配置ISA Server 2006 ×××使用戶輕鬆鏈接內網

ISA Server所支持的×××功能: ×××聯機之類型: 遠程訪問××× 站點間××× 可支持的×××通信協議: PPTP L2TP IPSec

可以使用網絡規則及訪問規則來控制×××網絡與其餘網絡間的網絡流量

支持×××隔離控制功能

ISA Server支持的網絡類型: ×××客戶端網絡隔離的×××客戶端網絡遠程網站網絡

×××--保障公司間的資源見下圖:

×××--遠程使用者見下圖:

實現ISA ×××客戶端訪問: 啓用×××客戶端訪問選擇隧道通信協議設置遠程訪問設置(訪問網絡、地址指派、驗證、RADIUS) 確認網絡規則設置×××客戶端網絡的訪問規則設置用戶帳戶的撥號權限

啓用×××客戶端聯機見下圖:

實驗環境拓撲:

如何啓用×××功能呢?

我來到Paris這臺計算機它是一臺處於工做組環境下的ISA Server 2006服務器打開ISA Server 2006管理控制檯--展開陣列--按虛擬專用網絡(×××)--在右邊任務選項的常規×××配置裏面按定義地址分配--選擇靜態地址池--在IP地址範圍裏面按添加--指定IP地址範圍就從10.3.1.1到10.3.1.120吧--按肯定這樣客戶端可以使用的IP地址是119個IP地址由於10.3.1.1這個IP地址將會被ISA Server 2006這臺服務器用掉的注意: 這個指定IP地址範圍是不可以跟ISA Server 2006服務器上所鏈接的內部網段是同一個網段的換句話說這個IP地址範圍不能是10.1.1.0這個網段的IP地址

在任務選項的×××客戶端任務裏面按啓用×××客戶端訪問--按配置×××客戶端訪問--在容許的最大×××客戶端數量裏面輸入119--按肯定在ISA Server 2006管理控制檯裏面按應用

經過開始--程序--管理工具--選擇路由和遠程訪問來打開它能夠看到PARIS(本地)這個圖標變成綠色了說明已經啓用路由和遠程訪問功能了若是尚未啓用遠程訪問功能的話 PARIS(本地)這個圖標是紅色的對着PARIS(本地)右鍵--選擇屬性--按IP地址--能夠看到它把10.3.1.1到10.3.1.120這個IP地址範圍添加到靜態地址池裏面了接下來就是須要到企業外部測試一下×××的功能是否已經啓用成功了注意: ISA Server 2006服務器在配置×××的時候是藉助Windows Server 2003內置的路由和遠程訪問來實現的

我來到Istanbul這臺計算機它是一臺Internet上的計算機對着網上鄰居右鍵--選擇屬性--雙擊新建鏈接嚮導來打開它--接着下一步

在網絡鏈接類型裏面選擇鏈接到個人工做場所的網絡--接着下一步

在建立下列鏈接裏面選擇虛擬專用網絡鏈接--接着下一步

公司名就叫作Microsoft ×××[Standard]吧--接着下一步

在主機名或IP地址裏面輸入39.1.1.1(ISA Server 2006服務器外部網卡的IP地址)--接着下一步

在建立此鏈接,爲裏面選擇只是我使用--接着下一步

按完成

輸入用戶名(Administrator)和密碼--按鏈接

此時能夠看到有一個錯誤提示649: 本帳戶沒有撥入的權限這個錯誤該如何解決呢? 其實有二種方法能夠解決的第一種方法就是在Administrator這個用戶的屬性裏面--把撥入選項裏面的遠程訪問權限(撥入或×××)設置成容許訪問第二種方法就是在路由和遠程訪問裏面的ISA服務器默認策略屬性裏面的若是一個鏈接請求匹配指定條件設置成授予遠程訪問權限

我來到Paris這臺計算機對着個人電腦右鍵--選擇管理--展開本地用戶和組--按用戶--對着Administrator這個用戶右鍵--選擇屬性--按撥入--在遠程訪問權限(撥入或×××)裏面選擇容許訪問--按肯定

