ISA Server所支持的***功能: ***联机之类型: 远程访问*** 站点间*** 可支持的***通讯协议: PPTP L2TP IPSec
可使用网络规则及访问规则来控制***网络与其他网络间的网络流量
支持***隔离控制功能
ISA Server支持的网络类型: ***客户端网络 隔离的***客户端网络 远程网站网络
***--保障公司间的资源 见下图:
***--远程使用者 见下图:
实现ISA ***客户端访问: 启用***客户端访问 选择隧道通讯协议 设置远程访问设置(访问网络、地址指派、验证、RADIUS) 确认网络规则 设置***客户端网络的访问规则 设置用户账户的拨号权限
启用***客户端联机 见下图:
实验环境拓扑:
如何启用***功能呢?
我来到Paris这台计算机 它是一台处于工作组环境下的ISA Server 2006服务器 打开ISA Server 2006管理控制台--展开阵列--按虚拟专用网络(***)--在右边任务选项的常规***配置里面按定义地址分配--选择静态地址池--在IP地址范围里面按添加--指定IP地址范围就从10.3.1.1到10.3.1.120吧--按确定 这样客户端能够使用的IP地址是119个IP地址 因为10.3.1.1这个IP地址将会被ISA Server 2006这台服务器用掉的 注意: 这个指定IP地址范围是不能够跟ISA Server 2006服务器上所连接的内部网段是同一个网段的 换句话说这个IP地址范围不能是10.1.1.0这个网段的IP地址
在任务选项的***客户端任务里面按启用***客户端访问--按配置***客户端访问--在允许的最大***客户端数量里面输入119--按确定 在ISA Server 2006管理控制台里面按应用
通过开始--程序--管理工具--选择路由和远程访问来打开它 可以看到PARIS(本地)这个图标变成绿色了 说明已经启用路由和远程访问功能了 如果还没有启用远程访问功能的话 PARIS(本地)这个图标是红色的 对着PARIS(本地)右键--选择属性--按IP地址--可以看到它把10.3.1.1到10.3.1.120这个IP地址范围添加到静态地址池里面了 接下来就是需要到企业外部测试一下***的功能是否已经启用成功了 注意: ISA Server 2006服务器在配置***的时候是借助Windows Server 2003内置的路由和远程访问来实现的
我来到Istanbul这台计算机 它是一台Internet上的计算机 对着网上邻居右键--选择属性--双击新建连接向导来打开它--接着下一步
在网络连接类型里面选择连接到我的工作场所的网络--接着下一步
在创建下列连接里面选择虚拟专用网络连接--接着下一步
公司名就叫做Microsoft ***[Standard]吧--接着下一步
在主机名或IP地址里面输入39.1.1.1(ISA Server 2006服务器外部网卡的IP地址)--接着下一步
在创建此连接,为里面选择只是我使用--接着下一步
按完成
输入用户名(Administrator)和密码--按连接
此时可以看到有一个错误提示649: 本账户没有拨入的权限 这个错误该如何解决呢? 其实有二种方法可以解决的 第一种方法就是在Administrator这个用户的属性里面--把拨入选项里面的远程访问权限(拨入或***)设置成允许访问 第二种方法就是在路由和远程访问里面的ISA服务器默认策略属性里面的如果一个连接请求匹配指定条件设置成授予远程访问权限
我来到Paris这台计算机 对着我的电脑右键--选择管理--展开本地用户和组--按用户--对着Administrator这个用户右键--选择属性--按拨入--在远程访问权限(拨入或***)里面选择允许访问--按确定
通过开始--程序--管理工具--选择路由和远程访问来打开它--展开PARIS(本地)--按远程访问策略--对着ISA服务器默认策略右键--选择属性--在如果一个连接请求匹配指定条件里面选择授予远程访问权限 按确定
我来到Istanbul这台计算机--输入用户名(Administrator)和密码--按连接
看到了吧? 可以看到我已经使用***成功拨入企业内部网络了
我来到Paris(ISA Server 2006服务器)这台计算机--在命令提示符里面输入ipconfig/all按回车键--可以看到10.3.1.1这个IP地址已经被ISA Server 2006服务器使用了
我来到Istanbul(Internet上的计算机)这台计算机--在命令提示符里面输入ipconfig /all按回车键--可以看到在Istanbul这台计算机上获得10.3.1.4这个IP地址
