VPN 客户端和防火墙策略

要通过使用 ISA Server 2004 来允许远程虚拟专用网络 (VPN) 客户端,必须启用 VPN 客户端访问。有关说明,请参阅启用远程 VPN 客户端访问。当启用 VPN 客户端访问时,ISA 服务器启用适当的网络和防火墙策略规则以允许初始访问。

当允许远程 VPN 客户端连接时,ISA Server 2004 使这些客户端成为 VPN 客户端网络的成员。默认系统策略规则允许这些客户端访问 ISA 服务器计算机(本地主机网络)。

系统策略规则

启用 VPN 客户端访问时,将启用名为“允许 ISA 服务器的 VPN 客户端通讯”的系统策略规则。根据您为远程客户端访问配置的协议,系统策略规则允许使用点到点隧道协议 (PPTP) 和/或第 2 层隧道协议 (L2TP) 来从外部网络(VPN 客户端的假定位置)连接到 ISA 服务器计算机(本地主机)。当配置下列远程 VPN 客户端访问属性时,可以修改这一规则:

网络规则

安装 ISA 服务器时创建的默认网络规则定义了内部网络与 VPN 客户端网络之间的路由关系。当安装 ISA 服务器时,还会创建另一条默认规则,允许从 VPN 客户端网络访问外部网络。可以创建新的网络规则,以便允许从 VPN 客户端网络到其他网络的通讯。有关网络规则的详细信息,请参阅网络规则

ISA 服务器可以充当 VPN 客户端的地址解析协议 (ARP) 代理。例如,如果分配给 VPN 客户端网络的地址是内部网段的一部分,则无论地址是从静态池中分配的还是由 DHCP 服务器分配的,内部网络中的计算机都会向 VPN 客户端发送 ARP 查询。ISA 服务器将拦截查询,并代表已连接的 VPN 客户端作出答复。

您不必将 VPN 客户端网络子网与内部网络分隔开来。

防火墙策略规则

要允许远程 VPN 客户端访问内部网络上的资源,必须创建允许适当访问权限的访问规则。如果您认为从防火墙策略的角度看,VPN 客户端网络与内部网络完全相同,可能还想创建一条访问规则以便允许从内部网络到 VPN 客户端网络的所有通讯。有关防火墙策略的更多信息,请参阅防火墙策略规则概述

如果要启用并配置隔离,必须针对被隔离的 VPN 客户端网络创建一条访问规则,以便允许适当的权限。有关隔离的详细信息,请参阅 VPN 与隔离

当 ISA 服务器处理规则,以确定是否允许来自 VPN 客户端的请求时,将使用 VPN 凭据。

防火墙客户端与 Web 代理客户端

如果 ISA 服务器配置为 VPN 服务器并充当防火墙客户端的防火墙服务器,那么安装了防火墙客户端的 VPN 客户端计算机将使用 ISA 服务器内部网络接口的端口 1745。有关防火墙客户端的详细信息,请参阅防火墙客户端

类似地,如果 ISA 服务器配置为 VPN 服务器并充当 Web 代理客户端的代理服务器,那么将 ISA 服务器用作代理的 VPN 客户端计算机将使用 ISA 服务器内部网络接口的端口 8080。有关 Web 代理客户端的详细信息,请参阅 Web 代理客户端

默认情况下,如果定义允许从 VPN 客户端网络访问内部网络的规则,将允许访问所有端口。但是,如果选择限制端口,则必须允许访问端口 1745(对于防火墙客户端)和 8080(对于 Web 代理客户端)。

配置为防火墙客户端的 VPN 客户端计算机将在身份验证时提供防火墙客户端凭据(已登录的用户),而不是 VPN 会话凭据。基于 VPN 凭据的访问规则将生效。

连接到 ISA 服务器的防火墙客户端无法连接到另一台 VPN 服务器。这是因为防火墙客户端应用程序通过 ISA 服务器发送所有通讯,其中包括 VPN 通讯。因此,在连接到 VPN 服务器时应禁用防火墙客户端。或者,在为防火墙客户端配置的网络中包括远程网络中的所有地址。




请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。