启用ISA Server 2004的VPN服务器

ISA Server 2004防火墙可以配置为VPN服务器或者VPN网关。VPN服务器组件允许接受进入的远程VPN客户端的访问请求，在成功建立VPN连接后，VPN客户可以成为一个受保护的网络的成员。ISA Server 2004的VPN网关允许你在Internet上连接一个完整的网络到另外一个网络。 许多网络和防火墙的管理员误解VPN技术就是安全技术。事实是VPN表示一个保护数据在网络上进行传输的远程访问技术。VPN只是一个保护数据传输的安全远程访问技术，但是它不能为企业的VPN客户增加任何安全。

传统的VPN服务器允许VPN客户完全访问它所连接的网络。要么你重新配置网络的基础结构以支持对VPN客户的安全性需求，要么你必须对你的VPN客户有很大的信赖。

许多第三方VPN服务器允许你限制VPN客户的访问以迎合安全需求。例如，几个大VPN服务器销售商允许你在VPN客户系统上安装一个已管理的VPN客户端。这个已管理的VPN客户软件允许VPN服务器预先设置可以连接到VPN服务器的VPN客户。这些已管理的VPN客户端或许需要在连接到VPN服务器前有最新的安全补丁、安全防火墙或者安装有其他的软件。第三方VPN销售商给VPN客户软件制定了一个很高的价格。因为ISA Server 2004防火墙的内建VPN特性，现在你可以不用支付额外费用就使用VPN。

问题在于已管理的VPN客户端，按照ISA Server 2004 VPN隔离特性提供的功能，只是能加强VPN客户访问一半的安全。已管理的VPN客户端不允许你加强基于用户/用户组的对于内网服务器和协议的访问控制，这个时候，VPN客户端可以引起重大的安全风险。

ISA Server 2004 VPN服务器修改了VPN远程访问的属性，让你可以控制VPN客户端可以连接的协议和服务器。VPN客户访问控制可以基于VPN客户登录到VPN服务器时提交的信任信息。这样可以允许你建立只能访问指定服务器的的指定协议或者协议集的用户组。你不再需要担心你的VPN可以浏览你企业网络的服务器。VPN客户只能连接到它们需要的资源（注：根据它们的权限），其他的被禁止。

在以后的文章，我会继续提到关于如何实现加强的对于VPN客户的用户/用户组访问控制的细节。在你理解ISA Server 2004防火墙和VPN服务器组件是如何工作后，你可以实现它们。

你几乎可以使用 Microsoft Internet Security and Acceleration Server 2004 管理界面来管理VPN服务器配置的任何一方面。防火墙管理分配给VPN的IP地址列表并且放置它们在指定的VPN客户网络。访问控制可以配置与VPN客户通信的访问策略来实现。

在这篇文章中你可以执行以下步骤以启用和测试ISA Server 2004 VPN服务器：

· 启用VPN服务器

· 建立一个允许VPN客户访问内部网络的访问策略

· 允许用户账户拨入访问

· 测试PPTP VPN连接

· 给ISA Server 2004防火墙和VPN客户发布证书

· 测试一个L2TP/IPSec的VPN连接

· 监控VPN客户连接

下图显示了这篇文章中试验网络的细节，并且在未来的文章中都会使用这个网络（我们可能会对于不同的配置文章中在细节上有调整）。

注意有几个网络服务需要在你成功建立一个VPN服务器之前进行安装和配置。

· Radius

· Dhcp

· Dns

· Wins

· 企业CA

在我们的试验网络中，试验域环境的域控制器已经安装好了所有的服务。内部域的名字是msfirewall.org 。DHCP服务器对于VPN服务器环境特别有用，但不是必需的。

在这篇文章中，上图中的下列服务器是必需的：

· EXCHANGE2000BE

· ISALOCAL

· EXTCLIENT
 

启用VPN服务器

默认地，VPN服务器组件是禁用的。第一步先启用VPN服务器并且配置VPN服务器组件，执行以下步骤：

1. 打开 Microsoft Internet Security and Acceleration Server 2004 管理界面并且展开服务器，点击 Virtual Private Networks (VPN) 。

