在Windows系統(tǒng)環(huán)境下虛擬專用網(wǎng)服務(wù)器
例如,如果你碰巧有一個缺少與公司辦公室直接連接的一個分支辦公室,使用一臺路由器作為VPN客戶機對你來說可能是一個很好的選擇。通過這樣做,你可以利用一個單個的連接把整個分支辦公室與公司辦公室連接起來。不需要每一臺PC都單獨建立一個連接。
另一方面,如果你擁有一些經(jīng)常出差的雇員,這些雇員需要在旅行中訪問公司的網(wǎng)絡(luò),你把這些雇員的筆記本電腦設(shè)置為VPN的客戶機可能會有好處。
從技術(shù)上說,只要支持PPTP、L2TP或者IPSec協(xié)議,任何操作系統(tǒng)都可以作為一臺VPN客戶機。就微軟而言,這意味著你可以使用 Windows NT 4.0、9X、ME、2000和XP操作系統(tǒng)。雖然所有這些操作系統(tǒng)從技術(shù)上說都可以作為客戶機,我建議你堅持使用Windows 2000或者Windows XP操作系統(tǒng),因為這些操作系統(tǒng)能夠支持L2TP和PSec協(xié)議。
VPN服務(wù)器
VPN服務(wù)器可以當(dāng)作VPN客戶機的一個連接點。從技術(shù)上說,你可以使用Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003等操作系統(tǒng)作為一臺VPN服務(wù)器。不過,為了保證安全,我認為你應(yīng)該使用Windows Server 2003操作系統(tǒng)。
有關(guān)VPN服務(wù)器的最大的誤解之一是VPN服務(wù)器所有的工作都是自己完成的。我的朋友無數(shù)次地對我說,他們要購買一臺VPN服務(wù)器。他們沒有認識到VPN服務(wù)器只是必要的組件之一。
VPN服務(wù)器本身是非常簡單的。VPN服務(wù)器不過是執(zhí)行路由和遠程訪問服務(wù)任務(wù)的一個增強的‘Windows 2003 Server’服務(wù)器。一旦一個進入VPN網(wǎng)絡(luò)的請求被批準,這個VPN服務(wù)器就簡單地充當(dāng)一臺路由器向這個VPN客戶機提供專用網(wǎng)絡(luò)的接入。
ISA服務(wù)器
VPN服務(wù)器的額外要求之一是你要有一臺RADIUS(遠程認證撥入用戶服務(wù))服務(wù)器。遠程認證撥入用戶服務(wù)是互聯(lián)網(wǎng)服務(wù)提供商在用戶試圖建立互聯(lián)網(wǎng)連接的時候?qū)τ脩暨M行身份識別的一種機制。
你需要使用RADIUS服務(wù)器的原因是你需要一些身份識別機制對通過VPN連接進入你的網(wǎng)絡(luò)的用戶進行身份識別。你的域名控制器不能完成這個任務(wù)。即使你的域名控制器能夠勝任這個任務(wù),把域名控制器暴露給外部世界也不是一個好主意。
現(xiàn)在的問題是你從什么地方獲得這個RADIUS服務(wù)器?微軟有自己版本的RADIUS,名為“互聯(lián)網(wǎng)身份識別服務(wù)”,英文縮寫字是IAS。 Windows Server 2003操作系統(tǒng)包含IAS功能。這是一個好消息。壞消息是由于安全的原因不能在同一臺計算機中把ISA當(dāng)作路由和遠程訪問服務(wù)(RRAS)來運行。即使可以這樣做,我也不能肯定在虛擬服務(wù)器設(shè)置之外是否有這個可能。
防火墻
你的VPN需要的其它組件是一個良好的防火墻。的確。你的VPN服務(wù)器接受來自外部世界的連接,但是,這并不意味著外部世界需要完全訪問的VPN服務(wù)器。你必須使用防火墻封鎖任何沒有使用的端口。
建立VPN連接的基本要求是,VPN服務(wù)器的IP地址必須能過通過互聯(lián)網(wǎng)訪問,VPN通信必須能夠通過你的防火墻進入VPN服務(wù)器。然而,還有一項可選擇的組件。你可以使用這個組件讓你的VPN服務(wù)器更安全。
如果你非常重視安全問題(而且你有這筆預(yù)算),你可以在ISA服務(wù)器和你的周邊防火墻和VPN服務(wù)器之間放置一個ISA服務(wù)器。這個想法是,你可以設(shè)置防火墻把所有的與VPN有關(guān)的通信都指向那個ISA服務(wù)器,而不是指向VPN服務(wù)器。然后,ISA服務(wù)器將充當(dāng)一個VPN代理服務(wù)器。
VPN客戶機和VPN服務(wù)器僅與ISA服務(wù)器進行通信。它們相互之間從來不直接通信。這就意味著ISA服務(wù)器在保護VPN服務(wù)器,不允許直接訪問VPN服務(wù)器,從而為VPN服務(wù)器增加了一個保護層。
選擇一個隧道協(xié)議
