郑州轻院轻工职业学院
专科毕业设计(论文)
题目基于ISAServer防火墙的设计和实现
学生姓名
专业班级
学号
系别
指导教师(职称)
完成时间
基于ISAServer防火墙的设计和实现
摘要
随着网络的发展,人们对信息的安全也越来越重视,正是因为这样才推动了
防火墙的快速发展,ISA是防火墙的软件技术,目前ISA(InternetSecurity
Acceleration)的版本有ISA2000ISA2004ISA2006ISA2008,是一款微软出品
的著名路由级网络防火墙。ISA服务器在2006年提供组织以能力巩固从现代计
算的世界的盘剥和威胁的重要企业基础设施的一个健壮应用层防火墙。本文应用
ISAServer2006来实现防火墙在企业网络中的重要作用,通过讲述ISA的安装
和配置使其成为边界防火墙并简单介绍ISAServer2006,VPN对现在人们的需
求特别是对于那些小型企业的用户来说追求安全而又实惠的方法只有用ISA
Server来构建VPN,本文通过介绍VPN、搭建VPN来为大家讲解VPN的使用方法,
然后通过使用ISA构建VPN来实现两个总公司与分公司之间的安全通信,并运用
模拟网络环境测试网络的连通性和防火墙系统。
关键字ISA/VPN/防火墙
BadOnISAServerFirewallDesignandImplementation
ABSTRACT
Withthedevelopmentofthenetwork,peoplearemoreandmoreattentiontothe
curityofinformation,precilybecauthiswastopromotetherapiddevelopment
offirewall,ISAisafirewallsoftwaretechnology,thecurrentISA(InternetSecurity
Acceleration)versionhasISA2000ISA2004ISA2006ISA2008,isaMicrosoftprod-
ver2006providesorganiza-
tionstheabilitytoconsolidatetheworldfromtheexploitationofmoderncomputing
andamajor
thispaper,ISAServer2006firewallintheenterpritorealizetheimportantroleof
thenetwork,bytellingittoinstallandconfigureISAasafirewallandabriefborder
ISAServer2006,VPNondemandisnowespeciallyforsmallbusinessurstothat
thepursuitofsafeandaffordablewaytobuildonlywithISAServerVPN,thispaper
introducesVPN,VPNtuptorveyouontheuofVPN,andthenconstructedby
usingtheISAVPNtoachievebetweenthetwoheadofficeandbranchofficescure
communications,andnetworkenvironmentusingsimulatedtestnetworkconnectivity
andfirewallsystems
KEYWORDSISA,VPN,Firewall
目录
..........................................................................................................................................................1
?.............................................................................................................................................1
...................................................................................................................................................1
?.............................................................................................................................................6
2ISAServer........................................................................................................................8
ISAServer简介.......................................................................................................8
ISAServer的作用.................................................................................................8
安全服务发布.............................................................................................................9
正向Web缓存服务器..............................................................................................9
反向Web缓存服务器..............................................................................................9
防火墙和Web缓存集成服务器........................................................................9
3安装ISAServer2006.............................................................................................10
安装步骤......................................................................................................................10
Server2006安装效果..........................................................................................12
4.构建VPN.............................................................................................................................13
.................................................................................................................................................13
.................................................................................................................................................13
.................................................................................................................................................13
.................................................................................................................................................14
ISAServer集成的VPN特性...............................................................................14
构建一个安全稳定的VPN服务器操作系统平台.........................................15
