在Windows系统环境下虚拟专用网服务器.docVIP

在Windows系统环境下虚拟专用网服务器 有关VPN客户机的一个常见的错觉是认为它们是在VPN网络上连接到企业网络的工作站。这种工作站肯定是一种VPN客户机，但是，它并不是惟一的一种 VPN客户机。VPN客户机可以是一台计算机，还可以是一台路由器。你的网络需要使用什么类型的VPN客户机确实取决于你的公司的具体需求。 例如，如果你碰巧有一个缺少与公司办公室直接连接的一个分支办公室，使用一台路由器作为VPN客户机对你来说可能是一个很好的选择。通过这样做，你可以利用一个单个的连接把整个分支办公室与公司办公室连接起来。不需要每一台PC都单独建立一个连接。 另一方面，如果你拥有一些经常出差的雇员，这些雇员需要在旅行中访问公司的网络，你把这些雇员的笔记本电脑设置为VPN的客户机可能会有好处。 从技术上说，只要支持PPTP、L2TP或者IPSec协议，任何操作系统都可以作为一台VPN客户机。就微软而言，这意味着你可以使用 Windows NT 4.0、9X、ME、2000和XP操作系统。虽然所有这些操作系统从技术上说都可以作为客户机，我建议你坚持使用Windows 2000或者Windows XP操作系统，因为这些操作系统能够支持L2TP和PSec协议。 VPN VPN可以当作VPN客户机的一个连接点。从技术上说，你可以使用Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003等操作系统作为一台VPN。不过，为了保证安全，我认为你应该使用Windows Server 2003操作系统。 有关VPN的最大的误解之一是VPN所有的工作都是自己完成的。我的朋友无数次地对我说，他们要购买一台VPN。他们没有认识到VPN只是必要的组件之一。 VPN本身是非常简单的。VPN不过是执行路由和远程访问服务任务的一个增强的‘Windows 2003 Server’。一旦一个进入VPN网络的请求被批准，这个VPN就简单地充当一台路由器向这个VPN客户机提供专用网络的接入。 ISA VPN的额外要求之一是你要有一台RADIUS。远程认证拨入用户服务是互联网服务提供商在用户试图建立互联网连接的时候对用户进行身份识别的一种机制。 你需要使用RADIUS的原因是你需要一些身份识别机制对通过VPN连接进入你的网络的用户进行身份识别。你的域名控制器不能完成这个任务。即使你的域名控制器能够胜任这个任务，把域名控制器暴露给外部世界也不是一个好主意。 现在的问题是你从什么地方获得这个RADIUS?微软有自己版本的RADIUS，名为“互联网身份识别服务”，英文缩写字是IAS。 Windows Server 2003操作系统包含IAS功能。这是一个好消息。坏消息是由于安全的原因不能在同一台计算机中把ISA当作路由和远程访问服务来运行。即使可以这样做，我也不能肯定在虚拟服务魃柚弥馐欠裼姓飧隹赡堋? 防火墙 你的VPN需要的其它组件是一个良好的防火墙。的确。你的VPN接受来自外部世界的连接，但是，这并不意味着外部世界需要完全访问的VPN。你必须使用防火墙封锁任何没有使用的端口。 建立VPN连接的基本要求是，VPN的IP地址必须能过通过互联网访问，VPN通信必须能够通过你的防火墙进入VPN。然而，还有一项可选择的组件。你可以使用这个组件让你的VPN更安全。 如果你非常重视安全问题，你可以在ISA和你的周边防火墙和VPN之间放置一个ISA。这个想法是，你可以设置防火墙把所有的与VPN有关的通信都指向那个ISA，而不是指向VPN。然后，ISA将充当一个VPN代理。 VPN客户机和VPN仅与ISA进行通信。它们相互之间从来不直接通信。这就意味着ISA在保护VPN，不允许直接访问VPN，从而为VPN增加了一个保护层。 选择一个隧道协议 当VPN客户机访问一台VPN的时候，它们是通过一个虚拟的隧道进行访问的。一个隧道实际上就是通过一个不安全的媒介的安全通道。然而，隧道并不是用魔术变出来的。隧道需要使用一个隧道协议。 我以前曾讲过老式的Windows客户机能够通过PPTP协议连接到一个VPN网络。但是，我建议使用比较新的客户端软件，如Windows 2000和Windows XP，因为它们支持L2TP。事实是这两个协议中的任何一个协议都可以工作，而且客户机都支持这些协议。然而，每一个协议都有其优点和缺点。选择一个适合你的机构的隧道协议是你规划VPN网络时应做出的最重要的决策之一。 同PPTP协议相比，L2TP协议最大的优势在于它依赖IPSec。IPSec加密数据，也提供数据身份识别。这意味着IPSec证明这个数据确实是由发送者⑺偷牟⑶以诖涞墓讨忻挥