多图详解VPN用户隔离:ISA2006系列之二十四

核心提示：VPN隔离是ISA2006中提供的一个强大功能，也是NAP（网络访问保护）的一个重要组成环节，多图详解VPN用户隔离:ISA2006系列之二十四，VPN隔离指的的是当VPN客户机通过VPN服务器的身份验证后，VPN服务器并不立即允许其访问内网，目前我们已经在Beijing上配置了VPN服务器，VPN客户机的地址池是19

VPN隔离是ISA2006中提供的一个强大功能，也是NAP（网络访问保护）的一个重要组成环节。VPN隔离指的的是当VPN客户机通过VPN服务器的身份验证后，VPN服务器并不立即允许其访问内网，而是将VPN客户机放到一个被隔离的网络中。然后通过策略对客户机进行安全检查，例如查看VPN客户机是否安装了最新的安全补丁，是否启用了防火墙，防病毒软件是否升级到了最新版本等等。如果VPN客户机通过了安全策略的检查，VPN服务器将允许其访问内网资源；如果不能通过安全策略检查，VPN客户机将被限定在隔离网络中，无法访问内网资源，而且在隔离网络中停留一段时间后会被逐出。有的企业会在隔离网络中放置一些文件服务器，用以提供杀病毒软件，系统更新补丁等，还有的可能会在隔离网络中放置Web服务器，用以提示用户为什么被隔离，接下来要进行什么操作。VPN隔离的原理如下图所示。

今天我们通过一个实验来简单介绍一下VPN隔离的功能，实验拓扑如下图所示，Denver是域控制器，Beijing是ISA2006服务器，Istanbul是外网VPN客户机。Beijing上启用了VPN隔离，当VPN客户机拨入时，VPN服务器会把VPN客户机放入隔离网络，然后检查VPN客户机的防火墙是否开启。如果开启了防火墙，那VPN客户机就能通过安全检查，被允许访问内网；否则VPN客户机就将在规定时间内被逐出隔离网络。

目前我们已经在Beijing上配置了VPN服务器，VPN客户机的地址池是192.168.100.1－192.168.100.200，我们接下来要进行下列步骤。