辨析VPN服務(wù)器創(chuàng)建策略

創(chuàng)建PPTP VPN服務(wù)器

在Windows Server 2008中，支持的遠(yuǎn)程訪問(wèn)協(xié)議為PPP點(diǎn)對(duì)點(diǎn)協(xié)議。當(dāng)VPN客戶(hù)端連接到VPN服務(wù)器時(shí)，需要對(duì)其身份進(jìn)行驗(yàn)證，只有驗(yàn)證成功，用戶(hù)才有權(quán)利訪問(wèn)內(nèi)網(wǎng)資源。其支持 MS-CHAP v2，EAP-TLS，PEAP-TLS，EAP-MS-CHAP v2等身份驗(yàn)證協(xié)議。為了保證數(shù)據(jù)傳輸?shù)陌踩?，客?hù)端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)必須經(jīng)過(guò)加密。Windows Server 2008支 持PPTP，L2TP/IPSec，SSTP，IKEv2 等VPN協(xié)議。

PPTP（Point to Point Tunneling Protocol，點(diǎn) 對(duì)點(diǎn)隧道協(xié)議）是組建VPN服務(wù)最常用的協(xié)議，其默認(rèn)使用MS-CHAP v2身份驗(yàn)證方法。當(dāng)客戶(hù)端身份驗(yàn)證通過(guò)后，客戶(hù)端和服務(wù)器端使用MPPE（微軟點(diǎn)對(duì)點(diǎn)加密）方式，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，其支持128位的RC4加密算法。對(duì)于使用MS-CHAP v2驗(yàn)證方式來(lái)說(shuō)，為了提高安全性。用戶(hù)的密碼最好設(shè)置的更加復(fù)雜一些，避免被黑客輕松破解。在域控上打開(kāi)Active Directory用戶(hù)和計(jì)算機(jī)窗口，雙擊用于VPN訪問(wèn)的賬戶(hù)，在其屬性窗口中的“撥入”面板中選擇“允許訪問(wèn)”項(xiàng)，賦予域用戶(hù)遠(yuǎn)程訪問(wèn)權(quán)限。

安裝遠(yuǎn)程和路由訪問(wèn)角色

如果允許客戶(hù)端使用VPN服務(wù)器上的本地賬戶(hù)連接，需要在VPN服務(wù)器上運(yùn)行“l(fā)usrmgr.msc”程序，打開(kāi)賬戶(hù)管理界面，在對(duì)應(yīng)賬戶(hù)的屬性窗口按照上述方法進(jìn)行設(shè)置。以域管理員身份登錄到VPN服務(wù)器，在服務(wù)器管理器窗口右側(cè)點(diǎn)擊“添加角色”連接，在選擇服務(wù)器角色窗口中選擇“網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)器”角色，連續(xù)點(diǎn)擊下一步按鈕，在選擇角色服務(wù)窗口中選擇“路由和遠(yuǎn)程訪問(wèn)服務(wù)”項(xiàng)，之后點(diǎn)擊下一步按鈕，安裝遠(yuǎn)程訪問(wèn)服務(wù)。

在路由和遠(yuǎn)程服務(wù)窗口左側(cè)的服務(wù)器名的右鍵菜單上點(diǎn)擊“配置并啟用路由和遠(yuǎn)程訪問(wèn)”項(xiàng)，在向?qū)Ы缑孢x擇“遠(yuǎn)程訪問(wèn)（撥號(hào)或VPN）”項(xiàng)，在下一步窗口中選擇“VPN”項(xiàng)，點(diǎn)擊下一步按鈕，選擇外網(wǎng)連接項(xiàng)目。在下一步窗口選擇“自動(dòng)”項(xiàng)，VPN服務(wù)器會(huì)向內(nèi)網(wǎng)中的DHCP服務(wù)器租用IP地址，之后將其分配給客戶(hù)端。注意，當(dāng)客戶(hù)端連接VPN服務(wù)器時(shí)，其默認(rèn)每次會(huì)向DHCP服務(wù)器申請(qǐng)10個(gè)IP，用來(lái)分配給客戶(hù)機(jī)。

