فناوری SSL VPN-Plus به شما امکان می دهد تا به کارمندان از راه دور دسترسی به مرکز داده ابری خود ارائه دهید. با این کار ، کارمندان فقط به منابعی که برای این کار ضروری به نظر برسند ، دسترسی ایمن می یابند ، حتی اگر دسترسی از یک دستگاه دولتی است که خارج از کنترل شرکت است و "غیر قابل اعتماد" محسوب می شود.

در این مقاله اطلاعات مربوط به راه اندازی ارائه شده است SSL VPN-Plus.

توپولوژی مورد استفاده:

1. در بخش "مدیریت" به مرکز داده مورد نظر بروید. در فهرست تنظیمات ظاهر شده ، به برگه بروید "لبه دروازه"... "vShield Edge" مورد نظر را انتخاب کنید. راست کلیک کرده و در منوی ظاهر شده گزینه را انتخاب کنید خدمات لبه دروازه.

1. برگه را باز کنید SSL VPN-Plusبرو به برگه تنظیمات سرور و با فشار دادن کلید سوئیچ ، سرور SSL VPN را فعال کنید فعال شده است.

سپس آدرس IP vShield ، port - 443 را انتخاب می کنیم ، همه الگوریتم های رمزگذاری را تیک بزنید.

1. در برگه پیکربندی مشتری بررسی کنید که انتخاب شده است حالت تونلینگ - تقسیم

1. در برگه کاربران برای هر کارمند اتصال ، جزئیات اتصال را ایجاد می کنیم.

1. در برگه استخرهای IP طیف وسیعی از آدرس های IP را ایجاد کنید که به اتصال رایانه ها اختصاص می یابد

1. در برگه بسته های نصب پارامترهای بسته نصب برنامه مشتری را ایجاد کنید. هنگام دسترسی به آدرس IP Gateway (vShield) ، برنامه مشتری SSL VPN-Plus بارگیری می شود.

با استفاده از علائم انتخابی ، انواع سیستم عاملهایی را انتخاب می کنیم که اتصالات در آنها ایجاد می شود. این برای تولید اولیه بسته های نصب ضروری است.

1. در برگه شبکه های خصوصی ما مجموعه ای از شبکه های مرکز داده ابری را که کارمند متصل به آن دسترسی خواهد داشت ، تعیین می کنیم

1. روی این نصب به پایان رسید... اکنون با دنبال کردن لینک https://195.211.5.130/sslvpn-plus/ و ورود به سیستم ، می توانید برنامه مشتری SSL VPN-plus را بارگیری کرده و به مرکز داده ابری متصل شوید.

منتشر شده در 3 فوریه 2009 توسط No Comments

اگر قسمت های قبلی این مقاله را از دست ندید ، لطفاً بخوانید:

در دو بخش اول این مقاله مقاله در مورد چگونگی ساخت سرور SSL VPN با ویندوز سرور 2008 ، ما برخی از اصول اولیه ساخت VPN ها را پوشش دادیم و سپس در مورد پیکربندی سرور بحث کردیم. در این مرحله ، ما آماده هستیم تا تغییرات جزئی در پیکربندی Active Directory و وب سایت CA را انجام دهیم. پس از ایجاد این تغییرات ، ما بر روی پیکربندی مشتری VPN تمرکز خواهیم کرد و در نهایت اتصال SSL VPN ایجاد خواهیم کرد.

پیکربندی یک حساب کاربری برای استفاده از اتصالات Dial-up

حسابهای کاربری قبل از اتصال به یک سرور ویندوز VPN که بخشی از یک دامنه Active Directory است ، نیاز به مجوز دسترسی به شماره گیری دارند. بهترین راه برای این کار استفاده از سرور Network Policy (NPS) و همچنین اجازه پیش فرض حساب کاربری است که امکان دسترسی از راه دور را بر اساس خط مشی NPS امکان پذیر می کند. با این حال ، در مورد ما ، ما سرور NPS را نصب نکردیم ، بنابراین مجبوریم مجوز کاربر را برای دستیابی به شماره گیری در پیکربندی کنیم.

در مقاله بعدی ، من به استفاده از سرور NPS و تأیید اعتبار گواهی کاربری EAP برای ایجاد اتصالات به سرور SSL VPN می پردازم.

به منظور دسترسی به شماره گیری یک حساب کاربری خاص برای اتصال به سرور SSL VPN ، این مراحل را دنبال کنید. در این مثال ، ما اجازه دسترسی شماره گیری را برای حساب مدیر پیش فرض دامنه فعال می کنیم:

پیکربندی IIS در سرور گواهی نامه برای مجاز کردن اتصالات HTTP برای CRL Directory

به دلایلی ، وقتی جادوگر نصب وب سایت خدمات صدور گواهینامه را نصب می کند ، دایرکتوری CRL را برای درخواست اتصال SSL پیکربندی می کند. اگرچه این از نظر امنیتی ایده خوبی به نظر می رسد ، مشکل اینجاست که شناسه یکسان منابع (URI) موجود در گواهینامه برای استفاده از SSL پیکربندی نشده است. تصور می کنم شما می توانید خودتان یک CDP برای گواهی نامه ایجاد کنید تا بتواند از SSL استفاده کند ، اما من شرط می بندم مایکروسافت هرگز به هیچ عنوان در این مورد اشاره نکرده است. از آنجا که ما در این مقاله از پارامترهای پیش فرض CDP استفاده می کنیم ، لازم است SSL را در مسیر فهرست CRL در وب سایت CA غیرفعال کنیم.

برای غیرفعال کردن نیاز SSL برای CRL ، این مراحل را دنبال کنید:

پیکربندی پرونده HOSTS برای مشتری VPN

اکنون می توانیم کاملاً مورد توجه مشتری VPN قرار دهیم. اولین کاری که باید با مشتری انجام دهیم پیکربندی پرونده HOSTS است تا بتوانیم یک زیرساخت عمومی DNS را شبیه سازی کنیم. دو نام وجود دارد که باید آنها را در پرونده HOSTS قرار دهیم (همین کار را باید برای سرور عمومی DNS انجام دهید که در شبکه های تولید از آنها استفاده خواهید کرد). نام اول نام سرور VPN است ، همانطور که با نام مشترک / موضوع گواهی تعیین شده به سرور SSL VPN تعیین می شود. نام دوم که ما باید وارد پرونده HOSTS (و سرور عمومی DNS) شویم ، نام URL CDP است که در گواهینامه موجود است. ما در قسمت دوم این سریال ، مکان اطلاعات CDP را پوشش داده ایم.

