■河南 郭建伟

搭建所需的网络环境

在Windows Server 2008中，支持的远程访问协议为PPP点对点协议。当VPN客户端连接到VPN服务器时，需要对其身份进行验证，只有验证成功，用户才有权利访问内网资源。其支持MS-CHAP v2、EAP-TLS、PEAPTLS、EAP-MS-CHAP v2等身份验证协议。

为了保证数据传输的安全性，客户端和服务器之间传输的数据必须经过加密。Windows Server 2008支持PPTP、L2TP/IPSec、SSTP、IKEv2等VPN协议。这里以IKEv2协议为例，来简单说明其配置方法。

为了便于说明，本例中假设内部网络中存在IP为192.168.3.1的域控制器，在其Active Directory数据库中存储着域账户信息，VPN客户端将利用对应的域账户连接VPN服务器。在该机上同时安装了DNS服务器，域名为xxx.com，不仅用来支持活动目录，而且对内网和VPN客户端提供域名服务。在域控安装了DHCP和WINS服务器，用来给VPN客户端分配IP，同时在指定的服务器上安装企业根CA和IIS组件，用来颁发证书。VPN服务器需要安装两块网卡，一块连接局域网，一块连接Internet。在其上安装并配置好安装远程和路由访问角色。

创建IKE v2VPN服务器

IKEv2协议采用的是IPSec信道模式，使用UDP 500端口，使用3DES或者AES加密数据。其利用IKE v2 MOBIKE（Mobility and Multihoming Protocol）协议提供的功能，允许移动客户通过VPN连接内网。Windows 2008/7通过使用VPN Reconnect功能，来支持IKEv2协议。

和上述几个VPN协议不同，借助于VPN Reconnect功能，当网络连接中断后，即使经过一段时间，当网络连接恢复后，VPN连接通道会自动恢复运行，无需用户手工重新建立VPN连接，这对于移动用户来说是很有利的。

例如，当用户使用笔记本电脑移动上网，在不同的环境中切换不同的无线连接后，VPN通道照样保持连接状态。IKEv2 VPN服务器需要向CA申请和安装证书，虽然VPN客户端不需要使用计算机证书。但是IKE v2 服务器使用的证书需要包含服务器验证和IPIKE中继证书，因为企业根CA没有提供这些数据，需要我们手工建立对应的证书模板。

在证书颁发机构窗口左侧选择“证书模板”项，在其右键菜单中点击“管理”项，在证书模板控制台窗口右侧选择选择某个证书（例如“IPSec”等），右击“复制模板”项，在弹出窗口中选择“Windows Server 2003 Enterprise”项，这是为了提高证书模板可用性。

点击“确定”按钮，在“证书模板→属性→常规→模板显示名称”栏中输入其名称，例如“VPNCXL”。在“请求处理”面板中选择“允许导出私钥”项，在“请求者名称”面板中选择“在请求中提供”项，在“扩展”面板中选择“应用程序策略”项，点击“编辑”按钮，在编辑应用程序策略扩展窗口中点击“添加”按钮，分别添加“IP安全 IKE中级”和“服务器身份验证”项。在扩展面板中选择“密钥用法”项，点击“编辑”按钮，在弹出窗口中选择“数字签名”项，点击“确定”，保存模板信息。

在证书颁发机构左侧选择“证书模板”项，在其右键菜单上点击“新建→要颁发的证书模板”项，在启用证书模板窗口中选择上述证书模板（例如“VPNCXL”），点击“确定”，完成所需的操作。VPN服务器必须信任由CA发放的证书，即需要将CA证书安装到VPN服务器中。因本例中为VPN已经加入域，而与成员会自动信任企业CA，所以VPN服务器已经信任该CA。

因为IKEv2 VPN服务器需要安装服务器身份验证和IP安全IKE中级证书，我们已经将其包含在新建的证书模板中，所以需要向企业根CA服务器申请该证书。运行“mmc”命令，在控制台窗口左侧选择“证书→个人”项，在其右键菜单上点击“所有任务→申请新证书”项，依次点击“下一步”，在证书注册窗口中选择“显示所有模板”项，显示所有的证书模板项目。

在其中的“VPNCXL”证书项右侧“详细信息”图标，选择“扩展面板→属性→使用者→类型→公用名”项，在“值”栏中输入VPN服务器名称（例如vpn.xxx.com）。点击“添加”按钮，便于VPN客户端利用VPN服务器网址名称进行访问。在证书注册窗口中选择“VPNCXL”项，点击“注册”按钮，完成证书的申请和安装操作。之后重启路由和远程访问服务即可。

创建IKE v2VPN客户端连接

IKEv2 VPN客户端虽然不需要安装证书，但是需要信任CA发放的证书。最直接的方法是在VPN服务器上打开上述证书管理控制台界面，选择“个人→证书”项，将VPN服务器的证书导出，得到后缀为“.pfx”的文件选择“受信任的根证书颁发机构→证书”项，将企业CA证书导出，保存为后缀为“.cer”的文件。之后在VPN客户机上打开证书管理控制台界面，分别导入上述证书即可。

