有关VPN客户机的一个常见的错觉是认为它们是在VPN网络上连接到企业网络的工作站。这种工作站肯定是一种VPN客户机,但是,它并不是惟一的一种VPN客户机。VPN客户机可以是一台计算机,还可以是一台路由器。你的网络需要使用什么类型的VPN客户机确实取决于你的公司的具体需求。
例如,如果你碰巧有一个缺少与公司办公室直接连接的一个分支办公室,使用一台路由器作为VPN客户机对你来说可能是一个很好的选择。通过这样做,你可以利用一个单个的连接把整个分支办公室与公司办公室连接起来。不需要每一台PC都单独建立一个连接。
另一方面,如果你拥有一些经常出差的雇员,这些雇员需要在旅行中访问公司的网络,你把这些雇员的笔记本电脑设置为VPN的客户机可能会有好处。
从技术上说,只要支持PPTP、L2TP或者IPSec协议,任何操作系统都可以作为一台VPN客户机。就微软而言,这意味着你可以使用WindowsNT4.0、9X、ME、2000和XP操作系统。虽然所有这些操作系统从技术上说都可以作为客户机,我建议你坚持使用Windows2000或者WindowsXP操作系统,因为这些操作系统能够支持L2TP和PSec协议。
VPN服务器
VPN服务器可以当作VPN客户机的一个连接点。从技术上说,你可以使用WindowsNTServer4.0、Windows2000Server或者WindowsServer2003等操作系统作为一台VPN服务器。不过,为了保证安全,我认为你应该使用WindowsServer2003操作系统。
有关VPN服务器的最大的误解之一是VPN服务器所有的工作都是自己完成的。我的朋友无数次地对我说,他们要购买一台VPN服务器。他们没有认识到VPN服务器只是必要的组件之一。
VPN服务器本身是非常简单的。VPN服务器不过是执行路由和远程访问服务任务的一个增强的‘Windows2003Server’服务器。一旦一个进入VPN网络的请求被批准,这个VPN服务器就简单地充当一台路由器向这个VPN客户机提供专用网络的接入。
ISA服务器
VPN服务器的额外要求之一是你要有一台RADIUS(远程认证拨入用户服务)服务器。远程认证拨入用户服务是互联网服务提供商在用户试图建立互联网连接的时候对用户进行身份识别的一种机制。
你需要使用RADIUS服务器的原因是你需要一些身份识别机制对通过VPN连接进入你的网络的用户进行身份识别。你的域名控制器不能完成这个任务。即使你的域名控制器能够胜任这个任务,把域名控制器暴露给外部世界也不是一个好主意。
现在的问题是你从什么地方获得这个RADIUS服务器?微软有自己版本的RADIUS,名为“互联网身份识别服务”,英文缩写字是IAS。WindowsServer2003操作系统包含IAS功能。这是一个好消息。坏消息是由于安全的原因不能在同一台计算机中把ISA当作路由和远程访问服务(RRAS)来运行。即使可以这样做,我也不能肯定在虚拟服务器设置之外是否有这个可能。
防火墙
你的VPN需要的其它组件是一个良好的防火墙。的确。你的VPN服务器接受来自外部世界的连接,但是,这并不意味着外部世界需要完全访问的VPN服务器。你必须使用防火墙封锁任何没有使用的端口。
建立VPN连接的基本要求是,VPN服务器的IP地址必须能过通过互联网访问,VPN通信必须能够通过你的防火墙进入VPN服务器。然而,还有一项可选择的组件。你可以使用这个组件让你的VPN服务器更安全。
如果你非常重视安全问题(而且你有这笔预算),你可以在ISA服务器和你的周边防火墙和VPN服务器之间放置一个ISA服务器。这个想法是,你可以设置防火墙把所有的与VPN有关的通信都指向那个ISA服务器,而不是指向VPN服务器。然后,ISA服务器将充当一个VPN代理服务器。
VPN客户机和VPN服务器仅与ISA服务器进行通信。它们相互之间从来不直接通信。这就意味着ISA服务器在保护VPN服务器,不允许直接访问VPN服务器,从而为VPN服务器增加了一个保护层。
当前位置:
