IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)安全防火墻技術(shù) → 在ISA中利用Radius服務(wù)器搭建VPN服務(wù)器

在ISA中利用Radius服務(wù)器搭建VPN服務(wù)器

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

前面我們介紹的幾種VPN都是在域環(huán)境下利用ISA2006 server實(shí)現(xiàn)的。今天我們來介紹一下不在域環(huán)境下使用VPN,這種方法是需要一個(gè)服務(wù)器-------VPN配合使用的身份驗(yàn)證服務(wù)器:Radius服務(wù)器。
RADIUS:Remote Authentication Dial In User Service,遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)由RFC2865,RFC2866定義,是目前應(yīng)用最廣泛的AAA協(xié)議。
RADIUS是一種C/S結(jié)構(gòu)的協(xié)議,它的客戶端最初就是NAS(Net Access Server)服務(wù)器,現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。RADIUS協(xié)議認(rèn)證機(jī)制靈活,可以采用PAP、 CHAP或者Unix登錄認(rèn)證等多種方式。RADIUS是一種可擴(kuò)展的協(xié)議,它進(jìn)行的全部工作都是基于Attribute-Length-Value的向量進(jìn)行的。RADIUS也支持廠商擴(kuò)充廠家專有屬性。
由于RADIUS協(xié)議簡單明確,可擴(kuò)充,因此得到了廣泛應(yīng)用,包括普通電話上網(wǎng)、ADSL上網(wǎng)、小區(qū)寬帶上網(wǎng)、IP電話、VPDN(Virtual Private Dialup Networks,基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務(wù))、移動電話預(yù)付費(fèi)等業(yè)務(wù)。最近IEEE提出了802.1x標(biāo)準(zhǔn),這是一種基于端口的標(biāo)準(zhǔn),用于對無線網(wǎng)絡(luò)的接入認(rèn)證,在認(rèn)證時(shí)也采用RADIUS協(xié)議。
radius 服務(wù)器對用戶的認(rèn)證過程通常需要利用nas 等設(shè)備的代理認(rèn)證功能,radius 客戶端和radius 服務(wù)器之間通過共享密鑰認(rèn)證相互間交互的消息,用戶密碼采用密文方式在網(wǎng)絡(luò)上傳輸,增強(qiáng)了安全性。radius 協(xié)議合并了認(rèn)證和授權(quán)過程,即響應(yīng)報(bào)文中攜帶了授權(quán)信息。
clip_image001
基本交互步驟如下:
(1) 用戶輸入用戶名和口令;
(2) radius 客戶端根據(jù)獲取的用戶名和口令,向radius 服務(wù)器發(fā)送認(rèn)證請求包(access-request)。
(3) radius 服務(wù)器將該用戶信息與users 數(shù)據(jù)庫信息進(jìn)行對比分析,如果認(rèn)證成功,則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包(access-accept)發(fā)送給radius 客戶端;如果認(rèn)證失敗,則返回access-reject 響應(yīng)包。
(4) radius 客戶端根據(jù)接收到的認(rèn)證結(jié)果接入/拒絕用戶。如果可以接入用戶,則radius 客戶端向radius 服務(wù)器發(fā)送計(jì)費(fèi)開始請求包(accounting-request),status-type 取值為start;
(5) radius 服務(wù)器返回計(jì)費(fèi)開始響應(yīng)包(accounting-response);
(6) radius 客戶端向radius 服務(wù)器發(fā)送計(jì)費(fèi)停止請求包(accounting-request),status-type 取值為stop;
(7) radius 服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包(accounting-response)。