我在Istanbul这台计算机上Ping 10.3.1.1和Ping 10.1.1.5这两个IP地址 你会看到都不能Ping成功 我们不是可以通过***拨入企业内部网络了吗? 为什么还Ping不通呢? 因为我们还没有在ISA Server 2006服务器上新建相应的访问规则来允许外部的计算机能够Ping通ISA Server 2006服务器和企业内部的计算机 此时如果你通过开始--运行--输入\\10.1.1.5(Denver这台计算机的IP地址)--按确定之后你会看到无法访问到Denver这台计算机上的资源
我在Paris这台计算机上打开ISA Server 2006管理控制台--展开阵列--Paris--对着防火墙策略(Paris)右键--按新建--选择访问规则
访问规则名称就叫做Allow *** Clients Ping ISA Server吧--接着下一步
选择允许--接着下一步
在所选的协议里面按添加--把Ping这个协议添加在里面--按关闭--接着下一步
在此规则应用于来自这些源的通讯里面按添加--把***客户端添加到里面--按关闭--接着下一步 注意: ***客户端这个网络的成员是动态的
在此规则应用于发送到这些目标的通讯里面按添加--把本地主机添加到里面--按关闭--接着下一步
此时你也可以指定是那一些用户才能够Ping通ISA Server 2006服务器 我就保留默认(所有用户)吧--接着下一步
按完成 在ISA Server 2006管理控制台里面按应用 此时你在Istanbul这台计算机上Ping 10.3.1.1这个IP地址是能够Ping通了
我们还需要新建一条访问规则来允许外部的计算机来Ping通企业内部的计算机和访问到企业内部计算机上的资源 在ISA Server 2006管理控制台里面对着防火墙策略(Paris)右键--按新建--选择访问规则
访问规则名称就叫做Allow *** Clients to Internal Network吧--接着下一步
选择允许--接着下一步
在所选的协议里面按添加--把Microsoft CIFS(TCP)和PING这两种协议添加到里面--按关闭--接着下一步
在此规则应用于来自这些源的通讯里面按添加--把***客户端添加到里面--按关闭--接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--把内部添加到里面--按关闭--接着下一步 注意: 此时你也可以新建一台特定的计算机 就是说你只允许外部的计算机通过***访问到这台特定计算机上的资源
注意: 此时你也可以指定一些特定的用户才能够访问到企业内部计算机上的资源 我就保留默认(所有用户)吧--接着下一步
按完成 在ISA Server 2006管理控制台里面按应用
我来到Istanbul(Internet上的计算机)这台计算机 打开命令提示符--在里面输入ping 10.1.1.5按回车键--可以看到能够Ping通过Denver这台计算机了--通过开始--运行--输入\\10.1.1.5(Denver这台计算机的IP地址)按确定--可以看到能够访问到企业内部Denver这台计算机上的资源了 说明现在已经成功启用***功能了
实现***隔离控制 见下图:
启用***网络隔离功能: 1.编写检查客户端设置的客户端脚本 2.在ISA Server端建立与安装远程访问隔离组件 3.在ISA Server上启用隔离控制 4.使用CMAK来建立远程访问客户端的***拨号软件 5.设置隔离***客户端网络的网络规则 6.设置隔离***客户端网络的访问规则
***隔离是ISA2006中提供的一个强大功能,也是NAP(网络访问保护)的一个重要组成环节。***隔离指的的是当***客户机通过***服务器的身份验证后,***服务器并不立即允许其访问内网,而是将***客户机放到一个被隔离的网络中。然后通过策略对客户机进行安全检查,例如查看***客户机是否安装了最新的安全补丁,是否启用了防火墙,防病毒软件是否升级到了最新版本等等。如果***客户机通过了安全策略的检查,***服务器将允许其访问内网资源;如果不能通过安全策略检查,***客户机将被限定在隔离网络中,无法访问内网资源,而且在隔离网络中停留一段时间后会被逐出。有的企业会在隔离网络中放置一些文件服务器,用以提供杀病毒软件,系统更新补丁等,还有的可能会在隔离网络中放置Web服务器,用以提示用户为什么被隔离,接下来要进行什么操作。
一 安装隔离服务
ISA2004安装***隔离服务时一般是使用Resource Kits工具集中提供的***隔离服务的安装程序,现在由于Win2003 SP1中已经集成了***隔离服务,因此ISA2006安装***隔离就非常简单了。打开控制面板中的添加或删除程序,选择添加/删除Windows组件,如下图所示,在网络服务的子组件中勾选“远程访问隔离服务”,点击确定,接着下一步即可完成***隔离服务的安装。