دو نامی که باید در این مثال وارد پرونده HOSTS شوند:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

برای پیکربندی پرونده HOSTS برای مشتری Vista SP1 VPN این مراحل را دنبال کنید:

1. پرونده را ببندید و گزینه را انتخاب کنید ذخیره تغییرات.

با استفاده از PPTP برای اتصال به سرور VPN

ما به تدریج به ایجاد اتصال SSL VPN نزدیک می شویم! قدم بعدی ایجاد کانکتور VPN در سرویس گیرنده Vista SP1 است که به ما امکان می دهد یک اتصال اولیه VPN به سرور VPN ایجاد کنیم. در مورد ما ، این کار باید انجام شود زیرا رایانه مشتری عضو دامنه نیست. از آنجا که دستگاه عضو دامنه نیست ، گواهینامه CA به طور خودکار در فروشگاه معتبر گواهینامه ریشه آن نصب نمی شود. اگر دستگاه عضو یک دامنه باشد ، از آنجا که ما Enterprise CA را نصب کردیم ، ثبت نام خودکار از این مسئله مراقبت می کند.

ساده ترین راه برای انجام این مرحله ایجاد اتصال PPTP از سرویس گیرنده Vista SP1 VPN به سرور Windows VPN 2008 VPN است. به طور پیش فرض ، سرور VPN از اتصالات PPTP پشتیبانی می کند ، و مشتری قبل از امتحان کردن L2TP / IPSec و SSTP ، ابتدا PPTP را امتحان می کند. برای انجام این کار ، ما باید یک اتصال دهنده VPN یا یک اتصال اتصال ایجاد کنیم.

این مراحل را برای ایجاد کانکتور مشتری VPN دنبال کنید:

اخذ گواهینامه CA از Enterprise CA

مشتری SSL VPN باید به CA که گواهی استفاده شده توسط سرور VPN را صادر کرده است اعتماد کند. برای ایجاد این اعتماد ، باید یک گواهی CA را در CA نصب کنیم که مجوز را برای سرور VPN صادر کرده است. ما می توانیم این کار را با اتصال به وب سایت ثبت نام CA در اینترانت و نصب گواهی مشتری VPN در فروشگاه معتبر گواهینامه های ریشه خود انجام دهیم.

برای به دست آوردن گواهینامه از سایت ثبت نام ، این مراحل را دنبال کنید:

1. فشار دادن نزدیک در کادر گفتگو
2. نزدیک اینترنت اکسپلورر.

حال باید گواهینامه CA را به فروشگاه معتبر گواهی مجوز معتبر Rooted Root دستگاه VPN نصب کنیم. برای این کار باید موارد زیر را انجام دهید:

1. کنسول MMC را ببندید.

پیکربندی مشتری برای استفاده از SSTP و اتصال به سرور VPN از طریق SSTP

و اکنون تقریباً تمام شده اید! حال باید اتصال VPN را جدا کنیم و مشتری VPN را پیکربندی کنیم تا از SSTP برای پروتکل VPN استفاده کند. در یک محیط تولید ، دیگر نیازی به استفاده از این مرحله برای کاربران نخواهید داشت ، زیرا شما از کیت مدیریت اتصال Connection Manager برای ایجاد یک شی اتصال VPN برای کاربر استفاده خواهید کرد که شامل یک مشتری با استفاده از SSTP خواهد شد ، یا فقط درگاه های SSTP را روی سرور VPN پیکربندی خواهید کرد.

همه اینها به پیکربندی محیط بستگی دارد ، زیرا باید زمان اختصاص دهید تا کاربران بتوانند در حین نصب گواهینامه ها از مدرک PPTP استفاده کنند. البته می توانید مجوزهای CA را در خارج از شبکه نصب کنید ، یعنی با بارگیری از وب سایت و یا از طریق ایمیل ، در این صورت مجبور نیستید به کاربران PPTP اجازه دهید. اما پس از آن ، اگر برخی از مشتری ها از SSTP پشتیبانی نمی کنند ، باید PPTP یا L2TP / IPSec را فعال کنید ، و نمی توانید تمام پورت های غیر SSTP را غیرفعال کنید. در این حالت ، شما باید به پیکربندی دستی یا یک بسته CMAK به روز شده اعتماد کنید.

گزینه دیگر در اینجا اتصال مشتری SSTP به یک آدرس IP خاص در سرور RRAS است. در این حالت ، شما می توانید یک بسته CMAK سفارشی ایجاد کنید که فقط به آدرس IP در سرور SSL VPN اشاره دارد که برای اتصال های SSTP ورودی از شبکه گوش می دهد. آدرسهای دیگر روی سرور SSTP VPN برای اتصالات PPTP و / یا L2TP / IPSec در شبکه گوش فرا می دهند.

برای جدا کردن جلسه PPTP و پیکربندی شی اتصال اتصال مشتری VPN برای استفاده از SSTP ، این مراحل را دنبال کنید:

شکل 29

نتیجه

در این قسمت آخر سری ما در مورد چگونگی جمع کردن سرور SSL VPN با استفاده از ویندوز سرور 2008 ، تنظیم حساب کاربری ، وب سایت CRL و سرویس گیرنده SSL VPN را به پایان رسانده ایم. ما همچنین ایجاد اتصال SSTP را به پایان رساندیم و تأیید کردیم که موفقیت آمیز بوده است. متشکرم!

منبع www.windowsecurance.com

همچنین مشاهده کنید:

نظرات خوانندگان (بدون نظری)

بورس 2007

اگر می خواهید قسمت های قبلی این مقاله را بخوانید ، پیوندها را دنبال کنید: Monitoring Exchange 2007 با مدیر سیستم ...

مقدمه در این مقاله چند بخشی ، می خواهم روشی را که اخیراً برای مهاجرت از یک محیط موجود Exchange 2003 استفاده کردم ، برای شما نشان دهم ...

اگر قسمت اول این سری را از دست ندادید ، لطفاً آن را با استفاده از ابزار آنالیزور اتصال از راه دور Exchange Server Server (قسمت ...

در حال حاضر دو نوع VPN سفارشی وجود دارد:
SSL VPN و IPSec VPN و هر یک از آنها مزایا و معایب خاص خود را دارد.

مهمترین مزیت SSL VPN سهولت اجرای آن است: کلیه مرورگرها از SSL پشتیبانی می کنند ، همه ارائه دهندگان SSL را مجاز و محدود نمی کنند.
برخی از انواع دسترسی SSL VPN را می توان با هر نوع مرورگر و بر روی هر پلتفرمی انجام داد.

IPSec VPN یک پروتکل امن تر در نظر گرفته می شود.

SSL و TLS

مفاهیم SSL و TLS در ادبیات فنی بسیار متداول است.

