ISA & VPN 網工 82 期

MS-LAB 第三組

指導老師: 戴有煒、劉家聖、楊宏文

學生:李純志

2010

Chun

LBA 技術團隊

2010/12/5

目錄:

整體規劃架構圖 1

ISA 以及 VPN 概述 2

專案內容 3

建置流程 4~17

專案問題 18

心得 19

音響總公司整體規劃架構圖

ISA&VPN 概述

ISA 防火牆要達到的目標安全網路環境、提高內部網路效率、控管網路流量、高

可用性

專案採用 Back-to-Back & 3-leg 以及 VPN site-tosite

針對防火牆部分，選用 ISA Server 2006，它具備防火牆應有的功能，控管內

外部的網路流量，並提供網頁外取，可提高內部使用者瀏覽網頁的速度。防火牆

部分，在分公司採 3-leg 的架構，總公司是採 Back-toBack，利用防火牆將公

司網路分為內部、DMZ 及外部，並在前後牆都採用高可用性，採用集中管理防

火牆並開放遠端管理，符合控管容易。也為貴公司建立 VPNsite-tosite，讓總

分公司內資料傳輸更為便利。另外開放 VPN NAP 及 DHCP NAP 必須符合健

康原則的要求，也就是說用戶端必須是健康的，否則只能受限制來存取網路的資

源，以免這些不健康的用戶端電腦會危害到內部網路安全，NAP 可以透過以下條

件來決定用戶端是否安全

1.防火牆有沒有執行

2.是否安裝防毒軟體

3.防毒是否有安裝到最新

4.是否有安裝反間碟軟體

5.反間諜軟體有沒有更新到最新

6.用戶端的自動更新是否有啟動

專案內容

傳統音響公司:

公司環境:

1.總公司台北、分公司高雄，兩者獨立的運作

2.公司裡部門無法溝通、聯繫

3.對外伺服器的資訊安全問題

目標 :

1.舊有網路整合

2.公司內部系統整合

3.資訊安全規劃

而我個人的部分針對資訊安全的部分規劃 ISA 以及 VPN 的建置流程

ISA 部分針對內外部 開放流量及發行規則

VPN 部分針對 site-to-site 存取內部資源來架設

伺服器架構 :

DC1: 2003 Enterprise

DC2: 2008 Enterprise R2 (安裝 DHCP 以及企業 CA 以及 DNS 伺服器)

CSS&RADIUS: 2003 Enterprise

ISA: 2003 Enterprise

建置流程:

安裝 CSS

1.將 CSS 加入網域，並以 Domain Administrator 登入。

2.確認 DC上有 CSS 的主機記錄。

3.替 CSS 申請所需憑證，並匯出存檔(含私密金鑰)。

4.安裝 CSS，在"企業部屬環境"中選擇"我正於不具信任的工作群組或網域中進行

部署"，選擇之前匯出存檔的憑證。

5.建立 ISA陣列 BArray、FArray，建立 DNS主機記錄，變更 CSS 驗證方式=>在 SSL

通道上驗證。

6.將 CSS 加入"企業遠端管理電腦組"。

7.MBISA1 和 MBISA2 加入尾碼重新開機，利用 ping FQDN來得知對方 IP，並且信

任 CA

8.在 MBISA1 安裝 ISA Server，加入 BArray 陣列，選擇 SSL通道驗證，內部 IP：

192.168.2.0-192.168.2.255。到 MBISA2重複步驟來安裝 ISA Server。

9.在 CSS 電腦上將 BArray 的內部與外部網路之間的網路規則改為"路由"

