進(jìn)階管理實(shí)務(wù)信息技術(shù)

ISA2004

進(jìn)階管理實(shí)務(wù)顧武雄 JoviKu講師介紹高傑信公司-技術(shù)顧問MicrosoftCTEC教育中心講師MicrosoftMVP&特約講師Windows&.NETMagazine–特約作者InformationSecurityMagazine-專欄作家網(wǎng)路資訊、Run!PC、NetAdmin電腦雜誌–專欄作家旗標(biāo)、文魁以及碁鋒圖書作者個(gè)人著作:MicrosoftISAServer建置與管理SharePointPortalServer徹底研究MicrosoftAccessProjectwithSQLServerISASERVER2004系統(tǒng)安全整合實(shí)務(wù)SmallBusinessServer2003系統(tǒng)整合管理實(shí)務(wù)MicrosoftOperationsManager2005IT智慧整合管理實(shí)務(wù)

（已上市）議程VPN網(wǎng)路部署規(guī)劃整合異質(zhì)VPN網(wǎng)路平臺(tái)動(dòng)態(tài)密碼整合應(yīng)用SmartCard整合驗(yàn)證應(yīng)用ISA2004企業(yè)版應(yīng)用介紹Q&AVPN網(wǎng)路部署規(guī)劃三種通道模式IPSec適用：可以與異質(zhì)VPN裝置的通道整合安全性：高L2TPoverIPSec適用：ISAServer與WindowsServer間的VPN連線安全性：高PPTP適用：ISAServer與WindowsServer間的VPN連線安全性：中典型Site-to-SiteVPN這也是本次課程採用的模擬架構(gòu)LAB環(huán)境TCP/IP配置網(wǎng)路名稱網(wǎng)域名稱閘道IP位址外卡IP位址內(nèi)卡IP位址MAINOFFICECogate-SBS4454BRANCHOFFICEDemosite4454網(wǎng)路名稱網(wǎng)域名稱閘道IP位址IP位址MAINOFFICECogate-SBS540BRANCHOFFICEDemosite540ISAServer配置用戶端配置Internetrouter配置Internetrouter總公司VPN配置(1)首先第一個(gè)步驟請(qǐng)點(diǎn)選『虛擬私人網(wǎng)路』\『VPN用戶端』頁面\『工作』清單中的『啟用VPN用戶端存取』?？偣綱PN配置(2)接下來請(qǐng)同樣點(diǎn)選在『工作』頁籤下的『選取存取網(wǎng)路』選項(xiàng)。執(zhí)行後首先在『存取網(wǎng)路』的頁籤中，請(qǐng)確認(rèn)目前提供給外部用戶端進(jìn)行VPN連線的『外部』網(wǎng)路已勾選。

設(shè)定位址指派與身份驗(yàn)證方法。測(cè)試VPN用戶戶端連連線請(qǐng)先設(shè)設(shè)定欲欲開放放VPN遠(yuǎn)遠(yuǎn)端連連線的的使用用者，，預(yù)設(shè)設(shè)值此此權(quán)限限為關(guān)關(guān)閉。。新增網(wǎng)網(wǎng)路連連線選選擇『『連線線到我我工作作地方方的網(wǎng)網(wǎng)路』』。。查看VPN工作作階段段用戶端端與伺伺服端端VPN連連線檢檢視新增分分公司司VPN網(wǎng)網(wǎng)路接下來來我們們必須須在總總公司司的ISASERVER主主控臺(tái)臺(tái)中，，來新新增一一個(gè)與與分公公司的的VPN網(wǎng)網(wǎng)路連連線通通道設(shè)設(shè)定。。請(qǐng)點(diǎn)點(diǎn)選『『設(shè)定定』\『網(wǎng)網(wǎng)路』』\『『工作作』頁頁面中中的『『建立立新網(wǎng)網(wǎng)路』』選項(xiàng)項(xiàng)。。新增分分公司司到總總公司司網(wǎng)路路規(guī)則則請(qǐng)經(jīng)由由『設(shè)設(shè)定』』\『『網(wǎng)路路』\『網(wǎng)網(wǎng)路規(guī)規(guī)則』』的『『工作作』頁頁面中中，點(diǎn)點(diǎn)選『『建立立新的的網(wǎng)路路規(guī)則則』選選項(xiàng)。。新增分分公司司與總總公司司存取取規(guī)則則我們必必須先先在總總公司司的ISASERVER2004主機(jī)機(jī)上，，建立立好分分公司司與總總公司司內(nèi)部部用戶戶端彼彼此間間的存存取原原則，，因?yàn)闉樵陬A(yù)預(yù)設(shè)的的防火火牆存存取則則中，，雙方方網(wǎng)路路的內(nèi)內(nèi)部用用戶端端是無無法透透過任任何的的通訊訊協(xié)定定來進(jìn)進(jìn)行溝溝通的的?？