隔离控制概述
隔离控制通过在允许远程客户端(也称为虚拟专用网络 (VPN) 客户端)访问网络之前限制其处于隔离模式,来为其提供阶段性的网络访问。在使客户端计算机配置与组织的特定隔离限制一致或确定其满足这一条件之后,便会根据您指定的隔离类型将标准的 VPN 策略应用到该连接。例如,隔离限制可能指定安装特定的防病毒软件,并使其在远程客户端连接到网络时启用。尽管隔离控制并不防范攻击者,但是已授权的用户在访问网络前,其计算机配置可以得到验证,如有必要,也可以得到更正。还可以使用一个计时器设置,指定在客户端不满足配置要求的情况下连接断开的时间间隔。
使用 ISA 服务器,可以选择如何启用隔离模式:
- 使用 RADIUS 服务器策略启用隔离模式。只有在 ISA 服务器所安装在的计算机运行 Microsoft® Windows Server™ 2003 家族的成员时,才能使用该选项。如果选择“按照 RADIUS 服务器策略进行隔离”选项,则当 VPN 客户端尝试连接时,ISA 服务器会判断是否对该客户端实行隔离。在客户端解除隔离控制后,将无条件地加入到 VPN 客户端网络中。
- 使用 ISA 服务器启用隔离模式。选择该选项后,便可以使用被隔离的 VPN 客户端网络,并且可以对该网络设置防火墙策略。该选项不要求路由和远程访问功能,因此在 ISA 服务器安装到运行 Windows® 2000 Server 的计算机后便可以使用。
还可以选择禁用隔离模式。
有关说明,请参阅启用隔离控制。
可以借助隔离控制选项来控制 VPN 客户端符合您公司的安全要求。请注意,在隔离模式被禁用时,具有适当身份验证权限的所有远程 VPN 客户端都放置在 VPN 客户端网络中,并具有您在防火墙策略中为 VPN 客户端网络所授予的访问权限。
ISA 服务器的隔离控制与路由和远程访问协同工作,提供了一种限制 VPN 客户端访问公司网络的方式。使用 ISA 服务器,可以要求通过限定的防火墙策略将新连接的 VPN 客户端分配给隔离的 VPN 客户端网络,直到客户端的连接管理器指出该客户端符合公司连接策略。
隔离控制依赖于您为 VPN 客户端创建的连接管理器 (CM) 配置文件。CM 配置文件是使用 Windows Server 2003 和 Windows 2000 Server 所提供的连接管理器管理工具包 (CMAK) 创建的。CM 配置文件包含:
- 连接后操作,运行使用 CMAK 创建 CM 配置文件时所配置的网络策略需求脚本。
- 网络策略需求脚本(对远程访问客户端计算机执行验证检查,以确认它符合网络策略)。这可以是自定义的可执行文件,也可以是简单的命令文件(也称批处理文件)。在该脚本已成功运行,并且连接方计算机满足所有的网络策略需求(由该脚本确认)后,该脚本将使用适当的参数运行通知程序组件(可执行文件)。如果该脚本未成功运行,那么它应将远程访问用户定向到隔离资源(例如,描述如何安装符合网络策略所需组件的内部网页)。
- 通知程序组件,将表示脚本已成功执行的消息发送到兼容隔离的 ISA 服务器计算机。既可以使用您自己的通知程序组件,也可以使用 Rqc.exe,后者是 Windows Server 2003 资源工具包所提供的示例。安装了这些组件后,作为连接设置的一部分,远程访问客户端计算机使用 CM 配置文件来执行网络策略要求测试,并向 ISA 服务器计算机指出测试成功。
注意
- 要使用 ISA 服务器策略建立 VPN 连接,必须在远程访问策略 (RAP) 中禁用隔离功能。RAP 既可能存储在远程身份验证拨入用户服务 (RADIUS) 服务器上,也可能存储在 Windows 身份验证提供方。请执行下列操作:
- 打开“计算机管理”并展开“路由和远程访问”节点。
- 选择“远程访问策略”。
- 在详细信息窗格中,双击每个策略打开其属性,然后单击“编辑配置文件”。
- 在“高级”选项卡上,将 MS-Quarantine-IPFilter 与 MS-Quarantine-Session-Timeout 从属性列表中删除。
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。