經過開始--程序--管理工具--選擇路由和遠程訪問來打開它--展開PARIS(本地)--按遠程訪問策略--對着ISA服務器默認策略右鍵--選擇屬性--在若是一個鏈接請求匹配指定條件裏面選擇授予遠程訪問權限按肯定

我來到Istanbul這臺計算機--輸入用戶名(Administrator)和密碼--按鏈接

看到了吧? 能夠看到我已經使用×××成功撥入企業內部網絡了

我來到Paris(ISA Server 2006服務器)這臺計算機--在命令提示符裏面輸入ipconfig/all按回車鍵--能夠看到10.3.1.1這個IP地址已經被ISA Server 2006服務器使用了

我來到Istanbul(Internet上的計算機)這臺計算機--在命令提示符裏面輸入ipconfig /all按回車鍵--能夠看到在Istanbul這臺計算機上得到10.3.1.4這個IP地址

我在Istanbul這臺計算機上Ping 10.3.1.1和Ping 10.1.1.5這兩個IP地址你會看到都不能Ping成功咱們不是能夠經過×××撥入企業內部網絡了嗎? 爲何還Ping不通呢? 由於咱們尚未在ISA Server 2006服務器上新建相應的訪問規則來容許外部的計算機可以Ping通ISA Server 2006服務器和企業內部的計算機此時若是你經過開始--運行--輸入 \\10.1.1.5(Denver 這臺計算機的IP地址)--按肯定以後你會看到沒法訪問到Denver這臺計算機上的資源

我在Paris這臺計算機上打開ISA Server 2006管理控制檯--展開陣列--Paris--對着防火牆策略(Paris)右鍵--按新建--選擇訪問規則

訪問規則名稱就叫作Allow ××× Clients Ping ISA Server吧--接着下一步

選擇容許--接着下一步

在所選的協議裏面按添加--把Ping這個協議添加在裏面--按關閉--接着下一步

在此規則應用於來自這些源的通信裏面按添加--把×××客戶端添加到裏面--按關閉--接着下一步注意: ×××客戶端這個網絡的成員是動態的

在此規則應用於發送到這些目標的通信裏面按添加--把本地主機添加到裏面--按關閉--接着下一步

此時你也能夠指定是那一些用戶纔可以Ping通ISA Server 2006服務器我就保留默認(全部用戶)吧--接着下一步

按完成在ISA Server 2006管理控制檯裏面按應用此時你在Istanbul這臺計算機上Ping 10.3.1.1這個IP地址是可以Ping通了

咱們還須要新建一條訪問規則來容許外部的計算機來Ping通企業內部的計算機和訪問到企業內部計算機上的資源在ISA Server 2006管理控制檯裏面對着防火牆策略(Paris)右鍵--按新建--選擇訪問規則

訪問規則名稱就叫作Allow ××× Clients to Internal Network吧--接着下一步

選擇容許--接着下一步

在所選的協議裏面按添加--把Microsoft CIFS(TCP)和PING這兩種協議添加到裏面--按關閉--接着下一步

在此規則應用於來自這些源的通信裏面按添加--把×××客戶端添加到裏面--按關閉--接着下一步

在此規則應用於發送到這些目標的通信裏面按添加--把內部添加到裏面--按關閉--接着下一步注意: 此時你也能夠新建一臺特定的計算機就是說你只容許外部的計算機經過×××訪問到這臺特定計算機上的資源

注意: 此時你也能夠指定一些特定的用戶纔可以訪問到企業內部計算機上的資源我就保留默認(全部用戶)吧--接着下一步

按完成在ISA Server 2006管理控制檯裏面按應用

我來到Istanbul(Internet上的計算機)這臺計算機打開命令提示符--在裏面輸入ping 10.1.1.5按回車鍵--能夠看到可以Ping經過Denver這臺計算機了--經過開始--運行--輸入 \\10.1.1.5(Denver 這臺計算機的IP地址)按肯定--能夠看到可以訪問到企業內部Denver這臺計算機上的資源了說明如今已經成功啓用×××功能了

