1. VPN服务器的安装与配置策略
VPN服务器的安装和配置主要包括以下几个步骤:
1)构建一个安全稳定的VPN服务器操作系统平台。 为了确保VPN运行的安全、稳定和高效,建议采用WindowsServer2003企业版作 为操作系统平台。配置高性能的多核心CPU处理器.、大容量内存和双千兆网卡的服务器硬件。同时加强服务器自身的安全性,在线升级和安装全部补丁程序。修复已知的各种漏洞。安装防病毒软件,防止感染计算机病毒、各种木马程序和有害插件等。关闭默认的硬盘共享属性、禁用不必要的网络服务端。如关闭IIS的80端口、FTP的21端口、远程桌面的3389端口等。为管理员用户Administrator改名并设置复杂的密码,强制采用强密码策略,以减小词典攻击的可能性。取消Microsoft网络的文件和打印机共享,仅保留Internet协议(TCP/IP)等,从整体上降 低网络入侵的风险。
选用ISA Server2006标准版,按照系统推荐的方式默认安装。指定LAN口网卡 表1 标识ISA内部网络。ISA Server安装完成后,重新启动操作系统。默认状态下ISA Server的VPN功能是禁用的,首先启用VPN服务器并且做相关配置。进入ISA主界面,在“VPN客户端任务”中,启用“VPN客户端访问属性。主要设置2个选项,即服务器;“常规”一栏中的“VPN客户端访问”.设置允许的最大VPN客户端数量。如设置200 个VPN客户的同时连接数。在“协议”一栏中,启用“可用于远程访问连接的隧道协议”,PPTP为远程访问提供一个安全的连接方式, 即“启用TCP/IP协议”。其它两个栏目(组、用户映射)保留默认设置即可。在虚拟专用网络(VPN)属性中,点击“远程访问VPN客户端 连接”,选择客户端可以从中启动到VPN服务器的连接网络为“外部”。在地址分配中,选择IP静态地址池,用于ISA Server服务器 通过DHCP方式为VPN拨入用户动态分配IP地址。由于上述指定了200个VPN客户同时连接数,同时地址范围一定不能与已经 定义了的内部网络和DMZ网络重复.因此设置l0.0.0.1至10.0.0.200的A类IP地址池。在“身份验证”栏目中,选择Microsoft加密 的身份验证版本(MS—CHAPv2)。基本配置完毕,点击“应用”保存修改的参数。
3) 建立防火墙策略与VPN远程访问规则。 当ISA服务器处理网络数据传输请求时,首先严格检查网络规则和防火墙策略,以判断网络传输的合法性。ISA Server的多网络访问功能可以轻松设置网络间的访问规则,必须仔细规划防火墙策略与VPN远程访问规则,才能实现安全的VPN访问功能。
4)VPN用户配置拨入权限
要实现VPN网络用户远程拨入,必须在ISA Server服务器上配置账号、密码和登录属性,以备验证。在WindowsServer2003中,默认所 有用户均被拒绝拨入到VPN服务器,因此必须设置远程访问权限。右键桌面“我的电脑”图标,选择“管理”,在弹出的“计算机管理” 对话框上展开“本地用户和组”。然后点击“用户”。设管理员用户已更名为“VPNUSER”,密码设置为“VPNPASSWORD”。右击“VP- NUSER”用户后选择“属性”。在“拨入”栏目中,为远程访问权限(拨入或VPN)选择“允许访问”即可。
2、VPN客户端配置与远程访问
由于为VPN用户提供的访问资源限制在校园网中的192.168.0.0网段.所以VPN客户端计箅机网卡不允许设置192.168.0.0网段的IP地址。其次,如果在家中采用小型路由器上网,还需在路由器上允许VPN协议通讯。在VPN客户端计算机点击“开始”、“程 序”、“附件”、“通讯”、“新建连接向导”,在网络连接类型中选择“连接到我的工作场所的网络”并创建虚拟专用网络连接。VPN服务 器的拨号地址即为ISA Server的WAN口IP地址218.90.174.167。在弹出的连接对话框中,输入授权的用户名和密码,点击连接,经 验证成功后就可以打开IE浏览器访问内部资源了。
热门跟贴