Раздел: Документация

0 ... 79 80 81 82 83 84 85 ... 131

Занятие 3. Обеспечение безопасности виртуальных частных сетей средствами ISA-сервера

ISA-сервер применяется для обеспечения безопасности при подключении мобильных пользователей и филиалов с применением виртуальных частных сетей (Virtual Private Network, VPN). Для упрощения настройки VPN-подключений используются мастеры ISA-сервера, запуск которых выполняется из узла Network Configuration дерева консоли ISA Management.

Изучив материал этого занятия, вы сможете:

настраивать ISA-сервер для обеспечения безопасного доступа перемещающихся пользователей, которые подключаются через Интернет к сети с ISA-сервером; S настраивать ISA-сервер для обеспечения безопасного VPN-подключения филиалов.

Продолжительность занятия - около 35 минут.

Интеграция виртуальных частных сетей с ISA-серверами

При связи хз».-~ькг:ерай локальной и удшенном сети через ISA-сервер данные инкапсулируются и отправляются по VPN-туннелю. управления туннелями и инкапсуляции частных данных используются протоколы РРТР (Point-to-Point Tunneling Protocol) или L2TP (Layer 2 Tunneling Protocol). Данные, пересылаемые по VPN-подключению, следует шифровать.

На рис. 7-5 показано УРподзстгочение двух сетей, в каждой из которых имеется ISA-сервер.

Удэленная сеть

Рис. 7-5. Интеграция VPN-подключения и ISA-серверов

---

Настройка сети для использования VPN

При использовании VPN ISA-сервер устанавливается в смешанном (Integrated) режиме. На ISA-сервере следует настроить по крайней мере два интерфейса: один — для связи с

интернет-провайдером, а другой — для подключения к внутренней сети.

Мастеры ISA-сервера позволяют сконфигурировать его как VPN-сервер и предоставить уделенным пользователям доступ к сетевым ресурсам. Клиентам, подключающимся к ISA-серверу через VPN, следует предоставить доступ к таким корпоративным сетевым ресурсам, как DNS и

Клиенты устанавливают VPN-подключение к удаленному ISA-серверу либо в качестве перемешающихся пользователей, подключающихся через интернет-провайдеров, либо из филиалов — в этом случае связь осуществляется через локальный ISA-сервер.

Перемещаюшиеся пользователи должны, во-первых, настроить соединение с местным провайдером [обычно это подключение по телефонной линии, настраиваемое к окне Network and Dial-up Connections (Сеть и удаленный доступ к сети)], а во-вторых, сконфигурировать клиентДля этого в Windows 2000 нужно запустить мастер Network Connection (Мастер создания сетевого подключения) и выбрать переключатель Connect to a private network through the internet (Подключение к виртуальной частной сети через Интернет). Далее следует указать в качестве адреса назначения VPN-подключения адрес ISA-сервера.

Для пользователей филиала, в сети которого работает другой ISA-сервер, для настройки подключения запускают мастеровVPN на локальном и удаленном ISA-серверах.

Использование мастеров конфигурации VPN

В состав ISA-сервера входят тс~№ры, обеспечивающие настройку VPN и механизмов безопасности. Они позволяют сконфигурировать VPN для работы в самых различных ситуациях, например для подключения мобильных пользователей к локальной сети или филиалов между собой.

Для создания VPN-подключений в ISA-сервере предусмотрены три мастера, доступные из контекстного меню узла Network Configuration дерева консоли ISA Management.

•Мастер Local ISA Server VPN — применяется для настройки локального ISA-сервера, принимающего подключения. Локальный ISA-сервер также можно настроить на ини-

подключения к другому компьютеру.

•Мастер Remote ISA Server VPN — применяется для настройки удаленного ISA-сервера, инициирующего и принимающего подключения других компьютеров.

•Мастер ISA Virtual Private Network — применяется для подключения к VPN перемещающихся пользователей.

Мастер Local ISA Server VPN

Этот мастер позволяет настроить локальный ISA-сервер сети VPN, принимающий подключения от удаленного VPN-сервера на базе ISA. Мастер создает интерфейсы вызова по требованию (dial-on-demami), используемые для подключения удаленных серверов к локальному серверу. Кроме того, он позволяет определить фильтры IP-пакетов для заимш подключения (IP-фильтры определяются для конкретных протоколов) и сконфигурировать статические маршруты пересылки трафика локальной сети через туннель в удаленную сеть.

В процессе работы мастер создает файл параметров VPN с расширением. vpc, который затем применяется при настройке удаленного ISA VPN-сервера.

---

►Настройка на локальном IS.-W „риере

1.В дереве консоли ISA Management щелкните правой кнопкой узел Network Configuration.

2.В контекстном меню выберите пункт Set Up Local ISA VPN Server, чтобы открыть окно мастера Local ISA Server VPN.

3.Следуйте указаниям мастера.

До запуска мастера Local ISA Server VPN нужно иметь в виду, что:

•в процессе настройки конфигурации система предложит ввести имя домена или удаленного сервера, на котором предполагается создать учетную запись пользователя для VPN-подключения. Если сервер одновременно является контроллером домена, введите имя соответствующего домена. В противном случае укажите NetBIOS-имя компьютера;

•ISA-сервер, установленный в режимекчшированни, нельзя настроить для поддержки VPN.

Мастер Remote ISA Server VPN

Этот мастер позволяет настроить удаленный ISA VPN-сервер, который будет подключаться к локальному ISA VPN-серверу. Он использует VPC-файл, создаваемый мастером Local ISA Server VPN для настройки интерфейсов вызова по требованию, необходимых для инициирования соединения с данным дзкальнум сервером. Кроме того, данный мастер позволяет определить фильтры IP-пакетов для защиты подключения и сконфигурировать статические маршруты для пересылки i рафи к; локальной сети через туннель к узлам удаленной сети.

Конкретные фильтры IP-пакетов зависят от протоколов, выбираемых при создании VPC-файла мастером Local ISA Server VPN.

►Настройка VPN на удаленном ISA-ct рвсрс

1.В дереве консоли ISA Management щглкните правой кнопкой узел Network Configuration.

2.В контекстном меню выберите команду Set up Remote ISA VPN Server, чтобы открыть окно мастера Remote ISA Server VPN.

3.Следуйте указаниям мастера.

Мастер ISA VirtualNetwork

Этот мастер позволяет установить на ISA-сервере VPN-сервер поддержки перемещающихся клиентов. VPN-сервер поддерживает протоколы РРТР и IPSec/L2TP и открывает соответствующие порты ISA-сервера для чосчупа клиентов.

►Настройка ISA-сервера на поддержку VPN-запросов от удаленных клиентов

1.В дереве консоли ISA Management щелкните правой кнопкой узел Network Configuration,

2.В контекстном меню выберите команду Allow VPN Client Connections, чтобы открыть окно мастера ISA Virtual Private Network.

3.Следуйте указаниям мастера.

Изменение конфигурации VPN

После настройки ISA VPN-сервера часто требуется обеспечить поддержку других протоколов. Например, сервер настроен на работу по протоколу РРТР, однако по прошествии некоторого времени потребоваласьпротокола L2TP.

0 ... 79 80 81 82 83 84 85 ... 131