创建基于PPTP的站点到站点VPN连接:ISA2006系列之二十五
构建基于PPTP的站点到站点的VPN连接
在前面的博文中,我们已经介绍了如何用ISA2006创建VPN服务器,以及远程用户如何利用VPN服务器拨入内网。如果是个别用户在家办公或出差在外,用前文提到的VPN解决方案是可以圆满解决的。但如果是一群用户有互相访问的需求,例如某公司总部和分公司需要互相访问,那用VPN远程拨入的方式就显得效率不高了。试想一下,公司总部500人,分公司300人,如果要互相访问,800人都要拨叫对方的VPN服务器,这显然不是一个好的解决方案。 今天我们提供一种站点到站点的VPN解决方案,可以很好地解决这个问题。我们引入下面的拓扑图来说明这个方案的构思,某公司北京总部的内网IP范围是10.1.1.0,天津分公司的内网IP范围是10.2.1.0。北京分公司使用一台ISA服务器连接到互联网,天津分公司也使用一台ISA2006连到公网。站点到站点的VPN指的是在两个公司的ISA服务器上配置好VPN的拨入拨出参数,确保两个ISA服务器既可以拨叫对方的VPN服务器,也可以接受对方VPN服务器的拨叫。这样一来用户只要把默认网关指向自己的ISA服务器,就可以不用拨叫对方公司的VPN服务器了,全部由ISA代劳了。例如北京公司的Denver要访问天津公司的Istanbul,Denver只要把访问Istanbul的请求提交给自己的默认网关-Beijing,剩下的事就不用管了,Beijing会自动拨叫天津公司的ISA服务器Tianjin,然后在两个ISA服务器之间创建完成VPN隧道,接下来Denver的访问请求就被Beijing通过VPN隧道路由到天津公司的Istanbul上了。你看,这样一来两个公司员工互访时就很方便了,只要把网关指向自己的ISA服务器,然后就可以透明地访问对方公司的内网,效率是不是有很大的提高呢?
391
ISA2006系列攻略
创建站点间的VPN需要在两个VPN服务器上都进行设置,两个ISA服务器上的操作具有对称性,我们先以Beijing上的操作为例进行详细讲解,目前Beijing已做了下列准备:
1、 防火墙策略中允许内网和本地主机任意访问。 2、 启用了VPN,允许使用PPTP和L2TP。
3、 VPN地址池的范围是192.168.100.1-192.168.100.200。
一 创建远程站点
创建远程站点是部署站点间VPN最重要的一步,远程站点其实是一个自定义的远程网络,具体到Beijing,其实就是要把天津分公司的内网10.2.1.0定义为一个远程网络。为什么需要把对方公司的内网定义成一个新的网络呢?因为我们知道网络是ISA进行访问控制的基本管理单元,ISA考察一个访问请求时首先要考虑源网络和目标网络的网络规则。如果不定义远程网络,天津分公司对Beijing来说属于外网范畴,而内网到外网的网络规则是NAT,因此Beijing不会允许从天津的Istanbul访问北京的Denver。这就是我们为什么要把天津公司的内网定义为一个新的网络,只有这样我们才可以重新定义北京内网和天津内网的网络规则,进而制定出符合要求的防火墙策略。
创建远程站点还涉及到创建VPN隧道的参数设定,例如Beijing把天津分公司的内网定义为远程网络,那Beijing上就必须定义好连接这个远程网络要通过哪个VPN服务器,两个VPN服务器使用哪种协议,如何进行身份验证等,下面我们就来具体看看如何在Beijing上创建远程站点。
在Beijing上打开ISA管理器,切换到虚拟专用网络,如下图所示,在“远程站点”标签下选择“创建VPN点对点连接”。
392
ISA2006系列攻略
出现创建VPN点对点连接向导,其实就是远程站点的创建向导,首先我们要为远程站点起个名字,如下图所示,我们为远程站点命名为Tianjin。这个远程站点的名字可不是随便取的,后面我们会知道ISA服务器上必须创建一个和远程站点同名的用户。
393
ISA2006系列攻略
接下来要选择VPN站点间连接要使用的协议,如果两个VPN服务器都是ISA,那可以选择PPTP或L2TP,如果是ISA和硬件VPN组成站点间连接,那应该选择IPSEC。在这个实验中我们选择使用PPTP作为站点间VPN使用的隧道协议。
如下图所示,系统会弹出一个对话框提示你在ISA服务器上必须有一个和远程站点同名的用户,而且用户必须有拨入权限。也就是说Beijing创建了一个远程站点Tianjin后,Beijing服务器上必须有一个名为Tianjian的具有远程拨入权限的用户。如果Beijing隶属于域,那么Tianjin这个用户也可以在域控制器上创建。创建出的这个用户是为天津公司的VPN服务器拨叫北京公司的VPN服务器准备的,天津公司的用户通过他们的VPN服务器拨叫北京的VPN服务器时,如果天津用户源于tianjin这个远程网络,那天津的VPN服务器必须使用tianjin作为用户名进行身份验证。由于微软这么一个奇怪的规定,我们必须在北京的ISA服务器上准备好tianjin这个用户。
接下来要填写远程站点的VPN服务器的IP地址或域名,天津的VPN服务器IP是192.168.1.8。
394
ISA2006系列攻略
下面设定的是beijing拨叫天津的VPN服务器时进行身份验证的凭据,显然,tianjin上也要有个名为beijing的用户,在后续的操作中我们会在tianjin上创建这个用户。
