ISAServer實驗環(huán)境搭建與企業(yè)VPN配置

ISAServer是微軟在企業(yè)網(wǎng)絡邊界防護上的代表產品。從ISAServer2000到現(xiàn)在被廣泛應用的ISAServer2004和ISAServer2006以及即將推出的ISAServer2008，都標志著ISAServer在企業(yè)邊界安全防護上的技術積累和不斷成熟。本文將通過詳細介紹如何部署一個企業(yè)級的基于微軟發(fā)布的ISAServer2006Hands-OnLabs的多虛擬機實驗環(huán)境，并通過該實驗環(huán)境詳細描述企業(yè)VPN的配置過程，希望能夠給想要應用微軟ISAServer的安全架構師和安全實施人員在產品選擇、實驗環(huán)境搭建以及實際應用上以詳細的指導。一、ISAServer產品概述微軟已形成了較為完善的ISAServer產品家族以及相應的技術支持，而且以非常開放的姿態(tài)提供了ISAServer2004和ISAServer2006的評估版本軟件的下載，并在微軟官方技術支持網(wǎng)站TechNet上提供了從ISAServer起步、計劃和架構、開發(fā)、部署、運營、安全和防護以及技術參考七大方面的技術支持。通過詳盡的技術文檔和與評估版產品配套的操作手冊，給希望了解和應用ISAServer以進行企業(yè)網(wǎng)絡邊界安全防護的技術人員以可操作的指導。本文將簡單介紹ISAServer產品家族中的ISAServer2004和ISAServer2006在企業(yè)網(wǎng)絡邊界防護上的主要功能，企業(yè)安全架構師和安全實施人員可以根據(jù)企業(yè)在網(wǎng)絡邊界防護上的具體需求和產品的功能進行有針對性的選擇：1、ISAServer2004ISAServer2004是一款集高級應用層防火墻、虛擬專用網(wǎng)絡（VPN）和網(wǎng)絡緩存于一體的解決方案，它能夠通過提高網(wǎng)絡安全和性能來最大化IT投資收益，ISAServer2004具有以下功能或改進：1）、高級防護a、應用層過濾

增強的對HTTP協(xié)議和FTP協(xié)議以及FPC（RemoteProcessCall）連接的過濾與控制；b、安全性和防火墻

在此功能上ISAServer2004提供了擴展的協(xié)議支持、增強的用戶認證、增強的對用戶和用戶組的支持、增強的FTP支持、增強的網(wǎng)絡發(fā)布等功能。2）、簡單使用a、多網(wǎng)絡環(huán)境

提供了多網(wǎng)絡環(huán)境配置、制定網(wǎng)絡策略、路由和NAT網(wǎng)絡關系以及網(wǎng)絡模板、網(wǎng)絡負載平衡（僅針對企業(yè)版）等新功能；b、監(jiān)控和報告

提供了實時日志監(jiān)控、構建的日志查詢、實時監(jiān)控和防火墻會話過濾、連接重定向、報告發(fā)布、郵件提醒、定制日志時間以及寫入日志到MSDE數(shù)據(jù)庫等新功能，增強了定制報告和SQLServer日志功能；c、安全管理

提供了導入導出、定制授權向導、集中存儲防火墻策略（只針對企業(yè)版）、自動化陣列配置（只針對企業(yè)版）等新功能，以及增強的管理、集中式日志、針對MicrosoftOperationsManager的管理包。3）、快速安全連接a、對基于微軟服務器的快速安全的遠程訪問

提供了基于表單授權的防火墻表單生成、使用SSL到終端服務的遠程連接兩大新功能；b、虛擬專用網(wǎng)絡（VPN）

提供了全狀態(tài)的VPN過濾和視察、安全的NAT到ISAServer2004VPN連接支持、全狀態(tài)的基于站到站VPN通道交流過濾和監(jiān)控、VPN治理、VPN服務器發(fā)布、IPSec模式下的站到站VPN鏈接支持等新功能，以及增強的VPN管理。c、Web緩存和Web代理

提供了對網(wǎng)絡代理客戶端授權的RADIUS支持、基本授權策略、Web發(fā)布規(guī)則中的源IP保存、實現(xiàn)CARP的Web緩存陣列（只針對企業(yè)版）等新功能，以及增強的緩存規(guī)則、Web發(fā)布規(guī)則路徑匹配功能。2、ISAServer2006與ISAServer2004類似，ISAServer2006也提供了企業(yè)版和標準版兩個版本，在ISAServer2004提供的功能的基礎上，ISAServer2006提供了以下新增或增強的功能：1）、對內部基于微軟服務器的安全遠程訪問