配置遠(yuǎn)程和路由訪問(wèn)角色

選擇“來(lái)自一個(gè)指定的地址范圍”項(xiàng)，設(shè)置所需的IP范圍，VPN服務(wù)器會(huì)從此范圍內(nèi)挑選IP地址分配給客戶(hù)端。點(diǎn)擊下一步按鈕，在本例中已經(jīng)將VPN服務(wù)器添加到了域中，所以需要選擇“否，使用路由和遠(yuǎn)程訪問(wèn)來(lái)對(duì)連接請(qǐng)求進(jìn)行身份驗(yàn)證”項(xiàng)。如果沒(méi)有將其添加到域，可以選擇“是，設(shè)置此服務(wù)器與RADIUS服務(wù)器一起工作”項(xiàng)，之后輸入主RADIUS服務(wù)器地址以及共享機(jī)密，因?yàn)镹PS服務(wù)器其實(shí)就是RADIUS服務(wù)器，因此可以輸入NPS服務(wù)器地址。點(diǎn)擊完成按鈕，啟動(dòng)路由和遠(yuǎn)程訪問(wèn)功能。

當(dāng)路由和遠(yuǎn)程服務(wù)向DHCP服務(wù)器租用IP時(shí)，需要VPN服務(wù)器擔(dān)當(dāng)DHCP中繼代理角色，才可以獲得DHCP選線(xiàn)設(shè)置信息。因此，需在路由和遠(yuǎn)程訪問(wèn)主界面左側(cè)選擇服務(wù)器名，在其下的“IPv4”→“DHCP中繼代理程序”項(xiàng)的右鍵菜單上點(diǎn)擊“屬性”，在彈出窗口（如圖1）中點(diǎn)擊“添加”按鈕，輸入DHCP服務(wù)器IP。這樣，VPN服務(wù)器會(huì)代替客戶(hù)端向DHCP中繼代理提出DHCP選項(xiàng)要求。

VPN服務(wù)器默認(rèn)會(huì)自動(dòng)建立5個(gè)PPTP VPN端口。如果要添加端口，可以在服務(wù)器名稱(chēng)下點(diǎn)擊“端口”項(xiàng)，在其屬性窗口中進(jìn)行操作

創(chuàng)建L2TP/IPSec VPN預(yù)共享密鑰服務(wù)器

圖1 設(shè)置DHCP中繼代理程序

同PPTP VPN相比，L2TP/IPSec VPN的安全性要更高一些，其支持IPSec預(yù)共享密鑰和計(jì)算機(jī)證書(shū)兩種身份驗(yàn)證方法。當(dāng)VPN客戶(hù)端身份驗(yàn)證完成后，VPN服務(wù)器和客戶(hù)端之間發(fā)送的數(shù)據(jù)會(huì)利用IPSec ESP的3DES或者AES加密方法進(jìn)行安全傳輸。這里先介紹預(yù)共享密鑰的驗(yàn)證方式。為了便于說(shuō)明，這里依然采用和上述PPTP VPN相同的網(wǎng)絡(luò)環(huán)境，以下各例與之相同。

在VPN服務(wù)器上打開(kāi)路由和遠(yuǎn)程訪問(wèn)窗口，在左側(cè)選擇服務(wù)器名稱(chēng)，在其屬性窗口中的“安全”面板中選擇“允許L2TP連接使用自定義IPSec策略”項(xiàng)，在“預(yù)共享密鑰”欄中輸入密碼。保存設(shè)置信息后，在服務(wù)器名稱(chēng)的右鍵菜單上點(diǎn)擊“所有任務(wù)”-“重新啟動(dòng)”項(xiàng)，重啟路由和遠(yuǎn)程訪問(wèn)服務(wù)。