هر دو پروتکل هستند پروتکل های رمزنگاریارائه انتقال داده ایمن از طریق اینترنت (پست الکترونیکی ، مرور وب ، پیام رسانی فوری).
پروتکل ها خدمات محرمانه ، یکپارچگی ، تأیید اعتبار را ارائه می دهند.
SSL و TLS در یک سطح کار می کنند Session Layer مدل های OSI یا بالاتر.
پروتکل ها می توانند استفاده کنند زیرساخت کلید عمومی (PKI) و همچنین گواهینامه های تأیید اعتبار و انتقال کلیدهای متقارن به یکدیگر.
آنها مانند IPSec از کلیدهای متقارن برای رمزگذاری داده ها استفاده می کنند.

بیشترین انتقال امن مرورگر از طریق SSL یا TLS انجام می شود.
SSL در ابتدا توسط Netscape توسعه یافته بود.
TLS توسعه بیشتر SSL است و همچنین استانداردی است که توسط آن ساخته شده است کارگروه مهندسی اینترنت (IETF).
به عنوان مثال TLS 1.0 مبتنی بر SSL3.0 است.
استفاده از SSL یا TLS دقیقاً مربوط به خود مرورگرها است: TLS ترجیح داده می شود ، اما امکان تغییر در SSL وجود دارد.

بنابراین ، مهم است که درک کنیم که وقتی از اصطلاح SSL استفاده می کنیم منظور SSL یا TLS هستیم.
به عنوان مثال ، سیسکو SSL VPN در واقع از TLS استفاده می کند.

عملیات SSL

بنابراین ، SSL در بیشتر سرویس های آنلاین که نیاز به امنیت دارند استفاده می شود.
بیایید نگاهی به گام داشته باشیم که چه اتفاقی می افتد وقتی مشتری با استفاده از SSL به سرور بانکی وصل می شود:

• مشتری اتصال به سرور را در آدرس IP و پورت 443 خود آغاز می کند. منبع به ترتیب IP مشتری و یک درگاه بالاتر از 1023 است.
• یک فرایند اتصال TCP استاندارد در حال استفاده است لرزش سه طرفه
• مشتری اتصال SSL را درخواست می کند و سرور با ارسال گواهی دیجیتالی خود ، که شامل آن است ، پاسخ می دهد کلید عمومی از این سرور
• مشتری پس از دریافت گواهینامه ، تصمیم می گیرد به این گواهی اعتماد کند یا خیر.
  این جایی است که مکانیسم های PKI به مرحله اجرا در می آیند.
  اگر گواهی دیجیتالی توسط یک CA امضا شده باشد که مشتری به آن اعتماد کند + گواهی تا تاریخ معتبر است + شماره سریال گواهی ذکر نشده است لیست ابطال مجوز (CRL) - مشتری می تواند به گواهی اعتماد کند و از آن استفاده کند کلید عمومی این گواهی
• مشتری یک کلید متقارن تولید می کند راز مشترکمورد استفاده برای رمزگذاری داده ها بین مشتری و سرور. مشتری سپس رمزگذاری می کند راز مشترک استفاده كردن کلید عمومی و آن را به سرور ارسال می کند.
• سرور با استفاده از شما کلید خصوصی، کلید متقارن حاصل را رمزگشایی می کند راز مشترک.
• هر دو طرف اکنون می دانند راز مشترک و می تواند جلسه SSL را رمزگذاری کند.

انواع SSL VPN

SSL VPN را می توان به دو نوع تقسیم کرد:

• SSL VPN بدون Client - همچنین به نام وب VPN... نیازی به نصب مشتری ندارد. فرصت های محدود
• کامل سیسکو AnyConnect Client Secure Client SSL VPN Client - یک مشتری SSL تمام عیار که نیاز به نصب نرم افزار روی مشتری دارد ، دسترسی کامل به شبکه شرکت ها را فراهم می کند

راه اندازی SSL VPN

1. کپی پرونده Anyconnect PKG را کپی کنید.
   در مورد ما این است anyconnect-win-3.1.08009-k9.pkg
2. به فایل pkg اشاره کنید و سرویس Webvpn Anyconnect را فعال کنید.
   

   webvpn anyconnect image disk0: /anyconnect-win-3.1.08009-k9.pkg 1 فعال کردن خارجی2 هرگونه اتصال را فعال کنید

3. ترافیک SSL WebVPN را از بررسی برای معاف کنید رابط خارج ACL... ما باید در ACL قوانین مجوز وضع کنیم یا از دستور استفاده کنیم:
   

   msk-asa-01 (پیکربندی) # sysopt اتصال اجازه-vpn

4. برای راحتی ، بیایید یک تغییر مسیر از 80 به 443 تنظیم کنیم:
   

   http تغییر مسیر خارج از 80 80

5. بیایید ایجاد کنیم استخر آدرس IP... این آدرس ها برای کاربران از راه دور صادر می شود.
   

   ip استخر محلی vpnpool_pool 192.168.93.10-192.168.93.254 ماسک 255.255.255.0

6. ما ایجاد می کنیم معافیت طبیعی برای ترافیک بین شبکه LAN و شبکه vpnpool. ما این استثنا را ایجاد می کنیم زیرا ترافیک رمزگذاری شده نباید از NAT عبور کند. اگر این NAT در ASA تنظیم شده باشد ، این مرحله لازم است.
   شبکه شیء vpnpool_obj

   شبکه شیء vpnpool_obj subnet 192.168.92.0 255.255.255.0 شبکه object-group RFC1918_objg network-object 192.168.0.0 255.255.0.0 network-object 172.16.0.0 255.240.0.0 network-object 10.0.0.0 255.0.0.0 nat (در داخل ، خارج) منبع استاتیک RFC1918_objg RFC1918_objg مقصد استاتیک vpnpool_obj vpnpool_obj no-proxy-arp مسیر-جستجوی

7. ما ACL Split-Tunnel را ایجاد می کنیم ، این تنظیم به کاربران امکان می دهد همزمان از طریق VPN از اینترنت استفاده کنند. بدون این تنظیم ، تمام ترافیک در تونل پیچیده می شود.
   

   لیست دسترسی اسپلیت-tunel_acl مجوز استاندارد 192.168.10.0 255.255.255.0

   این تنظیم فقط باعث ترافیک تونل در همان شبکه RFC1918 خواهد شد.

8. ما ایجاد می کنیم خط مشی گروه.
   ما می توانیم چندین Group Policy ایجاد کنیم و در هر یک از آنها ویژگیهای شبکه مانند آدرسهای سرور DNS ، تنظیمات تقسیم تونل ، دامنه پیش فرض ، پروتکل (SSL یا IPSec) و غیره را پیکربندی کنیم.