接下来我们要定义远程站点的IP地址范围,如下图所示,远程站点的地址范围是10.2.1.0-10.2.1.255。
395
ISA2006系列攻略
接下来VPN创建向导建议创建一个网络规则,从远程站点到内网,网络规则是路由关系。这个提示很人性化,是ISA2006比ISA2004改进的地方。
创建完网络规则后,向导又很贴心地建议我们创建一条访问规则,允许内网和远程站点互相访问。
396
ISA2006系列攻略
点击完成结束VPN创建向导。
向导结束后再次提示我们要创建一个名为Tianjin的用户,而且要允许远程访问。
397
ISA2006系列攻略
远程站点创建完毕后,如下图所示,我们发现在向导的指引下,远程站点到内网的网络规则已经被创建了,而且网络关系是路由。
如下图所示,向导还帮助我们创建了访问规则,允许远程站点和内网互相访问。
398
ISA2006系列攻略
如下图所示,向导还在路由和远程访问中创建了请求式拨号,当北京公司要访问天津公司时,Beijing会自动拨叫天津的VPN服务器,创建出VPN隧道,供用户访问使用。
399
ISA2006系列攻略
二 创建与远程站点同名的用户
最后不要忘记创建与远程站点同名的用户,如果Beijing加入域,那么既可以在Beijing服务器上创建这个用户,也可以在域控制器上创建这个用户。由于本例中Beijing和Tianjin两个ISA服务器都在工作组中,因此我们只能在ISA服务器上创建这个远程访问用户了。如下图所示,在Beijing的计算机管理工具中选择新建一个名为Tianjin的用户。
用户创建完毕后不要忘记用户的远程访问权限,如下图所示,在用户属性的拨入标签中将用户的远程访问权限设为允许访问。
400
ISA2006系列攻略
OK,至此我们完成了在Beijing上的设置,总结如下: 1、 将天津分公司的内网定义成远程站点 2、 创建远程站点和内网的网络规则 3、 创建远程站点和内网的访问规则 4、 创建与远程站点同名的用户
接下来轮到Tianjin服务器了,Tianjin上同样已进行了如下准备: 1、 允许内网和本地主机任意访问 2、 启用VPN
3、 VPN地址池的范围是192.168.200.1-192.168.200.200
一 创建远程站点
Tianjian服务器上的设置基本和Beijing完全对称,首先仍然是需要创建远程站点。如下图所示,在Tianjin的ISA管理器中选择“创建VPN点对点连接”。
为远程站点命名为Beijing。
401
ISA2006系列攻略
站点间VPN连接使用的协议是PPTP,Tianjin选择的VPN协议要和Beijing完全一致。
连接到远程站点,需要经过192.168.1.254-北京公司的VPN服务器。
402
ISA2006系列攻略
Tianjin拨叫北京的VPN服务器时,进行身份验证时所输入的用户名和密码要匹配Beijing服务器上刚创建的用户账号。
定义远程站点的地址范围,输入北京公司的内网范围10.1.1.0-10.1.1.255。
403
ISA2006系列攻略
接下来要创建远程站点和内网的网络规则,仍然是路由关系。
然后创建访问规则允许内网和远程站点互相访问。
404
ISA2006系列攻略
点击完成结束远程站点创建。
二 创建与远程站点同名的用户
创建完远程站点后,接下来就该创建与远程站点同名的用户了,如下图所示,我们在Tianjin服务器上创建了用户Beijing。注意,在本次实验中为简单起见,
405
ISA2006系列攻略
Beijing和Tianjin两个ISA服务器都没有加入域,因此用户在ISA本机创建。如在生产环境中ISA已经加入了域,一般会在域控制器上创建这个用户。
最后别忘了设定用户的远程访问权限,相信在Beijing上做完一遍之后,大家在Tianjin上进行操作时已经是轻车熟路了。
406
ISA2006系列攻略
两端的VPN服务器配置完毕后,我们接下来要在内网的客户机上进行测试了,如下图所示,我们在北京的Denver上ping天津公司的Istanbul。
Denver访问天津内网的Istanbul不需要自己进行VPN远程拨号,只要把访问请求提交给Beijing就可以了。这时打开Beijing的路由和远程访问,如下图所示,我们发现Tianjin这个请求式拨号的状态已经从断开变成了已连接。
407
ISA2006系列攻略
如下图所示,我们发现Denver已经可以ping到Istanbul了,实验成功。有一点要注意,有时请求式拨号连接的时间会稍长一些,可能前面的一些ping包会显示Time out,这是正常现象,稍等片刻即可正常。
最后试试在Istanbul上访问Denver,如下图所示,访问成功,至此,实验顺利完成。
408
ISA2006系列攻略
创建站点间的VPN不是难度很大的技术问题,如果两端的VPN服务器中有硬件VPN,那就应该使用IPSEC。如果两端的VPN都是微软的ISA或路由与远程访问,那就推荐使用PPTP或L2TP。ISA间并非不能使用IPSEC,只是使用经验告诉我这种拓扑并不稳定,当然,ISA2006的SP1可能会解决这个问题,大家有兴趣可以测试一下。
创建基于L2TP的站点到站点的VPN连接:ISA2006系列之二十六
创建基于L2TP的站点间VPN
