摘要:
企业根CA如何发放客户机证书-L2TP证书问题的补充说明 在ISA系列第二十一篇的博文中,我们介绍了如何在VPN服务器中使用L2TP协议。L2TP可以使用证书或预共享密钥,很多朋友反映在做这个实验时出了问题,关键是申请不到客户机证书。因此今天特意花点时间,为大家介绍一下如何解决证书问题。 由于我在博文中使用的是一个独立根CA,而不少博友在实验时使用的是企业根CA,因此环境上的差异造成了实验的困扰。独立根CA发放客户机证书是非常容易的,但企业根CA就需要进行一番设置。当然,独立根CA和企业根CA本质上是一样的,只是在一些配置方法上存在一些差异,看了本文之后,相信大家就不会有这种困扰了。本文的实验 阅读全文
posted @ 2010-04-17 10:38
Angelo Lee
阅读(252)
评论(0)
推荐(0)
摘要:
DMZ的部署及配置DMZ是Demilitarized Zone的缩写,俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域,一般用于放置公司对外开放的服务器,例如Web服务器,Ftp服务器,邮件服务器等。其实从ISA的角度来看,DMZ就是一个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要DMZ这个单独的网络呢?被发布的服务器放在内网是可以的,我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并非最佳选择,因为内网中还有其他的计算机,这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户,财务室人员使用的工作站更 阅读全文
posted @ 2010-04-17 10:37
Angelo Lee
阅读(380)
评论(0)
推荐(0)
摘要:
用组策略实现用户证书的自动注册申请在前面的博文中,我们已经在邮件加密,安全Web站点,TLS通讯,智能卡等诸多的应用领域中接触到了证书,证书在安全领域的重要性已是不言而喻。如果我们在内网搭建了CA服务器,用户应该如何获取证书呢?用户申请证书一般有两种方式,如下图所示,用户既可以通过MMC控制台也可以利用浏览器进行证书的注册申请。但这两种证书申请方式对普通用户来说都有一定的技术难度,如果管理员代为用户申请证书,在用户众多的环境下又不太现实。那我们在大型企业中应该如何处理用户证书的注册申请呢?我们可以通过组策略结合CA服务器来完成证书的自动注册申请,利用这种方式,我们可以对整个域的用户或某个组织的 阅读全文
posted @ 2010-04-17 10:37
Angelo Lee
阅读(329)
评论(0)
推荐(0)
摘要:
用ISA2006配置单网卡缓存服务器ISA是互联网安全加速器的缩写,安全指的是ISA的防火墙功能,而加速则是ISA的缓存功能。我们知道,缓存的设计是为了解决两个系统之间速度不匹配的矛盾。一般而言,内网的访问速度要远远大于外网,因此,如果ISA能够把用户访问外网获得的数据放在硬盘缓存中,那么当下一个用户从外网请求相同数据时,ISA就可以利用硬盘缓存的内容对用户进行响应,这样的速度自然要远远大于从外网获得数据,加速器的称呼也就是因为这个。尤其是当公司员工早晨浏览新闻网站或查看产品报价时,这种加速效果非常明显。有些公司在部署ISA服务器之前已经有了自己的网络访问解决方案,例如通过硬件防火墙访问互联网 阅读全文
posted @ 2010-04-17 10:35
Angelo Lee
阅读(220)
评论(0)
推荐(0)
摘要:
构建基于PPTP的站点到站点的VPN连接在前面的博文中,我们已经介绍了如何用ISA2006创建VPN服务器,以及远程用户如何利用VPN服务器拨入内网。如果是个别用户在家办公或出差在外,用前文提到的VPN解决方案是可以圆满解决的。但如果是一群用户有互相访问的需求,例如某公司总部和分公司需要互相访问,那用VPN远程拨入的方式就显得效率不高了。试想一下,公司总部500人,分公司300人,如果要互相访问,800人都要拨叫对方的VPN服务器,这显然不是一个好的解决方案。今天我们提供一种站点到站点的VPN解决方案,可以很好地解决这个问题。我们引入下面的拓扑图来说明这个方案的构思,某公司北京总部的内网IP范 阅读全文
posted @ 2010-04-17 10:34