實(shí)際上，支持IPSec的預(yù)共享密鑰方法常作用測(cè)試用途，在正常狀態(tài)下，建議使用安全性較高的證書(shū)驗(yàn)證方法。這就需要在內(nèi)網(wǎng)環(huán)境中添加CA證書(shū)服務(wù)器。VPN服務(wù)器必須信任由CA發(fā)放的證書(shū)，即需要將CA證書(shū)安裝到VPN服務(wù)器中。因本例中為VPN已經(jīng)加入域，而與成員會(huì)自動(dòng)信任企業(yè)CA，所以VPN服務(wù)器已經(jīng)信任該CA。對(duì)于獨(dú)立的CA服務(wù)器來(lái)說(shuō)，也可以手工使VPN服務(wù)器信任企業(yè)CA。之后為VPN服務(wù)器申請(qǐng)證書(shū)。具體的方法很簡(jiǎn)單，這里不再贅述。當(dāng)完成證書(shū)的申請(qǐng)操作后，在服務(wù)器名稱(chēng)的右鍵菜單上點(diǎn)擊“所有任務(wù)”→“重新啟動(dòng)”項(xiàng)，重啟路由和遠(yuǎn)程訪問(wèn)服務(wù)。

創(chuàng)建SSTP VPN 服務(wù)器

SSTP（即Secure Socket Tunneling Protocol，安全套接字隧道協(xié)議）是安全性較高的協(xié)議，其使用RC4或者AES加密數(shù)據(jù)。SSTP采用HTTPS協(xié)議創(chuàng)建安全通道，利用SSL加密技術(shù)保證數(shù)據(jù)傳輸?shù)陌踩?。同PPTP和L2TP/IPSec使用復(fù)雜的端口相比，HTTPS協(xié)議僅僅使用443端口，因此無(wú)需在防火墻執(zhí)行復(fù)雜的配置。利用SSTP VPN服務(wù)區(qū)，可以很好的保證客戶(hù)端的安全連接，

因?yàn)镾STP VPN服務(wù)器需要向CA申請(qǐng)和安裝證書(shū)，所以需要安裝企業(yè)根CA。由于VPN客戶(hù)端需要從CA服務(wù)器上下載證書(shū)吊銷(xiāo)列表，所以需要在CA服務(wù)器上打開(kāi)證書(shū)頒發(fā)機(jī)構(gòu)窗口。

在CA的右鍵菜單中點(diǎn)擊屬性”項(xiàng)，在其屬性窗口（如圖2）中的“擴(kuò)展”面板中的選擇擴(kuò)展”列表中選擇“CPL分發(fā)點(diǎn)”項(xiàng)，在下面的列表中選擇以“http”開(kāi)頭的網(wǎng)址項(xiàng)目，選擇“包括在CRL中，客戶(hù)端用它來(lái)尋找增量CRL的位置”和“包含在頒發(fā)的證書(shū)的CDP擴(kuò)展中”項(xiàng)。之后在“選擇擴(kuò)展”列表中選擇頒發(fā)結(jié)構(gòu)信息訪問(wèn)（ATA）”項(xiàng)，在其下的列表中選擇“包含在頒發(fā)的證書(shū)的ATA擴(kuò)展中”項(xiàng)。點(diǎn)擊確定按鈕，來(lái)重啟AD CS服務(wù)。

圖2 CA服務(wù)器屬性窗口

運(yùn)行“Pkiview.msc”程序，在彈出窗口中查看“ALA位置 #2”，“CDP 位置 #2”，“DeltaCRL 位置 #2”項(xiàng)對(duì)應(yīng)的HTTP路徑是否存在。若不存在的話(huà)，可以打開(kāi)證書(shū)頒發(fā)機(jī)構(gòu)窗口，在左側(cè)的“吊銷(xiāo)證書(shū)”項(xiàng)的右鍵菜單中點(diǎn)擊“所有任務(wù)”→“發(fā)布”項(xiàng)，在發(fā)布CRL窗口中選擇“新的CRL”項(xiàng)，點(diǎn)擊確定按鈕即可。

VPN客戶(hù)端因?yàn)闊o(wú)法連接到內(nèi)網(wǎng)根CA網(wǎng)站，所以需要在VPN服務(wù)器上啟用NAT端口映射功能來(lái)解決問(wèn)題。

