ISA 2004進階管理實務.pptVIP

ISA 2004進階管理實務 顧武雄 Jovi Ku jovi@.tw 講師介紹 高傑信公司-技術顧問 Microsoft CTEC 教育中心講師 Microsoft MVP 特約講師 Windows .NET Magazine –特約作者 Information Security Magazine -專欄作家 網路資訊、Run!PC、NetAdmin 電腦雜誌–專欄作家 旗標、文魁以及碁鋒圖書作者 個人著作 : Microsoft ISA Server 建置與管理 SharePoint Portal Server徹底研究 Microsoft Access Project with SQL Server ISA SERVER 2004 系統安全整合實務 Small Business Server 2003 系統整合管理實務 Microsoft Operations Manager 2005 IT智慧整合管理實務 （已上市） 議程 VPN 網路部署規劃 整合異質VPN網路平台 動態密碼整合應用 Smart Card整合驗證應用 ISA 2004企業版應用介紹 QA VPN 網路部署規劃 三種通道模式 IPSec 適用：可以與異質VPN裝置的通道整合 安全性：高 L2TP over IPSec 適用：ISA Server與Windows Server間的VPN連線 安全性：高 PPTP 適用： ISA Server與Windows Server間的VPN連線 安全性：中 典型Site-to-Site VPN 這也是本次課程採用的模擬架構 LAB環境TCP/IP配置 Internet router 配置 總公司VPN配置(1) 首先第一個步驟請點選『虛擬私人網路』\『VPN用戶端』頁面 \『工作』清單中的『啟用VPN用戶端存取』。 總公司VPN配置(2) 接下來請同樣點選在『工作』頁籤下的『選取存取網路』選項。執行後首先在『存取網路』的頁籤中，請確認目前提供給外部用戶端進行VPN連線的『外部』網路已勾選。 設定位址指派與身份驗證方法。 測試VPN用戶端連線 請先設定欲開放VPN遠端連線的使用者，預設值此權限為關閉。 新增網路連線選擇『連線到我工作地方的網路 』。 查看VPN工作階段 用戶端與伺服端VPN連線檢視 新增分公司VPN網路 接下來我們必須在總公司的ISA SERVER主控台中，來新增一個與分公司的VPN網路連線通道設定。請點選『設定』\『網路』\『工作』頁面中的『建立新網路』選項 。 新增分公司到總公司網路規則 請經由『設定』\『網路』\『網路規則』的『工作』頁面中，點選『建立新的網路規則』選項 。 新增分公司與總公司存取規則 我們必須先在總公司的ISA SERVER 2004主機上，建立好分公司與總公司內部用戶端彼此間的存取原則，因為在預設的防火牆存取則中，雙方網路的內部用戶端是無法透過任何的通訊協定來進行溝通的。 完成分公司VPN啟用 啟用VPN用戶端存取 設定VPN用戶端存取 進行一般VPN設定 建立新的總公司『網路』設定 建立『總公司到分公司內部網路』網路規則（選擇路由模式） 建立雙向防火牆原則 整合異質VPN網路平台 關於異質VPN平台 對於不同的防火牆設備或ISA SERVER，彼此間想相互建構出VPN的加密通道，唯一的選擇也是最高安全的通訊協定選擇就是IPSec（Internet Protocol Security）。 將以CISCO PIX 506的防火牆設備，來實作出與ISA SERVER 2004的IPSec加密通道的VPN網路。 新增Cisco網路設定 關於IKE通訊協定的運作機制與封包結構說明，可參閱RFC 2409以及RFC 2408的文件說明。 設定網路規則與防火牆原則 設定硬體防火牆 在此以PIX 506為範例，必須預先設定好： LAN Port與WAN Port的TCP/IP組態 設定Gateway IP指向測試環境中的Internet router 建議可以透過[Tools]選單中的Ping工具選項，來測試對於路由器以及總公司ISA SERVER外卡的連線，不過前提之下必須雙方的防火牆，都已經有開放允許PING的ICMP協定的相關設定。 設定PIX 506 VPN連線 選擇VPN類型 設定遠端VPN資訊 設定加密方法 設定本地端內部網路 設定遠端內部網路 設定遠端VPN資訊 請將總公司ISA SERVER外網卡的IP輸入到[Peer IP Address]欄位中，以及選擇與輸入預先共用金鑰（Pre-shared key）。 設定加密方法 必須設定與在總公司ISA SERVER相同的安全性參數 。 設定本地端內部網路 接下來在[IPSec Traffic Sele