2. 在Task面板上点击 Tasks 标签，点击 Enable VPN Client Access 链接。

3. 点击 Apply 保存修改并且更新防火墙策略。

4. 在Apply New Configuration 对话框点击 OK 。

5. 点击 Configure VPN Client Access 链接。

6. 在 General 标签，修改 Maximum number of VPN clients allowed 的值从 5 到 10。

7. 点击 Groups 标签，在 Groups 页，点击 Add 按钮。

8. 在 Select Groups 对话框，点击 Locations 按钮，在 Locations 对话框，点击 msfirewall.org ，点击 OK。

9. 在 Select Group 对话框，在Enter the object names to select 文本框中输入 Domain Users ，点击 Check Names 按钮，如果这个组名在活动目录中发现了，它将被标注为下划线。这个组将被ISA Server 2004防火墙使用。将对应的的用户账户进行拨入访问时，ISA Server 2004远程访问策略将应用到它们的连接上。点击OK。

10. 点击 Protocols 页，在 Protocols 标签，勾选 Enable L2TP/IPSec ，注意你需要在使用L2TP/IPSec前为ISA Server 2004防火墙/VPN服务器和VPN客户端颁发一个计算机证书，另外一个方法是使用一个预定义的key来进行IPSec安全协商。

11. 点击 User Mapping 标签，勾选 Enable User Mapping 和 When username does not contain a domain, use this domain ，在Domain Name 文本框中输入 msfirewall.org ，注意这些设置将只是在使用Radius认证时使用，在使用Windows认证时这些设置将被忽略（例如ISA Server 2004防火墙属于域并且用户明确的输入域信任状）。点击 Apply 再点击 OK。你可能看见一个 Microsoft Internet Security and Acceleration Server 2004 对话框提示你为了使设置生效，你需要重启计算机。点击 OK 。

12. 在 Tasks 标签，点击 Select Access Networks 链接。

13. 在 Virtual Private Networks (VPN) Properties 对话框，点击 Access Networks 标签，注意 External 已经被勾选。这指出外部接口正在侦听进入的VPN客户连接。你可以选择其他接口，例如DMZ或者其他的网络接口。如果你希望为信赖的主机和网络提供专门的VPN服务，至于其他类型的配置，如如何为WLAN配置其他的接口，会在以后的www.isaserver.orgWEB站点和我们的ISA Server 2004书籍中提及。

14. 点击 Address Assignment 标签， 在Use the following network to obtain DHCP, DNS and WINS services列表框中选择内部接口，这是个定义如何访问DHCP的重要设置。注意在这个例子中我们在内部网络中使用一个DHCP服务器来为VPN客户分配IP地址。除非你在ISA Server 2004防火墙/VPN服务器上安装了DHCP中继代理，否则DHCP服务器不会主动分配为VPN客户分配DHCP选项。你可以为建立一个静态地址池以为VPN客户分配IP地址，但是如果你选择使用静态地址池，你将不能为这些主机分配DHCP选项。同样的，如果你选择使用静态地址池，你要使用off-subnet网络ID，你可以在http://isaserver.org/articles/How_to_Implement_VPN_
OffSubnet_IP_Addresses.html阅读Stefaan Pouseele写的关于off-subnet地址配置的相关文章。

15. 点击 Authentication 标签，注意默认设置只允许Microsoft encrypted authentication version 2 (MS-CHAPv2)。在ISA Server 2004 VPN Deployment Kit 后来的文档中，为了在ISA Server 2004防火墙VPN服务器中使用高安全用户证书验证，我们将启用EAP选项。注意勾选 Allow custom IPSec policy for L2TP connection ，如果你不想建立公共密钥结构或者已经在建立但是还没有完成，你需要勾选这个选项并且输入一个预定义的密钥。同样的，VPN客户端需要配置使用一个相同的预定义密钥。