定义VPN地址池......................................................................................................15
配置VPN服务器......................................................................................................17
.........................................................................................................................................18
防火墙策略................................................................................................................18
用户拨入权限.........................................................................................................18
5.结束语.................................................................................................................................21
致谢.........................................................................................................................................22
参考文献...................................................................................................................................23
Internet的发展给政府结构、企事业单位带来了革命性的改革和开放。他们
正努力通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。
通过Internet,企业可以从异地取回重要数据,同时又要面对Internet开放带
来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内
部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因
此企业必须加筑安全的"战壕",而这个"战壕"就是防火墙。
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安
全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入
Internet网络为最甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)
或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息
的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的
信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和
信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一
个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络
的安全。
所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其
IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔
了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客
户机。
图1-1IP地址过滤
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就
产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP
包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给
UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的
防火墙才能到达UNIX计算机。
图1-2防火墙阻止IP流量
现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计
算机的数据包都给拒了,完成这项工作以后,“心肠”比较好的防火墙还会通
知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算
机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令防火墙专给那台可怜的PC机找茬,别人的数据
包都让过就它不行。这正是防火墙最基本的功能:根据IP地址做转发判断。但
要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,
伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址
的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机
名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
服务器TCP/UDP端口过滤
仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目
标主机上往往运行着多种通信服务,比方说,我们不想让用户采用telnet的
方式连到系统,但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器
吧?所以说,在地址之外我们还要对服务器的TCP/UDP端口进行过滤。
图1-3服务器端的TCP/UDP端口过滤
比如,默认的telnet服务连接端口号是23。假如我们不许PC客户机建立
对UNIX计算机(在这时我们当它是服务器)的telnet连接,那么我们只需命
令防火墙检查发送目标是UNIX服务器的数据包,把其中具有23目标端口号的
包过滤就行了。这样,我们把IP地址和目标服务器TCP/UDP端口结合起来不就
可以作为过滤标准来实现相当可靠的防火墙了吗?不,没这么简单。
客户机也有TCP/UDP端口
TCP/IP是一种端对端协议,每个网络节点都具有唯一的地址。网络节点的
应用层也是这样,处于应用层的每个应用程序和服务都具有自己的对应“地
址”,也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应
用之间的有效通信联系。比如,telnet服务器在端口23侦听入站连接。同时
telnet客户机也有一个端口号,否则客户机的IP栈怎么知道某个数据包是属
于哪个应用程序的呢?
由于历史的原因,几乎所有的TCP/IP客户程序都使用大于1023的随机分
配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口,而这
些端口还保留为服务器上的服务所用。所以,除非我们让所有具有大于1023端
口号的数据包进入网络,否则各种网络连接都没法正常工作。
这对防火墙而言可就麻烦了,如果阻塞入站的全部端口,那么所有的客户
机都没法使用网络资源。因为服务器发出响应外部连接请求的入站(就是进入
防火墙的意思)数据包都没法经过防火墙的入站过滤。反过来,打开所有高于
1023的端口就可行了吗?也不尽然。由于很多服务使用的端口都大于1023,比
如Xclient、基于RPC的NFS服务以及为数众多的非UNIXIP产品等
(NetWare/IP)就是这样的。那么让达到1023端口标准的数据包都进入网络的
话网络还能说是安全的吗?连这些客户程序都不敢说自己是足够安全的。
图1-4客户端的TCP/UDP端口过滤
双向过滤
OK,咱们换个思路。我们给防火墙这样下命令:已知服务的数据包可以进
来,其他的全部挡在防火墙之外。比如,如果你知道用户要访问Web服务器,
那就只让具有源端口号80的数据包进入网络:
图1-5双向过滤
不过新问题又出现了。首先,你怎么知道你要访问的服务器具有哪些正在
运行的端口号呢?像HTTP这样的服务器本来就是可以任意配置的,所采用的
端口也可以随意配置。如果你这样设置防火墙,你就没法访问哪些没采用标准
端口号的的网络站点了!反过来,你也没法保证进入网络的数据包中具有端口
号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具,
并让其运行在本机的80端口!