   خط مشی گروه anyconnect_gp خط مشی گروه داخلی anyconnect_gp ویژگی های dns-server 192.168.10.5 vpn-tunel-protokola ssl-client ssl-clientless split-tunel-policy tunel Specified-split-tunel-network-list مقدار تقسیم-tunel_acl webvpn canconnect-installer allconnect نصب مشتری dpd interval interval 20 canconnect را نصب کنید هیچ کس اتصال پیش فرض را نپرسید

9. بیایید ایجاد کنیم گروه تونل.
   گروه تونل در رابط ASDM به پروفایل اتصال گفته می شود.
   گروه تونل باید شامل خط مشی Group باشد که ما فقط پیکربندی کرده ایم و آن را با استخر آدرس IP ترکیب می کنیم.
   ما می توانیم چندین گروه از این قبیل را ایجاد کنیم و کاربر هنگام ورود به سیستم ، می تواند گروه تونل مورد نظر خود را با تمام مشخصات لازم برای خود انتخاب کند: پارامترهای ارثی از Group Policy + آدرس-استخر

   تونل-گروه vpn-user_tg نوع دسترسی از راه دور تونل-گروه vpn-کاربران_tg کلیه ویژگی ها آدرس-استخر vpnpool_pool به طور پیش فرض-گروه-سیاست anyconnect_gp تونل-گروه vpn-کاربران_tg webvpn-ویژگی های گروه-مستعار vpn_users-alias فعال کردن تونل-وب- لیست را فعال کنید

   دستور آخر به کاربران امکان می دهد گروه تونلی را برای خود انتخاب کنند.
   برای کاربران ، این گروه مانند "vpn_users-alias" به نظر می رسد

آنیک اتصال باید از قبل کار کند - می توانید وارد حساب کاربری خود شوید.

مانیتورینگ SSL VPN

• ASDM: نظارت\u003e VPN\u003e آمار VPN\u003e جلسات
• از CLI:
  

  vpn # نشان بده بیشترین بازدیدکنندگان معتبر فعلی 1 1 Authen In Progress 0 0 دسترسی از راه دور کاربر VPN "vpn_video_user1" در 192.168.92.25 ، لیست دسترسی معتبر # ACSACL # -IP-video_dacl-54ddc357 (*)

  vpn # نمایش لیست دسترسی لیست دسترسی به حافظه ذخیره شده ACL لیست ذخیره شده: تعداد 0 ، رد 0 (انکار جریان-حداکثر 4096) هشدار فاصله بین 300 لیست دسترسی تقسیم-tunel_acl؛ 1 عنصر؛ name hash: 0xb6fb0e access-list split-tunel_acl line 1 اجازه استاندارد 192.168.10.0 255.255.255.0 (hitcnt \u003d 0) 0x13482529-لیست دسترسی # ACSACL # -IP-video_dacl-54ddc357؛ 1 عنصر؛ name hash: 0x6c7d7b7f (پویا) دسترسی به لیست # ACSACL # -IP-video_dacl-54ddc357 خط 1 اجازه تمدید ip any4 host 192.168.10.45 (hitcnt \u003d 0) 0x4ce5deb8

  ببینید چه کسی وارد سیستم شده است

  نمایش خلاصه vpn-sessiond

  نمایش اتصال مجازی vpn-sessiond

  حذف کاربر از vpn:

  vpn-sessiondb logoff name langemakj

شبکه های VPN بسیار جدی وارد زندگی ما شده اند و فکر می کنم مدت طولانی است. این فناوری هم در سازمانها برای متحد كردن دفاتر در یك زیرمجموعه واحد یا برای دسترسی به اطلاعات داخلی برای كاربران موبایل و همچنین در خانه هنگام دسترسی به اینترنت از طریق ارائه دهنده استفاده می شود. به جرات می توان گفت که هر یک از مدیران مطمئن بود که VPN را راه اندازی کند ، دقیقاً همانطور که هر کاربر رایانه ای با دسترسی به اینترنت از این فناوری استفاده می کرد.

در واقع ، در حال حاضر ، فناوری IPSec VPN بسیار گسترده است. مقالات مختلف ، اعم از فنی و تحلیلی ، درباره آن نوشته شده است. اما نسبتاً اخیراً ، فناوری SSL VPN ظاهر شد که هم اکنون در شرکت های غربی بسیار پرطرفدار است اما در روسیه هنوز مورد توجه زیادی قرار نگرفته است. در این مقاله ، من سعی خواهم کرد که چگونه IPSec VPN با SSL VPN و مزایای استفاده از SSL VPN در یک سازمان متفاوت باشد.

IPSecVPN - مزایا و معایب آن

اول از همه من می خواهم توجه شما را به تعریف VPN ، رایج تر جلب کنم - "VPN یک فناوری است که شبکه ها ، گره ها و کاربران قابل اعتماد را از طریق شبکه های باز و قابل اعتماد متصل می کند" (© Check Point Software Technologies).

در واقع ، در مورد سایتهای قابل اعتماد ، IPsec VPN اقتصادی ترین مسیر است. به عنوان مثال ، برای اتصال شبکه های دفاتر راه دور به یک شبکه مشترک ، نیازی به تخلیه یا اجاره خطوط اختصاصی نیست ، بلکه از اینترنت استفاده می شود. در نتیجه ایجاد تونل های ایمن بین شبکه های قابل اعتماد ، یک فضای IP اختصاصی ایجاد می شود.

اما هنگام سازماندهی دسترسی از راه دور برای کارمندان ، راه حل های IPsec برای تعداد محدودی از تنها دستگاه های قابل اعتماد ، به عنوان مثال ، برای لپ تاپ های کاربران شرکت ها استفاده می شود. برای استفاده از IPsec VPN ، سرویس IT باید یک سرویس دهنده VPN را در هر دستگاه قابل اعتماد (که از آن می خواهید دسترسی از راه دور را تهیه کنید) نصب و پیکربندی کنید ، و از این برنامه پشتیبانی کنید. هنگام نصب راه حل های IPsec ، لازم است هزینه "پنهان" آنها همراه با پشتیبانی و نگهداری را در نظر بگیرید ، زیرا برای هر نوع مشتری موبایل (لپ تاپ ، PDA و غیره) و هر نوع محیط شبکه (دسترسی از طریق ارائه دهنده اینترنت ، دسترسی از شبکه شرکت) - مشتری ، دسترسی به استفاده از ترجمه آدرس) به پیکربندی اصلی مشتری IPsec نیاز دارد.

