概要
ISA Server可以作为×××服务器使用,但是你可能会遇到需要发布内部网络中的其他×××服务器的情况。例如,已经有了正在工作的×××服务器或者你想安全发布它,或者只想让ISA
Server作为专用的网络防火墙。
在这篇文章中提供了发布×××服务器的解决方案:
•发布使用PPTP协议的×××服务器;
•发布使用NAT-T的L2TP over IPSec协议的×××服务器;这节需要运行在Microsoft
Windows Server 2003上的×××服务器;
•发布使用没有无IPSec的L2TP协议的×××服务器;
网络拓朴
为了发布×××服务器,你至少需要:
•ISA Server计算机一台。至少需要两个网络适配器,一个连接外部网络(Internet),一个连接内部网络;
•外部网络适配器必须有静态IP地址,并且持续连接到Internet。
•内部网络中的×××服务器。这台电脑至少有一个网络适配器,连接到内部网络。除了通过ISA Server外,这个×××服务器没有其他通往Internet的路由。
•为了实行L2TP over IPSec ×××连接,需要先在×××服务器上安装数字证书。证书授权(CA)必须被使用L2TP over IPSec连接的所有客户端所信任。关于数字证书更多的信息,请参见"Digital Certificates for ISA Server2004"http://go.microsoft.com/fwlink/?LinkID=28084。
发布×××服务器
这节引导你通过必须的步骤来使用ISA Server 2004发布×××服务器。
过程一:配置×××服务器
在发布×××服务器之前,你必须陪同×××服务器。这些步骤在×××服务器上执行:
1.安装和配置×××服务器,更多的关于安装和配置×××服务器的信息,请参见微软知识库文章KB323441,"HOW TO: Install and Configure a Virtual Private Network Server in Windows Server2003" (http://go.microsoft.com/fwlink/?LinkID=28085);
2.在×××服务器上,设置连接内部网络的网络适配器的默认网关为ISA Server计算机。
在配置好×××服务器之后,执行下面之一的发布过程,依赖于你的×××服务器连接类型:
•过程2A:发布基于PPTP的×××
•过程2B:发布基于使用NAT-T的L2TP/IPSec的×××
•过程2C:发布一个L2TP服务器
过程2A:发布基于PPTP的×××
为了发布×××服务器,你必须建立一个服务器发布规则。执行以下步骤来建立:
1.在ISA Server 2004管理控制台,点击防火墙策略;
2.在任务面板,点击任务标签,选择建立新的服务器发布规则开始新的服务发布规则向导;
3.在欢迎页,为新的规则输入一个名字,例如 Publish ××× server in Internal network using PPTP,然后点击下一步;
4.在选择服务器页,输入你想发布的服务器的IP地址,然后点击下一步;
5.在选择协议页,选择PPTP Server,然后点击下一步;
6.在IP地址页,选择你想侦听访问请求的网络,在此选择External,点击下一步;
注意:默认ISA Server会在所有的外部IP地址上侦听×××连接。如果ISA Server计算机的外部接口有多个IP地址,并且你希望控制侦听的IP地址,那么点击地址按钮来打开外部网络侦听IP选择对话框,在此你可以选择侦听的IP地址。
7.在向导完成页上检查设置,然后点击完成;
8.在防火墙策略面板,点击应用以保存修改和更新防火墙策略;
过程2B:发布基于使用NAT-T的L2TP/IPSec的×××
ISA Server会对所有进入的数据包执行NAT,所以在你使用L2TP的时候必须使用NAT-T。所有L2TP
over IPSec客户必须安装了NAT-T补丁,更多的信息,请参见微软知识库文章KB818043,"L2TP/IPSec NAT-T Update for WindowsXP and Windows2000" (http://go.microsoft.com/fwlink/?LinkId=28084)。并且,×××服务器必须运行在Windows Server 2003之上。