在上篇博文中我们介绍了如何利用ISA2006创建站点间的VPN,而且站点间VPN使用的隧道协议是PPTP,今天我们更进一步,准备在上篇博文的基础上实现基于L2TP的站点间VPN。L2TP和PPTP相比,增加了对计算机的身份验证,从理论上分析应该比PPTP更安全一些。L2TP验证计算机身份可以使用预共享密钥,也可以使用证书。我们把两种方式都尝试一下,实验拓扑如下图所示,和上篇博文的环境完全一致。
一 使用预共享密钥
409
ISA2006系列攻略
使用预共享密钥实现L2TP的过程是是比较简单的,我们在VPN站点两端的VPN服务器上配置一个相同的预共享密钥,就可以用于L2TP协议中验证计算机身份。如下图所示,我们在Beijing上定位到“虚拟专用网络”,右键点击远程站点Tianjin,选择“属性”。
我们在远程站点Tianjin的属性中切换到“协议”标签,勾选使用“L2TP/IPSEC”,同时勾选使用预共享密钥,并设置预共享密钥为password。这里的设置会导致beijing拨叫tianjin时,使用预共享密钥password来证明自己的身份。
410
ISA2006系列攻略
在“常规VPN配置”中点击“选择身份验证方法”,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,并设置预共享密钥为password。这个设置则是告诉beijing,接受VPN客户端使用预共享密钥验证计算机身份。这样我们分别设置了beijing作为VPN服务器和VPN客户端都使用预共享密钥验证计算机身份,至此,Beijing服务器设置完毕。
接下来我们在Tianjin服务器上如法炮制,如下图所示,选择远程站点Beijing的属性。
411
ISA2006系列攻略
在远程站点的属性中切换到“协议”标签,如下图所示,选择使用L2TP作为VPN协议,并配置预共享密钥为password。
然后在“常规VPN配置”中点击“选择身份验证方法”,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,并设置预共享密钥为password。至此,Tianjin服务器也设置完毕。
412
ISA2006系列攻略
这时我们来看看站点间VPN配置的成果,如下图所示,在北京内网的Denver上ping天津内网的Istanbul。第一个包没有ping通,这是因为两个ISA服务器正在创建VPN隧道,接下来的包都可以顺利往返,这证明我们的配置起作用了。
二 使用证书验证
使用证书验证比预共享密钥验证更加安全,只是实现起来要麻烦一些,我们需要有CA的配合。在我们的实验环境中,Denver是一个被所有的实验计算机都信任的CA,Denver的CA类型是独立根。有了CA之后,VPN服务器需要向CA申请证书以证明自己的身份,由于站点间VPN中每个VPN服务器既是服务器又充当客户机角色,因此每个VPN服务器都需要申请两个证书,一个是服务器证书,一个是客户机证书。 1、 在Beijing上进行配置
首先我们要先为Beijing申请两个证书,一个是服务器证书,一个是客户机证书。如下图所示,在Beijing上我们在IE中输入[url]http://10.1.1.5/certsrv[/url],在CA主页中选择“申请一个证书”。
413
ISA2006系列攻略
选择“提交一个高级证书申请”。
414
ISA2006系列攻略
选择“创建并向此CA提交一个申请”。
如下图所示,我们在证书申请的表单中选择申请一个客户机证书,并且把证书存储在计算机存储中。
415
ISA2006系列攻略
提交证书申请后,如下图所示,我们发现Beijing申请的证书已经被CA发放了,点击安装此证书即可完成任务。
接下来如法炮制为Beijing申请服务器证书,如下图所示,这次为Beijing申请的是服务器证书,仍然存储在本地计算机存储中,接下来的证书发放以及安装就不再赘述。
416
ISA2006系列攻略
如下图所示,我们可以看到Beijing的计算机存储中已经有了刚申请的两个证书,
接下来在远程站点属性中取消使用预共享密钥验证身份。
417
ISA2006系列攻略
然后在VPN常规配置的选择身份验证方法中同样取消使用预共享密钥验证身份,至此,我们在Beijing上配置完毕。
2、 在Tianjin上进行配置
在Tianjin上进行配置基本和Beijing是一样的,首先也是先从Denver申请证书,如下图所示,Tianjin先申请的是一个客户机证书。
418
ISA2006系列攻略
申请完客户机证书后,如下图所示,Tianjin又申请了一个服务器证书。
接下来就是在远程站点中取消使用预共享密钥。
419
ISA2006系列攻略
最后在VPN常规配置的身份验证方法中取消使用预共享密钥。
OK,两个VPN服务器都进行了对称配置,这下他们在进行身份验证时只能使用证书了。用客户机测试一下效果吧,如下图所示,在天津的Istanbul上ping北京的Denver,结果还是令人满意的,我们用证书实现L2TP的身份验证获得了成功!
420
ISA2006系列攻略
用L2TP实现站点间VPN并不难,尤其是预共享密钥的实现是很简单的,如果是证书验证,要注意对CA的信任,切记,只有从一个被所有机器都认可的CA申请证书才是有意义的!