實現×××隔離控制見下圖:

啓用×××網絡隔離功能: 1.編寫檢查客戶端設置的客戶端腳本 2.在ISA Server端創建與安裝遠程訪問隔離組件 3.在ISA Server上啓用隔離控制 4.使用CMAK來創建遠程訪問客戶端的×××撥號軟件 5.設置隔離×××客戶端網絡的網絡規則 6.設置隔離×××客戶端網絡的訪問規則

×××隔離是ISA2006中提供的一個強大功能，也是NAP（網絡訪問保護）的一個重要組成環節。×××隔離指的的是當×××客戶機經過×××服務器的身份驗證後，×××服務器並不當即容許其訪問內網，而是將×××客戶機放到一個被隔離的網絡中。而後經過策略對客戶機進行安全檢查，例如查看×××客戶機是否安裝了最新的安全補丁，是否啓用了防火牆，防病毒軟件是否升級到了最新版本等等。若是×××客戶機經過了安全策略的檢查，×××服務器將容許其訪問內網資源；若是不能經過安全策略檢查，×××客戶機將被限定在隔離網絡中，沒法訪問內網資源，並且在隔離網絡中停留一段時間後會被逐出。有的企業會在隔離網絡中放置一些文件服務器，用以提供殺病毒軟件，系統更新補丁等，還有的可能會在隔離網絡中放置Web服務器，用以提示用戶爲何被隔離，接下來要進行什麼操做。

一 安裝隔離服務

ISA2004安裝×××隔離服務時通常是使用Resource Kits工具集中提供的×××隔離服務的安裝程序，如今因爲Win2003 SP1中已經集成了×××隔離服務，所以ISA2006安裝×××隔離就很是簡單了。打開控制面板中的添加或刪除程序，選擇添加/刪除Windows組件，以下圖所示，在網絡服務的子組件中勾選「遠程訪問隔離服務」，點擊肯定,接着下一步便可完成×××隔離服務的安裝。

以下圖所示，咱們已經在ISA服務器上安裝了×××隔離服務，這時ISA服務器會在7250端口提供一個守護進程，用來接收×××客戶機上的代理程序發來的策略檢查結果，但此時的×××隔離服務還須要對一些參數進行配置。

咱們在Paris上打開註冊表編輯工具regedit.exe，定位到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rqs]，編輯「AllowedSet」。以下圖所示，咱們爲鍵值賦值爲「RQVersion3」。這個鍵值的做用至關因而一個接頭暗號，當×××客戶機被隔離策略檢查安全性以後，×××客戶機上的代理程序會把檢查結果發往×××服務器。×××服務器收到×××客戶機上發來的檢查結果後，要查看檢查結果中附帶的版本標識符是否和註冊表中記錄的同樣，若是是相同的，那×××服務器就承認對×××客戶機的檢查結果，不然×××服務器就會認爲×××客戶機上的代理程序把檢查結果發錯了目標，拒絕認可檢查結果。

接下來咱們還要添加一個註冊表鍵值，以下圖所示，咱們在RQS服務中新建一個字符串值。

以下圖所示，鍵值命名爲Authenticator，內容爲C:\Program Files\Microsoft ISA Server\***plgin.dll，這個鍵值的做用是當×××客戶機經過了安全策略檢查後，***plgin.dll將解除對×××客戶機的隔離。

二建立×××隔離通告協議

ISA服務器上安裝了×××隔離服務後，在7250端口會有一個守護進程等候被隔離客戶機上的代理程序傳送安全策略檢查的結果，但ISA的訪問規則不會容許被隔離的計算機鏈接ISA的7250端口，所以咱們須要建立訪問規則容許這種訪問行爲。在建立訪問規則前咱們須要把訪問7250端口的行爲定義爲一種協議，在ISA防火牆策略的工具箱中選擇新建協議，以下圖所示，出現協議建立嚮導，咱們給協議命名爲「×××隔離通告協議」，點擊「下一步」繼續。