梢苑址殖蓛蓛蓷l規(guī)規(guī)則來來設(shè)定定或是是在單單一條條規(guī)則則中一一次將將分公公司與與總公公司網(wǎng)網(wǎng)路皆皆加入入即可可。完成分分公司司VPN啟啟用啟用VPN用戶戶端存存取設(shè)定VPN用戶戶端存存取進(jìn)行一一般VPN設(shè)定定建立新新的總總公司司『網(wǎng)網(wǎng)路』』設(shè)定定建立『『總公公司到到分公公司內(nèi)內(nèi)部網(wǎng)網(wǎng)路』』網(wǎng)路路規(guī)則則（選選擇路路由模模式））建立雙雙向防防火牆牆原則則整合異異質(zhì)VPN網(wǎng)路路平臺(tái)臺(tái)關(guān)於異異質(zhì)VPN平臺(tái)臺(tái)對(duì)於不不同的的防火火牆設(shè)設(shè)備或或ISASERVER，彼彼此間間想相相互建建構(gòu)出出VPN的的加密密通道道，唯唯一的的選擇擇也是是最高高安全全的通通訊協(xié)協(xié)定選選擇就就是IPSec（InternetProtocolSecurity））。將以CISCOPIX506的防防火牆牆設(shè)備備，來來實(shí)作作出與與ISASERVER2004的的IPSec加加密通通道的的VPN網(wǎng)網(wǎng)路。。新增Cisco網(wǎng)路路設(shè)定定關(guān)於IKE通訊訊協(xié)定定的運(yùn)運(yùn)作機(jī)機(jī)制與與封包包結(jié)構(gòu)構(gòu)說明明，可可參閱閱RFC2409以及及RFC2408的文文件說說明。。設(shè)定網(wǎng)網(wǎng)路規(guī)規(guī)則與與防火火牆原原則設(shè)定硬硬體防防火牆牆在此以以PIX506為為範(fàn)例例，必必須預(yù)預(yù)先設(shè)設(shè)定好好：LANPort與與WANPort的TCP/IP組組態(tài)設(shè)定GatewayIP指指向測(cè)測(cè)試環(huán)環(huán)境中中的Internetrouter建議可可以透透過[Tools]選單單中的的Ping工具具選項(xiàng)項(xiàng)，來來測(cè)試試對(duì)於於路由由器以以及總總公司司ISASERVER外卡卡的連連線，，不過過前提提之下下必須須雙方方的防防火牆牆，都都已經(jīng)經(jīng)有開開放允允許PING的的ICMP協(xié)定定的相相關(guān)設(shè)設(shè)定。。設(shè)定PIX506VPN連線線選擇VPN類型型設(shè)定遠(yuǎn)遠(yuǎn)端VPN資訊訊設(shè)定加加密方方法設(shè)定本本地端端內(nèi)部部網(wǎng)路路設(shè)定遠(yuǎn)遠(yuǎn)端內(nèi)內(nèi)部網(wǎng)網(wǎng)路設(shè)定遠(yuǎn)遠(yuǎn)端VPN資訊訊請(qǐng)將總總公司司ISASERVER外網(wǎng)網(wǎng)卡的的IP輸入入到[PeerIPAddress]欄位位中，，以及及選擇擇與輸輸入預(yù)預(yù)先共共用金金鑰（（Pre-sharedkey）。。設(shè)定加加密方方法必須設(shè)設(shè)定與與在總總公司司ISASERVER相同同的安安全性性參數(shù)數(shù)。。設(shè)定本本地端端內(nèi)部部網(wǎng)路路接下來來在[IPSecTrafficSelector]的的頁面面中，，必須須點(diǎn)選選[Browse]按鈕鈕來選選取在在內(nèi)部部網(wǎng)路路中，，受PIX506防火火牆所所保護(hù)護(hù)的IP區(qū)區(qū)段，，此區(qū)區(qū)段的的用戶戶端電電腦，，同時(shí)時(shí)也將將成為為提供供給總總公司司來連連線存存取的的網(wǎng)段段。設(shè)定遠(yuǎn)端端內(nèi)部網(wǎng)網(wǎng)路定在總公公司內(nèi)部部網(wǎng)路中中，受ISASERVER保護(hù)的的IP區(qū)區(qū)段檢視IPSec連線統(tǒng)統(tǒng)計(jì)資訊訊監(jiān)看VPN連線線狀態(tài)RSASecurID動(dòng)態(tài)密碼碼整合應(yīng)應(yīng)用動(dòng)態(tài)密碼碼的解決決方案解決密碼碼固定不不變的問問題簡化管理理者的工工作負(fù)擔(dān)擔(dān)解除使用用者需經(jīng)經(jīng)常變更更密碼的的困擾密碼每次次都不一一樣，不不易被猜猜中比傳統(tǒng)密密碼更安安全SecurID的動(dòng)動(dòng)態(tài)密碼碼認(rèn)證Login: