实战NAP保护VPN网络
2015-12-03
安装网络原则服务器(NPS)角色
接下来我们必须先将网络管理服务器安装起来。请在开启系统管理工具选单中的“服务器管理员”接口以及在点选“角色”项目节点之后,点选“新增角色”连接。紧接着,将会出现“选取服务器角色”页面,勾选“网络原则与存取服务”项目,接下来在“选取角色服务”页面中,惟一勾选“网络原则服务器”的角色服务项目即可。
图2 勾选远程访问服务
安装设定VPN服务器
接下来我们对装有Windows Server 2008的VPN服务器进行安装与设置,在开始之前,必须先确认您已经完成这部服务器加入与登录到了内部的Active Directory网域中,并且已经正确设定了内外网卡的TCP/IP地址。
接下来请开启位于“开始→系统管理工具”下拉选单中的“服务器管理员”,然后在点选“角色”项目之后,点选位于主页面中的“新增角色”,执行后将会开启如图2所示的“选取服务器角色”页面,在此页面中勾选“网络原则与存取服务”项目,点选两次“下一步”继续。
在“选取角色服务”页面中,将惟一在“路由及远程访问服务”项目下的“远程访问服务”组件勾选安装即可。
完成远程访问服务角色安装之后,我们开始设定VPN服务器的各项设置。请在“开始→执行”对话框中输入rrasmgmt.msc,来开启“路由及远程访问”操作接面。在开启“路由及远程访问”界面之后,请在本地服务器的节点项目上点击鼠标右键,选择“设定和启用路由及远程访问”继续。
在“设定”页面中,选择“远程访问”项,然后在“远程访问”页面中,勾选“VPN”项目。在“VPN联机”页面中,选取对外提供VPN网络联机的网络接口,并且记着将“设定静态封包筛选器来启用选择接口的安全性”项目取消默认的勾选。
在“IP地址设置”页面中,可以选择勾选采用内部已经存在的DHCP服务器来配置IP地址给远程客户端计算机,或是选择“从指定范围的地址”来让VPN服务器帮助我们自动配置,因此如果您选择了这个选项,紧接着在下一步的页面中设定一个IP地址范围。接下来在“正在管理多个远程访问服务器”的页面中,选择“是,设定这台服务器与Radius服务器一起工作”项。
图3 通讯协议及端口设定
在“Radius服务器选取项目”的页面中,我们必须在“主要的Radius服务器”字段中,输入Radius服务器的IP地址,然后在下方的共享密码字段中,输入与后续在Radius客户端设定时所配置的密码一样即可。
在VPN服务器高级设置部分,请在点选VPN服务器节点之后,按下鼠标右键,点选“内容”,接着请切换到“安全”页面中,点选“验证方法”,然后在此窗口中确认“可延伸的验证通讯协议(EAP)”项目与“Microsoft加密验证版本2(MS-CHAP v2)”的项目已经选取。最后请点选“EAP方法”按钮,然后确认“Protected EAP(PEAP)”项目已经安装。
3.VPN与Windows防火墙的整合设定
完成了VPN服务器的设置之后,为了确保主机本身的安全性,我们通常会将系统内建的Windows防火墙给予启用,如此一来,虽然系统会自动让VPN的客户端可以联机,但是如果在我们进行联机之前,可以确定VPN客户端与VPN服务器的基本联机是没有问题的,那么将有助于在联机测试上的排错工作。
确认VPN客户端与VPN服务器的基本联机没有问题的最佳方法,就是通过Ping命令来进行测试,因此在接下来我们针对VPN服务器上的Windows防火墙设置,来开放ICMPv4的通讯协议与通讯端口,以便于VPN客户端可以接收到Ping测试时的正常联机响应。请在高级安全性的Windows防火墙管理页面,在位于“输入规则”项目节点上点击鼠标右键,选择“新规则”继续。接下来将会开启“新增输入规则向导”的页面,首先在“规则类型”页面中选取“自定义”之后,在“程序”页面中,选取“所有程序”。
接下来在“通讯协议及端口设定”页面(如图3),请在“通讯协议类型”页面中选取“ICMPv4”,在“领域”页面请保持在预设的设置。在“执行动作→操作”的页面中,请选取“允许该联机”设定。在“配置文件”的页面中,请保留预设的三项配置文件都在选取的状态下即可。点选“下一步”继续。最后请在“名称”的页面中输入一个惟一的规则识别名称即可。