检查ACK位
源地址我们不相信,源端口也信不得了,这个不得不与黑客共舞的疯狂世
界上还有什么值得我们信任呢?还好,事情还没到走投无路的地步。对策还是
有的,不过这个办法只能用于TCP协议。
TCP是一种可靠的通信协议,“可靠”这个词意味着协议具有包括纠错机
制在内的一些特殊性质。为了实现其可靠性,每个TCP连接都要先经过一个“握
手”过程来交换连接参数。还有,每个发送出去的包在后续的其他包被发送出
去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK
包来响应,实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。
所以,只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认,
所以它就没有设置ACK位,后续会话交换的TCP包就要设置ACK位了。
图1-6检查ACK位
举个例子,PC向远端的Web服务器发起一个连接,它生成一个没有设置ACK
位的连接请求包。当服务器响应该请求时,服务器就发回一个设置了ACK位的
数据包,同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响
应包再响应该数据包,这个数据包也设置了ACK位并标记了从服务器收到的字
节数。通过监视ACK位,我们就可以将进入网络的数据限制在响应包的范围之
内。于是,远程系统根本无法发起TCP连接但却能响应收到的数据包了。
这套机制还不能算是无懈可击,简单地举个例子,假设我们有台内部Web
服务器,那么端口80就不得不被打开以便外部请求可以进入网络。还有,对
UDP包而言就没法监视ACK位了,因为UDP包压根就没有ACK位。还有一些TCP
应用程序,比如FTP,连接就必须由这些服务器程序自己发起。
FTP带来的困难
一般的Internet服务对所有的通信都只使用一对端口号,FTP程序在连接
期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执
行命令的通信链路,而另一对端口号则用于FTP的“数据通道”提供客户机和
服务器之间的文件传送。
在通常的FTP会话过程中,客户机首先向服务器的端口21(命令通道)发
送一个TCP连接请求,然后执行LOGIN、DIR等各种命令。一旦用户请求服务器
发送数据,FTP服务器就用其20端口(数据通道)向客户的数据端口发起连接。
问题来了,如果服务器向客户机发起传送数据的连接,那么它就会发送没有设
置ACK位的数据包,防火墙则按照刚才的规则拒绝该数据包同时也就意味着数
据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才
告诉服务器的端口,然后才许可对该端口的入站连接。
UDP端口过滤
好了,现在我们回过头来看看怎么解决UDP问题。刚才说了,UDP包没有
ACK位所以不能进行ACK位过滤。UDP是发出去不管的“不可靠”通信,这种
类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、
WINS、NetBIOS-over-TCP/IP和NetWare/IP都使用UDP。
看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许
转发来自内部接口的UDP包,来自外部接口的UDP包则不转发。现在的问题是,
比方说,DNS名称解析请求就使用UDP,如果你提供DNS服务,至少得允许一些
内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP,如果要让你的用
户使用它,就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地
到可信任站点之间的连接进行限制。但是,什么叫可信任!如果黑客采取地址
欺骗的方法不又回到老路上去了吗?
有些新型路由器可以通过“记忆”出站UDP包来解决这个问题:如果入站
UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找
不到匹配的UDP包就只好拒绝它了!但是,我们如何确信产生数据包的外部主
机就是内部客户机希望通信的服务器呢?如果黑客诈称DNS服务器的地址,那
么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询
和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。所谓代理服
务器,顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许
存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器
等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉
就是网络内部的主机都站在了网络的边缘,但实际上他们都躲在代理的后面,
露面的不过是代理这个假面具。
防火墙能做什么?
