構(gòu)建基于ISAServer2006的遠程接入VPN服務器

1、Windows域環(huán)境下部署ISA Server 2006防火墻（四）構(gòu)建基于ISA Server 2006的遠程接入VPN服務器接上回，本次將會說到在ISA Server 2006上配置遠程接入VPN服務。以此來解決公司員工出差之后訪問公司內(nèi)部的問題。配置了遠程接入VPN服務后，出差的員工不管走到哪里，只要能上網(wǎng)都能夠通過撥號的方式連接到公司內(nèi)部網(wǎng)絡。遠程接入VPN服務可以配置在windows系統(tǒng)上。之前我寫過一篇文章windows下NAT妙用（），就是把VPN服務做在windows系統(tǒng)上的，既使用NAT把它放到了內(nèi)網(wǎng)但還是感覺不太安全，因為windows系統(tǒng)本身應對一些安全問題還是比較吃力的

2、。這一次就彌補了這個問題，我們把ISA Server 2006裝在windows系統(tǒng)上，使這臺服務器變得強大。然后再在ISA Server 2006上構(gòu)建遠程接入VPN服務。這樣的話，安全性就大大提高了。下面我們來看看具體的實施方法。拓撲在如下：雖然這幅圖大家已經(jīng)見到好幾次了，但每次都是有些區(qū)別的。比如這次就增加了出差的員工，這在企業(yè)里是不得不考慮的問題。公司作為windows域環(huán)境，各員之間，員工與公司之間的關系都是非常緊密的。現(xiàn)在我們就開始邊做邊說吧！第一部分：設置VPN策略1.打開DC，在上面創(chuàng)建一個組，名子就叫vpn-group吧，然后再創(chuàng)建一個測試用的帳戶zpp001,并把他加入vp

3、n-group。這樣做的目的就是為了便于稍后配置時定義哪些個組的用戶可以撥入，總的來說還是為了提高安全性。我這是域環(huán)境所以創(chuàng)建的是域用戶及組。并且我是在DC上添加的，要是是工作組環(huán)境下，就要在ISA Server上添加本地的用戶和組，大家千萬別搞錯了啊。如圖：2.只有上面還不夠在用戶屬性撥入選項卡上還得選擇“允許訪問”，如圖，只有這樣用戶才可以撥進來的。3.現(xiàn)在我們就到ISA Server上來設置吧,先展開陣列，然后單擊“虛擬專用網(wǎng)絡VPN”就顯示了如下圖所示的界面，如圖，可以看到配置VPN客戶端的幾個步驟。4.點擊圖中第一步上的“配置地址分配方法”，就會彈出讓我們給VPN客戶端分配IP地址的

4、界面。如圖，咱們可以通過動態(tài)地址配置協(xié)議（DHCP）給VPN客戶端分配置IP地址，也可以通過分配靜態(tài)地址的方法來分配。注意：這里的地址隨便配都可以只要不提示出錯，我這里就配成-30。不要給的太多，有幾人出差就給幾個是最好的，免得被黑客大哥們利用了。5.現(xiàn)在到第二步里面點擊“指定windows用戶”，在彈出的組對話框中添加，剛剛創(chuàng)建的vpn-group組，如圖，添完之后點擊確定即可。（現(xiàn)在明白剛剛為什么要創(chuàng)建用戶和組了吧！）6.現(xiàn)在該第三步了吧，如圖,點擊“驗證VPN屬性”，在彈出的對話框中選中“啟用PPTP”。然后確定即可。7.現(xiàn)在單擊第三步中的“遠程訪問配置”，在彈出的對話框中勾選外部，如圖

5、。這一步是干什么的呢？它的作用就是讓VPN客戶端通過VPN服務器的這個外部網(wǎng)絡連接撥上來。8.好了，現(xiàn)在VPN策略已經(jīng)設置好了，只需點擊應用確定，就可以了。如圖：大家可能會在想，那第四步和第五步為什么不做??？因為第四步和第五步都是查看，不是必要的動作。不過還沒完，剛剛設置的是VPN的策略，接下來還要設置防火墻策略。第二部分：設置防火墻策略1.展開陣列，右擊防火墻策略，選擇新建，再選擇訪問規(guī)則。如圖所示：2.現(xiàn)在彈出了新建訪問規(guī)則向?qū)В蹅兘o規(guī)則命個名，就叫VPN吧。如圖：3.這里選擇“允許”，就不用解釋了吧，咱們前面已經(jīng)看到很多這個界面了啊。4.在協(xié)議選項卡里選擇“所有出站通訊”。單擊下一步，

6、注意，如果不這樣選擇的話即使用戶撥上來，也做不了什么。5.訪問規(guī)則源選擇這里選擇“VPN客戶端”。這里就是讓咱們指定從哪兒來的對象。6.目標選擇“內(nèi)部”，因為咱們是讓VPN客戶端通過撥號的方式撥入到內(nèi)部網(wǎng)絡。7.用戶集這里選擇所有用戶。當然為了更高的安全性，還可以根據(jù)實際情況縮小小用戶集的范圍。選擇之后點擊下一步即可。8.策略設置頂好了，現(xiàn)在確認一下有無錯誤，如果沒的話，就可以點擊“完成”。如圖：9.現(xiàn)在點擊“應用”，可以看到在“防火墻規(guī)則”中多了一條名稱為“VPN”的策略規(guī)則。至此，我們就完成了ISA Server上遠程接入服務的配置，接下來就是配置客戶端及測試。第三部分：配置客戶端及測試1

7、.現(xiàn)在來到外網(wǎng)客戶機這里，它的IP是0/8和拓撲一致，在網(wǎng)絡連接屬性中單擊“創(chuàng)建一個新的連接”在彈出的對話框中點擊下一步。如圖：2.網(wǎng)絡連接內(nèi)型這里選擇第二項“連接到我的工作場所的網(wǎng)絡”。單擊下一步，如圖：3.現(xiàn)在它問我們想要如何與工作點連接，我們選擇第二項“虛擬專用網(wǎng)絡連接”，也就是咱們的VPN。單擊下一步，如圖：4.連接名這里它要求咱們輸人公司的名稱，其實這只是做個標記而已，跟公司跟服務器端沒有一點關系，設置這個是給自己看到。設完之后點擊下一步即可，如圖：5.現(xiàn)在它讓咱們輸入VPN服務器的名稱或地址，咱這當然是輸入外網(wǎng)接口的地址：.要是想輸入域名的話，必須要在DNS注冊商那里注冊相關記錄才行。6.現(xiàn)在會彈出如圖所示的登錄界面，輸入用戶名zpp001,和密碼就可以登錄了，注意我這用的用戶名是zpp001.我寫的是郵件名，直接寫zpp001都可以，無所謂。7OK！撥上來了啊，可以看到下面的虛擬專用網(wǎng)絡中的網(wǎng)絡連接顯示已連接。執(zhí)行命令ipconfig之后可以看到，客戶機獲得了一個來自ISA Server的IP（/32）。現(xiàn)在直接在開始運行中使用UNC路