提供了SharePoint服務器發(fā)布向導和對Exchange2007集成的支持兩大新功能，以及增強的OutlookWeb訪問發(fā)布向導；2）、虛擬專用網(wǎng)絡（VPN）

提供了分支辦公室VPN連接向導新功能；3）、安全管理

增強的簡單使用向導、認證管理、基于硬件的ISAServer連接、企業(yè)范圍內的策略拷貝等功能；4）、高級防火墻防護

提供了峰值彈性、攻擊救助等新功能，以及增強的防火墻規(guī)則向導；5）、授權認證

提供了單點登錄功能（SSO）、LDAP授權支持等新功能，以及增強的授權認證、基于表單的授權認證、會話管理等功能；6）、服務器發(fā)布

提供了跨陣列鏈接傳輸新功能和增強的鏈接傳輸功能；7）、性能

提供了BITS緩存、Web發(fā)布負載平衡、HTTP壓縮、Diffserv（QoS）等新功能。二、ISAServer2006Hands-OnLabs部署在一個應用軟件（尤其是安全相關應用軟件）引入到企業(yè)整體IT架構之前，安全架構師和安全實施人員必須要充分考慮所有可能潛在的風險以及應對方案，并在實際部署之前進行嚴格的測試和實驗，并對相關的操作人員進行全面的技術培訓，以期把潛在的威脅和風險降到最低。直接把軟件部署到生產環(huán)境無疑要面對很大的風險，而且本文讀者的操作系統(tǒng)環(huán)境可能存在著較大的差異，而ISAServer與其對應的組件只能安裝在Server版的操作系統(tǒng)上，因此本文采用虛擬機作為實驗環(huán)境的搭建方式。1、ISAServer2006Hands-OnLabs簡介微軟提供了一整套的包括ISAServer2006企業(yè)版和標準版以及Exchange、SharePoint的虛擬機在內的虛擬機套件，用以簡單搭建企業(yè)級的ISAServer實驗環(huán)境。1）、包含軟件具體版本

在ISAServer2006Hands-On實驗環(huán)境中，包含以下具體版本的軟件：

a、ISAServer2006StandardEdition(RTM)

b、ISAServer2006EnterpriseEdition(RTM)

c、SharePointServices2.0

d、ExchangeServer2003SP2

e、Outlook20032）、提供的實驗環(huán)境

按照測試環(huán)境進行劃分，該套件包括以下三個測試環(huán)境：

a、出界訪問和分支辦公室測試環(huán)境（OutboundAccessandBranchOffice）；

b、發(fā)布和VPN連接測試環(huán)境（PublishingandVPNconnections）；

c、企業(yè)版測試環(huán)境三個實驗環(huán)境（EnterpriseEditionFeatures）。3）、包含的具體模塊

按照模塊進行劃分，該實驗環(huán)境包括以下九個模塊：

模塊A：ISAServer簡介；

模塊B：配置出界Internet訪問；

模塊C：發(fā)布Web服務器和其它服務器；

模塊D：發(fā)布Exchange服務器；

模塊E：啟用VPN連接；

模塊F：采用ISAServer2006作為分支辦公室網(wǎng)管；

模塊G：ISAServer的企業(yè)級管理；

模塊H：配置負載平衡；

模塊I：使用監(jiān)控、警報和日志。本文采用的是發(fā)布和VPN連接測試環(huán)境，將介紹虛擬VPN相關的配置，需要運行的三個虛擬機的命名分別為：Denver、Paris和Istanbul，如圖一所示實驗環(huán)境網(wǎng)絡拓撲圖。圖1：ISAServer發(fā)布和VPN配置該圖中的主要組件與虛擬機套件中虛擬機的關系為：

Denver：

ExchangeServer2003SP2；

PublishingExchange2007OWA；

WebServer：

SharePointPortalsite；

兩個模擬WebFarm的WebServers。

TerminalServer：

運行終端服務。Paris：

ISAServer2006StandardEdition。

Istanbul：Outlook2003；

VPN客戶端。

以下是實現(xiàn)該虛擬實驗環(huán)境的具體過程：2、下載文件在啟動虛擬機之前，必須下載安裝了虛擬機應用軟件：VirtualPC，筆者采用的版本為：VirtualPC2007，讀者可以通過以下鏈接獲得：下載鏈接。所有的虛擬機及相關的安裝腳本，可以通過以下下載鏈接獲得：下載鏈接。筆者建議讀者下載套件中的全部五個文件：Install-ISA2006-Lab.vbe；