علاوه بر پشتیبانی ، چندین موضوع بسیار مهم نیز وجود دارد:

• همه دستگاه های تلفن همراه مورد اعتماد این شرکت دارای مشتری های VPN نیستند.
• در زیرشاخه های مختلفی که دسترسی به آنها انجام می شود (به عنوان مثال ، شبکه شرکتی یک شریک یا مشتری) ، پورت های لازم بسته می شوند و هماهنگی های بیشتری برای افتتاح آنها لازم است.

هنگام استفاده از SSL VPN چنین مشکلاتی ایجاد نمی شود.

SSLVPN - الگوریتم کار کاربر

فرض کنید شما در یک سفر تجاری هستید ، شرکت شما نتوانسته است برای مدت زمان سفر کاری لپ تاپ را برای شما فراهم کند. اما شما نیاز دارید:

• در حین غیبت از دفتر ، از روند کار خودداری کنید.
• ارسال و دریافت ایمیل؛
• از داده های مربوط به هر سیستم تجاری که در شرکت شما کار می کند استفاده کنید.

در بهترین حالت ، شما باید در شبکه سازمانی که در آن سفر کرده اید ، یک کامپیوتر در شبکه سازمانی داشته باشید که دسترسی به اینترنت فقط از طریق پروتکل http / https و در بدترین حالت ، یک کافی نت معمولی در هتل شما است.

SSL VPN با موفقیت همه این مشکلات را برطرف می کند ، و سطح امنیت برای کار با اطلاعات مهم از کافی نت ها کافی خواهد بود ...
در واقع ، شما موارد زیر را انجام می دهید:

• شما فقط به یک مرورگر اینترنت (Internet Explorer ، FireFox و غیره) نیاز دارید.
• در یک مرورگر وب ، آدرس SSL VPN دستگاه را تایپ کنید.
• سپس یک کامپوننت جاوا یا ActiveX به طور خودکار بارگیری و راه اندازی می شود ، که باعث می شود تأیید اعتبار کنید.
• پس از تأیید اعتبار ، خط مشی های امنیتی مناسب بطور خودکار اعمال می شود:
  • چک کردن کد مخرب انجام می شود (در صورت شناسایی ، مسدود شده است)؛
  • یک محیط بسته برای پردازش اطلاعات ایجاد می شود - کلیه داده ها (از جمله پرونده های موقتی) منتقل شده از شبکه داخلی از رایانه ای که دسترسی بعد از پایان جلسه از آنجا ساخته شده حذف می شود.
  • همچنین ، در طول جلسه ، از وسایل محافظت و کنترل اضافی استفاده می شود.
• پس از موفقیت در طی مراحل امنیتی ، به همه لینکهای لازم "با یک کلیک" دسترسی خواهید یافت:
  • دسترسی به سرورهای پرونده با امکان انتقال فایلها به سرور؛
  • دسترسی به برنامه های وب شرکت (به عنوان مثال ، پورتال داخلی ، Outlook Web Access و غیره)؛
  • دسترسی ترمینال (MS ، Citrix)؛
  • ابزارهای سرپرست (مانند کنسول ssh)؛
  • و ، البته ، امکان وجود یک VPN تمام عیار از طریق پروتکل https (بدون نیاز به نصب و پیکربندی یک مشتری VPN) - پیکربندی مطابق با داده های احراز هویت ، به طور مستقیم از دفتر منتقل می شود.

بنابراین ، استفاده از SSL VPN چندین مشکل را حل می کند:

• ساده سازی چشمگیر روند کار و پشتیبانی کاربر؛
• سازمان دسترسی ایمن به اطلاعات مهم سایتهای غیر قابل اعتماد؛
• امکان استفاده در هر دستگاه تلفن همراه و همچنین در هر رایانه (از جمله کیوسک های اینترنت) با دسترسی به اینترنت (بدون نصب اولیه و تنظیمات نرم افزار ویژه).

SSLVPN - فروشندگان و ویژگی ها

بازار SSL VPN تحت سلطه راه حل های سخت افزاری است. ارائه دهندگان راه حل SSL VPN شامل کلیه تولید کنندگان شناخته شده تجهیزات شبکه فعال می باشد:

• سیسکو
• هوآوی
• درخت عرعر
• نوکیا
• و غیره.

در میان پیاده سازی نرم افزار ، متخصصان شرکت الاتوس راه حل مبتنی بر آن را تشخیص می دهند SSL Explorer شرکت 3SP با مسئولیت محدودکه از نزدیک با نیاز مشتری مطابقت دارد.

من همچنین می خواهم یک جدول با مقایسه قابلیت های IPSec VPN و SSL VPN ارائه دهم:

مشخصه	IPSec VPN
پشتیبانی برنامه
پشتیبانی از برنامه های تجاری
پشتیبانی از برنامه های HTTP
پشتیبانی از دسترسی به سرور پرونده
پشتیبانی دسترسی ترمینال
معماری شبکه
رایانه شخصی
رایانه موبایل
کار از یک شبکه شخص ثالث (پشت دیوار آتش)	- (به درگاه باز کردن نیاز دارد)	+ (کار از طریق https)
رایانه عمومی (کافی نت)	- (به نصب مشتری نیاز دارد)
PDA ، ارتباط دهنده	-+ (دستگاه باید دارای مشتری VPN باشد)
محافظت
قابلیت احراز هویت قوی	+ (در اکثر موارد)
ورود به سیستم وب	-
کاربرد خودکار خط مشی های امنیتی بر اساس نوع شیء و کاربر	- (به راه حل های اضافی نیاز دارد)
بعلاوه
فناوری بدون Client		+ (اینترنت اکسپلورر کافی است)
سهولت اجرای	بستگی به تصمیم دارد
سهولت پیکربندی	بستگی به تصمیم دارد
سهولت پشتیبانی	بستگی به تصمیم دارد

SSL VPN در روسیه

تا به امروز تعداد نسبتاً زیادی از پروژه ها در روسیه برای معرفی دسترسی از راه دور در شرکت ها بر اساس فناوری SSL VPN اجرا شده است. اما همانطور که در ابتدا گفته شد ، این فناوری هنوز محبوبیت خود را در روسیه به دست نیاورد ، در حالی که تولید کنندگان این راه حل ها تقاضای بسیار زیادی را برای آنها در بین شرکت های غربی گزارش می کنند.

در اولین بخش از این سری مقاله در مورد پیکربندی ویندوز سرور 2008 به عنوان سرور SSL VPN ، من به برخی از واقعیت ها در مورد تاریخچه سرورهای Microsoft VPN و پروتکل های VPN پرداختم. مقاله قبلی را با استفاده از شبکه نمونه ای به پایان رساندیم که در قسمت های بعدی و سریال بعدی در پیکربندی یک دروازه VPN که از اتصالات SSTP با مشتریان Vista SP1 پشتیبانی می کند استفاده خواهیم کرد.

