Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.1) pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (156.42 KB, 6 trang )
Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.1)
Quản trị mạng - Một vấn đề với hệ thống tường lửa hay router tại các điểm truy
cập Internet công cộng đó là chúng luôn muốn đơn giản hóa mọi thứ. Chúng sẽ
không chặn các kết nối VPN bởi vì chúng không muốn phá hủy phiên truy cập
của bạn.
Xét về khả năng bảo mật và quản trị thì việc chỉ cho phép sử dụng hai giao
thức HTTP và HTTPS đang được hầu hết người dùng sử dụng là rất dễ dàng.
Điều này giúp khắc phục sự cố mạng dễ dàng hơn nhiều cho các nhà cung cấp
dịch vụ mạng hỗ trợ kết nối Internet tại các điểm truy cập này.
Tất nhiên, nếu chúng ta cần sử dụng kết nối VPN và đang thực hiện kết nối tại
các điểm truy cập này thì sẽ rất khó khăn khi mạng đang sử dụng cần được hỗ
trợ và phương pháp duy nhất để cung cấp dịch vụ đó là một kết nối VPN cấp
độ mạng.
Windows Server 2008 tích hợp giao thức SSTP VPN. Cơ bản, SSTP, Secure
Socket Tunnel Protocol, là PPP (Point-To-Point Protocol – Giao thức liên kết
điểm) trên SSL (Secure Sockets Layer). SSTP cho phép người dùng kết nối tới
máy chủ VPN qua cổng 443 của TCP, cũng giống như những kết nối SSL
khác, và nó làm việc với những Web Proxy chưa thẩm định quyền, do đó dù
điểm truy cập sử dụng một hệ thống tường lửa ISA cho truy cập ngoài thì
những kết nối SSTP sẽ vẫn hoạt động bình thường.
Trong bài viết này chúng ta sẽ cấu hình máy chủ SSTP VPN và cấu hình ISA
Firewall để cho phép máy trạm SSTP VPN kết nối trở lại máy chủ SSTP VPN.
ISA Firewall sẽ được cấu hình với hai Publishing Rule, gồm một Server
Publishing Rule cho phép kết nối trở lại máy chủ SSTP và một Web Publishing
Rule cho phép thực hiện kết nối trở lại điểm phân phối CRL (CDP).
Trước tiên chúng ta sẽ kiểm tra hệ thống mạng mẫu cho cấu hình này:
Hình 1: Mô hình mạng.
Chúng ta cần chú ý hai kết nối dữ liệu. Đầu tiên, một kết nối SSTP cần phải
thực hiện qua ISA Firewall sẽ kết thúc tại máy chủ SSTP SSL VPN. Kết nối
thứ hai cần thực hiện hai bước truyền qua hệ thống mạng (bước đầu tiên là một
kết nối HTTP thực hiện qua ISA Firewall, và bước thứ hai được thực hiện qua
cổng nối SSL VPN tới CDP). Để hỗ trợ tiến trình này chúng ta cần cấu hình
cổng nối SSL VPN trở thành một máy chủ NAT thực hiện đảo chiều NAT để
cho phép truy cập tới CDP phía sau máy chủ VPN.
Lưu ý, máy trạm SSTP VPN phải sử dụng phiên bản Windows Vista SP1.
Phiên bản Vista RTM không hỗ trợ SSTP.
Trong ví dụ này, ISA Firewall không phải là một thành viên của miền vì thành
viên miền không cần thiết trong trường hợp này. Nếu muốn kết nạp ISA
Firewall làm thành viên miền chúng ta sẽ phải cấu hình ISA Firewall sử dụng
một router phía sau giao tiếp nội bộ của ISA Frirewall vì giao tiếp nội bộ miền
không thực hiện với các thiết bị NAT trong kết nối này. Router này sẽ được đặt
cùng với máy chủ VPN, do đó giao tiếp ngoài và giao tiếp nội bộ sẽ xuất hiện
trên những ID mạng phản chiếu những giao tiếp này trên hệ thống cổng nối
SSTP VPN.
Cổng nối SSTP VPN là một thành viên miền do đó chúng ta có thể tận dụng
được quá trình thẩm định quyền của Windows. Nếu không muốn cổng nối
SSTP VPN là một thành viên miền, chúng ta có thể cài đặt một Network Policy
Server trên mạng tập thể và cấu hình máy chủ VPN sử dụng nó để thẩm định
quyền và tính toán (máy chủ Network Policy Server trong Windows Server
2008 thay thế cho máy chủ ISA trong Windows Server 2003).
Máy tính CDP trên mạng nội bộ là một Domain Controller cho miền
msfirewall.org. Những máy chủ chức năng được cài đặt trên máy tính này bao
gồm Active Directory Certificate Services, DHCP Server, DNS Server, Active
Directory Domain Services, và tính năng WINS Server.
Chúng ta cần phải thực hiện các bước sau:
Cài đặt IIS trên máy chủ VPN.
Yêu cầu một chứng nhận hệ thống cho máy chủ VPN sử dụng IIS
Certificate Request Wizard.
Cài đặt máy chủ chức năng RRAS trên máy chủ VPN.
Kích hoạt máy chủ RRAS rồi cấu hình nó trở thành một máy chủ NAT
và VPN.
Cấu hình máy chủ NAT xuất bản CRL.
Cấu hình User Account cho phép các kết nối dial-up.
Cấu hình IIS trên Certificate Server cho phép các kết nối HTTP cho thư
mục CRL.
Cấu hình ISA Firewall với một máy chủ PPTP VPN, máy chủ SSL VPN
và Web Publishing Rule của CDP.
Cấu hình file HOSTS trên máy trạm VPN.
Sử dụng PPTP để kết nối tới máy chủ VPN.
Tạo một CA Certificate từ Enterprise CA.
Cấu hình ISA Firewall với một Publishing Rule của máy chủ SSL VPN
và CDP.
Cấu hình máy trạm sử dụng SSTP và kết nối tới máy chủ VPN sử dụng
SSTP.