啟用NAT端口映射功能

在VPN服務(wù)器上打開(kāi)路由和遠(yuǎn)程訪問(wèn)窗口，在左側(cè)的“IPv4”→“常規(guī)”項(xiàng)的右鍵菜單上點(diǎn)擊“新增路由協(xié)議”項(xiàng)，在彈出窗口中選擇“NAT”項(xiàng)，保存配置后，在窗口左側(cè)的“IPv4”-“NAT”項(xiàng) 的右鍵菜單上點(diǎn)擊“新增接口”項(xiàng)，在彈出窗口中選擇VPN服務(wù)器的內(nèi)網(wǎng)卡項(xiàng)目，之后在其屬性窗口中選擇“專(zhuān)用接口道專(zhuān)用網(wǎng)絡(luò)”項(xiàng)。之后在窗口左側(cè)的“IPv4”→“NAT”項(xiàng)的右鍵菜單上點(diǎn)擊“新增接口”項(xiàng)，在彈出窗口選擇外網(wǎng)卡項(xiàng)，點(diǎn)擊確定按鈕，在其屬性窗口中選擇“公用接口連接到Internet”和“在此端口上啟用NAT”項(xiàng)，點(diǎn)擊應(yīng)用按鈕保存配置。

在VPN服務(wù)器的外網(wǎng)卡屬性窗口的“服務(wù)和端口”面板中選擇“Web服務(wù)器”項(xiàng)，點(diǎn)擊“編輯”按鈕，在彈出窗機(jī)中的“專(zhuān)用地址”欄中輸入CA網(wǎng)站的地址。點(diǎn)擊確定按鈕保存配置信息。之后在窗口左側(cè)選擇“IPv4”→“常規(guī)”項(xiàng)，在右側(cè)選擇“外網(wǎng)卡”項(xiàng)，在其屬性窗口中的“常規(guī)”面板中點(diǎn)擊“入站篩選器”按鈕，在打開(kāi)窗口中選擇“接收所有的數(shù)據(jù)包，滿(mǎn)足下列條件的除外”項(xiàng)，之后刪除所有的篩選規(guī)則。點(diǎn)擊“出站篩選器”按鈕，在打開(kāi)窗口中選擇“傳輸所有除符合下列條件以外的數(shù)據(jù)包”項(xiàng)，并將所有的規(guī)則刪除。之后為VPN服務(wù)器向CA服務(wù)器申請(qǐng)證書(shū)，并重啟路由和遠(yuǎn)程訪問(wèn)服務(wù)即可。

創(chuàng)建IKE v2VPN服務(wù)器

IKEv2協(xié)議采用的是IPSec信道模式，使用UDP 500端口，使用3DES或者AES加密數(shù)據(jù)。其利用IKE v2 MOBIKE（即 Mobility and Multihoming Protocol）協(xié)議提供的功能，允許移動(dòng)客戶(hù)通過(guò)VPN連接內(nèi)網(wǎng)。Windows 2008/7通過(guò)使用VPN Reconnect功能，來(lái)支持IKEv2協(xié)議。和上述幾個(gè)VPN協(xié)議不同，借助于VPN Reconnect功能，當(dāng)網(wǎng)絡(luò)連接中斷后，即使經(jīng)過(guò)一段時(shí)間，當(dāng)網(wǎng)絡(luò)連接恢復(fù)后，VPN連接通道會(huì)自動(dòng)恢復(fù)運(yùn)行，無(wú)需用戶(hù)手工重新建立VPN連接，這對(duì)于移動(dòng)用戶(hù)來(lái)說(shuō)是很有利的。例如，當(dāng)用戶(hù)使用筆記本電腦移動(dòng)上網(wǎng)，在不同的環(huán)境中切換不同的無(wú)線(xiàn)連接后，VPN通道照樣保持連接狀態(tài)。IKEv2 VPN服務(wù)器需要向CA申請(qǐng)和安裝證書(shū)，因此需要按照上述介紹，在域控制器上安裝企業(yè)CA和IIS網(wǎng)站，VPN客戶(hù)端不需要使用計(jì)算機(jī)證書(shū)。

