NAP客戶聯(lián)機(jī)VPN測試

接下來我們必須將這一臺(tái)Windows遠(yuǎn)程計(jì)算機(jī)，移至與VPN服務(wù)器外部網(wǎng)絡(luò)的相同網(wǎng)段中來進(jìn)行測試。在測試開始之前，您必須先將TCP/IP的地址修改成與外部網(wǎng)絡(luò)相同的IP網(wǎng)段設(shè)置。完成了TCP/IP的變更之后，接下來我們要來新增一個(gè)VPN的網(wǎng)絡(luò)聯(lián)機(jī)。

請(qǐng)開啟Windows“網(wǎng)絡(luò)和共享中心”頁面，然后點(diǎn)選位于動(dòng)作窗格中的“設(shè)定聯(lián)機(jī)或網(wǎng)絡(luò)”鏈接，在選取“聯(lián)機(jī)到工作地點(diǎn)”項(xiàng)目之后，在“您要如何聯(lián)機(jī)”頁面中點(diǎn)選“使用我的因特網(wǎng)聯(lián)機(jī)”項(xiàng)目繼續(xù)。

圖5使用可延伸的驗(yàn)證通訊協(xié)議

在“輸入要聯(lián)機(jī)的因特網(wǎng)地址”的頁面中，請(qǐng)輸入VPN服務(wù)器的外部網(wǎng)絡(luò)卡IP地址以及設(shè)定一個(gè)識(shí)別名稱，并且將“不要立即聯(lián)機(jī)，先設(shè)定好，我稍后再聯(lián)機(jī)”的選項(xiàng)勾選，在“輸入您的用戶名稱及密碼”的頁面中，分別輸入正確的網(wǎng)域賬號(hào)、密碼以及域名，建議您也一并將“記住這個(gè)密碼”選項(xiàng)勾選，完成VPN網(wǎng)絡(luò)聯(lián)機(jī)的新增。

注意：在此輸入的網(wǎng)域賬戶，必須確認(rèn)該賬戶的屬性中已經(jīng)將位于“撥入”頁面中的網(wǎng)絡(luò)存取權(quán)限的設(shè)定，選取為“允許存取”設(shè)定。

接下來連續(xù)點(diǎn)選前面我們所建立的VPN網(wǎng)絡(luò)聯(lián)機(jī)，不過請(qǐng)不要點(diǎn)選“聯(lián)機(jī)”按鈕，請(qǐng)點(diǎn)選在此頁面中的“內(nèi)容”按鈕繼續(xù)。開啟VPN網(wǎng)絡(luò)聯(lián)機(jī)的內(nèi)容之后，展開至“安全性”頁面，然后在選取“進(jìn)階（自定義的設(shè)定）”項(xiàng)目之后，點(diǎn)選“設(shè)定”按鈕繼續(xù)。

接下來在開啟如圖5所示的“進(jìn)階安全性設(shè)定”頁面之后，請(qǐng)?jiān)诘卿洶踩缘膮^(qū)域中選取“使用可延伸的驗(yàn)證通訊協(xié)議（EAP）”，從下拉選單中選取“Protected EAP（PEAP）啟用加密”，緊接著點(diǎn)選“內(nèi)容”按鈕繼續(xù)。

接下來在開啟“受保護(hù)的EAP內(nèi)容”頁面之后，分別將“確認(rèn)服務(wù)器證書”設(shè)定勾選，將“聯(lián)機(jī)到這些服務(wù)器”的設(shè)定取消勾選，接著請(qǐng)?jiān)凇斑x擇驗(yàn)證方法”區(qū)域中先從下拉選單中選取“Secured Password（EAP-MSCHAP v2）”，然后分別將“啟用快速重新聯(lián)機(jī)”設(shè)定取消勾選，將“啟用隔離檢查”設(shè)定勾選，點(diǎn)選“確定”按鈕完成所有VPN網(wǎng)絡(luò)聯(lián)機(jī)設(shè)定。

圖6 NAP隔離通知

圖7 受網(wǎng)絡(luò)隔離的VPN客戶端

在完成了VPN網(wǎng)絡(luò)聯(lián)機(jī)設(shè)定之后，接下來建議您先通過命令提示字符使用Ping命令，先確認(rèn)與VPN服務(wù)器的外部網(wǎng)絡(luò)聯(lián)機(jī)是沒有問題的，接著您便可以再一次開啟所設(shè)定的VPN網(wǎng)絡(luò)聯(lián)機(jī)，點(diǎn)選“聯(lián)機(jī)”按鈕來登錄聯(lián)機(jī)至企業(yè)內(nèi)部網(wǎng)絡(luò)中。

如圖6所示，當(dāng)我們所構(gòu)建的VPN服務(wù)器在整合NAP安全機(jī)制的情況下，如果有NAP客戶端不符合原則要求，則右下角將會(huì)出現(xiàn)警告訊息，這時(shí)候您可以嘗試點(diǎn)選這個(gè)信息的內(nèi)容。

點(diǎn)選之后，將會(huì)開啟“網(wǎng)絡(luò)存取保護(hù)”的網(wǎng)絡(luò)隔離信息，進(jìn)一步還可以點(diǎn)選“更多信息”來查看我們前面所設(shè)置好的公司網(wǎng)頁信息。

關(guān)于VPN客戶端聯(lián)機(jī)的實(shí)時(shí)監(jiān)視部分，您可以從VPN服務(wù)器上的“路由及遠(yuǎn)程訪問”接口中的“遠(yuǎn)程訪問客戶端”項(xiàng)目節(jié)點(diǎn)來查看即可，如果“狀態(tài)”字段信息顯示為沒有限制，這表示該NAP客戶端計(jì)算機(jī)并沒有遭到隔離。相反的，如果NAP客戶端計(jì)算機(jī)遭到隔離，將會(huì)出現(xiàn)如圖7所示的狀態(tài)顯示，顯示為“受限制”。

經(jīng)驗(yàn)總結(jié)

從上述的實(shí)戰(zhàn)過程之中，可以體驗(yàn)到VPN網(wǎng)絡(luò)在結(jié)合NAP的安全防護(hù)機(jī)制下，可以有效自動(dòng)隔離可能帶來危害的遠(yuǎn)程計(jì)算機(jī)聯(lián)機(jī)，以保護(hù)企業(yè)內(nèi)部所有計(jì)算機(jī)的安全，避免遭受不必要的網(wǎng)絡(luò)攻擊或病毒感染。如此一來，企業(yè)對(duì)于VPN網(wǎng)絡(luò)聯(lián)機(jī)的整體安全而言，不僅可以確保從身份驗(yàn)證與數(shù)據(jù)傳遞的安全，還可以徹底監(jiān)控合法使用者身份是否可能帶來安全威脅的問題。

Windows Server 2008以上版本所內(nèi)置的網(wǎng)絡(luò)存取保護(hù)（NAP）功能，是一個(gè)全方位的安全管理機(jī)制，因?yàn)樗鼰o論是對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)的聯(lián)機(jī)，還是從外部遠(yuǎn)程登錄的聯(lián)機(jī)，都可以提供一個(gè)安全檢驗(yàn)機(jī)制，讓因本地與遠(yuǎn)程計(jì)算機(jī)本身的安全問題，所可能造成的企業(yè)網(wǎng)絡(luò)癱瘓威脅降到最低。