首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-VPN > 在背靠背ISA防火墙中配置远程VPN访问
现在时间是: 2019-02-19 18:45
在背靠背ISA防火墙中配置远程VPN访问

(2004-09-21 18:53)
来源:ISAServer.org


在背靠背ISA防火墙中配置远程VPN访问

译自 Thomas W Shinder MD,"Configuring Remote Access VPN Servers in a Back to Back ISA Firewall Configuration"


在背靠背的ISA防火墙环境中,前端ISA防火墙直接连接到Internet,根据你网络的情况(使用私有IP或者具有公共IP地址),你可以在前端ISA防火墙后的DMZ和Internet网络间使用NAT或者路由关系。

如果你在DMZ网段使用公共IP地址和路由关系,你可以在前端ISA防火墙后发布PPTP、L2TP/IPSec和IPSec隧道模式的VPN;如果你使用NAT关系,那么你可以发布PPTP或者L2TP/IPSec模式的VPN服务器。因为NAT会中断IPSec,所以除非你的VPN服务器支持NAT-T(IETF定义的NAT-T,Windows
Server 2003的VPN服务器就支持NAT-T),那么你不能在具有NAT网络关系的前端ISA防火墙后发布IPSec隧道模式的VPN服务器。

NAT-T(NAT穿越)允许IPSec加密VPN隧道来在NAT设备间穿行。IPSec头通过TCP或者UDP封装,指定目的端口。安装在Windows Server 2003之上的ISA防火墙提供的VPN服务使用IETF NAT-T指定的UDP 4500端口作为目的端口。

Windows Server 2003/ISA防火墙VPN服务器收到发往UDP 4500端口的数据包,移去UDP头,将数据发送给IPSec加密通信,然后通过IPSec解密数据,转发到对应的目的主机。这就是Windows
NAT-T VPN客户连接到Windows Server 2003/ISA防火墙VPN服务器时所采用的方式。

其他VPN服务提供商可能会使用其他的端口来封装NAT数据包,如CISCO使用UDP 10000端口。CISCO同样也提供了使用TCP来封装的选项,尽管这样可能会和IETF不兼容,以及让NAT-T不稳定。不管IPSec头是如何实现封装,它能够通过NAT设备。

新的ISA Server 2004防火墙对于ISA Server 2000的一个主要的新改进是它可以发布PPTP VPN服务器。在PPTP不能提供和IPSec加密VPN连接同样的安全级别时,在使用长密码的时候,PPTP连接还是比较安全的。许多公司使用PPTP VPN连接,然后采用复杂的密码,这时,安全性已经可以和IPSec VPN相比了。



注意:

我知道IPSec的安全优点,它同样需要计算机和用户的双重身份验证。但是,PPTP适合于大部分商业使用,只有极少的非常保密的商业通信需要L2TP/IPSec加密。注意使用预定义密钥的IPSec隧道模式不如PPTP安全,因为针对使用预定义密钥的IPSec的攻击有几种方法。如果你正在采用预定义密钥的IPSec隧道,那么建议你采用L2TP/IPSec和使用证书来加密通信。尽管如此,在这篇文章中,为了方便演示,我将为L2TP/IPSec VPN连接使用预定义密钥。


在ISA Server 2000中,PPTP过滤器只能过滤出站的VPN连接,在ISA Server 2004防火墙中,PPTP过滤器可以支持出站和入站的VPN连接。

发布一个PPTP VPN服务器只需要你使用PPT服务器协议定义建立一个服务器发布规则。发布一个L2TP/IPSec VPN服务器需要你发布IKE(UDP 500)、L2TP(UDP 1701)和NAT-T(UDP 4500)。如果你使用NAT-T,那么你不需要发布L2TP协议,因为L2TP头是通过NAT-T的UDP头来封装。

发布一个位于前端ISA防火墙后的ISA防火墙/VPN服务器,你需要执行以下步骤:


  • 安装和配置前端ISA防火墙;
  • 安装和配置背端ISA防火墙;
  • 配置背端ISA防火墙作为PPTP和L2TP/IPSec VPN服务器;
  • 在前端ISA防火墙上发布背端的ISA防火墙/VPN服务器;
  • 建立远程连接;


作者:Thomas Shinder
责任编辑:风间子

[1] [2] [3] [4] [5] [6] 下一页>>
上一篇:使用RADIUS来认证VPN用户
下一篇:在ISA 2004和ISA 2000之间配置站点到站点的VPN
相关信息:

使用Web代理模式的单网卡ISA Server 2004防火墙发布OWA站点
比比谁的ISA Server运行时间长 v2.0 - 新记录诞生!
妙用DNS解析实现防火墙客户的重定向
部署防火墙策略的十六条守则 v2.1
ISA Server 2004中的Outlook Web Access服务器发布

热点信息 TOP 10
How To:配置基于PPTP模式的站点到站点的VPN连接
启用ISA Server 2004 的VPN服务
How to :让VPN客户解析内部网络中的计算机名
使用RADIUS来认证VPN用户
ISA Server 2004中的Site-to-Site VPN
在背靠背ISA防火墙中配置远程VPN访问
配置VPN服务器使用智能卡身份验证
为VPN客户启用DHCP中继
关于L2TP站点到站点VPN连接中的证书的配置
关于ISA防火墙中VPN服务的一些补充说明

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..