(1)防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,
并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能
通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不
安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的
协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选
项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有
以上类型攻击的报文并通知防火墙管理员。
(2)防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、
身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相
比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和
其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
(3)对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出
日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火
墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收
集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙
是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络
使用统计对网络需求分析和威胁分析等而言也是非常重要的。
(4)防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而
限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内
部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安
全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏
洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类
型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个
系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被
攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样
一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支
持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企
事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整
体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
2ISAServer
ISAServer简介
ISAServer是建立在Windows2000操作系统上的一种可扩展的企业级防火
墙和Web缓存服务器。ISAServer的多层防火墙可以保护网络资源免受病毒、
黑客的入侵和未经授权的访问。而且,通过本地而不是Internet为对象提供服务,
其Web缓存服务器允许组织能够为用户提供更快的Web访问。在网络内安装ISA
Server时,可以将其配置成防火墙,也可以配置成Web缓存服务器,或二者兼
备。ISAServer提供直观而强大的管理工具,包括Microsoft管理控制台管理单
元、图形化任务板和逐步进行的向导。利用这些工具,ISAServer能将执行和
管理一个坚固的防火墙和缓存服务器所遇到的困难减至最小。
ISAServer提供一个企业级Internet连接解决方案,它不仅包括特性丰富且
功能强大的防火墙,还包括用于加速Internet连接的可伸缩的Web缓存。根据
组织网络的设计和需要,ISAServer的防火墙和Web缓存组件可以分开配置,
也可以一起安装。
ISAServer有两个版本,以满足您对业务和网络的不同需求。ISAServer标
准版可以为小型企业、工作组和部门环境提供企业级防火墙安全和Web缓存能
力。ISAServer企业版是为大型组织设计的,支持多服务器阵列和多层策略,
提供更易伸缩的防火墙和Web缓存服务器。
利用Windows2000安全数据库,ISAServer允许您根据特定的通信类型,
为Windows2000内定义的用户、计算机和组设置安全规则,具有先进的安全特
性。
利用ISAManagement控制台,ISAServer使防火墙和缓存管理变得很容易。
ISAManagement采用MMC,并且广泛使用任务板和向导,大大简化了最常见
的管理程序,从而集中统一了服务器的管理。ISAServer也提供强大的基于策
略的安全管理。这样,管理员就能将访问和带宽控制应用于他们所设置的任何
策略单元,如用户、计算机、协议、内容类型、时间表和站点。总之,ISAServer
是一个拥有自己的软件开发工具包和脚本示例的高扩展性平台,利用它您可以
根据自身业务需要量身定制Internet安全解决方案。
ISAServer的作用
不管是什么规模的组织,只要它关心自己网络的安全、性能、管理和运营
成本,对其IT管理者、网络管理员和信息安全专业人员来说,ISAServer都具
备使用价值。ISAServer有3种不同的安装模式:防火墙(Firewall)模式、缓存
(Cache)模式和集成(Integrated)模式。集成模式能够在同一台计算机上实现前两
种模式。组织可以有多种联网方案来部署ISAServer,包括以下所述的几种方
法。Internet防火墙ISAServer可以安装成专用防火墙,作为内部用户接入
Internet的安全网关。在信道里ISAServer计算机对其他方来说是透明的。除非
是违反了访问或安全规则,那么任何用户或应用程序通过防火墙时都看不到
ISAServer。作为防火墙,ISAServer允许设置一组广泛的规则,以指定能够通
过ISAServer的站点、协议和内容,由此实现您的商业Internet安全策略。通过
监视内部客户机和Internet之间的请求和响应,ISAServer可以控制哪些人能够
访问公司网络里的哪台计算机。ISAServer还能控制内部客户端能够访问
Internet上的哪台计算机。
安全服务发布
使用ISAServer您能够向Internet发布服务,而且不会损害内部网络的安全。
