返回
多图详解VPN用户隔离ISA2006

多图详解VPN用户隔离ISA2006

ID:37716690

大小:1.72 MB

页数:42页

时间:2019-05-29

多图详解VPN用户隔离ISA2006_第1页
多图详解VPN用户隔离ISA2006_第2页
多图详解VPN用户隔离ISA2006_第3页
多图详解VPN用户隔离ISA2006_第4页
多图详解VPN用户隔离ISA2006_第5页
资源描述:

《多图详解VPN用户隔离ISA2006》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、VPN隔离是ISA2006中提供的一个强大功能,也是NAP(网络访问保护)的一个重要组成环节。VPN隔离指的的是当VPN客户机通过VPN服务器的身份验证后,VPN服务器并不立即允许其访问内网,而是将VPN客户机放到一个被隔离的网络中。然后通过策略对客户机进行安全检查,例如查看VPN客户机是否安装了最新的安全补丁,是否启用了防火墙,防病毒软件是否升级到了最新版本等等。如果VPN客户机通过了安全策略的检查,VPN服务器将允许其访问内网资源;如果不能通过安全策略检查,VPN客户机将被限定在隔离网络中,无法访问内网资源,而且在隔离网络中停留一段时间后会

2、被逐出。有的企业会在隔离网络中放置一些文件服务器,用以提供杀病毒软件,系统更新补丁等,还有的可能会在隔离网络中放置Web服务器,用以提示用户为什么被隔离,接下来要进行什么操作。VPN隔离的原理如下图所示。  今天我们通过一个实验来简单介绍一下VPN隔离的功能,实验拓扑如下图所示,Denver是域控制器,Beijing是ISA2006服务器,Istanbul是外网VPN客户机。Beijing上启用了VPN隔离,当VPN客户机拨入时,VPN服务器会把VPN客户机放入隔离网络,然后检查VPN客户机的防火墙是否开启。如果开启了防火墙,那VPN客户机就能

3、通过安全检查,被允许访问内网;否则VPN客户机就将在规定时间内被逐出隔离网络。  目前我们已经在Beijing上配置了VPN服务器,VPN客户机的地址池是192.168.100.1-192.168.100.200,我们接下来要进行下列步骤。一安装隔离服务  ISA2004安装VPN隔离服务时一般是使用ResourceKits工具集中提供的VPN隔离服务的安装程序,现在由于Win2003SP1中已经集成了VPN隔离服务,因此ISA2006安装VPN隔离就非常简单了。打开控制面板中的添加或删除程序,选择添加/删除Windows组件,如下图所示,在网

4、络服务的子组件中勾选“远程访问隔离服务”,点击确定即可完成VPN隔离服务的安装。  如下图所示,我们已经在ISA服务器上安装了VPN隔离服务,这时ISA服务器会在7250端口提供一个守护进程,用来接收VPN客户机上的代理程序发来的策略检查结果,但此时的VPN隔离服务还需要对一些参数进行配置。  我们在Beijing上打开注册表编辑工具regedit.exe,定位到[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrqs],编辑“AllowedSet”。如下图所示,我们为键值赋值为“RQVersi

5、on3”。这个键值的作用相当于是一个接头暗号,当VPN客户机被隔离策略检查安全性之后,VPN客户机上的代理程序会把检查结果发往VPN服务器。VPN服务器收到VPN客户机上发来的检查结果后,要查看检查结果中附带的版本标识符是否和注册表中记录的一样,如果是相同的,那VPN服务器就认可对VPN客户机的检查结果,否则VPN服务器就会认为VPN客户机上的代理程序把检查结果发错了目标,拒绝承认检查结果。接下来我们还要添加一个注册表键值,如下图所示,我们在RQS服务中新建一个字符串值。  如下图所示,键值命名为Authenticator,内容为C:Prog

6、ramFilesMicrosoftISAServervpnplgin.dll,这个键值的作用是当VPN客户机通过了安全策略检查后,vpnplgin.dll将解除对VPN客户机的隔离。  二创建VPN隔离通告协议  ISA服务器上安装了VPN隔离服务后,在7250端口会有一个守护进程等候被隔离客户机上的代理程序传送安全策略检查的结果,但ISA的访问规则不会允许被隔离的计算机连接ISA的7250端口,因此我们需要创建访问规则允许这种访问行为。在创建访问规则前我们需要把访问7250端口的行为定义为一种协议,在ISA防火墙策略的工具箱中选择新建协议

7、,如下图所示,出现协议创建向导,我们给协议命名为“VPN隔离通告协议”,点击“下一步”继续。  如下图所示,我们定义协议使用TCP,端口是7250,方向是出站。注意,千万别认为ISA被其他计算机访问7250端口,方向应该算是入站,这是错误的!访问规则中使用的协议方向是出站,而发布规则中使用的协议方向是入站!接下来协议创建向导询问是否需要使用辅助连接,我们并不需要,点击下一步继续。  如下图所示,我们顺利完成了VPN隔离通告协议的创建。  三创建访问规则  我们创建了VPN隔离通告协议之后,接下来就可以创建访问规则允许被隔离的VPN客户机连接IS

8、A服务器的7250端口报告策略检查结果了。如下图所示,我们在ISA管理器中选择新建访问规则,我们为规则命名为“允许VPN隔离通告”,点击下一步继续。 

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。