■河南 郭建偉

搭建所需的網(wǎng)絡環(huán)境

在Windows Server 2008中，支持的遠程訪問協(xié)議為PPP點對點協(xié)議。當VPN客戶端連接到VPN服務器時，需要對其身份進行驗證，只有驗證成功，用戶才有權(quán)利訪問內(nèi)網(wǎng)資源。其支持MS-CHAP v2、EAP-TLS、PEAPTLS、EAP-MS-CHAP v2等身份驗證協(xié)議。

為了保證數(shù)據(jù)傳輸?shù)陌踩?，客戶端和服務器之間傳輸?shù)臄?shù)據(jù)必須經(jīng)過加密。Windows Server 2008支持PPTP、L2TP/IPSec、SSTP、IKEv2等VPN協(xié)議。這里以IKEv2協(xié)議為例，來簡單說明其配置方法。

為了便于說明，本例中假設內(nèi)部網(wǎng)絡中存在IP為192.168.3.1的域控制器，在其Active Directory數(shù)據(jù)庫中存儲著域賬戶信息，VPN客戶端將利用對應的域賬戶連接VPN服務器。在該機上同時安裝了DNS服務器，域名為xxx.com，不僅用來支持活動目錄，而且對內(nèi)網(wǎng)和VPN客戶端提供域名服務。在域控安裝了DHCP和WINS服務器，用來給VPN客戶端分配IP，同時在指定的服務器上安裝企業(yè)根CA和IIS組件，用來頒發(fā)證書。VPN服務器需要安裝兩塊網(wǎng)卡，一塊連接局域網(wǎng)，一塊連接Internet。在其上安裝并配置好安裝遠程和路由訪問角色。

創(chuàng)建IKE v2VPN服務器

IKEv2協(xié)議采用的是IPSec信道模式，使用UDP 500端口，使用3DES或者AES加密數(shù)據(jù)。其利用IKE v2 MOBIKE（Mobility and Multihoming Protocol）協(xié)議提供的功能，允許移動客戶通過VPN連接內(nèi)網(wǎng)。Windows 2008/7通過使用VPN Reconnect功能，來支持IKEv2協(xié)議。

和上述幾個VPN協(xié)議不同，借助于VPN Reconnect功能，當網(wǎng)絡連接中斷后，即使經(jīng)過一段時間，當網(wǎng)絡連接恢復后，VPN連接通道會自動恢復運行，無需用戶手工重新建立VPN連接，這對于移動用戶來說是很有利的。

例如，當用戶使用筆記本電腦移動上網(wǎng)，在不同的環(huán)境中切換不同的無線連接后，VPN通道照樣保持連接狀態(tài)。IKEv2 VPN服務器需要向CA申請和安裝證書，雖然VPN客戶端不需要使用計算機證書。但是IKE v2 服務器使用的證書需要包含服務器驗證和IPIKE中繼證書，因為企業(yè)根CA沒有提供這些數(shù)據(jù)，需要我們手工建立對應的證書模板。

在證書頒發(fā)機構(gòu)窗口左側(cè)選擇“證書模板”項，在其右鍵菜單中點擊“管理”項，在證書模板控制臺窗口右側(cè)選擇選擇某個證書（例如“IPSec”等），右擊“復制模板”項，在彈出窗口中選擇“Windows Server 2003 Enterprise”項，這是為了提高證書模板可用性。

點擊“確定”按鈕，在“證書模板→屬性→常規(guī)→模板顯示名稱”欄中輸入其名稱，例如“VPNCXL”。在“請求處理”面板中選擇“允許導出私鑰”項，在“請求者名稱”面板中選擇“在請求中提供”項，在“擴展”面板中選擇“應用程序策略”項，點擊“編輯”按鈕，在編輯應用程序策略擴展窗口中點擊“添加”按鈕，分別添加“IP安全 IKE中級”和“服務器身份驗證”項。在擴展面板中選擇“密鑰用法”項，點擊“編輯”按鈕，在彈出窗口中選擇“數(shù)字簽名”項，點擊“確定”，保存模板信息。

在證書頒發(fā)機構(gòu)左側(cè)選擇“證書模板”項，在其右鍵菜單上點擊“新建→要頒發(fā)的證書模板”項，在啟用證書模板窗口中選擇上述證書模板（例如“VPNCXL”），點擊“確定”，完成所需的操作。VPN服務器必須信任由CA發(fā)放的證書，即需要將CA證書安裝到VPN服務器中。因本例中為VPN已經(jīng)加入域，而與成員會自動信任企業(yè)CA，所以VPN服務器已經(jīng)信任該CA。

