第1页共27页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共27页Windows域环境下部署ISAServer2006防火墙(四)构建基于ISAServer2006的远程接入VPN服务器接上回,本次将会说到在ISAServer2006上配置远程接入VPN服务。以此来解决公司员工出差之后访问公司内部的问题。配置了远程接入VPN服务后,出差的员工不管走到哪里,只要能上网都能够通过拨号的方式连接到公司内部网络。远程接入VPN服务可以配置在windows系统上。之前我写过一篇文章windows下NAT妙用(),就是把VPN服务做在windows系统上的,既使用NAT把它放到了内网但还是感觉不太安全,因为windows系统本身应对一些安全问题还是比较吃力的。这一次就弥补了这个问题,我们把ISAServer2006装在windows系统上,使这台服务器变得强大。第2页共27页第1页共27页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共27页然后再在ISAServer2006上构建远程接入VPN服务。这样的话,安全性就大大提高了。下面我们来看看具体的实施方法。拓扑在如下:虽然这幅图大家已经见到好几次了,但每次都是有些区别的。比如这次就增加了出差的员工,这在企业里是不得不考虑的问题。公司作为windows域环境,各员之间,员工与公司之间的关系都是非常紧密的。现在我们就开始边做边说吧!第一部分:设置VPN策略第3页共27页第2页共27页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共27页1.打开DC,在上面创建一个组,名子就叫vpn-group吧,然后再创建一个测试用的帐户zpp001,并把他加入vpn-group。这样做的目的就是为了便于稍后配置时定义哪些个组的用户可以拨入,总的来说还是为了提高安全性。我这是域环境所以创建的是域用户及组。并且我是在DC上添加的,要是是工作组环境下,就要在ISAServer上添加本地的用户和组,大家千万别搞错了啊。如图:2.只有上面还不够在用户属性拨入选项卡上还得选择“允许访问”,如图,只有这样用户才可以拨进来的。第4页共27页第3页共27页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共27页3.现在我们就到ISAServer上来设置吧,先展开阵列,然后单击“虚拟专用网络VPN”就显示了如下图所示的界面,如图,可以看到配置VPN客户端的几个步骤。第5页共27页第4页共27页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第5页共27页4.点击图中第一步上的“配置地址分配方法”,就会弹出让我们给VPN客户端分配IP地址的界面。如图,咱们可以通过动态地址配置协议(DHCP)给VPN客户端分配置IP地址,也可以通过分配静态地址的方法来分配。第6页共27页第5页共27页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第6页共27页注意:这里的地址随便配都可以只要不提示出错,我这里就配成192.168.100.1-30。不要给的太多,有几人出差就给几个是最好的,免得被黑客大哥们利用了。5.现在到第二步里面点击“指定windows用户”,在弹出的组对话框中添加,刚刚创建的vpn-group组,如图,添完之后点击确定即可。(现在明白刚刚为什么要创建用户和组了吧!)第7页共27页第6页共27页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第7页共27页6.现在该第三步了吧,如图,点击“验证VPN属性”,在弹出的对话框中选中“启用PPTP”。然后确定即可。第8页共27页第7页共27页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第8页共27页7.现在单击第三步中的“远程访问配置”,在弹出的对话框中勾选外部,如图。这一步是干什么的呢?它的作用就是让VPN客户端通过VPN服务器的这个外部网络连接拨上来。第9页共27页第8页共27页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第9页共27页8.好了,现在VPN策略已经设置好了,只需点击应用确定,就可以了。如图:第10页共27页第9页共27页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第10页共27页大家可能会在想,那第四步和第五步为什么不做啊?因为第四步和第五步都是查看,不是必要的动作。不过还没完,刚刚设置的是VPN的...