大致的拓?fù)淙缦拢篵eijing為ISA服務(wù)器,Radius客戶端,Istanbul為外網(wǎng)的測試機(jī)。Florence為內(nèi)網(wǎng)的域控制器、Radius服務(wù)器。
clip_image002
一、安裝Radius服務(wù)器
首先我們讓域控制器做Radius服務(wù)器,在域控制器上打開控制面板選擇"網(wǎng)絡(luò)服務(wù)"中的"Interent驗(yàn)證服務(wù)",來安裝Radius服務(wù)器
clip_image003
二、配置Radius服務(wù)器
安裝完成后我們來配置一下Radius服務(wù)器,如圖在Florence上打開Interent驗(yàn)證服務(wù)
clip_image004
右擊"新建Radius客戶端"
clip_image005
輸入一個(gè)名稱以及客戶端的IP地址,因?yàn)槲覀円訧SA服務(wù)器為客戶端,所以這輸入ISA服務(wù)器內(nèi)網(wǎng)網(wǎng)卡的IP地址。
clip_image006
因?yàn)檫@是微軟的軟件,所以供應(yīng)商選擇"Microsoft"。設(shè)置Radius服務(wù)器和客戶端的共享密碼。Radius服務(wù)器和客戶端依靠這個(gè)密碼進(jìn)行身份驗(yàn)證。就是Radius服務(wù)器生成一個(gè)隨機(jī)字符串,然后用這個(gè)共享口令加密,接著Radius服務(wù)器會把加密后的密文傳給客戶端,要求客戶端對密文解密后再回傳給服務(wù)器,如果客戶端回送的內(nèi)容和原始的隨機(jī)字符串一樣,那客戶端就通過了身份驗(yàn)證。輸入完畢后點(diǎn)擊"完成"完成客戶端的創(chuàng)建。
clip_image007
接下來我們啟用Radius服務(wù)器的遠(yuǎn)程訪問記錄,來看看客戶端是怎么連接到Radius服務(wù)器的,點(diǎn)擊"遠(yuǎn)程訪問記錄"中的"本地文件"屬性
clip_image008
勾選"身份驗(yàn)證請求"
clip_image009
接著切換到日至選項(xiàng)卡下,日至的存放路徑是"c:\windows\system32\LogFiles"文件中,創(chuàng)建新日志文件默認(rèn)的是"每月",我們改為"每天"。點(diǎn)擊確定
clip_image010
三、創(chuàng)建ISA訪問規(guī)則與配置ISA服務(wù)器
接下來要進(jìn)行的是創(chuàng)建一條ISA服務(wù)器的訪問規(guī)則。右擊"防火墻策略",選擇"訪問規(guī)則"
clip_image012
輸入訪問規(guī)則名稱
clip_image013
選擇"允許"
clip_image014
這里我們選擇所有的出站通訊
clip_image015
點(diǎn)擊右上角的"添加",選擇"VPN客戶端",這是訪問源地址
clip_image016
接下來內(nèi)部地址我們選擇"內(nèi)部"
clip_image017
所有用戶
clip_image018
點(diǎn)擊"完成",完成ISA服務(wù)器訪問規(guī)則的創(chuàng)建
clip_image019
下面我們來配置ISA中的VPN網(wǎng)絡(luò),點(diǎn)擊VPN選項(xiàng)卡中的&qu

關(guān)鍵詞標(biāo)簽:ISA,Radius服務(wù)器,VPN

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 Windows 7自帶防火墻使用全攻略 Windows 7自帶防火墻使用全攻略 安全手冊:選擇硬件防火墻應(yīng)注意十件事 安全手冊:選擇硬件防火墻應(yīng)注意十件事 CISCO ASA防火墻ASDM配置 CISCO ASA防火墻ASDM配置 juniper防火墻之恢復(fù)出廠默認(rèn)設(shè)置 juniper防火墻之恢復(fù)出廠默認(rèn)設(shè)置

相關(guān)下載

人氣排行 Juniper防火墻之圖解L2TP over IPSEC juniper防火墻之恢復(fù)出廠默認(rèn)設(shè)置 CISCO ASA防火墻ASDM配置 在ISA中利用Radius服務(wù)器搭建VPN服務(wù)器 圖形界面工具搞定linux/unix防火墻 JUNOS 5.5版本到5.6版本升級心得 使用Firewall Builder設(shè)置防火墻 juniper的硬件和體系結(jié)構(gòu)