以下圖所示，咱們定義協議使用TCP，端口是7250，方向是出站。注意，千萬別認爲ISA被其餘計算機訪問7250端口，方向應該算是入站，這是錯誤的！訪問規則中使用的協議方向是出站，而發佈規則中使用的協議方向是入站！

接下來協議建立嚮導詢問是否須要使用輔助鏈接，咱們並不須要，點擊下一步繼續

以下圖所示，咱們順利完成了×××隔離通告協議的建立。

三 建立訪問規則

咱們建立了×××隔離通告協議以後，接下來就能夠建立訪問規則容許被隔離的×××客戶機鏈接ISA服務器的7250端口報告策略檢查結果了。以下圖所示，咱們在ISA管理器中選擇新建訪問規則，咱們爲規則命名爲「容許×××隔離通告」，點擊下一步繼續。

當訪問請求知足規則條件時容許操做。見下圖:

規則中只容許使用咱們建立的×××隔離通告協議。見下圖:

規則的訪問源是「被隔離的×××客戶端」，這也是ISA中預設的一個網絡。見下圖:

訪問目標是本機主機。見下圖:

此規則適用於全部用戶。見下圖:

以下圖所示，咱們完成了訪問規則的建立。

四啓用×××隔離

接下來咱們能夠在ISA服務器上啓用×××隔離了，以下圖所示，咱們在ISA的網絡中找到「被隔離的×××客戶端」，點擊右鍵查看屬性。

咱們在屬性中切換到「隔離標籤」，以下圖所示，勾選「啓用隔離控制」，選擇按照ISA服務器策略進行隔離×××客戶端，並設定用戶在30秒內若是不能被解除隔離，就將被ISA服務器中斷鏈接。

至此，咱們在ISA服務器上啓用了×××隔離服務，接下來咱們啓動×××隔離服務就能夠完成服務器端的配置了。

五 建立鏈接管理器分發文件

服務器端的配置完成以後，咱們接下來就要考慮如何在客戶端進行安全策略的檢查以及如何把檢查結果傳送給ISA服務器。以下圖所示，rqc.exe負責把策略檢查結果發送給ISA服務器，rqc.exe是×××隔離服務的客戶端工具，在Resource kits工具集中有提供，在win2003 SP1中也已經集成了，路徑是C:\Program Files\Cmak\Support。RQScript.vbs是一個負責檢查客戶端安全策略的腳本，這個腳本文件是由微軟的ISA實驗室提供的示例文件，主要負責檢查客戶端的防火牆有沒有開啓。咱們若是想自定義一些檢測項目，就只能本身寫腳本了。若是你沒有編程基礎也沒關係，有一些公司能夠提供這種腳本編程的服務，還有的公司把經常使用的檢測項目都封裝成應用程序，管理員只要用鼠標選擇具體的檢測項目便可。

如今咱們有了rqc.exe和RQScript.vbs，但怎麼才能讓這兩個文件在客戶端進行×××鏈接時發揮做用呢？咱們能夠定製一個專用的×××撥號配置文件，在配置文件中集成這兩個文件。咱們要想定製專用的×××撥號配置文件，首先要安裝一個鏈接管理器管理工具包。咱們在ISA服務器上打開控制面板中的添加或刪除程序，選擇添加/刪除Windows組件，以下圖所示，在「管理和監視工具」的子組件中選擇「鏈接管理器管理工具包」。

接下來咱們在管理工具中打開「鏈接管理器管理工具包」，建立定製一個×××撥號配置文件，以下圖所示，出現鏈接管理器管理工具包嚮導，點擊下一步繼續。

選擇新建配置文件，點擊下一步繼續。見下圖:

輸入服務名和文件名，注意，文件名是***rq，最終生成的配置文件名就是***rq.exe。見下圖:

選擇不在用戶名中添加領域名，下一步繼續。見下圖:

不須要合併配置文件，下一步繼續。見下圖:

在電話簿中配置×××服務器的IP地址或徹底合格域名，在此咱們使用的是IP地址。見下圖:

注意: 39.1.1.1這個IP地址是ISA Server 2006服務器的外部網卡IP地址

×××安全設置使用默認值，點擊下一步繼續。見下圖:

取消勾選「自動下載電話簿更新」，點擊下一步繼續。見下圖:

檢查撥號設置無誤，點擊下一步繼續。見下圖:

使用默認設置「不改變路由選擇表」，點擊下一步繼續。見下圖:

選擇「不配置代理設置」，點擊下一步繼續。見下圖:

接下來是關鍵步驟，咱們點擊「新建」，準備自定義操做。

在新建的自定義操做中，咱們選擇使用RQScript.vbs來檢查客戶端的安全策略，傳遞的參數是%DialRasEntry%，%TunnelRasEntry%，%Domain%和%UserName%，操做類型是後鏈接，點擊肯定完成新建操做。見下圖:

接下來設置登陸位圖，咱們使用默認值，點擊下一步繼續。見下圖:

電話簿位圖，咱們也取默認值，點擊下一步繼續。見下圖:

顯示圖標也使用默認值，點擊下一步繼續。見下圖:

不在任務欄建立快捷方式，點擊下一步繼續。見下圖:

不指定幫助文件，點擊下一步繼續。見下圖:

不須要輸入登陸對話框中的幫助信息，點擊下一步繼續。見下圖:

選擇把鏈接管理器1.3版本集成在這個配置文件中。見下圖:

不須要定製許可協議文件，點擊下一步繼續。見下圖:

這一步也很重要，咱們點擊「添加」按鈕把rqc.exe集成到配置文件中，這個文件在Resource Kits工具集中有提供，在ISA服務器的C:\Program Files\Cmak\Support中也有。見下圖:

不選擇高級自定義，點擊下一步繼續。見下圖:

以下圖所示，咱們終於完成了定製的撥號配置文件，接下來咱們只要把***rq.exe發給客戶機，就能夠在客戶端進行×××隔離的測試了。見下圖:

六 ×××隔離測試

咱們如今能夠在×××客戶機Istanbul上開始測試了，看看可否經過×××的安全策略檢查。咱們在Istanbul上雙擊執行用鏈接管理器工具生成的配置文件***rq.exe，以下圖所示，安裝程序詢問是否安裝Microsoft配置文件，選擇「是」繼續。

選擇在桌面添加快捷方式，點擊「肯定」結束配置文件的安裝。見下圖:

雙擊執行桌面上的Microsoft圖標，以下圖所示，輸入用戶名和口令，點擊「鏈接」。

用戶名和口令校驗成功後，×××服務器提示已經成功撥入，但很快就彈出一個消息框，以下圖所示，提示錯誤-沒法聯繫到RQS.exe，爲何會提示錯誤-沒法聯繫到RQS.exe呢? 那是由於Paris(ISA Server 2006服務器上的Remote Access Quarantine Agent這個服務尚未被啓動起來,因此即將被斷開鏈接。

過了預設的30秒後，×××鏈接被服務器中斷，以下圖所示，撥號鏈接詢問是否要從新鏈接，點擊「否」。

我來到Paris(ISA Server 2006服務器)這臺計算機--經過開始--運行--輸入services.msc按肯定來打開服務--對着Remote Access Quarantine Agent這個服務右鍵--選擇啓動見下圖:

開啓Remote Access Quarantine Agent這個服務後再次撥入，以下圖所示，系統提示Istanbul已經經過了安全策略檢查，被賦予了訪問權限，至此，×××隔離實驗測試成功！

經過開始--運行--輸入 \\10.1.1.5(Denver 這臺企業內部服務器的IP地址)--按肯定以後能夠看到可以經過×××隔離的功能訪問到企業內部Denver這臺服務器上的資源了此時說明Administrator這個用戶被從原來被隔離的×××客戶端網絡裏面移動到×××客戶端網絡裏面了

×××隔離是微軟NAP中的一個重要環節，但願你們可以掌握這個功能。中間的步驟不少，但難度不大，真正困難的是安全策略檢查腳本的撰寫