要实现这一点,只需让ISAServer计算机代表内部发布服务器来处理外部客户
端的请求即可。
正向Web缓存服务器
作为正向Web缓存服务器,ISAServer保存集中缓存内经常受到请求的
Internet内容,专用网络内的任何Web浏览器都可以访问这些内容。这样可以
改善客户端浏览器的性能,缩短响应时间,并且减少Internet连接的带宽消耗。
反向Web缓存服务器
ISAServer可以作为Web服务器。它用缓存中的Web内容来满足传入的客
户端请求。只有缓存中的内容不能满足请求时,它才会把请求转发给Web服务
器。
防火墙和Web缓存集成服务器
组织可以将ISAServer配置成单独的防火墙和缓存组件。不过,有些管理
员会选择单一的防火墙和Web缓存集成服务器,以提供安全快速的Internet连接。
不管组织如何配置ISAServer,都能从集中化、集成的基于策略的管理中受益。
3安装ISAServer2006
安装步骤
登录到需要安装ISAServer2006的主机上,然后拷贝安装程序的主机并运
行程序,出现如图3-1所示
图3-1ISA安装界面
单击[安装ISAServer2006],开始安装ISAServer2006企业版。
单击【下一步】按钮,出现【许可协议】对话框,选择【我接受许可协议
中的条款】选项。
单击下一步按钮,出现【客户信息】对话框,在【用户】、【单位】和【产
品序列号】中输入相关信息。
单击下一步按钮,出现【安装方案】对话框。在该对话框中选择安装方案,
在此选择【同时安装ISAServer服务和配置存储服务器】选项,如图3-2所示。
图3-2安装方案
单击【下一步】按钮,出现【组件选项】对话框,在此安装【ISA服务器】、
【ISA服务器管理】和【配置存储服务器】组件,如图3-3所示。
图3-3组件的选择
单击下一步按钮,出现【企业安装选项】对话框,选择【创建新ISA服务
器企业】选项。单击【下一步】按钮,出现【新建企业警告】对话框,显示将
此计算机配置为配置存储服务器。单击下一步按钮,出现【内部网络】对话框,
在该对话框中指定内部网络。单击【添加】按钮,出现【地址】对话框。
单击【添加范围】按钮,出现【IP地址范围属性】对话框,在该对话框输
入公司内部网络的地址范围,~,如图图3-4所示。
图3-4内网IP
单击【确定】按钮,返回【地址】对话框,可以看到已经添加了地址范围。
单击【确定】按钮,返回【内部网络】对话框。单击下一步按钮,出现【防火
墙客户端连接】对话框,在该对话框中指定ISA是否将接受来自不支持加密的
防火墙客户端的连接,在此选择【允许不加密的防火墙客户端连接】选项单击
下一步按钮,出现【服务警告】对话框,表示在安装ISAServer2006过程中
将要重启和禁用的服务。单击下一步按钮,出现【可以安装程序了】对话框。
单击【安装】按钮,开始安装ISAServer2006。等几分钟以后,单击【完成】
按钮即可结束整个安装过程。
Server2006安装效果
ISAServer2006安装完毕,通过如下方法进行验证是否安装成功。
(1)ISA控制台
在ISA服务器上,单击【开始】【程序】【McrosoftISAServer】【ISA服务
器管理】,打开如图3-5所示ISA管理控制台。
图3-5ISA主界面
(2)ISA的相关服务
在安装ISA的服务器上,单击【开始】【程序】【管理工具】【服务】,打开
【服务】控制台,如图3-6所示,安装ISAServer2006以后,多出了【Microsoft
Firewall】、【MicrosoftISAServerControl】、【MicrosoftISAServerJobSchedler】
以及【MicrosoftISAServerStorage】服务。
图3-6ISA的相关服务
4.构建VPN
虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个
临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用
这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是
对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙
伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚
拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可
用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业
伙伴和用户的安全外联网虚拟专用网
VPN可以提供的功能:防火墙功能、认证、加密、隧道化。VPN可以通过
特殊加密的通讯协议连接到Internet上,在位于不同地方的两个或多个企业内部
网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不
需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不
用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具
有的重要技术之一,在交换机,防火墙设备或Windows2000等软件里也都支持
VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
IPSec:IPc(缩写IPSecurity)是保护IP协议安全通信的标准,它主要对
IP协议分组进行加密和认证。IPc作为一个协议族(即一系列相互关联的协议)
由以下部分组成:(1)保护分组流的协议;(2)用来建立这些安全分组流的密钥
交换协议。前者又分成两个部分:加密分组流的封装安全载荷(ESP)及较少
使用的认证头(AH),认证头提供了对分组流的认证并保证其消息完整性,但
不提供保密性。目前为止,IKE协议是唯一已经制定的密钥交换协议。
PPTP:PointtoPointTunnelingProtocol--点到点隧道协议,在因特网上建
立IP虚拟专用网(VPN)隧道的协议,主要内容是在因特网上建立多协议安全
虚拟专用网的通信方式。
L2F:Layer2Forwarding--第二层转发协议
L2TP:Layer2TunnelingProtocol--第二层隧道协议
GRE:VPN的第三层隧道协议
OpenVPN:OpenVPN使用OpenSSL库加密数据与控制信息:它使用了
OpenSSL的加密以及验证功能,意味着,它能够使用任何OpenSSL支持的算法。
它提供了可选的数据包HMAC功能以提高连接的安全性。此外,OpenSSL的硬
件加速也能提高它的性能。针对不同的用户要求,VPN有三种解决方案:远程
访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟
网(ExtranetVPN)
VPN服务器在目前的网络中应用得越来越广泛,正在成为企业网络中不可
或缺的角色,如何才能创建出自己的VPN服务器?怎么才能管理好VPN服务器?