當(dāng)VPN客戶機訪問一臺VPN服務(wù)器的時候,它們是通過一個虛擬的隧道進行訪問的。一個隧道實際上就是通過一個不安全的媒介(通常是互聯(lián)網(wǎng))的安全通道。然而,隧道并不是用魔術(shù)變出來的。隧道需要使用一個隧道協(xié)議。
我以前曾講過老式的Windows客戶機能夠通過PPTP(點對點隧道協(xié)議)協(xié)議連接到一個VPN網(wǎng)絡(luò)。但是,我建議使用比較新的客戶端軟件,如Windows 2000和Windows XP,因為它們支持L2TP(2層隧道協(xié)議)。事實是這兩個協(xié)議中的任何一個協(xié)議都可以工作,而且客戶機都支持這些協(xié)議。然而,每一個協(xié)議都有其優(yōu)點和缺點。選擇一個適合你的機構(gòu)的隧道協(xié)議是你規(guī)劃VPN網(wǎng)絡(luò)時應(yīng)做出的最重要的決策之一。
同PPTP協(xié)議相比,L2TP協(xié)議最大的優(yōu)勢在于它依賴IPSec。IPSec加密數(shù)據(jù),也提供數(shù)據(jù)身份識別。這意味著IPSec證明這個數(shù)據(jù)確實是由發(fā)送者發(fā)送的并且在傳輸?shù)倪^程中沒有被修改。而且IPSec可以防止重播攻擊。重播攻擊指的是安全捕捉身份識別數(shù)據(jù)包,然后在晚些時候重新發(fā)送這個數(shù)據(jù)包以便獲得這個系統(tǒng)的訪問權(quán)限。
L2TP還可以提供比PPTP更強大的身份識別功能。L2TP能夠?qū)τ脩艉陀嬎銠C都進行身份識別。而且在用戶級身份識別期間交換的數(shù)據(jù)包總是被加密的。
雖然表面上看L2TP也許是隧道協(xié)議的選擇,但是,PPTP也有一些超過L2TP的優(yōu)點。我已經(jīng)談到過這些優(yōu)點之一,就是兼容性。PPTP比 L2TP兼容更多的Windows系統(tǒng)。如果你有一些仍在使用版本比較老的Windows操作系統(tǒng)的VPN用戶,那么,除了使用PPTP之外,你沒有別的選擇。
PPTP優(yōu)于L2TP的另一個優(yōu)勢是L2TP是以IPSec為基礎(chǔ)的。在L2TP的優(yōu)點這一節(jié),我談到IPSec喜歡L2TP是一件好事,而且事情確實如此。然而,使用IPSec有一個重大缺陷。IPSec要求你的網(wǎng)絡(luò)具有認證中心。
這個好消息是Windows Server 2003有自己的認證中心。認證中心的設(shè)置是相對簡單的。壞消息是,從安全的觀點看,認證中心不是你要處理的事情。保持認證中心完整性的惟一方法是在一臺安全保護增強到最大限度的專用服務(wù)器上運行認證中心。這就意味著必須要額外投資購買一臺服務(wù)器、額外的Windows服務(wù)器軟件許可證、以及增加與你的網(wǎng)絡(luò)增加一臺服務(wù)器有關(guān)的額外管理負擔(dān)。
不過,按照我的意見,額外的成本和管理負擔(dān)是值得的。L2TP能夠為你提供比PPTP更好的安全性。此外,你還可以利用認證中心做其它的事情,如通過IPSec加密本地通信等。
身份識別協(xié)議
在我談?wù)搮f(xié)議話題的時候,我要用一些時間談一談身份識別協(xié)議的問題。在設(shè)置VPN的過程中,系統(tǒng)將要求你選擇一個身份識別協(xié)議。大多數(shù)人會選擇 MS-CHAP v2選項。MS-CHAP是一個相對安全的選項,它兼容運行在過去的10年里制作的任何版本的Windows操作系統(tǒng)的VPN客戶機。MS-CHAP最大的優(yōu)點是容易設(shè)置。
如果你計劃使用L2TP并且要更好的安全性,你應(yīng)該選擇EAP-TLS作為你的身份識別協(xié)議。只有運行Windows 2003或者Windows XP操作系統(tǒng)的客戶機才能支持EAP-TLS協(xié)議。而且,必須設(shè)置VPN服務(wù)器之后認證中心才能辦法用戶認證。
EAP-TLS協(xié)議的設(shè)置比較復(fù)雜,如果最終用戶已經(jīng)獲得了智能卡,這個協(xié)議會工作得更好。但是,EAP-TLS協(xié)議確實能夠為你提供最佳的安全。簡單地說,MS-CHAP是基于口令的協(xié)議。EAP-TLS是基于證書的協(xié)議。
結(jié)論
在你創(chuàng)建一個VPN之前,需要做許多規(guī)劃工作。在這篇文章中,我談了設(shè)計一個VPN必須要做的一些規(guī)劃,還談了一些你必須要做出的一些決策。
網(wǎng)公網(wǎng)安備