配置单网卡的ISA缓存服务器:ISA2006系列之二十七
用ISA2006配置单网卡缓存服务器
安全指的是ISA的防火墙功能,而加速则是ISA的缓存功能。ISA是互联网安全加速器的缩写,
我们知道,缓存的设计是为了解决两个系统之间速度不匹配的矛盾。一般而言,内网的访问速度要远远大于外网,因此,如果ISA能够把用户访问外网获得的数据放在硬盘缓存中,那么当下一个用户从外网请求相同数据时,ISA就可以利用硬盘缓存的内容对用户进行响应,这样的速度自然要远远大于从外网获得数据,加速器的称呼也就是因为这个。尤其是当公司员工早晨浏览新闻网站或查看产品报价时,这种加速效果非常明显。
有些公司在部署ISA服务器之前已经有了自己的网络访问解决方案,例如通过硬件防火墙访问互联网,如果这种网络访问解决方案运行效果较好,公司就未必希望用ISA来替代当前的方案,毕竟稳定是第一位的。但在这种情况下,我们可以在内网部署一个ISA服务器,内网用户通过使用ISA提供的Web代理服务,利用ISA的缓存功能对网络访问进行加速,拓扑如下图所示。在这种拓扑中,我们只使用了ISA的缓存功能,ISA并不承担边缘防火墙的任务,因此ISA只需要一块网卡即可。下面我们就通过一个实例为大家介绍一下如何部署单网卡的ISA缓存服务器。
在部署单网卡缓存服务器之前,我们先要了解以下几点:
确认担任缓存服务器的ISA SERVER主机,在现有防火墙的保护网络范围中。
确认在目前的防火墙访问规则配置中,已开放缓存服务器的对外访问协议,这些包含了HTTP、HTTPS以及FTP。
对于单网卡的缓存服务器来说,它将无法使用下列功能: — 防火墙客户端程序安装 二 VPN网络的架设 三 IP数据包筛选
421
ISA2006系列攻略
四 多重网络架构的防火墙策略 五 企业内部服务器的发布功能 六 应用程序级的数据包过滤
我们具体的实验环境如下图所示,Beijing是内网的单网卡ISA2006服务器,我们准备把Beijing部署成ISA缓存服务器,大致需要进行下列操作:
1) 使用模板配置 2) 创建访问规则 3) 启用Web代理 4) 启用缓存功能 5) 创建缓存规则
6) 创建计划内容下载作业
一 使用模板配置
ISA2000在安装时提供了防火墙,缓存,集成等三种模式供用户选择,虽然ISA2006在安装时不能直接选择缓存模式,但ISA2006提供了缓存服务器的配置模板,我们可以使用缓存服务器模板把ISA服务器配置成单网卡的缓存服务器。
定位到 配置-网络,如下图所示,在右侧的模板列表中选择“单在Beijing上打开ISA管理器,一网络适配器”模板。
422
ISA2006系列攻略
出现网络模板的设置向导,点击下一步继续。
423
ISA2006系列攻略
向导提示我们在使用模板之前最好先备份当前的ISA配置。
下面要配置单网卡ISA的内网地址范围,注意,由于ISA只有一块网卡,因此ISA的内网应该包括除127之外的所有IP地址范围。注意,此时ISA没有外网的概念了,对单网卡的ISA来说,所有的网络地址应该都属于内网范畴。我们在后续创建网络规则时也要注意到这一点。
后可以修改防火墙策略,允许Web代理用户访问外网。
模板向导提示我们应该选择一个防火墙策略,这个策略拒绝访问所有网络,我们在配置模板结束
424
ISA2006系列攻略
如下图所示,网络模板配置完成。
二 创建访问规则
使用模板配置完ISA服务器后,内网的Web代理用户并不能通过ISA服务器访问互联网,因为ISA服务器的访问规则中禁止所有的网络访问请求,因此我们必须创建访问规则允许Web代理用户使用HTTP协议访问互联网。
425
ISA2006系列攻略
在ISA管理器中右键点击“防火墙策略”,如下图所示,选择新建“访问规则”。
为访问规则命名为“允许HTTP访问”。
426
ISA2006系列攻略
当用户的访问请求符合规则时,允许访问请求。
协议。
Web代理用户使用最多的协议就是HTTP和HTTPS,我们允许在规则中使用HTTP和HTTPS
我们设定访问的源网络是内网。
427
ISA2006系列攻略
围包括了除127之外的所有网络。
注意,访问的目标网络仍然是内网,大家可别习惯性地把目标网络设定为外网,注意,内网的范
访问规则适用于所有用户。
428
ISA2006系列攻略
了。
如下图所示,我们完成了访问规则的创建,现在内网用户就可以通过ISA访问互联网上的内容
三 启用Web代理
429
ISA2006系列攻略
单网卡的ISA服务器只能为用户提供Web代理服务,因此我们要确保ISA启用了Web代理功能,如下图所示,在ISA管理器中查看内网属性,确保ISA服务器在8080端口提供Web代理服务。
ISA提供了Web代理服务后,要确保内网用户在浏览器中要使用ISA提供的Web代理服务,在用户的浏览器属性中切换到“连接”标签,如下图所示,点击“局域网设置”。
430
ISA2006系列攻略
勾选使用代理服务器,代理服务器的地址设定为Beijing,端口是8080。
四 启用缓存功能
虽然我们已经用单一网络适配器模板对ISA服务器进行了配置,而且ISA服务器也启用了Web代理,但由于ISA服务器的缓存功能和缓存规则尚未设置,因此ISA的缓存功能还未能实现。现在我们就先来启用ISA的缓存功能,如下图所示,在ISA管理器中定位到 配置-缓存,我们可以看到目前缓存驱动器的尺寸是0,显然当前并没有启用缓存,我们点击“缓存驱动器”的属性,准备对缓存进行设定。
431
ISA2006系列攻略
如下图所示,我们把缓存设定在C盘,大小定位200M。缓存尺寸的设定原则是最好不要小于100M,每增加一个Web代理用户就增加0.5M。设定完缓存尺寸后,不要忘了点击“设置”按钮,而且在设置完成后最好重启一下ISA服务器。
五 创建缓存规则
ISA启用了缓存功能后,我们要制定适合本单位的缓存策略,以便让ISA的缓存可以最大限度地发挥作用。如下图所示,在ISA管理器中定位到 配置-缓存,在缓存规则的任务中选择“创建缓存规则”。
432
ISA2006系列攻略
出现新建缓存规则的向导,点击下一步继续。
首先要设定缓存规则针对哪些访问目标生效,我们设定规则针对的目标网络是内网,再次提醒,别误写为外网。
接下来我们要设置缓存对象被请求时的检索方式,一般来说,我们大多选择第一项或第二项。第一项是根据TTL的到期时间来判断是否存在请求对象的有效版本,第二项则是缓存中只要存在请求对象的任何版本都可以。
