■河南 郭建偉

搭建所需的網(wǎng)絡(luò)環(huán)境

在Windows Server 2008中，支持的遠(yuǎn)程訪問(wèn)協(xié)議為PPP點(diǎn)對(duì)點(diǎn)協(xié)議。當(dāng)VPN客戶(hù)端連接到VPN服務(wù)器時(shí)，需要對(duì)其身份進(jìn)行驗(yàn)證，只有驗(yàn)證成功，用戶(hù)才有權(quán)利訪問(wèn)內(nèi)網(wǎng)資源。其支持MS-CHAP v2、EAP-TLS、PEAPTLS、EAP-MS-CHAP v2等身份驗(yàn)證協(xié)議。

為了保證數(shù)據(jù)傳輸?shù)陌踩?，客?hù)端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)必須經(jīng)過(guò)加密。Windows Server 2008支持PPTP、L2TP/IPSec、SSTP、IKEv2等VPN協(xié)議。這里以IKEv2協(xié)議為例，來(lái)簡(jiǎn)單說(shuō)明其配置方法。

為了便于說(shuō)明，本例中假設(shè)內(nèi)部網(wǎng)絡(luò)中存在IP為192.168.3.1的域控制器，在其Active Directory數(shù)據(jù)庫(kù)中存儲(chǔ)著域賬戶(hù)信息，VPN客戶(hù)端將利用對(duì)應(yīng)的域賬戶(hù)連接VPN服務(wù)器。在該機(jī)上同時(shí)安裝了DNS服務(wù)器，域名為xxx.com，不僅用來(lái)支持活動(dòng)目錄，而且對(duì)內(nèi)網(wǎng)和VPN客戶(hù)端提供域名服務(wù)。在域控安裝了DHCP和WINS服務(wù)器，用來(lái)給VPN客戶(hù)端分配IP，同時(shí)在指定的服務(wù)器上安裝企業(yè)根CA和IIS組件，用來(lái)頒發(fā)證書(shū)。VPN服務(wù)器需要安裝兩塊網(wǎng)卡，一塊連接局域網(wǎng)，一塊連接Internet。在其上安裝并配置好安裝遠(yuǎn)程和路由訪問(wèn)角色。

創(chuàng)建IKE v2VPN服務(wù)器

IKEv2協(xié)議采用的是IPSec信道模式，使用UDP 500端口，使用3DES或者AES加密數(shù)據(jù)。其利用IKE v2 MOBIKE（Mobility and Multihoming Protocol）協(xié)議提供的功能，允許移動(dòng)客戶(hù)通過(guò)VPN連接內(nèi)網(wǎng)。Windows 2008/7通過(guò)使用VPN Reconnect功能，來(lái)支持IKEv2協(xié)議。

和上述幾個(gè)VPN協(xié)議不同，借助于VPN Reconnect功能，當(dāng)網(wǎng)絡(luò)連接中斷后，即使經(jīng)過(guò)一段時(shí)間，當(dāng)網(wǎng)絡(luò)連接恢復(fù)后，VPN連接通道會(huì)自動(dòng)恢復(fù)運(yùn)行，無(wú)需用戶(hù)手工重新建立VPN連接，這對(duì)于移動(dòng)用戶(hù)來(lái)說(shuō)是很有利的。

例如，當(dāng)用戶(hù)使用筆記本電腦移動(dòng)上網(wǎng)，在不同的環(huán)境中切換不同的無(wú)線連接后，VPN通道照樣保持連接狀態(tài)。IKEv2 VPN服務(wù)器需要向CA申請(qǐng)和安裝證書(shū)，雖然VPN客戶(hù)端不需要使用計(jì)算機(jī)證書(shū)。但是IKE v2 服務(wù)器使用的證書(shū)需要包含服務(wù)器驗(yàn)證和IPIKE中繼證書(shū)，因?yàn)槠髽I(yè)根CA沒(méi)有提供這些數(shù)據(jù)，需要我們手工建立對(duì)應(yīng)的證書(shū)模板。

在證書(shū)頒發(fā)機(jī)構(gòu)窗口左側(cè)選擇“證書(shū)模板”項(xiàng)，在其右鍵菜單中點(diǎn)擊“管理”項(xiàng)，在證書(shū)模板控制臺(tái)窗口右側(cè)選擇選擇某個(gè)證書(shū)（例如“IPSec”等），右擊“復(fù)制模板”項(xiàng)，在彈出窗口中選擇“Windows Server 2003 Enterprise”項(xiàng)，這是為了提高證書(shū)模板可用性。

