返回
ISAServe200vpn客户端隔离策略详解

ISAServe200vpn客户端隔离策略详解

ID:46611932

大小:66.50 KB

页数:3页

时间:2019-11-26

ISAServe200vpn客户端隔离策略详解_第1页
ISAServe200vpn客户端隔离策略详解_第2页
ISAServe200vpn客户端隔离策略详解_第3页
资源描述:

《ISAServe200vpn客户端隔离策略详解》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ISAServe200vpn客户端隔离策略详解ISAServe200vpn客户端隔离策略详解VPN隔离是ISA2006屮提供的一个强大功能,也是NAP(网络访问保护)的一个重要组成环节。VPN隔离指的的是当VPN客户机通过VPN服务器的身份验证后,VPN服务器并不立即允许其访问内网,而是将VPN客户机放到一个被隔离的网络中。然后通过策略对客户机进行安全检查,例如查看VPN客户机是否安装了最新的安全补丁,是否启用了防火墙,防病毒软件是否升级到了最新版木等等。如果VPN客户机通过了安全策略的检查,VPN服务器将允许其访问内网资源;

2、如果不能通过安全策略检査,VPN客户机将被限定在隔离网络中,无法访问内网资源,而且在隔离网络中停留一段时间后会被逐出。冇的企业会在隔离网络中放置一些文件服务器,用以提供杀病毒软件,系统更新补丁等,还有的可能会在隔离网络中放置Web服务器,用以提示用户为什么被隔离,接下來要进行什么操作。VPN隔离的原理如下图所示。一安装隔离服务ISA2004安装VPN隔离服务时一般是使用ResourceKits工具集屮提供的VPN隔离服务的安装程序,现在由于Win2003SP1中已经集成了VPN隔离服务,因此ISA2006安装VPN隔离就非常简

3、单了。打开控制而板中的添加或删除程序,选择添加/删除Windows组件,如下图所示,在网络服务的子组件中勾选“远程访问隔离服务”,点击确定即对完成VPN隔离服务的安装。如卜•图所示,我们已经在ISA服务器上安装了VPN隔离服务,这时ISA服务器会在7250端口提供一个守护进程,用來接收VPN客户机上的代理程序发來的策略检查结果,但此时的VPN隔离服务还需要对一些参数进行配置我们在Beijing上打开注册表编辑工具regedit,exe,定位到[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetS

4、ervicesrqs],编辑"AllowedSet”。如下图亦示,義们为键值赋值为“RQVersion3”。这个键值的作用相当于是一个接头暗号,当VPN客户机被隔离策略检查安全性Z后,VPN客户机上的代理程序会把检查结果发往VPN服务器。VPN服务器收到VPN客户机上发來的检查结果后,耍查看检查结果中附带的版本标识符是否和注册表中记录的一样,如呆是相同的,那VPN服务器就认可对VPN客戸机的检查结果,否则VPN服务器就会认为VPN客户机上的代理程序把检查结果发错了冃标,拒绝承认检杳结果。接卜•来我们还要添加一个注册表键值,如卜

5、•图所示,我们在RQS服务中新建一个字符串值。如下图所示,键值命名为Authenticator,内容为C:ProgramFilesMicrosoftISAServervpnplgin.dll,这个键值的作用是当VPN客户机通过了安全策略检查后,vpnplgin.dll将解除对VPN客户机的隔离。二创建VPN隔离通告协议ISA服务器上安装了VPN隔离服务后,在7250端口会有一个守护进程等候被隔离客户机上的代理程序传送安全策略检杳的结果,但ISA的访问规则不会允许被隔离的计算机连接ISA的7250端口,因此我们需要创建访问规则允

6、许这种访问行为。在创建访问规则前我们需要把访问7250端口的行为定义为一种协议,在ISA防火墙策略的工具箱中选杼新建协议,如下图所示,出现协议创建向导,我们给协议命名为“VPN隔离通告协议”,点击“下一步”继续。如下图所示,我们定义协议使用TCP,端口是7250,方向是出站。注意,T万别认为ISA被英他计算机访问7250端口,方向应该算是入站,这是错谋的!访问规则屮使用的协议方向是出站,而发布规则中使用的协议方向是入站!接下來协议创建向导询问是否需要使用辅助连接,我们并不需要,点击下一步继续。如下图所示,我们顺利完成了VPN隔

7、离通告协议的创建。三创建访问规则我们创建了VPN隔离通告协议Z后,接下来就可以创建访问规则允许被隔离的VPN客户机连接ISA服务器的7250端口报告策略检查结果了。如下图所示,我们在ISA管理器中选择新建访问规则,我们为规则命名为“允许VPN隔离通告”,点击下一步继续。当访问请求满足规则条件时允许操作。规则中只允许使用我们创建的VPN隔离通告协议。规则的访问源是“被隔离的VPN客户端”,这也是ISA中预设的一个网络四启用VPN隔离接下来我们可以在ISA服务器上启用VPN隔离了,如下图所示,我们在ISA的网络中找到“被隔离的VP

8、N客户端”,点击右键查看属性。我们在属性中切换到“隔离标签”,如下图所示,勾选“启用隔离控制”,选择按照ISA服务器策略进行隔KVPN客户端,并设定用户在60秒内如果不能被解除隔离,就将被ISA服务器中断连接。至此,我们在ISA服务器上启用了VPN隔离服务,接下來我们启动VP

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。