下面我就给大家介绍VPN服务器的配置和管理,内容包括VPN服务器的单点拨
入,站点到站点的VPN,VPN用户隔离,VPN结合Radius验证,VPN接合智
能卡和证书等。在这里就介绍一下如何利用ISA2006来搭建一个自己的VPN服
务器。
VPN是虚拟专用网络的缩写,属于远程访问技术,简单地说就是利用网链
路架设似有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,
这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解
决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内
网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到VPN服务
器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服
务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,我们可以认
为数据是在一条专用的数据链路上进行安全传输,就好像我们专门架设了一个
专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此只能称为虚
拟专用网。这下您肯定明白了,VPN实质上就是利用加密技术在公网上封装出
一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,
只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN
在企业中应用得如此广泛。上述介绍的VPN应用属于VPN用户的单点拨入,
VPN还有一种常见的应用是在两个内网之间架设站点到站点的VPN。
ISAServer集成的VPN特性
ISAServer是美国微软公司研发的一款网络安全类软件产品.用于部署企
业级防火墙、网络应用层防护和VPN远程访问等。ISAServer集成了高性能的
VPN服务器。支持PPTP、L2TP/IPSEC和IPSEC隧道模式的VPN协议。通过新
增的多网络支持和对VPN监控状态的检查,可以轻松的设置虚拟冬.用网络。
同时又可以防止校园网受到恶意VPN连接的威胁。ISAServer本身义是一款企
业级防火墙软件。所有预配景VPN客户端网络定义的访问策略都适用于VPN用
户,并且受到防火墙全局策略的控制,网络安全级别较高。
ISAServer支持两种模式的VPN:
1)远程访问的VPN连接。ISAServer作为VPN接人服务器,需在服务器端
为VPN用户配置访问权限。网络用户在家中或者外地通过ADSL、无线上网、小
区宽带或其它方式与Internet连通,采用VPN虚拟拨号与ISAServer服务器
建立连接,验证成功后登录到远程内部网络。安全的传输数据。
2)端对端的VPN连接。即路由器与路由器通过Internet建立VPN专用数据
传输隧道,将专用网络的两个部分安全互连。必须为远程VPN用户所在的整个
网络授予访问权限,两个远程网络内部的计算机u丁以通过VPN互访,就好像
使用本地局域网一样方便。
构建一个安全稳定的VPN服务器操作系统平台
为了确保VPN运行的安全、稳定和高效,建议采用WindowsServer2003企
业版作为操作系统平台。配置高性能的多核心CPU处理器.、大容量内存和双千
兆网卡的服务器硬件。同时加强服务器自身的安全性,在线升级和安装全部补
丁程序。修复各种漏洞。安装防病毒软件,防止感染计算机病毒、各种木马程
序和有害插件等。关闭默认的硬盘共享属性、禁用不必要的网络服务端LI。如
关闭IIS的80端口、FTP的21端口、远程桌面的3389端口等。为管理员用户
Administrator改名并设置复杂的密码,强制采用强密码策略,以减小词典攻
击的可能性。取消Microsoft网络的文件和打印机共享,仅保留Intemet协议
(TCP/IP)等,从整体上降低网络入侵的风险。
实验拓扑如图4-1,Denver是内网的域控制器,DNS服务器,CA服务器,
Beijing是ISA2006服务器,Istanbul模拟外网的客户机。
图4-1实验拓扑图
ISA2006调用了Win2003中的路由和远程访问组件来实现VPN功能,但我
们并不需要事先对ISA服务器上的路由和远程访问进行配置,ISA2006会自动
实现对路由和远程访问的调用。我们先来看看ISA2006如果要实现VPN功能需
要进行哪些设置?
