电脑技术学习

ISA 2004王者归来(四)

dn001

增强的虚拟专用网络(VPN)

ISA Server 2004服务器改进后的VPN管理功能可以帮助您轻松的设置虚拟专用网络 (VPN),并且由于支持产业标准 Internet 协议安全 (IPSec),所以 ISA Server 2004 可以加入到其他供应商提供的已有 VPN 基础结构的环境中,其中包括那些对站点到站点连接采用 IPSec 隧道模式配置的环境。

图注 ISA Server 2004中全面增强了VPN功能


在ISA Server 2004中,有两种类型的 VPN 连接:

•远程访问 VPN 连接。

客户端建立远程访问 VPN 连接,以连接到专用网络。ISA Server 2004服务器作为VPN接入服务器,远程客户通过连接它来进入内部网络。

•站点到站点的 VPN 连接。

两个VPN 服务器之间建立站点到站点的 VPN 连接,将专用网络的两个部分安全地连接起来。

将 ISA Server 2004服务器作为 VPN 服务器的好处是可以防止公司网络受到恶意 VPN 连接的威胁。通过新增的多网络支持和对 VPN 监控状态的检查,ISA Server 2004能很好的保证VPN的安全。同时 VPN 服务器集成到了防火墙功能中,所以为预配置的 VPN 客户端网络定义的 ISA Server 2004服务器访问策略都适用于 VPN 用户。所有 VPN 客户端都属于 VPN 客户端网络,并且受到防火墙策略的限制。

ISA Server 2004服务器中新增的隔离模式,可以确保在允许客户端加入 VPN 客户端网络(通常具有不受限制的内部网络访问权限)之前,先检查其是否符合公司的软件策略。通过使用隔离控制,可以在真正地允许远程 (VPN) 客户端访问网络之前,将其限定为隔离模式,从而为其提供了阶段性的网络访问权限。在客户端计算机配置被调整或被断定为符合组织的特定隔离限制后,会依照您指定的隔离类型对连接应用标准的 VPN 策略。例如,隔离限制可能规定在连接到您的网络时应安装并启用特定的防病毒软件。尽管隔离控制并不防范攻击者,但是已授权的用户在访问网络前,其计算机配置可以得到验证,如有必要,也可以得到更正。还可以使用计时器设置来指定在客户端不满足配置要求的情况下经过多长时间即断开其连接。

可以为每个 VPN 客户端网络创建两个不同的策略:

•被隔离的 VPN 客户端网络。将访问限制在某些服务器的范围内,客户端可以从这些服务器下载必要的更新以便达到软件策略的要求。

• VPN 客户端网络。可以允许访问所有公司(内部网络)资源,或者根据需要限制访问。VPN 客户端网络将拥有与外部网络的 NAT 关系。系统将配置一个定义 VPN 网络与外部网络之间的 NAT 关系的网络规则。