因為IKEv2 VPN服務器需要安裝服務器身份驗證和IP安全IKE中級證書，我們已經(jīng)將其包含在新建的證書模板中，所以需要向企業(yè)根CA服務器申請該證書。運行“mmc”命令，在控制臺窗口左側(cè)選擇“證書→個人”項，在其右鍵菜單上點擊“所有任務→申請新證書”項，依次點擊“下一步”，在證書注冊窗口中選擇“顯示所有模板”項，顯示所有的證書模板項目。

在其中的“VPNCXL”證書項右側(cè)“詳細信息”圖標，選擇“擴展面板→屬性→使用者→類型→公用名”項，在“值”欄中輸入VPN服務器名稱（例如vpn.xxx.com）。點擊“添加”按鈕，便于VPN客戶端利用VPN服務器網(wǎng)址名稱進行訪問。在證書注冊窗口中選擇“VPNCXL”項，點擊“注冊”按鈕，完成證書的申請和安裝操作。之后重啟路由和遠程訪問服務即可。

創(chuàng)建IKE v2VPN客戶端連接

IKEv2 VPN客戶端雖然不需要安裝證書，但是需要信任CA發(fā)放的證書。最直接的方法是在VPN服務器上打開上述證書管理控制臺界面，選擇“個人→證書”項，將VPN服務器的證書導出，得到后綴為“.pfx”的文件選擇“受信任的根證書頒發(fā)機構(gòu)→證書”項，將企業(yè)CA證書導出，保存為后綴為“.cer”的文件。之后在VPN客戶機上打開證書管理控制臺界面，分別導入上述證書即可。

為了順利連接VPN服務器，需要將VPN服務器的外網(wǎng)卡地址解析到VPN的網(wǎng)址上，例如，可以在VPN客戶端使用記事本打開“C:WindowsSystem32driversetc”下的“hosts”文件，分別輸入“x.x.x.x vps.xxx.com”映射關(guān)系項目，“x.x.x.x”表示外網(wǎng)卡地址?！皏ps.xxx.com”表示VPN服務器網(wǎng)址，來實現(xiàn)簡單的域名和IP解析操作。

在客戶端打開網(wǎng)絡和共享中心窗口，點擊“設置新的連接或網(wǎng)絡”連接，選擇“連接到工作區(qū)”項，選擇“使用我的Internet連接（VPN）”項，在打開窗口中輸入VPN服務器的域名或IP地址以及目標名稱，在下一步窗口中輸入用于VPN撥入的賬戶名和密碼，在“域”欄中輸入域名，關(guān)閉配置窗口?？蛻舳舜蜷_在網(wǎng)絡和共享中心窗口中點擊“連接到網(wǎng)絡”項，在彈出面板中顯示所有的連接項目。

在上述VPN連接項目的右鍵菜單上點擊“屬性”項，在其屬性中的常規(guī)面板中的“目的地主機名或IP地址”欄中輸入VPN服務器的DNS域名，即vps.xxx.com。在安全面板中的“VPN類型”列表中選擇“IKEv2”項，點擊“高級設置”按鈕，在彈出窗口中的選擇“移動性”項，在“網(wǎng)絡中斷時間”列表中選擇具體的時間，默認為30分鐘，范圍從5分鐘到8小時。

只要網(wǎng)絡中斷的時間不超過該值，就會自動恢復VPN連接。點擊“確定”保存配置。之后雙擊該VPN連接項目，就可以和VPN服務器建立連接了。當連接成功后，在VPN連接項目的屬性窗口中打開“詳細信息”面板，在“設備名”欄中顯示“WAN Miniport（IKEv2）”。如果VPN客戶端沒有配置VPN主機名，沒有安裝CA證書，VPN客戶端都無法順利連接VPN服務器。

使用網(wǎng)絡策略，管控VPN連接

為提高安全性，VPN服務器有時需要對用戶訪問進行必要控制，例如指定用戶可以連接的時間段，讓指定組中的用戶才可以連接服務器等。

這涉及到網(wǎng)絡策略的配置問題，在VPN服務器上打開路由和遠程訪問窗口，在服務器名稱下選擇“遠程訪問日志與策略”項，在右鍵菜單上點擊“啟動NPS”項，在右側(cè)窗口顯示已有的網(wǎng)絡策略。