قبل از شروع ، باید اعتراف کنم که من از در دسترس بودن راهنمای گام به گام برای ایجاد اتصالات SSTP برای ویندوز سرور 2008 ، که در وب سایت www.microsoft.com قرار دارد ، آگاه هستم. به نظر من این مقاله منعکس کننده محیط دنیای واقعی نیست که سازمانها برای اختصاص گواهینامه ها از آن استفاده می کنند. به همین دلیل است و به دلیل برخی از نکات مشکل ساز که در دفترچه راهنمای مایکروسافت وجود ندارد ، تصمیم گرفتم این مقاله را بنویسم. من معتقدم اگر در این مقاله مرا دنبال کنید ، کمی جدید یاد خواهید گرفت.

من از همان اصول اولیه نمی خواهم همه مراحل را پشت سر بگذارم. فرض می کنم شما یک کنترلر دامنه نصب کرده اید و نقش های DHCP ، DNS و خدمات گواهی نامه را روی این سرور فعال کرده اید. نوع صدور گواهینامه سرور باید Enterprise باشد و CA را در شبکه خود داشته باشید. سرور VPN قبل از ادامه مراحل بعدی باید به دامنه متصل شود. قبل از شروع ، باید Vista Client SP1 را نصب کنید.

برای اینکه راه حل ما کار کند ، باید مراحل زیر را انجام دهیم:

• IIS را روی سرور VPN نصب کنید
• با استفاده از Wizard درخواست صدور گواهینامه IIS ، از سرور VPN یک گواهی دستگاه بخواهید
• نقش RRAS را روی سرور VPN نصب کنید
• سرور RRAS را فعال کرده و آن را پیکربندی کنید تا به عنوان سرور VPN و NAT کار کند
• سرور NAT را برای انتشار CRL پیکربندی کنید
• برای استفاده از اتصالات شماره گیری ، حساب کاربری را پیکربندی کنید
• IIS را در سرور گواهی نامه تنظیم کنید تا اتصالات HTTP را برای فهرست CRL مجاز کنید
• پرونده HOSTS را برای مشتری VPN پیکربندی کنید
• از PPTP برای اتصال به سرور VPN استفاده کنید
• گواهینامه CA را از Enterprise CA دریافت کنید
• مشتری را تنظیم کنید تا از SSTP استفاده کند و با استفاده از SSTP به سرور VPN وصل شود

نصب IIS بر روی سرور VPN

ممکن است عجیب به نظر برسید که ما با این رویه خاص شروع می کنیم ، زیرا توصیه می کنم که هرگز یک وب سرور را در دستگاه امنیتی شبکه نصب نکنید. خبر خوب این است که لازم نیست سرور وب را روی سرور VPN ذخیره کنیم ، فقط مدتی به آن احتیاج داریم. دلیل این امر اینست که سایت ثبت نام همراه با سرور گواهی ویندوز سرور 2008 دیگر برای درخواست گواهی رایانه مفید نیست. در حقیقت ، عموماً بی فایده است. جالب اینجاست که اگر هنوز تصمیم به استفاده از سایت ثبت نام برای به دست آوردن گواهی کامپیوتر دارید ، همه چیز به نظر می رسد که گواهی دریافت و نصب شده باشد ، اما در واقع اینگونه نیست ، گواهی نصب نشده است.

برای حل این مشکل ، ما از شرکت CA استفاده خواهیم کرد. هنگام استفاده از Enterprise CA می توانید یک درخواست را به سرور صدور گواهینامه آنلاین ارسال کنید. هنگامی که از جادوگر درخواست گواهی IIS درخواست می کنید ، درخواست تعاملی برای صدور گواهی رایانه امکان پذیر است و آنچه را که اکنون "گواهی دامنه" خوانده می شود ، درخواست می کنید. این امر تنها درصورتی ممکن است که دستگاه درخواست کننده متعلق به همان دامنه Enterprise CA باشد.
برای نصب نقش وب سرور IIS روی سرور VPN ، این مراحل را دنبال کنید:

1. ویندوز 2008 را باز کنید مدیر سرور.
2. در قسمت سمت چپ کنسول ، روی زبانه کلیک کنید نقش ها.

1. روی منو کلیک کنید نقش ها را اضافه کنید در سمت راست پنل سمت راست.
2. ما فشار می دهیم به علاوه در صفحه قبل از اینکه تو شروع کنی.
3. یک تیک را در مقابل خط قرار می دهیم وب سرور (IIS) در صفحه نقش سرور را انتخاب کنید... ما فشار می دهیم به علاوه.

1. می توانید اطلاعات را در صفحه مطالعه کنید وب سرور (IIS)در صورت تمایل این اطلاعات کلی بسیار مفید در مورد استفاده از IIS 7 به عنوان یک وب سایت است ، اما از آنجایی که ما نمی خواهیم از سرور VIS روی سرور VPN استفاده کنیم ، این اطلاعات در شرایط ما کاربردی ندارد. ما فشار می دهیم به علاوه.
2. در صفحه خدمات نقش را انتخاب کنید چندین گزینه قبلاً انتخاب شده است. با این حال ، اگر از گزینه های پیش فرض استفاده می کنید ، نمی توانید از جادوگر درخواست صدور گواهینامه استفاده کنید. حداقل این مورد هنگام تست سیستم بود. هیچ سرویس نقش برای جادوگر درخواست گواهینامه وجود ندارد ، بنابراین من سعی کردم جعبه های کنار هر گزینه را بررسی کنم ایمنیو به نظر می رسد که کار کرده است همین کار را برای خودتان انجام دهید و کلیک کنید به علاوه.

1. اطلاعات موجود در صفحه را مرور کنید انتخاب تنظیمات را تأیید کنید و مطبوعات نصب.
2. کلیک کنید نزدیک در صفحه نتایج نصب.

درخواست گواهی ماشین برای سرور VPN با استفاده از جادوگر درخواست گواهی IIS

مرحله بعدی درخواست گواهی دستگاه برای سرور VPN است. سرور VPN برای ایجاد اتصال SSL VPN به رایانه مشتری SSL VPN نیاز به گواهی دستگاه دارد. نام مشترک گواهی نامه باید با نامی که مشتری VPN برای اتصال به رایانه دروازه SSL VPN استفاده می کند مطابقت داشته باشد. این بدان معناست که شما نیاز به ایجاد یک رکورد DNS عمومی برای نام موجود در گواهی نامه دارید که آدرس IP خارجی سرور VPN یا آدرس IP دستگاه NAT را در مقابل سرور VPN برطرف می کند و این اتصال را به سرور SSL VPN منتقل می کند.