點(diǎn)擊“確定”按鈕，在“證書(shū)模板→屬性→常規(guī)→模板顯示名稱(chēng)”欄中輸入其名稱(chēng)，例如“VPNCXL”。在“請(qǐng)求處理”面板中選擇“允許導(dǎo)出私鑰”項(xiàng)，在“請(qǐng)求者名稱(chēng)”面板中選擇“在請(qǐng)求中提供”項(xiàng)，在“擴(kuò)展”面板中選擇“應(yīng)用程序策略”項(xiàng)，點(diǎn)擊“編輯”按鈕，在編輯應(yīng)用程序策略擴(kuò)展窗口中點(diǎn)擊“添加”按鈕，分別添加“IP安全 IKE中級(jí)”和“服務(wù)器身份驗(yàn)證”項(xiàng)。在擴(kuò)展面板中選擇“密鑰用法”項(xiàng)，點(diǎn)擊“編輯”按鈕，在彈出窗口中選擇“數(shù)字簽名”項(xiàng)，點(diǎn)擊“確定”，保存模板信息。

在證書(shū)頒發(fā)機(jī)構(gòu)左側(cè)選擇“證書(shū)模板”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建→要頒發(fā)的證書(shū)模板”項(xiàng)，在啟用證書(shū)模板窗口中選擇上述證書(shū)模板（例如“VPNCXL”），點(diǎn)擊“確定”，完成所需的操作。VPN服務(wù)器必須信任由CA發(fā)放的證書(shū)，即需要將CA證書(shū)安裝到VPN服務(wù)器中。因本例中為VPN已經(jīng)加入域，而與成員會(huì)自動(dòng)信任企業(yè)CA，所以VPN服務(wù)器已經(jīng)信任該CA。

因?yàn)镮KEv2 VPN服務(wù)器需要安裝服務(wù)器身份驗(yàn)證和IP安全I(xiàn)KE中級(jí)證書(shū)，我們已經(jīng)將其包含在新建的證書(shū)模板中，所以需要向企業(yè)根CA服務(wù)器申請(qǐng)?jiān)撟C書(shū)。運(yùn)行“mmc”命令，在控制臺(tái)窗口左側(cè)選擇“證書(shū)→個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)→申請(qǐng)新證書(shū)”項(xiàng)，依次點(diǎn)擊“下一步”，在證書(shū)注冊(cè)窗口中選擇“顯示所有模板”項(xiàng)，顯示所有的證書(shū)模板項(xiàng)目。

在其中的“VPNCXL”證書(shū)項(xiàng)右側(cè)“詳細(xì)信息”圖標(biāo)，選擇“擴(kuò)展面板→屬性→使用者→類(lèi)型→公用名”項(xiàng)，在“值”欄中輸入VPN服務(wù)器名稱(chēng)（例如vpn.xxx.com）。點(diǎn)擊“添加”按鈕，便于VPN客戶(hù)端利用VPN服務(wù)器網(wǎng)址名稱(chēng)進(jìn)行訪問(wèn)。在證書(shū)注冊(cè)窗口中選擇“VPNCXL”項(xiàng)，點(diǎn)擊“注冊(cè)”按鈕，完成證書(shū)的申請(qǐng)和安裝操作。之后重啟路由和遠(yuǎn)程訪問(wèn)服務(wù)即可。

創(chuàng)建IKE v2VPN客戶(hù)端連接

IKEv2 VPN客戶(hù)端雖然不需要安裝證書(shū)，但是需要信任CA發(fā)放的證書(shū)。最直接的方法是在VPN服務(wù)器上打開(kāi)上述證書(shū)管理控制臺(tái)界面，選擇“個(gè)人→證書(shū)”項(xiàng)，將VPN服務(wù)器的證書(shū)導(dǎo)出，得到后綴為“.pfx”的文件選擇“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)→證書(shū)”項(xiàng)，將企業(yè)CA證書(shū)導(dǎo)出，保存為后綴為“.cer”的文件。之后在VPN客戶(hù)機(jī)上打開(kāi)證書(shū)管理控制臺(tái)界面，分別導(dǎo)入上述證書(shū)即可。

為了順利連接VPN服務(wù)器，需要將VPN服務(wù)器的外網(wǎng)卡地址解析到VPN的網(wǎng)址上，例如，可以在VPN客戶(hù)端使用記事本打開(kāi)“C:WindowsSystem32driversetc”下的“hosts”文件，分別輸入“x.x.x.x vps.xxx.com”映射關(guān)系項(xiàng)目，“x.x.x.x”表示外網(wǎng)卡地址?！皏ps.xxx.com”表示VPN服務(wù)器網(wǎng)址，來(lái)實(shí)現(xiàn)簡(jiǎn)單的域名和IP解析操作。