433
ISA2006系列攻略
接下来我们设置缓存的内容类型,如果有需要,可以考虑缓存动态内容或离线浏览内容,以便第一时间响应用户的请求。
我们对缓存对象的大小也可以进行设置,这样可以避免缓存到太大的数据,例如我们可以规定不缓存1M以上的对象。
434
ISA2006系列攻略
缓存对象的生存时间可以使用默认设置,也可以根据需求将生存时间延长或缩短,如果请求的HTTP数据源制定了生存时间,则以数据源的规定为准。否则将按照ISA定义的时间边界定义缓存对象的生存时间。
FTP缓存的默认生存时间是1天。
435
ISA2006系列攻略
点击完成结束缓存规则的配置,以后ISA就会按照我们设定的规则来缓存数据了。
六 创建计划内容下载作业
对于一些用户经常访问的网站,我们还可以采用主动缓存的方式,在用户提出访问请求之前就把数据缓存到ISA服务器上,这样一来用户会获得更好的速度体验。例如如果每天9点上班的用户都有浏览新浪新闻的习惯,我们就可以让ISA在每天的8:30先去新浪把新闻缓存到硬盘上,
436
ISA2006系列攻略
这样用户浏览起来自然对速度非常满意。下面我们来看如何实现这个设想,在ISA管理器中定位到 配置-缓存,如下图所示,在“内容下载作业”的任务中选择“计划内容下载作业”。
必须满足两个条件,一是在内网要启用Web代理,ISA提示我们如果要进行计划内容下载作业,
这项要求我们已经满足了;另一个条件是要求在系统策略中启用计划的下载作业配置组,只要我们选择“是”,就可以在系统策略中启用这个设置。
查看系统策略编辑器,如下图所示,计划下载确实已经被启用了。
437
ISA2006系列攻略
满足了计划下载所需要的两个条件后,再次从内容下载作业中选择“计划内容下载作业”,这次出现了内容下载作业向导,如下图所示,我们为内容下载作业命名为“新浪新闻”,点击下一步继续。
选择作业运行的频率,我们选择每天运行一次。
438
ISA2006系列攻略
作业的开始时间我们设定为每天的8:30。
仅为1,避免下载的数据量过大。而且设定不从指定的URL之外的链接下载。
作业下载的具体地址是[url]http://news.sina.com.cn[/url],我们设定每页的最大链接深度
439
ISA2006系列攻略
设定要缓存的内容以及生存周期,我们取默认设置即可。
如下图所示,我们配置完成了每天定时下载新浪新闻的计划任务。
440
ISA2006系列攻略
ISA的缓存功能是非常实用的,对提高网络响应速度很有好处,而且ISA2006中又增加了对Bits数据类型的支持,即使用户用Bits从微软网站下载补丁,也可以享受到缓存服务带来的加速体验。如果您已经有了硬件防火墙作为边缘网关,不妨试试用ISA作缓存服务器,体验一下两种防火墙和谐相处为您带来的稳定,安全以及高速的网络感受。
用组策略实现用户证书的自动注册申请:ISA2006系列之二十八
用组策略实现用户证书的自动注册申请
在前面的博文中,我们已经在邮件加密,安全Web站点,TLS通讯,智能卡等诸多的应用领域中接触到了证书,证书在安全领域的重要性已是不言而喻。如果我们在内网搭建了CA服务器,用户应该如何获取证书呢?用户申请证书一般有两种方式,如下图所示,用户既可以通过MMC控制台也可以利用浏览器进行证书的注册申请。但这两种证书申请方式对普通用户来说都有一定的技术难度,如果管理员代为用户申请证书,在用户众多的环境下又不太现实。那我们在大型企业中应该如何处理用户证书的注册申请呢?
441
ISA2006系列攻略
442
ISA2006系列攻略
我们可以通过组策略结合CA服务器来完成证书的自动注册申请,利用这种方式,我们可以对整个域的用户或某个组织的用户,只要用户在开机后以域用户身份登录,就可以自动完成证书的注册申请。怎么样,听起来是否很不错?下面我们通过一个实验来说明如何实现这个构想,拓扑如下图所示,Florence是域控制器和CA服务器,Perth和Istanbul是用户User1和User2使用的工作站。
一 创建企业根CA
要实现用户证书的自动注册,需要有企业级CA的支持,因为只有这种类型的CA服务器才能和组策略结合使用。由于我们创建的CA服务器是域中的第一个证书服务器,因此服务器类型应该选择企业根。
在域控制器Florence上打开控制面板-添加或删除程序-添加/或删除Windows组件,如下图所示,勾选“证书服务”。
443
ISA2006系列攻略
证书服务器的类型应该选择“企业根CA”。
为CA命名为ITETCA,有效期限5年。
444
ISA2006系列攻略
证书数据库的存储路径取默认值即可。
如下图所示,我们成功地完成了企业根CA的安装,结束了实验的第一步。
445
ISA2006系列攻略
二 创建证书模板
有了CA服务器,我们接下来要创建一个支持用户自动注册的证书模板。具体步骤如下,我们在Florence上运行MMC,添加“证书模板”管理单元。如下图所示,右键点击“用户”模板,选择“复制模板”。之所以选择复制出一个新模板,而不是直接在用户模板上进行
操作,是因为不希望影响其他应用程序对用户模板的使用。
446
ISA2006系列攻略
意,模板名称一旦确定就无法更改。同时确保勾选“在Active Directory中颁发证书”。
如下图所示,在复制出的新模板的常规标签处,我们为此模板命名为“用户自动注册模板”,注
标签,如下图所示,确保选择“注册证书使用者时无需用户输入”。 切换到证书模板的“处理请求”
447
ISA2006系列攻略
切换到证书模板的“安全”标签,我们在此可以分配证书模板的权限,如果我们希望哪些用户可以利用这个证书模板进行证书的自动注册,一定要为这些用户赋予“读取”,“注册”和“自动注册”的权限。在本次实验中,我们希望域内所有的用户都可以实现证书的自动注册,因此如下图所示,我们为Domain Users组的成员赋予了上述三项权限。
三 使用自动注册的证书模板
448
ISA2006系列攻略
创建了支持自动注册的证书模板,我们就要在证书服务器中使用这种证书模板。在Florence的管理工具中打开“证书颁发机构”,如下图所示,右键点击证书模板,选择新建“要颁发的证书模板”。
选择我们新创建的“用户自动注册模板”。
