Windows域環境下部署ISA Server 2006防火牆（四）

構建基於ISA Server 2006的遠程接入×××服務器

    接上回，本次將會說到在ISA Server 2006上配置遠程接入×××服務。以此來解決公司員工出差以後訪問公司內部的問題。配置了遠程接入×××服務後，出差的員工無論走到哪裏，只要能上網都可以經過撥號的方式鏈接到公司內部網絡。

    遠程接入×××服務能夠配置在windows系統上。以前我寫過一篇文章windows下NAT妙用（http://zpp2009.blog.51cto.com/730423/238512），就是把×××服務作在windows系統上的，既使用NAT把它放到了內網但仍是感受不×××全，由於windows系統自己應對一些安全問題仍是比較吃力的。這一次就彌補了這個問題，咱們把ISA Server 2006裝在windows系統上，使這臺服務器變得強大。而後再在ISA Server 2006上構建遠程接入×××服務。這樣的話，安全性就大大提升了。下面咱們來看看具體的實施方法。

拓撲在以下：

 

雖然這幅圖你們已經見到好幾回了，但每次都是有些區別的。好比此次就增長了出差的員工，這在企業裏是不得不考慮的問題 。公司做爲windows域環境，各員之間，員工與公司之間的關係都是很是緊密的。

如今咱們就開始邊作邊說吧！

第一部分：設置×××策略

1.      打開DC，在上面建立一個組，名子就叫***-group吧，而後再建立一個測試用的賬戶zpp001,並把他加入***-group。這樣作的目的就是爲了便於稍後配置時定義哪些個組的用戶能夠撥入，總的來講仍是爲了提升安全性。我這是域環境因此建立的是域用戶及組。而且我是在DC上添加的，要是是工做組環境下，就要在ISA Server上添加本地的用戶和組，你們千萬別搞錯了啊。如圖：

 

2.      只有上面還不夠在用戶屬性撥入選項卡上還得選擇「容許訪問」，如圖，只有這樣用戶才能夠撥進來的。

 

3.      如今咱們就到ISA Server上來設置吧,先展開陣列，而後單擊「虛擬專用網絡×××」就顯示了以下圖所示的界面，如圖，能夠看到配置×××客戶端的幾個步驟。

 

4.      點擊圖中第一步上的「配置地址分配方法」，就會彈出讓咱們給×××客戶端分配IP地址的界面。如圖，我們能夠經過動態地址配置協議（DHCP）給×××客戶端分配置IP地址，也能夠經過分配靜態地址的方法來分配。

 

注意：這裏的地址隨便配均可以只要不提示出錯，我這裏就配成192.168.100.1-30。不要給的太多，有幾人出差就給幾個是最好的，省得被***大哥們利用了。

5.      如今到第二步裏面點擊「指定windows用戶」，在彈出的組對話框中添加，剛剛建立的***-group組，如圖，添完以後點擊肯定便可。（如今明白剛剛爲何要建立用戶和組了吧！）

 

6.      如今該第三步了吧，如圖,點擊「驗證×××屬性」，在彈出的對話框中選中「啓用PPTP」。而後肯定便可。

 

7.      如今單擊第三步中的「遠程訪問配置」，在彈出的對話框中勾選外部，如圖。

這一步是幹什麼的呢？它的做用就是讓×××客戶端經過×××服務器的這個外部網絡鏈接撥上來。

 

8.      好了，如今×××策略已經設置好了，只需點擊應用肯定，就能夠了。如圖：

 

你們可能會在想，那第四步和第五步爲何不作啊？由於第四步和第五步都是查看，不是必要的動做。不過還沒完，剛剛設置的是×××的策略，接下來還要設置防火牆策略。

第二部分：設置防火牆策略

1.      展開陣列，右擊防火牆策略，選擇新建，再選擇訪問規則。如圖所示：

 

2.      如今彈出了新建訪問規則嚮導，我們給規則命個名，就叫×××吧。如圖：

 

3.      這裏選擇「容許」，就不用解釋了吧，我們前面已經看到不少這個界面了啊。

 

4.      在協議選項卡里選擇「全部出站通信」。單擊下一步，注意，若是不這樣選擇的話即便用戶撥上來，也作不了什麼。

 

5.      訪問規則源選擇這裏選擇「×××客戶端」。這裏就是讓我們指定從哪兒來的對象。

 

6.      目標選擇「內部」，由於我們是讓×××客戶端經過撥號的方式撥入到內部網絡。

 

7.      用戶集這裏選擇全部用戶。固然爲了更高的安全性，還能夠根據實際狀況縮小小用戶集的範圍。選擇以後點擊下一步便可。

 

8.      策略設置頂好了，如今確認一下有無錯誤，若是沒的話，就能夠點擊「完成」。如圖：

 

9.      如今點擊「應用」，能夠看到在「防火牆規則」中多了一條名稱爲「×××」的策略規則。

 

至此，咱們就完成了ISA Server上遠程接入服務的配置，接下來就是配置客戶端及測試。

第三部分：配置客戶端及測試

1.      如今來到外網客戶機這裏，它的IP是61.134.1.10/8和拓撲一致，在網絡鏈接屬性中單擊「建立一個新的鏈接」在彈出的對話框中點擊下一步。如圖：

 

2.      網絡鏈接內型這裏選擇第二項「鏈接到個人工做場所的網絡」。單擊下一步，如圖：

 

3.      如今它問咱們想要如何與工做點鏈接，咱們選擇第二項「虛擬專用網絡鏈接」，也就是我們的×××。單擊下一步，如圖：

 

4.      鏈接名這裏它要求我們輸人公司的名稱，其實這只是作個標記而已，跟公司跟服務器端沒有一點關係，設置這個是給本身看到。設完以後點擊下一步便可，如圖：

 

5.      如今它讓我們輸入×××服務器的名稱或地址，咱這固然是輸入外網接口的地址：61.134.1.4.要是想輸入域名的話，必需要在DNS註冊商那裏註冊相關記錄才行。

 

6.      如今會彈出如圖所示的登陸界面，輸入用戶名zpp001@zpp.com,和密碼就能夠登陸了，注意我這用的用戶名是zpp001@zpp.com.我寫的是郵件名，直接寫zpp001均可以，無所謂。

 

7．OK！撥上來了啊，能夠看到下面的虛擬專用網絡中的網絡鏈接顯示已鏈接。執行命令ipconfig以後能夠看到，客戶機得到了一個來自ISA Server的IP（192.168.100.2/32）。

 

如今直接在開始運行中使用UNC路徑就能夠訪問公司內網文件服務器（IP：192.168.1.10）上的共享資源了，如圖，你們可要想到如今是跨Internet在訪問啊。

 

    此時，咱們就解決了企業中的員工出差訪問公司內部的問題。使他們既能不受限制從任何能夠上網的地方鏈接到內部網絡中，同時也提供了安全性。