在客戶(hù)端打開(kāi)網(wǎng)絡(luò)和共享中心窗口，點(diǎn)擊“設(shè)置新的連接或網(wǎng)絡(luò)”連接，選擇“連接到工作區(qū)”項(xiàng)，選擇“使用我的Internet連接（VPN）”項(xiàng)，在打開(kāi)窗口中輸入VPN服務(wù)器的域名或IP地址以及目標(biāo)名稱(chēng)，在下一步窗口中輸入用于VPN撥入的賬戶(hù)名和密碼，在“域”欄中輸入域名，關(guān)閉配置窗口?？蛻?hù)端打開(kāi)在網(wǎng)絡(luò)和共享中心窗口中點(diǎn)擊“連接到網(wǎng)絡(luò)”項(xiàng)，在彈出面板中顯示所有的連接項(xiàng)目。

在上述VPN連接項(xiàng)目的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性中的常規(guī)面板中的“目的地主機(jī)名或IP地址”欄中輸入VPN服務(wù)器的DNS域名，即vps.xxx.com。在安全面板中的“VPN類(lèi)型”列表中選擇“IKEv2”項(xiàng)，點(diǎn)擊“高級(jí)設(shè)置”按鈕，在彈出窗口中的選擇“移動(dòng)性”項(xiàng)，在“網(wǎng)絡(luò)中斷時(shí)間”列表中選擇具體的時(shí)間，默認(rèn)為30分鐘，范圍從5分鐘到8小時(shí)。

只要網(wǎng)絡(luò)中斷的時(shí)間不超過(guò)該值，就會(huì)自動(dòng)恢復(fù)VPN連接。點(diǎn)擊“確定”保存配置。之后雙擊該VPN連接項(xiàng)目，就可以和VPN服務(wù)器建立連接了。當(dāng)連接成功后，在VPN連接項(xiàng)目的屬性窗口中打開(kāi)“詳細(xì)信息”面板，在“設(shè)備名”欄中顯示“WAN Miniport（IKEv2）”。如果VPN客戶(hù)端沒(méi)有配置VPN主機(jī)名，沒(méi)有安裝CA證書(shū)，VPN客戶(hù)端都無(wú)法順利連接VPN服務(wù)器。

使用網(wǎng)絡(luò)策略，管控VPN連接

為提高安全性，VPN服務(wù)器有時(shí)需要對(duì)用戶(hù)訪問(wèn)進(jìn)行必要控制，例如指定用戶(hù)可以連接的時(shí)間段，讓指定組中的用戶(hù)才可以連接服務(wù)器等。

這涉及到網(wǎng)絡(luò)策略的配置問(wèn)題，在VPN服務(wù)器上打開(kāi)路由和遠(yuǎn)程訪問(wèn)窗口，在服務(wù)器名稱(chēng)下選擇“遠(yuǎn)程訪問(wèn)日志與策略”項(xiàng)，在右鍵菜單上點(diǎn)擊“啟動(dòng)NPS”項(xiàng)，在右側(cè)窗口顯示已有的網(wǎng)絡(luò)策略。

按照排列順序，越靠前的網(wǎng)絡(luò)策略擁有的優(yōu)先權(quán)越高。在VPN客戶(hù)端連接VPN服務(wù)器時(shí)，系統(tǒng)會(huì)使用這些網(wǎng)絡(luò)策略對(duì)其進(jìn)行檢測(cè)，檢測(cè)順序從上到下按照優(yōu)先級(jí)進(jìn)行，只有任意一個(gè)網(wǎng)絡(luò)策略出現(xiàn)問(wèn)題，VPN服務(wù)器就會(huì)拒絕用戶(hù)的連接請(qǐng)求。

例如，在域控制器中打開(kāi)Active Directory用戶(hù)和計(jì)算機(jī)窗口，雙擊用于VPN訪問(wèn)的賬戶(hù)，在其屬性窗口中的“撥入”面板中如果選擇“通過(guò)NPS網(wǎng)絡(luò)策略控制訪問(wèn)”項(xiàng)，那么在上述網(wǎng)絡(luò)策略列表中雙擊“到Microsoft 路由和遠(yuǎn)程訪問(wèn)服務(wù)器的連接”項(xiàng)，選擇“屬性→概述→拒絕訪問(wèn)”項(xiàng)，那么客戶(hù)端是無(wú)法連接VPN服務(wù)器的。

