，在 ISA 服务器中定位到虚拟专用网络，点击右侧任务面板中的“定义地址分配”。,用ISA2006搭建 VPN 服务器,配地址可以使用静态地址，也可以使用DHCP，在此我们使用静态地址池来为 VPN用户分配地址，点击添加按钮，为 VPN用户分配的地址范围是 192.168.100.1192.168.100.200，如下图所示。,二 配置VPN服务器,如下图所示，点击虚拟专用网络右侧任务面板中的“配置 VPN客户端访问”。在常规标签中，我们勾选“启用 VPN客户端访问”，同时设置允许最大的 VPN客户端数量为 100，注意 VPN客户端的最大数量不能超过地址池中的地址数。,置好了 VPN地址池后，我们来配置 VPN服务器的客户端设置。,用ISA2006搭建 VPN 服务器,换到 VPN客户端属性的“组”标签，配置允许远程访问的域组。一般情况下，管理员会事先创建好一个允许远程访问的组，然后将VPN用户加入这个组，本次实验中我们就简单一些，直接允许 Domain Users 组进行远程访问。,用ISA2006搭建 VPN 服务器,接下来选择 VPN 使用的隧道协议，默认选择是 PPTP 协议，我们把 L2TP 也选择上。设置完 VPN客户端访问后，我们应重启 ISA 服务器，让设置生效。,用ISA2006搭建 VPN 服务器,重启 ISA 服务器之后，如下图所示，我们发现 ISA 服务器的路由和远程访问已经自动启动了。,三 网络规则,想让 VPN用户访问内网，一定要设置网络规则和防火墙策略，ISA 默认已经对网络规则进行了定义，如下图所示，从 VPN客户端到内网是路由关系，这意味着VPN客户端和内网用户互相访问是有可能的。,四 防火墙策略,网络规则已经为 VPN用户访问内网开了绿灯，那我们就可以在防火墙策略中创建一个访问规则允许 VPN用户访问内网了。当然，如果需要的话，也可以在访问规则中允许内网访问 VPN用户。如下图所示，在防火墙策略中选择新建“访问规则”。,用ISA2006搭建 VPN 服务器,访问规则取个名字。,用ISA2006搭建 VPN 服务器,访问请求匹配规则时允许操作。,用ISA2006搭建 VPN 服务器,此规则可以应用到所有的通讯协议。,用ISA2006搭建 VPN 服务器,规则的访问源是 VPN客户端网络。,用ISA2006搭建 VPN 服务器,问规则的目标是内网。,用ISA2006搭建 VPN 服务器,规则适用于所有用户。,用ISA2006搭建 VPN 服务器,完成向导，好了，现在 ISA 已经允许 VPN用户拨入了。,五 用户拨入权限,最后一步不要忘记，域用户默认是没有远程拨入权限的，我们准备以域管理员的身份拨入，如下图所示，在 Active Directory用户和计算机中打开 administrator 的属性，切换到“拨入”标签，如下图所示，设置拨入权限为“允许访问”。,用ISA2006搭建 VPN 服务器,至此为止，VPN服务器已经配置完毕了，接下来我们用客户机来测试一下，看看能够通过 VPN服务器拨入内网。,今天我们在客户机上先对 PPTP 协议进行测试。,在 Istanbul 客户机上打开网上邻居的属性，如下图所示，点击新建连接向导。,用ISA2006搭建 VPN 服务器,网络连接类型选择“连接到我的工作场所的网络”。,现新建连接向导，点击下一步。,用ISA2006搭建 VPN 服务器,择创建“虚拟专用网络连接”。,在 VPN连接中输入公司名称。,输入 VPN服务器的域名或外网 IP，此例中我们使用域名，注意此域名应该解析到 ISA的外网 IP，192.168.1.254.。,择此连接“只是我使用”，点击下一步后结束连接向导创建。,双击执行刚创建出来的 VPN连接，如下图所示，输入用户名和密码，点击“连接”。,输入的用户名和口令通过了身份验证，VPN连接成功，查看 VPN连接的属性，如图所示，我们可以看到当前使用的隧道协议是 PPTP，VPN客户机分配到的 IP 地址是192.168.100.4，地址池中的第一个地址总是保留给 VPN服务器，这个地址被成为隧道终点，也是 VPN用户连接内网所使用的网关。,既然 VPN用户已经通过 VPN服务器进行了拨入，看看能否访问内网的服务器资源，如下图所示，在 Istanbul 上可以成功访问内网的 Exchange 服务器，VPN拨入成功！,这节课结束！开始动手做。,