實戰(zhàn)NAP保護VPN網(wǎng)絡

安裝網(wǎng)絡原則服務器（NPS）角色

接下來我們必須先將網(wǎng)絡管理服務器安裝起來。請在開啟系統(tǒng)管理工具選單中的“服務器管理員”接口以及在點選“角色”項目節(jié)點之后，點選“新增角色”連接。緊接著，將會出現(xiàn)“選取服務器角色”頁面，勾選“網(wǎng)絡原則與存取服務”項目，接下來在“選取角色服務”頁面中，惟一勾選“網(wǎng)絡原則服務器”的角色服務項目即可。

圖2 勾選遠程訪問服務

安裝設定VPN服務器

接下來我們對裝有Windows Server 2008的VPN服務器進行安裝與設置，在開始之前，必須先確認您已經(jīng)完成這部服務器加入與登錄到了內(nèi)部的Active Directory網(wǎng)域中，并且已經(jīng)正確設定了內(nèi)外網(wǎng)卡的TCP/IP地址。

接下來請開啟位于“開始→系統(tǒng)管理工具”下拉選單中的“服務器管理員”，然后在點選“角色”項目之后，點選位于主頁面中的“新增角色”，執(zhí)行后將會開啟如圖2所示的“選取服務器角色”頁面，在此頁面中勾選“網(wǎng)絡原則與存取服務”項目，點選兩次“下一步”繼續(xù)。

在“選取角色服務”頁面中，將惟一在“路由及遠程訪問服務”項目下的“遠程訪問服務”組件勾選安裝即可。

完成遠程訪問服務角色安裝之后，我們開始設定VPN服務器的各項設置。請在“開始→執(zhí)行”對話框中輸入rrasmgmt.msc，來開啟“路由及遠程訪問”操作接面。在開啟“路由及遠程訪問”界面之后，請在本地服務器的節(jié)點項目上點擊鼠標右鍵，選擇“設定和啟用路由及遠程訪問”繼續(xù)。

在“設定”頁面中，選擇“遠程訪問”項，然后在“遠程訪問”頁面中，勾選“VPN”項目。在“VPN聯(lián)機”頁面中，選取對外提供VPN網(wǎng)絡聯(lián)機的網(wǎng)絡接口，并且記著將“設定靜態(tài)封包篩選器來啟用選擇接口的安全性”項目取消默認的勾選。

在“IP地址設置”頁面中，可以選擇勾選采用內(nèi)部已經(jīng)存在的DHCP服務器來配置IP地址給遠程客戶端計算機，或是選擇“從指定范圍的地址”來讓VPN服務器幫助我們自動配置，因此如果您選擇了這個選項，緊接著在下一步的頁面中設定一個IP地址范圍。接下來在“正在管理多個遠程訪問服務器”的頁面中，選擇“是，設定這臺服務器與Radius服務器一起工作”項。

圖3 通訊協(xié)議及端口設定

在“Radius服務器選取項目”的頁面中，我們必須在“主要的Radius服務器”字段中，輸入Radius服務器的IP地址，然后在下方的共享密碼字段中，輸入與后續(xù)在Radius客戶端設定時所配置的密碼一樣即可。

在VPN服務器高級設置部分，請在點選VPN服務器節(jié)點之后，按下鼠標右鍵，點選“內(nèi)容”，接著請切換到“安全”頁面中，點選“驗證方法”，然后在此窗口中確認“可延伸的驗證通訊協(xié)議（EAP）”項目與“Microsoft加密驗證版本2（MS-CHAP v2）”的項目已經(jīng)選取。最后請點選“EAP方法”按鈕，然后確認“Protected EAP（PEAP）”項目已經(jīng)安裝。

3.VPN與Windows防火墻的整合設定

完成了VPN服務器的設置之后，為了確保主機本身的安全性，我們通常會將系統(tǒng)內(nèi)建的Windows防火墻給予啟用，如此一來，雖然系統(tǒng)會自動讓VPN的客戶端可以聯(lián)機，但是如果在我們進行聯(lián)機之前，可以確定VPN客戶端與VPN服務器的基本聯(lián)機是沒有問題的，那么將有助于在聯(lián)機測試上的排錯工作。

確認VPN客戶端與VPN服務器的基本聯(lián)機沒有問題的最佳方法，就是通過Ping命令來進行測試，因此在接下來我們針對VPN服務器上的Windows防火墻設置，來開放ICMPv4的通訊協(xié)議與通訊端口，以便于VPN客戶端可以接收到Ping測試時的正常聯(lián)機響應。請在高級安全性的Windows防火墻管理頁面，在位于“輸入規(guī)則”項目節(jié)點上點擊鼠標右鍵，選擇“新規(guī)則”繼續(xù)。接下來將會開啟“新增輸入規(guī)則向?qū)А钡捻撁妫紫仍凇耙?guī)則類型”頁面中選取“自定義”之后，在“程序”頁面中，選取“所有程序”。

接下來在“通訊協(xié)議及端口設定”頁面（如圖3），請在“通訊協(xié)議類型”頁面中選取“ICMPv4”，在“領域”頁面請保持在預設的設置。在“執(zhí)行動作→操作”的頁面中，請選取“允許該聯(lián)機”設定。在“配置文件”的頁面中，請保留預設的三項配置文件都在選取的狀態(tài)下即可。點選“下一步”繼續(xù)。最后請在“名稱”的頁面中輸入一個惟一的規(guī)則識別名稱即可。