WEB开发网
开发学院网络安全防火墙 多图详解VPN用户隔离:ISA2006系列之二十四 阅读

多图详解VPN用户隔离:ISA2006系列之二十四

 2010-09-30 12:14:18 来源:WEB开发网   
核心提示:VPN隔离是ISA2006中提供的一个强大功能,也是NAP(网络访问保护)的一个重要组成环节,多图详解VPN用户隔离:ISA2006系列之二十四,VPN隔离指的的是当VPN客户机通过VPN服务器的身份验证后,VPN服务器并不立即允许其访问内网,目前我们已经在Beijing上配置了VPN服务器,VPN客户机的地址池是19

VPN隔离是ISA2006中提供的一个强大功能,也是NAP(网络访问保护)的一个重要组成环节。VPN隔离指的的是当VPN客户机通过VPN服务器的身份验证后,VPN服务器并不立即允许其访问内网,而是将VPN客户机放到一个被隔离的网络中。然后通过策略对客户机进行安全检查,例如查看VPN客户机是否安装了最新的安全补丁,是否启用了防火墙,防病毒软件是否升级到了最新版本等等。如果VPN客户机通过了安全策略的检查,VPN服务器将允许其访问内网资源;如果不能通过安全策略检查,VPN客户机将被限定在隔离网络中,无法访问内网资源,而且在隔离网络中停留一段时间后会被逐出。有的企业会在隔离网络中放置一些文件服务器,用以提供杀病毒软件,系统更新补丁等,还有的可能会在隔离网络中放置Web服务器,用以提示用户为什么被隔离,接下来要进行什么操作。VPN隔离的原理如下图所示。

多图详解VPN用户隔离:ISA2006系列之二十四

今天我们通过一个实验来简单介绍一下VPN隔离的功能,实验拓扑如下图所示,Denver是域控制器,Beijing是ISA2006服务器,Istanbul是外网VPN客户机。Beijing上启用了VPN隔离,当VPN客户机拨入时,VPN服务器会把VPN客户机放入隔离网络,然后检查VPN客户机的防火墙是否开启。如果开启了防火墙,那VPN客户机就能通过安全检查,被允许访问内网;否则VPN客户机就将在规定时间内被逐出隔离网络。

多图详解VPN用户隔离:ISA2006系列之二十四

目前我们已经在Beijing上配置了VPN服务器,VPN客户机的地址池是192.168.100.1-192.168.100.200,我们接下来要进行下列步骤。

1 2 3 4 5 6  下一页

Tags:多图 详解 VPN

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接