实现远程安全访问公司内部各的应用系统.docVIP

实现远程安全访问公司内部各的应用系统 　　摘要：讲述如何集成ISAServer2006和Windows2003Server的RRAS实现具有高可用性和高安全性的VPN。 　　关键词：路由；远程；安全；CA；ISA；VPN 　　中图分类号：TP　文献标识码：A　文章编号：1671－7597(2011)0220069－01 　　 　　0、引言 　　 　　为使技改人员通过INTERNET也能远程安全访问公司内部各应用系统和文件服务器，同时为了保证公司信息化的安全，必须实现对各登录VPN的用户进行认证、授权、审计等功能，我公司集成微软公司的ISAServer2006产品配置VPN远程访问，完成了基于独立根CA的VPN服务器的部署工作，实现具有高可用性和高安全性的站点间VPN，解决了企业实际问题，对企业产生良好效益。 　　 　　1、现状分析 　　 　　公司现有域环境FK.COM，内有局域网使用192.168.，3.0/250网段，技改工地设置了技改办公室，但公司局域网等尚未部署到工地，现需要通过ISA Server2006的VPN远程访问功能使技改办公室通过ADSL专线接入Internet，远程安全访问公司内部各应用系统和文件服务器，并且要求维护管理简单方便、高可用性、高安全性。(如下图) 　　 　　2、具体实施 　　 　　根据实际情况，我们现在通过集成ISAServer和RRAS(Windows2003Server中RouterandRemoteAccessService)并且使用L2TP/IPSec协议实现VPN，实现公司需求。 　　优点：投资少：利用现有的ISA服务器就可以实现；配置简单：本方案所有配置全部GUI图形界面；维护管理方便：全部GUI图形界面，查看当前VPN状态一目了然；客户喘设置简单：局域网内客户端不需要安装任何软件，只要把网关指向本地的ISA服务器内网网卡的IP地址，就可以使用；高安全性：使用L2TP/IPSec保证数据加密及安全性，并且ISA防火墙只允许本公司拥有的InternetIP才能通过防火墙。 　　证书服务安装配置：商业上正规的安全认证证书是由专门的安全认证中心统一颁发的，本方案暂时使用Windows2003Server的标准组件中提供的“证书颁发机构”组件来颁发安全认证证书。 　　在ca服务器上安装CertificateServices(证书服务)：(注意证书服务必须是建立在安装IIS服务的基础上的，IIS必须安装在NTFS磁盘格式下。)安装IIS服务，并把IIS默认网络启用起来：从“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”，进入“Windows组件向导”。选中“证书服务”，系统会提示“安装证书服务后，不能重命名计算机，并且计算机不能加入域或从域中删除，要继续吗?”，选择“是”，单击“下一步”，在此后选择“独立根CA”、输入CA名称(假设为“myCA”)，逐步完成安装。输入CA识别信息：rootca。保证证书数据库及日志信息的位置默认值，开始安装。接下来在开始菜单的运行命令，在运行中输入“and”，然后在里面输入gpupdate/force命令来刷新一下组策略。目的是让申请的证书能够立即的生效。IE属性内容证书观察“受信任的根证书颁发机构”中是否有rootca。安装radius远程访问策略，勾选internet验证服务。使用IIS管理器，观察默认网站下有certsrv等虚拟目录。 　　安装IShServer2006企业版：ISA防火墙有2块网卡，分别连外网和内网。 　　为vpn服务器申请并安装服务器证书：下载CA的证书并且导入到受信任的根证书颁发机构：web方式提交证书申请：打开IE浏览器，导航到http：//ca/certsrv/(或运行证书服务的计算机的IP地址http：//7/certsrv/)，选“申请一个证书”；再选择“高级证书申请”：再选择“创建并向CA提交一个申请”证书模板选择“web服务器”，模板识别信息的姓名必须得输入完全合格域名。提示点击“是”即可。注意：将证书保存在本地的计算机存储中，因为验证证书的时候是在本地计算机的存储中查看。安装此证书，选择“是”，在本机中添加一个证书。 　　配置ISAServer2006企业版：在防火墙策略中，添加一条allow vpnto内部的策略：允许所有出站通讯VPN客户端内部所有用户Vpn的静态地址池设为46-49，启用vpn客户端访问，允许最大vpn客户端数量设为3，并启用L2TP/IPsec。Vpn客户端属性中添加组：vpngroup。 　　我们在技改办公室的客户机上创建个虚拟连接，用PPTP拔上公司的VPN后可以申请客户端证书，方法同isaserver申请服务器证书。打开