如下图所示,现在证书服务器已经使用了支持用户自动注册的证书模板,证书服务器已经可以支持用户自动进行证书的注册申请了。
449
ISA2006系列攻略
四 配置组策略
证书服务器已经可以支持用户证书的自动注册申请,接下来我们需要在组策略中进行配置,允许由于我们希望域内所有用户都能实现证书的自动注册,因此我们用户自动进行证书的注册申请。
需要在域级别进行组策略设置。在Florence上打开Active Directory用户和计算机,如下图所示,在CATEST.COM域的属性中切换到“组策略”标签,由于我们只是进行实验,因此选择编辑默认的域用户策略即可。
450
ISA2006系列攻略
如下图所示,在组策略编辑器中定位到 用户配置-Windows设置-安全设置-公钥策略,编辑右侧面板中的“自动注册设置”。确保选择“自动注册证书”,如有必要,也可选择“续订过期证书,更新未决证书并删除吊销的证书”和“更新使用证书模板的证书”。这样一来,用户不但可以完成证书的自动注册申请,还可以完成证书的自动更新,续订以及吊销。
451
ISA2006系列攻略
组策略设置完毕后,我们可以在工作站上使用Gpupdate / Force来加速组策略的生效。
五 用户测试
万事俱备,只欠东风,下面我们就在Perth上进行证书的自动注册测试,如下图所示,域用户User1在工作站Perth上登录。
User1登录后我满怀信心地用MMC打开用户证书的管理单元查看成果,咦,怎么回事?如下图所示,User1没有申请到证书!重新启动Perth,让User1重新登录也无济于事。利用别的用户申请也是无功而返,问题出在哪里呢?
452
ISA2006系列攻略
打开Florence上的证书颁发机构,如下图所示,在失败的申请中我们发现了问题所在,证书模板要求用户属性中提供电子邮件地址,但我们没有为用户填写电子邮件地址,域内也没有部署Exchange服务器,因此用户提供的属性不能满足证书模板的注册需求,这才导致申请被拒绝。
453
ISA2006系列攻略
打开用户自动注册证书模板查看,如下图所示,果然证书模板要求用户注册证书时提供电子邮件地址。
如下图所示,在User1的属性中填写电子邮件地址。
找到了问题的原因,接下来就容易处理了,我们既可以取消证书模板对邮件地址的要求,也可以
454
ISA2006系列攻略
我们填写了User1的邮件地址后,让User1再次在Perth上注销登录,哈哈,如下图所示,这次终于成功了,User1完成了用户证书的自动注册申请。
详解DMZ的部署与配置:ISA2006系列之二十九
DMZ的部署及配置
DMZ是Demilitarized Zone的缩写,俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域,一般用于放置公司对外开放的服务器,例如Web服务器,Ftp服务器,邮件服务器等。其实从ISA的角度来看,DMZ就是一个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要DMZ这个单独的网络呢?被发布的服务器放在内网是可以的,我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并非最佳选择,因为内网中还有其他的计算机,这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户,财务室人员使用的工作站更是要严加防护。但如果这些计算机和发布服务器都放在内网,对我们进行访问控制是不利的。一旦发布服务器出现安全问题,有可能会危及内网其他计算机的安全。因此比较安全的解决方法是把发布的服务器放在一个单独的隔离网络中,管理员针对隔离网络进行有别于内网的安全配置,这样一来的话显然对安全更加有利。
455
ISA2006系列攻略
下面我们用一个实例来为大家介绍一下如何利用ISA2006部署和配置DMZ,拓扑如下图所示,Beijing是ISA2006服务器,Beijing有三块网卡,分别连接内网,外网和DMZ,DMZ在ISA中也被称为外围。Denver在内网,Perth是DMZ,Istanbul在外网。
一 创建DMZ
Beijing是一个有三块网卡的ISA服务器,我们准备在Beijing上手工创建DMZ网络,网络范围是23.1.1.0-23.1.1.255。这个工作我们也可以通过ISA2006自带的三向外围防火墙模板来进行,但这个模板和国内公司的网络环境不太匹配,因为国外公司的DMZ使用的往往是公网地址,而国内DMZ使用的大多是私网地址,这种环境上的差异会导致网络规则和防火墙策略配置上的差别,因此这个模板不太适合国内大多数公司使用,我们还是来手工创建并配置一个DMZ网络。
顺便介绍一个ISA中网络的一些基本原则,供大家创建网络时参考:
1、 ISA防火墙上的每个网络适配器可以有单个或者多个IP地址,但是每个IP地址只能与一个网络适配器所关联(NLB的虚拟IP地址不在此讨论范围内)。
2、 一个地址只能属于一个网络;ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络,并且这个网络适配器上的所有地址都必须属于相同的网络;一个网络可以包含一个或者多个网络适配器。
3、 在网络定义的 地址范围中,应包含ISA防火墙对应网络适配器接口的IP地址。ISA将没有关联适配器的网络视为暂时断开连接,也就是说,ISA 服务器假定存在与该网络关联的适配器,但该适配器当前被禁用。当ISA服务器假定适配器断开连接时,ISA服务器将拒绝去往或来自属于断开的网络的IP地 址的通讯, 因为这些数据并没有通过和此网络相关联的网络适配器来进行转发,并认为这些数据包欺骗所有已启用的适配器。
4、 对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络,称之
456
ISA2006系列攻略