按照排列順序，越靠前的網(wǎng)絡策略擁有的優(yōu)先權(quán)越高。在VPN客戶端連接VPN服務器時，系統(tǒng)會使用這些網(wǎng)絡策略對其進行檢測，檢測順序從上到下按照優(yōu)先級進行，只有任意一個網(wǎng)絡策略出現(xiàn)問題，VPN服務器就會拒絕用戶的連接請求。

例如，在域控制器中打開Active Directory用戶和計算機窗口，雙擊用于VPN訪問的賬戶，在其屬性窗口中的“撥入”面板中如果選擇“通過NPS網(wǎng)絡策略控制訪問”項，那么在上述網(wǎng)絡策略列表中雙擊“到Microsoft 路由和遠程訪問服務器的連接”項，選擇“屬性→概述→拒絕訪問”項，那么客戶端是無法連接VPN服務器的。

注意，如果該賬戶使用電話撥號，可以在其屬性窗口中的“撥入”面板中選擇“驗證呼叫號”項沒輸入對應的電話號碼，如果用戶使用別的電話號碼撥入，將拒絕訪問。當然，我們可以根據(jù)需要創(chuàng)建新的網(wǎng)絡策略。例如，在網(wǎng)絡策略服務器窗口左側(cè)選擇“策略→網(wǎng)絡策略”項，在其右鍵菜單上點擊“新建”項，在向?qū)Ы缑嬷械摹安呗悦Q”欄目中輸入策略名（例如“新的策略”），選擇“網(wǎng)絡訪問服務器類型”項，在列表中選擇“Remote Access Server（VPN-Dial up）”項，表示需要使用VPN進行遠程訪問。

點擊“下一步”按鈕，在指定條件窗口中點擊“添加”按鈕，在選擇條件窗口中選擇“用戶組”項，點擊“添加”按鈕，在用戶組窗口中點擊“添加組”按鈕，導入名為ycfw賬戶組。這樣，只有該組中的賬戶才可以連接VPN服務器。在選擇條件窗口中選擇“NAS端口類型”，點擊“添加”按鈕，在RAS端口類型窗口中選擇“Virtual（VPN）”項，表示只允許使用VPN連接的用戶訪問服務器。在向?qū)Ы缑嬷械摹爸付ㄔL問權(quán)限”窗口中選擇“已經(jīng)授予訪問權(quán)限”項，點擊“下一步”按鈕，在配置身份驗證方法窗口中選擇安全級別的身份驗證法方法。

例如，可以選擇“Microsoft加密身份驗證版本2”項，表示只允許使用該方法來自驗證用戶身份。選擇“用戶可以在密碼過期后更改密碼”項，可以用戶在密碼過期時更改密碼。在下一步的“配置約束”窗口左側(cè)選擇“日期時間限制”項，點擊“編輯”按鈕，可以在彈出窗口中設置允許訪問的時間段，其設置圖標的橫坐標為小時數(shù)，縱坐標為星期數(shù)。這樣客戶端就只能在每天規(guī)定的時間段中訪問VPN服務器，之外的時間段是禁止訪問的。

在向?qū)Ы缑嬷悬c擊“下一步”按鈕，在配置設置窗口左側(cè)選擇“加密”項，在右側(cè)窗口取消“無加密”項的選擇狀態(tài)，選擇“基本加密（MPPE 40位）”“加強型加密（MPPE 56位）”“最強加密（MPPE 128位）”等項，來指定VPN連接加密方式。點擊“完成”按鈕，創(chuàng)建該網(wǎng)路訪問策略。在網(wǎng)絡策略服務器窗口左側(cè)選擇“網(wǎng)絡策略”項，在右側(cè)選中上述策略項目，在其右鍵菜單上點擊“上移”項，將其移動到列表最頂端，讓其擁有最高的優(yōu)先級。

這樣，當客戶端訪問VPN服務器時，必須符合該網(wǎng)絡策略的要求方可。

【更正】第1期“信息安全”欄目第115頁《基于ISA Server和虛擬化技術(shù)的學校網(wǎng)站防護》的作者更正為“山東周蓉”，特此說明。