16. 点击 RADIUS 标签，在这儿你可以配置ISA Server 2004防火墙VPN服务器使用Radius来认证VPN用户。Radius认证的优点是你可以在活动目录认证或者对没有加入域的用户使用其他用户数据库的认证之间进行平衡。我们会在以后继续进行介绍。

17. 在 Virtual Private Networks (VPN) Properties 对话框上点击Apply ，然后点击 OK。

18. 点击 Apply 以保存修改并且更新防火墙策略。

19. 在Apply New Configuration 对话框中点击 OK 。

20. 重启ISA Server 2004 防火墙计算机。

这个计算机在重启后将从内网的DHCP服务器上获取一段IP地址。注意如果ISA Server 2004到DHCP服务器之间还有路由器的话，这些路由器上都需要支持BOOTP转发或者有DHCP中继能从远端的的DHCP服务器上获取IP。

建立一个允许VPN客户访问内网的访问策略

在重启后，ISA Server 2004防火墙已经准备好接受进入的VPN连接了。可是，因为没有访问策略允许，VPN客户端不能访问内网的任何资源。你需要建立一个访问策略以允许VPN客户网络访问内部网络。与其他混合的防火墙VPN服务器相对照的是，ISA Server 2004防火墙VPN服务器为VPN网络进行访问控制定义而不是VPN客户。

在这个例子中，你将建立一个访问策略以允许所有从VPN客户网络到内部网络之间的通信传输。在生产环境，你将建立更加严格的访问策略，以控制用户只能访问他们需要的资源。以后在后续文章中会提及如何在VPN上建立更成熟的基于用户/用户组访问控制。

执行以下步骤以建立一个允许VPN用户自由的访问内部网络的访问策略：

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理界面，展开服务器，并且点击 Firewall Policy。右击 Firewall Policy ，指向 New 并且点击 Access Rule.。

2. 在 Welcome to the New Access Rule Wizard 页，在Access Rule name 文本框中输入策略的名字，在这个例子中我们命名为 VPN Client to Internal ，点击Next。

3. 在 Rule Action 页，选择 Allow 选项，点击 Next。

4. 在 Protocols 页，在This rule applies to 列表中选择 All outbound protocols 选项，点击 Next。

5. 在 Access Rule Sources 页，点击 Add 按钮，在 Add Network Entities 对话框，点击 Networks 目录并双击 VPN Clients，点击 Close。

6. 在 Access Rule Sources 页点击 Next 。

7. 在 Access Rule Destinations 页，点击 Add 按钮，在Add Network Entities对话框，点击 Networks 目录并且双击 Internal，点击 Close。

8. 在 User Sets 页，接受默认设置 All Users，点击 Next。

9. 在 Completing the New Access Rule Wizard 页点击 Finish 。

10. 点击 Apply 保存修改和更新防火墙策略。

11. 在 Apply New Configuration 对话框点击 OK ，VPN客户策略出现在访问策略列表中。

给予管理员账户拨入权限

在非本地模式的活动目录域中，所有用户账户的拨入权限默认是禁止的。你必须为每个用户启用拨入权限。与之相对的是，在本地模式的域中，默认地，拨入权限受远程访问策略的控制。Windows NT 4.0域和非本地模式的域一样，由独立的用户账户来控制拨入权限。

在我们当前的例子中，活动目录是Windows Server 2003混合模式，所以我们需要手动修改域用户账户的拨入权限。我强烈建议你不要在你的域中使用使用任何Windows NT 4.0的域控，这样将提升你域的功能等级。

在域控上为管理员账户执行以下步骤：

1. 点击 Start 并且指向 Administrative Tools，点击 Active Directory Users and Computers。

2. 在 Active Directory Users and Computers 控制台，在左面板上点击 Users ，在右面板上双击 Administrator 账户。