ISA2006LabManual.doc；

ISA2006-lab-VMs.1.exe；

ISA2006-lab-VMs.2.rar；

Readme-ISA2006-Lab.txt。3、安裝虛擬機

下載完所有的文件以后，安裝過程非常簡單，運行腳本：Install-ISA2006-Lab.vbe，在所有的彈出窗口中點OK，它將完成以下操作：1）、解壓所有的虛擬機到安裝目錄（默認為C:\ISA2006lab）；

2）、注冊虛擬機到VirtualPC（或者VirtualServer）；

3）、對于VirtualPC，配置附加的選項到options.xml；

4）、在桌面上創(chuàng)建鏈接到安裝目錄的快捷方式；

5）、在Host機上把ISAServer圖片設置為墻紙（可選項）。在桌面上雙擊鏈接到安裝目錄的快捷方式，即可以看到所有的虛擬機文件和運行腳本，本實驗中，我們只需要運行StartAllSE-3x.vbs即可，該腳本將逐次啟動所有和StandardEdition相關的虛擬機。通過以上簡單的介紹和操作，即可體驗ISAServer2006的強大功能了。同時運行多個虛擬機對系統(tǒng)硬件的要求比較高，筆者建議在進行實驗時，選擇配置和性能較高的硬件設備，以達到最佳的效果。三、ISAServer虛擬VPN配置VPN對于擁有分支辦公室和大量在外辦公人員的企業(yè)而言是必不可少的，而VPN客戶端到服務器端的安全連接則成為重中之重，要實現(xiàn)保護企業(yè)資源不受外界侵害，同時保證在外的工作人員能夠使用內部資源，靈活配置VPN具有更為現(xiàn)實的意義。本文將以VPN的配置和維護為切入點，在讀者完成實驗環(huán)境的搭建以后，帶領讀者體驗ISAServer2006的VPN概念和分支辦公室VPN連接的強大支持。如圖2所示，ISAServer2006VPN面板包含的內容：圖2：ISAServer2006VPN面板示意圖1、

ISAServer2006中的VPN概念ISAServer2006主要支持以下兩種VPN連接：1）、遠程訪問VPN連接（主要為來自VPN客戶端的連接）；2）、站到站的VPN連接（主要為分支機構網(wǎng)絡和總部之間的連接）。

所有的到ISAServer陣列的VPN連接將會寫入到防火墻日志當中，因此用戶可以監(jiān)控VPN的連接。2、遠程訪問VPN連接遠程客戶端可以通過創(chuàng)建一個到VPN服務器的連接來連接到一個專用網(wǎng)絡。ISAServer提供了到整個VPN服務器所在網(wǎng)絡的連接訪問支持。通過在圖2中，對應有VPNClients和RemoteSites兩個選項，在VPNClients選項下，有以下五個功能性選項：1）、配置地址分配方法和啟用VPN客戶端訪問；

2）、指定Windows用戶或選擇一個RADIUS服務器；

3）、確認VPN屬性和遠程訪問配置；

4）、瀏覽VPN針對客戶端網(wǎng)絡的防火墻策略；

5）、瀏覽網(wǎng)絡規(guī)則。

下面將詳細介紹每個功能性選項的詳細配置方法：1）、配置地址分配方法和啟用VPN客戶端訪問必須在完成地址分配方法的配置以后，才可以啟用VPN客戶端訪問支持。點開配置地址分配方法，在彈出的窗口中將會有以下四個選項：a、訪問網(wǎng)絡：選擇可以訪問的網(wǎng)絡；

b、地址分配：指定可訪問的IP地址范圍；

c、授權認證：指定授權認證方法；

d、RADIUS：選擇是否采用RADIUS作為授權認證和日志的方法。在實驗環(huán)境中，讀者可以根據(jù)啟動的三個虛擬機的IP地址和網(wǎng)絡配置，指定相應的范圍，或者用戶也可以根據(jù)實際的網(wǎng)絡環(huán)境，首先配置虛擬機的網(wǎng)絡設置以模擬真實的網(wǎng)絡環(huán)境，然后再根據(jù)實際的需求進行設定。完成地址分配方法的配置以后，點開VPN客戶端訪問，在彈出的窗口中將有以下四個選項：一般：選擇是否啟用VPN客戶端訪問以及最大連接數(shù)；