定义VPN地址池
配置VPN服务器的第一步就是为VPN用户分配一个地址范围,这里有个
误区,很多人认为既然要让VPN用户能访问内网资源,那就给VPN用户直接分
配一个内网地址就行了。-,-。如果你的VPN服务器是用Win2003的路由和
远程实现的,那这么做是可以的,路由和远程访问本身就只提供了VPN的基本
功能,对地址管理并不严格。但这么做在ISA上是不可以的,因为ISA是基于
网络进行管理的!内网是一个网络,VPN用户是另一个网络,两个网络的地址
范围是不能重叠的!虽然我们使用DHCP技术可以使VPN用户也获得内网地
址,但绝不推荐这么做!因为在后期的管理中我们会发现,把VPN用户放到一
个单独的网络中,对管理员实现精确控制是非常有利的,管理员可以单独设定
VPN用户所在网络与其他网络的网络关系,访问策略,如果把VPN用户和内
网用户混在一起,就享受不到这种管理的便利了。因此直接给VPN用户分配内
网地址并不可取,-,虽然这个地址范围和内网大不相同,但不用担心,ISA
会自动在两个网络之间进行路由。
如图4-2所示,在ISA服务器中定位到虚拟专用网络,点击右侧任务面板
中的“定义地址分配”。
图4-2ISAServer界面
分配地址可以使用静态地址,也可以使用DHCP,在此我们使用静态地址池
来为VPN用户分配地址,点击添加按钮,-,如图4-3所示。
图4-3VPN客户端地址池
配置VPN服务器
设置好了VPN地址池后,我们来配置VPN服务器的客户端设置。如图4-4
所示,点击虚拟专用网络右侧任务面板中的“配置VPN客户端访问”。在常规
标签中,我们勾选“启用VPN客户端访问”,同时设置允许最大的VPN客户端
数量为100.,注意VPN客户端的最大数量不能超过地址池中的地址数。
图4-4VPN最大连接数
切换到VPN客户端属性的“组”标签,配置允许远程访问的域组,一般情
况下,管理员会事先创建好一个允许远程访问的组,然后将VPN用户加入这个
组,本次实验中我们就简单一些,直接允许DomainUrs组进行远程访问。如
图4-5
图4-5允许访问的用户组
接下来选择VPN使用的隧道协议,默认选择是PPTP协议,我们把L2TP
也选择上。设置完VPN客户端访问后,我们应重启ISA服务器,让设置生效。
重启ISA服务器之后,我们发现ISA服务器的路由和远程访问已经自动启动了。
想让VPN用户访问内网,一定要设置网络规则和防火墙策略,ISA默认已
经对网络规则进行了定义,从VPN客户端到内网是路由关系,这意味着VPN
客户端和内网用户互相访问是有可能的。
防火墙策略
既然网络规则已经为VPN用户访问内网开了绿灯,那我们就可以在防火墙
策略中创建一个访问规则允许VPN用户访问内网了。当然,如果需要的话,也
可以在访问规则中允许内网访问VPN用户。在防火墙策略中选择新建“访问规
则”。
为访问规则取个名字。如:允许VPN用户访问内网,当访问请求匹配规则
时允许操作。此规则可以应用到所有的通讯协议。规则的访问源是VPN客户端
网络。访问规则的目标是内网此规则适用于所有用户。完成向导,好了,现在
ISA已经允许VPN用户拨入了。
用户拨入权限
最后一步不要忘记,域用户默认是没有远程拨入权限的,我们准备以域管
理员的身份拨入,如下图所示,在ActiveDirectory用户和计算机中打开
administrator的属性,切换到“拨入”标签,如图4-6所示,设置拨入权限为“允
许访问”。
图4-6设置拨入权限
好,至此为止,VPN服务器已经配置完毕了,接下来我们用客户机来测试
一下,看看能够通过VPN服务器拨入内网。ISA支持PPTP和L2TP两种隧道协
议,今天我们在客户机上先对PPTP协议进行测试。