3. 点击 Dial-in 标签，在 Remote Access Permission (Dial-in or VPN) 框架中，选择 Allow access 选项，点击 Apply ，然后点击 OK。

f

4. 关闭 Active Directory Users and Computers 控制台。

测试PPTP VPN连接

ISA Server 2004 VPN服务器已经准备好了接受VPN客户的连接，执行以下步骤测试VPN服务器：

1. 在一台Windows 2000 外部客户计算机上，右击网上邻居 图标，并且点击 属性。

2. 在网络和拨号连接窗口中双击建立新连接图标。

3. 在Welcome to the Network Connection Wizard页上点击Next 。

4. 在 网络连接类型 页，选择 Connect to a private network through the Internet ，并且点击 Next。

5. 在 目的地址 页，在Host name or IP address 文本框中输入IP地址192.168.1.70 ，点击 Next。

6. 在 Connection Availability 页，选择 For all users ，并且点击 Next。

7. 在 Internet Connection Sharing 页不做修改，点击 Next。

8. 在 Completing the Network Connection Wizard 页，在 Type the name you want to use for this connection 文本框中输入一个VPN连接的名字，在这个例子中，我们命名为 ISA VPN，确认勾选了在桌面上添加图标，点击 Finish。

9. 在 Connect ISA VPN 对话框，输入用户名 MSFIREWALL\administrator 和对应的密码，点击 Connect。

10. VPN客户端将和ISA Server 2004VPN服务器建立一个连接，在连接完成的对话框中点击OK，注意连接已经建立好了。

11. 双击在系统托盘区的连接图标，然后点击 Details 标签，你可以看见是使用的 MPPE 128 加密以保护数据的传输，还有VPN客户获取的IP地址。

12. 点击 Start 并且点击 Run ，在 Run 对话框，在Open 文本框中输入\\EXCHANGE2003BE ，然后点击 OK，将会显示出域控上的共享。注意现在我们可以使用一般的计算机名字（注：指Netbios名字，不是FQDN）来访问域控，因为ISA Server 2004防火墙VPN服务器给VPN客户端分配了一个WINS服务器地址。

13. 右击系统托盘区的连接图标，然后点击断开。

为ISA Server 2004防火墙和VPN客户颁发证书

你可以使用L2TP/IPSec协议来为你的VPN连接改进安全级别。IPSec加密协议在Microsoft Point to Point Encryption (MPPE)上为加密PPTP连接提供了一些安全优点。当ISA Server 2004防火墙VPN服务器使用预定义的密钥来支持IPSec加密是不安全的，在可能的情况下应该避免，安全的IPSec通信是为VPN服务器和VPN客户机使用计算机证书。

第一步先为ISA Server 2004防火墙VPN服务器发行一个计算机证书，在ISA Server 2004防火墙上执行以下步骤以从内部网络的企业CA上请求一个证书。

1. 打开 Internet Explorer，在地址栏输入 http://10.0.0.2/certsrv 并回车。

2. 在 Enter Network Password<, , /, B ,> 对话框，在用户名和密码文本框中分别输入 Administrator 和密码，点击 OK。

3. 在Welcome页上点击 Request a Certificate 链接。

4. 在 Request a Certificate 页，点击 advanced certificate request 链接。

5. 在 Advanced Certificate Request 页，点击 Create and submit a request to this CA 链接；

6. 在 Advanced Certificate Request 页，从Certificate Template 列表中选择 Administrator 证书，勾选 Store certificate in the local computer certificate store ，点击 Submit。

7. 在Potential Scripting Violation 对话框中点击 Yes 。

8. 在 Certificate Issued 页，点击 Install this certificate 链接。

9. 在Potential Scripting Violation 页中点击 Yes 。

10. 看完Certificate Installed 页后，关闭浏览器。

11. 点击 Start 然后点击 Run ，输入 mmc ，然后回车。

12. 在 Console1 控制台中，点击 File 菜单再点击 Add/Remove Snap-in 。

13. 在 添加/删除管理单元 对话框上点击 Add 。

14. 在Add Standalone Snap-in 对话框的Available Standalone Snap-ins 列表中选择 Certificates ，点击 ADD。