Angelo Lee
阅读(46)
评论(0)
推荐(0)
摘要:
创建基于L2TP的站点间VPN在上篇博文中我们介绍了如何利用ISA2006创建站点间的VPN,而且站点间VPN使用的隧道协议是PPTP,今天我们更进一步,准备在上篇博文的基础上实现基于L2TP的站点间VPN。L2TP和PPTP相比,增加了对计算机的身份验证,从理论上分析应该比PPTP更安全一些。L2TP验证计算机身份可以使用预共享密钥,也可以使用证书。我们把两种方式都尝试一下,实验拓扑如下图所示,和上篇博文的环境完全一致。一 使用预共享密钥使用预共享密钥实现L2TP的过程是是比较简单的,我们在VPN站点两端的VPN服务器上配置一个相同的预共享密钥,就可以用于L2TP协议中验证计算机身份。如下图 阅读全文
posted @ 2010-04-17 10:34
Angelo Lee
阅读(9)
评论(0)
推荐(0)
摘要:
多图详解VPN用户隔离VPN隔离是ISA2006中提供的一个强大功能,也是NAP(网络访问保护)的一个重要组成环节。VPN隔离指的的是当VPN客户机通过VPN服务器的身份验证后,VPN服务器并不立即允许其访问内网,而是将VPN客户机放到一个被隔离的网络中。然后通过策略对客户机进行安全检查,例如查看VPN客户机是否安装了最新的安全补丁,是否启用了防火墙,防病毒软件是否升级到了最新版本等等。如果VPN客户机通过了安全策略的检查,VPN服务器将允许其访问内网资源;如果不能通过安全策略检查,VPN客户机将被限定在隔离网络中,无法访问内网资源,而且在隔离网络中停留一段时间后会被逐出。有的企业会在隔离网络 阅读全文
posted @ 2010-04-17 10:32
Angelo Lee
阅读(33)
评论(0)
推荐(0)
摘要:
详解Radius服务器在VPN中的应用在前面的博文中,我们介绍了如何利用ISA2006创建VPN服务器,以及对VPN服务器使用的PPTP和L2TP协议都进行了介绍,今天我们来介绍一种经常和VPN配合使用的身份验证服务器-Radius服务器。Radius是Remote Authentication Dial In User Service的缩写,意思是远程用户拨号认证服务。Radius原本设计用于对拨号用户进行身份验证和计费,这些功能经常被电信部门所使用,我们拨号上网后收到的账单就是Radius服务器统计出来的。Radius使用一段时间后,大家发现Radius协议功能强大,使用方便且易于扩充,因 阅读全文
posted @ 2010-04-17 10:31
Angelo Lee
阅读(20)
评论(0)
推荐(0)
摘要:
用智能卡构建身份验证的马其诺防线在前面的博文中我们已经介绍了如何用ISA2006构建VPN服务器,以及如何利用Radius服务器负责处理VPN的身份验证,今天我们要更进一步,用智能卡实现更安全的用户身份验证。我们知道,传统的用户名/口令的身份验证方法不够安全,存在被人窃听的危险,尤其是公司的VPN用户从外网进行访问,安全环境更不容易得到保证。如果我们在VPN客户机上使用智能卡进行身份验证,就可以很好地解决这个安全问题。智能卡(SmartCard)是一个带有微处理器和存储器等微型集成电路芯片、具有标准规格的卡片。智能卡遵循的ISO7816标准规定了智能卡的外形、厚度、触点位置、电信号、协议等。一 阅读全文
posted @ 2010-04-17 10:31
Angelo Lee
阅读(180)
评论(0)
推荐(0)
摘要:
配置VPN服务器使用L2TP/IPSEC协议上篇博文中我们介绍了如何使用ISA2006来搭建一个VPN服务器,我们在ISA2006中配置了VPN地址池,选择了VPN协议,创建了防火墙策略,检查了网络规则,还赋予了用户远程拨入权限。等VPN服务器搭建完毕后,我们又利用客户端对VPN服务器进行了连接测试,测试的结果令人满意,我们拥有了自己的VPN服务器。只是在上次实验中,客户端访问VPN服务器时使用的是PPTP协议,但VPN服务器支持PPTP和L2TP/IPSEC两种协议,因此在本篇博文中我们将在客户机上测试使用L2TP/IPSEC协议访问VPN服务器。L2TP/IPSEC从字面上理解是在IPSE 阅读全文
posted @ 2010-04-17 10:29
Angelo Lee
阅读(25)
评论(0)
推荐(0)
浙公网安备 33010602011771号