在Istanbul客户机上打开网上邻居的属性,点击新建连接向导。
出现新建连接向导,点击下一步。图4-7
图4-7新建连接向导界面
网络连接类型选择“连接到我的工作场所的网络”。选择创建“虚拟专用网
络连接”。如图4-8
图4-8网络连接类型
在VPN连接中输入公司名称。输入VPN服务器的域名或外网IP,此例中
我们使用域名,注意此域名应该解析到ISA的外网IP,。选择此连接“只是我
使用”,点击下一步后结束连接向导创建。双击执行刚创建出来的VPN连接,
输入用户名和密码,点击“连接”。
输入的用户名和口令通过了身份验证,VPN连接成功,查看VPN连接的
属性,如图4-9所示,我们可以看到当前使用的隧道协议是PPTP,,地址池中
的第一个地址总是保留给VPN服务器,这个地址被成为隧道终点,也是VPN用
户连接内网所使用的网关。
图4-9VPN连接后的信息
既然VPN用户已经通过VPN服务器进行了拨入,看看能否访问内网的服
务器资源,如图4-10所示,在Istanbul上可以成功访问内网的Exchange服务
器,VPN拨入成功!
图4-10连接成功界面
在这里只是搭建了一个简单的VPN服务器,测试了一下客户机使用PPTP
协议进行拨入,在下面的文章中我将以今天的环境为基础,把VPN的应用推向
深入。
5.结束语
利用ISAServer可以方便的架设性能稳定的VPN服务器,为远程用户提供
VPN访问服务,同时ISAServer还可以用于架设企业级的网络防火墙。虚拟专
用网是Internet的重要应用之一,在企业网、校园网、政务网、金融网等各类
网络中得到了广泛的应用。在高职高专的计算机专业教育教学中可以把VPN技
术列为一门重要“高等计算机网络”、“网络安全”类实训课程,对于学生理论
联系实际、提高计算机网络的管理水平以及积累一定的实践经验都有很大的帮
助。
致谢
本论文是在路老师的亲切关怀和悉心指导下完成的。他严肃的教学态度,
严谨的治学精神,精益求精的工作作风,深深地感染和激励着我。从课题的选
择到论文的最终完成,路老师都始终给予我细心的指导和不懈的支持。几个月
来,路老师不仅在论文上给我以精心指导,同时还在思想、生活上给我以无微
不至的关怀,在此谨向路老师致以诚挚的谢意和崇高的敬意。
在此,我还要感谢在一起愉快的度过大学生活的同门,正是由于你们的帮
助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。
在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利
完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚
挚的谢意!最后我还要感谢培养我长大含辛茹苦的父母,谢谢你们!
参考文献
[1]戴有炜《ISAServer2006防火墙的安装和管理指南》科学出版社2005年
[2]邱昌明《ISAServer网络安全中的运用》华东师范大学学报2007,12
[3]邱亮,金悦《ISA配置与管理》清华大学出版社2009年
[4]ISA中文站ISA2006
[5]詹自熬;赵玉娟《基于ISA构建安全局域网》郑州经济管理干部学院学报2005,2
[6]张德杨,高俊,张勇《MicrosoftISAServer在网络管理中的应用》郑州轻工业学院学
报2006,1
本文发布于:2022-12-31 18:54:56,感谢您对本站的认可!
本文链接:http://www.wtabcd.cn/fanwen/fan/90/67220.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