15. 在Certificates snap-in页选择 Computer account 选项。

16. 在Select Computer页选择 Local computer 。

17. 在 Add Standalone Snap-in 点击 Close。

18. 在添加/删除管理单元对话框上点击 OK。

19. 在控制台的左面板，展开 Certificates (Local Computer) 再展开 Personal ，点击 \Personal\Certificates ，双击右面板的 Administrator 证书。

20. 在Certificate 对话框，点击 Certification Path 标签，在 Certification path 看见的证书层次的顶端是根CA证书。点击列表顶部的 EXCHANGE2003BE ，点击 View Certificate 按钮。

21. 在 Certificate 对话框，点击 Details 标签，点击 Copy to File 按钮。

22. 在Welcome to the Certificate Export Wizard 页上点击 Next 。

23. 在 Export File Format 页，选择Cyptographic Message Syntax Standard PKCS #7 Certificates (.P7B) 选项，然后点击 Next。

24. 在 File to Export 页，在文件名文本框输入 c:\cacert ，点击 Next。

25. 在Completing the Certificate Export Wizard 页点击 Finish。

26. 在Certificate Export Wizard 对话框点击OK。

27. 在Certificate 对话框上点击 OK ，再次点击 OK 。

28. 在控制台的左面板，展开 Trusted Root Certification Authorities ，然后点击 Certificates ，右击 \Trusted Root Certification Authorities\Certificates ，指向 All Tasks 然后点击 Import。

29. 在Welcome to the Certificate Import Wizard 页，点击 Next。

30. 在 File to Import 页，使用 Browse 按钮找到你刚才存放在本地硬盘的CA证书，然后点击 Next。

31. 在 Certificate Store 页，接受默认的设置，然后点击Next。

32. 在Completing the Certificate Import Wizard 页点击 Finish。

33. 在Certificate Import Wizard对话框上点击 OK ，它提示你导入成功了。

注意你不需要手动复制企业CA证书到ISA Server 2004防火墙的Trusted Root Certification Authorities 证书存储区，因为CA证书会自动安装在域成员上。如果防火墙不是域的成员，你需要手动存放CA证书到 Trusted Root Certification Authorities 证书存储区。

下一步是为VPN客户计算机发行一个计算机证书。在此例中，VPN客户计算机不是域的成员，你需要使用企业CA的web注册站点请求一个计算机证书并且手动存放企业CA证书到客户端的Trusted Root Certification Authorities 证书存储区，完成这一任务的最简单方法是让VPN客户机从PPTP链路上请求证书。

· 注意：
在一个生产环境，不信任的客户将不能颁发计算机证书，只有作为域成员的已管理的计算机，可以安装计算机证书。域成员斗室已管理的客户因此在组织的管理控制之下。计算机证书是一种安全原则，并不是意味者可以让通过VPN链接的客户自由访问。

执行以下步骤请求和安装CA证书：

1. 和ISA Server 2004防火墙VPN服务器建立一个PPTP VN连接。

2. 打开Internet Explorer，在地址栏输入 http://10.0.0.2/certsrv 并回车。

3. 在Enter Network Password 对话框，在用户名和密码文本框中输入Administrator 和对应的密码，点击 OK。

4. 在Welcome 页点击 Request a Certificate 连接。

5. 在 Request a Certificate 页，点击advanced certificate request链接。

6. 在 Advanced Certificate Request 页，点击 Create and submit a request to this CA 链接。

7. 在 Advanced Certificate Request 页，在Certificate Template列表中选择 Administrator 证书，勾选 Store certificate in the local computer certificate store ，点击 Submit。

8. 在 Potential Scripting Violation 对话框中点击 Yes 。

9. 在 Certificate Issued 页，点击 Install this certificate 。

10. 在Potential Scripting Violation 页点击Yes 。

11. 在看完Certificate Installed页后，关闭浏览器。

12. 点击开始，点击运行 ，输入 mmc 然后回车。

13. 在 Console1 控制台，点击 File 菜单再点击 Add/Remove Snap-in 。

14. 在 Add/Remove Snap-in 对话框上点击 Add 。

15. 在Add Standalone Snap-in 对话框的 Available Standalone Snap-ins 列表中选择 Certificates ，点击 Add。

