鸿 网 互 联 www.68idc.cn

专家讲堂:如何创建WindowsVPN服务器

来源:互联网 作者:佚名 时间:2015-06-04 21:17
有关VPN客户机的一个常见的错觉是认为它们是在VPN网络上连接到企业网络的工作站 这种工作站肯定是一种VPN客户机 但是 它并不是惟一的一种VPN客户机 VPN客户机可以是一台计算机 还可以是一台路由器 你的网络需要使用什么类型的VPN客户机确实取决于你的公司的

  有关VPN客户机的一个常见的错觉是认为它们是在VPN网络上连接到企业网络的工作站这种工作站肯定是一种VPN客户机但是它并不是惟一的一种VPN客户机VPN客户机可以是一台计算机还可以是一台路由器你的网络需要使用什么类型的VPN客户机确实取决于你的公司的具体需求

  例如如果你碰巧有一个缺少与公司办公室直接连接的一个分支办公室使用一台路由器作为VPN客户机对你来说可能是一个很好的选择通过这样做你可以利用一个单个的连接把整个分支办公室与公司办公室连接起来不需要每一台PC都单独建立一个连接

  另一方面如果你拥有一些经常出差的雇员这些雇员需要在旅行中访问公司的网络你把这些雇员的笔记本电脑设置为VPN的客户机可能会有好处

  从技术上说只要支持PPTPLTP或者IPSec协议任何操作系统都可以作为一台VPN客户机就微软而言这意味着你可以使用Windows NT XME和XP操作系统虽然所有这些操作系统从技术上说都可以作为客户机我建议你坚持使用Windows 或者Windows XP操作系统因为这些操作系统能够支持LTP和PSec协议

  VPN服务器

  VPN服务器可以当作VPN客户机的一个连接点从技术上说你可以使用Windows NT Server Windows Server或者Windows Server 等操作系统作为一台VPN服务器不过为了保证安全我认为你应该使用Windows Server 操作系统

  有关VPN服务器的最大的误解之一是VPN服务器所有的工作都是自己完成的我的朋友无数次地对我说他们要购买一台VPN服务器他们没有认识到VPN服务器只是必要的组件之一

  VPN服务器本身是非常简单的VPN服务器不过是执行路由和远程访问服务任务的一个增强的Windows Server服务器一旦一个进入VPN网络的请求被批准这个VPN服务器就简单地充当一台路由器向这个VPN客户机提供专用网络的接入

  ISA服务器

  VPN服务器的额外要求之一是你要有一台RADIUS(远程认证拨入用户服务)服务器远程认证拨入用户服务是互联网服务提供商在用户试图建立互联网连接的时候对用户进行身份识别的一种机制

  你需要使用RADIUS服务器的原因是你需要一些身份识别机制对通过VPN连接进入你的网络的用户进行身份识别你的域名控制器不能完成这个任务即使你的域名控制器能够胜任这个任务把域名控制器暴露给外部世界也不是一个好主意

  现在的问题是你从什么地方获得这个RADIUS服务器?微软有自己版本的RADIUS名为互联网身份识别服务英文缩写字是IASWindows Server 操作系统包含IAS功能这是一个好消息坏消息是由于安全的原因不能在同一台计算机中把ISA当作路由和远程访问服务(RRAS)来运行即使可以这样做我也不能肯定在虚拟服务器设置之外是否有这个可能

  防火墙

  你的VPN需要的其它组件是一个良好的防火墙的确你的VPN服务器接受来自外部世界的连接但是这并不意味着外部世界需要完全访问的VPN服务器你必须使用防火墙封锁任何没有使用的端口

  建立VPN连接的基本要求是VPN服务器的IP地址必须能过通过互联网访问VPN通信必须能够通过你的防火墙进入VPN服务器然而还有一项可选择的组件你可以使用这个组件让你的VPN服务器更安全