組：指定可以使用的連接組；

協(xié)議：指定連接可以使用的協(xié)議；

用戶匹配：選擇是否啟用用戶匹配功能。2）、指定Windows用戶或選擇一個RADIUS服務器與啟用VPN客戶端功能項類似，也有四個相同的選項，選擇一個RADIUS服務器選項則是地址分配方法的子選項，讀者可以保留最初的選擇。3）、確認VPN屬性和遠程訪問配置該選項是對步驟1）（配置地址分配方法和啟用VPN客戶端訪問）中配置的內容進行復審和確認，所有可選的內容都一樣。4）、瀏覽VPN針對客戶端網(wǎng)絡的防火墻策略點開此功能項，顯示的默認的或當前應用中的屬性，雙擊，在彈出的窗口中有以下多個選項：一般：規(guī)則名稱和描述；

動作：當滿足條件的情況出現(xiàn)時采取的動作；

協(xié)議：要監(jiān)聽的所有的協(xié)議；

訪問源：指定要監(jiān)控的來源網(wǎng)絡（默認為所有網(wǎng)絡）；

訪問目的地：指定要監(jiān)控的訪問目的地網(wǎng)絡（默認為所有網(wǎng)絡）；

用戶：指定監(jiān)控的用戶（默認為全部用戶）；

日程表：制定監(jiān)控日程表；

內容類型：指定要監(jiān)控的內容類型。5）、瀏覽網(wǎng)絡規(guī)則點開此功能項，在瀏覽網(wǎng)絡規(guī)則中，有按順序排列的五個網(wǎng)絡規(guī)則，如圖3所示：圖3：瀏覽網(wǎng)絡規(guī)則雙擊到內部網(wǎng)絡的VPN客戶端（VPNClientstoInternalNetwork），則出現(xiàn)圖3中最下端的小窗口，有以下四個選項：一般：規(guī)則的名稱和描述；

源網(wǎng)絡：指定源網(wǎng)絡；

目標網(wǎng)絡：指定目標網(wǎng)絡；

網(wǎng)絡關系：選擇網(wǎng)絡之間的關系（網(wǎng)絡地址解析NAT或路由Route）。以上是在VPN客戶端遠程連接的情況下，ISAServer所需要進行的配置項，可能由于實驗環(huán)境部分功能項受限而無法修改，讀者可以在允許的范圍內體驗其功能。3、站到站的VPN連接ISAServer2006提供了強大的站到站的VPN連接，以實現(xiàn)對分支辦公室VPN連接的支持，在配置站到站的VPN連接過程中，涉及到的選擇項目很多，本文將簡單介紹創(chuàng)建一個站到站的VPN連接的過程，介紹一些必備的選項。更多更具技巧性的配置請讀者在具體的實驗中來發(fā)掘。以下是創(chuàng)建站到站VPN連接的詳細過程：1）、點開“遠程站點”選項，選中“創(chuàng)建VPN站到站連接（CreateVPNSite-to-SiteConnection）”；2）、在彈出的窗口中鍵入站到站網(wǎng)絡名稱，點“下一步”；3、在新窗口中選擇要使用的VPN協(xié)議，有IPSec、L2TP（LayerTwoTunnelingProtocol）和PPTP（Point-to-PointTunnelingProtocol）三個選項，選中ITSec，點“下一步”；4）、配置連接設置：指定遠程VPN網(wǎng)關IP地址和本地VPN網(wǎng)關IP地址，配置完畢后，點“下一步”；5）、IPSec授權認證：指定IP安全協(xié)議的授權認證方法，如果沒有指定的認證授權（CertificateAuthority,CA），在可在預分享的Key一欄隨便輸入一個名字（如：test），點“下一步”；6）、網(wǎng)絡地址：指定遠程站點的IP地址范圍，可以做添加、修改、刪除三個操作，如果沒有修改，直接點“下一步”；如果只填寫了遠程站點網(wǎng)關的IP地址而沒有機器IP的話，在進入“下一步”之前會有警告提示，筆者建議添加一臺制定的機器的IP（如實驗環(huán)境中名為Denver的虛擬機的IP）；7）、站到站網(wǎng)絡規(guī)則：可以選擇是否立即創(chuàng)建或稍后創(chuàng)