JoviPasscode:2468723656PINTOKENCODETokencode:Changesevery60secondsUnique64-bitseedInternalBatteryClocksynchronisedtoUCTPASSCODE=+PINTOKENCODERSASecureID典典型應(yīng)應(yīng)用企業(yè)虛擬擬私有網(wǎng)網(wǎng)路（VPN））終端機(jī)遠(yuǎn)遠(yuǎn)端登入入驗(yàn)證（（TSWEB））網(wǎng)路控制制站（DC）安安全無線網(wǎng)路路（WLAN））安全商務(wù)網(wǎng)站站登入驗(yàn)驗(yàn)證建置RSA動(dòng)態(tài)態(tài)密碼網(wǎng)網(wǎng)路環(huán)境境RSAACE/SERVER設(shè)定定RADIUS(IAS)組態(tài)態(tài)設(shè)定不可與RSAACE/SERVER主機(jī)機(jī)安裝在在同一部部ISA2004VPN設(shè)設(shè)定TSWEB的安安裝設(shè)定定ISA2004網(wǎng)網(wǎng)站驗(yàn)證證設(shè)定VPN用用戶端設(shè)設(shè)定VPN用用戶端登登入&遠(yuǎn)遠(yuǎn)端桌面面登入新增AgentHost可匯入ActiveDirectory使使用者名名單配置使用用者TOKENRADIUS組組態(tài)設(shè)定定ISA2004VPN設(shè)設(shè)定TSWEB的安安裝設(shè)定定ISA2004網(wǎng)網(wǎng)站驗(yàn)證證設(shè)定VPN用用戶端設(shè)設(shè)定注意！用用戶端需需在之前前安裝完完成RSAACE/AgentHost程式式VPN&TerminalService登登入驗(yàn)證證另一種RSASecurID整合合TSWEB方法SmartCard身份安全整合合驗(yàn)證SmartCard的的優(yōu)勢(shì)應(yīng)用在企業(yè)網(wǎng)網(wǎng)路中可做到到單一登入（（singlesign-on））驗(yàn)證的管理理機(jī)制。儲(chǔ)存數(shù)位憑證證、公開金鑰鑰與私密金鑰鑰、密碼以及及其它類型的的個(gè)人資訊。。作為內(nèi)部使用用者登入網(wǎng)域域或登入用戶戶端本機(jī)時(shí)的的身份識(shí)別卡卡，以及遠(yuǎn)端端登入時(shí)的安安全驗(yàn)證?？杀苊庥行娜巳耸客高^近端端或遠(yuǎn)端的字字典攻擊法。解決使用者需需不斷記憶新新密碼的問題題。智慧卡網(wǎng)路整整合環(huán)境必要要條件建議架構(gòu)在ActiveDirectory環(huán)境中安裝憑證授權(quán)權(quán)單位伺服器器（CertificateService）如需結(jié)合遠(yuǎn)端端登入存取，，必須加裝網(wǎng)網(wǎng)際網(wǎng)路驗(yàn)證證服務(wù)（IAS）的元件件用戶端安裝讀讀卡機(jī)與相關(guān)關(guān)驅(qū)動(dòng)程式憑證伺服器與與IAS的安安裝網(wǎng)際網(wǎng)路驗(yàn)證證服務(wù)設(shè)定啟用使用者遠(yuǎn)遠(yuǎn)端存取權(quán)限限ISA2004-VPN連線設(shè)定啟用/申請(qǐng)憑憑證範(fàn)本申請(qǐng)智慧卡登登入憑證強(qiáng)制使用者需需使用智慧卡卡登入用戶端VPN連線設(shè)定與與登入智慧卡整合終終端機(jī)服務(wù)智慧卡整合RSAToken應(yīng)用用智慧卡本機(jī)安安全性原則互動(dòng)式登入－－智慧卡移除除操作互動(dòng)式登入－－給使用者的的訊息本文互動(dòng)式登入－－給使用者的的訊息標(biāo)題互動(dòng)式登入－－須有智慧卡卡ISA2004企業(yè)版版應(yīng)用介紹特色介紹一集中式的管理理管理者可以從從企業(yè)中任一一的ISAServer管理介面面，來集中管管理佈署在企企業(yè)中任何位位置的ISAServer陣列以以及旗下成員員伺服器的設(shè)設(shè)定。特色介紹二分散式快取在擁有多部企企業(yè)版的ISAServer快取取伺服器的網(wǎng)網(wǎng)路環(huán)境中，，可以讓陣列列中的每一部部ISAServer主機(jī)透過快快取陣列路由由通訊協(xié)定（（CARP，，CacheArrayRoutingProtocol），，來分享彼此此的快取內(nèi)容容，以達(dá)到更更快速提供快快取資訊回應(yīng)應(yīng)給用戶端的的目的。特色介紹三網(wǎng)路