对企业级用户而言，ISA Server 2006的一个最基本也是最重要的应用就是建立企业分支机构与总部之间的安全连接，从而确保在外的员工能安全地使用企业总部的资源。同时，基于ISA Server 2006的VPN配置也为企业的ＩＴ架构师和安全实施人员在设计企业的网络边界安全方案时带来方便。

    对于拥有分支办公机构和大量在外办公人员的企业而言，客户端到服务器端的安全VPN连接是必不可少的。要保护企业内部资源不受外界侵害，同时保证在外的工作人员能够安全地使用内部资源，利用ISA Server 2006灵活配置VPN具有更为现实的意义。

    ISA Server 2006主要支持远程访问VPN连接（主要为来自VPN客户端的连接）和站到站的VPN连接（主要为分支机构网络和总部之间的连接）。所有到ISA Server阵列的VPN连接将会写入到防火墙日志当中，因此用户可以监控VPN的连接。

    搭建实验环境

    微软提供了多种途径以帮助想要体验ISA Server 2006功能的用户快速搭建并体验ISA Server 2006的特性。根据笔者的了解，微软提供了以下两种试用方式：

    方式1：ISA Server 2006 Virtual Lab。高度集成的基于虚拟机的ISA Server 2006实验环境是体验ISA Server的最佳途径。用户只需安装微软的Virtual PC作为运行虚拟机的软件，就可体验ISA Server 2006的很多功能。同时带有SharePoint Server和Exchange Server等配套软件的虚拟机，能够使用户快速了解ISA Server在企业应用集成上的功能。这种方式的唯一缺点是对硬件的要求比较高，需要较为强大的CPU和内存，但企业级用户往往拥有计算能力较强的硬件配置，因此也容易实现。

    方式2：ISA Server 2006 Virtual Machine（VHD）。除ISA Server Lab之外，微软还提供单个的ISA Server虚拟机，以满足单纯想要体 验ISA Server的用户。试用版软件的安装过程与其他Windows平台的软件安装方法类似，VHD版本的软件也与ISA Server Lab的部署过程类似，所以本文重点讲述ISA Server Lab的部署过程。

    下载完所有ISA Server2006 Lab文件后，安装过程很简单，只须运行脚本Install-ISA2006-Lab.vbe即可。在所有的弹出窗口中点OK，它将逐步完成以下操作：解压所有的虚拟机文件到安装目录（默认为C盘的ISA2006lab），注册虚拟机到Virtual PC，把Virtual PC的附加选项配置到options.xml，在桌面上创建链接到安装目录的快捷方式以及在Host机上把ISA Server图片设置为墙纸（可选）。在桌面上双击链接到安装目录的快捷方式，即可以看到所有的虚拟机文件和运行脚本。通过以上简单的介绍和操作，即可体验ISA Server 2006的各项功能。

    十步完成ＶＰＮ连接

    对于企业级用户而言，使用ISA Server的一个最基本也是最重要的应用是建立企业分支机构和企业总部之间的安全连接，从而确保在外的工作人员能够快速、安全地使用总部的资源。用ISA Server 2006配置VPN连接的步骤如下：

