Windows域环境下部署ISA Server 2006防火墙（四）

构建基于ISA Server 2006的远程接入×××服务器

    接上回，本次将会说到在ISA Server 2006上配置远程接入×××服务。以此来解决公司员工出差以后访问公司内部的问题。配置了远程接入×××服务后，出差的员工无论走到哪里，只要能上网都可以经过拨号的方式链接到公司内部网络。

    远程接入×××服务能够配置在windows系统上。以前我写过一篇文章windows下NAT妙用（http://zpp2009.blog.51cto.com/730423/238512），就是把×××服务作在windows系统上的，既使用NAT把它放到了内网但仍是感受不×××全，由于windows系统自己应对一些安全问题仍是比较吃力的。这一次就弥补了这个问题，咱们把ISA Server 2006装在windows系统上，使这台服务器变得强大。而后再在ISA Server 2006上构建远程接入×××服务。这样的话，安全性就大大提升了。下面咱们来看看具体的实施方法。

拓扑在以下：

 

虽然这幅图你们已经见到好几回了，但每次都是有些区别的。好比此次就增长了出差的员工，这在企业里是不得不考虑的问题 。公司做为windows域环境，各员之间，员工与公司之间的关系都是很是紧密的。

如今咱们就开始边作边说吧！

第一部分：设置×××策略

1.      打开DC，在上面建立一个组，名子就叫***-group吧，而后再建立一个测试用的账户zpp001,并把他加入***-group。这样作的目的就是为了便于稍后配置时定义哪些个组的用户能够拨入，总的来讲仍是为了提升安全性。我这是域环境因此建立的是域用户及组。而且我是在DC上添加的，要是是工做组环境下，就要在ISA Server上添加本地的用户和组，你们千万别搞错了啊。如图：

 

2.      只有上面还不够在用户属性拨入选项卡上还得选择“容许访问”，如图，只有这样用户才能够拨进来的。

 

3.      如今咱们就到ISA Server上来设置吧,先展开阵列，而后单击“虚拟专用网络×××”就显示了以下图所示的界面，如图，能够看到配置×××客户端的几个步骤。

 

4.      点击图中第一步上的“配置地址分配方法”，就会弹出让咱们给×××客户端分配IP地址的界面。如图，我们能够经过动态地址配置协议（DHCP）给×××客户端分配置IP地址，也能够经过分配静态地址的方法来分配。

 

注意：这里的地址随便配均可以只要不提示出错，我这里就配成192.168.100.1-30。不要给的太多，有几人出差就给几个是最好的，省得被***大哥们利用了。

5.      如今到第二步里面点击“指定windows用户”，在弹出的组对话框中添加，刚刚建立的***-group组，如图，添完以后点击肯定便可。（如今明白刚刚为何要建立用户和组了吧！）

 

6.      如今该第三步了吧，如图,点击“验证×××属性”，在弹出的对话框中选中“启用PPTP”。而后肯定便可。

 

7.      如今单击第三步中的“远程访问配置”，在弹出的对话框中勾选外部，如图。

这一步是干什么的呢？它的做用就是让×××客户端经过×××服务器的这个外部网络链接拨上来。

 

8.      好了，如今×××策略已经设置好了，只需点击应用肯定，就能够了。如图：

 

你们可能会在想，那第四步和第五步为何不作啊？由于第四步和第五步都是查看，不是必要的动做。不过还没完，刚刚设置的是×××的策略，接下来还要设置防火墙策略。

第二部分：设置防火墙策略

1.      展开阵列，右击防火墙策略，选择新建，再选择访问规则。如图所示：

 

2.      如今弹出了新建访问规则向导，我们给规则命个名，就叫×××吧。如图：

 

3.      这里选择“容许”，就不用解释了吧，我们前面已经看到不少这个界面了啊。

 

4.      在协议选项卡里选择“全部出站通信”。单击下一步，注意，若是不这样选择的话即便用户拨上来，也作不了什么。

 

5.      访问规则源选择这里选择“×××客户端”。这里就是让我们指定从哪儿来的对象。

 

6.      目标选择“内部”，由于我们是让×××客户端经过拨号的方式拨入到内部网络。

 

7.      用户集这里选择全部用户。固然为了更高的安全性，还能够根据实际状况缩小小用户集的范围。选择以后点击下一步便可。

 

8.      策略设置顶好了，如今确认一下有无错误，若是没的话，就能够点击“完成”。如图：

 

9.      如今点击“应用”，能够看到在“防火墙规则”中多了一条名称为“×××”的策略规则。

 

至此，咱们就完成了ISA Server上远程接入服务的配置，接下来就是配置客户端及测试。

第三部分：配置客户端及测试

1.      如今来到外网客户机这里，它的IP是61.134.1.10/8和拓扑一致，在网络链接属性中单击“建立一个新的链接”在弹出的对话框中点击下一步。如图：

 

2.      网络链接内型这里选择第二项“链接到个人工做场所的网络”。单击下一步，如图：

 

3.      如今它问咱们想要如何与工做点链接，咱们选择第二项“虚拟专用网络链接”，也就是我们的×××。单击下一步，如图：

 

4.      链接名这里它要求我们输人公司的名称，其实这只是作个标记而已，跟公司跟服务器端没有一点关系，设置这个是给本身看到。设完以后点击下一步便可，如图：

 

5.      如今它让我们输入×××服务器的名称或地址，咱这固然是输入外网接口的地址：61.134.1.4.要是想输入域名的话，必需要在DNS注册商那里注册相关记录才行。

 

6.      如今会弹出如图所示的登陆界面，输入用户名zpp001@zpp.com,和密码就能够登陆了，注意我这用的用户名是zpp001@zpp.com.我写的是邮件名，直接写zpp001均可以，无所谓。

 

7．OK！拨上来了啊，能够看到下面的虚拟专用网络中的网络链接显示已链接。执行命令ipconfig以后能够看到，客户机得到了一个来自ISA Server的IP（192.168.100.2/32）。

 

如今直接在开始运行中使用UNC路径就能够访问公司内网文件服务器（IP：192.168.1.10）上的共享资源了，如图，你们可要想到如今是跨Internet在访问啊。

 

    此时，咱们就解决了企业中的员工出差访问公司内部的问题。使他们既能不受限制从任何能够上网的地方链接到内部网络中，同时也提供了安全性。