圖3 證書(shū)模板屬性窗口

創(chuàng)建的證書(shū)模板

但是，IKE v2服務(wù)器使用的證書(shū)需要包含服務(wù)器驗(yàn)證和IPIKE中繼證書(shū)，因?yàn)槠髽I(yè)根CA沒(méi)有提供這些數(shù)據(jù)，需要我們手工建立對(duì)應(yīng)的證書(shū)模板。在證書(shū)頒發(fā)機(jī)構(gòu)窗口左側(cè)選擇“證書(shū)模板”項(xiàng)，在其右鍵菜單中點(diǎn)擊“管理”項(xiàng)，在證書(shū)模板控制臺(tái)窗口右側(cè)選擇選擇某個(gè)證書(shū)（例如“IPSec”等），在其右鍵菜單上點(diǎn)擊“復(fù)制模板”項(xiàng)，在彈出窗口中選擇“Windows Server 2003 Enterprise”項(xiàng)，這是為了提高證書(shū)模板可用性。

點(diǎn)擊確定按鈕，在證書(shū)模板的屬性窗口（如圖3）中的“常規(guī)”面板中的“模板顯示名稱(chēng)”欄中輸入其名稱(chēng)，例如 “VPNCXL”。在“請(qǐng)求處理”面板中選擇“允許導(dǎo)出私鑰”項(xiàng)，在“請(qǐng)求者名稱(chēng)”面板中選擇“在請(qǐng)求中提供”項(xiàng)，在“擴(kuò)展”面板中選擇“應(yīng)用程序策略”項(xiàng)，點(diǎn)擊“編輯”按鈕，在編輯應(yīng)用程序策略擴(kuò)展窗口中點(diǎn)擊“添加”按鈕，分別添加“IP安全 IKE中級(jí)”和“服務(wù)器身份驗(yàn)證”項(xiàng)。在“擴(kuò)展”面板中選擇“密鑰用法”項(xiàng)，點(diǎn)擊“編輯”按鈕，在彈出窗口中選擇“數(shù)字簽名”項(xiàng)，點(diǎn)擊確定按鈕，保存模板信息。

啟用證書(shū)模板

在證書(shū)頒發(fā)機(jī)構(gòu)左側(cè)選擇“證書(shū)模板” 項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建”→“要頒發(fā)的證書(shū)模板”項(xiàng)，在啟用證書(shū)模板窗口中選擇上述證書(shū)模板（例如“VPNCXL”），點(diǎn)擊確定按鈕，完成所需的操作。VPN服務(wù)器必須信任由CA發(fā)放的證書(shū)，即需要將CA證書(shū)安裝到VPN服務(wù)器中。因本例中為VPN已經(jīng)加入域，而與成員會(huì)自動(dòng)信任企業(yè)CA，所以VPN服務(wù)器已經(jīng)信任該CA。因?yàn)镮KEv2 VPN服務(wù)器需要安裝服務(wù)器身份驗(yàn)證和IP安全I(xiàn)KE中級(jí)證書(shū)，我們已經(jīng)將其包含在新建的證書(shū)模板中，所以需要向企業(yè)根CA服務(wù)器申請(qǐng)?jiān)撟C書(shū)。

申請(qǐng)認(rèn)證證書(shū)

運(yùn)行“mmc”命令，在控制臺(tái)窗口選擇“證書(shū)”→“個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“申請(qǐng)新證書(shū)”項(xiàng)，依次點(diǎn)擊下一步按鈕，在證書(shū)注冊(cè)窗口中選擇“顯示所有模板”項(xiàng)，顯示所有證書(shū)模板項(xiàng)目。在“VPNCXL”證書(shū)項(xiàng)右側(cè)“詳細(xì)信息”圖標(biāo)，在擴(kuò)展面板中點(diǎn)擊“屬性”按鈕，在其屬性窗口中的“使用者”面板中的“類(lèi)型”列表中選擇“公用名”項(xiàng)，在“值”欄中輸入VPN服務(wù)器名稱(chēng)。例如vpn.xxx.com。點(diǎn)擊“添加”按鈕，便于VPN客戶(hù)端利用VPN服務(wù)器網(wǎng)址名稱(chēng)進(jìn)行訪問(wèn)。在證書(shū)注冊(cè)窗口中選擇“VPNCXL”項(xiàng)，點(diǎn)擊注冊(cè)按鈕，完成申請(qǐng)和安裝。再重啟路由和遠(yuǎn)程訪問(wèn)服務(wù)即可。