16. 在Certificates snap-in页选择 Computer account 选项。

17. 在Select Computer 页选择 Local computer 选项。

18. 在Add Standalone Snap-in 对话框中点击 Close 。

19. 在 Add/Remove Snap-in 对话框点击 OK 。

20. 在控制台的左边，展开 Certificates (Local Computer) 然后展开 Personal ，点击 \Personal\Certificates ，双击右边面板的 Administrator 证书。

21. 在 Certificate 对话框，点击 Certification Path 标签，在 Certification path 看见的证书层次的顶端是根CA证书。 点击列表顶端的 EXCHANGE2003BE 证书，点击View Certificate 按钮。

22. 在企业证书的 Certificate 对话框，点击 Details 标签，点击 Copy to File 按钮。

23. 在Welcome to the Certificate Export Wizard 页点击Next 。

24. 在 Export File Format 页，选择 Cyptographic Message Syntax Standard PKCS #7 Certificates (.P7B) 选项，点击 Next。

25. 在 File to Export 页，在文件名文本框中输入 c:\cacert ，点击 Next。

26. 在Completing the Certificate Export Wizard 页点击 Finish 。

27. 在Certificate Export Wizard 对话框中点击 OK 。

28. 在Certificate 对话框中点击 OK ，再次点击 Certificate 对话框的 OK 。

29. 在控制台的左面板，展开 Trusted Root Certification Authorities 并点击 Certificates ，右击 \Trusted Root Certification Authorities\Certificates ，指向 All Tasks 并点击 Import。

30. 在Welcome to the Certificate Import Wizard页点击 Next 。

31. 在 File to Import 页，使用 Browse 按钮找到刚才你存放在本地硬盘的的CA证书， 点击 Next。

32. 在 Certificate Store 页，接受默认选项，然后点击 Next。

33. 在Completing the Certificate Import Wizard 页点击 Finish 。

34. 在Certificate Import Wizard对话框上点击 OK ，它提示你导入成功了。

右击在系统托盘区的连接图标，然后点击断开。

测试L2TP/IPSec VPN连接

现在ISA Server 2004防火墙和VPN客户计算机都已经安装了证书，你可以测试从远程访问客户到防火墙建立一个安全连接。第一步是重启路由和远程访问服务以让它能使用新的证书。

执行以下步骤以重启路由和远程访问服务：

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台，展开服务器，点击 Monitoring 。

2. 在细节面板，点击 Services 标签，右击 Remote Access Service 然后点击 Stop。

3. 再次右击 Remote Access Service 然后点击 Start.

接下来开始VPN客户连接：

1. 从VPN客户计算机建立一个VPN连接的步骤和前面的一样。

2. 在提示你连接已经建立的Connection Complete 对话框中，点击 OK 。

3. 双击在系统托盘区的连接图标。

4. 在 ISA VPN Status 对话框属性中，点击 Details 标签，你将看到 IPSEC Encryption ，指出你现在使用的是IPSec加密。

在 ISA VPN Status 对话框上点击 Close 。

监控VPN客户端

ISA Server 2004 防火墙允许你监控VPN客户的连接。执行以下步骤可以察看VPN连接：

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台，展开左边面板的计算机名字，然后点击 Virtual Private Networks (VPN) ，在这个任务面板，点击 Tasks 标签，点击 Monitor VPN Clients 链接。

2. 现在你打开 Monitoring 节点的Sessions 标签，在这儿你可以看见当前的VPN会话。

3. 点击 Dashboard 标签，在这儿你可以看见Sessions 面板的 VPN Remote Client 链接。

4. 你也可以使用实时记录特性来监视VPN客户的连接，点击Logging 标签，然后点击任务面板的 Tasks 标签，点击 Start Query 链接，这儿你可以看到通过防火墙的所有通信。你也可以使用过滤来观察指定的VPN客户或VPN客户网络。