برای درخواست گواهی دستگاه به سرور SSL VPN این مراحل را دنبال کنید:

1. که در مدیر سرور، برگه را گسترش دهید نقش ها در صفحه سمت چپ و سپس برگه را گسترش دهید وب سرور (IIS)... مطبوعات .

1. در کنسول مدیر خدمات اطلاعات اینترنتی (IIS) مدیرکه در سمت راست در قسمت سمت چپ ظاهر می شود ، روی نام سرور کلیک کنید. در این مثال ، نام سرور خواهد بود W2008RC0-VPNGW... روی نماد کلیک کنید گواهینامه های سرور در قسمت سمت راست کنسول IIS.

1. در قسمت سمت راست کنسول ، روی پیوند کلیک کنید گواهی دامنه ایجاد کنید.

1. اطلاعات را در صفحه وارد کنید خصوصیات نام خاص... مهمترین هدف در اینجا خواهد بود نام متداول... این نامی است که مشتریان VPN برای اتصال به سرور VPN از آن استفاده می کنند. همچنین به منظور شناسایی رابط خارجی سرور VPN یا آدرس عمومی دستگاه NAT در مقابل سرور VPN به یک ضبط عمومی DNS برای این نام نیاز دارید. در این مثال از یک نام مشترک استفاده می کنیم sstp.msfirewall.org... بعداً ، ما پرونده های HOSTS را روی رایانه مشتری VPN ایجاد خواهیم کرد تا بتواند این نام را تشخیص دهد. ما فشار می دهیم به علاوه.

1. در صفحه ، دکمه را فشار دهید انتخاب کنید... در کادر گفتگو منبع گواهینامه ها را انتخاب کنیدروی نام Enterprise CA کلیک کرده و کلیک کنید خوب... یک نام دوستانه را در خط وارد کنید اسم دوستانه... در این مثال از نام استفاده کرده ایم گواهی SSTPبدانید که از آن برای دروازه SSTP VPN استفاده می شود.

1. ما فشار می دهیم به پایان رسید در صفحه منبع آنلاین گواهینامه ها.

1. جادوگر شروع می شود و سپس ناپدید می شود. پس از آن ، خواهید دید که گواهی در کنسول IIS ظاهر می شود. بر روی گواهینامه دوبار کلیک کنید و نام مشترک را در بخش مشاهده کنید منصوب شدو اکنون کلید خصوصی مربوط به گواهینامه را داریم. ما فشار می دهیم خوببرای بستن گفتگو گواهی.

اکنون که گواهی نامه داریم می توانیم RRAS Server Role را نصب کنیم. لطفا توجه داشته باشید که چه چیزی بسیار مهم است گواهی نصب قبل از نصب RRAS Server Role. اگر این کار را نکنید ، باید خود را به سردردهای بزرگی تبدیل کنید ، زیرا مجبورید از روال خط فرمان نسبتاً پیچیده ای برای اتصال گواهی به مشتری SSL VPN استفاده کنید.

نصب سرور RRAS Role بر روی سرور VPN

برای نصب RRAS Server Role ، این مراحل را دنبال کنید:

1. که در مدیر سرور، روی برگه کلیک کنید نقش ها در قسمت سمت چپ کنسول.
2. در بخش درک نقش ها روی پیوند کلیک کنید نقش ها را اضافه کنید.
3. کلیک کنید به علاوه در صفحه قبل از اینکه تو شروع کنی.
4. در صفحه نقش سرور را انتخاب کنید کادر کنار خط را علامت بزنید. کلیک کنید به علاوه.

1. اطلاعات موجود در صفحه را بخوانید خط مشی شبکه و خدمات دسترسی... بیشتر این موارد مربوط به سرور Network Policy (که قبلاً سرور تأیید هویت اینترنت نامیده می شد و در اصل سرور RADIUS بود) و NAP بود که هیچکدام در مورد ما قابل اجرا نیست. فشار دادن به علاوه.
2. در صفحه خدمات نقش را انتخاب کنید تیک را در مقابل خط قرار دهید خدمات مسیریابی و دسترسی از راه دور... این موارد را انتخاب می کند خدمات دسترسی از راه دور و مسیریابی... ما فشار می دهیم به علاوه.

1. ما فشار می دهیم نصب در پنجره تنظیمات انتخاب شده را تأیید کنید.
2. ما فشار می دهیم نزدیک در صفحه نتایج نصب.

فعال کردن سرور RRAS و پیکربندی آن به عنوان VPN و سرور NAT

اکنون که نقش RRAS نصب شده است ، باید سرویس های RRAS را درست مانند آنچه در نسخه های قبلی ویندوز انجام دادیم ، فعال کنیم. ما باید عملکرد سرور VPN و خدمات NAT را فعال کنیم. با فعال سازی مؤلفه سرور VPN همه چیز روشن است ، اما ممکن است تعجب کنید که چرا باید سرور NAT را فعال کنید. دلیل فعال سازی سرور NAT این است که مشتری های خارجی می توانند به سرور Certificate برای اتصال به CRL دسترسی پیدا کنند. اگر مشتری SSTP VPN نتواند CRL را بارگیری کند ، اتصال SSTP VPN کار نخواهد کرد.

به منظور باز کردن دسترسی به CRL ، ما سرور VPN را به عنوان سرور NAT پیکربندی می کنیم و CRL را با استفاده از NAT برگشت پذیر منتشر می کنیم. در یک محیط شبکه شرکتی ، شما به احتمال زیاد دارای فایروال هایی مانند Firewall ISA در مقابل سرور صدور گواهینامه هستید ، بنابراین می توانید CRL را با استفاده از فایروال ها منتشر کنید. با این حال ، در این مثال ، تنها فایروال مورد استفاده ما ویندوز فایروال روی سرور VPN است ، بنابراین در این مثال باید سرور VPN را به عنوان سرور NAT پیکربندی کنیم.

برای فعال کردن خدمات RRAS ، این مراحل را دنبال کنید:

1. که در مدیر سرور برگه را گسترش دهید نقش ها در قسمت سمت چپ کنسول. برگه را گسترش دهید خط مشی شبکه و خدمات دسترسی و روی برگه کلیک کنید بر روی برگه راست کلیک کرده و را فشار دهید مسیریابی و دسترسی از راه دور را پیکربندی و فعال کنید.

1. کلیک کنید به علاوه در پنجره به برنامه جادوگر راه اندازی و دسترسی از راه دور سرور خوش آمدید.
2. در صفحه پیکربندی یک گزینه را انتخاب کنید دسترسی به شبکه های خصوصی مجازی و NAT و مطبوعات به علاوه.