如下图所示,我们已经在ISA服务器上安装了***隔离服务,这时ISA服务器会在7250端口提供一个守护进程,用来接收***客户机上的代理程序发来的策略检查结果,但此时的***隔离服务还需要对一些参数进行配置。
我们在Paris上打开注册表编辑工具regedit.exe,定位到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rqs],编辑“AllowedSet”。如下图所示,我们为键值赋值为“RQVersion3”。这个键值的作用相当于是一个接头暗号,当***客户机被隔离策略检查安全性之后,***客户机上的代理程序会把检查结果发往***服务器。***服务器收到***客户机上发来的检查结果后,要查看检查结果中附带的版本标识符是否和注册表中记录的一样,如果是相同的,那***服务器就认可对***客户机的检查结果,否则***服务器就会认为***客户机上的代理程序把检查结果发错了目标,拒绝承认检查结果。
接下来我们还要添加一个注册表键值,如下图所示,我们在RQS服务中新建一个字符串值。
如下图所示,键值命名为Authenticator,内容为C:\Program Files\Microsoft ISA Server\***plgin.dll,这个键值的作用是当***客户机通过了安全策略检查后,***plgin.dll将解除对***客户机的隔离。
二 创建***隔离通告协议
ISA服务器上安装了***隔离服务后,在7250端口会有一个守护进程等候被隔离客户机上的代理程序传送安全策略检查的结果,但ISA的访问规则不会允许被隔离的计算机连接ISA的7250端口,因此我们需要创建访问规则允许这种访问行为。在创建访问规则前我们需要把访问7250端口的行为定义为一种协议,在ISA防火墙策略的工具箱中选择新建协议,如下图所示,出现协议创建向导,我们给协议命名为“***隔离通告协议”,点击“下一步”继续。
如下图所示,我们定义协议使用TCP,端口是7250,方向是出站。注意,千万别认为ISA被其他计算机访问7250端口,方向应该算是入站,这是错误的!访问规则中使用的协议方向是出站,而发布规则中使用的协议方向是入站!
接下来协议创建向导询问是否需要使用辅助连接,我们并不需要,点击下一步继续
如下图所示,我们顺利完成了***隔离通告协议的创建。
三 创建访问规则
我们创建了***隔离通告协议之后,接下来就可以创建访问规则允许被隔离的***客户机连接ISA服务器的7250端口报告策略检查结果了。如下图所示,我们在ISA管理器中选择新建访问规则,我们为规则命名为“允许***隔离通告”,点击下一步继续。
当访问请求满足规则条件时允许操作。见下图:
规则中只允许使用我们创建的***隔离通告协议。见下图:
规则的访问源是“被隔离的***客户端”,这也是ISA中预设的一个网络。见下图:
访问目标是本机主机。见下图:
此规则适用于所有用户。见下图:
如下图所示,我们完成了访问规则的创建。
四 启用***隔离
接下来我们可以在ISA服务器上启用***隔离了,如下图所示,我们在ISA的网络中找到“被隔离的***客户端”,点击右键查看属性。
我们在属性中切换到“隔离标签”,如下图所示,勾选“启用隔离控制”,选择按照ISA服务器策略进行隔离***客户端,并设定用户在30秒内如果不能被解除隔离,就将被ISA服务器中断连接。
至此,我们在ISA服务器上启用了***隔离服务,接下来我们启动***隔离服务就可以完成服务器端的配置了。
五 创建连接管理器分发文件
服务器端的配置完成之后,我们接下来就要考虑如何在客户端进行安全策略的检查以及如何把检查结果传送给ISA服务器。如下图所示,rqc.exe负责把策略检查结果发送给ISA服务器,rqc.exe是***隔离服务的客户端工具,在Resource kits工具集中有提供,在win2003 SP1中也已经集成了,路径是C:\Program Files\Cmak\Support。RQScript.vbs是一个负责检查客户端安全策略的脚本,这个脚本文件是由微软的ISA实验室提供的示例文件,主要负责检查客户端的防火墙有没有开启。我们如果想自定义一些检测项目,就只能自己写脚本了。如果你没有编程基础也不要紧,有一些公司可以提供这种脚本编程的服务,还有的公司把常用的检测项目都封装成应用程序,管理员只要用鼠标选择具体的检测项目即可。