10.在 MBISA1與 MBISA2 上建立鏡像帳戶：IntraArray，密碼永久有效。

11.在 CSS電腦上將 BArray 內部認證帳號設定為 IntraArray，將 IntraArray 指

定許與監視此陣列帳戶。

12.將 BArray改為多點傳播並啟用 BArray的網路負載平衡。

13.開放後端陣列 BArray 所需流量。

14.前端 FArray設定：(同 BArray)， 內部網路 IP為 192.168.2.0-192.168.3.255

分別在 MFISA1與 MFISA2 加入路由路徑

route -p add 192.168.2.0 mask 255.255.255.0 192.168.3.200

15.啟用 FArray網路負載平衡

內部虛擬 IP：192.168.3.100/24

外部虛擬 IP：192.168.8.100/24(接聽 Exchange OWA與非 HTTP/HTPPS流量)，

192.168.8.103/24(接聽 Web Farm)，192.168.8.104/24(接聽 CA)

後牆流量圖

前牆流量圖

16.在 BArray建立遠端站台 VPN 及申請憑證工作

17.在 AD 使用者及電腦，建立一帳號 branch 並且允許撥入。

18.替總公司 VPN 申請憑證。

19.在分公司 VPN Server 安裝 ISA Server，建立遠端站台與申請憑證。

20.在本機帳戶建立一使用者 main，允許撥入。

21.替分公司 VPN Server 申請憑證(建立 HOSTS 檔)

22.信任 CA，重新啟動"Remote Access Service"

23.在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\IPsec

新增 DWORD 數值 AssumeUDPEncapsulationContextOnSendRule

為 1 ，重新啟動電腦

24.測試雙方 VPN 連線是否成功

專案遇到的問題:

1.ISA 部分 back to back

站台對站台如果外部測試電腦是 Windows XP SP2 將無法連 L2TP/IPSec

VPN 伺服器,這是因為 Windows XP SP2(Windows Server 2003 SP1 也

有相同情形)預設是無法連接 NAT 裝置之後的 L2TP/IPSec VPN 伺服器,而我

們 VPN 伺服器是由後端防火牆所扮演,它是位於扮演 NAT 角色的前端防火牆

之後,解決辦法:登錄路徑新增一個數值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\IPsec

新增數值 AssumeUDPEncapsulationContextOnSendRule

型態 DWORD 值 1 或 2

3.DC 跟防火牆要架在同一台電腦中,並且那一台電腦要最好最穩定。

4.網路一直斷線，不知道是不是 ARP 封包的影響。

心得:

整個 LAB 最重要的部分就是串機，串機那時候真的是搞得手忙腳亂，不知

道到底是線路問題還是接頭問題，很感謝本組的組員幫忙、承國、晟堯、傑舜、

學修、明仕、品君、亦昂。驗收的前一晚，本組的組員，都熬夜把 LAB 完成，從

這次LAB 發現，大家都真的很拼命去把該做完的事把它完成。雖然最後不如預期，

畢竟大家都盡心盡力，一個人的力量是無法完成 LAB 的。

而我自己的部分，剛開始 DC 架好之後，我先把我的 ISA 以及 VPN 的部分架

設上去，本來很正常的運作，但加入前牆部分就開始運作不正常，CSS 開始斷線

連線不到 DC，不知道是不是受 ARP 封包的影響，後來改採用 switch 串接，就運

作較為正常，但是之後 DC 電腦狂當機，後來，把 DC 移機到 ISA 電腦上之後也就

沒有太大的問題。

然後我給學弟及學妹的一些建議

1.DC 部分盡量和 ISA 建置在同一台電腦上，而且那台電腦必須要非常穩定

(原因大家都需要 DC 做些設定)

2.HUB 盡可能不要用學校提供的 (原因便宜沒好貨)

3.檢查一下大家的電腦，最好不要有會亂發封包的電腦。

4.至於大家要上網的話，又要在內部網路，不影響其他房客上網，可以提供一

台電腦，那台電腦插兩張網卡，一張網卡就設對外房東給的 IP，然後把網卡用共

用(就用上課所學，真實網卡共用給 HOST-ONLY--課本的 NAT 章節裡頭有提到網

際網路連線共用 ICS)給另一張網卡，這張網卡在接實驗的外部的 HUB，大家可以

透過這個 HUB 上網