  如果你非常重视安全问题(而且你有这笔预算)你可以在ISA服务器和你的周边防火墙和VPN服务器之间放置一个ISA服务器这个想法是你可以设置防火墙把所有的与VPN有关的通信都指向那个ISA服务器而不是指向VPN服务器然后ISA服务器将充当一个VPN代理服务器VPN客户机和VPN服务器仅与ISA服务器进行通信它们相互之间从来不直接通信这就意味着ISA服务器在保护VPN服务器不允许直接访问VPN服务器从而为VPN服务器增加了一个保护层

  选择一个隧道协议

  当VPN客户机访问一台VPN服务器的时候它们是通过一个虚拟的隧道进行访问的一个隧道实际上就是通过一个不安全的媒介(通常是互联网)的安全通道然而隧道并不是用魔术变出来的隧道需要使用一个隧道协议我以前曾讲过老式的Windows客户机能够通过PPTP(点对点隧道协议)协议连接到一个VPN网络但是我建议使用比较新的客户端软件如Windows 和Windows XP因为它们支持LTP(层隧道协议)事实是这两个协议中的任何一个协议都可以工作而且客户机都支持这些协议然而每一个协议都有其优点和缺点选择一个适合你的机构的隧道协议是你规划VPN网络时应做出的最重要的决策之一

  同PPTP协议相比LTP协议最大的优势在于它依赖IPSecIPSec加密数据也提供数据身份识别这意味着IPSec证明这个数据确实是由发送者发送的并且在传输的过程中没有被修改而且IPSec可以防止重播攻击重播攻击指的是黑客捕捉身份识别数据包然后在晚些时候重新发送这个数据包以便获得这个系统的访问权限

  LTP还可以提供比PPTP更强大的身份识别功能LTP能够对用户和计算机都进行身份识别而且在用户级身份识别期间交换的数据包总是被加密的

  虽然表面上看LTP也许是隧道协议的选择但是PPTP也有一些超过LTP的优点我已经谈到过这些优点之一就是兼容性PPTP比LTP兼容更多的Windows系统如果你有一些仍在使用版本比较老的Windows操作系统的VPN用户那么除了使用PPTP之外你没有别的选择

  PPTP优于LTP的另一个优势是LTP是以IPSec为基础的在LTP的优点这一节我谈到IPSec喜欢LTP是一件好事而且事情确实如此然而使用IPSec有一个重大缺陷IPSec要求你的网络具有认证中心

  这个好消息是Windows Server 有自己的认证中心认证中心的设置是相对简单的坏消息是从安全的观点看认证中心不是你要处理的事情保持认证中心完整性的惟一方法是在一台安全保护增强到最大限度的专用服务器上运行认证中心这就意味着必须要额外投资购买一台服务器额外的Windows服务器软件许可证以及增加与你的网络增加一台服务器有关的额外管理负担不过按照我的意见额外的成本和管理负担是值得的LTP能够为你提供比PPTP更好的安全性此外你还可以利用认证中心做其它的事情如通过IPSec加密本地通信等

  身份识别协议

  在我谈论协议话题的时候我要用一些时间谈一谈身份识别协议的问题在设置VPN的过程中系统将要求你选择一个身份识别协议大多数人会选择MSCHAP v选项MSCHAP是一个相对安全的选项它兼容运行在过去的年里制作的任何版本的Windows操作系统的VPN客户机MSCHAP最大的优点是容易设置

  如果你计划使用LTP并且要更好的安全性你应该选择EAPTLS作为你的身份识别协议只有运行Windows 或者Windows XP操作系统的客户机才能支持EAPTLS协议而且必须设置VPN服务器之后认证中心才能办法用户认证EAPTLS协议的设置比较复杂如果最终用户已经获得了智能卡这个协议会工作得更好但是EAPTLS协议确实能够为你提供最佳的安全简单地说MSCHAP是基于口令的协议EAPTLS是基于证书的协议

  结论

  在你创建一个VPN之前需要做许多规划工作在这篇文章中我谈了设计一个VPN必须要做的一些规划还谈了一些你必须要做出的一些决策

网友评论
<