现在我们有了rqc.exe和RQScript.vbs,但怎么才能让这两个文件在客户端进行***连接时发挥作用呢?我们可以定制一个专用的***拨号配置文件,在配置文件中集成这两个文件。我们要想定制专用的***拨号配置文件,首先要安装一个连接管理器管理工具包。我们在ISA服务器上打开控制面板中的添加或删除程序,选择添加/删除Windows组件,如下图所示,在“管理和监视工具”的子组件中选择“连接管理器管理工具包”。
接下来我们在管理工具中打开“连接管理器管理工具包”,创建定制一个***拨号配置文件,如下图所示,出现连接管理器管理工具包向导,点击下一步继续。
选择新建配置文件,点击下一步继续。见下图:
输入服务名和文件名,注意,文件名是***rq,最终生成的配置文件名就是***rq.exe。见下图:
选择不在用户名中添加领域名,下一步继续。见下图:
不需要合并配置文件,下一步继续。见下图:
在电话簿中配置***服务器的IP地址或完全合格域名,在此我们使用的是IP地址。见下图:
注意: 39.1.1.1这个IP地址是ISA Server 2006服务器的外部网卡IP地址
***安全设置使用默认值,点击下一步继续。见下图:
取消勾选“自动下载电话簿更新”,点击下一步继续。见下图:
检查拨号设置无误,点击下一步继续。见下图:
使用默认设置“不改变路由选择表”,点击下一步继续。见下图:
选择“不配置代理设置”,点击下一步继续。见下图:
接下来是关键步骤,我们点击“新建”,准备自定义操作。
在新建的自定义操作中,我们选择使用RQScript.vbs来检查客户端的安全策略,传递的参数是%DialRasEntry%,%TunnelRasEntry%,%Domain%和%UserName%,操作类型是后连接,点击确定完成新建操作。见下图:
接下来设置登录位图,我们使用默认值,点击下一步继续。见下图:
电话簿位图,我们也取默认值,点击下一步继续。见下图:
显示图标也使用默认值,点击下一步继续。见下图:
不在任务栏创建快捷方式,点击下一步继续。见下图:
不指定帮助文件,点击下一步继续。见下图:
不需要输入登录对话框中的帮助信息,点击下一步继续。见下图:
选择把连接管理器1.3版本集成在这个配置文件中。见下图:
不需要定制许可协议文件,点击下一步继续。见下图:
这一步也很重要,我们点击“添加”按钮把rqc.exe集成到配置文件中,这个文件在Resource Kits工具集中有提供,在ISA服务器的C:\Program Files\Cmak\Support中也有。见下图:
不选择高级自定义,点击下一步继续。见下图:
如下图所示,我们终于完成了定制的拨号配置文件,接下来我们只要把***rq.exe发给客户机,就可以在客户端进行***隔离的测试了。见下图:
六 ***隔离测试
我们现在可以在***客户机Istanbul上开始测试了,看看能否通过***的安全策略检查。我们在Istanbul上双击执行用连接管理器工具生成的配置文件***rq.exe,如下图所示,安装程序询问是否安装Microsoft配置文件,选择“是”继续。
选择在桌面添加快捷方式,点击“确定”结束配置文件的安装。见下图:
双击执行桌面上的Microsoft图标,如下图所示,输入用户名和口令,点击“连接”。
用户名和口令校验成功后,***服务器提示已经成功拨入,但很快就弹出一个消息框,如下图所示,提示错误-无法联系到RQS.exe,为什么会提示错误-无法联系到RQS.exe呢? 那是因为Paris(ISA Server 2006服务器上的Remote Access Quarantine Agent这个服务还没有被启动起来,所以即将被断开连接。
过了预设的30秒后,***连接被服务器中断,如下图所示,拨号连接询问是否要重新连接,点击“否”。
我来到Paris(ISA Server 2006服务器)这台计算机--通过开始--运行--输入services.msc按确定来打开服务--对着Remote Access Quarantine Agent这个服务右键--选择启动 见下图:
开启Remote Access Quarantine Agent这个服务后再次拨入,如下图所示,系统提示Istanbul已经通过了安全策略检查,被赋予了访问权限,至此,***隔离实验测试成功!
通过开始--运行--输入\\10.1.1.5(Denver这台企业内部服务器的IP地址)--按确定之后可以看到能够通过***隔离的功能访问到企业内部Denver这台服务器上的资源了 此时说明Administrator这个用户被从原来被隔离的***客户端网络里面移动到***客户端网络里面了
***隔离是微软NAP中的一个重要环节,希望大家能够掌握这个功能。中间的步骤很多,但难度不大,真正困难的是安全策略检查脚本的撰写