1. در صفحه اتصال VPN بخش را انتخاب کنید رابط های شبکهکه نمایانگر رابط خارجی سرور VPN است. سپس فشار دهید به علاوه.

1. در صفحه اختصاص آدرس های IP یک گزینه را انتخاب کنید بطور خودکار... ما می توانیم این گزینه را انتخاب کنیم زیرا یک سرور DHCP در کنترل کننده دامنه پشت سرور VPN نصب کرده ایم. اگر سرور DHCP ندارید ، پس باید گزینه را انتخاب کنید از یک لیست خاص از آدرس هاو سپس لیستی از آدرسهایی را که مشتریان VPN هنگام اتصال به شبکه از طریق دروازه VPN می توانند استفاده کنند ، اضافه کنید. ما فشار می دهیم به علاوه.

1. در صفحه کنترل دسترسی از راه دور از چندین سرور انتخاب کنید خیر ، از مسیریابی و دسترسی از راه دور برای تأیید اعتبار درخواست های اتصال استفاده کنید... ما در صورت عدم دسترسی به سرورهای NPS یا RADIUS از این گزینه استفاده می کنیم. از آنجا که سرور VPN عضو یک دامنه است ، می توانید با استفاده از حساب های دامنه ، کاربران را تأیید کنید. اگر سرور VPN عضو دامنه نباشد ، فقط می توانید از حسابهای سرور محلی VPN استفاده کنید ، مگر اینکه تصمیم بگیرید از یک سرور NPS استفاده کنید. من در آینده مقاله ای در مورد استفاده از سرور NPS خواهم نوشت. ما فشار می دهیم به علاوه.

1. اطلاعات کلی را در صفحه بخوانید تکمیل پیکربندی مسیریابی و جادوگر دسترسی از راه دور و مطبوعات به پایان رسید.
2. کلیک کنید خوب در کادر گفتگو مسیریابی و دسترسی از راه دور، که به شما می گوید توزیع DHCP به نماینده توزیع DHCP نیاز دارد.
3. در قسمت سمت چپ کنسول ، زبانه را گسترش دهید مسیریابی و دسترسی از راه دور و سپس روی زبانه کلیک کنید بنادر... در قسمت وسط ، خواهید دید که اتصالات WAN Miniport برای SSTP اکنون در دسترس هستند.

پیکربندی یک سرور NAT برای انتشار CRL

همانطور که قبلاً نیز گفتم ، مشتری SSL VPN باید بتواند CRL را بارگیری کند تا تأیید کند که گواهی سرور روی سرور VPN خراب یا ابطال نشده است. برای این کار ، باید دستگاه را در مقابل سرور صدور گواهی پیکربندی کنید تا درخواستهای HTTP را برای مکان CRL به سرور صدور گواهینامه ارسال کنید.

چگونه می دانم مشتری SSL VPN برای بارگیری CRL به چه URL وصل شود؟ این اطلاعات در خود گواهی موجود است. اگر به سرور VPN برگردید و بر روی گواهینامه در کنسول IIS دو بار کلیک کنید ، مانند گذشته ، می توانید این اطلاعات را پیدا کنید.

روی دکمه کلیک کنید جزئیات روی گواهی نامه حرکت کرده و به سمت پایین حرکت کنید تا ضبط شود نقاط توزیع CRLسپس روی این مطلب کلیک کنید قسمت پایین نقاط مختلف توزیع را بر اساس پروتکل مورد استفاده برای دسترسی به این نقاط نشان می دهد. در گواهینامه نشان داده شده در شکل زیر ، می بینید که باید SSL VPN مشتری را از طریق URL برای CRL باز کنیم:

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

به همین دلیل شما باید برای این نام رکورد های عمومی DNS ایجاد کنید تا مشتری های VPN خارجی بتوانند این نام را در یک آدرس IP یا دستگاهی که برای دستیابی به وب سایت سرور صدور گواهینامه اقدام به برگشت معکوس یا پراکسی برگشت پذیر می کند ، نقشه کنند. در این مثال ، باید پیوند برقرار کنیم win2008rc0-dc.msfirewall.org با یک آدرس IP در رابط خارجی سرور VPN. هنگامی که اتصال به رابط خارجی سرور VPN رسید ، سرور VPN اتصال NAT را به سرور صدور گواهینامه منتقل می کند.

اگر از یک فایروال پیشرفته مانند فایروال ISA استفاده می کنید ، می توانید با اجازه دادن به فقط به CRL ، نه کل سایت. با این حال ، در این مقاله ، ما خودمان را به یک دستگاه ساده NAT مانند دستگاه ارائه شده توسط RRAS NAT محدود خواهیم کرد.

لازم به ذکر است که با استفاده از نام پیش فرض سایت CRL ممکن است گزینه کمتری امن باشد زیرا نام کامپیوتر شخصی را در اینترنت قرار می دهد. اگر فکر می کنید افشای نام خصوصی CA در سابقه DNS عمومی یک خطر امنیتی است ، می توانید یک CDP سفارشی (CRL Distribution Point) ایجاد کنید تا از این امر جلوگیری شود.

برای پیکربندی RRAS NAT برای مسیریابی درخواست های HTTP به سرور صدور گواهینامه ، این مراحل را دنبال کنید:

1. در قسمت سمت چپ مدیر سرور برگه را گسترش دهید مسیریابی و دسترسی از راه دورو سپس برگه را گسترش دهید IPv4... روی برگه کلیک کنید طبیعت.
2. در برگه طبیعت بر روی رابط خارجی در قسمت وسط کنسول کلیک راست کنید. در این مثال ، نام frontend بود اتصال منطقه محلی... مطبوعات خصوصیات.

1. در کادر گفتگو ، کادر کنار آن را علامت بزنید وب سرور (HTTP)... این یک کادر گفتگو ایجاد می کند خدمات ویرایش... در یک خط متن آدرس خصوصی آدرس IP سرور صدور گواهینامه را در شبکه داخلی وارد کنید. کلیک کنید خوب.

1. کلیک کنید خوب در کادر گفتگو خصوصیات اتصال محلی.

اکنون که سرور NAT نصب و پیکربندی شده است ، می توانیم توجه خود را به پیکربندی سرور CA و مشتری SSTP VPN جلب کنیم.

نتیجه

در این مقاله مکالمه خود را در مورد راه اندازی سرور SSL VPN با استفاده از ویندوز سرور 2008 ادامه دادیم. ما نحوه نصب IIS بر روی سرور VPN ، درخواست و نصب گواهی سرور ، نصب و پیکربندی سرویس های RRAS و NAT را روی سرور VPN پوشش دادیم. در مقاله بعدی ، به بررسی پیکربندی سرور CA و مشتری SSTP VPN خواهیم پرداخت. به امید دیدار! تام