为了顺利连接VPN服务器，需要将VPN服务器的外网卡地址解析到VPN的网址上，例如，可以在VPN客户端使用记事本打开“C:WindowsSystem32driversetc”下的“hosts”文件，分别输入“x.x.x.x vps.xxx.com”映射关系项目，“x.x.x.x”表示外网卡地址。“vps.xxx.com”表示VPN服务器网址，来实现简单的域名和IP解析操作。

在客户端打开网络和共享中心窗口，点击“设置新的连接或网络”连接，选择“连接到工作区”项，选择“使用我的Internet连接（VPN）”项，在打开窗口中输入VPN服务器的域名或IP地址以及目标名称，在下一步窗口中输入用于VPN拨入的账户名和密码，在“域”栏中输入域名，关闭配置窗口。客户端打开在网络和共享中心窗口中点击“连接到网络”项，在弹出面板中显示所有的连接项目。

在上述VPN连接项目的右键菜单上点击“属性”项，在其属性中的常规面板中的“目的地主机名或IP地址”栏中输入VPN服务器的DNS域名，即vps.xxx.com。在安全面板中的“VPN类型”列表中选择“IKEv2”项，点击“高级设置”按钮，在弹出窗口中的选择“移动性”项，在“网络中断时间”列表中选择具体的时间，默认为30分钟，范围从5分钟到8小时。

只要网络中断的时间不超过该值，就会自动恢复VPN连接。点击“确定”保存配置。之后双击该VPN连接项目，就可以和VPN服务器建立连接了。当连接成功后，在VPN连接项目的属性窗口中打开“详细信息”面板，在“设备名”栏中显示“WAN Miniport（IKEv2）”。如果VPN客户端没有配置VPN主机名，没有安装CA证书，VPN客户端都无法顺利连接VPN服务器。

使用网络策略，管控VPN连接

为提高安全性，VPN服务器有时需要对用户访问进行必要控制，例如指定用户可以连接的时间段，让指定组中的用户才可以连接服务器等。

这涉及到网络策略的配置问题，在VPN服务器上打开路由和远程访问窗口，在服务器名称下选择“远程访问日志与策略”项，在右键菜单上点击“启动NPS”项，在右侧窗口显示已有的网络策略。

按照排列顺序，越靠前的网络策略拥有的优先权越高。在VPN客户端连接VPN服务器时，系统会使用这些网络策略对其进行检测，检测顺序从上到下按照优先级进行，只有任意一个网络策略出现问题，VPN服务器就会拒绝用户的连接请求。

例如，在域控制器中打开Active Directory用户和计算机窗口，双击用于VPN访问的账户，在其属性窗口中的“拨入”面板中如果选择“通过NPS网络策略控制访问”项，那么在上述网络策略列表中双击“到Microsoft 路由和远程访问服务器的连接”项，选择“属性→概述→拒绝访问”项，那么客户端是无法连接VPN服务器的。

注意，如果该账户使用电话拨号，可以在其属性窗口中的“拨入”面板中选择“验证呼叫号”项没输入对应的电话号码，如果用户使用别的电话号码拨入，将拒绝访问。当然，我们可以根据需要创建新的网络策略。例如，在网络策略服务器窗口左侧选择“策略→网络策略”项，在其右键菜单上点击“新建”项，在向导界面中的“策略名称”栏目中输入策略名（例如“新的策略”），选择“网络访问服务器类型”项，在列表中选择“Remote Access Server（VPN-Dial up）”项，表示需要使用VPN进行远程访问。

点击“下一步”按钮，在指定条件窗口中点击“添加”按钮，在选择条件窗口中选择“用户组”项，点击“添加”按钮，在用户组窗口中点击“添加组”按钮，导入名为ycfw账户组。这样，只有该组中的账户才可以连接VPN服务器。在选择条件窗口中选择“NAS端口类型”，点击“添加”按钮，在RAS端口类型窗口中选择“Virtual（VPN）”项，表示只允许使用VPN连接的用户访问服务器。在向导界面中的“指定访问权限”窗口中选择“已经授予访问权限”项，点击“下一步”按钮，在配置身份验证方法窗口中选择安全级别的身份验证法方法。

例如，可以选择“Microsoft加密身份验证版本2”项，表示只允许使用该方法来自验证用户身份。选择“用户可以在密码过期后更改密码”项，可以用户在密码过期时更改密码。在下一步的“配置约束”窗口左侧选择“日期时间限制”项，点击“编辑”按钮，可以在弹出窗口中设置允许访问的时间段，其设置图标的横坐标为小时数，纵坐标为星期数。这样客户端就只能在每天规定的时间段中访问VPN服务器，之外的时间段是禁止访问的。

在向导界面中点击“下一步”按钮，在配置设置窗口左侧选择“加密”项，在右侧窗口取消“无加密”项的选择状态，选择“基本加密（MPPE 40位）”“加强型加密（MPPE 56位）”“最强加密（MPPE 128位）”等项，来指定VPN连接加密方式。点击“完成”按钮，创建该网路访问策略。在网络策略服务器窗口左侧选择“网络策略”项，在右侧选中上述策略项目，在其右键菜单上点击“上移”项，将其移动到列表最顶端，让其拥有最高的优先级。

这样，当客户端访问VPN服务器时，必须符合该网络策略的要求方可。

【更正】第1期“信息安全”栏目第115页《基于ISA Server和虚拟化技术的学校网站防护》的作者更正为“山东周蓉”，特此说明。