    第一步，登录到名为Florence的虚拟机，双击桌面上的图标，打开ISA Server 2006，点开“远程站点”选项，选择“创建VPN站到站连接”。第二步，在弹出的窗口中键入站到站网络名称（本文选用winitpro_VPN_test）。第三步，在新窗口中选择要使用的VPN协议，有IPSec、L2TP和PPTP 3个选项，选中IPSec。第四步，配置连接设置：指定远程VPN网关的IP地址和本地VPN网关的IP地址。第五步，IPSec授权认证：指定IP安全协议的授权认证方法，如果没有指定的认证授权，可在预分享的Key一栏随便输入一个名字。第六步，网络地址：指定远程站点的IP地址范围，可以做添加、修改、删除3个操作，如果没有修改，直接点“下一步”；如果只填写了远程站点网关的IP地址而没有机器IP的话，在进入“下一步”之前会有警告提示。笔者建议添加一台指定的机器的IP（如实验环境中名为Firenze的虚拟机的IP）。第七步，站到站网络规则：可以选择是否立即创建或稍后创建站到站的网络规则，选择“创建一个指定路由关系的网络规则”，然后点“添加”，进入网络实体的选择界面，在弹出的窗口中选中想要添加的网络实体，双击或者点“添加”都会在“站到站网络规则”窗口中显示出添加后的网络实体的名称，添加完毕后进入第八步，或选择“稍后创建站到站网络规则”直接进入第八步。第八步，站到站网络访问规则：可以选择是否立即创建或稍后创建站到站的网络访问规则，选择“创建一个访问规则”，然后点“添加”，进入网络协议选择界面，在弹出的窗口中选择要添加的网络协议，双击或者点“添加”都会在“站到站网络访问规则”窗口中显示出添加后的网络协议的名称；选择“稍后创建站到站的网络访问规则”，然后点击“下一步”则进入第九步。第九步，完成站到站VPN连接向导：点“完成”退出配置。第十步，在“远程站点”中点“应用”，保存创建的站到站VPN连接的相关配置。

    在完成创建以后，可以通过双击打开该项规则，然后浏览或修改相应的属性。

    远程访问ＶＰＮ连接

    远程客户端可通过创建到VPN服务器的连接来连接到专用网络。ISA Server 2006提供了对整个VPN服务器所在网络的连接访问支持。通过采用ISA Server计算机作为VPN Server，用户可以管理到组织网络的VPN客户端连接。

    在ISA Server VPN面板中，对应有VPN Clients和Remote Sites两个选项，在VPN Clients选项下，有以下5个功能性选项：配置地址分配方法和启用VPN客户端访问，指定Windows用户或选择一个RADIUS服务器，确认VPN属性和远程访问配置，浏览VPN针对客户端网络的防火墙策略和浏览网络规则。下面将详细介绍每个功能性选项的详细配置方法：

    1．配置地址分配方法和启用VPN客户端访问。必须在完成地址分配方法的配置以后，才可以启用VPN客户端访问支持。点开配置地址分配方法，在弹出的窗口中将会有以下4个选项：访问网络，选择可以访问的网络；地址分配，指定可访问的IP地址范围；授权认证，指定授权认证方法；RADIUS，选择是否采用RADIUS作为授权认证和日志的方法。在实验环境中，读者可以根据启动的3个虚拟机的IP地址和网络配置，指定相应的范围，或者用户也可以根据实际的网络环境，首先配置虚拟机的网络设置以模拟真实的网络环境，然后再根据实际的需求进行设定。

    完成地址分配方法的配置以后，点开VPN客户端访问，在弹出的窗口中将有以下4个选项：一般，选择是否启用VPN客户端访问以及最大连接数；组，指定可以使用的连接组；协议，指定连接可以使用的协议；用户匹配，选择是否启用用户匹配功能。

    2．指定Windows用户或选择一个RADIUS服务器。与启用VPN客户端功能项类似，也有四个相同的选项，选择一个RADIUS服务器选项则是地址分配方法的子选项，读者可以保留最初的选择。

    3．确认VPN属性和远程访问配置。该选项是对上述步骤中配置的内容进行复审和确认，所有可选的内容都一样。

    4．浏览VPN针对客户端网络的防火墙策略。点开此功能项，在弹出的窗口中有以下多个选项：一般，描述规则名称和描述；动作，当满足条件的情况出现时所要采取的动作；协议，要监听的所有的协议；访问源，指定要监控的来源网络；访问目的地，指定要监控的访问目的地网络；用户，指定监控的用户；日程表，制定监控日程表；内容类型，指定要监控的内容类型。

    5． 浏览网络规则。点开此功能项，在浏览网络规则中，有按顺序排列的五个网络规则。双击“到内部网络的VPN客户端”，在弹出的窗口中，有以下四个选项：一般，规则的名称和描述；源网络，指定源网络；目标网络，指定目标网络；网络关系，选择网络之间的关系。

    本文给出了基于ISA Server 2006的两种VPN的连接方式的详细配置过程，希望给寻求企业边界网络安全解决方案的企业IT架构师和安全实施人员在配置企业VPN时带来帮助。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。