注意，如果該賬戶(hù)使用電話(huà)撥號(hào)，可以在其屬性窗口中的“撥入”面板中選擇“驗(yàn)證呼叫號(hào)”項(xiàng)沒(méi)輸入對(duì)應(yīng)的電話(huà)號(hào)碼，如果用戶(hù)使用別的電話(huà)號(hào)碼撥入，將拒絕訪問(wèn)。當(dāng)然，我們可以根據(jù)需要?jiǎng)?chuàng)建新的網(wǎng)絡(luò)策略。例如，在網(wǎng)絡(luò)策略服務(wù)器窗口左側(cè)選擇“策略→網(wǎng)絡(luò)策略”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建”項(xiàng)，在向?qū)Ы缑嬷械摹安呗悦Q(chēng)”欄目中輸入策略名（例如“新的策略”），選擇“網(wǎng)絡(luò)訪問(wèn)服務(wù)器類(lèi)型”項(xiàng)，在列表中選擇“Remote Access Server（VPN-Dial up）”項(xiàng)，表示需要使用VPN進(jìn)行遠(yuǎn)程訪問(wèn)。

點(diǎn)擊“下一步”按鈕，在指定條件窗口中點(diǎn)擊“添加”按鈕，在選擇條件窗口中選擇“用戶(hù)組”項(xiàng)，點(diǎn)擊“添加”按鈕，在用戶(hù)組窗口中點(diǎn)擊“添加組”按鈕，導(dǎo)入名為ycfw賬戶(hù)組。這樣，只有該組中的賬戶(hù)才可以連接VPN服務(wù)器。在選擇條件窗口中選擇“NAS端口類(lèi)型”，點(diǎn)擊“添加”按鈕，在RAS端口類(lèi)型窗口中選擇“Virtual（VPN）”項(xiàng)，表示只允許使用VPN連接的用戶(hù)訪問(wèn)服務(wù)器。在向?qū)Ы缑嬷械摹爸付ㄔL問(wèn)權(quán)限”窗口中選擇“已經(jīng)授予訪問(wèn)權(quán)限”項(xiàng)，點(diǎn)擊“下一步”按鈕，在配置身份驗(yàn)證方法窗口中選擇安全級(jí)別的身份驗(yàn)證法方法。

例如，可以選擇“Microsoft加密身份驗(yàn)證版本2”項(xiàng)，表示只允許使用該方法來(lái)自驗(yàn)證用戶(hù)身份。選擇“用戶(hù)可以在密碼過(guò)期后更改密碼”項(xiàng)，可以用戶(hù)在密碼過(guò)期時(shí)更改密碼。在下一步的“配置約束”窗口左側(cè)選擇“日期時(shí)間限制”項(xiàng)，點(diǎn)擊“編輯”按鈕，可以在彈出窗口中設(shè)置允許訪問(wèn)的時(shí)間段，其設(shè)置圖標(biāo)的橫坐標(biāo)為小時(shí)數(shù)，縱坐標(biāo)為星期數(shù)。這樣客戶(hù)端就只能在每天規(guī)定的時(shí)間段中訪問(wèn)VPN服務(wù)器，之外的時(shí)間段是禁止訪問(wèn)的。

在向?qū)Ы缑嬷悬c(diǎn)擊“下一步”按鈕，在配置設(shè)置窗口左側(cè)選擇“加密”項(xiàng)，在右側(cè)窗口取消“無(wú)加密”項(xiàng)的選擇狀態(tài)，選擇“基本加密（MPPE 40位）”“加強(qiáng)型加密（MPPE 56位）”“最強(qiáng)加密（MPPE 128位）”等項(xiàng)，來(lái)指定VPN連接加密方式。點(diǎn)擊“完成”按鈕，創(chuàng)建該網(wǎng)路訪問(wèn)策略。在網(wǎng)絡(luò)策略服務(wù)器窗口左側(cè)選擇“網(wǎng)絡(luò)策略”項(xiàng)，在右側(cè)選中上述策略項(xiàng)目，在其右鍵菜單上點(diǎn)擊“上移”項(xiàng)，將其移動(dòng)到列表最頂端，讓其擁有最高的優(yōu)先級(jí)。

這樣，當(dāng)客戶(hù)端訪問(wèn)VPN服務(wù)器時(shí)，必須符合該網(wǎng)絡(luò)策略的要求方可。

【更正】第1期“信息安全”欄目第115頁(yè)《基于ISA Server和虛擬化技術(shù)的學(xué)校網(wǎng)站防護(hù)》的作者更正為“山東周蓉”，特此說(shuō)明。