为网络后面的网络), 你必须在ISA防火墙对应的网络的定义中,包含这些子网的地址,否则ISA防火墙会触发IP欺骗或者配置错误的警告。这是因为没有在此网络中定义的IP地 址范围,不属于此网络,但是却又必须从此网络相关联的网络适配器进行数据的转发,ISA防火墙认为这是一种欺骗行为。 5、 通常情况下, 对于一个完整的网络定义,地址范围应该从网络地址起,到子网广播地址为止。例如一个C类网络192.168.0.0/24,那么完整的网络地址范围为 192.168.0.0~192.168.0.255。对于网络地址是从A类网络地址、B类网络地址中划分的子网的情况,在网络地址范围中还需要包含对应 的A类网络、B类网络的广播地址,例如一个A类子网10.1.1.0/24,那么内部网络地址中除了10.1.1.0~10.1.1.255外,还需要包 括A类网络的广播地址10.255.255.255~10.255.255.255。建议你总是通过添加适配器来添加内部网络地址。非完整的网络定义不需要遵循此要求。
不过,对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外,在这些例外情况中,ISA 服务器将该网络视为网络后面的网络,这些例外包括下列网络:
默认的外部网络。ISA防火墙总是认为默认的外部网络位 于与默认路由所关联的网络适配器(配置了默认网关的网络适配器)所关联的网络的后面,去往或来自外部网络中的地址的通讯必须通过该适配器。来自外部网络中 的地址但是通过其他适配器的任何通讯都将被视为具有欺骗性,并将被丢弃。如果路由表中不存在默认网关项目,ISA防火墙将认为外部网络暂时断开连接。 配置为使用 IPSec 隧道模式的站点到站点VPN网络。
被隔离的VPN客户端网络,该网络从不与任何适配器关联,并总是位于与 VPN 拨入适配器关联的 VPN 客户端网络的后面
现在我们开始创建DMZ,在Beijing上打开ISA管理器,如下图所示,选择新建网络。
457
ISA2006系列攻略
为新创建的网络命名为DMZ。
网络类型是外围网络。
DMZ的地址范围是23.1.1.0-23.1.1.255,注意,这个地址范围如果之前属于内网,那我们需要把它从内网范围中删除。根据我们刚才提到的网络原则,一个地址只能属于一个网络。
458
ISA2006系列攻略
如下图所示,我们成功地完成了DMZ网络的创建,是不是很轻松啊。
二 创建网络规则
DMZ网络创建完毕后,我们需要创建DMZ网络和其他网络之间的网络规则。因为我们知道,ISA处理数据的访问请求,首先考虑的是这个数据包的源网络和目标网络的网络规则,因此网络规则决定了两个网络之间数据通讯的方向性和可能性。网络规则的设定取决于实际的访问需求,
459
ISA2006系列攻略
在本次实验中,DMZ的Perth拥有网站和Ftp服务器。我们希望内网用户和外网用户都可以访问DMZ的资源,同时DMZ的服务器需要对外网进行访问。基于这个需求,我们可以把网络规则设定为从内网到DMZ是NAT,从DMZ到外网是NAT。为什么DMZ到外网不设定为路由呢?因为DMZ使用的是内网地址,外网用户无法直接访问这些IP地址。 在Beijing上打开ISA管理器,如下图所示,选择“创建网络规则”。
为网络规则命名为“从内网到DMZ”。
460
ISA2006系列攻略
源网络是内网。
目标网络是DMZ。
源网络到目标网络的网络关系设定为NAT。
461
ISA2006系列攻略
的网络关系是NAT。
这样我们就设定了从内网到DMZ的网络关系是NAT,用同样的方法,我们设定从DMZ到外网
三 创建防火墙访问规则
462
ISA2006系列攻略
在我们的实验环境中,我们希望内网能够访问DMZ,由于内网和DMZ的网络关系是NAT,因此我们应该通过访问规则来完成这个任务。有的朋友可能会想,究竟什么情况下应该使用访问规则,而什么环境下更适用发布规则呢?我们给出使用访问规则的原则:
对于访问规则:
只适用于网络之间具有路由网络关系或正向NAT关系(源网络到目的网络为NAT)的网络间的访问;
一个访问规则可以允许到多个服务器的访问;
在访问规则中只应使用出站协议定义客户所访问的服务; 用户只能访问协议中所定义的端口
下面我们来具体创建访问规则,在Beijing上打开ISA管理器,如下图所示,选择新建“访问规则”。
我们在访问规则命名为“允许为内网访问DMZ”。
463
ISA2006系列攻略
当访问请求符合规则时允许访问请求的操作。
允许所有的出站通讯协议。
464
ISA2006系列攻略
访问请求的源网络是内网。
访问请求的目标网络是DMZ。
465
ISA2006系列攻略
允许所有用户的访问请求。
如下图所示,顺利完成访问规则的创建。
466
ISA2006系列攻略
测试一下访问规则的成果,在内网的Denver上访问DMZ的Perth,如下图所示,访问正常。
四 创建发布规则
467
ISA2006系列攻略
我们在本次实验中还希望DMZ的服务器能够发布到外网,在这种情况下我们应该使用发布规则来完成任务。同样我们会给出使用发布规则的原则:
对于服务发布规则:
适用于源网络和目的网络之间具有路由网络关系或者NAT网络关系的网络间的访问。只是根据网络关系的不同,服务发布规则侦听的IP地址不同。在目的网络到源网络具有NAT网络关系的情况下,服务发布规则侦听的IP地址是ISA防火墙上连接源网络的网络接口的IP地址;而在源网络和目的网络之间具有路由网络关系或者NAT网络关系的的情况下,服务发布规则侦听的IP地址是被发布的服务器的IP地址;
一个发布规则只能允许到一个服务器的访问;
服务发布规则中只能使用入站协议定义所发布的服务;
通过服务发布规则,你可以通过修改服务发布规则的属性轻松的实现端口转换,并且许多内建的应用层过滤器或其某些特性只能通过服务发布规则实现,例如SMTP过滤器和Web代理过滤器的链接转换功能,就只能通过服务发布规则实现;
服务器应配置为SNAT客户;如果服务发布规则的到属性中配置为“使请求显示为来自初始客户端”,那么服务器应该配置ISA防火墙为其默认网关。
下面我们来创建发布规则,如下图所示,在ISA管理器中选择新建“非Web服务器协议发布规则”。
468
ISA2006系列攻略
我们为发布规则命名为“发布Perth上的FTP服务器”。
被发布的服务器我们填写Perth的IP地址23.1.1.6。
发布协议选择FTP服务器。
469
ISA2006系列攻略
侦听器监听外网的请求。顺便提一下,以前遇到有朋友想把DMZ的服务器发布到内网,但未能成功,他的实验环境和我们完全一样。用发布规则的使用原则分析一下就明白了,内网访问DMZ不能通过发布规则而应该使用访问规则。
好,完成发布规则的创建。
470
ISA2006系列攻略
Z的FTP服务器发布成功!