L2TP over IPSec需要两条策略,一条用于发布IKE(Internet Key Exchange)协商,另一条用于发布NAT-T。
记住,在发布之前,请先配置好你的×××服务器。
建立发布IKE协商的规则
为了发布IKE协议,执行以下步骤:
1.在ISA Server 2004控制台,点击防火墙策略;
2.在任务面板,点击任务标签,然后选择建立新的服务器发布规则来开始新建服务器发布规则向导;
3.在欢迎页,为发布规则输入名字,例如Publish IKE for L2TP/IPSec,然后点击下一步;
4.在选择服务器页,输入发布的服务器的IP地址,然后点击下一步;
5.在选择协议页,选择IKE Server,然后点击下一步;
6.在IP地址页,选择你想侦听请求的网络,在此我们选择外部网络,点击下一步;
7.在完成向导页上检查设置,然后点击完成;
8.在防火墙细节面板,点击应用来保存修改和更新防火墙策略;
建立发布NAT-T的规则
执行以下步骤:
1.在ISA Server 2004控制台,点击防火墙策略;
2.在任务面板,点击任务标签,然后选择建立新的服务器发布规则来开始新建服务器发布规则向导;
3.在欢迎页,为发布规则输入名字,例如NAT-T ××× Publishing for
L2TP/IPSec,然后点击下一步;
4.在选择服务器页,输入发布的服务器的IP地址,然后点击下一步;
5.在选择协议页,选择IPSec NAT-T Server,然后点击下一步;
6.在IP地址页,选择你想侦听请求的网络,在此我们选择外部网络,点击下一步;
7.在完成向导页上检查设置,然后点击完成;
8.在防火墙细节面板,点击应用来保存修改和更新防火墙策略;
过程2C:发布一个L2TP服务器
当使用无IPSec的L2TP时,不需要穿越NAT,因为没有使用IPSec。L2TP不提供数据加密,所以数据在穿越×××的时候没有加密。ISA
Server 2004同样需要为出站的L2TP连接建立一个访问规则。
在过程一中已经完成的配置×××服务器中,你必须禁止自动L2TP over IPSec策略,如何禁止可以参见微软知识库文章KB310109,"HOW TO: Disable the Automatic L2TP/IPSec Policy" (http://go.microsoft.com/fwlink/?LinkId=28086),需要你在×××服务器和客户机上添加一个注册表键。
建立服务器发布规则
执行以下步骤
1.在ISA Server 2004控制台,点击防火墙策略;
2.在任务面板,点击任务标签,然后选择建立新的服务器发布规则来开始新建服务器发布规则向导;
3.在欢迎页,为发布规则输入名字,例如L2TP ××× Publishing without
IPSec,然后点击下一步;
4.在选择服务器页,输入发布的服务器的IP地址,然后点击下一步;
5.在选择协议页,选择L2TP Server,然后点击下一步;
6.在IP地址页,选择你想侦听请求的网络,在此我们选择外部网络,点击下一步;
7.在完成向导页上检查设置,然后点击完成;
建立访问规则
执行以下步骤:
1.在ISA Server 2004控制台,点击防火墙策略;
2.在任务面板,点击任务标签,然后选择建立新的访问规则来开始新建服务器发布规则向导;
3.在欢迎页,为访问规则输入名字,例如Allow L2TP from L2TP ××× Server,然后点击下一步;
4.在规则动作页,选择允许,然后点击下一步;
5.在协议页,选择选择的协议;然后点击添加按钮来打开添加协议对话框;
6.在添加协议对话框,展开所有协议,选择 L2TP Client,然后点击添加,然后点击关闭;
7.在协议页,点击下一步;
8.在源网络页,点击添加按钮来打开添加网络实体对话框;
9.在添加网络实体对话框,点击新建,然后点击计算机;
10.在新建计算机规则元素对话框,输入新计算机的名字,例如L2TP ×××
Server和IP地址,然后点击确定;
11.在添加网络实体对话框,展开计算机,然后选择L2TP ××× Server,点击添加,然后点击关闭,在源网络页,点击下一步;
12.在目的网络页,点击添加打开添加网络实体对话框,然后展开网络选择外部网络,点击添加,然后点击关闭;点击下一步;
13.在用户集页,保留默认的所有用户,然后点击下一步;
14.在完成向导页检查设置,然后点击完成;
15.在防火墙面板,点击应用来保存修改和更新防火墙策略。