在外网的Istanbul上测试一下,看能否访问Perth的FTP服务器。测试结果如下图所示,DM
471
ISA2006系列攻略
今天我们用一个实例介绍了DMZ的部署和配置,DMZ从ISA的角度看,其实只是一个网络。本文的重点在于讨论了一般意义上的网络创建原则,访问规则和发布规则的使用原则。大家如果能够对这些原理融会贯通,一定能够对大家的ISA管理大有裨益。
企业根CA方法客户机证书的解决方案,ISA2006系列之三十
企业根CA如何发放客户机证书-L2TP证书问题的补充说明
在ISA系列第二十一篇的博文中,我们介绍了如何在VPN服务器中使用L2TP协议。L2TP可以使用证书或预共享密钥,很多朋友反映在做这个实验时出了问题,关键是申请不到客户机证书。因此今天特意花点时间,为大家介绍一下如何解决证书问题。
由于我在博文中使用的是一个独立根CA,而不少博友在实验时使用的是企业根CA,因此环境上的差异造成了实验的困扰。独立根CA发放客户机证书是非常容易的,但企业根CA就需要进行一番设置。当然,独立根CA和企业根CA本质上是一样的,只是在一些配置方法上存在一些差异,看了本文之后,相信大家就不会有这种困扰了。本文的实验拓扑如下图所示,我们使用了域控制器充当域控制器和企业根CA,还有一个成员服务器配合申请证书。
首先我们要知道,企业根CA的证书模板中默认并没有客户机证书。我们在域控制器的管理工具中打开证书颁发机构,如下图所示,我们可以在证书模板中
472
ISA2006系列攻略
看到并没有看客户机证书。因此,如果不对证书模板进行调整,我们肯定无法申请到客户机证书。
我们准备在CA服务器的证书模板中增加一个客户机证书的模板,如下图所示,我们在企业根CA中新建“要颁发的证书模板”。
473
ISA2006系列攻略
如下图所示,工作站身份验证就是我们要的客户机证书,我们把它添加到客户机模板中。
好,现在我们有了需要的证书模板,那是否可以申请客户机证书呢?在成员服务器上我们用MMC控制台定制出一个证书管理单元,管理的是本地计算机的证书,注意,是在成员服务器上做这个操作!如下图所示,我们在个人文件夹中选择“申请新证书”。
474
ISA2006系列攻略
如下图所示,我们可以申请“工作站身份验证”的证书,其实这就是客户端证书。能做到这一步,证明我们添加的证书模板已经起作用了,这个申请到的证书完全可以用于L2TP实验。至此,至少我们已经有了一种基本的解决方案。
接下来我们在成员服务器上尝试用浏览器申请客户机证书,如下图所示,我们很遗憾地发现,我们无法申请到客户机证书。因为工作站证书的模板中默认从Active Directory中提取证书申请者的数据,并不依赖用户输入。因此我们只能从成员服务器上或客户机上用MMC控制台申请,不能从域控制器上申请,也不能用浏览器申请。那能否想想办法,用浏览器也能申请到这个客户机证书呢?呵呵,办法总是有的….
475
ISA2006系列攻略
如下图所示,我们在域控制器的证书颁发机构中选择管理证书模板。
如下图所示,我们在管理的证书模板中选择复制“工作站身份验证”的证书。
476
ISA2006系列攻略
我们为新复制生成的证书命名为“客户机证书”。
我们在新复制的工作站证书模板的属性中切换到“使用者名称”标签,选择“在请求中提供”,这是关键的一个步骤!这意味着我们申请客户机证书可以通过浏览器提交证书参数,而不是默认的从Active Directory中提取了。
477
ISA2006系列攻略
接下来我们在证书模板的属性中切换到“安全”标签,确保“Authenticated Users”组具有注册证书的权限。
配置完客户机证书后,接下来我们在证书颁发机构中把新复制的客户机证书模板添加进来。如下图所示,我们看到企业CA的证书模板中已经有客户机证书模板了。
478
ISA2006系列攻略
重启证书服务或重启证书服务器,然后我们在成员服务器上用浏览器申请证书,如下图所示,我们发现已经可以用浏览器申请到客户机证书了。OK,问题解决,希望大家可以顺利地进行L2TP实验。
479
因篇幅问题不能全部显示,请点此查看更多更全内容